데이터 개인정보 보호에 주의하세요: 태국

태국의 개인정보보호법은 개인데이터보호법(PDPA)으로, 2019년에 법률로 통과되어 2022년 6월에 완전히 발효되었다.

해당 법은 개인 데이터 처리에 관한 주요 원칙을 규정하고 개인데이터보호위원회(PDPC)를 설립해 데이터보호를 규제할 것을 요구한다.

개인데이터보호위원회의 권한은 아래와 같다.

• 규제 및 규정 제정 및 실행
• 개인 데이터 보호에 대한 정책 및 지침 제정
• 이의 제기 조사 진행
• 개인데이터 보호법 위반 데이터 관리자 및 처리자를 대상으로 집행 명령 이행

2023년 11월 현재 개인데이터보호위원회는 개인데이터보호법에 따라 21개의 시행 규칙, 규정 및 지침을 발표했다.

개인데이터보호위원회의 핵심 원칙

1. 개인 데이터의 범주.개인데이터보호법에 따라 개인 데이터는 개인과 관련된 모든 정보를 의미한다. 해당 정보를 통해 직간접적으로 개인을 식별할 수 있는 정보다. 하지만 사망한 개인에 대한 정보는 포함되지 않는다. 해당법는 (i) 일반 개인 데이터와 (ii) 민감한 개인 데이터(SPD)라는 두 가지 범주의 개인 데이터 처리를 다룬다. 민감한 개인 데이터는 ‘인종, 민족, 정치적 견해, 종교, 종교적 또는 철학적 신념, 성적 행동, 범죄 기록, 건강 데이터, 장애, 노동 조합 정보, 유전 데이터, 생체 인식 데이터 또는 동일한 방식으로 데이터 주체에게 영향을 미칠 수 있는 모든 기타 데이터’를 포함한다.

2. 개인정보 처리. 개인데이터보호법에 따른 개인 데이터의 “처리”는 개인 데이터의 수집, 사용 및 공개를 의미한다. 개인정보는 꼭 필요한 경우에만 수집할 수 있으며, 해당 목적을 위해 필요한 기간 동안만 보관할 수 있다.

   데이터 관리자는 데이터 주체에게 최소한 다음 내용이 포함된 개인정보 보호 고지를 제공하여 일반 개인 데이터를 수집하기 전이나 수집한 후에 데이터 주체에게 일반 개인 데이터 수집 목적을 알려야 한다. i) 데이터 관리자 및 해당 데이터 보호 담당자(DPO)의 세부정보 ii) 개인 데이터가 공개될 수 있는 제3자iii) 데이터 주체의 권리iv) 그러한 권리를 행사할 수 있는 방법과 시기.

   어떤 이유로든 데이터 주체가 동의할 수 없는 경우 개인의 생명, 신체 또는 건강에 대한 위험을 막거나 억제하는 등 몇 가지 예외를 제외하고는 데이터 주체의 명시적인 동의 없이 민감한 개인데이터를 수집, 사용 또는 공개하는 것은 금지된다.

3. 국경 간 데이터 전송. 개인 데이터는 다음을 제외하고는 적절한 데이터 보호가 부족한 관할권이나 해외 관할권으로 이전될 수 없다. (i) 데이터 주체가 적절한 데이터 보호 부족에 대한 정보를 제공받고 명백하게 이전에 동의하는 경우 (ii) 목적지 국가 또는 수신하는 해외 관할권의 양도인과 수령인 간의 계약에 따라 개인 데이터 국경 간 전송이 필요한 경우.

   

   개인데이터보호위원회는 동일한 그룹에 속한 회사가 그룹 내 데이터 전송을 관리하는 구속력 있는 사내 규칙을 구현하여 그룹 회사가 동일하고 높은 데이터 보호 표준을 채택하도록 권장한다.

4. 데이터 보호 담당자(DPO). 2023년 12월 13일부터 데이터 관리자와 데이터 처리자는 핵심 활동이 다음과 관련된 경우 데이터 보호 담당자를 임명해야 한다. (i) 개인 데이터 또는 시스템에 대한 정기적인 모니터링이 필요한 대규모 개인 데이터를 처리하는 경우, 예: 행동 또는 태도 추적, 모니터링, 분석 또는 예측, 개인 데이터, 멤버십 프로그램, 신용 평가, 사기 방지를 위한 체계적인 처리, 네트워크 서비스 제공자 또는 통신 사업자의 데이터 처리, 행동 광고 또는 (ii) 개인데이터의 규모에 관계없이 민감한 개인데이터를 처리하는 경우.

   데이터 보호 담당자를 지정하지 않을 경우 THB1백만(USD28,300) 이하의 행정상 벌금이 부과될 수 있다.

미성년자 보호

10세 미만의 미성년자로부터 개인정보를 수집하려면 친권자로부터 동의를 받아야 한다.

미성년자가 10세 이상이고 혼인으로 자기결정권이 없거나 자기결정능력이 부족한 경우라면 미성년자 본인과 친권자의 책임이 있는자로부터 동의를 받아야 한다.

규정 준수 요건

개인데이터보호법에 따라 기업이 마련해야 할 주요 규정 준수 프로그램은 다음과 같다.

1. 개인데이터보호법에 따른 데이터 처리 요건을 완전히 준수하는 개인정보 보호정책을 수립하고 유지한다.
2. 데이터 관리자와 데이터 처리자 간에 데이터 처리 계약 또는 데이터 전송 계약을 체결한다.
3. 개인정보보호 위험과 그러한 위험을 완화하기 위한 조치를 식별하기 위한 데이터 보호 영향 평가를 작성한다.
4. 개인정보를 수집, 사용 또는 공개하기 전이나 수집한 후에 데이터 주체로부터 명시적인 동의를 얻는다. 예외가 적용되는 경우를 제외하고 그러한 동의에 대한 기록을 보관한다.
5. 다음과 같이 데이터 주체의 권리 행사를 보호하고 촉진하기 위한 메커니즘을 확립한다.
   i) 개인데이터에 액세스할 권리
   ii) 언제든지 동의를 철회할 권리 iii) 개인데이터 수정, 삭제, 제한 또는 처리 거부 권리
   iv) 데이터 이동에 대한 권리
   v) 개인데이터보호위원회에 이의를 제기할 권리
6. 개인데이터보호법 준수를 보장하고 데이터 주체 및 개인데이터보호위원회의 연락 담당자 역할을 하기 위해, 필요한 경우 데이터 보호 담당자(DPO)를 임명한다.

데이터 위반

데이터 주체의 권리와 자유에 위험을 초래할 가능성이 있는 경우, 위반 사실을 인지한 후 72시간 이내에 데이터 위반 통지를 개인데이터보호위원회에 제출해야 한다. 통지에는 위반의 성격, 연락 담당자 또는 데이터 관리자의 데이터 보호 담당자(DPO) 세부 정보, 가능한 결과, 잠재적인 부작용을 완화하기 위해 취했거나 취해야 할 조치가 포함되어야 한다

데이터 침해가 데이터 주체의 권리와 자유에 큰 위험을 초래할 가능성이 있는 경우, 시정 조치가 포함된 데이터 위반 통지를 개인데이터보호위원회와 데이터 주체 모두에게 지체 없이 통지해야 한다.

데이터 위반이 여러 데이터 주체와 관련된 경우 데이터 관리자는 공개 미디어, 소셜 미디어, 전자 수단 또는 데이터 주체나 일반 대중이 접근할 수 있는 기타 수단을 통해 각 주체에게 알리거나 일반 대중에게 알려야 한다.

개인데이터보호법에 따른 벌금

규정 준수 요건을 준수하지 않거나 개인데이터보호법에 따른 제한 또는 금지 사항을 위반하는 데이터 관리자 및 데이터 처리자는 벌금이 부과되거나 민형사상 책임의 대상이 될 수 있다.

최대 벌금은 THB 5백만이다. 형사상 책임이 있는 경우 위반 건당 최대 1년의 징역 및/또는 위반 건당 최대 THB 100만의 벌금이 포함된다.

민사책임은 법원이 명령하는 바에 따라 피해를 입은 데이터 주체에게 지급되는 실제 손해배상 및 징벌적 손해배상을 의미한다.

개인데이터보호위원회 또는 법원이 부과하는 처벌은 위반의 성격, 심각도 및 기간, 영향을 받는 데이터 주체의 수, 위반 발생 시 및 이후에 구현된 완화 조치에 따라 달라질 수 있다.

이 글에 제공된 정보는 법적 조언이 아닌 일반적인 설명이므로 특정 상황에는 적용되지 않을 수 있다. 제공된 정보를 바탕으로 조치를 취하기 전에 구체적인 조언을 구해야 한다.