การดำเนินงานเมื่อเกิดเหตุรั่วไหลของข้อมูลส่วนบุคคล
บริษัท แอพพลิแคด จำกัด (มหาชน)
การดำเนินงานเมื่อเกิดเหตุการณ์การรั่วไหลของข้อมูลส่วนบุคคล (Personal Data Breach)
การรั่วไหลของข้อมูลส่วนบุคคล หมายถึง การที่ข้อมูลส่วนบุคคลถูกทำลาย การสูญหาย การแก้ไขเปลี่ยนแปลง การเปิดเผย หรือการเข้าถึง ส่งต่อ เก็บ รักษาหรือถูกประมวลผลอย่างอื่นไม่ว่าจะเกิดจากการกระทำอันมิชอบด้วยกฎหมายหรือโดยอุบัติเหตุ
ในกรณีที่มีการรั่วไหลของข้อมูลส่วนบุคคลเกิดขึ้นภายในบริษัท ผู้ที่ทราบเหตุจะต้องมีการแจ้งไปยังเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลโดยเร็วที่สุด เพื่อที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจะทำการตรวจสอบถึงสาเหตุที่มาและระบุจุดต้นเหตุของการรั่วไหล รวมทั้งออกมาตรการเยียวยาเหตุการณ์รั่วไหลของข้อมูล พร้อมทั้งแจ้งแก่เจ้าของข้อมูลส่วนบุคคลและ/หรือสำนักงานคุ้มครองข้อมูลส่วนบุคคลตามที่กฎหมายกำหนดโดยไม่ชักช้า
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลมีหน้าที่จดบันทึกการรั่วไหลของข้อมูลส่วนบุคคล และประเมินความเสี่ยงเมื่อเกิดการรั่วไหลของข้อมูลส่วนบุคคลขึ้น ในการประเมินความเสี่ยงจากการรั่วไหลของข้อมูลนั้น อาจพิจารณาถึงผลกระทบต่อสิทธิและเสรีภาพขั้นพื้นฐาน ผลกระทบต่อชีวิตและทรัพย์สินของเจ้าของข้อมูลส่วนบุคคล เนื่องจากหากพิจารณาแล้วว่า ไม่มีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลสามารถทำการจดบันทึกไว้และอาจไม่จำเป็นต้องมีการแจ้งแก่เจ้าของข้อมูลส่วนบุคคลหรือแจ้งต่อสำนักงานคุ้มครองข้อมูลส่วนบุคคลถึงเหตุการณ์การรั่วไหลที่เกิดขึ้น แต่หากผลของการประเมินแสดงให้เห็นว่าการรั่วไหลของข้อมูลอาจจะทำให้เกิดความเสี่ยงสูง ซึ่งมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลต้องมีการดำเนินการแจ้งแก่เจ้าของข้อมูลส่วนบุคคลรวมทั้งแนวทางในการเยียวยาอีกทั้งแจ้งเหตุละเมิดของข้อมูลส่วนบุคคลแก่สำนักงานคุ้มครองข้อมูลส่วนบุคคลโดยไม่ชักช้าภายในระยะเวลา 72 ชั่วโมง นับจากทราบเหตุการณ์การรั่วไหลของข้อมูลส่วนบุคคล
บริษัทควรมีการจัดทำแบบฟอร์มบันทึกการรั่วไหลของข้อมูลส่วนบุคคล ขึ้นเพื่อเป็นแนวทางในการจดบันทึกอย่างถูกต้องและครบถ้วน สำหรับหน้าที่ในการจดบันทึกควรกำหนดให้เป็นหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือในกรณีที่พนักงานผู้พบเหตุการณ์รั่วไหลของข้อมูลอาจให้พนักงานผู้พบเหตุการณ์เป็นผู้ทำการบันทึกแทนเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลก็ได้แล้วแต่กรณี และแจ้งแก่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลทราบถึงเหตุการณ์การรั่วไหลของข้อมูลที่เกิดขึ้นด้วย เพื่อให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลดำเนินการหาสาเหตุและมาตรการเยียวยา รวมถึงติดตามผลการดำเนินงานก