ในมุมมองของเจ้าของข้อมูลส่วนบุคคล สิ่งแรก ๆ ที่จะทำให้เรารู้สึกปลอดภัยแล้วไว้ใจได้ว่าข้อมูลของเราจะได้รับการคุ้มครองอย่างแน่นอนเมื่อคลิกเข้าสู่เว็บไซต์ นั่นก็คือการมีกล่องข้อความเด้งขึ้นมาให้เรากดยอมรับการใช้งานคุกกี้ตลอดจนการคลิกอ่านต่อประกาศนโยบความเป็นส่วนตัว (Privacy Notice) บนหน้าเว็บ หากเว็บไซต์ไหนไม่มีทั้ง 2 อย่างนี้ เราอาจอนุมานไปก่อนได้เลยว่าเว็บไซต์และองค์กรที่เป็นเจ้าของเว็บไซต์นั้นไม่มีมาตรการคุ้มครองข้อมุลส่วนบุคคลที่เหมาะสม และรีบกดออกจากเว็บไซต์นั้นไปโดยไม่ย้อนกลับมาอีกเลย จะเห็นได้ว่า การไม่มีประกาศความเป็นส่วนตัวอาจทำให้องค์กรสูญเสีย Potential Customer หรือผู้มีแนวโน้มเป็นลูกค้าของคุณได้อย่างง่ายดาย
กฎหมายคุ้มครองข้อมูลส่วนบุคคล ไม่ว่าจะเป็น GDPR ของยุโรป หรือ PDPA ของไทย ต่างมีหลักการคุ้มครองข้อมูลส่วนบุคคลที่คล้ายคลึงกัน โดยหลักความโปร่งใสและการแจ้งวัตถุประสงค์ของการประมวลผลข้อมูลแก่เจ้าของข้อมูลส่วนบุคคล เป็นหลักการพื้นฐานที่ “ประกาศความเป็นส่วนตัว” สามารถตอบโจทย์ได้
หากองค์กรใดมีการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยไม่ได้แจ้งถึงวัตถุประสงค์ ฐานทางกฎหมาย และมาตรการคุ้มครองข้อมูลส่วนบุคคลให้แก่เจ้าของข้อมุลส่วนบุคคลได้รับทราบก่อนหรือระหว่างการประมวลผล องค์กรอาจมีความผิดตามกฎหมายหากเกิดการฟ้องร้อง โดย PDPA มีบทลงโทษทางปกครอง ปรับสูงสุดไม่เกิน 5 ล้านบาท โทษทางอาญา ระวางโทษจำคุกไม่เกิน 1 ปี หรือ/และปรับไม่เกิน 1 ล้านบาท และโทษทางแพ่ง ต้องชดเชยค่าสินไหมทดแทนแก่เจ้าของข้อมูลที่ได้รับความเสียหายจากการละเมิด 1-2 เท่าของความเสียหาย
ประกาศความเป็นส่วนตัว คืออะไร?
ประกาศความเป็นส่วนตัว หรือ Privacy Notice คือ ประกาศจากองค์กรต่อสาธารณชน ที่อธิบายเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลขององค์กรและระบุว่าการดำเนินการดังกล่าวสอดคล้องกับหลักการคุ้มครองข้อมุลส่วนบุคคลอย่างไร โดยหน้าที่ขององค์กร (ซึ่งมีฐานะเป็นผู้ควบคุมข้อมูล) ตามกฎหมายคุ้มครองข้อมุลส่วนบุคคล เมื่อมีการเริ่มต้นเก็บรวบรวมข้อมูล คุณจะต้องประกาศความเป็นส่วนตัวให้เจ้าของข้อมูลส่วนบุคคลได้รับทราบก่อนหรือขณะการเก็บรวบรวมข้อมูล (PDPA มาตรา 23)
โดยลักษณะที่เหมาะสมของประกาศความเป็นส่วนตัว จะต้องกระชับรัดกุม โปร่งใส เป็นภาษาที่เข้าใจได้ง่าย วางไว้บนเว็บไซต์ให้สามารถเข้าถึงได้ง่าย และนำส่งให้เจ้าของข้อมูลมองเห็นอย่างทันท่วงทีเมื่อเข้าสู่เว็บไซต์หรือช่องทางสื่ออื่น ๆ ขององค์กร (ทันทีที่เริ่มเก็บรวบรวมข้อมูลส่วนบุคคล) และที่สำคัญจะต้องไม่มีค่าใช้จ่ายในการเข้าถึงประกาศความเป็นส่วนตัวดังกล่าวอีกด้วย
Privacy Notice ประกอบด้วยอะไรบ้าง?
ข้อมูลที่องค์กรควรจะต้องระบุเอาไว้ในประกาศความเป็นส่วนตัวควรมีตามลิสต์รายการดังต่อไปนี้
- ชื่อและรายละเอียดติดต่อองค์กร ตัวแทนองค์กร หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
- วัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูล และฐานทางกฎหมายในการประมวลผล
- ประโยชน์อันชอบธรรมขององค์กร (หรือผู้ให้บริการ/องค์กรบุคคลที่สาม ตามที่สามารถระบุได้)
- รายชื่อผู้รับหรือหน่วยงานที่รับข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคล
- รายละเอียดเกี่ยวกับการโอนย้ายข้อมูลไปยังประเทศอื่น และวิธีการปกป้องคุ้มครองข้อมูลระหว่างการโอนย้าย
- ระยะเวลาการเก็บรักษาและเกณฑ์ในการประเมินระยะเวลาการเก็บรักษาข้อมูล
- สิทธิของเจ้าของข้อมูลส่วนบุคคล
- สิทธิในการถอนความยินยอมเมื่อต้องการ
- สิทธิในการส่งคำร้องไปยังหน่วยงานกำกับดูแล (สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล)
- และข้อมูลอื่น ๆ เกี่ยวข้องกับการคุ้มครองข้อมุลส่วนบุคคลขององค์กรที่ต้องการแจ้งให้เจ้าของข้อมูลรับทราบ
Template ประกาศความเป็นส่วนตัว
แบบฟอร์มด้านล่างนี้ คือตัวอย่างของประกาศความเป็นส่วนตัวที่ใช้เมื่อองค์กรเก็บข้อมูลโดยตรงจากเจ้าของข้อมูลส่วนบุคคลผ่านเว็บไซต์หรือช่องทางอื่น ๆ โดย Template จะวางหัวข้อและข้อมูลเบื้องต้นที่จำเป็นสำหรับประกาศความเป็นส่วนตัวเอาไว้ในรูปแบบที่สะอาดตา เข้าใจง่าย โดยแต่ละองค์กรจะต้องนำไปปรับแต่งเพิ่มเติมให้เข้ากับบริบทความเป็นจริงของธุรกิจอีกครั้งหนึ่ง … กรอกข้อมูลเพื่อดาวน์โหลด Template ประกาศความเป็นส่วนตัว
