จัดทำ RoPA อย่างเป็นมืออาชีพ ด้วย Data Mapping
การจัดระเบียบการจัดการข้อมูลส่วนบุคคลภายในองค์กรเริ่มมีความชัดเจนขึ้น หลังมีการประกาศบังคับใช้กฎหมาย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เห็นได้จากหลายองค์กรที่เริ่มจัดหาเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) เพื่อมาทำหน้าที่บริหารจัดการการปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลขององค์กร ให้ถูกต้องตามกฎหมาย และเนื่องจากองค์กรที่มีการจัดเก็บข้อมูลส่วนบุคคล ไม่ว่าจะในฐานะผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล จำเป็นจะต้องจัดทำบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (RoPA) แต่ปัญหาหนึ่งที่มักเกิดขึ้น คือ บางองค์กรยังไม่เข้าใจหรือขาดความรู้เกี่ยวกับการทำ RoPA จึงเป็นไปได้ว่ารายละเอียดของการจัดทำบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคลขององค์กรอาจไม่ครบถ้วน หรือไม่เป็นไปตามข้อกำหนดของกฎหมาย
ทั้งนี้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ระบุไว้ในมาตรา 39 เกี่ยวกับการจัดทำบันทึกกิจกรรมประมวลผลข้อมูลส่วนบุคคล ว่า
“ ให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกรายการ อย่างน้อยดังต่อไปนี้ เพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานสามารถตรวจสอบได้ โดยจะบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ ก็ได้
(1) ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม
(2) วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภท
(3) ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล
(4) ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล
(5) สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล รวมทั้งเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูล ส่วนบุคคลและเงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคลนั้น
(6) การใช้หรือเปิดเผยตามมาตรา 27 วรรคสาม
(7) การปฏิเสธคำขอหรือการคัดค้านตามมาตรา 30วรรคสาม มาตรา 31 วรรคสาม มาตรา 32 วรรคสาม และมาตรา 36 วรรคหนึ่ง
(8) คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยตามมาตรา 37 (1)
ในวรรคหนึ่งให้นำมาใช้บังคับกับตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคลตามมาตรา 5 วรรคสอง โดยอนุโลม
ความใน (1) (2) (3) (4) (5) (6) และ (8) อาจยกเว้นมิให้นำมาใช้บังคับกับผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งเป็นกิจการขนาดเล็กตามหลักเกณฑ์ที่คณะกรรมการประกาศกำหนด เว้นแต่ มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพ ของเจ้าของข้อมูลส่วนบุคคล หรือมิใช่กิจการที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเป็น ครั้งคราว หรือมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามมาตรา 26 ”
อย่างไรก็ตาม แม้กฎหมายจะระบุถึงการจัดทำบันทึกการประมวลผลข้อมูลส่วนบุคคล แต่ก็ไม่ได้มีการระบุแบบฟอร์ม หรือรูปแบบในการจัดทำที่ตายตัว ดังนั้นองค์กรที่มีการจัดเก็บข้อมูลส่วนบุคคล หรือกิจการขนาดเล็กที่มีการเก็บรวบรวบ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่อาจมีความเสี่ยงกระทบต่อสิทธิเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ก็สามารถจัดทำบันทึกกิจกรรมประมวลผลข้อมูลส่วนบุคคลได้อย่างอิสระ แต่จะต้องมีรายละเอียดครบถ้วน หรืออาจมีมากกว่าที่กฎหมายระบุ เพื่อให้ DPO สามารถเห็นภาพรวมการเคลื่อนไหวของกระแสข้อมูลส่วนบุคคลภายในองค์ได้อย่างชัดเจน โดยเฉพาะเมื่อมีการบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคลในรูปแบบอิเล็กทรอกนิกส์ ก็จะยิ่งง่ายต่อการเรียกใช้งาน หรือตรวจสอบกิจกรรมในภายหลัง
ไม่ทำ RoPA ผิดกฎหมายหรือไม่?
การจัดทำบันทึกกิจกรรมประมวลผลข้อมูลส่วนบุคคล เป็นสิ่งที่มีความจำเป็นอย่างมาก เพราะบันทึกนี้จะช่วยให้ผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล สามารถรับมือได้อย่างมีประสิทธิภาพ กรณีเกิดเหตุการณ์ข้อมูลส่วนบุคคลรั่วไหล รวมถึงสามารถใช้เป็นหลักฐานหากถูกสอบสวนในภายหลังได้ นอกจากนี้ยังเพื่อเลี่ยงความผิดตามมาตรา 82 และ 88 ที่กล่าวถึงว่าหากไม่ปฏิบัติตามมาตรา 39 และมาตรา 40 นั่นคือ การจัดทำบันทึกกิจกรรมประมวลผลข้อมูลส่วนบุคคล หรือไม่มีข้อมูลตามที่ระบุไว้ในกฎหมาย ก็อาจมีโทษปรับสูงถึง 1 ล้านบาท
และเนื่องจากการจัดทำบันทึกกิจกรรมประมวลผลข้อมูลส่วนบุคคล คือบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล ดังนั้นจึงรวมถึงกิจกรรมที่เกี่ยวข้องกับการโอนย้าย การแก้ไข เปลี่ยนแปลง หรือลบข้อมูลส่วนบุคคล ที่ต้องบันทึกและควรอัปเดตให้เป็นปัจจุบันอยู่เสมอ
ด้วยเหตุนี้การมีระบบที่สามารถรองรับการจัดทำบันทึกกิจกรรมประมวลผลข้อมูลส่วนบุคคล ได้ จึงไม่เพียงช่วยรับมือ หรือ รองรับการตรวจสอบกรณีที่มีเหตุการณ์ข้อมูลส่วนบุคคลรั่วไหล แต่ยังสร้างความมั่นใจให้องค์กรได้อีกทาง และหากวันนี้องค์กรของคุณมองหาตัวช่วยในการทำ RoPA ที่ครบถ้วน Security Pitch ขอแนะนำโมดูล Data Mapping ระบบบริหารจัดการบันทึกการประมวลผลข้อมูลส่วนบุคคล โดยเรามีโซลูชัน Privacy Management ดำเนินการภายใต้แพลตฟอร์ม OneFence ช่วยให้องค์กรของคุณจัดการความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคลแบบรวมศูนย์ ด้วยฟีเจอร์สำคัญดังต่อไปนี้
- รองรับการบันทึกข้อมูลส่วนบุคคล
- การจัดทำแผนที่การไหลของข้อมูล (Data Flow Mapping)
- รองรับการจัดบันทึกกิจกรรมประมวลผลข้อมูลส่วนบุคคล ผ่านระบบได้
- รองรับการทำงานร่วมกันของผู้ใช้งานหลายคน
- ประเมินความเสี่ยงและการสร้างมาตรการควบคุม
- การจัดการชุดข้อมูลหลัก (Master data)
- ทำงานร่วมกับโมดูลอื่น ๆ ได้อย่างไร้รอยต่อ
ไม่เพียงเท่านั้น OneFence ยังมีโมดูลอื่น ๆ ที่จะช่วยให้องค์กรสามารถบริหารจัดการข้อมูลส่วนบุคคล และความยินยอมได้อย่างเป็นระบบ ร่นระยะเวลา ปลอดภัย สอดรับกับกฎหมาย PDPA
เชื่อมั่นในความปลอดภัย เชื่อมั่นใน OneFence
สอบถามข้อมูลผลิตภัณฑ์ “OneFence”
Tel. : 081-972-2500
Line : @securitypitch
Email : [email protected]