PDPA กับสัญญาธุรกิจ: คู่มือปฏิบัติสำหรับผู้ประกอบการไทย

เดือนมิถุนายน 2565 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (PDPA) มีผลบังคับใช้เต็มรูปแบบ ตั้งแต่นั้นมาสามปีกว่า สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้ออกประกาศ แนวปฏิบัติ และคำสั่งทางปกครองหลายฉบับ แต่ผู้ประกอบการไทยจำนวนมากยังคงมองว่า PDPA เป็น "เรื่องของฝ่าย IT" หรือ "เรื่องของ Privacy Policy บนเว็บไซต์" โดยไม่ตระหนักว่ากฎหมายนี้ส่งผลกระทบโดยตรงต่อ สัญญาธุรกิจแทบทุกฉบับ ที่บริษัทเซ็นทุกวัน

สัญญาจ้างพนักงาน สัญญาจ้างผู้รับเหมา สัญญากับผู้ขายระบบ สัญญาบริการลูกค้า ข้อตกลง NDA หรือแม้กระทั่งสัญญาเช่าสำนักงานที่มีระบบ CCTV ล้วนเกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลทั้งสิ้น สัญญาที่ไม่มีข้อกำหนดด้าน PDPA ที่เพียงพอไม่ใช่แค่ "ไม่ครบถ้วน" แต่อาจทำให้ธุรกิจเผชิญโทษปรับทางปกครองสูงสุด 5 ล้านบาท โทษทางแพ่งที่ไม่จำกัดจำนวน และโทษทางอาญาที่รวมถึงจำคุกสูงสุด 1 ปี

บทความนี้จะเป็น Compliance Roadmap ที่พาผู้ประกอบการไทยเดินผ่านทุกขั้นตอน ตั้งแต่ทำความเข้าใจว่าสัญญาประเภทไหนต้องมีข้อกำหนด PDPA ไปจนถึงวิธีร่างข้อสัญญาที่สอดคล้องกับกฎหมายและแนวปฏิบัติของ สคส.

ขั้นตอนที่ 1: ทำความเข้าใจบทบาทตามกฎหมาย — คุณคือ "ผู้ควบคุม" หรือ "ผู้ประมวลผล"?

ก่อนจะเขียนหรือแก้ไขสัญญาใดๆ ผู้ประกอบการต้องเข้าใจก่อนว่าตนเองมีสถานะทางกฎหมายอะไรในแต่ละความสัมพันธ์ทางธุรกิจ PDPA แบ่งบทบาทออกเป็นสองประเภทหลัก

ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ตามมาตรา 6 คือผู้มีอำนาจตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ถ้าบริษัทของคุณเป็นฝ่ายกำหนดว่าจะเก็บข้อมูลอะไร เก็บจากใคร เก็บเพื่ออะไร คุณคือผู้ควบคุมข้อมูล

ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ตามมาตรา 6 คือผู้ที่ดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งของผู้ควบคุมข้อมูล ถ้าบริษัทของคุณรับจ้างประมวลผลข้อมูลตามที่ลูกค้ากำหนด คุณคือผู้ประมวลผลข้อมูล

ตัวอย่างในทางปฏิบัติ: บริษัท A จ้างบริษัท B ให้ทำระบบ Payroll สำหรับพนักงาน บริษัท A เป็นผู้ควบคุมข้อมูล (เพราะเป็นเจ้าของข้อมูลพนักงานและกำหนดว่าจะประมวลผลอะไร) ส่วนบริษัท B เป็นผู้ประมวลผลข้อมูล (เพราะประมวลผลตามที่บริษัท A สั่ง) สัญญาระหว่างบริษัท A กับ B จึงต้องเป็น ข้อตกลงประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement หรือ DPA) ตามที่มาตรา 40 กำหนด

สิ่งที่ต้องทำ: ทบทวนความสัมพันธ์ทางธุรกิจทุกรายการ จัดหมวดหมู่ว่าแต่ละความสัมพันธ์คุณเป็นผู้ควบคุมหรือผู้ประมวลผล บันทึกไว้เป็น Data Flow Map เพราะนี่คือจุดเริ่มต้นของการร่างสัญญาที่ถูกต้อง

ขั้นตอนที่ 2: ระบุสัญญาที่ต้องมีข้อกำหนด PDPA

ไม่ใช่แค่สัญญาที่เกี่ยวข้องกับ "ข้อมูลลูกค้า" เท่านั้นที่ต้องมีข้อกำหนด PDPA ต่อไปนี้คือสัญญา 5 ประเภทหลักที่ผู้ประกอบการไทยต้องทบทวน

2.1 สัญญาจ้างงาน (Employment Contract)

นายจ้างเป็นผู้ควบคุมข้อมูลของพนักงานทุกคน ตั้งแต่ข้อมูลในใบสมัครงาน ข้อมูลเงินเดือน ข้อมูลสุขภาพจากการตรวจสุขภาพประจำปี ไปจนถึงข้อมูลชีวภาพจากระบบสแกนลายนิ้วมือ (ซึ่งเป็น "ข้อมูลอ่อนไหว" ตามมาตรา 26)

สิ่งที่ต้องเพิ่มในสัญญาจ้างงาน:

• วัตถุประสงค์ในการเก็บข้อมูลแต่ละประเภท (มาตรา 21)
• ฐานทางกฎหมายที่ใช้ เช่น ฐานสัญญา (มาตรา 24(3)) สำหรับข้อมูลที่จำเป็นต่อการจ้างงาน หรือฐานความยินยอม (มาตรา 19) สำหรับข้อมูลอ่อนไหว
• ระยะเวลาการเก็บรักษาข้อมูลหลังพ้นสภาพการเป็นพนักงาน
• สิทธิของพนักงานในฐานะเจ้าของข้อมูล (มาตรา 30-36) เช่น สิทธิในการเข้าถึง สิทธิในการแก้ไข สิทธิในการลบ สิทธิในการคัดค้าน
• การเปิดเผยข้อมูลแก่บุคคลที่สาม (เช่น บริษัทประกัน กองทุนสำรองเลี้ยงชีพ)

2.2 สัญญาผู้ขาย/ผู้ให้บริการ (Vendor Agreement)

เมื่อบริษัทจ้างผู้ให้บริการภายนอกที่ต้องเข้าถึงหรือประมวลผลข้อมูลส่วนบุคคล เช่น ผู้ให้บริการ Cloud, บริษัทบัญชี, บริษัทรักษาความปลอดภัย (ที่ใช้ CCTV), บริษัทจัดทำเงินเดือน หรือเอเจนซี่การตลาดที่จัดการข้อมูลลูกค้า สัญญาเหล่านี้ต้องมี ข้อกำหนดผู้ประมวลผลข้อมูล ตามมาตรา 40

สิ่งที่ต้องเพิ่ม:

• ขอบเขตและวัตถุประสงค์การประมวลผลที่ชัดเจน
• ข้อห้ามการนำข้อมูลไปใช้นอกเหนือจากที่กำหนดในสัญญา
• มาตรการรักษาความปลอดภัยที่ผู้ประมวลผลต้องจัดให้มี (มาตรา 40(2))
• การแจ้งเหตุละเมิดข้อมูลส่วนบุคคล (Data Breach Notification) ตามมาตรา 37(4)
• เงื่อนไขการจ้างผู้ประมวลผลช่วง (Sub-processor) ตามมาตรา 40(3)
• ข้อกำหนดการลบหรือส่งคืนข้อมูลเมื่อสัญญาสิ้นสุด

2.3 สัญญาบริการลูกค้า (Customer Service Agreement / Terms of Service)

ถ้าธุรกิจของคุณเก็บข้อมูลลูกค้า (ชื่อ ที่อยู่ เบอร์โทร อีเมล ประวัติการซื้อ) ข้อกำหนดในสัญญาบริการหรือ Terms of Service ต้องสะท้อนการปฏิบัติตาม PDPA ถึงแม้ว่าหลายธุรกิจจะแยก Privacy Policy ออกมาเป็นเอกสารต่างหาก แต่สัญญาบริการหลักยังคงต้องมีข้อกำหนดที่อ้างอิงถึง Privacy Policy และระบุสิทธิหน้าที่ของทั้งสองฝ่ายเกี่ยวกับข้อมูลส่วนบุคคล

สิ่งที่ต้องเพิ่ม:

• การอ้างอิง Privacy Notice/Policy ให้เป็นส่วนหนึ่งของสัญญา
• ฐานทางกฎหมายในการประมวลผล (ส่วนใหญ่ใช้ฐานสัญญาตามมาตรา 24(3) หรือฐานประโยชน์โดยชอบด้วยกฎหมายตามมาตรา 24(5))
• วัตถุประสงค์การประมวลผลที่เฉพาะเจาะจง ไม่ใช้ถ้อยคำกว้างๆ อย่าง "เพื่อวัตถุประสงค์ทางธุรกิจทั่วไป"
• กลไกให้ลูกค้าใช้สิทธิของเจ้าของข้อมูล

2.4 ข้อตกลงประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement — DPA)

DPA เป็นเอกสารสำคัญที่สุดภายใต้ PDPA สำหรับธุรกิจที่มีผู้ประมวลผลข้อมูลภายนอก มาตรา 40 กำหนดอย่างชัดเจนว่า ผู้ควบคุมข้อมูลต้องจัดให้มี ข้อตกลงระหว่างกันเป็นลายลักษณ์อักษร กับผู้ประมวลผลข้อมูล ซึ่งกำหนดวัตถุประสงค์ ลักษณะ ประเภทข้อมูล ระยะเวลา สิทธิและหน้าที่ มาตรการรักษาความปลอดภัย และเงื่อนไขอื่นตามที่กฎหมายกำหนด

DPA จะกล่าวถึงรายละเอียดในขั้นตอนที่ 3

2.5 สัญญาร่วมทุน / พันธมิตรธุรกิจ (Joint Venture / Partnership Agreement)

เมื่อสองบริษัทขึ้นไปร่วมกันดำเนินกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคล เช่น แคมเปญการตลาดร่วม ระบบสมาชิกร่วม หรือโปรแกรม Loyalty ข้ามแบรนด์ แต่ละฝ่ายอาจมีสถานะเป็น ผู้ควบคุมข้อมูลร่วม (Joint Controllers) สัญญาต้องระบุให้ชัดเจนว่าฝ่ายไหนรับผิดชอบหน้าที่ PDPA อะไร เช่น ใครเป็นผู้แจ้งเจ้าของข้อมูล ใครจัดการคำร้องใช้สิทธิ ใครรับผิดชอบมาตรการรักษาความปลอดภัย

ขั้นตอนที่ 3: ร่างข้อตกลงประมวลผลข้อมูลส่วนบุคคล (DPA) ที่ครบถ้วน

DPA ที่สอดคล้องกับมาตรา 40 และประกาศ สคส. ต้องมีองค์ประกอบอย่างน้อยดังต่อไปนี้

3.1 ขอบเขตและวัตถุประสงค์การประมวลผล

ระบุให้ชัดว่าผู้ประมวลผลจะทำอะไรกับข้อมูล ไม่ใช่แค่ "ประมวลผลข้อมูลตามที่จำเป็น" แต่ต้องระบุเจาะจง เช่น "ประมวลผลข้อมูลชื่อ-นามสกุล เลขบัตรประชาชน และข้อมูลเงินเดือนของพนักงานผู้ควบคุมข้อมูล เพื่อวัตถุประสงค์ในการจัดทำเงินเดือนและนำส่งภาษีหัก ณ ที่จ่าย"

3.2 ประเภทข้อมูลส่วนบุคคลและกลุ่มเจ้าของข้อมูล

แนบรายการ (Schedule) ที่ระบุว่า:

• ข้อมูลส่วนบุคคลประเภทไหนบ้างที่จะถูกประมวลผล (ข้อมูลระบุตัวตน ข้อมูลติดต่อ ข้อมูลการเงิน ข้อมูลอ่อนไหว ฯลฯ)
• กลุ่มเจ้าของข้อมูลเป็นใคร (พนักงาน ลูกค้า ผู้ใช้บริการ คู่ค้า)
• ปริมาณข้อมูลโดยประมาณ

3.3 หน้าที่ของผู้ประมวลผลข้อมูล

มาตรา 40 วรรคหนึ่ง กำหนดว่าผู้ประมวลผลต้องดำเนินการตามคำสั่งของผู้ควบคุมข้อมูลเท่านั้น DPA ต้องระบุหน้าที่อย่างน้อย:

• ประมวลผลเฉพาะตามคำสั่งเป็นลายลักษณ์อักษรจากผู้ควบคุมข้อมูล
• จัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสม (มาตรา 40(2) ประกอบกับมาตรา 37(1))
• แจ้งผู้ควบคุมข้อมูลทันทีเมื่อทราบว่ามีเหตุการณ์ละเมิดข้อมูลส่วนบุคคล
• ไม่ว่าจ้างผู้ประมวลผลช่วง (Sub-processor) โดยไม่ได้รับอนุญาตเป็นลายลักษณ์อักษร (มาตรา 40(3))
• ให้ความร่วมมือในการตรวจสอบ (Audit) โดยผู้ควบคุมข้อมูลหรือผู้ตรวจสอบที่ได้รับมอบหมาย
• ลบหรือส่งคืนข้อมูลทั้งหมดเมื่อสัญญาสิ้นสุด ตามที่ผู้ควบคุมข้อมูลเลือก

3.4 มาตรการรักษาความปลอดภัย

มาตรา 37(1) กำหนดให้ผู้ควบคุมข้อมูลจัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสม ซึ่งครอบคลุมมาตรการทางเทคนิค (Technical Measures) และมาตรการทางองค์กร (Organizational Measures) DPA ควรระบุมาตรการขั้นต่ำ เช่น:

• การเข้ารหัสข้อมูล (Encryption) ทั้ง at rest และ in transit
• การควบคุมการเข้าถึง (Access Control) ตามหลัก Least Privilege
• การบันทึกล็อกการเข้าถึงข้อมูล (Access Log)
• การทดสอบความปลอดภัยเป็นระยะ (Penetration Testing)
• แผนรับมือเหตุการณ์ละเมิดข้อมูล (Incident Response Plan)

3.5 การแจ้งเหตุละเมิดข้อมูล (Data Breach Notification)

มาตรา 37(4) กำหนดให้ผู้ควบคุมข้อมูลแจ้งเหตุละเมิดต่อ สคส. ภายใน 72 ชั่วโมงนับแต่ทราบ DPA ต้องกำหนดว่าผู้ประมวลผลต้องแจ้งผู้ควบคุมข้อมูลภายในกี่ชั่วโมง (แนะนำไม่เกิน 24 ชั่วโมง เพื่อให้ผู้ควบคุมมีเวลาเพียงพอในการแจ้ง สคส. ภายใน 72 ชั่วโมง) โดยข้อมูลที่ต้องแจ้งอย่างน้อยคือ:

• ลักษณะของเหตุละเมิด
• ประเภทและจำนวนข้อมูลที่ได้รับผลกระทบ
• จำนวนเจ้าของข้อมูลที่ได้รับผลกระทบ
• มาตรการเยียวยาที่ได้ดำเนินการแล้วและที่จะดำเนินการ

3.6 ระยะเวลาและเงื่อนไขเมื่อสัญญาสิ้นสุด

ระบุว่า DPA มีผลบังคับใช้ตราบเท่าที่ผู้ประมวลผลยังครอบครองข้อมูลส่วนบุคคล ไม่ใช่แค่ตราบเท่าที่สัญญาหลักยังมีผล เมื่อสัญญาสิ้นสุด ผู้ประมวลผลต้องลบข้อมูลภายในระยะเวลาที่กำหนด (เช่น 30 วัน) และจัดส่งหลักฐานการลบให้ผู้ควบคุมข้อมูล

ขั้นตอนที่ 4: จัดการข้อมูลอ่อนไหว (Sensitive Data) ในสัญญาให้ถูกต้อง

มาตรา 26 กำหนดให้ข้อมูลบางประเภทเป็น "ข้อมูลอ่อนไหว" ซึ่งมีกฎเกณฑ์ที่เข้มงวดกว่าข้อมูลส่วนบุคคลทั่วไป ข้อมูลเหล่านี้รวมถึง:

• เชื้อชาติ เผ่าพันธุ์
• ความคิดเห็นทางการเมือง
• ศาสนาหรือปรัชญา
• พฤติกรรมทางเพศ
• ประวัติอาชญากรรม
• ข้อมูลสุขภาพ
• ข้อมูลสหภาพแรงงาน
• ข้อมูลพันธุกรรม
• ข้อมูลชีวภาพ (Biometric Data) เช่น ลายนิ้วมือ ใบหน้า ม่านตา

ในทางปฏิบัติ ธุรกิจไทยจำนวนมากเก็บข้อมูลอ่อนไหวโดยไม่รู้ตัว ระบบสแกนลายนิ้วมือเข้า-ออกงาน (ข้อมูลชีวภาพ) ใบรับรองแพทย์ประจำปี (ข้อมูลสุขภาพ) หรือสำเนาทะเบียนบ้านที่ระบุเชื้อชาติ ล้วนเป็นข้อมูลอ่อนไหวทั้งสิ้น

ผลต่อสัญญา: สัญญาที่เกี่ยวข้องกับข้อมูลอ่อนไหวต้องมีข้อกำหนดเพิ่มเติม:

• ระบุฐานทางกฎหมายตามมาตรา 26 สำหรับข้อมูลอ่อนไหวแต่ละประเภทโดยเฉพาะ (เช่น ความยินยอมโดยชัดแจ้ง หรือฐานความจำเป็นตามกฎหมายแรงงาน)
• กำหนดมาตรการรักษาความปลอดภัยที่เข้มงวดกว่าข้อมูลทั่วไป
• จำกัดการเข้าถึงเฉพาะบุคคลที่จำเป็นต้องรู้ (Need-to-know basis)
• ระบุระยะเวลาเก็บรักษาที่สั้นกว่าข้อมูลทั่วไป (เท่าที่จำเป็น)

ขั้นตอนที่ 5: ปฏิบัติตามกฎเกณฑ์การโอนข้อมูลข้ามประเทศ

หมวด 3 ของ PDPA (มาตรา 28-29) กำหนดเงื่อนไขการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ซึ่งเป็นเรื่องที่ผู้ประกอบการไทยต้องให้ความสำคัญอย่างยิ่ง โดยเฉพาะในยุคที่ธุรกิจใช้บริการ Cloud จากต่างประเทศเป็นเรื่องปกติ

เมื่อไหร่ที่ถือว่า "โอนข้อมูลข้ามประเทศ"?

• ใช้ AWS, Google Cloud หรือ Azure ที่มี Server ในต่างประเทศ
• ใช้ SaaS จากต่างประเทศที่เก็บข้อมูลนอกไทย (เช่น Salesforce, HubSpot, Slack)
• ส่งข้อมูลพนักงานไปยังบริษัทแม่ในต่างประเทศ
• จ้างบริษัทต่างชาติทำ Customer Support ที่เข้าถึงข้อมูลลูกค้าไทย
• ใช้ระบบ Cloud Payroll ที่ประมวลผลข้อมูลเงินเดือนนอกประเทศ

เงื่อนไขที่กฎหมายกำหนด

มาตรา 28 กำหนดว่าประเทศปลายทางต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ (Adequate Level of Protection) ณ ปัจจุบัน สคส. ยังไม่ได้ประกาศรายชื่อประเทศที่มีมาตรฐานเพียงพออย่างเป็นทางการ ทำให้ผู้ประกอบการต้องพิจารณาข้อยกเว้นตามมาตรา 28 และมาตรา 29 ได้แก่:

1. ความยินยอม — เจ้าของข้อมูลให้ความยินยอมหลังจากได้รับแจ้งว่าประเทศปลายทางอาจมีมาตรฐานไม่เพียงพอ (มาตรา 28 วรรคหนึ่ง (1))
2. ความจำเป็นตามสัญญา — จำเป็นเพื่อปฏิบัติตามสัญญาที่เจ้าของข้อมูลเป็นคู่สัญญา (มาตรา 28 วรรคหนึ่ง (2))
3. มาตรการคุ้มครองที่เหมาะสม — ผู้ควบคุมข้อมูลจัดให้มีมาตรการคุ้มครองที่เหมาะสม เช่น Binding Corporate Rules (BCR) หรือ Standard Contractual Clauses (SCC) (มาตรา 29)

ผลต่อสัญญา: สัญญากับผู้ให้บริการต่างประเทศต้องมีข้อกำหนดเพิ่มเติม:

• ระบุว่าข้อมูลจะถูกโอนไปยังประเทศใดและเซิร์ฟเวอร์ตั้งอยู่ที่ไหน
• แนบ Standard Contractual Clauses ที่กำหนดภาระหน้าที่ด้านการคุ้มครองข้อมูล
• ระบุสิทธิของผู้ควบคุมข้อมูลในการตรวจสอบมาตรการรักษาความปลอดภัยของผู้รับข้อมูลปลายทาง
• กำหนดให้ผู้รับข้อมูลแจ้งทันทีหากมีการเปลี่ยนแปลงที่ตั้งเซิร์ฟเวอร์หรือมีคำสั่งจากหน่วยงานต่างประเทศให้เปิดเผยข้อมูล

ขั้นตอนที่ 6: ทำความเข้าใจบทลงโทษเพื่อประเมินความเสี่ยง

การรู้บทลงโทษไม่ใช่เรื่องที่ต้องตกใจ แต่เป็นข้อมูลที่จำเป็นสำหรับการประเมินความเสี่ยงทางธุรกิจและจัดลำดับความสำคัญในการปรับปรุงสัญญา

โทษทางปกครอง (มาตรา 90-91)

สคส. มีอำนาจสั่งปรับทางปกครองสูงสุด 5 ล้านบาท สำหรับการฝ่าฝืนที่เกี่ยวข้องกับสัญญาโดยตรง เช่น:

• ไม่จัดทำข้อตกลงประมวลผลข้อมูล (DPA) กับผู้ประมวลผล (ฝ่าฝืนมาตรา 40) — ปรับสูงสุด 3 ล้านบาท
• ไม่จัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสม (ฝ่าฝืนมาตรา 37(1)) — ปรับสูงสุด 3 ล้านบาท
• ไม่แจ้งเหตุละเมิดข้อมูล (ฝ่าฝืนมาตรา 37(4)) — ปรับสูงสุด 3 ล้านบาท
• โอนข้อมูลข้ามประเทศโดยไม่ปฏิบัติตามเงื่อนไข (ฝ่าฝืนมาตรา 28-29) — ปรับสูงสุด 5 ล้านบาท

โทษทางแพ่ง (มาตรา 77-78)

เจ้าของข้อมูลที่ได้รับความเสียหายจากการฝ่าฝืน PDPA สามารถฟ้องเรียกค่าเสียหายจากผู้ควบคุมข้อมูลและ/หรือผู้ประมวลผลข้อมูล ที่สำคัญคือ ศาลอาจกำหนดค่าสินไหมทดแทนเชิงลงโทษ (Punitive Damages) ได้สูงถึง 2 เท่าของค่าเสียหายจริง (มาตรา 78) และคดีใช้หลัก ภาระการพิสูจน์กลับ (Reverse Burden of Proof) ตามมาตรา 77 วรรคสอง หมายความว่าผู้ควบคุมข้อมูลต้องพิสูจน์ว่าตนเองไม่ได้กระทำผิด ไม่ใช่เจ้าของข้อมูลต้องพิสูจน์ว่าถูกละเมิด

โทษทางอาญา (มาตรา 79)

กรณีร้ายแรง เช่น ใช้ข้อมูลอ่อนไหวโดยไม่ชอบด้วยกฎหมายจนทำให้เจ้าของข้อมูลเสียหาย มีโทษจำคุกสูงสุด 6 เดือนถึง 1 ปี หรือปรับ 500,000 ถึง 1 ล้านบาท หรือทั้งจำทั้งปรับ

ข้อสำคัญ: กรรมการ ผู้จัดการ หรือบุคคลซึ่งรับผิดชอบในการดำเนินงานของนิติบุคคล อาจต้องรับโทษเป็นการส่วนตัวด้วย ตามมาตรา 88

ขั้นตอนที่ 7: วาง Action Plan สำหรับทบทวนสัญญาทั้งหมด

การปรับปรุงสัญญาให้สอดคล้องกับ PDPA ไม่ใช่สิ่งที่ทำได้ในวันเดียว แต่เป็นกระบวนการที่ต้องวางแผนอย่างเป็นระบบ ต่อไปนี้คือ Action Plan ที่แนะนำ

สัปดาห์ที่ 1-2: สำรวจและจัดลำดับ

• รวบรวมสัญญาทุกฉบับที่บริษัทเป็นคู่สัญญาอยู่ในปัจจุบัน
• จัดหมวดหมู่ว่าสัญญาไหนเกี่ยวข้องกับข้อมูลส่วนบุคคล
• ระบุบทบาท (ผู้ควบคุม/ผู้ประมวลผล) ในแต่ละสัญญา
• จัดลำดับความเสี่ยง (สัญญาที่เกี่ยวข้องกับข้อมูลอ่อนไหวหรือข้อมูลจำนวนมากมาก่อน)

สัปดาห์ที่ 3-4: ร่าง DPA และข้อสัญญา PDPA

• ร่าง DPA Template สำหรับใช้กับผู้ประมวลผลข้อมูลทุกราย
• ร่างข้อสัญญา PDPA มาตรฐานสำหรับเพิ่มในสัญญาจ้างงาน สัญญาผู้ขาย และสัญญาบริการ
• ให้ทนายความหรือที่ปรึกษาด้าน PDPA ตรวจสอบ Template

สัปดาห์ที่ 5-8: ปรับปรุงสัญญาที่มีอยู่

• เริ่มจากสัญญาที่มีความเสี่ยงสูงสุด
• เจรจากับคู่สัญญาเพื่อเพิ่ม Addendum หรือ Amendment ด้าน PDPA
• ทำ DPA กับผู้ประมวลผลข้อมูลทุกราย

ระยะยาว: ปรับเป็น Standard Practice

• กำหนดให้สัญญาทุกฉบับที่ร่างใหม่ต้องผ่านการ Review ด้าน PDPA
• ทบทวนสัญญาเดิมทุก 12 เดือนเพื่อให้สอดคล้องกับประกาศใหม่ของ สคส.
• ฝึกอบรมทีมที่เกี่ยวข้อง (ฝ่ายจัดซื้อ HR ฝ่ายขาย) ให้เข้าใจความจำเป็นของข้อสัญญา PDPA

ตัวอย่างข้อสัญญาที่ใช้ได้จริง

เพื่อให้เห็นภาพในทางปฏิบัติ ต่อไปนี้คือตัวอย่างข้อสัญญาสำคัญที่สามารถนำไปปรับใช้ได้ (ปรับแต่งรายละเอียดให้เหมาะกับธุรกิจของคุณ)

ข้อสัญญาในสัญญาจ้างงาน

"ข้อ X. การคุ้มครองข้อมูลส่วนบุคคล

บริษัทในฐานะผู้ควบคุมข้อมูลส่วนบุคคลจะเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของพนักงานเท่าที่จำเป็นเพื่อวัตถุประสงค์ในการบริหารจัดการสัญญาจ้าง การจ่ายค่าตอบแทนและสวัสดิการ การปฏิบัติตามกฎหมายแรงงาน ภาษี และประกันสังคม ตามนโยบายความเป็นส่วนตัวของบริษัทซึ่งแนบท้ายสัญญานี้เป็นส่วนหนึ่งของสัญญา พนักงานมีสิทธิตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ในการเข้าถึง แก้ไข ลบ จำกัดการประมวลผล คัดค้าน และขอให้โอนย้ายข้อมูลส่วนบุคคลของตน โดยยื่นคำร้องผ่านช่องทางที่บริษัทกำหนด"

ข้อสัญญาหลักใน DPA

"ข้อ Y. หน้าที่ของผู้ประมวลผลข้อมูล

ผู้ประมวลผลตกลงจะ (1) ประมวลผลข้อมูลส่วนบุคคลเฉพาะตามคำสั่งเป็นลายลักษณ์อักษรของผู้ควบคุมข้อมูลเท่านั้น (2) จัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสมตามที่ระบุใน ภาคผนวก ก (3) แจ้งผู้ควบคุมข้อมูลภายใน 24 ชั่วโมงนับแต่ทราบว่ามีเหตุละเมิดข้อมูลส่วนบุคคลหรือสงสัยว่ามี (4) ไม่จ้างผู้ประมวลผลช่วงโดยไม่ได้รับอนุญาตเป็นลายลักษณ์อักษรจากผู้ควบคุมข้อมูลก่อน (5) ให้ความร่วมมือในการตรวจสอบโดยผู้ควบคุมข้อมูลหรือผู้ตรวจสอบที่ได้รับมอบหมาย และ (6) ลบหรือส่งคืนข้อมูลส่วนบุคคลทั้งหมดภายใน 30 วันนับแต่สัญญาหลักสิ้นสุด พร้อมจัดส่งหลักฐานการลบแก่ผู้ควบคุมข้อมูล"

ข้อสัญญาเรื่องการโอนข้อมูลข้ามประเทศ

"ข้อ Z. การโอนข้อมูลข้ามประเทศ

ผู้ประมวลผลรับทราบว่าข้อมูลส่วนบุคคลภายใต้ข้อตกลงนี้อาจถูกโอนไปยังเซิร์ฟเวอร์ที่ตั้งอยู่ใน [ระบุประเทศ] ผู้ประมวลผลตกลงจะ (1) ปฏิบัติตามมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลไม่ต่ำกว่าพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (2) ไม่โอนข้อมูลไปยังประเทศอื่นนอกเหนือจากที่ระบุโดยไม่ได้รับอนุญาตเป็นลายลักษณ์อักษร (3) แจ้งผู้ควบคุมข้อมูลทันทีหากได้รับคำสั่งจากหน่วยงานกำกับดูแลต่างประเทศให้เปิดเผยข้อมูล และ (4) จัดให้มีมาตรการคุ้มครองเพิ่มเติมตามที่ระบุใน Standard Contractual Clauses ซึ่งแนบท้ายข้อตกลงนี้"

สิ่งที่ผู้ประกอบการมักมองข้าม

จากประสบการณ์ที่พบในตลาด มีหลายประเด็นที่ผู้ประกอบการไทยมักมองข้ามเมื่อทบทวนสัญญาด้าน PDPA

มองข้ามสัญญาเดิมที่ทำไว้ก่อน PDPA มีผลบังคับ — สัญญาที่เซ็นไว้ก่อนปี 2565 ไม่ได้รับการยกเว้นจาก PDPA สัญญาเหล่านั้นต้องได้รับการปรับปรุงด้วย Addendum เช่นกัน

ไม่แยก Privacy Notice กับ Consent Form — Privacy Notice (การแจ้งข้อมูลเจ้าของข้อมูลตามมาตรา 23) เป็นหน้าที่ที่ต้องทำเสมอ ส่วน Consent Form จำเป็นเฉพาะเมื่อใช้ฐานความยินยอม ผู้ประกอบการหลายรายขอ Consent ทุกอย่างโดยไม่จำเป็น ทำให้เกิดภาระการจัดการ Consent Withdrawal ที่ไม่จำเป็น

ไม่มี DPA กับผู้ให้บริการ SaaS — การใช้ซอฟต์แวร์ Cloud ต่างประเทศโดยไม่มี DPA ถือเป็นการฝ่าฝืนมาตรา 40 ถึงแม้ผู้ให้บริการจะมี Terms of Service ที่ระบุเรื่อง Data Protection แต่อาจไม่ครบถ้วนตามที่ PDPA กำหนด ผู้ประกอบการควรตรวจสอบว่า ToS ของผู้ให้บริการมีเนื้อหาครอบคลุม DPA ตามมาตรา 40 หรือไม่ หรือต้องร้องขอ DPA แยกต่างหาก

ไม่ทบทวนเมื่อมีประกาศใหม่ — สคส. ออกประกาศและแนวปฏิบัติเพิ่มเติมเป็นระยะ สัญญาที่สอดคล้องกับกฎหมายวันนี้อาจไม่เพียงพอเมื่อมีประกาศใหม่ ควรตั้งปฏิทินทบทวนอย่างน้อยปีละครั้ง

เริ่มต้นตรวจสอบสัญญาของคุณวันนี้

การปฏิบัติตาม PDPA ในส่วนที่เกี่ยวกับสัญญาธุรกิจไม่ใช่เรื่องที่ซับซ้อนเกินไป แต่ต้องการความเป็นระบบและความละเอียดรอบคอบ ขั้นตอนทั้ง 7 ที่กล่าวมา ตั้งแต่การระบุบทบาท จัดหมวดหมู่สัญญา ร่าง DPA จัดการข้อมูลอ่อนไหว ดูแลการโอนข้อมูลข้ามประเทศ เข้าใจบทลงโทษ ไปจนถึงวาง Action Plan คือกรอบปฏิบัติที่ครอบคลุมสำหรับผู้ประกอบการไทยทุกขนาด

สำหรับธุรกิจที่มีสัญญาจำนวนมากและต้องการความรวดเร็วในการตรวจสอบ เครื่องมืออย่าง AiDocX สามารถช่วยวิเคราะห์สัญญาที่มีอยู่เพื่อระบุว่าฉบับไหนขาดข้อกำหนด PDPA ที่จำเป็น ช่วยให้จัดลำดับความสำคัญในการปรับปรุงได้เร็วขึ้น

สิ่งสำคัญคือ อย่ารอให้ สคส. มีคำสั่งทางปกครองถึงธุรกิจของคุณก่อนแล้วค่อยเริ่ม การลงมือปรับปรุงสัญญาตั้งแต่วันนี้ไม่ใช่แค่การปฏิบัติตามกฎหมาย แต่เป็นการสร้างความน่าเชื่อถือให้แก่ธุรกิจ ลดความเสี่ยงทางกฎหมาย และปกป้องทั้งบริษัทและบุคคลที่มอบข้อมูลให้คุณดูแล