ในยุคดิจิทัลที่ข้อมูลส่วนบุคคลถูกจัดเก็บและใช้งานอย่างแพร่หลาย กฎหมายคุ้มครองข้อมูลส่วนบุคคลจึงเป็นสิ่งสำคัญที่ทุกองค์กรต้องให้ความสนใจ โดยเฉพาะกฎหมาย GDPR และ PDPA ที่มีผลกระทบต่อการดำเนินธุรกิจในปัจจุบัน ธุรกิจที่กำลังเดินหน้าสู่ Digital Transformation จำเป็นต้องปรับตัวให้สอดคล้องกับกฎหมายเหล่านี้ เพื่อป้องกันความเสี่ยงและสร้างความเชื่อมั่นให้กับลูกค้า มาทำความเข้าใจว่า GDPR คืออะไร และแตกต่างจาก PDPA อย่างไร
GDPR คืออะไร
GDPR คือ General Data Protection Regulation หรือกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป ซึ่งมีผลบังคับใช้ตั้งแต่วันที่ 25 พฤษภาคม 2561 จะคุ้มครองข้อมูลส่วนบุคคลของประชากรในสหภาพยุโรป (EU) และเข้ามาปรับเปลี่ยนวิธีการที่องค์กรต่าง ๆ จัดการกับข้อมูลส่วนบุคคล โดยทุกองค์กรที่มีการจัดเก็บหรือประมวลผลข้อมูลส่วนบุคคลของพลเมืองสหภาพยุโรป ต้องปฏิบัติตาม GDPR ไม่ว่าองค์กรนั้นจะตั้งอยู่ที่ใดในโลก ซึ่งการจัดทำ Privacy Policy ที่ชัดเจนจึงเป็นสิ่งจำเป็นสำหรับทุกธุรกิจที่ดำเนินการภายใต้กฎหมาย GDPR
PDPA คืออะไร
PDPA หรือ Personal Data Protection Act คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ของประเทศไทย ซึ่งมีผลบังคับใช้เต็มรูปแบบเมื่อวันที่ 1 มิถุนายน 2565 PDPA เป็นกฎหมายที่กำหนดหลักเกณฑ์ วิธีการ และเงื่อนไขในการคุ้มครองข้อมูลส่วนบุคคลของประชาชนไทย โดยมีวัตถุประสงค์เพื่อให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เป็นหลักประกันเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่เป็นมาตรฐาน องค์กรต่าง ๆ จึงต้องนำระบบจัดการเอกสารที่มีประสิทธิภาพมาใช้เพื่อให้สามารถจัดการข้อมูลส่วนบุคคลได้อย่างถูกต้องตามกฎหมาย
GDPR คืออะไร แตกต่างจาก PDPA อย่างไร
แม้ว่าทั้ง GDPR และ PDPA จะเป็นกฎหมายที่มีวัตถุประสงค์เพื่อคุ้มครองข้อมูลส่วนบุคคล แต่ทั้งสองกฎหมายก็มีความแตกต่างกันในหลายประเด็น ซึ่งองค์กรต่าง ๆ จำเป็นต้องทำความเข้าใจเพื่อให้สามารถปฏิบัติตามได้อย่างถูกต้อง มาดูกันว่า ทั้งสองอย่างนี้แตกต่างกันอย่างไรบ้าง ดังนี้
1. ขอบเขตการบังคับใช้และคุ้มครอง
GDPR คือกฎหมายที่มีขอบเขตการบังคับใช้กับทุกองค์กรทั่วโลกที่มีการเก็บหรือประมวลผลข้อมูลส่วนบุคคลของพลเมืองสหภาพยุโรป โดยไม่คำนึงว่าองค์กรนั้นจะตั้งอยู่ที่ใด ในขณะที่ PDPA มีขอบเขตการบังคับใช้กับองค์กรที่มีการเก็บหรือประมวลผลข้อมูลส่วนบุคคลของประชาชนไทย และมีสำนักงานอยู่ในประเทศไทย หรือมีการเสนอสินค้าหรือบริการให้กับประชาชนไทย หรือมีการเฝ้าติดตามพฤติกรรมของประชาชนไทย
2. ขอบเขตของข้อมูลส่วนบุคคล
GDPR กำหนดนิยามของข้อมูลส่วนบุคคลไว้ค่อนข้างกว้าง ครอบคลุมทุกข้อมูลที่สามารถระบุตัวบุคคลได้ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ-สกุล เชื้อชาติ ตำแหน่งงานหรือการระบุถึงกายภาพ ในขณะที่ PDPA จะมีครอบคลุมข้อมูลในทางตรงเพียงเท่านั้น เช่น ชื่อ-สกุล เลขประจำตัวประชาชน เป็นต้น
3. สิทธิ์ในการจัดการข้อมูลส่วนบุคคล
GDPR ให้ความสำคัญกับสิทธิของเจ้าของข้อมูลอย่างมาก โดยกำหนดสิทธิ์ต่าง ๆ ไว้อย่างชัดเจน เช่น สิทธิ์ในการเข้าถึงข้อมูล สิทธิ์ในการลบข้อมูล (Right to be forgotten) และสิทธิ์ในการโอนย้ายข้อมูล (Data Portability) ในขณะที่ PDPA ไม่ได้ระบุไว้ใน พ.ร.บ. อย่างชัดเจน
4. สิทธิ์ในการอนุญาตและตัดสินใจ
GDPR มีความเข้มงวดเรื่อง Consent โดยกำหนดให้ต้องขอความยินยอมอย่างชัดแจ้ง (Explicit Consent) โดยเจ้าของข้อมูลที่สิทธิ์ที่จะไม่อนุญาตให้ใช้ข้อมูลได้อัตโนมัติ เพื่อป้องกันปัญหาที่อาจตามมาได้ในภายหลัง และสำหรับ PDPA นั้น ไม่ได้มีข้อกำหนดในเรื่องสิทธิ์ในการอนุญาตและตัดสินใจระบุไว้
5. บทลงโทษ
GDPR มีโทษปรับสูงถึง 20 ล้านยูโร หรือร้อยละ 4 ของรายได้ทั่วโลก แล้วแต่ว่าจำนวนใดจะสูงกว่า ในขณะที่ PDPA มีบทลงโทษทางแพ่ง ให้ชดเชยสูงสุดไม่เกิน 2 เท่าของค่าเสียหายบาท และโทษทางอาญา จำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ และยังมีโทษทางปกครอง ปรับสูงสุดไม่เกิน 5 ล้านบาท
สรุปบทความ
GDPR คือกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปที่มีขอบเขตการบังคับใช้ทั่วโลก ในขณะที่ PDPA เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย ทั้งสองกฎหมายมีวัตถุประสงค์เพื่อปกป้องข้อมูลส่วนบุคคลแต่มีความแตกต่างกันในด้านขอบเขตการบังคับใช้ นิยามของข้อมูลส่วนบุคคล สิทธิของเจ้าของข้อมูล การขอความยินยอมและบทลงโทษ องค์กรต่าง ๆ จึงต้องทำความเข้าใจและปรับตัวให้สอดคล้องกับทั้งสองกฎหมาย โดยการนำระบบจัดการเอกสารและระบบ ECM ที่มีประสิทธิภาพมาใช้ จัดทำ Privacy Policy ที่ชัดเจน และดำเนินการตาม Digital Transformation อย่างรอบคอบ Ditto พร้อมให้คำปรึกษาและให้บริการโซลูชั่นด้านการจัดการข้อมูลที่ช่วยให้องค์กรของคุณสามารถปฏิบัติตามกฎหมายทั้ง GDPR และ PDPA ได้อย่างมีประสิทธิภาพ
