ข้อมูลส่วนบุคคลรั่วไหล โดนแฮค! ต้องทำอย่างไร? ขั้นตอนรับมือเมื่อเกิดเหตุละเมิดข้อมูลส่วนบุคคลตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
เหตุรั่วไหลของข้อมูลส่วนบุคคล สามารถเกิดขึ้นได้ตลอดเวลา ไม่ว่าจะเป็นองค์กรขนาดเล็กหรือขนาดใหญ่ โดยองค์กรจะมีความผิดและต้องรับบทลงโทษทางกฎหมาย ความรับผิดทางแพ่ง ทางอาญา และทางปกครอง หากข้อมูลส่วนบุคคลที่มีการรั่วไหลออกไปสร้างความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล
จัดการอย่างไรดี? เมื่อเกิดเหตุข้อมูลส่วนบุคคลหลุดรั่ว!!!
1️) จำกัดความเสียหายและประเมินผลกระทบ
2) แจ้งผู้เกี่ยวข้อง รายงานเหตุละเมิดข้อมูล
- บันทึกเหตุไว้เป็นข้อมูลอ้างอิง (กรณีที่ไม่มีความเสี่ยงต่อสิทธิของเจ้าของข้อมูล)
- รายงานเหตุให้กับ สคส. ภายใน 72 ชั่วโมงโดยไม่ชักช้า นับตั้งแต่เกิดเหตุ (กรณีที่มีความเสี่ยงต่อสิทธิของเจ้าของข้อมูล)
- แจ้งเหตุให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยา (กรณีที่มีผลกระทบความเสี่ยงสูงต่อสิทธิของเจ้าของข้อมูล)
3) ทบทวนและวางแนวทางการแก้ไขปัญหา เพื่อป้องกันการเกิดเหตุซ้ำอีก
ธุรกิจหรือองค์กรในฐานะที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) จะต้องมีการกำหนดมาตรการในการรักษาความปลอดภัยให้สอดคล้องกับ พรบ.คุ้มครองข้อมูลส่วนบุคคล และเตรียมพร้อมรับมือและดำเนินการตามที่กฎหมายกำหนดเมื่อเกิดเหตุการณ์รั่วไหลของข้อมูลส่วนบุคคล
