กิจการขนาดเล็ก
สารบัญในหน้านี้
นิยาม
กิจการขนาดเล็ก คือผู้ควบคุมข้อมูลที่ได้รับการผ่อนปรนภาระบางส่วนตามพระราชบัญญัติ เพื่อลดต้นทุนการปฏิบัติตามกฎหมายของกิจการที่มีความเสี่ยงต่ำ เกณฑ์ "กิจการขนาดเล็ก" ไม่ได้กำหนดเป็นตัวเลขในตัวบท แต่ให้คณะกรรมการประกาศกำหนด ตาม มาตรา 39 วรรคสาม:
ความใน (1) (2) (3) (4) (5) (6) และ (8) อาจยกเว้นมิให้นำมาใช้บังคับกับผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็กตามหลักเกณฑ์ที่คณะกรรมการประกาศกำหนด เว้นแต่ ...
การผ่อนปรนไม่ใช่การยกเว้นทั้งหมด และมีเงื่อนไขกำกับเสมอ — กิจการที่มีความเสี่ยงสูงหรือเก็บข้อมูลอ่อนไหวจะไม่ได้รับการผ่อนปรน
ตัวอย่าง
สิ่งที่กิจการขนาดเล็กได้รับการผ่อนปรน:
- บันทึกรายการ (ROPA): ยกเว้นการบันทึกบางรายการตาม มาตรา 39 — แต่ยังต้องบันทึกการปฏิเสธสิทธิ (รายการ (7)) เสมอ
- ตัวแทนของผู้ควบคุมต่างประเทศ: กิจการเล็กที่ไม่เก็บข้อมูลอ่อนไหวและไม่เก็บข้อมูลจำนวนมาก ไม่ต้องแต่งตั้งตัวแทน (มาตรา 38 (2))
สิ่งที่ทำให้ ไม่ได้รับการผ่อนปรน (แม้เป็นกิจการเล็ก):
- เก็บ/ใช้/เปิดเผยข้อมูลที่มีความเสี่ยงต่อสิทธิและเสรีภาพ
- การประมวลผลเป็นกิจกรรมหลัก (ไม่ใช่ครั้งคราว)
- เก็บข้อมูลอ่อนไหวตาม มาตรา 26 (เช่น คลินิกแพทย์)
มาตราที่เกี่ยวข้อง
- มาตรา 39 — ⭐ วรรคสาม — ข้อยกเว้น ROPA สำหรับกิจการขนาดเล็ก + เงื่อนไข
- มาตรา 38 — (2) ข้อยกเว้นการแต่งตั้งตัวแทนสำหรับกิจการเล็กที่ความเสี่ยงต่ำ
- มาตรา 41 — เกณฑ์ "ข้อมูลจำนวนมาก" (เกณฑ์เดียวกับการต้องมี DPO)
- มาตรา 26 — ข้อมูลอ่อนไหว — กิจการเล็กที่เก็บข้อมูลตามนี้ไม่ได้รับการผ่อนปรน
ประกาศที่เกี่ยวข้อง
-
หมายเหตุ
- ผ่อนปรน ไม่ใช่ยกเว้นทั้งหมด: กิจการขนาดเล็กยังต้องปฏิบัติตามหลักการคุ้มครองข้อมูลส่วนใหญ่ — การผ่อนปรนจำกัดเฉพาะภาระด้านเอกสาร/ตัวแทนในกรณีความเสี่ยงต่ำ
- เกณฑ์ผูกกับประกาศคณะกรรมการ: ทั้ง "กิจการขนาดเล็ก" และ "ข้อมูลจำนวนมาก" รอประกาศคณะกรรมการ — ในแนวปฏิบัติทั่วไปอาจอ้างเกณฑ์ของกิจการขนาดกลางและขนาดย่อม (จำนวนพนักงาน/รายได้)
- เก็บข้อมูลอ่อนไหว = เกราะผ่อนปรนหลุดทันที: จุดร่วมของทั้ง มาตรา 38 และ มาตรา 39 คือ การเก็บข้อมูลตาม มาตรา 26 ทำให้กิจการเล็กต้องปฏิบัติเต็มรูปแบบ