บทความทั้งหมดGDPR คือ อะไร ? ต่างกับ PDPA มากแค่ไหน ?
GDPR คืออะไร ? ต่างกับ PDPA มากแค่ไหน ?
บทความทั้งหมด, Website
บทความทั้งหมด, Website

GDPR คือ อะไร ? ต่างกับ PDPA มากแค่ไหน ?

waranya.v

เมื่อข้อมูลส่วนตัวบนอินเตอร์เนตถูกขโมยไปได้ง่ายมากในยุคนี้ การมีกฎหมายเข้ามาคุ้มครองข้อมูลเหล่านี้จึงเป็นเรื่องสำคัญ และต้องนำมาใช้ในทุกช่องทางโดยเฉพาะบนเว็บไซต์ ที่นอกจาก กฎหมาย PDPA ที่คนไทยคุ้นเคย GDPR คือ อีกหนึ่งข้อบังคับที่ควรมี เพื่อให้ครอบคลุมข้อมูลทั้งหมด

 

แต่หลายคนอาจจะไม่ค่อยคุ้นกับชื่อ GDPR มากเท่า PDPA กันใช่มั้ยคะ ?

เรามาทำความรู้จัก GDPR ในบทความนี้กัน 

 

GDPR คือ อะไร ?

General Data Protection Regulation หรือเรียกย่อ ๆ ว่า GDPR คือ กฎหมายคุ้มครองข้อมูลของ สหภาพยุโรป (EU) ที่มีทั้งหมด 27 ประเทศ เพื่อให้ประชาชนใน EU มีสิทธิ์ในการควบคุมข้อมูลส่วนบุคคลของตนเองทั้งในและนอกประเทศ และให้สหภาพยุโรปมีมาตรฐานการคุ้มครองข้อมูลที่เป็นอันหนึ่งอันเดียวกัน โดยเริ่มบังคับใช้เมื่อ 25 พฤษภาคม 2018 ที่ผ่านมา 

undefined

 

แนวทางปฏิบัติของ GDPR (General Obligations)

  • Free and Easy Access 

ให้สิทธิ์ประชาชนในการเข้าถึงข้อมูลส่วนบุคคลของตนได้ง่ายและไม่มีค่าใช้จ่าย

  • Notice and Collection 

แจ้งให้เจ้าของข้อมูลทราบถึงวัตถุประสงค์ และต้องมีความโปร่งใสในการรวบรวมข้อมูลส่วนบุคคล

  • Consent 

เมื่อมีการนำข้อมูลส่วนลุคคลไปประมวลผล จะต้องได้รับความยินยอมที่ชัดเจนจากเจ้าของข้อมูลก่อน (Clear and Affirmative Consent)

  • Uses of Personal Information 

การนำข้อมูลส่วนบุคคลไปใช้ ควรเป็นไปตามวัตถุประสงค์ที่แจ้งไว้เท่านั้น

  • Data protection by designs and by default 

มีระบบคุ้มครองข้อมูลส่วนบุคคลที่เน้นความสำคัญต่อการปกป้องข้อมูลส่วนบุคคลมากที่สุด (Privacy-Friendly Setting) โดยเริ่มตั้งแต่ขั้นตอนแรกของการออกแบบบริการ 

  • Data Portability 

ให้สิทธิ์ประชาชนในการขอข้อมูลส่วนบุคคลของตนเองจากผู้ประกอบการ เพื่อโอนย้ายข้อมูลนั้นไปยังผู้ประกอบการรายอื่นได้

  • Right to be Forgotten 

ให้สิทธิ์เจ้าของข้อมูลส่วนบุคลเรียกร้องให้ลบข้อมูลของตนออกจากระบบ เมื่อไม่มีความจำเป็นที่ผู้ประกอบการจะต้องเก็บข้อมูลนั้นไว้ หรือเจ้าของข้อมูลไม่ประสงค์ให้นำข้อมูลของตนไปประมวลผลอีกต่อไป

ข้อมูลจาก etda.or.th 

 

ขอบเขตการบังคับใช้ GDPR (Territorial Scope)

  • ประชาชนและธุรกิจที่ตั้งใน EU ไม่ว่าการประมวลผลข้อมูลนั้นจะเกิดขึ้นใน EU หรือนอก EU ก็ตาม
  • ข้อมูลส่วนบุคคลจะโอนไปยังผู้ประกอบการนอก EU ได้ก็ต่อเมื่อ ประเทศปลายทางมีระดับมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลเทียบเท่ากับสหภาพยุโรป
  • หากผู้ประมวลผลข้อมูลนอก EU ให้บริการหรือขายสินค้าให้กับผู้บริโภคชาวยุโรป หรือมีการ “สังเกตพฤติกรรม” ของชาวยุโรป ผู้ประกอบการจะต้องถูกใช้ข้อบังคับของกฎหมาย GDPR ฉบับนี้ด้วย

ข้อมูลจาก etda.or.th 

 

จะเห็นว่ากฎหมาย GDPR คือ กฎหมายที่คล้ายกับ PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลที่บังคับใช้ในประเทศไทย ซึ่งในบางเว็บไซต์ธุรกิจที่ได้ระบุใช้ PDPA ไปแล้วก็ยังต้องเพิ่มข้อบังคับการใช้ GDPR เข้าไปด้วย เพื่อให้ครอบคลุมการคุ้มครองข้อมูลของลูกค้าทั้งหมด 

 

ทำไมต้องทำแบบนั้น ? 

ใช้แค่ PDPA ไม่พอหรอ ?

มาดูความแตกต่างระหว่างทั้งสองกฎหมายนี้กันค่ะ

 

ข้อแตกต่างระหว่าง GDPR กับ PDPA 

 

1) ขอบเขตการบังคับใช้และการคุ้มครอง

GDPR – มีผลบังคับใช้กับทุกองค์กรที่เก็บข้อมูลส่วนบุคคลของประชาชนในสหภาพยุโรป ไม่ว่าองค์กรนั้นจะตั้งอยู่ที่ไหนบนโลกก็ตาม

PDPA – มีผลบังคับใช้กับทุกองค์กรที่ตั้งอยู่ในประเทศไทย หรือมีการทำธุรกิจในประเทศไทย 

 

2) ขอบเขตของข้อมูลส่วนบุคคล

GDPR – ข้อมูลใด ๆ ที่สามารถระบุถึงตัวบุคคลได้ ทั้งทางตรงและทางอ้อม รวมถึงการระบุถึงกายภาพ สุขภาพ เชื้อชาติ ตำแหน่งงานได้ด้วย

PDPA – ข้อมูลที่ระบุถึงตัวบุคคลได้โดยตรง เช่น ชื่อ นามสกุล เลขประจำตัว 

 

3) สิทธิ์ในการจัดการข้อมูลส่วนบุคคล

GDPR – สิทธิ์ที่จะเข้าถึงข้อมูล แก้ไขข้อมูล ลบข้อมูล ปฏิเสธการให้ข้อมูลได้ และสามารถเรียกดูข้อมูลและได้รับการแจ้งเตือนถึงสถานะการประมวลผลข้อมูลได้

PDPA –  สิทธิ์ที่จะเข้าถึงข้อมูล  ลบข้อมูล ส่วนการแก้ไขและปฏิเสธข้อมูลในพ.ร.บ.ไม่ได้ระบุไว้ชัดเจน

 

4) สิทธิ์การอนุญาตและตัดสินใจอัตโนมัติ

GDPR – มีสิทธิ์ที่จะไม่อนุญาตให้ระบบใช้งานข้อมูลอัตโนมัติ เช่น การกรอกข้อมูลอัตโนมัติในระบบ Browser ต่าง ๆ เพื่อป้องกันปัญหาต่าง ๆ ที่อาจจะตามมาได้

PDPA – ไม่ได้ระบุไว้ในส่วนนี้

 

5) บทลงโทษ

GDPR – มีโทษปรับสูงสุดถึง 20 ล้านยูโร หรือเทียบได้กับผลประกอบการ 4% ของรายได้ทั่วโลก

PDPA – มีโทษทั้งทางแพ่ง อาญา และปกครอง  

  • โทษทางแพ่ง คือ ให้ชดใช้สูงสุดไม่เกิน 2 เท่าของค่าเสียหาย
  • โทษทางอาญา คือ จำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
  • โทษทางปกครอง คือ ปรับสูงสุดไม่เกิน 5 ล้านบาท

 

พอได้ลองนำมาเปรียบเทียบกันแล้ว GDPR คือกฎหมายที่ครอบคลุมความปลอดภัยของข้อมูลส่วนบุคคลและมีข้อบังคับที่ชัดเจนกว่า PDPA อยู่มาก และในการทำธุรกิจออนไลน์ ก็ไม่อาจคาดเดาได้ว่าลูกค้าหรือคนที่เข้ามาในเว็บไซต์ของเราจะเป็นใคร การแลกเปลี่ยนข้อมูลกับผู้คนในต่างประเทศจึงเป็นเรื่องที่เกิดขึ้นได้ตลอดเวลา ทุกธุรกิจออนไลน์จึงควรเตรียมพร้อมในการปรับปรุงหรืออัปเดตมาตรฐานความปลอดภัยให้ครอบคลุมทุกสัดส่วนมากขึ้น 

แน่นอนว่า เว็บไซต์ MakeWebEasy ทุกเว็บไซต์ได้มีการเพิ่มกฎหมาย GDPR เข้าไปเพื่อให้ตอบโจทย์การทำธุรกิจออนไลน์ที่มั่นคงและถูกต้องตามหลักกฎหมายเรียบร้อยแล้ว

แม้การปฏิบัติตามกฎหมาย GDPR และ PDPA นั้นอาจดูซับซ้อน แต่ถ้าธุรกิจออนไลน์มีการวางแผนและวิธีการดำเนินการอย่างเป็นระบบ ก็จะสามารถปฏิบัติตามได้อย่างมีประสิทธิภาพและปลอดภัยทั้งฝั่งธุรกิจและลูกค้าด้วยค่ะ

 

ขอบคุณข้อมูลอ้างอิงจาก 

pdpacore.com/th

medium.com/@mybooboy

waranya.v

waranya.v