นโยบายการจัดการในกรณีที่มีการละเมิดข้อมูลส่วนบุคคลและแนวทางปฏิบัติที่เกี่ยวข้อง

วันที่มีผลใช้บังคับ: 15 กันยายน 2564

  1. วัตถุประสงค์

    นโยบายการจัดการในกรณีที่มีการละเมิดข้อมูลส่วนบุคคลและแนวทางปฏิบัติที่เกี่ยวข้องของบริษัท อินสไปเรชั่น เทคโนโลยี จำกัด ("แนวทาง") ฉบับนี้ จัดทำขึ้นเพื่อแสดงถึงขั้นตอนที่บริษัท อินสไปเรชั่น เทคโนโลยี จำกัด ("บริษัท ฯ") จะปฏิบัติเมื่อเกิดเหตุการณ์รั่วไหลของข้อมูล (ตามคำนิยามด้านล่าง) ทั้งที่เกิดขึ้นจริง มีความเป็นไปได้ว่าจะเกิดขึ้น หรือสงสัยว่าจะเกิดขึ้น ซึ่งอาจนำไปสู่การละเมิดข้อมูลส่วนบุคคล

  2. ขอบเขต

    แนวทางนี้ใช้บังคับกับพนักงาน ผู้รับจ้าง ตัวแทน ตลอดจนบุคคลากรอื่น ๆ ของบริษัท ฯ นอกจากนี้ บริษัท ฯ ยังกำหนดให้พันธมิตรทางธุรกิจและผู้ให้บริการภายนอก ซึ่งรวมถึง พนักงาน ผู้รับจ้าง ตัวแทน และบุคคลากรอื่น ๆ ของพันธมิตรทางธุรกิจและผู้ให้บริการภายนอกดังกล่าว ที่ต้องเก็บรวบรวม เข้าถึง จัดเก็บ หรือจัดการข้อมูลส่วนบุคคลในนามของบริษัท ฯ (ต่อจากนี้ไปจะเรียกรวมกันว่า "พนักงาน / ผู้รับจ้าง") ต้องทำสัญญาเพื่อปฏิบัติตามแนวทางนี้ ทั้งนี้ แนวทางฉบับนี้จะไม่ก่อให้เกิดสิทธิใด ๆ แก่พนักงาน / ผู้รับจ้าง หรือสิทธิใด ๆ นอกเหนือหน้าที่ของบริษัท ฯ ภายใต้กฎหมายที่ใช้บังคับ แนวทางนี้เป็นเป็นเอกสารภายในของบริษัท ฯ และมิได้ก่อสิทธิหรือสิทธิพิเศษใด ๆ สำหรับบุคคลภายนอก

    ผู้ใดฝ่าฝืนแนวทางฉบับนี้ อาจได้รับโทษทางวินัย ซึ่งรวมถึงการเลิกจ้าง หรืออาจส่งผลให้มีการบอกเลิกสัญญากับพันธมิตรทางธุรกิจ หรือผู้ให้บริการได้

    บริษัท ฯ อาจแก้ไขเพิ่มเติมแนวทางนี้เป็นครั้งคราว โดยบริษัท ฯ จะแจ้งให้พนักงาน / ผู้รับจ้าง ทราบตามความเหมาะสม

  3. ข้อกำหนดในการรายงานเหตุการณ์รั่วไหลของข้อมูล

    1. เหตุการณ์รั่วไหลของข้อมูล

      เหตุการณ์รั่วไหลของข้อมูล คือ เหตุการณ์ที่เกิดขึ้นจริง มีความเป็นไปได้ว่าจะเกิดขึ้น หรือสงสัยว่าจะเกิดขึ้น หรือการกระทำ ความขัดข้อง หรือเหตุการณ์อื่นที่ก่อให้เกิดการทำลาย การสูญหาย การเปลี่ยนแปลงของข้อมูลที่บริษัท ฯ เป็นเจ้าของ ควบคุม หรือเก็บรักษาไว้ ไม่ว่าจะโดยตรงหรือโดยอ้อม (เช่น ข้อมูลที่อยู่ภายใต้การดูแลของพันธมิตรทางธุรกิจ หรือผู้ให้บริการภายนอกอื่นที่ให้บริการแก่บริษัท ฯ) ไม่ว่าจะโดยอุบัติเหตุ โดยเจตนา หรือโดยมิชอบด้วยกฎหมาย หรือก่อให้เกิดการได้รับ การเปิดเผย หรือการเข้าถึงเอกสารกระดาษหรือข้อมูลทางอิเล็กทรอนิกส์โดยไม่ได้รับอนุญาต ไม่ว่าจะเป็นข้อมูลส่วนบุคคลหรือข้อมูลที่เป็นความลับหรือไม่ก็ตาม ซึ่งข้อมูลดังกล่าวอาจอยู่ในแฟ้มเอกสารกระดาษ อีเมล ตาราง บันทึกบุคลากร บันทึกบัญชีเงินเดือน เครื่องแม่ข่าย (เซิร์ฟเวอร์) อุปกรณ์จัดเก็บข้อมูลแบบพกพา (เช่น คอมพิวเตอร์แล็ปท็อป หรือโทรศัพท์สมาร์ตโฟน) และฐานข้อมูลไอที เป็นต้น

      ตัวอย่างเหตุการณ์บางส่วนที่มีลักษณะต้องรายงาน เช่น

      1. การโจรกรรมหรือการสูญหายของคอมพิวเตอร์ คอมพิวเตอร์แล็ปท็อป โทรศัพท์สมาร์ตโฟน อุปกรณ์บันทึกข้อมูลแบบธัมบ์ไดรฟ์ หรืออุปกรณ์บันทึกข้อมูลอื่นที่เป็นของบริษัท ฯ หรือของพนักงาน / ผู้รับจ้างที่ใช้อุปกรณ์ดังกล่าวบันทึกข้อมูลที่เกี่ยวข้องกับบริษัท ฯ
      2. การบุกรุกหรือการโจรกรรมสถานที่ทำงานของบริษัท ฯ
      3. ผู้โจมตีก่อให้เกิดความเสี่ยงต่อระบบของบริษัท ฯ เช่น ฐานข้อมูล คอมพิวเตอร์ เครื่องข่าย การสื่อสารของบริษัท ฯ
      4. พนักงาน / ผู้รับจ้างทำการตรวจสอบ เข้าถึง หรือเปิดเผยข้อมูล แฟ้มข้อมูล หรือฐานข้อมูลนอกขอบเขตหน้าที่ ที่ได้รับมอบหมาย
      5. บุคคลภายนอกกระทำผิดสัญญาการไม่เปิดเผยข้อมูลหรือสัญญาการรักษาความลับ
      6. เหตุการณ์ใดที่กล่าวมาข้างต้นซึ่งเกี่ยวเนื่องกับพันธมิตรทางธุรกิจหรือผู้ให้บริการภายนอกของบริษัท ฯ
    2. ความช่วยเหลือ

      พนักงาน / ผู้รับจ้างจะต้องให้ความช่วยเหลือบริษัท ฯ และฝ่ายงานจัดการสถานการณ์ในการตรวจสอบเหตุการณ์รั่วไหลของข้อมูลอย่างเต็มความสามารถ

    3. ฝ่ายงานจัดการสถานการณ์

      (1) ข้อมูลติดต่อ: เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ฝ่ายงานจัดการสถานการณ์

      email: [email protected]

      โทรศัพท์: 0 2194 1511

  4. ขั้นตอนการจัดการเหตุการณ์รั่วไหลของข้อมูล

    1. ระยะที่ 1: การรายงานภายในและการยืนยันเหตุการณ์รั่วไหลของข้อมูล

      วัตถุประสงค์ของระยะที่ 1 คือ เพื่อระบุและยืนยันได้อย่างทันท่วงทีว่ามีเหตุการณ์รั่วไหลของข้อมูลเกิดขึ้นจริงหรือไม่ เพื่อรายงานต่อไปยังฝ่ายงานจัดการสถานการณ์

      1. การตรวจสอบเบื้องต้น

        ฝ่ายงานจัดการสถานการณ์จะมอบหมายให้สมาชิกหรือผู้ที่ได้รับมอบหมายทำการตรวจสอบในเบื้องต้นสำหรับรายงานเหตุการณ์แต่ละรายการ (“ผู้จัดการเหตุการณ์ลำดับแรก”)

        1. ผู้จัดการเหตุการณ์ลำดับแรกจะต้องตอบกลับพนักงาน / ผู้รับจ้างที่รายงานเหตุการณ์ และขอข้อมูลเกี่ยวกับเหตุการณ์รั่วไหลของข้อมูลดังกล่าวให้ได้มากที่สุดเท่าที่มีอยู่ในเวลานั้น
        2. หากเหตุการณ์รั่วไหลของข้อมูลที่เกิดขึ้นเกี่ยวข้องกับเทคโนโลยีสารสนเทศ (ไอที) หรือประเด็นอื่นเกี่ยวกับความมั่นคงปลอดภัยของระบบคอมพิวเตอร์ ผู้จัดการเหตุการณ์ลำดับแรกจะต้องประสานงานกับสมาชิกกลุ่มงานเทคโนโลยีสารสนเทศ
        3. ผู้จัดการเหตุการณ์ลำดับแรกจะต้องพิจารณาเบื้องต้นโดยเร็วที่สุดหรือภายใน 24 ชั่วโมงแรกว่า จากข้อมูล ที่มีอยู่นั้นมีมูลฐานอันสมเหตุสมผลหรือน่าเชื่อถือที่ทำให้เชื่อได้ว่าเหตุการณ์ดังกล่าวเกิดขึ้นจริงหรือไม่
        4. หากไม่มีมูลฐานอันสมเหตุสมผลหรือโดยชอบตามกฎหมาย ผู้จัดการเหตุการณ์ลำดับแรกจะต้องจัดทำรายงานเป็นการภายในโดยระบุข้อมูลต่อไปนี้
          • ระบุตัวพนักงาน / ผู้รับจ้างที่รายงานเหตุการณ์
          • คำอธิบายสถานการณ์แวดล้อมของเหตุการณ์รั่วไหลของข้อมูลที่มีการรายงาน
          • คำอธิบายเหตุผลที่ผู้จัดการเหตุการณ์ลำดับแรกพิจารณาว่าไม่มีมูลฐานอันสมเหตุสมผลหรือน่าเชื่อถือที่ทำให้เชื่อได้ว่าเหตุการณ์ดังกล่าวอาจเกิดขึ้นได้หรือเกิดขึ้นแล้ว

          ผู้จัดการเหตุการณ์ลำดับแรกจะต้องจัดทำรายงานเป็นลายลักษณ์อักษรไปยังสมาชิกรายอื่น ๆ ของฝ่ายงานจัดการสถานการณ์

      2. การยืนยันเหตุการณ์รั่วไหลของข้อมูล

        หากผู้จัดการเหตุการณ์ลำดับแรกพิจารณาแล้วเห็นว่า มีมูลฐานอันสมเหตุสมผลหรือน่าเชื่อถือที่ทำให้เชื่อได้ว่าเหตุการณ์รั่วไหลของข้อมูลดังกล่าวเกิดขึ้นจริงแล้วนั้น ผู้จัดการเหตุการณ์ลำดับแรกจะต้องแจ้งให้สมาชิกรายอื่น ๆ ของฝ่ายงานจัดการสถานการณ์ของตนทราบโดยทันที เพื่อดำเนินการระยะที่ 2

    2. ระยะที่ 2: การจัดการเหตุการณ์รั่วไหลของข้อมูล

      วัตถุประสงค์ของระยะที่ 2 คือเพื่อจัดการเหตุการณ์รั่วไหลของข้อมูลทั้งในระดับภายในและภายนอกองค์กร ในระยะนี้จะต้องมีการประเมินเหตุการณ์รั่วไหลของข้อมูลโดยมิชักช้าและโดยเร็วที่สุดเท่าที่จะทำได้ เพื่อให้บริษัท ฯ สามารถ ทำการแจ้งเตือนที่จำเป็นได้ทันเวลา หากฝ่ายงานจัดการสถานการณ์เห็นว่า จะต้องรายงานเหตุการณ์รั่วไหลของข้อมูลนั้นให้หน่วยงานรัฐบาล บุคคล หรือผู้ใดทราบตามที่กฎหมายกำหนด

      ในขณะเดียวกัน จะต้องมีการดำเนินมาตรการอื่นที่จำเป็นไปพร้อม ๆ กันเพื่อควบคุมเหตุการณ์และลดความเสี่ยงและความเสียหายลงให้ได้มากที่สุด

      1. การควบคุมภัยคุกคาม

        หากเหตุการณ์รั่วไหลของข้อมูลนั้นเป็นภัยคุกคามถาวร หรือเกิดภัยคุกคามอย่างต่อเนื่อง (เช่น แฮกเกอร์หรือไวรัส ในระบบสารสนเทศของบริษัท ฯ) ฝ่ายงานจัดการสถานการณ์จะต้องดำเนินการให้บุคลากรในกลุ่มงานเทคโนโลยีสารสนเทศกำหนดมาตรการที่เหมาะสมเพื่อรักษาความปลอดภัยและแยกภัยคุกคามออกไปไม่ให้สร้างความเสียหายต่อสภาพแวดล้อมทางเทคนิคของบริษัท ฯ ต่อไปได้

      2. การจัดเก็บบันทึกเอกสารที่เกี่ยวข้องกับการจัดการเหตุการณ์

        ฝ่ายงานจัดการสถานการณ์ต้องจัดเก็บบันทึกเอกสารต่าง ๆ ที่เกี่ยวข้องในช่วงขั้นตอนที่ดำเนินการ ตั้งแต่พบเหตุการณ์ไปจนถึงการแจ้งให้ทราบและการแก้ไข

      3. การเก็บหลักฐาน

        ในการตรวจสอบ ฝ่ายงานจัดการสถานการณ์จะต้องจัดให้มีมาตรการที่เหมาะสมในการเก็บรักษาข้อมูลและหลักฐานที่เกี่ยวข้อง ซึ่งรวมถึง

        • ระงับการลบหรือทำลายข้อมูล (รวมทั้งแฟ้มบันทึกข้อมูลอัตโนมัติ การเขียนทับลงบนเทปสำรองข้อมูล หรือการ รีไซเคิล)
        • สั่งให้พนักงาน / ผู้รับจ้าง ตัวแทน หรือผู้แทนที่สามารถเข้าถึงระบบได้ใช้ความระมัดระวังไม่ให้ลบ แก้ไข หรือทำให้ข้อมูลและหลักฐานที่เกี่ยวข้องได้รับความเสียหาย
        • เก็บรักษารหัสหรือมัลแวร์ที่ต้องสงสัย และ
        • ดำเนินการตามกฎหมายที่เกี่ยวข้องตามนโยบายของบริษัท ฯ (ในกรณีที่เกี่ยวข้อง)
      4. ผู้ตรวจสอบทางนิติวิทยาศาสตร์

        ฝ่ายงานจัดการสถานการณ์จะพิจารณาเป็นรายกรณีว่าจำเป็นต้องให้ผู้ตรวจสอบ / บริษัทตรวจสอบทางนิติวิทยาศาสตร์เข้ามาบันทึกภาพอุปกรณ์ที่ได้รับผลกระทบ ตรวจสอบนิติวิทยาศาสตร์กับคอมพิวเตอร์ หรือบริการอื่น ๆ หรือไม่ การตรวจสอบทางนิติวิทยาศาสตร์จะควบคุมการดำเนินการโดยสายงานกฎหมายหรือที่ปรึกษาทางกฎหมายจากภายนอกเพื่อให้คำปรึกษาและคำแนะนำทางกฎหมายแก่บริษัท ฯ หากคาดว่าจะต้องมีการดำเนินคดี การไต่สวนทางกฎหมาย หรือการตรวจสอบภายในองค์กร

      5. การรักษาความลับ

        ฝ่ายงานจัดการสถานการณ์จะประสานงานร่วมกับฝ่ายอื่น ๆ เพื่อให้แน่ใจว่าเหตุการณ์รั่วไหลของข้อมูลจะถูกปิดเป็นความลับจนกว่าจะมีการตัดสินใจเกี่ยวกับการแจ้งให้ทราบหรือเปิดเผย นอกจากนี้จะต้องจำกัดจำนวนพนักงาน / ผู้รับจ้างที่ทราบเหตุการณ์รั่วไหลของข้อมูลให้น้อยที่สุดเท่าที่จะทำได้

      6. การตรวจสอบขอบเขตของเหตุการณ์รั่วไหลของข้อมูล

        ฝ่ายงานจัดการสถานการณ์จะตรวจสอบและรวบรวมข้อมูลเกี่ยวกับขอบเขตของเหตุการณ์รั่วไหลของข้อมูล ซึ่งรวมถึงข้อมูลต่อไปนี้ (ในกรณีที่เกี่ยวข้อง)

        • เวลาและลักษณะการเกิดเหตุการณ์รั่วไหลของข้อมูล และเวลาที่พบ
        • ประเภทของข้อมูล (เช่น ประเภทของข้อมูลส่วนบุคคล) ที่อาจเสี่ยงต่อการได้รับผลกระทบ
        • ความเสี่ยงว่าจะเกิดความเสียหายหรือการใช้งานในทางที่ผิด และ
        • ผู้ทราบเหตุการณ์รั่วไหลของข้อมูลดังกล่าว ไม่ว่าจะเป็นบุคลากรภายในหรือนอกบริษัท ฯ

        รายการตรวจสอบเกี่ยวกับเหตุการณ์รั่วไหลของข้อมูลที่ฝ่ายงานจัดการสถานการณ์อาจนำมาใช้ในการตรวจสอบ มีดังนี้

        • ลักษณะของเหตุการณ์รั่วไหลของข้อมูลที่ทราบ (การแฮก การสูญหายของอุปกรณ์ การโจรกรรมโดยบุคคลภายใน หรืออื่น ๆ ที่คล้ายกัน) และฝ่ายงานจัดการสถานการณ์ทราบเหตุได้อย่างไร
        • ลักษณะของข้อมูลที่ได้รับผลกระทบเป็นอย่างไร ขอบข่ายของข้อมูลที่ได้รับผลกระทบมีข้อมูลที่อาจก่อให้เกิดการกระทำผิดหน้าที่ในการแจ้งเตือนหรือหน้าที่อื่นตามบังคับของกฎหมายหรือสัญญาหรือไม่
        • ประเภทของบุคคลที่อาจได้รับผลกระทบ (เช่น ลูกค้า พนักงาน หรืออื่น ๆ)
        • ที่อยู่ของผู้ที่อาจได้รับผลกระทบดังกล่าว (เช่น ในประเทศไทยเท่านั้นหรือประเทศอื่นด้วย)
        • เราสามารถประเมินประเภทและจำนวนโดยประมาณของบันทึกข้อมูลส่วนบุคคลที่ได้รับผลกระทบได้หรือไม่
        • ขอบเขตของเหตุการณ์รั่วไหลของข้อมูลที่ทราบ หากเหตุการณ์ดังกล่าวอาจเกี่ยวข้องกับการบุกรุกระบบสารสนเทศโดยไม่ได้รับอนุญาตแล้วนั้น เครื่องคอมพิวเตอร์โฮสต์ใดที่อาจถูกเข้าถึงและข้อมูลใดที่อยู่ในเครื่องเหล่านั้น รวมถึงวิธีการที่ผู้บุกรุกใช้ในการเข้าถึง
        • มีการรายงานเหตุการณ์ดังกล่าวตามสื่อต่าง ๆ แล้วหรือไม่
        • มาตรการที่อยู่ระหว่างดำเนินการเพื่อรักษาความปลอดภัยของระบบ และในขณะเดียวกันก็ต้องไม่ทำลายหลักฐานทางอิเล็กทรอนิกส์ที่สำคัญ (เช่น การตัดการเชื่อมต่อเครื่องแม่ข่ายที่มีข้อมูลส่วนบุคคลออกจากอินเทอร์เน็ต หรืออื่น ๆ ที่คล้ายกัน หรือมีการบันทึกภาพอุปกรณ์ที่อาจได้รับผลกระทบแล้วหรือไม่)
        • ใครเป็นผู้ทำหน้าที่จัดการด้านเทคนิคและความมั่นคงปลอดภัยของเหตุการณ์รั่วไหลของข้อมูล บริษัท ฯ ได้ว่าจ้างให้บริษัทไอที / นิติวิทยาศาสตร์ที่มีชื่อเสียงเพื่อดำเนินการดังกล่าวแล้วหรือไม่
        • หน่วยงานบังคับใช้กฎหมายได้รับการติดต่อแล้วหรือไม่ หากติดต่อแล้ว ได้ติดต่อหน่วยงานใด และใครเป็น ผู้ติดต่อ
      7. การรายงานต่อหน่วยงานบังคับใช้กฎหมาย

        ในฐานะส่วนหนึ่งของการตรวจสอบ ฝ่ายงานจัดการสถานการณ์จะต้องพิจารณาว่าจำเป็นหรือสมควรต้องรายงาน ต่อหน่วยงานบังคับใช้กฎหมายหรือไม่ ในกรณีที่มีการเข้าถึงข้อมูลหรือระบบสารสนเทศของบริษัท ฯ โดยไม่ได้รับอนุญาต

      8. การพิจารณาข้อกำหนดทางกฎหมายที่ใช้บังคับ

        สายงานกฎหมาย และ/หรือ ที่ปรึกษาทางกฎหมายจากภายนอกจะใช้แนวทางการวิเคราะห์ เพื่อให้คำแนะนำแก่ฝ่ายงานจัดการสถานการณ์เกี่ยวกับกฎหมายว่าด้วยการแจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคลที่จะนำมาใช้บังคับกับเหตุการณ์รั่วไหลของข้อมูล (“กฎหมายว่าด้วยการแจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคล”) และให้คำแนะนำว่าเหตุการณ์รั่วไหลของข้อมูลดังกล่าวถือว่าเป็นการละเมิดความมั่นคงปลอดภัยของข้อมูลที่ต้องแจ้ง หน่วยงานรัฐบาล / หน่วยงานกำกับดูแลด้านการคุ้มครองข้อมูล หรืออื่น ๆ หรือไม่ หรือต้องมีการแจ้งเตือนไปยังเจ้าของข้อมูลส่วนบุคคลผู้ที่ได้รับผลกระทบโดยตรงหรือไม่

        ฝ่ายงานจัดการสถานการณ์จะต้องให้ข้อมูลตามความเป็นจริงตามที่สายงานกฎหมาย และ/หรือ ที่ปรึกษาทางกฎหมายจากภายนอกร้องขอ เพื่อให้สายงานกฎหมาย และ/หรือ ที่ปรึกษาทางกฎหมายจากภายนอกทำการประเมินทางกฎหมายที่จำเป็นได้

      9. การพิจารณาข้อกำหนดอื่น ๆ

        นอกจากนี้ สายงานกฎหมาย และ/หรือ ที่ปรึกษาทางกฎหมายจากภายนอกจะให้คำแนะนำแก่ฝ่ายงานจัดการสถานการณ์เกี่ยวกับข้อกำหนดอื่นที่นอกเหนือจากกฎหมายว่าด้วยการแจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคลที่อาจกำหนดให้ต้องมีการรายงานเหตุการณ์รั่วไหลของข้อมูล ซึ่งรวมถึงข้อกำหนดดังนี้

        • ระเบียบเฉพาะรายอุตสาหกรรมที่อาจนำมาใช้บังคับต่อเหตุการณ์รั่วไหลของข้อมูล
        • ภาระผูกพันตามสัญญาที่มีต่อพันธมิตรทางธุรกิจหรืออื่น ๆ
        • นโยบายคุ้มครองข้อมูลส่วนบุคคลหรือแถลงการณ์อื่น ๆ ในเอกสารเกี่ยวกับการแจ้งเตือนทั้งของภายในและนอกองค์กร
        • คำสัญญาที่ไม่ได้มีผลผูกพันหรือนโยบายบริษัท ฯ ที่มีการเผยแพร่ต่อสาธารณะ
      10. การรายงานต่อหน่วยงานรัฐบาล หรือบุคคลอื่น ๆ

        หากกฎหมายที่ใช้บังคับไม่ได้ระบุรูปแบบการแจ้งเตือนอื่นเป็นการเฉพาะ ในการบอกกล่าวไปยังผู้ที่ได้รับผลกระทบ (ที่ได้ให้ที่อยู่อีเมลไว้ให้แก่บริษัท ฯ) จะต้องส่งทางอีเมล์ไปยังผู้ที่ได้รับผลกระทบทุกราย พร้อมขอให้มีการตอบรับ สำหรับผู้ที่ให้ที่อยู่ไปรษณีย์ไว้ให้แก่บริษัท ฯ โดยไม่มีที่อยู่อีเมล์ จะต้องแจ้งให้ทราบทางไปรษณีย์ลงทะเบียน

        ฝ่ายงานจัดการสถานการณ์จะต้องประสานงานกับสายงานกฎหมายและ/หรือ ที่ปรึกษาทางกฎหมายจากภายนอกเพื่อกำหนดรูปแบบที่เหมาะสมในการส่งการแจ้งเตือน โดยพิจารณาจากกฎหมายที่ใช้บังคับและต้นทุน อย่างไรก็ตามนโยบายนี้ไม่ได้กาหนดให้ต้องแจ้งให้ทราบผ่านช่องทางสาธารณะ (เช่น ทางเว็บไซต์หรือสื่อมวลชนระดับประเทศ) แต่อาจมีข้อกำหนดของกฎหมายว่าด้วยการแจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคล หรืออาจพิจารณาแล้วว่าจะเป็นประโยชน์ในด้านลูกค้าสัมพันธ์หรือวัตถุประสงค์อื่นในบางสถานการณ์

        หากไม่สามารถแจ้งเตือนได้ตามข้อนี้ ฝ่ายงานจัดการสถานการณ์ควรปรึกษาสายงานกฎหมายและ/หรือ ที่ปรึกษาทางกฎหมายจากภายนอกโดยทันที เพื่อพิจารณาใช้วิธีการที่เหมาะสมในการแจ้งเตือนอื่น ฝ่ายงานจัดการสถานการณ์อาจชะลอการส่งการแจ้งเตือนหากหน่วยงานบังคับใช้กฎหมายเห็นว่าการแจ้งเตือนไปยังผู้ที่ได้รับผลกระทบนั้นอาจเป็นอุปสรรคต่อการสืบสวนทางอาญา

      11. การตอบคำถาม

        ฝ่ายงานจัดการสถานการณ์จะต้องวางแผนวิธีการสำหรับตัวแทนของบริษัท ฯ ในการตอบข้อซักถามของสื่อมวลชน รัฐบาล หรือผู้อื่น ในกรณีส่วนใหญ่ ข้อซักถามนั้นควรส่งไปยังสายงานกฎหมาย หรือสายงานสื่อสารและภาพลักษณ์องค์กรโดยตรงเพื่อการวิเคราะห์และจัดเตรียมแนวทางคำตอบ

    3. ระยะที่ 3: มาตรการหลังเกิดเหตุการณ์
      1. ข้อกำหนดเรื่องการจัดทำบันทึกเอกสาร

        ไม่ว่าจะมีการพิจารณานำกฎหมายว่าด้วยการแจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคลมาใช้บังคับต่อเหตุการณ์รั่วไหลของข้อมูลหรือไม่ก็ตามนั้น ฝ่ายงานจัดการสถานการณ์จะต้องจัดทำเอกสารบันทึกเหตุการณ์รั่วไหลของข้อมูลให้เพียงพอ โดยเฉพาะอย่างยิ่งการประเมินทางกฎหมายที่ไม่ได้นำกฎหมายว่าด้วยการแจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคลมาใช้บังคับ

      2. มาตรการแก้ไข

        ฝ่ายงานจัดการสถานการณ์จะต้องประสานงานกับสายงานกฎหมาย และกลุ่มงานเทคโนโลยีสารสนเทศ เพื่อกำหนดมาตรการทางเทคนิคและทางองค์กรที่จำเป็นในการป้องกันไม่ให้เกิดเหตุการณ์รั่วไหลของข้อมูลที่คล้ายกันอีกในอนาคต ซึ่งรวมถึงแนวทาง การฝึกอบรมเพื่อสร้างความเข้าใจ กระบวนการสำหรับพนักงาน / ผู้รับจ้าง ฝ่ายงานจัดการสถานการณ์ควรประเมินความสัมพันธ์กับบุคคลภายนอกที่อาจเกี่ยวข้องกับเหตุการณ์รั่วไหลของข้อมูล พร้อมดำเนินมาตรการ ที่เหมาะสม เช่น การแก้ไขสัญญา การแก้ไขกระบวนการต่าง ๆ และ/หรือ การฝึกอบรม การปรับปรุงมาตรการความปลอดภัย การเลือกผู้ให้บริการรายใหม่ เป็นต้น ขณะเดียวกันบุคคลภายนอกมีหน้าที่ตามสัญญาที่จะต้องแจ้งให้บริษัท ฯ ทราบโดยทันทีหากเกิดเหตุการณ์รั่วไหลของข้อมูล ไม่ว่าที่เกิดขึ้นจริงหรือสงสัยว่าจะเกิดขึ้นก็ตาม ทั้งนี้ คู่สัญญาบุคคลภายนอกดังกล่าวนั้นจะดำเนินการให้คำแนะนำแก่สายงานกฎหมายและ และกลุ่มงานเทคโนโลยีสารสนเทศ หากต้องมีการปรับเปลี่ยนกระบวนการใด ๆ ที่เกี่ยวข้องกับการจัดการเหตุการณ์รั่วไหลของข้อมูลนั้น