เมื่อองค์กรมีการจัดเก็บข้อมูลส่วนบุคคล สิ่งหนึ่งที่ไม่อาจหลีกเลี่ยงได้ คือความเสี่ยงที่ข้อมูลส่วนบุคคลซึ่งถูกจัดเก็บไว้ อาจรั่วไหลหรือถูกเปิดเผย ดังนั้นองค์กรจึงต้องมีมาตรการในการรักษาความปลอดภัยข้อมูลส่วนบุคคลที่รัดกุมให้มากพอ แต่ก่อนที่จะสามารถวางมาตรการได้องค์กรจะต้องทราบเสียก่อนว่า กิจกรรมการประมวลผลข้อมูลภายในองค์กรมีความเสี่ยงที่จะสร้างผลกระทบในแง่ลบต่อข้อมูลส่วนบุคคลมากเพียงใด หรืออย่างไร ซึ่งในปัจจุบันวิธีที่หลายองค์กรใช้เพื่อทำให้องค์กทราบถึงความเสี่ยงก็คือ การประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล หรือ DPIA นั่นเอง

การประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล หรือ Data Protection Impact Assessment (DPIA) คือ เครื่องมือช่วยบริหารความเสี่ยงอันเกี่ยวข้องกับข้อมูลส่วนบุคคลให้เป็นระบบมากขึ้น 

DPIA ถูกนำมาใช้ครั้งแรกในประเทศแคนาดา นิวซีแลนด์ และออสเตรเลีย ในช่วงปี ค.ศ. 1990 โดยหน่วยงานภาครัฐ ซึ่งในช่วงแรกการประเมินดังกล่าวมีขึ้นเพื่อให้รัฐใช้เป็นเครื่องมือในการแสดงความรับผิดชอบต่อภาคประชาชนเกี่ยวกับการจัดเก็บข้อมูลส่วนบุคคล ก่อนที่ต่อมาจะถูกพัฒนาขึ้นจนมีรูปแบบในปัจจุบัน และมีการนำไปใช้อย่างแพร่หลายในองค์กรต่าง ๆ ทั่วโลก

ทั้งนี้ DPIA ในปัจจุบัน มีจุดประสงค์เพื่อเป็นหนึ่งในกลไกการกำกับดูแลความปลอดภัยของข้อมูลส่วนบุคคล ขณะเดียวกับแบบประเมินดังกล่าวก็เปรียบเสมือนเครื่องมือแจ้งเตือนภัยล่วงหน้า กรณีที่การประมวลผลข้อมูลส่วนบุคคลอาจมีความเสี่ยงกระทบต่อสิทธิ และเสรีภาพของเจ้าของข้อมูลส่วนบุคคล นอกจากนี้การทำการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล ยังส่งผลดีดังต่อไปนี้

1. สร้างความมั่นใจให้แก่เจ้าของข้อมูลส่วนบุคคลว่า ข้อมูลส่วนบุคคลที่ให้ไปจะได้รับการคุ้มครองให้ปลอดภัย
2. เพื่อประเมินว่าสามารถจัดการกับข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล โดยสามารถทำตามสัญญา หรือทำตามกฎหมาย PDPA ได้หรือไม่
3. ช่วยให้ผู้บริหารมองเห็นภาพรวมความเสี่ยงในการประมวลข้อมูลส่วนบุคคล ซึ่งจะช่วยให้ผู้ที่มีอำนาจหน้าที่สามารถวางแผนกลยุทธ์ต่าง ๆ ให้สอดคล้องกับแผนการทำธุรกิจได้อย่างเหมาะสม
4. สร้างความมั่นใจได้ว่า องค์กรจะมีการนำกฎหมายคุ้มครองข้อมูลส่วนบุคคลมาเป็นส่วนหนึ่งในการพิจารณาโครงการที่จำเป็นต้องใช้ข้อมูลส่วนบุคคล หรือความยินยอมต่าง ๆ โดยไม่มีผลกระทบในเชิงลบกับข้อมูลส่วนบุคคล
5. ช่วยให้องค์กรหันมาใส่ใจในกฎหมาย PDPA โดยอาจนำมาเป็นแนวคิดการออกแบบผลิตภัณฑ์หรือบริการ รวมไปถึงการออกนโยบายความเป็นส่วนตัว และกลไกการบังคับใช้ รวมถึงปรับปรุงกระบวนการด้านการคุ้มครองข้อมูลส่วนบุคคลขององค์กร
6. ในกรณีที่มีการร้องเรียน องค์กรสามารถนำการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคลมาใช้เป็นหลักฐานในการสนับสนุนว่าองค์กรมีการปฏิบัติตามกฎหมาย PDPA และสามารถรับมือหากเกิดเหตุละเมิดข้อมูลส่วนบุคคลได้ 

จำเป็นต้องทำ DPIA หรือไม่ ?

สำหรับ Data Controller และ Data Processor การจัดทำการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล ถือเป็นเรื่องสำคัญ โดยเฉพาะก่อนการประมวลผลข้อมูลที่มีแนวโน้มว่าอาจทำให้เกิดความเสี่ยงสูง ซึ่งส่งผลกระทบต่อสิทธิ และเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ก็เพื่อให้องค์กรทราบว่ากิจกรรมการประมวลผลข้อมูลส่วนบุคคลนั้น ๆ มีความเสี่ยงมากเพียงใด โดยผลของการประเมินจะช่วยให้องค์กรวางแผนเพื่อหลีกเลี่ยงไม่ให้เกิดผลกระทบในแง่ลบ หรือเกิดน้อยที่สุด รวมไปถึงนำมาสู่การกำหนดมาตรการรับมือหากเกิดเหตุการณ์ข้อมูลส่วนบุคคลรั่วไหล และยังถือได้ว่าเป็นองค์ประกอบสำคัญของมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ตามมาตรา 37 (1) 

DPIA เป็นหน้าที่ของใครในองค์กร

การประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล ถือเป็นหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO ที่อาจเป็นบุคลากรภายใน หรือภายนอกองค์กร ซึ่งต้องจัดทำร่วมกับ Data Controller และ Data Processor ภายใต้ความรับผิดชอบของ Data Controller 

อย่างไรก็ตาม การทำการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล นั้น DPO จะต้องเป็นผู้แนะนำว่าควรมีการระบุอะไรไว้ในแบบประเมิน โดยอ้างอิงจากกฎหมาย PDPA และกฎหมายที่เกี่ยวข้องเป็นหลัก

การประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล ควรทำเมื่อใด ?

เนื่องจากการประเมินดังกล่าวเป็นการประเมินผลที่อาจจะเกิดขึ้นในอนาคต ดังนั้นเมื่อมีการวางแผนออกแบบผลิตภัณฑ์ หรือบริการต่าง ๆ ก็ควรมีการจัดทำการประเมินดังกล่าว เสียก่อน เพื่อให้องค์กรสามารถนำความเสี่ยงที่อาจเกิดขึ้นมาใช้ในการออกแบบผลิตภัณฑ์ และบริการ ทั้งนี้ก็เพื่อทำให้ส่งผลกระทบในเชิงลบกับข้อมูลส่วนบุคคลน้อยที่สุด หรือไม่เกิดขึ้นเลย

และถึงแม้จะทำการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล ไปแล้ว แต่หากมีการเปลี่ยนแปลงที่เกี่ยวข้องกับข้อมูลส่วนบุคคล อาทิ ขอบเขตในการจัดเก็บข้อมูล วัตถุประสงค์ รายการข้อมูลส่วนบุคคลที่เก็บรวบรวม หรือ มีการเปลี่ยนแปลงข้อมูลเกี่ยวกับ Data controller และผู้รับข้อมูล รวมไปถึงการเปลี่ยนแปลงระยะเวลาในการเก็บรักษาข้อมูล หรือมาตรการทางเทคนิคและเชิงการจัดการ ก็จะต้องมีการจัดทำการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคลใหม่ เพื่อประเมินความเสี่ยงที่อาจเกิดขึ้นจากความเปลี่ยนแปลงดังกล่าว

Security Pitch เรามุ่งมั่นพัฒนาเทคโนโลยีด้านความปลอดภัยในทุกมิติ ภายใต้แพลตฟอร์ม OneFence ซึ่งออกแบบขึ้นเพื่อรองรับการปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลขององค์กร ผ่านโซลูชัน Privacy Management ช่วยในการบริหารจัดการการคุ้มครองข้อมูลส่วนบุคคลแบบรวมศูนย์ ซึ่งรวมถึงการจัดทำการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล หนึ่งในฟังก์ชันจากโมดูล Data Mapping ที่จะช่วยให้องค์กร หรือ DPO สามารถบริหารจัดการข้อมูลส่วนบุคคล และจัดทำบันทึกกิจกรรมประมวลผลข้อมูลส่วนบุคคล (RoPA) ไปจนถึงช่วยประเมินความเสี่ยงด้านการคุ้มครองข้อมูล ได้ครบ จบในที่เดียว

เชื่อมั่นในความปลอดภัย เชื่อมั่นใน OneFence

สอบถามข้อมูลผลิตภัณฑ์ “OneFence”

Tel. : 081-972-2500

Line : @securitypitch

Email : [email protected]

บทความที่น่าสนใจ

• บทบาท DPO กับการคุ้มครองข้อมูลส่วนบุคคล
• DPO คืออะไร เกี่ยวข้องกับ PDPA อย่างไร
• จัดทำ RoPA อย่างเป็นมืออาชีพ ด้วย Data Mapping