Посібник з PDPA Таїланду: ваші права згідно із Законом про захист персональних даних

Закон про захист персональних даних Таїланду (PDPA / พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล2) у червні 2022 року, надавши жителям Таїланду суттєвий контроль за їхніми персональними даними. Незважаючи на те, що закон діє вже кілька років, багато людей у ​​Таїланді досі не знають про свої права чи про те, як ними скористатися.

Цей посібник пояснює, що PDPA означає для вас як приватну особу і як взяти контроль над своїми персональними даними.

Що охоплює PDPA

PDPA поширюється на будь-яку організацію – тайську чи зарубіжну – яка збирає, використовує чи розкриває персональні дані людей у Таїланді. Це включає:

• Банки та фінансові установи
• операторів зв'язку (AIS, TRUE, DTAC)
• Платформи електронної комерції (Shopee, Lazada)
• компанії соціальних мереж
• Лікарні та медичні установи
• Державні органи
• роботодавців
• Будь-який сайт або додаток, якими ви користуєтесь

Що вважається персональними даними

| Тип даних приклади | |---|---| | Ідентифікація Ім'я, номер посвідчення особи, номер паспорта, дані ThaiD | | Контактна інформація Номер телефону, email, ID у LINE, адреса | | Фінансові дані Банківські рахунки, номери кредитних карток, ID PromptPay | | Біометричні дані Відбитки пальців, дані розпізнавання особи, голосові відбитки | | Медичні дані Медичні записи, рецепти, дані страхування | Дані про місцезнаходження | GPS-дані, історія відвідувань, записи про подорожі | | Онлайн-активність | Історія переглядів, історія пошуку, cookies | | Дані роботи | Зарплата, трудова історія, оцінка ефективності |

Ваші права щодо PDPA

1. Право бути поінформованим

Перед збором ваших даних організації зобов'язані повідомити вас:

• Які дані збираються
• Навіщо вони потрібні
• Як довго зберігатимуться
• З ким буде передано
• Ваші права щодо цих даних

На практиці: Це форма згоди або повідомлення про конфіденційність, яку ви бачите під час реєстрації в сервісах. Читайте це важливо.

2. Право на згоду

Ви повинні дати чітку згоду перед збиранням даних, за винятком обмежених випадків (юридичне зобов'язання, життєво важливий інтерес, суспільний інтерес чи законний інтерес). Ви також маєте право:

• Відкликати згоду у будь-який час
• Відмовити у згоді без відмови у наданні основної послуги (компанії не можуть відмовити в обслуговуванні через відмову від необов'язкового збору даних)

3. Право доступу

Ви можете запросити копію всіх персональних даних, які має організація. Відповідь має бути надана протягом 30 днів.

4. Право на переносимість даних

Ви можете запросити дані в загальноприйнятому форматі машиночитання і вимагати їх передачі іншому постачальнику послуг.

5. Право на виправлення

Якщо ваші дані неточні або неповні, ви можете запросити виправлення.

6. Право на видалення

Ви можете зажадати від організації видалити ваші персональні дані, коли:

• Дані більше не потрібні для мети збору
• Ви відкликаєте згоду
• Ви заперечуєте проти обробки, і немає пріоритетних законних підстав
• Дані були зібрані незаконно

7. Право на обмеження обробки

Ви можете вимагати від організації припинити використання даних на час вирішення спору.

8. Право на заперечення

Ви можете заперечити проти обробки даних для прямого маркетингу в будь-який час без будь-яких умов.

Зведена таблиця прав PDPA

Право	Коли використовувати	Строк відповіді
Доступ	Бажаєте дізнатися, які дані зберігаються	30 днів
Вилучення	Бажаєте видалити свої дані	30 днів
Виправлення	Дані неправильні	30 днів
Перенесення	Перехід в інший сервіс	30 днів
Заперечення	Зупинити маркетинг, профіль	Негайно для маркетингу
Обмеження	Зупинити обробку під час суперечки	30 днів
Відкликання згоди	Передумали щодо використання даних варіюється

Як реалізувати свої права по PDPA

Крок 1: Знайдіть контакт із захисту даних

Більшість організацій повинні мати відповідального захисту даних (DPO) або призначений контакт для запитів. Шукайте:

• сторінку політики конфіденційності на сайті
• Контакт DPO в умовах обслуговування
• Відділ обслуговування клієнтів (вкажіть, що ваш запит – за PDPA)

Крок 2: Надішліть письмовий запит

Надішліть формальний запит по email або листом. Вкажіть:

• Ваше повне ім'я та контактну інформацію
• підтвердження особи (копія посвідчення із замазаними даними)
• Конкретне право, яке ви реалізуєте
• Опис даних, до яких хочете отримати доступ, видалити чи виправити
• Посилання на статті 30-36 PDPA

Крок 3: Відстежуйте відповідь

Організації мають відповісти протягом 30 днів. При відмові вони мають пояснити причину письмово.

Крок 4: Ескалація за необхідності

Якщо організація не виконує вимог, ви можете подати скаргу до:

• Комітет захисту персональних даних (PDPC) — pdpc.or.th
• Суд — Ви можете вимагати компенсацію за шкоду від порушень PDPA

Проактивний захист персональних даних

Мінімізація цифрового сліду

• Надайте тільки дані, які дійсно необхідні для сервісу
• Використовуйте окремі email-адреси для різних сервісів
• Відмовляйтеся від необов'язкового збору даних, де можливо
• Регулярно перевіряйте дозволи програм на телефоні

Безпека при передачі даних

Коли потрібно поділитися конфіденційною інформацією – номером посвідчення, банківськими реквізитами, медичними записами – не надсилайте через Telegram чи email. Використовуйте LOCK.PUB, щоб створити зашифровані, захищені паролем нотатки з автоматичним терміном дії. Отримувач вводить пароль, переглядає інформацію, і вона самознищується після закінчення терміну. Жодних даних в історії чатів або поштових архівах.

Регулярний аудит даних

• Щоквартально перевіряйте налаштування конфіденційності у соцмережах
• Перевіряйте, які програми мають доступ до вашого облікового запису LINE
• Переглядайте підключені програми в облікових записах Google і Apple
• Видаляйте облікові записи в сервісах, якими більше не користуєтеся

Відповідальність компаній

За PDPA організації, що порушують правила захисту даних, піддаються:

| Порушення Максимальне покарання |---|---| | Адміністративний штраф | До 5 млн. THB | | Кримінальне покарання До 1 року позбавлення волі та/або штраф 1 мільйон THB | | Громадянська відповідальність Реальні збитки + штрафні санкції (до 2x реальних збитків) |

Підприємства також зобов'язані:

• Призначити відповідального захисту даних (для масштабної обробки)
• вести облік дій з обробки даних
• Впровадити належні заходи безпеки
• Повідомляти PDPC про витікання даних протягом 72 годин
• отримувати згоду на транскордонну передачу даних (з винятками)

Типові сценарії PDPA у повсякденному житті

• Інтернет-магазин продовжує розсилати рекламу після відписки — Подайте скаргу щодо PDPA за порушення права на заперечення
• Колишній роботодавець розголошує інформацію про зарплату — Вимагайте видалення та подайте скаргу
• Лікарня передає медичні записи без згоди — Це порушує захист чутливих даних щодо PDPA
• Оператор зв'язку продає дані рекламодавцям — Запросіть доступ, щоб дізнатися, кому передані дані, а потім вимагайте видалення

Підсумок

PDPA дає вам реальну владу персональних даних. Реалізація цих прав є безкоштовною, і організації зобов'язані виконати вимоги протягом 30 днів. Почніть із перевірки, які сервіси зберігають ваші дані, та запитайте видалення у тих, якими більше не користуєтеся.

Для передачі конфіденційної персональної інформації, коли це необхідно, зайдіть на LOCK.PUB, щоб створити безкоштовні зашифровані нотатки із самознищенням - ваші дані не зберігатимуться довше, ніж потрібно.