- 26 May 20
-
1889
-
ข้อแนะนำแนวทางการประกาศแจ้งเตือนต่อสาธารณะในกรณีเหตุการณ์ข้อมูลรั่วไหล
เหตุการณ์ข้อมูลรั่วไหลหรือ data breach นั้นอาจเกิดได้จากหลายสาเหตุ ไม่ว่าจะเป็น ถูกเจาะระบบ ข้อมูลถูกเปิดให้เข้าถึงได้แบบสาธารณะ หรือเกิดจากสาเหตุอื่น ๆ ซึ่งในกฎหมายที่เกี่ยวข้องกับเรื่องการคุ้มครองข้อมูล ไม่ว่าจะเป็น GDPR หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล นั้นก็ได้มีข้อกำหนดให้หน่วยงานที่ประสบเหตุจำเป็นต้องแจ้งสถานการณ์ข้อมูลรั่วไหลต่อหน่วยงานกำกับดูแลหรือแจ้งต่อสาธารณะด้วย
เพื่อให้การสื่อสารนั้นชัดเจนและตรงตามข้อเท็จจริง แถลงการณ์แจ้งเตือนเรื่องเหตุการณ์ข้อมูลรั่วไหลนั้นควรประกอบด้วยข้อมูลดังต่อไปนี้
- หัวข้อของแถลงการณ์ควรระบุให้ชัดเจนว่าเป็นการชี้แจงเรื่องเหตุการณ์ข้อมูลรั่วไหล
- ประเมินจำนวนรายการของข้อมูลที่รั่วไหล หรือจำนวนของผู้ที่คาดว่าจะได้รับผลกระทบ
- ระบุประเภทของข้อมูลที่รั่วไหล เช่น ชื่อนามสกุล หมายเลขโทรศัพท์ อีเมล ข้อมูลด้านการเงิน หรือข้อมูลการใช้งานอื่น ๆ
- ประเมินความเสี่ยงว่าข้อมูลที่รั่วไหลนั้นอาจถูกนำไปใช้ประโยชน์ในทางมิชอบในลักษณะใดได้บ้าง
- ระบุแนวทางการแก้ไขปัญหาหรือเยียวยาผู้ที่ได้รับผลกระทบ
- ระบุช่องทางการติดต่อผู้ที่รับผิดชอบเรื่องการคุ้มครองข้อมูลส่วนบุคคล
ทั้งนี้ ตัวอย่างแนวทางการแจ้งเตือนและกรณีศึกษา สามารถดูเพิ่มเติมได้จากที่มา
ที่มา: EDPS,
Data Protection Commission,
VISA