เมื่อวันที่ 15 ธันวาคม 2565 ที่ผ่านมา คณะกรรมการคุ้มครองส่วนบุคคลได้เผยแพร่ประกาศฉบับใหม่ที่มีเนื้อหาเกี่ยวกับวิธีการในการแจ้งเหตุละเมิดข้อมูลส่วนบุคคล โดยมีใจความสำคัญอยู่ที่รายละเอียดและขั้นตอนที่ Data Controller ต้องปฏิบัติเมื่อเกิดเหตุละเมิด รายละเอียดที่ต้องคำนึงในการประเมินความเสี่ยง และการแจ้งเหตุละเมิดข้อมูลส่วนบุคคลแก่เจ้าของข้อมูลส่วนบุคคล รวมถึงรายละเอียดอื่นๆ ที่เป็นประโยชน์ต่อผู้ควบคุมข้อมูลส่วนบุคคล พร้อมกันนี้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ยังเผยแพร่ คู่มือแนวทางการประเมินความเสี่ยงและแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล เวอร์ชั่น 1.0 เพื่อใช้เป็นแนวทางประกอบกับประกาศฉบับล่าสุดอีกด้วย
รายละเอียดมีอะไรบ้าง เราสรุปไว้ให้แล้ว
ที่มาของประกาศใหม่
ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุละเมิดข้อมูลส่วนบุคคล พ.ศ 2565 ร่างขึ้นโดยอ้างอิงจาก
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล มาตรา 16 (4) และ
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล มาตรา 37 (4)
ความหมายของ การละเมิดข้อมูลส่วนบุคคล
“การละเมิดข้อมูลส่วนบุคคล” หมายถึง?
การละเมิดมาตรการรักษาความมั่นคงปลอดภัยที่ทำให้เกิดการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ ไม่ว่าจะเกิดจากเจตนา ความจงใจ ความประมาทเลินเล่อ การกระทำโดยปราศจากอำนาจหรือโดยมิชอบ การกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ภัยคุกคามทางไซเบอร์ ข้อผิดพลาดบกพร่องหรืออุบัติเหตุ หรือเหตุอื่นใด

5 ขั้นตอนเตรียมพร้อม สำหรับ Data Controller หากได้รับแจ้งข้อมูลว่า มี หรือ น่าจะมี เหตุละเมิดข้อมูลส่วนบุคคล
- ประเมินความน่าเชื่อถือของข้อมูล และตรวจสอบข้อเท็จจริงเกี่ยวกับการละเมิด โดยตรวจสอบมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล รวมถึงการประเมินความเสี่ยงจากการละเมิดข้อมูลส่วนบุคคล
- หากประเมินความเสี่ยงแล้วพบว่า การละเมิดดังกล่าวมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้ดำเนินการป้องกัน ระงับ หรือแก้ไขเพื่อให้การละเมิดดังกล่าวสิ้นสุด หรือไม่ให้การละเมิดส่งผลกระทบเพิ่มเติม โดยทันทีเท่าที่จะทำได้
- เมื่อพิจารณาแล้วเห็นว่า มีเหตุอันควรเชื่อว่ามีการละเมิดเกิดขึ้นจริง ให้แจ้งเหตุดังกล่าวแก่ PDPC (ภายใน 72 ชั่วโมง) นับแต่พบเหตุละเมิด เว้นแต่เป็นกรณีไม่มีความเสี่ยง
- กรณีมีความเสี่ยงสูง ต้องแจ้งเหตุละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบ พร้อมกับแนวทางการเยียวยา (โดยไม่ชักช้า)
- ดำเนินการตามมาตรการที่จำเป็น เหมาะสม เพื่อระงับ ตอบสนอง แก้ไขเหตุละเมิด และป้องกันเหตุละเมิด และผลกระทบที่อาจเกิดในลักษณะเดียวกันในอนาคต รวมถึงการทบทวน security measures ให้เหมาะสม โดยคำนึงถึงระดับความเสี่ยง บริบท สภาพแวดล้อม ลักษณะการประมวลผลข้อมูลส่วนบุคคล
การประเมินความเสี่ยงสำหรับการละเมิดข้อมูลส่วนบุคคล
ให้ Data Controller พิจารณาจากปัจจัย ดังนี้
- ลักษณะและประเภทของการละเมิด
- ลักษณะและประเภทของข้อมูลส่วนบุคคลที่เกี่ยวข้องกับเหตุละเมิด
- ปริมาณของข้อมูลที่เกี่ยวข้องกับการละเมิด โดยพิจารณาจำนวนข้อมูล จำนวนรายการที่เกี่ยวข้อง
- ลักษณะ ประเภท สถานะของ Data Subject (พิจารณาว่าเป็นกลุ่มเปราะบางหรือไม่)
- ความร้ายแรงของผลกระทบ และความเสียหายที่จะเกิดขึ้นกับ Data Subject และประสิทธิภาพของมาตรการป้องกัน ระงับ แก้ไขเหตุละเมิด หรือการเยียวยาความเสียหา
- ผลกระทบในวงกว้างต่อธุรกิจ หรือการดำเนินการของ Data Controller หรือสาธารณะ
- ลักษณะของระบบเก็บข้อมูลที่เกี่ยวกับการละเมิด และ security measures ของ Data Controller
- สถานะทางกฎหมาย และขนาดของ Data Controller
รายละเอียดการแจ้งเหตุละเมิดข้อมูลส่วนบุคคล ต่อ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

การแจ้งเหตุละเมิดข้อมูลส่วนบุคคลแก่ เจ้าของข้อมูลส่วนบุคคล (Data Subject)
หาก Data Controller หรือ Data Processor ประเมินแล้วพบว่าการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น มีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิเสรีภาพของบุคคล ให้แจ้งเหตุละเมิดแก่เจ้าของข้อมูลที่ได้รับผลกระทบ (โดยไม่ชักช้า) โดยต้องมีรายละเอียดดังนี้
- ข้อมูลโดยสังเขปเกี่ยวกับลักษณะของการละเมิดข้อมูลส่วนบุคคล
- ช่องทางติดต่อ DPO หรือบุคคลที่ได้รับมอบหมายให้ประสานงาน
- ผลกระทบที่อาจเกิดขึ้น
- แนวทางเยียวยาความเสียหาย มาตรการที่จะป้องกัน ระงับ แก้ไขเหตุละเมิด รวมถึงข้อแนะนำเกี่ยวกับมาตรการที่ Data Subject อาจดำเนินการได้ เพื่อป้องกัน ระงับ แก้ไข เยียวยาความเสียหาย

อ่านรายละเอียด หลักเกณฑ์และวิธีการในการแจ้งเหตุละเมิด
ข้อมูลส่วนบุคคล พ.ศ 2565 ฉบับเต็มได้ที่ Link
อ่านเนื้อหา
1.แนวทางการดำเนินการในการ ขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
2.แนวทางการดำเนินการในการ แจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้ที่ Link นี้
ติดตามสรุปกฎหมายเพิ่มเติม ประกาศเพิ่มเติม หรือแนวทางเพิ่มเติมกฎหมาย PDPA ได้ที่
Facebook Fanpage: PDPA Platfrom By t-reg