มาตรา 29

ตัวบท

มาตรา 29 ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักรได้กำหนดนโยบายในการคุ้มครองข้อมูลส่วนบุคคลเพื่อการส่งหรือโอนข้อมูลส่วนบุคคลไปยังผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งอยู่ต่างประเทศและอยู่ในเครือกิจการหรือเครือธุรกิจเดียวกันเพื่อการประกอบกิจการหรือธุรกิจร่วมกัน หากนโยบายในการคุ้มครองข้อมูลส่วนบุคคลดังกล่าวได้รับการตรวจสอบและรับรองจากสำนักงาน การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศที่เป็นไปตามนโยบายในการคุ้มครองข้อมูลส่วนบุคคลที่ได้รับการตรวจสอบและรับรองดังกล่าว ให้สามารถกระทำได้โดยได้รับยกเว้นไม่ต้องปฏิบัติตามมาตรา 28

นโยบายในการคุ้มครองข้อมูลส่วนบุคคล ลักษณะของเครือกิจการหรือเครือธุรกิจเดียวกันเพื่อการประกอบกิจการหรือธุรกิจร่วมกัน และหลักเกณฑ์และวิธีการตรวจสอบและรับรองตามวรรคหนึ่ง ให้เป็นไปตามที่คณะกรรมการประกาศกำหนด

ในกรณีที่ยังไม่มีคำวินิจฉัยของคณะกรรมการตามมาตรา 28 หรือยังไม่มีนโยบายในการคุ้มครองข้อมูลส่วนบุคคลตามวรรคหนึ่ง ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอาจส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศได้โดยได้รับยกเว้นไม่ต้องปฏิบัติตามมาตรา 28 เมื่อผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลได้จัดให้มีมาตรการคุ้มครองที่เหมาะสมสามารถบังคับตามสิทธิของเจ้าของข้อมูลส่วนบุคคลได้ รวมทั้งมีมาตรการเยียวยาทางกฎหมายที่มีประสิทธิภาพ ตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด

สรุป

มาตรานี้กำหนด 2 ทางเลือกสำหรับการส่งข้อมูลไปต่างประเทศที่ยกเว้น มาตรา 28:

1. นโยบายคุ้มครองข้อมูลภายในเครือกิจการ — ผู้ควบคุม/ผู้ประมวลผลในไทยกำหนดนโยบายคุ้มครองข้อมูลสำหรับการส่งข้อมูลไปยังเครือกิจการ/เครือธุรกิจในต่างประเทศ ที่ได้รับการรับรองจากสำนักงาน → ส่งได้ตามนโยบายนั้น
2. มาตรการคุ้มครองที่เหมาะสมเฉพาะกรณี (กรณียังไม่มีคำวินิจฉัยและไม่มีนโยบาย) — ต้องจัดมาตรการคุ้มครองที่บังคับสิทธิและเยียวยาทางกฎหมายได้ ตามหลักเกณฑ์ของคณะกรรมการ

องค์ประกอบสำคัญ

• ทางเลือกที่ 1 — นโยบายภายในเครือกิจการ (วรรคหนึ่ง):
  • ใคร: ผู้ควบคุมข้อมูล/ผู้ประมวลผลข้อมูลในไทย
  • ส่งไปไหน: ผู้ควบคุม/ผู้ประมวลผลในต่างประเทศที่อยู่ใน เครือกิจการหรือเครือธุรกิจเดียวกัน
  • เพื่ออะไร: การประกอบกิจการ/ธุรกิจร่วมกัน
  • เงื่อนไข: นโยบายต้องได้รับการ ตรวจสอบและรับรองจากสำนักงาน
  • ผล: ส่งข้อมูลได้โดยยกเว้น มาตรา 28
• กลไกของนโยบาย (วรรคสอง): รายละเอียดของนโยบาย ลักษณะของเครือกิจการ และหลักเกณฑ์การตรวจสอบ → ตามประกาศคณะกรรมการ
• ทางเลือกที่ 2 — มาตรการเฉพาะกรณี (วรรคสาม):
  • เมื่อใด: ยังไม่มีคำวินิจฉัยของคณะกรรมการตาม มาตรา 28 (กรณีปัญหา) หรือ ยังไม่มีนโยบายตามวรรคหนึ่ง
  • เงื่อนไข: ผู้ควบคุม/ผู้ประมวลผลต้องจัดให้มี:
    • มาตรการคุ้มครองที่ บังคับสิทธิของเจ้าของข้อมูลได้
    • มาตรการ เยียวยาทางกฎหมายที่มีประสิทธิภาพ
  • เป็นไปตาม: หลักเกณฑ์และวิธีการที่คณะกรรมการประกาศ

มาตราที่อ้างอิง

• มาตรา 28 — กฎทั่วไปการส่งข้อมูลต่างประเทศ (มาตรานี้เป็นข้อยกเว้น 2 ทาง)

หมายเหตุ

• เปรียบเทียบกับมาตรฐานสากล: ทางเลือกที่ 1 ใกล้เคียงกับแนวคิด BCR ในกฎหมายคุ้มครองข้อมูลของ EU — เป็นนโยบายภายในกลุ่มบริษัทที่ผูกพันสมาชิกในเครือทุกประเทศ
• เครือกิจการ/เครือธุรกิจเดียวกัน: เป็นนิยามที่ต้องดูประกาศคณะกรรมการ — ในแนวปฏิบัติทั่วไปครอบคลุมบริษัทแม่/บริษัทลูก, บริษัทในเครือที่ถือหุ้นข้ามกัน, และบริษัทร่วมทุนที่มีโครงสร้างกำกับร่วม
• ทางเลือกที่ 2 เป็นทางเลือกสำรอง: สำหรับกรณีที่ยังไม่ได้รับการรับรองนโยบาย หรือยังไม่มีคำวินิจฉัยเรื่องประเทศปลายทาง — ผู้ควบคุมต้องวางมาตรการคุ้มครองเทียบเท่าด้วยตนเอง โดยเน้น 2 องค์ประกอบ: บังคับสิทธิได้ + มีมาตรการเยียวยาที่มีประสิทธิภาพ
• ในแนวปฏิบัติ: องค์กรข้ามชาติมักเลือก ทางเลือกที่ 1 เพราะให้ความแน่นอนทางกฎหมาย; องค์กรขนาดเล็กที่ส่งข้อมูลครั้งคราวมักใช้ ความยินยอมโดยรับทราบ ตาม มาตรา 28 (2) แทน