2 ต.ค. 2021 เวลา 04:51 • การศึกษา
#สัญญาประมวลผลข้อมูลส่วนบุคคลต้องมีสาระสำคัญอะไรบ้าง
ช่วงนี้หลายองค์กรคงได้มีการออกนโยบายคุ้มครองข้อมูลส่วนบุคคล (หรือ PDPA) ไปแล้วหลายองค์กร
พอบริษัทมีนโยบาย ฝ่ายกฎหมายก็มีหน้าที่ออกแบบสัญญาให้สอดคล้องกับนโยบายขององค์กร
ต้นตอของเรื่องที่ต้องทำสัญญาประเภทนี้ มาจาก พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งจะมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 (ขอข้ามไปไม่เล่ารายละเอียดของกฎหมายนะคะ เพราะมีรายละเอียดค่อนข้างยาว)
วันนี้ จึงมาชวนคุยเกี่ยวกับสัญญาประมวลข้อมูลส่วนบุคคล หรือ Data Processing Agreement (ในวงการเรียกสั้น ๆ ว่า DPA) ว่าต้องมีหัวข้ออะไรบ้าง
เรื่องเล่าในวันนี้มาจากประสบการณ์ในฐานะเป็นที่ปรึกษากฎหมายให้บริษัท IT หลายบริษัท และมีหน้าที่ต้องจัดทำสัญญาประเภทนี้และได้อ่านสัญญาประเภทนี้อยู่เป็นประจำ
📌ตัวอย่างหัวข้อในสัญญาที่ควรมี
👉1. นิยาม = ควรมีเพราะเป็นเรื่องใหม่ และหลายคนอาจไม่เข้าใจ จึงควรมีนิยามที่เกี่ยวข้อง เช่น
"ประมวลผล" หรือ "การประมวลผล" หมายถึง การดำเนินการหนึ่งหรือชุดการดำเนินการใดๆ ที่มีการกระทำต่อข้อมูลส่วนบุคคล ไม่ว่าเป็นการกระทำด้วยวิธีการอัตโนมัติหรือไม่ก็ตาม เช่น การเก็บรวบรวม การบันทึก การจัดระบบ การเก็บรักษา การดัดแปลง การเปลี่ยนแปลง การเรียกคืน การสืบค้น การใช้ การเปิดเผยโดยการส่งต่อ การเผยแพร่หรือการทำให้เข้าถึงได้โดยประการอื่น การโอนระหว่างประเทศ การจัดเรียงหรือการรวมเข้าด้วยกัน การจำกัด การลบ หรือการทำลายข้อมูล
ส่วนบุคคล
👉2. หน้าที่ของผู้ว่าจ้าง (ในฐานะผู้ควบคุมข้อมูล) เช่น ควรกำหนดขอบเขต รายละเอียด และวัตประสงค์ของการประมวลผลข้อมูลไว้ในสัญญาอย่างชัดเจน หากมีเป็นจำนวนมากให้ทำเป็นเอกสารแนบท้าย มีสังเกตว่า ข้อมูลส่วนนี้ต้องสอดคล้องกับนโยบายฯ ของบริษัทด้วย
👉3. หน้าที่ของผู้รับจ้าง (ในฐานะผู้ประมวลข้อมูลส่วนบุคคล) เช่น ต้องประมวลผลข้อมูลส่วนบุคคลตามขอบเขตของสัญญา แนวทางคำสั่งที่ผู้ว่าจ้างกำหนด หากทำตามคำสั่งของผู้ว่าจ้างไม่ได้ต้องแจ้งทันที ต้องรักษาความลับของข้อมูล เก็บรักษาข้อมูลตามระยะเวลาที่ผู้ว่าจ้างกำหนด จัดให้มีมาตรฐานในการป้องกันข้อมูลรั่ว ในกรณีที่ต้องข้อมูลรั่วต้องแจ้งให้ผู้ว่าจ้างทราบ
สาระสำคัญข้อนี้คือ ต้องแจ้งก่อน⏰ 72 ชั่วโมง ซึ่งทั่วไปที่กำหนด อาจจะกำหนดไว้ให้แจ้งผู้ว่าจ้างในภายใน⏰ 12 หรือ 24 ชั่วโมงนับแต่ทราบเหตุ
เหตุผลเพราะผู้ว่าจ้างมีหน้าที่ต้องแจ้งให้ สคส. (หน่วยงานรัฐที่ดูแลเรื่องนี้) ทราบภายใน 72 ชั่วโมง
ในสัญญาควรกำหนดให้แจ้งจำนวนข้อมูลที่รั่ว ผลกระทบ มาตรการที่ใช้หรือเสนอเพื่อแก้ไขการรั่วไหลของข้อมูล ทั้งนี้เพื่อเป็นนำไปวิเคราะห์หาสาเหตุและแจ้งหน่วยงานที่เกี่ยวข้องได้ทันเวลาที่กฎหมายกำหนด
👉4. หากมีการทำสัญญาจ้างช่วต้องให้ผู้รับจ้างช่วงทำสัญญาประมวลข้อมูลส่วนบุคคลด้วย
👉5. ความรับผิดและการชดใช้ค่าเสียหาย เช่น รับผิดต่อการเรียกร้อง การดำเนินคดี ค่าปรับ การลงโทษ ความเสียหายค่าใช้จ่าย บางสัญญากำหนดให้เป็นเหตุของการบอกเลิกสัญญาด้วย
👉6. ข้อกำหนดเมื่อมีการสิ้นสุดสัญญา เช่น หยุดประมวลผลข้อมูลทันที ส่งคืนหรือทำลายข้อมูลส่วนบุคคลที่ได้รับจากผู้ว่าจ้างเป็นต้น
หวังว่าเรื่องเล่าวันนี้จะเป็นประโยชน์สำหรับเพื่อนๆ ที่ยังไม่รู้เรื่องนี้
#กฎหมายเพื่อผู้ประกอบการ #แหล่งเรียนรู้เกี่ยวกับสัญญาและการบริหารสัญญา
โฆษณา