Back

10 คำศัพท์ที่ควรรู้เกี่ยวกับ PDPA

   

มีใครเคยสงสัยกันไหมคะว่าทำไมเวลาที่เราสมัครสมาชิกตามเว็บไซต์จึงต้องอ่านนโยบายความเป็นส่วนตัว (Privacy policy) ที่เป็นข้อความยาว ๆ แถมเข้าใจยาก และยังต้องติ๊กรับทราบทุกครั้งไป ซึ่งวิธีนี้ถือเป็นวิธีการขอความยินยอมเพื่อใช้หรือจัดเก็บข้อมูลของจากผู้ใช้งานตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (Personal Data Protection Act หรือเรียกสั้น ๆ ว่า PDPA) เป็นกฎหมายที่เริ่มมีการบังคับใช้ในบ้านเราแล้ว วันนี้เราจึงจะมาทำความเข้าใจความหมายต่าง ๆ ของคำศัพท์ในนโยบายความเป็นส่วนตัวกัน

1. Consent

แปลตรงตัวว่า “ความยินยอม” โดยผู้ควบคุมข้อมูลส่วนบุคคลจะต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลหรือผู้ใช้งานก่อนนำไปเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลซึ่งสามารถทำได้ด้วยวิธีต่อไปนี้

  • ต้องทำโดยชัดแจ้ง จะทำเป็นเอกสารหรือทำแบบอิเล็กทรอนิกส์ก็ได้
  • ไม่มีเงื่อนไข และต้องใช้ภาษาเข้าใจง่าย
  • เจ้าของข้อมูลสามารถถอนความยินยอมได้ทุกเมื่อ

2. Privacy Notice

คือการแจ้งวัตถุประสงค์และรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลของผู้ใช้งานไปเปิดเผย เราจะเห็นนโยบายความเป็นส่วนตัว (Privacy policy) อยู่ในการแจ้งนี้ด้วยแทบทุกครั้งเลยค่ะ โดยจะพูดถึงหลักเกณฑ์ต่าง ๆ ในการบริหารจัดการข้อมูลส่วนบุคคลที่เราให้ความยินยอม ซึ่งในการแจ้งควรประกอบด้วย

  • ข้อความที่ขอความยินยอมการใช้ข้อมูลส่วนบุคคล
  • วัตถุประสงค์การขอใช้ข้อมูล และระยะเวลาในการจัดเก็บ
  • ชัดเจน ข้อความไม่กำกวม และเข้าใจง่าย
  • ห้ามเผยแพร่ หรือนำข้อมูลไปใช้ก่อนได้รับอนุญาต
  • อาจแจ้งมาตรการรักษาความปลอดภัยของข้อมูลที่ได้รับความยินยอม เพื่อให้เจ้าของข้อมูลเกิดความไว้วางใจ ให้ความยินยอมได้ง่ายมากขึ้น

เพราะการสร้าง Privacy Notice ด้วยตนเองอาจมีรายละเอียดมาก หรือภาษายุ่งยากซับซ้อน ดังนั้น แนะนำ PDPA Pro ผู้ช่วยในการจัดทำ Privacy Policy ที่จะทำให้การจัดทำข้อมูลเป็นเรื่องง่ายและใช้ได้จริง รับรองคุณภาพจากผู้เชี่ยวชาญด้านกฎหมายที่ผ่านการอบรมหลักสูตรเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ที่ https://pdpa.pro/ ด้วยขั้นตอนง่ายๆ เพียง 5 นาทีเท่านั้น

3. Cookies

“คุกกี้” นี่ไม่ใช่คุกกี้เสี่ยงทายนะคะ แต่เป็นไฟล์ข้อมูลที่แสดงประวัติการเข้าชมเว็บไซต์และการดาวน์โหลด ซึ่งประโยชน์ของมันคือเมื่อเราเคยเข้าใช้งานเว็บไซต์หนึ่งแล้ว คุกกี้จะทำให้คอมพิวเตอร์หรืออุปกรณ์ของเราจดจำเว็บไซต์นั้นได้เมื่อกลับไปใช้งานอีกครั้ง ซึ่งการจัดเก็บไฟล์คุกกี้ถือเป็นการจัดเก็บข้อมูลส่วนบุคคลเช่นเดียวกัน ดังนั้น ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งเพื่อขอความยินยอมให้ใช้ข้อมูลส่วนบุคคลจากผู้ใช้งานด้วย

4. Data Subject

“เจ้าของข้อมูลส่วนบุคคล” มีสิทธิให้ความยินยอมที่จะให้ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามวัตถุประสงค์ที่ผู้ควบคุมข้อมูลส่วนบุคคลได้แจ้งไว้ รวมถึงร้องขอให้แก้ไข หรือลบข้อมูลได้อีกด้วย แต่ถ้าข้อมูลนั้นรั่วไหล หรือถูกเปิดเผยโดยไม่ได้รับอนุญาต เจ้าของข้อมูลก็มีสิทธิได้รับการเยียวยาความเสียหายที่เกิดขึ้นได้ด้วย

5. Data Protection Officer: DPO

“เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” ถือว่าเป็นผู้เชี่ยวชาญที่สามารถแนะนำให้องค์กรปฏฺิบัติตามกฎหมาย PDPA ได้อย่างถูกต้อง ซึ่งมีหน้าที่ตามมาตรา 42 (1)-(4) ดังนี้ มีหน้าที่ให้คำแนะนำ ตรวจสอบการดำเนินงาน ให้ความร่วมมือกับองค์กรรัฐที่กำกับดูแล รักษาความลับ

6. Data Controller

“ผู้ควบคุมข้อมูลส่วนบุคคล” เป็นผู้ที่มีอำนาจตัดสินใจในการเก็บรวมรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคล ซึ่งมีหน้าที่ดังนี้

  • มีอำนาจตัดสินใจเกี่ยวกับนโยบายข้อมูลส่วนบุคคลขององค์กร
  • วางแผนนโยบายเก็บรวมรวมข้อมูล
  • หากมีคดีความ หรือโทษ จะต้องรับผิดชอบตามกฎหมาย PDPA

7. Data Processor

“ผู้ประมวลผลข้อมูลส่วนบุคคล” เป็นผู้ที่ดำเนินการเกี่ยวกับการเก็บรวมรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งมีหน้าที่ดังนี้

  • เป็นบุคคลทำตามคำสั่งของ “ผู้ควบคุมข้อมูลส่วนบุคคล”
  • แจ้งวัตถุประสงค์การใช้ข้อมูลส่วนบุคคล
  • จัดทำ Privacy Notice ที่ชัดเจน เข้าใจง่าย
  • เก็บรักษาข้อมูลให้เป็นความลับ และปลอดภัย

8. Personal Data

“ข้อมูลส่วนบุคคล” คือ ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม ทั้งข้อมูลในรูปแบบออนไลน์หรือออฟไลน์ เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล เลขบัตรประชาชน เลขที่บัญชีธนาคาร

9. Sensitive personal data

“ข้อมูลส่วนบุคคลที่อ่อนไหว” เป็นข้อมูลที่เฉพาะเจาะจงของตัวบุคคล มีความละเอียดอ่อนสูง ถ้าถูกนำไปใช้โดยไม่ได้รับอนุญาตอาจเป็นอันตรายต่อเจ้าของข้อมูลหรือได้รับการปฏิบัติอย่างไม่เป็นธรรม กฎหมาย PDPA จึงห้ามเก็บข้อมูล อาทิ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นในทำนองเดียวกัน แต่ก็มีข้อยกเว้น เช่น

  • เจ้าของข้อมูลยินยอมอย่างชัดแจ้ง
  • มีความจำเป็นต้องใช้ข้อมูลนั้นตามสิทธิหากถูกฟ้องร้องหรือขึ้นศาล
  • เพื่อป้องกันอันตรายต่อชีวิตหรือร่างกายของเจ้าของข้อมูล

10. Legitimate Interest

เป็นการใช้ข้อมูลส่วนบุคคลที่เจ้าของข้อมูลคาดหมายได้ว่านำไปใช้ตามวัตถุประสงค์ที่แจ้งแต่แรก ตาม “ฐานประโยชน์อันชอบธรรม” ยกตัวอย่างเหตุการณ์ เช่น

  • การติดกล้องวงจรปิดในห้างสรรพสินค้า แม้ว่าห้างจะไม่ได้ขอความยินยอมให้บันทึกภาพจากลูกค้าโดยตรงก็ตาม แต่ลูกค้าก็สามารถคาดเดาได้ว่าการติดกล้องเช่นนี้มีวัตถุประสงค์เพื่อรักษาความปลอดภัยโดยรวม ห้างจึงสามารถบันทึกภาพลูกค้าได้ตามหลักดังกล่าว

คำศัพท์ที่ได้กล่าวไว้ในบทความนี้ เป็นคำศัพท์ที่พบเห็นได้ทั่วไปใน Privacy Policy เราจึงควรทำความเข้าใจนโยบายเบื้องต้นก่อนกดให้ความยินยอม เพื่อรักษาสิทธิการเป็นเจ้าของข้อมูล หรือหากเราเป็นผู้บริการเว็บไซต์ ก็จำเป็นต้องเรียนรู้เพื่อไม่ให้ข้อมูลของลูกค้าถูกละเมิด ซึ่งอาจส่งผลเสียต่อภาพลักษณ์องค์กร รวมถึงมีโทษและต้องรับผิดทางกฎหมายได้

สร้าง Privacy Policy ง่ายๆ

อย่างมืออาชีพ ถูกต้องตาม PDPA

สร้าง Policy ตอนนี้ ฟรี!

1778 อาคารซัมเมอร์ฮับ ออฟฟิศ, ชั้น 6 ถนนสุขุมวิท แขวงพระโขนง เขตคลองเตย กรุงเทพมหานคร 10110 ประเทศไทย

โทร: 02-024-9119
sales@datawow.io

ผลิตภัณฑ์อื่นๆ ที่เกี่ยวข้องกับ PDPA

สร้างแบบ Form

รับคำร้องแก้ไข PDPA

สร้าง Cookie Banner

รองรับ PDPA

facebook-icon
linkedin-icon
medium-icon