กฎหมาย PDPA กำหนดให้ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) จัดทำ ‘บันทึกรายการกิจกรรมการประมวลผลข้อมูล’ หรือ RoPA (Record of Processing Activity) เพื่อให้เจ้าของข้อมูลส่วนบุคคล และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลสามารถตรวจสอบได้ โดยบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ ดังนี้

1. ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม

2. วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภท

3. ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล

4. ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล

5. สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล รวมทั้งเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลและเงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคลนั้น

6. การใช้หรือเปิดเผยข้อมูลส่วนบุคคล

7. การปฏิเสธคำขอหรือการคัดค้านตามสิทธิของเจ้าของข้อมูลส่วนบุคคล

8. คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยในการคุ้มครองข้อมูลตามความเสี่ยงที่เหมาะสม

อย่างไรก็ตาม กฎหมายได้อนุโลมให้แก่ผู้ควบคุมข้อมูลที่เป็นกิจการขนาดเล็ก ตามหลักเกณฑ์ที่คณะกรรมการประกาศในกำหนด หรือมีการเก็บข้อมูลเป็นครั้งคราว ซึ่งให้ทำเฉพาะข้อ 7 หรือการปฏิเสธคำขอ และคัดค้านตามสิทธิของเจ้าของข้อมูลส่วนบุคคล

ถึงแม้ว่า จะมีการเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเป็นครั้งคราว หากข้อมูลเหล่านั้นมีความเสี่ยงก็จะเกิดผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล จำเป็นต้องทำบันทึกรายการทุกข้อตามที่กฎหมดกำหนด

 

ในขณะที่ ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ในกฎหมาย PDPA กำหนดหน้าที่ ดังนี้

1. ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่คำสั่งนั้นขัดต่อกฎหมายหรือบทบัญญัติในการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัตินี้

2. จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ รวมทั้งแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการณ์ละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น

3. จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้ ตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด

อย่างไรก็ตาม กฎหมาย PDPA อนุโลมยกเว้นให้สำหรับกิจการขนาดเล็ก หรือมีการเก็บข้อมูลเป็นครั้งคราว แต่หากการประมวลผลนั้นมีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ก็ต้องจัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลตามหลักเกณฑ์ที่คณะกรรมการกำหนด

วิธีการจัดทำและเก็บรักษาบันทึกรายการ หรือ RoPA

เนื่องจากกฎหมาย PDPA ได้ประกาศใช้ตั้งแต่วันที่ 1 มิถุนายน 2565 เป็นต้นมา เราจึงขอแนะนำผู้ประมวลผลข้อมูลส่วนบุคคลควรทำ RoPA ในลักษณะเดียวกับผู้ควบคุมข้อมูลส่วนบุคคล

ทุกธุรกิจที่มีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล ควรทำ RoPA ซึ่งอาจมีความแตกต่างในด้านของการลงทุนเกี่ยวกับซอฟต์แวร์ หรือเครื่องมือด้าน Data Elementary เพื่อให้การจัดเก็บข้อมูลของภาคธุรกิจ มีการดำเนินการอย่างมีประสิทธิภาพ

กฎหมาย PDPA ระบุว่า ระหว่างผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล ต้องจัดให้มีข้อตกลงระหว่างกัน เพื่อควบคุมการดำเนินงานตามหน้าที่ตามกฎหมายกำหนด

บทลงโทษหากไม่ทำบันทึกรายการกิจกรรมการประมวลผลข้อมูล หรือ RoPA

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือกฎหมาย PDPA กำหนดสถานะ บทบาทหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคลไว้แตกต่างกัน ซึ่งมีกำหนดโทษทางปกครองที่แตกต่างกัน ดังเช่น

• ผู้ควบคุมข้อมูลส่วนบุคคลไม่ปฏิบัติตามมาตรา 39 คือไม่จัดทำบันทึกรายการจัดเก็บข้อมูลส่วนบุคคล (RoPA) ตามรายการที่คณะกรรมการคุ้มครองข้อมูลกำหนด มีโทษทางปกครองปรับไม่เกิน 1 ล้านบาท
• ผู้ประมวลผลข้อมูลส่วนบุคคลไม่ปฏิบัติตามมาตรา 40 โดยไม่มีเหตุอันควร คือไม่จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (RoPA) ไว้ตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด มีโทษทางปกครองปรับไม่เกิน 3 ล้านบาท

 

หากไม่ทำ RoPA เหตุใดจึงมีบทลงโทษต่างกัน?

สำหรับคำตอบของคำถามดังกล่าว สามารถตีความได้ว่า กฎหมาย PDPA ระบุถึงสถานะและบทบาทหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคลไว้อย่างชัดเจน ทั้งยังมองที่สาระสำคัญของกฎหมายในการปกป้องคุ้มครองสิทธิของข้อมูลส่วนบุคคลของประชาชน ดังนั้นน้ำหนักของกฎหมายจึงมุ่งเน้นที่การปกป้องข้อมูลส่วนบุคคล และความปลอดภัยที่เหมาะสมกับความเสี่ยง เพื่อป้องกันเหตุละเมิด

เพราะฉะนั้น กิจกรรมการประมวลผลข้อมูลจึงเป็นส่วนสำคัญที่ต้องมีการป้องปรามไม่ให้เกิดกรณีการนำข้อมูลส่วนบุคคลไปใช้ผิดวัตถุประสงค์ หรือมีความประมาทเลินเล่อในการดำเนินการต่าง ๆ จนอาจก่อให้เกิดความเสียหาย

ทั้งนี้ เป็นที่ทราบดีว่า กฎหมาย PDPA เป็นกฎหมายใหม่ที่รอการบังคับใช้อย่างเป็นทางการในประเทศไทย และเป็นบรรทัดฐานใหม่ให้ทุกองค์กรต้องมีการปรับตัว และอาจจะต้องมีต้นทุนการจัดการเพิ่มขึ้น แต่หากมองที่ประโยชน์ซึ่งปัจจุบันทั่วโลกให้ความสำคัญกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล นี่จึงเป็นความจำเป็นสำหรับองค์กรธุรกิจที่มีการติดต่อหรือการค้ากับต่างชาติได้พัฒนามาตรฐานสู่ความเป็นสากลมากขึ้น ที่สำคัญ การดำเนินการที่ถูกต้องตามกฎหมาย ยังสร้างความเชื่อมั่นแก่ลูกค้าที่เป็นเจ้าของข้อมูลได้อีกด้วย