เอกสารประเภท PDPA ประเภทไหนบ้างที่บริษัทต้องรู้

เอกสารที่บริษัทและองค์กรต่าง ๆ จะต้องใช้ เพื่อขอความยินยอมจากข้อมูลส่วนบุคคล ทั้งที่เป็นบุคคลในองค์กร หรือบุคคลนอกองค์กร รวมไปถึงผู้ติดต่อสัมพันธ์ หรือลูกค้าขององค์กรที่อาจมีการใช้ข้อมูลส่วนบุคคลเข้ามาประกอบ ซึ่งจะต้องมีความระมัดระวังอย่างสูง เพราะหากมีการเก็บข้อมูลไม่ถูกต้อง อาจมีความผิดตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ได้ 

กฏหมาย PDPA คืออะไร 

PDPA ย่อมาจาก Personal Data Protection Act คือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ซึ่งได้กำหนดขึ้นเพื่อใช้ในการคุ้มครองข้อมูลส่วนบุคคลไม่ให้ถูกจัดเก็บ หรือนำไปใช้โดยไม่ได้แจ้งให้เจ้าตัวทราบ หรือได้รับความยินยอมจากเจ้าของข้อมูลก่อน 

ข้อมูลส่วนบุคคลที่อยู่ภายใต้การคุ้มครองของ PDPA มีอะไรบ้าง 

1. ชื่อ-นามสกุล 
2. วัน เดือน ปี เกิด 
3. เบอร์โทรศัพท์ อีเมล ที่อยู่ปัจจุบัน ทะเบียนบ้าน
4. หมายเลขบัตรประชาชาน เลยหนังสือเดินทาง เลขใบอนุญาตขับขี่
5. ข้อมูลทางการศึกษา ข้อมูลทางการเงิน ข้อมูลสุขภาพ
6. ประวัติอาชญากรรม
7. ข้อมูลระบุตัวตนบนสื่ออินเทอร์เน็ต เช่น Username , password , cookies IP address , GPS Location 

6 เอกสารประเภท PDPA สำคัญสำหรับการจัดการข้อมูลส่วนบุคคลที่บริษัทควรรู้ ได้แก่ 

1. Privacy Policy เอกสารการจัดเก็บข้อมูลส่วนบุคคล บริษัทที่มีเว็บไซต์เป็นของตัวเอง จะมีการจัดเก็บข้อมูลของผู้เข้าเยี่ยมชม เช่น ชื่อนามสกุล อีเมล ข้อมูลการติดต่อ หรือใช้ Cookies เพื่อติดตามผลการใช้เว็บไซต์ ซึ่งถือว่าเป็นการเก็บข้อมูลส่วนบุคคลตาม พ.ร.บ.PDPA อยู่ จึงต้องทำแจ้งให้เจ้าของข้อมูลส่วนบุคคลรับรู้ก่อน และมีเอกสาร Privacy Policy เพื่อแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบและยินยอมในการจัดเก็บข้อมูล จึงจะสามารถทำได้โดยไม่ผิดกฏหมาย PDPA 
2. PDPA สำหรับฝ่ายบุคคล หรือ HR เนื่องฝ่ายนี้จะต้องทำงานเกี่ยวกับเอกสารทั้งหมด ซึ่งส่วนใหญ่มักจะเป็นเอกสารที่มีข้อมูลส่วนบุคคล ตั้งแต่ ชื่อนามสกุล ประวัติการทำงาน การเบิกเงินเดือน ข้อมูลสุขภาพ ประวัติอาชญากรรม ลายนิ้วมือ เป็นต้น บริษัทและพนักงานฝ่ายบุคคล(HR) จึงต้องแจ้ง Privacy Policy เพื่อขอความยินยอมในการจัดเก็บและประมวลผลข้อมูลส่วนบุคคลของพนักงานด้วย 
3. CCTV Privacy Policy เอกสารการเก็บภาพบุคคล กรณีที่บริษัทมีการติดตั้งกล้อง CCTV ในพื้นที่เพื่อรักษาความปลอดภัย แต่การเก็บภาพถ่ายบุคคลก็ถือเป็นข้อมูลส่วนบุคคลเช่นกัน จึงต้องมีการแจ้งให้บุคคลที่ถูกถ่ายจากกล้อง CCTV รับทราบด้วย เพื่อเก็บข้อมูลโดยขอความยินยอมในการบันทึกภาพจาก CCTV Privacy Policy  
4. Cookies Privacy Package เอกสารสำหรับเว็บไซต์ เพราะ Cookies เป็นเครื่องมือใช้ในการติดตามการใช้งานของผู้เยี่ยมชมเว็บไซต์ เช่น Google ,  Analytic , Facebook , Pixel  เป็นต้น ดังนั้น ก่อนที่จะเก็บข้อมูลของผู้เข้าเยี่ยมชมเว็บไซต์ จะต้องแจ้งให้ผู้ใช้งานรับทราบก่อน และให้สิทธิในการตตั้งค่า Cookies สำหรับบุคคลดังกล่าวด้วย 
5. DATA Processing Agreement เอกสารเปิดเผยข้อมูล บริษัทส่วนใหญ่มักจะมีการส่งต่อหรือโอนข้อมูลส่วนบุคคลของพนักงานให้กับหน่วยงานอื่นนอกองค์กร ซึ่งอาจเป็น Outsource เพื่อการจัดส่งสินค้า หรือการโอนส่งข้อมูลในกรณีว่าจ้างผู้อื่นนอกองค์กรเป็นที่ปรึกษาเพื่อเป็นการรับประกันสิทธิ หน้าที่ รวมถึงความรับผิดชอบของคู่สัญญา
6. DPO Working Document เอกสารสำหรับ DPO การรับข้อมูลส่งต่อ ไม่ว่าจะเป็นฝ่ายส่งข้อมูลส่วนบุคคลให้กับบุคคลภายนอกองค์กร หรือจะเป็นฝ่ายรับข้อมูลฯ จากการว่าจ้างนอกองค์กร เพื่อการรับประกันสิทธิ หน้าที่ และความรับผิดชอบของคู่สัญญาทั้งสองฝ่าย

สรุป 

ไม่ว่าอย่างไรก็ตาม พนักงานและผู้เกี่ยวข้องในการจัดการเอกสารต่าง ๆ ตลอดไปถึงการเก็บข้อมูลส่วนบุคคลไม่ว่าในรูปแบบใดก็ตาม จะต้องคำนึงและทำตามทั้ง 6 ข้อที่กล่าวมาทั้งหมดนี้อย่างเคร่งครัด ไม่เช่นนั้น อาจทำผิด พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ได้