[Legal] 개인정보 보호법에 따라 처리 활동에 대한 특정 기록 작성이 면제되는 중소기업

19/07/2022

1. 중소기업이 작성하지 않아도 되는 처리 활동 기록 목록

• 수집된 개인정보
• 각 범주의 개인정보가 수집되는 목적
• 데이터 컨트롤러의 세부 사항
• 개인정보가 저장되는 기간
• 개인정보에 접근할 수 있는 권한을 가진 사람과 관련된 조건 및 개인정보에 접근하기 위한 조건을 포함하여 개인정보에 대한 접근 권한 및 접근 방법
• PDPA의 섹션 24 및 26에 따라 데이터 주체의 동의가 필요하지 않은 개인정보의 사용 또는 공개;
• PDPA 섹션 37(1)에 따라 취해진 적절한 보안 조치에 대한 설명

2. 중소기업의 특성

• 중소기업에 대한 투자 인센티브 제공에 관한 법률에 정의된 중소기업이어야 합니다.
• 커뮤니티 기업에 대한 투자 인센티브 제공에 관한 법률에 정의된 커뮤니티 기업 또는 커뮤니티 기업 네트워크여야 합니다.
• 사회적 기업에 대한 투자 인센티브 제공에 관한 법률에 정의된 사회적 기업 또는 사회적 기업 그룹이어야 합니다.
• 협동조합법에 정의된 협동조합, 협동조합 연맹 또는 농업 단체여야 합니다.
• 재단, 협회, 종교 단체 또는 비영리 단체여야 합니다.
• 가사 사업 또는 유사한 유형의 사업이어야 합니다.

위에서 언급한 데이터 컨트롤러는 컴퓨터 범죄에 관한 법률에 정의된 로그 파일 서비스 제공자(인터넷 상점 서비스 제공자 제외)가 아니어야 합니다.

3. 면제가 적용되지 않는 법인

개인정보를 수집, 사용 및 공개하는 중소기업의 데이터 컨트롤러에는 PDPA의 섹션 39, 1항에 명시된 처리 활동의 특정 기록 준비에 대한 면제가 적용되지 않습니다.

• 데이터 주체의 권리를 위험에 빠뜨릴 수 있는 경우
• 가끔이 아니라 정기적으로 행해지는 경우
• PDPA 섹션 26에 따라 민감한 데이터로 간주되는 경우

참고: 2022년 6월 10일 자 Government Gazette (in Thai)