อุปสรรคการค้ารูปแบบใหม่ ! โอน-รับข้อมูลระหว่างประเทศนั้นไม่ง่าย เมื่อทั่วโลกคุมเข้มมาตรฐานคุ้มครองข้อมูลส่วนบุคคล

แชร์

อ่าน

ครั้ง

โดย : PDPA Thailand

อุปสรรคการค้ารูปแบบใหม่ ! โอน-รับข้อมูลระหว่างประเทศนั้นไม่ง่าย เมื่อทั่วโลกคุมเข้มมาตรฐานคุ้มครองข้อมูลส่วนบุคคล

แชร์

อ่าน

ครั้ง

โดย : PDPA Thailand

ดูกันที่สาระสำคัญของกฎหมายคุ้มครองข้อมูลส่วนบุคคลของทั่วโลก นัยหนึ่งเพื่อป้องปรามการทำธุรกิจที่มุ่งเน้นผลประโยชน์โดยใช้ ‘ข้อมูลส่วนบุคคล’ อย่างเกินขอบเขต และการคุ้มครองสิทธิของประชาชน ขณะที่อีกนัยหนึ่งจะเห็นว่าเป็นกติกาการค้ารูปแบบเดิม ๆ ที่ถูกเพิ่มเติมด้วยเงื่อนไขต่าง ๆ เพื่อสร้าง ‘มาตรฐานการค้ายุคใหม่’ และอาจมองว่ากฎหมายดังกล่าวเป็น ‘กติกาการค้า’ จึงหมายความว่าผู้ที่จะร่วมเล่นในตลาดเดียวกันจะต้องมีกติกาที่เหมือนกัน หรืออย่างน้อยต้องอยู่ในบรรทัดฐานเดียวกัน

ดังเช่น กรณีระเบียบและหลักเกณฑ์การโอนข้อมูลส่วนบุคคลไปยังประเทศที่สาม หรือองค์กรระหว่างประเทศ ซึ่งเป็นหัวข้อที่มีการถกเถียงกันมากในสหภาพยุโรป รวมถึงเขตเศรษฐกิจยุโรป (นอร์เวย์ ไอซ์แลนด์ และลิกเตนสไตน์) ซึ่งมีประเด็นว่าการโอนข้อมูลส่วนบุคคลไปยังประเทศที่สาม อาทิ สหราชอาณาจักรซึ่งออกจากอียูไปแล้ว รวมทั้งสหรัฐอเมริกา และจีน ยังไม่มีบทสรุปและหลักเกณฑ์ที่ยังคลุมเครือเนื่องจากเป็นประเทศดังกล่าวไม่ได้อยู่ภายใต้ GDPR (General Data Protection Regulation) ของสหภาพยุโรป ทั้งการใช้กลไกของหน่วยงานและองค์กรอิสระต่างๆ ที่มีส่วนเกี่ยวข้องยังมีต้นทุนการดำเนินการที่สูงและเสียเวลา

ด้วยเหตุนี้ การโอนข้อมูลส่วนบุคคลไปต่างประเทศดังกล่าวจะต้องดูที่มาตรฐานการคุ้มครองข้อมูลฯ ที่ ‘เพียงพอ’ ของประเทศปลายทาง และคำวินิจฉัยตามหลักเกณฑ์ของหน่วยงานของสหภาพยุโรปที่รับผิดชอบในการบังคับใช้กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค หรือ European Data Protection Board (EDPB) ซึ่งเรื่องนี้เป็นอุปสรรคทางการค้าที่เกิดขึ้นกับประเทศที่ทำการติดต่อการค้ากับประเทศในสหภาพยุโรป

ทั้งดูเหมือนว่า เรื่องยุ่งๆ เหล่านี้ส่อเค้าว่าจะส่งผลกระทบต่อผู้ประกอบการไทยที่มีการติดต่อการค้ากับต่างประเทศ ภายใต้เงื่อนไขของ กฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ที่ยังคงคลุมเครือและอาจจะต้องรอประกาศหลักเกณฑ์ของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลในอนาคต และด้วยเหตุนี้เราจึงแนะว่า ผู้ประกอบการที่มีการส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ หรือมาสาขาที่ดำเนินการในต่างประเทศ และจำเป็นต้องส่งข้อมูลไปยังประเทศที่สาม ควรจะต้องทำความเข้าใจในประเด็นนี้อย่างละเอียด ทั้งการโอนและรับข้อมูลฯ

 

 

ดูกันชัด ๆ PDPA กับเงื่อนไขในการโอนข้อมูลส่วนบุคคลไปต่างประเทศ

กฎหมาย PDPA มาตรา 28 ระบุถึงกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคล ‘ส่งหรือโอนข้อมูลส่วนบุคคล’ ไปยังต่างประเทศ ประเทศปลายทางหรือองค์การระหว่างประเทศที่ ‘รับข้อมูลส่วนบุคคล’ ต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ ‘เพียงพอ’ ตามหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลตามที่คณะกรรมการประกาศกำหนด ยกเว้นว่า การส่งหรือโอนข้อมูลฯ

– เป็นการปฏิบัติตามกฎหมาย
– ได้รับความยินยอมจากเจ้าของข้อมูลฯ โดยได้แจ้งให้เจ้าของข้อมูลฯ ทราบถึงมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ ‘ไม่เพียงพอ’ของประเทศปลายทางหรือองค์การระหว่างประเทศที่รับแล้ว
– เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญา ซึ่งเจ้าของข้อมูลฯ เป็นคู่สัญญาหรือ เพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลฯ ก่อนเข้าทำสัญญานั้น
– ทำตามสัญญาระหว่างผู้ควบคุมข้อมูลฯ กับบุคคลหรือนิติบุคคลอื่นเพื่อประโยชน์ของเจ้าของข้อมูลฯ
– เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลฯ หรือบุคคลอื่น เมื่อเจ้าของข้อมูลฯ ไม่สามารถให้ความยินยอมในขณะนั้นได้
– เพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ ในกรณีที่มีปัญหาเกี่ยวกับมาตรฐานการคุ้มครองข้อมูลฯ ที่เพียงพอของประเทศปลายทาง หรือองค์การระหว่างประเทศที่รับข้อมูลฯ ให้เสนอต่อคณะกรรมการเป็นผู้วินิจฉัย

ทั้งนี้ ผู้ประกอบการที่ต้องการส่งข้อมูลไปต่างประเทศ อาจจะขอให้คณะกรรมการฯ ทบทวนคำวินิจฉัยใหม่ได้ หากมีหลักฐานใหม่ทำให้เชื่อได้ว่าประเทศปลายทาง หรือองค์การระหว่างประเทศที่รับข้อมูลฯ มีการพัฒนาจนมีมาตรฐานการคุ้มครองข้อมูลฯ ที่เพียงพอ

 

 

ส่งข้อมูลฯ ไปยังสาขาหรือธุรกิจในเครือที่อยู่ต่างประเทศ ทำอย่างไร ?

กฎหมาย PDPA มาตรา 29 ระบุว่า กรณีที่ผู้ควบคุมข้อมูลฯ หรือผู้ประมวลผลข้อมูลฯ ที่อยู่ในราชอาณาจักรได้กำหนดนโยบายในการคุ้มครองข้อมูลฯ เพื่อการส่งหรือโอนข้อมูลฯ ไปยังผู้ควบคุมข้อมูลฯ หรือผู้ประมวลผลข้อมูลฯ ซึ่งอยู่ต่างประเทศ และอยู่ในเครือกิจการ หรือเครือธุรกิจเดียวกัน เพื่อการประกอบกิจการหรือธุรกิจร่วมกัน หากนโยบายในการคุ้มครองข้อมูลฯ ดังกล่าวได้รับการ ‘ตรวจสอบและรับรอง’ จากสำนักงานคุ้มครองข้อมูลส่วนบุคคล การส่งหรือโอนข้อมูลฯ ไปยังต่างประเทศที่เป็นไปตามนโยบายในการคุ้มครองข้อมูลฯ ที่ได้รับการตรวจสอบและรับรองแล้วสามารถทำได้โดยได้รับยกเว้นไม่ต้องปฏิบัติตามมาตรา 28

ขณะที่ นโยบายในการคุ้มครองข้อมูลฯ ในลักษณะของเครือกิจการหรือเครือธุรกิจเดียวกัน เพื่อการประกอบกิจการหรือธุรกิจร่วมกัน มีหลักเกณฑ์เช่นเดียวกับมาตรา 28 คือประเทศปลายทางต้องมีมาตรฐานในการคุ้มครองข้อมูลที่เพียงพอหรือเป็นไปตามหลักเกณฑ์ที่คณะกรรมการฯ ประกาศกำหนด

กรณีที่ประเทศปลายทางที่ส่งข้อมูลฯ ไม่มีนโยบายในการคุ้มครองข้อมูลที่เพียงพอ แต่ผู้ควบคุมข้อมูลฯ หรือผู้ประมวลผลข้อมูลฯ ‘ได้จัดให้มีมาตรการคุ้มครองที่เหมาะสม’ สามารถบังคับตามสิทธิของเจ้าของข้อมูลฯ ได้ รวมทั้งมีมาตรการเยียวยาทางกฎหมายที่มีประสิทธิภาพตามหลักเกณฑ์และวิธีการที่คณะกรรมการฯ ประกาศกำหนด

 

 

ธุรกิจที่สาขาในต่างประเทศ หากมีการ ‘รับข้อมูล’ จะเกิดปัญหาขึ้นหรือไม่ ?

หากบอกว่าเป็นเรื่องง่าย ๆ นั้นคงไม่ใช่ เพราะตามเหตุผลที่กล่าวในตอนต้น เช่น กรณีประเทศในสหภาพยุโรปซึ่งอยู่ภายใต้ระเบียบ GDPR จะต้องส่งหรือโอนข้อมูลส่วนบุคคลไปยังประเทศที่สามยังเป็นเรื่องที่ธุรกิจต้องดำเนินการหลายขั้นตอน ทั้งอาจต้องเสียทั้งเงินและเวลา หาก European Data Protection Board (EDPB) พิจารณาว่าประเทศนั้นไม่มีมาตรการคุ้มครองข้อมูลฯ ที่เพียงพอ ทั้งหลักเกณฑ์การโอนข้อมูลไปยังประเทศที่สามของ GDPR ยังมีการเปลี่ยนแปลงอยู่เรื่อย ๆ ซึ่งสิ่งเหล่านี้จะเป็นอุปสรรคทางการค้าที่สำคัญ หากประเทศไทยยังไม่บังคับใช้กฎหมาย PDPA และสร้างบรรทัดฐานให้เท่าเทียมกับสังคมโลก

เนื่องจาก PDPA บัญญัติข้อกฎหมายและหลักเกณฑ์ในกรณีเป็นผู้ควบคุมข้อมูลฯ หรือผู้ประมวลผลข้อมูลที่ต้องการ ส่งหรือโอนข้อมูลไปยังประเทศที่สาม แต่หากเป็นการรับโอนข้อมูลจากต่างประเทศ จะต้องเป็นไปตามเงื่อนไขตามหลักเกณฑ์ของประเทศต้นทาง และอยู่ที่การวินิจฉัยของคณะกรรมการคุ้มครองข้อมูลฯ ของประเทศนั้นๆ จึงจะเห็นว่าเรื่องนี้จะเป็นขั้นตอนและ ‘ต้นทุนทางธุรกิจ’ ที่ผู้ประกอบการต้องเตรียมพร้อมและเตรียมเงินไว้สำหรับต้นทุนการดำเนินการให้ถูกต้อง

 

การรับ หรือโอนข้อมูลส่วนบุคคลไปต่างประเทศในกรณีใดบ้าง

• ประชุมสัมมนาที่ต้องส่งรายชื่อและข้อมูลส่วนบุคคลของผู้เข้าร่วมงานหรือวิทยากร
• ออกงานแสดงสินค้า งานแสดงศิลปะและดนตรี ที่ต้องส่งรายชื่อและข้อมูลส่วนบุคคลของผู้เข้าร่วมงาน
• ศึกษาดูงาน เยี่ยมชมกิจการที่ต้องส่งรายชื่อข้อมูลพนักงานหรือซัพพลายเออ
• วิเคราะห์หรือประมวลผลข้อมูลลูกค้าซึ่งมีสาขาหรือธุรกิจในเครืออยู่ในต่างประเทศ
• ธุรกิจนำเข้าส่งออกที่ต้องมีการส่งข้อมูลการเงิน ข้อมูลเจ้าของผลิตภัณฑ์ หรือื่น ๆ ที่เป็นข้อมูลส่วนบุคคลไปยังลูกค้าต่างประเทศ
• งานวิจัย โพลสำรวจ การประมวลผลด้านการตลาด
• ข้อมูลส่วนบุคคลของพนักงานในบริษัทสาขาที่จัดตั้งขึ้นต่างประเทศ

 

ด้วยเหตุนี้ จะเห็นว่า สาระสำคัญของกฎหมาย จึงไม่เพียงแค่การคุ้มครองสิทธิด้านข้อมูลส่วนบุคคลของประชาชน แต่ยังเป็นการ ‘ยะระดับ’ มาตรฐานและเงื่อนไขของการค้ายุคใหม่ให้สอดคล้องกับกติกาการค้าโลก และธุรกิจเองก็ ‘จำเป็น’ ต้องยกระดับมาตรฐานการจัดการและการดำเนินการของธุรกิจที่ต้องให้ความสำคัญกับการจัดเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามหลักสากล

แต่กระนั้น เราเชื่อว่าเรื่องนี้ยังจะเป็นอุปสรรคทางการค้ารูปแบบใหม่ที่ผู้ประกอบการที่มีการติดต่อการค้าระหว่างประเทศจะต้องศึกษารายละเอียดหรือมีผู้ชี้แนะด้านกฎหมายคุ้มครองข้อมูลฯ เพื่อลดความเสียหาย หรือการเสียโอกาสที่จะเกิดขึ้นโดยเฉพาะผู้ประกอบการรายขนาดกลางและขนาดเล็กที่มีทรัพยากรและเงินทุนอย่างจำกัด

Share :