थाईलैंड PDPA प्राइवेसी गाइड: पर्सनल डेटा प्रोटेक्शन एक्ट के तहत आपके अधिकार

थाईलैंड का पर्सनल डेटा प्रोटेक्शन एक्ट (PDPA) जून 2022 में पूरी तरह लागू हो गया, जिसने थाईलैंड के निवासियों को उनके व्यक्तिगत डेटा पर महत्वपूर्ण नियंत्रण दिया। कई वर्षों से कानून होने के बावजूद, थाईलैंड में बहुत से लोग अभी भी नहीं जानते कि उनके क्या अधिकार हैं या उनका उपयोग कैसे करें।

यह गाइड बताती है कि PDPA आपके लिए एक व्यक्ति के रूप में क्या मायने रखता है और अपने व्यक्तिगत डेटा पर नियंत्रण कैसे लें।

PDPA क्या कवर करता है

PDPA किसी भी संगठन पर लागू होता है — थाई या विदेशी — जो थाईलैंड में लोगों का व्यक्तिगत डेटा कलेक्ट, उपयोग या प्रकट करता है। इसमें शामिल हैं:

• बैंक और वित्तीय संस्थान
• टेलीकॉम प्रोवाइडर (AIS, TRUE, DTAC)
• ई-कॉमर्स प्लेटफ़ॉर्म (Shopee, Lazada)
• सोशल मीडिया कंपनियाँ
• अस्पताल और हेल्थकेयर प्रोवाइडर
• सरकारी एजेंसियाँ
• नियोक्ता
• कोई भी वेबसाइट या ऐप जो आप इस्तेमाल करते हैं

क्या पर्सनल डेटा माना जाता है

डेटा प्रकार	उदाहरण
पहचान	नाम, राष्ट्रीय ID नंबर, पासपोर्ट नंबर, ThaiD डेटा
संपर्क जानकारी	फ़ोन नंबर, email, LINE ID, पता
वित्तीय डेटा	बैंक अकाउंट, क्रेडिट कार्ड नंबर, PromptPay ID
बायोमेट्रिक डेटा	फ़िंगरप्रिंट, फ़ेशियल रिकग्निशन, वॉइस प्रिंट
स्वास्थ्य डेटा	मेडिकल रिकॉर्ड, प्रिस्क्रिप्शन, हेल्थ इंश्योरेंस
लोकेशन डेटा	GPS डेटा, चेक-इन हिस्ट्री, ट्रैवल रिकॉर्ड
ऑनलाइन गतिविधि	ब्राउज़िंग हिस्ट्री, सर्च हिस्ट्री, cookies
रोज़गार डेटा	सैलरी, वर्क हिस्ट्री, परफ़ॉर्मेंस रिकॉर्ड

PDPA के तहत आपके अधिकार

1. सूचित होने का अधिकार

डेटा कलेक्ट करने से पहले, संगठनों को बताना होगा:

• कौन सा डेटा कलेक्ट हो रहा है
• क्यों ज़रूरत है
• कब तक रखा जाएगा
• किसके साथ शेयर होगा
• उस डेटा पर आपके अधिकार

2. सहमति का अधिकार

डेटा कलेक्शन से पहले आपकी स्पष्ट सहमति ज़रूरी है, सीमित मामलों को छोड़कर। आप यह भी कर सकते हैं:

• किसी भी समय सहमति वापस लें
• सहमति से इनकार करें बिना मुख्य सेवा से वंचित हुए

3. एक्सेस का अधिकार

आप किसी संगठन के पास मौजूद अपने सभी डेटा की कॉपी माँग सकते हैं। 30 दिन में जवाब देना अनिवार्य है।

4. डेटा पोर्टेबिलिटी का अधिकार

आप अपना डेटा सामान्य मशीन-रीडेबल फ़ॉर्मेट में माँग सकते हैं और दूसरे सर्विस प्रोवाइडर को ट्रांसफ़र करवा सकते हैं।

5. सुधार का अधिकार

अगर डेटा गलत या अधूरा है, तो सुधार माँगने का अधिकार है।

6. डिलीशन का अधिकार

आप डेटा डिलीट करने की माँग कर सकते हैं जब:

• डेटा उस उद्देश्य के लिए ज़रूरी नहीं रहा
• आप सहमति वापस लेते हैं
• प्रोसेसिंग पर आपत्ति करते हैं और कोई प्राथमिक वैध आधार नहीं है
• डेटा गैरकानूनी रूप से कलेक्ट किया गया

7. प्रोसेसिंग सीमित करने का अधिकार

विवाद समाधान के दौरान डेटा उपयोग बंद करने की माँग कर सकते हैं।

8. आपत्ति का अधिकार

डायरेक्ट मार्केटिंग के लिए डेटा प्रोसेसिंग पर किसी भी समय, बिना शर्त आपत्ति कर सकते हैं।

PDPA अधिकार सारांश तालिका

अधिकार	कब इस्तेमाल करें	जवाब की समयसीमा
एक्सेस	जानना चाहते हैं कौन सा डेटा है	30 दिन
डिलीशन	डेटा डिलीट करवाना चाहते हैं	30 दिन
सुधार	डेटा गलत है	30 दिन
पोर्टेबिलिटी	दूसरी सर्विस पर स्विच	30 दिन
आपत्ति	मार्केटिंग, प्रोफ़ाइलिंग रोकें	मार्केटिंग के लिए तुरंत
सीमित करना	विवाद के दौरान प्रोसेसिंग रोकें	30 दिन
सहमति वापसी	डेटा उपयोग के बारे में विचार बदलें	भिन्न

PDPA अधिकार कैसे इस्तेमाल करें

स्टेप 1: डेटा प्रोटेक्शन कॉन्टैक्ट खोजें

ज़्यादातर संगठनों के पास Data Protection Officer (DPO) या निर्दिष्ट कॉन्टैक्ट होना चाहिए। देखें:

• वेबसाइट पर प्राइवेसी पॉलिसी पेज
• टर्म्स ऑफ़ सर्विस में DPO कॉन्टैक्ट
• कस्टमर सर्विस (बताएँ कि PDPA रिक्वेस्ट है)

स्टेप 2: लिखित रिक्वेस्ट भेजें

email या लिखित पत्र से औपचारिक रिक्वेस्ट भेजें। शामिल करें:

• पूरा नाम और कॉन्टैक्ट जानकारी
• पहचान प्रमाण (छिपी जानकारी वाली ID कॉपी)
• कौन सा विशिष्ट अधिकार इस्तेमाल कर रहे हैं
• किस डेटा तक एक्सेस, डिलीट या सुधार चाहते हैं
• PDPA सेक्शन 30-36 का संदर्भ

स्टेप 3: जवाब ट्रैक करें

संगठनों को 30 दिन में जवाब देना होगा। इनकार करने पर लिखित कारण देना होगा।

स्टेप 4: ज़रूरत पड़ने पर एस्केलेट करें

अगर संगठन पालन नहीं करता, शिकायत दर्ज कर सकते हैं:

• पर्सनल डेटा प्रोटेक्शन कमेटी (PDPC) — pdpc.or.th
• कोर्ट — PDPA उल्लंघन से हुए नुकसान का मुआवज़ा माँग सकते हैं

सक्रिय रूप से डेटा सुरक्षित करें

डिजिटल फ़ुटप्रिंट कम करें

• सिर्फ़ वही डेटा दें जो सर्विस के लिए सच में ज़रूरी है
• अलग-अलग सर्विस के लिए अलग email इस्तेमाल करें
• वैकल्पिक डेटा कलेक्शन से इनकार करें
• फ़ोन पर ऐप परमिशन नियमित रूप से रिव्यू करें

शेयर करते समय सुरक्षा

संवेदनशील जानकारी — राष्ट्रीय ID नंबर, बैंक डिटेल्स, मेडिकल रिकॉर्ड — शेयर करनी हो तो WhatsApp या email से न भेजें। LOCK.PUB का इस्तेमाल करें और एन्क्रिप्टेड, पासवर्ड-प्रोटेक्टेड मेमो बनाएँ जो ऑटो-एक्सपायर हो। प्राप्तकर्ता पासवर्ड से जानकारी देखता है, और एक्सपायरी के बाद वह स्वयं नष्ट हो जाती है। चैट हिस्ट्री या email आर्काइव में कोई डेटा नहीं रहता।

नियमित डेटा ऑडिट

• सोशल मीडिया प्राइवेसी सेटिंग्स हर तिमाही रिव्यू करें
• जाँचें कि किन ऐप्स को LINE अकाउंट की एक्सेस है
• Google और Apple अकाउंट पर कनेक्टेड ऐप्स रिव्यू करें
• जो सर्विस इस्तेमाल नहीं करते, उनके अकाउंट डिलीट करें

कंपनियों की ज़िम्मेदारी

PDPA के तहत उल्लंघनकर्ता संगठनों को:

उल्लंघन	अधिकतम दंड
प्रशासनिक जुर्माना	5 मिलियन THB तक
आपराधिक दंड	1 साल कैद और/या 1 मिलियन THB जुर्माना
सिविल दायित्व	वास्तविक नुकसान + पनिटिव डैमेज (2x तक)

कंपनियों को यह भी करना होगा:

• DPO नियुक्त करना (बड़े पैमाने की प्रोसेसिंग के लिए)
• डेटा प्रोसेसिंग गतिविधियों का रिकॉर्ड रखना
• उचित सुरक्षा उपाय लागू करना
• 72 घंटे में PDPC को डेटा ब्रीच की सूचना देना
• क्रॉस-बॉर्डर डेटा ट्रांसफ़र के लिए सहमति लेना (अपवादों सहित)

रोज़मर्रा के PDPA परिदृश्य

• ऑनलाइन दुकान अनसब्सक्राइब के बाद भी मार्केटिंग मैसेज भेजती है — आपत्ति के अधिकार के उल्लंघन पर PDPA शिकायत दर्ज करें
• पूर्व नियोक्ता सैलरी जानकारी शेयर करता है — डिलीशन माँगें और शिकायत दर्ज करें
• अस्पताल बिना सहमति मेडिकल रिकॉर्ड शेयर करता है — PDPA संवेदनशील डेटा सुरक्षा का उल्लंघन
• टेलीकॉम कंपनी विज्ञापनदाताओं को डेटा बेचती है — एक्सेस माँगें, फिर डिलीशन की माँग करें

निष्कर्ष

PDPA आपको व्यक्तिगत डेटा पर वास्तविक शक्ति देता है। इन अधिकारों का उपयोग मुफ़्त है, और संगठनों को 30 दिन में पालन करना होगा। शुरुआत करें: जाँचें कि कौन सी सर्विस आपका डेटा रखती हैं और जो इस्तेमाल नहीं करते उनसे डिलीशन माँगें।

ज़रूरत पड़ने पर संवेदनशील व्यक्तिगत जानकारी शेयर करने के लिए LOCK.PUB पर जाएँ और मुफ़्त एन्क्रिप्टेड मेमो बनाएँ जो स्वयं नष्ट हो जाएँ — ताकि आपका डेटा ज़रूरत से ज़्यादा समय तक न रहे।