สรุป GDPR กับ PDPA เหมือนกันจริงหรือไม่?

   

ในวงการดิจิทัล หลาย ๆ คนอาจจะเคยได้ยินชื่อของ GDPR กับ PDPA กันมาบ้างไม่มากก็น้อย โดยเฉพาะ GDPR ซึ่งเป็นเรื่องที่ไม่ควรมองข้าม แต่สำหรับคนที่ไม่รู้ ไม่เป็นไรค่ะเพราะเรามีคำตอบมาให้ได้รู้กัน

GDPR ย่อมาจาก General Data Protection Regulation 2016/679 คือข้อบังคับในกฎหมายของสหภาพยุโรปว่าด้วยการคุ้มครองข้อมูล ความเป็นส่วนตัว และเขตเศรษฐกิจในยุโรป นอกจากนี้ยังระบุถึงการถ่ายโอนข้อมูลส่วนบุคคลนอกเขต EU และ EEA อีกด้วย เพื่อตอบรับกระแสของการใช้อินเทอร์เน็ต อย่างธุรกิจ E-commerce การโฆษณาและ Digital Marketing

เป้าหมายของ GDPR คือการปกป้องพลเมืองของสหภาพยุโรปทั้งหมดจากการโดนละเมิดความเป็นส่วนตัว และที่สำคัญ GDPR สามารถบังคับใช้ในประเทศไทยอย่างหลีกเลี่ยงไม่ได้ โดยเฉพาะในกรณีที่มีการแลกเปลี่ยน รับส่งข้อมูลระหว่างไทยกับประเทศในสหภาพยุโรป เพื่อคุ้มครองความปลอดภัยของข้อมูลส่วนตัวของผู้ใช้งาน เป็นต้น

GDPR กับ PDPA ต่างกันอย่างไร

GDPR มีมาตรการการรักษาความปลอดภัยเฉพาะสำหรับผู้ควบคุมข้อมูลที่จะนำมาใช้ รวมถึงการเข้ารหัสการรักษาความลับและการทดสอบระบบ ส่วนพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) นั้นมีข้อกำหนดที่น้อยกว่ามาก โดยจะมอบภาระหน้าที่โดยทั่วไปให้ผู้ควบคุมข้อมูลประมวลผลเพื่อดำเนินการตามมาตรการรักษาความปลอดภัย

PDPA จะทำการรวบรวมการใช้และการเปิดเผยข้อมูลส่วนบุคคลของบุคคลโดยองค์กรในรูปแบบที่คำนึงถึงสิทธิของบุคคล และความต้องการขององค์กรในการรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ที่ผู้มีเหตุผลจะพิจารณาความเหมาะสมในแต่ละสถานการณ์

เปรียบเทียบ GDPR กับ PDPA

บังคับใช้

• GDPR : 25 พฤษภาคม 2561

• PDPA : เต็มรูปแบบในวันที่ 1 มิถุนายน 2565

ใช้กับใครบ้าง

• GDPR : นำไปใช้กับองค์กรใดๆ ที่จัดตั้งขึ้นภายในและภายนอกสหภาพยุโรป ตราบใดที่ -

  • องค์กรนำเสนอสินค้าหรือบริการให้กับบุคคลในสหภาพยุโรป
  • ตรวจสอบพฤติกรรมของพวกเขาภายในสหภาพยุโรป
  • ดำเนินการและเก็บข้อมูลส่วนบุคคลของบุคคลที่อาศัยอยู่ในสหภาพยุโรปโดยไม่คำนึงถึงที่ตั้งขององค์กร

• PDPA : ทั้งองค์กรที่อยู่ในประเทศไทย หรืออยู่นอกประเทศไทย แต่มีการเสนอขายสินค้าให้กับลูกค้าในประเทศไทย มีการโอนถ่ายข้อมูลหรือเฝ้าติดตามพฤติกรรมที่เกิดขึ้นในประเทศไทย

บทลงโทษ

• GDPR : ข้อกำหนดของ GDPR กำหนดโทษปรับต่อบริษัทผู้กระทำผิดหรือฝ่าฝืนสูงสุดถึง 20 ล้านยูโร (740 ล้านบาท) หรือ 4% ของรายได้ทั่วโลกจากปีก่อนหน้านั้น ขึ้นกับว่ายอดใดจะมากกว่า ก็จะใช้ตัวเลขนั้น
• PDPA : เป็นกฎหมายที่ทั้งบุคคลและนิติบุคคลในประเทศไทยต้องปฏิบัติตาม หากฝ่าฝืนจะมีโทษปรับสูงสุด 5 ล้านบาท จำคุกสูงสุด 1 ปี และต้องจ่ายค่าเสียหายตามจริง ในขณะที่กรรมการของนิติบุคคลอาจต้องรับผิดชอบต่อเหตุการณ์ที่เกิดขึ้นด้วย

หากคุณคิดว่าองค์กรของคุณไม่ได้เกี่ยวข้องกับไอที แล้วจะปล่อยผ่านในส่วนของ GDPR กับ PDPA ไปได้ คุณคิดผิดค่ะ เพราะกฎหมายนี้มีผลได้ทั้งกับบริษัทที่ทำเกี่ยวกับการเงิน, ด้านความสวยความงาม, หรือแม้กระทั่งบริษัทขายประกัน และอื่นๆ อีกมากมาย หรือเรียกได้ว่าองค์กรที่รวบรวมข้อมูลของผู้บริโภคอยู่ องค์กรที่มีความเกี่ยวข้องกับข้อมูลส่วนบุคคลที่ Sensitive อย่างหลีกเลี่ยงไม่ได้ นั่นหมายความว่าคุณมีธุรกิจที่มีสถานะอยู่บนดิจิทัล ซึ่งมีสองทางเลือกให้ปฏิบัติ คือ ปรับตัวตามกฎหมาย GDPR กับ PDPA หรือยอมรับผลที่ตามมาถ้าตัดสินใจจะไม่ปฏิบัติตามค่ะ ปรับจูนองค์กรของคุณให้สอดคล้องกับกฎหมายด้วยการสร้าง Privacy Policy ที่ PDPA Pro ได้แล้ววันนี้! และสร้างแบบบฟอร์มที่จะช่วยให้บริษัทของคุณรับคำขอสิทธิต่างๆ จากเจ้าของข้อมูลอย่างง่ายดาย ที่ PDPA Form