สรุปทุกประเด็น PDPA กับ GDPR ต่างกันอย่างไร?

Pongsapak Jiravanit

3 years ago

บทความนี้ว่ากันด้วยเรื่องความแตกต่างของ PDPA กับ GDPR ว่า ขอบเขตการบังคับใช้กฎหมายและข้อแตกต่างของตัวกฎหมาย เพื่อให้ทุกคนได้เข้าใจ เรามาเริ่มกันที่ว่า ที่มาของกฎหมายกันก่อนนะครับ

PDPA (Personal Data Protection Act) คืออะไร

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือที่เรียกกันอย่างติดปากว่า PDPA เป็นกฎหมายที่ถูกออกแบบมาเพื่อกำหนดมาตราการและหน้าที่ขององค์กรต่าง ๆ ในการคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภคหรือผู้ใช้บริการ แม้ว่าประเทศไทยจะได้มีการออกกฎหมายนี้ภายหลังประเทศอื่น แต่การคุ้มครองข้อมูลส่วนบุคคลนั้นไม่ใช่เรื่องใหม่เลย หากพิจารณาดูแล้ว เราทุกคนก็คงต้องเคยเห็นผ่านตากันมาบ้าง เช่น การสมัครสมาชิกเว็บไซต์ต่าง ๆ หรือการให้ข้อมูลส่วนตัวแบบออฟไลน์ เช่น การยื่นใบสมัครงาน หรือการสมัครสมาชิกกับทางศูนย์การค้า ก็เกี่ยวข้องกับข้อมูลส่วนบุคคลอย่างเลี่ยงไม่ได้ และเป็นสิ่งที่ควรจะต้องได้รับการคุ้มครองภายใต้กฎหมาย โดยเฉพาะในปัจจุบันซึ่งข้อมูลส่วนบุคคลนั้นถือว่าเป็นสิ่งที่มีมูลค่าทางเศรษฐกิจ แม้ว่าจะมีการเลื่อนการบังคับใช้ PDPA ไปยังวันที่ 1 มิถุนายน 2565 เนื่องจากสถานการของโรคโควิด 19 ซึ่งทำให้องค์กรต่าง ๆ โดยเฉพาะภาคธุรกิจก็มีความตื่นตัวอย่างมากและมีการเตรียมพร้อมทั้งทางด้านการปฏิบัติและนโยบายเพื่อให้มีความสอดคล้องกันกับ PDPA

GDPR (General Data Protection Regulation) คืออะไร

สหภาพยุโรป หรือที่รู้จักกันโดยทั่วไปว่า EU ได้บังคับใช้กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลมาตั้งแต่เดือนพฤษภาคม 2561 ภายใต้ชื่อ GDPR ซึ่งเป็นกฎหมายที่มีอิทธิพลอย่างมากและส่งผลให้ประเทศหรือกลุ่มความร่วมมือระหว่างประเทศต่าง ๆ มีความตื่นตัวกับการคุ้มครองข้อมูลส่วนบุคคล และถือได้ว่าตัว GDPR เองก็เป็นกฎหมายต้นแบบของกฎหมายคุ้มครองข้อมูลส่วนบุคคลต่าง ๆ ทั่วโลก รวมไปถึง PDPA ของประเทศไทยหรือประเทศสิงคโปร์ด้วย จนถึงมีคำพูดที่ว่า “หากผ่าน GDPR ก็ถือว่าผ่าน PDPA ด้วย” อย่างไรก็ตามแม้ว่า GDPR จะถูกนำมาเป็นต้นแบบในการร่างกฎหมายคุ้มครองส่วนบุคคล กฎหมายของแต่ละประเทศย่อมมีความแตกต่างกันตามบริบทของเศรษฐกิจ สังคม ตลอดจนไปถึงวัฒนธรรม โดยที่ในบทความนี้จะพูดถึงความแตกต่างระกว่าง GDPR ของสหภาพยุโรป และ PDPA ของประเทศไทยในด้านต่าง ๆ

PDPA กับ GDPR แตกต่างกันอย่างไร?

1. ขอบเขตของบุคคลที่กฎหมายบังคับใช้

GDPR ได้วางแนวทางในการประมวลผลข้อมูลให้บังคับใช้ต่อบุคคลธรรมดาไม่ว่าจะสัญชาติใดหรือพำนักอยู่ที่ใด ในขณะที่ PDPA นั้นบังคับใช้ต่อเจ้าของข้อมูลที่อยู่ในประเทศไทยโดยไม่ได้กล่าวถึงเรื่องของสัญชาติหรือถิ่นที่อยู่ไว้อย่างชัดเจน

2. ขอบเขตการบังคับใช้ของกฎหมาย

PDPA ไม่ได้มีการแสดงให้เห็นความแตกต่างหรือกล่าวถึงวิธีการประมวลผลข้อมูลไม่ว่าจะเป็นการประมวลผลข้อมูลแบบอัตโนมัติหรือไม่ ในขณะที่การบังคับใช้ของ GDPR นั้นครอบคลุมไปจนถึงวิธีประมวลผลข้อมูลไม่ว่าจะเป็นไปโดนอัตโนมัติหรือไม่หากข้อมูลนั้นเป็นส่วนหนึ่งของระบบไฟล์ลิ้ง นอกจากนนี้ GDPR ยังไม่บังคับใช้ต่อ ข้อมูลนิรนาม และไม่ครอบคลุมไปยังการประมวลผลข้อมูลโดยองค์กรนิติบัญญัติเช่น สภาผู้แทนราษฎร วุฒิสภา หรือ รัฐสภา อีกด้วย

ข้อมูลนิรนาม (Anonymous Data) ข้อมูลที่ถูกทำให้ความเสี่ยงในการระบุถึงตัวเจ้าของข้อมูลน้อยจนแทบไม่ต้องให้ความสำคัญกับความเสี่ยงครับ

และแม้ว่า PDPA จะกล่าวถึงการให้สิทธิในการร้องขอให้ทำข้อมูลให้เป็นข้อมูลนิรนาม แต่ก็ไม่ได้กล่าวถึงกรณีที่ข้อมูล
นิรนามดังกล่าวนั้นไม่อยู่ภายใต้บังคับชอง PDPA ไว้อย่างชัดเจนและ PDPA ยังได้ยกเว้นการบังคับใช้ในกรณีของการประมวลผลข้อมูลโดยองค์กรนิติบัญญัตินั้นเช่น สภาผู้แทนราษฎร วุฒิสภา หรือ รัฐสภา ตลอดจนไปถึงคณะกรรมการที่แต่งตั้งโดยสภาผู้แทนราษฎร วุฒิสภา หรือ รัฐสภา ที่รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลภายใต้อำนาจหน้าที่ของคณะกรรมการนั้น ๆ นอกจากนี้ขอบเขตการยกเว้น PDPA ยังได้ครอบคลุมไปถึงการดำเนินการของข้อมูลต่าง ๆ ของบริษัทเครดิตบูโรด้วย

3. ความหมายของข้อมูลส่วนบุคคล และข้อมูลนิรนาม

ในขณะที่ GDPR ได้ระบุไว้ว่าข้อมูลออนไลน์ต่าง ๆ เช่น IP address, cookies และ รหัสบ่งชี้โดยใช้ความถี่ของคลื่นวิทยุ หรือ RFID ว่าเป็นข้อมูลส่วนบุคคล ในขณะที่ PDPA ไม่ได้มีการระบุไว้ว่าข้อมูลดังกล่าวเข้าข่ายการเป็นข้อมูลส่วนบุคคล ส่วนในด้านของข้อมูลนิรนามซึ่งเป็นข้อมูลที่ถูกทำให้ไม่สามารถระบุไปยังตัวตนของเจ้าของข้อมูลได้นั้น PDPA ได้วางหลักให้สิทธิในการขอให้ทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลนิรนามแต่ก็ไม่ได้กล่าวไว้อย่างชัดเจนว่าข้อมูลนิรนาม ๆ ไม่ได้อยู่ภายใต้บังคับของ PDPA ในขณะที่ GDPR จะไม่บังคับใช้กับข้อมูลที่ถูกทำให้นิรนาม

4. การบังคับใช้ต่อข้อมูลส่วนบุคคลของผู้เยาว์

PDPA ไม่ได้มีการระบุถึงความคุ้มครองพิเศษที่ให้แก่ข้อมูลสวนบุคคลของผู้เยาว์ที่ถูกใช้เพื่อวัตถุประสงค์ต่าง ๆ เช่น การตลาด หรือข้อมูลส่วนบุคคลที่ถูกจัดเก็บเพื่อบริการต่าง ๆ ที่ผู้เยาว์นั้นได้รับโดยตรง และไม่ได้กำหนดให้มีเงื่อนไขเพิ่มเติมสำหรับผู้ควบคุมข้อมูล (Data Controller) ในกรณีนี้อีกด้วย และในกรณีของความยินยอมในการให้ข้อมูลส่วนบุคคลที่มีความอ่อนไหว PDPA ก็ไม่ได้ระบุไว้ว่าผู้ควบคุมข้อมูลจะต้องทำการยืนยันว่าความยินยอมนั้นได้ให้โดยหรือได้รับการรับรองโดยผู้ปกครองของผู้เยาว์

ในด้านของ GDPR ที่ได้มองผู้เยาว์เป็นกลุ่มของบุคคลที่มีความอ่อนไหว ได้มีการคุ้มครองข้อมูลส่วนบุคคลของผู้เยาว์โดยเฉพาะ โดยเฉพาะอย่างยิ่งในกรณีที่ข้อมูลส่วนบุคคลของผู้เยาว์นั้นถูกใช้เพื่อวัตถุประสงค์ทางการตลาดหรือถูกเก็บไปเพื่อบริการต่าง ๆ ที่เสนอให้แก่ผู้เยาว์โดยตรง โดยเมื่อข้อมูลใด ๆ ได้มีการสื่อสารไปยังผู้เยาว์โดยตรงผู้ควบคุมข้อมูลจะต้องดำเนินมาตราการที่เหมาะสมเพื่อให้ข้อมูลที่เกี่ยวกับการประมวลผลข้อมูลของผู้เยาว์ที่ กระชับ โปร่งใส ที่อยู่ในรูปแบบที่เข้าใจและเข้าถึงง่าย โดยใช้ภาษาที่ชัดเจนและเรียบง่ายที่ผู้เยาว์สามารถทำความเข้าใจได้ และ GDPR ก็ยังได้กำหนดให้ผู้ควบคุมข้อมูลจะต้องใช้ความพยายามตามสมควรเพื่อยืนยันว่าความยินยอมของผู้เยาว์นั้นได้ถูกให้หรือได้รับการรับรองโดยผู้ปกครองของผู้เยาว์อีกด้วย

5. บันทึกการประมวลผลข้อมูล

ในส่วนของ PDPA ในมาตรา 40 (3) ได้กำหนดแค่เพียงว่าจะต้องจัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้ ตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด เพียงเท่านั้น

ในขณะที่ GDPRได้กำหนดรายการของข้อมูลต่าง ๆ ที่ผู้ประมวลผลข้อมูลจะต้องบันทึกลงในบันทึกการประมวลผลข้อมูล โดยจะต้องประกอบไปด้วย

ชื่อและรายละเอียดการติดต่อของผู้ประมวลผลข้อมูล
ประเภทของการประมวลผลข้อมูลที่กระทำการในนามของผู้ควบคุมข้อมูลแต่ละราย
การถ่ายโอนข้อมูลส่วนบุคลระหว่างประเทศตลอดไปจนถึงการระบุตัวตนของประเทศที่สามหรือองค์กรระหว่างประเทศนั้น ๆ และเอกสารที่ระบุการมาตราการรักษาความปลอดภัยที่นำมาใช้กับข้อมูลส่วนบุคคลดังกล่าว
คำอธิบายเป็นทั่วไปสำหรับมาตรการรักษาความปลอยภัยทางเทคนิคและทางองค์กรที่ถูกนำมาใช้

ประเด็นสำคัญในข้อพิจารณานี้ของ GDPR คือผู้ควบคุมข้อมูลจะต้องบันทึกการถ่ายโอนข้อมูลส่วนบุคลระหว่างประเทศโดยพร้อมทั้งระบุว่าเป็นประเทศใดหรือองค์กรระหว่างประเทศใดและเอกสารที่แสดงให้เห็นถึงมาตราการการคุ้มครองข้อมูลส่วนบุคคลที่นำมาใช้

สรุป ความแตกต่างระหว่าง PDPA กับ GDPR

โดยภาพรวมแล้วจะเห็นได้ว่าความแตกต่างระหว่าง PDPA กับ GDPR นั้นไม่ได้เป็นความแตกต่างที่เป็นสาระสำคัญ เพียงแต่ GDPR ได้กำหนดแนวทางต่าง ๆ รวมไปถึงรายการ รายละเอียดที่ชัดเจนเนื่องจากเป็นกฎหมายที่บังคับใช้แล้วเป็นระยะเวลาพอสมควรอีกทั้งครอบคลุมทั้งสหภาพยุโรปและองค์กรต่าง ๆ ที่มีการถ่ายโอนข้อมูลส่วนบุคคลเข้า-ออกสหภาพยุโรป ในอนาคตเมื่อ PDPA ของไทยถูกบังคับใช้อย่างเต็มรูปแบบย่อมต้องมีกฎหมายลูกและแนวทางปฏิบัติที่จัดทำโดยหน่วยงานที่มีอำนาจออกมาเพื่อยกระดับมาตราฐานของการคุ้มครองข้อมูลส่วนบุคคลของไทยต่อไป