การประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (DPIA)
สารบัญในมาตรานี้
นิยาม
DPIA ย่อมาจาก Data Protection Impact Assessment ในภาษาอังกฤษ — เป็นศัพท์ที่นิยมใช้ในมาตรฐานสากลและในตำราภาษาไทยเรียกทับศัพท์ว่า "DPIA"
การประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (DPIA) คือกระบวนการที่ผู้ควบคุมข้อมูลทำขึ้นก่อนเริ่มกิจกรรมการประมวลผลข้อมูลที่อาจมีความเสี่ยงสูงต่อสิทธิและเสรีภาพของเจ้าของข้อมูล — เพื่อระบุความเสี่ยง ประเมินความรุนแรงและความน่าจะเป็น และกำหนดมาตรการลดความเสี่ยง
สถานะใน พ.ร.บ. ไทย: พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลของไทยปี 2562 ไม่ได้บัญญัติ DPIA ไว้โดยตรง — เป็นแนวปฏิบัติที่นำเข้ามาจาก GDPR และมาตรฐานสากล แต่หน้าที่ของผู้ควบคุมตาม มาตรา 37 (1) ที่ต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่ "เหมาะสม" — ในทางปฏิบัติ DPIA เป็นเครื่องมือที่ช่วยให้ผู้ควบคุมพิสูจน์ว่าได้พิจารณาความเสี่ยงและจัดมาตรการที่เหมาะสมแล้ว
ตัวอย่าง
เมื่อใดควรทำ DPIA (แนวปฏิบัติสากล)
DPIA แนะนำให้ทำเมื่อกิจกรรมการประมวลผลข้อมูลมีลักษณะเข้าข่ายต่อไปนี้ตั้งแต่ 2 ข้อขึ้นไป:
- ใช้เทคโนโลยีใหม่ — เช่น ปัญญาประดิษฐ์ การรู้จำใบหน้า การประมวลผลด้วยอัลกอริทึมตัดสินใจอัตโนมัติ
- ประมวลผลข้อมูลอ่อนไหวจำนวนมาก ตาม มาตรา 26 — เช่น ข้อมูลพันธุกรรม สุขภาพ ประวัติอาชญากรรม
- ตรวจสอบบุคคลอย่างเป็นระบบ — เช่น กล้องวงจรปิดในที่สาธารณะ การติดตามตำแหน่งพนักงาน
- ประมวลผลข้อมูลของผู้เปราะบาง — เช่น เด็ก ผู้สูงอายุ ผู้ป่วยจิตเวช
- ตัดสินใจอัตโนมัติที่มีผลกระทบทางกฎหมายต่อบุคคล — เช่น การอนุมัติสินเชื่อด้วยอัลกอริทึม การคัดเลือกพนักงานด้วยปัญญาประดิษฐ์
- การเปรียบเทียบข้อมูลจากหลายแหล่ง — รวมข้อมูลจาก 2 แหล่งขึ้นไปเพื่อสร้างโปรไฟล์
- การส่งข้อมูลข้ามประเทศ ไปยังประเทศที่อาจมีมาตรฐานคุ้มครองข้อมูลต่ำกว่า
องค์ประกอบหลักของ DPIA
- อธิบายกิจกรรมการประมวลผล — วัตถุประสงค์ ฐานในการประมวลผล ประเภทข้อมูล ผู้รับข้อมูล ระยะเวลาการเก็บ
- ประเมินความจำเป็นและสัดส่วน — กิจกรรมจำเป็นเพียงใด มีทางเลือกที่กระทบน้อยกว่าไหม
- ระบุความเสี่ยง — ที่อาจกระทบสิทธิและเสรีภาพของเจ้าของข้อมูล (เช่น การรั่วไหล การใช้ผิดวัตถุประสงค์ การถูกเลือกปฏิบัติ)
- กำหนดมาตรการลดความเสี่ยง — มาตรการทางเทคนิค (เข้ารหัส ระบบควบคุมการเข้าถึง) + มาตรการเชิงองค์กร (นโยบาย การฝึกอบรม)
- ตัดสินใจดำเนินการ — หากความเสี่ยงสูงเกินที่จะลดลงได้ ผู้ควบคุมควรปรึกษาคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลก่อนเริ่มกิจกรรม
กรณีศึกษาที่ควรทำ DPIA
- โรงพยาบาลที่นำระบบ AI วินิจฉัยภาพถ่ายแพทย์มาใช้ — ข้อมูลอ่อนไหว + เทคโนโลยีใหม่ + ตัดสินใจอัตโนมัติ
- บริษัทประกันที่ใช้อัลกอริทึมประเมินความเสี่ยงจากข้อมูลพันธุกรรม — ข้อมูลอ่อนไหว + ตัดสินใจอัตโนมัติที่กระทบสิทธิ
- แอปติดตามตำแหน่งพนักงานในที่ทำงาน — การตรวจสอบอย่างเป็นระบบ + ข้อมูลของผู้เปราะบาง (ความสัมพันธ์ไม่เท่าเทียม)
มาตราที่เกี่ยวข้อง
กรอบกฎหมายที่เชื่อมโยง (ไม่บัญญัติ DPIA โดยตรง แต่สนับสนุนแนวปฏิบัติ):
- มาตรา 37 — หน้าที่ของผู้ควบคุมในการจัดมาตรการรักษาความมั่นคงปลอดภัยที่ "เหมาะสม" — DPIA เป็นเครื่องมือพิสูจน์ความเหมาะสม
- มาตรา 39 — บันทึกรายการของกิจกรรมการประมวลผล (ROPA) — DPIA เป็นส่วนเสริมที่เน้นการประเมินความเสี่ยง (ขณะที่ ROPA เน้นการบันทึก)
- มาตรา 41 — DPO มีหน้าที่ให้คำแนะนำในการทำ DPIA และตรวจสอบกิจกรรมการประมวลผลที่มีความเสี่ยงสูง
ประกาศที่เกี่ยวข้อง
-
หมายเหตุ
- ไม่บัญญัติชัดใน พ.ร.บ. ไทย แต่นิยมในทางปฏิบัติ: DPIA เป็นแนวปฏิบัติที่นำเข้ามาจาก GDPR Art. 35 ซึ่งบัญญัติชัดเจน — พ.ร.บ. ไทยใช้คำกว้างว่า "มาตรการที่เหมาะสม" ใน มาตรา 37 (1) ทำให้ DPIA เป็นทางเลือกที่ผู้ควบคุมใช้พิสูจน์การปฏิบัติตามหน้าที่
- เทียบกับ GDPR Art. 35: GDPR บังคับให้ทำ DPIA เมื่อกิจกรรม "มีแนวโน้มก่อให้เกิดความเสี่ยงสูงต่อสิทธิและเสรีภาพของบุคคล" — ระบุกรณีเฉพาะ 3 ประเภท: (a) ตัดสินใจอัตโนมัติที่มีผลทางกฎหมาย (b) ประมวลผลข้อมูลอ่อนไหวขนาดใหญ่ (c) ตรวจสอบที่สาธารณะอย่างเป็นระบบ
- DPIA vs ROPA: ROPA (มาตรา 39) = บันทึกการประมวลผลทุกกิจกรรม (เป็นเอกสารต่อเนื่อง) — DPIA = ประเมินความเสี่ยงเฉพาะกิจกรรมที่อาจมีความเสี่ยงสูง (เป็นเอกสารต่อกิจกรรม)
- บทบาทของ DPO ใน DPIA: DPO ตาม มาตรา 41 มีหน้าที่ให้คำแนะนำในการทำ DPIA — แม้ พ.ร.บ. ไทยจะไม่บัญญัติชัด แต่แนวปฏิบัติสากลถือเป็นหน้าที่หลักของ DPO
- แนวโน้มในอนาคต: คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของไทยอาจออกประกาศแนวปฏิบัติเกี่ยวกับ DPIA ในอนาคต — โดยเฉพาะสำหรับกิจกรรมที่มีความเสี่ยงสูงเช่นปัญญาประดิษฐ์และการตัดสินใจอัตโนมัติ
- ผู้รับผิดชอบ DPIA: ผู้ควบคุมข้อมูลเป็นผู้รับผิดชอบหลักในการทำ DPIA — แม้จะปรึกษา DPO หรือผู้เชี่ยวชาญภายนอก ผู้ควบคุมยังคงรับผิดชอบในผลของการประเมินและการตัดสินใจดำเนินการ