ระเบียบ ว่าด้วยการตรวจสอบและรับรองนโยบาย BCR ในเครือกิจการหรือเครือธุรกิจเดียวกัน พ.ศ. 2568

5 แนวคิดที่เกี่ยวข้อง · 6 มาตราอ้างอิง
สารบัญในหน้านี้
  1. ใจความสำคัญ
  2. ตัวบท
  3. เหตุผลและฐานอำนาจ
  4. เอกสารต้นฉบับ
  5. แนวคิดที่เกี่ยวข้อง

ใจความสำคัญ

ระเบียบฉบับนี้เป็นกฎหมายลำดับรองชั้นปฏิบัติการที่ออกโดยสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (ต่างจากประกาศส่วนใหญ่ในชุดนี้ที่ออกโดยคณะกรรมการ) วางขั้นตอนการตรวจสอบและรับรองนโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกัน (Binding Corporate Rules — BCR) ซึ่งเป็นเครื่องมือส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศตาม มาตรา 29 ที่ ประกาศหลักเกณฑ์ตามมาตรา 29 พ.ศ. 2566 กำหนดไว้ในข้อ 5-7 ใช้บังคับตั้งแต่วันประกาศ (29 กันยายน 2568)

ตัวบท

ข้อ 1 ระเบียบนี้เรียกว่า "ระเบียบสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลว่าด้วยการตรวจสอบและรับรองนโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกัน พ.ศ. 2568"

ข้อ 2 ระเบียบนี้ให้ใช้บังคับตั้งแต่วันประกาศเป็นต้นไป

ข้อ 3 ในระเบียบนี้

"นโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกัน (Binding Corporate Rules หรือ BCR)" หมายความว่า นโยบายหรือข้อตกลงในการคุ้มครองข้อมูลส่วนบุคคลที่ผู้ส่งหรือโอนข้อมูลส่วนบุคคลและผู้รับข้อมูลส่วนบุคคลตกลงร่วมกันและมีผลผูกพัน เพื่อกำหนดมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมระหว่างเครือกิจการหรือเครือธุรกิจเดียวกัน

"นโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกันสำหรับผู้ควบคุมข้อมูลส่วนบุคคล (BCR for Controllers หรือ BCR-C)" หมายความว่า นโยบายหรือข้อตกลงในการคุ้มครองข้อมูลส่วนบุคคลที่ผู้ส่งหรือโอนข้อมูลส่วนบุคคลและผู้รับข้อมูลส่วนบุคคลตกลงร่วมกันและมีผลผูกพัน เพื่อกำหนดมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมระหว่างเครือกิจการหรือเครือธุรกิจเดียวกันที่ใช้บังคับในกรณีที่สมาชิกของนโยบายทำการส่งหรือโอนและประมวลผลข้อมูลส่วนบุคคลในฐานะผู้ควบคุมข้อมูลส่วนบุคคล

"นโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกันสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล (BCR for Processors หรือ BCR-P)" หมายความว่า นโยบายหรือข้อตกลงในการคุ้มครองข้อมูลส่วนบุคคลที่ผู้ส่งหรือโอนข้อมูลส่วนบุคคลและผู้รับข้อมูลส่วนบุคคลตกลงร่วมกันและมีผลผูกพัน เพื่อกำหนดมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมระหว่างเครือกิจการหรือเครือธุรกิจเดียวกันที่ใช้บังคับในกรณีที่สมาชิกของนโยบายทำการส่งหรือโอนข้อมูลส่วนบุคคลในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นบุคคลภายนอก

"เครือกิจการหรือเครือธุรกิจเดียวกัน" หมายความว่า กิจการที่ผู้ประกอบกิจการมีอำนาจควบคุมหรือบริหารจัดการเหนือกิจการอื่น หรือกิจการที่ถูกควบคุมโดยผู้ประกอบกิจการที่มีอำนาจเหนือกิจการอื่น ในรูปแบบบริษัทใหญ่ บริษัทย่อย หรือบริษัทร่วม รวมทั้งบุคคลธรรมดาหรือนิติบุคคลที่มีความเกี่ยวข้องกันทางกฎหมายหรือเกี่ยวข้องกันเนื่องจากประกอบกิจการหรือธุรกิจร่วมกัน โดยใช้หลักเกณฑ์การพิจารณาตามกฎหมายที่เกี่ยวข้องและมาตรฐานทางบัญชีอันเป็นที่ยอมรับโดยทั่วไป

"สมาชิกของนโยบาย (BCR Member)" หมายความว่า นิติบุคคลภายในเครือกิจการหรือเครือธุรกิจเดียวกันที่ตกลงผูกพันตนตามข้อกำหนดของนโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกัน

"สมาชิกของนโยบายผู้รับผิด (Liable BCR Member)" หมายความว่า สมาชิกของนโยบายที่จัดตั้งขึ้นในราชอาณาจักรและมีสำนักงานอยู่ในราชอาณาจักรที่ได้รับการระบุไว้อย่างชัดแจ้งในนโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกันว่าตกลงยอมรับผิดและรับผิดชอบในการชดใช้ค่าสินไหมทดแทนสำหรับความเสียหายใด ๆ ที่เกิดจากการละเมิดนโยบายโดยสมาชิกของนโยบายรายอื่นที่อยู่นอกราชอาณาจักร เพื่อเป็นหลักประกันว่าเจ้าของข้อมูลส่วนบุคคลในราชอาณาจักรจะมีช่องทางที่เข้าถึงกระบวนการร้องเรียนได้อย่างมีประสิทธิภาพ และได้รับการเยียวยาความเสียหายผ่านกระบวนการร้องเรียนหรือการใช้สิทธิทางศาลในราชอาณาจักรได้

"ข้อตกลงระหว่างเครือกิจการหรือเครือธุรกิจเดียวกัน (Intra-Group Agreement - IGA)" หมายความว่า สัญญาหรือข้อตกลงที่เป็นลายลักษณ์อักษรซึ่งจัดทำขึ้นระหว่างสมาชิกของนโยบาย เพื่อกำหนดสภาพบังคับทางกฎหมายภายในเครือกิจการหรือเครือธุรกิจเดียวกันให้นโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกันมีผลผูกพันกับสมาชิกทุกราย

"สิทธิของบุคคลภายนอกผู้รับประโยชน์ (Third-Party Beneficiary Rights)" หมายความว่า สิทธิที่นโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกันกำหนดขึ้นอย่างชัดแจ้งโดยไม่มีเงื่อนไข เพื่อให้เจ้าของข้อมูลส่วนบุคคลสามารถใช้สิทธิตามนโยบาย หรือฟ้องร้องบังคับคดีตามข้อกำหนดในนโยบายได้โดยตรงต่อสมาชิกของนโยบายเสมือนหนึ่งเป็นคู่สัญญา

"สำนักงาน" หมายความว่า สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

"เลขาธิการ" หมายความว่า เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

"พนักงาน" หมายความว่า บุคคลผู้ที่สำนักงานบรรจุและแต่งตั้งเป็นพนักงาน โดยมีการกำหนดเงื่อนไขการจ้างตามที่ระบุในสัญญาการปฏิบัติงานหรือข้อตกลงการจ้าง

"พนักงานผู้รับผิดชอบ (Case Officer)" หมายความว่า พนักงานที่ผู้อำนวยการสำนักตรวจสอบและกำกับดูแลมอบหมายให้พิจารณาเนื้อหาของนโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกัน พร้อมจัดทำความเห็นเสนอผู้บังคับบัญชาตามลำดับ

หมวด 1 บททั่วไป

ส่วนที่ 1 ขอบเขตการบังคับใช้

ข้อ 4 ระเบียบนี้ให้ใช้เป็นแนวทางในการพิจารณาการยื่นคำขอ การพิจารณา การตรวจสอบและรับรอง และการกำกับดูแลนโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกัน สำหรับการส่งหรือโอนข้อมูลส่วนบุคคลจากประเทศไทยโดยผู้ส่งหรือโอนข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักรไปยังผู้รับข้อมูลส่วนบุคคลซึ่งอยู่ต่างประเทศและอยู่ในเครือกิจการหรือเครือธุรกิจเดียวกันเพื่อการประกอบกิจการหรือธุรกิจร่วมกัน โดยประเทศปลายทางนั้นอาจมีหรือไม่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนดก็ได้

ระเบียบนี้ครอบคลุมนโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกัน ทั้งสองประเภท ได้แก่ นโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกันสำหรับผู้ควบคุมข้อมูลส่วนบุคคล (BCR for Controllers หรือ BCR-C) และนโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกันสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล (BCR for Processors หรือ BCR-P)

หมวด 2 หลักการพื้นฐานและประเภทของนโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกัน

ส่วนที่ 1 สถานะทางกฎหมายของนโยบาย

ข้อ 5 นโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกันที่ได้รับการตรวจสอบและรับรองตามระเบียบนี้ เป็นหนึ่งในเครื่องมือในการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศตามมาตรา 29 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

ส่วนที่ 2 การจำแนกประเภทของนโยบาย

ข้อ 6 ประเภทของนโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกัน อาจจำแนกได้สองประเภท ได้แก่ นโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกันสำหรับผู้ควบคุมข้อมูลส่วนบุคคล (BCR for Controllers หรือ BCR-C) หรือนโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกันสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล (BCR for Processors หรือ BCR-P)

หมวด 3 การยื่นคำขอตรวจสอบและรับรองนโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกัน

ส่วนที่ 1 การพิจารณาคุณสมบัติของผู้ยื่นคำขอตรวจสอบและรับรอง

ข้อ 7 ผู้ยื่นคำขอต้องเป็นสมาชิกของเครือกิจการหรือเครือธุรกิจเดียวกัน ในการพิจารณาคำขอตรวจสอบและรับรองนโยบาย ให้สำนักงานพิจารณาว่าผู้ยื่นคำขอนั้นได้จัดตั้งขึ้นตามกฎหมายไทยและมีสถานประกอบการในราชอาณาจักรหรือไม่ โดยสำนักงานอาจพิจารณาจากลักษณะอย่างใดอย่างหนึ่ง ดังต่อไปนี้

(1) เป็นสำนักงานใหญ่ของเครือกิจการหรือเครือธุรกิจเดียวกันในราชอาณาจักร

(2) ในกรณีที่เครือกิจการหรือเครือธุรกิจเดียวกันไม่มีสำนักงานใหญ่ในราชอาณาจักร ผู้ยื่นคำขอต้องเป็นสมาชิกที่ได้รับมอบหมายให้มีหน้าที่รับผิดชอบด้านการคุ้มครองข้อมูลส่วนบุคคลในราชอาณาจักร

นิติบุคคลผู้ยื่นคำขอตามวรรคหนึ่ง ต้องเป็นนิติบุคคลเดียวกับที่ถูกกำหนดให้เป็นสมาชิกของนโยบายผู้รับผิด

ส่วนที่ 2 การตรวจเอกสารประกอบคำขอตรวจสอบและรับรอง

ข้อ 8 ให้ผู้ยื่นคำขอจัดทำคำขอและเอกสารประกอบคำขอตรวจสอบและรับรองเป็นภาษาไทย โดยสำนักงานอาจกำหนดแบบสำหรับการยื่นคำขอเพื่ออำนวยความสะดวกก็ได้ กรณีที่เอกสารประกอบคำขอเป็นภาษาต่างประเทศ เพื่อความสะดวกรวดเร็วและสอดคล้องกับกฎหมายว่าด้วยวิธีปฏิบัติราชการทางปกครอง ผู้ยื่นคำขอควรจัดทำคำแปลเป็นภาษาไทยที่มีการรับรองความถูกต้องมาพร้อมด้วย ซึ่งประกอบด้วยเอกสารอย่างน้อย ดังต่อไปนี้

(1) คำขอให้ตรวจสอบและรับรองนโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกันตามประเภทที่ถูกต้อง (BCR-C หรือ BCR-P) โดยต้องมีรายละเอียดสำคัญถูกต้องครบถ้วนตามที่กำหนดไว้ในข้อ 7 ของประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยังต่างประเทศตามมาตรา 29 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2566

(2) เอกสารนโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกัน ฉบับสมบูรณ์พร้อมภาคผนวกของนโยบายนั้นทั้งหมด เช่น รายชื่อสมาชิกของนโยบายที่ผูกพันตามนโยบาย

(3) เครื่องมือทางกฎหมายที่ใช้กำหนดสภาพบังคับ (Binding Instrument) เช่น ร่างข้อตกลงระหว่างเครือกิจการ (Intra-Group Agreement - IGA)

(4) เพื่อประโยชน์ในการพิจารณาคำขอให้เป็นไปอย่างรวดเร็วและมีประสิทธิภาพ ผู้ยื่นคำขออาจนำส่งตารางตรวจสอบองค์ประกอบและหลักการ (Referential Checklist) ตามประเภทของนโยบายที่ถูกต้อง (BCR-C หรือ BCR-P) เพื่อใช้ในการประกอบการพิจารณาคำขอให้ตรวจสอบและรับรองนโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกัน โดยตารางตรวจสอบองค์ประกอบและหลักการดังกล่าวควรมีการอ้างอิงข้อกำหนดแต่ละข้อตามระเบียบนี้ไปยังเนื้อหาส่วนที่เกี่ยวข้องในเอกสารนโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกัน และเครื่องมือทางกฎหมายที่ใช้กำหนดสภาพบังคับ

(5) เอกสารประกอบอื่น ๆ ที่มีการอ้างอิงถึงในนโยบาย (ถ้ามี) เช่น นโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับเต็ม ระเบียบปฏิบัติด้านการตรวจสอบ หรือเอกสารการฝึกอบรม

(6) หนังสือรับรองความเป็นนิติบุคคลที่รับรองโดยหน่วยงานของรัฐในราชอาณาจักรที่มีอำนาจ

(7) หนังสือมอบอำนาจให้ยื่นคำขอตรวจสอบและรับรองแทนที่มีรายละเอียดเรื่องที่มอบอำนาจและติดอากรแสตมป์ที่ถูกต้องครบถ้วน และลงนามโดยผู้มอบอำนาจและผู้รับมอบอำนาจ พร้อมแนบสำเนาบัตรประจำตัวประชาชน สำเนาหนังสือเดินทาง หรือสำเนาเอกสารประจำตัวอื่นของผู้มอบอำนาจและผู้รับมอบอำนาจ ซึ่งออกโดยราชการซึ่งรับรองสำเนาถูกต้องโดยผู้มอบอำนาจและผู้รับมอบอำนาจ กรณีที่มีการมอบอำนาจให้ยื่นคำขอตรวจสอบและรับรองแทน

(8) เอกสารประกอบอื่น ๆ (ถ้ามี)

การรับรองคำแปลตามวรรคหนึ่ง ให้กระทำโดยทนายความผู้ได้รับใบอนุญาตให้รับรองลายมือชื่อและเอกสาร (Notary Public) หรือบุคคลตามที่ระบุไว้ในกฎกระทรวง (พ.ศ. 2540) ออกตามความในพระราชบัญญัติวิธีปฏิบัติราชการทางปกครอง พ.ศ. 2539 มาตรา 26 วรรคสอง

ส่วนที่ 3 ช่องทางสำหรับยื่นคำขอตรวจสอบและรับรอง

ข้อที่ 9 ให้สำนักงานจัดให้มีช่องทางสำหรับยื่นคำขอตรวจสอบและรับรอง ดังต่อไปนี้

(1) ยื่นโดยตรงต่อสำนักงาน

(2) ยื่นผ่านทางไปรษณีย์มายังสำนักงาน

(3) ยื่นผ่านทางไปรษณีย์อิเล็กทรอนิกส์

(4) ยื่นผ่านทางช่องทางอื่นใดตามที่สำนักงานกำหนด

ผู้ยื่นคำขอต้องยื่นคำขอตรวจสอบและรับรองผ่านช่องทางใดช่องทางหนึ่งตามวรรคหนึ่งเพียงช่องทางเดียวเท่านั้น

ส่วนที่ 4 ขั้นตอนการยื่นคำขอตรวจสอบและรับรอง

ข้อ 10 เมื่อสำนักงานได้รับคำขอแล้ว ให้ดำเนินการตามขั้นตอน ดังนี้

(1) การรับคำขอและการตรวจสอบความสมบูรณ์ (Application Receipt & Administrative Check) สำนักงานจะตรวจสอบความถูกต้องครบถ้วนของเอกสารตามข้อ 8 หากถูกต้องครบถ้วน ให้พนักงานออกใบรับคำขอ โดยระบุวันที่รับคำขอและรหัสอ้างอิงในการรับคำขอให้แก่ผู้ยื่นคำขอ หากเอกสารไม่ครบถ้วนจะแจ้งให้ผู้ยื่นคำขอจัดส่งเพิ่มเติมภายในระยะเวลาที่กำหนด

(2) การประเมินเบื้องต้นและการมอบหมายผู้รับผิดชอบ (Preliminary Assessment & Assignment) เมื่อเอกสารครบถ้วน สำนักงานจะทำการประเมินเบื้องต้นเพื่อทำความเข้าใจภาพรวมและจำแนกประเภทของนโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกัน พร้อมทั้งมอบหมายให้พนักงานผู้รับผิดชอบ (Case Officer) เป็นผู้ดำเนินการพิจารณาในขั้นตอนต่อไป

ส่วนที่ 5 กระบวนการพิเศษสำหรับนโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกันที่ได้รับการรับรองจากหน่วยงานกำกับดูแลอื่น

ข้อ 11 นโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกันที่ได้รับการตรวจสอบและรับรองตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)) หรือกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของสหราชอาณาจักร (UK GDPR) หรือจากประเทศตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนดตามมาตรา 28 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 แล้ว ผู้ยื่นคำขออาจยื่นคำขอตรวจสอบและรับรองตามกระบวนการพิเศษได้ตามที่กำหนดไว้ในส่วนนี้

ผู้ยื่นคำขอตามวรรคหนึ่ง อาจยื่นเอกสารดังต่อไปนี้แทนเอกสารประกอบคำขอตามข้อ 8 กรณีที่เอกสารประกอบคำขอเป็นภาษาต่างประเทศ เพื่อความสะดวกรวดเร็วและสอดคล้องกับกฎหมายว่าด้วยวิธีปฏิบัติราชการทางปกครอง ผู้ยื่นคำขอควรจัดทำคำแปลเป็นภาษาไทยที่มีการรับรองความถูกต้องมาพร้อมด้วย

(1) หลักฐานที่แสดงว่านโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกันได้รับการรับรองจากหน่วยงานกำกับดูแล (Supervisory Authority) ที่มีอำนาจของสหภาพยุโรปหรือสหราชอาณาจักร หรือจากประเทศตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนดตามมาตรา 28 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

(2) สำเนาเอกสารนโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกันฉบับที่ได้รับการรับรองดังกล่าว

(3) เอกสาร "ข้อกำหนดเพิ่มเติมสำหรับประเทศไทย" (Thai BCR Addendum) ซึ่งควรมีเนื้อหาอย่างน้อย ดังต่อไปนี้

(ก) การระบุชื่อสมาชิกของนโยบายผู้รับผิดที่จัดตั้งขึ้นในประเทศไทย

(ข) การยืนยันว่าเจ้าของข้อมูลส่วนบุคคลในประเทศไทยมีสิทธิของบุคคลภายนอกผู้รับประโยชน์ที่สามารถร้องเรียน และฟ้องร้องบังคับคดีตามนโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกันได้ในราชอาณาจักร

(ค) การยอมรับอำนาจกำกับดูแลของสำนักงานและเขตอำนาจศาลไทยในประเด็นที่เกี่ยวข้องกับนโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกัน

(ง) การชี้แจงหรือเพิ่มเติมข้อกำหนดอื่นใดเพื่อให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 อนุบัญญัติที่เกี่ยวข้อง และระเบียบนี้

ให้นำความในข้อ 8 วรรคสอง มาใช้กับการรับรองตามข้อนี้โดยอนุโลม

หมวด 4 องค์ประกอบและหลักการสำคัญของนโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกัน

ข้อ 12 ในการรับรองนโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกันที่ยื่นขอรับการตรวจสอบและรับรอง ให้สำนักงานพิจารณาเนื้อหาและหลักการสำคัญ ดังต่อไปนี้

(1) การมีผลและสภาพบังคับในทางกฎหมาย โดยนโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกันแสดงให้เห็นอย่างเหมาะสมถึงกลไกที่สร้างสภาพบังคับทางกฎหมายทั้งภายในและภายนอกเครือกิจการหรือเครือธุรกิจเดียวกัน

(2) การบังคับใช้อย่างมีประสิทธิผล นโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกันแสดงให้เห็นอย่างเหมาะสมถึงกลไกที่สามารถตรวจสอบได้เพื่อให้แน่ใจว่ามีการปฏิบัติตามนโยบายในทางปฏิบัติอย่างแท้จริง

(3) หน้าที่ในการให้ความร่วมมือ นโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกันมีข้อความที่ระบุอย่างชัดแจ้งและมีเงื่อนไขว่าสมาชิกของนโยบายทุกรายตกลงที่จะให้ความร่วมมือกับสำนักงานในการปฏิบัติหน้าที่ ยอมรับการตรวจสอบจากสำนักงาน และปฏิบัติตามคำแนะนำและคำสั่งของสำนักงานในประเด็นที่เกี่ยวข้องกับนโยบาย สำหรับนโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกันสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล (BCR-P) ควรมีข้อกำหนดเพิ่มเติมเกี่ยวกับหน้าที่ในการให้ความร่วมมือและช่วยเหลือผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นบุคคลภายนอกในการปฏิบัติตามกฎหมาย

(4) ข้อกำหนดที่รับรองการคุ้มครองข้อมูลส่วนบุคคล นโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกันได้กำหนดสิทธิของเจ้าของข้อมูลส่วนบุคคลและการร้องเรียนสำหรับข้อมูลส่วนบุคคลที่ถูกส่งหรือโอนไปยังต่างประเทศในเครือกิจการหรือเครือธุรกิจเดียวกัน

(5) มาตรการคุ้มครองข้อมูลส่วนบุคคล นโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกันแสดงให้เห็นอย่างเหมาะสมถึงหลักการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายเข้าไว้เป็นส่วนหนึ่งของข้อผูกพัน ซึ่งอย่างน้อยต้องประกอบด้วยหลักการพื้นฐานด้านการคุ้มครองข้อมูลส่วนบุคคล มาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมซึ่งต้องเป็นไปตามมาตรฐานขั้นต่ำตามที่กฎหมายกำหนด

(6) ความรับผิดชอบและกลไกสนับสนุนอื่น ๆ นโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกันควรแสดงให้เห็นถึงกลไกความรับผิดชอบ (Accountability) อื่น ๆ เช่น การจัดทำและเก็บรักษาบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activities หรือ ROPA) และแนวทางการประเมินความเสี่ยง เป็นต้น

หมวด 5 กระบวนการพิจารณาและการรับรองของสำนักงาน

ส่วนที่ 1 การตรวจสอบความสมบูรณ์ของคำขอ

ข้อ 13 สำนักงานจะดำเนินการตรวจสอบความถูกต้องครบถ้วนของเอกสารประกอบคำขอตรวจสอบและรับรองตามที่กำหนดในข้อ 8 ภายใน 15 วัน นับแต่วันที่ได้รับคำขอ หากถูกต้องครบถ้วน ให้พนักงานออกใบรับคำขอ โดยระบุวันที่รับคำขอและรหัสอ้างอิงในการรับคำขอให้แก่ผู้ยื่นคำขอ หากพบว่าไม่ถูกต้องหรือไม่ครบถ้วน ให้สำนักงานแจ้งให้ผู้ยื่นคำขอดำเนินการแก้ไขหรือจัดส่งเอกสารประกอบคำขอเพิ่มเติมภายในระยะเวลาที่เหมาะสม

ส่วนที่ 2 การพิจารณาเชิงเนื้อหา

ข้อ 14 หากคำขอตรวจสอบและรับรองมีความครบถ้วนสมบูรณ์ตามข้อ 13 แล้ว ให้พนักงานผู้รับผิดชอบ (Case Officer) ดำเนินการพิจารณาเนื้อหาของนโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกันและเอกสารประกอบโดยละเอียด

ในระหว่างการพิจารณา สำนักงานอาจมีหนังสือร้องขอข้อมูลเพิ่มเติมหรือหนังสือร้องขอให้แก้ไขไปยังผู้ยื่นคำขอหรือผู้รับมอบอำนาจเพื่อขอให้ชี้แจงประเด็นที่ยังไม่ชัดเจน หรือแก้ไขเนื้อหาส่วนที่ยังไม่สอดคล้องกับหลักเกณฑ์ตามประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยังต่างประเทศตามมาตรา 29 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2566

ส่วนที่ 3 การจัดทำความเห็นและการพิจารณา

ข้อ 15 เมื่อได้รับข้อมูลหรือเอกสารฉบับแก้ไขที่ครบถ้วนสมบูรณ์จากผู้ยื่นคำขอและกระบวนการพิจารณาเชิงเนื้อหาเสร็จสิ้นแล้ว ให้พนักงานผู้รับผิดชอบ (Case Officer) จัดทำรายงานสรุปผลการพิจารณาพร้อมความเห็นเสนอผู้บังคับบัญชาตามลำดับ ก่อนเสนอเลขาธิการพิจารณานโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกัน ตามผลการพิจารณา ดังต่อไปนี้

(1) รับรอง หากนโยบายมีองค์ประกอบและหลักการครบถ้วนตามที่กำหนดในประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยังต่างประเทศตามมาตรา 29 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2566

(2) รับรองโดยมีเงื่อนไข หากนโยบายมีความสอดคล้องในสาระสำคัญ แต่อาจต้องมีการแก้ไขข้อความหรือดำเนินการบางประการให้แล้วเสร็จภายในระยะเวลาที่กำหนดก่อนที่การรับรองจะมีผลสมบูรณ์

(3) ไม่รับรอง หากนโยบายไม่สอดคล้องกับประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยังต่างประเทศตามมาตรา 29 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2566

กรณีผลการพิจารณาเป็นไปตามข้อ 15 (1) ให้สำนักงานออกหนังสือรับรองตามแบบที่กำหนดในภาคผนวก ก - ง ท้ายระเบียบนี้ หากผลการพิจารณาเป็นไปตามข้อ 15 (2) หรือ (3) ให้สำนักงานมีหนังสือแจ้งผลการพิจารณาไปยังผู้ยื่นคำขอทราบ

ส่วนที่ 4 ระยะเวลาการพิจารณา

ข้อ 16 สำนักงานจะดำเนินการพิจารณาเนื้อหาของนโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกันให้แล้วเสร็จภายในระยะเวลา 180 วัน นับแต่วันที่เอกสารประกอบคำขอตรวจสอบและรับรองถูกต้องครบถ้วนตามข้อ 8 ทั้งนี้ หากพ้นกำหนดระยะเวลาดังกล่าวแล้วยังพิจารณาไม่แล้วเสร็จด้วยเหตุจำเป็นอื่นอันไม่อาจก้าวล่วงได้ ให้พนักงานผู้รับผิดชอบ (Case Officer) พิจารณาเนื้อหาของนโยบายให้แล้วเสร็จโดยเร็วพร้อมรายงานเหตุขัดข้องต่อผู้บังคับบัญชาตามลำดับจนถึงเลขาธิการ ทั้งนี้ ระยะเวลาการพิจารณาขึ้นอยู่กับความซับซ้อนของโครงสร้างองค์กร ลักษณะของข้อมูล และความสมบูรณ์ของเอกสารที่ผู้ยื่นคำขอได้จัดทำมา

ส่วนที่ 5 ระยะเวลาการมีผลและการทบทวนการรับรอง

ข้อ 17 การรับรองนโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกันที่ออกโดยสำนักงานไม่มีกำหนดระยะเวลาสิ้นสุด และจะยังคงมีผลบังคับใช้ตราบเท่าที่ยังไม่มีการแก้ไขเปลี่ยนแปลง หรือเพิกถอนโดยสำนักงาน

หมวด 6 การอุทธรณ์

ข้อ 18 กรณีที่ผู้ยื่นคำขอไม่เห็นด้วยกับผลการพิจารณาตามข้อ 15 (2) หรือ (3) ผู้ยื่นคำขอสามารถยื่นอุทธรณ์ผลการพิจารณาได้ เว้นแต่บทบัญญัติแห่งกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลจะกำหนดไว้เป็นอย่างอื่น การอุทธรณ์และวิธีพิจารณาอุทธรณ์ ให้ผู้ยื่นคำขอและสำนักงานนำกฎหมายว่าด้วยวิธีปฏิบัติราชการทางปกครองมาใช้โดยอนุโลม

ค่าธรรมเนียมหรือค่าบริการ

ข้อ 19 การดำเนินการตามระเบียบนี้ไม่มีการเรียกเก็บค่าธรรมเนียมหรือค่าบริการ

บทเฉพาะกาล

ข้อ 20 กรณีที่ผู้ยื่นคำขอได้ยื่นนโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกันให้สำนักงาน และสำนักงานได้ดำเนินการตรวจสอบเรียบร้อยแล้วก่อนระเบียบนี้ประกาศ ให้สำนักงานดำเนินการรับรอง โดยผู้ยื่นคำขอไม่ต้องยื่นคำขอตรวจสอบและรับรองหรือเอกสารประกอบการพิจารณาใหม่ เว้นแต่มีเหตุอันสมควรที่ต้องขอเอกสารประกอบการพิจารณาเพิ่มเติม

นโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกันที่สำนักงานยังไม่ได้ดำเนินการตรวจสอบให้แล้วเสร็จ หรืออยู่ระหว่างดำเนินการ ให้สำนักงานดำเนินการต่อไปได้ภายใต้ระเบียบนี้ ทั้งนี้ สำนักงานอาจขอเอกสารประกอบคำขอตรวจสอบและรับรองเพิ่มเติมได้

ข้อ 21 ในกรณีที่สำนักงานได้ตรวจสอบและรับรองนโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกันไปก่อนวันที่ระเบียบฉบับนี้จะมีผลใช้บังคับ ให้นโยบายนั้นยังมีสภาพบังคับต่อไปตามที่ได้รับการรับรองไว้ และให้ถือว่าเป็นนโยบายที่ได้รับการรับรองภายใต้ระเบียบนี้ โดยสมาชิกของนโยบายผู้รับผิดมีหน้าที่ในการปฏิบัติตามเงื่อนไขต่าง ๆ ของระเบียบนี้

ประกาศ ณ วันที่ 29 กันยายน พ.ศ. 2568

พันตำรวจเอก สุรพงศ์ เปล่งขำ

เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

ภาคผนวก

(1) ภาคผนวก ก แบบหนังสือรับรองฉบับภาษาไทย

(2) ภาคผนวก ข แบบหนังสือรับรองฉบับภาษาอังกฤษ

(3) ภาคผนวก ค แบบประกาศนียบัตรฉบับภาษาไทย

(4) ภาคผนวก ง แบบประกาศนียบัตรฉบับภาษาอังกฤษ

เหตุผลและฐานอำนาจ

โดยที่เป็นการสมควรกำหนดระเบียบสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลว่าด้วยการตรวจสอบและรับรองนโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกัน พ.ศ. 2568 เพื่อใช้เป็นแนวทางในการปฏิบัติสำหรับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและหน่วยงานที่ประสงค์ยื่นคำขอให้ตรวจสอบและรับรองนโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกัน ให้สอดคล้องกับประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยังต่างประเทศตามมาตรา 28 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2566

อาศัยอำนาจตามความในมาตรา 29 วรรคสอง มาตรา 44 (3) และมาตรา 63 (2) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประกอบข้อ 5 ข้อ 6 และ ข้อ 7 ของประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยังต่างประเทศตามมาตรา 29 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2566 เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจึงวางระเบียบไว้ ดังต่อไปนี้

(ประกาศที่อ้างถึงใน preamble: ฉบับมาตรา 28 = notification-7-1 · ฉบับมาตรา 29 = notification-7-2)

เอกสารต้นฉบับ

หมายเหตุการตรวจทานกับต้นฉบับ pdpc.or.th: (1) "ข้อที่ 9" (ไม่ใช่ "ข้อ 9") และหัวข้อ "ค่าธรรมเนียมหรือค่าบริการ" ที่ไม่มีเลขหมวดกำกับ เป็นไปตามต้นฉบับจริง — คงไว้ตามนั้น (2) ชื่อผู้ลงนามใช้ "สุรพงศ์ เปล่งขำ" ตาม PDF ต้นฉบับ (เอกสารพิมพ์ของทีมสะกด "สุรพงษ์" — แก้ให้ตรงต้นฉบับแล้ว) (3) วันที่มีผลใช้บังคับ = วันประกาศ (29 กันยายน 2568) ตามข้อ 2 — ระเบียบนี้ไม่ได้ลงราชกิจจานุเบกษา