การประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล

การประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล เริ่มใช้ครั้งแรกในประเทศแคนาดา นิวซีแลนด์ และออสเตรเลีย ช่วงปี 1990 โดยหน่วยงานของภาครัฐ

CAP & CORP FORUM

การประเมินผลกระทบด้านความเป็นส่วนตัว (privacy impact assessment) หรือ “การประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล”(data protection impact assessment, DPIA) เริ่มใช้ครั้งแรกในประเทศแคนาดา นิวซีแลนด์ และออสเตรเลีย ในช่วงปี 1990 โดยหน่วยงานของภาครัฐ เพื่อแสดงให้เห็นถึงความรับผิดชอบของภาครัฐต่อประชาชน ก่อนที่จะถูกพัฒนาเรื่อย ๆ มาจนเป็น DPIA อย่างที่มีการใช้แพร่หลายในปัจจุบัน อาจกล่าวได้ว่า DPIA เป็นกลไกการกำกับดูแลและเตือนภัยล่วงหน้า (ex-ante mechanism) โดยมุ่งเป้าไปที่การระบุผลกระทบเชิงลบที่อาจเกิดขึ้นและบรรเทาผลกระทบของความเสี่ยงที่อาจเกิดขึ้นกับข้อมูลส่วนบุคคล

การจัดทำ DPIA จึงเป็นประโยชน์ในแง่ของการลดความเสี่ยงอันอาจจะเกิดขึ้นกับข้อมูลส่วนบุคคล ทั้งยังลดโอกาสให้แก่ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลในกรณีที่อาจเกิดความบกพร่องหรือกระทำการใด ๆ ที่ขัดหรือแย้งกับกฎหมายในการประมวลผลข้อมูลส่วนบุคคลไม่เป็นไปตามที่พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดไว้ การจัดทำ DPIA ทำให้ผู้จัดทำหรือผู้ที่มีหน้าที่ในการรับผิดชอบดูแลหรือใช้ข้อมูลสามารถระบุได้ชัดเจนขึ้นว่าข้อมูลส่วนบุคคลที่อยู่ในความรับผิดชอบของตนนั้นถูกเก็บรวบรวม (collect) จัดเก็บ (store) ใช้ (use) และลบ (delete) อย่างไร

ผู้ประกอบการบางรายอาจมีความจำเป็นต้องจัดให้มีการจัดทำ DPIA เนื่องจากพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ​ ได้กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ต้องประเมินผลกระทบของความเสี่ยงที่มีต่อข้อมูลส่วนบุคคล พร้อมทั้งมีหน้าที่ในการจัดให้มีมาตรการด้านความมั่นคงปลอดภัยที่เหมาะสมกับความเสี่ยงและประเภทของข้อมูลในข้อมูลที่ถูกเก็บรวบรวม ใช้ และประมวลผล

และในกรณีที่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ดังนั้น หากพิจารณาตามเงื่อนไขของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ จะเห็นได้ว่ามีความจำเป็นเป็นอย่างยิ่งที่ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดทำ DPIA เพื่อช่วยให้ทั้งผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลสามารถประมวลผลข้อมูลส่วนบุคคลไปในทิศทางเดียวกันกับเงื่อนไขและข้อกำหนดของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ในประเด็นต่าง ๆ ดังต่อไปนี้

(1) ในกรณีผู้ควบคุมข้อมูลส่วนบุคคลปฏิเสธการเข้าถึงข้อมูลส่วนบุคคลเมื่อเจ้าของข้อมูลร้องขอ ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ต้องแจ้งให้เจ้าของข้อมูลทราบถึงผลกระทบที่อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล​ฯ ม.30)

(2) ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ และต้องทบทวนมาตรการดังกล่าวเมื่อเทคโนโลยีมีการเปลี่ยนแปลง (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล​ฯ ม.37 (1))

(3) แจ้งเหตุละเมิดข้อมูลส่วนบุคคลพร้อมกับแนวทางการเยียวยาแก่เจ้าของข้อมูลส่วนบุคคล ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิเสรีภาพของบุคคล (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล​ฯ ม.37 (4))

(4) ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องจัดให้มีบันทึกรายการในกรณีที่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลมีความเสี่ยงที่จะมีผลกระทบต่อสิทธิเสรีภาพของเจ้าของข้อมูลส่วนบุคคล (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล​ฯ ม.39 และ 40)

(5) ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องจัดให้มีคำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัย (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล​ฯ ม.39 และ 40)

จากเงื่อนไขของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ในเบื้องต้นผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลจึงต้องทำการประเมินว่า การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของตนนั้น มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลหรือไม่ ซึ่งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของประเทศอังกฤษ หรือ ICO (Information Commissioner’s Office) ได้ให้คำแนะนำต่อกรณีการประมวลผลข้อมูลส่วนบุคคลที่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลที่สอดคล้องกับ UK Data Protection Act 2018 และ GDPR ไว้เป็น 3 กรณีดังต่อไปนี้

(1) การประมวลผลหรือโปรไฟลิ่ง (Profiling, การประมวลผลด้วยระบบอัตโนมัติ) ข้อมูลส่วนบุคคลจำนวนมาก ซึ่งการประมวลผลหรือโปรไฟลิ่งข้อมูลดังกล่าวอาจก่อให้เกิดผลกระทบสำคัญต่อบุคคล เช่น การประมวลผลที่มีผลกระทบต่อการได้มาหรือการเสียสิทธิของบุคคลตามกฎหมาย

(2) การประมวลผลข้อมูลอ่อนไหว อาทิ ข้อมูลด้านสุขภาพ หรือข้อมูลเกี่ยวกับประวัติอาชญากรรม

(3) การใช้ระบบในการตรวจตราพื้นที่สาธารณะที่ครอบคลุมพื้นที่ขนาดใหญ่ เช่น การใช้ระบบกล้องวงจรปิดเพื่อประมวลอัตลักษณ์ของบุคคลในพื้นที่สาธารณะ

โดยในการเริ่มต้นทำ DPIA ผู้จัดทำควรมีวัตถุประสงค์ในการมุ่งที่จะระบุความเสี่ยงที่จะกระทบต่อสิทธิหรือความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคล การประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคลนั้นจึงต้องครอบคลุม 4 ประเด็นสำคัญดังต่อไปนี้

(1) อธิบายถึงลักษณะ ขอบเขตการใช้ และการประมวลผลข้อมูลส่วนบุคคล

(2) พิจารณาถึงความจำเป็น ความได้สัดส่วน และมาตรการปฏิบัติตามกฎหมาย

(3) ระบุและประเมินความเสี่ยงที่อาจเกิดขึ้นแก่บุคคล และ

(4) จัดให้มีมาตรการในการลดหรือจัดการความเสี่ยงที่เหมาะสม

การจัดทำการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล ถือเป็นประโยชน์แก่ผู้ประกอบกิจการเป็นอย่างยิ่ง ไม่ว่าจะเป็นในแง่ของการปฏิบัติตาม พ.ร.บ.​คุ้มครองข้อมูลส่วนบุคคลฯ​ และในแง่ของการช่วยให้ผู้ประกอบการสามารถประเมินถึงข้อบกพร่องต่าง ๆ อันเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล ทั้งนี้เพื่อสามารถปรับปรุงโครงสร้างการดำเนินงานอย่างเป็นระบบและมีความปลอดภัยในแง่ของการประมวลผลข้อมูลส่วนบุคคล

มีข้อน่าสังเกตประการสำคัญคือ ตาม GDPR (Article 35(7)(c)) และพ.ร.บ.​คุ้มครองข้อมูลส่วนบุคคลฯ คือ กรณีของผลกระทบต่อ “สิทธิและเสรีภาพ” (rights and freedoms) ที่กฎหมายอ้างถึงนั้น น่าจะไม่ใช่หมายความถึงเพียงสิทธิในความเป็นส่วนตัวของข้อมูลส่วนบุคคลเท่านั้น แต่ควรหมายความรวมถึงผลกระทบต่อสิทธิขั้นพื้นฐานอื่น ๆ ด้วย (fundamental rights) อาทิ สิทธิและเสรีภาพในการแสดงความคิดเห็น เป็นต้น กรณีนี้การบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลจึงจะยังผลให้เป็นการปกป้องสิทธิขั้นพื้นฐานของปัจเจกชนอย่างแท้จริง

ศุภวัชร์ มาลานนท์

คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์

Max Planck Institute Luxembourg

ชิโนภาส อุดมผล

Optimum Solution Defined (OSDCo., Ltd.)