GDPR

General Data Protection Regulation (GDPR) คือกฎหมายคุ้มครองข้อมูลส่วนบุคคลหลักของสหภาพยุโรป บังคับใช้ตั้งแต่พฤษภาคม 2018 มีผลกับทุกองค์กรที่ประมวลผลข้อมูลส่วนบุคคลของคนใน EU — รวมถึงองค์กรนอก EU ที่เสนอสินค้าหรือบริการแก่ผู้พำนักใน EU (extraterritorial scope)

หลักการสำคัญ:

• ฐานทางกฎหมาย จำเป็นสำหรับทุกกิจกรรมประมวลผล
• Purpose limitation — ข้อมูลที่เก็บเพื่อวัตถุประสงค์หนึ่งใช้ใหม่ไม่ได้ถ้าไม่มีฐานใหม่
• Data minimization — เก็บเฉพาะที่จำเป็น
• Accuracy — ข้อมูลต้องถูกต้องและทันสมัย
• Storage limitation — เก็บเฉพาะตามที่จำเป็น
• Integrity และ confidentiality — มาตรการทางเทคนิคและองค์กรที่เหมาะสม
• Accountability — controllers ต้องสามารถพิสูจน์การปฏิบัติตามได้

ภาระหน้าที่หลักรวมถึงการแจ้ง breach 72 ชั่วโมง, Data Protection Impact Assessments บังคับสำหรับการประมวลผลความเสี่ยงสูง และสิทธิในการ portability ของข้อมูล

ค่าปรับสูงสุดคือมากกว่าของสองอย่าง: 20 ล้านยูโร หรือ 4% ของรายได้ประจำปีระดับโลก การบังคับใช้เข้มข้นและมีการปรับ tech companies ระดับโลกเป็นเงินก้อนใหญ่

GDPR เป็นต้นแบบความคิดของ PDPA ของไทย ทั้งสองสอดคล้องกันใกล้ชิดแต่ PDPA ปรับเข้ากับบริบทกฎหมายไทยและรวมข้อกำหนดเรื่องภาษาไทย