เมื่อพูดถึง PDPA และ GDPR สิ่งที่สำคัญไม่ยิ่งหย่อนไปกว่ากันคือการทำ DPIA ซึ่งมาจากคำว่า Data Processing Impact Assetment หรือการประเมินความเสี่ยงด้านข้อมูลส่วนบุคคล สำคัญเมื่อบริษัทของคุณต้องการจะทำอะไรสักอย่างอันเกี่ยวข้องกับการประมวลผลต่อข้อมูล ซึ่งตาม Information Commissioner Committee (ICO) ได้กล่าวรูปแบบของการประมวลผลที่ต้องทำ DPIA ไว้ดังต่อไปนี้
1. การประมวลผลในการให้คะแนน หรือแบบวัดและประเมินผล (Scoring)
2. ระบบการติดสินใจด้วยระบบ ที่มีผลเกี่ยวเนื่องกับกฎหมาย (Automate Decision)
3. การปรับการมอนิเตอร์ด้วยระบบ / การใช้ระบบในการตรวจสอบ (Moniitoring / Auditing)
4. การประมวลผลข้อมูลขนาดใหญ่ (Massive Processing)
5. ข้อมูลอันเกี่ยวกับข้อมูลอ่อนไหว (Special Categorize Data : Sensitive Data)
6. ข้อมูลอันเกี่ยวกับข้อมูลอ่อนไหวที่มีผลต่อความปลอดภัยของเจ้าของข้อมูล (Sensitive and Harmful toward data subject)
7. การประมวลผลข้อมูลเพื่อการปรับปรุงนวัตกรรมขององค์กร หรือการประมวลผลข้อมูลเพื่อแก้ไขปัญหาองค์กร (Corporate Innovation)
8. การประมวลผลข้อมูลที่ลดทอนสิทธิการเข้าถึงของเจ้าของข้อมูล (Decrease Right)
แล้วต้องทำเมื่อไหร่ ?
เป็นคำถามที่หลายคนสอบถาม วิธีการทำง่าย ๆ ดังต่อไปนี้
1. เป็นโปรเจคใหม่ หรือระบบใหม่ หรือวิธีใหม่ในการประมวลผล หรือไม่ (นับตั้งแต่ 1 มิถุนายน 2565 เป็นต้นไปนะครับ)
2. มีการประมวลผลจำนวนมาก หรือไม่
3. เมื่อเรามีเงื่อนไขอย่างน้อย 2 ใน 8 จากเงื่อนไขข้างบน ที่สำคัญคือต้องเกี่ยวข้องกับข้อมูลส่วนบุคคลด้วยนะครับ
4. เมื่อบริษัทของเราเป็นผู้ขอข้อมูลจากหน่วยงานภายนอก หรือหน่วยงานภายนอกต้องการข้อมูลอันเกี่ยวกับ 8 ข้อด้านบน อย่างน้อย 2 ใน 8 ข้อ ก็ต้องทำ DPIA เพื่อส่งให้ฝ่ายตรงข้ามพิจารณาในการขอข้อมูลเหล่านั้น
ส่วนเรื่องการเขียน DPIA และรูปแบบวิธีการทำ DPIA นั้นเป็นอย่างไร จะมาอธิบายต่อในคอนเทนท์ต่อไปนะครับ
ความคิดเห็น