เราต่างรู้และทราบกันดีอยู่แล้วว่าประเทศไทยได้มีการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA เพื่อการคุ้มครองสิทธิส่วนบุคคลในยุค Digital และหากองค์กรใดไม่ว่าจะภาครัฐหรือเอกชน ละเลยที่จะปฏิบัติตามหลักเกณฑ์ที่กำหนดไว้ใน PDPA ก็มีโอกาสสูงมากที่จะได้รับโทษปรับสูงสุดถึง 5 ล้านบาท ไม่นับรวมโทษทางอาญาและทางแพ่ง รวมถึง ความเสียหายทางธุรกิจและสังคมที่เกิดขึ้นแก่องค์กรตามมา
ดังนั้น หากเราไม่ต้องการเสี่ยงเสียค่าปรับ และอื่น ๆ ตามข้างต้น จึงควรมีการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล หรือ DPIA (Data Protection Impact Assessment) เป็นเครื่องมือป้องกันความเสี่ยงให้กับองค์กรจากการละเมิดข้อมูลส่วนบุคคล เช่น การรั่วไหลหรือสูญหายของข้อมูล รวมถึง การใช้ข้อมูลส่วนบุคคลขององค์กรในทางที่ผิด แต่เหตุผลสำคัญยิ่งกว่านั้น คือ การสร้างความเชื่อมั่นให้สังคมได้เห็นถึงความมุ่งมั่นและจริงใจกับการคุ้มครองข้อมูลส่วนบุคคลของลูกค้า บุคลากร และผู้มีส่วนได้เสียอื่น ๆ ขององค์กร
จากข้างต้น จึงสามารถที่จะสรุปความสำคัญของ DPIA ให้เป็นภาพที่ชัดเจน คือ
1. ป้องกันความเสี่ยง จากความเสี่ยงที่อาจจะเกิดจากการละเมิดข้อมูลส่วนบุคคลขององค์กร
2. ปฏิบัติตามกฎหมาย PDPA ได้อย่างครบวงจรและมีประสิทธิภาพ
3. สร้างความเชื่อมั่น ด้วยการเป็นเครื่องมือที่จะแสดงให้สังคมได้เห็นถึงความรับผิดขอบขององค์กรที่มีต่อการคุ้มครองข้อมูลส่วนบุคคลอย่างจริงจัง
ความเสี่ยงขององค์กรที่ไม่มี DPIA
จากข้างต้น เราสามารถที่จะประเมินผลกระทบต่อองค์กรหนึ่ง ๆ ที่ละเลยการปฏิบัติหรือดำเนินการให้มี DPIA หรือการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคลได้ โดยแบ่งออกเป็นความเสี่ยงตามกฎหมาย กับความเสี่ยงทางธุรกิจและสังคม คือ
1. ความเสี่ยงตามกฎหมาย ในกรณีที่องค์กรมีการประมวลผลข้อมูลส่วนบุคคลโดยไม่เป็นไปตามหลักกฎหมาย PDPA และเกิดการรั่วไหลของข้อมูลส่วนบุคคลขององค์กรขึ้น จะเป็นปัจจัยให้องค์กรนั้น ๆ ต้องเสี่ยงกับโทษตามกฎหมาย คือ
1.1 โทษทางปกครอง คือ การเสียค่าปรับสูงสุด 5 ล้านบาท
1.2 โทษทางอาญา คือ ค่าปรับ และโทษจำคุก ในกรณีที่มีการละเมิดกฎหมาย PDPA และส่งผลกระทบร้ายแรงต่อบุคคลที่เป็นเจ้าของข้อมูล เช่น การเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีเหตุอันควร
1.3 โทษทางแพ่ง คือ ความรับผิดชอบต่อความเสียหายที่เจ้าของข้อมูลได้รับความเสียหายจากการละเมิดข้อมูลส่วนบุคคล โดยพวกเขาสามารถฟ้องร้องเรียกค่าเสียหายจากองค์กรที่ละเลยการปฏิบัติตามกฎหมาย PDPA
2. ความเสียหายทางธุรกิจและสังคม เมื่อเกิดการรั่วไหลหรือการละเมิดข้อมูลส่วนบุคคลจากองค์กร ย่อมสร้างผลกระทบต่อองค์กร ที่นอกเหนือจากโทษตามกฎหมาย คือ
2.1 การเสียชื่อเสียง เพราะการถูกเปิดเผยว่าองค์กรไม่ปฏิบัติตามกฎหมาย PDPA และเป็นเหตุผลให้เกิดการรั่วไหลหรือละเมิดข้อมูลส่วนบุคคล ย่อมส่งผลกระทบต่อชื่อเสียง ความน่าเชื่อถือ และไว้วางใจ ต่อบุคลากร ลูกค้า หรือผู้มีส่วนเสียอื่น ๆ ขององค์กร
2.2 ค่าใช้จ่ายในการแก้ไขปัญหาข้อมูลส่วนบุคคล เมื่อเกิดการรั่วไหลหรือละเมิดข้อมูลส่วนบุคคล องค์กรย่อมต้องใช้ทรัพยากรและค่าใช้จ่าย เพื่อแก้ไขปัญหาเกิดขึ้นและการปรับปรุงระบบความคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมาย PDPA
ลดความเสี่ยง ด้วยการทำ DPIA
ในทางปฏิบัติทั่วไปขององค์กรต่าง ๆ โดยเฉพาะในภาคธุรกิจ จะมีการประเมินความเสี่ยงที่อาจจะเกิดขึ้นกับองค์กร เช่น การประเมินความเสี่ยงจากการลงทุน ความเสี่ยงกับการเปิดตัวผลิตภัณฑ์ใหม่ ความเสี่ยงด้านความปลอดภัย หรือความเสี่ยงด้านสิ่งแวดล้อม ฯลฯ ตามวาระและเป็นปกติทั่วไป เพื่อลดความเสี่ยงจากความสูญเสียที่จะเกิดกับองค์กรให้ต่ำที่สุด
ดังนั้น หากองค์กรจะเพิ่มการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล หรือ DPIA เป็นอีกพันธกิจหนึ่งขององค์กร จึงไม่น่าจะเป็นเหตุผลต่อการเปลี่ยนแปลงโครงสร้าง รูปแบบการดำเนินงาน หรือการลงทุนขององค์กรมากนัก เช่น การประเมินความเสี่ยงก่อนที่จะเปิดตัว Application ใหม่ หรือการดำเนินงานในโครงการหนึ่ง ๆ ที่มีการจัดเก็บและประมวลผลข้อมูลส่วนบุคคลของผู้ใช้งาน (Users) เป็นต้น ซึ่งจะช่วยให้องค์กรสามารถลดความเสี่ยงจากการไม่ปฏิบัติตามกฎหมาย PDPA และการละเมิดข้อมูลส่วนบุคคลได้อย่างมีนัยสำคัญ
โดยการทำ DPIA เพื่อลดความเสี่ยงต่าง ๆ ข้างต้น จะมีแนวทางการดำเนินงานโดยสังเขป คือ
1. ระบุขอบเขต ซึ่งหมายถึงการกำหนดกิจกรรมหรือโครงการที่จะทำ DPIA พร้อมกับการระบุรายละเอียดเกี่ยวกับข้อมูลส่วนบุคคลที่เกี่ยวข้องทั้งหมดในกิจกรรมหรือโครงการนั้น ๆ
2. วิเคราะห์กิจกรรมหรือโครงการ โดยมุ่งวิเคราะห์ข้อมูลส่วนบุคคลที่เกี่ยวข้องทั้งหมด ตั้งแต่วิธีการเก็บและการประมวลผลข้อมูล
3. ประเมินความเสี่ยง คือ การประเมินความน่าจะเป็น และผลกระทบของความเสี่ยงที่อาจจะเกิดขึ้น หากเกิดการละเมิดข้อมูลส่วนบุคคลจากกิจกรรมหรือโครงการนั้น ๆ
4. กำหนดมาตรการป้องกันความเสี่ยง เพื่อลดโอกาสเกิดความเสี่ยงในกิจกรรมหรือโครงการนั้น ๆ เช่น การเข้ารหัส การควบคุมการเข้าถึง และการทำลายข้อมูลเมื่อไม่จำเป็น เป็นต้น
5. บันทึกผลการประเมิน โดยจัดทำเป็นรายงาน ที่มีรายละเอียดเกี่ยวกับมาตรการป้องกันความเสี่ยงที่ได้กำหนดขึ้นมาสำหรับกิจกรรมหรือโครงการนั้น ๆ
6. ติดตาม และทบทวน โดยการติดตามผลการดำเนินงานของมาตรการป้องกันความเสี่ยง และควรทบทวนแนวทางการจัดทำ DPIA ให้สอดคล้องกับปัจจัยแวดล้อมที่เปลี่ยนแปลงไปอย่างต่อเนื่อง
นอกจากนี้ ในกระบวนการทำ DPIA ยังมีข้อควรพิจารณาเพิ่มเติม คือ
– ตรวจสอบให้แน่ใจว่าการทำ DPIA ขององค์กร มีความสอดคล้องกับหลักการและข้อบังคับในกฎหมาย PDPA
– การมีส่วนร่วมของผู้เกี่ยวข้อง โดยควรขอความคิดเห็น ข้อเสนอแนะ จากบุคคลที่เกี่ยวข้องกับกิจกรรมหรือโครงการนั้น ๆ เช่น บุคลากร ลูกค้า ผู้มีส่วนได้เสียต่าง ๆ และที่สำคัญ คือ ความคิดเห็นและข้อเสนอแนะจากผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลส่วนบุคคล
– เลือกและใช้เครื่องมือที่เหมาะสม ซึ่งหมายรวมถึง เทคนิค และ Application ต่าง ๆ ที่มีความเหมาะสมกับการอำนวยความสะดวกให้กับการวิเคราะห์และประเมินความเสี่ยงด้านความปลอดภัยข้อมูลส่วนบุคคล เช่น Risk Matrix และ Data Flow Diagram เป็นต้น
ไม่ควรปล่อยให้วัวหาย แล้วจึงมาล้อมคอก น่าจะเป็นวลีที่เหมาะสำหรับการทำ DPIA เพราะเป็นกระบวนการหรือขั้นตอนที่มีความสำคัญอย่างมากสำหรับองค์กรต่าง ๆ และทุก ๆ ขนาด ที่ควรมีมาตรการประเมินและลดความเสี่ยงจากการละเมิดข้อมูลส่วนบุคคลขององค์กรที่อาจจะเกิดขึ้นได้ทุกเวลา ทั้งเพื่อหลีกเลี่ยงโทษตามกฎหมายต่าง ๆ แต่เหนืออื่นใด คือ การรักษาความเชื่อมั่นของลูกค้าที่มีต่อองค์กร ซึ่งถือเป็นทรัพย์สินที่มีคุณค่าและมูลค่าอย่างมากสำหรับองค์กรธุรกิจในปัจจุบัน
PDPA นับเป็นเรื่องใหม่ในสังคมไทย แต่ไม่ยากที่จะเริ่มต้นปรับตัวให้ทันยุคที่มีความเสี่ยงรออยู่รอบด้าน ด้วยการศึกษาข้อมูลและกฎหมาย PDPA เพิ่มเติม ปรึกษาผู้เชี่ยวชาญในการให้คำแนะนำและเริ่มต้นการทำ DPIA และควรเริ่มต้นจากกิจกรรมหรือโครงการขนาดเล็กขององค์กร ก่อนจะพัฒนาไปสู่การทำ DPIA ทั้งองค์กร ที่ควรทำและทำอย่างต่อเนื่องสม่ำเสมอ เพื่อให้เราและบุคคลที่เกี่ยวข้องทั้งหมดโดยเฉพาะลูกค้าของเรา มั่นใจในมาตรการป้องกันความเสี่ยงจากการละเมิดข้อมูลส่วนบุคคลขององค์กร
