Руководство по PDPA Таиланда: ваши права по Закону о защите персональных данных

Закон о защите персональных данных Таиланда (PDPA / พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562) вступил в полную силу в июне 2022 года, предоставив жителям Таиланда существенный контроль над их персональными данными. Несмотря на то, что закон действует уже несколько лет, многие люди в Таиланде до сих пор не знают о своих правах или о том, как ими воспользоваться.

Это руководство объясняет, что PDPA означает для вас как частного лица и как взять контроль над своими персональными данными.

Что охватывает PDPA

PDPA распространяется на любую организацию — тайскую или зарубежную — которая собирает, использует или раскрывает персональные данные людей в Таиланде. Это включает:

• Банки и финансовые учреждения
• Операторов связи (AIS, TRUE, DTAC)
• Платформы электронной коммерции (Shopee, Lazada)
• Компании социальных сетей
• Больницы и медицинские учреждения
• Государственные органы
• Работодателей
• Любой сайт или приложение, которыми вы пользуетесь

Что считается персональными данными

Тип данных	Примеры
Идентификация	Имя, номер удостоверения личности, номер паспорта, данные ThaiD
Контактная информация	Номер телефона, email, ID в LINE, адрес
Финансовые данные	Банковские счета, номера кредитных карт, ID PromptPay
Биометрические данные	Отпечатки пальцев, данные распознавания лица, голосовые отпечатки
Медицинские данные	Медицинские записи, рецепты, данные страхования
Данные о местоположении	GPS-данные, история посещений, записи о поездках
Онлайн-активность	История просмотров, история поиска, cookies
Данные о работе	Зарплата, трудовая история, оценки эффективности

Ваши права по PDPA

1. Право быть информированным

Перед сбором ваших данных организации обязаны сообщить вам:

• Какие данные собираются
• Зачем они нужны
• Как долго будут храниться
• С кем будут переданы
• Ваши права в отношении этих данных

На практике: Это форма согласия или уведомление о конфиденциальности, которое вы видите при регистрации в сервисах. Читайте — это важно.

2. Право на согласие

Вы должны дать чёткое согласие перед сбором данных, за исключением ограниченных случаев (юридическое обязательство, жизненно важный интерес, общественный интерес или законный интерес). Вы также вправе:

• Отозвать согласие в любое время
• Отказать в согласии без отказа в предоставлении основной услуги (компании не могут отказать в обслуживании из-за отказа от необязательного сбора данных)

3. Право доступа

Вы можете запросить копию всех персональных данных, которыми располагает организация. Ответ должен быть предоставлен в течение 30 дней.

4. Право на переносимость данных

Вы можете запросить данные в общепринятом машиночитаемом формате и потребовать их передачи другому поставщику услуг.

5. Право на исправление

Если ваши данные неточны или неполны, вы вправе запросить исправление.

6. Право на удаление

Вы можете потребовать от организации удалить ваши персональные данные, когда:

• Данные больше не нужны для цели сбора
• Вы отзываете согласие
• Вы возражаете против обработки, и нет приоритетных законных оснований
• Данные были собраны незаконно

7. Право на ограничение обработки

Вы можете потребовать от организации прекратить использование ваших данных на время разрешения спора.

8. Право на возражение

Вы можете возразить против обработки данных в целях прямого маркетинга в любое время без каких-либо условий.

Сводная таблица прав PDPA

Право	Когда использовать	Срок ответа
Доступ	Хотите узнать, какие данные хранятся	30 дней
Удаление	Хотите удалить свои данные	30 дней
Исправление	Данные неверны	30 дней
Переносимость	Переход на другой сервис	30 дней
Возражение	Остановить маркетинг, профилирование	Немедленно для маркетинга
Ограничение	Приостановить обработку на время спора	30 дней
Отзыв согласия	Передумали относительно использования данных	Варьируется

Как реализовать свои права по PDPA

Шаг 1: Найдите контакт по защите данных

Большинство организаций обязаны иметь ответственного по защите данных (DPO) или назначенный контакт для запросов. Ищите:

• Страницу политики конфиденциальности на сайте
• Контакт DPO в условиях обслуживания
• Отдел обслуживания клиентов (укажите, что ваш запрос — по PDPA)

Шаг 2: Отправьте письменный запрос

Направьте формальный запрос по email или письмом. Укажите:

• Ваше полное имя и контактную информацию
• Подтверждение личности (копия удостоверения с замазанными данными)
• Конкретное право, которое вы реализуете
• Описание данных, к которым хотите получить доступ, удалить или исправить
• Ссылку на статьи 30-36 PDPA

Шаг 3: Отслеживайте ответ

Организации обязаны ответить в течение 30 дней. При отказе они обязаны объяснить причину письменно.

Шаг 4: Эскалация при необходимости

Если организация не выполняет требования, вы можете подать жалобу в:

• Комитет по защите персональных данных (PDPC) — pdpc.or.th
• Суд — Вы можете потребовать компенсацию за ущерб от нарушений PDPA

Проактивная защита персональных данных

Минимизация цифрового следа

• Предоставляйте только данные, действительно необходимые для сервиса
• Используйте отдельные email-адреса для разных сервисов
• Отказывайтесь от необязательного сбора данных, где возможно
• Регулярно проверяйте разрешения приложений на телефоне

Безопасность при передаче данных

Когда нужно поделиться конфиденциальной информацией — номером удостоверения, банковскими реквизитами, медицинскими записями — не отправляйте через Telegram или email. Используйте LOCK.PUB, чтобы создать зашифрованные, защищённые паролем заметки с автоматическим сроком действия. Получатель вводит пароль, просматривает информацию, и она самоуничтожается после истечения срока. Никаких данных в истории чатов или почтовых архивах.

Регулярный аудит данных

• Ежеквартально проверяйте настройки конфиденциальности в соцсетях
• Проверяйте, какие приложения имеют доступ к вашему аккаунту LINE
• Просматривайте подключённые приложения в аккаунтах Google и Apple
• Удаляйте аккаунты в сервисах, которыми больше не пользуетесь

Ответственность компаний

По PDPA организации, нарушающие правила защиты данных, подвергаются:

Нарушение	Максимальное наказание
Административный штраф	До 5 миллионов THB
Уголовное наказание	До 1 года лишения свободы и/или штраф 1 миллион THB
Гражданская ответственность	Реальный ущерб + штрафные санкции (до 2x реального ущерба)

Компании также обязаны:

• Назначить ответственного по защите данных (для масштабной обработки)
• Вести учёт действий по обработке данных
• Внедрить надлежащие меры безопасности
• Уведомлять PDPC об утечках данных в течение 72 часов
• Получать согласие на трансграничную передачу данных (с исключениями)

Типичные сценарии PDPA в повседневной жизни

• Интернет-магазин продолжает рассылать рекламу после отписки — Подайте жалобу по PDPA за нарушение права на возражение
• Бывший работодатель разглашает информацию о зарплате — Потребуйте удаления и подайте жалобу
• Больница передаёт медицинские записи без согласия — Это нарушает защиту чувствительных данных по PDPA
• Оператор связи продаёт данные рекламодателям — Запросите доступ, чтобы узнать, кому переданы данные, затем потребуйте удаления

Итог

PDPA даёт вам реальную власть над персональными данными. Реализация этих прав бесплатна, и организации обязаны выполнить требования в течение 30 дней. Начните с проверки, какие сервисы хранят ваши данные, и запросите удаление у тех, которыми больше не пользуетесь.

Для передачи конфиденциальной персональной информации, когда это необходимо, зайдите на LOCK.PUB, чтобы создать бесплатные зашифрованные заметки с самоуничтожением — ваши данные не будут храниться дольше, чем нужно.