Now!
Solution ด้านการคุ้มครองข้อมูลส่วนบุคคลที่ตอบโจทย์ SMEs ได้ทุกคำถาม

บอกให้รู้ ดูให้ชัวร์! เปิดเผยข้อมูลลูกค้าแก่บุคคลที่สาม (Third-party) กับข้อควรระวังป้องกันละเมิดกฎหมาย PDPA ต้องทำอย่างไร?

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

บอกให้รู้ ดูให้ชัวร์! เปิดเผยข้อมูลลูกค้าแก่บุคคลที่สาม (Third-party) กับข้อควรระวังป้องกันละเมิดกฎหมาย PDPA ต้องทำอย่างไร?

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

ธุรกิจที่เปิดเผยขอมูลลูกค้าแก่บุคคลที่สามต้องทำอย่างไร? เพื่อไม่ให้ละเมิดกฎหมาย PDPA สิ่งที่ผู้ประกอบการธุรกิจควรรู้ และปรับเปลี่ยนเพื่อให้กิจกรรมของธุรกิจสอดคล้องกับกฎหมาย และข้อควรระวังเพื่อป้องกันการละเมิดข้อมูลส่วนบุคคลโดยไม่ตั้งใจ

หากธุรกิจคุณมีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) จะสามารถนำข้อมูลส่วนบุคคลของลูกค้า ส่งต่อให้บุคคลคลหรือนิติบุคลอื่นไปใช้เพื่อกิจกรรมทางธุรกิจได้หรือไม่?
คำเฉลยของคำถามนี้ค่อนข้างยาว..แต่หากจะให้ตอบแบบสรุปเลยก็คือ ‘ได้’ แต่ต้องอยู่ภายใต้เงื่อนที่กฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 กำหนดไว้ โดยในด้านธุรกิจสามารถแบ่งเป็น 2 กรณี ดังนี้

        กรณีที่ 1. ผู้ควบคุมข้อมูลฯ ซึ่งมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยในกรณีนี้เราหมายถึง ‘ข้อมูลลูกค้า’ และได้ยินยอมให้ดำเนินการได้ตามวัตถุประสงค์ที่ระบุไว้ในเอกสารความยินยอม (Consent) อย่างชัดเจน โดยมีการเปิดเผย หรือส่งต่อข้อมูลให้กับคู่ค้าหรือคู่สัญญาที่ได้รับการแต่งตั้งเป็น ‘ผู้ประมวลผลข้อมูลส่วนบุคคล’ (Data Processer) ดำเนินการประมวลผลเพื่อกิจกรรมด้านการตลาด หรือกิจกรรมของธุรกิจที่มีการระบุไว้ในวัตถุประสงค์ของการเก็บรวบรวมใช้ หรือเปิดเผย ข้อมูลส่วนบุคคล และได้แจ้งไว้ใน Privacy Notice (ประกาศความเป็นส่วนตัว) การดำเนินการลักษณะนี้จึงสามารถทำได้โดยชอบภายใต้ข้อกำหนดของกฎหมาย

         กรณีที่ 2. ผู้ควบคุมข้อมูลฯ นำข้อมูลส่วนบุคคลของลูกค้าซึ่งได้มีการเก็บรวบรวมไปเปิดเผยต่อ ‘บุคคลที่สาม’ (Third-party) ที่ไม่ใช่ผู้ประมวลผลข้อมูลฯ เพื่อให้ดำเนินการ
ด้านกิจกรรมทางธุรกิจในรูปแบบต่างๆ ซึ่งหากเป็นการดำเนินการตามวัตถุประสงค์เดิมที่มีการแจ้ง และขอความยินยอมจากลูกค้าแล้ว ก็สามารถดำเนินการได้ตามกฎหมายเช่นกัน แต่ควรที่จะต้องแจ้งรายละเอียดไว้ใน Privacy Notice ด้วยว่า บริษัทฯ ได้มีการแบ่งปันข้อมูลแก่บุคคลที่สาม เช่น ได้เปิดเผยข้อมูลแก่ที่ปรึกษาด้านการวิเคราะห์ตลาด (สามารถระบุชื่อ หรืออาจไม่ระบุชื่อเนื่องจากเป็นความลับทางธุรกิจ) เพื่อดำเนินการตามวัตถุประสงค์ของธุรกิจ ทั้งนี้ หากมีการเปิดเผยข้อมูลส่วนบุคคลของลูกค้าเพื่อดำเนินการที่ต่างจากวัตถุประสงค์เดิมที่แจ้งและขอความยินยอมไว้ก่อนนี้ ผู้ควบคุมข้อมูลฯ จะต้องแจ้งและขอความยินยอมใหม่แก่เจ้าของข้อมูลก่อนดำเนินการทุกครั้ง

หากต้องเปิดเผยข้อมูลส่วนบุคคลแก่ บุคคลที่สามในต่างประเทศ ทำอย่างไร?

กรณีที่ผู้ควบคุมข้อมูลฯ ส่งหรือโอนข้อมูลลูกค้า ให้แก่บุคคลที่สามซึ่งอยู่ใน ‘ต่างประเทศ กำหมายกำหนดว่า ประเทศปลายทางต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ หรือต้องเป็นไปตามหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด 

เว้นแต่

1.เป็นการปฏิบัติตามกฎหมาย

2.ได้แจ้งให้เจ้าของข้อมูลฯทราบถึงมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอของประเทศปลายทาง และเจ้าของข้อมูลฯให้ความยินยอมแล้ว

3.เป็นการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลฯ เป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลฯ

4.เป็นการทำตามสัญญาระหว่างผู้ควบคุมข้อมูลฯ กับบุคคลหรือนิติบุคคลอื่นเพื่อประโยชน์ของเจ้าของข้อมูลฯ

5.เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพ

6.เพื่อประโยชน์สาธารณะที่สำคัญ

อภิธานศัพท์ ‘บุคคลที่สาม’ คือใครบ้าง

หากอ้างอิงตาม GDPR (General Data Protection Regulation) ที่ให้คำจำกัดความของ ‘บุคคลที่สาม’ หมายถึง บุคคล หรือนิติบุคคล หน่วยงานสาธารณะ หน่วยงานรัฐ เจ้าหน้าที่รัฐ หรือหน่วยงานอื่น ที่นอกเหนือจากเจ้าของข้อมูล ผู้ควบคุมข้อมูลฯ ผู้ประมวลผลข้อมูลฯ และบุคคลที่ได้รับอนุญาตให้ดำเนินการส่วนบุคคลภายใต้อำนาจหน้าที่โดยตรงของผู้ควบคุมหรือผู้ประมวลผลข้อมูล อาทิ
-พันธมิตรทางธุรกิจที่เป็นคู่ค้า
-คู่สัญญาที่เป็นบุคคล หรือนิติบุคคลที่มีหน้าที่ปฏิบัติตามเงื่อนไขในสัญญาจ้างในการดำเนินการส่วนต่างๆ ของธุรกิจ
– หน่วยงานรัฐที่ธุรกิจจะต้องส่งข้อมูลให้ตามกฎหมาย เช่น หน่วยงานภาษี สิทธิแรงงาน ประกันสังคม บริการด้านสุขภาพและการรักษา เป็นต้น
-เจ้าหน้าที่รัฐที่ปฏิบัติตามกฎหมาย

*แนะนำ : ผู้ควบคุมข้อมูลฯ ควรอัปเดตข้อมูลส่วนบุคคลลูกค้า และสถานะความยินยอมอยู่เสมอ เพื่อให้แน่ใจด้วยว่ารายการหรือฐานข้อมูลเป็นปัจจุบัน ป้องกันการละเมิดสิทธิแก่ลูกค้าที่ได้มีการขอให้แก้ไข ระงับ หรือเพิกถอนความยินยอมในการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ก่อนส่งต่อหรือเปิดเผยข้อมูลแก่บุคคลที่สาม

5 สิ่งสำคัญที่ควรต้องมี ในข้อตกลงการแบ่งปันข้อมูลฯ แก่บุคคลที่สาม 

การเปิดเผยข้อมูลส่วนบุคคลของลูกค้าแก่บุคคลที่สาม ผู้ประกอบการธุรกิจไม่เพียงต้องแจ้งและขอความยินยอมจากเจ้าของข้อมูลฯ ตามวัตถุประสงค์ที่มีการดำเนินการ แต่ จำเป็น ต้องมีการจัดทำ ‘ข้อตกลงการแบ่งปันข้อมูลส่วนบุคคล (Personal Data Sharing Agreement) ซึ่งจะเป็นเอกสารสัญญาที่มีผลตามกฎหมายในลักษณะ คู่สัญญา’ ซึ่งรายละเอียดในสัญญาจะต้องประกอบด้วยส่วนสำคัญ ดังนี้  

1. กำหนดวัตถุประสงค์หลักภายใต้ความตกลงของสัญญาในการ แบ่งปัน โอน แลกเปลี่ยน หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งคู่สัญญาแต่ละฝ่ายจะต้องดำเนินการตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด

2. ระบุข้อมูลส่วนบุคคลที่ได้แบ่งปันแก่คู่สัญญา โดยการจัดทำเป็นรายการเปิดเผยข้อมูลส่วนบุคคล รวมทั้งกำหนดวัตถุประสงค์ในการแบ่งปันข้อมูลแต่ละประเภทอย่างชัดเจน เช่น มีการเปิดเผยข้อข้อมูลชื่อ นามสกุล ที่อยู่ เบอร์โทร อีเมล เพื่อดำเนินการวิเคราะห์ด้านการตลาดเพื่อกำหนดกลยุทธ์ในการขายสินค้า เป็นต้น 

3. กำหนดหน้าที่อย่างชัดเจนในการดำเนินการของบุคคลที่สาม ซึ่งผู้ควบคุมข้อมูลฯ ได้ส่งต่อข้อมูลส่วนบุคคลของลูกค้าในดำเนินการในกิจกรรมทางธุรกิจต่างๆ เช่น ระบุเป็นข้อๆ ว่า บุคคลมีหน้าที่ที่ต้องดำเนินการในกิจกรรมใดบ้าง

4. ข้อตกลงในการทำผิดวัตถุประสงค์หรือเงื่อนไขตามสัญญา ซึ่งผู้ควบคุมข้อมูลมีสิทธิที่จะระงับหรือยกเลิกสัญญา รวมทั้งเงื่อนไขชดใช้ในกรณีมีความเสียหายเกิดขึ้น

5. ข้อปฏิบัติในกรณีเกิดการละเมิดข้อมูลส่วนบุคคล ที่บุคคลที่สามจะต้องทำรายการและแจ้งแก่ผู้ควบคุมข้อมูลฯ ทุกครั้งที่มีการละเมิดโดยไม่ชักช้า

ตามกฎหมาย PDPA ยังระบุถึงหน้าที่ของผู้ควบคุมข้อมูลฯ จะต้องทำบันทึกการใช้หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งจะต้องจัดทำเป็นสำเนาไปให้คณะกรรมการคุ้มครองข้อมูลฯ ตรวจสอบ ในกรณีนี้ การเปิดเผยข้อมูลส่วนบุคคลแก่บุคคลที่สาม จึงต้องจัดทำบันทึกรายการกิจกรรมการประมวลผลหรือเปิดเผยข้อมูลฯ นั้นด้วย เพื่อเป็นหลักฐานในการป้องกันการละเมิดกฎหมาย

รวมทั้ง ใน Privacy Notice ต้องมีการอัปเดตอยู่เสมอด้วยเช่นกัน หากผู้ควบคุมข้อมูลฯ ได้มีการเปลี่ยนแปลงรายชื่อของบุคคลที่สามที่ได้มีการนำข้อมูลส่วนบุคคลของลูกค้าไปใช้หรือประมวลผลต่างๆ และจะต้องมีช่องทางติดต่อสำหรับเจ้าของข้อมูลและบุคคลที่สามซึ่งได้นำข้อมูลส่วนบุคคลไปใช้ เพื่อเป็นการดำเนินการด้านสิทธิแก่เจ้าของข้อมูลตามที่กฎหมาย PDPA กำหนดไว้

ถึงตรงนี้ ก็ดูเหมือนว่าการดำเนินการในหลายส่วน ออกจะดู หยุมหยิม ไปบ้าง แต่เนื่องจากการปกป้องข้อมูลส่วนบุคคลมีความสำคัญสำหรับธุรกิจที่ขับเคลื่อนด้วยข้อมูล ซึ่งการละเมิดไม่เพียงหมายถึงความล้มเหลวในการปฏิบัติตามกฎหมาย PDPA เท่านั้น แต่ยังส่งผลต่อ ความน่าเชื่อถือ และความสัมพันธ์ระหว่างธุรกิจและลูกค้า ธุรกิจจึงต้องใส่ใจต่อเรื่องนี้มากเป็นพิเศษ และจะมองว่าเป็นเพียงข้อบังคับที่ยุ่งยาก หรือแค่จำเป็นต้องทำตามกฎหมายก็อาจจะไม่ใช่วิธีคิดที่รอบคอบมากนัก

Share :

บทความที่เกี่ยวข้อง

คุณทรงพล หนูบ้านเกาะ และคุณลาภิสรา แสงซื่อ ผู้จัดการโครงการฯ บริษัท ดิจิทัล บิสิเนส คอนซัล
Copyright © 2022 Digital Business Consult, All Rights Reserved.

ลงทะเบียน

เข้าสู่ระบบ