PDPA คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีผลบังคับใช้เมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมา เพื่อกำหนดบทบาทสำหรับการคุ้มครองและมอบสิทธิ ในข้อมูลส่วนบุคคลให้เป็นเรื่องเฉพาะตัวที่ต้องมีการขออนุญาตจากเจ้าของข้อมูลก่อนทุกครั้ง ดังนั้นไม่ว่าหน่วยงาน หรือองค์กรใด ๆ หากต้องการนำข้อมูลส่วนตัวของบุคคลต่าง ๆ ไปรวบรวม เผยแพร่ หรือถ่ายโอนให้แก่บุคคลอื่น PDPA จะมีผลช่วยให้การกระทำเหล่านั้นต้องผ่านการยินยอมจากเจ้าของข้อมูลก่อนเสมอ และเจ้าของข้อมูลมีสิทธิ ที่จะเลือกปฏิเสธหรือยินยอมในการให้ข้อมูลได้อย่างอิสระ
นอกจากกฎหมายข้อนี้จะเป็นเรื่องส่วนบุคคลแล้ว ยังเกี่ยวข้องกับองค์กรต่าง ๆ ที่จะต้องดำเนินการปฏิบัติตามข้อกำหนดของกฎหมาย ซึ่งหากองค์กรใดฝ่าฝืนหรือไม่กระทำตามข้อกำหนดจะมีบทลงโทษตามที่กฎหมายได้กำหนด โดยข้อปฏิบัติที่องค์กรควรดำเนินการให้เรียบร้อยนั่นคือการทำ Privacy Notice ซึ่งหากในขณะนี้องค์กรใดยังไม่ได้ทำ ควรเร่งลงมือและทำความเข้าใจเกี่ยวกับ Privacy Notice ไปพร้อม ๆ กับบทความนี้
ร่วมทำความเข้าใจ Privacy Notice ข้อกำหนดสำคัญของ PDPA ที่องค์กรต้องปฏิบัติตาม
Privacy Notice แปลความหมายได้ตรงตัวว่า “การประกาศความเป็นส่วนตัว” ส่วนในทางปฏิบัติตามข้อกำหนดของ PDPA จะหมายความว่า “การแจ้ง” รายละเอียดทั้งหมดที่องค์กรจะจัดการกับข้อมูลส่วนบุคคล ทั้งของบุคคลภายนอกและพนักงานภายในองค์กร หรือกล่าวแบบง่าย ๆ ได้ว่า เป็นการแจ้งให้เจ้าของข้อมูลทุกคนได้รับทราบล่วงหน้าว่าองค์กรจะนำข้อมูลส่วนบุคคลไปเก็บรวบรวม ไปเผยแพร่ต่อ หรือนำไปถ่ายโอนให้แก่บุคคลอื่น
ซึ่งเนื้อหาใน Privacy Notice นั้นจะต้องชี้แจงรายละเอียดให้ชัดเจน ไม่เพียงเฉพาะแจ้งวัตถุประสงค์ว่านำข้อมูลส่วนบุคคลไปทำอะไรเท่านั้น แต่จะต้องแจ้งให้เจ้าของข้อมูลได้ทราบด้วยว่า องค์กรจะเก็บข้อมูลเอาไว้นานเพียงใด มีวิธีการรักษาความปลอดภัยของข้อมูลอย่างไร และกำหนดจะลบข้อมูลเมื่อไหร่ ซึ่งการกระทำทั้งหมดนี้จะต้องได้รับการยินยอมจากเจ้าของข้อมูลก่อนเท่านั้น จึงจะสามารถจัดการกับข้อมูลนั้น ๆ ได้ และหากองค์กรใดยังไม่ทราบว่าควรจะระบุเนื้อหาในการประกาศ Privacy Notice อย่างไร เรามีสรุปเนื้อหาสำคัญแบบถูกต้องตามกฎหมายมาตรา 23 มาฝากดังต่อไปนี้
- เพื่อให้เป็นไปตามข้อกำหนดของ PDPA องค์กรจะต้องแจ้งเจ้าของข้อมูลให้ทราบก่อนว่าจะมีการเก็บข้อมูลส่วนบุคคล
- ในเนื้อหาของ Privacy Notice ควรระบุรายละเอียดของบริษัทหรือหน่วยงานให้ชัดเจน คือควรจะมีชื่อเต็มของบริษัท พร้อมที่อยู่สำนักงานใหญ่และช่องทางติดต่อ เพื่อประกาศให้เจ้าของข้อมูลได้มั่นใจ
- องค์กรจะต้องแจ้งวัตถุประสงค์ว่าต้องการเก็บข้อมูลส่วนใด เช่น เลขที่บัตรประชาชน ชื่อ และที่อยู่ เป็นต้น และต้องระบุให้ชัดเจนว่าต้องการนำข้อมูลดังกล่าวไปใช้ในการกระทำใด เช่น ต้องการรวบรวมข้อมูลเพื่อจัดทำของขวัญมอบให้แก่ลูกค้าแทนคำขอบคุณ หรือต้องส่งข้อมูลของลูกค้าไปให้พนักงานส่งของ เป็นต้น
- องค์กรควรระบุชื่อจริงของผู้ควบคุมข้อมูลลงใน Privacy Notice พร้อมช่องทางติดต่อ เพื่อให้เจ้าของข้อมูลได้ทราบว่าควรจะร้องขอสิทธิกับใคร
- เจ้าของข้อมูลจะต้องได้ทราบถึงระยะเวลาในการเก็บรักษาข้อมูลส่วนตัวว่าใช้เวลานานขนาดไหน
- องค์กรจะต้องแจ้งให้เจ้าของข้อมูลได้ทราบว่า ได้มีการถ่ายโอนข้อมูล หรือส่งต่อข้อมูลไปสู่บุคคลอื่นกี่คน และเป็นใครบ้าง
- องค์กรจะต้องแจ้งเกี่ยวกับมาตรการรักษารักษาปลอดภัย ว่าใช้วิธีการใดในการเก็บรักษาข้อมูลส่วนบุคคล
- องค์กรจะต้องแจ้งสิทธิ ในการเข้าถึงข้อมูลให้เจ้าของข้อมูลได้ทราบว่า ตัวเองนั้นมีสิทธิ ในการลบ หรือเปลี่ยนแปลงข้อมูล ด้วยการติดต่อผ่านทางช่องทางใดได้บ้าง
และดังที่กล่าวมาทั้งหมดนี้รวมเรียกว่า Privacy Notice ที่ถูกต้องตามข้อกำหนดของ PDPA ทุกประการ ซึ่งองค์กรสามารถนำข้อมูลไปประยุกต์ใช้ให้เหมาะสมกับแบบฟอร์มขององค์กรได้
เมื่อสร้าง Privacy Notice แล้ว ควรจะ “แจ้ง” เจ้าของข้อมูลอย่างไรให้สอดคล้องกับ PDPA
องค์กรสามารถแจ้ง Privacy Notice ให้แก่เจ้าของข้อมูลได้ทราบตามลักษณะการประกอบธุรกิจขององค์กร โดยสิ่งสำคัญในการแจ้ง Privacy Notice ให้ถูกต้องนั่นคือ ประกาศความเป็นส่วนตัวจะต้องเข้าถึงบุคคลทั้งหมดที่มีความเกี่ยวข้องกับองค์กร จึงจะเป็นการปฏิบัติตามข้อกำหนดของ PDPA อย่างถูกต้อง
โดยการแจ้ง Privacy Notice นั้นองค์กรสามารถใช้วิธีการประกาศผ่านหน้าเว็บไซต์ขององค์กร, ส่งอีเมลหรือติดประกาศให้พนักงานภายในองค์กรได้รับทราบ, จัดทำเอกสาร Privacy Notice คู่ไปกับเอกสารเซ็นสัญญางาน หรือประกาศผ่านแอปพลิเคชัน เป็นต้น
ซึ่งโดยส่วนใหญ่หลายองค์กรนิยมประกาศ Privacy Notice ผ่านหน้าเว็บไซต์ขององค์กรมากกว่า เนื่องจากเว็บไซต์นั้นจะมีการเก็บข้อมูลส่วนตัวของผู้ที่เข้ามาเยี่ยมชมเว็บด้วย การประกาศผ่านหน้าเว็บไซต์จึงสามารถเข้าถึงเจ้าของข้อมูลได้ในเวลาอันรวดเร็ว
Privacy Notice ไม่ได้เป็นเพียงข้อกำหนดของ PDPA แต่ยังช่วยเพิ่มยอดขายให้ธุรกิจได้ด้วย
หลายองค์กรอาจจะเริ่มมองว่า Privacy Notice ที่เป็นไปตามกฏของ PDPA นั้นมีแต่ความเคร่งครัดที่จะให้องค์กรปฏิบัติตามข้อกำหนด แต่รู้หรือไม่ว่าหากองค์กรเริ่มต้นทำ Privacy Notice แล้ว จะมีข้อดีที่ช่วยให้ยอดขายขององค์กรเพิ่มขึ้น ธุรกิจมีแนวโน้มที่จะพัฒนาไปสู่จุดที่สูงขึ้นได้
เริ่มต้นจาก Privacy Notice จะช่วยทำให้แบรนด์ สินค้า หรือบริการขององค์กรมีความน่าไว้ใจ และน่าเชื่อถือมากขึ้น เพราะเจ้าของข้อมูลทุกคนจะมั่นใจในการให้ข้อมูลกับองค์กร และเมื่อเจ้าของข้อมูลให้ข้อมูลกับองค์กรเยอะขึ้น ยอดขายย่อมดีขึ้น และมีจำนวนลูกค้าเพิ่มขึ้นนั่นเอง
ข้อดีต่อมาสำหรับการทำ Privacy Notice นั่นคือช่วยให้องค์กรไม่ต้องพบกับบทลงโทษที่เป็นไปตามกฏของ PDPA ซึ่งหากองค์กรไม่ปฏิบัติตามกฏด้วยการแจ้ง Privacy Notice ให้เจ้าของข้อมูลได้ทราบ และยังนำข้อมูลส่วนบุคคลของผู้อื่นไปใช้งาน จะต้องได้รับโทษทั้งทางแพ่ง ทางอาญา และทางปกครอง โดยบทลงโทษสูงสุดที่ได้กำหนดไว้มีทั้งโทษจำคุก และโทษปรับสูงสุดอยู่ที่ 5 ล้านบาท
Privacy Notice หรือการประกาศความเป็นส่วนตัวนั้นมีความสำคัญเป็นอย่างมากทั้งต่อตัวเจ้าของข้อมูล และต่อองค์กร โดยองค์กรควรเร่งตรวจสอบธุรกิจของตัวเองว่ามีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคลอันเข้าข่ายกฎหมาย PDPA ในด้านใดบ้าง และควรเร่งจัดทำ Privacy Notice เพื่อประกาศให้เจ้าของข้อมูลได้ทราบล่วงหน้า เป็นการสร้างความน่าเชื่อถือทั้งต่อสินค้าและบริการขององค์กร อีกทั้งยังช่วยให้องค์กรไม่ต้องเสียค่าปรับจำนวนมากจากการกระทำผิดกฎหมาย