ข้อมูลส่วนบุคคลกับการประเมินความเสี่ยง โดย ดร.มนต์ศักดิ์ โซ่เจริญธรรม

Share

Loading

0

บทความโดย :
ดร. มนต์ศักดิ์ โซ่เจริญธรรม
26 พฤษภาคม 2563
https://www.facebook.com/monsaks

0

ผู้ประกอบการหลายท่านคงมีคำถามว่า… จะใช้อะไรมาประเมินระดับการลงทุนลงทุนระบบ IT เพื่อให้ตอบโจทย์ พรบ.ข้อมูลส่วนบุคคลฯ (PDPA) ?

ก่อนอื่นต้องบอกก่อนว่า เจตนารมณ์ของพรบ.ฯ คือ อยากจะลดความเสี่ยงและลดความเสียหายที่จะเกิดกับบุคคล เช่น เสียชื่อเสียง เสียทรัพย์ เสียประโยชน์ เสียโอกาส และด้วยขนาดของกิจการที่อาจเล็กมากและไม่ได้เก็บข้อมูลส่วนบุคคลก็คงไม่เข้าข่าย เช่น ร้านโชว์ห่วย ร้านตัดผม ร้านก๋วยเตี๋ยว ฯลฯ จะเหลือก็เพียงกิจการขนาดกลาง กิจการขนาดใหญ่ และกิจการพิเศษที่ต้องให้ความใส่ใจ ทำให้เกิดคำถามว่าจะต้องประเมินอย่างไร ?

ใน พรบ.ฯ ได้กล่าวไว้ว่ากิจการที่สำคัญที่ต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) คือ

  1. มีจำนวน Transactions เยอะ
  2. มี Transactions ที่ Sensitive เช่น ต้องยุ่งกับข้อมูลสุขภาพ หรืออะไรที่ถ้าหลุดไปแล้วสร้างความเสียหายเยอะ เช่น ลายนิ้วมือ
  3. เป็นกิจการของรัฐ ตามที่คณะกรรมการได้ประกาศกำหนด

คำถามที่จะเกิดขึ้นกับผู้ประกอบการ คือ จะต้องลงทุนเท่าไหร่ และมีคำแนะนำอย่างไรบ้าง ซึ่งในเอกสารมาตรฐานของหน่วยงานมาตรฐานแห่งชาติอเมริกา [1] และ Guideline ของ GDPR [2] แนะนำตรงกันว่าให้ประเมินความเสี่ยงตามกรอบแนวทางการจัดการความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคล (Privacy Risk Assessments) คือ ทำการประมวลผลข้อมูลส่วนบุคคลเพื่อให้ธุรกิจ สินค้า และบริการที่ผู้ประกอบการทำอยู่นั้นเดินไปได้ โดยมีทางเลือกต่างๆ ดังนี้

  1. ลดความเสี่ยงลง ด้วยการหามาตรการหรือเทคโนโลยีมาควบคุมดูแล เช่น ติดตั้งระบบ Access Control การเข้ารหัสข้อมูล การมีเจ้าหน้าที่รักษาความปลอดภัย การจัดทำสมุดจดบันทึกการเข้าและออกพื้นที่
  2. ถ่ายโอนความเสี่ยง ด้วยการทำสัญญาจ้างให้บุคคลหรือผู้เชี่ยวชาญมารับหน้าผิดชอบหน้าที่ในส่วนงานนี้ เช่น จ้างคนดูแลรักษาฐานข้อมูลลูกค้า หรือทำการแจ้งเตือนลูกค้า (Privacy Notice) หรือการขอคำยินยอม (Consent) จากลูกค้า เช่น มีการแจ้งเตือนว่าพื้นที่นี้มีการติดตั้ง CCTV สำหรับคอยตรวจการและมีการบันทึกภาพไว้ ซึ่งถ้าลูกค้าหรือบุคคลใดก็ตามเข้ามาในพื้นที่แล้วถูกบันทึกข้อมูล จะมาฟ้องร้องในภายหลังไม่ได้
  3. หลีกเลี่ยงความเสี่ยง โดยเมื่อชั่งน้ำหนักแล้วพบว่ามีโอกาสที่จะเกิดผลเสียหายสูงเกินกว่าผลประโยชน์ที่จะได้ ก็อาจจะหลีกเลี่ยงไปยังวิธีการอื่นๆ แทน
  4. ยอมรับความเสี่ยงโดยมีมาตรการรองรับ เช่น การประกันความเสี่ยง หรือหาแนวทางชดเชยให้ลูกค้าในกรณีเกิดความเสียหายขึ้น

อ้างอิง

[1] NIST PRIVACY FRAMEWORK : A TOOL FOR IMPROVING PRIVACY THROUGH ENTERPRISE RISK MANAGEMENT September 6, 2019

[2] Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679, 4 October 2017

ขอขอบคุณแหล่งที่มา :

Facebook : ดร.มนต์ศักดิ์ โซ่เจริญธรรม