个人数据保护法

个人数据保护法》（PDPA）

本法适用于任何数据处理者或数据控制者在泰王国收集、使用或披露个人数据的行为，即使此类披露、使用或收集行为并非发生在泰国。如果数据处理者或数据控制者位于泰国境外，本法仍适用于泰国境内的数据主体。

"个人资料 "系指与特定个人有关的、可直接或间接识别该人身份的任何信息，但不包括已故人员的信息；

"数据控制者 "是指有权力和义务就收集、使用或披露个人数据做出决定的普通人或法人；

"数据处理者 "是指根据数据控制者或其代表下达的指令收集、使用或披露个人数据的自然人或法人，而该自然人或法人并非数据控制者。

背景：泰国的个人数据保护

个人数据保护法》于 2019 年首次公布，公司和其他实体可在一年时间内遵守该法关于违规处罚、数据控制者义务和数据主体权利的规定。

数据保护委员会办公室是主要监督机构，数字经济和社会部是《个人数据保护法》的监督机构。

泰国的个人数据保护概述

遵守《个人数据保护法》的适用范围
‍
一般来说，《个人数据保护法》适用于在泰国或与泰国公民有关的任何数据披露、使用和收集。在某些情况下，即使数据处理者和数据控制者在泰国境外运营，也必须遵守《隐私保护法》：

• 当数据主体在泰国受到监控。
• 当数据主体在泰国获得商品和服务时。
  ‍

收集、使用和披露个人数据的法律依据
这种做法只有六种合法许可。在任何其他情况下，都必须征得数据当事人的同意。

法律允许的做法包括：

• 数据控制者受制于需要收集数据的合规法律的任何情况。
• 在数据主体的基本权利不优先于控制者或其他可从个人数据收集中获益的人的合法利益的情况下。
• 当数据控制者需要执行一项符合公共利益的任务，并涉及收集个人数据。
• 当数据主体是一个需要它的合同的一方，或者当数据主体想签订一个需要采取措施的合同。
• 为了防止个人的健康、福祉或生命受到威胁。
• 在为公共利益的目的准备历史文件，或与统计或研究有关的情况下，采取令人满意的措施来保护主体的权利，并假设采取了所有规定的谨慎措施来遵守法规。

同意的问题

必须满足一些标准，才能认为同意是有效的。

• 在征求同意的过程中，不允许有欺骗或错误的信息。
• 在征得同意的要求中必须使用简单、明确的语言。
• 表格所处的请求必须易于阅读和获取。
• 当向数据主体提供其他信息时，征得同意的要求必须容易与所有其他信息区分开来。
• 数据主体需要知道数据的用途，以及数据可能被披露的方式。
• 同意书应以书面形式或通过电子通信手段作出。

隐私通知

在收集数据时需要向当事人发出隐私通知。通知必须包括以下信息：

• 数据主体的权利包括
  • 获取个人资料副本的权利
  • 要求将数据传输给其他数据控制者的权利
  • 撤销同意的权利
  • 投诉权
  • 准确维护个人数据保护的权利
  • 要求暂停使用数据的权利
  • 要求删除数据的权利
  • 反对披露、使用和收集个人数据的权利
• 数据保护官、控制者以及某些情况下控制者代表的联系方式
• 可能向其披露数据的组织或个人的身份
• 这些数据将被保存多长时间，或者至少是符合数据保存标准的预期数据保存期
• 是否要求数据当事人提供其个人数据的信息
• 披露、使用或收集个人数据的法律依据是什么
• 要收集的数据。
  • 敏感数据
  • 健康相关数据
  • 其他数据

违规通知

一旦数据控制者发现影响个人数据保护的数据泄露，他们必须在 72 小时内通知办公室。如果数据泄露会对当事人的自由和权利造成重大影响或带来高风险，则也必须尽快通知当事人。

数据保护安全义务

保持数据安全是数据控制者的责任。

• 一旦保留期结束，必须有一个合适的系统，在数据处理完成后销毁记录。
• 防止数据处理者以未经授权或非法的方式披露或使用数据的方法。
• 我们采取了所有合理的步骤来保护数据隐私，并防止在数据存储期间出现非法的纠正、披露、更改、使用、访问或丢失。

跨境转移

虽然 "充分的数据保护标准 "尚未正式确立，但人们期望，当个人数据被转移到世界其他地方时，该国必须有充分的保护标准，因为它们制约着数据保护。唯一的例外是符合豁免条件的情况。

与数据保护失误有关的处罚

根据违反《个人数据保护法》的严重程度，可适用行政罚款、刑事罚款、刑事责任或民事责任。

例如，如果法律要求征得同意，但数据控制者在未经同意的情况下收集了数据主体的数据，他们将被处以最高 300 万泰铢的罚款。

为《数据保护法》（PDPA）做准备

过渡条款

2020 年 5 月 27 日之前收集的任何数据仍可使用，前提是数据控制者采取以下步骤：

• 必须向数据主体提供机会，反对使用他或她的个人数据。最受欢迎的方式是公布同意撤销方法。
• 如果数据主体不反对，个人数据必须只用于最初收集数据的目的。

为数据保护合规性做准备。

• 你必须首先确定《隐私保护法》是否适用于你将要进行的活动。
• 如果您发现 PDPA 适用于您的活动，那么您需要采取以下步骤：
  • 为你的数据流制作一张地图。
  • 如果你要接管任何现有的个人数据，确保你的主体有机会反对，然后确保你只使用你没有收到反对意见的个人数据。此外，确保这些个人数据只按照其原始目的使用。
  • 确保数据处理符合国家数据保护标准，并确保你有最新的数据同意协议。
  • 确保你有法律依据来披露、使用和收集你在业务中可能需要的这些个人数据。必须有隐私通知，并要求你希望收集个人数据的任何一方，包括商业伙伴的明确同意。
  • 确保遵守数据控制者应尽的任何其他职责。

如何管理中小企业的数据保护？

你可能会发现，小型企业更容易确保合规，因为不正当剥削等问题更难掩盖。其他关键方面也更容易跟踪，而且可以与主体进行更直接的沟通。如有必要，数据所有者可以在数据可携带性方面投入真正的时间和精力，并在必要时寻求获得同意，确保数据控制者严格遵守合并后的法律。在数字时代，数据收集前与数据主体的沟通和透明度也更容易，当数据池较小时，处理活动也更省时。

切记，在数据传输的情况下，应确保数据控制者发出有关此类信息的通知。泰国政府将对违反保密规定和不符合知识产权标准的行为实施惩罚性赔偿和刑事处罚。数字时代对全球管理数据和此类利益的方式产生了很大影响，泰国并不是唯一一个制定了新数据保护法的国家。

惩罚的严厉程度可高达巨额罚款或长达一年的监禁，尤其是在非常敏感（如公共卫生）或大数据泄露的情况下。请记住，这项法律是一项皇家法令，目的是让泰国做好准备，达到国际标准。

摘要

如果您是任何个人数据侵权或泄漏的受害者，请立即与我们联系。Juslaws & Consult 公司始终致力于保护您的利益。