Sensitive Personal Data คืออะไร ยกตัวอย่าง

เอกชนและภาครัฐ (บุคคลหรือนิติบุคคล) รวมไปถึงนิติบุคคลที่จัดตั้งในต่างประเทศ ซึ่งทำการเก็บรวมรวม ใช้ เปิดเผยและหรือ โอนข้อมูลส่วนบุคคลของบุคคลในประเทศไทย

• เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ ข้อมูลส่วนบบุคคลที่สามารถเชื่อมโยงถึงบุคคลที่มีชีวิต ที่สามารถระบุตัวตนได้ บุคคลดังกล่าวเรียกว่า เจ้าของข้อมูลส่วนบุคคล
• ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ “ตัดสินใจ” เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
• ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล” ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าว ต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

• โทษทางอาญา จำคุกไม่เกิน 1 ปี และหรือ ปรับสูงสุด 1 ล้านบาท
• โทษทางแพ่ง จ่ายค่าสินไหมไม่เกิน 2 เท่าของค่าสินไหมที่แท้จริง
• โทษทางปกครองปรับไม่เกิน 5 ล้านบาท

สิ่งที่องค์กรต้องเตรียมพร้อมกับ พระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคล คือ ทำ Privacy policy และ บันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคลโดยต้องจัดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยอย่างเหมาะสมเพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลียนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจโดยมิชอบ เช่น 

ในยุคที่ธุรกิจและการตลาดขับเคลื่อนด้วยข้อมูล ทำให้ “ข้อมูล” ของลูกค้ากลายเป็นสิ่งที่มีมูลค่าและมีความสำคัญสำหรับธุรกิจมาก ๆ เพราะเราสามารถต่อยอดธุรกิจจากข้อมูลที่มี เพื่อพัฒนาสินค้าและบริการให้ตอบโจทย์ความต้องการของลูกค้าได้ แต่น้อยคนนักจะรู้ว่า PDPA คืออะไร?

ซึ่งกฎหมาย PDPA ที่จะมีการประกาศใช้ในวันที่ 1 มิถุนายน 2565 นั้น ถือว่าเป็นเรื่องที่สำคัญมาก เพราะการจัดเก็บข้อมูลส่วนบุคคลจากลูกค้าทั้งในรูปแบบออฟไลน์ หรือออนไลน์ หากมีการเก็บข้อมูลโดยไม่ถูกต้อง อาจมีความผิดตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ได้  

ถ้าใครยังไม่รู้ว่า PDPA คืออะไร? วันนี้ EasyPDPA จะพาทุกคนมารู้จักกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือ PDPA แบบเจาะลึก จัดเต็ม!

PDPA คืออะไร? มีความสำคัญอย่างไรกับบริษัทในยุคนี้ 

หลายคนอาจจะเคยได้ยินเกี่ยวกับข้อมูลส่วนบุคคล แต่ยังไม่รู้ว่า PDPA คืออะไร? อีกทั้งยังไม่รู้ว่า PDPA จะประกาศใช้ 1 มิถุนายน 2565 นี้

กฎหมาย PDPA (Personal Data Protection Act) เป็นพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ซึ่งถูกกำหนดขึ้นเพื่อใช้ในการคุ้มครองข้อมูลส่วนบุคคล ไม่ให้ถูกจัดเก็บหรือนำไปใช้โดยไม่ได้แจ้งให้เราทราบ และ/หรือได้รับความยินยอมจากเราในฐานะเจ้าของข้อมูลก่อน

ในปัจจุบันบริษัทหรือนักการตลาดอาจได้รับหรือเข้าถึงข้อมูลส่วนบุคคล (Personal Data) ของลูกค้าหรือผู้ใช้งานได้หลากหลายช่องทาง ไม่ว่าจะเป็นการเก็บข้อมูลส่วนบุคคลจากการสมัครสมาชิกบนเว็บไซต์ การทำธุรกรรมผ่าน Mobile-Banking การขอเข้าถึงตำแหน่งที่ตั้งและ GPS บนมือถือ หรือแม้แต่การเก็บคุกกี้จากการใช้บริการเว็บไซต์ต่าง ๆ

ด้วยเหตุนี้ จึงได้มีการสร้างกฎหมาย PDPA (Personal Data Protection Act: PDPA) หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เพื่อให้บริษัท พนักงาน หรือผู้ที่เกี่ยวข้องตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลให้มีความปลอดภัยมากขึ้น ซึ่งถ้าบริษัทเก็บรวบรวมข้อมูลทันที โดยไม่ได้มีการชี้แจงรายละเอียดเกี่ยวกับการเก็บข้อมูลส่วนบุคคลของลูกค้าหรือผู้ใช้งาน และ/หรือรวมถึงไม่ได้มีการขอความยินยอมก่อนสำหรับการประมวลผลข้อมูลส่วนบุคคลที่ต้องมีการขอความยินยอม จะกลายเป็นการกรณีที่บริษัทไม่ปฏิบัติให้ถูกต้องตาม PDPA และอาจมีความผิดได้

ข้อมูลส่วนบุคคลที่อยู่ภายใต้การคุ้มครองของ PDPA มีอะไรบ้าง?

เมื่อเราเข้าใจว่า PDPA คืออะไร? ทีนี้เราก็มารู้จักกับความหมายและประเภทของข้อมูลส่วนบุคคลกัน ข้อมูลส่วนบุคคล (Personal Data) เป็นข้อมูลที่สามารถใช้เพื่อระบุตัวตนของเจ้าของข้อมูลที่เป็นบุคคลธรรมดาคนๆนึงได้ ไม่ว่าทางตรงและทางอ้อม ตัวอย่างข้อมูล

ส่วนบุคคลทั่วไป

• ชื่อ-นามสกุล 
• เบอร์โทรศัพท์ อีเมลส่วนตัว ที่อยู่ปัจจุบัน
• เลขบัตรประชาชน เลขหนังสือเดินทาง เลขใบอนุญาตขับขี่ 
• ข้อมูลทางการศึกษา ข้อมูลทางการเงิน ข้อมูลทางการแพทย์
• ทะเบียนรถยนต์ โฉนดที่ดิน ทะเบียนบ้าน
• วันเดือนปีเกิด สัญชาติ น้ำหนักส่วนสูง
• ข้อมูลบนอื่น ๆ บนอินเทอร์เน็ตที่สามารถระบุตัวตนได้ เช่น Username /password,  Cookies IP address,  GPS Location

ถ้าข้อมูลไหนที่ไม่สามารถระบุตัวตนของเจ้าของข้อมูลได้ เช่น ข้อมูลบริษัท จะไม่ถือว่า เป็นไม่ใช่ข้อมูลส่วนบุคคล และไม่อยู่ภายใต้บังคับตาม​ PDPA เลย  

นอกจากเราจะต้องรู้จักกับข้อมูลส่วนบุคคลทั่วไปแล้ว เรายังต้องรู้จักและระมัดระวังการใช้ข้อมูลที่มีความอ่อนไหว (Sensitive Personal Data) มากเป็นพิเศษ เพราะเป็นข้อมูลที่มีความละเอียดอ่อนและอาจส่งผลกระทบต่อเจ้าของข้อมูล ทั้งในแง่ของการทำงาน สังคม และชีวิตความเป็นอยู่ โดยเฉพาะอาจนำไปสู่การเลือกปฏิบัติได้ PDPA จึงกำหนดโทษที่หนักขึ้นหากใช้ข้อมูลนั้นไม่ถูกต้อง ซึ่งอาจรวมถึงโทษอาญา ที่กรรมการต้องติดคุก 

ข้อมูลส่วนบุคคลที่มีความอ่อนไหว คือข้อมูลดังต่อไปนี้ 

• เชื้อชาติ เผ่าพันธุ์ 
• ความคิดเห็นทางการเมือง 
• ความเชื่อในลัทธิ ศาสนาหรือปรัชญา
• พฤติกรรมทางเพศ
• ประวัติอาชญากรรม 
• ข้อมูลด้านสุขภาพ ความพิการ เช่น โรคประจำตัว การฉีดวัคซีน ใบรับรองแพทย์
• ข้อมูลสหภาพแรงงาน
• ข้อมูลพันธุกรรม
• ข้อมูลชีวภาพ เช่น ลายนิ้วมือ แบบจำลองใบหน้า ข้อมูลม่านตา

ใครต้องอยู่ภายใต้ PDPA บ้าง?

หลังจากรู้จักกับประเภทของข้อมูลส่วนบุคคลที่เรารวบรวมมาให้แล้ว เราก็มาทำความรู้จักกับผู้ที่หน้าที่เกี่ยวข้องกับข้อมูลส่วนบุคคลตามกฎหมาย PDPA กันบ้าง 

1. เจ้าของข้อมูลส่วนบุคคล (Data Subject)

เจ้าของข้อมูลส่วนบุคคล หรือ Data Subject ก็คือคนที่ข้อมูลส่วนบุคคลชุดนั้นๆ จะชี้มาที่ตัวตนของบุคคลนั้นได้ ซึ่งก็คือตัวเรานั่นเอง ภายใต้ PDPA เจ้าของข้อมูลเป็นผู้ได้รับการปกป้องคุ้มครองและมีสิทธิต่าง ๆ เหนือข้อมูลส่วนบุคคลของตน 

2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

ผู้ควบคุมข้อมูลส่วนบุคคล หรือ Data Controller คือคน บริษัทหรือองค์กรต่าง ๆ  ที่เป็นคนตัดสินใจว่า จะมีการประมวลผลข้อมูลส่วนบุคคลอะไร เพื่ออะไร อย่างไร ภายใต้ PDPA ผู้ควบคุมข้อมูลส่วนบุคคลเป็นผู้มีหน้าที่และความรับผิดหลักที่ต้องปฏิบัติตาม PDPA ให้ครบถ้วน พ่อค้าแม่ค้าออนไลน์ที่รับข้อมูลจัดส่งสินค้าของลูกค้าที่ CF ของมาเพื่อติดต่อส่งของก็เป็น Data Controller ได้ และบริษัททุกบริษัททันทีที่มีพนักงานคนแรก ที่ต้องใช้ข้อมูลเพื่อจ่ายเงินเดือนก็เป็น Data Controller แล้วทั้งสิ้น

3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)

ผู้ประมวลผลข้อมูลส่วนบุคคล หรือ Data Processor คือ คน บริษัทหรือองค์กรต่าง ๆ ที่ประมวลผลข้อมูลส่วนบุคคล โดยจะทำภายใต้คำสั่ง หรือในนามของ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) เท่านั้น ไม่ได้เป็นคนตัดสินใจทำการประมวลผลข้อมูลด้วยตัวเอง ตัวอย่างเช่น พี่ๆ messenger ที่ใช้ข้อมูลส่วนบุคคลของคนที่เราต้องการส่ง ของให้เพื่อเอาของไปส่งแทนเรา กรณีนี้พี่ๆ ก็เป็น Data Processor หรือกรณีบริษัทใช้ ระบบ Cloud Service ซึ่งผู้ให้บริการจะเก็บข้อมูลแทนบริษัท ผู้ให้บริการ Cloud ก็เป็น Data Processor

ถึงแม้กฎหมาย PDPA จะเป็นที่พูดถึงกันมาบ้างแล้ว แต่หลายบริษัทอาจจะยังไม่ได้ปฏิบัติตามอย่างครบถ้วน เช่น ยังไม่มีการจัดทำ Privacy Policy หรือยังไม่ได้ขอความยินยอมในการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูล หรือยังไม่แต่งตั้ง DPO เป็นต้น การที่บริษัทต่าง ๆ ยังไม่ได้ปฏิบัติหน้าที่ของตนให้ครบถ้วนตาม PDPA อาจนำไปสู่โทษ แพ่ง ซึ่งผู้ได้รับความเสียหายได้เงินค่าเสียหายกลับบ้าน พร้อมกับที่อาจได้โบนัสจากศาลเป็นค่าเสียหายเชิงลงโทษ โทษอาญา ที่อาจนำไปสู่โทษปรับ และกรรมการอาจต้องติดคุก โดยเฉพาะกรณีการประมวลผลข้อมูลส่วนบุคคลอ่อนไหว และ โทษปกครอง ที่อาจจะถูกปรับเงินเข้ารัฐได้ง่ายๆ แค่เพราะไม่ทำตามที่กฎหมายกำหนด เช่น ไม่มี Privacy Policy

อ่านรายละเอียดเกี่ยวกับโทษทางกฎหมาย PDPA ได้ที่

โทษปรับสุดโหด หากคุณยังไม่มี Privacy Policy

สรุป 3 ขั้นตอนในการทำตาม PDPA แบบ Step By Step

อ่านบทลงโทษทางกฎหมาย PDPA แล้ว หลายคนอาจจะรู้สึกร้อน ๆ หนาว ๆ กันบ้าง แต่อย่าพึ่งตกใจไป! เพราะ ภายใต้ PDPA เรายังสามารถเก็บข้อมูลส่วนบุคคลเหล่านี้ได้ตามปกติอยู่ เพียงแต่ต้องปรับให้มีการเก็บเท่าที่จำเป็น และต้องแจ้งรายละเอียดในการเก็บ ใช้ เปิดเผยข้อมูลส่วนบุคคล ให้เจ้าของข้อมูลทราบ และในบางกรณีอาจต้องมีการขอความยินยอมด้วย จึงจะถือว่าไม่ผิดหลัก PDPA

โดย EasyPDPA ได้สรุป 3 ขั้นตอนสำหรับการทำตามกฎหมาย PDPA ง่าย ๆ ดังนี้

ขั้นตอน 1: การเตรียมความพร้อมของคนให้เข้าใจ PDPA

PDPA เป็นกฎหมายใหม่ที่จะมีผลสำคัญกับการใช้ข้อมูลส่วนบุคคของภาคธุรกิจต่อไป แต่หากทุกคนเปิดใจและทำความเข้าใจ EasyPDPA เชื่อว่า PDPA ไม่ใช่กฎหมายที่ยากเกินไป 

ขั้นตอนที่สำคัญขั้นตอนแรกในการเตรียมตัวสำหรับ PDPA จึงเป็นการเตรียมความพร้อมของคนในองค์กรเพื่อเข้าใจภาพรวม หน้าที่และขั้นตอนที่ต้องดำเนินการ 

ขั้นตอน 2: เข้าใจความจำเป็นการประมวลผลข้อมูลส่วนบุคคลและแจ้งการประมวลผล ให้ถูกวิธี

หาก Data Controller ต้องการเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูล PDPA กำหนดหน้าที่หลักว่า  Data Contoller จะต้องแจ้งเจ้าของข้อมูลให้ทราบว่า จะเก็บ ใช้ข้อมูลส่วนบุคคลใดบ้าง เพื่อประโยชน์อะไร นานเท่าไหร่ จะมีการส่งต่อเปิดเผยข้อมูลส่วนบุคคลนั้นให้ใครบ้าง จะรักษาความปลอดภัยข้อมูลเหล่านี้อย่างไร และรับประกันสิทธิการเป็นเจ้าของข้อมูลของบุคคลทั่วไปยังไง โดยต้องดำเนินการแจ้งข้อมูลทั้งหมดในเอกสารที่เรียกว่า Privacy Policy หรือนโยบายความเป็นส่วนตัวนั่นเอง

ข้อมูลสำคัญที่ต้องระบุใน  Privacy Policy

• จะมีใช้ข้อมูลส่วนบุคคลไหนบ้าง จากแหล่งไหนบ้าง?
• มีความจำเป็นในการใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อะไร?
• จะจัดเก็บข้อมูลส่วนบุคคลนานเท่าไหร่?
• จะส่งต่อหรือเผยแพร่ข้อมูลส่วนบุคคลนั้นให้ใครบ้าง? 
• จะมีวิธีในการรักษาความปลอดภัยข้อมูลส่วนบุคคลอย่างไร? 
• สิทธิในข้อมูลส่วนบุคคลของเจ้าของข้อมูลมีอะไรบ้าง และในกรณีที่ต้องการใช้สิทธิ เช่น ลบข้อมูล ต้องติดต่อใคร?

เปลี่ยน PDPA ให้เป็นเรื่องง่ายสำหรับทุกคน

หากใครยังไม่รู้ว่าจะเริ่มต้นทำแบบฟอร์มยังไง  EasyPDPA มีแบบฟอร์ม Privacy Policy เริ่มต้นเพียง 1,290 บาท  ให้คุณแจ้งผู้ใช้งานได้อย่างครบถ้วนและถูกหลัก PDPA ภายใน 2 นาที เท่านั้น

สร้าง Privacy Policy ง่ายๆ เพียง 3 ขั้นตอนเท่านั้น!

แพ็กเกจ Privacy Policy ของ EasyPDPA ใช้งานง่ายมาก เพียงแค่คุณเลือก Policy ที่ต้องการ กรอกข้อมูลบริษัท ก็ดาวน์โหลด พร้อมใช้งาน หรือถ้าไม่แน่ใจ ทำแบบทดสอบ ก่อนเลือก Policy ที่ใช่สำหรับคุณได้

อีกประเภทของข้อมูลส่วนบุคคลที่มีการเก็บสำหรับการให้บริการเว็บไซต์ ภายใต้ PDPA คือ Cookies ที่ถูกใช้เพื่อจุดประสงค์ต่าง ๆ Cookies หรือเครื่องมือในการจัดเก็บข้อมูล เพื่อช่วยให้การใช้งานบนเว็บไซต์มีประสิทธิภาพมากขึ้นถือเป็น ข้อมูลส่วนบุคคล

ซึ่งถ้าหากคุณมี Cookies ติดตั้งในหน้าเว็บไซต์ เพื่อทำการเก็บข้อมูลส่วนบุคคลโดยเฉพาะพฤติกรรมของผู้ใช้งาน คุณต้องแจ้ง และขอความยินยอมจากผู้ใช้งานก่อน โดยคุณสามารถแจ้งและขอความยินยอมจากผู้ใช้งานได้อย่างง่ายดาย ผ่าน EasyCookies Popup ถูกต้องตามหลัก PDPA สะดวกรวดเร็ว เริ่มต้นเพียง 599 บาท เท่านั้น!

เริ่มต้นใช้ EasyCookies Popup ง่ายใน 5 นาที

นอกจากการแจ้ง Privacy Policy แล้ว สำหรับนักการตลาด และการทำการตลาดของ บริษัทต่าง ๆ บริษัทอาจต้องขอความยินยอม (Consent) จากกลุ่ม target ต่าง ๆ นั้นก่อนจึงจะสามารถส่งข้อความไปติดต่อประชาสัมพันธ์ต่าง ยังคนกลุ่มดังกล่าวได้ ไม่ว่าจะเป็นการติดต่อสื่อสารผ่านช่องทางใด เช่น SMS / e-mail / Facebook Retargeting / In-App Notification เป็นต้น

โดยการขอความยินยอมนั้น เจ้าของข้อมูลมีอิสระที่จะให้หรือไม่ให้ความยินยอมก็ได้ และเจ้าของข้อมูลอาจถอนความยินยอมเมื่อไหร่ก็ได้ และเมื่อเจ้าของข้อมูลถอนความยินยอม การส่งข้อมูลการตลาดต้องหยุดในทันที 

ขั้นตอน 3:  การรักษาความปลอดภัยของข้อมูลส่วนบุคคล และการรับมือเหตุการณ์ต่าง ๆ เกี่ยวกับข้อมูลส่วนบุคคล

นอกจากการจัดทำเอกสาร Privacy Policy แล้วเมื่อมีการเก็บรักษาข้อมูลส่วนบุคคลของบุคคลใด Data Controller มีหน้าที่รักษาความปลอดภัยของข้อมูล ไม่ใช่แค่ความลับ แต่ต้องรวมถึง ความถูกต้องและความพร้อมใช้ของข้อมูลส่วนบุคคลที่ตนใช้ 

สำหรับมาตรฐานในการรักษาความปลอดภัยของข้อมูลขั้นต่ำ ประกอบด้วย 3 ส่วนหลักคือ (1) การฝึกอบรมสร้างความเข้าใจคน (2) การจัดทำ Access Control & Logging เพื่อการตรวจสอบคนที่เข้าถึงข้อมูล และ (3) มาตรการ IT Security อื่น ๆ เช่น firewall / encryption โดยกฎหมายไม่ได้กำหนดชัดเจนว่าต้อง ทำระดับไหน ขึ้นกับความเสี่ยงของข้อมูลส่วนบุคคลที่ประมวลผลเป็นหลัก

นอกจากการทำมาตรการรักษาความมั่นคงปลอดภัยแล้ว Data Controller ต้องเตรียม กลไกรับมือเหตุการณ์เกี่ยวกับข้อมูลส่วนบุคคลหลัก คือ (1) การเกิดเหตุละเมิดข้อมูลส่วน บุคคล (Data Breach) ไม่ว่าจะจาการโดน ransomware หรือการทำข้อมูลหลุดรั่วไหล ซึ่ง Data Controller ต้อง take action รวมถึงรายงานเหตุการณ์ในกำหนดเวลา และ (2) การใช้สิทธิของเจ้าของข้อมูลที่อาจใช้ได้ตลอดเวลา และ Data Controller ต้องดำเนินการเพื่อตอบรับหรือปฏิเสธให้เหมาะสม

6 เอกสาร PDPA ที่บริษัทต้องเตรียมพร้อม

สำหรับใครที่กำลังมองหาเอกสาร PDPA เพื่อเตรียมความพร้อมให้กับบริษัทและองค์กรของตนเอง ทาง EasyPDPA ก็มี 6 เอกสาร PDPA 4พร้อมแบบฟอร์มอื่น ๆ มาแนะนำให้บริษัทได้นำไปใช้ในองค์กรกัน

1. Privacy Policy เอกสารการจัดเก็บข้อมูลส่วนบุคคล

หากเว็บไซต์ของเรา มีการเก็บข้อมูลของผู้เข้าเยี่ยมชม (เช่น ชื่อนามสกุล อีเมล ข้อมูลการติดต่อ) และ/หรือใช้ Cookies ประเภทต่างๆ เพื่อ ติดตามการใช้งานบน เว็บไซต์ ถือได้ว่าเรากำลังเก็บข้อมูลส่วนบุคคลและตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) อยู่

ดังนั้น เราจึงจำเป็นที่จะต้องแจ้ง Privacy Policy เพื่อให้เจ้าของข้อมูลส่วนบุคคลรับทราบและยินยอมในการจัดเก็บข้อมูลนี้

2. HR Privacy Policy เอกสารสำหรับการทำงานของ HR

HR เป็นตำแหน่งที่ต้องทำงานผ่านเอกสารข้อมูลส่วนบุคคลตลอด ตั้งแต่ การรับสมัคร การทำสัญญาจ้าง การปฏิบัติหน้าที่ของลูกจ้าง จนถึงการยกเลิกสัญญา บริษัทเก็บข้อมูลส่วนบุคคลของพนักงานอย่างหลากหลาย ทั้งที่เป็นข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการทำงาน (เช่น ชื่อนามสกุล ประวัติการทำงาน คุณสมบัติการทดสอบ การเบิกเงินเดือนและสวัสดิการต่างๆ) และอาจรวมถึงข้อมูลส่วนบุคคลอ่อนไหว (เช่น ลายนิ้วมือ ข้อมูลสุขภาพ และประวัติอาชญากรรม) ซึ่งบริษัทมีหน้าที่ตาม PDPA ต้องแจ้ง Privacy Policy และต้องขอความยินยอมจากพนักงานดังกล่าว

3. Cookies Privacy Package เอกสารสำหรับเว็บไซต์

หากเรามีเว็บไซต์ที่ใช้ Cookies ประเภทต่างๆ เพื่อติดตามการใช้งานเว็บไซต์ของผู้เยี่ยมชม (เช่น Google Analytic / Facebook Pixel) เราจำเป็นต้องแจ้งให้ผู้ใช้ทราบ และให้สิทธิในการตั้งค่า Cookies แก่บุคคลดังกล่าว เอกสาร Cookies Privacy Policy สำหรับประกาศแจ้งการเก็บข้อมูลด้วย Cookies บน Website ภาษาไทย และแปลภาษาอังกฤษ พร้อมคำแนะนำ เกี่ยวกับการแจ้งให้สิทธิตั้งค่า Cookies

4. CCTV Privacy Policy เอกสารสำหรับการเก็บภาพบุคคล

หากเราติดตั้งกล้อง CCTV ในพื้นที่ของคุณเพื่อความปลอดภัย ด้วยระบบ CCTV เรากำลังเก็บภาพถ่ายใบหน้าของคนที่เข้าพื้นที่ ซึ่งถือเป็นข้อมูลส่วนบุคคล ดังนั้นเราจึงมีหน้าที่ต้องแจ้งให้บุคคลนั้นทราบถึงการเก็บข้อมูลเป็น CCTV Privacy Policy

5. Data Processing Agreement เอกสารเปิดเผยข้อมูล

หากเรามีความจำเป็นต้องรับ หรือส่งต่อ เปิดเผยข้อมูลส่วนบุคคลของบุคคลใดก็ตาม กับบุคคลภายนอกองค์กรของท่าน เช่น การส่งต่อข้อมูลลูกค้าให้แก่ ผู้ให้บริการภายนอก (Outsource) เพื่อการจัดส่งสินค้า หรือกรณีที่เราเป็นบริษัทที่ปรึกษาที่ได้รับข้อมูล ต่อมาจากผู้ว่าจ้าง) เพื่อเป็นการรับประกันสิทธิ หน้าที่ และความรับผิดชอบของคู่สัญญาทั้งสองฝ่าย เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล ควรมีการจัดทำสัญญาข้อตกลงการประมวลผลข้อมูลส่วนบุคคลระหว่างกัน

6. DPO Working Document เอกสารสำหรับ DPO

หากเรามีความจำเป็นต้องรับ หรือส่งต่อ เปิดเผยข้อมูลส่วนบุคคลของบุคคลใดก็ตาม กับบุคคลภายนอกองค์กรของท่าน เช่น การส่งต่อข้อมูลลูกค้าให้แก่ ผู้ให้บริการภายนอก (Outsource) เพื่อการจัดส่งสินค้า หรือกรณีที่เราเป็นบริษัทที่ปรึกษาที่ได้รับข้อมูล ต่อมาจากผู้ว่าจ้าง) เพื่อเป็นการรับประกันสิทธิ หน้าที่ และความรับผิดชอบของคู่สัญญาทั้งสองฝ่าย เกี่ยวกับการประมวลผลข้อมูล ส่วนบุคคล ควรมีการจัดทำสัญญาข้อตกลงการประมวลผลข้อมูลส่วนบุคคลระหว่างกัน

เตรียมพร้อมรับมือ PDPA ด้วย Policy

เตรียมพร้อมรับมือวันประกาศใช้ PDPA 1 มิถุนายนนี้ ด้วย Privacy Policy จาก EasyPDPA เรามี เอกสาร PDPA ทุกประเภท ร่างโดยทีมนักกฎหมายผู้เชี่ยวชาญระดับประเทศ พร้อมใช้ภายใน 1 นาที

จบไปแล้วกับสาระน่ารู้ที่ EasyPDPA สรุปมาให้ทุกคนได้อ่านกันในวันนี้ เชื่อว่าหลายคนจะรู้จักกับ PDPA มากขึ้น และเห็นถึงความสำคัญว่า กฎหมายจะมีส่วนบังคับกับการใช้ข้อมูลส่วนบุคคลของภาคธุรกิจ ไม่ว่าจะเล็กหรือใหญ่ และทุกองค์กรต้องเตรียมพร้อมกับการปฏิบัติตาม PDPA นี้ แต่ถ้าเข้าใจ ทาง EasyPDPA เชื่อว่า PDPA can be made Easy

ข้อมูลส่วนบุคคลอ่อนไหวคืออะไร

ข้อมูล Sensitive Data Pdpa มีอะไรบ้าง

ข้อมูลส่วนบุคคลใดถือเป็นข้อมูลที่มีความละเอียดอ่อน

ข้อมูลส่วนบุคคล คืออะไร จงอธิบายพร้อมยกตัวอย่าง