自《个人数据保护法》(Personal Data Protection Act,简称“PDPA”)于2022年全面生效以来,泰国个人数据保护委员会(Office of the Personal Data Protection Commission,简称“PDPC”)积极推广有关该法规的知识以及意识,鼓励所有企业遵守相关规定。尽管到2024年6月PDPC已收到超过660个投诉,但PDPC直到近期才开始对违反该法规的企业进行行政处罚。
2024年8月21日,PDPC宣布对一家大型企业首次实施处罚,罚款总额高达七百万泰铢,具体处罚事项如下;
-
- 未指定数据保护官(Data Protection Officer,简称”DPO“):罚款100万泰铢
- 公司未实施符合法律要求的最低标准的个人数据安全措施,例如;没有访问控制措施(Access Control)以及使用权限的措施(Authorization):罚款300万泰铢
- 当发生个人数据侵权事件时未在知悉事件后72小时内向PDPC报告数据泄露:罚款300万泰铢
这一案例显示了PDPC对PDPA实施更加严格的执法态度,标志着过去两年对运营商宽容态度的转变。近期,PDPC启动了自我评估程序,对需要指定数据保护官的企业进行评估,以检视泰国企业的准备情况。
企业须确保满足指定数据保护官、安全措施和文件记录的基本要求。此外,仅有基本的法律文件可能已不足够。运营商还必须定期审查其运营,以确保持续遵守PDPA并预防数据泄露。
为确保完全遵守PDPA的规定,应采取以下步骤:
上述每一步都需要时间准备完成。我们强烈建议企业进行系统化的法律审查,以防因不遵守法规而受到惩罚的风险。在我们团队的帮助下,完全遵守PDPA并非难事。
