ROPA กับ PDPA เกี่ยวข้องกันอย่างไร องค์กรควรต้องทำอะไรบ้าง

ROPA กับ PDPA เกี่ยวข้องกันอย่างไร องค์กรควรต้องทำอะไรบ้าง ?

Data, Growth Zone / By / เมษายน 10, 2024

จากบทความก่อนหน้า DOs & DON’Ts 8 ข้อ ที่องค์กรห้ามพลาดให้ถูกต้องตามหลัก PDPA นอกจากจะทำให้เรารู้จัก PDPA มากขึ้นแล้ว ในบทความนี้เราจะกล่าวถึงเอกสารและแผนการดำเนินงานที่ถูกต้อง ซึ่งองค์กรที่อยู่ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล และองค์กรที่อยู่ในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล ต้องจัดทำบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Records of Processing Activity : ROPA)

ROPA คืออะไร

ROPA คืออะไร​ ? 

การบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล ว่าองค์กรนั้นมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลใดบ้างใเพื่อวัตถุประสงค์อะไร และอ้างอิงฐานทางกฎหมายใดบ้างในการประมวลผลดังกล่าว ทั้งนี้ การจัดทำ ROPA ก็มีขึ้นเพื่อให้ง่ายต่อการตรวจสอบเมื่อมีการละเมิดข้อมูลส่วนบุคคล และเป็นสิ่งที่ละเลยไม่ได้ เนื่องจาก ROPA เป็นหนึ่งในข้อกำหนดของกฎหมาย PDPA ที่ทุกองค์กรต้องปฏิบัติตาม หากเข้าเงื่อนไขที่กฎหมายกำหนด  มิฉะนั้น อาจจะถือว่าองค์กรนั้นไม่ปฏิบัติตามกฎหมาย และมีความเสี่ยงในการโดนโทษทางกฎหมายตามมานั่นเอง

ใครที่ต้องจัดทำ ROPA บ้าง

บทบาทใดที่ต้องจัดทำ ROPA บ้าง

ในการจัดทำบันทึกรายการกิจกรรมการประมวลผลนั้น บทบาทที่สำคัญตามกฎหมาย PDPA มีอยู่ 2 บทบาทด้วยกัน ได้แก่

  1. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคล หรือนิติบุคคล ซึ่งมีอำนาจหน้าที่ในการตัดสินใจ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
  2. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคล หรือ นิติบุคคล ซึ่งดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผย ตามคำสั่ง หรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล

โดยแต่ละบทบาทนั้น แม้ว่าจะต้องจัดทำ ROPA เช่นเดียวกัน แต่ก็มีรายละเอียดปลีกย่อยที่ต้องทำต่างกัน เนื่องจากหน้าที่และความรับผิดชอบในการดูแลข้อมูลส่วนบุคคลแตกต่างกันตามที่ PDPA กำหนด

กฎหมายกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลทำ ROPA

ตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ได้กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคล บันทึกรายการเป็นหนังสือหรือระบบอิเล็กทรอนิกส์  เพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานสามารถตรวจสอบได้ โดยจะต้องบันทึกรายการอย่างน้อยดังต่อไปนี้

  1. ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม
  2. วัตถุประสงค์ของการเก็บข้อมูลส่วนบุคคลแต่ละประเภท
  3. ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล
  4. ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล
  5. สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล รวมถึงเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลและเงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคลนั้นๆ
  6. การใช้หรือการเปิดเผยข้อมูลส่วนบุคคลที่ได้รับการยกเว้นไม่ต้องขอความยินยอม
  7. การปฏิเสธคำขอหรือการคัดค้านเกี่ยวกับสิทธิของเจ้าของข้อมูลส่วนบุคคล 
  8. คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัย

กฎหมายกำหนดให้ผู้ประมวลผลข้อมูลส่วนบุคคลทำ ROPA 

ผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้ โดยให้มีรายละเอียดตามประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่องหลักเกณฑ์และวิธีการในการจัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล พ.ศ. 2565 ซึ่งต้องมีรายละเอียดอย่างน้อย ดังต่อไปนี้

  1. ชื่อและข้อมูลเกี่ยวกับผู้ประมวลผลข้อมูลส่วนบุคคล (และตัวแทนของผู้ประมวลผลข้อมูลส่วนบุคคลในกรณีที่มีการแต่งตั้งตัวแทน)
  2. ชื่อและข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล ที่ผู้ประมวลผลข้อมูลส่วนบุคคลดำเนินการตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคลนั้น (และตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคลในกรณีที่มีการแต่งตั้งตัวแทน)
  3. ชื่อและข้อมูลเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล รวมถึงสถานที่และวิธีการติดต่อในกรณีที่ผู้ประมวลผลข้อมูลส่วนบุคคลจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล 
  4. ประเภทหรือลักษณะของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ผู้ประมวลผลข้อมูลส่วนบุคคลดำเนินการตามคำสั่ง หรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งรวมถึงข้อมูลส่วนบุคคลและวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามที่ได้รับมอบหมายจากผู้ควบคุมข้อมูลส่วนบุคคล 
  5. ประเภทของบุคคลหรือหน่วยงานที่ได้รับข้อมูลส่วนบุคคล ในกรณีที่มีการส่ง หรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
  6. คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัย

หลังจากที่ได้อ่านกันจนจบแล้ว เราหวังว่าทุกคนจะเข้าใจ PDPA และ ROPA มากขึ้น และลดความเสี่ยงที่จะมีการดำเนินการใดๆที่อาจจะขัดต่อกฎหมาย หรือไม่เป็นไปตาม PDPA และเรายังมี Services เกี่ยวกับ PDPA อีก ได้แก่

  1. PDPA Customized Document: การจัดทำและตรวจสอบเอกสารต่างๆ ที่เกี่ยวข้องกับ PDPA ทั้งภาษาไทย และภาษาอังกฤษ
  2. PDPA Awareness Training: การจัดฝึกอบรมให้กับพนักงานและบุคลากรภายในบริษัทของท่าน ทั้งภาษาไทยและภาษาอังกฤษ พร้อมใบรับรองการอบรมหลักสูตร Certified by Predictive
  3. PDPA Consultation: ให้คำปรึกษาด้านกฎหมาย PDPA เพื่อให้องค์กรของท่านปรับเปลี่ยนกระบวนการภายในให้สอดคล้องตามที่กฎหมายกำหนด

ซึ่งทั้ง 3 Services นี้ ดำเนินการโดยทีมนักกฎหมายที่เชี่ยวชาญด้าน PDPA และได้รับการรับรองเป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) จากองค์กรชั้นนำในประเทศ หากใครมีข้อสงสัย สามารถติดต่อ Predictive ได้เลย และเรายินดีให้คำปรึกษาเบื้องต้นโดยไม่มีค่าใช้จ่าย

ติดต่อ Predictive