ในโลกที่ข้อมูลเป็นสินทรัพย์สำคัญขององค์กร หลักการสำคัญด้านการคุ้มครองข้อมูลส่วนบุคคลประการหนึ่งที่ประเทศต่าง ๆ กำหนดขึ้นเพื่อคุ้มครองสิทธิในความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคล
ในโลกที่ข้อมูลเป็นสินทรัพย์สำคัญขององค์กร หลักการสำคัญด้านการคุ้มครองข้อมูลส่วนบุคคลประการหนึ่งที่ประเทศต่าง ๆ กำหนดขึ้นเพื่อคุ้มครองสิทธิในความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคลได้แก่ การกำหนดมาตรฐานและวิธีการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ เพื่อเป็นหลักประกันว่าข้อมูลส่วนบุคคลจะได้รับการคุ้มครองในประเทศผู้รับโอนข้อมูลด้วยมาตรฐานที่เหมาะสมตามที่ประเทศผู้ส่งออกข้อมูลกำหนด
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดหน้าที่และมาตรการเกี่ยวกับการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศไว้ในมาตรา 28 และมาตรา 29 และมีการกำหนดรายละเอียดเพิ่มเติมตามประกาศของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (“คณะกรรมการ”) จำนวน 2 ฉบับ โดยได้ประกาศในราชกิจจานุเบกษาเมื่อวันที่ 25 ธันวาคม 2566 และจะใช้บังคับตั้งแต่วันที่ 24 มีนาคม 2567 เป็นต้นมาได้แก่
-
ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยังต่างประเทศ ตามมาตรา 28 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2566 (“ประกาศคณะกรรมการตามมาตรา 28”) และ
-
ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยังต่างประเทศ ตามมาตรา 29 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลพ.ศ. 2562 พ.ศ. 2566 (“ประกาศคณะกรรมการตามมาตรา 29”)
ทั้งนี้ ประกาศคณะกรรมการทั้ง 2 ฉบับ ได้กำหนดนิยามคำว่า “ส่งหรือโอนข้อมูลส่วนบุคคล” ให้ชัดเจนยิ่งขึ้น โดยไม่รวมถึงการส่งและรับข้อมูลส่วนบุคคลในลักษณะที่เป็นเพียงสื่อกลาง (intermediary) ในการส่งผ่านข้อมูล (data transit) ระหว่างระบบคอมพิวเตอร์หรือระบบเครือข่ายหรือการเก็บพักข้อมูล (data storage) ที่ไม่มีบุคคลภายนอกเข้าถึงข้อมูลส่วนบุคคลได้ นอกจากผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลที่เป็นผู้ส่งข้อมูลนั้น เช่น การส่งข้อมูลผ่านระบบเครือข่ายในต่างประเทศ หรือการส่งข้อมูลผ่านระบบของผู้ให้บริการระบบคลาวด์ (cloud computing service provider) ที่ไม่มีบุคคลใดนอกจากผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่เป็นผู้ส่งข้อมูล ที่สามารถเข้าถึงข้อมูลส่วนบุคคลได้ เนื่องจากมีมาตรการทางเทคนิคหรือเงื่อนไขทางกฎหมายรองรับ
ประกาศคณะกรรมการตามมาตรา 29 ได้กำหนดหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยังต่างประเทศ ในเรื่องดังต่อไปนี้
-
กำหนดนิยาม “เครือกิจการหรือเครือธุรกิจเดียวกัน” หมายถึง กิจการที่ผู้ประกอบกิจการ มีอำนาจควบคุมหรือบริหารจัดการเหนือกิจการอื่น หรือกิจการที่ถูกควบคุมโดยผู้ประกอบกิจการที่มีอำนาจเหนือกิจการอื่น ในรูปแบบบริษัทใหญ่ บริษัทย่อย หรือบริษัทร่วม รวมทั้งบุคคลธรรมดาหรือนิติบุคคลที่มี ความเกี่ยวข้องกันทางกฎหมายหรือเกี่ยวข้องกันเนื่องจากประกอบกิจการหรือธุรกิจร่วมกัน โดยใช้หลักเกณฑ์การพิจารณาตามกฎหมายที่เกี่ยวข้องและมาตรฐานทางบัญชีอันเป็นที่ยอมรับโดยทั่วไป
-
กำหนดวิธีการเสนอ “นโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกัน” หรือ “Binding Corporate Rules” (BCRs) ให้สำนักงานตรวจสอบและรับรอง และกำหนดให้สำนักงานตรวจสอบและรับรองนโยบายการคุ้มครองข้อมูลส่วนบุคคล ที่มีเนื้อหาสาระดังต่อไปนี้
-
มีข้อกำหนดที่มีผลและสภาพบังคับในทางกฎหมาย กับนิติบุคคลหรือบุคคลธรรมดาในเครือกิจการหรือเครือธุรกิจเดียวกัน ตลอดจนผู้ประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวข้อง ผู้ส่งหรือโอนข้อมูล และผู้รับข้อมูลที่อยู่ในเครือกิจการหรือเครือธุรกิจเดียวกันของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่เสนอนโยบายให้สำนักงานตรวจสอบและรับรอง
-
มีข้อกำหนดที่รับรองการคุ้มครองข้อมูลส่วนบุคคล สิทธิของเจ้าของข้อมูลส่วนบุคคล และการร้องเรียน สำหรับข้อมูลส่วนบุคคลที่ถูกส่งหรือโอนไปยังต่างประเทศ
-
มีมาตรการในการคุ้มครองข้อมูลส่วนบุคคลและมาตรการรักษาความมั่นคงปลอดภัยที่สอดคล้องกับกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล โดยมาตรการรักษาความมั่นคงปลอดภัยจะต้องเป็นไปตามมาตรฐานขั้นต่ำตามที่กฎหมายกำหนดด้วย
นอกจากเรื่องการขอรับรอง BCRs แล้ว ประกาศคณะกรรมการตามมาตรา 29 ยังได้กำหนดมาตรการคุ้มครองที่เหมาะสม (Appropriate Safeguards) อื่น ๆ เพื่อการส่งหรือโอนข้อมูลส่วนบุคคลไว้อีกด้วย อาทิ ข้อสัญญาที่เป็นไปตามข้อสัญญาในการส่งหรือโอนข้อมูลส่วนบุคคลที่เป็นที่ยอมรับ (Standard Contractual Clauses: SCCs) และการรับรอง (Certification) เกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล เป็นต้น
ซึ่งการมีผลใช้บังคับของประกาศทั้งสองฉบับดังกล่าวจะช่วยส่งเสริมความเชื่อมั่นด้านการคุ้มครองข้อมูลส่วนบุคคลของประเทศ ความเชื่อมั่นต่อระบบเศรษฐกิจดิจิทัล และเพื่อให้ประเทศไทยมีมาตรฐานด้านการคุ้มครองข้อมูลส่วนบุคคลเทียบเท่ามาตรฐานสากล.
ที่มา :