2019年《个人数据保护法》（“PDPA”）是泰国第一部全面的数据保护立法，最初计划于2020年5月27日生效。然而，由于新冠肺炎大流行而推迟了两轮，PDPA已于2022年6月1日生效。PDPA基于《一般数据保护条例》（条例（欧盟）2016/679）（“GDPR”），旨在确保对个人数据的保护，并为个人数据保护权受到侵犯的数据主体制定有效的补救措施。

与关于PDPA的三部分系列的第一部分和第二部分类似，本文旨在突出PDPA中的关键条款，重点关注PDPA下的个人权利和责任。

数据主体权利

知情权（第21、23和41条）

当根据通知给数据主体的目的收集、使用或披露个人数据时，数据控制者仅需以与之前通知给数据对象的目的不同的方式收集、使用和披露个人数据，其中：

• 数据主体已被告知此类新目的，并且在收集、使用或披露之前获得同意；或
• 它符合PDPA或其他法律的规定。

在收集个人数据时，除非数据主体已经知道此类详细信息，否则控制器必须告知数据主体：

• 收集、使用或披露的目的，包括未经数据主体同意进行处理的目的；
• 当数据主体必须提供其个人数据时，包括不提供此类个人数据对数据主体可能产生的影响：
  • 遵守法律义务；
  • 履行合同；和
  • 为订立合同而有必要的；
• 将要收集的个人数据及其保留期限，或者，如果无法指定保留期限，根据数据保留标准的预期数据保留期限；
• 可向其披露个人数据的个人或实体的类别；
• 数据控制员代表或数据保护官员（“DPO”）的信息、地址和联系渠道详情（如适用）；和
• 数据主体权利。

此外，数据控制者和数据处理者有义务向数据主体和个人数据保护委员会（“PDPC”）提供DPO的信息，包括联系地址和联系渠道。数据主体必须能够就其个人数据的收集、使用或披露与DPO联系，并根据PDPA行使其权利。

特别是，关于个人信息收集、使用和披露的目的和细节的指南草案（“个人信息指南草案”）规定，向数据主体收集、使用及披露个人信息的目的和详情的通知可分为两种不同类型。值得注意的是，关于个人信息的准则草案区分了个人数据收集、使用和披露的目的和细节声明，以及有特定法律或监管机构有自己的准则和标准的情况，以及没有特定法律或规管机构的情况，注意到后一种情况下的数据管理员应使用个人信息准则草案（个人信息准则第3条）。

此外，个人信息准则草案概述了向数据主体通知其个人数据的收集、使用和披露目的的要求的例外情况。此类例外情况，包括数据主体已经知道新的处理目的或相关细节的情况，以及个人数据控制人能够证明通知的情况，将妨碍使用或披露适用信息。

更重要的是，个人信息指南草案强调，必须明确通知，通知可以通过多种方式进行，如文本、电子邮件、QR码、链接或任何其他技术手段，使数据主体了解收集、使用和披露的目的。同样，个人信息指南草案详细说明，收集、使用和披露目的的通知可以在屏幕角落的窗口或小屏幕上进行，建议使用仪表板或分层方法。

处理通知产生的数据控制器要求

个人数据处理的目的和细节通知草案（“处理通知”）确立了适用于数据控制者的要求。其中包括《处理通知》第2.2节中的规定，根据该规定，控制人应根据收集相关特定数据的性质和情况，以清晰、透明、可理解和可访问的方式告知处理个人数据的不同目的。如果处理个人数据的目的发生变化或引入新的目的，数据控制者必须通知处理个人数据使用目的的任何变化对个人数据主体的权利和自由产生的潜在影响，并可能要求提供证据证明数据主体已响应并接受，那些已经制造的。

在出于历史、科学或统计目的进行处理的情况下，根据《处理通知》第2.3节的规定，如果个人数据是新的，则数据控制员可以出于此类目的处理个人数据，只要他们能够证明不同的因素，包括：

• 处理类似于通知数据主体的原始目的；
• 处理的个人数据的性质符合《个人数据保护法》第26节的规定；
• 出于这些目的处理此类个人数据符合公众利益；和
• 制定了安全措施，以保护拟处理的个人数据。

《处理通知》第2.4节规定，对于通过使用人工智能（“AI”）等自动化手段处理个人数据，数据控制员必须实施措施，如更高的安全标准，并可能需要通过向专家委员会通知此类处理和措施，向专家委员会证明这些措施。

此外，《处理通知》第2.5节规定，数据控制员有义务记录收集数据的目的，而《处理通知》的第2.6、2.8和2.10节要求以明确的方式通知数据主体目的，以便其能够理解这些目的，这包括通知他们潜在的利益或对其权利的影响，除非适用不要求通知数据主体的豁免。此外，数据控制器必须向数据主体提供有关其缩进以收集的数据类型和时间的信息。

《处理通知》第2.11节规定，如果未通知或确定保存此类个人数据的持续时间长度，则数据管理员必须证明实现该目的所需的时间长度。

根据《处理通知》第2.12节的规定，数据控制者必须通知数据主体其数据是否被披露，以及向哪些实体披露。如果数据控制人无法确认向哪些实体披露了数据主体的信息，则控制人必须向数据主体充分澄清和解释这种情况，以了解可能是数据主体个人数据接收者的个人、实体或组织的性质，例如举出此类个人的例子。除此之外，《处理通知》第2.13节和第2.14节规定，数据控制者必须向数据控制者提供数据控制者的联系信息，并告知其在PDPA下的数据主体权利。

访问权（第30和31节）

PDPA为数据主体提供访问权。具体而言，数据主体有权请求访问和获取与他们相关的个人数据的副本，这是数据控制者的责任，或者有权请求披露未经他们同意获取的个人数据。

只有在法律或法院命令允许的情况下，才允许数据管理员拒绝此类请求，并且此类访问会对他人的权利和自由产生不利影响。然而，PDPA根据第39条规定了此类拒收的记录保存要求。在这一点上，不能基于上述原因拒绝请求，因此数据管理员必须在收到请求之日起30天内毫不拖延地完成请求。

关于访问与数据主体相关的个人数据，《个人数据保护法》规定，数据控制器必须确保个人数据采用自动工具或设备的可读或常用格式，并可通过自动方式使用或披露。

关于处理和访问请求的记录，数据管理员必须采取措施，使数据主体能够请求其权利，并采取措施访问此类请求的数据。为了提供对其数据的访问，数据管理员必须验证数据主体的身份，并确认其访问此类个人数据的资格。如果请求没有根据或不合理，或者如果无法验证数据主体，数据控制器可以拒绝访问个人数据的请求。此外，考虑到满足此类请求所需的成本和时间，数据控制器可选择收取合理的运营成本。

根据《处理记录和访问请求通知》第2.10节，在提出访问请求的情况下，必须立即向数据主体提供所请求数据的副本，但不得迟于收到请求后30天。根据数据控制器收到的请求的复杂性或数量，如有必要，可再延长60天。在这方面，必须通知数据主体已收到访问请求，以及延迟遵守该请求的原因。

数据可移植性权利（第31条）

数据主体有权要求数据控制器通过自动工具或设备以可读或常用格式向其他数据控制器发送或传输个人数据，在其他数据控制器中，可以通过自动方式完成。此外，数据主体可以请求直接获取数据控制器以这种格式发送或传输给其他数据控制器的个人数据，除非由于技术原因无法这样做。

在这方面，个人数据必须根据《个人数据保护法》规定的规则在同意的基础上提供，或根据《个人信息保护法》第24（3）条免除同意要求，或者根据《个人资料保护法》的第24条规定的任何其他个人数据。

当发送或传输个人数据是为了执行公共利益、遵守法律或侵犯他人权利和自由的任务时，数据可移植性权利不适用。如果数据控制器因上述原因拒绝请求，则必须记录拒绝请求，并说明PDPA第39节规定的原因。

反对权（第32条）

PDPA提供了数据主体可以反对收集、使用或披露其个人数据的具体实例。数据主体可以反对的具体情况包括在第24（4）或（5）条规定的豁免同意的情况下收集个人数据，除非数据控制者能够证明：

• 收集、使用或披露有令人信服的合法理由；或
• 收集、使用或披露是为了确立、遵守、行使或辩护法律主张。

这项权利也适用于为直接营销目的以及为科学、历史或统计研究目的而收集、使用或披露数据，除非数据控制员出于公共利益执行任务所必需。然而，如果数据控制器因上述原因拒绝请求，则必须按照PDPA第39节的规定记录拒绝请求及其原因。

删除和销毁的权利（第33条）

数据主体有权要求数据控制器擦除、销毁或匿名个人数据。对于分类为匿名数据的数据，它无法识别数据主体。PDPA概述了可使用该权利的四种情况，包括：

• 当收集、使用或披露个人数据的目的不再需要该个人数据时；
• 当数据主体撤回同意，且数据控制者没有收集、使用或披露此类信息的法律依据时；和
• PDPA第3章规定的非法收集、使用或披露。

上述例外情况适用于需要保留个人数据的情况：

• 为了言论自由；
• 为了确立、遵守、行使或辩护法律主张；
• （a）为第24（1）或（4）、26（5）（a）或（b）条所指的目的；或
• 遵守法律。

在这一点上，《个人数据保护法》澄清，如果数据控制者公开了个人数据，并提出了擦除、销毁或匿名化请求，则数据控制者负责采取行动，技术的实施和满足请求的费用，并通知其他数据控制器，以便获得他们关于为满足该请求而采取的行动的响应。

重要的是，如果数据控制器不采取行动，数据主体有权向PDPC投诉，以命令数据控制器采取此类行动。

限制使用个人数据的权利（第34条）

《个人数据保护法》规定了在多种情况下请求限制使用个人数据的权利，包括：

• 当数据控制员根据PDPA第36节根据数据主体的请求等待检查时；
• 当个人数据将被擦除或销毁，但数据主体要求限制使用时；
• 当不再需要保留个人数据，但数据主体出于建立、遵守、行使或辩护法律主张的目的需要进一步保留时；或
• 在等待与PDPA第32（1）条相关的验证，或等待与PDA第32（3）条有关的审查以拒绝异议请求时。

值得注意的是，当数据控制器不采取行动时，数据主体有权向PDPC投诉，以命令数据控制器采取此类行动。

对数据主体权利的限制

此外，关于确定PDPA执行范围和任命代理的通知草案（“执行通知草案”）概述了对数据主体权利的限制，概述了PDPA中适用于法律专业人员数据控制者、出于统计目的进行处理的各节的限制，为历史或公共利益目的进行记录（强制执行通知草案第1.4节）。

此外，强制执行通知草案规定，数据控制者必须采取措施确保数据主体在PDPA下的权利，包括记录数据处理活动和拒绝行使权利。同样，强制执行通知草案澄清了数据控制者的义务，除其他外，规定了响应时间框架、响应格式以及数据主体关于其请求结果的通知流程。具体而言，强制执行通知草案规定，数据主体的请求应在收到之日起30天内采取行动，如果在规定期限内出现阻碍请求采取行动的情况，则可以再延长60天。这将取决于请求的复杂性和数量。此时，必须将延期通知数据主体，并说明延期的原因。就表格而言，如果数据主体通过电子系统提出请求，数据控制者必须同样以电子方式提供响应，除非数据主体另有说明（强制执行通知草案第1.4节）。

抱怨

如果数据控制器或数据处理器违反或不遵守PDPA或根据PDPA发布的通知，PDPA为数据主体提供了提出投诉的权利。PDPA澄清，如果投诉人不符合PDPA第73（2）条规定的规则，或根据该规则提交的投诉被禁止接受审议，专家委员会将不接受该投诉进行审议。

如果专家委员会在投诉或调查后发现投诉没有依据，专家委员会将发布命令驳回投诉或调查。相反，如果在专家委员会审议或调查后，发现投诉可以解决，并且相关方愿意解决争议，专家委员会将继续进行争议解决。然而，如果投诉无法解决或争议解决失败，专家委员会将有权发布命令，包括要求数据控制者或数据处理者在规定期限内执行或纠正其行为，或禁止数据控制者和数据处理者执行对数据主体造成损害的行为，或在规定期限内停止损害的任何行为。

PDPA规定，如果数据控制者或数据处理者不遵守PDPA第74（1）条和第74（2）条规定的命令，则将比照适用《行政程序法》中与行政执法有关的规定。

关于接收和审议关于违反或不遵守《个人数据保护法》的投诉的程序的条例草案（“投诉条例草案”）规定，任何因数据控制者或数据处理者（包括员工或承包商）而对其权利产生争议或遭受损害的数据主体，有权向《个人数据隐私保护法》提出投诉。此外，投诉条例草案规定，投诉内容应包括姓名、地址、电话号码/电子邮件地址、投诉背景的详细信息、相关证据以及所提供陈述真实性的证明。此外，根据投诉条例草案，投诉必须以书面形式或通过可靠的电子媒介提出。

尽管如此，关于专家委员会在受理投诉时的作用，《投诉条例草案》认为，如果投诉因信息缺失而未完成，则必须通知投诉人并就解决投诉提供咨询意见，同时指出，在提供补充信息之前，投诉不会完全生效。然而，《投诉条例草案》还明确规定，此类投诉将在收到后七天内得到答复。

处罚

民事责任（第77和78条）

数据控制者或数据处理者，如果其与个人数据相关的操作违反或未能遵守《个人数据保护法》的规定，对数据主体造成损害，将对其进行赔偿，无论此类操作是有意还是疏忽，除非数据控制者和数据处理者能够证明此类操作是由于以下原因造成的：

• 不可抗力、数据主体自身的行为或不作为；和
• 根据政府官员依法行使其职责和权力的命令采取的行动。

赔偿包括数据主体为防止可能发生的损害而产生的所有必要费用，或用于抑制发生的损害的所有必要开支。

除法院认为适当的实际赔偿外，相关法院有权命令数据控制器或数据处理器支付惩罚性赔偿金。这将不超过实际补偿金额的两倍，同时考虑到许多因素，包括：

• 数据主体遭受损害的严重程度；
• 由数据控制器或数据处理器获得的兴趣；
• 数据控制器或数据处理器的财务状况；
• 数据控制器或数据处理器提供的补救措施；或
• 数据主体在造成损害中的作用。

最后，《个人数据保护法》规定，在受害人知道损害和数据控制者或数据处理者身份之日起三年后，或在针对个人数据的不法行为发生之日起十年后，根据《个人数据保护法案》提出的对不法行为的赔偿请求将被时效禁止。

刑事责任（第79至81条）

违反第27（1）和（2）条，或未能遵守《个人数据保护法》第28条，可能导致其他人遭受任何损害，损害其声誉，或使其他人受到嘲笑、憎恨或羞辱的数据控制者将被处以不超过六个月的监禁，或不超过500000泰铢（约13620欧元）的罚款。此外，数据管理员违反上述规定，为自己或他人谋取非法利益，将被处以不超过一年的监禁，或不超过100万泰铢（约27460欧元）的罚款。重要的是，刑事责任的罪行是可合并的。

除上述规定外，如果一个人因履行《个人数据保护法》规定的职责而了解另一个人的个人数据并将其披露给任何其他人，他们将被处以不超过六个月的监禁，或不超过500000泰铢（约13620欧元）的罚款。《个人数据保护法》规定了该罪行的例外情况，即披露满足以下条件之一：

• 履行职责；
• 为了调查或法庭审判的利益；
• 向法律授权的国内或外国政府机构披露；
• 在特定情况下，已获得数据主体的书面同意；或
• 与向公众公开的法律诉讼有关。

最后，PDPA规定，如果罪犯是法人，并且犯罪行为是由于任何董事、经理或将对法人行为负责的人发出的指示而实施的，或者如果该人有义务指示或执行任何行为，但在法人犯下此类罪行之前未指示或执行此类行为，也将对其处以上述惩罚。

行政责任（第82至90条）

PDPA对违反其规定的数据控制器和数据处理器处以行政处罚，最高罚款为500万泰铢（约136200欧元）。特别是，违反第26（1）或（3）条（关于敏感数据）、第27（1）和（2）条（个人数据的使用或披露）或第28条（关于向外国转移）的任何数据控制者，或未能根据第29（1）条或（3）（关于向外国的转移）发送或转移敏感数据的任何数据控制器，将被处以不超过500万泰铢（约合136200欧元）的行政罚款。此外，根据第26（1）或（3）条（关于敏感数据）发送或传输个人数据的数据处理者，如果不遵守第29（1）条或第（3）款（关于向外国传输），将被处以不超过500万泰铢的行政罚款。

关于PDPC，专家委员会将有权将处罚视为行政罚款。专家委员会认为适当的，可以先发出整改令或警告。在决定是否发布行政罚款命令时，专家委员会应根据PDPC规定的规则考虑犯罪情节的严重性、业务规模或其他情况。但是，如果没有官员执行行政命令，或者有官员，但该命令无法以其他方式执行，专家委员会将有权向泰国行政法院提起诉讼，以要求支付该罚款。

本文：https://cioctocdo.com/thailand-rights-and-enforcement-under-pdpa-part-t…