ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยังต่างประเทศ ตามมาตรา ๒๘ แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ พ.ศ. ๒๕๖๖ อาศัยอํานาจตามความในมาตรา ๑๖ (๔) และ (๕) ประกอบมาตรา ๒๘ แห่งพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล จึงออกประกาศไว้ ดังต่อไปนี้ ข้อ ๑ ประกาศนี้เรียกว่า “ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยังต่างประเทศตามมาตรา ๒๕ แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ พ.ศ. ๒๕๖๖” ข้อ ๒ ประกาศนี้ให้ใช้บังคับเมื่อพ้นกําหนดเก้าสิบวันนับแต่วันประกาศในราชกิจจานุเบกษา เป็นต้นไป ข้อ ๓ ในประกาศนี้ “ผู้ให้บริการระบบคลาวด์ (cloud computing service provider)" หมายความว่า ผู้ให้บริการ เก็บรักษาข้อมูลหรือเก็บพักข้อมูลแก่บุคคลอื่นในรูปแบบชั่วคราวหรือถาวร โดยมีระบบที่บริหารจัดการ ข้อมูลบนอินเทอร์เน็ต โดยอาจให้บริการในรูปแบบต่าง ๆ เช่น ผู้ให้บริการโครงสร้างพื้นฐานหลัก (Infrastructure as a Service : IaaS) ผู้ให้บริการแพลตฟอร์ม (Platform as a Service : PaaS) ผู้ให้บริการซอฟต์แวร์ (Software as a Service : SaaS) ผู้ให้บริการระบบจัดเก็บข้อมูล (Data Storage as a Service : DSaaS) และผู้ให้บริการระบบบริหารจัดการข้อมูลแบบ Serverless Computing หรือ ผู้ให้บริการฟังก์ชัน (Function as a Service: FaaS) เป็นต้น “ส่งหรือโอนข้อมูลส่วนบุคคล” หมายความว่า ส่งหรือโอนข้อมูลส่วนบุคคลโดยผู้ส่งหรือ โอนข้อมูลส่วนบุคคล ไม่ว่าจะเป็นการส่งหรือโอนข้อมูลโดยทางกายภาพ หรือผ่านระบบคอมพิวเตอร์ หรือระบบเครือข่าย ให้แก่ผู้รับข้อมูลส่วนบุคคล แต่มิให้หมายความรวมถึงการส่งและรับข้อมูลส่วนบุคคล ในลักษณะที่เป็นเพียงสื่อกลาง (intermediary) ในการส่งผ่านข้อมูล (data transit) ระหว่างระบบ คอมพิวเตอร์หรือระบบเครื่อข่ายหรือการเก็บพักข้อมูล (data storage) ในรูปแบบชั่วคราวหรือถาวร ที่ไม่มีบุคคลภายนอกเข้าถึงข้อมูลส่วนบุคคลดังกล่าว นอกเหนือจากผู้ควบคุมข้อมูลส่วนบุคคลหรือ ผู้ประมวลผลข้อมูลส่วนบุคคลที่เป็นผู้ส่งข้อมูลส่วนบุคคลนั้น หรือบุคลากร พนักงาน หรือลูกจ้างของ ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลนั้น เช่น กรณีการส่งข้อมูลผ่านระบบเครือข่าย ในต่างประเทศ หรือการส่งข้อมูลผ่านระบบของผู้ให้บริการระบบคลาวด์ (cloud computing service provider)ที่ไม่มีบุคคลใดนอกจากผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่เป็น ผู้ส่งข้อมูลส่วนบุคคลนั้น หรือบุคลากร พนักงาน หรือลูกจ้าง เข้าถึงข้อมูลส่วนบุคคล เนื่องจาก มีมาตรการทางเทคนิคหรือเงื่อนไขทางกฎหมายรองรับ เล่ม ๑๔๐ ตอนพิเศษ ๓๒๓ ง ราชกิจจานุเบกษา ๒๕ ธันวาคม ๒๕๖๖ “คณะกรรมการ” หมายถึง คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล “สํานักงาน” หมายถึง สํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ข้อ ๔ ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลต้องมีมาตรฐานการคุ้มครองข้อมูล ส่วนบุคคลที่เพียงพอ โดยต้องเป็นไปตามหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลตามประกาศนี้ เว้นแต่ (๑) เป็นการปฏิบัติตามกฎหมาย (๒) ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลโดยได้แจ้งให้เจ้าของข้อมูลส่วนบุคคล ทราบถึงมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอของประเทศปลายทางหรือองค์การระหว่างประเทศ ที่รับข้อมูลส่วนบุคคลแล้ว (๓) เป็นการจําเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือ เพื่อใช้ในการดําเนินการตามคําขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทําสัญญานั้น (๔) เป็นการกระทําตามสัญญาระหว่างผู้ควบคุมข้อมูลส่วนบุคคลกับบุคคลหรือนิติบุคคลอื่น เพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคล (๕) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วนบุคคล หรือบุคคลอื่น เมื่อเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมในขณะนั้นได้ (๖) เป็นการจําเป็นเพื่อการดําเนินภารกิจเพื่อประโยชน์สาธารณะที่สําคัญ ข้อ ๕ หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคล ซึ่งประเทศปลายทางหรือองค์การ ระหว่างประเทศที่รับข้อมูลส่วนบุคคลต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอตามข้อ ๕ ให้พิจารณาจากข้อเท็จจริงเกี่ยวกับความเพียงพอของปัจจัย ดังต่อไปนี้ (๑) มีมาตรการหรือกลไกทางกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของประเทศปลายทาง หรือองค์การระหว่างประเทศที่สอดคล้องกับกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย โดยเฉพาะหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลในการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม มาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมและสามารถบังคับตามสิทธิของเจ้าของข้อมูลส่วนบุคคลได้ และมาตรการเยียวยาทางกฎหมายที่มีประสิทธิภาพ (๒) มีหน่วยงานหรือองค์กรที่มีหน้าที่และอํานาจในการบังคับใช้กฎหมายและกฎระเบียบเกี่ยวกับ การคุ้มครองข้อมูลส่วนบุคคลในประเทศปลายทางหรือองค์การระหว่างประเทศ ข้อ ๖ ในการเสนอปัญหาเกี่ยวกับมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอของ ประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลต่อคณะกรรมการเป็นผู้วินิจฉัย ตามมาตรา ๒๘ วรรคสาม สํานักงานอาจรับเรื่องที่มีผู้ควบคุมข้อมูลส่วนบุคคลเสนอให้มีการวินิจฉัย หรือสํานักงานอาจรวบรวมข้อมูลและเสนอโดยสํานักงานเองก็ได้ โดยคณะกรรมการอาจพิจารณาวินิจฉัย เล่ม ๑๔๐ ตอนพิเศษ ๓๒๓ ง ราชกิจจานุเบกษา ๒๕ ธันวาคม ๒๕๖๖ เป็นรายกรณี หรือพิจารณากําหนดรายชื่อประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูล ส่วนบุคคล ซึ่งถือว่ามีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอก็ได้ สํานักงานอาจขอให้คณะกรรมการทบทวนคําวินิจฉัยได้เมื่อมีหลักฐานใหม่ทําให้เชื่อได้ว่า ประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลมีการพัฒนาจนมีมาตรฐาน การคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ หรือกรณีอื่นที่เห็นสมควร ข้อ ๗ ในการดําเนินการเพื่อเสนอเรื่องให้คณะกรรมการวินิจฉัยตามข้อ ๖ ให้สํานักงาน จัดทําเป็นรายงานมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลของประเทศปลายทางหรือองค์การระหว่างประเทศ โดยสํานักงานอาจจัดทําเองหรือเสนอรายงานของหน่วยงานอื่นก็ได้ ข้อ ๘ ให้ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคลเป็นผู้รักษาการตามประกาศนี้ ประกาศ ณ วันที่ ๑๒ ธันวาคม พ.ศ. ๒๕๖๖ เธียรชัย ณ นคร ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคล
หากท่านต้องการเอกสาร พ.ร.บ. นี้อย่างเป็นทางการ กรุณาใช้ ไฟล์ pdf จาก website สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สำรอง)
Website นี้พัฒนาขึ้นแบบ open source ท่านสามารถร่วมแก้ไข ปรับปรุงได้ บน GitHub