# RoPA คืออะไร? คู่มือทำ Records of Processing Activities ตาม PDPA สำหรับ SME 2026
หากคุณเป็นเจ้าของธุรกิจหรือ DPO (Data Protection Officer) ในประเทศไทย ปี 2026 นี้คำว่า RoPA (Records of Processing Activities) จะกลายเป็นเอกสารสำคัญอันดับต้นๆ ที่หน่วยงาน PDPC ตรวจสอบเป็นอันดับแรกเมื่อเกิดเหตุข้อมูลรั่ว หรือเมื่อเจ้าของข้อมูลร้องเรียน
หลายองค์กร SME ไทยยังเข้าใจผิดว่า RoPA เป็นเรื่องของบริษัทใหญ่เท่านั้น ทั้งที่ความจริงแล้ว PDPA มาตรา 39 บังคับให้ "ผู้ควบคุมข้อมูลส่วนบุคคล" ทุกองค์กรที่ประมวลผลข้อมูลส่วนบุคคลต้องจัดทำบันทึกรายการประมวลผลให้พร้อมตรวจสอบ ไม่จัดทำ = โทษปรับสูงสุด 1 ล้านบาท
ในคู่มือฉบับนี้ คุณจะได้เรียนรู้ตั้งแต่ความหมายของ RoPA, รายการข้อมูลที่ต้องบันทึก, วิธีจัดทำแบบ Step-by-Step, ตัวอย่างจริงสำหรับ SME ไทย และเครื่องมือฟรีที่ช่วยให้งานง่ายขึ้น
RoPA คืออะไร และทำไม SME ไทยต้องทำ
RoPA หรือ Records of Processing Activities คือเอกสารที่บันทึกรายละเอียดทั้งหมดของการประมวลผลข้อมูลส่วนบุคคลในองค์กร เปรียบเสมือน "บัญชีทรัพย์สินข้อมูล" ที่บอกว่าองค์กรเก็บข้อมูลอะไร เก็บจากใคร เก็บเพื่ออะไร เก็บนานแค่ไหน และส่งต่อให้ใครบ้าง
ตามมาตรา 39 ของ PDPA ผู้ควบคุมข้อมูล (Data Controller) และผู้ประมวลผลข้อมูล (Data Processor) ต้องบันทึกรายการประมวลผลให้พร้อมแสดงต่อ PDPC เมื่อร้องขอ และให้เจ้าของข้อมูลตรวจสอบสิทธิตนเองได้
| ประเด็น | RoPA ที่ดี | RoPA ที่ไม่พอ |
|---------|-----------|---------------|
| รายละเอียดข้อมูล | ระบุประเภทข้อมูล หมวดเจ้าของ ฐานทางกฎหมาย | บอกแค่ "ข้อมูลลูกค้า" ลอยๆ |
| ระยะเวลาเก็บ | ระบุชัด เช่น 5 ปีหลังสิ้นสุดสัญญา | บอกว่า "ตามที่จำเป็น" |
| การส่งต่อ | ระบุผู้รับ ประเทศปลายทาง สัญญา DPA | ไม่ระบุปลายทางการประมวลผล |
| Update | รีวิวอย่างน้อยปีละ 1 ครั้ง | ทำครั้งเดียวแล้วลืม |
องค์ประกอบ 8 ข้อที่ RoPA ต้องมี
ตามแนวทางของ PDPC และ ICO (UK) เอกสาร RoPA ต้องมีข้อมูลหลักดังต่อไปนี้
วิธีทำ RoPA แบบ Step-by-Step สำหรับ SME
ขั้นที่ 1: Data Discovery — สำรวจว่าองค์กรมีข้อมูลอะไรบ้าง
สัมภาษณ์ทุกแผนก (HR, Sales, Marketing, IT, Finance) ว่าเก็บข้อมูลส่วนบุคคลใดบ้าง เก็บไว้ที่ระบบไหน Excel, Email, CRM, ERP, Cloud Drive
ขั้นที่ 2: Data Mapping — ทำแผนผังการไหลของข้อมูล
วาด Data Flow Diagram จากต้นทาง (เช่น ฟอร์มสมัครสมาชิก) ผ่านระบบประมวลผล จนถึงปลายทาง (เช่น Mailchimp ในสหรัฐ)
ขั้นที่ 3: ระบุฐานทางกฎหมาย (Lawful Basis)
แต่ละกิจกรรมประมวลผลต้องมี 1 ในฐานทางกฎหมายของ PDPA เช่น Consent, Contract, Legal Obligation, Vital Interest, Public Task หรือ Legitimate Interest
ขั้นที่ 4: บันทึกลง RoPA Template
ใช้ Spreadsheet หรือเครื่องมือ GRC อย่าง OneTrust, Iubenda, Klaro, หรือ Open-Source อย่าง PrivacyOps แต่สำหรับ SME แนะนำเริ่มจาก Excel ก่อน
ขั้นที่ 5: รีวิวร่วมกับ DPO และฝ่ายกฎหมาย
ตรวจความถูกต้องของฐานทางกฎหมาย การเก็บ การส่งต่อ และการคุ้มครอง
ขั้นที่ 6: อัปเดตเมื่อมีการเปลี่ยนแปลง
ทุกครั้งที่เพิ่ม Vendor ใหม่ เปลี่ยน CRM หรือเปิดบริการใหม่ ต้องปรับ RoPA ทันที
เปรียบเทียบเครื่องมือทำ RoPA
| เครื่องมือ | จุดเด่น | จุดด้อย |
|-----------|---------|---------|
| Excel / Google Sheet | ฟรี ใช้ง่าย ปรับแต่งได้ | จัดการยากเมื่อมีหลายร้อยกิจกรรม |
| OneTrust | ครอบคลุม GRC ทั้งระบบ | ค่าใช้จ่ายสูง เหมาะองค์กรใหญ่ |
| Iubenda | ตั้งต้นง่าย UI ภาษาไทย | จำกัดที่ Cookie / Privacy เป็นหลัก |
| Self-Hosted GRC | ควบคุมข้อมูลเอง ปลอดภัยสูง | ต้องมีทีม IT ดูแล |
ความผิดพลาดที่ SME มักทำเวลาทำ RoPA
ทีมที่ปรึกษา ADS FIT พบรูปแบบความผิดพลาดที่ซ้ำๆ เมื่อช่วย SME จัดทำ RoPA เช่น คัดลอก Template จากเน็ตโดยไม่ปรับให้ตรงกับธุรกิจจริง ระบุฐานทางกฎหมายเป็น Consent ทั้งหมดทั้งที่บางกรณีต้องใช้ Contract หรือ Legal Obligation ลืมบันทึก Vendor ที่เป็น Cloud Service ในต่างประเทศ และไม่อัปเดตเมื่อเปิดบริการใหม่
สรุป + Call to Action
RoPA ไม่ใช่แค่กระดาษให้เจ้าหน้าที่ตรวจ แต่เป็นแผนที่นำทางการคุ้มครองข้อมูลของทั้งองค์กร เริ่มจาก Discovery ทำ Data Mapping ระบุฐานกฎหมาย และอัปเดตสม่ำเสมอ จะช่วยลดความเสี่ยงปรับและสร้างความเชื่อมั่นให้ลูกค้า
หาก SME ไทยของคุณยังไม่มี RoPA หรือมีแล้วแต่ไม่มั่นใจในความถูกต้อง ทีมที่ปรึกษา PDPA ของ ADS FIT พร้อมช่วยจัดทำและรีวิวให้ตรงกับมาตรฐาน PDPC [ติดต่อเรา](https://www.adsfit.co.th/#contact) เพื่อรับคำแนะนำเบื้องต้นฟรี หรืออ่านบทความเกี่ยวกับ [PDPA Data Subject Rights](/blog/pdpa-data-subject-rights-dsr-request-handling-guide-sme-thailand-2026) เพิ่มเติม