สัญญาการประมวลผลข้อมูลส่วนบุคคล (DPA)
ปัจจุบันเทคโนโลยีอินเทอร์เน็ตและการสื่อสารไร้สายถือเป็นตัวแปรสำคัญในการเปลี่ยนพฤติกรรมของผู้บริโภค ผู้ผลิตและผู้ให้บริการ
Cap & Corp Forum
ปัจจุบันเทคโนโลยีอินเทอร์เน็ตและการสื่อสารไร้สายถือเป็นตัวแปรสำคัญในการเปลี่ยนพฤติกรรมของผู้บริโภค ผู้ผลิตและผู้ให้บริการ ในยุคดิจิทัลนี้เองมีคำหนึ่งที่เรามักจะได้ยินกันอยู่บ่อย ๆ คือคำว่า “เทคสตาร์ตอัพ” (Tech Startup) ที่ดำเนินธุรกิจใหม่ ๆ โดยอาศัยเทคโนโลยีเป็นตัวขับเคลื่อน
ประเทศไทยเองก็ถือว่าเป็นหนึ่งในประเทศที่มีความเติบโตของเทคสตาร์ตอัพค่อนข้างสูง โดยมีมูลค่าการลงทุนรวมอยู่ที่ 97.55 ล้านดอลลาร์สหรัฐ ลักษณะโดยทั่วไปของการดำเนินธุรกิจกลุ่มนี้จำเป็นต้องใช้ซอฟต์แวร์ เว็บไซต์ และแอปพลิเคชันเป็นพื้นฐานการให้บริการ เพื่อทำให้ลูกค้าสามารถเข้าถึงบริการซ้ำ ๆ ได้ (Repeatable)
การทำให้ลูกค้าเข้าถึงบริการซ้ำ ๆ ผ่านระบบซอฟต์แวร์หรือแอปพลิเคชันนั้น ผู้ประกอบการย่อมต้องดำเนินการโดยอาศัยการเก็บข้อมูลต่าง ๆ ของลูกค้าที่เข้ามาใช้บริการและนำข้อมูลดังกล่าวไปประมวลผลเพื่อจัดทำบริการที่สามารถตอบสนองต่อความต้องการของลูกค้า
การดำเนินกิจกรรมทางธุรกิจดังกล่าวผู้ประกอบการจำเป็นต้องเข้าถึงและใช้ข้อมูลส่วนบุคคลของลูกค้าอย่างไม่สามารถหลีกเลี่ยงได้ อย่างไรก็ตาม ภายหลังหลังจากมีการตราพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ขึ้นใช้บังคับย่อมส่งผลให้การกระทำดังกล่าวของผู้ให้บริการถูกควบคุมโดยกฎหมาย
เพื่อให้การดำเนินการบรรลุวัตถุประสงค์ตามสัญญาให้บริการในธุรกิจให้บริการทางเทคโนโลยีไม่ว่าจะเป็นลักษณะของการให้บริการซอฟต์แวร์และแอปพลิเคชัน (Software as a Service, SaaS) การให้บริการด้านแพลตฟอร์ม (Platform as a Service, PaaS) และบริการเฉพาะโครงสร้างพื้นฐาน (Infrastructure as a Service) ผู้ให้บริการดังกล่าวย่อมมีหน้าที่เกี่ยวกับการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลในฐานะ “ผู้ประมวลผลข้อมูลส่วนบุคคล” (Data Processor) ตามคำสั่งหรือในนามของผู้รับบริการซึ่งมีฐานะเป็น “ผู้ควบคุมข้อมูลส่วนบุคคล” (Data Controller)
ซึ่งหากข้อมูลดังกล่าวนั้นถือเป็นข้อมูลส่วนบุคคลตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ผู้ให้บริการย่อมมีหน้าที่และความรับผิดตามพระราชบัญญัติดังกล่าว โดยพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ให้ความหมายของข้อมูลส่วนบุคคลไว้ว่า “ข้อมูลเกี่ยวกับบุคคลซึ่งสามารถระบุตัวตนบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ”
เมื่อผู้ให้บริการตกลงกับผู้รับบริการในการประมวลผลข้อมูลอันเป็นข้อมูลส่วนบุคคลเพื่อให้บรรลุวัตถุประสงค์ของสัญญาจ้าง ผู้ให้บริการประมวลผลข้อมูลถือเป็น “ผู้ประมวลผลข้อมูลส่วนบุคคล” ตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ดังนั้นจึงมีหน้าที่ทั้งตามกฎหมายและตามสัญญาที่ผู้ให้บริการได้ตกลงไว้กับผู้รับบริการ อย่างไรก็ตาม สัญญาการให้บริการทางซอฟต์แวร์ก่อนการประกาศใช้พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มักจะกำหนดสิทธิหน้าที่ของคู่สัญญาไว้ไม่ครอบคลุมถึงกรณีการคุ้มครองข้อมูลส่วนบุคคล
โดยทั่วไปจะกำหนดเพียงวิธีในการวิเคราะห์ข้อมูล การชำระค่าบริการ ความรับผิด และสิทธิในทรัพย์สินทางปัญญา เป็นต้น อนึ่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มาตรา 40 ได้ระบุไว้ให้มีการจัดทำข้อตกลงร่วมกันระหว่างผู้ควบคุมและผู้ประเมินผลข้อมูลส่วนบุคคลเกี่ยวกับการดำเนินการจัดเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลตามกรอบของข้อกำหนดในสัญญานี้เท่านั้น จึงมีประเด็นว่าข้อสัญญาการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement, DPA) ระหว่างผู้ให้บริการที่มีหน้าที่ในการใช้และประมวลผลข้อมูลในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลกับผู้รับบริการในฐานะผู้ควบคุมข้อมูลส่วนบุคคลควรจะมีโครงสร้าง ข้อกำหนด และเงื่อนไขของสัญญาอย่างไร
การจัดทำ DPA นั้นไม่เพียงแต่ทำให้มีการกำหนดหน้าที่และความรับผิดชอบที่ชัดเจนระหว่างผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล แต่ยังเป็นการกำหนดข้อตกลงและเงื่อนไขต่าง ๆ ของผู้ให้บริการและผู้รับบริการให้เป็นไปตามข้อกำหนดของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ และประการสำคัญ ผู้ให้บริการทำหน้าที่ประมวลผลข้อมูลส่วนบุคคลในนามของผู้ควบคุมข้อมูลส่วนบุคคล หากผู้ควบคุมข้อมูลส่วนบุคคล เก็บรวบรวม หรือใช้ข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมายแล้ว ฐานความชอบด้วยกฎหมายของผู้ให้บริการประมวลผลข้อมูลย่อมไม่มีด้วยเช่นกัน ความรับผิดอื่น ๆ ย่อมตามมา
ดังนั้นเพื่อเป็นการป้องกันความเสียหายที่อาจเกิดขึ้นกับผู้ให้บริการที่มีหน้าที่ประมวลผลข้อมูล สัญญาการประมวลผลข้อมูลควรระบุขอบเขตความรับผิดระหว่างผู้ควบคุมข้อมูลส่วนบุคคลกับผู้ประมวลผลข้อมูลส่วนบุคคลต่อบุคคลภายนอกหรือเจ้าข้อมูลไว้อย่างชัดเจน โดยข้อสัญญาการประมวลผลข้อมูลส่วนบุคคล (DPA) ตามที่ UK Information Commissioner’s Office ให้คำแนะนำไว้ อาจประกอบด้วยข้อตกลงอย่างน้อย ดังต่อไปนี้
(1) วัตถุประสงค์ของการจัดทำ DPA
(2) ระยะเวลาในการประมวลผลข้อมูล
(3) จุดมุ่งหมายของการประมวลผลข้อมูล
(4) ประเภทของข้อมูลส่วนบุคคลที่ถูกเก็บรวมรวม
(5) การจำแนกประเภทของข้อมูลส่วนบุคคล
(6) หน้าที่และความรับผิดชอบของผู้ควบคุมข้อมูล
(7) ผู้ประมวลผลข้อมูลตกลงที่จะประมวลผลข้อมูลตามวิธีหรือข้อกำหนดของผู้ควบคุมข้อมูลเท่านั้น
(8) ผู้ประมวลผลข้อมูลตกลงว่าบุคคลใด ๆ ที่เกี่ยวข้องกับการประมวลผลข้อมูลจะต้องอยู่ภายใต้สัญญาการเก็บรักษาข้อมูลอันเป็นความลับ (Non-disclosure Agreement, NDA)
(9) ผู้ประมวลผลข้อมูลต้องจัดให้มีมาตรการด้านความปลอดภัยอย่างพอเพียงและเหมาะสมต่อการดำเนินการประมวลผลข้อมูล (Appropriate Data Security Measures)
(10) การจ้างช่วงให้บุคคลที่สามหรือผู้ให้บริการรายอื่น (Sub-processor) เข้ามาดำเนินการประมวลผลข้อมูลไม่ว่าทั้งหมดหรือบางส่วนต้องได้รับอนุญาตจากผู้ควบคุมข้อมูลก่อนโดยความยินยอมดังกล่าวต้องทำเป็นหนังสือร่วมกันระหว่างผู้ควบคุมข้อมูลกับผู้ประมวลผลข้อมูล
(11) ผู้ประมวลผลข้อมูลต้องจัดให้มีมาตรการที่เหมาะสมและเพียงพอในการสนับสนุนผู้ควบคุมข้อมูลในการปฏิบัติตามคำขอของเจ้าของข้อมูลส่วนบุคคลเมื่อเจ้าของข้อมูลร้องขอตามสิทธิของเจ้าของข้อมูลส่วนบุคคลตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ อาทิ การขอให้ดำเนินการลบ แก้ไขเพิ่มเติม โอน ทำสำเนา เป็นต้น
(12) ผู้ประมวลผลข้อมูลมีหน้าที่ช่วยเหลือและสนับสนุนผู้ควบคุมข้อมูลในการเก็บ รวมรวบ ใช้ รักษาและประมวลผลหรือดำเนินการใด ๆ กับข้อมูลส่วนบุคคลให้เป็นไปตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ และกฎหมายอื่น ๆ ที่เกี่ยวข้องทั้งในเรื่องมาตรฐานความปลอดภัยของข้อมูล การแจ้งเตือนไปยังผู้ควบคุมข้อมูลและเจ้าของข้อมูลกรณีข้อมูลรั่วไหล และการสนับสนุนเจ้าของข้อมูลในการใช้สิทธิต่าง ๆ กับข้อมูลของตนตามกฎหมาย เป็นต้น
(13) ผู้ประมวลผลข้อมูลมีหน้าที่ในการลบทำลายหรือคืนข้อมูลทั้งหมดให้แก่ผู้ควบคุมข้อมูลตามที่ผู้ควบคุมข้อมูลร้องขอและเมื่อสิ้นสุดสัญญาผู้ประมวลผลข้อมูลมีหน้าที่ในการลบหรือทำลายข้อมูลส่วนบุคคลทั้งหมดที่ได้เก็บไว้เพื่อการดำเนินการภายใต้สัญญา เว้นแต่ข้อมูลดังกล่าวมีกฎหมายกำหนดไว้ให้ผู้ประมวลผลข้อมูลต้องทำการจัดเก็บไว้หลังจากสิ้นสุดสัญญาการให้บริการประมวลผลข้อมูล
เมื่อพิจารณาจากเนื้อหาของ DPA จะเห็นได้ว่าทั้งผู้ให้บริการประมวลผลข้อมูลส่วนบุคคลและผู้ควบคุมข้อมูลส่วนบุคคลต่างมีหน้าที่และความรับผิดชอบในการจัดทำมาตรการที่เหมาะสมด้านความปลอดภัย ในการเก็บรวบรวม ใช้ ประมวลผลข้อมูล และการเข้าถึงข้อมูลด้วยเพื่อป้องกัน Data Breach ต่าง ๆ ที่อาจเกิดขึ้น ซึ่งในโอกาสหน้าผู้เขียนจะนำเรื่อง “มาตรการความปลอดภัยเกี่ยวกับข้อมูลส่วนบุคคล” มาเล่าสู่กันฟังอีกครั้งครับ
…
ศุภวัชร์ มาลานนท์
คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์
ชิโนภาส อุดมผล
Optimum Solution Defined (OSDCo., Ltd.)