เจาะลึกเรื่อง ROPA เพื่อปฏิบัติตาม PDPA
นับจากวันที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลมีผลบังคับใช้อย่างเป็นทางการเมื่อวันที่ 1 มิถุนายน 2565 ก็ทำให้หลาย ๆ หน่วยงานต้องเข้มงวดกับการเก็บรวบรวม ใช้ หรือประมวลผลข้อมูลส่วนบุคคลมากขึ้น โดยต้องจัดเก็บเอกสาร และข้อมูลต่าง ๆ ให้เป็นระบบและปลอดภัยมากขึ้น ขณะที่บางหน่วยงานก็ต้องมีการจัดทำบันทึกกิจกรรม หรือ ROPA ให้สอดคล้องกับกฎหมาย PDPA แต่คำถามที่หลายคนอาจสงสัยคือ RoPA คืออะไร ? และจำเป็นไหมที่องค์กรจะต้องมี RoPA
ROPA คืออะไร
ROPA หรือ Records of Processing Activity คือ บันทึกรายการของกิจกรรมประมวลข้อมูลส่วนบุคคล ไม่ว่าจะเป็นข้อมูลส่วนบุคคลในรูปแบบอิเล็กทรอนิกส์ หรือข้อมูลส่วนบุคคลที่จัดเก็บในรูปแบบเอกสารที่จับต้องได้
ทั้งนี้ ROPA จะเน้นไปที่การบันทึกกระบวนการทำงานของแผนกต่าง ๆ ในรูปแบบที่เป็นทางการ เพื่อให้เห็นภาพว่าแต่ละแผนกในองค์กรมีกระบวนการทำงานอย่างไร ขั้นตอนไหนมีการเก็บข้อมูลส่วนบุคคลบ้าง เป็นข้อมูลประเภทไหน เพื่อวัตถุประสงค์ใด รวมไปถึงมีฐานกฎหมายใดที่รองรับ ทั้งนี้ก็เพื่อหากมีการละเมิดข้อมูลส่วนบุคคลขึ้น ผู้ทำหน้าที่ควบคุมข้อมูลส่วนบุคคลจะสามารถเข้าไปตรวจสอบกระบวนการทำงานของแต่ละแผนกได้ และสามารถแจ้งไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้อย่างทันท่วงที
นอกจากนี้การจัดทำ ROPA ยังช่วยให้ผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลข้อมูลส่วนบุคคลสามารถทำงานได้อย่างมีประสิทธิภาพมากขึ้น โดยอาจนำ ROPA มาเป็น Checklist เพื่อทบทวนกิจกรรม ว่ามีการนำข้อมูลส่วนบุคคลมาใช้อย่างไร และที่มาของข้อมูลนั้นถูกต้องตามกฎหมาย PDPA หรือไม่ ซึ่งจะช่วยลดความผิดพลาดที่อาจนำไปสู่การละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคลได้
ROPA ประกอบด้วยอะไรบ้าง?
ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 39 ระบุว่า ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องมีการจัดทำบันทึกรายการของกิจกรรมประมวลข้อมูลส่วนบุคคล โดยจะต้องมีข้อมูลดังต่อไปนี้
- ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม
- วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคล
- ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล
- ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล
- สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล รวมทั้งเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิ์เข้าถึงข้อมูลส่วนบุคคล และเงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคลนั้น
- การใช้ หรือ เปิดเผยที่ได้รับการยกเว้นไม่ต้องขอความยินยอมตามมาตรา 27 วรรค 3
- การปฏิเสธคำขอหรือการคัดค้านการใช้ข้อมูลส่วนบุคคลตามมาตรา 30 วรรค 3 มาตรา 31 วรรค 3 มาตรา 32 วรรค 3 และมาตรา 36 วรรค 1
- คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยตามมาตรา 37 (1)
โดยในประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่องมาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล ได้ระบุถึงการจัดทำมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลว่า จะต้องครอบคลุมการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ไม่ว่าข้อมูลส่วนบุคคลดังกล่าวจะอยู่ในรูปแบบเอกสาร หรืออิเล็กทรอนิกส์ อีกทั้งมาตรการรักษาความมั่นคงปลอดภัยที่จัดทำขึ้นนั้นต้องประกอบด้วย
- มาตรการเชิงองค์กร (organizational measures)
- มาตราการเชิงเทคนิค (technical measures)
- มาตราการทางกายภาพ (physical measures)
โดยคำนึงถึงระดับความเสี่ยง โอกาสที่จะเกิดการละเมิดข้อมูลส่วนบุคคล และผลกระทบที่อาจได้รับ อีกทั้งยังต้องคำนึงถึงการดำเนินการเกี่ยวกับการรักษาความมั่นคงปลอดภัย ตั้งแต่การระบุความเสี่ยงที่สำคัญซึ่งอาจเกิดกับทรัพย์สินสารสนเทศ (information asset) การป้องกันความเสี่ยงที่สำคัญที่อาจเกิดขึ้น การตรวจสอบและเฝ้าระวังภัยคุกคาม หรือ เหตุการละเมิดข้อมูลส่วนบุคคล รวมถึงการรักษาและฟื้นฟูความเสียหายที่เกิดขึ้น
ROPA สำคัญอย่างไร?
ROPA ถือเป็นเอกสารสำคัญที่กฎหมาย PDPA กำหนดไว้ว่า จะต้องมีการจัดทำในรูปแบบลายลักษณ์อักษร และจัดทำภาพรวมของขั้นตอนการประมวลผลข้อมูลส่วนบุคคล เพื่อให้องค์กรสามารถปฏิบัติตามกฎหมาย PDPA ได้โปร่งใสและดียิ่งขึ้น เนื่องจากสามารถตรวจสอบการใช้ข้อมูลส่วนบุคคลได้ตั้งแต่เริ่มต้นขอเก็บข้อมูล ไปจนถึงกระบวนการนำไปใช้ การประมวลผล หรือการถ่ายโอน ส่งต่อให้กับองค์กรอื่น อีกทั้งสำหรับแต่ละแผนกในองค์การที่มีการดูแลข้อมูลส่วนบุคคลจะต้องจัดทำบันทึกรายการนี้ไว้เพื่อใช้เป็นหลักฐานการใช้ข้อมูลตามฐานกฎหมายด้วย
องค์กรใดบ้างที่ต้องทำ ROPA
ตามกฎหมาย PDPA ระบุไว้ว่า ผู้ที่ต้องจัดทำบันทึกรายการของกิจกรรมประมวลข้อมูลส่วนบุคคลนั้นได้แก่ ธุรกิจที่มีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งในปัจจุบันหลายองค์การที่ต้องจัดทำ ROPA ก็ได้มีการนำซอฟต์แวร์ และโซลูชั่นต่าง ๆ มาใช้เพื่อจัดการในส่วนนี้กันมากขึ้น
เปลี่ยน RoPA ให้กลายเป็นเรื่องง่ายด้วย Data Mapping
Security Pitch มองเห็นความสำคัญของการปฏิบัติตามกฎหมาย PDPA จึงได้พัฒนาโซลูชัน Privacy Managment ภายใต้ OneFence แพลตฟอร์มการบริหารจัดการความปลอดภัย และความเป็นส่วนตัวแบบครบวงจร มีโมดูลที่ออกแบบมาเพื่อช่วยให้การบริหารจัดการด้านข้อมูลส่วนบุคคลเป็นเรื่องที่ง่ายยิ่งขึ้น โดยในการทำ ROPA เรามีโมดูล Data Mapping ที่ออกแบบมาเพื่อช่วยให้ผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคลสามารถจัดทำบันทึกรายการของกิจกรรมประมวลข้อมูลส่วนบุคคลได้ง่ายขึ้น และปรับเปลี่ยนได้อย่างอิสระตามกระบวนการทำงานจริงของแต่ละแผนก เพื่อใช้เป็นหลักฐานที่ถูกต้อง และครบถ้วนตามหลักกฎหมาย PDPA
สอบถามข้อมูลเพิ่มเติม
Facebook: https://fb.me/OneFence.co
Line ID : @onefence-platform
Email : [email protected]