ไขข้อข้องใจ ทำไมประเทศไทยต้องคุ้มครองข้อมูลส่วนบุคคลที่ส่งไปต่างประเทศ (Cross-Border Data Protection

ไขข้อข้องใจ ทำไมประเทศไทยต้องคุ้มครองข้อมูลส่วนบุคคลที่ส่งไปต่างประเทศ (Cross-Border Data Protection – Thailand)

Student blog — 09/07/2025

ทุกวันนี้ ข้อมูลส่วนบุคคล เช่น ชื่อ เบอร์โทร หรือข้อมูลสุขภาพ อาจถูกส่งไปยังต่างประเทศ (เช่น USA, สิงคโปร์) ถ้าไม่มีมาตรการป้องกันที่ดี ข้อมูลอาจรั่วไหล ถูกแฮก หรือนำไปใช้ผิดวัตถุประสงค์
ในปัจจุบัน โลกกำลังขับเคลื่อนเศรษฐกิจด้วย “ข้อมูล” โดยเฉพาะในภูมิภาคอาเซียน เช่น Grab, Shopee ใช้ข้อมูลในการให้บริการ ประเทศไทยต้องการเป็นศูนย์กลางเศรษฐกิจดิจิทัล จึงต้องมีระบบคุ้มครองข้อมูลส่วนบุคคลที่เชื่อมโยงกับสากล

1. PDPA กับการส่งข้อมูลส่วนบุคคลไปต่างประเทศ

PDPA (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562) เป็นกฎหมายที่กำหนดมาตรการเพื่อคุ้มครองข้อมูลส่วนบุคคลที่ส่งไปยังต่างประเทศ เพราะเมื่อข้อมูลออกนอกประเทศไทยแล้ว อาจอยู่ภายใต้กฎหมายและมาตรการคุ้มครองที่แตกต่างกันของประเทศปลายทาง ซึ่งอาจไม่ปลอดภัยหรือไม่เคารพสิทธิของเจ้าของข้อมูลเท่าที่กฎหมายไทย (PDPA) กำหนด หากไม่มีการควบคุมที่เหมาะสม ข้อมูลอาจถูกนำไปใช้ผิดวัตถุประสงค์ ละเมิดสิทธิส่วนบุคคล หรือถูกเข้าถึงโดยไม่ได้รับอนุญาต
PDPA จึงกำหนดว่าถ้าหน่วยงานจะส่งข้อมูลส่วนบุคคลไปต่างประเทศ หน่วยงานต้องมีกลไกดูแลให้ข้อมูลส่วนบุคคลที่ส่งไปยังต่างประเทศได้รับการคุ้มครอง โดยกลไกเช่นว่านั้นสามารถอธิบายได้ในหัวข้อต่อไป

2. กลไกการคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยังต่างประเทศตาม PDPA

กลไกการคุ้มครองที่กำหนดใน PDPA	คำอธิบาย	ตัวอย่าง
Adequacy decision (คำวินิจฉัยว่าประเทศปลายทางมีมาตรการที่เหมาะสม)	องค์กรที่รับข้อมูลอยู่ในประเทศที่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ	องค์กรประเมินแล้วว่าองค์กรที่รับข้อมูลอยู่ในประเทศที่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอตามหลักเกณฑ์จึงส่งหรือโอนข้อมูลส่วนบุคคลไปได้
Contractual clauses	ข้อสัญญา (Clauses) ที่มีเนื้อหาและข้อกำหนดที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลตามที่กำหนดไว้ในกฎหมายลำดับรองของ PDPA	องค์กรกำหนดข้อสัญญา (Clauses) ที่มีเนื้อหาและข้อกำหนดที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด และได้ตกลงใช้สัญญานี้กับองค์กรผู้รับข้อมูลแล้ว
ASEAN Model Contractual Clauses (MCCs)	สัญญาต้นแบบของอาเซียนที่รับรองโดยกฎหมายลำดับรองของ PDPA	องค์กรใช้ ASEAN MCCs ในการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
Standard Contractual Clauses (SCCs)	สัญญามาตรฐานที่กำหนดโดยกฎหมายลำดับรองของ PDPA	องค์กรใช้สัญญา SCCs เพื่อคุ้มครองข้อมูลส่วนบุคคลที่โอนไปยังต่างประเทศ
Binding corporate rules (BCR)	นโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกัน	องค์กรใช้นโยบาย BCRs ที่รับรองโดย สคส. ในการโอนข้อมูลส่วนบุคคลระหว่างกิจการในเครือที่อยู่ในต่างประเทศ
Certification	การรับรองมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล	องค์กรปลายทางได้รับการรับรองมาตรฐาน (Certification) ตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด ทำให้สามารถส่งข้อมูลส่วนบุคคลจากประเทศไทยได้ อย่างไรก็ดี ในปัจจุบันยังไม่มีการประกาศกำหนดว่า Certification แบบใดที่จะถือว่าเป็นมาตรฐานที่ใช้ในการส่งข้อมูลส่วนบุคคลได่อย่างปลอดภัยได้
Derogations	ข้อยกเว้นที่ทำให้มีการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศได้	องค์กรใช้ข้อยกเว้นในการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ เช่น มีการขอ Consent จากเจ้าของข้อมูลส่วนบุคคลแล้ว หรือ การโอนไปต่างประเทศนั้นเป็นไปเพื่อการปฏิบัติตามกฎหมาย

ที่มา: สรุปจากมาตรา 28 และ 29 ของ PDPA และประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลที่ออกตาม ม. 28 และ ม. 29

3. กรณีศึกษา (Case studies)

กรณีศึกษา 1: ส่งข้อมูลส่วนบุคคลของนักศึกษาไปยังประเทศที่ไม่มีมาตรฐานเพียงพอ (Adequacy)

ข้อเท็จจริง (ปี 2021):
มหาวิทยาลัย Bocconi ในอิตาลี ใช้โปรแกรมชื่อ “Respondus” ซึ่งเป็นซอฟต์แวร์จากบริษัทในสหรัฐอเมริกา เพื่อตรวจสอบพฤติกรรมของนักศึกษาระหว่างการสอบออนไลน์ โดยซอฟต์แวร์นี้สามารถบันทึกวิดีโอ ขึ้นภาพถ่ายนักศึกษาเป็นช่วงๆ รวมถึงบันทึกภาพและเสียงขณะสอบ และถ่ายรูปนักศึกษาทุกคนก่อนเริ่มสอบ
เนื่องจากเซิร์ฟเวอร์ของซอฟต์แวร์นี้อยู่ในสหรัฐอเมริกา ซึ่งในขณะนั้น (ปี ค.ศ. 2021) ยังไม่ได้รับการรับรองว่ามีมาตรฐานการคุ้มครองข้อมูลที่เพียงพอ (Adequacy) ตามกฎหมายยุโรป (GDPR) การใช้ซอฟต์แวร์นี้จึงถือว่าเป็นการโอนข้อมูลส่วนบุคคลไปยังประเทศที่กฎหมายยุโรปไม่ยอมรับ
บทลงโทษ:
มหาวิทยาลัยถูกปรับเป็นเงิน 200,000 ยูโร

✅ บทเรียนสำคัญ:

ก่อนจะใช้ระบบหรือบริการจากต่างประเทศที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ควรตรวจสอบให้แน่ใจว่าประเทศปลายทางมีมาตรการคุ้มครองข้อมูลที่เพียงพอ หรือมีการใช้กลไกทางกฎหมายรองรับตามที่กฎหมายกำหนด มิฉะนั้นอาจเสี่ยงต่อการทำผิดกฎหมายและถูกปรับหนัก

กรณีศึกษา 2: ส่งข้อมูลส่วนบุคคลของคนขับ Uber ไปยังประเทศที่ไม่มีมาตรฐานเพียงพอ (Adequacy)

ข้อเท็จจริง (ปี 2024):
บริษัท Uber Technologies Inc. ได้โอนข้อมูลส่วนบุคคลของคนขับรถในยุโรปไปยังประเทศสหรัฐอเมริกา โดยไม่ได้มีมาตรการคุ้มครองข้อมูลที่เพียงพอตามที่กฎหมายกำหนด
ข้อมูลที่ถูกโอนมีความอ่อนไหว เช่น

ข้อมูลตำแหน่งที่ตั้ง
รายละเอียดการชำระเงิน
เอกสารยืนยันตัวตน
ข้อมูลสุขภาพ

ข้อมูลทั้งหมดนี้ถูกเก็บไว้ในเซิร์ฟเวอร์ที่สหรัฐอเมริกานานกว่า 2 ปี โดยไม่มีการใช้มาตรการป้องกันที่เพียงพอ เช่น สัญญามาตรฐาน (Standard Contractual Clauses หรือ SCCs) ซึ่งบริษัทก็ไม่ได้ใช้กลไกนี้อย่างเหมาะสมตั้งแต่เดือนสิงหาคม 2021 ทำให้ข้อมูลของคนขับในยุโรปไม่ได้รับความคุ้มครองตามมาตรฐานของสหภาพยุโรป (EU GDPR)
บทลงโทษ:
บริษัทถูกปรับเป็นเงิน 290,000,000 ยูโร

✅ บทเรียนสำคัญ:

การส่งข้อมูลส่วนบุคคลไปต่างประเทศโดยไม่มีมาตรการคุ้มครองที่เพียงพอ อาจส่งผลให้เกิดความเสี่ยงทั้งด้านความเป็นส่วนตัวและค่าใช้จ่ายในการถูกลงโทษทางกฎหมายอย่างรุนแรง จำเป็นต้องมีการประเมินความเสี่ยงและใช้กลไกที่เหมาะสมก่อนส่งข้อมูลออกนอกประเทศ.

กรณีศึกษา 3: ส่งข้อมูลส่วนบุคคลของ Website visitors ไปต่างประเทศโดยไม่มีกลไกคุ้มครองที่เพียงพอ

ข้อเท็จจริง (ปี 2023):
บริษัท Tele2 Sverige Aktiebolag ซึ่งเป็นบริษัทในยุโรป ได้ส่งข้อมูลส่วนบุคคลของผู้ที่เข้าเยี่ยมชมเว็บไซต์ไปยังสหรัฐอเมริกา โดยใช้เครื่องมือของ Google Analytics เพื่อวิเคราะห์สถิติเว็บไซต์
แม้ว่าบริษัทจะใช้สัญญามาตรฐานของสหภาพยุโรป (Standard Contractual Clauses – SCCs) ในการอ้างอิงว่าข้อมูลได้รับการคุ้มครอง แต่หน่วยงานกำกับดูแลกลับพบว่า การใช้ SCC เพียงอย่างเดียวยังไม่เพียงพอ ที่จะรับประกันว่าข้อมูลจะได้รับการคุ้มครองเท่ากับที่กฎหมายยุโรปกำหนด
โดยเฉพาะในกรณีนี้ หน่วยงานกำกับฯ อ้างอิงถึงคำพิพากษา Schrems II ที่ระบุว่า หากจะใช้ SCC ต้องมีการประเมินเพิ่มเติมด้วยว่า “ประเทศปลายทาง” (ในที่นี้คือสหรัฐฯ) มีความเสี่ยงด้านการถูกสอดแนมหรือไม่
ในการตรวจสอบ หน่วยงานพบว่า Google LLC ในสหรัฐฯ ถือว่าเป็นผู้ให้บริการด้านการสื่อสารอิเล็กทรอนิกส์ตามกฎหมายสหรัฐฯ มาตรา 702 FISA
ซึ่งหมายความว่า รัฐบาลสหรัฐฯ สามารถขอข้อมูลส่วนบุคคลจาก Google ได้ โดยอาศัยอำนาจของกฎหมายความมั่นคงนี้
บทลงโทษ:
บริษัทถูกปรับเป็นเงิน 1,000,000 ยูโร

✅ บทเรียนสำคัญ:

แม้จะมีการทำสัญญามาตรฐานแล้ว หากประเทศปลายทางยังมีความเสี่ยงต่อการสอดแนมหรือไม่มีมาตรการปกป้องข้อมูลที่ดีพอ ก็ยังถือว่าโอนข้อมูลอย่างไม่ปลอดภัย และอาจนำไปสู่การถูกลงโทษได้

ถ้าต้องการรู้ข้อมูลเพิ่มเติมสอบถามได้ที่ คณะนิติศาสตร์ มหาวิทยาลัยหอการค้าไทย คณะฯ เปิดวิชากฎหมายคุ้มครองข้อมูลส่วนบุคคลทั้งในระดับปริญญาตรี และปริญญาโท รวมถึงหลักสูตรระยะสั้น (Short course 2-3 วัน) ด้วย

สำหรับผู้จบการศึกษา ม.6 กศน. ปวช. ปวส. หรือเทียบโอน ใช้กองทุน กยศ. หรือผ่อนชำระค่าเทอมได้

📌ข้อดี

🖌️ จบแล้วได้ skill Certificate เฉพาะทาง
🖌️ เรียนจบภายใน 3 ปีครึ่ง
🖌️ มีสหกิจศึกษา พร้อมฝึกปฏิบัติงาน ก่อนทำงานจริง
🖌️ เรียนต่อเนติบัณฑิตยสภาได้
🖌️ สอบตั๋วทนายความได้
🖌️ เรียนวิชาเฉพาะด้านที่ทันสมัยกับตัวจริง Guru
🖌️ ได้รับการรับรองจาก ก.พ. และ อ.ว.

📌สอบถามข้อมูลเพิ่มเติม ได้ที่ ศูนย์รับสมัครนักศึกษาใหม่ ระดับบัณฑิตศึกษา

โทร: 0953675508/02-697-6000
📥 สอบถามเพิ่มเติม หลักสูตรนิติศาสตรบัณฑิต
📌 ID Line : 0953675508
📌 IG : law_utcc
📌Facebook: UtccLawSchool

มาเป็นครอบครัวหอการค้าด้วยกัน

📌สมัครเรียนง่ายได้ 3 ช่องทาง

สมัครเรียนออนไลน์ Line : @utcccare (อย่าลืม @) https://lin.ee/x53Mxlf
หรือ https://admissions.utcc.ac.th/ *สมัครแล้วอย่าลืมทักไลน์นะ
สมัครด้วยตนเองที่ ศูนย์รับสมัครนักศึกษาใหม่ ม.หอการค้าไทย อาคาร 24 (อาคารสัญลักษณ์) ชั้น 2
ตั้งแต่เวลา 08.30 – 17.00 น. 📌พิกัดการเดินทาง: https://goo.gl/maps/JEY6UvPL8Qh8NyyM9

สอบถามเพิ่มเติม ศูนย์รับสมัครนักศึกษาใหม่ ม.หอการค้าไทย โทร 02-697-6969