ประกาศ เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยังต่างประเทศตามมาตรา 28 พ.ศ. 2566

4 แนวคิดที่เกี่ยวข้อง · 3 มาตราอ้างอิง
สารบัญในหน้านี้
  1. ใจความสำคัญ
  2. ตัวบท
  3. เหตุผลและฐานอำนาจ
  4. เอกสารต้นฉบับ
  5. แนวคิดที่เกี่ยวข้อง

ใจความสำคัญ

ประกาศฉบับนี้วางหลักเกณฑ์รองรับ มาตรา 28 ว่าประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลจากประเทศไทยต้อง "มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ" หมายถึงอะไร พิจารณาอย่างไร และใครเป็นผู้วินิจฉัย ใช้กับผู้ควบคุมข้อมูลส่วนบุคคลทุกรายที่ส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ มีผลใช้บังคับตั้งแต่วันที่ 24 มีนาคม 2567 (พ้นกำหนด 90 วันนับแต่วันประกาศในราชกิจจานุเบกษา 25 ธันวาคม 2566)

ตัวบท

ข้อ 1 ประกาศนี้เรียกว่า "ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยังต่างประเทศตามมาตรา 28 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2566"

ข้อ 2 ประกาศนี้ให้ใช้บังคับเมื่อพ้นกำหนดเก้าสิบวันนับแต่วันประกาศในราชกิจจานุเบกษาเป็นต้นไป

ข้อ 3 ในประกาศนี้

"ผู้ให้บริการระบบคลาวด์ (cloud computing service provider)" หมายความว่า ผู้ให้บริการเก็บรักษาข้อมูลหรือเก็บพักข้อมูลแก่บุคคลอื่นในรูปแบบชั่วคราวหรือถาวร โดยมีระบบที่บริหารจัดการข้อมูลบนอินเทอร์เน็ต โดยอาจให้บริการในรูปแบบต่าง ๆ เช่น ผู้ให้บริการโครงสร้างพื้นฐานหลัก (Infrastructure as a Service : IaaS) ผู้ให้บริการแพลตฟอร์ม (Platform as a Service : PaaS) ผู้ให้บริการซอฟต์แวร์ (Software as a Service : SaaS) ผู้ให้บริการระบบจัดเก็บข้อมูล (Data Storage as a Service : DSaaS) และผู้ให้บริการระบบบริหารจัดการข้อมูลแบบ Serverless Computing หรือผู้ให้บริการฟังก์ชัน (Function as a Service : FaaS) เป็นต้น

"ส่งหรือโอนข้อมูลส่วนบุคคล" หมายความว่า ส่งหรือโอนข้อมูลส่วนบุคคลโดยผู้ส่งหรือโอนข้อมูลส่วนบุคคล ไม่ว่าจะเป็นการส่งหรือโอนข้อมูลโดยทางกายภาพ หรือผ่านระบบคอมพิวเตอร์หรือระบบเครือข่าย ให้แก่ผู้รับข้อมูลส่วนบุคคล แต่มิให้หมายความรวมถึงการส่งและรับข้อมูลส่วนบุคคลในลักษณะที่เป็นเพียงสื่อกลาง (intermediary) ในการส่งผ่านข้อมูล (data transit) ระหว่างระบบคอมพิวเตอร์หรือระบบเครือข่ายหรือการเก็บพักข้อมูล (data storage) ในรูปแบบชั่วคราวหรือถาวรที่ไม่มีบุคคลภายนอกเข้าถึงข้อมูลส่วนบุคคลดังกล่าว นอกเหนือจากผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่เป็นผู้ส่งข้อมูลส่วนบุคคลนั้น หรือบุคลากร พนักงาน หรือลูกจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลนั้น เช่น กรณีการส่งข้อมูลผ่านระบบเครือข่ายในต่างประเทศ หรือการส่งข้อมูลผ่านระบบของผู้ให้บริการระบบคลาวด์ (cloud computing service provider) ที่ไม่มีบุคคลใดนอกจากผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่เป็นผู้ส่งข้อมูลส่วนบุคคลนั้น หรือบุคลากร พนักงาน หรือลูกจ้าง เข้าถึงข้อมูลส่วนบุคคล เนื่องจากมีมาตรการทางเทคนิคหรือเงื่อนไขทางกฎหมายรองรับ

"คณะกรรมการ" หมายถึง คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

"สำนักงาน" หมายถึง สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

ข้อ 4 ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ โดยต้องเป็นไปตามหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลตามประกาศนี้ เว้นแต่

(1) เป็นการปฏิบัติตามกฎหมาย

(2) ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลโดยได้แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอของประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลแล้ว

(3) เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น

(4) เป็นการกระทำตามสัญญาระหว่างผู้ควบคุมข้อมูลส่วนบุคคลกับบุคคลหรือนิติบุคคลอื่นเพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคล

(5) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วนบุคคลหรือบุคคลอื่น เมื่อเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมในขณะนั้นได้

(6) เป็นการจำเป็นเพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ

ข้อ 5 หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคล ซึ่งประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอตามข้อ 4 ให้พิจารณาจากข้อเท็จจริงเกี่ยวกับความเพียงพอของปัจจัย ดังต่อไปนี้

(1) มีมาตรการหรือกลไกทางกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของประเทศปลายทางหรือองค์การระหว่างประเทศที่สอดคล้องกับกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย โดยเฉพาะหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลในการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม มาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมและสามารถบังคับตามสิทธิของเจ้าของข้อมูลส่วนบุคคลได้ และมาตรการเยียวยาทางกฎหมายที่มีประสิทธิภาพ

(2) มีหน่วยงานหรือองค์กรที่มีหน้าที่และอำนาจในการบังคับใช้กฎหมายและกฎระเบียบเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลในประเทศปลายทางหรือองค์การระหว่างประเทศ

ข้อ 6 ในการเสนอปัญหาเกี่ยวกับมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอของประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลต่อคณะกรรมการเป็นผู้วินิจฉัยตามมาตรา 28 วรรคสาม สำนักงานอาจรับเรื่องที่มีผู้ควบคุมข้อมูลส่วนบุคคลเสนอให้มีการวินิจฉัย หรือสำนักงานอาจรวบรวมข้อมูลและเสนอโดยสำนักงานเองก็ได้ โดยคณะกรรมการอาจพิจารณาวินิจฉัยเป็นรายกรณี หรือพิจารณากำหนดรายชื่อประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคล ซึ่งถือว่ามีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอก็ได้

สำนักงานอาจขอให้คณะกรรมการทบทวนคำวินิจฉัยได้เมื่อมีหลักฐานใหม่ทำให้เชื่อได้ว่าประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลมีการพัฒนาจนมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ หรือกรณีอื่นที่เห็นสมควร

ข้อ 7 ในการดำเนินการเพื่อเสนอเรื่องให้คณะกรรมการวินิจฉัยตามข้อ 6 ให้สำนักงานจัดทำเป็นรายงานมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลของประเทศปลายทางหรือองค์การระหว่างประเทศ โดยสำนักงานอาจจัดทำเองหรือเสนอรายงานของหน่วยงานอื่นก็ได้

ข้อ 8 ให้ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคลเป็นผู้รักษาการตามประกาศนี้

ประกาศ ณ วันที่ 25 ธันวาคม พ.ศ. 2566

เธียรชัย ณ นคร

ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคล

เหตุผลและฐานอำนาจ

อาศัยอำนาจตามความในมาตรา 16 (4) และ (5) ประกอบมาตรา 28 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล จึงออกประกาศไว้ดังต่อไปนี้ (ประกาศฉบับนี้ไม่มีย่อหน้าเหตุผล "โดยที่..." ใน preamble)

เอกสารต้นฉบับ

หมายเหตุ: วันที่มีผลใช้บังคับ (24 มีนาคม 2567) คำนวณจากวันประกาศในราชกิจจานุเบกษา 25 ธันวาคม 2566 + 90 วัน ตามข้อ 2 ของประกาศ