เข้าสู่ระบบ/ลงทะเบียน

ค่าปรับ และบทลงโทษจากการละเมิดกฎหมาย PDPA ต้องจ่ายเท่าไหร่? ธุรกิจไทยดูไว้เป็นตัวอย่าง!

แชร์

อ่าน

1,150

ครั้ง

โดย : pornpilast.su

ค่าปรับ และบทลงโทษจากการละเมิดกฎหมาย PDPA ต้องจ่ายเท่าไหร่? ธุรกิจไทยดูไว้เป็นตัวอย่าง!

แชร์

อ่าน

1,150

ครั้ง

โดย : pornpilast.su

โทษปรับฐานละเมิด และไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลกำลังเป็นเรื่องใหญ่สำหรับองค์กรธุรกิจทั่วโลกนับตั้งแต่ปี 2561 เป็นต้นมา ภายหลังการบังคับใช้ General Data Protection Regulation (GDPR) ซึ่งเป็นกฎหมายของสหภาพยุโรปว่าด้วยมาตรการคุ้มครองความเป็นส่วนตัวของข้อมูลส่วนบุคคล และเป็นต้นแบบของกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ทั่วโลกนำไปประยุกต์ใช้ ทำให้ธุรกิจหลายแห่งถูกปรับ หรือต้องจ่ายค่าสินไหมทดแทน กรณีละเมิดหรือฝ่าผืนกฎหมายคุ้มครองข้อมูลส่วนบุคคล

ยกตัวอย่าง เช่น Google, Meta (Facebook), British Airways, H&M,  Amazon, Apple, Netflix, Spotify และ Marriot Hotels ที่ล้วนเคยเผชิญกับบทลงโทษ หรือบางกิจการก็กำลังเผชิญความกดดันจากระเบียบใหม่นี้อยู่ เนื่องจากเป็นระเบียบใหม่ที่มุ่งเน้นการคุ้มครองสิทธิข้อมูลส่วนบุคคลของผู้บริโภค ทำให้การเก็บรวมรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลเกิดเป็น ‘ต้นทุนการจัดการ’ เพื่อให้การดำเนินการถูกต้องตามกฎหมาย เพราะหากฝ่าฝืนจะมีโทษปรับที่ค่อนข้างรุนแรง ดังกรณีที่เคยเกิดขึ้น เช่น

  • Google โดนหน่วยงานตรวจสอบความเป็นส่วนตัวในประเทศฝรั่งเศส (CNIL) ปรับเงินกว่า 50 ล้านยูโร จากกรณีการละเมิดข้อมูลส่วนบุคคล เนื่องจากไม่ดำเนินการขอความยินยอมจากเจ้าของข้อมูลที่ถูกต้องเกี่ยวกับการปรับเปลี่ยนโฆษณา
  • กรณีอื้อฉาวของ Meta (Facebook) ที่มีข้อมูลส่วนบุคคลของผู้ใช้งาน What’s App รั่วไหลกว่า 50 ล้านบัญชีในไอร์แลนด์ (Data Breach) ซึ่งล่าสุดแม้จะโดนปรับเพียง 17 ล้านยูโร จากเดิมที่คาดว่าจะต้องถูกปรับเงินไม่น้อยกว่า 225 ล้านยูโร เนื่องจากไม่มีการคุ้มครองความเสี่ยงของข้อมูลผู้ใช้ที่ดีเพียงพอ โดยตามระเบียบของ GDPA มีโทษปรับสูงสุด 20 ล้านยูโร หรืออาจจะคิดจากฐาน 4% ของรายได้ทั่วโลก ซึ่งค่าปรับล่าสุดถือเป็นตัวเลขที่น้อยมากเมื่อเทียบกับรายได้ของ Meta แต่ปัจจุบัน Meta ก็ยังวุ่นวายกับการขึ้นศาลในคดีละเมิดข้อมูลส่วนบุคคลในหลายกรณี
  • British Airways โดนสำนักงานคณะกรรมาธิการด้านข้อมูล (ICO) สหราชอาณาจักรสั่งลงโทษปรับเป็นจำนวน 204.6 ล้านยูโร จากเหตุโดนแฮคข้อมูลทางการการเงินของลูกค้ามากกว่า 400,000 คน แต่จำนวนเงินที่จ่ายค่าปรับจริงๆ ประมาณ 27 ล้านดอลลาร์สหรัฐฯ โดยศาลพิจารณาจากคำให้การจากตัวแทนสายการบินและปัจจัยด้านผลกระทบทางเศรษฐกิจอันเนื่องมาจากการระบาดของ COVID-19 เข้ามาคำนวณค่าปรับ)

 

รวมทั้งยังมีบริษัทหลายแห่งทั่วโลก ถูกปรับ หรือต้องจ่ายค่าสินไหมกรณีละเมิดข้อมูลส่วนบุคคลอีกมากมายนับตั้งแต่ปี 2561 เป็นต้นมา

ภายใต้การบังคับใช้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ กฎหมาย PDPA ที่เป็นกฎหมายคุ้มครองข้อมูลของประเทศไทยที่มีต้นแบบมาจาก GDPR นั้น ค่าปรับในกรณีการละเมิดจะต้องจ่ายเท่าไหร่ และใช้บรรทัดฐานใดในการตัดสินคดีละเมิดข้อมูลส่วนบุคคล?

ค่าปรับ และค่าสินไหมละเมิดตามกฎหมาย PDPA ต้องจ่ายเท่าไหร่?

ก่อนอื่นต้องทราบก่อนว่า ผู้ที่มีอำนาจพิจารณาวินิจฉัยเรื่องค่าปรับ และการกำหนดโทษ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล โดยอาศัยอำนาจของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ในการที่จะพิจารณาบทลงโทษใน 3 ลักษณะ คือ ความรับผิดทางแพ่ง โทษอาญา และโทษทางปกครอง โดยในกฎหมาย PDPA มีการระบุไว้อย่างชัดเจน ดังนี้  :

ความรับผิดทางแพ่ง

บุคคลหรือนิติบุคคลที่มีสถานะเป็นผู้ควบคุมข้อมูล (Data Controller) และผู้ประมวลผลข้อมูล (Data Processor) หากมีการฝ่าฝืน หรือไม่ปฏิบัติตามกฎหมาย PDPA  จนทำให้เกิด ความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล ไม่ว่าจะจงใจหรือประมาทเลินเล่อ ต้องชดใช้ค่าสินไหมทดแทนแก่เจ้าของข้อมูลส่วนบุคคลตามความเสียหายที่เกิดขึ้น หรือคณะกรรมการคุ้มครองข้อมูลฯ อาจพิจารณาเพิ่มโทษเป็น 2 เท่าจากความเสียงหายจริงที่เกิดขึ้น คำนวณง่ายๆ ก็คือ ค่าปรับจริง + 2 เท่าของค่าปรับ = เงินค่าสินไหมทดแทนที่ต้องจ่าย

โทษทางอาญา

กฎหมาย PDPA กำหนดโทษอาญาไว้ 2 ลักษณะ คือ ปรับเงิน กับ จำคุก หรืออาจจะโดนทั้งคู่! ดังนี้ :

  • เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เก็บข้อมูลส่วนบุคคลอ่อนไหว ส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล มีโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 5 แสนบาท หรือทั้งจำทั้งปรับ
  • เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เก็บข้อมูลส่วนบุคคลอ่อนไหว ส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เพื่อแสวงหาประโยชน์ มีโทษจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
  • กรณีผู้ปฏิบัติหน้าที่ตามกฎหมาย นำข้อมูลส่วนบุคคลที่ทราบจากหน้าที่ไปเปิดเผย มีโทษจำคุกไม่เกิน 6 เดือน ปรับไม่เกิน 5 แสนบาทหรือทั้งจำทั้งปรับ

ทั้งนี้ ในกรณีผู้กระทำผิดเป็น ‘นิติบุคคล’ ซึ่งเกิดจากการสั่งการของกรรมการ ผู้จัดการ หรือผู้รับผิดชอบในงานนั้น หรือละเว้นที่จะสั่งการเป็นเหตุให้เกิดการทำผิดกฎหมาย PDPA บุคคลดังกล่าวจะต้องรับโทษ ตามบทลงโทษที่กฎหมายบัญญัติไว้ในความผิดนั้นด้วย

อย่างไรก็ตาม การกำหนดโทษจะดูจากพฤติการณ์ต่างๆ เช่น ความร้ายแรงของความเสียหาย ผลประโยชน์ที่ผู้ควบคุมข้อมูล หรือผู้ประมวลผลข้อมูลได้รับ ตลอดจนสถานะทางการเงิน การบรรเทาในส่วนที่เกิดความเสียหาย หรือกล่าวให้ง่ายกว่านั้นคือขึ้นอยู่ที่ดุลยพินิจของคณะกรรมการคุ้มครองข้อมูลฯ ซึ่งบทลงโทษอาจรวมทั้ง ความรับผิดทางแพ่ง โทษอาญา และโทษทางปกครองร่วมด้วย หมายความว่า หากละเมิดอาจโดนโทษถึง 3 เด้ง!!!

บทลงโทษทางปกครอง

กรณีบุคคล หรือนิติบุคคล มีเก็บรวบรวมข้อมูลส่วนบุคคล ภายใต้ ‘วัตถุประสงค์อันชอบด้วยกฎหมาย’ ซึ่งกฎหมาย PDPA อนุญาตให้ทำได้โดยอ้างอิงจาก ฐานสัญญา หรือฐานประโยชน์โดยชอบตามกฎหมาย แต่ต้องมีการดำเนินการตามที่กฎหมายบัญญัติไว้ ถือว่าได้ละเมิดกฎหมาย PDPA มีการแบ่ง โทษทางปกครอง 3 ส่วน สำหรับผู้ควบคุมข้อมูล –ผู้ประมวลผลข้อมูลหรือตัวแทนผู้ควบคุมข้อมูล ดังนี้ :

  • แจ้งข้อมูลของผู้จัดเก็บ
  • ระบุวัตถุประสงค์และรายละเอียดข้อมูลในการจัดเก็บ
  • กำหนดระยะเวลาในการจัดเก็บ
  • แจ้งแก่เจ้าของข้อมูลที่จะอาจจะถูกเปิดเผยแก่บุคคลที่สาม
  • แจ้งสิทธิต่างๆ และดำเนินการตามคำขอของเจ้าของข้อมูล
  • จัดทำบันทึกรายการข้อมูลส่วนบุคคล
  • มีมาตรการรักษาความปลอดภัยตามความเสี่ยงของข้อมูลอย่างเหมาะสม
  • จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามกฎหมาย (เจ้าหน้าที่ DPO)

 

โทษของผู้ควบคุมข้อมูล ปรับสูงสุดไม่เกิน 5,000,000 บาท จากกรณีดังนี้

  • การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่แจ้งฐานทางกฎหมาย
  • การไม่ขอความยินยอมให้ถูกต้องตามกฎหมาย
  • การเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลผิดไปจากวัตถุประสงค์ที่ได้แจ้งไว้โดยไม่ได้แจ้งวัตถุประสงค์ใหม่
  • การเก็บรวบรวมข้อมูลเกินที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล
  • การเก็บข้อมูลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลโดยตรงที่ต้องห้ามตามกฎหมาย
  • การแจ้งขอความยินยอมที่เป็นการหลอกลวง หรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดจากวัตถุประสงค์
  • การเก็บรวบรวม ใช้ หรือเปิดเผย การโอนข้อมูลอ่อนไหว( Sensitive Data )โดยไม่ชอบด้วยกฎหมาย
  • การไม่ให้เจ้าของข้อมูลเข้าถึงข้อมูลตามสิทธิ
  • การไม่ดำเนินการตามสิทธิของเจ้าของข้อมูล
  • การไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
  • การไม่จัดให้มีการสนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอต่อความจำเป็น
  • การโอนข้อมูลส่วนบุคคลไปยังต่างประเทศโดยไม่ชอบด้วยกฎหมาย
  • การไม่จัดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยที่เหมาะสม

 

โทษของผู้ประมวลผลข้อมูล และตัวแทนผู้ควบคุมข้อมูล  ปรับสูงสุดไม่เกิน 5,000,000 บาท จากกรณีดังนี้

  • การไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอ
  • การไม่ปฏิบัติตามคำสั่งของผู้ควบคุมข้อมูล (ไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม)
  • การโอนข้อมูลส่วนบุคคลไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย
  • การโอนข้อมูลส่วนบุคคลประเภทอ่อนไหวไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย

ทั้งนี้ คณะกรรมการผู้เชี่ยวชาญมีอำนาจสั่งลงโทษปรับทางปกครองตามที่กำหนดไว้ หรือสั่งให้แก้ไข หรือตักเตือนก่อนก็ได้ จากข้อมูลเรื่องค่าปรับ ค่าสินไหมทดแทน และโทษทางปกครองที่ต้องจ่ายหากบุคคลหรือนิติบุคคลมีการละเมิดกฎหมาย จะโดยจงใจหรือประมาทก็ตาม ผู้ประกอบการสามารถเตรียมความพร้อมก่อนกฎหมายบังคับใช้ หรือการแต่งตั้งเจ้าหน้าที่ DPO เพื่อให้การดำเนินการขององค์กรสามารถลดความเสี่ยงที่อาจมีการละเมิดกฎหมายได้ ซึ่งเป็นแนวทางที่ทุกองค์กรควรดำเนินการ ขณะเดียวกัน ธุรกิจขนาดเล็ก หรือ SME หากไม่ได้มีการเก็บข้อมูลส่วนบุคคลเป็นจำนวนมาก หรือมีการประมวลผลข้อมูลส่วนบุคคลเป็นครั้งคราว อาจพิจารณาแต่งตั้งเจ้าหน้าที่ประสานงานข้อมูลส่วนบุคคลที่มีความรู้ ความเข้าใจเรื่องกฎหมาย PDPA ก็จะเป็นแนวที่ที่สามารถลดความสี่ยงจากการละเมิดกฎหมายได้เช่นกัน

.

.

.

อ้างอิง : พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒

Share :

บทความที่เกี่ยวข้อง

สรุปเหตุการณ์ “ข้อมูลรั่วไหล” 2561-2566

กว่า 6 ปีที่ผ่านมา ประเทศไทยมีข่าวการหลุดรั่วของข้อมูลส่วนบุคคลเป็นจำนวนมาก ทั้งจากการกระทำของแฮกเกอร์ที่เข้ามาเจาะระบบ ทั้งจากการป้องกันการหลุดรั่วของข้อมูลส่วนบุคคลที่หละหลวม PDPA Thailand และวันนี้เป็นวันครบรอบ 1 นับจากวันที่ 1 มิถุนายน 2565 ที่กฎหมาย PDPA มีผลบังคับใช้เต็มรูปแบบ PDPA Thailand จึงรวบรวมเหตุการณ์สำคัญ ๆ ที่เกิดขึ้นมาตั้งแต่ปี พ.ศ.2561 จนถึง พ.ศ.2566 มาให้ดูกัน     เมษายน 2561 ข้อมูลลูกค้า True Move H หลุดรั่ว ฐานข้อมูลลูกค้า Truemove H ที่สมัครซื้อซิมพร้อมมือถือผ่าน iTruemart หลุดรั่วจำนวน 64,000 ราย ที่มา https://www.beartai.com/news/it-thai-news/233905   กันยายน 2563 โรงพยาบาลสระบุรี ถูกแรนซัมแวร์โจมตี “โรงพยาบาลสระบุรี” ถูกไวรัสแรนซัมแวร์ แฮกฐานข้อมูลระบบบริการผู้ป่วย ทำให้ไม่สามารถสืบค้นข้อมูลประวัติเก่าหรือให้บริการออนไลน์ได้ ที่มา https://www.sanook.com/news/8248818/   กุมภาพันธ์ 2564 ที่ว่าการอำเภอถลาง ใช้กระดาษรียูส ด้านหลังเป็นใบสำเนามรณบัตร สาวจดทะเบียนสมรส ได้ใบเสร็จพ่วงมรณบัตร สาเหตุจากการใช้กระดาษรียูสในการออกใบเสร็จ แต่เคสนี้เจ้าหน้าที่เผลอนำใบสำเนามรณบัตรมาใช้ ที่มา https://www.thairath.co.th/news/local/south/2543643   สิงหาคม 2564 Bangkok Airways ถูกแรนซัมแวร์โจมตี สายการบิน Bangkok Airways ถูกแรนซัมแวร์โจมตี คนร้ายลอบขโมยข้อมูลลูกค้าออกไปได้กว่า 100GB ประกอบด้วย ชื่อ-นามสกุล, เพศ, สัญชาติ, หมายเลขโทรศัพท์, ที่อยู่ และอีเมล รวมถึงข้อมูลอื่นๆ เช่น
อ่านเพิ่มเติม

ใช้รูปถ่ายคนไข้อย่างไรไม่ให้ละเมิดสิทธิคนไข้

เนื่องจากปัจจุบันเทคโนโลยีมีความก้าวไกลไปมากทำให้การดำเนินการต่าง ๆเป็นไปอย่างสะดวกมากขึ้น ตั้งแต่การเดินทางรวมถึงกระบวนการทำงานต่าง ๆ ซึ่งหนึ่งในองค์กรที่มีการนำวิทยาการนำมาใช้ ได้แก่ สถานพยาบาลนั่นเอง ซึ่งปัจจุบันนั้นมีนำเทคโนโลยีมาใช้เพื่อความสะดวกสบาย เช่น ใช้หุ่นยนต์ในการส่งแฟ้มเอกสารระหว่างแผนก หรือการใช้ระบบต่างเพื่อรวบรวมข้อมูลคนไข้ไว้ที่เดียวกันเพื่อสะดวกต่อการค้นหา ซึ่งกระบวนการหนึ่งที่มีการใช้งานได้แก่ การส่งต่อรูปถ่าย ซึ่งปัจจุบันนั้นวัตถุประสงค์หลัก ๆในการส่งรูปถ่ายจะเป็นไปเพื่อประโยชน์ทางการรักษาหรือติดตามอาการของผู้ป่วย ทั้งนี้ มันมีข้อสังเกตว่า ข้อมูลรูปถ่ายคนไข้เป็นข้อมูลอ่อนไหวหรือไม่ และหากจำเป็นต้องมีการใข้ข้อมูลภาพถ่ายจะต้องใช้อย่างไรเพื่อให้สอดคล้องตามหลักของ PDPA ข้อมูลรูปถ่ายคนไข้ถือว่าเป็นข้อมูลอ่อนไหวหรือไม่ จากที่เราทราบกับข้อมูลอ่อนไหว ได้แก่ข้อมูลเกี่ยวกับ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ เป็นต้น ซึ่งข้อมูลภาพถ่ายคนไข้นั้นถือได้ว่าเป็นข้อมูลสุขภาพ ตามระเบียบกระทรวงสาธารณสุขว่าด้วยการคุ้มครองและจัดการข้อมูลด้านสุขภาพของบุคคล พ.ศ. 2561 ที่นี้เมื่อทราบว่าเป็นข้อมูลส่วนบุคคลที่อ่อนไหว จึงจำเป็นต้องมีแนวหรือหลักการเพื่อให้การใช้ข้อมูลรูปถ่ายเป็นไปตามหลักของ PDPA หากจำเป็นต้องใช้ ต้องทำอย่างไร โดยหลักการของการคุ้มครองข้อมูลส่วนบุคคล การใช้ข้อมูลส่วนบุคคลควรใช้ข้อมูลตราบเท่าที่จำเป็น เช่นกัน การใช้ข้อมูลรูปถ่ายคนไข้ก็ควรจะต้องมีการใช้ข้อมูลเท่าที่จำเป็นเช่นกัน โดยเมื่อจำเป็นต้องมีการเก็บมูล จำเป็นต้องมีการขอความยินยอมก่อน รวมถึงมีการแจ้งวัตถุประสงค์ในการเก็บข้อมูลภาพถ่ายคนไข้ ซึ่งการแจ้งประกาศนั้นอาจจะมีเป็นการแจ้งเป็นประกาศความเป็นส่วนตัวของ คนไข้หรือลูกค้าตามแต่กรณี ต่อมาในการใช้งานหรือประมวลผลควรใช้เท่าที่จำเป็นซึ่งได้แก่ใช้เพื่อรักษาหรือติดตามอาการเท่านั้น ไม่ควรใช้เพื่อเหตุอื่น ถามว่าการเอารูปถ่ายคนไข้ให้หมอท่านอื่นดูได้หรือไม่ เพราะบางครั้งหมอที่เป็นเจ้าของไข้นั้นอาจจำเป็นต้องมีการนำภาพคนไข้ เพื่อปรึกษากับหมอท่านอื่น ตัวอย่างเช่น กรณีคนไข้มารักษาสิว เมื่อทำการรักษาแล้วหากพบว่าบริเวณที่รักษามีปัญหาขึ้นมา กรณีเช่นนี้หากเป็นไปเพื่อการรักษาและติดตามอาการก็สามารถทำได้ แต่ต้องมีการแจ้งให้เจ้าของข้อมูลทราบถึงความจำเป็นดังกล่าว โดยอาจจะสื่อสารผ่านตัวประกาศความเป็นส่วนตัวได้เช่นกัน นอกจากนี้แล้วนั้นหมอที่เป็นเจ้าของคนไข้ต้องมีความระมัดระวังในการเผยแพร่รูปถ่ายคนไข้ด้วย แม้จะมีการแจ้งเจ้าของข้อมูลส่วนบุคคลหรือคนไข้แล้วก็ตาม โดยหมอที่เป็นเจ้าของไข้นั้น ควรมีความระมัดระวังในการที่จะไม่เผยแพร่ภาพถ่ายคนไข้ดังกล่าวไปสู่หมอ รวมถึงบุคลกรทางการแพทย์ที่ไม่ได้มีความเกี่ยวข้องกับคนไข้ให้รับทราบ นอกจากนี้ช่องทางการเผยแพร่ข้อมูลก็เป็นสิ่งหนึ่งที่ควรจะต้องมีความระมัดระวังอย่างยิ่ง เนื่องจากในปัจจุบันนั้นวิทยาการด้านการสื่อสารสามารถส่งต่อข้อมูลดิจิทัลได้อย่างรวดเร็วและสะดวกสบายยิ่งขึ้น ไม่ว่าจะมาจากช่องทางอีเมล Messenger เป็นต้น ทั้งนี้เมื่อมีการส่งข้อมูลรูปถ่ายคนไข้ไป จำต้องมีคำนึงถึงความปลอดภัยด้วย ตัวอย่าง ไม่ควรส่งรูปถ่ายคนไข้ผ่านช่องทางการสื่อสารสาธารณะ เช่น Line เป็นต้น หรือหากจำเป็นต้องมีการส่งจริง ๆก็ควรมีมาตรการในการป้องกันการเข้าถึงด้วยตัวอย่างเช่น อาจจะมีการส่งข้อมูลโดยมีการเข้ารหัส โดยส่งรหัสดังกล่าวไปให้ปลายทางรับทราบพียบท่านเดียวเท่านั้น เพื่อให้มั่นใจได้ว่าข้อมูลดังกล่าวถึงมือผู้รับจริง และมีเพียงแต่ผุ้รับรหัสเท่านั้นที่จะสามารถเปิดดูข้อมูลที่เข้ารหัสไว้ได้ โดยภาพรวมนั้นสถานพยาบาลมีกิจกรรมหลาย ๆกิจกรรมที่มีการเข้าถึงข้อมูลส่วนบุคคลที่มี่ความอ่อนไหว เช่น กิจกรรมการนำภาพถ่ายคนไข้มาใช้เพื่อติดตามผลการรักษาคนไข้ ทั้งนี้สามรถทำได้แต่จำเป็นต้องมีแนวทางหรือกระบวนการบางอย่างมาเป็นมาตรฐานในการส่งต่อข้อมูล นอกจากจะเพื่อความปลอดภัยของคนไข้
อ่านเพิ่มเติม

Hotel limousine กับ PDPA สิ่งที่ต้องกังวลเมื่อส่งข้อมูลไปนอกโรงแรม

จากบทความครั้งที่แล้ว เรื่อง Hotel reservation ไม่เกี่ยวกับ PDPA จริงหรือ ? ที่ได้มีการกล่าวถึงกระบวนการการจองที่พักในหลายรูปแบบ เช่น เว็บไซต์ เอเย่น walk-in ในวันนี้เราจะมากล่าวถึงกระบวนการที่ต่อเนื่องกันคือ กระบวนการการรับส่งจากสนามบินหรือสถานที่ต่างๆ ไปยังโรงแรม ในบางกรณีผู้เข้าพักบางท่านอาจมีความต้องการใช้บริการรถรับส่งเพื่อให้รับจากสนามบินมายังโรงแรมเพื่อความสะดวกของผู้เข้าพัก รูปแบบการรับส่งที่สนามบินโดยทั่วไปสามารถแบ่งออกได้เป็น 2 รูปแบบ ได้แก่ Inhouse limousine คือ กรณีที่โรงแรมมีบริการรับส่งด้วยตัวเอง Outsource limousine คือ กรณีที่โรงแรมมีการจ้างบริษัทรับส่งภายนอก ให้ดำเนินการรับส่งผู้เข้าพักแทนโรงแรม ในกรณีที่โรงแรมมีบริการรับส่งด้วยตัวเอง (Inhouse limousine)  โดยทั่วไปข้อมูลของผู้เข้าพักจะถูกโรงแรมเก็บมาแล้วจากขั้นตอนการจองห้องพัก แต่อาจมีการนำข้อมูลดังกล่าวมาใช้เพื่อเป็นการยืนยันตัวผู้เข้าพักอีกครั้ง การนำข้อมูลมาใช้ในกระบวนการนี้ โรงแรมต้องมีการระบุวัตถุประสงค์นี้เข้าไปในประกาศความเป็นส่วนตัวของผู้เข้าพัก (Privacy notice) และแจ้งให้ผู้เข้าพักทราบในขั้นตอนการรับจองห้องพัก หรือจะแจ้งอีกครั้งเพื่อเป็นการแจ้งย้ำให้ผู้เข้าพักทราบก็ย่อมทำได้ นอกจากนี้ การที่โรงแรมนำข้อมูลมาใช้ประมวลผลในกระบวนการนี้สามารถใช้ฐานสัญญา ตามมาตรา 24(3) ในการจัดเก็บข้อมูลส่วนบุคคลได้ เนื่องจากเป็นการจำเป็นเพื่อใช้ในการดำเนินการตามคำขอก่อนการเข้าทำสัญญาใช้บริการ ในกรณีที่โรงแรมมีการจ้างบริษัทรับส่งภายนอก ให้ดำเนินการรับส่งผู้เข้าพักแทนโรงแรม หรือ Outsource limousine ทางโรงแรมอาจจะมีการส่งรายชื่อของผู้ที่จะเข้าพักให้กับบริษัท Outsource limousine ซึ่งเป็นนิติบุคคลภายนอก เช่น ข้อมูล ชื่อ นามสกุล รายละเอียดการเดินทางและการเข้าพัก เป็นต้น การที่โรงแรมมีการจ้างบริษัทภายนอกให้ดำเนินการด้านการรับส่ง บริษัทรับส่งนั้นทำตามภายในนามหรือภายใต้คำสั่งโรงแรมนั้น บริษัท Outsource limousine จึงมีสถานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ซึ่งตามมาตรา 40 วรรค 2 กำหนดให้ผู้ควบคุมข้อมูลมีหน้าที่ต้องจัดให้มีข้อตกลงระหว่างกัน เพื่อควบคุมการดำเนินการตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล ดังนั้น ระหว่าง โรงแรมกับบริษัท Outsource limousine  ควรมีการทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement : DPA)  ทั้งนี้เพื่อช่วยให้คู่สัญญาซึ่งเป็นผู้ประมวลผล ทราบถึงบทบาทและหน้าที่ของตนเองเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล การกำหนดวัตถุประสงค์ในการเปิดเผยข้อมูลส่วนบุคคล การกำหนดมาตรฐานในการแบ่งปันข้อมูลส่วนบุคคลและขอบเขตในการประมวลผลข้อมูลส่วนบุคคล โดยรายละเอียดของข้อตกลงการแลกเปลี่ยนข้อมูลส่วนบุคคล
อ่านเพิ่มเติม
Copyright © 2022 Digital Business Consult, All Rights Reserved.

Privacy Notice

Privacy Policy

thThai
en_USEnglish thThai

ลงทะเบียน

Please accept the Terms and Conditions to proceed.
เข้าสู่ระบบ ลืมรหัสผ่าน?

เข้าสู่ระบบ