เรื่องน่ารู้ » ความรู้ PDPA#2 : RoPA (Record of Processing Activities) คืออะไร ใครต้องทำ?

kpnhospital.com โรงพยาบาลกรงปินัง ความรู้ PDPA#2 : RoPA (Record of Processing Activities) คืออะไร ใครต้องทำ?

13 ธันวาคม 2023
1 Star2 Stars3 Stars4 Stars5 Stars (1 votes, average: 5.00 out of 5)
482   0

RoPA คืออะไร แล้วทำไมเราต้องทำ ?
RoPA เป็นเหมือนการจดบันทึกที่บอกว่าแผนกไหนในองค์กรทำอะไรบ้าง ทำด้วยวัตถุประสงค์อะไร และอยู่บนฐานกฎหมายข้อไหนที่อนุญาตให้ทำ จุดประสงค์หลักในการจดบันทึกคือ เพื่อหากเกิดการละเมิดข้อมูลส่วนบุคคลขึ้นองค์กรจะสามารถตรวจสอบกระบวนการจัดการได้อย่างรวดเร็วตามกฎหมาย PDPA นอกจากนี้การบันทึก RoPA เราสามารถใช้ RoPA เป็นเสมือน Checklist ไว้ให้ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)” และ “ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)” ได้เขียน และทบทวนกิจกรรมที่ทำอยู่นั้นมีการใช้ข้อมูลส่วนบุคคลหรือไม่ ที่มาขอข้อมูลถูกกฎหมายหรือไม่ สามารถวิเคราะห์ได้ฐานอะไร และใครเป็น Data Controller หรือ Data Processor ของกิจกรรมนี้ ดังนั้นหากมีการจดบันทึกข้อมูล RoPA อย่างละเอียด จะยิ่งลดความผิดพลาดในการละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคล

 

กฎหมายกำหนดให้ผู้ควบคุมข้อมูลทำ RoPA โดยให้มีรายละเอียดขั้นต่ำตามมาตรา 39
กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกรายการ อย่างน้อยดังต่อไปนี้ เพื่อให้เจ้าของ

ข้อมูลส่วนบุคคลและสำนักงานสามารถตรวจสอบได้ โดยจะบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์

  • ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม
  • วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภท
  • ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล
  • ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล
  • สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล รวมทั้งเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลและเงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคลนั้น
  • การใช้ หรือเปิดเผยตามมาตรา 27 วรรคสาม
  • การปฏิเสธคำขอหรือการคัดค้านตามมาตรา 30 วรรคสาม มาตรา 30 วรรคสามมาตรา 32 วรรคสาม และมาตรา 36 วรรคหนึ่ง
  • คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยตามมาตรา 37

กฎหมายกำหนดให้ผู้ประมวลผลข้อมูลทำ RoPA โดยให้มีรายละเอียดขั้นต่ำตามมาตรา 40
โดยให้มีรายละเอียดตามประกาศประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการจัดทำและเก็บรักษาบันทึกรายการ ของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล พ.ศ. 2565

  • ชื่อและข้อมูลเกี่ยวกับผู้ประมวลผลข้อมูลส่วนบุคคล และตัวแทนของผู้ประมวลผลข้อมูลส่วนบุคคลในกรณีที่มีการแต่งตั้งตัวแทน
  • ชื่อและข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคลที่ผู้ประมวลผลข้อมูลส่วนบุคคลดำเนินการตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคลนั้น และตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคลในกรณีที่มีการแต่งตั้งตัวแทน
  • ชื่อและข้อมูลเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล รวมถึงสถานที่ติดต่อและวิธีการติดต่อ ในกรณีที่ผู้ประมวลผลข้อมูลส่วนบุคคลจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
  • ประเภทหรือลักษณะของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ผู้ประมวลผลข้อมูลส่วนบุคคลดำเนินการตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งรวมถึง ข้อมูลส่วนบุคคลและวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามที่ได้รับมอบหมายจากผู้ควบคุมข้อมูลส่วนบุคคล
  • ประเภทของบุคคลหรือหน่วยงานที่ได้รับข้อมูลส่วนบุคคล ในกรณีที่มีการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
    คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยตามมาตรา 40 วรรคหนึ่ง

จากที่กล่าวมา การปฏิบัติตาม PDPA เป็นสิ่งที่องค์กรควรทำ ซึ่งหากบางข้อที่ไม่สามารถปฏิบัติได้ หรือมีความสงสัยในเรื่องของการจดบันทึกกิจกรรม RoPA การขอคำปรึกษาจากหน่วยงานที่มีความรู้และความเชี่ยวชาญเฉพาะ ก็เป็นอีกตัวเลือกหนึ่งที่ดี PDPA Thailand เราคือผู้บริการให้คำปรึกษา สอบทาน ฝึกอบรม ทดสอบ เพื่อบริหารความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคลภายใต้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA ซึ่งเรามีบริการ PDPA Consulting เป็นบริการให้คำปรึกษาด้านการจัดการข้อมูลส่วนบุคคล ที่ให้คำปรึกษาการจัดทำนโยบาย และการบริหารจัดการองค์กร เพื่อให้สามารถปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้ หากองค์กรใดสนใจสามารถสอบถามหรือดูข้อมูลเพิ่มเติมได้ที่ https://pdpa.online.th/

.

อ้างอิง :

ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการจัดทำและเก็บรักษาบันทึกรายการ ของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล พ.ศ. 2565
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562.