|
泰国 |
泰国的主要数据隐私保护法是《个人数据保护法》(Personal Data Protection Act,简称PDPA)。该法案于2019年通过,并于2022年6月起全面生效。
《个人数据保护法》规定了处理个人数据的主要原则,指定个人数据保护委员会(PDPC)为主管机构。
PDPC职权如下:实施及执行PDPA;颁布实施细则和条例;制定个人数据保护政策和指南;针对投诉进行调查;并对违反《个人数据保护法》的数据控制者和数据处理者发出强制执行令。
截至2023年11月,PDPC已根据PDPA颁布了21项实施细则、条例和指南。
PDPA的主要规定
高级合伙人
LawPlus律师事务所
曼谷办公室
邮箱:kowit.somwaiya@lawplusltd.com
-
个人数据的种类。根据PDPA,个人数据是指与个人有关的、可直接或间接确定其身份的任何信息,但不包括亡故人士的信息。
PDPA规管两类个人数据的处理:(1)一般个人数据,以及(2)敏感个人数据。
敏感个人数据是指“与种族、民族、政治观点、异教、宗教或哲学信仰、性行为、犯罪记录、健康数据、残疾、工会信息、基因数据、生物特征数据有关的个人数据或可能以同样方式影响数据主体的任何其他数据”。
- 个人数据的处理。PDPA项下的个人数据“处理”,指个人数据的收集、使用及披露。个人数据仅在必要的情况下收集,保留期限为实现处理目的所必要的最短时间。数据控制者必须在收集一般个人数据之前或之时将收集数据之目的告知数据主体,具体方式为向数据主体发出隐私声明。该隐私声明至少应包含:个人数据处理的目的;数据控制者及其数据保护官(DPO)的详细资料;个人数据可能向哪些第三方披露;数据主体的权利,以及数据主体行使该等权利的方式和时间。
禁止在未经数据主体明确同意的情况下收集、使用或披露敏感个人数据,但少数例外情况除外,例如,在数据主体无法表示同意(无论出于何种原因)的情况下,为防止或控制对个人生命、身体或健康的危害而使用数据。
对个人数据的处理必须符合PDPA的法律要求,否则视为非法处理。如果对个人数据的处理基于数据主体的同意,数据主体可随时通知数据控制者或数据处理者撤回其同意。
在处理个人数据时,数据控制者和数据处理者必须保持个人数据的完整性和保密性。
Usa Ua-areetham
合伙人
LawPlus律师事务所
曼谷办公室
邮箱:usa.ua-areetham@lawplusltd.com数据控制者或数据处理者必须保存其个人数据处理活动的完整记录,方便PDPC检查,或提交给PDPC。
-
跨境数据传输。禁止将个人数据传输到缺乏充分数据保护的司法管辖区或国际组织,除非:(i)数据主体在被告知缺乏充分数据保护后仍明确表示同意;以及(ii)根据传输方与目的地国家的接收方或接收数据的国际组织之间订立的合同约定,个人数据跨境传输是必要的。
PDPC鼓励同一集团内的公司实施内部约束性公司规则来管理集团内的数据传输,以确保集团内部各公司采用相同的高标准数据保护措施。
- 数据保护官(DPO)。如果数据控制者和数据处理者的核心业务涉及下列任何一项活动,它们必须任命一名DPO:(i)需要定期监测个人数据或系统的大规模个人数据处理活动,例如跟踪、监测、分析或预测行为或态度;系统性处理个人数据,如会员计划、信用评分、欺诈防范、网络服务提供商或电信运营商的数据处理以及行为广告;或(ii)处理敏感个人数据,无论个人数据规模大小。该规定从2023年12月13日起实施。
未任命DPO的,可处以不超过100万泰铢(约28,300美元)的行政罚款。
未成年人保护
收集十岁以下未成年人的个人数据,必须取得承担父母责任之人的同意。
如果未成年人已满十岁,但并未因结婚而具有完全行为能力,或缺乏完全行为能力,则必须同时取得未成年人和承担父母责任之人的同意。
合规要求
律师
LawPlus律师事务所
曼谷办公室
邮箱:warit.lertwuthisart@lawplusltd.com
根据PDPA,企业须建立下列主要合规制度:
- 建立和维持完全符合PDPA数据处理要求的数据隐私政策;
- 数据控制者与数据处理者之间签订数据处理协议或数据传输协议;
- 建立数据保护影响评估制度,识别数据隐私风险并制定风险管控措施;
- 在收集、使用或披露个人数据之前或之时获得数据主体的明确同意(例外情形除外),并将该等同意记录在案;
- 建立相关机制保护和便利数据主体行使权利,如个人数据访问权;随时撤回同意的权利;纠正、删除、限制或反对处理个人数据的权利;数据携带权;以及向PDPC办公室提交投诉的权利;以及
- 如核心业务需要,按PDPA要求委任一名DPO,由DPO作为数据主体及PDPC的联络人。
数据泄露
如出现数据泄露,且数据泄露可能对数据主体的权利和自由造成风险,则必须在意识到数据泄露后72小时内向PDPC提交数据泄露通知。该通知必须包括泄露的性质、数据控制者的联系人或DPO的详细信息、可能的后果,以及已采取或将采取的减轻潜在不利影响的措施。
如果数据泄露可能对数据主体的权利和自由造成高风险,则必须立即同时向PDPC和数据主体发出数据泄露通知,且该通知应包含补救措施。
如果数据泄露涉及多个数据主体,数据控制者可一一通知各数据主体,也可以通过公共媒体、社交媒体或电子手段,或者数据主体或公众可访问的任何其他方式以公告的形式发出通知。
PDPA项下的罚则
未遵守PDPA合规要求或违反PDPA相关限制或禁令的数据控制者和数据处理者,可被处以行政罚款,或被追究刑事责任和民事责任。
最高行政罚款为500万泰铢。刑事责任包括每次违法行为可被处以最高监禁一年及/或最高罚金100万泰铢。
民事责任是指根据法院判决应向受害数据主体支付实际损害赔偿金和惩罚性损害赔偿金。
PDPC或法庭判令的罚款金额视违法行为性质、情节轻重和持续时间、受影响的数据主体的数量以及在违法行为发生时和发生后实施的缓解措施而定。
本文提供的信息不构成法律建议。该等信息属一般性质,可能并不适用于任何特定情况。在根据所提供的信息采取任何措施之前,应征求具体意见。
LAWPLUS LTD.
Unit 1401, 14th Fl., Abdulrahim Place
990 Rama IV Road, Bangkok 10500, Thailand
电话:+662 636 0662(国际)
电话:02 636 0662(国内)
www.lawplusltd.com
