หลักเกณฑ์การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ

ได้แก่ การกำหนดมาตรฐานและวิธีการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ เพื่อเป็นหลักประกันว่าข้อมูลส่วนบุคคลจะได้รับการคุ้มครองในประเทศผู้รับโอนข้อมูลด้วยมาตรฐานที่เหมาะสมตามที่ประเทศผู้ส่งออกข้อมูลกำหนด

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดหน้าที่และมาตรการเกี่ยวกับการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศไว้ในมาตรา 28 และมาตรา 29 และมีการกำหนดรายละเอียดเพิ่มเติมตามประกาศของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (“คณะกรรมการ”) จำนวน 2 ฉบับ โดยได้ประกาศในราชกิจจานุเบกษาเมื่อวันที่ 25 ธันวาคม 2566 และจะใช้บังคับในวันที่ 24 มีนาคม 2567 เป็นต้นไป ได้แก่

 

1.ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยังต่างประเทศ ตามมาตรา 28 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2566 (“ประกาศคณะกรรมการตามมาตรา 28”) และ

2.ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยังต่างประเทศ ตามมาตรา 29 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลพ.ศ. 2562 พ.ศ. 2566 (“ประกาศคณะกรรมการตามมาตรา 29”)

ทั้งนี้ ประกาศคณะกรรมการทั้ง 2 ฉบับ ได้กำหนดนิยามคำว่า “ส่งหรือโอนข้อมูลส่วนบุคคล” ให้ชัดเจนยิ่งขึ้น โดยไม่รวมถึงการส่งและรับข้อมูลส่วนบุคคลในลักษณะที่เป็นเพียงสื่อกลาง (intermediary) ในการส่งผ่านข้อมูล (data transit) ระหว่างระบบคอมพิวเตอร์หรือระบบเครือข่ายหรือการเก็บพักข้อมูล (data storage) ที่ไม่มีบุคคลภายนอกเข้าถึงข้อมูลส่วนบุคคลได้ นอกจากผู้ควบคุมข้อมูลส่วนบุคคล

หรือผู้ประมวลผลข้อมูลส่วนบุคคลที่เป็นผู้ส่งข้อมูลนั้น เช่น การส่งข้อมูลผ่านระบบเครือข่ายในต่างประเทศ หรือการส่งข้อมูลผ่านระบบของผู้ให้บริการระบบคลาวด์ (cloud computing service provider) ที่ไม่มีบุคคลใดนอกจากผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่เป็นผู้ส่งข้อมูล ที่สามารถเข้าถึงข้อมูลส่วนบุคคลได้ เนื่องจากมีมาตรการทางเทคนิคหรือเงื่อนไขทางกฎหมายรองรับ

ประกาศคณะกรรมการตามมาตรา 28 ได้กำหนดหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยังต่างประเทศ ในเรื่องดังต่อไปนี้

1. หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคล กรณีประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลจะถือว่ามี “มาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ” (เทียบกับ “Adequacy Decision” ของ GDPR) เมื่อประเทศปลายทางหรือองค์การระหว่างประเทศนั้น

(1) มีมาตรการหรือกลไกทางกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลที่สอดคล้องกับกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย โดยเฉพาะหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลในการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม มาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมและสามารถบังคับตามสิทธิของเจ้าของข้อมูลส่วนบุคคลได้ และมาตรการเยียวยาทางกฎหมายที่มีประสิทธิภาพ

(2.) มีหน่วยงานหรือองค์กรที่มีหน้าที่และอำนาจในการบังคับใช้กฎหมายและกฎระเบียบเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลในประเทศปลายทางหรือองค์การระหว่างประเทศ

 

1. หลักเกณฑ์การวินิจฉัยปัญหาเกี่ยวกับมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ มีดังนี้

(1) ผู้ที่จะเสนอปัญหาเกี่ยวกับมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอให้คณะกรรมการวินิจฉัย อาจเป็นผู้ควบคุมข้อมูลส่วนบุคคล หรือสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (“สำนักงาน”) เป็นผู้เสนอเองก็ได้

 (2) ในการวินิจฉัยปัญหาเกี่ยวกับมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ คณะกรรมการอาจพิจารณาวินิจฉัยเป็นรายกรณี หรือพิจารณากำหนดรายชื่อประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคล ซึ่งถือว่ามีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอก็ได้ 

(3) สำนักงานอาจขอให้คณะกรรมการทบทวนคำวินิจฉัยได้ เมื่อมีหลักฐานใหม่ทำให้เชื่อได้ว่าประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลมีการพัฒนาจนมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ หรือกรณีอื่นที่เห็นสมควร

 (4) ในการดำเนินการเพื่อเสนอเรื่องให้คณะกรรมการวินิจฉัย ให้สำนักงานจัดทำเป็นรายงานมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลของประเทศปลายทางหรือองค์การระหว่างประเทศ โดยสำนักงานอาจจัดทำเองหรือเสนอรายงานของหน่วยงานอื่นก็ได้

ประกาศคณะกรรมการตามมาตรา 29 ได้กำหนดหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยังต่างประเทศ ในเรื่องดังต่อไปนี้

1. กำหนดนิยาม “เครือกิจการหรือเครือธุรกิจเดียวกัน” หมายถึง กิจการที่ผู้ประกอบกิจการ มีอำนาจควบคุมหรือบริหารจัดการเหนือกิจการอื่น หรือกิจการที่ถูกควบคุมโดยผู้ประกอบกิจการที่มีอำนาจเหนือกิจการอื่น ในรูปแบบบริษัทใหญ่ บริษัทย่อย หรือบริษัทร่วม รวมทั้งบุคคลธรรมดาหรือนิติบุคคลที่มี ความเกี่ยวข้องกันทางกฎหมายหรือเกี่ยวข้องกันเนื่องจากประกอบกิจการหรือธุรกิจร่วมกัน โดยใช้หลักเกณฑ์การพิจารณาตามกฎหมายที่เกี่ยวข้องและมาตรฐานทางบัญชีอันเป็นที่ยอมรับโดยทั่วไป

2. กำหนดวิธีการเสนอ “นโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกัน” หรือ “Binding Corporate Rules” (BCRs)  ให้สำนักงานตรวจสอบและรับรอง และกำหนดให้สำนักงานตรวจสอบและรับรองนโยบายการคุ้มครองข้อมูลส่วนบุคคล ที่มีเนื้อหาสาระดังต่อไปนี้

 

 (1)   มีข้อกำหนดที่มีผลและสภาพบังคับในทางกฎหมาย กับนิติบุคคลหรือบุคคลธรรมดาในเครือกิจการหรือเครือธุรกิจเดียวกัน ตลอดจนผู้ประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวข้อง ผู้ส่งหรือโอนข้อมูล และผู้รับข้อมูลที่อยู่ในเครือกิจการหรือเครือธุรกิจเดียวกันของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่เสนอนโยบายให้สำนักงานตรวจสอบและรับรอง

(2) มีข้อกำหนดที่รับรองการคุ้มครองข้อมูลส่วนบุคคล สิทธิของเจ้าของข้อมูลส่วนบุคคล และการร้องเรียน สำหรับข้อมูลส่วนบุคคลที่ถูกส่งหรือโอนไปยังต่างประเทศ

(3) มีมาตรการในการคุ้มครองข้อมูลส่วนบุคคลและมาตรการรักษาความมั่นคงปลอดภัยที่สอดคล้องกับกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล โดยมาตรการรักษาความมั่นคงปลอดภัยจะต้องเป็นไปตามมาตรฐานขั้นต่ำตามที่กฎหมายกำหนดด้วย

นอกจากเรื่องการขอรับรอง BCRs แล้ว ประกาศคณะกรรมการตามมาตรา 29 ยังได้กำหนดมาตรการคุ้มครองที่เหมาะสม (Appropriate Safeguards) อื่น ๆ เพื่อการส่งหรือโอนข้อมูลส่วนบุคคลไว้อีกด้วย อาทิ ข้อสัญญาที่เป็นไปตามข้อสัญญาในการส่งหรือโอนข้อมูลส่วนบุคคลที่เป็นที่ยอมรับ (Standard Contractual Clauses: SCCs) และการรับรอง (Certification) เกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล เป็นต้น

ซึ่งการมีผลใช้บังคับของประกาศทั้งสองฉบับดังกล่าวจะช่วยส่งเสริมความเชื่อมั่นด้านการคุ้มครองข้อมูลส่วนบุคคลของประเทศ ความเชื่อมั่นต่อระบบเศรษฐกิจดิจิทัล และเพื่อให้ประเทศไทยมีมาตรฐานด้านการคุ้มครองข้อมูลส่วนบุคคลเทียบเท่ามาตรฐานสากล.