PDPA และ GDPR อะไรที่ธุรกิจออนไลน์ควรรู้และควรระวัง

PDPA และ GDPR อะไรที่ธุรกิจออนไลน์ควรรู้และควรระวัง

PDPA และ GDPR อะไรที่ธุรกิจออนไลน์ควรรู้และควรระวัง หากได้ทำงานในสายระบบออนไลน์ ดิจิทัล กันมาอาจจะเคยเห็นนโยบาย GDPR กันมาบ้างแล้ว แต่เมื่อไม่นานมานี้ได้เกิดนโยบายที่กำลังบังคับใช้อย่าง PDPA ให้ได้เห็นกัน ซึ่งหลายคนอาจจะมีความสงสัยว่าเจ้าตัว GDPR กับ PDPA มีความแตกต่างกันอย่างไร ในบทความนี้จะช่วยให้ผู้ที่ทำธุรกิจออนไลน์ได้เข้าใจมากขึ้นค่ะ

GDPR คำนี้เป็นคำย่อมาจาก General Data Protection Regulation เป็นข้อบังคับกฎหมายของสหภาพยุโรปว่าด้วยการคุ้มครองข้อมูลความเป็นส่วนบุคคล ทั้งในเขตและนอกเขตยุโรป นอกจากนี้ยังระบุถึงการถ่ายโอนข้อมูลส่วนบุคคลนอกเขต EU และ EEA อีกด้วย เพื่อตอบรับกระแสของการใช้อินเทอร์เน็ต อย่างธุรกิจ E-commerce การโฆษณาและ Digital Marketing ซึ่ง GDPR จะบังคับใช้ทั้งยุโรปและประเทศไทยโดยไม่มีการหลีกเลี่ยงแต่อย่างใด ยิ่งในกรณีที่ต้องมีการแลกเปลี่ยนหรือรับส่งขอมูลระหว่างไทยและยุโรปเพื่อคุ้มครองความปลอดภัยของข้อมูลส่วนบุคคลอย่างเข้มงวด

จุดประสงค์ของ GDPR คือการเพิ่มสิทธิ์ส่วนตัวที่อยู่ เพิ่มสิทธิ์ใหม่ และให้บุคคลในสหภาพยุโรปทำการควบคุมข้อมูลส่วนตัวของตนได้มากขึ้น หลักการพื้นฐานของ GDPR คือการ:

  1. กำหนดให้มีความโปร่งใสในการจัดการและการใช้งานข้อมูลส่วนตัว
  2. จำกัดการประมวลผลข้อมูลส่วนตัวเพื่อจุดประสงค์ทางกฎหมายที่เฉพาะเจาะจง
  3. จำกัดการรวบรวมข้อมูลส่วนตัว และจัดเก็บไว้เพื่อจุดประสงค์ที่ต้องการ
  4. ช่วยให้บุคคลร้องขอในสถานการณ์เฉพาะให้เข้าใช้งาน แก้ไข ลบ (สิทธิ์ที่จะถูกลืม) ถ่ายโอนข้อมูลส่วนตัวของตนไปยังบุคคลที่สาม จำกัด หรือปฏิเสธการประมวลผลข้อมูลส่วนตัวของตน
  5. ทำให้แน่ใจว่ามีการคุ้มครองข้อมูลส่วนตัวโดยใช้มาตรการรักษาความปลอดภัยที่เหมาะสม
  6. จำกัดการจัดเก็บข้อมูลส่วนตัวไว้นานเท่าที่จำเป็นต้องใช้เพื่อจุดประสงค์ที่ต้องการเท่านั้น

PDPA ส่วนคำนี้จะย่อมาจาก Personal Data Protection Act เป็นกฎหมายของไทยที่ใช้คุ้มครองข้อมูลส่วนบุคคลที่เกิดจากการกระทำออนไลน์ในประเทศไทย ใช้กับทุกองค์กรที่มีการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลที่อยู่ในประเทศไทย ไม่ว่าองค์กรนั้นจะอยู่ภายในหรือภายนอกประเทศไทยก็ตาม

อะไรบ้างที่อยู่ในกฎหมาย PDPA

  1. พรบ.ฉบับนี้ได้ให้นิยามของสิ่งที่เกี่ยวข้องหลักๆ ไว้ 4 อย่าง คือ
  2. ข้อมูลส่วนบุคคล หมายถึงข้อมูลใด ๆ ที่ทำให้สามารถระบุตัวบุคคลนั้น ๆ ได้ เช่น ชื่อ ที่อยู่ หมายเลขโทรศัพท์
  3. ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) หมายถึงข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ หรือข้อมูลอื่นๆตามที่ได้ประกาศไว้ซึ่งกระทบต่อเจ้าของข้อมูล
  4. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) หมายถึงบุคคลหรือนิติบุคคลซึ่งมีอำนาจตัดสินใจเกี่ยวกับการเก็บ ใช้ หรือเผยแพร่ข้อมูล
  5. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) หมายถึงบุคคลหรือนิติบุคคลซึ่งดำเนินการเก็บ ใช้ หรือเผยแพร่ข้อมูลในนามของผู้ควบคุมข้อมูลส่วนบุคคล

เปรียบเทียบบทลงโทษหากมีการฝ่าฝืนนโยบาย GDPR และ PDPA

GDPR : ผลบังคับใช้ 25 พฤษภาคม 2561

บทลงโทษ : กรณีที่เกิดความเสียหายหรือข้อมูลรั่วไหล (Data Breach) มีอัตราโทษปรับสูงสุดถึง 20 ล้านยูโร (740 ล้านบาท) หรือ 2-4% ของผลประกอบการรายได้ทั่วโลกต่อปีขึ้นอยู่กับว่าวงเงินใดสูงกว่า

PDPA : 1 มิถุนายน 2565 (หากไม่มีการเลื่อน)

บทลงโทษ : ทั้งนี้บทลงโทษจะมีทั้งบทลงโทษทางแพ่ง ทางอาญา และทางปกครอง

  • โทษทางแพ่ง ตามความเสียหายที่เกิดขึ้นจริง และอาจต้องชดใช้ค่าสินไหมทดแทนเพิ่มขึ้นอีก โดยสูงสุดไม่เกิน 2 เท่าของค่าเสียหายที่แท้จริง
  • โทษทางอาญา จำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
  • โทษทางปกครอง ปรับสูงสุดไม่เกิน 5 ล้านบาท

กรณีต้องการให้ความยินยอม

GDPR : การขอความยินยอมต้องมีความชัดเจน ใช้ภาษาที่เข้าใจง่าย ไม่มีเงื่อนไขผูกมัด และการขอยกเลิกความยินยอมก็ต้องดำเนินการได้โดยสะดวก

PDPA : เจ้าของข้อมูลต้องได้รับแจ้งวัตถุประสงค์ก่อน โดยใช้ภาษาที่เข้าใจง่าย ชัดเจน ไม่มีเงื่อนไขผูกมัดในการให้ความยินยอม

เตรียมความพร้อมอย่างไรดี เมื่อต้องทำธุรกิจออนไลน์พร้อมกันข้อบังคับ GDPR และ PDPA ?

การแลกเปลี่ยนข้อมูลส่วนบุคคลระหว่างประเทศเป็นสิ่งที่หลีกเลี่ยงไม่ได้ในการทำธุรกิจออนไลน์ในปัจจุบัน ทุกบริษัทที่มีความเกี่ยวข้องกันด้านออนไลน์มีความจำเป็นจะต้องเตรียมพร้อมและจัดทำมาตรการรักษาความปลอดภัยของข้อมูลส่วนตัวให้กับบุคคลแบบไม่มีข้อแม้หรือเรียกได้ว่าองค์กรที่รวบรวมข้อมูลของผู้บริโภคอยู่ องค์กรที่มีความเกี่ยวข้องกับข้อมูลส่วนบุคคลที่ Sensitive อย่างหลีกเลี่ยงไม่ได้ นั่นหมายความว่าคุณมีธุรกิจที่มีสถานะอยู่บนดิจิทัล ซึ่งมีสองทางเลือกให้ปฏิบัติ คือ ปรับตัวตามกฎหมาย GDPR กับ PDPA ปรับจูนองค์กรของคุณให้สอดคล้องกับกฎหมายกันนะคะ

จ้างบริษัททำเว็บไซต์ต้องเตรียมตัวยังไงบ้าง