เนื่องจากเมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมาได้มีการประกาศการบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ กฎหมาย PDPA ทำให้หลาย ๆ องค์กรเริ่มมีการเตรียมตัวเพื่อปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล กันบ้างแล้ว แต่ยังมีอีกหลายหน่วยงานที่ยังไม่รู้ว่าจะต้องจัดทำเอกสารอะไร และมีแผนการดำเนินงานอย่างไรให้ถูกต้องตามข้อบังคับของ PDPA
ทั้งนี้ในข้อกฎหมายมีการกำหนดให้ มีการจัดทำนโยบายส่วนบุคคล (Privacy Policy) เพื่อแจ้งเจ้าของข้อมูลและวัตถุประสงค์ในการเก็บรวบรวม ใช้ และเผยแพร่ พร้อมกำหนดระยะเวลาในการเก็บข้อมูล มีการจัดอบรมพนักงาน เพื่อให้เข้าใจบทบาทหน้าที่ รวมถึงมีการจดบันทึกกิจกรรม (Record of Processing Activities หรือ RoPA)
RoPA คืออะไร แล้วทำไมเราต้องทำ ?
RoPA เป็นเหมือนการจดบันทึกที่บอกว่าแผนกไหนในองค์กรทำอะไรบ้าง ทำด้วยวัตถุประสงค์อะไร และอยู่บนฐานกฎหมายข้อไหนที่อนุญาตให้ทำ จุดประสงค์หลักในการจดบันทึกคือ เพื่อหากเกิดการละเมิดข้อมูลส่วนบุคคลขึ้นองค์กรจะสามารถตรวจสอบกระบวนการจัดการได้อย่างรวดเร็วตามกฎหมาย PDPA นอกจากนี้การบันทึก RoPA เราสามารถใช้ RoPA เป็นเสมือน Checklist ไว้ให้ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)” และ “ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)” ได้เขียน และทบทวนกิจกรรมที่ทำอยู่นั้นมีการใช้ข้อมูลส่วนบุคคลหรือไม่ ที่มาขอข้อมูลถูกกฎหมายหรือไม่ สามารถวิเคราะห์ได้ฐานอะไร และใครเป็น Data Controller หรือ Data Processor ของกิจกรรมนี้ ดังนั้นหากมีการจดบันทึกข้อมูล RoPA อย่างละเอียด จะยิ่งลดความผิดพลาดในการละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคล
กฎหมายกำหนดให้ผู้ควบคุมข้อมูลทำ RoPA โดยให้มีรายละเอียดขั้นต่ำตามมาตรา 39
กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกรายการ อย่างน้อยดังต่อไปนี้ เพื่อให้เจ้าของ
ข้อมูลส่วนบุคคลและสำนักงานสามารถตรวจสอบได้ โดยจะบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์
- ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม
- วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภท
- ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล
- ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล
- สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล รวมทั้งเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลและเงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคลนั้น
- การใช้ หรือเปิดเผยตามมาตรา 27 วรรคสาม
- การปฏิเสธคำขอหรือการคัดค้านตามมาตรา 30 วรรคสาม มาตรา 30 วรรคสามมาตรา 32 วรรคสาม และมาตรา 36 วรรคหนึ่ง
- คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยตามมาตรา 37
กฎหมายกำหนดให้ผู้ประมวลผลข้อมูลทำ RoPA โดยให้มีรายละเอียดขั้นต่ำตามมาตรา 40
โดยให้มีรายละเอียดตามประกาศประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการจัดทำและเก็บรักษาบันทึกรายการ ของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล พ.ศ. 2565
- ชื่อและข้อมูลเกี่ยวกับผู้ประมวลผลข้อมูลส่วนบุคคล และตัวแทนของผู้ประมวลผลข้อมูลส่วนบุคคลในกรณีที่มีการแต่งตั้งตัวแทน
- ชื่อและข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคลที่ผู้ประมวลผลข้อมูลส่วนบุคคลดำเนินการตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคลนั้น และตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคลในกรณีที่มีการแต่งตั้งตัวแทน
- ชื่อและข้อมูลเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล รวมถึงสถานที่ติดต่อและวิธีการติดต่อ ในกรณีที่ผู้ประมวลผลข้อมูลส่วนบุคคลจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
- ประเภทหรือลักษณะของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ผู้ประมวลผลข้อมูลส่วนบุคคลดำเนินการตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งรวมถึง ข้อมูลส่วนบุคคลและวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามที่ได้รับมอบหมายจากผู้ควบคุมข้อมูลส่วนบุคคล
- ประเภทของบุคคลหรือหน่วยงานที่ได้รับข้อมูลส่วนบุคคล ในกรณีที่มีการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
- คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยตามมาตรา 40 วรรคหนึ่ง
จากที่กล่าวมา การปฏิบัติตาม PDPA เป็นสิ่งที่องค์กรควรทำ ซึ่งหากบางข้อที่ไม่สามารถปฏิบัติได้ หรือมีความสงสัยในเรื่องของการจดบันทึกกิจกรรม RoPA การขอคำปรึกษาจากหน่วยงานที่มีความรู้และความเชี่ยวชาญเฉพาะ ก็เป็นอีกตัวเลือกหนึ่งที่ดี PDPA Thailand เราคือผู้บริการให้คำปรึกษา สอบทาน ฝึกอบรม ทดสอบ เพื่อบริหารความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคลภายใต้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA ซึ่งเรามีบริการ PDPA Consulting เป็นบริการให้คำปรึกษาด้านการจัดการข้อมูลส่วนบุคคล ที่ให้คำปรึกษาการจัดทำนโยบาย และการบริหารจัดการองค์กร เพื่อให้สามารถปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้ หากองค์กรใดสนใจสามารถสอบถามหรือดูข้อมูลเพิ่มเติมได้ที่ pdpathailand.com
อ้างอิง :
- ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการจัดทำและเก็บรักษาบันทึกรายการ ของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล พ.ศ. 2565
- พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562.
