การประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (DPIA)

ตามแนวทางการดำเนินการในการแจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูล
ส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
(แนวทางการแจ้งวัตถุประสงค์) โดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล มีตัวอย่างกรณีศึกษา 3 กรณี
ที่องค์กรควรจัดทำการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (DPIA: Data Protection Impact Assessment) ดังนี้


กรณีศึกษาที่ 1 ห้องสมุดสาธารณะสำหรับประชาชนแห่งหนึ่งมีโครงการจะใช้ข้อมูลส่วนบุคคล
ที่ทำการเก็บรวบรวมข้อมูลในเชิงสถิติของผู้ใช้หรือสมาชิกห้องสมุดในรอบ 100 ปี นับแต่การก่อตั้งห้องสมุดสาธารณะ โดยการเก็บรวบรวมข้อมูลส่วนบุคคลที่ผ่านมาดังกล่าว มีเพียงชื่อและนามสกุลของผู้ใช้หรือสมาชิก โดยไม่มีที่อยู่และหมายเลขโทรศัพท์ติดต่อของสมาชิกแต่อย่างใด ในกรณีนี้ถือว่า การแจ้งวัตถุประสงค์ใหม่ดังกล่าวโดยส่งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลให้แก่สมาชิกห้องสมุดที่มีสมาชิกมากกว่า 100 ปี ไม่สามารถกระทำได้เนื่องจากเป็นการยากที่ห้องสมุดสาธารณะจะหาที่อยู่ของสมาชิกให้ครบทุกคนได้ในรอบ 100 ปีที่ห้องสมุดเปิดทำการ เพื่อแจ้งวัตถุประสงค์ใหม่และการเก็บรวบรวมเพียงชื่อและนามสกุลดังกล่าว โดยไม่มีที่อยู่และหมายเลขโทรศัพท์ติดต่อ ไม่ได้ก่อให้เกิดผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในลักษณะที่เป็นสาระสำคัญแต่อย่างใด (แนวทางการแจ้งวัตถุประสงค์ ข้อ 5.2)


กรณีศึกษาที่ 2 หน่วยงาน ข ได้รับชื่อ ที่อยู่ และหมายเลขโทรศัพท์ติดต่อของสมาชิกจากเลขานุการ ของหน่วยงาน ค เพื่อส่งจดหมายเชิญให้สมาชิกของหน่วยงาน ค ให้เข้าร่วมการเสวนาเรื่องการคุ้มครองเด็ก
ซึ่งเจ้าของข้อมูลส่วนบุคคลที่เป็นสมาชิกของหน่วยงาน ค แต่ละรายไม่ทราบถึงการส่งข้อมูลดังกล่าว
ของเลขานุการของหน่วยงาน ค ไปยังหน่วยงาน ข ในการนี้ หน่วยงาน ข มีหน้าที่ต้องแจ้งวัตถุประสงค์ใหม่ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลให้สมาชิกของหน่วยงาน ค ทราบ ในการติดต่อ
กับสมาชิกของหน่วยงาน ค ครั้งแรก และหากจะเก็บรวบรวมข้อมูลดังกล่าวไปใช้สำหรับการติดต่ออย่างอื่น
ในอนาคต หน่วยงาน ข จะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบโดยไม่ชักช้า แต่ต้องไม่เกิน 30 วัน
นับแต่วันที่ได้เก็บรวบรวมข้อมูลส่วนบุคคล และได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลด้วย
(แนวทางการแจ้งวัตถุประสงค์ ข้อ 4.2)


กรณีศึกษาที่ 3 มหาวิทยาลัย ง มีการเก็บรวบรวมข้อมูลส่วนบุคคล ได้แก่ ชื่อและนามสกุล
ของนักศึกษา รวมถึงข้อมูลของผู้ปกครองหรือผู้แทนโดยชอบธรรมของผู้เยาว์ ในการเก็บรวบรวมข้อมูล
ส่วนบุคคลดังกล่าว มหาวิทยาลัย ง จะมีข้อมูลส่วนบุคคลของผู้ที่ติดต่อได้ในกรณีเร่งด่วน (emergency contact) มากกว่า 10,000 ราย โดยข้อมูลทั้งหมดนักศึกษาเป็นผู้ให้ข้อมูลส่วนบุคคลดังกล่าว (โดยไม่ได้มาจากเจ้าของข้อมูลส่วนบุคคลโดยตรง) มหาวิทยาลัย ง ไม่มีความจำเป็นต้องแจ้งวัตถุประสงค์ในการใช้หรือเปิดเผยข้อมูลส่วนบุคคลใน กรณีฉุกเฉินเพื่อให้เจ้าของข้อมูลส่วนบุคคล คือ ผู้ปกครองหรือผู้แทนโดยชอบธรรมของนักศึกษาให้ความยินยอมก่อนมหาวิทยาลัย ง เพียงดำเนินการประเมินความเสี่ยงโดยอาจจัดทำ DPIA หรือมีข้อกำหนด มาตรฐานว่าจะใช้ข้อมูลฉุกเฉินในกรณีที่จำเป็นเร่งด่วนเท่านั้น โดยอาจนำข้อมูลส่วนบุคคลดังกล่าวมาเก็บรวบรวมในระบบคอมพิวเตอร์ที่จำกัดจำนวนบุคคลที่สามารถเข้าถึงและใช้ข้อมูลส่วนบุคคลนั้นได้ และมีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม (แนวทางการแจ้งวัตถุประสงค์ ข้อ 5.2)


จากทั้ง 3 กรณีศึกษาข้างต้น เป็นประเด็นเกี่ยวกับการแจ้งวัตถุประสงค์ในการใช้ข้อมูลใหม่
อันเนื่องมาจากมีการเปลี่ยนแปลงวัตถุประสงค์การใช้หรือเปิดเผยข้อมูลต่างไปจากที่ได้ทำการเก็บรวบรวม (secondary use/re-purpose) ซึ่งการเปลี่ยนแปลงวัตถุประสงค์ดังกล่าวก่อให้เกิดหน้าที่ในการแจ้งวัตถุประสงค์ใหม่ตามเงื่อนไขที่กฎหมายกำหนด และในบริบทของการบริหารจัดการข้อมูลส่วนบุคคลนั้น การเปลี่ยนแปลงวัตถุประสงค์นั้นอาจก่อให้เกิดความเสี่ยงต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ดังนั้นเพื่อป้องกันความเสี่ยงและผลกระทบจากการใช้และเปิดเผยข้อมูลส่วนบุคคล โดยที่เจ้าของข้อมูลส่วนบุคคลเดิมไม่ได้ให้ความยินยอมและไม่ได้รับทราบก่อนที่องค์กรจะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลส่วนบุคคลโดยตรง ผู้ควบคุมข้อมูลส่วนบุคคลควรจะมีการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (DPIA: Data Protection Impact Assessment)
เพื่อระบุและประเมินความเสี่ยงหรือความเสียหายที่อาจจะเกิดขึ้นจากการใช้หรือเปิดเผยข้อมูลส่วนบุคคล
หรือพิจารณาว่าการใช้หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าวขององค์กรอาจกระทบต่อสิทธิเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคลหรือไม่ โดยเฉพาะถ้ามีการใช้หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าวที่เจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมและไม่ได้รับทราบกับเทคโนโลยีสมัยใหม่โดยที่เทคโนโลยีดังกล่าวอาจทำให้เกิดการประมวลผลหรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลจำนวนมาก เช่น การใช้ปัญญาประดิษฐ์
หรือ Artificial Intelligence (AI) เป็นต้น จากการนำข้อมูลส่วนบุคคลดังกล่าวมาใช้ (แนวทางการแจ้งวัตถุประสงค์ ข้อ 4.2)


แม้ว่าตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ จะมิได้กำหนดเป็นหน้าที่โดยตรงให้องค์กรต้องจัด DPIA แต่ตามกฎหมายได้กำหนดให้องค์กรต้องมีการประเมินความเสี่ยงต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลในหลาย ๆ กรณี และตามประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 การประเมินความเสี่ยงและการบริหารความเสี่ยงถือเป็นองค์ประกอบสำคัญของมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม การที่องค์กรมีข้อกำหนดและหลักเกณฑ์ในการจัดทำ DPIA จึงถือได้ว่าเป็นมาตรการเชิงองค์กร (organizational measures) ที่สามารถนำมาใช้เพื่อบริหารความเสี่ยงตามลักษณะและวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ตลอดจนโอกาสเกิดและผลกระทบจากเหตุการละเมิดข้อมูลส่วนบุคคลอีกด้วย


นอกจากนี้ การจัดทำ DPIA ยังเป็นแนวปฏิบัติที่ดีสำหรับในหลาย ๆ อุตสาหกรรมที่ได้ส่งเสริมให้มีการนำ DPIA มาใช้เป็นเครื่องมือในการบริหารจัดการความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคล อาทิ แนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของลูกค้าสำหรับธุรกิจประกันชีวิตและธุรกิจประกันวินาศภัยโดยคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัยซึ่งกำหนดให้ในการประมวลผลข้อมูลที่มีความเสี่ยงสูง อันจะส่งผลกระทบต่อสิทธิเสรีภาพของลูกค้าตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด บริษัทประกันฯ ต้องจัดให้มีการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (ข้อ 4 วรรค 2) เป็นต้น

อ้างอิง
1. แนวทางการดำเนินการในการแจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
2. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัย
ของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565

 

โดย
สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม