Author Kris

ใช่หากคุณมีการเก็บข้อมูลส่วนบุคคลของผู้ใช้เพียงอย่างหนึ่งอย่างใด ยกตัวอย่างเช่น มีการใช้ Google Analytics หรือ Facebook Pixel เพื่อการตลาด ส่วนหนึ่งของการปฎิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 คือการที่คุณต้องมีการให้ผู้ใช้ยินยอมในการให้ข้อมูลต่างๆ ตามที่ได้ระบุไว้ใน Privacy Policy ที่ไม่ขัดต่อหลักกฎหมาย

 PDPA เป็นกฎหมายที่ทั้งบุคคลและนิติบุคคลในประเทศไทยต้องปฏิบัติตาม หากคุณฝ่าฝืนจะมีโทษปรับสูงสุด 5 ล้านบาท จำคุกสูงสุด 1 ปี และต้องจ่ายค่าเสียหายตามจริง ในขณะที่กรรมการของนิติบุคคลอาจต้องรับผิดชอบต่อเหตุการณ์ที่เกิดขึ้นด้วย การมีเปลี่ยน Privacy Policy จึงทำให้ธุรกิจของคุณไม่ต้องเสี่ยงในการรับค่าเสียหายเหล่านี้

Privacy Policy กับ Terms & Conditions ต่างกันอย่างไร? หลายๆคนอาจจะคิดว่าทั้งสองอย่างนี้คล้ายกันและนำมาใช้แทนกันได้ ซึ่งเป็นความเข้าใจที่ผิด เพราะเนื้อหาของทั้งสองแตกต่างกันอย่างสิ้นเชิง ตัว Terms & Conditions (T&C) นั้นจะเน้นไปที่ข้อกำหนดด้านการซื้อขายสินค้าและบริการของคุณกับลูกค้า อาทิเช่น คุณขายสินค้าอะไรบ้าง เงื่อนไขการซื้อสินค้าเป็นอย่างไร ลูกค้าขอเงินคืนหรือเปลี่ยนสินค้าได้หรือไม่ เป็นต้น ดังนั้น T&C ของแต่ละบริษัทจะแตกต่างกันมาก ขึ้นอยู่กับชนิดสินค้าและลักษณะการค้าขาย ในขณะที่ Privacy Policy หรือนโยบายความเป็นส่วนตัวจะเป็นตัวแจ้งลูกค้าว่า เมื่อเข้ามาใช้บริการเว็บไซต์หรือซื้อขายสินค้ากับคุณ คุณจะเก็บรักษาข้อมูลส่วนตัวของพวกเขาอย่างไร ซึ่งหลายๆครั้งใน T&C ก็จะมีการเขียนอธิบายนโยบายความเป็นส่วนตัวเเบบฉบับย่อเอาไว้

หากคุณทำธุรกิจ หรือให้บริการใดๆบนเว็บไซต์ ที่จะต้องมีการเก็บข้อมูลส่วนตัวของผู้ใช้ ยกตัวอย่างเช่น ชื่อ ที่อยู่ หรือเบอร์ติดต่อ เป็นต้น เพื่อใช้สำหรับการให้บริการนั้นๆ เว็บไซต์ควรจะต้องแจ้งให้ลูกค้าทราบว่ารายละเอียดของการจัดเก็บ การรักษา หรือการจัดการข้อมูลส่วนตัวของผู้ใช้เป็นอย่างไร ซึ่งเราจะเรียกรายละเอียดนี้ว่า Privacy Policy หรือ นโยบายความเป็นส่วนตัว

ความเข้าใจผิดยอดฮิต กับคำว่า Privacy หนึ่งความเข้าใจผิดต่อเรื่องหลักการเรื่องการคุ้มครองข้อมูลส่วนบุคคลคือ คิดว่าจะเป็นมาตรการที่ห้ามใช้ ห้ามบันทึก ข้อมูลของคน ซึ่งผิดไปจากข้อเท็จจริง เพราะที่จริงแล้ว เนื้อหาหลักคือ ให้นำไปใช้เท่าที่จำเป็น ปลอดภัย และโปร่งใส บนความเข้าใจผิดนี้ คำว่า privacy หรือ ความเป็นส่วนตัว มักถูกจับมาวางเป็นขั้วตรงข้ามกับคำว่า security หรือความมั่นคง และ safety หรือความปลอดภัย โดยคนมักนึกถึงตัวอย่างเช่น คุ้มครองข้อมูลส่วนบุคคลแปลว่าไม่ควรติดกล้องวงจรปิด เมื่อไม่ติดกล้องวงจรปิดแล้วถ้าโจรมาจะทำอย่างไร ในความเป็นจริง หลักการคุ้มครองข้อมูลส่วนบุคคลไม่ได้มีปัญหากับมีกล้องวงจรปิดเพื่อความปลอดภัย แต่มุ่งคุ้มครองไม่ให้นำเนื้อหาจากกล้องไปใช้งานนอกเหนือจากเรื่องความปลอดภัยดังที่ได้แจ้งวัตถุประสงค์ ยิ่งในสถานการณ์โควิด ก็ยิ่งทำให้เห็นเหรียญสองด้านอย่างชัดเจนว่า เราต้องการเอาข้อมูลมาทำงานเพื่อพัฒนาระบบสุขภาพ ขณะเดียวกัน จะทำอย่างไรให้ไม่ไปละเมิดคน ทำอย่างไรให้ใช้ข้อมูลอย่างปลอดภัยและสมเหตุสมผล เช่น เมื่อมีข้อมูลผู้ติดเชื้อโควิดแล้ว จะทำอย่างไรให้สามารถติดตามจำกัดขอบเขตโรค แต่ไม่ทำให้ข้อมูลผู้ติดเชื้อหลุดรอดไปในลักษณะที่ระบุตัวตนและอาจทำให้คนผู้นั้นโดนแสดงความรังเกียจได้ ซึ่งถ้ารับประกันได้ว่าข้อมูลจะอยู่เฉพาะในมือของคนที่จำเป็นต้องใช้งานได้ คนก็จะสบายใจที่ให้ความร่วมมือได้มากขึ้น ทำให้ข้อมูลถูกนำไปใช้เพื่อเป็นทางออกใหม่ๆ ได้ง่ายขึ้น กล่าวคือ ไพรเวซี่ไม่ได้เป็นปฏิปักษ์ต่อเซฟตี้ นี่ไม่ใช่เรื่องที่ต้องเลือก และเราจะเลือกทำไมในเมื่อเราสามารถมีได้ทั้งสองอย่างพร้อมกัน เวลานี้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลถูกประกาศใช้มาเกือบครบหนึ่งปีแล้ว […]

ในทางรูปธรรม สิ่งที่องค์กรเล็กใหญ่จะต้องทำ คือ ทำ privacy policy และ บันทึกกิจกรรมประมวลผล ซึ่งสิ่งนี้ไม่ได้แปลว่าต้องทำอะไรซับซ้อน ไม่ได้ต้องซื้อซอฟต์แวร์ราคาแพง แค่ลงบันทึกไว้เพื่อบอกรายละเอียดว่า เราเก็บข้อมูลอะไร จะเอาไปทำอะไร เก็บมาเมื่อไร และจะเก็บนานเท่าไร อีกเรื่องที่ต้องฉุกคิดคือ กิจกรรมต่างๆ นั้น ขอข้อมูลส่วนบุคคลเกินความจำเป็นหรือเปล่า เช่น กิจกรรมไหนไม่มีความจำเป็นต้องเก็บเลข 13 หลักก็ไม่ต้องทำ อย่างไรก็ดี คนอาจจะเข้าใจว่า กฎหมายนี้เน้นไปที่เรื่อง ‘เอกสารขอความยินยอม’ หรือ consent form ในความเป็นจริง การนำข้อมูลไปใช้ตามที่มีความจำเป็น เช่น การทำหน้าที่ตามสัญญา การปฏิบัติตามกฎหมาย การใช้อำนาจรัฐของเจ้าหน้าที่ เหล่านี้ ไม่ใช่ว่าจะต้องมีแบบฟอร์มให้ติ๊กถูกในกล่องยอมรับเงื่อนไขทุกครั้งไป กล่าวคือ หากเป็นคอมมอนเซนส์ที่รู้กันว่าเอาไปเพื่อธุระอะไร เช่น จะให้จัดส่งของไปที่ตึกใดก็ต้องขอที่อยู่ตึกนั้น ลักษณะนี้ไม่ต้องใช้เอกสารขอความยินยอม เว้นก็แต่กรณีที่จะมีบริการเสริม และต้องขอข้อมูลใหม่ เช่น ลงทะเบียนอีเมลและเบอร์โทรศัพท์เพื่อแลกรับไอศกรีมฟรี ผู้ให้ข้อมูลก็ต้องสันนิษฐานได้ว่า ไอศกรีมนี้แลกมากับการให้ข้อมูลไปใช้งานในกิจกรรมส่งเสริมการขายในหมวดหมู่ใกล้เคียงกันโดยผู้ให้บริการนั้นๆ ถือว่าเป็นไปตามสัญญาการให้บริการ […]

ข้อมูลส่วนบุคคลคืออะไร มันคือข้อมูลที่ทำให้ระบุตัวบุคคลได้ ทั้งทางตรงและทางอ้อม ทางตรงก็คือข้อมูลตรงไปตรงมา เช่น ชื่อ สกุล อายุ เลขบัตรประชาชนสิบสามหลัก ที่อยู่ เบอร์โทรศัพท์ ฯลฯ ความหมายทางอ้อม คือ ข้อมูลที่จะนำไปแยกแยะได้ว่าเราคือใคร และเอาไปใช้ติดตามบุคคลได้ และมันมีความสามารถในการเชื่อมโยงกับข้อมูลอื่นๆ ข้างนอก แล้วบอกได้ว่าใครเป็นใคร ตัวอย่างเช่น บัญชีออนไลน์นี้ เคยซื้อของออนไลน์หมวดหมู่ของใช้ในบ้าน และมีรูปแบบการซื้อของใหม่ซ้ำทุกๆ สองเดือน คนเดียวกันนี้อาจโดยสารรถไฟฟ้าแล้วขึ้นลงที่สถานีหนึ่งๆ เป็นประจำ หรือเติมน้ำมันที่ปั๊มใด ละแวกใด สิ่งเหล่านี้สามารถนำมาระบุตัวตนคนคนหนึ่งและลักษณะการใช้ชีวิตของเขาได้ กฎหมายเกี่ยวกับข้อมูลจึงเป็นกฎหมายที่เกี่ยวข้องกับทุกคนในสังคมเรา เรามีสถานะเป็น ‘เจ้าของข้อมูล’ ที่ไปใช้บริการต่างๆ หัวใจหลักของกฎหมายบอกว่า ข้อมูลส่วนบุคคลของเรา เมื่อให้ใครไปแล้ว เขาจะต้องเอาไปใช้ตามวัตถุประสงค์และความจำเป็น คือ นำไปใช้เท่าที่บอกว่าจะใช้ ไม่เอาไปใช้งานอื่นเกินเลย นอกจากนี้ เมื่อมีข้อมูลส่วนบุคคลแล้ว ก็ต้องเก็บรักษาและใช้มันอย่างปลอดภัย จะเผยแพร่ต่อให้คนอื่นไม่ได้ถ้าไม่ได้ถามเราก่อน และเราในฐานะเจ้าของข้อมูล สามารถบอกเลิกการครอบครองข้อมูลนั้นได้ อย่างไรก็ดี ทั้งเรื่องการเอาข้อมูลไปใช้เท่าที่บอกว่าจะใช้ และทำข้อมูลให้ปลอดภัย จริงๆ […]

ข้อมูลที่ต้องระมัดระวังเป็นพิเศษในกำรเก็บรวบรวม หรือประมวลผล เช่น เชื้อชาติ ความคิดเห็นทางการเมือง ความเชื่อทางศาสนา รสนิยมทางเพศ ข้อมูลทำงชีวภาพ ทั้งนี้ กฎหมายให้การคุ้มครองข้อมูลที่อ่อนไหวเข้มงวดกว่่าข้อมูลส่วนบุคคลธรรมดา

ข้อมูลส่วนบุคคล (Personal Data) ข้อมูลเกี่ยวกับบุคคลซึ่งท ำให้สำมำรถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพำะ เช่น ชื่อ นำมสกุล ที่อยู่ เบอร์โทรศัพท์ ฯลฯ