ROPA คืออะไร? เกี่ยวอะไรกับ PDPA? HR ต้องอ่าน!
เชื่อว่าหลายคนคงเคยได้ยินเรื่องกฎหมาย PDPA ที่เพิ่งมีการประกาศใช้ไปเมื่อ 1 มิถุนาที่ผ่านมาซึ่งการประกาศใช้ครั้งนี้เรียกว่าสร้างความเปลี่ยนแปลงให้กับหลายองค์กรเลยทีเดียว เพราะในการประกาศใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA นั้นได้มีข้อกำหนดเกี่ยวกับการดูแลข้อมูลส่วนบุคคล ไม่ว่าจะเป็นของพนักงานหรือของลูกค้าเองก็ตาม ต้องได้รับความคุ้มครองทั้งหมด แต่ทั้งนี้ในรายละเอียดของ PDPA ได้มีข้อกำหนดเกี่ยวกับการบันทึก ROPA กำหนดอยู่ด้วย ทำให้หลายคนเกิดความสงสัยว่า ROPA คืออะไร
วันนี้ JOBCAN จึงได้นำเอารายละเอียดเกี่ยวกับการทำบันทึก ROPA ว่าคืออะไรกันแน่ มีความสำคัญอย่างไร และที่สำคัญคือมีส่วนสำคัญหรือส่วนประกอบอย่างไรบ้าง เราไปดูกันเลย
ทำความรู้จักกับ ROPA
ROPA ย่อมาจาก Records of Processing Activity คือบันทึกกิจกรรมของข้อมูลส่วนบุคคล ตั้งแต่ความยินยอมในการจัดเก็บข้อมูลส่วนตัวไปจนถึงการใช้งาน โยกย้าย เรียกว่าจะต้องมีรายการบันทึกทุกความเคลื่อนไหวที่เกิดขึ้นกับข้อมูลส่วนบุคคล ไม่ว่าข้อมูลเหล่านั้นจะถูกจัดเก็บในรูปแบบฐานข้อมูลอิเล็กทรอนิกส์ รูปแบบกระดาษหรือเอกสารที่จับต้องได้ หากเป็นข้อมูลส่วนบุคคลล้วนต้องมีการบันทึกความเคลื่อนไหวเก็บไว้ทุกรายการกิจกรรม
ส่วนประกอบในการทำ ROPA
ROPA สามารถทำได้ทั้งในรูปแบบอิเล็กทรอนิกส์และรูปแบบกระดาษ เพียงแค่ต้องมีการบันทึกกิจกรรมความเคลื่อนไหวเองไว้เท่านั้น โดยสิ่งที่ต้องบันทึกลงใน ROPA ได้แก่
- ข้อมูลส่วนบุคคลที่ได้เก็บรักษาไว้ ไม่ว่าจะเป็นข้อมูลพื้นฐานหรือเป็นข้อมูลส่วนบุคคลประเภทอ่อนไหว เช่นความคิดเห็นทางการเมือง ความเชื่อ เป็นต้น จะต้องมีการบันทึกเก็บไว้อย่างครบถ้วน
- แหล่งที่มาของข้อมูลส่วนบุคคล การเก็บแหล่งที่มาโดยส่วนมากจะแยกเป็น 2 ส่วนคือส่วนภายในหรือจากพนักงานในองค์กร ส่วนภายนอกหรือจากลูกค้าหรือผู้สนใจสินค้าที่ได้ให้ข้อมูลเอาไว้ แต่ทั้งสองส่วนมีสิ่งสำคัญคือการยินยอมให้เก็บข้อมูล
- วัตถุประสงค์ของการเก็บข้อมูลส่วนบุคคล ในการอนุมัติยินยอมให้เก็บและใช้ข้อมูลนั้นจะต้องเขียนเป็นลายลักษณ์อักษรให้ชัดเจนถึงขอบเขตการใช้งานว่ามีวัตถุประสงค์เพื่ออะไร ซึ่งแต่ละคนอาจมีเงื่อนไขไม่เท่ากัน ดังนั้น ควรมีการจัดกลุ่มและบันทึกเก็บไว้อย่างละเอียด
- ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล ผู้ควบคุมคือผู้ที่บริหารและดูแลข้อมูล ทั้งยังมีหน้าที่ในการเคลื่อนไหวข้อมูลภายใต้คำยินยอม ซึ่งหากมีความผิดพลาดผู้ควบคุมข้อมูลจะเป็นผู้รับผิดชอบส่วนหนึ่ง ดังนั้นจึงต้องมีข้อมูลของผู้ควบคุมข้อมูลบันทึกไว้อย่างชัดเจน
- ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล ในการเก็บข้อมูลส่วนบุคคลย่อมมีการกำหนดเวลาเพื่อการอนุมัติยินยอมให้ใช้ข้อมูลส่วนบุคคล หากคำอนุมัติหมดอายุแล้วย่อมไม่อาจเก็บข้อมูลส่วนบุคคลต่อไปได้ไม่อย่างนั้นจะนับว่าละเมิด PDPA ดังนั้น จะต้องมีการบันทึกและให้ความสำคัญกับระยะเวลาที่สามารถเก็บข้อมูลด้วย
- สิทธิและเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคล ข้อมูลส่วนบุคคลจะต้องได้รับการดูแลอย่างเข้มงวดในทุกการเคลื่อนไหว ดังนั้น การให้สิทธิในการเข้าถึงจึงต้องมีการกำหนดเงื่อนไขให้ชัดเจน
- วิธีการเข้าถึงข้อมูลส่วนบุคคลและเงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคล ด้วยความสำคัญของข้อมูลส่วนบุคคลซึ่งได้รับการดูแลจากกฎหมาย PDPA ทำให้การจัดเก็บข้อมูลส่วนบุคคลจะต้องมีการรักษาความปลอดภัยอย่างเข้มงวดอยู่เสมอ ดังนั้นใน ROPA จึงต้องมีการเขียนข้อกำหนดหรือเงื่อนไขในการเข้าถึงข้อมูลให้ชัดเจนเพื่อบังคับใช้อย่างจริงจังภายในองค์กร
- การใช้หรือเปิดเผยที่ได้รับการยกเว้นไม่ต้องขอความยินยอม ROPA จะบันทึกกรณีนี้เพื่อเป็นข้อกำหนดในการยกเว้นความยินยอม
- การปฏิเสธคำขอหรือการคัดค้านการใช้ข้อมูลส่วนบุคคล เมื่อ ROPA คือการบันทึกทุกความเคลื่อนไหว ทุกกิจกรรมของข้อมูลส่วนบุคคล จึงต้องมีการบันทึกคำขอที่ได้รับการปฏิเสธด้วยเช่นกัน ซึ่งหากมีการละเมิดข้อมูลหรือมีความผิดพลาดเกี่ยวข้อมูลในส่วนนั้นเกิดขึ้นจะช่วยให้ตรวจสอบได้ง่ายมากขึ้น ว่าเป็นเพราะอะไร
- คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัย การทำ ROPA เป็นเสมือนคู่มือการดูแลรักษาข้อมูลส่วนบุคคล จึงต้องมีการกำหนดมาตรการในการดูแลข้อมูลเอาไว้ให้ชัดเจน เพื่อให้มีผลบังคับใช้อย่างถูกต้อง
เมื่อองค์กรหรือบริษัทต้องทำ ROPA แล้วจะต้องมีการบันทึกส่วนประกอบเหล่านี้ลงไปด้วย เพื่อให้สามารถตรวจสอบความเคลื่อนไหวของข้อมูลส่วนบุคคลได้อย่างละเอียด หากมีความผิดพลาดเกิดขึ้นกับข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมไว้จะสามารถรับรู้ได้ทันทีว่าจุดที่เกิดปัญหาคือส่วนใด และสามารถแก้ไขได้ทันก่อนเกิดความเสียหายนั่นเอง
สำหรับการทำ ROPA นั้นแต่ละองค์กรย่อมมีตัวช่วยที่แตกต่างกัน แต่หากองค์กรใดต้องการทำขึ้นเองก็ใช่ว่าจะเป็นไปไม่ได้ โดยเฉพาะในองค์กรขนาดเล็กที่มีข้อมูลส่วนบุคคลอยู่ไม่มากนัก สามารถสร้างตารางเพื่อจัดระเบียบข้อมูลโดยมีรายละเอียดหัวข้อตามส่วนประกอบของ ROPA ได้เลย เพียงเท่านี้ก็ได้ ROPA ขององค์กรแล้ว อย่างไรก็ตาม การเก็บรักษา ROPA ให้ดีก็เป็นส่วนที่สำคัญไม่แพ้กัน
Jobcan Workflow
ระบบอนุมัติคำขอ จัดการเอกสารออนไลน์
สนใจระบบ Jobcan ติดต่อ 02-107-1867
LINE@ : @jobcan_th
Facebook : Jobcan Thailand
ลงทะเบียนสอบถามข้อมูล : https://bit.ly/3P0dVmg
Recent Comments