GDPR และ PDPA แตกต่างกันอย่างไร?

GDPR (General Data Protection Regulation) เป็นระเบียบข้อบังคับของกฎหมายในสหภาพยุโรปที่ว่าด้วยการคุ้มครองข้อมูลความเป็นส่วนตัวของประชาชนในกลุ่มประเทศสหภาพยุโรป (EU) และป้องกันการนำข้อมูลไปใช้โดยผิดกฎหมาย มีผลบังคับใช้ คือ วันที่ 25 พฤษภาคม 2561 รวมถึงมีการระบุถึงข้อบังคับในการถ่ายโอนข้อมูลส่วนบุคคลนอกเขต EU และ EEA ด้วย GDPR จึงสามารถใช้บังคับกับประเทศไทยได้ เมื่อมีการ ติดต่อ แลกเปลี่ยน รับส่งข้อมูลระหว่างประเทศไทยกับประเทศในสหภาพยุโรป

PDPA (Personal Data Protection Act) เป็นพระราชบัญญัติที่กำหนดไว้ใช้คุ้มครองข้อมูลส่วนบุคคลของประเทศไทย โดยมี GDPR เป็นกฎหมายต้นแบบในการเขียน โดยที่ PDPA จะมีข้อกำหนดที่น้อยกว่าและมีการมุ่งเน้นในการมอบภาระหน้าที่ให้กับผู้ควบคุมข้อมูลในการดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลตามมาตราการเพื่อรักษาสิทธิความเป็นส่วนตัวของข้อมูล ประกาศในราชกิจจานุเบกษา เมื่อวันที่ 27 พฤษภาคม 2562 และมีผลบังคับตั้งแต่ วันที่ 1 มิถุนายน 2565

ตามมาตราที่ 6 ใน พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ระบุไว้ว่า ข้อมูลส่วนบุคคล คือ ข้อมูลที่เกี่ยวข้องกับบุคคล ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรง หรือทางอ้อมก็ตาม ตัวอย่าง ของข้อมูลส่วนบุคคล เช่น ชื่อ นามสกุล เบอร์โทรศัพท์ อีเมลส่วนตัว ที่อยู่ปัจจุบัน เลขบัตรประชาชน เลขหนังสือเดินทาง เลขใบอนุญาตขับขี่ ประวัติการทำงาน ข้อมูลการศึกษา ข้อมูลด้านการเงิน ข้อมูลสุขภาพ ทะเบียนรถยนต์ โฉนดที่ดิน ทะเบียนบ้าน วันเดือนปีเกิด เชื้อชาติ น้ำหนักส่วนสูง รูปถ่าย ข้อมูลบนอินเทอร์เน็ตที่ระบุตัวตนได้ เช่น Username - password, GPS Location เป็นต้น

สำหรับข้อมูลที่ไม่สามารถระบุตัวตนของเจ้าของบุคคลได้ เช่น ข้อมูลของบริษัท อีเมลบริษัท ข้อมูลนิรนาม ข้อมูลผู้ตาย เลขทะเบียนบริษัท เบอร์โทรศัพท์บริษัท ที่อยู่สำนักงาน จะไม่ถือว่าเป็นข้อมูลส่วนบุคคล