Data Processing Agreement หรือ สัญญา DPA คืออะไร? ทำไม HR อย่างเราต้องรู้
Data Processing Agreement หรือ สัญญา DPA คือเอกสารข้อตกลงการประมวลผล เอกสารที่มีผลผูกพันทางกฎหมายซึ่งต้องทำขึ้นระหว่างผู้ควบคุมข้อมูลส่วนบุคคล Data Controller (บริษัทผู้ว่าจ้าง) และผู้ประมวลผลข้อมูลส่วนบุคคล Data Processor (ผู้ให้บริการภายนอกหรือบุคคลอื่น) เพื่อให้ผู้ประมวลผลข้อมูลดำเนินการตามวัตถุประสงค์และขอบเขตข้อตลกลงตามสัญญาที่บริษัทผู้ว่าจ้างกำหนดเท่านั้น โดยสามารถจัดทำเอกสารเป็นลายลักษณ์อักษรหรือในรูปแบบอิเล็กทรอนิกส์ ดังนั้นเอกสารสัญญาข้อตกลงการประมวลผลข้อมูล จะเป็นเอกสารสำคัญระหว่างผู้ควบคุมข้อมูลที่มีการขอจัดเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูล และมีการส่งข้อมูลส่วนบุคคลนั้น ๆ ไปยังบุคคลอื่นภายนอกองค์กรเพื่อทำกิจกรรมใดกิจกรรมหนึ่ง ต้องมีการทำเอกสารสัญญา DPA เพื่อเป็นหลักฐานข้อตกลงการใช้ข้อมูลส่วนบุคคลร่วมกันทำให้ทั้ง 2 ฝ่ายรับทราบข้อตกลงและปฎิบัติตามเงื่อนไขที่ตกลงกันเท่านั้น พร้อมทั้งเพื่อป้องกันการใช้ข้อมูลส่วนบุคคลผิดวัตถุประสงค์ที่เจ้าของข้อมูลให้ความยิมยอม
ผู้ที่มีส่วนเกี่ยวข้องกับสัญญาข้อตกลงการประมวลผลข้อมูล (DPA)
Data Subject (เจ้าของข้อมูล) คือ พนักงานภายในองค์กร
Data Controller (ผู้ควบคุมข้อมูล) คือ ฝ่ายบุคคล หรือ องค์กรผู้จ้างงาน
Data Processor (ผู้ประมวลผลข้อมูลส่วนบุคคล) คือ องค์กรภายนอก หรือ ผู้รับจ้างงาน
ตัวอย่าง เช่น ฝ่ายบุคคลในนามผู้ควบคุมข้อมูลมีการจ้างบริษัทภายนอกองค์กรทำระบบการจ่ายเงินเดือนพนักงานของบริษัท โดยบริษัทมีการส่งข้อมูลส่วนบุคคลของพนักงานประกอบไปด้วย ข้อมูลเลขบัญชีธนาคาร เลขประจำตัวผู้เสียภาษี ID เลขประจำตัวพนักงาน ล้วนเป็นข้อมูลส่วนบุคคลทั้งสิ้น ให้กับผู้ให้บริการภายนอกองค์กร ฝ่ายบุคคลมีหน้าที่จัดทำสัญญา DPA ระหว่างองค์กรและผู้ให้บริการภายนอกองค์กรรับทราบวัตถุประสงค์และขอบเขตที่ระบุไว้ในสัญญาเท่านั้น หากผู้ให้บริการภายนอกองค์กรนำข้อมูลส่วนบุคคลของพนักงานไปใช้ในวัตถุประสงค์อื่นนอกเหนือจากผู้ว่าจ้างระบุไว้ในสัญญา เมื่อเกิดกรณีมีข้อพิพาทขึ้น สัญญา DPA จะเป็นหลักฐานสำคัญในการยื่นเพื่อให้เจ้าหน้าที่ตรวจสอบและพิจาณาต่อไป
องค์ประกอบที่สำคัญในสัญญา DPA
โดยทั่วไป DPA ควรมีขอบเขตและวัตถุประสงค์ของข้อตกลงการประมวลผลข้อมูลส่วนบุคคล รายละเอียดของข้อมูลที่จะนำไปประมวลผล วิธีป้องกัน และความสัมพันธ์ระหว่างผู้ควบคุมข้อมูลส่วนบุคคลกับผู้ประมวลผลข้อมูลส่วนบุคคล นอกจากนี้ควรกำหนดรายละเอียด เช่น
ข้อ 1 ข้อมูลที่แลกเปลี่ยนมีอะไรบ้างโดยผู้ควบคุมข้อมูลส่วนบุคคลต้องระบุข้อมูลที่แลกเปลี่ยนอย่างชัดเจน ว่ามีการส่งต่อข้อมูลส่วนบุคคลอะไรบ้างให้กับองค์กรภายนอกและระบุฝ่ายที่รับผิดชอบในการตรวจสอบว่าข้อมูลเป็นไปตามแนวปฏิบัติของกฎหมาย PDPA หรือไม่
ข้อ 2 วัตถุประสงค์และขอบเขตในการประมวลผลข้อมูล โดยผู้ควบคุมข้อมูลส่วนบุคคลต้องระบุถึงกิจกรรมที่เกี่ยวข้องกับข้อตกลงการประมวลผลข้อมูลอย่างชัดเจน
ข้อ 3 ผู้ประมวลผลข้อมูลจะดําเนินการลบและทําลายข้อมูลภายใน ระยะเวลา หลังบรรลุวัตถุประสงค์ตามสัญญา
ข้อ 4 ผู้ประมวลผลข้อมูลจะจัดให้มีมาตรการการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตามที่กฎหมายกําหนด เป็นการระบุถึงมาตรการรักษาความปลอดภัยของข้อมูล การเข้ารหัสข้อมูล วิธีการตรวจสอบย้อนกลับ การรักษาความลับ ความสมบูรณ์ ความพร้อมใช้งาน และความยืดหยุ่นของระบบการประมวลผลข้อมูลและบริการให้เป็นไปตามสิทธิของเจ้าของข้อมูลส่วนบุคคล รวมถึงค่าใช้จ่ายและผู้รับผิดชอบในการดำเนินการ
ข้อ 5 ผู้ประมวลผลข้อมูลจะไม่นําข้อมูลที่ได้รับจากบริษัทไปใช้ในวัตถุประสงค์อื่นนอกเหนือจากที่ระบุในข้อตกลงฉบับนี้
ข้อ 6 หากการกระทําใดของผู้ประมวลผลข้อมูลทําให้เกิดข้อพิพาท หรือความเสียหายแก่บริษัท ผู้ประมวลผลข้อมูลต้อง รับผิดชอบความเสียหายที่เกิดขึ้นทั้งหมด
ดังนั้นการจัดทำสัญญาข้อตกลงการประมวลผลข้อมูล จึงมีความสำคัญกับทุก ๆ องค์กรที่มีการส่งต่อข้อมูลส่วนบุคคลไปยังองค์กรภายนอก เพื่อป้องกันผู้ประมวลผลข้อมูลนำของมูลส่วนบุคคลไปใช้นอกวัตถุประสงค์ที่ได้ตกลงกันและป้องกันการนำข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไปใช้ผิดวัตถุประสงค์ที่เจ้าของข้อมูลได้ให้ consent จนเกิดของพิพาทขึ้นในอนาคต
สามารถเข้าไปอ่าน content ที่น่าสนใจอื่น ๆ เกี่ยวกับ PDPA ได้ที่ PDPA for HR งานฝ่ายบุคคลฯ กับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
อ้างอิงข้อมูลจาก กระบวนการทำ PDPA ให้ผ่านเกณฑ์ที่กำหนด
สำหรับคนที่อยากรู้เรื่อง ข้อตกลงประมวลผลข้อมูล หรือ สัญญา DPA สามารถรับชมใน VDO ด้านล่วงได้ หากดูแล้วชื่นชอบช่วยกดไลค์และแชร์ เพื่อเป็นกำลังใจให้พวกเราด้วยนะคะ
