กฎหมาย
PDPA (ประเทศไทย)
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 — กฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย ใช้กับทุกองค์กรที่ประมวลผลข้อมูลส่วนบุคคลของคนในประเทศไทย ไม่จำกัดขนาดบริษัทหรือประเทศที่จดทะเบียน
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือที่เรียกย่อว่า PDPA เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลหลักของประเทศไทย ได้แบบมาจาก GDPR ของยุโรปแต่ปรับให้เข้ากับบริบทกฎหมายไทย
ภาระหน้าที่หลักภายใต้ PDPA:
- ฐานทางกฎหมาย สำหรับทุกวัตถุประสงค์การประมวลผล (consent, สัญญา, หน้าที่ตามกฎหมาย, ประโยชน์สำคัญ, ประโยชน์สาธารณะ, ประโยชน์ที่ชอบด้วยกฎหมาย)
- สิทธิเจ้าของข้อมูล การเข้าถึง การแก้ไข การลบ การจำกัด การถ่ายโอน และการคัดค้าน
- Record of Processing Activities (ROPA) สำหรับทั้ง controllers และ processors
- การแจ้งเหตุละเมิด ภายใน 72 ชั่วโมงต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
- Cross-border transfer ต้องมี adequacy หรือ contractual safeguards
- Data Protection Officer ต้องมีสำหรับองค์กรที่ประมวลผลข้อมูลอ่อนไหวในระดับใหญ่หรือกิจกรรมหลักเกี่ยวข้องกับการ monitor ปกติ
ค่าปรับทางปกครองสูงสุด 5 ล้านบาทต่อกรณี บวกความรับผิดทางแพ่งไม่จำกัดและโทษทางอาญาสำหรับการละเมิดข้อมูลอ่อนไหว
ต่างจาก GDPR PDPA ไม่มีข้อยกเว้นสำหรับธุรกิจขนาดเล็ก และต้องมีเอกสารภาษาไทยสำหรับ notices และ consent ที่หันสู่ผู้บริโภค
Sources
- [2]Royal Thai Government. Personal Data Protection Act B.E. 2562 (2019). Ministry of Digital Economy and Society, Thailand, 2019. https://www.pdpc.or.th
- [2]Royal Thai Government. Personal Data Protection Act B.E. 2562 (2019). Ministry of Digital Economy and Society, Thailand, 2019. https://www.pdpc.or.th