PDPA และ GDPR

PDPA และ GDPR

 

• - PDPA  ย่อมาจาก Personal Data Protection Act คือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ออกมาเพื่อแก้ไขปัญหาการถูกล่วงละเมิดข้อมูลส่วนบุคคลที่เพิ่มมากในปัจจุบัน ซึ่งใช้กับทุกองค์กรที่มีการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลที่อยู่ในประเทศไทย ไม่ว่าองค์กรนั้นจะอยู่ภายในหรือภายนอกประเทศไทยก็ตาม
•  
• - GDPR ย่อมาจาก General Data Protection Regulation ใช้กับทุกองค์กรที่มีการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลที่อยู่ใน สหภาพยุโรป (EU) ไม่ว่าองค์กรนั้นจะอยู่ภายในหรือภายนอกสหภาพยุโรปก็ตาม ตัวอย่าง GDPR สามารถบังคับใช้ในประเทศไทย ในกรณีที่มีการแลกเปลี่ยน รับส่งข้อมูลระหว่างไทยกับประเทศในสหภาพยุโรป เพื่อคุ้มครองความปลอดภัยของข้อมูลส่วนตัวของผู้ใช้งาน เป็นต้น
•  
• - GDPR และ PDPA เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลทั้งคู่
•  
• - GDPR จะเน้นเกี่ยวกับการประมวลผลข้อมูล และการเคลื่อนย้ายข้อมูลส่วนบุคคล ซึ่งมีรายละเอียดมากกว่า PDPA ที่จะเน้นการเก็บรวบรวม ใช้ และเปิดเผยข้อมูล
•  
• - GDPR โทษปรับสูงสุดต่อผู้กระทำผิดหรือฝ่าฝืนถึง 20 ล้านยูโร (740 ล้านบาท)
•  
• - PDPA : โทษปรับสูสูงสุดต่อผู้กระทำผิดหรือฝ่าฝืน 5 ล้านบาท จำคุกสูงสุด 1 ปี

 

PDPA ครอบคลุมข้อมูลด้านใดบ้าง?

• - ข้อมูลต่างๆของบุคคล ทั้งบนสื่อออนไลน์และออฟไลน์
• - ข้อมูลส่วนบุคคล (Personal Data Violation) เช่น

ชื่อ-นามสกุล

เลขบัตรประชาชน

เลขหนังสือเดินทาง

เลขใบอนุญาตขับขี่

ทะเบียนรถยนต์

โฉนดที่ดิน

ทะเบียนบ้าน

เบอร์โทรศัพท์

 ที่อยู่

อีเมล

รูปถ่ายบุคคล  

ประวัติการศึกษา

ประวัติการทำงาน

เป็นต้น

• - ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) เช่น

สัญชาติ เชื้อชาติ ศาสนา ความเชื่อ

ความคิดเห็นทางการเมือง

พฤติกรรมทางเพศ

วันเดือนปีเกิด

น้ำหนัก ส่วนสูง

ข้อมูลทางด้านสุขภาพ ความพิการ

ข้อมูลชีวภาพ เช่น ลายนิ้วมือ ม่านตา

Cookies ID

Device ID

GPS Location

เป็นต้น

 

ผู้ประกอบการต้องปรับตัวอย่างไร?

1. ศึกษากฏหมาย PDPA
2. จัดทำเอกสาร Privacy Policy, Privacy Notice โดยมีทั้งในรูปแบบเอกสารกระดาษและอิเล็กทรอนิกส์ ให้สอดคล้องกับการใช้งานและการบริหารข้อมูลตาม PDPA โดยข้อความต้องอ่านเข้าใจง่าย และแจ้งให้เจ้าของข้อมูลทราบชัดเจน ว่าจะขอเก็บข้อมูลอะไรบ้าง เพื่อวัตถุประสงค์ใด และสามารถถอนความยินยอมได้ทุกเมื่อ
3. จัดทำระบบหรืออาจใช้ Third-party เพื่อขอความยินยอมในการการจัดเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล หรือความยินยอมการใช้คุกกี้
4. สร้างความตระหนักรู้อยู่เสมอให้กับผู้ที่เกี่ยวข้องกับข้อมูล เพื่อให้เกิดความเข้าใจร่วมกันถึงสิทธิและแนวทางในการรักษาความเป็นส่วนตัว
5. มีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลและแนวทางในการป้องกันการรั่วไหลของข้อมูลที่ชัดเจน ทั้งด้านการบริหารจัดการ ด้านเทคนิก

 

           เนื้อหาที่กล่าวมาข้างต้นนี้ อาจไม่ครอบคลุมเกี่ยวกับ กฏหมาย PDPA ทั้งหมด เป็นเพียงข้อมูลโดยสังเขปเท่านั้น จุดประสงค์เพื่อให้หลายคนจะรู้จักกับ PDPA  คืออะไร แนะนำให้ศึกษาเพิ่มเติม หรือการขอคำปรึกษาจากหน่วยงานภายนอกที่มีความรู้และความเชี่ยวชาญก็เป็นอีกตัวเลือกหนึ่งที่น่าสนใจ

           เทคโนโลยีจัดเก็บข้อมูลพัฒนามากขึ้นเท่าใด อำนาจในการหยั่งรู้ข้อมูลก็มีมากขึ้น  PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล เป็นเรื่องของทุกคนที่ต้องตระหนักรู้ เพื่อป้องกันตนเองจากการถูกจัดเก็บข้อมูลและการนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยิมยอนที่เจ้าของข้อมูล