พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ มาตรา 40 ได้ระบุไว้ให้มีการทำข้อตกลงร่วมกันระหว่างผู้ควบคุม และผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับการดำเนินการจัดเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามกรอบของข้อกำหนดในสัญญานี้เท่านั้น จึงเกิดมาเป็นประเด็นสัญญาการประมวลผลข้อมูลส่วนบุคคล หรือ Data Processing Agreement (DPA)
Data Processing Agreement หรือ สัญญา DPA คืออะไร?
Data Processing Agreement หรือ สัญญา DPA คือเอกสารข้อตกลงการประมวลผล เพื่อให้ผู้ประมวลผลข้อมูล ได้ดำเนินการตามวัตถุประสงค์ และขอบเขตข้อตกลงตามสัญญาที่บริษัทผู้ว่าจ้างกำหนดเท่านั้น โดยสามารถจัดทำเอกสารเป็นลายลักษณ์อักษรหรือในรูปแบบอิเล็กทรอนิกส์ ดังนั้นเอกสารสัญญาข้อตกลงการประมวลผลข้อมูล ถือเป็นเอกสารระหว่างผู้ควบคุมข้อมูลที่มีการขอจัดเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูล และมีการแจ้งหากจะมีการส่งข้อมูลส่วนบุคคลนั้น ๆไปยังบุคคลอื่นภายนอกองค์กรเพื่อทำกิจกรรมประมวลผลข้อมูลส่วนบุคคล ดังนั้นจำเป็นอย่างยิ่งที่ต้องมีการทำเอกสารสัญญา DPA เพื่อเป็นหลักฐาน และข้อตกลงการใช้ข้อมูลส่วนบุคคลร่วมกันทำให้ทั้ง 2 ฝ่ายรับทราบข้อตกลง และปฎิบัติตามเงื่อนไขที่ตกลงกันเท่านั้น เพื่อป้องกันการใช้ข้อมูลส่วนบุคคลผิดวัตถุประสงค์ หรือเกินขอบเขตที่เจ้าของข้อมูลให้ความยินยอม
Data Processing Agreement ( DPA ) เกี่ยวข้องกับใครบ้าง ?
DPA เป็นเอกสารที่มีผลผูกพันทางกฎหมายซึ่งต้องทำขึ้นระหว่าง
- ผู้ควบคุมข้อมูลส่วนบุคคล Data Controller (บริษัทผู้ว่าจ้าง)
- ผู้ประมวลผลข้อมูลส่วนบุคคล Data Processor (ผู้ให้บริการภายนอก หรือบุคคลอื่นที่เกี่ยวข้อง)
จะเขียน DPA ต้องทำอย่างไร มีองค์ประกอบอะไรบ้าง ?
การเขียน DPA จะต้องมีการกำหนดขอบเขต และวัตถุประสงค์ของข้อตกลงการประมวลผลข้อมูลส่วนบุคคลอย่าชัดแจ้ง กำหนดรายละเอียดของข้อมูลที่จะนำไปประมวลผล มีการแจ้งวิธีป้องกัน และแจ้งความสัมพันธ์ระหว่างผู้ควบคุมข้อมูลส่วนบุคคลกับผู้ประมวลผลข้อมูลส่วนบุคคล นอกจากนี้ควรกำหนดรายละเอียด ดังนี้
- ข้อมูลที่แลกเปลี่ยนมีอะไรบ้างโดยผู้ควบคุมข้อมูลส่วนบุคคลต้องระบุข้อมูลที่แลกเปลี่ยนอย่างชัดเจน ว่ามีการส่งต่อข้อมูลส่วนบุคคลอะไรบ้างให้กับองค์กรภายนอกและระบุฝ่ายที่รับผิดชอบในการตรวจสอบว่าข้อมูลเป็นไปตามแนวปฏิบัติของกฎหมาย PDPA หรือไม่
- วัตถุประสงค์ และขอบเขตในการประมวลผลข้อมูล โดยผู้ควบคุมข้อมูลส่วนบุคคลต้องระบุถึงวัตถุประสงค์ว่าการทำกิจกรรมประมวลผลนี้ทำทำไปเพื่ออะไร และเป็นไปตามข้อตกลงการประมวลผลข้อมูลอย่างชัดเจนหรือไม่
- ผู้ประมวลผลข้อมูลจะดําเนินการลบและทําลายข้อมูลภายในระยะเวลา หลังบรรลุวัตถุประสงค์ตามสัญญา
- ผู้ประมวลผลข้อมูลจะจัดให้มีมาตรการการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตามที่กฎหมายกําหนด เป็นการระบุถึงมาตรการรักษาความปลอดภัยของข้อมูล การเข้าถึงรหัสข้อมูล วิธีการตรวจสอบย้อนกลับ กำหนดการรักษาความลับ ความพร้อมใช้งาน และความยืดหยุ่นของระบบการประมวลผลข้อมูลและบริการให้เป็นไปตามสิทธิของเจ้าของข้อมูลส่วนบุคคล รวมถึงค่าใช้จ่ายและผู้รับผิดชอบในการดำเนินการ
- ผู้ประมวลผลข้อมูลจะไม่นําข้อมูลที่ได้รับจากบริษัทไปใช้ในวัตถุประสงค์อื่นนอกเหนือจากที่ระบุในข้อตกลงฉบับนี้
- หากการกระทําใดของผู้ประมวลผลข้อมูลทําให้เกิดข้อพิพาท หรือความเสียหายแก่บริษัท ผู้ประมวลผลข้อมูลต้อง รับผิดชอบความเสียหายที่เกิดขึ้นทั้งหมด
ดังนั้น หากคุณทำธุรกิจหรือมีการทำกิจกรรมใดๆก็ตาม ที่มีการเก็บรวบรวม ใช้ หรือมีการเผยแพร่ข้อมูลส่วนบุคคล ไม่ว่าจะจากจากลูกค้า คู่ค้า พนักงาน หรือแม้แต่ผู้ที่เข้ามาในบริเวณพื้นที่ ก็จำเป็นที่ต้องมีการทำ DPA เพื่อทำตามกฎระเบียบของกฎหมาย PDPA หากคุณไม่รู้ว่าจะเริ่มต้นยังไง หรือทำแล้วไม่ชัวร์ว่าถูกต้องหรือไม่ PDPA Thailand ช่วยคุณได้ ! เราคือผู้บริการให้คำปรึกษา สอบทาน ฝึกอบรม ทดสอบ เพื่อบริหารความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคลภายใต้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ Personal Data Protection Act B.E. 2562 (PDPA) แก่องค์กรธุรกิจ >>>> คลิก PDPA Document Templates >> แบบฟอร์มและสัญญาชุดพื้นฐานที่จำเป็นสำหรับการใช้งานในองค์กร เพื่อการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ที่จะช่วยให้คุณสามารถทำเอกสารและสัญญาต่างๆ ได้อย่างง่ายดาย และถูกต้อง
