i-PDPA
20 พฤศจิกายน 2567
ในช่วงเพียง 2 สัปดาห์ที่ผ่านมา ได้เกิดเหตุข้อมูลส่วนบุคคลรั่วไหลจากฐานข้อมูลลูกค้า 2 ราย คือจากร้านอาหารเฟรนไชส์หนึ่งราย และอีกหนึ่งรายจากห้างสรรพสินค้าชื่อดังที่มีข้อมูลรั่วไหลจากข้อมูลบัตรสมาชิก
ที่น่าสนใจคือ การชี้แจงจากผู้ควบคุมข้อมูลส่วนบุคคลทั้งสองราย เป็นไปในแนวทางที่คล้ายคลึงกัน คือรับรู้ว่ามีเหตุข้อมูลรั่วไหลเกิดเหตุละเมิด แต่เป็นข้อมูลที่ไม่น่ากังวล และขอให้เจ้าของข้อมูลส่งบุคคลผู้ได้รับแจ้งใช้ความระมัดระวังในการทำธุรกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคล เช่น การกด Link การแจ้งเบอร์OTP
แต่ประเด็นคือว่า การที่เจ้าของข้อมูลส่วนบุคคลได้รับแจ้งตามภาพนี้ เพียงพอหรือไม่
ในกรณีเกิดการละเมิดข้อมูลส่วนบุคคล PDPA ซึ่งในมาตรา มาตรา 37(4) มีการกำหนดแนวทางไว้ว่าแยกเป็น 3 กรณี คือ
1.กรณีประเมินว่าไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลไม่ต้องแจ้งแก่ทั้งสำนักงานคุ้มครองข้อมูลส่วนบุคคล และเจ้าของข้อมูลส่วนบุคคล
2.กรณีประเมินว่ามีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งแก่สำนักงานคุ้มครองข้อมูลส่วนบุคคลแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานโดยไม่ชักช้าภายใน72 ชั่วโมง “ นับแต่ทราบเหตุ”
3.กรณีประเมินว่ามีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งเหตุละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบ พร้อมกับแนวทางการเยียวยา โดยไม่ชักช้า และต้องแจ้งสำนักงานคุ้มครองข้อมูลส่วนบุคคลโดยไม่ชักช้าภายใน72 ชั่วโมง “ นับแต่ทราบเหตุ”
ประเด็นสำคัญคือ คนที่จะประเมินว่าไม่เสี่ยง เสี่ยง หรือ เสี่ยงสูง คือ ผู้ควบคุมข้อมูลส่วนบุคคลประเมินตามแนวทางที่กำหนดไว้ใน”ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565”
ดังนั้น หากผู้ควบคุมข้อมูลส่วนบุคคลประเมินเองว่า เข้ากรณีไหนใน 3 กรณี สิ่งที่ผู้ควบคุมข้อมูลส่วนบุคคลจะดำเนินการก็จะล้อไปตามการตีความและหากจะดูข้อความที่ทั้ง 2 กรณี คือ เฟรนไชส์ และห้างสรรพสินค้าดังแจ้งแก่ลูกค้า สะท้อนว่า เขาประเมินว่า ไม่เสี่ยง ดังนั้น จึงแจ้งกับเจ้าของข้อมูลส่วนบุคคลด้วยเนื้อความที่ไม่ได้ครบถ้วนตามแนวทางที่กำหนดไว้ คือ
- ข้อมูลโดยสังเขปเกี่ยวกับลักษณะของการละเมิดข้อมูลส่วนบุคคล
- ช่องทางติดต่อบุคคลที่ได้รับมอบหมายจากผู้ควบคุมข้อมูลส่วนบุคคล
- ผลกระทบที่อาจเกิดขึ้น
- แนวทางเยียวยาความเสียหาย
- มาตรการที่จะป้องกัน ระงับ แก้ไขเหตุละเมิด
- ข้อแนะนำเกี่ยวกับมาตรการที่เจ้าของข้อมูลส่วนบุคคลควรดำเนินการเพื่อป้องกัน ระงับ แก้ไขเยียวยาความเสียหาย
ถ้าหากเราไม่พอใจในการชี้แจงนี้จะทำอย่างไร
หากเรามองว่า เรามีความเสี่ยง หรือ เสี่ยงสูงที่จะกระทบสิทธิและเสรีภาพของเรา เราสามารถจะดำเนินการดังนี้
ทางเลือกแรก แจ้งขอใช้สิทธิเจ้าของข้อมูลส่วนบุคคลในการขอให้เฟรนไชส์ และห้างสรรพสินค้าดังลบข้อมูลส่วนบุคคลของเราออกจากการเก็บรวบรวม
ทางเลือกที่สอง แจ้งร้องเรียนต่อสำนักงานคุ้มครองข้อมูลส่วนบุคคลว่า เรามีความเสี่ยงจากการเกิดเหตุละเมิด ซึ่งผู้ควบคุมข้อมูลส่วนบุคคลควรจะมีการดำเนินการมากกว่านี้ เช่น มาตรการการเยียวยา เป็นต้น
เป็นแนวทางที่ขอให้ไว้กับท่านที่เจอกรณีข้อมูลส่งนบุคคลของท่านรั่วไหล แล้วอยากจะได้รับการคุ้มครองที่มากกว่าที่ได้รับแจ้งมา
#PDPA
#การรั่วไหลของข้อมูลส่วนบุคคล
