แม้ว่ากฏหมายคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA จะเลื่อนออกไปประมาณเกือบปี (เลื่อนไปบังคับใช้ 1 มิถุนายน 2565 ประกาศทางการจากกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม) แต่กฏหมาย PDPA ต้องการการออกแบบโครงสร้างการดำเนินงานที่ดี จึงนับเป็นข้อดีสำหรับผู้ประกอบการที่ยังไม่ได้เตรียมตัวอะไร ให้มีเวลาเตรียมตัวได้มากขึ้น และบทความนี้จะช่วยให้คุณจัดการเอกสารตามข้อกฏหมาย PDPA ได้ง่าย ผ่าน Template แจกฟรีทำ Privacy Policy, Consent form และอื่น ๆ ตามกฏหมาย PDPA โดยทีมงาน DGA
ทีมงาน Digital Government Agency หรือ DGA คือ สำนักงานพัฒนารัฐบาลดิจิทัลที่ส่งเสริมการทำงานของภาครัฐผ่านการใช้เทคโนโลยีเข้ามาปรับกระบวนการทำงานทั้งหมด ซึ่งทาง DGA ได้ออกเอกสารรายงานแนวทาง และการดำเนินงานในการนำเทคโนโลยีมาใช้ในภาครัฐให้เห็นอยู่บ่อย ซึ่งแต่ละเล่มก็อ่านง่าย นำไปต่อยอดต่อได้
เมื่อวันศุกร์ที่ผ่านมา ทาง DGA ได้ปล่อย Template สำหรับจัดทำเอกสารตามข้อกฏหมาย PDPA ทั้ง 6 ชุด (บทความต้นฉบับ) โดยทางผู้เขียนจะมารีวิว และแนะนำการใช้งานแต่ละชุดดังนี้
ตัว Template เป็นเอกสารตัวอย่างของทาง DGA เอง ทางผู้ประกอบการจึงต้องแก้ไขโลโก้ และข้อความให้สอดคล้องกับธุรกิจของตน
(Disclaimer) ทางเว็บไซต์ของเราไม่ได้ให้การรับรองหรือรับประกันใด ๆ ถึงความถูกต้องของเนื้อหานี้ เนื้อหาในบทความนี้จึงไม่ใช่การให้คำปรึกษาทางกฏหมาย หากท่านผู้อ่านอยากได้รับคำปรึกษาเชิงลึก ทางเราขอแนะนำให้ปรึกษาผู้เชี่ยวชาญในด้านนั้นโดยตรง
1. Privacy Policy หรือนโยบายคุ้มครองข้อมูลส่วนบุคคล
เอกสารนโยบาย มาตรการ หรือแผนการในบริษัทที่จะกระทำต่อข้อมูลส่วนตัวทั้งหมด ใช้เพื่อสื่อสาร และบังคับใช้ในองค์กร
เอกสารหลักที่จะชี้แจง และอธิบายครอบคลุมถึงกระบวนการเก็บข้อมูล ประเภทของข้อมูลที่เก็ฐ องค์กรที่มีส่วนเกี่ยวข้องกับการเก็บ และประมวลผลข้อมูล การนำข้อมูลไปใช้ทั้งหมด สิทธิของเจ้าของข้อมูล ระยะเวลาในการเก็บ และกระบวนการในการทำลายข้อมูลโดยเป็นเอกสารที่ใช้ภายในองค์กร และจะมีการปรับปรุงเพื่อให้สอดคล้องกับธุรกิจอยู่เสมอ
ภายใน Privacy Policy เป็นอย่างไร?
ภายในตัวเอกสารจะกล่าวตั้งแต่คำนิยาม ขอบเขตการใช้งาน แหล่งที่มาของข้อมูล วัตถุประสงค์ของการเก็บข้อมูล และสุดท้ายที่สำคัญที่สุดคือช่องทางการติดต่อ ในแต่ละส่วนทาง DGA เขียนมาให้ค่อนข้างครอบคลุมเกือบทุกอุตสาหกรรมเลย ผู้อ่านอาจจะแค่ตัดส่วนที่ไม่ได้ใช้งานออกไป แล้วเพิ่มรายละเอียดข้อมูลที่ตัวเองเก็บให้ชัดเจนมากยิ่งขึ้น
Privacy Policy ใช้ในกรณีไหน?
ใช้ในกรณีที่มีการเก็บข้อมูลผู้ใช้ไม่ว่าทางช่องทางออนไลน์ หรือออฟไลน์เพื่อสื่อสารในองค์กร
ดาวน์โหลด Template Privacy Policy
2. Privacy Notice หรือถ้อยแถลงเกี่ยวกับความเป็นส่วนตัว
เหมือน Privacy Policy แต่ไว้ใช้สื่อสารกับผู้ใช้ และสาธารณะ จึงต้องอ่านเข้าใจง่าย
เอกสารหลักที่จะชี้แจง และอธิบายครอบคลุมถึงกระบวนการเก็บข้อมูล ประเภทของข้อมูลที่เก็ฐ องค์กรที่มีส่วนเกี่ยวข้องกับการเก็บ และประมวลผลข้อมูล การนำข้อมูลไปใช้ทั้งหมด สิทธิของเจ้าของข้อมูล ระยะเวลาในการเก็บ และกระบวนการในการทำลายข้อมูลโดยเป็นเอกสารเพื่อสื่อสารแก่สาธารณะ และจะมีการปรับปรุงเพื่อให้สอดคล้องกับธุรกิจอยู่เสมอ
ภายใน Privacy Notice เป็นอย่างไร?
โดยเอกสารนี้ดี เพราะทาง DGA ได้แนะนำได้ว่าองค์กรแบบไหนควรเขียนส่วนไหนบ้างเช่น ให้ตัดข้อ 6 ออกในกรณีที่ไม่มีส่งข้อมูลไปประมวลผลต่างประเทศ พร้อมทั้งมีข้อแนะนำอื่น ๆ ถึงการส่งแหล่งอ้างอิงให้ชัดเจน
Privacy Notice ใช้ในกรณีไหน?
ใช้ในกรณีที่มีการเก็บข้อมูลผู้ใช้ไม่ว่าทางช่องทางออนไลน์ หรือออฟไลน์เพื่อสื่อสารต่อผู้ใช้งานและสาธารณะชน
ดาวน์โหลด Template Privacy Notice
3. Consent Form หรือเอกสารแสดงความยินยอม
แบบฟอร์มที่ไว้ใช้ชี้แจงการเก็บข้อมูลเพื่อขอความยินยอมจากผู้ใช้ในการเก็บข้อมูล ซึ่งจะไว้ใช้เป็นหลักฐานหากมีข้อพิพาทภายหลังต่อไป สามารถเก็บในรูปแบบเอกสาร หรือเอกสารอิเล็กทรอนิคส์ก็ได้
ภายใน Consent Form เป็นอย่างไร?
ตัวเอกสาร Consent Form ทาง DGA ออกแบบมาให้เป็นสำหรับการบันทึกความยินยอมแบบเป็นลายลักษณ์ มีการเซ็นเอกสาร ซึ่งในบางกรณีผู้ประกอบสามารถเก็บในรูปแบบข้อมูลดิจิตอลแทนก็ได้ แต่สิ่งที่สามารถนำไปปรับใช้ได้คือ “ความชัดแจ้ง” ของการขอความยินยอมในการใช้ข้อมูลส่วนตัว
Consent Form ใช้ในกรณีไหน?
ใช้ในกรณีที่ทางองค์กรขออนุญาตผู้ใช้งานก่อนเก็บข้อมูล โดยต้องสื่อสารให้เข้าใจง่าย ไม่บังคับ ไม่หลอกลวง เพื่อให้สิทธิการตัดสินใจในเรื่องความยินยอมในการใช้ข้อมูลแก่ผู้ใช้อย่างแท้จริง
ดาวน์โหลด Template Consent Form
4. Data Processing Agreement หรือเอกสารข้อตกลงการประมวลผลข้อมูลส่วนบุคคล
เอกสารสัญญาในการประมวลผลข้อมูลกรณีที่องค์กรว่าจ้างบุคคล หรือบริษัทให้ประมวลผลข้อมูลให้ โดยใช้แนบกับเอกสารสัญญาการจ้างงาน
ภายใน Data Processing Agreement เป็นอย่างไร?
ตัวเอกสาร Data Processing Agreement คือสัญญาในการว่าจ้างประมวลผลข้อมูลระหว่างองค์กร กับบุคคล หรือองค์กรอื่นโดยต้องมีการเก็บเอกสารไว้เป็นหลักฐานทั้งสองฝ่าย จากประสบการณ์ของผู้เขียนที่ต้องทำ Data Processing Agreement เหมือนกันแล้วชอบตัวเอกสารชุดนี้ เพราะตอนเขียนเอง ต้องปรับแก้กันไปกันมาระหว่างทีมผู้ควบคุมข้อมูล กับผู้ประมวลผลข้อมูลนานมาก กว่าจะได้เริ่มงาน ถ้าใช้ของ DGA เป็นมาตรฐานก็จะช่วยลดเวลาตรงนี้ไปได้เยอะ
Data Processing Agreement ใช้ในกรณีไหน?
ใช้ในกรณีที่เรามีการว่าจ้างบุคคลภายนอก หรือบริษัทในการประมวลผลข้อมูล ตัวเอกสารนี้เป็นข้อกำหนดที่ต้องทำให้สอดคล้องว่า เราว่าจ้างนักวิเคราะห์ข้อมูลให้วิเคราะห์อะไร ส่งไฟล์ข้อมูลยังไง จะลบไฟล์ข้อมูลยังไง อันนี้เหมาะสำหรับบริษัทที่ปรึกษาด้านข้อมูลโดยเฉพาะที่ต้องทำสัญญาให้ถูกต้องตามกฏหมาย
ดาวน์โหลด Template Data Processing Agreement
5. Record of Processing Activity หรือบันทึกรายการประมวลผลข้อมูลส่วนบุคคล
เอกสารที่ต้องจัดทำเพื่อส่งให้บุคคลภายนอกกรณีมีข้อเรียกร้องเรื่องการละเมิดกฏหมายคุ้มครองข้อมูลส่วนตัว โดยองค์กรควรทำเป็นระยะเพื่อเป็นหลักฐาน
Record of Processing Activity ใช้ในกรณีไหน?
กรณีที่มีผู้เรียกร้องโดยหน่วยงานทางกฏหมายที่เกี่ยวข้อง หรือแม้แต่ตัวเจ้าของข้อมูลส่วนตัวเอง ต้องการดูบันทึกการเก็บข้อมูลส่วนตัว ตัวองค์กรธุรกิจต้องสามารถจัดทำเอกสารในรูปแบบใน Template เพื่อรายงานต่อบุคคลที่เกี่ยวข้องได้ ตั้งแต่การลงชื่อเพื่อเข้าอาคาร การใช้กล้องวงจรปิด และอื่น ๆ
ดาวน์โหลด Template Record of Processing Activity
6. Cookies Policy หรือนโยบายคุกกี้
เนื่องจากรายละเอียดเรื่องคุกกี้ค่อนข้างละเอียดจึงได้มีเอกสารแยกสำหรับอธิบายเรื่องคุกกี้โดยเฉพาะ โดยอธิบายตั้งแต่ว่าคุกกี้คืออะไร องค์กรของเราใช้คุกกี้อะไรบ้าง เก็บคุกกี้นานเท่าไหร่ เก็บไปทำอะไร ระยะเวลาในการเก็บนานแค่ไหน เพื่อสื่อสารกับสาธารณะชน และผู้ใช้เป็นหลัก
ถึงแม้เว็บไซต์ของเราจะเก็บแค่ Cookie ก็ควรต้องชี้แจงผู้ใช้ด้วยว่าเก็บ Cookie อะไรบ้าง และเก็บทำไม หากคุณผู้อ่านสนใจ เรายังมีบทความอธิบาย Cookie พร้อมวิธีตรวจเช็ค Cookie แบบบ้าน ๆ ให้ได้ศึกษาเพิ่มเติมด้วย
ภายใน Cookies Policy เป็นอย่างไร?
ภายในเอกสารนอกจากจะต้องอธิบายความหมายของคุกกี้ให้อ่านเข้าใจง่ายแล้ว ยังต้องชี้แจงคุกกี้ทั้งหมดที่ใช้ในระบบด้วย ซึ่งการจะระบุได้ ผู้อ่านอาจจะต้องให้นักพัฒนาระบบมาช่วยตรวจสอบและเขียนให้ เพื่อให้ครอบคลุมตามกฏหมาย หรืออ่านบทความอธิบาย Cookie พร้อมวิธีตรวจเช็ค Cookie แบบบ้าน ๆเพื่อตรวจสอบหาคุกกี้ด้วยตัวเอง
Cookies Policy ใช้ในกรณีไหน?
กรณีที่สินค้า หรือบริการของผู้ประกอบการมีการใช้คุ้กกี้ โดยเอกสารชุดนี้ จะรวมเป็นชุดเดียวกับ Privacy Notice ก็ได้
ดาวน์โหลด Template Cookies Policy
เป็นยังไงกันบ้าง การที่ทาง DGA ทำเอกสารออกมาให้ ทำให้การวางแผนเรื่องนโยบายคุ้มครองความเป็นส่วนตัวทำได้ง่ายขึ้น ลดการใช้บริการผู้เชี่ยวชาญภายนอกลง ซึ่งทำให้ผู้ประกอบการสามารถดำเนินการตามกฏหมายได้ง่ายขึ้นในต้นทุนที่ต่ำ
มาช่วยกันสร้างโลกออนไลน์ที่โปร่งใส ต่อ ความเป็นส่วนตัวของผู้ใช้กันนะครับ 🤩
ขอบคุณภาพประกอบจาก Business negotiation vector created by iconicbestiary – www.freepik.com
มีคำถามสงสัยเพิ่มเติม ?
หากคุณสนใจเกี่ยวกับเรื่องที่เราเขียน สิ่งที่เราทำ และโครงการที่เราตั้งใจจะดำเนินงานในอนาคต คุณสามารถติดต่อพูดคุยกับเราได้
ขอบคุณแหล่งอ้างอิงจาก
- รู้ลึก PDPA เอกสารแม่แบบสำหรับการดำเนินการของผู้ควบคุมข้อมูลส่วนบุคคลภาครัฐ (Version 1.0)
- แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล (Version 3.0) จัดทำโดย คณะนิติศาสตร์ จุฬา ฯ
ถาม – ตอบสั้น ๆ กับ Datayolk
เอกสารหลักที่จะชี้แจง และอธิบายครอบคลุมถึงกระบวนการเก็บข้อมูล ประเภทของข้อมูลที่เก็ฐ องค์กรที่มีส่วนเกี่ยวข้องกับการเก็บ และประมวลผลข้อมูล การนำข้อมูลไปใช้ทั้งหมด สิทธิของเจ้าของข้อมูล ระยะเวลาในการเก็บ และกระบวนการในการทำลายข้อมูลโดยเป็นเอกสารที่ใช้ภายในองค์กร และจะมีการปรับปรุงเพื่อให้สอดคล้องกับธุรกิจอยู่เสมอ
เอกสารหลักที่จะชี้แจง และอธิบายครอบคลุมถึงกระบวนการเก็บข้อมูล ประเภทของข้อมูลที่เก็ฐ องค์กรที่มีส่วนเกี่ยวข้องกับการเก็บ และประมวลผลข้อมูล การนำข้อมูลไปใช้ทั้งหมด สิทธิของเจ้าของข้อมูล ระยะเวลาในการเก็บ และกระบวนการในการทำลายข้อมูลโดยเป็นเอกสารเพื่อสื่อสารแก่สาธารณะ และจะมีการปรับปรุงเพื่อให้สอดคล้องกับธุรกิจอยู่เสมอ
แบบฟอร์มที่ไว้ใช้ชี้แจงการเก็บข้อมูลเพื่อขอความยินยอมจากผู้ใช้ในการเก็บข้อมูล ซึ่งจะไว้ใช้เป็นหลักฐานหากมีข้อพิพาทภายหลังต่อไป สามารถเก็บในรูปแบบเอกสาร หรือเอกสารอิเล็กทรอนิคส์ก็ได้
เอกสารสัญญาในการประมวลผลข้อมูลกรณีที่องค์กรว่าจ้างบุคคล หรือบริษัทให้ประมวลผลข้อมูลให้ โดยใช้แนบกับเอกสารสัญญาการจ้างงาน
เอกสารที่ต้องจัดทำเพื่อส่งให้บุคคลภายนอกกรณีมีข้อเรียกร้องเรื่องการละเมิดกฏหมายคุ้มครองข้อมูลส่วนตัว โดยองค์กรควรทำเป็นระยะเพื่อเป็นหลักฐาน
เนื่องจากรายละเอียดเรื่องคุกกี้ค่อนข้างละเอียดจึงได้มีเอกสารแยกสำหรับอธิบายเรื่องคุกกี้โดยเฉพาะ โดยอธิบายตั้งแต่ว่าคุกกี้คืออะไร องค์กรของเราใช้คุกกี้อะไรบ้าง เก็บคุกกี้นานเท่าไหร่ เก็บไปทำอะไร ระยะเวลาในการเก็บนานแค่ไหน เพื่อสื่อสารกับสาธารณะชน และผู้ใช้เป็นหลัก