ประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง หลักเกณฑ์และวิธีการในการจัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล พ.ศ. 2565
เพื่อให้ผู้ประมวลผลข้อมูลส่วนบุคคล มีแนวปฏิบัติที่ชัดเจนในการดำเนินการตาม PDPA โดยมีการให้เวลาผู้ประกอบการ 180 วันในการเตรียมตัว มีรายละเอียดที่สำคัญดังนี้
ผู้ประมวลผลข้อมูลส่วนบุคคลตามประกาศฯ ฉบับนี้ ได้แก่ บริษัท ห้างหุ้นส่วนทั้งเป็นนิติบุคคลและไม่เป็นนิติบุคคล และผู้ประกอบธุรกิจฟรีแลนซ์ที่รับจ้างหรือให้บริการประมวลผลข้อมูลให้ผู้ควบคุมข้อมูลส่วนบุคคล
โดยประกาศฉบับนี้กำหนดให้ผู้ประกอบการที่เป็นผู้ประมวลผลข้อมูลส่วนบุคคล ต้องจัดทำบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล ซึ่งมีรายละเอียดดังนี้
- ชื่อและข้อมูลเกี่ยวกับผู้ประมวลผลข้อมูลส่วนบุคคล
- ชื่อและข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคลที่ผู้ประมวลผลข้อมูลส่วนบุคคลรับจ้างดำเนินการให้
- ชื่อและข้อมูลเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
- ประเภทหรือลักษณะของกิจกรรมการประมวลผล
- ประเภทของหน่วยงานที่ได้รับข้อมูล ในกรณีที่มีการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
- คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัย
ประกาศนี้มีผลใช้บังคับเมื่อพ้นกำหนด 180 วันนับแต่วันประกาศในราชกิจจานุเบกษา (มีผลบังคับใช้ 17 ธ.ค. 2565) ซึ่งจะทำให้ผู้ประกอบการที่เป็นผู้ประมวลผลข้อมูลส่วนบุคคลมีระยะเวลาในการเตรียมความพร้อมขององค์กรในการปฏิบัติตามหน้าที่ที่กฎหมายกำหนด
ที่มา : ราชกิจจานุเบกษา
