Skip to content

Data Processing Agreement หรือ สัญญา DPA คืออะไร? ทำไม HR อย่างเราต้องรู้

Table of Contents

Data Processing Agreement หรือ สัญญา DPA คืออะไร? ทำไม HR อย่างเราต้องรู้

Data Processing Agreement หรือ สัญญา DPA คือเอกสารข้อตกลงการประมวลผล เอกสารที่มีผลผูกพันทางกฎหมายซึ่งต้องทำขึ้นระหว่างผู้ควบคุมข้อมูลส่วนบุคคล Data Controller (บริษัทผู้ว่าจ้าง) และผู้ประมวลผลข้อมูลส่วนบุคคล Data Processor (ผู้ให้บริการภายนอกหรือบุคคลอื่น) เพื่อให้ผู้ประมวลผลข้อมูลดำเนินการตามวัตถุประสงค์และขอบเขตข้อตลกลงตามสัญญาที่บริษัทผู้ว่าจ้างกำหนดเท่านั้น โดยสามารถจัดทำเอกสารเป็นลายลักษณ์อักษรหรือในรูปแบบอิเล็กทรอนิกส์ ดังนั้นเอกสารสัญญาข้อตกลงการประมวลผลข้อมูล จะเป็นเอกสารสำคัญระหว่างผู้ควบคุมข้อมูลที่มีการขอจัดเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูล และมีการส่งข้อมูลส่วนบุคคลนั้น ๆ ไปยังบุคคลอื่นภายนอกองค์กรเพื่อทำกิจกรรมใดกิจกรรมหนึ่ง ต้องมีการทำเอกสารสัญญา DPA เพื่อเป็นหลักฐานข้อตกลงการใช้ข้อมูลส่วนบุคคลร่วมกันทำให้ทั้ง 2 ฝ่ายรับทราบข้อตกลงและปฎิบัติตามเงื่อนไขที่ตกลงกันเท่านั้น พร้อมทั้งเพื่อป้องกันการใช้ข้อมูลส่วนบุคคลผิดวัตถุประสงค์ที่เจ้าของข้อมูลให้ความยิมยอม

ผู้ที่มีส่วนเกี่ยวข้องกับสัญญาข้อตกลงการประมวลผลข้อมูล (DPA)

Data Subject (เจ้าของข้อมูล) คือ พนักงานภายในองค์กร 

Data Controller (ผู้ควบคุมข้อมูล) คือ ฝ่ายบุคคล หรือ องค์กรผู้จ้างงาน

Data Processor (ผู้ประมวลผลข้อมูลส่วนบุคคล) คือ องค์กรภายนอก หรือ ผู้รับจ้างงาน

ตัวอย่าง เช่น ฝ่ายบุคคลในนามผู้ควบคุมข้อมูลมีการจ้างบริษัทภายนอกองค์กรทำระบบการจ่ายเงินเดือนพนักงานของบริษัท  โดยบริษัทมีการส่งข้อมูลส่วนบุคคลของพนักงานประกอบไปด้วย ข้อมูลเลขบัญชีธนาคาร เลขประจำตัวผู้เสียภาษี ID เลขประจำตัวพนักงาน ล้วนเป็นข้อมูลส่วนบุคคลทั้งสิ้น ให้กับผู้ให้บริการภายนอกองค์กร  ฝ่ายบุคคลมีหน้าที่จัดทำสัญญา DPA ระหว่างองค์กรและผู้ให้บริการภายนอกองค์กรรับทราบวัตถุประสงค์และขอบเขตที่ระบุไว้ในสัญญาเท่านั้น หากผู้ให้บริการภายนอกองค์กรนำข้อมูลส่วนบุคคลของพนักงานไปใช้ในวัตถุประสงค์อื่นนอกเหนือจากผู้ว่าจ้างระบุไว้ในสัญญา เมื่อเกิดกรณีมีข้อพิพาทขึ้น สัญญา DPA จะเป็นหลักฐานสำคัญในการยื่นเพื่อให้เจ้าหน้าที่ตรวจสอบและพิจาณาต่อไป

 

องค์ประกอบที่สำคัญในสัญญา DPA

โดยทั่วไป DPA ควรมีขอบเขตและวัตถุประสงค์ของข้อตกลงการประมวลผลข้อมูลส่วนบุคคล รายละเอียดของข้อมูลที่จะนำไปประมวลผล วิธีป้องกัน และความสัมพันธ์ระหว่างผู้ควบคุมข้อมูลส่วนบุคคลกับผู้ประมวลผลข้อมูลส่วนบุคคล นอกจากนี้ควรกำหนดรายละเอียด เช่น

ข้อ 1 ข้อมูลที่แลกเปลี่ยนมีอะไรบ้างโดยผู้ควบคุมข้อมูลส่วนบุคคลต้องระบุข้อมูลที่แลกเปลี่ยนอย่างชัดเจน ว่ามีการส่งต่อข้อมูลส่วนบุคคลอะไรบ้างให้กับองค์กรภายนอกและระบุฝ่ายที่รับผิดชอบในการตรวจสอบว่าข้อมูลเป็นไปตามแนวปฏิบัติของกฎหมาย PDPA หรือไม่

ข้อ 2 วัตถุประสงค์และขอบเขตในการประมวลผลข้อมูล โดยผู้ควบคุมข้อมูลส่วนบุคคลต้องระบุถึงกิจกรรมที่เกี่ยวข้องกับข้อตกลงการประมวลผลข้อมูลอย่างชัดเจน 

ข้อ 3 ผู้ประมวลผลข้อมูลจะดําเนินการลบและทําลายข้อมูลภายใน ระยะเวลา หลังบรรลุวัตถุประสงค์ตามสัญญา

ข้อ 4 ผู้ประมวลผลข้อมูลจะจัดให้มีมาตรการการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตามที่กฎหมายกําหนด เป็นการระบุถึงมาตรการรักษาความปลอดภัยของข้อมูล การเข้ารหัสข้อมูล วิธีการตรวจสอบย้อนกลับ การรักษาความลับ ความสมบูรณ์ ความพร้อมใช้งาน และความยืดหยุ่นของระบบการประมวลผลข้อมูลและบริการให้เป็นไปตามสิทธิของเจ้าของข้อมูลส่วนบุคคล รวมถึงค่าใช้จ่ายและผู้รับผิดชอบในการดำเนินการ

ข้อ 5 ผู้ประมวลผลข้อมูลจะไม่นําข้อมูลที่ได้รับจากบริษัทไปใช้ในวัตถุประสงค์อื่นนอกเหนือจากที่ระบุในข้อตกลงฉบับนี้ 

ข้อ 6 หากการกระทําใดของผู้ประมวลผลข้อมูลทําให้เกิดข้อพิพาท หรือความเสียหายแก่บริษัท ผู้ประมวลผลข้อมูลต้อง รับผิดชอบความเสียหายที่เกิดขึ้นทั้งหมด

 

ดังนั้นการจัดทำสัญญาข้อตกลงการประมวลผลข้อมูล จึงมีความสำคัญกับทุก ๆ องค์กรที่มีการส่งต่อข้อมูลส่วนบุคคลไปยังองค์กรภายนอก เพื่อป้องกันผู้ประมวลผลข้อมูลนำของมูลส่วนบุคคลไปใช้นอกวัตถุประสงค์ที่ได้ตกลงกันและป้องกันการนำข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไปใช้ผิดวัตถุประสงค์ที่เจ้าของข้อมูลได้ให้ consent จนเกิดของพิพาทขึ้นในอนาคต

สามารถเข้าไปอ่าน content ที่น่าสนใจอื่น ๆ เกี่ยวกับ PDPA ได้ที่ PDPA for HR งานฝ่ายบุคคลฯ กับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

สำหรับคนที่อยากรู้เรื่อง ข้อตกลงประมวลผลข้อมูล หรือ สัญญา DPA สามารถรับชมใน VDO ด้านล่วงได้ หากดูแล้วชื่นชอบช่วยกดไลค์และแชร์ เพื่อเป็นกำลังใจให้พวกเราด้วยนะคะ

แบ่งปันบทความดีๆ

Facebook
Twitter
LinkedIn

บทความที่เกี่ยวข้อง