泰國個人資料保護法(Personal Data Protection Act B.E.2562, 簡稱PDPA或泰國個資法)將在2020年5月27日正式生效,然而大多數的外資企業對它卻還相當陌生,或認為它跟日常營運沒多少關連。其實,泰國個資法是參考俗稱歐盟個資法的"一般資料保護規則 (General Data Protection Regulation, GDPR)”制定,因此立法精神與內容皆深受GDRP影響。若我們回想2018年GDPR上路時所受到的關注、討論與緊張氣氛,或許就能感覺到它可能帶來的廣泛影響。
先看看以下幾個問題,您的公司會如何回答呢?
先看看以下幾個問題,您的公司會如何回答呢?
- 公司在泰國有據點嗎?或是營運過程中有接觸到泰國人的個資嗎?
- 公司有哪幾種個資來源(如員工、客戶)?
- 公司為什麼蒐集個資?有必要性嗎?收集前有取得同意嗎?
- 個資的實際使用範圍有超出當初蒐集目的嗎?
- 公司有將手中的個資提供給外部機構嗎(如薪資外包、委外客服)?
- 公司有部門間或關係企業間共同行銷或數據分析嗎?過程中有用到個資嗎?
- 公司有針對收集、保存、處理個資訂定規章政策嗎?有如實進行操作嗎?
- 如果員工或客戶要求刪除個資時,公司有因應之道嗎?
- 萬一發生個資洩漏事件或資料失竊、包括被駭客,公司有因應之道嗎?
個資法讓不少全球企業繃緊神經,甚至連知名大企業也不幸紛紛栽跟的原因之一,在於個資法與企業經營時應遵守的大多數法令有一個很大的差異,就是它不是一個以監管機關視角出發的法律,而是由像你我一樣,因種種行為(如消費、求職)或身分(如員工、會員)而提供個資的每一個自然人掌握主動權的法律,可想而知企業要面對的"潛在曝險點"非常難以掌控。一旦發生狀況,通常不僅要面臨集體訴訟,政府公權力也會介入調查處分,造成民事賠償、刑事責任與行政處分接踵而來,對企業的財務、名譽甚至日常營運都是非常大的負擔。
了解個資法上路可能帶來的潛在風險後,外資企業該如何採取行動呢?我們將在下一篇系列文章中跟各位分享我們的觀點。
留言
張貼留言