มี PDPA แล้ว ยังต้องทำ GDPR อยู่ไหม?

หลายคนที่ทำงานในแวดวงดิจิทัลหรือการตลาดคงเคยได้ยินคำว่า PDPA กับ GDPR มาบ้างแล้ว แล้วทั้ง 2 คำนี้ต่างกันอย่างไร? เหมือนกันหรือไม่? ถ้าธุรกิจทำ PDPA แล้ว จำเป็นต้องทำ GDPR ไหม? บทความนี้จะมาเปรียบเทียบและตอบข้อสงสัยระหว่าง PDPA และ GDPR กัน

GDPR ย่อมาจาก General Data Protection Regulation คือ ข้อบังคับว่าด้วยการคุ้มครองข้อมูล เป็นกฎหมายของสหภาพยุโรปที่ใช้คุ้มครองความเป็นส่วนตัวและข้อมูลส่วนบุคคล ซึ่งปรับปรุงจาก EU Directive เมื่อปี 2538 เพื่อคุ้มครองการใช้งานข้อมูลส่วนบุคคลทางออนไลน์ให้ครอบคลุมมากขึ้น โดยใช้บังคับเพื่อคุ้มครองข้อมูลส่วนบุคคลของประชาชนในกลุ่มประเทศ EU โดยไม่คำนึงถึงว่าบริษัทจะตั้งอยู่ที่ใดก็ตาม

หมายความว่าหากเรามีการแลกเปลี่ยนข้อมูลส่วนบุคคลของคนที่อยู่ในกลุ่มประเทศ EU กับประเทศไทย เราก็จำเป็นต้องปฏิบัติตาม GDPR ด้วย ส่วน PDPA ที่ย่อมาจาก Personal Data Protection Act หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายไทยที่ใช้คุ้มครองข้อมูลส่วนบุคคลที่เกิดจากกิจกรรมที่เกิดขึ้นในประเทศไทย โดยจะเริ่มบังคับใช้เต็มรูปแบบในวันที่ 1 มิถุนายน 2565 นี้

ความคล้ายของ GDPR และ PDPA

ทั้ง GDPR และ PDPA เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลทั้งคู่ ซึ่งวัตถุประสงค์ของกฎหมายคล้ายกันในแง่การคุ้มครองข้อมูลส่วนบุคคลเพื่อป้องกันการละเมิดความเป็นส่วนตัว จากบุคคลที่นำข้อมูลส่วนบุคคลไปใช้ในทางที่ก่อให้เกิดความเสียหายกับเจ้าของข้อมูลที่ได้ยินยอมมอบข้อมูลส่วนบุคคลเพื่อเข้าถึงเว็บไซต์ ซื้อสินค้าออนไลน์ การทำธุรกรรม หรือใช้บริการจากธุรกิจต่างๆ

เปรียบเทียบ GDPR กับ PDPA

วันที่มีผลบังคับใช้

• GDPR : 25 พฤษภาคม 2561
• PDPA : 1 มิถุนายน 2565 (หากไม่มีการเลื่อน)

ใช้กับใครบ้าง

• GDPR : ใช้กับทุกองค์กรที่มีการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลที่อยู่ใน EU ไม่ว่าองค์กรนั้นจะอยู่ภายในหรือภายนอกสหภาพยุโรปก็ตาม
• PDPA : ใช้กับทุกองค์กรที่มีการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลที่อยู่ในประเทศไทย ไม่ว่าองค์กรนั้นจะอยู่ภายในหรือภายนอกประเทศไทยก็ตาม

บทลงโทษ

• GDPR : กรณีที่เกิดความเสียหายหรือข้อมูลรั่วไหล (Data Breach) มีอัตราโทษปรับสูงสุดถึง 20 ล้านยูโร หรือ 2-4% ของผลประกอบการรายได้ทั่วโลกต่อปีขึ้นอยู่กับว่าวงเงินใดสูงกว่า
• PDPA : มีทั้งบทลงโทษทางแพ่ง ทางอาญา และทางปกครอง
• โทษทางแพ่ง ตามความเสียหายที่เกิดขึ้นจริง และอาจต้องชดใช้ค่าสินไหมทดแทนเพิ่มขึ้นอีก โดยสูงสุดไม่เกิน 2 เท่าของค่าเสียหายที่แท้จริง
• โทษทางอาญา จำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
• โทษทางปกครอง ปรับสูงสุดไม่เกิน 5 ล้านบาท

การให้ความยินยอม

• GDPR : การขอความยินยอมต้องมีความชัดเจน ใช้ภาษาที่เข้าใจง่าย ไม่มีเงื่อนไขผูกมัด และการขอยกเลิกความยินยอมก็ต้องดำเนินการได้โดยสะดวก
• PDPA : เจ้าของข้อมูลต้องได้รับแจ้งวัตถุประสงค์ก่อน โดยใช้ภาษาที่เข้าใจง่าย ชัดเจน ไม่มีเงื่อนไขผูกมัดในการให้ความยินยอม

สิทธิของเจ้าของข้อมูลส่วนบุคคล ตาม GDPR และ PDPA

• สิทธิได้รับการแจ้งให้ทราบ (Right to be informed)
• สิทธิขอเข้าถึงข้อมูลส่วนบุคคล (Right of access)
• สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability)
• สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object)
• สิทธิขอถอนความยินยอม (Right to withdraw consent)
• สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล (Right to erasure/right to be forgotten)
• สิทธิขอให้ระงับการใช้ข้อมูล (Right to restrict processing)
• สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification)
• สิทธิในการร้องเรียน (Right to complaint)

ธุรกิจต้องเตรียมความพร้อมตาม GDPR และ PDPA อย่างไรบ้าง

การแลกเปลี่ยนข้อมูลส่วนบุคคลระหว่างประเทศเป็นสิ่งที่หลีกเลี่ยงไม่ได้ในการทำธุรกิจออนไลน์ในปัจจุบัน บริษัทจึงควรเตรียมพร้อมจัดทำมาตรการรักษาความปลอดภัยข้อมูลซึ่งก็เป็นข้อกำหนดหนึ่งที่ GDPR ของ EU และ PDPA ของไทย กำหนดให้ธุรกิจก็ต้องมีมาตรการคุ้มครองข้อมูลให้ปลอดภัยตามมาตรฐานสากล เช่น Access Control, Security Assessment, Security Policy ระบบแจ้งเตือนเพื่อปกป้องข้อมูลจากการโจมตีจากผู้ไม่ประสงค์ดี (Breach Notification Protocol) รวมทั้งกำหนดระยะเวลาการเก็บข้อมูล และการทำลายเอกสารที่มีข้อมูลส่วนบุคคล

นอกจากนี้ บริษัทควรปฏิบัติให้สอดคล้องกับกฎหมาย PDPA ด้วยบริการจาก PDPA Core ซึ่งช่วยจัดทำเอกสารตามกฎหมายและวิเคราะห์โครงสร้างธุรกิจครบวงจร จากบริการ PDPA Implementation ที่พร้อมจัดทำ Gap Analysis ด้วยการประเมินช่องว่างทางกฎหมายและจัดทำเอกสารกฎหมายที่จำเป็นทั้งหมด โดยทีมนักกฎหมายที่เชี่ยวชาญพร้อมเทคโนโลยีครบครัน และบริการให้คำปรึกษาจาก PDPA Advisory เพื่อให้การดำเนินการของบริษัทสอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ซึ่งจะช่วยให้องค์กรประหยัดทั้งทรัพยากรบุคคลและเวลา และเตรียมความพร้อมที่ PDPA จะมีผลบังคับใช้ในปีหน้าได้ทันที