การเริ่มนับระยะเวลา แจ้งเหตุการละเมิดข้อมูลส่วนบุคคล | ศุภวัชร์ มาลานนท์
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 37(4) กำหนดให้องค์กรซึ่งเป็นผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ “แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานโดยไม่ชักช้าภายใน 72 ชั่วโมง นับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้” หน้าที่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลดังกล่าว มีประเด็นที่ต้องพิจารณาทางกฎหมายหลายประการ โดยเฉพาะการเริ่มนับระยะเวลา 72 ชั่วโมงว่าเริ่มเมื่อไหร่ เนื่องจากองค์กรอาจมีความรับผิดทางกฎหมายหากไม่แจ้งภายในระยะเวลาที่กฎหมายกำหนด ถ้อยคำหนึ่งในมาตรา 37(4) ที่เป็นจุดเริ่มต้นสำคัญของการเริ่มนับระยะเวลา คือ “นับแต่ทราบเหตุ” (become aware) ซึ่งต้องทำความเข้าใจทั้งข้อเท็จจริงและข้อกฎหมายประกอบกัน เพื่อทำความเข้าใจจุดเริ่มต้นการนับระยะเวลาดังกล่าวมากขึ้น ผู้เขียนขอนำกรณีศึกษาตาม WP29 Guidelines on Personal Data Breach Notification under Regulation 2016/679 (GDPR) มาเพื่อใช้ประกอบการพิจารณา ดังนี้ WP29 ให้ข้อแนะนำว่าตาม GDPR “นับแต่ทราบเหตุ” ให้เริ่มต้นเมื่อ “ผู้ควบคุมข้อมูลส่วนบุคคล” มีความแน่ใจในว่าเหตุการณ์ข้อมูลรั่วไหลที่เกิดขึ้น (security incident) มีผลทำให้ข้อมูลส่วนบุคคลถูกละเมิด…