แนวปฏิบัติในการบันทึกรายการประมวลผลข้อมูลส่วนบุคคลของ
บริษัท เค แอนด์ โอ ซิสเต็มส์ แอนด์ คอนซัลติ้ง จำกัด
เพื่อให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
บริษัท เค แอนด์ โอ ซิสเต็มส์ แอนด์ คอนซัลติ้ง จำกัด กำหนดกรอบการทำงานของผู้ควบคุมข้อมูล (Data Controller) โดยอ้างอิงจากมาตรา 39 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล เรื่องการจัดทำบันทึกรายการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activities: ROPA) เพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานสามารถตรวจสอบได้
โดยในทุกกิจกรรมที่มีการประมวลผลข้อมูลส่วนบุคคลจะต้องมีการจัดทำตารางบันทึกการประมวลผลในรูปแบบอิเล็กทรอนิกส์ ประกอบด้วยหัวข้อต่าง ๆ ดังนี้
- ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล
ชื่อผู้ควบคุมข้อมูลส่วนบุคคล | บริษัท เค แอนด์ โอ ซิสเต็มส์ แอนด์ คอนซัลติ้ง จำกัด |
ที่อยู่ | 15,17 ซอยกรุงธนบุรี 4 ถนนกรุงธนบุรี แขวงบางลำภูล่าง เขตคลองสาน กรุงเทพฯ 10600 |
ข้อมูลการติดต่อ | |
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (ถ้ามี) | ชื่อ-นามสกุล ที่อยู่ หมายเลขโทรศัพท์ อีเมลล์ |
ผู้ประสานงาน/ผู้แทน (ถ้ามี) | ชื่อ-นามสกุล ที่อยู่ หมายเลขโทรศัพท์ อีเมลล์ |
- บันทึกรายการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activities: ROPA)
แยกออกเป็น 2 ตาราง ย่อย 2.1 และ 2.2 คือ จัดเก็บข้อมูลหลัก (ไม่ค่อยเปลี่ยนแปลง) และกิจกรรมของข้อมูล (แยกตามรายการเปลี่ยนแปลง)
ตารางที่ 2.1
ลำดับ | ชื่อรายการ | ตัวอย่างการบันทึก |
1 | ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม | 1. ข้อมูลสำหรับการติดต่อ ได้แก่ ชื่อ-นามสกุล ตำแหน่งหน้าที่ ที่อยู่ หมายเลขโทรศัพท์ อีเมลล์
2. ข้อมูลเกี่ยวกับการอบรม เช่น สถิติการเข้าเรียน การส่งงาน ผลการทดสอบ และ ไฟล์นำเสนอ 3. ข้อมูลภาพถ่ายกิจกรรมระหว่างการอบรม |
2 | วัตถุประสงค์ของการเก็บรวบรวม | 1. ข้อมูลสำหรับการติดต่อ เพื่อใช้สำหรับติดต่อ จัดการฝึกอบรมหลักสูตรผู้บริหารข้อมูลระดับสูง (ระยะเวลาหลักสูตร 3 เดือน)
2. ข้อมูลเกี่ยวกับการอบรม เพื่อใช้ประกอบการจัดอบรมให้สำเร็จตามเป้าหมาย 3. ข้อมูลสำหรับการติดต่อ เพื่อใช้จัดเก็บเป็นทำเนียบรุ่น 4. ข้อมูลภาพถ่ายกิจกรรมระหว่างการอบรม เพื่อการประชาสัมพันธ์ผลการจัดอบรม และ แบ่งปันให้ผู้เข้าอบรมได้เรียกดูย้อนหลัง |
3 | ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล | บริษัท เค แอนด์ โอ ซิสเต็มส์ แอนด์ คอนซัลติ้ง จำกัด |
4 | ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล | 1. ข้อมูลสำหรับการติดต่อ 10 ปี (ตั้งแต่รับสมัครจนกระทั่งจัดหลักสูตรอบรมเสร็จสิ้น และเก็บต่อเนื่องเป็นทำเนียบรุ่น เพื่อการติดต่อสังสรรค์หรือสร้างความร่วมมือในอนาคต)
2. ข้อมูลเกี่ยวกับการอบรม 3 เดือน เพียงเพื่อให้การจัดอบรมสำเร็จตามเป้าหมาย 3. ข้อมูลภาพถ่ายกิจกรรมระหว่างการอบรม 10 ปี เพื่อให้ทีมงานสามารถสืบค้นย้อนหลังเพื่อประโยชน์ในประชาสัมพันธ์ การปรับปรุงหลักสูตร และเพื่อใช้เตือนความจำ |
5 | สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล รวมทั้งเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลและเงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคลนั้น | 1. เฉพาะเจ้าหน้าที่ของ บริษัท เค แอนด์ โอ ซิสเต็มส์ แอนด์ คอนซัลติ้ง จำกัด ที่ทำหน้าจัดการฝึกอบรม สามารถเข้าถึงได้ผ่านคลาวด์เก็บข้อมูลกลางของทีมงาน
2. ผู้เข้าร่วมอบรมในแต่ละรุ่นสามารถเข้าถึงรายชื่อทำเนียบรุ่นนั้น พร้อมข้อมูลสำหรับติดต่อ |
6 | การใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้รับการยกเว้นไม่ต้องขอความยินยอม | 1. บริษัท เค แอนด์ โอ ซิสเต็มส์ แอนด์ คอนซัลติ้ง จำกัด ได้นำข้อมูลไปทำสถิติและหาความสัมพันธ์ระหว่างวิทยากรกับความพึงพอใจที่มีต่อหลักสูตรของผู้เข้าร่วมการอบรมโดยไม่ระบุชี้จำเพาะตัวบุคคล
2. บริษัท เค แอนด์ โอ ซิสเต็มส์ แอนด์ คอนซัลติ้ง จำกัด ได้นำส่งรายชื่อ และผลการประเมินของผู้เข้ารับการอบรมให้กับต้นสังกัดที่อนุมัติให้เข้าร่วมการอบรม 3. บริษัท เค แอนด์ โอ ซิสเต็มส์ แอนด์ คอนซัลติ้ง จำกัด ได้นำส่งจำนวนผู้ผ่านการอบรมแก่สำนักงาน กพร. เพื่อรายงานสถานะการพัฒนากำลังคน แยกเป็นรายปี และรายหน่วยงาน |
7 | มาตรการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลตามมาตรา 37 (1) | อธิบายมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลครอบคลุมอย่างน้อย 3 ประเด็นดังนี้ 1) การธำรงไว้ซึ่งความลับ (confidentiality) 2) ความถูกต้องครบถ้วน (integrity) และ 3) สภาพพร้อมใช้งาน (availability)
ของข้อมูลส่วนบุคคล ทั้งนี้ เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ |
ตารางที่ 2.2
8 | การปฏิเสธคำขอหรือการคัดค้าน | |
8.1 | ตามมาตรา 30 วรรคสาม | – คำขอเข้าถึงข้อมูลของนาย…………………………………… เมื่อวันที่……………… ได้ถูกปฏิเสธเนื่องจาก……………..
– คำขอสำเนาข้อมูลของนาย…………………………………… เมื่อวันที่……………… ได้ถูกปฏิเสธเนื่องจาก…………….. – คำขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอมของนาย……………. เมื่อวันที่……………… ได้ถูกปฏิเสธเนื่องจาก…………….. |
8.2 | ตามมาตรา 31 วรรคสาม | – คำขอของนาย……………..เมื่อวันที่………………เพื่อให้โอนข้อมูลส่วนบุคคลไปยัง…………………………….ด้วยวิธีการอัตโนมัติได้ถูกปฏิเสธเนื่องจาก……………………..
– คำขอของนาย……………..เมื่อวันที่………………ซึ่งร้องขอสำเนาข้อมูลส่วนบุคคลที่ถูกส่งไปยัง………(ระบุชื่อผู้ควบคุมข้อมูลรายที่รับข้อมูลไปจากรายต้นทาง)…….. ได้ถูกปฏิเสธเนื่องจาก………………………………………… |
8.3 | ตามมาตรา 32 วรรคสาม | – คำขอใช้สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนของนาย……………..เมื่อวันที่………………ได้ถูกปฏิเสธเนื่องจาก…………………….. |
8.4 | ตามมาตรา 36 วรรคหนึ่ง | – คำขอให้ปรับปรุงข้อมูลส่วนบุคคลให้ถูกต้องเป็นปัจจุบัน สมบูรณ์ ของนาย………….เมื่อวันที่………………ได้ถูกปฏิเสธเนื่องจาก…………………………………………… |
หมายเหตุ
- ข้อมูลต่าง ๆ ที่บันทึกในตารางข้างต้นเป็นขั้นต่ำตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลกำหนด ผู้ใช้งานสามารถปรับเพิ่มเติมได้ตามความเหมาะสม
- เมื่อนำไปใช้งานจริง ตารางต่าง ๆ สามารถนำไปพัฒนาลงในฐานข้อมูล หรือ จัดเก็บด้วยซอฟต์แวร์ประเภทสเปรดชีต ตามที่ผู้ใช้เห็นสมควร หรืออาจจะพัฒนาโปรแกรมเพื่อสร้างส่วนติดต่อผู้ใช้สำหรับบันทึกข้อมูลผ่านระบบออไลน์/ออไฟไลน์ ได้
- การพัฒนากระดานรายงานข้อมูล (dashboard) สามารถพัฒนาเพิ่มเติมได้เองตามที่ต้องการ