fbpx

t-reg PDPA Platform

Record Of Processing

RoP Records of Processing Activity คืออะไร การบันทึกรายการประมวลผลข้อมูลส่วนบุคคลจำเป็นขนาดไหนใน PDPA

Share on facebook
Share on twitter
Share on linkedin
Share on facebook
Share on twitter
Share on linkedin

เนื้อหาในบทความ

สำหรับหลากหลายองค์กรน่าจะเริ่มตื่นตัวกันมากหากพูดถึง PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล เพราะกฎหมายนี้เกี่ยวข้องกับองค์กรโดยตรง ไม่ว่าจะเป็นองค์กรของภาคเอกชน รัฐบาล หรือรัฐวิสาหกิจ เนื่องจากข้อมูลส่วนบุคคลมีอยู่ทุกที่แค่ในองค์กรมีชื่อกับนามสกุลแม้แต่ของบุคลากรในบริษัทก็ถือว่ามีข้อมูลส่วนบุคคลให้คุ้มครองแล้ว

ถ้าดูหลักของกฎหมาย PDPA แล้วกฎหมายนี้เกี่ยวข้องกับ “การดำเนินการเก็บข้อมูลส่วนบุคคลให้คุ้มครองเจ้าของข้อมูล” ซึ่งถ้าดูดี ๆ แล้วจะพบว่าการดำเนินการดังกล่าวเป็นหนึ่งในกระบวนการของ PDPA ซึ่งก็คือ Record Of Processing (RoP) หรือบันทึกการประมวลผลข้อมูลส่วนบุคคล คำถามต่อไปจึงมีอยู่ว่า ทำอย่างไรถึงจะตอบโจทย์ PDPA ได้กับภาคองค์กรธุรกิจ

การประกอบธุรกิจกับการนำข้อมูลส่วนบุคคลไปใช้

ในส่วนของการดำเนินธุรกิจทั้งภายในประเทศและต่างประเทศ ข้อมูลส่วนบุคคลถือเป็นเครื่องมือที่สำคัญในการใช้ประโยชน์กับธุรกิจ บางครั้งก็สามารถพูดได้ว่าองค์กรธุรกิจใดมีจำนวนข้อมูลส่วนบุคคลที่มีจำนวนมากก็เปรียบเสมือนมีขุมทรัพย์มหาศาลอยู่ในมือ

แต่เพราะยุคสมัยที่เปลี่ยนไปอย่างรวดเร็ว โดยเฉพาะอย่างยิ่งในทางด้านสังคม และด้านเทคโนโลยี มีการใช้ข้อมูลหลากหลายวัตถุประสงค์ด้วยกันจนทำให้เกิดข้อพิพาท ด้วยสาเหตุนี้เององค์กรภาคธุรกิจทั้งในประเทศและต่างประเทศจึงเริ่มตระหนักและให้ความสำคัญต่อข้อมูลส่วนบุคคล ภาครัฐก็เริ่มเล็งเห็นว่าการคุ้มครองข้อมูลส่วนบุคคลของบุคคลธรรมดาในฐานะเจ้าของข้อมูลมีความสำคัญและจำเป็นต้องออกกฎหมายเพื่อคุ้มครองข้อมูลส่วนบุคคลของประชากรทุกคน

แต่กฎหมายคุ้มครองข้อมูลส่วนบุคคลไม่ได้มีขึ้นพร้อมกันเป็นสากล บางภาคพื้นที่มีการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลมาระยะหนึ่งแล้วดังที่เห็นในข่าวว่าฝั่งยุโรป (EU) บังคับใช้เป็นกฎหมายที่เราเรียกว่า GDPR ก่อนที่อื่นจะเริ่มตระหนักและบังคับใช้ในรูปแบบของกฎหมายต่างกันไป

และก็คงไม่พูดถึงประเทศไทยของเราไม่ได้ เพราะอีกไม่นานเราจะเริ่มบังคับใช้กฎหมายนี้แล้วในวันที่ 1 มิ.ย. 2565 ในช่วงระยะเวลาการเตรียมความพร้อมขององค์กรก่อนที่กฎหมายจะบังคับใช้ องค์กรต่าง ๆ ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ซึ่งมีอำนาจหน้าที่ในการจัดเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล ได้เวลาที่ต้องเริ่มดำเนินการทำ RoP โดยต้องมีการเริ่มบันทึกทุกกิจกรรมที่นำข้อมูลส่วนบุคคลไปใช้ ไม่ว่า Data นั้นจะเป็นภายนอกหรือภายในขององค์กร ไม่ว่าเพื่อประโยชน์การดำเนินธุรกิจขององค์กร เช่น ข้อมูลลูกค้าคู่ค้าหรือบุคคลอื่นหรือไม่กระทั่งภายในองค์กร เช่น พนักงานกรรมการก็ล้วนเป็นเจ้าของข้อมูลสมควรทั้งสิ้น


ขั้นตอนการทำ RoP Records of Processing Activity (บันทึกรายการประมวลผลข้อมูลส่วนบุคคล)

สำหรับ RoP นั้น แต่ละองค์กรสามารถดำเนินการได้ในทั้งรูปแบบของเอกสาร หรือรูปแบบดิจิทัล เพื่อมาจัดทำบันทึกรายการประมวลผลข้อมูลส่วนบุคคล แต่รายละเอียดสำคัญ ๆ ที่จำเป็นต้องระบุใน RoP มีดังต่อไปนี้

  1. ในส่วนของข้อมูลสู่คนที่องค์กรมีการจัดเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลของข้อมูลส่วนบุคคลหรือว่าเราเรียกว่าเหรอคะอีมิ้นทั้งที่เป็นในส่วนของข้อมูลทั่วไปข้อมูลอ่อนไหวเรามีการจัดเก็บข้อมูลอะไรบ้างเช่นชื่อที่อยู่อีเมลหมายเลขโทรศัพท์หรือไม่กระทั่งข้อมูลอ่อนไหว อาทิเช่น ข้อมูลสุขภาพ ศาสนา ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ พฤติกรรมทางเพศ ประวัติอาชญากรรม เป็นต้น
  2. วัตถุประสงค์ของการจัดเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลองค์กรของท่านมีการนำบันทึกวัตถุประสงค์ในการรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลเพื่ออะไรบ้างในทางกฎหมายได้ในการใช้หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าวภายในองค์กร
  3. ระยะเวลาการจัดเก็บหรือรักษาข้อมูลส่วนบุคคล มีการดำเนินการเพื่อจัดเก็บดูแลรักษาในแต่ละกิจกรรมเท่าไหร่และใช้หลักเกณฑ์วิธีการหรือเงื่อนไขตามกฏหมายหรือระเบียบใดเป็นเกณฑ์ในการจัดเก็บ เนื่องจากระยะเวลาการจัดเก็บมีความจำเป็นอย่างยิ่งหากไม่มีความจำเป็นในการจัดเก็บหรือรักษาข้อมูลส่วนบุคคลดังกล่าวแล้วกฎหมายกำหนดให้ทำลายในส่วนของข้อมูลส่วนบุคคลที่ไม่จำเป็นทันที
  4. แหล่งที่มาของข้อมูลการจัดเก็บข้อมูลส่วนบุคคลไม่ว่าจะเป็นในส่วนของบุคคลภายนอกหรือบุคคลภายในการได้มาซึ่งข้อมูลสมควรดังกล่าว อาทิเช่น ได้มาจากเจ้าของข้อมูลส่วนบุคคลโดยตรง หรือมีการส่งต่อข้อมูลส่วนบุคคลจากบุคคลอีกคนหนึ่งมายังหน่วยงานในฐานะผู้ควบคุมข้อมูลส่วนบุคคล หรือ Data Controller
  5. มีการส่งต่อหรือเปิดเผยข้อมูลส่วนบุคคลหรือไม่ และปลายทางมีมาตรการคุ้มครองข้อมูลส่วนบุคคลหรือไม่ ในส่วนนี้การส่งต่อ หรือ เปิดเผยข้อมูลส่วนบุคคลไปยังปลายทางซึ่งเป็นผู้รับข้อมูลส่วนบุคคลหรือเรียกว่าผู้ประมวลผลข้อมูลส่วนบุคคล ดังนั้นจึงจำเป็นต้องมีกระบวนการวิธีการที่มารองรับเพื่อคุ้มครองความปลอดภัยข้อมูลส่วนบุคคลที่เรานำส่งไป ทั้งการทำบันทึกข้อตกลงการประมวลผลข้อมูลบุคคลหรือเราต้องดูว่าในส่วนของ ประเทศปลายทางที่รับข้อมูลส่วนบุคคลจากเราไปมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลหรือกฎหมายที่รองรับเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลหรือไม่เพื่อเป็นการป้องกันและคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่เรามีหน้าที่คุ้มครองข้อมูลส่วนบุคคลดังกล่าว

กรอบในการประมวลผลข้อมูลส่วนบุคคล

แล้วถ้าต้องพูดถึงหลักในการเก็บข้อมูลส่วนบุคคลที่สำคัญเช่นนี้ก็คงต้องพูดถึงกรอบในการคุ้มครองข้อมูลส่วนบุคคลตาม Guidelines Governing the Protection of Privacy and Transborder Data Flows of Personal Data ของ The Organization for Economic Cooperation and Development (OECD) ได้วางหลักพื้นฐานของข้อมูลส่วนบุคคลที่องค์กรนำมาประมวลผลควรอยู่ใน 8 ประการ ดังต่อไปนี้

  1. หลักข้อจำกัดในการจัดเก็บข้อมูลส่วนบุคคล กล่าวคือในการดำเนินการจัดเก็บข้อมูลส่วนบุคคลในองค์กรต้องชอบด้วยกฎหมายและใช้วิธีการจัดเก็บที่เป็นธรรมและเหมาะสมเจ้าของข้อมูลทุกคนต้องรู้และได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อน
  2. หลักคุณภาพของข้อมูลส่วนบุคคลกล่าวคือในการดำเนินการจัดเก็บข้อมูลส่วนบุคคลจะต้องเกี่ยวข้องกับวัตถุประสงค์ที่กำหนดขึ้นมาจะนำไปใช้เพื่อประโยชน์อะไรและเป็นไปตามอำนาจหน้าที่และวัตถุประสงค์ในการดำเนินการตามกฏหมายกำหนดนอกจากนั้นข้อมูลส่วนบุคคลดังกล่าวจะต้องมีความถูกต้องสมบูรณ์ทำให้เป็นปัจจุบันหรือทันสมัยอยู่เสมอ
  3. หลักการกำหนดวัตถุประสงค์ในการจัดเก็บผ กล่าวคือในการดำเนินการจัดเก็บข้อมูลส่วนบุคคลต้องกำหนดวัตถุประสงค์ในการจัดเก็บข้อมูลทุกคนเพื่ออะไรกำหนดระยะเวลาการจะคิดเท่าไหร่
  4. หลักข้อจำกัดในการนำไปใช้ในการทำดำเนินการจัดเก็บข้อมูลส่วนบุคคล กล่าวคือ จะต้องไม่มีการเปิดเผยหรือปรากฏในลักษณะอื่นที่นอกเหนือจากวัตถุประสงค์
  5. หลักการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล กล่าวคือในการดำเนินการจัดเก็บข้อมูลควรจะต้องมีมาตรฐานในการจัดเก็บความมั่นคงปลอดภัยที่เหมาะสม กับข้อมูลส่วนบุคคล
  6. หลักการเปิดเผยข้อมูล กล่าวคือ ในการดำเนินการเปิดเผยข้อมูลไปยังบุคคลควรมีประกาศมาให้ทราบโดยทั่วกันหากมีการปรับปรุงแก้ไขหรือพัฒนาแนวนโยบายหรือแนวปฏิบัติที่เกี่ยวกับข้อมูลสุคนควรเปิดเผยหรือประกาศไว้ให้ชัดเจนรวมทั้งให้ข้อมูลใดๆ ที่สามารถระบุเกี่ยวกับงานของรัฐผู้ให้บริการรวมทั้งที่อยู่ของผู้ควบคุมข้อมูลส่วนบุคคลด้วย
  7. หลักการมีส่วนร่วมของบุคคล กล่าวคือในการดำเนินการเก็บรวบรวมข้อมูลส่วนบุคคลต้องให้บุคคลซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลได้รับแจ้งยืนยันจากหน่วยงานภาครัฐที่เกี่ยวกับรวบรวมหรือจัดเก็บข้อมูลทุกคนดังกล่าวหรือไม่ภายในระยะเวลาที่เหมาะสม
  8. หลักความรับผิดชอบ กล่าวคือในการดำเนินการเก็บข้อมูลส่วนบุคคลองค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคลต้องปฏิบัติตามนโยบายและแนวทางการปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล

การบันทึกรายการประมวลผลข้อมูลส่วนบุคคล (Records of Processing Activity: RoP) จึงเป็นเครื่องมือสำคัญเครื่องมือหนึ่งในการขับเคลื่อนขององค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคล ทำให้องค์กร มีการปฏิบัติตามกฎหมาย PDPA และมีการบริหารจัดการข้อมูลส่วนบุคคลในมืออย่างมีรูปแบบ และกระบวนการ รวมถึงขั้นตอนที่ชัดเจน เพื่อรองรับในกรณีที่มีการรั่วไหลของข้อมูลส่วนบุคคลของในองค์กรอย่างมีประสิทธิภาพ

แหล่งการเรียนรู้ PDPA

Openpdpa.org เป็นแหล่งข้อมูลสำหรับองค์กรและบุคคลที่ค้นคว้าเกี่ยวกับกฎหมาย พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) คุณจะได้รับข้อมูลที่ตรงไปตรงมารวมถึงทำอย่างไรให้คุณสามารถทำ PDPA ได้ด้วยตนเอง อีกทั้งยังมีเอกสารที่จำเป็นต่อการทำ PDPA ที่สามารถดาวน์โหลดไปใช้ได้เลย ฟรี!

ส่งต่อบทความดีๆ ได้ที่นี่

Share on facebook
Share on twitter
Share on linkedin