มาตรการแจ้งการละเมิดข้อมูลส่วนบุคคลภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล
คำสำคัญ:
การละเมิดข้อมูลส่วนบุคคล, การแจ้งการละเมิดข้อมูลส่วนบุคคล, การทราบถึงการละเมิดข้อมูลส่วนบุคคลบทคัดย่อ
บทความนี้มีวัตถุประสงค์เพื่อศึกษาปัญหาเกี่ยวกับการแจ้งการละเมิดข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยเฉพาะอย่างยิ่งประเด็นเรื่องการแจ้งการละเมิดข้อมูลส่วนบุคคลว่าเมื่อใดที่จะถือว่าผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงการละเมิดข้อมูลส่วนบุคคล ผู้เขียนจึงทำการศึกษากฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศไทยกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (General Data Protection Regulation หรือ GDPR) รวมถึงแนวปฏิบัติการแจ้งการละเมิดข้อมูลส่วนบุคคลของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (European Data Protection Board หรือ EDPB) และแนวทางคำวินิจฉัยของหน่วยงานกำกับดูแลด้านการคุ้มครองข้อมูลส่วนบุคคลของประเทศสมาชิกในสหภาพยุโรปในการตีความเกี่ยวกับระยะเวลาที่ถือว่าผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงการละเมิดข้อมูลส่วนบุคคล เพื่อนำไปสู่การวิเคราะห์และผลักดันให้เกิดแนวปฏิบัติที่ชัดเจนเกี่ยวกับระยะเวลาที่จะถือว่าผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงการละเมิดข้อมูลส่วนบุคคลและทำให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถแจ้งการละเมิดข้อมูลส่วนบุคคลภายในระยะเวลาที่กฎหมายกำหนด อีกทั้งยังเป็นการให้ความคุ้มครองต่อสิทธิของเจ้าของข้อมูลส่วนบุคคลในการได้รับการแจ้งการละเมิดข้อมูลส่วนบุคคลอย่างเหมาะสมและถูกต้องตามกฎหมาย
เอกสารอ้างอิง
คณาธิป ทองรวีวงศ์, คำอธิบายหลักกฎหมายคุ้มครองข้อมูลส่วนบุคคล (พิมพ์ครั้งที่ 2, สำนักพิมพ์นิติธรรม 2565) 372-373.
ไทยรัฐ, ‘รมว.ดีอี คุมเข้ม สั่งปรับเอกชน 7 ล้าน ทำข้อมูลรั่วถึงแก๊งคอลเซ็นเตอร์’ (ไทยรัฐออนไลน์, 21 สิงหาคม 2567) <https://www.thairath.co.th/news/politic/2809484> สืบค้นวันที่ 9 กันยายน 2567.
ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565
European Data Protection Board, ‘European Data Protection Board, Guidelines 9/2022 on Personal Data Breach Notification under GDPR Version 2.0 Adopted 28 March 2023’<https://edpb.europa.eu/system/files/2023-04/edpb_guidelines_202209_personal_data_breach_
notification_v2.0_en.pdf> accessed 6 June 2023.
European Data Protection Board, ‘Guidelines, Recommendations, Best Practices’ <https://edpb.europa.eu/our-work-tools/general-guidance/guidelines-recommendations-best-practices_en> 7 June 2023
European Data Protection Board, ‘Penalty Notice Section 155, Data Protection Act 2018’ <https://edpb.europa.eu/decision-nr-154_en> accessed 11 October 2023.
European Data Protection Board, ‘Polish DPA & WARTA: Failure to Notify a Personal Data Breach Without Undue Delay as a Reason for Imposing a Fine’ <https://edpb.europa.eu/news/national-news/2021/polish-dpa-warta-failure-notify-personal-data-breach-without-undue-delay_en> accessed 11 October 2023.
European Data Protection Board, ‘Polish SA Fines Controller EUR 4500 for Failure to Notify a Personal Data Breach’ <https://edpb.europa.eu/news/national-news/2023/polish-sa-fines-controller-eur-4500-failure-notify-personal-data-breach_en> accessed 9 November 2023.
European Data Protection Board, ‘Polish SA Imposed Fine on Telecom Operator for Failure to Notify the Personal Data Breach’ <https://edpb.europa.eu/news/national-news/2023/polish-sa-imposed-fine-telecom-operator-failure-notify-personal-data-breach_en> accessed 9 November 2023 .
European Data Protection Board, ‘Romanian Supervisory Authority Fines Enel Energie Muntenia S.A. for Breaching Article 32 GDPR’ <https://edpb.europa.eu/news/national-news/2022/romanian-supervisory-authority-fines-enel-energie-muntenia-sa-breaching_en> accessed 23 October 2023.
Information Commissioner’s Office, ‘A Guide to the Data Protection Principles’ <https://ico.org.uk/about-the-ico/> accessed 9 May 2023.
Walter Rocchi, Cybersecurity and Privacy Law Handbook: A Beginner’s Guide to Dealing with Privacy and Security While Keeping Hackers at Bay (Packt Publishing 2022) 53-54.
