แนะ 7 ฐานทางกฎหมาย ประมวลผลข้อมูล “ผ่านฉลุย” ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

แนะ 7 ฐานทางกฎหมาย ประมวลผลข้อมูล “ผ่านฉลุย” ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มีขอบข่ายของกฎหมายเพื่อคุ้มครองการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของประชาชนคนไทย ซึ่งถ้าหากเราไม่ดำเนินการตามกฎหมายและเกิดกรณีการละเมิดข้อมูลส่วนบุคคลขึ้น อาจทำให้คุณเสียค่าปรับสูงสุดถึง 5 ล้านบาท (เฉพาะโทษทางปกครอง และยังไม่นับรวมโทษอื่นอีก) ดังนั้น บริษัท หน่วยงานและองค์กรต่าง ๆ หรือแม้แต่ผู้ประกอบการรายย่อยต้องระวัง!

แล้วคุณจะทำอย่างไรไม่ให้เข้าข่ายมีความผิดกันนะ? PDPC มีคำตอบครับ

กฎหมายคุ้มครองข้อมูลส่วนบุคคลทั้ง 2 ฉบับ คือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลของไทย (PDPA) และกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (GDPR) กำหนดให้ “การประมวลผลข้อมูล” หมายถึง การดำเนินการใด ๆ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล สามารถปฏิบัติได้อย่างถูกต้องตามกฎหมาย หากคุณดำเนินการภายใต้ฐานทางกฎหมายที่เหมาะสม

ข้อควรสังเกต: GDPR ระบุฐานของการประมวลผลข้อมูลส่วนบุคคลโดยชอบด้วยกฎหมายเอาไว้ 6 ฐาน ส่วน PDPA ได้ปรับปรุงฐานของการประมวลผลข้อมูลเพิ่มเติมขึ้นมาอีก 1 ฐาน คือ ฐานจดหมายเหตุ/วิจัย/สถิติ เพื่อให้สอดคล้องกับบริบทของประเทศไทย รวมเป็นทั้งหมด 7 ฐานด้วยกัน มีรายละเอียดดังนี้

7 ฐานการ ประมวลผลข้อมูล ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

  • ฐานประโยชน์สำคัญต่อชีวิต (Vital Interest)

กรณีที่การประมวลผลข้อมูลมีความจำเป็นต่อการปกป้องประโยชน์สำคัญของเจ้าของข้อมูล อย่างเช่นเพื่อปกป้องอันตรายร้ายแรงที่อาจเกิดขึ้นกับสุขภาพหรือชีวิตของเจ้าของข้อมูล ผู้ควบคุมข้อมูลสามารถใช้ฐานนี้เพื่อประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับสุขภาพ หรือข้อมูลอ่อนไหวอื่น ๆ ได้ (เฉพาะเมื่อเจ้าของข้อมูลอยู่ในสภาวะไม่สามารถให้ความยินยอม)

  • ฐานสัญญา (Contract)

สัญญาคือการตกลงแลกเปลี่ยนกันทั้งสองฝ่าย ซึ่งเราสามารถประมวลผลข้อมูลได้ในกรณีที่มีความจำเป็นต่อการให้บริการตามสัญญาที่ตกลงกันไว้ระหว่างผู้ควบคุมข้อมูลและเจ้าของข้อมูลส่วนบุคคล เช่น การประมวลผลข้อมูลธุรกรรมของบุคคลเพื่อคำนวณดอกเบี้ยของธนาคาร หรือการประมวลผลชื่อและที่อยู่ของบุคคลเพื่อดำเนินการจัดส่งสินค้าของบริษัทขนส่ง โดยฐานนี้จะสามารถใช้ได้กับการประมวลผลข้อมูลส่วนบุคคลทั่วไปเท่านั้น (ไม่สามารถใช้กับการประมวลผล Sensitive Data ได้) และจำกัดการประมวลผลเฉพาะข้อมูลของเจ้าของข้อมูลส่วนบุคคลที่เป็นคู่สัญญา

  • ฐานภารกิจสาธารณะ/อำนาจรัฐ (Public Task / Official Authority)

ผู้ที่สามารถใช้ฐานนี้ในการประมวลผลข้อมูลได้มักเป็นเจ้าหน้าที่หรือองค์กรของรัฐ ในกรณีที่การประมวลผลนั้น ๆ จำเป็นต่อการดำเนินงานตามภารกิจของรัฐเพื่อประโยชน์สาธารณะตามที่กำหนดไว้ในกฎหมาย

  • ฐานประโยชน์อันชอบธรรมด้วยกฎหมาย (Legitimate Interest)

ผู้ประกอบการสามารถประมวลผลข้อมูลส่วนบุคคลได้ในกรณีที่จำเป็นต่อการดำเนินการเพื่อประโยชน์อันชอบธรรมของผู้ควบคุมข้อมูลและบุคคลอื่นอย่างสมเหตุสมผล เช่น การบันทึกวงจรปิดเพื่อป้องกันอาชญากรรม การประมวลข้อมูลเพื่อรักษาความปลอดภัยของระบบและเครือข่าย หรือการส่งต่อข้อมูลในเครือบริษัทเพื่อการบริหารจัดการและประโยชน์ของพนักงาน เป็นต้น

  • ฐานการปฎิบัติ/หน้าที่ตามกฎหมาย (Legal Obligation)

ผู้ควบคุมข้อมูลสามารถประมวลผลข้อมูลส่วนบุคคลของผู้อื่นได้ในกรณีที่พิสูจน์ได้ว่ามีความจำเป็นต่อการปฏิบัติตามหน้าที่ตามกฎหมาย โดยต้องสามารถระบุได้อย่างชัดเจนว่ากำลังปฏิบัติหน้าที่ตามบทบัญญัติใดของกฎหมาย หรือกระทำตามคำสั่งของหน่วยงานใดของรัฐที่มีอำนาจตามกฎหมาย เช่น การประมวลผลข้อมูลตามคำสั่งศาล การเปิดเผยข้อมูลทางการเงินของลูกจ้างต่อกรมสรรพากร หรือการเก็บข้อมูลการจราจรของผู้ให้บริการเครือข่ายโทรศัพท์เคลื่อนที่ตามที่ถูกกำหนดในพระราชบัญญัติคอมพิวเตอร์ เป็นต้น

  • ฐานความยินยอม (Consent)

ความยินยอมสามารถใช้เป็นฐานการประมวลผลได้เฉพาะในกรณีที่เจ้าของข้อมูลได้สมัครใจ “เลือก” ยินยอมให้ผู้ควบคุมข้อมูลประมวลผลข้อมูลได้ โดยผู้ควบคุมข้อมูลจะต้องดำเนินการขอความยินยอมจากเจ้าของข้อมูลเสียก่อน ด้วยการจัดทำแบบฟอร์มขอความยินยอมเป็นหนังสือหรือทำผ่านระบบอิเล็กทรอนิกส์ในลักษณะที่ชัดแจ้ง แยกส่วนจากข้อความอื่น รูปแบบเข้าถึงและเข้าใจได้ง่าย และเป็นภาษาที่อ่านง่ายไม่หลอกลวง

การทำการตลาดแบบตรง การทำระบบสมาชิกสะสมแต้ม และการโฆษณาออนไลน์ตามพฤติกรรมของผู้ใช้งาน จะต้องใช้ฐานความยินยอมเป็นหลักในการประมวลผลข้อมูล

  • ฐานจดหมายเหตุ/วิจัย/สถิติ (Historical Document, Research, or Statistics)

ฐานการประมวลผลข้อมูลที่มีเพิ่มอยู่ใน PDPA โดยผู้ควบคุมข้อมูลสามารถนำเอาข้อมูลส่วนบุคคลของเจ้าของข้อมูลมาประมวลผลได้บนพื้นฐานของการทำบันทึกจดหมายเหตุ วิจัย หรือสถิติต่าง ๆ อย่างไรก็ตามมีเงื่อนไขสำคัญคือต้องมีมาตรการปกป้องคุ้มครองข้อมูลนั้นอย่างเหมาะสม สอดคล้องกับหลักการพื้นฐานของการคุ้มครองข้อมูลส่วนบุคคล หรืออย่างน้อยเป็นไปตามที่คณะกรรมการประกาศกำหนด (ซึ่งยังคงต้องรอประกาศออกมาอย่างเป็นทางการ)

ส่วนใน GDPR กำหนดให้ การนำข้อมูลส่วนบุคคลไปประมวลผลเพื่อการศึกษาวิจัยและสถิติ จะต้องอ้างฐานใดฐานหนึ่งใน 6 ฐานการประมวลผลข้อมูลที่กล่าวมาข้างต้นประกอบด้วยเสมอ

ฐานความยินยอมควรเป็นทางเลือกสุดท้าย!

จากข้างต้นจะเห็นได้ว่า ไม่ได้มีเพียงแค่การขอความยินยอมเท่านั้นที่จะช่วยให้คุณสามารถประมวลผลข้อมูลส่วนบุคคลได้อย่างถูกต้องตามกฎหมาย เพียงแค่ฐานความยินยอมเป็นฐานการประมวลผลข้อมูลที่ได้รับการพูดถึงมากที่สุดในวงการการตลาดแบบดั้งเดิมและการตลาดออนไลน์ซึ่งมีการใช้ประโยชน์จากข้อมูลของลูกค้าเป็นสำคัญ

การขอความยินยอมใช้เป็นฐานเพื่ออ้างอิงการประมวลผลข้อมูลที่ไม่มั่นคงที่สุดจากบรรดาฐานการประมวลผลทั้งหมด เนื่องจากหากเจ้าข้อมูลไม่ยินยอมคุณก็ไม่มีสิทธิ์ในการประมวลผลข้อมูล แถมเจ้าของข้อมูลยังสามารถขอถอนความยินยอมเมื่อไหร่ก็ได้เช่นกัน

ดังนั้น ลองสำรวจให้แน่ใจดูก่อนว่า ลักษณะของการประมวลผลข้อมูลของคุณ ไม่ว่าจะในฐานะผู้ควบคุมข้อมูลที่เป็นบุคคลธรรมดาหรือนิติบุคคล สามารถเข้าข่ายของการดำเนินการตามฐานทางกฎหมายอื่น ๆ ได้หรือไม่ ก่อนจะไล่สำรวจไปจนถึงฐานความยินยอม โดยการขอความยินยอมเพื่อประมวลผลข้อมูล (ส่วนบุคคล) ควรเป็นทางเลือกสุดท้ายที่คุณเลือก

เลือกและระบุฐานการ ประมวลผลข้อมูล ให้ชัดเจน

ผู้ควบคุมข้อมูลจะต้องระบุฐานในการประมวลผลข้อมูลก่อนการเก็บรวบรวมข้อมูลส่วนบุคคล (อ้างอิงจาก ICDL Workforce Data Protection Syllabus 1.0) และต้องแจ้งวัตถุประสงค์ของการประมวลผลข้อมูลนั้นให้เจ้าของข้อมูลทราบ เพื่อให้เจ้าของข้อมูลทราบถึงสิทธิของตนเอง เนื่องจากเจ้าของข้อมูลส่วนบุคคลจะมีสิทธิที่แตกต่างกันออกไปตามฐานการประมวลผลที่ระบุ เช่น กรณีข้อมูลส่วนบุคคลถูกประมวลผลบนฐานภารกิจสาธารณะ/อำนาจรัฐ เจ้าของข้อมูลส่วนบุคคลไม่อาจขอลบข้อมูลของตนเองได้ แต่ในทางกลับกัน เจ้าของข้อมูลเลือกที่จะขอลบข้อมูลของตนจากบริษัทที่เก็บข้อมูลบนฐานความยินยอมได้ เป็นต้น นอกจากนั้น การระบุฐานในการประมวลผลข้อมูลยังเป็นประโยชน์ในการอ้างอิง เมื่อถูกตรวจสอบจากสำนักงานคณะกรรมการคุ้มครองข้องมูลส่วนบุคคลหรือหน่วยงานที่เกี่ยวข้องอีกด้วยครับ

เพียงเลือกฐานการประมวลผลข้อมูลฐานใดฐานหนึ่ง และดำเนินการตามมาตรการคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด ก็จะช่วยให้คุณสามารถประมวลผลข้อมูลได้อย่าง “ผ่านฉลุย” ภายใต้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

สนใจเรียนรู้เกี่ยวกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) และแนวทางปฎิบัติตามกฎหมาย ต้องหลักสูตร PDPC – Personal Data Protection Certificate หรือสามารถสอบถามรายละเอียดได้ที่ Facebook PDPA ICDLTHAILAND

หากผู้บริหารองค์กรหรือผู้ที่ได้รับมอบหมายให้รับผิดชอบเกี่ยวกับด้านการคุ้มครองข้อมูลส่วนบุคคลขององค์กรท่านใด ได้อ่านบทความข้างต้น แล้วยังมีความสับสนว่าองค์กรสามารถปรับประยุกต์ใช้ฐานทางกฎหมายใดในการประมวลผลข้อมูลส่วนบุคคลได้บ้าง รู้ได้อย่างไรว่าคุณควรเลือกใช้ฐานการประมวลผลไหน และมีแนวทางการคุ้มครองข้อมูลส่วนบุคคลในภาพรวมอย่างไร บริษัท ดิจิทัล บิสิเนส คอนซัลท์ จำกัด (Digital Business Consult: DBC) ยินดีรับให้คำปรึกษา พร้อมบริการอบรมแบบ In-house Training ภายในองค์กรและอบรมออนไลน์หลักสูตร Personal Data Protection Certificate ครบวงจร เพื่อเป็น Solution ให้กับองค์กรที่ต้องการดำเนินการตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทย (PDPA)

Our Consultation Service <<< คลิกเพื่อศึกษารายละเอียดบริการที่ปรึกษาด้าน PDPA
PDPA Thailand <<< หรือคลิกเพื่อสอบถามข้อมูลผ่านทาง Facebook Messenger

Share :

บทความที่เกี่ยวข้อง

กว่า 6 ปีที่ผ่านมา ประเทศไทยมีข่าวการหลุดรั่วของข้อมูลส่วนบุคคลเป็นจำนวนมาก ทั้งจากการกระทำของแฮกเกอร์ที่เข้ามาเจาะระบบ ทั้งจากการป้องกันการหลุดรั่วของข้อมูลส่วนบุคคลที่หละหลวม PDPA Thailand และวันนี้เป็นวันครบรอบ 1 นับจากวันที่ 1 มิถุนายน 2565 ที่กฎหมาย PDPA มีผลบังคับใช้เต็มรูปแบบ PDPA Thailand จึงรวบรวมเหตุการณ์สำคัญ ๆ ที่เกิดขึ้นมาตั้งแต่ปี พ.ศ.2561 จนถึง พ.ศ.2566 มาให้ดูกัน     เมษายน 2561 ข้อมูลลูกค้า True Move H หลุดรั่ว ฐานข้อมูลลูกค้า Truemove H ที่สมัครซื้อซิมพร้อมมือถือผ่าน iTruemart หลุดรั่วจำนวน 64,000 ราย ที่มา https://www.beartai.com/news/it-thai-news/233905   กันยายน 2563 โรงพยาบาลสระบุรี ถูกแรนซัมแวร์โจมตี “โรงพยาบาลสระบุรี” ถูกไวรัสแรนซัมแวร์ แฮกฐานข้อมูลระบบบริการผู้ป่วย ทำให้ไม่สามารถสืบค้นข้อมูลประวัติเก่าหรือให้บริการออนไลน์ได้ ที่มา https://www.sanook.com/news/8248818/   กุมภาพันธ์ 2564 ที่ว่าการอำเภอถลาง ใช้กระดาษรียูส ด้านหลังเป็นใบสำเนามรณบัตร สาวจดทะเบียนสมรส ได้ใบเสร็จพ่วงมรณบัตร สาเหตุจากการใช้กระดาษรียูสในการออกใบเสร็จ แต่เคสนี้เจ้าหน้าที่เผลอนำใบสำเนามรณบัตรมาใช้ ที่มา https://www.thairath.co.th/news/local/south/2543643   สิงหาคม 2564 Bangkok Airways ถูกแรนซัมแวร์โจมตี สายการบิน Bangkok Airways ถูกแรนซัมแวร์โจมตี คนร้ายลอบขโมยข้อมูลลูกค้าออกไปได้กว่า 100GB ประกอบด้วย ชื่อ-นามสกุล, เพศ, สัญชาติ, หมายเลขโทรศัพท์, ที่อยู่ และอีเมล รวมถึงข้อมูลอื่นๆ เช่น
เนื่องจากปัจจุบันเทคโนโลยีมีความก้าวไกลไปมากทำให้การดำเนินการต่าง ๆเป็นไปอย่างสะดวกมากขึ้น ตั้งแต่การเดินทางรวมถึงกระบวนการทำงานต่าง ๆ ซึ่งหนึ่งในองค์กรที่มีการนำวิทยาการนำมาใช้ ได้แก่ สถานพยาบาลนั่นเอง ซึ่งปัจจุบันนั้นมีนำเทคโนโลยีมาใช้เพื่อความสะดวกสบาย เช่น ใช้หุ่นยนต์ในการส่งแฟ้มเอกสารระหว่างแผนก หรือการใช้ระบบต่างเพื่อรวบรวมข้อมูลคนไข้ไว้ที่เดียวกันเพื่อสะดวกต่อการค้นหา ซึ่งกระบวนการหนึ่งที่มีการใช้งานได้แก่ การส่งต่อรูปถ่าย ซึ่งปัจจุบันนั้นวัตถุประสงค์หลัก ๆในการส่งรูปถ่ายจะเป็นไปเพื่อประโยชน์ทางการรักษาหรือติดตามอาการของผู้ป่วย ทั้งนี้ มันมีข้อสังเกตว่า ข้อมูลรูปถ่ายคนไข้เป็นข้อมูลอ่อนไหวหรือไม่ และหากจำเป็นต้องมีการใข้ข้อมูลภาพถ่ายจะต้องใช้อย่างไรเพื่อให้สอดคล้องตามหลักของ PDPA ข้อมูลรูปถ่ายคนไข้ถือว่าเป็นข้อมูลอ่อนไหวหรือไม่ จากที่เราทราบกับข้อมูลอ่อนไหว ได้แก่ข้อมูลเกี่ยวกับ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ เป็นต้น ซึ่งข้อมูลภาพถ่ายคนไข้นั้นถือได้ว่าเป็นข้อมูลสุขภาพ ตามระเบียบกระทรวงสาธารณสุขว่าด้วยการคุ้มครองและจัดการข้อมูลด้านสุขภาพของบุคคล พ.ศ. 2561 ที่นี้เมื่อทราบว่าเป็นข้อมูลส่วนบุคคลที่อ่อนไหว จึงจำเป็นต้องมีแนวหรือหลักการเพื่อให้การใช้ข้อมูลรูปถ่ายเป็นไปตามหลักของ PDPA หากจำเป็นต้องใช้ ต้องทำอย่างไร โดยหลักการของการคุ้มครองข้อมูลส่วนบุคคล การใช้ข้อมูลส่วนบุคคลควรใช้ข้อมูลตราบเท่าที่จำเป็น เช่นกัน การใช้ข้อมูลรูปถ่ายคนไข้ก็ควรจะต้องมีการใช้ข้อมูลเท่าที่จำเป็นเช่นกัน โดยเมื่อจำเป็นต้องมีการเก็บมูล จำเป็นต้องมีการขอความยินยอมก่อน รวมถึงมีการแจ้งวัตถุประสงค์ในการเก็บข้อมูลภาพถ่ายคนไข้ ซึ่งการแจ้งประกาศนั้นอาจจะมีเป็นการแจ้งเป็นประกาศความเป็นส่วนตัวของ คนไข้หรือลูกค้าตามแต่กรณี ต่อมาในการใช้งานหรือประมวลผลควรใช้เท่าที่จำเป็นซึ่งได้แก่ใช้เพื่อรักษาหรือติดตามอาการเท่านั้น ไม่ควรใช้เพื่อเหตุอื่น ถามว่าการเอารูปถ่ายคนไข้ให้หมอท่านอื่นดูได้หรือไม่ เพราะบางครั้งหมอที่เป็นเจ้าของไข้นั้นอาจจำเป็นต้องมีการนำภาพคนไข้ เพื่อปรึกษากับหมอท่านอื่น ตัวอย่างเช่น กรณีคนไข้มารักษาสิว เมื่อทำการรักษาแล้วหากพบว่าบริเวณที่รักษามีปัญหาขึ้นมา กรณีเช่นนี้หากเป็นไปเพื่อการรักษาและติดตามอาการก็สามารถทำได้ แต่ต้องมีการแจ้งให้เจ้าของข้อมูลทราบถึงความจำเป็นดังกล่าว โดยอาจจะสื่อสารผ่านตัวประกาศความเป็นส่วนตัวได้เช่นกัน นอกจากนี้แล้วนั้นหมอที่เป็นเจ้าของคนไข้ต้องมีความระมัดระวังในการเผยแพร่รูปถ่ายคนไข้ด้วย แม้จะมีการแจ้งเจ้าของข้อมูลส่วนบุคคลหรือคนไข้แล้วก็ตาม โดยหมอที่เป็นเจ้าของไข้นั้น ควรมีความระมัดระวังในการที่จะไม่เผยแพร่ภาพถ่ายคนไข้ดังกล่าวไปสู่หมอ รวมถึงบุคลกรทางการแพทย์ที่ไม่ได้มีความเกี่ยวข้องกับคนไข้ให้รับทราบ นอกจากนี้ช่องทางการเผยแพร่ข้อมูลก็เป็นสิ่งหนึ่งที่ควรจะต้องมีความระมัดระวังอย่างยิ่ง เนื่องจากในปัจจุบันนั้นวิทยาการด้านการสื่อสารสามารถส่งต่อข้อมูลดิจิทัลได้อย่างรวดเร็วและสะดวกสบายยิ่งขึ้น ไม่ว่าจะมาจากช่องทางอีเมล Messenger เป็นต้น ทั้งนี้เมื่อมีการส่งข้อมูลรูปถ่ายคนไข้ไป จำต้องมีคำนึงถึงความปลอดภัยด้วย ตัวอย่าง ไม่ควรส่งรูปถ่ายคนไข้ผ่านช่องทางการสื่อสารสาธารณะ เช่น Line เป็นต้น หรือหากจำเป็นต้องมีการส่งจริง ๆก็ควรมีมาตรการในการป้องกันการเข้าถึงด้วยตัวอย่างเช่น อาจจะมีการส่งข้อมูลโดยมีการเข้ารหัส โดยส่งรหัสดังกล่าวไปให้ปลายทางรับทราบพียบท่านเดียวเท่านั้น เพื่อให้มั่นใจได้ว่าข้อมูลดังกล่าวถึงมือผู้รับจริง และมีเพียงแต่ผุ้รับรหัสเท่านั้นที่จะสามารถเปิดดูข้อมูลที่เข้ารหัสไว้ได้ โดยภาพรวมนั้นสถานพยาบาลมีกิจกรรมหลาย ๆกิจกรรมที่มีการเข้าถึงข้อมูลส่วนบุคคลที่มี่ความอ่อนไหว เช่น กิจกรรมการนำภาพถ่ายคนไข้มาใช้เพื่อติดตามผลการรักษาคนไข้ ทั้งนี้สามรถทำได้แต่จำเป็นต้องมีแนวทางหรือกระบวนการบางอย่างมาเป็นมาตรฐานในการส่งต่อข้อมูล นอกจากจะเพื่อความปลอดภัยของคนไข้
จากบทความครั้งที่แล้ว เรื่อง Hotel reservation ไม่เกี่ยวกับ PDPA จริงหรือ ? ที่ได้มีการกล่าวถึงกระบวนการการจองที่พักในหลายรูปแบบ เช่น เว็บไซต์ เอเย่น walk-in ในวันนี้เราจะมากล่าวถึงกระบวนการที่ต่อเนื่องกันคือ กระบวนการการรับส่งจากสนามบินหรือสถานที่ต่างๆ ไปยังโรงแรม ในบางกรณีผู้เข้าพักบางท่านอาจมีความต้องการใช้บริการรถรับส่งเพื่อให้รับจากสนามบินมายังโรงแรมเพื่อความสะดวกของผู้เข้าพัก รูปแบบการรับส่งที่สนามบินโดยทั่วไปสามารถแบ่งออกได้เป็น 2 รูปแบบ ได้แก่ Inhouse limousine คือ กรณีที่โรงแรมมีบริการรับส่งด้วยตัวเอง Outsource limousine คือ กรณีที่โรงแรมมีการจ้างบริษัทรับส่งภายนอก ให้ดำเนินการรับส่งผู้เข้าพักแทนโรงแรม ในกรณีที่โรงแรมมีบริการรับส่งด้วยตัวเอง (Inhouse limousine)  โดยทั่วไปข้อมูลของผู้เข้าพักจะถูกโรงแรมเก็บมาแล้วจากขั้นตอนการจองห้องพัก แต่อาจมีการนำข้อมูลดังกล่าวมาใช้เพื่อเป็นการยืนยันตัวผู้เข้าพักอีกครั้ง การนำข้อมูลมาใช้ในกระบวนการนี้ โรงแรมต้องมีการระบุวัตถุประสงค์นี้เข้าไปในประกาศความเป็นส่วนตัวของผู้เข้าพัก (Privacy notice) และแจ้งให้ผู้เข้าพักทราบในขั้นตอนการรับจองห้องพัก หรือจะแจ้งอีกครั้งเพื่อเป็นการแจ้งย้ำให้ผู้เข้าพักทราบก็ย่อมทำได้ นอกจากนี้ การที่โรงแรมนำข้อมูลมาใช้ประมวลผลในกระบวนการนี้สามารถใช้ฐานสัญญา ตามมาตรา 24(3) ในการจัดเก็บข้อมูลส่วนบุคคลได้ เนื่องจากเป็นการจำเป็นเพื่อใช้ในการดำเนินการตามคำขอก่อนการเข้าทำสัญญาใช้บริการ ในกรณีที่โรงแรมมีการจ้างบริษัทรับส่งภายนอก ให้ดำเนินการรับส่งผู้เข้าพักแทนโรงแรม หรือ Outsource limousine ทางโรงแรมอาจจะมีการส่งรายชื่อของผู้ที่จะเข้าพักให้กับบริษัท Outsource limousine ซึ่งเป็นนิติบุคคลภายนอก เช่น ข้อมูล ชื่อ นามสกุล รายละเอียดการเดินทางและการเข้าพัก เป็นต้น การที่โรงแรมมีการจ้างบริษัทภายนอกให้ดำเนินการด้านการรับส่ง บริษัทรับส่งนั้นทำตามภายในนามหรือภายใต้คำสั่งโรงแรมนั้น บริษัท Outsource limousine จึงมีสถานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ซึ่งตามมาตรา 40 วรรค 2 กำหนดให้ผู้ควบคุมข้อมูลมีหน้าที่ต้องจัดให้มีข้อตกลงระหว่างกัน เพื่อควบคุมการดำเนินการตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล ดังนั้น ระหว่าง โรงแรมกับบริษัท Outsource limousine  ควรมีการทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement : DPA)  ทั้งนี้เพื่อช่วยให้คู่สัญญาซึ่งเป็นผู้ประมวลผล ทราบถึงบทบาทและหน้าที่ของตนเองเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล การกำหนดวัตถุประสงค์ในการเปิดเผยข้อมูลส่วนบุคคล การกำหนดมาตรฐานในการแบ่งปันข้อมูลส่วนบุคคลและขอบเขตในการประมวลผลข้อมูลส่วนบุคคล โดยรายละเอียดของข้อตกลงการแลกเปลี่ยนข้อมูลส่วนบุคคล
thThai

ลงทะเบียน

เข้าสู่ระบบ