Back

Data Processing Agreement (DPA) สำคัญอย่างไร บริษัทจำเป็นต้องมีไหม

Data Processing Agreement (DPA) สำคัญอย่างไร บริษัทจำเป็นต้องมีไหม



   

กฎหมาย PDPA (Personal Data Protection Act) หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายที่กำหนดความเป็นส่วนตัวสำหรับการใช้ เก็บรวมรวม หรือเปิดเผยข้อมูลส่วนบุคคลของไทย โดยกำหนดให้ภาคธุรกิจในฐานะผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูลส่วนบุคคลจัดทำมาตรการความปลอดภัยสำหรับการประมวลผลข้อมูลส่วนบุคคลที่ภาคธุรกิจเป็นผู้ควบคุมดูแล ในที่นี่อาจใช้วิธีการแจ้งให้เจ้าของข้อมูลทราบผ่าน Privacy Policy หรือแจ้งเตือนผ่าน Notice หรือจะจัดทำข้อตกลงหรือสัญญากับคู่สัญญาที่ประมวลผลข้อมูลส่วนบุคคลก็ได้

Data Processing Agreement (DPA) คืออะไร

Data Processing Agreement (DPA) หรือสัญญาเกี่ยวกับการใช้หรือประมวลผลข้อมูลส่วนบุคคล เป็นเอกสารที่มีผลผูกพันทางกฎหมายซึ่งต้องทำขึ้นระหว่างผู้ควบคุมข้อมูลส่วนบุคคล (เช่น บริษัทผู้ว่าจ้าง) และผู้ประมวลผลข้อมูลส่วนบุคคล (เช่น ผู้ให้บริการภายนอกหรือบุคคลอื่น โดยอาจเป็นผู้ให้บริการด้านบัญชี การตลาด ที่ปรึกษากฎหมาย ผู้ดูแลระบบ IT) ที่ดำเนินการเพื่อวัตถุประสงค์ทางธุรกิจของบริษัทผู้ว่าจ้าง โดยสามารถจัดทำเอกสารเป็นลายลักษณ์อักษรหรือในรูปแบบอิเล็กทรอนิกส์ และกำหนดขอบเขตและวัตถุประสงค์ของการประมวลผล เช่นเดียวกับความสัมพันธ์ระหว่างผู้ควบคุมข้อมูล (Data Controller) กับผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) สัญญาจึงมีความสำคัญเพื่อให้ทั้งสองฝ่ายเข้าใจความรับผิดชอบและความรับผิดของตน

ทำไมภาคธุรกิจต้องทำ Data Processing Agreement (DPA)

กฎหมาย PDPA กำหนดหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) และผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ไว้ว่า ผู้ประมวลผลข้อมูลส่วนบุคคล เป็นผู้ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ดังนั้น ผู้ประมวลผลข้อมูลส่วนบุคคลจะกระทำการเกี่ยวกับข้อมูลส่วนบุคคลตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น หากไม่มีคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคลแล้ว ผู้ประมวลผลข้อมูลส่วนบุคคลจะดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลนั้นไม่ได้

ผู้ควบคุมข้อมูลส่วนบุคคลมักเป็นบริษัทที่ว่าจ้างผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งมักเป็นบริษัทภายนอก เพื่อดำเนินการประมวลผลข้อมูลส่วนบุคคล ตามวัตถุประสงค์ทางธุรกิจของบริษัทผู้ว่าจ้าง เช่น บริษัทว่าจ้างสำนักงานตรวจสอบบัญชีเพื่อตรวจสอบบัญชี สอบทานรายงานการสอบบัญชี งบการเงินของบริษัท บริษัทว่าจ้างสำนักงานที่ปรึกษากฎหมายเพื่อให้ความเห็นในประเด็นกฎหมาย และดำเนินการด้านกฎหมายของบริษัท บริษัทว่าจ้างบริษัทขนส่งเพื่อให้ดำเนินการส่งสินค้า บริษัทว่าจ้าง Agency โฆษณาเพื่อดูแลเรื่องการตลาดและการทำสื่อออนไลน์ของบริษัท เป็นต้น

ภาคธุรกิจมีความจำเป็นที่ต้องดำเนินธุรกิจโดยอาศัยการประมวลผลข้อมูลส่วนบุคคลทั้งภายในองค์กรและแลกเปลี่ยนกับองค์กรอื่น Data Processing Agreement (DPA) จึงมีความจำเป็นกับภาคธุรกิจ เพราะผู้ควบคุมข้อมูลส่วนบุคคลที่เป็นบริษัทผู้ว่าจ้าง และผู้ประมวลผลข้อมูลส่วนบุคคลที่เป็นบริษัทภายนอกซึ่งเป็นบุคคลที่มีหน้าที่ตามกฎหมาย PDPA จำเป็นต้องมีการประมวลผลหรือแลกเปลี่ยนข้อมูลส่วนบุคคลระหว่างกัน

ดังนั้น การจัดทำ Data Processing Agreement (DPA) ซึ่งเป็นเอกสารที่มีผลผูกพันทางกฎหมาย ที่กำหนดขอบเขตและวัตถุประสงค์ของการประมวลผล จะช่วยให้ทั้งสองฝ่ายเข้าใจหน้าที่ความรับผิดชอบและความรับผิด และยังเป็นการป้องกันการที่คู่สัญญาจะนำข้อมูลส่วนบุคคลไปใช้ในทางที่ไม่ถูกต้องหรือเกินอำนาจได้

ความแตกต่างกับ Vendor Privacy Policy

  • Vendor Privacy Policy คือ นโยบายความเป็นส่วนตัวในกระบวนการจัดซื้อจัดจ้าง
  • Data Processing Agreement (DPA) คือ สัญญาเกี่ยวกับการใช้หรือประมวลผลข้อมูลส่วนบุคคล

หลายท่านอาจมีความสับสนระหว่าง Data Processing Agreement (DPA) กับ Vendor Privacy Policy หากจะให้อธิบายโดยง่าย Vendor Privacy Policy เป็นนโยบายความเป็นส่วนตัวในกระบวนการจัดซื้อจัดจ้าง ซึ่งเป็นการประกาศแจ้งสำหรับการใช้และเก็บข้อมูลส่วนบุคคลจากคู่ค้าหรือผู้ให้บริการที่เสนอราคาในการจัดซื้อจัดจ้าง และเมื่อต่อมาบริษัทได้คัดเลือกและจัดซื้อจัดจ้างบริษัทภายนอกเรียบร้อยแล้ว บริษัทผู้ว่าจ้างจึงทำสัญญาเกี่ยวกับการใช้หรือประมวลผลข้อมูลส่วนบุคคลกับบริษัทภายนอก หรือ Data Processing Agreement (DPA) เพื่อกำหนดขอบเขตและวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคลระหว่างกัน

องค์ประกอบที่สำคัญใน Data Processing Agreement (DPA)

โดยทั่วไป DPA ควรมีขอบเขตและวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคล รายละเอียดของข้อมูลที่จะนำไปประมวลผล วิธีป้องกัน และความสัมพันธ์ระหว่างผู้ควบคุมข้อมูลส่วนบุคคลกับผู้ประมวลผลข้อมูลส่วนบุคคล นอกจากนี้ควรกำหนดรายละเอียด เช่น

ข้อมูลทั่วไป

โดยระบุถึงกิจกรรมที่เกี่ยวข้องกับการประมวลผลข้อมูล ระบุผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล วิธีการใช้ข้อมูลส่วนบุคคล ฝ่ายที่รับผิดชอบในการตรวจสอบว่าข้อมูลเป็นไปตามการปฏิบัติตาม PDPA และระยะเวลาในการประมวลผลที่จะเกิดขึ้น นอกจากนี้ยังควรครอบคลุมถึงคำจำกัดความของเจ้าของข้อมูลส่วนบุคคล โดยอาจเป็นลูกค้าของบริษัทหรือผู้ใช้งานเว็บไซต์ ประเภทของข้อมูลที่จะประมวลผล วิธีและที่จัดเก็บข้อมูล และเงื่อนไขการสิ้นสุดสัญญา

ความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล

กฎหมาย PDPA กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่รับผิดชอบในการออกคำสั่งให้ผู้ประมวลผลข้อมูลส่วนบุคคลดำเนินการในข้อมูลส่วนบุคคล และกำหนดวิธีให้ผู้ประมวลผลข้อมูลส่วนบุคคลจัดการข้อมูลเหล่านั้นให้ถูกต้องตามกฎหมาย

ความรับผิดชอบของผู้ประมวลผลข้อมูลส่วนบุคคล

กฎหมาย PDPA กำหนดให้ผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่รับผิดชอบหลายด้าน ซึ่งรวมถึงการรักษาความปลอดภัยของข้อมูล การร่วมมือกับหน่วยงานที่มีอำนาจในกรณีที่ต้องการสอบสวน และการรายงานผลหากมีการละเมิดข้อมูลเกิดขึ้น การให้สิทธิในการตรวจสอบ การเก็บบันทึก การลบหรือการส่งคืนข้อมูลเมื่อสิ้นสุดสัญญา ทั้งนี้ การประมวลผลข้อมูลจะต้องทำตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น

ข้อกำหนดเชิงเทคนิคและมาตรการรักษาความปลอดภัยข้อมูล

เป็นการระบุถึงมาตรการรักษาความปลอดภัยของข้อมูล การเข้ารหัสข้อมูล วิธีการตรวจสอบย้อนกลับ การรักษาความลับ ความสมบูรณ์ ความพร้อมใช้งาน และความยืดหยุ่นของระบบการประมวลผลข้อมูลและบริการให้เป็นไปตามสิทธิของเจ้าของข้อมูลส่วนบุคคล รวมถึงค่าใช้จ่ายและผู้รับผิดชอบในการดำเนินการ

ข้อมูลอื่นๆ

หากผู้ประมวลผลข้อมูลส่วนบุคคลที่เป็นบริษัทภายนอกต้องการว่าจ้างบริษัทอื่นอีกต่อ เพื่อร่วมประมวลผลข้อมูลส่วนบุคคล ก็จำเป็นต้องมีส่วนที่สรุปความสัมพันธ์แยกไว้ในสัญญาย่อยด้วย ผู้ควบคุมข้อมูลส่วนบุคคลหรือบริษัทที่ว่าจ้างจะต้องให้ความยินยอมเป็นลายลักษณ์อักษรในการใช้ผู้ประมวลผลข้อมูลส่วนบุคคลเพิ่มเติม เพื่อให้สัญญารัดกุมมากยิ่งขึ้น

ภาคธุรกิจจะจัดทำ DPA อย่างไร

การประมวลผลข้อมูลส่วนบุคคลเป็นสิ่งที่ขาดไม่ได้ในการประกอบธุรกิจของภาคธุรกิจในปัจจุบัน การจัดทำเอกสาร DPA จึงเป็นสิ่งจำเป็นที่ภาคธุรกิจจะต้องปฏิบัติตามเพื่อให้การดำเนินการด้านข้อมูลส่วนบุคคลสอดคล้องกับกฎหมาย PDPA อย่างไรก็ตาม การจัดทำ DPA อาจใช้เวลานานเนื่องจากมีรายละเอียดมาก บริการจาก PDPA Pro จะช่วยคุณสร้าง Data Processing Agreement (DPA) แบบมือโปร จบ ครบในราคาเดียว เพื่อให้ DPA ของคุณถูกต้องแม่นยำและสอดคล้องกับกฎหมาย PDPA

สร้าง Privacy Policy ง่ายๆ

อย่างมืออาชีพ ถูกต้องตาม PDPA

สร้าง Policy ตอนนี้!

บทความที่เกี่ยวข้อง

3 สิ่งที่ควรรู้ ถ่ายรูปบัตรประชาชนให้คนอื่นอย่างไรให้ปลอดภัยจากมิจฉาชีพ

3 สิ่งที่ควรรู้ ถ่ายรูปบัตรประชาชนให้คนอื่นอย่างไรให้ปลอดภัยจากมิจฉาชีพ

18/01/23

Data SecurityData PrivacyID Card

บริษัท เอ็นเดต้าธอธ จำกัด
1778 อาคารซัมเมอร์ฮับ ออฟฟิศ, ชั้น 6 ถนนสุขุมวิท แขวงพระโขนง เขตคลองเตย กรุงเทพมหานคร 10110 ประเทศไทย

โทร: 02-024-5560
sales@ndatathoth.com

©2024 nDataThoth Limited All Rights Reserved.

HelpTerms of UsePrivacy Policy