ระบบคลาวด์และการโอนข้อมูลไปต่างประเทศ | ศุภวัชร์ มาลานนท์
เมื่อวันที่ 1 ธันวาคม 2564 ศาลปกครองแห่งเมืองวีสบาเดิน เยอรมนี มีคำสั่งระหว่างพิจารณาเกี่ยวกับการใช้ Cookie Management Platform ในประเด็นของการโอนข้อมูลไปต่างประเทศ (นอกสหภาพยุโรป)
คดีดังกล่าวสืบเนื่องจากการที่มหาวิทยาลัยแห่งหนึ่งในประเทศเยอรมนีได้นำ Cookie Management Platform มาใช้ในการประมวลผลข้อมูลส่วนบุคล ซึ่งบริษัทที่ให้บริการ Cookie Management Platform เป็นบริษัทที่จดทะเบียนและมีสำนักงานแห่งใหญ่อยู่ในประเทศเดนมาร์ก
แต่ได้ใช้บริการของผู้ให้บริการระบบคลาวด์ซึ่งอยู่ในประเทศสหรัฐอเมริกาเพื่อจัดเก็บข้อมูลที่ได้จากการประมวลผลผ่าน Cookie Management Platform
HIGHLIGHTS
- การโอนข้อมูลส่วนบุคคลไปยังต่างประเทศของผู้ให้บริการระบบคลาวด์
- การได้รับมาตรฐานการคุ้มครองที่เทียบเท่า (Adequacy Decision)
- การจัดตั้งสำนักคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและการแต่งตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะช่วยส่งเสริมให้ข้อมูลส่วนบุคคลจากสหภาพยุโรปสามารถส่งมาประมวลผลหรือจัดเก็บในประเทศไทยได้โดยไม่มีข้อจำกัด (free flow of data)
- โอกาสที่ประเทศไทยจะได้รับ Adequacy Decision จากประเทศอื่น ๆ
การประมวลผลโดยการใช้ Cookie ID มีการจัดเก็บข้อมูลส่วนบุคคลของผู้ใช้งานได้แก่ IP address และ ‘’user key” ต่าง ๆ ซึ่งตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (GDPR) และแนวคำวินิจฉัยของศาลยุติธรรมแห่งยุโรป IP address ถือว่าเป็น “ข้อมูลส่วนบุคคล”
ศาลปกครองแห่งเมืองวีสบาเดินยังได้วินิจฉัยด้วยว่า ‘’user key” ก็ถือว่าเป็นข้อมูลส่วนบุคคล ดังนั้น เมื่อมีการโอนข้อมูลไปยังประเทศสหรัฐอเมริกาเพื่อจัดเก็บในระบบคลาวด์เพื่อการสำรองข้อมูล กรณีดังกล่าวถือว่ามีการโอนข้อมูลส่วนบุคคลไปนอกสหภาพยุโรปแล้ว ซึ่งต้องปฏิบัติตามหลักเกณฑ์ของ GDPR ในส่วนของการโอนข้อมูลไปยังต่างประเทศ
ในปัจจุบันการใช้ระบบคลาวด์ได้รับความนิยมมากขึ้น แต่ก็ตามมาด้วยปัญหาข้อกฎหมายที่ต้องพิจารณาหลายประการ โดยเฉพาะประเด็นเรื่องของข้อปฏิบัติของการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ หากผู้ให้บริการระบบคลาวด์นั้นมีการตั้ง Data Center หรือ DR-Site (Disaster Recovery Site) นอกเขตแดนของประเทศที่ทำการเก็บรวบรวมข้อมูลส่วนบุคคล
เนื่องจากการโอนข้อมูลไปยังต่างประเทศ ตาม GDPR ได้กำหนดหลักเกณฑ์เงื่อนไข และมาตรการที่ต้องดำเนินการในกรณีของการโอนไว้หลายประการ โดยเงื่อนไขการโอนที่สำคัญที่สุดคือการที่ประเทศปลายทาง (สถานที่ตั้งของผู้รับโอน) เป็นประเทศที่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลไม่น้อยกว่าสหภาพยุโรป (Adequacy Decision)
เพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลของพลเมืองยุโรปเมื่อมีการโอนไปยังประเทศที่สามจะได้รับการคุ้มครองและปฏิบัติด้วยการเคารพต่อสิทธิของเจ้าของข้อมูลส่วนบุคคลไม่น้อยกว่าที่ได้รับภายใต้ GDPR
European Data Protection Board (EDPB) ได้ออกข้อแนะนำตาม Guidelines 05/2021 ลงวันที่ 18 พฤศจิกายน 2564 ในส่วนที่เกี่ยวกับการโอนข้อมูลไปยังต่างประเทศ ดังนี้
1.ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอยู่ภายใต้บังคับของ GDPR สำหรับกิจกรรมการประมวลผลนั้น
2.ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่เป็นผู้ส่งออกข้อมูลส่วนบุคคล(exporter) เปิดเผยข้อมูลส่วนบุคคลโดยการโอนข้อมูลส่วนบุคคลไปยังผู้นำเข้าเข้ามูล (importer)
3.ผู้นำเข้าข้อมูลส่วนบุคคลอยู่ในประเทศอื่น ๆ นอกสหภาพยุโรป
มาตรการป้องกันหรือเครื่องมือที่ใช้ในการควบคุมการส่งออกข้อมูลไปยังประเทศอื่น ๆ นอกสหภาพยุโรปที่สำคัญที่สุดได้แก่ การที่ประเทศปลายทางได้รับการยอมรับว่าเป็นประเทศที่มีมาตรฐานการคุ้มครองที่เทียบเท่า (adequacy level of protection) ตามมาตรา 45 GDPR
ทางคณะกรรมาธิการยุโรปจะพิจารณาจากข้อเท็จจริงของการมีระบบนิติธรรมของประเทศนั้น ๆ การคุ้มครองสิทธิมนุษยชนในประเทศผู้นำเข้าข้อมูล และการมีหน่วยงานที่เป็นอิสระและมีประสิทธิภาพในการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลในประเทศผู้นำเข้า เป็นต้น
ในปัจจุบันมีเพียง 13 ประเทศที่ได้รับการยอมรับว่ามีมาตรฐานการคุ้มครองที่เทียบเท่าจากสหภาพยุโรป โดยในเอเชียมีเพียงประเทศญี่ปุ่นที่ได้รับ Adequacy Decision และประเทศเกาหลีใต้ที่อยู่ระหว่างการพิจารณาดำเนินการในขั้นตอนสุดท้าย
ในกรณีที่ประเทศปลายทางไม่ได้รับ Adequacy Decision การโอนข้อมูลไปยังประเทศปลายทางก็ยังอาจทำได้ แต่ต้องใช้มาตรการป้องกันอื่น ๆ ที่เพียงพอตามที่กำหนดไว้ในมาตรา 46 หรือ 47 ของ GDPR ได้แก่ Standard Contractual Clauses (SCCs), Binding Corporate Rules (BCRs), Code of Conduct, Certification mechanisms หรือ Ad hoc contractual clause ซึ่งจะต้องมีกระบวนการและขั้นตอนเพิ่มมากขึ้นสำหรับการโอน
การที่ประเทศไทยจะเป็นประเทศปลายทาง/ประเทศผู้นำเข้าข้อมูลส่วนบุคคลจากสหภาพยุโรปที่ได้รับการรับรองว่ามีมาตรฐานการคุ้มครองที่เทียบเท่านั้นจึงขึ้นอยู่กับการมีผลบังคับใช้เต็มรูปแบบของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 การจัดตั้งสำนักคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและการแต่งตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเพื่อมาร่วมกันบังคับใช้กฎหมายดังกล่าวอย่างแท้จริง
ทั้งนี้ เพื่อให้ข้อมูลจากสหภาพยุโรปสามารถส่งมาประมวลผลหรือจัดเก็บในประเทศไทยได้โดยไม่มีข้อจำกัด (free flow of data) ซึ่งย่อมรวมถึงโอกาสที่ประเทศไทยจะได้รับ Adequacy Decision จากประเทศอื่น ๆ ที่นำ GDPR ไปเป็นแนวทางในการตรากฎหมายอีกด้วย
ด้วยเหตุนี้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จึงถือเป็นส่วนหนึ่งของระเบียบการค้าใหม่ของโลกที่มีมาตรฐานด้านการคุ้มครองข้อมูลส่วนบุคคลเป็นแกนกลางของการขับเคลื่อนดังกล่าวที่จะช่วยส่งเสริมศักยภาพของผู้ประกอบการไทยในการแข่งขันในตลาดโลก
ทั้งในแง่ของการเป็นผู้รับโอน/นำเข้าข้อมูลส่วนบุคคล รวมถึงการไม่ถูกกีดกันทางการค้าและการลงทุน อันเนื่องมากจากการไม่มีมาตรฐานในด้านการคุ้มครองข้อมูลส่วนบุคคลอีกด้วย.
คอลัมน์ Tech, Law and Security
ศุภวัชร์ มาลานนท์
บัณฑิตวิทยาลัยการจัดการและนวัตกรรม
มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี