ธุรกิจไหนควรทำ ? ประเมินผลกระทบการละเมิดข้อมูลส่วนบุคคล (DPIA) แนวคิดเพื่อรับมือความเสี่ยงธุรกิจทำผิดกฎหมาย PDPA

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

ธุรกิจไหนควรทำ ? ประเมินผลกระทบการละเมิดข้อมูลส่วนบุคคล (DPIA) แนวคิดเพื่อรับมือความเสี่ยงธุรกิจทำผิดกฎหมาย PDPA

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

Risk Factor หรือปัจจัยเสี่ยงในที่นี้ หมายถึง เหตุการณ์ที่ส่งผลกระทบต่อการดำเนินงานหรือธุรกิจ โดยทั่วไปจะมีการประเมินตั้งแต่ เหตุและปัจจัยที่เกิดขึ้น โอกาสที่จะเกิดขึ้น ระดับความรุนแรง ผลกระทบ นำไปสู่แนวคิดการจัดการ ‘ความเสี่ยง’ ที่อาจ จะเกิดขึ้น โดยมีการจัดทำมาตรการที่จะตอบสนองต่อความเสี่ยงที่เกิดขึ้น รวมทั้งการบริหาร การจัดการและติดตามผล

Start with Why ทำไมต้องทำ?

นิยามของข้อมูลบุคคลกำลังเปลี่ยนไป เพราะภายใต้การบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ กฎหมาย PDPA ที่มีผลบังคับใช้วันที่ 1 มิถุนายน 2565 นี้ ‘ข้อมูลบุคคล’ ที่แต่เดิม ภาคธุรกิจมีการรวบรวมใช้ จัดเก็บ และประมวลผล เพื่อประโยชน์ในกิจกรรมด้านต่างๆ มากมาย ทั้งมองว่าเป็น ‘ทรัพย์สินมีค่า’ แต่ภายใต้กติกาของกฎหมายใหม่ ข้อมูลส่วนบุคคล เป็นได้เพียง ‘สิ่งที่ยืมใช้’ เท่านั้น

เพราะเจ้าของตัวจริงก็ยังเป็น ‘บุคคล’ ที่สำคัญ ภายใต้กติกาใหม่ ธุรกิจยังต้องมีความระมัดระวังในการรวบรวม จัดเก็บ นำไปใช้ จะต้องได้รับการยินยอมจากเจ้าของข้อมูลตามกฎหมาย PDPA ระบุไว้ ตั้งแต่ข้อมูลที่สามารถยืนยันตัวบุคคล ติดตามตัวบุคคล ตลอดจนถึงข้อมูลที่สามารถเชื่อมโยงบุคคลนั้นด้วย

หมายความว่าอะไร?

ในเมื่อมีกฎหมายคุ้มครองข้อมูลส่วนบุคคล ก็หมายความได้โดยตรงว่า เจ้าของข้อมูลมีสิทธิในการอนุญาตให้เปิดเผย แก้ไข ระงับ หรือแม้แต่ไม่ยินยอมให้เปิดเผยข้อมูลก็ได้ ขณะเดียวกันทางด้านธุรกิจที่แต่เดิม ได้มีการจัดเก็บข้อมูลลูกค้า/คู่ค้า ข้อมูลพนักงาน ของมูลลูกจ้างภายนอก ซึ่งข้อมูลต่างๆ เหล่านี้ แต่เดิมธุรกิจอาจมองว่า ‘ยิ่งเก็บเยอะ ยิ่งดี’ แต่หากเก็บไม่ดี หรือไม่ถูกต้อง ข้อมูลบุคคลเหล่านี้ก็จะแปลงร่างเป็น ‘ภัยแฝง’

เพราะหากธุรกิจมีการจัดเก็บข้อมูลที่ไม่รอบคอบ หรือขาดการจัดการที่ดี นำไปสู่การละเมิดข้อมูลส่วนบุคคล ผลที่ตามมา คือ เกิดการฟ้องเรียกค่าเสียหาย แถมยังมีโทษทั้งปรับและจำคุก และอาจต้องโทษทางปกครองร่วมด้วย สิ่งเหล่านี้กำลังเป็นความเสี่ยงใหม่ที่ธุรกิจจะต้องเผชิญหน้าและมีแผนรับมือกฎหมาย PDPA โดยมีการจัดทำแบบประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล หรือที่เรียกว่า DPIA (Data Protection Impact Assessment)

ธุรกิจแบบไหนต้องทำประเมินความเสี่ยง DPIA

หากอธิบายตามข้อกฎหมายระบุว่า องค์กร หน่วยงาน บริษัท จะต้องมีการประเมินความเสี่ยงการคุ้มครองข้อมูลส่วนบุคคล โดยมุ่งเน้นพิจารณาความเสี่ยงต่อการนำไปใช้ ประมวลผล จัดเก็บและรักษา รวมทั้งการเปิดเผย การลบ หรือทำลาย เพื่อป้องกันเบื้องต้นไม่ให้ ‘ข้อมูลส่วนบุคคล’ เกิดการสูญหาย รั่วไหล หรือการละเมิดที่จะส่งผลกระทบต่อสิทธิ และเสรีภาพของเจ้าของข้อมูล

 

ดังนั้นพอจะอนุมานได้ว่า แก่นของกฎหมาย PDPA คือการมุ่งประโยชน์ในด้านการคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล และเพื่อเป็นการป้องปรามให้ธุรกิจต่างๆ ใช้ข้อมูลส่วนบุคคลอย่างระมัดระวัง ด้วยเหตุนี้ ผู้ควบคุมข้อมูล (Data Controller) และ ผู้ประมวลผลข้อมูล (Data Processor) จะต้องตระหนักถึงเรื่องนี้ให้มาก หากมีการเก็บและใช้งานข้อมูลส่วนบุคคล รวมไปถึงผู้ที่ได้รับมอบหมายในการใช้ข้อมูลส่วนบุคคล หรือบุคคลที่สาม จะต้องมีแนวทางในการจัดเก็บ รักษาข้อมูลส่วนบุคคลให้มีความปลอดภัยที่เหมาะสมเพียงพอ

สำหรับแนวโน้มธุรกิจที่มีความจำเป็นอย่างยิ่งต้องทำแบบประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล หรือ DPIA คือ ธุรกิจที่มีการจัดเก็บข้อมูลจำนวนมากไว้ใช้เพื่อประโยชน์ในแต่ละกิจกรรมของธุรกิจ

โดยนิยามของคำว่า ‘ข้อมูลจำนวนมาก’ ในที่นี้อ้างอิงจากกฎหมายที่ระบุว่า บุคคลหรือนิติบุคคลที่มีการจัดเก็บข้อมูลบุคคลทั่วไปที่สามารถระบุตัวตนของเจ้าของข้อมูล 50,000 ราย หรือมีข้อมูลอ่อนไหว(Sensitive Data)ของเจ้าของข้อมูล 5,000 ราย

คิดกันเล่นๆ มีธุรกิจอะไรบ้างที่มีการเก็บข้อมูลลูกค้า

  • ธุรกิจด้านการศึกษา ที่มีการจัดเก็บข้อมูลนักเรียน ผู้ปกครอง รวมทั้งพนักงานเจ้าหน้าที่ต่างๆ
  • อุตสาหกรรมที่มีการเก็บข้อมูลลูกค้า/คู่ค้า หุ้นส่วน และบุคลากรผู้ดำเนินงาน
  • ธุรกิจอสังหาริมทรัพย์ ที่มีการเก็บข้อมูลผู้อยู่อาศัย ลูกค้า
  • ธุรกิจต่างชาติที่มีการดำเนินกิจกรรมในประเทศไทย
  • ธุรกิจบริการและท่องเที่ยว ที่มีการจัดเก็บข้อมูลผู้มาใช้บริการ พนักงาน
  • ธุรกิจค้าปลีกสมัยใหม่ ที่มีการเก็บ ใช้ หรือส่งต่อข้อมูลให้บุคคลที่สาม
  • ธุรกิจการเงินและการประกันภัย

ทั้งจากกลุ่มธุรกิจที่หยิบยกตัวอย่าง แท้จริงสามารถระบุว่า กิจการที่มีการเก็บข้อมูลคน นั้นมีมากมาย และดูเหมือนว่า ช่วงที่ผ่านมาคำว่า Big data ทำให้หลายๆ ธุรกิจใส่ใจเรื่องการเก็บข้อมูลมากเป็นพิเศษ ซึ่งอย่างที่กล่าวในข้างต้น คือมีทั้งโอกาสและความเสี่ยงที่รออยู่ จึงต้องแนะนำให้ทำแบบประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล หรือ DPIA ตั้งแต่วันนี้

ส่วนธุรกิจที่แทบจะไม่มีข้อมูลเก็บไว้เลย หรือมีเพียงเล็กน้อยก็อาจจะยังไม่ถึงต้องทำ DPIA กระนั้นก็ต้องทำความเข้าใจและมีแนวปฏิบัติในการจัดเก็บและใช้ประโยชน์จากข้อมูลส่วนบุคคลอย่างเหมาะสม

แบบประเมินความเสียง DPIA เขาทำกันอย่างไร?

ขั้นตอนที่ 1 : แบ่งเลเวลข้อมูล โดยข้อมูลส่วนบุคคลจะมีระดับที่ต่างกัน แบ่งเป็น ข้อมูลที่สามารถยืนยันตัวตนบุคคลนั้นโดยทางตรง อาทิ ชื่อ-สกุล ที่อยู่ เบอร์โทรศัพท์ อีเมล เลขบัตรประชาชน/หนังสือเดินทาง ทะเบียนรถ IP address ข้อมูล Biometric เช่น ใบหน้า ภาพถ่าย วิดีโอ ลายนิ้วมือ และข้อมูลพันธุกรรม เป็นต้น หรือสิ่งใดที่สามารถระบุตัวตนบุคคลนั้นได้อย่างชัดเจน 

อีกส่วนคือ ข้อมูลที่สามารถติดตาม/เชื่อมโยง เพื่อระบุตัวตนทางอ้อม อาทิ วันเกิด ตำแหน่งที่อยู่อาศัย ตำแหน่งงาน อาชีพ เอกลักษณ์เฉพาะบุคคล ความพิการ ซึ่งข้อมูลในส่วนนี้ หากเป็นข้อมูลเดี่ยวๆ อาจจะไม่สามารถระบุตัวตนบุคคลนั้นได้ แต่หากเกิดการเชื่อมโยงก็ไม่ยากที่จะสามารถนำมาระบุตัวบุคคลนั้นได้ 

ที่สำคัญกฎหมาย PDPA ยังระบุถึงข้อมูลอ่อนไหว อาทิ ความเห็นทางการเมือง มุมมองด้านศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (ใบหน้า, ลายนิ้วมือ) ซึ่งข้อมูลแต่ละประเภทควรมีการแบ่งระดับการจัดเก็บที่ วัตถุประสงค์การใช้ และเวลาจัดเก็บและทำลายอย่างเหมาะสม

ขั้นตอนที่ 2 : หลังการจัดแบ่งอันดับของข้อมูล ขั้นต่อมาก็คือการ  ‘แยกแยะ’ ธุรกิจมีกิจกรรมใดบ้างที่เสี่ยงต่อการละเมิดข้อมูล โดยอ้างอิงจาก ‘กฎหมาย’  คือ ต้องมีการจัดเก็บและประมวลผลข้อมูลบุคคล ทั้งทางตรง ทางอ้อม การได้รับมอบหมายให้เป็นผู้ประมวลผลข้อมูลที่จะส่งผลกระทบคนจำนวนมาก หรือมีการประมวลผลข้อมูลอ่อนไหว (Sensitive Data)  อาทิ การตรวจสอบประวัติอาชญากรรม ซึ่งพอจะสรุปได้ว่า หากยังไม่แน่ใจว่าต้องทำ DPIA หรือไม่ ให้มองที่เหตุปัจจัยที่เคยเกิดขึ้นมีความเสี่ยงมากแค่ไหน และอาจจะต้องรวมไปถึงความผิดพลาดที่เกิดจากอุปกรณ์และเทคโนโลยีร่วมด้วย

ขั้นตอนที่ 3 : ประเมินเหตุ/ปัจจัยและผลกระทบ การประเมินเหตุ ก็มีทฤษฎีเดียวกับคาด ‘คาดคะเน’ แต่จะไม่เลื่อนลอยเพราะต้องมองปัจจัย อาทิ คาดว่ามีกิจกรรมที่มีความเสี่ยงสูงต่อการละเมิดข้อมูล จากปัจจัยด้านความผิดพลาดจากบุคลากรที่ขาดความชำนาญ หรือ อุปกรณ์คอมพิวเตอร์ที่ล้าสมัย หรือขาดการบำรุงรักษาเป็นเวลานาน ขณะเดียวกันธุรกิจดังกล่าวเป็นธุรกิจที่มีการเก็บ ใช้ และประมวลผลข้อมูลลูกค้าทุกวัน

หากมองในแง่ผลกระทบ ปัจจัยดังกล่าวก็มีแนวโน้มความเสี่ยงสูงที่จะเกิดการรั่วไหลหรือละเมิดข้อมูลส่วนบุคคล จึง ‘ควรอย่างยิ่ง’ ต้องมีการทำแบบประเมิน DPIA แต่หากประเมิน ความเสี่ยงและผลกระทบอยู่ในขั้นกลาง หรือขั้นต่ำ ก็ขึ้นอยู่กับดุลพินิจของเจ้าของธุรกิจ

อย่างไรก็ตาม การทำแบบประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล หรือ DPIA ยังสามารถทำแบบเฉพาะเจาะจงเป็นรายกรณี เช่น แบบประเมินความเสี่ยงจากการทำการตลาดโดยใช้ข้อมูลลูกค้าอายุตั้งแต่ 18-40 ปี  หรือจะจัดทำเป็นภาพรวมเพื่อให้เห็นแนวโน้มคร่าวๆ ก็ขึ้นอยู่กับความต้องการของผู้จัดทำ หรือจะทำทั้งสองแบบก็ได้ ไม่ผิดกติกา

ทั้งนี้ การทำแบบประเมิน DPIA ยังต้องดูที่ บริบทในการใช้ข้อมูล (Context of Use) หากมีการดำเนินการที่ชอบด้วยกฎหมาย อาทิ มีการเก็บรวบรวมข้อมูลเพื่อใช้ในการวิเคราะห์เชิงสถิติเพื่อประโยชน์ตามกฎหมาย เพื่อเพื่อประโยชน์ต่อสาธารณะ ตลอดจนมีการดำเนินการที่โปร่งใส และเป็นธรรม กิจกรรมดังกล่าวก็มีกฎหมายคุ้มครอง และอาจจะประเมินว่าเป็นความเสี่ยงต่ำ แต่สิ่งที่ควรรู้ คือ หากมีการละเมิดข้อมูลส่วนบุคคลตามกรอบของกฎหมาย PDPA ก็นำไปสู่การฟ้องร้องดำเนินคดีเช่นกัน

ดังนั้น คำแนะนำคือ แบบประเมิน DPIA ทำไว้ก็ไม่เสียหาย!

Share :

บทความที่เกี่ยวข้อง

กว่า 6 ปีที่ผ่านมา ประเทศไทยมีข่าวการหลุดรั่วของข้อมูลส่วนบุคคลเป็นจำนวนมาก ทั้งจากการกระทำของแฮกเกอร์ที่เข้ามาเจาะระบบ ทั้งจากการป้องกันการหลุดรั่วของข้อมูลส่วนบุคคลที่หละหลวม PDPA Thailand และวันนี้เป็นวันครบรอบ 1 นับจากวันที่ 1 มิถุนายน 2565 ที่กฎหมาย PDPA มีผลบังคับใช้เต็มรูปแบบ PDPA Thailand จึงรวบรวมเหตุการณ์สำคัญ ๆ ที่เกิดขึ้นมาตั้งแต่ปี พ.ศ.2561 จนถึง พ.ศ.2566 มาให้ดูกัน     เมษายน 2561 ข้อมูลลูกค้า True Move H หลุดรั่ว ฐานข้อมูลลูกค้า Truemove H ที่สมัครซื้อซิมพร้อมมือถือผ่าน iTruemart หลุดรั่วจำนวน 64,000 ราย ที่มา https://www.beartai.com/news/it-thai-news/233905   กันยายน 2563 โรงพยาบาลสระบุรี ถูกแรนซัมแวร์โจมตี “โรงพยาบาลสระบุรี” ถูกไวรัสแรนซัมแวร์ แฮกฐานข้อมูลระบบบริการผู้ป่วย ทำให้ไม่สามารถสืบค้นข้อมูลประวัติเก่าหรือให้บริการออนไลน์ได้ ที่มา https://www.sanook.com/news/8248818/   กุมภาพันธ์ 2564 ที่ว่าการอำเภอถลาง ใช้กระดาษรียูส ด้านหลังเป็นใบสำเนามรณบัตร สาวจดทะเบียนสมรส ได้ใบเสร็จพ่วงมรณบัตร สาเหตุจากการใช้กระดาษรียูสในการออกใบเสร็จ แต่เคสนี้เจ้าหน้าที่เผลอนำใบสำเนามรณบัตรมาใช้ ที่มา https://www.thairath.co.th/news/local/south/2543643   สิงหาคม 2564 Bangkok Airways ถูกแรนซัมแวร์โจมตี สายการบิน Bangkok Airways ถูกแรนซัมแวร์โจมตี คนร้ายลอบขโมยข้อมูลลูกค้าออกไปได้กว่า 100GB ประกอบด้วย ชื่อ-นามสกุล, เพศ, สัญชาติ, หมายเลขโทรศัพท์, ที่อยู่ และอีเมล รวมถึงข้อมูลอื่นๆ เช่น
เนื่องจากปัจจุบันเทคโนโลยีมีความก้าวไกลไปมากทำให้การดำเนินการต่าง ๆเป็นไปอย่างสะดวกมากขึ้น ตั้งแต่การเดินทางรวมถึงกระบวนการทำงานต่าง ๆ ซึ่งหนึ่งในองค์กรที่มีการนำวิทยาการนำมาใช้ ได้แก่ สถานพยาบาลนั่นเอง ซึ่งปัจจุบันนั้นมีนำเทคโนโลยีมาใช้เพื่อความสะดวกสบาย เช่น ใช้หุ่นยนต์ในการส่งแฟ้มเอกสารระหว่างแผนก หรือการใช้ระบบต่างเพื่อรวบรวมข้อมูลคนไข้ไว้ที่เดียวกันเพื่อสะดวกต่อการค้นหา ซึ่งกระบวนการหนึ่งที่มีการใช้งานได้แก่ การส่งต่อรูปถ่าย ซึ่งปัจจุบันนั้นวัตถุประสงค์หลัก ๆในการส่งรูปถ่ายจะเป็นไปเพื่อประโยชน์ทางการรักษาหรือติดตามอาการของผู้ป่วย ทั้งนี้ มันมีข้อสังเกตว่า ข้อมูลรูปถ่ายคนไข้เป็นข้อมูลอ่อนไหวหรือไม่ และหากจำเป็นต้องมีการใข้ข้อมูลภาพถ่ายจะต้องใช้อย่างไรเพื่อให้สอดคล้องตามหลักของ PDPA ข้อมูลรูปถ่ายคนไข้ถือว่าเป็นข้อมูลอ่อนไหวหรือไม่ จากที่เราทราบกับข้อมูลอ่อนไหว ได้แก่ข้อมูลเกี่ยวกับ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ เป็นต้น ซึ่งข้อมูลภาพถ่ายคนไข้นั้นถือได้ว่าเป็นข้อมูลสุขภาพ ตามระเบียบกระทรวงสาธารณสุขว่าด้วยการคุ้มครองและจัดการข้อมูลด้านสุขภาพของบุคคล พ.ศ. 2561 ที่นี้เมื่อทราบว่าเป็นข้อมูลส่วนบุคคลที่อ่อนไหว จึงจำเป็นต้องมีแนวหรือหลักการเพื่อให้การใช้ข้อมูลรูปถ่ายเป็นไปตามหลักของ PDPA หากจำเป็นต้องใช้ ต้องทำอย่างไร โดยหลักการของการคุ้มครองข้อมูลส่วนบุคคล การใช้ข้อมูลส่วนบุคคลควรใช้ข้อมูลตราบเท่าที่จำเป็น เช่นกัน การใช้ข้อมูลรูปถ่ายคนไข้ก็ควรจะต้องมีการใช้ข้อมูลเท่าที่จำเป็นเช่นกัน โดยเมื่อจำเป็นต้องมีการเก็บมูล จำเป็นต้องมีการขอความยินยอมก่อน รวมถึงมีการแจ้งวัตถุประสงค์ในการเก็บข้อมูลภาพถ่ายคนไข้ ซึ่งการแจ้งประกาศนั้นอาจจะมีเป็นการแจ้งเป็นประกาศความเป็นส่วนตัวของ คนไข้หรือลูกค้าตามแต่กรณี ต่อมาในการใช้งานหรือประมวลผลควรใช้เท่าที่จำเป็นซึ่งได้แก่ใช้เพื่อรักษาหรือติดตามอาการเท่านั้น ไม่ควรใช้เพื่อเหตุอื่น ถามว่าการเอารูปถ่ายคนไข้ให้หมอท่านอื่นดูได้หรือไม่ เพราะบางครั้งหมอที่เป็นเจ้าของไข้นั้นอาจจำเป็นต้องมีการนำภาพคนไข้ เพื่อปรึกษากับหมอท่านอื่น ตัวอย่างเช่น กรณีคนไข้มารักษาสิว เมื่อทำการรักษาแล้วหากพบว่าบริเวณที่รักษามีปัญหาขึ้นมา กรณีเช่นนี้หากเป็นไปเพื่อการรักษาและติดตามอาการก็สามารถทำได้ แต่ต้องมีการแจ้งให้เจ้าของข้อมูลทราบถึงความจำเป็นดังกล่าว โดยอาจจะสื่อสารผ่านตัวประกาศความเป็นส่วนตัวได้เช่นกัน นอกจากนี้แล้วนั้นหมอที่เป็นเจ้าของคนไข้ต้องมีความระมัดระวังในการเผยแพร่รูปถ่ายคนไข้ด้วย แม้จะมีการแจ้งเจ้าของข้อมูลส่วนบุคคลหรือคนไข้แล้วก็ตาม โดยหมอที่เป็นเจ้าของไข้นั้น ควรมีความระมัดระวังในการที่จะไม่เผยแพร่ภาพถ่ายคนไข้ดังกล่าวไปสู่หมอ รวมถึงบุคลกรทางการแพทย์ที่ไม่ได้มีความเกี่ยวข้องกับคนไข้ให้รับทราบ นอกจากนี้ช่องทางการเผยแพร่ข้อมูลก็เป็นสิ่งหนึ่งที่ควรจะต้องมีความระมัดระวังอย่างยิ่ง เนื่องจากในปัจจุบันนั้นวิทยาการด้านการสื่อสารสามารถส่งต่อข้อมูลดิจิทัลได้อย่างรวดเร็วและสะดวกสบายยิ่งขึ้น ไม่ว่าจะมาจากช่องทางอีเมล Messenger เป็นต้น ทั้งนี้เมื่อมีการส่งข้อมูลรูปถ่ายคนไข้ไป จำต้องมีคำนึงถึงความปลอดภัยด้วย ตัวอย่าง ไม่ควรส่งรูปถ่ายคนไข้ผ่านช่องทางการสื่อสารสาธารณะ เช่น Line เป็นต้น หรือหากจำเป็นต้องมีการส่งจริง ๆก็ควรมีมาตรการในการป้องกันการเข้าถึงด้วยตัวอย่างเช่น อาจจะมีการส่งข้อมูลโดยมีการเข้ารหัส โดยส่งรหัสดังกล่าวไปให้ปลายทางรับทราบพียบท่านเดียวเท่านั้น เพื่อให้มั่นใจได้ว่าข้อมูลดังกล่าวถึงมือผู้รับจริง และมีเพียงแต่ผุ้รับรหัสเท่านั้นที่จะสามารถเปิดดูข้อมูลที่เข้ารหัสไว้ได้ โดยภาพรวมนั้นสถานพยาบาลมีกิจกรรมหลาย ๆกิจกรรมที่มีการเข้าถึงข้อมูลส่วนบุคคลที่มี่ความอ่อนไหว เช่น กิจกรรมการนำภาพถ่ายคนไข้มาใช้เพื่อติดตามผลการรักษาคนไข้ ทั้งนี้สามรถทำได้แต่จำเป็นต้องมีแนวทางหรือกระบวนการบางอย่างมาเป็นมาตรฐานในการส่งต่อข้อมูล นอกจากจะเพื่อความปลอดภัยของคนไข้
จากบทความครั้งที่แล้ว เรื่อง Hotel reservation ไม่เกี่ยวกับ PDPA จริงหรือ ? ที่ได้มีการกล่าวถึงกระบวนการการจองที่พักในหลายรูปแบบ เช่น เว็บไซต์ เอเย่น walk-in ในวันนี้เราจะมากล่าวถึงกระบวนการที่ต่อเนื่องกันคือ กระบวนการการรับส่งจากสนามบินหรือสถานที่ต่างๆ ไปยังโรงแรม ในบางกรณีผู้เข้าพักบางท่านอาจมีความต้องการใช้บริการรถรับส่งเพื่อให้รับจากสนามบินมายังโรงแรมเพื่อความสะดวกของผู้เข้าพัก รูปแบบการรับส่งที่สนามบินโดยทั่วไปสามารถแบ่งออกได้เป็น 2 รูปแบบ ได้แก่ Inhouse limousine คือ กรณีที่โรงแรมมีบริการรับส่งด้วยตัวเอง Outsource limousine คือ กรณีที่โรงแรมมีการจ้างบริษัทรับส่งภายนอก ให้ดำเนินการรับส่งผู้เข้าพักแทนโรงแรม ในกรณีที่โรงแรมมีบริการรับส่งด้วยตัวเอง (Inhouse limousine)  โดยทั่วไปข้อมูลของผู้เข้าพักจะถูกโรงแรมเก็บมาแล้วจากขั้นตอนการจองห้องพัก แต่อาจมีการนำข้อมูลดังกล่าวมาใช้เพื่อเป็นการยืนยันตัวผู้เข้าพักอีกครั้ง การนำข้อมูลมาใช้ในกระบวนการนี้ โรงแรมต้องมีการระบุวัตถุประสงค์นี้เข้าไปในประกาศความเป็นส่วนตัวของผู้เข้าพัก (Privacy notice) และแจ้งให้ผู้เข้าพักทราบในขั้นตอนการรับจองห้องพัก หรือจะแจ้งอีกครั้งเพื่อเป็นการแจ้งย้ำให้ผู้เข้าพักทราบก็ย่อมทำได้ นอกจากนี้ การที่โรงแรมนำข้อมูลมาใช้ประมวลผลในกระบวนการนี้สามารถใช้ฐานสัญญา ตามมาตรา 24(3) ในการจัดเก็บข้อมูลส่วนบุคคลได้ เนื่องจากเป็นการจำเป็นเพื่อใช้ในการดำเนินการตามคำขอก่อนการเข้าทำสัญญาใช้บริการ ในกรณีที่โรงแรมมีการจ้างบริษัทรับส่งภายนอก ให้ดำเนินการรับส่งผู้เข้าพักแทนโรงแรม หรือ Outsource limousine ทางโรงแรมอาจจะมีการส่งรายชื่อของผู้ที่จะเข้าพักให้กับบริษัท Outsource limousine ซึ่งเป็นนิติบุคคลภายนอก เช่น ข้อมูล ชื่อ นามสกุล รายละเอียดการเดินทางและการเข้าพัก เป็นต้น การที่โรงแรมมีการจ้างบริษัทภายนอกให้ดำเนินการด้านการรับส่ง บริษัทรับส่งนั้นทำตามภายในนามหรือภายใต้คำสั่งโรงแรมนั้น บริษัท Outsource limousine จึงมีสถานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ซึ่งตามมาตรา 40 วรรค 2 กำหนดให้ผู้ควบคุมข้อมูลมีหน้าที่ต้องจัดให้มีข้อตกลงระหว่างกัน เพื่อควบคุมการดำเนินการตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล ดังนั้น ระหว่าง โรงแรมกับบริษัท Outsource limousine  ควรมีการทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement : DPA)  ทั้งนี้เพื่อช่วยให้คู่สัญญาซึ่งเป็นผู้ประมวลผล ทราบถึงบทบาทและหน้าที่ของตนเองเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล การกำหนดวัตถุประสงค์ในการเปิดเผยข้อมูลส่วนบุคคล การกำหนดมาตรฐานในการแบ่งปันข้อมูลส่วนบุคคลและขอบเขตในการประมวลผลข้อมูลส่วนบุคคล โดยรายละเอียดของข้อตกลงการแลกเปลี่ยนข้อมูลส่วนบุคคล
thThai

ลงทะเบียน

เข้าสู่ระบบ