Now!
Solution ด้านการคุ้มครองข้อมูลส่วนบุคคลที่ตอบโจทย์ SMEs ได้ทุกคำถาม

ใครต้องทำ! บันทึกรายการกิจกรรมการประมวลผลข้อมูล (RoPA) ใช่ธุรกิจคุณรึเปล่า ?

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

ใครต้องทำ! บันทึกรายการกิจกรรมการประมวลผลข้อมูล (RoPA) ใช่ธุรกิจคุณรึเปล่า ?

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

ก่อนจะกล่าวถึงว่าใครต้องทำ RoPA หรือบันทึกรายการกิจกรรมการประมวลผลข้อมูล ผู้ประกอบการธุรกิจอาจต้องเข้าใจก่อนว่า กฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 กำหนดสถานะ และบทบาทหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) และผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ไว้แตกต่างกัน รวมทั้งกำหนดโทษทางปกครองที่แตกต่างกันในหลายข้อ ดังเช่นตัวอย่างนี้

  • ผู้ควบคุมข้อมูลส่วนบุคคลไม่ปฏิบัติตามมาตรา มาตรา 39 คือ ไม่จัดทำบันทึกรายการการจัดเก็บข้อมูลส่วนบุคคลตามรายการที่คณะกรรมการคุ้มครองข้อมูลกำหนด มีโทษทางปกครองปรับไม่เกิน 1 ล้านบาท

 

  • ผู้ประมวลผลข้อมูลส่วนบุคคลไม่ปฏิบัติตามมาตรา 40 โดยไม่มีเหตุอันควร คือ ไม่จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้ตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด มีโทษทางปกครองปรับไม่เกิน 3 ล้านบาท

 

งงละสิ!!! ไม่ทำบันทึกรายการกิจกรรมการประมวลผลข้อมูล หรือที่เรียกสั้นๆ ว่า RoPA (Record of Processing Activity) เหมือนกัน แต่บทลงโทษกลับแตกต่างกัน โดยเรื่องนี้เราต้องย้อนกลับไปดูข้อกฎหมายกันอีกซักรอบ

กฎหมาย PDPA กำหนดให้ ผู้ควบคุมข้อมูลส่วนบุคคล จัดทำ ‘บันทึกรายการ เพื่อให้เจ้าของข้อมูลส่วนบุคคล และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลสามารถตรวจสอบได้ โดยจะบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้ อย่างน้อย ดังต่อไปนี้

  1. ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม
  2. วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภท
  3. ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล
  4. ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล
  5. สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล รวมทั้งเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลและเงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคลนั้น
  6. การใช้หรือเปิดเผยข้อมูลส่วนบุคคล
  7. การปฏิเสธคำขอหรือการคัดค้านตามสิทธิของเจ้าของข้อมูลส่วนบุคคล
  1. คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยในการคุ้มครองข้อมูลตามความเสี่ยงที่เหมาะสม

ทั้งนี้ กฎหมายได้อนุโลม แก่ ผู้ควบคุมข้อมูลที่เป็นกิจการขนาดเล็ก (ตามหลักเกณฑ์ที่คณะกรรมการประกาศกำหนด) หรือมีการเก็บข้อมูลเป็นครั้งคราว ให้ทำเฉพาะข้อ 7 ข้ออื่นไม่ต้องทำ

 

แต่ก็อย่าเพิ่งดีใจไป เพราะกฎหมายระบุในบรรทัดต่อมาว่า แม้จะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลเป็นครั้งคราว แต่หากข้อมูลเหล่านั้นมี ‘ความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ก็ต้องทำบันทึกรายการทุกข้อตามที่กฎหมายกำหนดอยู่ดี!

ผู้ประมวลผลข้อมูลส่วนบุคคล กฎหมาย PDPA กำหนดหน้าที่ ดังนี้

  1. ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่คำสั่งนั้นขัดต่อกฎหมาย หรือบทบัญญัติในการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัตินี้
  2. จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ รวมทั้งแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการณ์ละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น
  3. จัดทำ และเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้ ตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด

 

จะเห็นหน้าที่ในข้อ 3 ของผู้ประมวลผลข้อมูลส่วนบุคคล ที่กฎหมายระบุให้ จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้ตามหลักเกณฑ์ และวิธีการที่คณะกรรมการประกาศกำหนด ซึ่งปัจจุบันยังไม่ได้ประกาศหลักเกณฑ์ใดๆ ออกมา หรือจะมีประกาศในอนาคต

อย่างไรก็ตาม กฎหมาย PDPA อนุโลมยกเว้นให้สำหรับกิจการขนาดเล็ก หรือมีการเก็บข้อมูลเป็นครั้งคราว แต่หากการประมวลผลนั้นมีความเสี่ยงที่จะมีผลกระทบต่อสิทธิ และเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ก็ต้องจัดทำ และเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลตามหลักเกณฑ์ที่คณะกรรมการกำหนด

ตามที่ระบุไว้ก่อนนี้ว่า อาจจะต้องรอคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศหลักเกณฑ์การจัดทำและเก็บรักษาบันทึกรายการฯ แต่เนื่องจากกฎหมาย PDPA กำลังจะประกาศใช้ในวันที่ 1 มิถุนายน 2565 นี้ เราจึงแนะนำว่าผู้ประมวลผลข้อมูลส่วนบุคคลควรทำ RoPA ในลักษณะเดียวกันกับผู้ควบคุมข้อมูลส่วนบุคคล

และถึงตรงนี้คงได้คำตอบแล้วว่า ใครต้องทำบันทึกรายการฯ หรือ RoPA บ้าง ซึ่งเอาคำตอบแบบชัวร์ๆ คือ ต้องทำ ทั้งธุรกิจที่มีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล โดยอาจจะมีความจำเป็นต้องมีการลงทุนในด้านซอฟต์แวร์ หรือเครื่องมือด้าน Data Elementary เพิ่มเติม เพื่อให้การจัดเก็บข้อมูลของภาคธุรกิจ มีการดำเนินการอย่างมีประสิทธิภาพ

รวมทั้งกฎหมาย PDPA ระบุว่า ระหว่าง ผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีข้อตกลงระหว่างกันเพื่อควบคุมการดำเนินงานตามหน้าที่ตามกฎหมายกำหนด

 

คำถามส่วนนี้ สามารถตีความได้ว่า กฎหมาย PDPA ระบุถึงสถานะ และบทบาทหน้าที่ของผู้ควบคุมข้อมูลฯ และผู้ประมวลผลข้อมูลฯ ไว้อย่างชัดเจน อีกทั้งยังมองที่ ‘สาระสำคัญของกฎหมายในการปกป้องคุ้มครองสิทธิของข้อมูลส่วนบุคคลของประชาชน ดังนั้นจึงให้น้ำหนักไปที่การคุ้มครองข้อมูลส่วนบุคคล และความปลอดภัยที่เหมาะสมกับความเสี่ยง เพื่อป้องกันเหตุละเมิด

ด้วยเหตุผลดังกล่าว กิจกรรมการประมวลผลข้อมูลจึงเป็นส่วนสำคัญที่ต้องมีการ ป้องปราม ไม่ให้เกิดกรณีการนำข้อมูลส่วนบุคคลไปใช้ผิดวัตถุประสงค์ หรือมีความประมาทเลินเล่อในการดำเนินการต่างๆ จนอาจก่อให้เกิดความเสียหาย ซึ่งเป็นทฤษฎีการวิเคราะห์โดยการนำ General Data Protection Regulation หรือ GDPR ซึ่งเป็นระเบียนการคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปมาเทียบเคียง ทั้งเป็นต้นแบบของกฎหมายคุ้มครองข้อมูลส่วนบุคคลทั่วโลก ดังนั้น PDPA จึงสามารถเทียบเคียงกับข้อบังคับใน GDPR ได้เช่นกัน

ทั้งนี้ เป็นที่ทราบดีว่า กฎหมาย PDPA ถือเป็นกฎหมายใหม่ในประเทศไทย และเป็นบรรทัดฐานใหม่ให้ทุกองค์กรตื่นตัว และต้องมีการปรับตัว และอาจจะต้องมีต้นทุนการจัดการเพิ่มขึ้น แต่หากมองที่ประโยชน์ซึ่งปัจจุบันทั่วโลกให้ความสำคัญกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล นี่จึงเป็นความจำเป็นสำหรับองค์กรธุรกิจที่มีการติดต่อหรือการค้ากับต่างชาติได้พัฒนามาตรฐานสู่ความเป็นสากลมากขึ้น ที่สำคัญ การดำเนินการที่ถูกต้องตามกฎหมาย ยังสร้างความเชื่อมั่นแก่ลูกค้าที่เป็นเจ้าของข้อมูลได้อีกด้วย

Share :

บทความที่เกี่ยวข้อง

การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล  ถือเป็นประเด็นที่ต้องพิจารณาทางกฎหมายหลายประการ โดยมี
Copyright © 2022 Digital Business Consult, All Rights Reserved.

ลงทะเบียน

เข้าสู่ระบบ