ผู้ดูแลเว็บไซต์รู้ยัง? ใช้ Google Analytics (อาจจะ) ผิดกฎหมาย PDPA ?

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

ผู้ดูแลเว็บไซต์รู้ยัง? ใช้ Google Analytics (อาจจะ) ผิดกฎหมาย PDPA ?

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

ผลิตภัณฑ์ของ Google ได้กลายเป็นประเด็นร้อนอีกครั้งหลังจากที่ก่อนนี้ เกิดการฟ้องร้องในรัฐแคลิฟอร์เนีย สหรัฐอเมริกาจากกรณีการละเมิดสิทธิข้อมูลส่วนบุคคลในโหมด ส่วนตัว ที่ไม่ได้มีความเป็นส่วนตัวตามชื่อ โดยทาง Google ก็ได้ออกมาชี้แจงเรื่องนี้ว่า แม้จะอยู่ในโหมดส่วนตัวแต่ก็มีการเก็บข้อมูลการท่องเว็บของผู้ใช้งาน และได้มีการระบุไว้ในเอกสารความยินยอมอย่างชัดเจน

ต่อจากนั้นในช่วงเดือนมกราคมที่ผ่านมา ก็มีการฟ้องร้องการละเมิดความเป็นส่วนตัวของ Google โดยคำตัดสินของหน่วยงานคุ้มครองข้อมูลของออสเตรเลีย(DPA) ที่ได้พิจารณาแล้วว่าการใช้งาน Google Analytics เป็นการละเมิดข้อมูลส่วนบุคคลตามระเบียบการคุ้มครองตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป หรือ GDPR (General Data Protection Regulation)

ซึ่งในเวลาต่อมา คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของฝรั่งเศส (CNIL) ก็ได้พิจารณาว่า การใช้ Google Analytics เพื่อประมวลผลและจัดเก็บข้อมูลส่วนบุคคลในการเข้าถึงเว็บไซต์ก็เป็นการละเมิดสิทธิข้อมูลส่วนบุคคลตามกฎหมาย GDPR เช่นเดียวกัน

ดังนั้น คำถามที่หลายคนอยากรู้ในตอนนี้คือ เจ้าของเว็บไซต์และผู้ประผลข้อมูลในเว็บไซต์ที่ใช้ Google Analytics เครื่องมือยอดฮิตที่มีการใช้งานอย่างกมากมายในประเทศไทยจะเข้าข่ายผิดกฎหมาย PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ที่มีผลบังคับใช้วันที่ 1 มิถุนายน  2565 ด้วยหรือไม่???

ประเด็นนี้อาจจะต้อง ตีความตามกฎหมาย โดยเปรียบเทียบกับกฎหมาย GDPR ซึ่งเป็นแม่แบบของกฎหมายคุ้มครองข้อมูลส่วนบุคคลทั่วโลก ซึ่งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ระบุว่า Google ในกรณีนี้ มีสถานะเป็นทั้งผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)  และยังเป็นผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ด้วย ดังนั้น แม้ข้อมูลที่มีการจัดเก็บจาก Google Analytics จะไม่สามารถระบุตัวตนผู้ใช้ได้

แต่เนื่องจาก Google มีการจัดเก็บและถ่ายโอนข้อมูลผู้ใช้ทั่วโลกเป็นจำนวนมาก และทำให้ ชิ้นส่วนจิ๊กซอว์ ที่ยังไม่สามารถระบุตัวตนได้ แต่หากนำข้อมูลหลายๆ อย่างมารวมกันก็ไม่ยากที่จะระบุตัวตนบุคคลนั้นๆ ได้

เหตุนี้ จึงมีความเป็นไปได้ว่าในอนาคต Google Analytics อาจจะไม่สามารถใช้งานได้ทั่วทั้งสหภาพยุโรป เว้นแต่ Google จะมีการเปลี่ยนแปลงวิธีดำเนินการใหม่ และมีความเป็นไปได้ว่าจะกระทบต่อผู้ใช้งานทั่วโลกรวมทั้งประเทศไทยด้วยเช่นกัน

 

ใช้งาน Google Analytics จะผิดกฎหมาย PDPA หรือไม่?

คำถามต่อมา คือ แล้วผู้ใช้งาน Google Analytics ในประเทศไทยจะเข้าข่ายผิดกฎหมาย PDPA ด้วยหรือไม่ ซึ่งคำตอบนี้หากสรุปตามพื้นฐานคำติดสินของกฎหมาย GDPR ก็น่าจะเข้าข่ายผิดกฎหมายด้วยเช่นกัน !!!

ทั้งนี้จากข้อมูลของ Google Analytics ที่ได้มีการรวบรวมข้อมูลที่หลากหลายเกี่ยวกับผู้เข้าชมเว็บไซต์ อาทิ หน้าเว็บไซต์ที่มีการเข้าถึงหรือใช้งาน ระยะเวลาในการในงาน อายุผู้ใช้งาน ตำแหน่งที่ตั้ง ช่องทางการใช้งาน (เบราว์เซอร์) ชนิดของอุปกรณ์ในการใช้ ตลอดจนความสนใจของผู้ใช้ อันนำไปสู่ ​​Conversion หรือ การกระทำบางอย่างที่ผู้ที่เข้าชมเว็บไซต์ (อาจจะ) ถูกใช้เป็นเป้าหมายในการทำการโฆษณา หรือกิจกรรมในการค้ารูปแบบต่างๆ ก็เข้าข่ายที่สามารถระบุตัวตนใน ทางอ้อม ได้เช่นกัน

โดยกฎหมาย PDPA ข้อมูลที่สามารถระบุตัวบุคคลไม่ว่าจะทางตรง หรือทางอ้อม ผู้ควบคุมข้อมูลซึ่งในที่นี้คือผู้ให้บริการเว็บไซต์จะต้องได้รับความยินยอมจากเจ้าของข้อมูลตามสิทธิตามกฎหมาย

เรื่องนี้ทางผู้ให้บริการผลิตภัณฑ์ ซึ่งก็คือ Google ต้องมีการปรับเปลี่ยนรูปแบบการให้บริการ Google Analytics ก็จะมีผลให้ผู้ดูแลเว็บไซต์ และผู้ประมวลผลข้อมูลเว็บไซต์จะต้องมีการปรับเปลี่ยนเช่นกัน รวมถึงการใช้งานผลิตภัณฑ์ที่มีลักษณะเดียวกันด้วย กลายเป็น โดมิโน ที่จะล้มกันเป็นทอดๆ และกระทบเป็นวงกว้างในที่สุด

ผู้ดูแลเว็บไซต์และผู้ประมวลผลจะปรับตัวอย่างไร?

ด้วยเหตุดังกล่าว ทำให้ผู้ใช้งาน Google Analytics ในประเทศไทยจะต้องปรับเปลี่ยนไปตามหลักปฏิบัติสากลเพื่อให้เป็นไปตามกฎหมาย PDPA โดยมีแนวทางปรับตัวเพื่อให้การเก็บ และวิเคราะห์ข้อมูลเว็บไซต์ไม่เป็นการละเมิดสิทธิข้อมูลส่วนบุคคลของผู้ใช้งาน ดังนี้

1.ประกาศนโยบายความเป็นส่วนตัว (Privacy Notice) ที่ระบุไว้อย่างชัดเจนถึงการเก็บข้อมูลและประมวลผลผู้ใช้งานเว็บไซต์ด้วยเครื่องมือ Google Analytics

2.ประกาศนโยบาย และการขอความยินยอมขอใช้งานคุกกี้ (Cookie Policy and Cookie consent) ตามกฎหมายต้องระบุไว้อย่างชัดเจนว่าเว็บไซต์ได้มีการใช้คุกกี้ประเภทใดบ้าง มีการจัดเก็บข้อมูลใดบ้าง มีระยะเวลาในการจัดเก็บนานเท่าไร การดำเนินการข้อมูลส่วนบุคคลในลักษณะใดบ้าง รวมถึงขอการยินยอมใช้งานคุกกี้ดังกล่าว โดยผู้เข้าชมเว็บไซต์สามารถเลือกให้ความยินยอมใช้งานคุกกี้ได้ตามต้องการ

3.สร้างกลไกในการลบหรือแก้ไขข้อมูลของผู้ใช้งานเว็บไซต์ โดยล่าสุดทาง Google Analytics ได้มีการปรับแต่งให้สามารถลบข้อมูลผู้ใช้หากมีการร้องขอให้ดำเนินการ

4.จัดทำข้อตกลงการแบ่งปันข้อมูลส่วนบุคคล หากองค์กรธุรกิจคุณมีการแบ่งบันหรือส่งต่อข้อมูลส่วนบุคคลในเว็บไซต์แก่ หรือผู้ประมวลผลข้อมูลในกิจกรรมด้านการขายหรือส่งเสริมการขาย

 

ผลกระทบที่จะเกิดขึ้นขององค์กรธุรกิจ

อย่างไรก็ตาม เรื่องการละเมิดข้อมูลส่วนบุคคลตามกฎหมาย GDPR ซึ่งสามารถนำมาเทียบเคียงได้กับกฎหมาย PDPA อาจจะส่งผลกระทบต่อองค์กรธุรกิจในหลายด้าน เช่น

  • ความไม่เสถียรของหลักเกณฑ์ และการดำเนินการเนื่องจากกฎหายคุ้มครองข้อมูลผู้บริโภคยังเป็นสิ่งที่ใหม่มากสำหรับทุกองค์กร และจำเป็นต้องมีผู้เชี่ยวชาญในการวิเคราะห์และตีความตามข้อกฎหมาย ดังนั้นองค์กรอาจจะได้รับผลกระทบในช่วงเริ่มต้น
  • เกิดเป็นต้นทุนการจัดการที่เพิ่มขึ้น เนื่องจากผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล อาจจะต้องสร้างระบบขึ้นมาเพื่อดำเนินการให้สอดคล้องกับกฎหมาย
  • ส่งผลต่อธุรกิจข้ามพรมแดน หรือธุรกิจที่มีการส่งต่อ หรือถ่ายโอนข้อมูลไปยังต่างประเทศ ซึ่งตามกฎหมาย PDPA การส่งต่อหรือถ่ายโอนข้อมูลไปยังประเทศปลายทาง ประเทศนั้นจะต้องมีกฎหมายหรือมาตรการคุ้มครองข้อมูลส่วนบุคคลที่มีมาตรฐานที่ทัดเทียมกัน
  • มีความเป็นไปได้สูงว่าจะเกิดการฟ้องร้องเรื่องสิทธิของเจ้าของข้อมูลส่วนบุคคล โดยข้อสังเกตนี้มาจากสมมติฐานของพฤติกรรมของผู้คนยุคใหม่ที่เคารพสิทธิและต้องการความเป็นส่วนตัวมากขึ้น ดังนั้นเจ้าของธุรกิจจะต้องให้ความระมัดระวังในด้านการเก็บ รวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลมากยิ่งขึ้น

ด้วยเหตุนี้ ผลสืบเนื่องจากกรณีการละเมิดข้อมูลส่วนบุคคลในการใช้งาน Google Analytics จะนำไปสู่การเปลี่ยนแปลง หากคุณเป็นเจ้าของเว็บไซต์ที่ใช้  Google Analytics ก็จะต้องศึกษา และระมัดระวังการใช้งานเครื่องมือนี้เป็นพิเศษ เพื่อไม่ให้ละเมิดกฎหมาย PDPA

 

Share :

บทความที่เกี่ยวข้อง

กว่า 6 ปีที่ผ่านมา ประเทศไทยมีข่าวการหลุดรั่วของข้อมูลส่วนบุคคลเป็นจำนวนมาก ทั้งจากการกระทำของแฮกเกอร์ที่เข้ามาเจาะระบบ ทั้งจากการป้องกันการหลุดรั่วของข้อมูลส่วนบุคคลที่หละหลวม PDPA Thailand และวันนี้เป็นวันครบรอบ 1 นับจากวันที่ 1 มิถุนายน 2565 ที่กฎหมาย PDPA มีผลบังคับใช้เต็มรูปแบบ PDPA Thailand จึงรวบรวมเหตุการณ์สำคัญ ๆ ที่เกิดขึ้นมาตั้งแต่ปี พ.ศ.2561 จนถึง พ.ศ.2566 มาให้ดูกัน     เมษายน 2561 ข้อมูลลูกค้า True Move H หลุดรั่ว ฐานข้อมูลลูกค้า Truemove H ที่สมัครซื้อซิมพร้อมมือถือผ่าน iTruemart หลุดรั่วจำนวน 64,000 ราย ที่มา https://www.beartai.com/news/it-thai-news/233905   กันยายน 2563 โรงพยาบาลสระบุรี ถูกแรนซัมแวร์โจมตี “โรงพยาบาลสระบุรี” ถูกไวรัสแรนซัมแวร์ แฮกฐานข้อมูลระบบบริการผู้ป่วย ทำให้ไม่สามารถสืบค้นข้อมูลประวัติเก่าหรือให้บริการออนไลน์ได้ ที่มา https://www.sanook.com/news/8248818/   กุมภาพันธ์ 2564 ที่ว่าการอำเภอถลาง ใช้กระดาษรียูส ด้านหลังเป็นใบสำเนามรณบัตร สาวจดทะเบียนสมรส ได้ใบเสร็จพ่วงมรณบัตร สาเหตุจากการใช้กระดาษรียูสในการออกใบเสร็จ แต่เคสนี้เจ้าหน้าที่เผลอนำใบสำเนามรณบัตรมาใช้ ที่มา https://www.thairath.co.th/news/local/south/2543643   สิงหาคม 2564 Bangkok Airways ถูกแรนซัมแวร์โจมตี สายการบิน Bangkok Airways ถูกแรนซัมแวร์โจมตี คนร้ายลอบขโมยข้อมูลลูกค้าออกไปได้กว่า 100GB ประกอบด้วย ชื่อ-นามสกุล, เพศ, สัญชาติ, หมายเลขโทรศัพท์, ที่อยู่ และอีเมล รวมถึงข้อมูลอื่นๆ เช่น
เนื่องจากปัจจุบันเทคโนโลยีมีความก้าวไกลไปมากทำให้การดำเนินการต่าง ๆเป็นไปอย่างสะดวกมากขึ้น ตั้งแต่การเดินทางรวมถึงกระบวนการทำงานต่าง ๆ ซึ่งหนึ่งในองค์กรที่มีการนำวิทยาการนำมาใช้ ได้แก่ สถานพยาบาลนั่นเอง ซึ่งปัจจุบันนั้นมีนำเทคโนโลยีมาใช้เพื่อความสะดวกสบาย เช่น ใช้หุ่นยนต์ในการส่งแฟ้มเอกสารระหว่างแผนก หรือการใช้ระบบต่างเพื่อรวบรวมข้อมูลคนไข้ไว้ที่เดียวกันเพื่อสะดวกต่อการค้นหา ซึ่งกระบวนการหนึ่งที่มีการใช้งานได้แก่ การส่งต่อรูปถ่าย ซึ่งปัจจุบันนั้นวัตถุประสงค์หลัก ๆในการส่งรูปถ่ายจะเป็นไปเพื่อประโยชน์ทางการรักษาหรือติดตามอาการของผู้ป่วย ทั้งนี้ มันมีข้อสังเกตว่า ข้อมูลรูปถ่ายคนไข้เป็นข้อมูลอ่อนไหวหรือไม่ และหากจำเป็นต้องมีการใข้ข้อมูลภาพถ่ายจะต้องใช้อย่างไรเพื่อให้สอดคล้องตามหลักของ PDPA ข้อมูลรูปถ่ายคนไข้ถือว่าเป็นข้อมูลอ่อนไหวหรือไม่ จากที่เราทราบกับข้อมูลอ่อนไหว ได้แก่ข้อมูลเกี่ยวกับ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ เป็นต้น ซึ่งข้อมูลภาพถ่ายคนไข้นั้นถือได้ว่าเป็นข้อมูลสุขภาพ ตามระเบียบกระทรวงสาธารณสุขว่าด้วยการคุ้มครองและจัดการข้อมูลด้านสุขภาพของบุคคล พ.ศ. 2561 ที่นี้เมื่อทราบว่าเป็นข้อมูลส่วนบุคคลที่อ่อนไหว จึงจำเป็นต้องมีแนวหรือหลักการเพื่อให้การใช้ข้อมูลรูปถ่ายเป็นไปตามหลักของ PDPA หากจำเป็นต้องใช้ ต้องทำอย่างไร โดยหลักการของการคุ้มครองข้อมูลส่วนบุคคล การใช้ข้อมูลส่วนบุคคลควรใช้ข้อมูลตราบเท่าที่จำเป็น เช่นกัน การใช้ข้อมูลรูปถ่ายคนไข้ก็ควรจะต้องมีการใช้ข้อมูลเท่าที่จำเป็นเช่นกัน โดยเมื่อจำเป็นต้องมีการเก็บมูล จำเป็นต้องมีการขอความยินยอมก่อน รวมถึงมีการแจ้งวัตถุประสงค์ในการเก็บข้อมูลภาพถ่ายคนไข้ ซึ่งการแจ้งประกาศนั้นอาจจะมีเป็นการแจ้งเป็นประกาศความเป็นส่วนตัวของ คนไข้หรือลูกค้าตามแต่กรณี ต่อมาในการใช้งานหรือประมวลผลควรใช้เท่าที่จำเป็นซึ่งได้แก่ใช้เพื่อรักษาหรือติดตามอาการเท่านั้น ไม่ควรใช้เพื่อเหตุอื่น ถามว่าการเอารูปถ่ายคนไข้ให้หมอท่านอื่นดูได้หรือไม่ เพราะบางครั้งหมอที่เป็นเจ้าของไข้นั้นอาจจำเป็นต้องมีการนำภาพคนไข้ เพื่อปรึกษากับหมอท่านอื่น ตัวอย่างเช่น กรณีคนไข้มารักษาสิว เมื่อทำการรักษาแล้วหากพบว่าบริเวณที่รักษามีปัญหาขึ้นมา กรณีเช่นนี้หากเป็นไปเพื่อการรักษาและติดตามอาการก็สามารถทำได้ แต่ต้องมีการแจ้งให้เจ้าของข้อมูลทราบถึงความจำเป็นดังกล่าว โดยอาจจะสื่อสารผ่านตัวประกาศความเป็นส่วนตัวได้เช่นกัน นอกจากนี้แล้วนั้นหมอที่เป็นเจ้าของคนไข้ต้องมีความระมัดระวังในการเผยแพร่รูปถ่ายคนไข้ด้วย แม้จะมีการแจ้งเจ้าของข้อมูลส่วนบุคคลหรือคนไข้แล้วก็ตาม โดยหมอที่เป็นเจ้าของไข้นั้น ควรมีความระมัดระวังในการที่จะไม่เผยแพร่ภาพถ่ายคนไข้ดังกล่าวไปสู่หมอ รวมถึงบุคลกรทางการแพทย์ที่ไม่ได้มีความเกี่ยวข้องกับคนไข้ให้รับทราบ นอกจากนี้ช่องทางการเผยแพร่ข้อมูลก็เป็นสิ่งหนึ่งที่ควรจะต้องมีความระมัดระวังอย่างยิ่ง เนื่องจากในปัจจุบันนั้นวิทยาการด้านการสื่อสารสามารถส่งต่อข้อมูลดิจิทัลได้อย่างรวดเร็วและสะดวกสบายยิ่งขึ้น ไม่ว่าจะมาจากช่องทางอีเมล Messenger เป็นต้น ทั้งนี้เมื่อมีการส่งข้อมูลรูปถ่ายคนไข้ไป จำต้องมีคำนึงถึงความปลอดภัยด้วย ตัวอย่าง ไม่ควรส่งรูปถ่ายคนไข้ผ่านช่องทางการสื่อสารสาธารณะ เช่น Line เป็นต้น หรือหากจำเป็นต้องมีการส่งจริง ๆก็ควรมีมาตรการในการป้องกันการเข้าถึงด้วยตัวอย่างเช่น อาจจะมีการส่งข้อมูลโดยมีการเข้ารหัส โดยส่งรหัสดังกล่าวไปให้ปลายทางรับทราบพียบท่านเดียวเท่านั้น เพื่อให้มั่นใจได้ว่าข้อมูลดังกล่าวถึงมือผู้รับจริง และมีเพียงแต่ผุ้รับรหัสเท่านั้นที่จะสามารถเปิดดูข้อมูลที่เข้ารหัสไว้ได้ โดยภาพรวมนั้นสถานพยาบาลมีกิจกรรมหลาย ๆกิจกรรมที่มีการเข้าถึงข้อมูลส่วนบุคคลที่มี่ความอ่อนไหว เช่น กิจกรรมการนำภาพถ่ายคนไข้มาใช้เพื่อติดตามผลการรักษาคนไข้ ทั้งนี้สามรถทำได้แต่จำเป็นต้องมีแนวทางหรือกระบวนการบางอย่างมาเป็นมาตรฐานในการส่งต่อข้อมูล นอกจากจะเพื่อความปลอดภัยของคนไข้
จากบทความครั้งที่แล้ว เรื่อง Hotel reservation ไม่เกี่ยวกับ PDPA จริงหรือ ? ที่ได้มีการกล่าวถึงกระบวนการการจองที่พักในหลายรูปแบบ เช่น เว็บไซต์ เอเย่น walk-in ในวันนี้เราจะมากล่าวถึงกระบวนการที่ต่อเนื่องกันคือ กระบวนการการรับส่งจากสนามบินหรือสถานที่ต่างๆ ไปยังโรงแรม ในบางกรณีผู้เข้าพักบางท่านอาจมีความต้องการใช้บริการรถรับส่งเพื่อให้รับจากสนามบินมายังโรงแรมเพื่อความสะดวกของผู้เข้าพัก รูปแบบการรับส่งที่สนามบินโดยทั่วไปสามารถแบ่งออกได้เป็น 2 รูปแบบ ได้แก่ Inhouse limousine คือ กรณีที่โรงแรมมีบริการรับส่งด้วยตัวเอง Outsource limousine คือ กรณีที่โรงแรมมีการจ้างบริษัทรับส่งภายนอก ให้ดำเนินการรับส่งผู้เข้าพักแทนโรงแรม ในกรณีที่โรงแรมมีบริการรับส่งด้วยตัวเอง (Inhouse limousine)  โดยทั่วไปข้อมูลของผู้เข้าพักจะถูกโรงแรมเก็บมาแล้วจากขั้นตอนการจองห้องพัก แต่อาจมีการนำข้อมูลดังกล่าวมาใช้เพื่อเป็นการยืนยันตัวผู้เข้าพักอีกครั้ง การนำข้อมูลมาใช้ในกระบวนการนี้ โรงแรมต้องมีการระบุวัตถุประสงค์นี้เข้าไปในประกาศความเป็นส่วนตัวของผู้เข้าพัก (Privacy notice) และแจ้งให้ผู้เข้าพักทราบในขั้นตอนการรับจองห้องพัก หรือจะแจ้งอีกครั้งเพื่อเป็นการแจ้งย้ำให้ผู้เข้าพักทราบก็ย่อมทำได้ นอกจากนี้ การที่โรงแรมนำข้อมูลมาใช้ประมวลผลในกระบวนการนี้สามารถใช้ฐานสัญญา ตามมาตรา 24(3) ในการจัดเก็บข้อมูลส่วนบุคคลได้ เนื่องจากเป็นการจำเป็นเพื่อใช้ในการดำเนินการตามคำขอก่อนการเข้าทำสัญญาใช้บริการ ในกรณีที่โรงแรมมีการจ้างบริษัทรับส่งภายนอก ให้ดำเนินการรับส่งผู้เข้าพักแทนโรงแรม หรือ Outsource limousine ทางโรงแรมอาจจะมีการส่งรายชื่อของผู้ที่จะเข้าพักให้กับบริษัท Outsource limousine ซึ่งเป็นนิติบุคคลภายนอก เช่น ข้อมูล ชื่อ นามสกุล รายละเอียดการเดินทางและการเข้าพัก เป็นต้น การที่โรงแรมมีการจ้างบริษัทภายนอกให้ดำเนินการด้านการรับส่ง บริษัทรับส่งนั้นทำตามภายในนามหรือภายใต้คำสั่งโรงแรมนั้น บริษัท Outsource limousine จึงมีสถานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ซึ่งตามมาตรา 40 วรรค 2 กำหนดให้ผู้ควบคุมข้อมูลมีหน้าที่ต้องจัดให้มีข้อตกลงระหว่างกัน เพื่อควบคุมการดำเนินการตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล ดังนั้น ระหว่าง โรงแรมกับบริษัท Outsource limousine  ควรมีการทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement : DPA)  ทั้งนี้เพื่อช่วยให้คู่สัญญาซึ่งเป็นผู้ประมวลผล ทราบถึงบทบาทและหน้าที่ของตนเองเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล การกำหนดวัตถุประสงค์ในการเปิดเผยข้อมูลส่วนบุคคล การกำหนดมาตรฐานในการแบ่งปันข้อมูลส่วนบุคคลและขอบเขตในการประมวลผลข้อมูลส่วนบุคคล โดยรายละเอียดของข้อตกลงการแลกเปลี่ยนข้อมูลส่วนบุคคล
thThai

ลงทะเบียน

เข้าสู่ระบบ