泰国个人数据保护委员会(简称“PDPC”)在2023年12月25日公告的两项通知即将在2024年3月24日生效。此两项通知分别为《泰国个人数据保护法案》(简称“PDPA”)第28条和第29条的实施细则(以下简称《28条通知》和《29条通知》),旨在规制跨境个人数据传输,确保民众相关权利不受侵犯。
其中,《28条通知》将明确数据接收国的个人数据保护水平的评判标准。根据上述标准,如果数据接收国被评判为“充分保护国家”,则向该国传输个人数据无需额外采取其他防护措施。目前PDPC尚未公布 “充分保护国家” 的白名单。
如果不属于上述情况,则《29条通知》明确了跨境个人数据传输需要额外采取的其他措施,主要包括以下几种:
1. 获得数据所属个人的同意。
2.确立经PDPC批准的具约束性企业规则(Binding Corporate Rules, 简称”BCR”);PDPC将会审查BCR以下方面:
-
- BCR必须在同一关联业务或同一企业集团的每个有关成员身上具有法律约束力,并且适用于其内的每个相关成员,无论是法人还是自然人,包括数据处理者、数据传输方以及数据接收方,以及他们的雇员、员工或参与集团内个人数据传输或接收的人员;
- BCR必须包含有关跨境转移的数据所属个人的权利和投诉的条款;及
- BCR必须包含PDPA项下个人数据保护和安全措施的最低标准。
企业可以通过以下方式提交BCR供PDPC审批:
-
- 直接提交给PDPC;
- 通过挂号邮寄至PDPC;或
- 通过PDPC指定的任何其他电子方式或渠道。
目前,PDPC尚未开放接受BCR审批,稍后将公布BCR模板供企业参考。
3. 在尚未有经审批的BCR的情况下,企业应采取至少可以提供与BCR相同程度个人数据保护水平的其他措施,主要包括以下几种:
-
- 标准合同条款(The Standard Contractual Clauses,简称“SCC” ): 使用PDPC制定的个人数据跨境传输的标准合同条款,以约束合同各方的职责和义务,确保采取适当的措施保护个人数据。
- 认证: 根据PDPC确定的公认标准对适当保障措施的实施进行认证。这些必须包括通知中规定的个人资料保护内容。
- 法规或协议: 泰国国家机构与外国国家机构之间相互传输个人数据的具有法律约束力和可执行性的法规或协议。
违反PDPA的相关规定可能导致罚款甚至刑事处罚,我们建议相关企业及时评估,迅速采取措施,避免数据合规风险。
