ใครต้องทำ ! บันทึกรายการกิจกรรมการประมวลผลข้อมูล (RoPA) ใช่ธุรกิจคุณรึเปล่า ?

แชร์

อ่าน

ครั้ง

โดย : PDPA Thailand

ใครต้องทำ ! บันทึกรายการกิจกรรมการประมวลผลข้อมูล (RoPA) ใช่ธุรกิจคุณรึเปล่า ?

แชร์

อ่าน

ครั้ง

โดย : PDPA Thailand

ก่อนจะกล่าวถึงว่าใครต้องทำ RoPA หรือบันทึกรายการกิจกรรมการประมวลผลข้อมูล ผู้ประกอบการธุรกิจอาจต้องเข้าใจก่อนว่า กฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 กำหนดสถานะ และบทบาทหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) และผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ไว้แตกต่างกัน รวมทั้งกำหนดโทษทางปกครองที่แตกต่างกันในหลายข้อ ดังเช่นตัวอย่างนี้

• ผู้ควบคุมข้อมูลส่วนบุคคลไม่ปฏิบัติตามมาตรา มาตรา 39 คือ ไม่จัดทำบันทึกรายการการจัดเก็บข้อมูลส่วนบุคคลตามรายการที่คณะกรรมการคุ้มครองข้อมูลกำหนด มีโทษทางปกครองปรับไม่เกิน 1 ล้านบาท

• ผู้ประมวลผลข้อมูลส่วนบุคคลไม่ปฏิบัติตามมาตรา 40 โดยไม่มีเหตุอันควร คือ ไม่จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้ตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด มีโทษทางปกครองปรับไม่เกิน 3 ล้านบาท

งงละสิ !!! ไม่ทำบันทึกรายการกิจกรรมการประมวลผลข้อมูล หรือที่เรียกสั้นๆ ว่า RoPA (Record of Processing Activity) เหมือนกัน แต่บทลงโทษกลับแตกต่างกัน โดยเรื่องนี้เราต้องย้อนกลับไปดูข้อกฎหมายกันอีกซักรอบ

กฎหมาย PDPA กำหนดให้ ผู้ควบคุมข้อมูลส่วนบุคคล จัดทำ ‘บันทึกรายการ’ เพื่อให้เจ้าของข้อมูลส่วนบุคคล และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลสามารถตรวจสอบได้ โดยจะบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้ อย่างน้อย ดังต่อไปนี้

1. ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม
2. วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภท
3. ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล
4. ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล
5. สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล รวมทั้งเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลและเงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคลนั้น
6. การใช้หรือเปิดเผยข้อมูลส่วนบุคคล
7.การปฏิเสธคำขอหรือการคัดค้านตามสิทธิของเจ้าของข้อมูลส่วนบุคคล
8. คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยในการคุ้มครองข้อมูลตามความเสี่ยงที่เหมาะสม

ทั้งนี้ กฎหมายได้อนุโลม แก่ ผู้ควบคุมข้อมูลที่เป็นกิจการขนาดเล็ก (ตามหลักเกณฑ์ที่คณะกรรมการประกาศกำหนด) หรือมีการเก็บข้อมูลเป็นครั้งคราว ให้ทำเฉพาะข้อ 7 ข้ออื่นไม่ต้องทำ

แต่ก็อย่างเพิ่งดีใจไป เพราะกฎหมายระบุในบรรทัดต่อมาว่า แม้จะเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลเป็นครั้งคราว แต่หากข้อมูลเหล่านั้นมี ‘ความเสี่ยง’ ที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ก็ต้องทำบันทึกรายการทุกข้อตามที่กฎหมายกำหนดอยู่ดี !

 

 

ขณะที่ ผู้ประมวลผลข้อมูลส่วนบุคคล กฎหมาย PDPA กำหนดหน้าที่ ดังนี้

ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่คำสั่งนั้นขัดต่อกฎหมายหรือบทบัญญัติในการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัตินี้

จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ รวมทั้งแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการณ์ละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น

จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้ ตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด

จะเห็นหน้าที่ในข้อ 3 ของผู้ประมวลผลข้อมูลส่วนบุคคล ที่กฎหมายระบุให้ จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้ตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด ซึ่งปัจจุบันยังไม่ได้ประกาศหลักเกณฑ์ใดๆ ออกมา หรือจะมีประกาศในอนาคต

อย่างไรก็ตาม กฎหมาย PDPA อนุโลมยกเว้นให้สำหรับกิจการขนาดเล็ก หรือมีการเก็บข้อมูลเป็นครั้งคราว แต่หากการประมวลผลนั้นมีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ก็ต้องจัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลตามหลักเกณฑ์ที่คณะกรรมการกำหนด

 

 

แล้วจะต้องจัดทำและเก็บรักษาบันทึกรายการฯ หรือ RoPA อย่างไร ?

ตามที่ระบุไว้ก่อนนี้ว่า อาจจะต้องรอคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศหลักเกณฑ์การจัดทำและเก็บรักษาบันทึกรายการฯ แต่เนื่องจากกฎหมาย PDPA ประกาศและบังคับใช้ไปแล้วในปัจจุบัน เราจึงแนะนำว่าผู้ประมวลผลข้อมูลส่วนบุคคลควรทำ RoPA ในลักษณะเดียวกันกับผู้ควบคุมข้อมูลส่วนบุคคล

และถึงตรงนี้คงได้คำตอบแล้วว่า ใครต้องทำบันทึกรายการฯ หรือ RoPA บ้าง ซึ่งเอาคำตอบแบบชัวร์ๆ คือ ต้องทำ ทั้งธุรกิจที่มีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล โดยอาจจะมีความจำเป็นต้องมีการลงทุนในด้านซอฟต์แวร์ หรือเครื่องมือด้าน Data Elementary เพิ่มเติม เพื่อให้การจัดเก็บข้อมูลของภาคธุรกิจ มีการดำเนินการอย่างมีประสิทธิภาพ

รวมทั้งกฎหมาย PDPA ระบุว่า ระหว่าง ผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีข้อตกลงระหว่างกันเพื่อควบคุมการดำเนินงานตามหน้าที่ตามกฎหมายกำหนด

 

 

ทำไม ไม่ทำ RoPA เหมือนกัน แต่บทลงโทษจึงไม่เท่ากัน ?

คำถามส่วนนี้ สามารถตีความได้ว่า กฎหมาย PDPA ระบุถึงสถานะและบทบาทหน้าที่ของผู้ควบคุมข้อมูลฯ และผู้ประมวลผลข้อมูลฯ ไว้อย่างชัดเจน อีกทั้งยังมองที่ ‘สาระสำคัญของกฎหมาย’ ในการปกป้องคุ้มครองสิทธิของข้อมูลส่วนบุคคลของประชาชน ดังนั้นจึงให้น้ำหนักไปที่การป้องป้องคุ้มครองข้อมูลส่วนบุคคล และความปลอดภัยที่เหมาะสมกับความเสี่ยง เพื่อป้องกันเหตุละเมิด

ด้วยเหตุผลดังกล่าว กิจกรรมการประมวลผลข้อมูลจึงเป็นส่วนสำคัญที่ต้องมีการ ‘ป้องปราม’ ไม่ให้เกิดกรณีการนำข้อมูลส่วนบุคคลไปใช้ผิดวัตถุประสงค์ หรือมีความประมาทเลินเล่อในการดำเนินการต่างๆ จนอาจก่อให้เกิดความเสียหาย ซึ่งเป็นทฤษฎีการวิเคราะห์โดยการนำ General Data Protection Regulation หรือ GDPR ซึ่งเป็นระเบียนการคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปมาเทียบเคียง ทั้งเป็นต้นแบบของกฎหมายคุ้มครองข้อมูลส่วนบุคคลทั่วโลก ดังนั้น PDPA จึงสามารถเทียบเคียงกับข้อบังคับใน GDPR ได้เช่นกัน

ทั้งนี้ เป็นที่ทราบดีว่า กฎหมาย PDPA เป็นกฎหมายใหม่ที่รอการบังคับใช้อย่างเป็นทางการในประเทศไทย และเป็นบรรทัดฐานใหม่ให้ทุกองค์กรต้องมีการปรับตัว และอาจจะต้องมีต้นทุนการจัดการเพิ่มขึ้น แต่หากมองที่ประโยชน์ซึ่งปัจจุบันทั่วโลกให้ความสำคัญกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล

นี่จึงเป็นความจำเป็นสำหรับองค์กรธุรกิจที่มีการติดต่อหรือการค้ากับต่างชาติได้พัฒนามาตรฐานสู่ความเป็นสากลมากขึ้น ที่สำคัญ การดำเนินการที่ถูกต้องตามกฎหมาย ยังสร้างความเชื่อมั่นแก่ลูกค้าที่เป็นเจ้าของข้อมูลได้อีกด้วย

Share :