รู้หรือไม่ ? SME มีความเสี่ยงทำผิดกฎหมาย PDPA ในกิจกรรมใดบ้าง

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

รู้หรือไม่ ? SME มีความเสี่ยงทำผิดกฎหมาย PDPA ในกิจกรรมใดบ้าง

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

สาเหตุยอดฮิตปัญหาการละเมิดข้อมูลส่วนบุคคลในบริษัท SME เกิดจาก ‘การรั่วไหลจากภายใน’ เป็นที่ทราบดีว่าในการดำเนินธุรกิจยุคใหม่ ‘ข้อมูล’ คือทรัพย์สินสำคัญขององค์กร ไม่ว่าจะเป็น ข้อมูลลูกค้า/คู่ค้า, ข้อมูลของพนักงาน, ข้อมูลอีเมล, ข้อมูลทรัพย์สินทางปัญญา ข้อมูลการเงิน ตลอดจนข้อมูลธุรกิจที่สำคัญอื่นๆ ที่ธุรกิจมีการรวบรวม จัดเก็บ ใช้งาน ประมวลผล หรือส่งต่อ รวมถึงทำประโยชน์ในด้านต่างๆ ทั้งในรูปแบบข้อมูลกระดาษและไฟล์ดิจิทัล 

และด้วยปัจจัยด้านต้นทุนการจัดการ ตลอดจนการมุ่งสร้างรายได้และการเติบโตมากกว่ามิติด้านความปลอดภัย เลยทำให้ที่ผ่านมา ธุรกิจขนาดกลางและขนาดเล็กส่วนใหญ่ไม่ได้มีมาตรการในการปกป้องและคุ้มครองข้อมูลที่เพียงพอ ตัวอย่างที่เห็นได้ชัด อาทิ การให้สิทธิ์พนักงานในการเข้าถึงข้อมูลโดยไม่มีข้อจำกัด เป็นความเสี่ยงที่พบมากแทบทุกองค์กร ตัวอย่างที่เห็นได้ชัด คือ กรณีพนักงานนำข้อมูลลูกค้าไปขายหรือใช้ผิดวัตถุประสงค์ 

 

ประเด็นต่อมาคือ ด้านมาตรฐานในการปกป้องและรักษาข้อมูลที่ SME ส่วนใหญ่ยังมองว่าเป็นต้นทุนที่ ‘สิ้นเปลือง’ จึงทำให้บริษัท SME ส่วนใหญ่ไม่มีเจ้าหน้าที่เฉพาะด้านในการรักษา ปกป้องและจัดการข้อมูล ที่ผ่านมาจะเป็นในลักษณะการยกบทบาทนี้ให้ฝ่ายไอที หรือพนักงานที่รับผิดชอบต่องานนั่นๆ เป็นผู้จัดเก็บข้อมูล และกระจัดกระจาย ด้วยเหตุนี้ จึงเกิดความเสี่ยงทั้งจากภายใน และภายนอก อาทิ การโดนโจมตีทางไซเบอร์และข้อมูลเกิดการรั่วไหล 

 

คำแนะนำในส่วนนี้ SME สามารถยับยั้ง และป้องกันได้โดยการปรับปรุงหรือลงทุนด้านอุปกรณ์ เทคโนโลยี มีพนักงานที่รับผิดชอบโดยตรง ตรวจเช็คและสำรองข้อมูลอย่างสม่ำเสมอ รวมทั้งการให้ความรู้และแนวทางแก่พนักงานในการป้องกันการโดนโจมตีทางไซเบอร์ และตระหนักถึงค่านิยมการรักษาข้อมูลในองค์กร 

 

แต่จะเห็นได้ว่ามิติที่กล่าวถึงในข้างต้น ทั้งความเสี่ยงจากปัจจัยภายนอก และภายในล้วนเกิดการ ‘มุมมองการถูกกระทำ’ คือ การที่บริษัท หรือเจ้าหน้าที่ภายในบริษัทถูกละเมิดข้อมูลส่วนบุคคล แต่อย่าลืมว่าภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลที่กำลังจะประกาศใช้ในเร็วๆ นี้ บริษัท SME อาจจะเข้าข่ายกระทำผิดกฎหมาย PDPA โดยการละเมิดข้อมูลส่วนบุคคลผู้อื่น ซึ่งในที่นี้เรามีกรณีตัวอย่างที่ธุรกิจคุณอาจกำลังทำผิดกฎหมายอยู่ 

7 เรื่องที่ SME อาจเข้าข่ายกำลังทำผิดกฎหมาย PDPA ซะเอง

  1. ใช้อีเมลภายในองค์กร: หนึ่งในกรณีศึกษายอดฮิตของการละเมิดข้อมูลระหว่างบริษัทกับบุคคล อ้างอิงตามสาระสำคัญตามกฎหมาย PDPA ได้นิยามข้อมูลส่วนบุคคลไว้ว่า ‘ข้อมูลที่สามารถระบุตัวตนบุคคลทั้งทางตรงและทางอ้อม’ และ ‘อีเมล’ ก็เป็นสิ่งที่ถูกส่งต่อกันโดยที่บางครั้ง ลูกค้า คู่ค้า ผู้ประสานงาน หรือพนักงานก็ยังไม่ได้ยินยอมให้มีการเปิดเผย รวมทั้งมีสิทธิ์ที่จะไม่ยินยอมให้เปิดเผยได้ด้วย และหากมีการเปิดเผยก็เข้าข่ายการละเมิดข้อมูลส่วนบุคคลในทันที 
  2. ใช้ ‘LINE’ เป็นช่องทางติดต่อสื่อสารภายในองค์กร : อีกประเด็นที่อาจจะนำไปสู่การละเมิดได้ง่ายมากคือ การใช้แอปพลิเคชันติดต่อสื่อสารภายในองค์กร ยกตัวอย่างที่การใช้ LINE Chat, LINE Group ที่มีการส่งรูปภาพ สำเนาเอกสาร ข้อมูลลูกค้า/คู่ค้า ข้อมูลพนักงาน หรือเอกสารต่างๆ ที่ส่งต่อกันใน LINE Group ของบริษัท เข้าข่ายมีความผิดหากมีการเผยแพร่หรือส่งต่อให้บุคคลที่สามโดยเจ้าของข้อมูลไม่ได้ยินยอม ในเคสนี้ก็หมายรวมถึงแอปพลิเคชันแชทต่างๆ ด้วย 
  3. ประชุมออนไลน์ : การเข้าใช้งานแพลตฟอร์มประชุมออนไลน์ในปัจจุบันเรามักจะเห็นว่ามีการใช้กด  Term of Service’ หรือการ ‘ยินยอม’ ให้เข้าถึงข้อมูลตัวบุคคลและเก็บคุกกี้เพื่อประโยชน์ในกิจกรรมต่างๆ ของผู้ให้บริการ แต่นั่นก็เป็นการยินยอมระหว่าง แพลตฟอร์มผู้ให้บริการ กับ ผู้ใช้บริการ ไม่ได้หมายรวมถึง การอนุญาตให้ผู้เข้าร่วมประชุมสามารถบักทึกภาพ เสียง การประชุมที่เปิดเผยใบหน้า ชื่อ หรือข้อมูลส่วนตัวของบุคคลอื่นที่เข้ารวมประชุมไปเผยแพร่ต่อได้ ยิ่งหากบริษัทจะมีการเปิดเผยข้อมูลดังกล่าว เพื่อประโยชน์ในด้านต่างๆ ควรมีการแจ้งบอกวัตถุประสงค์การใช้งาน และขอความยินยอมจากเจ้าของข้อมูลทุกครั้ง ไม่อย่างนั้นก็เข้าข่ายกระทำผิดกฎหมาย PDPA ไม่ว่าจะจงใจหรือไม่ก็ตาม 
  4. ติดกล้องวงจรปิดไว้ในสถานประกอบการ : ติดกล้อง CCTV เพื่อบันทึกภาพ และเสียง ไว้ในบริษัท หากไม่แจ้งให้ทราบอาจนำไปสู่การเปิดเผยข้อมูลส่วนบุคคลและถูกฟ้องร้องดำเนินคดีทั้งทางแพ่งและอาญา ดังจะเห็นว่าในสถานประกอบการทุกวันนี้มีการติดกล้องวงจรปิดเพื่อประโยชน์ในด้านต่างๆ แต่ตามกฎหมายคุ้มครองข้อมูลระบุ หากมีการติดกล้องวงจรปิดจะต้องมีการแจ้งให้ทราบอย่างชัดเจน ไม่หลบซ่อน ซึ่งนี่เป็นอีกสิ่งหนึ่งที่ถูกละเลย และข้อควรระวัง 
  5. ตรวจสอบประวัติพนักงาน : แค่ตรวจสอบประวัติพนักงานเพื่อพิจารณาเข้าทำงานก็มีความผิดเหรอ? ผิดแน่หากคุณทำธุรกิจด้านบริษัทรักษาความปลอดภัย แม่บ้าน หรืองานขับรถขนส่งและได้นำข้อมูลส่วนตัว หรือหมายเลขบัตรประจำตัวของบุคคลที่มาสมัครงานไปให้เจ้าหน้าที่ตรวจสอบ ‘ข้อมูลอาชญากรรม’ โดยไม่ได้รับการยินยอมจากบุคคลนั้น เพราะนี่เข้าข่ายการละเมิด ‘ข้อมูลอ่อนไหว’ ที่สุ่มเสี่ยงโทษจำคุก และค่าปรับสูงถึง 5 ล้านบาท และยังไม่รวมค่าสินไหมทดแทนอีกด้วย 
  6. เก็บข้อมูลสุขภาพ / ลายนิ้วมือ/ใบหน้า : ธุรกิจส่วนใหญ่มีการใช้ข้อมูลชีวภาพ ในการยืนยันตัวตน อาทิการแสกนลายนิ้วมือเข้าทำงานของพนักงาน จำเป็นต้องขอความยินยอมอย่างชัดแจ้ง หรือแม่แต่การเก็บข้อมูลสุขภาพพนักงาน หากไม่แจ้งให้เจ้าของข้อมูลหรือพนักงานทราบก็เข้าข่ายกระทำผิดกฎหมาย PDPA เช่นกัน 
  7. การใช้บุคคลภายนอกส่งเอกสารให้ลูกค้า : หากเป็นเจ้าหน้าที่ Messenger ภายในองค์กรทำหน้าที่ส่งเอกสารหรือสิ่งของต่างๆ ให้กับลูกค้า หรือคู่ค้าเองก็ไม่มีความเสี่ยงมากนัก แต่เมื่อใดก็ตามที่บริษัทใช้บริการมอเตอร์ไซด์รับจ้าง หรือไรเดอร์ที่เป็นบุคคลธรรมดาเพื่อส่งเอกสารหรือสิ่งของต่างๆ โดยให้ชื่อ ที่อยู่ เบอร์โทร แก่ผู้จัดส่งก็อาจเสี่ยงที่ข้อมูลนั้นอาจถูกละเมิดได้ เพราะคงไม่มีสัญญาการให้บริการส่งของที่คุ้มครองข้อมูลอย่างเป็นมาตรฐานระหว่างกัน1.

อย่างไรก็ตาม จากทั้ง 7 เรื่องความเสี่ยงของบริษัท SME ในการกระทำที่เข้าข่ายการละเมิดของมูลส่วนบุคคล กระทำผิดกฎหมาย PDPA ยังมีอีกหลายประเด็นที่เรายังไม่ได้กล่าวถึง และจะกล่าวถึงในบทความต่อๆ ไป  อันเนื่องจากยังสามารถ ‘ตีความ’ การกระทำผิดตามบทบัญญัติใน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ กฎหมาย PDPA ที่เกี่ยวโยงกับธุรกิจได้อีกในหลายๆ ด้าน 

ด้วยเหตุนี่ มาตรการป้องกันการกระทำผิดกฎหมาย PDPA ที่ผ่านมา องค์กรและบริษัทต่างเริ่มมีการจัดทำ นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) ประกาศความเป็นส่วนตัว (Privacy notice) รวมถึงการทำเอกสารขอความยินยอม (Consent) เพื่อชี้แจงรายละเอียด และรูปแบบ วิธีการจัดการข้อมูล ประมวลผลข้อมูลส่วนบุคคลของลูกค้า/คู่ค้า รวมทั้งการกำหนดวัตถุประสงค์ในการเก็บรวบรวมใช้ เปิดเผย และประมวลผล ตลอดจนระยะเวลาในการเก็บรักษาอย่างชัดเจน หรือแม้แต่มีการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (DPIA) ป้องกันความเสียหายที่อาจจะเกิดขึ้น เพื่อให้สอดคล้องกับกฎหมายใหม่ที่กำลังประกาศใช้ในวันที่ 1 มิถุนายน 2565 นี้ 

สำหรับ ธุรกิจใดที่ยังไม่ได้ทำ หรือยังไม่ได้เริ่มทำ คำแนะนำเดียวคือเริ่มต้นตั้งแต่ตอนนี้ ก่อนที่ ‘ความเสี่ยง’ จะกลายเป็น ‘ความซวย’ มาเยือนในอนาคต 

 

Share :

บทความที่เกี่ยวข้อง

กว่า 6 ปีที่ผ่านมา ประเทศไทยมีข่าวการหลุดรั่วของข้อมูลส่วนบุคคลเป็นจำนวนมาก ทั้งจากการกระทำของแฮกเกอร์ที่เข้ามาเจาะระบบ ทั้งจากการป้องกันการหลุดรั่วของข้อมูลส่วนบุคคลที่หละหลวม PDPA Thailand และวันนี้เป็นวันครบรอบ 1 นับจากวันที่ 1 มิถุนายน 2565 ที่กฎหมาย PDPA มีผลบังคับใช้เต็มรูปแบบ PDPA Thailand จึงรวบรวมเหตุการณ์สำคัญ ๆ ที่เกิดขึ้นมาตั้งแต่ปี พ.ศ.2561 จนถึง พ.ศ.2566 มาให้ดูกัน     เมษายน 2561 ข้อมูลลูกค้า True Move H หลุดรั่ว ฐานข้อมูลลูกค้า Truemove H ที่สมัครซื้อซิมพร้อมมือถือผ่าน iTruemart หลุดรั่วจำนวน 64,000 ราย ที่มา https://www.beartai.com/news/it-thai-news/233905   กันยายน 2563 โรงพยาบาลสระบุรี ถูกแรนซัมแวร์โจมตี “โรงพยาบาลสระบุรี” ถูกไวรัสแรนซัมแวร์ แฮกฐานข้อมูลระบบบริการผู้ป่วย ทำให้ไม่สามารถสืบค้นข้อมูลประวัติเก่าหรือให้บริการออนไลน์ได้ ที่มา https://www.sanook.com/news/8248818/   กุมภาพันธ์ 2564 ที่ว่าการอำเภอถลาง ใช้กระดาษรียูส ด้านหลังเป็นใบสำเนามรณบัตร สาวจดทะเบียนสมรส ได้ใบเสร็จพ่วงมรณบัตร สาเหตุจากการใช้กระดาษรียูสในการออกใบเสร็จ แต่เคสนี้เจ้าหน้าที่เผลอนำใบสำเนามรณบัตรมาใช้ ที่มา https://www.thairath.co.th/news/local/south/2543643   สิงหาคม 2564 Bangkok Airways ถูกแรนซัมแวร์โจมตี สายการบิน Bangkok Airways ถูกแรนซัมแวร์โจมตี คนร้ายลอบขโมยข้อมูลลูกค้าออกไปได้กว่า 100GB ประกอบด้วย ชื่อ-นามสกุล, เพศ, สัญชาติ, หมายเลขโทรศัพท์, ที่อยู่ และอีเมล รวมถึงข้อมูลอื่นๆ เช่น
เนื่องจากปัจจุบันเทคโนโลยีมีความก้าวไกลไปมากทำให้การดำเนินการต่าง ๆเป็นไปอย่างสะดวกมากขึ้น ตั้งแต่การเดินทางรวมถึงกระบวนการทำงานต่าง ๆ ซึ่งหนึ่งในองค์กรที่มีการนำวิทยาการนำมาใช้ ได้แก่ สถานพยาบาลนั่นเอง ซึ่งปัจจุบันนั้นมีนำเทคโนโลยีมาใช้เพื่อความสะดวกสบาย เช่น ใช้หุ่นยนต์ในการส่งแฟ้มเอกสารระหว่างแผนก หรือการใช้ระบบต่างเพื่อรวบรวมข้อมูลคนไข้ไว้ที่เดียวกันเพื่อสะดวกต่อการค้นหา ซึ่งกระบวนการหนึ่งที่มีการใช้งานได้แก่ การส่งต่อรูปถ่าย ซึ่งปัจจุบันนั้นวัตถุประสงค์หลัก ๆในการส่งรูปถ่ายจะเป็นไปเพื่อประโยชน์ทางการรักษาหรือติดตามอาการของผู้ป่วย ทั้งนี้ มันมีข้อสังเกตว่า ข้อมูลรูปถ่ายคนไข้เป็นข้อมูลอ่อนไหวหรือไม่ และหากจำเป็นต้องมีการใข้ข้อมูลภาพถ่ายจะต้องใช้อย่างไรเพื่อให้สอดคล้องตามหลักของ PDPA ข้อมูลรูปถ่ายคนไข้ถือว่าเป็นข้อมูลอ่อนไหวหรือไม่ จากที่เราทราบกับข้อมูลอ่อนไหว ได้แก่ข้อมูลเกี่ยวกับ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ เป็นต้น ซึ่งข้อมูลภาพถ่ายคนไข้นั้นถือได้ว่าเป็นข้อมูลสุขภาพ ตามระเบียบกระทรวงสาธารณสุขว่าด้วยการคุ้มครองและจัดการข้อมูลด้านสุขภาพของบุคคล พ.ศ. 2561 ที่นี้เมื่อทราบว่าเป็นข้อมูลส่วนบุคคลที่อ่อนไหว จึงจำเป็นต้องมีแนวหรือหลักการเพื่อให้การใช้ข้อมูลรูปถ่ายเป็นไปตามหลักของ PDPA หากจำเป็นต้องใช้ ต้องทำอย่างไร โดยหลักการของการคุ้มครองข้อมูลส่วนบุคคล การใช้ข้อมูลส่วนบุคคลควรใช้ข้อมูลตราบเท่าที่จำเป็น เช่นกัน การใช้ข้อมูลรูปถ่ายคนไข้ก็ควรจะต้องมีการใช้ข้อมูลเท่าที่จำเป็นเช่นกัน โดยเมื่อจำเป็นต้องมีการเก็บมูล จำเป็นต้องมีการขอความยินยอมก่อน รวมถึงมีการแจ้งวัตถุประสงค์ในการเก็บข้อมูลภาพถ่ายคนไข้ ซึ่งการแจ้งประกาศนั้นอาจจะมีเป็นการแจ้งเป็นประกาศความเป็นส่วนตัวของ คนไข้หรือลูกค้าตามแต่กรณี ต่อมาในการใช้งานหรือประมวลผลควรใช้เท่าที่จำเป็นซึ่งได้แก่ใช้เพื่อรักษาหรือติดตามอาการเท่านั้น ไม่ควรใช้เพื่อเหตุอื่น ถามว่าการเอารูปถ่ายคนไข้ให้หมอท่านอื่นดูได้หรือไม่ เพราะบางครั้งหมอที่เป็นเจ้าของไข้นั้นอาจจำเป็นต้องมีการนำภาพคนไข้ เพื่อปรึกษากับหมอท่านอื่น ตัวอย่างเช่น กรณีคนไข้มารักษาสิว เมื่อทำการรักษาแล้วหากพบว่าบริเวณที่รักษามีปัญหาขึ้นมา กรณีเช่นนี้หากเป็นไปเพื่อการรักษาและติดตามอาการก็สามารถทำได้ แต่ต้องมีการแจ้งให้เจ้าของข้อมูลทราบถึงความจำเป็นดังกล่าว โดยอาจจะสื่อสารผ่านตัวประกาศความเป็นส่วนตัวได้เช่นกัน นอกจากนี้แล้วนั้นหมอที่เป็นเจ้าของคนไข้ต้องมีความระมัดระวังในการเผยแพร่รูปถ่ายคนไข้ด้วย แม้จะมีการแจ้งเจ้าของข้อมูลส่วนบุคคลหรือคนไข้แล้วก็ตาม โดยหมอที่เป็นเจ้าของไข้นั้น ควรมีความระมัดระวังในการที่จะไม่เผยแพร่ภาพถ่ายคนไข้ดังกล่าวไปสู่หมอ รวมถึงบุคลกรทางการแพทย์ที่ไม่ได้มีความเกี่ยวข้องกับคนไข้ให้รับทราบ นอกจากนี้ช่องทางการเผยแพร่ข้อมูลก็เป็นสิ่งหนึ่งที่ควรจะต้องมีความระมัดระวังอย่างยิ่ง เนื่องจากในปัจจุบันนั้นวิทยาการด้านการสื่อสารสามารถส่งต่อข้อมูลดิจิทัลได้อย่างรวดเร็วและสะดวกสบายยิ่งขึ้น ไม่ว่าจะมาจากช่องทางอีเมล Messenger เป็นต้น ทั้งนี้เมื่อมีการส่งข้อมูลรูปถ่ายคนไข้ไป จำต้องมีคำนึงถึงความปลอดภัยด้วย ตัวอย่าง ไม่ควรส่งรูปถ่ายคนไข้ผ่านช่องทางการสื่อสารสาธารณะ เช่น Line เป็นต้น หรือหากจำเป็นต้องมีการส่งจริง ๆก็ควรมีมาตรการในการป้องกันการเข้าถึงด้วยตัวอย่างเช่น อาจจะมีการส่งข้อมูลโดยมีการเข้ารหัส โดยส่งรหัสดังกล่าวไปให้ปลายทางรับทราบพียบท่านเดียวเท่านั้น เพื่อให้มั่นใจได้ว่าข้อมูลดังกล่าวถึงมือผู้รับจริง และมีเพียงแต่ผุ้รับรหัสเท่านั้นที่จะสามารถเปิดดูข้อมูลที่เข้ารหัสไว้ได้ โดยภาพรวมนั้นสถานพยาบาลมีกิจกรรมหลาย ๆกิจกรรมที่มีการเข้าถึงข้อมูลส่วนบุคคลที่มี่ความอ่อนไหว เช่น กิจกรรมการนำภาพถ่ายคนไข้มาใช้เพื่อติดตามผลการรักษาคนไข้ ทั้งนี้สามรถทำได้แต่จำเป็นต้องมีแนวทางหรือกระบวนการบางอย่างมาเป็นมาตรฐานในการส่งต่อข้อมูล นอกจากจะเพื่อความปลอดภัยของคนไข้
จากบทความครั้งที่แล้ว เรื่อง Hotel reservation ไม่เกี่ยวกับ PDPA จริงหรือ ? ที่ได้มีการกล่าวถึงกระบวนการการจองที่พักในหลายรูปแบบ เช่น เว็บไซต์ เอเย่น walk-in ในวันนี้เราจะมากล่าวถึงกระบวนการที่ต่อเนื่องกันคือ กระบวนการการรับส่งจากสนามบินหรือสถานที่ต่างๆ ไปยังโรงแรม ในบางกรณีผู้เข้าพักบางท่านอาจมีความต้องการใช้บริการรถรับส่งเพื่อให้รับจากสนามบินมายังโรงแรมเพื่อความสะดวกของผู้เข้าพัก รูปแบบการรับส่งที่สนามบินโดยทั่วไปสามารถแบ่งออกได้เป็น 2 รูปแบบ ได้แก่ Inhouse limousine คือ กรณีที่โรงแรมมีบริการรับส่งด้วยตัวเอง Outsource limousine คือ กรณีที่โรงแรมมีการจ้างบริษัทรับส่งภายนอก ให้ดำเนินการรับส่งผู้เข้าพักแทนโรงแรม ในกรณีที่โรงแรมมีบริการรับส่งด้วยตัวเอง (Inhouse limousine)  โดยทั่วไปข้อมูลของผู้เข้าพักจะถูกโรงแรมเก็บมาแล้วจากขั้นตอนการจองห้องพัก แต่อาจมีการนำข้อมูลดังกล่าวมาใช้เพื่อเป็นการยืนยันตัวผู้เข้าพักอีกครั้ง การนำข้อมูลมาใช้ในกระบวนการนี้ โรงแรมต้องมีการระบุวัตถุประสงค์นี้เข้าไปในประกาศความเป็นส่วนตัวของผู้เข้าพัก (Privacy notice) และแจ้งให้ผู้เข้าพักทราบในขั้นตอนการรับจองห้องพัก หรือจะแจ้งอีกครั้งเพื่อเป็นการแจ้งย้ำให้ผู้เข้าพักทราบก็ย่อมทำได้ นอกจากนี้ การที่โรงแรมนำข้อมูลมาใช้ประมวลผลในกระบวนการนี้สามารถใช้ฐานสัญญา ตามมาตรา 24(3) ในการจัดเก็บข้อมูลส่วนบุคคลได้ เนื่องจากเป็นการจำเป็นเพื่อใช้ในการดำเนินการตามคำขอก่อนการเข้าทำสัญญาใช้บริการ ในกรณีที่โรงแรมมีการจ้างบริษัทรับส่งภายนอก ให้ดำเนินการรับส่งผู้เข้าพักแทนโรงแรม หรือ Outsource limousine ทางโรงแรมอาจจะมีการส่งรายชื่อของผู้ที่จะเข้าพักให้กับบริษัท Outsource limousine ซึ่งเป็นนิติบุคคลภายนอก เช่น ข้อมูล ชื่อ นามสกุล รายละเอียดการเดินทางและการเข้าพัก เป็นต้น การที่โรงแรมมีการจ้างบริษัทภายนอกให้ดำเนินการด้านการรับส่ง บริษัทรับส่งนั้นทำตามภายในนามหรือภายใต้คำสั่งโรงแรมนั้น บริษัท Outsource limousine จึงมีสถานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ซึ่งตามมาตรา 40 วรรค 2 กำหนดให้ผู้ควบคุมข้อมูลมีหน้าที่ต้องจัดให้มีข้อตกลงระหว่างกัน เพื่อควบคุมการดำเนินการตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล ดังนั้น ระหว่าง โรงแรมกับบริษัท Outsource limousine  ควรมีการทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement : DPA)  ทั้งนี้เพื่อช่วยให้คู่สัญญาซึ่งเป็นผู้ประมวลผล ทราบถึงบทบาทและหน้าที่ของตนเองเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล การกำหนดวัตถุประสงค์ในการเปิดเผยข้อมูลส่วนบุคคล การกำหนดมาตรฐานในการแบ่งปันข้อมูลส่วนบุคคลและขอบเขตในการประมวลผลข้อมูลส่วนบุคคล โดยรายละเอียดของข้อตกลงการแลกเปลี่ยนข้อมูลส่วนบุคคล
thThai

ลงทะเบียน

เข้าสู่ระบบ