ทำไมต้องรีบทำ Privacy Policy?

เผยแพร่เมื่อ 18 มิถุนายน 2020


คำถามที่ผู้ประกอบธุรกิจทุกคนอาจมีในใจตอนนี้คงหนีไม่พ้น คำถามว่า ตอนนี้ พรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) เลื่อนผลบังคับใช้ไปอีกปี แล้วทำไมเราต้องรีบมาทำ Privacy Policy หรือนโยบายข้อมูลส่วนบุคคลอยู่อีก ในเมื่อไม่มีความผิด โทษแพ่ง อาญา ปกครองต่างๆ ก็ถูกเลื่อนไปด้วย ความเป็นจริงแล้ว สำหรับ “Privacy Policy” ยิ่งรีบทำยิ่งดี

การทำ Privacy Policy เป็นหน้าที่ภายใต้พรบ. ที่ทำได้ง่าย และปิดความเสี่ยงได้ไว

หน้าที่หลักข้อแรกสำหรับการประมวลผลข้อมูลส่วนบุคคล ภายใต้ พรบ.คุ้มครองข้อมูล คือ ธุรกิจที่ประมวลผลข้อมูลส่วนบุคล ต้องแจ้ง ให้เจ้าของข้อมูล ส่วนบุคคลทราบ “ก่อน” หรือ “ขณะที่” ประมวลผลข้อมูลส่วนบุคคล ดังนั้น ทุกธุรกิจที่ต้องมีการประมวลผลข้อมูลส่วนบุคคลจึงอยู่ภายใต้บังคับต้องทำ นโยบายข้อมูลส่วนบุคคล (Privacy Policy)

การแจ้ง Privacy Policy นี้ต้องแจ้งสำหรับทั้งข้อมูลส่วน บุคคลที่เก็บ ก่อนหรือหลัง พรบ. มีผลบังคับใช้ ดังนั้น ไม่ว่าจะเป็นตอนนี้ หรือหลังจากพรบ. มีผลในอีกหนึ่งปี หน้าที่การทำนโยบายข้อมูลส่วนบุคคลนี้ก็ยังคงอยู่

ผลของการไม่ทำและไม่แจ้ง เมื่อพรบ. มีผลบังคับใช้ แปลว่า ธุรกิจนั้นมีความผิดทันที โทษแรกที่มีแนวโน้ม โดนบังคับสูงสุดคือ “โทษทางปกครอง” ในจำนวนเงิน สูงสุด ไม่เกิน 1,000,000 ล้านบาท ไม่รวมโทษทางแพ่ง และอาญาที่อาจมีตามมา หากพิสูจน์ความเสียหายของการไม่แจ้งดังกล่าวได้

ทั้งนี้แสดงว่าถ้าหากเจ้าของข้อมูลเปิดหน้า Website หรือ Application ไหนแล้วไม่เจอ Privacy Policy หรือแม้แต่ถ้าเดินเข้าร้านอาหาร หรือสถานที่ใดๆ ที่มีการติดกล้อง CCTV แล้วไม่เจอ Privacy Policy การแจ้งก่อนการใช้บริการ เจ้าของข้อมูลดังกล่าวมีสิทธิร้องเรียน ต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เพื่อดำเนินการปรับ เจ้าของธุรกิจที่ไม่แจ้งนั้นๆ ได้ทันที

หากธุรกิจแจ้ง Privacy Policy ก่อนย่อมได้เปรียบ

ทันทีที่แจ้งก็เท่ากับ ธุรกิจนั้นได้ดำเนินการหน้าที่ตามพรบ. เรียบร้อย หนึ่งข้อ ไม่ต้องกังวลโดนโทษปกครองไปหนึ่งข้อ นอกเหนือจากนั้นยังเป็นการได้ทดลองใช้ระบบต่างๆในการเก็บข้อมูลส่วนบุคคล โดยที่ไม่มีโทษหรือความผิดในการทำไม่ถูกต้องแต่อย่างใด

Privacy Policy ต้องแจ้งอะไรบ้าง?

พรบ.กำหนดหัวข้อขั้นต่ำที่ต้องมีการแจ้งใน Privacy Policy ไว้ดังนี้ ถ้าแจ้งไม่ครบ = ยังไม่พ้นความรับผิด

  • ข้อมูลส่วนบุคคลใดบ้างที่มีการใช้
  • วัตถุประสงค์และวิธีการเก็บและใช้ข้อมูลส่วน บุคคลดังกล่าว พร้อมทั้งกำหนดระยะเวลาการเก็บ
  • ประเภทของหน่วยงาน / บุคคลที่อาจมีการเปิด เผยข้อมูลส่วนบุคคลไปให้
  • สิทธิของเจ้าของข้อมูล ซึ่งเป็นสิทธิที่พรบ. กำหนดคุ้มครองให้
  • ข้อมูลติดต่อของธุรกิจดังกล่าว ในฐานะผู้ควบ คุมข้อมูล

ถ้าหากเจ้าของธุรกิจไหนไม่รู้ว่าจะเริ่มทำ Privacy Policy อย่างไร สามารถเข้ามาใช้บริการสร้าง Privacy Policy ง่ายๆใน 2 นาที กับทาง EasyPDPA ที่นี่

ทำ Privacy Policy เสร็จแล้วต้องเอาไปแจ้งยังไง?

หลักการง่ายๆคือเราใช้ข้อมูลส่วนบุคคลช่องทางใด หรือลักษณะใด ก็ประกาศแจ้ง Privacy Policy ไปที่ช่องทางดังกล่าว เช่น

  • ใช้ข้อมูลผ่าน Website / Application สามารถนำ Privacy Policy ไปแจ้งก่อนการสร้าง User Account ของผู้ใช้บริการ หากไม่ยอมรับ ธุรกิจ สามารถปฏิเสธการสร้าง User Account ได้
  • ใช้แจ้งไว้ที่ป้ายใต้ CCTV หรือทางเข้าสถานที่ที่ ติดตั้ง CCTV โดยต้องชัดเจนพอเพื่อให้บุคคล ที่จะเข้าไปในสถานที่ดังกล่าวเข้าใจ

ใช้ Privacy Policy ฉบับเดียบ Version เดียวไปตลอดเลยได้หรือไม่?

Privacy Policy ควรปรับปรุงให้สอดคล้องกับ Features และการประมวลผลข้อมูลส่วนบุคคลที่มีมากขึ้น แต่การ แก้ไขดังกล่าวสามารถดำเนินการได้ตลอด ด้วยการประกาศการปรับปรุงนั้นผ่านช่องทางเดิม โดยเป็นการใช้สิทธิปรับปรุงแก้ไขฝ่ายเดียวได้

ด้วยความง่ายในการใช้ Privacy Policy เพื่อปิดช่องความเสี่ยง และความรับผิดจากการไม่มีและไม่ประกาศ Privacy Policy เพราะฉะนั้น เราก็สามารถสรุปได้ว่า “Privacy Policy ยิ่งประกาศไว ยิ่งได้เปรียบ

เริ่มก่อนใครวันนี้สบายใจ และ ถูกกฎหมาย