RoPA (Records of Processing Activities) คืออะไร

ROPA คือ การบันทึกกิจกรรมการประมวลผลขององค์กรที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ตามมาตรา 39 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยจะต้องอยู่ในแบบข้อความที่เป็นลายลักษณ์อักษรหรืออิเล็กทรอนิกส์

ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดทำและเก็บรักษาบันทึกรายการกิจกรรมประมวลผลข้อมูลส่วนบุคคลของแต่ละประเภทกิจกรรมไว้ โดยมีรายละเอียดอย่างน้อยดังต่อไปนี้

1.ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวมโดยให้มีคำอธิบายประเภทเจ้าของข้อมูลส่วนบุคคล และประเภทของข้อมูลส่วนบุคคลด้วย
2. วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภท
3. ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคลตัวแทนและเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (ถ้ามี) รวมถึงช่องทางการติดต่อ
4. ระยะเวลาในการเก็บรักษาและการลบข้อมูลส่วนบุคคลประเภทต่างๆ
5. สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคลรวมทั้งเงื่อนไขเกี่ยวกับการขอใช้สิทธิเข้าถึงข้อมูลส่วนบุคคลนั้น
6. การใช้หรือเปิดเผยข้อมูลที่ได้รับยกเว้นไม่ต้องขอความยินยอม
7. การปฏิเสธคำขอหรือการคัดค้านตามมาตรา 30 วรรคสาม มาตรา 31 วรรคสาม มาตรา 32 วรรคสาม มาตรา 36 วรรคหนึ่ง
8. อธิบายเกี่ยวกับมาตรการในการรักษาความมั่นคงปลอดภัยตามมาตรา 37 (1)

ผู้ควบคุมข้อมูลส่วนบุคคลใดไม่ปฏิบัติตาม ต้องระวางโทษปรับทางปกครองไม่เกินหนึ่งล้านบาท ตามมาตรา 82
บันทึกรายการดังกล่าวต้องจัดทำเป็นลายลักษณ์อักษรอาจจัดให้อยู่ในรูปแบบหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้ โดยต้องทำให้สามารถเข้าถึงได้ง่าย และเมื่อมีการร้องขอ ผู้ควบคุมข้อมูลส่วนบุคคลต้องสามารถแสดงให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตรวจสอบได้

ที่มา : https://muic.mahidol.ac.th/thai/ropa-records-of-processing-activities/