PDPA (พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของไทย) คืออะไร? อภิธานศัพท์ AI, DX & Security พร้อมแผนภาพ

PDPA (Personal Data Protection Act) คือกฎหมายที่ควบคุมการเก็บรวบรวม การใช้ การจัดเก็บ และการโอนข้อมูลส่วนบุคคลในประเทศไทย ซึ่งเปรียบได้กับกฎหมายคุ้มครองข้อมูลของไทยที่มีลักษณะเทียบเท่า GDPR ของสหภาพยุโรป

สำหรับองค์กรที่ดำเนินธุรกิจในประเทศไทย การปฏิบัติตาม PDPA เป็นสิ่งที่หลีกเลี่ยงไม่ได้ กฎหมายฉบับนี้ซึ่งบังคับใช้อย่างเต็มรูปแบบแล้ว ครอบคลุมทุกองค์กรที่จัดการข้อมูลส่วนบุคคลภายในประเทศไทย ไม่เพียงแต่นิติบุคคลไทยเท่านั้น แต่ยังรวมถึงบริษัทต่างประเทศที่ประมวลผลข้อมูลของผู้พำนักอาศัยในไทยด้วย

เช่นเดียวกับ GDPR กฎหมายนี้กำหนดให้ต้องได้รับความยินยอมจากเจ้าของข้อมูล (Data Subject) ห้ามใช้ข้อมูลนอกเหนือจากวัตถุประสงค์ที่กำหนด และมีข้อบังคับให้แจ้งเหตุข้อมูลรั่วไหลภายใน 72 ชั่วโมง อย่างไรก็ตาม การตีความ Lawful Basis และกลไกการบังคับใช้มีความแตกต่างจาก GDPR ดังนั้นการที่องค์กรปฏิบัติตาม GDPR แล้วจึงไม่ได้หมายความว่าจะปฏิบัติตาม PDPA ได้โดยอัตโนมัติ

ในบริบทของการนำ AI มาใช้งาน ประเด็นสำคัญคือการจัดการข้อมูลส่วนบุคคลที่รวมอยู่ในข้อมูลสำหรับการฝึกโมเดล หากนำข้อมูลลูกค้ามาใช้ในการ Train โมเดล จำเป็นต้องระบุวัตถุประสงค์อย่างชัดเจนและได้รับความยินยอม นอกจากนี้ การเลือกวิธีการ Anonymization และ Pseudonymization ของข้อมูลยังเป็นประเด็นที่ต้องพิจารณาในเชิง Governance ด้วย

โทษปรับสำหรับการละเมิดสูงสุดอยู่ที่ 5 ล้านบาท ซึ่งแม้จะไม่สูงเท่า GDPR แต่เมื่อคำนึงถึง Reputation Risk แล้วก็ไม่ควรมองข้าม บริษัทญี่ปุ่นที่มีฐานการดำเนินงานในประเทศไทยจำเป็นต้องดำเนินการร่วมกับฝ่ายกฎหมายในพื้นที่

PDPA (พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของไทย)

คำศัพท์ที่เกี่ยวข้อง

กฎหมาย EU AI Act (กฎระเบียบปัญญาประดิษฐ์ของสหภาพยุโรป)

โทเค็น OIDC (OIDC Token)

ความรู้ด้าน AI (AI Literacy)

Let's discuss your needs

ความเป็นส่วนตัวโดยการแยกออกจากกัน (Privacy by Isolation)

ตัวแบ่งโทเค็น BPE (Byte-Pair Encoding Tokenizer)