ينطبق هذا القانون على جمع البيانات الشخصية أو استخدامها أو الكشف عنها في مملكة تايلاند من قبل أي معالج بيانات أو مراقب بيانات ، حتى عندما لا يتم هذا الكشف أو الاستخدام أو الجمع في تايلاند. في حالة وجود معالج بيانات أو مراقب بيانات خارج تايلاند ، سيظل القانون ساريا على موضوعات البيانات داخل تايلاند.
"البيانات الشخصية" تعني أي معلومات تتعلق بشخص معين تمكن من تحديد هوية هذا الشخص ، سواء بشكل مباشر أو غير مباشر ، ولكن لا تشمل معلومات الأشخاص المتوفين ؛
"مراقب البيانات" يعني شخصا عاديا أو اعتباريا لديه السلطة والواجبات لاتخاذ القرارات المتعلقة بجمع البيانات الشخصية أو استخدامها أو الكشف عنها ؛
"معالج البيانات" يعني الشخص الطبيعي أو الاعتباري الذي يعمل فيما يتعلق بجمع البيانات الشخصية أو استخدامها أو الكشف عنها وفقا للأوامر الصادرة عن أو نيابة عن مراقب البيانات ، حيث لا يكون هذا الشخص الطبيعي أو الاعتباري هو مراقب البيانات.
تم نشر قانون حماية البيانات الشخصية لأول مرة في عام 2019 ، وكانت هناك فترة عام واحد يمكن خلالها للشركات والكيانات الأخرى أن تمتثل للقانون من حيث عقوبات عدم الامتثال والتزامات مراقب البيانات وحقوق موضوع البيانات.
مكتب لجنة حماية البيانات هو السلطة المشرفة الرئيسية ، ووزارة الاقتصاد الرقمي والمجتمع هي المشرف على PDPA.
تطبيق الامتثال PDPA
بشكل عام ، ينطبق قانون PDPA على أي إفصاح واستخدام وجمع للبيانات في تايلاند أو تتعلق بالمواطنين التايلانديين. هناك بعض الحالات التي يجب أن يلتزم فيها معالجو البيانات ومراقبو البيانات ب PDPA حتى عندما يعملون خارج تايلاند:
الأسس القانونية لجمع البيانات الشخصية واستخدامها والكشف عنها
لا يوجد سوى ستة أذونات قانونية لهذه الممارسة. في أي حالة أخرى ، يلزم الحصول على موافقة من موضوع البيانات.
تشمل الممارسات المسموح بها قانونا ما يلي:
هناك معايير يجب الوفاء بها حتى تعتبر الموافقة صالحة:
يجب تقديم إشعار خصوصية للموضوع بحلول الوقت الذي يتم فيه جمع البيانات. يجب أن يتضمن الإشعار المعلومات التالية:
بمجرد أن يصبح مراقب البيانات على علم بخرق البيانات الذي يؤثر على حماية البيانات الشخصية ، يكون لديه 72 ساعة لإخطار المكتب. إذا كان لخرق البيانات تأثير كبير أو ينطوي على مخاطر كبيرة على حرية وحقوق الموضوع ، فيجب أيضا إخطار الموضوع في أقرب وقت ممكن.
من واجب مراقب البيانات الحفاظ على أمان البيانات:
في حين أن "معايير حماية البيانات الكافية" لم يتم وضعها رسميا بعد ، إلا أن هناك توقعا أنه عندما يتم نقل البيانات الشخصية إلى مكان آخر في العالم ، يجب أن يكون لدى الدولة معايير حماية كافية لأنها تحكم حماية البيانات. الاستثناء الوحيد هو عندما يتم استيفاء الإعفاءات.
اعتمادا على شدة انتهاكات قانون حماية البيانات الشخصية ، يمكن تطبيق الغرامات الإدارية أو الغرامات الجنائية أو المسؤولية الجنائية أو المسؤولية المدنية.
على سبيل المثال ، عندما تكون الموافقة مطلوبة بموجب القانون ، ولكن مراقب البيانات جمع البيانات من موضوع البيانات دون موافقة ، فسيتلقى غرامة تصل إلى 3 ملايين بات تايلاندي.
لا يزال من الممكن استخدام أي بيانات تم جمعها قبل 27 مايو 2020 ، بشرط أن يتخذ مراقب البيانات الخطوات التالية:
قد تجد أنه من الأسهل ضمان الامتثال في المؤسسات الصغيرة ، حيث يصعب التستر على أشياء مثل الاستغلال غير المبرر. من السهل تتبع الجوانب الرئيسية الأخرى ويمكن تحقيق المزيد من التواصل المباشر مع الموضوعات. يمكن لمالكي البيانات استثمار الوقت والجهد الفعليين في إمكانية نقل البيانات إذا لزم الأمر ، بالإضافة إلى السعي للحصول على الموافقة عند الحاجة والتأكد من اتباع القانون الموحد عن كثب من قبل مراقبي البيانات. يعد التواصل والشفافية مع موضوع البيانات الخاص بك قبل جمع البيانات أسهل أيضا في العصر الرقمي ، وتكون أنشطة المعالجة أقل استهلاكا للوقت عندما يكون تجمع البيانات أصغر.
تذكر أنه في حالة نقل البيانات ، يجب عليك التأكد من أن وحدة التحكم في البيانات ترسل إشعارات حول هذه المعلومات. ستطبق الحكومة التايلاندية كلا من الأضرار العقابية والعقوبات الجنائية لخرق السرية وعدم تلبية معايير الملكية الفكرية. لقد أثر العصر الرقمي بشكل كبير على كيفية إدارة البيانات وهذه المصالح في جميع أنحاء العالم ، وتايلاند ليست الدولة الوحيدة التي لديها قانون جديد حول حماية البيانات.
يمكن أن تكون العقوبات شديدة مثل غرامة كبيرة أو السجن لمدة تصل إلى عام واحد ، خاصة في حالة الانتهاكات الحساسة للغاية (على سبيل المثال ، الصحة العامة) أو انتهاكات البيانات الكبيرة. تذكر أن هذا القانون هو مرسوم ملكي ويهدف إلى جعل تايلاند مستعدة لتلبية المعايير الدولية.
في حال كنت ضحية لأي انتهاك أو تسرب للبيانات الشخصية ، فلا تتردد في الاتصال بنا. Juslaws &Consult هنا دائما لحماية مصالحك.
