เข้าสู่ระบบ/ลงทะเบียน

9 ขั้นตอน ทำ PDPA ยังไงให้ผ่านเกณฑ์ ( ฉบับง่าย !)

แชร์

อ่าน

514

ครั้ง

โดย : pornpilast.su

9 ขั้นตอน ทำ PDPA ยังไงให้ผ่านเกณฑ์ ( ฉบับง่าย !)

แชร์

อ่าน

514

ครั้ง

โดย : pornpilast.su

ตกลงต้องทำอย่างไรกันแน่ !  กฎหมายที่ถูกสร้างมาเพื่อป้องกันการละเมิดข้อมูลส่วนบุคคลของทุกคน หรือที่เราเรียกกันติดปากว่ากฎหมาย PDPA (Personal Data Protection Act: PDPA) คือกฎหมายใหม่ที่ออกมาเพื่อแก้ไขปัญหาการถูกล่วงละเมิดข้อมูลส่วนบุคคลที่เพิ่มมากขึ้นเรื่อย ๆ ในปัจจุบัน  โดยกฎหมายนี้ได้มีผลบังคับใช้อย่างเต็มรูปแบบเมื่อวันที่ 1 มิ.ย. 2565 ที่ผ่านมา โดยกฎหมายนี้จะให้ความคุ้มครองข้อมูลส่วนบุคคล ที่สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ รูปถ่าย บัญชีธนาคาร อีเมล  เป็นต้น อาจเป็นได้ทั้งข้อมูลในรูปแบบเอกสาร กระดาษ หนังสือ หรือจัดเก็บในรูปแบบอิเล็กทรอนิกส์ก็ได้

 

PDPA สำคัญอย่างไรกับเรา ?

ความสำคัญของ PDPA คือการทำให้สิทธิแก่เจ้าของข้อมูลในข้อมูลส่วนตัวที่ถูกจัดเก็บไปแล้ว หรือกำลังจะถูกจัดเก็บมากขึ้น เพื่อสร้างความปลอดภัยและเป็นส่วนตัวให้แก่เจ้าของข้อมูลฯ ดังนั้นเมื่อเจ้าของข้อมูลมีสิทธิที่เพิ่มขึ้น อาจทำให้องค์กรและบริษัทต่าง ๆ จำเป็นต้องปรับเปลี่ยนกระบวนการเก็บรวบรวม และนำข้อมูลฯของเจ้าของข้อมูลที่เกี่ยวข้องให้เป็นตามหลักปฏิบัติของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 

โดยหากคุณเป็นบุคคลที่ที่ดำเนินการเรื่อง PDPA วันนี้ PDPA Thailand จะเสนอแนวทางการดำเนินงานเพื่อให้องค์กรของคุณผ่านเกณฑ์ PDPA แบบง่ายๆ กันครับ

ง่ายๆ กับ 9 ขั้นตอน ทำ PDPA ยังไงให้ผ่านเกณฑ์

1.การจัดตั้งคณะทำงาน เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)  

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ Data Protection Officer เป็นตำแหน่งงานใหม่ที่เกิดขึ้นมาพร้อมกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยเป็น “ผู้รับผิดชอบ” ให้แน่ใจว่าการประมวลผลข้อมูลขององค์กรดำเนินการอย่างสอดคล้องกับกฎหมายและราบรื่นมากที่สุด และมีหน้าที่ (ตาม PDPA มาตรา 42 และเอกสารประกอบอื่น) อ่านบทความเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO เพิ่มเติม ได้ที่  Click !

2.Privacy Policy หรือ นโยบายการคุ้มครองข้อมูลส่วนบุคคล

Privacy Policy คือการกำหนดข้อตกลง หรือคำแถลงการเกี่ยวกับแนวทางการจัดเก็บรวบรวม ใช้ หรือเผยแพร่งานข้อมูลส่วนบุคคลคนภายในองค์กร หรือหน่วยงาน

3.Privacy Notice หรือ การสร้างประกาศชี้แจงการใช้ข้อมูลส่วนบุคคล

Privacy Notice คือคำประกาศถึงเจ้าของข้อมูลที่องค์กรจำมีการดำเนินการการจัดเก็บ ประมวลผล รักษา และทำลายข้อมูลส่วนบุคคล ซึ่งเราจะเห็นกันคุ้นตาในชื่อ นโยบายความเป็นส่วนตัว หรือ นโยบายการประมวลผลข้อมูลส่วนบุคคล >>>  หากยังไม่รู้ว่าเขียนอย่างไรให้ถูกหลัก PDPA สามารถอ่าน วิธีการเขียน Privacy Notice และ Privacy Policy ได้ที่นี่ Click !

4.ข้อตกลงการประมวลข้อมูล หรือ Data Processing Agreement  (DPA)

โดยปกติแล้ว  DPA จะมีการกำหนดขอบเขต และวัตถุประสงค์ของข้อตกลงการประมวลผลข้อมูลส่วนบุคคล รายละเอียดของข้อมูลที่จะนำไปประมวลผล วิธีป้องกันการเสียหายของข้อมูล และกระบวนการระหว่างผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล โดยมีการกำหนดดังนี้

  • ผู้ควบคุมข้อมูลส่วนบุคคลต้องระบุข้อมูลที่แลกเปลี่ยนอย่างชัดเจน ว่ามีการส่งต่อข้อมูลส่วนบุคคลอะไรบ้างให้กับองค์กรภายนอก และระบุฝ่ายที่รับผิดชอบในการตรวจสอบว่าข้อมูลเป็นไปตามแนวปฏิบัติของกฎหมาย PDPA หรือไม่
  • วัตถุประสงค์และขอบเขตในการประมวลผลข้อมูล 
  • กำหนดการของระยะเวลาที่ผู้ควบคุมข้อมูลส่วนบุคคลจะเก็บรวบรวมข้อมูลส่วนบุคคล เช่น ทำสัญญาว่าจะมีการเก็บรักษาข้อมูลเพื่อทำการตลาด ระยะเวลา 3 ปี หากเกินระยะเวลากำหนด ผู้ควบคุ้มข้อมูลจะต้องลบและทำลายข้อมูลทิ้ง
  • ข้อตกลงเรื่องการกำหนดมาตรการการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตามที่กฎหมายกําหนด 
  • ผู้ประมวลผลข้อมูลฯจะไม่นําข้อมูลที่ได้รับจากบริษัทไปใช้ในวัตถุประสงค์อื่นนอกเหนือจากที่ระบุในข้อตกลงฉบับนี้ 
  • หากการกระทําใดของผู้ประมวลผลข้อมูลทําให้เกิดข้อพิพาท หรือความเสียหายแก่บริษัท ผู้ประมวลผลข้อมูลต้อง รับผิดชอบความเสียหายที่เกิดขึ้นทั้งหมด

 

5.จดหมายแจ้งการละเมิดข้อมูลส่วนบุคคล 

เป็นฟอร์มที่องค์กรณ์ต้องเตรียมไว้เผื่อมีกรณีการละเมิดข้อมูลส่วนบุคคลขึ้น โดยต้องมีรายละเอียดดังนี้

  • รายละเอียดของเหตุ ละเมิดข้อมูลส่วนบุคคล
  • วันเวลาที่ทราบเหตุ
  • ผู้ที่รายงานเหตุให้ทราบ (หากมี)
  • รายการข้อมูลส่วนบุคคลที่ได้รับผลกระทบ
  • รูปแบบผลกระทบ ที่เกิดขึ้นกับข้อมูลส่วนบุคคล 
  • จำนวนเจ้าของข้อมูลส่วนบุคคลที่ได้รับผลกระทบ
  • มาตรการตอบสนองเพื่อหยุดยั้งเหตุละเมิดข้อมูล
  • การแจ้งเหตุต่อเจ้าของข้อมูลส่วนบุคคล
  • ติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล 

 

6.บันทึกการประมวลผลข้อมูลส่วนบุคคล (RoPA)

RoPA เป็นการจดบันทึกที่บอกว่าแผนกไหนในองค์กรทำอะไรบ้าง ทำด้วยวัตถุประสงค์อะไร และอยู่บนฐานกฎหมายข้อไหนที่อนุญาตให้ทำ จุดประสงค์หลักในการจดบันทึกคือ หากเกิดการละเมิดข้อมูลส่วนบุคคลขึ้นองค์กรจะสามารถตรวจสอบกระบวนการจัดการได้อย่างรวดเร็วตามกฎหมาย PDPA นอกจากนี้การบันทึก RoPA เราสามารถใช้ RoPA เป็นเสมือน Checklist ไว้ให้ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)” และ “ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)” ได้เขียน และทบทวนกิจกรรมที่ทำอยู่นั้นมีการใช้ข้อมูลส่วนบุคคลหรือไม่ ที่มาขอข้อมูลถูกกฎหมายหรือไม่ สามารถวิเคราะห์ได้ฐานอะไร และใครเป็น Data Controller หรือ Data Processor ของกิจกรรมนี้ ดังนั้นหากมีการจดบันทึกข้อมูล RoPA อย่างละเอียด จะยิ่งลดความผิดพลาดในการละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคล>>> RoPA (Record of Processing Activities) คืออะไร ใครต้องทำ? Click !

 

7.Cookies Consent 

เป็นเอกสารขอความยินยอมในการเก็บข้อมูลของผู้เข้าใช้งาน ตามข้อกำหนดในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ กฎหมาย PDPA (Personal Data Protection Act) ซึ่งในส่วนของแพลตฟอร์มเว็บไซต์ที่มีการเก็บข้อมูลโดยคุกกี้จึงต้องปฏิบัติตามกฎหมายอ่านบทความ เว็บไซต์ประเภทไหนต้องขอ Cookie Consent ตามกฎหมาย PDPA Click !

8.การทำสิทธิ์ของเจ้าของข้อมูล  

กฎหมาย PDPA บังคับใช้เพื่อเป็นการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคล ได้มีการให้สิทธิ และการคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล โดยองค์กรจะต้องมีช่องทางที่ลูกค้าสามารถเข้าถึง หรือรับทราบสิทธิของตัวเองได้ง่าย ซึ่งแน่นอนอยู่แล้วว่าทุก ๆ องค์กรจะต้องปฏิบัติตามสิทธิของเจ้าของข้อมูลส่วนบุคคล ดังต่อไปนี้ click !

9.Consent Management 

สิ่งสำคัญที่สุดในการเก็บข้อมูล คือ การที่เราให้ลูกค้าตัดสินใจด้วยตัวเองในการอนุญาตการเก็บข้อมูลต่างๆ โดยไม่ฝ่าฝืนเก็บข้อมูลหากลูกค้าไม่ยินยอมให้เก็บ และเมื่อเก็บข้อมูลมาแล้ว ก็ต้องใช้ข้อมูลเหล่านั้นเพื่อประโยชน์ของลูกค้าเท่านั้น

 

ทั้งนี้ จาก ขั้นตอนทั้ง 9 ข้อที่เรานำมาแนะนำนี้ แม้จะเป็นเพียงแนวทางกว้างๆ ให้เป็นพื้นฐานสำหรับองค์กรที่ใช้ประโยชน์จาก Big Data สามารถนำไปต่อยอดหรือปรับรูปแบบให้เข้ากับกิจกรรมของธุรกิจ แต่ยังมีรายละเอียดอีกหลายด้านที่องค์กรธุรกิจที่ได้มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจะต้องปรับรูปแบบและกระบวนการต่างๆ ให้สอดคล้องกับกฎหมาย ด้วยเหตุนี้ ผู้ประกอบการจึงต้องศึกษาหรือสรรหาบุคลากรที่มีความรู้ ความเข้าใจในกฎหมาย PDPA มาช่วยให้การดำเนินการต่างๆ ได้ถูกต้องด้วย PDPA Starter Kit สินค้าและบริการที่คัดสรรรวบรวมมาเพื่อคุณ ให้สามารถดำเนินการตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล PDPA ได้อย่างสะดวก รวดเร็ว ครบถ้วน และถูกต้อง Click ที่นี่ เพื่อเข้าสู่หน้าบริการของเรา 

Share :

บทความที่เกี่ยวข้อง

สรุปเหตุการณ์ “ข้อมูลรั่วไหล” 2561-2566

กว่า 6 ปีที่ผ่านมา ประเทศไทยมีข่าวการหลุดรั่วของข้อมูลส่วนบุคคลเป็นจำนวนมาก ทั้งจากการกระทำของแฮกเกอร์ที่เข้ามาเจาะระบบ ทั้งจากการป้องกันการหลุดรั่วของข้อมูลส่วนบุคคลที่หละหลวม PDPA Thailand และวันนี้เป็นวันครบรอบ 1 นับจากวันที่ 1 มิถุนายน 2565 ที่กฎหมาย PDPA มีผลบังคับใช้เต็มรูปแบบ PDPA Thailand จึงรวบรวมเหตุการณ์สำคัญ ๆ ที่เกิดขึ้นมาตั้งแต่ปี พ.ศ.2561 จนถึง พ.ศ.2566 มาให้ดูกัน     เมษายน 2561 ข้อมูลลูกค้า True Move H หลุดรั่ว ฐานข้อมูลลูกค้า Truemove H ที่สมัครซื้อซิมพร้อมมือถือผ่าน iTruemart หลุดรั่วจำนวน 64,000 ราย ที่มา https://www.beartai.com/news/it-thai-news/233905   กันยายน 2563 โรงพยาบาลสระบุรี ถูกแรนซัมแวร์โจมตี “โรงพยาบาลสระบุรี” ถูกไวรัสแรนซัมแวร์ แฮกฐานข้อมูลระบบบริการผู้ป่วย ทำให้ไม่สามารถสืบค้นข้อมูลประวัติเก่าหรือให้บริการออนไลน์ได้ ที่มา https://www.sanook.com/news/8248818/   กุมภาพันธ์ 2564 ที่ว่าการอำเภอถลาง ใช้กระดาษรียูส ด้านหลังเป็นใบสำเนามรณบัตร สาวจดทะเบียนสมรส ได้ใบเสร็จพ่วงมรณบัตร สาเหตุจากการใช้กระดาษรียูสในการออกใบเสร็จ แต่เคสนี้เจ้าหน้าที่เผลอนำใบสำเนามรณบัตรมาใช้ ที่มา https://www.thairath.co.th/news/local/south/2543643   สิงหาคม 2564 Bangkok Airways ถูกแรนซัมแวร์โจมตี สายการบิน Bangkok Airways ถูกแรนซัมแวร์โจมตี คนร้ายลอบขโมยข้อมูลลูกค้าออกไปได้กว่า 100GB ประกอบด้วย ชื่อ-นามสกุล, เพศ, สัญชาติ, หมายเลขโทรศัพท์, ที่อยู่ และอีเมล รวมถึงข้อมูลอื่นๆ เช่น
อ่านเพิ่มเติม

ใช้รูปถ่ายคนไข้อย่างไรไม่ให้ละเมิดสิทธิคนไข้

เนื่องจากปัจจุบันเทคโนโลยีมีความก้าวไกลไปมากทำให้การดำเนินการต่าง ๆเป็นไปอย่างสะดวกมากขึ้น ตั้งแต่การเดินทางรวมถึงกระบวนการทำงานต่าง ๆ ซึ่งหนึ่งในองค์กรที่มีการนำวิทยาการนำมาใช้ ได้แก่ สถานพยาบาลนั่นเอง ซึ่งปัจจุบันนั้นมีนำเทคโนโลยีมาใช้เพื่อความสะดวกสบาย เช่น ใช้หุ่นยนต์ในการส่งแฟ้มเอกสารระหว่างแผนก หรือการใช้ระบบต่างเพื่อรวบรวมข้อมูลคนไข้ไว้ที่เดียวกันเพื่อสะดวกต่อการค้นหา ซึ่งกระบวนการหนึ่งที่มีการใช้งานได้แก่ การส่งต่อรูปถ่าย ซึ่งปัจจุบันนั้นวัตถุประสงค์หลัก ๆในการส่งรูปถ่ายจะเป็นไปเพื่อประโยชน์ทางการรักษาหรือติดตามอาการของผู้ป่วย ทั้งนี้ มันมีข้อสังเกตว่า ข้อมูลรูปถ่ายคนไข้เป็นข้อมูลอ่อนไหวหรือไม่ และหากจำเป็นต้องมีการใข้ข้อมูลภาพถ่ายจะต้องใช้อย่างไรเพื่อให้สอดคล้องตามหลักของ PDPA ข้อมูลรูปถ่ายคนไข้ถือว่าเป็นข้อมูลอ่อนไหวหรือไม่ จากที่เราทราบกับข้อมูลอ่อนไหว ได้แก่ข้อมูลเกี่ยวกับ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ เป็นต้น ซึ่งข้อมูลภาพถ่ายคนไข้นั้นถือได้ว่าเป็นข้อมูลสุขภาพ ตามระเบียบกระทรวงสาธารณสุขว่าด้วยการคุ้มครองและจัดการข้อมูลด้านสุขภาพของบุคคล พ.ศ. 2561 ที่นี้เมื่อทราบว่าเป็นข้อมูลส่วนบุคคลที่อ่อนไหว จึงจำเป็นต้องมีแนวหรือหลักการเพื่อให้การใช้ข้อมูลรูปถ่ายเป็นไปตามหลักของ PDPA หากจำเป็นต้องใช้ ต้องทำอย่างไร โดยหลักการของการคุ้มครองข้อมูลส่วนบุคคล การใช้ข้อมูลส่วนบุคคลควรใช้ข้อมูลตราบเท่าที่จำเป็น เช่นกัน การใช้ข้อมูลรูปถ่ายคนไข้ก็ควรจะต้องมีการใช้ข้อมูลเท่าที่จำเป็นเช่นกัน โดยเมื่อจำเป็นต้องมีการเก็บมูล จำเป็นต้องมีการขอความยินยอมก่อน รวมถึงมีการแจ้งวัตถุประสงค์ในการเก็บข้อมูลภาพถ่ายคนไข้ ซึ่งการแจ้งประกาศนั้นอาจจะมีเป็นการแจ้งเป็นประกาศความเป็นส่วนตัวของ คนไข้หรือลูกค้าตามแต่กรณี ต่อมาในการใช้งานหรือประมวลผลควรใช้เท่าที่จำเป็นซึ่งได้แก่ใช้เพื่อรักษาหรือติดตามอาการเท่านั้น ไม่ควรใช้เพื่อเหตุอื่น ถามว่าการเอารูปถ่ายคนไข้ให้หมอท่านอื่นดูได้หรือไม่ เพราะบางครั้งหมอที่เป็นเจ้าของไข้นั้นอาจจำเป็นต้องมีการนำภาพคนไข้ เพื่อปรึกษากับหมอท่านอื่น ตัวอย่างเช่น กรณีคนไข้มารักษาสิว เมื่อทำการรักษาแล้วหากพบว่าบริเวณที่รักษามีปัญหาขึ้นมา กรณีเช่นนี้หากเป็นไปเพื่อการรักษาและติดตามอาการก็สามารถทำได้ แต่ต้องมีการแจ้งให้เจ้าของข้อมูลทราบถึงความจำเป็นดังกล่าว โดยอาจจะสื่อสารผ่านตัวประกาศความเป็นส่วนตัวได้เช่นกัน นอกจากนี้แล้วนั้นหมอที่เป็นเจ้าของคนไข้ต้องมีความระมัดระวังในการเผยแพร่รูปถ่ายคนไข้ด้วย แม้จะมีการแจ้งเจ้าของข้อมูลส่วนบุคคลหรือคนไข้แล้วก็ตาม โดยหมอที่เป็นเจ้าของไข้นั้น ควรมีความระมัดระวังในการที่จะไม่เผยแพร่ภาพถ่ายคนไข้ดังกล่าวไปสู่หมอ รวมถึงบุคลกรทางการแพทย์ที่ไม่ได้มีความเกี่ยวข้องกับคนไข้ให้รับทราบ นอกจากนี้ช่องทางการเผยแพร่ข้อมูลก็เป็นสิ่งหนึ่งที่ควรจะต้องมีความระมัดระวังอย่างยิ่ง เนื่องจากในปัจจุบันนั้นวิทยาการด้านการสื่อสารสามารถส่งต่อข้อมูลดิจิทัลได้อย่างรวดเร็วและสะดวกสบายยิ่งขึ้น ไม่ว่าจะมาจากช่องทางอีเมล Messenger เป็นต้น ทั้งนี้เมื่อมีการส่งข้อมูลรูปถ่ายคนไข้ไป จำต้องมีคำนึงถึงความปลอดภัยด้วย ตัวอย่าง ไม่ควรส่งรูปถ่ายคนไข้ผ่านช่องทางการสื่อสารสาธารณะ เช่น Line เป็นต้น หรือหากจำเป็นต้องมีการส่งจริง ๆก็ควรมีมาตรการในการป้องกันการเข้าถึงด้วยตัวอย่างเช่น อาจจะมีการส่งข้อมูลโดยมีการเข้ารหัส โดยส่งรหัสดังกล่าวไปให้ปลายทางรับทราบพียบท่านเดียวเท่านั้น เพื่อให้มั่นใจได้ว่าข้อมูลดังกล่าวถึงมือผู้รับจริง และมีเพียงแต่ผุ้รับรหัสเท่านั้นที่จะสามารถเปิดดูข้อมูลที่เข้ารหัสไว้ได้ โดยภาพรวมนั้นสถานพยาบาลมีกิจกรรมหลาย ๆกิจกรรมที่มีการเข้าถึงข้อมูลส่วนบุคคลที่มี่ความอ่อนไหว เช่น กิจกรรมการนำภาพถ่ายคนไข้มาใช้เพื่อติดตามผลการรักษาคนไข้ ทั้งนี้สามรถทำได้แต่จำเป็นต้องมีแนวทางหรือกระบวนการบางอย่างมาเป็นมาตรฐานในการส่งต่อข้อมูล นอกจากจะเพื่อความปลอดภัยของคนไข้
อ่านเพิ่มเติม

Hotel limousine กับ PDPA สิ่งที่ต้องกังวลเมื่อส่งข้อมูลไปนอกโรงแรม

จากบทความครั้งที่แล้ว เรื่อง Hotel reservation ไม่เกี่ยวกับ PDPA จริงหรือ ? ที่ได้มีการกล่าวถึงกระบวนการการจองที่พักในหลายรูปแบบ เช่น เว็บไซต์ เอเย่น walk-in ในวันนี้เราจะมากล่าวถึงกระบวนการที่ต่อเนื่องกันคือ กระบวนการการรับส่งจากสนามบินหรือสถานที่ต่างๆ ไปยังโรงแรม ในบางกรณีผู้เข้าพักบางท่านอาจมีความต้องการใช้บริการรถรับส่งเพื่อให้รับจากสนามบินมายังโรงแรมเพื่อความสะดวกของผู้เข้าพัก รูปแบบการรับส่งที่สนามบินโดยทั่วไปสามารถแบ่งออกได้เป็น 2 รูปแบบ ได้แก่ Inhouse limousine คือ กรณีที่โรงแรมมีบริการรับส่งด้วยตัวเอง Outsource limousine คือ กรณีที่โรงแรมมีการจ้างบริษัทรับส่งภายนอก ให้ดำเนินการรับส่งผู้เข้าพักแทนโรงแรม ในกรณีที่โรงแรมมีบริการรับส่งด้วยตัวเอง (Inhouse limousine)  โดยทั่วไปข้อมูลของผู้เข้าพักจะถูกโรงแรมเก็บมาแล้วจากขั้นตอนการจองห้องพัก แต่อาจมีการนำข้อมูลดังกล่าวมาใช้เพื่อเป็นการยืนยันตัวผู้เข้าพักอีกครั้ง การนำข้อมูลมาใช้ในกระบวนการนี้ โรงแรมต้องมีการระบุวัตถุประสงค์นี้เข้าไปในประกาศความเป็นส่วนตัวของผู้เข้าพัก (Privacy notice) และแจ้งให้ผู้เข้าพักทราบในขั้นตอนการรับจองห้องพัก หรือจะแจ้งอีกครั้งเพื่อเป็นการแจ้งย้ำให้ผู้เข้าพักทราบก็ย่อมทำได้ นอกจากนี้ การที่โรงแรมนำข้อมูลมาใช้ประมวลผลในกระบวนการนี้สามารถใช้ฐานสัญญา ตามมาตรา 24(3) ในการจัดเก็บข้อมูลส่วนบุคคลได้ เนื่องจากเป็นการจำเป็นเพื่อใช้ในการดำเนินการตามคำขอก่อนการเข้าทำสัญญาใช้บริการ ในกรณีที่โรงแรมมีการจ้างบริษัทรับส่งภายนอก ให้ดำเนินการรับส่งผู้เข้าพักแทนโรงแรม หรือ Outsource limousine ทางโรงแรมอาจจะมีการส่งรายชื่อของผู้ที่จะเข้าพักให้กับบริษัท Outsource limousine ซึ่งเป็นนิติบุคคลภายนอก เช่น ข้อมูล ชื่อ นามสกุล รายละเอียดการเดินทางและการเข้าพัก เป็นต้น การที่โรงแรมมีการจ้างบริษัทภายนอกให้ดำเนินการด้านการรับส่ง บริษัทรับส่งนั้นทำตามภายในนามหรือภายใต้คำสั่งโรงแรมนั้น บริษัท Outsource limousine จึงมีสถานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ซึ่งตามมาตรา 40 วรรค 2 กำหนดให้ผู้ควบคุมข้อมูลมีหน้าที่ต้องจัดให้มีข้อตกลงระหว่างกัน เพื่อควบคุมการดำเนินการตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล ดังนั้น ระหว่าง โรงแรมกับบริษัท Outsource limousine  ควรมีการทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement : DPA)  ทั้งนี้เพื่อช่วยให้คู่สัญญาซึ่งเป็นผู้ประมวลผล ทราบถึงบทบาทและหน้าที่ของตนเองเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล การกำหนดวัตถุประสงค์ในการเปิดเผยข้อมูลส่วนบุคคล การกำหนดมาตรฐานในการแบ่งปันข้อมูลส่วนบุคคลและขอบเขตในการประมวลผลข้อมูลส่วนบุคคล โดยรายละเอียดของข้อตกลงการแลกเปลี่ยนข้อมูลส่วนบุคคล
อ่านเพิ่มเติม
Copyright © 2022 Digital Business Consult, All Rights Reserved.

Privacy Notice

Privacy Policy

thThai
en_USEnglish thThai

ลงทะเบียน

Please accept the Terms and Conditions to proceed.
เข้าสู่ระบบ ลืมรหัสผ่าน?

เข้าสู่ระบบ