กฎหมายคุ้มครองข้อมูลส่วนบุคคล
บันทึกรายการประมวลผลข้อมูล (RoPA)
Records of Processing Activities (RoPA)
RoPA is a record showing what personal data an organization processes, why, how long it's kept, and who it's shared with — required under PDPA.
RoPA ช่วยอะไร
RoPA คือ "แผนที่ข้อมูล" ขององค์กร ช่วยให้รู้ว่าข้อมูลอยู่ที่ไหน ใช้ทำอะไร และเสี่ยงตรงไหน เมื่อเกิดเหตุหรือมีคำขอใช้สิทธิ องค์กรจะตอบสนองได้เร็วและถูกต้อง
เริ่มต้นอย่างง่าย
- ไล่รายการระบบและช่องทางที่เก็บข้อมูลส่วนบุคคล
- ระบุวัตถุประสงค์ ผู้รับ และระยะเวลาเก็บของแต่ละรายการ
- ทบทวนให้เป็นปัจจุบันเมื่อมีบริการหรือระบบใหม่
ทำไมบริษัทประกันถึงถามเรื่องนี้
RoPA เป็นหลักฐานว่าองค์กรรู้ว่าตัวเองถือข้อมูลอะไรอยู่ ซึ่งเป็นพื้นฐานของการบริหารความเสี่ยงข้อมูล เมื่อเกิดเหตุละเมิด องค์กรที่มี RoPA จะประเมินผลกระทบและแจ้งเหตุได้เร็วกว่า บริษัทประกันจึงมองว่าเป็นสัญญาณของวุฒิภาวะด้าน Governance
เช็คตัวเอง
องค์กรของคุณจัดทำบันทึกรายการประมวลผลข้อมูล (RoPA) ที่ระบุว่าเก็บข้อมูลอะไร เพื่ออะไร และแบ่งปันให้ใครแล้วหรือยัง?
ทำแบบประเมินความพร้อม 18 ข้อคำถามที่พบบ่อย
ธุรกิจเล็กต้องทำ RoPA ไหม
PDPA มาตรา 39 กำหนดให้ผู้ควบคุมข้อมูลจัดทำบันทึก แม้ธุรกิจเล็กก็ควรมีในรูปแบบที่เหมาะสม อย่างน้อยเพื่อรู้ว่าตนถือข้อมูลอะไรและจัดการความเสี่ยงได้
RoPA ต้องมีข้อมูลอะไรบ้าง
โดยทั่วไประบุประเภทข้อมูล วัตถุประสงค์การใช้ ผู้รับข้อมูล ระยะเวลาเก็บ มาตรการความปลอดภัย และการโอนข้อมูลไปต่างประเทศ (ถ้ามี)
RoPA ต่างจาก Privacy Policy อย่างไร
Privacy Policy เป็นเอกสารสื่อสารกับเจ้าของข้อมูลภายนอก ส่วน RoPA เป็นบันทึกภายในสำหรับการกำกับดูแลและตรวจสอบ ทั้งคู่ควรสอดคล้องกัน