10 เคล็ด(ไม่)ลับ ทำ “ROPA ในองค์กรให้สำเร็จ PDPA”

ROPA คืออะไร? เกี่ยวอะไรกับ PDPA?

       ในวันที่ 1 มิถุนายน พ.ศ. 2565 ที่จะถึงนี้ ประเทศไทยของเราจะมีการประกาศใช้กฎหมาย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือที่เรารู้จักกันในชื่อของ PDPA (Personal Data Protection Act) โดยกฏหมายฉบับนี้ได้กำหนดให้องค์กรมีหน้าที่ความรับผิดชอบหลายประการ สำหรับองค์กรใด ๆ ที่มีการเก็บรวบรวม หรือประมวลผลข้อมูลส่วนบุคคลภายในองค์กร

       หนึ่งในหน้าที่ ที่ระบุไว้อย่างชัดเจนในกฎหมาย PDPA มาตรา 39 และ มาตรา 40 นั่นคือการกำหนดให้องค์กรที่มี การจัดเก็บ ประมวลผล ข้อมูลส่วนบุคคล ต้องมีการจัดทำ บันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล หรือที่เราเรียกว่า Data Mapping, Record of Processing (ROP) หรือ Record of Processing Activity (ROPA) นั่นเอง

ROPA หรือ Record of Processing Activity สำคัญอย่างไรกับโครงการ PDPA?

การทำ ROPA นั้นถือเป็นขั้นตอนที่มีความสำคัญมากที่สุด ต่อความสำเร็จในการดำเนินโครงการ PDPA ขององค์กร เพราะข้อมูลบันทึกกิจกรรมการประมวลผลดังกล่าว เปรียบเสมือนแผนผังของข้อมูลส่วนบุคคลทั้งหมดในองค์กร ที่จะทำให้องค์กรสามารถวางแผนในการดำเนินการเกี่ยวกับ PDPA ทั้งหมดขององค์กรได้อย่างถูกต้องครบถ้วน ไม่ว่าจะเป็น การทำให้สามารถจัดการสร้างความตระหนักรู้เกี่ยวกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลให้แก่บุคคลากรภายในองค์กร (PDPA Awarness Training) ที่มีการสัมผัสข้อมูลส่วนบุคคลภายในองค์กรได้ครบทุกคน หรือทำให้วางมาตรการคุ้มครองข้อมูลส่วนบุคคลครอบคลุมสินทรัพย์ (Asset) ทั้งหมดภายในองค์กร กล่าวได้ว่า ROPA นั้นเปรียบเสมือนพิมพ์เขียวสู่ความสำเร็จในการดำเนินโครงการ PDPA ขององค์กรเลยก็ว่าได้

       โดยบทความนี้เราจะมาแบ่งปันเคล็ดลับจากประสบการณ์ทำบันทึกกิจกรรมการประมวลผลในโครงการ PDPA กับหลายๆ องค์กรที่ผ่านมาให้แก่ท่านผู้อ่าน โดยหวังว่าท่านผู้อ่านจะสามารถนำเอาประสบการณ์ส่วนนี้ของเราไปปรับใช้เพื่อเป็นประโยชน์แก่องค์กรของท่านในการดำเนินโครงการ PDPA ให้สำเร็จอย่างราบรื่น

10 เคล็ด(ไม่)ลับ ทำ ROPA กับคนในองค์กรอย่างไรให้สำเร็จ

1. เริ่มจากการตั้งคณะทำงาน จากตัวแทนของแผนกที่เกี่ยวข้องกับการเก็บและใช้งานข้อมูลส่วนบุคคลจำนวนมาก

       การจัดทำบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (ROPA) นั้นจำเป็นต้องได้รับความร่วมมือจากบุคลากรทุกคนภายในองค์กร แต่เราพบว่าในช่วงเริ่มต้นนั้นหากมีคณะทำงานมากเกินความจำเป็น อาจจะทำให้การดำเนินงานอาจเกิดความสับสน และทำให้การดำเนินงานล่าช้าลงอย่างมาก

       ดังนั้นในช่วงเริ่มต้นของโครงการ ควรเริ่มจากตัวแทนของแผนกตั้งต้นประมาณ 5-6 แผนก โดยแผนกตั้งต้นที่เราพบว่าแผนกเหล่านี้ในหลาย ๆ องค์กร มักมีการเก็บและใช้งานข้อมูลส่วนบุคคลเป็นส่วนใหญ่ขององค์กร คือประมาณ 70-80 % ของทั้งองค์กร คือ แผนกบุคคล (HR), แผนกสารสนเทศ (IT), แผนกการตลาด(Marketing), การเงินและบัญชี (Finance&Account) และสุดท้าย แผนกจัดซื้อจัดจ้าง (Purchase)

2. คณะทำงานควรมีผู้มีความรู้เกี่ยวกับกฎหมาย PDPA อย่างน้อย 1 คน

       ในคณะทำงานควรมีสมาชิกอย่างน้อย 1 คน ที่มีความรู้ด้านกฎหมาย PDPA เพื่อกำหนดกรอบในการดำเนินงานของคณะทำงาน หรือเพื่อเป็นผู้ตัดสินใจในกรณีที่เกิดคำถามต่าง ๆ ในระหว่างการดำเนินโครงการ ซึ่งหากไม่มีผู้มีความรู้เกี่ยวกับ PDPA ภายในคณะทำงานเลย อาจทำให้เกิดความสับสน ความล้าช้า หรือก่อให้เกิดข้อผิดพลาดในการทำ ROPA หากทางองค์กรไม่มีผู้มีความรู้เกี่ยวกับกฎหมาย PDPA เลย องค์กรสามารถจัดหาบุคคลจากองค์กรภายนอกเข้ามาทำหน้าที่ในส่วนตรงนี้ได้เช่นกัน

3. มีการอบรมให้ความรู้พื้นฐานกฎหมายที่จำเป็น เกี่ยวกับ PDPA ให้แก่คณะทำงาน

       การทำงานร่วมกันของคณะทำงาน สมาชิกทุกคนในทีมควรได้รับการอบรมพื้นฐานเกี่ยวกับกฎหมาย PDPA เพื่อให้สมาชิกภายในคณะทำงาน เข้าใจภาพรวมของข้อกำหนด กฏหมาย PDPA และ สามารถ สื่อสาร ประสานงานกันได้ ด้วยภาษาเดียวกัน

       การอบรมนั้นควรประกอบไปด้วยความรู้พื้นฐานที่สำคัญ ๆ เช่น อะไรเป็นข้อมูลส่วนบุคคลบ้าง?,  กิจกรรมใดบ้างที่นับว่าเป็นการใช้งานข้อมูลส่วนบุคคล? เพื่อให้สมาชิกภายในองค์กรสื่อสารได้เข้าใจตรงกันทำให้คณะทำงานสามารถทำงานได้อย่างราบรื่นมากยิ่งขึ้น

4. เริ่มต้นเก็บข้อมูล ROPA จากการหากิจกรรมภายในแผนกที่เกี่ยวข้องกับข้อมูลส่วนบุคคล

หลังจากที่ตัวแทนของแต่ละแผนกได้รับการอบรมเพื่อไปรวบรวมข้อมูลภายในแผนก เพื่อนำมาจัดทำ ROPA โดยข้อมูลที่คุณควรรวบรวมให้ครบถ้วนเป็นอันดับแรก นั่นคือ แผนกของคุณมี “กิจกรรม” ใดบ้างที่เกี่ยวข้องกับ การจัดเก็บ และใช้งานข้อมูลส่วนบุคคล เพราะเมื่อคุณรู้ว่าแผนกของคุณมี “กิจกรรม” ใดบ้าง จะทำให้คุณสามารถตั้งต้นรวบรวมข้อมูลอื่นๆ ได้ครบถ้วนมากยิ่งขึ้น เช่น  แผนกของคุณมีการจัดเก็บข้อมูลส่วนบุคคลอะไรบ้าง?  หรือแผนกของคุณจัดเก็บไว้ที่ไหน? แต่ละแหล่งจัดเก็บมีความปลอดภัยเพียงใด?

5. ใช้แบบฟอร์มมาตรฐานที่ออกแบบมาเพื่อเก็บรวบรวมข้อมูลในการจัดทำ ROPA

การเก็บรวบรวมข้อมูลเพื่อนำมาจัดทำ ROPA ของคณะทำงานควรใช้แบบฟอร์มมาตรฐานเป็นสื่อกลาง เพื่อให้การเก็บข้อมูลมีความครบถ้วนไม่ตกหล่น และอยู่ในรูปแบบเดียวกันทั้งหมด รวมทั้งช่วยทำให้การสรุปกิจกรรมการประมวลผลข้อมูลส่วนบุคคลขององค์กรทำได้ง่ายยิ่งขึ้น

6. ระวัง! บางกิจกรรมที่คุณคาดไม่ถึงอาจตกหล่นไป

       เราพบว่าการรวบรวมข้อมูล “กิจกรรม” ภายในแผนก มีการตกหล่นที่พบเจอบ่อย ๆ มักมาจากสาเหตุเหล่านี้ เช่น

• เป็นกิจกรรมที่ไม่ได้เกิดขึ้นเป็นบ่อย ๆ เช่น การส่งข้อมูลพนักงานเพื่อซื้อประกันสุขภาพที่จัดขึ้นปีละครั้ง
• เป็นกิจกรรมที่คนในแผนกไม่เคยตระหนักว่ามีข้อมูลส่วนบุคคลมาเกี่ยวข้องด้วย เช่น กิจกรรมวิจัยพฤติกรรมการซื้อของลูกค้า ที่มีการใช้ข้อมูลพฤติกรรมการใช้บริการของลูกค้าโดยนึกไม่ถึงว่าข้อมูลดังกล่าวนั้นก็เป็นข้อมูลส่วนบุคคล

7. ไม่ใช่ทุกกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ที่ต้องขอความยินยอม

       เนื่องด้วยตัวกฎหมายคุ้มครองข้อมูลส่วนบุคคล กำหนดว่า การเก็บรวบรวมและการประมวลผลข้อมูลจะต้องดำเนินการภายใต้ฐานกฎหมาย โดยเราพบว่าฐานกฎหมายที่มักถูกหยิบยกมาใช้ในการจัดเก็บประมวลผลขององค์กรมักจะเป็นฐานความยินยอม หรือการได้รับ Consent จากเจ้าของข้อมูล

       ซึ่งปัญหาที่พบเมื่อมีการยกฐานความยินยอมที่มีข้อกำหนดให้ปฏิบัติตามกฏหมาย มาใช้คือ

• การระบุวัตถุประสงค์ในการใช้งานข้อมูลส่วนบุคคลในกิจกรรมดังกล่าวไม่ครอบคลุมและถูกต้องครบถ้วน เมื่อขอความยินยอมทำให้อาจเกิดช่องโหว่ให้ถูกฟ้องร้องได้
• มีการขอความยินยอมโดยไม่จำเป็น ทั้งที่กิจกรรมนั้น ๆ สามารถยกฐานกฎหมายอื่นขึ้นมาเพื่อละเว้นการขอความยินยอมได้ เพราะยิ่งมีการขอความยินยอมจำนวนมาก ยิ่งทำให้การบริหารจัดการทำได้ยากตามไปด้วย

8. มีระบบศูนย์กลางที่ใช้เก็บข้อมูลกิจกรรมที่แต่ละแผนกเก็บรวบรวมมาเพื่อให้ง่ายต่อการบริหารจัดการ

       ในขั้นตอนสุดท้ายของการทำบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล คณะทำงานจำเป็นต้องนำข้อมูลที่รวบรวมมารวมกันเพื่อหารือและสรุปร่วมกัน ซึ่งในขั้นตอนนี้หากส่งเนื้อหาของแต่ละฝ่ายแยกจากกันก็อาจทำให้เกิดความเข้าใจในเนื้อหาข้อมูลที่รวบรวมมาความคลาดเคลื่อนได้

       ดังนั้น ในขั้นตอนสรุปสุดท้ายองค์กรควรมีการนำข้อมูลที่แต่ละแผนกรวบรวมมาเก็บรวบรวมในที่ระบบศูนย์กลางเดียวกันเพื่อความสะดวกราบรื่นในการหารือสรุปภาพรวมขององค์กร และออกนโยบายการจัดการข้อมูลส่วนบุคคลที่ครบถ้วนเหมาะสมกับองค์กรของคุณ

9. จัดทำแผนภาพรวมกิจกรรมภายในองค์กรเพื่อการวางแผนนโยบายอย่างมีประสิทธิภาพ

หลังจากหารือและสรุปผลข้อมูลกิจกรรมการประมวลผลในองค์กรแล้ว การนำข้อมูล (Data) ทั้งหมดมาสังเคราะห์ให้อยู่ในรูปแบบของสารสนเทศ (Information) เพื่อให้องค์กรนำสารสนเทศนี้ไปใช้เพื่อพัฒนาการดำเนินการใช้ข้อมูลส่วนบุคคลภายในองค์กรให้มีความปลอดภัยมากยิ่งขึ้น เพื่อให้บรรบุวัตถุประสงค์ของกฎหมาย PDPA นั้นก็นับว่าเป็นขั้นตอนหนึ่งที่มีความสำคัญอย่างยิ่ง

10. มีการอัพเดทข้อมูลของบันทึกกิจกรรมการประมวลผลให้เป็นปัจจุบันอย่างสม่ำเสมอ

สุดท้ายการอัพเดทข้อมูลภายใน ROPA ให้มีความเป็นปัจจุบันอย่างสม่ำเสมอก็มีความสำคัญอย่างยิ่งเช่นกัน เพราะจะช่วยทำให้เราทราบถึงช่องโหว่ความปลอดภัยขององค์กร ที่อาจทำให้เกิดการรั่วไหลของข้อมูลได้ตลอดเวลา และทำให้เราสามารถจัดการปิดช่องโหว่นั้นได้อย่างทันท่วงที รวมถึงเป็นการลดความเสี่ยงของการใช้งานข้อมูลส่วนบุคคลในกิจกรรมใหม่ ๆ อย่างไม่ถูกต้องตาม PDPA ที่เป็นความเสี่ยงให้เกิดคดีฟ้องร้องได้ในอนาคต

สำหรับทุกท่านที่อ่านบทความมาถึงจุดนี้ เราหวังอย่างยิ่งว่า บทความเคล็ด(ไม่)ลับการทำ ROPA ที่เรารวบรวมมาจากประสบการณ์ของเราจะเป็นประโยชน์กับทางผู้อ่านทุกท่าน หากอยากแบ่งปันข้อมูลดี ๆ เหล่านี้ให้ผู้ที่สนใจเกี่ยวกับ PDPA แชร์ได้ที่ปุ่มด้านล่างนี้เลยครับ 🙂