‘มูลนิธิ’ ต้องรู้ ‘สายบุญ’ ก็ต้องอ่าน! มีประเด็นไหนบ้างที่อาจละเมิดกฎหมาย PDPA

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

‘มูลนิธิ’ ต้องรู้ ‘สายบุญ’ ก็ต้องอ่าน! มีประเด็นไหนบ้างที่อาจละเมิดกฎหมาย PDPA

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

 

‘มูลนิธิ’ เป็นรูปแบบการนำทรัพย์สินมารวมกันเพื่อทำกิจกรรมให้เป็นไปตามวัตถุประสงค์ของการก่อตั้ง โดยในปัจจุบันมีการจดทะเบียนก่อตั้งมูลนิธิเพื่อดำเนินกิจกรรมในหลายด้าน อาทิ ศาสนา อนุรักษ์ กีฬา สังคม สาธารณสุข การศึกษา ศิลปะ วัฒนธรรม ฯลฯ ส่วนใหญ่จะเป็นกิจกรรมเพื่อการสังคมสงเคราะห์ ถึงอย่างนั้น แม้จะมองที่รูปแบบการดำเนินกิจกรรมเป็นไปเพื่อ ‘ประโยชน์สาธารณะ’ แต่ต้องไม่ลืมว่าองค์กรมูลนิธิมีสถานะเป็น ‘นิติบุคคล’ ตามประมวลกฎหมายแพ่งและพาณิชย์ 

ด้วยเหตุนี้ มีหลายกิจกรรม ตลอดจนการดำเนินการของมูลนิธิที่จะต้องเข้าใจ และปรับเปลี่ยนเพื่อให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ กฎหมาย PDPA (Personal Data Protection Act) ที่จะมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 นี้ 

มูลนิธิ กับกฎหมาย PDPA เกี่ยวข้องกันอย่างไร?

กฎหมาย PDPA มุ่งเน้นการคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามหลักการจัดการสากล เทียบเคียงมาจากกฎหมาย GDPR (General Data Protection Regulation) ซึ่งเป็นกฎระเบียบของสหภาพยุโรป และเป็นต้นแบบของกฎหมายคุ้มครองข้อมูลส่วนบุคคลทั่วโลกที่ต้องการให้องค์กรธุรกิจ หน่วยงานรัฐต่าง ๆ มีความระมัดระวังในการเก็บ รวมรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

สำหรับ มูลนิธิต่าง ๆ ตามแง่มุมของกฎหมาย PDPA มีสถานะเป็น ‘ผู้ควบคุมข้อมูล หรือ Data Controller’ คือ บุคคล หรือนิติบุคคลที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล กฎหมายระบุว่า จะต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่กฎหมายอื่นบัญญัติให้กระทำได้ ซึ่งมุมนี้อาจจะบอกได้ว่ามูลนิธิมีประมวลกฎหมายแพ่งและพาณิชย์รองรับในการเก็บรวมรวมข้อมูลทะเบียนสมาชิกและกรรมการ เพื่อส่งให้นายทะเบียน อยู่ในข้อยกเว้นสำหรับการขอความยินยอมซึ่งเป็นไปตามขั้นตอนของกฎหมายในการก่อตั้งมูลนิธิ  

แต่กฎหมายอนุญาตให้เก็บ รวบรวม ใช้ หรือเปิดเผยได้ โดยเพื่อประโยชน์ในงานด้านทะเบียน แต่ไม่ได้ระบุถึงผลต่อเนื่องหลังจากนั้น เช่น หากข้อมูลส่วนบุคคลภายในมูลนิธิเกิดการละเมิด นำไปสู่การฟ้องร้อง หรือจ่ายค่าสินไหมทดแทน ก็จะมีการนำกฎหมาย PDPA มาใช้เป็นบรรทัดฐานในการตัดสินคดี 

ส่วนนี้จึงเป็นส่วนแรกที่มูลนิธิต่าง ๆ จะต้องมีการจัดเก็บข้อมูลให้มีความปลอดภัยอย่างเหมาะสมตามหน้าที่ทางกฎหมาย รวมไปถึงการเก็บรวมรวมข้อมูลภายในองค์กร ข้อมูลส่วนบุคคลผู้บริจาค ข้อมูลส่วนบุคคลที่ได้รับความอนุเคราะห์ หรือช่วยเหลือ ตลอดจนภาพถ่าย วิดีโอ หรือข้อมูลในรูปแบบต่าง ๆ ที่สามารถระบุตัวบุคคลได้ทั้งทางตรง และทางอ้อม ก็ต้องเก็บและใช้อย่างระมัดระวังเช่นกัน รวมถึงควรเน้นย้ำภายในองค์กรเสมอว่าการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจะต้องขอความยินยอมจากเจ้าของข้อมูลซึ่งเป็นเรื่องที่สำคัญมาก  

ข้อมูลส่วนบุคคลอ่อนไหว ‘เรื่องใหญ่’ ที่มูลนิธิต้องรีบจัดการ

ประเด็นต่อมา คือ รูปแบบของมูลนิธิ และกิจกรรมที่เกี่ยวโยงกับการเก็บ รวมรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลประเภทอ่อนไหว (Sensitive Data) อาทิ เชื้อชาติ ศาสนา ข้อมูลสุขภาพ ความพิการ ข้อมูลพันธุกรรม ข้อมูลชีวภาพ ข้อมูลสหภาพแรงงาน ประวัติอาชญากรรม พฤติกรรมทางเพศ ความคิดเห็นทางการเมือง ความเชื่อ เป็นข้อมูลที่สามารถระบุตัวบุคคลได้เฉพาะเจาะจงมากขึ้น หรือข้อมูลที่อาจจะส่งผลกระทบโดยตรงต่อเจ้าของข้อมูลส่วนบุคคลที่จะก่อให้เกิด อคติ ความไม่เป็นธรรม เกลียดชัง เลือกปฏิบัติ หรือเสื่อมเสีย เช่น 

  • มูลนิธิที่เกี่ยวกับเด็ก อาจละเมิดสิทธิของผู้เยาว์ที่ต้องขอความยินยอมจากผู้ปกครองตามกฎหมาย
  • มูลนิธิที่เกี่ยวกับผู้พิการ อาจละเมิดสิทธิของผู้พิการและผู้ไร้ความสามารถ
  • มูลนิธิที่เกี่ยวกับการรักษาทางการแพทย์ ที่อาจจะเกี่ยวโยงเรื่องการเปิดเผยข้อมูลสุขภาพ อีเอ็นเอ ข้อมูลชีวภาพ
  • มูลนิธิที่เกี่ยวกับศาสนาและความเชื่อ แม้ข้อมูลส่วนบุคคลของผู้เสียชีวิตไม่ได้รับความคุ้มครองตามกฎหมาย PDPA แต่การเปิดเผยข้อมูลด้านศาสนา ปรัชญา ความเชื่อ โดยเจ้าของข้อมูลที่มีชีวิตอยู่ไม่ยินยอมก็เข้าข่ายละเมิดเช่นกัน 
  • มูลนิธิด้านสังคมสงเคราะห์ อาจเข้าข่ายละเมิดข้อมูลส่วนบุคคลอ่อนไหวของบุคคลได้ง่าย เช่น การตรวจสอบข้อมูลสุขภาพ ข้อมูลอาชญากรรม ข้อมูลของบุคคลไร้ความสามารถ หรือเสมือนไร้ความสามารถ 
  • มูลนิธิที่มุ่งเน้นกิจกรรมทางการเมือง ก็อาจจะเข้าข่ายการเก็บข้อมูลอ่อนไหวเพื่อประโยชน์เฉพาะด้านที่ต้องขอความยินยอม 

ทั้งนี้กฎหมายคุ้มครองข้อมูลส่วนบุคคล PDPA มีโทษอาญาจำคุกสูงสุด 1 ปี ปรับสูงสุด 1 ล้านบาท โทษปกครองปรับสูงสุด 5 ล้านบาท รวมถึงโทษทางแพ่งที่อาจจะต้องจ่ายค่าสินไหมทดแทนเป็นเงินก้อนโต หากเกิดการละเมิดข้อมูลส่วนบุคคลอ่อนไหวซึ่งเรามองว่าเป็นโจทย์ใหญ่ที่มูลนิธิต้องรีบจัดการเรื่องกฎหมาย PDPA อย่างรอบคอบ 

4 เรื่องเร่งด่วนที่ มูลนิธิ ต้องทำเพื่อรับมือกฎหมาย PDPA

สำหรับมูลนิธิที่มีการเก็บข้อมูลส่วนบุคคลทั่วไป หรือมีความจำเป็นต้องเก็บข้อมูลส่วนบุคคลอ่อนไหวเป็นจำนวนมาก ตามกฎหมาย PDPA กำหนดให้จะต้องขอความยินยอมโดยชัดเจนกับเจ้าของข้อมูลส่วนบุคคล และต้องนำข้อมูลไปใช้ตามวัตถุประสงค์ที่แจ้งเจ้าของข้อมูลไว้แต่แรก รวมทั้งมีการจัดทำเรื่องการจัดการข้อมูลส่วนบุคคลที่เหมาะสม ดังนี้ 

1.ศึกษาบริบทในการใช้ข้อมูล (Context of Use) และกำหนดวัตถุประสงค์การเก็บ รวบรวม ใช้ และเปิดเผยอย่างเหมาะสม

2.กำหนดนโยบายความเป็นส่วนตัว (Privacy Policy) ประกาศความเป็นส่วนตัว (Privacy notice) และหากมีเว็บไซต์ที่เก็บข้อมูลด้วยคุกกี้ก็ต้องทำ Cookie Policy ด้วย 

3.จัดทำระบบหรือเอกสารขอความยินยอม (Consent)

4.กำหนดมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสม (Information security)

อย่างไรก็ตาม กฎหมาย PDPA ได้มีการยกเว้นในบางกรณีที่ทำให้สามารถเก็บ รวบรวมใช้ และเปิดเผยข้อมูลส่วนบุคคลได้โดยไม่ต้องขอความยินยอมจากเจ้าของข้อมูล คือ 

1.เพื่อจัดทำจดหมายเหตุ วิจัย สถิติ

2.ป้องกันหรือระงับอันตรายต่อชีวิตหรือร่างกาย

3.ปฏิบัติหน้าที่ตามสัญญา

4.ประโยชน์สาธารณะ 

5.ประโยชน์โดยชอบด้วยกฎหมาย

6.ปฏิบัติหน้าที่ตามกฎหมาย 

กระนั้น จากข้อยกเว้นในบางกรณีที่กฎหมายระบุว่าสามารถเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้โดยไม่ต้องขอความยินยอม แต่ก็ยังคงต้องอยู่บนเงื่อนไขของความ ‘เหมาะสม จำเป็น และความปลอดภัยของข้อมูล’ เพราะตามที่เราได้ระบุไว้ข้างต้น กฎหมาย PDPA ดูผลจากการกระทำ และเจตนา หากการกระทำใด ๆ ก็ตามที่ส่งผลต่อเจ้าของข้อมูลส่วนบุคคล เจ้าของมีสิทธิที่จะขอให้ยุติการเปิดเผย แก้ไข ถ่ายโอน ระงับ หรือทำลายข้อมูลได้ทุกเวลา (ยกเว้บบางกรณีตามกฎหมายกำหนด) แต่หากมูลนิธิซึ่งเป็นเจ้าของข้อมูลไม่ปฏิบัติตามคำร้องก็อาจนำไปสู่การฟ้องร้องดำเนินคดี และจะนำมาซึ่งความยุ่งยากอีกมากในอนาคต 

จะเห็นได้ว่า แม้จะเป็นกิจกรรมของมูลนิธิ ที่ได้จัดตั้งตามประมวลกฎหมายแพ่งและพาณิชย์ ดำเนินกิจกรรมเพื่อการสังคมสงเคราะห์ หรือสาธารณะประโยชน์ แต่หากเกิดการละเมิดที่ส่งผลให้เกิดความเสียหายแก่เจ้าของข้อมูลส่วนบุคคล กฎหมาย PDPA ก็จะถูกนำมาเป็นบรรทัดฐานตัดสินคดีการละเมิดนี้อยู่ดี 

ด้วยเหตุผลเหล่านี้ ทั้งมูลนิธิ หรือผู้ที่มีกำลังทรัพย์ในการบริจาคเพื่อช่วยเหลือกิจกรรมของมูลนิธิ ซึ่งบ่อยครั้งมีการถ่ายภาพหรือเปิดเผยข้อมูลส่วนบุคคล และข้อมูลส่วนบุคคลอ่อนไหวของผู้ที่ได้รับความช่วยเหลือจึงต้องควรระมัดระวัง และต้องทำความเข้าใจกฎหมายฉบับใหม่นี้อย่างถี่ถ้วน 

Share :

บทความที่เกี่ยวข้อง

กว่า 6 ปีที่ผ่านมา ประเทศไทยมีข่าวการหลุดรั่วของข้อมูลส่วนบุคคลเป็นจำนวนมาก ทั้งจากการกระทำของแฮกเกอร์ที่เข้ามาเจาะระบบ ทั้งจากการป้องกันการหลุดรั่วของข้อมูลส่วนบุคคลที่หละหลวม PDPA Thailand และวันนี้เป็นวันครบรอบ 1 นับจากวันที่ 1 มิถุนายน 2565 ที่กฎหมาย PDPA มีผลบังคับใช้เต็มรูปแบบ PDPA Thailand จึงรวบรวมเหตุการณ์สำคัญ ๆ ที่เกิดขึ้นมาตั้งแต่ปี พ.ศ.2561 จนถึง พ.ศ.2566 มาให้ดูกัน     เมษายน 2561 ข้อมูลลูกค้า True Move H หลุดรั่ว ฐานข้อมูลลูกค้า Truemove H ที่สมัครซื้อซิมพร้อมมือถือผ่าน iTruemart หลุดรั่วจำนวน 64,000 ราย ที่มา https://www.beartai.com/news/it-thai-news/233905   กันยายน 2563 โรงพยาบาลสระบุรี ถูกแรนซัมแวร์โจมตี “โรงพยาบาลสระบุรี” ถูกไวรัสแรนซัมแวร์ แฮกฐานข้อมูลระบบบริการผู้ป่วย ทำให้ไม่สามารถสืบค้นข้อมูลประวัติเก่าหรือให้บริการออนไลน์ได้ ที่มา https://www.sanook.com/news/8248818/   กุมภาพันธ์ 2564 ที่ว่าการอำเภอถลาง ใช้กระดาษรียูส ด้านหลังเป็นใบสำเนามรณบัตร สาวจดทะเบียนสมรส ได้ใบเสร็จพ่วงมรณบัตร สาเหตุจากการใช้กระดาษรียูสในการออกใบเสร็จ แต่เคสนี้เจ้าหน้าที่เผลอนำใบสำเนามรณบัตรมาใช้ ที่มา https://www.thairath.co.th/news/local/south/2543643   สิงหาคม 2564 Bangkok Airways ถูกแรนซัมแวร์โจมตี สายการบิน Bangkok Airways ถูกแรนซัมแวร์โจมตี คนร้ายลอบขโมยข้อมูลลูกค้าออกไปได้กว่า 100GB ประกอบด้วย ชื่อ-นามสกุล, เพศ, สัญชาติ, หมายเลขโทรศัพท์, ที่อยู่ และอีเมล รวมถึงข้อมูลอื่นๆ เช่น
เนื่องจากปัจจุบันเทคโนโลยีมีความก้าวไกลไปมากทำให้การดำเนินการต่าง ๆเป็นไปอย่างสะดวกมากขึ้น ตั้งแต่การเดินทางรวมถึงกระบวนการทำงานต่าง ๆ ซึ่งหนึ่งในองค์กรที่มีการนำวิทยาการนำมาใช้ ได้แก่ สถานพยาบาลนั่นเอง ซึ่งปัจจุบันนั้นมีนำเทคโนโลยีมาใช้เพื่อความสะดวกสบาย เช่น ใช้หุ่นยนต์ในการส่งแฟ้มเอกสารระหว่างแผนก หรือการใช้ระบบต่างเพื่อรวบรวมข้อมูลคนไข้ไว้ที่เดียวกันเพื่อสะดวกต่อการค้นหา ซึ่งกระบวนการหนึ่งที่มีการใช้งานได้แก่ การส่งต่อรูปถ่าย ซึ่งปัจจุบันนั้นวัตถุประสงค์หลัก ๆในการส่งรูปถ่ายจะเป็นไปเพื่อประโยชน์ทางการรักษาหรือติดตามอาการของผู้ป่วย ทั้งนี้ มันมีข้อสังเกตว่า ข้อมูลรูปถ่ายคนไข้เป็นข้อมูลอ่อนไหวหรือไม่ และหากจำเป็นต้องมีการใข้ข้อมูลภาพถ่ายจะต้องใช้อย่างไรเพื่อให้สอดคล้องตามหลักของ PDPA ข้อมูลรูปถ่ายคนไข้ถือว่าเป็นข้อมูลอ่อนไหวหรือไม่ จากที่เราทราบกับข้อมูลอ่อนไหว ได้แก่ข้อมูลเกี่ยวกับ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ เป็นต้น ซึ่งข้อมูลภาพถ่ายคนไข้นั้นถือได้ว่าเป็นข้อมูลสุขภาพ ตามระเบียบกระทรวงสาธารณสุขว่าด้วยการคุ้มครองและจัดการข้อมูลด้านสุขภาพของบุคคล พ.ศ. 2561 ที่นี้เมื่อทราบว่าเป็นข้อมูลส่วนบุคคลที่อ่อนไหว จึงจำเป็นต้องมีแนวหรือหลักการเพื่อให้การใช้ข้อมูลรูปถ่ายเป็นไปตามหลักของ PDPA หากจำเป็นต้องใช้ ต้องทำอย่างไร โดยหลักการของการคุ้มครองข้อมูลส่วนบุคคล การใช้ข้อมูลส่วนบุคคลควรใช้ข้อมูลตราบเท่าที่จำเป็น เช่นกัน การใช้ข้อมูลรูปถ่ายคนไข้ก็ควรจะต้องมีการใช้ข้อมูลเท่าที่จำเป็นเช่นกัน โดยเมื่อจำเป็นต้องมีการเก็บมูล จำเป็นต้องมีการขอความยินยอมก่อน รวมถึงมีการแจ้งวัตถุประสงค์ในการเก็บข้อมูลภาพถ่ายคนไข้ ซึ่งการแจ้งประกาศนั้นอาจจะมีเป็นการแจ้งเป็นประกาศความเป็นส่วนตัวของ คนไข้หรือลูกค้าตามแต่กรณี ต่อมาในการใช้งานหรือประมวลผลควรใช้เท่าที่จำเป็นซึ่งได้แก่ใช้เพื่อรักษาหรือติดตามอาการเท่านั้น ไม่ควรใช้เพื่อเหตุอื่น ถามว่าการเอารูปถ่ายคนไข้ให้หมอท่านอื่นดูได้หรือไม่ เพราะบางครั้งหมอที่เป็นเจ้าของไข้นั้นอาจจำเป็นต้องมีการนำภาพคนไข้ เพื่อปรึกษากับหมอท่านอื่น ตัวอย่างเช่น กรณีคนไข้มารักษาสิว เมื่อทำการรักษาแล้วหากพบว่าบริเวณที่รักษามีปัญหาขึ้นมา กรณีเช่นนี้หากเป็นไปเพื่อการรักษาและติดตามอาการก็สามารถทำได้ แต่ต้องมีการแจ้งให้เจ้าของข้อมูลทราบถึงความจำเป็นดังกล่าว โดยอาจจะสื่อสารผ่านตัวประกาศความเป็นส่วนตัวได้เช่นกัน นอกจากนี้แล้วนั้นหมอที่เป็นเจ้าของคนไข้ต้องมีความระมัดระวังในการเผยแพร่รูปถ่ายคนไข้ด้วย แม้จะมีการแจ้งเจ้าของข้อมูลส่วนบุคคลหรือคนไข้แล้วก็ตาม โดยหมอที่เป็นเจ้าของไข้นั้น ควรมีความระมัดระวังในการที่จะไม่เผยแพร่ภาพถ่ายคนไข้ดังกล่าวไปสู่หมอ รวมถึงบุคลกรทางการแพทย์ที่ไม่ได้มีความเกี่ยวข้องกับคนไข้ให้รับทราบ นอกจากนี้ช่องทางการเผยแพร่ข้อมูลก็เป็นสิ่งหนึ่งที่ควรจะต้องมีความระมัดระวังอย่างยิ่ง เนื่องจากในปัจจุบันนั้นวิทยาการด้านการสื่อสารสามารถส่งต่อข้อมูลดิจิทัลได้อย่างรวดเร็วและสะดวกสบายยิ่งขึ้น ไม่ว่าจะมาจากช่องทางอีเมล Messenger เป็นต้น ทั้งนี้เมื่อมีการส่งข้อมูลรูปถ่ายคนไข้ไป จำต้องมีคำนึงถึงความปลอดภัยด้วย ตัวอย่าง ไม่ควรส่งรูปถ่ายคนไข้ผ่านช่องทางการสื่อสารสาธารณะ เช่น Line เป็นต้น หรือหากจำเป็นต้องมีการส่งจริง ๆก็ควรมีมาตรการในการป้องกันการเข้าถึงด้วยตัวอย่างเช่น อาจจะมีการส่งข้อมูลโดยมีการเข้ารหัส โดยส่งรหัสดังกล่าวไปให้ปลายทางรับทราบพียบท่านเดียวเท่านั้น เพื่อให้มั่นใจได้ว่าข้อมูลดังกล่าวถึงมือผู้รับจริง และมีเพียงแต่ผุ้รับรหัสเท่านั้นที่จะสามารถเปิดดูข้อมูลที่เข้ารหัสไว้ได้ โดยภาพรวมนั้นสถานพยาบาลมีกิจกรรมหลาย ๆกิจกรรมที่มีการเข้าถึงข้อมูลส่วนบุคคลที่มี่ความอ่อนไหว เช่น กิจกรรมการนำภาพถ่ายคนไข้มาใช้เพื่อติดตามผลการรักษาคนไข้ ทั้งนี้สามรถทำได้แต่จำเป็นต้องมีแนวทางหรือกระบวนการบางอย่างมาเป็นมาตรฐานในการส่งต่อข้อมูล นอกจากจะเพื่อความปลอดภัยของคนไข้
จากบทความครั้งที่แล้ว เรื่อง Hotel reservation ไม่เกี่ยวกับ PDPA จริงหรือ ? ที่ได้มีการกล่าวถึงกระบวนการการจองที่พักในหลายรูปแบบ เช่น เว็บไซต์ เอเย่น walk-in ในวันนี้เราจะมากล่าวถึงกระบวนการที่ต่อเนื่องกันคือ กระบวนการการรับส่งจากสนามบินหรือสถานที่ต่างๆ ไปยังโรงแรม ในบางกรณีผู้เข้าพักบางท่านอาจมีความต้องการใช้บริการรถรับส่งเพื่อให้รับจากสนามบินมายังโรงแรมเพื่อความสะดวกของผู้เข้าพัก รูปแบบการรับส่งที่สนามบินโดยทั่วไปสามารถแบ่งออกได้เป็น 2 รูปแบบ ได้แก่ Inhouse limousine คือ กรณีที่โรงแรมมีบริการรับส่งด้วยตัวเอง Outsource limousine คือ กรณีที่โรงแรมมีการจ้างบริษัทรับส่งภายนอก ให้ดำเนินการรับส่งผู้เข้าพักแทนโรงแรม ในกรณีที่โรงแรมมีบริการรับส่งด้วยตัวเอง (Inhouse limousine)  โดยทั่วไปข้อมูลของผู้เข้าพักจะถูกโรงแรมเก็บมาแล้วจากขั้นตอนการจองห้องพัก แต่อาจมีการนำข้อมูลดังกล่าวมาใช้เพื่อเป็นการยืนยันตัวผู้เข้าพักอีกครั้ง การนำข้อมูลมาใช้ในกระบวนการนี้ โรงแรมต้องมีการระบุวัตถุประสงค์นี้เข้าไปในประกาศความเป็นส่วนตัวของผู้เข้าพัก (Privacy notice) และแจ้งให้ผู้เข้าพักทราบในขั้นตอนการรับจองห้องพัก หรือจะแจ้งอีกครั้งเพื่อเป็นการแจ้งย้ำให้ผู้เข้าพักทราบก็ย่อมทำได้ นอกจากนี้ การที่โรงแรมนำข้อมูลมาใช้ประมวลผลในกระบวนการนี้สามารถใช้ฐานสัญญา ตามมาตรา 24(3) ในการจัดเก็บข้อมูลส่วนบุคคลได้ เนื่องจากเป็นการจำเป็นเพื่อใช้ในการดำเนินการตามคำขอก่อนการเข้าทำสัญญาใช้บริการ ในกรณีที่โรงแรมมีการจ้างบริษัทรับส่งภายนอก ให้ดำเนินการรับส่งผู้เข้าพักแทนโรงแรม หรือ Outsource limousine ทางโรงแรมอาจจะมีการส่งรายชื่อของผู้ที่จะเข้าพักให้กับบริษัท Outsource limousine ซึ่งเป็นนิติบุคคลภายนอก เช่น ข้อมูล ชื่อ นามสกุล รายละเอียดการเดินทางและการเข้าพัก เป็นต้น การที่โรงแรมมีการจ้างบริษัทภายนอกให้ดำเนินการด้านการรับส่ง บริษัทรับส่งนั้นทำตามภายในนามหรือภายใต้คำสั่งโรงแรมนั้น บริษัท Outsource limousine จึงมีสถานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ซึ่งตามมาตรา 40 วรรค 2 กำหนดให้ผู้ควบคุมข้อมูลมีหน้าที่ต้องจัดให้มีข้อตกลงระหว่างกัน เพื่อควบคุมการดำเนินการตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล ดังนั้น ระหว่าง โรงแรมกับบริษัท Outsource limousine  ควรมีการทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement : DPA)  ทั้งนี้เพื่อช่วยให้คู่สัญญาซึ่งเป็นผู้ประมวลผล ทราบถึงบทบาทและหน้าที่ของตนเองเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล การกำหนดวัตถุประสงค์ในการเปิดเผยข้อมูลส่วนบุคคล การกำหนดมาตรฐานในการแบ่งปันข้อมูลส่วนบุคคลและขอบเขตในการประมวลผลข้อมูลส่วนบุคคล โดยรายละเอียดของข้อตกลงการแลกเปลี่ยนข้อมูลส่วนบุคคล
thThai

ลงทะเบียน

เข้าสู่ระบบ