กฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ Thai PDPA Law ได้ถูกประกาศใช้ตั้งแต่เดือนพฤษภาคม 2562 และจะมีผลบังคับใช้ในวันที่ 27 พฤษภาคม 2563 

ทาง Davoy.tech จะสรุปสาระสำคัญที่ได้จาก Workshop ของทาง ETDA มาให้ค่ะ

ใจความสำคัญของกฎหมายคุ้มครองข้อมูลส่วนบุคคล

1) มีความครอบคลุมทั้งหน่วยงานภาครัฐและเอกชน ซึ่งจุดนี้จะแตกต่างจากกฏหมายของหลายๆประเทศที่ครอบคลุมเฉพาะภาคเอกชนเท่านั้น กลไกของกฏหมายฉบับนี้คือค่าปรับหากมีการละเมิด (แต่ก็มีโทษจำคุกด้วยเช่นกัน)

2) กฎหมายคุ้มครองข้อมูลส่วนบุคคล ฉบับนี้ได้ยึดแนวทางมาจากกฎหมาย GDPR ของทางยุโรป ซึ่งหากทางบริษัทไหนได้ทำตาม GDPR แล้ว อาจจะต้องปรับตัวไม่มาก โดยหลักการคือ 
– ต้องมีความโปร่งใส
– มีการประมวลผลข้อมูลอย่างถูกต้องตามกฎหมาย
– ผู้ที่เป็นเจ้าของข้อมูล สามารถเข้าถึงและกำหนดข้อมูลของตัวเองได้

3) กฎหมายนี้มีขอบเขตการคุ้มครองนอกเหนือจากประเทศไทย ตราบใดที่ยังเป็นข้อมูลของบุคคลที่อยู่ในประเทศไทย

4) กฎหมายฉบับนี้ใช้หลักการว่า องค์กรขนาดใหญ่จะต้องมีความรับผิดชอบมากกว่าองค์กรขนาดเล็ก เช่น บริษัทใหญ่จะต้องมีการรักษาความปลอดภัยของข้อมูลมากกว่า

อะไรคือข้อมูลส่วนบุคคล?

ข้อมูลส่วนบุคคลมีอยู่สองระดับ 

• Personal Data – ข้อมูลที่จะระบุถึงตัวตน ไม่ว่าจะทางตรงหรือทางอ้อม เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ ฯลฯ
• Sensitive Personal Data  – ข้อมูลที่มีความอ่อนไหวมากขึ้น เช่น สัญชาติ เชื้อชาติ ศาสนา ฯลฯ

กฎหมายนี้ให้ความสำคัญกับ sensitive personal data มากกว่า personal data.

ฝ่ายที่เกี่ยวข้องกับ PDPA

• Data Controller  เป็นฝ่ายที่คอยเก็บและดูแลข้อมูล และกำหนดมาตรการรักษาความปลอดภัยของข้อมูล ต้องแจ้ง PDPC หากมีการละเมิดเกิดขึ้น
• Data Processor  เป็นฝ่ายประมวลผลข้อมูล ต้องแจ้ง Data controller หากมีการละเมิดเกิดขึ้น
• Data Protection Officer (DPO) เป็นเจ้าหน้าที่ในบริษัทขนาดใหญ่ สำหรับเจ้าหน้าที่รัฐในการติดต่อ 

ขอขอบคุณข้อมูลจาก https://www.etda.or.th/content/governance-of-next-gen-technologies-big-data-ai-and-pdpa-in-e-commerce.htm