29 ส.ค. 2022 เวลา 02:00 • ไอที & แก็ดเจ็ต
ความเหมือนและแตกต่างของ GDPR กับ PDPA ตอนที่ 3
1.3 ขอบเขตด้านวัตถุประสงค์
General Data Protection Regulation มาตรา 2, มาตรา 3, มาตรา 4, มาตรา 9 และมาตรา 26
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มาตรา 4, มาตรา 5 และมาตรา 26
GDPR กำหนดข้อมูลส่วนบุคคลเป็นข้อมูลที่เกี่ยวข้องโดยตรงหรือโดยอ้อมกับบุคคลใดคนหนึ่ง เฉพาะเจาะจง ข้อกำหนดที่เกี่ยวข้องกับข้อมูลบางประเภท และนำไปใช้ในการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคล มีการให้ข้อยกเว้นสำหรับการประมวลผลข้อมูลส่วนบุคคลซึ่งมีวัตถุประสงค์ทาง กฎหมาย, เพื่อการใช้ข้อมูลส่วนบุคคล, และสำหรับศิลปะและสื่อบางอย่าง
อย่างไรก็ตาม GDPR และ PDPA มี ความแตกต่างกันในด้านอื่น ๆ ของขอบเขตทางวัตถุประสงค์ GDPR ใช้กับ “การประมวลผล” ของข้อมูลส่วนบุคคล นิยามของ “การประมวลผล” ครอบคลุม “การ ดำเนินงานใด ๆ” บนข้อมูลส่วนบุคคล เช่น การรวบรวม การบันทึกข้อมูล องค์กร โครงสร้าง การจัดเก็บ การ ปรับตัว หรือการเปลี่ยนแปลง การเรียกคืน การปรึกษา การใช้ การเปิดเผยโดยการถ่ายทอด การเผยแพร่หรือ การให้บริการอื่น ๆ การจัดเรียง หรือการผสมผสาน การจำกัด การลบ หรือการทำลาย
ภายใน GDPR ได้นิยาม “ข้อมูลส่วนบุคคล” ว่าเป็น “ข้อมูลใด ๆ” ที่เกี่ยวข้องโดยตรงหรือโดยอ้อมกับ ที่ระบุหรือบุคคลที่ระบุตัวได้ GDPR ไม่ใช้ได้ไปยังข้อมูลส่วนบุคคลของผู้เสียชีวิต
และได้กำหนดหมวดหมู่พิเศษของข้อมูลส่วนบุคคลเป็นข้อมูลส่วนบุคคล (ข้อมูลส่วนบุคคลที่มีความอ่อนไหว) ที่เปิดเผยต้นกำเนิดทางเชื้อชาติ หรือเชื้อชาติ การเมือง ความคิดเห็น ความเชื่อทางศาสนาหรือปรัชญา หรือการค้า การเป็นสมาชิกสหภาพและการประมวลผลข้อมูลทางพันธุกรรมข้อมูลทางชีวภาพ ข้อมูลเกี่ยวกับสุขภาพ หรือข้อมูลเกี่ยวกับชีวิตทาง เพศของบุคคลธรรมดาหรือแนวโน้มทางเพศ
แต่ไม่รวมการประมวลผลจากการประยุกต์ใช้ข้อมูลส่วนบุคคลโดย บุคคลธรรมดาสำหรับใช้ส่วนตัวหรือใช้สำหรับภายในครัวเรือนเพราะเป็นการประมวลผลข้อมูลที่ไม่มีการ เชื่อมโยงกับกิจกรรมทางวิชาชีพหรือการค้า
PDPA ใช้กับ ‘การรวบรวม การใช้ หรือการเปิดเผยของข้อมูลส่วนบุคคล’ โดยผู้ควบคุมข้อมูลหรือผู้ ประมวลผลข้อมูล นิยาม ‘ข้อมูลส่วนบุคคล’ เป็น ‘ข้อมูลใด ๆ ที่เกี่ยวข้องกับบุคคล ซึ่งทำให้สามารถระบุตัวได้ ของบุคคลดังกล่าว ไม่ว่าจะเป็นทางตรงหรือทางอ้อม แต่ไม่ใช่รวมถึงข้อมูลของผู้เสียชีวิต’
แม้ว่า PDPA จะกำหนดหมวดหมู่ข้อมูลพิเศษ (ข้อมูลส่วนบุคคลที่มีความอ่อนไหว) มาตรา 26 กำหนดให้ได้รับความ ยินยอมอย่างชัดเจนสำหรับการรวบรวม ‘ข้อมูลส่วนบุคคลที่เกี่ยวข้องกับเชื้อชาติ เชื้อชาติต้นกำเนิด ความคิดเห็นทางการเมือง ศาสนา หรือปรัชญา ความเชื่อ พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ, ข้อมูลสหภาพ, ข้อมูลทางพันธุกรรม, ข้อมูลไบโอเมทริก หรือของข้อมูลใด ๆ ที่อาจส่งผลกระทบต่อข้อมูลที่เกี่ยวข้องในลักษณะเดียวกันกับที่ PDPC กำหนด’
รวมถึงไม่บังคับใช้กับการเก็บรวบรวม ใช้ เปิดเผย ข้อมูลส่วนบุคคลดังกล่าวเพื่อประโยชน์ส่วนบุคคลหรือกิจกรรมในครัวเรือนของบุคคลดังกล่าวเท่านั้น
PDPA ไม่ได้บังคับใช้ ‘การดำเนินงานของหน่วยงานภาครัฐที่มีหน้าที่ในการรักษารัฐความมั่นคง รวมถึงความมั่นคงทางการเงินของรัฐหรือประชาชน รวมถึงหน้าที่ด้านการป้องกันและการปราบปราม นิติวิทยาศาสตร์หรือการพิจารณาคดีและการพิพากษาคดีทางไซเบอร์ […] และการปฏิบัติงานของเจ้าหน้าที่ในกระบวนการทางกฎหมาย, ทางกฎหมายการดำเนินการและการฝากอสังหาริมทรัพย์ รวมถึงการดำเนินงาน ตามกระบวนการยุติธรรมทางอาญา’
PDPA กำหนดสถานการณ์การประมวลผลบางอย่างรวมถึงสำหรับ ‘บุคคลธรรมดาหรือนิติบุคคลที่ใช้หรือเผยข้อมูลส่วนบุคคลที่รวบรวมเฉพาะกิจกรรมของสื่อมวลชน ศิลปะชั้น เลิศ หรือวรรณกรรม ซึ่งมีเพียงในตามจรรยาบรรณวิชาชีพหรือเพื่อประโยชน์สาธารณะของประชาชน
GDPR ได้กำหนดข้อกำหนดสำหรับการประมวลผลที่เฉพาะเจาะจง รวมถึงการประมวลผลเพื่อ วัตถุประสงค์ด้านวารสารศาสตร์ และการแสดงออกทางวิชาการ ศิลปะ หรือวรรณกรรม ทั้งนี้ภายใน GDPR ไม่ได้มีการกล่าวถึงบริษัทเครดิตบูโรและการดำเนินกิจกรรมต่าง ๆ อันเกี่ยวกับบริษัทเครดิตบูโร
แตกต่างจาก PDPA รวมการดำเนินงานของข้อมูลที่ดำเนินการโดยบริษัทเครดิตบูโรและของบริษัท ตามที่กฎหมายควบคุม การดำเนินงานของธุรกิจเครดิตบูโร กล่าวคือ ขอบเขตการบังคับใช้ของ PDPA ครอบคลุมไปถึงบริษัทเครดิตบู โรและการดำเนินการใด ๆ อันเกี่ยวกับบริษัทเครดิตบูโรด้วย
GDPR ใช้ในการประมวลผลข้อมูลส่วนบุคคลโดยอัตโนมัติหรือไม่ก็ได้ แปลว่าถ้าข้อมูลเป็นส่วนหนึ่ง ของระบบการยื่นเอกสาร กรอกเอกสาร และไม่ได้บังคับใช้กับข้อมูลนิรนามซึ่งนิยามว่าเป็นข้อมูลที่ไม่เกี่ยวข้อง แก่บุคคลธรรมดาที่ระบุถึงตัวบุคคลหรือไม่ก็ได้หรือเพื่อข้อมูลส่วนบุคคลที่ทำให้ไม่ระบุชื่อในลักษณะดังกล่าว ว่าข้อมูลที่เกี่ยวข้องไม่สามารถระบุได้หรือไม่สามารถระบุได้อีกต่อไป ตลอดจน GDPR ไม่ได้ยกเว้นหน่วยงาน กฎหมายโดยเฉพาะ
แต่ PDPA ไม่ได้แยกแยะหรืออ้างอิงถึงข้อมูลส่วนบุคคลโดยอัตโนมัติและวิธีการ ประมวลผลที่ไม่ใช่การประมวลผล แม้ว่า PDPA จะกำหนดสิทธิในการร้องขอว่าข้อมูลส่วนบุคคลจะถูกทำเป็น ข้อมูลนิรนาม แต่ไม่ได้กำหนดอย่างเฉพาะเจาะจงว่าจะรวมถึงข้อมูลนิรนามที่มาจากแอปพลิเคชัน อีกทั้ง ขอบเขตของการบังคับใช้กฎหมายนั้นไม่มีการบังคับใช้กับ ‘สภาของตัวแทน วุฒิสภา และรัฐสภา
แหล่งอ้างอิง : Comparing privacy laws: GDPR v. Thai Personal Data Protection Act. เรียกใช้เมื่อ 13 สิงหาคม 2565 เข้าถึงได้จาก https://www.dataguidance.com/sites/default/files/gdpr_v_thailand_updated.pdf
โฆษณา