March 03, 2025
กฎหมาย PDPA (Personal Data Protection Act) หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายที่มุ่งปกป้องและคุ้มครองสิทธิความเป็นส่วนตัวสำหรับการใช้ เก็บรวมรวม หรือเปิดเผยข้อมูลส่วนบุคคลของไทย โดยได้เริ่มบังคับใช้แล้วเมื่อวันที่ 1 มิถุนายน 2565 เพื่อความเป็นธรรมและโปร่งใสในการตรวจสอบ กฎหมายกำหนดให้องค์กรที่อยู่ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลต้องบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Records of Processing Activity: ROPA)
ตามกฎหมาย PDPA นั้น ROPA หรือ Records of Processing Activity เป็นบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล ไม่ว่าข้อมูลส่วนบุคคลดังกล่าวจะถูกจัดเก็บในรูปแบบกระดาษ หรือในฐานข้อมูลอิเล็กทรอนิกส์ กล่าวให้เข้าใจโดยง่ายนั้นให้ทุกท่านนึกถึงเอกสารชิ้นหนึ่งที่องค์กรใช้บันทึกลักษณะการใช้ข้อมูลส่วนบุคคล และจะต้องมีการเก็บบันทึกไว้อย่างสม่ำเสมออยู่เป็นประจำ เพื่อให้มีหลักฐานที่เป็นเอกสารในกรณีที่เจ้าหน้าที่รัฐหรือเจ้าของข้อมูลส่วนบุคคลร้องขอ
การจัดทำ ROPA จะทำให้องค์กรเข้าใจภาพรวมการใช้งานข้อมูลส่วนบุคคลและความเสี่ยงที่อาจเกิดขึ้นจากการละเมิดข้อมูลส่วนบุคคล เนื่องจากว่าขั้นตอนการจัดทำ ROPA นั้น องค์กรต้องทำการศึกษาว่าข้อมูลส่วนบุคคลที่องค์กรได้จัดเก็บมาใช้ในการประมวลผลนั้นมาจากช่องทางใด แล้วข้อมูลส่วนบุคคลนั้นไหลไปสู่แผนกหรือบุคคลใดในองค์กรบ้าง โดยแผนกหรือบุคคลนั้นบริหารจัดการข้อมูลส่วนบุคคลอย่างไร มีการส่งหรือโอนข้อมูลส่วนบุคคลดังกล่าวไปยังบุคคลหรือองค์กรภายนอกหรือไม่ ดังนั้น ในทุกขั้นตอนของการประมวลผลข้อมูลส่วนบุคคลจะต้องมีการเก็บบันทึกไว้เป็นระยะ เพื่อให้องค์กรสามารถตรวจสอบและบริหารความเสี่ยงอยู่เป็นประจำ ประกอบกับเพื่อให้มีหลักฐานที่เป็นเอกสารสำคัญในกรณีที่เจ้าหน้าที่รัฐหรือเจ้าของข้อมูลส่วนบุคคลร้องขอ
โดยสรุป ROPA ช่วยให้องค์กรสามารถปฏิบัติตามกฎหมาย PDPA ได้อย่างโปร่งใสและมีประสิทธิภาพดียิ่งขึ้น เนื่องจากสามารถตรวจสอบการใช้ข้อมูลส่วนบุคคลได้ตั้งแต่ต้นน้ำซึ่งก็คือตั้งแต่เริ่มต้นขอเก็บข้อมูลจนถึงปลายน้ำก็คือการใช้ หรือการโอน ประมวลผล หรือส่งต่อให้กับองค์กรอื่น พร้อมกับมาตรการที่นำมาใช้ในการรักษาและปกป้องความปลอดภัยของข้อมูลส่วนบุคคล
มีหน้าที่จัดทำระบบการจัดเก็บข้อมูลและมาตรการรักษาความปลอดภัยของข้อมูลให้สอดคล้องตามกฎหมาย PDPA ออกแบบ UX/UI ของหน้าเว็บไซต์และแบบฟอร์มการกรอกข้อมูลส่วนบุคคล รวมถึงแบบฟอร์มขอถอนหรือยกเลิกความยินยอม
มีหน้าที่ดูแลเรื่องการสรรหา คัดเลือกบุคลากร การว่าจ้าง ดูแลเรื่องค่าจ้าง เงินเดือน และสวัสดิการบุคลากร พนักงานในแผนก HR จึงมีหน้าที่จัดการข้อมูลส่วนบุคคลของบุคคลที่สมัครงานกับบริษัท และดูแลข้อมูลส่วนบุคคลของพนักงานในบริษัท ข้อมูลประกันสังคมหรือข้อมูลสุขภาพที่เกี่ยวข้องในการเบิกจ่ายเงินค่ารักษาพยาบาล รวมทั้งจัดการฝึกอบรมความรู้ด้านต่างๆ
ตัวอย่างการทำ Data Flow Mapping ของแผนกทรัพยากรบุคคล ที่แสดงให้เห็นถึงกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคลตั้งแต่ต้นจนจบกระบวนการ
มีหน้าที่ในการติดต่อ แสวงหาลูกค้า เสนอขาย จัดการโฆษณา จัดการกระตุ้นการขาย (Promotion) กำหนดกลุ่มลูกค้าเป้าหมายสำหรับบริการหรือสินค้าที่องค์กรขาย กระตุ้นให้ลูกค้าเกิดความตั้งใจและตัดสินใจซื้อ ให้บริการก่อนและหลังการขาย รวมถึงการให้คำแนะนำลูกค้าในการซื้อสินค้าหรือใช้บริการ ซึ่งแผนกนี้ก็จะเกี่ยวข้องกับการเก็บและใช้ข้อมูลส่วนบุคคลของลูกค้าโดยส่วนใหญ่
มีหน้าที่เก็บข้อมูลยอดการสั่งซื้อ ดูแลจัดเตรียมเช็คสั่งจ่าย การรับเงินเก็บเงิน การนำเงินฝากธนาคาร รวมทั้งตรวจสอบความถูกต้องครบถ้วนของการบันทึกรายการ การจัดทำรายงานทางการเงินและบัญชี ซึ่งแผนกนี้ก็จะเกี่ยวข้องกับการจัดเก็บข้อมูลส่วนบุคคลลูกค้าและบริษัทคู่ค้า เช่น บัญชีธนาคาร เอกสารยืนยันตัวตน เป็นต้น
มีหน้าที่ตรวจสอบการดำเนินงานของบริษัทให้สอดคล้องกับกฎหมายระเบียบและนโยบายขององค์กร ดูแลการชำระภาษีของบริษัท ปฏิบัติงานเกี่ยวกับการดำเนินการด้านงานคดีในทางแพ่ง คดีอาญา และคดีทางปกครอง และกฎหมายอื่นที่เกี่ยวข้องรวมทั้งกฎหมาย PDPA ด้วย
ผู้เชี่ยวชาญเฉพาะด้านกฎหมายจะช่วยองค์กรวิเคราะห์การดำเนินธุรกิจให้สอดคล้องและถูกต้องครบถ้วนตามกฎหมาย PDPA ซึ่งจะช่วยวิเคราะห์โครงสร้างและกระบวนการภายในของบริษัทที่เกี่ยวกับการจัดการข้อมูลส่วนบุคคลทั้งหมด ด้วยการจัดทำ Gap Analysis เอกสารทางกฎหมาย Data Flow Mapping (แผนภูมิการใช้ข้อมูล) ซึ่งจะช่วยให้องค์กรเห็นภาพรวมการทำงานในแต่ละขั้นตอนว่า ข้อมูลมาจากไหน ข้อมูลถูกส่งไปที่ใด และเกิดกิจกรรมอะไรกับข้อมูลบ้างในแต่ละระบบภายในองค์กร จากนั้นจึงจัดทำบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (ROPA)
การดำเนินการและตรวจสอบในมุมมองของนักกฎหมาย ด้วยบริการจาก PDPA Core จะช่วยองค์กรของคุณปฏิบัติให้สอดคล้องกับกฎหมาย PDPA ซึ่งขั้นตอนตามกฎหมายรวมถึงการทำ ROPA จะมีความถูกต้องแม่นยำ สามารถระบุกิจกรรมการประมวลผลและการใช้ฐานกฎหมายได้อย่างละเอียดและครบถ้วน จึงมั่นใจได้ว่าองค์กรของคุณจะปฏิบัติตาม PDPA ได้อย่างถูกต้องแน่นอน
Reference:
ให้คำปรึกษาและดำเนินการ
ให้ธุรกิจของคุณ สอดคล้องกับ PDPA
บริษัท เดต้า ว้าว จำกัด
7 อาคารซัมเมอร์ พอยท์ ชั้นที่ 2 ซอยสุขุมวิท 69
แขวงพระโขนงเหนือ เขตวัฒนา กรุงเทพมหานคร 10110 ประเทศไทย