PDPA Thailand: GDPR-Inspired Framework di Southeast Asia
Thailand PDPA (Personal Data Protection Act, B.E. 2562/2019) adalah regulasi perlindungan data modern yang fully effective sejak Juni 2022. PDPA Thailand adalah yang paling GDPR-inspired regulation di Southeast Asia setelah UU PDP Indonesia, reflecting conscious policy decision oleh Thai government untuk align dengan international best practices. Struktur PDPA Thailand closely mirrors GDPR: lawful basis framework dengan 7 bases (contract, legal obligation, vital interest, public task, legitimate interest, consent, research purposes), comprehensive individual rights (access, correction, deletion, restriction, portability, objection, automated decision explanation), processor and controller framework, DPO requirement untuk certain organizations, Personal Data Protection Committee (PDPC) sebagai independent supervisor, dan mandatory breach notification. Phase-in period yang generus (18 bulan) allowed Thai organizations untuk prepare compliance, sementara UU PDP Indonesia juga provided transition hingga 2025. Ini reflects recognition bahwa major regulatory change requires substantial organizational adaptation time.
Dasar Hukum: Tujuh Basis Pemrosesan di Thailand
PDPA Thailand mengakui 7 lawful basis untuk processing personal data:
(1) Performance of contract;
(2) Legal obligation;
(3) Vital interests;
(4) Public task;
(5) Legitimate interests;
(6) Consent;
(7) Research/Statistical purposes dengan anonymization.
Perbandingan dengan UU PDP yang hanya mengakui 6 bases: UU PDP tidak secara explicit mengakui research/statistical sebagai separate basis. PDPA Thailand basis reflects contemporary thinking tentang research ethics. Mapping antara keduanya: Contract (sama), Legal obligation (sama), Vital interest (sama), Public task (UU PDP Pasal 20 huruf d), Legitimate interest (UU PDP Pasal 20 huruf f), Consent (sama), Research (UU PDP tidak explicit, potentially covered under legitimate interest dengan appropriate safeguards). Organisasi yang beroperasi lintas Thailand-Indonesia dapat apply PDPA Thailand framework untuk research-related processing di Thailand, namun harus ensure basis tersebut defensible under UU PDP framework juga.
| KONSEP KUNCI | PDPA Thailand dan UU PDP keduanya GDPR-inspired dengan similar structure: lawful basis framework, comprehensive rights, independent supervisor, breach notification. Perbedaan subtle dalam basis (Thailand explicit research, Indonesia tidak) dan enforcement timeline (Thailand 72 jam, Indonesia 14 hari) require organizations untuk adopt stricter approach di both. |
Perbedaan dalam Notifikasi Pelanggaran dan Timeline Enforcement
PDPA Thailand Pasal 53 mewajibkan notification kepada PDPC dalam 72 jam setelah awareness pelanggaran yang likely poses "significant impact" (similar dengan GDPR risk-based approach). Notification ke data subjects diperlukan jika breach likely poses high risk. Ini sama dengan GDPR Article 33 approach. UU PDP Pasal 49 mewajibkan notification ke LPDP dalam 14 hari untuk ALL breaches without exception (mandatory, tidak risk-based). Perbedaan ini critical dalam operational practice: PDPA Thailand requires faster response (72 hours vs 14 days) tetapi dengan flexibility karena risk-based, sementara UU PDP memiliki longer timeline tetapi less flexibility. Untuk organizational compliance, adopting 72-hour timeline untuk PDPA Thailand akan automatically satisfy UU PDP 14-day requirement, making it more efficient untuk regional operations. PDPA Thailand memiliki more established enforcement patterns (sudah 2+ tahun operational), sementara UU PDP enforcement masih dalam build-up phase dengan LPDP.
Pendekatan Data Anak dan Mekanisme Dispute Resolution
PDPA Thailand Section 26 mengatur data anak (di bawah 15 tahun) dengan requirement bahwa consent harus diperoleh dari parental guardian. UU PDP Pasal 26 juga mengatur data anak tetapi dengan phrase anak-anak yang technically means usia di bawah 21 tahun (berdasarkan definition anak dalam hukum Indonesia), creating broader scope. Ini berarti UU PDP potentially applies protective framework kepada age group 15-21 yang PDPA Thailand tidak regulate. Organisasi yang process teenage data akan experience more stringent requirements di Indonesia. Dalam mekanisme penyelesaian sengketa, PDPA Thailand menunjuk PDPC untuk receive complaints dan dapat issue orders, namun without explicit private right of action. UU PDP Pasal 96 mengakui hak gugat individu (private right of action) kepada pengadilan untuk kerugian material atau immaterial. Ini means di Indonesia, individuals dapat pursue litigation untuk privacy breaches, sementara di Thailand individuals would need PDPC intervention. Bagi organizations, ini means Thailand provides some protection dari private litigation, sementara Indonesia exposure terhadap private claims adalah real.
Besaran Sanksi dan Kelembagaan Pengawas
PDPA Thailand memiliki financial penalties: untuk violations minor hingga 5 juta Baht; untuk violations substantive hingga 10 juta Baht. UU PDP Pasal 102 dan 104 menetapkan administrative fine hingga 2% dari pendapatan tahunan (domestik Indonesia). Untuk organisasi besar, UU PDP potentially dapat impose jauh lebih tinggi penalty dibanding PDPA Thailand, karena 2% dari pendapatan besar organization bisa exceed 10 juta Baht significantly. PDPC Thailand adalah independent authority directly accountable kepada Thai Cabinet, sementara LPDP adalah independent body under Presidential structure dengan different governance model. Keduanya independent tetapi dalam governance structure yang sedikit berbeda. PDPC Thailand memiliki established operations dan published enforcement actions, sementara LPDP masih dalam start-up phase. Organizations yang already operating di Thailand sudah adapted dengan PDPC oversight.
| PENTING | PDPA Thailand breach notification adalah 72 jam (same as GDPR), UU PDP adalah 14 hari. Adopting 72-hour timeline untuk Thailand automatically satisfies Indonesia. PDPA Thailand penalties capped 10 juta Baht; UU PDP hingga 2% revenue (potentially much higher untuk large orgs). Strategic adalah prepare untuk worst-case UU PDP scenario sambil maintaining PDPA Thailand compliance. |
Strategi Compliance untuk Operasi Lintas Indonesia-Thailand
Organisasi yang beroperasi di Indonesia dan Thailand harus adopt highest common denominator approach mengingat kesamaan kedua frameworks. Secara praktis:
(1) Lawful basis selection: identify which basis dari 7 PDPA Thailand bases dapat apply, ensure basis tersebut defensible under 6 UU PDP bases;
(2) Breach notification: implement SOP dengan 72-hour timeline untuk PDPA Thailand (stricter), yang automatically satisfy 14-day UU PDP requirement;
(3) Data subject rights: implement full UU PDP 9 rights untuk semua individuals (including di Thailand), karena lebih comprehensive;
(4) DPO appointment: evaluate both frameworks DPO requirements, appoint single regional DPO yang dapat serve untuk both jurisdictions;
(5) Privacy impact assessment: develop single regional template yang satisfy both PDPA Thailand dan UU PDP requirements;
(6) Children data: apply UU PDP stricter framework (hingga 21 tahun) bukan hanya PDPA Thailand (15 tahun);
(7) Dispute resolution: establish process untuk handle both PDPC complaints dan potential private litigation.
Documentation strategy harus maintain clear audit trails untuk both regulators, dengan separate sections untuk jurisdiction-specific requirements.
| Elemen Compliance | PDPA Thailand | UU PDP | Dual Compliance Standard |
|---|---|---|---|
| Lawful Basis Count | 7 bases (+ research) | 6 bases (research not explicit) | Apply 7-basis framework, document research defensibility |
| Breach Notification Timeline | 72 hours PDPC (if likely harm) | 14 days LPDP (mandatory all) | Adopt 72-hour timeline (stricter, covers both) |
| Age of Child Protection | Below 15 years | Below 21 years | Adopt UU PDP 21-year threshold (broader protection) |
| Sanctions Range | 5-10 juta Baht (~SGD 180K-360K) | 2% annual income (no cap) | Prepare for UU PDP worst-case (potentially much higher) |
| Dispute Resolution | PDPC complaints only | Private litigation + LPDP | Establish process untuk handle both complaint types |
| DPO Requirement | Public authorities, large processing | Similar to PDPA Thailand | Single regional DPO for both jurisdictions |
| Aspek | Persamaan dengan GDPR | Implementation untuk Indonesia-Thailand |
|---|---|---|
| Framework Inspirasi | Both PDPA Thailand dan UU PDP inspired GDPR | Organizations familiar GDPR akan easily understand both |
| Lawful Basis Structure | Similar 6-7 bases, consent + legitimate interest prominent | Map setiap basis carefully untuk consistency |
| Individual Rights | Comprehensive rights framework (8-9 rights) | Implement full 9 UU PDP rights universally |
| Controller-Processor Model | Clear separation dengan defined responsibilities | Ensure DPA templates satisfy both frameworks |
| Data Transfer Protection | Require adequacy atau contractual safeguards | Use mechanism acceptable untuk PDPC + LPDP |
| Breach Notification | 72 hours (GDPR+PDPA Thailand) vs 14 days (UU PDP) | Adopt 72-hour standard (stricter, covers all) |