PDPA Thailand

4,188

PDPA Thailand
PDPA Thailand

ก่อนจะกล่าวถึงว่าใครต้องทำ RoPA หรือบันทึกรายการกิจกรรมการประมวลผลข้อมูล ผู้ประกอบการธุรกิจอาจต้องเข้าใจก่อนว่า กฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 กำหนดสถานะ และบทบาทหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) และผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ไว้แตกต่างกัน รวมทั้งกำหนดโทษทางปกครองที่แตกต่างกันในหลายข้อ ดังเช่นตัวอย่างนี้

  • ผู้ควบคุมข้อมูลส่วนบุคคลไม่ปฏิบัติตามมาตรา มาตรา 39 คือ ไม่จัดทำบันทึกรายการการจัดเก็บข้อมูลส่วนบุคคลตามรายการที่คณะกรรมการคุ้มครองข้อมูลกำหนด มีโทษทางปกครองปรับไม่เกิน 1 ล้านบาท

 

  • ผู้ประมวลผลข้อมูลส่วนบุคคลไม่ปฏิบัติตามมาตรา 40 โดยไม่มีเหตุอันควร คือ ไม่จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้ตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด มีโทษทางปกครองปรับไม่เกิน 3 ล้านบาท

 

งงละสิ!!! ไม่ทำบันทึกรายการกิจกรรมการประมวลผลข้อมูล หรือที่เรียกสั้นๆ ว่า RoPA (Record of Processing Activity) เหมือนกัน แต่บทลงโทษกลับแตกต่างกัน โดยเรื่องนี้เราต้องย้อนกลับไปดูข้อกฎหมายกันอีกซักรอบ

กฎหมาย PDPA กำหนดให้ ผู้ควบคุมข้อมูลส่วนบุคคล จัดทำ ‘บันทึกรายการ เพื่อให้เจ้าของข้อมูลส่วนบุคคล และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลสามารถตรวจสอบได้ โดยจะบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้ อย่างน้อย ดังต่อไปนี้

  1. ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม
  2. วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภท
  3. ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล
  4. ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล
  5. สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล รวมทั้งเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลและเงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคลนั้น
  6. การใช้หรือเปิดเผยข้อมูลส่วนบุคคล
  7. การปฏิเสธคำขอหรือการคัดค้านตามสิทธิของเจ้าของข้อมูลส่วนบุคคล
  1. คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยในการคุ้มครองข้อมูลตามความเสี่ยงที่เหมาะสม

ทั้งนี้ กฎหมายได้อนุโลม แก่ ผู้ควบคุมข้อมูลที่เป็นกิจการขนาดเล็ก (ตามหลักเกณฑ์ที่คณะกรรมการประกาศกำหนด) หรือมีการเก็บข้อมูลเป็นครั้งคราว ให้ทำเฉพาะข้อ 7 ข้ออื่นไม่ต้องทำ

 

แต่ก็อย่าเพิ่งดีใจไป เพราะกฎหมายระบุในบรรทัดต่อมาว่า แม้จะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลเป็นครั้งคราว แต่หากข้อมูลเหล่านั้นมี ‘ความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ก็ต้องทำบันทึกรายการทุกข้อตามที่กฎหมายกำหนดอยู่ดี!

เสริมทีม DPO เพิ่มทักษะ PDPA องค์กรด้วยหลักสูตร DPS: Workshop Series >> คลิก <<
อบรม ropa

ผู้ประมวลผลข้อมูลส่วนบุคคล กฎหมาย PDPA กำหนดหน้าที่ ดังนี้

  1. ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่คำสั่งนั้นขัดต่อกฎหมาย หรือบทบัญญัติในการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัตินี้
  2. จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ รวมทั้งแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการณ์ละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น
  3. จัดทำ และเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้ ตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด

 

จะเห็นหน้าที่ในข้อ 3 ของผู้ประมวลผลข้อมูลส่วนบุคคล ที่กฎหมายระบุให้ จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้ตามหลักเกณฑ์ และวิธีการที่คณะกรรมการประกาศกำหนด ซึ่งปัจจุบันยังไม่ได้ประกาศหลักเกณฑ์ใดๆ ออกมา หรือจะมีประกาศในอนาคต

อย่างไรก็ตาม กฎหมาย PDPA อนุโลมยกเว้นให้สำหรับกิจการขนาดเล็ก หรือมีการเก็บข้อมูลเป็นครั้งคราว แต่หากการประมวลผลนั้นมีความเสี่ยงที่จะมีผลกระทบต่อสิทธิ และเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ก็ต้องจัดทำ และเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลตามหลักเกณฑ์ที่คณะกรรมการกำหนด

ตามที่ระบุไว้ก่อนนี้ว่า อาจจะต้องรอคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศหลักเกณฑ์การจัดทำและเก็บรักษาบันทึกรายการฯ แต่เนื่องจากกฎหมาย PDPA กำลังจะประกาศใช้ในวันที่ 1 มิถุนายน 2565 นี้ เราจึงแนะนำว่าผู้ประมวลผลข้อมูลส่วนบุคคลควรทำ RoPA ในลักษณะเดียวกันกับผู้ควบคุมข้อมูลส่วนบุคคล

และถึงตรงนี้คงได้คำตอบแล้วว่า ใครต้องทำบันทึกรายการฯ หรือ RoPA บ้าง ซึ่งเอาคำตอบแบบชัวร์ๆ คือ ต้องทำ ทั้งธุรกิจที่มีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล โดยอาจจะมีความจำเป็นต้องมีการลงทุนในด้านซอฟต์แวร์ หรือเครื่องมือด้าน Data Elementary เพิ่มเติม เพื่อให้การจัดเก็บข้อมูลของภาคธุรกิจ มีการดำเนินการอย่างมีประสิทธิภาพ

รวมทั้งกฎหมาย PDPA ระบุว่า ระหว่าง ผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีข้อตกลงระหว่างกันเพื่อควบคุมการดำเนินงานตามหน้าที่ตามกฎหมายกำหนด

 

ไม่ทำ RoPA เหมือนกัน แต่ทำไมบทลงโทษจึงไม่เท่ากัน ?

คำถามส่วนนี้ สามารถตีความได้ว่า กฎหมาย PDPA ระบุถึงสถานะ และบทบาทหน้าที่ของผู้ควบคุมข้อมูลฯ และผู้ประมวลผลข้อมูลฯ ไว้อย่างชัดเจน อีกทั้งยังมองที่ ‘สาระสำคัญของกฎหมายในการปกป้องคุ้มครองสิทธิของข้อมูลส่วนบุคคลของประชาชน ดังนั้นจึงให้น้ำหนักไปที่การคุ้มครองข้อมูลส่วนบุคคล และความปลอดภัยที่เหมาะสมกับความเสี่ยง เพื่อป้องกันเหตุละเมิด

ด้วยเหตุผลดังกล่าว กิจกรรมการประมวลผลข้อมูลจึงเป็นส่วนสำคัญที่ต้องมีการ ป้องปราม ไม่ให้เกิดกรณีการนำข้อมูลส่วนบุคคลไปใช้ผิดวัตถุประสงค์ หรือมีความประมาทเลินเล่อในการดำเนินการต่างๆ จนอาจก่อให้เกิดความเสียหาย ซึ่งเป็นทฤษฎีการวิเคราะห์โดยการนำ General Data Protection Regulation หรือ GDPR ซึ่งเป็นระเบียนการคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปมาเทียบเคียง ทั้งเป็นต้นแบบของกฎหมายคุ้มครองข้อมูลส่วนบุคคลทั่วโลก ดังนั้น PDPA จึงสามารถเทียบเคียงกับข้อบังคับใน GDPR ได้เช่นกัน

ทั้งนี้ เป็นที่ทราบดีว่า กฎหมาย PDPA ถือเป็นกฎหมายใหม่ในประเทศไทย และเป็นบรรทัดฐานใหม่ให้ทุกองค์กรตื่นตัว และต้องมีการปรับตัว และอาจจะต้องมีต้นทุนการจัดการเพิ่มขึ้น แต่หากมองที่ประโยชน์ซึ่งปัจจุบันทั่วโลกให้ความสำคัญกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล นี่จึงเป็นความจำเป็นสำหรับองค์กรธุรกิจที่มีการติดต่อหรือการค้ากับต่างชาติได้พัฒนามาตรฐานสู่ความเป็นสากลมากขึ้น ที่สำคัญ การดำเนินการที่ถูกต้องตามกฎหมาย ยังสร้างความเชื่อมั่นแก่ลูกค้าที่เป็นเจ้าของข้อมูลได้อีกด้วย

pdpa guru
dpo in action อบรม pdpa dpo
DPO ภาครัฐ PDPA
หลักสูตร PDPA in Action
DPAC อบรม PDPA Internal Audit
PDPA Guru Google Forms EP8
DPOinActionรุ่น19 1200x300
DPO in Action TU - 1200x300
Advanced PDPA in Action สำหรับภาคเอกชน
Banner DPAC 1200x300
dpo รวม