タイは、2019年5月28日に個人データ保護法(2019)(PDPA)を公布しました。PDPAの最も重要な規定は、この法律の遵守の準備時間を確保するために、2020年5月27日に発効することです。これらの規定には、個人データ保護、データ主体の権利、苦情、民事責任、および罰則に関する規制が含まれます。
同法に基づく従属法は、現在、個人データ保護基準、苦情、行政責任を含め、準備中です。PDPAに基づくすべての規制と通知の発行は、2021年5月26日の本法の施行日から1年以内に完了する必要があります。
データ保護当局。PDPAは、その下に専門委員会と小委員会を置く個人データ保護委員会を設置します。PDPAの16条に従い、個人情報保護委員会の職務には以下が含まれます。個人データの保護のための措置または手順の決定。 通知または規制の発行。国外に転送されるデータの保護及び、保護手順の基準を発表。個人データを支援および保護するためのマスタープランを準備します。
上記の委員会に加えて、PDPAは、学術サービスおよび監督委員会による個人データの保護のためのセンターとして機能する国の機関である個人データ保護委員会の事務所も設立します。
データ保護違反。PDPAは、違反に対する民事、刑事、行政上の罰則を規定しています。 PDPAに基づく民事責任には、実際の損害額の2倍を超えない額の損害賠償および懲罰的損害賠償が含まれます。刑事責任には、違反の内容に応じて、最大6ヶ月の懲役、またはTHB500,000(US $ 16,000)の罰金またはその両方が含まれます。行政責任には、違反の性質に応じて最大500万バーツの行政罰金が含まれます。タイの民事訴訟法では、集団訴訟も可能です。
免除部門と機関。PDPAは、タイのデータ管理者またはデータ処理者による個人データの収集、使用、開示を規制しています。ただし、PDPAは以下には適用されません。個人の利益または世帯。 公的機関の運営。 マスメディア、芸術、文学の活動のためにのみ収集されるデータ。衆議院、議会または議会委員会の義務と権限に基づくデータ。裁判所の裁判および判決、ならびに法的手続きおよび法的執行における役員の業務。信用調査会社とそのメンバーが収集したデータ。 そして故人のデータ。
個人データ形式。PDPAの6条に従い、個人データとは、直接または間接的に特定できる人物に関連する情報を意味しますが、故人を含みません。
PDPAには2種類の個人データがあります。一般的な個人データ(24条)および機密データ(26条)。一般的なデータは、同意を得てデータ主体から収集する必要があります。例として、住所、電話番号、クレジットカード情報などが含まれます。
域外性。データ管理者またはデータ処理者がタイ国外にある場合、PDPAは、データ主体が支払いを行ったかどうかや、データ主体の行動の監視に関係なく、タイのデータ主体への商品またはサービスの提供を含みます。
タイ国外への個人データの転送。PDPAの28条に従って、データ管理者が個人データを外国に送信または転送する場合、データ管理者は個人データ保護委員会(現在は未指定)によって規定されている転送に関する規則を遵守し、 そのようなデータを受け取る宛先国または国際機関が、委員会によって決定された適切なデータ保護基準を持っていること(現在は未指定)を確実にします。
対象となる個人データの使用。PDPAは、個人データを管理する人と個人データ処理サービスを所有者に提供する人を区別します。管理者と処理者の義務は異なります。
PDPAの37条は、安全対策の手配、検証手順の手配、個人データ保護委員会の事務局への個人データの違反の通知など、データ管理者の義務を規定しています。
PDPAの40条は、安全対策の手配、データ管理者への個人データの違反の通知、ログの準備と保守など、データ処理者の義務を規定しています。
処理の正当な根拠。PDPAの24条および27条に従い、データ管理者は、次の理由でそうする法的根拠がない限り、データ主体の同意なしに個人データを処理してはなりません。研究。 重要な利益。契約。公共の仕事、事務当局。 データ管理者の正当な利益(データ主体の権利とのバランス)。 そして法的義務。
正当な処理-個人データの種類。PDPAは、機密の個人データに対してより厳しい規則を課しています。PDPAの26条および27条に従って、機密データの処理は、データ主体の明白な同意(明確な声明で確認され、行動から推測される同意ではない)なしでは禁止されています。例外には、以下の理由による合法的な根拠が含まれます。重要な利益。 正当な活動。 公開データ。 法的請求。 そして法的義務。
未成年者。PDPAの20条に従い、未成年者の同意を与える行為が、未成年者が単独で行動する権利がある行為ではない場合、民法及び商法の22-24条によって、未成年者に対する親の責任を持つ者の同意が必要です。未成年者が10歳未満の場合も、同意が必要です。
通知。PDPAの23条に従って、管理者は、個人データの収集前または収集時に、以下のことをデータ主体に通知する必要があります。
- 個人データの収集の目的(すなわち、利用または開示)。
- 個人データの保存期間。
- データ管理者のID(連絡先の詳細)。
- データ主体が個人データを開示する理由。
- 個人データが開示される可能性のある受信者の識別。
- 収集する必要がある情報。
- データ主体の権利;。そして
- 情報を提供しないことの影響。
データの精度。PDPAの35条に従い、データ管理者は、個人データが正確で、最新の状態であり、完全であり、誤解を招かないようにする必要があります。
データ保持の量と期間。保持の具体的な終了日はありませんが、データ管理者は、個人データが収集された目的の範囲に関連しないか範囲外の場合、PDPAの37(3)条に従って、個人データの消去または破壊について検査システムを導入する必要があります。
最終の原則。PDPAの21条に基づいて、個人データの収集、使用、または開示は、収集、使用または開示の前に同意が得られない限り、以前にデータ主体に通知された目的とは異なる方法で行われないものとします。
安全義務。PDPAの37条は、データ管理者が個人データの不正または違法な損失、アクセス、使用、変更、修正、または開示を防ぐための適切な安全対策を提供および維持することを規定しています。
データ侵害の通知。PDPAの37(4)条は、データ管理者が個人データ保護委員会当局に、個人データの違反が、明白になって、72時間以内にその違反を通知することを要求します。
データ保護担当官。データ管理者または処理者の活動で大量の(現時点では指定されていない)個人データを処理する必要がある場合、データ管理者または処理者は、データ保護担当者(現時点では未定義)も任命する必要があります。
PDPAの42条によると、データ保護担当者の職務には、データ管理者とデータ処理者の両方がPDPAに準拠するための助言と個人データの収集、使用または開示に関して問題がある場合、個人データ保護委員会当局との調整が含まれます。
記録の保存。39条は、データ管理者は以下の記録を維持しなければならないと述べています。(1)収集された個人データ。(2)個人データ収集の目的。(3)データ管理者の詳細。(4)個人データの保存期間。(5)個人データにアクセスする権利と方法。 (6)同意要件から免除された個人データの使用または開示。 (7)要求または異議の拒否。 及び(8)個人データの侵害を防止するための適切な安全対策の説明。
アクセス。PDPAの30条に従い、データ主体は、データ管理者の責任の下で、本人に関連する個人データへのアクセスを要求し、そのコピーを取得する権利があります。要求は、法律で認められている場合、または裁判所の命令に従う場合のみ拒否できます。
Weerawong Chinavat & Partners
22nd Floor, Mercury Tower
540 Ploenchit Road
Lumpini, Pathumwan
Bangkok 10330
T: +662 264 8000
E: info@weerawongcp.com
www.weerawongcp.com