Categories
PDPA Tips Uncategorized

รู้จักกับ 6 เอกสาร PDPA ที่บริษัทควรรู้!

เอกสาร PDPA คืออะไร? ทำความรู้จักกับแบบฟอร์มเอกสารที่สำคัญสำหรับ PDPA 

กฎหมาย PDPA ใกล้ประกาศใช้ในวันที่ 1 มิถุนายน 2565 แล้ว โดยกฎหมายนี้ถือว่าสำคัญสำหรับเป็นอย่างมาก เพราะเป็นพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ที่ถูกกำหนดขึ้นเพื่อคุ้มครองข้อมูลส่วนบุคคลไม่ให้ถูกจัดเก็บ หรือนำไปใช้โดยไม่ได้แจ้งให้เราทราบ และ/หรือ ได้รับความยินยอมจากเราในฐานะเจ้าของข้อมูลก่อน

สำหรับบริษัทหรือเจ้าหน้าที่ภายในองค์กรที่มีความจำเป็นต้องใช้หรือจัดเก็บข้อมูลส่วนบุคคล บางท่านอาจจะยังไม่ทราบว่าการจัดการข้อมูลส่วนบุคคลนั้น มีขั้นตอนอย่างไร? และมี เอกสาร PDPA ประเภทไหนบ้าง? ที่เราต้องใช้เพื่อขอความยินยอมจากข้อมูลส่วนบุคคล วันนี้ทีม EasyPDPA มีความรู้ดี ๆ เกี่ยวกับ เอกสาร PDPA มาฝากทุกท่านกันค่ะ 

เอกสาร PDPA

6 เอกสาร PDPA ที่สำคัญสำหรับการจัดการข้อมูลส่วนบุคคล

สำหรับใครที่สงสัยว่าเอกสาร PDPA มีอะไรบ้าง? แล้วเราในฐานะบริษัทต้องเตรียมอะไรเพื่อใช้ในการจัดการข้อมูลส่วนบุคคล วันนี้เรามีความรู้ดี ๆ เกี่ยวกับเอกสาร PDPA 6 ประเภทมาฝากกันค่ะ

1. Privacy Policy เอกสารการจัดเก็บข้อมูลส่วนบุคคล

บริษัทไหนที่มีเว็บไซต์เป็นของตัวเอง อีกทั้งยังมีการเก็บข้อมูลของผู้เข้าเยี่ยมชมเช่น ชื่อนามสกุล อีเมล ข้อมูลการติดต่อ หรือใช้ Cookies ประเภทต่างๆ เพื่อติดตามการใช้บนเว็บไซต์ ถือว่าเราเก็บข้อมูลส่วนบุคคลและตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) อยู่ หากเราอยากเก็บและประมวลผข้อมูลส่วนบุคคล ได้อย่างถูกต้องตามกฎหมาย PDPA เราจำเป็นต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลรับก่อน อีกทั้งยังต้องมีเอกสาร  Privacy Policy เพื่อแจ้งให้เจ้าของข้อมูลส่วนบุคคลรับทราบและยินยอมในการจัดเก็บข้อมูลนี้ด้วย

มองหาเอกสาร PDPA อยู่หรือไม่? เราขอแนะนำ Privacy Policy แพ็กเกจที่รวบรวมเอกสาร PDPA ทุกด้าน สำหรับบริษัทหรือองค์กรที่ต้องการเก็บข้อมูลส่วนบุคคล เริ่มต้นเพียง 1,290 บาท

เอกสาร PDPA

 

2. HR Privacy Policy เอกสารสำหรับการทำงานของ HR

มาต่อกับเอกสาร PDPA ประเภทที่สอง เอกสารชุดนี้เหมาะสำหรับผู้ที่ทำงานด้านฝ่ายบุคคล หรือ HR เป็นอย่างยิ่ง เนื่องจากตำแหน่งนี้ เราจะต้องทำงานผ่านเอกสารข้อมูลส่วนบุคคลตลอดเวลา เริ่มตั้งแต่การทำเอกสารรับสมัครงาน การทำสัญญาจ้าง หนังสือรับรองการทำงาน ตลอดจนหนังสือบอกเลิกสัญญาจ้าง ซึ่งล้วนเป็นเอกสารที่บริษัทมีการจัดเก็บข้อมูลส่วนบุคคลของพนักงานอย่างหลากหลาย โดยข้อมูลส่วนบุคคลเหล่านี้ จะเป็นข้อมูลส่วนบุคคลที่เกี่ยวกับข้องกับการทำงาน เช่น ชื่อ-นามสกุล ประวัติการทำงาน คุณสมบัติการทดสอบ การเบิกเงินเดือนและสวัสดิการต่างๆ 

เอกสาร PDPA

นอกจากข้อมูลที่เกี่ยวข้องกับการทำงานแล้ว ยังอาจรวมถึง ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) ซึ่งถือเป็นข้อมูลที่มีความละเอียดอ่อนและอาจส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคล ทั้งในส่วนของการทำงาน สังคม และชีวิตความเป็นอยู่ด้วย ยกตัวอย่าง  ลายนิ้วมือ ข้อมูลสุขภาพ และประวัติอาชญากรรม เป็นต้น 

บริษัทและพนักงาน HR จึงมีหน้าที่ที่ต้องปฏิบัติตามกฎหมาย PDPA โดยการแจ้ง Privacy Policy เพื่อขอความยินยอมในการจัดเก็บและประมวลผลข้อมูลส่วนบุคคลของพนักงานด้วย

แนะนำแพ็กเกจที่รวบรวมเอกสารสำหรับการทำงานของ HR และ Recruiter เอกสารรวบรวมการทำงานด้าน PDPA: HR Privacy Policy ราคาเพียง 3,990 บาท 

3. Cookies Privacy Package เอกสารสำหรับเว็บไซต์

สำหรับบริษัทไหนที่ใช้เว็บไซต์ สิ่งที่เราจะควรให้ความสำคัญไม่แพ้ข้อมูลบนเว็บไซต์ คือ Cookies ซึ่งเป็นเครื่องมือที่ใช้ในการติดตามการใช้งานของผู้เยี่ยมชมเว็บไซต์ เช่น Google Analytic Facebook Pixel เป็นต้น ดังนั้น ก่อนที่เราจะใช้เก็บข้อมูลของผู้เข้าเยี่ยมชมเว็บไซต์ เราจำเป็นที่จะต้องแจ้งให้ผู้ใช้งานรับทราบก่อน และให้สิทธิในการตั้งค่า Cookies สำหรับบุคคลดังกล่าวด้วย

เก็บข้อมูลผู้ใช้งานบนเว็บไซต์อย่างถูกต้อง ด้วยเอกสาร Cookies Privacy Policy สำหรับประกาศแจ้งการเก็บข้อมูลด้วย Cookies บนเว็บไซต์ทั้งภาษาไทย และภาษาอังกฤษ พร้อมคำแนะนำเกี่ยวกับการแจ้งสิทธิการตั้งค่า Cookies Cookies Privacy Package ราคาเพียง 599 บาท

4. CCTV Privacy Policy เอกสารการเก็บภาพบุคคล

หากบริษัทมีการติดตั้งกล้อง CCTV ภายในพื้นที่เพื่อระบบรักษาความปลอดภัย การใช้กล้อง CCTV ถือเป็นสิ่งที่สำคัญมาก เพราะเราสามารถใช้บันทึกภาพถ่ายของบุคคล ที่เข้า-ออกภายในพื้นที่เพื่อความปลอดภัยแต่รู้หรือไม่? การเก็บภาพถ่ายบุคลลนี่น ถือเป็นข้อมูลส่วนบุคคลด้วย ดังนั้น เราจึงมีหน้าที่ที่ต้องแจ้งให้บุคคลที่มีการบันทึกภาพถ่ายจากกล้อง CCTV รับทราบด้วย โดยเราสามารถเก็บข้อมูลและขอความยินยอมในการบันทึกภาพจาก CCTV Privacy Policy 

ซึ่งเอกสาร CCTV Privacy Policy  ของ EasyPDPA เริ่มต้นเพียง 599 บาท ครอบคลุมทั้งภาษาไทยและภาษาอังกฤษ ช่วยให้คุณเก็บบันทึกภาพถ่ายได้ถูกต้องตามกฎหมาย PDPA 

5. Data Processing Agreement เอกสารเปิดเผยข้อมูล

บริษัทส่วนใหญ่มักจะมีการส่งต่อหรือโอนข้อมูลส่วนบุคคลของพนักงาน ให้แก่แผนกอื่นภายนอกองค์กร ดังนั้น ถ้าบริษัทของเรามีความจำเป็นที่จะต้องรับ ส่งต่อ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลใดก็ตาม กับบุคคลภายนอกองค์กรของท่าน ไม่ว่าจะเป็นการส่งต่อข้อมูลลูกค้าให้แก่ ผู้ให้บริการภายนอก (Outsource) เพื่อการจัดส่งสินค้า หรือกรณีที่เราเป็นบริษัทที่ปรึกษาที่ได้รับข้อมูล ต่อมาจากผู้ว่าจ้าง เพื่อเป็นการรับประกันสิทธิ หน้าที่ และความรับผิดชอบของคู่สัญญาทั้งสองฝ่าย 

เราจึงควรมีการทำสัญญาข้อตกลงการประมวลผลข้อมูลส่วนบุคคลระหว่างกันด้วย โดยเราสามารถดำเนินการผ่าน Data Processing Agreement ในราคาเพียง 1,590 บาท พร้อมคำแนะนำวิธีการใช้อย่างถูกต้อง

6. DPO Working Document เอกสารสำหรับ DPO

สำหรับเอกสารในข้อสุดท้ายนั้น ถือมีความสำคัญไม่แพ้กับเอกสารในข้ออื่น ๆ ถ้าหากเรามีความจำเป็นต้องรับ ส่งต่อ เปิดเผยข้อมูลส่วนบุคคลของบุคคลใดก็ตาม กับบุคคลภายนอกองค์กรของท่าน เช่น การส่งต่อข้อมูลลูกค้าให้แก่ ผู้ให้บริการภายนอก (Outsource) เพื่อการจัดส่งสินค้า หรือกรณีที่เราเป็นบริษัทที่ปรึกษาที่ได้รับข้อมูล ต่อมาจากผู้ว่าจ้าง) เพื่อเป็นการรับประกันสิทธิ หน้าที่ และความรับผิดชอบของคู่สัญญาทั้งสองฝ่าย เกี่ยวกับการประมวลผลข้อมูล ส่วนบุคคล

เราจึงควรมีการทำสัญญาข้อตกลงการประมวลผลข้อมูลส่วนบุคคลระหว่างกันด้วย โดยเราสามารถดำเนินการผ่าน  DPO Working Document Packaget ในราคาเพียง  4,990  บาท พร้อมคำแนะนำวิธีการใช้อย่างถูกต้อง

Categories
PDPA Tips

PDPA คืออะไร? – สรุป PDPA เกี่ยวกับธุรกิจที่คุณควรรู้! ฉบับเข้าใจง่าย

ในยุคที่ธุรกิจและการตลาดขับเคลื่อนด้วยข้อมูล ทำให้ “ข้อมูล” ของลูกค้ากลายเป็นสิ่งที่มีมูลค่าและมีความสำคัญสำหรับธุรกิจมาก ๆ เพราะเราสามารถต่อยอดธุรกิจจากข้อมูลที่มี เพื่อพัฒนาสินค้าและบริการให้ตอบโจทย์ความต้องการของลูกค้าได้ แต่น้อยคนนักจะรู้ว่า PDPA คืออะไร?

ซึ่งกฎหมาย PDPA ที่จะมีการประกาศใช้ในวันที่ 1 มิถุนายน 2565 นั้น ถือว่าเป็นเรื่องที่สำคัญมาก เพราะการจัดเก็บข้อมูลส่วนบุคคลจากลูกค้าทั้งในรูปแบบออฟไลน์ หรือออนไลน์ หากมีการเก็บข้อมูลโดยไม่ถูกต้อง อาจมีความผิดตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ได้  

ถ้าใครยังไม่รู้ว่า PDPA คืออะไร? วันนี้ EasyPDPA จะพาทุกคนมารู้จักกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือ PDPA แบบเจาะลึก จัดเต็ม!

PDPA คืออะไร? มีความสำคัญอย่างไรกับบริษัทในยุคนี้ 

หลายคนอาจจะเคยได้ยินเกี่ยวกับข้อมูลส่วนบุคคล แต่ยังไม่รู้ว่า PDPA คืออะไร? อีกทั้งยังไม่รู้ว่า PDPA จะประกาศใช้ 1 มิถุนายน 2565 นี้

กฎหมาย PDPA (Personal Data Protection Act) เป็นพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ซึ่งถูกกำหนดขึ้นเพื่อใช้ในการคุ้มครองข้อมูลส่วนบุคคล ไม่ให้ถูกจัดเก็บหรือนำไปใช้โดยไม่ได้แจ้งให้เราทราบ และ/หรือได้รับความยินยอมจากเราในฐานะเจ้าของข้อมูลก่อน

PDPA คืออะไร?

ในปัจจุบันบริษัทหรือนักการตลาดอาจได้รับหรือเข้าถึงข้อมูลส่วนบุคคล (Personal Data) ของลูกค้าหรือผู้ใช้งานได้หลากหลายช่องทาง ไม่ว่าจะเป็นการเก็บข้อมูลส่วนบุคคลจากการสมัครสมาชิกบนเว็บไซต์ การทำธุรกรรมผ่าน Mobile-Banking การขอเข้าถึงตำแหน่งที่ตั้งและ GPS บนมือถือ หรือแม้แต่การเก็บคุกกี้จากการใช้บริการเว็บไซต์ต่าง ๆ

ด้วยเหตุนี้ จึงได้มีการสร้างกฎหมาย PDPA (Personal Data Protection Act: PDPA) หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เพื่อให้บริษัท พนักงาน หรือผู้ที่เกี่ยวข้องตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลให้มีความปลอดภัยมากขึ้น ซึ่งถ้าบริษัทเก็บรวบรวมข้อมูลทันที โดยไม่ได้มีการชี้แจงรายละเอียดเกี่ยวกับการเก็บข้อมูลส่วนบุคคลของลูกค้าหรือผู้ใช้งาน และ/หรือรวมถึงไม่ได้มีการขอความยินยอมก่อนสำหรับการประมวลผลข้อมูลส่วนบุคคลที่ต้องมีการขอความยินยอม จะกลายเป็นการกรณีที่บริษัทไม่ปฏิบัติให้ถูกต้องตาม PDPA และอาจมีความผิดได้

ข้อมูลส่วนบุคคลที่อยู่ภายใต้การคุ้มครองของ PDPA มีอะไรบ้าง?

เมื่อเราเข้าใจว่า PDPA คืออะไร? ทีนี้เราก็มารู้จักกับความหมายและประเภทของข้อมูลส่วนบุคคลกัน ข้อมูลส่วนบุคคล (Personal Data) เป็นข้อมูลที่สามารถใช้เพื่อระบุตัวตนของเจ้าของข้อมูลที่เป็นบุคคลธรรมดาคนๆนึงได้ ไม่ว่าทางตรงและทางอ้อม ตัวอย่างข้อมูล

PDPA คืออะไร?

ส่วนบุคคลทั่วไป

  • ชื่อ-นามสกุล 
  • เบอร์โทรศัพท์ อีเมลส่วนตัว ที่อยู่ปัจจุบัน
  • เลขบัตรประชาชน เลขหนังสือเดินทาง เลขใบอนุญาตขับขี่ 
  • ข้อมูลทางการศึกษา ข้อมูลทางการเงิน ข้อมูลทางการแพทย์
  • ทะเบียนรถยนต์ โฉนดที่ดิน ทะเบียนบ้าน
  • วันเดือนปีเกิด สัญชาติ น้ำหนักส่วนสูง
  • ข้อมูลบนอื่น ๆ บนอินเทอร์เน็ตที่สามารถระบุตัวตนได้ เช่น Username /password,  Cookies IP address,  GPS Location

ถ้าข้อมูลไหนที่ไม่สามารถระบุตัวตนของเจ้าของข้อมูลได้ เช่น ข้อมูลบริษัท จะไม่ถือว่า เป็นไม่ใช่ข้อมูลส่วนบุคคล และไม่อยู่ภายใต้บังคับตาม​ PDPA เลย  

นอกจากเราจะต้องรู้จักกับข้อมูลส่วนบุคคลทั่วไปแล้ว เรายังต้องรู้จักและระมัดระวังการใช้ข้อมูลที่มีความอ่อนไหว (Sensitive Personal Data) มากเป็นพิเศษ เพราะเป็นข้อมูลที่มีความละเอียดอ่อนและอาจส่งผลกระทบต่อเจ้าของข้อมูล ทั้งในแง่ของการทำงาน สังคม และชีวิตความเป็นอยู่ โดยเฉพาะอาจนำไปสู่การเลือกปฏิบัติได้ PDPA จึงกำหนดโทษที่หนักขึ้นหากใช้ข้อมูลนั้นไม่ถูกต้อง ซึ่งอาจรวมถึงโทษอาญา ที่กรรมการต้องติดคุก 

ข้อมูลส่วนบุคคลที่มีความอ่อนไหว คือข้อมูลดังต่อไปนี้ 

  • เชื้อชาติ เผ่าพันธุ์ 
  • ความคิดเห็นทางการเมือง 
  • ความเชื่อในลัทธิ ศาสนาหรือปรัชญา
  • พฤติกรรมทางเพศ
  • ประวัติอาชญากรรม 
  • ข้อมูลด้านสุขภาพ ความพิการ เช่น โรคประจำตัว การฉีดวัคซีน ใบรับรองแพทย์
  • ข้อมูลสหภาพแรงงาน
  • ข้อมูลพันธุกรรม
  • ข้อมูลชีวภาพ เช่น ลายนิ้วมือ แบบจำลองใบหน้า ข้อมูลม่านตา

ใครต้องอยู่ภายใต้ PDPA บ้าง?

หลังจากรู้จักกับประเภทของข้อมูลส่วนบุคคลที่เรารวบรวมมาให้แล้ว เราก็มาทำความรู้จักกับผู้ที่หน้าที่เกี่ยวข้องกับข้อมูลส่วนบุคคลตามกฎหมาย PDPA กันบ้าง 

PDPA คืออะไร?

1. เจ้าของข้อมูลส่วนบุคคล (Data Subject)

เจ้าของข้อมูลส่วนบุคคล หรือ Data Subject ก็คือคนที่ข้อมูลส่วนบุคคลชุดนั้นๆ จะชี้มาที่ตัวตนของบุคคลนั้นได้ ซึ่งก็คือตัวเรานั่นเอง ภายใต้ PDPA เจ้าของข้อมูลเป็นผู้ได้รับการปกป้องคุ้มครองและมีสิทธิต่าง ๆ เหนือข้อมูลส่วนบุคคลของตน 

2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

ผู้ควบคุมข้อมูลส่วนบุคคล หรือ Data Controller คือคน บริษัทหรือองค์กรต่าง ๆ  ที่เป็นคนตัดสินใจว่า จะมีการประมวลผลข้อมูลส่วนบุคคลอะไร เพื่ออะไร อย่างไร ภายใต้ PDPA ผู้ควบคุมข้อมูลส่วนบุคคลเป็นผู้มีหน้าที่และความรับผิดหลักที่ต้องปฏิบัติตาม PDPA ให้ครบถ้วน พ่อค้าแม่ค้าออนไลน์ที่รับข้อมูลจัดส่งสินค้าของลูกค้าที่ CF ของมาเพื่อติดต่อส่งของก็เป็น Data Controller ได้ และบริษัททุกบริษัททันทีที่มีพนักงานคนแรก ที่ต้องใช้ข้อมูลเพื่อจ่ายเงินเดือนก็เป็น Data Controller แล้วทั้งสิ้น

3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)

ผู้ประมวลผลข้อมูลส่วนบุคคล หรือ Data Processor คือ คน บริษัทหรือองค์กรต่าง ๆ ที่ประมวลผลข้อมูลส่วนบุคคล โดยจะทำภายใต้คำสั่ง หรือในนามของ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) เท่านั้น ไม่ได้เป็นคนตัดสินใจทำการประมวลผลข้อมูลด้วยตัวเอง ตัวอย่างเช่น พี่ๆ messenger ที่ใช้ข้อมูลส่วนบุคคลของคนที่เราต้องการส่ง ของให้เพื่อเอาของไปส่งแทนเรา กรณีนี้พี่ๆ ก็เป็น Data Processor หรือกรณีบริษัทใช้ ระบบ Cloud Service ซึ่งผู้ให้บริการจะเก็บข้อมูลแทนบริษัท ผู้ให้บริการ Cloud ก็เป็น Data Processor

โทษที่คุณอาจเจอ หากไม่ปฎิบัติตาม PDPA

ถึงแม้กฎหมาย PDPA จะเป็นที่พูดถึงกันมาบ้างแล้ว แต่หลายบริษัทอาจจะยังไม่ได้ปฏิบัติตามอย่างครบถ้วน เช่น ยังไม่มีการจัดทำ Privacy Policy หรือยังไม่ได้ขอความยินยอมในการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูล หรือยังไม่แต่งตั้ง DPO เป็นต้น การที่บริษัทต่าง ๆ ยังไม่ได้ปฏิบัติหน้าที่ของตนให้ครบถ้วนตาม PDPA อาจนำไปสู่โทษ แพ่ง ซึ่งผู้ได้รับความเสียหายได้เงินค่าเสียหายกลับบ้าน พร้อมกับที่อาจได้โบนัสจากศาลเป็นค่าเสียหายเชิงลงโทษ โทษอาญา ที่อาจนำไปสู่โทษปรับ และกรรมการอาจต้องติดคุก โดยเฉพาะกรณีการประมวลผลข้อมูลส่วนบุคคลอ่อนไหว และ โทษปกครอง ที่อาจจะถูกปรับเงินเข้ารัฐได้ง่ายๆ แค่เพราะไม่ทำตามที่กฎหมายกำหนด เช่น ไม่มี Privacy Policy

อ่านรายละเอียดเกี่ยวกับโทษทางกฎหมาย PDPA ได้ที่

โทษปรับสุดโหด หากคุณยังไม่มี Privacy Policy

สรุป 3 ขั้นตอนในการทำตาม PDPA แบบ Step By Step

PDPA คืออะไร?

อ่านบทลงโทษทางกฎหมาย PDPA แล้ว หลายคนอาจจะรู้สึกร้อน ๆ หนาว ๆ กันบ้าง แต่อย่าพึ่งตกใจไป! เพราะ ภายใต้ PDPA เรายังสามารถเก็บข้อมูลส่วนบุคคลเหล่านี้ได้ตามปกติอยู่ เพียงแต่ต้องปรับให้มีการเก็บเท่าที่จำเป็น และต้องแจ้งรายละเอียดในการเก็บ ใช้ เปิดเผยข้อมูลส่วนบุคคล ให้เจ้าของข้อมูลทราบ และในบางกรณีอาจต้องมีการขอความยินยอมด้วย จึงจะถือว่าไม่ผิดหลัก PDPA

โดย EasyPDPA ได้สรุป 3 ขั้นตอนสำหรับการทำตามกฎหมาย PDPA ง่าย ๆ ดังนี้

ขั้นตอน 1: การเตรียมความพร้อมของคนให้เข้าใจ PDPA

PDPA เป็นกฎหมายใหม่ที่จะมีผลสำคัญกับการใช้ข้อมูลส่วนบุคคของภาคธุรกิจต่อไป แต่หากทุกคนเปิดใจและทำความเข้าใจ EasyPDPA เชื่อว่า PDPA ไม่ใช่กฎหมายที่ยากเกินไป 

ขั้นตอนที่สำคัญขั้นตอนแรกในการเตรียมตัวสำหรับ PDPA จึงเป็นการเตรียมความพร้อมของคนในองค์กรเพื่อเข้าใจภาพรวม หน้าที่และขั้นตอนที่ต้องดำเนินการ 

ขั้นตอน 2: เข้าใจความจำเป็นการประมวลผลข้อมูลส่วนบุคคลและแจ้งการประมวลผล ให้ถูกวิธี

หาก Data Controller ต้องการเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูล PDPA กำหนดหน้าที่หลักว่า  Data Contoller จะต้องแจ้งเจ้าของข้อมูลให้ทราบว่า จะเก็บ ใช้ข้อมูลส่วนบุคคลใดบ้าง เพื่อประโยชน์อะไร นานเท่าไหร่ จะมีการส่งต่อเปิดเผยข้อมูลส่วนบุคคลนั้นให้ใครบ้าง จะรักษาความปลอดภัยข้อมูลเหล่านี้อย่างไร และรับประกันสิทธิการเป็นเจ้าของข้อมูลของบุคคลทั่วไปยังไง โดยต้องดำเนินการแจ้งข้อมูลทั้งหมดในเอกสารที่เรียกว่า Privacy Policy หรือนโยบายความเป็นส่วนตัวนั่นเอง

ข้อมูลสำคัญที่ต้องระบุใน  Privacy Policy

  • จะมีใช้ข้อมูลส่วนบุคคลไหนบ้าง จากแหล่งไหนบ้าง?
  • มีความจำเป็นในการใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อะไร?
  • จะจัดเก็บข้อมูลส่วนบุคคลนานเท่าไหร่?
  • จะส่งต่อหรือเผยแพร่ข้อมูลส่วนบุคคลนั้นให้ใครบ้าง? 
  • จะมีวิธีในการรักษาความปลอดภัยข้อมูลส่วนบุคคลอย่างไร? 
  • สิทธิในข้อมูลส่วนบุคคลของเจ้าของข้อมูลมีอะไรบ้าง และในกรณีที่ต้องการใช้สิทธิ เช่น ลบข้อมูล ต้องติดต่อใคร?

เปลี่ยน PDPA ให้เป็นเรื่องง่ายสำหรับทุกคน

หากใครยังไม่รู้ว่าจะเริ่มต้นทำแบบฟอร์มยังไง  EasyPDPA มีแบบฟอร์ม Privacy Policy เริ่มต้นเพียง 1,290 บาท  ให้คุณแจ้งผู้ใช้งานได้อย่างครบถ้วนและถูกหลัก PDPA ภายใน 2 นาที เท่านั้น

สร้าง Privacy Policy ง่ายๆ เพียง 3 ขั้นตอนเท่านั้น!

แพ็กเกจ Privacy Policy ของ EasyPDPA ใช้งานง่ายมาก เพียงแค่คุณเลือก Policy ที่ต้องการ กรอกข้อมูลบริษัท ก็ดาวน์โหลด พร้อมใช้งาน หรือถ้าไม่แน่ใจ ทำแบบทดสอบ ก่อนเลือก Policy ที่ใช่สำหรับคุณได้

Privacy Policy

การเก็บข้อมูลส่วนบุคคลโดยใช้ Cookies Privacy Policy

อีกประเภทของข้อมูลส่วนบุคคลที่มีการเก็บสำหรับการให้บริการเว็บไซต์ ภายใต้ PDPA คือ Cookies ที่ถูกใช้เพื่อจุดประสงค์ต่าง ๆ Cookies หรือเครื่องมือในการจัดเก็บข้อมูล เพื่อช่วยให้การใช้งานบนเว็บไซต์มีประสิทธิภาพมากขึ้นถือเป็น ข้อมูลส่วนบุคคล

ซึ่งถ้าหากคุณมี Cookies ติดตั้งในหน้าเว็บไซต์ เพื่อทำการเก็บข้อมูลส่วนบุคคลโดยเฉพาะพฤติกรรมของผู้ใช้งาน คุณต้องแจ้ง และขอความยินยอมจากผู้ใช้งานก่อน โดยคุณสามารถแจ้งและขอความยินยอมจากผู้ใช้งานได้อย่างง่ายดาย ผ่าน EasyCookies Popup ถูกต้องตามหลัก PDPA สะดวกรวดเร็ว เริ่มต้นเพียง 599 บาท เท่านั้น!

เริ่มต้นใช้ EasyCookies Popup ง่ายใน 5 นาที

PDPA คืออะไร?

นอกจากการแจ้ง Privacy Policy แล้ว สำหรับนักการตลาด และการทำการตลาดของ บริษัทต่าง ๆ บริษัทอาจต้องขอความยินยอม (Consent) จากกลุ่ม target ต่าง ๆ นั้นก่อนจึงจะสามารถส่งข้อความไปติดต่อประชาสัมพันธ์ต่าง ยังคนกลุ่มดังกล่าวได้ ไม่ว่าจะเป็นการติดต่อสื่อสารผ่านช่องทางใด เช่น SMS / e-mail / Facebook Retargeting / In-App Notification เป็นต้น

โดยการขอความยินยอมนั้น เจ้าของข้อมูลมีอิสระที่จะให้หรือไม่ให้ความยินยอมก็ได้ และเจ้าของข้อมูลอาจถอนความยินยอมเมื่อไหร่ก็ได้ และเมื่อเจ้าของข้อมูลถอนความยินยอม การส่งข้อมูลการตลาดต้องหยุดในทันที 

ขั้นตอน 3:  การรักษาความปลอดภัยของข้อมูลส่วนบุคคล และการรับมือเหตุการณ์ต่าง ๆ เกี่ยวกับข้อมูลส่วนบุคคล

นอกจากการจัดทำเอกสาร Privacy Policy แล้วเมื่อมีการเก็บรักษาข้อมูลส่วนบุคคลของบุคคลใด Data Controller มีหน้าที่รักษาความปลอดภัยของข้อมูล ไม่ใช่แค่ความลับ แต่ต้องรวมถึง ความถูกต้องและความพร้อมใช้ของข้อมูลส่วนบุคคลที่ตนใช้ 

สำหรับมาตรฐานในการรักษาความปลอดภัยของข้อมูลขั้นต่ำ ประกอบด้วย 3 ส่วนหลักคือ (1) การฝึกอบรมสร้างความเข้าใจคน (2) การจัดทำ Access Control & Logging เพื่อการตรวจสอบคนที่เข้าถึงข้อมูล และ (3) มาตรการ IT Security อื่น ๆ เช่น firewall / encryption โดยกฎหมายไม่ได้กำหนดชัดเจนว่าต้อง ทำระดับไหน ขึ้นกับความเสี่ยงของข้อมูลส่วนบุคคลที่ประมวลผลเป็นหลัก

นอกจากการทำมาตรการรักษาความมั่นคงปลอดภัยแล้ว Data Controller ต้องเตรียม กลไกรับมือเหตุการณ์เกี่ยวกับข้อมูลส่วนบุคคลหลัก คือ (1) การเกิดเหตุละเมิดข้อมูลส่วน บุคคล (Data Breach) ไม่ว่าจะจาการโดน ransomware หรือการทำข้อมูลหลุดรั่วไหล ซึ่ง Data Controller ต้อง take action รวมถึงรายงานเหตุการณ์ในกำหนดเวลา และ (2) การใช้สิทธิของเจ้าของข้อมูลที่อาจใช้ได้ตลอดเวลา และ Data Controller ต้องดำเนินการเพื่อตอบรับหรือปฏิเสธให้เหมาะสม

6 เอกสาร PDPA ที่บริษัทต้องเตรียมพร้อม

สำหรับใครที่กำลังมองหาเอกสาร PDPA เพื่อเตรียมความพร้อมให้กับบริษัทและองค์กรของตนเอง ทาง EasyPDPA ก็มี 6 เอกสาร PDPA 4พร้อมแบบฟอร์มอื่น ๆ มาแนะนำให้บริษัทได้นำไปใช้ในองค์กรกัน

1. Privacy Policy เอกสารการจัดเก็บข้อมูลส่วนบุคคล

หากเว็บไซต์ของเรา มีการเก็บข้อมูลของผู้เข้าเยี่ยมชม (เช่น ชื่อนามสกุล อีเมล ข้อมูลการติดต่อ) และ/หรือใช้ Cookies ประเภทต่างๆ เพื่อ ติดตามการใช้งานบน เว็บไซต์ ถือได้ว่าเรากำลังเก็บข้อมูลส่วนบุคคลและตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) อยู่

ดังนั้น เราจึงจำเป็นที่จะต้องแจ้ง Privacy Policy เพื่อให้เจ้าของข้อมูลส่วนบุคคลรับทราบและยินยอมในการจัดเก็บข้อมูลนี้

2. HR Privacy Policy เอกสารสำหรับการทำงานของ HR

HR เป็นตำแหน่งที่ต้องทำงานผ่านเอกสารข้อมูลส่วนบุคคลตลอด ตั้งแต่ การรับสมัคร การทำสัญญาจ้าง การปฏิบัติหน้าที่ของลูกจ้าง จนถึงการยกเลิกสัญญา บริษัทเก็บข้อมูลส่วนบุคคลของพนักงานอย่างหลากหลาย ทั้งที่เป็นข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการทำงาน (เช่น ชื่อนามสกุล ประวัติการทำงาน คุณสมบัติการทดสอบ การเบิกเงินเดือนและสวัสดิการต่างๆ) และอาจรวมถึงข้อมูลส่วนบุคคลอ่อนไหว (เช่น ลายนิ้วมือ ข้อมูลสุขภาพ และประวัติอาชญากรรม) ซึ่งบริษัทมีหน้าที่ตาม PDPA ต้องแจ้ง Privacy Policy และต้องขอความยินยอมจากพนักงานดังกล่าว

3. Cookies Privacy Package เอกสารสำหรับเว็บไซต์

หากเรามีเว็บไซต์ที่ใช้ Cookies ประเภทต่างๆ เพื่อติดตามการใช้งานเว็บไซต์ของผู้เยี่ยมชม (เช่น Google Analytic / Facebook Pixel) เราจำเป็นต้องแจ้งให้ผู้ใช้ทราบ และให้สิทธิในการตั้งค่า Cookies แก่บุคคลดังกล่าว เอกสาร Cookies Privacy Policy สำหรับประกาศแจ้งการเก็บข้อมูลด้วย Cookies บน Website ภาษาไทย และแปลภาษาอังกฤษ พร้อมคำแนะนำ เกี่ยวกับการแจ้งให้สิทธิตั้งค่า Cookies

4. CCTV Privacy Policy เอกสารสำหรับการเก็บภาพบุคคล

หากเราติดตั้งกล้อง CCTV ในพื้นที่ของคุณเพื่อความปลอดภัย ด้วยระบบ CCTV เรากำลังเก็บภาพถ่ายใบหน้าของคนที่เข้าพื้นที่ ซึ่งถือเป็นข้อมูลส่วนบุคคล ดังนั้นเราจึงมีหน้าที่ต้องแจ้งให้บุคคลนั้นทราบถึงการเก็บข้อมูลเป็น CCTV Privacy Policy

5. Data Processing Agreement เอกสารเปิดเผยข้อมูล

หากเรามีความจำเป็นต้องรับ หรือส่งต่อ เปิดเผยข้อมูลส่วนบุคคลของบุคคลใดก็ตาม กับบุคคลภายนอกองค์กรของท่าน เช่น การส่งต่อข้อมูลลูกค้าให้แก่ ผู้ให้บริการภายนอก (Outsource) เพื่อการจัดส่งสินค้า หรือกรณีที่เราเป็นบริษัทที่ปรึกษาที่ได้รับข้อมูล ต่อมาจากผู้ว่าจ้าง) เพื่อเป็นการรับประกันสิทธิ หน้าที่ และความรับผิดชอบของคู่สัญญาทั้งสองฝ่าย เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล ควรมีการจัดทำสัญญาข้อตกลงการประมวลผลข้อมูลส่วนบุคคลระหว่างกัน

6. DPO Working Document เอกสารสำหรับ DPO

หากเรามีความจำเป็นต้องรับ หรือส่งต่อ เปิดเผยข้อมูลส่วนบุคคลของบุคคลใดก็ตาม กับบุคคลภายนอกองค์กรของท่าน เช่น การส่งต่อข้อมูลลูกค้าให้แก่ ผู้ให้บริการภายนอก (Outsource) เพื่อการจัดส่งสินค้า หรือกรณีที่เราเป็นบริษัทที่ปรึกษาที่ได้รับข้อมูล ต่อมาจากผู้ว่าจ้าง) เพื่อเป็นการรับประกันสิทธิ หน้าที่ และความรับผิดชอบของคู่สัญญาทั้งสองฝ่าย เกี่ยวกับการประมวลผลข้อมูล ส่วนบุคคล ควรมีการจัดทำสัญญาข้อตกลงการประมวลผลข้อมูลส่วนบุคคลระหว่างกัน

เตรียมพร้อมรับมือ PDPA ด้วย Policy

เตรียมพร้อมรับมือวันประกาศใช้ PDPA 1 มิถุนายนนี้ ด้วย Privacy Policy จาก EasyPDPA เรามี เอกสาร PDPA ทุกประเภท ร่างโดยทีมนักกฎหมายผู้เชี่ยวชาญระดับประเทศ พร้อมใช้ภายใน 1 นาที

จบไปแล้วกับสาระน่ารู้ที่ EasyPDPA สรุปมาให้ทุกคนได้อ่านกันในวันนี้ เชื่อว่าหลายคนจะรู้จักกับ PDPA มากขึ้น และเห็นถึงความสำคัญว่า กฎหมายจะมีส่วนบังคับกับการใช้ข้อมูลส่วนบุคคลของภาคธุรกิจ ไม่ว่าจะเล็กหรือใหญ่ และทุกองค์กรต้องเตรียมพร้อมกับการปฏิบัติตาม PDPA นี้ แต่ถ้าเข้าใจ ทาง EasyPDPA เชื่อว่า PDPA can be made Easy

อ่านบทความที่น่าสนใจเกี่ยวกับกฎหมาย PDPA ได้ที่

DPO คือใคร? ทำไมองค์กรยุคใหม่ถึงขาดตำแหน่งนี้ไปไม่ได้!

Privacy Policy คืออะไร แล้วทำไมถึงต้องมี?

โทษปรับสุดโหด หากคุณยังไม่มี Privacy Policy

ทำไม HR ยุคใหม่ ต้องรู้ PDPA?

Categories
PDPA Tips

เลื่อนพรบ.คุ้มครองข้อมูลส่วนบุคคล ≠ ยกเลิก

ข่าวล่ามาเร็ว เลื่อน PDPA อีก 1 ปี! วันที่มีผลบังคับใช้อย่างเต็มรูปแบบ (รอบใหม่นี้) คือ 1 มิถุนายน 2565

กระทรวง DE โพสประกาศขยายเวลาบังคับใช้ ( = เลื่อน) PDPA ไปอีก 1 ปี ส่งผลต่อเราในฐานะเจ้าของข้อมูล (Data Subject) และ ในฐานะภาคธุรกิจ (Data Controller) อย่างไร มาดูกันในโพสนี้ครับ

บุคคลทั่วไป เช่นเราทุกคน ในฐานะเจ้าของข้อมูลส่วนบุคคล (Data Subject) ที่ถูกภาคธุรกิจเก็บข้อมูลไปใช้เพื่อวัตถุประสงค์ต่างๆนาๆ แจ้งบ้าง ไม่แจ้งบ้าง ถูกบ้าง ผิดบ้าง อาจจะต้องทนกันต่อไปอีก 1 ปี เนื่องจากว่ากฎหมายจะยังไม่มีผลบังคับใช้ (ยังไม่มีบทลงโทษใดๆ) เราอาจจะเห็นการใช้ข้อมูลโดยที่ไม่แจ้ง หรือ ไม่ขออนุญาตไปอีก 1 ปี เราอาจจะเห็นการโทรมาขายพ่วงประกัน บัตรเครดิต โดยเอาข้อมูลส่วนบุคคลจากแหล่งต่างๆ โดยไม่มีการแจ้งที่มากันต่ออีก 1 ปี

ข้อมูลส่วนบุคคล

แต่อย่างไรก็ตามถ้าหากมีใครมาใช้ข้อมูลเรา แล้วทำให้เกิดความเสียหาย เช่น เอาสำเนาบัตรประชาชนเราไปกู้เงินทำให้เกิดหนี้สินโดยที่เราไม่รับรู้ เราก็ยังสามารถฟ้องร้องเอาผิดได้อยู่เหมือนเดิมนะครับ (แค่ไม่ได้ฟ้องด้วยกฎหมาย PDPA) แต่อาจจะมีความยากลำบากและต้องใช้ความพยายามในการพิสูจน์เอาผิดมากขึ้น เมื่อเทียบกับการฟ้องร้องภายใต้ PDPA (ที่ภาคธุรกิจ หรือ Data Controller ต้องมีหน้าที่ในการพิสูจน์ครับ) อย่างไรก็ตามทาง EasyPDPA เราเป็นกำลังใจให้ทุกคน และจะช่วยเป็นส่วนหนึ่งในการเสริมสร้างความรู้ความเข้าใจให้ถูกต้องต่อไปครับ

PDPA เลื่อน

ภาคธุรกิจในฐานะที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ที่มีหน้าที่ต้องทำตาม PDPA อาจจะมีเวลาหายใจและเตรียมตัวเพิ่มขึ้นอีก 1 ปี แต่ก็ไม่ได้หมายความว่าเราสามารถใช้ข้อมูลส่วนบุคคลของลูกค้า หรือ พนักงานยังไงก็ได้นะครับ ทางกระทรวง DE ยังเน้นย้ำว่า Data Controller ยังคงต้องปฏิบัติตามมาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตามที่กระทรวงดิจิทัลฯ ประกาศกำหนด (ซึ่งส่วนนี้ต้องเริ่มทำเลยทันที และไม่ได้รับการเลื่อนนะครับ) ซึ่งทางเราสรุปมาให้ 4 ข้อง่ายๆครับ

1. การสร้างความตระหนักรู้ให้กับบุคคลากรและพนักงานทุกคน ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล หรือพูดง่ายๆคือการจัดการ Training สร้าง Awareness เรื่องข้อมูลส่วนบุคคลนั่นเองครับ

2. การทำ Access Control แบ่งสิทธิ์การเข้าถึงข้อมูลให้กับแต่ละบุคลากรตามหน้าที่และความจำเป็น

3. การเก็บ Logs & Records ว่ามีบุคคลใดเข้าถึง ทำสำเนา หรือแก้ไขข้อมูลส่วนบุคคลขององค์กรบ้าง

4. การรักษาความปลอดภัยของข้อมูล Data Security อาทิเช่นการป้องการการเข้าถึงโดยไม่ได้รับอนุญาต จากทั้งภายนอก (เช่น data breach, hacking) และ ภายในองค์กร (unauthorized access)

สุดท้ายนี้ทาง EasyPDPA ยังขอเน้นย้ำครับว่าการเลื่อนออกไปอีก 1 ปี ไม่ได้หมายความว่ายกเลิก ซึ่งแปลว่ากฎหมายนี้จะถูกนำมาใช้เต็มรูปแบบในอีก 1 ปีข้างหน้า จากประสบการณ์ให้คำปรึกษามากว่า 40 บริษัทในรอบปีที่ผ่านมา บริษัทจะใช้เวลาในการเตรียมตัวด้าน PDPA ทั้งระบบเฉลี่ย อยู่ที่ประมาณ​ 6-12 เดือน ซึ่งแน่นอนว่าไม่ได้เป็นการเตรียมตัวใน 1-2 อาทิตย์แน่ๆ อีกทั้งบริษัทที่มีการเตรียมตัวมาดีก่อนกฎหมายบังคับใช้ สามารถวางแผนและบริหารการใช้ข้อมูลส่วนบุคคลเดิมได้ดีกว่าบริษัทที่ไม่ได้เตรียมตัวอย่างมากๆ ส่งผลให้สามารถใช้ข้อมูลได้ “มากขึ้น” และ “ง่ายขึ้น” เมื่อกฎหมายมีผลบังคับใช้ครับ ทาง EasyPDPA เลยแนะนำว่า PDPA เตรียมตัวก่อน ได้เปรียบกว่า แน่นอนครับ

สร้าง Cookies Popup ฟรี!

ใครอยากได้ PDPA/GDPR Cookies Popup ไปใช้แบบฟรีๆ ทดลองใช้งาน Cookies Popup จาก EasyPDPA ได้ครับ ครบถ้วน ถูกหลัก PDPA

เริ่มสร้าง Privacy Policy ได้แล้ววันนี้!

มาพร้อมกับเทมเพลต Privacy Policy / Privacy Notice เหมาะสำหรับการใช้ภายในบริษัท ให้คุณเริ่มต้นใช้งานง่ายๆ ถูกหลักตามกฎหมาย PDPA หากใครสนใจอยากลองใช้งาน แต่ไม่รู้ว่าจะซื้อที่ไหนดี? ทดลองใช้ Privacy Policy ได้แล้ววันนี้

#EasyPDPA
#เลื่อนPDPA
#ที่ปรึกษาPDPA
#PDPAComplianceAward2020
#PrivacyPolicy
#PrivacyNotice
#EasyCookies

Categories
PDPA Tips

โทษปรับสุดโหด หากคุณยังไม่มี Privacy Policy

คุณมี Privacy Policy แล้วหรือยัง?
ถ้าคำตอบคือยัง เราแนะนำว่าให้รีบดำเนินการโดยด่วน! เพราะอีกไม่กี่เดือน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) จะมีผลบังคับใช้แล้ว พร้อมกับโทษปรับมหาศาลและโทษอื่นๆ อีกมากมาย โดยจะมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 นี้แล้ว

โทษของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) สามารถแบ่งเป็น 3 ประเภท ดังนี้

  1. โทษทางอาญา: จำคุกสูงสุดไม่เกิน 6 เดือนถึง 1 ปี หรือปรับสูงสุดไม่เกิน 500,000 ถึง 1 ล้านบาท หรือทั้งจำทั้งปรับ
  2. โทษทางแพ่ง: ค่าสินไหมทดแทน + ค่าสินไหมเพื่อการลงโทษอีกไม่เกิน 2 เท่า
  3. โทษทางปกครอง: ปรับไม่เกิน 1/3/5 ล้านบาท

PDPA กำหนดหน้าที่ให้ผู้ที่นำข้อมูลส่วนบุคคลของบุคคลอื่นไปใช้ ต้องแจ้ง Privacy Policy แก่เจ้าของข้อมูลส่วนบุคคลทราบ หากถึงวันที่ 1 มิ.ย. 2565 แล้วคุณยังไม่ได้จัดทำ Privacy Policy หรือทำไม่ถูกต้องตามกฎหมาย เจ้าของข้อมูลส่วนบุคคลสามารถไปร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และคุณอาจได้รับโทษทางปกครองได้

ถึงแม้ PDPA จะยังไม่มีผลบังคับใช้ในทันทีแต่การเริ่มทำไว้ตั้งแต่เนิ่นๆ ก็จะส่งผลดีต่อธุรกิจของคุณ เพราะการเก็บข้อมูลส่วนบุคคล ไม่ว่าจะก่อนหรือหลังพ.ร.บ. บังคับใช้ ต้องมีการแจ้ง Privacy Policy อยู่ดี ถ้าคุณไม่เตรียมตัวตั้งแต่ตอนนี้ อาจไม่ทันการและมีความเสี่ยงภายใต้ PDPA ได้ นอกจากนี้ยังช่วยให้คุณได้ทดลองระบบต่างๆ ในการเก็บข้อมูลส่วนบุคคล เพื่อปรับระบบให้สอดรับกับ PDPA ด้วย

จะเห็นได้ว่า โทษของ พ.ร.บ. นี้ค่อนข้างรุนแรงเลยทีเดียว ดังนั้นคุณควรเริ่มดำเนินการทำ Privacy Policy โดยด่วน เพื่อลดความเสี่ยงที่อาจจะเกิดตามมา แต่ถ้าไม่รู้ว่าจะเริ่มต้นยังไง คุณสามารถสร้าง Privacy Policy ฉบับพร้อมใช้งาน ในราคาย่อมเยาได้ ภายใน 2 นาที >> Click

เริ่มต้นง่าย ๆ ให้ EasyPDPA แนะนำแพ็กเกจ PDPA ที่ตอบโจทย์กับความต้องการของคุณมากที่สุดให้ ไม่ว่าจะเป็น

  • Privacy Policy: แพ็ครวบรวมเอกสาร PDPA ทุกด้าน สำหรับบริษัทหรือองค์กรที่ต้องการเก็บข้อมูลส่วนบุคคล เริ่มต้นเพียง 1,290 บาท
  • DPO Working Document Package: แพ็ครวบรวมเอกสาร PDPA ทุกด้าน สำหรับเจ้าหน้าที่ DPO โดยเฉพาะ เริ่มต้นเพียง 4,990 บาท
  • Cookies Policy Package แพ็ครวบรวมเอกสาร PDPA สำหรับการเว็บไซต์ที่มีการเก็บข้อมูลด้วย Cookies เริ่มต้นเพียง 599 บาท
Categories
PDPA Tips

Privacy Policy คืออะไร แล้วทำไมถึงต้องมี?

Privacy Policy คืออะไร?

Privacy Policy หรือ นโยบายความเป็นส่วนตัว คือ การ “แจ้ง” รายละเอียดเกี่ยวกับการจัดการข้อมูลส่วนบุคคลรูปแบบหนึ่ง โดยระบุว่าคุณจะเก็บข้อมูลอะไรของเจ้าของข้อมูลบ้าง? จะเอาไปใช้ทำอะไรบ้าง? จะเก็บข้อมูลไว้ที่ไหน?  จะขอลบข้อมูลต้องติดต่อใคร? จะลบภายในกี่วัน? และจะมีมาตรการอย่างไรในการรักษาความเป็นส่วนตัวของผู้ให้ข้อมูล เป็นต้น

หากคุณทำธุรกิจหรือให้บริการใดๆ ที่จะต้องมีการเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูล  ยกตัวอย่างเช่น ชื่อ ที่อยู่ หรือเบอร์ติดต่อ คุณจะต้องแจ้งให้เจ้าของข้อมูลทราบว่าคุณเก็บ ใช้ ส่งต่อ เปิดเผย และรักษาข้อมูลเหล่านั้นอย่างไร เพื่อจุดประสงค์อะไรบ้าง  ซึ่งรายละเอียดนี้เรียกว่า Privacy Policy หรือ นโยบายความเป็นส่วนตัวนั่นเอง

Privacy Policy จะต้องแจ้งยังไง?

โดยปกติ คุณมักจะเห็น Privacy Policy ปรากฎตัวตามหน้าเว็บไซต์ต่างๆ แต่จริงๆ แล้ว ผู้ใช้ข้อมูลยังสามารถแจ้ง Privacy Policy ด้วยวิธีอื่นๆ ได้ เช่น ติดประกาศเพื่อแจ้งให้พนักงานในบริษัททราบ ส่งเป็นเอกสารตอนเซ็นสัญญา ส่งอีเมล แจ้งในเว็บไซต์ แอพพลิเคชั่น หรือช่องทางอื่นๆ ที่คุณใช้ แต่ที่คุณมักเห็น Privacy Policy บนเว็บไซต์ก็เพราะว่า เกือบจะทุกเว็บไซต์มีการเก็บข้อมูลส่วนบุคคล การมี Privacy Policy จึงมีความจำเป็นอย่างมาก

แล้วทำไมถึงต้องมี Privacy Policy ล่ะ?

ฟังดูแล้วเจ้าตัว Privacy Policy นี้จะมีประโยชน์กับเจ้าของข้อมูลส่วนบุคคลเป็นหลัก แล้วทำไมผู้ใช้ข้อมูลถึงต้องสร้าง Privacy Policy ด้วยหละ? ข้อดีของการมี Privacy Policy อย่างแรกเลยคือ มันช่วยทำให้ธุรกิจหรือแบรนด์ของคุณดูน่าเชื่อถือมากยิ่งขึ้น เจ้าของข้อมูลจะรู้สึกเชื่อใจในการให้ข้อมูลกับคุณ ซึ่งนั่นก็ทำให้เป็นผลดีต่อแบรนด์ของคุณด้วย

ข้อที่สองคือ ในวันที่ 1 มิถุนายน 2565 ที่จะถึงนี้ จะมีการประกาศบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) โดยออกมาเพื่อกำหนดกรอบและหน้าที่เพิ่มเติมสำหรับผู้ที่นำข้อมูลส่วนบุคคลของบุคคลอื่นไปใช้ ซึ่งหนึ่งในหน้าที่เหล่านั้นคือ การแจ้ง Privacy Policy ให้บุคคลเหล่านั้นทราบ และหากไม่ทำตาม จะมีบทลงโทษแก่ผู้ที่นำข้อมูลส่วนบุคคลไปใช้ โดยมีโทษทั้งทางแพ่ง ทางอาญา และทางปกครอง ซึ่งอาจจะโดนโทษปรับสูงสุดถึง 5 ล้านบาท

ดังนั้น หากคุณทำธุรกิจหรือให้บริการใดๆ ที่มีการเก็บข้อมูลส่วนบุคคล จากลูกค้า คู่ค้า พนักงาน หรือแม้แต่ผู้ที่เข้ามาในบริเวณพื้นที่ แล้วคุณยังไม่มี Privacy Policy ถ้าไม่รู้ว่าจะเริ่มต้นยังไง คุณสามารถสร้าง Privacy Policy ฉบับพร้อมใช้งาน ในราคาย่อมเยาได้ ภายใน 2 นาที >> Click

เริ่มต้นง่าย ๆ ให้ EasyPDPA แนะนำแพ็กเกจ PDPA ที่ตอบโจทย์กับความต้องการของคุณมากที่สุดให้ ไม่ว่าจะเป็น

  • Privacy Policy: แพ็ครวบรวมเอกสาร PDPA ทุกด้าน สำหรับบริษัทหรือองค์กรที่ต้องการเก็บข้อมูลส่วนบุคคล เริ่มต้นเพียง 1,290 บาท
  • DPO Working Document Package: แพ็ครวบรวมเอกสาร PDPA ทุกด้าน สำหรับเจ้าหน้าที่ DPO โดยเฉพาะ เริ่มต้นเพียง 4,990 บาท
  • Cookies Policy Package แพ็ครวบรวมเอกสาร PDPA สำหรับการเว็บไซต์ที่มีการเก็บข้อมูลด้วย Cookies เริ่มต้นเพียง 599 บาท
Categories
PDPA Tips

ทำไม HR ยุคใหม่ ต้องรู้ PDPA?

หนึ่งในกฏหมายใหม่ที่กำลังเป็นประเด็นร้อนแรงในขณะนี้ คงหนีไม่พ้นพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ซึ่งหลายองค์กรต่างให้ความสำคัญมากเป็นพิเศษ

โดยเฉพาะฝ่ายทรัพยากรบุคคล (HR) ที่มีหน้าที่เกี่ยวข้องกับการจัดการข้อมูลส่วนบุคคล ทั้งของพนักงานและผู้สมัครงาน นับเป็นบุคคลกลุ่มแรกที่เสี่ยงต่อการละเมิดข้อมูลส่วนบุคคลโดยไม่รู้ตัว! เพื่อป้องกันปัญหาที่จะเกิดขึ้นในอนาคต 

HR ยุคใหม่จึงควรมีความรู้ความเข้าใจเกี่ยวกับ PDPA  มากยิ่งขึ้น

วันนี้ เราจะมาสรุป 3 ประเด็นหลัก ว่าทำไม HR ยุคใหม่ ควรรู้ PDPA

ประเด็นที่ 1
ฝ่ายทรัพยากรบุคคล (HR) มีหน้าที่รวบรวมข้อมูลส่วนบุคคล จากเจ้าของข้อมูลเหล่านี้

  • ข้อมูลจากผู้สมัครงาน ซึ่งมีการกรอกข้อมูลต่างๆ ลงในใบสมัครงาน หรือ Resume
  • ข้อมูลจากพนักงานในองค์กร ไม่ว่าจะเป็น ชื่อ ที่อยู่ เบอร์โทร ประวัติการศึกษา เงินเดือน ผลการประเมินการทำงาน ประวัติสุขภาพ ประวัติอาชญากรรม เป็นต้น
  • ข้อมูลจากพนักงานเก่า อย่างเช่น ประวัติการทำงาน เงินเดือน หรือสัญญาจ้าง 

ซึ่งข้อมูลของกลุ่มคนเหล่านี้อาจเก็บด้วยฐานกฎหมายที่แตกต่างกัน หรืออาจจะมีการเก็บข้อมูลซึ่งเป็นข้อมูลส่วนบุคคลอ่อนไหว

โดยจะมีขั้นตอนการปฏิบัติและมาตรฐานการรักษาความปลอดภัยของข้อมูลที่แตกต่างกัน ดังนั้น การที่เราเก็บข้อมูลอะไรของพนักงาน หรือผู้สมัครอาจจะต้องคำนึงถึงความจำเป็นและขั้นตอนที่จะต้องปฏิบัติต่อข้อมูลนั้นๆด้วย

แต่อย่าพึ่งตกใจไป เพราะยังสามารถเก็บข้อมูลเหล่านี้ได้ตามปกติ ตราบใดที่มีความจำเป็นตามกฎหมาย (เช่น การจ้างงาน การจ่ายเงินเดือน เป็นต้น) เพียงแต่จะต้องมีการแจ้งให้พนักงานทราบอย่างชัดเจนเท่านั้นเองว่า เราเก็บข้อมูลอะไรบ้างและนำไปใช้เพื่ออะไรบ้าง ซึ่งในที่นี้เป็นหน้าที่ของ HR ยุคใหม่ที่จะต้องแจ้งผ่านเอกสารที่มีชื่อว่า HR Privacy Policy

ประเด็นที่ 2

ฝ่ายทรัพยากรบุคคล (HR) จำเป็นที่จะต้องส่งมอบข้อมูลส่วนบุคคล ให้กับหน่วยงานอื่นๆ ในองค์กร ซึ่งในบางครั้ง HR มีความจำเป็นที่จะต้องส่งมอบข้อมูลของพนักงาน ให้แก่บุคคลที่สาม เช่น การส่งข้อมูลเกี่ยวกับเงินเดือนของพนักงาน หรือการส่งชื่อ เลขบัญชี และเงินเดือน ให้กับแผนกบัญชี

หรือบางทีอาจต้องส่งข้อมูลของพนักงานให้แก่หน่วยงานของรัฐ เช่น กรมสรรพากร หรือ สำนักงานประกันสังคม เป็นต้น

การส่งข้อมูลของพนักงานให้แก่บุคคลที่สาม ถือเป็นการประมวลผลข้อมูลตาม PDPA จำเป็นต้องระบุรายละเอียดของการส่งต่อข้อมูลใน Privacy Policy ทุกครั้ง ว่าจะต้องส่งต่อข้อมูลในกรณีไหน ฐานอะไร ส่งให้ใคร และผู้ใดมีสิทธิที่จะเข้าถึงข้อมูลบ้าง เป็นต้น

ซึ่งการเปิดเผยข้อมูลส่วนบุคคลของพนักงานให้แก่บุคคลภายนอก จำเป็นต้องมีการขอความยินยอมจากเจ้าของข้อมูลก่อนทุกครั้ง ดังนั้น HR ยุคใหม่จะต้องไม่ลืมประเด็นนี้เป็นอันขาด

ประเด็นที่ 3
HR เป็นผู้นำในการปรับใช้ PDPA ในองค์กร เนื่องจาก PDPA ถือเป็นความรู้ที่ค่อนข้างใหม่สำหรับทุกคน ในฐานะ HR ยุคใหม่ ซึ่งเปรียบเสมือนฟันเฟืองในการขับเคลื่อนองค์กร จึงมีบทบาทสำคัญในการนำ PDPA มาปรับใช้ในองค์กรด้วย เช่น การจัด Training ด้าน PDPA ให้พนักงาน เป็นต้น ซึ่งการริเริ่มในการปรับใช้ PDPA ถือเป็นสิ่งจำเป็นมาก เนื่องจากหากพนักงานคนใดคนหนึ่งทำผิด ความรับผิดอาจตกแก่บริษัทได้

Categories
PDPA Tips

5 สิ่งควรระวัง/เข้าใจ หากคุณติดตั้ง CCTV

หากจะพูดถึงระบบรักษาความปลอดภัยที่ใช้กันอย่างแพร่หลายในทุกวันนี้ การติดตั้ง CCTV น่าจะเป็นสิ่งแรกๆ ที่ทุกสถานที่ติดตั้งและใช้งาน ไม่ว่าจะเป็นภายในพื้นที่ร้านค้า อาคารสำนักงาน หรือแม้กระทั่งบ้านหรือพื้นที่ส่วนบุคคล

แต่ นอกเหนือจากความปลอดภัยที่จะได้จากการใช้ CCTV แล้ว เราก็มี ความเสี่ยง ที่ต้องเข้าใจภายใต้ พรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) เช่นกัน

1. กล้อง CCTV เก็บข้อมูลส่วนบุคคล ( Personal Identifiable Information)

อย่างที่ทราบข้อมูลที่ได้รับการบันทึกไว้ในระบบ CCTV คือ ภาพวีดีโอ ซึ่งอาจติดส่วนของรูปภาพ หรือใบหน้าบุคคลที่เข้ามาในสถานที่ดังกล่าว และภายใต้นิยาม ของ พรบ.คุ้มครองข้อมูลส่วนบุคคล รูปถ่ายจัดได้ว่าเป็นข้อมูลส่วนบุคคล (รูปถ่าย = ระบุตัวตนบุคคลคนหนึ่งได้) โดยที่ไม่จำเป็นว่าเราจะรู้จัก หรือรู้ชื่อของบุคคลคนนั้นหรือไม่ ซึ่งการที่เราเก็บรักษาข้อมูลส่วนบุคคลนี้ ย่อมมีภาระหน้าที่ในการจัดการตาม PDPA อย่างหลีกเลี่ยงไม่ได้

2. แล้วหากเราติดตั้ง CCTV ต้องมีการจัดการอย่างไร ?

ถึงแม้ว่ากล้อง CCTV จะเป็นการเก็บข้อมูลส่วนบุคคล แต่เราก็ไม่ต้องตกใจไปหากมีการใช้งาน เพราะหากเราเข้าใจหลักการจัดการง่ายๆดังต่อไปนี้แล้ว ก็สามารถทำได้ตามปกติ

  1. แจ้งให้บุคคลที่จะเข้ามาในสถานที่ทราบ ว่าเรามีการบันทึก และติดตั้งระบบ CCTV โดยติดประกาศที่เห็นได้ชัดเจน
  2. ประกาศนโยบายข้อมูลส่วนบุคคล ซึ่งระบุเกี่ยวกับการเก็บ บันทึก และการใช้ข้อมูลที่บันทึกผ่าน CCTV ตามรายละเอียดที่ พรบ.กำหนด
ตัวอย่างประกาศนโยบายคุ้มครอบข้อมูลส่วนบุคคล (สามารถทำให้สวยงามและเป็นมิตรกับลูกค้าได้)

3. หากเราไม่มีการประกาศแจ้งให้ถูกต้อง จะมีความผิดไหม?

ตอบอย่างสั้นๆ คุณอาจจะมีโทษทางปกครอง ซึ่งบุคคลใดๆที่เข้ามาในสถานที่เราและพบว่าเราไม่ได้มีการแจ้งขอความยินยอม หรือประกาศนโยบายอย่างชัดเจน ก็สามารถไปร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ ซึ่งโทษปกครองนี้มีโทษปรับสูงสุดถึงหลักล้านบาทเลยทีเดียว!

4. การขอความยินยอม (consent) ในการเก็บข้อมูล CCTV ต้องทำอย่างไรอย่างไร ?

หลักการภายใต้ พรบ. คุ้มครองข้อมูลส่วนบุคคล การใช้กล้องวงจรปิด CCTV ในสถานที่สาธารณะโดยไม่ละเมิดสิทธิ์ของผู้ที่เข้ามาในพื้นที่ (visitors) สามารถใช้ได้ตามฐานประโยชน์อันชอบธรรม (Legitimate Interest) ซึ่งตามหลักแล้วเรา ไม่จำเป็นต้องขออนุญาต (consent) แต่เราจะต้องมีการแจ้งนโยบายข้อมูลส่วนบุคคล (CCTV Privacy Policy หรือบางคนเรียกว่า CCTV Privacy Notice) ให้กับผู้ที่เข้ามาในพื้นที่ทราบ

สิ่งที่เราสามารถทำได้คือการติดประกาศแจ้งเกี่ยวกับการเก็บข้อมูลของ CCTV เพื่อให้บุคคลที่จะเดินเข้ามาเห็นได้อย่างชัดเจน (เช่น ติดประกาศหน้าทางเข้าทุกประตูเป็นต้น)โดยถือว่า เมื่อบุคคลดังกล่าวเดินเข้ามาภายในสถานที่นั้นๆ ย่อมคาดหมายได้ว่า บุคคลดังกล่าวเห็นประกาศแจ้งนโยบาย แล้ว ซึ่งเราสามารถติดแค่คำแจ้งโดยย่อ และแจ้งให้ไปอ่านนโยบายฉบับเต็มได้ที่ต่างๆที่เรากำหนดไว้ เช่น Website, QR Code, บอร์ดประชาสัมพันธ์ เป็นต้น

5. แล้วถ้าเราติด CCTV ในพื้นที่บ้านตัวเองต้องกังวลเรื่อง PDPA ไหม?

คำตอบคือ ไม่ต้องกังวล หากเป็นการเก็บข้อมูลเพื่อประโยชน์ส่วนตน เนื่องจากการเก็บเพื่อประโยชน์ดังกล่าวได้รับการยกเว้นไม่อยู่ภายใต้บังคับของพรบ.

สุดท้ายนี้หากคุณไม่มั่นใจว่าจะสร้างนโยบายคุ้มครองข้อมูลส่วนบุคคลในการใช้ CCTV อย่างไรให้ถูกต้องตามกฎหมาย สามารถให้ EasyPDPA ช่วยสร้างเอกสารนี้ให้ท่านได้ ลองใช้ได้ที่นี่เลย

PDPA

เริ่มต้นการเป็นเจ้าหน้าที่ DPO ง่าย ๆ ให้ EasyPDPA แนะนำแพ็กเกจ PDPA ที่ตอบโจทย์กับความต้องการของคุณมากที่สุดให้ ไม่ว่าจะเป็น

  • Privacy Policy: แพ็ครวบรวมเอกสาร PDPA ทุกด้าน สำหรับบริษัทหรือองค์กรที่ต้องการเก็บข้อมูลส่วนบุคคล เริ่มต้นเพียง 1,290 บาท
  • DPO Working Document Package: แพ็ครวบรวมเอกสาร PDPA ทุกด้าน สำหรับเจ้าหน้าที่ DPO โดยเฉพาะ เริ่มต้นเพียง 4,990 บาท
  • CCTV Privacy Policy แพ็ครวบรวมเอกสาร PDPA สำหรับการเก็บภาพถ่ายบุคคลผ่านระบบ CCTV เริ่มต้นเพียง 599 บาท
Categories
PDPA Tips

ทำไมต้องรีบทำ Privacy Policy?

คำถามที่ผู้ประกอบธุรกิจทุกคนอาจมีในใจตอนนี้คงหนีไม่พ้น คำถามว่า ตอนนี้ พรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) เลื่อนผลบังคับใช้ไปอีกปี แล้วทำไมเราต้องรีบมาทำ Privacy Policy หรือนโยบายข้อมูลส่วนบุคคลอยู่อีก ในเมื่อไม่มีความผิด โทษแพ่ง อาญา ปกครองต่างๆ ก็ถูกเลื่อนไปด้วย ความเป็นจริงแล้ว สำหรับ “Privacy Policy” ยิ่งรีบทำยิ่งดี

การทำ Privacy Policy เป็นหน้าที่ภายใต้พรบ. ที่ทำได้ง่าย และปิดความเสี่ยงได้ไว

หน้าที่หลักข้อแรกสำหรับการประมวลผลข้อมูลส่วนบุคคล ภายใต้ พรบ.คุ้มครองข้อมูล คือ ธุรกิจที่ประมวลผลข้อมูลส่วนบุคล ต้องแจ้ง ให้เจ้าของข้อมูล ส่วนบุคคลทราบ “ก่อน” หรือ “ขณะที่” ประมวลผลข้อมูลส่วนบุคคล ดังนั้น ทุกธุรกิจที่ต้องมีการประมวลผลข้อมูลส่วนบุคคลจึงอยู่ภายใต้บังคับต้องทำ นโยบายข้อมูลส่วนบุคคล (Privacy Policy)

การแจ้ง Privacy Policy นี้ต้องแจ้งสำหรับทั้งข้อมูลส่วน บุคคลที่เก็บ ก่อนหรือหลัง พรบ. มีผลบังคับใช้ ดังนั้น ไม่ว่าจะเป็นตอนนี้ หรือหลังจากพรบ. มีผลในอีกหนึ่งปี หน้าที่การทำนโยบายข้อมูลส่วนบุคคลนี้ก็ยังคงอยู่

ผลของการไม่ทำและไม่แจ้ง เมื่อพรบ. มีผลบังคับใช้ แปลว่า ธุรกิจนั้นมีความผิดทันที โทษแรกที่มีแนวโน้ม โดนบังคับสูงสุดคือ “โทษทางปกครอง” ในจำนวนเงิน สูงสุด ไม่เกิน 1,000,000 ล้านบาท ไม่รวมโทษทางแพ่ง และอาญาที่อาจมีตามมา หากพิสูจน์ความเสียหายของการไม่แจ้งดังกล่าวได้

ทั้งนี้แสดงว่าถ้าหากเจ้าของข้อมูลเปิดหน้า Website หรือ Application ไหนแล้วไม่เจอ Privacy Policy หรือแม้แต่ถ้าเดินเข้าร้านอาหาร หรือสถานที่ใดๆ ที่มีการติดกล้อง CCTV แล้วไม่เจอ Privacy Policy การแจ้งก่อนการใช้บริการ เจ้าของข้อมูลดังกล่าวมีสิทธิร้องเรียน ต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เพื่อดำเนินการปรับ เจ้าของธุรกิจที่ไม่แจ้งนั้นๆ ได้ทันที

หากธุรกิจแจ้ง Privacy Policy ก่อนย่อมได้เปรียบ

ทันทีที่แจ้งก็เท่ากับ ธุรกิจนั้นได้ดำเนินการหน้าที่ตามพรบ. เรียบร้อย หนึ่งข้อ ไม่ต้องกังวลโดนโทษปกครองไปหนึ่งข้อ นอกเหนือจากนั้นยังเป็นการได้ทดลองใช้ระบบต่างๆในการเก็บข้อมูลส่วนบุคคล โดยที่ไม่มีโทษหรือความผิดในการทำไม่ถูกต้องแต่อย่างใด

Privacy Policy ต้องแจ้งอะไรบ้าง?

พรบ.กำหนดหัวข้อขั้นต่ำที่ต้องมีการแจ้งใน Privacy Policy ไว้ดังนี้ ถ้าแจ้งไม่ครบ = ยังไม่พ้นความรับผิด

  • ข้อมูลส่วนบุคคลใดบ้างที่มีการใช้
  • วัตถุประสงค์และวิธีการเก็บและใช้ข้อมูลส่วน บุคคลดังกล่าว พร้อมทั้งกำหนดระยะเวลาการเก็บ
  • ประเภทของหน่วยงาน / บุคคลที่อาจมีการเปิด เผยข้อมูลส่วนบุคคลไปให้
  • สิทธิของเจ้าของข้อมูล ซึ่งเป็นสิทธิที่พรบ. กำหนดคุ้มครองให้
  • ข้อมูลติดต่อของธุรกิจดังกล่าว ในฐานะผู้ควบ คุมข้อมูล

ถ้าหากเจ้าของธุรกิจไหนไม่รู้ว่าจะเริ่มทำ Privacy Policy อย่างไร สามารถเข้ามาใช้บริการสร้าง Privacy Policy ง่ายๆใน 2 นาที กับทาง EasyPDPA ที่นี่

ทำ Privacy Policy เสร็จแล้วต้องเอาไปแจ้งยังไง?

หลักการง่ายๆคือเราใช้ข้อมูลส่วนบุคคลช่องทางใด หรือลักษณะใด ก็ประกาศแจ้ง Privacy Policy ไปที่ช่องทางดังกล่าว เช่น

  • ใช้ข้อมูลผ่าน Website / Application สามารถนำ Privacy Policy ไปแจ้งก่อนการสร้าง User Account ของผู้ใช้บริการ หากไม่ยอมรับ ธุรกิจ สามารถปฏิเสธการสร้าง User Account ได้
  • ใช้แจ้งไว้ที่ป้ายใต้ CCTV หรือทางเข้าสถานที่ที่ ติดตั้ง CCTV โดยต้องชัดเจนพอเพื่อให้บุคคล ที่จะเข้าไปในสถานที่ดังกล่าวเข้าใจ

ใช้ Privacy Policy ฉบับเดียบ Version เดียวไปตลอดเลยได้หรือไม่?

Privacy Policy ควรปรับปรุงให้สอดคล้องกับ Features และการประมวลผลข้อมูลส่วนบุคคลที่มีมากขึ้น แต่การ แก้ไขดังกล่าวสามารถดำเนินการได้ตลอด ด้วยการประกาศการปรับปรุงนั้นผ่านช่องทางเดิม โดยเป็นการใช้สิทธิปรับปรุงแก้ไขฝ่ายเดียวได้

ด้วยความง่ายในการใช้ Privacy Policy เพื่อปิดช่องความเสี่ยง และความรับผิดจากการไม่มีและไม่ประกาศ Privacy Policy เพราะฉะนั้น เราก็สามารถสรุปได้ว่า “Privacy Policy ยิ่งประกาศไว ยิ่งได้เปรียบ

Categories
PDPA Tips

คู่มือนายจ้างยุค PDPA: เก็บข้อมูลพนักงาน อย่างไรให้ถูก กฎหมาย PDPA?

TL;DR (หากไม่มีเวลาอ่านสรุปแต่นี้พอ)
ข้อมูลส่วนบุคคลของพนักงาน เช่น ชื่อ ที่อยู่ เลขบัตรประชาชน หรือข้อมูลอื่นๆ เราสามารถเก็บได้ตามกฎหมาย แต่ต้องมีการแจ้งให้เจ้าตัวทราบผ่านการใช้ HR Privacy Policy

หากบริษัทคุณมีการจ้างพนักงาน หนึ่งในข้อมูลที่นายจ้างทุกคนจะต้องขอจากพนักงาน คือ ชื่อ ที่อยู่ หมายเลขบัตรประชาชน อีเมล หมายเลขบัญชีธนาคาร อาจจะรวมไปถึงข้อมูลอื่นๆที่ประกอบการสัมพาษณ์งาน (เช่นใน CV) หรือการทำงานด้วยใช่ไหม? ซึ่งจริงๆแล้วข้อมูลเหล่านี้ล้วนแต่เป็นข้อมูลส่วนบุคคล (Personal Identifiable Information, PII) ตามพรบ.คุ้มครองข้อมูลบุคคล พ.ศ. 2562 หรือจะเรียกย่อๆว่า PDPA ทั้งสิ้น ตามกฎหมายแล้วเจ้าของข้อมูล (ในที่นี้คือพนักงาน หรือลูกจ้าง) จะได้รับการคุ้มครองสิทธิ์ของตัวเอง ในกรณีการว่าจ้างพนักงานนี้ก็ไม่ได้รับการยกเว้นใดๆ และนายจ้างยังต้องทำตาม กฎหมาย PDPA อีกด้วย

แต่นายจ้างหรือเจ้าของบริษัทอย่าพึ่งตกใจไป เรายังสามารถเก็บข้อมูลเหล่านี้ได้ตามปกติ ตราบใดที่เรามีความจำเป็นตามกฎหมาย (ซึ่งที่หนีไม่พ้นคือการจ่ายเงินเดือน, หักภาษี และการส่งประกันสังคม) หรือตามลักษณะการจ้างงานของเรา เพียงแต่จะต้องมีการแจ้งให้พนักงานทราบอย่างชัดเจนเท่านั้นเอง ว่าเราเก็บข้อมูลอะไรบ้างและนำไปใช้เพื่ออะไรบ้าง ซึ่งในที่นี้นายจ้างสามารถแจ้งผ่านเอกสารที่ขอตั้งชื่อว่า HR Privacy Policy

HR Privacy Policy คืออะไร?

HR Privacy Policy เป็นเอกสารที่ออกโดยนายจ้างหรือบริษัทเพื่อแจ้งให้พนักงานทุกคนทราบว่า บริษัทมีการเก็บข้อมูลพนักงานอะไรไปบ้าง เอาไปใช้เพื่ออะไร จะเก็บรักษาให้ปลอดภัยยังไง รวมไปถึงจะลบหรือทำลายข้อมูลเมื่อไหร่ และถ้าพนักงานมีข้อสงสัยเรื่องข้อมูลเหล่านี้สามารถติดต่อใครได้ ซึ่งหากมองกันดีๆแล้ว มันก็เหมือนกับ Privacy Policy ของบริษัทกับลูกค้านี่เอง แต่เป็น version สำหรับพนักงานในบริษัท

เริ่มต้นทำ HR Privacy Policy ได้แบบง่าย ๆ

ทางบริษัทหรือนายจ้างสามารถร่างรายละเอียดต่างๆตามที่ กฎหมาย PDPA ระบุไว้หรือหากไม่รู้ว่าจะเริ่มยังไง EasyPDPA เรามีบริการสร้าง HR Privacy Policy ง่ายๆสำหรับบริษัทหรือนายจ้างในประเทศไทย ในราคาเริ่มต้นเพียงแค่ 3,990 บาท

บริษัทจำเป็นต้องขออนุญาต (consent) จากพนักงานในการเก็บหรือไม่?

ส่วนใหญ่แล้วข้อมูลที่บริษัทเก็บล้วนแต่มีความจำเป็นในการทำงานหรือมีความจำเป็นตามทางกฎหมายทั้งสิ้น ซึ่งหากเป็นไปตามนี้บริษัทไม่จำเป็นต้องขออนุญาตในการเก็บ เพียงแต่ต้องแจ้งให้ทราบเท่านั้น ยกตัวอย่างเช่น

  • การเก็บชื่อ ที่อยู่ และหมายเลขบัตรประจำตัวประชาชนสำหหรับการยื่นภาษีและประกันสังคม
  • การเก็บชื่อ และ หมายเลขบัญชีธนาคาร เพื่อใช้โอนเงินเดือน
  • การเก็บข้อมูลเกี่ยวกับคุณสมบัติในการทำงาน เช่น ประวัติการศึกษา ประวัติการทำงาน และประวัติอาชญากรรม เพื่อการประเมินความเหมาะสมในการจ้างพนักงาน
  • การเก็บข้อมูลการทำงาน เช่น ประวัติการเข้าทำงาน แบบประเมินความสามารถและการวัดผลต่างๆ เพื่อประเมินประสิทธิภาพในการทำงานของพนักงาน

อย่างไรก็ตามบริษัทหลายแห่งมีการเก็บรูปถ่าย หรือลายนิ้วมือของพนักงาน (เช่นสำหรับการเข้าออกประตู หรือลงเวลาทำงาน) ข้อมูลเหล่านี้ถือว่าเป็นข้อมูลส่วนบุคคลอ่อนไหว (Sensitive PII) ทางบริษัทต้องขอความยินยอมจากทางพนักงานทุกครั้ง

บริษัทสามารถแจ้ง HR Privacy Policy ให้พนักงานทราบได้อย่างไรบ้าง?

การแจ้งให้ทราบสามารถทำได้หลายวิธี เลือกใช้งานได้ตามความเหมาะสมดังนี้

  • ส่งอีเมลหาพนักงานทุกคน
  • ปิดประกาศ HR Privacy Policy ในสำนักงาน ในตำแหน่งที่พนักงานทุกคนเห็นได้ชัด
  • รวมไว้เป็นส่วนหนึ่งในสัญญาจ้างงาน

พนักงานสามารถปฎิเสธการให้ข้อมูล หรือขอลบข้อมูลบางส่วนได้หรือไม่?

ในกรณีทั่วไปแล้วหากพนักงานยังมีสถานะการเป็นลูกจ้างกับบริษัทอยู่ตามสัญญาจ้างงาน พนักงานไม่สามารถปฏิเสธการให้ข้อมูลหรือขอลบข้อมูลส่วนบุคคลนี้ได้ เนื่องจากเป็นการเก็บตามข้อบังคับของกฎหมาย หรือ ตามสัญญาจ้าง

ขอสรุปการเก็บข้อมูลส่วนบุคคลของพนักงาน ให้ถูกต้องกฎหมาย PDPA ง่ายๆดังนี้

  • สามารถเก็บข้อมูลได้ตามกฎหมาย
  • บริษัทไม่ต้องขออนุญาตแต่ต้องแจ้งให้พนักงานทราบ
  • ตัวช่วยสร้าง HR Privacy Policy ง่ายๆ ที่นี่

เริ่มต้นการเก็บข้อมูลให้ถูกต้อง ให้ EasyPDPA แนะนำแพ็กเกจ PDPA สำหรับ HR ที่ตอบโจทย์กับความต้องการมากที่สุดให้ ไม่ว่าจะเป็น

  • Privacy Policy: แพ็ครวบรวมเอกสาร PDPA ทุกด้าน สำหรับบริษัทหรือองค์กรที่ต้องการเก็บข้อมูลส่วนบุคคล เริ่มต้นเพียง 1,290 บาท
  • HR Privacy Policy แพ็ครวบรวมเอกสาร PDPA สำหรับการทำงานของ HR โดยเฉพาะ เริ่มต้นเพียง 3,990 บาท

อ่านบทความที่น่าสนใจเพิ่มเติมได้ที่:

ทำไม HR ยุคใหม่ ต้องรู้ PDPA?

PDPA คืออะไร? – สรุป PDPA เกี่ยวกับธุรกิจที่คุณควรรู้! ฉบับเข้าใจง่าย