ข้อมูลส่วนบุคคลของ ‘บุคคลที่สาม’ ในที่นี้หมายถึง บุคคล หรือนิติบุคคลที่บริษัทมีการดำเนินงานร่วมกันภายใต้กรอบสัญญาที่มีการตกลงกันเป็นลายลักษณ์อักษร โดยในทางปฏิบัติงานอาจหมายถึง ข้อมูลของ ‘คู่ค้า และคู่สัญญา’ ของบริษัทที่ได้มีการเก็บ รวบรวมใช้ หรือเปิดเผย เพื่อวัตถุประสงค์ด้านธุรกิจ และเมื่อมีการบังคับใช้กฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 บริษัทของคุณได้ดำเนินการในส่วนข้อมูลส่วนบุคคลของคู่ค้า และคู่สัญญาที่ถูกต้องแล้วหรือยัง ???
PDPA สำหรับคู่ค้า และคู่สัญญา ต้องดำเนินการอะไรบ้าง?
ในทางเทคนิค กฎหมาย PDPA กำหนดให้ข้อมูลส่วนบุคคลเป็นสิทธิของเจ้าของข้อมูล ดังนั้น ผู้ควบคุมข้อมูล (Data Controller) และผู้ประมวลผลข้อมูล (Data Processor) จะต้องขอความยินยอมในการเก็บ รวบรวมใช้ หรือเปิดเผย ซึ่งเป็นสิทธิพื้นฐานตามนิยามของกฎหมายคุ้มครองข้อมูลส่วนบุคคล
ด้วยเหตุนี้ จึงไม่ใช้แค่ ข้อมูลลูกค้า เจ้าหน้าที่หรือพนักงานในบริษัท แต่ยังรวมถึงข้อมูลส่วนบุคคลของคู่ค้า และคู่สัญญา ที่บริษัทมีการเก็บใช้ ซึ่งสิ่งที่ยังคงเป็นประเด็นที่ค่อนข้าง ‘อ่อนไหวและสุ่มเสี่ยง’ ต่อการละเมิดกฎหมาย PDPA เนื่องจากการขาดความเข้าใจกฎหมายที่ดีพอ หรือไม่มีความพร้อมในการดำเนินการ ในที่นี้เราจึงหยิบยกปัญหาดังกล่าวมาให้คำแนะนำ ตลอดจนแนวทางในการปฏิบัติตามกฎหมาย PDPA โดยสามารถกำหนดขั้นตอนในการดำเนินการทำหนังสือสัญญาการเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลคู่ค้าและคู่สัญญา ได้ดังนี้
1. อธิบายลักษณะของข้อมูลส่วนบุคคลที่มีการเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลคู่ค้า/คู่สัญญา : เช่นชื่อ-นามสกุล คำนำหน้าชื่อ เพศ วันเดือนปีเกิด หมายเลขบัตรประจำตัวประชาชน เลขที่หนังสือเดินทาง เลขที่บัตรประจำตัวผู้เสียภาษี หมายเลขบัญชีเงินฝากธนาคาร ข้อมูลการทำธุรกรรม ที่อยู่ หมายเลขโทรศัพท์ อีเมล ตำแหน่ง สัญชาติ อายุ ประสบการณ์หรือประวัติการทำงาน ความเชี่ยวชาญ ความถนัด ตลอดจนข้อมูลอื่นๆ ที่มีการจัดเก็บ รวมถึงข้อมูลที่มีความอ่อนไหว ได้แก่ ศาสนา เชื้อชาติ และข้อมูลสุขภาพ
2. แหล่งที่มาของข้อมูลที่มีการจัดเก็บ : โดยทั่วไป ข้อมูลคู่ค้าหรือคู่สัญญามักมีการจัดเก็บข้อมูลโดยตรงจากเจ้าของข้อมูล อาทิ เป็นเอกสารให้กรอกตามสัญญา เป็นนามบัตร หรือข้อมูลส่วนบุคคลและข้อมูลการติดต่อในรูปแบบต่างๆ ซึ่งจะต้องมีการระบุโดยชัดเจนถึงที่มา รวมถึง การได้มาซึ่งข้อมูลจากแหล่งอื่นๆ อาทิ จากลูกค้าองค์กร จากธุรกิจในเครือ จากข้อมูลเผยแพร่ในหน้าเว็บไซต์ ข้อมูลจากบริษัทจัดหางานหรือบริษัทที่เป็น Outsource ซึ่งในสัญญาข้อตกลงความยินยอมควรระบุไว้อย่างชัดเจน หรือเป็นการดำเนินการตามฐานกฎหมาย ฐานสัญญา และฐานประโยชน์โดยชอบ เป็นต้น โดยแล้วแต่ลักษณะของคู่ค้าหรือคู่สัญญา
3. กำหนดวัตถุประสงค์ในการใช้งาน ขอบเขตการเข้าถึงข้อมูล และระยะเวลาจัดเก็บ : การดำเนินการส่วนนี้ กฎหมายระบุไว้ว่า การเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูล บริษัทควรดำเนินการระบุไว้อย่างชัดเจนถึงวัตถุประสงค์ในการใช้งาน หรือประมวลผลข้อมูล ตลอดจนขอบเขตการใช้งาน ความรับผิดชอบตามหน้าที่ของพนักงาน ใครที่สามารถเข้าถึงข้อมูลเหล่านี้ได้บ้าง มีระยะเวลาในการเก็บ การปรับเปลี่ยนแก้ไขไว้อย่างชัดเจน เช่น ควรมีการอัปเดตข้อมูลคู่ค้า คู่สัญญา อย่างน้อยปีละ 1 ครั้ง
4. การเปิดเผยข้อมูลส่วนบุคคล : สำหรับเอกสารสัญญาการเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของคู่ค้า และคู่สัญญาควรมีกำหนดไว้อย่างชัดเจนด้วยว่า มีการเปิดเผยข้อมูลของคู่ค้า หรือคู่สัญญาแก่บุคคลที่สามใดบ้าง และเปิดเผยข้อมูลใดบ้าง ซึ่งต้องมีการดำเนินการโดยชอบตามกฎหมาย PDPA เช่น การเปิดเผยข้อมูลเพื่อยื่นภาษี สามารถทำได้ด้วยประโยชน์อันชอบธรรม/การปฏิบัติตามกฎหมาย ส่วนการส่งต่อหรือถ่ายโอนข้อมูลให้ธุรกิจในเครือ ให้ข้อมูลแก่พันธมิตรทางธุรกิจ ให้แก่ลูกค้า เพื่อประโยชน์ในการทำธุรกิจ หรือการส่งต่อข้อมูลเพื่อประโยชน์ในด้านการติดต่อและประสานงาน บริษัทจะต้องแจ้งให้คู่ค้าหรือคู่สัญญาทราบ ระบุส่วนกระบวนการนี้เป้นข้อตกลงลงในสัญญา หรือได้รับความยินยอมในบางกรณีหากไม่มีฐานทางกฎหมายอื่นมารองรับการประมวลผล ทั้งนี้การดำเนินการส่งต่อข้อมูลไปยังบุคคลที่สาม บุคคลที่สามดังกล่าวจะต้องมีมาตรฐานด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ทัดเทียม หรือดีกว่า หรือขึ้นอยู่กับการวินิจฉัยของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลว่าให้สามารถดำเนินการได้ หรือกฎหมายอนุญาตให้ดำเนินการได้
5. การรักษาความลับและความปลอดภัยของข้อมูล : ในทางทฤษฎี ‘บริษัท’ ไม่มีอำนาจในการเปิดเผยข้อมูลส่วนบุคคลใดๆ ก็ตาม หากผู้นั้นไม่ได้ให้ความยินยอม เว้นแต่เป็นการปฏิบัติตามกฎหมาย ตามสัญญา หรือตามประโยชน์โดยชอบ แต่ในทางปฏิบัติแล้ว อาจจะไม่ได้เป็นเช่นนั้นเสมอไป เนื่องจากข้อมูลของคู่ค้า และคู่สัญญา อาจเป็นสิ่งที่เข้าถึงได้ง่ายมากสำหรับบุคลากรภายในบริษัท ดังนั้น มาตรการในการรักษาความลับของข้อมูลส่วนบุคคลคู่ค้าและคู่สัญญา จึงความสำคัญมากเพื่อป้องกันความเสี่ยงในการที่ข้อมูลส่วนบุคคลจะเกิดการรั่วไหล อันนำไปสู่การละเมิด โดยบริษัทจึงต้องมีแนวทางในการจำกัดสิทธิและอำนาจหน้าที่อันเหมาะสม ในการเข้าถึงข้อมูลคู่ค้าและคู่สัญญาของพนักงานภายในบริษัท หรือบุคคลใดก็ตามที่สามารถเข้าถึงข้อมูล รวมทั้งมีแนวปฏิบัติทางเทคนิคที่เหมาะสมกับความเสี่ยง
6. ดำเนินการด้านสิทธิการเข้าถึงแก่เจ้าของข้อมูล : กฎหมายระบุว่า เจ้าของข้อมูลมีสิทธิในการที่จะข้อให้ระงับ แก้ไข ทำลาย ถ่ายโอน หรือเพิกถอนความยินยอมในการเก็บ รวมรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจากบริษัทได้โดยง่าย ด้วยเหตุนี้ บริษัทจึงต้องมีการจัดทำช่องทางเพื่อการดำเนินการด้านสิทธิการเข้าถึงแก่ข้อมูลส่วนบุคคลของคู่ค้าหรือคู่สัญญาอย่างเหมาะสม ซึ่งอาจมองว่าเป็นประโยชน์ที่จะเกิดขึ้นทั้งสองทาง คือบริษัทมีการดำเนินการที่โปร่งใสและสอดคล้องตามกฎหมาย PDPA ขณะที่ฝั่งคู่ค้าและคู่สัญญาก็จะเกิดความเชื่อมั่นในบริษัทด้วย
7. การทำลาย หรือทำข้อมูลให้เป็นนิรนาม : อีกหนึ่งในมาตรการป้องกันความเสี่ยงการละเมิดข้อมูลส่วนบุคคลของคู่ค้า หรือคู่สัญญา นั้นคือ หากข้อมูลใด ‘ที่ไม่เป็นประโยชน์’ ต่อธุรกิจก็ควรมีการลบทำลาย หรือจัดทำข้อมูลเหล่านั้นให้เป็น ‘นิรนาม’ ซึ่งเป็นอีกหนึ่งแนวทางด้านการคุ้มครองข้อมูลที่บริษัทควรดำเนินการอยู่เสมอ และพึงจำไว้เสมอว่า ข้อมูลส่วนบุคคล ‘ไม่ใช่ทรัพย์สินของบริษัท’ แต่เป็นสิทธิของบุคคลนั้นๆ จึงไม่ควรที่จะเก็บข้อมูลส่วนบุคคลใดๆ ก็ตามที่ ‘เกินความจำเป็น’ จึงจะเป็นแนวทางที่เหมาะสมและถูกต้อง
อย่างไรก็ตาม การจัดการข้อมูลส่วนบุคคลภายในบริษัท และองค์กรธุรกิจต่างๆ ยังมีประเด็นที่อ่อนไหวและต้องมีการ ‘ตีความ’ จากผู้ที่มีความรู้ ความเชี่ยวชาญเฉพาะด้านอีกมาก ดังนั้น หากเป็นไปได้ ทุกบริษัทควรมีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ในองค์กร หรือธุรกิจรายเล็กที่มีข้อมูลไม่มากนักอาจจะพิจารณาแต่งตั้งเจ้าหน้าที่ประสานงานข้อมูลส่วนบุคคลที่มีความรู้เรื่องกฎหมาย PDPA เป็นอย่างดี
