คลายสงสัย ? เว็บไซต์ประเภทไหนต้องขอ Cookie Consent ตามกฎหมาย PDPA

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

คลายสงสัย ? เว็บไซต์ประเภทไหนต้องขอ Cookie Consent ตามกฎหมาย PDPA

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

หลายท่านคงเกิดความสงสัย ที่ผ่านมาจะพบว่า หลายๆ เว็บไซต์ที่เราเข้าไปใช้งานจะมีเอกสารฉบับหนึ่งเด้งมารบกวนการเข้าไปชมเว็บไซต์ของเรา โดยศัพท์แสงภาษาไอทีเรียกว่า ‘Cookie Consent’ เป็นเอกสารขอความยินยอมในการเก็บข้อมูลของผู้เข้าใช้งาน ตามข้อกำหนดในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ กฎหมาย PDPA (Personal Data Protection Act) เป็นกฎหมายใหม่ที่มีวัตถุประสงค์ในการคุ้มครองข้อมูลส่วนบุคคล ซึ่งในส่วนของแพลตฟอร์มเว็บไซต์ที่มีการเก็บข้อมูลโดยคุกกี้จึงต้องปฏิบัติตามกฎหมาย

โดยเจ้าคุกกี้ (Cookies) ที่ว่าจะแบ่งเป็นแบบชั่วคราว คือ มีวันหมดอายุได้ เช่น สังเกตได้ว่าบางครั้งหากเราไม่ได้เข้าไปใช้งานเว็บไซต์ดังกล่าวเป็นเวลานานการจดจำรหัสผ่านจะหายไปจนต้องนึกอยู่นานเพราะจำรหัสผ่านไม่ได้ ส่วนอีกแบบ คือ ‘คุกกี้ชนิดถาวร แน่นอนว่าเป็นคุกกี้พันธุ์อมตะที่ไม่มีวันหมดอายุในการจัดเก็บ

 

โดยทั่วไปคุกกี้ จะอร่อย…! หากไม่อร่อย อาจจะเป็นเพราะไม่ใช่ขนม แต่เป็น Cookies ที่เป็นไฟล์ขนาดเล็กทำหน้าที่เก็บข้อมูล มีวัตถุประสงค์การใช้งานเฉพาะด้านหรือทำงานที่เฉพาะเจาะจง ซึ่งแบ่งประเภทได้ ดังนี้ 

  1. Necessary Cookies เป็นประเภทที่มีความสำคัญต่อการทำงานของเว็บไซต์ และช่วยให้การใช้งานเว็บมีความปลอดภัย
  2. Analytical/Performance Cookies ใช้สำหรับการประมวลผลหรือการวัดผลการเข้ารับชมเว็บไซต์ อาทิ Google Analytics ที่แทบทุกเว็บไซต์นำข้อมูลไปปรับปรุงการใช้งานเว็บไซต์ หรือใช้ประโยชน์ต่อในเชิงด้านการตลาด
  3. Functionality Cookies เรียกว่าเป็นคุกกี้ส่วนตัวก็ได้ เพราะมีหน้าที่ในการจดจำและบันทึกสิ่งที่เราทำในการใช้งานเว็บไซต์ เช่น การปรับแต่ง การตั้งค่าการใช้งานต่าง ๆ การจดจำรหัสผ่าน เป็นต้น
  4. Targeting Cookies หรือ Advertising Cookies เคยเห็นโฆษณาขายสินค้าที่เราเพิ่งสืบค้นอยู่ ๆ ก็เด้งมาในหน้าเว็บที่เราเปิดหรือไม่ สิ่งนี้เกิดจากคุกกี้แสนรู้ที่ไม่เพียงมีการจดจำและบันทึกข้อมูลการใช้งาน ยังมีความสามารถในการ ‘สรรหา’ สิ่งที่คิดว่าเราชอบมานำเสนอให้ตรงใจเราได้อีกด้วยเพราะนี่คือคุกกี้โฆษณา บางท่านอาจชอบ บางท่านก็เหนื่อยหน่ายกับคุกกี้แบบนี้มาก
  5. Social Media Cookies เป็นคุกกี้เชื่อมโยงเว็บไซต์กับโซเชียลมีเดีย ช่วยให้การมีปฏิสัมพันธ์กับโซเชียลมีเดียจากบนเว็บไซต์สะดวกขึ้น
 

อาจเปรียบได้ว่า เว็บไซต์เป็นสถานประกอบการ หากเราเข้าไปใช้งานจะมีระบบแจ้งให้เจ้าของสถานที่ทราบว่ามีใครเข้ามา ได้ใช้งานอะไรบ้าง โดยจะมีการบันทึกและจัดเก็บข้อมูลผ่านอินเทอร์เน็ตเบราว์เซอร์ ข้อมูลที่มีการจัดเก็บ อาทิ ข้อมูลส่วนตัวที่ลงทะเบียนกับเว็บไซต์ IP Address วัน เวลาที่ใช้งาน รหัสผ่าน เข้าชมหน้าเว็บไซต์ไหนบ้าง คลิกปุ่มไหนบ้าง การชำระเงินผ่าน E-payment หรือจะบอกว่า ทุกอย่างที่เราทำข้อมูลเหล่านั้นจะมีการจัดเก็บและนำไปสู่การประมวลผลเพื่อประโยชน์ในกิจกรรมต่างๆ

ที่น่าขำ คือ ก่อนหน้านี้ก็ไม่เคยมีใครบอกเราว่ามีการเก็บข้อมูล เก็บไปทำไม ไปใช้อะไร และจะลบให้เมื่อไหร่ ?

 

เว็บไซต์เก็บข้อมูลโดยไม่บอกกล่าวไม่ได้แล้ว

ภายใต้กฎหมาย PDPA ตามที่ระบุข้างต้นระบุชัดว่า ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ต้องมีการจัดทำ ‘Consent’ อธิบายง่ายๆ คือการจะเก็บข้อมูลใคร ก็ต้องขอความยินยอมจากบุคคลนั้นก่อนทุกครั้ง ในส่วนของเว็บไซต์ กรณีที่เห็นได้ชัดเจนคือ ที่ผ่านมาเว็บไซต์มี Pop up ที่เป็นนโยบายการจัดเก็บคุกกี้ ชี้แจ้งไว้อย่างละเอียดว่าได้มีการจัดเก็บ หรือรวบรวม และนำข้อมูลนั้นไปใช้เพื่ออะไรบ้าง ซึ่งเจ้าของข้อมูลสามารถยินยอม ไม่ยินยอม หรือยินยอมให้จัดเก็บข้อมูลบางส่วนเพื่อกิจกรรมบางอย่างก็ได้เช่นกัน

เว็บไซต์ไหนบ้างที่เข้าข่ายต้องขอ ‘Cookie Consent’

กฎหมาย PDPA มาตรา 5 ระบุว่า การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลโดยผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)  หรือผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ซึ่งอยู่ในราชอาณาจักร ไม่ว่าการเก็บรวบรวม ใช้ หรือเปิดเผยนั้น ได้กระทำในหรือนอกราชอาณาจักรก็ตาม ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลอยู่นอกราชอาณาจักร พระราชบัญญัตินี้ให้ใช้บังคับแก่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูล ส่วนบุคคลซึ่งอยู่ในราชอาณาจักรโดยการดำเนินกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผล ข้อมูลส่วนบุคคลดังกล่าว เมื่อเป็นกิจกรรม ดังนี้

1.การเสนอสินค้าหรือบริการให้แก่เจ้าของข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักร ไม่ว่าจะมีการชำระเงินของเจ้าของข้อมูลส่วนบุคคลหรือไม่ก็ตาม

2.การเฝ้าติดตามพฤติกรรมของเจ้าของข้อมูลส่วนบุคคลที่เกิดขึ้นในราชอาณาจักร

สำหรับ Page Facebook, Facebook Group, IG และ Twitter ซึ่งเป็นผู้ให้บริการจากต่างชาติ แต่บริษัทก็ได้มีการจัดทำนโยบายและการขอความยินยอมจากผู้ใช้แล้ว ดังนั้นเคสเจ้าของเพจ หรือ User ที่มีผู้ติดตามจำนวนมากไม่จำเป็นต้องขอความยินยอมซ้ำอีก นอกเหนือจากการเก็บข้อมูลที่ไม่อยู่ในอำนาจ หรือนโยบายของผู้ให้บริการหลัก

ส่วนเว็บไซต์อื่น ๆ ทั่วไป ทั้งในฐานะผู้ให้บริการ และเป็นผู้ควบคุมข้อมูลส่วนบุคคล ที่มีการรวบรวม ใช้ และเผยแพร่ ตลอดจนถึงผู้ประมวลผล หากมีการเก็บรวบรวม ใช้และเผยแพร่ จำเป็นต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล

หมายความว่า : กฎหมายระบุถึงการรวบรวม ใช้ และเผยแพร่ หากเว็บไซต์ใดที่เข้าข่ายมีกิจกรรมดังกล่าวย่อมต้องขอความยินยอม และเป็นสาเหตุว่าทำไมเราจึงเห็น Cookie Consent เด้งขึ้นมาบนหน้าเว็บไซต์อย่างที่อธิบายในข้างต้น สิ่งเหล่านี้มีวัตถุประสงค์ก็เพื่อคุ้มครองข้อมูลส่วนบุคคลเป็นสำคัญ ทั้งยังมีรายละเอียดปลีกย่อยที่ธุรกิจจะต้องศึกษาและทำความเข้าใจโดยละเอียด

Cookie Policy นโยบายคุกกี้ที่เจ้าของเว็บไซต์ต้องทำไว้

แน่นอนว่าหากเว็บไซต์มีการเก็บคุกกี้ นอกจากจะต้องขอ Cookie Consent ที่ผู้ควบคุมข้อมูลจะต้องทำแล้ว เว็บไซต์ในทุกวันนี้ยังต้องทำ Cookie Policy นโยบายคุกกี้ที่ถูกจัดทำขึ้นเพื่อแจ้งเจ้าของข้อมูลส่วนบุคคลทราบเกี่ยวกับคุกกี้ที่เว็บไซต์ได้ใช้ เพื่อประโยชน์ด้านใดบ้าง เก็บและไม่เก็บอะไรบ้าง นำข้อมูลใดไปใช้ โอนถ่ายข้อมูล หรือส่งต่อข้อมูลไปที่ใดอีกบ้าง ซึ่งมักจะทำในรูปแบบเอกสารชี้แจงที่เข้าถึงได้ในเว็บไซต์เพื่อให้สอดคล้องกับกฎหมาย PDPA ที่จะบังคับใช้อย่างเป็นทางการในเร็วๆ นี้

อย่างไรก็ตาม ในมุมของเว็บไซต์และแพลตฟอร์มให้บริการในรูปแบบออนไลน์ยังมีอีกหลายมิติที่เกี่ยวข้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่เจ้าของเว็บไซต์ ตลอดจนภาคธุรกิจจะต้องศึกษา ทำความเข้าใจ เพื่อให้สามารถปฏิบัติตามกฎหมายใหม่ฉบับนี้ได้อย่างไม่มีความเสี่ยงใดๆ ซ่อนอยู่

Share :

บทความที่เกี่ยวข้อง

กว่า 6 ปีที่ผ่านมา ประเทศไทยมีข่าวการหลุดรั่วของข้อมูลส่วนบุคคลเป็นจำนวนมาก ทั้งจากการกระทำของแฮกเกอร์ที่เข้ามาเจาะระบบ ทั้งจากการป้องกันการหลุดรั่วของข้อมูลส่วนบุคคลที่หละหลวม PDPA Thailand และวันนี้เป็นวันครบรอบ 1 นับจากวันที่ 1 มิถุนายน 2565 ที่กฎหมาย PDPA มีผลบังคับใช้เต็มรูปแบบ PDPA Thailand จึงรวบรวมเหตุการณ์สำคัญ ๆ ที่เกิดขึ้นมาตั้งแต่ปี พ.ศ.2561 จนถึง พ.ศ.2566 มาให้ดูกัน     เมษายน 2561 ข้อมูลลูกค้า True Move H หลุดรั่ว ฐานข้อมูลลูกค้า Truemove H ที่สมัครซื้อซิมพร้อมมือถือผ่าน iTruemart หลุดรั่วจำนวน 64,000 ราย ที่มา https://www.beartai.com/news/it-thai-news/233905   กันยายน 2563 โรงพยาบาลสระบุรี ถูกแรนซัมแวร์โจมตี “โรงพยาบาลสระบุรี” ถูกไวรัสแรนซัมแวร์ แฮกฐานข้อมูลระบบบริการผู้ป่วย ทำให้ไม่สามารถสืบค้นข้อมูลประวัติเก่าหรือให้บริการออนไลน์ได้ ที่มา https://www.sanook.com/news/8248818/   กุมภาพันธ์ 2564 ที่ว่าการอำเภอถลาง ใช้กระดาษรียูส ด้านหลังเป็นใบสำเนามรณบัตร สาวจดทะเบียนสมรส ได้ใบเสร็จพ่วงมรณบัตร สาเหตุจากการใช้กระดาษรียูสในการออกใบเสร็จ แต่เคสนี้เจ้าหน้าที่เผลอนำใบสำเนามรณบัตรมาใช้ ที่มา https://www.thairath.co.th/news/local/south/2543643   สิงหาคม 2564 Bangkok Airways ถูกแรนซัมแวร์โจมตี สายการบิน Bangkok Airways ถูกแรนซัมแวร์โจมตี คนร้ายลอบขโมยข้อมูลลูกค้าออกไปได้กว่า 100GB ประกอบด้วย ชื่อ-นามสกุล, เพศ, สัญชาติ, หมายเลขโทรศัพท์, ที่อยู่ และอีเมล รวมถึงข้อมูลอื่นๆ เช่น
เนื่องจากปัจจุบันเทคโนโลยีมีความก้าวไกลไปมากทำให้การดำเนินการต่าง ๆเป็นไปอย่างสะดวกมากขึ้น ตั้งแต่การเดินทางรวมถึงกระบวนการทำงานต่าง ๆ ซึ่งหนึ่งในองค์กรที่มีการนำวิทยาการนำมาใช้ ได้แก่ สถานพยาบาลนั่นเอง ซึ่งปัจจุบันนั้นมีนำเทคโนโลยีมาใช้เพื่อความสะดวกสบาย เช่น ใช้หุ่นยนต์ในการส่งแฟ้มเอกสารระหว่างแผนก หรือการใช้ระบบต่างเพื่อรวบรวมข้อมูลคนไข้ไว้ที่เดียวกันเพื่อสะดวกต่อการค้นหา ซึ่งกระบวนการหนึ่งที่มีการใช้งานได้แก่ การส่งต่อรูปถ่าย ซึ่งปัจจุบันนั้นวัตถุประสงค์หลัก ๆในการส่งรูปถ่ายจะเป็นไปเพื่อประโยชน์ทางการรักษาหรือติดตามอาการของผู้ป่วย ทั้งนี้ มันมีข้อสังเกตว่า ข้อมูลรูปถ่ายคนไข้เป็นข้อมูลอ่อนไหวหรือไม่ และหากจำเป็นต้องมีการใข้ข้อมูลภาพถ่ายจะต้องใช้อย่างไรเพื่อให้สอดคล้องตามหลักของ PDPA ข้อมูลรูปถ่ายคนไข้ถือว่าเป็นข้อมูลอ่อนไหวหรือไม่ จากที่เราทราบกับข้อมูลอ่อนไหว ได้แก่ข้อมูลเกี่ยวกับ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ เป็นต้น ซึ่งข้อมูลภาพถ่ายคนไข้นั้นถือได้ว่าเป็นข้อมูลสุขภาพ ตามระเบียบกระทรวงสาธารณสุขว่าด้วยการคุ้มครองและจัดการข้อมูลด้านสุขภาพของบุคคล พ.ศ. 2561 ที่นี้เมื่อทราบว่าเป็นข้อมูลส่วนบุคคลที่อ่อนไหว จึงจำเป็นต้องมีแนวหรือหลักการเพื่อให้การใช้ข้อมูลรูปถ่ายเป็นไปตามหลักของ PDPA หากจำเป็นต้องใช้ ต้องทำอย่างไร โดยหลักการของการคุ้มครองข้อมูลส่วนบุคคล การใช้ข้อมูลส่วนบุคคลควรใช้ข้อมูลตราบเท่าที่จำเป็น เช่นกัน การใช้ข้อมูลรูปถ่ายคนไข้ก็ควรจะต้องมีการใช้ข้อมูลเท่าที่จำเป็นเช่นกัน โดยเมื่อจำเป็นต้องมีการเก็บมูล จำเป็นต้องมีการขอความยินยอมก่อน รวมถึงมีการแจ้งวัตถุประสงค์ในการเก็บข้อมูลภาพถ่ายคนไข้ ซึ่งการแจ้งประกาศนั้นอาจจะมีเป็นการแจ้งเป็นประกาศความเป็นส่วนตัวของ คนไข้หรือลูกค้าตามแต่กรณี ต่อมาในการใช้งานหรือประมวลผลควรใช้เท่าที่จำเป็นซึ่งได้แก่ใช้เพื่อรักษาหรือติดตามอาการเท่านั้น ไม่ควรใช้เพื่อเหตุอื่น ถามว่าการเอารูปถ่ายคนไข้ให้หมอท่านอื่นดูได้หรือไม่ เพราะบางครั้งหมอที่เป็นเจ้าของไข้นั้นอาจจำเป็นต้องมีการนำภาพคนไข้ เพื่อปรึกษากับหมอท่านอื่น ตัวอย่างเช่น กรณีคนไข้มารักษาสิว เมื่อทำการรักษาแล้วหากพบว่าบริเวณที่รักษามีปัญหาขึ้นมา กรณีเช่นนี้หากเป็นไปเพื่อการรักษาและติดตามอาการก็สามารถทำได้ แต่ต้องมีการแจ้งให้เจ้าของข้อมูลทราบถึงความจำเป็นดังกล่าว โดยอาจจะสื่อสารผ่านตัวประกาศความเป็นส่วนตัวได้เช่นกัน นอกจากนี้แล้วนั้นหมอที่เป็นเจ้าของคนไข้ต้องมีความระมัดระวังในการเผยแพร่รูปถ่ายคนไข้ด้วย แม้จะมีการแจ้งเจ้าของข้อมูลส่วนบุคคลหรือคนไข้แล้วก็ตาม โดยหมอที่เป็นเจ้าของไข้นั้น ควรมีความระมัดระวังในการที่จะไม่เผยแพร่ภาพถ่ายคนไข้ดังกล่าวไปสู่หมอ รวมถึงบุคลกรทางการแพทย์ที่ไม่ได้มีความเกี่ยวข้องกับคนไข้ให้รับทราบ นอกจากนี้ช่องทางการเผยแพร่ข้อมูลก็เป็นสิ่งหนึ่งที่ควรจะต้องมีความระมัดระวังอย่างยิ่ง เนื่องจากในปัจจุบันนั้นวิทยาการด้านการสื่อสารสามารถส่งต่อข้อมูลดิจิทัลได้อย่างรวดเร็วและสะดวกสบายยิ่งขึ้น ไม่ว่าจะมาจากช่องทางอีเมล Messenger เป็นต้น ทั้งนี้เมื่อมีการส่งข้อมูลรูปถ่ายคนไข้ไป จำต้องมีคำนึงถึงความปลอดภัยด้วย ตัวอย่าง ไม่ควรส่งรูปถ่ายคนไข้ผ่านช่องทางการสื่อสารสาธารณะ เช่น Line เป็นต้น หรือหากจำเป็นต้องมีการส่งจริง ๆก็ควรมีมาตรการในการป้องกันการเข้าถึงด้วยตัวอย่างเช่น อาจจะมีการส่งข้อมูลโดยมีการเข้ารหัส โดยส่งรหัสดังกล่าวไปให้ปลายทางรับทราบพียบท่านเดียวเท่านั้น เพื่อให้มั่นใจได้ว่าข้อมูลดังกล่าวถึงมือผู้รับจริง และมีเพียงแต่ผุ้รับรหัสเท่านั้นที่จะสามารถเปิดดูข้อมูลที่เข้ารหัสไว้ได้ โดยภาพรวมนั้นสถานพยาบาลมีกิจกรรมหลาย ๆกิจกรรมที่มีการเข้าถึงข้อมูลส่วนบุคคลที่มี่ความอ่อนไหว เช่น กิจกรรมการนำภาพถ่ายคนไข้มาใช้เพื่อติดตามผลการรักษาคนไข้ ทั้งนี้สามรถทำได้แต่จำเป็นต้องมีแนวทางหรือกระบวนการบางอย่างมาเป็นมาตรฐานในการส่งต่อข้อมูล นอกจากจะเพื่อความปลอดภัยของคนไข้
จากบทความครั้งที่แล้ว เรื่อง Hotel reservation ไม่เกี่ยวกับ PDPA จริงหรือ ? ที่ได้มีการกล่าวถึงกระบวนการการจองที่พักในหลายรูปแบบ เช่น เว็บไซต์ เอเย่น walk-in ในวันนี้เราจะมากล่าวถึงกระบวนการที่ต่อเนื่องกันคือ กระบวนการการรับส่งจากสนามบินหรือสถานที่ต่างๆ ไปยังโรงแรม ในบางกรณีผู้เข้าพักบางท่านอาจมีความต้องการใช้บริการรถรับส่งเพื่อให้รับจากสนามบินมายังโรงแรมเพื่อความสะดวกของผู้เข้าพัก รูปแบบการรับส่งที่สนามบินโดยทั่วไปสามารถแบ่งออกได้เป็น 2 รูปแบบ ได้แก่ Inhouse limousine คือ กรณีที่โรงแรมมีบริการรับส่งด้วยตัวเอง Outsource limousine คือ กรณีที่โรงแรมมีการจ้างบริษัทรับส่งภายนอก ให้ดำเนินการรับส่งผู้เข้าพักแทนโรงแรม ในกรณีที่โรงแรมมีบริการรับส่งด้วยตัวเอง (Inhouse limousine)  โดยทั่วไปข้อมูลของผู้เข้าพักจะถูกโรงแรมเก็บมาแล้วจากขั้นตอนการจองห้องพัก แต่อาจมีการนำข้อมูลดังกล่าวมาใช้เพื่อเป็นการยืนยันตัวผู้เข้าพักอีกครั้ง การนำข้อมูลมาใช้ในกระบวนการนี้ โรงแรมต้องมีการระบุวัตถุประสงค์นี้เข้าไปในประกาศความเป็นส่วนตัวของผู้เข้าพัก (Privacy notice) และแจ้งให้ผู้เข้าพักทราบในขั้นตอนการรับจองห้องพัก หรือจะแจ้งอีกครั้งเพื่อเป็นการแจ้งย้ำให้ผู้เข้าพักทราบก็ย่อมทำได้ นอกจากนี้ การที่โรงแรมนำข้อมูลมาใช้ประมวลผลในกระบวนการนี้สามารถใช้ฐานสัญญา ตามมาตรา 24(3) ในการจัดเก็บข้อมูลส่วนบุคคลได้ เนื่องจากเป็นการจำเป็นเพื่อใช้ในการดำเนินการตามคำขอก่อนการเข้าทำสัญญาใช้บริการ ในกรณีที่โรงแรมมีการจ้างบริษัทรับส่งภายนอก ให้ดำเนินการรับส่งผู้เข้าพักแทนโรงแรม หรือ Outsource limousine ทางโรงแรมอาจจะมีการส่งรายชื่อของผู้ที่จะเข้าพักให้กับบริษัท Outsource limousine ซึ่งเป็นนิติบุคคลภายนอก เช่น ข้อมูล ชื่อ นามสกุล รายละเอียดการเดินทางและการเข้าพัก เป็นต้น การที่โรงแรมมีการจ้างบริษัทภายนอกให้ดำเนินการด้านการรับส่ง บริษัทรับส่งนั้นทำตามภายในนามหรือภายใต้คำสั่งโรงแรมนั้น บริษัท Outsource limousine จึงมีสถานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ซึ่งตามมาตรา 40 วรรค 2 กำหนดให้ผู้ควบคุมข้อมูลมีหน้าที่ต้องจัดให้มีข้อตกลงระหว่างกัน เพื่อควบคุมการดำเนินการตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล ดังนั้น ระหว่าง โรงแรมกับบริษัท Outsource limousine  ควรมีการทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement : DPA)  ทั้งนี้เพื่อช่วยให้คู่สัญญาซึ่งเป็นผู้ประมวลผล ทราบถึงบทบาทและหน้าที่ของตนเองเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล การกำหนดวัตถุประสงค์ในการเปิดเผยข้อมูลส่วนบุคคล การกำหนดมาตรฐานในการแบ่งปันข้อมูลส่วนบุคคลและขอบเขตในการประมวลผลข้อมูลส่วนบุคคล โดยรายละเอียดของข้อตกลงการแลกเปลี่ยนข้อมูลส่วนบุคคล
thThai

ลงทะเบียน

เข้าสู่ระบบ