ในกฎหมาย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) มีขั้นตอนหนึ่งที่ทุกองค์กรต้องสร้างขึ้นเพื่อสร้างความชัดเจนและมีไว้เพื่อปฏิบัติตามในการรักษาสิทธิของเจ้าข้อมูลส่วนบุคคลที่องค์กรได้รับไป สิ่งนั้นคือ Privacy Notice (ประกาศความเป็นส่วนตัว) ซึ่งเราก็จะมักเห็นอยู่ตามหน้าเว็บไซต์ เวลาเข้าไปยังเว็บไซต์ต่างๆ เราก็จะเห็นตัวของประกาศตัวนี้ ซึ่งในประเทศไทยจะใช้ชื่อว่า “ประกาศความเป็นส่วนตัว” หรือ “นโยบาความเป็นส่วนตัว” หรือที่เรียกกันว่า “Privacy Notice” และ “Privacy Policy”
Privacy Notice และ Privacy Policy
เมื่อเราเข้าเว็บไซต์ต่างๆ มักเห็นประกาศนี้ ซึ่งเรามักเห็นเป็นหัวข้อเล็กอยู่ภายในเว็บไซต์และเราสามารถกดเข้าไปอ่านรายละเอียดเพิ่มเติมได้ หลักๆ ก็คือ ประกาศความเป็นส่วนตัว(Privacy Notice) ที่กล่าวถึงนี่เอง หรือมักจะได้เห็นเป็นชื่อ นโยบายความเป็นส่วนตัว (Privacy Policy) ก็ได้ ซึ่งทั้ง Privacy Notice และ Privacy Policy จะมีความต่างกันอยู่บางประการ ในส่วนของ Privacy Notice จะมีการพูดถึงว่าข้อมูลส่วนบุคคลที่ทางเว็บไซต์ได้ไปนั้นจะนำมาใช้มีอะไรบ้าง มีวัตถุประสงค์อะไร มีการลบทำลายข้อมูลส่วนบุคคลที่ได้ภายในกี่วัน สิทธิของเจ้าของข้อมูลมีอะไรบ้างในเว็บไซต์ ที่อยู่เพื่อการใช้สิทธิดังกล่าวสามารถติดต่อขอใช้สิทธิทางใด แต่ในส่วนของ นโยบายความเป็นส่วนตัว (Privacy Policy) จะเป็นนโยบายของการการเก็บข้อมูลส่วนบุคคลที่ละเอียดมากขึ้น เช่น ขั้นตอนการลบข้อมูลส่วนบุคคลหลังหมดระยะเวลาเก็บแล้วลบอย่างไรบ้าง การดูแลข้อมูลส่วนบุคคลของลูกค้าปฏิบัติอย่างไรบ้างให้มีความปลอดภัย ซึ่งประกาศความเป็นส่วนตัว(Privacy Notice) อาจจะเป็นส่วนหนึ่งของนโยบายความเป็นส่วนตัว(Privacy Policy) ก็ได้ โดยนโยบายของส่วนตัว(Privacy Policy) จะมีความครอบคลุมมากกว่าและละเอียดกว่า
Privacy Notice (ประกาศความเป็นส่วนตัว) มีเนื้อหาอะไรบ้าง
สำหรับในบทความนี้ จะมาดูรายละเอียดในส่วนของ ประกาศความเป็นส่วนตัว (Privacy Notice) ซึ่งได้ระบุไว้ในกฎหมาย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) ในมาตรา 23 หลักๆ คือผู้ควบคุมข้อมูลส่วนบุคคล องค์กรหรือบริษัทจำเป็นจะต้อง
- แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนที่จะมีการเก็บข้อมูล ว่าตัวของข้อมูลส่วนบุคคลที่จะมีการจัดเก็บมีอะไรบ้าง เช่น ชื่อ นามสกุล ที่อยู่ เบอร์โทร เลขบัตรประชาชน เป็นต้น
- แจ้งในส่วนของวัตถุประสงค์อย่างชัดเจนว่ามีการจัดเก็บไปเพื่ออะไรด้วย เช่น ใช้ข้อมูลส่วนบุคคลในการส่งข่าวสารโปรโมชั่นส่วนลด หรือใช้เพื่อทำการตลาดในอนาคต
- แจ้งข้อมูลที่เกี่ยวกับผู้ควบคุมข้อมูล เช่น สถานที่ติดต่อองค์กรหรือบริษัทของผู้เก็บข้อมูล วิธีการติดต่อ ถ้าต้องการติดต่อบริษัทกับการใช้สิทธิ์ของเจ้าของข้อมูลต้องติดต่อไปในช่องทางใด ต้องมีสถานที่ติดต่อหรือมีอีเมลของบริษัทให้สามารถติดต่อได้
- แจ้งสิทธิของเจ้าของข้อมูลส่วนบุคคล ซึ่งก็จะเป็นสิทธิตามกฎหมาย ตัวอย่างเช่น เจ้าของข้อมูลมีสิทธิร้องขอในการลบ การแก้ไข การถอนความยินยอม หรือขอให้โอนถ่ายข้อมูลส่วนบุคคลของตนเองได้
- แจ้งระบุให้ทราบในเรื่องของระยะเวลาของการจัดเก็บข้อมูล ว่าข้อมูลส่วนบุคคลที่ได้รับไปจะเก็บไว้กี่วัน และหลังครบเวลาจัดเก็บแล้วจะลบทำลายภายในกี่วัน ซึ่งก็ต้องมีการระบุไว้ในส่วนของประกาศความเป็นส่วนตัว (Privacy Notice) นี้
สรุป
ประกาศความเป็นส่วนตัว(Privacy Notice) ก็คือ การประกาศจากองค์กรหรือบริษัทต่อสาธารณชน โดยอธิบายเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลขององค์กรหรือบริษัทจะปฏิบัติตามเพื่อให้สอดคล้องกับกฎหมายคุ้มครองข้อมุลส่วนบุคคล(PDPA) ซึ่ง Privacy Notice มีส่วนประกอบ ได้แก่ ชื่อบริษัท การเก็บข้อมูลส่วนบุคคลเก็บอะไรบ้าง ขั้นตอนการเก็บรวบรวมมีอะไรบ้าง ข้อมูลส่วนบุคคลที่เก็บไว้ในวัตถุประสงค์อะไร สิทธิ์ของเจ้าของข้อมูลว่าเจ้าของข้อมูลสามารถทำอะไรกับข้อมูลส่วนบุคคลที่บริษัทจัดเก็บอยู่ได้บ้าง สิทธิการขอเข้า สิทธิการขอแก้ไข สิทธิการขอคัดค้าน สิทธิการขอลบหรือทำลาย ช่องทางการติดต่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล รวมถึงเว็บไซต์ที่เป็นช่องทางการติดต่อช่องทางใดได้บ้างนะครับ ทั้งหมดนี้ก็จะเป็นส่วนประกอบทั้งหมดของตัวของ ประกาศความเป็นส่วนตัว (Privacy Notice)
