การแจ้งเตือนการละเมิดข้อมูลภายใต้ GDPR

เรียนรู้ว่า Microsoft ตรวจหาและตอบสนองต่อการละเมิดข้อมูลส่วนบุคคลและแจ้งเตือนให้คุณทราบภายใต้ GDPR อย่างไร

GDPR จะบังคับใช้ข้อบังคับด้านการแจ้งเตือนสำหรับผู้ควบคุมและผู้ประมวลผลข้อมูล ในกรณีที่มีการละเมิดข้อมูลส่วนบุคคล ข้อมูลทางด้านล่างจะอธิบายถึงบทบัญญัติต่างๆ เช่น วิธีที่ Microsoft พยายามป้องกันการละเมิดตั้งแต่เริ่มแรก วิธีที่ Microsoft ตรวจหาการละเมิด และวิธีที่ Microsoft ตอบสนองต่อการละเมิดและแจ้งเตือนให้คุณซึ่งเป็นผู้ควบคุมข้อมูลทราบ


คู่มือเกี่ยวกับการละเมิดข้อมูลสำหรับบริการออนไลน์

เครื่องมือการดูแลระบบ

กำหนดผู้ติดต่อด้านความเป็นส่วนตัวขององค์กร ผู้ดูแลระบบผู้เช่าสามารถใช้พอร์ทัลผู้ดูแลระบบของ Azure Active Directory เพื่อกำหนดผู้ติดต่อด้านความเป็นส่วนตัวขององค์กรหาก Microsoft จำเป็นต้องติดต่อ

คำถามที่ถามบ่อยเกี่ยวกับการแจ้งเตือนการละเมิด

ด้านล่างนี้คือคำถามและคำตอบที่สำคัญเกี่ยวกับการแจ้งเตือนการละเมิด:
|

ข้อมูลส่วนบุคคลหมายถึงข้อมูลใดก็ตามที่เกี่ยวข้องกับตัวบุคคล ซึ่งสามารถใช้ระบุตัวบุคคลโดยตรงหรือโดยอ้อม การละเมิดข้อมูลส่วนบุคคลคือ "การละเมิดความปลอดภัยที่นำไปสู่การทำลาย การสูญเสีย การดัดแปลง การเปิดเผยที่ไม่ได้รับอนุญาต หรือการเข้าถึงข้อมูลส่วนบุคคลที่ส่งผ่าน จัดเก็บ หรือประวลผลโดยไม่ตั้งใจหรือผิดกฎหมาย"

ในกรณีที่มีการละเมิดข้อมูลส่วนบุคคลที่อาจก่อให้เกิดความเสี่ยงสูงต่อสิทธิ์และเสรีภาพของตัวบุคคล (เช่น การเลือกปฏิบัติ การขโมยข้อมูลส่วนบุคคล การฉ้อโกง การขาดทุนทางการเงิน หรือความเสียหายต่อชื่อเสียง) GDPR กำหนดให้คุณ:
  • แจ้งหน่วยงานป้องกันข้อมูล (DPA) ที่เหมาะสมภายใน 72 ชั่วโมงหลังจากตระหนักถึงปัญหา ตัวอย่างเช่น หลังจาก Microsoft แจ้งให้คุณทราบ ถ้าคุณไม่แจ้งให้ DPA ทราบภายในระยะเวลาดังกล่าว คุณจะต้องอธิบายสาเหตุให้ DPA ทราบ จำเป็นต้องแจ้งให้ DPA ทราบแม้ในกรณีที่ความเสี่ยงต่อตัวบุคคลไม่น่าส่งผลให้เกิดความเสี่ยงสูงก็ตาม
  • แจ้งให้เจ้าของข้อมูลทราบเรื่องการละเมิดทันที
  • บันทึกข้อมูลการละเมิด รวมถึงคำอธิบายลักษณะของการละเมิด เช่น จำนวนคนที่ได้รับผลกระทบ จำนวนระเบียนข้อมูลที่ได้รับผลกระทบ ผลกระทบของการละเมิด และการดำเนินการแก้ไขที่องค์กรของคุณกำลังเสนอหรือดำเนินการ

หลังจากเราตระหนักถึงปัญหาการละเมิดข้อมูลส่วนบุคคล GDPR จะกำหนดให้เราแจ้งให้คุณทราบทันที ในฐานะที่ Microsoft เป็นผู้ประมวลผลข้อมูล ข้อผูกมัดของเราจึงแสดงถึงข้อบังคับ GDPR และบทบัญญัติตามสัญญามาตรฐานทั่วโลกของเรา เราพิจารณาว่าการละเมิดข้อมูลส่วนบุคคลที่ได้รับการยืนยันทั้งหมดอยู่ในขอบเขตการให้บริการ และไม่มีความเสี่ยงที่เป็นเกณฑ์อันตราย เราจะแจ้งให้ลูกค้าของเราทราบว่าการละเมิดข้อมูลเกิดขึ้นกับ Microsoft โดยตรงหรือเกิดขึ้นกับผู้ประมวลรายย่อยของเรา เราได้เตรียมกระบวนการต่างๆ ในการระบุและติดต่อบุคลากรด้านการรักษาความปลอดภัยที่คุณกำหนดไว้ในองค์กรของคุณอย่างรวดเร็ว นอกจากนี้ ผู้ประมวลรายย่อยทุกรายยังมีหน้าที่ตามสัญญาในการรายงานการละเมิดของตนต่อ Microsoft และให้การรับประกันต่อผลกระทบดังกล่าว

บริการและบุคลากรทั้งหมดของเราปฏิบัติตามขั้นตอนการจัดการเหตุการณ์ภายในเพื่อให้มั่นใจว่าเราดำเนินการระวังรักษาความปลอดภัยอย่างเหมาะสมเพื่อหลีกเลี่ยงการละเมิดข้อมูลตั้งแต่แรก อย่างไรก็ตาม บริการออนไลน์ยังมีตัวควบคุมความปลอดภัยเฉพาะในแพลตฟอร์มของเราเพื่อตรวจหาการละเมิดข้อมูลในเหตุการณ์ที่เกิดขึ้นได้ยาก

เพื่อสนับสนุนคุณในกรณีที่มีการละเมิดข้อมูลส่วนบุคคล Microsoft มี:
  • บุคลากรด้านการรักษาความปลอดภัยที่ผ่านการฝึกอบรมเกี่ยวกับขั้นตอนเฉพาะที่ต้องปฏิบัติตาม
  • นโยบาย ขั้นตอน และตัวควบคุมเพื่อให้มั่นใจว่า Microsoft สามารถเก็บรักษาระเบียนอย่างละเอียดไว้ได้ ซึ่งรวมถึงเอกสารที่รวบรวมข้อเท็จจริงเกี่ยวกับเหตุการณ์ ผลกระทบ และการดำเนินการแก้ไข ตลอดจนการติดตามและการจัดเก็บข้อมูลในระบบการจัดการเหตุการณ์ของเรา

Microsoft มีนโยบายและขั้นตอนเพื่อแจ้งให้คุณทราบทันที เพื่อให้เป็นไปตามข้อบังคับด้านการแจ้งเตือนของ DPA เราจะให้คำอธิบายเกี่ยวกับกระบวนการที่เราใช้ตรวจสอบว่ามีการละเมิดข้อมูลส่วนบุคคลหรือไม่ คำอธิบายลักษณะของการละเมิด และคำอธิบายของมาตรการที่เราใช้เพื่อลดจำนวนการละเมิด