Skip to content

Table of Contents

Privacy Policy สำคัญอย่างไร ?

          Privacy Policy หรือนโยบายคุ้มครองข้อมูลส่วนบุคคลซึ่งใช้ในการ แจ้ง ถึงรายละเอียดในการจัดเก็บรวบรวมข้อมูลส่วนบุคคล ใช้แจ้งถึงประเภทของข้อมูลส่วนบุคคลที่มีการเก็บรวบรวมเก็บ ใช้ และเผยแพร่ รวมทั้งระยะเวลาในการจัดเก็บ และการรักษาความปลอดภัยของข้อมูลส่วนที่ถูกจัดเก็บนั้นเอง และที่สำคัญตัวเอกสาร Privacy Policy นั้นถือว่าเป็นส่วนหนึ่งของรายการเอกสารที่จะต้องจัดทำให้มีตามระเบียบกฎหมาย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ (PDPA: Personal Data Protection Act) ซึ่งในส่วนของคนทำธุรกิจหรือทุกองค์กรจะต้องให้ความสำคัญและต้องดำเนินการจัดทำเพื่อใช้ในการขอจัดเก็บข้อมูลจากเจ้าของข้อมูล ส่วนของนโยบายความเป็นส่วนตัว ยังสามารถช่วยสร้างความน่าเชื่อถือให้กับองค์กร ทำให้ผู้ใช้งานหรือผู้ที่มาใช้บริการนั้นมีความมั่นใจว่าข้อมูลที่ให้ยินยอมในการจัดเก็บนั้นได้มีการดูแลความปลอดภัย และถูกนำไปใช้งานได้ตรงตามวัตถุประสงค์โดยบริษัทมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งตามกฎหมายเรียกว่า  ‘ผู้ควบคุมข้อมูลส่วนบุคคล’  โดยมีพนักงานที่บริษัทมอบหมายโดยเฉพาะให้มีหน้าที่ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของบริษัท ซึ่งตามกฎหมายเรียกว่า  ‘ผู้ประมวลผลข้อมูลส่วนบุคคล’

  • ตัวอย่างธุรกิจที่ต้องมี
  1. ธุรกิจใดก็ตามที่มีการเก็บข้อมูลส่วนบุคคลของพนักงานหรือลูกค้ารวมทั้งผู้ใช้บริการไม่ว่าจะเป็น ชื่อ-สกุล เบอร์โทร ที่อยู่ หรืออีเมล์ เพื่อใช้ในการจัดทำข้อสัญญาหรือใช้ในการเสนอขายสินค้า บริการ รวมทั้งใช้วิเคราะห์การตลาด
  2. ทุกเว็บไซต์ที่มีการเก็บข้อมูลในการเข้าล็อกอินระบบผ่านอีเมลหรือบัญชีทาง Social Network เป็นต้น
  3. ประเภทธุรกิจขายของออนไลน์ที่เก็บข้อมูลในการชำระเงินต่าง ๆ
  • Privacy Policy ใช้ในกรณีไหน?
  1. ใช้ในกรณีที่มีการเก็บข้อมูลส่วนบุคคลของผู้ใช้ไม่ว่าจะเป็นผ่านช่องทางออนไลน์ หรือออฟไลน์เพื่อใช้สำหรับการสื่อสารภายในองค์กร

Privacy Policy ต้องแจ้งอะไรบ้าง ?

  1. ประเภทข้อมูลส่วนบุคคลอะไรบ้างที่เก็บรวบรวม ใช้ และ/หรือเปิดเผย

บริษัทจะต้องแจ้งถึงข้อมูลส่วนบุคคลที่ได้มีการจัดเก็บรวบรวม ใช้ และเปิดเผย ไม่ว่าทางตรงหรือทางอ้อม ซึ่งได้แก่ ข้อมูลที่มีให้ไว้โดยตรงกับบริษัท รวมทั้งการลงทะเบียนเข้าร่วมกิจกรรมต่างๆ ของบริษัท คุกกี้ ข้อมูลการทำรายการ และประสบการณ์การใช้งานผ่านหน้าเว็บไซต์ หรือช่องทางอื่นใด เช่นข้อมูลส่วนตัว เช่น

  • ชื่อ นามสกุล อายุ วันเดือนปีเกิด สถานภาพสมรส เลขประจำตัวประชาชน เลขหนังสือเดินทาง
  • ข้อมูลการติดต่อ เช่น ที่อยู่อาศัย สถานที่ทำงาน หมายเลขโทรศัพท์ อีเมล ไอดีไลน์
  • การเก็บข้อมูลอุปกรณ์หรือเครื่องมือ เช่น IP Address MAC Address Cookie ID
  • ข้อมูลอื่นๆ เช่น การใช้งานเว็บไซต์ เสียง ภาพนิ่ง ภาพเคลื่อนไหว และข้อมูลอื่นใดที่ถือว่าเป็นข้อมูลส่วนบุคคลภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล
  1. วัตถุประสงค์ในการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูล

แจ้งถึงวัตถุประสงค์การใช้ในข้อมูลส่วนบุคคลในประเภทต่าง ๆ แจ้งในที่มาของการนำข้อมูลไปใช้เพื่อการใด เช่นใช้เพื่อการพัฒนาและปรับปรุงเว็บไซต์ของบริษัท ตลอดจนการวิเคราะห์และประมวลผลข้อมูลส่วนบุคคล เพื่อให้ตอบโจทย์การใช้งานของผู้ใช้งานตามแต่ละบริบทของบริษัท พร้อมทั้งแจ้งระยะเวลาในการจัดเก็บข้อมูล และหากภายหลังทางบริษัทได้มีการเปลี่ยนแปลงในวัตถุประสงค์ จำเป็นอย่างยิ่งที่บริษัทจะแจ้งให้เจ้าของข้อมูลรับทราบ เพื่อขอความยินยอม และจัดให้มีบันทึกการแก้ไขเพิ่มเติมไว้เป็นหลักฐาน บริษัทจะไม่กระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของท่าน เพื่อประโยชน์อย่างอื่น ที่นอกเหนือจากวัตถุประสงค์ที่ได้แจ้งไว้กับท่านไว้ก่อนหรือขณะเก็บรวบรวม

  1. การคุ้มครองข้อมูลส่วนบุคคล

บริษัทจะต้องแจ้งถึงระเบียบในการเก็บรักษาข้อมูลส่วนบุคคลตามมาตราการต่าง ๆ ของบริษัท อาทิเช่น เพื่อรักษาความมั่นคงปลอดภัยในการประมวลผลข้อมูลส่วนบุคคลตามที่เหมาะสม เพื่อป้องกันการถูกละเมิดข้อมูลส่วนบุคคล การสูญหาย การเข้าถึง ทำลาย ใช้ เปลี่ยนแปลง แก้ไข การนำข้อมูลไปใช้ หรือเปิดเผยข้อมูลนอกวัตถุประสงค์อื่นที่ไม่เป็นไปตามที่กำหนดและก่อนทุกครั้งที่บริษัทจะมีการขอเก็บรวบรวมข้อมูล ใช้ หรือเปิดเผยข้อมูลของพนักงาน บริษัทจะต้องทำการขอความยินยอมก่อนทุกครั้ง โดยการขอความยินยอมจะทำโดยชัดแจ้ง เป็นหนังสือหรือทำโดยระบบอิเล็กทรอนิกส์

  1. การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

บริษัทจะต้องมีการแจ้งถึงระยะเวลาในการจัดเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของพนักงานไว้อย่างชัดเจน และบริษัทจะต้องจัดให้มีเจ้าหน้าที่ในการกำกับดูแลในเรื่องนี้โดยเฉพาะ เพื่อเป็นการห้ามมิให้ มีการใช้ การเปิดเผย แสดงของข้อมูล ที่นอกเหนือไปจากวัตถุประสงค์ตามที่บริษัทกำหนด เพื่อให้การเปิดเผยข้อมูลได้ตามขอบเขตที่เจ้าของข้อมูลได้ให้ความยินยอม ตามขอบเขตที่ของบริษัท

  1. สิทธิของเจ้าของข้อมูล

ธุรกิจที่มีการจัดเก็บรวบรวมข้อมูลส่วนบุคคลของบุคคลอื่น จะต้องมีการแจ้งถึงสิทธิของเจ้าของข้อมูล ในการแจ้งถึงอำนาจสิทธิในความสามารถขอใช้สิทธิใดได้บ้าง ภายใต้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ตลอดจนนโยบายที่ได้มีการกำหนดไว้ก่อนหรือในขณะที่จะมีการแก้ไขเพิ่มเติมในอนาคต ตลอดจนหลักเกณฑ์ตามที่บริษัทกำหนดขึ้นนั้นเอง อาทิเช่น

  • สิทธิในการขอถอนความยินยอม
  • สิทธิในการขอเข้าถึง ขอรับข้อมูลหรือสำเนาข้อมูล
  • สิทธิในการคัดค้าน
  • สิทธิขอให้แก้ไขข้อมูล
  • สิทธิขอให้ลบหรือทำลายข้อมูล
  • สิทธิขอให้ระงับการใช้ข้อมูล
  • สิทธิร้องขอให้บริษัทดำเนินการแก้ไขข้อมูลนั้นถูกต้อง
  • สิทธิร้องเรียน เป็นต้น ( เพิ่มเติม สิทธิของเจ้าของข้อมูลตาม PDPA )
  1. การเชื่อมโยงข้อมูลส่วนบุคคลกับบุคคลอื่นหรือหน่วยงานอื่น

บริษัทจะต้องแจ้งถึงการเชื่อมโยงข้อมูลส่วนบุคคลของพนักงานกับบุคคลที่สามหรือหน่วยงานอื่น ๆ โดยบริษัทจะแจ้งให้พนักงานทราบก่อนที่จะทำการเชื่อมโยงของข้อมูล พร้อมทั้งขอความยินยอมจากพนักงานที่เป็นเจ้าของข้อมูลทุกครั้ง และบริษัทจะต้องมีการระบุถึงรายละเอียดต่าง ๆ ให้กับเจ้าของข้อมูลทราบ ยกตัวอย่าง เช่น

  • ระบุรายชื่อบุคคลหรือหน่วยงานที่จะทำการเชื่อมโยงข้อมูลส่วนบุคคล
  • แจ้งวัตถุประสงค์ในการเชื่อมข้อมูลส่วนบุคคล
  • กำหนดวิธีการและขอบเขตในการเชื่อมโยงข้อมูลส่วนบุคคล
  • ประเภทของข้อมูลส่วนบุคคลที่จะมีทำการเชื่อมโยงกับหน่วยงานอื่น
  1. การเปลี่ยนแปลงนโยบายคุ้มครองข้อมูลส่วนบุคคล

ในกรณีที่บริษัทจะต้องมีการปรับปรุงในตัวนโยบายความเป็นส่วนตัวในบางครั้งนั้น บริษัทจะต้องมีการแจ้งประกาศให้พนักงานหรือบุคคลที่เป็นเจ้าของข้อมูลทราบในทุกครั้งที่ได้มีการอัพเดทเปลี่ยนแปลงในเนื้อหารายละเอียดต่าง ๆ ของนโยบาย โดยมีการอาศัยในช่องทางการประกาศผ่านช่องทางเว็บไซต์เพื่อให้บุคคลที่มาใช้บริการรับทราบ และใช้วิธีติดประกาศผ่านช่องทางอีเมลหรือติดประกาศสำหรับเพื่อให้พนักงานภายในที่เป็นเจ้าของข้อมูลรับทราบโดยทั่วทั้งองค์กรนั้นเอง

  1. นโยบายคุกกี้ (Cookies)

บริษัทจะต้องแจ้งถึงนโยบายคุกกี้ ว่าหมายถึงอะไรมีความสำคัญอย่างไรบ้าง และใช้เพื่อการใดบ้าง ประเภทของคุกกี้ที่องค์กรได้มีการใช้ รวมทั้งรูปแบบในการตั้งค่าคุกกี้ในแบบต่าง ๆ ของบริษัท ดังนั้นบริษัทจำเป็นอย่างยิ่งที่จะต้องแจ้งถึงวัตถุประสงค์และขอบตเขตในการดำเนินการของนโยบาย ไม่ว่าจะเป็นเพื่อพัฒนาประสิทธิภาพในการใช้งานแพลตฟอร์มและการเข้าถึงบริการของบริษัทผ่านทางระบบอินเทอร์เน็ต เป็นต้น

  1. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

บริษัทจะต้องมีแจกแจงรายละเอียดของเจ้าหน้าที่ที่มีส่วนสำคัญและมีหน้าที่รับผิดชอบโดยตรงในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของพนักงาน

  1. ช่องทางการติดต่อ

บริษัทจะต้องแจ้งระบุถึงช่องทางในการติดต่อ ไม่ว่าจะเป็น ชื่อ ที่อยู่ เบอร์โทรในการติดต่อของบริษัทเอง เพื่อใช้ในกรณีที่พนักงานต้องการสอบถามในข้อเสนอแนะหรือต้องการสอบถามข้อมูลเกี่ยวกับรายละเอียดการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคล รวมถึงการขอใช้สิทธิตามนโยบาย

ดังนั้น   คนทำธุรกิจหรือทุก ๆ องค์กรจึงจำเป็นอย่างยิ่งที่จะต้องทำนโยบายคุ้มครองข้อมูลส่วนบุคคลนี้ เพื่อใช้ในการแจกชี้แจงรายละเอียดต่าง ๆ ในการกำหนดวิธีการจัดเก็บรวบรวม การใช้ และ/หรือเปิดเผย การคุ้มครองข้อมูล การเข้าถึงข้อมูล การโอนย้าย รวมทั้งการวิเคราะห์ประมวลผลข้อมูลส่วนบุคคลของพนักงาน เพื่อหลีกเลี่ยงการนำข้อมูลไปใช้ ไปเผยแพร่แบบผิดประเภทที่ไม่ตรงตามวัตถุประสงค์ตามที่กฎหมายกำหนด หากคนทำธุรกิจหรือองค์กรเพิกเฉยในการจัดทำดังกล่าวก็จะได้รับผลกระทบในรูปแบบต่าง ๆ ไม่ว่าจะเป็นการขาดความน่าเชื่อถือขององค์กร แถมยังมีความผิดตามฐานที่กฎหมายได้มีการกำหนดไว้นั้นเองค่ะ

ข้อมูลอ้างอิงจาก

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

คณะนิติศาสตร์ จุฬาลงกรณ์

Thailand Data Protection Guidelines 2.0

สามารถอ่านบทความอื่นๆ ที่น่าสนใจเกี่ยวกับกฎหมาย PDPA และสายงาน HR   คลิ๊ก!!!

แบ่งปันบทความดีๆ

Facebook
Twitter
LinkedIn

บทความที่เกี่ยวข้อง