กฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ Thai PDPA Law ได้ถูกประกาศใช้ตั้งแต่เดือนพฤษภาคม 2562 และจะมีผลบังคับใช้ในวันที่ 27 พฤษภาคม 2563
ทาง Davoy.tech จะสรุปสาระสำคัญที่ได้จาก Workshop ของทาง ETDA มาให้ค่ะ
ใจความสำคัญของกฎหมายคุ้มครองข้อมูลส่วนบุคคล
1) มีความครอบคลุมทั้งหน่วยงานภาครัฐและเอกชน ซึ่งจุดนี้จะแตกต่างจากกฏหมายของหลายๆประเทศที่ครอบคลุมเฉพาะภาคเอกชนเท่านั้น กลไกของกฏหมายฉบับนี้คือค่าปรับหากมีการละเมิด (แต่ก็มีโทษจำคุกด้วยเช่นกัน)
2) กฎหมายคุ้มครองข้อมูลส่วนบุคคล ฉบับนี้ได้ยึดแนวทางมาจากกฎหมาย GDPR ของทางยุโรป ซึ่งหากทางบริษัทไหนได้ทำตาม GDPR แล้ว อาจจะต้องปรับตัวไม่มาก โดยหลักการคือ
– ต้องมีความโปร่งใส
– มีการประมวลผลข้อมูลอย่างถูกต้องตามกฎหมาย
– ผู้ที่เป็นเจ้าของข้อมูล สามารถเข้าถึงและกำหนดข้อมูลของตัวเองได้
3) กฎหมายนี้มีขอบเขตการคุ้มครองนอกเหนือจากประเทศไทย ตราบใดที่ยังเป็นข้อมูลของบุคคลที่อยู่ในประเทศไทย
4) กฎหมายฉบับนี้ใช้หลักการว่า องค์กรขนาดใหญ่จะต้องมีความรับผิดชอบมากกว่าองค์กรขนาดเล็ก เช่น บริษัทใหญ่จะต้องมีการรักษาความปลอดภัยของข้อมูลมากกว่า
อะไรคือข้อมูลส่วนบุคคล?
ข้อมูลส่วนบุคคลมีอยู่สองระดับ
- Personal Data – ข้อมูลที่จะระบุถึงตัวตน ไม่ว่าจะทางตรงหรือทางอ้อม เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ ฯลฯ
- Sensitive Personal Data – ข้อมูลที่มีความอ่อนไหวมากขึ้น เช่น สัญชาติ เชื้อชาติ ศาสนา ฯลฯ
กฎหมายนี้ให้ความสำคัญกับ sensitive personal data มากกว่า personal data.
ฝ่ายที่เกี่ยวข้องกับ PDPA
- Data Controller เป็นฝ่ายที่คอยเก็บและดูแลข้อมูล และกำหนดมาตรการรักษาความปลอดภัยของข้อมูล ต้องแจ้ง PDPC หากมีการละเมิดเกิดขึ้น
- Data Processor เป็นฝ่ายประมวลผลข้อมูล ต้องแจ้ง Data controller หากมีการละเมิดเกิดขึ้น
- Data Protection Officer (DPO) เป็นเจ้าหน้าที่ในบริษัทขนาดใหญ่ สำหรับเจ้าหน้าที่รัฐในการติดต่อ
ขอขอบคุณข้อมูลจาก https://www.etda.or.th/content/governance-of-next-gen-technologies-big-data-ai-and-pdpa-in-e-commerce.htm
Contact us
ติดต่อเราได้ที่ Email: lin@davoy.tech Phone: 081-428-8159 หรือ กรอกแบบฟอร์มด้านล่างและทีมงานจะติดต่อกลับไปค่ะ