ปัญหาและอุปสรรคในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปและไทยในบริบทของการท่องเที่ยวแห่งประเทศไทย

Article Sidebar

PDF
เผยแพร่แล้ว: มี.ค. 31, 2025
คำสำคัญ:
การท่องเที่ยวแห่งประเทศไทย ปัญหาและอุปสรรค การปฏิบัติตามกฎหมาย กฎหมายคุ้มครองข้อมูลส่วนบุคคล

Main Article Content

อัญธิกา ณ พิบูลย์
อาจารย์ประจำ คณะนิติศาสตร์ สถาบันบัณฑิตพัฒนบริหารศาสตร์

บทคัดย่อ

การท่องเที่ยวแห่งประเทศไทย (ททท.) เป็นหน่วยงานรัฐวิสาหกิจซึ่งมีหน้าที่ในการประชาสัมพันธ์และส่งเสริมการท่องเที่ยวไทย ททท. มีสำนักงานสาขาที่ตั้งอยู่ในเขตสหภาพยุโรป รวมทั้งมีสำนักงานใหญ่และสำนักงานภูมิภาคหลายสำนักงานที่ตั้งอยู่ในประเทศไทยและมีการเก็บรวบรวมข้อมูลส่วนบุคคลในเขตของสหภาพยุโรปและในประเทศไทย ดังนั้น ททท. จึงอยู่ภายใต้บังคับที่จะต้องปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปและของไทย แต่อย่างไรก็ตาม ททท. มีการดำเนินกิจกรรมที่มีความหลากหลายที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล จึงก่อให้เกิดปัญหาในการปฏิบัติตามภาระหน้าที่ตามกฎหมาย ยกตัวอย่างเช่น การบ่งชี้ว่า ททท. มีสถานะเป็นผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูล การบ่งชี้ฐานทางกฎหมายสำหรับการประมวลผลข้อมูลในแต่ละกิจกรรม งานวิจัยนี้จึงมุ่งศึกษาประเด็นปัญหาและอุปสรรคของ ททท. ในการปฏิบัติตามข้อบังคับทั่วไปเกี่ยวกับการคุ้มครองข้อมูล หรือที่เรียกกันว่า General Data Protection Regulation (GDPR) และพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมทั้งมุ่งเสนอแนะวิธีการที่เหมาะสมในการบริหารจัดการปัญหาและอุปสรรคดังกล่าว เช่น การจัดทำคู่มือกำหนดแนวปฏิบัติขององค์กรในการปฏิบัติตามกฎหมาย ทั้งนี้ เพื่อเป็นการลดความเสี่ยงที่ ททท. จะมีความรับผิดที่เกิดขึ้นจากการไม่ปฏิบัติตามกฎหมาย อันจะส่งผลเสียต่อชื่อเสียงของ ททท. และประเทศไทยต่อไป

Article Details

ฉบับ
ปีที่ 43 ฉบับที่ 1 (2025): มกราคม - มีนาคม
ประเภทบทความ
บทความวิจัย
Creative Commons License

อนุญาตภายใต้เงื่อนไข Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.

ลิขสิทธิ์และเนื้อหาในเว็บไซต์ของวารสารกฎหมาย (รวมถึง โดยไม่จำกัดเฉพาะ เนื้อหา รหัสคอมพิวเตอร์ งานศิลป์ ภาพถ่าย รูปภาพ ดนตรีกรรม โสตทัศนวัสดุ) เป็นกรรมสิทธิ์ของวารสารกฎหมาย และผู้ได้รับการโอนสิทธิทุกราย
1. วารสารกฎหมาย ให้อนุญาตให้คุณใช้สิทธิอันไม่เฉพาะเจาะจงที่สามารถถูกถอนเมื่อใดก็ได้ โดยไม่มีค่าใช้จ่าย ในการ
- เยี่ยมชมเว็บไซต์และเอกสารในเว็บไซต์นี้ จากคอมพิวเตอร์หรือเครื่องมือสื่อสารผ่านเว็บบราวเซอร์
- คัดลอกและจัดเก็บเว็บไซต์และเอกสารในเว็บไซต์นี้บนลงคอมพิวเตอร์ของคุณผ่านระบบความจำ cache
- สั่งพิมพ์เอกสารจากเว็บไซต์นี้สำหรับการใช้ส่วนตัวของคุณ
- ผลงานที่ได้รับการตีพิมพ์โดยวารสารกฎหมาย จุฬาลงกรณ์มหาวิทยาลัย ถูกคุ้มครองภายใต้ Creative Commons Attribution 4.0 International License ซึ่งอนุญาตให้ทุกคนสามารถคัดลอก แจกจ่าย ดัดแปลง ส่งต่อ ผลงานได้ ก็ต่อเมื่อผลงานและแหล่งข้อมูลได้รับการอ้างอิงอย่างเหมาะสม
2. วารสารกฎหมาย จุฬาลงกรณ์มหาวิทยาลัย สงวนสิทธิ์ไม่อนุญาตให้คุณใช้สิทธิอื่นใดที่เกี่ยวข้องกับเว็บไซต์และเอกสารบนเว็บไซต์นี้ เช่น การคัดลอก ดัดแปลง เปลี่ยนแปลง ส่งต่อ ตีพิมพ์ แจกจ่าย เผยแพร่ จัดแสดงในที่สาธารณะ ไม่ว่าจะในรูปแบบใดก็ตาม ซึ่งเว็บไซต์หรือเอกสารบนเว็บไซต์ โดยไม่อ้างอิงถึงแหล่งข้อมูลหรือโดยไม่ได้รับอนุญาตเป็นลายลักษณ์อักษรจากวารสารกฎหมาย จุฬาลงกรณ์มหาวิทยาลัย
3. คุณอาจขออนุญาตที่จะใช้เอกสารอันมีลิขสิทธิ์บนเว็บไซต์นี้โดยการเขียนอีเมลล์มายัง journal@law.chula.ac.th
4. วารสารกฎหมาย จุฬาลงกรณ์มหาวิทยาลัย เข้มงวดกับการคุ้มครองลิขสิทธิ์อย่างมาก หากวารสารกฎหมาย จุฬาลงกรณ์มหาวิทยาลัยพบว่าคุณได้ใช้เอกสารอันมีลิขสิทธิ์บนเว็บไซต์นี้โดยไม่ถูกต้องตามการอนุญาตให้ใช้สิทธิ ดังที่กล่าวไปข้างต้น วารสารกฎหมาย จุฬาลงกรณ์มหาวิทยาลัยอาจดำเนินคดีตามกฎหมายต่อคุณได้ เพื่อเรียกร้องค่าเสียหายที่เป็นตัวเงินและคำขอชั่วคราวให้คุณหยุดการใช้เอกสารดังกล่าว ทั้งนี้ คุณอาจถูกสั่งให้ชดใช้ค่าใช้จ่ายใดๆ ที่เกี่ยวข้องกับการดำเนินการตามกฎหมายนี้

หากคุณพบเห็นการใช้เอกสารอันมีลิขสิทธิ์ของวารสารกฎหมาย จุฬาลงกรณ์มหาวิทยาลัย ที่ขัดหรืออาจขัดต่อการอนุญาตให้ใช้สิทธิดังที่ได้กล่าวไปข้างต้น โดยเชื่อว่าได้ละเมิดลิขสิทธิ์ของคุณหรือของผู้อื่น สามารถร้องเรียนมาได้ที่ journal@law.chula.ac.th

 

เอกสารอ้างอิง

หนังสือภาษาต่างประเทศ

David Gourley, Brian Totty, Marjorie Sayer, Anshu Aggarwal and Sailu Reddy. HTTP: The Definitive Guide (Definitive Guides). 1st Edition O’Reilly Media, 2002.

European Data Protection Supervisory. Flowcharts and Checklists on Data Protection. 2020.

ออนไลน์ภาษาไทย

สถาบันรับรองมาตรฐานไอเอสโอ. มาตรฐานระบบการจัดการความมั่นคงปลอดภัยด้านสารสนเทศ (ISO 27001). [ออนไลน์] แหล่งที่มา : https://www.masci.or.th/service/cert-iso27001/ [1 มีนาคม 2567]

ออนไลน์ภาษาต่างประเทศ

CNIL. CNIL’s Missions. [online] Available from: https://www.cnil.fr/en/cnil/cnils-missions [1 March 2024]

CNIL. Comment se préparer au règlement européen sur la protection des données ?. [online] Available from : https://www.cnil.fr/fr/comment-se-preparer-au-reglement-europeen-sur-la-protection-des-donnees [1 March 2024]

European Data Protection Board. Secure Personal Data (Organisational Measures_Raising User Awareness). [online] Available from : https://www.edpb.europa.eu/sme-data-protection-guide/secure-personal-data_en [1 March 2024]

European Data Protection Board. What We Do. [online] Available from : https://www.edpb.europa.eu/about-edpb/what-we-do/tasks-and-duties_en [1 March 2024]

European Data Protection Board. Who We Are. [online] Available from : https://www.edpb.europa.eu/about-edpb/who-we-are/legacy-art-29-working-party_en [1 March 2024]

The Federal Commission of Data Protection and Freedom of Information. About Us. [online] Available from: https://www.bfdi.bund.de/EN/BfDI/UeberUns/ueberuns_node.html [1 March 2024]

กฎหมายภาษาไทย

พระราชบัญญัติการท่องเที่ยวแห่งประเทศไทย พุทธศักราช 2522. ราชกิจจานุเบกษา เล่มที่ 96 ตอนที่ 72,ฉบับพิเศษ, วันที่ 4 พฤษภาคม 2522.

มาตรา 19 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พุทธศักราช 2562

มาตรา 19 และ 23 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พุทธศักราช 2562

มาตรา 24 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พุทธศักราช 2562

มาตรา 26 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พุทธศักราช 2562

มาตรา 26 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พุทธศักราช 2562

มาตรา 3 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พุทธศักราช 2562

มาตรา 37 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พุทธศักราช 2562

มาตรา 4 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พุทธศักราช 2562

มาตรา 40 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พุทธศักราช 2562

มาตรา 5 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พุทธศักราช 2562

มาตรา 6 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พุทธศักราช 2562

มาตรา 77-78 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พุทธศักราช 2562

มาตรา 79-81 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พุทธศักราช 2562

มาตรา 8 พระราชบัญญัติการท่องเที่ยวแห่งประเทศไทย พุทธศักราช 2522

มาตรา 82-90 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พุทธศักราช 2562

มาตรา 42 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พุทธศักราช 2562

มาตรา 9 พระราชบัญญัติการท่องเที่ยวแห่งประเทศไทย พุทธศักราช 2522

มาตรา 4 พระราชบัญญัติการท่องเที่ยวแห่งประเทศไทย พุทธศักราช 2522

มาตรา 7 พระราชบัญญัติการท่องเที่ยวแห่งประเทศไทย พุทธศักราช 2522

กฎหมายภาษาต่างประเทศ

Article 13 and 30 of GDPR.

Article 2 of GDPR.

Article 2 of Para 2 of GDPR.

Article 25 and 32 of GDPR.

Article 26 of GDPR.

Article 28 of GDPR.

Article 29 Data Protection Working Party. Opinion 03/2010 on the Principle of Accountability. 00062/10/EN WP173. (Adopted on 13 July 2010).

Article 29 Data Protection Working Party. Opinion 05/2014 on Anonymisation Techniques. 0829/14/EN WP216. (Adopted on 10 April 2014).

Article 29 Data Protection Working Party. Opinion 06/2014 on the Notion of Legitimate Interests of the Data Controller under Article 7 of Directive 95/46/EC, 844/14/EN WP217. (Adopted on 9 April 2014).

Article 29 Data Protection Working Party. Opinion 15/2011 on the Definition of Consent. 01197/11/EN WP187. (Adopted on 13 July 2011).

Article 29 Data Protection Working Party. Opinion 3/2012 on Developments in Biometric Technologies. 00720/12/EN. (Adopted on 27 April 2012).

Article 29 Data Protection Working Party. Opinion 4/2007 on the Concept of Personal Data. 01248/07/EN WP136. (Adopted on 20 June 2007).

Article 29 Data Protection Working Party. Opinion 8/2010 on the Applicable Law. 0836-02/10/EN WP179. (Adopted on 16 December 2010).

Article 29 Data Protection Working Party. Update of Opinion 8/2010 on Applicable Law in Light of the CJEU Judgement in Google Spain. 00720/12/EN WP193. (Adopted on 16 December 2015).

Article 3 of GDPR.

Article 39 of GDPR.

Article 4 (1) of GDPR.

Article 4 (11), 7, and 13 of GDPR.

Article 4 (2) of GDPR.

Article 4 (7) of GDPR.

Article 4 (8) of GDPR.

Article 5 of GDPR.

Article 6 of GDPR.

Article 7 of GDPR.

Article 82 of GDPR.

Article 83 of GDPR.

Article 9 of GDPR.

European Data Protection Board. Guidelines 05/2021 on the Interplay between the Application of Article 3 and the Provisions on International Transfers as per Chapter V of the GDPR Version 2.0. (Adopted on 14 February 2023).

European Data Protection Board. Guidelines 3/2018 on the Territorial Scope of the GDPR (Article 3) Version 2.1. (Adopted on 12 November 2019).

European Data Protection Board. Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Version 2.0. (Adopted on 20 October 2020).

European Data Protection Board. Guidelines 7/2020 on the Concepts of Controller and Processor in the GDPR Version 2.1. (Adopted on 7 July 2021).

European Data Protection Board. Recommendations 01/2020 on Measures that Supplement Transfer Tools to Ensure Compliance with EU Level of Protection of Personal Data Version 2.0. (Adopted on 18 June 2021).

European Data Protection Supervisor. Guidelines on the Concepts of Controller, Processor and Joint Controllership under Regulation (EU) 2018/1725. (Adopted on 7 November 2019).

Google Spain SL, Google Inc. v AEPD, Mario Costeja González (C-131/12, ECJ, 2014).

Para 29 and 31 of Weltimmo v NAIH (C-230/14, CJEU, 2015).

Para 38 of Wirtschaftsakademie Schleswig-Holstein GmbH, (C-210/16, CJEU, 2018).

Section 22 (2), 27 and 28 of BDSG.

Verein für Konsumenteninformation v Amazon EU Sarl (C-191/15, CJEU, 2016) and Wirtschaftsakademie Schleswig-Holstein (C-210/16, ECJ, 2018).