PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล Dos and Don’ts ที่องค์กร “ควรทำและไม่ควรทำ”

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล Dos and Don’ts ที่องค์กร “ควรทำและไม่ควรทำ”

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 มีจุดมุ่งหมายเพื่อ กำหนดมาตรการในการคุ้มครองข้อมูลส่วนบุคคลของประเทศให้หน่วยงาน ทั้งภาครัฐ เอกชน รวมถึงประชาชนทั่วไป โดยนับเป็นหนึ่งในชุดกฎหมายดิจิทัลเพื่อยกขีดจำกัดความสามารถในการแข่งขันของประเทศไทยให้มีความเข้มแข็ง รวมทั้งเสริมสร้างความเชื่อมั่นให้กับสังคมในการใช้บริการออนไลน์ในชีวิตประจำวัน

ทุกองค์กรจำเป็นต้องทำตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (ในระดับแตกต่างกัน) มิเช่นนั้นอาจโดนระวางโทษทางปกครองปรับสูงสุด 5 ล้านบาท โทษทางอาญาปรับสูงสุด 1 ล้านบาท หรือจำคุกสูงสุด 1 ปี หรือทั้งจำทั้งปรับ และโทษทางแพ่งที่ต้องชดใช้ค่าเสียหายให้กับเจ้าของข้อมูลส่วนบุคคล และศาลอาจสั่งสินไหมลงโทษเพิ่มได้อีกเป็น 2 เท่า เป็นกฎหมายที่กระเทือนองค์กรต่าง ๆ ได้ไม่น้อยเลยและเพื่อทำตามกฎหมาย PDPA ฉบับนี้ องค์กรต้องปรับตัวกันเยอะมาก ๆ มีทั้งสิ่งที่ต้องทำเพิ่ม และสิ่งที่ต้องเททิ้ง จะเป็นอะไรบ้างไปดูกัน

 

10 เรื่องที่องค์กร ‘ควรทำ’ เพื่อรองรับกฏหมาย PDPA

  1. ตั้งคณะทำงาน Data Protection ประกอบด้วยผู้บริหาร และหัวหน้า หรือผู้มีอำนาจในแต่ละแผนก เพื่อช่วยอำนวยความสะดวกให้การจัดการข้อมูล การปรับเปลี่ยนกระบวนการ ตลอดจนเอกสารและระบบต่าง ๆ ให้เป็นไปอย่างราบรื่นและถูกหลักกฎหมาย PDPA
  2.  Data Classification แยก หรือ จำแนก ข้อมูลส่วนบุคคล โดยจะต้องมีการจำแนกแยกการเก็บข้อมูลอย่างเป็นระบบ​โดยแบ่งข้อมูลออกเป็น 2 ประเภท ได้แก่ ข้อมูลส่วนบุคคล (Personal Data) เเละข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) (PDPA มาตรา 26) และจะได้รู้ด้วยว่าข้อมูลส่วนบุคคลอยู่ตรงไหนบ้าง ไหลจากไหนไปไหน จะได้ดำเนินการคุ้มครองได้อย่างครอบคลุมในสเต็ปถัดไป
  3. Privacy Policy จัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคล โดยมีเนื้อหาที่เกี่ยวข้องกับความเป็นส่วนตัวของเจ้าของข้อมูล เนื้อหาที่องค์กรจัดทำต้องมีความชัดเจน ครบถ้วน อาจต้องขอคำปรึกษาจากผู้เชี่ยวชาญด้านกฎหมาย

Privacy Notice  สามารถเรียกอีกชื่อนึงว่า “นโยบายความเป็นส่วนตัว” โดยจะแจ้งนโยบายแก่กลุ่มต่าง ๆ ที่เกี่ยวข้อง คือคำประกาศถึงเจ้าของข้อมูลที่กล่าวถึงวิธีการจัดเก็บ ประมวลผล รักษา และทำลายข้อมูลส่วนบุคคล

  1. RoPA (Record of Processing Activities ) คือการบันทึกกิจกรรมที่เกี่ยวกับข้อมูลส่วนบุคคล เพื่อให้เราสามารถเข้าไปตรวจสอบความถูกต้อง และตรวจสอบกิจกรรมการประมวลผลได้อย่างง่าย และเป็นระบบ และหากมีกรณีการละเมิดข้อมูลขึ้นมา หรือได้รับร้องเรียนและมีหน่วยงานกำกับดูแลด้านข้อมูลส่วนบุคคลเข้ามาตรวจสอบ การทำ RoPA ถือเป็นเครื่องมือที่ช่วยพิจารณาลดโทษเนื่องจากเป็นหลักฐานว่าทางบริษัทได้ทำตามกฎหมายแล้ว
  2. Update สัญญาระหว่างองค์กร กับพนักงาน คู่ค้า ลูกค้า องค์กรจำเป็นต้องมีการอัปเดตสัญญาการเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูล ไม่ว่าจะในฐานะพนักงานภายในองค์กร คู่ค้า หรือลูกค้า เพื่อแลกเปลี่ยนตามวัตถุประสงค์หรือธุรกรรมที่ทำร่วมกัน โดยจำเป็นต้องใช้ข้อมูลส่วนบุคคล และต้องมีการแจ้งว่าทางองค์กรมีมาตรการการคุ้มครองที่เหมาะสมกับเจ้าของข้อมูลแนบกับสัญญาไปด้วย
  3. Consent Form ฟอร์มการขอความยินยอมจากลูกค้า ฟอร์มนี้จะถูกส่งไปยังเจ้าของข้อมูลเพื่อให้ลูกค้าทราบเงื่อนไข และเลือกว่าจะยินยอมให้ทางองค์กรสามารถใช้ข้อมูลฯส่วนไหนบ้าง สำคัญโดยเฉพาะอย่างยิ่งกับการนำข้อมูลไปวิเคราะห์ทางการตลาด
  4. Cookie consent banner การส่งขอความยินยอม cookie เป็นการขอความยินยอมเพื่อจัดเก็บไฟล์คุกกี้ และข้อมูลต่างๆ จากผู้ใช้งานเว็บไซต์ ซึ่งถือเป็นข้อมูลส่วนบุคคลประเภทหนึ่งที่ เจ้าของเว็บไซต์ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล ต้องขอความยินยอมจากเจ้าของข้อมูลตามกฎหมาย PDPA
  5. Training / Awareness อบรมบุคคลการในองค์กร การฝึกอบรมจะทำให้พนักงานตระหนักรู้ภาพรวมของกฎหมาย PDPA ที่เกี่ยวข้อง นอกจากนี้ยังสามารถปรับรูปแบบการทำงานของแต่ละแผนกให้เข้ากับ PDPA ได้
  6. ระบบ DSR และช่องทางการขอใช้สิทธิในข้อมูลส่วนบุคคลตามกฎหมาย กฎหมาย PDPA ระบุไว้ให้เจ้าของข้อมูลมีสิทธิในข้อมูลส่วนบุคคลของตนเอง โดยอาจขอเข้าถึง ระงับ แก้ไข ถอนความยินยอม ฯลฯ องค์กรจำเป็นต้องมีระบบการจัดการการขอใช้สิทธิ (Data Subject Request; DSR) และมีช่องทางให้เจ้าของข้อมูลสามารถส่งคำขอใช้สิทธิได้ทุกเมื่อ จึงถือเป็นการทำตามข้อกำหนด PDPA อย่างมีประสิทธิภาพ
  7. แต่งตั้ง DPO เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือเรียกสั้น ๆ ว่า DPO (Data Protection Officer) มีหน้าที่สำคัญในการจัดการและตรวจสอบการดำเนินงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคลเพื่อช่วยให้องค์กรนั้นสามารถดำเนินงานได้อย่างถูกต้องและตรงตามหลักกฎหมาย PDPA อีกทั้งเป็นตำแหน่งที่กฎหมาย PDPA กำหนดให้บางองค์กรที่เข้าเกณฑ์ จะต้องแต่งตั้งเจ้าหน้าที่ DPO ขึ้นด้วย สำหรับเกณฑ์ขององค์กรที่จำเป็นต้องมี DPO คลิก PDPA Focus: องค์กรแบบไหนต้องมี DPO ใช่คุณหรือเปล่า?

10 เรื่องที่องค์กร ‘ควรเท’ ก่อนจะเจ็บหนักจากกฎหมาย PDPA

  1. เก็บข้อมูลโดยไม่มีฐานทางกฎหมายรองรับ การที่องค์กรจะเก็บรวบรวม หรือนำข้อมูลส่วนบุคคลไป ใช้ หรือเผยแพร่ต่อจำเป็นต้อง พิจารณากำหนดฐานกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคล หากไม่มีฐานทางกฎหมายในการเก็บ/ใช้ข้อมูล เมื่อโดนตรวจสอบจะถือว่าเอาข้อมูลส่วนบุคคลมาใช้โดยไม่ชอบ โดยฐานทางกฎหมายในการเอาช้อมูลมาใช้มีอยู่ด้วยกัน 7 ฐานก็คือ ฐานความยินยอม (Consent) ฐานพันธะสัญญา (Contract) ฐานหน้าที่ผูกมัดตามกฎหมาย (Legal Obligation) ฐานประโยชน์ที่สำคัญแห่งชีวิต (Vital Interests) ฐานภารกิจของรัฐ (Public Interest) ฐานประโยชน์อันชอบธรรม (Legitimate Interests) และฐานจดหมายเหตุ/วิจัย/สถิติ (Archives/Research/Statistic) อ่านอย่างละเอียดที่ แนะ 7 ฐานทางกฎหมาย ประมวลผลข้อมูล “ผ่านฉลุย” ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
  2. เก็บข้อมูลนานเกินความจำเป็น ตามกฏหมาย หากมีการเก็บรวบรวมข้อมูลส่วนบุคคลจำเป็นต้องกำหนดระยะเวลาการทำลายข้อมูลด้วย เนื่องจากข้อมูลส่วนบุคคลเป็นสิ่งที่ยืมมา ดังนั้นเมื่อครบกำหนดหรือบรรลุวัตถุประสงค์ องค์กรจำเป็นจะต้องทำลายทิ้ง
  3. เอาข้อมูลไปแอบขายต่อ อย่างที่ทราบมาข้างต้น ข้อมูลส่วนบุคคลเป็นสิ่งที่ยืมมาดังนั้นการนำข้อมูลฯไปเผยแพร่ต่อ หรือขายเพื่อทำกำไรถือเป็นสิ่งต้องห้าม ถือว่าเผยแพร่ข้อมูลเพื่อผลประโยชน์ที่ไม่ชอบด้วยกฎหมาย ส่วนนี้โดนโทษหนักแน่ถึงขั้นโดนโทษทางอาญา
  4. อนุญาตให้ใคร ในองค์กรก็มีสิทธิการเข้าถึงข้อมูลทางดิจิทัล ข้อมูลส่วนบุคคล คือข้อมูลที่สามารถระบุตัวตนได้ดังนั้นองค์กรจำเป็นต้องจำกัดสิทธิการเข้าถึง เพื่อความปลอดภัย และป้องกันโอกาสข้อมูลส่วนบุคคลหลุดหายหรือถูกละเมิด โดยควรอนุญาตให้เข้าถึงได้เฉพาะผู้ที่เกี่ยวข้องหรือจำเป็นต้องใช้งานข้อมูลนั้นเท่านั้น
  5. พนักงานมีวัฒนธรรมหละหลวมด้านดูแลข้อมูล การเก็บเอกสารกระดาษแบบไม่ดูแล เช่น วางข้อมูลลูกค้า คู่ค้า ไว้บนโต๊ะใคร ๆ ก็อ่านได้ รวมไปถึงไม่ Log out หน้าจอ เพียงแค่นี้ก็สามารถทำให้ข้อมูลฯหลุด นำไปสู่การฟ้องร้องค่าเสียหายต่อบริษัทได้
  6. เก็บรวบรวมข้อมูลเกินความจำเป็นที่ต้องใช้ เช่น การที่บริษัทมีการเก็บสำเนาบัตรประชาชน เพื่อความปลอดภัย แต่ในบัตรประชาชนมี ข้อมูลศาสนาบนบัตร ซึ่งถือเป็นข้อมูลส่วนบุคคลประเภทออ่อนไหว และไม่จำเป็นต่อวัตถุประสงค์ในการรวบรวม
  7. เอาข้อมูลไปใช้เกินวัตถุประสงค์ องค์กรไม่ควรใช้ข้อมูลเกินขอบข่ายวัตถุประสงค์ที่แจ้งไว้แต่แรกเมื่อเก็บรวบรวมข้อมูลส่วนบุคคล เช่น เก็บข้อมูลบัตรประชาชนผู้มาติดต่อ และแจ้งกับเจ้าของข้อมูลว่ามีการจัดเก็บเพื่อความปลอดภัย แต่ในอนาคตกลับมีการเอาไปใช้เสนอขายสินค้า ทั้งนี้ถึงแม้จะมีการขอคความยินยอมแล้วแต่แรก (ในวัตถุประสงค์หนึ่ง) แต่นำไปใช้ผิดวัตถุประสงค์ที่ขอไว้เดิม แบบนี้ก็ถือว่าผิดกฏหมาย PDPA
  8. Cyber Security ขั้นพื้นฐานไม่อัปเดตให้เหมาะสม ความปลอดภัยทางระบบไซเบอร์ถือเป็นหนึ่งในสิ่งสำคัญของรากฐานความมั่นคงของการรวบรวมข้อมูลฯ เพราะในปัจจุบันการเก็บรวบรวมข้อมูลก็แทบจะอยู่ในฐานข้อมูลไซเบอร์ทั้งสิ้น ดังนั้น การวางระบบCyber Security ให้แข็งแรง และทันสมัยอยู่เสมอเป็นสิ่งที่ไม่ควรมองข้าม
  9. Reuse กระดาษหรือเอกสารที่มีข้อมูลส่วนบุคคลอยู่มาใช้งาน ถึงแม้บริษัทจะมีนโยบายรักษ์โลก แต่เราไม่สามารถนำกระดาษที่มีข้อมูลส่วนบุคคลมาใช้ต่อได้ ดังนั้นหากกระดาษนั้นมีข้อมูลฯ ทางบริษัทจำเป็นต้องทำลาย หรือทำให้ไม่สามารถระบุตัวตนได้เท่านั้น
  • ถ่าย CCTV สถานที่ไม่สมควร และโดยไม่มีการแจ้งเตือน ความปลอดภัยของบริษัทเป็นเรื่องสำคัญ แต่ความเป็นส่วนตัวก็สำคัญไม่แพ้กัน การติดกล้องวงจรปิด หรือ ถ่าย CCTV จำเป็นต้องกำหนดความเหมาะสมในแต่ละสถานที่ รวมถึงจำเป็นต้องติดป้ายแจ้งต่อบุคคลนั้นๆด้วย ไม่อย่างนั้นจะถือว่ามีความผิดโทษฐานละเมิดความเป็นส่วนตัวของผู้ที่ใช้บริการสถานที่

 

 

เมื่ออ่านจบ องค์กรคงรู้แล้วนะครับ ว่าสิ่งไหน วรทำ และ ไม่ควรทำ ภายใต้กฎหมาย PDPA แนะนำว่าให้ค่อย ๆ ปรับกันไปทีละข้อ ถึงแม้จริง ๆ แล้วยังมีรายละเอียดอีกมากที่องค์กรจะต้องเข้าไปดูแล หากยังไม่เข้าใจ อยากเรียนรู้ หรือกำลังตามหาบริการด้าน PDPA ที่ช่วยให้บริษัทของคุณทำถูกต้องตามกฎหมาย  คลิก!

Share :

บทความที่เกี่ยวข้อง

กว่า 6 ปีที่ผ่านมา ประเทศไทยมีข่าวการหลุดรั่วของข้อมูลส่วนบุคคลเป็นจำนวนมาก ทั้งจากการกระทำของแฮกเกอร์ที่เข้ามาเจาะระบบ ทั้งจากการป้องกันการหลุดรั่วของข้อมูลส่วนบุคคลที่หละหลวม PDPA Thailand และวันนี้เป็นวันครบรอบ 1 นับจากวันที่ 1 มิถุนายน 2565 ที่กฎหมาย PDPA มีผลบังคับใช้เต็มรูปแบบ PDPA Thailand จึงรวบรวมเหตุการณ์สำคัญ ๆ ที่เกิดขึ้นมาตั้งแต่ปี พ.ศ.2561 จนถึง พ.ศ.2566 มาให้ดูกัน     เมษายน 2561 ข้อมูลลูกค้า True Move H หลุดรั่ว ฐานข้อมูลลูกค้า Truemove H ที่สมัครซื้อซิมพร้อมมือถือผ่าน iTruemart หลุดรั่วจำนวน 64,000 ราย ที่มา https://www.beartai.com/news/it-thai-news/233905   กันยายน 2563 โรงพยาบาลสระบุรี ถูกแรนซัมแวร์โจมตี “โรงพยาบาลสระบุรี” ถูกไวรัสแรนซัมแวร์ แฮกฐานข้อมูลระบบบริการผู้ป่วย ทำให้ไม่สามารถสืบค้นข้อมูลประวัติเก่าหรือให้บริการออนไลน์ได้ ที่มา https://www.sanook.com/news/8248818/   กุมภาพันธ์ 2564 ที่ว่าการอำเภอถลาง ใช้กระดาษรียูส ด้านหลังเป็นใบสำเนามรณบัตร สาวจดทะเบียนสมรส ได้ใบเสร็จพ่วงมรณบัตร สาเหตุจากการใช้กระดาษรียูสในการออกใบเสร็จ แต่เคสนี้เจ้าหน้าที่เผลอนำใบสำเนามรณบัตรมาใช้ ที่มา https://www.thairath.co.th/news/local/south/2543643   สิงหาคม 2564 Bangkok Airways ถูกแรนซัมแวร์โจมตี สายการบิน Bangkok Airways ถูกแรนซัมแวร์โจมตี คนร้ายลอบขโมยข้อมูลลูกค้าออกไปได้กว่า 100GB ประกอบด้วย ชื่อ-นามสกุล, เพศ, สัญชาติ, หมายเลขโทรศัพท์, ที่อยู่ และอีเมล รวมถึงข้อมูลอื่นๆ เช่น
เนื่องจากปัจจุบันเทคโนโลยีมีความก้าวไกลไปมากทำให้การดำเนินการต่าง ๆเป็นไปอย่างสะดวกมากขึ้น ตั้งแต่การเดินทางรวมถึงกระบวนการทำงานต่าง ๆ ซึ่งหนึ่งในองค์กรที่มีการนำวิทยาการนำมาใช้ ได้แก่ สถานพยาบาลนั่นเอง ซึ่งปัจจุบันนั้นมีนำเทคโนโลยีมาใช้เพื่อความสะดวกสบาย เช่น ใช้หุ่นยนต์ในการส่งแฟ้มเอกสารระหว่างแผนก หรือการใช้ระบบต่างเพื่อรวบรวมข้อมูลคนไข้ไว้ที่เดียวกันเพื่อสะดวกต่อการค้นหา ซึ่งกระบวนการหนึ่งที่มีการใช้งานได้แก่ การส่งต่อรูปถ่าย ซึ่งปัจจุบันนั้นวัตถุประสงค์หลัก ๆในการส่งรูปถ่ายจะเป็นไปเพื่อประโยชน์ทางการรักษาหรือติดตามอาการของผู้ป่วย ทั้งนี้ มันมีข้อสังเกตว่า ข้อมูลรูปถ่ายคนไข้เป็นข้อมูลอ่อนไหวหรือไม่ และหากจำเป็นต้องมีการใข้ข้อมูลภาพถ่ายจะต้องใช้อย่างไรเพื่อให้สอดคล้องตามหลักของ PDPA ข้อมูลรูปถ่ายคนไข้ถือว่าเป็นข้อมูลอ่อนไหวหรือไม่ จากที่เราทราบกับข้อมูลอ่อนไหว ได้แก่ข้อมูลเกี่ยวกับ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ เป็นต้น ซึ่งข้อมูลภาพถ่ายคนไข้นั้นถือได้ว่าเป็นข้อมูลสุขภาพ ตามระเบียบกระทรวงสาธารณสุขว่าด้วยการคุ้มครองและจัดการข้อมูลด้านสุขภาพของบุคคล พ.ศ. 2561 ที่นี้เมื่อทราบว่าเป็นข้อมูลส่วนบุคคลที่อ่อนไหว จึงจำเป็นต้องมีแนวหรือหลักการเพื่อให้การใช้ข้อมูลรูปถ่ายเป็นไปตามหลักของ PDPA หากจำเป็นต้องใช้ ต้องทำอย่างไร โดยหลักการของการคุ้มครองข้อมูลส่วนบุคคล การใช้ข้อมูลส่วนบุคคลควรใช้ข้อมูลตราบเท่าที่จำเป็น เช่นกัน การใช้ข้อมูลรูปถ่ายคนไข้ก็ควรจะต้องมีการใช้ข้อมูลเท่าที่จำเป็นเช่นกัน โดยเมื่อจำเป็นต้องมีการเก็บมูล จำเป็นต้องมีการขอความยินยอมก่อน รวมถึงมีการแจ้งวัตถุประสงค์ในการเก็บข้อมูลภาพถ่ายคนไข้ ซึ่งการแจ้งประกาศนั้นอาจจะมีเป็นการแจ้งเป็นประกาศความเป็นส่วนตัวของ คนไข้หรือลูกค้าตามแต่กรณี ต่อมาในการใช้งานหรือประมวลผลควรใช้เท่าที่จำเป็นซึ่งได้แก่ใช้เพื่อรักษาหรือติดตามอาการเท่านั้น ไม่ควรใช้เพื่อเหตุอื่น ถามว่าการเอารูปถ่ายคนไข้ให้หมอท่านอื่นดูได้หรือไม่ เพราะบางครั้งหมอที่เป็นเจ้าของไข้นั้นอาจจำเป็นต้องมีการนำภาพคนไข้ เพื่อปรึกษากับหมอท่านอื่น ตัวอย่างเช่น กรณีคนไข้มารักษาสิว เมื่อทำการรักษาแล้วหากพบว่าบริเวณที่รักษามีปัญหาขึ้นมา กรณีเช่นนี้หากเป็นไปเพื่อการรักษาและติดตามอาการก็สามารถทำได้ แต่ต้องมีการแจ้งให้เจ้าของข้อมูลทราบถึงความจำเป็นดังกล่าว โดยอาจจะสื่อสารผ่านตัวประกาศความเป็นส่วนตัวได้เช่นกัน นอกจากนี้แล้วนั้นหมอที่เป็นเจ้าของคนไข้ต้องมีความระมัดระวังในการเผยแพร่รูปถ่ายคนไข้ด้วย แม้จะมีการแจ้งเจ้าของข้อมูลส่วนบุคคลหรือคนไข้แล้วก็ตาม โดยหมอที่เป็นเจ้าของไข้นั้น ควรมีความระมัดระวังในการที่จะไม่เผยแพร่ภาพถ่ายคนไข้ดังกล่าวไปสู่หมอ รวมถึงบุคลกรทางการแพทย์ที่ไม่ได้มีความเกี่ยวข้องกับคนไข้ให้รับทราบ นอกจากนี้ช่องทางการเผยแพร่ข้อมูลก็เป็นสิ่งหนึ่งที่ควรจะต้องมีความระมัดระวังอย่างยิ่ง เนื่องจากในปัจจุบันนั้นวิทยาการด้านการสื่อสารสามารถส่งต่อข้อมูลดิจิทัลได้อย่างรวดเร็วและสะดวกสบายยิ่งขึ้น ไม่ว่าจะมาจากช่องทางอีเมล Messenger เป็นต้น ทั้งนี้เมื่อมีการส่งข้อมูลรูปถ่ายคนไข้ไป จำต้องมีคำนึงถึงความปลอดภัยด้วย ตัวอย่าง ไม่ควรส่งรูปถ่ายคนไข้ผ่านช่องทางการสื่อสารสาธารณะ เช่น Line เป็นต้น หรือหากจำเป็นต้องมีการส่งจริง ๆก็ควรมีมาตรการในการป้องกันการเข้าถึงด้วยตัวอย่างเช่น อาจจะมีการส่งข้อมูลโดยมีการเข้ารหัส โดยส่งรหัสดังกล่าวไปให้ปลายทางรับทราบพียบท่านเดียวเท่านั้น เพื่อให้มั่นใจได้ว่าข้อมูลดังกล่าวถึงมือผู้รับจริง และมีเพียงแต่ผุ้รับรหัสเท่านั้นที่จะสามารถเปิดดูข้อมูลที่เข้ารหัสไว้ได้ โดยภาพรวมนั้นสถานพยาบาลมีกิจกรรมหลาย ๆกิจกรรมที่มีการเข้าถึงข้อมูลส่วนบุคคลที่มี่ความอ่อนไหว เช่น กิจกรรมการนำภาพถ่ายคนไข้มาใช้เพื่อติดตามผลการรักษาคนไข้ ทั้งนี้สามรถทำได้แต่จำเป็นต้องมีแนวทางหรือกระบวนการบางอย่างมาเป็นมาตรฐานในการส่งต่อข้อมูล นอกจากจะเพื่อความปลอดภัยของคนไข้
จากบทความครั้งที่แล้ว เรื่อง Hotel reservation ไม่เกี่ยวกับ PDPA จริงหรือ ? ที่ได้มีการกล่าวถึงกระบวนการการจองที่พักในหลายรูปแบบ เช่น เว็บไซต์ เอเย่น walk-in ในวันนี้เราจะมากล่าวถึงกระบวนการที่ต่อเนื่องกันคือ กระบวนการการรับส่งจากสนามบินหรือสถานที่ต่างๆ ไปยังโรงแรม ในบางกรณีผู้เข้าพักบางท่านอาจมีความต้องการใช้บริการรถรับส่งเพื่อให้รับจากสนามบินมายังโรงแรมเพื่อความสะดวกของผู้เข้าพัก รูปแบบการรับส่งที่สนามบินโดยทั่วไปสามารถแบ่งออกได้เป็น 2 รูปแบบ ได้แก่ Inhouse limousine คือ กรณีที่โรงแรมมีบริการรับส่งด้วยตัวเอง Outsource limousine คือ กรณีที่โรงแรมมีการจ้างบริษัทรับส่งภายนอก ให้ดำเนินการรับส่งผู้เข้าพักแทนโรงแรม ในกรณีที่โรงแรมมีบริการรับส่งด้วยตัวเอง (Inhouse limousine)  โดยทั่วไปข้อมูลของผู้เข้าพักจะถูกโรงแรมเก็บมาแล้วจากขั้นตอนการจองห้องพัก แต่อาจมีการนำข้อมูลดังกล่าวมาใช้เพื่อเป็นการยืนยันตัวผู้เข้าพักอีกครั้ง การนำข้อมูลมาใช้ในกระบวนการนี้ โรงแรมต้องมีการระบุวัตถุประสงค์นี้เข้าไปในประกาศความเป็นส่วนตัวของผู้เข้าพัก (Privacy notice) และแจ้งให้ผู้เข้าพักทราบในขั้นตอนการรับจองห้องพัก หรือจะแจ้งอีกครั้งเพื่อเป็นการแจ้งย้ำให้ผู้เข้าพักทราบก็ย่อมทำได้ นอกจากนี้ การที่โรงแรมนำข้อมูลมาใช้ประมวลผลในกระบวนการนี้สามารถใช้ฐานสัญญา ตามมาตรา 24(3) ในการจัดเก็บข้อมูลส่วนบุคคลได้ เนื่องจากเป็นการจำเป็นเพื่อใช้ในการดำเนินการตามคำขอก่อนการเข้าทำสัญญาใช้บริการ ในกรณีที่โรงแรมมีการจ้างบริษัทรับส่งภายนอก ให้ดำเนินการรับส่งผู้เข้าพักแทนโรงแรม หรือ Outsource limousine ทางโรงแรมอาจจะมีการส่งรายชื่อของผู้ที่จะเข้าพักให้กับบริษัท Outsource limousine ซึ่งเป็นนิติบุคคลภายนอก เช่น ข้อมูล ชื่อ นามสกุล รายละเอียดการเดินทางและการเข้าพัก เป็นต้น การที่โรงแรมมีการจ้างบริษัทภายนอกให้ดำเนินการด้านการรับส่ง บริษัทรับส่งนั้นทำตามภายในนามหรือภายใต้คำสั่งโรงแรมนั้น บริษัท Outsource limousine จึงมีสถานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ซึ่งตามมาตรา 40 วรรค 2 กำหนดให้ผู้ควบคุมข้อมูลมีหน้าที่ต้องจัดให้มีข้อตกลงระหว่างกัน เพื่อควบคุมการดำเนินการตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล ดังนั้น ระหว่าง โรงแรมกับบริษัท Outsource limousine  ควรมีการทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement : DPA)  ทั้งนี้เพื่อช่วยให้คู่สัญญาซึ่งเป็นผู้ประมวลผล ทราบถึงบทบาทและหน้าที่ของตนเองเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล การกำหนดวัตถุประสงค์ในการเปิดเผยข้อมูลส่วนบุคคล การกำหนดมาตรฐานในการแบ่งปันข้อมูลส่วนบุคคลและขอบเขตในการประมวลผลข้อมูลส่วนบุคคล โดยรายละเอียดของข้อตกลงการแลกเปลี่ยนข้อมูลส่วนบุคคล
thThai

ลงทะเบียน

เข้าสู่ระบบ