โอน-รับข้อมูลระหว่างประเทศ เมื่อทั่วโลกคุมเข้มมาตรฐานคุ้มครองข้อมูลส่วนบุคคล

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

โอน-รับข้อมูลระหว่างประเทศ เมื่อทั่วโลกคุมเข้มมาตรฐานคุ้มครองข้อมูลส่วนบุคคล

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

สาระสำคัญของกฎหมายคุ้มครองข้อมูลส่วนบุคคลของทั่วโลก นัยหนึ่งเพื่อป้องปรามการทำธุรกิจที่มุ่งเน้นผลประโยชน์โดยใช้ ข้อมูลส่วนบุคคล อย่างเกินขอบเขต และการคุ้มครองสิทธิของประชาชน ขณะที่อีกนัยหนึ่งจะเห็นว่าเป็นกติกาการค้ารูปแบบเดิม ๆ ที่ถูกเพิ่มเติมด้วยเงื่อนไขต่าง ๆ เพื่อสร้าง มาตรฐานการค้ายุคใหม่ และอาจถูกมองว่าเป็นการกำหนด ‘กติกาการค้า’ หมายความว่าผู้ที่จะร่วมเล่นในตลาดเดียวกันจะต้องมีกติกาที่เหมือนกัน หรืออย่างน้อยต้องอยู่ในบรรทัดฐานเดียวกัน

เช่นเดียวกับกรณีระเบียบและหลักเกณฑ์การโอนข้อมูลส่วนบุคคลไปยังประเทศที่ไม่เป็นสมาชิก EU หรือองค์กรระหว่างประเทศ ซึ่งเป็นหัวข้อที่มีการถกเถียงกันมากในสหภาพยุโรป รวมถึงเขตเศรษฐกิจยุโรป (นอร์เวย์ ไอซ์แลนด์ และลิกเตนสไตน์) ซึ่งมีประเด็นว่าการโอนข้อมูลส่วนบุคคลไปยังประเทศที่สาม อาทิ สหรัฐอเมริกา ที่ถึงแม้จะมีการออกหลักเกณฑ์ที่ทำให้สามารถโอนข้อมูลส่วนบุคคลไปยังประเทศสหรัฐอเมริกาได้ แต่หลักเกณฑ์ เหล่านั้นกลับยังมีช่องว่าที่ทำมลให้เจ้าของข้อมูลส่วนบุคคลฟ้องผู้ประกอบการที่เป็นผู้ให้บริการนอกประเทศสมาชิก EU  ได้

ด้วยเหตุนี้ การโอนข้อมูลส่วนบุคคลไปต่างประเทศดังกล่าวจะต้องดูที่มาตรฐานการคุ้มครองข้อมูลฯ ที่ เพียงพอ ของประเทศปลายทาง และคำวินิจฉัยตามหลักเกณฑ์ของหน่วยงานของสหภาพยุโรปที่รับผิดชอบในการบังคับใช้กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค หรือ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลสหภาพยุโรป ( European Data Protection Board (EDPB)) ซึ่งเรื่องนี้เป็นอุปสรรคทางการค้าที่เกิดขึ้นกับประเทศที่ทำการติดต่อการค้ากับประเทศในสหภาพยุโรป

ดูเหมือนว่า สถานการณ์เหล่านี้จะส่งผลกระทบต่อผู้ประกอบการไทยที่มีการติดต่อการค้ากับต่างประเทศ ภายใต้เงื่อนไขของ กฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ที่ยังมีความคลุมเครือเกี่ยวกับการโอนข้อมูลส่วนบุคคลไปต่างประเทศและอาจจะต้องรอประกาศหลักเกณฑ์ของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลในอนาคต และด้วยเหตุนี้จึงเป็นผลให้ ผู้ประกอบการที่มีการส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ หรือมีสาขาที่ดำเนินการในต่างประเทศ และจำเป็นต้องส่งข้อมูลไปยังประเทศที่สาม ควรจะต้องทำความเข้าใจในประเด็นนี้อย่างละเอียด ทั้งการโอนและรับข้อมูลฯ

ดูกันชัดๆ PDPA กับเงื่อนไขในการโอนข้อมูลส่วนบุคคลไปต่างประเทศ

กรณีที่ผู้ควบคุมข้อมูลส่วนบุคคล ‘ส่งหรือโอนข้อมูลส่วนบุคคล ไปยังต่างประเทศ ประเทศปลายทางหรือองค์การระหว่างประเทศที่ รับข้อมูลส่วนบุคคล กฎหมาย PDPA กำหนดว่าประเทศปลายทางต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ เพียงพอ ตามหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลตามที่คณะกรรมการประกาศกำหนด ยกเว้นว่า การส่งหรือโอนข้อมูลฯ

  • เป็นการปฏิบัติตามกฎหมาย
  • ได้รับความยินยอมจากเจ้าของข้อมูลฯ โดยได้แจ้งให้เจ้าของข้อมูลฯ ทราบถึงมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ ไม่เพียงพอของประเทศปลายทางหรือองค์การระหว่างประเทศที่รับแล้ว
  • เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญา ซึ่งเจ้าของข้อมูลฯ เป็นคู่สัญญาหรือ เพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลฯ ก่อนเข้าทำสัญญานั้น
  • ทำตามสัญญาระหว่างผู้ควบคุมข้อมูลฯ กับบุคคลหรือนิติบุคคลอื่นเพื่อประโยชน์ของเจ้าของข้อมูลฯ
  • เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลฯ หรือบุคคลอื่น เมื่อเจ้าของข้อมูลฯ ไม่สามารถให้ความยินยอมในขณะนั้นได้
  • เพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ ในกรณีที่มีปัญหาเกี่ยวกับมาตรฐานการคุ้มครองข้อมูลฯ ที่เพียงพอของประเทศปลายทาง หรือองค์การระหว่างประเทศที่รับข้อมูลฯ ให้เสนอต่อคณะกรรมการเป็นผู้วินิจฉัย

 

ทั้งนี้ ผู้ประกอบการที่ต้องการส่งข้อมูลไปต่างประเทศ อาจจะขอให้คณะกรรมการฯ มีคำวินิจฉัยได้ หากประเทศปลายทางมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ

 

ส่งข้อมูลฯ ไปยังสาขาหรือธุรกิจในเครือที่อยู่ต่างประเทศ ทำอย่างไร?

กรณีที่ผู้ควบคุมข้อมูลฯ หรือผู้ประมวลผลข้อมูลฯ ที่อยู่ในราชอาณาจักรได้กำหนดนโยบายในการคุ้มครองข้อมูลฯ เพื่อการส่งหรือโอนข้อมูลฯ ไปยังผู้ควบคุมข้อมูลฯ หรือผู้ประมวลผลข้อมูลฯ ซึ่งอยู่ต่างประเทศ และอยู่ในเครือกิจการ หรือเครือธุรกิจเดียวกัน เพื่อการประกอบกิจการหรือธุรกิจร่วมกัน กฎหมาPDPA กำหนดว่า หากนโยบายในการคุ้มครองข้อมูลฯ ดังกล่าวได้รับการ ตรวจสอบและรับรอง จากสำนักงานคุ้มครองข้อมูลส่วนบุคคล การส่งหรือโอนข้อมูลฯ ไปยังต่างประเทศที่เป็นไปตามนโยบายในการคุ้มครองข้อมูลฯ ที่ได้รับการตรวจสอบและรับรองแล้วสามารถทำได้โดยได้รับยกเว้นไม่ต้องปฏิบัติตามมาตรา 28

โดยนโยบายในการคุ้มครองข้อมูลฯ ในลักษณะของเครือกิจการหรือเครือธุรกิจเดียวกัน เพื่อการประกอบกิจการหรือธุรกิจร่วมกัน และหลักเกณฑ์และวิธีการตรวจสอบและรับรอง ต้องเป็นไปตามที่คณะกรรมการประกาศ

กรณีที่ประเทศปลายทางที่ส่งข้อมูลฯ ไม่มีมาตรฐานที่เพียงพอหรือไม่มีนโยบายในการคุ้มครองข้อมูลที่เพียงพอ ผู้ควบคุมข้อมูลฯ หรือผู้ประมวลผลข้อมูลฯ ยังสามารถโอนข้อมูลส่วนบุคคลได้ หาก ‘ได้จัดให้มีมาตรการคุ้มครองที่เหมาะสมและสามารถบังคับตามสิทธิของเจ้าของข้อมูลฯ ได้ รวมทั้งมีมาตรการเยียวยาทางกฎหมายที่มีประสิทธิภาพตามหลักเกณฑ์และวิธีการที่คณะกรรมการฯ ประกาศกำหนด

ธุรกิจที่มีสาขาในต่างประเทศ หากมีการ ‘รับข้อมูล’ จะเกิดปัญหาขึ้นหรือไม่ ?

หากบอกว่าเป็นเรื่องง่ายๆ นั้นคงไม่ใช่ เพราะตามเหตุผลที่กล่าวในตอนต้น กรณีของประเทศในสหภาพยุโรปซึ่งอยู่ภายใต้ระเบียบ GDPR จะต้องส่งหรือโอนข้อมูลส่วนบุคคลไปยังประเทศที่ไม่ใช่สมาชิก EU ยังเป็นเรื่องที่ธุรกิจต้องดำเนินการหลายขั้นตอน ทั้งอาจต้องเสียทั้งเงินและเวลา หากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลสหภาพ ยุโรป พิจารณาว่าประเทศนั้นไม่มีมาตรการคุ้มครองข้อมูลฯ ที่เพียงพอ ทั้ง EDPB ยังไม่มีการกำหนดถึงหลักเกณฑ์การโอนข้อมูลส่วนบุคคล ไว้อย่างชัดเจน ซึ่งสิ่งเหล่านี้จะเป็นอุปสรรคทางการค้าที่สำคัญ หากการบังคับใช้กฎหมาย PDPA ของไทยยังไม่มีความเข้มงวดและสร้างบรรทัดฐานให้เท่าเทียมกับสังคมโลก  

การกำหนดหลักเกณฑ์การโอนข้อมูลส่วนบุคคลไปยังต่างประเทศของทุกประเทศจะเป็นลักษณะของการกำหนดมาตรฐานของประเทศปลายทางที่ต้องมีมาตรฐานการคุ้มครอข้อมูลส่วนบุคคลที่เพียงพอ แต่กรณีการโอนข้อมูลส่วนบุคคลไม่มีการกำหนดว่าการที่ผู้ควบคุมข้อมูลส่วนบุคคลในประเทศจะโอนข้อมูลส่วนบุคคลไปต่างประเทศจะต้องมีหลักเกณฑ์เช่นไร เพียงแต่กำหนดให้ต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลเท่านั้น ซึ่งหลักเกณฑ์เหล่านี้จะกลายมาเป็น ‘ต้นทุนทางธุรกิจ’ ที่ผู้ประกอบการต้องเตรียมพร้อมและเตรียมเงินไว้สำหรับต้นทุนการดำเนินการให้ถูกต้อง

 

จะเห็นว่า สาระสำคัญของกฎหมายคุ้มครองข้อมูลส่วนบุคคล ไม่เพียงแต่คุ้มครองสิทธิด้านข้อมูลส่วนบุคคลของประชาชน แต่ยังเป็นการกำหนดหลักเกณฑ์และอาจจะ ยกระดับ’ มาตรฐาน และเงื่อนไขของการค้ายุคใหม่ให้สอดคล้องการการคุ้มครองสิทธิของบุคคล และธุรกิจเองก็ จำเป็น’ ต้องยกระดับมาตรฐานการจัดการ และการดำเนินการของธุรกิจที่ต้องให้ความสำคัญกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามหลักสากล

แต่กระนั้น PDPA Thailand เชื่อว่าเรื่องนี้ยังจะเป็นอุปสรรคทางการค้าที่ผู้ประกอบการที่ทำการค้าระหว่างประเทศจะต้องศึกษารายละเอียดหรือมีผู้ชี้แนะด้านกฎหมายคุ้มครองข้อมูลฯ เพื่อลดความเสียหาย หรือการเสียโอกาสที่จะเกิดขึ้นโดยเฉพาะผู้ประกอบการรายขนาดกลางและขนาดเล็กที่มีทรัพยากรและเงินทุนอย่างจำกัด