3 วิธีโอนข้อมูลไปต่างประเทศให้ถูกกฎหมาย ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

Student blog — 06/08/2025

ไขข้อข้องใจ ทำอย่างไรถึงสามารถโอนข้อมูลส่วนบุคคลไปต่างประเทศได้โดยถูกต้องตาม PDPA?

#เรียนนิติศาสตร์ที่ไหนดี #PDPA #โอนข้อมูลข้ามพรมแดน #เรียนกฎหมายยุคใหม่ #คณะนิติศาสตร์ มหาวิทยาลัยหอการค้าไทย #นิติศาสตร์สำหรับคนรุ่นใหม่ #Cross-border

ในยุคที่เทคโนโลยีเชื่อมโลกให้ใกล้กัน การโอนข้อมูลข้ามประเทศจึงเป็นเรื่องปกติ ไม่ว่าจะเพื่อทำธุรกิจ เรียนออนไลน์ หรือสมัครบริการจากต่างประเทศ แล้วถ้าอยากโอนข้อมูลส่วนบุคคลไปต่างประเทศแบบ “ถูกกฎหมาย” ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ของไทย ต้องทำยังไง?

วันนี้ คณะนิติศาสตร์ มหาวิทยาลัยหอการค้าไทย สรุปให้เข้าใจง่ายใน 3 นาที!

🔎 กฎหมาย PDPA พูดถึงเรื่องนี้ว่าอย่างไร?

PDPA วางหลักการไว้ใน มาตรา 28 และมาตรา 29 พร้อมมีประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลที่กำหนดรายละเอียดเพิ่มเติม

มาตรา	สรุปสั้นๆ
มาตรา 28	โอนข้อมูลส่วนบุคคลไปต่างประเทศได้ หาก… 🔹 ประเทศปลายทางมี “มาตรฐานที่เพียงพอ” (Adequacy) 🔹 หรือเข้าข้อยกเว้นที่กฎหมายกำหนด เช่น มีการขอความยินยอมแล้ว หรือเป็นการปฏิบัติตามกฎหมาย ฯลฯ
มาตรา 29	กรณีโอนข้อมูลส่วนบุคคล “ภายในเครือบริษัท” หรือ “กรณีไม่มี Adequacy” 🔹 ถ้าหากต้องการโอนข้อมูลส่วนบุคคลภายในเครือบริษัทอย่างเสรี สามารถใช้นโยบายในการคุ้มครองข้อมูลส่วนบุคคลภายในเครือบริษัท (Binding Corporate Rules: BCRs) ที่ได้รับการตรวจสอบและรับรองจาก สคส. แล้ว 🔹 “กรณีไม่มี Adequacy” และ “ไม่มี BCRs” ถ้าหากจะโอนข้อมูลส่วนบุคคลไปต่างประเทศ ต้องมีมาตรการที่เหมาะสม (Appropriate safeguards) เช่น การใช้ข้อสัญญาที่คุ้มครองข้อมูลส่วนบุคคลในการส่งหรือโอนไปยังต่างประเทศ หรือการรับรองมาตรฐาน (Certification)

มาตรา

สรุปสั้นๆ

มาตรา 28

โอนข้อมูลส่วนบุคคลไปต่างประเทศได้ หาก…
🔹 ประเทศปลายทางมี “มาตรฐานที่เพียงพอ” (Adequacy)
🔹 หรือเข้าข้อยกเว้นที่กฎหมายกำหนด เช่น มีการขอความยินยอมแล้ว หรือเป็นการปฏิบัติตามกฎหมาย ฯลฯ

มาตรา 29

กรณีโอนข้อมูลส่วนบุคคล “ภายในเครือบริษัท” หรือ “กรณีไม่มี Adequacy”
🔹 ถ้าหากต้องการโอนข้อมูลส่วนบุคคลภายในเครือบริษัทอย่างเสรี สามารถใช้นโยบายในการคุ้มครองข้อมูลส่วนบุคคลภายในเครือบริษัท (Binding Corporate Rules: BCRs) ที่ได้รับการตรวจสอบและรับรองจาก สคส. แล้ว
🔹 “กรณีไม่มี Adequacy” และ “ไม่มี BCRs” ถ้าหากจะโอนข้อมูลส่วนบุคคลไปต่างประเทศ ต้องมีมาตรการที่เหมาะสม (Appropriate safeguards) เช่น การใช้ข้อสัญญาที่คุ้มครองข้อมูลส่วนบุคคลในการส่งหรือโอนไปยังต่างประเทศ หรือการรับรองมาตรฐาน (Certification)

✅ 3 วิธีหลักในการโอนข้อมูลไปต่างประเทศอย่างถูกต้อง

1. โอนผ่านประเทศที่มี “มาตรฐานเพียงพอ” (Adequacy)

ต้องเป็นประเทศที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศว่า “มีมาตรฐานเพียงพอ (Adequacy)”
พิจารณาจากกฎหมาย, หน่วยงานกำกับดูแล, สิทธิเจ้าของข้อมูล และระบบเยียวยา
ในปัจจุบัน คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลยังไม่วินิจฉัยว่าประเทศใดมีมาตรฐานเพียงพอ (Adequacy)

2. มี “ข้อยกเว้น” ที่ PDPA อนุญาต (นั่นคือ ถ้าเข้าข้อยกเว้นด้งต่อไปนี้ ก็โอนข้อมูลส่วนบุคคลข้ามพรมแดนได้)

ได้รับ “ความยินยอม” จากเจ้าของข้อมูล (พร้อมแจ้งมาตรฐานขแงปลายทางให้เจ้าของข้อมูลส่วนบุคคลทราบ)
เพื่อทำตาม “สัญญา” กับเจ้าของข้อมูล
เพื่อ “ปกป้องชีวิต/สุขภาพ”
เพื่อ “ประโยชน์สาธารณะ” ที่สำคัญ
หรือ “เป็นไปตามกฎหมาย”

3. ใช้ “มาตรการคุ้มครองที่เหมาะสม” (Appropriate Safeguards)

มาตรการ	รายละเอียด
🔒 BCRs (Binding Corporate Rules)	ใช้ภายในกลุ่มบริษัท ต้องผ่านการตรวจสอบและรับรองจาก สคส.
📄 ข้อสัญญา (Contractual Clauses)	สัญญาที่ใช้ได้ในการคุ้มครองข้อมูลส่วนบุคคลที่โอนไปต่างประเทศ เช่น – ข้อสัญญาที่เป็นไปตามข้อสัญญาในการส่งหรือโอนข้อมูลส่วนบุคคลที่ยอมรับได้ (Contractual Clauses) – สัญญาต้นแบบอาเซียน (ASEAN MCCs) – สัญญามาตรฐาน EU (EU SCCs)
✅ การรับรอง (Certification)	หน่วยงานที่รับข้อมูลได้รับการรับรองมีมาตรการคุ้มครองที่ดีเพียงพอ (*ปัจจุบันประเทศไทยยังไม่กำหนดว่า Certification ใดที่จะนำมาใช้รับรองมาตรฐานได้)

📌 สรุปเงื่อนไขการโอนข้อมูลส่วนบุคคลไปต่างประเทศ

กรณี	วิธีการที่ใช้ได้
โอนข้อมูลไปประเทศที่มี Adequacy	✅ ได้ทันที
โอนไปประเทศที่ไม่มี Adequacy	✅ ต้องมี BCRs หรือ Appropriate Safeguards
โอนโดยอาศัยข้อยกเว้น	✅ ได้ หากเข้าเงื่อนไข เช่น ได้รับความยินยอม
โอนภายในเครือบริษัท	✅ ใช้ BCRs และผ่านการรับรองจาก สคส.

🧠 น้องๆ รู้ไหมว่า…
PDPA ของไทยไม่ห้ามการโอนข้อมูลส่วนบุคคลไปต่างประเทศ!
แต่ต้องมั่นใจว่า “ข้อมูลของเรา” ได้รับการคุ้มครองเหมือนอยู่ในประเทศไทย

ตัวอย่างเช่น:

ถ้าเราสมัครแอปจากต่างประเทศ และแอปจะเก็บข้อมูลเรา → ต้องดูว่าเขาปกป้องข้อมูลเรายังไง
ถ้าโรงเรียนส่ง transcript ไปต่างประเทศ → ต้องมีข้อยกเว้นหรือใช้มาตรการที่เหมาะสมในการคุ้มครองข้อมูลส่วนบุคคล

💡 บทสรุปแบบง่ายๆ

อยากโอนข้อมูลส่วนบุคคลไปต่างประเทศให้ถูกต้องตาม PDPA ทำยังไง?

✅ เช็กว่า ประเทศปลายทางมี “มาตรฐานเพียงพอ” หรือไม่
✅ ถ้าไม่มี – ต้องใช้ BCRs / ข้อสัญญา / การรับรอง / มาตรการอื่นๆ
✅ หรือ เข้า “ข้อยกเว้น” ตามกฎหมาย เช่น ได้รับ “ความยินยอม”

📚 สนใจเรียนรู้เรื่อง PDPA เพิ่มเติม?
ติดตามกิจกรรมอบรมและคอร์สเรียนจาก
คณะนิติศาสตร์ มหาวิทยาลัยหอการค้าไทย
เราเชื่อว่า “ความรู้เรื่องข้อมูลส่วนบุคคล” คือทักษะสำคัญของคนยุคใหม่!

📞 สอบถามรายละเอียดเพิ่มเติม หรือสมัครเรียน ตามรายละเอียดข้างล่าง

สำหรับผู้จบการศึกษา ม.6 กศน. ปวช. ปวส. หรือเทียบโอน ใช้กองทุน กยศ. หรือผ่อนชำระค่าเทอมได้

📌ข้อดี

🖌️ จบแล้วได้ skill Certificate เฉพาะทาง
🖌️ เรียนจบภายใน 3 ปีครึ่ง
🖌️ มีสหกิจศึกษา พร้อมฝึกปฏิบัติงาน ก่อนทำงานจริง
🖌️ เรียนต่อเนติบัณฑิตยสภาได้
🖌️ สอบตั๋วทนายความได้
🖌️ เรียนวิชาเฉพาะด้านที่ทันสมัยกับตัวจริง Guru
🖌️ ได้รับการรับรองจาก ก.พ. และ อ.ว.

📌สอบถามข้อมูลเพิ่มเติม ได้ที่ ศูนย์รับสมัครนักศึกษาใหม่ ระดับบัณฑิตศึกษา

โทร: 0953675508/02-697-6000
📥 สอบถามเพิ่มเติม หลักสูตรนิติศาสตรบัณฑิต
📌 ID Line : 0953675508
📌 IG : law_utcc
📌Facebook: UtccLawSchool

มาเป็นครอบครัวหอการค้าด้วยกัน

📌สมัครเรียนง่ายได้ 3 ช่องทาง

สมัครเรียนออนไลน์ Line : @utcccare (อย่าลืม @) https://lin.ee/x53Mxlf
หรือ https://admissions.utcc.ac.th/ *สมัครแล้วอย่าลืมทักไลน์นะ
สมัครด้วยตนเองที่ ศูนย์รับสมัครนักศึกษาใหม่ ม.หอการค้าไทย อาคาร 24 (อาคารสัญลักษณ์) ชั้น 2
ตั้งแต่เวลา 08.30 – 17.00 น. 📌พิกัดการเดินทาง: https://goo.gl/maps/JEY6UvPL8Qh8NyyM9

สอบถามเพิ่มเติม ศูนย์รับสมัครนักศึกษาใหม่ ม.หอการค้าไทย โทร 02-697-6969