จากการรับรู้สู่ความรับผิดชอบ: การแจ้งเหตุละเมิดข้อมูลภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย

Posted by , , on | Featured

บทความฉบับภาษาอังกฤษ (English version) อ่านได้ที่: https://fosrlaw.com/2026/pdpa-breach-notification-thailand-eng/

เหตุใดกฎ 72 ชั่วโมงจึงเป็นเพียงจุดเริ่มต้น

การแจ้งเหตุละเมิดข้อมูลภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ของประเทศไทย มักถูกสรุปให้เหลือเพียงหลักเกณฑ์ข้อเดียว คือ การแจ้งต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ต้องดำเนินการโดยไม่ชักช้าภายใน72 ชั่วโมง นับแต่ทราบเหตุละเมิดข้อมูลส่วนบุคคลเท่าที่จะสามารถกระทำได้

คำอธิบายดังกล่าวถูกต้องในระดับหนึ่ง แต่ยังไม่ครบถ้วน

ในทางปฏิบัติ คำถามที่ยากที่สุดในระหว่างที่เกิดเหตุการณ์ภัยคุกคามทางไซเบอร์ มักไม่ได้เกิดขึ้นหลังจากข้อเท็จจริงชัดเจนแล้ว แต่เกิดขึ้นในช่วงที่ข้อเท็จจริงยังอยู่ระหว่างการตรวจสอบ เช่น เมื่อสงสัยว่าเกิดการเข้าถึงโดยไม่ได้รับอนุญาตแต่ยังยืนยันไม่ได้ทั้งหมด เมื่อระบบที่ได้รับผลกระทบมีข้อมูลจากหลายประเทศหรือหลายเขตอำนาจ เมื่อยังไม่ชัดเจนว่าเจ้าของข้อมูลในประเทศไทยได้รับผลกระทบหรือไม่ เมื่อการตรวจสอบทางนิติวิทยาศาสตร์ดิจิทัลยังดำเนินอยู่ และเมื่อยังแยกไม่ได้อย่างชัดเจนว่าเหตุการณ์นั้นเป็นเพียงการเข้าถึง การคัดลอก การนำข้อมูลออกจากระบบ การเผยแพร่ หรือการนำข้อมูลไปใช้โดยมิชอบ

ในสถานการณ์เช่นนี้ การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลไม่ใช่แค่การนับเวลา 72 ชั่วโมง แต่ต้องพิจารณาจากข้อเท็จจริง ความเสี่ยง และดุลพินิจขององค์กรในขณะนั้นด้วย

ประเด็นนี้ไม่ได้ลดทอนความสำคัญของการแจ้งเหตุโดยทันท่วงที แต่เป็นการเน้นว่าเรื่องเวลาในการแจ้งเหตุต้องพิจารณาร่วมกับการรับรู้ข้อเท็จจริงของผู้ควบคุมข้อมูลส่วนบุคคล การประเมินความเสี่ยง และหน้าที่ต่อเนื่องในการแจ้งข้อมูลสำคัญเพิ่มเติมเมื่อมีข้อมูลที่ชัดเจนขึ้น

บทความนี้ต่อยอดจากบทความก่อนหน้าของเราเกี่ยวกับการแจ้งเหตุละเมิดข้อมูลส่วนบุคคล: ความเป็นส่วนตัวของข้อมูลส่วนบุคคลในประเทศไทย (ดู https://fosrlaw.com/2022/personal-data-breach-notifications/) และสะท้อนพัฒนาการในภาพรวมตามที่กล่าวไว้ในบทความ PDPA ของประเทศไทยในระยะที่สอง: พัฒนาการล่าสุดสะท้อนอะไรอย่างแท้จริง (ดู https://fosrlaw.com/2026/pdpa-phase-2/ ) กล่าวคือ การเปลี่ยนผ่านจากการจัดทำเอกสารในระยะเริ่มต้น ไปสู่ความรับผิดชอบในการดำเนินงานจริง

คำถามที่เกี่ยวข้อง ได้แก่ เมื่อใดจึงจะถือได้ว่าผู้ควบคุมข้อมูลส่วนบุคคลทราบเหตุการละเมิดข้อมูลส่วนบุคคลที่ต้องแจ้งตามกฎหมายแล้ว ควรยื่นแจ้งเหตุเบื้องต้นในขณะที่การสอบสวนยังไม่แล้วเสร็จหรือไม่ เหตุการณ์ดังกล่าวก่อให้เกิดความเสี่ยงหรือความเสี่ยงสูงต่อบุคคลที่ได้รับผลกระทบหรือไม่ นิติบุคคลไทยแต่ละรายต้องมีการวิเคราะห์แยกกันหรือไม่ และพัฒนาการภายหลังของเหตุการณ์ทำให้ต้องมีการแจ้งเพิ่มเติมต่อ PDPC หรือเจ้าของข้อมูลส่วนบุคคลที่ได้รับผลกระทบหรือไม่

ดังนั้น หลักเกณฑ์ 72 ชั่วโมงจึงเป็นเพียงจุดเริ่มต้น ประเด็นที่สำคัญกว่านั้นคือ องค์กรจะแสดงให้เห็นถึงความรับผิดชอบได้อย่างไร ในขณะที่ต้องดำเนินการภายใต้ความไม่แน่นอนของข้อเท็จจริง

การรับรู้ถึงเหตุการณ์ไม่ได้หมายถึงการพบสัญญาณผิดปกติทางเทคนิคครั้งแรกเสมอไป

ในการพิจารณาว่าต้องแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลหรือไม่ จุดเริ่มต้นคือเวลาที่องค์กรรับรู้ถึงเหตุการณ์ อย่างไรก็ตาม การรับรู้ดังกล่าวไม่ได้หมายความว่าองค์กรต้องถือว่าตนรับรู้แล้วทันทีที่พบสัญญาณผิดปกติทางเทคนิค ระบบทำงานผิดปกติ การติดต่อข่มขู่จากผู้ไม่หวังดี หรือรายงานภายในที่ยังไม่ได้รับการยืนยัน เพราะในช่วงแรก องค์กรอาจยังต้องตรวจสอบก่อนว่าเกิดเหตุการละเมิดข้อมูลส่วนบุคคลจริงหรือไม่ และเหตุการณ์นั้นเกี่ยวข้องกับข้อมูลส่วนบุคคลที่ต้องแจ้งตามกฎหมายหรือไม่

ในเหตุการณ์ที่กำลังเกิดขึ้นจริง องค์กรอาจทราบในช่วงแรกเพียงว่ามีกิจกรรมที่น่าสงสัยเกิดขึ้น แต่อาจยังไม่ทราบว่ามีข้อมูลส่วนบุคคลเกี่ยวข้องหรือไม่ ข้อมูลดังกล่าวเกี่ยวข้องกับบุคคลในประเทศไทยหรือไม่ การเข้าถึงดังกล่าวนำไปสู่การคัดลอกหรือการนำข้อมูลออกจากระบบหรือไม่ หรือชุดข้อมูลที่ได้รับผลกระทบอยู่ภายใต้การควบคุมของนิติบุคคลไทยหรือไม่

ประเด็นเหล่านี้มีความสำคัญ เพราะการพบกิจกรรมที่น่าสงสัยยังไม่จำเป็นต้องหมายความว่าเกิดเหตุการละเมิดข้อมูลส่วนบุคคลที่ต้องแจ้งตามกฎหมายแล้ว

ผู้ควบคุมข้อมูลส่วนบุคคลไม่ควรมองเกณฑ์การรับรู้เหตุการณ์ว่าเป็นเพียงการดูว่าเหตุการณ์ทางเทคนิคเกิดขึ้นเมื่อใด โดยแยกออกจากการพิจารณาทางกฎหมาย คำถามที่สำคัญไม่ใช่เพียงว่าเหตุการณ์ในระบบเกิดขึ้นเมื่อใด แต่คือเมื่อใดที่ผู้ควบคุมข้อมูลส่วนบุคคลมีเหตุอันสมควรที่จะสรุปได้ว่าเกิดเหตุการละเมิดข้อมูลส่วนบุคคลตามความหมายของกฎหมายคุ้มครองข้อมูลส่วนบุคคลแล้ว

ประเด็นนี้มีความสำคัญเป็นพิเศษในเหตุการณ์ที่เกี่ยวข้องกับหลายประเทศหรือหลายเขตอำนาจ เหตุการณ์ภัยคุกคามทางไซเบอร์ระดับภูมิภาคหรือระดับโลกอาจเกี่ยวข้องกับโครงสร้างพื้นฐานที่นิติบุคคลหลายแห่งในกลุ่มบริษัทใช้ร่วมกัน อย่างไรก็ตาม หน้าที่ในการแจ้งเหตุในประเทศไทยยังต้องอาศัยการวิเคราะห์เฉพาะสำหรับประเทศไทย การเกิดเหตุการละเมิดข้อมูลในระดับภูมิภาคเพียงอย่างเดียว ยังไม่สามารถตอบได้ว่า ข้อมูลส่วนบุคคลที่เกี่ยวข้องกับบุคคลในประเทศไทยได้รับผลกระทบหรือไม่ นิติบุคคลไทยใดเป็นผู้ควบคุมข้อมูลส่วนบุคคล หรือเหตุการณ์ดังกล่าวเป็นเหตุที่ต้องแจ้งในประเทศไทยหรือไม่

ขณะเดียวกัน ความไม่แน่นอนของข้อเท็จจริงไม่ควรถูกใช้เป็นเหตุในการรอจนกว่าประเด็นทางเทคนิคและการตรวจสอบทางนิติวิทยาศาสตร์ดิจิทัลทั้งหมดจะเสร็จสิ้น เมื่อมีเหตุอันสมควรที่จะเชื่อได้ว่าเกิดเหตุละเมิดข้อมูลส่วนบุคคลที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของบุคคลในประเทศไทยแล้ว และเหตุการณ์ดังกล่าวอาจก่อให้เกิดความเสี่ยงต่อบุคคลที่ได้รับผลกระทบ แนวทางที่รับผิดชอบตามกฎระเบียบคือการแจ้งเบื้องต้น พร้อมอธิบายอย่างชัดเจนถึงข้อจำกัดของข้อมูลที่มีอยู่และข้อเท็จจริงว่าการตรวจสอบยังคงดำเนินอยู่

การแจ้งเหตุเบื้องต้นเมื่อข้อเท็จจริงยังไม่ชัดเจน

ลักษณะสำคัญประการหนึ่งของการรับมือเหตุการละเมิดข้อมูลส่วนบุคคลภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล คือ การแจ้งเหตุไม่จำเป็นต้องรอให้การตรวจสอบทางนิติวิทยาศาสตร์ดิจิทัลเสร็จสมบูรณ์ก่อนเสมอไป

ในเหตุการณ์ภัยคุกคามทางไซเบอร์หลายกรณี การตรวจสอบอย่างครบถ้วนอาจใช้เวลาหลายสัปดาห์หรือนานกว่านั้น การรอจนกว่าจะมีข้อมูลครบถ้วนสมบูรณ์อาจไม่สอดคล้องกับวัตถุประสงค์ของการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล โดยเฉพาะในกรณีที่ข้อมูลที่ได้รับผลกระทบอาจรวมถึงข้อมูลระบุตัวตน ข้อมูลทางการเงิน ข้อมูลการจ้างงาน ข้อมูลส่วนบุคคลที่มีความอ่อนไหว หรือข้อมูลประเภทอื่นที่อาจก่อให้เกิดความเสี่ยงต่อบุคคล

ประเด็นนี้ทำให้เกิดความท้าทายในทางปฏิบัติ เนื่องจากการแจ้งเหตุในช่วงที่ยังไม่ทราบข้อเท็จจริงทั้งหมด ย่อมอาจมีข้อมูลบางส่วนที่ยังไม่ครบถ้วน อย่างไรก็ตาม การที่ข้อมูลยังไม่ครบถ้วนไม่ถือเป็นข้อบกพร่องในตัวเอง หากผู้ควบคุมข้อมูลส่วนบุคคลมีความโปร่งใสเกี่ยวกับสิ่งที่ทราบแล้ว สิ่งที่ยังอยู่ระหว่างการตรวจสอบ มาตรการที่ได้ดำเนินการไปแล้ว และแนวทางในการให้ข้อมูลเพิ่มเติมต่อไป ในทางกลับกัน การรอจนกว่าจะมีความแน่นอนครบถ้วน อาจไม่สอดคล้องกับหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลในการดำเนินการโดยไม่ชักช้าเมื่อถึงเกณฑ์ที่ต้องแจ้งเหตุแล้ว

ทางออกจึงไม่ใช่การพยายามทำให้เกิดความแน่นอนในขณะที่ข้อเท็จจริงยังไม่ชัดเจน แต่แนวทางที่เหมาะสมกว่าคือ การเปิดเผยข้อมูลอย่างโปร่งใสและเป็นระบบ

การแจ้งเหตุเบื้องต้นอาจเหมาะสมในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลมีเหตุเพียงพอที่จะเชื่อได้ว่าอาจเกิดเหตุการละเมิดข้อมูลส่วนบุคคลที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของบุคคลในประเทศไทย แม้ว่าจำนวนบุคคลที่ได้รับผลกระทบ ประเภทของข้อมูล หรือสาเหตุทางเทคนิคที่แน่ชัดจะยังอยู่ระหว่างการตรวจสอบก็ตาม ในกรณีดังกล่าว การแจ้งเหตุควรระบุอย่างชัดเจนว่าข้อมูลใดทราบแล้ว ข้อมูลใดยังอยู่ระหว่างการตรวจสอบ มาตรการใดได้ดำเนินการไปแล้ว การประเมินความเสี่ยงในปัจจุบันเป็นอย่างไร และผู้ควบคุมข้อมูลส่วนบุคคลจะให้ข้อมูลเพิ่มเติมอย่างไรเมื่อการตรวจสอบคืบหน้า

ประเด็นนี้ไม่ใช่เพียงเรื่องขั้นตอน แต่สะท้อนถึงการเปลี่ยนผ่านที่กว้างขึ้นในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทย จากการจัดทำเอกสารไปสู่ความรับผิดชอบในการดำเนินงานจริง สำหรับบริบทเพิ่มเติมเกี่ยวกับทิศทางการบังคับใช้กฎหมายนี้ โปรดดู “กฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) ของประเทศไทย: การบังคับใช้กฎหมายและการโอนข้อมูลส่วนบุคคลไปต่างประเทศ

ความเสี่ยงและความเสี่ยงสูงเป็นคนละประเด็นกัน

อีกหนึ่งประเด็นที่ทำให้การวิเคราะห์ซับซ้อน คือ ความแตกต่างระหว่างการแจ้งต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และการแจ้งต่อเจ้าของข้อมูลส่วนบุคคลที่ได้รับผลกระทบ

ภายใต้กรอบของ PDPA การแจ้งต่อ PDPC เกี่ยวข้องกับคำถามว่า เหตุการละเมิดข้อมูลส่วนบุคคลนั้นมีแนวโน้มที่จะก่อให้เกิดความเสี่ยงต่อสิทธิและเสรีภาพของบุคคลหรือไม่ ส่วนการแจ้งต่อเจ้าของข้อมูลส่วนบุคคลโดยทั่วไปเกี่ยวข้องกับเกณฑ์ที่สูงกว่า กล่าวคือ เหตุการละเมิดข้อมูลส่วนบุคคลนั้นมีแนวโน้มที่จะก่อให้เกิดความเสี่ยงสูงต่อสิทธิและเสรีภาพของบุคคลที่ได้รับผลกระทบหรือไม่ ในกรณีดังกล่าว ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลและมาตรการเยียวยาต่อเจ้าของข้อมูลส่วนบุคคลที่ได้รับผลกระทบโดยไม่ชักช้า

ความแตกต่างนี้มีความสำคัญอย่างยิ่ง

ไม่ใช่ทุกกรณีที่มีการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลแล้ว จะต้องแจ้งต่อเจ้าของข้อมูลส่วนบุคคลโดยตรงเสมอไป อย่างไรก็ตาม หากข้อเท็จจริงบ่งชี้ว่าเหตุการณ์นั้นมีความเสี่ยงสูงต่อเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งเจ้าของข้อมูลส่วนบุคคลตามกฎหมาย การแจ้งดังกล่าวจึงไม่ใช่เรื่องที่องค์กรเลือกทำได้ตามความเหมาะสม และไม่ใช่เพียงเรื่องการรักษาชื่อเสียงขององค์กร

การประเมินความเสี่ยงควรพิจารณาลักษณะของข้อมูล สถานการณ์ของเหตุการละเมิดข้อมูลส่วนบุคคล ความเป็นไปได้ที่ข้อมูลจะถูกนำไปใช้โดยมิชอบ ความอ่อนไหวของบุคคลที่ได้รับผลกระทบ ขนาดของเหตุการณ์ และข้อเท็จจริงว่าข้อมูลถูกเข้าถึง ถูกคัดลอก ถูกเปิดเผย ถูกเสนอขาย หรือถูกทำให้บุคคลที่ไม่ได้รับอนุญาตสามารถเข้าถึงได้ในลักษณะอื่นหรือไม่

ข้อมูลส่วนบุคคลที่มีความอ่อนไหว เอกสารระบุตัวตน ข้อมูลทางการเงิน ข้อมูลเงินเดือน ข้อมูลสุขภาพ ข้อมูลรับรองการเข้าสู่ระบบ หรือข้อมูลที่อาจทำให้เกิดการฉ้อโกงหรือการแอบอ้างตัวตน อาจเพิ่มความเป็นไปได้ที่เหตุการณ์จะเข้าเกณฑ์ความเสี่ยงสูง เช่นเดียวกับกรณีที่มีหลักฐานว่าข้อมูลไม่ได้ถูกเข้าถึงโดยไม่ได้รับอนุญาตเพียงอย่างเดียว แต่ถูกนำออกจากระบบจริง ถูกเผยแพร่ หรือมีความพยายามที่จะเผยแพร่

ประเด็นสำคัญในทางปฏิบัติคือ การประเมินความเสี่ยงอาจเปลี่ยนแปลงได้ เหตุการละเมิดข้อมูลส่วนบุคคลที่ในตอนแรกถูกประเมินว่าก่อให้เกิดความเสี่ยง อาจต้องได้รับการประเมินใหม่ในภายหลัง หากการตรวจสอบเพิ่มเติมยืนยันข้อเท็จจริงที่ร้ายแรงกว่าเดิม

ความรับผิดชอบของแต่ละนิติบุคคลในเหตุการณ์ที่เกิดขึ้นกับกลุ่มบริษัท

องค์กรข้ามชาติมักรับมือเหตุการณ์ภัยคุกคามทางไซเบอร์ในระดับกลุ่มบริษัท ซึ่งเป็นเรื่องที่เข้าใจได้จากมุมมองด้านการดำเนินงานและด้านเทคนิค เนื่องจากระบบอาจถูกใช้ร่วมกัน โครงสร้างพื้นฐานอาจถูกรวมศูนย์ การตรวจสอบทางนิติวิทยาศาสตร์ดิจิทัลอาจมีการประสานงานในระดับภูมิภาค และการสื่อสารในภาวะวิกฤตอาจถูกจัดการโดยสำนักงานใหญ่หรือทีมรับมือระดับภูมิภาค

อย่างไรก็ตาม การวิเคราะห์ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทยยังต้องประเมินความรับผิดชอบของแต่ละนิติบุคคลอย่างรอบคอบ

ในกรณีที่มีนิติบุคคลไทยหลายแห่งเกี่ยวข้อง การที่เหตุการณ์ภัยคุกคามทางไซเบอร์เดียวกันส่งผลกระทบต่อนิติบุคคลเหล่านั้น ไม่ได้หมายความว่าการแจ้งเหตุเพียงครั้งเดียวจะเพียงพอเสมอไป นิติบุคคลแต่ละแห่งอาจเป็นผู้ควบคุมข้อมูลส่วนบุคคลแยกจากกัน อาจถือครองข้อมูลส่วนบุคคลคนละประเภท เกี่ยวข้องกับเจ้าของข้อมูลส่วนบุคคลคนละกลุ่ม ดำเนินธุรกิจในบริบทที่แตกต่างกัน และมีระดับความเสี่ยงหรือผลกระทบที่แตกต่างกัน

ประเด็นนี้เป็นความท้าทายที่พบได้บ่อยในเหตุการณ์ที่เกิดขึ้นกับกลุ่มบริษัท การอธิบายเหตุการณ์เป็นภาพรวมระดับภูมิภาคเพียงชุดเดียวอาจมีประสิทธิภาพในทางปฏิบัติ แต่ความรับผิดชอบตามกฎหมายและกฎระเบียบมักยังคงผูกอยู่กับนิติบุคคลที่กำหนดวัตถุประสงค์และวิธีการประมวลผลข้อมูลส่วนบุคคลในประเทศไทย

ดังนั้น การบริหารจัดการเหตุการณ์ในระดับกลุ่มบริษัทควรสอดคล้องกับการวิเคราะห์ผู้ควบคุมข้อมูลส่วนบุคคลในระดับท้องถิ่น หากนิติบุคคลไทยหลายแห่งได้รับผลกระทบ ควรพิจารณาบทบาทของแต่ละนิติบุคคล ชุดข้อมูลที่เกี่ยวข้อง เจ้าของข้อมูลส่วนบุคคลที่ได้รับผลกระทบ และระดับความเสี่ยงของแต่ละนิติบุคคลแยกจากกัน

เรื่องนี้ไม่ใช่เพียงเรื่องเอกสารหรือพิธีการ แต่เป็นเรื่องสำคัญเพื่อให้ตรวจสอบย้อนหลังได้ว่าแต่ละนิติบุคคลมีหน้าที่อะไร และได้ปฏิบัติตามกฎหมายอย่างเหมาะสมหรือไม่

แนวทางที่พิจารณาความรับผิดชอบในระดับนิติบุคคลนี้ยังสอดคล้องกับประเด็นเชิงเปรียบเทียบที่กล่าวไว้ในบทความ “กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (GDPR) กับ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย (PDPA): การเปรียบเทียบสาระสำคัญทางกฎหมาย มิถุนายน 2568” กล่าวคือ แม้ความเข้าใจเกี่ยวกับ GDPR จะช่วยเป็นแนวทางได้ แต่การปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทยยังต้องพิจารณาตามกฎหมายไทย โดยเฉพาะเรื่องบทบาท ความรับผิดชอบ และวิธีการดำเนินการของนิติบุคคลที่เกี่ยวข้องในประเทศไทย

การแจ้งข้อมูลเพิ่มเติมเป็นส่วนหนึ่งของการแสดงความรับผิดชอบ

การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลไม่ควรถูกมองว่าเป็นการแจ้งเพียงครั้งเดียวแล้วจบ หากข้อเท็จจริงสำคัญยังอยู่ระหว่างการตรวจสอบ

หากผู้ควบคุมข้อมูลส่วนบุคคลได้แจ้งเหตุเบื้องต้นไปก่อน โดยอาศัยข้อมูลเท่าที่มีอยู่ในขณะนั้น ต่อมาหากมีข้อเท็จจริงสำคัญเพิ่มเติม ผู้ควบคุมข้อมูลส่วนบุคคลอาจจำเป็นต้องแจ้งข้อมูลเพิ่มเติมต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล การแจ้งเพิ่มเติมดังกล่าวเป็นส่วนหนึ่งของการแสดงความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล และเป็นการให้ความร่วมมือกับหน่วยงานกำกับดูแล

การแจ้งเพิ่มเติมอาจเหมาะสมในกรณีที่องค์กรยืนยันข้อเท็จจริงสำคัญที่ก่อนหน้านี้ยังไม่ทราบ เช่น พบว่ามีข้อมูลส่วนบุคคลของบุคคลในประเทศไทยเกี่ยวข้อง พบประเภทข้อมูลที่ได้รับผลกระทบ ยืนยันจำนวนเจ้าของข้อมูลส่วนบุคคลที่ได้รับผลกระทบ พบว่ามีข้อมูลส่วนบุคคลที่มีความอ่อนไหว มีหลักฐานว่าข้อมูลถูกนำออกจากระบบ ถูกเผยแพร่ ถูกนำไปใช้โดยมิชอบ หรือมีข้อเท็จจริงใหม่ที่ทำให้การประเมินความเสี่ยงเปลี่ยนแปลงไป

การแจ้งเพิ่มเติมไม่ได้หมายความว่าการแจ้งครั้งแรกผิดหรือไม่ครบถ้วนเสมอไป ในหลายกรณี การแจ้งเพิ่มเติมสะท้อนความเป็นจริงว่า การรับมือเหตุการละเมิดข้อมูลส่วนบุคคลเป็นกระบวนการที่ต้องปรับตามข้อเท็จจริงที่ค่อย ๆ ชัดเจนขึ้น

ประเด็นนี้สำคัญเป็นพิเศษในกรณีที่เหตุการณ์ภัยคุกคามทางไซเบอร์พัฒนาไปตามเวลา ในช่วงแรก ผู้ควบคุมข้อมูลส่วนบุคคลอาจทราบเพียงว่าระบบถูกเข้าถึง ต่อมาอาจยืนยันได้ว่าข้อมูลถูกคัดลอก และหลังจากนั้นอาจพบว่าข้อมูลถูกโพสต์ ถูกเสนอขาย หรือถูกเผยแพร่ในลักษณะที่ทำให้ความเสี่ยงต่อบุคคลที่ได้รับผลกระทบเพิ่มขึ้นอย่างมีนัยสำคัญ

ข้อเท็จจริงในแต่ละช่วงอาจทำให้การประเมินทางกฎหมายและการดำเนินงานเปลี่ยนแปลงไป

ดังนั้น คำถามจึงไม่ใช่เพียงว่า ผู้ควบคุมข้อมูลส่วนบุคคล “ได้แจ้งไปแล้วหรือยัง” แต่คือ หน่วยงานกำกับดูแลได้รับข้อมูลสำคัญที่เกิดขึ้นภายหลังอย่างเหมาะสมหรือไม่ โดยเฉพาะข้อมูลที่เกี่ยวข้องกับความเสี่ยง ผลกระทบ และมาตรการบรรเทาผลกระทบจากเหตุการละเมิดข้อมูลส่วนบุคคล

การสื่อสารกับเจ้าของข้อมูลส่วนบุคคลต้องใช้ได้จริงในทางปฏิบัติ

ในกรณีที่ต้องแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลต่อเจ้าของข้อมูลส่วนบุคคล การแจ้งนั้นไม่ควรเป็นเพียงประกาศทั่วไปที่บอกว่าเกิดเหตุการณ์ขึ้นเท่านั้น

หากเหตุการณ์นั้นมีความเสี่ยงสูง การแจ้งควรช่วยให้บุคคลที่ได้รับผลกระทบเข้าใจว่าเกิดอะไรขึ้น ข้อมูลส่วนบุคคลประเภทใดอาจได้รับผลกระทบ มีความเสี่ยงอะไรบ้าง ผู้ควบคุมข้อมูลส่วนบุคคลได้ดำเนินการอะไรไปแล้ว บุคคลนั้นควรพิจารณาทำอะไรเพื่อป้องกันตนเอง และสามารถติดต่อใครได้หากต้องการข้อมูลเพิ่มเติม

ประเด็นนี้สำคัญ เพราะการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลมักมีปัญหาได้สองแบบ

แบบแรก คือ แจ้งคลุมเครือเกินไป เช่น แจ้งเพียงว่าเกิดเหตุการณ์ขึ้น แต่ไม่ได้อธิบายว่าอาจเกิดผลกระทบอะไร ข้อมูลประเภทใดเกี่ยวข้อง หรือเจ้าของข้อมูลส่วนบุคคลควรระวังเรื่องใดบ้าง

แบบที่สอง คือ แจ้งกว้างเกินไป เช่น แนะนำให้เจ้าของข้อมูลส่วนบุคคลดำเนินมาตรการที่รุนแรงหรือยุ่งยาก ทั้งที่อาจยังไม่จำเป็นเมื่อพิจารณาจากความเสี่ยงและข้อมูลที่มีอยู่ในขณะนั้น

การแจ้งที่เหมาะสมตามกฎหมายควรถูกต้อง ได้สัดส่วนกับความเสี่ยง และเป็นประโยชน์ในทางปฏิบัติ กล่าวคือ ไม่ควรคาดเดาเกินกว่าข้อเท็จจริง แต่ควรให้ข้อมูลเพียงพอเพื่อให้เจ้าของข้อมูลส่วนบุคคลสามารถดำเนินการป้องกันตนเองได้อย่างสมเหตุสมผล

ประเด็นนี้มีความสำคัญเป็นพิเศษ หากข้อมูลที่ได้รับผลกระทบอาจถูกนำไปใช้เพื่อหลอกลวงทางอีเมลหรือช่องทางอิเล็กทรอนิกส์ แอบอ้างตัวตน ฉ้อโกง ใช้ข้อมูลประจำตัวในทางที่มิชอบ ทำธุรกรรมทางการเงินโดยไม่ได้รับอนุญาต หรือใช้ข้อมูลส่วนบุคคลที่มีความอ่อนไหวในทางที่มิชอบ

การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลไม่ใช่แค่การยื่นเอกสาร

การแจ้งเหตุภายใต้ PDPA ไม่ควรถูกมองว่าเป็นเพียงการยื่นเอกสารต่อหน่วยงานกำกับดูแลเท่านั้น แต่ควรเป็นส่วนหนึ่งของการรับมือเหตุการณ์ทั้งหมดขององค์กร

เมื่อเกิดเหตุการละเมิดข้อมูลส่วนบุคคลที่ร้ายแรง องค์กรอาจต้องดำเนินการหลายอย่างควบคู่กัน เช่น ตรวจสอบว่าเกิดอะไรขึ้น ควบคุมความเสียหายต่อระบบ ทำให้ธุรกิจยังดำเนินต่อไปได้ สื่อสารกับพนักงานหรือลูกค้า ประสานงานกับผู้ให้บริการภายนอก ทบทวนว่ามีข้อมูลส่วนบุคคลใดเกี่ยวข้อง ประเมินมาตรการรักษาความมั่นคงปลอดภัยใหม่ ติดตามว่าข้อมูลถูกเผยแพร่หรือถูกนำไปใช้โดยมิชอบหรือไม่ และบันทึกเหตุผลในการตัดสินใจขององค์กร

ดังนั้น การแจ้งต่อ PDPC จึงไม่ใช่เพียงการกรอกแบบฟอร์ม แต่เป็นการแสดงให้หน่วยงานกำกับดูแลเห็นว่าองค์กรเข้าใจเหตุการณ์อย่างไร ได้ควบคุมเหตุการณ์อย่างไร ประเมินความเสี่ยงอย่างไร และบริหารจัดการเหตุการณ์อย่างไร

ด้วยเหตุนี้ คุณภาพของการรับมือภายในองค์กรจึงมีความสำคัญ หากการแจ้งเหตุเพียงบอกว่าเกิดเหตุการณ์ขึ้น แต่ไม่ได้แสดงให้เห็นว่าองค์กรได้ควบคุมเหตุ ประเมินความเสี่ยง บรรเทาผลกระทบ และติดตามสถานการณ์อย่างต่อเนื่อง การแจ้งนั้นอาจถือว่ายื่นแล้วในทางรูปแบบ แต่ยังไม่หนักแน่นเพียงพอในทางเนื้อหา

ในทางกลับกัน หากการแจ้งเหตุจัดทำอย่างเป็นระบบ โดยอธิบายข้อเท็จจริงที่ทราบแล้ว สิ่งที่ยังไม่ชัดเจน มาตรการที่ใช้ควบคุมเหตุการณ์ การประเมินความเสี่ยง และแนวทางในการแจ้งข้อมูลเพิ่มเติมในอนาคต การแจ้งนั้นจะช่วยแสดงให้เห็นว่าองค์กรรับมือกับเหตุการณ์อย่างจริงจังและมีความรับผิดชอบ แม้ว่าการตรวจสอบจะยังไม่เสร็จสิ้นก็ตาม

แนวทางนี้ยังสอดคล้องกับพัฒนาการด้านความมั่นคงปลอดภัยไซเบอร์ในประเทศไทยโดยรวม สำหรับประเด็นที่เกี่ยวข้องกับความคาดหวังด้านมาตรการทางเทคนิคและมาตรการขององค์กร โปรดดูบทความ “มาตรฐานความมั่นคงปลอดภัยของเว็บไซต์ฉบับใหม่ของประเทศไทย ปี 2568: ผลต่อการปฏิบัติตามกฎหมายว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์

บทบาทของหน่วยงานอื่น

ไม่ใช่ทุกกรณีที่เกิดเหตุการละเมิดข้อมูลส่วนบุคคลแล้ว องค์กรจะต้องแจ้งหน่วยงานไทยอื่นนอกเหนือจาก PDPC เสมอไป

อย่างไรก็ตาม องค์กรควรพิจารณาตามข้อเท็จจริงของแต่ละเหตุการณ์ว่า เหตุการณ์นั้นเกี่ยวข้องกับกฎหมายอื่นหรือหน่วยงานอื่นด้วยหรือไม่ เช่น เป็นเหตุอาชญากรรมทางคอมพิวเตอร์หรือไม่ จำเป็นต้องแจ้งความหรือประสานงานกับเจ้าหน้าที่ตำรวจหรือไม่ เกี่ยวข้องกับหน่วยงานกำกับดูแลเฉพาะธุรกิจหรือไม่ หรือเกี่ยวข้องกับโครงสร้างพื้นฐานสำคัญหรือธุรกิจที่มีกฎหมายเฉพาะกำกับดูแลหรือไม่

การแจ้งความหรือร้องทุกข์ต่อเจ้าหน้าที่ตำรวจอาจมีความจำเป็นในบางกรณี เช่น หากเหตุการณ์นั้นเกี่ยวข้องกับการเข้าถึงระบบโดยไม่ได้รับอนุญาต การข่มขู่เรียกค่าไถ่ การลักข้อมูล การฉ้อโกง หรือการนำข้อมูลไปใช้โดยมิชอบในภายหลัง การแจ้งความหรือร้องทุกข์ยังอาจช่วยแสดงให้เห็นว่าองค์กรได้ดำเนินมาตรการรับมือกับเหตุการณ์แล้ว และอาจเป็นประโยชน์ในภายหลัง หากบุคคลที่ได้รับผลกระทบถูกแอบอ้างตัวตน ถูกฉ้อโกง หรือถูกนำข้อมูลส่วนบุคคลไปใช้โดยมิชอบ

อย่างไรก็ตาม หน้าที่ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลไม่ใช่หน้าที่เดียวกับการรายงานเหตุด้านความมั่นคงปลอดภัยไซเบอร์หรือการแจ้งเหตุอาชญากรรมทุกกรณี การที่องค์กรต้องติดต่อหรือแจ้งหน่วยงานอื่นหรือไม่นั้น ต้องพิจารณาจากข้อเท็จจริงของแต่ละเหตุการณ์ เช่น ลักษณะของเหตุการณ์ ระบบที่ได้รับผลกระทบ ประเภทธุรกิจ ข้อมูลที่เกี่ยวข้อง และกฎหมายอื่นที่อาจใช้บังคับ

กล่าวอีกอย่างหนึ่ง การรับมือเหตุการละเมิดข้อมูลส่วนบุคคลต้องพิจารณาก่อนว่าเหตุการณ์นั้นเข้าข่ายกฎหมายใดบ้าง ไม่ใช่แจ้งหรือยกระดับเรื่องไปยังทุกหน่วยงานโดยอัตโนมัติ

หากเหตุการณ์เกี่ยวข้องกับแพลตฟอร์มออนไลน์ ผู้ให้บริการดิจิทัล หรือผู้ให้บริการตัวกลาง การรับมือเหตุการละเมิดข้อมูลส่วนบุคคลอาจเกี่ยวข้องกับกฎหมายไทยด้านการกำกับดูแลแพลตฟอร์มและกฎหมายอาชญากรรมทางคอมพิวเตอร์ด้วย สำหรับบริบทเพิ่มเติม โปรดดูบทความ “กฎระเบียบเกี่ยวกับแพลตฟอร์มดิจิทัลของประเทศไทย ปี 2568: ร่างกฎหมายว่าด้วยเศรษฐกิจแพลตฟอร์มดิจิทัล กฎหมายอาชญากรรมทางคอมพิวเตอร์ กฎหมายหมิ่นพระบรมเดชานุภาพ และหน้าที่ในการปฏิบัติตามกฎหมาย

ผลในทางปฏิบัติสำหรับองค์กร

สำหรับองค์กรที่ประกอบการในประเทศไทย บทเรียนสำคัญคือ การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลไม่ควรถูกมองว่าเป็นเพียงการจัดการให้ยื่นแจ้งทันกำหนดเวลาเท่านั้น

ประเด็นที่สำคัญกว่านั้นคือ องค์กรมีกระบวนการที่สามารถอธิบายและรองรับได้หรือไม่ว่า องค์กรรับรู้เหตุการณ์เมื่อใด ประเมินความเสี่ยงอย่างไร กำหนดความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคลอย่างไร บันทึกข้อเท็จจริงที่ยังไม่ชัดเจนอย่างไร ตัดสินใจว่าจะต้องแจ้งเหตุหรือไม่อย่างไร จัดทำการสื่อสารที่มีความหมายต่อผู้ที่เกี่ยวข้องอย่างไร และจะแจ้งข้อมูลเพิ่มเติมต่อหน่วยงานกำกับดูแลอย่างไรเมื่อมีข้อเท็จจริงสำคัญเปลี่ยนแปลง

ดังนั้น องค์กรควรตรวจสอบให้แน่ใจว่าขั้นตอนการรับมือเหตุการละเมิดข้อมูลส่วนบุคคลของตนครอบคลุมมากกว่าหลักเกณฑ์ 72 ชั่วโมง โดยขั้นตอนดังกล่าวควรรองรับการใช้ดุลพินิจที่จำเป็นทั้งก่อนการแจ้งเหตุ ระหว่างการแจ้งเหตุ และหลังจากแจ้งเหตุแล้ว

เรื่องนี้รวมถึงกระบวนการยกระดับเรื่องภายในองค์กร การจัดทำแผนผังข้อมูลเฉพาะสำหรับประเทศไทย การวิเคราะห์บทบาทของผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล ความรับผิดชอบของแต่ละนิติบุคคล การประเมินความเสี่ยงต่อเจ้าของข้อมูลส่วนบุคคล บันทึกการตัดสินใจ แบบฟอร์มหรือแม่แบบการแจ้งเหตุ ขั้นตอนการสื่อสารกับหน่วยงานกำกับดูแล และกลไกสำหรับการแจ้งข้อมูลเพิ่มเติม

ในทางปฏิบัติ องค์กรที่เตรียมตัวเพียงเพื่อให้สามารถยื่นแจ้งได้ตามหน้าที่ อาจพบว่ายังไม่พร้อมสำหรับภาระที่แท้จริงในการบริหารจัดการเหตุการณ์ที่กำลังเกิดขึ้นจริง

จากการรับรู้สู่ความรับผิดชอบ

การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศไทยมักถูกอธิบายโดยอ้างถึงหลักเกณฑ์ 72 ชั่วโมง หลักเกณฑ์นี้มีความสำคัญ แต่ยังไม่ครอบคลุมการวิเคราะห์ทางกฎหมายและการดำเนินงานทั้งหมด

ประเด็นที่ยากกว่ามักเกิดขึ้นในช่วงระหว่าง “การรับรู้เหตุการณ์” และ “ความแน่นอนของข้อเท็จจริง”

องค์กรอาจต้องตัดสินใจในขณะที่การตรวจสอบทางนิติวิทยาศาสตร์ดิจิทัลยังไม่เสร็จสิ้น ชุดข้อมูลที่ได้รับผลกระทบยังอยู่ระหว่างการตรวจสอบ การเกี่ยวข้องของข้อมูลส่วนบุคคลของบุคคลในประเทศไทยยังไม่ได้รับการยืนยันอย่างครบถ้วน และความเสี่ยงต่อบุคคลอาจเปลี่ยนแปลงได้เมื่อมีข้อเท็จจริงใหม่ปรากฏขึ้น

ในสถานการณ์เช่นนี้ คำถามหลักไม่ใช่เพียงว่าองค์กรได้ยื่นแจ้งภายในกำหนดเวลาหรือไม่ แต่คือ ผู้ควบคุมข้อมูลส่วนบุคคลได้ใช้ดุลพินิจอย่างเป็นระบบหรือไม่ ได้บันทึกเหตุผลในการตัดสินใจหรือไม่ ได้สื่อสารอย่างเหมาะสมหรือไม่ ได้ประเมินข้อเท็จจริงสำคัญที่เกิดขึ้นใหม่หรือไม่ และได้แสดงความรับผิดชอบตลอดกระบวนการรับมือเหตุการณ์หรือไม่

กฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศไทยกำลังให้ความสำคัญกับแนวทางนี้มากขึ้น ดังนั้น การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลจึงไม่ควรถูกมองว่าเป็นเพียงแบบฟอร์มการปฏิบัติตามกฎหมายที่แยกออกมาต่างหาก แต่ควรถูกมองว่าเป็นส่วนหนึ่งของการบริหารจัดการข้อมูลส่วนบุคคลอย่างรับผิดชอบในการดำเนินงานจริงขององค์กร

ข้อสงวนสิทธิ

เอกสารเผยแพร่นี้จัดทำขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลทั่วไปเท่านั้น และไม่ถือเป็นคำปรึกษาทางกฎหมาย การบังคับใช้กฎหมายอาจแตกต่างกันไปตามข้อเท็จจริงและพฤติการณ์ของแต่ละกรณี ผู้อ่านควรขอคำปรึกษาจากผู้เชี่ยวชาญที่เหมาะสมก่อนดำเนินการใด ๆ เกี่ยวกับประเด็นที่กล่าวถึงในเอกสารนี้

Tags: , , , , , , , , ,