Privacy Policy กับการเป็นองค์ประกอบสำคัญของกฎหมาย PDPA
กลางปีนี้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือที่เรารู้จักกันในชื่อ PDPA (Personal Data Protection Act) จะถูกประกาศใช้อย่างเป็นทางการ ในวันที่ 1 มิถุนายน 2565 กฎหมายดังกล่าวให้ความคุ้มครองในเรื่องของข้อมูลส่วนบุคคล ตั้งแต่ ชื่อ ที่อยู่ เบอร์โทรศัพท์ บัญชีธนาคาร อีเมล ไอดีไลน์ บัญชีผู้ใช้ของเว็บไซต์ และลายนิ้วมือ ไปจนถึงประวัติสุขภาพ ซึ่งสิ่งเหล่านี้นับเป็นข้อมูลที่สามารถระบุตัวตนไปถึงเจ้าของข้อมูลเหล่านั้นได้ ทำให้หลาย ๆ องค์กรจำต้องจัดทำ Privacy Policy หากคุณทำธุรกิจหรือให้บริการใด ๆ ที่มีการเก็บข้อมูลส่วนบุคคล จากลูกค้า คู่ค้า พนักงาน หรือแม้แต่ผู้ที่เข้ามาในบริเวณพื้นที่ คุณก็จำเป็นที่จะต้องมี Privacy Policy เป็นของตัวเอง เพราะข้อดีของการมี Privacy Policy คือ มันช่วยทำให้ธุรกิจหรือแบรนด์ของคุณดูน่าเชื่อถือมากยิ่งขึ้น
Privacy Policy คืออะไร ?
Privacy Policy หรือ นโยบายความเป็นส่วนตัว คือ การ “แจ้ง” รายละเอียดเกี่ยวกับการจัดการข้อมูลส่วนบุคคลรูปแบบหนึ่ง โดยระบุว่า คุณจะเก็บข้อมูลอะไรของเจ้าของข้อมูลบ้าง? จะเอาไปใช้ทำอะไรบ้าง? จะเก็บข้อมูลไว้ที่ไหน? จะขอลบข้อมูลต้องติดต่อใคร? จะลบภายในกี่วัน? และจะมีมาตรการอย่างไรในการรักษาความเป็นส่วนตัวของผู้ให้ข้อมูล เป็นต้น ซึ่งรายละเอียดเหล่านี้เรียกว่า Privacy Policy หรือ นโยบายความเป็นส่วนตัวนั่นเอง
องค์กรจะแจ้ง Privacy Policy ได้อย่างไร
โดยปกติเรามักเห็น Privacy Policy ปรากฎตามหน้าเว็บไซต์ต่าง ๆ เพราะเกือบทุกเว็บฯ จะมีการเก็บข้อมูลส่วนบุคคลไว้ผ่าน Cookie แต่แท้จริงแล้ว ผู้ใช้ข้อมูลยังสามารถแจ้ง Privacy Policy ด้วยวิธีอื่น ๆ ได้ เช่น ติดประกาศเพื่อแจ้งให้พนักงานในบริษัททราบ ส่งเป็นเอกสารตอนเซ็นสัญญา ส่งอีเมลแจ้งในเว็บไซต์ ส่งผ่านแอปพลิเคชัน หรือช่องทางอื่น ๆ ได้
Privacy Policy สำคัญอย่างไร
การสร้างนโยบายความเป็นส่วนตัว (Privacy Policy) คือส่วนหนึ่งของรายการที่ต้องทำตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA: Personal Data Protection Act) แม้องค์กรต้องจัดทำเพื่อปฏิบัติตามกฎหมาย หากการสร้างนโยบายความเป็นส่วนตัว ยังช่วยสร้างความน่าเชื่อถือให้กับองค์กร ทำให้ผู้ใช้งานมั่นใจว่าข้อมูลที่ยินยอมให้จัดเก็บมีความปลอดภัย และถูกนำไปใช้งานได้ตรงตามจุดประสงค์ของการใช้งาน
ถ้าไม่มี Privacy Policy จะเป็นอย่างไร
หากคุณมีคำถามอยู่ในหัวว่า “องค์กรไม่จัดทำนโยบายความเป็นส่วนตัว ได้หรือไม่?” คำตอบง่าย ๆ คือ ไม่ได้ เพราะหากองค์กรนั้น ๆ มีการเก็บรวบรวม ใช้ หรือประมวลผลข้อมูลส่วนบุคคล จำเป็นต้องมีการจัดทำนโยบายความเป็นส่วนตัว (Privacy Policy) เพื่อให้สอดคล้องตามกฏหมายของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เพราะหากคุณยังยืนยันที่จะไม่ทำตาม คุณอาจจะต้องรับโทษทางกฏหมายสูงถึง 5 ล้านบาท และ โทษจำคุกสูงสุดถึง 1 ปี
Privacy Policy ที่ดี ควรมีองค์ประกอบอะไรบ้าง ?
เมื่อคุณเริ่มต้นที่จะจัดทำ Privacy Policy ควรจะต้องมีองค์ประกอบดังนี้
1. ต้องกำหนดขอบเขต เช่น
– รูปแบบการเก็บข้อมูล (Electroinic, กระดาษ, มีการ Encrypted หรือไม่)
– ผู้มีส่วนเกี่ยวข้องกับนโยบาย (พนักงาน, Supplier, Vendors)
2. ต้องมีคำแถลงนโยบาย เช่น
– คำชี้แจงนโยบายการเก็บ รวบรวม และใช้ข้อมูลส่วนบุคคล ขององค์กร
– โทษของการไม่ปฎิบัติตามนโยบาย
3. ต้องแจ้งความหมายของข้อมูลส่วนบุคคล เช่น
– การจำแนกข้อมูลส่วนบุคคล
4. ต้องมีมาตราการป้องกันการละเมิดข้อมูล
5. ต้องมีวิธีการทำลายข้อมูล เมื่อถูกร้องขอจากเจ้าของข้อมูล
6. ต้องมีจ้อมูลผู้รับผิดชอบในการตอบคำถาม (DPO)
– ผู้รับผิดชอบคือใคร สามารถติดต่อได้ทางใดบ้าง
7. นโยบายนี้จะมีผลบังคับใช้เมื่อไหร่ ต้องระบุให้ชัดเจน
กลางปีนี้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือที่เรารู้จักกันในชื่อ PDPA (Personal Data Protection Act) จะถูกประกาศใช้อย่างเป็นทางการ ในวันที่ 1 มิถุนายน 2565 กฎหมายดังกล่าวให้ความคุ้มครองในเรื่องของข้อมูลส่วนบุคคล ตั้งแต่ ชื่อ ที่อยู่ เบอร์โทรศัพท์ บัญชีธนาคาร อีเมล ไอดีไลน์ บัญชีผู้ใช้ของเว็บไซต์ และลายนิ้วมือ ไปจนถึงประวัติสุขภาพ ซึ่งสิ่งเหล่านี้นับเป็นข้อมูลที่สามารถระบุตัวตนไปถึงเจ้าของข้อมูลเหล่านั้นได้ ทำให้หลาย ๆ องค์กรจำต้องจัดทำ Privacy Policy หากคุณทำธุรกิจหรือให้บริการใด ๆ ที่มีการเก็บข้อมูลส่วนบุคคล จากลูกค้า คู่ค้า พนักงาน หรือแม้แต่ผู้ที่เข้ามาในบริเวณพื้นที่ คุณก็จำเป็นที่จะต้องมี Privacy Policy เป็นของตัวเอง เพราะข้อดีของการมี Privacy Policy คือ มันช่วยทำให้ธุรกิจหรือแบรนด์ของคุณดูน่าเชื่อถือมากยิ่งขึ้น
