บันทึกรายการกิจกรรมการประมวลผล (ROPA)
สารบัญในมาตรานี้
นิยาม
ROPA ย่อมาจาก Records of Processing Activities ในภาษาอังกฤษ — เป็นศัพท์ที่นิยมใช้ในมาตรฐานสากลและในตำราภาษาไทยเรียกทับศัพท์ว่า "ROPA"
บันทึกรายการกิจกรรมการประมวลผล (ROPA) คือเอกสารที่ผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลต้องจัดทำและเก็บรักษา เพื่อบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคลทั้งหมดในองค์กร — เป็นหลักฐานว่าได้ปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล + ใช้สนับสนุนการตรวจสอบของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและเจ้าของข้อมูล
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลกำหนดข้อบังคับเกี่ยวกับ ROPA ไว้ใน:
ทั้งสองมาตราระบุว่า "ให้เป็นไปตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด"
ตัวอย่าง
ข้อมูลที่ควรอยู่ใน ROPA (แนวปฏิบัติสากล)
ROPA ของผู้ควบคุมข้อมูลควรครอบคลุมอย่างน้อย:
- ชื่อและรายละเอียดของผู้ควบคุมข้อมูล + ตัวแทน (ถ้ามี) + DPO (ถ้ามี)
- วัตถุประสงค์ของการประมวลผล ในแต่ละกิจกรรม
- ฐานในการประมวลผล (ตาม มาตรา 24 หรือ มาตรา 26) — ระบุชัดว่าใช้ฐานใดในแต่ละกิจกรรม
- ประเภทของเจ้าของข้อมูล — เช่น ลูกค้า พนักงาน คู่ค้า ผู้รับเงินบำเหน็จ
- ประเภทของข้อมูลส่วนบุคคล — ระบุชัด รวมข้อมูลอ่อนไหวหากมี
- ผู้รับข้อมูล — หน่วยงานราชการ ผู้ประมวลผลที่จ้าง ประเทศที่ส่งข้อมูลไป
- การส่งข้อมูลข้ามประเทศ — ประเทศปลายทาง + กลไกคุ้มครอง (ตาม มาตรา 28 หรือ มาตรา 29)
- ระยะเวลาการเก็บข้อมูล — ระยะเวลาที่กำหนดไว้สำหรับแต่ละประเภทข้อมูล
- มาตรการรักษาความมั่นคงปลอดภัย — มาตรการทางเทคนิคและเชิงองค์กร
- ปฏิเสธคำขอใช้สิทธิ์ — เมื่อผู้ควบคุมปฏิเสธคำขอตาม มาตรา 36 ต้องบันทึกเหตุผลในรายการนี้
ROPA ของผู้ประมวลผล (มาตรา 40 (3))
ผู้ประมวลผลต้องบันทึกรายการประมวลผลของตน ครอบคลุมอย่างน้อย:
- ชื่อและรายละเอียดของผู้ประมวลผล + ผู้ควบคุมที่จ้าง + DPO (ถ้ามี)
- ประเภทของการประมวลผล ที่ดำเนินการในนามของผู้ควบคุมแต่ละราย
- การส่งข้อมูลข้ามประเทศ (ถ้ามี)
- มาตรการรักษาความมั่นคงปลอดภัย
กรณีศึกษา
- บริษัทอีคอมเมิร์ซขนาดกลาง: ROPA แยกหมวดเป็นการประมวลผลลูกค้า / พนักงาน / คู่ค้า / ฐานข้อมูลทางตลาด — แต่ละหมวดระบุวัตถุประสงค์ ฐาน ประเภทข้อมูล ระยะเวลาเก็บ
- โรงพยาบาล: ROPA มีหมวดผู้ป่วย (ข้อมูลอ่อนไหว ฐาน = มาตรา 26 (5) (ก)) + พนักงาน + ผู้บริจาคโลหิต (ข้อมูลอ่อนไหว ฐาน = ความยินยอมโดยชัดแจ้ง)
- ผู้ให้บริการคลาวด์ (ผู้ประมวลผล): ROPA ระบุประเภทการประมวลผลที่ทำให้ลูกค้าแต่ละราย + มาตรการความปลอดภัย + การส่งข้อมูลไปต่างประเทศ (ถ้ามี) — ไม่ต้องระบุวัตถุประสงค์เพราะเป็นของลูกค้าผู้ควบคุม
มาตราที่เกี่ยวข้อง
บทบัญญัติหลัก:
- มาตรา 39 — ⭐ มาตราหลัก: ROPA ของผู้ควบคุมข้อมูล + อ้างถึง มาตรา 36 (บันทึกการปฏิเสธคำขอแก้ไข)
- มาตรา 40 (3) — ROPA ของผู้ประมวลผลข้อมูล
ความเกี่ยวเนื่อง:
- มาตรา 36 — กลไกบันทึกในกรณีที่ผู้ควบคุมปฏิเสธคำขอแก้ไขข้อมูลตาม มาตรา 35 — ต้องบันทึกในรายการตาม มาตรา 39
ประกาศที่เกี่ยวข้อง
-
หมายเหตุ
- ROPA = หลักฐานการปฏิบัติตาม พ.ร.บ.: สำคัญเพราะภาระการพิสูจน์อยู่ที่ผู้ควบคุม — เมื่อมีข้อโต้แย้งหรือถูกตรวจสอบ ผู้ควบคุมต้องแสดงให้เห็นว่าการประมวลผลแต่ละครั้งอยู่บนฐานใดและมีมาตรการคุ้มครองอย่างไร — ROPA เป็นเอกสารที่ตอบคำถามเหล่านี้
- เอกสารต้องอัปเดตอย่างต่อเนื่อง: ROPA ไม่ใช่เอกสารที่ทำครั้งเดียวจบ — ต้องอัปเดตทุกครั้งที่มีกิจกรรมการประมวลผลใหม่ เปลี่ยนวัตถุประสงค์ หรือเปลี่ยนผู้รับข้อมูล
- ROPA vs DPIA: ROPA = บันทึกการประมวลผลทุกกิจกรรม (เน้นการบันทึก) — DPIA = ประเมินความเสี่ยงเฉพาะกิจกรรมที่มีความเสี่ยงสูง (เน้นการประเมิน) — ทั้งสองเสริมกันแต่ไม่เหมือนกัน
- เทียบกับ GDPR Art. 30: สอดคล้องกับบันทึกรายการกิจกรรมการประมวลผลตาม GDPR Art. 30 — เกือบสมมาตร 1:1 ทั้งสำหรับผู้ควบคุมและผู้ประมวลผล GDPR มีข้อยกเว้นสำหรับองค์กรขนาดเล็ก (น้อยกว่า 250 คน) ที่ไม่มีการประมวลผลความเสี่ยงสูง — พ.ร.บ. ไทยไม่ได้บัญญัติข้อยกเว้นนี้ชัดเจน ขึ้นกับประกาศของคณะกรรมการ
- เอกสารต้องเปิดเผยให้ใคร: ROPA ต้องพร้อมให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตรวจสอบเมื่อมีคำขอ — ไม่จำเป็นต้องเปิดเผยต่อสาธารณะ แต่บางส่วน (เช่น วัตถุประสงค์ ระยะเวลาเก็บ) ควรแจ้งให้เจ้าของข้อมูลทราบตาม มาตรา 23
- รูปแบบของ ROPA: ไม่มีข้อกำหนดรูปแบบเฉพาะ — อาจเป็นเอกสารกระดาษ ตารางในแฟ้มบันทึก หรือฐานข้อมูลในระบบ — แต่ต้องเข้าถึงได้และตรวจสอบได้