แนวทางการแจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคล

แนวทางการแจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคล

การแจ้งวัตถุประสงค์ และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคล ถือเป็นหลักการ
เรื่องความโปร่งใส (Transparency) ที่สำคัญประการหนึ่งที่ "ผู้ควบคุมข้อมูลส่วนบุคคล" ต้องปฏิบัติ 


เพื่อให้เจ้าของข้อมูลส่วนบุคคลได้รับทราบถึงวัตถุประสงค์ และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคล ด้วยเหตุนี้หลักการในการแจ้งวัตถุประสงค์จึงได้ถูกบัญญัติไว้ใน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มาตรา 21 ประกอบมาตรา 23

โดยมีหลักการที่สำคัญ คือ ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลแก่เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล ซึ่งกฎหมายไม่ได้มีการกำหนดรูปแบบหรือวิธีการแจ้งไว้เป็นการเฉพาะ

ดังนั้น ผู้ควบคุมข้อมูลส่วนบุคคล จึงสามารถแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบได้หลายวิธี อาทิ การแจ้งเป็นหนังสือ การแจ้งทางข้อความโทรศัพท์มือถือ การแจ้งทางอีเมล หรือโดยวิธีการทางอิเล็กทรอนิกส์อื่นใด เช่น QR code หรือ URL เป็นต้น

โดยที่ผู้ควบคุมข้อมูลส่วนบุคคลสามารถเลือกใช้วิธีการต่าง ๆ ได้ตามความเหมาะสมหรือตามเทคโนโลยีที่เอื้ออำนวย

คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้เผยแพร่แนวทางการดำเนินการในการแจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคล ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ

ซึ่งมีตัวอย่าง วิธีการแจ้งทางอิเล็กทรอนิกส์เพื่อให้มีความโปร่งใสในรูปแบบที่เข้าใจง่ายและสามารถนำมาประยุกต์ได้ ดังนี้

1. การแสดงผลในรูปแบบโครงสร้างลำดับชั้น (Layered approach) คือ รูปแบบการให้ข้อมูลสั้น ๆ เป็นลำดับชั้นแก่เจ้าของข้อมูลส่วนบุคคล โดยมีลิงค์ (Link) ขยายรายละเอียดข้อมูลลงไปแต่ละส่วนเพื่อให้เจ้าของข้อมูลส่วนบุคคลสามารถกดเพื่อดูรายละเอียดเพิ่มเติมตามตัวอย่างนี้

แนวทางการแจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคล

2. การแสดงผลในรูปแบบตาราง (Dashboard) คือ วิธีการที่ทำให้เจ้าของข้อมูลส่วนบุคคลสามารถเข้ามาจัดการข้อมูลส่วนบุคคลของตนเองได้ โดยมีลิงค์ (Link) ขยายรายละเอียดข้อมูลลงไปแต่ละส่วน

อีกทั้งในกรณีที่ใช้ฐานความยินยอมในการเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลสามารถตั้งค่าเพื่ออนุญาตให้เจ้าของข้อมูลส่วนบุคคลสามารถให้ความยินยอมและเพิกถอนความยินยอมของตนเองได้

ดังนั้น การแจ้งวัตถุประสงค์ฯ ในรูปแบบตารางจึงเป็นอีกหนึ่งวิธีที่จะช่วยให้เจ้าของข้อมูลส่วนบุคคลสามารถเข้าถึงและจัดการข้อมูลส่วนบุคคลของตนเองได้ อันจะส่งผลให้เกิดความไว้วางใจจากเจ้าของข้อมูลส่วนบุคคล ตามตัวอย่างนี้

แนวทางการแจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคล

3. การแจ้งโดยทันที (Just-in-time notice) คือ วิธีการแจ้งเตือนแบบปรากฏข้อความสั้น ๆ โดยทันทีให้เจ้าของข้อมูลส่วนบุคคลทราบรายละเอียดการเก็บรวบรวมข้อมูลส่วนบุคคลนี้ว่า จะนำไปใช้อย่างไรบ้าง

ซึ่งมักจะปรากฏอยู่บนเว็บไซต์ขององค์กรเมื่อมีการกรอกข้อมูลส่วนบุคคลลงในแบบฟอร์ม วิธีการดังกล่าวจะช่วยให้เจ้าของข้อมูลส่วนบุคคลรับทราบรายละเอียดของการเก็บรวบรวมข้อมูลได้โดยทันทีตามตัวอย่างนี้

แนวทางการแจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคล

4.การแจ้งโดยใช้อุปกรณ์ เช่น โทรศัพท์มือถือหรือแท็บเล็ตในการแจ้งข้อมูล (Providing Privacy Information on Mobile Devices) คือ วิธีการแจ้งผ่านโทรศัพท์มือถือหรือแท็บเล็ตเมื่อมีการเข้าใช้งานเว็บไซต์ ทั้งนี้ ผู้ควบคุมข้อมูลส่วนบุคคลจำเป็นต้องคำนึงถึงข้อจำกัดบางประการ เช่น

- ต้องตรวจสอบให้แน่ใจว่าข้อมูลใด ๆ ที่ส่งผ่านทางอุปกรณ์ดังกล่าวมีความชัดเจนและสามารถอ่านได้บนหน้าจอขนาดเล็กเช่นเดียวกับที่แสดงบนหน้าจอคอมพิวเตอร์

- ข้อความควรมีขนาดใหญ่เพียงพอในการอ่านและเจ้าของข้อมูลส่วนบุคคลไม่ควรต้องซูมเข้าเพื่อดูรายละเอียดข้อมูลและควรทำให้ข้อมูลได้สัดส่วนพอดีกับหน้าจออุปกรณ์ดังกล่าว

- ควรออกแบบให้มั่นใจว่าหน้าจอที่เล็กกว่าก็สามารถแสดงผลการนำเสนอข้อมูลอย่างกระชับและชัดเจนตามตัวอย่างนี้

แนวทางการแจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคล

ตัวอย่างดังกล่าว เป็นเพียงรูปแบบของการแจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบ โดยผู้ควบคุมข้อมูลส่วนบุคคลอาจใช้วิธีการทางเทคนิคในรูปแบบต่าง ๆ

เพื่อให้เจ้าของข้อมูลส่วนบุคคลสามารถเข้าไปอ่านรายละเอียดวัตถุประสงค์ได้โดยง่ายและมีความชัดเจนประกอบการอธิบายรายละเอียดของการเก็บรวบรวมข้อมูลส่วนบุคคลให้ครบถ้วนตามที่กำหนดไว้ในมาตรา 23

อ้างอิง

1.แนวทางการดำเนินการในการแจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

2.https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/individual-rights/the-right-to-be-informed/what-methods-can-we-use-to-provide-privacy-information/