GDPR (General Data Protection Regulation) และ PDPA (Personal Data Protection Act) เป็นกฎหมายที่มีจุดประสงค์คล้ายกันในการคุ้มครองข้อมูลส่วนบุคคล แต่มีความแตกต่างกันในรายละเอียดที่สำคัญ ดังนี้:
1. ขอบเขตการบังคับใช้GDPR เป็นกฎหมายของสหภาพยุโรป (EU) ที่มีผลบังคับใช้ตั้งแต่ปี 2018 ใช้กับองค์กรใน EU และองค์กรนอก EU ที่ประมวลผลข้อมูลส่วนบุคคลของบุคคลใน EU มีอิทธิพลระดับโลกเพราะบริษัทต่างประเทศหลายแห่งที่มีธุรกิจในยุโรปต้องปฏิบัติตาม
PDPA เป็นกฎหมายของประเทศไทย มีผลบังคับใช้เต็มรูปแบบตั้งแต่ปี 2022 ใช้กับองค์กรในประเทศไทยและองค์กรต่างประเทศที่ประมวลผลข้อมูลของบุคคลในประเทศไทย
2. นิยามข้อมูลส่วนบุคคลGDPR ครอบคลุมข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ เช่น ชื่อ อีเมล IP Address และข้อมูลทางชีวภาพ (เช่น ลายนิ้วมือ)
PDPA คล้ายคลึงกับ GDPR แต่มีการขยายขอบเขตไปถึง "ข้อมูลเฉพาะเจาะจง" เช่น ข้อมูลทางพันธุกรรมหรือข้อมูลทางสุขภาพ
3. ฐานทางกฎหมาย (Legal Basis)GDPR มี 6 ฐานในการประมวลผลข้อมูล เช่น การให้ความยินยอม สัญญา การปฏิบัติตามกฎหมาย
PDPA มีฐานคล้ายกับ GDPR แต่มีข้อยกเว้นเพิ่มเติม เช่น การปฏิบัติงานที่เกี่ยวข้องกับรัฐกิจหรือความมั่นคง
4. การให้ความยินยอม (Consent)GDPR ต้องได้รับความยินยอมที่ชัดเจนและสามารถเพิกถอนได้ การให้ความยินยอมต้องมาจากการกระทำที่ชัดแจ้ง เช่น การคลิก "ยอมรับ"
PDPA การให้ความยินยอมมีความเข้มงวดน้อยกว่าในบางกรณี เช่น การใช้ข้อมูลเพื่อประโยชน์สาธารณะ
5. บทลงโทษGDPR ค่าปรับสูงสุด 20 ล้านยูโร หรือ 4% ของรายได้ทั่วโลกของบริษัท แล้วแต่จำนวนใดสูงกว่า
PDPA ค่าปรับสูงสุด 5 ล้านบาท และอาจมีบทลงโทษทางแพ่งและอาญา
6. หน่วยงานกำกับดูแลGDPR แต่ละประเทศใน EU มีหน่วยงานกำกับดูแลของตนเอง (Data Protection Authority)
PDPA มีคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Committee) เป็นผู้กำกับดูแล
สรุปGDPR และ PDPA มีพื้นฐานที่คล้ายกันแต่มีความแตกต่างในด้านขอบเขตการบังคับใช้ รายละเอียดการปฏิบัติตาม และบทลงโทษ หากองค์กรของคุณต้องปฏิบัติตามทั้งสองกฎหมาย ควรปรับนโยบายการจัดการข้อมูลให้สอดคล้องกับข้อกำหนดทั้งสองเพื่อป้องกันความเสี่ยง.
