การจัดทำบันทึกรายการกิจกรรมการประมวลข้อมูลส่วนบุคคล
(Record of Processing Activity - RoPA)
ตามหลักกฎหมายคุ้มครองข้อมูลส่วนบุคคล พ.ศ.๒๕๖๒
(RoPA and PDPA Implementation)
หลักการและเหตุผล (Introduction)
ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือกฎหมาย PDPA ได้กำหนดให้องค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคลลงบันทึกรายการ (Record of Processing Activity-RoPA) ตามที่กฎหมายกำหนด ประกอบกับคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ออกประกาศมาล่าสุดเมื่อกลางเดือนมิถุนายน 2565 เพื่อให้แนวทางในการลงบันทึกรายการให้สอดคล้องกับที่กฎหมายกำหนด แต่อย่างไรก็ตาม หลายองค์กรก็ยังไม่เคลียร์เรื่องแนวทางการเตรียมข้อมูลเพื่อที่จะบันทึกรายการ โดยเฉพาะในบางองค์กรที่ยังไม่ได้ดำเนินการเตรียมข้อมูลพื้นฐานเพื่อใช้จัดทำ RoPA ก็ควรได้รับการฝึกอบรมในเชิงปฏิบัติเพื่อให้สามารถดำเนินการได้อย่างถูกต้องตามที่กฎหมายกำหนด โดย RoPA นี้ในทางหนึ่ง สามารถนำไปใช้ได้สำหรับการจัดทำประกาศความเป็นส่วนตัว (Privacy Notice) ขององค์กรได้
วัตถุประสงค์ (Objective )
1. ทำความเข้าใจหลักการและสาระสำคัญของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ และประกาศต่างๆ ที่มีการบังคับใช้
2. ทำความเข้าใจเชิงลึกเกี่ยวกับการจัดทำบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล ตามมาตรา 39 (Record of Processing Activity – RoPA)
3. การบันทึกรายการ RoPA ของผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล
4. เข้าใจวิธีการเตรียมข้อมูลสำหรับลงบันทึกรายการ RoPA และการประเมินความเสี่ยงเพื่อจัดทำมาตรการรักษาความมั่นคงปลอดภัย
5. การจัดการสิทธิของเจ้าของข้อมูลส่วนบุคคลตามกฎหมาย (การตอบสนอง-การปฏิเสธสิทธิ)
6. การนำข้อมูลในบันทึกรายการ RoPA ไปปรับใช้กับประกาศความเป็นส่วนตัว (Privacy Notice)
7. ตอบข้อสงสัยและแลกเปลี่ยนประสบการณ์ พร้อมคำแนะนำที่สามารถนำไปปรับปรุงการดำเนินงานให้เกิดความเหมาะสมถูกต้องจากวิทยากร
คุณสมบัติผู้เข้าอบรม (Target Participants)
- ผู้บริหาร ผู้จัดการ และหัวหน้างานจากทุกแผนก
- บุคลากรระดับปฏิบัติงานจากทุกสายงาน
- ผู้ปฏิบัติงานที่ได้รับมอบหมายให้ดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลภายในองค์กร
- ผู้ได้รับการแต่งตั้งให้ปฏิบัติหน้าที่ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)
- ผู้ประกอบการที่สนใจ และกำลังเตรียมวางแผนการจัดทำบันทึกรายการกิจกรรมการประมวลผล (RoPA)
วิทยากรบรรยาย (Lecturer)
· อาจารย์ประพนธ์ กิจอำไพวงศ์
ประจำสำนักกฎหมาย สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)
(วิทยากรและที่ปรึกษากฎหมายคุ้มครองส่วนบุคคล)
· ผู้สอนหลักสูตรและการฝึกอบรมเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ที่ได้ขึ้นทะเบียนและรับการรับรองจาก สคส.
· นักจัดการคุ้มครองข้อมูลส่วนบุคคล ระดับ 5 และ 6 รับรองโดยสถาบันคุณวุฒิวิชาชีพ (องค์กรมหาชน)
ระยะเวลาอบรม (Period)
· 1 วัน (6 ชั่วโมง)
เนื้อหาการบรรยาย (Key Contents)
เวลา | หัวข้อการฝึกอบรม | รายละเอียด |
09.00–12.00 น. | · Update การบังคับใช้กฎหมาย PDPA และทบทวนหลักกฎหมายที่สำคัญ · การบริหารจัดการองค์กรและการวางแผนการดำเนินงานให้สอดคล้องกับกฎหมาย · การวิเคราะห์กิจกรรมงานเพื่อทำบันทึกรายการ RoPA · การวิเคราะห์และการประเมินความเสี่ยงเพื่อกำหนดมาตรการรักษาความมั่นคงปลอดภัย · รายละเอียดของรายการที่ต้องบันทึกตามมาตรา 39 (1) – (8) · การดำเนินการเพื่อการตอบสนองและการปฏิเสธสิทธิของเจ้าของข้อมูลส่วนบุคคลตามกฎหมาย · การบันทึกรายการการปฏิเสธสิทธิของเจ้าของข้อมูลส่วนบุคคลตามมาตรา 39 (7) |
วิทยากรบรรยาย ผู้เข้าอบรมร่วมเสนอความคิดเห็น กิจกรรม Workshop |
12.00–13.00 น. | พักเที่ยง | |
13.00–16.00 น. | · การเชื่อมโยงข้อมูลของบันทึกรายการ (RoPA) กับประกาศความเป็นส่วนตัว (Privacy Notice) · การบันทึกรายการ (RoPA) ของผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) · การจัดทำข้อตกลงการประมวลข้อมูลส่วนบุคคล (Data Processing Agreement – DPA) · การดำเนินการตามมาตรการรักษาความมั่นคงปลอดภัย และการสร้างความตระหนักรู้ · การดำเนินการเมื่อเกิดเหตุการละเมิดข้อมูลส่วนบุคคล · สรุปข้อควรปฏิบัติ เพื่อการปรับปรุงและพัฒนาการดำเนินการให้ถูกต้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.๒๕๖๒ |
หมายเหตุกำหนดการอบรมและรูปแบบการอบรมอาจมีการเปลี่ยนแปลงตามความเหมาะสมของบริบทผู้เข้าอบรม