พร้อมหรือยัง? 10 เรื่องต้องทำ! ปรับองค์กรธุรกิจเพื่อสอดคล้องกฎหมาย PDPA

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

พร้อมหรือยัง? 10 เรื่องต้องทำ! ปรับองค์กรธุรกิจเพื่อสอดคล้องกฎหมาย PDPA

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

เราเชื่อว่ามีอีกหลายๆ องค์กรธุรกิจที่ ไม่พร้อม’ สำหรับ กฎหมาย PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ที่บังคับใช้วันที่ 1 มิถุนายน พ.ศ.. 2565 เป็นกฎหมายที่มีวัตถุประสงค์เพื่อคุ้มครองข้อมูลส่วนบุคคลและยกระดับมาตรฐานให้ทัดเทียมกับหลักปฏิบัติสากล ทำให้องค์กรต่างๆ จะต้องเพิ่มความระมัดระวังในการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ที่มีประเด็นสำคัญ คือ จะต้องได้รับ ความยินยอม’ จากเจ้าของข้อมูล

ก็ดูเหมือนง่ายๆ แต่ภายใต้บทบัญญัติของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลยังมีรายละเอียดอีกมากมายที่องค์กรธุรกิจ และสถานประกอบการต่างๆ จะต้องเข้าใจ โดยในบทความนี้เราจะมีแจกแจงให้ทราบด้วยภาษาที่เข้าใจได้ง่ายที่สุด

 

กิจกรรมทางธุรกิจ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล

นิยามของ ข้อมูลส่วนบุคคล คือ ข้อมูลเกี่ยวกับบุคคลที่ทำให้สามารถระบุตัวตนได้ทั้งทางตรง และข้อมูลที่สามารถระบุตัวบุคคลได้ทางอ้อม แต่ไม่รวมข้อมูลบุคคลที่เสียชีวิต ขณะที่ในมุมขององค์กรธุรกิจที่มีสถานะเป็น นิติบุคคล’ ที่ย่อมต้องมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในหลากหลายกิจกรรม ดังนี้  

 

1.การสมัครงาน และข้อมูลพนักงาน จะเห็นว่าที่ผ่านมาองค์กรธุรกิจต่างๆ มีการเก็บข้อมูลส่วนบุคคลในหลากหลายแบบ ทั้งที่เป็นเอกสาร และไฟล์ข้อมูลดิจิทัล โดยมีการเก็บทั้งข้อมูลส่วนบุคคลทั่วไป เช่น ชื่อ นามสกุล ที่อยู่ เบอร์โทรศัพท์ อีเมล์ ฯลฯ และข้อมูลส่วนบุคคลอ่อนไหว เช่น เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ(ลายนิ้วมือ ใบหน้า)

2.การดำเนินธุรกิจ มีการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลคู่ค้า ลูกค้า หรือบุคคลภายนอกเพื่อดำเนินกิจกรรมด้านต่างๆ ขององค์กรธุรกิจ เช่น การจัดซื้อจัดจ้าง การขนส่ง งานวิจัย สถิติ การขายสินค้า บริการ การส่งเสริมการขาย การโฆษณาในรูปแบบต่างๆ หรือกิจกรรมที่หวังผลด้านตลาด

3.การบริหารจัดการธุรกิจ เช่น การประเมินความสามารถในการทำงานของพนักงาน การโปรโมท การให้ออกจากงานหรือเลื่อนตำแหน่ง สวัสดิการพนักงาน การยื่นภาษี ธุรกรรมการเงิน

4.การรักษาความปลอดภัยในสถานประกอบการ เช่น การติดกล้องวงจรปิด หรือกล้อง CCTV  

5.การสื่อสาร เช่น การส่งอีเมล การใช้ LINE Group หรือแอปพลิเคชันต่างๆ ภายในออฟฟิศ หรือกับลูกค้า

และอาจจะรวมถึงกิจกรรมอื่นๆ ที่เราไม่ได้กล่าวถึง เพราะเพียงแค่จะหยิบยกมาให้ดูว่าองค์กรธุรกิจต่างๆ ดำเนินกิจกรรมที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคล’ ในกิจกรรมใดบ้าง โดยกฎหมาย PDPA  บังคับการเก็บรวบรวม ใช้ หรือการเปิดเผยข้อมูลส่วนบุคคล จะต้องได้รับความยินยอมจากเจ้าของข้อมูล ไม่ว่าจะเป็นธุรกิจที่อยู่ในประเทศไทย หรือนอกราชอาณาจักรก็ตาม

ซึ่งก่อนหน้านี้ กฎหมายไม่ได้บังคับใช้ แต่ในเร็วๆ นี้ ข้อมูลส่วนบุคคลจะเป็นสิ่งที่ธุรกิจทำได้เพียง ยืมใช้ เท่านั้น ไม่ใช่ทรัพย์สินขององค์กรธุรกิจอีกต่อไป และมีบทลงโทษผู้ละเมิดหรือทำผิดทั้งทางแพ่ง อาญา และโทษทางปกครอง ดังนั้น PDPA จึงเป็นเรื่องที่ อ่อนไหว ต่อองค์กรธุรกิจอย่างมาก  

ธุรกิจคุณเป็น ‘อะไร’ ภายใต้กฎหมาย PDPA

แต่ก่อนจะรู้ และตั้งรับเพื่อปรับองค์กรธุรกิจให้สอดคล้องกับบทบัญญัติในกฎหมาย PDPA ผู้ประกอบการ หรือเจ้าขององค์กรธุรกิจจะต้องทราบ สถานะ ก่อนว่า มีการดำเนินการที่เกี่ยวข้องกับข้อมูลส่วนบุคคลอะไรบ้าง ซึ่งตามกฎหมายระบุไว้ 2 สถานะที่เกี่ยวข้องโดยตรง คือ 

1.ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคล หรือนิติบุคคลที่มีอำนาจในการตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งอย่างที่กล่าวในตอนต้นว่า หากธุรกิจมีกิจกรรมตามที่ระบุในข้างต้นก็เข้าข่ายสถานะนี้

2.ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือนิติบุคคลที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลฯ แต่หากมีการดำเนินกิจกรรมทางธุรกิจตามที่ระบุในข้างต้นที่นอกเหนือจากคำสั่งหรือในนามของผู้ควบคุมข้อมูล ก็จะมีทั้งสองสถานะ คือเป็นทั้ง ผู้ควบคุมข้อมูลฯและ ผู้ประมวลผลข้อมูลฯ

แต่ไม่ว่าสถานะใดก็ตาม กฎหมาย PDPA มาตรา 19 ระบุว่า การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้ หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอม เว้นแต่ บทบัญญัติในพระราชบัญญัตินี้ หรือกฎหมายอื่นบัญญัติให้ทำได้

10 เรื่องต้องทำ! ก่อนกฎหมาย PDPA บังคับใช้

1.ความยินยอม (Consent) ยันต์กันภัยใบแรกที่ธุรกิจต้องมี อย่างที่กล่าวในข้างต้นว่าประเด็นสำคัญของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล คือ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล จะต้องขอความยินยอมจากเจ้าของข้อมูล และต้องทำโดยชัดแจ้ง เป็นหนังสือหรือผ่านระบบดิจิทัล เว้นแต่สภาพไม่อาจขอความยินยอมด้วยวิธีดังกล่าวได้ และต้องคำนึงถึงความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลเป็นสำคัญ

2.ทำบันทึกรายการข้อมูลส่วนบุคคล (Record of Processing Activities :RoPA) เช่น วัตถุประสงค์ในการเก็บรวมรวบ แหล่งที่เก็บ ใช้หรือเปิดเผยข้อมูลส่วนบุคคลประเภทใดบ้าง มีการกำหนดระยะเวลาเก็บรักษา ทำลาย หรือการทำข้อมูลให้เป็นนิรนาม รวมถึงการทำรายการบันทึกเหตุการณ์ละเมิด ซึ่งบริษัท หรือองค์กรธุรกิจควรจัดทำบันทึกในรูปแบบดิจิทัลเพื่อประโยชน์ในการแก้ไข ระงับ หรือ ลบออกได้โดยง่าย

3.ทำนโยบายความเป็นส่วนตัว (Privacy Policy) และประกาศความเป็นส่วนตัว (Privacy Notice) โดยการแจ้งเจ้าของข้อมูลส่วนบุคคลถึงรายละเอียดและวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคล รวมถึงการประกาศจากบริษัทหรือองค์กรธุรกิจ โดยมีคำอธิบายเกี่ยวกับการเก็บ รวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล ส่วนนี้หากธุรกิจมีเว็บไซต์ที่มีการจัดเก็บคุกกี้ (Cookie) จะต้องทำ Cookie Policy ด้วย

4.ธุรกิจที่มีข้อมูลจำนวนมากจะต้องแต่งตั้ง DPO คือ การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer :DPO)ในองค์กรเพื่อดูแลด้านนี้โดยตรง และเป็นตำแหน่งที่กฎหมายคุ้มครอง และ โดยนิยามของข้อมูลจำนวนมากในที่นี้ คือ มีข้อมูลส่วนบุคคลทั่วไป 50,000 ราย/ปี หรือมีข้อมูลส่วนบุคคลอ่อนไหว 5000 ราย/ปี ซึ่งกฎหมายบังคับว่าจะต้องแต่งตั้ง DPO ซึ่งจะเป็นผู้บริหาร พนักงานในออฟฟิศ หรือบุคคลภายนอกก็ได้แต่ต้องมีคุณสมบัติตรงตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลรับรอง

5.จัดทำข้อตกลงการแบ่งปันข้อมูลส่วนบุคคล หากองค์กรธุรกิจคุณมีการแบ่งบันหรือส่งต่อข้อมูลส่วนบุคคลให้กับคู่ค้าหรือบุคคลภายนอก จะต้องมีการจัดทำข้อตกลงในการใช้ข้อมูลส่วนบุคคล ซึ่งในอดีตเราจะเห็นว่ามีการลงนามในเอกสาร NDA (Non-Disclosure Agreement) แต่ภายใต้กฎหมาย PDPA บริบทจะมุ่งเน้นที่การรักษาและปกป้องข้อมูลส่วนบุคคลเพื่อป้องกันการละเมิด

6.จัดทำข้อตกลงความเป็นส่วนตัวสำหรับผู้สมัครงานและพนักงาน เพื่อเป็นข้อตกลงตามฐานสัญญาสำหรับผู้สมัครงานที่บริษัทมีการเก็บข้อมูลและต้องแจ้งให้ผู้สมัครงาน  รวมถึงพนักงานภายในองค์กรได้รับทราบ ตลอดจนการสร้าง ‘ค่านิยมการคุ้มครองข้อมูลในองค์กร

7.ประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล หรือ DPIA เป็นรูปแบบของการจัดทำแบบประเมินโดยการสำรวจและวิเคราะห์ข้อมูลส่วนบุคคลเพื่อประเมินความเสี่ยงที่ธุรกิจอาจจะต้องเจอ ที่เรียกกันสั้นๆ ว่า แบบประเมิน DPIA (Data Protection Impact Assessment) รวมทั้งองค์กรธุรกิจและบริษัทยังมีหน้าที่ในการจัดให้มีมาตรการด้านความมั่นคงปลอดภัยที่เหมาะสมกับความเสี่ยงและประเภทของข้อมูลด้วย

8.การเข้าถึงสิทธิแก่เจ้าของข้อมูลส่วนบุคคล องค์กรธุรกิจและบริษัทต่างๆ จะต้องมีการจัดทำระบบเพื่อการเข้าถึงข้อมูลส่วนบุคคลเพื่อประโยชน์แก่จาของข้อมูลทั้งในด้านการใช้สิทธิ ขอให้แก้ไข ระงับ หรือยกเลิกการเก็บรวบรวม ใช้ หรือเปิดเผยผ่านช่องทางที่เข้าถึงได้ง่ายและสะดวก

9.ข้อมูลส่วนบุคคล เก็บเท่าที่จำเป็นต้องใช้ จะต้องพึงระลึกไว้เสมอว่า ข้อมูลส่วนบุคคลควรเก็บเท่าที่จำเป็นต้องใช้ เพราะอาจเกิดเป็น ‘ต้นทุนธุรกิจ’ เนื่องจากต้องกำหนดมาตรการ อุปกรณ์ และขั้นตอนทางเทคนิคต่างๆ เพื่อการรักษาข้อมูลส่วนบุคคลให้มีความปลอดภัย แถมยังเสี่ยงต่อการโดนจารกรรมข้อมูล

10.ห้ามเก็บข้อมูลจากแหล่งอื่น ยกเว้นได้มีการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลอย่างไม่ล่าช้า ซึ่งตามกฎหมายระบุว่าไม่ควรเกิน 30 วันนับตั้งแต่วันที่มีการเก็บข้อมูล  

อย่างไรก็ตาม ประเด็นเรื่องกฎหมาย PDPA กับแง่มุมขององค์กรธุรกิจยังมีอีกหลายด้าน ซึ่งจะต้องมีการวิเคราะห์และตีความตามลักษณ์การดำเนินงานของธุรกิจ ดังนั้นข้อมูลที่กล่าวถึงก่อนนี้ จึงเป็นเพียงแค่กติกาเบื้องต้นที่ทุกสถานประกอบการต้องรับทราบเพื่อปรับเปลี่ยนให้เหมาะสมและสอดคล้องกับกฎหมาย

Share :

บทความที่เกี่ยวข้อง

กว่า 6 ปีที่ผ่านมา ประเทศไทยมีข่าวการหลุดรั่วของข้อมูลส่วนบุคคลเป็นจำนวนมาก ทั้งจากการกระทำของแฮกเกอร์ที่เข้ามาเจาะระบบ ทั้งจากการป้องกันการหลุดรั่วของข้อมูลส่วนบุคคลที่หละหลวม PDPA Thailand และวันนี้เป็นวันครบรอบ 1 นับจากวันที่ 1 มิถุนายน 2565 ที่กฎหมาย PDPA มีผลบังคับใช้เต็มรูปแบบ PDPA Thailand จึงรวบรวมเหตุการณ์สำคัญ ๆ ที่เกิดขึ้นมาตั้งแต่ปี พ.ศ.2561 จนถึง พ.ศ.2566 มาให้ดูกัน     เมษายน 2561 ข้อมูลลูกค้า True Move H หลุดรั่ว ฐานข้อมูลลูกค้า Truemove H ที่สมัครซื้อซิมพร้อมมือถือผ่าน iTruemart หลุดรั่วจำนวน 64,000 ราย ที่มา https://www.beartai.com/news/it-thai-news/233905   กันยายน 2563 โรงพยาบาลสระบุรี ถูกแรนซัมแวร์โจมตี “โรงพยาบาลสระบุรี” ถูกไวรัสแรนซัมแวร์ แฮกฐานข้อมูลระบบบริการผู้ป่วย ทำให้ไม่สามารถสืบค้นข้อมูลประวัติเก่าหรือให้บริการออนไลน์ได้ ที่มา https://www.sanook.com/news/8248818/   กุมภาพันธ์ 2564 ที่ว่าการอำเภอถลาง ใช้กระดาษรียูส ด้านหลังเป็นใบสำเนามรณบัตร สาวจดทะเบียนสมรส ได้ใบเสร็จพ่วงมรณบัตร สาเหตุจากการใช้กระดาษรียูสในการออกใบเสร็จ แต่เคสนี้เจ้าหน้าที่เผลอนำใบสำเนามรณบัตรมาใช้ ที่มา https://www.thairath.co.th/news/local/south/2543643   สิงหาคม 2564 Bangkok Airways ถูกแรนซัมแวร์โจมตี สายการบิน Bangkok Airways ถูกแรนซัมแวร์โจมตี คนร้ายลอบขโมยข้อมูลลูกค้าออกไปได้กว่า 100GB ประกอบด้วย ชื่อ-นามสกุล, เพศ, สัญชาติ, หมายเลขโทรศัพท์, ที่อยู่ และอีเมล รวมถึงข้อมูลอื่นๆ เช่น
เนื่องจากปัจจุบันเทคโนโลยีมีความก้าวไกลไปมากทำให้การดำเนินการต่าง ๆเป็นไปอย่างสะดวกมากขึ้น ตั้งแต่การเดินทางรวมถึงกระบวนการทำงานต่าง ๆ ซึ่งหนึ่งในองค์กรที่มีการนำวิทยาการนำมาใช้ ได้แก่ สถานพยาบาลนั่นเอง ซึ่งปัจจุบันนั้นมีนำเทคโนโลยีมาใช้เพื่อความสะดวกสบาย เช่น ใช้หุ่นยนต์ในการส่งแฟ้มเอกสารระหว่างแผนก หรือการใช้ระบบต่างเพื่อรวบรวมข้อมูลคนไข้ไว้ที่เดียวกันเพื่อสะดวกต่อการค้นหา ซึ่งกระบวนการหนึ่งที่มีการใช้งานได้แก่ การส่งต่อรูปถ่าย ซึ่งปัจจุบันนั้นวัตถุประสงค์หลัก ๆในการส่งรูปถ่ายจะเป็นไปเพื่อประโยชน์ทางการรักษาหรือติดตามอาการของผู้ป่วย ทั้งนี้ มันมีข้อสังเกตว่า ข้อมูลรูปถ่ายคนไข้เป็นข้อมูลอ่อนไหวหรือไม่ และหากจำเป็นต้องมีการใข้ข้อมูลภาพถ่ายจะต้องใช้อย่างไรเพื่อให้สอดคล้องตามหลักของ PDPA ข้อมูลรูปถ่ายคนไข้ถือว่าเป็นข้อมูลอ่อนไหวหรือไม่ จากที่เราทราบกับข้อมูลอ่อนไหว ได้แก่ข้อมูลเกี่ยวกับ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ เป็นต้น ซึ่งข้อมูลภาพถ่ายคนไข้นั้นถือได้ว่าเป็นข้อมูลสุขภาพ ตามระเบียบกระทรวงสาธารณสุขว่าด้วยการคุ้มครองและจัดการข้อมูลด้านสุขภาพของบุคคล พ.ศ. 2561 ที่นี้เมื่อทราบว่าเป็นข้อมูลส่วนบุคคลที่อ่อนไหว จึงจำเป็นต้องมีแนวหรือหลักการเพื่อให้การใช้ข้อมูลรูปถ่ายเป็นไปตามหลักของ PDPA หากจำเป็นต้องใช้ ต้องทำอย่างไร โดยหลักการของการคุ้มครองข้อมูลส่วนบุคคล การใช้ข้อมูลส่วนบุคคลควรใช้ข้อมูลตราบเท่าที่จำเป็น เช่นกัน การใช้ข้อมูลรูปถ่ายคนไข้ก็ควรจะต้องมีการใช้ข้อมูลเท่าที่จำเป็นเช่นกัน โดยเมื่อจำเป็นต้องมีการเก็บมูล จำเป็นต้องมีการขอความยินยอมก่อน รวมถึงมีการแจ้งวัตถุประสงค์ในการเก็บข้อมูลภาพถ่ายคนไข้ ซึ่งการแจ้งประกาศนั้นอาจจะมีเป็นการแจ้งเป็นประกาศความเป็นส่วนตัวของ คนไข้หรือลูกค้าตามแต่กรณี ต่อมาในการใช้งานหรือประมวลผลควรใช้เท่าที่จำเป็นซึ่งได้แก่ใช้เพื่อรักษาหรือติดตามอาการเท่านั้น ไม่ควรใช้เพื่อเหตุอื่น ถามว่าการเอารูปถ่ายคนไข้ให้หมอท่านอื่นดูได้หรือไม่ เพราะบางครั้งหมอที่เป็นเจ้าของไข้นั้นอาจจำเป็นต้องมีการนำภาพคนไข้ เพื่อปรึกษากับหมอท่านอื่น ตัวอย่างเช่น กรณีคนไข้มารักษาสิว เมื่อทำการรักษาแล้วหากพบว่าบริเวณที่รักษามีปัญหาขึ้นมา กรณีเช่นนี้หากเป็นไปเพื่อการรักษาและติดตามอาการก็สามารถทำได้ แต่ต้องมีการแจ้งให้เจ้าของข้อมูลทราบถึงความจำเป็นดังกล่าว โดยอาจจะสื่อสารผ่านตัวประกาศความเป็นส่วนตัวได้เช่นกัน นอกจากนี้แล้วนั้นหมอที่เป็นเจ้าของคนไข้ต้องมีความระมัดระวังในการเผยแพร่รูปถ่ายคนไข้ด้วย แม้จะมีการแจ้งเจ้าของข้อมูลส่วนบุคคลหรือคนไข้แล้วก็ตาม โดยหมอที่เป็นเจ้าของไข้นั้น ควรมีความระมัดระวังในการที่จะไม่เผยแพร่ภาพถ่ายคนไข้ดังกล่าวไปสู่หมอ รวมถึงบุคลกรทางการแพทย์ที่ไม่ได้มีความเกี่ยวข้องกับคนไข้ให้รับทราบ นอกจากนี้ช่องทางการเผยแพร่ข้อมูลก็เป็นสิ่งหนึ่งที่ควรจะต้องมีความระมัดระวังอย่างยิ่ง เนื่องจากในปัจจุบันนั้นวิทยาการด้านการสื่อสารสามารถส่งต่อข้อมูลดิจิทัลได้อย่างรวดเร็วและสะดวกสบายยิ่งขึ้น ไม่ว่าจะมาจากช่องทางอีเมล Messenger เป็นต้น ทั้งนี้เมื่อมีการส่งข้อมูลรูปถ่ายคนไข้ไป จำต้องมีคำนึงถึงความปลอดภัยด้วย ตัวอย่าง ไม่ควรส่งรูปถ่ายคนไข้ผ่านช่องทางการสื่อสารสาธารณะ เช่น Line เป็นต้น หรือหากจำเป็นต้องมีการส่งจริง ๆก็ควรมีมาตรการในการป้องกันการเข้าถึงด้วยตัวอย่างเช่น อาจจะมีการส่งข้อมูลโดยมีการเข้ารหัส โดยส่งรหัสดังกล่าวไปให้ปลายทางรับทราบพียบท่านเดียวเท่านั้น เพื่อให้มั่นใจได้ว่าข้อมูลดังกล่าวถึงมือผู้รับจริง และมีเพียงแต่ผุ้รับรหัสเท่านั้นที่จะสามารถเปิดดูข้อมูลที่เข้ารหัสไว้ได้ โดยภาพรวมนั้นสถานพยาบาลมีกิจกรรมหลาย ๆกิจกรรมที่มีการเข้าถึงข้อมูลส่วนบุคคลที่มี่ความอ่อนไหว เช่น กิจกรรมการนำภาพถ่ายคนไข้มาใช้เพื่อติดตามผลการรักษาคนไข้ ทั้งนี้สามรถทำได้แต่จำเป็นต้องมีแนวทางหรือกระบวนการบางอย่างมาเป็นมาตรฐานในการส่งต่อข้อมูล นอกจากจะเพื่อความปลอดภัยของคนไข้
จากบทความครั้งที่แล้ว เรื่อง Hotel reservation ไม่เกี่ยวกับ PDPA จริงหรือ ? ที่ได้มีการกล่าวถึงกระบวนการการจองที่พักในหลายรูปแบบ เช่น เว็บไซต์ เอเย่น walk-in ในวันนี้เราจะมากล่าวถึงกระบวนการที่ต่อเนื่องกันคือ กระบวนการการรับส่งจากสนามบินหรือสถานที่ต่างๆ ไปยังโรงแรม ในบางกรณีผู้เข้าพักบางท่านอาจมีความต้องการใช้บริการรถรับส่งเพื่อให้รับจากสนามบินมายังโรงแรมเพื่อความสะดวกของผู้เข้าพัก รูปแบบการรับส่งที่สนามบินโดยทั่วไปสามารถแบ่งออกได้เป็น 2 รูปแบบ ได้แก่ Inhouse limousine คือ กรณีที่โรงแรมมีบริการรับส่งด้วยตัวเอง Outsource limousine คือ กรณีที่โรงแรมมีการจ้างบริษัทรับส่งภายนอก ให้ดำเนินการรับส่งผู้เข้าพักแทนโรงแรม ในกรณีที่โรงแรมมีบริการรับส่งด้วยตัวเอง (Inhouse limousine)  โดยทั่วไปข้อมูลของผู้เข้าพักจะถูกโรงแรมเก็บมาแล้วจากขั้นตอนการจองห้องพัก แต่อาจมีการนำข้อมูลดังกล่าวมาใช้เพื่อเป็นการยืนยันตัวผู้เข้าพักอีกครั้ง การนำข้อมูลมาใช้ในกระบวนการนี้ โรงแรมต้องมีการระบุวัตถุประสงค์นี้เข้าไปในประกาศความเป็นส่วนตัวของผู้เข้าพัก (Privacy notice) และแจ้งให้ผู้เข้าพักทราบในขั้นตอนการรับจองห้องพัก หรือจะแจ้งอีกครั้งเพื่อเป็นการแจ้งย้ำให้ผู้เข้าพักทราบก็ย่อมทำได้ นอกจากนี้ การที่โรงแรมนำข้อมูลมาใช้ประมวลผลในกระบวนการนี้สามารถใช้ฐานสัญญา ตามมาตรา 24(3) ในการจัดเก็บข้อมูลส่วนบุคคลได้ เนื่องจากเป็นการจำเป็นเพื่อใช้ในการดำเนินการตามคำขอก่อนการเข้าทำสัญญาใช้บริการ ในกรณีที่โรงแรมมีการจ้างบริษัทรับส่งภายนอก ให้ดำเนินการรับส่งผู้เข้าพักแทนโรงแรม หรือ Outsource limousine ทางโรงแรมอาจจะมีการส่งรายชื่อของผู้ที่จะเข้าพักให้กับบริษัท Outsource limousine ซึ่งเป็นนิติบุคคลภายนอก เช่น ข้อมูล ชื่อ นามสกุล รายละเอียดการเดินทางและการเข้าพัก เป็นต้น การที่โรงแรมมีการจ้างบริษัทภายนอกให้ดำเนินการด้านการรับส่ง บริษัทรับส่งนั้นทำตามภายในนามหรือภายใต้คำสั่งโรงแรมนั้น บริษัท Outsource limousine จึงมีสถานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ซึ่งตามมาตรา 40 วรรค 2 กำหนดให้ผู้ควบคุมข้อมูลมีหน้าที่ต้องจัดให้มีข้อตกลงระหว่างกัน เพื่อควบคุมการดำเนินการตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล ดังนั้น ระหว่าง โรงแรมกับบริษัท Outsource limousine  ควรมีการทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement : DPA)  ทั้งนี้เพื่อช่วยให้คู่สัญญาซึ่งเป็นผู้ประมวลผล ทราบถึงบทบาทและหน้าที่ของตนเองเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล การกำหนดวัตถุประสงค์ในการเปิดเผยข้อมูลส่วนบุคคล การกำหนดมาตรฐานในการแบ่งปันข้อมูลส่วนบุคคลและขอบเขตในการประมวลผลข้อมูลส่วนบุคคล โดยรายละเอียดของข้อตกลงการแลกเปลี่ยนข้อมูลส่วนบุคคล
thThai

ลงทะเบียน

เข้าสู่ระบบ