“ระเบียบสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ว่าด้วยการตรวจสอบและรับรองนโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกัน พ.ศ. ๒๕๖๘” ระเบียบฉบับนี้ถูกออกแบบมาเพื่อเป็น คู่มือหลัก ในการกำหนดหลักเกณฑ์และกระบวนการทำงาน สำหรับการส่งหรือโอนข้อมูลส่วนบุคคลจากประเทศไทยไปยังบริษัทในเครือที่อยู่ต่างประเทศได้อย่างถูกต้องตามกฎหมาย PDPA
พูดง่ายๆ คือ เอกสารนี้เป็นแนวทางปฏิบัติ (Guideline) ที่ช่วยให้ทั้งสำนักงานฯ ทำงานได้อย่างมีมาตรฐาน และช่วยให้บริษัทหรือเครือธุรกิจต่างๆ ที่ต้องการยื่นขอรับรองนโยบาย Binding Corporate Rules (BCR) สามารถทราบถึงขั้นตอนและข้อกำหนดที่ชัดเจน เพื่อให้การโอนข้อมูลข้ามประเทศเป็นไปอย่างราบรื่นและปลอดภัย
สาระสำคัญหลักที่เอกสารนี้กล่าวถึง wisework สรุปให้แล้ว มีดังนี้
เอกสารนี้คือ “ระเบียบสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ว่าด้วยการตรวจสอบและรับรองนโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกัน พ.ศ. ๒๕๖๘” ซึ่งเป็นระเบียบที่ออกมาเพื่อกำหนดหลักเกณฑ์และกระบวนการสำหรับการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศในเครือกิจการหรือเครือธุรกิจเดียวกันอย่างถูกต้องตามกฎหมาย PDPA
สาระสำคัญหลักที่เอกสารนี้กล่าวถึง มีดังนี้
☑ เครื่องมือและวัตถุประสงค์ของการรับรอง (BCR)
● BCR คืออะไร: คือ นโยบายหรือข้อตกลงในการคุ้มครองข้อมูลส่วนบุคคลที่สมาชิกในเครือกิจการหรือเครือธุรกิจเดียวกันตกลงร่วมกันและมีผลผูกพัน
● สถานะทางกฎหมาย: นโยบาย BCR ที่ได้รับรองแล้ว ถือเป็น หนึ่งในเครื่องมือ ในการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศตามมาตรา ๒๙ แห่ง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒
● ขอบเขต: ใช้สำหรับการโอนข้อมูลส่วนบุคคลจากประเทศไทยไปยังผู้รับที่อยู่ต่างประเทศ และอยู่ในเครือกิจการเดียวกัน เพื่อการประกอบกิจการหรือธุรกิจร่วมกัน
● ประเภท: ครอบคลุมทั้ง BCR สำหรับผู้ควบคุมข้อมูลส่วนบุคคล (BCR-C) และ BCR สำหรับผู้ประมวลผลข้อมูลส่วนบุคคล (BCR-P)
☑ หลักประกันสิทธิของเจ้าของข้อมูลในประเทศไทย
● สมาชิกผู้รับผิด (Liable BCR Member): กำหนดให้มีนิติบุคคลที่จัดตั้งในราชอาณาจักรและเป็นสมาชิกของนโยบายผู้รับผิด
○ หน้าที่: สมาชิกผู้รับผิดนี้ต้องตกลงยอมรับผิดและรับผิดชอบในการชดใช้ค่าสินไหมทดแทนสำหรับความเสียหายใด ๆ ที่เกิดจากการละเมิดนโยบายโดยสมาชิกรายอื่นที่อยู่นอกราชอาณาจักร
○ จุดประสงค์: เพื่อเป็นหลักประกันว่าเจ้าของข้อมูลส่วนบุคคลในราชอาณาจักรจะมีช่องทางที่เข้าถึงกระบวนการร้องเรียนได้อย่างมีประสิทธิภาพ และได้รับการเยียวยา
● สิทธิของบุคคลภายนอกผู้รับประโยชน์: นโยบายต้องกำหนดสิทธิอย่างชัดแจ้งให้เจ้าของข้อมูลส่วนบุคคลสามารถใช้สิทธิหรือฟ้องร้องบังคับคดีตามข้อกำหนดในนโยบายได้โดยตรง
☑ กระบวนการยื่นคำขอและพิจารณา
● คุณสมบัติผู้ยื่นคำขอ: ต้องเป็นสมาชิกของเครือกิจการฯ ที่จัดตั้งขึ้นตามกฎหมายไทย และเป็นนิติบุคคลเดียวกับที่ถูกกำหนดให้เป็นสมาชิกของนโยบายผู้รับผิด
● เอกสาร: ต้องจัดทำเป็นภาษาไทย และคำแปลภาษาต่างประเทศต้องมีการรับรองความถูกต้อง (โดยทนายความผู้ได้รับใบอนุญาตให้รับรองลายมือชื่อและเอกสาร หรือตามกฎหมายว่าด้วยวิธีปฏิบัติราชการทางปกครอง)
● ระยะเวลาพิจารณา: สำนักงานจะพิจารณาเนื้อหาให้แล้วเสร็จภายใน ๑๘๐ วัน นับจากวันที่เอกสารครบถ้วน
● กระบวนการพิเศษ: มีกระบวนการพิจารณาแบบพิเศษสำหรับ BCR ที่ได้รับการรับรองจากหน่วยงานกำกับดูแลของสหภาพยุโรป (EU GDPR) หรือสหราชอาณาจักร (UK GDPR) โดยต้องยื่น “ข้อกำหนดเพิ่มเติมสำหรับประเทศไทย” (Thai BCR Addendum)
● ไม่มีค่าธรรมเนียม: การดำเนินการตามระเบียบนี้ ไม่มีการเรียกเก็บค่าธรรมเนียมหรือค่าบริการ
☑ หลักการสำคัญที่ใช้ในการรับรอง สำนักงานจะพิจารณาองค์ประกอบและหลักการสำคัญของนโยบาย โดยอย่างน้อยต้องประกอบด้วย
● การมีผลและสภาพบังคับในทางกฎหมาย (กลไกที่สร้างสภาพบังคับทั้งภายในและภายนอกเครือ)
● การบังคับใช้อย่างมีประสิทธิผล (กลไกที่สามารถตรวจสอบได้ว่ามีการปฏิบัติจริง)
● หน้าที่ในการให้ความร่วมมือ (สมาชิกทุกรายตกลงที่จะให้ความร่วมมือกับสำนักงานฯ ยอมรับการตรวจสอบ และปฏิบัติตามคำสั่ง)
● มาตรการคุ้มครองข้อมูลส่วนบุคคล (ต้องมีหลักการพื้นฐานและมาตรการรักษาความมั่นคงปลอดภัยตามมาตรฐานขั้นต่ำที่กฎหมายกำหนด)
ระเบียบ Binding Corporate Rules (BCR) พ.ศ. ๒๕๖๘ นี้ จึงเป็นเครื่องมือสำคัญที่ไม่เพียงแต่ช่วยให้เครือธุรกิจขนาดใหญ่สามารถโอนข้อมูลส่วนบุคคลข้ามพรมแดนได้อย่างถูกต้องตามกฎหมาย แต่ยังเป็นหลักประกันสำคัญว่าเจ้าของข้อมูลส่วนบุคคลในประเทศไทย จะได้รับการคุ้มครองสิทธิอย่างเต็มที่โดยมีนิติบุคคลในประเทศรับผิดชอบชดใช้ค่าเสียหายหากเกิดการละเมิดขึ้น
สำหรับบริษัทที่ดำเนินงานเป็นเครือข่ายข้ามประเทศ การทำความเข้าใจระเบียบนี้อย่างละเอียด และเตรียมพร้อมยื่นคำขอรับรอง BCR จึงเป็นสิ่งสำคัญในการดำเนินธุรกิจให้สอดคล้องกับหลักธรรมาภิบาลข้อมูล (Data Governance) และสร้างความเชื่อมั่นให้กับผู้เกี่ยวข้องทุกฝ่าย
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) หรือผู้บริหารของเครือธุรกิจที่ต้องการโอนข้อมูลข้ามประเทศ สามารถนำรายละเอียดของระเบียบนี้ไปใช้เป็นแนวทางในการเตรียมเอกสาร Thai BCR Addendum และยื่นคำขอรับรองนโยบายกับสำนักงาน PDPC ต่อไป
ดูรายละเอียดทั้งหมดของ ระเบียบฯ คลิก https://www.pdpc.or.th/17272/