ข้อแนะนำแนวทางการประกาศแจ้งเตือนต่อสาธารณะในกรณีเหตุการณ์ข้อมูลรั่วไหล

เหตุการณ์ข้อมูลรั่วไหลหรือ data breach นั้นอาจเกิดได้จากหลายสาเหตุ ไม่ว่าจะเป็น ถูกเจาะระบบ ข้อมูลถูกเปิดให้เข้าถึงได้แบบสาธารณะ หรือเกิดจากสาเหตุอื่น ๆ ซึ่งในกฎหมายที่เกี่ยวข้องกับเรื่องการคุ้มครองข้อมูล ไม่ว่าจะเป็น GDPR หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล นั้นก็ได้มีข้อกำหนดให้หน่วยงานที่ประสบเหตุจำเป็นต้องแจ้งสถานการณ์ข้อมูลรั่วไหลต่อหน่วยงานกำกับดูแลหรือแจ้งต่อสาธารณะด้วย

เพื่อให้การสื่อสารนั้นชัดเจนและตรงตามข้อเท็จจริง แถลงการณ์แจ้งเตือนเรื่องเหตุการณ์ข้อมูลรั่วไหลนั้นควรประกอบด้วยข้อมูลดังต่อไปนี้

• หัวข้อของแถลงการณ์ควรระบุให้ชัดเจนว่าเป็นการชี้แจงเรื่องเหตุการณ์ข้อมูลรั่วไหล
• ประเมินจำนวนรายการของข้อมูลที่รั่วไหล หรือจำนวนของผู้ที่คาดว่าจะได้รับผลกระทบ
• ระบุประเภทของข้อมูลที่รั่วไหล เช่น ชื่อนามสกุล หมายเลขโทรศัพท์ อีเมล ข้อมูลด้านการเงิน หรือข้อมูลการใช้งานอื่น ๆ
• ประเมินความเสี่ยงว่าข้อมูลที่รั่วไหลนั้นอาจถูกนำไปใช้ประโยชน์ในทางมิชอบในลักษณะใดได้บ้าง
• ระบุแนวทางการแก้ไขปัญหาหรือเยียวยาผู้ที่ได้รับผลกระทบ
• ระบุช่องทางการติดต่อผู้ที่รับผิดชอบเรื่องการคุ้มครองข้อมูลส่วนบุคคล

ทั้งนี้ ตัวอย่างแนวทางการแจ้งเตือนและกรณีศึกษา สามารถดูเพิ่มเติมได้จากที่มา

ที่มา: EDPS, Data Protection Commission, VISA