泰國個人資料保護委員會 (PDPC) 於 2023 年 7 月 13 日發布一份關於任命資料保護長 (DPO) 要求的通知草案。根據佛曆2562年(西元2019年)《個人資料保護法》第41條,資料控制者或資料處理者在以下情況必須指定 DPO:
- 資料控制者或資料處理者是PDPC規定的國家機構(國家機構名單於2023年7月18日公佈在政府公報);
- 資料控制者或資料處理者與個人資料處理相關的活動需要“定期監控個人資料或系統”,因為PDPC規定“擁有大量個人資料”;或
- 資料控制者或資料處理者的核心活動與特殊類別的個人資料(例如健康相關數據、生物識別資料等)的處理有關。
根據通知草案,與處理個人資料相關的活動需要定期監控個人資料或系統,當(1) 資料控制者或資料處理者活動的核心部分包括跟踪、監控、分析或預測個人的行為、態度或概況; (2) 這些活動通常涉及通常或定期以系統方式處理個人資料。
以下是需要定期監控個人資料或系統的處理活動的範例:
- 與會員卡、公共交通卡、電子卡或任何其他類似卡相關的處理活動,其中發卡機構或任何其他人可以審查卡的使用資料;
- 定期或例行的處理活動,涉及驗證客戶或服務接受者的狀態、歷史或特徵,以在簽訂合約或提供相同性質的服務之前評估各種相關風險,例如信用評分、保險費評估和欺詐預防,但不包括根據泰國有關信用資訊業務的法律使用信用局公司及其成員的資料進行的操作;
- 出於行為廣告目的處理個人資料;
- 電腦網絡系統服務提供商或電信運營商處理客戶或服務使用者的個人資料;
- 出於監視和安全目的處理個人資料。
為了確定資料控制者或資料處理者的核心活動是否構成大規模個人資料處理,必須考慮以下條件:
- 處理個人資料的數據主體的數量或比例,與潛在數據主體的總數相比;
- 處理的個人資料的數量、類型或性質;
- 為了執行資料控制者或資料處理者的核心活動而處理個人資料的持續時間或持久性;
- 與處理活動有關的領土範圍或地理區域。
大規模個人資料的處理包括:
- 通過搜索引擎或與擁有廣泛用戶的社交媒體相關的行為廣告目的的活動;
- 人壽保險公司、非人壽保險公司或金融機構根據各自的法律處理客戶或服務接受者的個人資料,但不包括信用局公司及其成員根據有關信用的法律處理數據資料業務運營;
- 持有佛曆2544年(西元2001年)《電信商業法》第3類許可證的被許可人處理客戶或服務接受者的個人資料。
本文同步發表於https://0rz.tw/nz4xJ 。
