สภาสูงออสเตรเลียผ่านกฎหมายให้ทุกองค์กรต้องรายงานหากเกิดเหตุการณ์ข้อมูลลูกค้ารั่วไหลภายใน 30 วัน หลังจากที่มีการพิจารณาร่างนี้มาตั้งแต่ปี 2012

กฎหมายระบุให้องค์กรต้องดูแลข้อมูลอย่างรัดกุม และหากมีการรั่วไหลต้องแจ้งคณะกรรมาธิการสิทธิส่วนบุคคลของออสเตรเลียหรือ Australia's Privacy Commissioner ภายใน 30 วัน คณะกรรมาธิการสามารถระบุข้อยกเว้น ให้บริษัทไม่ต้องแจ้งผู้ใช้เวลาข้อมูลของผู้ใช้นั้นๆ รั่วเป็นรายกรณีไปได้

ตัวอย่างข้อยกเว้นคือ หากข้อมูลรั่วไหลจากองค์กรการเงิน และแก้ไขได้ก่อนที่จะเกิดการขโมยเงินลูกค้า กรณีนี้ก็ไม่ต้องแจ้งผู้ใช้ หรือเกิดเหตุการณ์อีเมลรั่วจากการส่งอีเมลผิดพลาด แล้วสามารถเจรจาให้คนที่ได้รับอีเมลลบข้อมูลได้ หรือมีพนักงานเข้าถึงข้อมูลโดยไม่ได้ขออนุญาตเจ้าหน้าที่ที่รับผิดชอบ แต่เข้าถึงข้อมูลโดยไม่ได้มีเจตนาร้าย เป็นต้น

ภาพจาก [Stock snap.io](https://stocksnap.io/photo/TIV258VG3N)

ที่มา - The Register