บทนำ
นโยบายความเป็นส่วนตัวหรือนโยบายคุ้มครองข้อมูลส่วนบุคคลเป็นสัญญาอย่างหนึ่ง โดยมีคู่สัญญาฝ่ายหนึ่งคือผู้ให้บริการหรือเจ้าของเว็บไซต์หรือแอปพลิเคชันซึ่งเป็นผู้เก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลของคู่สัญญาอีกฝ่ายหนึ่งซึ่งเรียกว่าผู้ใช้งานเว็บไซต์หรือแอปพลิเคชันซึ่งเข้ามาใช้บริการในเว็บไซต์หรือแอปพลิเคชันนั้น โดยเนื้อหาในสัญญาจะกล่าวถึงสิทธิและหน้าที่ของคู่สัญญาแต่ละฝ่ายเกี่ยวกับการให้ข้อมูล การเก็บรวบรวมข้อมูล การใช้ข้อมูล รวมถึงการเผยแพร่ข้อมูลของผู้ใช้งานเว็บไซต์หรือแอปพลิเคชัน
โดยที่ข้อมูลส่วนบุคคลของผู้ใช้งาน ได้แก่ ข้อมูลที่สามารถระบุตัวบุคคลซึ่งเป็นเจ้าของข้อมูลนั้นได้ ไม่ว่าจะเป็นข้อมูลส่วนบุคคลทั่วไป เช่น ชื่อ นามสกุล ที่อยู่ วันเดือนปีเกิด เบอร์โทรศัพท์ อายุ วุฒิการศึกษา งานที่ทำ หรือข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) เช่น เชื้อชาติ เผ่าพันธ์ุ ความคิดเห็นทางการเมือง ความเชื่อ (ลัทธิ ศาสนา ปรัชญา) พฤติกรรมทางเพศ ประวัติอาชญากรรม สุขภาพ ความพิการ พันธุกรรม ข้อมูลชีวภาพ ข้อมูลภาพจำลองใบหน้า ม่านตา หรือลายนิ้วมือ สหภาพแรงงานของผู้ใช้งาน
ทั้งนี้ ข้อกำหนดเงื่อนไขต่างๆ ที่กำหนดในนโยบายคุ้มครองข้อมูลส่วนบุคคล (เช่น การได้รับความยินยอมจากผู้ใช้งานในการเก็บรวบรวม ใช้ และ/หรือเผยแพร่ข้อมูลส่วนบุคคลของผู้ใช้งาน) จะต้องสอดคล้องและไม่ขัดต่อกฎหมายคุ้มครองข้อมูลส่วนบุคคล ในทางกลับกันอาจกล่าวได้ว่าผู้ให้บริการหรือเจ้าของมักจัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคลเพื่อให้การเก็บรวบรวม ใช้ เปิดเผยข้อมูลนั้นถูกต้องและเป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
การนำไปใช้
ในการจัดทำนโยบายความเป็นส่วนตัวหรือนโยบายคุ้มครองข้อมูลส่วนบุคคล ผู้จัดทำควรพิจารณาดังต่อไปนี้
ระบุ สิทธิ หน้าที่ และความรับผิดชอบต่างๆ ระหว่างผู้ให้บริการหรือเจ้าของกับผู้ใช้งานเว็บไซต์หรือแอปพลิเคชัน รวมถึงข้อมูลต่างๆ เกี่ยวกับความเป็นส่วนตัวที่ผู้ใช้งานควรทราบ เช่น ข้อมูลของผู้ให้บริการหรือเจ้าของเว็บไซต์หรือแอปพลิเคชัน สถานที่ตั้ง ช่องทางการติดต่อสอบถาม การร้องเรียน และแจ้งปัญหา การโฆษณาประชาสัมพันธ์ การควบคุมการใช้งานโดยผู้ปกครอง (Parental Control) การใช้คุกกี้ (Cookies) เป็นต้น
ผู้ให้บริการหรือเจ้าของเว็บไซต์หรือแอปพลิเคชันควรจัดให้ผู้ใช้งานสามารถเข้าถึงนโยบายความเป็นส่วนตัวนี้ได้โดยง่ายและเปิดเผยไว้ที่หน้าแรกของเว็บไซต์หรือแอปพลิเคชัน นอกจากนี้ยังควรให้ผู้ใช้งานอ่านและตอบยอมรับนโยบายความเป็นส่วนตัวของเว็บไซต์หรือแอปพลิเคชันก่อนการใช้งานครั้งแรกด้วยเพื่อเป็นการแสดงถึงความยินยอมและความตกลงที่จะยอมรับปฏิบัติตามเงื่อนไขของนโยบายความเป็นส่วนตัวโดยชัดแจ้ง
ในกรณีที่ผู้ให้บริการหรือเจ้าของเว็บไซต์หรือแอปพลิเคชันต้องการกำหนดเงื่อนไขการใช้งานเว็บไซต์หรือแอปพลิเคชันโดยละเอียด เช่น ระเบียบ ข้อกำจัดการใช้งาน เงื่อนไขการเป็นสมาชิก เงื่อนไขการขาย หรือให้บริการผ่านเว็บไซต์หรือแอปพลิเคชัน ผู้ให้บริการหรือเจ้าของเว็บไซต์หรือแอปพลิเคชันอาจจัดให้มีข้อกำหนดและเงื่อนไขการใช้เว็บไซต์/แอปพลิเคชัน ควบคู่ไปพร้อมกันกับนโยบายความเป็นส่วนตัวนี้ด้วยก็ได้ ในกรณีนี้ข้อกำหนดและเงื่อนไขการใช้เว็บไซต์/แอปพลิเคชันดังกล่าวควรจะสอดคล้องและไม่มีข้อความหรือเงื่อนไขที่ขัดแย้งกัน
ข้อควรคำนึงตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
ในกรณีที่ผู้ให้บริการหรือเจ้าของเว็บไซต์หรือแอปพลิเคชันมีการเก็บรวบรวม ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคลของผู้ใช้งานตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ผู้ให้บริการหรือเจ้าของเว็บไซต์หรือแอปพลิเคชันซึ่งเก็บรวบรวม ใช้ และ/หรือเผยแพร่ข้อมูลส่วนบุคลลจะถือว่าเป็น ผู้ควบคุมข้อมูล ซึ่งจะมีหน้าที่ตามกฎหมายดังกล่าว เช่น
- ผู้ควบคุมข้อมูลต้องได้รับความยินยอมอย่างชัดแจ้งจากผู้ใช้งานเว็บไซต์หรือแอปพลิเคชันซึ่งเป็นเจ้าของข้อมูลนั้นก่อนจะเก็บรวบรวม ใช้ หรือเผยแพร่ข้อมูลดังกล่าว โดยความยินยอมนั้นจะต้องระบุข้อมูลสำคัญในการขอความยินยอมนั้นด้วย เช่น วัตถุประสงค์การนำข้อมูลไปใช้ ระยะเวลาในการเก็บรวบรวมข้อมูล หน่วยงานที่อาจได้รับการเปิดเผยข้อมูล สิทธิของเจ้าของข้อมูลที่มีต่อผู้ให้บริการเกี่ยวกับข้อมูลส่วนบุคคลที่เก็บรวบรวม ทั้งนี้ ในการให้ความยินยอมของบุคคลที่มีความบกพร่องทางความสามารถ (เช่น ผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ) ผู้ใช้อำนาจปกครองบุคคลเหล่านั้นจะต้องเป็นผู้ให้ความยินยอมแทนผู้ใช้งานผู้เป็นเจ้าของข้อมูลด้วย เช่น ผู้ปกครอง ผู้อนุบาล หรือผู้พิทักษ์แล้วแต่กรณีด้วย
- ผู้ควบคุมข้อมูลต้องดำเนินการซึ่งเป็นหน้าที่ต่างๆ ของผู้ควบคุมข้อมูลที่สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล เช่น จัดให้ผู้ใช้งานเจ้าของข้อมูลสามารถถอนความยินยอมได้ง่ายและได้รับข้อมูลเพียงพอในการถอนความยินยอม การแจ้งข้อมูลผลกระทบสำคัญต่อเจ้าของข้อมูล จัดให้มีวิธี มาตรการ มาตรฐาน หรือระบบเพื่อรักษาความมั่นคงปลอดภัยของข้อมูลที่เหมาะสม จัดให้มีการแก้ไขปรับปรุงข้อมูลให้เป็นปัจจุบันและ/หรือที่ถูกต้อง ลบ ทำลายข้อมูลที่เกินระยะเวลาเก็บรวบรวมหรือที่ไม่เกี่ยวข้อง บันทึกรายการสำคัญเกี่ยวกับการจัดเก็บ การใช้ หรือการเปิดเผยข้อมูลเพื่อการตรวจสอบจากผู้ใช้งานเจ้าของข้อมูลหรือจากหน่วยงานของรัฐ จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเพื่อปฏิบัติหน้าที่ตามที่กฎหมายกำหนดในกรณีที่มีการดำเนินกิจกรรมที่เข้าเงื่อนไขของกฎหมายคุ้มครองข้อมูลส่วนบุคคล และหน้าที่อื่นๆ ตามกฎหมายดังกล่าว
- ผู้ควบคุมข้อมูลต้องจัดให้มีการดำเนินการและมีมาตรการของพนักงานผู้ที่มีส่วนเกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือเผยแพร่ข้อมูลเพื่อให้มีการดำเนินการที่สอดคล้องและเป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลด้วย
- ในกรณีที่มีการให้ข้อมูลแก่บุคคลอื่น เช่น ผู้ประมวลผลข้อมูลหรือบุคคลภายนอก จะต้องมีมาตรการควบคุมไม่ให้บุคคลอื่นนั้นใช้ข้อมูลที่ไม่เป็นไปตามกฎหมายด้วย และในกรณีที่มีการส่งข้อมูลออกไปนอกประเทศจะต้องมั่นใจว่าผู้รับข้อมูลนั้นมีมาตรการคุ้มครองความปลอดภัยของข้อมูลที่ไม่ด้อยไปกว่ามาตรฐานที่กำหนดในประเทศไทย
- อนึ่ง หากผู้ให้บริการหรือเจ้าของเว็บไซต์หรือแอปพลิเคชันไม่ปฏิบัติตามกฎหมายดังกล่าว อาจมีโทษทั้งทางแพ่ง (เช่น ชดใช้ค่าเสียหายและค่าเสียหายเชิงลงโทษแก่เจ้าของข้อมูลที่ได้รับความเสียหาย) โทษทางอาญา (เช่น จำคุก ปรับ) และโทษทางปกครอง (เช่น สั่งให้ดำเนินการแก้ไข ตักเตือน หรือปรับ)
กฎหมายที่ใช้บังคับ
นโยบายความเป็นส่วนตัวนี้อยู่ภายใต้บังคับกฎหมายของประเทศไทย