ข้อแนะนำแนวทางการประกาศแจ้งเตือนต่อสาธารณะในกรณีเหตุการณ์ข้อมูลรั่วไหล
27 พ.ค. 2563 / กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
เหตุการณ์ข้อมูลรั่วไหลนั้นอาจเกิดได้จากหลายสาเหตุ ไม่ว่าจะเป็น ถูกเจาะระบบ ข้อมูลถูกเปิดให้เข้าถึงได้แบบสาธารณะ หรือเกิดจากสาเหตุอื่น ๆ ซึ่งในกฎหมายที่เกี่ยวข้องกับเรื่องการคุ้มครองข้อมูล ไม่ว่าจะเป็น GDPR หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล นั้นก็ได้มีข้อกำหนดให้หน่วยงานที่ประสบเหตุจำเป็นต้องแจ้งสถานการณ์ข้อมูลรั่วไหลต่อหน่วยงานกำกับดูแลหรือแจ้งต่อสาธารณะด้วย
ทั้งนี้ เพื่อให้การสื่อสารนั้นชัดเจนและตรงตามข้อเท็จจริง แถลงการณ์แจ้งเตือนเรื่องเหตุการณ์ข้อมูลรั่วไหลนั้นควรประกอบด้วยข้อมูลดังต่อไปนี้
- หัวข้อของแถลงการณ์ควรระบุให้ชัดเจนว่าเป็นการชี้แจงเรื่องเหตุการณ์ข้อมูลรั่วไหล
- ประเมินจำนวนรายการของข้อมูลที่รั่วไหล หรือจำนวนของผู้ที่คาดว่าจะได้รับผลกระทบ
- ระบุประเภทของข้อมูลที่รั่วไหล เช่น ชื่อนามสกุล หมายเลขโทรศัพท์ อีเมล ข้อมูลด้านการเงิน หรือข้อมูลการใช้งานอื่น ๆ
- ประเมินความเสี่ยงว่าข้อมูลที่รั่วไหลนั้นอาจถูกนำไปใช้ประโยชน์ในทางมิชอบในลักษณะใดได้บ้าง
- ระบุแนวทางการแก้ไขปัญหาหรือเยียวยาผู้ที่ได้รับผลกระทบ
- ระบุช่องทางการติดต่อผู้ที่รับผิดชอบเรื่องการคุ้มครองข้อมูลส่วนบุคคล
ตัวอย่างแนวทางการแจ้งเตือนและกรณีศึกษา คลิก
ที่มา: thaicert
ภาพ: techtalkthai