Categories
PDPA Tips

5 สิ่งควรระวัง/เข้าใจ หากคุณติดตั้ง CCTV

หากจะพูดถึงระบบรักษาความปลอดภัยที่ใช้กันอย่างแพร่หลายในทุกวันนี้ การติดตั้ง CCTV น่าจะเป็นสิ่งแรกๆ ที่ทุกสถานที่ติดตั้งและใช้งาน ไม่ว่าจะเป็นภายในพื้นที่ร้านค้า อาคารสำนักงาน หรือแม้กระทั่งบ้านหรือพื้นที่ส่วนบุคคล

แต่ นอกเหนือจากความปลอดภัยที่จะได้จากการใช้ CCTV แล้ว เราก็มี ความเสี่ยง ที่ต้องเข้าใจภายใต้ พรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) เช่นกัน

1. กล้อง CCTV เก็บข้อมูลส่วนบุคคล ( Personal Identifiable Information)

อย่างที่ทราบข้อมูลที่ได้รับการบันทึกไว้ในระบบ CCTV คือ ภาพวีดีโอ ซึ่งอาจติดส่วนของรูปภาพ หรือใบหน้าบุคคลที่เข้ามาในสถานที่ดังกล่าว และภายใต้นิยาม ของ พรบ.คุ้มครองข้อมูลส่วนบุคคล รูปถ่ายจัดได้ว่าเป็นข้อมูลส่วนบุคคล (รูปถ่าย = ระบุตัวตนบุคคลคนหนึ่งได้) โดยที่ไม่จำเป็นว่าเราจะรู้จัก หรือรู้ชื่อของบุคคลคนนั้นหรือไม่ ซึ่งการที่เราเก็บรักษาข้อมูลส่วนบุคคลนี้ ย่อมมีภาระหน้าที่ในการจัดการตาม PDPA อย่างหลีกเลี่ยงไม่ได้

2. แล้วหากเราติดตั้ง CCTV ต้องมีการจัดการอย่างไร ?

ถึงแม้ว่ากล้อง CCTV จะเป็นการเก็บข้อมูลส่วนบุคคล แต่เราก็ไม่ต้องตกใจไปหากมีการใช้งาน เพราะหากเราเข้าใจหลักการจัดการง่ายๆดังต่อไปนี้แล้ว ก็สามารถทำได้ตามปกติ

  1. แจ้งให้บุคคลที่จะเข้ามาในสถานที่ทราบ ว่าเรามีการบันทึก และติดตั้งระบบ CCTV โดยติดประกาศที่เห็นได้ชัดเจน
  2. ประกาศนโยบายข้อมูลส่วนบุคคล ซึ่งระบุเกี่ยวกับการเก็บ บันทึก และการใช้ข้อมูลที่บันทึกผ่าน CCTV ตามรายละเอียดที่ พรบ.กำหนด
ตัวอย่างประกาศนโยบายคุ้มครอบข้อมูลส่วนบุคคล (สามารถทำให้สวยงามและเป็นมิตรกับลูกค้าได้)

3. หากเราไม่มีการประกาศแจ้งให้ถูกต้อง จะมีความผิดไหม?

ตอบอย่างสั้นๆ คุณอาจจะมีโทษทางปกครอง ซึ่งบุคคลใดๆที่เข้ามาในสถานที่เราและพบว่าเราไม่ได้มีการแจ้งขอความยินยอม หรือประกาศนโยบายอย่างชัดเจน ก็สามารถไปร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ ซึ่งโทษปกครองนี้มีโทษปรับสูงสุดถึงหลักล้านบาทเลยทีเดียว!

4. การขอความยินยอม (consent) ในการเก็บข้อมูล CCTV ต้องทำอย่างไรอย่างไร ?

หลักการภายใต้ พรบ. คุ้มครองข้อมูลส่วนบุคคล การใช้กล้องวงจรปิด CCTV ในสถานที่สาธารณะโดยไม่ละเมิดสิทธิ์ของผู้ที่เข้ามาในพื้นที่ (visitors) สามารถใช้ได้ตามฐานประโยชน์อันชอบธรรม (Legitimate Interest) ซึ่งตามหลักแล้วเรา ไม่จำเป็นต้องขออนุญาต (consent) แต่เราจะต้องมีการแจ้งนโยบายข้อมูลส่วนบุคคล (CCTV Privacy Policy หรือบางคนเรียกว่า CCTV Privacy Notice) ให้กับผู้ที่เข้ามาในพื้นที่ทราบ

สิ่งที่เราสามารถทำได้คือการติดประกาศแจ้งเกี่ยวกับการเก็บข้อมูลของ CCTV เพื่อให้บุคคลที่จะเดินเข้ามาเห็นได้อย่างชัดเจน (เช่น ติดประกาศหน้าทางเข้าทุกประตูเป็นต้น)โดยถือว่า เมื่อบุคคลดังกล่าวเดินเข้ามาภายในสถานที่นั้นๆ ย่อมคาดหมายได้ว่า บุคคลดังกล่าวเห็นประกาศแจ้งนโยบาย แล้ว ซึ่งเราสามารถติดแค่คำแจ้งโดยย่อ และแจ้งให้ไปอ่านนโยบายฉบับเต็มได้ที่ต่างๆที่เรากำหนดไว้ เช่น Website, QR Code, บอร์ดประชาสัมพันธ์ เป็นต้น

5. แล้วถ้าเราติด CCTV ในพื้นที่บ้านตัวเองต้องกังวลเรื่อง PDPA ไหม?

คำตอบคือ ไม่ต้องกังวล หากเป็นการเก็บข้อมูลเพื่อประโยชน์ส่วนตน เนื่องจากการเก็บเพื่อประโยชน์ดังกล่าวได้รับการยกเว้นไม่อยู่ภายใต้บังคับของพรบ.

สุดท้ายนี้หากคุณไม่มั่นใจว่าจะสร้างนโยบายคุ้มครองข้อมูลส่วนบุคคลในการใช้ CCTV อย่างไรให้ถูกต้องตามกฎหมาย สามารถให้ EasyPDPA ช่วยสร้างเอกสารนี้ให้ท่านได้ ลองใช้ได้ที่นี่เลย

PDPA

เริ่มต้นการเป็นเจ้าหน้าที่ DPO ง่าย ๆ ให้ EasyPDPA แนะนำแพ็กเกจ PDPA ที่ตอบโจทย์กับความต้องการของคุณมากที่สุดให้ ไม่ว่าจะเป็น

  • Privacy Policy: แพ็ครวบรวมเอกสาร PDPA ทุกด้าน สำหรับบริษัทหรือองค์กรที่ต้องการเก็บข้อมูลส่วนบุคคล เริ่มต้นเพียง 1,290 บาท
  • DPO Working Document Package: แพ็ครวบรวมเอกสาร PDPA ทุกด้าน สำหรับเจ้าหน้าที่ DPO โดยเฉพาะ เริ่มต้นเพียง 4,990 บาท
  • CCTV Privacy Policy แพ็ครวบรวมเอกสาร PDPA สำหรับการเก็บภาพถ่ายบุคคลผ่านระบบ CCTV เริ่มต้นเพียง 599 บาท
Categories
PDPA Tips

ทำไมต้องรีบทำ Privacy Policy?

คำถามที่ผู้ประกอบธุรกิจทุกคนอาจมีในใจตอนนี้คงหนีไม่พ้น คำถามว่า ตอนนี้ พรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) เลื่อนผลบังคับใช้ไปอีกปี แล้วทำไมเราต้องรีบมาทำ Privacy Policy หรือนโยบายข้อมูลส่วนบุคคลอยู่อีก ในเมื่อไม่มีความผิด โทษแพ่ง อาญา ปกครองต่างๆ ก็ถูกเลื่อนไปด้วย ความเป็นจริงแล้ว สำหรับ “Privacy Policy” ยิ่งรีบทำยิ่งดี

การทำ Privacy Policy เป็นหน้าที่ภายใต้พรบ. ที่ทำได้ง่าย และปิดความเสี่ยงได้ไว

หน้าที่หลักข้อแรกสำหรับการประมวลผลข้อมูลส่วนบุคคล ภายใต้ พรบ.คุ้มครองข้อมูล คือ ธุรกิจที่ประมวลผลข้อมูลส่วนบุคล ต้องแจ้ง ให้เจ้าของข้อมูล ส่วนบุคคลทราบ “ก่อน” หรือ “ขณะที่” ประมวลผลข้อมูลส่วนบุคคล ดังนั้น ทุกธุรกิจที่ต้องมีการประมวลผลข้อมูลส่วนบุคคลจึงอยู่ภายใต้บังคับต้องทำ นโยบายข้อมูลส่วนบุคคล (Privacy Policy)

การแจ้ง Privacy Policy นี้ต้องแจ้งสำหรับทั้งข้อมูลส่วน บุคคลที่เก็บ ก่อนหรือหลัง พรบ. มีผลบังคับใช้ ดังนั้น ไม่ว่าจะเป็นตอนนี้ หรือหลังจากพรบ. มีผลในอีกหนึ่งปี หน้าที่การทำนโยบายข้อมูลส่วนบุคคลนี้ก็ยังคงอยู่

ผลของการไม่ทำและไม่แจ้ง เมื่อพรบ. มีผลบังคับใช้ แปลว่า ธุรกิจนั้นมีความผิดทันที โทษแรกที่มีแนวโน้ม โดนบังคับสูงสุดคือ “โทษทางปกครอง” ในจำนวนเงิน สูงสุด ไม่เกิน 1,000,000 ล้านบาท ไม่รวมโทษทางแพ่ง และอาญาที่อาจมีตามมา หากพิสูจน์ความเสียหายของการไม่แจ้งดังกล่าวได้

ทั้งนี้แสดงว่าถ้าหากเจ้าของข้อมูลเปิดหน้า Website หรือ Application ไหนแล้วไม่เจอ Privacy Policy หรือแม้แต่ถ้าเดินเข้าร้านอาหาร หรือสถานที่ใดๆ ที่มีการติดกล้อง CCTV แล้วไม่เจอ Privacy Policy การแจ้งก่อนการใช้บริการ เจ้าของข้อมูลดังกล่าวมีสิทธิร้องเรียน ต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เพื่อดำเนินการปรับ เจ้าของธุรกิจที่ไม่แจ้งนั้นๆ ได้ทันที

หากธุรกิจแจ้ง Privacy Policy ก่อนย่อมได้เปรียบ

ทันทีที่แจ้งก็เท่ากับ ธุรกิจนั้นได้ดำเนินการหน้าที่ตามพรบ. เรียบร้อย หนึ่งข้อ ไม่ต้องกังวลโดนโทษปกครองไปหนึ่งข้อ นอกเหนือจากนั้นยังเป็นการได้ทดลองใช้ระบบต่างๆในการเก็บข้อมูลส่วนบุคคล โดยที่ไม่มีโทษหรือความผิดในการทำไม่ถูกต้องแต่อย่างใด

Privacy Policy ต้องแจ้งอะไรบ้าง?

พรบ.กำหนดหัวข้อขั้นต่ำที่ต้องมีการแจ้งใน Privacy Policy ไว้ดังนี้ ถ้าแจ้งไม่ครบ = ยังไม่พ้นความรับผิด

  • ข้อมูลส่วนบุคคลใดบ้างที่มีการใช้
  • วัตถุประสงค์และวิธีการเก็บและใช้ข้อมูลส่วน บุคคลดังกล่าว พร้อมทั้งกำหนดระยะเวลาการเก็บ
  • ประเภทของหน่วยงาน / บุคคลที่อาจมีการเปิด เผยข้อมูลส่วนบุคคลไปให้
  • สิทธิของเจ้าของข้อมูล ซึ่งเป็นสิทธิที่พรบ. กำหนดคุ้มครองให้
  • ข้อมูลติดต่อของธุรกิจดังกล่าว ในฐานะผู้ควบ คุมข้อมูล

ถ้าหากเจ้าของธุรกิจไหนไม่รู้ว่าจะเริ่มทำ Privacy Policy อย่างไร สามารถเข้ามาใช้บริการสร้าง Privacy Policy ง่ายๆใน 2 นาที กับทาง EasyPDPA ที่นี่

ทำ Privacy Policy เสร็จแล้วต้องเอาไปแจ้งยังไง?

หลักการง่ายๆคือเราใช้ข้อมูลส่วนบุคคลช่องทางใด หรือลักษณะใด ก็ประกาศแจ้ง Privacy Policy ไปที่ช่องทางดังกล่าว เช่น

  • ใช้ข้อมูลผ่าน Website / Application สามารถนำ Privacy Policy ไปแจ้งก่อนการสร้าง User Account ของผู้ใช้บริการ หากไม่ยอมรับ ธุรกิจ สามารถปฏิเสธการสร้าง User Account ได้
  • ใช้แจ้งไว้ที่ป้ายใต้ CCTV หรือทางเข้าสถานที่ที่ ติดตั้ง CCTV โดยต้องชัดเจนพอเพื่อให้บุคคล ที่จะเข้าไปในสถานที่ดังกล่าวเข้าใจ

ใช้ Privacy Policy ฉบับเดียบ Version เดียวไปตลอดเลยได้หรือไม่?

Privacy Policy ควรปรับปรุงให้สอดคล้องกับ Features และการประมวลผลข้อมูลส่วนบุคคลที่มีมากขึ้น แต่การ แก้ไขดังกล่าวสามารถดำเนินการได้ตลอด ด้วยการประกาศการปรับปรุงนั้นผ่านช่องทางเดิม โดยเป็นการใช้สิทธิปรับปรุงแก้ไขฝ่ายเดียวได้

ด้วยความง่ายในการใช้ Privacy Policy เพื่อปิดช่องความเสี่ยง และความรับผิดจากการไม่มีและไม่ประกาศ Privacy Policy เพราะฉะนั้น เราก็สามารถสรุปได้ว่า “Privacy Policy ยิ่งประกาศไว ยิ่งได้เปรียบ