PDPA Thailand

227

PDPA Thailand
PDPA Thailand

ดูกันที่สาระสำคัญของกฎหมายคุ้มครองข้อมูลส่วนบุคคลของทั่วโลก นัยหนึ่งเพื่อป้องปรามการทำธุรกิจที่มุ่งเน้นผลประโยชน์โดยใช้ ‘ข้อมูลส่วนบุคคล’ อย่างเกินขอบเขต และการคุ้มครองสิทธิของประชาชน ขณะที่อีกนัยหนึ่งจะเห็นว่าเป็นกติกาการค้ารูปแบบเดิม ๆ ที่ถูกเพิ่มเติมด้วยเงื่อนไขต่าง ๆ เพื่อสร้าง ‘มาตรฐานการค้ายุคใหม่’ และอาจมองว่ากฎหมายดังกล่าวเป็น ‘กติกาการค้า’ จึงหมายความว่าผู้ที่จะร่วมเล่นในตลาดเดียวกันจะต้องมีกติกาที่เหมือนกัน หรืออย่างน้อยต้องอยู่ในบรรทัดฐานเดียวกัน

ดังเช่น กรณีระเบียบและหลักเกณฑ์การโอนข้อมูลส่วนบุคคลไปยังประเทศที่สาม หรือองค์กรระหว่างประเทศ ซึ่งเป็นหัวข้อที่มีการถกเถียงกันมากในสหภาพยุโรป รวมถึงเขตเศรษฐกิจยุโรป (นอร์เวย์ ไอซ์แลนด์ และลิกเตนสไตน์) ซึ่งมีประเด็นว่าการโอนข้อมูลส่วนบุคคลไปยังประเทศที่สาม อาทิ สหราชอาณาจักรซึ่งออกจากอียูไปแล้ว รวมทั้งสหรัฐอเมริกา และจีน ยังไม่มีบทสรุปและหลักเกณฑ์ที่ยังคลุมเครือเนื่องจากเป็นประเทศดังกล่าวไม่ได้อยู่ภายใต้ GDPR (General Data Protection Regulation) ของสหภาพยุโรป ทั้งการใช้กลไกของหน่วยงานและองค์กรอิสระต่างๆ ที่มีส่วนเกี่ยวข้องยังมีต้นทุนการดำเนินการที่สูงและเสียเวลา

ด้วยเหตุนี้ การโอนข้อมูลส่วนบุคคลไปต่างประเทศดังกล่าวจะต้องดูที่มาตรฐานการคุ้มครองข้อมูลฯ ที่ ‘เพียงพอ’ ของประเทศปลายทาง และคำวินิจฉัยตามหลักเกณฑ์ของหน่วยงานของสหภาพยุโรปที่รับผิดชอบในการบังคับใช้กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค หรือ European Data Protection Board (EDPB) ซึ่งเรื่องนี้เป็นอุปสรรคทางการค้าที่เกิดขึ้นกับประเทศที่ทำการติดต่อการค้ากับประเทศในสหภาพยุโรป

ทั้งดูเหมือนว่า เรื่องยุ่งๆ เหล่านี้ส่อเค้าว่าจะส่งผลกระทบต่อผู้ประกอบการไทยที่มีการติดต่อการค้ากับต่างประเทศ ภายใต้เงื่อนไขของ กฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ที่ยังคงคลุมเครือและอาจจะต้องรอประกาศหลักเกณฑ์ของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลในอนาคต และด้วยเหตุนี้เราจึงแนะว่า ผู้ประกอบการที่มีการส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ หรือมาสาขาที่ดำเนินการในต่างประเทศ และจำเป็นต้องส่งข้อมูลไปยังประเทศที่สาม ควรจะต้องทำความเข้าใจในประเด็นนี้อย่างละเอียด ทั้งการโอนและรับข้อมูลฯ

 

 

ดูกันชัด ๆ PDPA กับเงื่อนไขในการโอนข้อมูลส่วนบุคคลไปต่างประเทศ

กฎหมาย PDPA มาตรา 28 ระบุถึงกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคล ‘ส่งหรือโอนข้อมูลส่วนบุคคล’ ไปยังต่างประเทศ ประเทศปลายทางหรือองค์การระหว่างประเทศที่ ‘รับข้อมูลส่วนบุคคล’ ต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ ‘เพียงพอ’ ตามหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลตามที่คณะกรรมการประกาศกำหนด ยกเว้นว่า การส่งหรือโอนข้อมูลฯ

– เป็นการปฏิบัติตามกฎหมาย
– ได้รับความยินยอมจากเจ้าของข้อมูลฯ โดยได้แจ้งให้เจ้าของข้อมูลฯ ทราบถึงมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ ‘ไม่เพียงพอ’ของประเทศปลายทางหรือองค์การระหว่างประเทศที่รับแล้ว
– เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญา ซึ่งเจ้าของข้อมูลฯ เป็นคู่สัญญาหรือ เพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลฯ ก่อนเข้าทำสัญญานั้น
– ทำตามสัญญาระหว่างผู้ควบคุมข้อมูลฯ กับบุคคลหรือนิติบุคคลอื่นเพื่อประโยชน์ของเจ้าของข้อมูลฯ
– เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลฯ หรือบุคคลอื่น เมื่อเจ้าของข้อมูลฯ ไม่สามารถให้ความยินยอมในขณะนั้นได้
– เพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ ในกรณีที่มีปัญหาเกี่ยวกับมาตรฐานการคุ้มครองข้อมูลฯ ที่เพียงพอของประเทศปลายทาง หรือองค์การระหว่างประเทศที่รับข้อมูลฯ ให้เสนอต่อคณะกรรมการเป็นผู้วินิจฉัย

ทั้งนี้ ผู้ประกอบการที่ต้องการส่งข้อมูลไปต่างประเทศ อาจจะขอให้คณะกรรมการฯ ทบทวนคำวินิจฉัยใหม่ได้ หากมีหลักฐานใหม่ทำให้เชื่อได้ว่าประเทศปลายทาง หรือองค์การระหว่างประเทศที่รับข้อมูลฯ มีการพัฒนาจนมีมาตรฐานการคุ้มครองข้อมูลฯ ที่เพียงพอ

 

 

ส่งข้อมูลฯ ไปยังสาขาหรือธุรกิจในเครือที่อยู่ต่างประเทศ ทำอย่างไร ?

กฎหมาย PDPA มาตรา 29 ระบุว่า กรณีที่ผู้ควบคุมข้อมูลฯ หรือผู้ประมวลผลข้อมูลฯ ที่อยู่ในราชอาณาจักรได้กำหนดนโยบายในการคุ้มครองข้อมูลฯ เพื่อการส่งหรือโอนข้อมูลฯ ไปยังผู้ควบคุมข้อมูลฯ หรือผู้ประมวลผลข้อมูลฯ ซึ่งอยู่ต่างประเทศ และอยู่ในเครือกิจการ หรือเครือธุรกิจเดียวกัน เพื่อการประกอบกิจการหรือธุรกิจร่วมกัน หากนโยบายในการคุ้มครองข้อมูลฯ ดังกล่าวได้รับการ ‘ตรวจสอบและรับรอง’ จากสำนักงานคุ้มครองข้อมูลส่วนบุคคล การส่งหรือโอนข้อมูลฯ ไปยังต่างประเทศที่เป็นไปตามนโยบายในการคุ้มครองข้อมูลฯ ที่ได้รับการตรวจสอบและรับรองแล้วสามารถทำได้โดยได้รับยกเว้นไม่ต้องปฏิบัติตามมาตรา 28

ขณะที่ นโยบายในการคุ้มครองข้อมูลฯ ในลักษณะของเครือกิจการหรือเครือธุรกิจเดียวกัน เพื่อการประกอบกิจการหรือธุรกิจร่วมกัน มีหลักเกณฑ์เช่นเดียวกับมาตรา 28 คือประเทศปลายทางต้องมีมาตรฐานในการคุ้มครองข้อมูลที่เพียงพอหรือเป็นไปตามหลักเกณฑ์ที่คณะกรรมการฯ ประกาศกำหนด

กรณีที่ประเทศปลายทางที่ส่งข้อมูลฯ ไม่มีนโยบายในการคุ้มครองข้อมูลที่เพียงพอ แต่ผู้ควบคุมข้อมูลฯ หรือผู้ประมวลผลข้อมูลฯ ‘ได้จัดให้มีมาตรการคุ้มครองที่เหมาะสม’ สามารถบังคับตามสิทธิของเจ้าของข้อมูลฯ ได้ รวมทั้งมีมาตรการเยียวยาทางกฎหมายที่มีประสิทธิภาพตามหลักเกณฑ์และวิธีการที่คณะกรรมการฯ ประกาศกำหนด

 

 

ธุรกิจที่สาขาในต่างประเทศ หากมีการ ‘รับข้อมูล’ จะเกิดปัญหาขึ้นหรือไม่ ?

หากบอกว่าเป็นเรื่องง่าย ๆ นั้นคงไม่ใช่ เพราะตามเหตุผลที่กล่าวในตอนต้น เช่น กรณีประเทศในสหภาพยุโรปซึ่งอยู่ภายใต้ระเบียบ GDPR จะต้องส่งหรือโอนข้อมูลส่วนบุคคลไปยังประเทศที่สามยังเป็นเรื่องที่ธุรกิจต้องดำเนินการหลายขั้นตอน ทั้งอาจต้องเสียทั้งเงินและเวลา หาก European Data Protection Board (EDPB) พิจารณาว่าประเทศนั้นไม่มีมาตรการคุ้มครองข้อมูลฯ ที่เพียงพอ ทั้งหลักเกณฑ์การโอนข้อมูลไปยังประเทศที่สามของ GDPR ยังมีการเปลี่ยนแปลงอยู่เรื่อย ๆ ซึ่งสิ่งเหล่านี้จะเป็นอุปสรรคทางการค้าที่สำคัญ หากประเทศไทยยังไม่บังคับใช้กฎหมาย PDPA และสร้างบรรทัดฐานให้เท่าเทียมกับสังคมโลก

เนื่องจาก PDPA บัญญัติข้อกฎหมายและหลักเกณฑ์ในกรณีเป็นผู้ควบคุมข้อมูลฯ หรือผู้ประมวลผลข้อมูลที่ต้องการ ส่งหรือโอนข้อมูลไปยังประเทศที่สาม แต่หากเป็นการรับโอนข้อมูลจากต่างประเทศ จะต้องเป็นไปตามเงื่อนไขตามหลักเกณฑ์ของประเทศต้นทาง และอยู่ที่การวินิจฉัยของคณะกรรมการคุ้มครองข้อมูลฯ ของประเทศนั้นๆ จึงจะเห็นว่าเรื่องนี้จะเป็นขั้นตอนและ ‘ต้นทุนทางธุรกิจ’ ที่ผู้ประกอบการต้องเตรียมพร้อมและเตรียมเงินไว้สำหรับต้นทุนการดำเนินการให้ถูกต้อง

 

การรับ หรือโอนข้อมูลส่วนบุคคลไปต่างประเทศในกรณีใดบ้าง

• ประชุมสัมมนาที่ต้องส่งรายชื่อและข้อมูลส่วนบุคคลของผู้เข้าร่วมงานหรือวิทยากร
• ออกงานแสดงสินค้า งานแสดงศิลปะและดนตรี ที่ต้องส่งรายชื่อและข้อมูลส่วนบุคคลของผู้เข้าร่วมงาน
• ศึกษาดูงาน เยี่ยมชมกิจการที่ต้องส่งรายชื่อข้อมูลพนักงานหรือซัพพลายเออ
• วิเคราะห์หรือประมวลผลข้อมูลลูกค้าซึ่งมีสาขาหรือธุรกิจในเครืออยู่ในต่างประเทศ
• ธุรกิจนำเข้าส่งออกที่ต้องมีการส่งข้อมูลการเงิน ข้อมูลเจ้าของผลิตภัณฑ์ หรือื่น ๆ ที่เป็นข้อมูลส่วนบุคคลไปยังลูกค้าต่างประเทศ
• งานวิจัย โพลสำรวจ การประมวลผลด้านการตลาด
• ข้อมูลส่วนบุคคลของพนักงานในบริษัทสาขาที่จัดตั้งขึ้นต่างประเทศ

 

ด้วยเหตุนี้ จะเห็นว่า สาระสำคัญของกฎหมาย จึงไม่เพียงแค่การคุ้มครองสิทธิด้านข้อมูลส่วนบุคคลของประชาชน แต่ยังเป็นการ ‘ยะระดับ’ มาตรฐานและเงื่อนไขของการค้ายุคใหม่ให้สอดคล้องกับกติกาการค้าโลก และธุรกิจเองก็ ‘จำเป็น’ ต้องยกระดับมาตรฐานการจัดการและการดำเนินการของธุรกิจที่ต้องให้ความสำคัญกับการจัดเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามหลักสากล

แต่กระนั้น เราเชื่อว่าเรื่องนี้ยังจะเป็นอุปสรรคทางการค้ารูปแบบใหม่ที่ผู้ประกอบการที่มีการติดต่อการค้าระหว่างประเทศจะต้องศึกษารายละเอียดหรือมีผู้ชี้แนะด้านกฎหมายคุ้มครองข้อมูลฯ เพื่อลดความเสียหาย หรือการเสียโอกาสที่จะเกิดขึ้นโดยเฉพาะผู้ประกอบการรายขนาดกลางและขนาดเล็กที่มีทรัพยากรและเงินทุนอย่างจำกัด

pdpa guru
dpo in action อบรม pdpa dpo
DPO ภาครัฐ PDPA
หลักสูตร PDPA in Action
DPAC อบรม PDPA Internal Audit
PDPA Guru Google Forms EP8
DPOinActionรุ่น19 1200x300
DPO in Action TU - 1200x300
Advanced PDPA in Action สำหรับภาคเอกชน
Banner DPAC 1200x300
dpo รวม