航法
インド
過去3〜4年で、多くの管轄区域が市民の個人データを保護するための特定の法律や規制を実施しています。インドでは、包括的で排他的なデータ保護法がまだ施行されていません。現在、インドのデータ保護を管理する法制度は、2000年情報技術法(IT法)とその関連規則の規定に基づいています。包括的なデータ保護規制を導入するためにいくつかの試みが行われましたが、規制は未だ日の目を見ていません。
EUの一般データ保護規則(GDPR)および世界の他の国にある同様の規制の登場により、個人のデータ保護における権利についての認識が高まっています。過去数年は、複数の法域でデータプライバシー違反のため、根こそぎにされた複数の企業を目撃し、それだけで個人データを保護する規制を制定するという騒ぎが増えました。KS Puttaswamy and Anr 対 Union of India and Ors事件における最高裁判所の判決は、プライバシーの権利をインド憲法の第21条に基づく基本的権利として認めたものであり、これがとどめとなり、インドはGDPRに従って、個人のデータを保護し、個人のデータに関する権利を整える同様の法律が必要であると立法者が確信しました。
電子情報技術省は、2017年7月にBN Srikrishna判事が率いる9名の専門家委員会を設置し、報告書と2018年7月27日付けで、個人データ保護法案として知られる法案草案を提出しました。 この法案はその後わずかに修正され、2019年に個人情報保護法案(PDP法案)としてインド議会下院に提出されました。その後、PDP法案は議会委員会を選び、付託され、両院で承認されて施行されるまで、IT法の規定と規則がインドの個人データの保護に適用されるでしょう。
既存の規制
前述のように、PDP法案が施行されるまで、IT法の規定と、主に情報技術(合理的な安全慣行と手順、機密の個人データまたは情報)規則、2011年(2011規則)が インドにおける個人データの保護規則となるでしょう。
IT法は、インド全体と、インド国外の人物が犯したインドの犯罪または違反に適用されます。2011年の規則は、インドに所在する法人企業および個人にのみ適用されます。つまり、2011年の規則は、海外にあるデータ主体に関するインドでのデータの処理には適用されません。一部のルールは企業間関係には適用されず、企業による個人のデータの収集にのみ適用されます。
2011年の規則に基づく義務は、主に機密の個人データとして定義されているものの保護に関するものです。個人の機密データまたは個人の情報は、以下に関する詳細で構成される個人情報であると言われます。(i)パスワード。(ii)銀行口座、クレジットカード、デビットカード、その他の支払い方法の詳細などの財務情報。 (iii)身体的、生理学的および精神的健康状態。 (iv)性的指向。(v)医療記録および病歴。(vi)生体情報。(vii)サービスを提供するために法人に提供される上記の条項に関連する詳細。 (viii)上記の条項に基づいて、合法的な契約またはその他の方法で処理、保存、または処理するために、企業が受信した情報。
このルールは、個人情報を第三者に開示し、他の対象に転送する方法も規定しています。
個人情報保護法案
PDP法案は、州、インドの企業、インドの市民、またはインドの法律に基づいて設立またはつくられた個人または団体による個人データの処理に適用されます。さらに、2項には、PDP法案がデータ受託者およびデータ処理者による個人データの処理に適用されることが記載されています。(そのような処理がインドのデータ当事者へのビジネス/提供/サービスに関連する場合、またはインドのデータ当事者のプロファイルを伴う場合。)
ただし、PDP 2019法案は匿名化されたデータの処理には適用されませんが、政府と共有する必要がある可能性のある匿名化されたデータには例外が設けられています。
PDP法案は、「データ当事者」と「データ委託者」の概念を定義しています。個人データが収集される自然人は、データ当事者と呼ばれます。このデータを処理する目的または手段を決定する対象は、データ受託者と呼ばれます。
データの受託者には、州、企業、個人が含まれます。PDP法案では、「データ処理者」を、データ受託者に代わってデータを処理する対象と定義しています。処理は、個人データに対して実行される任意の操作または一連の操作を含むように拡張的に定義されています。PDP法案は、「同意管理者」、つまり、データ委託者がアクセス可能で透明性のある相互運用可能なプラットフォームを通じてデータ当事者を支援し、同意を取得、撤回、見直し、管理できるようにすることも導入しています。
PDP法案の4項には、個人データは明確で具体的かつ合法的な目的でのみ処理できると記載されています。PDP法案はさらに、個人データを処理する人は、データ当事者のプライバシーを尊重する公正かつ合理的な方法でそのような個人データを処理する義務をデータ当事者に負うことを規定しています。
PDP法案では、個人情報の処理に先立って、データ当事者の同意を得ることを求めています。ただし、その規定に基づいて同意が必要とされない場合を除きます。データ当事者または他の個人の生命への脅威、または健康への深刻な脅威を伴うあらゆる医療緊急事態に対応するため、伝染病、病気の発生中に個人に医療またはヘルスサービスを提供するためのあらゆる措置を講じること 、または公衆衛生に対するその他の脅威、または災害または公序良俗の崩壊の間に個人の安全を確保し、または個人への支援を提供するための措置を講じるため、データは、インドの裁判所または裁判所の命令または判決を遵守して、法律で認められた国家の機能を実行するため、同意なしに処理できます。他の法域とは異なり、PDP法案は合法的な契約に基づく義務の履行のための個人データの処理を許可していないことに注意する必要があります。
2018年の法案では、すべてのデータ受託者に対し、データ当事者の個人データの少なくとも1つのコピーがインドにあるサーバーまたはデータセンターに保存されていることを確認する必要がありました。これは、PDP法案2019の下で変更されました。現在、個人データに関する局在化(ローカリゼーション)の要件はありません。 機密性の高い個人データをインドに保存する必要はありますが、そのようなデータは処理のためにインド国外に転送できます。「コピーを提供する」というあいまいな概念も削除されました。さらに、PDP法案では、重要な個人データとして指定された個人データの分野は、インドでのみ処理するように規定しています。重要な個人データをインド国外に転送する場合の例外もいくつか指定されています。
PDP法案は、ソーシャルメディアの仲介者として定義されるデータの受託者の新しいカテゴリも作成しました。これらは、主にまたは単独でユーザーに接続して、情報の作成、変更、アップロード、共有、発信、またはアクセスを可能にする対象者です。検索エンジン、eコマース法人、インターネットサービス供給者、電子メールと保存サービス、およびオンライン百科事典は、この定義から除外されます。特定の数を超えるユーザーがいて、その行動が選挙民主主義、国家の治安、社会秩序、主権、またはインドの整合性に影響を与える可能性が高いソーシャルメディアの仲介者は、重要なデータ受託者としてインド政府から通知されます。
PDP法案は、特定の目的でデータを処理する場合の遵守の免除も規定しています。PDP法案の規定の遵守の免除は、個人データが国のセキュリティ、法律違反の防止、検出、調査、法律違反の起訴、法的手続き目的の処理、調査、保存、または統計目的、国内目的、およびジャーナリズム目的のために処理される場合に許可されます
PDP法案は現在、議会に提出する前に法案はさらに改訂される可能性がある、常任委員会に付託されています。したがって、インドの効果的データ保護規制はまだしばらく先のようです。それまでは、IT法の規定と2011年の規則が引き続き有効です。
Legasis Partners
12A/09 13/F
Parinee Crescenzo,
G-Block BKC,
Bandra East, Mumbai 400051,
T: +91 22 3354 4000
E: mumbai@legasispartners.com
www.legasispartners.com
フィリピン
2012年、フィリピンはデータプライバシー法(DPA)を可決し、政府と民間分野の両方で情報通信システムの個人データを保護しました(共和国法第10173号)。この包括的なプライバシー法は、施行、規則作成、助言、準司法権を有する国家プライバシー委員会(NPC)も設立し、同法の規定を実施するように任命しました。
2016年9月9日、施行規則(IRR)が施行されました。この法律は、フィリピンを次のレベルに引き上げ、データ保護の国際基準を確実に準拠することを目的としています。
応用。フィリピンのDPAは、「社会的関心事」と見なされる特定の例外は除き、あらゆる種類の個人情報の処理に適用されます。これは、フィリピン国内(または場合によっては外部)の個人情報処理に関わるあらゆる自然人および法人を対象としています。NPAはDPAの域外の範囲に基づいて、2018年4月にケンブリッジアナリチカスキャンダルで独自の調査を開始し、これには、約120万人のフィリピン人を含む、個人情報の不正共有が含まれました。
一般的な考え方として、個人情報が公開されている場合、DPAは適用されません。NPCは、これは誤解であると考え直し、「データ主体が公的にアクセス可能なプラットフォームで個人データを提供したとしても、それは個人が個人のどのような使用についても全面的な同意をしたことを意味するものではないと述べました。NPCの意見は、ソーシャルメディア時代の個人と一般の間の崩壊する境界を注意深く認識しているため、重要です。
統治原則。DPAは、初期の国際的なプライバシーの枠組み下でいくつかの原則、特に透明性、正当な目的、および比例性を採用しています。法律の目的に沿って、個人情報の処理は、たとえば、個人情報管理者(PIC)の正当な関心など、処理するための少なくとも1つの合法的な根拠がある場合に許可されます。
この点に関して、NPCは、処理の基礎としてのPICの正当な関心が、次の3つの部分からなる検査を考慮しなければならないことをすでに明確にしています。(1)目的検査–特定の処理操作が達成しようとしている決定を含め、正当な関心の存在を明確に確立する必要がある。(2)必要性検査-個人情報の処理は、個人情報が、そのような目的が他の手段によって合理的に果たされない場合、PICまたは、個人情報が開示される第三者によって、追求される正当な関心の目的のために必要である。(3)バランス検査-データ主体に対する処理の影響の可能性を考慮して、PICまたは第三者の正当な関心によってデータ主体の基本的な権利と自由を無効にしてはならない。対照的に、機密性の高い個人情報の処理は、処理の法的根拠が存在する場合(同意、法律、または物理的な必要性など)を除いて、一般的に禁止されています。
データ主体の権利。DPAはデータ主体に次の特定の権利を提供しました。(1)通知を受ける権利(とりわけ、自動意思決定とプロファイルの存在について)。(2)アクセス権。(3)反対する権利(ダイレクトマーケティング、自動処理またはプロファイルを含む、個人データの処理に対する)。(4)指定された理由で(PICのファイルシステムからの個人データを)消去またはブロックする権利。(5)損害賠償の権利。(6)枯渇と適時性の要件に従って、苦情を申し立てる権利。(7)修正する権利。 (8)データの移植性に対する権利。
義務。IRRの下では、PICとPIP(個人情報処理装置)は、次の条件下でデータ処理システムをNPCに登録することが義務付けられています。(1)1,000人以上の機密個人情報が処理される場合。(2)個人情報の管理者または処理者が少なくとも250人を雇用している場合。(3)250人未満の従業員でも、処理が不定期でない場合。又は(4)採用が250人未満であるが、情報の処理により、データ主体の権利と自由が危険にさらされる可能性がある場合。
IRRは、個人データの保護のために次の必須の安全対策を定めています。
- データ保護責任者、遵守責任者、またはデータのプライバシーと安全に関する適用法と規制の遵守を確保する責任を負うその他の責任者として機能する人物を割り当てます。
- 組織、物理的および技術的な安全対策を提供する適切なデータ保護政策を実施します。
- データ処理システムを十分に説明し、個人データへのアクセス権を持つ個人の義務と責任を特定する記録を維持します。
- 個人データにアクセスする従業員、エージェント、または代表者を選択、訓練、監督します。
- 個人データの収集と処理、データ主体、DPA、アクセス管理、システム監視、安全インシデントまたは技術的問題のプロトコル、およびデータ保持に基づく権利を行使するための、個人データの収集と処理に関する政策と手順を開発、実施、審査します。
- 適切な契約上の合意を通じて、PIPが法律とIRRで要求される安全対策も実施することを確認します。
- 必要に応じて、IRRに記載されている物理的な安全ガイドラインに準拠します。そして
- 次のような(ただしこれらに限定されない)技術的な安全対策を採用して確立。個人データの処理に関する安全政策。コンピュータネットワークを保護するための保護手段。 安全対策の有効性の定期的な評価。 個人データの暗号化。
PICとPIPの法律への準拠を監視するには、文書化された安全インシデントと個人データ違反の概要をPICとPIPからNPCに報告する必要があります。データ侵害の場合、NPCおよび影響を受けるデータ主体は、個人データ侵害の発見から72時間以内に、関係するPICまたはPIPから通知を受ける必要があります。
遵守要件
個人データ処理に従事する人々がDPA遵守を達成するのを助けるために、NPCは「遵守の5つの柱」と呼ばれる5つのステップガイドを開発しました。このガイドはチェックリストとして機能し、DPAに基づく主要なデータプライバシーの責任とNPCの関連する発布について概説します。
データ保護担当者(DPO)の任命。DPOの任命は法律で義務付けられており、組織の遵守への取り組みの証拠と見なされます。 DPOは、組織が法律の要件を遵守していることに対し責任があります。担当者の主な役割は、データ保護政策の策定、リスク評価の実施、個人データ侵害の管理など、組織のデータ保護プログラムとその実施を監督することです。担当者はまた、データ主体とNPCに関する組織の連絡窓口としての役割も果たします。DPOは独立し、データ保護に精通しており、組織によって実行されている処理システムを十分に理解している必要があります。
プライバシー影響評価(PIA)の実施。PIAは、個人情報の処理によってもたらされる潜在的なプライバシーリスクを識別および評価するプロセスです。理想的には、個人情報を含むすべてのプロジェクト、プログラム、および活動に対してPIAを実施する必要があります。PIAには、特に次のものを含める必要があります。(1)組織の個人データの流れと処理活動の体系的な説明。(2)データプライバシーの原則および安全対策の実施に対する組織の遵守の評価。(3)付随するリスクの特定と評価。(4)それらに対処する対策の提案。
プライバシー管理プログラム(PMP)の作成。PMPは、プライバシーとデータ保護が組織のすべてのプログラム、活動、サービス、取り組みに確実に組み込まれるようにする包括的なアプローチです。データ主体の個人情報を保護するという組織の取り組みを示し、そのような情報の処理と取り扱いにおける組織の慣行と手順を詳しく説明します。PMPの実施には、組織が法律の要件に準拠するのに役立つプライバシー政策、手順、およびプロトコルを導入することが含まれます。
プライバシーとデータ保護対策を実施。PMPに定められた方針と措置が実施されるべきです。PMPプログラムの実行を確実にするために、組織の確固たるコミットメントとは別に、管理を組織の日常業務に統合する必要があります。プログラムの管理には、次のものを含める必要があります。(1)処理活動の記録。(2)リスク評価ツール。(3)登録。(4)政策と手順。(5)データの安全性。(6)能力開発。(7)違反管理。(8)通知。(9)第三者管理。(10)コミュニケーション。組織はまた、プログラム管理の有効性を定期的に評価する必要があります。
個人情報侵害の管理。個人データの侵害が発生した場合、組織は迅速かつ効果的に対応できるように準備する必要があります。組織には、違反管理の手順を定めた方策が必要です。方策は、防止、インシデント対応、調査、違反の影響の軽減、通知要件の遵守、および再発防止を対象とする必要があります。違反を管理する責任を明確に定義して割り当てること、および得られた教訓を組織の手順と実践に統合することが不可欠です。
DivinaLaw
8/F Pacific Star Bldg
Sen Gil Puyat Ave.
cor Makati Ave.,
Makati City Philippines
T: +632 8822 0808
E: info@divinalaw.com
www.divinalaw.com
台湾
データプライバシーを管理する台湾の主要な法令は、2015年12月を最後に改正され、2016年3月15日に発効した個人情報保護法(PDPA)です。台湾での個人データの収集、処理、使用は、PDPAが定めた、PDPAの施行規則、関連当局が発行した関連する規制および裁定です。
PDPAは政府機関と非政府機関を区別し、個人データの収集、処理、および使用のためのデータ管理者として機能するため、異なる規則を採用します(ただし、「管理者」という用語はPDPAでは使用されません)。非政府機関には、台湾政府機関ではない個人または機関が含まれます。外国人または法人による台湾国民の個人データの収集、処理、使用もPDPAの対象となります。
PDPAの枠組みの下では、独立した監督当局は存在しません。2018年7月25日以前は、法務省がPDPAの解釈を担当する主要な機関であり、現在、そのような権限は国家開発評議会(NDC)にあります。さまざまな業界の管轄当局も、関連業界のデータ管理者に適用される裁定や規制を発行できます。
個人と機密データ
PDPAでは、個人データとは、自然人の名前、生年月日、IDカード番号、パスポート番号、機能、指紋、婚姻状況、家族情報、学歴、職業、医療記録、医療データ、遺伝データ、 個人の性生活、健康診断の記録、犯罪歴、連絡先情報、財務状況、個人の社会活動に関するデータ、および自然人を直接的または間接的に識別するために使用できるその他の情報です。
自然人の医療記録、ヘルスケア、遺伝学、性生活、健康診断、犯罪歴(機密データ)に関連するデータの収集、処理、または使用には、より高い基準が適用されます(以下を参照)。ただし、PDPAは、機密データに対して個別の規則を明確に規定していません。
個人データの収集、処理、または使用の要件。この記事では、以下の非政府機関の要件に焦点を当てます。非政府機関が個人データを収集、処理、または使用するには、次の要件を満たす必要があります。
(1)以下のすべての情報を含むデータ主体への通知があるものとします。(i)収集/処理/使用者の名前。(ii)収集/処理/使用の目的。(iii)収集、処理、または使用される個人データの種類。 (iv)個人データの期間、地域、対象、および使用方法。(v)PDPAの第3条に基づくデータ主体の権利(以下を参照)、そのような権利を行使する方法、およびデータ主体が個人データを提供しないことを選択した場合のデータ主体の権利と利益への影響 。
(2)個人データの収集/処理には、以下の法的根拠のうち少なくとも1つが必要です。(i)収集/処理が法律によって明確に許可されている。(ii)データ主体の同意が得られている。(iii)データ主体の個人データは、データ主体により開示され、または正当な方法で公開されている。(iv)データ主体との契約上の関係または準契約上の関係、および適切な安全対策が採用されている。 (v)データ主体を特定するのに十分な情報が削除されている場合、個人情報の収集/処理は、公益のための学術研究機関による統計、収集または学術研究に必要です。(vi)収集/処理は、公共の利益を促進するのに必要です。(vii)個人データは、一般にアクセス可能なソースから収集されたものです。 (viii)収集/処理はデータ主体に害を及ぼさない。
(3)個人情報の利用については、以下のいずれかに該当する場合を除き、収集した利用目的の範囲内で利用されなければなりません。(i)そのような追加の使用は、法律に基づいて定められた特定の規定に従っています。(ii)公益を促進するために必要です。(iii)データ主体の生命、身体、自由または財産に対するリスクを防止するためのものです。(iv)第三者の権利または利益に対しての具体的危害を防止します。(v)データ主体を特定するのに十分な情報が削除されている場合、公益のための学術研究機関による統計、収集または学術研究のために必要です。 (vi)データ主体の同意が得られている。 または(vii)そのような追加の使用はデータ主体に利益をもたらす。
機密データの収集、処理、または使用に関する要件。次のいずれかの状況でない限り、機密データを収集、処理、または使用することはできません。
- 法律で特に許可されている場合。
- 政府機関がその法的義務を果たす必要がある場合、または非政府機関がその法的義務を果たす必要がある場合、およびそのような収集、処理、または使用の前または後に適切な安全対策が採用される場合。
- データ主体の開示により、または正当な方法で、データ主体の個人データが公開された場合;
- 統計またはその他の学術研究を実施する必要がある場合、政府機関または学術研究機関は、治療、公衆衛生、または犯罪防止の目的で、データー主体を特定する情報が十分に削除されている前提で、個人データを収集、処理、または使用することができます。
- 政府機関がその法的義務を遂行するのを支援する必要がある場合、または非政府機関がその法的義務を遂行するのを支援する必要があり、そのような収集、処理、または使用の前または後に適切な安全対策が採用されている場合。又は
- データ主体が書面で同意した場合、そのようなデータの使用が特定の目的の必要な範囲を超えてはならない、または他の法令に基づく他の制限がない場合。さらに、そのような同意は、データ主体の自由意志に反して取得してはなりません。
データ主体の権利
PDPAの第3条に従い、データ主体は次の権利を有します。これらの権利は事前に契約により放棄または制限されることはありません。(1)個人データを照会および確認する権利。(2)個人データのコピーを所有する権利。(3)個人データを補足または訂正する権利。(4)個人データの収集、処理、または使用を停止する権利。(5)個人データを削除する権利。
個人データの国際転送
PDPAの第21条に基づき、管轄当局は、以下の状況のいずれかにおいて個人データの国際転送を禁止または制限する権利を有します。(1)主要な国益が関係する場合。(2)国際条約または協定がそのような譲渡を禁止または制限する場合。 (3)個人データが転送される国が個人データの健全な法的保護を提供せず、それによりデータ主体の利益に影響を与える、危うくする場合。 (4)個人データの第三国(地域)への転送がPDPAに基づく制限を回避することである場合。
言い換えれば、個人データの国際的な転送は一般的に許可されていますが、所管官庁がケースバイケースでこれを禁止または制限することがあります。また、さまざまな業界の所管官庁は、関連業界のデータ管理者による個人データの国際転送に適用される裁定や規制を発行する場合があります。たとえば、台湾の銀行規制当局は、個人データの国際転送を伴う金融機関による業務のアウトソーシングは特定の要件を満たすことを要求しており、事前の承認を受ける必要があります。
最近の展開
台湾政府は、おそらく今年、PDPAを改正して、EUの一般データ保護規則(GDPR)の基準を満たし、欧州委員会から妥当性の判断を得ることを目指しています。NDCは、PDPAの必要な修正について、欧州委員会の当局と数回の議論を交わしました。NDCによると、修正案には主に次のものが含まれます。(i)さまざまな業界分野にわたるデータ保護に関する規制がより一貫して包括的になるように、独立した規制機関を設置する。 (ii)個人データの国際転送に関する要件または制限を追加する。
Lee and Li
8F, No. 555,
Sec 4, Zhongxiao E Rd,
Taipei, Taiwan
Tel: +886 2 2763 8000
Email: attorneys@leeandli.com
www.leeandli.com
タイ
タイは、2019年5月28日に個人データ保護法(2019)(PDPA)を公布しました。PDPAの最も重要な規定は、この法律の遵守の準備時間を確保するために、2020年5月27日に発効することです。これらの規定には、個人データ保護、データ主体の権利、苦情、民事責任、および罰則に関する規制が含まれます。
同法に基づく従属法は、現在、個人データ保護基準、苦情、行政責任を含め、準備中です。PDPAに基づくすべての規制と通知の発行は、2021年5月26日の本法の施行日から1年以内に完了する必要があります。
データ保護当局。PDPAは、その下に専門委員会と小委員会を置く個人データ保護委員会を設置します。PDPAの16条に従い、個人情報保護委員会の職務には以下が含まれます。個人データの保護のための措置または手順の決定。 通知または規制の発行。国外に転送されるデータの保護及び、保護手順の基準を発表。個人データを支援および保護するためのマスタープランを準備します。
上記の委員会に加えて、PDPAは、学術サービスおよび監督委員会による個人データの保護のためのセンターとして機能する国の機関である個人データ保護委員会の事務所も設立します。
データ保護違反。PDPAは、違反に対する民事、刑事、行政上の罰則を規定しています。 PDPAに基づく民事責任には、実際の損害額の2倍を超えない額の損害賠償および懲罰的損害賠償が含まれます。刑事責任には、違反の内容に応じて、最大6ヶ月の懲役、またはTHB500,000(US $ 16,000)の罰金またはその両方が含まれます。行政責任には、違反の性質に応じて最大500万バーツの行政罰金が含まれます。タイの民事訴訟法では、集団訴訟も可能です。
免除部門と機関。PDPAは、タイのデータ管理者またはデータ処理者による個人データの収集、使用、開示を規制しています。ただし、PDPAは以下には適用されません。個人の利益または世帯。 公的機関の運営。 マスメディア、芸術、文学の活動のためにのみ収集されるデータ。衆議院、議会または議会委員会の義務と権限に基づくデータ。裁判所の裁判および判決、ならびに法的手続きおよび法的執行における役員の業務。信用調査会社とそのメンバーが収集したデータ。 そして故人のデータ。
個人データ形式。PDPAの6条に従い、個人データとは、直接または間接的に特定できる人物に関連する情報を意味しますが、故人を含みません。
PDPAには2種類の個人データがあります。一般的な個人データ(24条)および機密データ(26条)。一般的なデータは、同意を得てデータ主体から収集する必要があります。例として、住所、電話番号、クレジットカード情報などが含まれます。
域外性。データ管理者またはデータ処理者がタイ国外にある場合、PDPAは、データ主体が支払いを行ったかどうかや、データ主体の行動の監視に関係なく、タイのデータ主体への商品またはサービスの提供を含みます。
タイ国外への個人データの転送。PDPAの28条に従って、データ管理者が個人データを外国に送信または転送する場合、データ管理者は個人データ保護委員会(現在は未指定)によって規定されている転送に関する規則を遵守し、 そのようなデータを受け取る宛先国または国際機関が、委員会によって決定された適切なデータ保護基準を持っていること(現在は未指定)を確実にします。
対象となる個人データの使用。PDPAは、個人データを管理する人と個人データ処理サービスを所有者に提供する人を区別します。管理者と処理者の義務は異なります。
PDPAの37条は、安全対策の手配、検証手順の手配、個人データ保護委員会の事務局への個人データの違反の通知など、データ管理者の義務を規定しています。
PDPAの40条は、安全対策の手配、データ管理者への個人データの違反の通知、ログの準備と保守など、データ処理者の義務を規定しています。
処理の正当な根拠。PDPAの24条および27条に従い、データ管理者は、次の理由でそうする法的根拠がない限り、データ主体の同意なしに個人データを処理してはなりません。研究。 重要な利益。契約。公共の仕事、事務当局。 データ管理者の正当な利益(データ主体の権利とのバランス)。 そして法的義務。
正当な処理-個人データの種類。PDPAは、機密の個人データに対してより厳しい規則を課しています。PDPAの26条および27条に従って、機密データの処理は、データ主体の明白な同意(明確な声明で確認され、行動から推測される同意ではない)なしでは禁止されています。例外には、以下の理由による合法的な根拠が含まれます。重要な利益。 正当な活動。 公開データ。 法的請求。 そして法的義務。
未成年者。PDPAの20条に従い、未成年者の同意を与える行為が、未成年者が単独で行動する権利がある行為ではない場合、民法及び商法の22-24条によって、未成年者に対する親の責任を持つ者の同意が必要です。未成年者が10歳未満の場合も、同意が必要です。
通知。PDPAの23条に従って、管理者は、個人データの収集前または収集時に、以下のことをデータ主体に通知する必要があります。
- 個人データの収集の目的(すなわち、利用または開示)。
- 個人データの保存期間。
- データ管理者のID(連絡先の詳細)。
- データ主体が個人データを開示する理由。
- 個人データが開示される可能性のある受信者の識別。
- 収集する必要がある情報。
- データ主体の権利;。そして
- 情報を提供しないことの影響。
データの精度。PDPAの35条に従い、データ管理者は、個人データが正確で、最新の状態であり、完全であり、誤解を招かないようにする必要があります。
データ保持の量と期間。保持の具体的な終了日はありませんが、データ管理者は、個人データが収集された目的の範囲に関連しないか範囲外の場合、PDPAの37(3)条に従って、個人データの消去または破壊について検査システムを導入する必要があります。
最終の原則。PDPAの21条に基づいて、個人データの収集、使用、または開示は、収集、使用または開示の前に同意が得られない限り、以前にデータ主体に通知された目的とは異なる方法で行われないものとします。
安全義務。PDPAの37条は、データ管理者が個人データの不正または違法な損失、アクセス、使用、変更、修正、または開示を防ぐための適切な安全対策を提供および維持することを規定しています。
データ侵害の通知。PDPAの37(4)条は、データ管理者が個人データ保護委員会当局に、個人データの違反が、明白になって、72時間以内にその違反を通知することを要求します。
データ保護担当官。データ管理者または処理者の活動で大量の(現時点では指定されていない)個人データを処理する必要がある場合、データ管理者または処理者は、データ保護担当者(現時点では未定義)も任命する必要があります。
PDPAの42条によると、データ保護担当者の職務には、データ管理者とデータ処理者の両方がPDPAに準拠するための助言と個人データの収集、使用または開示に関して問題がある場合、個人データ保護委員会当局との調整が含まれます。
記録の保存。39条は、データ管理者は以下の記録を維持しなければならないと述べています。(1)収集された個人データ。(2)個人データ収集の目的。(3)データ管理者の詳細。(4)個人データの保存期間。(5)個人データにアクセスする権利と方法。 (6)同意要件から免除された個人データの使用または開示。 (7)要求または異議の拒否。 及び(8)個人データの侵害を防止するための適切な安全対策の説明。
アクセス。PDPAの30条に従い、データ主体は、データ管理者の責任の下で、本人に関連する個人データへのアクセスを要求し、そのコピーを取得する権利があります。要求は、法律で認められている場合、または裁判所の命令に従う場合のみ拒否できます。
Weerawong Chinavat & Partners
22nd Floor, Mercury Tower
540 Ploenchit Road
Lumpini, Pathumwan
Bangkok 10330
T: +662 264 8000
E: info@weerawongcp.com
www.weerawongcp.com