การปรับแต่ง SCCs ให้สอดคล้องกับกฎหมายไทยและข้อบังคับความเป็นส่วนตัว (PDPA): ข้อควรระวังและการเพิ่มมาตรการเสริม
ในยุคที่ข้อมูลเปรียบเสมือนน้ำมันดิบของโลกดิจิทัล การรับส่งข้อมูลส่วนบุคคลข้ามพรมแดนกลายเป็นเรื่องที่หลีกเลี่ยงไม่ได้สำหรับธุรกิจเทคโนโลยี อย่างไรก็ตาม เมื่อพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ของไทยมีผลบังคับใช้เต็มรูปแบบ การใช้สัญญามาตรฐาน (Standard Contractual Clauses หรือ SCCs) จึงต้องได้รับ การปรับแต่ง SCCs ให้สอดคล้องกับ PDPA เพื่อให้มั่นใจว่าการโอนข้อมูลไปยังต่างประเทศนั้นเป็นไปอย่างถูกต้องตามกฎหมายและปลอดภัยสูงสุดสำหรับเจ้าของข้อมูล
ทำความเข้าใจ SCCs ในบริบทของ PDPA ไทย
SCCs คือข้อสัญญามาตรฐานที่ใช้เพื่อให้ความคุ้มครองข้อมูลส่วนบุคคลในระดับที่เพียงพอเมื่อมีการโอนข้อมูลไปยังประเทศที่อาจไม่มีกฎหมายคุ้มครองข้อมูลที่เข้มงวดเท่ากับต้นทาง สำหรับประเทศไทย คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้กำหนดแนวทางที่ชัดเจนเกี่ยวกับการใช้สัญญาเหล่านี้เพื่อให้สอดคล้องกับมาตรา 28 และ 29 ของ PDPA
ความแตกต่างที่สำคัญระหว่าง EU SCCs และ PDPA Compliance
แม้ว่า PDPA จะได้รับอิทธิพลอย่างมากจาก GDPR แต่การนำ EU SCCs มาใช้โดยตรงโดยไม่แก้ไข (Localization) อาจทำให้เกิดช่องว่าง เช่น การอ้างอิงหน่วยงานกำกับดูแล (Regulator) ที่ผิดที่ หรือการกำหนดระยะเวลาการแจ้งเหตุละเมิดที่ไม่สอดคล้องกับ 72 ชั่วโมงตามที่ PDPA กำหนด
ข้อควรระวังในการปรับแต่ง SCCs ให้สอดคล้องกับ PDPA
การปรับแต่งสัญญาไม่ใช่เพียงแค่การเปลี่ยนชื่อกฎหมาย แต่ต้องลงลึกถึงรายละเอียดของการปฏิบัติงานจริง ดังนี้:
- การระบุบทบาทที่ชัดเจน: ต้องระบุให้ชัดว่าใครคือผู้ควบคุมข้อมูล (Data Controller) และใครคือผู้ประมวลผลข้อมูล (Data Processor) ในแต่ละขั้นตอน
- สิทธิของเจ้าของข้อมูล: ต้องครอบคลุมสิทธิตาม PDPA เช่น สิทธิในการขอเข้าถึง สิทธิในการขอให้ลบ และสิทธิในการคัดค้านการประมวลผล
- การแจ้งเหตุละเมิด: ต้องระบุขั้นตอนการแจ้งเหตุให้ผู้ควบคุมข้อมูลทราบภายในระยะเวลาที่กฎหมายไทยกำหนด
การเพิ่มมาตรการเสริม (Supplementary Measures) เพื่อความปลอดภัยขั้นสูง
ในบางกรณี การใช้เพียง SCCs อาจไม่เพียงพอ (โดยเฉพาะหลังคำพิพากษา Schrems II ในยุโรปที่เป็นบรรทัดฐานโลก) องค์กรเทคโนโลยีควรพิจารณามาตรการเสริมดังนี้:
| ประเภทมาตรการ | ตัวอย่างการดำเนินการ |
|---|---|
| ด้านเทคนิค (Technical) | การเข้ารหัสข้อมูลแบบ End-to-End Encryption, การทำ Pseudonymization |
| ด้านการจัดการ (Organizational) | การทำ Data Protection Impact Assessment (DPIA) ก่อนโอนข้อมูล |
| ด้านกฎหมาย (Legal) | การเพิ่มข้อตกลงว่าผู้รับข้อมูลจะปฏิเสธการเข้าถึงข้อมูลจากหน่วยงานรัฐของประเทศตนหากไม่ได้รับคำสั่งศาล |
คำถามที่พบบ่อย (FAQ)
1. การปรับแต่ง SCCs ให้สอดคล้องกับ PDPA จำเป็นต้องจดทะเบียนกับ สคส. หรือไม่?
ปัจจุบัน PDPA ไม่ได้กำหนดให้ต้องนำ SCCs ไปจดทะเบียน แต่ต้องจัดทำเป็นลายลักษณ์อักษรและพร้อมให้ตรวจสอบเมื่อมีการร้องขอจากหน่วยงานกำกับดูแล
2. สามารถใช้ EU SCCs เวอร์ชั่น 2021 สำหรับ PDPA ได้เลยไหม?
สามารถใช้เป็นฐานได้ แต่ต้องมีการแก้ไขข้อความ (Addendum) เพื่อให้อ้างอิงถึงเขตอำนาจศาลไทยและกฎหมาย PDPA แทน GDPR ในส่วนที่เกี่ยวข้อง
3. หากโอนข้อมูลไปยัง Cloud Provider ที่มีสาขาในไทย ต้องใช้ SCCs หรือไม่?
หากศูนย์ข้อมูล (Data Center) ตั้งอยู่ในไทยและไม่มีการส่งข้อมูลออกไปนอกประเทศ อาจไม่จำเป็นต้องใช้ SCCs ในฐานะการโอนข้อมูลข้ามพรมแดน แต่ยังต้องมี Data Processing Agreement (DPA) ตามปกติ
4. มาตรการเสริมที่สำคัญที่สุดสำหรับบริษัท Tech คืออะไร?
การเข้ารหัสข้อมูล (Encryption) ที่แข็งแกร่งซึ่งกุญแจถอดรหัส (Decryption Key) ต้องถูกเก็บไว้ที่ฝั่งผู้ส่งข้อมูลในประเทศไทย ถือเป็นมาตรการเสริมที่ทรงพลังที่สุด
References
- สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)
- แนวปฏิบัติการโอนข้อมูลข้ามพรมแดนตาม PDPA – Tilleke & Gibbins
- แนวทาง Compliance เมื่อส่งข้อมูลข้ามแดนด้วย SCCs (Standard Contractual Clauses): คู่มือการปฏิบัติสำหรับองค์กรในไทย
- ทำความเข้าใจเจตนาและหลักการของ SCCs: ทำไมต้องใช้และครอบคลุมอะไรบ้างสำหรับการโอนข้อมูลระหว่างประเทศ
- ขั้นตอนเตรียมความพร้อมก่อนส่งข้อมูลข้ามแดน: การประเมินความเสี่ยง การจำแนกข้อมูล และการเลือก SCCs ที่เหมาะสม
