Author: ปภาวัลย์ สุทธิประสิทธิ์

การจัดทำ Data Protection Impact Assessment : DPIA การประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล หรือ Data Protection Impact Assessment : DPIA มีวัตถุประสงค์เพื่อแสดงให้เห็นถึงความรับผิดชอบต่อการเก็บ ใช้ รวบรวมข้อมูลส่วนบุคคลของประชาชน ซึ่งเป็นกลไกในการกำกับดูแลและเพื่อเตือนภัยล่วงหน้า ผลกระทบเชิงลบที่อาจเกิดขึ้นและการบรรเทาผลกระทบของความเสี่ยงที่อาจเกิดขึ้นกับข้อมูลส่วนบุคคล โดยลดความเสี่ยงที่อาจจะเกิดขึ้นกับข้อมูล รวมถึงลดโอกาสที่ทำให้เกิดความบกพร่อง หรือการกระทำที่ขัดแย้งกับกฎหมาย ซึ่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลนั้นได้กำหนดหน้าที่ในการเก็บ รวบรวม ใช้ และลบข้อมูลส่วนบุคคล โดยกำหนดหน้าที่ให้ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ต้องประเมินความเสี่ยง และจัดให้มีมาตรการความปลอดภัยที่เหมาะสม[1] ขั้นตอนและกระบวนการในการทำ…

Record of Processing Activity : ROPA การจัดทำบันทึกกิจกรรมการประมวลผล (ROPA) เป็นการจัดทำเพื่อระบุว่าภายในองค์กรหรือหน่วยงานใด ทำหน้าที่อะไร ด้วยวัตถุประสงค์ใด ตามฐานหรือกฎหมายใด การประมวลผลข้อมูลส่วนบุคคล รวมทั้งการเช็คผลกระทบที่อาจเกิดขึ้นจากการใช้ข้อมูลส่วนบุคคล ในกรณีที่เกิดการรั่วไหลของข้อมูลส่วนบุคคลหน่วยงานต้องดำเนินการตรวจสอบเหตุภายใน 72 ชั่วโมงนับจากเหตุรั่วไหลของข้อมูล การเก็บบันทึก RoPA นั้นสามารถดำเนินการแบบเชิงรุกหากเกิดเหตุรั่วไหล สามารถนำมาตรวจสอบได้ทันทีและต้องเป็นไปอย่างรวดเร็ว สำหรับการทำบันทึกกิจกรรมการประมวลผล (ROPA) นั้นสามารถใช้ประโยชน์เป็นเหมือนรายการตรวจสอบและทบทวนกิจกรรมนั้นใช้ข้อมูลส่วนบุคค]หรือไม่ และได้รับข้อมูลมาจากแหล่งใด หรือการนำมาปรับใช้ในฐานใด รวมถึงใครเป็นผู้ควบคุมข้อมูลส่วนบุคคลนั้น เนื่องจากพระราชบัญญัติการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562…