(Blog) ความสำคัญของการจัดทำ RoPA กับงานห้องสมุด ตามกฏหมาย PDPA

สรุปสาระสำคัญของการจัดอบรมเรื่อง “ความสำคัญของการจัดทำ RoPA กับงานห้องสมุดตามกฏหมาย PDPA “ วิทยากรโดยนางละอองดาว สมดีวีรเดช รักษาการผู้อำนวยการกองกฎหมาย มหาวิทยาลัยขอนแก่น  วันที่ 12 มิถุนายน  2566 เวลา 13.00-16.30 น โดยห้องประชุมออนไลน์ ดังนี้ 

การจัดทำRoPA (RoPA of Processing Activities)หรือการบันทึกรายการของกิจกรรมประมวลผลข้อมูลส่วนบุคคล ถูกกำหนดด้วยกฏหมายกการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตราที่ 39 (และมาตราที 40) เป็นกฏหมายที่ให้สิทธิกับเข้าของข้อมูลส่วนบุคคล สร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำไปใช้ให้ถูกวัตถุประสงค์ ตามคำยินยอมที่เจ้าของข้อมูลอนุญาต โดยกฏหมายได้ประกาศไว้ในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 และถูกเลือนให้มีผลบังคับใช้เมื่อวันที่ 1 มิถุนายน 2565

บุคคลสำคัญที่เกี่ยวข้องตามกฏหมาย PAPA มีดังนี้ 

1. Data Subject หรือเจ้าของข้อม฿ลส่วนบุคคล มีสิทธิภาวัตถุประสงค์ในการจัดเก็บ/เผยแพร่ข้อมูล/รวมถึงขอลบ ระงับได้เมื่อไม่ต้องการและสามารถร้องเรียนหากข้อมูลของตนถูกนำไปใช้ผิดวัตถุประสงค์ 
2. Data Controller หรือผู้ควบคุมข้อมูล หน่วยงาน/องค์กร/สถาบันที่มีอำนวจในการตัดสินใจเป็นผู้กำหนดวัตถุประสงค์ วิธีการประมวลผลและวิธีจัดทำบันทึกรายการการใช้ประโยชน์จากข้อมูลส่วนบุคคล และต้องมีมาตการการรักาา ความมั่นคงปลอดภัยและป้องกันไม่ให้ผ฿้อื่นนำไปใช้ข้อมูลโดยมิชอบ
3. Data Protection Officer DPO หรือเจ้าที่คุ้มครองข้อมูลส่วนบุคคล บุคคลที่ได้รับมอบหมายเพื่อทำหน้าที่ให้คำแนะนำ ตรวจสอบการดำเนินงานและตรวจสอบการดำเนินงานและการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงาน
4. Data Processor หรือผู้ประมวลผลข้อมูลส่วนบุคคล ผู้ที่ทำตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น 

ข้อมูลส่วนบุคคลตามกฏหมาย PDPA ประกอบด้วย 2 ส่วน ได้แก่  ข้อมูลส่วนบุคคลทั่วไป และข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sentitive Personal Data)

การดำเนินการตามกฏหมาย PDPA ของมหาวิทยาลัยขอนแก่น ได้ดำเนินการดังนี้  1) ออกระเบียบมหาวิทยาลับว่าด้วยการคุ้มครองข้อมลส่วนบุคคล พ.ศ. 2565  2) คำสั่งมหาวิทยาลัยขอนแก่น (ที่ 5100/2565) เรื่องการแต่งตั้งคณะกรรมการควบคุมข้อมูลส่วนบุคคลมหาวิทยาลัยขอนแก่น คณะกรรมการควบคุมข้อมูลส่วนบุคลล มหาวิทยลัยขอนแก่น 3) ประกาศมหาวิทยาลัยขอนแก่น (ฉบับที่ 1431/2565) เรื่องนโยบายคุ้มครองข้อมูลส่วนบุคคล 4)คำสั่งมหาวิทยาลัยขอนแก่น (ที่ 5101/2565) เรื่องการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

ระเบียบมหาวิทยาลับว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2565 ที่เกี่ยวข้องกับสำนักหอสมุด ในข้อที่ 10 กำหนดให้หัวหน้าส่วนงานทำหน้าที่การประมวลผลข้อมูลส่วนบุคคล รวมถึงการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลในส่วนที่เกี่ยวข้องกับส่วนงานหรือหน่วยงาน ซึ่งหัวหน้าส่วนงานของสำนักหอสมุดคือผู้อำนวยการซึ่งได้รับการกระจายอำนาจและรับมอบอำนาจจากอธิการบดี และผู้อำนวยการสามารถมอบอำนวจให้เจ้าหน้าที่หรือบุคลากรภายในหน่วยงานเป็นผู้ดูแลข้อมมูลส่วนบุคคลของหน่วยงานหรือส่วยงานได้ตามระเบียบ จำนวนผู้ดูแลขึ้นอยู่กับดุลพินิจของหัวหน้าหน่วยงานนั้นๆ 

ขั้นตอนการจัดทำ RoPA ของส่วนงานมีดังนี้

 1) จัดทำ  Privacy Policy ของหน่วยงาน โดยพิจารณาจากนโนบายของมหาวิทยาลัยและนำมาจัดทำ Privacy Policy ของสำนักหอสมุด

 2) มอบหมายเจ้าหน้าที่ที่เกี่ยวข้องดำเนินการวิเคราะห์ข้อมูลว่าส่วนงานมีการจัดเก็บ รวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลหรือไม่ 

3)มอบหมายเจ้าหน้าที่ผู้ดูแลข้อมูลบันทึกรายการตามมาตรา 39(1)-(8) 

 4) กำหนดแผนการตรวจสอบหรือปรับปรุงข้อมูลให้เป็นปัจจุบันตลอดเวลา

 5) จัดทำแผนความเสี่ยงเพื่อป้องกันการรั่วไหลของข้อมูล หรือปิดช่องโหว่ของการรั่วไหลของข้อมูล 

การจัดทำ RoPA ประกอบด้วย 8 ข้อดังนี้ 

1. ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม
2. วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภท
3. ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล
4. ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล
5. สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคลแต่ละประเภท
6. การใชหรือเปิดเผยตามมาตรา 27 วรรค 3
7. การปฏิเสธคำขอหรือการคัดค้านตามมาตรา 30 (วรรค 3) มาตรา 31 (วรรค 3)  มาตรา 32 (วรรค 3) และมาตรา 36 (วรรค1)
8. คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยตามมาตรา 37(1)  ในวรรคหนึ่งให้นำมาใช้บังคับกับตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคลตามมาตรา 5 (วรรค 2) โดยอนุโลม 

การประมวลผลข้อมูลส่วนบุคคลที่สามารถทำได้โดยชอบด้วยกฏหมาย มี 7 ฐาน (มาตรา 24 ดังนี้

1. ฐานความยินยอม (Consent)  สามารถใช้เป็นฐานการประมวลผลได้เฉพาะในกรณีเจ้าของข้อมูลสมัครใจเลือยินยอมให้ผู้ควบคุมข้อมูลประมวลผลได้
2. ฐานสัญญา (Contract) สัญญาคือการตกลงแลกเปลี่ยนกันทั้งสองฝ่ายไม่สามารถใช้กับการประมวลผลข้อมูล Sensitive Data ได้ และจำกัดการประมวลผลเฉพาะข้อมูลที่เจ้าของข้อมูลส่วนบุคคลที่เป็นคู่สัญญา
3. ฐานประโยชน์ต่อชีวิต (Vital Interest) ข้อมูลที่มีความจำเป็นต่อการปกป้องประโยชน์สำคัญของเจ้าของข้อมูลอย่างเช่นเพื่อปกป้องอันตรายร้ายแรงที่อาจเกิดที่อาจเกิดขึ้นกับสุขภาพหรือชีวิตของเจ้าของข้อมูล ผู้ควบคุมข้อมูลสามารถใช้ฐานนี้เพื่อประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับสุขภาพ หรือข้อมูลอ่อนไหวต่างๆ 
4. ฐานภากิจสาธารณะ/อำนาจรัฐ (Public Task) การประมวลผลข้อมูลที่เป็นเจ้าหน้าที่หรือองค์กรของรัฐ ในกรณีการประมวลผลนั้นๆ จำเป็นต่อการดำเนินงานตามภารกิจของรัฐเพื่อประโยชน์สาธารณตามที่กำหนดไว้ในกฏหมาย
5. ฐานประโยชน์อันชอบธรรมด้วยกฏหมาย (Legitimate Interest) ในกรณีที่จำเป็นต่อการดำเนินการเพื่อประโยชน์อันชอบธรรมของผู้ควบคุมข้อมูลและบุคคลอื่นอย่างสมเหตุสมผล เช่น การบันทึกวงจรปิดเพื่อป้องกันอาชญากรรม การประมวลผลเพื่อรักษาความปลอดภัยของระบบและเครือข่ายหรือส่งต่อข้อมูลในเครือเพื่อการบริการจัดการและประโยชน์สาธารณะ
6. ฐานปฏิบัติ/หน้าที่ ตามกฏหมาย (Legal Obligation) มีความจำเป็นต่อการปฏิบัติหน้าที่ตามกฏหมาย โดยต้องระบุได้อย่างชัดเจนว่ากำลังปฏิบัติหน้าทีตามบัญญัติในกฏหมาย หรือกระทำตามคำสั่งของหน่วยงานของรัฐที่มีอำนวจตามกฏหมาย เช่น การประมวลผลข้อมูลตามคำสั่งศาล การเปิดเผยข้อมูลของลูกจ้างต่อกรมสรรพากร เป็นต้น
7. ฐานจดหมายเหตุ/วิจัย/สถิติ (Historical , Document,Research or Statistic) ผู้ควบคุมข้อมูลสามารถนำข้อมูลส่วนบุคคลของเจ้าของข้อมูลมาประมวลผลได้บนพื้นฐานของการทำบันทึกหอจดหมายเหตุ วิจัยหรือสถิติต่างๆ โดยมีเงื่อนไขสำคัญคือต้องมีมาตรการปกป้องข้อมูลอย่างเหมาะสมสอดคล้องกับหลักการพื้นฐานของการคุ้มครองข้อมูลส่วนบุคคล