PDPA Thailand

898

PDPA Thailand
PDPA Thailand

กฎหมาย PDPA กำหนดให้ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) จัดทำ ‘บันทึกรายการกิจกรรมการประมวลผลข้อมูล’ หรือ RoPA (Record of Processing Activity) เพื่อให้เจ้าของข้อมูลส่วนบุคคล และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลสามารถตรวจสอบได้ โดยบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ ดังนี้

1. ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม

2. วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภท

3. ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล

4. ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล

5. สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล รวมทั้งเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลและเงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคลนั้น

6. การใช้หรือเปิดเผยข้อมูลส่วนบุคคล

7. การปฏิเสธคำขอหรือการคัดค้านตามสิทธิของเจ้าของข้อมูลส่วนบุคคล

8. คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยในการคุ้มครองข้อมูลตามความเสี่ยงที่เหมาะสม

อย่างไรก็ตาม กฎหมายได้อนุโลมให้แก่ผู้ควบคุมข้อมูลที่เป็นกิจการขนาดเล็ก ตามหลักเกณฑ์ที่คณะกรรมการประกาศในกำหนด หรือมีการเก็บข้อมูลเป็นครั้งคราว ซึ่งให้ทำเฉพาะข้อ 7 หรือการปฏิเสธคำขอ และคัดค้านตามสิทธิของเจ้าของข้อมูลส่วนบุคคล

ถึงแม้ว่า จะมีการเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเป็นครั้งคราว หากข้อมูลเหล่านั้นมีความเสี่ยงก็จะเกิดผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล จำเป็นต้องทำบันทึกรายการทุกข้อตามที่กฎหมดกำหนด

 

ในขณะที่ ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ในกฎหมาย PDPA กำหนดหน้าที่ ดังนี้

1. ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่คำสั่งนั้นขัดต่อกฎหมายหรือบทบัญญัติในการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัตินี้

2. จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ รวมทั้งแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการณ์ละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น

3. จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้ ตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด

อย่างไรก็ตาม กฎหมาย PDPA อนุโลมยกเว้นให้สำหรับกิจการขนาดเล็ก หรือมีการเก็บข้อมูลเป็นครั้งคราว แต่หากการประมวลผลนั้นมีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ก็ต้องจัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลตามหลักเกณฑ์ที่คณะกรรมการกำหนด

 

วิธีการจัดทำและเก็บรักษาบันทึกรายการ หรือ RoPA

เนื่องจากกฎหมาย PDPA ได้ประกาศใช้ตั้งแต่วันที่ 1 มิถุนายน 2565 เป็นต้นมา เราจึงขอแนะนำผู้ประมวลผลข้อมูลส่วนบุคคลควรทำ RoPA ในลักษณะเดียวกับผู้ควบคุมข้อมูลส่วนบุคคล

ทุกธุรกิจที่มีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล ควรทำ RoPA ซึ่งอาจมีความแตกต่างในด้านของการลงทุนเกี่ยวกับซอฟต์แวร์ หรือเครื่องมือด้าน Data Elementary เพื่อให้การจัดเก็บข้อมูลของภาคธุรกิจ มีการดำเนินการอย่างมีประสิทธิภาพ

กฎหมาย PDPA ระบุว่า ระหว่างผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล ต้องจัดให้มีข้อตกลงระหว่างกัน เพื่อควบคุมการดำเนินงานตามหน้าที่ตามกฎหมายกำหนด

บทลงโทษหากไม่ทำบันทึกรายการกิจกรรมการประมวลผลข้อมูล หรือ RoPA

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือกฎหมาย PDPA กำหนดสถานะ บทบาทหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคลไว้แตกต่างกัน ซึ่งมีกำหนดโทษทางปกครองที่แตกต่างกัน ดังเช่น

  • ผู้ควบคุมข้อมูลส่วนบุคคลไม่ปฏิบัติตามมาตรา 39 คือไม่จัดทำบันทึกรายการจัดเก็บข้อมูลส่วนบุคคล (RoPA) ตามรายการที่คณะกรรมการคุ้มครองข้อมูลกำหนด มีโทษทางปกครองปรับไม่เกิน 1 ล้านบาท
  • ผู้ประมวลผลข้อมูลส่วนบุคคลไม่ปฏิบัติตามมาตรา 40 โดยไม่มีเหตุอันควร คือไม่จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (RoPA) ไว้ตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด มีโทษทางปกครองปรับไม่เกิน 3 ล้านบาท

 

หากไม่ทำ RoPA เหตุใดจึงมีบทลงโทษต่างกัน?

สำหรับคำตอบของคำถามดังกล่าว สามารถตีความได้ว่า กฎหมาย PDPA ระบุถึงสถานะและบทบาทหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคลไว้อย่างชัดเจน ทั้งยังมองที่สาระสำคัญของกฎหมายในการปกป้องคุ้มครองสิทธิของข้อมูลส่วนบุคคลของประชาชน ดังนั้นน้ำหนักของกฎหมายจึงมุ่งเน้นที่การปกป้องข้อมูลส่วนบุคคล และความปลอดภัยที่เหมาะสมกับความเสี่ยง เพื่อป้องกันเหตุละเมิด

เพราะฉะนั้น กิจกรรมการประมวลผลข้อมูลจึงเป็นส่วนสำคัญที่ต้องมีการป้องปรามไม่ให้เกิดกรณีการนำข้อมูลส่วนบุคคลไปใช้ผิดวัตถุประสงค์ หรือมีความประมาทเลินเล่อในการดำเนินการต่าง ๆ จนอาจก่อให้เกิดความเสียหาย

ทั้งนี้ เป็นที่ทราบดีว่า กฎหมาย PDPA เป็นกฎหมายใหม่ที่รอการบังคับใช้อย่างเป็นทางการในประเทศไทย และเป็นบรรทัดฐานใหม่ให้ทุกองค์กรต้องมีการปรับตัว และอาจจะต้องมีต้นทุนการจัดการเพิ่มขึ้น แต่หากมองที่ประโยชน์ซึ่งปัจจุบันทั่วโลกให้ความสำคัญกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล นี่จึงเป็นความจำเป็นสำหรับองค์กรธุรกิจที่มีการติดต่อหรือการค้ากับต่างชาติได้พัฒนามาตรฐานสู่ความเป็นสากลมากขึ้น ที่สำคัญ การดำเนินการที่ถูกต้องตามกฎหมาย ยังสร้างความเชื่อมั่นแก่ลูกค้าที่เป็นเจ้าของข้อมูลได้อีกด้วย

pdpa guru
dpo in action อบรม pdpa dpo
DPO ภาครัฐ PDPA
หลักสูตร PDPA in Action
DPAC อบรม PDPA Internal Audit
PDPA Guru Google Forms EP8
DPOinActionรุ่น19 1200x300
DPO in Action TU - 1200x300
Advanced PDPA in Action สำหรับภาคเอกชน
Banner DPAC 1200x300
dpo รวม