กฎหมาย PDPA พ.ร.บ. ข้อมูลส่วนบุคคล 3 ประเทศในเอเชีย ต่างกันอย่างไร ?
กฎหมาย PDPA พ.ร.บ. ข้อมูลส่วนบุคคล ในประเทศไทยประกาศใช้อย่างเต็มรูปเเบบไปเเล้ว มาเปรียบเทียบกับประเทศในเอเชีย ที่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลว่าต่างกันอย่างไร ?
วันที่ 1 มิถุนายน 65 ที่ผ่านมมเป็นวันแรกของการเริ่มต้นใช้ กฎหมาย PDPA หรือ “พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 2562” จุดเริ่มต้นสำคัญที่ทุกคน รวมถึงหน่วยงานทุกองค์กร ต้องให้ความสำคัญกับ “ข้อมูลส่วนบุคคล” ไม่ว่าจะเป็นการรวบรวมข้อมูล การจัดเก็บ หรือแม้แต่การเปิดเผยข้อมูลต่าง ๆ เพื่อไม่ให้กระทบต่อสิทธิส่วนบุคคลตามกฎหมายนี้
ขณะที่ ดีอีเอส ย้ำกฎหมาย PDPA มีไว้เพื่อปกป้องสิทธิเสรีภาพ แต่เปิดเผยข้อมูลสาธารณะหรือเรื่องที่เจ้าตัวยินยอมได้ ขณะที่การถ่ายรูปติดคนอื่นถ้าไม่ทำให้เสียหายถือว่าไม่ผิด
ฝั่งของ EU ที่มีการออก กฎหมาย GDPR มีสาระสำคัญ คือ บริษัทธุรกิจที่จัดเก็บและจัดการข้อมูลส่วนบุคคลของพลเมืองสหภาพยุโรปจะต้องเพิ่มมาตรการปกป้องข้อมูลต่าง ๆ นอกจากนี้ในกฎหมายกำหนดไว้ว่า ข้อมูลเหล่านี้จะไม่สามารถนำไปใช้ในเชิงพาณิชย์ได้ หากไม่ได้รับความยินยอมจากเจ้าของข้อมูล
การละเมิดกฎระเบียบนี้อาจถูกปรับเป็นจำนวนเงินค่อนข้างสูง และกฎหมายนี้จะมีผลยังคับใช้ปกป้องข้อมูลพลเมืองสหภาพยุโรปไม่ว่าจะอยู่ที่ใดในโลกนี้ และแม้ว่าบริษัทธุรกิจดังกล่าวจะไม่ได้ตั้งอยู่ในสหภาพยุโรปก็ตาม
ขณะที่ในแถบเอเชีย โดยเฉพาะในประเทศญี่ปุ่น สิงคโปร์ และประเทศไทยก็มีการออกกฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือ PDPA ขึ้นมา เปรียบเทียบกฎหมาย PDPA พ.ร.บ. ข้อมูลส่วนบุคคล 3 ประเทศในเอเชีย ต่างกันอย่างไร ?
ประเทศญี่ปุ่น
- กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่น เรียกว่า Act on the Protection of Personal Information: APPI
- บังคับใช้กับผู้ประกอบธุรกิจทั้งหมด ที่มีการเก็บข้อมูลส่วนบุคคล
- ประกาศใช้ในปี 2546 และประกาศใช้อย่างเต็มรูปแบบทุกภาคส่วนในปี 2548
- ปี 2562 ทาง EU รับรองมาตรฐานการคุ้มครองข้อมูลกับประเทศญี่ปุ่น ให้สามารถถ่ายโอนข้อมูลส่วนตัวระหว่างสองเขตเศรษฐกิจได้อย่างอิสระ ช่วยให้มาตรฐานการคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่นสูงขึ้น เพิ่มขีดความสามารถในการแข่งขันและการทำธุรกิจ
กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่น
- มีมาตรการป้องกันไม่ให้สามารถระบุตัวตนได้
- ข้อมูลส่วนบุคคลทุกประเภทจะต้องได้รับการคุ้มครอง
- เจ้าของข้อมูลมีสิทธิในการตรวจสอบ การแก้ไขข้อมูล การไม่ยินยอมให้ประมวลผล
- คุ้มครองข้อมูลละเอียดอ่อน (sensitive data)
ประเทศสิงคโปร์
- ตราพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล หรือ Personal Data Protection Act: PDPA ตั้งแต่ปี 2555 และมีการบังคับใช้อย่างเต็มรูปแบบในปี 2556
- ตั้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของสิงคโปร์ หรือ PDPC ให้คำปรึกษา รวมถึงให้ความช่วยเหลือตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคล ช่วยสร้างความตระหนักให้เห็นถึงความสำคัญของข้อมูลส่วนบุคคลและการปกป้องข้อมูลเหล่านั้นอย่างเต็มที่
ตราพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ประเทศสิงคโปร์
- บังคับใช้เฉพาะภาคเอกชนเท่านั้น
- การขอความยินยอม ในการจัดเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เป็นการขอความยินยอมเฉพาะจุดประสงค์และความยินยอม เฉพาะที่เจ้าของข้อมูลให้การอนุญาต
- คุ้มครองข้อมูลส่วนบุคคลต้องคำนึงถึงความต้องการในการปกป้องความเป็นส่วนตัวของบุคคลและความต้องการขององค์กรในการนำข้อมูลเพื่อวัตถุประสงค์ที่ชอบด้วยกฎหมาย
- ให้ความคุ้มครองข้อมูลทั้งที่มีการจัดเก็บในรูปแบบอิเล็กทรอนิกส์และไม่ใช่อิเล็กทรอนิกส์
ประเทศไทย
- ประกาศพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล หรือ Personal Data Protection Act: PDPA ในปี 2562 และมีการประกาศใช้อย่างเต็มรูปแบบเมื่อวันที่ 1 มิถุนายน 2565 คุ้มครองครอบคลุมทั้งภาครัฐและเอกชน
- ปกป้องข้อมูลของผู้ใช้งานให้มีความปลอดภัย ไม่ทำให้ข้อมูลหลุดออกไปโดยไม่ได้รับอนุญาต
- เพิ่มขีดจำกัดในการทำธุรกิจระหว่างภาคเอกชนด้วยกันเอง รวมถึงภาคประชาชน จะได้เกิดความมั่นใจในการให้ข้อมูลส่วนบุคคลเพื่อนำไปใช้งาน
PDPA ประเทศไทย
- คุ้มครองข้อมูลส่วนบุคคลที่เป็นข้อมูลที่ทำให้สามารถระบุตัวตนของบุคคลนั้น ๆ ได้ทั้งทางตรงและทางอ้อม
- คุ้มครองข้อมูลส่วนบุคคลที่มีความอ่อนไหว
- คุ้มครองข้อมูลทั้งที่มีการจัดเก็บในรูปแบบอิเล็กทรอนิกส์และไม่ใช่อิเล็กทรอนิกส์
- เจ้าของข้อมูลสามารถขอเข้าถึงข้อมูลส่วนบุคคล แก้ไขข้อมูลให้เป็นปัจจุบัน และถอนความยินยอมได้ตลอดเวลา
- เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ให้คำแนะนำ ตรวจสอบ และประสานงานกับองค์กรเป็นหลัก
อ้างอิงข้อมูล : กรมการค้าต่างประเทศ