วิธีลดการละเมิดข้อมูล ไม่ให้เกิดความเสียหาย

วิธีลดการละเมิดข้อมูล การละเมิดข้อมูล คำสองคำที่คุณไม่อยากได้ยินหลังจากสัปดาห์ที่ยาวนาน ในที่สุดก็ถึงบ่ายวันศุกร์ที่คุณรอคอย วันหยุดสุดสัปดาห์วางแผนกับครอบครัว นาฬิกาเพิ่งตี 16:00 น. และสภาพอากาศไม่เลวร้ายอย่างที่คาดการณ์ไว้ อย่างไรก็ตาม หลังจากดำเนินการ DPIAแล้ว คุณพบว่าตัวเองอยู่ในสถานการณ์ที่คุณมีเวลาเพียง 72 ชั่วโมงในการจัดการกับการละเมิดทั้งหมด ในบล็อกโพสต์นี้ เราจะหารือเกี่ยวกับตัวเลือกของคุณและให้การสนับสนุนในการจัดการขั้นตอนนี้อย่างราบรื่น

การละเมิดข้อมูลสามารถเกิดขึ้นได้หลายรูปแบบ ตัวอย่างเช่น กรณีล่าสุดที่ชิ้นงานศิลปะในเมืองเล็ก ๆ ในสหราชอาณาจักรได้รับความสนใจทั่วประเทศ ประติมากรรมศิลปะใจกลางเมืองซึ่งทำจากกระดาษรีไซเคิลมีข้อมูลทางการแพทย์ที่ละเอียดอ่อนของผู้ป่วย NHS หลายร้อยราย แม้จะมีเจตนาให้ผลงานศิลปะเป็นรูปแบบหนึ่งของความคิดสร้างสรรค์ แต่ก็ทำให้เกิดการละเมิดข้อมูล

การละเมิดข้อมูลทำมากกว่าแค่ทำร้ายกระเป๋าเงินของบริษัทในแง่ของค่าปรับ นอกจากนี้ยังทำร้ายเอกลักษณ์ของบริษัท และทำให้บุ๋มกับความไว้วางใจระหว่างพวกเขากับผู้บริโภคหรือลูกค้าของพวกเขา การบรรเทาเหตุการณ์ดังกล่าวจึงมีความจำเป็นสูงสุดสำหรับองค์กรใดๆ พูดง่ายกว่าทำ. 

ด้านล่างนี้ คุณจะพบเคล็ดลับมากมายในการเอาชนะความท้าทายในการเผชิญกับการละเมิดข้อมูล

แยกแยะประเภทของการละเมิดข้อมูลหากคุณได้ข้อสรุปว่าคุณจะรายงานการละเมิดข้อมูล มาตรา 33 และ 34 ของ GDPR สามารถช่วยแยกแยะประเภทของการละเมิดข้อมูลที่คุณอาจกำลังเผชิญอยู่ได้ มาดูสถานการณ์สามสถานการณ์ที่สามารถช่วยคาดการณ์สิ่งที่คุณควรทำต่อไปกัน
• สถานการณ์ที่ 1 : การละเมิดไม่น่าจะส่งผลให้เกิดความเสี่ยงต่อสิทธิและเสรีภาพของบุคคลธรรมดา (มาตรา 33(1), GDPR) ในสถานการณ์สมมตินี้ ไม่จำเป็นต้องส่งการแจ้งเตือนไปยังหน่วยงานกำกับดูแลของคุณ อย่างไรก็ตาม การละเมิดควรได้รับการจดทะเบียนภายในองค์กรของคุณเพื่อวัตถุประสงค์ด้านความรับผิดชอบ ตัวอย่างเช่น การสูญหายของอุปกรณ์มือถือที่เข้ารหัสอย่างปลอดภัยอาจ (ในบางกรณี) ไม่ต้องการการแจ้งเตือน

• สถานการณ์ที่ 2 : การละเมิดมีแนวโน้มที่จะส่งผลให้เกิดความเสี่ยงต่อสิทธิและเสรีภาพของบุคคลธรรมดา (มาตรา 33(1) GDPR) ควรส่งการแจ้งเตือนไปยังหน่วยงานกำกับดูแลของคุณ อย่างไรก็ตาม การละเมิดไม่จำเป็นต้องมีการสื่อสารกับเจ้าของข้อมูลที่เกี่ยวข้อง

ตัวอย่างเช่น มีการลงทะเบียนชื่อของนักเรียนจำนวนมากด้วยเหตุผลในการเข้าร่วม และส่งไปยังผู้รับที่ไม่ถูกต้องโดยไม่ได้ตั้งใจ 

• สถานการณ์ที่ 3 : การละเมิดมีแนวโน้มที่จะส่งผลให้เกิดความเสี่ยงสูงต่อสิทธิและเสรีภาพของบุคคลธรรมดา (มาตรา 34(1) GDPR) หากนี่เป็นผลมาจากการประเมินของคุณ คุณควรคำนึงว่าคุณควรแจ้งหน่วยงานกำกับดูแลของคุณโดยเด็ดขาดโดยไม่ชักช้า หากคุณเป็นผู้ประมวลผล คุณควรแจ้งผู้ควบคุมด้วย (มาตรา 33(2) GDPR) ในลักษณะที่ตกลงกันไว้ สมมติว่าเวชระเบียนในโรงพยาบาลไม่มีให้บริการเป็นเวลา 30 ชั่วโมงเนื่องจากการโจมตีทางไซเบอร์ ทำให้สุขภาพของเจ้าของข้อมูลมีความเสี่ยง

นอกจากการแจ้งไปยังหน่วยงานกำกับดูแลแล้ว จะต้องแจ้งเจ้าของข้อมูลที่ได้รับผลกระทบด้วย (มาตรา 34 (1) GDPR) ตัวอย่างเช่น ในกรณีที่เนื่องจากการโจมตีทางไซเบอร์ เวชระเบียนในโรงพยาบาลไม่สามารถใช้งานได้เป็นเวลาหลายชั่วโมง ผู้ป่วยที่เข้ารับการรักษาที่นั่นจะเกิดภัยคุกคาม ดังนั้น โรงพยาบาลจึงควรรายงานเรื่องนี้ไปยังหน่วยงานกำกับดูแล แต่รวมถึงผู้ป่วยที่ได้รับผลกระทบด้วย
สอบสวนเหตุการณ์
หลังจากที่คุณได้พิจารณาแล้วว่าสถานการณ์การรั่วไหลของข้อมูลใดที่นำไปใช้กับสถานการณ์ของคุณ คุณสามารถเริ่มต้นการตรวจสอบเพิ่มเติมเกี่ยวกับเหตุการณ์ที่เกิดขึ้นได้ทันที หลังจากดำเนินการดังกล่าวแล้ว ควรส่งการแจ้งเตือนการละเมิดภายในไปยังทุกคนในองค์กร ส่วนหนึ่งของสิ่งนี้ เป็นสิ่งสำคัญที่ผู้ควบคุมข้อมูลต้องปฏิบัติตามขั้นตอนต่อไปนี้ และรวมถึงประเด็นด้านล่างในการแจ้งเตือน:


หากคุณตัดสินใจที่จะรายงานต่อเจ้าหน้าที่ ตรวจสอบให้แน่ใจว่าคุณใช้ภาษาที่ถูก
ต้อง ขั้นตอนสำคัญอย่างหนึ่งในการทำความเข้าใจข้อกำหนดสำหรับการรายงานการละเมิดข้อมูลส่วนบุคคลคือการรู้ภาษาของแบบฟอร์มการรายงานตั้งแต่เริ่มต้น อุปสรรคด้านภาษาที่อาจเกิดขึ้นอาจนำไปสู่ปัญหาหรือความล่าช้าในการรายงานการละเมิดข้อมูล การเตรียมพร้อมล่วงหน้าจะช่วยคุณจากสถานการณ์นี้ DPA ส่วนใหญ่มีแบบฟอร์มการรายงานเวอร์ชันภาษาอังกฤษ และ aDPA ส่วนใหญ่ (68%) อนุญาตให้รายงานการละเมิดข้อมูลในภาษาท้องถิ่นของตลาดที่มีองค์กรที่มีการละเมิดอยู่

รายงานตรงเวลา
การดำเนินการอย่างรวดเร็วและการรายงานที่มีประสิทธิภาพด้านเวลาเป็นปัจจัยที่จำเป็นอย่างยิ่งในการรายงานการละเมิดข้อมูล ดังนั้นแบบฟอร์มการรายงานดิจิทัลมักจะเป็นประโยชน์มากกว่า – ตรวจสอบให้แน่ใจว่าคุณทราบว่า DPA ใดได้สร้างแบบฟอร์มการรายงานดิจิทัลที่มีอยู่ในเว็บไซต์ของตน “แบบฟอร์มการรายงานดิจิทัล” นี้สามารถกรอกและส่งผ่านเว็บไซต์ของ DPA ได้ ทำให้กระบวนการนี้เป็นทางเลือกที่ประหยัดเวลาแทนกระบวนการออฟไลน์ ซึ่งจำเป็นต้องดาวน์โหลดและส่งแบบฟอร์มไปยังหน่วยงานผ่านทางอีเมลหรือทางไปรษณีย์พึงระลึกไว้ว่า DPA ไม่ใช่ทุกแห่งที่ใช้แบบฟอร์มการรายงานดิจิทัล แต่มีเพียง 46% เท่านั้นที่มีตัวเลือกนี้

รวมไว้ในรายงาน
ตามมาตรา 33 ของ GDPR การแจ้งเตือนไปยังหน่วยงานกำกับดูแลชั้นนำควรมี:•ลักษณะของการละเมิด
•หมวดหมู่และจำนวนโดยประมาณของเจ้าของข้อมูลที่เกี่ยวข้อง
•ประเภทของข้อมูลส่วนบุคคลและจำนวนบันทึกข้อมูลส่วนบุคคลที่เกี่ยวข้อง 
ควรรวมรายละเอียดการติดต่อของเจ้าหน้าที่คุ้มครองข้อมูลและบุคคลที่ติดต่ออื่น ๆ ที่เกี่ยวข้องด้วย
•ควรมีคำอธิบายเกี่ยวกับผลที่น่าจะเป็นของการละเมิดสำหรับเจ้าของข้อมูล
•มาตรการต่างๆ ที่ได้ดำเนินการเพื่อจัดการกับผลที่ตามมา รวมถึงมาตรการบรรเทาผลกระทบ วิธีลดการละเมิดข้อมูล

หากไม่แจ้งภายในระยะเวลา 72 ชั่วโมงหลังจากทราบ การละเมิดเหตุผลของความล่าช้าควรระบุในรายงานด้วย   

มาตรการป้องกันที่จะเกิดขึ้นในอนาคต

รวมกลุ่มกัน

โชคดีที่ปัญหานี้ไม่สามารถเอาชนะได้ และมีวิธีแก้ปัญหาเพื่อจัดการกับความเสี่ยงนี้ สินค้าคงคลังที่เก็บข้อมูลอัตโนมัติของ Polar Security และการตรวจสอบการไหลของข้อมูลให้วิธีการป้องกันการสูญเสียข้อมูล SaaS ที่เปิดเผยและลดความเสี่ยงของการโจมตี ransomware นอกจากนี้ บริษัทยังมีวิธีการที่มั่นคงในการหลีกเลี่ยงการละเมิดการปฏิบัติตาม

THAI-PDPA เปิดให้คำปรึกษาโดยผู้เชี่ยวชาญแบบครบวงจร ด้วยเทคโนโลยี Data Protection Services ที่แนะนำให้ไปประยุกต์ใช้เพื่อปกป้องข้อมูลพนักงานและลูกค้า

ผู้ที่สนใจใช้บริการ Data Protection Services ของ THAI-PDPA สามารถติดต่อฝ่ายขายที่ดูแลคุณหรือฝ่ายการตลาดได้ที่เบอร์ 0-2860-6659 หรืออีเมล dcs@ko.in.th สอบถามได้สบายใจทั้ง เรื่องค่าบริการ ราคา และ งบประมาณ เพราะเป็นราคาที่สุดคุ้มที่สุด

หากท่านมีความสนใจ บทความ หรือ Technology
สามารถติดต่อได้ตามเบอร์ที่ให้ไว้ด้านล่างนี้
Tel.086-594-5494
Tel.095-919-6699

สนใจรับคำปรึกษาด้านวางระบบจัดการเอกสารอิเล็กทรอนิกส์  EDMS โดยทีมงานผู้เชี่ยวชาญจาก K&O ที่มีประสบการณ์มากว่า 15 ปี รวมถึงซอฟต์แวร์ระดับโลก ติดต่อ 0 2 – 8 6 0 – 6 6 5 9

หรือ E m a i l : c s @ k o . i n . t h สอบถามได้สบายใจทั้ง เรื่องค่าบริการ ราคา และ งบประมาณ เพราะเป็นราคาที่สุด คุ้มที่สุด