2019年《个人数据保护法》（“PDPA”）是泰国第一部全面的数据保护立法，最初计划于2020年5月27日生效。然而，由于新冠肺炎大流行而推迟了两轮，PDPA已于2022年6月1日生效。PDPA基于《一般数据保护条例》（条例（欧盟）2016/679）（“GDPR”），旨在确保对个人数据的保护，并为个人数据保护权受到侵犯的数据主体制定有效的补救措施。

与关于PDPA的三部分系列的第一部分和第三部分类似，本文旨在强调PDPA的关键条款，重点关注数据控制者和数据处理者的义务，包括数据保护官员任命（“DPO”）、违约通知和向外国的数据传输。此外，PDPA的二级法律草案提供了关于数据控制者义务的进一步信息。

数据控制器

数据安全（第37条）

数据管理员需要采取适当的安全措施，以防止未经授权或非法丢失、访问、使用、更改、更正或披露个人数据。具体而言，必须在必要时或技术发生变化时审查此类措施，以有效维护适当的安全和保障。

关于处理个人信息的安全措施的通知草案（“安全措施通知草案”）规定了防止未经授权或非法丢失、访问、使用、更改、更改或披露个人信息的最低安全要求。

除其他规定外，安全措施通知草案要求制定最低安全措施，以确保组织能够识别其个人信息资产，防止可能出现的风险，监测和调查任何潜在事件，应对任何威胁，并从已发生的损害中恢复到适当的水平，以减少对数据主体的风险和伤害。

此外，技术安全措施必须考虑到根据技术因素的风险水平、背景、环境以及相同或类似类型、性质和目标的实体或企业的公认标准，在系统内维护个人信息的机密性、完整性和可用性的能力。

此外，组织措施至少应包括以下内容：

• 个人数据和关键信息系统组件的访问控制，并对访问管理进行验证和认证；
• 用户访问管理；
• 防止未经授权访问的用户责任；和
• 提供可追溯访问、更改、更改或删除个人数据的方法。

根据上述规定，数据管理员还必须在必要时或技术发生变化时审查第4条规定的安全措施，以便有效和适当地维护安全，同时考虑到风险水平，包括技术因素、背景、环境和行业内的既定标准（安全措施通知草案第4条）。

此外，在数据处理器协议的情况下，数据控制器和数据处理器可考虑采取安全措施，以至少符合安全措施通知草案（安全措施通知草稿第6节）规定的最低标准。

供应商管理（第37节）

在将个人数据提供给除数据控制者之外的其他人或法人的情况下，《个人数据保护法》要求数据控制者采取行动，防止未经授权的非法使用或披露。

为了按照数据处理方的义务（由数据控制方指定并在PDPA中概述）开展活动，PDPA规定数据控制方必须在双方之间制定协议，以控制数据处理方活动。更具体地说，关于确定PDPA执行范围和指定代理的通知草案（“执行通知草案”）规定，双方之间的协议应包括关于跨境数据传输、保密性、数据安全和使用子处理器的许可控制等方面的指示。此外，强制执行通知草案指出，数据控制者和处理者之间的合同本身必须以书面形式或以电子形式签订，未遵守该协议的数据处理者将被视为适用个人数据的个人数据控制者（强制执行通知草案第1.5节）。

数据处理器

《个人数据保护法》要求数据处理方仅根据数据控制方的指示开展与收集、使用或披露个人数据相关的活动，除非此类指示违反法律或《个人数据保护法案》下有关数据保护的任何规定。此外，《个人数据保护法》规定，数据处理者必须采取适当的安全措施，防止未经授权或非法丢失、访问、使用、更改、更正或披露个人数据，并将发生的任何数据泄露通知数据控制者。最后，数据处理者必须准备和维护数据处理活动的记录。

与处理记录相关的要求可能不适用于小型组织的数据处理者，除非此类个人数据的收集、使用或披露可能会对数据主体的权利和自由造成风险，他们不是偶尔收集、使用、或披露个人数据的业务，或收集、使用、，或根据第26条披露涉及个人数据。

数据披露和传输（第27至29节）

数据管理员不得在未经同意的情况下使用或披露个人数据，除非根据《个人数据保护法》第24条或第26条的规定，该数据是在不需要同意的情况收集的个人数据。如果披露了免于同意要求的数据，数据管理员必须按照PDA第39节的规定保存此类使用或披露的记录。

对于向外国的传输，《个人数据保护法》规定，接收个人数据的目的地国家或国际组织必须根据《个人数据保护条例》规定的个人数据保护规则制定适当的数据保护标准，但以下情况除外：

• 符合法律规定的；
• 已取得资料当事人的同意；
• 履行合同；
• 遵守数据控制者与其他人或法人之间为数据主体利益订立的合同；
• 防止或抑制对数据主体或其他人的生命、身体或健康的危险，当数据主体此时无法给予同意时；或
• 开展与重大公共利益相关的活动时。

在充分性方面，如果目的地国家或国际组织的个人数据保护标准的充分性存在问题，则应将该问题提交给个人数据保护委员会（“PDPC”）决定。当有新证据表明接收此类个人数据的目的地国家或国际组织制定了适当的数据保护标准时，可对PDPC做出的决定进行审查。

集团内部协议

关于集团内部协议，《个人数据保护法》规定，泰国的数据控制者或数据处理者制定了个人数据保护政策，该政策已由个人数据保护委员会审查和认证，涉及将个人数据发送或传输给另一个在外国的数据控制或数据处理人，并且是同一关联业务的一部分，或属于同一集团的企业，将免于遵守上述《个人数据保护法》第28条关于向外国传输数据的规定。

《关于确定泰国境外数据传输规则的通知草案》（“数据传输通知草案”）规定了泰国境外的数据传输程序。特别是，关于数据传输的通知草案解释说，上文概述的个人数据保护政策应包括待传输的个人数据的类型及其传输的目的，如果业务或业务组中的发送者或移送者的责任，则此类传输的海外投诉程序，以及用于在传输期间验证对数据保护要求的遵从性的遵从性机制。

最后，在PDPC没有根据PDPA第28节或个人数据保护政策做出决定的情况下，数据控制器或数据处理器可以根据PDPA的第28节豁免向外国发送或传输个人数据，如果数据控制器或数据处理器提供适当的保护措施，使数据主体的权利得以执行，包括根据PDPC规定和宣布的规则和方法采取有效的法律补救措施。

标准合同

关于数据传输的通知草案提出了个人数据发送方和接收方应承担的要求，这些要求必须以双方之间的协议或合同的形式。关于数据传输的通知草案中的这些要求包括数据传输通知草案的附录A，该附录规定了位于泰国境内的数据控制者与位于泰国境外的接收方数据控制者之间的协议要求。

数据传输通知草案的附录A包括，协议必须建立个人数据发送方或受让方必须根据《个人数据保护法》第29（3）条承担的适当保障措施，包括以下要求：

• 证明个人数据的处理，包括个人数据的传输或转移，符合PDPA；
• 作出合理努力，以确定个人数据的受让人是否能够遵守《个人数据保护法》；
• 向其数据被传输的数据主体提供有关个人数据保护法律的信息；
• 回答个人数据主体或政府机构有关个人数据处理的问题；和
• 提供有关数据主体权利的信息。

此外，根据数据传输通知草案附录A，个人数据的受让人必须在数据传输期间承担以下事项：

• 确定是否根据国际标准制定了适当的安全保护措施；
• 确保能够访问个人数据的第三方将保持其保密性；
• 证明受让人已考虑并相信没有法律阻止其履行职责；
• 通知个人数据的发送方或其他第三方受让方负责处理数据的内部部门，以便在处理个人数据时真诚合作；和
• 通知个人数据的发送者或其他第三方受让人有关受让人的财务状况，以符合法律要求。

除上述内容外，数据传输通知草案附录A还规定，进行个人数据传输的各方必须在违反个人数据的情况下规定各方的责任，适用于本协议的法律强调泰国法律适用于该协议，与个人数据所有者或机构的争议解决机制，以及终止此类协议的条款。

数据传输通知草案附录B规定了泰国境内的数据控制者与泰国境外的接收方数据处理者之间达成协议的要求，因此附录a和附录B对双方之间的协议具有类似要求。

数据传输通知草案附录B的主要补充内容是，数据处理方必须按照传输数据控制方的指示，仅作为数据处理方处理个人数据。

评估和记录保存（第39节）

数据控制员需要保存处理记录，记录可以是书面或电子形式，并应包括：

• 收集的个人数据；
• 收集各类个人数据的目的；
• 数据控制器的详细信息；
• 个人数据的保留期；
• 访问个人数据的权利和方法，包括访问和访问此类个人数据的条件；
• 根据第27（3）条使用或披露；
• 根据第30（3）、31（3）、32（3）和36（1）条拒绝请求或反对；和
• 第37（1）节规定的适当安全措施的详细信息。
• 根据第5（2）条的规定，上述规定将在必要的修改后适用于数据控制器的代表。

除根据第30（3）、31（3）、32（3）和36（1）条拒绝请求或反对外，上述所有规定均不适用于小型组织的数据控制者，除非此类个人数据的收集、使用或披露可能会对数据主体的权利和自由造成风险，否则此类个人数据收集、使用和披露不属于业务范围，或偶尔披露个人数据，或根据《个人数据保护法》第26条收集、使用或披露涉及个人数据。

此外，关于数据保护影响评估（“DPIA”）的通知以及数据控制员仅使用自动流程拒绝决策的义务（“DPIA草案和自动处理通知”）澄清了DPIA的范围，即其适用于对个人数据主体的权利和自由具有高风险的处理。这可能包括以下情况：

• 对个人数据进行了广泛的自动化处理，包括分析；
• 此类决定具有法律约束力，或类似地对人员产生重大影响；
• 处理大量个人数据；和
• 在系统监控的情况下，监控包括大量公共区域。

DPIA和自动处理通知草案规定了具有影响数据主体权利和自由的高风险的数据处理活动列表。

此外，DPIA和自动处理通知草案规定，DPIA应公开，包括所需的措施和联合评估的理由，如果联合控制员在场。在此基础上，DPIA和自动处理通知草案规定，DPIA应确定每个数据控制器的责任，以及各方负责的措施。同样，DPIA草案和自动处理通知指出，在必要时，数据控制器可委托数据处理器进行DPIA，尽管DPIA草案与自动处理通知确定了数据处理器应采取的相关步骤。此外，DPIA和自动处理通知草案规定，DPIA的结果必须公布，并通过合理方式向公众开放。

关于提供处理活动记录的通知草案（与数据访问请求相关的措施）（“处理和访问请求记录通知草案”）规定了保存处理活动记录和必须包括的信息的一般要求，例如：

• 通过提供所有者类型描述收集的个人数据；
• 个人数据和个人数据的类型，以及处理的目的；
• 数据控制器、数据处理器和DPO的名称和信息（在数据处理器的情况下，则数据处理器及其DPO的联系方式，如适用）；
• 各类个人数据的保留和删除期限；
• 数据主体权利和访问个人数据的方法，包括请求访问权的条件；
• 披露免于获得同意的信息；和
• 为处理个人数据而实施的安全措施的一般说明。
• 这些记录必须以书面形式以纸质或电子形式保存，并应隐私专员的要求提供。

此外，关于处理和查阅请求记录的通知草案确立了免除上述记录保存要求的主要标准。特别是，豁免的主要标准包括：

• 如果企业是2011年《中小企业促进法》（“促进法”）中中小企业定义下的中小企业；
• 如果该企业是《促销法》规定的社区企业网络；
• 如果企业是一家社会企业或一组社会企业，则根据《促进法》；
• 根据1999年《合作社法》，如果企业是合作社集会或农民团体；
• 如果企业是基金会、协会、宗教或非营利组织；和
• 如果该企业是家庭企业，或与数据控制员具有相同性质的其他企业，根据《促销法》该企业被定义为小企业，并且根据《2007年计算机犯罪法》不提供交通数据维护服务。

DPO的任命（第41和42条）

PDPA要求在以下情况下任命DPO：

• 数据控制器或数据处理器是公共机构；
• 由于拥有大量个人数据，数据控制器或数据处理器的活动需要定期监控个人数据或系统；或
• 数据控制器或数据处理器的核心活动是根据PDPA第26节收集、使用或披露个人数据。

此外，《个人数据保护法》规定，属于同一关联企业或同一企业集团并共同经营该企业或企业集团的数据控制者或数据处理者可共同指定DPO。在这方面，同一关联企业或同一企业集团的每个机构必须能够轻松联系DPO。上述规定仅适用于规模较大或有若干机构的公共机构。同样，PDPA澄清，DPO可以是数据控制器或数据处理器的工作人员，也可以是与其签订合同的服务提供商。

《个人数据保护法》概述了DPO的职责，包括就遵守《个人数据保护法案》提供建议，调查个人数据收集、使用或披露方面的绩效，以遵守《个人信息保护法》，在个人数据的收集、使用和披露方面存在问题的情况下，与《个人数据隐私保护法》进行协调和合作，以及对在履行《个人数据保护法》规定的职责过程中已知或获取的个人数据保密。

此外，PDPA确认，DPO在执行其任务时必须得到支持，包括拥有足够的工具或设备，以及便于访问个人数据，以履行其职责。此外，DPO不能因履行其在PDPA下的职责而被解雇或终止。最后，DPO可以执行DPO的角色以及其他职责或任务；然而，此类额外角色不得违反或违背其在PDPA下的职责。

关于任命数据保护官员的通知草案（“关于DPO的通知草案”）规定了关于DPO角色和任命的信息和要求。泰国政府和国有企业必须任命一名DPO，而私营部门数据控制者或数据处理者必须任命一位DPO，如果其活动属于PDPA第41（2）和（3）节中“活动”或“核心活动”的定义（《DPO通知草案》第2.2和2.5节）。活动包括在签订合同或提供类似服务（如信用评分、保险费确定、欺诈预防或洗钱预防）之前，由保险公司、商业银行或其他在正常业务过程中具有尽职调查、历史记录或客户资格的业务处理客户数据。此外，活动包括为广告目的处理个人数据、通过搜索引擎或社交媒体进行行为广告、通过电信服务提供商处理客户的个人数据、为治疗目的提供行为监控服务，或为商场和公共场所等场所的安全处理个人数据。

关于DPO核心活动，《DPO通知》将其定义为在12个月内看管数据主体的个人数据，包括超过50000名数据主体或超过5000名个人信息属于《个人数据保护法》第26条定义的数据主体。

如果PDPA或二级法律草案不要求任命DPO，数据控制者或数据处理者仍可自愿任命此类人员，并将此类任命通知PDPC（DPO通知草案第2.8条）。为此，DPO必须是在保护个人信息方面具有专业知识和知识的自然人。在这方面，PDPC可能会对要培训和测试的DPO提出认证和认可要求（DPO通知草案第2.9节）。

违约通知（第37条）

任何数据泄露必须立即通知PDPC，在可行的情况下，应在知晓后72小时内通知，除非此类个人数据泄露不太可能对个人权利和自由造成风险。如果个人数据泄露可能会对个人权利和自由造成高风险，则除个人数据保护委员会外，数据管理员还必须立即将泄露情况和补救措施通知数据主体。

此外，强制执行通知草案将个人数据泄露概括为未经许可泄露或违反个人数据安全措施，导致意外或非法损坏、丢失和更改，包括披露或访问用于收集或处理个人数据的信息（强制执行通知草案第1.5节）。

处理和访问请求记录通知草案还规定了在发生数据泄露时向隐私专员通报以下信息的义务（处理和访问申请记录通知草案第2.11节）：

• 个人数据泄露事件的描述（如可识别）；
• 受影响数据的类型和数量以及数据主体的数量；
• 处理活动日志；
• DPO的联系方式；和
• 对违约潜在后果的解释以及为减少此类后果而采取的措施。

在收到数据泄露通知后，隐私专员可选择在30天内调查事件，并命令数据控制员配合有关事件详情的请求。如果数据处理方出现数据泄露，数据处理方将负责立即将泄露情况通知数据控制方，并提供受影响数据类型和数量的详细信息。

一般而言，在发生数据泄露的情况下，数据控制器还必须将此类泄露通知数据主体。《处理和访问请求记录通知草案》规定，如果数据控制者已采取技术数据保护措施，并采取措施确保降低影响个人权利和自由的高风险，或者如果不合理地难以通知数据主体，则数据控制者可免于通知数据主体。

数据保护代表（第37和38节）

位于泰国境外但属于PDPA范围内的数据控制人必须以书面形式指定一名代表，该代表必须在泰国，并被授权代表其行事，而不受根据数据控制员的目的收集、使用或披露个人数据的任何责任限制。

然而，《个人数据保护法》确实规定了上述情况的例外情况，例如，数据控制者是公共机构或从事收集、使用或披露个人数据的专业或业务，不具有第26条的性质，也不涉及大量个人数据。此外，如果数据控制器根据第5（2）节具有数据处理器，则第37（1）和（5）节的规定在必要的修改后适用于该数据处理器。

此外，强制执行通知草案指出，位于泰国境外处理、收集、使用或披露数据主体个人数据的数据控制者或数据处理者必须在泰国指定其代表，并在14天内以书面或电子方式通知PDPC。尽管，关于数据处理人任命代表，执行通知草案指出，数据处理人必须在30天内任命一名代表，并在任命后14天内以电子方式或书面形式通知PDPC（执行通知草案第1.4节）。

业务守则

只有当主管组织符合标准并证明拟议实践的目标、范围和成就（第三组法律草案第1.1节）时，PDPC才可对处理实践进行审查并提出意见。

个人数据保护委员会将审查业务守则草案并发表意见，个人数据保护业务守则将在收到业务守则草案后60天内发布。在审查过程中，PDPC将考虑实践是否满足特定业务需求、处理的性质以及是否有效。如果PDPC认为业务守则已完成，结果将在七天内通知业务守则所有者，所有者将公布业务守则，以便公众可以查阅。如果PDPC修订了《业务守则》，或认为有必要对其进行修订，业主将在收到后60天内完成修订，并将其返还给PDPC（第三组法律草案第1.1节）。

关于PDPC的未来监控，如果发现违反《业主行为守则》，则必须采取措施制止滥用并避免未来再次发生（第三类法律草案第1.1节）。

本文：https://cioctocdo.com/thailand-ensuring-compliance-under-pdpa-part-two