Was ist PDPA?

Das seit 2019 verschobene Gesetz zum Schutz personenbezogener Daten ist in Thailand am 1. Juni 2022 in Kraft getreten und soll sicherstellen, dass die Bürgerinnen und Bürger ihre persönlichen Daten schützen und nicht missbrauchen. Die Datenschutzbestimmungen dieses Gesetzes, das als Thailands ureigene Adaption der GDPR gilt, betreffen die gleichen Kernpunkte wie Datenrechte, Datenkontrolle und Strafen bei Nichteinhaltung.

‍

Obwohl die Grundgedanken dieses Gesetzes denen der DSGVO sehr ähnlich sind, ist es sehr wichtig, dass Unternehmen, die in Thailand tätig sind, die Initiative ergreifen und sich über die PDPA-Bestimmungen, die Strafen bei Nichteinhaltung sowie die Pflichten und Rechte der für die Datenverarbeitung Verantwortlichen informieren und auf dem Laufenden halten.  

‍

Übersicht

Wichtige Definitionen im PDPA

• Personenbezogene Daten: Alle Informationen, die sich auf eine bestimmte Person beziehen und die direkt oder indirekt die Identifizierung einer Person ermöglichen, jedoch nicht die Informationen über verstorbene Personen.
• Person: Eine natürliche Person.
• Datenverantwortlicher: Person oder juristische Person, die die Befugnis und die Pflichten hat, Entscheidungen über die Erhebung, Verwendung oder Weitergabe der personenbezogenen Daten zu treffen.

Wie wird PDPA angewendet?

Das PDPA regelt, wie personenbezogene Daten erhoben und verwendet werden. Es gilt für alle in Thailand ansässigen Unternehmen, unabhängig davon, ob die Daten außerhalb des Landes erhoben oder verbreitet wurden. Das PDPA gilt auch für Unternehmen mit Sitz außerhalb des Königreichs, wenn einige Bedingungen erfüllt sind:

• Wenn Waren oder Dienstleistungen an betroffene Personen oder Bürger in Thailand angeboten werden, unabhängig davon, ob damit eine Zahlung verbunden ist.
• Bei der Überwachung von Datensubjekten oder des Verhaltens von Bürgern in Thailand.

Was sind die Rechtsgrundlagen von PDPA?
‍

Es gibt sechs Rechtsgrundlagen, die bei jeder Erhebung oder Verwendung von Daten erfüllt sein müssen, um dem PDPA zu genügen. In allen anderen Fällen, die von diesen Rechtsgrundlagen nicht abgedeckt werden, ist die Zustimmung der betroffenen Person zur Erhebung, Verwendung und Weitergabe der personenbezogenen Daten erforderlich. Die rechtmäßigen Zwecke sind:

1. für die Erstellung von historischen Dokumenten oder Archiven im öffentlichen Interesse oder im Zusammenhang mit Forschung oder Statistik, wobei geeignete Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person getroffen werden und die vom Amt vorgeschriebene Mitteilung eingehalten wird;
2. zur Verhütung oder Abwehr von Gefahren für das Leben, den Körper oder die Gesundheit einer Person;
3. wenn sie für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder für die Durchführung von Maßnahmen auf Antrag der betroffenen Person vor Abschluss eines Vertrags erforderlich ist;
4. wenn sie für die Wahrnehmung einer Aufgabe erforderlich ist, die der für die Verarbeitung Verantwortliche im öffentlichen Interesse wahrnimmt, oder für die Ausübung öffentlicher Gewalt, die dem für die Verarbeitung Verantwortlichen übertragen wurde;
5. zur Wahrung der berechtigten Interessen des für die Verarbeitung Verantwortlichen oder anderer Personen, es sei denn, diese Interessen werden durch die Grundrechte der betroffenen Personen in Bezug auf ihre personenbezogenen Daten überlagert; oder
6. wenn dies zur Einhaltung von Gesetzen erforderlich ist, denen der für die Datenverarbeitung Verantwortliche unterliegt.

Zustimmung
‍

Bestimmte Kriterien müssen erfüllt sein, damit die Einwilligung der betroffenen Person als gültig angesehen werden kann:

• die Zustimmung muss ausdrücklich in einer schriftlichen Erklärung oder auf elektronischem Wege erteilt werden;
• die betroffene Person muss über den Zweck der Erhebung, Verwendung oder Weitergabe der personenbezogenen Daten informiert werden;
• das Ersuchen um Einwilligung muss sich deutlich von anderen Inhalten unterscheiden, die der betroffenen Person zur Verfügung gestellt werden;
• die Form des Ersuchens um Zustimmung muss leicht zugänglich und verständlich sein;
• das Ersuchen um Zustimmung muss klar und deutlich formuliert sein; und
• das Ersuchen um Einwilligung darf die betroffene Person nicht in Bezug auf seinen Zweck täuschen oder in die Irre führen.

Datenschutzhinweis
‍

Der Datenschutzhinweis dient dazu, die betroffenen Personen darüber zu informieren, wann ihre Daten erhoben werden und zu welchem Zweck sie verwendet werden. Der für die Datenverarbeitung Verantwortliche muss der betroffenen Person vor oder zum Zeitpunkt der Erhebung der personenbezogenen Daten einen Datenschutzhinweis zukommen lassen. Der Hinweis muss die folgenden Informationen enthalten:

• die zu erfassenden personenbezogenen Daten;
• den Zweck der Erhebung, Verwendung oder Weitergabe der personenbezogenen Daten, einschließlich der geltend gemachten Rechtsgrundlage;
• ob die betroffene Person ihre personenbezogenen Daten bereitstellen muss, einschließlich der Folgen, wenn die betroffene Person die personenbezogenen Daten nicht bereitstellt;
• den Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, und, falls es nicht möglich ist, einen Aufbewahrungszeitraum anzugeben, den voraussichtlichen Aufbewahrungszeitraum gemäß dem Standard für die Datenspeicherung;
• die Kategorien von Personen oder Einrichtungen, an die die personenbezogenen Daten weitergegeben werden können;
• die Kontaktdaten des für die Datenverarbeitung Verantwortlichen und gegebenenfalls die Kontaktdaten des Vertreters des für die Datenverarbeitung Verantwortlichen oder des Datenschutzbeauftragten; und
• die Rechte der betroffenen Person, darunter das Recht auf Widerruf der Einwilligung, das Recht auf Zugang und Erhalt einer Kopie der personenbezogenen Daten, das Recht, die Übermittlung der personenbezogenen Daten in maschinenlesbarem Format an andere für die Datenverarbeitung Verantwortliche zu beantragen, das Recht, der Erhebung, Verwendung und Weitergabe der personenbezogenen Daten zu widersprechen, das Recht, die Löschung der Daten zu beantragen, das Recht, die Aussetzung der Nutzung zu beantragen, das Recht, die Richtigkeit der personenbezogenen Daten zu überprüfen, und das Recht, Beschwerden einzureichen.

Benachrichtigung bei Verstößen
‍

Der für die Verarbeitung Verantwortliche ist verpflichtet, das Amt innerhalb von 72 Stunden nach Bekanntwerden einer Datenschutzverletzung, die personenbezogene Daten betrifft, zu benachrichtigen. Wenn die Verletzung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person darstellt, muss auch die betroffene Person unverzüglich benachrichtigt werden.
‍

Sicherheitsverpflichtungen
‍

Ein für die Datenverarbeitung Verantwortlicher hat die Pflicht, personenbezogene Daten sicher aufzubewahren, einschließlich der folgenden Punkte:

• sicherzustellen, dass geeignete Sicherheitsmaßnahmen getroffen werden, um den unbefugten oder unrechtmäßigen Verlust, Zugriff, die Verwendung, Änderung, Berichtigung oder Offenlegung personenbezogener Daten zu verhindern;
• den Empfänger der personenbezogenen Daten (z. B. einen Datenverarbeiter) daran zu hindern, diese personenbezogenen Daten unrechtmäßig oder unbefugt zu verwenden oder weiterzugeben; und
• Sicherstellung, dass ein System zur Vernichtung der personenbezogenen Daten nach Ablauf der Aufbewahrungsfrist vorhanden ist.

Grenzüberschreitende Datenübertragung
‍

Für den Fall, dass ein für die Verarbeitung Verantwortlicher personenbezogene Daten an ein anderes Land sendet oder übermittelt, muss das Zielland, das diese personenbezogenen Daten erhält, über angemessene Datenschutzstandards verfügen, es sei denn, es liegt eine Ausnahmeregelung vor (z. B. wird eine Einwilligung der betroffenen Person für die Übermittlung der personenbezogenen Daten an ein Land eingeholt, dessen Datenschutzstandard nicht angemessen ist, oder die Übermittlung dient der Einhaltung von Gesetzen). Die Richtlinie über die Angemessenheit des Datenschutzniveaus ist noch nicht veröffentlicht worden.
‍

Sanktionen
‍

Ein Verstoß gegen das PDPA kann zivilrechtliche Haftung, strafrechtliche Haftung und Geldbußen nach sich ziehen. So haftet beispielsweise ein für die Verarbeitung Verantwortlicher, der personenbezogene Daten ohne die Einwilligung der betroffenen Person erhebt, verwendet oder weitergibt (sofern eine Einwilligung erforderlich ist).
‍

‍

Links

• Link zum offiziellen Text (in thailändischer Sprache)
• Link zur englischen Fassung (inoffizielle Übersetzung)

Wie Manatal Ihnen hilft, die Vorschriften einzuhalten

‍

Da uns der Schutz der persönlichen Daten, sowohl Ihrer als auch der Ihrer Bewerber, sehr wichtig ist, wurde unsere Plattform so konzipiert, dass sie die Einhaltung der PDPA-Vorschriften vereinfacht und erleichtert. Zu diesem Zweck haben wir Funktionen eingebaut, die Manatal-Nutzern helfen, die spezifischen Anforderungen des PDPA zu erfüllen. Unser Ziel ist es, Ihnen die notwendigen Werkzeuge an die Hand zu geben, um die Datenschutzgesetze und -vorschriften einzuhalten und über die verschiedenen Rechte, die Ihnen und Ihren Kandidaten bei der Rekrutierung zustehen, informiert zu bleiben.

Manatal unterstützt Sie bei der Einhaltung des PDPA, indem es Ihnen ermöglicht,:

• Automatisieren Sie die Einholung der Zustimmung zur Datenverarbeitung von Bewerbern per E-Mail
• Aufzeichnung der Zustimmung der betroffenen Personen
• Veröffentlichen Sie die Datenschutzrichtlinien Ihres Unternehmens und die Bedingungen für die Einhaltung des PDPA
• Kandidateninformationen dauerhaft löschen
• Wir unterstützen auch andere Rechte der Betroffenen, wie z. B.:
• Recht auf Zugang
• Recht auf Berichtigung
• Recht auf Widerspruch
• Berichte über die Einhaltung der Vorschriften

‍