ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
หลักเกณฑ์และวิธีการในการจัดทำและเก็บรักษาบันทึกรายการ
ของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล พ.ศ. 2565
โดยที่เป็นการสมควรกำหนดหลักเกณฑ์และวิธีการในการจัดทำและเก็บรักษาบันทึกรายการ
ของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล
อาศัยอำนาจตามความใน
มาตรา 16
(๔) และ
มาตรา 40
วรรคหนึ่ง (๓)
แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
จึงออกประกาศไว้ ดังต่อไปนี้
ข้อ ๑ ประกาศนี้เรียกว่า “ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
เรื่อง หลักเกณฑ์และวิธีการในการจัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูล
ส่วนบุคคลสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๕”
ข้อ ๒ ประกาศนี้ให้ใช้บังคับเมื่อพ้นกำหนดหนึ่งร้อยแปดสิบวันนับแต่วันประกาศใน
ราชกิจจานุเบกษาเป็นต้นไป
ข้อ ๓ ผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดทำและเก็บรักษาบันทึกรายการของกิจกรรม
การประมวลผลข้อมูลส่วนบุคคลของแต่ละประเภทกิจกรรมไว้ โดยมีรายละเอียดอย่างน้อย ดังต่อไปนี้
(๑) ชื่อและข้อมูลเกี่ยวกับผู้ประมวลผลข้อมูลส่วนบุคคล และตัวแทนของผู้ประมวลผลข้อมูล
ส่วนบุคคลในกรณีที่มีการแต่งตั้งตัวแทน
(๒) ชื่อและข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคลที่ผู้ประมวลผลข้อมูลส่วนบุคคลดำเนินการ
ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคลนั้น และตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคล
ในกรณีที่มีการแต่งตั้งตัวแทน
(๓) ชื่อและข้อมูลเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล รวมถึงสถานที่ติดต่อและวิธีการ
ติดต่อ ในกรณีที่ผู้ประมวลผลข้อมูลส่วนบุคคลจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
(๔) ประเภทหรือลักษณะของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
ที่ผู้ประมวลผลข้อมูลส่วนบุคคลดำเนินการตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งรวมถึง
ข้อมูลส่วนบุคคลและวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามที่ได้รับ
มอบหมายจากผู้ควบคุมข้อมูลส่วนบุคคล
(๕) ประเภทของบุคคลหรือหน่วยงานที่ได้รับข้อมูลส่วนบุคคล ในกรณีที่มีการส่งหรือ
โอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
(๖) คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยตาม
มาตรา 40
วรรคหนึ่ง (๒)
ผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดทำและเก็บรักษาบันทึกรายการของกิจกรรม
การประมวลผลข้อมูลส่วนบุคคลตามวรรคหนึ่งเป็นลายลักษณ์อักษร โดยจะจัดทำเป็นหนังสือหรือ
ในรูปแบบอิเล็กทรอนิกส์ก็ได้ ทั้งนี้ บันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลดังกล่าว
จะต้องเข้าถึงได้ง่าย และสามารถแสดงให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ผู้ควบคุม
ข้อมูลส่วนบุคคล หรือบุคคลที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลหรือผู้ควบคุมข้อมูล
ส่วนบุคคลมอบหมายตรวจสอบได้อย่างรวดเร็วเมื่อมีการร้องขอ
ข้อ ๔ ให้ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคลเป็นผู้รักษาการตามประกาศนี้
ประกาศ ณ วันที่ 10 มิถุนายน พ.ศ. 2565
เธียรชัย ณ นคร
ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคล