Blockdit Logo (Mobile)
PDPA ฉบับเข้าใจง่าย
1 ก.ย. 2023 เวลา 00:00 • ธุรกิจ

EP. 12 การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ต้องทำยังไง?

การโอนข้อมูลส่วนบุคคลไปต่างประเทศดังกล่าวจะต้องดูที่มาตรฐานการคุ้มครองข้อมูลฯ ที่ ‘เพียงพอ’ ของประเทศปลายทาง ตาม คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลสหภาพยุโรป ( European Data Protection Board (EDPB)) ซึ่งเรื่องนี้เป็นอุปสรรคทางการค้าที่เกิดขึ้นกับประเทศที่ทำการติดต่อการค้ากับประเทศในสหภาพยุโรป ตามหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลตามที่คณะกรรมการประกาศกำหนด ยกเว้นว่า การส่งหรือโอนข้อมูลฯ
  • 1.
    เป็นการปฏิบัติตามกฎหมาย
  • 2.
    ได้รับความยินยอมจากเจ้าของข้อมูลฯ โดยได้แจ้งให้เจ้าของข้อมูลฯ ทราบถึงมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ ‘ไม่เพียงพอ’ของประเทศปลายทางหรือองค์การระหว่างประเทศที่รับแล้ว
  • 3.
    เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญา ซึ่งเจ้าของข้อมูลฯ เป็นคู่สัญญาหรือ เพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลฯ ก่อนเข้าทำสัญญานั้น
  • 4.
    ทำตามสัญญาระหว่างผู้ควบคุมข้อมูลฯ กับบุคคลหรือนิติบุคคลอื่นเพื่อประโยชน์ของเจ้าของข้อมูลฯ
5. เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลฯ หรือบุคคลอื่น เมื่อเจ้าของข้อมูลฯ ไม่สามารถให้ความยินยอมในขณะนั้นได้
6. เพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ ในกรณีที่มีปัญหาเกี่ยวกับมาตรฐานการคุ้มครองข้อมูลฯ ที่เพียงพอของประเทศปลายทาง หรือองค์การระหว่างประเทศที่รับข้อมูลฯ ให้เสนอต่อคณะกรรมการเป็นผู้วินิจฉัย
ส่งข้อมูลฯ ไปยังสาขาหรือธุรกิจในเครือที่อยู่ต่างประเทศ ทำอย่างไร?
การส่งหรือโอนข้อมูลฯ ไปยังต่างประเทศที่ได้รับยกเว้นไม่ต้องปฏิบัติตามมาตรา 28 ในลักษณะของเครือกิจการหรือเครือธุรกิจเดียวกัน เพื่อการประกอบกิจการหรือธุรกิจร่วมกัน และหลักเกณฑ์และวิธีการตรวจสอบและรับรอง ต้องเป็นไปตามที่คณะกรรมการประกาศ
กรณีที่ประเทศปลายทางที่ส่งข้อมูลฯ ไม่มีมาตรฐานที่เพียงพอหรือไม่มีนโยบายในการคุ้มครองข้อมูลที่เพียงพอ ผู้ควบคุมข้อมูลฯ หรือผู้ประมวลผลข้อมูลฯ ยังสามารถโอนข้อมูลส่วนบุคคลได้ หาก ‘ได้จัดให้มีมาตรการคุ้มครองที่เหมาะสม’ และสามารถบังคับตามสิทธิของเจ้าของข้อมูลฯ ได้ รวมทั้งมีมาตรการเยียวยาทางกฎหมายที่มีประสิทธิภาพตามหลักเกณฑ์และวิธีการที่คณะกรรมการฯ ประกาศกำหนด
ธุรกิจที่มีสาขาในต่างประเทศ หากมีการ ‘รับข้อมูล’ จะเกิดปัญหาขึ้นหรือไม่ ?
หากบอกว่าเป็นเรื่องง่ายๆ นั้นคงไม่ใช่ เพราะตามเหตุผลที่กล่าวในตอนต้น กรณีของประเทศในสหภาพยุโรปซึ่งอยู่ภายใต้ระเบียบ GDPR จะต้องส่งหรือโอนข้อมูลส่วนบุคคลไปยังประเทศที่ไม่ใช่สมาชิก EU ยังเป็นเรื่องที่ธุรกิจต้องดำเนินการหลายขั้นตอน ทั้งอาจต้องเสียทั้งเงินและเวลา
หากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลสหภาพ ยุโรป พิจารณาว่าประเทศนั้นไม่มีมาตรการคุ้มครองข้อมูลฯ ที่เพียงพอ ทั้ง EDPB ยังไม่มีการกำหนดถึงหลักเกณฑ์การโอนข้อมูลส่วนบุคคล ไว้อย่างชัดเจน ซึ่งสิ่งเหล่านี้จะเป็นอุปสรรคทางการค้าที่สำคัญ
Ep นี้ยาวสุดๆ เป็นเรื่องที่กำลังหาทางออกกันอยู่
😊 ฝากติดตามตอนต่อไปด้วยจร้า อ่านเข้าใจง่ายๆวันละนิด # PDPA ฉบับเข้าใจง่าย

ดูเพิ่มเติมในซีรีส์

โฆษณา