Vendor Privacy Policy: ข้อมูลน่ารู้และความจำเป็นที่บริษัทควรมี

    พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือกฎหมาย PDPA (Privacy Data Protection Act) กำหนดให้ธุรกิจและองค์กรมีฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ซึ่งมีหน้าที่ต่อเจ้าของข้อมูลส่วนบุคคล ซึ่งในที่นี้อาจเป็นลูกค้า พนักงานในองค์กร หรือคู่ค้า ที่ภาคธุรกิจจัดเก็บข้อมูลส่วนบุคคลไว้ และนำข้อมูลส่วนบุคคลที่ขอความยินยอม (Consent) จากเจ้าของข้อมูลไปใช้ โดยอาจใช้วิธีการแจ้งเตือนผ่านเอกสารนโยบายความเป็นส่วนตัว (Privacy Policy) หรือการแจ้งเตือนหน้าเว็บไซต์ (Notice)

ตัวอย่างเช่น หากบริษัทประกาศประกวดราคาเพื่อจัดซื้อจัดจ้างผู้ให้บริการด้าน IT ผ่านทางเว็บไซต์ บริษัทก็จำเป็นต้องแจ้งผ่านฟอร์มหรือแจ้งในระบบรับสมัครผู้ให้บริการ IT รายต่างๆ ทราบว่าจะมีการจัดเก็บและประมวลผลข้อมูลส่วนบุคคล เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ ข้อมูลทางการเงิน ฐานข้อมูลส่วนบุคคลของบริษัทผู้จัดซื้อจัดจ้าง เป็นต้น และแจ้งวัตถุประสงค์การรวบรวมข้อมูลเพื่อใช้สำหรับกระบวนการจัดซื้อจัดจ้างเท่านั้น

Vendor Privacy Policy คืออะไร

Vendor Privacy Policy เป็นนโยบายความเป็นส่วนตัวในกระบวนการจัดซื้อจัดจ้าง โดยภาคธุรกิจที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของคู่ค้าหรือผู้ให้บริการ (Vendor) เช่น ชื่อ นามสกุล ที่อยู่ ข้อมูลทางการเงิน ข้อมูลทางภาษี เลขบัตรประจำตัวประชาชน หนังสือรับรองนิติบุคคล ฐานข้อมูลส่วนบุคคลของบริษัทผู้จัดซื้อจัดจ้าง เป็นต้น เพื่อนำมาใช้ในกระบวนการประเมินการจัดซื้อจัดจ้าง

เมื่อบริษัทมีการทำสัญญาหรือธุรกรรมร่วมกับคู่ค้า หรือมีการใช้บริการจากผู้ให้บริการ บริษัทมีหน้าที่ต้องแจ้งวัตถุประสงค์และแนวปฏิบัติของการประมวลผลข้อมูลส่วนบุคคลภายใต้ฐานในการประมวลผลข้อมูลและขอความยินยอม (Consent) โดยแจ้งการขอใช้หรือเก็บรวบรวมข้อมูลผ่านเอกสารการจัดซื้อจัดจ้าง เอกสารประกอบการขึ้นทะเบียนผู้ขาย/คู่ค้า หรือแจ้ง Vendor Privacy Policy ในระบบรับสมัคร

นอกจากนี้ Vendor Privacy Policy ยังครอบคลุมไปถึงการปฏิบัติ ไปจนถึงมาตรการจัดการด้านความปลอดภัยของบริษัท รวมถึงกระบวนการลบหรือทำลายข้อมูลส่วนบุคคลของคู่ค้าหรือผู้ให้บริการที่เข้าร่วมในกระบวนการจัดซื้อจัดจ้างอีกด้วย

ทำไมภาคธุรกิจต้องทำ Vendor Privacy Policy

กฎหมาย PDPA กำหนดหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) และผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ไว้ว่า ผู้ประมวลผลข้อมูลส่วนบุคคล เป็นผู้ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ดังนั้น ผู้ประมวลผลข้อมูลส่วนบุคคลจะกระทำการเกี่ยวกับข้อมูลส่วนบุคคลตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น หากไม่มีคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคลแล้ว ผู้ประมวลผลข้อมูลส่วนบุคคลจะดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลนั้นไม่ได้

ในทางปฏิบัติบริษัทผู้จัดซื้อจัดจ้างมักมีการกำหนดรายละเอียด มาตรฐาน กระบวนการ และเป้าหมายของผลิตภัณฑ์หรือบริการที่จะจัดซื้อจัดจ้าง หรือจัดหาและส่งข้อมูลส่วนบุคคลจากฐานข้อมูลของบริษัทให้คู่ค้าหรือผู้ให้บริการ (Vendor) บริษัทจะต้องแสดง Vendor Privacy Policy ซึ่งเป็นเอกสารแจ้งนโยบายการใช้ข้อมูลส่วนบุคคลเพื่อการประมวลผลข้อมูลก่อนเริ่มกระบวนการจัดซื้อจัดจ้าง

บริษัทจัดซื้อจัดจ้างจึงมักจะมีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล ส่วนคู่ค้าหรือผู้ให้บริการก็มักจะมีสถานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคลเพราะต้องดำเนินการภายใต้กรอบของสัญญา แผนงาน หรือรายละเอียด ซึ่งบริษัทผู้จัดซื้อจัดจ้างกำหนดตั้งแต่เข้าทำสัญญากัน แต่ถ้าคู่ค้าหรือผู้ให้บริการ (Vendor) เป็นผู้กำหนดรายละเอียดเองโดยอิสระไม่เกี่ยวข้องกับบริษัทผู้จัดซื้อจัดจ้าง ก็จะเป็นผู้ควบคุมข้อมูลส่วนบุคคลด้วย

ภาคธุรกิจมีความจำเป็นที่ต้องดำเนินธุรกิจโดยอาศัยการประมวลผลข้อมูลส่วนบุคคลทั้งภายในองค์กรและแลกเปลี่ยนกับองค์กรอื่น Vendor Privacy Policy จึงมีความจำเป็นกับภาคธุรกิจ เพื่อกำหนดนโยบายเพื่อแจ้งขอความยินยอม (Consent) จากเจ้าของข้อมูลส่วนบุคคล ให้สอดคล้องตาม PDPA เพราะผู้ควบคุมข้อมูลส่วนบุคคลที่เป็นบริษัทผู้จัดซื้อจัดจ้าง และผู้ประมวลผลข้อมูลส่วนบุคคลที่เป็นบริษัทภายนอก ซึ่งเป็นบุคคลที่มีหน้าที่ตามกฎหมาย PDPA จำเป็นต้องมีการประมวลผลหรือแลกเปลี่ยนข้อมูลส่วนบุคคลระหว่างกัน

ดังนั้น การจัดทำ Vendor Privacy Policy ซึ่งเป็นเอกสารที่กำหนดขอบเขตและวัตถุประสงค์ของการประมวลผล และทำให้ภาคธุรกิจแจ้งขอ consent ได้อย่างเฉพาะเจาะจงมากยิ่งขึ้น จึงควรแยกการแจ้งขอความยินยอมผ่าน Privacy Policy ตามประเภทการใช้ข้อมูลส่วนบุคคลของเจ้าของข้อมูล

ความแตกต่างกับ Data Processing Agreement (DPA)

• Vendor Privacy Policy คือ นโยบายความเป็นส่วนตัวในกระบวนการจัดซื้อจัดจ้าง
• Data Processing Agreement (DPA) คือ ข้อตกลงเกี่ยวกับการใช้หรือประมวลผลข้อมูลส่วนบุคคล

หลายท่านอาจมีความสับสนระหว่าง Vendor Privacy Policy กับ Data Processing Agreement (DPA) หากจะให้อธิบายโดยง่าย Vendor Policy เป็นนโยบายความเป็นส่วนตัวในกระบวนการจัดซื้อจัดจ้าง ซึ่งเป็นการประกาศแจ้งสำหรับการใช้และเก็บข้อมูลส่วนบุคคลจากคู่ค้าหรือผู้ให้บริการที่เสนอราคาในการจัดซื้อจัดจ้าง และเมื่อต่อมาบริษัทได้คัดเลือกและจัดซื้อจัดจ้างบริษัทภายนอกเรียบร้อยแล้ว บริษัทผู้ว่าจ้างจึงทำสัญญาเกี่ยวกับการใช้หรือประมวลผลข้อมูลส่วนบุคคลกับบริษัทภายนอก หรือ Data Processing Agreement (DPA) เพื่อกำหนดขอบเขตและวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคลระหว่างกัน

ตัวอย่างการจัดซื้อจัดจ้างที่น่าสนใจที่ควรทำ Vendor Privacy Policy

• บริษัทรับจัดงานแต่งงานจ้างโรงพิมพ์ให้พิมพ์บัตรเชิญงานแต่งงานของผู้ว่าจ้าง บริษัทรับจัดงานแต่งงานให้ข้อมูลส่วนบุคคล ได้แก่ ชื่อและที่อยู่ของแขกผู้ร่วมงานแต่งงานแก่โรงพิมพ์ เพื่อที่จะได้พิมพ์จ่าหน้าซองถึงแขก เมื่อได้บัตรเชิญพร้อมซองจากโรงพิมพ์แล้วบริษัทรับจัดงานแต่งงานจึงส่งบัตรเชิญถึงแขกผู้ร่วมงานแต่งงานด้วยตนเอง
• การจัดซื้อจัดจ้างบริการด้านการตลาด เนื่องจากมีการใช้ข้อมูลส่วนบุคคลจากสื่อออนไลน์ โดยตรง ซึ่งก็คือพฤติกรรมของผู้ใช้
• การจัดซื้อจัดจ้างบริการด้านเทคโนโลยีสารสนเทศ มีการจัดจ้างบริการ Cloud computing เพื่อจัดเก็บข้อมูลและประมวลผลรูปแบบต่างๆ ผ่านผู้ให้บริการอินเทอร์เน็ต ผู้บริการต่างประเทศ (Offshore service)
• การจัดซื้อจัดจ้างบริการด้านกฎหมาย โดยมีการประมวลผลข้อมูลส่วนบุคคล เช่น คดีข้อพิพาทของบริษัท ข้อมูลประกันสังคม สัญญาซื้อขาย สัญญาจ้างงาน เป็นต้น
• การจัดซื้อจัดจ้างบริการตรวจสอบบัญชี โดยมีการประมวลผลข้อมูลส่วนบุคคล เช่น งบการเงิน ทรัพย์สินของบริษัท ข้อมูลทางภาษีอากร เป็นต้น
• การจัดซื้อจัดจ้างบริการจัดหางาน โดยมีการประมวลผลข้อมูลส่วนบุคคล เช่น ข้อมูลของผู้สมัครงาน ข้อมูลของพนักงานในองค์กร เป็นต้น

องค์ประกอบที่สำคัญใน Vendor Privacy Policy

การแจ้งข้อมูลการประมวลผลข้อมูลเพื่อที่บริษัทจะดำเนินกิจกรรมจัดซื้อจัดจ้าง เช่น การขอข้อมูล การขอข้อเสนอโครงการจัดซื้อจัดจ้าง การเปิดประมูล การเปิดรับการเสนอราคา การเข้าทำสัญญาจัดซื้อจัดจ้าง การออกคำสั่งซื้อ การชำระค่าสินค้าหรือบริการ การอนุมัติเบิกค่าใช้จ่าย บริษัทจำเป็นต้องเก็บและประมวลผลข้อมูลส่วนบุคคล จึงต้องแจ้งคู่ค้าหรือผู้ให้บริการที่จะจัดซื้อจัดจ้างให้ทราบถึงการประมวลผลข้อมูลโดยอาจใช้ เอกสารแจ้งนโยบายความเป็นส่วนตัวในกระบวนการจัดซื้อจัดจ้าง (Vendor Privacy Policy) ซึ่งจะต้องระบุถึงชนิดของข้อมูลที่จะเก็บและวัตถุประสงค์ของการประมวลผลข้อมูลเพื่อการจัดซื้อจัดจ้าง เช่น

• ชื่อ
• สถานที่ติดต่อ
• ช่องทางการติดต่อ
• ข้อมูลบ่งชี้บุคคล และข้อมูลประวัติบุคคล เช่น เลขบัตรประชาชน IP Address และวันเดือนปีเกิด
• รูปถ่าย
• เอกสารประกอบคุณสมบัติ เช่น วุฒิการศึกษา ประวัติการให้บริการ/การทำงาน และใบอนุญาตหน่วยงานทั้งภายในและภายนอกองค์กรที่ประมวลผลข้อมูลส่วนบุคคล เช่น ฝ่ายจัดซื้อจัดจ้าง ฝ่ายบุคคล ฝ่ายกฎหมายขององค์กร กรมสรรพากร สำนักงานบัญชี บริษัทการตลาด เป็นต้น
• วัตถุประสงค์ของการประมวลผลข้อมูลเพื่อการจัดซื้อจัดจ้าง เช่น เพื่อยืนยันตัวตนและตรวจสอบคุณสมบัติ เพื่อคัดเลือกคู่ค้าหรือผู้ให้บริการ เพื่อดำเนินการเกี่ยวกับภาษี
• รายละเอียดอื่นๆ ซึ่งสามารถอ้างอิงได้จาก Vendor Privacy Policy

ทั้งนี้ บริษัทจะต้องแสดงเอกสาร Vendor Privacy Policy ก่อนดำเนินกิจกรรมจัดซื้อจัดจ้าง และไม่ควรขอข้อมูลส่วนบุคคลที่ไม่จำเป็นต่อการดำเนินการจัดซื้อจัดจ้างนั้นๆ ตามที่แจ้งไว้

ภาคธุรกิจจะจัดทำ Vendor Privacy Policy อย่างไร

การจัดซื้อจัดจ้างเป็นสิ่งที่ขาดไม่ได้สำหรับการประกอบธุรกิจของภาคธุรกิจในปัจจุบัน การจัดทำเอกสาร Vendor Privacy Policy จึงเป็นสิ่งจำเป็นที่ภาคธุรกิจจะต้องปฏิบัติตามเพื่อให้การดำเนินการด้านข้อมูลส่วนบุคคลสอดคล้องกับกฎหมาย PDPA อย่างไรก็ตาม การจัดทำ Vendor Privacy Policy อาจใช้เวลานานเนื่องจากมีรายละเอียดมาก บริการจาก PDPA Pro จะช่วยคุณสร้าง Vendor Privacy Policy แบบมือโปร จบ ครบในราคาเดียว เพื่อให้ Vendor Privacy Policy ของคุณถูกต้องแม่นยำและสอดคล้องกับกฎหมาย PDPA