เจาะลึก ROPA เกี่ยวข้องกับกฎหมาย PDPA อย่างไร ?

กฎหมาย PDPA (Personal Data Protection Act) หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายที่มุ่งปกป้องและคุ้มครองสิทธิความเป็นส่วนตัวสำหรับการใช้ เก็บรวมรวม หรือเปิดเผยข้อมูลส่วนบุคคลของไทย โดยได้เริ่มบังคับใช้แล้วเมื่อวันที่ 1 มิถุนายน 2565 เพื่อความเป็นธรรมและโปร่งใสในการตรวจสอบ กฎหมายกำหนดให้องค์กรที่อยู่ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลต้องบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Records of Processing Activity: ROPA)

ROPA คือ อะไร?

ตามกฎหมาย PDPA นั้น ROPA หรือ Records of Processing Activity เป็นบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล ไม่ว่าข้อมูลส่วนบุคคลดังกล่าวจะถูกจัดเก็บในรูปแบบกระดาษ หรือในฐานข้อมูลอิเล็กทรอนิกส์ กล่าวให้เข้าใจโดยง่ายนั้นให้ทุกท่านนึกถึงเอกสารชิ้นหนึ่งที่องค์กรใช้บันทึกลักษณะการใช้ข้อมูลส่วนบุคคล และจะต้องมีการเก็บบันทึกไว้อย่างสม่ำเสมออยู่เป็นประจำ เพื่อให้มีหลักฐานที่เป็นเอกสารในกรณีที่เจ้าหน้าที่รัฐหรือเจ้าของข้อมูลส่วนบุคคลร้องขอ

ใครมีหน้าที่ต้องจัดทำ ROPA

- ผู้ควบคุมข้อมูลส่วนบุคคล

- ผู้ประมวลผลข้อมูลส่วนบุคคล

สำหรับผู้ควบคุมข้อมูลส่วนบุคคล ส่วนประกอบที่สำคัญของ ROPA ตามกฏหมาย PDPA มาตรา 39

1. ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม
2. วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคล
3. ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล
4. ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล
5. สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล รวมทั้งเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลและเงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคลนั้น
6. การใช้หรือเปิดเผยที่ได้รับการยกเว้นไม่ต้องขอความยินยอม
7. การปฏิเสธคำขอหรือการคัดค้านการใช้ข้อมูลส่วนบุคคล
8. คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัย

สำหรับผู้ประมวลผข้อมูลส่วนบุคคล ส่วนประกอบที่สำคัญของ ROPA ตามกฏหมาย PDPA มาตรา 40

(ประกอบกับประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการจัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล พ.ศ.2565)

1. ชื่อและข้อมูลเกี่ยวกับผู้ประมวลผลข้อมูลส่วนบุคคล และตัวแทนของผู้ประมวลผลข้อมูล
2. ชื่อและข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคลที่ผู้ประมวลผลข้อมูลส่วนบุคคลดำเนินการตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคลนั้น และตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคล ในกรณีที่มีการแต่งตั้งตัวแทน
3. ชื่อและข้อมูลเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล รวมถึงสถานที่ติดต่อและวิธีการติดต่อ ในกรณีที่ผู้ประมวลผลข้อมูลส่วนบุคคลจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
4. ประเภทหรือลักษณะของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ผู้ประมวลผลข้อมูลส่วนบุคคลดำเนินการตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งรวมถึงข้อมูลส่วนบุคคลและวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามที่ได้รับมอบหมายจากผู้ควบคุมข้อมูลส่วนบุคคล
5. ประเภทของบุคคลหรือหน่วยงานที่ได้รับข้อมูลส่วนบุคคล ในกรณีที่มีการส่งหรือ โอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
6. คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัย

ROPA มีความสำคัญอย่างไรต่อการปรับองค์กรให้สอดคล้องกับ PDPA

การจัดทำ ROPA จะทำให้องค์กรเข้าใจภาพรวมการใช้งานข้อมูลส่วนบุคคลและความเสี่ยงที่อาจเกิดขึ้นจากการละเมิดข้อมูลส่วนบุคคล เนื่องจากว่าขั้นตอนการจัดทำ ROPA นั้น องค์กรต้องทำการศึกษาว่าข้อมูลส่วนบุคคลที่องค์กรได้จัดเก็บมาใช้ในการประมวลผลนั้นมาจากช่องทางใด แล้วข้อมูลส่วนบุคคลนั้นไหลไปสู่แผนกหรือบุคคลใดในองค์กรบ้าง โดยแผนกหรือบุคคลนั้นบริหารจัดการข้อมูลส่วนบุคคลอย่างไร มีการส่งหรือโอนข้อมูลส่วนบุคคลดังกล่าวไปยังบุคคลหรือองค์กรภายนอกหรือไม่ ดังนั้น ในทุกขั้นตอนของการประมวลผลข้อมูลส่วนบุคคลจะต้องมีการเก็บบันทึกไว้เป็นระยะ เพื่อให้องค์กรสามารถตรวจสอบและบริหารความเสี่ยงอยู่เป็นประจำ ประกอบกับเพื่อให้มีหลักฐานที่เป็นเอกสารสำคัญในกรณีที่เจ้าหน้าที่รัฐหรือเจ้าของข้อมูลส่วนบุคคลร้องขอ

โดยสรุป ROPA ช่วยให้องค์กรสามารถปฏิบัติตามกฎหมาย PDPA ได้อย่างโปร่งใสและมีประสิทธิภาพดียิ่งขึ้น เนื่องจากสามารถตรวจสอบการใช้ข้อมูลส่วนบุคคลได้ตั้งแต่ต้นน้ำซึ่งก็คือตั้งแต่เริ่มต้นขอเก็บข้อมูลจนถึงปลายน้ำก็คือการใช้ หรือการโอน ประมวลผล หรือส่งต่อให้กับองค์กรอื่น พร้อมกับมาตรการที่นำมาใช้ในการรักษาและปกป้องความปลอดภัยของข้อมูลส่วนบุคคล

ตัวอย่างการเก็บข้อมูลของแต่ละแผนกตามฐานกฎหมาย

แผนกเทคโนโลยีสารสนเทศ(IT)

มีหน้าที่จัดทำระบบการจัดเก็บข้อมูลและมาตรการรักษาความปลอดภัยของข้อมูลให้สอดคล้องตามกฎหมาย PDPA ออกแบบ UX/UI ของหน้าเว็บไซต์และแบบฟอร์มการกรอกข้อมูลส่วนบุคคล รวมถึงแบบฟอร์มขอถอนหรือยกเลิกความยินยอม

แผนกบุคคลหรืองานด้านการบริหารทรัพยากรบุคคล(HR)

มีหน้าที่ดูแลเรื่องการสรรหา คัดเลือกบุคลากร การว่าจ้าง ดูแลเรื่องค่าจ้าง เงินเดือน และสวัสดิการบุคลากร พนักงานในแผนก HR จึงมีหน้าที่จัดการข้อมูลส่วนบุคคลของบุคคลที่สมัครงานกับบริษัท และดูแลข้อมูลส่วนบุคคลของพนักงานในบริษัท ข้อมูลประกันสังคมหรือข้อมูลสุขภาพที่เกี่ยวข้องในการเบิกจ่ายเงินค่ารักษาพยาบาล รวมทั้งจัดการฝึกอบรมความรู้ด้านต่างๆ

ตัวอย่างการทำ Data Flow Mapping ของแผนกทรัพยากรบุคคล ที่แสดงให้เห็นถึงกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคลตั้งแต่ต้นจนจบกระบวนการ

แผนกการตลาด แผนกขาย และแผนกบริการลูกค้า

มีหน้าที่ในการติดต่อ แสวงหาลูกค้า เสนอขาย จัดการโฆษณา จัดการกระตุ้นการขาย (Promotion) กำหนดกลุ่มลูกค้าเป้าหมายสำหรับบริการหรือสินค้าที่องค์กรขาย กระตุ้นให้ลูกค้าเกิดความตั้งใจและตัดสินใจซื้อ ให้บริการก่อนและหลังการขาย รวมถึงการให้คำแนะนำลูกค้าในการซื้อสินค้าหรือใช้บริการ ซึ่งแผนกนี้ก็จะเกี่ยวข้องกับการเก็บและใช้ข้อมูลส่วนบุคคลของลูกค้าโดยส่วนใหญ่

แผนกการเงินการบัญชี

มีหน้าที่เก็บข้อมูลยอดการสั่งซื้อ ดูแลจัดเตรียมเช็คสั่งจ่าย การรับเงินเก็บเงิน การนำเงินฝากธนาคาร รวมทั้งตรวจสอบความถูกต้องครบถ้วนของการบันทึกรายการ การจัดทำรายงานทางการเงินและบัญชี ซึ่งแผนกนี้ก็จะเกี่ยวข้องกับการจัดเก็บข้อมูลส่วนบุคคลลูกค้าและบริษัทคู่ค้า เช่น บัญชีธนาคาร เอกสารยืนยันตัวตน เป็นต้น

แผนกกฎหมาย

มีหน้าที่ตรวจสอบการดำเนินงานของบริษัทให้สอดคล้องกับกฎหมายระเบียบและนโยบายขององค์กร ดูแลการชำระภาษีของบริษัท ปฏิบัติงานเกี่ยวกับการดำเนินการด้านงานคดีในทางแพ่ง คดีอาญา และคดีทางปกครอง และกฎหมายอื่นที่เกี่ยวข้องรวมทั้งกฎหมาย PDPA ด้วย

ROPA ทำกับนักกฎหมายดีกว่าอย่างไร?

ผู้เชี่ยวชาญเฉพาะด้านกฎหมายจะช่วยองค์กรวิเคราะห์การดำเนินธุรกิจให้สอดคล้องและถูกต้องครบถ้วนตามกฎหมาย PDPA ซึ่งจะช่วยวิเคราะห์โครงสร้างและกระบวนการภายในของบริษัทที่เกี่ยวกับการจัดการข้อมูลส่วนบุคคลทั้งหมด ด้วยการจัดทำ Gap Analysis เอกสารทางกฎหมาย Data Flow Mapping (แผนภูมิการใช้ข้อมูล) ซึ่งจะช่วยให้องค์กรเห็นภาพรวมการทำงานในแต่ละขั้นตอนว่า ข้อมูลมาจากไหน ข้อมูลถูกส่งไปที่ใด และเกิดกิจกรรมอะไรกับข้อมูลบ้างในแต่ละระบบภายในองค์กร จากนั้นจึงจัดทำบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (ROPA)

การดำเนินการและตรวจสอบในมุมมองของนักกฎหมาย ด้วยบริการจาก PDPA Core จะช่วยองค์กรของคุณปฏิบัติให้สอดคล้องกับกฎหมาย PDPA ซึ่งขั้นตอนตามกฎหมายรวมถึงการทำ ROPA จะมีความถูกต้องแม่นยำ สามารถระบุกิจกรรมการประมวลผลและการใช้ฐานกฎหมายได้อย่างละเอียดและครบถ้วน จึงมั่นใจได้ว่าองค์กรของคุณจะปฏิบัติตาม PDPA ได้อย่างถูกต้องแน่นอน

Reference:

• https://gdpr-info.eu/issues/records-of-processing-activities/
• https://easygdpr.eu/en/gdprfaq/what-exactly-is-a-record-of-processing-activities-ropa-and-do-i-need-one/
• https://www.pdpc.or.th/category/pdpc-law/enactment/
• https://www.pdpc.or.th/2968/