LinkedIn
Facebook
Twitter
Whatsapp
Telegram
Copy link

アジアでは、データプライバシーの枠組みを十分に理解することが重要です。しかし、この地域の法律は同様の要素を共有していますが、プライバシーコンプライアンスの文化は比較的新しく、管轄区域によって取り組みが異なるため、隔たりが残っています。ここでは、専門家が、フィリピン、タイ、インドネシアで個人データを管理する法的枠組みをどのように構築したかを詳しく説明しています。


インドネシア

フィリピン

タイ

インドネシア

報技術の発展とデジタルメディアへのユーザーの関わりの増加により、基本的人権である個人のプライバシーの権利に対する人々の意識が高まりました。個人データの広大な使用と活用を考えると、個人データの保護が急務になり、プライバシーがますます重要視されています。

Agus Ahadi Deradjat, Partner, ABNR, Jakarta
Agus Ahadi Deradjat
ジャカルタのABNRのパートナー
Email: aderadjat@abnrlaw.com

インドネシアでは、個人データ保護規制が散在しており、電子情報取引法(EIT法)、健康および医療記録規制、人口行政法に記載されています。現在、EIT法とその施行規則は、さまざまな分野に適用される電子システムの個人データ保護の主要な基準となっています。しかし、現在、この問題に対処するための一貫した規制および法的傘が緊急に必要とされています。

インドネシア政府は、現在最終決定中の法案(PDP法案)を起草することにより、デジタル時代における個人データ保護の重要性の高まりに取り組んでいます。PDP法案は、インドネシアの包括的なプライバシー法になるように設計されています。EUの一般データ保護規則(GDPR)に基づいて、PDP法案は、データプライバシー保護にいくつかの重要で切望されている変更を加え、これにより、他の国で現在適用されている基準、特にGDPRとの整合性が高まります。 PDP法案に加えられた重要な調整の概要を以下に示します。

個人データの分類

IT法、電子システムおよび取引の提供に関する2019年の政府規則第71号(GR 71)、および電子システムにおける個人データ保護に関する2016年の通信情報技術大臣(MCIT)規則第20号(MR 20/2016)は個人データーを明確に説明していません。これは、「電子システムおよび/または非電子的手段の使用を通じて、そのデータを使用して、または直接的または間接的に他の情報と組み合わせて識別されるか、識別できるかどうかにかかわらず、個人に関連するすべてのデータ」として広く定義されます。

今後のPDP法案では、個人データは一般的な個人データに分類されます。これには、名前、性別、国籍、宗教、および個人を識別するために組み合わされたその他のデータが含まれます。 および特定の個人データ。これには、健康、生物測定、遺伝的、政治的見解、前科、個人の財務データ、性的指向、子供のデータ、および法律および規制に従ったその他のデータが含まれます。

ただし、分類に関係なく、PDP法案は一般的な個人データと特定の個人データを処理するための要件を区別していません。したがって、PDP法案の施行規則およびそれに続く部門規則は、この問題に関する詳細な規定を定める必要があるかもしれません。

データ管理者 データ処理者

現在、インドネシアの法律および規制は、データ管理者と処理者を区別していません。その結果、個人データを取り扱う当事者は、データ処理における実際の役割に関係なく、同じ責任と義務にさらされます。

この問題は、GDPRと同様に、データ管理者と処理者の役割を分離するPDP法案で対処されます。PDP法案は、データ管理者を個人データ処理の目的と管理を決定する当事者として定義し、データ処理者はデータ管理者に代わって個人データを処理する者として定義されています。

PDP法案は、個人データ処理の責任は処理者ではなくデータ管理者が負担するため、責任をさらに区別しています。ただし、データ処理者は、データ管理者によって事前に決定された命令、順序、または目的から逸脱した処理に対して責任を負います。つまり、前者の役割はデータ管理者の役割と同等です。

Kevin Omar Sidharta, Partner, ABNR, Jakarta
Kevin Omar Sidharta
ジャカルタのABNRのパートナー
Email: ksidarta@abnrlaw.com

合法的な根拠

GR71に従い、個人データを処理する人からの明示的な同意が義務付けられます。現在、インドネシアの法律および規制は、法執行の問題を除いて、これに基づいて機能していません。この要件は、データ主体から明示的な同意を得る必要があるため、企業にとって負担と見なされます。これは、すでに暗示されている、または取得することが不可能であると合理的に見なされる場合があります。

PDP法案は、GDPRの原則に類似した原則を採用しており、同意は個人データの合法的な処理に関するいくつかの要件の1つにすぎません。PDP法案は、GDPRの規定と同様に、同意なしの個人データ処理の例外を導入しています。

(1)データ主体が当事者である契約の履行のため、または契約を締結する前にデータ主体の要求を満たすため。

(2)法律によりデータ管理者に課せられる義務を遵守すること。

(3)データ主体の重大な利益を満たすため。

(4)法律によりデータ管理者に付与された権限の行使。

(5)データ管理者が公益の対象となる公共サービス義務の履行のため。 および/または

(6)データ管理者またはデータ主体の正当な利益を追求するため。

PDP法案に基づく強制的な同意要件の例外は、GR71の規定と矛盾します。ただし、PDP法はGR71よりも規制階層において優れた位置を占めるため、その規定は、個人データ処理の合法的な規定を含め、GR71の規定に取って代わるでしょう。

国境を越えたデータ転送

MR 20/2016に従い、個人データの国境を越えた転送は、転送がデータ主体によって同意されている限り制限されず、MCITまたは他の関連当局との調整の対象です。MCITの現在の方針に基づいて、年次報告書の提出を通じて強制的な調整が実施されます。

PDP法案では、コントローラー間の、国境を越えた個人データ転送に関する新しい要件が導入されています。これには、次の条件が適用されます。

(1)相手国の個人情報保護レベルが、PDP法案の規定と同等か、それ以上である。

(2)両国間に国際協定が存在する。

(3)個人データ保護の問題を取り扱うデータ管理者間の契約。および/または

(4)データ主体からの同意。

ただし、上記の規定は、管理者から処理者への、または国境を越えた個人データの転送には適用されません。

データ侵害

データ侵害が発生した場合、GR71およびMR20 / 2016は、電子システムオペレーターが、最初の機会に直ちにMCITおよび法執行機関に侵害を報告し、侵害の発見から14日以内にデータ主体に通知することを要求します。

PDP法案は、電子的および従来の個人データ処理にも適用される報告義務に関する詳細な要件も指定しています。 PDP法案では、データ管理者は72時間以内に、データ主体とMCITに個人データの保護の失敗を書面で通知する必要があります。通知には次の詳細が必要です。(i)侵害されたデータ。 (ii)データがいつどのように侵害されたか。 (iii)管理および復旧の取り組み。

Mahiswara Timur, Associate, ABNR, Jakarta
Mahiswara Timur
ジャカルタのABNRのアソシエイト
Email: mtimur@abnrlaw.com

データ保護責任者

PDP法案はまた、以下の基準を満たすデータ管理者および処理者のために、データ保護責任者も任命する義務を導入しています。

(1)データ処理は、公共サービスを提供することを目的としています。

(2)データ管理者の主な活動には、個人データの大規模で頻繁かつ体系的な監視が必要です。 そして

(3)データ管理者の中心的な活動には、大規模な特定の個人データおよび/または犯罪活動に関連する個人データの処理が含まれます。

データ保護責任者は、データプライバシーに関する専門的な資格、法的知識、および実務経験に基づいて任命する必要があります。ただし、PDP法案では、特定の必須の資格、技能、または学歴は規定されていません。一般に、彼らの役割は、データ管理者またはデータ処理者によって処理される個人データの安全を保護および保証することです。

結論

PDP法案は立法の優先リストに載っていますが、いつ発行され、法律として公布されるかは不明です。 政府は依然としてインドネシアでのコロナウイルスのパンデミックへの対処に焦点を合わせているため、その最終決定は遅れる可能性があります。

この法案は、包括的で一貫性のある個人データ規制が彼らの活動の重要な側面であるため、インドネシアの企業から非常に期待されています。ビジネスはすでに根本的に国境を越えたものになっているため、PDP法案は国際標準との互換性が高いと見なされています。これは、ますます増大するグローバル化のデジタル化の時代にビジネスを行うことの避けられない結果です。

ALI-BUDIARDJO,-NUGROHO,-REKSODIPUTRO-(ABNR)-Indonesia-legal-firm

Ali Budiardjo Nugroho Reksodiputro Counsellors at Law (ABNR)

Graha CIMB Niaga, 24/F

Jl. Jend. Sudirman, Kav. 58

Jakarta – 12190, Indonesia

Tel: +62 21 250 5125/5136

Email: info@abnrlaw.com

 

www.abnrlaw.com


フィリピン

アジアでは、データプライバシーの枠組みを十分に理解することが重要です。しかし、この地域の法律は同様の要素を共有していますが、プライバシーコンプライアンスの文化は比較的新しく、管轄区域によって取り組みが異なるため、隔たりが残っています。ここでは、専門家が、フィリピン、タイ、インドネシアで個人データを管理する法的枠組みをどのように構築したかを詳しく説明しています。

2012年のフィリピンのデータプライバシー法は、2012年8月15日に法制化されました。これは、国のデータプライバシー保護を管理する包括的な法律です。国家プライバシー委員会(NPC)–法の下で主に法の管理と実施を監督することを義務付けられた政府機関–は、法の実施規則と規制(IRR)によって2016年8月24日に公布されました。

John Paul M Gaba, Partner, ACCRALAW, Manila
John Paul M Gaba
マニラの ACCRALAW のパートナー
Tel: +632 830 8047
Email: jmgaba@accralaw.com

この法律は、グローバルな段階での個人データのより自由な交換、およびデータ保護のための国際基準の設定に対応して公布されました。フィリピンはビジネスプロセスアウトソーシング(BPO)サービスの世界的リーダーです。

2012年に法が制定される前は、個人データ処理に対する一元化された規制監督やデータ主体に対する包括的な保護措置がなかったため、当時の豊富な個人データは悪用や誤用の対象でした。当初考えられていた目的を超えた目的での連絡先の詳細の緩和されない使用と共有から、個人情報の盗難やセキュリティ違反まで、データ主体のプライバシーに対する憲法上保証された権利を損なっていました。

データプライバシー体制は、2006年に貿易産業省(DTI)が個人データの保護に関するガイドラインであるDTI管理命令第8-2006号を発行したときに始まりました。この発行は、現在の一般データ保護規則(GDPR)の前身である1995年のEUの当時のデータ保護指令に基づいて作成されました。したがって、この法律はGDPRによって支持されている基準と原則に深く根ざしています。

プライバシー法は、あらゆる種類の個人情報の処理、および民間部門と政府部門の両方で個人情報処理に関与する自然人または法人に適用されます。フィリピンにはないデータ管理者と処理者を対象としていますが、次のいずれかが対象です。(1)フィリピンにある機器を使用する。 または(2)フィリピンに事務所、支店、または代理店を維持する。

法律の適用可能性を判断する際のこのテストとは別に、法律は、データ主体の場所に関係なく、またそのような処理が行われる場所に関係なく、処理される個人データがフィリピン国民またはフィリピン居住者のいずれかに関係する場合の個人情報処理にも適用されます。

たとえば、現在米国で働いている在外フィリピン人労働者(OFW)の個人データが、地元のフィリピンの銀行によって処理されている場合に、この法律が適用されます。また、同じOFWの個人データがフィリピン国外の外国銀行によって処理されている場合、フィリピンのプライバシー法が適用されます。NPCが当該外国銀行にどのように法を執行できるかについては全く別の問題です。

「個人データの処理」とは、個人情報に対して実行される操作または一連の操作と定義されています(収集、記録、整理、保存、更新、変更、取得、相談、使用、統合、ブロック、消去および破壊等)「個人情報管理者」とは、個人情報の収集、保持、処理、または使用を管理する個人または組織を指します。(他の人または組織から指示されたような機能を実行する人、または個人、家族、または家事に関連して同じ機能を実行する個人を除きます)。「個人情報処理者」とは、個人情報管理者が個人データの処理を外部委託する可能性のある自然人または法人を指します。

以下の種類の情報は、法律の適用範囲から除外されます。

      1. 当該個人の地位または職務に関連する現在または以前の公務員に関する情報。
      2. 政府との契約に基づいて個人が実行するサービスに関連する情報。
      3. 政府が個人に与える任意の経済的利益に関する情報。
      4. ジャーナリズム、芸術、文学、または研究の目的で処理される個人情報。
      5. 公的機関の機能を実行するために必要な情報。
      6. 銀行および金融機関がマネーロンダリング防止法を遵守するために必要な情報。 そして
      7. 外国の管轄区域の法律に従って外国の管轄区域の居住者から収集された個人情報。

この法律は、合法的な処理のためのさまざまな要件が規定されているため、「個人情報」と「機密性の高い個人情報」を区別しています。個人情報とは、個人の身元が明らかであるか、合理的かつ直接的に確認できる情報、または他の情報と組み合わせると直接かつ確実に個人を特定できる情報を指します。

機密性の高い個人情報とは、人種、結婚歴、年齢、宗教的、哲学的、または政治的所属に関する個人情報を指します。これには、健康と教育、訴訟手続き、個人に固有の政府機関によって発行された情報(社会保障番号、健康記録、ライセンス、納税申告書など)、および法律または規制によって分類されていると明確に宣言されたものが含まれます。

法律とそのIRRは、個人データの処理が法律とそのIRRで明示的に概説されている条件のいずれかによってカバーされていない限り、一般に、個人データを有効に処理する前にデータ主体からの同意を必要とします。この法律は、有効な明示的同意のみを認識し、暗黙の同意に同意しないことに注意してください。これは、法律の下で「自由に与えられた、具体的な、情報に基づく意志の表示…[および]書面、電子、または記録された手段によって証明される」と定義されています。

この法律は、GDPRで認められている権利と同様に、個人情報に関するデータ主体の権利を広範囲に概説しています。これらの権利には次のものが含まれます。

(1)通知を受ける権利。

(2)アクセスする権利。

(3)異議を申し立てる権利。

(4)消去およびブロックする権利。

(5)是正する権利。

(6)苦情を申し立てる権利。

(7)損害賠償の権利。

(8)データの移植性に対する権利。

データ主体のこれらの権利は、個人情報が科学的および統計的研究に使用され、データ主体に関して活動が行われず、決定が行われない場合, または、データ主体の刑事、行政、または税金の責任に関連する調査の目的で収集される場合を除き、データ管理者およびデータ処理者によって遵守および尊重されなければなりません。

法律は、個人情報のセキュリティに関する一般原則、および個人情報の転送に関する説明責任を概説しています。政府における機密性の高い個人情報のセキュリティに関する具体的な規定、およびデータ侵害に関する規定とデータ侵害の事例を報告するための基本的なガイドラインが定められています。

GDPRに基づいて実施される制度と同様に、フィリピンのプライバシー法および規制は、個人データの侵害が発生した場合に、個人情報管理者に侵害通知義務を課しています。このような違反通知は、影響を受けるデータ主体に配信され、NPCに報告される必要があります。NPCに提出される侵害通知は、通知を必要とする個人データ侵害が発生したことを知った場合、または個人情報管理者または個人情報処理者が合理的に信じる場合、72時間以内に行う必要があります。

フィリピンのプライバシー規制では、データプライバシーオフィサー(DPO)の指名または任命が義務付けられています。ただし、すべてのDPOがNPCに登録する必要があるわけではありません。 NPCへのDPO登録は、次の場合に必須です。(1)事業体が250人以上を雇用している場合。 (2)事業体が少なくとも1,000人の個人の機密個人情報を含むレコードを処理する場合。 または(3)事業体の個人情報を処理することが、データ主体の権利と自由にリスクをもたらす可能性がある場合、または不定期ではないと見なされる場合。

最後の基準に関して、NPCは、データ主体の数や量、または処理される個人情報に関係なく、必須の登録要件の対象と見なされる分野を列挙したガイドラインを発行しました。重要と見なされるこれらの分野は次のとおりです。

(1)政府機関;

(2)銀行およびノンバンク金融機関。

(3)電気通信およびインターネットサービスプロバイダー。

(4)BPO企業;

(5)大学、カレッジ、その他すべての学校および訓練機関。

(6)病院、診療所、その他の医療施設。

(7)保険会社およびブローカー。

(8)ダイレクトマーケティング、ネットワーキング、およびポイントカードやポイントプログラムを提供するその他の企業に関与する者。

(9)研究に従事する製薬会社。

(10)これらの重要な分野のいずれかに含まれる個人情報管理者の個人データを処理する個人情報処理者。

DPOとは別に、IRRは、特定の形式のデータ処理システムをNPCに登録する必要があることを具体的に規定しています。

最後に、この法律の違反は、強制的な投獄と罰金で罰せられます。機密性の高い個人情報が含まれる場合、より高い範囲の罰則が課せられます。100人以上の個人情報が影響を受けた場合、最大の罰則が課せられ、大規模と見なされます。禁固刑の撤廃を含む法改正を提案する動きがNPCや他の関係部門によって開始されましたが、そのような取り扱いは現在のパンデミックのために保留されています。

ACCRALAW

22nd Floor, ACCRALAW Tower

2nd Avenue corner, 30th Street
Crescent Park West Bonifacio Global City,

1635 Taguig, Metro Manila, Philippines

Tel: +63 2 8830 8000

Email: accra@accralaw.com


www.accralaw.com


タイ

アジアでは、データプライバシーの枠組みを十分に理解することが重要です。しかし、この地域の法律は同様の要素を共有していますが、プライバシーコンプライアンスの文化は比較的新しく、管轄区域によって取り組みが異なるため、隔たりが残っています。ここでは、専門家が、フィリピン、タイ、インドネシアで個人データを管理する法的枠組みをどのように構築したかを詳しく説明しています。

イの2019年個人データ保護法(PDPA)は、自然人を無許可または違法な個人データの収集、使用、開示から保護するために公布されました。PDPAは2019年5月27日に発効しましたが、covid-19の拡大により、タイ政府は施行を2021年5月31日に延期しました。ただし、最低限の安全基準がすでに適用されています。データ管理者は、スタッフと関係者に個人データ保護の重要性を通知する必要があり、特定の管理上、技術上、および物理的な保護手段を実装する必要があります。

Veeranuch Thammavaranucupt, Senior Partner, Weerawong Chinnavat & Partners, Bangkok
Veeranuch Thammavaranucupt
バンコクの Weerawong Chinnavat&Partners のシニアパートナー
Tel: + 66 2 264 8000
Email: veeranuch.t@weerawongcp.com

データ権限

PDPAは、PDPCの下に専門家委員会と小委員会を備えた個人データ保護委員会(PDPC)を設立しました。 法第16条に従い、委員会の義務には以下が含まれます。

(1) 個人データを保護するための措置または手順を決定する。

(2) 通知または規制の発行。

(3) 保護手順の基準、および国外に転送されるデータの保護を発表する。 そして

(4) 個人データをサポートおよび保護するためのマスタープランの準備。

PDPAはまた、監査役会とともに、個人データ保護のための学術サービスの中心として機能する州機関であるPDPCの事務所を設立しました。

PDPAの多くの要件は、PDPCによって発表および実装される予定の規則によってカバーされます。2021年2月、規制当局は、2021年6月までに以下の規則を開始する計画で、規則草案に関する公聴会を実施しました。

(1) 同意を得るための基準と方法。

(2) 個人データの処理に関する通知。

(3) 機密性の高い個人データを処理するための適切なデータ保護方法。

(4) 海外へのデータ転送の基準と保護。

(5) 個人データ活動記録、データ主体の要求の方法、および個人データ侵害に関する報告。

(6) データ処理の安全対策。

(7) データ保護責任者。 そして

(8) 苦情および行政執行に関する手続き。

免除分野と機関

PDPAは、タイのデータ管理者またはデータ処理者による個人データの収集、使用、および開示を規制します。ただし、PDPAは以下には適用されません。

そのような人の個人的な利益または家事活動のためにのみそのようなデータを収集する人によって収集されたデータ。

(1) 公的機関の運営。

(2) マスメディア、美術、または文学の活動のためにのみ収集されるデータ。

(3) 議会または議会委員会の義務と権限に基づくデータ。

(4) 裁判所の対審と判決、および訴訟手続きにおける責任者の業務運営。

(5) 信用情報会社とそのメンバーによって収集されたデータ。そして

(6) 故人のデータ。

クレジット会社やヘルスケア会社などの特定の分野は、他の特定の法律や従属規制に準拠する必要があります。

個人データ

PDPAの第6条に従い、個人データとは、直接的または間接的に識別可能な人物に関連する情報を意味しますが、死亡した人物は除きます。

個人データには、一般的な個人データ(第24条)と機密性の高いデータ(第26条)の2種類があります。一般的なデータの収集には、データ主体の同意が必要です。個人データの例には、データ主体の住所、電子メールアドレス、電話番号、クレジットカード情報などが含まれます。

PDPAは、機密性の高い個人データに対してより厳しい規則を課します。PDPAの第26条および27に従い、機密性の高い個人データの処理は、データ主体の明示的な同意なしに禁止されており、明確な声明で確認され、行動から推測される同意ではありません。重要な利益、公開データ、法的請求、法的義務などのデータを処理するための合法的な根拠がある場合、同意の要件には例外があります。

Thaya Uthayophas, Associate, Weerawong Chinnavat & Partners, Bangkok
Thaya Uthayophas
バンコクの Weerawong Chinnavat&Partners のアソシエイト
Tel: + 66 2 264 8000
Email: thaya.u@weerawongcp.com

データ管理者と処理者

PDPAは、個人データを管理する人と個人データの処理サービスを提供する人を区別します。

PDPAの第6条に準拠:

. データ管理者は、個人データの収集、使用、または開示について決定を下す権限を持つ自然人または法人です。

. データ処理者は、データ管理者によって、またはデータ管理者に代わって与えられた命令に従って、個人データの収集、使用、または開示に関連して運営する自然人または法人です。

PDPAの第37条は、安全対策と検証手順の調整、および個人データに関連する違反の通知をPDPC当局に提供することを含む、データ管理者の義務を定めています。

PDPAの第37条は、データ管理者が個人データの不正または違法な損失、アクセス、使用、変更、修正、または開示を防ぐために適切な安全対策を提供および維持する必要があると規定しています。

PDPAの第40条は、安全対策の調整、個人データに関連する違反のデータ管理者への通知、ログの準備と維持など、データ処理者の義務を定めています。

事業の過程で個人データを収集するほとんどの企業は、管理者または処理者と見なされ、PDPAに準拠する必要があります。データ管理者またはデータ処理者がタイ国外にいる場合、PDPAは、タイにいる主体の個人データの収集、使用、または開示に適用されます。データ管理者またはデータ処理者の活動は次のとおりです。(1)支払いがデータ主体によって行われたかどうかに関係なく、タイにいるデータ主体への商品またはサービスの提供。 (2)タイで行動が行われるデータ主体の行動の監視。

データ収集

PDPAの第21条に基づき、個人データの収集、使用、または開示は、データ主体に新しい目的が通知されており、収集、使用、または開示の前に同意が得られている場合を除き、データ主体に以前に通知された目的とは異なる方法で行われてはなりません。

PDPAの第23条に従い、データ管理者は、個人データの収集前または収集時に、データ主体に次のことを通知する必要があります。

    1. 個人データの収集の目的。
    2. 個人データの保管期間。
    3. データ管理者の身元(連絡先の詳細)。
    4. データ主体が個人データを開示する理由。
    5. 個人データが開示される可能性のある受信者の身元。
    6. 収集する必要のある情報。
    7. データ主体の権利。 そして
    8. 情報を提供しないことの影響。

第39条は、データ管理者が次の記録を維持する必要があると述べています。

    1. 収集された個人データ。
    2. 個人データの収集の目的。
    3. データ管理者の詳細。
    4. 個人データの保持期間。
    5. 個人データにアクセスする権利と方法。
    6. 同意要件から免除された個人データの使用または開示。
    7. 要求または異議の拒否。 そして
    8. 個人情報の漏えいを防止するための適切な安全対策の説明。

PDPAの第30条に従い、データ主体は、データ管理者の責任の下で、彼または彼女に関連する個人データへのアクセスを要求し、そのコピーを取得する権利があります。PDPAの第35条に従い、データ管理者は、個人データが正確、最新、完全であり、誤解を招かないようにする必要があります。

法的な根拠

PDPAの第20条に従い、民事および商法の第22-24条で規定されているとおり、未成年者の同意を与える行為が未成年者が単独で行う権利を有する行為ではない場合、未成年者に対する親の責任を持つ者の同意が必要です。未成年者が10歳未満の場合、このような同意も必要です。

PDPAの第24および27に従い、データ管理者は、以下の理由で合法的な根拠がない限り、データ主体の同意なしに個人データを処理してはいけません。調査、重要な利益、契約、公務または当局、データ管理者の正当な利益(データ主体の権利とのバランス)、および法的義務。

データの侵害

PDPAの第37条(4)は、データ管理者がPDPCに知ってから72時間以内に、PDPCの当局に個人データの侵害を通知することを要求しています。

PDPAに基づいて定められた違反に対する罰則には、刑事罰と民事罰の両方が含まれます。刑事罰には、最高1年間の服役、および/または最高100万バーツ(32,500米ドル)の罰金が含まれます。

さらに、違反が取締役または会社の責任者の指示または不作為によって引き起こされた場合、彼/彼女はPDPAの下で同じ罰則の対象となる可能性があります。民事責任には、実際の損害の最大2倍の懲罰的損害賠償が含まれます。民事損害賠償は、集団訴訟の下でも請求される可能性があります。さらに、PDPCの専門家委員会は、違反者に対して最大500万バーツ(163,417米ドル)の罰金を科す権限があります。

結論

治外法権の適用により、PDPAは、個人データの収集と使用、または国内の自然人の行動の監視を目的としてタイ内外のビジネスに大きな影響を与えることが期待されています。

Weerawong Chinnavat & Partners logo

WEERAWONG CHINNAVAT & PARTNERS

22nd Floor, Mercury Tower

540 Ploenchit RoadLumpini Pathumwan
Bangkok 10330,Thailand

Tel: +662 264 8000

Fax: +662 657 2222

 

www.weerawongcp.com

LinkedIn
Facebook
Twitter
Whatsapp
Telegram
Copy link