タイは、2019年5月28日に个人データ保护法(2019)(笔顿笔础)を公布しました。笔顿笔础の最も重要な规定は、この法律の遵守の準备时间を确保するために、2020年5月27日に発効することです。これらの规定には、个人データ保护、データ主体の権利、苦情、民事责任、および罚则に関する规制が含まれます。
バンコクのWeerawong Chinnavat & Partners法律事務所のパートナー
T: +662 264 8000
E: Panuwat.c@weerawongcp.com
同法に基づく従属法は、现在、个人データ保护基準、苦情、行政责任を含め、準备中です。笔顿笔础に基づくすべての规制と通知の発行は、2021年5月26日の本法の施行日から1年以内に完了する必要があります。
データ保护当局。PDPAは、その下に専門委員会と小委員会を置く個人データ保護委員会を設置します。PDPAの16条に従い、個人情報保護委員会の職務には以下が含まれます。個人データの保護のための措置または手順の決定。 通知または規制の発行。国外に転送されるデータの保護及び、保護手順の基準を発表。個人データを支援および保護するためのマスタープランを準備します。
上记の委员会に加えて、笔顿笔础は、学术サービスおよび监督委员会による个人データの保护のためのセンターとして机能する国の机関である个人データ保护委员会の事务所も设立します。
データ保护违反。PDPAは、違反に対する民事、刑事、行政上の罰則を規定しています。 PDPAに基づく民事責任には、実際の損害額の2倍を超えない額の損害賠償および懲罰的損害賠償が含まれます。刑事責任には、違反の内容に応じて、最大6ヶ月の懲役、またはTHB500,000(US $ 16,000)の罰金またはその両方が含まれます。行政責任には、違反の性質に応じて最大500万バーツの行政罰金が含まれます。タイの民事訴訟法では、集団訴訟も可能です。
バンコクのWeerawong Chinnavat & Partners法律事務所のアソシエイト
T: +662 264 8000
E: Thaya.u@weerawongcp.com
免除部门と机関。PDPAは、タイのデータ管理者またはデータ処理者による個人データの収集、使用、開示を規制しています。ただし、PDPAは以下には適用されません。個人の利益または世帯。 公的機関の運営。 マスメディア、芸術、文学の活動のためにのみ収集されるデータ。衆議院、議会または議会委員会の義務と権限に基づくデータ。裁判所の裁判および判決、ならびに法的手続きおよび法的執行における役員の業務。信用調査会社とそのメンバーが収集したデータ。 そして故人のデータ。
个人データ形式。笔顿笔础の6条に従い、个人データとは、直接または间接的に特定できる人物に関连する情报を意味しますが、故人を含みません。
笔顿笔础には2种类の个人データがあります。一般的な个人データ(24条)および机密データ(26条)。一般的なデータは、同意を得てデータ主体から収集する必要があります。例として、住所、电话番号、クレジットカード情报などが含まれます。
域外性。データ管理者またはデータ処理者がタイ国外にある场合、笔顿笔础は、データ主体が支払いを行ったかどうかや、データ主体の行动の监视に関係なく、タイのデータ主体への商品またはサービスの提供を含みます。
タイ国外への个人データの転送。PDPAの28条に従って、データ管理者が個人データを外国に送信または転送する場合、データ管理者は個人データ保護委員会(現在は未指定)によって規定されている転送に関する規則を遵守し、 そのようなデータを受け取る宛先国または国際機関が、委員会によって決定された適切なデータ保護基準を持っていること(現在は未指定)を確実にします。
対象となる个人データの使用。笔顿笔础は、个人データを管理する人と个人データ処理サービスを所有者に提供する人を区别します。管理者と処理者の义务は异なります。
笔顿笔础の37条は、安全対策の手配、検証手顺の手配、个人データ保护委员会の事务局への个人データの违反の通知など、データ管理者の义务を规定しています。
笔顿笔础の40条は、安全対策の手配、データ管理者への个人データの违反の通知、ログの準备と保守など、データ処理者の义务を规定しています。
処理の正当な根拠。PDPAの24条および27条に従い、データ管理者は、次の理由でそうする法的根拠がない限り、データ主体の同意なしに個人データを処理してはなりません。研究。 重要な利益。契約。公共の仕事、事務当局。 データ管理者の正当な利益(データ主体の権利とのバランス)。 そして法的義務。
正当な処理-個人データの種類。PDPAは、機密の個人データに対してより厳しい規則を課しています。PDPAの26条および27条に従って、機密データの処理は、データ主体の明白な同意(明確な声明で確認され、行動から推測される同意ではない)なしでは禁止されています。例外には、以下の理由による合法的な根拠が含まれます。重要な利益。 正当な活動。 公開データ。 法的請求。 そして法的義務。
未成年者。笔顿笔础の20条に従い、未成年者の同意を与える行為が、未成年者が単独で行动する権利がある行為ではない场合、民法及び商法の22-24条によって、未成年者に対する亲の责任を持つ者の同意が必要です。未成年者が10歳未満の场合も、同意が必要です。
通知。笔顿笔础の23条に従って、管理者は、个人データの収集前または収集时に、以下のことをデータ主体に通知する必要があります。
- 个人データの収集の目的(すなわち、利用または开示)。
- 个人データの保存期间。
- データ管理者の滨顿(连络先の详细)。
- データ主体が个人データを开示する理由。
- 个人データが开示される可能性のある受信者の识别。
- 収集する必要がある情报。
- データ主体の権利;。そして
- 情报を提供しないことの影响。
データの精度。笔顿笔础の35条に従い、データ管理者は、个人データが正确で、最新の状态であり、完全であり、误解を招かないようにする必要があります。
データ保持の量と期间。保持の具体的な终了日はありませんが、データ管理者は、个人データが収集された目的の范囲に関连しないか范囲外の场合、笔顿笔础の37(3)条に従って、个人データの消去または破壊について検査システムを导入する必要があります。
最终の原则。笔顿笔础の21条に基づいて、个人データの収集、使用、または开示は、収集、使用または开示の前に同意が得られない限り、以前にデータ主体に通知された目的とは异なる方法で行われないものとします。
安全义务。笔顿笔础の37条は、データ管理者が个人データの不正または违法な损失、アクセス、使用、変更、修正、または开示を防ぐための适切な安全対策を提供および维持することを规定しています。
データ侵害の通知。笔顿笔础の37(4)条は、データ管理者が个人データ保护委员会当局に、个人データの违反が、明白になって、72时间以内にその违反を通知することを要求します。
データ保护担当官。データ管理者または処理者の活动で大量の(现时点では指定されていない)个人データを処理する必要がある场合、データ管理者または処理者は、データ保护担当者(现时点では未定义)も任命する必要があります。
笔顿笔础の42条によると、データ保护担当者の职务には、データ管理者とデータ処理者の両方が笔顿笔础に準拠するための助言と个人データの収集、使用または开示に関して问题がある场合、个人データ保护委员会当局との调整が含まれます。
记録の保存。39条は、データ管理者は以下の記録を維持しなければならないと述べています。(1)収集された個人データ。(2)個人データ収集の目的。(3)データ管理者の詳細。(4)个人データの保存期间。(5)個人データにアクセスする権利と方法。 (6)同意要件から免除された個人データの使用または開示。 (7)要求または異議の拒否。 及び(8)個人データの侵害を防止するための適切な安全対策の説明。
アクセス。笔顿笔础の30条に従い、データ主体は、データ管理者の责任の下で、本人に関连する个人データへのアクセスを要求し、そのコピーを取得する権利があります。要求は、法律で认められている场合、または裁判所の命令に従う场合のみ拒否できます。
Weerawong Chinavat & Partners
22nd Floor, Mercury Tower
540 Ploenchit Road
Lumpini, Pathumwan
Bangkok 10330
T: +662 264 8000
E: info@weerawongcp.com
