การดำเนินงานเมื่อเกิดเหตุการณ์การรั่วไหลของข้อมูลส่วนบุคคล (Personal Data Breach)
การรั่วไหลของข้อมูลส่วนบุคคล หมายถึง การที่ข้อมูลส่วนบุคคลถูกทำลาย การสูญหาย การแก้ไขเปลี่ยนแปลง การเปิดเผย หรือการเข้าถึง ส่งต่อ เก็บ รักษาหรือถูกประมวลผลอย่างอื่นไม่ว่าจะเกิดจากการกระทำอันมิชอบด้วยกฎหมายหรือโดยอุบัติเหตุ
ในกรณีที่มีการรั่วไหลของข้อมูลส่วนบุคคลเกิดขึ้นภายในบริษัท ผู้ที่ทราบเหตุจะต้องมีการแจ้งมายังเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลโดยเร็วที่สุด เพื่อที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจะทำการตรวจสอบถึงสาเหตุที่มาและระบุจุดต้นเหตุของการรั่วไหล รวมทั้งออกมาตรการเยียวยาเหตุการณ์รั่วไหลของข้อมูล พร้อมทั้งแจ้งแก่เจ้าของข้อมูลส่วนบุคคลและ/หรือสำนักงานคุ้มครองข้อมูลส่วนบุคคลตามที่กฎหมายกำหนดโดยเร็ว
วัตถุประสงค์
นโยบายนี้มีจุดมุ่งหมายเพื่อกำหนดแนวทางการดำเนินการเมื่อเกิดเหตุการณ์ข้อมูลส่วนบุคคลรั่วไหล เพื่อให้สามารถควบคุม ป้องกัน และลดผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลได้อย่างมีประสิทธิภาพ และสอดคล้องกับข้อกำหนดตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)
ขอบเขต
นโยบายนี้มีผลบังคับใช้กับพนักงานทุกคนภายในองค์กร รวมถึงผู้ให้บริการภายนอกที่เข้ามาดำเนินการประมวลผลข้อมูลส่วนบุคคลในนามขององค์กร
การป้องกันการรั่วไหลของข้อมูลส่วนบุคคล
ขั้นตอนการดำเนินงานเมื่อเกิดเหตุการณ์การรั่วไหลของข้อมูลส่วนบุคคล
ซึ่งรายการที่ต้องแจ้งต่อ สคส. และเจ้าของข้อมูลส่วนบุคคล มีดังนี้
รายการที่ต้องแจ้งต่อ สคส. | รายการที่ต้องแจ้งต่อเจ้าของข้อมูลส่วนบุคคล |
1. คำอธิบายลักษณะของการรั่วไหลของข้อมูล ประเภทของข้อมูล และจำนวนเจ้าของข้อมูลส่วนบุคคลที่ได้รับผลกระทบ โดยประมาณ และปริมาณข้อมูลที่เกี่ยวข้อง 2. ประเภทเจ้าของข้อมูลส่วนบุคคล และประเภทของข้อมูลส่วน บุคคล 3. วิธีการติดต่อของคณะทำงานคุ้มครองข้อมูลส่วนบุคคลของบริษัท 4. คำอธิบายผลที่อาจจะเกิดขึ้นได้จากเหตุการณ์ดังกล่าว 5. คำอธิบายขั้นตอนกระบวนการในการรับมือเหตุการณ์ดังกล่าวเพื่อ 6. รายละเอียดอื่น ๆ เพิ่มเติมตามความเหมาะสม | 1. คำอธิบายลักษณะของการรั่วไหลของข้อมูลส่วนบุคคล 2. วิธีการติดต่อคณะทำงานคุ้มครองข้อมูลส่วนบุคคลของบริษัท 3. ผลที่อาจจะเกิดขึ้นจากการที่ข้อมูลส่วนบุคคลรั่วไหล ซึ่งรวมถึง ความเสี่ยง ต่อเจ้าของข้อมูลส่วนบุคคล |
หน้าที่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลตามกฎหมาย
ผู้รับหน้าที่แจ้ง | แจ้งใคร | เงื่อนไขเวลา เงื่อนไขในการแจ้ง และหน้าที่ที่ตามกฎหมาย |
ผู้ควบคุมข้อมูลส่วนบุคคล | สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) | – โดยไม่ชักช้าภายใน 72 ชั่วโมงนับแต่ทราบเหตุ กรณีที่มีความเสี่ยงที่อาจมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล |
ผู้ควบคุมข้อมูลส่วนบุคคล | เจ้าของข้อมูลส่วนบุคคล | – โดยไม่ชักช้า |
We will contact you as soon as possible.