เข้าสู่ระบบ/ลงทะเบียน

บริษัทรักษาความปลอดภัย ดูไว้! 10 เรื่อง ‘ต้องทำ’ หากไม่อยากเดือดร้อนจากกฎหมาย PDPA

แชร์

อ่าน

27

ครั้ง

โดย : pornpilast.su

บริษัทรักษาความปลอดภัย ดูไว้! 10 เรื่อง ‘ต้องทำ’ หากไม่อยากเดือดร้อนจากกฎหมาย PDPA

แชร์

อ่าน

27

ครั้ง

โดย : pornpilast.su

ภายใต้เส้นตายของการบังคับใช้กฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ทำให้องค์กรธุรกิจต่างเร่งปรับตัวเพื่อดำเนินการให้สอดคล้องกับกฎหมายนี้ และอีกหนึ่งธุรกิจที่มีการดำเนินการในลักษณะสุ่มเสี่ยงละเมิดข้อมูลส่วนบุคคลได้ง่าย นั่นคือ บริษัทรักษาความปลอดภัย

แต่ก่อนจะเข้าเรื่องกฎหมาย PDPA เรามาดูกันก่อนว่า ทำไม่ถึงบอกว่า บริษัทรักษาความปลอดภัยเสี่ยงละเมิดกฎหมาย PDPA เพราะเนื่องจากรูปแบบการดำเนินธุรกิจที่เกี่ยวข้องกับการเก็บข้อมูลส่วนบุคคล (Personal Data) และเก็บข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data) รวมทั้งมาตรการักษาความปลอดภัย บางอย่าง ก็สามารถนำไปสู่กรณีละเมิดที่นำไปสู่การฟ้องร้องดำเนินคดีทั้งในลักษณะทางแพ่ง และความผิดทางอาญาได้ง่าย เช่น

  • บริษัทรักษาความปลอดภัยมีการเก็บข้อมูลส่วนบุคคล และข้อมูลส่วนบุคคลอ่อนไหวของพนักงาน อาทิ ประวัติอาชญากรรม ลายนิ้วมือ
  • บริษัทรักษาความปลอดภัยมีการติดกล้องวงจรปิดในสถานที่ทำงาน และสถานที่ส่วนบุคคลของลูกค้าที่ให้บริการ
  • บริษัทรักษาความปลอดภัยมีการเก็บและส่งต่อข้อมูลส่วนบุคคลที่มีการจัดเก็บแก่บุคคลที่สาม เช่น ข้อมูลพนักงาน ข้อมูลลูกค้าที่ให้บริการ ซึ่งอาจรวมถึงการเก็บข้อมูลจากบุคคลที่สาม ซึ่งเป็นลักษณะการเก็บจากแหล่งอื่น โดยที่เจ้าของข้อมูลก็อาจจะไม่ทราบ ยกตัวอย่างให้เห็นภาพง่ายๆ อาทิ ข้อมูลลูกบ้านในโครงการ ข้อมูลผู้อยู่อาศัยในคอนโดมิเนียม ข้อมูลพนักงานในบริษัทลูกค้าหรือที่มีผู้ว่าจ้าง ข้อมูลบุคคลทั่วไปที่เข้าชมงานแสดงดนตรี
  • บริษัทรักษาความปลอดภัยเข้าข่ายธุรกิจที่มีการจัดเก็บข้อมูลเป็นจำนวนมาก โดยนิยามของคำว่า ‘ข้อมูลจำนวนมาก’ ในที่นี้อ้างอิงจากกฎหมาย PDPA ที่ระบุว่า บุคคลหรือนิติบุคคลที่มีการจัดเก็บข้อมูลบุคคลทั่วไปที่สามารถระบุตัวตนของเจ้าของข้อมูล 50,000 ราย หรือมีข้อมูลอ่อนไหวของเจ้าของข้อมูล 5,000 ราย
  • รวมถึงการดำเนินการของบริษัทรักษาความปลอดภัยที่เกี่ยวข้องกับข้อมูลส่วนบุคคลอื่นๆ อาทิ ข้อมูลคู่ค้า –คู่สัญญา

 

ดังนั้นจะเห็นว่า รูปแบบการดำเนินธุรกิจของบริษัทรักษาความปลอดภัยจึงมีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคลให้หลากหลายกิจกรรม แต่ถึงกระนั้น บริษัทรักษาความปลอดภัยซึ่งจัดตั้งและขออนุญาตดำเนินธุรกิจภายใต้ประมวลกฎหมายแพ่งและพาณิชย์ มีสถานะที่กฎหมายคุ้มครองจากพระราชบัญญัติธุรกิจรักษาความปลอดภัย พ.ศ. 2558 ทำให้การดำเนินการโดยทั่วไปจึงสามารถอ้างอิงว่า เป็นการดำเนินการที่ ถูกต้องและชอบด้วยกฎหมาย ตีความได้ว่า เป็นธุรกิจที่สามารถใช้ ‘ฐานกฎหมาย และ ‘ฐานประโยชน์โดยชอบธรรม ในการเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้

แต่ถึงอย่างนั้น ผู้ประกอบธุรกิจรักษาความปลอดภัยจะต้องทราบว่า กฎหมายไทยให้น้ำหนักที่ เจตนา และ‘การตีความ’ จากพฤติการณ์ที่เกิดขึ้น ดังนั้นแม้ฐานกฎหมาย และฐานประโยชน์โดยชอบธรรมในการดำเนินกิจกรรมทางธุรกิจจะอนุญาตให้ทำได้ แต่หากการดำเนินการนั้น เกิดขึ้นในลักษณะที่กฎหมาย ขีดเส้นใต้ ไว้ ไม่ว่าจะเป็น ในลักษณะจงใจ หรือประมาทเลินเล่อก็ตาม ซึ่งจะไม่เพียงแค่ผิดกฎหมายอาญา ถูกฟ้องร้องเรียกค่าสินไหมจากคดีแพ่ง และอาจจะโดนโทษทางปกครองจากกฎหมาย PDPA ร่วมด้วย

 

มาดูกัน! บริษัทรักษาความปลอดภัย (อาจจะ) ทำผิดกฎหมาย PDPA ลักษณะใดบ้าง

  • ข้อมูลส่วนบุคคล และข้อมูลส่วนบุคคลอ่อนไหว เกิดการรั่วไหล หรือมีการนำข้อมูลดังกล่าวไปใช้ในวัตถุประสงค์อื่นๆ โดยเฉพาะข้อมูลอาชญากรรม หรือข้อมูลการต้องโทษของพนักงานที่เสี่ยงต่อการก่อให้เกิดความเกลียดชัง เสียชื่อเสียง เสียสิทธิ หรือได้รับการปฏิบัติอย่างไม่เป็นธรรมได้
  • ติดกล้องวงจรปิดโดยไม่ได้จัดทำ CCTV Notice เพื่อแจ้งให้ทราบว่าบริษัทได้มีการติดกล้องวงจรปิดเพื่อประโยชน์ในด้านต่างๆ
  • มีการเก็บข้อมูลส่วนบุคคลจากแหล่งอื่น หรือส่งต่อข้อมูลส่วนบุคคลแก่บุคคลที่สาม หรือส่งต่อข้อมูลไปต่างประเทศ โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล
  • ตรวจสอบข้อมูลอาชญากรรมด้วยตนเอง หรือทำโดยที่เจ้าของข้อมูลส่วนบุคคลไม่ได้ให้การยินยอม
  • เก็บข้อมูลส่วนบุคคลของพนักงาน ลูกค้า คู่สัญญา รวมถึงบุคคลภายนอกเป็นจำนวนมาก ก็เข้าข่ายลักษณะการเก็บข้อมูลส่วนบุคคลที่ เกินความจำเป็น อาจนำไปสู่การรั่วไหลหรือละเมิดได้ง่าย
  • ไม่มีมาตรการในการรักษาความปลอดภัยของข้อมูลที่เหมาะสมกับความเสี่ยง
  • การเก็บข้อมูลเป็นจำนวนมาก แต่ไม่ได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลภายในองค์กร (DPO)

10 เรื่องที่บริษัทรักษาความปลอดภัย ต้องทำ หากไม่อยากเดือดร้อนจากกฎหมาย PDPA  

1.ข้อตกลงความยินยอม (Consent) ในการเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และข้อมูลส่วนบุคคลอ่อนไหว แก่ ผู้สมัครงาน พนักงาน ตลอดจนบุคลากรที่เกี่ยวข้อง

2.นโยบายความเป็นส่วนตัว (Privacy Policy) และประกาศความเป็นส่วนตัว (Privacy Notice)หากธุรกิจมีเว็บไซต์ที่มีการจัดเก็บคุกกี้ (Cookie) จะต้องทำ Cookie Policy ด้วย

3.บันทึกรายการข้อมูลส่วนบุคคล (Record of Processing Activities :RoPA) เช่น วัตถุประสงค์ แหล่งที่เก็บ ใช้หรือเปิดเผยข้อมูลส่วนบุคคล การเปิดเผยข้อมูลส่วนบุคคลแก่บุคคลที่สาม

4. จัดทำป้าย CCTV Notice และคำประกาศเกี่ยวกับความเป็นส่วนตัวในการใช้กล้องวงจรปิด (CCTV Privacy Notice) เพื่อแจ้งให้ทราบว่าบริษัทได้มีการติดกล้องวงจรปิดเพื่อประโยชน์ในด้านต่างๆ

5.แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) บริษัทที่เก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลเป็นจำนวนมาก หรือดำเนินกิจกรรมที่มีความเสี่ยงต่อการละเมิดหรือเสี่ยงละเมิดกฎหมาย PDPA ระบุว่าจะต้องแต่งตั้ง DPO ภายในองค์กร หรือบุคคลภายนอกที่มีคุณสมบัติตรงตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลรับรอง

6.จัดทำข้อตกลงการแบ่งปันข้อมูลส่วนบุคคล หากองค์กรธุรกิจคุณมีการแบ่งบันหรือส่งต่อข้อมูลส่วนบุคคลให้กับคู่ค้าหรือบุคคลภายนอก จะต้องมีการจัดทำข้อตกลงในการใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

7. ดำเนินการด้านสิทธิแก่เจ้าของข้อมูลส่วนบุคคล บริษัทรักษาความปลอดภัยจะต้องมีการจัดทำระบบเพื่อการเข้าถึงข้อมูลส่วนบุคคลเพื่อประโยชน์แก่เจ้าของข้อมูลในด้านการเข้าถึง และใช้สิทธิ ขอให้แก้ไข ระงับ ลบทำลาย หรือยกเลิกคำยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยผ่านช่องทางที่เข้าถึงได้ง่าย และสะดวก

8.รักษาความปลอดภัยของข้อมูลส่วนบุคคล โดยบริษัทจะต้องดำเนินการด้านการทั้งด้านอุปกรณ์และเจ้าหน้าที่เพื่อรักษาความปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสมกับความเสี่ยง

9.ประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล หรือ DPIA (Data Protection Impact Assessment) โดยจัดทำแบบประเมินโดยการสำรวจและวิเคราะห์ข้อมูลส่วนบุคคลเพื่อประเมินความเสี่ยงที่ธุรกิจอาจจะต้องเจอในรูปแบบต่างๆ

10. ปรับปรุง ทบทวน หรือแก้ไขนโยบายการคุ้มครองข้อมูลส่วนบุคคลอยู่เสมอ เพื่อให้การดำเนินกิจกรรมของบริษัทและเงื่อนไขต่างๆ ได้มีการอัปเดตข้อมูลอยู่เสมออันจะนำไปสู่มาตรการป้องกันความเสี่ยงละเมิดกฎหมาย PDPA อย่างเหมาะสม

 

อย่างไรก็ตาม บริษัทรักษาความปลอดภัย ควรระลึกอยู่เสมอว่า ‘ข้อมูลส่วนบุคคลควรเก็บเท่าที่จำเป็นต้องใช้ เพราะไม่เพียงเป็นต้นทุนทางธุรกิจ แต่บางขณะก็อาจจะเป็น หายนะ ของธุรกิจได้เช่นกัน บริษัทจึงควรมีการจัดเก็บข้อมูลส่วนบุคคลที่เหมาะสมและจำเป็นตามกิจกรรม รวมทั้งการจัดทำข้อมูลให้เป็น ‘นิรนาม ในกรณีที่ข้อมูลนั้นยังมีความจำเป็นต้องจัดเก็บอยู่แต่อาจจะไม่ต้องมีรายละเอียดที่สามารถระบุตัวตนของบุคคลนั้นได้ ก็เป็นอีกแนวทางที่ควรดำเนินการ เพื่อให้การกิจกรรมของบริษัทรักษาความปลอดภัยมีมาตรฐานตามกฎหมาย PDPA ซึ่งมองว่าเกิดประโยชน์ทั้งในมุมของบริษัทและลูกค้าผู้ใช้บริการอีกด้วย  

Share :

บทความที่เกี่ยวข้อง

สรุปเหตุการณ์ “ข้อมูลรั่วไหล” 2561-2566

กว่า 6 ปีที่ผ่านมา ประเทศไทยมีข่าวการหลุดรั่วของข้อมูลส่วนบุคคลเป็นจำนวนมาก ทั้งจากการกระทำของแฮกเกอร์ที่เข้ามาเจาะระบบ ทั้งจากการป้องกันการหลุดรั่วของข้อมูลส่วนบุคคลที่หละหลวม PDPA Thailand และวันนี้เป็นวันครบรอบ 1 นับจากวันที่ 1 มิถุนายน 2565 ที่กฎหมาย PDPA มีผลบังคับใช้เต็มรูปแบบ PDPA Thailand จึงรวบรวมเหตุการณ์สำคัญ ๆ ที่เกิดขึ้นมาตั้งแต่ปี พ.ศ.2561 จนถึง พ.ศ.2566 มาให้ดูกัน     เมษายน 2561 ข้อมูลลูกค้า True Move H หลุดรั่ว ฐานข้อมูลลูกค้า Truemove H ที่สมัครซื้อซิมพร้อมมือถือผ่าน iTruemart หลุดรั่วจำนวน 64,000 ราย ที่มา https://www.beartai.com/news/it-thai-news/233905   กันยายน 2563 โรงพยาบาลสระบุรี ถูกแรนซัมแวร์โจมตี “โรงพยาบาลสระบุรี” ถูกไวรัสแรนซัมแวร์ แฮกฐานข้อมูลระบบบริการผู้ป่วย ทำให้ไม่สามารถสืบค้นข้อมูลประวัติเก่าหรือให้บริการออนไลน์ได้ ที่มา https://www.sanook.com/news/8248818/   กุมภาพันธ์ 2564 ที่ว่าการอำเภอถลาง ใช้กระดาษรียูส ด้านหลังเป็นใบสำเนามรณบัตร สาวจดทะเบียนสมรส ได้ใบเสร็จพ่วงมรณบัตร สาเหตุจากการใช้กระดาษรียูสในการออกใบเสร็จ แต่เคสนี้เจ้าหน้าที่เผลอนำใบสำเนามรณบัตรมาใช้ ที่มา https://www.thairath.co.th/news/local/south/2543643   สิงหาคม 2564 Bangkok Airways ถูกแรนซัมแวร์โจมตี สายการบิน Bangkok Airways ถูกแรนซัมแวร์โจมตี คนร้ายลอบขโมยข้อมูลลูกค้าออกไปได้กว่า 100GB ประกอบด้วย ชื่อ-นามสกุล, เพศ, สัญชาติ, หมายเลขโทรศัพท์, ที่อยู่ และอีเมล รวมถึงข้อมูลอื่นๆ เช่น
อ่านเพิ่มเติม

ใช้รูปถ่ายคนไข้อย่างไรไม่ให้ละเมิดสิทธิคนไข้

เนื่องจากปัจจุบันเทคโนโลยีมีความก้าวไกลไปมากทำให้การดำเนินการต่าง ๆเป็นไปอย่างสะดวกมากขึ้น ตั้งแต่การเดินทางรวมถึงกระบวนการทำงานต่าง ๆ ซึ่งหนึ่งในองค์กรที่มีการนำวิทยาการนำมาใช้ ได้แก่ สถานพยาบาลนั่นเอง ซึ่งปัจจุบันนั้นมีนำเทคโนโลยีมาใช้เพื่อความสะดวกสบาย เช่น ใช้หุ่นยนต์ในการส่งแฟ้มเอกสารระหว่างแผนก หรือการใช้ระบบต่างเพื่อรวบรวมข้อมูลคนไข้ไว้ที่เดียวกันเพื่อสะดวกต่อการค้นหา ซึ่งกระบวนการหนึ่งที่มีการใช้งานได้แก่ การส่งต่อรูปถ่าย ซึ่งปัจจุบันนั้นวัตถุประสงค์หลัก ๆในการส่งรูปถ่ายจะเป็นไปเพื่อประโยชน์ทางการรักษาหรือติดตามอาการของผู้ป่วย ทั้งนี้ มันมีข้อสังเกตว่า ข้อมูลรูปถ่ายคนไข้เป็นข้อมูลอ่อนไหวหรือไม่ และหากจำเป็นต้องมีการใข้ข้อมูลภาพถ่ายจะต้องใช้อย่างไรเพื่อให้สอดคล้องตามหลักของ PDPA ข้อมูลรูปถ่ายคนไข้ถือว่าเป็นข้อมูลอ่อนไหวหรือไม่ จากที่เราทราบกับข้อมูลอ่อนไหว ได้แก่ข้อมูลเกี่ยวกับ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ เป็นต้น ซึ่งข้อมูลภาพถ่ายคนไข้นั้นถือได้ว่าเป็นข้อมูลสุขภาพ ตามระเบียบกระทรวงสาธารณสุขว่าด้วยการคุ้มครองและจัดการข้อมูลด้านสุขภาพของบุคคล พ.ศ. 2561 ที่นี้เมื่อทราบว่าเป็นข้อมูลส่วนบุคคลที่อ่อนไหว จึงจำเป็นต้องมีแนวหรือหลักการเพื่อให้การใช้ข้อมูลรูปถ่ายเป็นไปตามหลักของ PDPA หากจำเป็นต้องใช้ ต้องทำอย่างไร โดยหลักการของการคุ้มครองข้อมูลส่วนบุคคล การใช้ข้อมูลส่วนบุคคลควรใช้ข้อมูลตราบเท่าที่จำเป็น เช่นกัน การใช้ข้อมูลรูปถ่ายคนไข้ก็ควรจะต้องมีการใช้ข้อมูลเท่าที่จำเป็นเช่นกัน โดยเมื่อจำเป็นต้องมีการเก็บมูล จำเป็นต้องมีการขอความยินยอมก่อน รวมถึงมีการแจ้งวัตถุประสงค์ในการเก็บข้อมูลภาพถ่ายคนไข้ ซึ่งการแจ้งประกาศนั้นอาจจะมีเป็นการแจ้งเป็นประกาศความเป็นส่วนตัวของ คนไข้หรือลูกค้าตามแต่กรณี ต่อมาในการใช้งานหรือประมวลผลควรใช้เท่าที่จำเป็นซึ่งได้แก่ใช้เพื่อรักษาหรือติดตามอาการเท่านั้น ไม่ควรใช้เพื่อเหตุอื่น ถามว่าการเอารูปถ่ายคนไข้ให้หมอท่านอื่นดูได้หรือไม่ เพราะบางครั้งหมอที่เป็นเจ้าของไข้นั้นอาจจำเป็นต้องมีการนำภาพคนไข้ เพื่อปรึกษากับหมอท่านอื่น ตัวอย่างเช่น กรณีคนไข้มารักษาสิว เมื่อทำการรักษาแล้วหากพบว่าบริเวณที่รักษามีปัญหาขึ้นมา กรณีเช่นนี้หากเป็นไปเพื่อการรักษาและติดตามอาการก็สามารถทำได้ แต่ต้องมีการแจ้งให้เจ้าของข้อมูลทราบถึงความจำเป็นดังกล่าว โดยอาจจะสื่อสารผ่านตัวประกาศความเป็นส่วนตัวได้เช่นกัน นอกจากนี้แล้วนั้นหมอที่เป็นเจ้าของคนไข้ต้องมีความระมัดระวังในการเผยแพร่รูปถ่ายคนไข้ด้วย แม้จะมีการแจ้งเจ้าของข้อมูลส่วนบุคคลหรือคนไข้แล้วก็ตาม โดยหมอที่เป็นเจ้าของไข้นั้น ควรมีความระมัดระวังในการที่จะไม่เผยแพร่ภาพถ่ายคนไข้ดังกล่าวไปสู่หมอ รวมถึงบุคลกรทางการแพทย์ที่ไม่ได้มีความเกี่ยวข้องกับคนไข้ให้รับทราบ นอกจากนี้ช่องทางการเผยแพร่ข้อมูลก็เป็นสิ่งหนึ่งที่ควรจะต้องมีความระมัดระวังอย่างยิ่ง เนื่องจากในปัจจุบันนั้นวิทยาการด้านการสื่อสารสามารถส่งต่อข้อมูลดิจิทัลได้อย่างรวดเร็วและสะดวกสบายยิ่งขึ้น ไม่ว่าจะมาจากช่องทางอีเมล Messenger เป็นต้น ทั้งนี้เมื่อมีการส่งข้อมูลรูปถ่ายคนไข้ไป จำต้องมีคำนึงถึงความปลอดภัยด้วย ตัวอย่าง ไม่ควรส่งรูปถ่ายคนไข้ผ่านช่องทางการสื่อสารสาธารณะ เช่น Line เป็นต้น หรือหากจำเป็นต้องมีการส่งจริง ๆก็ควรมีมาตรการในการป้องกันการเข้าถึงด้วยตัวอย่างเช่น อาจจะมีการส่งข้อมูลโดยมีการเข้ารหัส โดยส่งรหัสดังกล่าวไปให้ปลายทางรับทราบพียบท่านเดียวเท่านั้น เพื่อให้มั่นใจได้ว่าข้อมูลดังกล่าวถึงมือผู้รับจริง และมีเพียงแต่ผุ้รับรหัสเท่านั้นที่จะสามารถเปิดดูข้อมูลที่เข้ารหัสไว้ได้ โดยภาพรวมนั้นสถานพยาบาลมีกิจกรรมหลาย ๆกิจกรรมที่มีการเข้าถึงข้อมูลส่วนบุคคลที่มี่ความอ่อนไหว เช่น กิจกรรมการนำภาพถ่ายคนไข้มาใช้เพื่อติดตามผลการรักษาคนไข้ ทั้งนี้สามรถทำได้แต่จำเป็นต้องมีแนวทางหรือกระบวนการบางอย่างมาเป็นมาตรฐานในการส่งต่อข้อมูล นอกจากจะเพื่อความปลอดภัยของคนไข้
อ่านเพิ่มเติม

Hotel limousine กับ PDPA สิ่งที่ต้องกังวลเมื่อส่งข้อมูลไปนอกโรงแรม

จากบทความครั้งที่แล้ว เรื่อง Hotel reservation ไม่เกี่ยวกับ PDPA จริงหรือ ? ที่ได้มีการกล่าวถึงกระบวนการการจองที่พักในหลายรูปแบบ เช่น เว็บไซต์ เอเย่น walk-in ในวันนี้เราจะมากล่าวถึงกระบวนการที่ต่อเนื่องกันคือ กระบวนการการรับส่งจากสนามบินหรือสถานที่ต่างๆ ไปยังโรงแรม ในบางกรณีผู้เข้าพักบางท่านอาจมีความต้องการใช้บริการรถรับส่งเพื่อให้รับจากสนามบินมายังโรงแรมเพื่อความสะดวกของผู้เข้าพัก รูปแบบการรับส่งที่สนามบินโดยทั่วไปสามารถแบ่งออกได้เป็น 2 รูปแบบ ได้แก่ Inhouse limousine คือ กรณีที่โรงแรมมีบริการรับส่งด้วยตัวเอง Outsource limousine คือ กรณีที่โรงแรมมีการจ้างบริษัทรับส่งภายนอก ให้ดำเนินการรับส่งผู้เข้าพักแทนโรงแรม ในกรณีที่โรงแรมมีบริการรับส่งด้วยตัวเอง (Inhouse limousine)  โดยทั่วไปข้อมูลของผู้เข้าพักจะถูกโรงแรมเก็บมาแล้วจากขั้นตอนการจองห้องพัก แต่อาจมีการนำข้อมูลดังกล่าวมาใช้เพื่อเป็นการยืนยันตัวผู้เข้าพักอีกครั้ง การนำข้อมูลมาใช้ในกระบวนการนี้ โรงแรมต้องมีการระบุวัตถุประสงค์นี้เข้าไปในประกาศความเป็นส่วนตัวของผู้เข้าพัก (Privacy notice) และแจ้งให้ผู้เข้าพักทราบในขั้นตอนการรับจองห้องพัก หรือจะแจ้งอีกครั้งเพื่อเป็นการแจ้งย้ำให้ผู้เข้าพักทราบก็ย่อมทำได้ นอกจากนี้ การที่โรงแรมนำข้อมูลมาใช้ประมวลผลในกระบวนการนี้สามารถใช้ฐานสัญญา ตามมาตรา 24(3) ในการจัดเก็บข้อมูลส่วนบุคคลได้ เนื่องจากเป็นการจำเป็นเพื่อใช้ในการดำเนินการตามคำขอก่อนการเข้าทำสัญญาใช้บริการ ในกรณีที่โรงแรมมีการจ้างบริษัทรับส่งภายนอก ให้ดำเนินการรับส่งผู้เข้าพักแทนโรงแรม หรือ Outsource limousine ทางโรงแรมอาจจะมีการส่งรายชื่อของผู้ที่จะเข้าพักให้กับบริษัท Outsource limousine ซึ่งเป็นนิติบุคคลภายนอก เช่น ข้อมูล ชื่อ นามสกุล รายละเอียดการเดินทางและการเข้าพัก เป็นต้น การที่โรงแรมมีการจ้างบริษัทภายนอกให้ดำเนินการด้านการรับส่ง บริษัทรับส่งนั้นทำตามภายในนามหรือภายใต้คำสั่งโรงแรมนั้น บริษัท Outsource limousine จึงมีสถานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ซึ่งตามมาตรา 40 วรรค 2 กำหนดให้ผู้ควบคุมข้อมูลมีหน้าที่ต้องจัดให้มีข้อตกลงระหว่างกัน เพื่อควบคุมการดำเนินการตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล ดังนั้น ระหว่าง โรงแรมกับบริษัท Outsource limousine  ควรมีการทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement : DPA)  ทั้งนี้เพื่อช่วยให้คู่สัญญาซึ่งเป็นผู้ประมวลผล ทราบถึงบทบาทและหน้าที่ของตนเองเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล การกำหนดวัตถุประสงค์ในการเปิดเผยข้อมูลส่วนบุคคล การกำหนดมาตรฐานในการแบ่งปันข้อมูลส่วนบุคคลและขอบเขตในการประมวลผลข้อมูลส่วนบุคคล โดยรายละเอียดของข้อตกลงการแลกเปลี่ยนข้อมูลส่วนบุคคล
อ่านเพิ่มเติม
Copyright © 2022 Digital Business Consult, All Rights Reserved.

Privacy Notice

Privacy Policy

thThai
en_USEnglish thThai

ลงทะเบียน

Please accept the Terms and Conditions to proceed.
เข้าสู่ระบบ ลืมรหัสผ่าน?

เข้าสู่ระบบ