개인 데이터 보호법

개인 데이터 보호법(PDPA)

본 법은 데이터 처리자 또는 데이터 컨트롤러가 태국에서 개인 데이터를 수집, 사용 또는 공개할 때 적용되며, 그러한 공개, 사용 또는 수집이 태국에서 이루어지지 않는 경우에도 적용됩니다. 데이터 처리자 또는 데이터 컨트롤러가 태국 국외에 있는 경우에도 이 법은 태국 내 데이터 주체에게 적용됩니다.

"개인정보"란 직접 또는 간접적으로 특정 개인을 식별할 수 있는 특정 개인과 관련된 모든 정보를 의미하며, 사망한 사람의 정보는 포함되지 않습니다;

"데이터 관리자"란 개인 데이터의 수집, 사용 또는 공개에 관한 결정을 내릴 권한과 의무를 가진 일반인 또는 법적인 사람을 의미합니다;

"데이터 처리자"란 데이터 컨트롤러가 부여한 명령에 따라 또는 데이터 컨트롤러를 대신하여 개인 데이터의 수집, 사용 또는 공개와 관련하여 활동하는 자연인 또는 법인을 의미하며, 이러한 자연인 또는 법인은 데이터 컨트롤러가 아닙니다.

Bacground: 태국의 개인 데이터 보호

개인정보보호법은 2019년에 처음 공표되었으며, 1년 동안 기업 및 기타 단체가 미준수 처벌, 데이터 컨트롤러의 의무 및 데이터 주체의 권리 측면에서 법을 준수할 수 있는 기간이 있었습니다.

데이터 보호위원회는 주요 감독 기관이며, 디지털 경제 사회부는 PDPA의 감독 기관입니다.

태국의 개인 데이터 보호 개요

PDPA 규정 준수 적용
‍
일반적으로 PDPA는 태국에서 또는 태국 시민과 관련된 모든 데이터의 공개, 사용, 수집에 적용됩니다. 데이터 처리자 및 데이터 컨트롤러가 태국 외부에서 사업을 운영하는 경우에도 PDPA를 준수해야 하는 경우가 있습니다:

• 태국에서 데이터 주체를 모니터링하는 경우.
• 데이터 주체가 태국의 상품 및 서비스에 액세스할 수 있는 경우

개인 데이터의 수집, 사용 및 공개에 대한 법적 근거
이 관행에 대한 합법적인 권한은 6가지뿐입니다. 그 외의 경우에는 데이터 주체의 동의가 필요합니다.

법적으로 허용되는 관행은 다음과 같습니다:

• 데이터 컨트롤러가 데이터 수집을 요구하는 규정 준수 법률의 적용을 받는 모든 인스턴스.
• 데이터 주체의 기본권이 개인정보처리자 또는 개인정보 수집으로 이익을 얻을 수 있는 다른 사람의 정당한 이익보다 우선하지 않는 경우.
• 데이터 관리자가 공익에 부합하고 개인 데이터 수집과 관련된 작업을 수행해야 하는 경우.
• 데이터 주체가 이를 요구하는 계약의 당사자이거나 데이터 주체가 조치를 취해야 하는 계약을 체결하려는 경우
• 개인의 건강, 복지 또는 생명에 대한 위험을 예방하기 위한 목적.
• 공익을 목적으로 또는 통계 또는 연구와 관련하여 역사적 문서를 준비하는 측면에서 피험자의 권리를 보호하기 위해 만족스러운 조치를 취하고 규정을 준수하기 위해 모든 규정된 주의를 기울인다고 가정하는 경우.

동의 문제

동의가 유효한 것으로 간주되기 위해 충족해야 하는 기준이 있습니다.

• 속임수 또는 잘못된 정보는 동의 요청에서 허용되지 않습니다.
• 동의 요청에는 평이하고 명확한 언어를 사용해야 합니다.
• 양식이 들어 있는 요청은 쉽게 읽고 액세스할 수 있어야 합니다.
• 정보주체에게 다른 정보를 제공받을 때는 동의요청을 다른 모든 정보와 쉽게 구분할 수 있어야 합니다.
• 데이터 주체는 데이터가 사용되는 용도와 공개 방법을 알아야 합니다.
• 동의는 서면 또는 전자적 통신 수단을 통해 이루어져야 합니다.

개인정보 처리방침

개인정보 처리방침은 데이터 수집 시점까지 대상자에게 제공되어야 합니다. 통지에는 다음 정보가 포함되어야 합니다:

• 데이터 주체의 권리에는 다음이 포함됩니다:
  • 개인 데이터 사본에 액세스할 수 있는 권리
  • 다른 데이터 컨트롤러로 데이터 전송을 요청할 권리
  • 동의 철회 권리
  • 불만 사항을 제기할 권리
  • 개인 정보 보호의 정확한 유지 관리를 위한 권리
  • 데이터 사용 중단을 요청할 권리
  • 데이터 삭제 요청 권리
  • 개인 데이터의 공개, 사용 및 수집에 대해 이의를 제기할 권리
• 데이터 보호 책임자, 관리자 및 특정 상황에서는 관리자의 대리인의 연락처 세부 정보
• 데이터가 공개될 수 있는 조직 또는 개인의 신원 정보
• 이러한 데이터의 보관 기간 또는 최소한 데이터 보존 표준에 따른 예상 데이터 보존 기간
• 데이터 주체가 자신의 개인 데이터를 제공해야 하는지 여부에 대한 정보
• 개인 데이터의 공개, 사용 또는 수집에 사용된 법적 근거
• 수집할 데이터:
  • 민감한 데이터
  • 건강 관련 데이터
  • 기타 데이터

위반 알림

데이터 관리자가 개인 데이터 보호에 영향을 미치는 데이터 침해를 인지하면 72시간 이내에 이를 사무국에 통지해야 합니다. 데이터 침해가 정보주체의 자유와 권리에 중대한 영향을 미치거나 높은 위험을 수반하는 경우에는 정보주체에게도 가능한 한 빨리 통지해야 합니다.

데이터 보호 보안 의무

데이터 컨트롤러는 데이터를 안전하게 유지할 의무가 있습니다.

• 보존 기간이 끝나면 데이터 처리가 완료되면 레코드를 파기할 수 있는 적절한 시스템이 있어야 합니다.
• 데이터 프로세서가 승인되지 않았거나 불법적인 방식으로 데이터를 공개하거나 사용하는 것을 방지하는 방법.
• 데이터 개인 정보를 보호하고 데이터 저장 중 불법적인 수정, 공개, 변경, 사용, 액세스 또는 손실을 방지하기 위해 모든 합리적인 조치를 취합니다.

국경 간 전송

"적절한 데이터 보호 표준"이 아직 공식적으로 확립되지는 않았지만 개인 데이터가 전 세계 다른 곳으로 전송될 때 해당 국가에는 데이터 보호를 관리하는 적절한 보호 표준이 있어야 한다는 기대가 있습니다. 유일한 예외는 면제가 충족되는 경우입니다.

데이터 보호 실패와 관련된 처벌

예를 들어, 개인정보 보호법 위반의 정도에 따라 행정 벌금, 형사 벌금, 형사 책임 또는 민사 책임이 부과될 수 있습니다.

예를 들어, 법적으로 동의가 필요하지만 데이터 컨트롤러가 동의 없이 정보 주체의 데이터를 수집한 경우 최대 300만 바트의 벌금을 부과받게 됩니다.

데이터 보호법(PDPA)에 대한 준비

경과 규정

2020년 5월 27일 이전에 수집된 데이터는 데이터 관리자가 다음 단계를 수행하면 계속 사용할 수 있습니다:

• 데이터 주체가 자신의 개인 데이터 사용에 반대할 수 있는 기회를 제공해야 합니다. 이를 수행하는 가장 일반적인 방법은 동의 철회 방법을 게시하는 것입니다.
• 데이터 주체가 이의를 제기하지 않는 한, 개인 데이터는 원래 수집된 목적으로만 사용해야 합니다.

데이터 보호 규정 준수 준비:

• 먼저 PDPA가 수행하려는 활동에 적용되는지 여부를 확인해야 합니다.
• 자신의 활동에 PDPA가 적용된다는 사실을 알게 되면 다음 단계를 수행해야 합니다:
  • 데이터 흐름의 맵을 만듭니다.
  • 기존 개인 데이터를 인수하는 경우 주체가 이의를 제기할 기회가 있는지 확인한 다음 이의를 제기하지 않은 개인 데이터만 사용해야 합니다. 또한 이러한 개인 데이터는 원래 목적에 따라서만 사용되는지 확인하십시오.
  • 데이터 처리가 국가 데이터 보호 표준을 충족하고 최신 데이터 동의 프로토콜이 마련되어 있는지 확인합니다.
  • 귀하의 비즈니스에 필요할 수 있는 그러한 개인 데이터의 공개, 사용 및 수집에 대한 법적 근거가 있는지 확인하십시오. 개인 정보 보호 고지가 있어야 하며 비즈니스 파트너를 포함하여 개인 데이터를 수집하려는 모든 당사자의 명시적 동의 요청이 있어야 합니다.
  • 데이터 컨트롤러에게 기대되는 다른 의무의 준수를 보장합니다.

중소기업에서 데이터 보호는 어떻게 관리하나요?

부당한 착취와 같은 사안은 은폐하기 어렵기 때문에 소규모 기업에서는 규정 준수를 보장하기가 더 쉬울 수 있습니다. 다른 주요 측면을 더 쉽게 추적할 수 있고 대상과 더 직접적으로 소통할 수 있습니다. 데이터 소유자는 필요한 경우 데이터 이동에 실시간 시간과 노력을 투자할 수 있으며, 필요한 경우 동의를 받고 데이터 컨트롤러가 통합 법률을 철저히 준수하는지 확인할 수 있습니다. 또한 디지털 시대에는 데이터 수집 전에 데이터 주체와 소통하고 투명성을 확보하는 것이 더 쉬우며, 데이터 풀이 작을수록 처리 활동에 시간이 덜 소요됩니다.

데이터 전송의 경우 데이터 관리자가 해당 정보에 대한 알림을 보내도록 해야 한다는 점을 기억하세요. 태국 정부는 기밀 유지 위반과 지적 재산권 기준 미준수에 대해 징벌적 손해배상과 형사처벌을 모두 적용할 것입니다. 디지털 시대는 전 세계적으로 데이터와 그러한 이해관계가 관리되는 방식에 큰 영향을 미쳤으며, 데이터 보호에 관한 새로운 법률이 제정된 국가는 태국뿐이 아닙니다.

특히 매우 민감하거나(예: 공중 보건) 대규모 데이터 유출의 경우 거액의 벌금 또는 최대 1년의 징역형에 처해질 수 있습니다. 이 법은 왕실 법령이며 태국이 국제 표준을 충족할 수 있도록 준비하기 위한 것임을 기억하세요.

요약

개인 정보 침해 또는 유출의 피해자가 된 경우 주저하지 말고 저희에게 연락하십시오. 법무법인 저스로앤컨설트는 언제나 귀하의 이익을 보호하기 위해 최선을 다할 것입니다.