นโยบายคุ้มครองข้อมูลส่วนบุคคล ต้องระบุสิ่งใดบ้าง?

#PDPAKnowledge | การจัดทำ Privacy Policy หรือ นโยบายคุ้มครองข้อมูลส่วนบุคคล ให้ถูกต้องตาม PDPA

หลังมีการประกาศบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA หลายองค์กรได้มีการจัดทำ Privacy Policy เพื่อสร้างความชัดเจน ดังที่ระบุใน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มาตรา 23  ที่ว่าด้วย การเก็บรวบรวมข้อมูลส่วนบุคคล โดยผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อน หรือ ในขณะเก็บรวบรวมข้อมูลส่วนบุคคลถึงรายละเอียด เช่น วัตถุประสงค์ ผลกระทบ ระยะเวลาในการเก็บข้อมูล สิทธิของเจ้าของข้อมูล รวมถึงช่องทางการติดต่อ เป็นต้น เว้นแต่เจ้าของข้อมูลส่วนบุคคลได้ทราบถึงรายละเอียดนั้นอยู่แล้ว

ทั้งนี้ จำต้องมีรายละเอียดที่ชัดเจนและครบถ้วน โดยการจัดทำ Privacy Policy ควรมีองค์ประกอบ ดังนี้

📑ระบุรูปแบบการเก็บข้อมูล 

📑ระบุว่าใครบ้างที่มีส่วนเกี่ยวข้องกับนโยบายนี้บ้าง

📑ระบุคำแถลงนโยบาย

📑ระบุคำชี้แจงนโยบายการเก็บ รวบรวม ใช้ และเผยแพร่ข้อมูลส่วนบุคคล

📑ระบุโทษของการไม่ปฎิบัติตามนโยบาย

📑ระบุความหมายของข้อมูลส่วนบุคคล

📑ระบุรายละเอียดการจำแนกข้อมูลส่วนบุคคล

📑ระบุมาตรฐานการป้องกันเหตุขององค์กร (เช่น กรณีข้อมูลรั่วไหล หรือถูกละเมิด)

📑ระบุขั้นตอนการกำหนดขอบเขต ระยะเวลา และการทำลายข้อมูล

📑ระบุผู้รับผิดชอบในการตอบคำถาม (DPO)

📑ระบุวันที่มีผลบังคับใช้ของนโยบาย

ดังนั้น หากคุณทำธุรกิจ หรือ มีการทำกิจกรรมใด ๆ ก็ตาม ที่มีการเก็บรวบรวม ใช้ หรือมีการเผยแพร่ข้อมูลส่วนบุคคล ไม่ว่าจะมาจากรูปแบบใด จำเป็นที่จะต้องมีการทำ Privacy Policy ทั้งนี้ก็เพื่อเป็นมาตรฐานขององค์กร และเพื่อปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ปี 2562 หรือ PDPA นั่นเอง

ที่มา : สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล, pdpathailand

#PrivacyPolicy #PDPC #PDPA #ข้อมูลส่วนบุคคล #นโยบายคุ้มครองข้อมูลส่วนบุคคล #Securitypitch