RoPA คืออะไร แล้วทำไมเราต้องทำ ?

RoPA คืออะไร แล้วทำไมเราต้องทำ ?

 

 เนื่องจากเมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมาได้มีการประกาศการบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ กฎหมาย PDPA ทำให้หลาย ๆ องค์กรเริ่มมีการเตรียมตัวเพื่อปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล กันบ้างแล้ว แต่ยังมีอีกหลายหน่วยงานที่ยังไม่รู้ว่าจะต้องจัดทำเอกสารอะไร และมีแผนการดำเนินงานอย่างไรให้ถูกต้องตามข้อบังคับของ PDPA

ทั้งนี้ในข้อกฎหมายมีการกำหนดให้ มีการจัดทำนโยบายส่วนบุคคล (Privacy Policy) เพื่อแจ้งเจ้าของข้อมูลและวัตถุประสงค์ในการเก็บรวบรวม ใช้ และเผยแพร่ พร้อมกำหนดระยะเวลาในการเก็บข้อมูล มีการจัดอบรมพนักงาน เพื่อให้เข้าใจบทบาทหน้าที่ รวมถึงมีการจดบันทึกกิจกรรม (Record of Processing Activities หรือ RoPA)

 

RoPA คืออะไร แล้วทำไมเราต้องทำ ?

RoPA เป็นเหมือนการจดบันทึกที่บอกว่าแผนกไหนในองค์กรทำอะไรบ้าง ทำด้วยวัตถุประสงค์อะไร และอยู่บนฐานกฎหมายข้อไหนที่อนุญาตให้ทำ จุดประสงค์หลักในการจดบันทึกคือ เพื่อหากเกิดการละเมิดข้อมูลส่วนบุคคลขึ้นองค์กรจะสามารถตรวจสอบกระบวนการจัดการได้อย่างรวดเร็วตามกฎหมาย PDPA นอกจากนี้การบันทึก RoPA เราสามารถใช้ RoPA เป็นเสมือน Checklist ไว้ให้ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)” และ “ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)” ได้เขียน และทบทวนกิจกรรมที่ทำอยู่นั้นมีการใช้ข้อมูลส่วนบุคคลหรือไม่ ที่มาขอข้อมูลถูกกฎหมายหรือไม่ สามารถวิเคราะห์ได้ฐานอะไร และใครเป็น Data Controller หรือ Data Processor ของกิจกรรมนี้ ดังนั้นหากมีการจดบันทึกข้อมูล RoPA อย่างละเอียด จะยิ่งลดความผิดพลาดในการละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคล


 

กฎหมายกำหนดให้ผู้ควบคุมข้อมูลทำ RoPA โดยให้มีรายละเอียดขั้นต่ำตามมาตรา 39

กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกรายการ อย่างน้อยดังต่อไปนี้ เพื่อให้เจ้าของ

ข้อมูลส่วนบุคคลและสำนักงานสามารถตรวจสอบได้ โดยจะบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์

  • ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม
  • วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภท
  • ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล
  • ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล
  • สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล รวมทั้งเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลและเงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคลนั้น
  • การใช้ หรือเปิดเผยตามมาตรา 27 วรรคสาม
  • การปฏิเสธคำขอหรือการคัดค้านตามมาตรา 30 วรรคสาม มาตรา 30 วรรคสามมาตรา 32 วรรคสาม และมาตรา 36 วรรคหนึ่ง
  • คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยตามมาตรา 37

 

กฎหมายกำหนดให้ผู้ประมวลผลข้อมูลทำ RoPA โดยให้มีรายละเอียดขั้นต่ำตามมาตรา 40

โดยให้มีรายละเอียดตามประกาศประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการจัดทำและเก็บรักษาบันทึกรายการ ของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล  พ.ศ.  2565

  • ชื่อและข้อมูลเกี่ยวกับผู้ประมวลผลข้อมูลส่วนบุคคล และตัวแทนของผู้ประมวลผลข้อมูลส่วนบุคคลในกรณีที่มีการแต่งตั้งตัวแทน
  • ชื่อและข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคลที่ผู้ประมวลผลข้อมูลส่วนบุคคลดำเนินการตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคลนั้น และตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคลในกรณีที่มีการแต่งตั้งตัวแทน
  • ชื่อและข้อมูลเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล รวมถึงสถานที่ติดต่อและวิธีการติดต่อ ในกรณีที่ผู้ประมวลผลข้อมูลส่วนบุคคลจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
  • ประเภทหรือลักษณะของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ผู้ประมวลผลข้อมูลส่วนบุคคลดำเนินการตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งรวมถึง ข้อมูลส่วนบุคคลและวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามที่ได้รับมอบหมายจากผู้ควบคุมข้อมูลส่วนบุคคล
  • ประเภทของบุคคลหรือหน่วยงานที่ได้รับข้อมูลส่วนบุคคล ในกรณีที่มีการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
  • คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยตามมาตรา 40 วรรคหนึ่ง

 

จากที่กล่าวมา การปฏิบัติตาม PDPA เป็นสิ่งที่องค์กรควรทำ ซึ่งหากบางข้อที่ไม่สามารถปฏิบัติได้ หรือมีความสงสัยในเรื่องของการจดบันทึกกิจกรรม RoPA  การขอคำปรึกษาจากหน่วยงานที่มีความรู้และความเชี่ยวชาญเฉพาะ ก็เป็นอีกตัวเลือกหนึ่งที่ดี PDPA Thailand  เราคือผู้บริการให้คำปรึกษา สอบทาน ฝึกอบรม ทดสอบ เพื่อบริหารความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคลภายใต้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA   ซึ่งเรามีบริการ PDPA Consulting เป็นบริการให้คำปรึกษาด้านการจัดการข้อมูลส่วนบุคคล ที่ให้คำปรึกษาการจัดทำนโยบาย และการบริหารจัดการองค์กร เพื่อให้สามารถปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้ หากองค์กรใดสนใจสามารถสอบถามหรือดูข้อมูลเพิ่มเติมได้ที่ https://pdpa.online.th/

 .

 

อ้างอิง :

  • ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการจัดทำและเก็บรักษาบันทึกรายการ ของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล พ.ศ. 2565
  • พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562.


Visitors: 1,393,180