นโยบายเรื่องการกระทำผิดเกี่ยวกับข้อมูล

ที่มา

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของประเทศไทยมีพื้นฐานมาจากหลักการ 8 ประการในการจัดการกับข้อมูลส่วนบุคคล มหาวิทยาลัยนานาชาติแสตมฟอร์ดจะต้องปฏิบัติตามหลักการทั้ง 8 ประการในฐานะขององค์กร มิเช่นนั้น ก็จะถือว่าเราละเมิดพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล เราเข้าใจว่าหลักการทั้งหลายจะให้สิทธิ์แก่ประชาชนในส่วนที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของตนเองอีกทั้งยังเป็นตัวกำหนดภาระผูกพันให้แก่องค์กรทั้งหลายที่รับผิดชอบในการประมวลผลข้อมูลดังกล่าว 

หลักการทั้ง 8 ประการจะมีดังต่อไปนี้ 

  • ข้อมูลส่วนบุคคลจะต้องได้รับการประมวลผลอย่างถูกต้องตามกฎหมาย 
  • การเก็บรวบรวมข้อมูลส่วนบุคคลจะต้องเป็นไปตามวัตถุประสงค์ที่ระบุไว้ มีความชัดเจน และชอบด้วยกฎหมาย 
  • ข้อมูลส่วนบุคคลจะต้องเหมาะสม เกี่ยวข้อง และถูกจำกัดไว้ตามขอบเขตเท่าที่จำเป็นในการประมวลผลข้อมูลดังกล่าว 
  • ข้อมูลส่วนบุคคลจะต้องได้รับการตรวจสอบให้แน่ใจว่ามีความถูกต้องและเป็นปัจจุบัน 
  • ระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคลจะต้องไม่นานไปกว่าเท่าที่จำเป็น 
  • ข้อมูลส่วนบุคคลจะต้องได้รับการประมวลผลโดยเป็นไปตามสิทธิของบุคคล 
  • ข้อมูลส่วนบุคคลจะต้องได้รับการเก็บรักษาไว้อย่างปลอดภัย 
  • ข้อมูลส่วนบุคคลจะต้องไม่ถูกโอนไปยังประเทศที่สามซึ่งมิได้มีระดับในการคุ้มครองที่เหมาะสม

วัตถุประสงค์

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลกำหนดไว้ว่า เราจะต้องใช้มาตรการที่เหมาะสมในการดำเนินการกับการประมวลผลที่ไม่ได้รับอนุญาตหรือไม่ถูกต้องตามกฎหมาย รวมทั้งป้องกันการสูญเสีย การถูกทำลาย หรือความเสียหายของข้อมูลส่วนบุคคลโดยมิได้คาดฝัน นโยบายนี้จะเป็นตัวกำหนดวิธีการที่เราจะดำเนินการกับการกระทำผิดต่อความมั่นคงปลอดภัยของข้อมูล 

การกระทำผิดเกี่ยวกับข้อมูลส่วนบุคคลคืออะไร?

การกระทำผิดเกี่ยวกับข้อมูลส่วนบุคคลจะมีคำจำกัดความที่กว้างขวางซึ่งถือเป็นเหตุการณ์ที่เกิดขึ้นกับความมั่นคงปลอดภัยที่ส่งผลกระทบต่อการรักษาความลับ ความถูกต้อง มีความพร้อมต่อการใช้งานของข้อมูลส่วนบุคคล โดยสรุปแล้ว จะมีการกระทำผิดเกี่ยวกับข้อมูลส่วนบุคคลเกิดขึ้นเมื่อใดก็ตามที่ข้อมูลส่วนบุคคลใดๆ เกิดการสูญหาย ถูกทำลาย เกิดความเสียหาย หรือถูกเปิดเผยหากบุคคลใดบุคคลหนึ่งเข้าถึงข้อมูลหรือส่งต่อข้อมูลนั้นโดยไม่ได้รับการอนุญาตอย่างถูกต้อง หรือในกรณีที่ข้อมูลถูกทำให้ไม่พร้อมต่อการใช้งานและความไม่พร้อมต่อการใช้งานนี้ส่งผลกระทบในเชิงลบต่อบุคคลทั้งหลายอย่างมีนัยสำคัญ 

ประเภทของการกระทำผิดเกี่ยวกับข้อมูล

การรักษาความลับ 

การรักษาความลับจะเกี่ยวข้องกับความพยายามขององค์กรใดองค์กรหนึ่งในการทำให้แน่ใจว่ามีการจัดเก็บข้อมูลไว้เป็นความลับหรือเป็นส่วนตัว ครั้งนี้ ในการดำเนินการดังกล่าว การเข้าถึงข้อมูลจะต้องได้รับการควบคุมเพื่อป้องกันมิให้มีการแบ่งปันข้อมูลโดยไม่ได้รับอนุญาต – ไม่ว่าจะเกิดขึ้นจากความตั้งใจคือเหตุไม่คาดฝัน องค์ประกอบที่สำคัญในการรักษาความลับก็คือการทำให้แน่ใจว่าบุคคลที่ไม่ได้รับอนุญาตจะไม่สามารถเข้าถึงสินทรัพย์ที่สำคัญต่อธุรกิจของท่านได้ ในทางกลับกัน ระบบที่มีประสิทธิผลจะช่วยทำให้แน่ใจว่าบุคคลที่จำเป็นที่จะต้องเข้าถึงข้อมูลได้รับเอกสิทธิ์ที่จำเป็น 

ความถูกต้อง 

ความถูกต้องจะเกี่ยวข้องกับการทำให้แน่ใจว่าข้อมูลของท่านเป็นข้อมูลที่เชื่อถือได้และปราศจากข้อบกพร่อง ข้อมูลของท่านจะเป็นข้อมูลที่ถูกต้องก็ต่อเมื่อข้อมูลนั้นเป็นข้อมูลที่แท้จริง ถูกต้อง และเชื่อถือได้ ตัวอย่างเช่น หากมหาวิทยาลัยของท่านแจ้งข้อมูลเกี่ยวกับผู้จัดการอาวุโสบนเว็บไซต์ของท่าน ข้อมูลนี้ก็จำเป็นที่จะต้องมีความถูกต้อง หากข้อมูลดังกล่าวเป็นข้อมูลที่ไม่ถูกต้อง บุคคลที่เข้ามายังเว็บไซต์เพื่อหาข้อมูลอาจจะรู้สึกว่าองค์กรของท่านไม่น่าเชื่อถือ 

ความพร้อมต่อการใช้งาน 

ถึงแม้ว่าข้อมูลจะถูกเก็บรักษาไว้เป็นความลับและมีการรักษาไว้ซึ่งความถูกต้องของข้อมูล บ่อยครั้งสิ่งเหล่านั้นก็ไม่สำคัญ เว้นแต่ข้อมูลนั้นจะถูกแจ้งต่อบุคคลในองค์กรและลูกค้าที่รับบริการ สิ่งนี้หมายถึงว่าระบบ เครือข่าย และแอปพลิเคชันต่างๆ จะต้องทำงานได้ตามที่กำหนดไว้และในเวลาที่กำหนดไว้ ดังนั้น บุคคลที่เข้าถึงข้อมูลจำเพาะจะต้องสามารถนำเอาข้อมูลนั้นไปใช้ในขณะที่ต้องการ และการเข้าถึงข้อมูลดังกล่าวไม่ควรที่จะใช้เวลานาน 

การดำเนินการในกรณีที่พบว่ามีการกระทำผิดเกี่ยวกับข้อมูลหรือเกิดเหตุการณ์สำคัญที่เกี่ยวข้องกับข้อมูลส่วนบุคคล

1. การจำกัดและการกู้คืน 

การดำเนินการตามลำดับความสำคัญดังต่อไปนี้จะต้องเกิดขึ้นในทันที 

  • การจำกัดการกระทำผิด 
  • การประเมินผลกระทบในเชิงลบต่อบุคคลทั้งหลายที่อาจเกิดขึ้นได้ โดยพิจารณาจากความรุนแรงหรือความสำคัญของสิ่งที่เกิดขึ้น และมีความเป็นไปได้มากแค่ไหนที่จะเกิดผลกระทบเหล่านั้น และ 
  • จำกัดขอบเขต 

สิ่งที่จะต้องดำเนินการในกรณีที่มีการส่งข้อมูลไปยังบุคคลที่ไม่ได้รับอนุญาต 

  • แจ้งให้ผู้รับทราบว่าห้ามส่งต่อข้อมูลนั้นหรือนำข้อมูลนั้นไปบอกกับบุคคลอื่นใด 
  • แจ้งให้ผู้รับทำลายหรือลบข้อมูลส่วนบุคคลที่ตนเองได้รับและขอให้ยืนยันเป็นลายลักษณ์อักษรว่าได้มีการทำลายหรือลบข้อมูลแล้ว 
  • ชี้แจงให้ผู้รับทราบถึงผลที่ตามมาหากผู้รับเปิดเผยข้อมูลดังกล่าว และ 
  • ในกรณีที่เกี่ยวข้องและมีความเสี่ยงสูง ก็จะต้องแจ้งให้เจ้าของข้อมูลที่ข้อมูลของตนเองถูกเปิดเผยว่าเกิดเหตุการณ์ใดขึ้น เพื่อที่บุคคลเหล่านั้นจะได้ดำเนินการตามความจำเป็นเพื่อที่จะปกป้องตนเอง 

ในกรณีที่เกิดเหตุการณ์ด้านความมั่นคงปลอดภัยของข้อมูลหรือการกระทำผิดเกี่ยวกับข้อมูล พนักงานจะต้องแจ้งให้เจ้าหน้าที่คุ้มครองข้อมูลทราบในทันที ตามรายละเอียดดังต่อไปนี้ 

แผนกนโยบายข้อมูลส่วนบุคคล
เลขที่ 16 ถนนมอเตอร์เวย์ (กม.2) แขวงประเวศ เขตประเวศ กรุงเทพมหานคร
อีเมล: pdpa@stamford.edu

เจ้าหน้าที่คุ้มครองข้อมูลจะเป็นผู้นำในการสอบสวนการกระทำผิด ในกรณีที่เจ้าหน้าที่คุ้มครองข้อมูลไม่สามารถมาปฏิบัติหน้าที่ได้ไม่ว่าด้วยเหตุผลใดก็ตาม ให้บุคคลดังต่อไปนี้เป็นผู้นำในการสอบสวน 

     ผู้อำนวยการแผนกทรัพยากรส่วนบุคคล
     อีเมล hr@stamford.edu
     โทร. (+66)-02-769-4000 EXT

2. การบันทึกและการประเมินความเสี่ยง 

การประเมินผลลัพธ์ในเชิงลบที่อาจเกิดขึ้นได้กับบุคคล ความรุนแรงหรือความสำคัญของผลกระทบ และความเป็นไปได้ว่าเหตุการณ์เหล่านั้นจะเกิดขึ้น ถือเป็นสิ่งที่สำคัญที่สุด 

การดำเนินการ 

  • เจ้าหน้าที่คุ้มครองข้อมูลจะลงชื่อเข้าไปใช้งานแพลตฟอร์มเรื่องความเป็นส่วนตัว VinarcoPDPA ที่ https://privacy.vinarcopdpa.com
  • เลือกหัวข้อ การบริหารจัดการการกระทำผิด (Breach Management) จากหน้าจอหลัก 
  • กรอกข้อมูลในแบบฟอร์มการสืบสวนการกระทำผิด (Breach Investigation)

3. แจ้งให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและบุคคลที่เกี่ยวข้องทราบ 

ใครเป็นผู้รับผิดชอบ?

เจ้าหน้าที่คุ้มครองข้อมูลจะเป็นจุดติดต่อสำหรับพนักงานและคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลในเรื่องที่เกี่ยวข้องกับนโยบายนี้รวมทั้งเรื่องราวทั้งหมดที่เกี่ยวข้องกับการคุ้มครองข้อมูล 

เจ้าหน้าที่คุ้มครองข้อมูลยังมีหน้าที่รับผิดชอบในการแจ้งให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและบุคคลที่เกี่ยวข้อง (ในกรณีที่จำเป็น) ทราบถึงการกระทำผิดเกี่ยวกับข้อมูลส่วนบุคคลที่เกี่ยวข้อง 

การกระทำผิดใดบ้างที่เราจะต้องแจ้งให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบ?

เมื่อมีการกระทำผิดเกี่ยวกับข้อมูลส่วนบุคคลเกิดขึ้น เราจะต้องคำนวณถึงความเป็นไปได้และความรุนแรงของผลลัพธ์ที่เกิดขึ้นที่มีต่อสิทธิและเสรีภาพของผู้คน หากเป็นไปได้ว่าจะมีความเสี่ยงเกิดขึ้น เราจะต้องแจ้งให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบ แต่หากไม่มีความเสี่ยงก็ไม่จำเป็นต้องแจ้ง หากเราตัดสินใจว่าเราจะไม่รายงานให้ทราบถึงการกระทำผิดนั้น เราก็จะต้องสามารถที่จะให้เหตุผลในการตัดสินใจนั้นได้ และเราควรที่จะบันทึกเหตุการณ์ที่เกิดขึ้นและเพิ่มข้อมูลในสมุดทะเบียนการกระทำผิดเกี่ยวกับข้อมูลของมหาวิทยาลัย 

เมื่อใดบ้างที่เราจะต้องแจ้งให้คณะกรรมการคุ้มครองข้อมูลทราบช่วยดำเนินการโดยไม่ล่าช้า 

การกระทำผิดที่จะต้องแจ้งให้ทราบก็จะต้องถูกรายงานให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบโดยไม่ล่าช้าอย่างไม่มีเหตุอันควร แต่จะต้องไม่เกิน 72 ชั่วโมงหลังจากที่ทราบว่าเกิดเหตุการณ์ขึ้น 

หากเราไม่เป็นไปตามข้อกำหนดนี้ เราจะต้องสามารถให้เหตุผลได้ว่าเหตุใดจึงดำเนินการล่าช้า 

ในบางกรณี เราจะไม่สามารถดำเนินการสอบสวนการกระทำผิดภายในระยะเวลา 72 ชั่วโมงเพื่อทำความเข้าใจได้อย่างแท้จริงว่าเกิดเหตุการณ์ใดขึ้นบ้างและสิ่งใดที่จำเป็นจะต้องดำเนินการเพื่อบรรเทาผลลัพธ์ที่เกิดขึ้น ในกรณีดังกล่าว เราควรที่จะจัดทำรายงานเฉพาะกาลและรายงานความคืบหน้าเป็นระยะ ในระหว่างที่สามารถดำเนินการได้โดยไม่ล่าช้า 

รายงานเหตุการณ์กระทำผิด 

เมื่อมีการรายงานให้ทราบถึงการกระทำผิด เราจะแจ้งข้อมูลดังต่อไปนี้ผ่านแพลตฟอร์มของเรา (ซึ่งสามารถดาวน์โหลดและพิมพ์ออกมาได้)

  • รายละเอียดของลักษณะของการกระทำผิดเกี่ยวกับข้อมูลส่วนบุคคล ซึ่งหากเป็นไปได้แล้ว ก็จะรวมถึงข้อมูลดังต่อไปนี้ 
  • หมวดหมู่และจำนวนของบุคคลที่เกี่ยวข้องโดยประมาณ 
  • หมวดหมู่และจำนวนของบันทึกข้อมูลส่วนบุคคลที่เกี่ยวข้องโดยประมาณ 
  • รายละเอียดของผลลัพธ์ที่อาจเกิดขึ้นได้จากการกระทำผิดเกี่ยวกับข้อมูลส่วนบุคคล และ 
  • รายละเอียดของมาตรการที่นำมาใช้ หรือเสนอว่าจะนำมาใช้ เพื่อดำเนินการกลับข้อมูลส่วนบุคคลหรือเพื่อที่จะบรรเทาผลเสียใดๆ ที่อาจเกิดขึ้นได้ 

ผู้ที่เกี่ยวข้อง 

ในกรณีที่อาจจำเป็นต้องแจ้งให้บุคคลที่เกี่ยวข้องทราบ เจ้าหน้าที่คุ้มครองข้อมูลจะประเมินความรุนแรงของผลกระทบที่อาจเกิดขึ้นกับบุคคลทั้งหลายอันเป็นผลมาจากการกระทำผิดและความเป็นไปได้ที่จะเกิดเหตุการณ์นี้ขึ้น ในกรณีที่มีความเสี่ยงสูง เราจะแจ้งให้บุคคลที่ได้รับผลกระทบทราบในทันที โดยเฉพาะอย่างยิ่ง หากมีความจำเป็นที่จะต้องบรรเทาความเสี่ยงที่บุคคลเหล่านั้นจะได้รับความเสียหายในทันที

ข้อมูลที่จะแจ้งให้ผู้ที่เกี่ยวข้องทราบ 

เจ้าหน้าที่คุ้มครองข้อมูลจากพิจารณาว่าจะแจ้งข้อมูลให้ผู้ใดทราบบ้าง สิ่งที่เราจะแจ้งให้บุคคลเหล่านั้นทราบ และวิธีการที่เราจะใช้ในการแจ้งข้อมูล สิ่งนี้จะขึ้นอยู่กับขอบเขตขนาดใหญ่ของลักษณะในการกระทำผิดแต่จะรวมถึงชื่อและรายละเอียดการติดต่อของเจ้าหน้าที่คุ้มครองข้อมูลของเรา (ในกรณีที่เกี่ยวข้อง) หรือจุดติดต่ออื่นๆ ซึ่งสามารถหาข้อมูลเพิ่มเติมได้ รวมทั้งรายละเอียดของผลกระทบที่อาจเกิดขึ้นได้อันเนื่องมาจากการกระทำผิดเกี่ยวกับข้อมูลส่วนบุคคล รายละเอียดของมาตรการที่นำมาใช้หรือเสนอว่าจะนำมาใช้ในการดำเนินการกับการกระทำผิดเกี่ยวกับข้อมูลส่วนบุคคล และในกรณีที่ที่เหมาะสม ก็จะรวมถึงมาตรการที่นำมาใช้ในการบรรเทาผลเสียที่อาจเกิดขึ้นได้ 

เราไม่จำเป็นที่จะต้องรายงานการกระทำผิดให้บุคคลที่เกี่ยวข้องทราบ ในกรณีที่เราได้ดำเนินการดังต่อไปนี้ 

  • เราได้นำเอามาตรการป้องกันทางด้านเทคนิคและองค์กรที่เหมาะสมมาใช้ และมาตรการเหล่านั้นถูกนำมาใช้กับข้อมูลส่วนบุคคลที่ได้รับผลกระทบอันเนื่องมาจากการกระทำผิดเกี่ยวกับข้อมูลส่วนบุคคล 
  • เราได้ดำเนินมาตรการในภายหลังซึ่งทำให้แน่ใจได้ว่าความเสี่ยงที่อยู่ในระดับสูงที่จะเกิดกับสิทธิและเสรีภาพของเจ้าของข้อมูลเป็นไปได้ว่าจะไม่มีความรุนแรงอีกต่อไป 
  • การดำเนินการถือเป็นสิ่งที่ไม่เหมาะสม (ในกรณีนี้ การแจ้งให้สาธารณชนทราบอาจมีความเหมาะสมมากกว่า)

ในกรณีที่การกระทำผิดซึ่งส่งผลต่อบุคคลที่อาศัยอยู่ในต่างประเทศ เป็นที่รู้กันว่าคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลอาจจะไม่มีอำนาจในการควบคุม ในกรณีนี้ มหาวิทยาลัยนานาชาติแสตมฟอร์ด ควรจะติดต่อกับหน่วยงานคุ้มครองข้อมูลในต่างประเทศที่จะมีอำนาจในการควบคุมการประมวลผลซึ่งถือว่าเป็นการกระทำผิด

บุคคลภายนอก 

ในบางกรณี มหาวิทยาลัยนานาชาติแสตมฟอร์ด อาจจำเป็นที่จะต้องพิจารณาการแจ้งให้บุคคลภายนอกทราบ เช่น เจ้าหน้าที่ตำรวจ ผู้รับประกันภัย หน่วยงานทางวิชาชีพ ธนาคาร หรือบริษัทบัตรเครดิต ซึ่งจะช่วยในการลดความเสี่ยงต่อการสูญเสียทางด้านการเงินของบุคคลที่เกี่ยวข้อง 

การบันทึกการตัดสินใจทั้งหมด 

มหาวิทยาลัยนานาชาติแสตมฟอร์ด จะทำการบันทึกการตัดสินใจทั้งหมดของเราที่เกี่ยวข้องกับเหตุการณ์ด้านความมั่นคงปลอดภัยและการกระทำผิดเกี่ยวกับข้อมูล ไม่ว่าเหตุการณ์เหล่านั้นจำเป็นที่จะต้องรายงานให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบหรือไม่ก็ตาม 

4. การประเมินขั้นตอนในการรับมือและการบรรเทาผลลัพธ์ของมหาวิทยาลัยนานาชาติแสตมฟอร์ด 

เราจะสืบสวนสาเหตุของการกระทำผิดใดๆ ตัดสินใจในเรื่องของการดำเนินการเพื่อแก้ไขเยียวยา และพิจารณาว่าเราจะสามารถบรรเทาผลลัพธ์ที่เกิดขึ้นได้อย่างไร ทั้งนี้ ส่วนหนึ่งของกระบวนการดังกล่าว เราจะประเมินประสิทธิผลของการรับมือต่อเหตุการณ์หรือการกระทำผิดที่เกิดขึ้น และเพื่อช่วยในการประเมินตามที่กล่าวมา เราจะพิจารณาถึงสิ่งต่างๆ ดังต่อไปนี้ 

  • ข้อมูลส่วนบุคคลใดบ้างที่เราครอบครองอยู่ จัดเก็บไว้ที่ใด และใช้วิธีใดในการจัดเก็บ 
  • ความเสี่ยงต่างๆ ที่เกิดขึ้นเมื่อมีการแบ่งปันหรือเปิดเผยข้อมูลต่อบุคคลอื่น 
  • สิ่งนี้จะรวมถึงการตรวจสอบวิธีการในการจัดส่งข้อมูลเพื่อทำให้แน่ใจว่าข้อมูลมีความปลอดภัย และเราได้แบ่งปันหรือเปิดเผยข้อมูลน้อยที่สุดเท่าที่จำเป็น 
  • จุดอ่อนที่เกิดขึ้นในมาตรการด้านความมั่นคงปลอดภัยที่เราใช้อยู่ เช่น การใช้อุปกรณ์เก็บข้อมูลแบบพกพาทุนการเข้าถึงเครือข่ายสาธารณะ 
  • ตรวจสอบว่าการกระทำผิดเกิดขึ้นจากความผิดพลาดของบุคคลหรือปัญหาของระบบและพิจารณาว่าจะป้องกันมิให้เกิดเหตุการณ์ขึ้นซ้ำได้อย่างไร – ไม่ว่าจะได้รับการดำเนินการผ่านกระบวนการที่ดีขึ้น การฝึกอบรมเพิ่มเติม หรือขั้นตอนในการแก้ไขอื่นๆ 
  • การรับรู้ถึงปัญหาด้านความมั่นคงปลอดภัยของพนักงานและการหาหนทางที่จะอุดช่องโหว่ผ่านการฝึกอบรมหรือรับคำแนะนำ
  • ความต้องการของแผนความต่อเนื่องในการทำธุรกิจในการรับมือกับเหตุการณ์ที่ร้ายแรง
  • กลุ่มของบุคคลที่รับผิดชอบในการดำเนินการกับการกระทำผิดต่อความมั่นคงปลอดภัยตามที่ได้รับรายงานมา 

5. สรุปขั้นตอนในการดำเนินการกับการกระทำผิดเกี่ยวกับข้อมูลของเจ้าหน้าที่คุ้มครองข้อมูล

ในกรณีที่สามารถจำกัดการกระทำผิดไว้ได้หรือการกระทำผิดมีความรุนแรงไม่มากนัก

  • ดาวน์โหลดและกรอกข้อมูลในรายงานเหตุการณ์กระทำผิด (Breach Incident Report)
  • แจ้งให้หัวหน้าของมหาวิทยาลัยทราบถึงการกระทำผิด 
  • พิจารณาดูว่าจำเป็นที่จะต้องมีการฝึกอบรมเพิ่มเติมหรือไม่ 
  • บันทึกข้อมูลการกระทำผิดไว้ในสมุดทะเบียนการกระทำผิดของมหาวิทยาลัย 

ในกรณีที่พิจารณาแล้วเห็นว่าการกระทำผิดเป็นไปได้ว่าจะก่อให้เกิดความเสี่ยงต่อสิทธิและเสรีภาพของเจ้าของข้อมูล ก็จะต้องรายงานให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบตามขั้นตอนดังต่อไปนี้ 

  • ดาวน์โหลดจดหมายถึงคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล 
  • ดาวน์โหลดรายงานเหตุการณ์กระทำผิด (Breach Incident Report)
  • กรอกข้อมูลและส่งรายงานเหตุการณ์กระทำผิดไปให้กับคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (อาจไม่มีมาตรการในการแก้ไขเยียวยา)

ในกรณีที่พิจารณาแล้วเห็นว่าการกระทำผิดก่อให้เกิดความเสี่ยงต่อสิทธิและเสรีภาพของเจ้าของข้อมูลในระดับสูง ก็จะต้องรายงานการกระทำผิดให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและเจ้าของข้อมูลทราบตามขั้นตอนดังต่อไปนี้ 

  • ดาวน์โหลดจดหมายถึงคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล 
  • ดาวน์โหลดจดหมายที่จะส่งถึงเจ้าของข้อมูล 
  • ดาวน์โหลดรายงานเหตุการณ์กระทำผิด (Breach Incident Report)
  • กรอกข้อมูลในรายงานเหตุการณ์กระทำผิดพร้อมทั้งมาตรการในการแก้ไขเยียวยา 
  • ส่งรายงานเหตุการณ์กระทำผิดไปให้กับคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและเจ้าของข้อมูล 

ทั้งนี้ ไม่ควร ที่จะลบข้อมูลเกี่ยวกับเหตุการณ์จากสมุดทะเบียนการกระทำผิด 

6. การทบทวน 

เอกสารฉบับนี้ได้รับการจัดทำขึ้นในวันที่ วัน/เดือน/ปี และจะได้รับการทบทวนโดย มหาวิทยาลัยนานาชาติแสตมฟอร์ด เป็นครั้งคราวตามที่พิจารณาแล้วเห็นว่าจำเป็น หรือในกรณีที่มีการพัฒนาเทคโนโลยีที่เกี่ยวข้องเพื่อทำให้แน่ใจว่ามาตรการด้านความมั่นคงปลอดภัยจะมีประสิทธิผลและเหมาะสมและเป็นไปตามข้อกำหนดขั้นต่ำของกฎหมายตามที่กฎหมายและหน่วยงานที่เกี่ยวข้องกำหนดไว้