ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565
ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565
ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565 อาศัยอานาจตามความในมาตรา 16 (4) ประกอบมาตรา 37 (4) แห่งพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล จึงออกประกาศไว้ ดังต่อไปนี้ ข้อ 1 ประกาศฉบับนี้เรียกว่า “ ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565 ” ข้อ 2 ประกาศนี้ให้ใช้บังคับนับแต่วันประกาศในราชกิจจานุเบกษาเป็นต้นไป ข้อ 3 ในประกาศนี้ “ การละเมิดข้อมูลส่วนบุคคล ” หมายความว่า การละเมิดมาตรการรักษาความมั่นคงปลอดภัย ที่ทาให้เกิดการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจาก อานาจหรือโดยมิชอบ ไม่ว่าจะเกิดจากเจตนา ความจงใจ ความประมาทเลินเล่อ การกระทาโดย ปราศจากอานาจหรือโดยมิชอบ การกระทาความผิดเกี่ยวกับคอมพิวเตอร์ ภัยคุกคามทางไซเบอร์ ข้อผิดพลาดบกพร่องหรืออุบัติเหตุ หรือเหตุอื่นใด “ สำนั กงาน ” หมายความว่า สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล “ คณะกรรมการ ” หมายความว่า คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ข้อ 4 เหตุการละเมิดข้อมูลส่วนบุคคลที่ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ต้องแจ้งแก่ สานักงานหรือเจ้าของข้อมูลส่วนบุคคลตามกฎหมายว่าด้วยกำรคุ้มครองข้อมูลส่วนบุคคล ประกอบด้วย เหตุที่เกิดจากการละเมิดมาตรการรักษาความมั่นคงปลอดภัย ที่ทาให้เกิดการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอานาจหรือโดยมิชอบ ไม่ว่าจะเกิดจาก เจตนา ความจงใจ ความประมาทเลินเล่อ กำรกระทาโดยปราศจากอานาจหรือโดยมิชอบ การกระทำ ความผิดเกี่ยวกับคอมพิวเตอร์ ภัยคุกคามทางไซเบอร์ ข้อผิดพลาดบกพร่องหรืออุบัติเหตุ หรือเหตุอื่นใด ซึ่งอาจเกิดจากการกระทำของผู้ควบคุมข้อมูลส่วนบุคคลนั้นเอง ผู้ประมวลผลข้อมูลส่วนบุคคล ที่ดาเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคาสั่งหรือในนามของผู้ควบคุม ข้อมูลส่วนบุคคลนั้น ตลอดจนพนักงาน ลูกจ้าง ผู้รับจ้าง ตัวแทน หรือบุคคลที่เกี่ยวข้องของผู้ควบคุม ข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลดังกล่าว หรือ บุคคลอื่น หรือเหตุปัจจัยอื่น โดยเหตุการละเมิดข้อมูลส่วนบุคคลแต่ละเหตุอาจเกี่ยวข้องกับการละเมิดประเภทใดประเภทหนึ่ง หรือหลายประเภท ดังต่อไปนี้ (1) การละเมิดความลับของข้อมูลส่วนบุคคล ( Confidentiality Breach ) ซึ่งมีการเข้าถึง หรือเปิดเผยข้อมูลส่วนบุคคล โดยปราศจากอานาจหรือโดยมิชอบ หรือเกิดจากข้อผิดพลาดบกพร่อง หรืออุบัติเหตุ ้ หนา 7 ่ เลม 139 ตอนพิเศษ 292 ง ราชกิจจานุเบกษา 15 ธันวาคม 2565
(2) การละเมิดความถูกต้องครบถ้วนของข้อมูลส่วนบุคคล ( Integrity Breach ) ซึ่งมีการ เปลี่ยนแปลง แก้ไขข้อมูลส่วนบุคคลให้ไม่ถูกต้อง ไม่สมบูรณ์ หรือไม่ครบถ้วน โดยปราศจากอานาจ หรือโดยมิชอบ หรือเกิดจากข้อผิดพลาดบกพร่องหรืออุบัติเหตุ (3) การละเมิดความพร้อมใช้งานของข้อมูลส่วนบุคคล ( Availability Breach ) ซึ่งทาให้ ไม่สามารถเข้าถึงข้อมูลส่วนบุคคลได้ หรือมีการทาลายข้อมูลส่วนบุคคล ทาให้ข้อมูลส่วนบุคคลไม่อยู่ใน สภาพที่พร้อมใช้งานได้ตามปกติ ข้อ 5 เมื่อผู้ควบคุมข้อมูลส่วนบุคคลได้รับแจ้งข้อมูลในเบื้องต้นจากผู้ใด ไม่ว่าโดยทางวาจา เป็นหนังสือ หรือวิธีการอื่นทางอิเล็กทรอนิกส์ หรือผู้ควบคุมข้อมูลส่วนบุคคลทราบเอง ว่ามีหรือน่าจะมี เหตุการละเมิดข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องดาเนินการ ดังต่อไปนี้ (1) ประเมินความน่าเชื่อถือของข้อมูลดังกล่าว และตรวจสอบข้อเท็จจริงเกี่ยวกับการละเมิด ข้อมูลส่วนบุคคลในเบื้องต้นโดยไม่ชักช้าเท่าที่จะสามารถกระทำได้ ว่ามีเหตุอันควรเชื่อได้ว่ามีการละเมิด ข้อมูลส่วนบุคคลหรือไม่ โดยผู้ควบคุมข้อมูลส่วนบุคคลพึงดำเนิน การตรวจสอบมาตรการรักษา ความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ทั้งมาตรการเชิงองค์กร ( organizational measures ) และ มาตรการเชิงเทคนิค ( technical measures ) ซึ่งอาจรวมถึงมาตรการทางกายภาพ ( physical measures ) ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลดังกล่าว ทั้งในส่วนที่เกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล นั้นเอง ผู้ประมวลผลข้อมูลส่วนบุคคลที่ดาเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคลนั้น ตลอดจนพนักงาน ลูกจ้าง ผู้รับจ้าง ตัวแทน หรือบุคคลที่ เกี่ยวข้องของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลดังกล่าว เพื่อให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถยืนยันได้ว่ามีการละเมิดข้อมูลส่วนบุคคลเกิดขึ้นหรือไม่ ทั้งนี้ ผู้ควบคุมข้อมูลส่วนบุคคลต้องพิจารณารายละเอียดจากข้อเท็จจริงที่เกี่ยวข้อง รวมทั้งประเมินความเสี่ยง ที่การละเมิดข้อมูลส่วนบุคคลดังกล่าวจะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล (2) หากระหว่างการตรวจสอบข้อเท็จจริงเกี่ยวกับการละเมิดข้อมูลส่วนบุคคลตาม (1) พบว่า มีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้ผู้ควบคุมข้อมูล ส่วนบุคคลดาเนินการ ด้วยตนเองหรือสั่งการให้ผู้ประมวลผลข้อมูลส่วนบุคคลหรือผู้เกี่ยวข้องดาเนินการป้องกัน ระงับ หรือแก้ไข เพื่อให้การละเมิดข้อมูลส่วนบุคคลสิ้นสุดหรือไม่ให้การละเมิดข้อมูลส่วนบุคคลส่งผลกระทบเพิ่มเติม โดยทันทีเท่าที่จะสามารถกระทาได้ ทั้งนี้ อาจใช้มาตรการทางบุคลากร กระบวนการ หรือเทคโนโลยี ที่จำเป็นและเหมาะสม (3) เมื่อพิจารณาจากข้อเท็จจริงตาม (1) แล้วเห็นว่า มีเหตุอันควรเชื่อว่ามีการละเมิดข้อมูล ส่วนบุคคลจริง ให้ผู้ควบคุมข้อมูลส่วนบุคคลแจ้งเหตุการละเมิดแก่สำนักงานโดยไม่ชักช้าภายใน เจ็ดสิบส องชั่วโมงนับแต่ทราบเหตุเท่าที่จะสามารถกระทาได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยง ที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ้ หนา 8 ่ เลม 139 ตอนพิเศษ 292 ง ราชกิจจานุเบกษา 15 ธันวาคม 2565
(4) ในกรณีที่การละเมิดข้อมูลส่วนบุคคลดังกล่าวมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิ และเสรีภาพของบุคคล ให้ผู้ควบคุมข้อมูลส่วนบุ คคลแจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบ พร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย (5) ดาเนินการตามมาตรการที่จาเป็นและเหมาะสมเพื่อระงับ ตอบสนอง แก้ไข หรือฟื้นฟู สภาพจากเหตุการละเมิดข้อมูลส่วนบุคคลดังกล่าว รวมทั้งป้องกันและลดผลกระทบจากการเกิด เหตุ การละเมิดข้อมูลส่วนบุคคลในลักษณะเดียวกันในอนาคต ซึ่งรวมถึงการทบทวนมาตรการรักษาความมั่นคง ปลอดภัยเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม โดยคำนึงถึงระดับ ความเสี่ยงตามปัจจัยทางเทคโนโลยี บริบท สภาพแวดล้อม มาตรฐานที่เป็นที่ยอมรับสาหรับ หน่วยงานหรือ กิจการในประเภทหรือลักษณะเดียวกันหรือใกล้เคียงกัน ลักษณะและวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ทรัพยากรที่ต้องใช้ และความเป็นไปได้ในการดาเนินการประกอบกัน ข้อ 6 ในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สานักงาน ผู้ควบ คุมข้อมูลส่วนบุคคล ต้องดาเนินการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลเป็นลายลักษณ์อักษร หรือแจ้งผ่านโดยวิธีการ ทางอิเล็กทรอนิกส์หรือวิธีการอื่นใดตามที่สำนักงานกาหนด โดยในการแจ้งเหตุการละเมิดข้อมูล ส่วนบุคคลต้องระบุสาระสำคัญดังต่อไปนี้เท่าที่จะสามารถกระทำได้ (1 ) ข้อมูลโดยสังเขปเท่าที่จะสามารถระบุได้เกี่ยวกับลักษณะและประเภทของการละเมิด ข้อมูลส่วนบุคคล โดยอาจบรรยายถึงลักษณะและจานวนเจ้าของข้อมูลส่วนบุคคลหรือลักษณะและ จำนวนรายการ ( records ) ของข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการละเมิด (2) ชื่อ สถานที่ติดต่อ และวิธีการติดต่อของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลในกรณี ที่มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือชื่อ สถานที่ติดต่อ และวิธีการติดต่อของบุคคลที่ผู้ควบคุม ข้อมูลส่วนบุคคลมอบหมายให้ทำหน้าที่ประสานงานและให้ข้อมูลเพิ่มเติม (3) ข้อมูลเกี่ยวกับผลกระทบที่ อาจเกิดขึ้นจากเหตุการละเมิดข้อมูลส่วนบุคคล (4) ข้อมูลเกี่ยวกับมาตรการที่ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือจะใช้เพื่อป้องกัน ระงับ หรือ แก้ไขเหตุการละเมิดข้อมูลส่วนบุคคล หรือเยียวยาความเสียหาย โดยอาจใช้มาตรการทางบุคลากร กระบวนการ หรือเทคโนโลยี หรือมาตรกา รอื่นใดที่จำเป็นและเหมาะสม ข้อ 7 ในกรณีที่มีเหตุจำเป็นที่ทำให้แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลล่าช้ากว่าเจ็ดสิบสอง ชั่วโมงนับแต่ทราบเหตุ ไม่ว่าจะเกิดจากการตรวจสอบข้อมูลในเบื้องต้น การดาเนินการป้องกัน ระงับ หรือแก้ไขเหตุการละเมิดข้อมูลส่วนบุคคลที่จาเป็น หรือมีเหตุจาเป็นอื่นอันไม่อาจก้าวล่วงได้ ผู้ควบคุม ข้อมูลส่วนบุคคลอาจขอให้สำนักงานพิจารณายกเว้นความผิดจากการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล ล่าช้าได้ โดยให้ผู้ควบคุมข้อมูลส่วนบุคคลชี้แจงเหตุผลความจาเป็นและรายละเอียดที่เกี่ยวข้องเพื่อแสดง ให้เห็นว่ามีเหตุจา เป็นที่ไม่อาจหลีกเลี่ยงได้ที่ทาให้แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลล่าช้า โดยจะต้อง แจ้งแก่สำนักงานโดยเร็ว ทั้งนี้ ต้องไม่เกินสิบห้าวันนับแต่ทราบเหตุ ้ หนา 9 ่ เลม 139 ตอนพิเศษ 292 ง ราชกิจจานุเบกษา 15 ธันวาคม 2565
สานักงานอาจแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลชี้แจงเหตุผลหรือข้อเท็จจริงเพิ่มเติมภายหลังได้ และหากสานักงาน พิจารณาแล้วเห็นควรให้ยกเว้นความผิดจากการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล ล่าช้า เนื่องจากมีเหตุจาเป็น ให้ถือว่าผู้ควบคุมข้อมูลส่วนบุคคลได้รับยกเว้นการดาเนินการแจ้งเหตุ การละเมิดข้อมูลส่วนบุคคลแก่สำนักงานตามกาหนดเวลาในมาตรา 37 (4) การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สานักงานไม่เป็นเหตุยกเว้นหน้าที่หรือความรับผิด ของผู้ควบคุมข้อมูลส่วนบุคคลตามกฎหมายเฉพาะที่เกี่ยวข้องกับกิจการนั้นหรือกฎหมายอื่น ข้อ 8 ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลมีข้อตกลงกับผู้ประมวลผลข้อมูลส่วนบุคคล เพื่อควบคุ มการดาเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมายว่าด้วย การคุ้มครองข้อมูลส่วนบุคคล หรือมอบหมายหรือสั่งการให้ผู้ประมวลผลข้อมูลส่วนบุคคลดาเนินการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคาสั่งหรือในนามของตนเอง ผู้ควบคุมข้อมูลส่วน บุคคล จะต้องระบุไว้ในข้อตกลงหรือในสัญญาที่เกี่ยวข้องให้ผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่แจ้งเหตุ การละเมิดข้อมูลส่วนบุคคลแก่ผู้ควบคุมข้อมูลส่วนบุคคลโดยไม่ชักช้าภายในเจ็ดสิบสองชั่วโมงนับแต่ ผู้ประมวลผลข้อมูลส่วนบุคคลทราบเหตุเท่าที่จะสามารถกระทำได้เช่นกัน ข้ อ 9 ผู้ควบคุมข้อมูลส่วนบุคคลอาจยกข้อยกเว้นการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล แก่สำนักงานเพื่อประกอบการพิจารณาได้ หากผู้ควบคุมข้อมูลส่วนบุคคลพิสูจน์ได้ว่าเหตุการละเมิดข้อมูล ส่วนบุคคลนั้น ไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ซึ่งรวมถึงกรณีที่ข้อมูล ส่วนบุคคลตามเหตุการละเมิดข้อมูลส่วนบุคคลนั้น เป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของ ข้อมูลส่วนบุคคลได้ หรือข้อมูลส่วนบุคคลนั้นไม่อยู่ในสภาพที่ใช้งานได้เนื่องจากมีมาตรการทางเทคโนโลยี ที่เพียงพอ หรือเหตุอื่นใดที่เชื่อถือได้ ในการยกข้อยกเว้นดังกล่าว ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ให้ข้อมูลหรือส่งเอกสารหรือ หลักฐานเกี่ยวกับเหตุที่ควรได้รับการยกเว้น ซึ่งรวมถึงรายละเอียดเกี่ยวกับมาตรการรักษาความมั่นคง ปลอดภัยของข้อมูลส่วนบุคคลหรือข้อมูลอื่นใด ให้สำนักงานพิจารณา ข้อ 10 เมื่อมีเ หตุการละเมิดข้อมูลส่วนบุคคลและผู้ควบคุมข้อมูลส่วนบุคคลได้แจ้งเหตุ การละเมิดแก่สานักงานแล้วหรืออยู่ระหว่างการเตรียมการเพื่อแจ้งสานักงาน หากผู้ควบคุมข้อมูลส่วนบุคคล ได้ตรวจสอบข้อเท็จจริงแล้วพบว่า การละเมิดข้อมูลส่วนบุคคลดังกล่าวมีความเสี่ยงสูงที่จะมีผลกระท บ ต่อสิทธิและเสรีภาพของบุคคล ให้ผู้ควบคุมข้อมูลส่วนบุคคลแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลพร้อม สาระสาคัญดังต่อไปนี้ให้เจ้าของข้อมูลส่วนบุคคลที่ได้รับผลกระทบทราบเท่าที่จะสามารถกระทาได้ โดยไม่ชักช้า (1) ข้อมูลโดยสังเขปเกี่ยวกับลักษณะของการละเมิดข้อมูลส่วนบุคคล (2) ชื่อ สถานที่ติดต่อ และวิธีการติดต่อของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือบุคคล ที่ผู้ควบคุมข้อมูลส่วนบุคคลมอบหมายให้ทำหน้าที่ประสานงาน ้ หนา 10 ่ เลม 139 ตอนพิเศษ 292 ง ราชกิจจานุเบกษา 15 ธันวาคม 2565
(3) ข้อมูลเกี่ยวกับผลกระทบที่อาจเกิดขึ้นกับเจ้าของข้อมูลส่วนบุคคลจากเหตุการละเมิดข้อมูล ส่วนบุคคล (4) แนวทางการเยียวยาความเสียหายของเจ้าของข้อมูลส่วนบุคคล และข้อมูลโดยสังเขป เกี่ยวกับมาตรการที่ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือจะใช้เพื่อป้องกัน ระงับ หรือแก้ไขเหตุการละเมิด ข้อมูลส่วนบุคคล โดยอาจใช้มาตรการทางบุคลากร กระบวนการ หรือเทคโนโลยี หรือมาตรการอื่น ใด ที่จาเป็นและเหมาะสม รวมถึงข้อแนะนาเกี่ยวกับมาตรการที่เจ้าของข้อมูลส่วนบุคคลอาจดาเนินการ เพิ่มเติมเพื่อป้องกัน ระงับ หรือแก้ไขเหตุการละเมิดข้อมูลส่วนบุคคล หรือเยียวยาความเสียหาย ข้อ 11 ในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลที่ได้ รับ ผลกระทบทราบ หากโดยสภาพไม่สามารถดาเนินการแจ้งเป็นรายบุคคลเป็นหนังสือหรือโดยวิธีการ ทางอิเล็กทรอนิกส์ได้เนื่องจากไม่มีวิธีการติดต่อ หรือโดยเหตุจาเป็นอื่นใด ผู้ควบคุมข้อมูลส่วนบุคคลอาจแจ้ง เหตุการละเมิดแก่เจ้าของข้อมูลส่วนบุคคลเป็นกลุ่ม หรือแจ้งเป็นกา รทั่วไปผ่านสื่อสาธารณะ สื่อสังคม ออนไลน์ หรือโดยวิธีการทางอิเล็กทรอนิกส์หรือวิธีการอื่นใดที่เจ้าของข้อมูลส่วนบุคคลที่ได้รับผลกระทบ หรือบุคคลทั่วไปสามารถเข้าถึงการแจ้งดังกล่าวได้ การแจ้งเหตุการละเมิดแก่เจ้าของข้อมูลส่วนบุคคลเป็นกลุ่ม หรือแจ้งเป็นการทั่วไป จะต้อง ไม่ก่อให้เกิดความเสียหายหรือผลกระทบต่อเจ้าของข้อมูลส่วนบุคคล ข้อ 12 ในการประเมินความเสี่ยงสาหรับการละเมิดข้อมูลส่วนบุคคล ว่ามีความเสี่ยงที่จะมี ผลกระทบต่อสิทธิและเสรีภาพของบุคคลเพียงใด ผู้ควบคุมข้อมูลส่วนบุคคลอาจพิจารณาจากปัจจัย ดังต่อไปนี้ (1) ลักษณะและประเภทของการละเมิดข้อมูลส่วนบุคคล (2) ลักษณะหรือประเภทของข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการละเมิด (3) ปริมาณของข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการละเมิด ซึ่งอาจพิจารณาจากจำนวนเจ้าของ ข้อมูลส่วนบุคคลหรือจำนวนรายการ ( records ) ของข้อมูลส่วนบุคคลที่เ กี่ยวข้องกับการละเมิด (4) ลักษณะ ประเภท หรือสถานะของเจ้าของข้อมูลส่วนบุคคลที่ได้รับผลกระทบ รวมถึง ข้อเท็จจริงว่าเจ้าของข้อมูลส่วนบุคคลที่ได้รับผลกระทบ ประกอบด้วยผู้เยาว์ ผู้พิการ ผู้ไร้ความสามารถ ผู้เสมือนไร้ความสามารถ หรือบุคคลเปราะบาง ( vulnerable persons ) ที่ขาดความสามารถในการ ปกป้องสิทธิและประโยชน์ของตนเนื่องจากข้อจำกัดต่าง ๆ ด้วยหรือไม่ เพียงใด (5) ความร้ายแรงของผลกระทบและความเสียหายที่เกิดขึ้นหรืออาจเกิดขึ้นกับเจ้าของข้อมูล ส่วนบุคคลจากการละเมิดข้อมูลส่วนบุคคล และประสิทธิผลของมาตรการที่ผู้คว บคุมข้อมูลส่วนบุคคลใช้ หรือจะใช้เพื่อป้องกัน ระงับ หรือแก้ไขเหตุการละเมิดข้อมูลส่วนบุคคล หรือเยียวยาความเสียหาย ต่อการบรรเทาผลกระทบและความเสียหายที่เกิดขึ้นหรืออาจเกิดขึ้นกับเจ้าของข้อมูลส่วนบุคคล (6) ผลกระทบในวงกว้างต่อธุรกิจหรือการดาเนินการของผู้ควบคุ มข้อมูลส่วนบุคคลหรือ ต่อสาธารณะจากเหตุการละเมิดข้อมูลส่วนบุคคล ้ หนา 11 ่ เลม 139 ตอนพิเศษ 292 ง ราชกิจจานุเบกษา 15 ธันวาคม 2565
(7) ลักษณะของระบบการจัดเก็บข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการละเมิด และมาตรการ รักษาความมั่นคงปลอดภัยที่เกี่ยวข้องของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ทั้งที่เป็นมาตรการเ ชิงองค์กร ( organizational measures ) และมาตรการเชิงเทคนิค ( technical measures ) รวมถึงมาตรการทางกายภาพ ( physical measures ) (8) สถานะทางกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลว่าเป็นบุคคลธรรมดาหรือนิติบุคคล รวมทั้งขนาดและลักษณะของกิจการของผู้ควบคุมข้อมูลส่วนบุคคล ข้อ 13 ให้ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคลเป็นผู้รักษาการตามประกาศนี้ ประกาศ ณ วันที่ 6 ธันวาคม พ.ศ. 25 6 5 เธียรชัย ณ นคร ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคล ้ หนา 12 ่ เลม 139 ตอนพิเศษ 292 ง ราชกิจจานุเบกษา 15 ธันวาคม 2565