GDPR Guidelines กรณีแจ้งเตือนเมื่อข้อมูลส่วนบุคคลเกิดรั่วไหล

Share

Loading

Guidelines on Examples regarding Data Breach Notification

ดร. มนต์ศักดิ์ โซ่เจริญธรรม

www.facebook.com/monsaks

ในเล่มนี้ มีศัพท์ใหม่ “Data Exfiltration” … ก็คือ ข้อมูลขององค์กร โดนเอาออกไปโดยมิชอบ “Filter” คือ “กรอง” เติม Ex ข้างหน้า คือ Hacker กรองเอาสิ่งที่อยากได้ แล้วเอาออกไปข้างนอก (องค์กร)
 
Guideline เล่มนี้ เขียนโดยยกสถานการณ์ ตัวอย่างต่าง ๆ ของข้อมูลรั่วไหล แล้วอธิบาย เช่น CASE No. 01: Ransomware with proper backup and without exfiltration คือ กรณี องค์กร โดน Ransomware โจมตี ทำให้ระบบคอมพ์ ชะงัก แต่เนื่องจากมีการ backup ข้อมูลและ เข้ารหัสและจัดเก็บแยกส่วนไว้ จนโหลดออกไปไม่ได้ ตัว hacker ก็เลย ไม่สามารถเอาข้อมูลองค์กรออกไปได้ (without exfiltration)
 
หรือ กรณีพื้น ๆ ก็มี เช่น การเผลอส่งอีเมลล์ที่มีข้อมูลส่วนบุคคลหลุดไปด้วย (Personal data sent by mail by mistake) ในแต่ละเคส จะสรุปด้วยตารางสั้น ๆ ว่าความเสี่ยงต่อความเสียหายสูงไหม และต้องแจ้ง (notification) ให้ใครทราบบ้าง
 
เขาแบ่งเป็น 3 ระดับ ตามความเสี่ยงต่อผลเสียที่ (อาจ) เกิดขึ้นตามมา คือ
1. เสี่ยงน้อย : บันทึกเหตุการณ์ไว้ก็พอ
2. เสี่ยงปานกลาง : ต้องแจ้ง หน่วยงาน (ของประเทศ) ที่รับผิดชอบด้านข้อมูลส่วนบุคคล
3. เสี่ยงมาก : ต้องแจ้ง Data Subject ทราบ
 
ซึ่งเขียนให้เข้าใจอ่านง่ายดี…
 
ดาวน์โหลด Guideline ได้ที่

ขอขอบคุณแหล่งที่มา :
Facebook : ดร.มนต์ศักดิ์ โซ่เจริญธรรม