Hotel limousine กับ PDPA สิ่งที่ต้องกังวลเมื่อส่งข้อมูลไปนอกโรงแรม

แชร์

อ่าน

ครั้ง

โดย : ไพศาล สามิภัตย์

Hotel limousine กับ PDPA สิ่งที่ต้องกังวลเมื่อส่งข้อมูลไปนอกโรงแรม

แชร์

อ่าน

ครั้ง

โดย : ไพศาล สามิภัตย์

     จากบทความครั้งที่แล้ว เรื่อง Hotel reservation ไม่เกี่ยวกับ PDPA จริงหรือ ? ที่ได้มีการกล่าวถึงกระบวนการการจองที่พักในหลายรูปแบบ เช่น เว็บไซต์ เอเย่น walk-in ในวันนี้เราจะมากล่าวถึงกระบวนการที่ต่อเนื่องกันคือ กระบวนการการรับส่งจากสนามบินหรือสถานที่ต่างๆ ไปยังโรงแรม ในบางกรณีผู้เข้าพักบางท่านอาจมีความต้องการใช้บริการรถรับส่งเพื่อให้รับจากสนามบินมายังโรงแรมเพื่อความสะดวกของผู้เข้าพัก รูปแบบการรับส่งที่สนามบินโดยทั่วไปสามารถแบ่งออกได้เป็น 2 รูปแบบ ได้แก่

    1. Inhouse limousine คือ กรณีที่โรงแรมมีบริการรับส่งด้วยตัวเอง

    2. Outsource limousine คือ กรณีที่โรงแรมมีการจ้างบริษัทรับส่งภายนอก ให้ดำเนินการรับส่งผู้เข้าพักแทนโรงแรม

     ในกรณีที่โรงแรมมีบริการรับส่งด้วยตัวเอง (Inhouse limousine)  โดยทั่วไปข้อมูลของผู้เข้าพักจะถูกโรงแรมเก็บมาแล้วจากขั้นตอนการจองห้องพัก แต่อาจมีการนำข้อมูลดังกล่าวมาใช้เพื่อเป็นการยืนยันตัวผู้เข้าพักอีกครั้ง การนำข้อมูลมาใช้ในกระบวนการนี้ โรงแรมต้องมีการระบุวัตถุประสงค์นี้เข้าไปในประกาศความเป็นส่วนตัวของผู้เข้าพัก (Privacy notice) และแจ้งให้ผู้เข้าพักทราบในขั้นตอนการรับจองห้องพัก หรือจะแจ้งอีกครั้งเพื่อเป็นการแจ้งย้ำให้ผู้เข้าพักทราบก็ย่อมทำได้ นอกจากนี้ การที่โรงแรมนำข้อมูลมาใช้ประมวลผลในกระบวนการนี้สามารถใช้ฐานสัญญา ตามมาตรา 24(3) ในการจัดเก็บข้อมูลส่วนบุคคลได้ เนื่องจากเป็นการจำเป็นเพื่อใช้ในการดำเนินการตามคำขอก่อนการเข้าทำสัญญาใช้บริการ 

     ในกรณีที่โรงแรมมีการจ้างบริษัทรับส่งภายนอก ให้ดำเนินการรับส่งผู้เข้าพักแทนโรงแรม หรือ Outsource limousine ทางโรงแรมอาจจะมีการส่งรายชื่อของผู้ที่จะเข้าพักให้กับบริษัท Outsource limousine ซึ่งเป็นนิติบุคคลภายนอก เช่น ข้อมูล ชื่อ นามสกุล รายละเอียดการเดินทางและการเข้าพัก เป็นต้น การที่โรงแรมมีการจ้างบริษัทภายนอกให้ดำเนินการด้านการรับส่ง บริษัทรับส่งนั้นทำตามภายในนามหรือภายใต้คำสั่งโรงแรมนั้น บริษัท Outsource limousine จึงมีสถานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ซึ่งตามมาตรา 40 วรรค 2 กำหนดให้ผู้ควบคุมข้อมูลมีหน้าที่ต้องจัดให้มีข้อตกลงระหว่างกัน เพื่อควบคุมการดำเนินการตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล ดังนั้น ระหว่าง โรงแรมกับบริษัท Outsource limousine  ควรมีการทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement : DPA)  ทั้งนี้เพื่อช่วยให้คู่สัญญาซึ่งเป็นผู้ประมวลผล ทราบถึงบทบาทและหน้าที่ของตนเองเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล การกำหนดวัตถุประสงค์ในการเปิดเผยข้อมูลส่วนบุคคล การกำหนดมาตรฐานในการแบ่งปันข้อมูลส่วนบุคคลและขอบเขตในการประมวลผลข้อมูลส่วนบุคคล โดยรายละเอียดของข้อตกลงการแลกเปลี่ยนข้อมูลส่วนบุคคล ควรมีรายละเอียดขั้นต่ำ ดังนี้ 

    1. นิยาม (Definition)

    2. สิทธิและหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล

    3. คำสั่งของผู้ควบคุมข้อมูลส่วนบุคคลต่อผู้ประมวลผลและข้อกำหนดห้ามไม่ให้ผู้ประมวลผลทำการนอกเหนือจากคำสั่ง

    4. ข้อสัญญาเกี่ยวกับหน้าที่รักษาความลับ

    5. ข้อสัญญาเกี่ยวกับการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล

    6. ข้อสัญญาเกี่ยวกับผู้ประมวลผลช่วง (Sub-Processor)

    7. ข้อสัญญากำหนดหน้าที่ผู้ประมวลผลในการช่วยเหลือผู้ควบคุมข้อมูลให้ปฏิบัติหน้าที่ตามกฎหมาย

    8. ข้อสัญญาเกี่ยวกับการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล

    9. ข้อสัญญาเกี่ยวกับการลบหรือส่งคืนข้่อมูลส่วนบุคคล

     ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement : DPA) นี้ โรงแรมอาจกำหนดไว้เป็นสัญญาข้อหนึ่ง (Clause) ในสัญญาพื้นฐานหรือจัดทำเป็นสัญญาใหม่อีกหนึ่งฉบับ แยกจากสัญญาพื้นฐาน หรือ จัดทำเป็นข้อตกลงแนบท้าย (Annex) สัญญาพื้นฐานที่มีอยู่เดิมระหว่างโรงแรมและบริษัท Outsource limousine  

      กรณี บริษัท Outsource limousine มี การรับส่งผู้เข้าพักนอกเหนือจากการรับส่งจากสนามบินมาโรงแรม หรือ บริการรายชั่วโมงหรือบริการแบบเหมา (By-hour) ในกรณีนี้บริษัท Outsource limousine มีอำนาจกำหนดและตัดสินใจเกี่ยวกับการประมวลผลได้เอง ในกิจกรรมที่ทำนอกเหนือจากที่สัญญาประมวลผลไว้ บริษัท Outsource limousine จึงมีสถานะเป็นผู้ควบคุมข้อมูล ดังนั้น โรงแรมจึงต้องมีการกำหนดขอบเขตในข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement : DPA) ไว้อย่างชัดเจน เพื่อเป็นการปกป้องผลประโยชน์ของโรงแรม

     นอกจากนี้ โรงแรมต้องมีการแจ้งประกาศความเป็นส่วนตัว (Privacy notice) ให้ผู้เข้าพักทราบ เพื่อแจ้งรายละเอียดในการประมวลผลข้อมูลส่วนบุคคล ทางโรงแรมอาจแจ้งผ่านหน้าเว็บไซต์ ทางอีเมล เอกสาร หรือผ่านทาง QR code เพื่อให้ผู้เข้าพักทราบ ทั้งนี้ขึ้นอยู่กับความสะดวกของโรงแรม รวมถึงรายละเอียดการเปิดเผยข้อมูลส่วนบุคคลให้กับบุคลที่สาม

     ทั้งนี้นอกจาก ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement : DPA) สิ่งที่โรงแรมควรให้ความสำคัญคือโรงแรมควรมีการตรวจสอบเรื่องมาตรการคุ้มครองข้อมูลจากคู่ค้าที่จะเข้าเป็นผู้ประมวลผลว่าบริษัทดังกล่าวนั้น มีมาตรการในการคุ้มครองข้อมูลที่เพียงพอ เนื่องจากเป็นเรื่องสำคัญที่ผู้ประกอบการโรงแรมในฐานะผู้ควบคุมข้อมูลส่วนบุคคล เพราะจะส่งผลต่อความน่าเชื่อถือและความไว้วางใจของเจ้าของข้อมูลส่วนบุคคลในบริการขององค์กร รวมถึงเพื่อเป็นการเพื่อป้องกันการรั่วไหล การล่วงละเมิดข้อมูลส่วนบุคคลด้วย

     ในการคัดเลือก บริษัท Outsource limousine โรงแรมควรคัดเลือกคู่ค้าหรือผู้ให้บริการ (Vendor Assessment) เพื่อเลือกคู่ค้าหรือผู้ให้บริการที่สามารถคุ้มครองข้อมูลส่วนบุคคลได้ โดย จะต้องพิจารณาคุณสมบัติ 5 ประเด็น ได้แก่

    1. องค์กร (Organization)

    2. การดำเนินงาน (Operations)

    3. ข้อมูล (Data)

    4. การเข้าถึงข้อมูล (Access)

    5. การปฏิบัติตามกฎหมาย (Compliance)

     โดยโรงแรมอาจพิจารณาการคุ้มครองข้อมูลส่วนบุคคลของ บริษัท Outsource limousine โดยให้ตอบแบบสอบถามด้านการคุ้มครองข้อมูลส่วนบุคคลและบริษัท Outsource limousine ไม่จำเป็นต้องได้รับความยินยอมในการประมวลผลข้อมูลส่วนบุคคลเพื่อการประเมินที่เข้ารับการคัดเลือกเพื่อการจัดซื้อจัดจ้าง เนื่องจากการประเมินทำไปเพื่อการ เข้าทำสัญญาระหว่างโรงแรมและบริษัท Outsource limousine แต่ถ้าโรงแรมต้องการประมวลผลข้อมูลส่วนบุคคล นอกเหนือจากวัตถุประสงค์เพื่อการเข้าทำสัญญาจัดซื้อจัดจ้าง หรือเก็บข้อมูลส่วนบุคคลไว้เพื่อใช้ในอนาคต โรงแรมจำเป็นต้องได้รับความยินยอมจากเจ้าของข้อมูล หรือจะต้องเป็นประโยชน์อันชอบธรรมด้วยกฎหมาย

    Hotel limousine เป็นกิจกรรรมที่มีความสำคัญและมีความเสี่ยงค่อนข้างมาก เนื่องจากอาจมีกรณีที่ต้องส่งต่อข้อมูลให้กับบุคคลภายนอก ซึ่งอาจทำให้ข้อมูลเกิดการรั่วไหลได้หากโรงแรมไม่มีมาตรการที่เพียงพอในเก็บการรักษา ซึ่งเป็นสิ่งที่ผู้ประกอบการธุรกิจโรงแรมและที่พัก ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลต้องให้ความสำคัญและระมัดระวัง เพราะจะส่งผลต่อความน่าเชื่อถือและความไว้วางใจของเจ้าของข้อมูลส่วนบุคคลในการเข้าใช้บริการ รวมถึงเพื่อป้องกันโอกาสในการรั่วไหลหรือการล่วงละเมิดข้อมูลส่วนบุคคล และเพื่อเป็นการสร้างมั่นใจให้กับผู้เข้าพัก ซึ่งเป็นเจ้าของข้อมูล (Data Subject) ในกิจกรรมนี้ ว่าเมื่อมาใช้บริการของท่านแล้ว ข้อมูลจะได้รับการคุ้มครองอย่างมั่นคงและปลอดภัย

วิทยากร E-Larning-13
ไพศาล สามิภัตย์
ที่ปรึกษากฎหมายคุ้มครองข้อมูลส่วนบุคคล จาก PDPA Thailand

Share :

บทความที่เกี่ยวข้อง

กว่า 6 ปีที่ผ่านมา ประเทศไทยมีข่าวการหลุดรั่วของข้อมูลส่วนบุคคลเป็นจำนวนมาก ทั้งจากการกระทำของแฮกเกอร์ที่เข้ามาเจาะระบบ ทั้งจากการป้องกันการหลุดรั่วของข้อมูลส่วนบุคคลที่หละหลวม PDPA Thailand และวันนี้เป็นวันครบรอบ 1 นับจากวันที่ 1 มิถุนายน 2565 ที่กฎหมาย PDPA มีผลบังคับใช้เต็มรูปแบบ PDPA Thailand จึงรวบรวมเหตุการณ์สำคัญ ๆ ที่เกิดขึ้นมาตั้งแต่ปี พ.ศ.2561 จนถึง พ.ศ.2566 มาให้ดูกัน     เมษายน 2561 ข้อมูลลูกค้า True Move H หลุดรั่ว ฐานข้อมูลลูกค้า Truemove H ที่สมัครซื้อซิมพร้อมมือถือผ่าน iTruemart หลุดรั่วจำนวน 64,000 ราย ที่มา https://www.beartai.com/news/it-thai-news/233905   กันยายน 2563 โรงพยาบาลสระบุรี ถูกแรนซัมแวร์โจมตี “โรงพยาบาลสระบุรี” ถูกไวรัสแรนซัมแวร์ แฮกฐานข้อมูลระบบบริการผู้ป่วย ทำให้ไม่สามารถสืบค้นข้อมูลประวัติเก่าหรือให้บริการออนไลน์ได้ ที่มา https://www.sanook.com/news/8248818/   กุมภาพันธ์ 2564 ที่ว่าการอำเภอถลาง ใช้กระดาษรียูส ด้านหลังเป็นใบสำเนามรณบัตร สาวจดทะเบียนสมรส ได้ใบเสร็จพ่วงมรณบัตร สาเหตุจากการใช้กระดาษรียูสในการออกใบเสร็จ แต่เคสนี้เจ้าหน้าที่เผลอนำใบสำเนามรณบัตรมาใช้ ที่มา https://www.thairath.co.th/news/local/south/2543643   สิงหาคม 2564 Bangkok Airways ถูกแรนซัมแวร์โจมตี สายการบิน Bangkok Airways ถูกแรนซัมแวร์โจมตี คนร้ายลอบขโมยข้อมูลลูกค้าออกไปได้กว่า 100GB ประกอบด้วย ชื่อ-นามสกุล, เพศ, สัญชาติ, หมายเลขโทรศัพท์, ที่อยู่ และอีเมล รวมถึงข้อมูลอื่นๆ เช่น
เนื่องจากปัจจุบันเทคโนโลยีมีความก้าวไกลไปมากทำให้การดำเนินการต่าง ๆเป็นไปอย่างสะดวกมากขึ้น ตั้งแต่การเดินทางรวมถึงกระบวนการทำงานต่าง ๆ ซึ่งหนึ่งในองค์กรที่มีการนำวิทยาการนำมาใช้ ได้แก่ สถานพยาบาลนั่นเอง ซึ่งปัจจุบันนั้นมีนำเทคโนโลยีมาใช้เพื่อความสะดวกสบาย เช่น ใช้หุ่นยนต์ในการส่งแฟ้มเอกสารระหว่างแผนก หรือการใช้ระบบต่างเพื่อรวบรวมข้อมูลคนไข้ไว้ที่เดียวกันเพื่อสะดวกต่อการค้นหา ซึ่งกระบวนการหนึ่งที่มีการใช้งานได้แก่ การส่งต่อรูปถ่าย ซึ่งปัจจุบันนั้นวัตถุประสงค์หลัก ๆในการส่งรูปถ่ายจะเป็นไปเพื่อประโยชน์ทางการรักษาหรือติดตามอาการของผู้ป่วย ทั้งนี้ มันมีข้อสังเกตว่า ข้อมูลรูปถ่ายคนไข้เป็นข้อมูลอ่อนไหวหรือไม่ และหากจำเป็นต้องมีการใข้ข้อมูลภาพถ่ายจะต้องใช้อย่างไรเพื่อให้สอดคล้องตามหลักของ PDPA ข้อมูลรูปถ่ายคนไข้ถือว่าเป็นข้อมูลอ่อนไหวหรือไม่ จากที่เราทราบกับข้อมูลอ่อนไหว ได้แก่ข้อมูลเกี่ยวกับ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ เป็นต้น ซึ่งข้อมูลภาพถ่ายคนไข้นั้นถือได้ว่าเป็นข้อมูลสุขภาพ ตามระเบียบกระทรวงสาธารณสุขว่าด้วยการคุ้มครองและจัดการข้อมูลด้านสุขภาพของบุคคล พ.ศ. 2561 ที่นี้เมื่อทราบว่าเป็นข้อมูลส่วนบุคคลที่อ่อนไหว จึงจำเป็นต้องมีแนวหรือหลักการเพื่อให้การใช้ข้อมูลรูปถ่ายเป็นไปตามหลักของ PDPA หากจำเป็นต้องใช้ ต้องทำอย่างไร โดยหลักการของการคุ้มครองข้อมูลส่วนบุคคล การใช้ข้อมูลส่วนบุคคลควรใช้ข้อมูลตราบเท่าที่จำเป็น เช่นกัน การใช้ข้อมูลรูปถ่ายคนไข้ก็ควรจะต้องมีการใช้ข้อมูลเท่าที่จำเป็นเช่นกัน โดยเมื่อจำเป็นต้องมีการเก็บมูล จำเป็นต้องมีการขอความยินยอมก่อน รวมถึงมีการแจ้งวัตถุประสงค์ในการเก็บข้อมูลภาพถ่ายคนไข้ ซึ่งการแจ้งประกาศนั้นอาจจะมีเป็นการแจ้งเป็นประกาศความเป็นส่วนตัวของ คนไข้หรือลูกค้าตามแต่กรณี ต่อมาในการใช้งานหรือประมวลผลควรใช้เท่าที่จำเป็นซึ่งได้แก่ใช้เพื่อรักษาหรือติดตามอาการเท่านั้น ไม่ควรใช้เพื่อเหตุอื่น ถามว่าการเอารูปถ่ายคนไข้ให้หมอท่านอื่นดูได้หรือไม่ เพราะบางครั้งหมอที่เป็นเจ้าของไข้นั้นอาจจำเป็นต้องมีการนำภาพคนไข้ เพื่อปรึกษากับหมอท่านอื่น ตัวอย่างเช่น กรณีคนไข้มารักษาสิว เมื่อทำการรักษาแล้วหากพบว่าบริเวณที่รักษามีปัญหาขึ้นมา กรณีเช่นนี้หากเป็นไปเพื่อการรักษาและติดตามอาการก็สามารถทำได้ แต่ต้องมีการแจ้งให้เจ้าของข้อมูลทราบถึงความจำเป็นดังกล่าว โดยอาจจะสื่อสารผ่านตัวประกาศความเป็นส่วนตัวได้เช่นกัน นอกจากนี้แล้วนั้นหมอที่เป็นเจ้าของคนไข้ต้องมีความระมัดระวังในการเผยแพร่รูปถ่ายคนไข้ด้วย แม้จะมีการแจ้งเจ้าของข้อมูลส่วนบุคคลหรือคนไข้แล้วก็ตาม โดยหมอที่เป็นเจ้าของไข้นั้น ควรมีความระมัดระวังในการที่จะไม่เผยแพร่ภาพถ่ายคนไข้ดังกล่าวไปสู่หมอ รวมถึงบุคลกรทางการแพทย์ที่ไม่ได้มีความเกี่ยวข้องกับคนไข้ให้รับทราบ นอกจากนี้ช่องทางการเผยแพร่ข้อมูลก็เป็นสิ่งหนึ่งที่ควรจะต้องมีความระมัดระวังอย่างยิ่ง เนื่องจากในปัจจุบันนั้นวิทยาการด้านการสื่อสารสามารถส่งต่อข้อมูลดิจิทัลได้อย่างรวดเร็วและสะดวกสบายยิ่งขึ้น ไม่ว่าจะมาจากช่องทางอีเมล Messenger เป็นต้น ทั้งนี้เมื่อมีการส่งข้อมูลรูปถ่ายคนไข้ไป จำต้องมีคำนึงถึงความปลอดภัยด้วย ตัวอย่าง ไม่ควรส่งรูปถ่ายคนไข้ผ่านช่องทางการสื่อสารสาธารณะ เช่น Line เป็นต้น หรือหากจำเป็นต้องมีการส่งจริง ๆก็ควรมีมาตรการในการป้องกันการเข้าถึงด้วยตัวอย่างเช่น อาจจะมีการส่งข้อมูลโดยมีการเข้ารหัส โดยส่งรหัสดังกล่าวไปให้ปลายทางรับทราบพียบท่านเดียวเท่านั้น เพื่อให้มั่นใจได้ว่าข้อมูลดังกล่าวถึงมือผู้รับจริง และมีเพียงแต่ผุ้รับรหัสเท่านั้นที่จะสามารถเปิดดูข้อมูลที่เข้ารหัสไว้ได้ โดยภาพรวมนั้นสถานพยาบาลมีกิจกรรมหลาย ๆกิจกรรมที่มีการเข้าถึงข้อมูลส่วนบุคคลที่มี่ความอ่อนไหว เช่น กิจกรรมการนำภาพถ่ายคนไข้มาใช้เพื่อติดตามผลการรักษาคนไข้ ทั้งนี้สามรถทำได้แต่จำเป็นต้องมีแนวทางหรือกระบวนการบางอย่างมาเป็นมาตรฐานในการส่งต่อข้อมูล นอกจากจะเพื่อความปลอดภัยของคนไข้
ข้อมูลเป็นกลไกสำคัญในการขับเคลื่อนการดําเนินงานของหน่วยงาน เพื่อนําไปสู่เป้าหมายที่กําหนดไว้ ทั้งยังเป็นหนึ่งในทรัพย์สินที่สําคัญที่องค์กรต้องให้ความสำคัญ การจัดเก็บและควบคุมไม่ให้เกิดการใช้ข้อมูลอย่างไม่ถูกต้องตามวัตถุประสงค์และเป้าหมายขององค์กร จึงมีความสำคัญอย่างยิ่งที่องค์กรจะต้องดำเนินการ โดยการจัดให้มีการกำกับดูแลข้อมูลภายในองค์กรให้เป็นไปตามเป้าหมายที่กำหนดไว้ ทั้งเป็นการดำเนินการให้ข้อมูลมีความพร้อมใช้งาน ความสมบูรณ์ และความปลอดภัย ยิ่งข้อมูลดังกล่าวเป็นข้อมูลที่เกี่ยวข้องกับข้อมูลส่วนบุคคลองค์กรยิ่งมีความจำเป็นอย่างยิ่งในการที่จะต้องจัดการให้มีความพร้อมใช้งานและมีความปลอดภัยมากยิ่งขึ้นเพื่อป้องกันมิให้เกิดเหตุการละเมิดข้อมูลส่วนบุคคล เนื่องจากในปัจจุบันนี้การเก็บข้อมูลของแต่ละองค์กรมีเป็นจำนวนมาก ซึ่งข้อมูลที่เก็บรวบรวมไว้นั้นอาจนำมาใช้หรือไม่นำมาใช้เพื่อให้บรรลุวัตถุประสงค์หรือเป้าหมายที่แท้จริงได้ อีกทั้งปัจจุบันมีการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลจากการเก็บรวบรวมข้อมูลส่วนบุคคลเป็นจำนวนมากจนสร้างความเดือดร้อนรำคาญหรือความเสียหาย ให้แก่เจ้าของข้อมูลส่วนบุคคล ประกอบกับความก้าวหน้าของเทคโนโลยีทำให้การเก็บรวบรวม เปิดเผยข้อมูลส่วนบุคคลอันเป็นการล่วงละเมิดดังกล่าว ความเสียหายต่อเศรษฐกิจโดยรวม ทำได้โดยง่าย สะดวก ละรวกดเร็ว ก่อให้เกิดความเสียหายต่อเศรษฐกิจโดยรวม ดังนั้นจึงมีความจำเป็นอย่างยิ่งที่ต้องให้ความสำคัญในการจัดการข้อมูลและสร้างมาตราการในการคุ้มคุ้มครองข้อมูลส่วนบุคคลไปพร้อม ๆ กัน Data Governance หรือธรรมภิบาลข้อมูล คือ การกําหนดสิทธิในการตัดสินใจและความรับผิดชอบ ในการส่งเสริมให้เกิดกระบวนการจัดทํา การใช้งาน และ การบริหารจัดการข้อมูล รวมถึงกระบวนการที่กําหนดบทบาท นโยบาย และมาตรฐาน ที่ช่วยสนับสนุนให้การ ดําเนินงานเกี่ยวกับข้อมูลมีประสิทธิภาพมากยิ่งขึ้น ซึ่งส่งผลให้หน่วยงานหรือองค์กรทั้งภาครัฐและเอกชนสามารถบรรลุเป้าหมายได้ ในการจัดทำ Data Governance หรือธรรมาภิบาลข้อมูลขององค์นั้น ได้มีการกำหนดองค์ประกอบหลักสำคัญของการจัดการข้อมูลที่ดี โดยหน่วยงาน Intra-governmental Group on Geographic Information (IGGI, 2005) ซึ่งต้องประกอบไปด้วย 1) มีความมั่นคงปลอดภัยและรักษาความเป็นส่วนบุคคลโดยมีมาตรการในการรักษาความมั่นคงปลอดภัย และความเป็นส่วนบุคคล 2)มีมาตรการควบคุมและจัดการระบบบริหารและกระบวนการจัดการข้อมูลหรือวงจรชีวิตของข้อมูล 3) มีนโยบายการใช้ข้อมูลที่ชัดเจน 4) มีการกําหนดบทบาทหน้าที่ของเจ้าของข้อมูล 5) ข้อมูลมี Meta Data 6) ข้อมูลมีคุณภาพ      ดังนั้นการจัดทำ Data Governance จึงเป็นเรื่องที่องค์กรต้องให้ความสำคัญ เพื่อเป็นการกำหนดถึงสิทธิ หน้าและนโยบายเกี่ยวกับการดำเนินการต่าง ๆ เกี่ยวกับข้อมูลทุกประเภทที่อยู่ภายใต้การควบคุมและการดำเนินงานขององค์กร และครอบคลุมถึงข้อมูลส่วนบุคคลที่อยู่ภายใต้การควบคุมขององค์กรเช่นเดียวกัน เมื่อมีการดำเนินการเกี่ยวกับ Data Governance ในองค์แล้วนั้นจะทำให้การดำเนินการด้านการคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA สามารถทำได้ง่ายขึ้น เนื่องจาก Data Governance เป็นการจัดระเบียบและกำกับการใช้ข้อมูลในองค์กร
thThai

ลงทะเบียน

เข้าสู่ระบบ