แนะ 5 รายการเชิงรุกสำหรับ ‘ทีมฝ่ายขาย และการตลาด’ เก็บใช้ข้อมูลลูกค้าอย่างไร ไม่ผิดกฎหมาย PDPA

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

แนะ 5 รายการเชิงรุกสำหรับ ‘ทีมฝ่ายขาย และการตลาด’ เก็บใช้ข้อมูลลูกค้าอย่างไร ไม่ผิดกฎหมาย PDPA

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

ไม่ว่าจะขายแบบตรง กิจกรรมส่งเสริมการขาย และการตลาด ‘ข้อมูลบุคคล มักจะเป็นวัตถุดิบชั้นเลิศในการที่ Sale และ Marketing  นำมาประมวลผลและวิเคราะห์เพื่อสร้างความเข้าอกเข้าใจลูกค้า หรือถึงขนาด รู้ใจ ว่าผู้บริโภคที่เป็นกลุ่มเป้าหมายต้องการอะไร เวลาไหน แม้กระทั่งต้องการซื้อผ่านช่องทางไหนสะดวกที่สุด แถมยังทำให้ผู้ซื้อสินค้าหรือบริการยังรู้สึกว่า สิ่งเหล่านั้นเป็นบริการที่ผู้ขายปรับแต่งขึ้นเพื่อเราโดยเฉพาะ ซึ่งวิธีการนี้ในวงการนักขาย และการตลาดเรียกว่า การตลาดส่วนบุคคล (Personalized Marketing) แต่ถ้าเป็น CEO ก็มักจะบอกว่านี่คือ Data Driven Marketing

แต่จะเรียกอะไรก็ช่างเถอะ! ผลที่เกิดขึ้นจากกิจกรรมทางการขายและการตลาด ที่นำมาซึ่งยอดขายสินค้าหรือบริการที่มากมาย เคล็ดลับส่วนใหญ่ก็ล้วนเกิดจากสิ่งที่เรียกว่า ‘Big Data’ ซึ่งตลอดหลายปีที่ผ่านมามีความหมายอย่างมากต่อทุกองค์กร แต่ในทางกลับกัน ดูเหมือนว่ากิจกรรมด้านการขายและการตลาดก็มักจะรุกล้ำเกินเส้นแบ่งของความเป็นส่วนตัวของลูกค้ามากทุกขณะ

ด้วยประเด็นนี้ ทั่วโลกจึงเกิดความตื่นตัวว่า ข้อมูลส่วนบุคคล ไม่ใช่ใครก็จะมาเก็บไปใช้ได้โดยง่าย และอาจนำไปสู่การละเมิดสิทธิที่ร้ายแรงได้ ดังนั้นกฎหมายคุ้มครองข้อมูลส่วนบุคคลจึงเกิดขึ้น ขณะที่ในประเทศไทยก็มีพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ กฎหมาย PDPA (Personal Data Protection Act) บังคับใช้อย่างเป็นทางการในวันที่ 1 มิถุนายน 2565 นี้

เหตุนี้ การใช้ประโยชน์จากข้อมูลส่วนบุคคลเพื่อหวังผลด้านยอดขายและตลาด อาทิ การทดสอบเพื่อวัดผลลัพธ์ การสำรวจและวิเคราะห์ประสบการณ์ของลูกค้า การนำข้อมูลพฤติกรรมของลูกค้าที่มีต่อเว็บไซต์มาปรับปรุงเพื่อออกแบบผลิตภัณฑ์หรือบริการให้ตรงตามพฤติกรรมของลูกค้ามากที่สุด สิ่งเหล่านี้อาจจะต้อง ระมัดระวังมากขึ้น

แต่ไม่ได้หมายความว่า นักการตลาดจะไม่สามารถนำ ข้อมูลลูกค้า มาประมวลผลเพื่อกิจกรรมด้านการตลาดและส่งเสริมการขายได้อีก เพียงแต่ต้องปฏิบัติให้ถูกต้อง ตลอดจนต้องทำความเข้าใจเรื่องกฎหมาย PDPA ในเชิงรุก ทั้งความเข้าใจในสาระสำคัญของกฎหมาย และการปรับรูปแบบการนำข้อมูลลูกค้ามาใช้ประโยชน์ ด้วย 5 รายการ ที่ทีมของตลาดของทุกบริษัท สามารถปรับใช้ได้อย่างเหมาะสม โดยมีขั้นตอนดังนี้

แต่งตั้งที่ปรึกษาเรื่อง PDPA ภายในทีมการตลาดเพื่อตรวจสอบขั้นตอนการจัดการข้อมูล

ความรู้เป็นสิ่งที่ร่ำเรียนกันได้ แต่ความถนัดจัดเจนของแต่ละคนย่อมไม่อาจเรียนหรือสอนกันเพียงไม่กี่วัน ดังนั้นไม่ใช่เรื่องแปลกแต่อย่างใดที่ทีมการตลาดจะยังไม่เข้าใจเรื่องกฎหมาย PDPA มากพอ

ด้วยเหตุนี้ สิ่งแรกที่เราอยากแนะนำให้ทุกบริษัททำ คือ การแต่งตั้งที่ปรึกษาในเรื่องกฎหมาย PDPA เพื่อสนับสนุนทีมการตลาดในการดูแลและจัดการข้อมูลในส่วนของกิจกรรมด้านการตลาดและส่งเสริมการขายในบริษัท หรือ (ถ้ามี) การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) ก็จะเป็นเรื่องดีที่สุด เพื่อตรวจสอบข้อมูลส่วนบุคคลต่างๆ ก่อนอนุมัติแคมเปญการตลาดขององค์กรอย่างละเอียดถี่ถ้วน เพื่อให้เป็นไปตามขั้นตอนที่ถูกต้องและสอดคล้องกับกฎหมาย ถือว่าการมี DPO จึงเป็นเกราะป้องกันชั้นดี โดย DPO จะต้องมีคุณสมบัติที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลให้การรับรอง และเป็นตำแหน่งที่กฎหมายคุ้มครอง

ถึงอย่างนั้น หัวหน้าทีมฝ่ายขายและการตลาดเอง จะต้องมีความเข้าใจเรื่องกฎหมายข้อมูลส่วนบุคคลในระดับหนึ่ง และควรตรวจสอบให้แน่ใจว่าสมาชิกในทีมแต่ละคนเข้าใจถึงผลที่อาจเกิดขึ้นหากไม่ปฏิบัติตามข้อบังคับของกฎหมาย PDPA

 

สำรวจข้อมูลส่วนบุคคลที่มีอยู่ และรวบรวมเพื่อดำเนินการขอความยินยอม

สิ่งสำคัญ คือ ในทีมฝ่ายขายและการตลาดจะต้องรู้ก่อนว่า มีทรัพยากรที่เป็นข้อมูลส่วนบุคคลภายในบริษัทมีการจัดเก็บไว้เท่าไหร่ เก็บในรูปแบบไหน และนำมาจัดแบ่งตามวัตถุประสงค์ในการใช้งาน โดยหัวหน้าทีมสามารถสร้างเป็นคลังข้อมูลเฉพาะ เพื่อดำเนินการใน 2 เรื่องสำคัญ คือ สร้างแบบฟอร์มเพื่อการขอความยินยอมอย่างชัดแจ้งในการเก็บรวบรวม ใช้และเปิดเผยข้อมูลส่วนบุคคลของลูกค้า และเรื่องที่สองคือการสร้างระบบ หรือกระบวนการในการบันทึกและจัดเก็บข้อมูลที่มีความปลอดภัย

อย่างไรก็ตาม สำหรับบางธุรกิจที่มีการเก็บข้อมูลเด็ก ผู้ที่ยังไม่บรรลุนิติภาวะ ผู้พิการ บุคคลไร้ความสามารถ หรือเสมือนไร้ความสามารถ จำเป็นจะต้องสร้างกระบวนการตรวจสอบอย่างละเอียด เช่น อายุ สถานะภาพ ความยินยอมจากผู้ปกครองตามกฎหมาย เพื่อป้องกันการละเมิดหรือเหตุการณ์ฟ้องร้องในภายหลัง

แบ่งประเภทข้อมูลส่วนบุคคล เพื่อเป้าหมายการขายหรือการตลาดเฉพาะด้าน

เป็นเรื่องล้าสมัยไปแล้วกับการทำการตลาดแบบ หว่านแห ด้วยเหตุนี้เอง ข้อมูลของฝ่ายขายและการตลาดภายในทีมที่ไม่เพียงจะต้องจัดแบ่งตามประเภทของข้อมูล วัตถุประสงค์ในการใช้ข้อมูล แต่ยังรวมถึงต้องแบ่งกลุ่มของข้อมูลเพื่อการนำไปใช้ประโยชน์ในบางกิจกรรม เช่น แบ่งข้อมูลส่วนบุคคลลูกค้าตามกลุ่มผลิตภัณฑ์ หรือบริการ แบ่งตามสถานะภาพ รายได้ อายุ หรือจะแบ่งเป็นแคมเปญอย่างไรก็ได้ แต่ควรมีการจัดสรรเป็นกลุ่มข้อมูลที่มี ความเฉพาะเจาะจง ซึ่งยังมีประโยชน์อีกด้าน คือ ทำให้การทำแคมเปญต่างๆ มีความแม่นยำและได้ผลลัพธ์ตรงตามวัตถุประสงค์มากขึ้น

และสำหรับมุมมองด้านกฎหมาย PDPA ยังมีข้อดีอีกประการ คือทำให้กระบวนการเก็บรวบรวม ใช้และเปิดเผยข้อมูลส่วนบุคคลเป็นไปตามวัตถุประสงค์ของการขายและการตลาดอย่างแท้จริง ‘ไม่สะเปะสะปะ อันนำไปสู่การทำบันทีกรายการข้อมูลส่วนบุคคลได้อีกด้วย

อัพเดตข้อมูลส่วนบุคคล และความยินยอมอยู่เสมอ

กฎหมาย PDPA ไม่เพียงให้สิทธิแก่เจ้าของข้อมูลส่วนบุคคล หากนำไปใช้ต้องขอความยินยอม แต่ยังระบุถึงสิทธิในการไม่ยินยอม การเพิกถอน การเข้าถึงและขอสำเนา การขอแก้ไขข้อมูล การถ่ายโอนข้อมูล หรือแม้แต่สิทธิในการคัดค้าน ให้ลบหรือทำลายข้อมูล ด้วยเหตุนี้ สถานะ การยินยอมของข้อมูลส่วนบุคคลจึงต้องมีการ อัปเดตอยู่เสมอ ซึ่งหัวหน้าทีมจะต้องหมั่นตรวจสอบเรื่องเหล่านี้ในเชิงรุกสำหรับทุกแคมเปญ

ออกแบบแผนและซักซ้อมการละเมิดข้อมูลส่วนบุคคลภายในทีม

PDPA กำหนดให้องค์กรต้องรายงานการละเมิดข้อมูลไม่เกิน72 ชั่วโมงหลังจากที่องค์กรรับทราบถึงการละเมิด ดังนั้น DPO (ถ้ามี) จะต้องดำเนินการในเรื่องนี้ รวมถึงการวางมาตรการและขั้นตอนในการป้องกันการละเมิด แต่หากไม่มี DPO หัวหน้าทีมฝ่ายขายและการตลาดอาจจะต้องเป็นผู้รับผิดชอบ เบื้องต้นในบทบาทนี้

โดยเริ่มจากการสร้างความเข้าใจเรื่อง PDPA ภายในทีม ทั้งตรวจสอบให้แน่ใจว่าลูกทีมเข้าใจเรื่อง PDPA และการละเมิดเป็นอย่างดี เช่น หากเกิดการละเมิดข้อมูลลูกค้าขึ้น หรือมีข้อมูลรั่วไหลอันอาจนำไปสู่การละเมิด ภายในทีมจะต้องมีแนวปฏิบัติที่ตรงกัน เช่น หากมีการร้องเรียน การขอให้ระงับการเก็บหรือเปิดเผยข้อมูลส่วนบุคคล หรือหากเกิดเหตุการณ์แจ้งละเมิดจะต้องปฏิบัติอย่างไร แจ้งให้ใครทราบ ตลอดจนมีการกำหนดช่องทางการสื่อสารที่เหมาะสมไว้เฉพาะเรื่องนี้ เพื่อให้การดำเนินการเป็นไปอย่างรวดเร็วทันต่อสถานการณ์  

ทั้ง 5 รายการที่เราแนะ และอยากให้ทำเหล่านี้ ไม่เพียงเป็นการป้องกัน และสามารถแก้สถานการณ์เหตุละเมิดในเชิงรุก แต่ยังทำให้ทีมฝ่ายขายและการตลาดในองค์กรได้ตระหนักและเข้าใจถึงความสำคัญของการปฏิบัติให้ถูกต้องตามกฎหมาย PDPA แถมยังสามารถสร้างความเข้าอกเข้าใจ เป็นมิตรไมตรีระหว่างบริษัทกับลูกค้าได้อีกด้วย

กระนั้น กฎหมายข้อมูลส่วนบุคคล ซึ่งแน่นอนว่าย่อมหมายถึง ทุกคน ด้วยเหตุนี้ ยังมีประเด็นเรื่องการเก็บข้อมูลคู่ค้า กรรมการ ผู้ถือหุ้น ที่อาจมีการส่งต่อหรือถ่ายโอนข้อมูลไปให้บุคคลที่สาม ตลอดจนข้อมูลยิบย่อยต่างๆ ที่ทั้งทีมตลาด ทีมขาย ทีมบริหารงานลูกค้า (AE) มีการเก็บ รวบรวมใช้ หรือเปิดเผย จะต้องมีการปฏิบัติให้ถูกต้องตามกฎหมาย PDPA โดยจะมีการแจกแจงเรื่องที่คุณควรรู้ในบทความถัดไป

Share :

บทความที่เกี่ยวข้อง

กว่า 6 ปีที่ผ่านมา ประเทศไทยมีข่าวการหลุดรั่วของข้อมูลส่วนบุคคลเป็นจำนวนมาก ทั้งจากการกระทำของแฮกเกอร์ที่เข้ามาเจาะระบบ ทั้งจากการป้องกันการหลุดรั่วของข้อมูลส่วนบุคคลที่หละหลวม PDPA Thailand และวันนี้เป็นวันครบรอบ 1 นับจากวันที่ 1 มิถุนายน 2565 ที่กฎหมาย PDPA มีผลบังคับใช้เต็มรูปแบบ PDPA Thailand จึงรวบรวมเหตุการณ์สำคัญ ๆ ที่เกิดขึ้นมาตั้งแต่ปี พ.ศ.2561 จนถึง พ.ศ.2566 มาให้ดูกัน     เมษายน 2561 ข้อมูลลูกค้า True Move H หลุดรั่ว ฐานข้อมูลลูกค้า Truemove H ที่สมัครซื้อซิมพร้อมมือถือผ่าน iTruemart หลุดรั่วจำนวน 64,000 ราย ที่มา https://www.beartai.com/news/it-thai-news/233905   กันยายน 2563 โรงพยาบาลสระบุรี ถูกแรนซัมแวร์โจมตี “โรงพยาบาลสระบุรี” ถูกไวรัสแรนซัมแวร์ แฮกฐานข้อมูลระบบบริการผู้ป่วย ทำให้ไม่สามารถสืบค้นข้อมูลประวัติเก่าหรือให้บริการออนไลน์ได้ ที่มา https://www.sanook.com/news/8248818/   กุมภาพันธ์ 2564 ที่ว่าการอำเภอถลาง ใช้กระดาษรียูส ด้านหลังเป็นใบสำเนามรณบัตร สาวจดทะเบียนสมรส ได้ใบเสร็จพ่วงมรณบัตร สาเหตุจากการใช้กระดาษรียูสในการออกใบเสร็จ แต่เคสนี้เจ้าหน้าที่เผลอนำใบสำเนามรณบัตรมาใช้ ที่มา https://www.thairath.co.th/news/local/south/2543643   สิงหาคม 2564 Bangkok Airways ถูกแรนซัมแวร์โจมตี สายการบิน Bangkok Airways ถูกแรนซัมแวร์โจมตี คนร้ายลอบขโมยข้อมูลลูกค้าออกไปได้กว่า 100GB ประกอบด้วย ชื่อ-นามสกุล, เพศ, สัญชาติ, หมายเลขโทรศัพท์, ที่อยู่ และอีเมล รวมถึงข้อมูลอื่นๆ เช่น
เนื่องจากปัจจุบันเทคโนโลยีมีความก้าวไกลไปมากทำให้การดำเนินการต่าง ๆเป็นไปอย่างสะดวกมากขึ้น ตั้งแต่การเดินทางรวมถึงกระบวนการทำงานต่าง ๆ ซึ่งหนึ่งในองค์กรที่มีการนำวิทยาการนำมาใช้ ได้แก่ สถานพยาบาลนั่นเอง ซึ่งปัจจุบันนั้นมีนำเทคโนโลยีมาใช้เพื่อความสะดวกสบาย เช่น ใช้หุ่นยนต์ในการส่งแฟ้มเอกสารระหว่างแผนก หรือการใช้ระบบต่างเพื่อรวบรวมข้อมูลคนไข้ไว้ที่เดียวกันเพื่อสะดวกต่อการค้นหา ซึ่งกระบวนการหนึ่งที่มีการใช้งานได้แก่ การส่งต่อรูปถ่าย ซึ่งปัจจุบันนั้นวัตถุประสงค์หลัก ๆในการส่งรูปถ่ายจะเป็นไปเพื่อประโยชน์ทางการรักษาหรือติดตามอาการของผู้ป่วย ทั้งนี้ มันมีข้อสังเกตว่า ข้อมูลรูปถ่ายคนไข้เป็นข้อมูลอ่อนไหวหรือไม่ และหากจำเป็นต้องมีการใข้ข้อมูลภาพถ่ายจะต้องใช้อย่างไรเพื่อให้สอดคล้องตามหลักของ PDPA ข้อมูลรูปถ่ายคนไข้ถือว่าเป็นข้อมูลอ่อนไหวหรือไม่ จากที่เราทราบกับข้อมูลอ่อนไหว ได้แก่ข้อมูลเกี่ยวกับ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ เป็นต้น ซึ่งข้อมูลภาพถ่ายคนไข้นั้นถือได้ว่าเป็นข้อมูลสุขภาพ ตามระเบียบกระทรวงสาธารณสุขว่าด้วยการคุ้มครองและจัดการข้อมูลด้านสุขภาพของบุคคล พ.ศ. 2561 ที่นี้เมื่อทราบว่าเป็นข้อมูลส่วนบุคคลที่อ่อนไหว จึงจำเป็นต้องมีแนวหรือหลักการเพื่อให้การใช้ข้อมูลรูปถ่ายเป็นไปตามหลักของ PDPA หากจำเป็นต้องใช้ ต้องทำอย่างไร โดยหลักการของการคุ้มครองข้อมูลส่วนบุคคล การใช้ข้อมูลส่วนบุคคลควรใช้ข้อมูลตราบเท่าที่จำเป็น เช่นกัน การใช้ข้อมูลรูปถ่ายคนไข้ก็ควรจะต้องมีการใช้ข้อมูลเท่าที่จำเป็นเช่นกัน โดยเมื่อจำเป็นต้องมีการเก็บมูล จำเป็นต้องมีการขอความยินยอมก่อน รวมถึงมีการแจ้งวัตถุประสงค์ในการเก็บข้อมูลภาพถ่ายคนไข้ ซึ่งการแจ้งประกาศนั้นอาจจะมีเป็นการแจ้งเป็นประกาศความเป็นส่วนตัวของ คนไข้หรือลูกค้าตามแต่กรณี ต่อมาในการใช้งานหรือประมวลผลควรใช้เท่าที่จำเป็นซึ่งได้แก่ใช้เพื่อรักษาหรือติดตามอาการเท่านั้น ไม่ควรใช้เพื่อเหตุอื่น ถามว่าการเอารูปถ่ายคนไข้ให้หมอท่านอื่นดูได้หรือไม่ เพราะบางครั้งหมอที่เป็นเจ้าของไข้นั้นอาจจำเป็นต้องมีการนำภาพคนไข้ เพื่อปรึกษากับหมอท่านอื่น ตัวอย่างเช่น กรณีคนไข้มารักษาสิว เมื่อทำการรักษาแล้วหากพบว่าบริเวณที่รักษามีปัญหาขึ้นมา กรณีเช่นนี้หากเป็นไปเพื่อการรักษาและติดตามอาการก็สามารถทำได้ แต่ต้องมีการแจ้งให้เจ้าของข้อมูลทราบถึงความจำเป็นดังกล่าว โดยอาจจะสื่อสารผ่านตัวประกาศความเป็นส่วนตัวได้เช่นกัน นอกจากนี้แล้วนั้นหมอที่เป็นเจ้าของคนไข้ต้องมีความระมัดระวังในการเผยแพร่รูปถ่ายคนไข้ด้วย แม้จะมีการแจ้งเจ้าของข้อมูลส่วนบุคคลหรือคนไข้แล้วก็ตาม โดยหมอที่เป็นเจ้าของไข้นั้น ควรมีความระมัดระวังในการที่จะไม่เผยแพร่ภาพถ่ายคนไข้ดังกล่าวไปสู่หมอ รวมถึงบุคลกรทางการแพทย์ที่ไม่ได้มีความเกี่ยวข้องกับคนไข้ให้รับทราบ นอกจากนี้ช่องทางการเผยแพร่ข้อมูลก็เป็นสิ่งหนึ่งที่ควรจะต้องมีความระมัดระวังอย่างยิ่ง เนื่องจากในปัจจุบันนั้นวิทยาการด้านการสื่อสารสามารถส่งต่อข้อมูลดิจิทัลได้อย่างรวดเร็วและสะดวกสบายยิ่งขึ้น ไม่ว่าจะมาจากช่องทางอีเมล Messenger เป็นต้น ทั้งนี้เมื่อมีการส่งข้อมูลรูปถ่ายคนไข้ไป จำต้องมีคำนึงถึงความปลอดภัยด้วย ตัวอย่าง ไม่ควรส่งรูปถ่ายคนไข้ผ่านช่องทางการสื่อสารสาธารณะ เช่น Line เป็นต้น หรือหากจำเป็นต้องมีการส่งจริง ๆก็ควรมีมาตรการในการป้องกันการเข้าถึงด้วยตัวอย่างเช่น อาจจะมีการส่งข้อมูลโดยมีการเข้ารหัส โดยส่งรหัสดังกล่าวไปให้ปลายทางรับทราบพียบท่านเดียวเท่านั้น เพื่อให้มั่นใจได้ว่าข้อมูลดังกล่าวถึงมือผู้รับจริง และมีเพียงแต่ผุ้รับรหัสเท่านั้นที่จะสามารถเปิดดูข้อมูลที่เข้ารหัสไว้ได้ โดยภาพรวมนั้นสถานพยาบาลมีกิจกรรมหลาย ๆกิจกรรมที่มีการเข้าถึงข้อมูลส่วนบุคคลที่มี่ความอ่อนไหว เช่น กิจกรรมการนำภาพถ่ายคนไข้มาใช้เพื่อติดตามผลการรักษาคนไข้ ทั้งนี้สามรถทำได้แต่จำเป็นต้องมีแนวทางหรือกระบวนการบางอย่างมาเป็นมาตรฐานในการส่งต่อข้อมูล นอกจากจะเพื่อความปลอดภัยของคนไข้
จากบทความครั้งที่แล้ว เรื่อง Hotel reservation ไม่เกี่ยวกับ PDPA จริงหรือ ? ที่ได้มีการกล่าวถึงกระบวนการการจองที่พักในหลายรูปแบบ เช่น เว็บไซต์ เอเย่น walk-in ในวันนี้เราจะมากล่าวถึงกระบวนการที่ต่อเนื่องกันคือ กระบวนการการรับส่งจากสนามบินหรือสถานที่ต่างๆ ไปยังโรงแรม ในบางกรณีผู้เข้าพักบางท่านอาจมีความต้องการใช้บริการรถรับส่งเพื่อให้รับจากสนามบินมายังโรงแรมเพื่อความสะดวกของผู้เข้าพัก รูปแบบการรับส่งที่สนามบินโดยทั่วไปสามารถแบ่งออกได้เป็น 2 รูปแบบ ได้แก่ Inhouse limousine คือ กรณีที่โรงแรมมีบริการรับส่งด้วยตัวเอง Outsource limousine คือ กรณีที่โรงแรมมีการจ้างบริษัทรับส่งภายนอก ให้ดำเนินการรับส่งผู้เข้าพักแทนโรงแรม ในกรณีที่โรงแรมมีบริการรับส่งด้วยตัวเอง (Inhouse limousine)  โดยทั่วไปข้อมูลของผู้เข้าพักจะถูกโรงแรมเก็บมาแล้วจากขั้นตอนการจองห้องพัก แต่อาจมีการนำข้อมูลดังกล่าวมาใช้เพื่อเป็นการยืนยันตัวผู้เข้าพักอีกครั้ง การนำข้อมูลมาใช้ในกระบวนการนี้ โรงแรมต้องมีการระบุวัตถุประสงค์นี้เข้าไปในประกาศความเป็นส่วนตัวของผู้เข้าพัก (Privacy notice) และแจ้งให้ผู้เข้าพักทราบในขั้นตอนการรับจองห้องพัก หรือจะแจ้งอีกครั้งเพื่อเป็นการแจ้งย้ำให้ผู้เข้าพักทราบก็ย่อมทำได้ นอกจากนี้ การที่โรงแรมนำข้อมูลมาใช้ประมวลผลในกระบวนการนี้สามารถใช้ฐานสัญญา ตามมาตรา 24(3) ในการจัดเก็บข้อมูลส่วนบุคคลได้ เนื่องจากเป็นการจำเป็นเพื่อใช้ในการดำเนินการตามคำขอก่อนการเข้าทำสัญญาใช้บริการ ในกรณีที่โรงแรมมีการจ้างบริษัทรับส่งภายนอก ให้ดำเนินการรับส่งผู้เข้าพักแทนโรงแรม หรือ Outsource limousine ทางโรงแรมอาจจะมีการส่งรายชื่อของผู้ที่จะเข้าพักให้กับบริษัท Outsource limousine ซึ่งเป็นนิติบุคคลภายนอก เช่น ข้อมูล ชื่อ นามสกุล รายละเอียดการเดินทางและการเข้าพัก เป็นต้น การที่โรงแรมมีการจ้างบริษัทภายนอกให้ดำเนินการด้านการรับส่ง บริษัทรับส่งนั้นทำตามภายในนามหรือภายใต้คำสั่งโรงแรมนั้น บริษัท Outsource limousine จึงมีสถานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ซึ่งตามมาตรา 40 วรรค 2 กำหนดให้ผู้ควบคุมข้อมูลมีหน้าที่ต้องจัดให้มีข้อตกลงระหว่างกัน เพื่อควบคุมการดำเนินการตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล ดังนั้น ระหว่าง โรงแรมกับบริษัท Outsource limousine  ควรมีการทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement : DPA)  ทั้งนี้เพื่อช่วยให้คู่สัญญาซึ่งเป็นผู้ประมวลผล ทราบถึงบทบาทและหน้าที่ของตนเองเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล การกำหนดวัตถุประสงค์ในการเปิดเผยข้อมูลส่วนบุคคล การกำหนดมาตรฐานในการแบ่งปันข้อมูลส่วนบุคคลและขอบเขตในการประมวลผลข้อมูลส่วนบุคคล โดยรายละเอียดของข้อตกลงการแลกเปลี่ยนข้อมูลส่วนบุคคล
thThai

ลงทะเบียน

เข้าสู่ระบบ