Blog > 10 คำศัพท์ที่ควรรู้เกี่ยวกับ PDPA 10 คำศัพท์ที่ควรรู้เกี่ยวกับ PDPA 6 days ago Share มีใครเคยสงสัยกันไหมคะว่าทำไมเวลาที่เราสมัครสมาชิกตามเว็บไซต์จึงต้องอ่านนโยบายความเป็นส่วนตัว (Privacy policy) ที่เป็นข้อความยาว ๆ แถมเข้าใจยาก และยังต้องติ๊กรับทราบทุกครั้งไป ซึ่งวิธีนี้ถือเป็นวิธีการขอความยินยอมเพื่อใช้หรือจัดเก็บข้อมูลของจากผู้ใช้งานตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (Personal Data Protection Act หรือเรียกสั้น ๆ ว่า PDPA) เป็นกฎหมายที่เริ่มมีการบังคับใช้ในบ้านเราแล้ว วันนี้เราจึงจะมาทำความเข้าใจความหมายต่าง ๆ ของคำศัพท์ในนโยบายความเป็นส่วนตัวกัน 1. Consent แปลตรงตัวว่า “ความยินยอม” โดยผู้ควบคุมข้อมูลส่วนบุคคลจะต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลหรือผู้ใช้งานก่อนนำไปเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลซึ่งสามารถทำได้ด้วยวิธีต่อไปนี้ ต้องทำโดยชัดแจ้ง จะทำเป็นเอกสารหรือทำแบบอิเล็กทรอนิกส์ก็ได้ ไม่มีเงื่อนไข และต้องใช้ภาษาเข้าใจง่าย เจ้าของข้อมูลสามารถถอนความยินยอมได้ทุกเมื่อ 2. Privacy Notice คือการแจ้งวัตถุประสงค์และรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลของผู้ใช้งานไปเปิดเผย เราจะเห็นนโยบายความเป็นส่วนตัว (Privacy policy) อยู่ในการแจ้งนี้ด้วยแทบทุกครั้งเลยค่ะ โดยจะพูดถึงหลักเกณฑ์ต่าง ๆ ในการบริหารจัดการข้อมูลส่วนบุคคลที่เราให้ความยินยอม ซึ่งในการแจ้งควรประกอบด้วย ข้อความที่ขอความยินยอมการใช้ข้อมูลส่วนบุคคล วัตถุประสงค์การขอใช้ข้อมูล และระยะเวลาในการจัดเก็บ ชัดเจน ข้อความไม่กำกวม และเข้าใจง่าย ห้ามเผยแพร่ หรือนำข้อมูลไปใช้ก่อนได้รับอนุญาต อาจแจ้งมาตรการรักษาความปลอดภัยของข้อมูลที่ได้รับความยินยอม เพื่อให้เจ้าของข้อมูลเกิดความไว้วางใจ ให้ความยินยอมได้ง่ายมากขึ้น 3. Cookies “คุกกี้” นี่ไม่ใช่คุกกี้เสี่ยงทายนะคะ แต่เป็นไฟล์ข้อมูลที่แสดงประวัติการเข้าชมเว็บไซต์และการดาวน์โหลด ซึ่งประโยชน์ของมันคือเมื่อเราเคยเข้าใช้งานเว็บไซต์หนึ่งแล้ว คุกกี้จะทำให้คอมพิวเตอร์หรืออุปกรณ์ของเราจดจำเว็บไซต์นั้นได้เมื่อกลับไปใช้งานอีกครั้ง ซึ่งการจัดเก็บไฟล์คุกกี้ถือเป็นการจัดเก็บข้อมูลส่วนบุคคลเช่นเดียวกัน ดังนั้น ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งเพื่อขอความยินยอมให้ใช้ข้อมูลส่วนบุคคลจากผู้ใช้งานด้วย 4. Data Subject “เจ้าของข้อมูลส่วนบุคคล” มีสิทธิให้ความยินยอมที่จะให้ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามวัตถุประสงค์ที่ผู้ควบคุมข้อมูลส่วนบุคคลได้แจ้งไว้ รวมถึงร้องขอให้แก้ไข หรือลบข้อมูลได้อีกด้วย แต่ถ้าข้อมูลนั้นรั่วไหล หรือถูกเปิดเผยโดยไม่ได้รับอนุญาต เจ้าของข้อมูลก็มีสิทธิได้รับการเยียวยาความเสียหายที่เกิดขึ้นได้ด้วย 5. Data Protection Officer: DPO “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” ถือว่าเป็นผู้เชี่ยวชาญที่สามารถแนะนำให้องค์กรปฏฺิบัติตามกฎหมาย PDPA ได้อย่างถูกต้อง ซึ่งมีหน้าที่ตามมาตรา 42 (1)-(4) ดังนี้ มีหน้าที่ให้คำแนะนำ ตรวจสอบการดำเนินงาน ให้ความร่วมมือกับองค์กรรัฐที่กำกับดูแล รักษาความลับ 6. Data Controller “ผู้ควบคุมข้อมูลส่วนบุคคล” เป็นผู้ที่มีอำนาจตัดสินใจในการเก็บรวมรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคล ซึ่งมีหน้าที่ดังนี้ มีอำนาจตัดสินใจเกี่ยวกับนโยบายข้อมูลส่วนบุคคลขององค์กร วางแผนนโยบายเก็บรวมรวมข้อมูล หากมีคดีความ หรือโทษ จะต้องรับผิดชอบตามกฎหมาย PDPA 7. Data Processor “ผู้ประมวลผลข้อมูลส่วนบุคคล” เป็นผู้ที่ดำเนินการเกี่ยวกับการเก็บรวมรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งมีหน้าที่ดังนี้ เป็นบุคคลทำตามคำสั่งของ “ผู้ควบคุมข้อมูลส่วนบุคคล” แจ้งวัตถุประสงค์การใช้ข้อมูลส่วนบุคคล จัดทำ Privacy Notice ที่ชัดเจน เข้าใจง่าย เก็บรักษาข้อมูลให้เป็นความลับ และปลอดภัย 8. Personal Data “ข้อมูลส่วนบุคคล” คือ ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม ทั้งข้อมูลในรูปแบบออนไลน์หรือออฟไลน์ เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล เลขบัตรประชาชน เลขที่บัญชีธนาคาร 9. Sensitive personal data “ข้อมูลส่วนบุคคลที่อ่อนไหว” เป็นข้อมูลที่เฉพาะเจาะจงของตัวบุคคล มีความละเอียดอ่อนสูง ถ้าถูกนำไปใช้โดยไม่ได้รับอนุญาตอาจเป็นอันตรายต่อเจ้าของข้อมูลหรือได้รับการปฏิบัติอย่างไม่เป็นธรรม กฎหมาย PDPA จึงห้ามเก็บข้อมูล อาทิ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นในทำนองเดียวกัน แต่ก็มีข้อยกเว้น เช่น เจ้าของข้อมูลยินยอมอย่างชัดแจ้ง มีความจำเป็นต้องใช้ข้อมูลนั้นตามสิทธิหากถูกฟ้องร้องหรือขึ้นศาล เพื่อป้องกันอันตรายต่อชีวิตหรือร่างกายของเจ้าของข้อมูล 10. Legitimate Interest เป็นการใช้ข้อมูลส่วนบุคคลที่เจ้าของข้อมูลคาดหมายได้ว่านำไปใช้ตามวัตถุประสงค์ที่แจ้งแต่แรก ตาม “ฐานประโยชน์อันชอบธรรม” ยกตัวอย่างเหตุการณ์ เช่น การติดกล้องวงจรปิดในห้างสรรพสินค้า แม้ว่าห้างจะไม่ได้ขอความยินยอมให้บันทึกภาพจากลูกค้าโดยตรงก็ตาม แต่ลูกค้าก็สามารถคาดเดาได้ว่าการติดกล้องเช่นนี้มีวัตถุประสงค์เพื่อรักษาความปลอดภัยโดยรวม ห้างจึงสามารถบันทึกภาพลูกค้าได้ตามหลักดังกล่าว คำศัพท์ที่ได้กล่าวไว้ในบทความนี้ เป็นคำศัพท์ที่พบเห็นได้ทั่วไปใน Privacy Policy เราจึงควรทำความเข้าใจนโยบายเบื้องต้นก่อนกดให้ความยินยอม เพื่อรักษาสิทธิการเป็นเจ้าของข้อมูล หรือหากเราเป็นผู้บริการเว็บไซต์ ก็จำเป็นต้องเรียนรู้เพื่อไม่ให้ข้อมูลของลูกค้าถูกละเมิด ซึ่งอาจส่งผลเสียต่อภาพลักษณ์องค์กร รวมถึงมีโทษและต้องรับผิดทางกฎหมายได้ You may also like Tutorials อะไรคือ Cookies consent ทำไมเจ้าของเว็บไซต์ต้องมี 1 week ago Tutorials จัดกิจกรรมแจกของบน Facebook อย่างไรหลัง PDPA บังคับใช้ 5 days ago Tutorials 5 เรื่องที่ต้องรู้เกี่ยวกับ Email Consent ใน PDPA 5 days ago More posts
