สวัสดีตัวเองและชาวโลกอีกรอบฮะ

จากครั้งที่แล้วที่คุยกันเรื่องกฎหมาย GDPR คราวนี้เป็นตาของกฎหมายไทยละฮะ นั่นคือ...

PDPA (Personal Data Protection Act)

กฎหมายตัวนี้ที่เป็นตัวล่าสุดในขณะนี้ ผ่านการอนุมัติแล้วนะฮะ ตั้งแต่วันที่ 28 กุมภาพันธ์ 2562 นี่เอง ส่วนใหญ่ก็คล้ายๆกันกับ GDPR นะฮะ แต่ต่างกันตรงที่

บทบาทของคน 2 กลุ่ม

1. Data controller
   เหมือนกันกับ GDPR ฮะ เค้ามีหน้าที่กำหนดว่าจะจัดการ ใช้งานและเปิดเผยข้อมูลส่วนไหน เรื่องอะไรบ้าง
2. Data Processor
   เป็นคนที่ทำหน้าที่ประมวลผลข้อมูล ตามข้อกำหนดของ Data controller ฮะ

ทีนี้ ตัว PDPA ไม่ได้นิยามเจ้าของข้อมูลหรือ Data owner เหมือน GDPR นะฮะ แต่มีนิยามของ "ข้อมูลส่วนตัว" เพิ่มมาหน่อยนึงว่า ไม่ให้รวมถึงข้อมูลของผู้ที่เสียชีวิตไปแล้ว

ขอบเขตของ PDPA

• การเก็บข้อมูล ใช้งาน และเปิดเผยภายในราชอาณาจักรไทย
• การเสนอสินค้า หรือบริการให้แก่ประชาชนในราชอาณาจักรไทย ไม่ว่าจะต้องจ่ายเงินหรือไม่
• การสอดส่องข้อมูลที่เกิดขึ้นในราชอาณาจักรไทย

การขอความยินยอม

กฎหมาย PDPA ไม่ได้กำหนดชัดเจนนะฮะ ว่าจะต้องเป็นอย่างไร แต่ได้บอกคร่าวๆเอาไว้ว่า

• ต้องแจ้งให้ลูกค้ารับทราบ
• ต้องเข้าใจง่าย
• ต้องไม่ทำให้กำกวม เข้าใจผิด
• ต้องให้ลูกค้าสามารถยกเลิก ตอนไหนก็ได้

ข้อยกเว้นของ PDPA

ตัว PDPA กำหนดข้อยกเว้นเอาไว้ ว่าเคสพวกนี้จะไม่ถูกบังคับใช้ฮะ

• การเก็บข้อมูลของตัวเอง เพื่อประโยชน์ของตัวเองหรือครอบครัว
• องค์กรของรัฐที่ทำหน้าที่เพื่อความปลอดภัยของรัฐ การคลัง ประชาชนและความปลอดภัยไซเบอร์
• สื่อมวลชน ศิลปกรรม และวรรณกรรมภายใต้กรอบจริยธรรมวิชาชีพ
• สภาผู้แทนราษฎร วุฒิสภา และรัฐสภา
• ระบบการสอบสวนคดี
• ระบบการตรวจสอบของธุรกิจเครดิต

นั่นแหละฮะ กฎหมาย PDPA ของไทย ทีนี้ ไม่ว่าเราจะอยู่ในยุโรป ไทย หรือประเทศไหนก็ควรรู้กฎหมายของแต่ละที่ และคำนึงถึงการออกแบบระบบด้วยนะฮะ เพราะกฎหมายเนี่ยก็เขียนออกมาเพื่อผลประโยชน์ทั้งสองฝ่ายแหละฮะ

อันนี้เป็นภาคสุดท้ายของซีรี่ส์ Data 4.0 แล้วนะฮะ ครั้งหน้าจะเป็นเรื่องไหน ก็ติดตามกันด้วยนะฮว๊าฟฟฟ

References:
https://www.biia.com/the-first-thailand-personal-data-protection-act-has-been-passed
https://jor8.coj.go.th/th/file/get/file/2019041180cf956c0796e216bd867e1797bf7341151859.pdf