บริษัท เดต้า ว้าว จำกัด
1778 อาคารซัมเมอร์ฮับ ออฟฟิศ, ชั้น 6 ถนนสุขุมวิท แขวงพระโขนง เขตคลองเตย กรุงเทพมหานคร 10110 ประเทศไทย
September 29, 2021
หลายคนที่ทำงานในแวดวงดิจิทัลหรือการตลาดคงเคยได้ยินคำว่า PDPA กับ GDPR มาบ้างแล้ว แล้วทั้ง 2 คำนี้ต่างกันอย่างไร? เหมือนกันหรือไม่? ถ้าธุรกิจทำ PDPA แล้ว จำเป็นต้องทำ GDPR ไหม? บทความนี้จะมาเปรียบเทียบและตอบข้อสงสัยระหว่าง PDPA และ GDPR กัน
GDPR ย่อมาจาก General Data Protection Regulation คือ ข้อบังคับว่าด้วยการคุ้มครองข้อมูล เป็นกฎหมายของสหภาพยุโรปที่ใช้คุ้มครองความเป็นส่วนตัวและข้อมูลส่วนบุคคล ซึ่งปรับปรุงจาก EU Directive เมื่อปี 2538 เพื่อคุ้มครองการใช้งานข้อมูลส่วนบุคคลทางออนไลน์ให้ครอบคลุมมากขึ้น โดยใช้บังคับเพื่อคุ้มครองข้อมูลส่วนบุคคลของประชาชนในกลุ่มประเทศ EU โดยไม่คำนึงถึงว่าบริษัทจะตั้งอยู่ที่ใดก็ตาม หมายความว่าหากเรามีการแลกเปลี่ยนข้อมูลส่วนบุคคลของคนที่อยู่ในกลุ่มประเทศ EU กับประเทศไทย เราก็จำเป็นต้องปฏิบัติตาม GDPR ด้วย ส่วน PDPA ที่ย่อมาจาก Personal Data Protection Act หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายไทยที่ใช้คุ้มครองข้อมูลส่วนบุคคลที่เกิดจากกิจกรรมที่เกิดขึ้นในประเทศไทย โดยจะเริ่มบังคับใช้เต็มรูปแบบในวันที่ 1 มิถุนายน 2565 นี้
ทั้ง GDPR และ PDPA เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลทั้งคู่ ซึ่งวัตถุประสงค์ของกฎหมายคล้ายกันในแง่การคุ้มครองข้อมูลส่วนบุคคลเพื่อป้องกันการละเมิดความเป็นส่วนตัว จากบุคคลที่นำข้อมูลส่วนบุคคลไปใช้ในทางที่ก่อให้เกิดความเสียหายกับเจ้าของข้อมูลที่ได้ยินยอมมอบข้อมูลส่วนบุคคลเพื่อเข้าถึงเว็บไซต์ ซื้อสินค้าออนไลน์ การทำธุรกรรม หรือใช้บริการจากธุรกิจต่างๆ
วันที่มีผลบังคับใช้
GDPR : 25 พฤษภาคม 2561
PDPA : 1 มิถุนายน 2565 (หากไม่มีการเลื่อน)
ใช้กับใครบ้าง
GDPR : ใช้กับทุกองค์กรที่มีการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลที่อยู่ใน EU ไม่ว่าองค์กรนั้นจะอยู่ภายในหรือภายนอกสหภาพยุโรปก็ตาม
PDPA : ใช้กับทุกองค์กรที่มีการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลที่อยู่ในประเทศไทย ไม่ว่าองค์กรนั้นจะอยู่ภายในหรือภายนอกประเทศไทยก็ตาม
บทลงโทษ
GDPR : กรณีที่เกิดความเสียหายหรือข้อมูลรั่วไหล (Data Breach) มีอัตราโทษปรับสูงสุดถึง 20 ล้านยูโร หรือ 2-4% ของผลประกอบการรายได้ทั่วโลกต่อปีขึ้นอยู่กับว่าวงเงินใดสูงกว่า
PDPA : มีทั้งบทลงโทษทางแพ่ง ทางอาญา และทางปกครอง
การให้ความยินยอม
GDPR : การขอความยินยอมต้องมีความชัดเจน ใช้ภาษาที่เข้าใจง่าย ไม่มีเงื่อนไขผูกมัด และการขอยกเลิกความยินยอมก็ต้องดำเนินการได้โดยสะดวก
PDPA : เจ้าของข้อมูลต้องได้รับแจ้งวัตถุประสงค์ก่อน โดยใช้ภาษาที่เข้าใจง่าย ชัดเจน ไม่มีเงื่อนไขผูกมัดในการให้ความยินยอม
การแลกเปลี่ยนข้อมูลส่วนบุคคลระหว่างประเทศเป็นสิ่งที่หลีกเลี่ยงไม่ได้ในการทำธุรกิจออนไลน์ในปัจจุบัน บริษัทจึงควรเตรียมพร้อมจัดทำมาตรการรักษาความปลอดภัยข้อมูลซึ่งก็เป็นข้อกำหนดหนึ่งที่ GDPR ของ EU และ PDPA ของไทย กำหนดให้ธุรกิจก็ต้องมีมาตรการคุ้มครองข้อมูลให้ปลอดภัยตามมาตรฐานสากล เช่น Access Control, Security Assessment, Security Policy ระบบแจ้งเตือนเพื่อปกป้องข้อมูลจากการโจมตีจากผู้ไม่ประสงค์ดี (Breach Notification Protocol) รวมทั้งกำหนดระยะเวลาการเก็บข้อมูล และการทำลายเอกสารที่มีข้อมูลส่วนบุคคล
นอกจากนี้ บริษัทควรปฏิบัติให้สอดคล้องกับกฎหมาย PDPA ด้วยบริการจาก PDPA Core ซึ่งช่วยจัดทำเอกสารตามกฎหมายและวิเคราะห์โครงสร้างธุรกิจครบวงจร จากบริการ PDPA Implementation ที่พร้อมจัดทำ Gap Analysis ด้วยการประเมินช่องว่างทางกฎหมายและจัดทำเอกสารกฎหมายที่จำเป็นทั้งหมด โดยทีมนักกฎหมายที่เชี่ยวชาญพร้อมเทคโนโลยีครบครัน และบริการให้คำปรึกษาจาก PDPA Advisory เพื่อให้การดำเนินการของบริษัทสอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ซึ่งจะช่วยให้องค์กรประหยัดทั้งทรัพยากรบุคคลและเวลา และเตรียมความพร้อมที่ PDPA จะมีผลบังคับใช้ในปีหน้าได้ทันที
ให้คำปรึกษาและดำเนินการ
ให้ธุรกิจของคุณ สอดคล้องกับ PDPA
บริษัท เดต้า ว้าว จำกัด
1778 อาคารซัมเมอร์ฮับ ออฟฟิศ, ชั้น 6 ถนนสุขุมวิท แขวงพระโขนง เขตคลองเตย กรุงเทพมหานคร 10110 ประเทศไทย