actualités

Quelles sont les sanctions en cas de violation du PDPA ?

24/06/2022

As of the 1st of June 2022, Thailand’s Personal Data Protection Act B.E. 2562 (2019) (PDPA) came into full effect. The PDPA regulates how a data controller or a data processor collects, uses, discloses, and/or transfers personal data, and provides a safeguard against abuses of the right to privacy of a data subject.

Failure to comply with the PDPA could result in civil, criminal, and/or administrative penalties handed to the offending party.

Quelles sont les sanctions en cas de violation du PDPA ?

What are data controllers and processors?

La Data controller is a person or a juristic person who has the power to make decisions relating to the collection, use, disclosure and/or transfer of personal data.

La Data processor is a person or a juristic person who collects, uses, discloses and/or transfers personal data on behalf of another party who is the data controller.

Civil penalties

Civil penalties may be sought against an offending party when a data controller or data processor fails, intentionally or negligently, to comply with the PDPA’s requirements.

Should a data subject encounter such a situation, they can claim actual compensation from the data controller or the data processor. Examples of actual compensation, all actual expenses spent by the data subject used to prevent or avoid such damage.

Additionally, should the data controller/processor be found to be in breach of the PDPA, the court has the ability to sentence the data controller or data processor to pay punitive damages to the data subject in addition to the actual compensation.

Punitive damages are limited and must not exceed two times the amount of the actual compensation.

The statute of limitations for claiming civil compensation due to breaches of the PDPA is three years from acknowledgement of the breach and the identification of offenders by the data subject, or ten years from a wrongful act by the data controller or data processor.

Criminal penalties

Breaches of the PDPA can result in criminal penalties being enforced due to the following actions:

Scenario 1

If the data controller:

uses or discloses personal data without the consent of the data subject where consent is legally required, or
receives personal data from another data controller and uses or discloses this personal data for purposes other than the purposes previously informed to the disclosing data controller, or
sends or transfers sensitive personal data to a foreign country that does not have an adequate data protection standard without other legal exceptions.

If the scenario above is found to have occurred, these actions must have been made in a manner that is likely to cause the data subject to suffer any damage, impair the person’s reputation, or expose the person to be scorned, hated, or humiliated. If this is found to be true, the data controller could face a punishment of imprisonment for up to six months, or fine up to 500,000 Baht, or both.

If the data controller commits any of these acts in order to receive unlawful benefits (for themselves or others), the data controller may be punished with imprisonment up to one year, or fine up to one million Baht, or both.

Scenario 2

If any person obtains the personal data of the data subject as a result of performing duties under the PDPA and then discloses this personal data to any other unauthorised person, they may face a punishment of imprisonment up to six months, or fine up to 500,000 Baht, or both.

However, there are certain circumstances in which these actions are permitted. For example, where the disclosure of the information is in the interest of investigation procedures, proceedings by the courts, or the data subject provided written consent.

Administrative penalties

Administrative penalties may apply to the data controller or the data processor, or any person who violates any of the PDPA’s provisions.

Administrative penalties consist of a monetary fine of up to five million Baht.

The Personal Data Protection Committee (PDPC), has power to issue administrative fines by taking the following into consideration:

the level of severity of non-compliance,
the business size of the data controller or the data processor,
or other relevant circumstances as deemed suitable by the PDPC.

Administrative penalties may be enforced for the following breaches of the PDPA:

An administrative fine of up to one million Baht can be issued for the following:

The data controller does not inform the data subject prior to, or at the time of the collection about the following requirements; purpose of the collection, retention period, categories of persons to whom the collected personal data may be disclosed to.
the data controller does not record information in the record of processing activities (ROPA); or
the data controller or the data processor does not appoint the data protection officer (DPO) where it is required by the PDPA.

An administrative fine of up to three million Baht can be issued for the following breaches:

the data controller processes personal data other than for the purpose informed to the data subject;
the data controller collects, uses, and/or discloses personal data without the consent of the data subject;
the data controller does not inform the the Office of Personal Data Protection Committee of any breaches within 72 hours of becoming aware of the incident;
the data processor does not inform the data controller about any known breaches.

An administrative fine of up to five million Baht can be issued for the following breaches;

the data controller collects, uses, and/or discloses sensitive personal data without the explicit consent from the data subject or without another applicable legal basis; or
the data controller or the data processor sends or transfers the sensitive personal data to a foreign country that does have adequate data protection standards and did so without the legally required consent of the data subject.

Examples of PDPA breaches that you should be aware of

Personal data breaches can include:

access by an unauthorised third party;
deliberate or accidental action (or inaction) by a controller or processor;
sending personal data to an incorrect recipient;
computing devices containing personal data being lost or stolen;
alteration of personal data without permission; and
loss of availability of personal data.

How can the Belaws team of experts help you?

For any breaches of the PDPA, there is not only administrative, civil and criminal liability to consider, but also reputational damage. Failure to comply with the PDPA may mean that clients and partners may not want to work with your company in the future.

If you need more information about the PDPA and how to ensure full compliance, you can prendre rendez-vous with one of our PDPA experts.

Veuillez noter que cet article est fourni à titre d'information seulement et ne constitue pas un avis juridique.

Réservez maintenant

Nos consultations durent jusqu'à une heure et sont menées par des juristes experts qui parlent couramment l'anglais, le français et le thaï.

Les consultations peuvent être organisées sur WhatsApp ou sur le Logiciel de Vidéoconférence de votre convenance. Une consultation avec l’un de nos experts juridiques est sans aucun doute le meilleur moyen d’obtenir toutes les informations dont vous avez besoin et de répondre à toutes les questions que vous pourriez avoir sur votre nouvelle entreprise ou votre projet.

150 USD

1 heure

Paiement en ligne (Paypal ou carte bancaire)

Les consultations juridiques peuvent être menées en anglais, en français ou en thaï.

Legal consultations are handled by expert lawyers.

Questions fréquemment posées

Qu'est-ce que la loi thaïlandaise sur la protection des données personnelles ?

Le PDPA est une loi qui empêche la violation des informations personnelles d'une personne concernée. La PDPA s'applique à toute collecte, utilisation ou divulgation de données personnelles obtenues par un contrôleur de données ou un processeur de données en Thaïlande. Toutefois, lorsqu'un contrôleur de données ou un processeur de données est situé en dehors de la Thaïlande, le PDPA s'applique toujours si la personne dont les données sont collectées, utilisées ou divulguées est située en Thaïlande.

Le RGPD s'applique-t-il en Thaïlande ?

Le RGPD s'applique aux organisations qui ont une présence dans l'UE, notamment les entités qui ont un « établissement » dans l'UE. Le RGPD s'applique également aux activités de traitement des responsables du traitement et des sous-traitants qui n'ont pas de présence dans l'UE, lorsque les activités de traitement sont liées à l'offre de biens ou de services à des personnes dans l'UE, ou à la surveillance du comportement des personnes dans l'UE.

Quels sont les pays qui offrent la meilleure protection des données ?

Le Danemark, la Norvège et le Canada sont considérés comme ayant les meilleures lois en matière de protection des données, au même titre que l'UE.

Quelle est la différence entre la PDPA et le RGPD?

Le RGPD énonce des règles spécifiques pour le traitement des données à caractère personnel à des fins de recherche, y compris la minimisation et l'anonymisation des données. Le PDPA ne prévoit pas de règles spécifiques pour la collecte, l'utilisation et la divulgation de données à caractère personnel à de telles fins, mais exige que « des mesures appropriées soient mises en place ».

Quelle est la différence entre la PDPA et le RGPD?

Le RGPD énonce des règles spécifiques pour le traitement des données à caractère personnel à des fins de recherche, y compris la minimisation et l'anonymisation des données.
Le PDPA ne prévoit pas de règles spécifiques pour la collecte, l'utilisation et la divulgation de données à caractère personnel à de telles fins, mais exige que « des mesures appropriées soient mises en place ».

Qui est couvert par le PDPA thaïlandais ?

Le PDPA couvre toutes les utilisations ou divulgations de données personnelles obtenues par un contrôleur de données ou un processeur de données en Thaïlande. Si le contrôleur de données et le sous-traitant sont situés en dehors de la Thaïlande, le PDPA reste d'application.

Qu'est-ce que la protection des données personnelles ?

La protection des données personnelles fait référence à la manière dont les entités publiques et privées reçoivent le consentement des personnes concernées. La protection des données couvre également les méthodes correctes de traitement, de collecte ou de divulgation des données personnelles.

Qui est exempté de l'application du PDPA ?

Les seules exceptions au PDPA sont les cas où la divulgation des informations est dans l'intérêt des procédures d'enquête, des procédures judiciaires ou lorsque la personne concernée a donné son consentement écrit.

Qui est soumis au PDPA ?

Le PDPA s'applique à toute collecte, utilisation ou divulgation de données à caractère personnel obtenues par un contrôleur de données ou un sous-traitant de données en Thaïlande.

Le PDPA s'applique-t-elle aux particuliers ?

Le PDPA s'applique aussi bien aux particuliers qu'aux entreprises...

Articles connexes

Nouvelle stratégie d'investissement quinquennale du BOI
09/01/2023
Thailand’s Board of Investment (BOI) has begun its new investment strategy for the next five years (2023–2027).
janvier 9, 2023/par jonathan

Thailand to prepare new regulations for Digital Platforms
07/11/2022
The draft Royal Decree on Digital Platforms has been updated and will contain new regulations for Digital Platforms.
novembre 7, 2022/par jonathan

Thailand to adopt a new 5 year investment promotion strategy
04/11/2022
Thailand’s Board of Investment (BOI) has approved a new 5 year investment promotion strategy.
novembre 4, 2022/par jonathan

Abonnez-vous aujourd'hui

À notre newsletter pour les dernières actualités juridiques
en Asie du Sud-Est, les mises à jour de Belaws et
les offres spéciales sur nos services.

To our newsletter today for all the latest legal news in South East Asia,
Belaws updates and special promotions on our services.

+66 (0) 63 695 5945

Heures d'ouverture
Lundi - Vendredi
9h - 18h (Heure de Paris + 6h)

SERVICES

Legal

Création d'entreprise

Accounting & Secretary

Visas

Consultation immédiateNouveau

A propos

Qui sommes-nous

Nous rejoindre

Presse et médias

Conditions d'utilisation

Politique de confidentialité

Ressources

Blog Belaws Thaïlande

Facebook Visa Thaïlande Belaws

Ebook acheter un condominium

Ebook droit du travail

Nos bureaux

Belaws 2017 - 2025.
Belaws ne fournit que des informations et une plateforme technologique. Belaws n'est pas un "service de mise en relation avec des avocats" et ne fournit pas de services juridiques ni ne participe à aucune représentation juridique.
Belaws n'est pas un cabinet d'avocats ou un substitut à un avocat ou un cabinet d'avocats.

Quelles sont les sanctions en cas de violation du PDPA ?

What are data controllers and processors?

Civil penalties

Criminal penalties

Administrative penalties

Examples of PDPA breaches that you should be aware of

How can the Belaws team of experts help you?

Partager ce post

Questions fréquemment posées

Articles connexes

Nouvelle stratégie d'investissement quinquennale du BOI

Thailand to prepare new regulations for Digital Platforms

Thailand to adopt a new 5 year investment promotion strategy

Abonnez-vous aujourd'hui

Abonnez-vous aujourd'hui