มาตรา 39

ตัวบท

มาตรา 39 ให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกรายการ อย่างน้อยดังต่อไปนี้ เพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานสามารถตรวจสอบได้ โดยจะบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้

(1) ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม

(2) วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภท

(3) ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล

(4) ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล

(5) สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล รวมทั้งเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลและเงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคลนั้น

(6) การใช้หรือเปิดเผยตามมาตรา 27 วรรคสาม

(7) การปฏิเสธคำขอหรือการคัดค้านตามมาตรา 30 วรรคสาม มาตรา 31 วรรคสาม มาตรา 32 วรรคสาม และมาตรา 36 วรรคหนึ่ง

(8) คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยตามมาตรา 37 (1)

ความในวรรคหนึ่งให้นำมาใช้บังคับกับตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคลตามมาตรา 5 วรรคสอง โดยอนุโลม

ความใน (1) (2) (3) (4) (5) (6) และ (8) อาจยกเว้นมิให้นำมาใช้บังคับกับผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็กตามหลักเกณฑ์ที่คณะกรรมการประกาศกำหนด เว้นแต่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล หรือมิใช่กิจการที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเป็นครั้งคราว หรือมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามมาตรา 26

สรุป

มาตรานี้กำหนดให้ผู้ควบคุมข้อมูลบันทึกรายการกิจกรรมประมวลผล (ROPA) ที่ครอบคลุม 8 องค์ประกอบ — เพื่อให้เจ้าของข้อมูลและสำนักงานตรวจสอบได้ บันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้ ตัวแทนของผู้ควบคุมต่างประเทศ (มาตรา 5 วรรคสอง) ก็ต้องบันทึกโดยอนุโลม กิจการเล็กอาจได้รับยกเว้นบางส่วน — แต่หากเก็บข้อมูลอ่อนไหวหรือมีความเสี่ยง ต้องบันทึกเต็มรูปแบบ

องค์ประกอบสำคัญ

• 8 รายการที่ต้องบันทึก (วรรค 1):
  • (1) ข้อมูลส่วนบุคคลที่เก็บรวบรวม
  • (2) วัตถุประสงค์ของการเก็บแต่ละประเภท
  • (3) ข้อมูลเกี่ยวกับผู้ควบคุม
  • (4) ระยะเวลาเก็บรักษา
  • (5) สิทธิและวิธีเข้าถึง + เงื่อนไขผู้มีสิทธิเข้าถึง
  • (6) การใช้/เปิดเผยตาม มาตรา 27 วรรคสาม (กรณีฐานยกเว้น)
  • (7) การปฏิเสธคำขอ/คัดค้านตาม:
    • มาตรา 30 วรรคสาม (ปฏิเสธสิทธิเข้าถึง)
    • มาตรา 31 วรรคสาม (ปฏิเสธสิทธิโอนย้ายข้อมูล)
    • มาตรา 32 วรรคสาม (ปฏิเสธคัดค้าน)
    • มาตรา 36 วรรคหนึ่ง (ปฏิเสธแก้ไข)
  • (8) คำอธิบายมาตรการความมั่นคงปลอดภัยตาม มาตรา 37 (1)
• รูปแบบของการบันทึก: หนังสือหรือระบบอิเล็กทรอนิกส์
• วัตถุประสงค์: ให้เจ้าของข้อมูลและสำนักงานตรวจสอบได้
• ตัวแทนของผู้ควบคุมต่างประเทศ (วรรค 2): ใช้บังคับกับตัวแทนตาม มาตรา 5 วรรคสอง โดยอนุโลม
• ข้อยกเว้นกิจการเล็ก (วรรค 3):
  • ยกเว้น (1)(2)(3)(4)(5)(6)(8) (แต่ไม่ยกเว้น (7)) — กิจการเล็กตามที่คณะกรรมการประกาศ
  • เว้นแต่: มีความเสี่ยงต่อสิทธิและเสรีภาพ หรือ ไม่ใช่กิจการที่เก็บข้อมูลเป็นครั้งคราว หรือ เก็บข้อมูลอ่อนไหวตาม มาตรา 26

มาตราที่อ้างอิง

• มาตรา 5 — ขอบเขตการบังคับใช้ — วรรคสอง (กรณีนอกราชอาณาจักร) ที่ตัวแทนของผู้ควบคุมต่างประเทศต้องบันทึก ROPA โดยอนุโลม
• มาตรา 26 — ฐานเก็บข้อมูลอ่อนไหว — กิจการเล็กที่เก็บข้อมูลตามนี้ไม่ได้รับยกเว้น
• มาตรา 27 — การใช้/เปิดเผย — วรรคสาม (กรณีใช้ฐานยกเว้น) เป็นรายการ (6)
• มาตรา 30 — สิทธิเข้าถึง — การปฏิเสธตามวรรคสามต้องบันทึกใน (7)
• มาตรา 31 — สิทธิให้โอนย้ายข้อมูล — การปฏิเสธตามวรรคสามต้องบันทึกใน (7)
• มาตรา 32 — สิทธิคัดค้าน — การปฏิเสธคัดค้านตามวรรคสามต้องบันทึกใน (7)
• มาตรา 36 — สิทธิแก้ไข — คำร้องขอที่ไม่ดำเนินการตามวรรคหนึ่งต้องบันทึกใน (7)
• มาตรา 37 — หน้าที่ผู้ควบคุม — (1) มาตรการความมั่นคงปลอดภัย เป็นรายการ (8)

หมายเหตุ

• เทียบ GDPR: สอดคล้องกับ Article 30 (บันทึกรายการกิจกรรมประมวลผล) — โครงสร้างคล้ายแต่รายละเอียดต่างกันบ้าง (PDPA เน้นการบันทึกการปฏิเสธสิทธิด้วยใน (7))
• ความสำคัญของ ROPA:
  • หลักความรับผิดชอบ: ผู้ควบคุมต้องสามารถแสดงให้เห็นการปฏิบัติตาม PDPA — ROPA คือหลักฐาน
  • เครื่องมือสำหรับ DPIA: ROPA เป็นข้อมูลพื้นฐานในการประเมินความเสี่ยง
  • เครื่องมือสำหรับการตรวจสอบ: สำนักงานใช้ตรวจสอบเมื่อมีการตรวจสอบหรือสอบสวน
• (7) ยังต้องทำเสมอ: ข้อยกเว้นกิจการเล็กยกเว้นเฉพาะ (1)-(6) + (8) — การปฏิเสธสิทธิยังต้องบันทึก เพื่อให้เจ้าของข้อมูลตรวจสอบได้
• เกณฑ์ "กิจการเล็ก": ต้องดูประกาศคณะกรรมการ — ในแนวปฏิบัติทั่วไปอาจอ้างเกณฑ์ของกิจการขนาดกลางและขนาดย่อม (จำนวนพนักงาน/รายได้)
• 3 กรณีที่ยังต้องบันทึกแม้เป็นกิจการเล็ก:
  • มีความเสี่ยงต่อสิทธิและเสรีภาพ เช่น การวิเคราะห์ข้อมูลขนาดใหญ่ การจัดทำโพรไฟล์ การเฝ้าติดตาม
  • ไม่ใช่ครั้งคราว เช่น การประมวลผลเป็นกิจกรรมหลักของกิจการ
  • ข้อมูลอ่อนไหวตาม มาตรา 26 — เช่น กิจการสุขภาพ คลินิกแพทย์
• รูปแบบบันทึกในทางปฏิบัติ:
  • ตารางคำนวณหรือฐานข้อมูล สำหรับองค์กรขนาดกลาง-ใหญ่
  • เอกสารประมวลผลคำ สำหรับองค์กรเล็ก
  • ระบบกำกับดูแลความเสี่ยงและการปฏิบัติตามกฎเกณฑ์เฉพาะทาง สำหรับองค์กรใหญ่/ที่มี DPO
• ความเชื่อมโยงในระบบ PDPA: ROPA เป็นจุดศูนย์กลางที่หลายมาตราอ้างถึง — เห็นได้ว่ามาตราต่างๆ ใน หมวด 3 ที่ระบุ "บันทึกใน มาตรา 39" สะท้อนความเป็นกลไกหลักของการตรวจสอบความรับผิด