เจาะลึก ROPA เกี่ยวข้องกับกฎหมาย PDPA อย่างไร ?

June 07, 2022

เจาะลึก ROPA เกี่ยวข้องกับกฎหมาย PDPA อย่างไร ?

กฎหมาย PDPA (Personal Data Protection Act) หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายที่กำหนดความเป็นส่วนตัวสำหรับการใช้ เก็บรวมรวม หรือเปิดเผยข้อมูลส่วนบุคคลของไทย โดยได้เริ่มบังคับใช้แล้วเมื่อวันที่ 1 มิถุนายน 2565 กฎหมายกำหนดให้องค์กรที่อยู่ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลต้องบันทึกรายการของกิจกรรมข้อมูลส่วนบุคคลที่มีการเก็บหรือใช้ (Records of Processing Activity: ROPA) ส่วนผู้ประมวลผลข้อมูลส่วนบุคคลก็มีหน้าที่ต้องเก็บรักษาบันทึก ROPA นั้นไว้เช่นเดียวกัน

ROPA คือ อะไร?

ROPA หรือ Records of Processing Activity เป็นบันทึกรายการของกิจกรรมข้อมูลส่วนบุคคล ทั้งข้อมูลที่จัดเก็บในฐานข้อมูลอิเล็กทรอนิกส์ ข้อมูลเอกสารที่จับต้องได้ ข้อมูลส่วนบุคคลทั่วไป ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) กฎหมาย PDPA กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดทำ ROPA ในรูปแบบเอกสารเป็นลายลักษณ์อักษรและภาพรวมของขั้นตอนการประมวลผลข้อมูลส่วนบุคคล

ส่วนประกอบที่สำคัญของ ROPA ตามกฏหมาย PDPA มาตรา 39

  • ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม
  • วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคล
  • ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล
  • ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล
  • สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล รวมทั้งเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลและเงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคลนั้น
  • การใช้หรือเปิดเผยที่ได้รับการยกเว้นไม่ต้องขอความยินยอม
  • การปฏิเสธคำขอหรือการคัดค้านการใช้ข้อมูลส่วนบุคคล
  • คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัย

ROPA มีความสำคัญอย่างไรต่อการปรับองค์กรให้สอดคล้องกับ PDPA

กฎหมาย PDPA กำหนดองค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดทำ ROPA ในรูปแบบเอกสารเป็นลายลักษณ์อักษรและจัดทำภาพรวมของขั้นตอนการประมวลผลข้อมูลส่วนบุคคล โดยบันทึกรายการของกิจกรรมข้อมูลส่วนบุคคล (ROPA) ใช้บันทึกวัตถุประสงค์ในการประมวลผล การแบ่งปันข้อมูล มาตรการทางเทคนิคและเชิงองค์กรที่มีไว้เพื่อปกป้องข้อมูล และการเก็บรักษา รวมถึงบุคคลที่จะได้รับผลกระทบจากการประมวลผล ซึ่งจะนำไปสู่การวิเคราะห์ความเสี่ยงขั้นพื้นฐานที่ควรรวมอยู่ใน ROPA ด้วย

ดังนั้น ในทุกขั้นตอนของการประมวลผลข้อมูลจะต้องมีการเก็บบันทึกไว้เป็นระยะ เพื่อให้มีหลักฐานที่เป็นเอกสารในกรณีที่เจ้าหน้าที่รัฐหรือเจ้าของข้อมูลส่วนบุคคลร้องขอ

บันทึกรายการของกิจกรรมข้อมูลส่วนบุคคล (ROPA) ช่วยให้องค์กรสามารถปฏิบัติตามกฎหมาย PDPA ได้โปร่งใสและดียิ่งขึ้น เนื่องจากสามารถตรวจสอบการใช้ข้อมูลส่วนบุคคลได้ตั้งแต่ต้นน้ำซึ่งก็คือตั้งแต่เริ่มต้นขอเก็บข้อมูลจนถึงปลายน้ำก็คือการใช้ หรือการโอน ประมวลผล หรือส่งต่อให้กับองค์กรอื่น สำหรับองค์กรในแต่ละแผนกที่ดูแลข้อมูลส่วนบุคคลก็จะต้องจัดทำบันทึกรายการนี้ไว้เพื่อใช้เป็นหลักฐานการใช้ข้อมูลตามฐานกฎหมาย

ตัวอย่างการเก็บข้อมูลของแต่ละแผนกตามฐานกฎหมาย

แผนกเทคโนโลยีสารสนเทศ(IT)

มีหน้าที่จัดทำระบบการจัดเก็บข้อมูลและมาตรการรักษาความปลอดภัยของข้อมูลให้สอดคล้องตามกฎหมาย PDPA ออกแบบ UX/UI ของหน้าเว็บไซต์และแบบฟอร์มการกรอกข้อมูลส่วนบุคคล รวมถึงแบบฟอร์มขอถอนหรือยกเลิกความยินยอม

แผนกบุคคลหรืองานด้านการบริหารทรัพยากรบุคคล(HR)

มีหน้าที่ดูแลเรื่องการสรรหา คัดเลือกบุคลากร การว่าจ้าง ดูแลเรื่องค่าจ้าง เงินเดือน และสวัสดิการบุคลากร พนักงานในแผนก HR จึงมีหน้าที่จัดการข้อมูลส่วนบุคคลของบุคคลที่สมัครงานกับบริษัท และดูแลข้อมูลส่วนบุคคลของพนักงานในบริษัท ข้อมูลประกันสังคมหรือข้อมูลสุขภาพที่เกี่ยวข้องในการเบิกจ่ายเงินค่ารักษาพยาบาล รวมทั้งจัดการฝึกอบรมความรู้ด้านต่างๆ

ตัวอย่างการทำ Data Flow Mapping ของแผนกทรัพยากรบุคคล ที่แสดงให้เห็นถึงกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคลตั้งแต่ต้นจนจบกระบวนการ

แผนกการตลาด แผนกขาย และแผนกบริการลูกค้า

มีหน้าที่ในการติดต่อ แสวงหาลูกค้า เสนอขาย จัดการโฆษณา จัดการกระตุ้นการขาย (Promotion) กำหนดกลุ่มลูกค้าเป้าหมายสำหรับบริการหรือสินค้าที่องค์กรขาย กระตุ้นให้ลูกค้าเกิดความตั้งใจและตัดสินใจซื้อ ให้บริการก่อนและหลังการขาย รวมถึงการให้คำแนะนำลูกค้าในการซื้อสินค้าหรือใช้บริการ ซึ่งแผนกนี้ก็จะเกี่ยวข้องกับการเก็บและใช้ข้อมูลส่วนบุคคลของลูกค้าโดยส่วนใหญ่

แผนกการเงินการบัญชี

มีหน้าที่เก็บข้อมูลยอดการสั่งซื้อ ดูแลจัดเตรียมเช็คสั่งจ่าย การรับเงินเก็บเงิน การนำเงินฝากธนาคาร รวมทั้งตรวจสอบความถูกต้องครบถ้วนของการบันทึกรายการ การจัดทำรายงานทางการเงินและบัญชี ซึ่งแผนกนี้ก็จะเกี่ยวข้องกับการจัดเก็บข้อมูลส่วนบุคคลลูกค้าและบริษัทคู่ค้า เช่น บัญชีธนาคาร เอกสารยืนยันตัวตน เป็นต้น

แผนกกฎหมาย

มีหน้าที่ตรวจสอบการดำเนินงานของบริษัทให้สอดคล้องกับกฎหมายระเบียบและนโยบายขององค์กร ดูแลการชำระภาษีของบริษัท ปฏิบัติงานเกี่ยวกับการดำเนินการด้านงานคดีในทางแพ่ง คดีอาญา และคดีทางปกครอง และกฎหมายอื่นที่เกี่ยวข้องรวมทั้งกฎหมาย PDPA ด้วย

ROPA ทำกับนักกฎหมายดีกว่าอย่างไร?

ผู้เชี่ยวชาญเฉพาะด้านกฎหมายจะช่วยองค์กรวิเคราะห์การดำเนินธุรกิจให้สอดคล้องและถูกต้องครบถ้วนตามกฎหมาย PDPA ซึ่งจะช่วยวิเคราะห์โครงสร้างและกระบวนการภายในของบริษัทที่เกี่ยวกับการจัดการข้อมูลส่วนบุคคลทั้งหมด ด้วยการจัดทำ Gap Analysis เอกสารทางกฎหมาย Data Flow Mapping (แผนภูมิการใช้ข้อมูล) ซึ่งจะช่วยให้องค์กรเห็นภาพรวมการทำงานในแต่ละขั้นตอนว่า ข้อมูลมาจากไหน ข้อมูลถูกส่งไปที่ใด และเกิดกิจกรรมอะไรกับข้อมูลบ้างในแต่ละระบบภายในองค์กร จากนั้นจึงจัดทำ บันทึกรายการของกิจกรรมข้อมูลส่วนบุคคล (ROPA)


การดำเนินการและตรวจสอบในมุมมองของนักกฎหมาย ด้วยบริการจาก PDPA Core จะช่วยองค์กรของคุณปฏิบัติให้สอดคล้องกับกฎหมาย PDPA ซึ่งขั้นตอนตามกฎหมายรวมถึงการทำ ROPA จะมีความถูกต้องแม่นยำ สามารถระบุกิจกรรมการประมวลผลและการใช้ฐานกฎหมายได้อย่างละเอียดและครบถ้วน จึงมั่นใจได้ว่าองค์กรของคุณจะปฏิบัติตาม PDPA ได้อย่างถูกต้องแน่นอน

Reference:

  • PDPA Implementation
  • ROPA
  • Data Mapping

ให้คำปรึกษาและดำเนินการ

ให้ธุรกิจของคุณ สอดคล้องกับ PDPA

ดูข้อมูลเพิ่มเติม

บทความที่เกี่ยวข้อง

ทำไมธุรกิจจำเป็นต้องเตรียมพร้อมและปรับตัว แม้ PDPA เลื่อน?

ทำไมธุรกิจจำเป็นต้องเตรียมพร้อมและปรับตัว แม้ PDPA เลื่อน?

18/07/2021

บริษัท เดต้า ว้าว จำกัด

1778 อาคารซัมเมอร์ฮับ ออฟฟิศ, ชั้น 6 ถนนสุขุมวิท แขวงพระโขนง เขตคลองเตย กรุงเทพมหานคร 10110 ประเทศไทย

โทร: 02-024-5560

sales@datawow.io

ISO