actualités
Exploring the 4 new Data Protection sub-regulations
02/08/2022
Following the Personal Data Protection Act B.E. 2562 (2019) (“PDPA”) coming into full effect on 1 June 2022, four sub-regulations were introduced by the Personal Data Protection Committee (PDPC). These notifications become effective as of the 21st of June 2022.
In this article, we will provide a more detailed breakdown of the criteria and rules, relating to these new notifications.
Summary of the new notifications
1. Exemption of the Record of Processing Activities Requirement for Data Controllers who are Small Businesses B.E. 2565 (2022)
As part of the duties imposed on data controllers under the PDPA, the preparation and maintenance of a record of processing activities (“ROPA”) is required. However, under this notification, data controllers who are from small businesses will be exempt from the ROPA requirements.
Examples of the types of business excluded include:
- small or medium enterprises according to the law on small and medium-sized enterprise promotion
‒ Product manufacturing business operators which hire no more than 200 employees, and have annual revenue not exceeding Baht 500 million,
‒ Service providers, wholesalers or retailers which hire no more than 100 employees, and have - annual revenue not exceeding Baht 300 million.
community enterprises and networks of community enterprises registered under the community enterprise promotion law; - social enterprises and social enterprise groups registered under the social enterprise promotion law;
cooperatives, cooperative federations, or a farmer’s groups under the cooperatives law; - foundations, associations, religious or non-profit organisations; and
- family businesses or other similar businesses.
However, following businesses will not be able to reply upon the exemption:
- a service provider that is required to maintain computer traffic data under the Computer-Related Crime Act B.E. 2550 (2007), unless it is an internet cafe;
- a data controller collecting, using, or disclosing personal data that is likely to result in a risk to the rights and freedoms of data subjects;
- a data controller whose business is not the business that the collection, use or disclosure of the personal data is occasional; or
- a data controller involved in the collection, use or disclosure of the sensitive personal data under the PDPA.
2. Rules and Methods for Preparing and Maintaining Records of Processing Activities for the Data Processor B.E. 2565 (2022)
This notification has been introduced as a way to determine the minimum information that the data processor is required to include in its ROPA. Such information includes:
- name and information of the data processor and its representative (if any);
- name and information of the relevant data controller and its representative (if any);
- name and information, including contact address and method, of the data protection officer (if any);
- types or nature of collection, use or disclosure of personal data; including personal data and purposes of the collection, use or disclosure of such personal data, as assigned by the data controller;
- types of persons or entities that receive personal data in case of transmitting or transferring personal data abroad; and
- description of security measures.
Please note, this notification will come into force on the 17th of December 2022.
3. Security Measures of the Data Controller B.E. 2565 (2022)
Under the PDPA, the data controller is required to provide the appropriate security measures for preventing the unauthorized or unlawful loss, access to, use, alteration, correction, or disclosure of personal data.
Such measures are subject to review if and when necessary, or when the technology has changed. These mandatory reviews are required in order to efficiently maintain the appropriate level of security and safety.
This notification provides a detailed minimum standard of the required security measures.
4. Rules for Consideration of Issuing Order to Impose Administrative Fines by the Expert Committee B.E. 2565 (2022)
This notification relates to the rules and procedures for the Expert Committee (which will be appointed under the PDPA) when issuing an order to impose administrative fines or other relevant administrative enforcement measures against those who do not comply with the PDPA.
Considerations include: seizure, confiscation, and sale by auction of assets where any person fails to make the correct and full payment of administrative fines after receiving written warning from the Expert Committee.
What happens if companies do not comply with these notifications?
Failure to comply with the requirements and obligations of these new regulations could result in the penalties specified under the PDPA being imposed on the company. For example, a fine of up to THB 5 million.
For more information relating to the penalties for breaching the PDPA, please take a look at our blog post on the subject ici.
What else do I need to know about the PDPA?
The PDPA has far reaching implications for many companies and is a complex piece of legislation. For more information about the PDPA please check out our following blog posts.
Comment notre équipe d'experts peut-elle vous aider ?
These new announcements highlight the fact that the Thai government is placing a lot of emphasis on the PDPA. By making these announcements so soon after the PDPA was launched, it is clear that the government is willing to change and adapt the PDPA quickly and accordingly to make it as effective as possible.
If you need more information about the PDPA and how to ensure full compliance, you can prendre rendez-vous with one of our PDPA experts.
Veuillez noter que cet article est fourni à titre d'information seulement et ne constitue pas un avis juridique.
Nos consultations durent jusqu'à une heure et sont menées par des juristes experts qui parlent couramment l'anglais, le français et le thaï.
Les consultations peuvent être organisées sur WhatsApp ou sur le Logiciel de Vidéoconférence de votre convenance. Une consultation avec l’un de nos experts juridiques est sans aucun doute le meilleur moyen d’obtenir toutes les informations dont vous avez besoin et de répondre à toutes les questions que vous pourriez avoir sur votre nouvelle entreprise ou votre projet.
150 USD
Jusqu'à 1 heure
Paiement en ligne (Paypal ou carte bancaire)
Les consultations juridiques peuvent être menées en anglais, en français ou en thaï.
Les consultations juridiques sont assurées par des des avocats expérimentés dans les domaines concernés.
Questions fréquemment posées
Qu'est-ce que la loi thaïlandaise sur la protection des données personnelles ?
Le PDPA est une loi qui empêche la violation des informations personnelles d'une personne concernée. La PDPA s'applique à toute collecte, utilisation ou divulgation de données personnelles obtenues par un contrôleur de données ou un processeur de données en Thaïlande. Toutefois, lorsqu'un contrôleur de données ou un processeur de données est situé en dehors de la Thaïlande, le PDPA s'applique toujours si la personne dont les données sont collectées, utilisées ou divulguées est située en Thaïlande.
Le RGPD s'applique-t-il en Thaïlande ?
Le RGPD s'applique aux organisations qui ont une présence dans l'UE, notamment les entités qui ont un « établissement » dans l'UE. Le RGPD s'applique également aux activités de traitement des responsables du traitement et des sous-traitants qui n'ont pas de présence dans l'UE, lorsque les activités de traitement sont liées à l'offre de biens ou de services à des personnes dans l'UE, ou à la surveillance du comportement des personnes dans l'UE.
Quels sont les pays qui offrent la meilleure protection des données ?
Le Danemark, la Norvège et le Canada sont considérés comme ayant les meilleures lois en matière de protection des données, au même titre que l'UE.
Quelle est la différence entre la PDPA et le RGPD?
Le RGPD énonce des règles spécifiques pour le traitement des données à caractère personnel à des fins de recherche, y compris la minimisation et l'anonymisation des données. Le PDPA ne prévoit pas de règles spécifiques pour la collecte, l'utilisation et la divulgation de données à caractère personnel à de telles fins, mais exige que « des mesures appropriées soient mises en place ».
Qui est couvert par le PDPA thaïlandais ?
Le PDPA couvre toutes les utilisations ou divulgations de données personnelles obtenues par un contrôleur de données ou un processeur de données en Thaïlande. Si le contrôleur de données et le sous-traitant sont situés en dehors de la Thaïlande, le PDPA reste d'application.
Qu'est-ce que la protection des données personnelles ?
La protection des données personnelles fait référence à la manière dont les entités publiques et privées reçoivent le consentement des personnes concernées. La protection des données couvre également les méthodes correctes de traitement, de collecte ou de divulgation des données personnelles.
What flag is Thailand?
The Thai flag is made up of 5 horizontal stripes of red, white, blue, white and red. The middle stripe twice as wide as the others
Did you know facts about Thailand?
Thailand was never colonized by European countries.
What is the capital of Thailand?
The capital of Thailand is Bangkok
Qui est exempté de l'application du PDPA ?
Les seules exceptions au PDPA sont les cas où la divulgation des informations est dans l'intérêt des procédures d'enquête, des procédures judiciaires ou lorsque la personne concernée a donné son consentement écrit.
Qui est soumis au PDPA ?
Le PDPA s'applique à toute collecte, utilisation ou divulgation de données à caractère personnel obtenues par un contrôleur de données ou un sous-traitant de données en Thaïlande.
Le PDPA s'applique-t-elle aux particuliers ?
Le PDPA s'applique aussi bien aux particuliers qu'aux entreprises...
Articles connexes
Promoting Innovation: Thailand’s BOI Matching Fund for Startups
This blog post explores key considerations for the BOI matching fund in Thailand.
Starting an Artificial Intelligence Business in Thailand in 2025
This blog post explores key considerations for a starting an Artificial Intelligence Business in Thailand.
Factory Set Up Thailand: Your 2025 Blueprint
This blog post explores key considerations for a factory set up in Thailand
Abonnez-vous aujourd'hui
Abonnez-vous aujourd'hui
À notre newsletter pour les dernières actualités juridiques
en Asie du Sud-Est, les mises à jour de Belaws et
les offres spéciales sur nos services.
To our newsletter today for all the latest legal news in South East Asia,
Belaws updates and special promotions on our services.
Belaws 2017 - 2025.
Belaws ne fournit que des informations et une plateforme technologique. Belaws n'est pas un "service de mise en relation avec des avocats" et ne fournit pas de services juridiques ni ne participe à aucune représentation juridique.
Belaws n'est pas un cabinet d'avocats ou un substitut à un avocat ou un cabinet d'avocats.
