Thailand PDPA Privacy Guide: Dina rättigheter enligt Personuppgifter Protection Act

Thailands lag om skydd för personuppgifter (PDPA / พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคุศ) trädde i kraft den 2 juni 2006. 2022, vilket ger thailändska invånare betydande kontroll över sina personuppgifter. Trots att de varit lagar i flera år vet många i Thailand fortfarande inte vilka rättigheter de har eller hur de ska utöva dem.

Den här guiden beskriver vad PDPA betyder för dig som individ och hur du tar kontroll över dina personuppgifter.

Vad PDPA omfattar

PDPA gäller för alla organisationer – thailändska eller utländska – som samlar in, använder eller avslöjar personuppgifter om personer i Thailand. Detta inkluderar:

• Banker och finansiella institutioner
• Telekomleverantörer (AIS, TRUE, DTAC)
• E-handelsplattformar (Shopee, Lazada) – Sociala medieföretag – Sjukhus och vårdgivare
• Statliga myndigheter
• Arbetsgivare
• Alla webbplatser eller appar du använder

Vad räknas som personuppgifter

Datatyp	Exempel
Identifiering (ข้อมูลระบุตัวตน)	Namn, nationellt ID-nummer, passnummer, ThaiD-data
Kontaktinformation	Telefonnummer, e-post, LINE ID, adress
Finansiella uppgifter (ข้อมูลการเงิน)	Bankkonton, kreditkortsnummer, PromptPay ID
Biometriska data	Fingeravtryck, ansiktsigenkänningsdata, röstavtryck
Hälsodata (ข้อมูลสุขภาพ)	Medicinska journaler, recept, uppgifter om sjukförsäkring
Platsdata	GPS data, incheckningshistorik, reseregister
Onlineaktivitet	Webbhistorik, sökhistorik, cookies
Sysselsättningsdata	Lön, arbetshistorik, prestationsrekord

Dina rättigheter enligt PDPA

1. Rätt att bli informerad (สิทธิในการรับทราบ)

Innan de samlar in din data måste organisationer berätta för dig:

– Vilken data de samlar in

• Varför de behöver det – Hur länge kommer de att behålla det – Vem de ska dela det med
• Dina rättigheter angående dessa uppgifter

I praktiken: Detta är samtyckesformuläret eller sekretessmeddelandet som du ser när du registrerar dig för tjänster. Läs den - det spelar roll.

2. Rätt till samtycke (สิทธิในการให้ความยินยอม)

Du måste ge ett tydligt samtycke innan din data samlas in, utom i begränsade fall (rättslig skyldighet, vital intresse, allmänt intresse eller legitimt intresse). Du har även rätt att:

• Återkalla samtycke när som helst
• Vejra samtycke utan att nekas kärntjänsten (företag kan inte vägra tjänsten bara för att du avböjt valfri datainsamling)

3. Rätt till åtkomst (สิทธิในการเข้าถึง)

Du kan begära en kopia av alla personuppgifter som en organisation har om dig. De måste svara inom 30 dagar.

4. Rätt till dataportabilitet (สิทธิในการโอนย้ายข้อมูล)

Du kan begära din data i ett vanligt använt, maskinläsbart format och få det överfört till en annan tjänsteleverantör.

5. Rätt till rättelse (สิทธิในการแก้ไข)

Om din data är felaktig eller ofullständig har du rätt att begära rättelse.

6. Rätt till radering (สิทธิในการลบ)

Du kan begära att en organisation raderar dina personuppgifter när:

– Uppgifterna är inte längre nödvändiga för det syfte de samlades in – Du återkallar samtycke – Du invänder mot behandling och det finns inga övervägande legitima skäl – Uppgifterna har samlats in olagligt

7. Rätt att begränsa behandling (สิทธิในการระงับ)

Du kan begära att en organisation slutar använda din data medan en tvist löses.

8. Rätt att invända (สิทธิในการคัดค้าน)

Du kan invända mot databehandling för direktmarknadsföringsändamål när som helst, utan några villkor.

Sammanfattningstabell för PDPA-rättigheter

Rätt	När ska man använda	Deadline för svar
Tillgång (เข้าถึง)	Vill du veta vilken data de har	30 dagar
Radering (ลบข้อมูล)	Vill att din data raderas	30 dagar
Rättelse (แก้ไข)	Data är felaktig	30 dagar
Bärbarhet (โอนย้าย)	Byta till en annan tjänst	30 dagar
Objekt (คัดค้าน)	Sluta marknadsföra, profilering	Omedelbar för marknadsföring
Begränsa (ระงับ)	Pausa bearbetning under tvist	30 dagar
Återkalla samtycke (ถอนความยินยอม)	Ändra uppfattning om dataanvändning	Varierar

Hur du utövar dina PDPA-rättigheter

Steg 1: Hitta kontakten för dataskydd

De flesta organisationer måste ha en dataskyddsombud (DPO) eller en utsedd kontakt för dataförfrågningar. Leta efter:

• Sekretesspolicysida på deras hemsida
• "Dataskyddsombud" kontakta i deras användarvillkor
• Kundtjänstavdelningar (ange att din begäran är en PDPA-förfrågan)

Steg 2: Skicka in en skriftlig förfrågan

Skicka en formell begäran via e-post eller skriftligt brev. Inkludera:

• Ditt fullständiga namn och kontaktuppgifter
• Bevis på identitet (redigerad kopia av ID-kort)
• Specifik rätt du utövar
• Beskrivning av vilken data du vill ha åtkomst till, raderad eller korrigerad
• Hänvisning till PDPA avsnitt 30-36

Steg 3: Spåra svaret

Organisationer måste svara inom 30 dagar. Om de vägrar måste de skriftligen förklara varför.

Steg 4: Eskalera om det behövs

Om organisationen inte följer detta kan du lämna in ett klagomål till:

• Personuppgiftsskyddskommitténs (PDPC) kansli — pdpc.or.th
• Domstolar — Du kan begära ersättning för skador orsakade av PDPA-överträdelser

Skydda dina personuppgifter proaktivt

Minimera ditt dataavtryck

• Lämna bara uppgifter som verkligen är nödvändiga för tjänsten
• Använd separata e-postadresser för olika tjänster
• Avvisa valfri datainsamling när det är möjligt
• Granska appbehörigheter på din telefon regelbundet

Säkra det du delar

När du behöver dela med dig av känslig personlig information – nationella ID-nummer, bankuppgifter, journaler – skicka dem aldrig via LINE eller e-post. Använd LOCK.PUB för att skapa krypterade, lösenordsskyddade memon som upphör att gälla automatiskt. Mottagaren ser informationen med ett lösenord, och den självförstörs efter utgången. Ingen data finns kvar i chatthistorik eller e-postarkiv.

Regelbundna datarevisioner

• Granska integritetsinställningar på sociala medier kvartalsvis
• Kontrollera vilka appar som har åtkomst till ditt LINE-konto
• Granska anslutna appar på dina Google- och Apple-konton
• Radera konton på tjänster du inte längre använder

Vad företag måste följa

Enligt PDPA möter organisationer som bryter mot dataskyddsreglerna:

Överträdelse	Maxstraff
Administrativa böter	Upp till 5 miljoner THB
Brottsstraff	Upp till 1 års fängelse och/eller 1 miljon THB böter
Civilrättsligt ansvar	Faktiska skadestånd + straffskadestånd (upp till 2x faktiska)

Företag måste också:

• Utse ett dataskyddsombud (för storskalig behandling)
• Föra register över databehandlingsaktiviteter
• Genomföra lämpliga säkerhetsåtgärder
• Meddela PDPC om dataläckaes inom 72 timmar
• Inhämta samtycke före gränsöverskridande dataöverföringar (med undantag)

Vanliga PDPA-scenarier för vardagen

• En onlinebutik fortsätter att skicka marknadsföringsmeddelanden efter att du har avslutat prenumerationen — Lämna in ett PDPA-klagomål för kränkning av din rätt att invända
• En före detta arbetsgivare delar din löneinformation — Begär radering och lämna in ett klagomål
• Ett sjukhus delar dina journaler utan samtycke — Detta bryter mot PDPAs känsliga dataskydd
• Ett telekomföretag säljer din-data till annonsörer — Begär åtkomst för att se vem som tagit emot din-data och begär sedan radering

The Bottom Line

PDPA ger dig verklig makt över dina personuppgifter. Det är gratis att utöva dessa rättigheter och organisationer måste följa dem inom 30 dagar. Börja med att granska vilka tjänster som innehåller din data och begär radering från dem du inte längre använder.

För att dela känslig personlig information vid behov, besök LOCK.PUB för att skapa gratis krypterade anteckningar som självförstör — se till att din data inte kvarstår längre än nödvändigt.