วันพุธที่ 8 พฤศจิกายน 2566 ที่ผ่านมา “คณะกรรมการสภาดิจิทัลเพื่อเศรษฐกิจและสังคมแห่งประเทศไทย” ร่วมกันประชุมออนไลน์พร้อมทั้งรับฟังความคิดเห็นต่อ “(ร่าง) ประกาศ คณะกรรมการฯ เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยังต่างประเทศตามมาตรา 28 และ (ร่าง) ประกาศฯ ตามมาตรา 29” ในประเด็นสำคัญได้แก่ 1) หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยังต่าง ประเทศกรณีทั่วไป (มาตรา 28) 2) หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยัง ต่างประเทศสำหรับเครือกิจการ หรือเครือธุรกิจเดียวกันเพื่อการประกอบ กิจการหรือธุรกิจร่วมกัน (มาตรา 29) 3) หลักเกณฑ์ในการจัดทำมาตรการคุ้มครองที่เหมาะสม (Appropriate Safeguards) (มาตรา 29) และ 4) ประเด็นอื่น ๆ หรือข้อเสนอแนะ
สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้จัดทำร่างประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล 2 ฉบับได้แก่ (ร่าง) ประกาศฯ เรื่องหลักเกณฑ์การส่งโอนข้อมูลส่วนบุคคลไปต่างประเทศตามมาตรา 28 ในกรณีการส่งหรือโอนไปยังประเทศหรือองค์กรปลายทาง และ (ร่าง) ประกาศฯ เรื่องหลักเกณฑ์การส่งโอนข้อมูลส่วนบุคคลไปต่างประเทศตามมาตรา 29 กรณีเครือกิจการ หรือเครือธุรกิจเดียวกันเพื่อการประกอบ กิจการหรือธุรกิจร่วมกัน โดยเป็นกฎหมายลำดับรองภายใต้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เพื่อกำหนดหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยังต่างประเทศ ทั้งนี้ ในปี 2565 ได้เคยมีการรับฟังความคิดเห็นสำหรับฉบับตามมาตรา 29 ไปแล้ว แต่ยังไม่เคยออกบังคับใช้ ในครั้งนี้จึงเป็นการรับฟังความคิดเห็นหลังจากที่ได้ปรับปรุงตามความเห็นของหน่วยงานต่าง ๆ ในปี 2565 ที่ผ่านมา
ในการนี้ สภาดิจิทัลฯ จะรวบรวมความคิดเห็นและข้อเสนอแนะ เสนอต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) เพื่อนำมาประกอบการพิจารณากำหนดหลักเกณฑ์มาตรฐานการคุ้มครองข้อมูลส่วนบุคคล ในกรณีผู้โอนต้องการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศโดยประเทศปลายทางหรือองค์การระหว่างประเทศนั้นๆ ต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ และกำหนดหลักเกณฑ์การพิจารณามาตรฐานดังกล่าว รวมถึงกำหนดหลักเกณฑ์และวิธีการตรวจสอบและรับรองนโยบายในการคุ้มครองข้อมูลส่วนบุคคลเพื่อการโอนข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกันเพื่อการประกอบกิจการหรือธุรกิจร่วมกัน หลักเกณฑ์และวิธีการจัดให้มีมาตรการคุ้มครองที่เหมาะสมและรูปแบบข้อสัญญาในการส่งหรือโอนข้อมูลส่วนบุคคล เพื่อการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศอย่างมีประสิทธิภาพ
ทั้งนี้ คณะกรรมการสภาดิจิทัลฯ ได้แสดงความคิดเห็นในประเด็นต่างๆ เช่น 1) การถ่ายโอนข้อมูลข้ามประเทศ ควรมีการระบุพิกัดปลายทางเพื่อที่จะบอกจุดต้นทาง-ปลายทางของข้อมูล เพื่อให้สอดคล้องกับการกำหนดพื้นที่ในการส่งข้อมูล (Data Residency) 2) การพิจารณาขอบเขตนิยามของข้อมูลที่ประเทศไทยควรให้ความสำคัญ ได้แก่อธิปไตยของข้อมูล (Data Sovereignty) การกำหนดพื้นที่ในการส่งข้อมูล (Data Residency) และ การจัดเก็บและประมวลผลข้อมูลในประเทศ (Data Localization) 3) กฎหมายควรสะท้อนให้ประเทศได้รับผลประโยชน์มากขึ้นและไม่กีดกันทางการค้า เพื่อขับเคลื่อนเศรษฐกิจดิจิทัลในประเทศและ 4) การถ่ายโอนข้อมูลไปยังต่างประเทศในรูปแบบดิจิทัล ควรมีการเข้ารหัสข้อมูลก่อนที่จะส่งข้อมูลไปยังปลายทาง เป็นต้น