เข้าสู่ระบบ/ลงทะเบียน

ดูให้รู้! หน้าที่ของ DPO ตามนิยามกฎหมาย PDPA ธุรกิจใดเข้าข่ายต้องมี และคำแนะนำสำหรับบริษัทที่ยังไม่พร้อมรับมือ

แชร์

อ่าน

275

ครั้ง

โดย : pornpilast.su

ดูให้รู้! หน้าที่ของ DPO ตามนิยามกฎหมาย PDPA ธุรกิจใดเข้าข่ายต้องมี และคำแนะนำสำหรับบริษัทที่ยังไม่พร้อมรับมือ

แชร์

อ่าน

275

ครั้ง

โดย : pornpilast.su

โดยบทบาทหน้าที่หลักของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO- Data Protection Officer) คือทำให้แน่ใจว่าองค์กรมีการดำเนินการได้ถูกต้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือกฎหมาย PDPA โดยพึ่งมีผลบังคับใช้เมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมา เป็นกฎหมายว่าด้วยการปกป้องและคุ้มครองข้อมูลส่วนบุคคล เพื่อป้องกันการนำข้อมูลส่วนตัวที่องค์กรต่างๆ มีการจัดเก็บหรือนำมาประมวลผลที่อาจก่อให้เกิดผลกระทบทั้งด้านร่างกายและจิตใจต่อเจ้าของข้อมูล อาทิ เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง อับอาย ถูกเลือกปฏิบัติ หรือเพื่อแสวงหาประโยชน์ที่ไม่ชอบด้วยกฎหมาย หรืออาจนำไปสู่เรื่องร้ายแรงกว่านั้น

ด้วยเหตุนี้ ข้อมูลส่วนบุคคล ที่ในอดีตภาคธุรกิจได้นำมาเป็นเครื่องมือในการขับเคลื่อนธุรกิจจึงเป็นสิ่งที่กฎหมายให้ความคุ้มครอง ดังนั้นจึงต้องระมัดระวังในการนำมาใช้ภายใต้การประกาศใช้กฎหมายใหม่ที่มีรายละเอียดที่ค่อนข้าง ‘อ่อนไหว’ อีกทั้งยังต้องอาศัยการตีความตามข้อกฎหมาย โดยในหลายกรณีเหตุการณ์ฟ้องร้องหรือถูกปรับเงินที่เกิดขึ้นในต่างประเทศ ส่วนใหญ่เกิดจากการขาดตีความตามข้อกฎหมายเป็นเหตุให้เกิดการฟ้องร้องคดีละเมิดข้อมูลส่วนบุคคล ด้วยเหตุผลนี้ จึงสามารถกล่าวได้ว่า เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือ DPO จึงมีความสำคัญมากกับทุกองค์กร

องค์กรแบบไหน? ต้องแต่งตั้ง DPO ตามบัญญัติในกฎหมาย PDPA

ภายใต้การบังคับใช้กฎหมาย PDPA ของไทย ซึ่งระบุว่า องค์กรที่มีความ จำเป็น ต้องแต่งตั้ง DPO คือ หน่วยงานรัฐ องค์กรสาธารณะ หรือธุรกิจที่มีการเก็บ รวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลเป็นจำนวนมาก (โดยคำจำกัดความของคำว่า ‘จำนวนมาก’ ในที่นี้อ้างอิงจากกฎหมาย PDPA ที่ระบุว่า บุคคลหรือนิติบุคคลที่มีการจัดเก็บข้อมูลบุคคลทั่วไปที่สามารถระบุตัวตนของเจ้าของข้อมูล 50,000 ราย หรือมีข้อมูลอ่อนไหวของเจ้าของข้อมูล 5,000)

รวมถึงองค์กรธุรกิจที่มีการเก็บ รวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคล ‘อย่างต่อเนื่อง หรือ มีความเสี่ยง ที่อาจจะก่อให้เกิดการละเมิดข้อมูลส่วนบุคคลได้ง่าย เช่น

  • ธนาคาร/ผู้ให้บริการด้านการเงิน
  • สายการบิน
  • บริษัทเดินรถไม่ประจำทาง/ธุรกิจรถเช่า
  • ไปรษณีย์/ขนส่งด่วน (Express)
  • ธุรกิจประกัน
  • ธุรกิจสื่อสาร/บริการอินเทอร์เน็ต
  • โรงพยาบาล/ผู้ให้บริการด้านการแพทย์และการรักษา
  • อสังหาริมทรัพย์
  • ธุรกิจผู้สูงอายุ /บ้านพักคนชรา
  • สถานรับเลี้ยงเด็ก
  • สถานศึกษา/สถาบันกวดวิชา
  • ธุรกิจบริการท่องเที่ยว/โรงแรม/บริการที่พักรูปแบบต่างๆ
  • แอปพลิเคชันส่งอาหาร
  • แอปพลิเคชันขายของออนไลน์
  • ธุรกิจค้าปลีกที่จัดทำระบบสมาชิก
  • ธุรกิจขายตรงที่มีระบบสมาชิกหรือเครือข่าย
  • บริษัทรักษาความปลอดภัย
  • พนักงานทำความสะอาด/บริการซ่อมบำรุง
  • ธุรกิจเกม
  • กลุ่มธุรกิจที่มีการเฝ้าติดตามพฤติกรรมผู้บริโภคด้วยวิธีใดก็ตาม หรือไม่การถ่ายโอนข้อมูลระหว่างธุรกิจในเครือที่อยู่ต่างประเทศ ตลอดจนกิจกรรมด้านการตลาดที่มีการทำการตลาดโดยประมวลข้อมูลส่วนบุคคลของลูกค้า เป็นต้น

อย่างไรก็ตาม โดยหลักเกณฑ์ดังกล่าวยังคงเป็นขอบเขต กว้างๆ ทำให้หลายๆ ธุรกิจยังคงไม่แน่ใจว่า สถานะที่แท้จริงขององค์กรจำเป็นต้องแต่งตั้ง DPO หรือไม่?

หลักเกณฑ์ไม่ชัด! แต่โทษปรับเงินเป็นสิ่งที่แน่นอน!

อย่างที่บอกว่าเรื่องนี้ ข้อกฎหมายยังต้องอาศัยการตีความ แต่สิ่งที่ผู้ประกอบการควรทราบและเข้าใจตรงกันคือ แม้หลักเกณฑ์ว่าองค์กรใดควรแต่งตั้ง DPO ยังไม่ชัดเจน ซึ่งอาจจะต้องรอการออกกฎหมายลูกมากำกับ แต่ได้มีการกำหนดข้อบังคับและบทลงโทษที่แน่นอนไว้แล้ว โดยมีทั้งความผิดทางแพ่ง ความผิดทางอาญา และยังมีโทษทางปกครองที่เป็นค่าปรับที่สูงพอสมควรหากมีการละเมิดหรือไม่ปฏิบัติตามกฎหมาย PDPA ซึ่งสามารถศึกษาจากข่าวที่เกิดขึ้นในต่างประเทศได้หลายกรณี

และต้องทราบอีกว่า หากองค์กรที่กฎหมายระบุว่าต้องแต่งตั้ง DPO แต่ไม่มีการดำเนินการจะมีโทษทางปกครองโดยปรับไม่เกิน 1 ล้านบาท รวมถึงหากไม่ดำเนินการสนับสนุนและอำนวยความสะดวกในการปฏิบัติหน้าที่ของ DPO หรือให้ DPO ออกจากงานหรือเลิกสัญญาการจ้างด้วยเหตุที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลปฏิบัติหน้าที่ตามกฎหมาย PDPA

ซึ่งบ่งชี้ว่าตำแหน่ง DPO ยังมีสถานะที่กฎหมายคุ้มครองอีกด้วย แม้จะดูขัดแย้งจากการกำหนดคุณสมบัติ และหลักเกณฑ์ขององค์กรที่ควรแต่งตั้ง DPO อยู่บ้าง แต่ถึงอย่างนั้นก็เป็นเหตุจำเป็นที่ต้องปฏิบัติตามข้อบังคับของกฎหมาย หากไม่อยากเดือดร้อนภายหลัง!

 

ทางออกสำหรับองค์กรธุรกิจ หากยังไม่แน่ใจว่าต้องมี DPO หรือไม่? 

 โดยบทบาทของ DPO ตามข้อกำหนดในกฎหมาย PDPA คำนึงถึงความรู้หรือความเชี่ยวชาญเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ซึ่งอาจจะเป็นผู้บริหารหรือพนักงานที่มีตำแหน่งตั้งแต่หัวหน้างานขึ้นไป หรือจะเป็นการจัดจ้างเจ้าหน้าที่จากภายนอกก็ได้เช่นกัน แต่ไม่ควรเป็นสัญญาในช่วงสั้นๆ โดยมีหน้าที่ที่ต้องรับผิดชอบคือ

  • ให้คำแนะนำแก่เจ้าของธุรกิจและเจ้าหน้าที่ภายในบริษัทให้สามารถดำเนินการตามที่กฎหมายกำหนด
  • ตรวจสอบการดำเนินงานของบริษัท รวมถึงลูกจ้าง/ผู้รับจ้างในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามกฎหมาย อาทิ การจัดทำแบบประเมินความเสี่ยงการละเมิดข้อมูลส่วนบุคคลภายในบริษัท (DPIA : Data Protection Impact Assessment)
  • ประสานงานและให้ความร่วมมือกับสำนักงานคุ้มครองข้อมูลส่วนบุคคล หากเกิดปัญหาที่เกี่ยวข้องกับข้อมูลส่วนบุคคลภายในบริษัท อาทิ จัดการคำขอใช้สิทธิ หรือข้อร้องเรียนต่างๆ
  • ส่งเสริมให้ภายในบริษัทมีค่านิยมในการคุ้มครองข้อมูลส่วนบุคคล
  • รักษาความลับของข้อมูลส่วนบุคคลที่ตนล่วงรู้หรือได้มาเนื่องจากการปฏิบัติหน้าที่

ดังนั้น หากดูจากบทหน้าที่และคุณสมบัติของ DPO ต้องเป็นเจ้าหน้าที่ในระดับหัวหน้างานขึ้นไป และมีความเชี่ยวชาญในเรื่องกฎหมาย PDPA อย่างน้อย 5 ปี และอาจจะต้องมีใบรับรองคุณสมบัติและความเชี่ยวชาญจากสถาบันที่กฎหมายหรือคณะกรรมการฯ กำหนด (อ้างอิงจากหลักเกณฑ์ของ GDPR) ซึ่งอาจทำให้บางธุรกิจที่ยังไม่แน่ใจว่า ต้องแต่งตั้ง DPO หรือไม่ หรืออีกนัยหนึ่งอาจไม่ต้องการเพิ่มต้นทุนการจัดการภายในบริษัทในตำแหน่งนี้มากจนเกินไป

ด้วยเหตุนี้ ผู้ประกอบการอาจจะพิจารณาแต่งตั้ง เจ้าหน้าที่ประสานงานข้อมูลส่วนบุคคลภายในบริษัท ที่มีความรู้และความเข้าใจในกฎหมาย PDPA มาทดแทนในช่วงเวลาที่ยัง คลุมเครือ’ นี้ไปก่อนได้ ซึ่งอาจจะยังไม่ต้องถึงกับมีคุณสมบัติครบถ้วนตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด แต่ต้องมีความเข้าใจและสนใจในเรื่องกฎหมาย PDPA หรืออาจจะพิจารณาแต่งตั้งบุคคลภายนอกตามสัญญาจ้างระยะสั้นเพื่อปฏิบัติหน้าในการให้คำแนะการดำเนินการภายในบริษัทให้เป็นไปตามที่กฎหมายกำหนด ซึ่งเป็นต้นทุนที่ต่ำกว่าการจ้าง DPO แน่นอน

กระนั้น การแต่งตั้งเจ้าหน้าที่ประสานงานข้อมูลส่วนบุคคลในลักษณะนี้ ไม่แนะนำ สำหรับบริษัทที่ที่มีการเก็บ และประมวลผลข้อมูลอย่างต่อเนื่อง ซึ่งมีความเสี่ยงสูงมากในการละเมิดกฎหมาย หรือเกิดเหตุละเมิดข้อมูลส่วนบุคคลได้ง่าย

อย่างไรก็ตาม กฎหมาย PDPA ที่มีวัตถุประสงค์เพื่อคุ้มครองข้อมูลส่วนบุคคลและป้องกันการแสวงหาประโยชน์โดยมิชอบ ดังนั้น บุคคลลากรภายในบริษัทควรจะมีความรู้ ความเข้าใจ และความตระหนักร่วมต่อการปกป้องข้อมูลส่วนบุคคลภายในองค์กร เหตุนี้ ผู้ประกอบการควรจะมีการฝึกอบรวม จัดคอร์สเรียน หรือจัดกิจกรรมที่เป็นการส่งเสริมความรู้และการปกป้องข้อมูลส่วนบุคคลภายในบริษัทประกอบด้วย จึงจะเป็นแนวทางที่ถูกต้องในการรับมือกฎหมาย PDPA  

 

Share :

บทความที่เกี่ยวข้อง

สรุปเหตุการณ์ “ข้อมูลรั่วไหล” 2561-2566

กว่า 6 ปีที่ผ่านมา ประเทศไทยมีข่าวการหลุดรั่วของข้อมูลส่วนบุคคลเป็นจำนวนมาก ทั้งจากการกระทำของแฮกเกอร์ที่เข้ามาเจาะระบบ ทั้งจากการป้องกันการหลุดรั่วของข้อมูลส่วนบุคคลที่หละหลวม PDPA Thailand และวันนี้เป็นวันครบรอบ 1 นับจากวันที่ 1 มิถุนายน 2565 ที่กฎหมาย PDPA มีผลบังคับใช้เต็มรูปแบบ PDPA Thailand จึงรวบรวมเหตุการณ์สำคัญ ๆ ที่เกิดขึ้นมาตั้งแต่ปี พ.ศ.2561 จนถึง พ.ศ.2566 มาให้ดูกัน     เมษายน 2561 ข้อมูลลูกค้า True Move H หลุดรั่ว ฐานข้อมูลลูกค้า Truemove H ที่สมัครซื้อซิมพร้อมมือถือผ่าน iTruemart หลุดรั่วจำนวน 64,000 ราย ที่มา https://www.beartai.com/news/it-thai-news/233905   กันยายน 2563 โรงพยาบาลสระบุรี ถูกแรนซัมแวร์โจมตี “โรงพยาบาลสระบุรี” ถูกไวรัสแรนซัมแวร์ แฮกฐานข้อมูลระบบบริการผู้ป่วย ทำให้ไม่สามารถสืบค้นข้อมูลประวัติเก่าหรือให้บริการออนไลน์ได้ ที่มา https://www.sanook.com/news/8248818/   กุมภาพันธ์ 2564 ที่ว่าการอำเภอถลาง ใช้กระดาษรียูส ด้านหลังเป็นใบสำเนามรณบัตร สาวจดทะเบียนสมรส ได้ใบเสร็จพ่วงมรณบัตร สาเหตุจากการใช้กระดาษรียูสในการออกใบเสร็จ แต่เคสนี้เจ้าหน้าที่เผลอนำใบสำเนามรณบัตรมาใช้ ที่มา https://www.thairath.co.th/news/local/south/2543643   สิงหาคม 2564 Bangkok Airways ถูกแรนซัมแวร์โจมตี สายการบิน Bangkok Airways ถูกแรนซัมแวร์โจมตี คนร้ายลอบขโมยข้อมูลลูกค้าออกไปได้กว่า 100GB ประกอบด้วย ชื่อ-นามสกุล, เพศ, สัญชาติ, หมายเลขโทรศัพท์, ที่อยู่ และอีเมล รวมถึงข้อมูลอื่นๆ เช่น
อ่านเพิ่มเติม

ใช้รูปถ่ายคนไข้อย่างไรไม่ให้ละเมิดสิทธิคนไข้

เนื่องจากปัจจุบันเทคโนโลยีมีความก้าวไกลไปมากทำให้การดำเนินการต่าง ๆเป็นไปอย่างสะดวกมากขึ้น ตั้งแต่การเดินทางรวมถึงกระบวนการทำงานต่าง ๆ ซึ่งหนึ่งในองค์กรที่มีการนำวิทยาการนำมาใช้ ได้แก่ สถานพยาบาลนั่นเอง ซึ่งปัจจุบันนั้นมีนำเทคโนโลยีมาใช้เพื่อความสะดวกสบาย เช่น ใช้หุ่นยนต์ในการส่งแฟ้มเอกสารระหว่างแผนก หรือการใช้ระบบต่างเพื่อรวบรวมข้อมูลคนไข้ไว้ที่เดียวกันเพื่อสะดวกต่อการค้นหา ซึ่งกระบวนการหนึ่งที่มีการใช้งานได้แก่ การส่งต่อรูปถ่าย ซึ่งปัจจุบันนั้นวัตถุประสงค์หลัก ๆในการส่งรูปถ่ายจะเป็นไปเพื่อประโยชน์ทางการรักษาหรือติดตามอาการของผู้ป่วย ทั้งนี้ มันมีข้อสังเกตว่า ข้อมูลรูปถ่ายคนไข้เป็นข้อมูลอ่อนไหวหรือไม่ และหากจำเป็นต้องมีการใข้ข้อมูลภาพถ่ายจะต้องใช้อย่างไรเพื่อให้สอดคล้องตามหลักของ PDPA ข้อมูลรูปถ่ายคนไข้ถือว่าเป็นข้อมูลอ่อนไหวหรือไม่ จากที่เราทราบกับข้อมูลอ่อนไหว ได้แก่ข้อมูลเกี่ยวกับ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ เป็นต้น ซึ่งข้อมูลภาพถ่ายคนไข้นั้นถือได้ว่าเป็นข้อมูลสุขภาพ ตามระเบียบกระทรวงสาธารณสุขว่าด้วยการคุ้มครองและจัดการข้อมูลด้านสุขภาพของบุคคล พ.ศ. 2561 ที่นี้เมื่อทราบว่าเป็นข้อมูลส่วนบุคคลที่อ่อนไหว จึงจำเป็นต้องมีแนวหรือหลักการเพื่อให้การใช้ข้อมูลรูปถ่ายเป็นไปตามหลักของ PDPA หากจำเป็นต้องใช้ ต้องทำอย่างไร โดยหลักการของการคุ้มครองข้อมูลส่วนบุคคล การใช้ข้อมูลส่วนบุคคลควรใช้ข้อมูลตราบเท่าที่จำเป็น เช่นกัน การใช้ข้อมูลรูปถ่ายคนไข้ก็ควรจะต้องมีการใช้ข้อมูลเท่าที่จำเป็นเช่นกัน โดยเมื่อจำเป็นต้องมีการเก็บมูล จำเป็นต้องมีการขอความยินยอมก่อน รวมถึงมีการแจ้งวัตถุประสงค์ในการเก็บข้อมูลภาพถ่ายคนไข้ ซึ่งการแจ้งประกาศนั้นอาจจะมีเป็นการแจ้งเป็นประกาศความเป็นส่วนตัวของ คนไข้หรือลูกค้าตามแต่กรณี ต่อมาในการใช้งานหรือประมวลผลควรใช้เท่าที่จำเป็นซึ่งได้แก่ใช้เพื่อรักษาหรือติดตามอาการเท่านั้น ไม่ควรใช้เพื่อเหตุอื่น ถามว่าการเอารูปถ่ายคนไข้ให้หมอท่านอื่นดูได้หรือไม่ เพราะบางครั้งหมอที่เป็นเจ้าของไข้นั้นอาจจำเป็นต้องมีการนำภาพคนไข้ เพื่อปรึกษากับหมอท่านอื่น ตัวอย่างเช่น กรณีคนไข้มารักษาสิว เมื่อทำการรักษาแล้วหากพบว่าบริเวณที่รักษามีปัญหาขึ้นมา กรณีเช่นนี้หากเป็นไปเพื่อการรักษาและติดตามอาการก็สามารถทำได้ แต่ต้องมีการแจ้งให้เจ้าของข้อมูลทราบถึงความจำเป็นดังกล่าว โดยอาจจะสื่อสารผ่านตัวประกาศความเป็นส่วนตัวได้เช่นกัน นอกจากนี้แล้วนั้นหมอที่เป็นเจ้าของคนไข้ต้องมีความระมัดระวังในการเผยแพร่รูปถ่ายคนไข้ด้วย แม้จะมีการแจ้งเจ้าของข้อมูลส่วนบุคคลหรือคนไข้แล้วก็ตาม โดยหมอที่เป็นเจ้าของไข้นั้น ควรมีความระมัดระวังในการที่จะไม่เผยแพร่ภาพถ่ายคนไข้ดังกล่าวไปสู่หมอ รวมถึงบุคลกรทางการแพทย์ที่ไม่ได้มีความเกี่ยวข้องกับคนไข้ให้รับทราบ นอกจากนี้ช่องทางการเผยแพร่ข้อมูลก็เป็นสิ่งหนึ่งที่ควรจะต้องมีความระมัดระวังอย่างยิ่ง เนื่องจากในปัจจุบันนั้นวิทยาการด้านการสื่อสารสามารถส่งต่อข้อมูลดิจิทัลได้อย่างรวดเร็วและสะดวกสบายยิ่งขึ้น ไม่ว่าจะมาจากช่องทางอีเมล Messenger เป็นต้น ทั้งนี้เมื่อมีการส่งข้อมูลรูปถ่ายคนไข้ไป จำต้องมีคำนึงถึงความปลอดภัยด้วย ตัวอย่าง ไม่ควรส่งรูปถ่ายคนไข้ผ่านช่องทางการสื่อสารสาธารณะ เช่น Line เป็นต้น หรือหากจำเป็นต้องมีการส่งจริง ๆก็ควรมีมาตรการในการป้องกันการเข้าถึงด้วยตัวอย่างเช่น อาจจะมีการส่งข้อมูลโดยมีการเข้ารหัส โดยส่งรหัสดังกล่าวไปให้ปลายทางรับทราบพียบท่านเดียวเท่านั้น เพื่อให้มั่นใจได้ว่าข้อมูลดังกล่าวถึงมือผู้รับจริง และมีเพียงแต่ผุ้รับรหัสเท่านั้นที่จะสามารถเปิดดูข้อมูลที่เข้ารหัสไว้ได้ โดยภาพรวมนั้นสถานพยาบาลมีกิจกรรมหลาย ๆกิจกรรมที่มีการเข้าถึงข้อมูลส่วนบุคคลที่มี่ความอ่อนไหว เช่น กิจกรรมการนำภาพถ่ายคนไข้มาใช้เพื่อติดตามผลการรักษาคนไข้ ทั้งนี้สามรถทำได้แต่จำเป็นต้องมีแนวทางหรือกระบวนการบางอย่างมาเป็นมาตรฐานในการส่งต่อข้อมูล นอกจากจะเพื่อความปลอดภัยของคนไข้
อ่านเพิ่มเติม

Hotel limousine กับ PDPA สิ่งที่ต้องกังวลเมื่อส่งข้อมูลไปนอกโรงแรม

จากบทความครั้งที่แล้ว เรื่อง Hotel reservation ไม่เกี่ยวกับ PDPA จริงหรือ ? ที่ได้มีการกล่าวถึงกระบวนการการจองที่พักในหลายรูปแบบ เช่น เว็บไซต์ เอเย่น walk-in ในวันนี้เราจะมากล่าวถึงกระบวนการที่ต่อเนื่องกันคือ กระบวนการการรับส่งจากสนามบินหรือสถานที่ต่างๆ ไปยังโรงแรม ในบางกรณีผู้เข้าพักบางท่านอาจมีความต้องการใช้บริการรถรับส่งเพื่อให้รับจากสนามบินมายังโรงแรมเพื่อความสะดวกของผู้เข้าพัก รูปแบบการรับส่งที่สนามบินโดยทั่วไปสามารถแบ่งออกได้เป็น 2 รูปแบบ ได้แก่ Inhouse limousine คือ กรณีที่โรงแรมมีบริการรับส่งด้วยตัวเอง Outsource limousine คือ กรณีที่โรงแรมมีการจ้างบริษัทรับส่งภายนอก ให้ดำเนินการรับส่งผู้เข้าพักแทนโรงแรม ในกรณีที่โรงแรมมีบริการรับส่งด้วยตัวเอง (Inhouse limousine)  โดยทั่วไปข้อมูลของผู้เข้าพักจะถูกโรงแรมเก็บมาแล้วจากขั้นตอนการจองห้องพัก แต่อาจมีการนำข้อมูลดังกล่าวมาใช้เพื่อเป็นการยืนยันตัวผู้เข้าพักอีกครั้ง การนำข้อมูลมาใช้ในกระบวนการนี้ โรงแรมต้องมีการระบุวัตถุประสงค์นี้เข้าไปในประกาศความเป็นส่วนตัวของผู้เข้าพัก (Privacy notice) และแจ้งให้ผู้เข้าพักทราบในขั้นตอนการรับจองห้องพัก หรือจะแจ้งอีกครั้งเพื่อเป็นการแจ้งย้ำให้ผู้เข้าพักทราบก็ย่อมทำได้ นอกจากนี้ การที่โรงแรมนำข้อมูลมาใช้ประมวลผลในกระบวนการนี้สามารถใช้ฐานสัญญา ตามมาตรา 24(3) ในการจัดเก็บข้อมูลส่วนบุคคลได้ เนื่องจากเป็นการจำเป็นเพื่อใช้ในการดำเนินการตามคำขอก่อนการเข้าทำสัญญาใช้บริการ ในกรณีที่โรงแรมมีการจ้างบริษัทรับส่งภายนอก ให้ดำเนินการรับส่งผู้เข้าพักแทนโรงแรม หรือ Outsource limousine ทางโรงแรมอาจจะมีการส่งรายชื่อของผู้ที่จะเข้าพักให้กับบริษัท Outsource limousine ซึ่งเป็นนิติบุคคลภายนอก เช่น ข้อมูล ชื่อ นามสกุล รายละเอียดการเดินทางและการเข้าพัก เป็นต้น การที่โรงแรมมีการจ้างบริษัทภายนอกให้ดำเนินการด้านการรับส่ง บริษัทรับส่งนั้นทำตามภายในนามหรือภายใต้คำสั่งโรงแรมนั้น บริษัท Outsource limousine จึงมีสถานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ซึ่งตามมาตรา 40 วรรค 2 กำหนดให้ผู้ควบคุมข้อมูลมีหน้าที่ต้องจัดให้มีข้อตกลงระหว่างกัน เพื่อควบคุมการดำเนินการตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล ดังนั้น ระหว่าง โรงแรมกับบริษัท Outsource limousine  ควรมีการทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement : DPA)  ทั้งนี้เพื่อช่วยให้คู่สัญญาซึ่งเป็นผู้ประมวลผล ทราบถึงบทบาทและหน้าที่ของตนเองเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล การกำหนดวัตถุประสงค์ในการเปิดเผยข้อมูลส่วนบุคคล การกำหนดมาตรฐานในการแบ่งปันข้อมูลส่วนบุคคลและขอบเขตในการประมวลผลข้อมูลส่วนบุคคล โดยรายละเอียดของข้อตกลงการแลกเปลี่ยนข้อมูลส่วนบุคคล
อ่านเพิ่มเติม
Copyright © 2022 Digital Business Consult, All Rights Reserved.

Privacy Notice

Privacy Policy

thThai
en_USEnglish thThai

ลงทะเบียน

Please accept the Terms and Conditions to proceed.
เข้าสู่ระบบ ลืมรหัสผ่าน?

เข้าสู่ระบบ