ตกตื่นหรือตื่นตัว? กับประเด็น การคุ้มครองข้อมูลส่วนบุคคลในสถานศึกษา

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

ตกตื่นหรือตื่นตัว? กับประเด็น การคุ้มครองข้อมูลส่วนบุคคลในสถานศึกษา

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

เรียกได้ว่าส่งผลกระทบไปทั่วทุกวงการเลยก็ว่าได้ครับ สำหรับประเด็นเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลในประเทศไทย แม้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 จะขยายเวลาบังคับใช้ออกไปอีก 1+1 ปี (บังคับใช้อย่างเต็มรูปแบบ 1 มิถุนายน 2565) แต่ก็ยังคงได้รับการพูดถึงในวงกว้างถึงการเตรียมตัวและการปฏิบัติตามกฎหมายในแต่ละบริบท ไม่เว้นแม้กระทั่งในวงการการศึกษา ซึ่งสถานศึกษาในเมืองไทยบางแห่งเริ่มออกมาเคลื่อนไหวด้าน การคุ้มครองข้อมูลส่วนบุคคลในสถานศึกษา กันแล้ว โดยคำนึงถึงการคุ้มครองข้อมูลส่วนบุคคลของผู้เรียนวัยเด็กตลอดจนวัยผู้ใหญ่เป็นสำคัญ

“สถานศึกษา” ตามพระราชบัญญัติการศึกษาแห่งชาติ พ.ศ. 2542 หมายถึง หน่วยงานที่มีอำนาจหน้าที่หรือวัตถุประสงค์ในการจัดการศึกษา ทั้งภาครัฐและเอกชน ไม่ว่าจะเป็นโรงเรียน วิทยาลัย มหาวิทยาลัย มหาวิทยาลัยในกำกับ(ของรัฐ) ศูนย์การเรียนรู้ สถาบันฝึกอบรม สถาบันกวดวิชา ฯลฯ ต่างก็ต้องดำเนินการที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลทั้งสิ้น ไม่มากก็น้อย โดยมีวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคล (ของผู้เรียน) เพื่อดำเนินกิจการโดยทั่วไป ตลอดจนใช้ประมวลผลเพื่อการตลาด หรือการประชาสัมพันธ์ ซึ่งมีความจำเป็นต้องมีนโยบายและมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสม และ “ควร” ดำเนินการขอความยินยอมในการประมวลผลข้อมูลส่วนบุคคลของผู้เรียนด้วย

สถานศึกษาหลายแห่งจำเป็นต้องนำข้อมูลส่วนบุคคล (ของผู้เรียน) มาประมวลผล เพื่อการดำเนินกิจการทั่วไป การตลาด และการประชาสัมพันธ์ จึงควรมีนโยบายคุ้มครองข้อมูลส่วนบุคคล และขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล

ข้อมูลส่วนบุคคลของผู้เรียนในสถานศึกษาเป็นอะไรได้บ้าง?

ข้อมูลส่วนบุคคล คือ ข้อมูลใด ๆ ก็ตามที่สามารถใช้ระบุตัวตนของเจ้าของข้อมูลได้ (ทั้งทางตรงและทางอ้อม) สามารถเป็นได้หลายรูปแบบ ทั้งข้อความ ภาพ เสียง วิดีโอ และฟอร์มแมตอื่น ๆ ซึ่งรายการดังต่อไปนี้ คือ ตัวอย่างของส่วนบุคคลของผู้เรียน ที่อาจถูกประมวลผลภายในสถานศึกษาได้:

  • ชื่อและภาพประจำตัวของนักเรียนดีเด่นประจำปีการศึกษา ที่ติดอยู่บนบอร์ดในโรงเรียน
  • ภาพและข้อความข่าวประชาสัมพันธ์ในวารสารของมหาวิทยาลัย เล่าประวัติโดยคร่าวของนักศึกษาที่ได้รับรางวัลชนะเลิศการแข่งขันระดับประเทศ สร้างชื่อเสียงให้กับมหาวิทยาลัยและประเทศชาติ
  • สมุดบันทึกรายชื่อและข้อมูลการเข้าคาบเรียนของนักเรียน
  • ภาพและวิดีโอกิจกรรมวันไหว้ครูของนักเรียนที่ลงประชาสัมพันธ์อยู่บนเว็บไซต์ของโรงเรียน โดยโฟกัสที่ใบหน้าของนักเรียนอย่างชัดเจน
  • ผลสอบของนักศึกษามหาวิทยาลัย มีข้อมูลรายชื่อ เลขประจำตัว และคะแนนสอบ ที่ประกาศติดไว้บนบอร์ด หรือโพสต์ไว้บนหน้าเว็บไซต์ของสาขาวิชาโดยไม่จำเป็นต้องล็อกอินเพื่อเข้าชมหน้าดังกล่าว ทุกคนสามารถเข้าชมได้
  • หนังสือรุ่นของนักเรียนระดับมัธยม มีข้อมูลชื่อ ชั้นเรียน รูปภาพ และคำบรรยายตัวตนของนักเรียน
  • ประวัติจำเป็นของนักเรียนนักศึกษาที่ต้องกรอกเพื่อสมัครเข้าศึกษา

เราจะเห็นได้ว่าข้อมูลส่วนบุคคลของผู้เรียนมีอยู่ทั่วสถานศึกษา ทั้งที่สามารถมองเห็นได้และที่ถูกประมวลผลหรือเก็บรักษาอยู่ “หลังบ้าน” ไม่มีนักเรียนนักศึกษาคนไหนที่ข้อมูลส่วนบุคคลจะไม่ถูกประมวลผลอย่างแน่นอน

การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้เรียนในสถานศึกษา กระทำโดยไม่ได้มีเจตนาไม่ดี แต่ก็มีบางส่วนที่นำไปใช้เพื่อการโฆษณาประชาสัมพันธ์ และข้อมูลหลายชนิดก็มีลักษณะเป็นสาธารณะ สามารถพบเห็นได้โดยบุคคลทั่วไป จึงอาจเกิดการละเมิดโดยบุคคลที่สามได้ ข้อมูลส่วนบุคคลของผู้เรียนเหล่านี้จึงเข้าข่ายควรได้รับการคุ้มครองตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (PDPA)

การคุ้มครองข้อมูลส่วนบุคคลในสถานศึกษา : เมื่อไหร่สังคมไทยจะตื่นตัว?

หลายคนอาจจะคิดว่าผู้เขียนตกตื่นไปหรือเปล่า? การคุ้มครองข้อมูลส่วนบุคคลในสถานศึกษา จำเป็นขนาดนั้นเลยหรือ? แต่เปล่าเลยครับ…

การคุ้มครองข้อมูลส่วนบุคคลของผู้เรียนในสถานศึกษา เป็นเรื่องที่ต่างประเทศ (โดยเฉพาะประเทศในยุโรป) ให้ความสำคัญและเป็นกระแสตื่นตัวกันอย่างมากมาเป็นเวลาหลายปีแล้ว นับตั้งแต่การประกาศใช้ GDPR หรือกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป สถานศึกษาเช่น โรงเรียน วิทยาลัย และมหาวิทยาลัย ต่างมีนโยบายและมาตรการคุ้มครองข้อมูลส่วนบุคคลออกมาให้เห็นความเปลี่ยนแปลงได้อย่างชัดเจน โดยมีการประกาศเอาไว้อย่างชัดแจ้งบนหน้าเว็บไซต์ของสถานศึกษา ตลอดจนมีการขอความยินยอมจากผู้เรียน/ผู้ปกครอง เพื่อให้ทางสถานศึกษาสามารถประมวลผลข้อมูลส่วนบุคคลของผู้เรียนได้ตามวัตถุประสงค์ที่แจ้งเอาไว้

เมื่อ PDPA คลอดออกมาแล้ว คงถึงเวลาที่บุคลากรในวงการการศึกษาจะหันมาให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคล เพื่อประโยชน์ของผู้เรียนซึ่งเป็นอนาคตของชาติ และร่วมปลูกฝังค่านิยมด้านการคุ้มครองข้อมูลส่วนบุคคลให้กับพวกเขา จากการที่ได้เห็นแนวทางการปฎิบัติจริงเพื่อคุ้มครองข้อมูลส่วนบุคคล

ดร.อุดมธิปก ไพรเกษตร ผู้อำนวยการสถาบันพัฒนาและทดสอบทักษะดิจิทัล (DDTI) กล่าวว่า สำหรับประเทศไทย เริ่มเห็นสถานศึกษาบางแห่งที่เป็นหน่วยงานนานาชาติหันมาดูแลในเรื่องการคุ้มครองข้อมูลส่วนบุคคล โดยมีการจัดทำนโยบาย/มาตรการคุ้มครองข้อมูล และเอกสารขอความยินยอมเพื่อประมวลผลข้อมูลส่วนบุคคลของผู้เรียนกันแล้ว ตั้งแต่ในขั้นตอนของการกรอกข้อมูลเพื่อสมัครเรียนและรับผู้เรียนเข้าเรียนในสถานศึกษาอย่างเป็นทางการ

ส่วนสถานศึกษาในไทยหลาย ๆ แห่งยังคงไม่ตื่นตัวในเรื่องนี้…

ตาม PDPA สถานศึกษาที่ผู้เรียนมีอายุตั้งแต่ 20 ปีขึ้นไป ซึ่งบรรลุนิติภาวะแล้ว สามารถขอความยินยอมจากตัวผู้เรียนโดยตรงได้ ไม่มีปัญหาแต่อย่างใด แต่สำหรับโรงเรียน วิทยาลัย มหาวิทยาลัย หรือสถานศึกษาที่มีผู้เรียนเป็นผู้เยาว์ (อายุระหว่าง 10-19 ปี ) จะต้องขอความยินยอมจากผู้ปกครองที่มีอำนาจประกอบกับความยินยอมจากผู้เยาว์ ส่วนกรณีที่ผู้เยาว์มีอายุไม่ถึง 10 ปี สถานศึกษาจะต้องขอความยินยอมจากผู้ปกครองที่มีอำนาจกระทำการแทนผู้เยาว์

*นอกเหนือจากการขอความยินยอม สถานศึกษาอาจประมวลผลข้อมูลส่วนบุคคลของผู้เรียนได้ หากมีกฎหมายอื่นกำหนดเอาไว้ว่าสามารถกระทำได้

ผู้เขียนอยากเห็นสถานศึกษาในประเทศไทย “ตื่นตัว” กับประเด็นการคุ้มครองข้อมูลส่วนบุคคลในสถานศึกษา และหวังว่าการร่วมด้วยช่วยกันปฎิบัติตามกฎหมายอย่างเต็มที่ จะช่วยให้ข้อมูลส่วนบุคคลของผู้เรียนได้รับการคุ้มครองอย่างเป็นระบบ และถูกละเมิดได้ยาก

เรียนรู้เพิ่มเติมเกี่ยวกับ การคุ้มครองข้อมูลส่วนบุคคล กับหลักสูตร Personal Data Protection Certificate: PDPC เนื้อหาครอบคลุม กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และแนวทางการปฏิบัติเพื่อคุ้มครองข้อมูลส่วนบุคคล

ICDL Thailand by DBC <<< สนใจคลิกเพื่อสอบถามผ่าน Inbox

Share :

บทความที่เกี่ยวข้อง

กว่า 6 ปีที่ผ่านมา ประเทศไทยมีข่าวการหลุดรั่วของข้อมูลส่วนบุคคลเป็นจำนวนมาก ทั้งจากการกระทำของแฮกเกอร์ที่เข้ามาเจาะระบบ ทั้งจากการป้องกันการหลุดรั่วของข้อมูลส่วนบุคคลที่หละหลวม PDPA Thailand และวันนี้เป็นวันครบรอบ 1 นับจากวันที่ 1 มิถุนายน 2565 ที่กฎหมาย PDPA มีผลบังคับใช้เต็มรูปแบบ PDPA Thailand จึงรวบรวมเหตุการณ์สำคัญ ๆ ที่เกิดขึ้นมาตั้งแต่ปี พ.ศ.2561 จนถึง พ.ศ.2566 มาให้ดูกัน     เมษายน 2561 ข้อมูลลูกค้า True Move H หลุดรั่ว ฐานข้อมูลลูกค้า Truemove H ที่สมัครซื้อซิมพร้อมมือถือผ่าน iTruemart หลุดรั่วจำนวน 64,000 ราย ที่มา https://www.beartai.com/news/it-thai-news/233905   กันยายน 2563 โรงพยาบาลสระบุรี ถูกแรนซัมแวร์โจมตี “โรงพยาบาลสระบุรี” ถูกไวรัสแรนซัมแวร์ แฮกฐานข้อมูลระบบบริการผู้ป่วย ทำให้ไม่สามารถสืบค้นข้อมูลประวัติเก่าหรือให้บริการออนไลน์ได้ ที่มา https://www.sanook.com/news/8248818/   กุมภาพันธ์ 2564 ที่ว่าการอำเภอถลาง ใช้กระดาษรียูส ด้านหลังเป็นใบสำเนามรณบัตร สาวจดทะเบียนสมรส ได้ใบเสร็จพ่วงมรณบัตร สาเหตุจากการใช้กระดาษรียูสในการออกใบเสร็จ แต่เคสนี้เจ้าหน้าที่เผลอนำใบสำเนามรณบัตรมาใช้ ที่มา https://www.thairath.co.th/news/local/south/2543643   สิงหาคม 2564 Bangkok Airways ถูกแรนซัมแวร์โจมตี สายการบิน Bangkok Airways ถูกแรนซัมแวร์โจมตี คนร้ายลอบขโมยข้อมูลลูกค้าออกไปได้กว่า 100GB ประกอบด้วย ชื่อ-นามสกุล, เพศ, สัญชาติ, หมายเลขโทรศัพท์, ที่อยู่ และอีเมล รวมถึงข้อมูลอื่นๆ เช่น
เนื่องจากปัจจุบันเทคโนโลยีมีความก้าวไกลไปมากทำให้การดำเนินการต่าง ๆเป็นไปอย่างสะดวกมากขึ้น ตั้งแต่การเดินทางรวมถึงกระบวนการทำงานต่าง ๆ ซึ่งหนึ่งในองค์กรที่มีการนำวิทยาการนำมาใช้ ได้แก่ สถานพยาบาลนั่นเอง ซึ่งปัจจุบันนั้นมีนำเทคโนโลยีมาใช้เพื่อความสะดวกสบาย เช่น ใช้หุ่นยนต์ในการส่งแฟ้มเอกสารระหว่างแผนก หรือการใช้ระบบต่างเพื่อรวบรวมข้อมูลคนไข้ไว้ที่เดียวกันเพื่อสะดวกต่อการค้นหา ซึ่งกระบวนการหนึ่งที่มีการใช้งานได้แก่ การส่งต่อรูปถ่าย ซึ่งปัจจุบันนั้นวัตถุประสงค์หลัก ๆในการส่งรูปถ่ายจะเป็นไปเพื่อประโยชน์ทางการรักษาหรือติดตามอาการของผู้ป่วย ทั้งนี้ มันมีข้อสังเกตว่า ข้อมูลรูปถ่ายคนไข้เป็นข้อมูลอ่อนไหวหรือไม่ และหากจำเป็นต้องมีการใข้ข้อมูลภาพถ่ายจะต้องใช้อย่างไรเพื่อให้สอดคล้องตามหลักของ PDPA ข้อมูลรูปถ่ายคนไข้ถือว่าเป็นข้อมูลอ่อนไหวหรือไม่ จากที่เราทราบกับข้อมูลอ่อนไหว ได้แก่ข้อมูลเกี่ยวกับ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ เป็นต้น ซึ่งข้อมูลภาพถ่ายคนไข้นั้นถือได้ว่าเป็นข้อมูลสุขภาพ ตามระเบียบกระทรวงสาธารณสุขว่าด้วยการคุ้มครองและจัดการข้อมูลด้านสุขภาพของบุคคล พ.ศ. 2561 ที่นี้เมื่อทราบว่าเป็นข้อมูลส่วนบุคคลที่อ่อนไหว จึงจำเป็นต้องมีแนวหรือหลักการเพื่อให้การใช้ข้อมูลรูปถ่ายเป็นไปตามหลักของ PDPA หากจำเป็นต้องใช้ ต้องทำอย่างไร โดยหลักการของการคุ้มครองข้อมูลส่วนบุคคล การใช้ข้อมูลส่วนบุคคลควรใช้ข้อมูลตราบเท่าที่จำเป็น เช่นกัน การใช้ข้อมูลรูปถ่ายคนไข้ก็ควรจะต้องมีการใช้ข้อมูลเท่าที่จำเป็นเช่นกัน โดยเมื่อจำเป็นต้องมีการเก็บมูล จำเป็นต้องมีการขอความยินยอมก่อน รวมถึงมีการแจ้งวัตถุประสงค์ในการเก็บข้อมูลภาพถ่ายคนไข้ ซึ่งการแจ้งประกาศนั้นอาจจะมีเป็นการแจ้งเป็นประกาศความเป็นส่วนตัวของ คนไข้หรือลูกค้าตามแต่กรณี ต่อมาในการใช้งานหรือประมวลผลควรใช้เท่าที่จำเป็นซึ่งได้แก่ใช้เพื่อรักษาหรือติดตามอาการเท่านั้น ไม่ควรใช้เพื่อเหตุอื่น ถามว่าการเอารูปถ่ายคนไข้ให้หมอท่านอื่นดูได้หรือไม่ เพราะบางครั้งหมอที่เป็นเจ้าของไข้นั้นอาจจำเป็นต้องมีการนำภาพคนไข้ เพื่อปรึกษากับหมอท่านอื่น ตัวอย่างเช่น กรณีคนไข้มารักษาสิว เมื่อทำการรักษาแล้วหากพบว่าบริเวณที่รักษามีปัญหาขึ้นมา กรณีเช่นนี้หากเป็นไปเพื่อการรักษาและติดตามอาการก็สามารถทำได้ แต่ต้องมีการแจ้งให้เจ้าของข้อมูลทราบถึงความจำเป็นดังกล่าว โดยอาจจะสื่อสารผ่านตัวประกาศความเป็นส่วนตัวได้เช่นกัน นอกจากนี้แล้วนั้นหมอที่เป็นเจ้าของคนไข้ต้องมีความระมัดระวังในการเผยแพร่รูปถ่ายคนไข้ด้วย แม้จะมีการแจ้งเจ้าของข้อมูลส่วนบุคคลหรือคนไข้แล้วก็ตาม โดยหมอที่เป็นเจ้าของไข้นั้น ควรมีความระมัดระวังในการที่จะไม่เผยแพร่ภาพถ่ายคนไข้ดังกล่าวไปสู่หมอ รวมถึงบุคลกรทางการแพทย์ที่ไม่ได้มีความเกี่ยวข้องกับคนไข้ให้รับทราบ นอกจากนี้ช่องทางการเผยแพร่ข้อมูลก็เป็นสิ่งหนึ่งที่ควรจะต้องมีความระมัดระวังอย่างยิ่ง เนื่องจากในปัจจุบันนั้นวิทยาการด้านการสื่อสารสามารถส่งต่อข้อมูลดิจิทัลได้อย่างรวดเร็วและสะดวกสบายยิ่งขึ้น ไม่ว่าจะมาจากช่องทางอีเมล Messenger เป็นต้น ทั้งนี้เมื่อมีการส่งข้อมูลรูปถ่ายคนไข้ไป จำต้องมีคำนึงถึงความปลอดภัยด้วย ตัวอย่าง ไม่ควรส่งรูปถ่ายคนไข้ผ่านช่องทางการสื่อสารสาธารณะ เช่น Line เป็นต้น หรือหากจำเป็นต้องมีการส่งจริง ๆก็ควรมีมาตรการในการป้องกันการเข้าถึงด้วยตัวอย่างเช่น อาจจะมีการส่งข้อมูลโดยมีการเข้ารหัส โดยส่งรหัสดังกล่าวไปให้ปลายทางรับทราบพียบท่านเดียวเท่านั้น เพื่อให้มั่นใจได้ว่าข้อมูลดังกล่าวถึงมือผู้รับจริง และมีเพียงแต่ผุ้รับรหัสเท่านั้นที่จะสามารถเปิดดูข้อมูลที่เข้ารหัสไว้ได้ โดยภาพรวมนั้นสถานพยาบาลมีกิจกรรมหลาย ๆกิจกรรมที่มีการเข้าถึงข้อมูลส่วนบุคคลที่มี่ความอ่อนไหว เช่น กิจกรรมการนำภาพถ่ายคนไข้มาใช้เพื่อติดตามผลการรักษาคนไข้ ทั้งนี้สามรถทำได้แต่จำเป็นต้องมีแนวทางหรือกระบวนการบางอย่างมาเป็นมาตรฐานในการส่งต่อข้อมูล นอกจากจะเพื่อความปลอดภัยของคนไข้
จากบทความครั้งที่แล้ว เรื่อง Hotel reservation ไม่เกี่ยวกับ PDPA จริงหรือ ? ที่ได้มีการกล่าวถึงกระบวนการการจองที่พักในหลายรูปแบบ เช่น เว็บไซต์ เอเย่น walk-in ในวันนี้เราจะมากล่าวถึงกระบวนการที่ต่อเนื่องกันคือ กระบวนการการรับส่งจากสนามบินหรือสถานที่ต่างๆ ไปยังโรงแรม ในบางกรณีผู้เข้าพักบางท่านอาจมีความต้องการใช้บริการรถรับส่งเพื่อให้รับจากสนามบินมายังโรงแรมเพื่อความสะดวกของผู้เข้าพัก รูปแบบการรับส่งที่สนามบินโดยทั่วไปสามารถแบ่งออกได้เป็น 2 รูปแบบ ได้แก่ Inhouse limousine คือ กรณีที่โรงแรมมีบริการรับส่งด้วยตัวเอง Outsource limousine คือ กรณีที่โรงแรมมีการจ้างบริษัทรับส่งภายนอก ให้ดำเนินการรับส่งผู้เข้าพักแทนโรงแรม ในกรณีที่โรงแรมมีบริการรับส่งด้วยตัวเอง (Inhouse limousine)  โดยทั่วไปข้อมูลของผู้เข้าพักจะถูกโรงแรมเก็บมาแล้วจากขั้นตอนการจองห้องพัก แต่อาจมีการนำข้อมูลดังกล่าวมาใช้เพื่อเป็นการยืนยันตัวผู้เข้าพักอีกครั้ง การนำข้อมูลมาใช้ในกระบวนการนี้ โรงแรมต้องมีการระบุวัตถุประสงค์นี้เข้าไปในประกาศความเป็นส่วนตัวของผู้เข้าพัก (Privacy notice) และแจ้งให้ผู้เข้าพักทราบในขั้นตอนการรับจองห้องพัก หรือจะแจ้งอีกครั้งเพื่อเป็นการแจ้งย้ำให้ผู้เข้าพักทราบก็ย่อมทำได้ นอกจากนี้ การที่โรงแรมนำข้อมูลมาใช้ประมวลผลในกระบวนการนี้สามารถใช้ฐานสัญญา ตามมาตรา 24(3) ในการจัดเก็บข้อมูลส่วนบุคคลได้ เนื่องจากเป็นการจำเป็นเพื่อใช้ในการดำเนินการตามคำขอก่อนการเข้าทำสัญญาใช้บริการ ในกรณีที่โรงแรมมีการจ้างบริษัทรับส่งภายนอก ให้ดำเนินการรับส่งผู้เข้าพักแทนโรงแรม หรือ Outsource limousine ทางโรงแรมอาจจะมีการส่งรายชื่อของผู้ที่จะเข้าพักให้กับบริษัท Outsource limousine ซึ่งเป็นนิติบุคคลภายนอก เช่น ข้อมูล ชื่อ นามสกุล รายละเอียดการเดินทางและการเข้าพัก เป็นต้น การที่โรงแรมมีการจ้างบริษัทภายนอกให้ดำเนินการด้านการรับส่ง บริษัทรับส่งนั้นทำตามภายในนามหรือภายใต้คำสั่งโรงแรมนั้น บริษัท Outsource limousine จึงมีสถานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ซึ่งตามมาตรา 40 วรรค 2 กำหนดให้ผู้ควบคุมข้อมูลมีหน้าที่ต้องจัดให้มีข้อตกลงระหว่างกัน เพื่อควบคุมการดำเนินการตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล ดังนั้น ระหว่าง โรงแรมกับบริษัท Outsource limousine  ควรมีการทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement : DPA)  ทั้งนี้เพื่อช่วยให้คู่สัญญาซึ่งเป็นผู้ประมวลผล ทราบถึงบทบาทและหน้าที่ของตนเองเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล การกำหนดวัตถุประสงค์ในการเปิดเผยข้อมูลส่วนบุคคล การกำหนดมาตรฐานในการแบ่งปันข้อมูลส่วนบุคคลและขอบเขตในการประมวลผลข้อมูลส่วนบุคคล โดยรายละเอียดของข้อตกลงการแลกเปลี่ยนข้อมูลส่วนบุคคล
thThai

ลงทะเบียน

เข้าสู่ระบบ