หน้าหลัก

ข้อหารือที่ 17/2567 — บริษัท X (การแจ้งเหตุละเมิดข้อมูลส่วนบุคคล 72 ชม.)

1 มาตราอ้างอิง
สารบัญในมาตรานี้
  1. ข้อกฎหมาย
  2. ข้อหารือ
  3. ความเห็น
  4. เอกสารต้นฉบับ

ข้อกฎหมาย

  1. พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 37 (4)
  2. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุ การละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565 ข้อ 5 ข้อ 6 ข้อ 7 ข้อ 9 และข้อ 12

ข้อหารือ

บริษัท X แจ้งว่า ตามที่ มาตรา 37 (4) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุ การละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565 กำหนดหน้าที่เกี่ยวกับการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล ต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ("สคส.") ไว้ บริษัท X จึงขอสอบถามความชัดเจนของ กฎหมายเพิ่มเติม ดังนี้

  1. การละเมิดข้อมูลส่วนบุคคลในกรณีไม่มีความเสี่ยงที่จะกระทบสิทธิและเสรีภาพของประชาชน 1.1 ผู้ควบคุมข้อมูลส่วนบุคคลไม่มีหน้าที่ต้องแจ้งการละเมิดข้อมูลส่วนบุคคลต่อ สคส. ใช่หรือไม่ 1.2 การให้รายละเอียดหรือเอกสารเพิ่มเติมตามข้อ 9 วรรคสอง ของประกาศดังกล่าว จะเกิดขึ้นเมื่อมีการร้องขอโดย สคส. เท่านั้นใช่หรือไม่ 1.3 หากปรากฏว่าผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งการละเมิดข้อมูลส่วนบุคคลตามข้อ 1.1 ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งเมื่อใด และหากไม่แจ้งหรือแจ้งเกินกำหนดเวลา จะมีโทษอย่างไรบ้าง
  2. การนับระยะเวลาการแจ้งการละเมิดข้อมูลส่วนบุคคล 72 ชั่วโมง เริ่มขึ้นเมื่อนับแต่ยืนยันได้ว่า มีเหตุอันควรเชื่อที่เป็นไปตามความหมายของ "การละเมิดข้อมูลส่วนบุคคล" แต่ไม่รวมถึงขั้นตอนการตรวจสอบ เพิ่มเติมโดยละเอียดและจัดให้มีการระงับผลกระทบของเหตุการละเมิดข้อมูลส่วนบุคคล ใช่หรือไม่

ความเห็น

คณะอนุกรรมการตอบข้อหารือและให้คำแนะนำในการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครอง ข้อมูลส่วนบุคคล ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้พิจารณาข้อหารือดังกล่าวแล้ว มีความเห็น ดังนี้ ประเด็นตามข้อหารือที่ 1.1 เห็นว่า มาตรา 37 (4) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และข้อ 5 (3) ของประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการ ในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565 ("ประกาศฯ") กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคล มีหน้าที่ต้องแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่ สคส. โดยไม่ชักช้าภายใน 72 ชั่วโมงนับแต่ทราบเหตุเท่าที่จะ สามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ดังนั้น เมื่อผู้ควบคุมข้อมูลส่วนบุคคลประเมินความเสี่ยงตามหลักเกณฑ์ที่กำหนดไว้ในข้อ 12 ของประกาศดังกล่าวแล้ว หากเห็นว่าไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจะไม่มีหน้าที่ แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลดังกล่าวต่อ สคส. ประเด็นตามข้อหารือที่ 1.2 เห็นว่า เมื่อผู้ควบคุมข้อมูลส่วนบุคคลได้รับแจ้งข้อมูลในเบื้องต้น จากผู้ใด หรือทราบเองว่ามีหรือน่าจะมีเหตุการละเมิดข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการ ประเมินความน่าเชื่อถือของข้อมูลดังกล่าว และตรวจสอบข้อเท็จจริงเกี่ยวกับการละเมิดข้อมูลส่วนบุคคล ในเบื้องต้นโดยไม่ชักช้าเท่าที่จะสามารถกระทำได้ ว่ามีเหตุอันควรเชื่อได้ว่ามีการละเมิดข้อมูลส่วนบุคคลหรือไม่ จากนั้นจึงดำเนินการตามขั้นตอนที่กำหนดไว้ในข้อ 5 ของประกาศฯ โดยหากเห็นว่าเป็นกรณีที่ไม่มีความเสี่ยงที่จะมี ผลกระทบต่อสิทธิและเสรีภาพของบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลย่อมไม่มีหน้าที่แจ้งเหตุการละเมิดข้อมูล ส่วนบุคคลแก่ สคส. หรือให้ข้อมูลหรือส่งเอกสารที่เกี่ยวข้องให้กับ สคส. โดยตรง แต่ผู้ควบคุมข้อมูลส่วนบุคคล ควรเก็บรักษาข้อมูลและเอกสารต่าง ๆ ที่เกี่ยวข้องกับการประเมินความน่าเชื่อถือและการตรวจสอบข้อเท็จจริง และการประเมินความเสี่ยงเกี่ยวกับการละเมิดข้อมูลส่วนบุคคลนั้นไว้เป็นหลักฐานอ้างอิงไว้ เพราะหากมีกรณี ร้องเรียนที่เกี่ยวข้อง หรือกรณีได้รับแจ้งจากคณะกรรมการผู้เชี่ยวชาญหรือพนักงานเจ้าหน้าที่ให้มาให้ข้อมูลหรือ ส่งเอกสารหรือหลักฐาน หรือขอตรวจสอบและรวบรวมข้อเท็จจริง เนื่องจากในการอ้างยกข้อยกเว้นการแจ้ง เหตุการละเมิดข้อมูลส่วนบุคคล เนื่องจากไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคลตาม ข้อ 9 วรรคหนึ่ง ของประกาศฯ ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ให้ข้อมูลหรือส่งเอกสารหรือหลักฐานเกี่ยวกับ เหตุที่ควรได้รับการยกเว้นดังกล่าว ซึ่งรวมถึงรายละเอียดเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยของข้อมูล ส่วนบุคคลหรือข้อมูลอื่นใด ให้ สคส. พิจารณาตรวจสอบตามข้อ 9 วรรคสอง ของประกาศฯ ทั้งนี้ เนื่องจากภาระ ในการพิสูจน์ว่าผู้ควบคุมข้อมูลส่วนบุคคลปฏิบัติถูกต้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือไม่ (demonstration of compliance) เป็นของผู้ควบคุมข้อมูลส่วนบุคคล ประเด็นตามข้อหารือที่ 1.3 เห็นว่า เมื่อได้ให้ความเห็นในข้อ 1.1 แล้วว่า กรณีที่เหตุการละเมิด ข้อมูลส่วนบุคคลนั้น ไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ผู้ควบคุมข้อมูลส่วนบุคคล ไม่มีหน้าที่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลดังกล่าวต่อ สคส. จึงไม่ต้องให้ความเห็นในประเด็นตามข้อหารือนี้ แต่หากจะแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลก็ให้เป็นไปตามกฎหมายและประกาศที่เกี่ยวข้อง ประเด็นตามข้อหารือข้อที่ 2 เห็นว่า การนับระยะเวลาในการแจ้งการละเมิดข้อมูลส่วนบุคคล ตาม มาตรา 37 (4) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ต้องพิจารณาตามหลักเกณฑ์และ วิธีการที่กำหนดในข้อ 5 ของประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้ง เหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565 ประกอบด้วย โดยข้อ 5 ของประกาศดังกล่าวกำหนดขั้นตอนการ ดำเนินการไว้ ดังนี้ (1) ผู้ควบคุมข้อมูลส่วนบุคคลต้องประเมินความน่าเชื่อถือของข้อมูลที่ได้รับ และตรวจสอบ ข้อเท็จจริงเกี่ยวกับการละเมิดข้อมูลส่วนบุคคลในเบื้องต้นก่อน ไม่ว่าจะเป็นกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลทราบ เองหรือได้รับแจ้งข้อมูลในเบื้องต้นจากผู้ใด ว่ามีเหตุอันควรเชื่อได้ว่ามีการละเมิดข้อมูลส่วนบุคคล (personal data breach) หรือไม่ ซึ่งต้องกระทำโดยไม่ชักช้าเท่าที่จะสามารถกระทำได้ ตามข้อ 5 (1) นอกจากนี้ ในกรณีที่พบว่า เหตุการละเมิดข้อมูลส่วนบุคคลดังกล่าว มีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้ดำเนินการป้องกัน ระงับ หรือแก้ไขเพื่อให้การละเมิดข้อมูลส่วนบุคคลสิ้นสุดหรือไม่ให้การละเมิดข้อมูล ส่วนบุคคลส่งผลกระทบเพิ่มเติมโดยทันทีเท่าที่จะสามารถกระทำได้ ตามข้อ 5 (2) (2) เมื่อพิจารณาจากข้อเท็จจริงดังกล่าวแล้ว เห็นว่า มีเหตุอันควรเชื่อว่ามีการละเมิด ข้อมูลส่วนบุคคลจริง และเป็นกรณีที่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้ผู้ควบคุมข้อมูล ส่วนบุคคลแจ้งเหตุการละเมิดดังกล่าวแก่สำนักงานฯ โดยไม่ชักช้าภายใน 72 ชั่วโมงนับแต่ทราบเหตุ เท่าที่จะสามารถกระทำได้ ตามข้อ 5 (3) และดำเนินการตามข้อ 5 (4) และ (5) ของประกาศฯ ในลำดับต่อไป ดังนั้น การพิจารณาว่าผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่จะต้องแจ้งเหตุการละเมิดข้อมูล ส่วนบุคคลแก่ สคส. หรือไม่ และการเริ่มนับระยะเวลาการแจ้งเหตุที่จะต้องกระทำโดยไม่ชักช้าภายใน 72 ชั่วโมง นับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ จะเกิดขึ้นได้ก็ต่อเมื่อผู้ควบคุมข้อมูลส่วนบุคคลได้ทราบในเบื้องต้นว่ามี หรือน่าจะมีเหตุการละเมิดข้อมูลส่วนบุคคล แล้วได้ประเมินความน่าเชื่อถือของข้อมูลและตรวจสอบข้อเท็จจริง เกี่ยวกับการละเมิดข้อมูลส่วนบุคคลตามข้อ 5 (1) ของประกาศฯ และพิจารณาข้อเท็จจริงดังกล่าวแล้วเห็นว่า มีเหตุอันควรเชื่อว่ามีการละเมิดข้อมูลส่วนบุคคลจริง ตามข้อ 5 (3) ดังนั้น การนับระยะเวลาการแจ้งเหตุ การละเมิดข้อมูลส่วนบุคคลตาม มาตรา 37 (4) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประกอบข้อ 5 (3) ของประกาศฯ ที่กำหนดให้เริ่มนับระยะเวลา "นับแต่ทราบเหตุ" จึงเริ่มต้นเมื่อผู้ควบคุมข้อมูล ส่วนบุคคลได้ประเมินความน่าเชื่อถือของข้อมูลและตรวจสอบข้อเท็จจริงแล้ว เห็นว่ามีเหตุอันควรเชื่อว่า มีการละเมิดข้อมูลส่วนบุคคลจริง กล่าวคือ เมื่อเห็นว่า "มีเหตุอันควรเชื่อได้ว่ามีการละเมิดข้อมูลส่วนบุคคลจริง" (confirmed breach or a likely breach with a reasonable degree of certainty) โดยจุดเริ่มต้นในการนับ ระยะเวลาการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลจะเกิดขึ้นเมื่อใดนั้น จะต้องพิจารณาเป็นรายกรณี บางกรณี อาจสามารถพิจารณายืนยันได้ตั้งแต่แรกว่ามีเหตุการละเมิดข้อมูลส่วนบุคคลเกิดขึ้นจริง เช่น การส่งข้อมูล ส่วนบุคคลทางไปรษณีย์อิเล็กทรอนิกส์ (e-mail) ไปยังผู้รับที่ผิดพลาด แต่บางกรณีอาจจำเป็นต้องใช้เวลาเพื่อ ตรวจสอบข้อเท็จจริงว่าเป็นเหตุการละเมิดข้อมูลส่วนบุคคลจริงหรือไม่ เช่น กรณีที่มีข่าวอ้างว่ามีการเปิดเผยข้อมูล ส่วนบุคคลในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคลโดยมิชอบจากภัยคุกคามทางไซเบอร์หรือการรั่วไหล ของข้อมูลส่วนบุคคล ด้วยเหตุนี้ การนับระยะเวลาการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูล ส่วนบุคคลจะต้องใช้ดุลพินิจพิจารณาเป็นกรณี ๆ ไปว่า มีเหตุอันควรเชื่อว่ามีการละเมิดข้อมูลส่วนบุคคลเกิดขึ้น เมื่อใด ส่วนขั้นตอนการดำเนินการป้องกัน ระงับ หรือแก้ไขเพื่อให้การละเมิดข้อมูลส่วนบุคคลสิ้นสุดหรือไม่ให้ การละเมิดข้อมูลส่วนบุคคลส่งผลกระทบเพิ่มเติม ในกรณีที่พบว่าเหตุการละเมิดข้อมูลส่วนบุคคลดังกล่าว มีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ตามข้อ 5 (2) ของประกาศฯ เป็นขั้นตอนที่ กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องเร่งรัดดำเนินการป้องกัน ระงับ หรือแก้ไขเหตุดังกล่าวให้การละเมิดข้อมูล ส่วนบุคคลสิ้นสุดลงหรือไม่ส่งผลกระทบเพิ่มเติมโดยทันทีเท่าที่จะสามารถกระทำได้ เพื่อคุ้มครองสิทธิและเสรีภาพ ของบุคคล จึงเป็นกรณีที่ต้องดำเนินการควบคู่ไปกับหน้าที่ในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล เช่นเดียวกับ การดำเนินการตามมาตรการที่จำเป็นและเหมาะสมเพื่อระงับ ตอบสนอง แก้ไข หรือฟื้นฟูสภาพจากเหตุการละเมิด ข้อมูลส่วนบุคคลดังกล่าว รวมทั้งป้องกันและลดผลกระทบจากการเกิดเหตุการละเมิดข้อมูลส่วนบุคคลในลักษณะ เดียวกันในอนาคตตามข้อ 5 (5) อนึ่ง สำหรับเหตุการละเมิดข้อมูลส่วนบุคคลที่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิ และเสรีภาพของบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลอาจพิจารณาแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล แก่ สคส. เป็นระยะ ๆ (notification in phases) โดยแจ้งเหตุเบื้องต้นโดยเร็วเท่าที่จะสามารถกระทำได้แล้ว แจ้งข้อมูลเพิ่มเติมในลำดับต่อมาเมื่อได้ตรวจสอบและทราบรายละเอียดเพิ่มเติม จนกระทั่งการแจ้งเหตุดังกล่าว มีสาระสำคัญครบถ้วนตามข้อ 6 ของประกาศฯ ก็ได้ และหากมีเหตุอันจำเป็นที่ทำให้ผู้ควบคุมข้อมูลส่วนบุคคล ไม่สามารถแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานฯ ได้ภายใน 72 ชั่วโมงนับแต่ทราบเหตุเท่าที่ จะสามารถกระทำได้ ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลนั้นแก่ สคส. โดยเร็ว ทั้งนี้ ต้องไม่เกิน 15 วันนับแต่ทราบเหตุ โดยให้ผู้ควบคุมข้อมูลส่วนบุคคลชี้แจงเหตุผลความจำเป็น และรายละเอียดที่เกี่ยวข้องแก่ สคส. เพื่อแสดงให้เห็นว่ามีเหตุจำเป็นที่ไม่อาจหลีกเลี่ยงได้ที่ทำให้แจ้งเหตุการละเมิด ข้อมูลส่วนบุคคลล่าช้า เพื่อให้ สคส. พิจารณาต่อไป

เอกสารต้นฉบับ