GUIDELINES ON COMPLIANCE WITH EUROPEAN PERSONAL DATA PROTECTION LAWS FOR TOURISM AUTHORITY OF THAILAND (TAT) OVERSEAS OFFICES
Keywords:
The Tourism Authority of Thailand, Personal Data Protection Law , Guidelines on Personal Data ProtectionAbstract
The Tourism Authority of Thailand (TAT) has established several overseas offices across Europe to achieve its objective of promoting Thai tourism. Each TAT office engages in activities involving the processing of personal data of the data subjects residing in European countries, which means these offices are subject to each country’s personal data protection laws. This article is based on research study that aims to examines the characteristics of personal data processing activities of the Tourism Authority of Thailand (TAT) in the Paris office (Republic of France), the Frankfurt office (Federal Republic of Germany), the Rome office (Republic of Italy), the Stockholm office (Kingdom of Sweden) and the London office (United Kingdom) with a view to creating data mapping for each office. Then, this research explores the personal data protection laws in France, Germany, Italy, Sweden, and the UK in order to provide the appropriate and effective practices for each office to ensure compliance with personal data protection laws, thereby reducing the risk of legal liability and penalties that could potentially have a negative impact on TAT and Thailand as a whole.
References
บรรณานุกรม
กฎหมาย
ภาษาไทย
พระราชบัญญัติการท่องเที่ยวแห่งประเทศไทย พ.ศ. 2522.
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562.
ภาษาต่างประเทศ
Bundesdatenschutzgesetz (BDSG).
Directive (EU) 2015/1535 of the European Parliament and of the Council of 9 September 2015 Laying Down a Procedure for the Provision of Information in the Field of Technical Regulations and of Rules on Information Society Services.
Decree No. 2019-341 of April 19, 2019 concerning the implementation of data processing involving the use of the personal identification number in the National Register of Individual Identification (RNIPP) or requiring consultation of this register.
Decree No. 2019-536 of May 29, 2019 issued for the application of Law No. 78-17 of January 6, 1978 concerning information technology, data files, and civil liberties.
French Act No. 2018-493 of 20 June 2018.
Lag (2018:218) med kompletterande bestämmelser till EU: sdataskyddsförordning (dataskyddslagen) .
Personal Data Protection Code (Legislative Decree no. 196 of 30 June 2003).
Privacy and Electronic Communications (EC Directive) Regulations 2003.
UK Data Protection Act 2018.
UK General Data Protection Regulation (Regulation (EU) (2016/679)).
Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the Protection of Natural Persons with Regard to the Processing of Personal Data and on the Free Movement of such Data, and Repealing Directive 95/46/EC (General Data Protection Regulation).
เอกสารอื่นๆ
ภาษาต่างประเทศ
A29WP, Opinion 4/2007 on The Concept of Personal Data (01248/07/EN WP 136 Adopted 20 June 2007)<https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2007/wp136_en.pdf>สืบค้นเมื่อ 11 พฤษภาคม 2567.
A29WP, Opinion 8/2010 on Applicable Law (0836-02/10/EN WP 179 Adopted 16 December 2010) <https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp179_en.pdf> สืบค้นเมื่อ 11 พฤษภาคม 2567.
A29WP, Opinion 15/2011 on the Definition of Consent (01197/11/EN WP187 Adopted 13 July 2011) <https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2011/wp187_en.pdf> สืบค้นเมื่อ 11 พฤษภาคม 2567.
A29WP, Guidelines 05/2020 on Consent under Regulation 2016/679 (Version 1.1 Adopted on 4 May 2020)<https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2011/wp187_en.pdf> สืบค้นเมื่อ 11 พฤษภาคม 2567.
EDPB, Guidelines 07/2020 on the Concepts of Controller and Processor in the GDPR (Version 2.1 Adopted on 07 July 2021) <https://www.edpb.europa.eu/system/files/2023-10/EDPB_ guidelines_202007_controllerprocessor_final_en.pdf > สืบค้นเมื่อ 11 พฤษภาคม 2567.
EDPB, Guidelines 05/2021 on the Interplay between the Application of Article 3 and the Provisions on International Transfers as per Chapter V of the GDPR (Version 2.0 Adopted on 14 February 2023) <https://www.edpb.europa.eu/system/files/2023-02/edpb_guidelines_05-2021_interplay_between_the_application_of_art3-chapter_v_of_the_gdpr_v2_en_0.pdf > สืบค้นเมื่อ 11 พฤษภาคม 2567.
EDPB, Guidelines 01/2022 on Data Subject Rights - Right of Access (Version 2.1 Adopted on 28 March 2023) 2023 < https://www.edpb.europa.eu/system/files/2023-04/edpb_guidelines_202201_data_subject_rights_access_v2_en.pdf > สืบค้นเมื่อ 11 พฤษภาคม 2567.
EDPB, Guidelines 9/2022 on Personal Data Breach Notification under GDPR (Version 2.0 Adopted 28 March 2023) <https://www.edpb.europa.eu/system/files/2023-04/edpb_guidelines_ 202209_personal_data_breach_notification_v2.0_en.pdf> สืบค้นเมื่อ 11 พฤษภาคม 2567.
ICO, ‘Data Protection Impact Assessments (DPIAs)’<https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/accountability-and-governance/data-protection-impact-assessments-dpias/> สืบค้นเมื่อ 11 พฤษภาคม 2567.
ICO, ‘What is valid consent?’ <https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/ lawful-basis/consent/what-is-valid-consent/> สืบค้นเมื่อ 11 พฤษภาคม 2567.
ICO, ‘When is Marketing ‘Solicited’ and When is it Unsolicited?’ (ICO) <https://ico.org.uk/for-organisations/direct-marketing-and-privacy-and-electronic-communications/guide-to-pecr/electronic-and-telephone-marketing/#solicited> สืบค้นเมื่อ 11 พฤษภาคม 2567.
IMY, List Regarding Data Protection Impact Assessments According to Article 35.4 of the Data Protection Regulation 2019 <https://www.imy.se/globalassets/dokument/ovrigt/list-regarding-data-protection-impact-assessments.pdf > สืบค้นเมื่อ 11 พฤษภาคม 2567.
Downloads
Published
Issue
Section
License
Copyright (c) 2025 Graduate Law Journal
This work is licensed under a Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.
บทความหรือข้อความคิดเห็นใด ๆ ที่ปรากฏในวารสารบัณฑิตศึกษานิติศาสตร์เป็นความรับผิดชอบของผู้เขียนบทความโดยเฉพาะ คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ และกองบรรณาธิการไม่จำเป็นต้องเห็นด้วย
