What Thai people get from personal data protection law : comparable analysis with GDPR standards of the European union

Abstract

Nowadays, the trend of the infringement of personal information is increasing continuously, thus causing damage to the economy and societal networks all over the world. General Data Protection Regulation (GDPR) is mandatorily applicable to all countries that are trading partners with the European Union. Therefore, Ministry of Digital Economy and Society has recently enacted Privacy Protection Act BE 2562. According to obstacles to the business sector, many gaps existing the draft bill needed to be filled up and cordially aligned with the GDPR. In-depth interviews were conducted with 6 related professionals from six different fields including Medical, Banking, Online Trading, Export trading, Information Technology and Law, in order to analyze comparable benchmark GDPR by considering the basic concepts and intent of the standard, the conceptual framework and intention of GDPR to be consistent with Thai business sector and considering the fundamental rights in the Constitution of the Kingdom of Thailand BE 2560. The results showed that the bill will not ultimately support Thailand in global trading because of major issues that do not comply with the GDPR, including 1) The definition of personal data that is not explicitly stated, 2) Role as director of the state with absolute power, 3) Inconsistency with the relevant legislation; 4) Exceptions to the principle of consent and measures concerning the protection of personal data, 5) Criminal penalties and 6) Lack of good governance. IMPLICATION OF THESIS. This comparison benefits security and privacy professionals since the results can be used to ensure that their organization’s practices to be consistent with countries which they may exchange information.

แนวโน้มการละเมิดสิทธิในข้อมูลส่วนบุคคลเพิ่มมากขึ้นอย่างต่อเนื่องก่อให้เกิดความเสียหายต่อเศรษฐกิจและสังคมที่มีเครือข่ายทั่วโลก เกณฑ์มาตรฐานข้อมูลส่วนบุคคล (GDPR) ถูกบังคับใช้กับทุกประเทศทั่วโลกที่เป็นคู่ค้ากับสหภาพยุโรป กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมจึงได้ยกร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ผู้วิจัยจึงได้รวบรวบข้อมูลเกี่ยวกับข้อคิดเห็นจากทุกภาคส่วน โดยสัมภาษณ์เชิงลึกจากผู้ทรงคุณวุฒิจากหลายวิชาชีพที่เกี่ยวข้องจํานวน 6 ด้าน อันได้แก่ การแพทย์ การธนาคาร การค้าออนไลน์ การค้าส่งออก สารสนเทศ และกฎหมาย เพื่อทําการวิเคราะห์เทียบเคียงกับเกณฑ์มาตรฐาน GDPR โดยพิจารณากรอบแนวคิดพื้นฐานและเจตนารมณ์ของมาตรฐาน GDPR นี้ ให้สอดรับกับบริบทของภาคธุรกิจไทยเป็นสําคัญ และคํานึงถึงสิทธิขั้นพื้นฐานอันพึงมีที่ถูกบัญญัติไว้ในรัฐธรรมนูญแห่งราชอาณาจักรไทย พุทธศักราช 2560 ผู้วิจัยได้วิเคราะห์เปรียบเทียบแยกเป็น 6 ประเด็นที่ร่างพระราชบัญญัติฉบับนี้ แตกต่างจากเกณฑ์ GDPR ได้แก่ 1) นิยามของข้อมูลส่วนบุคคลที่ไม่ระบุแจ้งชัด 2) บทบาทการเป็นผู้กํากับของรัฐที่มีอํานาจเบ็ดเสร็จ 3) ความไม่สอดคล้องกับกฎหมายเดิมที่เกี่ยวข้อง 4) มีข้อยกเว้นหลักการขอความยินยอมและมาตรการต่าง ๆ เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล 5) มีการกําหนดโทษความผิดทางอาญา 6) ขาดระบบธรรมาภิบาลของหน่วยงานที่ดูแล ร่างพระราชบัญญัติฉบับนี้มิได้คํานึงถึงเกณฑ์ GDPR ซึ่งเป็นมาตรฐานสากล จึงมิได้เอื้ออํานวยให้ประเทศไทยก้าวสู่เวทีการค้าโลกได้. การนําผลของวิทยานิพนธ์ไปใช้. การเปรียบเทียบนี้ เป็นประโยชน์ต่อผู้เชี่ยวชาญด้านความปลอดภัยและความเป็นส่วนตัว เนื่องจากผลลัพธ์สามารถใช้เพื่อให้แน่ใจว่าการปฏิบัติขององค์กร ของพวกเขาสอดคล้องกับการแลกเปลี่ยนข้อมูลของประเทศนั้น ๆ หรือไม่