การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล ถือเป็นประเด็นที่ต้องพิจารณาทางกฎหมายหลายประการ โดยมีการกำหนดจากการเริ่มนับระยะเวลา 72 ชั่วโมง เนื่องจากองค์กรอาจมีความรับผิดทางกฎหมายหากไม่แจ้งภายในระยะเวลาที่กฎหมายพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด
ซึ่งในมาตรา มาตรา 37(4) มีการเขียนไว้ว่า การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานโดยไม่ชักช้าภายใน72 ชั่วโมง “ นับแต่ทราบเหตุ” เท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล
หากกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย ทั้งนี้ การแจ้งดังกล่าวและข้อยกเว้นให้เป็นไปตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด ดังนั้นจุดเริ่มต้นสำคัญที่สุดของการเริ่มนับระยะเวลา คือ “นับแต่ทราบเหตุ” (become aware)

ผู้ควบคุมข้อมูลส่วนบุคคล หากมีการพิจารณาแล้วว่าเหตุการณ์ข้อมูลรั่วไหลที่เกิดขึ้น (security incident) มีผลทำให้ข้อมูลส่วนบุคคลถูกละเมิด ดังนั้น สิ่งแรกที่องค์กรต้องทำการประเมินก่อน คือ อธิบายผลของเหตุการณ์ข้อมูลรั่วไหลนั้นได้ส่งผลกระทบต่อความเสี่ยง หรือความไม่มั่นคงปลอดภัยของข้อมูลส่วนบุคคลหรือไม่
หนังสือแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล มีรายละเอียดดังต่อไปนี้
- รายละเอียดของเหตุ ละเมิดข้อมูลส่วนบุคคล
ระบุรายละเอียดเหตุการณ์ที่เป็นภัยคุกคามข้อมูลส่วนบุคคล ที่มีความเสี่ยงที่จะละเมิดสิทธิเสรีภาพของบุคคล เช่น
- ฐานข้อมูลขององค์กรถูกโจมตีและเข้าถึงโดยมิชอบ
- เอกสาร ที่มีการเขียนข้อมูลส่วนบุคคลของลูกค้าถูกโจรกรรม
- วันเวลาที่ทราบเหตุ
- ผู้ที่รายงานเหตุให้ทราบ ระบุชื่อผู้ที่แจ้ง/พบเหตุการณ์ เป็นคนแรก
- รายการข้อมูลส่วนบุคคลที่ได้รับผลกระทบ
- ชื่อ-นามสกุล
- อีเมล
- ประวัติสุขภาพ
- รูปแบบผลกระทบ ที่เกิดขึ้นกับข้อมูลส่วนบุคคล
- จำนวนเจ้าของข้อมูลส่วนบุคคลที่ได้รับผลกระทบ
- มาตรการตอบสนองเพื่อหยุดยั้งเหตุละเมิดข้อมูล ระบุมาตรการ/การดำเนินการเพื่อหยุดยั้งเหตุภัยคุกคาม เช่น ระงับการใช้งานระบบทันทีที่ทราบเหตุ เป็นต้น
- การแจ้งเหตุต่อเจ้าของข้อมูลส่วนบุคคล (เฉพาะกรณีมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพ ของบุคคล) ระบุการดำเนินการขององค์กร ในการแจ้งเหตุแก่เจ้าของข้อมูลส่วนบุคคล พร้อมมาตรการเยียวยา เช่น สำนักงานได้ส่งหนังสือแจ้งเหตุดังกล่าวแก่เจ้าของข้อมูลส่วนบุคคลที่อาจได้รับผลกระทบทางอีเมล โดยได้แนบ link เพื่อให้เจ้าของข้อมูลทำการเปลี่ยนแปลงรหัสผ่านเข้าระบบทันที
- ช่องทางการติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
- ชื่อ-นามสกุล
- สถานที่ติดต่อ
- ช่องทางการติดต่อ