RoPA คืออะไร แล้วทำไมเราต้องทำ ?
RoPA คืออะไร แล้วทำไมเราต้องทำ ?
เนื่องจากเมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมาได้มีการประกาศการบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ กฎหมาย PDPA ทำให้หลาย ๆ องค์กรเริ่มมีการเตรียมตัวเพื่อปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล กันบ้างแล้ว แต่ยังมีอีกหลายหน่วยงานที่ยังไม่รู้ว่าจะต้องจัดทำเอกสารอะไร และมีแผนการดำเนินงานอย่างไรให้ถูกต้องตามข้อบังคับของ PDPA ทั้งนี้ในข้อกฎหมายมีการกำหนดให้ มีการจัดทำนโยบายส่วนบุคคล (Privacy Policy) เพื่อแจ้งเจ้าของข้อมูลและวัตถุประสงค์ในการเก็บรวบรวม ใช้ และเผยแพร่ พร้อมกำหนดระยะเวลาในการเก็บข้อมูล มีการจัดอบรมพนักงาน เพื่อให้เข้าใจบทบาทหน้าที่ รวมถึงมีการจดบันทึกกิจกรรม (Record of Processing Activities หรือ RoPA)
RoPA คืออะไร แล้วทำไมเราต้องทำ ?RoPA เป็นเหมือนการจดบันทึกที่บอกว่าแผนกไหนในองค์กรทำอะไรบ้าง ทำด้วยวัตถุประสงค์อะไร และอยู่บนฐานกฎหมายข้อไหนที่อนุญาตให้ทำ จุดประสงค์หลักในการจดบันทึกคือ เพื่อหากเกิดการละเมิดข้อมูลส่วนบุคคลขึ้นองค์กรจะสามารถตรวจสอบกระบวนการจัดการได้อย่างรวดเร็วตามกฎหมาย PDPA นอกจากนี้การบันทึก RoPA เราสามารถใช้ RoPA เป็นเสมือน Checklist ไว้ให้ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)” และ “ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)” ได้เขียน และทบทวนกิจกรรมที่ทำอยู่นั้นมีการใช้ข้อมูลส่วนบุคคลหรือไม่ ที่มาขอข้อมูลถูกกฎหมายหรือไม่ สามารถวิเคราะห์ได้ฐานอะไร และใครเป็น Data Controller หรือ Data Processor ของกิจกรรมนี้ ดังนั้นหากมีการจดบันทึกข้อมูล RoPA อย่างละเอียด จะยิ่งลดความผิดพลาดในการละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคล กฎหมายกำหนดให้ผู้ควบคุมข้อมูลทำ RoPA โดยให้มีรายละเอียดขั้นต่ำตามมาตรา 39กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกรายการ อย่างน้อยดังต่อไปนี้ เพื่อให้เจ้าของ ข้อมูลส่วนบุคคลและสำนักงานสามารถตรวจสอบได้ โดยจะบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์
กฎหมายกำหนดให้ผู้ประมวลผลข้อมูลทำ RoPA โดยให้มีรายละเอียดขั้นต่ำตามมาตรา 40โดยให้มีรายละเอียดตามประกาศประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการจัดทำและเก็บรักษาบันทึกรายการ ของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล พ.ศ. 2565
จากที่กล่าวมา การปฏิบัติตาม PDPA เป็นสิ่งที่องค์กรควรทำ ซึ่งหากบางข้อที่ไม่สามารถปฏิบัติได้ หรือมีความสงสัยในเรื่องของการจดบันทึกกิจกรรม RoPA การขอคำปรึกษาจากหน่วยงานที่มีความรู้และความเชี่ยวชาญเฉพาะ ก็เป็นอีกตัวเลือกหนึ่งที่ดี PDPA Thailand เราคือผู้บริการให้คำปรึกษา สอบทาน ฝึกอบรม ทดสอบ เพื่อบริหารความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคลภายใต้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA ซึ่งเรามีบริการ PDPA Consulting เป็นบริการให้คำปรึกษาด้านการจัดการข้อมูลส่วนบุคคล ที่ให้คำปรึกษาการจัดทำนโยบาย และการบริหารจัดการองค์กร เพื่อให้สามารถปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้ หากองค์กรใดสนใจสามารถสอบถามหรือดูข้อมูลเพิ่มเติมได้ที่ https://pdpa.online.th/ .
อ้างอิง :
|