แนวทาง Compliance เมื่อส่งข้อมูลข้ามแดนด้วย SCCs (Standard Contractual Clauses): คู่มือการปฏิบัติสำหรับองค์กรในไทย
ในยุคดิจิทัลที่การขับเคลื่อนธุรกิจต้องพึ่งพาการไหลเวียนของข้อมูลอย่างไร้พรมแดน การส่งข้อมูลส่วนบุคคลไปยังต่างประเทศกลายเป็นกระบวนการปกติที่เกิดขึ้นทุกวัน ไม่ว่าจะเป็นการใช้บริการ Cloud Computing, การส่งข้อมูลภายในกลุ่มบริษัทข้ามชาติ หรือการจ้างงาน Outsourcing ในต่างประเทศ อย่างไรก็ตาม ภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ของไทย การดำเนินการเหล่านี้ต้องมีมาตรการคุ้มครองที่เพียงพอ และหนึ่งในเครื่องมือที่สำคัญที่สุดที่องค์กรในไทยต้องรู้จักคือ Standard Contractual Clauses (SCCs) หรือ ข้อสัญญามาตรฐาน
ทำความรู้จักกับ SCCs คืออะไร?
SCCs หรือ Standard Contractual Clauses คือชุดข้อสัญญาสำเร็จรูปที่กำหนดภาระหน้าที่และสิทธิระหว่างผู้ส่งข้อมูล (Data Exporter) และผู้รับข้อมูล (Data Importer) เพื่อรับประกันว่าข้อมูลส่วนบุคคลที่ถูกส่งออกไปยังประเทศปลายทางจะได้รับการคุ้มครองในระดับที่เทียบเท่ากับมาตรฐานที่กฎหมายในประเทศต้นทางกำหนด สำหรับประเทศไทย คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้ออกประกาศกำหนดหลักเกณฑ์การส่งข้อมูลข้ามแดนโดยใช้ข้อสัญญามาตรฐานเพื่อให้สอดคล้องกับมาตรา 28 และ 29 ของ PDPA
ขั้นตอนและแนวทาง Compliance สำหรับองค์กรในไทย
เพื่อให้การส่งข้อมูลเป็นไปอย่างถูกต้อง องค์กรควรปฏิบัติตามแนวทางดังนี้:
- การประเมินความจำเป็น (Data Mapping): ตรวจสอบว่ามีการส่งข้อมูลไปยังใคร ที่ไหน และเพื่อวัตถุประสงค์ใด
- การเลือกรูปแบบ SCCs ที่เหมาะสม: พิจารณาความสัมพันธ์ว่าเป็นแบบ Controller-to-Controller หรือ Controller-to-Processor
- การทำ Data Transfer Impact Assessment (DTIA): ประเมินกฎหมายของประเทศปลายทางว่าขัดต่อการบังคับใช้ SCCs หรือไม่
- การลงนามและบังคับใช้: ต้องมีการลงนามในสัญญาที่เป็นลายลักษณ์อักษรก่อนการส่งข้อมูลจริง
เปรียบเทียบความแตกต่างระหว่าง SCCs ของไทยและ GDPR
| หัวข้อเปรียบเทียบ | PDPA SCCs (ไทย) | GDPR SCCs (EU) |
|---|---|---|
| พื้นฐานทางกฎหมาย | มาตรา 28/29 แห่ง PDPA | Article 46 แห่ง GDPR |
| ความยืดหยุ่น | ปรับปรุงเนื้อหาได้หากไม่ลดทอนมาตรฐาน | ห้ามแก้ไขเนื้อหาหลักของสัญญา |
| การยอมรับ | อ้างอิงมาตรฐานสากลและประกาศ สคส. | เป็นมาตรฐานที่ใช้ทั่วโลก |
ข้อควรระวังในการใช้ SCCs ในประเทศไทย
แม้ว่าการใช้ SCCs จะเป็นวิธีที่สะดวก แต่มีข้อควรระวังที่สำคัญคือ ‘การใช้สัญญาเพียงอย่างเดียวอาจไม่เพียงพอ’ หากประเทศปลายทางมีกฎหมายที่ให้อำนาจรัฐเข้าถึงข้อมูลได้โดยตรง องค์กรอาจต้องเพิ่มมาตรการเสริมทางเทคนิค (Supplementary Measures) เช่น การเข้ารหัสข้อมูล (Encryption) หรือการทำให้ข้อมูลไม่สามารถระบุตัวตนได้ (Pseudonymization) เพื่อเพิ่มระดับความปลอดภัย
คำถามที่พบบ่อย (FAQ)
1. หากใช้ Cloud ของต่างประเทศที่มี Server ในไทย ต้องทำ SCCs หรือไม่?
หากข้อมูลไม่ได้ถูกโอนย้ายออกจากประเทศไทยและไม่มีการเข้าถึงจากต่างประเทศ อาจไม่เข้าข่ายการส่งข้อมูลข้ามแดน แต่หากมีการ Remote Access จากต่างประเทศมายัง Server ในไทย ถือเป็นการส่งข้อมูลข้ามแดนที่ต้องมีมาตรการรองรับ
2. เราสามารถแก้ไขเนื้อหาใน SCCs ได้หรือไม่?
องค์กรสามารถเพิ่มเติมข้อความหรือรายละเอียดทางธุรกิจได้ แต่ต้องไม่ขัดหรือแย้งกับสาระสำคัญของข้อสัญญามาตรฐานที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด
3. SCCs ใช้แทนความยินยอม (Consent) ได้หรือไม่?
ได้ ในกรณีที่การส่งข้อมูลข้ามแดนนั้นอาศัยฐานสัญญาตามมาตรา 29 ซึ่งหากมี SCCs ที่เหมาะสมแล้ว องค์กรไม่จำเป็นต้องขอความยินยอมเพื่อการส่งข้อมูลข้ามแดนตามมาตรา 28 อีก
4. ต้องส่งชุดสัญญา SCCs ให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ตรวจสอบหรือไม่?
โดยปกติไม่ต้องส่งให้ตรวจสอบล่วงหน้า แต่ต้องจัดเก็บไว้เพื่อพร้อมแสดงต่อเจ้าหน้าที่เมื่อมีการตรวจสอบหรือเมื่อเกิดเหตุละเมิดข้อมูล
References
- สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)
- European Commission – Standard Contractual Clauses (SCCs)
- ทำความเข้าใจเจตนาและหลักการของ SCCs: ทำไมต้องใช้และครอบคลุมอะไรบ้างสำหรับการโอนข้อมูลระหว่างประเทศ
- ขั้นตอนเตรียมความพร้อมก่อนส่งข้อมูลข้ามแดน: การประเมินความเสี่ยง การจำแนกข้อมูล และการเลือก SCCs ที่เหมาะสม
- การปรับแต่ง SCCs ให้สอดคล้องกับกฎหมายไทยและข้อบังคับความเป็นส่วนตัว (PDPA): ข้อควรระวังและการเพิ่มมาตรการเสริม
