ROPA ในกฎหมาย PDPA คืออะไร แล้วเราต้องทำอย่างไรกับมันดีนะ พร้อมแบบฟอร์ม ROPA

ท่ามกลางกระแสการเปลี่ยนผ่านสู่สังคมข้อมูล (Data Society) ที่ความเป็นส่วนตัวกลายเป็นสินทรัพย์ใหม่อันมีค่า กฎหมายคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ได้เข้ามามีบทบาทในฐานะกฎหมายแม่บทที่ควบคุมการเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคลอย่างเป็นระบบ หนึ่งในองค์ประกอบสำคัญที่ถูกระบุไว้ในกฎหมายนี้ คือการจัดทำ “บันทึกรายการกิจกรรมประมวลผลข้อมูลส่วนบุคคล” หรือที่รู้จักในแวดวงวิชาการและวิชาชีพในชื่อ “ROPA” (Record of Processing Activities) ซึ่งยังคงเป็นคำถามที่ท้าทายสำหรับหลายองค์กรในประเทศไทยว่า เราต้องดำเนินการกับมันอย่างไร และมีภาระหน้าที่ตามกฎหมายอย่างไรบ้าง?

ROPA คืออะไร และเหตุใดจึงสำคัญในระบบ PDPA

ROPA คือเอกสารหรือชุดข้อมูลที่จัดทำขึ้นโดย ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) และในบางกรณี ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) เพื่อแสดงรายละเอียดเกี่ยวกับกิจกรรมการประมวลผลข้อมูลส่วนบุคคลภายในองค์กรอย่างเป็นระบบ ครอบคลุมตั้งแต่แหล่งข้อมูล จุดประสงค์ ระยะเวลา รูปแบบความปลอดภัย ไปจนถึงการโอนข้อมูลไปยังต่างประเทศ

แม้ ROPA จะมีรากกำเนิดจากมาตรา 30 ของกฎหมายคุ้มครองข้อมูลส่วนบุคคลแห่งสหภาพยุโรป หรือ GDPR (General Data Protection Regulation) ซึ่งเป็นต้นแบบของ PDPA ของไทย แต่ในกรณีของประเทศไทยนั้น กฎหมาย PDPA ก็ได้บัญญัติไว้อย่างชัดเจนใน มาตรา 39 ว่า “ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องจัดทำบันทึกรายการกิจกรรมการประมวลผล” ซึ่งแสดงให้เห็นถึงความชัดเจนในการกำหนดภาระหน้าที่เชิงบังคับตามกฎหมายไทย

ขอบเขตตามกฎหมาย: ใครต้องทำ ROPA บ้าง?

กฎหมาย PDPA กำหนดให้ “ผู้ควบคุมข้อมูลส่วนบุคคล” ต้องจัดทำ ROPA เสมอ โดยไม่มีข้อยกเว้นตามขนาดองค์กรหรือปริมาณข้อมูล เช่นเดียวกับกรณีของ GDPR ที่ยังมีข้อยกเว้นสำหรับองค์กรขนาดเล็กในบางเงื่อนไข แต่ PDPA ของไทยไม่เปิดช่องดังกล่าว

ในทางปฏิบัติ หน่วยงานที่ต้องจัดทำ ROPA จึงรวมถึง:

• บริษัทเอกชนที่มีการเก็บและประมวลผลข้อมูลลูกค้า พนักงาน หรือบุคคลภายนอก

• หน่วยงานรัฐที่มีข้อมูลประชาชนในความดูแล

• สถาบันการศึกษา โรงพยาบาล สถานประกอบการ ฯลฯ

สำหรับ “ผู้ประมวลผลข้อมูลส่วนบุคคล” หรือ Data Processor นั้น PDPA ยังไม่ระบุภาระหน้าที่ในการจัดทำ ROPA โดยตรงอย่างชัดเจน แต่ในกรณีที่ได้รับมอบหมายจากผู้ควบคุม อาจต้องร่วมกันจัดทำหรือดำเนินการตามคำสั่งของผู้ควบคุมข้อมูล ซึ่งบางครั้งการทำ ROPA กลายเป็นบทบาทของ DPO (Data Protection Officer) ขององค์กรไปเลยก็มี

เพราะถึงแม้ PDPA ไม่ได้ระบุว่า DPO จะต้องเป็นผู้จัดทำ ROPA โดยตรง แต่ในทางปฏิบัติ DPO มีบทบาทสำคัญในการกำกับดูแลให้ผู้ควบคุมข้อมูลดำเนินการจัดทำ ROPA ให้ถูกต้องตามกฎหมาย อีกทั้งยังทำหน้าที่เป็นที่ปรึกษาแก่ผู้ควบคุมข้อมูลในการรวบรวมและประเมินความเสี่ยงจากกิจกรรมการประมวลผลต่าง ๆ

DPO ยังต้องมีส่วนร่วมในการตรวจสอบว่ามีการปรับปรุง ROPA อย่างสม่ำเสมอหรือไม่ โดยเฉพาะเมื่อองค์กรมีการเปลี่ยนแปลงวัตถุประสงค์หรือรูปแบบการใช้ข้อมูล

เนื้อหาที่ต้องมีใน ROPA ตาม PDPA

หากพิจารณาจากประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่องหลักเกณฑ์การจัดทำบันทึกรายการกิจกรรมประมวลผล พ.ศ. 2565 ซึ่งออกภายใต้ มาตรา 39 จะพบว่า องค์ประกอบของ ROPA ตามกฎหมายไทย ต้องประกอบด้วยข้อมูลขั้นต่ำดังนี้:

1. ชื่อหรือรายละเอียดของผู้ควบคุมข้อมูล

2. วัตถุประสงค์ของการประมวลผลแต่ละรายการ

3. คำอธิบายของประเภทข้อมูลส่วนบุคคลและเจ้าของข้อมูล

4. ประเภทของบุคคลหรือหน่วยงานที่ได้รับข้อมูล

5. การโอนข้อมูลไปต่างประเทศ (ถ้ามี)

6. ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล

7. มาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล

ROPA จึงเปรียบเสมือนแผนผังข้อมูล (Data Map) ที่เปิดเผยให้เห็นระบบข้อมูลในองค์กรอย่างโปร่งใส ซึ่งมีประโยชน์ต่อการกำกับดูแลตามหลักธรรมาภิบาลข้อมูล (Data Governance)

ข้อวิเคราะห์เชิงกฎหมาย: ROPA กับความรับผิดทางกฎหมาย

จากมุมมองเชิงกฎหมาย การไม่จัดทำ ROPA หรือการจัดทำไม่ครบถ้วนตามองค์ประกอบที่กฎหมายกำหนด อาจนำไปสู่การ ฝ่าฝืนมาตรา 39 ซึ่งหากถูกตรวจสอบโดยสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) และพบความผิดชัดเจน อาจมีโทษทางปกครอง เช่น คำสั่งให้แก้ไข ปรับปรุง หรือหยุดประมวลผลได้

ในกรณีที่มีการร้องเรียนจากเจ้าของข้อมูล และพบว่าไม่มี ROPA จัดทำไว้ หรือไม่สามารถแสดงต่อเจ้าหน้าที่ได้ในระยะเวลาที่เหมาะสม อาจถูกมองว่าไม่มีระบบควบคุมภายในอย่างเพียงพอ อันเป็นความบกพร่องเชิงนิติกรรมที่นำไปสู่การฟ้องร้องหรือเรียกค่าเสียหายทางแพ่งได้ในอนาคต

จะเริ่มต้นจัดทำ ROPA อย่างไร?

ผู้ควบคุมข้อมูลสามารถดำเนินการจัดทำ ROPA ด้วยแนวทางเบื้องต้นดังนี้:

1. ระบุรายการกิจกรรมทั้งหมดที่มีการประมวลผลข้อมูลส่วนบุคคลในองค์กร เช่น สมัครงาน การจัดทำเงินเดือน การตลาด CRM ฯลฯ

2. กำหนดวัตถุประสงค์ที่แน่ชัด ในแต่ละกิจกรรม เช่น เพื่อการจ้างงาน การประเมินผล หรือการให้สิทธิประโยชน์

3. จัดหมวดหมู่ประเภทของข้อมูล เช่น ข้อมูลทั่วไป (ชื่อ-สกุล) ข้อมูลทางการเงิน หรือข้อมูลอ่อนไหว

4. ระบุผู้เกี่ยวข้องและช่องทางการจัดเก็บ/ถ่ายโอนข้อมูล

5. บันทึกระยะเวลาและมาตรการรักษาความปลอดภัยในแต่ละกิจกรรม

องค์กรสามารถใช้ Excel หรือระบบจัดการข้อมูลส่วนบุคคล (Privacy Management Software) ที่มีฟังก์ชัน ROPA เพื่อช่วยในการจัดทำเอกสารดังกล่าวให้สอดคล้องกับมาตรฐาน ISO 27701 หรือ NIST Privacy Framework ได้

บทสรุป: ROPA ไม่ใช่ภาระ แต่คือเครื่องมือเชิงกลยุทธ์

แม้ ROPA จะถูกมองว่าเป็นภาระทางกฎหมายในมุมมองขององค์กร แต่ในความเป็นจริงแล้ว ROPA เป็นเครื่องมือเชิงกลยุทธ์ที่ช่วยให้องค์กรสามารถเข้าใจระบบข้อมูลของตนเองอย่างรอบด้าน เพิ่มศักยภาพในการบริหารความเสี่ยง ลดความเสียหายจากการละเมิด และส่งเสริมความเชื่อมั่นของลูกค้าและพันธมิตรทางธุรกิจ

ในยุคที่ความรับผิดชอบต่อข้อมูลไม่ใช่เรื่องของแผนกไอทีแต่เป็นภารกิจของทุกฝ่ายในองค์กร ROPA คือจุดเริ่มต้นของความเข้าใจและความโปร่งใสที่แท้จริง

อ้างอิงกฎหมายและประกาศที่เกี่ยวข้อง

• พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

• ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์การจัดทำบันทึกรายการกิจกรรมประมวลผล พ.ศ. 2565

• แนวทางปฏิบัติจาก European Data Protection Board (EDPB) เกี่ยวกับ Article 30 of GDPR

• ISO/IEC 27701:2019 Privacy Information Management