ทำความรู้จัก DPIA (Data Protection Impact Assessment) สำคัญต่อองค์กรอย่างไร?

 ทำความรู้จัก DPIA (Data Protection Impact Assessment) สำคัญต่อองค์กรอย่างไร?

 

 

 

ปฏิเสธไม่ได้ว่าปัจจุบัน จำนวนของข้อมูลในองค์กร ยิ่งมากยิ่งเป็นสิ่งที่ดีต่อการโฆษณา ดีต่อการพัฒนาผลิตภัณฑ์ แต่ขณะเดียวกันยิ่งมีข้อมูลมาก ก็ยิ่งมีความเสี่ยงต่อการรั่วไหล เสี่ยงต่อการจารกรรมข้อมูล ดังนั้นการหยิบยืมข้อมูลจากเจ้าของข้อมูลส่วนบุคคล (Data Subject) มาเก็บไว้ภายในองค์กร จำเป็นต้องมีวิธีรักษาความปลอดภัยให้กับข้อมูลอย่างรอบด้าน ซึ่งกฎหมายก็พยายามชี้ให้เห็นว่า ไม่จำเป็นต้องรอให้เกิดเหตุข้อมูลรั่วไหล แล้วจึงหาทางป้องกัน แต่ควรวางแผนป้องกันข้อมูลจากความเสี่ยง จากเหตุที่ไม่คาดคิด ก่อนที่เหตุนั้นจะเกิดขึ้นจริง

กระบวนการสำคัญที่ช่วยให้องค์กรรู้ถึงจุดเสี่ยง ช่องโหว่ที่อันตรายในกระบวนการต่างๆ ของ PDPA เพื่อนำไปสู่การวางแผนรับมือ หรือแก้ไขช่องโหว่ก่อนจะเกิดเหตุ คือ กระบวนการ DPIA

DPIA Introduction: ความหมายและขอบเขตของกระบวนการ DPIA

DPIA มีชื่อเต็มคือ Data Protection Impact Assessment หรือ การประเมินผลกระทบ/ ความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคล เป็นกระบวนการที่ถูกระบุให้เป็นขั้นตอนที่ต้องทราบ “ผลกระทบ” และ “มาตรการที่เหมาะสมกับผลกระทบและความเสี่ยง” มาตรา 30, 37 (4), 39 วรรคสาม, 40 วรรคสี่, 37 (1), 39 (8), 40 (2), 4 วรรคสาม ในพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

DPIA มีวัตถุประสงค์เพื่อดำเนินการหามาตรการบรรเทาความเสี่ยง ให้อยู่ในระดับที่ยอมรับได้และเพื่อให้การประเมินผลกระทบมีประสิทธิภาพ และเป็นไปตามมาตรฐานสากล และยังมีส่วนช่วยให้ Data Controller สามารถจัดลำดับความสำคัญของความเสี่ยงในกระบวนการ PDPA จำกัดขอบเขตกระบวนการที่มีความเสี่ยงสูง ช่วยให้สามารถออกแบบแผนเพื่อป้องกันและรับมือการละเมิดข้อมูล หรือเหตุข้อมูลรั่วไหลที่มาจากกิจกรรมการประมวลผลข้อมูลส่วนบุคคลที่สุ่มเสี่ยงได้


DPIA

ทำไมองค์กรต้องทำ DPIA

นอกจากเหตุผลด้านจำนวนข้อมูลที่มหาศาล ภัยไซเบอร์ที่คุกคามข้อมูลส่วนบุคคล กลโกงของเหล่าแฮ็กเกอร์ที่มาในรูป Cyber Threats รูปแบบต่างๆ ที่กล่าวไปในช่วงต้นแล้ว ความชะล่าใจหลังจากกระบวนการ PDPA ภายในองค์กรที่ดำเนินการแล้ว ความเชื่อที่ว่าข้อมูลจะปลอดภัยจากการแฮ็ก หรือปลอดภัยจากการทำผิดข้อกำหนดของกฎหมาย เป็นสิ่งที่นำมาภัยมาสู่หลายๆ องค์กร เนื่องจาก

การที่องค์กรทำตามขั้นตอนที่กฎหมายกำหนดครบทุกกระบวนการ ไม่รับประกันความปลอดภัยของข้อมูล และไม่การันตีว่าแฮ็กเกอร์จะไม่คุกคามระบบขององค์กร ขณะที่ภัยคุกคามข้อมูลมีความหลากหลาย อาจแฝงอยู่ในกระบวนการประมวลผลข้อมูล การส่งต่อ/แชร์ข้อมูลระหว่าง Data Controller & Data Processor หรืออาจแฝงอยู่ในกระบวนการทำงานภายในองค์กรเอง หากขาดการจัดการที่ดี หรือขาดกระบวนการที่รัดกุม ภัยที่แฝงอยู่ ก็อาจนำไปสู่ภัยร้ายที่ทำลายข้อมูลส่วนบุคคล ทำลายระบบจัดเก็บ หรือทำลายระบบรักษาความปลอดภัยในองค์กร จนนำไปสู่การฟ้องร้องเอาผิดจากเจ้าของข้อมูล หรือการดำเนินการทางกฎหมายจากหน่วยงานกำกับดูแลได้

การลงโทษบุคคลหรือองค์กร ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล มี 3 ระดับ ได้แก่

โทษทางอาญา

ผู้กระทำผิดจะถูกลงโทษทางอาญา ในกรณีที่มีการนำข้อมูลส่วนบุคคลอ่อนไหว ไปประมวลผล เผยแพร่ทำให้เกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่นเกลียดชัง โทษสูงสุดจำคุก 6เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ กรณีที่มีการนำข้อมูลส่วนบุคคลอ่อนไหว ไปหาประโยชน์แบบผิดกฎหมาย โทษสูงสุดคือจำคุก 1 ปีหรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ

โทษทางแพ่ง

บทลงโทษทางแพ่ง ในกรณีที่ผู้ประสงค์ร้ายหรือผู้ร้าย  นำข้อมูลส่วนบุคคลไปสร้างความเสียหายแก่เจ้าของข้อมูล เจ้าของข้อมูลมีสิทธิเรียกร้องค่าเสียหาย เป็นค่าสินไหมทดแทนอิงจากความเสียหายที่ได้รับจริง ศาลใช้อำนาจสั่งลงโทษเพิ่มขึ้นได้แต่ไม่เกิน 2 เท่าของสินไหมทดแทนที่แท้จริง

โทษทางปกครอง

กรณีที่มีการกระทำผิด เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล โดยไม่มีการดำเนินการขอความยินยอมจากเจ้าของข้อมูล ไม่มีช่องทางรองรับให้เจ้าของข้อมูลใช้สิทธิ มีโทษปรับไม่เกิน 1,000,000 บาท

กรณีที่ทำการเก็บ รวบรวม เผยแพร่ข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย มีโทษปรับไม่เกิน 3,000,000 บาท

กรณีที่มีการเก็บ รวบรวม เผยแพร่ โอนถ่ายข้อมูลส่วนบุคคลอ่อนไหว โดยวัตถุประสงค์ที่ไม่ชอบด้วยกฎหมาย มีโทษปรับไม่เกิน 5,000,000 บาท

นอกจากนี้ การทำ DPIA จะถือเป็นการปฏิบัติตามข้อกำหนดของกฎหมาย PDPA ของไทยแล้ว กระบวนการประเมินความเสี่ยงและผลกระทบ ยังเป็นแนวปฏิบัติที่กฎหมาย GDPR (กฎหมายคุ้มครองข้อมูลส่วนบุคคลแห่งสหภาพยุโรป) และปรากฎอยู่ในมาตรฐาน ISO ซึ่งระบุว่า เครื่องมือสำหรับการประเมินผลกระทบที่อาจเกิดขึ้นกับความเป็นส่วนตัวของกระบวนการ (process), ระบบข้อมูล (system), โปรแกรม (program) โมดูลซอฟต์แวร์ (module), อุปกรณ์ (device), หรือการเริ่มต้นอื่น ๆ ในการประมวลผลข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII) และ การปรึกษาหารือ (consultation) กับผู้มีส่วนได้ส่วนเสียเพื่อดำเนินการตามความจำเป็นในการจัดการความเสี่ยงด้านข้อมูลส่วนบุคคล

อ่านมาถึงตรงนี้ องค์กรอาจมีคำถามมากมายเกี่ยวกับ DPIA และอาจสงสัยว่าองค์กรของท่านต้องทำ DPIA หรือไม่ ต้องมีจำนวนข้อมูลส่วนบุคคลจัดเก็บไว้ในฐานข้อมูลมากเท่าไหร่ถึงจะต้องทำ DPIA กิจกรรมหรือกระบวนการประมวลผลข้อมูลใดในองค์กรที่ควรทำ/ ไม่ควรทำ DPIA โพสต์นี้ t-reg มีคำตอบให้ เริ่มที่ลักษณะธุรกิจที่ควรทำ DPIA กันเลย

ลักษณะธุรกิจ/ กิจการที่ต้องทำ DPIA

  • อุตสาหกรรมหรือกิจการที่มีการเก็บข้อมูลลูกค้า/คู่ค้า หุ้นส่วน และพนักงานในองค์กร

  • ธุรกิจการเงินและการประกันภัย

  • ธุรกิจอสังหาริมทรัพย์ ที่มีการเก็บข้อมูลผู้อยู่อาศัยทั้งไทยและต่างชาติ ลูกค้า คู่สัญญา

  • ธุรกิจหรือกิจการต่างชาติที่มีการดำเนินกิจกรรมในประเทศไทย และมีพนักงานเป็นชาวต่างชาติ

  • ธุรกิจท่องเที่ยวและการบริการ รวมถึงธุรกิจนำเที่ยว ที่มีการจัดเก็บข้อมูลผู้มาใช้บริการ เลขบัญชีธนาคาร เลขบัตรเครดิต และจัดเก็บข้อมูลพนักงาน

  • ธุรกิจค้าปลีกสมัยใหม่ที่มีการเก็บ ใช้ หรือส่งต่อข้อมูลให้ Third party หรือมีระบบสมาชิก (Membership)

  • ธุรกิจด้านการศึกษา อาทิ โรงเรียน วิทยาลัย มหาวิทยาลัย ซึ่งมีกระบวนการจัดเก็บข้อมูลนักเรียน ผู้ปกครอง รวมทั้งพนักงานภายใน

กิจกรรมการประมวลผลข้อมูลที่ควรทำ DPIA

PDPA-DPIA
  1. การประมวลผลข้อมูลส่วนบุคคลอ่อนไหวจำนวนมาก ตัวอย่างที่ชัดเจนคือระบบเวชระเบียนในโรงพยาบาล

  1. การติดตามตำแหน่งที่อยู่หรือพฤติกรรม (Tracking) เช่นการขนส่ง Logistic

  1. การตลาดแบบเฉพาะเจาะจงต่อผู้เยาว์ ผู้ไร้ความสามารถ หรือ ผู้เสมือนไร้ความสามารถ (Target marking)

  1. การประมวลผลที่อาจเกิดอันตรายต่อร่างกาย (Risk of physical harm)

  1. การขยายธุรกิจ (Business expansion)

  1. การทำโปรไฟลลิ่ง (Profiling)

  1. การประมวลผลข้อมูลที่ใช้ที่เทคโนโลยี เช่น ลายนิ้วมือ การจดจำใบหน้า (Facial recognition) เพื่อเข้าอาคาร/สำนักงาน หรือการเช็คเวลาเข้า-ออก งานผ่านแอปพลิเคชัน

  1. เมื่อมีการแก้ไขเปลี่ยนแปลงด้านกฎหมาย นโยบายภายใน หรือการไหลเวียนของข้อมูล (Data flow)

  2. การจับคู่ เชื่อมโยงข้อมูล หรือ มีชุดข้อมูลส่วนบุคคลจากหลายแหล่ง

  1. การเก็บรวบรวมข้อมูลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลโดยตรงและไม่มีการแจ้งเตือน

DPIA ควรริเริ่มและดำเนินการอย่างไรให้สำเร็จ

DPIA เป็นกระบวนการที่มีรายละเอียดปลีกย่อยไม่น้อย และต้องอาศัยความแม่นยำอย่างมาก ซึ่งรายละเอียดปลีกย่อยของการทำ DPIA อาจแตกต่างกันไปตามประเภทของข้อมูลส่วนบุคคลที่องค์กรจัดเก็บ รวมถึงกระบวนการจัดเก็บข้อมูล และปริมาณข้อมูล t-reg จึงขออธิบายกระบวนการสำคัญที่ควรมีในการทำ DPIA ที่ทุกองค์กรสามารถนำไปประยุกต์ใช้ต่อได้ ดังนี้

  1. สร้างทีมรับผิดชอบในการทำ DPIA ซึ่งควรมีตัวแทนจากแต่ละแผนกที่เกี่ยวข้อง และควรมีที่ปรึกษาหรือผู้เชี่ยวชาญด้านกฎหมาย PDPA ร่วมอยู่ในกระบวนการด้วย

  1. แบ่งประเภทข้อมูล โดยอาจกำหนดประเภทข้อมูลจาก แหล่งที่มา ระบุได้/ ระบุไม่ได้ ข้อมูลที่ระบุตัวตนของเจ้าของข้อมูลได้/ข้อมูลที่ไม่สามารถระบุตัวตนของเจ้าของข้อมูลได้ ข้อมูลส่วนบุคคลทั่วไป/ ข้อมูลส่วนบุคคลอ่อนไหว ข้อมูลที่เก็บรวบรวมโดยองค์กร/ ข้อมูลที่ได้รับการส่งต่อจาก Third party

  1. สำรวจกระบวนการภายในองค์กรที่มีส่วนเกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล หรือตรวจเช็คจาก ROP ของกระบวนการ PDPA

  1. สร้างตัวชี้วัดความเสี่ยง (Risk Metric) เพื่อกำหนดระดับความเสี่ยงและผลกระทบต่อข้อมูล

  1. นำข้อมูลและกระบวนการที่เกี่ยวข้องกับข้อมูลส่วนบุคคลทั้งหมด เข้าสู่กระบวนการประเมินความเสี่ยงและผลกระทบ

  1. กำหนดนโยบายหรือมาตรการจัดการความเสี่ยง

  1. ติดตามและอัพเดทผลการประเมิน DPIA

เราทราบถึงความสำคัญของกระบวนการ DPIA กันมาพอสมควรแล้ว และพอจะทราบในเบื้องต้นแล้วว่าการริเริ่มและดำเนินการมีลำดับอย่างไร หัวข้อถัดไปมาดูกันว่าการประเมินผลกระทบ/ ความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคล (DPIA) ที่ครบถ้วน จะช่วยสนับสนุนกระบวนการอื่นๆ ในองค์กรได้อย่างไรบ้าง

ประโยชน์ของการประเมินผลกระทบ/ ความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคล (DPIA)

  • องค์กรสามารถใช้กระบวนการ DPIA ระบุกิจกรรมการประมวลผลข้อมูลส่วนบุคคลที่มีความเสี่ยง และการใช้มาตรการที่เหมาะสมเพื่อลดความเสี่ยงจากกิจกรรมนั้นๆ

  • กระบวนการ DPIA มีส่วนช่วยลดความเสี่ยงต่อการละเมิดข้อมูลส่วนบุคคลในการทำกิจกรรมที่เก็บรวบรวม ใช้หรือเผยแพร่ข้อมูลส่วนบุคคล

  • สร้างความเชื่อมั่นต่อลูกค้าหรือ Data Subject ที่ยิมยอมให้องค์กรเก็บรวบรวม ใช้และเผยแพร่ข้อมูลส่วนบุคคล

  • หากเกิดเหตุละเมิดข้อมูลหรือการฝ่าฝืนไม่ปฏิบัติตามกฎหมายหรือข้อร้องเรียน สามารถใช้เอกสารในกระบวนการ DPIA เพื่อยืนยันการการปฏิบัติตามกฎหมาย PDPA ได้

  • ใช้กระบวนการ DPIA เพื่อสื่อสารและสร้างความเข้าใจกับผู้บริหารองค์กร ในเรื่องการจัดการความเสี่ยง (Risk and Compliance) ด้านข้อมูลส่วนบุคคล ความตระหนัก ความรับผิดชอบ และภาพรวมการประมวลผลข้อมูลส่วนบุคคลภายในองค์กร

  • กระบวนการ DPIA มีส่วนช่วยประเมินการจัดการข้อมูลส่วนบุคคลของผู้ประมวลผลข้อมูลส่วนบุคคลหรือผู้ควบคุมข้อมูลส่วนบุคคลตามข้อตกลงในสัญญา

  • องค์กรใช้กระบวนการ DPIA เพื่อสร้างความมั่นใจให้แก่เจ้าของข้อมูลส่วนบุคคล ถึงการคุ้มครองความปลอดภัยขั้นสูงสุด

  • หากมีกระบวนการ DPIA ที่ดี องค์กรสามารถมั่นใจได้ว่ากฎหมายคุ้มครองข้อมูลส่วนบุคคลจะมีการพิจารณารวมอยู่ในข้อกำหนดการทำงาน และแทรกซึมอยู่ใน Procedure ของแต่ละแผนกที่เกี่ยวข้อง

  • ใช้เป็นเครื่องมือในการทำความเข้าใจความเสี่ยงด้านความเป็นส่วนตัวในระดับโครงการ/หน่วยงาน เพื่อรวบรวมความเสี่ยงในการออกแบบนโยบายความเป็นส่วนตัวและกลไกการบังคับใช้ รวมถึงการปรับปรุงกระบวนการด้านการคุ้มครองข้อมูลส่วนบุคคล (Privacy by Design)

ทั้งหมดนี้คือรายละเอียด ขอบเขต และประโยชน์ของ DPIA จะเห็นว่า DPIA นั้นมีความสำคัญไม่น้อยไปกว่าการรักษาความปลอดภัยเชิงกายภาพ การทำ DPIA จะช่วยให้องค์กรประเมินภาพรวมของความเสี่ยงในของการประมวลผลข้อมูลส่วนบุคคลได้ และมีประโยชน์มากมายต่อองค์กรที่ดำเนินการจนสำเร็จ

 

โดยสรุปแล้ว การทำ DPIA ถือเป็นหนึ่งกระบวนการที่กฎหมาย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ระบุให้เป็นขั้นตอนที่ต้องทราบ ทั้งนี้ก็เพื่อเป็นการประเมินผลกระทบและบรรเทาความเสี่ยง ด้านการคุ้มครองข้อมูลส่วนบุคคลให้อยู่ในระดับที่ยอมรับได้ รวมถึงช่วยให้สามารถออกแบบแผนเพื่อป้องกันและรับมือการละเมิดข้อมูล หรือเหตุข้อมูลรั่วไหลที่มาจากกิจกรรมการประมวลผลข้อมูลส่วนบุคคลที่สุ่มเสี่ยงได้

 

 

ที่มา : https://t-reg.co/blog/news/pdpa-dpia-data-protection-impact-assessment/

 

 

 

Visitors: 1,384,366