Back

Vendor Privacy Policy: ข้อมูลน่ารู้และความจำเป็นที่บริษัทควรมี

Vendor Privacy Policy: ข้อมูลน่ารู้และความจำเป็นที่บริษัทควรมี



    พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือกฎหมาย PDPA (Privacy Data Protection Act) กำหนดให้ธุรกิจและองค์กรมีฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ซึ่งมีหน้าที่ต่อเจ้าของข้อมูลส่วนบุคคล ซึ่งในที่นี้อาจเป็นลูกค้า พนักงานในองค์กร หรือคู่ค้า ที่ภาคธุรกิจจัดเก็บข้อมูลส่วนบุคคลไว้ และนำข้อมูลส่วนบุคคลที่ขอความยินยอม (Consent) จากเจ้าของข้อมูลไปใช้ โดยอาจใช้วิธีการแจ้งเตือนผ่านเอกสารนโยบายความเป็นส่วนตัว (Privacy Policy) หรือการแจ้งเตือนหน้าเว็บไซต์ (Notice)

ตัวอย่างเช่น หากบริษัทประกาศประกวดราคาเพื่อจัดซื้อจัดจ้างผู้ให้บริการด้าน IT ผ่านทางเว็บไซต์ บริษัทก็จำเป็นต้องแจ้งผ่านฟอร์มหรือแจ้งในระบบรับสมัครผู้ให้บริการ IT รายต่างๆ ทราบว่าจะมีการจัดเก็บและประมวลผลข้อมูลส่วนบุคคล เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ ข้อมูลทางการเงิน ฐานข้อมูลส่วนบุคคลของบริษัทผู้จัดซื้อจัดจ้าง เป็นต้น และแจ้งวัตถุประสงค์การรวบรวมข้อมูลเพื่อใช้สำหรับกระบวนการจัดซื้อจัดจ้างเท่านั้น

Vendor Privacy Policy คืออะไร

Vendor Privacy Policy เป็นนโยบายความเป็นส่วนตัวในกระบวนการจัดซื้อจัดจ้าง โดยภาคธุรกิจที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของคู่ค้าหรือผู้ให้บริการ (Vendor) เช่น ชื่อ นามสกุล ที่อยู่ ข้อมูลทางการเงิน ข้อมูลทางภาษี เลขบัตรประจำตัวประชาชน หนังสือรับรองนิติบุคคล ฐานข้อมูลส่วนบุคคลของบริษัทผู้จัดซื้อจัดจ้าง เป็นต้น เพื่อนำมาใช้ในกระบวนการประเมินการจัดซื้อจัดจ้าง

เมื่อบริษัทมีการทำสัญญาหรือธุรกรรมร่วมกับคู่ค้า หรือมีการใช้บริการจากผู้ให้บริการ บริษัทมีหน้าที่ต้องแจ้งวัตถุประสงค์และแนวปฏิบัติของการประมวลผลข้อมูลส่วนบุคคลภายใต้ฐานในการประมวลผลข้อมูลและขอความยินยอม (Consent) โดยแจ้งการขอใช้หรือเก็บรวบรวมข้อมูลผ่านเอกสารการจัดซื้อจัดจ้าง เอกสารประกอบการขึ้นทะเบียนผู้ขาย/คู่ค้า หรือแจ้ง Vendor Privacy Policy ในระบบรับสมัคร

นอกจากนี้ Vendor Privacy Policy ยังครอบคลุมไปถึงการปฏิบัติ ไปจนถึงมาตรการจัดการด้านความปลอดภัยของบริษัท รวมถึงกระบวนการลบหรือทำลายข้อมูลส่วนบุคคลของคู่ค้าหรือผู้ให้บริการที่เข้าร่วมในกระบวนการจัดซื้อจัดจ้างอีกด้วย

ทำไมภาคธุรกิจต้องทำ Vendor Privacy Policy

กฎหมาย PDPA กำหนดหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) และผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ไว้ว่า ผู้ประมวลผลข้อมูลส่วนบุคคล เป็นผู้ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ดังนั้น ผู้ประมวลผลข้อมูลส่วนบุคคลจะกระทำการเกี่ยวกับข้อมูลส่วนบุคคลตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น หากไม่มีคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคลแล้ว ผู้ประมวลผลข้อมูลส่วนบุคคลจะดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลนั้นไม่ได้

ในทางปฏิบัติบริษัทผู้จัดซื้อจัดจ้างมักมีการกำหนดรายละเอียด มาตรฐาน กระบวนการ และเป้าหมายของผลิตภัณฑ์หรือบริการที่จะจัดซื้อจัดจ้าง หรือจัดหาและส่งข้อมูลส่วนบุคคลจากฐานข้อมูลของบริษัทให้คู่ค้าหรือผู้ให้บริการ (Vendor) บริษัทจะต้องแสดง Vendor Privacy Policy ซึ่งเป็นเอกสารแจ้งนโยบายการใช้ข้อมูลส่วนบุคคลเพื่อการประมวลผลข้อมูลก่อนเริ่มกระบวนการจัดซื้อจัดจ้าง

บริษัทจัดซื้อจัดจ้างจึงมักจะมีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล ส่วนคู่ค้าหรือผู้ให้บริการก็มักจะมีสถานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคลเพราะต้องดำเนินการภายใต้กรอบของสัญญา แผนงาน หรือรายละเอียด ซึ่งบริษัทผู้จัดซื้อจัดจ้างกำหนดตั้งแต่เข้าทำสัญญากัน แต่ถ้าคู่ค้าหรือผู้ให้บริการ (Vendor) เป็นผู้กำหนดรายละเอียดเองโดยอิสระไม่เกี่ยวข้องกับบริษัทผู้จัดซื้อจัดจ้าง ก็จะเป็นผู้ควบคุมข้อมูลส่วนบุคคลด้วย

ภาคธุรกิจมีความจำเป็นที่ต้องดำเนินธุรกิจโดยอาศัยการประมวลผลข้อมูลส่วนบุคคลทั้งภายในองค์กรและแลกเปลี่ยนกับองค์กรอื่น Vendor Privacy Policy จึงมีความจำเป็นกับภาคธุรกิจ เพื่อกำหนดนโยบายเพื่อแจ้งขอความยินยอม (Consent) จากเจ้าของข้อมูลส่วนบุคคล ให้สอดคล้องตาม PDPA เพราะผู้ควบคุมข้อมูลส่วนบุคคลที่เป็นบริษัทผู้จัดซื้อจัดจ้าง และผู้ประมวลผลข้อมูลส่วนบุคคลที่เป็นบริษัทภายนอก ซึ่งเป็นบุคคลที่มีหน้าที่ตามกฎหมาย PDPA จำเป็นต้องมีการประมวลผลหรือแลกเปลี่ยนข้อมูลส่วนบุคคลระหว่างกัน

ดังนั้น การจัดทำ Vendor Privacy Policy ซึ่งเป็นเอกสารที่กำหนดขอบเขตและวัตถุประสงค์ของการประมวลผล และทำให้ภาคธุรกิจแจ้งขอ consent ได้อย่างเฉพาะเจาะจงมากยิ่งขึ้น จึงควรแยกการแจ้งขอความยินยอมผ่าน Privacy Policy ตามประเภทการใช้ข้อมูลส่วนบุคคลของเจ้าของข้อมูล

ความแตกต่างกับ Data Processing Agreement (DPA)

  • Vendor Privacy Policy คือ นโยบายความเป็นส่วนตัวในกระบวนการจัดซื้อจัดจ้าง
  • Data Processing Agreement (DPA) คือ ข้อตกลงเกี่ยวกับการใช้หรือประมวลผลข้อมูลส่วนบุคคล

หลายท่านอาจมีความสับสนระหว่าง Vendor Privacy Policy กับ Data Processing Agreement (DPA) หากจะให้อธิบายโดยง่าย Vendor Policy เป็นนโยบายความเป็นส่วนตัวในกระบวนการจัดซื้อจัดจ้าง ซึ่งเป็นการประกาศแจ้งสำหรับการใช้และเก็บข้อมูลส่วนบุคคลจากคู่ค้าหรือผู้ให้บริการที่เสนอราคาในการจัดซื้อจัดจ้าง และเมื่อต่อมาบริษัทได้คัดเลือกและจัดซื้อจัดจ้างบริษัทภายนอกเรียบร้อยแล้ว บริษัทผู้ว่าจ้างจึงทำสัญญาเกี่ยวกับการใช้หรือประมวลผลข้อมูลส่วนบุคคลกับบริษัทภายนอก หรือ Data Processing Agreement (DPA) เพื่อกำหนดขอบเขตและวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคลระหว่างกัน

ตัวอย่างการจัดซื้อจัดจ้างที่น่าสนใจที่ควรทำ Vendor Privacy Policy

  • บริษัทรับจัดงานแต่งงานจ้างโรงพิมพ์ให้พิมพ์บัตรเชิญงานแต่งงานของผู้ว่าจ้าง บริษัทรับจัดงานแต่งงานให้ข้อมูลส่วนบุคคล ได้แก่ ชื่อและที่อยู่ของแขกผู้ร่วมงานแต่งงานแก่โรงพิมพ์ เพื่อที่จะได้พิมพ์จ่าหน้าซองถึงแขก เมื่อได้บัตรเชิญพร้อมซองจากโรงพิมพ์แล้วบริษัทรับจัดงานแต่งงานจึงส่งบัตรเชิญถึงแขกผู้ร่วมงานแต่งงานด้วยตนเอง
  • การจัดซื้อจัดจ้างบริการด้านการตลาด เนื่องจากมีการใช้ข้อมูลส่วนบุคคลจากสื่อออนไลน์ โดยตรง ซึ่งก็คือพฤติกรรมของผู้ใช้
  • การจัดซื้อจัดจ้างบริการด้านเทคโนโลยีสารสนเทศ มีการจัดจ้างบริการ Cloud computing เพื่อจัดเก็บข้อมูลและประมวลผลรูปแบบต่างๆ ผ่านผู้ให้บริการอินเทอร์เน็ต ผู้บริการต่างประเทศ (Offshore service)
  • การจัดซื้อจัดจ้างบริการด้านกฎหมาย โดยมีการประมวลผลข้อมูลส่วนบุคคล เช่น คดีข้อพิพาทของบริษัท ข้อมูลประกันสังคม สัญญาซื้อขาย สัญญาจ้างงาน เป็นต้น
  • การจัดซื้อจัดจ้างบริการตรวจสอบบัญชี โดยมีการประมวลผลข้อมูลส่วนบุคคล เช่น งบการเงิน ทรัพย์สินของบริษัท ข้อมูลทางภาษีอากร เป็นต้น
  • การจัดซื้อจัดจ้างบริการจัดหางาน โดยมีการประมวลผลข้อมูลส่วนบุคคล เช่น ข้อมูลของผู้สมัครงาน ข้อมูลของพนักงานในองค์กร เป็นต้น

องค์ประกอบที่สำคัญใน Vendor Privacy Policy

การแจ้งข้อมูลการประมวลผลข้อมูลเพื่อที่บริษัทจะดำเนินกิจกรรมจัดซื้อจัดจ้าง เช่น การขอข้อมูล การขอข้อเสนอโครงการจัดซื้อจัดจ้าง การเปิดประมูล การเปิดรับการเสนอราคา การเข้าทำสัญญาจัดซื้อจัดจ้าง การออกคำสั่งซื้อ การชำระค่าสินค้าหรือบริการ การอนุมัติเบิกค่าใช้จ่าย บริษัทจำเป็นต้องเก็บและประมวลผลข้อมูลส่วนบุคคล จึงต้องแจ้งคู่ค้าหรือผู้ให้บริการที่จะจัดซื้อจัดจ้างให้ทราบถึงการประมวลผลข้อมูลโดยอาจใช้ เอกสารแจ้งนโยบายความเป็นส่วนตัวในกระบวนการจัดซื้อจัดจ้าง (Vendor Privacy Policy) ซึ่งจะต้องระบุถึงชนิดของข้อมูลที่จะเก็บและวัตถุประสงค์ของการประมวลผลข้อมูลเพื่อการจัดซื้อจัดจ้าง เช่น

  • ชื่อ
  • สถานที่ติดต่อ
  • ช่องทางการติดต่อ
  • ข้อมูลบ่งชี้บุคคล และข้อมูลประวัติบุคคล เช่น เลขบัตรประชาชน IP Address และวันเดือนปีเกิด
  • รูปถ่าย
  • เอกสารประกอบคุณสมบัติ เช่น วุฒิการศึกษา ประวัติการให้บริการ/การทำงาน และใบอนุญาตหน่วยงานทั้งภายในและภายนอกองค์กรที่ประมวลผลข้อมูลส่วนบุคคล เช่น ฝ่ายจัดซื้อจัดจ้าง ฝ่ายบุคคล ฝ่ายกฎหมายขององค์กร กรมสรรพากร สำนักงานบัญชี บริษัทการตลาด เป็นต้น
  • วัตถุประสงค์ของการประมวลผลข้อมูลเพื่อการจัดซื้อจัดจ้าง เช่น เพื่อยืนยันตัวตนและตรวจสอบคุณสมบัติ เพื่อคัดเลือกคู่ค้าหรือผู้ให้บริการ เพื่อดำเนินการเกี่ยวกับภาษี
  • รายละเอียดอื่นๆ ซึ่งสามารถอ้างอิงได้จาก Vendor Privacy Policy

ทั้งนี้ บริษัทจะต้องแสดงเอกสาร Vendor Privacy Policy ก่อนดำเนินกิจกรรมจัดซื้อจัดจ้าง และไม่ควรขอข้อมูลส่วนบุคคลที่ไม่จำเป็นต่อการดำเนินการจัดซื้อจัดจ้างนั้นๆ ตามที่แจ้งไว้

ภาคธุรกิจจะจัดทำ Vendor Privacy Policy อย่างไร

การจัดซื้อจัดจ้างเป็นสิ่งที่ขาดไม่ได้สำหรับการประกอบธุรกิจของภาคธุรกิจในปัจจุบัน การจัดทำเอกสาร Vendor Privacy Policy จึงเป็นสิ่งจำเป็นที่ภาคธุรกิจจะต้องปฏิบัติตามเพื่อให้การดำเนินการด้านข้อมูลส่วนบุคคลสอดคล้องกับกฎหมาย PDPA อย่างไรก็ตาม การจัดทำ Vendor Privacy Policy อาจใช้เวลานานเนื่องจากมีรายละเอียดมาก บริการจาก PDPA Pro จะช่วยคุณสร้าง Vendor Privacy Policy แบบมือโปร จบ ครบในราคาเดียว เพื่อให้ Vendor Privacy Policy ของคุณถูกต้องแม่นยำและสอดคล้องกับกฎหมาย PDPA

สร้าง Privacy Policy ง่ายๆ

อย่างมืออาชีพ ถูกต้องตาม PDPA

สร้าง Policy ตอนนี้!

บริษัท เอ็นเดต้าธอธ จำกัด
1778 อาคารซัมเมอร์ฮับ ออฟฟิศ, ชั้น 6 ถนนสุขุมวิท แขวงพระโขนง เขตคลองเตย กรุงเทพมหานคร 10110 ประเทศไทย

โทร: 02-024-5560
sales@ndatathoth.com

©2022 nDataThoth Limited All Rights Reserved.

HelpTerms of UsePrivacy Policy