แม้ พรบ.คุ้มครองข้อมูลส่วนบุคคลจะไม่ได้ระบุให้มีการจัดทำการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (DPIA) อย่างชัดแจ้งในทุกกรณี แต่กฎหมายกลับวางหลักการที่สำคัญไว้อย่างชัดเจนว่า ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) จะต้องประเมินความเสี่ยงต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ก่อนจะดำเนินกิจกรรมการประมวลผลใด ๆ ที่อาจส่งผลกระทบอย่างมีนัยสำคัญ

คำถามของผมคือ…… “แล้วบริษัทที่คุณบริหารจะประเมินอย่างไรจึงจะถือว่าเพียงพอและอยู่ในระดับที่ได้รับการยอมรับ?”

     หนึ่งในเครื่องมือ (Tools) ที่ได้รับการยอมรับในระดับสากล ได้แก่ การจัดทำ การประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Impact Assessment: DPIA) ซึ่งเป็นกระบวนการที่ใช้วิเคราะห์ ประเมิน และจัดการความเสี่ยงที่อาจเกิดขึ้นต่อสิทธิและเสรีภาพของเจ้าของข้อมูลอย่างเป็นระบบ การทำ DPIA จึงมิใช่เพียงภาระหน้าที่ทางกฎหมาย แต่ยังเป็นหลักฐานสำคัญที่แสดงถึงความรับผิดชอบ (accountability) ขององค์กรในการดูแลข้อมูลส่วนบุคคลอย่างเหมาะสม

     บทความของผมนั้นสั้น กระชับ และมีหมุดหมายเพื่ออธิบายแนวคิด หลักการ และขั้นตอนของ DPIA เพื่อให้คุณในฐานะผู้อ่าน (หรือ DPO) สามารถเข้าใจและนำไปประยุกต์ใช้ในการดำเนินกิจกรรมของคุณได้อย่างสอดคล้องกับกฎหมายและแนวปฏิบัติสากล

กระบวนการ DPIA
WHAT: อะไรคือ DPIA
WHY: ทําไมต้องทํา DPIA
WHO: ใครเป็นคนรับผิดชอบทํา DPIA
WHEN: องค์กรต้องทํา DPIA เมื่อไหร่
HOW: ทํา DPIA อย่างไร (ให้เสร็จและสําเร็จ)

WHAT: อะไรคือ DPIA
     DPIA ย่อมาจาก Data Protection Impact Assessment หรือ การประเมินผลกระทบความเสี่ยงต่อการคุ้มครองข้อมูลส่วนบุคคลมันเป็นเอกสารฉบับหนึ่งครับ ถ้าจะให้ผมอุปมา ก็เหมือนดั่งการสร้างตึกสูง คุณต้องจัดทํารายงานการประเมินผลกระทบต่อสิ่งแวดล้อม (Environmental Impact Assessment: EIA) ฉันใด การสร้างโปรเจ็คใหม่ที่มีการใช้ข้อมูลส่วนบุคคลที่อาจสร้างความเสี่ยงต่อบุคคลก็ต้องจัดทํารายงานการการประเมินผลกระทบความเสี่ยงต่อการคุ้มครองข้อมูลส่วนบุคคล ฉันนั้น

     DPIA ช่วยให้องค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) สามารถจัดการกับความเสี่ยงที่อาจจะเกิดขึ้นในอนาคตและช่วยให้คุณสามารถนําความเป็นส่วนตัว (Privacy) มาใช้ได้ตั้งแต่ขั้นตอนการออกแบบแผนงาน หรือกระบวนการเพื่อวัตถุประสงค์ในการลด หลีกเลี่ยง บรรเทา ป้องกัน หรือแม้กระทั่งรับมือความเสี่ยงหรือการละเมิดข้อมูล ซึ่งเราเรียกว่าการนําความเป็นส่วนตัวมาในขั้นตอนการออกแบบ (Privacy by Design)

WHY: ทําไมต้องทํา DPIA
     ประการที่ 1 – เราทํา DPIA เพื่อที่จะใช้ในการประเมินผลการกระทบของการใช้ข้อมูลส่วนบุคคลในโครงการหรือโปรเจ็คใดๆ ที่อาจจะมีแนวโน้มที่
จะส่งผลให้เกิดความเสี่ยงสูงต่อต่อสิทธิและเสรีภาพของบุคคล (likely to result in a high risk to the rights and freedoms of natural persons) หมายความว่าอย่างไร? พูดเป็นภาษาปากคือ เมื่อใดก็ตามโครงการไหนมีการใช้ข้อมูลคนอื่น และคุณประเมินแล้วว่าการใช้ข้อมูลคนอื่นนั้น อาจก่อให้เกิดความเสี่ยง และ ความเสี่ยงนั้นอาจกระทบต่อ สิทธิ (Right) หรือ เสรีภาพ (Freedom) ของคนๆนั้นไม่ว่าเขาจะเป็นคู่ค้า ลูกค้า หรือลูกจ้าง เมื่อนั้นคุณต้องจัดทํา DPIA โดยเฉพาะคุณที่อยู่ในธุรกิจหรือกิจการด้านการเงิน การประกันภัย ธุรกิจที่มีการเก็บข้อมูลผู้อยู่อาศัยทั้งไทยและต่างชาติ ธุรกิจที่ต้องข้องแวะ
กับการจัดเก็บข้อมูล เลขบัญชีธนาคาร บัตรเครดิต หรือข้อมูลอ่อนไหว ธุรกิจที่มีการเก็บข้อมูลผู้เปราะบาง เช่น ผู้ป่วย เด็ก หรือธุรกิจที่มีการใช้
นวัตกรรมเทคโนโลยีขั้นสูง

WHO: ใครเป็นคนรับผิดชอบทํา DPIA
     หลายคนเข้าใจผิดว่าเป็นหน้าที่ DPO ในการจัดทํา แต่แท้จริงแล้วหน้าที่ในการจัดทํา DPIA ควรตกอยู่กับเจ้าของโครงการ Project Owner) ในขณะที่ DPO มีหน้าที่ในการให้การสนับสนุนด้าน framework เห็นชอบในการจัดทําตลอดจนผลลัพธ์ อย่างไรก็ตาม DPO ควรมีความรู้ทักษะด้าน DPIA เพื่อนําไปถ่ายทอดต่อในลักษณะ train the trainer ในองค์กร

WHEN: องค์กรต้องทํา DPIA เมื่อไหร่
     ทําแต่เนิ่น ๆ ทําก่อนจะเริ่มโครงการ หรือโปรเจ็ค กระบวนการทํา DPIA ไม่ควรทําหลังจากที่โครงการ หรือโปรเจ็คคลอดเสร็จแล้ว อย่างไรก็ดีในความเป็นจริงหลายองค์กรในเมืองไทยไม่เคยจัดทํา DPIA มาก่อน ดังนั้นก็อาจจะพอเข้าใจได้ว่าหาก DPO แนะนําองค์กรให้หยิบกระบวนการบางกิจกรรมขององค์กรขึ้นมาจัดทํา DPIA

HOW: ทํา DPIA อย่างไร (ให้เสร็จและสําเร็จ)
     1. C-Level หรือคณะกรรมการกํากับความเวี่ยง (Risk Committee) ในองค์กรต้องเข้าใจและเห็นชอบในการจัดทํา DPIA ทําไม? ก็
เพราะว่า ผู้บริหารระดับสูงต้องอนุมัติแผนและอนุมัติผล จัดสรรทรัพยากรที่เหมาะสมเพื่อการสนับสนุนการจัดทํา
     2. DPO เรียนรู้การจัดทํา DPIA (จะศึกษาเองหรือเข้า course ได้หมด) เพื่อนํามาถ่ายทอดให้กับคณะทํางานขับเคลื่อน PDPA ใน
องค์กร
     3. ประเมินความจําเป็นในการทํา DPIA โดยมีเกณฑ์ที่กําหนดโดย ICO
     4. อธิบายรายละเอียดของกระบวนการการใช้ข้อมูล
     5. อาจจะมี section การรับฟังความคิดเห็นของผุ้มีส่วนได้ส่วนเสียในองค์กร
     6. ในรายงานต้องอธิบายความจําเป็นว่าทําไมต้องใช้ข้อมูลส่วนบุคคล
     7. ประเมินความเสี่ยงโดยใช้ตาราง การประเมินความเสี่ยง โอกาส x ผลกระทบ
     8. อธิบายถึงตัวควบคุม (Control) หรือมาตรการลดความเสี่ยง
     9. บันทึกและกําหนดเป็นแผนงาน และติดตามโครงการอาจจะทุก 2 ปีในอนาคต

มีหลายท่านถามผมมาว่า DPIA ควรยาว สั้น หรือใช้เวลานานขนาดไหนในการทํา มันไม่มีคําตอบตายตัวเพราะการทํา DPIA เป็น Risk-Based Approach หมายความว่ามันเป็นวิธีการทํางานที่จัดสรรทรัพยากร เวลา กําลังพล เงิน เป็นไปตามระดับความเสี่ยง หมายความว่ายิ่งเสี่ยงมาก ยิ่งทํามาก
     ทั้งนี้ทั้งนั้น ความสําคัญของการจัดทํา DPIA อยู่ที่ วัตถุประสงค์และเป้าหมายของคุณชัดหรือไม่? คุณเข้าใจ DPIA มากน้อยขนาดไหน?
การทํา DPIA ย่อมมีประโยชน์กับองค์กรที่ต้องการยกระดับด้านการคุ้มครองข้อมูลส่วนบุคคลเพื่อหลีกเลี่ยงความเสี่ยงที่อาจจะก่อให้เกิดกับ
ทั้งตัวบุคคลและตัวองค์กร