ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยังต่างประเทศ ตามมาตรา ๒๙ แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ พ.ศ. ๒๕๖๖ อาศัยอํานาจตามความในมาตรา ๑๖ (๔) และ (๕) ประกอบมาตรา ๒๙ วรรคสองและวรรคสาม แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล จึงออกประกาศไว้ ดังต่อไปนี้ ข้อ ๑ ประกาศนี้เรียกว่า “ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์ การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยังต่างประเทศ ตามมาตรา ๒๕ แห่งพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ พ.ศ. ๒๕๖๖” ข้อ ๒ ประกาศนี้ให้ใช้บังคับเมื่อพันกําหนดเก้าสิบวันนับแต่วันประกาศในราชกิจจานุเบกษา เป็นต้นไป ข้อ ๓ ในประกาศนี้ “เครือกิจการหรือเครือธุรกิจเดียวกัน” หมายความว่า กิจการที่ผู้ประกอบกิจการมีอํานาจควบคุม หรือบริหารจัดการเหนือกิจการอื่น หรือกิจการที่ถูกควบคุมโดยผู้ประกอบกิจการที่มีอํานาจเหนือกิจการอื่น ในรูปแบบบริษัทใหญ่ บริษัทย่อย หรือบริษัทร่วม รวมทั้งบุคคลธรรมดาหรือนิติบุคคลที่มีความเกี่ยวข้อง กันทางกฎหมายหรือเกี่ยวข้องกันเนื่องจากประกอบกิจการหรือธุรกิจร่วมกัน โดยใช้หลักเกณฑ์การพิจารณา ตามกฎหมายที่เกี่ยวข้องและมาตรฐานทางบัญชีอันเป็นที่ยอมรับโดยทั่วไป “ผู้ส่งหรือโอนข้อมูลส่วนบุคคล” หมายความว่า ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผล ข้อมูลส่วนบุคคลที่ส่งหรือโอนข้อมูลส่วนบุคคลไปยังผู้รับข้อมูลส่วนบุคคลที่อยู่ต่างประเทศ “ผู้รับข้อมูลส่วนบุคคล” หมายความว่า ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูล ส่วนบุคคลที่อยู่ต่างประเทศ ที่รับข้อมูลส่วนบุคคลจากผู้ส่งหรือโอนข้อมูลส่วนบุคคลเพื่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ผู้ให้บริการระบบคลาวด์ (cloud computing service provider)” หมายความว่า ผู้ให้บริการเก็บรักษาข้อมูลหรือเก็บพักข้อมูลแก่บุคคลอื่นในรูปแบบชั่วคราวหรือถาวร โดยมีระบบ ที่บริหารจัดการข้อมูลบนอินเทอร์เน็ต โดยอาจให้บริการในรูปแบบต่าง ๆ เช่น ผู้ให้บริการโครงสร้าง พื้นฐานหลัก (Infrastructure as a Service : IaaS) ผู้ให้บริการแพลตฟอร์ม (Platform as a Service : PaaS) ผู้ให้บริการซอฟต์แวร์ (Software as a Service: SaaS) ผู้ให้บริการระบบจัดเก็บข้อมูล (Data Storage as a Service : DSaaS) และผู้ให้บริการระบบบริหารจัดการข้อมูลแบบ Serverless Computing หรือผู้ให้บริการฟังก์ชัน (Function as a Service : FaaS) เป็นต้น “ส่งหรือโอนข้อมูลส่วนบุคคล” หมายความว่า ส่งหรือโอนข้อมูลส่วนบุคคลโดยผู้ส่งหรือ โอนข้อมูลส่วนบุคคล ไม่ว่าจะเป็นการส่งหรือโอนข้อมูลโดยทางกายภาพ หรือผ่านระบบคอมพิวเตอร์ หรือระบบเครือข่าย ให้แก่ผู้รับข้อมูลส่วนบุคคล แต่มิให้หมายความรวมถึงการส่งและรับข้อมูลส่วนบุคคล ในลักษณะที่เป็นเพียงสื่อกลาง (intermediary) ในการส่งผ่านข้อมูล (data transit) ระหว่างระบบ คอมพิวเตอร์หรือระบบเครือข่ายหรือการเก็บพักข้อมูล (data storage) ในรูปแบบชั่วคราวหรือถาวร ที่ไม่มีบุคคลภายนอกเข้าถึงข้อมูลส่วนบุคคลดังกล่าว นอกเหนือจากผู้ควบคุมข้อมูลส่วนบุคคลหรือ ผู้ประมวลผลข้อมูลส่วนบุคคลที่เป็นผู้ส่งข้อมูลส่วนบุคคลนั้น หรือบุคลากร พนักงาน หรือลูกจ้างของ ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลนั้น เช่น กรณีการส่งข้อมูลผ่านระบบเครือข่าย ในต่างประเทศ หรือการส่งข้อมูลผ่านระบบของผู้ให้บริการระบบคลาวด์ (cloud computing service provider) ที่ไม่มีบุคคลใดนอกจากผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่เป็น ผู้ส่งข้อมูลส่วนบุคคลนั้น หรือบุคลากร พนักงาน หรือลูกจ้าง เข้าถึงข้อมูลส่วนบุคคล เนื่องจากมีมาตรการ ทางเทคนิคหรือเงื่อนไขทางกฎหมายรองรับ “นโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกัน (binding corporate rules)” หมายความว่า นโยบายหรือข้อตกลงในการคุ้มครองข้อมูลส่วนบุคคลที่ผู้ส่งหรือ โอนข้อมูลส่วนบุคคลและผู้รับข้อมูลส่วนบุคคลตกลงร่วมกันและมีผลผูกพัน เพื่อกําหนดมาตรการ คุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมระหว่างเครือกิจการหรือเครือธุรกิจเดียวกัน “คณะกรรมการ” หมายความว่า คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล “สํานักงาน” หมายความว่า สํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ข้อ ๕ ให้ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคลเป็นผู้รักษาการตามประกาศนี้ หมวด ๑ นโยบายในการคุ้มครองข้อมูลส่วนบุคคลเพื่อการส่งหรือโอนข้อมูลส่วนบุคคล ไปยังผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งอยู่ต่างประเทศและอยู่ในเครือกิจการหรือเครือธุรกิจเดียวกันเพื่อการประกอบกิจการหรือธุรกิจร่วมกัน ข้อ ๕ ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักร อาจส่งหรือโอนข้อมูลส่วนบุคคลไปยังผู้รับข้อมูลส่วนบุคคลซึ่งอยู่ต่างประเทศและอยู่ในเครือกิจการ หรือเครือธุรกิจเดียวกันได้ตามมาตรา ๒๙ วรรคหนึ่งแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ หากผู้ส่งหรือโอนข้อมูลส่วนบุคคลและผู้รับข้อมูลส่วนบุคคลดังกล่าวได้มีการกําหนดนโยบาย ในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกัน (binding corporate rules) เพื่อการประกอบกิจการหรือธุรกิจร่วมกันที่ได้รับการตรวจสอบและรับรองจากสํานักงานแล้ว ข้อ ๖ ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่จะส่งหรือโอนข้อมูล ส่วนบุคคลไปยังผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งอยู่ต่างประเทศและ อยู่ในเครือกิจการหรือเครือธุรกิจเดียวกัน สามารถเสนอนโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือ กิจการหรือเครือธุรกิจเดียวกัน (binding corporate rules) เพื่อการประกอบกิจการหรือธุรกิจร่วมกัน ตามข้อ ๕ เพื่อให้สํานักงานตรวจสอบและรับรองตามประกาศนี้ได้ โดยให้ยื่นนโยบายดังกล่าว โดยวิธีการใดวิธีการหนึ่ง ดังต่อไปนี้ (๑) ยื่นโดยตรงต่อสํานักงาน (๒) ยื่นผ่านทางไปรษณีย์มายังสํานักงาน (๓) ยื่นผ่านทางช่องทางอิเล็กทรอนิกส์หรือช่องทางอื่นใดตามที่สํานักงานกําหนด ข้อ ๗ ให้สํานักงานตรวจสอบและรับรองนโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการ หรือเครือธุรกิจเดียวกัน (binding corporate rules) เพื่อการประกอบกิจการหรือธุรกิจร่วมกัน ที่ได้มีการยื่นตามข้อ ๖ ตามหลักเกณฑ์และมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ระบุไว้ในกฎหมาย ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล และกฎหมายลําดับรองและประกาศที่เกี่ยวข้อง โดยให้ตรวจสอบ เนื้อหาสาระของนโยบายในการคุ้มครองข้อมูลส่วนบุคคล ว่าต้องเป็นไปตามหลักเกณฑ์ ดังต่อไปนี้ (๑) การมีผลและสภาพบังคับในทางกฎหมายของนโยบายในการคุ้มครองข้อมูลส่วนบุคคลดังกล่าว กับนิติบุคคลหรือบุคคลธรรมดาในเครือกิจการหรือเครือธุรกิจเดียวกัน ตลอดจนผู้ประมวลผลข้อมูล ส่วนบุคคลที่เกี่ยวข้อง ผู้ส่งหรือโอนข้อมูลส่วนบุคคล และผู้รับข้อมูลส่วนบุคคลที่อยู่ในเครือกิจการ หรือเครือธุรกิจเดียวกันของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่เสนอนโยบาย ให้สํานักงานตรวจสอบและรับรอง ทั้งนี้ นโยบายดังกล่าวต้องสอดคล้องกับกฎหมายว่าด้วยการคุ้มครอง ข้อมูลส่วนบุคคล และต้องมีผลผูกพันต่อบุคลากร พนักงาน ลูกจ้าง หรือบุคคลที่เกี่ยวข้องกับผู้ส่ง หรือโอนข้อมูลส่วนบุคคลและผู้รับข้อมูลส่วนบุคคล และการส่งหรือโอนข้อมูลส่วนบุคคลและการรับ ข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลในเครือกิจการหรือ เครือธุรกิจเดียวกันด้วย (๒) ข้อกําหนดที่รับรองการคุ้มครองข้อมูลส่วนบุคคล สิทธิของเจ้าของข้อมูลส่วนบุคคล และการร้องเรียน สําหรับข้อมูลส่วนบุคคลที่ถูกส่งหรือโอนไปยังต่างประเทศ (๓) มีมาตรการในการคุ้มครองข้อมูลส่วนบุคคลและมาตรการรักษาความมั่นคงปลอดภัย ที่สอดคล้องกับกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล โดยมาตรการรักษาความมั่นคงปลอดภัย จะต้องเป็นไปตามมาตรฐานขั้นต่ำตามที่กฎหมายกําหนดด้วย หมวด ๒ มาตรการคุ้มครองที่เหมาะสม (Appropriate Safeguards) ข้อ ๘ ในกรณีที่ยังไม่มีคําวินิจฉัยเกี่ยวกับมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ ของประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลของคณะกรรมการตามมาตรา ๒๘ แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ หรือยังไม่มีนโยบายในการคุ้มครอง ข้อมูลส่วนบุคคลตามข้อ ๕ ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอาจส่งหรือ โอนข้อมูลส่วนบุคคลไปยังต่างประเทศได้โดยได้รับยกเว้นไม่ต้องปฏิบัติตามมาตรา ๒๘ เมื่อได้จัด ให้มีมาตรการคุ้มครองที่เหมาะสม (appropriate safeguards) ซึ่งสามารถบังคับตามสิทธิของเจ้าของ ข้อมูลส่วนบุคคลได้ และมีมาตรการเยียวยาทางกฎหมายที่มีประสิทธิภาพ มาตรการคุ้มครองที่เหมาะสมตามวรรคหนึ่ง อาจอยู่ในรูปแบบ ดังนี้ (๑) ข้อสัญญาที่เป็นไปตามข้อสัญญาในการส่งหรือโอนข้อมูลส่วนบุคคลที่เป็นที่ยอมรับ ซึ่งเป็นข้อสัญญาในการคุ้มครองข้อมูลส่วนบุคคล ในส่วนที่เกี่ยวกับการส่งหรือโอนข้อมูลส่วนบุคคล ข้ามพรมแดน หรือการส่งหรือโอนข้อมูลส่วนบุคคลระหว่างประเทศ ที่คณะกรรมการกําหนดให้ผู้ส่งหรือ โอนข้อมูลส่วนบุคคลและผู้รับข้อมูลส่วนบุคคลใช้เพื่อกําหนดหน้าที่และเงื่อนไขของคู่สัญญา เพื่อให้มี มาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสม (๒) การรับรอง (certification) เกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ในส่วนที่เกี่ยวกับการส่งหรือโอน ข้อมูลส่วนบุคคลข้ามพรมแดน หรือการส่งหรือโอนข้อมูลส่วนบุคคลระหว่างประเทศ ว่ามีมาตรการ คุ้มครองข้อมูลส่วนบุคคลที่เหมาะสม โดยเป็นไปตามมาตรฐานที่เป็นที่ยอมรับ (๓) ข้อกําหนดมาตรการคุ้มครองข้อมูลส่วนบุคคลในตราสารหรือข้อตกลงที่มีผลผูกพัน ทางกฎหมายและสามารถใช้บังคับได้ระหว่างหน่วยงานของรัฐของประเทศไทยกับหน่วยงานของรัฐ ของประเทศอื่น ในกรณีการส่งหรือโอนข้อมูลส่วนบุคคลระหว่างหน่วยงานของรัฐของประเทศไทยกับ หน่วยงานของรัฐของประเทศอื่นนั้น ข้อ ๙ มาตรการคุ้มครองที่เหมาะสมตามข้อ ๘ ต้องเป็นไปตามหลักเกณฑ์ ดังต่อไปนี้ (๑) การมีผลและสภาพบังคับในทางกฎหมายของมาตรการคุ้มครองข้อมูลส่วนบุคคลและ มาตรการเยียวยาทางกฎหมายกับนิติบุคคลหรือบุคคลธรรมดาที่เป็นผู้ส่งหรือโอนข้อมูลส่วนบุคคล และผู้รับข้อมูลส่วนบุคคล ตลอดจนผู้ประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวข้อง ไม่ว่าผู้ส่งหรือโอน ข้อมูลส่วนบุคคลและผู้รับข้อมูลส่วนบุคคลนั้นจะเป็นผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผล ข้อมูลส่วนบุคคลก็ตาม ทั้งนี้ มาตรการคุ้มครองที่เหมาะสมดังกล่าวต้องสอดคล้องกับกฎหมายว่าด้วย การคุ้มครองข้อมูลส่วนบุคคล และต้องมีผลผูกพันต่อบุคลากร พนักงาน ลูกจ้าง หรือบุคคลที่เกี่ยวข้อง กับผู้ส่งหรือโอนข้อมูลส่วนบุคคลและผู้รับข้อมูลส่วนบุคคลด้วย (๒) ข้อกําหนดที่รับรองการคุ้มครองข้อมูลส่วนบุคคล สิทธิของเจ้าของข้อมูลส่วนบุคคล และการร้องเรียน สําหรับข้อมูลส่วนบุคคลที่ถูกส่งหรือโอนไปยังต่างประเทศ (๓) มีมาตรการในการคุ้มครองข้อมูลส่วนบุคคลและมาตรการรักษาความมั่นคงปลอดภัย ที่สอดคล้องกับกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล โดยมาตรการรักษาความมั่นคงปลอดภัย จะต้องเป็นไปตามมาตรฐานขั้นต่ำตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลด้วย ข้อ ๑๐ ภายใต้บังคับข้อ ๙ ข้อสัญญาในเรื่องการส่งหรือโอนข้อมูลส่วนบุคคลตามข้อ ๘ วรรคสอง (๑) จะต้องมีลักษณะอย่างใดอย่างหนึ่ง ดังต่อไปนี้ (๑) ข้อสัญญาที่คู่สัญญาจัดทําขึ้นและมีผลผูกพันที่มีเนื้อหาและข้อกําหนดที่เกี่ยวข้องกับ การคุ้มครองข้อมูลส่วนบุคคล ดังนี้ (ก) การเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล รวมถึงการส่งหรือโอนข้อมูล ส่วนบุคคลไปยังผู้รับข้อมูลส่วนบุคคล ต้องเป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล (ข) ผู้ส่งหรือโอนข้อมูลส่วนบุคคลและผู้รับข้อมูลส่วนบุคคลต้องจัดให้มีมาตรการรักษา ความมั่นคงปลอดภัย โดยต้องเป็นไปตามมาตรฐานขั้นต่ำตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล (ค) กรณีผู้รับข้อมูลส่วนบุคคลเป็นผู้ประมวลผลข้อมูลส่วนบุคคล ๑) ผู้รับข้อมูลส่วนบุคคลต้องเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ส่งหรือโอนข้อมูลส่วนบุคคล และตามวัตถุประสงค์ที่ผู้ส่งหรือโอน ข้อมูล ส่วนบุคคลกําหนดไว้เท่านั้น ๒) ผู้รับข้อมูลส่วนบุคคลจะต้องติดต่อผู้ส่งหรือโอนข้อมูลส่วนบุคคลในโอกาสแรก ที่ทําได้ หากเจ้าของข้อมูลส่วนบุคคลขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล ตามกฎหมายว่าด้วย การคุ้มครองข้อมูลส่วนบุคคล เว้นแต่ผู้ส่งหรือโอนข้อมูลส่วนบุคคลจะมอบหมายให้ผู้รับข้อมูลส่วนบุคคล ดําเนินการตามคําขอใช้สิทธิดังกล่าวแทนผู้ส่งหรือโอนข้อมูลส่วนบุคคล ๓) ผู้รับข้อมูลส่วนบุคคลต้องส่งคืนข้อมูลส่วนบุคคลตามข้อสัญญาแก่ผู้ส่งหรือ โอนข้อมูลส่วนบุคคล หรือลบหรือทําลายข้อมูลส่วนบุคคล หรือทําให้ข้อมูลส่วนบุคคลเป็นข้อมูล ที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ โดยวิธีการที่เหมาะสม ตามหลักเกณฑ์ และเงื่อนไขที่ผู้ส่งหรือโอนข้อมูลส่วนบุคคลกําหนด และผู้รับข้อมูลส่วนบุคคลจะต้องยืนยันเป็น ลายลักษณ์อักษรต่อผู้ส่งหรือโอนข้อมูลส่วนบุคคลเมื่อมีการดําเนินการดังกล่าวแล้ว ๔) ผู้รับข้อมูลส่วนบุคคลต้องแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลตามกฎหมาย ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลแก่ผู้ส่งหรือโอนข้อมูลส่วนบุคคลโดยไม่ชักช้าภายในเจ็ดสิบสองชั่วโมง นับแต่ทราบเหตุเท่าที่จะสามารถกระทําได้ (ง) กรณีผู้รับข้อมูลส่วนบุคคลเป็นผู้ควบคุมข้อมูลส่วนบุคคล ผู้รับข้อมูลส่วนบุคคล ต้องแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลแก่ผู้ส่งหรือ โอนข้อมูลส่วนบุคคลด้วยในกรณีที่ผู้ส่งหรือโอนข้อมูลส่วนบุคคลเป็นผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งต้องแจ้ง โดยไม่ชักช้าภายในเจ็ดสิบสองชั่วโมงนับแต่ทราบเหตุเท่าที่จะสามารถกระทําได้ เว้นแต่การละเมิดดังกล่าว ไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล (จ) ต้องมีมาตรการเยียวยาทางกฎหมายแก่เจ้าของข้อมูลส่วนบุคคลหรือสิทธิของเจ้าของ ข้อมูลส่วนบุคคลที่จะได้รับการเยียวยาตามกฎหมายที่มีประสิทธิภาพ (effective legal remedies) (๒) ข้อสัญญาที่คู่สัญญาจัดทําขึ้นตามกฎหมายของต่างประเทศ หรือจัดทําโดยองค์การ ระหว่างประเทศ และมีเนื้อหาและข้อกําหนดที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล โดยใช้ ข้อสัญญาต้นแบบอย่างใดอย่างหนึ่ง ดังนี้ (ก) ข้อสัญญาต้นแบบของอาเซียนสําหรับการไหลเวียนข้อมูลข้ามพรมแดน ( (ASEAN Model Contractual Clauses for Cross Border Data Flows) (ข) ข้อสัญญามาตรฐานสําหรับการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ (Standard Contractual Clauses for the Transfer of Personal Data to Third Countries) ที่ออกตามความใน Article 46 (1) ประกอบ Article 46 (2) (c) เเละ Article 28 (7) ของกฎหมาย Regulation (EU) 2016/679 ของสหภาพยุโรป (European Union) หรือ General Data Protection Regulation (GDPR) (ค) ข้อสัญญามาตรฐานสําหรับการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศของ หน่วยงาน หรือองค์การระหว่างประเทศอื่นตามที่คณะกรรมการประกาศกําหนด ข้อ ๑๑ ข้อสัญญาตามข้อ ๑๐ (๒) ต้องมีเนื้อหาเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ในเรื่องดังต่อไปนี้ (๑) มาตรการแจ้งการส่งหรือโอนข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบ (๒) มาตรการจํากัดการส่งหรือโอนข้อมูลส่วนบุคคลให้เป็นไปเท่าที่จําเป็นและเกี่ยวข้องกับ การเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลเท่านั้น (๓) มาตรการทางเลือกแก่เจ้าของข้อมูลส่วนบุคคล ในการใช้สิทธิยกเลิกการส่งหรือโอน ข้อมูลส่วนบุคคลไปยังบุคคลภายนอกหรือยกเลิกการใช้ข้อมูลส่วนบุคคลนอกขอบเขตวัตถุประสงค์ (๔) มาตรการกําหนดความรับผิดชอบในการส่งหรือโอนข้อมูลส่วนบุคคลไว้ในสัญญา เพื่อกําหนดมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสม รวมถึงการคุ้มครองการส่งหรือโอนข้อมูล ส่วนบุคคลไปยังบุคคลภายนอก (๕) มาตรการรักษาความมั่นคงปลอดภัยในการส่งหรือโอนข้อมูลส่วนบุคคลเพื่อมิให้เกิด การละเมิดข้อมูลส่วนบุคคล (๖) มาตรการในการกําหนดสิทธิการเข้าถึงข้อมูลส่วนบุคคล การดําเนินการให้ข้อมูล ส่วนบุคคลนั้นถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด และการลบหรือทําลาย หรือทําให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ (๗) มาตรการเยียวยาความเสียหายในทางกฎหมายที่มีประสิทธิภาพ การบังคับใช้กฎหมาย และการกําหนดความรับผิด อันเกิดจากการส่งหรือโอนข้อมูลส่วนบุคคลโดยมิชอบ ข้อ ๑๒ ในกรณีที่มีการใช้ข้อสัญญาตามข้อ ๑๐ (๒) หากมีการอ้างอิงกฎหมายที่ใช้บังคับ การแก้ไขเพิ่มเติมเนื้อหาเรื่องอื่นในข้อสัญญา หรือเพิ่มเติมมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสม หรือการแก้ไขเพิ่มเติมเนื้อหาในส่วนที่ไม่ใช่สาระสําคัญ ซึ่งไม่ขัดต่อหลักการตามข้อ ๑๑ และไม่มี ผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ให้สามารถกระทําได้ ข้อ ๑๓ ให้สํานักงานเผยแพร่ข้อมูลและรายละเอียดของข้อสัญญาต้นแบบตามข้อ ๑๐ (๒) ผ่านเว็บไซต์ของสํานักงานด้วย ข้อ ๑๔ การรับรอง (certification) เกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ในส่วนที่เกี่ยวกับการส่งหรือโอนข้อมูล ส่วนบุคคลข้ามพรมแดน หรือการส่งหรือโอนข้อมูลส่วนบุคคลระหว่างประเทศ ว่ามีมาตรการคุ้มครองข้อมูล ส่วนบุคคลที่เหมาะสม (appropriate safeguards) โดยเป็นไปตามมาตรฐานที่เป็นที่ยอมรับ ตามข้อ ๘ วรรคสอง (๒) ให้เป็นไปตามที่คณะกรรมการประกาศกําหนด ซึ่งจะต้องมีเนื้อหาตามข้อ ๑๑ ด้วย ประกาศ ณ วันที่ ๑๒ ธันวาคม พ.ศ. ๒๕๖๖ เธียรชัย ณ นคร ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคล
หากท่านต้องการเอกสาร พ.ร.บ. นี้อย่างเป็นทางการ กรุณาใช้ ไฟล์ pdf จาก website สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สำรอง)
Website นี้พัฒนาขึ้นแบบ open source ท่านสามารถร่วมแก้ไข ปรับปรุงได้ บน GitHub