PDPA: Data Breach Notification

ในกรณีที่ต้องให้ข้อมูลส่วนบุคคลแก่บุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการเพื่อป้องกันมิให้ผู้นั้นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ

จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา

แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลที่มีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคลแก่เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้า

ผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ตามกฎหมายในการแจ้งไปยัง PDPC หากมีการทำข้อมูลสูญเสียการเป็นความลับ

บริษัทโฆษณามีหน้าที่แจ้งเหตุการละเมิดไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมงนับแต่ทราบเหตุ

ธนาคารมีหน้าที่ประเมินความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของลูกค้ากลุ่มเป้าหมายจำนวน
สามพันคน

บริษัทโฆษณาต้องรีบแจ้งให้บริษัทผู้ว่าจ้างอีกแห่งหนึ่งลบข้อมูลที่ส่งผิดพลาดและยืนยันการลบ

ธนาคารไม่มีหน้าที่และความรับผิดใด ๆ เนื่องจากเกิดจากความประมาทเลินเล่อของบริษัทโฆษณา

แจ้ง PDPC โดยเร็วที่สุดว่าเกิดเหตุการละเมิดข้อมูล

ส่วนบุคคล

แจ้งลูกค้าทุกรายของบริษัททันทีว่าข้อมูลส่วนบุคคลของพวกเขาถูกเข้าถึงโดยบุคคลที่ไม่ได้รับอนุญาต

เริ่มการสอบสวนและหากไม่พบสิ่งใดภายในหนึ่งเดือน ให้แจ้ง PDPC

ประเมินความน่าเชื่อถือของข้อมูล และตรวจสอบข้อเท็จจริงเกี่ยวกับการละเมิดข้อมูล

ส่วนบุคคลในเบื้องต้นโดยไม่ชักช้าเท่าที่จะสามารถกระทำได้ ว่ามีเหตุอันควรเชื่อได้ว่ามีการละเมิดข้อมูลส่วนบุคคลหรือไม่

ธนาคารต้องแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่  PDPC   เนื่องจากกรณีดังกล่าวมีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล แต่ไม่ต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ เนื่องจากไม่มีความเสี่ยงสูงที่จะมีผลกระทบสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล

ธนาคารไม่ต้องแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลให้  PDPC  แต่ต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ เนื่องจากข้อมูลดังกล่าวเป็นข้อมูลที่รั่วไหลออกไปจริงและมีผลกระทบต่อสิทธิและเสรีภาพเจ้าของข้อมูลส่วนบุคคล

ธนาคารต้องแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่ PDPC  และต้องแจ้งให้เฉพาะเจ้าของข้อมูลส่วนบุคคล 59 ราย ที่ถูกเรียกเก็บเงินตามใบแจ้งหนี้ของธนาคารทราบ เนื่องจากเหตุการละเมิดข้อมูลส่วนบุคคลมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพเจ้าของข้อมูลส่วนบุคคลเฉพาะ 59 ราย

ธนาคารต้องแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่  PDPC  และต้องแจ้งลูกค้าทั้งหมดของธนาคารในช่องทางสาธารณะ เนื่องจากอาจมีลูกค้าของธนาคารที่ข้อมูลรั่วไหลออกไปภายนอกแต่ธนาคารยังตรวจสอบไม่พบ

แจ้ง เนื่องจากต้องรายงานเหตุการณ์ด้านความมั่นคงปลอดภัยทั้งหมดแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

แจ้ง เนื่องจากการแจ้งแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล จะทำให้สำนักงานฯ  สามารถแจ้งพนักงานได้

ไม่ต้องแจ้ง เนื่องจากบริษัทไม่ได้มีหน้าที่ในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล

ไม่ต้องแจ้ง เนื่องจากเหตุการละเมิดข้อมูลส่วนบุคคลนี้ไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล