Cross-Border Data Transfer ตาม PDPA — สิ่งที่ต้องรู้ก่อนส่งข้อมูลออกนอกประเทศ

ทำไมการส่งข้อมูลข้ามพรมแดนจึงเป็นประเด็นเร่งด่วนสำหรับองค์กรไทยในปี 2026

ในยุคที่การดำเนินธุรกิจพึ่งพาเทคโนโลยีและบริการ Cloud ข้ามชาติมากขึ้นทุกวัน องค์กรไทยจำนวนมากส่งข้อมูลส่วนบุคคลออกนอกประเทศโดยอาจไม่รู้ตัว ไม่ว่าจะเป็นการใช้ CRM บนระบบ SaaS ที่ตั้งเซิร์ฟเวอร์ในสิงคโปร์ การส่งข้อมูล HR ไปยังบริษัทแม่ในยุโรป หรือการใช้บริการ Email Marketing จากผู้ให้บริการในสหรัฐอเมริกา

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ได้วางกรอบกฎเกณฑ์สำหรับการส่งข้อมูลประเภทนี้ไว้อย่างชัดเจนในมาตรา 28 และ 29 ซึ่งหลายองค์กรยังมีความเข้าใจไม่ครบถ้วน บทความนี้จึงรวบรวมข้อกำหนดสำคัญ พร้อม Checklist ปฏิบัติได้จริง เพื่อช่วยให้ DPO เจ้าหน้าที่ Compliance และทีมกฎหมายสามารถประเมินและจัดการความเสี่ยงได้อย่างมีประสิทธิภาพ

มาตรา 28: หลักการพื้นฐานของการส่งข้อมูลไปยังต่างประเทศ

มาตรา 28 แห่ง PDPA กำหนดว่า ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ไม่อาจส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศได้อย่างเสรี เว้นแต่ประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลนั้นจะมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ

ประเทศที่มีมาตรฐานการคุ้มครองเพียงพอ (Adequacy Decision)

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) มีอำนาจประกาศรายชื่อประเทศหรือดินแดนที่ได้รับการยอมรับว่ามีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอเทียบเท่าประเทศไทย ในกรณีที่ส่งข้อมูลไปยังประเทศเหล่านี้ ผู้ควบคุมข้อมูลสามารถดำเนินการได้โดยไม่ต้องใช้กลไกเพิ่มเติม

อย่างไรก็ตาม จนถึงปัจจุบัน PDPC ยังอยู่ในระหว่างการพัฒนารายชื่อประเทศดังกล่าว ดังนั้น องค์กรส่วนใหญ่ยังคงต้องพึ่งพากลไกอื่น ที่กฎหมายกำหนดไว้เป็นทางเลือก

มาตรา 29: ข้อยกเว้นและกลไกทดแทน

เมื่อประเทศปลายทางไม่ผ่านเกณฑ์ Adequacy Decision มาตรา 29 ได้กำหนดกลไกทดแทน 6 ประการที่ผู้ควบคุมข้อมูลสามารถนำมาใช้ได้ ดังนี้

1. Binding Corporate Rules (BCR)

BCR คือนโยบายการคุ้มครองข้อมูลส่วนบุคคลภายในกลุ่มบริษัท ซึ่งผ่านการรับรองจาก PDPC หรือหน่วยงานกำกับดูแลที่ได้รับการยอมรับ เหมาะสำหรับบริษัทข้ามชาติหรือกลุ่มธุรกิจที่มีการแลกเปลี่ยนข้อมูลระหว่างบริษัทในเครืออย่างสม่ำเสมอ

ข้อดี: ครอบคลุมการส่งข้อมูลทุกกรณีภายในกลุ่มบริษัท ลดภาระในการขอความยินยอมรายครั้ง

ข้อเสีย: กระบวนการจัดทำและได้รับการรับรองมีความซับซ้อนและใช้เวลานาน

2. Standard Contractual Clauses (SCC)

SCC คือสัญญามาตรฐานระหว่างผู้ส่งข้อมูลและผู้รับข้อมูลในต่างประเทศ ซึ่ง PDPC อาจกำหนดแบบมาตรฐานขึ้น หรืออาจอ้างอิงจากแบบมาตรฐานที่หน่วยงานกำกับดูแลระดับสากลยอมรับ เช่น SCC ของสหภาพยุโรป

สิ่งที่ต้องระวัง: SCC จะมีผลก็ต่อเมื่อทั้งสองฝ่ายผูกพันตามสัญญาจริง และผู้ส่งข้อมูลต้องตรวจสอบว่าผู้รับปฏิบัติตามพันธะที่กำหนดไว้อย่างต่อเนื่อง

3. ความยินยอมที่ชัดแจ้งจากเจ้าของข้อมูล

ผู้ควบคุมข้อมูลสามารถส่งข้อมูลออกนอกประเทศได้ หากได้รับความยินยอมอย่างชัดแจ้ง (Explicit Consent) จากเจ้าของข้อมูลก่อน โดยต้องแจ้งให้ทราบถึง

ประเทศปลายทางที่ข้อมูลจะถูกส่งไป
มาตรฐานการคุ้มครองของประเทศนั้นที่อาจต่ำกว่าไทย
ความเสี่ยงที่อาจเกิดขึ้นจากการส่งข้อมูลดังกล่าว

ข้อจำกัดสำคัญ: ความยินยอมที่ฝังอยู่ในเงื่อนไขการให้บริการทั่วไปอาจไม่เพียงพอ และต้องมีกลไกให้เจ้าของข้อมูลสามารถถอนความยินยอมได้

4. ความจำเป็นเพื่อการปฏิบัติตามสัญญา

หากการส่งข้อมูลจำเป็นต่อการปฏิบัติตามสัญญาระหว่างผู้ควบคุมข้อมูลและเจ้าของข้อมูล หรือเพื่อดำเนินการตามคำขอของเจ้าของข้อมูลก่อนทำสัญญา สามารถดำเนินการได้โดยไม่ต้องขอความยินยอมเพิ่มเติม

ตัวอย่าง: การจองโรงแรมหรือตั๋วเครื่องบินระหว่างประเทศ ซึ่งจำเป็นต้องส่งข้อมูลผู้โดยสารไปยังผู้ให้บริการในต่างประเทศ

5. ประโยชน์สาธารณะหรือผลประโยชน์สำคัญ

สามารถใช้ได้ในกรณีที่การส่งข้อมูลมีความจำเป็นเพื่อประโยชน์สาธารณะหรือเพื่อปกป้องผลประโยชน์สำคัญของเจ้าของข้อมูล เช่น การส่งข้อมูลด้านสุขภาพเพื่อการรักษาฉุกเฉินในต่างประเทศ

6. การเรียกร้องสิทธิทางกฎหมาย

ในกรณีที่จำเป็นต้องส่งข้อมูลเพื่อการก่อตั้ง การใช้สิทธิ หรือการยกขึ้นต่อสู้ซึ่งสิทธิเรียกร้องตามกฎหมาย

ข้อพิจารณาพิเศษสำหรับบริการ Cloud

หนึ่งในความท้าทายที่พบบ่อยที่สุดในทางปฏิบัติคือ บริการ Cloud จากผู้ให้บริการต่างประเทศ ซึ่งมีลักษณะพิเศษที่ต้องพิจารณาเพิ่มเติม

Data Residency vs. Data Sovereignty

องค์กรหลายแห่งเข้าใจผิดว่าการเลือก "Region Asia Pacific" หรือ "Singapore Region" ในบริการ Cloud หมายความว่าข้อมูลไม่ถูกส่งออกนอกประเทศไทย แต่ในความเป็นจริง

Metadata และ Log Files อาจถูกประมวลผลในภูมิภาคอื่น
Backup และ Disaster Recovery อาจมีการจำลองข้อมูลไปยังหลาย Region
Support Access ทีมสนับสนุนของผู้ให้บริการจากต่างประเทศอาจเข้าถึงข้อมูลได้

สิ่งที่ต้องดำเนินการ: ตรวจสอบ Data Processing Agreement (DPA) และ Privacy Policy ของผู้ให้บริการ Cloud แต่ละราย และระบุให้ชัดเจนว่าข้อมูลส่วนบุคคลถูกประมวลผลหรือจัดเก็บที่ใดบ้าง

Sub-processor และ Third-party Vendors

ผู้ประมวลผลข้อมูล (Data Processor) ที่เป็นผู้ให้บริการ Cloud มักใช้ Sub-processor หลายราย ซึ่งแต่ละรายอาจตั้งอยู่ในประเทศที่แตกต่างกัน ผู้ควบคุมข้อมูลมีหน้าที่ตรวจสอบว่า Sub-processor เหล่านี้มีมาตรฐานการคุ้มครองข้อมูลที่เพียงพอด้วย

Checklist ปฏิบัติการ: ก่อนส่งข้อมูลส่วนบุคคลออกนอกประเทศ

DPO และทีม Compliance สามารถใช้ Checklist ต่อไปนี้เป็นแนวทางเบื้องต้น

ขั้นที่ 1: ระบุและจัดหมวดหมู่การส่งข้อมูล

ทำ Data Mapping เพื่อระบุข้อมูลส่วนบุคคลที่ถูกส่งออกนอกประเทศ
ระบุประเทศปลายทางของข้อมูลแต่ละประเภท
จำแนกว่าการส่งข้อมูลเป็นแบบสม่ำเสมอ (Routine) หรือเป็นครั้งคราว

ขั้นที่ 2: ประเมินกลไกที่เหมาะสม

ตรวจสอบว่าประเทศปลายทางอยู่ในรายชื่อที่ PDPC ประกาศว่ามีมาตรฐานเพียงพอหรือไม่
หากไม่มี ระบุกลไกทดแทนที่จะใช้ (BCR, SCC, Consent ฯลฯ)
ประเมินความเป็นไปได้และความเหมาะสมของแต่ละกลไก

ขั้นที่ 3: จัดทำเอกสารและสัญญา

จัดทำหรือทบทวน Data Processing Agreement กับผู้ให้บริการต่างประเทศ
บันทึกเหตุผลและกลไกที่ใช้ในการส่งข้อมูลแต่ละครั้ง
อัปเดต Records of Processing Activities (ROPA)

ขั้นที่ 4: แจ้งเจ้าของข้อมูล

อัปเดต Privacy Notice ให้ครอบคลุมการส่งข้อมูลข้ามพรมแดน
ระบุประเทศปลายทางและกลไกการคุ้มครองที่ใช้
กำหนดช่องทางให้เจ้าของข้อมูลใช้สิทธิได้อย่างสะดวก

ขั้นที่ 5: ตรวจสอบและติดตามผล

กำหนดรอบการตรวจสอบการปฏิบัติตามของผู้รับข้อมูลต่างประเทศ
ทบทวนรายชื่อ Sub-processor เมื่อมีการเปลี่ยนแปลง
จัดทำแผนรับมือเหตุการณ์ละเมิดข้อมูลส่วนบุคคลที่ครอบคลุมการส่งข้อมูลข้ามพรมแดน

ดาวน์โหลด Checklist ฉบับเต็มและประเมินสถานะ Compliance ขององค์กรได้ที่ แบบประเมิน PDPA Compliance

บทลงโทษสำหรับการละเมิดมาตรา 28-29

การฝ่าฝืนบทบัญญัติเกี่ยวกับการส่งข้อมูลส่วนบุคคลออกนอกประเทศมีบทลงโทษที่หนักทั้งในด้านแพ่งและอาญา

โทษทางแพ่ง

ค่าสินไหมทดแทน ที่ต้องชำระให้แก่เจ้าของข้อมูลที่ได้รับความเสียหาย
กรณีละเมิดโดยเจตนาหรือประมาทเลินเล่อ ศาลอาจสั่งให้ชำระค่าสินไหมทดแทนเชิงลงโทษ (Punitive Damages) ไม่เกิน 2 เท่าของค่าเสียหายที่เกิดขึ้นจริง

โทษทางปกครอง

ปรับสูงสุด 3 ล้านบาท สำหรับการละเมิดหลักการส่งข้อมูลระหว่างประเทศ
กรณีที่มีการส่งข้อมูลโดยไม่มีฐานทางกฎหมายที่ถูกต้องอาจถูกปรับสูงสุด 5 ล้านบาท

โทษทางอาญา

ผู้ควบคุมข้อมูลหรือผู้บริหารที่รู้เห็นเป็นใจอาจถูกจำคุกสูงสุด 1 ปี และ/หรือปรับสูงสุด 1 ล้านบาท ในกรณีที่เกี่ยวข้องกับข้อมูลอ่อนไหว

ที่สำคัญกว่าตัวเลขบทลงโทษ คือความเสียหายต่อชื่อเสียงและความไว้วางใจของลูกค้าที่ยากจะซ่อมแซมได้ในระยะสั้น

กรณีตัวอย่างที่พบบ่อยในองค์กรไทย

กรณีที่ 1: บริษัทใช้ HR Software แบบ SaaS จากต่างประเทศ

หลายองค์กรใช้ระบบ HRIS ที่มีเซิร์ฟเวอร์ตั้งอยู่ในสิงคโปร์หรือสหรัฐอเมริกา ข้อมูลพนักงาน ได้แก่ เลขบัตรประชาชน ข้อมูลเงินเดือน ข้อมูลสุขภาพ ถูกส่งไปประมวลผลในต่างประเทศโดยอัตโนมัติ

สิ่งที่ควรทำ: ทบทวน DPA ที่มีกับผู้ให้บริการ ตรวจสอบว่ามี SCC หรือกลไกอื่นที่เพียงพอ และอัปเดต Privacy Notice สำหรับพนักงาน

กรณีที่ 2: บริษัทส่งข้อมูลลูกค้าไปยังบริษัทแม่ในต่างประเทศ

กลุ่มบริษัทข้ามชาติมักมีการรวมศูนย์ฐานข้อมูลลูกค้าที่สำนักงานใหญ่ในต่างประเทศ ซึ่งเป็นกรณีที่ BCR มีความเหมาะสมที่สุด

สิ่งที่ควรทำ: เร่งพัฒนา BCR ร่วมกับบริษัทแม่ หรือจัดทำ SCC ระหว่างบริษัทในกลุ่มเป็นการชั่วคราว

กรณีที่ 3: ใช้บริการ Email Marketing Platform จากต่างประเทศ

ข้อมูลอีเมล ชื่อ และพฤติกรรมการใช้งานของลูกค้าถูกส่งไปยังเซิร์ฟเวอร์ของผู้ให้บริการในต่างประเทศ

สิ่งที่ควรทำ: ระบุใน Privacy Notice และ Cookie Policy อย่างชัดเจน พิจารณาว่าการประมวลผลนี้มีฐานทางกฎหมายที่ถูกต้องหรือต้องขอความยินยอมเพิ่มเติม

แนวทางการเตรียมความพร้อมสำหรับปี 2026

PDPC มีแนวโน้มที่จะประกาศแนวปฏิบัติที่ชัดเจนขึ้นเกี่ยวกับการส่งข้อมูลข้ามพรมแดนในปี 2026 องค์กรควรเตรียมพร้อมดังนี้

ระยะสั้น (ภายใน 3 เดือน):

จัดทำ Data Mapping เพื่อระบุการส่งข้อมูลข้ามพรมแดนทั้งหมด
ทบทวนสัญญาและ DPA กับผู้ให้บริการต่างประเทศทุกราย
ประเมินความเพียงพอของกลไกที่ใช้อยู่ในปัจจุบัน

ระยะกลาง (3-12 เดือน):

พัฒนาหรือปรับปรุง Privacy Notice และ Consent Management
จัดทำ SCC หรือเริ่มกระบวนการ BCR ตามความเหมาะสม
ฝึกอบรมทีมงานที่เกี่ยวข้องกับการส่งข้อมูลข้ามพรมแดน

ระยะยาว (มากกว่า 12 เดือน):

สร้างระบบติดตามและรายงานการส่งข้อมูลข้ามพรมแดนอย่างต่อเนื่อง
พัฒนากระบวนการ Vendor Assessment สำหรับผู้ให้บริการต่างประเทศรายใหม่
ประเมินความพร้อมเป็นประจำทุกปี

อ่านเพิ่มเติมเกี่ยวกับการเตรียมความพร้อม PDPA ในด้านอื่นๆ ได้ที่ PDPA Checklist 2026

บทสรุป: การบริหารจัดการข้อมูลข้ามพรมแดนอย่างมีระบบ

การส่งข้อมูลส่วนบุคคลออกนอกประเทศไม่ใช่เรื่องต้องหลีกเลี่ยง แต่ต้องดำเนินการภายใต้กรอบที่ถูกต้องตามกฎหมาย ประเด็นสำคัญที่องค์กรต้องตระหนักมีสามประการ ได้แก่

รู้ว่าข้อมูลไปที่ไหน — Data Mapping ที่ครอบคลุมการส่งข้อมูลข้ามพรมแดนเป็นจุดเริ่มต้นที่ขาดไม่ได้
เลือกกลไกที่เหมาะสม — ไม่มีกลไกเดียวที่เหมาะกับทุกกรณี การเลือกต้องคำนึงถึงลักษณะการส่งข้อมูล ประเทศปลายทาง และความสัมพันธ์กับผู้รับข้อมูล
จัดทำเอกสารและติดตามผล — กฎหมายกำหนดให้มีหลักฐานที่แสดงการปฏิบัติตาม การบันทึกข้อมูลที่ดีจะช่วยลดความเสี่ยงในกรณีที่มีการตรวจสอบ

หากองค์กรของท่านกำลังมองหาระบบที่ช่วยให้การบริหารจัดการ PDPA เป็นเรื่องที่เป็นระบบและตรวจสอบได้ PrivacyHub ของ Enersys ออกแบบมาเพื่อตอบโจทย์นี้โดยเฉพาะ ด้วยโมดูล Cross-Border Data Transfer Management ที่ช่วยให้ทีม Compliance สามารถ Track การส่งข้อมูลข้ามพรมแดนได้ในที่เดียว จัดการ DPA และ SCC อย่างเป็นระบบ และสร้างรายงาน Compliance ที่พร้อมนำเสนอต่อผู้บริหารและหน่วยงานกำกับดูแล

ทีมผู้เชี่ยวชาญด้าน PDPA ของ Enersys พร้อมให้คำปรึกษาเพื่อช่วยประเมินสถานะปัจจุบันและออกแบบแนวทางที่เหมาะสมกับบริบทขององค์กรท่าน ปรึกษาทีม Enersys วันนี้เพื่อรับการวิเคราะห์เบื้องต้นโดยไม่มีค่าใช้จ่าย