BANGKOK. Nach zwei Jahren verzögerter Durchsetzung soll das Gesetz zum Schutz personenbezogener Daten (PDPA) am 1. Juni in Kraft treten, wobei die Behörden hoffen, dass das Gesetz einen klaren Standard für den Schutz personenbezogener Daten setzt und das internationale Vertrauen in die lokalen Unternehmen stärkt.
Dennoch wächst die Besorgnis über die Fähigkeit des Unternehmenssektors, die Vorschriften einzuhalten, da er immer noch mit den Auswirkungen der Pandemie zu kämpfen hat.
Das PDPA wurde im Mai 2019 in der Royal Gazette veröffentlicht, mit einer einjährigen Nachfrist für die Anpassung der Interessengruppen.
Die vollständige Durchsetzung der Gesetzgebung wurde dann aufgrund der Pandemie zweimal verschoben.
Die Regierung treibt nun die Durchsetzung des PDPA am 1. Juni voran, trotz den Forderungen des Unternehmenssektors nach einem weiteren Aufschub seiner Durchsetzung, unter Berufung auf die mangelnde Vorbereitung, insbesondere bei den kleinen Unternehmen.
Nach seiner Implementierung wird erwartet, dass das PDPA die Landschaft des Schutzes personenbezogener Daten in Thailand verändern wird. Die Gesetzgebung schreibt vor, dass Datenverantwortliche und -verarbeiter, die personenbezogene Daten verwenden, die Zustimmung der Dateneigentümer einholen und diese nur für ausdrückliche Zwecke verwenden müssen.
Betroffene Personen haben das Recht, Zugang zu ihren personenbezogenen Daten zu verlangen und die Löschung ihrer personenbezogenen Daten zu verlangen. Sie haben auch das Recht, der Erhebung, Nutzung oder Weitergabe ihrer personenbezogenen Daten zu widersprechen.
Datenverantwortliche sind verpflichtet, angemessene Sicherheitsmaßnahmen zu ergreifen und Datenschutzverletzungen innerhalb von 72 Stunden dem Personal Data Protection Committee (PDPC) zu melden. Sie sind verpflichtet, zu verhindern, dass andere Personen, die personenbezogene Daten erhalten, diese rechtswidrig oder unbefugt verwenden oder weitergeben.
Die Datenverarbeiter haben die Pflicht, personenbezogene Daten gemäß den Anweisungen des Datenverantwortlichen zu erheben, zu verwenden und offenzulegen und angemessene Sicherheitsmaßnahmen zu gewährleisten.
Inzwischen müssen für staatliche Stellen und Unternehmen mit umfangreicher Datenverarbeitung Datenschutzbeauftragte (DSB) bestellt werden.
Ein Datenschutzbeauftragter ist dafür verantwortlich, der Organisation dabei zu helfen, sicherzustellen, dass die personenbezogenen Daten der betroffenen Personen in Übereinstimmung mit den PDPA-Anforderungen verarbeitet werden, und er ist eine Kontaktstelle für PDPA-Angelegenheiten mit den Behörden und den betroffenen Personen.
Die PDPA verhängt Strafen für die Nichteinhaltung von Verwaltungsstrafen von bis zu 5 Millionen Baht, strafrechtliche Sanktionen mit Freiheitsstrafen von bis zu einem Jahr und / oder Geldstrafen von bis zu 1 Million Baht und Strafschadensersatz bis zur doppelten Höhe des tatsächlichen Schadens.
Internationale Akzeptanz
Der Minister für digitale Wirtschaft und Gesellschaft (DES), Chaiwut Thanakamanusorn, sagte, das PDPA sei eine zentrale Grundlage, die Vertrauen in den Schutz personenbezogener Daten in der digitalen Wirtschaft des Landes schaffen werde.
Es ist eines von 12 digitalbezogenen Gesetzen unter dieser Verwaltung zur Unterstützung der digitalen Wirtschaft.
„Da das Gesetz am 1. Juni durchgesetzt werden soll, werden die Rechte der Menschen auf den Besitz und die Nutzung von Daten durch das Gesetz geschützt. Unternehmen oder Organisationen, die personenbezogene Daten von Menschen aufbewahren, sind verpflichtet, die Anforderungen des Gesetzes einzuhalten“, sagte Herr Chaiwut.
Da die Regierung auch über einen riesigen Fundus an Personendaten verfügt, baut sie die Regierungsplattform für die PDPA-Compliance als zentralisierten Mechanismus auf, um die PDPA-Compliance zwischen den staatlichen Behörden zu ermöglichen.
Thienchai Na Nakorn, der Vorsitzende des PDPC, betonte, dass das Gesetz nicht dazu gedacht sei, die Verwendung personenbezogener Daten zu behindern, sondern einen Standard für den Schutz personenbezogener Daten festlege, damit die Organisationen diese nicht missbrauchen.
Die Organisationen müssen auch die Sicherheitsmaßnahmen zum Schutz personenbezogener Daten sicherstellen, sagte er weiter.
„Die PDPA wird auch den Datenschutzstandard in Thailand auf Augenhöhe mit anderen Ländern anheben“, sagte er. „Es wird auch die thailändischen Unternehmen dabei unterstützen, internationale Akzeptanz in Bezug auf Standards zum Schutz personenbezogener Daten zu erlangen.“
Paiboon Amornpinyokiat, ein Mitglied des Rechtsunterausschusses des PDPC, sagte, dass sich die Behörden im ersten Jahr der Umsetzung des PDPA nur darauf konzentrieren werden, Verstöße zu verwarnen und sie zur Einhaltung der Richtlinien zu drängen.
Die Kernaufgabe im ersten Jahr bestehe darin, die Rechte der Menschen auf Datenschutz zu schützen und gleichzeitig die Bemühungen zur Förderung des Rechtsverständnisses bei verbundenen Parteien zu verstärken, sagte er.
„Die Regierung möchte, dass das Gesetz die digitale Wirtschaft unterstützt, sie beabsichtigt nicht, Geld aus Geldstrafen für den Staat zu fordern“, sagte Herr Paiboon.
Er sagte, es werde eine untergeordnete Verordnung erlassen, um den kleinen und mittleren Unternehmen (KMU) die Verpflichtung zu ersparen, die Praktiken des PDPA in Bezug auf die Aufzeichnung von Verarbeitungstätigkeiten einzuhalten.
Sorge um KMU
Atip Asvanund, der Direktor des Digital Council of Thailand, sagte, das PDPA sei kein Problem für große Organisationen, die Fachleute einstellen könnten, um ihnen bei der Einhaltung zu helfen.
Aber es wird KMU, Freiberufler und Online-Verkäufer betreffen, die noch viele unbeantwortete Fragen zur PDPA-Compliance haben.
„Wenn ich ein Online-Händler mit Tausenden von Kunden wäre, wüsste ich immer noch nicht, was ich [als Reaktion auf die PDPA-Compliance] tun soll“, sagte Herr Atip.
Pranontha Titavunno, ein Vorstandsmitglied der Federation of Thai Industries, sagte, viele Unternehmen seien in den letzten zwei Jahren von den Auswirkungen der Pandemie heimgesucht worden, was sie auf die PDPA unvorbereitet gemacht habe.
Laut einer PDPA-Bereitschaftsumfrage des Thai Board of Trade und der University of the Thai Chamber of Commerce gaben nur 8 % von fast 4.000 befragten Unternehmen an, entsprechende Maßnahmen ergriffen zu haben, um das Gesetz vollständig einzuhalten, während 31 % angaben, dies nicht zu tun.
Daten werden heute in großem Umfang für den Betrieb staatlicher und privater Organisationen verwendet.
Herr Pranontha sagte, dass große börsennotierte Unternehmen wahrscheinlich die PDPA-Anforderungen erfüllt haben, aber 80 – 90 % der Unternehmen sind immer noch verwirrt darüber, wie sie die Anforderungen erfüllen sollen.
Der Gemeinsame Ständige Ausschuss für Handel, Industrie und Banken hat die Regierung gebeten, die Durchsetzung des PDPA um weitere zwei Jahre zu verschieben, da die Unternehmen weiterhin unvorbereitet sind, sagte er.
Um das Gesetz einzuhalten, müssen Unternehmen Hilfe von Rechtsberatungen in Anspruch nehmen, was ihre finanzielle Belastung erhöht, sagte Herr Pranontha.
Die Regierung sollte dazu beitragen, dass Unternehmen das Gesetz leicht verstehen und einhalten können, sagte er.
- Quelle: Bangkok Post