การจัดทำ Data Protection Impact Assessment : DPIA
การประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล หรือ Data Protection Impact Assessment : DPIA มีวัตถุประสงค์เพื่อแสดงให้เห็นถึงความรับผิดชอบต่อการเก็บ ใช้ รวบรวมข้อมูลส่วนบุคคลของประชาชน ซึ่งเป็นกลไกในการกำกับดูแลและเพื่อเตือนภัยล่วงหน้า ผลกระทบเชิงลบที่อาจเกิดขึ้นและการบรรเทาผลกระทบของความเสี่ยงที่อาจเกิดขึ้นกับข้อมูลส่วนบุคคล โดยลดความเสี่ยงที่อาจจะเกิดขึ้นกับข้อมูล รวมถึงลดโอกาสที่ทำให้เกิดความบกพร่อง หรือการกระทำที่ขัดแย้งกับกฎหมาย ซึ่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลนั้นได้กำหนดหน้าที่ในการเก็บ รวบรวม ใช้ และลบข้อมูลส่วนบุคคล โดยกำหนดหน้าที่ให้ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ต้องประเมินความเสี่ยง และจัดให้มีมาตรการความปลอดภัยที่เหมาะสม[1]
ขั้นตอนและกระบวนการในการทำ DPIA[2]
DPIA Identification กรณีที่มีโครงการหรือมีกระบวนการที่จะต้องประมวลผลข้อมูลส่วนบุคคลที่อาจก่อให้เกิดความเสี่ยงต่อการละเมิดหรือรั่วไหลของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลจะต้องขอความเห็นจากเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) เพื่อพิจารณาว่าการดำเนินโครงการนั้นควรจะต้องมีการจัดทำ DPIA หรือไม่ หากเข้าข่ายต้องดำเนินการให้บันทึกในแบบฟอร์มทุกขั้นตอนให้ครบถ้วน
Description ผู้ควบคุมข้อมูลต้องอธิบายรายละเอียดของกระบวนการประมวลผลข้อมูลส่วนบุคคล ซึ่งประกอบด้วย วัตถุประสงค์ในการเก็บข้อมูลส่วนบุคคล ฐานอ้างอิงของการประมวลผล ข้อมูลที่จัดเก็บ
Consultation ผู้ควบคุมข้อมูลต้องหารือแนวทางการดำเนินการร่วมกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของสำนักงานศาลและอาจทำแบบสำรวจเพื่อรับฟังความเห็นจากเจ้าของข้อมูลส่วนบุคคลที่เกี่ยวข้อง รวมถึงหารือแนวทางการดำเนินการที่มีความมั่นคงปลอดภัยจากฝ่ายงานที่เกี่ยวข้อง เช่น ฝ่ายที่มีหน้าที่รับผิดชอบต่อมาตรการความปลอดภัยทางสารสนเทศของสำนักงานศาล เป็นต้น
Necessity and Proportionality ผู้ควบคุมข้อมูลต้องอธิบายความจำเป็นของการประมวลผลข้อมูล
Risk Assessment ผู้ควบคุมข้อมูลต้องประเมินความเสี่ยงตามแนวปฏิบัติสำหรับการประเมินความเสี่ยงด้านการละเมิดข้อมูลส่วนบุคคล และหากสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลออกหลักเกณฑ์การประเมินความเสี่ยงด้านสิทธิเสรีภาพของเจ้าของข้อมูลส่วนบุคคลแล้ว สำนักงานศาลจะนำมาปรับแก้ไขเกณฑ์ในคู่มือการประเมินความเสี่ยงด้านสิทธิเสรีภาพของเจ้าของข้อมูลส่วนบุคคล
Mitigating Measures ผู้ควบคุมข้อมูลต้องระบุมาตรการเพื่อลดความเสี่ยงที่พบ
Documentation and Planning ผู้ควบคุมข้อมูลบันทึกรายละเอียดของแต่ละขั้นตอนที่ผ่านมาข้างต้น โดยระบุว่าความเสี่ยงบางกรณีอยู่ในระดับที่ยอมรับได้ โดยควรปรึกษาหารือกับ DPO ว่าการดำเนินการตามแผนที่สรุปมาเป็นไปตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลหรือไม่
การประเมินผลกระทบด้านความเป็นส่วนตัว (privacy impact assessment) หรือ “การประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล”(data protection impact assessment[3]
[1] PICO, ระบบบริหารจัดการคุ้มครองข้อมูลส่วนบุคคล [ออนไลน์], 29 ธันวาคม 2564, https://www.picothai.com/src/ download/ pdpa/R_RA_01_TH_20200612.pdf
[2] กองทุนเพื่อความเสมอภาคทางการศึกษา, แนวทางปฎิบัติ Data Protection, (2563).
[3] โครงการจ้างที่ปรึกษาเพื่อดำเนินการเตรียมความพร้อมตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล} มาตรการความปลอดภัยและสิทธิในการเข้าถึง และแบบฟอร์มการใช้ข้อมูล, (2563), หน้า: 2.