การโอนข้อมูลส่วนบุคคลข้ามประเทศ: ศึกษากรณีการท่องเที่ยวแห่งประเทศไทยสำนักงานต่างประเทศที่ตั้งอยู่ในเขตสหภาพยุโรป

อัญธิกา  ณ พิบูลย์

ผู้แต่ง

อัญธิกา ณ พิบูลย์ คณะนิติศาสตร์ สถาบันบัณฑิตพัฒนบริหารศาสตร์

คำสำคัญ:

การท่องเที่ยวแห่งประเทศไทย, การโอนข้อมูลส่วนบุคคลข้ามประเทศ

บทคัดย่อ

การท่องเที่ยวแห่งประเทศไทย (ททท.) เป็นหน่วยงานรัฐวิสาหกิจที่อยู่ภายใต้กระทรวงการท่องเที่ยวและกีฬา ถูกจัดตั้งขึ้นโดยมีวัตถุประสงค์ในการส่งเสริมการท่องเที่ยวไทย ททท. มีการจัดตั้งสำนักงานที่อยู่ในเขตสหภาพยุโรปซึ่งในแต่ละสำนักงานมีการดำเนินกิจกรรมที่มีความเกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลที่อยู่ในประเทศในเขตสหภาพยุโรป จึงส่งผลให้สำนักงานดังกล่าวตกอยู่ภายใต้บังคับที่จะต้องปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (General Data Protection Regulation (GDPR)) งานวิจัยนี้จึงมุ่งศึกษาลักษณะของกิจกรรมที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลของ ททท. สำนักงานปารีส ประเทศฝรั่งเศส ททท. สำนักงานแฟรงก์เฟิร์ต ประเทศเยอรมนี ททท. สำนักงานโรม ประเทศอิตาลี ททท. สำนักงานสตอกโฮล์ม ประเทศสวีเดน ซึ่งจากผลการศึกษาพบว่า ททท. สำนักงานดังกล่าว มีการดำเนินกิจกรรมที่เกี่ยวข้องกับการโอนข้อมูลส่วนบุคคลข้ามประเทศไปยังประเทศไทย ซึ่ง GDPR กำหนดเงื่อนไขของการโอนข้อมูลส่วนบุคคลไปยังประเทศที่สามไว้ค่อนข้างเข้มงวด งานวิจัยนี้จึงมุ่งเสนอแนะแนวทางในการพิจารณาว่า อย่างไรคือการโอนข้อมูลข้ามประเทศไปยังประเทศที่สาม รวมทั้งเสนอแนะให้มีการกำหนดแนวปฏิบัติที่เหมาะสมและถูกต้องตามกฎหมายในการโอนข้อมูลส่วนบุคคลข้ามประเทศไปยังประเทศที่สาม ทั้งนี้ เพื่อเป็นการลดความเสี่ยงที่ ททท. จะมีความรับผิดตาม GDPR

เอกสารอ้างอิง

ราชกิจจานุเบกษา. (2522). พระราชบัญญัติการท่องเที่ยวแห่งประเทศไทย พ.ศ. 2522. เล่ม 96 ตอนที่ 140 ก หน้า 1–11. http://www.ratchakitcha.soc.go.th/DATA/PDF/2522/A/140/1.PDF

ราชกิจจานุเบกษา. (2562). พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562. เล่ม 136 ตอนที่ 69 ก (27 พฤษภาคม 2562). http://www.ratchakitcha.soc.go.th/DATA/PDF/2562/A/069/T_0052.PDF

Article 29 Data Protection Working Party. (2018, April 11). Recommendation on the standard application form for approval of processor Binding Corporate Rules for the transfer of personal data (17/EN WP265). European Commission.nhttps://ec.europa.eu/newsroom/article29/items/611236

European Parliament and Council of the European Union. (2016). Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation). Official Journal of the European Union, L 119, 1–88. https://eur-lex.europa.eu/eli/reg/2016/679/oj

European Data Protection Board. (2018, May 25). Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679. https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-22018-derogations-article-49-under-regulation_en

European Data Protection Board. (2021, June 18). Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data (Version 2.0). https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en

European Data Protection Board. (2022, February 22). Guidelines 04/2021 on codes of conduct as tools for transfers – Version 2.0 (adopted after public consultation). https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-042021-codes-conduct-tools-transfers-version_en

European Data Protection Board. (2023, February 14). Guidelines 07/2022 on certification as a tool for transfers – Version 2.0. https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072022-certification-tool-transfers-version-20_en

European Data Protection Board. (2023, February 14). Guidelines 05/2021 on the interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR – Version 2.0. https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052021-interplay-between-application-article-3-and_en

European Data Protection Board. (2023, June 20). Recommendations 1/2022 on the application for approval and on the elements and principles to be found in Controller Binding Corporate Rules (Art. 47 GDPR). https://edpb.europa.eu/our-work-tools/ourdocuments/recommendations/recommendations-12022-application-approval-and-elements_en

European Data Protection Board & European Data Protection Supervisor. (2021). EDPB- EDPS Joint Opinion 1/2021 on the European Commission’s implementing decision on standard contractual clauses between controllers and processors for the matters referred to in Article 28(7) of Regulation (EU) 2016/679 and Article 29(7) of Regulation (EU) 2018/1725. https://edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/edpb-edps-joint-opinion-12021-european-commissions_en

Federal Republic of Germany. (2017). Bundesdatenschutzgesetz (Federal Data Protection Act – BDSG), as amended by the Act of 30 June 2017. Federal Law Gazette I, p. 2097. https://www.gesetze-im-internet.de/englisch_bdsg/

French Republic. (2018). Act No. 2018-493 of 20 June 2018 on the protection of personal data. Official Journal of the French Republic. https://www.legifrance.gouv.fr

Italian Republic. (2003). Legislative Decree No. 196 of 30 June 2003: Personal Data Protection Code, as amended. Gazzetta Ufficiale della Repubblica Italiana. https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1311248

Kingdom of Sweden. (2018). Lag (2018:218) med kompletterande bestämmelser tillEU:sdataskyddsförordning (Dataskyddslagen). Svensk författningssamling. https://www.riksdagen.se/sv/dokument-lagar/dokument/svensk-forfattningssamling/dataskyddslag-2018218_sfs-2018-218

ผู้แต่ง

คำสำคัญ:

บทคัดย่อ

เอกสารอ้างอิง

ดาวน์โหลด

เผยแพร่แล้ว

รูปแบบการอ้างอิง

ฉบับ

ประเภทบทความ

สัญญาอนุญาต

Information

Journal Information

ภาษา

Facebook

Manual

Indexed in TCI

HomeThaiJO

Visitors