คำถามที่พบบ่อย(FAQs) เกี่ยวกับ Policy และ PDPA Privacy Policy คืออะไร Privacy Policy/นโยบายความเป็นส่วนตัว/นโยบายคุ้มครองข้อมูลส่วนบุคคล คือ นโยบายที่องค์กรกำหนดแนวปฏิบัติเกี่ยวกับเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เช่น การเก็บ ชื่อ อีเมล เบอร์โทรศัพท์ เพื่อนำไปทำการตลาด เสนอสินค้าหรือบริการ หรือปรับปรุงประสบการณ์การใช้งาน ซึ่งโดยส่วนมากแล้วจะจัดทำออกมาในรูปแบบเอกสารบนหน้าเว็บไซต์เพื่อแจ้งให้ผู้ใช้งานทราบ รายละเอียดใน Privacy Policy อย่างน้อยจะต้องประกอบไปด้วย ข้อมูลส่วนบุคคลที่มีการจัดเก็บมีอะไรบ้าง วิธีการที่จัดเก็บข้อมูลส่วนบุคคลนั้นๆ การเก็บข้อมูลส่วนบุคคลนั้นมีขั้นตอนอย่างไรบ้าง วัตถุประสงค์ในการนำข้อมูลไปประมวลผล รายละเอียดในการเปิดเผยข้อมูลส่วนบุคคล เช่น มีการเปิดเผยข้อมูลส่วนบุคคลให้กับใครบ้าง สิทธิของเจ้าของข้อมูลส่วนบุคคล ข้อมูลการติดต่อผู้ควบคุมข้อมูลส่วนบุคคล และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล/ตัวแทน ไม่มี Privacy Policy แล้วจะเป็นอย่างไร ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) นั้น หากธุรกิจมีการเก็บรวบรวมหรือประมวลผลข้อมูลส่วนบุคคล ธุรกิจนั้นๆต้องจัดทำ Privacy Policy มิเช่นนั้นอาจมีความผิดตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ซึ่งจะได้รับโทษ คือ โทษทางแพ่ง: จ่ายสินไหมไม่เกิน 2 เท่าของสินไหมที่แท้จริง โทษทางอาญา: จำคุกไม่เกิน 1 ปีหรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ โทษทางอาญา: ปรับไม่เกิน 5 ล้านบาท ใครบ้างที่ต้องทำ Privacy Policy ทุกธุรกิจหรือเว็บไซต์ที่ที่มีการเก็บรวมรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้งาน ตัวอย่างธุรกิจที่ต้องมี Privacy Policy ธุรกิจใดก็ตามที่เก็บข้อมูลลูกค้าหรือผู้ใช้งานไม่ว่าจะเป็น ชื่อ อีเมล์ หรือเบอร์โทรศัพท์เพื่อเสนอสินค้า บริการ หรือทำการตลาด เว็บไซต์ที่เก็บข้อมูลการล็อกอินด้วยอีเมลหรือบัญชี Social Network ธุรกิจขายของออนไลน์ที่เก็บข้อมูลการชำระเงิน ทำไมต้องทำ Privacy Policy ตอนนี้ เตรียมพร้อมไว้ก่อนดีกว่า การจัดทำ Privacy Policy เป็นหนึ่งในหลายรายการที่ต้องทำเพื่อปฏิบัติตาม PDPA อ่าน 10 ขั้นตอนเตรียมความพร้อมรับ PDPA ผู้ประกอบการควรเตรียมพร้อมก่อนดำเนินการในขั้นถัดไป ก่อนการบังคับใช้กฎหมาย PDPA แบบเต็มรูปแบบในวันที่ 1 มิถุนายน 2565 ถ้าบริษัทมีสาขาในต่างประเทศ ต้องเลือก Policy แบบไหน การเลือกจัดทำ Privacy Policy ที่ครอบคลุม PDPA, GDPR หรือ CCPA นั้นขึ้นอยู่กับว่าคุณขายสินค้าหรือบริการให้กับกลุ่มลูกค้าในโซนใด แต่ถ้าหากบริษัทของคุณจดทะเบียนในประเทศไทยคุณต้องทำตาม PDPA หากบริษัทของคุณมีการขายสินค้าหรือบริการให้กับชาวยุโรป คุณต้องจัดทำ Policy ที่ครอบคลุมกฎหมาย GDPR ของสหภาพยุโรป หากบริษัทของคุณมีการขายสินค้าหรือบริการให้กับชาวแคลิฟอร์เนีย สหรัฐอเมริกา คุณต้องจัดทำ Policy ที่ครอบคลุมกฎหมาย CCPA หากบริษัทคุณขายสินค้าหรือบริการให้กับทั้งชาวไทย ยุโรป และอเมริกา คุณต้องจัดทำ Policy ที่ครอบคลุมทั้ง PDPA GDPR และ CCPA หากบริษัทคุณขายสินค้าหรือบริการให้กับทั้งชาวไทย ยุโรป และอเมริกา คุณต้องจัดทำ Policy ที่ครอบคลุมทั้ง PDPA GDPR และ CCPA Privacy Policy คุ้มครองข้อมูลของบริษัทหรือบุคคลธรรมดา คุ้มครองข้อมูลส่วนบุคคลของลูกค้าหรือผู้ใช้งานที่เป็นเจ้าของข้อมูลส่วนบุคคลนั้นๆ ซึ่งอาจเป็นบุคคลธรรมดาหรือนิติบุคคลก็ได้ Policy แต่ละแบบต่างกันอย่างไรและเหมาะกับใคร Privacy Policy (นโยบายความเป็นส่วนตัว) คือ คำชี้แจงเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้งาน เหมาะกับทุกธุรกิจที่มีการประมวลผลข้อมูลส่วนบุคคลของลูกค้าหรือผู้ใช้งาน เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ เป็นต้น HR Privacy Policy (นโยบายความเป็นส่วนตัวสำหรับพนักงาน) คือ คำชี้แจงเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของพนักงาน เหมาะกับทุกธุรกิจที่มีการจ้างงานและเก็บรวบรวมข้อมูลพนักงานภายในองค์กร เช่น ชื่อ ที่อยู่ บัตรประชาชน ข้อมูลสุภาพ ประวัติอาชญากรรม เป็นต้น Cookies Policy (นโยบายการใช้คุกกี้) คือ คำชี้แจงเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้งานบนเว็บไซต์ เหมาะกับเว็บไซต์ที่ใช้คุกกี้เพื่อเก็บข้อมูลทางเทคนิค เช่น ข้อมูลการล็อกอิน หรือ พฤติกรรมการใช้งานเว็บไซต์ เป็นต้น เกี่ยวกับกฎหมาย PDPA การจัดเก็บข้อมูลส่วนบุคคลจำเป็นต้องมีการขอคำยินยอม (Consent) ทุกครั้งหรือไม่ ไม่จำเป็นหากบริษัทสามารถอ้างอิงถึงฐานกฎหมายอันชอบธรรมในการเก็บรวบรวมและประมวลผลข้อมูลส่วนบุคคลดังกล่าวได้ตามมาตรา 24 และ 26 ของ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 แต่อย่างไรก็ตาม บริษัทจำเป็นต้องมีการแจ้งให้เจ้าของข้อมูลรับทราบถึงการเก็บข้อมูลและวัตถุประสงค์ในการเก็บรวบรวมให้เจ้าของข้อมูลรับทราบ แบบฟอร์มเอกสารที่ควรจัดเตรียมเพื่อการปฏิบัติงานที่สอดคล้องกับ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีอะไรบ้าง นโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) นโยบายความเป็นส่วนตัว (Privacy Notice) หนังสือขอคำยินยอม (Consent) แบบฟอร์มการใช้สิทธิ์ของเจ้าของข้อมูล (Data Subject Rights) บันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activity) ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยก่อนการบังคับใช้กฎหมายจำเป็นต้องมีการขอคำยินยอมย้อนหลังหรือไม่ ไม่จำเป็น โดยอ้างอิงจากมาตรา 95 ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดให้ผู้ควบคุมสามารถใช้ข้อมูลส่วนบุคคลที่เก็บรวบรวมไว้แล้วต่อไปได้ตามวัตถุประสงค์เดิมที่มีการใช้งานก่อนกฎหมายบังคับใช้ แต่ต้องมีช่องทางในการแจ้งให้เจ้าของข้อมูลรับทราบถึงวัตถุประสงค์และข้อมูลส่วนบุคคลที่มีการจัดเก็บและมีช่องทางในการให้เจ้าของข้อมูลสามารถถอนคำยินยอมได้ บริษัทมีการส่งข้อมูลส่วนบุคคลไปประมวลผลในระบบ Cloud จำเป็นต้องมีการจัดทำ Data Processing Agreement กับผู้ให้บริการหรือไม่ โดยปกติผู้ให้บริการที่เป็นระบบ Cloud มักจะมีการประกาศ Data Processing Addendum ซึ่งเป็นเงื่อนไขในการประมวลผลข้อมูลส่วนบุคคลของผู้ให้บริการ โดยบริษัทสามารถตรวจสอบรายละเอียดการประมวลผลข้อมูลส่วนบุคคลและมาตรฐานความปลอดภัยของผู้ให้บริการได้จากเอกสารดังกล่าวแทนการจัดทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล ข้อมูลของนิติบุคคลถือเป็นข้อมูลส่วนบุคคลหรือไม่ ข้อมูลของนิติบุคคล เช่น เลขทะเบียนนิติบุคคลนั้นไม่ถือว่าเป็นข้อมูลส่วนบุคคล เนื่องจาก พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ให้ความคุ้มครองแก่ข้อมูลส่วนบุคคลของบุคคลธรรมดาที่ยังไม่ถึงแก่กรรมเท่านั้น บริษัทจำเป็นต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) หรือไม่ ไม่จำเป็นหากไม่เข้าเงื่อนไขตามมาตรา 41 ของ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เนื่องจาก มาตรา 41 กำหนดให้ผู้ควบคุมและผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีเจ้าหน้าที่ DPO ในกรณีดังต่อไปนี้ เป็นหน่วยงานของรัฐ ดำเนินธุรกิจที่มีกิจกรรมการประมวลผลข้อมูลส่วนบุคคลจำนวนมากอย่างสม่ำเสมอ ดำเนินธุรกิจที่มีกิจกรรมหลักในการประมวลผลข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหว สามารถจ้าง DPO Outsource ได้หรือไม่ ได้ เนื่องจาก พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 41 ได้ระบุว่าเจ้าหน้าที่ DPO สามารถเป็นผู้ให้บริการรับจ้างตามสัญญากับผู้ควบคุมหรือผู้ประมวลผลได้ ข่าวสาร ติดตามบทความ ความรู้เกี่ยวกับ PDPA เพิ่มเติม ที่นี่... 3 สิ่งที่ควรรู้ ถ่ายรูปบัตรประชาชนให้คนอื่นอย่างไรให้ปลอดภัยจากมิจฉาชีพ หากมีผู้ไม่ประสงค์ดีนำรูปของเราไปใช้โดยไม่ได้รับอนุญาต จะต้องทำอย่างไร ? ไขข้อสงสัยส่งบัตรประชาชนทางไลน์อันตรายหรือไม่ ? ทำอย่างไรจึงจะปลอดภัยจากมิจฉาชีพ อ่านข่าวสารอื่นๆ