泰国个人数据保护法(Personal Data Protection Act,以下简称为“PDPA”)。泰国个人数据保护的合规要求企业遵守数据处理中对个人数据的保护,对不合规的企业和负责人设定了高昂的惩罚。
《个人数据保护法》已于2019年5月27日在《泰国政府公报》上公布,但为了给予公司更多的准备时间,生效时间已被推迟两次,目前定为2022年6月1日起生效。
这次的推迟主要由新冠疫情影响导致,公司可在这段推迟时间内抓紧个人数据合规的整改。在PDPA正式生效后,违规者将面临最高500万泰铢的行政处罚,最高额为100万泰铢的刑事处罚和监禁,以及高额的惩罚性损害赔偿。因此,对于公司而言,最安全、最明智的选择就是提前按照法律规定保护好个人数据的隐私权。
下文将概述PDPA及其要求,供您公司应对这一重要数据保护法作参考。
▼适应新的数据保护政策
2022年6月1日,泰国将开始实施PDPA。该法律大体上承袭欧洲的《通用数据保护条例》(General DataProtection Regulation),例如:网站在通过网络 cookie 收集任何个人数据之前必须获得用户的同意。请求获得同意时,必须明确说明,并且写明所收集的数据类型及用途。
PDPA还规定了如何使用及披露所收集到的个人数据,以免用户受到数据不安全以及被第三方使用数据所带来的风险。
根据PDPA,数据主体被授予具体的权利,其中包括访问从其收集到的任何数据,经其要求删除已收集的数据,规定数据处理的限制等权利。
泰国个人数据保护法适用于任何在泰国境内收集用户个人数据的组织机构,包括为某些活动在泰国收集、使用或披露数据主体的个人数据的外国数据控制者或处理者。
此外,尽管用户同意将其个人数据传输给第三方(国外或国内),数据控制者也必须确保数据接收者不会在未经授权或非法的情况下使用或披露该数据。
总体而言, 泰国个人数据保护法制定的数据收集和处理规则与欧洲 《通用数据保护条例》制定的规则相似,但也有一些微妙的区别,例如:《通用数据保护条例》规定数据主体有权不受完全基于自动处理的约束,而 PDPA并未区分自动和非自动数据处理,这意味着在符合其他要求的前提下,PDPA允许数据的自动处理。
提前准备好泰国个人数据保护法的合规可带来许多好处,包括有更多时间适应新系统。此外,尊重个人的隐私肯定是企业的正确做法,PDPA的标准可作为企业日后提升个人隐私领域的保护打好基础。
泰国个人数据保护法的合规的实务指引
为确保完全遵守泰国个人数据保护法的规定,组织机构应采取以下步骤:
上述每一步都需要时间准备完成,组织机构需要进行彻底的自我检查,以确保全面理解每一个节点的数据收集,如何保存、监督以及与哪些第三方组织机构共享所收集的数据。另须对工作人员进行培训,使其能够根据新法律的要求完善工作程序。
▼额外的安全保障
泰国个人数据保护法旨在保护数据主体,相对应地,如果企业不能达到新监管的严格标准,就会面临高昂的罚款。
因此,我们强烈建议对企业进行系统化的法律审查,以防因不遵守法规而受到惩罚的风险。泰国鲲鹏律师事务所(Kudun and Partners)可指导各企业完成合规过程中的任何部分,以确保公司全面遵守PDPA的规定。在我们团队的帮助之下,完全遵守PDPA 并非难事。
专业领域:外商投资、公司与并购、基础设施基金及房地产信托基金、资本市场
专业领域:资本市场、公司和并购、外商直接投资、基础设施基金和房地产投资信托基金、房地产投资
专业领域:资本市场、公司和并购、基础设施基金和房地产投资信托基金、个人数据保护法
专业领域:税务、个人数据保护法