แนะวิธีทำข้อมูลเป็นนิรนาม แนวทางใช้ข้อมูลของธุรกิจภายใต้กฎหมาย PDPA

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

แนะวิธีทำข้อมูลเป็นนิรนาม แนวทางใช้ข้อมูลของธุรกิจภายใต้กฎหมาย PDPA

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

ก่อนอื่นผู้อ่านจะต้องเข้าใจในทิศทางที่ตรงกันก่อนว่า วัตถุประสงค์ใน ‘การประมวลผลข้อมูลส่วนบุคคล’ ไม่ว่าจะเพื่อการค้า การบริการ หรือกิจกรรมใดๆ ก็ตาม สิ่งนั้นก็เพื่อวัตถุประสงค์ที่เฉพาะเจาะจง แต่ย่อมไม่ใช่เป็นการทำความรู้จักบุคคลเหล่านั้นในเชิงลึกเพื่อสานสัมพันธ์ในเชิงครอบครัว คนรัก หรือมิตรสหาย ดังนั้นจึงไม่จำเป็นต้องทราบ ‘ตัวตนที่แท้จริง’ ของบุคคลเหล่านั้นทั้งหมดก็ได้ เพียงแค่ต้องทราบว่า พวกเขาต้องการอะไร ให้ความสำคัญกับสิ่งใด ต้องการเมื่อไหร่ หรือมีแนวโน้มว่าจะปรับเปลี่ยนไปอย่างไร

ขณะที่ทฤษฎีการตลาดเพื่อทำความรู้จักลูกค้าที่เรียกว่า ‘6W1H’  (Who What Where When Why Whom และHow) โดยคำว่า ‘Who’ อาจจะมีความหมายอย่างมากสำหรับการตลาดยุคเก่า แต่ภายให้กฎหมาย PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ซึ่งจะบังคับใช้ในเร็วๆ นี้ อาจจะต้องเปลี่ยนเป็น ‘They’

นั่นเพราะข้อมูลที่สามารถระบุตัวตน ไม่ว่าจะโดยตรงหรือทางอ้อม มีสิทธิที่ได้รับความคุ้มครองตามกฎหมาย และจะต้องขอความยินยอมจากเจ้าของข้อมูล รวมถึงระบุวัตถุประสงค์ในการเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอย่างชัดเจน

จึงเป็นเหตุจำเป็นที่องค์กรธุรกิจจะต้องมีมาตรการในการรักษาความปลอดภัยของข้อมูลเพื่อป้องกันการละเมิด หรือการนำข้อมูลส่วนบุคคลไปใช้ผิดวัตถุประสงค์ ทั้งเจ้าของข้อมูลมีสิทธิในการจะขอให้ระงับ แก้ไข หรือเพิกถอนความยินยอมในการเปิดเผยข้อมูลได้

ข้อมูลส่วนบุคคล จึงไม่ใช่ทรัพย์สินทางธุรกิจอีกต่อไป แต่เป็นเพียงลักษณะการ ‘ยืมใช้’ ด้วยเหตุนี้ ทำการข้อมูลบุคคลในลักษณะ ‘นามแฝง’ (Pseudonymisation) คือการไม่ระบุชื่อบุคคล เช่น การแทนค่าชื่อบุคคลเป็น คุณA หรือคุณB หรือการเข้ารหัสบุคคล ซึ่งผู้ประมวลผลข้อมูลอาจจะไม่ทราบตัวตนที่แท้จริงของบุคคลนั้นๆ เพียงแต่ยังทราบข้อมูลอื่นๆ ที่สามารถเชื่อมโยงข้อมูลในทางอ้อมได้ แต่นั้นก็เท่ากับว่ายังสามารถระบุตัวบุคคลในลักษณะทางอ้อมได้อยู่ดี วิธีการนี้แม้จะปลอดภัยอยู่บ้าง แต่ยังคงมีความเสี่ยงซ่อนอยู่

อีกลักษณะหนึ่ง คือ การทำข้อมูลให้เป็น ‘นิรนาม’ (Anonymization) หมายถึง การใช้วิธีการทางเทคนิคที่จะทำให้ข้อมูลนั้นไม่สามารถระบุตัวบุคคลได้อีกต่อไป และผู้วิเคราะห์ข้อมูลไม่สามารถล่วงรู้ได้ว่า ‘ชุดข้อมูลบุคคล’ ที่กำลังวิเคราะห์อยู่นั้น แท้จริงแล้วมาจากใครบ้าง ตัวตนเจ้าของข้อมูลเป็นใคร นี่จึงเป็นทางเลือกที่เหมาะสมสำหรับองค์กรธุรกิจ ภายใต้กฎหมาย PDPA

Big Data ยุคใหม่ วิเคราะห์ข้อมูลไม่จำเป็นต้องระบุตัวตนเสมอไป

ก่อนนี้เราคงคุ้นเคยกับคำว่า Data Driven หรือการทำธุรกิจที่ขับเคลื่อนโดยข้อมูล ซึ่งเกิดเป็นคำว่า Big Data หรือชุดข้อมูลขนาดใหญ่ที่องค์กรธุรกิจมีการจัดเก็บเพื่อนำมาวิเคราะห์ และประมวลผลอันนำไปสู่การดำเนินกิจกรรมทางธุรกิจที่มีความแม่นยำและรวดเร็วมากยิ่งขึ้น

ในที่นี้ การบังคับใช้กฎหมาย PDPA อาจจะทำให้หลายๆ ธุรกิจเกิดความรู้สึกว่าการใช้ข้อมูลส่วนบุคคล เพื่อกิจกรรมทางการค้าในรูปแบบต่างๆ ถูกจำกัดคุณภาพลงไปมาก หรือเกิดเป็นต้นทุนใหม่ที่เพิ่มขึ้น ซึ่งก็มีส่วนจริงอยู่บ้าง แต่เมื่อมองที่สังคมโลกให้ความสำคัญกับเรื่องความปลอดภัยของข้อมูลส่วนบุคคล กิจกรรมการค้ายุคใหม่จึงต้องปรับเปลี่ยนให้ทันต่อสถานการณ์โลก และสอดคล้องกับเทรนด์ผู้บริโภคยุคใหม่

ด้วยเหตุนี้ การทำข้อมูลให้เป็นนิรนาม (Data Anonymization) ก็อาจจะไม่จำเป็นต้องระบุตัวตนเจ้าของข้อมูลเสมอไป แต่ต้องดูตามวัตถุประสงค์ของการประมวลผล หรือผลลัพธ์ที่องค์กรธุรกิจต้องการ ‘อย่างแท้จริง’ ยกตัวอย่างเช่น การประมวลผลข้อมูลลูกค้าเพื่อค้นหาว่าลูกค้ามีทัศนคติ หรือมุมมองอย่างไรต่อสินค้าที่วางขายในท้องตลาด

ด้วยข้อมูลที่มีการจัดเก็บเป็นกลุ่มตัวอย่างบุคคลจำนวนมาก รูปแบบการจัดเก็บจึงสามารถใช้วิธีการแทนค่าเป็นกลุ่มคน หรือกลุ่มตัวอย่าง ตามพื้นที่ เขต ตำบล หมู่บ้าน ความชอบ กลุ่มย่อย หรือแบ่งตามสถานะทางสังคม อาชีพ รายได้ เงินเดือน รถที่ขับ ฯลฯ

โดยที่ไม่จำเป็นต้องรู้จัก หรือจัดเก็บข้อมูลในเชิงลึกซึ่งเป็นข้อมูลที่สามารถยืนยันตัวตนได้อย่างแม่นยำ หรือข้อมูลส่วนบุคคลประเภทอ่อนไหวที่อาจจะมีโทษต่อธุรกิจในภายหลัง รวมถึงยังมีรูปแบบการทำข้อมูลให้เป็นนิรนามอีกหลากหลายแนวทาง ทั้งก่อนและหลังจากเก็บข้อมูล และบทบัญญัติในกฎหมาย PDPA ที่ระบุว่า องค์กรธุรกิจจะต้องมีการทำบันทึกรายการข้อมูลส่วนบุคคลไว้ด้วย

แนะวิธี ทำข้อมูลส่วนบุคคลให้เป็น ‘นิรนาม’ ทำอย่างไร

  • กฎหมาย PDPA ไม่ได้ระบุถึงวิธีการ หรือเทคนิคเฉพาะที่จะทำให้ข้อมูลส่วนบุคคลเป็นนิรนาม และไม่มีเทคนิคที่ตายตัว หากแต่เน้นย้ำถึงการใช้ข้อมูลอย่างระมัดระวัง เน้นถึงการเก็บข้อมูลส่วนบุคคลตามความจำเป็นในการใช้ เพื่อความปลอดภัยและปกป้องสิทธิของเจ้าของข้อมูล
    ดังนั้น เทคนิคในการนำข้อมูลมาวิเคราะห์ รวมถึงการปกปิดเพื่อไม่ให้ข้อมูลบุคคลดังกล่าว สามารถเชื่อมโยงจนนำไปสู่การระบุตัวบุคคลได้จึงเป็น ‘วิธีการเฉพาะ’ สำหรับแต่ละธุรกิจ โดยสามารถทำได้โดยใช้กระบวนการทางคณิตศาสตร์ อาทิเช่น
    การคละข้อมูล หรือการแทนค่าตัวแปร ปรับเปลี่ยนเป็น ‘ชุดข้อมูล’ แต่ไม่ถึงกับทำให้ข้อมูลเหล่านั้นสูญเสียคุณค่าในการใช้งานไปอย่างเปล่าประโยชน์
  • ลดความละเอียดของการจัดเก็บข้อมูล เพื่อลดความเป็นเฉพาะเจาะจงที่สามารถระบุตัวบุคคล
  • การจัดทำเป็นชุดข้อมูลเฉพาะ เช่น ลูกค้ากลุ่มA กลุ่มบB กลุ่มC โดยที่ไม่จำเป็นต้องเก็บข้อมูลที่สามารถระบุตัวตน แต่เป็นการเก็บข้อมูลในเชิงพฤติกรรม หรือในรูปแบบอื่นๆ ที่ไม่จำเป็นต้องเป็นข้อมูลที่สามารถระบุตัวบุคคลก็ได้

 

ในที่นี้ องค์กรธุรกิจ ยังสามารถนำวิธีการทำข้อมูลบุคคลในลักษณะ ‘นามแฝง’ มาร่วมกับเทคนิคการทำข้อมูลให้เป็นนิรนามก็ได้เช่นกัน ซึ่งอย่างที่กล่าวในข้างต้นว่า วิธีเฉพาะเหล่านี้ขึ้นอยู่กับรูปแบบ และความจำเป็นเฉพาะของแต่ละธุรกิจ หรือกิจกรรมทางการค้า
อย่างไรก็ตาม ยังไม่มีอะไรมารับรองได้ว่า แม้มีการทำข้อมูลเป็นนิรนาม หรือนามแฝงแล้ว ข้อมูลบุคคลดังกล่าวจะไม่สามารถระบุตัวบุคคลได้ เนื่องจากเป็นเพียงวิธีการ หรือแนวทางให้องค์กรธุรกิจสามารถ ‘ลดความเสี่ยง’ ที่อาจจะเกิดขึ้น ดังนั้นกระบวนการเก็บข้อมูลจึงยังต้องเก็บเท่าที่จำเป็นต้องใช้ ใช้อย่างระมัดระวัง และใส่ใจเรื่องความปลอดภัยของข้อมูลเพื่อป้องกันการรั่วไหลที่อาจนำไปสู่การละเมิดข้อมูลส่วนบุคคลได้ ขณะเดียวกัน ต้องไม่ลดคุณค่าของข้อมูลจนสูญเสียคุณประโยชน์ที่แท้จริงไปอย่างน่าเสียดาย

Share :

บทความที่เกี่ยวข้อง

กว่า 6 ปีที่ผ่านมา ประเทศไทยมีข่าวการหลุดรั่วของข้อมูลส่วนบุคคลเป็นจำนวนมาก ทั้งจากการกระทำของแฮกเกอร์ที่เข้ามาเจาะระบบ ทั้งจากการป้องกันการหลุดรั่วของข้อมูลส่วนบุคคลที่หละหลวม PDPA Thailand และวันนี้เป็นวันครบรอบ 1 นับจากวันที่ 1 มิถุนายน 2565 ที่กฎหมาย PDPA มีผลบังคับใช้เต็มรูปแบบ PDPA Thailand จึงรวบรวมเหตุการณ์สำคัญ ๆ ที่เกิดขึ้นมาตั้งแต่ปี พ.ศ.2561 จนถึง พ.ศ.2566 มาให้ดูกัน     เมษายน 2561 ข้อมูลลูกค้า True Move H หลุดรั่ว ฐานข้อมูลลูกค้า Truemove H ที่สมัครซื้อซิมพร้อมมือถือผ่าน iTruemart หลุดรั่วจำนวน 64,000 ราย ที่มา https://www.beartai.com/news/it-thai-news/233905   กันยายน 2563 โรงพยาบาลสระบุรี ถูกแรนซัมแวร์โจมตี “โรงพยาบาลสระบุรี” ถูกไวรัสแรนซัมแวร์ แฮกฐานข้อมูลระบบบริการผู้ป่วย ทำให้ไม่สามารถสืบค้นข้อมูลประวัติเก่าหรือให้บริการออนไลน์ได้ ที่มา https://www.sanook.com/news/8248818/   กุมภาพันธ์ 2564 ที่ว่าการอำเภอถลาง ใช้กระดาษรียูส ด้านหลังเป็นใบสำเนามรณบัตร สาวจดทะเบียนสมรส ได้ใบเสร็จพ่วงมรณบัตร สาเหตุจากการใช้กระดาษรียูสในการออกใบเสร็จ แต่เคสนี้เจ้าหน้าที่เผลอนำใบสำเนามรณบัตรมาใช้ ที่มา https://www.thairath.co.th/news/local/south/2543643   สิงหาคม 2564 Bangkok Airways ถูกแรนซัมแวร์โจมตี สายการบิน Bangkok Airways ถูกแรนซัมแวร์โจมตี คนร้ายลอบขโมยข้อมูลลูกค้าออกไปได้กว่า 100GB ประกอบด้วย ชื่อ-นามสกุล, เพศ, สัญชาติ, หมายเลขโทรศัพท์, ที่อยู่ และอีเมล รวมถึงข้อมูลอื่นๆ เช่น
เนื่องจากปัจจุบันเทคโนโลยีมีความก้าวไกลไปมากทำให้การดำเนินการต่าง ๆเป็นไปอย่างสะดวกมากขึ้น ตั้งแต่การเดินทางรวมถึงกระบวนการทำงานต่าง ๆ ซึ่งหนึ่งในองค์กรที่มีการนำวิทยาการนำมาใช้ ได้แก่ สถานพยาบาลนั่นเอง ซึ่งปัจจุบันนั้นมีนำเทคโนโลยีมาใช้เพื่อความสะดวกสบาย เช่น ใช้หุ่นยนต์ในการส่งแฟ้มเอกสารระหว่างแผนก หรือการใช้ระบบต่างเพื่อรวบรวมข้อมูลคนไข้ไว้ที่เดียวกันเพื่อสะดวกต่อการค้นหา ซึ่งกระบวนการหนึ่งที่มีการใช้งานได้แก่ การส่งต่อรูปถ่าย ซึ่งปัจจุบันนั้นวัตถุประสงค์หลัก ๆในการส่งรูปถ่ายจะเป็นไปเพื่อประโยชน์ทางการรักษาหรือติดตามอาการของผู้ป่วย ทั้งนี้ มันมีข้อสังเกตว่า ข้อมูลรูปถ่ายคนไข้เป็นข้อมูลอ่อนไหวหรือไม่ และหากจำเป็นต้องมีการใข้ข้อมูลภาพถ่ายจะต้องใช้อย่างไรเพื่อให้สอดคล้องตามหลักของ PDPA ข้อมูลรูปถ่ายคนไข้ถือว่าเป็นข้อมูลอ่อนไหวหรือไม่ จากที่เราทราบกับข้อมูลอ่อนไหว ได้แก่ข้อมูลเกี่ยวกับ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ เป็นต้น ซึ่งข้อมูลภาพถ่ายคนไข้นั้นถือได้ว่าเป็นข้อมูลสุขภาพ ตามระเบียบกระทรวงสาธารณสุขว่าด้วยการคุ้มครองและจัดการข้อมูลด้านสุขภาพของบุคคล พ.ศ. 2561 ที่นี้เมื่อทราบว่าเป็นข้อมูลส่วนบุคคลที่อ่อนไหว จึงจำเป็นต้องมีแนวหรือหลักการเพื่อให้การใช้ข้อมูลรูปถ่ายเป็นไปตามหลักของ PDPA หากจำเป็นต้องใช้ ต้องทำอย่างไร โดยหลักการของการคุ้มครองข้อมูลส่วนบุคคล การใช้ข้อมูลส่วนบุคคลควรใช้ข้อมูลตราบเท่าที่จำเป็น เช่นกัน การใช้ข้อมูลรูปถ่ายคนไข้ก็ควรจะต้องมีการใช้ข้อมูลเท่าที่จำเป็นเช่นกัน โดยเมื่อจำเป็นต้องมีการเก็บมูล จำเป็นต้องมีการขอความยินยอมก่อน รวมถึงมีการแจ้งวัตถุประสงค์ในการเก็บข้อมูลภาพถ่ายคนไข้ ซึ่งการแจ้งประกาศนั้นอาจจะมีเป็นการแจ้งเป็นประกาศความเป็นส่วนตัวของ คนไข้หรือลูกค้าตามแต่กรณี ต่อมาในการใช้งานหรือประมวลผลควรใช้เท่าที่จำเป็นซึ่งได้แก่ใช้เพื่อรักษาหรือติดตามอาการเท่านั้น ไม่ควรใช้เพื่อเหตุอื่น ถามว่าการเอารูปถ่ายคนไข้ให้หมอท่านอื่นดูได้หรือไม่ เพราะบางครั้งหมอที่เป็นเจ้าของไข้นั้นอาจจำเป็นต้องมีการนำภาพคนไข้ เพื่อปรึกษากับหมอท่านอื่น ตัวอย่างเช่น กรณีคนไข้มารักษาสิว เมื่อทำการรักษาแล้วหากพบว่าบริเวณที่รักษามีปัญหาขึ้นมา กรณีเช่นนี้หากเป็นไปเพื่อการรักษาและติดตามอาการก็สามารถทำได้ แต่ต้องมีการแจ้งให้เจ้าของข้อมูลทราบถึงความจำเป็นดังกล่าว โดยอาจจะสื่อสารผ่านตัวประกาศความเป็นส่วนตัวได้เช่นกัน นอกจากนี้แล้วนั้นหมอที่เป็นเจ้าของคนไข้ต้องมีความระมัดระวังในการเผยแพร่รูปถ่ายคนไข้ด้วย แม้จะมีการแจ้งเจ้าของข้อมูลส่วนบุคคลหรือคนไข้แล้วก็ตาม โดยหมอที่เป็นเจ้าของไข้นั้น ควรมีความระมัดระวังในการที่จะไม่เผยแพร่ภาพถ่ายคนไข้ดังกล่าวไปสู่หมอ รวมถึงบุคลกรทางการแพทย์ที่ไม่ได้มีความเกี่ยวข้องกับคนไข้ให้รับทราบ นอกจากนี้ช่องทางการเผยแพร่ข้อมูลก็เป็นสิ่งหนึ่งที่ควรจะต้องมีความระมัดระวังอย่างยิ่ง เนื่องจากในปัจจุบันนั้นวิทยาการด้านการสื่อสารสามารถส่งต่อข้อมูลดิจิทัลได้อย่างรวดเร็วและสะดวกสบายยิ่งขึ้น ไม่ว่าจะมาจากช่องทางอีเมล Messenger เป็นต้น ทั้งนี้เมื่อมีการส่งข้อมูลรูปถ่ายคนไข้ไป จำต้องมีคำนึงถึงความปลอดภัยด้วย ตัวอย่าง ไม่ควรส่งรูปถ่ายคนไข้ผ่านช่องทางการสื่อสารสาธารณะ เช่น Line เป็นต้น หรือหากจำเป็นต้องมีการส่งจริง ๆก็ควรมีมาตรการในการป้องกันการเข้าถึงด้วยตัวอย่างเช่น อาจจะมีการส่งข้อมูลโดยมีการเข้ารหัส โดยส่งรหัสดังกล่าวไปให้ปลายทางรับทราบพียบท่านเดียวเท่านั้น เพื่อให้มั่นใจได้ว่าข้อมูลดังกล่าวถึงมือผู้รับจริง และมีเพียงแต่ผุ้รับรหัสเท่านั้นที่จะสามารถเปิดดูข้อมูลที่เข้ารหัสไว้ได้ โดยภาพรวมนั้นสถานพยาบาลมีกิจกรรมหลาย ๆกิจกรรมที่มีการเข้าถึงข้อมูลส่วนบุคคลที่มี่ความอ่อนไหว เช่น กิจกรรมการนำภาพถ่ายคนไข้มาใช้เพื่อติดตามผลการรักษาคนไข้ ทั้งนี้สามรถทำได้แต่จำเป็นต้องมีแนวทางหรือกระบวนการบางอย่างมาเป็นมาตรฐานในการส่งต่อข้อมูล นอกจากจะเพื่อความปลอดภัยของคนไข้
จากบทความครั้งที่แล้ว เรื่อง Hotel reservation ไม่เกี่ยวกับ PDPA จริงหรือ ? ที่ได้มีการกล่าวถึงกระบวนการการจองที่พักในหลายรูปแบบ เช่น เว็บไซต์ เอเย่น walk-in ในวันนี้เราจะมากล่าวถึงกระบวนการที่ต่อเนื่องกันคือ กระบวนการการรับส่งจากสนามบินหรือสถานที่ต่างๆ ไปยังโรงแรม ในบางกรณีผู้เข้าพักบางท่านอาจมีความต้องการใช้บริการรถรับส่งเพื่อให้รับจากสนามบินมายังโรงแรมเพื่อความสะดวกของผู้เข้าพัก รูปแบบการรับส่งที่สนามบินโดยทั่วไปสามารถแบ่งออกได้เป็น 2 รูปแบบ ได้แก่ Inhouse limousine คือ กรณีที่โรงแรมมีบริการรับส่งด้วยตัวเอง Outsource limousine คือ กรณีที่โรงแรมมีการจ้างบริษัทรับส่งภายนอก ให้ดำเนินการรับส่งผู้เข้าพักแทนโรงแรม ในกรณีที่โรงแรมมีบริการรับส่งด้วยตัวเอง (Inhouse limousine)  โดยทั่วไปข้อมูลของผู้เข้าพักจะถูกโรงแรมเก็บมาแล้วจากขั้นตอนการจองห้องพัก แต่อาจมีการนำข้อมูลดังกล่าวมาใช้เพื่อเป็นการยืนยันตัวผู้เข้าพักอีกครั้ง การนำข้อมูลมาใช้ในกระบวนการนี้ โรงแรมต้องมีการระบุวัตถุประสงค์นี้เข้าไปในประกาศความเป็นส่วนตัวของผู้เข้าพัก (Privacy notice) และแจ้งให้ผู้เข้าพักทราบในขั้นตอนการรับจองห้องพัก หรือจะแจ้งอีกครั้งเพื่อเป็นการแจ้งย้ำให้ผู้เข้าพักทราบก็ย่อมทำได้ นอกจากนี้ การที่โรงแรมนำข้อมูลมาใช้ประมวลผลในกระบวนการนี้สามารถใช้ฐานสัญญา ตามมาตรา 24(3) ในการจัดเก็บข้อมูลส่วนบุคคลได้ เนื่องจากเป็นการจำเป็นเพื่อใช้ในการดำเนินการตามคำขอก่อนการเข้าทำสัญญาใช้บริการ ในกรณีที่โรงแรมมีการจ้างบริษัทรับส่งภายนอก ให้ดำเนินการรับส่งผู้เข้าพักแทนโรงแรม หรือ Outsource limousine ทางโรงแรมอาจจะมีการส่งรายชื่อของผู้ที่จะเข้าพักให้กับบริษัท Outsource limousine ซึ่งเป็นนิติบุคคลภายนอก เช่น ข้อมูล ชื่อ นามสกุล รายละเอียดการเดินทางและการเข้าพัก เป็นต้น การที่โรงแรมมีการจ้างบริษัทภายนอกให้ดำเนินการด้านการรับส่ง บริษัทรับส่งนั้นทำตามภายในนามหรือภายใต้คำสั่งโรงแรมนั้น บริษัท Outsource limousine จึงมีสถานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ซึ่งตามมาตรา 40 วรรค 2 กำหนดให้ผู้ควบคุมข้อมูลมีหน้าที่ต้องจัดให้มีข้อตกลงระหว่างกัน เพื่อควบคุมการดำเนินการตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล ดังนั้น ระหว่าง โรงแรมกับบริษัท Outsource limousine  ควรมีการทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement : DPA)  ทั้งนี้เพื่อช่วยให้คู่สัญญาซึ่งเป็นผู้ประมวลผล ทราบถึงบทบาทและหน้าที่ของตนเองเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล การกำหนดวัตถุประสงค์ในการเปิดเผยข้อมูลส่วนบุคคล การกำหนดมาตรฐานในการแบ่งปันข้อมูลส่วนบุคคลและขอบเขตในการประมวลผลข้อมูลส่วนบุคคล โดยรายละเอียดของข้อตกลงการแลกเปลี่ยนข้อมูลส่วนบุคคล
thThai

ลงทะเบียน

เข้าสู่ระบบ