02
Aug 23
เช็กให้ชัวร์ บันทึกรายการกิจกรรมการประมวลผลข้อมูล (RoPA) ธุรกิจคุณต้องทำหรือไม่?
กฎหมาย PDPA กำหนดให้ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) จัดทำ ‘บันทึกรายการกิจกรรมการประมวลผลข้อมูล’ หรือ RoPA (Record of Processing Activity) เพื่อให้เจ้าของข้อมูลส่วนบุคคล และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลสามารถตรวจสอบได้ โดยบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ ดังนี้ 1. ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม 2. วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภท 3. ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล 4. ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล 5. สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล รวมทั้งเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลและเงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคลนั้น 6. การใช้หรือเปิดเผยข้อมูลส่วนบุคคล 7. การปฏิเสธคำขอหรือการคัดค้านตามสิทธิของเจ้าของข้อมูลส่วนบุคคล 8. คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยในการคุ้มครองข้อมูลตามความเสี่ยงที่เหมาะสม อย่างไรก็ตาม กฎหมายได้อนุโลมให้แก่ผู้ควบคุมข้อมูลที่เป็นกิจการขนาดเล็ก ตามหลักเกณฑ์ที่คณะกรรมการประกาศในกำหนด หรือมีการเก็บข้อมูลเป็นครั้งคราว ซึ่งให้ทำเฉพาะข้อ 7 หรือการปฏิเสธคำขอ และคัดค้านตามสิทธิของเจ้าของข้อมูลส่วนบุคคล ถึงแม้ว่า จะมีการเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเป็นครั้งคราว หากข้อมูลเหล่านั้นมีความเสี่ยงก็จะเกิดผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล จำเป็นต้องทำบันทึกรายการทุกข้อตามที่กฎหมดกำหนด …
