หลาย ๆ คนคงเคยได้ยินเรื่องของกฎหมาย GDPR กับ PDPA กันมาบ้างแล้วอย่างแน่นอน ยิ่งถ้าเป็นคนที่ทำงานด้านไอทีที่ต้องมีการเก็บข้อมูลของผู้ใช้งานต่าง ๆ ยิ่งต้องทำความเข้าใจระหว่าง GDPR กับ PDPA ให้ชัดเจน วันนี้เราจะมาทำความรู้จักกับกฎหมายเหล่านี้กันเลย
GDPR คือกฎหมายที่ถูกบังคับใช้ในประเทศในกลุ่ม EU ทำหน้าที่เปรียบเสมือนมาตรการที่ใช้ในการรักษาความปลอดภัยสำหรับข้อมูลส่วนตัวต่าง ๆ ที่จะถูกนำไปเก็บและนำไปใช้ รวมถึงเหล่าไอดีและรหัสผ่านเพื่อเข้าสู่ระบบต่าง ๆ อีกด้วย โดยส่งผลบังคับใช้ตั้งแต่ปีพ.ศ. 2561 และยังมีข้อกำหนดให้องค์กรต่าง ๆ ที่เกี่ยวกับบริการทางอินเทอร์เน็ตต้องปฏิบัติตามมาตรการนี้อย่างเคร่งครัดในการคุ้มครองข้อมูลส่วนตัวของผู้ใช้งานนั่นเอง
PDPA คือพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ซึ่งมีผลบังคับใช้เมื่อ 28 พฤษภาคม 2562 (เพียงบางส่วนเท่านั้น) เพื่อใช้ในการควบคุมการเก็บ การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้งานต่าง ๆ ให้มีความปลอดภัยและเข้มงวดมากยิ่งขึ้น เพื่อให้การเก็บและการนำข้อมูลไปใช้นั้นเกิดประโยชน์สูงสุดและไม่เกิดการละเมิดสิทธิกันนั่นเอง หากไม่ปฏิบัติตามข้อบังคับ PDPA นั้นอาจจะได้รับโทษทั้งทางแพ่ง ทางอาญา และทางปกครอง
ข้อแตกต่างขอบเขตของ GDPR กับ PDPA
ข้อมูล |
GDPR |
PDPA |
วันที่บังคับใช้ |
25 พฤษภาคม 2561 |
เต็มรูปแบบในวันที่ 1 มิถุนายน 2564 |
พื้นที่ที่บังคับใช้ |
ในประเทศกลุ่ม EU ทั้งหมด |
ในประเทศไทยเท่านั้น |
องค์กรที่ต้องปรับตัว |
องค์กรทั้งในและนอกประเทศ EU ที่ทำการเก็บข้อมูลของประชาชนใน EU |
องค์กรในและนอกประเทศไทย ที่มีการเก็บข้อมูลในประเทศไทย |
การขอคัดค้านการตัดสินใจแทนแบบอัตโนมัติ |
เจ้าของข้อมูลสามารถทำได้ |
ไม่ได้ระบุไว้ในข้อบังคับใช้ |
การขอเพิกถอนความยินยอม |
ทำได้ |
ทำได้ |
การขอลบข้อมูลส่วนบุคคล |
ทำได้ |
ทำได้ |
จากตารางด้านบนจะเห็นได้ว่าข้อแตกต่างระหว่าง GDPR กับ PDPA นั้นจะอยู่ที่เรื่องของการขอคัดค้านการตัดสินใจแทนแบบอัตโนมัตินั่นเอง ซึ่งกฎหมาย GDPR นั้นผู้ใช้งานสามารถคัดค้านการกระทำดังกล่าวจากผู้ให้บริการได้ แต่ PDPA นั้นไม่ได้ระบุในส่วนนี้ไว้ นอกจากนั้นแล้วจุดประสงค์ของการร่างกฎหมายเหล่านี้ขึ้นมาก็แทบจะไม่แตกต่างกันเลยทีเดียว เพราะถูกบังคับใช้เพื่อคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้งานให้มีความรัดกุมมากขึ้นและปลอดภัยมากขึ้นนั่นเอง
เมื่อได้รู้ข้อมูลเกี่ยวกับ GDPR กับ PDPA แบบนี้แล้วเหล่าองค์กรและผู้ให้บริการทั้งหลายที่ต้องทำการเก็บข้อมูลส่วนบุคคลของผู้ใช้งานทั้งหมด จะต้องทำการศึกษาถึงมาตราและข้อบังคับใช้ต่าง ๆ ให้เป็นอย่างดี เพื่อจะได้ให้บริการอย่างถูกต้อง และไม่ถูกปรับหรือดำเนินคดี และเตรียมตัวให้พร้อมหากกฎหมาย PDPA บังคับใช้เต็มรูปแบบในประเทศไทย เพราะต้องปรับตัวให้เข้ากับมาตรการดังกล่าวอย่างเคร่งครัด