แชร์

เมื่อผู้รับจ้างทำข้อมูลรั่วไหล | ศุภวัชร์ มาลานนท์

อัพเดทล่าสุด: 24 ต.ค. 2024
45 ผู้เข้าชม

เมื่อผู้รับจ้างทำข้อมูลรั่วไหล | ศุภวัชร์ มาลานนท์
การบริหารความเสี่ยงขององค์กรจากการใช้ผู้รับจ้างภายนอกในการประมวลผลข้อมูลส่วนบุคคลเพิ่มความท้าทายมากขึ้นเรื่อยๆ เมื่อเทคโนโลยีมีการเปลี่ยนแปลงไปอย่างรวดเร็ว โดยภัยคุกคามและความเสี่ยงต่างๆ ที่เกี่ยวเนื่องกับการประมวลผลข้อมูลส่วนบุคคลนั้น


ทั้งผู้ว่าจ้างและผู้รับจ้างมีหน้าที่และความรับผิดร่วมกันในส่วนของการจัดให้มี "มาตรการรักษาความมั่นคงปลอดภัย" แต่หน้าที่ในส่วนของการแจ้งตามกฎหมายเมื่อเกิดเหตุการละเมิดข้อมูลส่วนบุคคล (Breach notification) เป็นหน้าที่และความรับผิดของผู้ว่าจ้างในฐานะผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น ผู้ว่าจ้างจึงมีหน้าที่ในการบริหารจัดการความเสี่ยงในส่วนที่เกี่ยวเนื่องกับการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลอย่างเหมาะสม

การเริ่มนับระยะเวลา 72 ชั่วโมงในกรณีที่เหตุการละเมิดข้อมูลส่วนบุคคลเกิดจากการดำเนินการของผู้รับจ้างจึงเป็นส่วนหนึ่งของการบริการจัดการความเสี่ยงที่สำคัญ โดยตามแนวทางของ WP29 Guidelines on Personal data breach notification under Regulation 2016/679 (GDPR) ให้ข้อสังเกตว่าการเริ่มนับระยะเวลา นับแต่ทราบเหตุ ให้พิจารณาหลักเกณฑ์ ดังนี้

มีการยืนยันว่ามีเหตุการละเมิดข้อมูลส่วนบุคคล (confirmed breach) : ผู้ควบคุมข้อมูลส่วนบุคคลมีความมั่นใจในระดับที่เหมาะสมว่าเกิดเหตุการณ์ด้านความมั่นคงปลอดภัย (security incident) ซึ่งทำให้ข้อมูลส่วนบุคคลถูกละเมิด กล่าวคือ ข้อมูลส่วนบุคคลได้สูญเสียองค์ประกอบด้านความมั่นคงปลอดภัยกรณีใดกรณีหนึ่ง ได้แก่ การสูญเสียการเป็นความลับ (confidentiality breach) การสูญเสียความถูกต้องครบถ้วน (integrity breach) หรือการสูญเสียสภาพพร้อมใช้งาน (availability breach) ของข้อมูลส่วนบุคคล
ในกรณีที่เหตุการละเมิดข้อมูลส่วนบุคคลเกิดจากการดำเนินการของผู้ประมวลผลข้อมูลส่วนบุคคล นับแต่ทราบเหตุ (become aware) โดยหลักการนั้นให้เริ่มนับเมื่อผู้ควบคุมข้อมูลส่วนบุคคลได้รับการแจ้งจากผู้ประมวลผลข้อมูลส่วนบุคคล หมายความว่าการเริ่มนับระยะเวลา 72 ชั่วโมง เริ่มนับเมื่อได้รับการแจ้งจากผู้ประมวลผลข้อมูลส่วนบุคคล (ดูข้อ 3) ประกอบ
อย่างไรก็ตาม ผู้ควบคุมข้อมูลส่วนบุคคลควรมีมาตรการเชิงเทคนิคและมาตรการเชิงองค์กรที่เหมาะสมเพื่อให้สามารถตรวจสอบว่ามีเหตุการละเมิดเกิดขึ้นหรือไม่และสามารถ รับทราบ การละเมิดใดๆ ในเวลาที่เหมาะสมอีกด้วย


พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ กำหนดให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนดหลักเกณฑ์และวิธีการแจ้ง (ขณะนี้ยังไม่มีประกาศ) โดยหน้าที่ระหว่างผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยและเงื่อนไขการแจ้งในรายละเอียดจะเป็นไปตามที่กำหนดในข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (DPA : Data Processing Agreement)

ตามประกาศฯ เรื่อง มาตรการรักษาความมั่นคงปลอดภัยฯ ยังได้กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีข้อตกลงระหว่างผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล (DPA) ที่รวมถึงการกำหนดให้ผู้ประมวลผลข้อมูลส่วนบุคคลจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ 

รวมทั้งการแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น โดยมาตรการรักษาความมั่นคงปลอดภัยดังกล่าว จะต้องเป็นไปตามมาตรฐานขั้นต่ำตามประกาศฯ โดยคำนึงถึงระดับความเสี่ยงตามลักษณะและวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ตลอดจนโอกาสเกิดและผลกระทบจากเหตุการละเมิดข้อมูลส่วนบุคคลอีกด้วย

ดังนั้น ผู้ว่าจ้างจึงมีสิทธิโดยชอบธรรมในฐานะผู้ที่มีหน้าที่และความรับผิดตามกฎหมายในการกำหนดเงื่อนไขและวิธีการแจ้งที่เหมาะสม รวมถึงมาตรการการดำเนินการต่างๆ เมื่อเกิดเหตุที่ผู้รับจ้างจะต้องดำเนินการเพื่อให้ผู้ว่าจ้างสามารถบรรลุหน้าที่ตามที่กฎหมายกำหนดได้ แต่ทั้งนี้ก็ต้องเป็นไปโดยสอดคล้องกับเงื่อนไขในแง่การดำเนินการและเงื่อนไขทางธุรกิจของผู้รับจ้างอีกด้วย.


ศุภวัชร์ มาลานนท์
บัณฑิตวิทยาลัยการจัดการและนวัตกรรม
มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี

ref: https://www.bangkokbiznews.com/tech/1025835


บทความที่เกี่ยวข้อง
PDPA สื่อมวลชนและการขอใช้สิทธิลบเนื้อหาข่าว
สคส. เผยแพร่ความเห็นของคณะอนุกรรมการเฉพาะกิจ ตอบข้อหารือและให้คำแนะนำหน่วยงานของรัฐเพื่อรองรับการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
24 ต.ค. 2024
การโพสต์หรือแชร์รูปภาพ ไม่มีความรับผิดทางอาญาตาม PDPA
การโพสต์ข้อมูลส่วนบุคคล อย่างภาพใบหย่า ข้อมูลประวัติอาชญากรรม ภาพถ่ายใบหน้าลูกหนี้ แม้จะเข้าข่ายข้อยกเว้นการใช้บังคับกฎหมาย PDPA
24 ต.ค. 2024
กรรมการบริษัท ก็ต้องรู้จักปัญญาประดิษฐ์ AI
สถาบันกรรมการบริษัทแห่งออสเตรเลีย (Australian Institute of Company Directors -AICD) ได้ร่วมมือกับสถาบัน Human Technology Institute (HTI)
24 ต.ค. 2024
เว็บไซต์นี้มีการใช้งานคุกกี้ เพื่อเพิ่มประสิทธิภาพและประสบการณ์ที่ดีในการใช้งานเว็บไซต์ของท่าน ท่านสามารถอ่านรายละเอียดเพิ่มเติมได้ที่ ประกาศการคุ้มครองข้อมูลส่วนบุคคล (Privacy Notice) และ นโยบายคุกกี้
เปรียบเทียบสินค้า
0/4
ลบทั้งหมด
เปรียบเทียบ
Powered By MakeWebEasy Logo MakeWebEasy