กฎหมายคุ้มครองข้อมูลส่วนบุคคล
การแจ้งเหตุละเมิดข้อมูลส่วนบุคคล (PDPA)
PDPA Data Breach Notification
When personal data is breached, organizations must notify the PDPC within 72 hours and inform data subjects if risk is high.
72 ชั่วโมงคืออะไร
PDPA มาตรา 37(4) กำหนดให้ผู้ควบคุมข้อมูลแจ้ง สคส. เมื่อเกิดเหตุละเมิดข้อมูลส่วนบุคคล ภายใน 72 ชั่วโมง นับจากทราบเหตุ หากไม่มี SOP ที่ชัดเจน องค์กรมักใช้เวลาตัดสินใจนานเกินไปและเสี่ยงค่าปรับ
SOP ควรมีอะไรบ้าง
- ใครเป็นผู้รับผิดชอบเมื่อพบเหตุ
- ขั้นตอนตรวจสอบและกักกันเหตุ
- แบบฟอร์มแจ้ง สคส. และเจ้าของข้อมูล
- รายชื่อผู้ติดต่อภายนอก (ทนาย PDPA, ที่ปรึกษาไอที)
ทำไมบริษัทประกันถึงถามเรื่องนี้
การไม่มี SOP รองรับการแจ้งเหตุภายใน 72 ชั่วโมงอาจถูกอ้างเป็นความบกพร่องด้านการบริหารความเสี่ยง บริษัทประกันอาจใช้เป็นฐานในการโต้แย้งการจ่ายค่าสินไหม และประเมินว่าองค์กรมีความพร้อมรับมือเหตุ (Incident Response) มากน้อยเพียงใดก่อนกำหนดเงื่อนไข
เช็คตัวเอง
องค์กรของคุณมีขั้นตอน (SOP) ที่ระบุชัดเจนว่าใครทำอะไรบ้าง เพื่อแจ้ง สคส. ภายใน 72 ชั่วโมงเมื่อเกิดเหตุข้อมูลรั่วไหลแล้วหรือยัง?
ทำแบบประเมินความพร้อม 18 ข้อคำถามที่พบบ่อย
72 ชั่วโมงเริ่มนับตั้งแต่เมื่อไร
นับจากเวลาที่องค์กร ‘ทราบ’ ว่าเกิดเหตุละเมิดข้อมูล ไม่ใช่ตั้งแต่เหตุเกิดจริง จึงสำคัญมากที่จะมีระบบตรวจจับและรายงานภายในที่รวดเร็ว
ต้องแจ้งเจ้าของข้อมูลทุกครั้งไหม
ต้องแจ้ง สคส. ทุกครั้งที่มีความเสี่ยงต่อสิทธิและเสรีภาพของบุคคล ส่วนการแจ้งเจ้าของข้อมูลจำเป็นเมื่อเหตุนั้นมีความเสี่ยงสูง เช่น ข้อมูลอ่อนไหวหรือข้อมูลการเงินรั่วไหล
ถ้าแจ้งช้ากว่า 72 ชั่วโมงจะเกิดอะไรขึ้น
อาจถูกพิจารณาโทษปรับทางปกครองตาม PDPA และสะท้อนความบกพร่องด้านการกำกับดูแล การมี SOP และซักซ้อมล่วงหน้าช่วยให้แจ้งได้ทันกำหนด