การประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (DPIA)

การประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (DPIA)

ตามแนวทางการแจ้งวัตถุประสงค์และรายละเอียด ในการเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคล ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มี 3 กรณีศึกษา ที่องค์กรควรจัดทำการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (DPIA: Data Protection Impact Assessment)

กรณีศึกษาที่ 1 ห้องสมุดสาธารณะสำหรับประชาชนแห่งหนึ่ง มีโครงการจะใช้ข้อมูลส่วนบุคคลที่ทำการเก็บรวบรวมข้อมูลในเชิงสถิติของผู้ใช้หรือสมาชิกห้องสมุดในรอบ 100 ปี นับแต่การก่อตั้งห้องสมุดสาธารณะ

การเก็บรวบรวมข้อมูลส่วนบุคคลที่ผ่านมาดังกล่าว มีเพียงชื่อและนามสกุลของผู้ใช้หรือสมาชิก ไม่มีที่อยู่และหมายเลขโทรศัพท์ติดต่อของสมาชิกแต่อย่างใด

ในกรณีนี้ถือว่า การแจ้งวัตถุประสงค์ใหม่ดังกล่าว โดยส่งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคล ให้แก่สมาชิกห้องสมุดที่มีสมาชิกมากกว่า 100 ปี ไม่สามารถกระทำได้ เนื่องจากเป็นการยากที่ห้องสมุดสาธารณะจะหาที่อยู่ของสมาชิกให้ครบทุกคนได้ในรอบ 100 ปีที่ห้องสมุดเปิดทำการ 

เพื่อแจ้งวัตถุประสงค์ใหม่และการเก็บรวบรวมเพียงชื่อและนามสกุลดังกล่าว โดยไม่มีที่อยู่และหมายเลขโทรศัพท์ติดต่อ ไม่ได้ก่อให้เกิดผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในลักษณะที่เป็นสาระสำคัญแต่อย่างใด (แนวทางการแจ้งวัตถุประสงค์ ข้อ 5.2)

กรณีศึกษาที่ 2 หน่วยงาน ข ได้รับชื่อ ที่อยู่ และหมายเลขโทรศัพท์ติดต่อของสมาชิกจากเลขานุการ ของหน่วยงาน ค เพื่อส่งจดหมายเชิญให้สมาชิกของหน่วยงาน ค ให้เข้าร่วมการเสวนาเรื่องการคุ้มครองเด็ก ซึ่งเจ้าของข้อมูลส่วนบุคคลที่เป็นสมาชิกของหน่วยงาน ค แต่ละรายไม่ทราบถึงการส่งข้อมูลดังกล่าวของเลขานุการของหน่วยงาน ค ไปยังหน่วยงาน ข

 ในการนี้ หน่วยงาน ข มีหน้าที่ต้องแจ้งวัตถุประสงค์ใหม่ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลให้สมาชิกของหน่วยงาน ค ทราบ ในการติดต่อกับสมาชิกของหน่วยงาน ค ครั้งแรก

การประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (DPIA)

หากจะเก็บรวบรวมข้อมูลดังกล่าวไปใช้สำหรับการติดต่ออย่างอื่นในอนาคต หน่วยงาน ข จะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบโดยไม่ชักช้า แต่ต้องไม่เกิน 30 วัน นับแต่วันที่ได้เก็บรวบรวมข้อมูลส่วนบุคคล และได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลด้วย (แนวทางการแจ้งวัตถุประสงค์ ข้อ 4.2)

กรณีศึกษาที่ 3 มหาวิทยาลัย ง มีการเก็บรวบรวมข้อมูลส่วนบุคคล ได้แก่ ชื่อและนามสกุลของนักศึกษา รวมถึงข้อมูลของผู้ปกครองหรือผู้แทนโดยชอบธรรมของผู้เยาว์ ในการเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าว มหาวิทยาลัย ง จะมีข้อมูลส่วนบุคคลของผู้ที่ติดต่อได้ในกรณีเร่งด่วน (emergency contact) มากกว่า 10,000 ราย

ข้อมูลทั้งหมดนักศึกษาเป็นผู้ให้ข้อมูลส่วนบุคคลดังกล่าว (โดยไม่ได้มาจากเจ้าของข้อมูลส่วนบุคคลโดยตรง) มหาวิทยาลัย ง ไม่มีความจำเป็นต้องแจ้งวัตถุประสงค์ในการใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในกรณีฉุกเฉิน เพื่อให้เจ้าของข้อมูลส่วนบุคคล คือ ผู้ปกครองหรือผู้แทนโดยชอบธรรมของนักศึกษาให้ความยินยอมก่อน มหาวิทยาลัย ง เพียงดำเนินการประเมินความเสี่ยงโดยอาจจัดทำ DPIA 

หรือมีข้อกำหนด มาตรฐานว่าจะใช้ข้อมูลฉุกเฉินในกรณีที่จำเป็นเร่งด่วนเท่านั้น โดยอาจนำข้อมูลส่วนบุคคลดังกล่าวมาเก็บรวบรวมในระบบคอมพิวเตอร์ที่จำกัดจำนวนบุคคลที่สามารถเข้าถึงและใช้ข้อมูลส่วนบุคคลนั้นได้ และมีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม (แนวทางการแจ้งวัตถุประสงค์ ข้อ 5.2)

จากทั้ง 3 กรณีศึกษาข้างต้น เป็นประเด็นเกี่ยวกับการแจ้งวัตถุประสงค์ในการใช้ข้อมูลใหม่ อันเนื่องมาจากมีการเปลี่ยนแปลงวัตถุประสงค์การใช้หรือเปิดเผยข้อมูลต่างไปจากที่ได้ทำการเก็บรวบรวม (secondary use/re-purpose)

การเปลี่ยนแปลงวัตถุประสงค์ดังกล่าวก่อให้เกิดหน้าที่ในการแจ้งวัตถุประสงค์ใหม่ตามเงื่อนไขที่กฎหมายกำหนด และในบริบทของการบริหารจัดการข้อมูลส่วนบุคคลนั้น 

การเปลี่ยนแปลงวัตถุประสงค์นั้นอาจก่อให้เกิดความเสี่ยงต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ดังนั้นเพื่อป้องกันความเสี่ยงและผลกระทบจากการใช้และเปิดเผยข้อมูลส่วนบุคคล โดยที่เจ้าของข้อมูลส่วนบุคคลเดิมไม่ได้ให้ความยินยอมและไม่ได้รับทราบก่อนที่องค์กรจะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจากแหล่งอื่น ที่ไม่ใช่เจ้าของข้อมูลส่วนบุคคลโดยตรง

การประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (DPIA)

ผู้ควบคุมข้อมูลส่วนบุคคลควรจะมีการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (DPIA: Data Protection Impact Assessment) เพื่อระบุและประเมินความเสี่ยงหรือความเสียหายที่อาจจะเกิดขึ้นจากการใช้หรือเปิดเผยข้อมูลส่วนบุคคล 


หรือพิจารณาว่าการใช้หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าวขององค์กร อาจกระทบต่อสิทธิเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคลหรือไม่

โดยเฉพาะถ้ามีการใช้หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าว ที่เจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมและไม่ได้รับทราบกับเทคโนโลยีสมัยใหม่ โดยที่เทคโนโลยีดังกล่าวอาจทำให้เกิดการประมวลผลหรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลจำนวนมาก เช่น การใช้ปัญญาประดิษฐ์ หรือ Artificial Intelligence (AI) เป็นต้น จากการนำข้อมูลส่วนบุคคลดังกล่าวมาใช้ (แนวทางการแจ้งวัตถุประสงค์ ข้อ 4.2)

แม้ว่าตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ จะมิได้กำหนดเป็นหน้าที่โดยตรงให้องค์กรต้องจัด DPIA แต่ตามกฎหมายได้กำหนดให้องค์กรต้องมีการประเมินความเสี่ยงต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลในหลาย ๆ กรณี และตามประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565

การประเมินความเสี่ยงและการบริหารความเสี่ยง ถือเป็นองค์ประกอบสำคัญของมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม

การที่องค์กรมีข้อกำหนดและหลักเกณฑ์ในการจัดทำ DPIA จึงถือได้ว่าเป็นมาตรการเชิงองค์กร (organizational measures) ที่สามารถนำมาใช้เพื่อบริหารความเสี่ยงตามลักษณะและวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ตลอดจนโอกาสเกิดและผลกระทบจากเหตุการละเมิดข้อมูลส่วนบุคคลอีกด้วย

นอกจากนี้ การจัดทำ DPIA ยังเป็นแนวปฏิบัติที่ดีสำหรับในหลาย ๆ อุตสาหกรรมที่ได้ส่งเสริมให้มีการนำ DPIA มาใช้เป็นเครื่องมือในการบริหารจัดการความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคล อาทิ แนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของลูกค้าสำหรับธุรกิจประกันชีวิตและธุรกิจประกันวินาศภัย 

โดยคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัยซึ่งกำหนดให้ในการประมวลผลข้อมูลที่มีความเสี่ยงสูง อันจะส่งผลกระทบต่อสิทธิเสรีภาพของลูกค้าตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด บริษัทประกันฯ ต้องจัดให้มีการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล 
(ข้อ 4 วรรค 2) เป็นต้น.

อ้างอิง
1.    แนวทางการดำเนินการในการแจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
2.    ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัย
ของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565