Thai Language version available here: https://fosrlaw.com/2026/pdpa-ของประเทศไทยในระยะที่/ Many organizations continue to approach Thailand’s Personal Data Protection Act B.E. 2562 (2019) (PDPA) as a first-generation compliance exercise. The emphasis remains on privacy notices, consent wording, template clauses, and remediation projects undertaken during the … Read More
Author Archives: Supitchaya Akeyati
PDPA ของประเทศไทยในระยะที่สอง: สิ่งที่พัฒนาการล่าสุดสะท้อนให้เห็นอย่างแท้จริง
องค์กรจำนวนมากยังคงมองพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ผ่านกรอบความคิดของการปฏิบัติตามกฎระเบียบในระยะแรก โดยให้ความสำคัญกับประกาศความเป็นส่วนตัว การจัดทำคำยินยอม ข้อสัญญามาตรฐาน และโครงการปรับปรุงเอกสารที่ดำเนินการในช่วงเริ่มต้นของการบังคับใช้กฎหมาย อย่างไรก็ตาม กรอบความคิดดังกล่าวกำลังไม่เพียงพอมากขึ้นเรื่อย ๆ การเปลี่ยนแปลงนี้สะท้อนให้เห็นจาก “คลื่นแรก” ของการบังคับใช้ทางปกครองโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเมื่อวันที่ 1 สิงหาคม 2568 ซึ่งมีคำสั่งปรับทางปกครองจำนวน 8 คำสั่งใน 5 คดี รวมถึงการประกาศใช้ระเบียบคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ว่าด้วยการตรวจสอบและรับรองข้อบังคับภายในของนิติบุคคล (Binding Corporate Rules) พ.ศ. 2568 ซึ่งมีผลใช้บังคับเมื่อวันที่ 17 กุมภาพันธ์ 2569 ตลอดจนพัฒนาการด้าน AI ล่าสุด เช่น การเปิดรับฟังความคิดเห็นของสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (ETDA) ต่อร่างหลักการกฎหมายว่าด้วยปัญญาประดิษฐ์ และการรับฟังความคิดเห็นครั้งที่สองของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ต่อร่างแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลในการพัฒนาและใช้ประโยชน์จากปัญญาประดิษฐ์ ระหว่างวันที่ 13–19 มีนาคม 2569 PDPA ของประเทศไทยกำลังเข้าสู่ระยะที่สอง ซึ่งมีลักษณะสำคัญคือ การบังคับใช้กฎหมาย การกำกับดูแลเชิงปฏิบัติการ การกำกับดูแลข้อมูลข้ามพรมแดนในระดับองค์กร และการประยุกต์ใช้กฎหมายกับเทคโนโลยีเกิดใหม่ เช่น AI องค์กรไม่เพียงแต่ต้องมีเอกสารการปฏิบัติตามกฎระเบียบ แต่ยังต้องแสดงให้เห็นว่าภาระหน้าที่ด้านการคุ้มครองข้อมูลส่วนบุคคลสามารถดำเนินการได้จริงในทางปฏิบัติ คำถามสำคัญในปี 2569 จึงไม่ใช่อีกต่อไปว่าองค์กรมีเอกสารพื้นฐานด้าน PDPA ครบถ้วนหรือไม่ หากแต่เป็นว่าองค์กรสามารถดำเนินกรอบการกำกับดูแลข้อมูลส่วนบุคคลที่มีความน่าเชื่อถือได้จริงในทางปฏิบัติหรือไม่ ทิศทางดังกล่าวสอดคล้องกับพัฒนาการของกฎหมายคุ้มครองข้อมูลส่วนบุคคลในหลายเขตอำนาจศาล ซึ่งมักเริ่มต้นจากการปฏิบัติตามเชิงเอกสาร ก่อนพัฒนาไปสู่ความรับผิดชอบเชิงปฏิบัติการและการกำกับดูแลที่มีประสิทธิภาพ สำหรับ General Counsel เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) และทีมกำกับดูแลการปฏิบัติตามในระดับภูมิภาค ประเด็นสำคัญจึงชัดเจนว่า โครงการที่ออกแบบมาเพื่อรองรับเพียงการจัดทำเอกสารแบบสถิต อาจยังคงมุ่งแก้ไขโจทย์ของการปฏิบัติตามกฎระเบียบในอดีต สรุปประเด็นสำคัญ พัฒนาการล่าสุดของการปฏิบัติตาม PDPA ในประเทศไทยสะท้อนให้เห็นถึงการเปลี่ยนแปลงเชิงโครงสร้าง 5 ประการ ได้แก่ I. จากการปฏิบัติตามบนกระดาษสู่การกำกับดูแลเชิงปฏิบัติการ ระยะแรกของการนำ PDPA มาใช้ในประเทศไทยจำเป็นต้องขับเคลื่อนด้วยเอกสารองค์กรจำนวนมากจึงให้ความสำคัญกับสิ่งที่มองเห็นได้ เช่น ประกาศความเป็นส่วนตัวกลไกการขอความยินยอม แบบฟอร์มบันทึก ข้อตกลงกับผู้ประมวลผลข้อมูล และนโยบายภายใน ซึ่งยังคงเป็นองค์ประกอบพื้นฐานของการปฏิบัติตาม PDPA อย่างไรก็ตาม เมื่อกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศไทยพัฒนามากขึ้น จุดเน้นจึงเริ่มเปลี่ยนจาก “การมีเอกสาร” ไปสู่ “ความสามารถในการดำเนินการตามเอกสารดังกล่าวได้จริง” ความสนใจที่เพิ่มขึ้นต่อคำร้องขอใช้สิทธิของเจ้าของข้อมูล (Data Subject Requests) เป็นตัวอย่างที่ชัดเจน สิทธิของเจ้าของข้อมูลอาจดูตรงไปตรงมาในทางหลักการ แต่มีความซับซ้อนสูงในทางปฏิบัติ การตอบสนองอย่างมีประสิทธิภาพจำเป็นต้องอาศัยการประสานงานระหว่างฝ่ายกฎหมาย ทรัพยากรบุคคล ไอที ความมั่นคงปลอดภัยไซเบอร์และหน่วยธุรกิจ ประเด็นเรื่องการยืนยันตัวตน การกำหนดขอบเขต การปกปิดข้อมูล ระยะเวลา และความสม่ำเสมอในการตอบสนอง ล้วนกลายเป็นเรื่องของการดำเนินงาน มากกว่าปัญหาทางกฎหมายโดยตรง สำหรับหลายองค์กร นี่คือจุดที่โปรแกรมด้านความเป็นส่วนตัวถูกทดสอบอย่างแท้จริงธุรกิจอาจมีนโยบายที่สอดคล้องกับกฎหมาย แต่กลับขาดความสามารถในการค้นหาตรวจสอบ และส่งมอบข้อมูลจากหลายระบบภายใต้เงื่อนไขจริง ในทางปฏิบัติ ปัญหาที่พบมักเป็นปัญหาเชิงโครงสร้างมากกว่าประเด็นทางกฎหมายข้อมูลอาจกระจายอยู่ในระบบ HR อีเมล Shared Drive และระบบเดิม (Legacy Systems) โดยไม่มีผู้รับผิดชอบที่ชัดเจนในการรวบรวมข้อมูล ส่งผลให้ความสามารถในการตอบสนองขึ้นอยู่กับความพร้อมเชิงปฏิบัติการ มากกว่าตัวบทกฎหมายเพียงอย่างเดียว II. จากการถ่ายโอนข้อมูลข้ามพรมแดนสู่การกำกับดูแลระดับองค์กร การถ่ายโอนข้อมูลข้ามพรมแดนภายใต้ PDPA ยังคงเป็นหนึ่งในประเด็นที่มีความสำคัญเชิงพาณิชย์สูงที่สุด สำหรับกลุ่มบริษัทข้ามชาติ ข้อมูลส่วนบุคคลมักถูกถ่ายโอนผ่านระบบHR ระดับภูมิภาค แพลตฟอร์มคลาวด์ ฐานข้อมูลลูกค้า และโครงสร้างบริการร่วมกัน (ดู: Cloud Services and Telecommunication Licensing in Thailand) ในอดีต หลายองค์กรให้ความสำคัญกับการจัดทำสัญญาเป็นหลัก โดยพิจารณาว่าข้อตกลงมีข้อความรองรับที่เพียงพอหรือไม่ อย่างไรก็ตาม แนวทางดังกล่าวกำลังไม่เพียงพออีกต่อไป พัฒนาการอย่าง Binding Corporate Rules (BCRs) สะท้อนถึงการกำกับดูแลในระดับที่สูงขึ้น BCRs ไม่ใช่เพียงเครื่องมือทางสัญญา แต่เป็นกลไกที่สะท้อนความรับผิดชอบทั่วทั้งองค์กร รวมถึงนโยบายภายใน กลไกตรวจสอบ การฝึกอบรม การจัดการข้อร้องเรียนและการบังคับใช้ที่สอดคล้องกันทั่วทั้งกลุ่มบริษัทสำหรับการถ่ายโอนข้อมูลภายในกลุ่มทั้งนี้ภายใต้การรับรองหรืออนุมัติจาก PDPC พัฒนาการดังกล่าวมีความสำคัญต่อประเทศไทย เนื่องจากข้อมูลส่วนบุคคลของไทยมักเป็นส่วนหนึ่งของโครงสร้างระดับภูมิภาคและระดับโลกอยู่แล้ว หากประเทศไทยไม่ได้ถูกผนวกรวมเข้าสู่ระบบการกำกับดูแลที่กว้างกว่า การปฏิบัติตามกฎระเบียบในระดับท้องถิ่นอาจต้องอาศัยแนวทางที่กระจัดกระจายหรือซ้ำซ้อน … Read More
Sovereign Skies: Navigating Thailand’s Legal Framework for NGSO Infrastructure
An in-depth guide to Thailand’s legal and regulatory framework for NGSO satellite infrastructure, covering NBTC licensing, landing rights, local entity requirements and strategic market entry considerations. … Read More
The End of the Filing Formality: Thailand’s New Front in Registration Scrutiny – Key Changes for Foreign Investors in 2026
For many years, the incorporation of Thai companies was regarded primarily as a routine compliance exercise. While Thai law has long prohibited nominee arrangements under the Foreign Business Act (FBA) and related legislation, substantive scrutiny of ownership structures often occurred … Read More
Foreign Satellite Landing in Thailand
Sequencing State Policy and Telecom Licensing in a Layered Regulatory Framework Foreign satellite operators evaluating Thailand are not facing two separate regulatory regimes. They are navigating a layered framework in which telecommunications licensing and state-level policy considerations operate within the … Read More
Enforcing AI-Use Obligations in Professional Services Contracts
What Actually Works Under Thai Law and in Cross-Border Engagements AI Clauses Are No Longer About Permission In sophisticated professional services engagements, particularly legal services, AI-related provisions have evolved quietly yet decisively. They no longer ask whether AI may be … Read More
Formichella & Sritawat Contributes to Chambers Global Practice Guide: Technology M&A 2026
Formichella & Sritawat is pleased to announce its contribution to the Technology M&A 2026 edition of the Chambers and Partners Global Practice Guide. … Read More
Formichella & Sritawat contribute Thailand Chapter of ICLG Telecoms, Media & Internet Laws and Regulations 2026
We are pleased to announce that the Thailand chapter of the International Comparative Legal Guide (ICLG): Telecoms, Media & Internet Laws and Regulations 2026 has now been published by Global Legal Group . The chapter provides an up-to-date overview of … Read More
OTT and the Definition of Television Broadcasting in Thailand
Over-the-top (OTT) services like streaming platforms are now a vital part of Thailand’s digital landscape. They play a huge role in how people enjoy media, and they’re becoming a focal point for policymakers, courts, and regulators when it comes to … Read More
Thailand’s Upcoming E-Commerce Platform Regulations: What Operators Need to Prepare for
Key takeaways for platform operators: Thailand’s competition regulator is moving to formalize conduct standards for large digital platforms, with increased scrutiny of self-preferencing, tying, parity clauses, data use, and discriminatory ranking. The move aligns with global trends led by the … Read More