กฎหมายคุ้มครองข้อมูลส่วนบุคคล
นโยบายความเป็นส่วนตัว (Privacy Policy)
Privacy Policy
A privacy policy tells data subjects how an organization collects, uses, and discloses their personal data, as required by PDPA.
Privacy Policy ควรมีอะไรบ้าง
ตาม PDPA ประกาศความเป็นส่วนตัวที่ดีควรระบุ: ข้อมูลที่เก็บ วัตถุประสงค์ ฐานทางกฎหมาย ระยะเวลาเก็บรักษา ผู้ที่ข้อมูลถูกเปิดเผยให้ และช่องทางใช้สิทธิของเจ้าของข้อมูล
จุดที่ SME มักพลาด
- คัดลอกนโยบายจากเว็บอื่นโดยไม่ตรงกับการเก็บข้อมูลจริง
- ไม่มีช่องทางให้เจ้าของข้อมูลใช้สิทธิ (เข้าถึง แก้ไข ลบ)
- ไม่ระบุผู้ประมวลผลภายนอก เช่น ผู้ให้บริการอีเมลหรือคลาวด์
ทำไมบริษัทประกันถึงถามเรื่องนี้
การมี Privacy Policy ที่ประกาศชัดเจนเป็นหลักฐานว่าองค์กรประมวลผลข้อมูลอย่างโปร่งใสและมีฐานทางกฎหมายรองรับ หากไม่มีหรือไม่ครบถ้วน ความเสี่ยงถูกร้องเรียนและปรับตาม PDPA จะสูงขึ้น บริษัทประกันจึงใช้เป็นสัญญาณของวุฒิภาวะด้านการกำกับดูแลข้อมูล ประกอบการพิจารณาความคุ้มครองส่วน Liability
เช็คตัวเอง
เว็บไซต์และช่องทางเก็บข้อมูลของคุณมี Privacy Policy ที่เป็นปัจจุบัน ระบุวัตถุประสงค์ ฐานทางกฎหมาย และสิทธิของเจ้าของข้อมูลครบแล้วหรือยัง?
ทำแบบประเมินความพร้อม 18 ข้อคำถามที่พบบ่อย
Privacy Policy ต่างจาก Consent อย่างไร
Privacy Policy คือการแจ้งให้ทราบว่าเราทำอะไรกับข้อมูล ส่วน Consent คือการขอความยินยอมเฉพาะกรณีที่กฎหมายต้องใช้ฐานความยินยอม ทั้งสองอย่างทำงานร่วมกันแต่ไม่เหมือนกัน
SME ขนาดเล็กต้องมี Privacy Policy ไหม
ต้องมี หากมีการเก็บข้อมูลส่วนบุคคล เช่น ชื่อ เบอร์โทร อีเมลของลูกค้า ไม่ว่าธุรกิจจะเล็กแค่ไหน PDPA ก็บังคับใช้
ต้องอัปเดต Privacy Policy บ่อยแค่ไหน
ควรทบทวนเมื่อมีการเปลี่ยนวิธีเก็บหรือใช้ข้อมูล เพิ่มบริการใหม่ หรือเปลี่ยนผู้ประมวลผลภายนอก และควรตรวจสอบอย่างน้อยปีละครั้ง