Gesetz zum Schutz personenbezogener Daten

Gesetz zum Schutz persönlicher Daten (PDPA)

Dieses Gesetz gilt für die Erhebung, Verwendung oder Weitergabe personenbezogener Daten im Königreich Thailand durch einen Datenverarbeiter oder Datenverantwortlichen, auch wenn diese Weitergabe, Verwendung oder Erhebung nicht in Thailand stattfindet. Sollte sich ein Datenverarbeiter oder Datenverantwortlicher außerhalb Thailands befinden, gilt das Gesetz dennoch für die betroffenen Personen in Thailand.

"Personenbezogene Daten" sind alle Informationen, die sich auf eine bestimmte Person beziehen und die direkt oder indirekt die Identifizierung dieser Person ermöglichen, jedoch nicht die Informationen über Verstorbene;

Der Begriff "für die Datenverarbeitung Verantwortlicher" bezeichnet eine natürliche oder juristische Person, die die Befugnis und die Pflichten hat, Entscheidungen über die Erhebung, Verwendung oder Weitergabe von personenbezogenen Daten zu treffen;

"Datenverarbeiter" bezeichnet eine natürliche oder juristische Person, die im Zusammenhang mit der Erhebung, Verwendung oder Weitergabe personenbezogener Daten gemäß den von einem für die Datenverarbeitung Verantwortlichen oder in dessen Namen erteilten Aufträgen tätig wird, wobei diese natürliche oder juristische Person nicht der für die Datenverarbeitung Verantwortliche ist.

Hintergrund: Schutz persönlicher Daten in Thailand

Das Gesetz zum Schutz personenbezogener Daten wurde erstmals 2019 veröffentlicht, und es gab einen Zeitraum von einem Jahr, in dem Unternehmen und andere Einrichtungen das Gesetz hinsichtlich der Strafen bei Nichteinhaltung, der Pflichten eines für die Datenverarbeitung Verantwortlichen und der Rechte einer betroffenen Person umsetzen konnten.

Das Büro des Datenschutzausschusses ist die wichtigste Aufsichtsbehörde, und das Ministerium für digitale Wirtschaft und Gesellschaft ist die Aufsichtsbehörde des PDPA.

Überblick über den Schutz persönlicher Daten in Thailand

Anwendung des PDPA
‍
Im Allgemeinen gilt das PDPA für jede Weitergabe, Verwendung und Sammlung von Daten in Thailand oder in Bezug auf thailändische Bürger. Es gibt einige Fälle, in denen Datenverarbeiter und für die Datenverarbeitung Verantwortliche das PDPA einhalten müssen, auch wenn sie außerhalb Thailands tätig sind:

• Wenn die betroffenen Personen in Thailand überwacht werden.
• Wenn die betroffenen Personen Zugang zu Waren und Dienstleistungen in Thailand haben.

Rechtliche Grundlagen für die Erhebung, Verwendung und Weitergabe von personenbezogenen Daten
Es gibt nur sechs rechtmäßige Erlaubnisse für diese Praxis. In allen anderen Fällen ist die Zustimmung der betroffenen Person erforderlich.

Zu den rechtlich zulässigen Praktiken gehören:

• Jeder Fall, in dem die für die Datenverarbeitung Verantwortlichen Gesetzen unterliegen, die eine Datenerfassung vorschreiben.
• In Fällen, in denen die Grundrechte der betroffenen Personen die berechtigten Interessen eines für die Verarbeitung Verantwortlichen oder anderer Personen, die von der Erhebung personenbezogener Daten profitieren könnten, nicht überwiegen.
• Wenn der für die Datenverarbeitung Verantwortliche eine Aufgabe erfüllen muss, die im öffentlichen Interesse liegt und die Erhebung personenbezogener Daten beinhaltet.
• Wenn die betroffene Person Partei eines Vertrages ist, der dies erfordert, oder wenn die betroffene Person einen Vertrag abschließen möchte, der die Durchführung von Maßnahmen erfordert.
• Um eine Gefahr für die Gesundheit, das Wohlbefinden oder das Leben einer Person abzuwenden.
• In Fällen, in denen zufriedenstellende Maßnahmen ergriffen werden, um die Rechte einer betroffenen Person bei der Erstellung historischer Dokumente zum Zwecke des öffentlichen Interesses oder in Bezug auf Statistiken oder Forschung zu schützen, und unter der Voraussetzung, dass alle vorgeschriebene Sorgfalt auf die Einhaltung der Vorschriften verwendet wird.

Fragen der Zustimmung

Es gibt Kriterien, die erfüllt sein müssen, damit die Einwilligung als gültig angesehen wird:

• Täuschung oder Fehlinformationen sind bei der Bitte um Zustimmung nicht erlaubt.
• In den Ersuchen um Zustimmung muss eine einfache und klare Sprache verwendet werden.
• Der Antrag, in dem sich das Formular befindet, muss leicht lesbar und zugänglich sein.
• Wenn der betroffenen Person weitere Informationen zur Verfügung gestellt werden, muss die Bitte um Zustimmung leicht von allen anderen Informationen zu unterscheiden sein.
• Die betroffene Person muss wissen, wofür die Daten verwendet werden und wie sie weitergegeben werden können.
• Die Zustimmung wird entweder schriftlich oder über elektronische Kommunikationsmittel erteilt.

Hinweis zum Datenschutz

Die betroffene Person muss zum Zeitpunkt der Erhebung der Daten einen Datenschutzhinweis erhalten. Der Hinweis muss die folgenden Informationen enthalten:

• Die Rechte der betroffenen Person, die Folgendes umfassen:
  • Recht auf Zugang zu einer Kopie ihrer persönlichen Daten
  • Recht, die Übermittlung der Daten an andere für die Datenverarbeitung Verantwortliche zu verlangen
  • Recht auf Widerruf der Zustimmung
  • Recht auf Einreichung von Beschwerden
  • Recht auf sorgfältige Pflege des Schutzes persönlicher Daten
  • Recht auf Antrag auf Aussetzung der Datennutzung
  • Recht auf Antrag auf Löschung der Daten
  • Recht auf Widerspruch gegen die Weitergabe, Verwendung und Sammlung persönlicher Daten
• Kontaktdaten des Datenschutzbeauftragten, des für die Verarbeitung Verantwortlichen und unter bestimmten Umständen auch des Vertreters des für die Verarbeitung Verantwortlichen
• Identitäten von Organisationen oder Personen, an die Daten weitergegeben werden könnten
• Wie lange diese Daten aufbewahrt werden, oder zumindest eine voraussichtliche Aufbewahrungsfrist, die mit dem Standard für die Datenaufbewahrung übereinstimmt
• Informationen darüber, ob die betroffene Person verpflichtet ist, ihre persönlichen Daten zur Verfügung zu stellen
• Welche rechtlichen Gründe wurden für die Weitergabe, Verwendung oder Erhebung der persönlichen Daten verwendet?
• Die zu sammelnden Daten:
  • Sensible Daten
  • Gesundheitsbezogene Daten
  • Andere Daten

Benachrichtigung über Verstöße

Sobald ein für die Datenverarbeitung Verantwortlicher von einer Datenschutzverletzung erfährt, die den Schutz personenbezogener Daten beeinträchtigt, hat er 72 Stunden Zeit, um das Amt zu benachrichtigen. Wenn die Datenschutzverletzung erhebliche Auswirkungen hat oder ein hohes Risiko für die Freiheit und die Rechte der betroffenen Person darstellt, muss die betroffene Person ebenfalls so schnell wie möglich informiert werden.

Datenschutz Sicherheitsverpflichtungen

Es ist die Pflicht des für die Datenverarbeitung Verantwortlichen, die Daten sicher zu verwahren:

• Nach Ablauf der Aufbewahrungsfrist muss ein geeignetes System vorhanden sein, um die Aufzeichnungen nach Abschluss der Datenverarbeitung zu vernichten.
• Methoden, um zu verhindern, dass der Datenverarbeiter die Daten in einer Weise weitergibt oder verwendet, die nicht genehmigt oder ungesetzlich ist.
• Es werden alle angemessenen Schritte unternommen, um den Datenschutz zu schützen und eine unrechtmäßige Korrektur, Weitergabe, Änderung, Verwendung, den Zugriff auf oder den Verlust von Daten während der Speicherung zu verhindern.

Grenzüberschreitende Überweisung

Zwar wurden "angemessene Datenschutzstandards" noch nicht offiziell festgelegt, aber es wird erwartet, dass bei der Übermittlung personenbezogener Daten in andere Länder der Welt das betreffende Land über angemessene Datenschutzstandards verfügen muss. Die einzige Ausnahme ist, wenn Ausnahmen erfüllt sind.

Sanktionen im Zusammenhang mit Datenschutzverstößen

Je nach Schwere der Verstöße gegen das Gesetz zum Schutz personenbezogener Daten können entweder Bußgelder, Geldstrafen, strafrechtliche Haftung oder zivilrechtliche Haftung verhängt werden.

Wenn beispielsweise die Zustimmung gesetzlich vorgeschrieben war, ein für die Datenverarbeitung Verantwortlicher aber ohne Zustimmung Daten von einer betroffenen Person erhoben hat, wird er mit einer Geldstrafe von bis zu THB 3 Millionen belegt.

Vorbereitungen für das Datenschutzgesetz (PDPA)

Übergangsbestimmungen

Daten, die vor dem 27. Mai 2020 erhoben wurden, können weiterhin verwendet werden, sofern der für die Datenverarbeitung Verantwortliche die folgenden Schritte unternimmt:

• Den betroffenen Personen muss die Möglichkeit gegeben werden, der Verwendung ihrer personenbezogenen Daten zu widersprechen. Der beliebteste Weg, dies zu tun, ist die Veröffentlichung einer Methode zum Widerruf der Zustimmung.
• Sofern die betroffene Person keinen Einspruch erhebt, dürfen personenbezogene Daten nur für den Zweck verwendet werden, für den sie ursprünglich erhoben wurden.

Vorbereitung auf die Einhaltung des Datenschutzes:

• Sie müssen zunächst feststellen, ob das PDPA für die Aktivitäten gilt, die Sie durchführen wollen.
• Wenn Sie herausfinden, dass das PDPA auf Ihre Aktivitäten anwendbar ist, müssen Sie diese Schritte unternehmen:
  • Erstellen Sie eine Karte Ihres Datenflusses.
  • Wenn Sie bereits vorhandene personenbezogene Daten übernehmen, stellen Sie sicher, dass die Betroffenen die Möglichkeit haben, Widerspruch einzulegen, und stellen Sie dann sicher, dass Sie nur die personenbezogenen Daten verwenden, für die Sie keinen Widerspruch erhalten. Stellen Sie außerdem sicher, dass diese personenbezogenen Daten nur für den ursprünglichen Zweck verwendet werden.
  • Stellen Sie sicher, dass die Datenverarbeitung den nationalen Datenschutzstandards entspricht und dass Sie über aktuelle Protokolle zur Dateneinwilligung verfügen.
  • Vergewissern Sie sich, dass Sie über eine Rechtsgrundlage für die Weitergabe, Verwendung und Erfassung solcher personenbezogenen Daten verfügen, die Sie in Ihrem Unternehmen benötigen. Alle Parteien, von denen Sie personenbezogene Daten erheben möchten, einschließlich Geschäftspartner, müssen einen Datenschutzhinweis erhalten und um ihre ausdrückliche Zustimmung gebeten werden.
  • Sicherstellung der Einhaltung aller anderen Pflichten, die von einem Datenverantwortlichen erwartet werden.

Wie regeln Sie den Datenschutz in KMUs?

In kleineren Unternehmen ist es vielleicht einfacher, die Einhaltung der Vorschriften zu gewährleisten, da Dinge wie unzulässige Ausbeutung schwieriger zu vertuschen sind. Andere wichtige Aspekte sind leichter zu überblicken und eine direktere Kommunikation mit den Betroffenen ist möglich. Dateneigentümer können bei Bedarf wirklich Zeit und Mühe in die Datenübertragbarkeit investieren, sowie in das Bestreben, bei Bedarf eine Einwilligung zu erhalten und sicherzustellen, dass das konsolidierte Gesetz von den für die Datenverarbeitung Verantwortlichen genau befolgt wird. Auch die Kommunikation und Transparenz mit der betroffenen Person vor der Datenerfassung ist im digitalen Zeitalter einfacher, und die Verarbeitungsaktivitäten sind weniger zeitaufwendig, wenn der Datenbestand kleiner ist.

Denken Sie daran, dass Sie im Falle einer Datenübertragung sicherstellen sollten, dass der für die Datenverarbeitung Verantwortliche entsprechende Mitteilungen versendet. Die thailändische Regierung wird sowohl Strafschadensersatz als auch strafrechtliche Sanktionen für die Verletzung der Vertraulichkeit und die Nichteinhaltung der Standards für geistiges Eigentum verhängen. Das digitale Zeitalter hat die Art und Weise, wie Daten und solche Interessen auf der ganzen Welt verwaltet werden, stark beeinflusst, und Thailand ist nicht das einzige Land mit einem neuen Gesetz zum Datenschutz.

Die Strafen können bis zu einer hohen Geldstrafe oder bis zu einem Jahr Haft reichen, insbesondere bei sehr sensiblen (z.B. im Bereich der öffentlichen Gesundheit) oder umfangreichen Datenverstößen. Denken Sie daran, dass dieses Gesetz ein königlicher Erlass ist und Thailand auf internationale Standards vorbereiten soll.

Zusammenfassung

Sollten Sie Opfer einer Verletzung oder eines Verlustes Ihrer persönlichen Daten geworden sein, zögern Sie nicht, uns zu kontaktieren. Juslaws & Consult ist immer da, um Ihre Interessen zu schützen.