หน้าหลัก

ข้อหารือที่ 18/2566 — ธนาคาร Z (ส่งข้อมูลกรรมการไป ACRA สิงคโปร์)

3 มาตราอ้างอิง
สารบัญในมาตรานี้
  1. ข้อกฎหมาย
  2. ข้อหารือ
  3. ความเห็น
  4. เอกสารต้นฉบับ

ข้อกฎหมาย

  1. พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 — มาตรา 16 (5), มาตรา 28 และ มาตรา 29

ข้อหารือ

ธนาคาร Z ขอหารือเกี่ยวกับแนวทางการนำส่งข้อมูลส่วนบุคคลของกรรมการตามกฎข้อบังคับของ Accounting and Corporate Regulatory Authority (ACRA) ประเทศสิงคโปร์ และ/หรือกฎข้อบังคับและกฎหมายของประเทศอื่น ดังนี้:

  1. คำว่า "ฐานการปฏิบัติตามกฎหมาย" ตาม มาตรา 28 (1) แห่ง PDPA ให้หมายความรวมถึงการปฏิบัติตามกฎหมายต่างประเทศด้วยหรือไม่
  2. กรณีหาก มาตรา 28 (1) หมายความถึงกฎหมายไทยเท่านั้น และประกอบกับประเทศไทยยังไม่มีประกาศกำหนดเกี่ยวกับประเทศปลายทางหรือองค์การระหว่างประเทศที่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ ธนาคาร Z จะต้องดำเนินการตาม มาตรา 28 (2) โดยขอความยินยอมจากกรรมการธนาคาร Z และแจ้งให้กรรมการทราบถึงมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอของประเทศปลายทางหรือไม่ อย่างไร

ความเห็น

คณะอนุกรรมการเฉพาะกิจตอบข้อหารือและให้คำแนะนำหน่วยงานของรัฐเพื่อรองรับการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล พิจารณาประเด็นข้อหารือของธนาคาร Z แล้ว มีความเห็นพร้อมข้อสังเกต ดังนี้

ประเด็นหารือที่ 1 เห็นว่า ผู้ควบคุมข้อมูลส่วนบุคคลจะส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศได้เมื่อประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ ทั้งนี้ ต้องเป็นไปตามหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนดตาม มาตรา 16 (5) ตามนัย มาตรา 28 แห่ง PDPA เว้นแต่เข้าข้อยกเว้นตาม มาตรา 28 (1) ถึง (6) หรือเป็นไปตาม มาตรา 29

โดยสำหรับข้อยกเว้นตาม มาตรา 28 (1) ที่เป็นการปฏิบัติตามกฎหมาย จะต้องเป็นกรณีที่มีกฎหมายกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศได้ โดยจะต้องเป็นกฎหมายที่มีสภาพบังคับต่อผู้ควบคุมข้อมูลส่วนบุคคล ดังนั้น กรณีที่จะสามารถใช้ข้อยกเว้นตาม มาตรา 28 (1) ได้ จึงต้องเป็นกรณีการปฏิบัติตามกฎหมายของประเทศไทย (ไม่รวมกฎหมายต่างประเทศ)

ประเด็นหารือที่ 2 เห็นว่า ปัจจุบันยังไม่มีหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนดตาม มาตรา 16 (5) ประกอบ มาตรา 28 วรรคหนึ่ง แห่ง PDPA และยังไม่มีคำวินิจฉัยของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลว่าประเทศปลายทางหรือองค์การระหว่างประเทศใดมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ (Adequacy Decisions)

กรณีการนำส่งข้อมูลส่วนบุคคลของกรรมการตามกฎข้อบังคับของ ACRA สิงคโปร์ และ/หรือกฎข้อบังคับและกฎหมายของประเทศอื่น ธนาคาร Z จึงต้องพิจารณาว่าการดำเนินการดังกล่าวเข้าข้อยกเว้นตาม มาตรา 28 (1) ถึง (6) หรือไม่ เช่น การนำส่งข้อมูลส่วนบุคคลของกรรมการของธนาคาร Z ถือเป็นการปฏิบัติหน้าที่ตามสัญญาของกรรมการต่อธนาคารฯ อันจะถือว่าเป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งกรรมการในฐานะเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น ตาม มาตรา 28 (3) หรือไม่

หากไม่มีกรณียกเว้นตาม มาตรา 28 (1) (3) (4) (5) หรือ (6) ที่จะใช้เป็นเครื่องมือในการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศที่สามารถนำมาปรับใช้ได้แก่กรณี ธนาคาร Z จะต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลโดยได้แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่อาจไม่เพียงพอของประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลแล้วตาม มาตรา 28 (2)

เอกสารต้นฉบับ