การแจ้งเหตุละเมิดข้อมูลส่วนบุคคล

4 แนวคิดที่เกี่ยวข้อง · 3 มาตราอ้างอิง

สารบัญในมาตรานี้

นิยาม
ตัวอย่าง
มาตราที่เกี่ยวข้อง
ประกาศที่เกี่ยวข้อง
หมายเหตุ
แนวคิดที่เกี่ยวข้อง

นิยาม

การแจ้งเหตุละเมิดข้อมูลส่วนบุคคล คือหน้าที่ของผู้ควบคุมข้อมูลที่ต้องแจ้งเหตุการละเมิดข้อมูล (เช่น การรั่วไหล การถูกเข้าถึงโดยไม่ชอบ การสูญหาย การเปลี่ยนแปลงโดยไม่ได้รับอนุญาต) — ทั้งต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และต่อเจ้าของข้อมูลที่ได้รับผลกระทบ (ในกรณีที่มีความเสี่ยงสูง) — ภายในกรอบเวลาที่กฎหมายกำหนด

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลกำหนดข้อบังคับไว้ใน มาตรา 37 (4) — ส่วนผู้ประมวลผลข้อมูลมีหน้าที่แจ้งให้ผู้ควบคุมทราบตาม มาตรา 40 (2)

ตัวอย่าง

โครงสร้างหน้าที่แจ้งตาม มาตรา 37 (4)

ขั้นที่ 1 — แจ้งสำนักงานคณะกรรมการ (บังคับเกือบทุกกรณี):

กรอบเวลา: โดยไม่ชักช้าภายใน 72 ชั่วโมง นับแต่ทราบเหตุ — เท่าที่จะสามารถกระทำได้
ข้อยกเว้น: ไม่ต้องแจ้งหากการละเมิด "ไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล"

ขั้นที่ 2 — แจ้งเจ้าของข้อมูล (เฉพาะกรณีความเสี่ยงสูง):

เงื่อนไข: เมื่อการละเมิดมี "ความเสี่ยงสูง" ที่จะกระทบสิทธิและเสรีภาพ
กรอบเวลา: โดยไม่ชักช้า (ไม่กำหนดชั่วโมงตายตัวเหมือนการแจ้งสำนักงาน)
เนื้อหา: แจ้งเหตุการละเมิด + แนวทางการเยียวยา

หลักเกณฑ์และวิธีการ: ตามที่คณะกรรมการประกาศกำหนด (มาตรา 37 (4) วรรคท้าย)

ตัวอย่างเหตุละเมิดข้อมูล

เหตุที่ต้องแจ้งสำนักงานและเจ้าของข้อมูล (ความเสี่ยงสูง):

การรั่วไหลของฐานข้อมูลลูกค้า ที่รวมเลขประจำตัวประชาชน ที่อยู่ และเลขบัตรเครดิต — เสี่ยงต่อการฉ้อโกงและการขโมยอัตลักษณ์
การถูกขโมยข้อมูลผู้ป่วย จากระบบของโรงพยาบาล — ข้อมูลอ่อนไหวรั่วไหล
พนักงานเข้าถึงข้อมูลลูกค้าโดยไม่มีอำนาจ + เปิดเผยต่อบุคคลภายนอก
ระบบถูกโจมตีโดยซอฟต์แวร์เรียกค่าไถ่ และข้อมูลถูกเข้ารหัสจนเข้าถึงไม่ได้

เหตุที่ต้องแจ้งสำนักงานเท่านั้น (ไม่ใช่ความเสี่ยงสูง):

การรั่วไหลของรายชื่อสมาชิกข่าวสารทางอีเมล ที่ไม่มีข้อมูลทางการเงินหรืออ่อนไหว — อาจสร้างความรำคาญแต่ไม่กระทบสิทธิอย่างสำคัญ
อีเมลส่งผิดที่อยู่ ในจำนวนเล็กน้อยที่ไม่มีข้อมูลอ่อนไหว

เหตุที่อาจไม่ต้องแจ้ง (ไม่มีความเสี่ยง):

ข้อมูลที่ถูกเข้ารหัสด้วยมาตรการที่แข็งแกร่งและคีย์ไม่ถูกขโมย + แม้เซิร์ฟเวอร์ถูกบุกรุก ผู้บุกรุกอ่านข้อมูลไม่ได้
การสูญหายของอุปกรณ์ที่มีข้อมูลที่ถูกลบหรือเข้ารหัสไว้ก่อน

ตัวอย่างเนื้อหาการแจ้งเจ้าของข้อมูล (กรณีความเสี่ยงสูง)

ผู้ควบคุมควรแจ้ง:

คำอธิบายเหตุการละเมิด — เกิดอะไรขึ้น เมื่อใด
ประเภทของข้อมูลที่ได้รับผลกระทบ — เช่น ชื่อ ที่อยู่ เลขประจำตัวประชาชน ข้อมูลทางการเงิน ข้อมูลอ่อนไหว
ผลกระทบที่อาจเกิดขึ้น — เช่น การฉ้อโกง การขโมยอัตลักษณ์ การถูกเลือกปฏิบัติ
มาตรการที่ผู้ควบคุมได้ดำเนินการแล้ว — เช่น การปิดระบบที่ถูกบุกรุก การแจ้งความ การปรับปรุงระบบ
มาตรการเยียวยาที่แนะนำให้เจ้าของข้อมูลทำ — เช่น เปลี่ยนรหัสผ่าน ติดตามรายการธุรกรรมในบัญชี ระงับบัตรเครดิตชั่วคราว
ช่องทางติดต่อ DPO หรือผู้รับผิดชอบ สำหรับคำถามเพิ่มเติม

ผู้ประมวลผลตาม มาตรา 40 (2)

ผู้ประมวลผลข้อมูลที่ทราบเหตุการละเมิดต้องแจ้ง ผู้ควบคุม (ไม่ใช่สำนักงานหรือเจ้าของข้อมูลโดยตรง) — ผู้ควบคุมเป็นผู้รับผิดชอบในการประเมินและแจ้งสำนักงาน/เจ้าของข้อมูลตาม มาตรา 37 (4) ต่อไป

มาตราที่เกี่ยวข้อง

บทบัญญัติหลัก:

มาตรา 37 — ⭐ มาตราหลัก: (4) หน้าที่ผู้ควบคุมในการแจ้งสำนักงาน 72 ชั่วโมง + แจ้งเจ้าของข้อมูลกรณีความเสี่ยงสูง + แนวทางเยียวยา
มาตรา 40 (2) — หน้าที่ผู้ประมวลผลในการแจ้งผู้ควบคุมเมื่อทราบเหตุการละเมิด

กลไกการบังคับใช้:

มาตรา 71 — สิทธิร้องเรียนของเจ้าของข้อมูลในกรณีที่ผู้ควบคุมไม่แจ้งเหตุละเมิด หรือไม่จัดให้มีการเยียวยาที่เหมาะสม

ประกาศที่เกี่ยวข้อง

หมายเหตุ

"72 ชั่วโมง" คือเพดานทั่วไป: กรอบเวลา 72 ชั่วโมงเริ่มนับตั้งแต่ผู้ควบคุม "ทราบเหตุ" ไม่ใช่ตั้งแต่เหตุเกิด — สำคัญที่ผู้ควบคุมต้องมีกลไกตรวจจับและรายงานเหตุภายในองค์กรที่มีประสิทธิภาพ
"ความเสี่ยงสูง" ขึ้นกับการประเมิน: ผู้ควบคุมต้องประเมินทุกกรณี — ปัจจัยที่พิจารณา: ประเภทของข้อมูล (อ่อนไหวหรือไม่) จำนวนเจ้าของข้อมูลที่ได้รับผลกระทบ ผลกระทบที่อาจเกิดขึ้น (การเงิน อัตลักษณ์ ความเป็นส่วนตัว ฯลฯ) มาตรการเทคนิคที่ใช้ป้องกัน (เช่น การเข้ารหัส)
การแจ้งเป็นชั้น: มาตรา 37 (4) ออกแบบเป็น 2 ชั้น — แจ้งสำนักงาน (เกือบทุกกรณีที่มีความเสี่ยง) → แจ้งเจ้าของข้อมูล (เฉพาะกรณีความเสี่ยงสูง) — สมเหตุสมผลกับภาระและประโยชน์
เทียบกับ GDPR Art. 33-34: สอดคล้องกับ GDPR ที่กำหนด 72 ชั่วโมงเหมือนกัน — GDPR Art. 33 = แจ้งสำนักงานกำกับ + GDPR Art. 34 = แจ้งเจ้าของข้อมูลกรณีความเสี่ยงสูง — เกือบสมมาตร 1:1
บทบาทของ DPO: DPO ตาม มาตรา 41 มีบทบาทสำคัญในการประสานงานการแจ้งเหตุละเมิด — เป็นจุดติดต่อสำนักงานและเจ้าของข้อมูล + ให้คำแนะนำในการประเมินความเสี่ยง
การไม่แจ้ง = โทษทางปกครอง: การไม่ปฏิบัติตาม มาตรา 37 (4) เข้าข่ายโทษทางปกครองตามบทกำหนดโทษในหมวด 7 — โดยเฉพาะ มาตรา 83 หรือ มาตรา 87 ขึ้นกับเนื้อหา
เอกสารการแจ้งเป็นหลักฐาน: ผู้ควบคุมควรเก็บเอกสารการแจ้ง + การประเมินความเสี่ยง + การตัดสินใจไม่แจ้ง (กรณีเข้าข้อยกเว้น) ไว้ใน ROPA ตาม มาตรา 39 เป็นหลักฐานการปฏิบัติตาม พ.ร.บ.