มาตรา 28

หมวด 2 ส่วนที่ 3 · 4 แนวคิดที่เกี่ยวข้อง · 2 มาตราอ้างอิง

สารบัญในมาตรานี้

ตัวบท
สรุป
องค์ประกอบสำคัญ
มาตราที่อ้างอิง
หมายเหตุ
แนวคิดที่เกี่ยวข้อง

ตัวบท

มาตรา 28 ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ ทั้งนี้ ต้องเป็นไปตามหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลตามที่คณะกรรมการประกาศกำหนดตามมาตรา 16 (5) เว้นแต่

(1) เป็นการปฏิบัติตามกฎหมาย

(2) ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลโดยได้แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอของประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลแล้ว

(3) เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น

(4) เป็นการกระทำตามสัญญาระหว่างผู้ควบคุมข้อมูลส่วนบุคคลกับบุคคลหรือนิติบุคคลอื่น เพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคล

(5) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วนบุคคลหรือบุคคลอื่น เมื่อเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมในขณะนั้นได้

(6) เป็นการจำเป็นเพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ

ในกรณีที่มีปัญหาเกี่ยวกับมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอของประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคล ให้เสนอต่อคณะกรรมการเป็นผู้วินิจฉัย ทั้งนี้ คำวินิจฉัยของคณะกรรมการอาจขอให้ทบทวนได้เมื่อมีหลักฐานใหม่ทำให้เชื่อได้ว่าประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลมีการพัฒนาจนมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ

สรุป

มาตรานี้คือ กฎการส่งข้อมูลส่วนบุคคลไปต่างประเทศ — โดยหลักการ ประเทศปลายทาง/องค์การระหว่างประเทศที่รับข้อมูลต้องมี "มาตรฐานการคุ้มครองข้อมูลที่เพียงพอ" ตามหลักเกณฑ์ที่คณะกรรมการประกาศ (มาตรา 16 (5)) — เว้นแต่เข้าข้อยกเว้น 6 ข้อ — และให้คณะกรรมการเป็นผู้วินิจฉัยกรณีปัญหา

องค์ประกอบสำคัญ

หลักการ (วรรคหนึ่ง): การส่งข้อมูลไปต่างประเทศต้องไปยังประเทศ/องค์การที่ "มีมาตรฐานการคุ้มครองที่เพียงพอ" ตามหลักเกณฑ์ของคณะกรรมการ (มาตรา 16 (5))
ข้อยกเว้น 6 กรณี:
- (1) ปฏิบัติตามกฎหมาย — กฎหมายไทยหรือกฎหมายอื่นกำหนด
- (2) ความยินยอมโดยรับทราบ: เจ้าของข้อมูลรู้ว่าประเทศปลายทาง/องค์การไม่มีมาตรฐานเพียงพอแล้วยังยินยอม
- (3) จำเป็นเพื่อสัญญา: เจ้าของข้อมูลเป็นคู่สัญญา หรือก่อนเข้าทำสัญญา
- (4) สัญญากับบุคคลที่สามเพื่อประโยชน์เจ้าของข้อมูล: ผู้ควบคุมทำสัญญากับบุคคลที่สามเพื่อประโยชน์ของเจ้าของข้อมูล
- (5) อันตรายต่อชีวิต/ร่างกาย/สุขภาพ เมื่อเจ้าของข้อมูลให้ความยินยอมในขณะนั้นไม่ได้
- (6) ภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ
กลไกการวินิจฉัย (วรรคสอง):
- เมื่อมีปัญหาเรื่องมาตรฐานเพียงพอ → เสนอ คณะกรรมการ เป็นผู้วินิจฉัย
- คำวินิจฉัยทบทวนได้เมื่อมีหลักฐานใหม่ (เช่น ประเทศปลายทางออกกฎหมายคุ้มครองข้อมูลที่เข้มขึ้น)

มาตราที่อ้างอิง

มาตรา 16 (5) — อำนาจคณะกรรมการในการประกาศหลักเกณฑ์การส่งข้อมูลต่างประเทศ
มาตรา 29 — ข้อยกเว้นเพิ่มเติมสำหรับการส่งภายในเครือกิจการ/เครือธุรกิจที่มีนโยบายคุ้มครองข้อมูล (เทียบเท่า BCR)

หมายเหตุ

"มาตรฐานการคุ้มครองข้อมูลที่เพียงพอ": เป็นแนวคิดมาตรฐาน — ประเทศปลายทางต้องมีระบบกฎหมายและกลไกบังคับใช้ที่ให้การคุ้มครองในระดับใกล้เคียงกับ พ.ร.บ. นี้ การประเมินขึ้นอยู่กับหลักเกณฑ์ที่คณะกรรมการประกาศ
ข้อยกเว้น (2) ต้องเป็นความยินยอมโดยรับทราบ: ไม่ใช่ความยินยอมทั่วไป — ต้องแจ้งโดยเฉพาะเจาะจงว่าประเทศปลายทาง/องค์การไม่มีมาตรฐานเพียงพอ ก่อนขอความยินยอม
เชื่อมโยงกับ มาตรา 29: ผู้ควบคุมที่มี "นโยบายในการคุ้มครองข้อมูลส่วนบุคคล" สำหรับเครือกิจการที่ได้รับการรับรองจากสำนักงาน → ส่งข้อมูลไปต่างประเทศได้โดย ยกเว้น ม.28 (เป็นทางเลือกอีกทางสำหรับการส่งข้อมูลข้ามประเทศ)
กรณีปฏิบัติจริง: องค์กรที่ใช้บริการคลาวด์จากต่างประเทศ (เช่น AWS, Google Cloud, Azure) ต้องตรวจว่าเขตที่ตั้งของเซิร์ฟเวอร์อยู่ในประเทศที่มีมาตรฐานเพียงพอ หรือเข้าข้อยกเว้นใดข้อหนึ่ง หรือใช้ ม.29