+7 (499) 550-80-03
4people@grfc.ru
    • Главная Аналитика и законодательство Международные акты и акты иностранных государств в области персональных данных Акты иностранных государств Таиланд
    28 сентября 2022

    Таиланд

    ЗАКОНОДАТЕЛЬСТВО ТАИЛАНДА В СФЕРЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

    Система законодательства. Основные нормативно-правовые акты

    Специальный закон в области персональных данных в Таиланде был принят в 2019 году — Закон о защите персональных данных (pdf) (Personal Data Protection Act, PDPA).

    Кроме указанного закона действуют следующие отраслевые нормативно-правовые акты:

    Несмотря на то что Закон о защите персональных данных принят в 2019 году, полностью он вступил в силу только в мае 2022-го (вступление в действие отдельных норм переносилось дважды из-за пандемии).

    Территориальное действие законодательства о персональных данных

    PDPA распространяется на все организации, зарегистрированные и не зарегистрированные на территории Таиланда, которые обрабатывают персональные данные граждан Таиланда.

    Основные понятия

    Персональные данные

    Закон о защите персональных данных определяет персональные данные как любую информацию, относящуюся к физическому лицу, которая позволяет идентифицировать это лицо прямо или косвенно. Это не распространяется на информацию, касающуюся умерших лиц.

    Чувствительные данные

    К чувствительным данным относится расовая, этническая, половая, религиозная, философская, медицинская, политическая и биометрическая информация, сведения о судимости, членстве в профсоюзах. Данная информация может обрабатываться только на основании согласия субъекта персональных данных или в случаях, предусмотренных законодательством.

    Трансграничная передача

    В случае если контролер данных (оператор) отправляет или передает персональные данные в иностранное государство, страна назначения или международная организация, которые получают такие персональные данные, должны иметь надлежащий стандарт защиты данных и должны соблюдать правила защиты персональных данных, аналогичные тем, что предусмотрены Законом о защите персональных данных, за исключением случаев:

    • когда это необходимо для соблюдения закона;
    • если есть согласие субъекта персональных данных при условии, что он был проинформирован о неадекватных стандартах защиты персональных данных страны назначения или международной организации;
    • если это необходимо для выполнения договора, стороной которого является субъект данных, или для принятия мер по запросу субъекта данных до заключения договора;
    • если это необходимо для соблюдения договора между контролером данных и другими физическими или юридическими лицами в интересах субъекта персональных данных;
    • если это необходимо для предотвращения или устранения опасности для жизни или здоровья субъекта персональных данных или других лиц, когда субъект персональных данных не может дать согласие;
    • если это необходимо в целях соблюдения общественного интереса.

    В случае возникновения проблемы в отношении определения адекватности стандартов защиты персональных данных страны назначения или международной организации такая проблема должна быть передана на рассмотрение Комитета по защите персональных данных (надзорный орган). Решение, принятое Комитетом, может быть пересмотрено при появлении новых доказательств того, что страна назначения или международная организация, получающие такие персональные данные, разработали адекватные стандарты защиты персональных данных.

    Комитет по защите персональных данных вправе сертифицировать политику защиты персональных данных, разработанную контролером или оператором данных для группы компаний, в которую они входят или являются аффилированными лицами. В таком случае трансграничная передача персональных данных другому контролеру данных или обработчику данных, который находится в иностранном государстве и является аффилированным лицом или входит в одну и ту же группу компаний, допускается без соблюдения указанных выше правил и ограничений.

    В отсутствие решения Комитета по защите персональных данных или политики защиты персональных данных (утвержденной для применения юридическими лицами внутри группы компаний/аффилированными лицами и сертифицированной Комитетом), контролер или обработчик могут передавать персональные данные без указанных выше правил и ограничений, если контролер или обработчик обеспечивает надлежащие меры защиты, которые позволяют обеспечить соблюдение прав субъекта персональных данных, включая эффективные юридические средства правовой защиты в соответствии с правилами и методами, утвержденными Комитетом по защите персональных данных.

    Персональные данные несовершеннолетних

    В случае если субъект данных является несовершеннолетним младше 10 лет, согласие на обработку его персональных предоставляет его законный представитель.

    В рамках сделок, совершать которые несовершеннолетние вправе самостоятельно, они вправе также предоставлять согласие на обработку персональных данных.

    Соответствующие правила применяются к отзыву согласия субъекта данных, уведомлению субъекта персональных данных, осуществлению прав субъекта персональных данных, жалобе субъекта персональных данных и любым другим действиям в соответствии с Законом о защите персональных данных.

    Оператор и обработчик 

    Контролер (оператор) данных — физическое или юридическое лицо, имеющее права и обязанности принимать решения относительно сбора, использования или раскрытия персональных данных.

    Обработчик данных — физическое или юридическое лицо, которое занимается сбором, использованием или раскрытием персональных данных в соответствии с указаниями контролера данных или от его имени.

    Закон о защите персональных данных предусматривает следующие обязанности контролера:

    • утвердить соответствующие меры безопасности для предотвращения несанкционированной или незаконной потери, доступа, использования, изменения, исправления или раскрытия персональных данных, обеспечивать актуальность принимаемых мер безопасности, соответствие минимальным требованиям, установленным Комитетом по безопасности персональных данных;
    • предпринимать меры для предотвращения использования или раскрытия персональных данных при их передаче третьему лицу;
    • внедрить систему проверки уничтожения персональных данных по истечении срока хранения, или когда персональные данные неактуальны или выходят за рамки цели, для которой они были собраны, или когда субъект персональных данных отзывает свое согласие, за исключением случаев, когда хранение таких персональных данных осуществляется в целях свободы выражения мнений, соблюдения закона и в иных случаях, предусмотренных Законом о защите персональных данных;
    • незамедлительно уведомлять Комитет по защите персональных данных о любом нарушении в течение 72 часов после того, как стало известно об этом, за исключением случаев, когда маловероятно, что такое нарушение повлечет за собой риск для прав и свобод субъектов персональных данных. Если инцидент может привести к высокому риску для прав и свобод субъектов персональных данных, контролер данных также должен незамедлительно уведомить об этом самих субъектов персональных данных. Данная процедура регулируется Комитетом по защите персональных данных;
    • назначить своего представителя на территории Таиланда в случае, если контролер, находящийся за пределами Таиланда, осуществляет мониторинг поведения субъекта персональных данных, находящегося на территории Таиланда.

    Требование о назначении представителя не применяется к контролерам:

    1) которые являются государственными органами;

    2) обрабатывающим персональные данные, не являющиеся чувствительными, если их объем не превышает установленный размер.

    Если контролер привлекает обработчика, соответствующие требования применяются и к обработчику.

    Контролер должен вести записи, которые являются подтверждением получения согласия и могут быть запрошены как субъектом персональных данных, так и Комитетом по защите персональных данных:

    1) собранные персональные данные;

    2) цель сбора персональных данных в каждой категории;

    3) сведения о контролере;

    4) срок хранения персональных данных;

    5) права и способы доступа к персональным данным, в том числе условия
    в отношении субъекта персональных данных, имеющего право доступа к персональным данным, и условия доступа к таким персональным данным;

    6) использование или раскрытие в соответствии с Законом о защите персональных данных;

    7) отклонение запроса субъекта персональных данных или возражения
    в связи с отказом предоставить информацию, запрошенную субъектом персональных данных;

    8) объяснение соответствующих мер безопасности.

    Положения пунктов 1–6, 8 могут не применяться к контролеру, который является небольшой организацией в соответствии с правилами, установленными Комитетом по защите персональных данных, за исключением случаев, когда сбор, использование или раскрытие таких персональных данных могут привести к риску для прав и свобод субъектов персональных данных, или если это бизнес, для которого сбор, использование или раскрытие персональных данных являются одной из целей, или сбор, использование или раскрытие осуществляются в отношении чувствительных персональных данных.

    Обработчик персональных данных имеет следующие обязанности:

    1) осуществлять деятельность, связанную со сбором, использованием или раскрытием персональных данных, только в соответствии с инструкциями контролера, за исключением случаев, когда такие инструкции противоречат закону или любым положениям, касающимся защиты персональных данных в соответствии с Законом о защите персональных данных;

    2) принять соответствующие меры безопасности для предотвращения несанкционированной или незаконной потери, доступа, использования, изменения, исправления или раскрытия персональных данных и уведомить контролера о произошедшем нарушении в отношении персональных данных;

    3) подготавливать и вести учет деятельности по обработке персональных данных в соответствии с правилами и методами, установленными Комитетом по защите персональных данных.

    При привлечении к обработке персональных данных обработчика контролер данных должен подготовить соглашение между сторонами о контроле деятельности, осуществляемой обработчиком, по соблюдению Закона о защите персональных данных. Обработчик данных, у которого отсутствует оформленное соглашение с контролером, считается контролером в отношении сбора, использования или раскрытия персональных данных.

    Также в обязанности контролера и обработчика входит назначение сотрудника по защите данных в следующих случаях:

    1) контролер или обработчик данных является государственным органом;

    2) действия контролера или обработчика по сбору, использованию или раскрытию персональных данных требуют регулярного мониторинга
    в соответствии с требованиями Комитета по защите персональных данных;

    3) основной деятельностью контролера или обработчика является сбор, использование или раскрытие чувствительных персональных данных.

    Права субъекта персональных данных (отзыв согласия, требование о прекращении обработки)

    Субъект персональных данных имеет право запросить доступ и получить копию персональных данных, относящихся к нему или запросить раскрытие информации о получении персональных данных без его согласия.

    Контролер обязан ответить на запрос в срок не более 30 дней. Контролер вправе отклонить такой запрос субъекта персональных данных только в том случае, если это разрешено законом или по решению суда и такой доступ и получение копии персональных данных может отрицательно сказаться на правах и свободах других лиц.

    В случае если контролер данных отклоняет запрос субъекта персональных данных, он должен зафиксировать свой отказ и его обоснование в протоколе.

    Регулятор может установить правила доступа и запроса на получение копии персональных данных, включая продление срока ответа на запрос, или другие правила.

    Предоставляя субъекту персональных данных информацию об обработке персональных данных, контролер должен обеспечить удобный формат восприятия такой информации (в бумажной или электронной форме), однако это не распространяется на передачу персональных данных, которая выполняется в общественных интересах или в соответствии с законом или в интересах прав и свобод других лиц.

    Субъект персональных данных также имеет право потребовать от контролера передать персональные данные другим контролерам, если это можно сделать с помощью автоматических средств.

    Субъект персональных данных также вправе требовать прекращения сбора и обработки персональных данных.

    Общее требования к согласию на обработку персональных данных

    Контролер данных не должен собирать, обрабатывать или раскрывать персональные данные, если субъект данных не дал согласия на обработку персональных данных до или во время соответствующей обработки данных.

    Запрос согласия на обработку персональных данных должен быть сделан в явной форме в письменном виде (на бумаге) или с помощью электронных средств. Запрашивая согласие субъекта данных, контролер персональных данных также должен сообщить цель сбора, использования или раскрытия персональных данных. Такой запрос о согласии должен быть представлен способом, который четко отличается от других вопросов, в легкодоступной и понятной форме простым языком, не должен вводить в заблуждение в отношении цели сбора. В некоторых случаях Комитет по защите персональных данных может потребовать от контролера данных запросить согласие субъекта данных в соответствии с формой, установленной Комитетом.

    Закон о защите персональных данных предусматривает принцип добровольности предоставления согласия на обработку персональных данных, что предполагает в том числе запрет на отказ от договора в случае непредоставления согласия субъектом персональных данных.

    Субъект персональных данных вправе отозвать свое согласие в любое время. Отзыв согласия должен быть таким же простым, как и предоставление согласия, если нет ограничений на отзыв согласия по закону или договору. Отзыв согласия не влияет на обработку персональных данных, которая была осуществлена до такого отзыва.

    В случае если отзыв согласия каким-либо образом может повлияет на субъекта персональных данных, контролер данных должен проинформировать субъекта данных о таких последствиях отзыва согласия.

    Законом о защите персональных данных также предусмотрен закрытый перечень случаев, когда обработка допускается без согласия субъекта персональных данных:

    1) в целях, связанных с подготовкой исторических документов или архивов в интересах общественности, в исследовательских или статистических целях, при условии соблюдения мер по защите прав и свобод субъекта персональных данных в соответствии с требованиями Комитета по защите персональных данных;

    2) в целях предотвращения или пресечения опасности для жизни или здоровья субъекта персональных данных;

    3) в целях исполнения договора, стороной которого является субъект персональных данных, или для заключения договора по инициативе субъекта персональных данных;

    4) в целях выполнения контролером задачи, связанной с общественно значимым интересом, или в целях осуществления функций и полномочий, возложенных на контролера;

    5) в целях соблюдения законных интересов контролера или любых других физических или юридических лиц, помимо контролера; при этом данное право не может превалировать над основными правами субъекта персональных данных:

    6) в целях соблюдения требований законодательства контролером.

    Законный интерес

    Законом о защите персональных данных предусмотрено такое основание для обработки персональных данных, как законный интерес. При этом данное право может быть ограничено в пользу основных прав субъекта персональных данных.

    Детального определения понятия законного интереса контролера, как основания для обработки персональных данных не имеется. В настоящее время отсутствуют и какие-либо пояснения надзорного органа на этот счет. Представляется, что законный интерес должен иметь убедительное обоснование, так как его применение ограничено правами субъекта персональных данных.

    Отраслевое регулирование в области персональных данных

    Медицина

    Закон о национальном здравоохранении (The National Health Act B.E. 2550 (2007)) предусматривает тайну личной информации о здоровье. Разглашение такой информации допускается только с согласия субъекта персональных данных либо в случаях, предусмотренных законодательством. Никто не вправе запрашивать документы, содержащие персональные данные других лиц.

    Указанным законом также предусмотрена обязанность медицинского персонала предоставлять медицинскую информацию в связи с оказанием медицинской помощи максимально понятно, в форме, позволяющей субъекту принять правильное решение.

    За нарушение конфиденциальности медицинских данных Закон о национальном здравоохранении предусматривает наказание в виде тюремного заключения на срок не более шести месяцев, или штрафа в размере не более 10 000 бат, или и то и другое.

    Права ребенка

    В рамках Закона о защите детей (The Child Protection Act B.E. 2546 (2003)) регулируется защита информации ребенка и его опекуна. Компетентным должностным лицам, социальным работникам, психологам и иным лицам, в обязанности которых входит охрана благополучия детей, запрещено раскрывать имя, фамилию, фотографии или любую информацию о ребенке или опекуне.
    За нарушение данной нормы указанный закон предусматривает наказание в виде ограничения свободы на срок не более шести месяцев, или штрафу не более 60 000 бат, или и то и другое.

    Локализация данных

    Закон о защите персональных данных не предусматривает соответствующих требований.

    Урегулирование споров. Досудебная процедура. Право на обращение в суд

    Субъект персональных данных имеет право подать жалобу в экспертную комиссию, действующую в составе Комитета по защите персональных данных, в случае если контролер или обработчик нарушает или не соблюдает Закон о защите персональных данных. Предварительное урегулирование разногласий между субъектом и контролером не требуется.

    Подача, отказ в принятии, отклонение, рассмотрение и сроки рассмотрения жалоб осуществляются в соответствии с регламентом, утвержденным Комитетом по защите персональных данных.

    В случае если жалоба подана с нарушениями или она не может быть принята к рассмотрению в соответствии с действующими правилами, экспертная комиссия не принимает такую ​​жалобу к рассмотрению.

    Если после рассмотрения экспертной комиссией жалобы будет установлено, что такая жалоба не имеет под собой оснований, экспертная комиссия выдает заключение о ее отклонении.

    В случае если при рассмотрении жалобы или расследовании действий контролера или обработчика экспертной комиссией будет установлено, что спор может быть урегулирован сторонами в добровольном порядке, экспертная комиссия приступает к урегулированию спора. Однако, если такая жалоба или действие не может быть урегулировано или урегулирование спора не удается, экспертная комиссия имеет право издать следующие постановления:

    1) об устранении контролером или обработчиком нарушения в определенный срок;

    2) о запрете контролеру или обработчику совершать действия, которые наносят ущерб субъекту персональных данных, или предписании контролеру выполнить какие-либо действия для прекращения причинения ущерба в определенный срок.

    В случае если контролер или обработчик данных не выполняют постановления экспертной комиссии, применяются меры административной ответственности с учетом обстоятельств.

    Постановление экспертной комиссии подписывается председателем экспертной комиссии и является окончательным.

    Экспертная комиссия информирует заявителя о результате рассмотрения жалобы с пояснениями. В случае если жалоба не принята к рассмотрению или отклонена, экспертная комиссия информирует об этом заявителя. Если заявитель настаивает на рассмотрении его жалобы иным уполномоченным органом в соответствии с законодательством, экспертная комиссия должна приступить к ее рассмотрению и считается, что такой уполномоченный орган получил ​​жалобу с даты, когда она первоначально поступила в экспертную комиссию.

    Надзорный орган в сфере персональных данных, его полномочия

    Комитет по защите персональных данных является уполномоченным надзорным органом Таиланда в сфере персональных данных.

    В соответствии с Законом о защите персональных данных Комитет имеет следующие полномочия:

    • составлять генеральный план операций по продвижению и защите персональных данных, который соответствует политике, национальным стратегиям и соответствующим национальным планам;
    • содействовать и поддерживать государственные органы и частный сектор в осуществлении деятельности в соответствии с генеральным планом (см. выше), а также проводить оценку результатов деятельности такого генерального плана;
    • определять меры или руководящие принципы работы в отношении защиты персональных данных в целях соблюдения Закона о защите персональных данных;
    • издавать уведомления или правила для исполнения Закона о защите персональных данных;
    • объявлять и устанавливать критерии обеспечения защиты персональных данных, которые передаются в иностранное государство;
    • утверждать руководство по защите персональных данных в качестве руководства, которому должны следовать контролер данных и обработчик данных;
    • рекомендовать Кабинету министров принятие или пересмотр существующих законов или правил, применимых к защите персональных данных;
    • рекомендовать Кабинету министров внесение изменений в законодательные акты по крайней мере каждые пять лет;
    • предоставлять советы или консультации по защите персональных данных государственного органа и коммерческих организаций;
    • толковать и выносить постановления по вопросам, возникающим в связи
      с исполнением Закона о защите персональных данных;
    • продвигать и поддерживать навыки обучения и понимание защиты персональных данных среди населения;
    • продвигать и поддерживать исследования в области разработки технологий, связанных с защитой персональных данных;
    • составить планы курсов и проводить обучение работе контролера, обработчика, сотрудника по защите данных, сотрудников, поставщиков услуг или людей в целом;
    • совершать любые другие действия, предусмотренные настоящим Законом или другими законами, в которых указаны обязанности и полномочия Комитета по защите персональных данных.

     

    В составе Комитета по защите персональных данный действует несколько экспертных комиссий в различных областях.

    Экспертная комиссия имеет следующие обязанности и полномочия:

    • рассматривать жалобы в соответствии с Законом о защите персональных данных;
    • расследовать любые действия контролера или обработчика.

    Экспертная комиссия имеет право потребовать от любого лица представить документы или информацию в связи с предметом жалобы или любым другим вопросом, связанным с защитой персональных данных в соответствии с Законом о защите персональных данных.

    Законом о защите персональных данных предусмотрен вышестоящий орган, наблюдающий за работой Комитета по защите персональных данных, – комиссия в составе председателя, который избирается и назначается из числа лиц, обладающих выдающимися знаниями, навыками и опытом в области защиты персональных данных, постоянного секретаря Министерства цифровой экономики и общества, и генерального секретаря Управления Национальной комиссии по цифровой экономике и обществу в качестве директоров, а также шестерых почетных директоров, из которых по крайней мере три человека выбираются и назначаются из числа лиц, обладающих выдающимися знаниями, навыками и опытом в области защиты персональных данных и других связанных областях, которые будут полезны для работы Комитета по защите персональных данных.

    Ответственность за нарушения в сфере персональных данных

    Гражданско-правовая ответственность

    Контролер или обработчик, чьи действия в отношении персональных данных нарушают законодательство и наносят ущерб субъекту персональных данных, должен возместить субъекту персональных данных такой ущерб, независимо от того, было такое действие с персональными данными умышленным или по неосторожности, за исключением случаев, когда контролер или обработчик может доказать, что такое действие было результатом:

    1) форс-мажора или действия/бездействия самого субъекта персональных данных;

    2) действия, предпринятого в соответствии с нормативным актом государственного должностного лица, осуществляющего свои обязанности и полномочия в соответствии с законом.

    Компенсация субъекту персональных данных включает в себя все необходимые расходы, понесенные им для предотвращения ущерба, который может возникнуть, или которые были использованы на устранение причиненного ущерба.

    Суд имеет право принять решение о выплате контролером или обработчиком штрафных санкций в дополнение к фактически выплаченной компенсации субъекту персональных данных. Срок исковой давности – три года с даты, когда субъект персональных данных узнал о причинении ему ущерба, или десять лет с даты совершения противоправного действия в отношении персональных данных.

    Административно-правовая ответственность

    В отношении контролера могут быть применены следующие меры:

    За несоблюдение требований Закона о защите персональных данных в части права субъекта персональных данных на получение информации об обрабатываемых данных, на получение уведомления о начале обработки, о ведении реестра запрошенных данных, о назначении ответственного сотрудника и обеспечение его работы, за отсутствие согласия, предоставленного по утвержденной Комитетом по защите персональных данных форме, за непредоставление уведомления о последствиях отзыва согласия, предусмотрено наказание в виде штрафа в размере до 1 млн бат.

    За нарушение требований Закона о защите персональных данных в части использования персональных данных в соответствии с целью, с которой они собирались, за отсутствие согласия на обработку персональных данных, когда его наличие предусмотрено законодательством, за осуществление сбора персональных данных не от источника (субъекта) персональных данных, за незаконное распространение персональных данных, за трансграничную передачу персональных данных в страны, не обеспечивающие защиты таких данных, за неисполнение иных обязанностей контролером предусмотрено наказание в виде штрафа в размере не более 3 млн бат.

    За обработку чувствительных персональных данных без согласия субъекта персональных данных, раскрытие персональных данных без согласия, когда оно предусмотрено законодательством, трансграничную передачу в страны, не обеспечивающие надлежащей защиты персональных данных, несоблюдение утвержденной политики конфиденциальности для группы компаний/аффилированных лиц, предусмотрен штраф в размере не более 5 млн бат.

    В отношении обработчика могут быть применены следующие меры:

    За нарушение требований по назначению ответственного сотрудника и по обеспечению его деятельности назначается штраф в размере не более 1 млн бат.

    За несоблюдение требований к контролеру данных, которые распространяются на обработчика в связи с его аффилированностью с контролером, в предусмотренных Законом о защите персональных данных случаях предусмотрен штраф в размере не более 3 млн бат.

    Уголовно-правовая ответственность

    Лишением свободы на срок до 6 месяцев, штрафом в размере не более 500 тыс. бат или и тем и другим наказывается контролер, который нарушил требования Закона о защите персональных данных в части получения согласия на обработку и раскрытие персональных данных в тех случаях, когда оно требуется, а также который использовал персональные данные, полученные в результате их раскрытия в соответствии с целями, отличными от целей, заявленных первоначально в отношении чувствительных персональных данных, если его действия причинили ущерб репутации или подвергли субъекта персональных данных презрению, ненависти, унижению.

    Те же действия контролера, совершенные с целью незаконного извлечения выгоды для себя или другого лица, подлежат наказанию в виде тюремного заключения на срок до 1 года со штрафом в размере не более 1 млн бат или без такового.

    Любое лицо, которое получит доступ к персональным данным другого лица в результате выполнения обязанностей и раскроет их в нарушение требований Закона о защите персональных данных, подлежит наказанию в виде лишения свободы на срок до 6 месяцев со штрафом в размере не более 500 тыс. бат или без такового.

    В случае когда преступник, совершивший преступление в соответствии с настоящим Законом, является юридическим лицом, и преступление совершено в результате указаний, действий или бездействия его директора, менеджера или иного лица, которое несет ответственность за действия (бездействие) юридического лица, такие лица также подлежат наказанию, предусмотренному за совершенное преступление.

    Обзор отражает авторский взгляд ведущего специалиста по юридическому
    сопровождению А.С. Мишкиной на законодательство     Королевства Таиланд

     

    Центр использует файлы cookies с целью управления веб-сайтом и совершенствования своей работы по оказанию правовой помощи гражданам. Вы можете разрешить использование всех файлов cookies или только некоторых из них.