配合此一發展,PDPC Office亦於2025年9月30日批准兩家在泰國營運之公司的BCRs。此舉為自《依據《佛曆2566年(2023)個人資料保護法》(PDPA)第29條制定之〈將個人資料傳送或轉移至外國之保護標準準則公告〉》於2024年3月生效以來,個人資料保護實務上首度具體的進展。
本規則依據PDPA第29條第2款之規定,對關鍵術語作出定義。其中,“同一關係企業或企業集團”係指一方事業對另一事業具有控制權或管理權,或受另一事業控制之情形,包括母公司、子公司或關係企業等。此範圍並包括在法律上或營運上具有關聯之自然人或法人,其關係之認定應依相關法律及一般公認之會計準則判斷。
本規則適用於兩種類型的BCR:
- 個人資料控制者政策(BCR-C);以及
- 個人資料處理者政策(BCR-P)
PDPC Office鼓勵同時擔任資料控制者與資料處理者角色的跨國公司,根據其集團架構,考慮採取分開申請或混合申請的方式。
申請人須以泰文準備並提交申請書及相關支持文件。若佐證文件為外文,應附具經公證人或具資格之人士認證之泰文譯本。佐證文件可包括但不限於具法律拘束力之文件,例如集團內協議,或BCRs規範之實體名單等。
PDPC Office強調,泰文翻譯的完整性與明確度將直接影響審查時程,因此申請人應確保英文與泰文版本內容一致。
在認證BCRs時, PDPC Office將審查以下主要事項:
- 法律拘束力:BCRs 必須具備適當機制,以確保其在企業集團內外均具有法律上可強制執行之效力。
- 合作義務:集團成員須與PDPC Office合作,並遵守法律規定。若屬於BCR-P,應另行規定資料處理者有義務與資料控制者合作並協助其遵守相關法律。
- 可執行性:BCRs 必須具備適當且可驗證之機制,以確保其能實際執行並獲得遵守。
- 資料主體權利:BCRs 必須確保資料主體得以行使其權利並提出申訴。
- 個人資料保護措施:BCRs 必須適當展現依據適用法律所要求之個人資料保護原則,其內容至少應包括基本之個人資料保護原則及適當之安全措施。
申請案件之審理時程,自收到正確且完整之文件之日起約需180日,惟實際時間可能因組織結構之複雜程度、資料性質及提交文件之完整性而有所不同。依本規則, BCR之認證不收取任何政府規費。
然而,申請人在準備過程中可能會產生翻譯、公證或專業諮詢等相關費用,該等費用不由PDPC Office負擔。
在完成實質審查後,主管官員應編製報告,並載明下列其中之一之結果:
- 核准認證:由PDPC核發認證證書。
- 附條件認證:該政策基本符合規定,但須於指定期限內完成特定修正或措施,方可取得正式認證。
- 駁回認證:不予核准。
