GDPR คือ อะไร ? ต่างกับ PDPA มากแค่ไหน ?
เมื่อข้อมูลส่วนตัวบนอินเตอร์เนตถูกขโมยไปได้ง่ายมากในยุคนี้ การมีกฎหมายเข้ามาคุ้มครองข้อมูลเหล่านี้จึงเป็นเรื่องสำคัญ และต้องนำมาใช้ในทุกช่องทางโดยเฉพาะบนเว็บไซต์ ที่นอกจาก กฎหมาย PDPA ที่คนไทยคุ้นเคย GDPR คือ อีกหนึ่งข้อบังคับที่ควรมี เพื่อให้ครอบคลุมข้อมูลทั้งหมด
แต่หลายคนอาจจะไม่ค่อยคุ้นกับชื่อ GDPR มากเท่า PDPA กันใช่มั้ยคะ ?
เรามาทำความรู้จัก GDPR ในบทความนี้กัน
GDPR คือ อะไร ?
General Data Protection Regulation หรือเรียกย่อ ๆ ว่า GDPR คือ กฎหมายคุ้มครองข้อมูลของ สหภาพยุโรป (EU) ที่มีทั้งหมด 27 ประเทศ เพื่อให้ประชาชนใน EU มีสิทธิ์ในการควบคุมข้อมูลส่วนบุคคลของตนเองทั้งในและนอกประเทศ และให้สหภาพยุโรปมีมาตรฐานการคุ้มครองข้อมูลที่เป็นอันหนึ่งอันเดียวกัน โดยเริ่มบังคับใช้เมื่อ 25 พฤษภาคม 2018 ที่ผ่านมา
แนวทางปฏิบัติของ GDPR (General Obligations)
- Free and Easy Access
ให้สิทธิ์ประชาชนในการเข้าถึงข้อมูลส่วนบุคคลของตนได้ง่ายและไม่มีค่าใช้จ่าย
- Notice and Collection
แจ้งให้เจ้าของข้อมูลทราบถึงวัตถุประสงค์ และต้องมีความโปร่งใสในการรวบรวมข้อมูลส่วนบุคคล
- Consent
เมื่อมีการนำข้อมูลส่วนลุคคลไปประมวลผล จะต้องได้รับความยินยอมที่ชัดเจนจากเจ้าของข้อมูลก่อน (Clear and Affirmative Consent)
- Uses of Personal Information
การนำข้อมูลส่วนบุคคลไปใช้ ควรเป็นไปตามวัตถุประสงค์ที่แจ้งไว้เท่านั้น
- Data protection by designs and by default
มีระบบคุ้มครองข้อมูลส่วนบุคคลที่เน้นความสำคัญต่อการปกป้องข้อมูลส่วนบุคคลมากที่สุด (Privacy-Friendly Setting) โดยเริ่มตั้งแต่ขั้นตอนแรกของการออกแบบบริการ
- Data Portability
ให้สิทธิ์ประชาชนในการขอข้อมูลส่วนบุคคลของตนเองจากผู้ประกอบการ เพื่อโอนย้ายข้อมูลนั้นไปยังผู้ประกอบการรายอื่นได้
- Right to be Forgotten
ให้สิทธิ์เจ้าของข้อมูลส่วนบุคลเรียกร้องให้ลบข้อมูลของตนออกจากระบบ เมื่อไม่มีความจำเป็นที่ผู้ประกอบการจะต้องเก็บข้อมูลนั้นไว้ หรือเจ้าของข้อมูลไม่ประสงค์ให้นำข้อมูลของตนไปประมวลผลอีกต่อไป
ข้อมูลจาก etda.or.th
ขอบเขตการบังคับใช้ GDPR (Territorial Scope)
- ประชาชนและธุรกิจที่ตั้งใน EU ไม่ว่าการประมวลผลข้อมูลนั้นจะเกิดขึ้นใน EU หรือนอก EU ก็ตาม
- ข้อมูลส่วนบุคคลจะโอนไปยังผู้ประกอบการนอก EU ได้ก็ต่อเมื่อ ประเทศปลายทางมีระดับมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลเทียบเท่ากับสหภาพยุโรป
- หากผู้ประมวลผลข้อมูลนอก EU ให้บริการหรือขายสินค้าให้กับผู้บริโภคชาวยุโรป หรือมีการ “สังเกตพฤติกรรม” ของชาวยุโรป ผู้ประกอบการจะต้องถูกใช้ข้อบังคับของกฎหมาย GDPR ฉบับนี้ด้วย
ข้อมูลจาก etda.or.th
จะเห็นว่ากฎหมาย GDPR คือ กฎหมายที่คล้ายกับ PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลที่บังคับใช้ในประเทศไทย ซึ่งในบางเว็บไซต์ธุรกิจที่ได้ระบุใช้ PDPA ไปแล้วก็ยังต้องเพิ่มข้อบังคับการใช้ GDPR เข้าไปด้วย เพื่อให้ครอบคลุมการคุ้มครองข้อมูลของลูกค้าทั้งหมด
ทำไมต้องทำแบบนั้น ?
ใช้แค่ PDPA ไม่พอหรอ ?
มาดูความแตกต่างระหว่างทั้งสองกฎหมายนี้กันค่ะ
ข้อแตกต่างระหว่าง GDPR กับ PDPA
1) ขอบเขตการบังคับใช้และการคุ้มครอง
GDPR – มีผลบังคับใช้กับทุกองค์กรที่เก็บข้อมูลส่วนบุคคลของประชาชนในสหภาพยุโรป ไม่ว่าองค์กรนั้นจะตั้งอยู่ที่ไหนบนโลกก็ตาม
PDPA – มีผลบังคับใช้กับทุกองค์กรที่ตั้งอยู่ในประเทศไทย หรือมีการทำธุรกิจในประเทศไทย
2) ขอบเขตของข้อมูลส่วนบุคคล
GDPR – ข้อมูลใด ๆ ที่สามารถระบุถึงตัวบุคคลได้ ทั้งทางตรงและทางอ้อม รวมถึงการระบุถึงกายภาพ สุขภาพ เชื้อชาติ ตำแหน่งงานได้ด้วย
PDPA – ข้อมูลที่ระบุถึงตัวบุคคลได้โดยตรง เช่น ชื่อ นามสกุล เลขประจำตัว
3) สิทธิ์ในการจัดการข้อมูลส่วนบุคคล
GDPR – สิทธิ์ที่จะเข้าถึงข้อมูล แก้ไขข้อมูล ลบข้อมูล ปฏิเสธการให้ข้อมูลได้ และสามารถเรียกดูข้อมูลและได้รับการแจ้งเตือนถึงสถานะการประมวลผลข้อมูลได้
PDPA – สิทธิ์ที่จะเข้าถึงข้อมูล ลบข้อมูล ส่วนการแก้ไขและปฏิเสธข้อมูลในพ.ร.บ.ไม่ได้ระบุไว้ชัดเจน
4) สิทธิ์การอนุญาตและตัดสินใจอัตโนมัติ
GDPR – มีสิทธิ์ที่จะไม่อนุญาตให้ระบบใช้งานข้อมูลอัตโนมัติ เช่น การกรอกข้อมูลอัตโนมัติในระบบ Browser ต่าง ๆ เพื่อป้องกันปัญหาต่าง ๆ ที่อาจจะตามมาได้
PDPA – ไม่ได้ระบุไว้ในส่วนนี้
5) บทลงโทษ
GDPR – มีโทษปรับสูงสุดถึง 20 ล้านยูโร หรือเทียบได้กับผลประกอบการ 4% ของรายได้ทั่วโลก
PDPA – มีโทษทั้งทางแพ่ง อาญา และปกครอง
- โทษทางแพ่ง คือ ให้ชดใช้สูงสุดไม่เกิน 2 เท่าของค่าเสียหาย
- โทษทางอาญา คือ จำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
- โทษทางปกครอง คือ ปรับสูงสุดไม่เกิน 5 ล้านบาท
พอได้ลองนำมาเปรียบเทียบกันแล้ว GDPR คือกฎหมายที่ครอบคลุมความปลอดภัยของข้อมูลส่วนบุคคลและมีข้อบังคับที่ชัดเจนกว่า PDPA อยู่มาก และในการทำธุรกิจออนไลน์ ก็ไม่อาจคาดเดาได้ว่าลูกค้าหรือคนที่เข้ามาในเว็บไซต์ของเราจะเป็นใคร การแลกเปลี่ยนข้อมูลกับผู้คนในต่างประเทศจึงเป็นเรื่องที่เกิดขึ้นได้ตลอดเวลา ทุกธุรกิจออนไลน์จึงควรเตรียมพร้อมในการปรับปรุงหรืออัปเดตมาตรฐานความปลอดภัยให้ครอบคลุมทุกสัดส่วนมากขึ้น
แน่นอนว่า เว็บไซต์ MakeWebEasy ทุกเว็บไซต์ได้มีการเพิ่มกฎหมาย GDPR เข้าไปเพื่อให้ตอบโจทย์การทำธุรกิจออนไลน์ที่มั่นคงและถูกต้องตามหลักกฎหมายเรียบร้อยแล้ว
แม้การปฏิบัติตามกฎหมาย GDPR และ PDPA นั้นอาจดูซับซ้อน แต่ถ้าธุรกิจออนไลน์มีการวางแผนและวิธีการดำเนินการอย่างเป็นระบบ ก็จะสามารถปฏิบัติตามได้อย่างมีประสิทธิภาพและปลอดภัยทั้งฝั่งธุรกิจและลูกค้าด้วยค่ะ
ขอบคุณข้อมูลอ้างอิงจาก