มีคนถามมาส่วนตัว เลยนำมาแชร์ให้สาธารณะ นะครับ และต้องบอกก่อนว่านี่เป็นแค่ความเห็นส่วนตัวของผม ไม่มีผลรับผิดชอบใด ๆ ทางกฎหมาย
Privacy Notice คือ การอธิบายให้ data subject ทราบว่า data controller เก็บรวบรวม ใช้ ประมวลผล และจัดเก็บข้อมูล เพื่ออะไร อย่างไร ใช้ฐานกฎหมายไหน
1 ระบุว่าใช้ฐานกฎหมายอะไรในการเก็บรวบรวมข้อมูลส่วนบุคคล (ถ้าไม่ใช้ฐานความยินยอม น่าจะอ้างมาตรา ให้ชัดเจนด้วย เช่น
1.1 เพื่อผลประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) มาตรา 24 (5))
1.2 เป็นความจำเป็นในการปฎิบัติตามสัญญา (Contractual Necessity) มาตรา 24 (3))
1.3 หรือถ้าใช้ ฐานความยินยอม ก็บอกไป
2 เก็บข้อมูลอะไรเขาบ้าง บอกรายชื่อข้อมูลให้ชัด เช่น ชื่อ นามสกุล ที่อยู่ ตำแหน่ง location ฯลฯ
3 เอาข้อมูลเขาไปทำอะไร เพื่อประโยชน์อะไร เขียนให้อ่านแล้วรู้ว่า มันจำเป็นต้องเก็บ ไม่งั้น ไม่บรรลุวัตถุประสงค์ เช่น
3.1 ต้องการนำชื่อ-นามสกุล ที่อยู่ เบอร์โทรศัพท์มาใช้ในการจัดส่งใบแจ้งหนี้ค่าน้ำ-ไฟ-อินเทอร์เน็ต
3.2 ต้องบันทึกอัตราการใช้ น้ำ-ไฟ อินเทอร์เน็ต เพื่อมาคำนวณค่าบริการ
3.3 ต้องการนำ timeline มาวิเคราะห์ สอบสวนโรค ตัว App จึงจำเป็นต้องจัดเก็บเวลาและสถานที่ ที่ data subject ไปเยือนมา พร้อมทั้งประวัติการเข้าใกล้กับมือถือเครื่องต่าง ๆ
4 บอกระยะเวลาการจัดเก็บไว้ด้วย ซึ่งถ้ามีการประมวลผลข้อมูลดิบ เป็นข้อมูลอีกชุดหนึ่ง อาจจะมีระยะเวลาจัดเก็บไม่เท่ากัน เช่น ข้อมูลดิบเก็บ 7 วัน ข้อมูลใหม่ที่เกิดจากการประมวลผลดิบเก็บ 60 วัน
***ตัวอย่าง รูปธรรม เช่น ภาพ CCTV จัดเก็บไว้ 30 วัน และหากมีกรณีโจรกรรมเกิดขึ้น ภาพ CCTV (เฉพาะชุดที่เกี่ยวกับโจรกรรม) จะถูกสำเนาเก็บไว้ต่อ จนกว่าคดี จะสิ้นสุด
5 สิทธิของ data subject ที่สอดคล้องกับฐานกฎหมายนั้น ๆ (ซึ่งไม่เหมือนกันนะครับ ขึ้นกับฐานกฎหมายที่เลือก) ตรงนี้ ถ้าเขาไม่มีสิทธิอะไรอาจจะไม่เขียนก็ได้ว่า “ท่านไม่มีสิทธิ…” เพราะมันจะฟังดู negative เขียนเฉพาะเรื่องที่มีสิทธิ เช่น ท่านมีสิทธิขอให้หยุดการประมวลผลในกรณี …. โดยแจ้งมาที่….
ต่างกันยังไง ระหว่าง Consent form, Privacy Notice, Privacy Policy
การใช้กฎหมายเป็นเครื่องมือ บูรณาการ แบ่งปัน แลกเปลี่ยนข้อมูลภาครัฐ
***ออกอากาศเมื่อ 13 ก.พ. 64
ขอขอบคุณแหล่งที่มา :
Facebook : ดร.มนต์ศักดิ์ โซ่เจริญธรรม