Privacy Policy กับ Privacy Notice แตกต่างกันยังงัย? /

เมื่อองค์กรที่จัดเก็บข้อมูลส่วนบุคคลจะต้องปฎิบัติตามกฎหมาย คงจะมีข้อสงสัยที่ว่า Privacy Policy กับ Privacy Notice แตกต่างกันอย่างไร แล้วนโยบายความเป็นส่วนตัวที่แปะบนเว็บไซต์ ยังไม่เพียงอีกหรอ ในบทความนี้เราจะมาคลายความสงสัยกันนะครับว่าคำตอบของคำถามที่กล่าวมาข้างต้นมันเป็นอย่างไร

ความหมายของ Privacy Policy กับ Privacy Notice

Privacy policy และ Privacy Notice คือหนึ่งในข้อบังคับของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ซึ่งจุดประสงค์ของการใช้มันแตกต่างกันครับ งั้นเรามาเริ่มต้นด้วยความหมายของ 2 อย่างนี้กันก่อน

Privacy Policy คือข้อตกลง หรือคำแถลงการเกี่ยวกับแนวทางการจัดเก็บ รวบรวม และใช้งานข้อมูลส่วนบุคคลคนภายในองค์กร หรือหน่วยงาน ซึ่งในเนื้อหามันส่งผลโดยตรงกับพนักงานที่ใช้ข้อมูลส่วนบุคคลไม่ว่าจะเก็บ หรือใช้ก็ตาม ดังนั้นพนักงานต้องเข้าใจ และทำตามนโยบายที่องค์กรกำหนดมาอย่างเคร่งครัด

ส่วน Privacy Notice คือคำประกาศถึงเจ้าของข้อมูลที่กล่าวถึงวิธีการจัดเก็บ ประมวลผล รักษา และทำลายข้อมูลส่วนบุคคล ซึ่งในบางครั้งก็สามารถเรียกอีกชื่อนึงว่า “นโยบายความเป็นส่วนตัว” หรือ นโยบายการประมวลผลข้อมูลส่วนบุคคล

พออ่านมาถึงจุดนี้ก็จะเข้าใจแล้วล่ะครับว่าความแตกต่างระหว่าง Privacy Policy และ Privacy Notice เป็นอย่างไร ซึ่งสรุปได้ว่าPrivacy Policy จะโฟกัสเกี่ยวกับแนวทางการจัดเก็บ รวบรวม และการใช้ข้อมูลส่วนบุคคลของพนักงานในองค์กร ส่วน Privacy Notice จะโฟกัสไปยังเจ้าของข้อมูล (Data Subject) หรือผู้ที่มีส่วนได้ส่วนเสียในองค์กรว่าจะทำอะไรกับข้อมูลส่วนบุคคลนั่นเอง

ซึ่งจุดประสงค์ หรือเนื้อหาก็จะแตกต่างกัน โดยเนื้อหาของPrivacy Policy ก็จะมีดังนี้

Scope
- รูปแบบการเก็บข้อมูล (Electroinic, กระดาษ, มีการ Encrypted หรือไม่)
- ใครที่ส่วนเกี่ยวข้องกับนโยบายนี้บ้าง (พนักงาน, Supplier, Vendors)

คำแถลงนโยบาย

- คำชี้แจงนโยบายการเก็บ รวบรวม และใช้ข้อมูลส่วนบุคคล
- โทษของการไม่ปฎิบัติตามนโยบาย

ความหมายของข้อมูลส่วนบุคคล
- การจำแนกข้อมูลส่วนบุคคล

มาตรฐานการป้องกัน
วิธีการทำลายข้อมูล
ผู้รับผิดชอบในการตอบคำถาม (DPO)
มีผลบังคับใช้เมื่อไหร่

Privacy Notice เนื้อหาจะประกอบไปด้วย

เก็บข้อมูลส่วนบุคคลเมื่อไร
จุดประสงค์ในการเก็บข้อมูล
ข้อมูลอะไรบ้างที่จะเก็บ
วิธีการป้องกันความปลอดภัยของข้อมูลส่วนบุคคล
เมื่อไหร่ที่คุณจะส่งต่อข้อมูลให้กับ Data Processor (ถ้ามี)
ใครที่รับผิดชอบในการ
- ตอบคำถาม
- แจ้งแก้ไข หรือลบข้อมูล
กระบวนการในการประสานงานหากเกิดข้อมูลรั่วไหล
มีผลบังคับใช้เมื่อไหร่

หมายเหตุ :Privacy Policy จะต้องมีเนื้อหาที่ละเอียดกว่า Privacy Notice เพราะมีผลกระทบกับผู้ที่ใช้งานข้อมูลส่วนบุคคลโดยตรงเกี่ยวกับรายละเอียดวิธีการจัดการข้อมูลส่วนบุคคลมากกว่าประกาศเกี่ยวกับความเป็นส่วนตัวเพื่อให้แนวทางสำหรับการใช้ข้อมูลส่วนบุคคลอย่างถูกต้อง นอกจากนี้ ถ้าหากองค์กรได้มีการแชร์ข้อมูลให้กับ Data Processor ยังมีความจำเป็นจะต้องจัดทำ Data Processing agreement หรือ ประกาศเกี่ยวกับความเป็นส่วนตัวจะมีส่วนที่อธิบายถึงสิ่งที่จะดำเนินการกับข้อมูลส่วนบุคคล

สรุปแล้วนโยบายความเป็นส่วนตัวจะเน้นใช้งานภายในองค์กรโดยบอกพนักงานว่าพวกเขาจะทำอะไรกับข้อมูลส่วนบุคคล ระเบียบข้อบังคับการใช้งานข้อมูล

ในขณะที่ประกาศเกี่ยวกับความเป็นส่วนตัวจะถูกประกาศสู่บุคคลบุคคลภายนอกโดยบอกลูกค้าหน่วยงานกำกับดูแลและผู้มีส่วนได้ส่วนเสียอื่น ๆ ว่าองค์กรทำอะไรกับข้อมูลส่วนบุคคลนั่นเองครับ

Reference : https://www.csoonline.com/article/3063601/privacy-policies-and-privacy-notices-whats-the-difference.html#:~:text=A%20privacy%20policy%20instructs%20employees,retains%20and%20discloses%20personal%20information.