PDPA กับ GDPR ต่างกันอย่างไร? ธุรกิจควรรู้ก่อนถูกปรับ
ในยุคที่ข้อมูลส่วนบุคคลถูกนำมาใช้เพื่อพัฒนาธุรกิจ การตลาด และบริการออนไลน์อย่างแพร่หลาย กฎหมายที่เกี่ยวข้องกับ การคุ้มครองข้อมูลส่วนบุคคล กลายเป็นเรื่องที่ธุรกิจไม่ควรมองข้าม
สองกฎหมายสำคัญที่ผู้ประกอบการควรรู้จัก ได้แก่
PDPA (Personal Data Protection Act) ของประเทศไทย
GDPR (General Data Protection Regulation) ของสหภาพยุโรป
บทความนี้จะพาคุณไปรู้จักความเหมือน ความต่าง และสิ่งที่ธุรกิจควรเตรียมตัวเพื่อให้ ปฏิบัติตามกฎหมายทั้งสอง ได้อย่างถูกต้อง
PDPA คืออะไร?
PDPA (พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562) คือ กฎหมายไทยที่มีผลบังคับใช้เต็มรูปแบบตั้งแต่วันที่ 1 มิถุนายน 2565 เพื่อควบคุมการเก็บ ใช้ เปิดเผย หรือโอนข้อมูลส่วนบุคคล ทั้งจากภาคเอกชนและหน่วยงานของรัฐ
GDPR คืออะไร?
GDPR คือ กฎหมายคุ้มครองข้อมูลส่วนบุคคลของ สหภาพยุโรป (EU) ที่มีผลบังคับใช้ตั้งแต่วันที่ 25 พฤษภาคม 2018 ถือเป็นกฎหมายที่เข้มงวดและเป็นต้นแบบให้หลายประเทศ รวมถึงประเทศไทย
ตารางเปรียบเทียบ PDPA vs GDPR
| หัวข้อ | PDPA (ไทย) | GDPR (EU) |
|---|---|---|
| ปีที่บังคับใช้ | 2565 (2022) | 2561 (2018) |
| ขอบเขตการบังคับใช้ | ผู้ควบคุม/ผู้ประมวลผลในไทย และต่างประเทศที่มีผลกระทบต่อไทย | ทั่ว EU + ผู้ให้บริการที่ส่งผลกระทบต่อพลเมือง EU |
| ข้อมูลส่วนบุคคลอ่อนไหว | มีการระบุคล้าย GDPR | ระบุชัดเจน เช่น ศาสนา สุขภาพ ชีวภาพ |
| ความยินยอม | ต้องแจ้งวัตถุประสงค์และมีช่องทางยินยอม | ต้องชัดเจน เฉพาะเจาะจง และถอนง่าย |
| สิทธิของเจ้าของข้อมูล | เข้าถึง / ลบ / ถอน / คัดค้าน / โอนย้าย | เช่นเดียวกับ PDPA แต่บางสิทธิกว้างกว่า |
| โทษทางปกครอง | สูงสุด 5 ล้านบาท | สูงสุด 20 ล้านยูโร หรือ 4% ของรายได้ทั่วโลก |
สิ่งที่ PDPA และ GDPR มีเหมือนกัน
เน้น สิทธิของเจ้าของข้อมูล (Data Subject Rights)
ต้อง ขอความยินยอมก่อนเก็บข้อมูล (Consent)
ต้องมี นโยบายความเป็นส่วนตัว (Privacy Policy)
หากข้อมูลรั่วไหล ต้องแจ้งภายในระยะเวลา (72 ชั่วโมงตาม GDPR)
ต้องมีระบบจัดการความเสี่ยงของข้อมูล (Data Protection Management)
สิ่งที่ธุรกิจไทยควรระวัง
ทำธุรกิจกับลูกค้าใน EU? → GDPR อาจมีผลบังคับแม้คุณอยู่ไทย
เว็บไซต์มีการติดตามผู้ใช้ (Cookies / Analytics)? → ต้องแจ้งและขอความยินยอม
ไม่มีนโยบายความเป็นส่วนตัว / แบบฟอร์มถอนความยินยอม → มีความเสี่ยงต่อการถูกร้องเรียน
ไม่มี Data Protection Officer (DPO) → หากเก็บข้อมูลปริมาณมากหรือมีข้อมูลอ่อนไหว ควรแต่งตั้งทันที
วิธีเตรียมพร้อมให้สอดคล้องทั้ง PDPA และ GDPR
- จัดทำนโยบายความเป็นส่วนตัวให้ครอบคลุม
- ขอความยินยอมแยกตามวัตถุประสงค์
- สร้างช่องทางให้เจ้าของข้อมูลใช้สิทธิได้จริง
- แต่งตั้ง DPO หากเข้าข่าย
- ทำ Privacy Impact Assessment (PIA) สำหรับระบบใหม่
- ใช้มาตรฐาน ISO 27701 ช่วยในการจัดการระบบ (PIMS)
สรุป: PDPA & GDPR ต่างกันแต่เป้าหมายเหมือนกัน
ทั้ง PDPA และ GDPR มีเป้าหมายเดียวกัน คือ “การคุ้มครองสิทธิของเจ้าของข้อมูล”
การปฏิบัติตามไม่ใช่แค่เรื่องของกฎหมาย แต่เป็น กลยุทธ์สร้างความเชื่อมั่นและความยั่งยืนของธุรกิจ