Categories
Uncategorized

DPO คือใคร? ทำไมองค์กรยุคใหม่ถึงขาดตำแหน่งนี้ไปไม่ได้!


ในยุคนี้ บริษัทส่วนใหญ่ล้วนมีการจัดเก็บและประมวลผลข้อมูลส่วนบุคคลทั้งสิ้น ไม่ว่าจะเป็น ข้อมูลส่วนบุคคล (Personal Data) ของลูกค้า หรือพนักงานในองค์กรเอง 

ถึงแม้ว่าการใช้ข้อมูลส่วนบุคคล จะช่วยให้เรามีข้อมูลมากพอจนสามารถนำไปต่อยอดทางธุรกิจ หรือดำเนินงานให้มีประสิทธิภาพขึ้นได้ แต่ถ้าบริษัทไหนมีการจัดเก็บข้อมูลส่วนบุคคลที่ไม่ถูกต้อง ก็อาจส่งผลให้เกิดปัญหาต่าง ๆ ตามมาได้ ไม่ว่าจะเป็นการละเมิด สิทธิของเจ้าของข้อมูลส่วนบุคคล หรือการกระทำอื่นที่ผิดหลักกฎหมาย PDPA 

DPO

ด้วยสาเหตุนี้ บริษัทที่มีการประมวลผลข้อมูลส่วนบุคคลเป็นประจำ หรือต้องใช้ข้อมูลส่วนบุคคลจำนวนมาก ควรจะมีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO ขึ้น เพื่อช่วยให้การจัดการข้อมูลเป็นไปอย่างราบรื่นและถูกหลักกฎหมาย PDPA 

ถ้าใครอยากรู้ว่า DPO คือใคร? และมีหน้าที่สำคัญอย่างไรต่อองค์กรในยุคนี้ ลองหาคำตอบได้ในบทความนี้ รับรองว่าจะได้ความรู้ไปแบบเต็ม ๆ แน่นอนค่ะ

DPO คือใครในองค์กร?

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือเรียกสั้น ๆ ว่า DPO (Data Protection Officer) เป็นผู้ที่มีหน้าที่สำคัญในการจัดการและตรวจสอบการดำเนินงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล 

DPO

เพื่อช่วยให้องค์กรนั้นสามารถดำเนินงานได้อย่างถูกต้องและตรงตามหลักกฎหมาย PDPA อีกทั้งเป็นตำแหน่งที่กฎหมาย PDPA กำหนดให้บางองค์กรที่เข้าเกณฑ์นี้ ต้องแต่งตั้งเจ้าหน้าที่ DPO ขึ้นด้วย

DPO Working Document เอกสารสำหรับเจ้าหน้าที่

หากคุณมีความจำเป็นต้องรับ หรือส่งต่อ เปิดเผยข้อมูลส่วนบุคคลของบุคคลใดก็ตาม กับบุคคลภายนอกองค์กรของท่าน เช่น การส่งต่อข้อมูลลูกค้าให้แก่ ผู้ให้บริการภายนอก (Outsource) เพื่อการจัดส่งสินค้า หรือกรณีที่คุณเป็นบริษัทที่ปรึกษาที่ได้รับข้อมูล ต่อมาจากผู้ว่าจ้าง) เพื่อเป็นการรับประกันสิทธิ หน้าที่ และความรับผิดชอบของคู่สัญญาทั้งสองฝ่าย เกี่ยวกับการประมวลผลข้อมูล ส่วนบุคคล ควรมีการจัดทำสัญญาข้อตกลงการประมวลผลข้อมูลส่วนบุคคลระหว่างกัน

ใครมีหน้าที่ในการแต่งตั้ง DPO บ้าง?

ตามกฎหมาย PDPA ได้กำหนดให้บางองค์กรไม่ว่าจะเป็นองค์กรภาครัฐหรือเอกชนที่เข้าเกณฑ์ ตามที่กำหนดต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ขึ้น เพื่อให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเข้ามาช่วยตรวจสอบ จัดการ  และช่วยให้การดำเนินงาน เกี่ยวกับข้อมูลส่วนบุคคลเป็นไปอย่างราบรื่น มีประสิทธิภาพและถูกต้องตามหลัก PDPA 

สำหรับองค์กรที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล (DC) และผู้ประมวลผลข้อมูลส่วนบุคคล (DP) ที่มีหน้าที่ต้องแต่งตั้ง DPO ตามกฎหมาย สามารถได้เป็น 3 ประเภท ดังนี้ 

1. หน่วยงานรัฐ ซึ่งรวมถึง ส่วนราชการ รัฐวิสาหกิจ และองค์กรปกครองส่วนท้องถิ่น

2. องค์กรที่ประกอบธุรกิจหลัก (Core activities) เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลอ่อนไหว (Sensitive PII) เช่น โรงพยาบาล บริษัทประกัน หรือบริษัทเทคโนโลยีที่ประมวลผลข้อมูล facial recognition เป็นต้น  

3. องค์กรอื่นที่มีกิจกรรมประมวลผลข้อมูลส่วนบุคคล “จำนวนมาก”

นอกจากนี้ แม้ว่าบางองค์กรจะไม่อยู่ในเกณฑ์ที่กำหนด แต่การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ให้ผู้รับผิดชอบหลักในการคุ้มครองข้อมูลส่วนบุคคลโดยเฉพาะ ก็จะช่วยให้องค์กรมีระบบจัดการข้อมูลส่วนบุคคลที่มีประสิทธิภาพ รวมถึงมีเจ้าหน้าที่คอยช่วยจัดการ และตรวจสอบการดำเนินงาน ให้ถูกต้องตามหลักกฎหมาย PDPA มากขึ้นด้วย 

ถ้าไม่แต่งตั้ง จะมีโทษทางกฎหมายหรือไม่?

DPO

สำหรับองค์กรไหนที่กฎหมายกำหนดให้ต้องมีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล แต่บริษัทไม่ยอมทำตาม องค์กรนั้นอาจมีโทษทางปกครองตามกฎหมายได้ 

โทษทางปกครองโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล สูงสุดถึง 1 ล้านบาท!!

ใครสามารถเป็นเจ้าหน้าที่ DPO บ้าง?

เราจะเห็นได้ว่าเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล มีความสำคัญต่อองค์กรอย่างมาก โดยเฉพาะบริษัทที่มีการประมวลผลข้อมูลส่วนบุคคลเป็นประจำหรือเป็นจำนวนมาก ยิ่งต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เป็นผู้ช่วยในการจัดการกับข้อมูลส่วนบุคคลเหล่านี้ เพื่อให้ถูกต้องตามหลักกฎหมาย PDPA  นั่นเอง

คำถามต่อมาที่หลายคนสงสัย คงหนีไม่พ้นเรื่องเกี่ยวกับ คุณสมบัติของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล จะมีอะไรบ้าง? และใครเหมาะสมที่จะเป็นทำงานในตำแหน่งนี้? ดูรายละเอียดในหัวข้อต่อไปนี้ได้เลยค่ะ 

DPO ต้องเป็นคนภายในองค์กรเท่านั้นหรือไม่?

คำตอบคือไม่จำเป็น เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลสามารถเป็นคนภายในองค์กร หรือคนภายนอกองค์กรก็ได้ ขอแค่เป็นบุคคลที่มีคุณสมบัติครบถ้วน ก็สามารถทำหน้าที่เป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามที่กฎหมายกำหนดได้

DPO ต้องมีคุณสมบัติอย่างไร?

PDPA กำหนดคุณสมบัติหลักของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลว่าต้องมีความเข้าใจเกี่ยวกับ PDPA และต้องสามารถดำเนินการควบคุมการประมวลผลข้อมูลส่วนบุคคลได้ โดยไม่ได้กำหนดคุณสมบัติพิเศษด้านการศึกษาหรือวิชาชีพ

ในปัจจุบันมีการออก (ร่าง) ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลขึ้นมาในเบื้องต้น ​โดยกำหนดว่าเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ต้องได้รับการอบรม / ผ่านการทดสอบจากหลักสูตรที่ได้รับการรับรอง โดยต้องอบรมไม่เกิน 1 ปี ก่อนหรือขณะแต่งตั้ง และต้องฝึกทบทวนอย่างน้อยทุก 3 ปี 

และหากมีความคืบหน้าที่ชัดเจนเกี่ยวกับคุณสมบัติของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลทาง EasyPDPA จะมาอัพเดทข้อมูลใหม่ ๆ  ให้ทุกคนได้รู้กันแน่นอนค่ะ 

บริษัทควรมีเจ้าหน้าที่คุ้มครองข้อมูลกี่คน? 

ตามกฎหมาย PDPA ได้ระบุไว้เพียงว่า เจ้าหน้าที่ DPO จะต้องเป็นบุคคลธรรมดาเท่านั้น ดังนั้น องค์กรที่มีหน้าที่หรือต้องการแต่งตั้งเจ้าหน้าที่ DPO 

สามารถแต่งตั้งคณะทำงาน เจ้าหน้าที่ DPO ทำงานร่วมกันได้ตั้งแต่ 1 คนขึ้นไป แต่องค์กรหนึ่งต้องมีการแจ้งการแต่งตั้ง เจ้าหน้าที่ DPO 1 บุคคล ไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล 

หมายเหตุ:  สำหรับบริษัทที่มีธุรกิจอยู่ในเครือเดียวกัน สามารถจัดตั้งให้มีเจ้าหน้าที่ DPO ร่วมกันระหว่างบริษัทในเครือธุรกิจนั้น เพื่อช่วยให้การทำงานสะดวกมากยิ่งขึ้น แต่ก็ต้องรับประกันว่า DPO นั้นต้องสามารถประสานงานกับทุกบริษัทในกลุ่มได้จริง 

บทบาทและหน้าที่ของเจ้าหน้าที่ DPO มีอะไรบ้าง?

จะเห็นได้ว่าเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล มีความสำคัญสำหรับการดำเนินงานที่เกี่ยวข้องกับ PDPA  ซึ่งผู้ที่ได้รับการแต่งตั้งเป็น ​DPO จากองค์กร อาจมีข้อสงสัยอย่างอื่นตามมา ไม่ว่าจะเป็น DPO ต้องทำหน้าที่อะไรอย่างไรบ้าง? มีความเสี่ยงในการทำหน้าที่ DPO หรือไม่?

โดยในวันนี้ EasyPDPA ก็รวบรวมข้อมูลเกี่ยวกับหน้าที่และความเสี่ยงของเจ้าหน้าที่ DPO มาฝากทุกคนกันค่ะ รับรองว่าอ่านจบแล้ว จะช่วยให้เราเข้าใจแนวทางการทำงานของ DPO มากขึ้น

แนวทางการปฏิบัติงานของเจ้าหน้าที่ของ DPO

สำหรับหน้าที่ของเจ้าหน้าที่ DPO นั้น เรียกได้ว่าครอบคลุมตั้งแต่การให้คำแนะนำ ตรวจสอบ รวมถึงช่วยจัดการการดำเนินงานด้านข้อมูลส่วนบุคคล ให้เป็นไปอย่างมีประสิทธิภาพ และที่สำคัญสอดคล้องกับ PDPA จึงเป็นหน้าที่ที่สำคัญไม่แพ้ตำแหน่งอื่นเลยทีเดียวค่ะ  

หน้าที่ของเจ้าหน้าที่ DPO มี 3 หัวข้อหลัก ดังนี้

1. การให้คำแนะนำรายบุคคล  (Go-To Person)

เจ้าหน้าที่ DPO จะต้องมีความรู้ความเข้าใจเกี่ยวกับ PDPA และให้คำแนะนำ 

ชี้แนะ เป็นที่ปรึกษาให้แก่ องค์กร พนักงานและบุคคลที่เกี่ยวข้องทั้งหมด ให้สามารถดำเนินการประมวลผลข้อมูลส่วนบุคคลให้ถูกต้องตามกรอบของ PDPA 

2. การควบคุมภายในองค์กร (Internal Control)

DPO จะต้องเป็นผู้ติดต่อประสานงานกับแผนกต่าง ๆ  ภายในองค์กร เพื่อสร้างความรู้ความเข้าใจเกี่ยวกับ PDPA รวมถึงต้องมีการตรวจสอบการประมวลผลข้อมูลส่วนบุคคลของแต่ละแผนก ว่ามีการดำเนินการที่ถูกต้องตามหลักกฎหมาย PDPA หรือไม่?

นอกจากนี้ DPO จะต้องเป็นคนประสานงานติดต่อและดำเนินการโดยเร็ว ในกรณีที่เกิดปัญหาการละเมิดข้อมูลส่วนบุคคล (Data Breach)  โดยมีกระบวนการตั้งแต่การรับเรื่อง การตรวจสอบข้อเท็จจริง การทำงาน และให้คำปรึกษาแก่องค์กรหรือบริษัท เพื่อหาแนวทางการแก้ไขปัญหาที่เกิดขึ้นด้วย

3. การติดต่อประสานงานภายนอกองค์กร (External Communication)

DPO จะทำหน้าที่เป็นผู้ติดต่อประสานงานกับ เจ้าของข้อมูล ในกรณีมีการขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject) อีกทั้งเป็นผู้ติดต่อประสานงานกับ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เพื่อรายงานการเกิด Data Breach หรือคำร้องเรียนที่เกิดขึ้นในองค์กรด้วย 

ความเสี่ยงและความรับผิดของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

ในกฎหมาย PDPA ได้กำหนดชัดเจนแล้วว่า ถ้า DPO ให้คำแนะนำที่ถูกต้อง เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลแก่องค์กรแล้ว แต่องค์กรไม่ยอมทำตาม เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ซึ่งไม่ได้มีสถานะเป็น DC / DP ภายใต้ PDPA จึงไม่ต้องรับผิดชอบต่อการกระทำใด ๆ ที่องค์กรในฐานะ DC / DP ต้องรับผิดโดยตรง  ดังนั้น DPO ไม่ใช่ผู้รับผิดจำคุกกรณีองค์กรมีความเสี่ยงโทษทางอาญา และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ยังได้รับสิทธิในการปกป้องคุ้มครองตามกฎหมาย PDPA 

เพื่อไม่ให้ถูกเลิกจ้างหรือถูกไล่ออกอย่างไม่เป็นธรรม จากการปฏิบัติหน้าที่นี้อีกด้วย ซึ่ง DPO จะรับผิดทางกฎหมาย ก็ต่อเมื่อมีการทุจริตภายในองค์กรระหว่างทำหน้าที่นี้ หรือนำข้อมูลส่วนบุคคลไปใช้และเผยแพร่จนเกิดความเสียหายแก่องค์กรนั่นเอง 

สรุปแล้ว เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล มีความสำคัญต่อบริษัทในยุคปัจจุบันอย่างมาก โดยเฉพาะบางองค์กรที่กฎหมาย PDPA กำหนดให้มีหน้าที่ต้องแต่งตั้ง DPO ยิ่งต้องรีบแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล โดยทันที อีกทั้งเราต้องมั่นใจได้ว่าผู้ที่ทำหน้าที่นี้ มีความรู้ความเชี่ยวชาญเกี่ยวกฎหมาย PDPA อย่างแท้จริง

เพื่อให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล สามารถทำหน้าที่ได้อย่างมีประสิทธิภาพ ช่วยให้องค์กรใช้ข้อมูลส่วนบุคคล ได้อย่างถูกต้องตามกฎหมาย PDPA และป้องกันไม่ให้เกิดปัญหาต่าง ๆ ในอนาคตนั่นเองค่ะ 

วันนี้ บริษัทคุณมี Privacy Policy หรือยัง?

เริ่มต้นการเป็นเจ้าหน้าที่ DPO ง่าย ๆ ให้ EasyPDPA แนะนำแพ็กเกจ PDPA ที่ตอบโจทย์กับความต้องการของคุณมากที่สุดให้ ไม่ว่าจะเป็น

  • Privacy Policy: แพ็ครวบรวมเอกสาร PDPA ทุกด้าน สำหรับบริษัทหรือองค์กรที่ต้องการเก็บข้อมูลส่วนบุคคล เริ่มต้นเพียง 1,290 บาท
  • DPO Working Document Package: แพ็ครวบรวมเอกสาร PDPA ทุกด้าน สำหรับเจ้าหน้าที่ DPO โดยเฉพาะ เริ่มต้นเพียง 4,990 บาท
  • Cookies Policy Package แพ็ครวบรวมเอกสาร PDPA สำหรับการเว็บไซต์ที่มีการเก็บข้อมูลด้วย Cookies เริ่มต้นเพียง 599 บาท

อ่านบทความที่น่าสนใจเกี่ยวกับ PDPA ได้ที่: 

สิทธิของเจ้าของข้อมูลส่วนบุคคล ตามกฎหมาย PDPA ที่บริษัทควรรู้!

PDPA คืออะไร? – สรุป PDPA เกี่ยวกับธุรกิจที่คุณควรรู้! ฉบับเข้าใจง่าย

อ้างอิงข้อมูลจาก:

เอกสารผลการรับฟังความเห็นเกี่ยวกับร่างกฎหมายลําดับรองกลุ่มที่ 1

Categories
PDPA Tips

PDPA คืออะไร? – สรุป PDPA เกี่ยวกับธุรกิจที่คุณควรรู้! ฉบับเข้าใจง่าย

ในยุคที่ธุรกิจและการตลาดขับเคลื่อนด้วยข้อมูล ทำให้ “ข้อมูล” ของลูกค้ากลายเป็นสิ่งที่มีมูลค่าและมีความสำคัญสำหรับธุรกิจมาก ๆ เพราะเราสามารถต่อยอดธุรกิจจากข้อมูลที่มี เพื่อพัฒนาสินค้าและบริการให้ตอบโจทย์ความต้องการของลูกค้าได้ แต่น้อยคนนักจะรู้ว่า PDPA คืออะไร?

ซึ่งกฎหมาย PDPA ที่จะมีการประกาศใช้ในวันที่ 1 มิถุนายน 2565 นั้น ถือว่าเป็นเรื่องที่สำคัญมาก เพราะการจัดเก็บข้อมูลส่วนบุคคลจากลูกค้าทั้งในรูปแบบออฟไลน์ หรือออนไลน์ หากมีการเก็บข้อมูลโดยไม่ถูกต้อง อาจมีความผิดตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ได้  

ถ้าใครยังไม่รู้ว่า PDPA คืออะไร? วันนี้ EasyPDPA จะพาทุกคนมารู้จักกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือ PDPA แบบเจาะลึก จัดเต็ม!

PDPA คืออะไร? มีความสำคัญอย่างไรกับบริษัทในยุคนี้ 

หลายคนอาจจะเคยได้ยินเกี่ยวกับข้อมูลส่วนบุคคล แต่ยังไม่รู้ว่า PDPA คืออะไร? อีกทั้งยังไม่รู้ว่า PDPA จะประกาศใช้ 1 มิถุนายน 2565 นี้

กฎหมาย PDPA (Personal Data Protection Act) เป็นพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ซึ่งถูกกำหนดขึ้นเพื่อใช้ในการคุ้มครองข้อมูลส่วนบุคคล ไม่ให้ถูกจัดเก็บหรือนำไปใช้โดยไม่ได้แจ้งให้เราทราบ และ/หรือได้รับความยินยอมจากเราในฐานะเจ้าของข้อมูลก่อน

PDPA คืออะไร?

ในปัจจุบันบริษัทหรือนักการตลาดอาจได้รับหรือเข้าถึงข้อมูลส่วนบุคคล (Personal Data) ของลูกค้าหรือผู้ใช้งานได้หลากหลายช่องทาง ไม่ว่าจะเป็นการเก็บข้อมูลส่วนบุคคลจากการสมัครสมาชิกบนเว็บไซต์ การทำธุรกรรมผ่าน Mobile-Banking การขอเข้าถึงตำแหน่งที่ตั้งและ GPS บนมือถือ หรือแม้แต่การเก็บคุกกี้จากการใช้บริการเว็บไซต์ต่าง ๆ

ด้วยเหตุนี้ จึงได้มีการสร้างกฎหมาย PDPA (Personal Data Protection Act: PDPA) หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เพื่อให้บริษัท พนักงาน หรือผู้ที่เกี่ยวข้องตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลให้มีความปลอดภัยมากขึ้น ซึ่งถ้าบริษัทเก็บรวบรวมข้อมูลทันที โดยไม่ได้มีการชี้แจงรายละเอียดเกี่ยวกับการเก็บข้อมูลส่วนบุคคลของลูกค้าหรือผู้ใช้งาน และ/หรือรวมถึงไม่ได้มีการขอความยินยอมก่อนสำหรับการประมวลผลข้อมูลส่วนบุคคลที่ต้องมีการขอความยินยอม จะกลายเป็นการกรณีที่บริษัทไม่ปฏิบัติให้ถูกต้องตาม PDPA และอาจมีความผิดได้

ข้อมูลส่วนบุคคลที่อยู่ภายใต้การคุ้มครองของ PDPA มีอะไรบ้าง?

เมื่อเราเข้าใจว่า PDPA คืออะไร? ทีนี้เราก็มารู้จักกับความหมายและประเภทของข้อมูลส่วนบุคคลกัน ข้อมูลส่วนบุคคล (Personal Data) เป็นข้อมูลที่สามารถใช้เพื่อระบุตัวตนของเจ้าของข้อมูลที่เป็นบุคคลธรรมดาคนๆนึงได้ ไม่ว่าทางตรงและทางอ้อม ตัวอย่างข้อมูล

PDPA คืออะไร?

ส่วนบุคคลทั่วไป

  • ชื่อ-นามสกุล 
  • เบอร์โทรศัพท์ อีเมลส่วนตัว ที่อยู่ปัจจุบัน
  • เลขบัตรประชาชน เลขหนังสือเดินทาง เลขใบอนุญาตขับขี่ 
  • ข้อมูลทางการศึกษา ข้อมูลทางการเงิน ข้อมูลทางการแพทย์
  • ทะเบียนรถยนต์ โฉนดที่ดิน ทะเบียนบ้าน
  • วันเดือนปีเกิด สัญชาติ น้ำหนักส่วนสูง
  • ข้อมูลบนอื่น ๆ บนอินเทอร์เน็ตที่สามารถระบุตัวตนได้ เช่น Username /password,  Cookies IP address,  GPS Location

ถ้าข้อมูลไหนที่ไม่สามารถระบุตัวตนของเจ้าของข้อมูลได้ เช่น ข้อมูลบริษัท จะไม่ถือว่า เป็นไม่ใช่ข้อมูลส่วนบุคคล และไม่อยู่ภายใต้บังคับตาม​ PDPA เลย  

นอกจากเราจะต้องรู้จักกับข้อมูลส่วนบุคคลทั่วไปแล้ว เรายังต้องรู้จักและระมัดระวังการใช้ข้อมูลที่มีความอ่อนไหว (Sensitive Personal Data) มากเป็นพิเศษ เพราะเป็นข้อมูลที่มีความละเอียดอ่อนและอาจส่งผลกระทบต่อเจ้าของข้อมูล ทั้งในแง่ของการทำงาน สังคม และชีวิตความเป็นอยู่ โดยเฉพาะอาจนำไปสู่การเลือกปฏิบัติได้ PDPA จึงกำหนดโทษที่หนักขึ้นหากใช้ข้อมูลนั้นไม่ถูกต้อง ซึ่งอาจรวมถึงโทษอาญา ที่กรรมการต้องติดคุก 

ข้อมูลส่วนบุคคลที่มีความอ่อนไหว คือข้อมูลดังต่อไปนี้ 

  • เชื้อชาติ เผ่าพันธุ์ 
  • ความคิดเห็นทางการเมือง 
  • ความเชื่อในลัทธิ ศาสนาหรือปรัชญา
  • พฤติกรรมทางเพศ
  • ประวัติอาชญากรรม 
  • ข้อมูลด้านสุขภาพ ความพิการ เช่น โรคประจำตัว การฉีดวัคซีน ใบรับรองแพทย์
  • ข้อมูลสหภาพแรงงาน
  • ข้อมูลพันธุกรรม
  • ข้อมูลชีวภาพ เช่น ลายนิ้วมือ แบบจำลองใบหน้า ข้อมูลม่านตา

ใครต้องอยู่ภายใต้ PDPA บ้าง?

หลังจากรู้จักกับประเภทของข้อมูลส่วนบุคคลที่เรารวบรวมมาให้แล้ว เราก็มาทำความรู้จักกับผู้ที่หน้าที่เกี่ยวข้องกับข้อมูลส่วนบุคคลตามกฎหมาย PDPA กันบ้าง 

PDPA คืออะไร?

1. เจ้าของข้อมูลส่วนบุคคล (Data Subject)

เจ้าของข้อมูลส่วนบุคคล หรือ Data Subject ก็คือคนที่ข้อมูลส่วนบุคคลชุดนั้นๆ จะชี้มาที่ตัวตนของบุคคลนั้นได้ ซึ่งก็คือตัวเรานั่นเอง ภายใต้ PDPA เจ้าของข้อมูลเป็นผู้ได้รับการปกป้องคุ้มครองและมีสิทธิต่าง ๆ เหนือข้อมูลส่วนบุคคลของตน 

2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

ผู้ควบคุมข้อมูลส่วนบุคคล หรือ Data Controller คือคน บริษัทหรือองค์กรต่าง ๆ  ที่เป็นคนตัดสินใจว่า จะมีการประมวลผลข้อมูลส่วนบุคคลอะไร เพื่ออะไร อย่างไร ภายใต้ PDPA ผู้ควบคุมข้อมูลส่วนบุคคลเป็นผู้มีหน้าที่และความรับผิดหลักที่ต้องปฏิบัติตาม PDPA ให้ครบถ้วน พ่อค้าแม่ค้าออนไลน์ที่รับข้อมูลจัดส่งสินค้าของลูกค้าที่ CF ของมาเพื่อติดต่อส่งของก็เป็น Data Controller ได้ และบริษัททุกบริษัททันทีที่มีพนักงานคนแรก ที่ต้องใช้ข้อมูลเพื่อจ่ายเงินเดือนก็เป็น Data Controller แล้วทั้งสิ้น

3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)

ผู้ประมวลผลข้อมูลส่วนบุคคล หรือ Data Processor คือ คน บริษัทหรือองค์กรต่าง ๆ ที่ประมวลผลข้อมูลส่วนบุคคล โดยจะทำภายใต้คำสั่ง หรือในนามของ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) เท่านั้น ไม่ได้เป็นคนตัดสินใจทำการประมวลผลข้อมูลด้วยตัวเอง ตัวอย่างเช่น พี่ๆ messenger ที่ใช้ข้อมูลส่วนบุคคลของคนที่เราต้องการส่ง ของให้เพื่อเอาของไปส่งแทนเรา กรณีนี้พี่ๆ ก็เป็น Data Processor หรือกรณีบริษัทใช้ ระบบ Cloud Service ซึ่งผู้ให้บริการจะเก็บข้อมูลแทนบริษัท ผู้ให้บริการ Cloud ก็เป็น Data Processor

โทษที่คุณอาจเจอ หากไม่ปฎิบัติตาม PDPA

ถึงแม้กฎหมาย PDPA จะเป็นที่พูดถึงกันมาบ้างแล้ว แต่หลายบริษัทอาจจะยังไม่ได้ปฏิบัติตามอย่างครบถ้วน เช่น ยังไม่มีการจัดทำ Privacy Policy หรือยังไม่ได้ขอความยินยอมในการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูล หรือยังไม่แต่งตั้ง DPO เป็นต้น การที่บริษัทต่าง ๆ ยังไม่ได้ปฏิบัติหน้าที่ของตนให้ครบถ้วนตาม PDPA อาจนำไปสู่โทษ แพ่ง ซึ่งผู้ได้รับความเสียหายได้เงินค่าเสียหายกลับบ้าน พร้อมกับที่อาจได้โบนัสจากศาลเป็นค่าเสียหายเชิงลงโทษ โทษอาญา ที่อาจนำไปสู่โทษปรับ และกรรมการอาจต้องติดคุก โดยเฉพาะกรณีการประมวลผลข้อมูลส่วนบุคคลอ่อนไหว และ โทษปกครอง ที่อาจจะถูกปรับเงินเข้ารัฐได้ง่ายๆ แค่เพราะไม่ทำตามที่กฎหมายกำหนด เช่น ไม่มี Privacy Policy

อ่านรายละเอียดเกี่ยวกับโทษทางกฎหมาย PDPA ได้ที่

โทษปรับสุดโหด หากคุณยังไม่มี Privacy Policy

สรุป 3 ขั้นตอนในการทำตาม PDPA แบบ Step By Step

PDPA คืออะไร?

อ่านบทลงโทษทางกฎหมาย PDPA แล้ว หลายคนอาจจะรู้สึกร้อน ๆ หนาว ๆ กันบ้าง แต่อย่าพึ่งตกใจไป! เพราะ ภายใต้ PDPA เรายังสามารถเก็บข้อมูลส่วนบุคคลเหล่านี้ได้ตามปกติอยู่ เพียงแต่ต้องปรับให้มีการเก็บเท่าที่จำเป็น และต้องแจ้งรายละเอียดในการเก็บ ใช้ เปิดเผยข้อมูลส่วนบุคคล ให้เจ้าของข้อมูลทราบ และในบางกรณีอาจต้องมีการขอความยินยอมด้วย จึงจะถือว่าไม่ผิดหลัก PDPA

โดย EasyPDPA ได้สรุป 3 ขั้นตอนสำหรับการทำตามกฎหมาย PDPA ง่าย ๆ ดังนี้

ขั้นตอน 1: การเตรียมความพร้อมของคนให้เข้าใจ PDPA

PDPA เป็นกฎหมายใหม่ที่จะมีผลสำคัญกับการใช้ข้อมูลส่วนบุคคของภาคธุรกิจต่อไป แต่หากทุกคนเปิดใจและทำความเข้าใจ EasyPDPA เชื่อว่า PDPA ไม่ใช่กฎหมายที่ยากเกินไป 

ขั้นตอนที่สำคัญขั้นตอนแรกในการเตรียมตัวสำหรับ PDPA จึงเป็นการเตรียมความพร้อมของคนในองค์กรเพื่อเข้าใจภาพรวม หน้าที่และขั้นตอนที่ต้องดำเนินการ 

ขั้นตอน 2: เข้าใจความจำเป็นการประมวลผลข้อมูลส่วนบุคคลและแจ้งการประมวลผล ให้ถูกวิธี

หาก Data Controller ต้องการเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูล PDPA กำหนดหน้าที่หลักว่า  Data Contoller จะต้องแจ้งเจ้าของข้อมูลให้ทราบว่า จะเก็บ ใช้ข้อมูลส่วนบุคคลใดบ้าง เพื่อประโยชน์อะไร นานเท่าไหร่ จะมีการส่งต่อเปิดเผยข้อมูลส่วนบุคคลนั้นให้ใครบ้าง จะรักษาความปลอดภัยข้อมูลเหล่านี้อย่างไร และรับประกันสิทธิการเป็นเจ้าของข้อมูลของบุคคลทั่วไปยังไง โดยต้องดำเนินการแจ้งข้อมูลทั้งหมดในเอกสารที่เรียกว่า Privacy Policy หรือนโยบายความเป็นส่วนตัวนั่นเอง

ข้อมูลสำคัญที่ต้องระบุใน  Privacy Policy

  • จะมีใช้ข้อมูลส่วนบุคคลไหนบ้าง จากแหล่งไหนบ้าง?
  • มีความจำเป็นในการใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อะไร?
  • จะจัดเก็บข้อมูลส่วนบุคคลนานเท่าไหร่?
  • จะส่งต่อหรือเผยแพร่ข้อมูลส่วนบุคคลนั้นให้ใครบ้าง? 
  • จะมีวิธีในการรักษาความปลอดภัยข้อมูลส่วนบุคคลอย่างไร? 
  • สิทธิในข้อมูลส่วนบุคคลของเจ้าของข้อมูลมีอะไรบ้าง และในกรณีที่ต้องการใช้สิทธิ เช่น ลบข้อมูล ต้องติดต่อใคร?

เปลี่ยน PDPA ให้เป็นเรื่องง่ายสำหรับทุกคน

หากใครยังไม่รู้ว่าจะเริ่มต้นทำแบบฟอร์มยังไง  EasyPDPA มีแบบฟอร์ม Privacy Policy เริ่มต้นเพียง 1,290 บาท  ให้คุณแจ้งผู้ใช้งานได้อย่างครบถ้วนและถูกหลัก PDPA ภายใน 2 นาที เท่านั้น

สร้าง Privacy Policy ง่ายๆ เพียง 3 ขั้นตอนเท่านั้น!

แพ็กเกจ Privacy Policy ของ EasyPDPA ใช้งานง่ายมาก เพียงแค่คุณเลือก Policy ที่ต้องการ กรอกข้อมูลบริษัท ก็ดาวน์โหลด พร้อมใช้งาน หรือถ้าไม่แน่ใจ ทำแบบทดสอบ ก่อนเลือก Policy ที่ใช่สำหรับคุณได้

Privacy Policy

การเก็บข้อมูลส่วนบุคคลโดยใช้ Cookies Privacy Policy

อีกประเภทของข้อมูลส่วนบุคคลที่มีการเก็บสำหรับการให้บริการเว็บไซต์ ภายใต้ PDPA คือ Cookies ที่ถูกใช้เพื่อจุดประสงค์ต่าง ๆ Cookies หรือเครื่องมือในการจัดเก็บข้อมูล เพื่อช่วยให้การใช้งานบนเว็บไซต์มีประสิทธิภาพมากขึ้นถือเป็น ข้อมูลส่วนบุคคล

ซึ่งถ้าหากคุณมี Cookies ติดตั้งในหน้าเว็บไซต์ เพื่อทำการเก็บข้อมูลส่วนบุคคลโดยเฉพาะพฤติกรรมของผู้ใช้งาน คุณต้องแจ้ง และขอความยินยอมจากผู้ใช้งานก่อน โดยคุณสามารถแจ้งและขอความยินยอมจากผู้ใช้งานได้อย่างง่ายดาย ผ่าน EasyCookies Popup ถูกต้องตามหลัก PDPA สะดวกรวดเร็ว เริ่มต้นเพียง 599 บาท เท่านั้น!

เริ่มต้นใช้ EasyCookies Popup ง่ายใน 5 นาที

PDPA คืออะไร?

นอกจากการแจ้ง Privacy Policy แล้ว สำหรับนักการตลาด และการทำการตลาดของ บริษัทต่าง ๆ บริษัทอาจต้องขอความยินยอม (Consent) จากกลุ่ม target ต่าง ๆ นั้นก่อนจึงจะสามารถส่งข้อความไปติดต่อประชาสัมพันธ์ต่าง ยังคนกลุ่มดังกล่าวได้ ไม่ว่าจะเป็นการติดต่อสื่อสารผ่านช่องทางใด เช่น SMS / e-mail / Facebook Retargeting / In-App Notification เป็นต้น

โดยการขอความยินยอมนั้น เจ้าของข้อมูลมีอิสระที่จะให้หรือไม่ให้ความยินยอมก็ได้ และเจ้าของข้อมูลอาจถอนความยินยอมเมื่อไหร่ก็ได้ และเมื่อเจ้าของข้อมูลถอนความยินยอม การส่งข้อมูลการตลาดต้องหยุดในทันที 

ขั้นตอน 3:  การรักษาความปลอดภัยของข้อมูลส่วนบุคคล และการรับมือเหตุการณ์ต่าง ๆ เกี่ยวกับข้อมูลส่วนบุคคล

นอกจากการจัดทำเอกสาร Privacy Policy แล้วเมื่อมีการเก็บรักษาข้อมูลส่วนบุคคลของบุคคลใด Data Controller มีหน้าที่รักษาความปลอดภัยของข้อมูล ไม่ใช่แค่ความลับ แต่ต้องรวมถึง ความถูกต้องและความพร้อมใช้ของข้อมูลส่วนบุคคลที่ตนใช้ 

สำหรับมาตรฐานในการรักษาความปลอดภัยของข้อมูลขั้นต่ำ ประกอบด้วย 3 ส่วนหลักคือ (1) การฝึกอบรมสร้างความเข้าใจคน (2) การจัดทำ Access Control & Logging เพื่อการตรวจสอบคนที่เข้าถึงข้อมูล และ (3) มาตรการ IT Security อื่น ๆ เช่น firewall / encryption โดยกฎหมายไม่ได้กำหนดชัดเจนว่าต้อง ทำระดับไหน ขึ้นกับความเสี่ยงของข้อมูลส่วนบุคคลที่ประมวลผลเป็นหลัก

นอกจากการทำมาตรการรักษาความมั่นคงปลอดภัยแล้ว Data Controller ต้องเตรียม กลไกรับมือเหตุการณ์เกี่ยวกับข้อมูลส่วนบุคคลหลัก คือ (1) การเกิดเหตุละเมิดข้อมูลส่วน บุคคล (Data Breach) ไม่ว่าจะจาการโดน ransomware หรือการทำข้อมูลหลุดรั่วไหล ซึ่ง Data Controller ต้อง take action รวมถึงรายงานเหตุการณ์ในกำหนดเวลา และ (2) การใช้สิทธิของเจ้าของข้อมูลที่อาจใช้ได้ตลอดเวลา และ Data Controller ต้องดำเนินการเพื่อตอบรับหรือปฏิเสธให้เหมาะสม

6 เอกสาร PDPA ที่บริษัทต้องเตรียมพร้อม

สำหรับใครที่กำลังมองหาเอกสาร PDPA เพื่อเตรียมความพร้อมให้กับบริษัทและองค์กรของตนเอง ทาง EasyPDPA ก็มี 6 เอกสาร PDPA 4พร้อมแบบฟอร์มอื่น ๆ มาแนะนำให้บริษัทได้นำไปใช้ในองค์กรกัน

1. Privacy Policy เอกสารการจัดเก็บข้อมูลส่วนบุคคล

หากเว็บไซต์ของเรา มีการเก็บข้อมูลของผู้เข้าเยี่ยมชม (เช่น ชื่อนามสกุล อีเมล ข้อมูลการติดต่อ) และ/หรือใช้ Cookies ประเภทต่างๆ เพื่อ ติดตามการใช้งานบน เว็บไซต์ ถือได้ว่าเรากำลังเก็บข้อมูลส่วนบุคคลและตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) อยู่

ดังนั้น เราจึงจำเป็นที่จะต้องแจ้ง Privacy Policy เพื่อให้เจ้าของข้อมูลส่วนบุคคลรับทราบและยินยอมในการจัดเก็บข้อมูลนี้

2. HR Privacy Policy เอกสารสำหรับการทำงานของ HR

HR เป็นตำแหน่งที่ต้องทำงานผ่านเอกสารข้อมูลส่วนบุคคลตลอด ตั้งแต่ การรับสมัคร การทำสัญญาจ้าง การปฏิบัติหน้าที่ของลูกจ้าง จนถึงการยกเลิกสัญญา บริษัทเก็บข้อมูลส่วนบุคคลของพนักงานอย่างหลากหลาย ทั้งที่เป็นข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการทำงาน (เช่น ชื่อนามสกุล ประวัติการทำงาน คุณสมบัติการทดสอบ การเบิกเงินเดือนและสวัสดิการต่างๆ) และอาจรวมถึงข้อมูลส่วนบุคคลอ่อนไหว (เช่น ลายนิ้วมือ ข้อมูลสุขภาพ และประวัติอาชญากรรม) ซึ่งบริษัทมีหน้าที่ตาม PDPA ต้องแจ้ง Privacy Policy และต้องขอความยินยอมจากพนักงานดังกล่าว

3. Cookies Privacy Package เอกสารสำหรับเว็บไซต์

หากเรามีเว็บไซต์ที่ใช้ Cookies ประเภทต่างๆ เพื่อติดตามการใช้งานเว็บไซต์ของผู้เยี่ยมชม (เช่น Google Analytic / Facebook Pixel) เราจำเป็นต้องแจ้งให้ผู้ใช้ทราบ และให้สิทธิในการตั้งค่า Cookies แก่บุคคลดังกล่าว เอกสาร Cookies Privacy Policy สำหรับประกาศแจ้งการเก็บข้อมูลด้วย Cookies บน Website ภาษาไทย และแปลภาษาอังกฤษ พร้อมคำแนะนำ เกี่ยวกับการแจ้งให้สิทธิตั้งค่า Cookies

4. CCTV Privacy Policy เอกสารสำหรับการเก็บภาพบุคคล

หากเราติดตั้งกล้อง CCTV ในพื้นที่ของคุณเพื่อความปลอดภัย ด้วยระบบ CCTV เรากำลังเก็บภาพถ่ายใบหน้าของคนที่เข้าพื้นที่ ซึ่งถือเป็นข้อมูลส่วนบุคคล ดังนั้นเราจึงมีหน้าที่ต้องแจ้งให้บุคคลนั้นทราบถึงการเก็บข้อมูลเป็น CCTV Privacy Policy

5. Data Processing Agreement เอกสารเปิดเผยข้อมูล

หากเรามีความจำเป็นต้องรับ หรือส่งต่อ เปิดเผยข้อมูลส่วนบุคคลของบุคคลใดก็ตาม กับบุคคลภายนอกองค์กรของท่าน เช่น การส่งต่อข้อมูลลูกค้าให้แก่ ผู้ให้บริการภายนอก (Outsource) เพื่อการจัดส่งสินค้า หรือกรณีที่เราเป็นบริษัทที่ปรึกษาที่ได้รับข้อมูล ต่อมาจากผู้ว่าจ้าง) เพื่อเป็นการรับประกันสิทธิ หน้าที่ และความรับผิดชอบของคู่สัญญาทั้งสองฝ่าย เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล ควรมีการจัดทำสัญญาข้อตกลงการประมวลผลข้อมูลส่วนบุคคลระหว่างกัน

6. DPO Working Document เอกสารสำหรับ DPO

หากเรามีความจำเป็นต้องรับ หรือส่งต่อ เปิดเผยข้อมูลส่วนบุคคลของบุคคลใดก็ตาม กับบุคคลภายนอกองค์กรของท่าน เช่น การส่งต่อข้อมูลลูกค้าให้แก่ ผู้ให้บริการภายนอก (Outsource) เพื่อการจัดส่งสินค้า หรือกรณีที่เราเป็นบริษัทที่ปรึกษาที่ได้รับข้อมูล ต่อมาจากผู้ว่าจ้าง) เพื่อเป็นการรับประกันสิทธิ หน้าที่ และความรับผิดชอบของคู่สัญญาทั้งสองฝ่าย เกี่ยวกับการประมวลผลข้อมูล ส่วนบุคคล ควรมีการจัดทำสัญญาข้อตกลงการประมวลผลข้อมูลส่วนบุคคลระหว่างกัน

เตรียมพร้อมรับมือ PDPA ด้วย Policy

เตรียมพร้อมรับมือวันประกาศใช้ PDPA 1 มิถุนายนนี้ ด้วย Privacy Policy จาก EasyPDPA เรามี เอกสาร PDPA ทุกประเภท ร่างโดยทีมนักกฎหมายผู้เชี่ยวชาญระดับประเทศ พร้อมใช้ภายใน 1 นาที

จบไปแล้วกับสาระน่ารู้ที่ EasyPDPA สรุปมาให้ทุกคนได้อ่านกันในวันนี้ เชื่อว่าหลายคนจะรู้จักกับ PDPA มากขึ้น และเห็นถึงความสำคัญว่า กฎหมายจะมีส่วนบังคับกับการใช้ข้อมูลส่วนบุคคลของภาคธุรกิจ ไม่ว่าจะเล็กหรือใหญ่ และทุกองค์กรต้องเตรียมพร้อมกับการปฏิบัติตาม PDPA นี้ แต่ถ้าเข้าใจ ทาง EasyPDPA เชื่อว่า PDPA can be made Easy

อ่านบทความที่น่าสนใจเกี่ยวกับกฎหมาย PDPA ได้ที่

DPO คือใคร? ทำไมองค์กรยุคใหม่ถึงขาดตำแหน่งนี้ไปไม่ได้!

Privacy Policy คืออะไร แล้วทำไมถึงต้องมี?

โทษปรับสุดโหด หากคุณยังไม่มี Privacy Policy

ทำไม HR ยุคใหม่ ต้องรู้ PDPA?

Categories
PDPA Tips

ทำไมต้องรีบทำ Privacy Policy?

คำถามที่ผู้ประกอบธุรกิจทุกคนอาจมีในใจตอนนี้คงหนีไม่พ้น คำถามว่า ตอนนี้ พรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) เลื่อนผลบังคับใช้ไปอีกปี แล้วทำไมเราต้องรีบมาทำ Privacy Policy หรือนโยบายข้อมูลส่วนบุคคลอยู่อีก ในเมื่อไม่มีความผิด โทษแพ่ง อาญา ปกครองต่างๆ ก็ถูกเลื่อนไปด้วย ความเป็นจริงแล้ว สำหรับ “Privacy Policy” ยิ่งรีบทำยิ่งดี

การทำ Privacy Policy เป็นหน้าที่ภายใต้พรบ. ที่ทำได้ง่าย และปิดความเสี่ยงได้ไว

หน้าที่หลักข้อแรกสำหรับการประมวลผลข้อมูลส่วนบุคคล ภายใต้ พรบ.คุ้มครองข้อมูล คือ ธุรกิจที่ประมวลผลข้อมูลส่วนบุคล ต้องแจ้ง ให้เจ้าของข้อมูล ส่วนบุคคลทราบ “ก่อน” หรือ “ขณะที่” ประมวลผลข้อมูลส่วนบุคคล ดังนั้น ทุกธุรกิจที่ต้องมีการประมวลผลข้อมูลส่วนบุคคลจึงอยู่ภายใต้บังคับต้องทำ นโยบายข้อมูลส่วนบุคคล (Privacy Policy)

การแจ้ง Privacy Policy นี้ต้องแจ้งสำหรับทั้งข้อมูลส่วน บุคคลที่เก็บ ก่อนหรือหลัง พรบ. มีผลบังคับใช้ ดังนั้น ไม่ว่าจะเป็นตอนนี้ หรือหลังจากพรบ. มีผลในอีกหนึ่งปี หน้าที่การทำนโยบายข้อมูลส่วนบุคคลนี้ก็ยังคงอยู่

ผลของการไม่ทำและไม่แจ้ง เมื่อพรบ. มีผลบังคับใช้ แปลว่า ธุรกิจนั้นมีความผิดทันที โทษแรกที่มีแนวโน้ม โดนบังคับสูงสุดคือ “โทษทางปกครอง” ในจำนวนเงิน สูงสุด ไม่เกิน 1,000,000 ล้านบาท ไม่รวมโทษทางแพ่ง และอาญาที่อาจมีตามมา หากพิสูจน์ความเสียหายของการไม่แจ้งดังกล่าวได้

ทั้งนี้แสดงว่าถ้าหากเจ้าของข้อมูลเปิดหน้า Website หรือ Application ไหนแล้วไม่เจอ Privacy Policy หรือแม้แต่ถ้าเดินเข้าร้านอาหาร หรือสถานที่ใดๆ ที่มีการติดกล้อง CCTV แล้วไม่เจอ Privacy Policy การแจ้งก่อนการใช้บริการ เจ้าของข้อมูลดังกล่าวมีสิทธิร้องเรียน ต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เพื่อดำเนินการปรับ เจ้าของธุรกิจที่ไม่แจ้งนั้นๆ ได้ทันที

หากธุรกิจแจ้ง Privacy Policy ก่อนย่อมได้เปรียบ

ทันทีที่แจ้งก็เท่ากับ ธุรกิจนั้นได้ดำเนินการหน้าที่ตามพรบ. เรียบร้อย หนึ่งข้อ ไม่ต้องกังวลโดนโทษปกครองไปหนึ่งข้อ นอกเหนือจากนั้นยังเป็นการได้ทดลองใช้ระบบต่างๆในการเก็บข้อมูลส่วนบุคคล โดยที่ไม่มีโทษหรือความผิดในการทำไม่ถูกต้องแต่อย่างใด

Privacy Policy ต้องแจ้งอะไรบ้าง?

พรบ.กำหนดหัวข้อขั้นต่ำที่ต้องมีการแจ้งใน Privacy Policy ไว้ดังนี้ ถ้าแจ้งไม่ครบ = ยังไม่พ้นความรับผิด

  • ข้อมูลส่วนบุคคลใดบ้างที่มีการใช้
  • วัตถุประสงค์และวิธีการเก็บและใช้ข้อมูลส่วน บุคคลดังกล่าว พร้อมทั้งกำหนดระยะเวลาการเก็บ
  • ประเภทของหน่วยงาน / บุคคลที่อาจมีการเปิด เผยข้อมูลส่วนบุคคลไปให้
  • สิทธิของเจ้าของข้อมูล ซึ่งเป็นสิทธิที่พรบ. กำหนดคุ้มครองให้
  • ข้อมูลติดต่อของธุรกิจดังกล่าว ในฐานะผู้ควบ คุมข้อมูล

ถ้าหากเจ้าของธุรกิจไหนไม่รู้ว่าจะเริ่มทำ Privacy Policy อย่างไร สามารถเข้ามาใช้บริการสร้าง Privacy Policy ง่ายๆใน 2 นาที กับทาง EasyPDPA ที่นี่

ทำ Privacy Policy เสร็จแล้วต้องเอาไปแจ้งยังไง?

หลักการง่ายๆคือเราใช้ข้อมูลส่วนบุคคลช่องทางใด หรือลักษณะใด ก็ประกาศแจ้ง Privacy Policy ไปที่ช่องทางดังกล่าว เช่น

  • ใช้ข้อมูลผ่าน Website / Application สามารถนำ Privacy Policy ไปแจ้งก่อนการสร้าง User Account ของผู้ใช้บริการ หากไม่ยอมรับ ธุรกิจ สามารถปฏิเสธการสร้าง User Account ได้
  • ใช้แจ้งไว้ที่ป้ายใต้ CCTV หรือทางเข้าสถานที่ที่ ติดตั้ง CCTV โดยต้องชัดเจนพอเพื่อให้บุคคล ที่จะเข้าไปในสถานที่ดังกล่าวเข้าใจ

ใช้ Privacy Policy ฉบับเดียบ Version เดียวไปตลอดเลยได้หรือไม่?

Privacy Policy ควรปรับปรุงให้สอดคล้องกับ Features และการประมวลผลข้อมูลส่วนบุคคลที่มีมากขึ้น แต่การ แก้ไขดังกล่าวสามารถดำเนินการได้ตลอด ด้วยการประกาศการปรับปรุงนั้นผ่านช่องทางเดิม โดยเป็นการใช้สิทธิปรับปรุงแก้ไขฝ่ายเดียวได้

ด้วยความง่ายในการใช้ Privacy Policy เพื่อปิดช่องความเสี่ยง และความรับผิดจากการไม่มีและไม่ประกาศ Privacy Policy เพราะฉะนั้น เราก็สามารถสรุปได้ว่า “Privacy Policy ยิ่งประกาศไว ยิ่งได้เปรียบ

Categories
Uncategorized

เลื่อนพรบ ข้อมูลส่วนบุคคล ≠ ใช้ข้อมูลยังไงก็ได้

? ทุกท่านคงได้เห็นข่าวเต็มหน้าฟีดเกี่ยวกับเรื่องการขยายหรือเลื่อนการบังคับใช้ พรบ ข้อมูลส่วนบุคคล ออกไปอีก 1 ปี นักกฎหมายหลายๆท่านอาจจะกำลังถกเถียงกันในหลายๆประเด็นที่เกี่ยวข้องอยู่ในตอนนี้

Categories
Uncategorized

นโยบายความเป็นส่วนตัว (Privacy Policy) และ Terms & Condition ต่างกันไหม?

หลายคนอาจจะมีข้อสงสัยว่า จริงๆแล้ว นโยบายความเป็นส่วนตัว (Privacy Policy) คืออะไรกันแน่ แล้วมันต่างกับ Terms & Conditions ของเว็บไซต์อย่างไร ทาง EasyPDPA จึงขอมาอธิบายแบบสั้นๆง่ายๆให้หายสงสัยกันค่ะ