Skip to main content
PDPA & Privacy

Cross-Border Data Transfer ตาม PDPA — สิ่งที่ต้องรู้ก่อนส่งข้อมูลออกนอกประเทศ

สรุปข้อกำหนด PDPA มาตรา 28-29 เรื่องการโอนข้อมูลข้ามพรมแดน พร้อม checklist ปฏิบัติจริงสำหรับองค์กรที่ใช้ Cloud และ SaaS ต่างประเทศ

6 Mar 20267 min
PDPACross-Border TransferData PrivacyCloudCompliance

ทำไมการส่งข้อมูลข้ามพรมแดนจึงเป็นประเด็นเร่งด่วนสำหรับองค์กรไทยในปี 2026

ในยุคที่การดำเนินธุรกิจพึ่งพาเทคโนโลยีและบริการ Cloud ข้ามชาติมากขึ้นทุกวัน องค์กรไทยจำนวนมากส่งข้อมูลส่วนบุคคลออกนอกประเทศโดยอาจไม่รู้ตัว ไม่ว่าจะเป็นการใช้ CRM บนระบบ SaaS ที่ตั้งเซิร์ฟเวอร์ในสิงคโปร์ การส่งข้อมูล HR ไปยังบริษัทแม่ในยุโรป หรือการใช้บริการ Email Marketing จากผู้ให้บริการในสหรัฐอเมริกา

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ได้วางกรอบกฎเกณฑ์สำหรับการส่งข้อมูลประเภทนี้ไว้อย่างชัดเจนในมาตรา 28 และ 29 ซึ่งหลายองค์กรยังมีความเข้าใจไม่ครบถ้วน บทความนี้จึงรวบรวมข้อกำหนดสำคัญ พร้อม Checklist ปฏิบัติได้จริง เพื่อช่วยให้ DPO เจ้าหน้าที่ Compliance และทีมกฎหมายสามารถประเมินและจัดการความเสี่ยงได้อย่างมีประสิทธิภาพ

มาตรา 28: หลักการพื้นฐานของการส่งข้อมูลไปยังต่างประเทศ

มาตรา 28 แห่ง PDPA กำหนดว่า ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ไม่อาจส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศได้อย่างเสรี เว้นแต่ประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลนั้นจะมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ

ประเทศที่มีมาตรฐานการคุ้มครองเพียงพอ (Adequacy Decision)

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) มีอำนาจประกาศรายชื่อประเทศหรือดินแดนที่ได้รับการยอมรับว่ามีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอเทียบเท่าประเทศไทย ในกรณีที่ส่งข้อมูลไปยังประเทศเหล่านี้ ผู้ควบคุมข้อมูลสามารถดำเนินการได้โดยไม่ต้องใช้กลไกเพิ่มเติม

อย่างไรก็ตาม จนถึงปัจจุบัน PDPC ยังอยู่ในระหว่างการพัฒนารายชื่อประเทศดังกล่าว ดังนั้น องค์กรส่วนใหญ่ยังคงต้องพึ่งพากลไกอื่น ที่กฎหมายกำหนดไว้เป็นทางเลือก

มาตรา 29: ข้อยกเว้นและกลไกทดแทน

เมื่อประเทศปลายทางไม่ผ่านเกณฑ์ Adequacy Decision มาตรา 29 ได้กำหนดกลไกทดแทน 6 ประการที่ผู้ควบคุมข้อมูลสามารถนำมาใช้ได้ ดังนี้

1. Binding Corporate Rules (BCR)

BCR คือนโยบายการคุ้มครองข้อมูลส่วนบุคคลภายในกลุ่มบริษัท ซึ่งผ่านการรับรองจาก PDPC หรือหน่วยงานกำกับดูแลที่ได้รับการยอมรับ เหมาะสำหรับบริษัทข้ามชาติหรือกลุ่มธุรกิจที่มีการแลกเปลี่ยนข้อมูลระหว่างบริษัทในเครืออย่างสม่ำเสมอ

ข้อดี: ครอบคลุมการส่งข้อมูลทุกกรณีภายในกลุ่มบริษัท ลดภาระในการขอความยินยอมรายครั้ง

ข้อเสีย: กระบวนการจัดทำและได้รับการรับรองมีความซับซ้อนและใช้เวลานาน

2. Standard Contractual Clauses (SCC)

SCC คือสัญญามาตรฐานระหว่างผู้ส่งข้อมูลและผู้รับข้อมูลในต่างประเทศ ซึ่ง PDPC อาจกำหนดแบบมาตรฐานขึ้น หรืออาจอ้างอิงจากแบบมาตรฐานที่หน่วยงานกำกับดูแลระดับสากลยอมรับ เช่น SCC ของสหภาพยุโรป

สิ่งที่ต้องระวัง: SCC จะมีผลก็ต่อเมื่อทั้งสองฝ่ายผูกพันตามสัญญาจริง และผู้ส่งข้อมูลต้องตรวจสอบว่าผู้รับปฏิบัติตามพันธะที่กำหนดไว้อย่างต่อเนื่อง

3. ความยินยอมที่ชัดแจ้งจากเจ้าของข้อมูล

ผู้ควบคุมข้อมูลสามารถส่งข้อมูลออกนอกประเทศได้ หากได้รับความยินยอมอย่างชัดแจ้ง (Explicit Consent) จากเจ้าของข้อมูลก่อน โดยต้องแจ้งให้ทราบถึง

  • ประเทศปลายทางที่ข้อมูลจะถูกส่งไป
  • มาตรฐานการคุ้มครองของประเทศนั้นที่อาจต่ำกว่าไทย
  • ความเสี่ยงที่อาจเกิดขึ้นจากการส่งข้อมูลดังกล่าว

ข้อจำกัดสำคัญ: ความยินยอมที่ฝังอยู่ในเงื่อนไขการให้บริการทั่วไปอาจไม่เพียงพอ และต้องมีกลไกให้เจ้าของข้อมูลสามารถถอนความยินยอมได้

4. ความจำเป็นเพื่อการปฏิบัติตามสัญญา

หากการส่งข้อมูลจำเป็นต่อการปฏิบัติตามสัญญาระหว่างผู้ควบคุมข้อมูลและเจ้าของข้อมูล หรือเพื่อดำเนินการตามคำขอของเจ้าของข้อมูลก่อนทำสัญญา สามารถดำเนินการได้โดยไม่ต้องขอความยินยอมเพิ่มเติม

ตัวอย่าง: การจองโรงแรมหรือตั๋วเครื่องบินระหว่างประเทศ ซึ่งจำเป็นต้องส่งข้อมูลผู้โดยสารไปยังผู้ให้บริการในต่างประเทศ

5. ประโยชน์สาธารณะหรือผลประโยชน์สำคัญ

สามารถใช้ได้ในกรณีที่การส่งข้อมูลมีความจำเป็นเพื่อประโยชน์สาธารณะหรือเพื่อปกป้องผลประโยชน์สำคัญของเจ้าของข้อมูล เช่น การส่งข้อมูลด้านสุขภาพเพื่อการรักษาฉุกเฉินในต่างประเทศ

6. การเรียกร้องสิทธิทางกฎหมาย

ในกรณีที่จำเป็นต้องส่งข้อมูลเพื่อการก่อตั้ง การใช้สิทธิ หรือการยกขึ้นต่อสู้ซึ่งสิทธิเรียกร้องตามกฎหมาย

ข้อพิจารณาพิเศษสำหรับบริการ Cloud

หนึ่งในความท้าทายที่พบบ่อยที่สุดในทางปฏิบัติคือ บริการ Cloud จากผู้ให้บริการต่างประเทศ ซึ่งมีลักษณะพิเศษที่ต้องพิจารณาเพิ่มเติม

Data Residency vs. Data Sovereignty

องค์กรหลายแห่งเข้าใจผิดว่าการเลือก "Region Asia Pacific" หรือ "Singapore Region" ในบริการ Cloud หมายความว่าข้อมูลไม่ถูกส่งออกนอกประเทศไทย แต่ในความเป็นจริง

  • Metadata และ Log Files อาจถูกประมวลผลในภูมิภาคอื่น
  • Backup และ Disaster Recovery อาจมีการจำลองข้อมูลไปยังหลาย Region
  • Support Access ทีมสนับสนุนของผู้ให้บริการจากต่างประเทศอาจเข้าถึงข้อมูลได้

สิ่งที่ต้องดำเนินการ: ตรวจสอบ Data Processing Agreement (DPA) และ Privacy Policy ของผู้ให้บริการ Cloud แต่ละราย และระบุให้ชัดเจนว่าข้อมูลส่วนบุคคลถูกประมวลผลหรือจัดเก็บที่ใดบ้าง

Sub-processor และ Third-party Vendors

ผู้ประมวลผลข้อมูล (Data Processor) ที่เป็นผู้ให้บริการ Cloud มักใช้ Sub-processor หลายราย ซึ่งแต่ละรายอาจตั้งอยู่ในประเทศที่แตกต่างกัน ผู้ควบคุมข้อมูลมีหน้าที่ตรวจสอบว่า Sub-processor เหล่านี้มีมาตรฐานการคุ้มครองข้อมูลที่เพียงพอด้วย

Checklist ปฏิบัติการ: ก่อนส่งข้อมูลส่วนบุคคลออกนอกประเทศ

DPO และทีม Compliance สามารถใช้ Checklist ต่อไปนี้เป็นแนวทางเบื้องต้น

ขั้นที่ 1: ระบุและจัดหมวดหมู่การส่งข้อมูล

  • ทำ Data Mapping เพื่อระบุข้อมูลส่วนบุคคลที่ถูกส่งออกนอกประเทศ
  • ระบุประเทศปลายทางของข้อมูลแต่ละประเภท
  • จำแนกว่าการส่งข้อมูลเป็นแบบสม่ำเสมอ (Routine) หรือเป็นครั้งคราว

ขั้นที่ 2: ประเมินกลไกที่เหมาะสม

  • ตรวจสอบว่าประเทศปลายทางอยู่ในรายชื่อที่ PDPC ประกาศว่ามีมาตรฐานเพียงพอหรือไม่
  • หากไม่มี ระบุกลไกทดแทนที่จะใช้ (BCR, SCC, Consent ฯลฯ)
  • ประเมินความเป็นไปได้และความเหมาะสมของแต่ละกลไก

ขั้นที่ 3: จัดทำเอกสารและสัญญา

  • จัดทำหรือทบทวน Data Processing Agreement กับผู้ให้บริการต่างประเทศ
  • บันทึกเหตุผลและกลไกที่ใช้ในการส่งข้อมูลแต่ละครั้ง
  • อัปเดต Records of Processing Activities (ROPA)

ขั้นที่ 4: แจ้งเจ้าของข้อมูล

  • อัปเดต Privacy Notice ให้ครอบคลุมการส่งข้อมูลข้ามพรมแดน
  • ระบุประเทศปลายทางและกลไกการคุ้มครองที่ใช้
  • กำหนดช่องทางให้เจ้าของข้อมูลใช้สิทธิได้อย่างสะดวก

ขั้นที่ 5: ตรวจสอบและติดตามผล

  • กำหนดรอบการตรวจสอบการปฏิบัติตามของผู้รับข้อมูลต่างประเทศ
  • ทบทวนรายชื่อ Sub-processor เมื่อมีการเปลี่ยนแปลง
  • จัดทำแผนรับมือเหตุการณ์ละเมิดข้อมูลส่วนบุคคลที่ครอบคลุมการส่งข้อมูลข้ามพรมแดน

ดาวน์โหลด Checklist ฉบับเต็มและประเมินสถานะ Compliance ขององค์กรได้ที่ แบบประเมิน PDPA Compliance

บทลงโทษสำหรับการละเมิดมาตรา 28-29

การฝ่าฝืนบทบัญญัติเกี่ยวกับการส่งข้อมูลส่วนบุคคลออกนอกประเทศมีบทลงโทษที่หนักทั้งในด้านแพ่งและอาญา

โทษทางแพ่ง

  • ค่าสินไหมทดแทน ที่ต้องชำระให้แก่เจ้าของข้อมูลที่ได้รับความเสียหาย
  • กรณีละเมิดโดยเจตนาหรือประมาทเลินเล่อ ศาลอาจสั่งให้ชำระค่าสินไหมทดแทนเชิงลงโทษ (Punitive Damages) ไม่เกิน 2 เท่าของค่าเสียหายที่เกิดขึ้นจริง

โทษทางปกครอง

  • ปรับสูงสุด 3 ล้านบาท สำหรับการละเมิดหลักการส่งข้อมูลระหว่างประเทศ
  • กรณีที่มีการส่งข้อมูลโดยไม่มีฐานทางกฎหมายที่ถูกต้องอาจถูกปรับสูงสุด 5 ล้านบาท

โทษทางอาญา

  • ผู้ควบคุมข้อมูลหรือผู้บริหารที่รู้เห็นเป็นใจอาจถูกจำคุกสูงสุด 1 ปี และ/หรือปรับสูงสุด 1 ล้านบาท ในกรณีที่เกี่ยวข้องกับข้อมูลอ่อนไหว

ที่สำคัญกว่าตัวเลขบทลงโทษ คือความเสียหายต่อชื่อเสียงและความไว้วางใจของลูกค้าที่ยากจะซ่อมแซมได้ในระยะสั้น

กรณีตัวอย่างที่พบบ่อยในองค์กรไทย

กรณีที่ 1: บริษัทใช้ HR Software แบบ SaaS จากต่างประเทศ

หลายองค์กรใช้ระบบ HRIS ที่มีเซิร์ฟเวอร์ตั้งอยู่ในสิงคโปร์หรือสหรัฐอเมริกา ข้อมูลพนักงาน ได้แก่ เลขบัตรประชาชน ข้อมูลเงินเดือน ข้อมูลสุขภาพ ถูกส่งไปประมวลผลในต่างประเทศโดยอัตโนมัติ

สิ่งที่ควรทำ: ทบทวน DPA ที่มีกับผู้ให้บริการ ตรวจสอบว่ามี SCC หรือกลไกอื่นที่เพียงพอ และอัปเดต Privacy Notice สำหรับพนักงาน

กรณีที่ 2: บริษัทส่งข้อมูลลูกค้าไปยังบริษัทแม่ในต่างประเทศ

กลุ่มบริษัทข้ามชาติมักมีการรวมศูนย์ฐานข้อมูลลูกค้าที่สำนักงานใหญ่ในต่างประเทศ ซึ่งเป็นกรณีที่ BCR มีความเหมาะสมที่สุด

สิ่งที่ควรทำ: เร่งพัฒนา BCR ร่วมกับบริษัทแม่ หรือจัดทำ SCC ระหว่างบริษัทในกลุ่มเป็นการชั่วคราว

กรณีที่ 3: ใช้บริการ Email Marketing Platform จากต่างประเทศ

ข้อมูลอีเมล ชื่อ และพฤติกรรมการใช้งานของลูกค้าถูกส่งไปยังเซิร์ฟเวอร์ของผู้ให้บริการในต่างประเทศ

สิ่งที่ควรทำ: ระบุใน Privacy Notice และ Cookie Policy อย่างชัดเจน พิจารณาว่าการประมวลผลนี้มีฐานทางกฎหมายที่ถูกต้องหรือต้องขอความยินยอมเพิ่มเติม

แนวทางการเตรียมความพร้อมสำหรับปี 2026

PDPC มีแนวโน้มที่จะประกาศแนวปฏิบัติที่ชัดเจนขึ้นเกี่ยวกับการส่งข้อมูลข้ามพรมแดนในปี 2026 องค์กรควรเตรียมพร้อมดังนี้

ระยะสั้น (ภายใน 3 เดือน):

  • จัดทำ Data Mapping เพื่อระบุการส่งข้อมูลข้ามพรมแดนทั้งหมด
  • ทบทวนสัญญาและ DPA กับผู้ให้บริการต่างประเทศทุกราย
  • ประเมินความเพียงพอของกลไกที่ใช้อยู่ในปัจจุบัน

ระยะกลาง (3-12 เดือน):

  • พัฒนาหรือปรับปรุง Privacy Notice และ Consent Management
  • จัดทำ SCC หรือเริ่มกระบวนการ BCR ตามความเหมาะสม
  • ฝึกอบรมทีมงานที่เกี่ยวข้องกับการส่งข้อมูลข้ามพรมแดน

ระยะยาว (มากกว่า 12 เดือน):

  • สร้างระบบติดตามและรายงานการส่งข้อมูลข้ามพรมแดนอย่างต่อเนื่อง
  • พัฒนากระบวนการ Vendor Assessment สำหรับผู้ให้บริการต่างประเทศรายใหม่
  • ประเมินความพร้อมเป็นประจำทุกปี

อ่านเพิ่มเติมเกี่ยวกับการเตรียมความพร้อม PDPA ในด้านอื่นๆ ได้ที่ PDPA Checklist 2026

บทสรุป: การบริหารจัดการข้อมูลข้ามพรมแดนอย่างมีระบบ

การส่งข้อมูลส่วนบุคคลออกนอกประเทศไม่ใช่เรื่องต้องหลีกเลี่ยง แต่ต้องดำเนินการภายใต้กรอบที่ถูกต้องตามกฎหมาย ประเด็นสำคัญที่องค์กรต้องตระหนักมีสามประการ ได้แก่

  1. รู้ว่าข้อมูลไปที่ไหน — Data Mapping ที่ครอบคลุมการส่งข้อมูลข้ามพรมแดนเป็นจุดเริ่มต้นที่ขาดไม่ได้
  2. เลือกกลไกที่เหมาะสม — ไม่มีกลไกเดียวที่เหมาะกับทุกกรณี การเลือกต้องคำนึงถึงลักษณะการส่งข้อมูล ประเทศปลายทาง และความสัมพันธ์กับผู้รับข้อมูล
  3. จัดทำเอกสารและติดตามผล — กฎหมายกำหนดให้มีหลักฐานที่แสดงการปฏิบัติตาม การบันทึกข้อมูลที่ดีจะช่วยลดความเสี่ยงในกรณีที่มีการตรวจสอบ

หากองค์กรของท่านกำลังมองหาระบบที่ช่วยให้การบริหารจัดการ PDPA เป็นเรื่องที่เป็นระบบและตรวจสอบได้ PrivacyHub ของ Enersys ออกแบบมาเพื่อตอบโจทย์นี้โดยเฉพาะ ด้วยโมดูล Cross-Border Data Transfer Management ที่ช่วยให้ทีม Compliance สามารถ Track การส่งข้อมูลข้ามพรมแดนได้ในที่เดียว จัดการ DPA และ SCC อย่างเป็นระบบ และสร้างรายงาน Compliance ที่พร้อมนำเสนอต่อผู้บริหารและหน่วยงานกำกับดูแล

ทีมผู้เชี่ยวชาญด้าน PDPA ของ Enersys พร้อมให้คำปรึกษาเพื่อช่วยประเมินสถานะปัจจุบันและออกแบบแนวทางที่เหมาะสมกับบริบทขององค์กรท่าน ปรึกษาทีม Enersys วันนี้เพื่อรับการวิเคราะห์เบื้องต้นโดยไม่มีค่าใช้จ่าย

Back to Insights

Related Articles

EU AI Act — Deadline สิงหาคม 2026 สำหรับ AI ความเสี่ยงสูง ใครบ้างที่ต้องปฏิบัติตาม?

EU AI Act กำลังจะบังคับใช้ข้อกำหนด High-Risk AI เต็มรูปแบบในสิงหาคม 2026 ด้วย extraterritorial scope ที่ครอบคลุมทั่วโลก โทษปรับสูงสุด 7% ของรายได้รวม — องค์กรไทยที่มีลูกค้า EU ต้องเตรียมตัว

PDPA 2026 — ปีที่ไทยเริ่มปรับจริง พร้อมแนวปฏิบัติ AI Governance ฉบับใหม่

สคส. ปรับไปแล้ว 21.5 ล้านบาท ปล่อย Eagle Eye Crawler ตรวจเว็บอัตโนมัติ และกำลังออกแนวปฏิบัติ AI กับ PDPA ที่ทุกองค์กรต้องเตรียมตัว

PDPA Checklist 2026 — 15 ข้อที่ทุกองค์กรต้องตรวจสอบ

เช็กลิสต์ PDPA ฉบับสมบูรณ์ 15 ข้อ ครอบคลุมทุกด้านที่ สคส. ตรวจสอบ พร้อมวิธีอุดช่องโหว่ที่พบบ่อยที่สุดในองค์กรไทย

"Empowering Innovation,
Transforming Futures."

Contact us to make your project a reality.