Phattharaphorn.kl

232

Phattharaphorn.kl
Phattharaphorn.kl
8 กิจการขนาดเล็ก (SMEs) ไม่ต้องจัดทำ RoPA (ฉบับเต็ม) จริงหรือไม่? เช็กให้ชัวร์ก่อนถูกปรับ!

 

ก่อนจะไปดูว่ามีกิจการแบบไหนที่ได้รับการยกเว้นไม่ต้องทำ RoPA ขอแนะนำให้ทุกท่านรู้จักก่อนว่า RoPA คืออะไร?

ตามกฎหมาย PDPA มาตรา 39 ระบุให้องค์กรต้องจัดทำ “RoPA หรือ บันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล” เพื่อเป็นเครื่องมือช่วยระบุว่ามีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในแต่ละหน่วยงานกับใคร เพื่อวัตถุประสงค์ใด และอย่างไรบ้าง

 

แล้ว 8 กิจการขนาดเล็ก (SMEs) มีกิจการใดบ้างที่ไม่ต้องจัดทำ RoPA (ฉบับเต็ม) จากประกาศกฎหมายลำดับรอง PDPA*
1. SMEs ที่มีพนักงานและรายได้ไม่เกินเกณฑ์ที่กำหนด
2. วิสาหกิจชุมชนหรือเครือข่ายวิสาหกิจชุมชน
3. วิสาหกิจเพื่อสังคมหรือกลุ่มกิจการเพื่อสังคม
4. สหกรณ์ ชุมนุมสหกรณ์ หรือกลุ่มเกษตรกร
5. มูลนิธิ สมาคม องค์กรศาสนา หรือองค์กรที่ไม่แสวงหากำไร
6. นิติบุคคลอาคารชุด หรือนิติบุคคลหมู่บ้านจัดสรร
7. กิจการในครัวเรือนหรือกิจการอื่นในลักษณะเดียวกัน
8. กิจการที่ดำเนินการโดยผู้ควบคุมข้อมูลส่วนบุคคล ที่เป็นบุคคลธรรมดา
 
[แต่จากประกาศ* มีข้อยกเว้นและข้อควรระวังที่ต้องรู้]
แม้กิจการดังกล่าวจะเข้าข่าย “กิจการขนาดเล็ก” แต่หากมีลักษณะการประมวลผลข้อมูลส่วนบุคคลดังต่อไปนี้ จะไม่เข้าข้อยกเว้น และยังคงต้องจัดทำ RoPA (ฉบับเต็ม)
– กิจการขนาดเล็ก (SMEs) ที่เข้าหลักเกณฑ์ต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (มาตรา 41)
– กิจการขนาดเล็ก (SMEs) มีการประมวลผลข้อมูลส่วนบุคคล ที่มีความเสี่ยงสูงต่อสิทธิ และเสรีภาพของเจ้าของข้อมูลส่วนบุคคล
– กิจการขนาดเล็ก (SMEs) มีการประมวลผลข้อมูลส่วนบุคคลเป็นประจำ (มิใช่ครั้งคราว)
– กิจการขนาดเล็ก (SMEs) มีการประมวลผลข้อมูลส่วนบุคคลลักษณะพิเศษ (มาตรา 26)
“หากกิจการของท่านเข้าข่ายต้องจัดทำ RoPA แต่เพิกเฉย ไม่ปฏิบัติตาม เสี่ยงโทษทางปกครองสูงสุด 1 ล้านบาท”
 
สรุปแล้ว – แม้ว่า “กิจการขนาดเล็ก (SMEs)” บางกิจการ จะได้รับการละเว้นไม่ต้องทำ RoPA (ฉบับเต็ม) แต่การทำ RoPA (ฉบับเต็ม) ยังมีประโยชน์ในด้านอื่น ๆ นอกจากลดความเสี่ยงละเมิดโทษทางกฎหมาย PDPA เช่น

 

– ช่วยในการประเมินความเสี่ยง: ช่วยให้เห็นภาพรวมว่าแต่ละกิจกรรมการประมวลผลข้อมูลส่วนบุคคล มีความเสี่ยงด้านความเป็นส่วนตัวอย่างไร และสามารถนำไปสู่การทำ DPIA (Data Protection Impact Assessment) ได้

 

– ช่วยบริหารจัดการข้อมูลองค์กร: ช่วยให้เห็นภาพรวมว่าเก็บข้อมูลอะไรบ้าง เก็บที่ไหน ใช้อย่างไร เปิดเผยกับใคร และเก็บไว้นานแค่ไหน ซึ่งนำไปสู่การจัดการและควบคุมข้อมูลส่วนบุคคลได้มีประสิทธิภาพมากขึ้น

 

– ช่วยสนับสนุนกระบวนการรองรับการใช้สิทธิฯ ตาม PDPA: เมื่อเกิดการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล ไม่ว่าจะเป็น การขอเข้าถึง, การขอแก้ไข ฯลฯ สามารถตอบสนองได้เร็วมากยิ่งขึ้น

 

– หลักฐานการชี้แจงต่อหน่วยงาน: หากมีกรณีที่ถูกตรวจสอบจากหน่วยงานกำกับดูแล RoPA จะเป็นเครื่องมือหลักที่ช่วยแจกแจงกระบวนการต่าง ๆ ในองค์กรได้อย่างมีประสิทธิภาพ
ติดตามเราไว้ เพื่อไม่ให้พลาดทุกข่าวสาร ความรู้ และกิจกรรมจากเรา PDPA Thailand
pdpa guru
dpo in action อบรม pdpa dpo
DPO ภาครัฐ PDPA
หลักสูตร PDPA in Action
DPAC อบรม PDPA Internal Audit
PDPA Guru Google Forms EP8
DPOinActionรุ่น19 1200x300
DPO in Action TU - 1200x300
Advanced PDPA in Action สำหรับภาคเอกชน
Banner DPAC 1200x300
dpo รวม