Facebook Line X-twitter-square Linkedin Youtube

PDPA Thailand | ผู้เชี่ยวชาญด้าน PDPA

Call Us: 02-029-0707

(Mon - Friday) 9.00 - 17.30 น.

Mail us for help:

pdpa@dbcgroup.asia

ระบบการเรียนรู้ออนไลน์

PDPA Thailand e-Learning

ขอรับคำปรึกษา
pdpathailandpdpathailandpdpathailand
หนังสือแจ้งเหตุ PDPA
  • September 29, 2022

การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล  ถือเป็นประเด็นที่ต้องพิจารณาทางกฎหมายหลายประการ โดยมีการกำหนดจากการเริ่มนับระยะเวลา 72 ชั่วโมง เนื่องจากองค์กรอาจมีความรับผิดทางกฎหมายหากไม่แจ้งภายในระยะเวลาที่กฎหมายพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด

ซึ่งในมาตรา มาตรา 37(4)  มีการเขียนไว้ว่า การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานโดยไม่ชักช้าภายใน72 ชั่วโมง  “ นับแต่ทราบเหตุ” เท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล 

หากกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย ทั้งนี้ การแจ้งดังกล่าวและข้อยกเว้นให้เป็นไปตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด ดังนั้นจุดเริ่มต้นสำคัญที่สุดของการเริ่มนับระยะเวลา คือ “นับแต่ทราบเหตุ” (become aware)

ผู้ควบคุมข้อมูลส่วนบุคคล หากมีการพิจารณาแล้วว่าเหตุการณ์ข้อมูลรั่วไหลที่เกิดขึ้น (security incident) มีผลทำให้ข้อมูลส่วนบุคคลถูกละเมิด ดังนั้น สิ่งแรกที่องค์กรต้องทำการประเมินก่อน คือ อธิบายผลของเหตุการณ์ข้อมูลรั่วไหลนั้นได้ส่งผลกระทบต่อความเสี่ยง หรือความไม่มั่นคงปลอดภัยของข้อมูลส่วนบุคคลหรือไม่ 

หนังสือแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล มีรายละเอียดดังต่อไปนี้ 

  • รายละเอียดของเหตุ ละเมิดข้อมูลส่วนบุคคล

ระบุรายละเอียดเหตุการณ์ที่เป็นภัยคุกคามข้อมูลส่วนบุคคล ที่มีความเสี่ยงที่จะละเมิดสิทธิเสรีภาพของบุคคล เช่น

    1.  ฐานข้อมูลขององค์กรถูกโจมตีและเข้าถึงโดยมิชอบ
    2. เอกสาร ที่มีการเขียนข้อมูลส่วนบุคคลของลูกค้าถูกโจรกรรม
  • วันเวลาที่ทราบเหตุ 
  • ผู้ที่รายงานเหตุให้ทราบ ระบุชื่อผู้ที่แจ้ง/พบเหตุการณ์ เป็นคนแรก
  • รายการข้อมูลส่วนบุคคลที่ได้รับผลกระทบ
    1. ชื่อ-นามสกุล
    2. อีเมล
    3. ประวัติสุขภาพ
  • รูปแบบผลกระทบ ที่เกิดขึ้นกับข้อมูลส่วนบุคคล 
  • จำนวนเจ้าของข้อมูลส่วนบุคคลที่ได้รับผลกระทบ
  • มาตรการตอบสนองเพื่อหยุดยั้งเหตุละเมิดข้อมูล ระบุมาตรการ/การดำเนินการเพื่อหยุดยั้งเหตุภัยคุกคาม เช่น ระงับการใช้งานระบบทันทีที่ทราบเหตุ เป็นต้น
  • การแจ้งเหตุต่อเจ้าของข้อมูลส่วนบุคคล (เฉพาะกรณีมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพ ของบุคคล) ระบุการดำเนินการขององค์กร ในการแจ้งเหตุแก่เจ้าของข้อมูลส่วนบุคคล  พร้อมมาตรการเยียวยา เช่น สำนักงานได้ส่งหนังสือแจ้งเหตุดังกล่าวแก่เจ้าของข้อมูลส่วนบุคคลที่อาจได้รับผลกระทบทางอีเมล โดยได้แนบ link เพื่อให้เจ้าของข้อมูลทำการเปลี่ยนแปลงรหัสผ่านเข้าระบบทันที
  • ช่องทางการติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
    1. ชื่อ-นามสกุล
    2. สถานที่ติดต่อ
    3. ช่องทางการติดต่อ
เหตุละเมิดข้อมูลส่วนบุคคล
ฐานประโยชน์อันชอบธรรม (Legitimate interest) ใช้อย่างไร ตามกฎหมาย PDPA ?
รวม Case เจ็บหนัก ! จากกฎหมาย GDPR สถาบันการศึกษาไทยต้องรู้ก่อนถูกปรับจาก PDPA

Archives

Categories

We understand the importance of approaching each work integrally and believe in the power of simple.

At vero eos et accusamus et iusto odio digni goikussimos ducimus qui to bonfo blanditiis praese. Ntium voluum deleniti atque.

Melbourne, Australia
(Sat - Thursday)
(10am - 05 pm)
Contact us
Melbourne, Australia
(Sat - Thursday)
(10am - 05 pm)
Contact us