5 ข้อดี ของการทำ ROPA ภายในองค์กร
วันนี้ Trust vision มีเนื้อหาที่น่าสนใจเกี่ยวกับ 5 ข้อดี ของการทำ ROPA ภายในองค์กร มาแชร์ให้กับทุกท่านได้รับทราบกันค่ะ
มีประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง การยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็ก พ.ศ. 2565 อาทิ วิสาหกิจขนาดย่อมหรือวิสาหกิจขนาดกลาง , วิสาหกิจชุมชนหรือเครือข่ายวิสาหกิจชุมชน , วิสาหกิจเพื่อสังคมหรือกลุ่มกิจการเพื่อสังคม , สหกรณ์ ชุมนุมสหกรณ์ หรือกลุ่มเกษตรกร , มูลนิธิ สมาคม องค์กรศาสนา หรือองค์กรที่ไม่แสวงหากำไร , กิจการในครัวเรือนหรือกิจการอื่นในลักษณะเดียวกัน จะต้องไม่เป็นผู้ให้บริการที่ต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ตามกฎหมายว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ เว้นแต่จะเป็นผู้ให้บริการประเภทผู้ให้บริการร้านอินเทอร์เน็ต หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล หรือเปิดเผยข้อมูลส่วนบุคคลตามมาตรา 26
สำหรับการบันทึกกิจกรรมประมวณผลจะยึดตามกฎหมายลูก PDPA ที่มีประกาศเพิ่มเติมวันที่ 20 มิ.ย.2565 ระบุให้ผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลตามวรรคหนึ่งเป็นลายลักษณ์อักษร โดยจะจัดทำเป็นหนังสือหรือในรูปแบบอิเล็กทรอนิกส์ก็ได้ แต่จะต้องเข้าถึงได้ง่าย และสามารถแสดงให้เจ้าหน้าที่ชุดดังกล่าวมอบหมายตรวจสอบได้อย่างรวดเร็วเมื่อมีการร้องขอ
โดยประกาศนี้ให้ใช้บังคับเมื่อพ้นกำหนด 180 วันนับแต่วันประกาศในราชกิจจานุเบกษาเป็นต้นไป อ่านฉบับเต็มได้ที่ : กฎหมายลูกประกาศเพิ่มเติมเกี่ยวกับ ROPA
Record of rocessing activity หรือการจัดบันทึกการประมวณผลข้อมูลส่วนบุคคล กิจกรรมนี้ช่วยให้องค์กรสามารถปฏิบัติตามมาตรา 39 และมาตรา 40 (3) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 โดยต้องบันทึกกิจรายละเอียดเกี่ยวกับกิจกรรมการประมวลผลข้อมูลส่วนบุคคลที่เกิดขึ้นในองค์กร
ข้อดีของการทำ Record of rocessing activity
ข้อที่ 1 ทำให้องค์กรเห็นภาพรวมของกิจกรรมการใช้ข้อมูลส่วนบุคคลทั้งหมด อย่างที่ทุกท่านทราบกันดีว่า Record of rocessing activity คือการบันทึกการประมวลผลข้อมูลส่วนบุคคล อันประกอบไปด้วย รายชื่อกิจกรรมการใช้ข้อมูลส่วนบุคคล, สถานที่จัดเก็บข้อมูลส่วนบุคคล, วัตถุประสงค์ของการจัดเก็บ, รถบุรายชื่อบุคคลที่สามารถเข้าถึงข้อมูลเหล่านั้นได้ หรือ ระยะเวลาการทำลายข้อมูล ซึ่งตัว Record of rocessing activity ก็เปรียบเสมือนแผนที่ ที่บ่งบอกการใช้ข้อมูลส่วนบุคคลทั้งหมดภายในองค์กร ทำให้เห็นภาพรวมกิจกรรมทั้งหมดและรวมไปถึงกิจกรรมการใช้ข้อมูลที่ไม่ได้เกิดขึ้นบ่อยหรือคาดไม่ถึง หากองค์กรทำ Record of rocessing activity จนบรรบุความสำเร็จ กระบวนการอื่นที่เกี่ยวข้องจะกลายเป็นเรื่องง่าย และสามารถอัพเดทข้อมูลกิจกรรมต่าง ๆ ให้เป็นปัจจุบันได้สะดวกยิ่งขึ้น
ข้อที่ 2 Record of rocessing activity เกี่ยวข้องกับการประกาศนโยบายความเป็นส่วนตัว หากองค์กรทำ Record of rocessing activity สำเร็จแล้ว องค์กรจะเห็นภาพการใช้ข้อมูลส่วนบุคคลทั้งหมดภายในองค์กร ซึ่งจะทำให้การออกประกาศนโยบายความเป็นส่วนตัวหรือ Privacy Notice นั้นครอบคลุมกิจกรรมและข้อมูลส่วนบุคคลที่ต้องการใช้ทั้งหมด ขณะเดียวกันหากองค์กรทำการร่าง Privacy Notice ก่อนการทำ Record of rocessing activity อาจมีกิจกรรมการใช้ข้อมูลส่วนบุคคลบางอย่างที่คาดไม่ถึงและตกหล่นไป และอาจต้องเสียเวลาในการขอคำยินยอมใหม่
ข้อที่ 3 เพื่อเตรียมพร้อมและรองรับการใช้สิทธิ์ของเจ้าของข้อมูลส่วนบุคคล จากข้อที่ 1 หากองค์กรเห็นภาพรวมการใช้ข้อมูลส่วนบุคคลภายในองค์กรทั้งหมดแล้ว การดำเนินการเพื่อขอใช้สิทธิของเจ้าของข้อมูล จะสามารถจัดการสิทธิ์ได้อย่างรวดเร็วและถูกต้อง
ข้อที่ 4 สร้างวัฒนธรรมการตระหนักรู้เรื่องความเป็นส่วนตัวภายในองค์กร เมื่อองค์กรเข้าใจกิจกรรมการใช้ข้อมูลส่วนบุคคลทั้งหมดภายในแผนก และเข้าใจความสำคัญของข้อมูลส่วนบุคคลแล้ว จะเอื้อให้เกิดการสร้างการตระหนักรู้ในการใช้ข้อมูลส่วนบุคคลภายในแผนกได้ เมื่อกพนักงานในองค์กรตระหนักรู้และเห็นความสำคัญโดยพร้อมเพรียงกัน การตระหนักรู้จะเกิดขึ้นในกระบวนการทำงานได้อัตโนมัติ
ข้อที่ 5 เพื่อ Comply กฎหมาย PDPA ปัจจุบันและอนาคตที่จะเกิดขึ้น อย่างที่ทุกท่านทราบว่าการทำ Record of rocessing activity ถือเป็นกระบวนหนึ่งในการปฏิบัติตามกฎหมาย PDPA ตามมาตรา 39 และหากในอนาคตมีกฎหมายลูกหรือกฎหมายพิเศษที่เกี่ยวข้องออกมา การทำ Record of rocessing activity จะเป็นหนึ่งในกระบวนการที่ช่วยให้การ Comply กฎหมายใหม่เหล่านั้นได้ง่ายมากขึ้นนั้นเอง
สามารถอ่าน content ที่น่าสนใจได้ที่ สรุปบทลงโทษกฎหมาย PDPA หากไม่กระทำตาม