The Problems and Obstacles Regarding the Compliance on the EU Personal Data Protection Law and the Thai Personal Data Protection Law In the Context of the Tourism Authority of Thailand
Article Sidebar
Main Article Content
Abstract
The Tourism Authority of Thailand (TAT) is a state-owner enterprise established for promoting Thailand Tourism. There are TAT’s branch offices located in the EU and TAT’s main offices and regional offices in Thailand which collect a range number of personal data from the data subjects in the EU and in Thailand, so that TAT is obliged to comply with the EU and Thai Personal Data Protection Law. Nevertheless, the fact that there are a wide range of activities of TAT involving the processing of personal data, has brought about some problems for TAT to comply with legal obligations. For instance, it can be difficult to determine whether TAT is a data controller or a data processor, as well as to identify the legal basis for processing personal data in each activity. This research explores the problems and obstacles of TAT to comply with the General Data Protection Regulation (GDPR) and the Personal Data Protection Act B.E. 2019 of Thailand (PDPA). Additionally, it aims to propose appropriate approaches for managing these problems and challenges, such as developing a manual for the organisation to comply with the laws. The goal is to reduce the risks for TAT to be liable for non-compliance with personal data protection laws, which could adversely affect both TAT’s reputation and Thailand as a whole.
Article Details
This work is licensed under a Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.
The copyright in this website and the material on this website (including without limitation the text, computer code, artwork, photographs, images, music, audio material, video material and audio-visual material on this website) is owned by Chulalongkorn University Law Journal and its licensors.
1. Chulalongkorn University Law Journal grants to you a worldwide non-exclusive royalty-free revocable license to:
- view this website and the material on this website on a computer or mobile device via a web browser;
- copy and store this website and the material on this website in your web browser cache memory; and
- print pages from this website for your use.
- All articles published by Chulalongkorn University Law Journal are licensed under the Creative Commons Attribution 4.0 International License. This permits anyone to copy, redistribute, remix, transmit and adapt the work provided the original work and source is appropriately cited.
2. Chulalongkorn University Law Journal does not grant you any other rights in relation to this website or the material on this website. In other words, all other rights are reserved. For the avoidance of doubt, you must not adapt, edit, change, transform, publish, republish, distribute, redistribute, broadcast, rebroadcast or show or play in public this website or the material on this website (in any form or media) without appropriately and conspicuously citing the original work and source or Chulalongkorn University Law Journal prior written permission.
3. You may request permission to use the copyright materials on this website by writing to journal@law.chula.ac.th.
4. Chulalongkorn University Law Journal takes the protection of its copyright very seriously. If Chulalongkorn University Law Journal discovers that you have used its copyright materials in contravention of the license above, Chulalongkorn University Law Journal may bring legal proceedings against you seeking monetary damages and an injunction to stop you using those materials. You could also be ordered to pay legal costs.
If you become aware of any use of Chulalongkorn University Law Journal's copyright materials that contravenes or may contravene the license above or any material on the website that you believe infringes your or any other person's copyright, please report this by email to journal@law.chula.ac.th.
References
หนังสือภาษาต่างประเทศ
David Gourley, Brian Totty, Marjorie Sayer, Anshu Aggarwal and Sailu Reddy. HTTP: The Definitive Guide (Definitive Guides). 1st Edition O’Reilly Media, 2002.
European Data Protection Supervisory. Flowcharts and Checklists on Data Protection. 2020.
ออนไลน์ภาษาไทย
สถาบันรับรองมาตรฐานไอเอสโอ. มาตรฐานระบบการจัดการความมั่นคงปลอดภัยด้านสารสนเทศ (ISO 27001). [ออนไลน์] แหล่งที่มา : https://www.masci.or.th/service/cert-iso27001/ [1 มีนาคม 2567]
ออนไลน์ภาษาต่างประเทศ
CNIL. CNIL’s Missions. [online] Available from: https://www.cnil.fr/en/cnil/cnils-missions [1 March 2024]
CNIL. Comment se préparer au règlement européen sur la protection des données ?. [online] Available from : https://www.cnil.fr/fr/comment-se-preparer-au-reglement-europeen-sur-la-protection-des-donnees [1 March 2024]
European Data Protection Board. Secure Personal Data (Organisational Measures_Raising User Awareness). [online] Available from : https://www.edpb.europa.eu/sme-data-protection-guide/secure-personal-data_en [1 March 2024]
European Data Protection Board. What We Do. [online] Available from : https://www.edpb.europa.eu/about-edpb/what-we-do/tasks-and-duties_en [1 March 2024]
European Data Protection Board. Who We Are. [online] Available from : https://www.edpb.europa.eu/about-edpb/who-we-are/legacy-art-29-working-party_en [1 March 2024]
The Federal Commission of Data Protection and Freedom of Information. About Us. [online] Available from: https://www.bfdi.bund.de/EN/BfDI/UeberUns/ueberuns_node.html [1 March 2024]
กฎหมายภาษาไทย
พระราชบัญญัติการท่องเที่ยวแห่งประเทศไทย พุทธศักราช 2522. ราชกิจจานุเบกษา เล่มที่ 96 ตอนที่ 72,ฉบับพิเศษ, วันที่ 4 พฤษภาคม 2522.
มาตรา 19 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พุทธศักราช 2562
มาตรา 19 และ 23 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พุทธศักราช 2562
มาตรา 24 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พุทธศักราช 2562
มาตรา 26 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พุทธศักราช 2562
มาตรา 26 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พุทธศักราช 2562
มาตรา 3 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พุทธศักราช 2562
มาตรา 37 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พุทธศักราช 2562
มาตรา 4 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พุทธศักราช 2562
มาตรา 40 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พุทธศักราช 2562
มาตรา 5 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พุทธศักราช 2562
มาตรา 6 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พุทธศักราช 2562
มาตรา 77-78 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พุทธศักราช 2562
มาตรา 79-81 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พุทธศักราช 2562
มาตรา 8 พระราชบัญญัติการท่องเที่ยวแห่งประเทศไทย พุทธศักราช 2522
มาตรา 82-90 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พุทธศักราช 2562
มาตรา 42 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พุทธศักราช 2562
มาตรา 9 พระราชบัญญัติการท่องเที่ยวแห่งประเทศไทย พุทธศักราช 2522
มาตรา 4 พระราชบัญญัติการท่องเที่ยวแห่งประเทศไทย พุทธศักราช 2522
มาตรา 7 พระราชบัญญัติการท่องเที่ยวแห่งประเทศไทย พุทธศักราช 2522
กฎหมายภาษาต่างประเทศ
Article 13 and 30 of GDPR.
Article 2 of GDPR.
Article 2 of Para 2 of GDPR.
Article 25 and 32 of GDPR.
Article 26 of GDPR.
Article 28 of GDPR.
Article 29 Data Protection Working Party. Opinion 03/2010 on the Principle of Accountability. 00062/10/EN WP173. (Adopted on 13 July 2010).
Article 29 Data Protection Working Party. Opinion 05/2014 on Anonymisation Techniques. 0829/14/EN WP216. (Adopted on 10 April 2014).
Article 29 Data Protection Working Party. Opinion 06/2014 on the Notion of Legitimate Interests of the Data Controller under Article 7 of Directive 95/46/EC, 844/14/EN WP217. (Adopted on 9 April 2014).
Article 29 Data Protection Working Party. Opinion 15/2011 on the Definition of Consent. 01197/11/EN WP187. (Adopted on 13 July 2011).
Article 29 Data Protection Working Party. Opinion 3/2012 on Developments in Biometric Technologies. 00720/12/EN. (Adopted on 27 April 2012).
Article 29 Data Protection Working Party. Opinion 4/2007 on the Concept of Personal Data. 01248/07/EN WP136. (Adopted on 20 June 2007).
Article 29 Data Protection Working Party. Opinion 8/2010 on the Applicable Law. 0836-02/10/EN WP179. (Adopted on 16 December 2010).
Article 29 Data Protection Working Party. Update of Opinion 8/2010 on Applicable Law in Light of the CJEU Judgement in Google Spain. 00720/12/EN WP193. (Adopted on 16 December 2015).
Article 3 of GDPR.
Article 39 of GDPR.
Article 4 (1) of GDPR.
Article 4 (11), 7, and 13 of GDPR.
Article 4 (2) of GDPR.
Article 4 (7) of GDPR.
Article 4 (8) of GDPR.
Article 5 of GDPR.
Article 6 of GDPR.
Article 7 of GDPR.
Article 82 of GDPR.
Article 83 of GDPR.
Article 9 of GDPR.
European Data Protection Board. Guidelines 05/2021 on the Interplay between the Application of Article 3 and the Provisions on International Transfers as per Chapter V of the GDPR Version 2.0. (Adopted on 14 February 2023).
European Data Protection Board. Guidelines 3/2018 on the Territorial Scope of the GDPR (Article 3) Version 2.1. (Adopted on 12 November 2019).
European Data Protection Board. Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Version 2.0. (Adopted on 20 October 2020).
European Data Protection Board. Guidelines 7/2020 on the Concepts of Controller and Processor in the GDPR Version 2.1. (Adopted on 7 July 2021).
European Data Protection Board. Recommendations 01/2020 on Measures that Supplement Transfer Tools to Ensure Compliance with EU Level of Protection of Personal Data Version 2.0. (Adopted on 18 June 2021).
European Data Protection Supervisor. Guidelines on the Concepts of Controller, Processor and Joint Controllership under Regulation (EU) 2018/1725. (Adopted on 7 November 2019).
Google Spain SL, Google Inc. v AEPD, Mario Costeja González (C-131/12, ECJ, 2014).
Para 29 and 31 of Weltimmo v NAIH (C-230/14, CJEU, 2015).
Para 38 of Wirtschaftsakademie Schleswig-Holstein GmbH, (C-210/16, CJEU, 2018).
Section 22 (2), 27 and 28 of BDSG.
Verein für Konsumenteninformation v Amazon EU Sarl (C-191/15, CJEU, 2016) and Wirtschaftsakademie Schleswig-Holstein (C-210/16, ECJ, 2018).