Risk Factor หรือปัจจัยเสี่ยงในที่นี้ หมายถึง เหตุการณ์ที่ส่งผลกระทบต่อการดำเนินงานหรือธุรกิจ โดยทั่วไปจะมีการประเมินตั้งแต่ เหตุและปัจจัยที่เกิดขึ้น โอกาสที่จะเกิดขึ้น ระดับความรุนแรง ผลกระทบ นำไปสู่แนวคิดการจัดการ ‘ความเสี่ยง’ ที่อาจ จะเกิดขึ้น โดยมีการจัดทำมาตรการที่จะตอบสนองต่อความเสี่ยงที่เกิดขึ้น รวมทั้งการบริหาร การจัดการและติดตามผล
Start with Why ทำไมต้องทำ?
นิยามของข้อมูลบุคคลกำลังเปลี่ยนไป เพราะภายใต้การบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ กฎหมาย PDPA ที่มีผลบังคับใช้วันที่ 1 มิถุนายน 2565 นี้ ‘ข้อมูลบุคคล’ ที่แต่เดิม ภาคธุรกิจมีการรวบรวมใช้ จัดเก็บ และประมวลผล เพื่อประโยชน์ในกิจกรรมด้านต่างๆ มากมาย ทั้งมองว่าเป็น ‘ทรัพย์สินมีค่า’ แต่ภายใต้กติกาของกฎหมายใหม่ ข้อมูลส่วนบุคคล เป็นได้เพียง ‘สิ่งที่ยืมใช้’ เท่านั้น
เพราะเจ้าของตัวจริงก็ยังเป็น ‘บุคคล’ ที่สำคัญ ภายใต้กติกาใหม่ ธุรกิจยังต้องมีความระมัดระวังในการรวบรวม จัดเก็บ นำไปใช้ จะต้องได้รับการยินยอมจากเจ้าของข้อมูลตามกฎหมาย PDPA ระบุไว้ ตั้งแต่ข้อมูลที่สามารถยืนยันตัวบุคคล ติดตามตัวบุคคล ตลอดจนถึงข้อมูลที่สามารถเชื่อมโยงบุคคลนั้นด้วย
หมายความว่าอะไร?
ในเมื่อมีกฎหมายคุ้มครองข้อมูลส่วนบุคคล ก็หมายความได้โดยตรงว่า เจ้าของข้อมูลมีสิทธิในการอนุญาตให้เปิดเผย แก้ไข ระงับ หรือแม้แต่ไม่ยินยอมให้เปิดเผยข้อมูลก็ได้ ขณะเดียวกันทางด้านธุรกิจที่แต่เดิม ได้มีการจัดเก็บข้อมูลลูกค้า/คู่ค้า ข้อมูลพนักงาน ของมูลลูกจ้างภายนอก ซึ่งข้อมูลต่างๆ เหล่านี้ แต่เดิมธุรกิจอาจมองว่า ‘ยิ่งเก็บเยอะ ยิ่งดี’ แต่หากเก็บไม่ดี หรือไม่ถูกต้อง ข้อมูลบุคคลเหล่านี้ก็จะแปลงร่างเป็น ‘ภัยแฝง’
เพราะหากธุรกิจมีการจัดเก็บข้อมูลที่ไม่รอบคอบ หรือขาดการจัดการที่ดี นำไปสู่การละเมิดข้อมูลส่วนบุคคล ผลที่ตามมา คือ เกิดการฟ้องเรียกค่าเสียหาย แถมยังมีโทษทั้งปรับและจำคุก และอาจต้องโทษทางปกครองร่วมด้วย สิ่งเหล่านี้กำลังเป็นความเสี่ยงใหม่ที่ธุรกิจจะต้องเผชิญหน้าและมีแผนรับมือกฎหมาย PDPA โดยมีการจัดทำแบบประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล หรือที่เรียกว่า DPIA (Data Protection Impact Assessment)
ธุรกิจแบบไหนต้องทำประเมินความเสี่ยง DPIA
หากอธิบายตามข้อกฎหมายระบุว่า องค์กร หน่วยงาน บริษัท จะต้องมีการประเมินความเสี่ยงการคุ้มครองข้อมูลส่วนบุคคล โดยมุ่งเน้นพิจารณาความเสี่ยงต่อการนำไปใช้ ประมวลผล จัดเก็บและรักษา รวมทั้งการเปิดเผย การลบ หรือทำลาย เพื่อป้องกันเบื้องต้นไม่ให้ ‘ข้อมูลส่วนบุคคล’ เกิดการสูญหาย รั่วไหล หรือการละเมิดที่จะส่งผลกระทบต่อสิทธิ และเสรีภาพของเจ้าของข้อมูล
ดังนั้นพอจะอนุมานได้ว่า แก่นของกฎหมาย PDPA คือการมุ่งประโยชน์ในด้านการคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล และเพื่อเป็นการป้องปรามให้ธุรกิจต่างๆ ใช้ข้อมูลส่วนบุคคลอย่างระมัดระวัง ด้วยเหตุนี้ ผู้ควบคุมข้อมูล (Data Controller) และ ผู้ประมวลผลข้อมูล (Data Processor) จะต้องตระหนักถึงเรื่องนี้ให้มาก หากมีการเก็บและใช้งานข้อมูลส่วนบุคคล รวมไปถึงผู้ที่ได้รับมอบหมายในการใช้ข้อมูลส่วนบุคคล หรือบุคคลที่สาม จะต้องมีแนวทางในการจัดเก็บ รักษาข้อมูลส่วนบุคคลให้มีความปลอดภัยที่เหมาะสมเพียงพอ
สำหรับแนวโน้มธุรกิจที่มีความจำเป็นอย่างยิ่งต้องทำแบบประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล หรือ DPIA คือ ธุรกิจที่มีการจัดเก็บข้อมูลจำนวนมากไว้ใช้เพื่อประโยชน์ในแต่ละกิจกรรมของธุรกิจ
โดยนิยามของคำว่า ‘ข้อมูลจำนวนมาก’ ในที่นี้อ้างอิงจากกฎหมายที่ระบุว่า บุคคลหรือนิติบุคคลที่มีการจัดเก็บข้อมูลบุคคลทั่วไปที่สามารถระบุตัวตนของเจ้าของข้อมูล 50,000 ราย หรือมีข้อมูลอ่อนไหว(Sensitive Data)ของเจ้าของข้อมูล 5,000 ราย
คิดกันเล่นๆ มีธุรกิจอะไรบ้างที่มีการเก็บข้อมูลลูกค้า
- ธุรกิจด้านการศึกษา ที่มีการจัดเก็บข้อมูลนักเรียน ผู้ปกครอง รวมทั้งพนักงานเจ้าหน้าที่ต่างๆ
- อุตสาหกรรมที่มีการเก็บข้อมูลลูกค้า/คู่ค้า หุ้นส่วน และบุคลากรผู้ดำเนินงาน
- ธุรกิจอสังหาริมทรัพย์ ที่มีการเก็บข้อมูลผู้อยู่อาศัย ลูกค้า
- ธุรกิจต่างชาติที่มีการดำเนินกิจกรรมในประเทศไทย
- ธุรกิจบริการและท่องเที่ยว ที่มีการจัดเก็บข้อมูลผู้มาใช้บริการ พนักงาน
- ธุรกิจค้าปลีกสมัยใหม่ ที่มีการเก็บ ใช้ หรือส่งต่อข้อมูลให้บุคคลที่สาม
- ธุรกิจการเงินและการประกันภัย
ทั้งจากกลุ่มธุรกิจที่หยิบยกตัวอย่าง แท้จริงสามารถระบุว่า กิจการที่มีการเก็บข้อมูลคน นั้นมีมากมาย และดูเหมือนว่า ช่วงที่ผ่านมาคำว่า Big data ทำให้หลายๆ ธุรกิจใส่ใจเรื่องการเก็บข้อมูลมากเป็นพิเศษ ซึ่งอย่างที่กล่าวในข้างต้น คือมีทั้งโอกาสและความเสี่ยงที่รออยู่ จึงต้องแนะนำให้ทำแบบประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล หรือ DPIA ตั้งแต่วันนี้
ส่วนธุรกิจที่แทบจะไม่มีข้อมูลเก็บไว้เลย หรือมีเพียงเล็กน้อยก็อาจจะยังไม่ถึงต้องทำ DPIA กระนั้นก็ต้องทำความเข้าใจและมีแนวปฏิบัติในการจัดเก็บและใช้ประโยชน์จากข้อมูลส่วนบุคคลอย่างเหมาะสม
แบบประเมินความเสียง DPIA เขาทำกันอย่างไร?
ขั้นตอนที่ 1 : แบ่งเลเวลข้อมูล โดยข้อมูลส่วนบุคคลจะมีระดับที่ต่างกัน แบ่งเป็น ข้อมูลที่สามารถยืนยันตัวตนบุคคลนั้นโดยทางตรง อาทิ ชื่อ-สกุล ที่อยู่ เบอร์โทรศัพท์ อีเมล เลขบัตรประชาชน/หนังสือเดินทาง ทะเบียนรถ IP address ข้อมูล Biometric เช่น ใบหน้า ภาพถ่าย วิดีโอ ลายนิ้วมือ และข้อมูลพันธุกรรม เป็นต้น หรือสิ่งใดที่สามารถระบุตัวตนบุคคลนั้นได้อย่างชัดเจน
อีกส่วนคือ ข้อมูลที่สามารถติดตาม/เชื่อมโยง เพื่อระบุตัวตนทางอ้อม อาทิ วันเกิด ตำแหน่งที่อยู่อาศัย ตำแหน่งงาน อาชีพ เอกลักษณ์เฉพาะบุคคล ความพิการ ซึ่งข้อมูลในส่วนนี้ หากเป็นข้อมูลเดี่ยวๆ อาจจะไม่สามารถระบุตัวตนบุคคลนั้นได้ แต่หากเกิดการเชื่อมโยงก็ไม่ยากที่จะสามารถนำมาระบุตัวบุคคลนั้นได้
ที่สำคัญกฎหมาย PDPA ยังระบุถึงข้อมูลอ่อนไหว อาทิ ความเห็นทางการเมือง มุมมองด้านศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (ใบหน้า, ลายนิ้วมือ) ซึ่งข้อมูลแต่ละประเภทควรมีการแบ่งระดับการจัดเก็บที่ วัตถุประสงค์การใช้ และเวลาจัดเก็บและทำลายอย่างเหมาะสม
ขั้นตอนที่ 2 : หลังการจัดแบ่งอันดับของข้อมูล ขั้นต่อมาก็คือการ ‘แยกแยะ’ ธุรกิจมีกิจกรรมใดบ้างที่เสี่ยงต่อการละเมิดข้อมูล โดยอ้างอิงจาก ‘กฎหมาย’ คือ ต้องมีการจัดเก็บและประมวลผลข้อมูลบุคคล ทั้งทางตรง ทางอ้อม การได้รับมอบหมายให้เป็นผู้ประมวลผลข้อมูลที่จะส่งผลกระทบคนจำนวนมาก หรือมีการประมวลผลข้อมูลอ่อนไหว (Sensitive Data) อาทิ การตรวจสอบประวัติอาชญากรรม ซึ่งพอจะสรุปได้ว่า หากยังไม่แน่ใจว่าต้องทำ DPIA หรือไม่ ให้มองที่เหตุปัจจัยที่เคยเกิดขึ้นมีความเสี่ยงมากแค่ไหน และอาจจะต้องรวมไปถึงความผิดพลาดที่เกิดจากอุปกรณ์และเทคโนโลยีร่วมด้วย
ขั้นตอนที่ 3 : ประเมินเหตุ/ปัจจัยและผลกระทบ การประเมินเหตุ ก็มีทฤษฎีเดียวกับคาด ‘คาดคะเน’ แต่จะไม่เลื่อนลอยเพราะต้องมองปัจจัย อาทิ คาดว่ามีกิจกรรมที่มีความเสี่ยงสูงต่อการละเมิดข้อมูล จากปัจจัยด้านความผิดพลาดจากบุคลากรที่ขาดความชำนาญ หรือ อุปกรณ์คอมพิวเตอร์ที่ล้าสมัย หรือขาดการบำรุงรักษาเป็นเวลานาน ขณะเดียวกันธุรกิจดังกล่าวเป็นธุรกิจที่มีการเก็บ ใช้ และประมวลผลข้อมูลลูกค้าทุกวัน
หากมองในแง่ผลกระทบ ปัจจัยดังกล่าวก็มีแนวโน้มความเสี่ยงสูงที่จะเกิดการรั่วไหลหรือละเมิดข้อมูลส่วนบุคคล จึง ‘ควรอย่างยิ่ง’ ต้องมีการทำแบบประเมิน DPIA แต่หากประเมิน ความเสี่ยงและผลกระทบอยู่ในขั้นกลาง หรือขั้นต่ำ ก็ขึ้นอยู่กับดุลพินิจของเจ้าของธุรกิจ
อย่างไรก็ตาม การทำแบบประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล หรือ DPIA ยังสามารถทำแบบเฉพาะเจาะจงเป็นรายกรณี เช่น แบบประเมินความเสี่ยงจากการทำการตลาดโดยใช้ข้อมูลลูกค้าอายุตั้งแต่ 18-40 ปี หรือจะจัดทำเป็นภาพรวมเพื่อให้เห็นแนวโน้มคร่าวๆ ก็ขึ้นอยู่กับความต้องการของผู้จัดทำ หรือจะทำทั้งสองแบบก็ได้ ไม่ผิดกติกา
ทั้งนี้ การทำแบบประเมิน DPIA ยังต้องดูที่ บริบทในการใช้ข้อมูล (Context of Use) หากมีการดำเนินการที่ชอบด้วยกฎหมาย อาทิ มีการเก็บรวบรวมข้อมูลเพื่อใช้ในการวิเคราะห์เชิงสถิติเพื่อประโยชน์ตามกฎหมาย เพื่อเพื่อประโยชน์ต่อสาธารณะ ตลอดจนมีการดำเนินการที่โปร่งใส และเป็นธรรม กิจกรรมดังกล่าวก็มีกฎหมายคุ้มครอง และอาจจะประเมินว่าเป็นความเสี่ยงต่ำ แต่สิ่งที่ควรรู้ คือ หากมีการละเมิดข้อมูลส่วนบุคคลตามกรอบของกฎหมาย PDPA ก็นำไปสู่การฟ้องร้องดำเนินคดีเช่นกัน
ดังนั้น คำแนะนำคือ แบบประเมิน DPIA ทำไว้ก็ไม่เสียหาย!
