]

t-reg PDPA Platform

Record Of Processing

RoP Records of Processing Activity คืออะไร การบันทึกรายการประมวลผลข้อมูลส่วนบุคคลจำเป็นไหมใน PDPA

เนื้อหาในบทความ

สำหรับหลากหลายองค์กรน่าจะเริ่มตื่นตัวกันมากหากพูดถึง PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล เพราะกฎหมายนี้เกี่ยวข้องกับองค์กรโดยตรง ไม่ว่าจะเป็นองค์กรของภาคเอกชน รัฐบาล หรือรัฐวิสาหกิจ เนื่องจากข้อมูลส่วนบุคคลมีอยู่ทุกที่แค่ในองค์กรมีชื่อกับนามสกุลแม้แต่ของบุคลากรในบริษัทก็ถือว่ามีข้อมูลส่วนบุคคลให้คุ้มครองแล้ว

ถ้าดูหลักของกฎหมาย PDPA แล้วกฎหมายนี้เกี่ยวข้องกับ “การดำเนินการเก็บข้อมูลส่วนบุคคลให้คุ้มครองเจ้าของข้อมูล” ซึ่งถ้าดูดี ๆ แล้วจะพบว่าการดำเนินการดังกล่าวเป็นหนึ่งในกระบวนการของ PDPA ซึ่งก็คือ Record Of Processing (RoP) หรือบันทึกการประมวลผลข้อมูลส่วนบุคคล คำถามต่อไปจึงมีอยู่ว่า ทำอย่างไรถึงจะตอบโจทย์ PDPA ได้กับภาคองค์กรธุรกิจ

การประกอบธุรกิจกับการนำข้อมูลส่วนบุคคลไปใช้

ในส่วนของการดำเนินธุรกิจทั้งภายในประเทศและต่างประเทศ ข้อมูลส่วนบุคคลถือเป็นเครื่องมือที่สำคัญในการใช้ประโยชน์กับธุรกิจ บางครั้งก็สามารถพูดได้ว่าองค์กรธุรกิจใดมีจำนวนข้อมูลส่วนบุคคลที่มีจำนวนมากก็เปรียบเสมือนมีขุมทรัพย์มหาศาลอยู่ในมือ

แต่เพราะยุคสมัยที่เปลี่ยนไปอย่างรวดเร็ว โดยเฉพาะอย่างยิ่งในทางด้านสังคม และด้านเทคโนโลยี มีการใช้ข้อมูลหลากหลายวัตถุประสงค์ด้วยกันจนทำให้เกิดข้อพิพาท ด้วยสาเหตุนี้เององค์กรภาคธุรกิจทั้งในประเทศและต่างประเทศจึงเริ่มตระหนักและให้ความสำคัญต่อข้อมูลส่วนบุคคล ภาครัฐก็เริ่มเล็งเห็นว่าการคุ้มครองข้อมูลส่วนบุคคลของบุคคลธรรมดาในฐานะเจ้าของข้อมูลมีความสำคัญและจำเป็นต้องออกกฎหมายเพื่อคุ้มครองข้อมูลส่วนบุคคลของประชากรทุกคน

แต่กฎหมายคุ้มครองข้อมูลส่วนบุคคลไม่ได้มีขึ้นพร้อมกันเป็นสากล บางภาคพื้นที่มีการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลมาระยะหนึ่งแล้วดังที่เห็นในข่าวว่าฝั่งยุโรป (EU) บังคับใช้เป็นกฎหมายที่เราเรียกว่า GDPR ก่อนที่อื่นจะเริ่มตระหนักและบังคับใช้ในรูปแบบของกฎหมายต่างกันไป

และก็คงไม่พูดถึงประเทศไทยของเราไม่ได้ เพราะอีกไม่นานเราจะเริ่มบังคับใช้กฎหมายนี้แล้วในวันที่ 1 มิ.ย. 2565 ในช่วงระยะเวลาการเตรียมความพร้อมขององค์กรก่อนที่กฎหมายจะบังคับใช้ องค์กรต่าง ๆ ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ซึ่งมีอำนาจหน้าที่ในการจัดเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล ได้เวลาที่ต้องเริ่มดำเนินการทำ RoP โดยต้องมีการเริ่มบันทึกทุกกิจกรรมที่นำข้อมูลส่วนบุคคลไปใช้ ไม่ว่า Data นั้นจะเป็นภายนอกหรือภายในขององค์กร ไม่ว่าเพื่อประโยชน์การดำเนินธุรกิจขององค์กร เช่น ข้อมูลลูกค้าคู่ค้าหรือบุคคลอื่นหรือไม่กระทั่งภายในองค์กร เช่น พนักงานกรรมการก็ล้วนเป็นเจ้าของข้อมูลสมควรทั้งสิ้น


ขั้นตอนการทำ RoP Records of Processing Activity (บันทึกรายการประมวลผลข้อมูลส่วนบุคคล)

สำหรับ RoP นั้น แต่ละองค์กรสามารถดำเนินการได้ในทั้งรูปแบบของเอกสาร หรือรูปแบบดิจิทัล เพื่อมาจัดทำบันทึกรายการประมวลผลข้อมูลส่วนบุคคล แต่รายละเอียดสำคัญ ๆ ที่จำเป็นต้องระบุใน RoP มีดังต่อไปนี้

ขั้นตอนการทำ ROP
  1. สำรวจข้อมูลส่วนบุคคล ในส่วนของข้อมูลส่วนบุคคลที่องค์กรมีการจัดเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลของข้อมูลส่วนบุคคล หรือว่าเราเรียกว่า Data Recording ทั้งที่เป็นในส่วนของข้อมูลทั่วไปข้อมูลอ่อนไหวเรามีการจัดเก็บข้อมูลอะไรบ้าง เช่น ชื่อ ที่อยู่ อีเมล หมายเลขโทรศัพท์ หรือข้อมูลอ่อนไหว อาทิเช่น ข้อมูลสุขภาพ ศาสนา ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ พฤติกรรมทางเพศ ประวัติอาชญากรรม เป็นต้น
  2. วัตถุประสงค์ ของการจัดเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลองค์กรของท่านมีการนำบันทึกวัตถุประสงค์ในการรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลเพื่ออะไรบ้างในทางกฎหมายได้ในการใช้หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าวภายในองค์กร
  3. ระยะเวลาการจัดเก็บหรือรักษาข้อมูลส่วนบุคคล มีการดำเนินการเพื่อจัดเก็บดูแลรักษาในแต่ละกิจกรรมเท่าไหร่และใช้หลักเกณฑ์วิธีการหรือเงื่อนไขตามกฏหมายหรือระเบียบใดเป็นเกณฑ์ในการจัดเก็บ เนื่องจากระยะเวลาการจัดเก็บมีความจำเป็นอย่างยิ่งหากไม่มีความจำเป็นในการจัดเก็บหรือรักษาข้อมูลส่วนบุคคลดังกล่าวแล้วกฎหมายกำหนดให้ทำลายในส่วนของข้อมูลส่วนบุคคลที่ไม่จำเป็นทันที
  4. แหล่งที่มาของข้อมูลการจัดเก็บข้อมูลส่วนบุคคลไม่ว่าจะเป็นในส่วนของบุคคลภายนอกหรือบุคคลภายในการได้มาซึ่งข้อมูลสมควรดังกล่าว อาทิเช่น ได้มาจากเจ้าของข้อมูลส่วนบุคคลโดยตรง หรือมีการส่งต่อข้อมูลส่วนบุคคลจากบุคคลอีกคนหนึ่งมายังหน่วยงานในฐานะผู้ควบคุมข้อมูลส่วนบุคคล หรือ Data Controller
  5. มีการส่งต่อหรือเปิดเผยข้อมูลส่วนบุคคลหรือไม่ และปลายทางมีมาตรการคุ้มครองข้อมูลส่วนบุคคลหรือไม่ ในส่วนนี้การส่งต่อ หรือ เปิดเผยข้อมูลส่วนบุคคลไปยังปลายทางซึ่งเป็นผู้รับข้อมูลส่วนบุคคลหรือเรียกว่าผู้ประมวลผลข้อมูลส่วนบุคคล ดังนั้นจึงจำเป็นต้องมีกระบวนการวิธีการที่มารองรับเพื่อคุ้มครองความปลอดภัยข้อมูลส่วนบุคคลที่เรานำส่งไป ทั้งการทำบันทึกข้อตกลงการประมวลผลข้อมูลบุคคลหรือเราต้องดูว่าในส่วนของ ประเทศปลายทางที่รับข้อมูลส่วนบุคคลจากเราไปมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลหรือกฎหมายที่รองรับเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลหรือไม่เพื่อเป็นการป้องกันและคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่เรามีหน้าที่คุ้มครองข้อมูลส่วนบุคคลดังกล่าว

กรอบในการประมวลผลข้อมูลส่วนบุคคล

แล้วถ้าต้องพูดถึงหลักในการเก็บข้อมูลส่วนบุคคลที่สำคัญเช่นนี้ก็คงต้องพูดถึงกรอบในการคุ้มครองข้อมูลส่วนบุคคลตาม Guidelines Governing the Protection of Privacy and Transborder Data Flows of Personal Data ของ The Organization for Economic Cooperation and Development (OECD) ได้วางหลักพื้นฐานของข้อมูลส่วนบุคคลที่องค์กรนำมาประมวลผลควรอยู่ใน 8 ประการ ดังต่อไปนี้

  1. หลักข้อจำกัดในการจัดเก็บ : ในการดำเนินการจัดเก็บข้อมูลส่วนบุคคลในองค์กรต้องชอบด้วยกฎหมายและใช้วิธีการจัดเก็บที่เป็นธรรมและเหมาะสมเจ้าของข้อมูลทุกคนต้องรู้และได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อน
  2. หลักคุณภาพ : ในการดำเนินการจัดเก็บข้อมูลส่วนบุคคลจะต้องเกี่ยวข้องกับวัตถุประสงค์ที่กำหนดขึ้นมาจะนำไปใช้เพื่อประโยชน์อะไรและเป็นไปตามอำนาจหน้าที่และวัตถุประสงค์ในการดำเนินการตามกฏหมายกำหนดนอกจากนั้นข้อมูลส่วนบุคคลดังกล่าวจะต้องมีความถูกต้องสมบูรณ์ทำให้เป็นปัจจุบันหรือทันสมัยอยู่เสมอ
  3. หลักการกำหนดวัตถุประสงค์ : กล่าวคือในการดำเนินการจัดเก็บข้อมูลส่วนบุคคลต้องกำหนดวัตถุประสงค์ในการจัดเก็บข้อมูลทุกคนเพื่ออะไรกำหนดระยะเวลาการจะคิดเท่าไหร่
  4. หลักข้อจำกัดในการนำไปใช้ : จะต้องไม่มีการเปิดเผยหรือปรากฏในลักษณะอื่นที่นอกเหนือจากวัตถุประสงค์
  5. หลักการรักษาความมั่นคงปลอดภัย : ในการดำเนินการจัดเก็บข้อมูลควรจะต้องมีมาตรฐานในการจัดเก็บความมั่นคงปลอดภัยที่เหมาะสม กับข้อมูลส่วนบุคคล
  6. หลักการเปิดเผยข้อมูล : ในการดำเนินการเปิดเผยข้อมูลไปยังบุคคลควรมีประกาศมาให้ทราบโดยทั่วกันหากมีการปรับปรุงแก้ไขหรือพัฒนาแนวนโยบายหรือแนวปฏิบัติที่เกี่ยวกับข้อมูลสุคนควรเปิดเผยหรือประกาศไว้ให้ชัดเจนรวมทั้งให้ข้อมูลใดๆ ที่สามารถระบุเกี่ยวกับงานของรัฐผู้ให้บริการรวมทั้งที่อยู่ของผู้ควบคุมข้อมูลส่วนบุคคลด้วย
  7. หลักการมีส่วนร่วมของบุคคล : ในการดำเนินการเก็บรวบรวมข้อมูลส่วนบุคคลต้องให้บุคคลซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลได้รับแจ้งยืนยันจากหน่วยงานภาครัฐที่เกี่ยวกับรวบรวมหรือจัดเก็บข้อมูลทุกคนดังกล่าวหรือไม่ภายในระยะเวลาที่เหมาะสม
  8. หลักความรับผิดชอบ : ในการดำเนินการเก็บข้อมูลส่วนบุคคลองค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคลต้องปฏิบัติตามนโยบายและแนวทางการปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล

การบันทึกรายการประมวลผลข้อมูลส่วนบุคคล (Records of Processing Activity: RoP) จึงเป็นเครื่องมือสำคัญเครื่องมือหนึ่งในการขับเคลื่อนขององค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคล ทำให้องค์กร มีการปฏิบัติตามกฎหมาย PDPA และมีการบริหารจัดการข้อมูลส่วนบุคคลในมืออย่างมีรูปแบบ และกระบวนการ รวมถึงขั้นตอนที่ชัดเจน เพื่อรองรับในกรณีที่มีการรั่วไหลของข้อมูลส่วนบุคคลของในองค์กรอย่างมีประสิทธิภาพ

FREE EVENT

ร่วมฟังแนวทางการยกระดับการบริหารจัดการข้อมูลส่วนบุคคลสำหรับองค์กรที่มี Data Subject จำนวนมาก เพื่อเพิ่มความน่าเชื่อถือให้กับองค์กร ด้วยไกด์ไลน์การทำ ROPA ที่เป็นหัวใจสำคัญในการสำเร็จกระบวนการ PDPA ควบคู่กับ Digital Transformation และแบ่งปันข้อมูลเชิงลึก โดยผู้เชี่ยวชาญที่มีประสบการณ์ให้คำปรึกษาด้านกระบวนการ PDPA สำเร็จแล้วกว่า 60 องค์กร และได้รับ Certificate จากสถาบันดิจิตัล (DCT) และมาตรฐานสากล ICDL หลักสูตร Personal Data Protection

RELATED POST
digital transformation roadmap
t-reg knowledge

Digital Transformation Roadmap แผนสำคัญที่องค์กรต้องรู้ก่อนทำ Digital Transformation

จากบทความก่อนหน้าที่พูดถึงเทรนด์ PDPA Thailand พร้อมความเคลื่อนไหวที่เกิดขึ้นในแวดวงธุรกิจ และทำความเข้าใจเรื่อง Digital Transformation ในเบื้องต้น

อ่านต่อ »
understand PDPA in 5 Min
t-reg knowledge

เข้าใจ PDPA ใน 5 นาที : สรุปทุกอย่างที่องค์กรจำเป็นต้องรู้

PDPA : Personal Data Protection Act หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล บังคับใช้อย่างจริงจังในวันที่ 1 มิถุนายน พ.ศ. 2564 ที่จะถึงนี้ เราขอสรุปแบบเข้าได้ง่ายๆ ใน 5 นาที

อ่านต่อ »
PDPA ต้องเก็บ Log
t-reg knowledge

PDPA ต้องเก็บ Log Fle ด้วยหรอ?

หลาย ๆ ท่านอาจจะบอกว่าที่ต้องเก็บ Log นั่นมัน พ.ร.บ. คอมพิวเตอร์ต่างหาก ไม่ใช่ PDPA ซะหน่อย ?
นั่นก็ถูกครึ่งนึงครับที่ว่ากฎหมายที่กำหนดให้เราเก็บ Log จริง ๆ นั่นคือ

อ่านต่อ »
audit
t-reg knowledge

เริ่ม Audit อย่างมีประสิทธิภาพ เข้มข้น ครอบคลุมทุกส่วนงาน สำเร็จการ Audit ใน 26 วันกับ t-reg

การทำ Audit ในองค์กรเป็นกิจกรรมที่ไม่ได้เกิดขึ้นบ่อยครั้ง ทว่าทุกครั้งที่มีการตรวจสอบการดำเนินการในองค์กร มักชี้ให้เห็นถึงจุดบอด จุดอ่อน และความผิดพลาดของกระบวนการบางขั้นตอนในองค์กรได้เป็นอย่างดี ขณะเดียวกันการละเลยการตรวจสอบเป็นเวลานาน

อ่านต่อ »

ส่งต่อบทความดีๆ ได้ที่นี่