跳到主要內容

發表文章

目前顯示的是 2月, 2020的文章

泰國個人資料保護法(PDPA)上路,外資企業的必修課?(上)

泰國個人資料保護法(Personal Data Protection Act B.E.2562, 簡稱PDPA或泰國個資法)將在2020年5月27日正式生效,然而大多數的外資企業對它卻還相當陌生,或認為它跟日常營運沒多少關連。其實,泰國個資法是參考俗稱歐盟個資法的"一般資料保護規則 (General Data Protection Regulation, GDPR)”制定,因此立法精神與內容皆深受GDRP影響。若我們回想2018年GDPR上路時所受到的關注、討論與緊張氣氛,或許就能感覺到它可能帶來的廣泛影響。 先看看以下幾個問題,您的公司會如何回答呢? 公司在泰國有據點嗎?或是營運過程中有接觸到泰國人的個資嗎? 公司有哪幾種個資來源(如員工、客戶)? 公司為什麼蒐集個資?有必要性嗎?收集前有取得同意嗎? 個資的實際使用範圍有超出當初蒐集目的嗎? 公司有將手中的個資提供給外部機構嗎(如薪資外包、委外客服)? 公司有部門間或關係企業間共同行銷或數據分析嗎?過程中有用到個資嗎? 公司有針對收集、保存、處理個資訂定規章政策嗎?有如實進行操作嗎? 如果員工或客戶要求刪除個資時,公司有因應之道嗎? 萬一發生個資洩漏事件或資料失竊、包括被駭客,公司有因應之道嗎? 若您對答案沒有把握,建議您要關注個資法議題了。根據近期的一份調查,自GDPR上路以來,已累計超過1.14億歐元的罰款,其中受罰的企業包括網路龍頭Google。此外,被控告但尚未判決確定的企業還有英國航空(British Airways)以及知名電子菸品牌JuuL。JuuL被控訴在網路上未經使用者同意就蒐集其敏感性個資;英國航空則因為網站被駭導致客戶資料外洩並可能流向詐騙網站,而遭調查其處理客戶資料的系統,包括會員登入系統、線上付款等,是否有健全的個資保護措施,英國航空可能因此遭罰1.83億英鎊(約71億新台幣)的罰款。由此可知,不論是故意、過失、甚至受害(遭駭客入侵或失竊)的狀況下,企業都有可能因個資法面臨損失。 個資法讓不少全球企業繃緊神經,甚至連知名大企業也不幸紛紛栽跟的原因之一,在於個資法與企業經營時應遵守的大多數法令有一個很大的差異,就是它不是一個以監管機關視角出發的法律,而是由像你我一樣,因種種行為(如消費、求職)或身分(如員工、會員)而提供個資的每一個自然人掌握...