Thailand's Leading Premium Boutique Law Firm
Premium Boutique Law Firm in Thailand
John Formichella has advised the US Embassy in Thailand and Taiwan on TMT matters, and has been recognised as Band 1 in Chambers & Partners
The litigation and dispute resolution department has also won awards and is recognised by Legal 500 and Chambers as a leading firm. Led by partner M.L. Sritawat.
Our tier 1 TMT law firm, delivers expert data privacy advice, on PDPA and international privacy issues, as well as cybersecurity solutions, ensuring compliance and protection for businesses. Led by Partner Naytiwut Jamallsawat.
Our Real Estate practice is Led by Dr. Paul Crosio, who excels in navigating Thailand's complex land laws, advising on foreign ownership and ensuring compliance.
The diverse team come together with knowledge bases that complement each other, providing outstanding professional service.
Formichella & Sritawat have been recognised by the biggest names in the legal awards industry, including Chambers & Partners and Legal 500. Find out more about our award-winning practice
Formichella & Sritawat are Thailand's Premium Boutique Law Firm. With a core focus on niche areas including TMT and Dispute Resolution, with international recognition in our core areas.
Sign up to follow us on social media, and sign up for our newsletter of important roundups and mail blasts of key legal updates in Thailand.
Thai Language version available here: https://fosrlaw.com/2026/pdpa-ของประเทศไทยในระยะที่/ Many organizations continue to approach Thailand’s Personal Data Protection Act B.E. 2562 (2019) (PDPA) as a first-generation compliance exercise. The emphasis remains on privacy notices, consent wording, template clauses, and remediation projects undertaken during the … Read More
องค์กรจำนวนมากยังคงมองพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ผ่านกรอบความคิดของการปฏิบัติตามกฎระเบียบในระยะแรก โดยให้ความสำคัญกับประกาศความเป็นส่วนตัว การจัดทำคำยินยอม ข้อสัญญามาตรฐาน และโครงการปรับปรุงเอกสารที่ดำเนินการในช่วงเริ่มต้นของการบังคับใช้กฎหมาย อย่างไรก็ตาม กรอบความคิดดังกล่าวกำลังไม่เพียงพอมากขึ้นเรื่อย ๆ การเปลี่ยนแปลงนี้สะท้อนให้เห็นจาก “คลื่นแรก” ของการบังคับใช้ทางปกครองโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเมื่อวันที่ 1 สิงหาคม 2568 ซึ่งมีคำสั่งปรับทางปกครองจำนวน 8 คำสั่งใน 5 คดี รวมถึงการประกาศใช้ระเบียบคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ว่าด้วยการตรวจสอบและรับรองข้อบังคับภายในของนิติบุคคล (Binding Corporate Rules) พ.ศ. 2568 ซึ่งมีผลใช้บังคับเมื่อวันที่ 17 กุมภาพันธ์ 2569 ตลอดจนพัฒนาการด้าน AI ล่าสุด เช่น การเปิดรับฟังความคิดเห็นของสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (ETDA) ต่อร่างหลักการกฎหมายว่าด้วยปัญญาประดิษฐ์ และการรับฟังความคิดเห็นครั้งที่สองของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ต่อร่างแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลในการพัฒนาและใช้ประโยชน์จากปัญญาประดิษฐ์ ระหว่างวันที่ 13–19 มีนาคม 2569 PDPA ของประเทศไทยกำลังเข้าสู่ระยะที่สอง ซึ่งมีลักษณะสำคัญคือ การบังคับใช้กฎหมาย การกำกับดูแลเชิงปฏิบัติการ การกำกับดูแลข้อมูลข้ามพรมแดนในระดับองค์กร และการประยุกต์ใช้กฎหมายกับเทคโนโลยีเกิดใหม่ เช่น AI องค์กรไม่เพียงแต่ต้องมีเอกสารการปฏิบัติตามกฎระเบียบ แต่ยังต้องแสดงให้เห็นว่าภาระหน้าที่ด้านการคุ้มครองข้อมูลส่วนบุคคลสามารถดำเนินการได้จริงในทางปฏิบัติ คำถามสำคัญในปี 2569 จึงไม่ใช่อีกต่อไปว่าองค์กรมีเอกสารพื้นฐานด้าน PDPA ครบถ้วนหรือไม่ หากแต่เป็นว่าองค์กรสามารถดำเนินกรอบการกำกับดูแลข้อมูลส่วนบุคคลที่มีความน่าเชื่อถือได้จริงในทางปฏิบัติหรือไม่ ทิศทางดังกล่าวสอดคล้องกับพัฒนาการของกฎหมายคุ้มครองข้อมูลส่วนบุคคลในหลายเขตอำนาจศาล ซึ่งมักเริ่มต้นจากการปฏิบัติตามเชิงเอกสาร ก่อนพัฒนาไปสู่ความรับผิดชอบเชิงปฏิบัติการและการกำกับดูแลที่มีประสิทธิภาพ สำหรับ General Counsel เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) และทีมกำกับดูแลการปฏิบัติตามในระดับภูมิภาค ประเด็นสำคัญจึงชัดเจนว่า โครงการที่ออกแบบมาเพื่อรองรับเพียงการจัดทำเอกสารแบบสถิต อาจยังคงมุ่งแก้ไขโจทย์ของการปฏิบัติตามกฎระเบียบในอดีต สรุปประเด็นสำคัญ พัฒนาการล่าสุดของการปฏิบัติตาม PDPA ในประเทศไทยสะท้อนให้เห็นถึงการเปลี่ยนแปลงเชิงโครงสร้าง 5 ประการ ได้แก่ I. จากการปฏิบัติตามบนกระดาษสู่การกำกับดูแลเชิงปฏิบัติการ ระยะแรกของการนำ PDPA มาใช้ในประเทศไทยจำเป็นต้องขับเคลื่อนด้วยเอกสารองค์กรจำนวนมากจึงให้ความสำคัญกับสิ่งที่มองเห็นได้ เช่น ประกาศความเป็นส่วนตัวกลไกการขอความยินยอม แบบฟอร์มบันทึก ข้อตกลงกับผู้ประมวลผลข้อมูล และนโยบายภายใน ซึ่งยังคงเป็นองค์ประกอบพื้นฐานของการปฏิบัติตาม PDPA อย่างไรก็ตาม เมื่อกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศไทยพัฒนามากขึ้น จุดเน้นจึงเริ่มเปลี่ยนจาก “การมีเอกสาร” ไปสู่ “ความสามารถในการดำเนินการตามเอกสารดังกล่าวได้จริง” ความสนใจที่เพิ่มขึ้นต่อคำร้องขอใช้สิทธิของเจ้าของข้อมูล (Data Subject Requests) เป็นตัวอย่างที่ชัดเจน สิทธิของเจ้าของข้อมูลอาจดูตรงไปตรงมาในทางหลักการ แต่มีความซับซ้อนสูงในทางปฏิบัติ การตอบสนองอย่างมีประสิทธิภาพจำเป็นต้องอาศัยการประสานงานระหว่างฝ่ายกฎหมาย ทรัพยากรบุคคล ไอที ความมั่นคงปลอดภัยไซเบอร์และหน่วยธุรกิจ ประเด็นเรื่องการยืนยันตัวตน การกำหนดขอบเขต การปกปิดข้อมูล ระยะเวลา และความสม่ำเสมอในการตอบสนอง ล้วนกลายเป็นเรื่องของการดำเนินงาน มากกว่าปัญหาทางกฎหมายโดยตรง สำหรับหลายองค์กร นี่คือจุดที่โปรแกรมด้านความเป็นส่วนตัวถูกทดสอบอย่างแท้จริงธุรกิจอาจมีนโยบายที่สอดคล้องกับกฎหมาย แต่กลับขาดความสามารถในการค้นหาตรวจสอบ และส่งมอบข้อมูลจากหลายระบบภายใต้เงื่อนไขจริง ในทางปฏิบัติ ปัญหาที่พบมักเป็นปัญหาเชิงโครงสร้างมากกว่าประเด็นทางกฎหมายข้อมูลอาจกระจายอยู่ในระบบ HR อีเมล Shared Drive และระบบเดิม (Legacy Systems) โดยไม่มีผู้รับผิดชอบที่ชัดเจนในการรวบรวมข้อมูล ส่งผลให้ความสามารถในการตอบสนองขึ้นอยู่กับความพร้อมเชิงปฏิบัติการ มากกว่าตัวบทกฎหมายเพียงอย่างเดียว II. จากการถ่ายโอนข้อมูลข้ามพรมแดนสู่การกำกับดูแลระดับองค์กร การถ่ายโอนข้อมูลข้ามพรมแดนภายใต้ PDPA ยังคงเป็นหนึ่งในประเด็นที่มีความสำคัญเชิงพาณิชย์สูงที่สุด สำหรับกลุ่มบริษัทข้ามชาติ ข้อมูลส่วนบุคคลมักถูกถ่ายโอนผ่านระบบHR ระดับภูมิภาค แพลตฟอร์มคลาวด์ ฐานข้อมูลลูกค้า และโครงสร้างบริการร่วมกัน (ดู: Cloud Services and Telecommunication Licensing in Thailand) ในอดีต หลายองค์กรให้ความสำคัญกับการจัดทำสัญญาเป็นหลัก โดยพิจารณาว่าข้อตกลงมีข้อความรองรับที่เพียงพอหรือไม่ อย่างไรก็ตาม แนวทางดังกล่าวกำลังไม่เพียงพออีกต่อไป พัฒนาการอย่าง Binding Corporate Rules (BCRs) สะท้อนถึงการกำกับดูแลในระดับที่สูงขึ้น BCRs ไม่ใช่เพียงเครื่องมือทางสัญญา แต่เป็นกลไกที่สะท้อนความรับผิดชอบทั่วทั้งองค์กร รวมถึงนโยบายภายใน กลไกตรวจสอบ การฝึกอบรม การจัดการข้อร้องเรียนและการบังคับใช้ที่สอดคล้องกันทั่วทั้งกลุ่มบริษัทสำหรับการถ่ายโอนข้อมูลภายในกลุ่มทั้งนี้ภายใต้การรับรองหรืออนุมัติจาก PDPC พัฒนาการดังกล่าวมีความสำคัญต่อประเทศไทย เนื่องจากข้อมูลส่วนบุคคลของไทยมักเป็นส่วนหนึ่งของโครงสร้างระดับภูมิภาคและระดับโลกอยู่แล้ว หากประเทศไทยไม่ได้ถูกผนวกรวมเข้าสู่ระบบการกำกับดูแลที่กว้างกว่า การปฏิบัติตามกฎระเบียบในระดับท้องถิ่นอาจต้องอาศัยแนวทางที่กระจัดกระจายหรือซ้ำซ้อน … Read More
The Hotel Act: Why Nightly Rentals Are Illegal Thailand’s legal framework imposes strict prohibitions on short term rental activity, particularly within condominium buildings. Under the Hotel Act B.E. 2547 (2004), any property rented on a nightly or weekly basis for … Read More
Thailand’s Board of Investment has revised its project monitoring schedule, replacing twice-yearly progress reports with quarterly submissions. The first deadline is 31 May 2026. This note sets out what has changed, what the legal instruments say, and what promoted companies … Read More
Thailand’s proposed 3-million-baht investment visa could create a new pathway for long-term stay through property investment. But with key regulations and certification procedures still unpublished, the program remains unavailable for now. … Read More
Kratom (Mitragyna speciosa) is a tropical tree indigenous to Southeast Asia, including Thailand, where its leaves have been used in traditional practices for centuries. In Thailand and neighboring regions, fresh or dried leaves are commonly chewed, brewed as tea, or … Read More
Explore the range of services that we specialise in. From Data Privacy and Cybersecurity through to company formations, and expatriate services.
