[Legal] 처리 활동 기록: 개인 정보 보호 관리를 위한 중요한 문서

처리 활동 기록("RoPA")은 정보 관리자와 정보 처리자 모두가 태국의 개인 정보 보호법(2565 B.E., "PDPA"), 특히 제39조를 준수하여 유지해야 하는 문서입니다. RoPA는 회사 내 개인 정보 처리 활동을 문서화하여 각 유형의 개인 정보가 누가, 어떤 프로세스에서, 얼마 동안, 누구와 공유 또는 전송되는지 명확하게 보여주기 위해 작성되었습니다. 기록된 활동에는 각 부서의 정보 수집 및 사용과 이에 대한 법적 근거가 포함되어야 합니다.

RoPA는 개인 정보의 적절한 처리를 확인하고 정보 침해를 방지하는 데 도움이 됩니다. 회사 내 개인 정보와 관련된 개인의 활동을 검토하기 위한 체크리스트 역할을 하며, 각 처리 단계에서의 책임 할당도 포함됩니다. RoPA에서 벗어나는 모든 처리 활동은 조직의 정보 처리 관행이 PDPA를 준수하지 못할 위험이 있음을 시사합니다. 또한 RoPA는 회사가 정보 보호 표준을 준수하고 있음을 개인 정보 보호 사무소("PDPO")에 입증하는 데 필수적인 문서입니다.

태국의 PDPA는 RoPA에 다음 정보를 포함하도록 규정하고 있습니다.

1. 수집된 정보 유형

2. 정보 관리자 및 정보 보호 책임자에 대한 정보

3. 정보 수집 목적

4. 정보 보관 기간

5. 정보 액세스 조건

6. 제3자에게 정보를 전송하거나 국경 간 정보 사용을 위한 조건과 이에 대한 법적 근거 또는 동의

7. 정보 주체의 요청 또는 이의를 거부하는 이유

8. PDPA의 섹션 37 및 40에 명시된 대로 취해진 보안 조치

정보 관리자는 RoPA를 작성해야 하며, 정보 처리자는 PDPO에 관리자의 이름을 추가로 알려야 합니다.

RoPA를 작성할 때는 이것이 단순한 내부 문서가 아니라는 것을 이해하는 것이 중요합니다. 이는 PDPO 담당자와의 커뮤니케이션에도 사용됩니다. 따라서 회사는 제3자가 회사로부터 정보를 받을 때 개인 정보를 보호하기 위해 어떤 조치를 취하는지 명시해야 합니다. 이는 이러한 정보의 적절한 사용에 대한 법률을 준수한다는 증거가 됩니다. 또한 회사는 지속적인 준수를 보장하기 위해 프로세스를 정기적으로 검토하고 업데이트해야 합니다.

RoPA를 유지하지 못하면 PDPA 제82조에 따라 최대 1백만 바트의 행정 벌금이 부과될 수 있습니다. 더 중요한 것은 회사가 정보 침해가 발생할 경우 PDPA 준수를 입증할 법적 근거가 없다는 것입니다. 이는 회사가 보관하는 개인 정보를 관리하고 보호하는 데 있어 극도의 과실이 있음을 나타냅니다.

Contact us