การละเมิดข้อมูลส่วนบุคคล คือ การรั่วไหล หรือละเมิดมาตรการความมั่นคงปลอดภัยต่อข้อมูลส่วนบุคคล ซึ่งทำให้เกิความสูญหาย เสียหาย เปลี่ยนแปลง ไม่ว่าจะโดยอุบัติเหตุหรือโดยมิชอบด้วยกฎหมาย รวมถึงการเปิดเผย หรือเข้าถึง ข้อมูลส่วนบุคคลที่ใช้งาน เก็บรวบรวม หรือประมวลผลข้อมูลส่วนบุคคลใดๆ โดยไม่ได้รับอนุญาต
โดยเหตุละเมิดข้อมูลส่วนบุคคล แบ่งออกเป็น 3 ลักษณะ
การละเมิดความลับของข้อมูลส่วนบุคคล (Confidentiality Breach)
การเปิดเผยหรือเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต ข้อมูลเหล่านี้อาจเป็นข้อมูลภายในขององค์กรหรือข้อมูลส่วนบุคคลที่มีความสำคัญ
เช่น ข้อมูลทางการเงิน ข้อมูลธุรกิจ หรือข้อมูลด้านสุขภาพ ข้อมูลลับถูกเปิดเผยต่อบุคคลที่ไม่มีสิทธิเข้าถึง อาจเกิดจากข้อผิดพลาดบกพร่อง หรืออุบัติเหตุ เสี่ยงต่อความเป็นส่วนตัวและความปลอดภัยของข้อมูล
องค์กรต้องรู้! เข้าใจถึงลักษณะ ของ Confidential Breach
เพื่อให้เป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือ PDPA มาตรา 37 องค์กรจะต้องมีแนวปฏิบัติที่ดีเพื่อรักษาความมั่นคงปลอดภัยของข้อมูลและวางแผนรับมือเมื่อเกิดเหตุการณ์การละเมิดข้อมูลส่วนบุคคล
การละเมิดความถูกต้อง ครบถ้วนของข้อมูลส่วนบุคคล (Integrity Breach)
เป็นการละเมิด (Breach) ประเภทหนึ่ง คือการละเมิดความถูกต้องครบถ้วนของข้อมูลส่วนบุคคล ข้อมูลถูกเปลี่ยนแปลง ดัดแปลง หรือแก้ไขโดยไม่ได้รับอนุญาต ทำให้ข้อมูลนั้นสูญเสียความถูกต้องหรือความน่าเชื่อถือ ตัวอย่างเช่น มีการแก้ไขข้อมูลโดยพนักงานที่ไม่มีสิทธิ หรือการส่งข้อมูลไปยังผู้รับที่ไม่ถูกต้อง
Integrity Breach มีลักษณะที่สังเกตได้ คือ
ข้อมูลถูกเปลี่ยนแปลงโดยไม่ได้รับอนุญาต
ข้อมูลสูญเสียความถูกต้องและความน่าเชื่อถือ
มีผลกระทบต่อการตัดสินใจหรือการดำเนินงานที่ใช้ข้อมูลนั้น
การละเมิดความลับของข้อมูลส่วนบุคคล (Availability Breach)
การละเมิดต่อความพร้อมใช้ของข้อมูลส่วนบุคคล ข้อมูลหรือระบบไม่สามารถเข้าถึงได้เมื่อผู้ใช้ต้องการใช้งาน เกิดจากปัญหาด้านความมั่นคงปลอดภัยหรือการโจมตีทางไซเบอร์ที่มีผลทำให้ข้อมูลส่วนบุคคลสูญหายหรือถูกทำลาย ส่งผลกระทบต่อการเข้าถึงข้อมูล และการดำเนินงาน ข้อมูลส่วนบุคคลไม่อยู่ในสภาพที่พร้อมใช้งานได้ตามปกติ
องค์กรต้องรู้! พร้อมวางแผนรับมือตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
หากพบว่า เหตุการละเมิดดังกล่าวมีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ต้องแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สคส. โดยไม่ชักช้าภายใน 72 ชั่วโมงนับแต่ทราบเหตุเท่าที่สามารถกระทำได้
“เมื่อมีเหตุการละเมิดข้อมูลส่วนบุคคล ให้ถือว่าผู้ควบคุมข้อมูลส่วนบุคคลมีความจำเป็นต้องทบทวนมาตรการรักษาความมั่นคงปลอดภัยตามวรรคหนึ่ง เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล” การละเมิดข้อมูลส่วนบุคคลเป็นภัยคุกคามที่สำคัญ องค์กรควรตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล ปฏิบัติตาม PDPA และดำเนินการตามมาตรการต่างๆ เพื่อป้องกันการละเมิดข้อมูลส่วนบุคคล การป้องกันข้อมูลส่วนบุคคลเป็นสิ่งสำคัญไม่เพียงแต่เพื่อป้องกันความเสียหายทางธุรกิจ แต่ยังสร้างความเชื่อมั่นให้กับลูกค้าและรักษาชื่อเสียงขององค์กร