ชี้ช่องจากทีมทูต | ปฏิกิริยาในยุโรปจากกรณี GDPR และแนวปฏิบัติในการโอนข้อมูล มายังประเทศที่ 3 นอกเขต EU (ตอนจบ)

26 ก.ย. 2561 | 11:26 น.
260961-1824

… กฎระเบียบ GDPR มีขอบเขตครอบคลุมธุรกิจนอกเขต EU ที่ให้บริการการค้าสินค้าหรือบริการแก่บุคคลที่มีถิ่นพำนักในเขต EU รวมถึงการประมูลผลข้อมูลของบุคคลที่มีถิ่นพำนักในเขต EU ซึ่งจะส่งผลกระทบโดยตรงต่อผู้ประกอบธุรกิจการค้าระหว่างประเทศ ที่จะต้องโอนข้อมูลส่วนบุคคลของลูกค้าเพื่อจัดเก็บหรือประมวลผลในประเทศที่ 3 ซึ่งอยู่นอกเขต EU

หากต้องโอนข้อมูลลูกค้ามายังประเทศที่อยู่นอกเขต EU ต้องทำอย่างไร?

ดังนั้น คำถามต่อมา คือ หากผู้ประกอบการไทยที่ประกอบธุรกิจออนไลน์ ซึ่งมีความจำเป็นต้องมีการรับ-ส่งข้อมูลลูกค้าที่มีสัญชาติของประเทศสมาชิก EU และมีถิ่นพำนักใน EU จะต้องทำอย่างไร เพื่อป้องกันไม่ให้เกิดการละเมิดการใช้ข้อมูลส่วนบุคคล กฎระเบียบ GDPR ไม่อนุญาตให้มีการโอนข้อมูลลูกค้าที่มีสัญชาติของประเทศสมาชิก EU และมีถิ่นพำนักใน EU ไปยังประเทศนอกเขต EU หากประเทศนั้นไม่มีการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ (Adequate Level of Protection) แต่ผู้ประกอบการแต่ละรายสามารถจัดทำข้อตกลงเพื่อให้สามารถโอนข้อมูลมายังประเทศนอกเขต EU เช่น การจัดทำนโยบายหรือกฎเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลภายในองค์กร (Binding Corporate Rules) และการจัดทำสัญญามาตรฐานของอียู (Model Contracts) สำหรับการโอนข้อมูลส่วนบุคคลระหว่างผู้จัดเก็บข้อมูลส่วนบุคคล (Data Controller) กับผู้ทำหน้าที่ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ซึ่งจะต้องได้รับการอนุมัติจากคณะกรรมาธิการยุโรป

 

[caption id="attachment_324198" align="aligncenter" width="503"] ©TheDigitalArtist ©TheDigitalArtist[/caption]

อย่างไรก็ดี EU ได้กำหนดข้อยกเว้นสำหรับการโอนข้อมูลส่วนบุคคลไปยังประเทศที่ 3 ตามมาตรา 49 ดังต่อไปนี้

1.เจ้าของข้อมูลยินยอมให้มีการโอนข้อมูลอย่างชัดเจน (Explicit Consent) โดยเจ้าของข้อมูลต้องได้รับแจ้งเกี่ยวกับลักษณะของข้อมูล ผู้เก็บข้อมูล จุดประสงค์การโอนข้อมูล ขั้นตอนการยกเลิกการให้ยินยอม และปลายทางที่เก็บข้อมูล ก่อนการยินยอมให้มีการโอนข้อมูล เป็นต้น

2.การโอนข้อมูลเป็นสิ่งจำเป็นต่อการปฏิบัติตามสัญญาระหว่างเจ้าของข้อมูลกับผู้ควบคุมข้อมูล หรือ เป็นการดำเนินการก่อนการจัดทำสัญญา (Pre-Contractual Measures) ตามที่เจ้าของข้อมูลร้องขอ

3.การโอนข้อมูลเป็นสิ่งจำเป็นต่อการบรรลุข้อตกลงของสัญญา หรือ การปฏิบัติตามสัญญา เพื่อผลประโยชน์ของเจ้าของข้อมูล ซึ่งได้จัดทำขึ้นระหว่างผู้ควบคุมข้อมูลและบุคคลภายนอก

4.การโอนข้อมูลเป็นสิ่งจำเป็นต่อการคุ้มครองผลประโยชน์สำคัญของเจ้าของข้อมูล

5.การโอนข้อมูลเป็นสิ่งจำเป็นในทางกฎหมาย

6.การโอนข้อมูลเป็นสิ่งจำเป็น เพื่อปกป้องผลประโยชน์ของเจ้าของข้อมูล ในกรณีที่เจ้าของข้อมูลไม่สามารถให้การยินยอมได้ เนื่องจากเป็นบุคคลไร้ความสามารถ (Physically Incapable) หรือ บุคคลที่ไม่สามารถทำนิติกรรมได้ (Legally Incapable)

7.การโอนข้อมูลเป็นไปตามกฎหมายของ EU หรือ ประเทศสมาชิก เพื่อให้ข้อมูลแก่สาธารณชน โดยผู้ประกอบการไทยสามารถอ่านเพิ่มเติมเกี่ยวกับแนวปฏิบัติ (Guidelines) ในการโอนข้อมูลตาม กรณียกเว้นข้างต้นได้ที่ https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_en.pdf


 

[caption id="attachment_324199" align="aligncenter" width="503"] ©TheDigitalArtist ©TheDigitalArtist[/caption]

ทั้งนี้ ผู้ประกอบการไทยจะต้องให้ความสำคัญกับกฎระเบียบ GDPR เป็นอย่างมาก เพราะ EU ได้วางโทษปรับมากสูงสุดถึง 20 ล้านยูโร หรือ 4% ของรายได้รวม หากมีการฝ่าฝืน ซึ่งการลงโทษจะทำผ่านบริษัทตัวแทน หรือ บริษัทคู่ค้าที่อยู่ใน EU นอกจากนี้ ถึงแม้ว่าผู้ประกอบการขนาดกลางและขนาดย่อม (SMEs) จะได้รับการยกเว้นจากฎระเบียบนี้ แต่การที่บริษัทไม่มีนโยบายในการรักษาความปลอดภัยข้อมูลส่วนบุคคลของลูกค้า จะส่งผลให้บริษัทขาดความน่าเชื่อถือเป็นอย่างมาก โดยเฉพาะในเวลานี้ที่ทั่วโลก รวมถึงประเทศไทยเอง ต่างก็ให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคลมากขึ้น

พบกับอัพเดตความเคลื่อนไหวและโอกาสในตลาดต่างประเทศ ที่สถานทูตไทยทั่วโลกตั้งใจติดตามมาให้ภาคเอกชนไทย ได้ที่เว็บไซต์ globthailand.com หากมีข้อคิดเห็นหรือข้อเสนอแนะเพิ่มเติม สามารถเขียนมาคุยกันได้ที่ [email protected]


……………….
คอลัมน์ : ชี้ช่องจากทีมทูต โดย ศูนย์ธุรกิจสัมพันธ์ กรมเศรษฐกิจระหว่างประเทศ กระทรวงการต่างประเทศ สถานเอกอัครราชทูต ณ กรุงบรัสเซลส์

หนังสือพิมพ์ฐานเศรษฐกิจ ปีที่ 38 ฉบับที่ 3,403 วันที่ 23-26 ก.ย. 2561 หน้า 10

ข่าวที่เกี่ยวข้อง :
ปฎิกิริยาในยุโรปจากกรณี GDPR และแนวปฏิบัติในการโอนข้อมูล มายังประเทศที่ 3 นอกเขต EU (1)
นิติจุฬาฯ ย้ำ GDPR บังคับใช้แล้ว ต้องเริ่มทันที ผิด กม.ข้อมูลส่วนบุคคล ปรับถึง 20 ล้านยูโร


เพิ่มเพื่อน


ดาวน์โหลดอีบุ๊กแทรกข่าว