กฎหมาย PDPA พ.ร.บ. ข้อมูลส่วนบุคคล 3 ประเทศในเอเชีย ต่างกันอย่างไร ?

วันที่ 1 มิถุนายน 65 ที่ผ่านมมเป็นวันแรกของการเริ่มต้นใช้ กฎหมาย PDPA  หรือ “พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 2562” จุดเริ่มต้นสำคัญที่ทุกคน รวมถึงหน่วยงานทุกองค์กร ต้องให้ความสำคัญกับ “ข้อมูลส่วนบุคคล” ไม่ว่าจะเป็นการรวบรวมข้อมูล การจัดเก็บ หรือแม้แต่การเปิดเผยข้อมูลต่าง ๆ เพื่อไม่ให้กระทบต่อสิทธิส่วนบุคคลตามกฎหมายนี้

ขณะที่ ดีอีเอส ย้ำกฎหมาย PDPA มีไว้เพื่อปกป้องสิทธิเสรีภาพ แต่เปิดเผยข้อมูลสาธารณะหรือเรื่องที่เจ้าตัวยินยอมได้ ขณะที่การถ่ายรูปติดคนอื่นถ้าไม่ทำให้เสียหายถือว่าไม่ผิด

ฝั่งของ EU ที่มีการออก กฎหมาย GDPR มีสาระสำคัญ คือ บริษัทธุรกิจที่จัดเก็บและจัดการข้อมูลส่วนบุคคลของพลเมืองสหภาพยุโรปจะต้องเพิ่มมาตรการปกป้องข้อมูลต่าง ๆ นอกจากนี้ในกฎหมายกำหนดไว้ว่า ข้อมูลเหล่านี้จะไม่สามารถนำไปใช้ในเชิงพาณิชย์ได้ หากไม่ได้รับความยินยอมจากเจ้าของข้อมูล

การละเมิดกฎระเบียบนี้อาจถูกปรับเป็นจำนวนเงินค่อนข้างสูง และกฎหมายนี้จะมีผลยังคับใช้ปกป้องข้อมูลพลเมืองสหภาพยุโรปไม่ว่าจะอยู่ที่ใดในโลกนี้ และแม้ว่าบริษัทธุรกิจดังกล่าวจะไม่ได้ตั้งอยู่ในสหภาพยุโรปก็ตาม

ขณะที่ในแถบเอเชีย โดยเฉพาะในประเทศญี่ปุ่น สิงคโปร์ และประเทศไทยก็มีการออกกฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือ PDPA ขึ้นมา เปรียบเทียบกฎหมาย PDPA พ.ร.บ. ข้อมูลส่วนบุคคล 3 ประเทศในเอเชีย ต่างกันอย่างไร ?

ประเทศญี่ปุ่น

• กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่น เรียกว่า Act on the Protection of Personal Information: APPI
• บังคับใช้กับผู้ประกอบธุรกิจทั้งหมด ที่มีการเก็บข้อมูลส่วนบุคคล
• ประกาศใช้ในปี 2546 และประกาศใช้อย่างเต็มรูปแบบทุกภาคส่วนในปี 2548
• ปี 2562 ทาง EU รับรองมาตรฐานการคุ้มครองข้อมูลกับประเทศญี่ปุ่น ให้สามารถถ่ายโอนข้อมูลส่วนตัวระหว่างสองเขตเศรษฐกิจได้อย่างอิสระ ช่วยให้มาตรฐานการคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่นสูงขึ้น เพิ่มขีดความสามารถในการแข่งขันและการทำธุรกิจ

กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่น

• มีมาตรการป้องกันไม่ให้สามารถระบุตัวตนได้
• ข้อมูลส่วนบุคคลทุกประเภทจะต้องได้รับการคุ้มครอง
• เจ้าของข้อมูลมีสิทธิในการตรวจสอบ การแก้ไขข้อมูล การไม่ยินยอมให้ประมวลผล 
• คุ้มครองข้อมูลละเอียดอ่อน (sensitive data) 

ประเทศสิงคโปร์

• ตราพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล หรือ Personal Data Protection Act: PDPA ตั้งแต่ปี 2555 และมีการบังคับใช้อย่างเต็มรูปแบบในปี 2556
• ตั้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของสิงคโปร์ หรือ PDPC ให้คำปรึกษา รวมถึงให้ความช่วยเหลือตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคล ช่วยสร้างความตระหนักให้เห็นถึงความสำคัญของข้อมูลส่วนบุคคลและการปกป้องข้อมูลเหล่านั้นอย่างเต็มที่

ตราพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ประเทศสิงคโปร์

• บังคับใช้เฉพาะภาคเอกชนเท่านั้น
• การขอความยินยอม ในการจัดเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เป็นการขอความยินยอมเฉพาะจุดประสงค์และความยินยอม เฉพาะที่เจ้าของข้อมูลให้การอนุญาต
• คุ้มครองข้อมูลส่วนบุคคลต้องคำนึงถึงความต้องการในการปกป้องความเป็นส่วนตัวของบุคคลและความต้องการขององค์กรในการนำข้อมูลเพื่อวัตถุประสงค์ที่ชอบด้วยกฎหมาย
• ให้ความคุ้มครองข้อมูลทั้งที่มีการจัดเก็บในรูปแบบอิเล็กทรอนิกส์และไม่ใช่อิเล็กทรอนิกส์

ประเทศไทย

• ประกาศพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล หรือ Personal Data Protection Act: PDPA ในปี 2562 และมีการประกาศใช้อย่างเต็มรูปแบบเมื่อวันที่ 1 มิถุนายน 2565 คุ้มครองครอบคลุมทั้งภาครัฐและเอกชน
• ปกป้องข้อมูลของผู้ใช้งานให้มีความปลอดภัย ไม่ทำให้ข้อมูลหลุดออกไปโดยไม่ได้รับอนุญาต
• เพิ่มขีดจำกัดในการทำธุรกิจระหว่างภาคเอกชนด้วยกันเอง รวมถึงภาคประชาชน จะได้เกิดความมั่นใจในการให้ข้อมูลส่วนบุคคลเพื่อนำไปใช้งาน 

 PDPA ประเทศไทย

• คุ้มครองข้อมูลส่วนบุคคลที่เป็นข้อมูลที่ทำให้สามารถระบุตัวตนของบุคคลนั้น ๆ ได้ทั้งทางตรงและทางอ้อม
• คุ้มครองข้อมูลส่วนบุคคลที่มีความอ่อนไหว 
• คุ้มครองข้อมูลทั้งที่มีการจัดเก็บในรูปแบบอิเล็กทรอนิกส์และไม่ใช่อิเล็กทรอนิกส์
• เจ้าของข้อมูลสามารถขอเข้าถึงข้อมูลส่วนบุคคล แก้ไขข้อมูลให้เป็นปัจจุบัน และถอนความยินยอมได้ตลอดเวลา 
• เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ให้คำแนะนำ ตรวจสอบ และประสานงานกับองค์กรเป็นหลัก

อ้างอิงข้อมูล : กรมการค้าต่างประเทศ