Thailands PDPA: Grundlegende Compliance-Richtlinien

Was ist Thailands Gesetz zum Schutz personenbezogener Daten?

Thailands PDPA (Gesetz zum Schutz personenbezogener Daten) regelt die Erhebung, Nutzung, Offenlegung und Speicherung personenbezogener Daten durch in Thailand tätige Unternehmen und Organisationen. Das Gesetz wurde im Mai 2019 erlassen und trat am 1. Juni 2021 vollständig in Kraft.

Nach dem PDPA sind Unternehmen und Organisationen verpflichtet, Zustimmung von Einzelpersonen, bevor sie deren personenbezogene Daten erheben und verwenden. Sie müssen außerdem sicherstellen, dass die von ihnen erhobenen Daten korrekt, relevant und für den Zweck ihrer Erhebung erforderlich sind.

Unternehmen und Organisationen sind außerdem verpflichtet, Maßnahmen zum Schutz personenbezogener Daten vor unbefugtem Zugriff, Nutzung, Weitergabe oder Vernichtung zu ergreifen. Im Falle einer Datenschutzverletzung müssen sie die betroffenen Personen und die zuständigen Behörden innerhalb von 72 Stunden benachrichtigen.

Das PDPA gewährt Einzelpersonen auch bestimmte Rechte, wie z. B. das Recht auf Zugriff auf ihre persönlichen Daten, das Recht, die Löschung oder Korrektur ihrer Daten zu verlangen, und das Recht auf Widerruf der Einwilligung zur Erhebung und Nutzung ihrer Daten.

Die Nichteinhaltung des PDPA kann zu erheblichen Geldbußen und Strafen führen, in einigen Fällen sogar zu einer Gefängnisstrafe.

Wer reguliert Thailands PDPA?

Das thailändische Datenschutzgesetz (PDPA) wird vom Office of the Personal Data Protection Committee (OPDC) reguliert, einer unabhängigen Regulierungsbehörde, die auf Grundlage dieses Gesetzes eingerichtet wurde. Das OPDC ist für die Überwachung und Durchsetzung des PDPA verantwortlich und entwickelt unter anderem Vorschriften, Richtlinien und Verhaltenskodizes, um Unternehmen und Organisationen bei der Einhaltung des Gesetzes zu unterstützen.

Das OPDC ist zudem befugt, Unternehmen und Organisationen, die gegen das PDPA verstoßen, zu untersuchen und zu bestrafen. Ziel ist es, die Privatsphäre und die personenbezogenen Daten von Einzelpersonen in Thailand zu schützen und gleichzeitig den verantwortungsvollen Umgang mit personenbezogenen Daten durch Unternehmen und Organisationen zu fördern.

Grenzüberschreitende Datenregulierung

Das thailändische PDPA (Personal Data Protection Act) gilt für Unternehmen und Organisationen, die personenbezogene Daten von Personen in Thailand erheben, verwenden, offenlegen oder speichern, unabhängig vom Sitz des Unternehmens oder der Organisation. Das bedeutet, dass Unternehmen oder Organisationen außerhalb Thailands, die personenbezogene Daten von Personen in Thailand erheben, das PDPA einhalten müssen.

Darüber hinaus verlangt das PDPA, dass Unternehmen und Organisationen Holen Sie die Zustimmung von Einzelpersonen ein, bevor Sie ihre personenbezogenen Daten außerhalb Thailands übertragen. Dies bedeutet, dass ein thailändisches Unternehmen oder eine thailändische Organisation, wenn sie personenbezogene Daten an ein Unternehmen oder eine Organisation in der EU oder den Vereinigten Staaten übertragen möchte, die Zustimmung der Personen einholen muss, deren Daten übertragen werden.

Unternehmen und Organisationen, die personenbezogene Daten außerhalb Thailands übermitteln, müssen sicherstellen, dass der Empfänger der Daten ein angemessenes Schutzniveau gemäß den Anforderungen des PDPA gewährleistet. Dies kann den Abschluss vertraglicher Vereinbarungen mit dem Empfänger beinhalten, die Bestimmungen zu Datenschutz und -sicherheit enthalten.

Es ist wichtig zu beachten, dass das PDPA nicht mit den Datenschutzgesetzen der EU oder der USA übereinstimmt und es Unterschiede hinsichtlich der Anforderungen und Verpflichtungen nach den Gesetzen der einzelnen Länder geben kann. Grenzüberschreitend tätige Unternehmen und Organisationen sollten sich jedoch der unterschiedlichen Datenschutzanforderungen bewusst sein und sicherstellen, dass sie alle geltenden Gesetze und Vorschriften einhalten.

Beispiele für die Durchsetzung des PDPA in Thailand

1. Ein Finanzdienstleistungsunternehmen in Thailand erhebt personenbezogene Daten wie Namen, Adressen und Finanzinformationen seiner Kunden zum Zwecke der Erbringung von Bankdienstleistungen. Gemäß dem PDPA ist das Unternehmen verpflichtet, vor der Erhebung und Verarbeitung personenbezogener Daten die Einwilligung seiner Kunden einzuholen. Es muss außerdem sicherstellen, dass die erhobenen Daten korrekt, relevant und für den jeweiligen Zweck erforderlich sind. Das Unternehmen muss Maßnahmen zum Schutz der personenbezogenen Daten vor unbefugtem Zugriff, Nutzung, Weitergabe oder Vernichtung ergreifen und im Falle einer Datenschutzverletzung die betroffenen Personen und die zuständigen Behörden innerhalb von 72 Stunden benachrichtigen.
2. Ein Online-Händler mit Sitz in den USA erhebt personenbezogene Daten, einschließlich Namen, Adressen und Zahlungsinformationen, von Kunden in Thailand zum Zweck der Auftragsabwicklung und Produktlieferung. Gemäß dem PDPA ist der Einzelhändler verpflichtet, vor der Erhebung und Verarbeitung personenbezogener Daten seiner thailändischen Kunden deren Einwilligung einzuholen. Er muss außerdem sicherstellen, dass jede Übermittlung personenbezogener Daten von Thailand in die USA gesetzeskonform erfolgt, d. h. die erforderliche Einwilligung eingeholt und ein angemessenes Datenschutzniveau gewährleistet wird. Der Einzelhändler muss allen Anfragen seiner thailändischen Kunden nach Zugriff, Korrektur oder Löschung ihrer personenbezogenen Daten nachkommen und sicherstellen, dass auch alle von ihm zur Datenverarbeitung eingesetzten Drittanbieter das PDPA einhalten.

Thailands Schutzalter gemäß PDPA

Das thailändische Datenschutzgesetz (PDPA) legt die Altersanforderungen für die Erhebung und Verarbeitung personenbezogener Daten Minderjähriger fest. Demnach müssen Unternehmen und Organisationen für die Erhebung und Verarbeitung personenbezogener Daten von Minderjährigen unter 20 Jahren die Zustimmung der Eltern oder Erziehungsberechtigten einholen.

Wenn ein Minderjähriger 20 Jahre oder älter ist, ist er rechtlich befugt, seine Einwilligung zur Erhebung und Verarbeitung seiner personenbezogenen Daten selbst zu geben.

Das PDPA verpflichtet Unternehmen und Organisationen außerdem zu besonderer Sorgfalt bei der Verarbeitung sensibler personenbezogener Daten Minderjähriger, beispielsweise Informationen zu deren Gesundheit, Sexualität oder Vorstrafen. In solchen Fällen müssen Unternehmen und Organisationen die ausdrückliche Zustimmung der Eltern oder Erziehungsberechtigten des Minderjährigen einholen.

Insgesamt zielen die Altersanforderungen im Rahmen des PDPA darauf ab, die Privatsphäre und die personenbezogenen Daten Minderjähriger in Thailand zu schützen und gleichzeitig sicherzustellen, dass Unternehmen und Organisationen bei der Datenverarbeitung rechenschaftspflichtig und verantwortlich sind.

Nutzung von BigID zur Einhaltung des thailändischen PDPA

Halten Sie den PDPA (Personal Data Protection Act) ein, indem Sie eine Reihe von Tools und Funktionen zur Datenermittlung, -klassifizierung und zum Schutz bereitstellen.

Hier sind einige Möglichkeiten, die Unternehmen nutzen können BigID Um die Einhaltung des PDPA zu erreichen:

1. Entdeckung von Daten: BigID unterstützt Unternehmen dabei, personenbezogene Daten zu identifizieren und zu identifizieren, die in allen Formen erfasst, verarbeitet oder gespeichert werden – ob strukturiert oder unstrukturiert. Dies kann Daten umfassen, die in Datenbanken, Dateifreigaben und Cloud-Umgebungen gespeichert sind. Durch die Nutzung von BigID zur Datenermittlung erhalten Unternehmen ein besseres Verständnis dafür, welche personenbezogenen Daten sie besitzen und wo diese gespeichert sind.
2. Datenklassifizierung: Sobald personenbezogene Daten erkannt wurden, werden diese mithilfe der BigID ML-Klassifizierung automatisch und präzise anhand verschiedener Attribute wie Datentyp, Sensibilität und Standort klassifiziert. Dies hilft Unternehmen, das mit den einzelnen Arten personenbezogener Daten verbundene Risiko zu verstehen und ihre Compliance-Bemühungen entsprechend zu priorisieren.
3. Verwaltung der Einverständniserklärung: Das PDPA verlangt von Organisationen, Zustimmung von Einzelpersonen, bevor ihre personenbezogenen Daten erhoben und verarbeitet werden. BigID verwaltet den Einwilligungsprozess, indem es Tools zum Einholen, Speichern und Nachverfolgen der Einwilligung von Einzelpersonen bereitstellt.
4. Datenschutz: Das PDPA verpflichtet Organisationen zur Umsetzung geeigneter Maßnahmen zum Schutz personenbezogener Daten vor unbefugter Zugriff, Nutzung, Offenlegung oder Vernichtung. BigID kann Unternehmen dabei helfen, den Schutz personenbezogener Daten sicherzustellen, indem es Risiken und Schwachstellen, wie z. B. Datenschutzverletzungen, identifiziert und Empfehlungen zur Risikominderung bereitstellt.
5. Berichterstattung und Prüfung: Das PDPA verpflichtet Organisationen, Aufzeichnungen über ihre Datenverarbeitungsaktivitäten zu führen und dem Personal Data Protection Committee auf Anfrage Berichte vorzulegen. BigID unterstützt Organisationen bei der Erstellung von Berichten und Prüfpfaden, die die Einhaltung des PDPA nachweisen.

So optimieren Sie die Compliance-Bemühungen Ihres Unternehmens hinsichtlich des PDPA: Planen Sie noch heute eine 1:1-Demo mit BigID.

Autor

Alexis Porter

Leiterin für Content Marketing

Alexis arbeitet als Content Marketing Manager für den branchenführenden DSPM-Anbieter BigID. Sie hat sich darauf spezialisiert, Tech-Start-ups dabei zu helfen, ihre Stimme zu schärfen, um überzeugende Geschichten zu erzählen, die bei unterschiedlichen Zielgruppen Anklang finden. Sie hat einen Bachelor-Abschluss in professionellem Schreiben und einen Master-Abschluss in Marketingkommunikation von der University of Denver. Alexis arbeitet von Orlando, FL aus.