Q1. การที่หน่วยงานขอข้อมูล Account สื่อโซเชี่ยล ของข้าราชการเพื่อตรวจสอบข้อมูลส่วนตัว ซึ่งบางข้อมูลเป็นข้อมูลอ่อนไหวจะสามารถกระทำได้หรือไม่ หากสามารถทำได้ หน่วยงานต้องปฏิบัติเช่นไร ?

A1. การเก็บข้อมูลส่วนบุคคลจะกระทำได้เมื่อผู้ควบคุมข้อมูลส่วนบุคคลได้แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือขณะเก็บข้อมูล อีกทั้งการเก็บข้อมูลส่วนบุคคลต้องเป็นไปตามหลักการพื้นฐาน 7 ประการ ดังนี้

1. Lawfulness, Fairness and Transparency – ชอบด้วยกฎหมาย มีความเป็นธรรม โปร่งใส
2. Purpose Limitation – เก็บเฉพาะถามวัตถุประสงค์ที่แจ้ง
3. Data Minimization – เก็บรวบรวมเท่าที่จำเป็นและเกี่ยวข้องตามวัตถุประสงค์
4. Accuracy – ถูกต้อง สมบูรณ์ เป็นปัจจุบัน
5. Storage Limitation – ไม่เก็บเกินความจำเป็นตามระยะเวลาที่เหมาะสม
6. Integrity and Confidentiality – เก็บรักษาเป็นความลับ กำหนดสิทธิการเข้าถึงข้อมูล
7. Accountability – ความรับผิดชอบ และดำเนินการสอดคล้องกับฐานทางกฎหมาย

นอกจากนี้แล้วการเก็บข้อมูลส่วนบุคคลจะต้องมีฐานทางกฎหมายมารับการดำเนินงานดังกล่าวด้วย กล่าวคือ การเก็บข้อมูลดังกล่าวขององค์กรสามารถดำเนินการตามฐานทางกฎหมายหรือไม่ หรือมีกฎหมายให้อำนาจในการดำเนินการหรือไม่ หากไม่มีองค์กรจำเป็นที่จะต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลในการเก็บข้อมูลดังกล่าว และในการเก็บข้อมูลต้องพิจารณาว่าข้อมูลนั้นจำเป็นและเหมาะสมมากน้อยเพียงใดกับวัตถุประสงค์ในการนำไปประมวลผล

Q2. กรณีแบบฟอร์มให้เซ็นผ่านประตูเพื่อการติดต่อของบุคคลภายนอก เราต้องทำหนังสือยินยอมเก็บข้อมูลด้วยไหม เพราะมีการลงชื่อ เบอร์โทร อื่นๆ ด้วย ?

A2. การเซ็นต์ชื่อผ่านประตูเพื่อการติดต่อของบุคคลภายนอก สามารถเก็บข้อมูลส่วนบุคคลดังกล่าวได้โดยไม่ต้องขอความยินยอม แต่หน่วยงานสามารถทำได้ตามมาตรา 24(5) แต่เก็บข้อมูลดังกล่าวจะต้องเก็บเท่าที่จำเป็นภายใต้วัตถุประสงค์โดยชอบด้วยกฎหมาย

Q3. ถ้าเว็บไซต์มีแต่คุกกี้พื้นฐานที่จำเป็น ยังไม่ได้ติดพวกคุ้กกี้ทางการตลาดต่างๆ จำเป็นต้องทำ popup cookies consent กับ cookies policy ไหม ?

A3. Popup Cookies – Consent อาจไม่จำเป็นต้องทำหากมีการเก็บเพียงคุกกี้เพื่อความจำเป็น 

Cookie Policy ถ้าปรากฏว่ามีการเก็บข้อมูลส่วนบุคคลโดยการใช้คุกกี้ แม้จะเป็นเพียงประเภทเดียวก็ต้องมรการแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบตามมาตรา 23 แต่จะจัดทำเป็น cookie policy หรือ ทำให้ปรากฏใน privacy notice ฉบับอื่นก็ได้

Q4. กรณีมีแอพพลิเคชั่น โครงการ ที่จัดจ้างจบไปแล้ว แต่ยังคงใช้งานอยู่ และมีผู้ดาวโหลดใช้งานอยู่เลื่อนๆ  เราสามารถก๊อบปี้ การขอconsent form PDPA ของแอฟอื่น ที่มีลักษณะใกล้เคียงกันได้ไหม?

A4. การจัดทำ concent form ต้องเป็นไปตามมาตรา 19 กรณีที่เป็นการทำแอพพลิเคชั่นโครงการที่ยังคงใช้งานอยู่ในปัจจุบันจะต้องมีการขอความยินยอมสำหรับผู้ใช้งานใหม่ และสำหรับวัตถุประสงค์ที่ไม่สามารถเก็บบนฐานตามมาตรา 24 ได้เท่านั้้น การขอความยินยอมก็ต้องเป็นไปตามวัตถุประสงค์ของโครงการเช่นกัน ดังนั้นการก๊อบปี้การขอ concent form PDPA จากแอพพลิเคชั่นอื่นนั้น ผู้รับผิดชอบจะต้องนำมาปรับปรุงให้สอดคล้องและเป็นไปตามวัตถุประสงค์ของโครงการดังกล่าวด้วย

Q5.  เรื่องบริษัทเปิดดูกล้องวงจรปิดเพื่อดูพฤติกรรมและคำพูดของลูกจ้างคนหนึ่ง ต่อมาลูกจ้างคนนี้ถูกเลิกจ้าง อยากทราบว่าเป็นการละเมิดสิทธิลูกจ้างหรือไม่ บริษัทกระทำโดยชอบหรือไม่ตาม pdpa ?

A5.  โดยหลักทั่วไปการติดกล้องวงจรปิดของทางบริษัทจะต้องพิจารณาระหว่าง ประโยชน์ของบริษัท และ ความเป็นส่วนตัวของลูกจ้าง ว่าได้สัดส่วนหรือไม่

• การติดตั้งกล้องวงจรปิด มุมกล้องโฟกัสแค่จุดเดียวหรือหมุนเพื่อตรวจสอบความเรียบร้อยและรักษาทรัพย์สินของบริษัทหรือไม่
• ถ้าพฤติกรรมของลูกจ้างในอดีตมีเหตุให้เชื่อถือได้ว่า เคยมีประวัติลักทรัพย์หรือเหตุควรเชื่ออย่างอื่นที่ทำให้เกิดความเสียหายต่อบริษัท กรณีเช่นนี้เป็นเหตุที่บริษัทอาจเปิดเพื่อตรวจดูพฤติกรรมของพนักงานได้
• หากเป็นกรณีที่ลูกจ้างไม่มีเหตุข้างต้น แต่เป็นการกระด้วยเหตุส่วนตัวของบริษัท การเปิดกล้องวงจรปิดเพื่อตรวจดูพฤติกรรม อาจเข้าค่ายละเมิดได้
• ทั้งนี้อาจขึ้นอยู่กับอุตสาหกรรมของบริษัทว่า อยู่ในอตุสาหกรรมรูปแบบใด หากเป็นรูปแบบของหลักทรัพย์ การติดตั้งกล้องและตรวจสอบเป็นสิ่งที่บริษัทสามารถทำได้
• ทั้งนี้การที่จะพิสูจว่าลูกจ้างถูกเลิกจ้างด้วยเหตุดังกล่าวข้างต้นหรือไม่นั้นเป็นเรื่องที่ลูกจ้างจะต้องพิสูจย์ด้วยตนเอง