แนวทางจัดทำบันทึกรายการกิจกรรม การประมวลผลข้อมูลส่วนบุคคล
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดให้องค์กรมีหน้าที่ตามมาตรา 39 ในการจัดให้มีบันทึกรายการกิจกรรมอย่างน้อยดังต่อไปนี้ เพื่อให้เจ้าของข้อมูลส่วนบุคคล และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล สามารถตรวจสอบได้
(1) ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ซึ่งได้แก่คำอธิบายเกี่ยวกับประเภทของบุคคล (categories of individual) หรือประเภทของข้อมูลส่วนบุคคล (categories of personal data) ที่องค์กรทำการประมวลผล
(2) วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภท
(3) ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล ได้แก่ ชื่อ และรายละเอียดการติดต่อขององค์กร รวมถึงเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (4) ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล (5) สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล รวมทั้งเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลและเงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคลนั้น
(6) การใช้หรือเปิดเผยตามมาตรา 27 วรรคสาม กล่าวคือ หากองค์กรใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยได้รับยกเว้นไม่ต้องขอความยินยอมตามมาตรา 24 หรือมาตรา 26 องค์กรต้องบันทึกการใช้หรือเปิดเผยนั้นไว้ในรายการตามมาตรา 39 ด้วย
ซึ่งในทางปฏิบัติหมายความถึง (1) ให้ระบุฐานทางกฎหมายในการประมวลผล (2) ให้ระบุการเปิดเผยข้อมูลส่วนบุคคลไปยังบุคคลภายนอก และ (3) ให้ระบุการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
(7) การบันทึกรายละเอียดการปฏิเสธคำขอหรือการคัดค้านการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามมาตรา 30 วรรคสาม (สิทธิในการเข้าถึง) มาตรา 31 วรรคสาม (สิทธิในการขอให้โอนข้อมูล) มาตรา 32 วรรคสาม (สิทธิในการคัดค้านการประมวลผล) และมาตรา 36 วรรคหนึ่ง (สิทธิในการขอแก้ไขข้อมูลให้ถูกต้อง) ตามเงื่อนไขที่กฎหมายกำหนด
(8) คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยตามมาตรา 37 (1) โดยในการจัดทำบันทึกรายการกิจกรรมฯ หรือ Record of Processing Activities (ROPA) องค์กรอาจจัดเตรียมบันทึกรายการกิจกรรมฯ โดยพิจารณาดังนี้
(1) องค์กรที่มีหน้าที่ต้องจัดให้มีการบันทึกรายการกิจกรรมฯ ต้องสอบทานในส่วนของวัตถุประสงค์การประมวลผล การเปิดเผยข้อมูลส่วนบุคคล และระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล (2) องค์กรต้องสามารถให้เจ้าของข้อมูลส่วนบุคคล และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ตรวจสอบบันทึกรายการกิจกรรมฯ ได้
(3) บันทึกรายการกิจกรรมฯ ช่วยให้องค์กรสามารถปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลในประเด็นอื่น ๆ ได้ดียิ่งขึ้น และช่วยสร้างธรรมาภิบาลของข้อมูล (4) ทั้งผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล มีหน้าที่ในการจัดทำเอกสารบันทึกรายการกิจกรรมฯ
(5) การทำผังวงจรชีวิตของข้อมูลจะช่วยตรวจสอบกิจกรรมการประมวลผลข้อมูลส่วนบุคคลในองค์กรให้ถูกต้องเป็นปัจจุบัน (6) บันทึกรายการกิจกรรมฯ ต้องมีความถูกต้องเป็นปัจจุบันและสะท้อนการประมวลผลข้อมูลส่วนบุคคลในองค์กร
ดังนั้น เมื่อมีความเปลี่ยนแปลงเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลที่มีผลกระทบต่อความถูกต้องสมบูรณ์ของบันทึกรายการกิจกรรมฯ อาทิ มีการโอนข้อมูลเพิ่มเติมไปยังองค์กรอื่น ๆ ทั้งในและต่างประเทศ หรือมีการขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล จึงต้องมีการแก้ไขบันทึกรายการกิจกรรมฯ ด้วยเป็นต้น
ในส่วนข้อแนะนำในการจัดทำบันทึกรายการกิจกรรมฯ มีข้อแนะนำเพิ่มเติมตามแนวปฏิบัติที่ดีของ UK ICO ซึ่งเป็นหน่วยงานบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของอังกฤษ ดังนี้
1) ในการทำบันทึกกิจกรรมฯ องค์กรควรดำเนินการ ดังนี้
1.1.ทบทวนการประมวลผลขององค์กรว่ามีการเก็บรวบรวมข้อมูลส่วนบุคคลประเภทใดบ้าง
1.2.มีการสอบทานข้อเท็จจริงกับบุคคลต่าง ๆ ในองค์กรเพื่อให้ได้ข้อมูลที่ถูกต้องเกี่ยวกับกิจกรรมการประมวลผล
1.3.ได้ทำการทบทวนนโยบาย แนวทางปฏิบัติ สัญญาหรือข้อตกลงซึ่งเกี่ยวข้องกับระยะเวลาการจัดเก็บข้อมูล มาตรการด้านความมั่นคงปลอดภัย และการเปิดเผยหรือการโอนข้อมูล
2) ในการจัดทำบันทึกรายการกิจกรรมฯ องค์กรได้ทำการเชื่อมโยงข้อมูลดังนี้
2.1.ข้อมูลที่ต้องแจ้งหรือเปิดเผยในประกาศความเป็นส่วนตัว (Privacy Notice)
2.2.บันทึกความยินยอม
2.3.ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล
2.4.แหล่งที่เก็บของข้อมูลส่วนบุคคล
2.5.การประเมินความเสี่ยงที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล
2.6.บันทึกเหตุการละเมิดข้อมูลส่วนบุคคล
2.7.องค์กรควรจัดทำบันทึกรายการกิจกรรมในรูปแบบอิเล็กทรอนิกส์ ซึ่งสามารถเพิ่มเติม ลบออก และแก้ไขข้อมูลได้โดยง่าย
นอกจากนี้ ตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลยังอาจกำหนดเงื่อนไขบางประการเพิ่มเติมเกี่ยวกับการจัดทำบันทึกรายการกิจกรรมฯ ได้ดังนี้
(1) กำหนดยกเว้นให้ผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็กตามหลักเกณฑ์ที่คณะกรรมการฯ กำหนดไม่ต้องจัดทำบันทึกรายการกิจกรรมฯ
(2) กำหนดให้ “ผู้ประมวลผลข้อมูลส่วนบุคคล” มีหน้าที่จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมฯ ตามหลักเกณฑ์และวิธีการที่คณะกรรมการฯ ประกาศกำหนด
ซึ่งในปัจจุบันยังไม่มีประกาศคณะกรรมการฯ ตามข้อ (1) และ (2) แต่เพื่อเป็นกรณีศึกษา ในส่วนของ 2 ประเด็นข้างต้นนั้น กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (GDPR) ได้กำหนดหลักเกณฑ์ ไว้ดังนี้
1) ผู้ประมวลผลข้อมูลส่วนบุคคล ต้องจัดทำบันทึกรายการของกิจกรรมฯ มีรายละเอียดอย่างน้อย ดังนี้
1.1.ชื่อและสถานที่ติดต่อของผู้ประมวลผลข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคล รวมถึงผู้แทนและเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ถ้าหากมี
1.2.ประเภทของกิจกรรมการประมวลผลที่ดำเนินการให้แก่ผู้ว่าจ้างแต่ละราย
1.3.รายละเอียดการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
1.4.คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัย
2) GDPR กำหนดยกเว้นให้องค์กรที่มีพนักงานน้อยกว่า 250 คน ได้รับยกเว้นไม้ต้องจัดทำบันทึกรายการของกิจกรรมฯ เว้นแต่มีการประมวลผลข้อมูลส่วนบุคคลที่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล หรือมีการประมวลผลข้อมูลส่วนบุคคลอ่อนไหว
ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ การที่องค์กรใดมีหน้าที่ต้องจัดทำบันทึกรายการกิจกรรมฯ แต่ไม่ดำเนินการให้ถูกต้องตามเงื่อนไขที่กฎหมายกำหนดอาจต้องระวางโทษปรับทางปกครองไม่เกินหนึ่งล้านบาทอีกด้วย
นอกจากสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลที่สามารถเข้าถึงหรือขอตรวจสอบบันทึกรายการของกิจกรรมฯ ได้ กฎหมายยังกำหนดให้ “เจ้าของข้อมูลส่วนบุคคล” สามารถเข้าถึงหรือ
ขอตรวจสอบบันทึกรายการของกิจกรรมฯ ได้อีกด้วย.