แบบสัญญาการประมวลผลข้อมูลส่วนบุคคลมาตรฐาน (DPA)

GDPR นั้นมีการกำหนดกรอบและเงื่อนไขที่ต้องมีใน DPA ไว้อย่างชัดเจน ซึ่งต่างจากพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ที่กำหนดไว้ในมาตรา 40

Cap & Corp Forum

เมื่อวันที่ 12 พฤศจิกายน 2563 ที่ผ่านมา คณะกรรมาธิการยุโรปได้เผยแพร่ “ร่างสัญญาการประมวลผลข้อมูลส่วนบุคคล” (data processing agreement, “DPA”) ซึ่งเป็นร่างสัญญามาตรฐาน (standard contractual clauses, “SCC”) เกี่ยวกับการดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลกับผู้ควบคุมข้อมูลส่วนบุคคล เพื่อควบคุมการดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามที่ GDPR กำหนด โดย GDPR มาตรา 28(7) กำหนดให้คณะกรรมาธิการยุโรปมีอำนาจในการดำเนินการดังกล่าวได้ ซึ่งขณะนี้อยู่ในระหว่างการรับฟังความเห็นสาธารณะก่อนที่จะประกาศบังคับใช้เป็นทางการต่อไป

ร่างสัญญาการประมวลผลข้อมูลส่วนบุคคลดังกล่าวมีขึ้นเพื่อสร้างมาตรฐานระหว่างผู้ควบคุมข้อมูลส่วนบุคคลกับผู้ประมวลผลข้อมูลส่วนบุคคลที่อยู่ในเขตเศรษฐกิจยุโรป และสัญญามาตรฐานสำหรับการโอนข้อมูลส่วนบุคคลไปยังประเทศผู้รับที่อยู่นอกเขตเศรษฐกิจยุโรป (standard contractual clauses for data transfer) เพื่อช่วยให้ผู้ประกอบการที่ทำหน้าที่ให้บริการประมวลผลข้อมูลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคลสามารถปฏิบัติตาม GDPR ได้อย่างถูกต้อง

โดยเนื้อหาของสัญญามาตรฐานที่เผยแพร่ออกมานั้นมีความสอดคล้องและตอบสนองต่อเงื่อนไขที่บัญญัติไว้ใน GDPR มาตรา 28 ที่กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลที่มีการใช้บุคคลหรือนิติบุคคลอื่น (outsourcing) ในการประมวลผลข้อมูลส่วนบุคคล มีหน้าที่ต้องจัดให้มี DPA ขึ้นระหว่างตนกับบริษัทที่รับจ้างประมวลผลข้อมูลส่วนบุคคล (ผู้ประมวลผลข้อมูลส่วนบุคคล) โดยเนื้อหาใน DPA ต้องครอบคลุมถึงเรื่องหน้าที่ในการคุ้มครองข้อมูลส่วนบุคคล (data protection obligations) รวมถึงหน้าที่ของผู้ประมวลผลข้อมูลในประเด็นดังต่อไปนี้

(1) การปฏิบัติตามคำแนะนำในการประมวลผลข้อมูลส่วนบุคคลที่ผู้ว่าจ้าง (ผู้ควบคุมข้อมูลส่วนบุคคล) กำหนด

(2) วิธีการในการส่งคืนหรือลบทำลายข้อมูลส่วนบุคคลเมื่อสิ้นสุดการให้บริการการประมวลผลข้อมูลส่วนบุคคล

(3) ข้อมูลทางด้านความมั่นคงปลอดภัย

(4) การให้ความช่วยเหลือและสนับสนุนแก่ผู้ว่าจ้าง (ผู้ควบคุมข้อมูลส่วนบุคคล) ในการปฏิบัติหน้าที่ตาม GDPR เช่นการตอบสนองต่อการขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล การจัดทำการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (data protection impact assessment, DPIA) และการแจ้งเตือนหากเกิดเหตุการละเมิดข้อมูลส่วนบุคคล

(5) ผู้รับจ้างต้องอนุญาตและให้ความช่วยเหลือสนับสนุนการตรวจสอบ (audit) ของผู้ว่าจ้างและ/หรือหน่วยงานตรวจสอบอื่น ๆ ที่อาจมีขึ้น เช่น จากหน่วยงานของรัฐ

(6) การว่าจ้างผู้ประมวลผลข้อมูลส่วนบุคคลช่วง (sub-processor)

สัญญามาตรฐานฉบับนี้ยังจัดให้มีเอกสารแนบท้ายสัญญาในส่วนอื่น ๆ อีกด้วย (ANNEX) เพื่อให้คู่สัญญาระบุรายละเอียดต่าง ๆ ที่เกี่ยวข้องกับกิจกรรมการประมวลผลข้อมูลส่วนบุคคลดังต่อไปนี้

(1) รายละเอียดเกี่ยวกับกิจกรรมการประมวลผลข้อมูลส่วนบุคคล

(2) รายละเอียดเกี่ยวกับมาตรการทางด้านความมั่นคงปลอดภัย

(3) คำสั่งหรือวิธีการประมวลผลข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคล

(4) มาตรการด้านความมั่นคงปลอดภัยพิเศษกรณีที่มีการประมวลผลข้อมูลละเอียดอ่อน (sensitive data)

(5) รายละเอียดการใช้ผู้ประมวลผลข้อมูลส่วนบุคคลช่วง

(6) รายละเอียดมาตรการต่าง ๆ ที่ผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีเพื่อช่วยเหลือและสนับสนุนแก่ผู้ควบคุมส่วนบุคคลในการปฏิบัติตาม GDPR

ผู้เขียนเห็นว่า สัญญามาตรฐาน (SCC) ในกรณีนี้มีข้อดีหลายประการ อาทิ

(1) เป็นการสร้างความแน่นอนในการบังคับใช้กฎหมาย (legal certainty) ไม่เฉพาะแต่คู่สัญญา แต่รวมถึงเจ้าของข้อมูลส่วนบุคคลด้วย

(2) ช่วยลดต้นทุนในการเจรจาสัญญาและการจัดให้มีสัญญา (transaction costs) ซึ่งจะช่วยเหลือผู้ประกอบการรายย่อยได้อย่างมาก

(3) เป็นการยืนยันสาระสำคัญของหลักการการคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล ในฐานะสิทธิขั้นพื้นฐานที่ไม่อาจถูกพรากหรือทำลายลงไปได้ด้วยกระบวนการทางสัญญา

สัญญามาตรฐานดังกล่าวแม้จะขัดกับหลักเสรีภาพในการทำสัญญา (party autonomous) เพราะเป็นการที่รัฐเข้ามากำหนดกรอบเนื้อหาของสัญญาอย่างมีนัยสำคัญ แต่ด้วยเหตุที่สัญญาการประมวลผลข้อมูลส่วนบุคคลหรือ DPA นั้น มีลักษณะพิเศษคือเป็นสัญญาที่เกี่ยวข้องกับสิทธิขั้นพื้นฐานของบุคคลอื่น และอาจจะมีจำนวนมากต่อการประมวลผลครั้งหนึ่ง ๆ และบุคคลเหล่านั้นมิได้เข้ามาเกี่ยวข้องในกระบวนการทำสัญญา ซึ่งจากลักษณะพิเศษและความจำเป็นดังกล่าวจึงอาจทำให้การแทรกแซงโดยรัฐในแดนกฎหมายเอกชนมีความจำเป็นมากขึ้น

จากที่ผู้เขียนนำเสนอมาเบื้องต้น จะเห็นได้ว่า GDPR นั้นมีการกำหนดกรอบและเงื่อนไขที่ต้องมีใน DPA ไว้อย่างชัดเจน ซึ่งต่างจากพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ที่กำหนดไว้ในมาตรา 40 แต่เพียงว่า “ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีข้อตกลงระหว่างกัน” การจัดทำ DPA อย่างละเอียดครบถ้วนทั้งเนื้อหาในทางกฎหมายและกระบวนการประมวลผลนั้น ไม่เพียงแต่ทำให้มีการกำหนดหน้าที่และความรับผิดชอบที่ชัดเจนระหว่างผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลเท่านั้น แต่ยังเป็นการกำหนดข้อตกลงและเงื่อนไขต่าง ๆ ของผู้ให้บริการและผู้รับบริการให้เป็นไปตามข้อกำหนดของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ อีกด้วย

ผู้เขียนจึงเห็นด้วยและสนับสนุนให้นำแนวทางการกำหนดสัญญามาตรฐาน (SCC) มาใช้ในประเทศไทย การดำเนินการดังกล่าวจะช่วยให้ผู้ประกอบการสามารถลดความเสี่ยงต่อความเสียหายที่เกิดจากทั้งผลของสัญญาและกฎหมาย อีกทั้งเป็นการลดต้นทุนการประกอบธุรกิจในส่วนของการเจรจาตกลงข้อสัญญา และยังสามารถสร้างมาตรฐานในการปฏิบัติตามกฎหมายได้อย่างมีประสิทธิภาพ ซึ่งตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลอาจใช้อำนาจตามมาตรา 16 ในการประกาศกำหนดข้อปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลเป็นแนวทาง (Guidelines) ให้ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลปฏิบัติได้

ศุภวัชร์ มาลานนท์

คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์

Max Planck Institute Luxembourg

ชิโนภาส อุดมผล

Optimum Solution Defined (OSDCo., Ltd.)