ทำความเข้าใจเจตนาและหลักการของ SCCs: ทำไมต้องใช้และครอบคลุมอะไรบ้างสำหรับการโอนข้อมูลระหว่างประเทศ

ในยุคดิจิทัลที่ข้อมูลเปรียบเสมือนน้ำมันหล่อลื่นของเศรษฐกิจโลก การส่งผ่านข้อมูลข้ามพรมแดนกลายเป็นเรื่องปกติธรรมดา ไม่ว่าจะเป็นการใช้บริการ Cloud Storage การส่งอีเมลข้ามประเทศ หรือการบริหารจัดการทรัพยากรบุคคลในบริษัทข้ามชาติ อย่างไรก็ตาม ความปลอดภัยของข้อมูลส่วนบุคคลคือหัวใจสำคัญที่กฎหมายทั่วโลกให้ความสำคัญ โดยเฉพาะอย่างยิ่ง GDPR ของยุโรป และ PDPA ของไทย ซึ่งหนึ่งในเครื่องมือที่สำคัญที่สุดในการทำให้การโอนข้อมูลเหล่านี้ ‘ชอบด้วยกฎหมาย’ ก็คือ SCCs หรือ Standard Contractual Clauses นั่นเอง

SCCs คืออะไรและมีเจตนาเพื่ออะไร?

Standard Contractual Clauses (SCCs) คือ ข้อสัญญามาตรฐานที่กำหนดโดยหน่วยงานกำกับดูแล (เช่น คณะกรรมาธิการยุโรป หรือ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของไทย) เพื่อใช้เป็นกลไกในการคุ้มครองข้อมูลส่วนบุคคลเมื่อมีการโอนข้อมูลไปยังประเทศที่อาจมีมาตรฐานการคุ้มครองข้อมูลไม่เพียงพอ (Non-Adequate Countries)

ทำไมต้องใช้ SCCs ในการโอนข้อมูลระหว่างประเทศ?

สาเหตุหลักที่องค์กรต้องหันมาใช้ SCCs การโอนข้อมูลระหว่างประเทศ มีดังนี้:

• การปฏิบัติตามกฎหมาย (Compliance): ทั้ง GDPR และ PDPA กำหนดว่าการโอนข้อมูลไปต่างประเทศต้องมีมาตรการคุ้มครองที่เหมาะสม หากประเทศปลายทางไม่ได้รับการรับรองว่ามีมาตรฐานเพียงพอ (Adequacy Decision) SCCs คือทางเลือกที่นิยมที่สุด
• ความยืดหยุ่น: ต่างจาก Binding Corporate Rules (BCR) ที่ต้องใช้เวลาขออนุมัตินานและใช้ได้เฉพาะในกลุ่มบริษัท SCCs สามารถนำมาปรับใช้ได้ทันทีกับคู่ค้าภายนอก
• ความเชื่อมั่นทางธุรกิจ: การมีสัญญาที่ชัดเจนช่วยสร้างความมั่นใจให้แก่เจ้าของข้อมูล (Data Subject) ว่าข้อมูลของพวกเขาจะไม่ถูกนำไปใช้ในทางที่ผิด

โครงสร้างและสิ่งที่ SCCs ครอบคลุม

SCCs รุ่นใหม่ (โดยเฉพาะฉบับปี 2021 ของ EU และแนวทางของไทย) ถูกออกแบบมาให้ครอบคลุมความสัมพันธ์ที่หลากหลาย (Modular Approach) ดังนี้:

นอกจากนี้ SCCs ยังครอบคลุมถึงมาตรการรักษาความปลอดภัยทางเทคนิค (Technical and Organizational Measures), สิทธิของเจ้าของข้อมูล, การแจ้งเหตุละเมิดข้อมูล และการตรวจสอบถ่วงดุล (Audit Rights) เพื่อให้มั่นใจว่าผู้รับข้อมูลปฏิบัติตามสัญญาอย่างเคร่งครัด

ข้อควรระวัง: SCCs ไม่ใช่แค่การเซ็นชื่อแล้วจบ

หลังคำพิพากษาคดี Schrems II การใช้ SCCs เพียงอย่างเดียวอาจไม่พอ องค์กรต้องทำการประเมิน Transfer Impact Assessment (TIA) เพื่อดูว่ากฎหมายในประเทศปลายทาง (เช่น กฎหมายสอดแนมของรัฐ) จะเข้ามาแทรกแซงประสิทธิภาพของ SCCs หรือไม่ หากมีความเสี่ยง องค์กรต้องเพิ่มมาตรการเสริม (Supplementary Measures) เช่น การเข้ารหัสข้อมูลที่เข้มงวด

สรุป

SCCs เป็นเครื่องมือที่ขาดไม่ได้สำหรับธุรกิจยุคใหม่ที่ต้องการขยายตัวสู่ระดับสากล การทำความเข้าใจเจตนาและหลักการของ SCCs จะช่วยให้องค์กรไม่เพียงแต่ผ่านเกณฑ์มาตรฐานทางกฎหมาย แต่ยังช่วยปกป้องชื่อเสียงและสร้างความไว้วางใจให้กับลูกค้าในระยะยาว

คำถามที่พบบ่อย (FAQ)

SCCs คืออะไรในบริบทของ PDPA ไทย?

ในบริบทของ PDPA ไทย SCCs คือข้อสัญญามาตรฐานที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด เพื่อให้ผู้ควบคุมข้อมูลใช้ในการโอนข้อมูลไปยังประเทศที่ไม่มีมาตรฐานการคุ้มครองที่เพียงพอ

เราสามารถแก้ไขข้อความใน SCCs ได้หรือไม่?

โดยหลักการแล้ว ไม่สามารถแก้ไขข้อความส่วนที่เป็นมาตรฐาน (Core Clauses) ได้ เพราะจะทำให้สถานะความสมบูรณ์ของ SCCs เสียไป แต่สามารถเพิ่มข้อกำหนดทางธุรกิจอื่นๆ เข้าไปได้ตราบเท่าที่ไม่ขัดกับ SCCs

ถ้าประเทศปลายทางมีกฎหมายคุ้มครองข้อมูลดีอยู่แล้ว ต้องใช้ SCCs ไหม?

หากประเทศนั้นได้รับการประกาศว่าเป็นประเทศที่มีมาตรฐานเพียงพอ (Adequacy Decision) จากหน่วยงานกำกับดูแลของไทยหรือ EU แล้ว คุณอาจไม่จำเป็นต้องใช้ SCCs แต่ต้องตรวจสอบรายชื่อประเทศเหล่านั้นอย่างสม่ำเสมอ

ใครเป็นผู้รับผิดชอบหากเกิดการรั่วไหลของข้อมูลภายใต้ SCCs?

ทั้งผู้ส่งและผู้รับข้อมูลมีหน้าที่รับผิดชอบตามที่ระบุไว้ในสัญญา โดยทั่วไปเจ้าของข้อมูลสามารถฟ้องร้องเรียกค่าเสียหายได้จากทั้งสองฝ่ายตามสิทธิที่ระบุไว้ใน SCCs

References

• European Commission: Standard Contractual Clauses (SCCs)
• สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC Thailand)