ในการทำธุรกิจหรือธุรกรรมระหว่างองค์กรหรือบริษัท เป็นไปไม่ได้เลยที่จะต้องใช้หรือเปิดเผยข้อมูลส่วนบุคคลในระหว่างการทำกิจกรรมต่าง ๆ อาทิ การจัดซื้อจัดจ้าง การทำสัญญา ฯลฯ ซึ่งแน่นอนว่าการทำธุรกิจหรือธุรกรรมระหว่างกัน เป็นกิจกรรมที่องค์กรหรือบริษัทดำเนินงานร่วมกันภายใต้สัญญาที่มีข้อตกลงเป็นลายลักษณ์อักษร ข้อมูล “คู่ค้า และคู่สัญญา” ขององค์กรหรือบริษัทที่มีการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูล ต้องไม่ลืมที่จะตรวจสอบในแน่ใจว่าองค์กรหรือบริษัท ดำเนินกิจกรรมต่าง ๆ ได้สอดคล้องกับกฎหมาย PDPA แล้วหรือยัง ?

PDPA สำหรับคู่ค้า และคู่สัญญา ต้องดำเนินการอะไรบ้าง?

ผู้ควบคุมข้อมูล (Data Controller) และผู้ประมวลผลข้อมูล (Data Processor) จะต้องขอความยินยอมในการเก็บ รวบรวมใช้ หรือเปิดเผย ซึ่งเป็นสิทธิพื้นฐานตามนิยมของกฎหมายคุ้มครองข้อมูลส่วนบุคคล เพราะข้อมูลส่วนบุคคลเป็นสิทธิของเจ้าของข้อมูลตามกฎหมาย PDPA

ไม่ใช่เพียงแค่ข้อมูลของลูกค้า เจ้าหน้าที่ หรือพนักงานในบริษัทเท่านั้น แต่รวมถึงข้อมูลส่วนบุคคลของคู่ค้า และคู่สัญญาที่บริษัทมีการเก็บใช้ ซึ่งเป็นสิ่งที่ค่อนข้าง ‘อ่อนไหวและสุ่มเสี่ยง’ ต่อการละเมิดกฎหมาย PDPA เนื่องจากขาดความเข้าใจเกี่ยวกับกฎหมายที่ดีพอ หรือไม่มีความพร้อมในการดำเนินการ

เราจึงหยิบยกปัญหาดังกล่าวมาให้คำแนะนำตลอดจนแนวทางในการปฏิบัติตามกฎหมาย PDPA โดยสามารถกำหนดขั้นตอนในการดำเนินการทำหนังสือสัญญาการเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลคู่ค้าและคู่สัญญา ดังนี้

1. อธิบายลักษณะของข้อมูลส่วนบุคคลที่มีการเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลคู่ค้า-คู่สัญญา

ผู้ควบคุมข้อมูล และผู้ประมวลผลข้อมูล สามารถอธิบายลักษณะข้อมูลส่วนบุคคล เช่น ชื่อ-นามสกุล คำนำหน้าชื่อ เพศ วันเดือนปีเกิด หมายเลขบัตรประจำตัวประชาชน เลขที่หนังสือเดินทาง เลขที่บัตรประจำตัวผู้เสียภาษี หมายเลขบัญชีเงินฝากธนาคาร ข้อมูลการทำธุรกรรม ที่อยู่ หมายเลขโทรศัพท์ อีเมล ตำแหน่ง สัญชาติ อายุ ประสบการณ์หรือประวัติการทำงาน ความเชี่ยวชาญ ความถนัด รวมถึงข้อมูลต่าง ๆ ที่มีการจัดเก็บ โดยเฉพาะข้อมูลที่มีความอ่อนไหวด้วย เช่น ศาสนา เชื้อชาติ และข้อมูลสุขภาพ เป็นต้น

2. แหล่งที่มาของข้อมูลที่มีการจัดเก็บ

ข้อมูลคู่ค้า หรือคู่สัญญา มักมีการจัดเก็บข้อมูลโดยตรงจากเจ้าของข้อมูล อย่าง เอกสารให้กรอกตามสัญญา นามบัตร หรือข้อมูลส่วนบุคคล และข้อมูลการติดต่อในรูปแบบต่าง ๆ ซึ่งจะต้องมีการระบุโดยชัดเจนถึงที่มา รวมถึงการได้มาซึ่งข้อมูลจากแหล่งอื่น อาทิ ข้อมูลจากลูกค้าองค์กร ข้อมูลจากธุรกิจในเครือ ข้อมูลที่เผยแพร่ในหน้าเว็บไซต์ ข้อมูลจากบริษัทจัดหางาน หรือบริษัทที่เป็น Outsource โดยสัญญาข้อตกลงความยินยอมควรระบุไว้อย่างชัดเจน หรือการดำเนินการตามฐานกฎหมาย ฐานสัญญา และฐานประโยชน์โดยชอบ ซึ่งขึ้นอยู่กับลักษณะของคู่ค้าหรือคู่สัญญา

3. กำหนดวัตถุประสงค์ในการใช้งาน ขอบเขตการเข้าถึงข้อมูล และระยะเวลาจัดเก็บ

กฎหมายได้ระบุไว้ชัดเจนเรื่องการดำเนินการส่วนนี้ว่า การเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูล บริษัทควรดำเนินการระบุไว้อย่างชัดเจนถึงวัตถุประสงค์ในการใช้งาน หรือประมวลผลข้อมูล ตลอดจนขอบเขตการใช้งาน ความรับผิดชอบตามหน้าที่ของพนักงาน ใครที่สามารถเข้าถึงข้อมูลเหล่านี้ได้บ้าง ระยะเวลาในการเก็บข้อมูล รวมถึงการเปลี่ยนแปลงแก้ไขไว้อย่างชัดเจน เช่น ควรมีการอัปเดตข้อมูลคู่ค้า คู่สัญญา ขั้นต่ำปีละ 1 ครั้ง

4. การเปิดเผยข้อมูลส่วนบุคคล

สำหรับเอกสารเกี่ยวกับสัญญาการเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของคู่ค้า และคู่สัญญาควรมีกำหนดไว้อย่างชัดเจนว่า การเปิดเผยข้อมูลของคู่ค้า หรือคู่สัญญาแก่บุคคลที่สามใดบ้าง และเปิดเผยข้อมูลใดบ้าง ซึ่งต้องดำเนินการโดยชอบตามกฎหมาย PDPA เช่น การเปิดเผยข้อมูลเพื่อยื่นภาษี สามารถทำได้ด้วยประโยชน์อันชอบธรรม/การปฏิบัติตามกฎหมาย ส่วนการส่งต่อหรือถ่ายโอนข้อมูลให้ธุรกิจในเครือ ให้ข้อมูลแก่พันธมิตรทางธุรกิจ ให้ข้อมูลแก่ลูกค้า เพื่อประโยชน์ในการทำธุรกิจ

แม้กระทั่งการส่งต่อข้อมูลเพื่อประโยชน์ในด้านการติดต่อและประสานงาน บริษัทจะต้องแจ้งให้คู่ค้าหรือคู่สัญญาทราบ ระบุว่าส่วนของกระบวนการดังกล่าวเป็นข้อตกลงในสัญญา หรือได้รับความยินยอมในบางกรณี หากไม่มีฐานทางกฎหมายอื่นมารองรับการประมวลผล ทั้งนี้การดำเนินการส่งต่อข้อมูลไปยังบุคคลที่สาม บุคคลที่สามดังกล่าวจะต้องมีมาตรฐานด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ทัดเทียม หรือดีกว่า หรือขึ้นอยู่กับการวินิจฉัยของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลว่าให้สามารถดำเนินการได้ หรือกฎหมายอนุญาตให้ดำเนินการได้

5. การรักษาความลับและความปลอดภัยของข้อมูล

ทางทฤษฎีแล้ว ‘บริษัท’ ไม่มีอำนาจในการเปิดเผยข้อมูลส่วนบุคคลใด ๆ ก็ตาม หากผู้นั้นไม่ได้ให้ความยินยอม เว้นแต่การปฏิบัติตามกฎหมาย ตามสัญญา หรือตามประโยชน์โดยชอบ แต่ในทางปฏิบัติแล้ว อาจจะไม่ได้เป็นเช่นนั้นเสมอไป เนื่องจากข้อมูลของคู่ค้า และคู่สัญญา อาจเป็นสิ่งที่เข้าถึงได้ง่ายมากสำหรับบุคลากรภายในบริษัท ดังนั้นมาตรการในการรักษาความลับของข้อมูลส่วนบุคคลของคู่ค้าและคู่สัญญา จึงมีความสำคัญมาก เพื่อป้องกันความเสี่ยงในการที่ข้อมูลส่วนบุคคลจะเกิดการรั่วไหล อันนำไปสู่การละเมิด

ทั้งนี้บริษัทจึงต้องมีแนวทางในการจำกัดสิทธิและอำนาจหน้าที่อันเหมาะสม ในการเข้าถึงข้อมูลคู่ค้าและคู่สัญญาของพนักงานภายในบริษัท หรือบุคคลใดก็ตามที่สามารถเข้าถึงข้อมูล รวมทั้งมีแนวทางปฏิบัติทางเทคนิคที่เหมาะสมกับความเสี่ยง

6. ดำเนินการด้านสิทธิการเข้าถึงแก่เจ้าของข้อมูล

กฎหมาย PDPA ระบุไว้ว่า เจ้าของข้อมูลมีสิทธิในการขอให้ระงับ แก้ไข ทำลาย ถ่ายโอน หรือเพิกถอนความยินยอมในการเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจากบริษัทได้โดยง่าย ด้วยเหตุนี้ บริษัทจึงต้องมีการจัดทำช่องทางเพื่อการดำเนินการด้านสิทธิการเข้าถึงแก่ข้อมูลส่วนบุคคลของคู่ค้าหรือคู่สัญญาอย่างเหมาะสม สามารถมองได้ว่าเป็นประโยชน์ที่เกิดขึ้นทั้งสองทาง คือบริษัทที่มีการดำเนินการที่โปร่งใส และสอดคล้องตามกฎหมาย PDPA ขณะที่ฝั่งคู่ค้าและคู่สัญญาเกิดความเชื่อมั่นในบริษัทด้วย

7. การทำลาย หรือทำข้อมูลให้เป็นนิรนาม

หนึ่งในมาตรการป้องกันความเสี่ยงการละเมิดข้อมูลส่วนบุคคลของคู่ค้า หรือคู่สัญญา คือหากข้อมูลใด ‘ไม่เป็นประโยชน์’ ต่อธุรกิจก็ควรมีการลบ ทำลาย หรือจัดทำข้อมูลเหล่านั้นให้เป็น ‘นิรนาม’ ซึ่งเป็นอีกหนึ่งแนวทางด้านการคุ้มครองข้อมูลที่บริษัทควรดำเนินการอยู่เสมอ และพึงจำไว้เสมอว่า ข้อมูลส่วนบุคคล ‘ไม่ใช่ทรัพย์สินของบริษัท’ แต่เป็นสิทธิของบุคคลนั้น ๆ จึงไม่ควรที่จะเก็บข้อมูลส่วนบุคคลใด ๆ ก็ตามที ‘เกินความจำเป็น’ จึงเป็นแนวทางที่เหมาะสมถูกต้อง

การจัดการข้อมูลส่วนบุคคลภายในบริษัท และองค์กรธุรกิจต่าง ๆ ยังมีประเด็นความอ่อนไหว และต้องมีการ ‘ตีความ’ จากผู้ที่มีความรู้ ความเชี่ยวชาญเฉพาะด้านอีกมาก ดังนั้นทุกบริษัทควรมีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ในองค์กร หรือธุรกิจรายเล็กที่มีข้อมูลไม่มากนักอาจจะพิจารณาแต่งตั้งเจ้าหน้าที่ประสานงานข้อมูลส่วนบุคคลที่มีความรู้เรื่องกฎหมาย PDPA เป็นอย่างดี