泰国个人数据保护法 – 2023 年回顾

介绍

泰国个人数据保护法 BE 2562 (2019)（“PDPA》）于 2022 年中全面生效，此后，颁布了各种附属法律来澄清某些条款。我们在下面列出了 2023 年 PDPA 发展的概况。

个人资料保护法的发展

近日，泰国个人数据保护委员会（“PDPC”）已对涉嫌违反《个人资料保护法》的资料控制者进行调查。最近的两起调查案件总结如下：

一家保险公司因涉嫌收集个人数据而受到调查

该调查是在 Facebook 一个热门社交媒体页面曝光后发起的，该页面显示许多保险代理人通过问卷和作业收集了泰国各地学生及其家长的个人数据。收集的数据包括学生家庭的姓名、年龄、地址、电话号码、月收入和财务规划详细信息。数据主体没有被告知此类收集的细节，也没有获得他们的同意。

2023 年 11 月 23 日，PDPC 传唤该保险公司提供更多细节，并重申该公司有义务严格监管其代理人。对涉嫌违规行为的调查仍在进行中，PDPC 可能会对保险公司实施行政制裁。 PDPC还联系了几个相关组织，例如保险委员会办公室（OIC）、泰国人寿保险协会，以帮助协调此事。

某社交媒体通讯应用公司数据泄露事件调查

2023年11月27日，一家社交媒体通讯应用公司披露，由于未经授权的访问，多达44万条个人数据被泄露，其中30万条数据与应用程序用户相关。 PDPC 立即传唤该公司提供有关受影响的个人数据的类型和数量的更多详细信息。 PDPC 还通知该公司考虑为受影响的人制定纠正和补救政策。

据PDPC统计，自2022年《PDPA》生效之日起至2024年1月19日，PDPC已发布约91项行政命令，主要要求数据控制者/处理者采取行动、纠正问题或停止某些活动。统计数据还显示，PDPC办公室收到超过390起投诉，并收到超过380起数据泄露事件的通知。

从监管执法的角度来看，上述调查和PDPC的行政命令都体现了PDPC更加积极的执法态度。

关于在投诉情况下发布行政命令 – 2023 年 6 月 22 日生效

2023年6月2日，PDPC发布通知，建立了专家委员会行政命令的规则和方法，并于2023年6月22日生效。

根据《个人资料保护法》，如果数据主体投诉数据控制者/处理者违反了《个人资料保护法》，专家委员会可以发布行政命令，要求数据控制者/处理者在规定的期限内执行、停止或纠正其行为。一段的时间。该通知进一步规定，此类行政命令必须包括：

行政命令主题的事实细节；

相关法律；和

委员会酌情决定的考虑因素和支持点，

并且应以书面形式通知数据控制者/处理者。

关于数据保护官员的任命 – 2023 年 12 月 13 日生效

2023 年 8 月 31 日，PDPC 根据 PDPA 第 41(2) 条发布通知，确立了数据保护官员的任命标准（“数据保护组织》）适用于数据控制者和数据处理者，于 2023 年 12 月 13 日生效。

根据此通知，如果出现以下情况，数据控制者/处理者必须指定 DPO：

处理活动是其核心活动的一部分；

他们的处理活动需要定期监控个人数据或系统；和

他们的处理活动涉及大量个人数据。

PDPC办公室还公布了DPO任命自我评估表，以帮助组织内部考虑是否有必要任命DPO，以及DPO任命通知表，其中包括需要通知PDPC的DPO必要信息办公室。为了履行这一义务，PDPC 办公室还公布了一份 DPO 任命通知表，您可以通过电子邮件将其提交给 PDPC 办公室： [email protected]。

但值得注意的是，PDPA 和确定 DPO 任命标准的通知并未提及 DPO 任命通知的时间表。因此，应继续监测通知时限的做法。

关于不受 PDPA 约束的数据控制者的安全措施 – 2024 年 3 月 7 日生效

根据 PDPA 第 4 条，某些数据控制者可免于执行 PDPA，例如某些有维护国家安全职责的公共机构、大众媒体、众议院、参议院、议会、法院和信用局公司。皇家法令也可以规定其他豁免。然而，PDPA 仍然要求那些豁免数据控制者采取安全措施来保护个人数据。

对此，PDPC于2023年12月1日发布通知，规定了免于PDPA约束的数据控制者的安全标准，该标准将于2024年3月7日生效。主要措施包括，例如：

对任何形式的个人数据实施组织、技术和物理措施；

确保个人数据的机密性、完整性和可用性；

实施访问控制、身份证明和认证、授权、需要知道的基础/最小权限访问、用户访问管理、用户注册和注销、用户访问配置、特权访问权限管理、访问权限删除或调整;

提高员工的隐私和安全意识；和

采用假名或加密措施。

关于出于公共利益对历史文件或档案的适当保护 – 2024 年 3 月 7 日生效

根据《个人数据保护法》，如果是为了实现与为公共利益准备历史文件或档案有关的目的，则可以在未经同意的情况下收集个人数据，前提是有适当的措施来保障数据主体的权利。

因此，PDPC 于 2023 年 12 月 1 日发布了通知设置适当的保障措施，将于 2024 年 3 月 7 日生效。该通知要求数据控制者实施类似于 PDPC 中规定的适当保障措施先前发出的通知数据控制者的安全措施，例如实施组织、技术和物理措施，采用假名或加密措施。

关于跨境数据传输 – 2024 年 3 月 24 日生效

2023 年 12 月 12 日，PDPC 发布了关于向外国跨境传输提供数据保护的规则的通知（PDPA 第 28 条），该规则将于 2024 年 3 月 24 日生效。该通知规定考虑接收国/国际组织的数据保护标准是否充分的两个标准：

目的地国家/组织应制定与 PDPA 一致的数据保护法律/法规，特别是数据控制者有义务采取适当的安全措施，包括允许执行数据主体权利和法律补救措施的数据保护措施；和

目的地国家/组织应有机构或权力机构执行数据保护法律/法规。

此外，该通知允许将有关接收国/国际组织数据保护标准充分性的问题提交给 PDPC 做出决定。在这方面，PDPC 本身可以发布一份被认为提供了充分数据保护水平的国家/地区名单。

论关联公司之间的跨界数据传输d 企业 – 2024 年 3 月 24 日生效

2023 年 12 月 12 日，PDPC 还发布了关于关联企业具有约束力的公司规则和适当保障措施的通知（PDPA 第 29 条），该通知将于 2024 年 3 月 24 日生效。该通知规定了建立具有约束力的公司规则的标准（“BCR”）以及 PDPC 办公室认证此类 BCR 的流程。

该通知还概述了适当的保障措施，使数据控制者或数据处理者能够在没有 BCR 或 PDPC 关于接收国或国际组织数据保护标准是否充分的决定的情况下进行数据传输。

通过遵守以下其中一项可以实现适当的保障措施：

制定普遍接受的标准合同条款；

获得证明已实施个人数据跨境传输的适当保障措施，随后将为此发布认证机制；或者

为泰国政府机构与其他国家政府机构之间的数据传输制定具有法律约束力和可执行性的文书。

此外，适当的保障措施必须具有法律可执行性并对相关方具有约束力，确保数据保护和数据主体的权利和投诉，并包括符合最低标准的安全措施。

关于收集犯罪记录时的适当保障措施 – 2024 年 4 月 7 日生效

PDPA 要求任何犯罪记录的收集都必须在授权官方机构的控制下进行，或者在已实施适当保障措施的情况下进行。 2023 年 12 月 28 日，PDPC 发布了关于对不在授权官方机构控制下收集犯罪记录采取适当保障措施的通知，该通知将于 2024 年 4 月 7 日生效。

根据该通知，任何不在授权官方机构控制下进行的犯罪记录收集都可以在法律要求的情况下进行。如果法律没有要求此类收集，则必须获得数据主体的明确同意。此类收集的目的也受到限制，例如包括工作/职位的资格检查等。

数据控制者还必须实施组织和技术措施，其中可能包括物理措施，以确保犯罪记录的收集、使用和披露在数据控制者合法目的所必需的范围内。除非其他法律另有规定或已获得数据主体的明确同意，数据控制者在完成相关操作后最多可以保留此类犯罪记录六个月。

关于研究或统计数据收集的适当保障措施 – 2024 年 4 月 7 日生效

如果出于研究或统计目的，PDPA 允许在未经同意的情况下收集个人数据。这同样适用于敏感的个人数据，其中有实现科学、历史或统计研究目的的法律义务。然而，这两种情况都需要数据控制者采取适当的措施来保护数据主体的权利。 2023 年 12 月 28 日，PDPC 发布了关于为以下目的进行数据收集的适当保障措施的通知：(i) 研究或统计； (ii) 科学、历史或统计研究； (iii) 其他公共利益。该通知将于2024年4月7日生效。

1706661085
2024-01-30 15:21:51