เมื่อ SME จ้าง Vendor ภายนอกให้ประมวลผลข้อมูลส่วนบุคคลของลูกค้า เช่น ระบบ CRM หรือบริการส่ง SMS ต้องทำสัญญาผู้ประมวลผลข้อมูล (Data Processing Agreement หรือ DPA) ตามกฎหมาย PDPA เพื่อกำหนดขอบเขตความรับผิดชอบให้ชัดเจน

ธุรกิจ SME จำนวนมากใช้บริการ Vendor ภายนอกเพื่อจัดการงานที่เกี่ยวข้องกับข้อมูลลูกค้า เช่น ระบบบริหารความสัมพันธ์ลูกค้า (CRM) ผู้ให้บริการส่ง SMS หรืออีเมลการตลาด บริษัทเก็บข้อมูลบนคลาวด์ หรือบริษัทรับจ้างทำบัญชีเงินเดือน ภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ธุรกิจในฐานะผู้ควบคุมข้อมูล (Data Controller) มีหน้าที่ต้องทำสัญญากับ Vendor เหล่านี้ในฐานะผู้ประมวลผลข้อมูล (Data Processor) ให้ชัดเจน บทความนี้จะอธิบายว่าสัญญา DPA ควรมีเงื่อนไขอะไรบ้าง

DPA คืออะไร ทำไม SME ต้องมี

สัญญาผู้ประมวลผลข้อมูล หรือ Data Processing Agreement (DPA) คือข้อตกลงระหว่างผู้ควบคุมข้อมูล (เจ้าของธุรกิจ) กับผู้ประมวลผลข้อมูล (Vendor ที่รับจ้างประมวลผลข้อมูลแทน) เพื่อกำหนดขอบเขต วิธีการ และความรับผิดชอบในการประมวลผลข้อมูลส่วนบุคคลของลูกค้าให้ชัดเจน

ภายใต้ PDPA ผู้ควบคุมข้อมูลมีหน้าที่ต้องดูแลให้ Vendor ที่ตนว่าจ้างปฏิบัติตามมาตรการรักษาความปลอดภัยของข้อมูลที่เหมาะสม หากไม่มีสัญญา DPA ที่ชัดเจน ธุรกิจอาจต้องรับผิดชอบเต็มจำนวนหากข้อมูลลูกค้ารั่วไหลจากความบกพร่องของ Vendor โดยไม่มีข้อตกลงที่ระบุขอบเขตความรับผิดชอบไว้ล่วงหน้า

เงื่อนไขสำคัญที่สัญญา DPA ต้องมี

สัญญา DPA ที่ดีควรครอบคลุมประเด็นต่อไปนี้เป็นอย่างน้อย โดยควรให้ที่ปรึกษากฎหมายที่เชี่ยวชาญ PDPA ตรวจสอบก่อนลงนามจริง เนื่องจากรายละเอียดทางกฎหมายอาจต้องปรับตามลักษณะธุรกิจและประเภทข้อมูล

1. ขอบเขตและวัตถุประสงค์การประมวลผลข้อมูล

ระบุให้ชัดเจนว่า Vendor จะประมวลผลข้อมูลประเภทใดบ้าง เพื่อวัตถุประสงค์ใด และห้ามนำข้อมูลไปใช้นอกเหนือจากที่ตกลงไว้ เช่น ห้ามนำข้อมูลลูกค้าไปใช้เพื่อการตลาดของ Vendor เอง หากไม่ได้รับความยินยอม

2. ประเภทข้อมูลส่วนบุคคลที่ประมวลผล

ระบุประเภทข้อมูลที่ชัดเจน เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล หรือหากเป็นข้อมูลอ่อนไหว เช่น ข้อมูลสุขภาพ ต้องระบุแยกให้ชัดเจน เนื่องจากข้อมูลอ่อนไหวมีข้อกำหนดที่เข้มงวดกว่า

3. มาตรการรักษาความปลอดภัยของข้อมูล

กำหนดให้ Vendor ต้องมีมาตรการรักษาความปลอดภัยที่เหมาะสม เช่น การเข้ารหัสข้อมูล (Encryption) การจำกัดสิทธิ์เข้าถึงข้อมูล (Access Control) และการสำรองข้อมูล เพื่อป้องกันข้อมูลรั่วไหลหรือถูกเข้าถึงโดยไม่ได้รับอนุญาต

4. หน้าที่แจ้งเหตุการละเมิดข้อมูล

กำหนดให้ Vendor ต้องแจ้งเจ้าของธุรกิจทันทีเมื่อพบเหตุการณ์ข้อมูลรั่วไหลหรือถูกละเมิด พร้อมระยะเวลาที่ชัดเจนในการแจ้ง เพื่อให้ธุรกิจสามารถดำเนินการแจ้งหน่วยงานที่เกี่ยวข้องได้ทันภายในกรอบเวลาที่กฎหมายกำหนด

5. ข้อกำหนดเรื่องการใช้ผู้ประมวลผลข้อมูลช่วง (Sub-processor)

หาก Vendor ต้องการจ้างช่วงบริษัทอื่นมาช่วยประมวลผลข้อมูลต่อ ต้องได้รับความยินยอมจากเจ้าของธุรกิจก่อน และผู้ประมวลผลข้อมูลช่วงต้องปฏิบัติตามมาตรฐานความปลอดภัยเดียวกัน

6. สิทธิในการตรวจสอบ (Audit Right)

ธุรกิจควรมีสิทธิตรวจสอบหรือขอหลักฐานว่า Vendor ปฏิบัติตามมาตรการความปลอดภัยที่ตกลงไว้จริง เช่น ขอดูรายงานการตรวจสอบความปลอดภัยประจำปี

7. การลบหรือส่งคืนข้อมูลเมื่อสิ้นสุดสัญญา

ระบุให้ชัดเจนว่าเมื่อสิ้นสุดสัญญา Vendor ต้องลบข้อมูลทั้งหมดหรือส่งคืนข้อมูลให้เจ้าของธุรกิจ พร้อมยืนยันเป็นลายลักษณ์อักษรว่าไม่มีการเก็บสำเนาข้อมูลไว้โดยไม่ได้รับอนุญาต

ข้อผิดพลาดที่พบบ่อยเมื่อ SME ทำสัญญากับ Vendor

ในทางปฏิบัติ SME ไทยจำนวนมากยังพลาดประเด็นสำคัญเมื่อทำสัญญากับ Vendor ที่ประมวลผลข้อมูลลูกค้า

  • ใช้แค่สัญญาบริการทั่วไปโดยไม่มีข้อกำหนด PDPA เฉพาะ ทำให้ไม่มีข้อผูกมัดด้านการคุ้มครองข้อมูลชัดเจน
  • ไม่ตรวจสอบว่า Vendor เก็บข้อมูลไว้ที่ใด โดยเฉพาะกรณีเก็บข้อมูลไว้บนเซิร์ฟเวอร์ต่างประเทศ ซึ่งอาจมีข้อกำหนดเพิ่มเติมเรื่องการส่งข้อมูลออกนอกประเทศตาม PDPA
  • ไม่กำหนดระยะเวลาแจ้งเหตุข้อมูลรั่วไหลให้ชัดเจน ทำให้ธุรกิจอาจไม่ทราบเหตุการณ์ทันเวลาที่จะดำเนินการแก้ไข
  • ไม่มีเงื่อนไขเรื่องการลบข้อมูลเมื่อเลิกใช้บริการ ทำให้ข้อมูลลูกค้าอาจยังคงอยู่กับ Vendor เดิมโดยไม่มีการควบคุม

ตัวอย่างสถานการณ์: จ้าง Vendor ส่ง SMS การตลาด

สมมติร้านค้าปลีกแห่งหนึ่งจ้างบริษัทภายนอกส่ง SMS โปรโมชันให้ลูกค้าตามฐานข้อมูลเบอร์โทรศัพท์ที่มี หากไม่มีสัญญา DPA ที่ระบุชัดเจนว่า Vendor ต้องเก็บข้อมูลอย่างปลอดภัยและห้ามนำไปใช้เพื่อวัตถุประสงค์อื่น และต่อมาข้อมูลเบอร์โทรศัพท์ลูกค้ารั่วไหลจากระบบของ Vendor ร้านค้าในฐานะผู้ควบคุมข้อมูลอาจต้องรับผิดชอบต่อลูกค้าและหน่วยงานกำกับดูแลโดยไม่มีสัญญาที่ชัดเจนมาช่วยจำกัดหรือกระจายความรับผิดชอบ ดังนั้นการมีสัญญา DPA ที่รัดกุมตั้งแต่ต้นจึงช่วยลดความเสี่ยงนี้ได้อย่างมาก

คำแนะนำเชิงปฏิบัติสำหรับ SME

เพื่อให้การใช้บริการ Vendor ภายนอกเป็นไปตาม PDPA และลดความเสี่ยงทางกฎหมาย SME ควรดำเนินการดังนี้

  • จัดทำรายชื่อ Vendor ทั้งหมดที่เข้าถึงหรือประมวลผลข้อมูลลูกค้าของธุรกิจ ไม่ว่าจะเป็นระบบ CRM ผู้ให้บริการคลาวด์ หรือบริษัทรับจ้างทำบัญชี
  • ตรวจสอบว่าแต่ละ Vendor มีสัญญา DPA ที่ครอบคลุมเงื่อนไขสำคัญตามที่กล่าวมาแล้วหรือไม่
  • ให้ที่ปรึกษากฎหมายที่เชี่ยวชาญ PDPA ตรวจสอบสัญญาก่อนลงนาม โดยเฉพาะ Vendor รายใหญ่ที่เข้าถึงข้อมูลจำนวนมาก
  • ทบทวนสัญญา DPA เป็นระยะ เพื่อให้สอดคล้องกับแนวปฏิบัติและกฎหมายที่อาจปรับปรุงในอนาคต
  • จัดทำบันทึกรายการประมวลผลข้อมูล (Record of Processing Activities) ที่รวมถึงข้อมูลที่ส่งต่อให้ Vendor ด้วย

การมีสัญญา DPA ที่รัดกุมไม่เพียงช่วยให้ธุรกิจปฏิบัติตาม PDPA อย่างถูกต้อง แต่ยังเป็นเครื่องมือสำคัญในการปกป้องธุรกิจจากความเสี่ยงทางกฎหมายและความเสียหายต่อชื่อเสียงหากเกิดเหตุข้อมูลรั่วไหลจาก Vendor ในอนาคต

ใช้บทความนี้กับธุรกิจของคุณอย่างไร

เนื้อหาเรื่อง สัญญาผู้ประมวลผลข้อมูล (DPA) ต้องมีเงื่อนไขอะไรบ้าง ควรนำไปใช้ตรวจสอบกับเอกสารและตัวเลขจริงของกิจการ ไม่ใช่อ่านเพื่อจำคำศัพท์ เพราะแนวทางบัญชีและภาษีขึ้นกับข้อเท็จจริง เอกสาร และรอบเวลาที่เกิดรายการของแต่ละธุรกิจ

เช็กลิสต์ก่อนนำไปใช้

  • รวบรวมเอกสารรายรับ รายจ่าย ภาษีซื้อ-ขาย และรายการธนาคารให้ครบตามรอบเดือน
  • ตรวจว่าธุรกรรมที่เกี่ยวข้องบันทึกบัญชีถูกต้องและมีหลักฐานรองรับครบถ้วน
  • หากไม่แน่ใจเรื่องภาษี ควรปรึกษาผู้ทำบัญชีหรือที่ปรึกษาภาษีก่อนตัดสินใจ

แหล่งอ้างอิงที่ใช้ทบทวน

คำถามที่พบบ่อย (FAQ)

ธุรกิจขนาดเล็กที่ใช้ Vendor แค่ 1-2 รายต้องทำ DPA หรือไม่?

ควรทำแม้จะใช้ Vendor เพียงรายเดียว เพราะตราบใดที่ Vendor นั้นเข้าถึงหรือประมวลผลข้อมูลส่วนบุคคลของลูกค้า ธุรกิจในฐานะผู้ควบคุมข้อมูลมีหน้าที่ตาม PDPA ที่ต้องกำหนดขอบเขตความรับผิดชอบให้ชัดเจนไม่ว่าธุรกิจจะมีขนาดเล็กหรือใหญ่

หาก Vendor ปฏิเสธไม่ยอมเซ็นสัญญา DPA ควรทำอย่างไร?

ควรพิจารณาอย่างรอบคอบก่อนใช้บริการ Vendor รายนั้นต่อ เพราะการปฏิเสธเซ็น DPA อาจสะท้อนว่า Vendor ไม่มีมาตรการคุ้มครองข้อมูลที่เพียงพอ และอาจเพิ่มความเสี่ยงทางกฎหมายให้กับธุรกิจของคุณเองหากเกิดปัญหาข้อมูลรั่วไหล

สัญญา DPA กับสัญญาให้บริการทั่วไป (Service Agreement) ต่างกันอย่างไร?

สัญญาให้บริการทั่วไปเน้นเรื่องขอบเขตงาน ค่าบริการ และระยะเวลาส่งมอบ ส่วน DPA เน้นเฉพาะเรื่องการคุ้มครองข้อมูลส่วนบุคคล เช่น มาตรการความปลอดภัย การแจ้งเหตุรั่วไหล และการลบข้อมูล ซึ่งอาจแนบเป็นภาคผนวกของสัญญาหลักหรือทำแยกต่างหากก็ได้

หากข้อมูลรั่วไหลจากความผิดของ Vendor ใครต้องรับผิดชอบ?

โดยหลักการ ผู้ควบคุมข้อมูล (เจ้าของธุรกิจ) ยังคงมีหน้าที่ตามกฎหมายต่อลูกค้าและหน่วยงานกำกับดูแล แต่สามารถเรียกร้องให้ Vendor รับผิดชอบตามที่ระบุไว้ในสัญญา DPA ได้ จึงควรมีข้อกำหนดเรื่องการชดใช้ความเสียหาย (Indemnification) ไว้ในสัญญาอย่างชัดเจน

Vendor ต่างประเทศที่เก็บข้อมูลบนเซิร์ฟเวอร์นอกไทย ต้องมีเงื่อนไขพิเศษหรือไม่?

ใช่ การส่งข้อมูลส่วนบุคคลไปประมวลผลนอกประเทศไทยอาจมีข้อกำหนดเพิ่มเติมตาม PDPA เรื่องมาตรฐานการคุ้มครองข้อมูลของประเทศปลายทาง ควรปรึกษาที่ปรึกษากฎหมาย PDPA เพื่อตรวจสอบเงื่อนไขที่ถูกต้องก่อนใช้บริการ Vendor ต่างประเทศ

ต้องทบทวนสัญญา DPA บ่อยแค่ไหน?

แนะนำให้ทบทวนอย่างน้อยปีละครั้ง หรือทุกครั้งที่มีการเปลี่ยนแปลงลักษณะการใช้บริการ ประเภทข้อมูลที่ประมวลผล หรือเมื่อมีการปรับปรุงกฎหมาย PDPA เพื่อให้สัญญายังคงสอดคล้องกับสถานการณ์ปัจจุบัน

การไม่มีสัญญา DPA มีความเสี่ยงทางกฎหมายอย่างไรบ้าง?

อาจถูกพิจารณาว่าธุรกิจไม่มีมาตรการกำกับดูแลผู้ประมวลผลข้อมูลที่เหมาะสมตาม PDPA ซึ่งอาจนำไปสู่ความรับผิดทางแพ่งและโทษปกครองหากเกิดเหตุข้อมูลรั่วไหล ควรปรึกษาผู้เชี่ยวชาญ PDPA เพื่อประเมินความเสี่ยงที่แท้จริงของธุรกิจแต่ละราย