การส่งข้อมูลส่วนบุคคลไปต่างประเทศ
สารบัญในมาตรานี้
นิยาม
การส่งข้อมูลส่วนบุคคลไปต่างประเทศ คือการที่ผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูลในราชอาณาจักรส่งหรือโอนข้อมูลส่วนบุคคลไปยังประเทศปลายทางหรือองค์การระหว่างประเทศ — ต้องเป็นไปตามเงื่อนไขที่ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลกำหนด เพื่อให้แน่ใจว่าข้อมูลที่ส่งไปยังคงได้รับการคุ้มครองในระดับที่เพียงพอ
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลกำหนดข้อบังคับไว้ใน มาตรา 28 (หลักทั่วไป + 7 ข้อยกเว้น) และ มาตรา 29 (กลไกเพิ่มเติม: นโยบายในเครือกิจการ + มาตรการเยียวยา)
ตัวอย่าง
หลักทั่วไปตาม มาตรา 28
หลัก: ส่งข้อมูลไปยังประเทศปลายทาง/องค์การระหว่างประเทศ ที่มีมาตรฐานการคุ้มครองข้อมูลที่ "เพียงพอ" ตามที่คณะกรรมการประกาศกำหนดตาม มาตรา 16 (5)
ตัวอย่างประเทศที่อาจเข้าเกณฑ์มาตรฐานเพียงพอ:
- ประเทศที่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลเทียบเคียงกับ GDPR (เช่น สหภาพยุโรป สวิตเซอร์แลนด์ แคนาดา ญี่ปุ่น เกาหลีใต้)
- ประเทศที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของไทยประกาศรับรอง
7 ข้อยกเว้นที่ส่งได้แม้ประเทศปลายทางไม่มีมาตรฐานเพียงพอ (มาตรา 28)
- การปฏิบัติตามกฎหมาย — เช่น การส่งข้อมูลตามคำสั่งศาล หรือสนธิสัญญาระหว่างประเทศ
- ความยินยอมโดยชัดแจ้ง — เจ้าของข้อมูลให้ความยินยอมโดยชัดแจ้ง หลังจากที่ได้รับการแจ้งถึงความเสี่ยงในการส่งข้อมูลไปยังประเทศที่มาตรฐานคุ้มครองไม่เพียงพอ
- การปฏิบัติตามสัญญากับเจ้าของข้อมูล — เช่น ลูกค้าจองโรงแรมในต่างประเทศ ข้อมูลต้องส่งให้โรงแรม
- การปฏิบัติตามสัญญาเพื่อประโยชน์ของเจ้าของข้อมูล — เช่น สัญญาระหว่างผู้ควบคุมและบุคคลที่สาม ที่ทำเพื่อเจ้าของข้อมูล
- การป้องกันอันตรายต่อชีวิต/ร่างกาย/สุขภาพ ของเจ้าของข้อมูลหรือบุคคลอื่นที่ไม่อาจให้ความยินยอม
- การดำเนินกิจการเพื่อประโยชน์สำคัญสาธารณะ
- กรณีอื่นๆ ที่คณะกรรมการประกาศกำหนด — เพื่อความยืดหยุ่นในอนาคต
กลไกในเครือกิจการตาม มาตรา 29
นโยบายในการคุ้มครองข้อมูลส่วนบุคคลของเครือกิจการ:
- เครือบริษัทแม่-ลูกที่อยู่ในหลายประเทศ จัดทำ "นโยบายในการคุ้มครองข้อมูลส่วนบุคคล" ภายในเครือ
- ส่งให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตรวจสอบและรับรอง
- เมื่อได้รับการรับรอง — ส่งข้อมูลภายในเครือไปยังต่างประเทศได้โดยไม่ต้องตรวจสอบประเทศปลายทางทุกครั้ง
กรณีที่ยังไม่มีคำวินิจฉัยของคณะกรรมการ (มาตรา 29 วรรคสาม):
- ผู้ควบคุม/ผู้ประมวลผลต้องจัดให้มี มาตรการคุ้มครองที่เหมาะสม ที่สามารถบังคับตามสิทธิของเจ้าของข้อมูลได้
- รวมทั้งต้องมี มาตรการเยียวยาทางกฎหมายที่มีประสิทธิภาพ ตามหลักเกณฑ์ที่คณะกรรมการประกาศกำหนด
กรณีศึกษา
- บริษัทไทยที่ใช้บริการคลาวด์จากสหรัฐอเมริกา (AWS, Google Cloud, Azure): การฝากข้อมูลในเซิร์ฟเวอร์สหรัฐฯ = การส่งข้อมูลไปต่างประเทศ — ต้องเข้าฐานข้อยกเว้นใน มาตรา 28 หรือใช้กลไก มาตรา 29
- โรงพยาบาลที่ส่งผลตรวจให้แพทย์เฉพาะทางในต่างประเทศ: ข้อมูลอ่อนไหว — ต้องระมัดระวังเป็นพิเศษเพราะ มาตรา 84 กำหนดโทษทางปกครองสูงสุด 5 ล้านบาทสำหรับการฝ่าฝืน มาตรา 28 เกี่ยวกับข้อมูลอ่อนไหว
- บริษัทข้ามชาติส่งข้อมูลพนักงานให้สำนักงานใหญ่ในต่างประเทศ: ใช้กลไกนโยบายในการคุ้มครองข้อมูลส่วนบุคคลของเครือกิจการตาม มาตรา 29
มาตราที่เกี่ยวข้อง
บทบัญญัติหลัก:
- มาตรา 28 — ⭐ มาตราหลัก: หลักทั่วไป + 7 ข้อยกเว้น + อ้างถึง มาตรา 16 (5) สำหรับเกณฑ์ของคณะกรรมการ
- มาตรา 29 — กลไกเพิ่มเติม: นโยบายในการคุ้มครองข้อมูลของเครือกิจการ + มาตรการเยียวยา
บริบทอื่น:
- มาตรา 5 — ขอบเขตของ พ.ร.บ. — ใช้กับการประมวลผลในและนอกราชอาณาจักรโดยผู้ควบคุม/ผู้ประมวลผลในไทย
- มาตรา 16 (5) — อำนาจคณะกรรมการในการกำหนดเกณฑ์ "มาตรฐานการคุ้มครองที่เพียงพอ" + นโยบายในการคุ้มครองข้อมูลของเครือกิจการ
- มาตรา 26 — ข้อมูลอ่อนไหว — การส่งต่างประเทศข้อมูลอ่อนไหวต้องระมัดระวังเป็นพิเศษ (ดูโทษใน มาตรา 84)
โทษ:
- มาตรา 84 — โทษทางปกครอง: ปรับไม่เกิน 5 ล้านบาท สำหรับการฝ่าฝืน มาตรา 28 หรือ มาตรา 29 วรรคหนึ่ง/วรรคสาม เกี่ยวกับข้อมูลอ่อนไหว
ประกาศที่เกี่ยวข้อง
-
หมายเหตุ
- "มาตรฐานคุ้มครองที่เพียงพอ" ขึ้นกับประกาศคณะกรรมการ: มาตรา 28 กำหนดให้คณะกรรมการประกาศเกณฑ์ — เกณฑ์นี้คล้ายกับคำวินิจฉัยรับรองระดับการคุ้มครองที่เพียงพอตาม GDPR Art. 45 ที่คณะกรรมาธิการยุโรปประกาศรายชื่อประเทศที่มีระดับการคุ้มครองเทียบเคียง
- ส่งภายในเครือกิจการ vs ส่งให้บุคคลภายนอก: มาตรา 29 ให้ทางเลือกแก่เครือกิจการ — ส่วนการส่งให้บุคคลภายนอกในต่างประเทศ ต้องใช้ฐานข้อยกเว้นใน มาตรา 28 หรือพิสูจน์ "มาตรฐานเพียงพอ"
- การฝากข้อมูลในคลาวด์ = การส่งต่างประเทศ: การที่ผู้ควบคุมในไทยฝากข้อมูลบนเซิร์ฟเวอร์ของผู้ให้บริการคลาวด์ที่ตั้งอยู่ต่างประเทศ (AWS, Google Cloud, Azure) — เข้าข่ายการส่งต่างประเทศตาม มาตรา 28 แม้จะเป็นผู้ประมวลผลก็ตาม
- เทียบกับ GDPR บทที่ 5 (Art. 44-50): มาตรา 28 + มาตรา 29 เทียบเคียงกับ GDPR Art. 44-50 — ทั้งสองระบบเน้นว่าการส่งข้อมูลข้ามพรมแดนต้องไม่ลดทอนระดับการคุ้มครอง — GDPR เพิ่มกลไกเฉพาะเช่นข้อสัญญามาตรฐานและกฎเกณฑ์ของกลุ่มกิจการ (BCR) ที่ พ.ร.บ. ไทยใช้แนวคิดคล้ายใน มาตรา 29
- กลไกถอนความยินยอม: กรณีที่ใช้ฐาน (2) ความยินยอมโดยชัดแจ้ง — เจ้าของข้อมูลถอนความยินยอมได้ แต่ผู้ควบคุมต้องแจ้งผลกระทบและจัดให้ถอนได้ง่าย (ตามหลักทั่วไปของ มาตรา 19)
- ภาระการพิสูจน์อยู่ที่ผู้ส่ง: ผู้ควบคุม/ผู้ประมวลผลในไทยต้องพิสูจน์ได้ว่าการส่งข้อมูลไปต่างประเทศแต่ละครั้งอยู่บนฐานที่ชอบด้วยกฎหมาย — บันทึกใน ROPA ตาม มาตรา 39 เป็นเครื่องมือสำคัญ