เงื่อนไขการใช้ และ นโยบายส่วนบุคคล •
ก่อนที่เราจะเจาะลึกถึงความแตกต่างระหว่าง PDPA และ GDPR เราควรเข้าใจความหมายของคำดังกล่าว และทำความเข้าใจว่าข้อมูลส่วนบุคคลนั้นคืออะไร |
ข้อมูลส่วนบุคคลคืออะไร?
ข้อมูลเกี่ยวกับบุคคล ที่ทำให้สามารถระบุตัวบุคคลนั้นได้ ทั้งทางตรงหรือทางอ้อม ซึ่งรวมถึงหมายเลขประจำตัวประชาชน, หมายเลขโทรศัพท์, วันเกิด, ที่อยู่บ้าน และที่อยู่อีเมล
ตัวอย่างเช่น ในการจ่ายเงินเดือนให้กับพนักงาน จะมีข้อมูลที่ละเอียดอ่อนมากมายของพนักงาน ที่จะถูกจัดเก็บและรวบรวมไว้ ซึ่งต้องถูกเก็บไว้ที่แผนกทรัพยากรบุคคลในส่วนผู้จัดทำเงินเดือนเท่านั้น เพื่อให้แน่ใจว่าองค์กรปฏิบัติตามกฎหมายและระเบียบข้อบังคับด้านความเป็นส่วนตัวของข้อมูลที่เกี่ยวข้อง เพื่อปกป้องข้อมูลส่วนบุคคลของพนักงาน
GDPR คืออะไร?
GDPR ย่อมาจาก General Data Protection Regulation, เป็นกฎหมายของยุโรปที่ปกป้องสิทธิ์ขั้นพื้นฐานของเจ้าของข้อมูล ซึ่งข้อมูลส่วนบุคคลและข้อมูลที่ละเอียดอ่อนนั้นถูกจัดเก็บไว้ในองค์กรต่าง ๆ โดยกฎหมายนี้ยังครอบคลุมถึงการถ่ายโอนข้อมูลส่วนบุคคลนอกสหภาพยุโรป และมีผลบังคับใช้เมื่อวันที่ 25 พฤษภาคม 2018 ทำให้รัฐบาล, องค์กร และภาคประชาชนต่างตระหนักถึงความสำคัญของการจัดเก็บและรักษาข้อมูลส่วนบุคคลให้ปลอดภัย เพื่อป้องกันการใช้ข้อมูลส่วนบุคคลในกิจกรรมที่ผิดกฎหมายและป้องกันการฉ้อโกง
PDPA คืออะไร ?
PDPA (Personal Data Protection Act) คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย พ.ศ. 2562 มีการ่างกฎหมายและลงนามครั้งแรกในปี 2562 และจะมีผลเบังคับใช้เต็มรูปแบบในวันที่ 1 มิถุนายน 2565 ซึ่งจะสร้างความเปลี่ยนแปลงครั้งสำคัญ ด้านกฎระเบียบในการปกป้องข้อมูลส่วนบุคคลในประเทศไทย ทั้งนี้เพื่อให้บริษัท พนักงาน หรือบุคคลที่เกี่ยวข้องตระหนักถึงความสำคัญของการปกป้องข้อมูลส่วนบุคคล และทำให้มีความปลอดภัยมากขึ้น ทั้งนี้วัตถุประสงค์ของ PDPA คือการปกป้องผู้ใช้เว็บไซต์จากการรวบรวมและการใช้ข้อมูลส่วนบุคคลอย่างผิดกฎหมาย โดยกำหนดให้เจ้าของข้อมูลต้องทราบว่าข้อมูลใดของเราที่ถูกเก็บรวบรวม, จะมีการใช้ข้อมูลนี้อย่างไร และใครเป็นผู้ใช้ข้อมูล
ความแตกต่างระหว่าง PDPA และ GDPR ในหัวข้อต่าง ๆ ตามองค์ประกอบที่สำคัญดังนี้
1. ขอบเขตและความครอบคลุม
2. สิทธิส่วนบุคคล
3. คำจำกัดความที่สำคัญ
4. การบังคับใช้
ขอบเขตและความครอบคลุม
PDPA
- มีข้อยกเว้นการบังคับใช้กับการดำเนินการของหน่วยงานรัฐ ที่มีหน้าที่ดูแลความมั่นคงของรัฐ เช่น นิติวิทยาศาสตร์, ปราบปรามการฟอกเงิน, หน่วยงานที่จัดการความปลอดภัยในโลกไซเบอร์ หรือ ยกเว้นการเปิดเผยข้อมูลส่วนบุคคลเพื่อกิจการสื่อมวลชน เพื่อเป็นประโยชน์ต่อสาธารณะ เป็นต้น
GDPR
- ใช้กับผู้ควบคุมข้อมูลและผู้ประมวลผลทั้งหมด รวมถึงหน่วยงานสาธารณะ
เงื่อนไขในการใช้ข้อมูล;
PDPA
- ไม่ได้แบ่งแยกหรือระบุ เกี่ยวกับการใช้ข้อมูล ว่าใช้เป็นแบบอัตโนมัติ หรือไม่อัตโนมัติ
- อนุญาตให้ผู้บริโภคสามารถร้องขอให้ไม่เปิดเผยข้อมูล โดยไม่ได้กำหนดไว้อย่างชัดเจนว่าเป็นข้อยกเว้นจากข้อกำหนด
- ไม่ครอบคลุมถึงสภาผู้แทนราษฎร วุฒิสภา รัฐสภา และคณะกรรมการที่เกี่ยวข้องซึ่งแต่งตั้งโดยหน่วยงานต่างๆ และยกเว้นกิจกรรมที่ดำเนินการโดยบริษัทเครดิตบูโร
GDPR
- นำไปใช้การจัดการข้อมูลที่มีผู้ใช้งานด้วยวิธีการอัตโนมัติหรือไม่ใช่อัตโนมัติ หากข้อมูลดังกล่าวเป็นส่วนหนึ่งของระบบการจัดเก็บ
- ยกเว้นข้อมูลที่ไม่ระบุที่มา
สิทธิส่วนบุคคล
สิทธิ์ในการเข้าถึงข้อมูล;
PDPA
- PDPA ได้ให้สิทธิ์เจ้าของข้อมูลสามารถร้องขอเพื่อเข้าถึงข้อมูลของตนเองที่ผู้ควบคุมเก็บไว้ ซึ่งผู้ควบคุมต้องให้สิทธิ์การเข้าถึงข้อมูลจริง ๆ หรือโดยการให้สำเนาข้อมูลส่วนบุคคล และหากเจ้าของข้อมูลพบว่าข้อมูลส่วนบุคคลของตนไม่ถูกต้อง พวกเขามีสิทธิ์ร้องขอให้แก้ไขได้
GDPR
- ระบุอย่างชัดเจนว่าผู้ควบคุมข้อมูล ต้องแจ้งให้ผู้บริโภคทราบเกี่ยวกับวัตถุประสงค์ในการรวบรวมและเก็บข้อมูล, ประเภทของข้อมูลส่วนบุคคลที่จะจัดเก็บ และต้องแจ้งว่าจะเปิดเผยข้อมูลกับบุคคลที่สาม (third parties) หากมีการส่งต่อข้อมูลดังกล่าว
สิทธิ์ในการลบข้อมูล;
PDPA
- ผู้ควบคุมข้อมูลไม่ต้องระบุระยะเวลาในการเก็บข้อมูล แต่อนุญาตให้ผู้บริโภคสามารถแจ้งเวลาในการลบข้อมูลกับหน่วยงานที่เกี่ยวข้องได้
- ผู้ควบคุมข้อมูลไม่จำเป็นต้องมีการระบุหัวข้อของข้อมูลที่ถูกร้องขอให้ลบ
GDPR
- ระบุอย่างชัดเจนว่าคำขอให้ลบข้อมูลของผู้บริโภคจะต้องได้รับการแก้ไขโดยไม่ล่าช้าเกินควรและต้องลบข้อมูลภายในหนึ่งเดือนนับจากได้รับคำขอ
- ผู้ควบคุมข้อมูลต้องมีมาตรการในการตรวจสอบ การระบุตัวตนของเจ้าของข้อมูลที่ทำการร้องขอ
สิทธิในการคัดค้าน;
ทั้ง PDPA และ GDPR รับประกันสิทธิ์ของผู้ใช้ในการคัดค้านการประมวลผลข้อมูลของตน ตลอดจนความสามารถในการเพิกถอนความยินยอมในการประมวลผลได้ตลอดเวลา
PDPA
-
ไม่ได้กำหนดระยะเวลาที่จำเป็นของผู้ควบคุมข้อมูลไว้อย่างชัดเจนเพื่อจัดการกับคำขอเพื่อจำกัดการประมวลผลข้อมูลส่วนบุคคล
- PDPA ของประเทศไทยกำหนดภาระหน้าที่ให้กับผู้ควบคุมข้อมูลเพื่อให้เหตุผลในการคัดค้านคำขอย้ายข้อมูลเพื่อตรวจสอบความถูกต้องของผู้บริโภคและหน่วยงานที่มีอำนาจ
GDPR
- ทำให้ชัดเจนว่าผู้ควบคุมข้อมูลจำเป็นต้องจัดการกับคำขอที่จำกัดการประมวลผลข้อมูลส่วนบุคคลภายใน 30 วัน
คำจำกัดความที่สำคัญ
PDPA
คือกฎหมายเกี่ยวกับความเป็นส่วนตัว ที่ไม่ระบุอย่างชัดเจนว่า IP, คุกกี้ และแท็กระบุความถี่วิทยุว่าเป็นส่วนหนึ่งของข้อมูลส่วนบุคคล
- ไม่ได้ให้คำจำกัดความของข้อมูลที่ใช้นามแฝง
- ไม่มีบทบัญญัติที่ชัดเจนเกี่ยวกับการคุ้มครองเฉพาะตัวซึ่งควรสอดคล้องกับความเป็นส่วนตัวของเด็ก เมื่อใช้เพื่อการตลาดหรือเพื่อวัตถุประสงค์ในการให้บริการทางสังคมโดยตรงกับเด็ก
- กฎหมายที่ดูแลความเป็นส่วนตัวของข้อมูลในประเทศไทยไม่มีข้อกำหนดที่ชัดเจนเกี่ยวกับการเก็บรวบรวม การใช้ หรือการแบ่งปันข้อมูลส่วนบุคคลบนพื้นฐานของการวิจัย ผู้ควบคุมข้อมูลจะถูกคาดหวังว่าพวกเขาจะต้องปกป้องข้อมูล รวมทั้งสิทธิ์ต่าง ๆ ของผู้บริโภค
GDPR
ระบุอย่างชัดเจนว่าการแสดงตัวตนในทางดิจิทัล เช่น ที่อยู่ IP, คุกกี้, และแท็กระบุความถี่วิทยุเป็นข้อมูลส่วนบุคคล
- ระบุวิธีการจัดการข้อมูลที่ใช้นามแฝง ให้เป็นการจัดการข้อมูลส่วนบุคคลในลักษณะที่ทำให้มั่นใจว่าข้อมูลที่เป็นปัญหาไม่สามารถเชื่อมเชื่อมโยงกับข้อมูลส่วนบุคคลได้
- กฎหมายความเป็นส่วนตัวของข้อมูลของสหภาพยุโรประบุว่าเด็กเป็นบุคคลที่มีช่องโหว่ กฎหมายความเป็นส่วนตัวของข้อมูลสร้างบทบัญญัติที่เน้นที่การรับรองว่าเด็กจะได้รับการคุ้มครองเป็นพิเศษเมื่อข้อมูลของพวกเขาถูกใช้เพื่อการตลาดหรือการส่งมอบบริการทางสังคม
- การประมวลผลข้อมูลผู้ใช้เพื่อวัตถุประสงค์ในการวิจัยอยู่ภายใต้ข้อบังคับเฉพาะ เช่น สิทธิ์ในการลบข้อมูล, การลดข้อมูลให้เหลือน้อยที่สุด และการใช้นามแฝง
การบังคับใช้
PDPA
การไม่ปฏิบัติตามประเทศไทย PDPA มีโทษปรับสูงสุด 5,000,000 บาท ในบางกรณี หน่วยงานที่พบว่าละเมิดกฎความเป็นส่วนตัวของข้อมูลของประเทศไทยอาจถูกจำคุกไม่เกินหนึ่งปี
GDPR
หน่วยงานที่ละเมิด GDPR อาจถูกปรับ 2% ของรายได้ต่อปีทั่วโลกหรือ 10 ล้านยูโร แล้วแต่จำนวนใดจะสูงกว่า หรือ 4% ของมูลค่าการซื้อขายประจำปีทั่วโลกหรือ 20 ล้านยูโร แล้วแต่จำนวนใดจะสูงกว่า
ทั้งนี้หลังจากที่ประเทศไทยได้เริ่มใช้กฎหมาย PDPA ได้มีการออกกฎหมายลูกมาหลายฉบับ เพื่อผ่อนปรนการบังคับใช้ในหลายกรณี ตามที่มีการประกาศกฎหมายลูก 4 ฉบับ ในช่วงเดือนมิถุนายนที่ผ่านมาดังนี้
กฎหมายลำดับรองฉบับที่ 1
ประกาศการผ่อนปรนกำหมาย PDPA สำหรับเอสเอ็มอี-วิสาหกิจชุมชน เช่น ร้านค้าปลีกหรือบริษัท ที่มีพนักงานไม่เกิน 100 คน หรือ รายได้ไม่เกิน 300 ล้านบาท
กฎหมายลำดับรองฉบับที่ 2
ประกาศหลักเกณฑ์การจัดทำและเก็บรักษาบันทึกรายการของกิจกรรม การประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล โดยให้เวลาเตรียมการ 180 วัน
กฎหมายลำดับรองฉบับที่ 3
การประกาศมาตรการรักษาความมั่นคงปลอดภัยขั้นต่ำให้ชัดเจน สอดคล้องกับประกาศกระทรวงดิจิทัลฯ ที่ได้ใช้ในช่วง 2 ปีที่ผ่านมา
กฎหมายลำดับรองฉบับที่ 4
ประกาศการลงโทษทางปกครอง ที่คำนึงถึงเจตนา และให้มีการไกล่เกลี่ย ตักเตือน ตามระดับความร้ายแรงของการทำความผิด สำหรับกรณีไม่ร้ายแรง ให้ตักเตือนหรือสั่งให้แก้ไข สั่งห้าม หรือสั่งจำกัดการกระทำได้ สำหรับกรณีร้ายแรง (กรณีที่ส่งผลกระทบรุนแรงในวงกว้าง) หรือสั่งตักเตือนไม่เป็นผล ให้ลงโทษทางปกครองโดยการปรับ
นอกจากนี้ ยังมีกฎหมายลูกที่สำคัญอีก 4 ฉบับที่อยู่ระหว่างการพิจารณา และคาดว่าจะสามารถดำเนินการเรื่องกฎหมายลูกรวมทั้งหมด 8 ฉบับได้ เร็ว ๆ นี้
ในส่วนของนโยบาย จะมุ่งให้ผู้ที่เกี่ยวข้องมีภาระในการปฎิบัติตามกฎหมายน้อยที่สุด โดยการเริ่มบังคับใช้ในช่วงแรกของกฎหมายฉบับนี้ ไม่ควรเป็นภาระกับผู้ดูแลข้อมูลมากเกินไป จะเน้นการให้ความรู้และตักเตือน ไม่เน้นการลงโทษ
โดยสรุป PDPA คือการปกป้องข้อมูลส่วนบุคคลสาธารณะจากการใช้โดยไม่ได้รับอนุญาต ทั้งนี้เพื่อแจ้งให้เจ้าของข้อมูลทราบถึงเหตุผลในการใช้ข้อมูลส่วนบุคคลของตนและจะนำไปใช้เพื่อวัตถุประสงค์ใด เจ้าของข้อมูลจะสามารถเข้าถึงข้อมูลของตนเพื่อแก้ไขข้อมูลใด ๆ และพวกเขามีสิทธิ์ที่จะถอนหรือลบข้อมูลหากเห็นว่าจำเป็น