พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือกฎหมาย PDPA (Privacy Data Protection Act) กำหนดให้ธุรกิจและองค์กรมีฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ซึ่งมีหน้าที่ต่อเจ้าของข้อมูลส่วนบุคคล ซึ่งในที่นี้อาจเป็นลูกค้า พนักงานในองค์กร หรือคู่ค้า ที่ภาคธุรกิจจัดเก็บข้อมูลส่วนบุคคลไว้ และนำข้อมูลส่วนบุคคลที่ขอความยินยอม (Consent) จากเจ้าของข้อมูลไปใช้ โดยอาจใช้วิธีการแจ้งเตือนผ่านเอกสารนโยบายความเป็นส่วนตัว (Privacy Policy) หรือการแจ้งเตือนหน้าเว็บไซต์ (Notice)
ตัวอย่างเช่น หากบริษัทประกาศประกวดราคาเพื่อจัดซื้อจัดจ้างผู้ให้บริการด้าน IT ผ่านทางเว็บไซต์ บริษัทก็จำเป็นต้องแจ้งผ่านฟอร์มหรือแจ้งในระบบรับสมัครผู้ให้บริการ IT รายต่างๆ ทราบว่าจะมีการจัดเก็บและประมวลผลข้อมูลส่วนบุคคล เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ ข้อมูลทางการเงิน ฐานข้อมูลส่วนบุคคลของบริษัทผู้จัดซื้อจัดจ้าง เป็นต้น และแจ้งวัตถุประสงค์การรวบรวมข้อมูลเพื่อใช้สำหรับกระบวนการจัดซื้อจัดจ้างเท่านั้น
Vendor Privacy Policy เป็นนโยบายความเป็นส่วนตัวในกระบวนการจัดซื้อจัดจ้าง โดยภาคธุรกิจที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของคู่ค้าหรือผู้ให้บริการ (Vendor) เช่น ชื่อ นามสกุล ที่อยู่ ข้อมูลทางการเงิน ข้อมูลทางภาษี เลขบัตรประจำตัวประชาชน หนังสือรับรองนิติบุคคล ฐานข้อมูลส่วนบุคคลของบริษัทผู้จัดซื้อจัดจ้าง เป็นต้น เพื่อนำมาใช้ในกระบวนการประเมินการจัดซื้อจัดจ้าง
เมื่อบริษัทมีการทำสัญญาหรือธุรกรรมร่วมกับคู่ค้า หรือมีการใช้บริการจากผู้ให้บริการ บริษัทมีหน้าที่ต้องแจ้งวัตถุประสงค์และแนวปฏิบัติของการประมวลผลข้อมูลส่วนบุคคลภายใต้ฐานในการประมวลผลข้อมูลและขอความยินยอม (Consent) โดยแจ้งการขอใช้หรือเก็บรวบรวมข้อมูลผ่านเอกสารการจัดซื้อจัดจ้าง เอกสารประกอบการขึ้นทะเบียนผู้ขาย/คู่ค้า หรือแจ้ง Vendor Privacy Policy ในระบบรับสมัคร
นอกจากนี้ Vendor Privacy Policy ยังครอบคลุมไปถึงการปฏิบัติ ไปจนถึงมาตรการจัดการด้านความปลอดภัยของบริษัท รวมถึงกระบวนการลบหรือทำลายข้อมูลส่วนบุคคลของคู่ค้าหรือผู้ให้บริการที่เข้าร่วมในกระบวนการจัดซื้อจัดจ้างอีกด้วย
กฎหมาย PDPA กำหนดหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) และผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ไว้ว่า ผู้ประมวลผลข้อมูลส่วนบุคคล เป็นผู้ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ดังนั้น ผู้ประมวลผลข้อมูลส่วนบุคคลจะกระทำการเกี่ยวกับข้อมูลส่วนบุคคลตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น หากไม่มีคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคลแล้ว ผู้ประมวลผลข้อมูลส่วนบุคคลจะดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลนั้นไม่ได้
ในทางปฏิบัติบริษัทผู้จัดซื้อจัดจ้างมักมีการกำหนดรายละเอียด มาตรฐาน กระบวนการ และเป้าหมายของผลิตภัณฑ์หรือบริการที่จะจัดซื้อจัดจ้าง หรือจัดหาและส่งข้อมูลส่วนบุคคลจากฐานข้อมูลของบริษัทให้คู่ค้าหรือผู้ให้บริการ (Vendor) บริษัทจะต้องแสดง Vendor Privacy Policy ซึ่งเป็นเอกสารแจ้งนโยบายการใช้ข้อมูลส่วนบุคคลเพื่อการประมวลผลข้อมูลก่อนเริ่มกระบวนการจัดซื้อจัดจ้าง
บริษัทจัดซื้อจัดจ้างจึงมักจะมีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล ส่วนคู่ค้าหรือผู้ให้บริการก็มักจะมีสถานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคลเพราะต้องดำเนินการภายใต้กรอบของสัญญา แผนงาน หรือรายละเอียด ซึ่งบริษัทผู้จัดซื้อจัดจ้างกำหนดตั้งแต่เข้าทำสัญญากัน แต่ถ้าคู่ค้าหรือผู้ให้บริการ (Vendor) เป็นผู้กำหนดรายละเอียดเองโดยอิสระไม่เกี่ยวข้องกับบริษัทผู้จัดซื้อจัดจ้าง ก็จะเป็นผู้ควบคุมข้อมูลส่วนบุคคลด้วย
ภาคธุรกิจมีความจำเป็นที่ต้องดำเนินธุรกิจโดยอาศัยการประมวลผลข้อมูลส่วนบุคคลทั้งภายในองค์กรและแลกเปลี่ยนกับองค์กรอื่น Vendor Privacy Policy จึงมีความจำเป็นกับภาคธุรกิจ เพื่อกำหนดนโยบายเพื่อแจ้งขอความยินยอม (Consent) จากเจ้าของข้อมูลส่วนบุคคล ให้สอดคล้องตาม PDPA เพราะผู้ควบคุมข้อมูลส่วนบุคคลที่เป็นบริษัทผู้จัดซื้อจัดจ้าง และผู้ประมวลผลข้อมูลส่วนบุคคลที่เป็นบริษัทภายนอก ซึ่งเป็นบุคคลที่มีหน้าที่ตามกฎหมาย PDPA จำเป็นต้องมีการประมวลผลหรือแลกเปลี่ยนข้อมูลส่วนบุคคลระหว่างกัน
ดังนั้น การจัดทำ Vendor Privacy Policy ซึ่งเป็นเอกสารที่กำหนดขอบเขตและวัตถุประสงค์ของการประมวลผล และทำให้ภาคธุรกิจแจ้งขอ consent ได้อย่างเฉพาะเจาะจงมากยิ่งขึ้น จึงควรแยกการแจ้งขอความยินยอมผ่าน Privacy Policy ตามประเภทการใช้ข้อมูลส่วนบุคคลของเจ้าของข้อมูล
หลายท่านอาจมีความสับสนระหว่าง Vendor Privacy Policy กับ Data Processing Agreement (DPA) หากจะให้อธิบายโดยง่าย Vendor Policy เป็นนโยบายความเป็นส่วนตัวในกระบวนการจัดซื้อจัดจ้าง ซึ่งเป็นการประกาศแจ้งสำหรับการใช้และเก็บข้อมูลส่วนบุคคลจากคู่ค้าหรือผู้ให้บริการที่เสนอราคาในการจัดซื้อจัดจ้าง และเมื่อต่อมาบริษัทได้คัดเลือกและจัดซื้อจัดจ้างบริษัทภายนอกเรียบร้อยแล้ว บริษัทผู้ว่าจ้างจึงทำสัญญาเกี่ยวกับการใช้หรือประมวลผลข้อมูลส่วนบุคคลกับบริษัทภายนอก หรือ Data Processing Agreement (DPA) เพื่อกำหนดขอบเขตและวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคลระหว่างกัน
การแจ้งข้อมูลการประมวลผลข้อมูลเพื่อที่บริษัทจะดำเนินกิจกรรมจัดซื้อจัดจ้าง เช่น การขอข้อมูล การขอข้อเสนอโครงการจัดซื้อจัดจ้าง การเปิดประมูล การเปิดรับการเสนอราคา การเข้าทำสัญญาจัดซื้อจัดจ้าง การออกคำสั่งซื้อ การชำระค่าสินค้าหรือบริการ การอนุมัติเบิกค่าใช้จ่าย บริษัทจำเป็นต้องเก็บและประมวลผลข้อมูลส่วนบุคคล จึงต้องแจ้งคู่ค้าหรือผู้ให้บริการที่จะจัดซื้อจัดจ้างให้ทราบถึงการประมวลผลข้อมูลโดยอาจใช้ เอกสารแจ้งนโยบายความเป็นส่วนตัวในกระบวนการจัดซื้อจัดจ้าง (Vendor Privacy Policy) ซึ่งจะต้องระบุถึงชนิดของข้อมูลที่จะเก็บและวัตถุประสงค์ของการประมวลผลข้อมูลเพื่อการจัดซื้อจัดจ้าง เช่น
ทั้งนี้ บริษัทจะต้องแสดงเอกสาร Vendor Privacy Policy ก่อนดำเนินกิจกรรมจัดซื้อจัดจ้าง และไม่ควรขอข้อมูลส่วนบุคคลที่ไม่จำเป็นต่อการดำเนินการจัดซื้อจัดจ้างนั้นๆ ตามที่แจ้งไว้
การจัดซื้อจัดจ้างเป็นสิ่งที่ขาดไม่ได้สำหรับการประกอบธุรกิจของภาคธุรกิจในปัจจุบัน การจัดทำเอกสาร Vendor Privacy Policy จึงเป็นสิ่งจำเป็นที่ภาคธุรกิจจะต้องปฏิบัติตามเพื่อให้การดำเนินการด้านข้อมูลส่วนบุคคลสอดคล้องกับกฎหมาย PDPA อย่างไรก็ตาม การจัดทำ Vendor Privacy Policy อาจใช้เวลานานเนื่องจากมีรายละเอียดมาก บริการจาก PDPA Pro จะช่วยคุณสร้าง Vendor Privacy Policy แบบมือโปร จบ ครบในราคาเดียว เพื่อให้ Vendor Privacy Policy ของคุณถูกต้องแม่นยำและสอดคล้องกับกฎหมาย PDPA
บริษัท เอ็นเดต้าธอธ จำกัด
1778 อาคารซัมเมอร์ฮับ ออฟฟิศ, ชั้น 6 ถนนสุขุมวิท แขวงพระโขนง เขตคลองเตย กรุงเทพมหานคร 10110 ประเทศไทย
โทร: 02-024-5560
sales@ndatathoth.com