พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ Personal Data Protection Act B.E. 2562 (PDPA) มีขั้นตอนหนึ่งที่ทุกองค์กรต้องสร้างขึ้นเพื่อสร้างความชัดเจนและมีไว้เพื่อปฏิบัติตามในการรักษาสิทธิของเจ้าข้อมูลส่วนบุคคลที่องค์กรได้รับไป โดยตามกฎหมายกำหนดให้องค์กรใดที่มีการประมวลผลข้อมูลส่วนบุคคล ต้องให้ข้อมูลเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลแก่เจ้าของข้อมูลส่วนบุคคล โดยทั่วไปมักอยู่ในรูปแบบของ Privacy Notice หรือประกาศความเป็นส่วนตัว องค์กรใดก็ตามที่จัดเก็บข้อมูลส่วนบุคคลจะต้องปฏิบัติตามกฎหมาย คงจะมีข้อสงสัยที่ว่า Privacy Policy กับ Privacy Notice แตกต่างกันอย่างไร บทความนี้เราจะมาคลายความสงสัยกันนะครับว่าคำตอบของคำถามนี้มันเป็นอย่างไร
- Privacy Policy คือการกำหนดข้อตกลง หรือคำแถลงการเกี่ยวกับแนวทางการจัดเก็บรวบรวม ใช้ หรือเผยแพร่งานข้อมูลส่วนบุคคลคนภายในองค์กร หรือหน่วยงาน
- Privacy Notice คือคำประกาศถึงเจ้าของข้อมูลที่องค์กรจำมีการดำเนินการการจัดเก็บ ประมวลผล รักษา และทำลายข้อมูลส่วนบุคคล ซึ่งเราจะเห็นกันคุ้นตาในชื่อ นโยบายความเป็นส่วนตัว หรือ นโยบายการประมวลผลข้อมูลส่วนบุคคล หรือประกาศความเป็นส่วนตัว
สรุปง่ายๆว่า Privacy Policy จะมุ่งเน้นไปที่นโยบายทางการจัดเก็บ รวบรวม และการใช้ข้อมูลส่วนบุคคลของพนักงานในองค์กร ส่วน Privacy Notice จะเป็นประกาศถึงเจ้าของข้อมูลส่วนบุคคล หรือ Data Subject รวมถึงผู้ที่มีส่วนได้ส่วนเสียในองค์กรว่าจะทำอะไรกับข้อมูลส่วนบุคคลของเขา
เขียน Privacy Policy จะต้องมีองค์ประกอบอะไรบ้าง ?
- รูปแบบการเก็บข้อมูล
- ใครบ้างที่มีส่วนเกี่ยวข้องกับนโยบายนี้บ้าง
- คำแถลงนโยบาย
- คำชี้แจงนโยบายการเก็บรวบรวม ใช้ และเผยแพร่ข้อมูลส่วนบุคคล
- โทษของการไม่ปฎิบัติตามนโยบาย
- ความหมายของข้อมูลส่วนบุคคล
- การจำแนกข้อมูลส่วนบุคคล
- มาตรฐานขององค์กรการป้องกันเหตุต่างๆ
- กำหนด ขอบเขต ระยะเวลา และการทำลายข้อมูล
- ผู้รับผิดชอบในการตอบคำถาม (DPO)
- มีผลบังคับใช้เมื่อไร
ประกาศ Privacy Notice จะต้องมีอะไรบ้าง ?
- แจ้งให้ทราบก่อนหรือขณะที่จะมีการเก็บข้อมูลส่วนบุคคล
- จุดประสงค์ในการประมวลผลข้อมูลส่วนบุคคล
- ฐานทางกฎหมายในการประมวลผล
- แจ้งความจำเป็นที่ต้องให้ข้อมูลส่วนบุคคลเพื่อทำตามกฎหมายหรือสัญญา
- แจ้งว่าประมวลผลข้อมูลส่วนบุคคลอะไรบ้าง
- ระยะเวลาการจัดเก็บข้อมูล
- วิธีการป้องกันความปลอดภัยของข้อมูลส่วนบุคคล
- จะส่งต่อข้อมูลส่วนบุคคลให้กับใครบ้าง
- สิทธิของเจ้าของข้อมูลส่วนบุคคล
- ช่องทางการติดต่อผู้ควบคุมข้อมูลส่วนบุคคล
ดังนั้น หากคุณทำธุรกิจหรือมีการทำกิจกรรมใดๆก็ตาม ที่มีการเก็บรวบรวม ใช้ หรือมีการเปิดเผยข้อมูลส่วนบุคคล ไม่ว่าจะจากจากลูกค้า คู่ค้า พนักงาน หรือแม้แต่ผู้ที่เข้ามาในบริเวณพื้นที่ ก็จำเป็นที่ต้องมีการทำ Privacy Policy และ Privacy Notice เพื่อทำตามกฎหมาย PDPA หากคุณไม่รู้ว่าจะเริ่มต้นยังไง หรือทำแล้วไม่ชัวร์ว่าถูกต้องหรือไม่ PDPA Thailand ช่วยคุณได้ ! เราคือผู้บริการให้คำปรึกษา สอบทาน ฝึกอบรม ทดสอบ เพื่อบริหารความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคลภายใต้ กฎหมาย PDPA แก่องค์กรธุรกิจ รวมถึงมีบริการปรึกษาและจัดทำด้าน Privacy Policy และ Privacy Notice อีกด้วย > ติดต่อเรา คลิก
