15 ส.ค. 2022 เวลา 02:00 • ไอที & แก็ดเจ็ต
ความเหมือนและแตกต่างของ GDPR กับ PDPA ตอนที่ 1
สหภาพยุโรป (EU: European Union) ออกกฎหมายใหม่เพื่อปกป้องข้อมูลส่วนบุคคล กฎหมายฉบับ นี้มีชื่อว่า General Data Protection Regulation (GDPR) โดยมีผลบังคับใช้ในวันศุกร์ที่ 25 พฤษภาคม 2018 กฎหมายมีการเปลี่ยนแปลงข้อตกลงของบริษัทต่างๆ ในการจัดเก็บ, บันทึก และประมวลผลข้อมูล จำนวนมากที่มาจากประชากรที่อยู่ใน EU โดยมีการกำหนดให้เปิดเผยว่าข้อมูลที่บริษัทจะจัดเก็บไปมีอะไรบ้าง และจะนำข้อมูลดังกล่าวไปใช้ใครต่อหรือไม่
กฎหมายฉบับนี้จะมีผลบังคับใช้ใน 28 ประเทศ ได้แก่ กรีซ, โครเอเชีย, เช็กเกีย, ไซปรัส, เดนมาร์ก, เนเธอร์แลนด์, บัลแกเรีย, เบลเยียม, โปรตุเกส, โปแลนด์, ฝรั่งเศส, ฟินแลนด์, มอลตา, เยอรมนี, โรมาเนีย, ลักเซมเบิร์ก, ลัตเวีย, ลิทัวเนีย, สเปน, สโลวาเกีย, สโลวีเนีย, สวีเดน, สหราชอาณาจักร (อังกฤษ), ออสเตรีย, อิตาลี, เอสโตเนีย, ไอร์แลนด์ และฮังการี
ซึ่งทั้งหมดเป็นสมาชิกของ EU ซึ่งกฎหมายนี้ ไม่ได้มีผลกับบริษัทไอทีเท่านั้น แต่ยังมีกับผลผู้ให้บริการด้านสุขภาพ, คนขายประกัน, ธนาคาร และอีกหลาย บริษัทที่มีความเกี่ยวข้องกับข้อมูลส่วนบุคคลที่ความละเอียดอ่อนอย่างหลีกเลี่ยงไม่ได้
นั่นหมายความว่าบริษัท ที่อยู่ใน EU (รวมถึงสหราชอาณาจักรหรือ UK ที่ยังอยู่ใน EU ตอนนี้) ที่มีสถานะอยู่บนดิจิทัล มีสองทางเลือกได้ คือ ปฎิบัติตามกฎหมาย หรือเลือกรับโทษที่มีอัตราค่าปรับที่สูง
ผู้สังเกตการณ์เรื่องความเป็นส่วนตัว (Privacy) ชี้ว่าการเกิดประเด็นเรื่อง Cambridge Analytica กับ Facebook ในช่วงเดือนมีนาคมที่ผ่านมา ทำให้ผู้ใช้อินเทอร์เน็ตเริ่มตระหนักแล้วว่าทำไมต้องมีกฎหมาย GDPR ที่ประชาชนสามารถควบคุมการเข้าถึงข้อมูลส่วนตัวจากคนอื่น ๆ ได้มากขึ้น
ซึ่งกฎหมาย GDPR ถือเป็นสิ่งที่ สร้างผลกระทบครั้งใหญ่ต่อการเก็บข้อมูลที่จะกลายเป็นหลักฐานบนโลกออนไลน์ หรือ Digital Footprint ใน อนาคต และยังสร้างผลกระทบต่อวิธีการปกป้องข้อมูลจากผู้ใช้บริการและแอปต่าง ๆ (Jenpasit Puprasert, 2018) โดยประเด็นสำคัญของ GDPR มีมากมายหลายหลาก โดยผู้เขียนจะทยอยอธิบายเป็นตอน จึงอยากให้ผู้อ่านได้ติดตามจนตอนสุดท้าย และวันนี้เปิดด้วยความเหมือนและความแตกต่างในด้านขอบเขต
1.ขอบเขต
1.1 ขอบเขตของความเป็นส่วนตัว
General Data Protection Regulation มาตรา 3, มาตรา 4 (1)
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มาตรา 4, มาตรา 5, มาตรา 6 และมาตรา 37 (2)
GDPR ให้ความคุ้มครองบุคคลที่มีชีวิตในการเก็บรวบรวม เปิดเผย และใช้ข้อมูลส่วนบุคคล ซึ่งถูก ประมวลผลโดยผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูล โดยให้ความคุ้มครองเฉพาะบุคคลที่มีชีวิตเท่านั้น GDPR ไม่คุ้มครองไปถึงข้อมูลส่วนบุคคลของผู้ตาย ประเด็นนี้ถูกทิ้งไว้ให้ประเทศสมาชิกที่จะตราหรือบัญญัติกฎหมายคุ้มครองข้อมูลส่วนบุคคลให้แตกต่างจาก GDPR ได้
กล่าวคือ แม้ GDPR ไม่ได้ให้ความคุ้มครองครอบคุลมไปถึงข้อมูลส่วนบุคคลของผู้เสียชีวิต แต่ไม่ได้ห้ามให้ประเทศอื่น ๆ ที่นำเอาหลักการและสาระสำคัญของ GDPR ไปเป็นแม่แบบในการตราหรือบัญญัติกฎหมายต้องตรากฎหมายคุ้มครองส่วนบุคคลของประเทศตัวเองให้ไม่ครอบคลุมไปถึงข้อมูลส่วนบุคคลผู้เสียชีวิต
ดังนั้น ประเทศอื่น ๆ จะตรากฎหมายให้ความคุ้มครองข้อมูลส่วน บุคคลผู้เสียชีวิตหรือไม่ก็ได้ เหตุเพราะ GDPR ได้นิยามผู้ควบคุมข้อมูลว่าเป็น “บุคคลธรรมดาหรือนิติบุคคล เจ้าหน้าที่รัฐ หน่วยงาน หรือหน่วยงานอื่นที่เฉพาะส่วนตัวหรือร่วมกับผู้อื่นกำหนดวัตถุประสงค์และวิธีการประมวลผลข้อมูลส่วนบุคคล” นอกจากนี้ GDPR ยังได้นิยามกำหนดให้ผู้ประมวลผลข้อมูลส่วนบุคคลเป็น “บุคคลธรรมดาหรือนิติบุคคล เจ้าหน้าที่รัฐกำหนดให้ผู้ประมวลผลข้อมูลเป็น หน่วยงานหรือหน่วยงานอื่นที่ ประมวลผลข้อมูลส่วนบุคคลในนามของผู้ควบคุม”
PDPA จึงมีความคล้ายคลึงกับ GDPR ประเด็นปกป้องคุ้มครองเฉพาะบุคคลที่มีชีวิตและไม่รวมข้อมูลที่เกี่ยวข้องกับผู้เสียชีวิตอย่างชัดเจน บุคคลในนิยามของข้อมูลส่วนบุคคล PDPA กำหนดผู้ควบคุมข้อมูลเป็น บุคคลธรรมดาหรือนิติบุคคลซึ่งปฏิบัติงานเกี่ยวกับการรวบรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคล
และกำหนดผู้ประมวลผลข้อมูลส่วนบุคคลเป็นบุคคลธรรมดาหรือนิติบุคคลซึ่งปฏิบัติงานเกี่ยวกับการรวบรวม การ ใช้ หรือการเปิดเผยข้อมูลส่วนบุคคลตามให้กับคำสั่งที่ผู้ควบคุมข้อมูลให้หรือในนามของผู้ควบคุมข้อมูลโดย บุคคลดังกล่าวไม่ใช่ผู้ควบคุมข้อมูล
อย่างไรก็ดีแม้ PDPA จะมีการกล่าวถึงเจ้าของข้อมูลส่วนบุคคลตลอดทั้งตัว บท แต่ไม่ได้ให้คำนิยามถึงเจ้าของข้อมูลส่วนบุคคล เพียงแต่นิยามคำว่าข้อมูลส่วนบุคคลเอาไว้
ซึ่ง GDPR มีข้อแตกต่างจาก PDPA ของไทยคือ PDPA ไม่บังคับใช้กับหน่วยงานภาครัฐที่รักษาความ มั่นคงของรัฐ รวมถึงความมั่นคงทางการเงินของ ความปลอดภัยของรัฐหรือสาธารณะ รวมถึงหน้าที่อันมีความ เคารพในการป้องกันและปราบปราม การฟอกเงิน นิติวิทยาศาสตร์ หรือความมั่นคงทางไซเบอร์
ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่อยู่ในราชอาณาจักรหรือนอกราชอาณาจักรถ้ามีการดำเนินกิจกรรมเสนอขายสินค้าหรือบริการแก่เจ้าของข้อมูลซึ่งอยู่ในราชอาณาจักรไม่ว่าจะมีการชำระเงิน หรือไม่ และมีการเฝ้าติดตามพฤติกรรมของเจ้าของข้อมูลส่วนบุคคลที่เกิดขึ้นในราชอาณาจักร ข้อมูลเช่นว่านี้ รวมไปถึงข้อมูลในรูปแบบดิจิทัลและรูปแบบกระดาษ
แตกต่างจาก GDPR ที่บังคับใช้กับผู้ควบคุมข้อมูลและผู้ ประมวลผลข้อมูลที่เป็นหน่วยงานรัฐ และกำหนดว่า ‘ควรใช้กับบุคคลธรรมดา’ ไม่ว่าสัญชาติ สถานที่พักอาศัย จะเป็นอย่างไร หรือความสัมพันธ์กับการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
สำหรับตอนต่อไปผู้เขียนจะกล่าวถึงขอบเขตด้านดินแดนอันเป็นเรื่องพื้นฐานที่ผู้อ่านควรทำความเข้าใจ จึงไม่ควรพลาดการติดตามซีรีส์นี้
แหล่งอ้างอิง : Comparing privacy laws: GDPR v. Thai Personal Data Protection Act. เรียกใช้เมื่อ 13 สิงหาคม 2565 เข้าถึงได้จาก https://www.dataguidance.com/sites/default/files/gdpr_v_thailand_updated.pdf
ICO. Information Commissioner’s Office. (2561). Data protection officers [Electronic version] Guide to the General Data Protection Regulation (GDPR). เรียกใช้เมื่อ 13 สิงหาคม 2565 จาก ICO. Information Commissioner’s Office.
Jenpasit Puprasert. (28 May 2018). กฎหมาย GDPR คืออะไร? ตอบทุกข้อสงสัยที่คนใช้อินเทอร์เน็ตทั่ว โลกต้องรู้. เข้าถึงได้จาก Techsauce: https://techsauce.co/tech-and-biz/what-is-gdpr-euprivacy-regulation
โฆษณา