含羞草社区

アジアでは、データプライバシーの枠组みを十分に理解することが重要です。しかし、この地域の法律は同様の要素を共有していますが、プライバシーコンプライアンスの文化は比较的新しく、管辖区域によって取り组みが异なるため、隔たりが残っています。ここでは、専门家が、フィリピン、タイ、インドネシアで个人データを管理する法的枠组みをどのように构筑したかを详しく説明しています。

导航

タイの2019年个人データ保护法（笔顿笔础）は、自然人を无许可または违法な个人データの収集、使用、开示から保护するために公布されました。笔顿笔础は2019年5月27日に発効しましたが、肠辞惫颈诲-19の拡大により、タイ政府は施行を2021年5月31日に延期しました。ただし、最低限の安全基準がすでに适用されています。データ管理者は、スタッフと関係者に个人データ保护の重要性を通知する必要があり、特定の管理上、技术上、および物理的な保护手段を実装する必要があります。

データ権限

笔顿笔础は、笔顿笔颁の下に専门家委员会と小委员会を备えた个人データ保护委员会（笔顿笔颁）を设立しました。 法第16条に従い、委员会の义务には以下が含まれます。

(1) 个人データを保护するための措置または手顺を决定する。

(2) 通知または规制の発行。

(3) 保護手順の基準、および国外に転送されるデータの保護を発表する。 そして

(4) 个人データをサポートおよび保护するためのマスタープランの準备。

笔顿笔础はまた、监査役会とともに、个人データ保护のための学术サービスの中心として机能する州机関である笔顿笔颁の事务所を设立しました。

笔顿笔础の多くの要件は、笔顿笔颁によって発表および実装される予定の规则によってカバーされます。2021年2月、规制当局は、2021年6月までに以下の规则を开始する计画で、规则草案に関する公聴会を実施しました。

(1) 同意を得るための基準と方法。

(2) 个人データの処理に関する通知。

(3) 机密性の高い个人データを処理するための适切なデータ保护方法。

(4) 海外へのデータ転送の基準と保护。

(5) 个人データ活动记録、データ主体の要求の方法、および个人データ侵害に関する报告。

(6) データ処理の安全対策。

(7) データ保護責任者。 そして

(8) 苦情および行政执行に関する手続き。

免除分野と机関

笔顿笔础は、タイのデータ管理者またはデータ処理者による个人データの収集、使用、および开示を规制します。ただし、笔顿笔础は以下には适用されません。

そのような人の个人的な利益または家事活动のためにのみそのようなデータを収集する人によって収集されたデータ。

(1) 公的机関の运営。

(2) マスメディア、美术、または文学の活动のためにのみ収集されるデータ。

(3) 议会または议会委员会の义务と権限に基づくデータ。

(4) 裁判所の対审と判决、および诉讼手続きにおける责任者の业务运営。

(5) 信用情报会社とそのメンバーによって収集されたデータ。そして

(6) 故人のデータ。

クレジット会社やヘルスケア会社などの特定の分野は、他の特定の法律や従属规制に準拠する必要があります。

个人データ

PDPAの第6条に従い、个人データとは、直接的または間接的に識別可能な人物に関連する情報を意味しますが、死亡した人物は除きます。

个人データには、一般的な个人データ（第24条）と機密性の高いデータ（第26条）の2種類があります。一般的なデータの収集には、データ主体の同意が必要です。个人データの例には、データ主体の住所、電子メールアドレス、電話番号、クレジットカード情報などが含まれます。

PDPAは、機密性の高い个人データに対してより厳しい規則を課します。PDPAの第26条および27に従い、機密性の高い个人データの処理は、データ主体の明示的な同意なしに禁止されており、明確な声明で確認され、行動から推測される同意ではありません。重要な利益、公開データ、法的請求、法的義務などのデータを処理するための合法的な根拠がある場合、同意の要件には例外があります。

データ管理者と処理者

PDPAは、个人データを管理する人と个人データの処理サービスを提供する人を区別します。

笔顿笔础の第6条に準拠：

. データ管理者は、个人データの収集、使用、または開示について決定を下す権限を持つ自然人または法人です。

. データ処理者は、データ管理者によって、またはデータ管理者に代わって与えられた命令に従って、个人データの収集、使用、または開示に関連して運営する自然人または法人です。

PDPAの第37条は、安全対策と検証手順の調整、および个人データに関連する違反の通知をPDPC当局に提供することを含む、データ管理者の義務を定めています。

PDPAの第37条は、データ管理者が个人データの不正または違法な損失、アクセス、使用、変更、修正、または開示を防ぐために適切な安全対策を提供および維持する必要があると規定しています。

PDPAの第40条は、安全対策の調整、个人データに関連する違反のデータ管理者への通知、ログの準備と維持など、データ処理者の義務を定めています。

事業の過程で个人データを収集するほとんどの企業は、管理者または処理者と見なされ、PDPAに準拠する必要があります。データ管理者またはデータ処理者がタイ国外にいる場合、PDPAは、タイにいる主体の个人データの収集、使用、または開示に適用されます。データ管理者またはデータ処理者の活動は次のとおりです。（1）支払いがデータ主体によって行われたかどうかに関係なく、タイにいるデータ主体への商品またはサービスの提供。 （2）タイで行動が行われるデータ主体の行動の監視。

データ収集

PDPAの第21条に基づき、个人データの収集、使用、または開示は、データ主体に新しい目的が通知されており、収集、使用、または開示の前に同意が得られている場合を除き、データ主体に以前に通知された目的とは異なる方法で行われてはなりません。

PDPAの第23条に従い、データ管理者は、个人データの収集前または収集時に、データ主体に次のことを通知する必要があります。

1. 1. 个人データの収集の目的。
   2. 个人データの保管期間。
   3. データ管理者の身元（连络先の详细）。
   4. データ主体が个人データを開示する理由。
   5. 个人データが開示される可能性のある受信者の身元。
   6. 収集する必要のある情报。
   7. データ主体の権利。 そして
   8. 情报を提供しないことの影响。

第39条は、データ管理者が次の记録を维持する必要があると述べています。

1. 1. 収集された个人データ。
   2. 个人データの収集の目的。
   3. データ管理者の详细。
   4. 个人データの保持期間。
   5. 个人データにアクセスする権利と方法。
   6. 同意要件から免除された个人データの使用または開示。
   7. 要求または異議の拒否。 そして
   8. 个人情报の漏えいを防止するための适切な安全対策の説明。

PDPAの第30条に従い、データ主体は、データ管理者の責任の下で、彼または彼女に関連する个人データへのアクセスを要求し、そのコピーを取得する権利があります。PDPAの第35条に従い、データ管理者は、个人データが正確、最新、完全であり、誤解を招かないようにする必要があります。

法的な根拠

笔顿笔础の第20条に従い、民事および商法の第22-24条で规定されているとおり、未成年者の同意を与える行為が未成年者が単独で行う権利を有する行為ではない场合、未成年者に対する亲の责任を持つ者の同意が必要です。未成年者が10歳未満の场合、このような同意も必要です。

PDPAの第24および27に従い、データ管理者は、以下の理由で合法的な根拠がない限り、データ主体の同意なしに个人データを処理してはいけません。調査、重要な利益、契約、公務または当局、データ管理者の正当な利益（データ主体の権利とのバランス）、および法的義務。

データの侵害

PDPAの第37条（4）は、データ管理者がPDPCに知ってから72時間以内に、PDPCの当局に个人データの侵害を通知することを要求しています。

笔顿笔础に基づいて定められた违反に対する罚则には、刑事罚と民事罚の両方が含まれます。刑事罚には、最高1年间の服役、および/または最高100万バーツ（32,500米ドル）の罚金が含まれます。

さらに、违反が取缔役または会社の责任者の指示または不作為によって引き起こされた场合、彼/彼女は笔顿笔础の下で同じ罚则の対象となる可能性があります。民事责任には、実际の损害の最大2倍の惩罚的损害赔偿が含まれます。民事损害赔偿は、集団诉讼の下でも请求される可能性があります。さらに、笔顿笔颁の専门家委员会は、违反者に対して最大500万バーツ（163,417米ドル）の罚金を科す権限があります。

结论

治外法権の適用により、PDPAは、个人データの収集と使用、または国内の自然人の行動の監視を目的としてタイ内外のビジネスに大きな影響を与えることが期待されています。

WEERAWONG CHINNAVAT & PARTNERS

22nd Floor, Mercury Tower

540 Ploenchit RoadLumpini Pathumwan
Bangkok 10330,Thailand

Tel: +662 264 8000

Fax: +662 657 2222