7 วิธี จัดการข้อมูลส่วนบุคคลของ ‘คู่ค้า-คู่สัญญา’ ตามกฎหมาย PDPA

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

7 วิธี จัดการข้อมูลส่วนบุคคลของ ‘คู่ค้า-คู่สัญญา’ ตามกฎหมาย PDPA

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

ข้อมูลส่วนบุคคลของ บุคคลที่สาม ในที่นี้หมายถึง บุคคล หรือนิติบุคคลที่บริษัทมีการดำเนินงานร่วมกันภายใต้กรอบสัญญาที่มีการตกลงกันเป็นลายลักษณ์อักษร โดยในทางปฏิบัติงานอาจหมายถึง ข้อมูลของ คู่ค้า และคู่สัญญา ของบริษัทที่ได้มีการเก็บ รวบรวมใช้ หรือเปิดเผย เพื่อวัตถุประสงค์ด้านธุรกิจ และเมื่อมีการบังคับใช้กฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 บริษัทของคุณได้ดำเนินการในส่วนข้อมูลส่วนบุคคลของคู่ค้า และคู่สัญญาที่ถูกต้องแล้วหรือยัง ???

PDPA สำหรับคู่ค้า และคู่สัญญา ต้องดำเนินการอะไรบ้าง?

ในทางเทคนิค กฎหมาย PDPA กำหนดให้ข้อมูลส่วนบุคคลเป็นสิทธิของเจ้าของข้อมูล ดังนั้น ผู้ควบคุมข้อมูล (Data Controller)  และผู้ประมวลผลข้อมูล (Data Processor) จะต้องขอความยินยอมในการเก็บ รวบรวมใช้ หรือเปิดเผย ซึ่งเป็นสิทธิพื้นฐานตามนิยามของกฎหมายคุ้มครองข้อมูลส่วนบุคคล

ด้วยเหตุนี้ จึงไม่ใช้แค่ ข้อมูลลูกค้า เจ้าหน้าที่หรือพนักงานในบริษัท แต่ยังรวมถึงข้อมูลส่วนบุคคลของคู่ค้า และคู่สัญญา ที่บริษัทมีการเก็บใช้ ซึ่งสิ่งที่ยังคงเป็นประเด็นที่ค่อนข้าง อ่อนไหวและสุ่มเสี่ยงต่อการละเมิดกฎหมาย PDPA เนื่องจากการขาดความเข้าใจกฎหมายที่ดีพอ หรือไม่มีความพร้อมในการดำเนินการ ในที่นี้เราจึงหยิบยกปัญหาดังกล่าวมาให้คำแนะนำ ตลอดจนแนวทางในการปฏิบัติตามกฎหมาย PDPA  โดยสามารถกำหนดขั้นตอนในการดำเนินการทำหนังสือสัญญาการเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลคู่ค้าและคู่สัญญา ได้ดังนี้

1. อธิบายลักษณะของข้อมูลส่วนบุคคลที่มีการเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลคู่ค้า/คู่สัญญา : เช่นชื่อ-นามสกุล คำนำหน้าชื่อ เพศ วันเดือนปีเกิด หมายเลขบัตรประจำตัวประชาชน เลขที่หนังสือเดินทาง เลขที่บัตรประจำตัวผู้เสียภาษี หมายเลขบัญชีเงินฝากธนาคาร ข้อมูลการทำธุรกรรม ที่อยู่ หมายเลขโทรศัพท์ อีเมล ตำแหน่ง สัญชาติ อายุ ประสบการณ์หรือประวัติการทำงาน ความเชี่ยวชาญ ความถนัด ตลอดจนข้อมูลอื่นๆ ที่มีการจัดเก็บ รวมถึงข้อมูลที่มีความอ่อนไหว ได้แก่ ศาสนา เชื้อชาติ และข้อมูลสุขภาพ

2. แหล่งที่มาของข้อมูลที่มีการจัดเก็บ : โดยทั่วไป ข้อมูลคู่ค้าหรือคู่สัญญามักมีการจัดเก็บข้อมูลโดยตรงจากเจ้าของข้อมูล อาทิ เป็นเอกสารให้กรอกตามสัญญา เป็นนามบัตร หรือข้อมูลส่วนบุคคลและข้อมูลการติดต่อในรูปแบบต่างๆ ซึ่งจะต้องมีการระบุโดยชัดเจนถึงที่มา รวมถึง การได้มาซึ่งข้อมูลจากแหล่งอื่นๆ อาทิ จากลูกค้าองค์กร จากธุรกิจในเครือ จากข้อมูลเผยแพร่ในหน้าเว็บไซต์ ข้อมูลจากบริษัทจัดหางานหรือบริษัทที่เป็น Outsource ซึ่งในสัญญาข้อตกลงความยินยอมควรระบุไว้อย่างชัดเจน หรือเป็นการดำเนินการตามฐานกฎหมาย ฐานสัญญา และฐานประโยชน์โดยชอบ เป็นต้น โดยแล้วแต่ลักษณะของคู่ค้าหรือคู่สัญญา

3. กำหนดวัตถุประสงค์ในการใช้งาน ขอบเขตการเข้าถึงข้อมูล และระยะเวลาจัดเก็บ : การดำเนินการส่วนนี้ กฎหมายระบุไว้ว่า การเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูล บริษัทควรดำเนินการระบุไว้อย่างชัดเจนถึงวัตถุประสงค์ในการใช้งาน หรือประมวลผลข้อมูล ตลอดจนขอบเขตการใช้งาน ความรับผิดชอบตามหน้าที่ของพนักงาน ใครที่สามารถเข้าถึงข้อมูลเหล่านี้ได้บ้าง มีระยะเวลาในการเก็บ การปรับเปลี่ยนแก้ไขไว้อย่างชัดเจน เช่น ควรมีการอัปเดตข้อมูลคู่ค้า คู่สัญญา อย่างน้อยปีละ 1 ครั้ง

4. การเปิดเผยข้อมูลส่วนบุคคล : สำหรับเอกสารสัญญาการเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของคู่ค้า และคู่สัญญาควรมีกำหนดไว้อย่างชัดเจนด้วยว่า มีการเปิดเผยข้อมูลของคู่ค้า หรือคู่สัญญาแก่บุคคลที่สามใดบ้าง และเปิดเผยข้อมูลใดบ้าง ซึ่งต้องมีการดำเนินการโดยชอบตามกฎหมาย PDPA เช่น การเปิดเผยข้อมูลเพื่อยื่นภาษี สามารถทำได้ด้วยประโยชน์อันชอบธรรม/การปฏิบัติตามกฎหมาย ส่วนการส่งต่อหรือถ่ายโอนข้อมูลให้ธุรกิจในเครือ ให้ข้อมูลแก่พันธมิตรทางธุรกิจ ให้แก่ลูกค้า เพื่อประโยชน์ในการทำธุรกิจ หรือการส่งต่อข้อมูลเพื่อประโยชน์ในด้านการติดต่อและประสานงาน บริษัทจะต้องแจ้งให้คู่ค้าหรือคู่สัญญาทราบ ระบุส่วนกระบวนการนี้เป้นข้อตกลงลงในสัญญา หรือได้รับความยินยอมในบางกรณีหากไม่มีฐานทางกฎหมายอื่นมารองรับการประมวลผล ทั้งนี้การดำเนินการส่งต่อข้อมูลไปยังบุคคลที่สาม บุคคลที่สามดังกล่าวจะต้องมีมาตรฐานด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ทัดเทียม หรือดีกว่า หรือขึ้นอยู่กับการวินิจฉัยของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลว่าให้สามารถดำเนินการได้ หรือกฎหมายอนุญาตให้ดำเนินการได้

5. การรักษาความลับและความปลอดภัยของข้อมูล : ในทางทฤษฎี บริษัทไม่มีอำนาจในการเปิดเผยข้อมูลส่วนบุคคลใดๆ ก็ตาม หากผู้นั้นไม่ได้ให้ความยินยอม เว้นแต่เป็นการปฏิบัติตามกฎหมาย ตามสัญญา หรือตามประโยชน์โดยชอบ แต่ในทางปฏิบัติแล้ว อาจจะไม่ได้เป็นเช่นนั้นเสมอไป เนื่องจากข้อมูลของคู่ค้า และคู่สัญญา อาจเป็นสิ่งที่เข้าถึงได้ง่ายมากสำหรับบุคลากรภายในบริษัท ดังนั้น มาตรการในการรักษาความลับของข้อมูลส่วนบุคคลคู่ค้าและคู่สัญญา จึงความสำคัญมากเพื่อป้องกันความเสี่ยงในการที่ข้อมูลส่วนบุคคลจะเกิดการรั่วไหล อันนำไปสู่การละเมิด โดยบริษัทจึงต้องมีแนวทางในการจำกัดสิทธิและอำนาจหน้าที่อันเหมาะสม ในการเข้าถึงข้อมูลคู่ค้าและคู่สัญญาของพนักงานภายในบริษัท หรือบุคคลใดก็ตามที่สามารถเข้าถึงข้อมูล รวมทั้งมีแนวปฏิบัติทางเทคนิคที่เหมาะสมกับความเสี่ยง

6. ดำเนินการด้านสิทธิการเข้าถึงแก่เจ้าของข้อมูล : กฎหมายระบุว่า เจ้าของข้อมูลมีสิทธิในการที่จะข้อให้ระงับ แก้ไข ทำลาย ถ่ายโอน หรือเพิกถอนความยินยอมในการเก็บ รวมรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจากบริษัทได้โดยง่าย ด้วยเหตุนี้ บริษัทจึงต้องมีการจัดทำช่องทางเพื่อการดำเนินการด้านสิทธิการเข้าถึงแก่ข้อมูลส่วนบุคคลของคู่ค้าหรือคู่สัญญาอย่างเหมาะสม ซึ่งอาจมองว่าเป็นประโยชน์ที่จะเกิดขึ้นทั้งสองทาง คือบริษัทมีการดำเนินการที่โปร่งใสและสอดคล้องตามกฎหมาย PDPA ขณะที่ฝั่งคู่ค้าและคู่สัญญาก็จะเกิดความเชื่อมั่นในบริษัทด้วย

7. การทำลาย หรือทำข้อมูลให้เป็นนิรนาม : อีกหนึ่งในมาตรการป้องกันความเสี่ยงการละเมิดข้อมูลส่วนบุคคลของคู่ค้า หรือคู่สัญญา นั้นคือ หากข้อมูลใด ที่ไม่เป็นประโยชน์ ต่อธุรกิจก็ควรมีการลบทำลาย หรือจัดทำข้อมูลเหล่านั้นให้เป็น นิรนาม ซึ่งเป็นอีกหนึ่งแนวทางด้านการคุ้มครองข้อมูลที่บริษัทควรดำเนินการอยู่เสมอ และพึงจำไว้เสมอว่า ข้อมูลส่วนบุคคล ‘ไม่ใช่ทรัพย์สินของบริษัท แต่เป็นสิทธิของบุคคลนั้นๆ จึงไม่ควรที่จะเก็บข้อมูลส่วนบุคคลใดๆ ก็ตามที่ เกินความจำเป็น จึงจะเป็นแนวทางที่เหมาะสมและถูกต้อง

อย่างไรก็ตาม การจัดการข้อมูลส่วนบุคคลภายในบริษัท และองค์กรธุรกิจต่างๆ ยังมีประเด็นที่อ่อนไหวและต้องมีการ ตีความ จากผู้ที่มีความรู้ ความเชี่ยวชาญเฉพาะด้านอีกมาก ดังนั้น หากเป็นไปได้ ทุกบริษัทควรมีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ในองค์กร หรือธุรกิจรายเล็กที่มีข้อมูลไม่มากนักอาจจะพิจารณาแต่งตั้งเจ้าหน้าที่ประสานงานข้อมูลส่วนบุคคลที่มีความรู้เรื่องกฎหมาย PDPA เป็นอย่างดี

Share :

บทความที่เกี่ยวข้อง

กว่า 6 ปีที่ผ่านมา ประเทศไทยมีข่าวการหลุดรั่วของข้อมูลส่วนบุคคลเป็นจำนวนมาก ทั้งจากการกระทำของแฮกเกอร์ที่เข้ามาเจาะระบบ ทั้งจากการป้องกันการหลุดรั่วของข้อมูลส่วนบุคคลที่หละหลวม PDPA Thailand และวันนี้เป็นวันครบรอบ 1 นับจากวันที่ 1 มิถุนายน 2565 ที่กฎหมาย PDPA มีผลบังคับใช้เต็มรูปแบบ PDPA Thailand จึงรวบรวมเหตุการณ์สำคัญ ๆ ที่เกิดขึ้นมาตั้งแต่ปี พ.ศ.2561 จนถึง พ.ศ.2566 มาให้ดูกัน     เมษายน 2561 ข้อมูลลูกค้า True Move H หลุดรั่ว ฐานข้อมูลลูกค้า Truemove H ที่สมัครซื้อซิมพร้อมมือถือผ่าน iTruemart หลุดรั่วจำนวน 64,000 ราย ที่มา https://www.beartai.com/news/it-thai-news/233905   กันยายน 2563 โรงพยาบาลสระบุรี ถูกแรนซัมแวร์โจมตี “โรงพยาบาลสระบุรี” ถูกไวรัสแรนซัมแวร์ แฮกฐานข้อมูลระบบบริการผู้ป่วย ทำให้ไม่สามารถสืบค้นข้อมูลประวัติเก่าหรือให้บริการออนไลน์ได้ ที่มา https://www.sanook.com/news/8248818/   กุมภาพันธ์ 2564 ที่ว่าการอำเภอถลาง ใช้กระดาษรียูส ด้านหลังเป็นใบสำเนามรณบัตร สาวจดทะเบียนสมรส ได้ใบเสร็จพ่วงมรณบัตร สาเหตุจากการใช้กระดาษรียูสในการออกใบเสร็จ แต่เคสนี้เจ้าหน้าที่เผลอนำใบสำเนามรณบัตรมาใช้ ที่มา https://www.thairath.co.th/news/local/south/2543643   สิงหาคม 2564 Bangkok Airways ถูกแรนซัมแวร์โจมตี สายการบิน Bangkok Airways ถูกแรนซัมแวร์โจมตี คนร้ายลอบขโมยข้อมูลลูกค้าออกไปได้กว่า 100GB ประกอบด้วย ชื่อ-นามสกุล, เพศ, สัญชาติ, หมายเลขโทรศัพท์, ที่อยู่ และอีเมล รวมถึงข้อมูลอื่นๆ เช่น
เนื่องจากปัจจุบันเทคโนโลยีมีความก้าวไกลไปมากทำให้การดำเนินการต่าง ๆเป็นไปอย่างสะดวกมากขึ้น ตั้งแต่การเดินทางรวมถึงกระบวนการทำงานต่าง ๆ ซึ่งหนึ่งในองค์กรที่มีการนำวิทยาการนำมาใช้ ได้แก่ สถานพยาบาลนั่นเอง ซึ่งปัจจุบันนั้นมีนำเทคโนโลยีมาใช้เพื่อความสะดวกสบาย เช่น ใช้หุ่นยนต์ในการส่งแฟ้มเอกสารระหว่างแผนก หรือการใช้ระบบต่างเพื่อรวบรวมข้อมูลคนไข้ไว้ที่เดียวกันเพื่อสะดวกต่อการค้นหา ซึ่งกระบวนการหนึ่งที่มีการใช้งานได้แก่ การส่งต่อรูปถ่าย ซึ่งปัจจุบันนั้นวัตถุประสงค์หลัก ๆในการส่งรูปถ่ายจะเป็นไปเพื่อประโยชน์ทางการรักษาหรือติดตามอาการของผู้ป่วย ทั้งนี้ มันมีข้อสังเกตว่า ข้อมูลรูปถ่ายคนไข้เป็นข้อมูลอ่อนไหวหรือไม่ และหากจำเป็นต้องมีการใข้ข้อมูลภาพถ่ายจะต้องใช้อย่างไรเพื่อให้สอดคล้องตามหลักของ PDPA ข้อมูลรูปถ่ายคนไข้ถือว่าเป็นข้อมูลอ่อนไหวหรือไม่ จากที่เราทราบกับข้อมูลอ่อนไหว ได้แก่ข้อมูลเกี่ยวกับ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ เป็นต้น ซึ่งข้อมูลภาพถ่ายคนไข้นั้นถือได้ว่าเป็นข้อมูลสุขภาพ ตามระเบียบกระทรวงสาธารณสุขว่าด้วยการคุ้มครองและจัดการข้อมูลด้านสุขภาพของบุคคล พ.ศ. 2561 ที่นี้เมื่อทราบว่าเป็นข้อมูลส่วนบุคคลที่อ่อนไหว จึงจำเป็นต้องมีแนวหรือหลักการเพื่อให้การใช้ข้อมูลรูปถ่ายเป็นไปตามหลักของ PDPA หากจำเป็นต้องใช้ ต้องทำอย่างไร โดยหลักการของการคุ้มครองข้อมูลส่วนบุคคล การใช้ข้อมูลส่วนบุคคลควรใช้ข้อมูลตราบเท่าที่จำเป็น เช่นกัน การใช้ข้อมูลรูปถ่ายคนไข้ก็ควรจะต้องมีการใช้ข้อมูลเท่าที่จำเป็นเช่นกัน โดยเมื่อจำเป็นต้องมีการเก็บมูล จำเป็นต้องมีการขอความยินยอมก่อน รวมถึงมีการแจ้งวัตถุประสงค์ในการเก็บข้อมูลภาพถ่ายคนไข้ ซึ่งการแจ้งประกาศนั้นอาจจะมีเป็นการแจ้งเป็นประกาศความเป็นส่วนตัวของ คนไข้หรือลูกค้าตามแต่กรณี ต่อมาในการใช้งานหรือประมวลผลควรใช้เท่าที่จำเป็นซึ่งได้แก่ใช้เพื่อรักษาหรือติดตามอาการเท่านั้น ไม่ควรใช้เพื่อเหตุอื่น ถามว่าการเอารูปถ่ายคนไข้ให้หมอท่านอื่นดูได้หรือไม่ เพราะบางครั้งหมอที่เป็นเจ้าของไข้นั้นอาจจำเป็นต้องมีการนำภาพคนไข้ เพื่อปรึกษากับหมอท่านอื่น ตัวอย่างเช่น กรณีคนไข้มารักษาสิว เมื่อทำการรักษาแล้วหากพบว่าบริเวณที่รักษามีปัญหาขึ้นมา กรณีเช่นนี้หากเป็นไปเพื่อการรักษาและติดตามอาการก็สามารถทำได้ แต่ต้องมีการแจ้งให้เจ้าของข้อมูลทราบถึงความจำเป็นดังกล่าว โดยอาจจะสื่อสารผ่านตัวประกาศความเป็นส่วนตัวได้เช่นกัน นอกจากนี้แล้วนั้นหมอที่เป็นเจ้าของคนไข้ต้องมีความระมัดระวังในการเผยแพร่รูปถ่ายคนไข้ด้วย แม้จะมีการแจ้งเจ้าของข้อมูลส่วนบุคคลหรือคนไข้แล้วก็ตาม โดยหมอที่เป็นเจ้าของไข้นั้น ควรมีความระมัดระวังในการที่จะไม่เผยแพร่ภาพถ่ายคนไข้ดังกล่าวไปสู่หมอ รวมถึงบุคลกรทางการแพทย์ที่ไม่ได้มีความเกี่ยวข้องกับคนไข้ให้รับทราบ นอกจากนี้ช่องทางการเผยแพร่ข้อมูลก็เป็นสิ่งหนึ่งที่ควรจะต้องมีความระมัดระวังอย่างยิ่ง เนื่องจากในปัจจุบันนั้นวิทยาการด้านการสื่อสารสามารถส่งต่อข้อมูลดิจิทัลได้อย่างรวดเร็วและสะดวกสบายยิ่งขึ้น ไม่ว่าจะมาจากช่องทางอีเมล Messenger เป็นต้น ทั้งนี้เมื่อมีการส่งข้อมูลรูปถ่ายคนไข้ไป จำต้องมีคำนึงถึงความปลอดภัยด้วย ตัวอย่าง ไม่ควรส่งรูปถ่ายคนไข้ผ่านช่องทางการสื่อสารสาธารณะ เช่น Line เป็นต้น หรือหากจำเป็นต้องมีการส่งจริง ๆก็ควรมีมาตรการในการป้องกันการเข้าถึงด้วยตัวอย่างเช่น อาจจะมีการส่งข้อมูลโดยมีการเข้ารหัส โดยส่งรหัสดังกล่าวไปให้ปลายทางรับทราบพียบท่านเดียวเท่านั้น เพื่อให้มั่นใจได้ว่าข้อมูลดังกล่าวถึงมือผู้รับจริง และมีเพียงแต่ผุ้รับรหัสเท่านั้นที่จะสามารถเปิดดูข้อมูลที่เข้ารหัสไว้ได้ โดยภาพรวมนั้นสถานพยาบาลมีกิจกรรมหลาย ๆกิจกรรมที่มีการเข้าถึงข้อมูลส่วนบุคคลที่มี่ความอ่อนไหว เช่น กิจกรรมการนำภาพถ่ายคนไข้มาใช้เพื่อติดตามผลการรักษาคนไข้ ทั้งนี้สามรถทำได้แต่จำเป็นต้องมีแนวทางหรือกระบวนการบางอย่างมาเป็นมาตรฐานในการส่งต่อข้อมูล นอกจากจะเพื่อความปลอดภัยของคนไข้
จากบทความครั้งที่แล้ว เรื่อง Hotel reservation ไม่เกี่ยวกับ PDPA จริงหรือ ? ที่ได้มีการกล่าวถึงกระบวนการการจองที่พักในหลายรูปแบบ เช่น เว็บไซต์ เอเย่น walk-in ในวันนี้เราจะมากล่าวถึงกระบวนการที่ต่อเนื่องกันคือ กระบวนการการรับส่งจากสนามบินหรือสถานที่ต่างๆ ไปยังโรงแรม ในบางกรณีผู้เข้าพักบางท่านอาจมีความต้องการใช้บริการรถรับส่งเพื่อให้รับจากสนามบินมายังโรงแรมเพื่อความสะดวกของผู้เข้าพัก รูปแบบการรับส่งที่สนามบินโดยทั่วไปสามารถแบ่งออกได้เป็น 2 รูปแบบ ได้แก่ Inhouse limousine คือ กรณีที่โรงแรมมีบริการรับส่งด้วยตัวเอง Outsource limousine คือ กรณีที่โรงแรมมีการจ้างบริษัทรับส่งภายนอก ให้ดำเนินการรับส่งผู้เข้าพักแทนโรงแรม ในกรณีที่โรงแรมมีบริการรับส่งด้วยตัวเอง (Inhouse limousine)  โดยทั่วไปข้อมูลของผู้เข้าพักจะถูกโรงแรมเก็บมาแล้วจากขั้นตอนการจองห้องพัก แต่อาจมีการนำข้อมูลดังกล่าวมาใช้เพื่อเป็นการยืนยันตัวผู้เข้าพักอีกครั้ง การนำข้อมูลมาใช้ในกระบวนการนี้ โรงแรมต้องมีการระบุวัตถุประสงค์นี้เข้าไปในประกาศความเป็นส่วนตัวของผู้เข้าพัก (Privacy notice) และแจ้งให้ผู้เข้าพักทราบในขั้นตอนการรับจองห้องพัก หรือจะแจ้งอีกครั้งเพื่อเป็นการแจ้งย้ำให้ผู้เข้าพักทราบก็ย่อมทำได้ นอกจากนี้ การที่โรงแรมนำข้อมูลมาใช้ประมวลผลในกระบวนการนี้สามารถใช้ฐานสัญญา ตามมาตรา 24(3) ในการจัดเก็บข้อมูลส่วนบุคคลได้ เนื่องจากเป็นการจำเป็นเพื่อใช้ในการดำเนินการตามคำขอก่อนการเข้าทำสัญญาใช้บริการ ในกรณีที่โรงแรมมีการจ้างบริษัทรับส่งภายนอก ให้ดำเนินการรับส่งผู้เข้าพักแทนโรงแรม หรือ Outsource limousine ทางโรงแรมอาจจะมีการส่งรายชื่อของผู้ที่จะเข้าพักให้กับบริษัท Outsource limousine ซึ่งเป็นนิติบุคคลภายนอก เช่น ข้อมูล ชื่อ นามสกุล รายละเอียดการเดินทางและการเข้าพัก เป็นต้น การที่โรงแรมมีการจ้างบริษัทภายนอกให้ดำเนินการด้านการรับส่ง บริษัทรับส่งนั้นทำตามภายในนามหรือภายใต้คำสั่งโรงแรมนั้น บริษัท Outsource limousine จึงมีสถานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ซึ่งตามมาตรา 40 วรรค 2 กำหนดให้ผู้ควบคุมข้อมูลมีหน้าที่ต้องจัดให้มีข้อตกลงระหว่างกัน เพื่อควบคุมการดำเนินการตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล ดังนั้น ระหว่าง โรงแรมกับบริษัท Outsource limousine  ควรมีการทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement : DPA)  ทั้งนี้เพื่อช่วยให้คู่สัญญาซึ่งเป็นผู้ประมวลผล ทราบถึงบทบาทและหน้าที่ของตนเองเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล การกำหนดวัตถุประสงค์ในการเปิดเผยข้อมูลส่วนบุคคล การกำหนดมาตรฐานในการแบ่งปันข้อมูลส่วนบุคคลและขอบเขตในการประมวลผลข้อมูลส่วนบุคคล โดยรายละเอียดของข้อตกลงการแลกเปลี่ยนข้อมูลส่วนบุคคล
thThai

ลงทะเบียน

เข้าสู่ระบบ