Thai Language version available here: https://fosrlaw.com/2026/pdpa-ของประเทศไทยในระยะที่/ Many organizations continue to approach Thailand’s Personal Data Protection Act B.E. 2562 (2019) (PDPA) as a first-generation compliance exercise. The emphasis remains on privacy notices, consent wording, template clauses, and remediation projects undertaken during the … Read More
Author Archives: Naytiwut Jamallsawat
PDPA ของประเทศไทยในระยะที่สอง: สิ่งที่พัฒนาการล่าสุดสะท้อนให้เห็นอย่างแท้จริง
องค์กรจำนวนมากยังคงมองพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ผ่านกรอบความคิดของการปฏิบัติตามกฎระเบียบในระยะแรก โดยให้ความสำคัญกับประกาศความเป็นส่วนตัว การจัดทำคำยินยอม ข้อสัญญามาตรฐาน และโครงการปรับปรุงเอกสารที่ดำเนินการในช่วงเริ่มต้นของการบังคับใช้กฎหมาย อย่างไรก็ตาม กรอบความคิดดังกล่าวกำลังไม่เพียงพอมากขึ้นเรื่อย ๆ การเปลี่ยนแปลงนี้สะท้อนให้เห็นจาก “คลื่นแรก” ของการบังคับใช้ทางปกครองโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเมื่อวันที่ 1 สิงหาคม 2568 ซึ่งมีคำสั่งปรับทางปกครองจำนวน 8 คำสั่งใน 5 คดี รวมถึงการประกาศใช้ระเบียบคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ว่าด้วยการตรวจสอบและรับรองข้อบังคับภายในของนิติบุคคล (Binding Corporate Rules) พ.ศ. 2568 ซึ่งมีผลใช้บังคับเมื่อวันที่ 17 กุมภาพันธ์ 2569 ตลอดจนพัฒนาการด้าน AI ล่าสุด เช่น การเปิดรับฟังความคิดเห็นของสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (ETDA) ต่อร่างหลักการกฎหมายว่าด้วยปัญญาประดิษฐ์ และการรับฟังความคิดเห็นครั้งที่สองของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ต่อร่างแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลในการพัฒนาและใช้ประโยชน์จากปัญญาประดิษฐ์ ระหว่างวันที่ 13–19 มีนาคม 2569 PDPA ของประเทศไทยกำลังเข้าสู่ระยะที่สอง ซึ่งมีลักษณะสำคัญคือ การบังคับใช้กฎหมาย การกำกับดูแลเชิงปฏิบัติการ การกำกับดูแลข้อมูลข้ามพรมแดนในระดับองค์กร และการประยุกต์ใช้กฎหมายกับเทคโนโลยีเกิดใหม่ เช่น AI องค์กรไม่เพียงแต่ต้องมีเอกสารการปฏิบัติตามกฎระเบียบ แต่ยังต้องแสดงให้เห็นว่าภาระหน้าที่ด้านการคุ้มครองข้อมูลส่วนบุคคลสามารถดำเนินการได้จริงในทางปฏิบัติ คำถามสำคัญในปี 2569 จึงไม่ใช่อีกต่อไปว่าองค์กรมีเอกสารพื้นฐานด้าน PDPA ครบถ้วนหรือไม่ หากแต่เป็นว่าองค์กรสามารถดำเนินกรอบการกำกับดูแลข้อมูลส่วนบุคคลที่มีความน่าเชื่อถือได้จริงในทางปฏิบัติหรือไม่ ทิศทางดังกล่าวสอดคล้องกับพัฒนาการของกฎหมายคุ้มครองข้อมูลส่วนบุคคลในหลายเขตอำนาจศาล ซึ่งมักเริ่มต้นจากการปฏิบัติตามเชิงเอกสาร ก่อนพัฒนาไปสู่ความรับผิดชอบเชิงปฏิบัติการและการกำกับดูแลที่มีประสิทธิภาพ สำหรับ General Counsel เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) และทีมกำกับดูแลการปฏิบัติตามในระดับภูมิภาค ประเด็นสำคัญจึงชัดเจนว่า โครงการที่ออกแบบมาเพื่อรองรับเพียงการจัดทำเอกสารแบบสถิต อาจยังคงมุ่งแก้ไขโจทย์ของการปฏิบัติตามกฎระเบียบในอดีต สรุปประเด็นสำคัญ พัฒนาการล่าสุดของการปฏิบัติตาม PDPA ในประเทศไทยสะท้อนให้เห็นถึงการเปลี่ยนแปลงเชิงโครงสร้าง 5 ประการ ได้แก่ I. จากการปฏิบัติตามบนกระดาษสู่การกำกับดูแลเชิงปฏิบัติการ ระยะแรกของการนำ PDPA มาใช้ในประเทศไทยจำเป็นต้องขับเคลื่อนด้วยเอกสารองค์กรจำนวนมากจึงให้ความสำคัญกับสิ่งที่มองเห็นได้ เช่น ประกาศความเป็นส่วนตัวกลไกการขอความยินยอม แบบฟอร์มบันทึก ข้อตกลงกับผู้ประมวลผลข้อมูล และนโยบายภายใน ซึ่งยังคงเป็นองค์ประกอบพื้นฐานของการปฏิบัติตาม PDPA อย่างไรก็ตาม เมื่อกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศไทยพัฒนามากขึ้น จุดเน้นจึงเริ่มเปลี่ยนจาก “การมีเอกสาร” ไปสู่ “ความสามารถในการดำเนินการตามเอกสารดังกล่าวได้จริง” ความสนใจที่เพิ่มขึ้นต่อคำร้องขอใช้สิทธิของเจ้าของข้อมูล (Data Subject Requests) เป็นตัวอย่างที่ชัดเจน สิทธิของเจ้าของข้อมูลอาจดูตรงไปตรงมาในทางหลักการ แต่มีความซับซ้อนสูงในทางปฏิบัติ การตอบสนองอย่างมีประสิทธิภาพจำเป็นต้องอาศัยการประสานงานระหว่างฝ่ายกฎหมาย ทรัพยากรบุคคล ไอที ความมั่นคงปลอดภัยไซเบอร์และหน่วยธุรกิจ ประเด็นเรื่องการยืนยันตัวตน การกำหนดขอบเขต การปกปิดข้อมูล ระยะเวลา และความสม่ำเสมอในการตอบสนอง ล้วนกลายเป็นเรื่องของการดำเนินงาน มากกว่าปัญหาทางกฎหมายโดยตรง สำหรับหลายองค์กร นี่คือจุดที่โปรแกรมด้านความเป็นส่วนตัวถูกทดสอบอย่างแท้จริงธุรกิจอาจมีนโยบายที่สอดคล้องกับกฎหมาย แต่กลับขาดความสามารถในการค้นหาตรวจสอบ และส่งมอบข้อมูลจากหลายระบบภายใต้เงื่อนไขจริง ในทางปฏิบัติ ปัญหาที่พบมักเป็นปัญหาเชิงโครงสร้างมากกว่าประเด็นทางกฎหมายข้อมูลอาจกระจายอยู่ในระบบ HR อีเมล Shared Drive และระบบเดิม (Legacy Systems) โดยไม่มีผู้รับผิดชอบที่ชัดเจนในการรวบรวมข้อมูล ส่งผลให้ความสามารถในการตอบสนองขึ้นอยู่กับความพร้อมเชิงปฏิบัติการ มากกว่าตัวบทกฎหมายเพียงอย่างเดียว II. จากการถ่ายโอนข้อมูลข้ามพรมแดนสู่การกำกับดูแลระดับองค์กร การถ่ายโอนข้อมูลข้ามพรมแดนภายใต้ PDPA ยังคงเป็นหนึ่งในประเด็นที่มีความสำคัญเชิงพาณิชย์สูงที่สุด สำหรับกลุ่มบริษัทข้ามชาติ ข้อมูลส่วนบุคคลมักถูกถ่ายโอนผ่านระบบHR ระดับภูมิภาค แพลตฟอร์มคลาวด์ ฐานข้อมูลลูกค้า และโครงสร้างบริการร่วมกัน (ดู: Cloud Services and Telecommunication Licensing in Thailand) ในอดีต หลายองค์กรให้ความสำคัญกับการจัดทำสัญญาเป็นหลัก โดยพิจารณาว่าข้อตกลงมีข้อความรองรับที่เพียงพอหรือไม่ อย่างไรก็ตาม แนวทางดังกล่าวกำลังไม่เพียงพออีกต่อไป พัฒนาการอย่าง Binding Corporate Rules (BCRs) สะท้อนถึงการกำกับดูแลในระดับที่สูงขึ้น BCRs ไม่ใช่เพียงเครื่องมือทางสัญญา แต่เป็นกลไกที่สะท้อนความรับผิดชอบทั่วทั้งองค์กร รวมถึงนโยบายภายใน กลไกตรวจสอบ การฝึกอบรม การจัดการข้อร้องเรียนและการบังคับใช้ที่สอดคล้องกันทั่วทั้งกลุ่มบริษัทสำหรับการถ่ายโอนข้อมูลภายในกลุ่มทั้งนี้ภายใต้การรับรองหรืออนุมัติจาก PDPC พัฒนาการดังกล่าวมีความสำคัญต่อประเทศไทย เนื่องจากข้อมูลส่วนบุคคลของไทยมักเป็นส่วนหนึ่งของโครงสร้างระดับภูมิภาคและระดับโลกอยู่แล้ว หากประเทศไทยไม่ได้ถูกผนวกรวมเข้าสู่ระบบการกำกับดูแลที่กว้างกว่า การปฏิบัติตามกฎระเบียบในระดับท้องถิ่นอาจต้องอาศัยแนวทางที่กระจัดกระจายหรือซ้ำซ้อน … Read More
Sovereign Skies: Navigating Thailand’s Legal Framework for NGSO Infrastructure
An in-depth guide to Thailand’s legal and regulatory framework for NGSO satellite infrastructure, covering NBTC licensing, landing rights, local entity requirements and strategic market entry considerations. … Read More
Foreign Satellite Landing in Thailand
Sequencing State Policy and Telecom Licensing in a Layered Regulatory Framework Foreign satellite operators evaluating Thailand are not facing two separate regulatory regimes. They are navigating a layered framework in which telecommunications licensing and state-level policy considerations operate within the … Read More
Enforcing AI-Use Obligations in Professional Services Contracts
What Actually Works Under Thai Law and in Cross-Border Engagements AI Clauses Are No Longer About Permission In sophisticated professional services engagements, particularly legal services, AI-related provisions have evolved quietly yet decisively. They no longer ask whether AI may be … Read More
Formichella & Sritawat Contributes to Chambers Global Practice Guide: Technology M&A 2026
Formichella & Sritawat is pleased to announce its contribution to the Technology M&A 2026 edition of the Chambers and Partners Global Practice Guide. … Read More
Formichella & Sritawat contribute Thailand Chapter of ICLG Telecoms, Media & Internet Laws and Regulations 2026
We are pleased to announce that the Thailand chapter of the International Comparative Legal Guide (ICLG): Telecoms, Media & Internet Laws and Regulations 2026 has now been published by Global Legal Group . The chapter provides an up-to-date overview of … Read More
Thailand’s Media Regulation Strategy for OTT Platforms: Proposals, Progress and Outlook
Thailand is recalibrating its approach to media regulation in the age of streaming. Over the past year, regulators have unveiled a series of plans affecting digital broadcasting and online video platforms. Unlike what some early reports suggested, there isn’t a … Read More
Why Data Centers Are Not Factories Under Thai Law – And Why the Question Keeps Arising
Legal Status Data centers in Thailand are classified as digital and telecommunications infrastructure, not industrial factories. Under current law and regulatory practice, data centers are not required to obtain factory licensing or registration (รง.4 or รง.2) by virtue of their … Read More
Thailand Digital Platform Regulation 2025: Draft PEA, CCA, Lèse-Majesté and Compliance Obligations
I. Introduction: Thailand’s Regulatory Crossroads Thailand’s digital regulatory model is undergoing a structural realignment. For most of the past two decades, online enforcement rested primarily on the Computer Crime Act (CCA), criminal defamation, and traditional Criminal Code provisions. These regimes … Read More