泰国是最新一个采取明确措施通过数据保护立法的国家。欧盟的《通用数据保护条例》(GDPR)在全球产生了连锁反应,各国政府都在推动制定新的数据保护法规,这些法规既能保护本国的数据主体,又能使其立法与 GDPR 设定的新国际标准保持同步。
经过近二十年的酝酿,泰国《个人数据保护法》(PDPA)终于在 2019 年 2 月 28 日获得国家立法议会批准。该法案现在必须获得皇家批准,之后将在政府公报上公布并通过成为法律。该法案将在政府公报上公布之日起一年后生效。
并且之前也存在针对特定行业的法规,但 PDPA 将是泰国第一部以广义管理数据保护的法律。PDPA 以 GDPR 为蓝本,采纳了欧洲法规中一些最著名的规定,并根据当地情况进行调整。让我们从最新的法律草案中了解一下我们目前对此的了解。
个人信息和 PDPA 适用性
PDPA 旨在限制数据控制者和处理者对泰国数据主体个人信息的收集、使用、传输和披露。个人信息是指任何可用于直接或间接识别个人的信息。它明确排除了两种类型的数据:已故个人的个人信息和业务数据,例如业务联系方式、职称或地址。
还有一些特殊类别的敏感数据,涵盖与种族、民族、性取向、政治、宗教或哲学信仰、健康数据、犯罪记录、工会会员资格、基因和生物特征数据有关的信息,公司未经数据主体明确同意不得收集这些数据,除非法律要求或医疗紧急情况等某些例外情况。
大多数在泰国开展业务的组织(无论是在国内还是国外)都必 沙特号码数据 须遵守 PDPA。与 GDPR 一样,PDPA 也具有域外效力。无论是否在该国设有办事处,向泰国数据主体提供商品和服务或监控在泰国境内发生的任何行为的公司都需要遵守 PDPA 并任命当地代表。
泰国数据主体的权利
一旦《个人资料保护法》生效,泰国数据主体将有权要求访问其个人信息,或者在数据控制者不遵守《个人资料保护法》的情况下,要求删除、销毁或匿名化其个人数据。他们还拥有数据可携权。
同意要求
数据控制者必须获得个人数据处理的同意。这些请求必须表述清晰,并且不得欺骗或误导数据主体。除非本质上不可能,否则必须以书面或电子方式给予同意。在某些情况下可以放弃同意,例如在合法原因、公共利益或履行合同义务的情况下。
对于未成年人,PDPA 要求 10 岁以下的数据主体需要获得父母同意,在某些情况下,10 岁以上的未成年人也需要获得父母同意。
数据保护官
如果数据控制者和数据处理者的核心活动涉及敏感个人数据的收集、使用或传输,或者他们拥有需要定期监控的大规模个人数据,则必须任命一名数据保护官。
PDPA 执行
PDPA 的执行将由专门为此目的而设立的个人数据保护委员会负责。不遵守 PDPA 可能导致民事和刑事责任。
跨境个人信息转移
只有当一个国家的数据保护措施符合个人数据保护委员会成立后制定的一套准则时,个人数据才可以被转移到该国。
有一些例外情况。如果组织事先获得数据主体的同意,或者转移符合任何适用法律或部长级法规的规定,则可以将数据传输到其他国家。或者,如果数据主体和数据控制者之间存在允许转移的预先存在的合同,或者转移符合无法给予同意的数据主体的利益,则允许转移。
- Board index
- All times are UTC
- Delete cookies
- Contact us