สรุปข้อมูลสำคัญที่ Data Controller ต้องรู้ ประกาศใหม่จาก PDPC หลักเกณฑ์และวิธีการในการแจ้งเหตุละเมิดข้อมูลส่วนบุคคล พ.ศ 2565

เมื่อวันที่ 15 ธันวาคม 2565 ที่ผ่านมา คณะกรรมการคุ้มครองส่วนบุคคลได้เผยแพร่ประกาศฉบับใหม่ที่มีเนื้อหาเกี่ยวกับวิธีการในการแจ้งเหตุละเมิดข้อมูลส่วนบุคคล โดยมีใจความสำคัญอยู่ที่รายละเอียดและขั้นตอนที่ Data Controller ต้องปฏิบัติเมื่อเกิดเหตุละเมิด รายละเอียดที่ต้องคำนึงในการประเมินความเสี่ยง และการแจ้งเหตุละเมิดข้อมูลส่วนบุคคลแก่เจ้าของข้อมูลส่วนบุคคล รวมถึงรายละเอียดอื่นๆ ที่เป็นประโยชน์ต่อผู้ควบคุมข้อมูลส่วนบุคคล พร้อมกันนี้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ยังเผยแพร่ คู่มือแนวทางการประเมินความเสี่ยงและแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล เวอร์ชั่น 1.0 เพื่อใช้เป็นแนวทางประกอบกับประกาศฉบับล่าสุดอีกด้วย
รายละเอียดมีอะไรบ้าง เราสรุปไว้ให้แล้ว

ที่มาของประกาศใหม่

‌ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุละเมิดข้อมูลส่วนบุคคล พ.ศ 2565 ร่างขึ้นโดยอ้างอิงจาก

‌พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล มาตรา 16 (4) และ
‌พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล มาตรา 37 (4)

ความหมายของ การละเมิดข้อมูลส่วนบุคคล

‌“การละเมิดข้อมูลส่วนบุคคล” หมายถึง?
การละเมิดมาตรการรักษาความมั่นคงปลอดภัยที่ทำให้เกิดการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ ไม่ว่าจะเกิดจากเจตนา ความจงใจ ความประมาทเลินเล่อ การกระทำโดยปราศจากอำนาจหรือโดยมิชอบ การกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ภัยคุกคามทางไซเบอร์ ข้อผิดพลาดบกพร่องหรืออุบัติเหตุ หรือเหตุอื่นใด

5 ขั้นตอนเตรียมพร้อม สำหรับ Data Controller หากได้รับแจ้งข้อมูลว่า มี หรือ น่าจะมี เหตุละเมิดข้อมูลส่วนบุคคล

‌ประเมินความน่าเชื่อถือของข้อมูล และตรวจสอบข้อเท็จจริงเกี่ยวกับการละเมิด โดยตรวจสอบมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล รวมถึงการประเมินความเสี่ยงจากการละเมิดข้อมูลส่วนบุคคล
หากประเมินความเสี่ยงแล้วพบว่า การละเมิดดังกล่าวมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้ดำเนินการป้องกัน ระงับ หรือแก้ไขเพื่อให้การละเมิดดังกล่าวสิ้นสุด หรือไม่ให้การละเมิดส่งผลกระทบเพิ่มเติม โดยทันทีเท่าที่จะทำได้
เมื่อพิจารณาแล้วเห็นว่า มีเหตุอันควรเชื่อว่ามีการละเมิดเกิดขึ้นจริง ให้แจ้งเหตุดังกล่าวแก่ PDPC (ภายใน 72 ชั่วโมง) นับแต่พบเหตุละเมิด เว้นแต่เป็นกรณีไม่มีความเสี่ยง
กรณีมีความเสี่ยงสูง ต้องแจ้งเหตุละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบ พร้อมกับแนวทางการเยียวยา (โดยไม่ชักช้า)
ดำเนินการตามมาตรการที่จำเป็น เหมาะสม เพื่อระงับ ตอบสนอง แก้ไขเหตุละเมิด และป้องกันเหตุละเมิด และผลกระทบที่อาจเกิดในลักษณะเดียวกันในอนาคต รวมถึงการทบทวน security measures ให้เหมาะสม โดยคำนึงถึงระดับความเสี่ยง บริบท สภาพแวดล้อม ลักษณะการประมวลผลข้อมูลส่วนบุคคล

การประเมินความเสี่ยงสำหรับการละเมิดข้อมูลส่วนบุคคล

‌ให้ Data Controller พิจารณาจากปัจจัย ดังนี้

‌ลักษณะและประเภทของการละเมิด
ลักษณะและประเภทของข้อมูลส่วนบุคคลที่เกี่ยวข้องกับเหตุละเมิด
ปริมาณของข้อมูลที่เกี่ยวข้องกับการละเมิด โดยพิจารณาจำนวนข้อมูล จำนวนรายการที่เกี่ยวข้อง
ลักษณะ ประเภท สถานะของ Data Subject (พิจารณาว่าเป็นกลุ่มเปราะบางหรือไม่)
ความร้ายแรงของผลกระทบ และความเสียหายที่จะเกิดขึ้นกับ Data Subject และประสิทธิภาพของมาตรการป้องกัน ระงับ แก้ไขเหตุละเมิด หรือการเยียวยาความเสียหา
ผลกระทบในวงกว้างต่อธุรกิจ หรือการดำเนินการของ Data Controller หรือสาธารณะ
ลักษณะของระบบเก็บข้อมูลที่เกี่ยวกับการละเมิด และ security measures ของ Data Controller
สถานะทางกฎหมาย และขนาดของ Data Controller

รายละเอียดการแจ้งเหตุละเมิดข้อมูลส่วนบุคคล ต่อ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

การแจ้งเหตุละเมิดข้อมูลส่วนบุคคลแก่ เจ้าของข้อมูลส่วนบุคคล (Data Subject)

หาก Data Controller หรือ Data Processor ประเมินแล้วพบว่าการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น มีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิเสรีภาพของบุคคล ให้แจ้งเหตุละเมิดแก่เจ้าของข้อมูลที่ได้รับผลกระทบ (โดยไม่ชักช้า) โดยต้องมีรายละเอียดดังนี้

‌ข้อมูลโดยสังเขปเกี่ยวกับลักษณะของการละเมิดข้อมูลส่วนบุคคล
ช่องทางติดต่อ DPO หรือบุคคลที่ได้รับมอบหมายให้ประสานงาน
ผลกระทบที่อาจเกิดขึ้น
แนวทางเยียวยาความเสียหาย มาตรการที่จะป้องกัน ระงับ แก้ไขเหตุละเมิด รวมถึงข้อแนะนำเกี่ยวกับมาตรการที่ Data Subject อาจดำเนินการได้ เพื่อป้องกัน ระงับ แก้ไข เยียวยาความเสียหาย

อ่านรายละเอียด หลักเกณฑ์และวิธีการในการแจ้งเหตุละเมิด
ข้อมูลส่วนบุคคล พ.ศ 2565 ฉบับเต็มได้ที่ Link

อ่านเนื้อหา

1.แนวทางการดำเนินการในการ ขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

2.แนวทางการดำเนินการในการ แจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้ที่ Link นี้

ติดตามสรุปกฎหมายเพิ่มเติม ประกาศเพิ่มเติม หรือแนวทางเพิ่มเติมกฎหมาย PDPA ได้ที่
Facebook Fanpage: PDPA Platfrom By t-reg

Katthareeya Malasree

Content Writer Ragnar Corporation

FREE EVENT

ร่วมฟังแนวทางการยกระดับการบริหารจัดการข้อมูลส่วนบุคคลสำหรับองค์กรที่มี Data Subject จำนวนมาก เพื่อเพิ่มความน่าเชื่อถือให้กับองค์กร ด้วยไกด์ไลน์การทำ ROPA ที่เป็นหัวใจสำคัญในการสำเร็จกระบวนการ PDPA ควบคู่กับ Digital Transformation และแบ่งปันข้อมูลเชิงลึก โดยผู้เชี่ยวชาญที่มีประสบการณ์ให้คำปรึกษาด้านกระบวนการ PDPA สำเร็จแล้วกว่า 60 องค์กร และได้รับ Certificate จากสถาบันดิจิตัล (DCT) และมาตรฐานสากล ICDL หลักสูตร Personal Data Protection

t-reg knowledge

สรุปสาระสำคัญของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล!

ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ข้อมูลส่วนตัวรวมทั้งข้อมูลการใช้งานของ User ถ้าหากเก็บรวบรวมดีๆ จะมีมูลค่ามหาศาล แต่นั่นเป็นดาบสองคมที่อาจทำให้มีผู้ไม่ประสงค์ดีขโมยข้อมูลไปใช้

อ่านต่อ »

04/26/2021

t-reg knowledge

AI เพื่อการคุ้มครองข้อมูลส่วนบุคคล อนาคตด้านความปลอดภัยที่เป็นไปได้

เป็นที่รู้กันดีว่า เทคโนโลยีปัญญาประดิษฐ์ (AI) ได้รับความนิยมอย่างมากในปัจจุบัน นอกจากจะถูกนำมาประยุกต์ใช้ในธุรกิจ กิจการ กิจกรรมต่างๆ มากมายแล้ว

อ่านต่อ »

06/01/2023

t-reg knowledge

PDPA คืออะไร ?

PDPA ย่อมาจาก Personal Data Protection Act พ.ร.บ. นี้เป็นกฎหมายว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล สร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต

อ่านต่อ »

05/24/2021