RoP Records of Processing Activity คืออะไร การบันทึกรายการประมวลผลข้อมูลส่วนบุคคลจำเป็นไหมใน PDPA

สำหรับหลากหลายองค์กรน่าจะเริ่มตื่นตัวกันมากหากพูดถึง PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล เพราะกฎหมายนี้เกี่ยวข้องกับองค์กรโดยตรง ไม่ว่าจะเป็นองค์กรของภาคเอกชน รัฐบาล หรือรัฐวิสาหกิจ เนื่องจากข้อมูลส่วนบุคคลมีอยู่ทุกที่แค่ในองค์กรมีชื่อกับนามสกุลแม้แต่ของบุคลากรในบริษัทก็ถือว่ามีข้อมูลส่วนบุคคลให้คุ้มครองแล้ว

ถ้าดูหลักของกฎหมาย PDPA แล้วกฎหมายนี้เกี่ยวข้องกับ “การดำเนินการเก็บข้อมูลส่วนบุคคลให้คุ้มครองเจ้าของข้อมูล” ซึ่งถ้าดูดี ๆ แล้วจะพบว่าการดำเนินการดังกล่าวเป็นหนึ่งในกระบวนการของ PDPA ซึ่งก็คือ Record Of Processing (RoP) หรือบันทึกการประมวลผลข้อมูลส่วนบุคคล คำถามต่อไปจึงมีอยู่ว่า ทำอย่างไรถึงจะตอบโจทย์ PDPA ได้กับภาคองค์กรธุรกิจ

การประกอบธุรกิจกับการนำข้อมูลส่วนบุคคลไปใช้

ในส่วนของการดำเนินธุรกิจทั้งภายในประเทศและต่างประเทศ ข้อมูลส่วนบุคคลถือเป็นเครื่องมือที่สำคัญในการใช้ประโยชน์กับธุรกิจ บางครั้งก็สามารถพูดได้ว่าองค์กรธุรกิจใดมีจำนวนข้อมูลส่วนบุคคลที่มีจำนวนมากก็เปรียบเสมือนมีขุมทรัพย์มหาศาลอยู่ในมือ

แต่เพราะยุคสมัยที่เปลี่ยนไปอย่างรวดเร็ว โดยเฉพาะอย่างยิ่งในทางด้านสังคม และด้านเทคโนโลยี มีการใช้ข้อมูลหลากหลายวัตถุประสงค์ด้วยกันจนทำให้เกิดข้อพิพาท ด้วยสาเหตุนี้เององค์กรภาคธุรกิจทั้งในประเทศและต่างประเทศจึงเริ่มตระหนักและให้ความสำคัญต่อข้อมูลส่วนบุคคล ภาครัฐก็เริ่มเล็งเห็นว่าการคุ้มครองข้อมูลส่วนบุคคลของบุคคลธรรมดาในฐานะเจ้าของข้อมูลมีความสำคัญและจำเป็นต้องออกกฎหมายเพื่อคุ้มครองข้อมูลส่วนบุคคลของประชากรทุกคน

แต่กฎหมายคุ้มครองข้อมูลส่วนบุคคลไม่ได้มีขึ้นพร้อมกันเป็นสากล บางภาคพื้นที่มีการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลมาระยะหนึ่งแล้วดังที่เห็นในข่าวว่าฝั่งยุโรป (EU) บังคับใช้เป็นกฎหมายที่เราเรียกว่า GDPR ก่อนที่อื่นจะเริ่มตระหนักและบังคับใช้ในรูปแบบของกฎหมายต่างกันไป

และก็คงไม่พูดถึงประเทศไทยของเราไม่ได้ เพราะอีกไม่นานเราจะเริ่มบังคับใช้กฎหมายนี้แล้วในวันที่ 1 มิ.ย. 2565 ในช่วงระยะเวลาการเตรียมความพร้อมขององค์กรก่อนที่กฎหมายจะบังคับใช้ องค์กรต่าง ๆ ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ซึ่งมีอำนาจหน้าที่ในการจัดเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล ได้เวลาที่ต้องเริ่มดำเนินการทำ RoP โดยต้องมีการเริ่มบันทึกทุกกิจกรรมที่นำข้อมูลส่วนบุคคลไปใช้ ไม่ว่า Data นั้นจะเป็นภายนอกหรือภายในขององค์กร ไม่ว่าเพื่อประโยชน์การดำเนินธุรกิจขององค์กร เช่น ข้อมูลลูกค้าคู่ค้าหรือบุคคลอื่นหรือไม่กระทั่งภายในองค์กร เช่น พนักงานกรรมการก็ล้วนเป็นเจ้าของข้อมูลสมควรทั้งสิ้น

---

ขั้นตอนการทำ RoP Records of Processing Activity (บันทึกรายการประมวลผลข้อมูลส่วนบุคคล)

สำหรับ RoP นั้น แต่ละองค์กรสามารถดำเนินการได้ในทั้งรูปแบบของเอกสาร หรือรูปแบบดิจิทัล เพื่อมาจัดทำบันทึกรายการประมวลผลข้อมูลส่วนบุคคล แต่รายละเอียดสำคัญ ๆ ที่จำเป็นต้องระบุใน RoP มีดังต่อไปนี้

1. สำรวจข้อมูลส่วนบุคคล ในส่วนของข้อมูลส่วนบุคคลที่องค์กรมีการจัดเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลของข้อมูลส่วนบุคคล หรือว่าเราเรียกว่า Data Recording ทั้งที่เป็นในส่วนของข้อมูลทั่วไปข้อมูลอ่อนไหวเรามีการจัดเก็บข้อมูลอะไรบ้าง เช่น ชื่อ ที่อยู่ อีเมล หมายเลขโทรศัพท์ หรือข้อมูลอ่อนไหว อาทิเช่น ข้อมูลสุขภาพ ศาสนา ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ พฤติกรรมทางเพศ ประวัติอาชญากรรม เป็นต้น
2. วัตถุประสงค์ ของการจัดเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลองค์กรของท่านมีการนำบันทึกวัตถุประสงค์ในการรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลเพื่ออะไรบ้างในทางกฎหมายได้ในการใช้หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าวภายในองค์กร
3. ระยะเวลาการจัดเก็บหรือรักษาข้อมูลส่วนบุคคล มีการดำเนินการเพื่อจัดเก็บดูแลรักษาในแต่ละกิจกรรมเท่าไหร่และใช้หลักเกณฑ์วิธีการหรือเงื่อนไขตามกฏหมายหรือระเบียบใดเป็นเกณฑ์ในการจัดเก็บ เนื่องจากระยะเวลาการจัดเก็บมีความจำเป็นอย่างยิ่งหากไม่มีความจำเป็นในการจัดเก็บหรือรักษาข้อมูลส่วนบุคคลดังกล่าวแล้วกฎหมายกำหนดให้ทำลายในส่วนของข้อมูลส่วนบุคคลที่ไม่จำเป็นทันที
4. แหล่งที่มาของข้อมูลการจัดเก็บข้อมูลส่วนบุคคลไม่ว่าจะเป็นในส่วนของบุคคลภายนอกหรือบุคคลภายในการได้มาซึ่งข้อมูลสมควรดังกล่าว อาทิเช่น ได้มาจากเจ้าของข้อมูลส่วนบุคคลโดยตรง หรือมีการส่งต่อข้อมูลส่วนบุคคลจากบุคคลอีกคนหนึ่งมายังหน่วยงานในฐานะผู้ควบคุมข้อมูลส่วนบุคคล หรือ Data Controller
5. มีการส่งต่อหรือเปิดเผยข้อมูลส่วนบุคคลหรือไม่ และปลายทางมีมาตรการคุ้มครองข้อมูลส่วนบุคคลหรือไม่ ในส่วนนี้การส่งต่อ หรือ เปิดเผยข้อมูลส่วนบุคคลไปยังปลายทางซึ่งเป็นผู้รับข้อมูลส่วนบุคคลหรือเรียกว่าผู้ประมวลผลข้อมูลส่วนบุคคล ดังนั้นจึงจำเป็นต้องมีกระบวนการวิธีการที่มารองรับเพื่อคุ้มครองความปลอดภัยข้อมูลส่วนบุคคลที่เรานำส่งไป ทั้งการทำบันทึกข้อตกลงการประมวลผลข้อมูลบุคคลหรือเราต้องดูว่าในส่วนของ ประเทศปลายทางที่รับข้อมูลส่วนบุคคลจากเราไปมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลหรือกฎหมายที่รองรับเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลหรือไม่เพื่อเป็นการป้องกันและคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่เรามีหน้าที่คุ้มครองข้อมูลส่วนบุคคลดังกล่าว

---

กรอบในการประมวลผลข้อมูลส่วนบุคคล

แล้วถ้าต้องพูดถึงหลักในการเก็บข้อมูลส่วนบุคคลที่สำคัญเช่นนี้ก็คงต้องพูดถึงกรอบในการคุ้มครองข้อมูลส่วนบุคคลตาม Guidelines Governing the Protection of Privacy and Transborder Data Flows of Personal Data ของ The Organization for Economic Cooperation and Development (OECD) ได้วางหลักพื้นฐานของข้อมูลส่วนบุคคลที่องค์กรนำมาประมวลผลควรอยู่ใน 8 ประการ ดังต่อไปนี้

1. หลักข้อจำกัดในการจัดเก็บ : ในการดำเนินการจัดเก็บข้อมูลส่วนบุคคลในองค์กรต้องชอบด้วยกฎหมายและใช้วิธีการจัดเก็บที่เป็นธรรมและเหมาะสมเจ้าของข้อมูลทุกคนต้องรู้และได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อน
2. หลักคุณภาพ : ในการดำเนินการจัดเก็บข้อมูลส่วนบุคคลจะต้องเกี่ยวข้องกับวัตถุประสงค์ที่กำหนดขึ้นมาจะนำไปใช้เพื่อประโยชน์อะไรและเป็นไปตามอำนาจหน้าที่และวัตถุประสงค์ในการดำเนินการตามกฏหมายกำหนดนอกจากนั้นข้อมูลส่วนบุคคลดังกล่าวจะต้องมีความถูกต้องสมบูรณ์ทำให้เป็นปัจจุบันหรือทันสมัยอยู่เสมอ
3. หลักการกำหนดวัตถุประสงค์ : กล่าวคือในการดำเนินการจัดเก็บข้อมูลส่วนบุคคลต้องกำหนดวัตถุประสงค์ในการจัดเก็บข้อมูลทุกคนเพื่ออะไรกำหนดระยะเวลาการจะคิดเท่าไหร่
4. หลักข้อจำกัดในการนำไปใช้ : จะต้องไม่มีการเปิดเผยหรือปรากฏในลักษณะอื่นที่นอกเหนือจากวัตถุประสงค์
5. หลักการรักษาความมั่นคงปลอดภัย : ในการดำเนินการจัดเก็บข้อมูลควรจะต้องมีมาตรฐานในการจัดเก็บความมั่นคงปลอดภัยที่เหมาะสม กับข้อมูลส่วนบุคคล
6. หลักการเปิดเผยข้อมูล : ในการดำเนินการเปิดเผยข้อมูลไปยังบุคคลควรมีประกาศมาให้ทราบโดยทั่วกันหากมีการปรับปรุงแก้ไขหรือพัฒนาแนวนโยบายหรือแนวปฏิบัติที่เกี่ยวกับข้อมูลสุคนควรเปิดเผยหรือประกาศไว้ให้ชัดเจนรวมทั้งให้ข้อมูลใดๆ ที่สามารถระบุเกี่ยวกับงานของรัฐผู้ให้บริการรวมทั้งที่อยู่ของผู้ควบคุมข้อมูลส่วนบุคคลด้วย
7. หลักการมีส่วนร่วมของบุคคล : ในการดำเนินการเก็บรวบรวมข้อมูลส่วนบุคคลต้องให้บุคคลซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลได้รับแจ้งยืนยันจากหน่วยงานภาครัฐที่เกี่ยวกับรวบรวมหรือจัดเก็บข้อมูลทุกคนดังกล่าวหรือไม่ภายในระยะเวลาที่เหมาะสม
8. หลักความรับผิดชอบ : ในการดำเนินการเก็บข้อมูลส่วนบุคคลองค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคลต้องปฏิบัติตามนโยบายและแนวทางการปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล

การบันทึกรายการประมวลผลข้อมูลส่วนบุคคล (Records of Processing Activity: RoP) จึงเป็นเครื่องมือสำคัญเครื่องมือหนึ่งในการขับเคลื่อนขององค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคล ทำให้องค์กร มีการปฏิบัติตามกฎหมาย PDPA และมีการบริหารจัดการข้อมูลส่วนบุคคลในมืออย่างมีรูปแบบ และกระบวนการ รวมถึงขั้นตอนที่ชัดเจน เพื่อรองรับในกรณีที่มีการรั่วไหลของข้อมูลส่วนบุคคลของในองค์กรอย่างมีประสิทธิภาพ