PDPA RoPA 2026: Template บันทึกประมวลผลข้อมูล SME ไทย

# PDPA RoPA 2026: Template บันทึกรายการประมวลผลข้อมูลส่วนบุคคลสำหรับ SME

หากองค์กรของคุณเป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) สิ่งหนึ่งที่กฎหมายบังคับและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) มักขอตรวจสอบเป็นอันดับต้นๆ คือ "บันทึกรายการประมวลผลข้อมูลส่วนบุคคล" หรือ Record of Processing Activities (RoPA) ตามมาตรา 39

หลาย SME เข้าใจว่า PDPA จบที่การติด Cookie Banner หรือเขียน Privacy Policy ขึ้นเว็บไซต์ แต่ความจริงคือถ้าไม่มี RoPA ที่อัปเดตและพร้อมแสดงต่อเจ้าหน้าที่ภายในเวลาที่กำหนด อาจถูกปรับทางปกครองสูงสุด 3 ล้านบาท และหากเกี่ยวข้องกับข้อมูลอ่อนไหว (Sensitive Data) อาจถึง 5 ล้านบาท

ในบทความนี้คุณจะได้เรียนรู้นิยามของ RoPA, ข้อมูลขั้นต่ำที่ต้องบันทึก, ตัวอย่าง Template ที่ใช้ได้จริงในธุรกิจ SME, ขั้นตอนการเก็บข้อมูล และเครื่องมือ Open Source ที่ช่วยจัดการ RoPA ได้แบบเป็นระบบ

RoPA คืออะไร และทำไม SME ต้องมี

RoPA คือเอกสาร (อาจอยู่ในรูปแบบ Spreadsheet, Database, หรือเครื่องมือเฉพาะทาง) ที่บันทึกว่าองค์กรของคุณเก็บ-ใช้-เปิดเผย-ลบข้อมูลส่วนบุคคลของใคร เพื่ออะไร อ้างอิงฐานทางกฎหมายอะไร เก็บไว้นานแค่ไหน และแชร์ให้ใครบ้าง

PDPA มาตรา 39 ระบุชัดเจนว่า ผู้ควบคุมข้อมูลส่วนบุคคล "ต้องจัดให้มีบันทึกรายการ" และต้องเก็บไว้พร้อมให้ตรวจสอบ ยกเว้นกิจการขนาดเล็กบางประเภทที่ประกาศของคณะกรรมการให้ข้อยกเว้น แต่กลุ่มที่ทำการประมวลผลเป็นประจำ มีความเสี่ยงสูง หรือเกี่ยวข้องกับข้อมูลอ่อนไหว ยังคงต้องทำเสมอ

| ขนาดธุรกิจ | จำนวนพนักงาน | ต้องทำ RoPA หรือไม่ |

|-----------|--------------|---------------------|

| ไมโคร | < 5 คน | ขึ้นอยู่กับลักษณะกิจกรรม (ปกติยกเว้น) |

| ขนาดเล็ก | 5-50 คน | ต้องทำหากประมวลผลเป็นประจำ |

| ขนาดกลาง-ใหญ่ | 50+ คน | ต้องทำในทุกกรณี |

| ทุกขนาด ที่ประมวลผลข้อมูลอ่อนไหว | - | ต้องทำเสมอ ไม่มีข้อยกเว้น |

ข้อมูลขั้นต่ำที่ต้องอยู่ใน RoPA (12 หัวข้อ)

ตามแนวปฏิบัติของ สคส. และมาตรฐาน ISO 27701 บันทึกแต่ละกิจกรรมประมวลผลควรมีข้อมูลเหล่านี้

ชื่อกิจกรรมประมวลผล (เช่น "การรับสมัครพนักงาน", "การส่ง Email Marketing")

ชื่อหน่วยงาน/แผนกผู้รับผิดชอบ และผู้ติดต่อ (เช่น HR, Marketing)

วัตถุประสงค์ของการประมวลผล (Purpose) ระบุให้ชัดเจน ไม่กำกวม

ฐานทางกฎหมาย (Lawful Basis) — Consent, Contract, Legal Obligation, Vital Interest, Public Task, Legitimate Interest

ประเภทเจ้าของข้อมูล (Data Subject) — ลูกค้า, พนักงาน, ผู้สมัครงาน, Vendor

ประเภทข้อมูล (Categories of Data) — ข้อมูลทั่วไป vs ข้อมูลอ่อนไหว (สุขภาพ, ศาสนา, ฯลฯ)

ผู้รับข้อมูล (Recipients) — ใครได้รับข้อมูลบ้าง ทั้งภายในและภายนอก

การโอนข้อมูลไปต่างประเทศ (Cross-Border Transfer) — ปลายทางและกลไกป้องกัน

ระยะเวลาเก็บข้อมูล (Retention Period) — เก็บนานแค่ไหน และนโยบายลบ

มาตรการรักษาความปลอดภัย (Security Measures) — Encryption, Access Control, Backup

DPIA Reference — หากกิจกรรมนี้มี Risk สูงและต้องทำการประเมินผลกระทบ

วันที่บันทึก/ปรับปรุงล่าสุด — สำคัญต่อการพิสูจน์ Compliance

ตัวอย่าง RoPA Template (สำหรับ SME)

ด้านล่างคือตัวอย่าง Row หนึ่งใน RoPA สำหรับกิจกรรม "การส่ง Newsletter ผ่าน Email"

| Field | ตัวอย่างค่า |

|-------|------------|

| ชื่อกิจกรรม | Email Newsletter Marketing |

| แผนกรับผิดชอบ | Marketing (DPO: it@example.co.th) |

| วัตถุประสงค์ | ส่งข่าวสารโปรโมชั่นและบทความให้สมาชิก |

| ฐานทางกฎหมาย | Consent (มาตรา 19) |

| เจ้าของข้อมูล | สมาชิกที่ Subscribe ผ่านเว็บไซต์ |

| ประเภทข้อมูล | ชื่อ-นามสกุล, Email, พฤติกรรมการเปิดอ่าน |

| ผู้รับข้อมูล | Mailchimp (Processor), Google Analytics |

| Cross-Border | สหรัฐอเมริกา (Standard Contractual Clauses) |

| Retention | จนกว่าจะ Unsubscribe หรือไม่ Active 24 เดือน |

| Security | TLS, SPF/DKIM, MFA บน Mailchimp |

| DPIA | ไม่ต้องทำ (Risk ต่ำ) |

| Last Updated | 2026-05-01 |

เปรียบเทียบเครื่องมือทำ RoPA: Spreadsheet vs OneTrust vs Open Source

|-----------|------|---------|---------|

สำหรับ SME ไทยที่เริ่มต้น แนะนำให้ใช้ Spreadsheet ที่มี Version Control (เช่น Google Sheets + Drive) และยกระดับเป็นเครื่องมือเฉพาะเมื่อจำนวนกิจกรรมเกิน 30 รายการ

ขั้นตอนทำ RoPA ใน 6 Step

Step 1: แต่งตั้ง DPO หรือผู้รับผิดชอบ

หากองค์กรเข้าเกณฑ์ตามมาตรา 41 ต้องแต่งตั้ง Data Protection Officer

Step 2: Data Mapping ทุกแผนก

สัมภาษณ์ HR, Marketing, Sales, Customer Service, IT ว่ามีกิจกรรมประมวลผลอะไรบ้าง

Step 3: ระบุฐานทางกฎหมายของแต่ละกิจกรรม

ใช้ Decision Tree ของ สคส. เพื่อเลือก Lawful Basis ที่เหมาะสม

Step 4: บันทึกใน Template มาตรฐาน

ใช้ 12 หัวข้อด้านบนเป็นโครงสร้าง

Step 5: ขอ Approval จากผู้บริหาร และเผยแพร่ภายใน

ส่งให้ Department Head อ่านและรับรอง

Step 6: Review ทุก 6 เดือน หรือเมื่อมี Process ใหม่

ตั้ง Calendar Reminder อัตโนมัติ

ข้อผิดพลาดที่ SME มักทำเกี่ยวกับ RoPA

คิดว่าทำแค่ Privacy Policy บนเว็บก็พอ — RoPA เป็นเอกสารภายใน คนละชิ้นกับ Public Privacy Notice

ระบุ Lawful Basis เป็น "Consent" ทั้งหมด — บางกิจกรรม เช่น การจ่ายเงินเดือน ใช้ Contract ไม่ใช่ Consent

ไม่มีระยะเวลาเก็บข้อมูล (Retention) — กฎหมายต้องการให้ลบเมื่อหมดความจำเป็น

ลืมบันทึก Vendor ที่เป็น Data Processor — เช่น HR System, Email Provider, Cloud Storage

ไม่อัปเดตเมื่อมีระบบใหม่ — เปิด CRM ใหม่แต่ไม่ Add ใน RoPA = ไม่ Compliant

สรุป + Next Step

RoPA ไม่ใช่แค่เอกสารกระดาษ แต่เป็นพื้นฐานของ Privacy Program ที่ดี การทำ RoPA ที่ครบถ้วนและอัปเดตเสมอ ช่วยให้องค์กรตอบ Data Subject Request ได้เร็ว, จัดการ Data Breach ได้ทันท่วงที, และพิสูจน์ Compliance เมื่อถูกตรวจสอบจาก สคส.

หากองค์กรของคุณยังไม่มี RoPA หรือมีแต่ไม่ได้อัปเดตเกิน 1 ปี ถึงเวลาเริ่มต้นแล้ว เริ่มจาก Data Mapping วันนี้ ใช้เวลา 2-3 สัปดาห์ ก็จะมี RoPA ฉบับแรกที่ใช้งานได้

หากต้องการที่ปรึกษาด้าน PDPA Compliance, การวางระบบ RoPA, หรือการอบรมพนักงานเรื่องคุ้มครองข้อมูลส่วนบุคคล ติดต่อทีมงาน ADS FIT หรืออ่านบทความ ISO/GMP/อย. อื่นๆ ในบล็อกของเราเพื่อเรียนรู้มาตรฐานสากลที่เกี่ยวข้อง

สนใจโซลูชันนี้?

ปรึกษาทีม ADS FIT ฟรี เราพร้อมออกแบบระบบที่ฟิตกับธุรกิจของคุณ

ติดต่อเรา →

PDPA RoPA 2026: Template บันทึกรายการประมวลผลข้อมูลส่วนบุคคลสำหรับ SME