泰國個人資料保護委員會(“PDPC”)於2023年9月14日在政府公報發布關於任命資料保護長(“DPO”)要求的通知,該通知將於2023年12月13日生效。
7月舉行《DPO任命通知草案》的聽證會後,[1] 公告的版本略有修改,但任命DPO的主要標準仍然相同。以下為主要規定:
- 在確定個人資料處理是否因擁有大量個人資料而需要定期監控時,僅考慮資料控制者或資料處理者的「核心活動」。 「核心活動」一詞為與資料控制者或資料處理者的主要營運直接相關的基本且完整的活動,不包括人力資源和資訊科技活動等任何補充業務活動。
- 根據2023年9月14日第5號政府公報任命資料保護長的要求,需要定期監控個人資料的處理活動是指與追蹤、監控、分析或預測個人的行為、態度或概況有關的活動,一般涉及通常或定期對個人資料進行系統處理。這包括會員卡計劃、信用評分、保險費評估、詐欺預防、電腦網路系統服務供應商或電信業者對個人資料的處理、行為廣告。
- 根據2023年9月14日第6號政府公報任命資料保護長的要求,判斷處理活動是否構成“大規模處理個人資料”,需要考慮許多因素:
- 處理個人資料的資料主體數量或比例,與潛在資料主體總數相比
- 處理的個人資料的數量、類型或特性
- 個人資料處理的持續時間或持久性
- 個人資料處理的範圍或領域
這個版本的通知規定,處理至少10萬名資料主體的個人資料被視為「大規模個人資料處理」。
若核心活動中的個人資料處理符合上述(2)和(3),資料控制者或資料處理者必須指定DPO處理個人資料保護相關事宜。如果任命DPO的資料控制者或資料處理者向PDPC保證 DPO的角色或職責與PDPA規定的DPO職責不衝突, DPO 還可以履行其他角色或職責。
[1] Please refer to the article “Draft Notification on Data Protection Officer Appointment is Released in Thailand” at https://0rz.tw/nz4xJ.
本文同步發表於 https://0rz.tw/P6vZX。
