ก่อนจะกล่าวถึงว่าใครต้องทำ RoPA หรือบันทึกรายการกิจกรรมการประมวลผลข้อมูล ผู้ประกอบการธุรกิจอาจต้องเข้าใจก่อนว่า กฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 กำหนดสถานะ และบทบาทหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) และผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ไว้แตกต่างกัน รวมทั้งกำหนดโทษทางปกครองที่แตกต่างกันในหลายข้อ ดังเช่นตัวอย่างนี้
- ผู้ควบคุมข้อมูลส่วนบุคคลไม่ปฏิบัติตามมาตรา มาตรา 39 คือ ไม่จัดทำบันทึกรายการการจัดเก็บข้อมูลส่วนบุคคลตามรายการที่คณะกรรมการคุ้มครองข้อมูลกำหนด มีโทษทางปกครองปรับไม่เกิน 1 ล้านบาท
- ผู้ประมวลผลข้อมูลส่วนบุคคลไม่ปฏิบัติตามมาตรา 40 โดยไม่มีเหตุอันควร คือ ไม่จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้ตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด มีโทษทางปกครองปรับไม่เกิน 3 ล้านบาท
งงละสิ!!! ไม่ทำบันทึกรายการกิจกรรมการประมวลผลข้อมูล หรือที่เรียกสั้นๆ ว่า RoPA (Record of Processing Activity) เหมือนกัน แต่บทลงโทษกลับแตกต่างกัน โดยเรื่องนี้เราต้องย้อนกลับไปดูข้อกฎหมายกันอีกซักรอบ
กฎหมาย PDPA กำหนดให้ ผู้ควบคุมข้อมูลส่วนบุคคล จัดทำ ‘บันทึกรายการ’ เพื่อให้เจ้าของข้อมูลส่วนบุคคล และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลสามารถตรวจสอบได้ โดยจะบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้ อย่างน้อย ดังต่อไปนี้
- ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม
- วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภท
- ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล
- ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล
- สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล รวมทั้งเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลและเงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคลนั้น
- การใช้หรือเปิดเผยข้อมูลส่วนบุคคล
- การปฏิเสธคำขอหรือการคัดค้านตามสิทธิของเจ้าของข้อมูลส่วนบุคคล
- คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยในการคุ้มครองข้อมูลตามความเสี่ยงที่เหมาะสม
ทั้งนี้ กฎหมายได้อนุโลม แก่ ผู้ควบคุมข้อมูลที่เป็นกิจการขนาดเล็ก (ตามหลักเกณฑ์ที่คณะกรรมการประกาศกำหนด) หรือมีการเก็บข้อมูลเป็นครั้งคราว ให้ทำเฉพาะข้อ 7 ข้ออื่นไม่ต้องทำ
แต่ก็อย่าเพิ่งดีใจไป เพราะกฎหมายระบุในบรรทัดต่อมาว่า แม้จะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลเป็นครั้งคราว แต่หากข้อมูลเหล่านั้นมี ‘ความเสี่ยง’ ที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ก็ต้องทำบันทึกรายการทุกข้อตามที่กฎหมายกำหนดอยู่ดี!
ผู้ประมวลผลข้อมูลส่วนบุคคล กฎหมาย PDPA กำหนดหน้าที่ ดังนี้
- ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่คำสั่งนั้นขัดต่อกฎหมาย หรือบทบัญญัติในการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัตินี้
- จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ รวมทั้งแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการณ์ละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น
- จัดทำ และเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้ ตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด
จะเห็นหน้าที่ในข้อ 3 ของผู้ประมวลผลข้อมูลส่วนบุคคล ที่กฎหมายระบุให้ จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้ตามหลักเกณฑ์ และวิธีการที่คณะกรรมการประกาศกำหนด ซึ่งปัจจุบันยังไม่ได้ประกาศหลักเกณฑ์ใดๆ ออกมา หรือจะมีประกาศในอนาคต
อย่างไรก็ตาม กฎหมาย PDPA อนุโลมยกเว้นให้สำหรับกิจการขนาดเล็ก หรือมีการเก็บข้อมูลเป็นครั้งคราว แต่หากการประมวลผลนั้นมีความเสี่ยงที่จะมีผลกระทบต่อสิทธิ และเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ก็ต้องจัดทำ และเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลตามหลักเกณฑ์ที่คณะกรรมการกำหนด
ตามที่ระบุไว้ก่อนนี้ว่า อาจจะต้องรอคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศหลักเกณฑ์การจัดทำและเก็บรักษาบันทึกรายการฯ แต่เนื่องจากกฎหมาย PDPA กำลังจะประกาศใช้ในวันที่ 1 มิถุนายน 2565 นี้ เราจึงแนะนำว่าผู้ประมวลผลข้อมูลส่วนบุคคลควรทำ RoPA ในลักษณะเดียวกันกับผู้ควบคุมข้อมูลส่วนบุคคล
และถึงตรงนี้คงได้คำตอบแล้วว่า ใครต้องทำบันทึกรายการฯ หรือ RoPA บ้าง ซึ่งเอาคำตอบแบบชัวร์ๆ คือ ต้องทำ ทั้งธุรกิจที่มีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล โดยอาจจะมีความจำเป็นต้องมีการลงทุนในด้านซอฟต์แวร์ หรือเครื่องมือด้าน Data Elementary เพิ่มเติม เพื่อให้การจัดเก็บข้อมูลของภาคธุรกิจ มีการดำเนินการอย่างมีประสิทธิภาพ
รวมทั้งกฎหมาย PDPA ระบุว่า ระหว่าง ผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีข้อตกลงระหว่างกันเพื่อควบคุมการดำเนินงานตามหน้าที่ตามกฎหมายกำหนด
คำถามส่วนนี้ สามารถตีความได้ว่า กฎหมาย PDPA ระบุถึงสถานะ และบทบาทหน้าที่ของผู้ควบคุมข้อมูลฯ และผู้ประมวลผลข้อมูลฯ ไว้อย่างชัดเจน อีกทั้งยังมองที่ ‘สาระสำคัญของกฎหมาย’ ในการปกป้องคุ้มครองสิทธิของข้อมูลส่วนบุคคลของประชาชน ดังนั้นจึงให้น้ำหนักไปที่การคุ้มครองข้อมูลส่วนบุคคล และความปลอดภัยที่เหมาะสมกับความเสี่ยง เพื่อป้องกันเหตุละเมิด
ด้วยเหตุผลดังกล่าว กิจกรรมการประมวลผลข้อมูลจึงเป็นส่วนสำคัญที่ต้องมีการ ‘ป้องปราม’ ไม่ให้เกิดกรณีการนำข้อมูลส่วนบุคคลไปใช้ผิดวัตถุประสงค์ หรือมีความประมาทเลินเล่อในการดำเนินการต่างๆ จนอาจก่อให้เกิดความเสียหาย ซึ่งเป็นทฤษฎีการวิเคราะห์โดยการนำ General Data Protection Regulation หรือ GDPR ซึ่งเป็นระเบียนการคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปมาเทียบเคียง ทั้งเป็นต้นแบบของกฎหมายคุ้มครองข้อมูลส่วนบุคคลทั่วโลก ดังนั้น PDPA จึงสามารถเทียบเคียงกับข้อบังคับใน GDPR ได้เช่นกัน
ทั้งนี้ เป็นที่ทราบดีว่า กฎหมาย PDPA ถือเป็นกฎหมายใหม่ในประเทศไทย และเป็นบรรทัดฐานใหม่ให้ทุกองค์กรตื่นตัว และต้องมีการปรับตัว และอาจจะต้องมีต้นทุนการจัดการเพิ่มขึ้น แต่หากมองที่ประโยชน์ซึ่งปัจจุบันทั่วโลกให้ความสำคัญกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล นี่จึงเป็นความจำเป็นสำหรับองค์กรธุรกิจที่มีการติดต่อหรือการค้ากับต่างชาติได้พัฒนามาตรฐานสู่ความเป็นสากลมากขึ้น ที่สำคัญ การดำเนินการที่ถูกต้องตามกฎหมาย ยังสร้างความเชื่อมั่นแก่ลูกค้าที่เป็นเจ้าของข้อมูลได้อีกด้วย
