DOs & DON’Ts ออกแบบเว็บไซต์อย่างไรให้สอดคล้อง PDPA

DOs & DON’Ts ออกแบบเว็บไซต์อย่างไรให้สอดคล้อง PDPA

การขอความยินยอมที่ชัดเจน โปร่งใสตามหลัก PDPA ที่อ้างอิงจากกฎหมายที่ คล้ายกันอย่าง GDPR ของสหภาพยุโรป ยังถือว่าเป็นการสร้างความสัมพันธ์ที่ดีและได้รับการไว้วางใจจากลูกค้าในระยะยาว ดังนั้นอะไรบ้างที่ควรทำและไม่ควรทำในการออกแบบเว็บไซต์

1. ระบบสมัครใจเลือก

DOs :ผู้ให้บริการจะต้องสร้างตัวเลือกกับผู้ใช้งานในการให้ความยินยอมอย่างสมัครใจเมื่อได้รับแจ้งว่าจะขอข้อมูลส่วนตัวจะใช้หรือจะเก็บข้อมูลอย่างไร เมื่ออ่านรายละเอียดครบถ้วน และยืนยันยอมรับการใช้กฎของบริการนั้นแล้ว ผู้ใช้จะเลือกในช่องของเว็บไซต์เพื่อยินยอมให้ใช้ข้อมูลและยอมรับข้อกำหนดของเว็บไซต์ก่อนสมัครสมาชิก

DON’Ts :สิ่งที่ผู้ให้บริการไม่ควรทำ คือ การตั้งค่าบังคับให้ยินยอม โดยช่องที่ให้ความยินยอมได้ถูกเลือกมาตั้งแต่แรกแล้ว หรืออีกกรณีที่บังคับให้ผู้ใช้เลือกก่อนเป็นลำดับแรก โดยที่ยังไม่ได้แจ้งกฎหรือรายละเอียดก่อน ดังนั้น การจัดวางเว็บไซต์ที่ดีจึงควรนำรายละเอียดวัตถุประสงค์การใช้ข้อมูล และกฎของเว็บไซต์ขึ้นก่อนเพื่อให้ผู้ใช้อ่านและรับทราบ ตามด้วยช่องติ๊กถูกเพื่อยินยอมให้ใช้ข้อมูลควรอยู่ส่วนท้ายสุด

2. แยกส่วนของ “ข้อกำหนดและเงื่อนไขการใช้งาน” ออกจาก “การใช้ข้อมูล”

DOs :ควรแยกหัวข้อและรายละเอียดออกจากกันให้เป็นสัดส่วน เพื่อให้มองเห็นได้ชัดเจนและเข้าใจง่าย รวมทั้งแยกช่อง ติ๊กถูกเพื่อยอมรับตามข้อกำหนดและเงื่อนไขการใช้งาน ออกจากส่วนของการยินยอมให้ใช้ข้อมูล เช่น ข้อมูล ชื่อ ที่อยู่ โลเคชั่น เป็นต้น

DON’Ts : ข้อกำหนดและเงื่อนไขการใช้งาน กับ การให้ความยินยอมในการใช้ข้อมูลส่วนบุคคลในด้านต่าง ๆ มีเนื้อหารายละเอียดที่แตกต่างกัน จึงไม่ควรนำมารวมกัน

3. มีฟังก์ชันให้ผู้ใช้ถอนการใช้งาน

ผู้ใช้มีสิทธิ์ถอนความยินยอมได้ทุกเมื่อ เมื่อผู้ใช้ยินยอมพวกเขาควรได้รับแจ้งว่าจะถอนได้ที่ไหนและอย่างไร ซึ่งมีแนวโน้มว่าบรรดาผู้ใช้จะลืมวิธีการทำหลังจากที่ได้เห็นวิธีในครั้งแรก

DOs :ควรแจ้งรายละเอียดตอนขอความยินยอมไว้ด้วยว่า หากผู้ใช้งานต้องการถอนการใช้งาน นำข้อมูลออก ลบบัญชีสมาชิกหรือดาวน์โหลดข้อมูลของตนเอง จะทำได้ที่ไหน ซึ่งการถอนความยินยอมนี้ จะต้องมีฟังก์ชันการใช้งานที่ง่าย เข้าถึงได้ง่าย ถอนได้โดยไม่มีเงื่อนไข เช่น ไม่เสียค่าใช้จ่ายเมื่อขอลบบัญชีสมาชิก หรือต้องทำแบบทดสอบก่อนถึงจะถอนความยินยอมได้

DON’Ts : ข้อมูลของผู้ใช้สามารถเข้าถึงได้ง่ายตลอดเวลาแต่ไม่มีฟังก์ชั่นให้ถอดถอน

4. การแยกส่วนความยินยอมของข้อมูลต่างประเภท

DOs :อาจให้ผู้ใช้งานเลือกได้ว่าจะให้ความยินยอมการใช้ การเก็บ หรือรวบรวมข้อมูลส่วนบุคคลอะไรบ้าง โดยแยกส่วนกันตามแต่ละวัตถุประสงค์ และมีช่องติ๊กถูกแยกกันตามแต่ละหัวข้อ ซึ่งจะช่วยให้ผู้ใช้งานเข้าใจถึงการจัดเก็บประเภทข้อมูล และวัตถุประสงค์ที่แตกต่างกันได้ง่ายมากขึ้น เช่น แยกช่องและขอความยินยอมในการจัดเก็บที่อยู่ ออกจากการขอความยินยอมให้เว็บไซต์ใช้ตำแหน่งที่ตั้งของผู้ใช้ขณะที่ใช้เว็บไซต์นั้น หรือแยกส่วนที่ขอความยินยอมการจัดเก็บเลขบัตรประชาชน ออกจากการขอความยินยอมระบบเก็บลายนิ้วมือ เป็นต้น

DON’Ts : การรวมเงื่อนไขการยินยอมและข้อจำกัดทั้งหมด รวมถึงข้อมูลอื่น ๆ โดยไม่มีการติ๊กแยกเพื่อยินยอมการใช้ข้อมูลแต่ละส่วน ซึ่งถือว่าผิดเนื่องจากขาดความชัดเจน

5. การใช้ข้อมูลจากเว็บไซต์อื่น

DOs :ถ้าเว็บไซต์ของเราสามารถเข้าระบบด้วยการ log in จากเว็บไซต์ third party ได้ เช่น Facebook Twitter Google Line เป็นต้น ผู้ดูแลระบบไม่ควรบอกเพียงแค่ว่าได้มีการเข้าใช้งานจากเว็บไซต์ third party เฉย ๆ แต่ควรออกแบบโดยเจาะจงชื่อเว็บไซต์ third party ลงไปด้วย โดยอาจใช้วิธีการแยกส่วนแสดงข้อมูลของแต่ละเว็บไซต์ third party เพื่อให้เห็นข้อมูลได้ง่ายและชัดเจนขึ้น อาจเป็นการแสดงผลอีกหน้า ว่าผู้ใช้ได้เข้าระบบจากเว็บไซต์ third party ตัวใดบ้าง ซึ่งผู้ดูแลระบบต้องแจ้งให้ผู้ใช้งานทราบข้อมูล เพราะการเข้าระบบจากเว็บไซต์เหล่านี้จะมีการดึงข้อมูลส่วนบุคคลบางส่วนไปใช้ร่วมกับเว็บไซต์หลักด้วย

DON’Ts : การไม่จำแนกหรือแยกเว็บไซต์ third party ที่ชัดเจน รวมถึงไม่มีตัวเลือกที่ละเอียดว่าจะแบ่งปันข้อมูลนี้กับใคร

แนวทางปฏิบัติอื่น ๆ ที่สำคัญ ในการเว็บไซต์ของ GDPR

กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล (GDPR) เป็นกรอบทางกฎหมายที่กำหนดแนวทางในการรวบรวมและประมวลผลข้อมูลส่วนบุคคลภายในสหภาพยุโรป GDPR ส่งผลกระทบต่อหลายบริษัท โดยเฉพาะบริษัทที่ประมวลผลข้อมูลแบบออนไลน์อย่างเว็บไซต์และแอปพลิเคชัน บริษัทจึงจำเป็นต้องเพิ่มศักยภาพให้กับผู้ใช้ โดยมีแนวทางปฏิบัติอื่น ๆ ดังนี้ ใช้ภาษาที่เข้าใจง่ายและชัดเจน