7 เรื่องเล่าที่ทำให้คุณเข้าใจผิดเกี่ยวกับ PDPA

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

7 เรื่องเล่าที่ทำให้คุณเข้าใจผิดเกี่ยวกับ PDPA

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 เป็นกฎหมายใหม่ที่คลอดออกมาได้ไม่กี่ปี และเป็นเรื่องใหม่สำหรับสังคมไทย เนื่องจากรากเหง้าของกฎหมายฉบับนี้ถูกพัฒนามาจากวัฒนธรรมโลกตะวันตกที่ข้อมูลส่วนบุคคลอ่อนไหวถูกใช้ไปในทางละเมิด ก่อให้เกิดความเสียหาย และค่อย ๆ แพร่กระจายไปทั่วโลกจนถึงเอเชียและไทยในที่สุด ที่เริ่มมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลทยอยคลอดออกมากันตามลำดับ

ไม่ว่าคุณจะเพิ่งเคยได้ยิน หรือเริ่มศึกษากฎหมายตัวนี้มาได้สักพักและต้องการทำ Data Protection ให้กับองค์กรอาจรู้สึกมึนงง ว่ากฎหมายตัวนี้มันแสนจะซับซ้อนซ่อนเงื่อน เข้าใจยาก บางครั้งคิดว่าเข้าใจถูกแล้วกลายเป็นว่าเข้าใจคาดเคลื่อนไปอีก PDPA Thailand รวบรวม 7 เรื่องเล่าที่อาจทำให้คุณเข้าใจผิดเกี่ยวกับกฎหมาย PDPA มาเล่าสู่กันฟัง (พร้อมแถลงสิ่งที่เราเก็ตจากประสบการณ์ของเรา)

1. พ.ร.บ.ประกาศใช้แล้วจะโดนปรับหรือจับทันที

ไม่จริง กฎหมายตัวนี้เป็นกฎหมายวินัย เป็นมาตรฐานสำหรับองค์กรให้ดำเนินการตามเอาไว้ หากไม่เกิดเหตุละเมิดใหญ่โตจนเกิดความเสียหายในวงกว้างจนเกิดการตรวจสอบ หรือมีผู้ร้องเรียนองค์กรนั้น ๆ ว่าไม่มีระบบการให้ใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลเมื่อร้องขอ หรือไม่ได้ Compliance ตามกฎหมายจนเกิดเคสฟ้องร้องกับทางสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เมื่อไต่สวนกันเรียบร้อยแล้วหากมีความผิดจึงจะโดนจับหรือปรับ ไม่ได้โดนโทษจากกฎหมายทันทีหลัง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลบังคับใช้ 1 มิ.ย. 65 อย่างที่หลาย ๆ คนตื่นตกใจ

อย่างไรก็ตาม การดำเนินกิจกรรมต่าง ๆ ให้สอดคล้องกับกฎหมาย PDPA เอาไว้ตั้งแต่แรกหลังประกาศใช้ย่อมดีกว่า กันไว้ดีกว่าแก้แน่นอน

 

2. ห้ามเก็บ ใช้ เปิดเผยข้อมูล

ไม่จริง PDPA ไม่ได้ห้ามเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล หรือกระทำแล้วมีความผิด เพียงแต่การจะทำได้ ต้องมี ”เหตุผล” หรือเรียกเป็นภาษากฎหมายว่า “ฐานทางกฎหมาย” ที่เหมาะสมและจำเป็น และก่อนหรือระหว่างการเก็บรวบรวมข้อมูลก็ต้องมีการแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของพวกเขาเหล่านั้นด้วย

 

3. การขอความยินยอมคือทางรอดหนึ่งเดียว

ไม่จริง หลายคนที่ศึกษากฎหมายตัวนี้ใหม่ ๆ อาจจะเคยได้ยินเรื่องการขอความยินยอมเป็นอันดับแรก ว่าขอความยินยอมแล้วจะสามารถเก็บรวบรวมข้อมูลเอาไปใช้งานได้ อันที่จริงเหตุผลในการเอาข้อมูลส่วนบุคคลไปใช้งานมีอยู่ด้วยกันถึง 7 ฐานการประมวลผลข้อมูลส่วนบุคคล ซึ่งการขอความยินยอมเป็นทางเลือกที่ไม่มั่นคงมากที่สุด เพราะเจ้าของข้อมูลส่วนบุคคลมีสิทธิขอถอนความยินยอมได้ทุกเมื่อ โดยการขอความยินยอมจำเป็นอย่างยิ่งกับการเอาข้อมูลส่วนบุคคลไปใช้เพื่อวัตถุประสงค์ทางการตลาด และการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลประเภทพิเศษ (ข้อมูลอ่อนไหว) แต่ถ้าหากองค์กรสามารถประมวลข้อมูลส่วนบุคคลได้ด้วยเห็นผลในข้ออื่น ๆ แนะนำว่าควรใช้เหตุผลนั้นดีกว่านะครับ

 

4. พนักงานขององค์กรแต่ละคนเป็นผู้ควบคุมข้อมูล/ผู้ประมวลผลข้อมูลแตกต่างกัน

ไม่จริง เพราะกฎหมายตัวนี้มองถึงบุคคล/นิติบุคคลที่สามารถตัดสินใจเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเองได้ = ผู้ควบคุวมข้อมูลส่วนบุคคล (Data Controller) หรือประมวลผลตามที่ได้รับมอบหมาย = ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) พนักงานในองค์กรที่มีฐานะเป็น Data Controller / Data Processor ไม่ว่าใครก็ถือว่าเป็นส่วนหนึ่งขององค์กรนั้น ถ้าพนักงานในองค์กรละเมิดข้อมูลส่วนบุคคลที่อยู่ในความดูแลขององค์กร ก็เท่ากับว่าทั้งองค์กรละเมิดข้อมูลส่วนบุคคลนั้นด้วย เรื่องการเอาผิดพนักงานรายบุคคลนั้นเป็นเรื่องการละเมิดต่อกฎระเบียบภายในองค์กร ดังนั้น การปรับระเบียบข้อบังคับ สัญญาพนักงาน และการอบรมพนักงานเรื่อง PDPA จึงกลายเป็นสิ่งสำคัญ

 

5. การถ่ายรูป/วิดีโอติดคนอื่นทำไม่ได้

ไม่จริง กับประเด็นที่เป็นกระแสร้อนแรงข้อนี้ อันที่จริงเป็นเรื่องของความเป็นส่วนตัว (Privacy) มากกว่าการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection) เราสามารถถ่ายรูป/วิดีโอติดคนอื่นที่ “เต็มใจ” ได้อยู่แล้ว การอยู่ในที่สาธารณะและถ่ายภาพหรือวิดีโอติดคนอื่นสามารถกระทำได้ โดยดูที่เจตนาของการกระทำครับ โดยหากเห็นบุคคลห่าง ๆ ไม่ได้โฟกัสหรือตั้งใจถ่ายไปบูลลี่เขาให้เกิดความเสียหายก็ไม่เป็นไร หรือหากเห็นได้ชัดเจนก็ช่วยเบลอหน้าเขานิดหนึ่ง ระมัดระวังในการลงภาพและวิดีโอมากขึ้น หรือถ้าไม่ชัวร์ก็ขออนุญาตเขาสักนิดก็ไม่เป็นปัญหาแล้วครับ

ส่วนในแง่ของเชิงองค์กร เช่นมีการจัดงานอีเวนท์และมีการถ่ายภาพ/วิดีโอบรรยากาศในงาน หนทางแก้คือแจ้งให้เขารับทราบว่าในงานจะมีการบันทึกภาพและวิดีโอ ระหว่างการลงทะเบียนตามช่องทางต่าง ๆ ไม่ว่าจะเป็นหน้างานหรือออนไลน์ล่วงหน้า พร้อมแจ้งเตือนการถ่ายภาพ/วิดีโอไว้หน้างาน หากเขาเต็มใจจะลงทะเบียนและเลือกก้าวเข้ามาในงานอีเวนท์ ย่อมหมายความว่าเขายอมรับ Condition นั้นนั่นเอง และทางกฎหมายอาจมองได้อีกว่าเป็นประโยชน์อันชอบธรรมหนึ่งของผู้จัดงาน อย่างไรก็ตาม ตากล้องของคุณยังคงต้องมีความระแวดระวังในการถ่าย และเคารพในสิทธิของเจ้าของข้อมูลส่วนบุคคลเหมือนเดิม

 

6. เจ้าของข้อมูลส่วนบุคคลมีสิทธิทำอะไรก็ได้กับข้อมูลของตัวเอง

ไม่จริง เจ้าของข้อมูลส่วนบุคคลมีสิทธิในข้อมูลส่วนบุคคลของตนเองตามกฎหมาย PDPA คือ ขอเข้าถึง แก้ไข โอนย้าย ลบทำลาย ฯลฯ แต่ไม่ได้หมายความว่าสามารถใช้สิทธิทุกอย่างได้ในทุกกรณี ต้องดูว่าไม่ติดเงื่อนไขตามที่ระบุไว้ในกฎหมาย เช่นติดอยู่ในสัญญาแลกเปลี่ยน หรือข้อมูลส่วนบุคคลนั้นกำลังถูกใช้เพื่อการก่อตั้งสิทธิตามกฎหมายของผู้ควบคุมข้อมูลอยู่ เป็นต้น

 

7. PDPA เกิดมาผลักภาระให้ธุรกิจ/ผู้ประกอบการ

ไม่จริง คนทำงานองค์กรคงรู้สึก PDPA แสนจะเป็นภาระ แต่เมื่อลองมองในมุมกลับ กฎหมายฉบับนี้เป็นกฎหมายที่ช่วยพัฒนากระบวนการทำงานขององค์กรด้านการจัดการข้อมูล (ส่วนบุคคล) ให้มีประสิทธิภาพสูงยิ่งขึ้น แม้จะต้องลงทุนด้านกำลังทรัพย์และกำลังคน ก็ถือว่าเป็นการลงทุนที่คุ้มค่ารับการเปลี่ยนแปลงของโลกดิจิทัลที่นับวันข้อมูลจะมีมูลค่ามาก และมีความยุ่งเหยิงซับซ้อนได้อีกหลายเท่า การมีความตระหนักด้านข้อมูลส่วนบุคคล กระบวนการทำงานที่ส่งเสริม และการป้องกันด้านความมั่นคงปลอดภัยทางไซเบอร์ (Cyber Security) ที่แข็งแรง จะทำให้องค์กรโตได้อย่างมั่นคง มีความสามารถในการแข่งขันในระดับนานาชาติ และได้รับความไว้วางใจจากผู้เกี่ยวข้อง ไม่ว่าจะเป็นผู้ถือหุ้น ผู้มาติดต่อ คู่ค้า และลูกค้า

อ่านแล้วเป็นอย่างไรกันบ้าง PDPA เข้าใจยากแต่ก็ไม่ยากเกินเข้าใจ สำหรับผู้ที่ยังไม่เข้าใจกฎหมายฉบับนี้ในเชิงลึกพอที่จะนำไปปรับประยุกต์ใช้ในการทำงานด้านการคุ้มครองข้อมูลส่วนบุคคลขององค์กร หรือไม่มีเวลาลงมาศึกษาเรื่องนี้ด้วยตนเองอย่างเพียงพอ แก้ปัญหาได้ด้วยบริการจาก PDPA Thailand คลิก!

Share :

บทความที่เกี่ยวข้อง

กว่า 6 ปีที่ผ่านมา ประเทศไทยมีข่าวการหลุดรั่วของข้อมูลส่วนบุคคลเป็นจำนวนมาก ทั้งจากการกระทำของแฮกเกอร์ที่เข้ามาเจาะระบบ ทั้งจากการป้องกันการหลุดรั่วของข้อมูลส่วนบุคคลที่หละหลวม PDPA Thailand และวันนี้เป็นวันครบรอบ 1 นับจากวันที่ 1 มิถุนายน 2565 ที่กฎหมาย PDPA มีผลบังคับใช้เต็มรูปแบบ PDPA Thailand จึงรวบรวมเหตุการณ์สำคัญ ๆ ที่เกิดขึ้นมาตั้งแต่ปี พ.ศ.2561 จนถึง พ.ศ.2566 มาให้ดูกัน     เมษายน 2561 ข้อมูลลูกค้า True Move H หลุดรั่ว ฐานข้อมูลลูกค้า Truemove H ที่สมัครซื้อซิมพร้อมมือถือผ่าน iTruemart หลุดรั่วจำนวน 64,000 ราย ที่มา https://www.beartai.com/news/it-thai-news/233905   กันยายน 2563 โรงพยาบาลสระบุรี ถูกแรนซัมแวร์โจมตี “โรงพยาบาลสระบุรี” ถูกไวรัสแรนซัมแวร์ แฮกฐานข้อมูลระบบบริการผู้ป่วย ทำให้ไม่สามารถสืบค้นข้อมูลประวัติเก่าหรือให้บริการออนไลน์ได้ ที่มา https://www.sanook.com/news/8248818/   กุมภาพันธ์ 2564 ที่ว่าการอำเภอถลาง ใช้กระดาษรียูส ด้านหลังเป็นใบสำเนามรณบัตร สาวจดทะเบียนสมรส ได้ใบเสร็จพ่วงมรณบัตร สาเหตุจากการใช้กระดาษรียูสในการออกใบเสร็จ แต่เคสนี้เจ้าหน้าที่เผลอนำใบสำเนามรณบัตรมาใช้ ที่มา https://www.thairath.co.th/news/local/south/2543643   สิงหาคม 2564 Bangkok Airways ถูกแรนซัมแวร์โจมตี สายการบิน Bangkok Airways ถูกแรนซัมแวร์โจมตี คนร้ายลอบขโมยข้อมูลลูกค้าออกไปได้กว่า 100GB ประกอบด้วย ชื่อ-นามสกุล, เพศ, สัญชาติ, หมายเลขโทรศัพท์, ที่อยู่ และอีเมล รวมถึงข้อมูลอื่นๆ เช่น
เนื่องจากปัจจุบันเทคโนโลยีมีความก้าวไกลไปมากทำให้การดำเนินการต่าง ๆเป็นไปอย่างสะดวกมากขึ้น ตั้งแต่การเดินทางรวมถึงกระบวนการทำงานต่าง ๆ ซึ่งหนึ่งในองค์กรที่มีการนำวิทยาการนำมาใช้ ได้แก่ สถานพยาบาลนั่นเอง ซึ่งปัจจุบันนั้นมีนำเทคโนโลยีมาใช้เพื่อความสะดวกสบาย เช่น ใช้หุ่นยนต์ในการส่งแฟ้มเอกสารระหว่างแผนก หรือการใช้ระบบต่างเพื่อรวบรวมข้อมูลคนไข้ไว้ที่เดียวกันเพื่อสะดวกต่อการค้นหา ซึ่งกระบวนการหนึ่งที่มีการใช้งานได้แก่ การส่งต่อรูปถ่าย ซึ่งปัจจุบันนั้นวัตถุประสงค์หลัก ๆในการส่งรูปถ่ายจะเป็นไปเพื่อประโยชน์ทางการรักษาหรือติดตามอาการของผู้ป่วย ทั้งนี้ มันมีข้อสังเกตว่า ข้อมูลรูปถ่ายคนไข้เป็นข้อมูลอ่อนไหวหรือไม่ และหากจำเป็นต้องมีการใข้ข้อมูลภาพถ่ายจะต้องใช้อย่างไรเพื่อให้สอดคล้องตามหลักของ PDPA ข้อมูลรูปถ่ายคนไข้ถือว่าเป็นข้อมูลอ่อนไหวหรือไม่ จากที่เราทราบกับข้อมูลอ่อนไหว ได้แก่ข้อมูลเกี่ยวกับ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ เป็นต้น ซึ่งข้อมูลภาพถ่ายคนไข้นั้นถือได้ว่าเป็นข้อมูลสุขภาพ ตามระเบียบกระทรวงสาธารณสุขว่าด้วยการคุ้มครองและจัดการข้อมูลด้านสุขภาพของบุคคล พ.ศ. 2561 ที่นี้เมื่อทราบว่าเป็นข้อมูลส่วนบุคคลที่อ่อนไหว จึงจำเป็นต้องมีแนวหรือหลักการเพื่อให้การใช้ข้อมูลรูปถ่ายเป็นไปตามหลักของ PDPA หากจำเป็นต้องใช้ ต้องทำอย่างไร โดยหลักการของการคุ้มครองข้อมูลส่วนบุคคล การใช้ข้อมูลส่วนบุคคลควรใช้ข้อมูลตราบเท่าที่จำเป็น เช่นกัน การใช้ข้อมูลรูปถ่ายคนไข้ก็ควรจะต้องมีการใช้ข้อมูลเท่าที่จำเป็นเช่นกัน โดยเมื่อจำเป็นต้องมีการเก็บมูล จำเป็นต้องมีการขอความยินยอมก่อน รวมถึงมีการแจ้งวัตถุประสงค์ในการเก็บข้อมูลภาพถ่ายคนไข้ ซึ่งการแจ้งประกาศนั้นอาจจะมีเป็นการแจ้งเป็นประกาศความเป็นส่วนตัวของ คนไข้หรือลูกค้าตามแต่กรณี ต่อมาในการใช้งานหรือประมวลผลควรใช้เท่าที่จำเป็นซึ่งได้แก่ใช้เพื่อรักษาหรือติดตามอาการเท่านั้น ไม่ควรใช้เพื่อเหตุอื่น ถามว่าการเอารูปถ่ายคนไข้ให้หมอท่านอื่นดูได้หรือไม่ เพราะบางครั้งหมอที่เป็นเจ้าของไข้นั้นอาจจำเป็นต้องมีการนำภาพคนไข้ เพื่อปรึกษากับหมอท่านอื่น ตัวอย่างเช่น กรณีคนไข้มารักษาสิว เมื่อทำการรักษาแล้วหากพบว่าบริเวณที่รักษามีปัญหาขึ้นมา กรณีเช่นนี้หากเป็นไปเพื่อการรักษาและติดตามอาการก็สามารถทำได้ แต่ต้องมีการแจ้งให้เจ้าของข้อมูลทราบถึงความจำเป็นดังกล่าว โดยอาจจะสื่อสารผ่านตัวประกาศความเป็นส่วนตัวได้เช่นกัน นอกจากนี้แล้วนั้นหมอที่เป็นเจ้าของคนไข้ต้องมีความระมัดระวังในการเผยแพร่รูปถ่ายคนไข้ด้วย แม้จะมีการแจ้งเจ้าของข้อมูลส่วนบุคคลหรือคนไข้แล้วก็ตาม โดยหมอที่เป็นเจ้าของไข้นั้น ควรมีความระมัดระวังในการที่จะไม่เผยแพร่ภาพถ่ายคนไข้ดังกล่าวไปสู่หมอ รวมถึงบุคลกรทางการแพทย์ที่ไม่ได้มีความเกี่ยวข้องกับคนไข้ให้รับทราบ นอกจากนี้ช่องทางการเผยแพร่ข้อมูลก็เป็นสิ่งหนึ่งที่ควรจะต้องมีความระมัดระวังอย่างยิ่ง เนื่องจากในปัจจุบันนั้นวิทยาการด้านการสื่อสารสามารถส่งต่อข้อมูลดิจิทัลได้อย่างรวดเร็วและสะดวกสบายยิ่งขึ้น ไม่ว่าจะมาจากช่องทางอีเมล Messenger เป็นต้น ทั้งนี้เมื่อมีการส่งข้อมูลรูปถ่ายคนไข้ไป จำต้องมีคำนึงถึงความปลอดภัยด้วย ตัวอย่าง ไม่ควรส่งรูปถ่ายคนไข้ผ่านช่องทางการสื่อสารสาธารณะ เช่น Line เป็นต้น หรือหากจำเป็นต้องมีการส่งจริง ๆก็ควรมีมาตรการในการป้องกันการเข้าถึงด้วยตัวอย่างเช่น อาจจะมีการส่งข้อมูลโดยมีการเข้ารหัส โดยส่งรหัสดังกล่าวไปให้ปลายทางรับทราบพียบท่านเดียวเท่านั้น เพื่อให้มั่นใจได้ว่าข้อมูลดังกล่าวถึงมือผู้รับจริง และมีเพียงแต่ผุ้รับรหัสเท่านั้นที่จะสามารถเปิดดูข้อมูลที่เข้ารหัสไว้ได้ โดยภาพรวมนั้นสถานพยาบาลมีกิจกรรมหลาย ๆกิจกรรมที่มีการเข้าถึงข้อมูลส่วนบุคคลที่มี่ความอ่อนไหว เช่น กิจกรรมการนำภาพถ่ายคนไข้มาใช้เพื่อติดตามผลการรักษาคนไข้ ทั้งนี้สามรถทำได้แต่จำเป็นต้องมีแนวทางหรือกระบวนการบางอย่างมาเป็นมาตรฐานในการส่งต่อข้อมูล นอกจากจะเพื่อความปลอดภัยของคนไข้
จากบทความครั้งที่แล้ว เรื่อง Hotel reservation ไม่เกี่ยวกับ PDPA จริงหรือ ? ที่ได้มีการกล่าวถึงกระบวนการการจองที่พักในหลายรูปแบบ เช่น เว็บไซต์ เอเย่น walk-in ในวันนี้เราจะมากล่าวถึงกระบวนการที่ต่อเนื่องกันคือ กระบวนการการรับส่งจากสนามบินหรือสถานที่ต่างๆ ไปยังโรงแรม ในบางกรณีผู้เข้าพักบางท่านอาจมีความต้องการใช้บริการรถรับส่งเพื่อให้รับจากสนามบินมายังโรงแรมเพื่อความสะดวกของผู้เข้าพัก รูปแบบการรับส่งที่สนามบินโดยทั่วไปสามารถแบ่งออกได้เป็น 2 รูปแบบ ได้แก่ Inhouse limousine คือ กรณีที่โรงแรมมีบริการรับส่งด้วยตัวเอง Outsource limousine คือ กรณีที่โรงแรมมีการจ้างบริษัทรับส่งภายนอก ให้ดำเนินการรับส่งผู้เข้าพักแทนโรงแรม ในกรณีที่โรงแรมมีบริการรับส่งด้วยตัวเอง (Inhouse limousine)  โดยทั่วไปข้อมูลของผู้เข้าพักจะถูกโรงแรมเก็บมาแล้วจากขั้นตอนการจองห้องพัก แต่อาจมีการนำข้อมูลดังกล่าวมาใช้เพื่อเป็นการยืนยันตัวผู้เข้าพักอีกครั้ง การนำข้อมูลมาใช้ในกระบวนการนี้ โรงแรมต้องมีการระบุวัตถุประสงค์นี้เข้าไปในประกาศความเป็นส่วนตัวของผู้เข้าพัก (Privacy notice) และแจ้งให้ผู้เข้าพักทราบในขั้นตอนการรับจองห้องพัก หรือจะแจ้งอีกครั้งเพื่อเป็นการแจ้งย้ำให้ผู้เข้าพักทราบก็ย่อมทำได้ นอกจากนี้ การที่โรงแรมนำข้อมูลมาใช้ประมวลผลในกระบวนการนี้สามารถใช้ฐานสัญญา ตามมาตรา 24(3) ในการจัดเก็บข้อมูลส่วนบุคคลได้ เนื่องจากเป็นการจำเป็นเพื่อใช้ในการดำเนินการตามคำขอก่อนการเข้าทำสัญญาใช้บริการ ในกรณีที่โรงแรมมีการจ้างบริษัทรับส่งภายนอก ให้ดำเนินการรับส่งผู้เข้าพักแทนโรงแรม หรือ Outsource limousine ทางโรงแรมอาจจะมีการส่งรายชื่อของผู้ที่จะเข้าพักให้กับบริษัท Outsource limousine ซึ่งเป็นนิติบุคคลภายนอก เช่น ข้อมูล ชื่อ นามสกุล รายละเอียดการเดินทางและการเข้าพัก เป็นต้น การที่โรงแรมมีการจ้างบริษัทภายนอกให้ดำเนินการด้านการรับส่ง บริษัทรับส่งนั้นทำตามภายในนามหรือภายใต้คำสั่งโรงแรมนั้น บริษัท Outsource limousine จึงมีสถานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ซึ่งตามมาตรา 40 วรรค 2 กำหนดให้ผู้ควบคุมข้อมูลมีหน้าที่ต้องจัดให้มีข้อตกลงระหว่างกัน เพื่อควบคุมการดำเนินการตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล ดังนั้น ระหว่าง โรงแรมกับบริษัท Outsource limousine  ควรมีการทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement : DPA)  ทั้งนี้เพื่อช่วยให้คู่สัญญาซึ่งเป็นผู้ประมวลผล ทราบถึงบทบาทและหน้าที่ของตนเองเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล การกำหนดวัตถุประสงค์ในการเปิดเผยข้อมูลส่วนบุคคล การกำหนดมาตรฐานในการแบ่งปันข้อมูลส่วนบุคคลและขอบเขตในการประมวลผลข้อมูลส่วนบุคคล โดยรายละเอียดของข้อตกลงการแลกเปลี่ยนข้อมูลส่วนบุคคล
thThai

ลงทะเบียน

เข้าสู่ระบบ