แชร์

การประเมินความเสี่ยงเมื่อเกิดเหตุการละเมิดข้อมูลส่วนบุคคล

อัพเดทล่าสุด: 24 ต.ค. 2024
2153 ผู้เข้าชม

ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 ซึ่งมีผลใช้บังคับเมื่อวันที่ 20 มิถุนายน 2565 (ประกาศฯ) ได้กำหนดมาตรฐานขั้นต่ำในการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมสำหรับองค์กรที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลคลขึ้นเพื่อให้การคุ้มครองข้อมูลส่วนบุคคลในระยะแรกที่กฎหมายมีผลใช้บังคับมีความเหมาะสม


ความมั่นคงปลอดภัย ตามประกาศฯ ฉบับดังกล่าว หมายความว่า การธำรงไว้ซึ่งความลับ (confidentiality) ความถูกต้องครบถ้วน (integrity) และสภาพพร้อมใช้งาน (availability) ของข้อมูลส่วนบุคคล ทั้งนี้ เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ จากความหมายข้างต้นองค์กรต่าง ๆ จึงมีหน้าที่ต้องดูแลปกป้องข้อมูลส่วนบุคคลที่อยู่ในความรับผิดชอบขององค์กรให้สามารถคงการเป็นความลับ (C) มีความถูกต้อง (I) และพร้อมใช้งาน (A) โดยการจัดให้มีมาตรการเชิงองค์กร (organizational measures) และมาตรการเชิงเทคนิค (technical measures) ที่เหมาะสม ซึ่งอาจรวมถึงมาตรการทางกายภาพ (physical measures) ที่จำเป็นด้วย โดยคำนึงถึงระดับความเสี่ยงตามลักษณะและวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ตลอดจนโอกาสเกิดและผลกระทบจากเหตุการละเมิดข้อมูลส่วนบุคคล


ตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เมื่อองค์กรไม่สามารถรักษาองค์ประกอบอย่างใดอย่างหนึ่งของความมั่นคงปลอดภัยไป (เสีย CIA)  มาตรา 37(4) กำหนดให้องค์กรมีหน้าที่ต้องดำเนินเนินการแจ้งหรือรายงานตามเงื่อนไขที่กฎหมายกำหนดอีกด้วย ทั้งนี้ เพื่อเป็นการป้องกันความเสียหายแก่เจ้าของของข้อมูลส่วนบุคคลที่อาจได้รับผลกะทบจากเหตุการณ์ข้อมูลรั่วไหลหรือเหตุการละเมิดข้อมูลส่วนบุคคลดังกล่าว


หน้าที่แจ้งเหตุการละเมิดข้อมูลส่วยบุคคล (Breach Notification) จึงเป็นหน้าที่ที่สำคัญขององค์กรต่าง ๆ ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลที่ต้องจัดเตรียมกระบวนการเพื่อให้สามารถระบุความเสี่ยงที่สำคัญที่อาจจะเกิดขึ้น (identify) สามารถป้องกันความเสี่ยงที่สำคัญที่อาจจะเกิดขึ้น (protect) มีการตรวจสอบและเฝ้าระวังภัยคุกคามและเหตุการละเมิดข้อมูลส่วนบุคคล(detect) และสามารถเผชิญเหตุเมื่อมีการตรวจพบภัยคุกคามและเหตุการละเมิดข้อมูลส่วนบุคคล(response) พร้อมทั้งการรักษาและฟื้นฟูความเสียหายที่เกิดจากภัยคุกคามหรือเหตุการละเมิดข้อมูลส่วนบุคคล (recover) เท่าที่จำเป็น เหมาะสม และเป็นไปได้ตามระดับความเสี่ยง (ประกาศฯ ข้อ 4(3)) 

ตามาตรา 37(4) เงื่อนไขสำคัญประการหนึ่งที่ต้องพิจารณาว่าต้องแจ้งหรือไม่ต้องแจ้ง คือ การประเมินความเสี่ยงต่อสิทธิและเสรีภาพของบุคคล ซึ่งพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มาตรา 37(4) และประกาศฯ ยังไม่ได้กำหนดแนวทางการประเมินความเสี่ยงไว้โดยตรง แต่ตามเงื่อนไขต่าง ๆ ของประกาศฯ ชี้ให้เห็นว่าให้พิจารณาตามลักษณะและวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล (nature and scope of processing activities) ตลอดจนโอกาสเกิด (probability of occurrence) และผลกระทบจากเหตุการละเมิดข้อมูลส่วนบุคคล (impact level)
           

ENISA ซึ่งเป็นหน่วยงานด้านความมั่นคงปลอดภัยทางไซเบอร์ของสหภาพยุโรปได้ให้หลักเกณฑ์การประเมินความเสี่ยงเมื่อเกิดเหตุการละเมิดข้อมูลส่วนบุคคลไว้ในHandbook on Security of Personal Data Processing (2017) ทำนองเดียวกับแนวทางตามประกาศฯ โดยตามแนวปฏิบัติของ ENISA ระบุว่าการประเมินความเสี่ยงสำหรับข้อมูลส่วนบุคคลมีอยู่ 4 ขั้นตอน ดังนี้
(1)พิจารณาลักษณะของการประมวลผลและบริบทที่เกี่ยวข้อง
(2)การประเมินผลกระทบ
(3)การประเมินภัยคุกคามที่เป็นไปได้และการประเมินความเป็นไปได้ (ความน่าจะเป็นที่จะเกิดภัยคุกคาม)
(4)การประเมินความเสี่ยง (จากความน่าจะเป็นและผลกระทบของภัยคุกคาม)


ในขณะที่ WP29 Guidelines on Personal data breach notification under Regulation 2016/679 กำหนดให้ใช้องค์ประกอบต่อไปนี้ในการประเมินความเสี่ยง
(1)ประเภทของเหตุการการละเมิดข้อมูลส่วนบุคคล
(2)ลักษณะ ความอ่อนไหว และจำนวนข้อมูลส่วนบุคคลที่ถูกละเมิด
(3)ความยากง่ายในการระบุตัวตนของเจ้าของข้อมูลส่วนบุคคล
(4)ความร้ายแรงของผลกระทบต่อบุคคล
(5)ลักษณะเฉพาะของบุคคล อาทิ ความเป็นผู้เยาว์หรือกลุ่มเปราะบาง
(6)ลักษณะเฉพาะของผู้ควบคุมข้อมูลส่วนบุคคล อาทิ เหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดจากองค์กรที่ประมวลผลข้อมูลส่วนอ่อนไหวเป็นปกติธุรกิจ ย่อมมีความเสี่ยงมากกว่าองค์กรที่ประมวลผลข้อมูลทั่วไป เป็นต้น
(7)จำนวนผู้ที่ได้รับผลกระทบจากเหตุการละเมิดข้อมูลส่วนบุคคล
จากกรณีศึกษาข้างต้น เกณฑ์การประเมินความเสี่ยงต่อสิทธิและเสรีภาพของบุคคลจึงเป็นองค์ประกอบที่สำคัญอย่างยิ่งที่จะทำให้องค์กรสามารถปฏิบัติหน้าที่ในส่วนการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลได้สอดคล้องกับเงื่อนไขที่กฎหมายกำหนด.
_________

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
ref: https://www.bangkokbiznews.com/columnist/1018105

Tags :
การคุ้มครองข้อมูลส่วนบุคคล
ผู้ควบคุมข้อมูลส่วนบุคคล
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
PDPA
DPO
บทความที่เกี่ยวข้อง
Digital Twins แบบจำลองดิจิทัล (Digital Replicas)
Digital Twins แบบจำลองดิจิทัล (Digital Replicas)
แบบจำลองดิจิทัล (Digital Replicas) หรือที่เรียกกันว่า "ฝาแฝดดิจิทัล" (Digital Twins) คือการจำลองเสมือนจริงของวัตถุหรือระบบทางกายภาพ
20 ก.พ. 2025
ความยินยอม ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
ความยินยอม ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ความยินยอม เป็นฐานทางกฎหมายในการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (ประมวลผล)
13 ส.ค. 2024
การสอน AI ด้วยข้อมูลส่วนบุคคล (โดยไม่ชอบด้วยกฎหมาย)
การสอน AI ด้วยข้อมูลส่วนบุคคล (โดยไม่ชอบด้วยกฎหมาย)
ความฉลาดของ AI ขึ้นอยู่กับปริมาณและคุณภาพของข้อมูลที่ใช้ในการสอนและการสร้างแบบจำลอง และแหล่งข้อมูลหนึ่งที่ถูกใช้ในการสร้างชุดข้อมูลเพื่อการสอน AI
13 ส.ค. 2024
เว็บไซต์นี้มีการใช้งานคุกกี้ เพื่อเพิ่มประสิทธิภาพและประสบการณ์ที่ดีในการใช้งานเว็บไซต์ของท่าน ท่านสามารถอ่านรายละเอียดเพิ่มเติมได้ที่ ประกาศการคุ้มครองข้อมูลส่วนบุคคล (Privacy Notice) และ นโยบายคุกกี้
Powered By MakeWebEasy Logo MakeWebEasy