Hướng dẫn quyền riêng tư PDPA Thái Lan: Quyền của bạn theo Luật Bảo vệ Dữ liệu Cá nhân
Hướng dẫn thực tế về PDPA Thái Lan (Luật Bảo vệ Dữ liệu Cá nhân) cho cá nhân. Tìm hiểu quyền dữ liệu, cách yêu cầu xóa và doanh nghiệp phải tuân thủ gì.
Hướng dẫn quyền riêng tư PDPA Thái Lan: Quyền của bạn theo Luật Bảo vệ Dữ liệu Cá nhân
Luật Bảo vệ Dữ liệu Cá nhân Thái Lan (PDPA / พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562) có hiệu lực đầy đủ từ tháng 6 năm 2022, trao cho cư dân Thái Lan quyền kiểm soát đáng kể đối với dữ liệu cá nhân. Dù đã là luật nhiều năm, nhiều người tại Thái Lan vẫn không biết mình có quyền gì hoặc cách thực hiện.
Hướng dẫn này giải thích PDPA có ý nghĩa gì với bạn với tư cách cá nhân và cách kiểm soát dữ liệu cá nhân.
PDPA bao gồm những gì
PDPA áp dụng cho mọi tổ chức — Thái hay nước ngoài — thu thập, sử dụng hoặc tiết lộ dữ liệu cá nhân của người ở Thái Lan. Bao gồm:
- Ngân hàng và tổ chức tài chính
- Nhà mạng viễn thông (AIS, TRUE, DTAC)
- Nền tảng thương mại điện tử (Shopee, Lazada)
- Công ty mạng xã hội
- Bệnh viện và nhà cung cấp y tế
- Cơ quan chính phủ
- Nhà tuyển dụng
- Bất kỳ website hoặc ứng dụng nào bạn dùng
Gì được coi là dữ liệu cá nhân
| Loại dữ liệu | Ví dụ |
|---|---|
| Nhận dạng (ข้อมูลระบุตัวตน) | Tên, số CMND, số hộ chiếu, dữ liệu ThaiD |
| Thông tin liên hệ | Số điện thoại, email, ID LINE, địa chỉ |
| Dữ liệu tài chính (ข้อมูลการเงิน) | Tài khoản ngân hàng, số thẻ tín dụng, ID PromptPay |
| Dữ liệu sinh trắc học | Vân tay, dữ liệu nhận diện khuôn mặt, dấu giọng nói |
| Dữ liệu sức khỏe (ข้อมูลสุขภาพ) | Hồ sơ y tế, đơn thuốc, chi tiết bảo hiểm y tế |
| Dữ liệu vị trí | Dữ liệu GPS, lịch sử check-in, hồ sơ di chuyển |
| Hoạt động online | Lịch sử duyệt web, lịch sử tìm kiếm, cookie |
| Dữ liệu việc làm | Lương, lịch sử công việc, hồ sơ hiệu suất |
Quyền của bạn theo PDPA
1. Quyền được thông báo (สิทธิในการรับทราบ)
Trước khi thu thập dữ liệu, tổ chức phải thông báo:
- Họ thu thập dữ liệu gì
- Tại sao cần
- Lưu trữ bao lâu
- Chia sẻ với ai
- Quyền của bạn về dữ liệu đó
Trên thực tế: Đây là mẫu đồng ý hoặc thông báo quyền riêng tư bạn thấy khi đăng ký dịch vụ. Hãy đọc — nó quan trọng.
2. Quyền đồng ý (สิทธิในการให้ความยินยอม)
Bạn phải đồng ý rõ ràng trước khi dữ liệu được thu thập, trừ trường hợp hạn chế (nghĩa vụ pháp luật, lợi ích thiết yếu, lợi ích công cộng hoặc lợi ích chính đáng). Bạn cũng có quyền:
- Rút đồng ý bất kỳ lúc nào
- Từ chối đồng ý mà không bị từ chối dịch vụ chính (công ty không thể từ chối phục vụ chỉ vì bạn từ chối thu thập dữ liệu tùy chọn)
3. Quyền truy cập (สิทธิในการเข้าถึง)
Bạn có thể yêu cầu bản sao tất cả dữ liệu cá nhân tổ chức nắm giữ. Họ phải phản hồi trong 30 ngày.
4. Quyền chuyển dữ liệu (สิทธิในการโอนย้ายข้อมูล)
Bạn có thể yêu cầu dữ liệu ở định dạng phổ biến, máy đọc được và chuyển sang nhà cung cấp dịch vụ khác.
5. Quyền sửa chữa (สิทธิในการแก้ไข)
Nếu dữ liệu không chính xác hoặc không đầy đủ, bạn có quyền yêu cầu sửa.
6. Quyền xóa (สิทธิในการลบ)
Bạn có thể yêu cầu tổ chức xóa dữ liệu cá nhân khi:
- Dữ liệu không còn cần thiết cho mục đích thu thập
- Bạn rút đồng ý
- Bạn phản đối xử lý và không có căn cứ chính đáng vượt trội
- Dữ liệu được thu thập bất hợp pháp
7. Quyền hạn chế xử lý (สิทธิในการระงับ)
Bạn có thể yêu cầu tổ chức ngừng sử dụng dữ liệu trong khi giải quyết tranh chấp.
8. Quyền phản đối (สิทธิในการคัดค้าน)
Bạn có thể phản đối xử lý dữ liệu cho mục đích marketing trực tiếp bất kỳ lúc nào, không điều kiện.
Bảng tóm tắt quyền PDPA
| Quyền | Khi nào sử dụng | Thời hạn phản hồi |
|---|---|---|
| Truy cập (เข้าถึง) | Muốn biết họ có dữ liệu gì | 30 ngày |
| Xóa (ลบข้อมูล) | Muốn dữ liệu bị xóa | 30 ngày |
| Sửa chữa (แก้ไข) | Dữ liệu không chính xác | 30 ngày |
| Chuyển (โอนย้าย) | Chuyển sang dịch vụ khác | 30 ngày |
| Phản đối (คัดค้าน) | Ngừng marketing, phân tích | Ngay lập tức cho marketing |
| Hạn chế (ระงับ) | Tạm dừng xử lý trong tranh chấp | 30 ngày |
| Rút đồng ý (ถอนความยินยอม) | Thay đổi ý về việc sử dụng dữ liệu | Tùy trường hợp |
Cách thực hiện quyền PDPA
Bước 1: Tìm liên hệ bảo vệ dữ liệu
Hầu hết tổ chức phải có Nhân viên Bảo vệ Dữ liệu (DPO) hoặc đầu mối liên hệ cho yêu cầu dữ liệu. Tìm:
- Trang chính sách quyền riêng tư trên website
- Liên hệ "Nhân viên Bảo vệ Dữ liệu" trong điều khoản dịch vụ
- Bộ phận chăm sóc khách hàng (nêu rõ yêu cầu PDPA)
Bước 2: Gửi yêu cầu bằng văn bản
Gửi yêu cầu chính thức qua email hoặc thư. Bao gồm:
- Họ tên đầy đủ và thông tin liên hệ
- Bằng chứng danh tính (bản sao CMND đã che thông tin nhạy cảm)
- Quyền cụ thể bạn đang thực hiện
- Mô tả dữ liệu muốn truy cập, xóa hoặc sửa
- Tham chiếu đến Điều 30-36 PDPA
Bước 3: Theo dõi phản hồi
Tổ chức phải phản hồi trong 30 ngày. Nếu từ chối, phải giải thích lý do bằng văn bản.
Bước 4: Khiếu nại nếu cần
Nếu tổ chức không tuân thủ, bạn có thể khiếu nại:
- Ủy ban Bảo vệ Dữ liệu Cá nhân (PDPC) — pdpc.or.th
- Tòa án — Bạn có thể đòi bồi thường thiệt hại do vi phạm PDPA
Chủ động bảo vệ dữ liệu cá nhân
Giảm thiểu dấu chân dữ liệu
- Chỉ cung cấp dữ liệu thực sự cần thiết cho dịch vụ
- Dùng email riêng cho các dịch vụ khác nhau
- Từ chối thu thập dữ liệu tùy chọn khi có thể
- Kiểm tra quyền ứng dụng trên điện thoại thường xuyên
Bảo mật thông tin chia sẻ
Khi cần chia sẻ thông tin cá nhân nhạy cảm — số CMND, thông tin ngân hàng, hồ sơ y tế — đừng bao giờ gửi qua Zalo hoặc email. Dùng LOCK.PUB để tạo memo mã hóa, bảo vệ bằng mật khẩu và tự hết hạn. Người nhận xem thông tin với mật khẩu, và nó tự hủy sau khi hết hạn. Dữ liệu không tồn tại trong lịch sử chat hay lưu trữ email.
Kiểm toán dữ liệu định kỳ
- Kiểm tra cài đặt quyền riêng tư trên mạng xã hội hàng quý
- Kiểm tra ứng dụng nào có quyền truy cập tài khoản LINE
- Kiểm tra ứng dụng kết nối trên tài khoản Google và Apple
- Xóa tài khoản dịch vụ không còn dùng
Doanh nghiệp phải tuân thủ gì
Theo PDPA, tổ chức vi phạm quy định bảo vệ dữ liệu đối mặt:
| Vi phạm | Hình phạt tối đa |
|---|---|
| Phạt hành chính | Lên đến 5 triệu THB |
| Hình phạt hình sự | Lên đến 1 năm tù và/hoặc phạt 1 triệu THB |
| Trách nhiệm dân sự | Thiệt hại thực tế + thiệt hại trừng phạt (lên đến 2 lần thực tế) |
Doanh nghiệp cũng phải:
- Bổ nhiệm Nhân viên Bảo vệ Dữ liệu (cho xử lý quy mô lớn)
- Lưu hồ sơ hoạt động xử lý dữ liệu
- Triển khai biện pháp bảo mật phù hợp
- Thông báo PDPC về rò rỉ dữ liệu trong 72 giờ
- Có đồng ý trước chuyển dữ liệu xuyên biên giới (với ngoại lệ)
Tình huống PDPA thường gặp trong đời sống
- Cửa hàng online tiếp tục gửi tin marketing sau khi bạn hủy đăng ký — Khiếu nại PDPA vì vi phạm quyền phản đối
- Cựu chủ lao động chia sẻ thông tin lương — Yêu cầu xóa và khiếu nại
- Bệnh viện chia sẻ hồ sơ y tế không có đồng ý — Vi phạm bảo vệ dữ liệu nhạy cảm PDPA
- Công ty viễn thông bán dữ liệu cho nhà quảng cáo — Yêu cầu truy cập xem ai nhận dữ liệu, sau đó đòi xóa
Kết luận
PDPA trao cho bạn quyền lực thực sự đối với dữ liệu cá nhân. Thực hiện quyền này miễn phí, và tổ chức phải tuân thủ trong 30 ngày. Bắt đầu bằng cách kiểm tra dịch vụ nào nắm giữ dữ liệu và yêu cầu xóa từ những dịch vụ không còn dùng.
Để chia sẻ thông tin cá nhân nhạy cảm khi cần thiết, hãy truy cập LOCK.PUB để tạo memo mã hóa miễn phí tự hủy — đảm bảo dữ liệu không tồn tại lâu hơn cần thiết.
Từ khóa
Bài viết liên quan
Browser Fingerprinting: Website theo dõi bạn không cần Cookie như thế nào
Google đã cho phép quảng cáo sử dụng browser fingerprinting. Tìm hiểu fingerprinting nhận dạng bạn với độ chính xác 99% và cách giảm dấu vân tay số.
An toàn khi mua bán trên Chợ Tốt/Facebook Marketplace: Bảo vệ thông tin cá nhân
Hướng dẫn mua bán an toàn trên Chợ Tốt và Facebook Marketplace. Phòng chống lừa đảo, bảo vệ thông tin cá nhân khi giao dịch trực tuyến.
Rủi ro quyền riêng tư trong nhóm Zalo: Cách bảo vệ thông tin cá nhân
Phân tích chi tiết các rủi ro quyền riêng tư khi tham gia nhóm Zalo. Hướng dẫn cài đặt bảo mật và giao tiếp an toàn.
Tạo liên kết được bảo vệ bằng mật khẩu ngay
Tạo liên kết bảo mật, ghi chú bí mật và trò chuyện mã hóa miễn phí.
Bắt Đầu Miễn Phí