Record of Processing Activity : ROPA
การจัดทำบันทึกกิจกรรมการประมวลผล (ROPA) เป็นการจัดทำเพื่อระบุว่าภายในองค์กรหรือหน่วยงานใด ทำหน้าที่อะไร ด้วยวัตถุประสงค์ใด ตามฐานหรือกฎหมายใด การประมวลผลข้อมูลส่วนบุคคล รวมทั้งการเช็คผลกระทบที่อาจเกิดขึ้นจากการใช้ข้อมูลส่วนบุคคล ในกรณีที่เกิดการรั่วไหลของข้อมูลส่วนบุคคลหน่วยงานต้องดำเนินการตรวจสอบเหตุภายใน 72 ชั่วโมงนับจากเหตุรั่วไหลของข้อมูล การเก็บบันทึก RoPA นั้นสามารถดำเนินการแบบเชิงรุกหากเกิดเหตุรั่วไหล สามารถนำมาตรวจสอบได้ทันทีและต้องเป็นไปอย่างรวดเร็ว สำหรับการทำบันทึกกิจกรรมการประมวลผล (ROPA) นั้นสามารถใช้ประโยชน์เป็นเหมือนรายการตรวจสอบและทบทวนกิจกรรมนั้นใช้ข้อมูลส่วนบุคค]หรือไม่ และได้รับข้อมูลมาจากแหล่งใด หรือการนำมาปรับใช้ในฐานใด รวมถึงใครเป็นผู้ควบคุมข้อมูลส่วนบุคคลนั้น
เนื่องจากพระราชบัญญัติการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดให้เก็บรวบรวมข้อมูลส่วนบุคคล ให้เก็บเท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล (มาตรา 22) และโดยมีการแจ้งระยะเวลาในการเก็บรวบรวมข้อมูลส่วนบุคคล หากไม่สามารถกำหนดระยะเวลาได้ให้กำหนดระยะเวลาที่อาจคาดหมายได้ตามมาตรฐานของการเก็บรวบรวม การสำรวจว่าได้เก็บข้อมูลส่วนบุคคลอะไรไว้บ้างและเหตุผลที่ต้องเก็บข้อมูลส่วนบุคคล ระยะเวลาในการเก็บข้อมูลส่วนบุคคลให้มีความเหมาะสมกับข้อมูลแต่ละประเภท การกำหนดนโยบายระยะเวลาตามมาตรฐานในการเก็บข้อมูลส่วนบุคคลที่จำแนกตามวัตถุประสงค์และความจำเป็นในการจัดเก็บ รวมถึงการทบทวนความจำเป็นของการเก็บข้อมูลส่วนบุคคล และทำการลบข้อมูลส่วนบุคคล หรือทำให้ข้อมูลเป็นข้อมูลที่ไม่สามารถระบุตัวตนเจ้าของข้อมูลส่วนบุคคลได้