Now!
Solution ด้านการคุ้มครองข้อมูลส่วนบุคคลที่ตอบโจทย์ SMEs ได้ทุกคำถาม

7 วิธี จัดการข้อมูลส่วนบุคคลของ ‘คู่ค้า-คู่สัญญา’ ตามกฎหมาย PDPA

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

7 วิธี จัดการข้อมูลส่วนบุคคลของ ‘คู่ค้า-คู่สัญญา’ ตามกฎหมาย PDPA

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

ข้อมูลส่วนบุคคลของ บุคคลที่สาม ในที่นี้หมายถึง บุคคล หรือนิติบุคคลที่บริษัทมีการดำเนินงานร่วมกันภายใต้กรอบสัญญาที่มีการตกลงกันเป็นลายลักษณ์อักษร โดยในทางปฏิบัติงานอาจหมายถึง ข้อมูลของ คู่ค้า และคู่สัญญา ของบริษัทที่ได้มีการเก็บ รวบรวมใช้ หรือเปิดเผย เพื่อวัตถุประสงค์ด้านธุรกิจ และเมื่อมีการบังคับใช้กฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 บริษัทของคุณได้ดำเนินการในส่วนข้อมูลส่วนบุคคลของคู่ค้า และคู่สัญญาที่ถูกต้องแล้วหรือยัง ???

PDPA สำหรับคู่ค้า และคู่สัญญา ต้องดำเนินการอะไรบ้าง?

ในทางเทคนิค กฎหมาย PDPA กำหนดให้ข้อมูลส่วนบุคคลเป็นสิทธิของเจ้าของข้อมูล ดังนั้น ผู้ควบคุมข้อมูล (Data Controller)  และผู้ประมวลผลข้อมูล (Data Processor) จะต้องขอความยินยอมในการเก็บ รวบรวมใช้ หรือเปิดเผย ซึ่งเป็นสิทธิพื้นฐานตามนิยามของกฎหมายคุ้มครองข้อมูลส่วนบุคคล

ด้วยเหตุนี้ จึงไม่ใช้แค่ ข้อมูลลูกค้า เจ้าหน้าที่หรือพนักงานในบริษัท แต่ยังรวมถึงข้อมูลส่วนบุคคลของคู่ค้า และคู่สัญญา ที่บริษัทมีการเก็บใช้ ซึ่งสิ่งที่ยังคงเป็นประเด็นที่ค่อนข้าง อ่อนไหวและสุ่มเสี่ยงต่อการละเมิดกฎหมาย PDPA เนื่องจากการขาดความเข้าใจกฎหมายที่ดีพอ หรือไม่มีความพร้อมในการดำเนินการ ในที่นี้เราจึงหยิบยกปัญหาดังกล่าวมาให้คำแนะนำ ตลอดจนแนวทางในการปฏิบัติตามกฎหมาย PDPA  โดยสามารถกำหนดขั้นตอนในการดำเนินการทำหนังสือสัญญาการเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลคู่ค้าและคู่สัญญา ได้ดังนี้

1. อธิบายลักษณะของข้อมูลส่วนบุคคลที่มีการเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลคู่ค้า/คู่สัญญา : เช่นชื่อ-นามสกุล คำนำหน้าชื่อ เพศ วันเดือนปีเกิด หมายเลขบัตรประจำตัวประชาชน เลขที่หนังสือเดินทาง เลขที่บัตรประจำตัวผู้เสียภาษี หมายเลขบัญชีเงินฝากธนาคาร ข้อมูลการทำธุรกรรม ที่อยู่ หมายเลขโทรศัพท์ อีเมล ตำแหน่ง สัญชาติ อายุ ประสบการณ์หรือประวัติการทำงาน ความเชี่ยวชาญ ความถนัด ตลอดจนข้อมูลอื่นๆ ที่มีการจัดเก็บ รวมถึงข้อมูลที่มีความอ่อนไหว ได้แก่ ศาสนา เชื้อชาติ และข้อมูลสุขภาพ

2. แหล่งที่มาของข้อมูลที่มีการจัดเก็บ : โดยทั่วไป ข้อมูลคู่ค้าหรือคู่สัญญามักมีการจัดเก็บข้อมูลโดยตรงจากเจ้าของข้อมูล อาทิ เป็นเอกสารให้กรอกตามสัญญา เป็นนามบัตร หรือข้อมูลส่วนบุคคลและข้อมูลการติดต่อในรูปแบบต่างๆ ซึ่งจะต้องมีการระบุโดยชัดเจนถึงที่มา รวมถึง การได้มาซึ่งข้อมูลจากแหล่งอื่นๆ อาทิ จากลูกค้าองค์กร จากธุรกิจในเครือ จากข้อมูลเผยแพร่ในหน้าเว็บไซต์ ข้อมูลจากบริษัทจัดหางานหรือบริษัทที่เป็น Outsource ซึ่งในสัญญาข้อตกลงความยินยอมควรระบุไว้อย่างชัดเจน หรือเป็นการดำเนินการตามฐานกฎหมาย ฐานสัญญา และฐานประโยชน์โดยชอบ เป็นต้น โดยแล้วแต่ลักษณะของคู่ค้าหรือคู่สัญญา

3. กำหนดวัตถุประสงค์ในการใช้งาน ขอบเขตการเข้าถึงข้อมูล และระยะเวลาจัดเก็บ : การดำเนินการส่วนนี้ กฎหมายระบุไว้ว่า การเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูล บริษัทควรดำเนินการระบุไว้อย่างชัดเจนถึงวัตถุประสงค์ในการใช้งาน หรือประมวลผลข้อมูล ตลอดจนขอบเขตการใช้งาน ความรับผิดชอบตามหน้าที่ของพนักงาน ใครที่สามารถเข้าถึงข้อมูลเหล่านี้ได้บ้าง มีระยะเวลาในการเก็บ การปรับเปลี่ยนแก้ไขไว้อย่างชัดเจน เช่น ควรมีการอัปเดตข้อมูลคู่ค้า คู่สัญญา อย่างน้อยปีละ 1 ครั้ง

4. การเปิดเผยข้อมูลส่วนบุคคล : สำหรับเอกสารสัญญาการเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของคู่ค้า และคู่สัญญาควรมีกำหนดไว้อย่างชัดเจนด้วยว่า มีการเปิดเผยข้อมูลของคู่ค้า หรือคู่สัญญาแก่บุคคลที่สามใดบ้าง และเปิดเผยข้อมูลใดบ้าง ซึ่งต้องมีการดำเนินการโดยชอบตามกฎหมาย PDPA เช่น การเปิดเผยข้อมูลเพื่อยื่นภาษี สามารถทำได้ด้วยประโยชน์อันชอบธรรม/การปฏิบัติตามกฎหมาย ส่วนการส่งต่อหรือถ่ายโอนข้อมูลให้ธุรกิจในเครือ ให้ข้อมูลแก่พันธมิตรทางธุรกิจ ให้แก่ลูกค้า เพื่อประโยชน์ในการทำธุรกิจ หรือการส่งต่อข้อมูลเพื่อประโยชน์ในด้านการติดต่อและประสานงาน บริษัทจะต้องแจ้งให้คู่ค้าหรือคู่สัญญาทราบ ระบุส่วนกระบวนการนี้เป้นข้อตกลงลงในสัญญา หรือได้รับความยินยอมในบางกรณีหากไม่มีฐานทางกฎหมายอื่นมารองรับการประมวลผล ทั้งนี้การดำเนินการส่งต่อข้อมูลไปยังบุคคลที่สาม บุคคลที่สามดังกล่าวจะต้องมีมาตรฐานด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ทัดเทียม หรือดีกว่า หรือขึ้นอยู่กับการวินิจฉัยของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลว่าให้สามารถดำเนินการได้ หรือกฎหมายอนุญาตให้ดำเนินการได้

5. การรักษาความลับและความปลอดภัยของข้อมูล : ในทางทฤษฎี บริษัทไม่มีอำนาจในการเปิดเผยข้อมูลส่วนบุคคลใดๆ ก็ตาม หากผู้นั้นไม่ได้ให้ความยินยอม เว้นแต่เป็นการปฏิบัติตามกฎหมาย ตามสัญญา หรือตามประโยชน์โดยชอบ แต่ในทางปฏิบัติแล้ว อาจจะไม่ได้เป็นเช่นนั้นเสมอไป เนื่องจากข้อมูลของคู่ค้า และคู่สัญญา อาจเป็นสิ่งที่เข้าถึงได้ง่ายมากสำหรับบุคลากรภายในบริษัท ดังนั้น มาตรการในการรักษาความลับของข้อมูลส่วนบุคคลคู่ค้าและคู่สัญญา จึงความสำคัญมากเพื่อป้องกันความเสี่ยงในการที่ข้อมูลส่วนบุคคลจะเกิดการรั่วไหล อันนำไปสู่การละเมิด โดยบริษัทจึงต้องมีแนวทางในการจำกัดสิทธิและอำนาจหน้าที่อันเหมาะสม ในการเข้าถึงข้อมูลคู่ค้าและคู่สัญญาของพนักงานภายในบริษัท หรือบุคคลใดก็ตามที่สามารถเข้าถึงข้อมูล รวมทั้งมีแนวปฏิบัติทางเทคนิคที่เหมาะสมกับความเสี่ยง

6. ดำเนินการด้านสิทธิการเข้าถึงแก่เจ้าของข้อมูล : กฎหมายระบุว่า เจ้าของข้อมูลมีสิทธิในการที่จะข้อให้ระงับ แก้ไข ทำลาย ถ่ายโอน หรือเพิกถอนความยินยอมในการเก็บ รวมรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจากบริษัทได้โดยง่าย ด้วยเหตุนี้ บริษัทจึงต้องมีการจัดทำช่องทางเพื่อการดำเนินการด้านสิทธิการเข้าถึงแก่ข้อมูลส่วนบุคคลของคู่ค้าหรือคู่สัญญาอย่างเหมาะสม ซึ่งอาจมองว่าเป็นประโยชน์ที่จะเกิดขึ้นทั้งสองทาง คือบริษัทมีการดำเนินการที่โปร่งใสและสอดคล้องตามกฎหมาย PDPA ขณะที่ฝั่งคู่ค้าและคู่สัญญาก็จะเกิดความเชื่อมั่นในบริษัทด้วย

7. การทำลาย หรือทำข้อมูลให้เป็นนิรนาม : อีกหนึ่งในมาตรการป้องกันความเสี่ยงการละเมิดข้อมูลส่วนบุคคลของคู่ค้า หรือคู่สัญญา นั้นคือ หากข้อมูลใด ที่ไม่เป็นประโยชน์ ต่อธุรกิจก็ควรมีการลบทำลาย หรือจัดทำข้อมูลเหล่านั้นให้เป็น นิรนาม ซึ่งเป็นอีกหนึ่งแนวทางด้านการคุ้มครองข้อมูลที่บริษัทควรดำเนินการอยู่เสมอ และพึงจำไว้เสมอว่า ข้อมูลส่วนบุคคล ‘ไม่ใช่ทรัพย์สินของบริษัท แต่เป็นสิทธิของบุคคลนั้นๆ จึงไม่ควรที่จะเก็บข้อมูลส่วนบุคคลใดๆ ก็ตามที่ เกินความจำเป็น จึงจะเป็นแนวทางที่เหมาะสมและถูกต้อง

อย่างไรก็ตาม การจัดการข้อมูลส่วนบุคคลภายในบริษัท และองค์กรธุรกิจต่างๆ ยังมีประเด็นที่อ่อนไหวและต้องมีการ ตีความ จากผู้ที่มีความรู้ ความเชี่ยวชาญเฉพาะด้านอีกมาก ดังนั้น หากเป็นไปได้ ทุกบริษัทควรมีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ในองค์กร หรือธุรกิจรายเล็กที่มีข้อมูลไม่มากนักอาจจะพิจารณาแต่งตั้งเจ้าหน้าที่ประสานงานข้อมูลส่วนบุคคลที่มีความรู้เรื่องกฎหมาย PDPA เป็นอย่างดี

Share :

บทความที่เกี่ยวข้อง

การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล  ถือเป็นประเด็นที่ต้องพิจารณาทางกฎหมายหลายประการ โดยมี
Copyright © 2022 Digital Business Consult, All Rights Reserved.

ลงทะเบียน

เข้าสู่ระบบ