泰国有史以来第一部个人数据保护法将于 2022 年 6 月 1 日生效,此前自 2019 年以来一直推迟。
该法律概述了企业在收集和处理个人信息方面的义务。 预计政府将为中小企业提供遵守新法律的宽限期。
泰国第一部关于个人数据保护的综合法律,称为《个人数据保护法》(PDPA),最初于 2019 年签署,但在因大流行而推迟后,将从 2022 年 6 月 1 日起执行。
该国现已加入其同行新加坡,马来西亚和菲律宾的行列,颁布了数据保护法。 PDPA 概述了数据控制者和处理者的义务,即通知和请求数据所有者收集、使用或披露其个人信息。 那些被发现违法的人可能会被处以民事和刑事罚款。 因此,PDPA 将个人数据定义为识别活人的信息。
个人数据泄露在东盟国家中变得越来越普遍,因为其经济的数字化导致更多的企业和人们在线存储数据,并且容易受到数据泄露的影响。
泰国 PDPA 适用于直接位于泰国或位于国外但参与控制和处理泰国商品、服务和消费者行为数据的组织。 企业应注意两种数据类型 – i) 一般数据,例如姓名、出生日期、电话号码等;ii) 敏感数据,例如种族、性别、宗教、健康、政治和生物识别信息。
总体而言,数据所有者必须明确同意批准任何收集、使用或披露其个人数据的行为。 在以下情况下给予豁免:
此外,泰国 PDPA 还引入了渐进式通用数据保护条例 (GDPR) 式法规,其中数据泄露通知是强制性的,而不是自愿的,印度等其他国家或香港等司法管辖区就是这种情况。 根据 PDPA,数据所有者享有一套全面的权利,即:
违反数据隐私法将受到刑事和民事罚款,从50万泰铢(15,000美元)到500万泰铢(165,000美元)不等,以及惩罚性赔偿。
零售企业和中小型企业(SME)必须迅速适应新的保护法,因为实施新的IT系统和管理程序可能会导致更高的运营成本。 尽管围绕该法案进行了广泛的宣传,但许多中小企业仍然没有意识到自己的义务,许多中小企业在评估他们是数据处理者还是控制者方面面临困难。 泰国中小企业在寻找合格人员来监督其合规性以及对新法律下的权利和义务有正确的法律理解方面也面临挑战。
本文最初由Dezan Shira&Associates制作的AseanBriefing发布。 该公司通过遍布全球的办事处为亚洲各地的外国投资者提供帮助,包括中国、香港、越南、新加坡、印度和俄罗斯。 读者可以写信给 [email protected]。