หน้าแรก > บทความ > Data Processing Agreement (DPA) คืออะไร? ทำไมทุกธุรกิจต้องมี

Data Processing Agreement (DPA) คืออะไร?

ทำไมทุกธุรกิจต้องมี


DPA คือ “สัญญาว่าจ้างประมวลผลข้อมูลส่วนบุคคล” ระหว่าง ผู้ควบคุมข้อมูล (Data Controller) กับ ผู้ประมวลผลข้อมูล (Data Processor) กำหนดกติกาชัดเจนว่า ผู้ประมวลผล จะใช้/เก็บ/เปิดเผยข้อมูล ตามคำสั่งของผู้ควบคุมเท่านั้น, ต้องมีมาตรการความปลอดภัย, แจ้งเหตุละเมิดข้อมูล, เก็บบันทึกร่องรอยการประมวลผล ฯลฯ

 

ในกฎหมายไทย PDPA มาตรา 40 ระบุชัดว่า เมื่อมอบหมายผู้ประมวลผล ผู้ควบคุมต้อง จัดทำ “ข้อตกลง” ระหว่างกันเพื่อควบคุมกิจกรรมของผู้ประมวลผล ให้เป็นไปตามกฎหมาย (นี่แหละ DPA ในทางปฏิบัติ). 

 

ในกฎหมายยุโรป (GDPR มาตรา 28) ก็ บังคับ ให้ต้องมี DPA และระบุสาระสำคัญที่สัญญาต้องครอบคลุมไว้อย่างละเอียดเช่นกัน จึงเป็นมาตรฐานสากลที่คู่ค้าต่างประเทศคุ้นเคย



ใครคือ ผู้ควบคุมข้อมูล / ผู้ประมวลผลข้อมูล แบบเข้าใจง่าย

  • Controller: องค์กรที่ “ตัดสินใจ” ว่าจะเก็บ/ใช้ข้อมูลอะไร เพื่ออะไร เช่น บริษัทที่เก็บข้อมูลลูกค้าเพื่อขาย/ให้บริการ
  • Processor: ผู้รับจ้าง “ประมวลผลแทน” ตามคำสั่ง Controller เช่น ผู้ให้บริการคลาวด์, ระบบ CRM, คอลเซ็นเตอร์, ผู้รับจ้างส่งอีเมลการตลาด ฯลฯ (ในไทย PDPA กำหนดหน้าที่ผู้ประมวลผลไว้ที่ ม.40)

ทำธุรกิจในไทย (หรือประมวลผลข้อมูลของคนในไทย) ส่วนใหญ่เข้า PDPA ทั้งหมด เว้นบางกรณีตามข้อยกเว้นเฉพาะ.

 

ทำไม “ทุกธุรกิจ” ควรมี DPA

  • ข้อกำหนดตามกฎหมาย — PDPA บังคับให้มี “ข้อตกลงระหว่าง Controller–Processor” เมื่อมีการมอบหมายให้ประมวลผลแทน (สัญญา DPA) มิฉะนั้นเสี่ยงผิดหน้าที่ผู้ควบคุม.
  • ลดความเสี่ยงจาก Vendor — ระบุหน้าที่มาตรการความปลอดภัย, การแจ้งเหตุละเมิดข้อมูล, บันทึกร่องรอย, การคืน/ลบข้อมูลเมื่อเลิกสัญญา ฯลฯ ช่วยพิสูจน์ความรับผิดชอบได้ตามกฎหมาย.
  • ทำงานกับต่างประเทศได้ราบรื่น — คู่ค้าต่างชาติคุ้นกับ DPA ตาม GDPR ม.28 เมื่อมี DPA ที่ครบถ้วน จะผ่านการคัดกรองด้านกฎหมาย/ความปลอดภัยได้ง่ายขึ้น. 
  • รองรับการโอนข้อมูลข้ามแดน — หากมีการส่งข้อมูลออกนอกไทย ต้องพิจารณากติกาโอนข้อมูลใหม่ของไทย (มีประกาศ PDPC เรื่องประเทศปลายทาง/มาตรการที่เหมาะสม และ แบบสัญญามาตรฐาน SCCs ที่มี “Thai Model / Overseas Model”). DPA จึงควรเชื่อมกับข้อกำหนดนี้ด้วย. 

DPA ควรมี “สาระสำคัญ” อะไรบ้าง

อิงหลักการของ PDPA ม.40 และมาตรฐาน GDPR ม.28:

  1. ขอบเขตงานประมวลผล: วัตถุประสงค์, ประเภทข้อมูล, ประเภทเจ้าของข้อมูล, ระยะเวลา, ธรรมชาติของการประมวลผล.
  2. การปฏิบัติตามคำสั่ง: Processor ต้องทำ “ตามคำสั่งที่ชอบด้วยกฎหมาย” ของ Controller เท่านั้น (ถ้าคำสั่งขัดกฎหมายต้องปฏิเสธ/แจ้ง).
  3. มาตรการความปลอดภัย: ขั้นต่ำตามมาตรฐาน PDPC + แนบภาคผนวกมาตรการเทคนิค/องค์กร (เช่น การเข้ารหัส, การควบคุมสิทธิ์, การทดสอบความปลอดภัย).
  4. การแจ้งเหตุละเมิดข้อมูล: กำหนดเวลา–ช่องทาง–ข้อมูลที่ต้องแจ้ง Controller “โดยไม่ชักช้า” เพื่อให้ทำหน้าที่ตาม PDPA ต่อไป.
  5. การจ้าง Sub-processor: เงื่อนไขการอนุญาตล่วงหน้า/การแจ้งเปลี่ยนแปลง และการไหลบังคับข้อกำหนดเดียวกันไปยัง Sub-processor.
  6. สิทธิของเจ้าของข้อมูล: วิธีที่ Processor ช่วย Controller ตอบคำขอ (เข้าถึง/ลบ/คัดค้าน/จำกัดการใช้ ฯลฯ).
  7. การตรวจสอบ/ออดิท: สิทธิออดิทของ Controller และหน้าที่ให้ความร่วมมือของ Processor.
  8. การคืน/ลบข้อมูลเมื่อเลิกสัญญา: กำหนดเส้นตาย รูปแบบการคืนข้อมูล และวิธีการทำลายข้อมูลอย่างปลอดภัย.
  9. การโอนข้อมูลข้ามแดน: ถ้ามี ให้ระบุเครื่องมือทางกฎหมายที่ใช้ (เช่น Thai SCCs/BCRs) และภาระหน้าที่ที่ตามมา.
  10. ความรับผิด/ชดใช้ค่าเสียหาย: การแบ่งภาระความรับผิดเมื่อเกิดความเสียหายจากการละเมิดข้อมูลหรือผิดสัญญา.

 

ต้องใช้ DPA เมื่อไหร่บ้าง (ตัวอย่างสถานการณ์)

  • จ้าง Cloud / Hosting / Backup, CRM / Marketing Automation / Email Gateway, Call Center / Outsource Support, Payroll / HRIS, Document e-Signature / e-KYC — ทั้งหมดนี้คือการ “ประมวลผลแทน” → ต้องมี DPA
  • ใช้บริการ Analytics/Tracking ที่ทำตามคำสั่งเรา → ส่วนมากเข้าข่าย Processor (ควรมี DPA)

 

5 ทิปส์ก่อนเซ็น DPA กับ Vendor

  • ทำ Data Map ให้รู้ว่ามีข้อมูลอะไร ส่งให้ใคร อยู่ประเทศไหน
  • ถาม-ตอบแบบประเมินความปลอดภัย (Security/Privacy Questionnaire) และขอดูใบรับรองที่เกี่ยวข้อง
  • แนบภาคผนวกมาตรการความปลอดภัย (Annex – Technical & Organizational Measures) แบบระบุชัดเจน
  • กำหนด SLA การแจ้งเหตุละเมิด และสิทธิออดิทที่ใช้งานได้จริง
  • หากมีโอนข้อมูลข้ามแดน ให้ผูกกับ Thai SCCs หรือมาตรการที่เหมาะสมตามประกาศ PDPC ให้ครบถ้วน

สรุป

  • ถ้ามีคนอื่นประมวลผลข้อมูลแทนธุรกิจคุณ → ต้องทำ DPA ตาม PDPA ม.40
  • ทำ DPA ให้ “ใช้ได้จริง” ด้วยขอบเขตงานชัด, มาตรการความปลอดภัย, การแจ้งเหตุ, การออดิท, การคืน/ลบข้อมูล และเงื่อนไข Sub-processor
  • ทำธุรกิจกับต่างประเทศ/มีการโอนข้อมูลข้ามแดน ควรอ้างอิง Thai SCCs หรือมาตรการที่ PDPCรองรับ

DD Law Firms ช่วยคุณ ออกแบบ ร่างDPA ให้สอด PDPA + สอดกับ GDPR (กรณีคู่ค้าต่างประเทศ) พร้อม Annex ด้าน Security และเงื่อนไขการโอนข้อมูลข้ามแดนที่สอดกับประกาศ PDPC ล่าสุด ติดต่อผ่านหน้าเว็บได้เลย