ในยุคที่คำว่า “PDPA” กลายเป็นศัพท์แฟชั่นในแวดวงธุรกิจไทย

นักกฎหมายจำนวนไม่น้อยเริ่มร่างข้อตกลงที่ดูเหมือนเข้าใจเรื่องการคุ้มครองข้อมูลส่วนบุคคลดีเยี่ยม แต่กลับหลงลืมไปว่าโลกของการทำธุรกิจไม่ได้มีแค่ข้อมูลส่วนบุคคล — ยังมี “ข้อมูลลับทางธุรกิจ” ที่อาจไม่ได้เกี่ยวข้องกับใครคนใดคนหนึ่งเลย

ปัญหาก็คือ… ทุกวันนี้ ในการเตรียมสัญญา ทนายหรือนักกฎหมายหลายคนเริ่มเอาสองโลกนี้มาปนกัน ใช้แทนกัน หรือบางทีก็ตัดเรื่องการรักษาความลับทางธุรกิจทิ้งไปเลยโดยเข้าใจว่า “ใส่เรื่อง PDPA ก็พอแล้ว”   และนั่นคือจุดที่ทำให้ “ข้อตกลงดูดีแต่ไม่รัดกุม” เริ่มก่อตัวขึ้นอย่างเงียบ ๆ

PDPA กับ NDA มันคนละสิ่งกัน

ลองตอบในใจดูว่า…คุณเคยเห็นข้อตกลงฉบับไหนบ้างที่มีแต่คำว่า “ข้อมูลส่วนบุคคล” แต่ไม่เคยพูดถึง “ข้อมูลลับที่ไม่ใช่ข้อมูลส่วนบุคคล” เลย?  นั่นแหละครับ คือกับดักที่กำลังเกิดขึ้นทุกวัน

PDPA คือ กฎหมายที่ออกแบบมาเพื่อคุ้มครอง “สิทธิในข้อมูลส่วนบุคคลของบุคคลธรรมดา”  เน้นไปที่เรื่อง “ใครเป็นเจ้าของข้อมูลส่วนบุคคล” และ “ใครมีสิทธิในการจัดการข้อมูลส่วนบุคคลนั้น”  

แต่ NDA มันเกี่ยวกับ “ความลับ” ในสัญญา คือการปกป้องข้อมูลอะไรก็ตามที่มีมูลค่าทางธุรกิจ เช่น สูตรอาหาร เครื่องจักร โค้ดซอฟต์แวร์ แผนกลยุทธ์ หรือแม้แต่ราคาต้นทุน  ข้อมูลเหล่านี้อาจไม่ได้ระบุตัวบุคคล แต่ถ้าหลุดออกไป องค์กรเสียหายแน่นอน

ปัญหาที่เจอบ่อย: คิดว่าเขียนเรื่อง PDPA ก็ครอบคลุมความลับหมดแล้ว

ในสัญญาธุรกิจหลายฉบับ โดยเฉพาะพวกที่ปรับมาใช้หลังปี 2565  มีความเข้าใจผิดว่า “เรามีภาคผนวก PDPA แล้วนะ เรื่องข้อมูลก็ครอบคลุมแล้ว”   ผิดครับเพราะ PDPA ไม่ได้พูดถึงการรักษาข้อมูลลับของบริษัท  ไม่ได้พูดถึง Know-how ไม่ได้ปกป้องความลับที่เป็น “นิติบุคคลเป็นเจ้าของ”  และที่สำคัญ… PDPA ไม่มีบทบังคับให้ผู้รับข้อมูล “รักษาเป็นความลับ” แบบที่ NDA ทำ

เปรียบเทียบให้เห็นภาพ: PDPA vs NDA

1. ใครเป็นเจ้าของข้อมูล?

ในโลกของ PDPA เจ้าของข้อมูลก็คือ “เจ้าของข้อมูลส่วนบุคคล” ซึ่งหมายถึงบุคคลธรรมดาที่ข้อมูลนั้นสามารถระบุตัวตนได้ เช่น ชื่อ-นามสกุล เบอร์โทร อีเมล หรือเลขประจำตัวประชาชน ไม่ว่าจะข้อมูลนั้นอยู่ในมือของบริษัทใด บริษัทนั้นก็มีหน้าที่ดูแลข้อมูลตามหลักการของ PDPA

แต่สำหรับ NDA (Non-Disclosure Agreement) หรือข้อตกลงไม่เปิดเผยข้อมูล เจ้าของข้อมูลคือ ฝ่ายเปิดเผย ซึ่งมักเป็น องค์กรหรือบริษัท ที่เปิดเผยข้อมูลลับของตนให้คู่สัญญา เช่น สูตรสินค้า เอกสารภายใน แผนกลยุทธ์ หรือข้อมูลทางการเงิน NDA จึงเป็นเครื่องมือที่องค์กรใช้เพื่อป้องกันไม่ให้ข้อมูลที่ “เป็นของเรา” ถูกนำไปใช้ผิดวัตถุประสงค์

2. ข้อมูลแบบไหนที่กฎหมายคุ้มครอง?

PDPA สนใจเฉพาะ ข้อมูลส่วนบุคคล — ข้อมูลที่เกี่ยวข้องกับบุคคลธรรมดา และสามารถระบุตัวตนได้เท่านั้น ดังนั้น ถ้าเป็นข้อมูลการตลาดเชิงกลยุทธ์ งบประมาณ หรือ source code ของซอฟต์แวร์  นั่นคือ  PDPA ไม่เกี่ยวเลยครับ

ขณะที่ NDA มีขอบเขตที่กว้างและยืดหยุ่นกว่า เพราะใช้คุ้มครอง “ข้อมูลลับทางธุรกิจ” ซึ่งหมายความว่าอะไรก็ตามที่ฝ่ายหนึ่งถือว่าเป็นความลับ และอีกฝ่ายรับไปใช้หรือตรวจสอบเพื่อการทำงานร่วมกัน ก็อยู่ภายใต้ NDA ได้ทั้งสิ้น

ทำไมเรื่องนี้สำคัญกับนักกฎหมาย

เพราะ “งานของนักกฎหมายธุรกิจ” คือปิดความเสี่ยง ไม่ใช่เขียนตามแฟชั่น

หากคุณเขียน DPA (Data Processing Agreement) อย่างละเอียด แต่ไม่ได้แนบหรือใส่ข้อตกลง NDA ที่ป้องกัน know-how แล้วหละก็  คุณกำลังให้ “vendor” หรือ “consultant” ที่เข้าถึงข้อมูลลับในระบบของบริษัทคุณ “พกความลับไปใช้ต่อที่อื่นได้อย่างถูกต้องตามสัญญา”  เพราะไม่มีอะไรห้ามเขาไว้

แนวทางที่ควรทำ

1. แยกชัดเจนระหว่าง “ข้อมูลส่วนบุคคล” กับ “ข้อมูลลับทางธุรกิจ”  นั่นคือ ไม่ใช้คำว่า “ข้อมูลส่วนบุคคล” แทนคำว่า “ข้อมูลลับ” โดยอัตโนมัติ

2.ใช้คำนิยามที่ครอบคลุม เช่น “ข้อมูลที่เป็นความลับ” หมายถึง ข้อมูลใด ๆ ที่ไม่เปิดเผยต่อสาธารณะ ไม่ว่าข้อมูลดังกล่าวจะเป็นข้อมูลส่วนบุคคลหรือไม่ก็ตาม

3.ร่างข้อกำหนด NDA และ ข้อตกลงด้าน PDPA เช่น  DPA แยกกัน (หรือรวมก็ได้ แต่ต้องครบ)  โดยเฉพาะเมื่อองค์กรคุณให้บุคคลภายนอกเข้าถึงระบบ หรือทำงานร่วมกันในเชิงลึก

กล่าวโดยสรุป

ในยุคที่ความตื่นตัวเรื่อง PDPA เพิ่มขึ้นทุกวัน สิ่งที่น่าเป็นห่วงคือ การที่ผู้ประกอบการหรือแม้แต่นักกฎหมายบางท่าน เริ่ม “ละเลย” การคุ้มครองข้อมูลลับทางธุรกิจ และมัวแต่ไปให้ความสำคัญกับ “ข้อมูลส่วนบุคคล” เท่านั้น

ข้อตกลงทางธุรกิจที่เคยมี NDA แบบรัดกุม กลับกลายเป็นเอกสารที่พูดถึงแต่สิทธิของเจ้าของข้อมูลส่วนบุคคล จนลืมไปว่า ข้อมูลกลยุทธ์ที่เราส่งให้คู่ค้าในการเจรจา ก็มีความเสี่ยงเช่นเดียวกัน  ดังนั้น อย่าให้กระแสของ PDPA ทำให้เราลืมว่า “ข้อมูลสำคัญ” ไม่ได้มีแค่ข้อมูลส่วนบุคคล   และการร่างสัญญาเพื่อปกป้องธุรกิจ ควรให้พื้นที่กับ ทั้ง PDPA และ NDA อย่างสมดุล เพราะแต่ละเครื่องมือ มีหน้าที่ต่างกัน และสำคัญไม่แพ้กันเลย

ไกรวัล ศรีประทักษ์