Закон о защите персональных данных

Закон о защите персональных данных (PDPA)

Этот закон применяется к сбору, использованию или раскрытию персональных данных в Королевстве Таиланд любым обработчиком данных или контролером данных, даже если такое раскрытие, использование или сбор происходит не в Таиланде. Если обработчик или контролер данных находится за пределами Таиланда, Закон все равно будет применяться к субъектам данных в Таиланде.

"Личные данные" означают любую информацию, относящуюся к конкретному лицу, которая позволяет идентифицировать это лицо, прямо или косвенно, но не включая информацию об умерших людях;

"Контролер данных" означает обычное или юридическое лицо, имеющее полномочия и обязанности принимать решения относительно сбора, использования или раскрытия персональных данных;

"Обработчик данных" означает физическое или юридическое лицо, которое действует в отношении сбора, использования или раскрытия персональных данных в соответствии с распоряжениями, отданными контролером данных или от его имени, при этом такое физическое или юридическое лицо не является контролером данных.

Бакалавриат: Защита персональных данных в Таиланде

Закон о защите персональных данных был впервые опубликован в 2019 году, и в течение года компании и другие организации могли привести его в соответствие с требованиями закона в части штрафов за несоблюдение, обязательств контролера данных и прав субъекта данных.

Управление Комитета по защите данных является основным контролирующим органом, а Министерство цифровой экономики и общества - надзорным органом за соблюдением PDPA.

Обзор защиты персональных данных в Таиланде

Применение PDPA
‍
В целом, PDPA применяется к любому раскрытию, использованию и сбору данных в Таиланде или относящихся к гражданам Таиланда. Есть некоторые случаи, когда обработчики и контролеры данных должны соблюдать PDPA, даже если они работают за пределами Таиланда:

• Когда субъекты данных находятся под наблюдением в Таиланде.
• Когда субъекты данных имеют доступ к товарам и услугам в Таиланде.

Правовые основания для сбора, использования и раскрытия персональных данных
Существует только шесть законных разрешений на такую практику. В любом другом случае требуется согласие субъекта данных.

К разрешенным законом видам практики относятся:

• Любой случай, когда на контролеров данных распространяются законы о соответствии, требующие сбора данных.
• В случае, когда фундаментальные права субъектов данных не преобладают над законными интересами контролера или других лиц, которые могут извлечь выгоду из сбора персональных данных.
• Когда контролеру данных необходимо выполнить задачу, которая отвечает общественным интересам и предполагает сбор персональных данных.
• Когда субъект данных является стороной договора, который требует этого, или когда субъект данных хочет заключить договор, который требует принятия мер.
• С целью предотвращения опасности для здоровья, благополучия или жизни человека.
• В случаях, когда принимаются удовлетворительные меры для защиты прав субъекта в плане подготовки исторических документов в целях общественного интереса, или в связи со статистикой или исследованиями, и при условии, что соблюдаются все предписанные правила.

Вопросы согласия

Существуют критерии, которые должны быть соблюдены, чтобы согласие считалось действительным:

• Обман или дезинформация не допускаются в запросе на согласие.
• В запросах о согласии необходимо использовать простой и понятный язык.
• Запрос, в котором находится форма, должен быть легко читаемым и доступным.
• Когда субъекту данных предоставляется другая информация, запрос на согласие должен быть легко отличим от всей остальной информации.
• Субъект данных должен знать, для чего используются его данные и как они могут быть раскрыты.
• Согласие дается либо в письменной форме, либо с помощью электронных средств связи.

Уведомление о конфиденциальности

Уведомление о конфиденциальности должно быть направлено субъекту к моменту сбора данных. Уведомление должно содержать следующую информацию:

• Права субъекта данных, которые включают:
  • Право на доступ к копии своих персональных данных
  • Право запросить передачу данных другим контролерам данных
  • Право на отзыв согласия
  • Право на подачу жалоб
  • Право на точное обеспечение защиты персональных данных
  • Право на запрос о приостановке использования данных
  • Право на запрос об удалении данных
  • Право возражать против раскрытия, использования и сбора персональных данных
• Контактная информация ответственного за защиту данных, контролера и, при определенных обстоятельствах, представителя контролера
• Идентификация организаций или лиц, которым могут быть раскрыты данные
• Как долго такие данные будут храниться, или, по крайней мере, ожидаемый срок хранения данных, который соответствует стандарту хранения данных
• Информация о том, требуется ли субъекту данных предоставлять свои персональные данные
• Какие правовые основания использовались для раскрытия, использования или сбора персональных данных
• Данные, которые необходимо собрать:
  • Чувствительные данные
  • Данные, связанные со здоровьем
  • Другие данные

Уведомление о нарушениях

Как только контролеру данных становится известно об утечке данных, влияющей на защиту персональных данных, у него есть 72 часа, чтобы уведомить об этом ведомство. Если нарушение данных имеет значительное влияние или несет высокий риск для свободы и прав субъекта, то он также должен быть уведомлен как можно скорее.

Обязательства по обеспечению безопасности защиты данных

Обязанностью контроллера данных является обеспечение безопасности данных:

• По истечении срока хранения должна существовать подходящая система уничтожения записей после завершения обработки данных.
• Методы предотвращения раскрытия или использования обработчиком данных несанкционированным или незаконным образом.
• Принимаются все разумные меры для защиты конфиденциальности данных и предотвращения незаконного исправления, раскрытия, изменения, использования, доступа или потери во время хранения данных.

Трансграничная передача

Хотя "адекватные стандарты защиты данных" официально еще не установлены, существует ожидание, что при передаче персональных данных в другие страны мира, страна должна иметь адекватные стандарты защиты, поскольку они регулируют защиту данных. Единственным исключением являются случаи, когда соблюдаются исключения.

Штрафы, связанные с нарушениями в области защиты данных

В зависимости от тяжести нарушения Закона о защите персональных данных могут применяться либо административные штрафы, либо уголовные штрафы, либо уголовная ответственность, либо гражданская ответственность.

Например, если по закону требуется согласие, но контролер данных собирает данные субъекта данных без согласия, он получит штраф в размере до 3 млн. табаков.

Подготовка к Закону о защите данных (PDPA)

Переходные положения

Любые данные, собранные до 27 мая 2020 года, могут быть использованы при условии, что контроллер данных предпримет следующие шаги:

• Субъекту данных должна быть предоставлена возможность возразить против использования его персональных данных. Самый популярный способ сделать это - опубликовать способ отзыва согласия.
• При отсутствии возражений со стороны субъекта данных, персональные данные должны использоваться только в тех целях, для которых они были первоначально собраны.

Подготовка к соблюдению требований по защите данных:

• В первую очередь вы должны установить, применяется ли PDPA к деятельности, которую вы собираетесь осуществлять.
• Если вы узнали, что PDPA распространяется на вашу деятельность, вам необходимо предпринять следующие шаги:
  • Составьте карту потока данных.
  • Если вы забираете какие-либо существующие персональные данные, убедитесь, что у ваших субъектов есть возможность возразить, а затем убедитесь, что вы используете только те персональные данные, в отношении которых вы не получили возражений. Кроме того, убедитесь, что такие персональные данные используются только в соответствии с их первоначальной целью.
  • Убедитесь, что обработка данных соответствует национальному стандарту защиты данных и что у вас есть актуальные протоколы согласия на обработку данных.
  • Убедитесь, что у вас есть правовые основания для раскрытия, использования и сбора таких персональных данных, которые могут понадобиться вам в вашем бизнесе. Должно быть уведомление о конфиденциальности и запрос явного согласия от любой стороны, у которой вы хотите собирать персональные данные, включая деловых партнеров.
  • Обеспечить соблюдение любых других обязанностей, которые ожидаются от контроллера данных.

Как обеспечить защиту данных на малых и средних предприятиях?

Возможно, вам будет легче обеспечить соответствие требованиям на небольших предприятиях, поскольку такие вещи, как неправомерная эксплуатация, сложнее скрыть. Другие ключевые аспекты легче отследить, и можно наладить более прямую связь с субъектами. Владельцы данных могут потратить реальное время и усилия на переносимость данных, если это необходимо, а также на получение согласия в случае необходимости и на то, чтобы контролеры данных строго следовали консолидированному закону. Общение и прозрачность с субъектом данных до сбора данных также проще в цифровую эпоху, а обработка данных занимает меньше времени, если пул данных меньше.

Помните, что в случае передачи данных вы должны убедиться, что контроллер данных рассылает уведомления о такой информации. Правительство Таиланда будет применять как штрафные санкции, так и уголовное наказание за нарушение конфиденциальности и несоблюдение стандартов интеллектуальной собственности. Цифровой век сильно повлиял на то, как управляют данными и подобными интересами во всем мире, и Таиланд - не единственная страна, где принят новый закон о защите данных.

Наказания могут быть как крупными штрафами, так и тюремным заключением сроком до одного года, особенно в случае очень чувствительных (например, в сфере здравоохранения) или крупных утечек данных. Помните, что этот закон является королевским указом и призван привести Таиланд в соответствие с международными стандартами.

Резюме

Если вы стали жертвой нарушения или утечки персональных данных, не стесняйтесь обращаться к нам. Juslaws & Consult всегда готова защитить ваши интересы.