หลักเกณฑ์และแนวทางปฏิบัติในการบริหารจัดการข้อมูลส่วนบุคคลในองค์กรภาคเอกชน ตอนที่ 8: นโยบายเกี่ยวกับการใช้และเปิดเผยข้อมูลส่วนบุคคล และนโยบายการเก็บรักษา แก้ไข และโอนข้อมูลส่วนบุคคล

แชร์

อ่าน

ครั้ง

โดย : Arthit Sriboonrueng

หลักเกณฑ์และแนวทางปฏิบัติในการบริหารจัดการข้อมูลส่วนบุคคลในองค์กรภาคเอกชน ตอนที่ 8: นโยบายเกี่ยวกับการใช้และเปิดเผยข้อมูลส่วนบุคคล และนโยบายการเก็บรักษา แก้ไข และโอนข้อมูลส่วนบุคคล

แชร์

อ่าน

ครั้ง

โดย : Arthit Sriboonrueng

Guideline โดย อ.เธียรชัย ณ นคร ประธานกรรมการ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

 

ย้อนอ่าน: แนะนำ 3 หลักเกณฑ์และแนวทางการจัดการข้อมูลส่วนบุคคล

  1. หลักเกณฑ์และแนวทางปฏิบัติในการบริหารจัดการข้อมูลส่วนบุคคลสำหรับผู้บริหารองค์กร

1.1 การเก็บรวบรวม การเก็บรักษา และการประมวลผลข้อมูล

1.2 การใช้และเปิดเผยข้อมูล

1.3 คุณภาพของข้อมูล

1.4 การรักษาความปลอดภัยของข้อมูล

1.5 ความโปร่งใส

1.6 การเข้าถึงข้อมูลและการแก้ไขข้อมูล

1.7 การปกปิดตัวตน

1.8 การส่งหรือโอนข้อมูลส่วนบุคคลไปยังประเทศอื่น

1.9 ความรับผิดชอบขององค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูล

  1. หลักเกณฑ์และแนวทางการดำเนินการในเชิงนโยบายที่ต้องประกาศให้สาธารณชนได้ทราบ

2.1 แนวนโยบายเกี่ยวกับการเก็บรวบรวม การเก็บรักษาและการประมวลผลข้อมูลส่วนบุคคล

 

2.2 แนวนโยบายเกี่ยวกับการใช้และการเปิดเผยข้อมูลส่วนบุคคล

ควรมีหลักการที่สอดคล้องกับมาตรฐานสากล ดังนี้

1) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลส่วนบุคคลหรือข้อมูลที่เกี่ยวข้องกับบุคคลจะใช้หรือเปิดเผยข้อมูลส่วนบุคคลเพียงเท่าที่เป็นไปตามวัตถุประสงค์ของการจัดเก็บ

2) ในกรณีที่องค์กรธุรกิจหรือหน่วยงานเอกชนต้องการใช้หรือเปิดเผยข้อมูลนอกเหนือไปจากวัตถุประสงค์ของการจัดเก็บเดิม องค์กรธุรกิจหรือหน่วยงานเอกชนดังกล่าวจะแจ้งให้เจ้าของข้อมูลทราบและขอความยินยอมจากเจ้าของข้อมูลก่อน เว้นแต่

(1) วัตถุประสงค์ในการใช้หรือเปิดเผยเป็นวัตถุประสงค์ที่เกี่ยวเนื่องหรือมีความสัมพันธ์กับวัตถุประสงค์ของการจัดเก็บเดิม และบุคคลผู้เป็นเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูลสามารถที่จะคาดการณ์ได้อย่างมีเหตุมีผลว่าองค์กรธุรกิจหรือหน่วยงานเอกชนนั้นจะใช้หรือเปิดเผยข้อมูลตามวัตถุประสงค์อื่นที่เกี่ยวเนื่องกับวัตถุประสงค์ที่จัดเก็บข้อมูลเดิม

(2) ในกรณีที่องค์กรธุรกิจหรือหน่วยงานเอกชนได้ใช้ข้อมูลเพื่อประโยชน์เกี่ยวกับการตลาดแบบตรง ซึ่งในทางปฏิบัติเป็นการยากที่องค์กรธุรกิจหรือหน่วยงานเอกชนจะขอคำยินยอมจากบุคคลผู้เป็นเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูลก่อนการใช้หรือเปิดเผยข้อมูลนั้น อย่างไรก็ตาม ในทันที่ที่ผู้เป็นเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูลร้องขอปฏิเสธที่จะรับการติดต่อสำหรับการตลาดแบบตรงอีกต่อไป องค์กรธุรกิจหรือหน่วยงานเอกชนนั้นจะต้องยุติการใช้หรือเปิดเผยข้อมูลดังกล่าว

(3) องค์กรธุรกิจหรือหน่วยงานเอกชนนั้นมีเหตุผลอันสมควรเชื่อได้ว่าการใช้หรือเปิดเผยข้อมูลเป็นกรณีที่จำเป็นต่อการป้องกันภยันตรายต่อชีวิต ร่างกายหรือสุขภาพของบุคคลและภยันตรายนั้นเป็นภยันตรายที่ใกล้จะถึง

(4) องค์กรธุรกิจหรือหน่วยงานเอกชนนั้นมีเหตุผลอันควรเชื่อได้ว่ามีการกระทำที่ไม่ชอบด้วยกฎหมายหรือมีการกระทำซึ่งกำลังเกิดขึ้นและเป็นการกระทำที่เกี่ยวข้องกับการกระทำที่ไม่ชอบด้วยกฎหมาย ซึ่งการใช้หรือเปิดเผยข้อมูลส่วนบุคคลหรือข้อมูลเกี่ยวกับบุคคลดังกล่าวเป็นกรณีจำเป็นสำหรับการสืบสวนสอบสวน หรือการใช้หรือเปิดเผยดังกล่าวเป็นส่วนหนึ่งของการจัดทำรายงานที่ต้องจัดทำขึ้นเพื่อประโยชน์ของบุคคลที่เกี่ยวข้องหรือเจ้าหน้าที่ผู้รับผิดชอบที่เกี่ยวข้องกับเรื่องดังกล่าว

(5) เป็นการใช้หรือเปิดเผยข้อมูลตามที่กฎหมายกำหนด หรือเป็นการใช้หรือเปิดเผยต่อผู้มีอำนาจตามกฎหมาย

(6) เป็นการใช้หรือเปิดเผยอย่างสมเหตุสมผลและจำเป็นต่อการบังคับใช้กฎหมายที่มีโทษทางอาญา หรือกฎหมายที่เกี่ยวข้องกับการจัดเก็บภาษีอากรของรัฐ

(7) เป็นการใช้หรือเปิดเผยตามที่องค์กรหรือหน่วยงานด้านความมั่นคงร้องขอด้วยเหตุผลที่เกี่ยวข้องกับความมั่นคงของประเทศ

3) หากองค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลจะต้องเปิดเผยข้อมูลส่วนบุคคลก่อนได้รับความยินยอมจากเจ้าของข้อมูลด้วยเหตุดังกล่าวใน 2) ข้างต้น องค์กรธุรกิจหรือหน่วยงานเอกชนจะเปิดเผยข้อมูลเฉพาะที่เกี่ยวข้องกับเจ้าของข้อมูลนั้นโดยตรงเท่านั้น และจะทำเท่าที่จำเป็น และเมื่อเปิดเผยข้อมูลใดแล้วจะแจ้งให้เจ้าของข้อมูลทราบโดยไม่ชักช้า ส่วนผู้ซึ่งได้รับข้อมูลส่วนบุคคลดังกล่าวจะต้องไม่ใช้หรือเปิดเผยข้อมูลนั้นเพื่อวัตถุประสงค์อย่างอื่นนอกเหนือจากที่ได้แจ้งความประสงค์ไว้แล้ว

4) ในกรณีที่เอกสารฉบับหนึ่งฉบับใดมีข้อมูลเกี่ยวกับบุคคลของบุคคลตั้งแต่สองคนขึ้นไป ห้ามมิให้องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลปฏิเสธการเข้าถึงข้อมูลดังกล่าว หากองค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลสามารถที่จะปกปิดข้อมูลของบุคคลอื่นที่ไม่เกี่ยวข้องกับบุคคลผู้ขอข้อมูลได้ โดยการปิดบังชื่อ นามสกุล เลขประจำตัวประชาชน หรือสัญลักษณ์อื่นใดที่สามารถระบุตัวบุคคลอื่นนั้นได้

 

2.3 แนวนโยบายเกี่ยวกับการเก็บรักษา การแก้ไขและการโอนข้อมูลส่วนบุคคล

ควรมีหลักการที่สอดคล้องกับมาตรฐานสากล ดังนี้

1) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลจะจัดเก็บรักษาข้อมูลไว้เพียงเท่าที่จำเป็นแก่การทำให้บรรลุวัตถุประสงค์ตามที่ได้แจ้งต่อเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูลไว้แล้ว เว้นแต่บุคคลที่เกี่ยวข้องกับข้อมูลหรือบุคคลผู้เป็นเจ้าของข้อมูลได้ให้ความยินยอมอย่างชัดแจ้งว่าให้เก็บรักษาข้อมูลนั้นเกินกว่าระยะเวลาตามที่กำหนดไว้ในนโยบายดังกล่าว หรือเว้นแต่มีเหตุจำเป็นที่กำหนดหน้าที่ให้องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลต้องเก็บรักษาข้อมูลเกินกว่าระยะเวลาที่กำหนด หรือมีเหตุจำเป็นอื่นใดที่องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลต้องเก็บรักษาข้อมูลเกินกว่าระยะเวลาที่กำหนด และองค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลจะลบหรือทำลายข้อมูลดังกล่าวเมื่อพ้นระยะเวลาที่กำหนดหรือหมดความจำเป็นในการเก็บรวบรวมหรือเจ้าของข้อมูลเพิกถอนความยินยอม ทั้งนี้ องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลจะต้องดำเนินการด้วยความระมัดระวังและรอบคอบเพื่อให้เกิดความแน่ใจว่าได้มีการลบหรือทำลายข้อมูลส่วนบุคคลหรือข้อมูลที่เกี่ยวข้องกับบุคคล หรือทำให้ข้อมูลดังกล่าวเป็นข้อมูลที่ไม่สามารถระบุตัวตนของบุคคลได้อย่างถาวร

2) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลจะดำเนินการตามขั้นตอนที่เหมาะสมเพื่อทำให้เกิดความแน่ใจว่าข้อมูลส่วนบุคคลหรือข้อมูลเกี่ยวกับบุคคลที่จัดเก็บ ใช้หรือเปิดเผย เป็นข้อมูลที่มีความถูกต้อง ครบถ้วนสมบูรณ์และเป็นปัจจุบัน สัมพันธ์กับวัตถุประสงค์ของการจัดเก็บ และไม่นอกเหนือวัตถุประสงค์ที่กำหนด

3) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลจะดำเนินการตามขั้นตอนที่เหมาะสม เพื่อป้องกันมิให้มีการเข้าถึงข้อมูลโดยไม่มีอำนาจหรือไม่ได้รับอนุญาต หรือป้องกันมิให้มีการแก้ไขเปลี่ยนแปลงข้อมูลโดยไม่ชอบ รวมทั้งจะดำเนินการป้องกันมิให้ข้อมูลเกิดการสูญหาย ใช้หรือเปิดเผยข้อมูลโดยมิชอบ

4) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลจะคุ้มครองรักษาข้อมูลส่วนบุคคลตลอดเวลาด้วยเทคนิคและการวางระบบรักษาความปลอดภัยที่เหมาะสมเพื่อป้องกันข้อมูลสูญหาย หรือมิให้ผู้ใดนำไปใช้ในทางที่ผิดหรือโดยไม่สมควร หรือทำลายหรือเปลี่ยนแปลงแก้ไขข้อมูล หรือเพื่อป้องกันมิให้ผู้ที่ไม่ได้รับอนุญาต เข้าถึงข้อมูลหรือเปิดเผยข้อมูล

5) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลอาจส่งหรือโอนข้อมูลส่วนบุคคลที่อยู่ในความครอบครองหรือควบคุมดูแลให้แก่บุคคลอื่นได้ หากเจ้าของข้อมูลให้ความยินยอม เว้นแต่กรณีจำเป็นเร่งด่วนเกี่ยวกับประโยชน์ของส่วนรวม หรือกรณีที่อาจก่อให้เกิดความเสียหายแก่ชีวิต ร่างกายหรืออนามัยของบุคคล องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลอาจส่งหรือโอนข้อมูลส่วนบุคคลดังกล่าวไปก่อนได้ แต่จะแจ้งให้เจ้าของข้อมูลทราบโดยไม่ชักช้า

6) ในกรณีที่องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลได้ว่าจ้างหรือมอบหมายให้บุคคลที่สามเป็นผู้ดำเนินการเกี่ยวกับระบบการบริหารงานบุคคลขององค์กรไม่ว่าทั้งหมดหรือบางส่วน องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลจะดำเนินการตามขั้นตอนที่เหมาะสมเพื่อให้เกิดความแน่ใจว่าบุคคลที่สามซึ่งได้รับมอบหมายให้ดำเนินการดังกล่าว ได้ตระหนักถึงความจำเป็นที่ต้องปฏิบัติตามมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคล

7) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลอาจส่งหรือโอนข้อมูลส่วนบุคคลหรือข้อมูลที่เกี่ยวข้องกับบุคลไปยังประเทศอื่นได้ หาก

(1) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลเชื่อโดยปราศจากข้อสงสัยว่าผู้รับข้อมูลอยู่ภายใต้บังคับของกฎหมาย ข้อตกลงหรือข้อสัญญาซึ่งยึดถือหลักการคุ้มครองข้อมูลส่วนบุคคลตามแนวทางที่กฎหมายกำหนดและมีมาตรฐานในการให้ความคุ้มครองข้อมูลส่วนบุคคลในสาระสำคัญไม่ต่ำกว่าบทบัญญัติแห่งกฎหมายภายในประเทศ

(2) บุคคลผู้เป็นเจ้าของข้อมูลหรือที่เกี่ยวข้องกับข้อมูลได้ให้ความยินยอมในการส่งข้อมูลนั้น

(3) การส่งข้อมูลไปยังประเทศอื่นดังกล่าวเป็นกรณีที่จำเป็นต่อการปฏิบัติตามสัญญาระหว่างบุคคลผู้เป็นเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูลกับองค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูล หรือเป็นเรื่องที่จำเป็นต่อการดำเนินการก่อนทำสัญญาตามคำร้องขอของบุคคลดังกล่าวนั้น

(4) การส่งข้อมูลไปยังประเทศอื่นเป็นความจำเป็นต่อการดำเนินการเพื่อให้บรรลุวัตถุประสงค์ของสัญญาระหว่างองค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลกับบุคคลที่สาม เพื่อประโยชน์ของบุคคลผู้เป็นเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูล

(5) การส่งข้อมูลไปยังประเทศอื่นเป็นไปเพื่อประโยชน์ของบุคคลผู้เป็นเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูล และ

(ก) เป็นการยากในทางปฏิบัติที่จะได้รับความยินยอมของบุคคลผู้เป็นเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูล และ

(ข) เป็นที่เชื่อได้ว่าในทางปฏิบัติ บุคคลผู้เป็นเจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูลจะให้ความยินยอมในการส่งข้อมูลนั้น

(6) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลจะดำเนินการเพื่อให้เกิดความแน่ใจว่าข้อมูลที่จัดส่ง จะไม่ถูกเก็บรวบรวม เก็บรักษา ใช้หรือเปิดเผยโดยผู้รับข้อมูลในลักษณะที่ไม่สอดคล้องกับหลักการคุ้มครองข้อมูลส่วนบุคคลหรือข้อมูลที่เกี่ยวกับบุคคลที่ใช้บังคับอยู่ในประเทศ ในขณะที่มีการส่งข้อมูล

 

ติดตามตอนต่อไปได้ที่ > หลักเกณฑ์และแนวทางการจัดการฯ ตอนที่ 9

บทความที่เกี่ยวข้อง

กว่า 6 ปีที่ผ่านมา ประเทศไทยมีข่าวการหลุดรั่วของข้อมูลส่วนบุคคลเป็นจำนวนมาก ทั้งจากการกระทำของแฮกเกอร์ที่เข้ามาเจาะระบบ ทั้งจากการป้องกันการหลุดรั่วของข้อมูลส่วนบุคคลที่หละหลวม PDPA Thailand และวันนี้เป็นวันครบรอบ 1 นับจากวันที่ 1 มิถุนายน 2565 ที่กฎหมาย PDPA มีผลบังคับใช้เต็มรูปแบบ PDPA Thailand จึงรวบรวมเหตุการณ์สำคัญ ๆ ที่เกิดขึ้นมาตั้งแต่ปี พ.ศ.2561 จนถึง พ.ศ.2566 มาให้ดูกัน     เมษายน 2561 ข้อมูลลูกค้า True Move H หลุดรั่ว ฐานข้อมูลลูกค้า Truemove H ที่สมัครซื้อซิมพร้อมมือถือผ่าน iTruemart หลุดรั่วจำนวน 64,000 ราย ที่มา https://www.beartai.com/news/it-thai-news/233905   กันยายน 2563 โรงพยาบาลสระบุรี ถูกแรนซัมแวร์โจมตี “โรงพยาบาลสระบุรี” ถูกไวรัสแรนซัมแวร์ แฮกฐานข้อมูลระบบบริการผู้ป่วย ทำให้ไม่สามารถสืบค้นข้อมูลประวัติเก่าหรือให้บริการออนไลน์ได้ ที่มา https://www.sanook.com/news/8248818/   กุมภาพันธ์ 2564 ที่ว่าการอำเภอถลาง ใช้กระดาษรียูส ด้านหลังเป็นใบสำเนามรณบัตร สาวจดทะเบียนสมรส ได้ใบเสร็จพ่วงมรณบัตร สาเหตุจากการใช้กระดาษรียูสในการออกใบเสร็จ แต่เคสนี้เจ้าหน้าที่เผลอนำใบสำเนามรณบัตรมาใช้ ที่มา https://www.thairath.co.th/news/local/south/2543643   สิงหาคม 2564 Bangkok Airways ถูกแรนซัมแวร์โจมตี สายการบิน Bangkok Airways ถูกแรนซัมแวร์โจมตี คนร้ายลอบขโมยข้อมูลลูกค้าออกไปได้กว่า 100GB ประกอบด้วย ชื่อ-นามสกุล, เพศ, สัญชาติ, หมายเลขโทรศัพท์, ที่อยู่ และอีเมล รวมถึงข้อมูลอื่นๆ เช่น
เนื่องจากปัจจุบันเทคโนโลยีมีความก้าวไกลไปมากทำให้การดำเนินการต่าง ๆเป็นไปอย่างสะดวกมากขึ้น ตั้งแต่การเดินทางรวมถึงกระบวนการทำงานต่าง ๆ ซึ่งหนึ่งในองค์กรที่มีการนำวิทยาการนำมาใช้ ได้แก่ สถานพยาบาลนั่นเอง ซึ่งปัจจุบันนั้นมีนำเทคโนโลยีมาใช้เพื่อความสะดวกสบาย เช่น ใช้หุ่นยนต์ในการส่งแฟ้มเอกสารระหว่างแผนก หรือการใช้ระบบต่างเพื่อรวบรวมข้อมูลคนไข้ไว้ที่เดียวกันเพื่อสะดวกต่อการค้นหา ซึ่งกระบวนการหนึ่งที่มีการใช้งานได้แก่ การส่งต่อรูปถ่าย ซึ่งปัจจุบันนั้นวัตถุประสงค์หลัก ๆในการส่งรูปถ่ายจะเป็นไปเพื่อประโยชน์ทางการรักษาหรือติดตามอาการของผู้ป่วย ทั้งนี้ มันมีข้อสังเกตว่า ข้อมูลรูปถ่ายคนไข้เป็นข้อมูลอ่อนไหวหรือไม่ และหากจำเป็นต้องมีการใข้ข้อมูลภาพถ่ายจะต้องใช้อย่างไรเพื่อให้สอดคล้องตามหลักของ PDPA ข้อมูลรูปถ่ายคนไข้ถือว่าเป็นข้อมูลอ่อนไหวหรือไม่ จากที่เราทราบกับข้อมูลอ่อนไหว ได้แก่ข้อมูลเกี่ยวกับ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ เป็นต้น ซึ่งข้อมูลภาพถ่ายคนไข้นั้นถือได้ว่าเป็นข้อมูลสุขภาพ ตามระเบียบกระทรวงสาธารณสุขว่าด้วยการคุ้มครองและจัดการข้อมูลด้านสุขภาพของบุคคล พ.ศ. 2561 ที่นี้เมื่อทราบว่าเป็นข้อมูลส่วนบุคคลที่อ่อนไหว จึงจำเป็นต้องมีแนวหรือหลักการเพื่อให้การใช้ข้อมูลรูปถ่ายเป็นไปตามหลักของ PDPA หากจำเป็นต้องใช้ ต้องทำอย่างไร โดยหลักการของการคุ้มครองข้อมูลส่วนบุคคล การใช้ข้อมูลส่วนบุคคลควรใช้ข้อมูลตราบเท่าที่จำเป็น เช่นกัน การใช้ข้อมูลรูปถ่ายคนไข้ก็ควรจะต้องมีการใช้ข้อมูลเท่าที่จำเป็นเช่นกัน โดยเมื่อจำเป็นต้องมีการเก็บมูล จำเป็นต้องมีการขอความยินยอมก่อน รวมถึงมีการแจ้งวัตถุประสงค์ในการเก็บข้อมูลภาพถ่ายคนไข้ ซึ่งการแจ้งประกาศนั้นอาจจะมีเป็นการแจ้งเป็นประกาศความเป็นส่วนตัวของ คนไข้หรือลูกค้าตามแต่กรณี ต่อมาในการใช้งานหรือประมวลผลควรใช้เท่าที่จำเป็นซึ่งได้แก่ใช้เพื่อรักษาหรือติดตามอาการเท่านั้น ไม่ควรใช้เพื่อเหตุอื่น ถามว่าการเอารูปถ่ายคนไข้ให้หมอท่านอื่นดูได้หรือไม่ เพราะบางครั้งหมอที่เป็นเจ้าของไข้นั้นอาจจำเป็นต้องมีการนำภาพคนไข้ เพื่อปรึกษากับหมอท่านอื่น ตัวอย่างเช่น กรณีคนไข้มารักษาสิว เมื่อทำการรักษาแล้วหากพบว่าบริเวณที่รักษามีปัญหาขึ้นมา กรณีเช่นนี้หากเป็นไปเพื่อการรักษาและติดตามอาการก็สามารถทำได้ แต่ต้องมีการแจ้งให้เจ้าของข้อมูลทราบถึงความจำเป็นดังกล่าว โดยอาจจะสื่อสารผ่านตัวประกาศความเป็นส่วนตัวได้เช่นกัน นอกจากนี้แล้วนั้นหมอที่เป็นเจ้าของคนไข้ต้องมีความระมัดระวังในการเผยแพร่รูปถ่ายคนไข้ด้วย แม้จะมีการแจ้งเจ้าของข้อมูลส่วนบุคคลหรือคนไข้แล้วก็ตาม โดยหมอที่เป็นเจ้าของไข้นั้น ควรมีความระมัดระวังในการที่จะไม่เผยแพร่ภาพถ่ายคนไข้ดังกล่าวไปสู่หมอ รวมถึงบุคลกรทางการแพทย์ที่ไม่ได้มีความเกี่ยวข้องกับคนไข้ให้รับทราบ นอกจากนี้ช่องทางการเผยแพร่ข้อมูลก็เป็นสิ่งหนึ่งที่ควรจะต้องมีความระมัดระวังอย่างยิ่ง เนื่องจากในปัจจุบันนั้นวิทยาการด้านการสื่อสารสามารถส่งต่อข้อมูลดิจิทัลได้อย่างรวดเร็วและสะดวกสบายยิ่งขึ้น ไม่ว่าจะมาจากช่องทางอีเมล Messenger เป็นต้น ทั้งนี้เมื่อมีการส่งข้อมูลรูปถ่ายคนไข้ไป จำต้องมีคำนึงถึงความปลอดภัยด้วย ตัวอย่าง ไม่ควรส่งรูปถ่ายคนไข้ผ่านช่องทางการสื่อสารสาธารณะ เช่น Line เป็นต้น หรือหากจำเป็นต้องมีการส่งจริง ๆก็ควรมีมาตรการในการป้องกันการเข้าถึงด้วยตัวอย่างเช่น อาจจะมีการส่งข้อมูลโดยมีการเข้ารหัส โดยส่งรหัสดังกล่าวไปให้ปลายทางรับทราบพียบท่านเดียวเท่านั้น เพื่อให้มั่นใจได้ว่าข้อมูลดังกล่าวถึงมือผู้รับจริง และมีเพียงแต่ผุ้รับรหัสเท่านั้นที่จะสามารถเปิดดูข้อมูลที่เข้ารหัสไว้ได้ โดยภาพรวมนั้นสถานพยาบาลมีกิจกรรมหลาย ๆกิจกรรมที่มีการเข้าถึงข้อมูลส่วนบุคคลที่มี่ความอ่อนไหว เช่น กิจกรรมการนำภาพถ่ายคนไข้มาใช้เพื่อติดตามผลการรักษาคนไข้ ทั้งนี้สามรถทำได้แต่จำเป็นต้องมีแนวทางหรือกระบวนการบางอย่างมาเป็นมาตรฐานในการส่งต่อข้อมูล นอกจากจะเพื่อความปลอดภัยของคนไข้
จากบทความครั้งที่แล้ว เรื่อง Hotel reservation ไม่เกี่ยวกับ PDPA จริงหรือ ? ที่ได้มีการกล่าวถึงกระบวนการการจองที่พักในหลายรูปแบบ เช่น เว็บไซต์ เอเย่น walk-in ในวันนี้เราจะมากล่าวถึงกระบวนการที่ต่อเนื่องกันคือ กระบวนการการรับส่งจากสนามบินหรือสถานที่ต่างๆ ไปยังโรงแรม ในบางกรณีผู้เข้าพักบางท่านอาจมีความต้องการใช้บริการรถรับส่งเพื่อให้รับจากสนามบินมายังโรงแรมเพื่อความสะดวกของผู้เข้าพัก รูปแบบการรับส่งที่สนามบินโดยทั่วไปสามารถแบ่งออกได้เป็น 2 รูปแบบ ได้แก่ Inhouse limousine คือ กรณีที่โรงแรมมีบริการรับส่งด้วยตัวเอง Outsource limousine คือ กรณีที่โรงแรมมีการจ้างบริษัทรับส่งภายนอก ให้ดำเนินการรับส่งผู้เข้าพักแทนโรงแรม ในกรณีที่โรงแรมมีบริการรับส่งด้วยตัวเอง (Inhouse limousine)  โดยทั่วไปข้อมูลของผู้เข้าพักจะถูกโรงแรมเก็บมาแล้วจากขั้นตอนการจองห้องพัก แต่อาจมีการนำข้อมูลดังกล่าวมาใช้เพื่อเป็นการยืนยันตัวผู้เข้าพักอีกครั้ง การนำข้อมูลมาใช้ในกระบวนการนี้ โรงแรมต้องมีการระบุวัตถุประสงค์นี้เข้าไปในประกาศความเป็นส่วนตัวของผู้เข้าพัก (Privacy notice) และแจ้งให้ผู้เข้าพักทราบในขั้นตอนการรับจองห้องพัก หรือจะแจ้งอีกครั้งเพื่อเป็นการแจ้งย้ำให้ผู้เข้าพักทราบก็ย่อมทำได้ นอกจากนี้ การที่โรงแรมนำข้อมูลมาใช้ประมวลผลในกระบวนการนี้สามารถใช้ฐานสัญญา ตามมาตรา 24(3) ในการจัดเก็บข้อมูลส่วนบุคคลได้ เนื่องจากเป็นการจำเป็นเพื่อใช้ในการดำเนินการตามคำขอก่อนการเข้าทำสัญญาใช้บริการ ในกรณีที่โรงแรมมีการจ้างบริษัทรับส่งภายนอก ให้ดำเนินการรับส่งผู้เข้าพักแทนโรงแรม หรือ Outsource limousine ทางโรงแรมอาจจะมีการส่งรายชื่อของผู้ที่จะเข้าพักให้กับบริษัท Outsource limousine ซึ่งเป็นนิติบุคคลภายนอก เช่น ข้อมูล ชื่อ นามสกุล รายละเอียดการเดินทางและการเข้าพัก เป็นต้น การที่โรงแรมมีการจ้างบริษัทภายนอกให้ดำเนินการด้านการรับส่ง บริษัทรับส่งนั้นทำตามภายในนามหรือภายใต้คำสั่งโรงแรมนั้น บริษัท Outsource limousine จึงมีสถานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ซึ่งตามมาตรา 40 วรรค 2 กำหนดให้ผู้ควบคุมข้อมูลมีหน้าที่ต้องจัดให้มีข้อตกลงระหว่างกัน เพื่อควบคุมการดำเนินการตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล ดังนั้น ระหว่าง โรงแรมกับบริษัท Outsource limousine  ควรมีการทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement : DPA)  ทั้งนี้เพื่อช่วยให้คู่สัญญาซึ่งเป็นผู้ประมวลผล ทราบถึงบทบาทและหน้าที่ของตนเองเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล การกำหนดวัตถุประสงค์ในการเปิดเผยข้อมูลส่วนบุคคล การกำหนดมาตรฐานในการแบ่งปันข้อมูลส่วนบุคคลและขอบเขตในการประมวลผลข้อมูลส่วนบุคคล โดยรายละเอียดของข้อตกลงการแลกเปลี่ยนข้อมูลส่วนบุคคล
thThai

ลงทะเบียน

เข้าสู่ระบบ