泰国《个人数据保护法》已于6月1日正式生效,各部门和大型机构都高度重视并已做好遵守执行的准备,以减少诉讼纠纷,建立良好的形象,并与服务用户建立信任,不过,该法律所规定的操作方针对小型企业和非营利组织来说可能难以执行,因此,该法规定了不需要编制个人数据处理活动记录的豁免条款。但小型企业和非营利组织仍然有责任保护个人数据防止泄露个人数据并造成侵权。
所有从客户或用户获得个人数据的企业均受《个人数据保护法》管辖,任何泄露个人数据或侵犯个人数据权利的企业将根据具体情况被处以罚款,相关责任人员将被追究刑事责任甚至被处以监禁。
目前,泰国个人数据保护委员会正在广泛听取对《中小企业无需编制个人数据处理活动记录的公告(草案)》的意见,其中规定小型企业和六类非营利组织无需编制收集客户个人数据的同意书,这将有助于放开其他后续流程,例如无需提供个人数据主体使用权利(更正/删除/传输数据)的渠道,以及无需编制供主管部门检查的个人数据处理活动记录。
不过,并非所有小型企业都可豁免编制个人数据处理活动记录,可豁免企业的主要包括:仅用于偶尔服务而涉及的个人数据、不存在可能影响个人数据主体权利和自由的风险以及不从事互联网接入服务业务和计算机数据存储服务业务等,举例如下:
-
√ 通过聊天室聊天或收件箱发送的信息,以接受客户的姓名、送货地址和信用卡信息以进行付款等网上零售店将获得豁免,因为仅偶尔处理个人数据。
-
√ 接受捐赠并保存捐赠者的姓名、地址、银行账户/信用卡号以寄送捐款收据和捐款使用情况报告的基金会、寺庙、教育机构等获得豁免,因为仅偶尔处理个人数据。
- X 小型电信企业如卫星通信运营商、租用线路系统或无线通信等不予豁免,因该服务商必须根据《计算机犯罪法》保存日志文件(Logfile)。
- X 通过各种应用程序提供计算机数据服务的企业,如论坛服务供应商或网络服务供应商不予豁免,因为该服务供应商必须根据《计算机犯罪法》保存日志文件(Logfile)。
但是,如果发生数据泄露或侵犯个人数据主体权利的事件,所有企业均不可推卸责任。对此,请跟踪个人数据保护委员会即将公布的的个人数据安全保管最低限度操作方针。
个人数据保护委员会关于
获得豁免企业的标准和条件,以及豁免范围的公告(草案)摘要
|
标准 |
范围 |
|
可豁免的企业 | - 中小企业
- 社区企业
- 公益性企业或业务团体
- 合作社、合作社联合会和农民团体
- 基金会、协会、宗教组织、非营利组织
- 家庭企业
|
|
不予豁免的业务活动 | - 收集、使用或披露可能影响数据主体权利和自由的个人数据。
- 非偶尔对个人数据进行处理。
- 必须根据《计算机犯罪法》保存日志文件(Logfile)的服务供应商(如向他人提供互联网接入服务的服务商和向他人提供算机数据存储服务的服务商等),但网吧服务商除外。
? 处理超过1,000名用户的个人数据。 |
|
获得豁免的项目 | - 所收集的个人数据;
- 收集各类个人数据的目的;
- 有关数据管理人员的数据;
- 个人数据保存期限;
- 访问个人数据的权利、方法和条件;
- 使用或披露个人数据;
- 安全措施的说明。
|
最低限度的个人数据安全保护措施 | - 具有个人数据访问管理措施和个人数据存储处理工具,如规定用户权利、义务和责任。
- 设有可追溯审查从访问到变更、删除或转移个人数据的方法,与用于收集、使用和披露个人数据的方式和渠道相一致。
|
开泰研究中心汇总
来源: 个人数据保护委员会关于小型企业个人数据管理人员记录豁免的公告(...年)(草案)
个人数据保护委员会关于编制个人数据处理活动记录、向个人数据主体征求个人数据访问权的同意书以及个人数据侵权通知的公告(草案)
个人数据保护委员会关于个人数据处理安全标准的公告(草案)
《个人数据保护法》涉及范围广对所有泰国境内和境外企业的个人数据主体的权利进行保护,因此,在执行初期在某些方面仍缺乏明确性,但其保护个人数据的立法意图是明确的并规定了向被侵权个人数据主体提供补偿的措施。
资料来源:https://www.mdes.go.th/mission/82
Scan QR Code
注:
本研究报告系依据可靠的资料来源撰写而成,旨在向公众提供信息,但本公司不保证其用于商业或其他用途时的正确性、可靠性和完整性。本公司可不经预先通知随时更改本报告中的信息。使用者在使用本报告中所包含的信息时须谨慎判断并自行承担由此所带来的风险。本公司对于使用者或任何人因使用本报告所含信息而造成的损害概不负责。本报告所含信息不应被视为针对商业决策的任何意见或建议。