PDPA กำหนดอะไรเมื่อ AI ประมวลผลข้อมูลส่วนบุคคล — ฐานทางกฎหมาย วัตถุประสงค์ ความปลอดภัย การตัดสินใจอัตโนมัติ — กำกับโดย PDPC/สคส.
dgm เป็นพันธมิตรผู้ให้บริการติดตั้งและวางระบบ osFoundry ที่เป็นอิสระ — ไม่ได้มีส่วนเกี่ยวข้องกับบริษัทผู้พัฒนา osFoundry และ dgm ยังไม่เคยดำเนินโครงการติดตั้งให้ลูกค้ารายใดสำเร็จมาก่อน บทความนี้จึงอธิบายเฉพาะบริการที่เสนอให้ ไม่ใช่ผลงานในอดีต
เมื่อ AI ประมวลผลข้อมูลส่วนบุคคล สิ่งที่ผูกพันองค์กรไทยคือ PDPA ไม่ใช่ GDPR และไม่ใช่ EU AI Act
ด้านการคุ้มครองข้อมูล กฎหมายที่ใช้ในไทยคือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ซึ่งมีผลบังคับเต็มรูปแบบตั้งแต่ 1 มิถุนายน 2022 กำกับโดย คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) นี่เป็นกฎหมายของไทยเอง — ได้รับอิทธิพลจาก GDPR แต่ ไม่ใช่ GDPR และมีบทลงโทษแยกของตัวเอง (โทษปกครองสูงสุด 5 ล้านบาท โทษอาญากรณีข้อมูลอ่อนไหว และค่าสินไหมเชิงลงโทษได้ถึงสองเท่า) องค์กรที่ประมวลผลข้อมูลส่วนบุคคลด้วย AI ต้องมีฐานทางกฎหมาย กำหนดวัตถุประสงค์ที่ชัดเจน แจ้งความโปร่งใส และมีมาตรการความปลอดภัยที่เหมาะสม กฎการโอนข้อมูลข้ามพรมแดน (มาตรา 28/29) มีผลตั้งแต่ 24 มีนาคม 2024 และต้องแจ้งเหตุละเมิดข้อมูลต่อสำนักงานฯ ภายใน 72 ชั่วโมงนับแต่ทราบเหตุ การบังคับใช้เป็นจริงแล้ว (มีค่าปรับจริงในปี 2025)
สิ่งที่ต้องทำเมื่อใช้ AI กับข้อมูลส่วนบุคคล
- ระบุฐานทางกฎหมายในการประมวลผล (ความยินยอมหรือฐานอื่นตาม PDPA)
- กำหนดวัตถุประสงค์ที่ชัดเจนและแจ้งเจ้าของข้อมูล
- จัดมาตรการความปลอดภัยที่เหมาะสมและกระบวนการแจ้งเหตุละเมิดภายใน 72 ชั่วโมง
- ดูแลการตัดสินใจอัตโนมัติให้มีการกำกับโดยคนในจุดที่มีผลต่อบุคคล
- แต่งตั้ง DPO เมื่อเข้าเกณฑ์ และจัดทำบันทึกกิจกรรมการประมวลผล (RoPA)
dgm ช่วยอะไรได้บ้าง
dgm เป็นพันธมิตรผู้วางระบบที่เป็นอิสระ ช่วยองค์กรไทยนำ osFoundry ไปใช้งาน — ตั้งแต่การเลือกกรณีใช้งานแรกที่คุ้มค่า ไปจนถึงการลงมือติดตั้งจริงและเชื่อมต่อกับระบบเดิมที่คุณมีอยู่ dgm ไม่ได้มีส่วนเกี่ยวข้องกับบริษัทผู้พัฒนา osFoundry และยังไม่เคยดำเนินโครงการติดตั้งให้ลูกค้ารายใดสำเร็จมาก่อน สิ่งที่อธิบายไว้จึงเป็น บริการที่เสนอให้ ไม่ใช่ผลงานในอดีต หากต้องการกำหนดขอบเขตโครงการเริ่มต้นที่สมจริง dgm ช่วยคุณวางแผนได้