t-reg PDPA Platform

Contact Us
Contact Us
สรุปหลักเกณฑ์และวิธีการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565 ตามกฎหมาย PDPA โดย t-reg เพื่อความเข้าใจง่ายและปฏิบัติได้อย่างถูกต้อง
  • Reading Time: 2 minutes
  • 15728
  • Reading Time: 2 minutes
  • 15728

สรุป ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565

เนื้อหาในบทความ

เมื่อวันที่ 15 ธันวาคม 2565 ที่ผ่านมา คณะกรรมการคุ้มครองส่วนบุคคลได้เผยแพร่ประกาศฉบับใหม่ที่มีเนื้อหาเกี่ยวกับวิธีการในการแจ้งเหตุละเมิดข้อมูลส่วนบุคคล โดยมีใจความสำคัญอยู่ที่รายละเอียดและขั้นตอนที่ Data Controller ต้องปฏิบัติเมื่อเกิดเหตุละเมิด รายละเอียดที่ต้องคำนึงในการประเมินความเสี่ยง และการแจ้งเหตุละเมิดข้อมูลส่วนบุคคลแก่เจ้าของข้อมูลส่วนบุคคล รวมถึงรายละเอียดอื่นๆ ที่เป็นประโยชน์ต่อผู้ควบคุมข้อมูลส่วนบุคคล พร้อมกันนี้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ยังเผยแพร่ คู่มือแนวทางการประเมินความเสี่ยงและแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล เวอร์ชั่น 1.0 เพื่อใช้เป็นแนวทางประกอบกับประกาศฉบับล่าสุดอีกด้วย
รายละเอียดมีอะไรบ้าง เราสรุปไว้ให้แล้ว

ที่มาของประกาศใหม่

ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุละเมิดข้อมูลส่วนบุคคล พ.ศ 2565 ร่างขึ้นโดยอ้างอิงจาก

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล มาตรา 16 (4) และ
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล มาตรา 37 (4)

ความหมายของ การละเมิดข้อมูลส่วนบุคคล

‌“การละเมิดข้อมูลส่วนบุคคล” หมายถึง?
การละเมิดมาตรการรักษาความมั่นคงปลอดภัยที่ทำให้เกิดการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ ไม่ว่าจะเกิดจากเจตนา ความจงใจ ความประมาทเลินเล่อ การกระทำโดยปราศจากอำนาจหรือโดยมิชอบ การกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ภัยคุกคามทางไซเบอร์ ข้อผิดพลาดบกพร่องหรืออุบัติเหตุ หรือเหตุอื่นใด

จำแนกการละเมิดข้อมูลส่วนบุคคลเป็น 3 ประเภท: การละเมิดความลับของข้อมูล, การละเมิดความถูกต้องครบถ้วนของข้อมูล, และการละเมิดความพร้อมใช้งานของข้อมูลส่วนบุคคล

5 ขั้นตอนเตรียมพร้อม สำหรับ Data Controller หากได้รับแจ้งข้อมูลว่า มี หรือ น่าจะมี เหตุละเมิดข้อมูลส่วนบุคคล

  1. ประเมินความน่าเชื่อถือของข้อมูล และตรวจสอบข้อเท็จจริงเกี่ยวกับการละเมิด โดยตรวจสอบมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล รวมถึงการประเมินความเสี่ยงจากการละเมิดข้อมูลส่วนบุคคล
  2. หากประเมินความเสี่ยงแล้วพบว่า การละเมิดดังกล่าวมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้ดำเนินการป้องกัน ระงับ หรือแก้ไขเพื่อให้การละเมิดดังกล่าวสิ้นสุด หรือไม่ให้การละเมิดส่งผลกระทบเพิ่มเติม โดยทันทีเท่าที่จะทำได้
  3. เมื่อพิจารณาแล้วเห็นว่า มีเหตุอันควรเชื่อว่ามีการละเมิดเกิดขึ้นจริง ให้แจ้งเหตุดังกล่าวแก่ PDPC (ภายใน 72 ชั่วโมง) นับแต่พบเหตุละเมิด เว้นแต่เป็นกรณีไม่มีความเสี่ยง
  4. กรณีมีความเสี่ยงสูง ต้องแจ้งเหตุละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบ พร้อมกับแนวทางการเยียวยา (โดยไม่ชักช้า)
  5. ดำเนินการตามมาตรการที่จำเป็น เหมาะสม เพื่อระงับ ตอบสนอง แก้ไขเหตุละเมิด และป้องกันเหตุละเมิด และผลกระทบที่อาจเกิดในลักษณะเดียวกันในอนาคต รวมถึงการทบทวน security measures ให้เหมาะสม โดยคำนึงถึงระดับความเสี่ยง บริบท สภาพแวดล้อม ลักษณะการประมวลผลข้อมูลส่วนบุคคล

การประเมินความเสี่ยงสำหรับการละเมิดข้อมูลส่วนบุคคล

ให้ Data Controller พิจารณาจากปัจจัย ดังนี้

  1. ลักษณะและประเภทของการละเมิด
  2. ลักษณะและประเภทของข้อมูลส่วนบุคคลที่เกี่ยวข้องกับเหตุละเมิด
  3. ปริมาณของข้อมูลที่เกี่ยวข้องกับการละเมิด โดยพิจารณาจำนวนข้อมูล จำนวนรายการที่เกี่ยวข้อง
  4. ลักษณะ ประเภท สถานะของ Data Subject (พิจารณาว่าเป็นกลุ่มเปราะบางหรือไม่)
  5. ความร้ายแรงของผลกระทบ และความเสียหายที่จะเกิดขึ้นกับ Data Subject และประสิทธิภาพของมาตรการป้องกัน ระงับ แก้ไขเหตุละเมิด หรือการเยียวยาความเสียหา
  6. ผลกระทบในวงกว้างต่อธุรกิจ หรือการดำเนินการของ Data Controller หรือสาธารณะ
  7. ลักษณะของระบบเก็บข้อมูลที่เกี่ยวกับการละเมิด และ security measures ของ Data Controller
  8. สถานะทางกฎหมาย และขนาดของ Data Controller

รายละเอียดการแจ้งเหตุละเมิดข้อมูลส่วนบุคคล ต่อ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

รายละเอียดการแจ้งเหตุละเมิดข้อมูลส่วนบุคคล ประกอบด้วยลักษณะการละเมิด ช่องทางติดต่อผู้รับผิดชอบ ข้อมูลผลกระทบ และมาตรการป้องกันการละเมิดหรือเยียวยาความเสียหาย

การแจ้งเหตุละเมิดข้อมูลส่วนบุคคลแก่ เจ้าของข้อมูลส่วนบุคคล (Data Subject)

าก Data Controller หรือ Data Processor ประเมินแล้วพบว่าการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น มีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิเสรีภาพของบุคคล ให้แจ้งเหตุละเมิดแก่เจ้าของข้อมูลที่ได้รับผลกระทบ (โดยไม่ชักช้า) โดยต้องมีรายละเอียดดังนี้

  1. ข้อมูลโดยสังเขปเกี่ยวกับลักษณะของการละเมิดข้อมูลส่วนบุคคล
  2. ช่องทางติดต่อ DPO หรือบุคคลที่ได้รับมอบหมายให้ประสานงาน
  3. ผลกระทบที่อาจเกิดขึ้น
  4. แนวทางเยียวยาความเสียหาย มาตรการที่จะป้องกัน ระงับ แก้ไขเหตุละเมิด รวมถึงข้อแนะนำเกี่ยวกับมาตรการที่ Data Subject อาจดำเนินการได้ เพื่อป้องกัน ระงับ แก้ไข เยียวยาความเสียหาย
ข้อยกเว้นการแจ้งเหตุละเมิดข้อมูลส่วนบุคคล กรณีแจ้งช้ากว่า 72 ชั่วโมง และกรณีไม่ต้องแจ้งเหตุละเมิดหากไม่มีความเสี่ยงต่อสิทธิเสรีภาพของบุคคล ข้อมูลนี้อธิบายโดย t-reg

อ่านรายละเอียด หลักเกณฑ์และวิธีการในการแจ้งเหตุละเมิด
ข้อมูลส่วนบุคคล พ.ศ 2565 ฉบับเต็มได้ที่ Link

อ่านเนื้อหา

1.แนวทางการดำเนินการในการ ขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

2.แนวทางการดำเนินการในการ แจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้ที่ Link นี้

ติดตามสรุปกฎหมายเพิ่มเติม ประกาศเพิ่มเติม หรือแนวทางเพิ่มเติมกฎหมาย PDPA ได้ที่ 
Facebook Fanpage: PDPA Platfrom By t-reg 

Picture of Chalisa Vannaratha

Chalisa Vannaratha

Content Creator Ragnar Corporation
FREE EVENT
ร่วมรับฟังแนวทางการรับมือเมื่อเกิดเหตุละเมิดข้อมูลส่วนบุคคล เพื่อเตรียมความพร้อมสำหรับองค์กรของท่านในการรับมือกับเหตุละเมิดที่อาจเกิดขึ้น โดยผู้เชี่ยวชาญผู้มีประสบการณ์ให้คำปรึกษาด้านกระบวนการ PDPA สำเร็จแล้วกว่า 60 องค์กร และได้รับ Certificate จากสถาบันดิจิทัล (DCT) และมาตรฐานสากล ICDL หลักสูตร Personal Data Protection
ลงทะเบียน
RELATED POST
Case Study

อิออนธนสินทรัพย์ทำ ข้อมูลส่วนบุคคล pdpa ของลูกค้ารั่วไหล

เนื้อหาในบทความนี้ แบงก์ชาติได้ออกมาประกาศเกี่ยวกับ 2 ผู้ให้บริการทางการเงินฝ่าฝืนหลักเกณฑ์การให้บริการลูกค้าอย่างเป็นธรรม ซึ่ง 1 ผู้ให้บริการนั้นได้ฝ่าฝืนทำ ข้อมูลส่วนบุคคล

อ่านต่อ »
03/29/2022
โซลูชัน PDPA สำหรับธุรกิจออนไลน์ ปฏิบัติตามกฎหมายโดยไม่กระทบประสบการณ์ลูกค้า
t-reg knowledge

PDPA Solution สำหรับธุรกิจออนไลน์: วิธีปฏิบัติตามโดยไม่กระทบประสบการณ์ลูกค้า

ในยุคดิจิทัลที่ข้อมูลคือหัวใจสำคัญของธุรกิจออนไลน์ การจัดการข้อมูลส่วนบุคคลของลูกค้าอย่างถูกต้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) ถือเป็นความท้าทายที่ธุรกิจต้องเผชิญ การใช้ PDPA Solution หรือโซลูชันที่ออกแบบมาเพื่อช่วยให้ธุรกิจปฏิบัติตาม

อ่านต่อ »
03/28/2025
pdpa ประกันภัย
t-reg knowledge

10 เรื่องที่บริษัทประกันควรรู้เกี่ยวกับ PDPA X ธุรกิจประกันภัย เข้าใจกฎหมาย ธุรกิจไปได้ไกลกว่า

PDPA ประกันภัย สำคัญอย่างไรในยุคที่กฎหมายคุ้มครองข้อมูลของลูกค้า? ธุรกิจประกันภัย เป็นหนึ่งในธุรกิจที่ใช้ข้อมูลส่วนบุคคลประกอบการดำเนินธุรกรรม  อาทิ การนำข้อมูลส่วนบุคคลมาใช้สนับสนุนการรับพิจารณาประกัน การปฏิบัติตามสัญญา การให้บริการลูกค้า

อ่านต่อ »
10/21/2022
t-reg knowledge

สิทธิของเจ้าของข้อมูล (Data Subject Right)

มาพูดถึงสิทธิของเจ้าของข้อมูลกันครับ แล้วดูว่าสิ่งที่องค์กรต่างๆ ควรตอบโจทย์ Data Subject Right กันอย่างไร และรายละเอียดสำคัญต่างๆ ในบทความ

อ่านต่อ »
04/27/2021
PDPA ต้องเก็บ Log
t-reg knowledge

PDPA ต้องเก็บ Log Fle ด้วยหรอ?

หลาย ๆ ท่านอาจจะบอกว่าที่ต้องเก็บ Log นั่นมัน พ.ร.บ. คอมพิวเตอร์ต่างหาก ไม่ใช่ PDPA ซะหน่อย ?
นั่นก็ถูกครึ่งนึงครับที่ว่ากฎหมายที่กำหนดให้เราเก็บ Log จริง ๆ นั่นคือ

อ่านต่อ »
06/25/2021

ส่งต่อบทความดีๆ ได้ที่นี่

แหล่งเรียนรู้ PDPA ฟรี!!