Knowledge Base

GDPR คืออะไรและมีผลกับธุรกิจในประเทศไทยหรือไม่?

GDPR คืออะไรและมีผลกับธุรกิจในประเทศไทยหรือไม่ กฎหมายนี้กำหนดอะไร ครอบคลุมใครบ้าง เกี่ยวข้องกับ PDPA อย่างไร และควรเตรียมตัวอย่างไร

ออกแบบและพัฒนาเว็บไซต์ What is / explanation อ่าน 5 นาที

General Data Protection Regulation (GDPR) คือกฎหมายของสหภาพยุโรปที่กำกับดูแลวิธีที่องค์กรเก็บรวบรวม จัดเก็บ และประมวลผลข้อมูลส่วนบุคคลของผู้ที่อาศัยอยู่ในสหภาพยุโรป มีผลบังคับใช้เมื่อเดือนพฤษภาคม 2018 และมีขอบเขตนอกอาณาเขต (extraterritorial) หมายความว่าใช้บังคับกับทุกองค์กรที่ประมวลผลข้อมูลของผู้อยู่อาศัยในสหภาพยุโรป ไม่ว่าองค์กรนั้นจะตั้งอยู่ที่ใด ธุรกิจในประเทศไทยที่มีผู้เข้าชมเว็บไซต์ ลูกค้าเป้าหมาย หรือลูกค้าจากสหภาพยุโรป อาจอยู่ในขอบเขตของกฎหมายนี้

GDPR กำหนดอะไรบ้าง?

GDPR กำหนดหน้าที่หลักหลายประการสำหรับองค์กรที่ประมวลผลข้อมูลส่วนบุคคล ข้อกำหนดสำคัญ ได้แก่:

  • ต้องมีฐานทางกฎหมาย (lawful basis) สำหรับการประมวลผลข้อมูลทุกประเภท ไม่ว่าจะเป็นความยินยอม ประโยชน์อันชอบธรรม ความจำเป็นตามสัญญา หรือหน้าที่ตามกฎหมาย
  • ต้องมีประกาศความเป็นส่วนตัว (privacy notice) ที่ชัดเจนและใช้ภาษาที่เข้าใจง่าย อธิบายว่าเก็บข้อมูลอะไรและเพราะเหตุใด
  • ต้องเคารพสิทธิของบุคคล รวมถึงสิทธิในการเข้าถึงข้อมูลของตน แก้ไขข้อมูล หรือขอให้ลบข้อมูล
  • ต้องแจ้งเหตุการละเมิดข้อมูล (data breach) ต่อหน่วยงานกำกับดูแลภายใน 72 ชั่วโมงหลังจากพบเหตุ
  • ต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer หรือ DPO) สำหรับองค์กรบางประเภท รวมถึงองค์กรที่ประมวลผลข้อมูลอ่อนไหวในปริมาณมาก
Website showing a cookie consent banner asking the visitor to accept cookies
GDPR กำหนดให้ต้องมีฐานทางกฎหมายและความยินยอมที่ชัดเจนสำหรับการประมวลผลข้อมูล โดยแบนเนอร์ขอความยินยอมคุกกี้ (cookie-consent banner) เป็นตัวอย่างที่เห็นได้ชัดที่สุดบนเว็บไซต์

GDPR มีผลกับธุรกิจในประเทศไทยหรือไม่?

ธุรกิจที่ตั้งอยู่ในประเทศไทยจะอยู่ภายใต้ GDPR หากเสนอสินค้าหรือบริการแก่บุคคลในสหภาพยุโรป หรือติดตามพฤติกรรมของบุคคลในสหภาพยุโรป การมีเว็บไซต์ที่ผู้เข้าชมจากสหภาพยุโรปเข้าถึงได้และมีฟอร์มติดต่อ ไม่ได้ทำให้เกิดหน้าที่ตาม GDPR โดยอัตโนมัติ อย่างไรก็ตาม การทำการตลาดกับผู้อยู่อาศัยในสหภาพยุโรปอย่างจริงจัง การรับลูกค้าจากสหภาพยุโรป หรือการติดตามพฤติกรรมของพวกเขาผ่านเครื่องมือวิเคราะห์ข้อมูลหรือเครื่องมือโฆษณา มีแนวโน้มมากกว่าที่จะทำให้ธุรกิจไทยเข้าสู่ขอบเขตของกฎหมาย องค์กรที่ไม่แน่ใจในหน้าที่ของตนควรขอคำปรึกษาทางกฎหมายจากผู้เชี่ยวชาญด้าน GDPR

GDPR เกี่ยวข้องกับ PDPA ของไทยอย่างไร?

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ของไทย ซึ่งบังคับใช้มาตั้งแต่เดือนมิถุนายน 2022 อ้างอิงจาก GDPR อย่างมาก และมีหลักการหลักหลายอย่างร่วมกัน ได้แก่ ฐานทางกฎหมายสำหรับการประมวลผล ข้อกำหนดด้านความยินยอม สิทธิของเจ้าของข้อมูล และหน้าที่ในการแจ้งเหตุการละเมิด ธุรกิจที่ดำเนินงานในประเทศไทยและให้บริการลูกค้าในสหภาพยุโรปอาจต้องปฏิบัติตามทั้งสองฉบับพร้อมกัน เมื่อข้อกำหนดทับซ้อนกัน โดยทั่วไปมาตรฐานที่เข้มงวดกว่าจะมีผลเหนือกว่า ที่ Phoenix Media การติดตั้งโซลูชันบริหารความยินยอมที่ตอบโจทย์ทั้งข้อกำหนดของ GDPR และ PDPA ถือเป็นส่วนหนึ่งของการตั้งค่าระบบวิเคราะห์ข้อมูลและระบบติดตามให้ลูกค้าที่มีกลุ่มเป้าหมายในต่างประเทศ

ธุรกิจควรทำอย่างไรเพื่อเตรียมตัว?

จุดเริ่มต้นคือการทำความเข้าใจว่าคุณเก็บข้อมูลส่วนบุคคลอะไรบ้าง มาจากไหน และนำไปใช้ทำอะไร จากนั้นธุรกิจควรตรวจสอบนโยบายความเป็นส่วนตัว ทบทวนกลไกการขอความยินยอมคุกกี้บนเว็บไซต์ และตรวจสอบว่าเครื่องมือของบุคคลที่สาม เช่น Google Analytics และ Meta Pixel จัดการข้อมูลของผู้ใช้จากสหภาพยุโรปอย่างไร การปฏิบัติตาม GDPR ไม่ใช่สิ่งที่ทำเพียงครั้งเดียว: แนวปฏิบัติด้านข้อมูล ข้อตกลงกับผู้ให้บริการ และการตั้งค่าความยินยอม จำเป็นต้องได้รับการทบทวนทุกครั้งที่ธุรกิจหรือเครื่องมือที่ใช้มีการเปลี่ยนแปลง คำปรึกษาทางกฎหมายจากผู้เชี่ยวชาญที่มีคุณสมบัติเหมาะสมเป็นสิ่งจำเป็นสำหรับองค์กรที่ประมวลผลข้อมูลส่วนบุคคลของสหภาพยุโรปในระดับที่มีนัยสำคัญ