มาตรการคุ้มครองที่เหมาะสมในการส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ

มาตรการคุ้มครองที่เหมาะสมในการส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ

ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยังต่างประเทศตามมาตรา 29 แห่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2566 (ประกาศคณะกรรมการตามมาตรา 29)

 กำหนดวิธีการเกี่ยวกับ “มาตรการคุ้มครองที่เหมาะสม” (Appropriate Safeguards) ว่าอาจอยู่ในรูปแบบใดรูปแบบหนึ่งดังต่อไปนี้

รูปแบบที่ 1: ข้อสัญญาในการส่งหรือโอนข้อมูลส่วนบุคคลที่เป็นที่ยอมรับ ที่คณะกรรมการกำหนด เพื่อให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสม (“รูปแบบข้อสัญญา”)

รูปแบบที่ 2: การรับรอง (certification) เกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ในส่วนที่เกี่ยวกับการส่งหรือโอนข้อมูลส่วนบุคคลข้ามพรมแดน หรือการส่งข้อมูลส่วนบุคคลระหว่างประเทศ โดยเป็นไปตามมาตรฐานที่เป็นที่ยอมรับตามที่คณะกรรมการประกาศกำหนด (“รูปแบบการรับรอง”) 

รูปแบบที่ 3: ข้อกำหนดมาตรการคุ้มครองข้อมูลส่วนบุคคลในตราสาร หรือข้อตกลงระหว่างหน่วยงานของรัฐของประเทศไทยกับหน่วยงานของรัฐของประเทศอื่น

ทั้งนี้ มาตรการคุ้มครองที่เหมาะสมข้างต้น ต้องมีเนื้อหาสาระสำคัญ ดังนี้ 

(1) มีผลและสภาพบังคับในทางกฎหมายของมาตรการคุ้มครองข้อมูลส่วนบุคคล และมาตรการเยียวยาทางกฎหมาย กับผู้เกี่ยวข้อง  

(2) มีข้อกำหนดที่รับรองการคุ้มครองข้อมูลส่วนบุคคล สิทธิของเจ้าของข้อมูลส่วนบุคคล และการร้องเรียน สำหรับข้อมูลที่ถูกส่งหรือโอนไปยังต่างประเทศ

(3) มีมาตรการในการคุ้มครองข้อมูลส่วนบุคคล และมาตรการรักษาความมั่นคงปลอดภัยที่สอดคล้องและต้องเป็นไปตามมาตรฐานขั้นต่ำที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนดด้วย

กรณีเลือกใช้มาตรการคุ้มครองที่เหมาะสม รูปแบบข้อสัญญา (รูปแบบที่ 1) จะต้องมีการจัดทำข้อสัญญาอย่างใดอย่างหนึ่งดังต่อไปนี้

(1)    ข้อสัญญาที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ซึ่งมีเนื้อหาและข้อกำหนดตามที่คณะกรรมการกำหนด (“ข้อสัญญาทั่วไป”) หรือ
(2)    ข้อสัญญาต้นแบบที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ซึ่งจัดทำขึ้นตามกฎหมายของต่างประเทศหรือจัดทำขึ้นโดยองค์การระหว่างประเทศ (“ข้อสัญญาต้นแบบ”) 

สำหรับเนื้อหาและข้อกำหนดของข้อสัญญาทั่วไป ต้องรวมถึง
(1)    การเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล รวมถึงการส่งหรือโอนข้อมูลไปยังผู้รับข้อมูลส่วนบุคคล ต้องเป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
(2)    ผู้ส่งหรือโอนข้อมูลส่วนบุคคลและผู้รับข้อมูลส่วนบุคคลต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัย อย่างน้อยตามมาตรฐานขั้นต่ำตามกฎหมาย
(3)    กรณีผู้รับข้อมูล เป็นผู้ประมวลผลข้อมูลส่วนบุคคล ผู้รับข้อมูลต้องดำเนินการดังต่อไปนี้
(3.1)     เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ส่งหรือโอนข้อมูล และตามวัตถุประสงค์ที่ผู้ส่งหรือโอนข้อมูลกำหนดไว้เท่านั้น
(3.2)     ติดต่อผู้ส่งหรือโอนข้อมูลเมื่อเจ้าของข้อมูลส่วนบุคคลขอใช้สิทธิฯ เว้นแต่ผู้ส่งหรือ
โอนข้อมูลจะมอบหมายให้ผู้รับข้อมูลดำเนินการตามคำขอใช้สิทธิแทนผู้ส่งหรือโอนข้อมูล
(3.3)     ส่งคืนข้อมูลตามข้อสัญญาแก่ผู้ส่งหรือโอนข้อมูล หรือลบหรือทำลายข้อมูลโดยวิธีการ
ที่เหมาะสม ตามหลักเกณฑ์และเงื่อนไขที่ผู้ส่งหรือโอนข้อมูลกำหนด และยืนยันเป็นลายลักษณ์อักษรต่อผู้ส่งหรือโอนข้อมูลเมื่อดำเนินการแล้ว
(3.4)     แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่ผู้ส่งหรือโอนข้อมูลโดยไม่ชักช้า ภายในเจ็ดสิบสองชั่วโมง นับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้
(4)    กรณีผู้ส่งหรือโอนข้อมูลเป็นผู้ควบคุมข้อมูลส่วนบุคคล ผู้รับข้อมูลต้องแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลตามกฎหมายแก่ผู้ส่งหรือโอนข้อมูลโดยไม่ชักช้า ภายในเจ็ดสิบสองชั่วโมง นับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่ เป็นกรณีที่ไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล
(5)    ต้องมีมาตรการเยียวยาทางกฎหมายแก่เจ้าของข้อมูลส่วนบุคคลหรือสิทธิของเจ้าของข้อมูลส่วนบุคคลที่จะได้รับการเยียวยาตามกฎหมายที่มีประสิทธิภาพ (effective legal remedies)

กรณีที่ใช้ข้อสัญญาต้นแบบ สามารถใช้ข้อสัญญาต้นแบบอย่างใดอย่างหนึ่ง ดังนี้
(ก)    ข้อสัญญาต้นแบบของอาเซียนสำหรับการไหลเวียนข้อมูลข้ามพรมแดน (ASEAN Model Contractual Clauses for Cross Border Data Flows)
(ข)    ข้อสัญญามาตรฐานสำหรับการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ (Standard Contractual Clauses for the Transfer of Personal Data to Third Countries) ที่ออกตามความใน Article 46 (1) ประกอบ Article 46 (2) (c) และ Article 28 (7) ของกฎหมาย Regulation (EU) 2016/679 ของสหภาพยุโรป (European Union) หรือ General Data Protection Regulation (GDPR)
(ค)    ข้อสัญญามาตรฐานสำหรับการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศของหน่วยงาน หรือองค์การระหว่างประเทศอื่น ตามที่คณะกรรมการประกาศกำหนด

อย่างไรก็ดี ข้อสัญญาต้นแบบต้องครอบคลุมถึงมาตรการดังต่อไปนี้
(1)    มาตรการแจ้งการส่งหรือโอนข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบ
(2)    มาตรการจำกัดการส่งหรือโอนข้อมูลส่วนบุคคลให้เป็นไปเท่าที่จำเป็นและเกี่ยวข้องกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลเท่านั้น
(3)    มาตรการทางเลือกแก่เจ้าของข้อมูลส่วนบุคคล ในการใช้สิทธิยกเลิกการส่งหรือโอนข้อมูลส่วนบุคคลไปยังบุคคลภายนอก หรือยกเลิกการใช้ข้อมูลส่วนบุคคลนอกขอบเขตวัตถุประสงค์
(4)    มาตรการกำหนดความรับผิดชอบในการส่งหรือโอนข้อมูลส่วนบุคคลไว้ในสัญญา เพื่อกำหนดมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสม รวมถึงการคุ้มครองการส่งหรือโอนข้อมูลส่วนบุคคลไปยังบุคคลภายนอก
(5)    มาตรการรักษาความมั่นคงปลอดภัยในการส่งหรือโอนข้อมูลส่วนบุคคล เพื่อมิให้เกิดการละเมิดข้อมูลส่วนบุคคล
(6)    มาตรการในการกำหนดสิทธิการเข้าถึงข้อมูลส่วนบุคคล การดำเนินการให้ข้อมูลส่วนบุคคลนั้นถูกต้อง เป็นปัจจุบันสมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด และการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นของมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้
(7)    มาตรการเยียวยาความเสียหายในทางกฎหมายที่มีประสิทธิภาพ การบังคับใช้กฎหมาย และการกำหนดความรับผิด อันเกิดจากการส่งหรือโอนข้อมูลส่วนบุคคลโดยมิชอบ

อย่างไรก็ดี คู่สัญญาอาจตกลงเพิ่มเติมในข้อสัญญาต้นแบบ เช่น กำหนดกฎหมายที่ใช้บังคับ แก้ไขเพิ่มเติมเนื้อหาเรื่องอื่น เพิ่มเติมมาตรการที่เหมาะสม หรือแก้ไขเพิ่มเติมเนื้อหาในส่วนที่ไม่ใช่สาระสำคัญได้ เท่าที่ไม่ขัดต่อหลักการข้างต้นและไม่มีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล.