חוק זה חל על איסוף, שימוש או גילוי של נתונים אישיים בממלכת תאילנד על ידי כל מעבד נתונים או בקר נתונים, גם כאשר גילוי, שימוש או איסוף כאלה אינם מתרחשים בתאילנד. אם מעבד נתונים או בקר נתונים נמצאים מחוץ לתאילנד, החוק עדיין יחול על נושאי נתונים בתוך תאילנד.
"מידע אישי" פירושו כל מידע הנוגע לאדם מסוים המאפשר זיהוי של אותו אדם, בין במישרין ובין בעקיפין, אך לא כולל מידע של הנפטרים;
"בקר נתונים" פירושו אדם רגיל או משפטן שיש לו את הכוח והחובות לקבל החלטות בנוגע לאיסוף, שימוש או גילוי של הנתונים האישיים;
"מעבד נתונים" פירושו אדם טבעי או משפטן הפועל ביחס לאיסוף, שימוש או גילוי של הנתונים האישיים בהתאם לצווים שניתנו על ידי בקר נתונים או מטעמו, כאשר אדם טבעי או משפטי כאמור אינו בקר הנתונים.
חוק הגנת המידע האישי פורסם לראשונה בשנת 2019, והייתה תקופה של שנה אחת שבמהלכה חברות וגופים אחרים יכלו לציית לחוק במונחים של עונשי אי ציות, חובות של בקר נתונים וזכויות של נושא נתונים.
משרד הוועדה להגנת הפרטיות הוא הרשות המפקחת העיקרית, והמשרד לכלכלה דיגיטלית וחברה הוא המפקח על ה-PDPA.
יישום תאימות PDPA
באופן כללי, PDPA חל על כל גילוי, שימוש ואיסוף של נתונים בתאילנד או הנוגעים לאזרחים תאילנדים. ישנם מקרים מסוימים שבהם מעבדי נתונים ובקרי נתונים חייבים לדבוק ב- PDPA גם כאשר הם פועלים מחוץ לתאילנד:
עילות משפטיות לאיסוף, שימוש וגילוי של נתונים אישיים
קיימות רק שש הרשאות חוקיות לנוהג זה. בכל מקרה אחר, נדרשת הסכמה מנשוא הנתונים.
שיטות העבודה המותרות על פי חוק כוללות:
ישנם קריטריונים שחייבים להתקיים כדי שההסכמה תיחשב תקפה:
הודעת פרטיות צריכה להימסר לנושא עד למועד איסוף הנתונים. ההודעה צריכה לכלול את הפרטים הבאים:
ברגע שבקר נתונים מגלה על הפרת נתונים המשפיעה על הגנה על נתונים אישיים, יש לו 72 שעות להודיע על כך למשרד. אם הפרת הנתונים יש השפעה משמעותית או נושאת סיכון גבוה לחופש ולזכויות של הנושא, אז הנושא חייב להיות גם הודיע בהקדם האפשרי.
חובתו של בקר הנתונים לשמור על אבטחת הנתונים:
בעוד ש"סטנדרטים נאותים להגנה על נתונים" עדיין לא נקבעו באופן רשמי, קיימת ציפייה שכאשר נתונים אישיים מועברים למקום אחר בעולם, למדינה חייבים להיות תקני הגנה נאותים כדי לפקח על הגנת נתונים. היוצא מן הכלל היחיד הוא כאשר מתקיימים פטורים.
בהתאם לחומרת ההפרות של חוק הגנת המידע האישי, עשויים לחול קנסות מנהליים, קנסות פליליים, אחריות פלילית או אחריות אזרחית.
לדוגמה, כאשר נדרשת הסכמה על פי חוק, אך בקר נתונים אסף נתונים מנשוא נתונים ללא הסכמה, הוא יקבל קנס של עד 3 מיליון באט.
עדיין ניתן להשתמש בכל הנתונים שנאספו לפני 27 במאי 2020, בתנאי שבקר הנתונים נוקט בצעדים הבאים:
ייתכן שיהיה לך קל יותר להבטיח תאימות בארגונים קטנים יותר, מכיוון שקשה יותר לכסות דברים כמו ניצול מופרז. היבטים מרכזיים אחרים קלים יותר למעקב וניתן להשיג תקשורת ישירה יותר עם הנושאים. בעלי נתונים יכולים להשקיע זמן ומאמץ אמיתיים בניידות נתונים במידת הצורך, כמו גם בשאיפה לקבל הסכמה במידת הצורך ולוודא שהחוק המאוחד ממולא מקרוב על ידי בקרי הנתונים. תקשורת ושקיפות עם נושא הנתונים שלך לפני איסוף הנתונים גם קלים יותר בעידן הדיגיטלי, ופעילויות עיבוד גוזלות פחות זמן כאשר מאגר הנתונים קטן יותר.
זכור כי במקרה של העברת נתונים, עליך לוודא שבקר הנתונים שולח הודעות על מידע זה. ממשלת תאילנד תחיל הן פיצויים עונשיים והן עונשים פליליים בגין הפרת סודיות ואי עמידה בתקני קניין רוחני. העידן הדיגיטלי השפיע רבות על האופן שבו נתונים ואינטרסים כאלה מנוהלים ברחבי העולם, ותאילנד אינה המדינה היחידה עם חוק חדש להגנה על נתונים.
העונשים יכולים להיות חמורים כמו קנס גדול או עד שנת מאסר, במיוחד במקרה של דליפות רגישות מאוד (למשל, בריאות הציבור) או הפרות נתונים גדולות. זכור כי חוק זה הוא צו מלכותי והוא נועד להכין את תאילנד לעמוד בסטנדרטים בינלאומיים.
במקרה שנפלת קורבן להפרה או דליפה של נתונים אישיים, אל תהסס לפנות אלינו. Juslaws &Consult תמיד כאן כדי להגן על האינטרסים שלך.
