Jüngsten Studien zufolge haben 162 Länder Datenschutzgesetze erlassen - in Thailand ist dieses Gesetz das Personal Data Protection Act(PDPA).
Das thailändische PDPA gilt für Unternehmen innerhalb und außerhalb des Landes und gibt Einzelpersonen Rechte in Bezug auf die Erhebung und Verwendung ihrer persönlichen Daten.
In diesem Leitfaden erfahren Sie alles, was Sie über das thailändische Datenschutzgesetz wissen müssen, einschließlich der Frage, für wen es gilt, was es verlangt und welche Strafen bei Verstößen drohen.
- Was ist das thailändische Gesetz zum Schutz personenbezogener Daten (PDPA)?
- Thailands PDPA Schlüsselbegriffe und Definitionen
- Was umfasst das thailändische Gesetz zum Schutz personenbezogener Daten?
- Anforderungen des thailändischen Gesetzes zum Schutz personenbezogener Daten
- Thailands PDPA im Vergleich zu den globalen Datenschutzgesetzen: Gemeinsamkeiten und Unterschiede
- Welche Auswirkungen hat das thailändische PDPA auf die Verbraucher?
- Welche Auswirkungen hat das thailändische PDPA auf Unternehmen?
- Wer muss sich an das thailändische PDPA halten?
- Wie können Unternehmen das thailändische PDPA einhalten?
- Wie wird das thailändische PDPA durchgesetzt?
- Bußgelder und Strafen nach dem thailändischen Gesetz zum Schutz personenbezogener Daten
- Wie hilft Termly bei der Einhaltung des PDPA in Thailand?
- Gibt es in Thailand weitere Gesetze zum Datenschutz?
- Zusammenfassung
Was ist das thailändische Gesetz zum Schutz personenbezogener Daten (PDPA)?
Das thailändische Gesetz zum Schutz personenbezogener Daten ist das wichtigste Gesetz zum Schutz der Verbraucherdaten in Thailand.
Sie beschreibt die Rechte, die Einzelpersonen in Bezug auf ihre persönlichen Daten haben, umreißt spezifische Richtlinien, die Unternehmen befolgen müssen, um Verbraucherdaten rechtmäßig zu sammeln und zu verwenden, und listet die Strafen für Verstöße gegen diese Anforderungen auf.
Wann trat das thailändische PDPA in Kraft?
Das 2019 unterzeichnete thailändische Gesetz zum Schutz personenbezogener Daten trat offiziell am 1. Juni 2022 in Kraft .
Thailands PDPA Schlüsselbegriffe und Definitionen
Damit Sie verstehen, wie Sie das thailändische PDPA einhalten können, haben wir im Folgenden die Definitionen einiger Schlüsselbegriffe aus der englischen Übersetzung des Gesetzes aufgeführt:
Was umfasst das thailändische Gesetz zum Schutz personenbezogener Daten?
Das thailändische PDPA gilt für personenbezogene Daten von natürlichen Personen in Thailand.
Sie gilt auch für die Erhebung und Verarbeitung personenbezogener Daten durch für die Verarbeitung Verantwortliche oder Auftragsverarbeiter mit Sitz in Thailand, unabhängig davon, woher die erhobenen Daten stammen.
Anforderungen des thailändischen Gesetzes zum Schutz personenbezogener Daten
Es gibt mehrere Anforderungen, die Unternehmen, die das thailändische PDPA einhalten müssen, beachten müssen.
Rechtmäßige Grundlagen für die Verarbeitung von Daten
Nach dem thailändischen PDPA können Einrichtungen personenbezogene Daten aus den folgenden Gründen rechtmäßig verarbeiten:
Zustimmung
Nach dem thailändischen Datenschutzgesetz muss die Zustimmung ausdrücklich in einer schriftlichen Erklärung oder, wenn möglich, elektronisch erteilt werden.
Wenn eine betroffene Einrichtung die Zustimmung des Nutzers einholt, muss sie ihn über die Datenverarbeitung benachrichtigen oder darüber informieren.
Der Nutzer muss dann aus freien Stücken in die Verarbeitung einwilligen und behält das Recht, seine Zustimmung jederzeit problemlos zu widerrufen.
Ernennung eines Datenschutzbeauftragten (DSB)
Das thailändische PDPA schreibt vor, dass Unternehmen einen Datenschutzbeauftragten ernennen müssen, der für folgende Aufgaben verantwortlich ist
- Beratung von Unternehmen bei der Einhaltung des thailändischen PDPA;
- Untersuchung, ob der für die Verarbeitung Verantwortliche und/oder der Auftragsverarbeiter das Gesetz vollständig einhalten;
- Koordinierung mit den Regulierungsbehörden, die das Gesetz durchsetzen, soweit erforderlich; und
- Wahrung der Vertraulichkeit in Bezug auf alle personenbezogenen Daten, die während der Tätigkeit als DSB erfasst werden.
Datenverarbeiter und für die Verarbeitung Verantwortliche müssen den Nutzern auch die Kontaktinformationen ihres Datenschutzbeauftragten zur Verfügung stellen.
Verpflichtungen zur Datenaufbewahrung
Die Einrichtungen müssen die Nutzer darüber informieren, wie lange sie die Daten zum Zeitpunkt der Datenerhebung oder davor aufbewahren.
Wenn kein Datum angegeben werden kann, muss die Stelle das Verfahren erläutern, mit dem sie die Dauer der Aufbewahrung der Daten bestimmt.
Verarbeitung besonderer Kategorien von personenbezogenen Daten
Für die Verarbeitung besonderer Datenkategorien - wie sensibler personenbezogener Daten - muss die Stelle die ausdrückliche Zustimmung der betroffenen Person einholen.
Die für die Verarbeitung Verantwortlichen können jedoch Informationen aus dem Strafregister erfassen, wenn sie von einer Behörde dazu ermächtigt werden.
Vertragliche Verpflichtungen
Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter müssen gemäß dem thailändischen PDPA eine vertragliche Vereinbarung treffen, die beide Parteien verpflichtet, alle im Gesetz festgelegten Anforderungen zu erfüllen.
Ein Teil des Abkommens muss die Pflege von Aufzeichnungen über personenbezogene Daten und Aktivitäten sowie die Einhaltung der vom Ausschuss für den Schutz personenbezogener Daten (EDSB) festgelegten Regeln beinhalten.
Thailands PDPA im Vergleich zu den globalen Datenschutzgesetzen: Gemeinsamkeiten und Unterschiede
Auf der ganzen Welt gibt es mehrere Datenschutzgesetze, darunter die folgenden:
- Das kalifornische Verbraucherschutzgesetz(CCPA)
- Die europäische Datenschutz-Grundverordnung (DSGVO)
- Das argentinische Gesetz zum Schutz personenbezogener Daten(Argentina PDPA)
- Brasiliens allgemeines Datenschutzgesetz(LGPD)
- Kanadas Gesetz zum Schutz persönlicher Daten und elektronischer Dokumente(PIPEDA)
- Südafrikas Gesetz zum Schutz persönlicher Daten(POPIA)
- Australisches Datenschutzgesetz von 1988(das Datenschutzgesetz)
- Neuseelands Datenschutzgesetz 2020
In der nachstehenden Tabelle können Sie das thailändische PDPA mit den anderen weltweiten Datenschutzgesetzen vergleichen.
| Datenschutzgesetz | Erfordert Opt-in-Zustimmung* | Verlangt die Veröffentlichung einer Datenschutzrichtlinie | Darstellung der vertraglichen Verpflichtungen gegenüber Dritten | Zieht Unternehmen für die Datensicherheit zur Verantwortung | Hat spezifische Anforderungen für internationale Datenübertragungen | Erfordert zusätzliche Leitlinien für Kategorien von sensiblen (besonderen) Informationen |
| Thailand PDPA | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Argentinien PDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| CCPA | ✓ | ✓ | ✓ | ✓ | ||
| DSGVO | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| LGPD | ✓ | ✓ | ✓ | ✓ | ✓ | |
| PIPEDA | ✓ | ✓ | ✓ | |||
| POPIA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Datenschutzgesetz von 1988 | ✓ | ✓ | ✓ | ✓ | ||
| Datenschutzgesetz 2020 | ✓ | ✓ | ✓ | ✓ | ✓ |
*Mit einigen Ausnahmen für bestimmte Gesetze.
Welche Auswirkungen hat das thailändische PDPA auf die Verbraucher?
Das thailändische PDPA hat Auswirkungen auf die Verbraucher, indem es ihnen bestimmte Rechte in Bezug auf die Erhebung und Verwendung ihrer personenbezogenen Daten einräumt, darunter das Recht auf:
- Zugang zu ihren persönlichen Daten
- eine tragbare Kopie ihrer Daten zu erhalten
- Unvollständige Daten über sie zu berichtigen
- ihre Daten zu löschen oder von einem für die Verarbeitung Verantwortlichen de-identifizieren zu lassen
- Abmeldung von bestimmten Datenverarbeitungsaktivitäten, einschließlich Direktmarketing
- Einwilligung jederzeit widerrufen
- Eine Beschwerde bei einer Datenbehörde einreichen
Die Nutzer haben auch das Recht, darüber informiert zu werden, welche Daten über sie gesammelt werden, warum sie gesammelt werden und wie lange diese Daten gespeichert werden.
Für wen gilt das thailändische PDPA?
Das Gesetz zum Schutz personenbezogener Daten gilt für die Daten jeder natürlichen, lebenden Person in Thailand.
Ausgenommen sind jedoch alle Daten, die im häuslichen oder persönlichen Umfeld erhoben und verwendet werden.
Welche Auswirkungen hat das thailändische PDPA auf Unternehmen?
Das thailändische PDPA hat für Unternehmen nicht nur Auswirkungen auf die bereits erwähnten Rechtsgrundlagen und Anforderungen an die Datenspeicherung, sondern auch auf den Datenschutz und die Cookie-Richtlinien.
Wie wirkt sich das thailändische PDPA auf meine Datenschutzpolitik aus?
Nach dem thailändischen PDPA müssen Unternehmen Einzelpersonen vor oder zum Zeitpunkt der Datenerhebung über die folgenden Einzelheiten informieren:
- Der Zweck der Datenerhebung
- Die Aufbewahrungsfrist
- Die Rechte, die der Einzelne über seine Daten hat
Eine einfache Möglichkeit, diese Vorgaben zu erfüllen, besteht darin, Ihren Nutzern eine Datenschutzrichtlinie vorzulegen, die diese Benachrichtigungsanforderungen erfüllt.
Wenn die Personen bereits über die Sammlung informiert sind, müssen sie nicht noch einmal darauf hingewiesen werden.
Wie wirkt sich das thailändische PDPA auf meine Cookie-Richtlinie aus?
Das thailändische PDPA wirkt sich auf Ihre Cookie-Richtlinie aus, da Nutzer, die durch das Gesetz geschützt sind, das Recht haben, über die Datenerfassung zum Zeitpunkt oder vor dem Zeitpunkt der Erfassung informiert zu werden, und Internet-Cookies persönliche Daten von Nutzern erfassen.
Sie müssen sicherstellen, dass Ihre Nutzer wissen, welche Cookies Ihre Website verwendet, was sie tun und warum Sie sie verwenden, bevor sie in ihren Browsern gespeichert werden.
Um diese Anforderung zu erfüllen, sollten Sie Ihren Nutzern eine genaue Cookie-Richtlinie vorlegen.
Wer muss sich an das thailändische PDPA halten?
Jedes Unternehmen in Thailand, das personenbezogene Daten sammelt und verarbeitet, muss das Gesetz zum Schutz personenbezogener Daten einhalten.
Unternehmen außerhalb Thailands, die Personen im Lande Waren oder Dienstleistungen anbieten und deren Online-Verhalten überwachen, müssen das Gesetz ebenfalls einhalten, unabhängig davon, ob eine finanzielle Transaktion stattfindet.
Wer ist von Thailands PDPA ausgenommen?
Die folgenden Einrichtungen sind von der Einhaltung des thailändischen PDPA ausgenommen:\
Wie können Unternehmen das thailändische PDPA einhalten?
Um dem thailändischen PDPA zu entsprechen, sollten Unternehmen ihre Datenschutz- und Cookie-Richtlinien aktualisieren, um alle Anforderungen an die ordnungsgemäße Information der Nutzer über die Datenerfassung zu erfüllen.
Implementierung einer consent management platform mit einem ordnungsgemäß konfigurierten Einwilligungsbanner können Sie die gesetzlich vorgeschriebenen Opt-in- und Opt-out-Anforderungen erfüllen.
Um die Entgegennahme und Beantwortung von Anfragen von Nutzern, die ihre Rechte wahrnehmen wollen, zu erleichtern, sollten Sie auf Ihrer Website ein DSAR-Formular (Data Subject Access Request ) einrichten.
Wie wird das thailändische PDPA durchgesetzt?
In Thailand wird das PDPA durch den Ausschuss für den Schutz personenbezogener Daten (PDPC) durchgesetzt.
Der EDSB entwirft und veröffentlicht auch Unterverordnungen und Leitlinien für das Gesetz.
Sie können festlegen, wie die Einrichtungen die Einhaltung des PDPA auslegen, diejenigen, die gegen das Gesetz verstoßen, benachrichtigen und künftige Regeln oder Leitlinien festlegen.
Bußgelder und Strafen nach dem thailändischen Gesetz zum Schutz personenbezogener Daten
Verstöße gegen das thailändische PDPA können mit Geldbußen von bis zu 5 Millionen THB (145.000 $) und strafrechtlichen Sanktionen geahndet werden.
Die Unternehmen könnten auch gezwungen sein, alle Datenverarbeitungsaktivitäten einzustellen.
Wie hilft Termly bei der Einhaltung des PDPA in Thailand?
Termly bietet eine Consent Management Platform (CMP) an, die von Unternehmen so konfiguriert werden kann, dass sie die vom thailändischen PDPA geforderten Opt-in- und Opt-out-Zustimmungen erfüllt.
Unser Team arbeitet auch an der Aktualisierung unserer Datenschutzerklärung Generatorso dass sie die notwendigen Informationen enthält, um die Meldeanforderungen des thailändischen Datenschutzgesetzes zu erfüllen.
Unser Generator, der von unserem Rechtsteam und Datenschutzexperten geprüft wird, stellt einfache Fragen zu Ihrem Unternehmen und Ihren Datenverarbeitungsaktivitäten und erstellt auf der Grundlage Ihrer Antworten eine individuelle Richtlinie.
Schauen Sie wieder vorbei, um zu erfahren, wann diese Updates verfügbar sind.
Gibt es in Thailand weitere Gesetze zum Datenschutz?
Während das PDPA das wichtigste Datenschutzgesetz in Thailand ist, gibt es noch einige andere Gesetze, darunter die folgenden:
Zusammenfassung
Das thailändische Gesetz zum Schutz personenbezogener Daten ist ein umfassendes Gesetz, das den Bürgern des Landes mehr Kontrolle darüber gibt, wie ihre Daten erhoben, verarbeitet und genutzt werden.
Wenn Sie dem PDPA unterliegen, sollten Sie Ihre Datenschutzrichtlinien aktualisieren, um die im Gesetz festgelegten Meldepflichten zu erfüllen.
Mit Ressourcen wie unserer Datenschutzerklärung Generatorwar es noch nie so einfach, die Datenschutzgesetze einzuhalten.
Mehr über die Autorin
Geschrieben von Anokhy Desai CIPP/US, CIPT, CIPM
Anokhy ist Anwältin für Datenschutz mit Erfahrung in den Bereichen Datenschutz und Cybersicherheit im öffentlichen und privaten Sektor. Als ehemalige Westin Fellow bei der IAPP veröffentlichte sie mehrere Artikel, White Papers und Infografiken und leitete, koordinierte und moderierte Webinare und Diskussionsrunden zu den Themen Datenschutz und Datenschutztechnologie in den USA. Anokhy erwarb ihren Master an der Carnegie Mellon University und ihren Juris Doctor an der University of Pittsburgh. Mehr über die Autorin
