PDPA (พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของไทย)

สำหรับองค์กรที่ดำเนินธุรกิจในประเทศไทย การปฏิบัติตาม PDPA เป็นสิ่งที่หลีกเลี่ยงไม่ได้ กฎหมายฉบับนี้ซึ่งบังคับใช้อย่างเต็มรูปแบบแล้ว ครอบคลุมทุกองค์กรที่จัดการข้อมูลส่วนบุคคลภายในประเทศไทย ไม่เพียงแต่นิติบุคคลไทยเท่านั้น แต่ยังรวมถึงบริษัทต่างประเทศที่ประมวลผลข้อมูลของผู้พำนักอาศัยในไทยด้วย เช่นเดียวกับ GDPR กฎหมายนี้กำหนดให้ต้องได้รับความยินยอมจากเจ้าของข้อมูล (Data Subject) ห้ามใช้ข้อมูลนอกเหนือจากวัตถุประสงค์ที่กำหนด และมีข้อบังคับให้แจ้งเหตุข้อมูลรั่วไหลภายใน 72 ชั่วโมง อย่างไรก็ตาม การตีความ Lawful Basis และกลไกการบังคับใช้มีความแตกต่างจาก GDPR ดังนั้นการที่องค์กรปฏิบัติตาม GDPR แล้วจึงไม่ได้หมายความว่าจะปฏิบัติตาม PDPA ได้โดยอัตโนมัติ ในบริบทของการนำ AI มาใช้งาน ประเด็นสำคัญคือการจัดการข้อมูลส่วนบุคคลที่รวมอยู่ในข้อมูลสำหรับการฝึกโมเดล หากนำข้อมูลลูกค้ามาใช้ในการ Train โมเดล จำเป็นต้องระบุวัตถุประสงค์อย่างชัดเจนและได้รับความยินยอม นอกจากนี้ การเลือกวิธีการ Anonymization และ Pseudonymization ของข้อมูลยังเป็นประเด็นที่ต้องพิจารณาในเชิง Governance ด้วย โทษปรับสำหรับการละเมิดสูงสุดอยู่ที่ 5 ล้านบาท ซึ่งแม้จะไม่สูงเท่า GDPR แต่เมื่อคำนึงถึง Reputation Risk แล้วก็ไม่ควรมองข้าม บริษัทญี่ปุ่นที่มีฐานการดำเนินงานในประเทศไทยจำเป็นต้องดำเนินการร่วมกับฝ่ายกฎหมายในพื้นที่