การแจ้งเหตุละเมิดข้อมูลส่วนบุคคล

เจ้าของข้อมูลส่วนบุคคลที่มหาวิทยาลัยเทคโนโลยีสุรนารี ได้จัดเก็บข้อมูลของท่านไว้  สามารถแจ้งเหตุละเมิดข้อมูลส่วนบุคคลได้ กรณีเจ้าของข้อมูลส่วนบุคคลพบเหตุละเมิดข้อมูลต่อมหาวิทยาลัยฯ โดยแจ้งได้ 2 ช่องทาง ได้แก่

1. แจ้งผ่านระบบ Online

–ระบบแจ้งเหตุละเมิดข้อมูลส่วนบุคคล (Online)

–คู่มือการใช้งานระบบ

หรือ 2. ใช้แบบฟอร์มการแจ้งเหตุ และส่งคำร้องทาง Email

โดยกรอกรายละเอียดในแบบคำร้องนี้ พร้อมแนบเอกสารสำเนาบัตรประจำตัวประชาชน และยื่นคำขอนี้แก่ มทส. ทางจดหมายอิเล็กทรอนิกส์ (e-mail : dpo@sut.ac.th)

แบบฟอร์มการแจ้งเหตุละเมิดข้อมูลส่วนบุคคล(.docx)

แนวปฏิบัติการรับมือต่อเหตุละเมิดข้อมูลส่วนบุคคล

1. เจ้าของข้อมูลส่วนบุคคล-ผู้พบเหตุ แจ้งเหตุละเมิดข้อมูลส่วนบุคคล ผ่านช่องทางที่มหาวิทยาลัยจัดเตรียมไว้
2. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) รับแจ้งเหตุ ตรวจสอบและยืนยันตัวตนผู้แจ้ง และตรวจสอบข้อเท็จจริงโดยไม่ชักช้า
3. DPO ตรวจสอบข้อมูลส่วนบุคคลตามที่เจ้าของข้อมูลส่วนบุคคลได้แจ้งไว้ ถูกทำให้สูญเสียการเป็นความลับ ความถูกต้อง หรือความพร้อมใช้หรือไม่ พร้อมประสานผู้ควบคุมข้อมูลรับมือต่อเหตุละเมิดข้อมูลส่วนบุคคล
4. ผู้ควบคุมข้อมูลดำเนินการตามแผนรับมือเหตุภัยคุกคามทางไซเบอร์ มหาวิทยาลัยเทคโนโลยีสุรนารี
5. DPO ประเมินผลความเสียหายและผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูล

• กรณีมีความเสี่ยงระดับสูง-สูงมาก
  – เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ดำเนินการแจ้งไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ภายใน 72 ชั่วโมง
  – มหาวิทยาลัยดำเนินการแจ้งเจ้าของข้อมูลส่วนบุคคล เพื่อทราบเกี่ยวกับการละเมิดและมาตรการเพื่อลดผลกระทบและบรรเทาเหตุ โดยไม่ชักช้า (ทั้งนี้ไม่เกิน 30 วัน)
  
• กรณีมีความเสี่ยงระดับต่ำ-ปานกลาง
  – เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ดำเนินการแจ้งไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ภายใน 72 ชั่วโมง
  – ผู้ควบคุมข้อมูลส่วนบุคคล *อาจพิจารณาไม่แจ้งเหตุละเมิดข้อมูลส่วนบุคคล ทั้งนี้ขึ้นอยู่กับความร้ายแรงของผลกระทบต่อเจ้าของข้อมูลส่วนบุคคล ซึ่งจะพิจารณาโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของมหาวิทยาลัยฯ
  
• กรณีมีความเสี่ยงระดับต่ำมาก
  – DPO บันทึกและรายงานเหตุต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของมหาวิทยาลัย

*ทั้งนี้แจ้งสถานะการดำเนินงานต่อผู้แจ้งเหตุไม่เกิน 30 วัน

ภายหลังจากเกิตเหตุ

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูล ผู้ดูแลระบบสารสนเทศ เจ้าหน้าที่ IT (ผู้เกี่ยวข้องทุกฝ่าย) ทบทวน-ปรับปรุงมาตราการรักษาความปลอดภัยของข้อมูลให้รัดกุมและหาวิธีการป้องกันไม่ให้เกิดขึ้นอีก

การประเมินความเสี่ยงและผลกระทบต่อเจ้าของข้อมูลส่วนบุคคล

กระบวนการดำเนินงานต่อเหตุละเมิด การรั่วไหลของข้อมูลส่วนบุคคล