เมื่อข้อมูลส่วนบุคคลเรารั่วไหลเราควรได้รับแจ้งอย่างไรจากผู้ควบคุมข้อมูล
i-PDPA 20 พฤศจิกายน 2567 ในช่วงเพียง 2 สัปดาห์ที่ผ่านมา ได้เกิดเหตุข้อมูลส่วนบุคคลรั่วไหลจากฐานข้อมูลลูกค้า 2 ราย คือจากร้านอาหารเฟรนไชส์หนึ่งราย และอีกหนึ่งรายจากห้างสรรพสินค้าชื่อดังที่มีข้อมูลรั่วไหลจากข้อมูลบัตรสมาชิก ที่น่าสนใจคือ การชี้แจงจากผู้ควบคุมข้อมูลส่วนบุคคลทั้งสองราย เป็นไปในแนวทางที่คล้ายคลึงกัน คือรับรู้ว่ามีเหตุข้อมูลรั่วไหลเกิดเหตุละเมิด แต่เป็นข้อมูลที่ไม่น่ากังวล และขอให้เจ้าของข้อมูลส่งบุคคลผู้ได้รับแจ้งใช้ความระมัดระวังในการทำธุรกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคล เช่น การกด Link การแจ้งเบอร์OTP แต่ประเด็นคือว่า การที่เจ้าของข้อมูลส่วนบุคคลได้รับแจ้งตามภาพนี้ เพียงพอหรือไม่ ในกรณีเกิดการละเมิดข้อมูลส่วนบุคคล PDPA ซึ่งในมาตรา มาตรา 37(4) มีการกำหนดแนวทางไว้ว่าแยกเป็น 3 กรณี คือ 1.กรณีประเมินว่าไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลไม่ต้องแจ้งแก่ทั้งสำนักงานคุ้มครองข้อมูลส่วนบุคคล และเจ้าของข้อมูลส่วนบุคคล 2.กรณีประเมินว่ามีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งแก่สำนักงานคุ้มครองข้อมูลส่วนบุคคลแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานโดยไม่ชักช้าภายใน72 ชั่วโมง “ นับแต่ทราบเหตุ” 3.กรณีประเมินว่ามีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งเหตุละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบ พร้อมกับแนวทางการเยียวยา โดยไม่ชักช้า และต้องแจ้งสำนักงานคุ้มครองข้อมูลส่วนบุคคลโดยไม่ชักช้าภายใน72 ชั่วโมง “ นับแต่ทราบเหตุ” ประเด็นสำคัญคือ คนที่จะประเมินว่าไม่เสี่ยง เสี่ยง หรือ เสี่ยงสูง คือ ผู้ควบคุมข้อมูลส่วนบุคคลประเมินตามแนวทางที่กำหนดไว้ใน”ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565” ดังนั้น หากผู้ควบคุมข้อมูลส่วนบุคคลประเมินเองว่า เข้ากรณีไหนใน 3 กรณี สิ่งที่ผู้ควบคุมข้อมูลส่วนบุคคลจะดำเนินการก็จะล้อไปตามการตีความและหากจะดูข้อความที่ทั้ง 2 กรณี คือ เฟรนไชส์ และห้างสรรพสินค้าดังแจ้งแก่ลูกค้า สะท้อนว่า เขาประเมินว่า ไม่เสี่ยง ดังนั้น จึงแจ้งกับเจ้าของข้อมูลส่วนบุคคลด้วยเนื้อความที่ไม่ได้ครบถ้วนตามแนวทางที่กำหนดไว้ คือ ถ้าหากเราไม่พอใจในการชี้แจงนี้จะทำอย่างไร หากเรามองว่า เรามีความเสี่ยง หรือ เสี่ยงสูงที่จะกระทบสิทธิและเสรีภาพของเรา เราสามารถจะดำเนินการดังนี้ ทางเลือกแรก แจ้งขอใช้สิทธิเจ้าของข้อมูลส่วนบุคคลในการขอให้เฟรนไชส์ และห้างสรรพสินค้าดังลบข้อมูลส่วนบุคคลของเราออกจากการเก็บรวบรวม ทางเลือกที่สอง แจ้งร้องเรียนต่อสำนักงานคุ้มครองข้อมูลส่วนบุคคลว่า เรามีความเสี่ยงจากการเกิดเหตุละเมิด ซึ่งผู้ควบคุมข้อมูลส่วนบุคคลควรจะมีการดำเนินการมากกว่านี้ เช่น มาตรการการเยียวยา เป็นต้น เป็นแนวทางที่ขอให้ไว้กับท่านที่เจอกรณีข้อมูลส่งนบุคคลของท่านรั่วไหล แล้วอยากจะได้รับการคุ้มครองที่มากกว่าที่ได้รับแจ้งมา #PDPA #การรั่วไหลของข้อมูลส่วนบุคคล