迄今为止,全球已有 132 个国家(地区)实施了数据保护和隐私法。随着越来越多的社会经济活动在互联网上进行,这些法律的出台有助于保护个人数据安全和隐私,是非常有必要的。全球各国推出了众多数据保护法,其中最著名的是欧盟的 GDPR(通用数据保护条例)。基于与 GDPR 相同的内容,泰国于 2019 年 5 月 27 日,也推出了《个人数据保护法》(PDPA)。
与 GDPR 一样,PDPA 旨在保护泰国数据所有者免于非法收集、使用和共享其个人信息。PDPA 原定于 2021 年 5 月 27 日实施,然而受到新冠疫情的影响,被推迟到 2022 年 6 月 1 日正式实施。
PDPA 的出台对于泰国当前的数据保护监管环境带来了重大变化。
一、企业如何履行PDPA规定的义务
PDPA规定下的数据保护义务一般适用于所有在泰国收集、使用或披露泰国居民个人数据的组织,无论这些数据是否根据泰国法律成立或承认,或者他们是否是泰国居民或在泰国有业务存在。PDPA的这一域外范围大大扩大了泰国的数据保护义务,涵盖在泰国基于数据相关主题的所有处理活动。企业必须评估审查其在数据处理中的实践,并采取必要的步骤,以确保遵守PDPA的规定。
企业需要采取的行动包括:
(1)公司应该开始绘制他们的数据地图,以了解他们是如何收集、处理、传输和处理数据的。同时还应确定其收集和使用泰国居民个人数据的法律依据;
(2)所有与个人数据相关的内部政策、协议和实践都必须相应地进行审查和更新;
(3)必须构建数据管理流程和操作系统,以确保其运营合规性;
(4)必须审查其现有的用户隐私声明,并修改创建相应的条款,以确保合规;
(5)为员工提供PDPA 相关的法律培训;
(6)企业应进行差距评估分析,以确定其当前的合规水平,并做出必要的更改;
(7)公司应制定必要的程序,以保证个人对其个人数据权利的行使。
二、员工数据处理和 PDPA
PDPA 的数据主体权利之一是“知情权”。因此,雇主在收集个人数据之前或之时,必须告知员工所需的细节,包括所需的信息、收集信息的目的以及信息将保留多长时间。这是通过同时发布外部和内部隐私声明来实现的。
雇主还可能收集有关其雇员的一些敏感信息,例如健康状况、犯罪背景调查和生物识别信息。但是,雇主在收集此类敏感信息之前,必须事先征得雇员的同意。
三、PDPA 下的国际数据传输
根据 PDPA,除非接收数据的国家采用了与 PDPA 相匹配的数据保护标准,否则不得将个人数据传输到泰国境外。
在下列情况下,国际数据传输可以受到豁免:
(1)如果数据传输对于履行法律义务而言是必要的;
(2)如果数据所有者在已被告知目的地国家(地区)的数据保护标准不足的情况下仍表示同意数据传输;
(3)数据传输对于履行数据控制者和数据主体之间的合同是必要的;
(4)传输是为了维护数据主体的切身利益。
【小结】
PDPA已于2022年6月1日正式实施。互联网企业必须采取措施确保其运营过程是符合PDPA规定的。如果违反了PDPA规定,可能会使公司承担相应的民事甚至刑事责任。
更多海外运营法律法规政策,欢迎咨询上海兰迪律师事务所国际投资律师团队。