ประกาศ เรื่อง หลักเกณฑ์การจัดทำและเก็บรักษาบันทึกรายการของผู้ประมวลผลข้อมูลส่วนบุคคล พ.ศ. 2565

ใจความสำคัญ

ประกาศฉบับนี้กำหนดหลักเกณฑ์และวิธีการจัดทำและเก็บรักษา "บันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล" (ROPA) ฝั่งผู้ประมวลผลข้อมูลส่วนบุคคล ตามหน้าที่ใน มาตรา 40 วรรคหนึ่ง (3) — เป็นคู่ขนานของบันทึกรายการฝั่งผู้ควบคุมข้อมูลส่วนบุคคลตาม มาตรา 39

• ผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดทำบันทึกรายการแยกตามประเภทกิจกรรม โดยมีรายละเอียดอย่างน้อย 6 รายการ: ชื่อ/ข้อมูลผู้ประมวลผลและตัวแทน · ชื่อ/ข้อมูลผู้ควบคุมที่ตนรับดำเนินการให้และตัวแทน · เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (ถ้าจัดให้มี) · ประเภทหรือลักษณะการเก็บรวบรวม ใช้ เปิดเผยตามที่ได้รับมอบหมาย · ประเภทผู้รับข้อมูลกรณีส่งหรือโอนไปต่างประเทศ · คำอธิบายมาตรการรักษาความมั่นคงปลอดภัยตาม มาตรา 40 วรรคหนึ่ง (2)
• รูปแบบ: จัดทำเป็นหนังสือหรือรูปแบบอิเล็กทรอนิกส์ก็ได้ แต่ต้องเข้าถึงได้ง่ายและแสดงให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคล หรือบุคคลที่ได้รับมอบหมาย ตรวจสอบได้อย่างรวดเร็วเมื่อมีการร้องขอ
• ใช้บังคับเมื่อพ้นกำหนด 180 วันนับแต่วันประกาศในราชกิจจานุเบกษา (ประกาศ 20 มิถุนายน 2565) — มีผล 17 ธันวาคม 2565
• ผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็กได้รับยกเว้นหน้าที่นี้ตามเงื่อนไขใน ประกาศการยกเว้นการจัดทำบันทึกรายการของผู้ประมวลผลซึ่งเป็นกิจการขนาดเล็ก พ.ศ. 2567

ตัวบท

ข้อ 1 ประกาศนี้เรียกว่า "ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการจัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล พ.ศ. 2565"

ข้อ 2 ประกาศนี้ให้ใช้บังคับเมื่อพ้นกำหนดหนึ่งร้อยแปดสิบวันนับแต่วันประกาศในราชกิจจานุเบกษาเป็นต้นไป

ข้อ 3 ผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลของแต่ละประเภทกิจกรรมไว้ โดยมีรายละเอียดอย่างน้อย ดังต่อไปนี้

(1) ชื่อและข้อมูลเกี่ยวกับผู้ประมวลผลข้อมูลส่วนบุคคล และตัวแทนของผู้ประมวลผลข้อมูลส่วนบุคคลในกรณีที่มีการแต่งตั้งตัวแทน

(2) ชื่อและข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคลที่ผู้ประมวลผลข้อมูลส่วนบุคคลดำเนินการตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคลนั้น และตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคลในกรณีที่มีการแต่งตั้งตัวแทน

(3) ชื่อและข้อมูลเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล รวมถึงสถานที่ติดต่อและวิธีการติดต่อ ในกรณีที่ผู้ประมวลผลข้อมูลส่วนบุคคลจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

(4) ประเภทหรือลักษณะของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ผู้ประมวลผลข้อมูลส่วนบุคคลดำเนินการตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งรวมถึงข้อมูลส่วนบุคคลและวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามที่ได้รับมอบหมายจากผู้ควบคุมข้อมูลส่วนบุคคล

(5) ประเภทของบุคคลหรือหน่วยงานที่ได้รับข้อมูลส่วนบุคคล ในกรณีที่มีการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ

(6) คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยตาม มาตรา 40 วรรคหนึ่ง (2)

ผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลตามวรรคหนึ่งเป็นลายลักษณ์อักษร โดยจะจัดทำเป็นหนังสือหรือในรูปแบบอิเล็กทรอนิกส์ก็ได้ ทั้งนี้ บันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลดังกล่าวจะต้องเข้าถึงได้ง่าย และสามารถแสดงให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคล หรือบุคคลที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลหรือผู้ควบคุมข้อมูลส่วนบุคคลมอบหมายตรวจสอบได้อย่างรวดเร็วเมื่อมีการร้องขอ

ข้อ 4 ให้ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคลเป็นผู้รักษาการตามประกาศนี้

ประกาศ ณ วันที่ 10 มิถุนายน พ.ศ. 2565

เธียรชัย ณ นคร

ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคล

เหตุผลและฐานอำนาจ

โดยที่เป็นการสมควรกำหนดหลักเกณฑ์และวิธีการในการจัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล

อาศัยอำนาจตามความใน มาตรา 16 (4) และ มาตรา 40 วรรคหนึ่ง (3) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล จึงออกประกาศไว้

เอกสารต้นฉบับ

• PDF ต้นฉบับ (local)
• ที่มา: pdpc.or.th

(ประกาศในราชกิจจานุเบกษา เล่ม 139 ตอนพิเศษ 140 ง หน้า 26-27 วันที่ 20 มิถุนายน 2565 · วันมีผลใช้บังคับคำนวณจากวันประกาศ + 180 วัน = 17 ธันวาคม 2565)