นโยบายการรับมือข้อมูลส่วนบุคคลรั่วไหล

การดำเนินงานเมื่อเกิดเหตุการณ์การรั่วไหลของข้อมูลส่วนบุคคล (Personal Data Breach)

การรั่วไหลของข้อมูลส่วนบุคคล หมายถึง การที่ข้อมูลส่วนบุคคลถูกทำลาย การสูญหาย การแก้ไขเปลี่ยนแปลง การเปิดเผย หรือการเข้าถึง ส่งต่อ เก็บ รักษาหรือถูกประมวลผลอย่างอื่นไม่ว่าจะเกิดจากการกระทำอันมิชอบด้วยกฎหมายหรือโดยอุบัติเหตุ

ในกรณีที่มีการรั่วไหลของข้อมูลส่วนบุคคลเกิดขึ้นภายในบริษัท ผู้ที่ทราบเหตุจะต้องมีการแจ้งมายังเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลโดยเร็วที่สุด เพื่อที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจะทำการตรวจสอบถึงสาเหตุที่มาและระบุจุดต้นเหตุของการรั่วไหล รวมทั้งออกมาตรการเยียวยาเหตุการณ์รั่วไหลของข้อมูล พร้อมทั้งแจ้งแก่เจ้าของข้อมูลส่วนบุคคลและ/หรือสำนักงานคุ้มครองข้อมูลส่วนบุคคลตามที่กฎหมายกำหนดโดยเร็ว

วัตถุประสงค์

นโยบายนี้มีจุดมุ่งหมายเพื่อกำหนดแนวทางการดำเนินการเมื่อเกิดเหตุการณ์ข้อมูลส่วนบุคคลรั่วไหล เพื่อให้สามารถควบคุม ป้องกัน และลดผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลได้อย่างมีประสิทธิภาพ และสอดคล้องกับข้อกำหนดตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)

ขอบเขต

นโยบายนี้มีผลบังคับใช้กับพนักงานทุกคนภายในองค์กร รวมถึงผู้ให้บริการภายนอกที่เข้ามาดำเนินการประมวลผลข้อมูลส่วนบุคคลในนามขององค์กร

การป้องกันการรั่วไหลของข้อมูลส่วนบุคคล

องค์กรจะจัดให้มีการเข้ารหัสข้อมูล (Encryption) สำหรับข้อมูลส่วนบุคคลที่จัดเก็บในระบบ
จำกัดสิทธิ์การเข้าถึงข้อมูลส่วนบุคคลเฉพาะพนักงานที่จำเป็นต้องใช้ข้อมูลเท่านั้น
พนักงานทุกคนต้องผ่านการฝึกอบรมด้านการคุ้มครองข้อมูลส่วนบุคคลเป็นประจำทุกปี

ขั้นตอนการดำเนินงานเมื่อเกิดเหตุการณ์การรั่วไหลของข้อมูลส่วนบุคคล

ผู้ที่ทราบเหตุ ให้แจ้งคณะทำงานคุ้มครองข้อมูลส่วนบุคคล หรือผู้ที่เกี่ยวข้อง โดยกรอกรายละเอียดใน “แบบฟอร์มการแจ้งเหตุละเมิดของข้อมูลส่วนบุคคล”
คณะทำงานคุ้มครองข้อมูลส่วนบุคคล หรือผู้ที่เกี่ยวข้อง ทำการตรวจสอบสาเหตุ ที่มา ระบุจุดต้นเหตุของการรั่วไหล กำหนดมาตรการเยียวยา
คณะทำงานคุ้มครองข้อมูลส่วนบุคคล หรือผู้ที่เกี่ยวข้อง ทำการจดบันทึกการรั่วไหล และประเมินความเสี่ยง โดยจำแนกความเสี่ยงและดำเนินการตามประเภท ดังนี้

ไม่มีความเสี่ยง

จดบันทึกการรั่วไหล
รายงานต่อแผนก หรือส่วนงานที่เก็บรักษาข้อมูลส่วนบุคคลนั้นๆ

มีความเสี่ยงแต่ไม่มาก

จดบันทึกการรั่วไหล
รายงานต่อแผนก หรือส่วนงานที่เก็บรักษาข้อมูลส่วนบุคคลนั้นๆ (ภายใน 72 ชั่วโมง นับจากทราบเหตุการณ์)
แจ้งต่อ สคส. (ภายใน 72 ชั่วโมง นับจากทราบเหตุการณ์)

มีความเสี่ยงสูง

จดบันทึกการรั่วไหล
รายงานต่อแผนก หรือส่วนงานที่เก็บรักษาข้อมูลส่วนบุคคลนั้นๆ (ภายใน 72 ชั่วโมง นับจากทราบเหตุการณ์)
แจ้งต่อ สคส. (ภายใน 72 ชั่วโมง นับจากทราบเหตุการณ์)
แจ้งเจ้าของข้อมูลส่วนบุคคล (ภายใน 72 ชั่วโมง นับจากทราบเหตุการณ์)

ซึ่งรายการที่ต้องแจ้งต่อ สคส. และเจ้าของข้อมูลส่วนบุคคล มีดังนี้

รายการที่ต้องแจ้งต่อ สคส.

รายการที่ต้องแจ้งต่อเจ้าของข้อมูลส่วนบุคคล

1. คำอธิบายลักษณะของการรั่วไหลของข้อมูล ประเภทของข้อมูล และจำนวนเจ้าของข้อมูลส่วนบุคคลที่ได้รับผลกระทบ โดยประมาณ และปริมาณข้อมูลที่เกี่ยวข้อง

2. ประเภทเจ้าของข้อมูลส่วนบุคคล และประเภทของข้อมูลส่วน บุคคล

3. วิธีการติดต่อของคณะทำงานคุ้มครองข้อมูลส่วนบุคคลของบริษัท

4. คำอธิบายผลที่อาจจะเกิดขึ้นได้จากเหตุการณ์ดังกล่าว

5. คำอธิบายขั้นตอนกระบวนการในการรับมือเหตุการณ์ดังกล่าวเพื่อ
ลดหรือป้องกันผลร้ายที่อาจจะเกิดขึ้น

6. รายละเอียดอื่น ๆ เพิ่มเติมตามความเหมาะสม

1. คำอธิบายลักษณะของการรั่วไหลของข้อมูลส่วนบุคคล

2. วิธีการติดต่อคณะทำงานคุ้มครองข้อมูลส่วนบุคคลของบริษัท

3. ผลที่อาจจะเกิดขึ้นจากการที่ข้อมูลส่วนบุคคลรั่วไหล ซึ่งรวมถึง ความเสี่ยง ต่อเจ้าของข้อมูลส่วนบุคคล
4. มาตรการที่เสนอแนะหรือแนวทางเยียวยาให้เจ้าของข้อมูลส่วน บุคคลกระทำเพื่อรับมือกับกรณีดังกล่าว ซึ่งอาจจะลดผลร้ายที่ เกิดจากการมีข้อมูลส่วนบุคคลรั่วไหลได้

หน้าที่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลตามกฎหมาย

ผู้รับหน้าที่แจ้ง	แจ้งใคร	เงื่อนไขเวลา เงื่อนไขในการแจ้ง และหน้าที่ที่ตามกฎหมาย
ผู้ควบคุมข้อมูลส่วนบุคคล	สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)	– โดยไม่ชักช้าภายใน 72 ชั่วโมงนับแต่ทราบเหตุ กรณีที่มีความเสี่ยงที่อาจมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล – ต้องทบทวนมาตรการรักษาความมั่นคงปลอดภัย (ประกาศฯ ข้อ 5.)
ผู้ควบคุมข้อมูลส่วนบุคคล	เจ้าของข้อมูลส่วนบุคคล	– โดยไม่ชักช้า – แจ้งกรณีที่มีความเสี่ยงสูงส่งผลกระทบต่อเจ้าของข้อมูล – ต้องทบทวนมาตรการรักษาความมั่นคงปลอดภัย (ประกาศฯ ข้อ 5.)

นโยบายการรับมือข้อมูลส่วนบุคคลรั่วไหล

บริการของเรา

ติดตามความเคลื่อนไหว