泰國個人資料保護委員會(“PDPC”) 在2033 年 12 月 12 日發布關於根據佛曆2562年(2019)《泰國個人資料保護法 B.E》第 28 條和第 29 條保護向國外發送或傳輸的個人資料的標準的通知 (“PDPA”),即關於根據 PDPA 第 28 條發送或轉移到海外的個人資料的保護原則的 PDPC 通知(“第28條的通知”)和關於保護原則的 PDPC 通知根據PDPA第29 條(“第29條的通知”)向海外發送或轉移的個人資料。兩項通知均將於2024年3月24日生效。
以下是這兩個通知的摘要:
- “轉讓”的定義包括實體轉讓和電子轉讓。但是,它不包括資料傳輸和資料儲存(例如雲端運算服務),任何第三方(傳輸此類資料的資料控制者或處理者除外)都無法存取所傳輸或儲存的資料。
- 只有在目的地國家有充分的資料保護措施的情況下,資料控制者才能將個人資料傳輸給海外的接收者。這樣的情況下,PDPC 未來可能會發布一份被認為擁有充分資料保護措施的國家或國際組織名單(“充分性決定”)。
- 在沒有 PDPC 充分性決定的情況下,資料控制者可以依靠以下機制將個人資料傳送給海外接收者:
- 用於將個人資料傳輸至資料控制者公司集團內的實體的具有約束力的公司規則(“BCR”)。 BCR需要獲得 PDPC的核准。第 29 條的通知也描述BCR 合規性要求,例如可執行性、資料主體權利和安全措施。
- 用於將個人資料傳輸到可能屬於或不屬於資料控制者公司集團的實體的標準合約條款(“SCC”)。 SCC 不需要 PDPC 的核准。然而,第29條的通知規定資料控制者可以採用的公認的示範條款以及 SCC 合規性要求。
- 根據 PDPC 確定的公認標準,對適當保障措施的實施情況進行認證。其中必須包括通知規定的個人資料保護內容。
- 不遵守通知可能會導致最高 5,000,000 泰銖的行政罰款。在有限的情況下,也可能適用刑事處罰,包括最高一年的監禁和/或不超過 1,000,000 泰銖的罰款。
本文同步發表於 https://0rz.tw/3QWAB。
