10 คำศัพท์ที่ควรรู้เกี่ยวกับ PDPA

   

มีใครเคยสงสัยกันไหมคะว่าทำไมเวลาที่เราสมัครสมาชิกตามเว็บไซต์จึงต้องอ่านนโยบายความเป็นส่วนตัว (Privacy policy) ที่เป็นข้อความยาว ๆ แถมเข้าใจยาก และยังต้องติ๊กรับทราบทุกครั้งไป ซึ่งวิธีนี้ถือเป็นวิธีการขอความยินยอมเพื่อใช้หรือจัดเก็บข้อมูลของจากผู้ใช้งานตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (Personal Data Protection Act หรือเรียกสั้น ๆ ว่า PDPA) เป็นกฎหมายที่เริ่มมีการบังคับใช้ในบ้านเราแล้ว วันนี้เราจึงจะมาทำความเข้าใจความหมายต่าง ๆ ของคำศัพท์ในนโยบายความเป็นส่วนตัวกัน

1. Consent

แปลตรงตัวว่า “ความยินยอม” โดยผู้ควบคุมข้อมูลส่วนบุคคลจะต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลหรือผู้ใช้งานก่อนนำไปเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลซึ่งสามารถทำได้ด้วยวิธีต่อไปนี้

• ต้องทำโดยชัดแจ้ง จะทำเป็นเอกสารหรือทำแบบอิเล็กทรอนิกส์ก็ได้
• ไม่มีเงื่อนไข และต้องใช้ภาษาเข้าใจง่าย
• เจ้าของข้อมูลสามารถถอนความยินยอมได้ทุกเมื่อ

2. Privacy Notice

คือการแจ้งวัตถุประสงค์และรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลของผู้ใช้งานไปเปิดเผย เราจะเห็นนโยบายความเป็นส่วนตัว (Privacy policy) อยู่ในการแจ้งนี้ด้วยแทบทุกครั้งเลยค่ะ โดยจะพูดถึงหลักเกณฑ์ต่าง ๆ ในการบริหารจัดการข้อมูลส่วนบุคคลที่เราให้ความยินยอม ซึ่งในการแจ้งควรประกอบด้วย

• ข้อความที่ขอความยินยอมการใช้ข้อมูลส่วนบุคคล
• วัตถุประสงค์การขอใช้ข้อมูล และระยะเวลาในการจัดเก็บ
• ชัดเจน ข้อความไม่กำกวม และเข้าใจง่าย
• ห้ามเผยแพร่ หรือนำข้อมูลไปใช้ก่อนได้รับอนุญาต
• อาจแจ้งมาตรการรักษาความปลอดภัยของข้อมูลที่ได้รับความยินยอม เพื่อให้เจ้าของข้อมูลเกิดความไว้วางใจ ให้ความยินยอมได้ง่ายมากขึ้น

เพราะการสร้าง Privacy Notice ด้วยตนเองอาจมีรายละเอียดมาก หรือภาษายุ่งยากซับซ้อน ดังนั้น แนะนำ PDPA Pro ผู้ช่วยในการจัดทำ Privacy Policy ที่จะทำให้การจัดทำข้อมูลเป็นเรื่องง่ายและใช้ได้จริง รับรองคุณภาพจากผู้เชี่ยวชาญด้านกฎหมายที่ผ่านการอบรมหลักสูตรเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ที่ https://pdpa.pro/ ด้วยขั้นตอนง่ายๆ เพียง 5 นาทีเท่านั้น

3. Cookies

“คุกกี้” นี่ไม่ใช่คุกกี้เสี่ยงทายนะคะ แต่เป็นไฟล์ข้อมูลที่แสดงประวัติการเข้าชมเว็บไซต์และการดาวน์โหลด ซึ่งประโยชน์ของมันคือเมื่อเราเคยเข้าใช้งานเว็บไซต์หนึ่งแล้ว คุกกี้จะทำให้คอมพิวเตอร์หรืออุปกรณ์ของเราจดจำเว็บไซต์นั้นได้เมื่อกลับไปใช้งานอีกครั้ง ซึ่งการจัดเก็บไฟล์คุกกี้ถือเป็นการจัดเก็บข้อมูลส่วนบุคคลเช่นเดียวกัน ดังนั้น ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งเพื่อขอความยินยอมให้ใช้ข้อมูลส่วนบุคคลจากผู้ใช้งานด้วย

4. Data Subject

“เจ้าของข้อมูลส่วนบุคคล” มีสิทธิให้ความยินยอมที่จะให้ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามวัตถุประสงค์ที่ผู้ควบคุมข้อมูลส่วนบุคคลได้แจ้งไว้ รวมถึงร้องขอให้แก้ไข หรือลบข้อมูลได้อีกด้วย แต่ถ้าข้อมูลนั้นรั่วไหล หรือถูกเปิดเผยโดยไม่ได้รับอนุญาต เจ้าของข้อมูลก็มีสิทธิได้รับการเยียวยาความเสียหายที่เกิดขึ้นได้ด้วย

5. Data Protection Officer: DPO

“เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” ถือว่าเป็นผู้เชี่ยวชาญที่สามารถแนะนำให้องค์กรปฏฺิบัติตามกฎหมาย PDPA ได้อย่างถูกต้อง ซึ่งมีหน้าที่ตามมาตรา 42 (1)-(4) ดังนี้ มีหน้าที่ให้คำแนะนำ ตรวจสอบการดำเนินงาน ให้ความร่วมมือกับองค์กรรัฐที่กำกับดูแล รักษาความลับ

6. Data Controller

“ผู้ควบคุมข้อมูลส่วนบุคคล” เป็นผู้ที่มีอำนาจตัดสินใจในการเก็บรวมรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคล ซึ่งมีหน้าที่ดังนี้

• มีอำนาจตัดสินใจเกี่ยวกับนโยบายข้อมูลส่วนบุคคลขององค์กร
• วางแผนนโยบายเก็บรวมรวมข้อมูล
• หากมีคดีความ หรือโทษ จะต้องรับผิดชอบตามกฎหมาย PDPA

7. Data Processor

“ผู้ประมวลผลข้อมูลส่วนบุคคล” เป็นผู้ที่ดำเนินการเกี่ยวกับการเก็บรวมรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งมีหน้าที่ดังนี้

• เป็นบุคคลทำตามคำสั่งของ “ผู้ควบคุมข้อมูลส่วนบุคคล”
• แจ้งวัตถุประสงค์การใช้ข้อมูลส่วนบุคคล
• จัดทำ Privacy Notice ที่ชัดเจน เข้าใจง่าย
• เก็บรักษาข้อมูลให้เป็นความลับ และปลอดภัย

8. Personal Data

“ข้อมูลส่วนบุคคล” คือ ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม ทั้งข้อมูลในรูปแบบออนไลน์หรือออฟไลน์ เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล เลขบัตรประชาชน เลขที่บัญชีธนาคาร

9. Sensitive personal data

“ข้อมูลส่วนบุคคลที่อ่อนไหว” เป็นข้อมูลที่เฉพาะเจาะจงของตัวบุคคล มีความละเอียดอ่อนสูง ถ้าถูกนำไปใช้โดยไม่ได้รับอนุญาตอาจเป็นอันตรายต่อเจ้าของข้อมูลหรือได้รับการปฏิบัติอย่างไม่เป็นธรรม กฎหมาย PDPA จึงห้ามเก็บข้อมูล อาทิ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นในทำนองเดียวกัน แต่ก็มีข้อยกเว้น เช่น

• เจ้าของข้อมูลยินยอมอย่างชัดแจ้ง
• มีความจำเป็นต้องใช้ข้อมูลนั้นตามสิทธิหากถูกฟ้องร้องหรือขึ้นศาล
• เพื่อป้องกันอันตรายต่อชีวิตหรือร่างกายของเจ้าของข้อมูล

10. Legitimate Interest

เป็นการใช้ข้อมูลส่วนบุคคลที่เจ้าของข้อมูลคาดหมายได้ว่านำไปใช้ตามวัตถุประสงค์ที่แจ้งแต่แรก ตาม “ฐานประโยชน์อันชอบธรรม” ยกตัวอย่างเหตุการณ์ เช่น

• การติดกล้องวงจรปิดในห้างสรรพสินค้า แม้ว่าห้างจะไม่ได้ขอความยินยอมให้บันทึกภาพจากลูกค้าโดยตรงก็ตาม แต่ลูกค้าก็สามารถคาดเดาได้ว่าการติดกล้องเช่นนี้มีวัตถุประสงค์เพื่อรักษาความปลอดภัยโดยรวม ห้างจึงสามารถบันทึกภาพลูกค้าได้ตามหลักดังกล่าว

คำศัพท์ที่ได้กล่าวไว้ในบทความนี้ เป็นคำศัพท์ที่พบเห็นได้ทั่วไปใน Privacy Policy เราจึงควรทำความเข้าใจนโยบายเบื้องต้นก่อนกดให้ความยินยอม เพื่อรักษาสิทธิการเป็นเจ้าของข้อมูล หรือหากเราเป็นผู้บริการเว็บไซต์ ก็จำเป็นต้องเรียนรู้เพื่อไม่ให้ข้อมูลของลูกค้าถูกละเมิด ซึ่งอาจส่งผลเสียต่อภาพลักษณ์องค์กร รวมถึงมีโทษและต้องรับผิดทางกฎหมายได้