I lighed med GDPR begyndte håndhævelsen af denne lov den 1. juni
Der er en ny lov om beskyttelse af personlige oplysninger, som marketingfolk og webstedsejere skal være opmærksomme på.
Håndhævelsen af Thailands lov om beskyttelse af personoplysninger begyndte den 1. juni efter tre års forsinkelser. Denne lov, der oprindeligt blev vedtaget i maj 2019, afspejler EU’s generelle databeskyttelsesforordning og slutter sig til en lang række love, der har til formål at beskytte internetbrugere og beskytte personlige oplysninger.
Konkret kræver denne lov, at dataansvarlige og databehandlere har tilladelse til at behandle personoplysninger – oplysninger, der kan identificere en person, enten direkte eller indirekte. Der skal indhentes udtrykkeligt samtykke til at indsamle, bruge eller videregive data, der er klassificeret som personlige og følsomme, såsom oplysninger om en persons helbred, race og religion, deres seksuelle præferencer, enhver straffeattest og andre biometriske oplysninger. Der er en håndfuld undtagelser, herunder dem i offentlighedens interesse, eventuelle kontraktlige forpligtelser, overholdelse af thailandsk lov eller noget, der anses for at være af vital interesse.
Straffen for overtrædelser er hårde – bøder starter ved 500.000 thailandske baht, eller omkring 14.400 dollars, og kan nå op på 5 millioner thailandske baht eller mere end 144.000 dollars med de nuværende valutakurser. Oven i købet kan tilsynsmyndigheder pålægge straferstatning. Nogle overtrædelser, herunder dem, der involverer følsomme data og deres ulovlige eksponering, kan endda sende lovovertrædere i et thailandsk fængsel i op til et år.
Nogle af de vigtigste skridt, som websteder, der opererer i landet, skal tage, omfatter opdatering eller udstedelse af en ny privatlivspolitik, om nødvendigt give besøgende på webstedet samtykkeformularer, registrering af alle behandlingsaktiviteter, indgåelse af databehandlingsaftaler med relevante tredjeparter og indførelse af robuste sikkerhedsforanstaltninger, der vil forhindre et sikkerhedsbrud i første omgang. Nogle enheder, såsom store virksomheder og mange offentlige afdelinger, kan også have brug for at udpege en “databeskyttelsesansvarlig”.
Mere information er sat til at blive frigivet i de kommende måneder, så interessenter kan sikre, at de implementerer de rigtige politikker og derefter kan overholde dem.
Ny thailandsk databeskyttelseslov afspejler andre lignende regler
Aktionerne i Thailand afspejler lignende handlinger, der har fundet sted rundt om i verden i de seneste år.
Den mest bemærkelsesværdige databeskyttelseslov er EU’s generelle databeskyttelsesforordning (GDPR), som trådte i kraft den 25. maj 2018. Den finder anvendelse på organisationer i EU, der bruger personoplysninger, samt enhver international organisation, der leverer varer og tjenesteydelser til personer i EU, eller som overvåger deres adfærd.
Andre lande var hurtige til at udarbejde deres egne regler. Brasilien godkendte den generelle lov om databeskyttelse, og Argentina og Indien vedtog deres egne lignende love. I USA vedtog California Consumer Privacy Act lignende regler og fik snart selskab af California Privacy Rights Act, Consumer Data Protection Act i Virginia og Colorado Privacy Act.
Yderligere oplysninger i persondataloven
Mens lovens mest bemærkelsesværdige træk er krav til dataansvarlige og databehandlere, både offentlige og private, med hensyn til at indhente samtykke fra webstedsbrugere før behandling, indsamling eller videregivelse af personlige oplysninger, er der andre dele af loven, bemærker en regional publikation.
Såkaldte “registrerede” har også ret til at anmode om adgang til deres personoplysninger og endda kræve, at disse oplysninger slettes. Desuden kan de gøre indsigelse mod indsamling, brug eller videregivelse af deres oplysninger.
Personoplysninger defineres i henhold til loven som “enhver information vedrørende en person, der gør det muligt at identificere den pågældende person, enten direkte eller indirekte. Dette omfatter ikke oplysninger vedrørende afdøde personer i særdeleshed.”
Loven forklarer, at databeskyttelsesansvarlige skal udpeges for statslige organer og organisationer med store databehandlingsaktiviteter. Disse embedsmænd er ansvarlige for at hjælpe organisationen med at sikre, at de registreredes personlige oplysninger behandles i overensstemmelse med thailandsk lovgivning og vil være kontaktpersoner for eventuelle problemer, der opstår mellem registrerede og dem, der indsamler personoplysninger.
Thailandske dataindsamlere er langsomme til at opfylde kravene i den nye lov
Selvom loven blev vedtaget i 2019, og implementeringen blev forsinket i tre år, har overholdelsen af de nye regler været langsom. En undersøgelse foretaget af Thai Board of Trade og Thai Chamber of Commerce viste, at kun 8 procent af de adspurgte virksomheder havde truffet foranstaltninger for at sikre, at de er fuldt ud i overensstemmelse med loven, og næsten en tredjedel af de adspurgte, eller 31 procent, havde ikke gjort noget for at overholde loven.
En bemærkelsesværdig tilhænger er Alibaba Cloud, den kinesiske computertjeneste, der er en del af Alibaba, den regionale e-handelsgigant. Alibaba Cloud åbnede for nylig et datacenter i Thailand, og centret er i overensstemmelse med de nye nationale regler.
Håndhævelsen vil være slap det første år, bemærker Bangkok Post, da både tilsynsmyndigheder og enheder kommer til at forstå loven, og hvordan den gælder for deres operationer. Sandsynligvis vil der kun blive udstedt advarsler i løbet af de første 12 måneder, da regeringen opfordrer overtrædere til at overholde retningslinjerne.
Indsamler du personlige oplysninger?
Det første skridt til at forstå, hvordan den nye thailandske lov gælder for dig, er at vide, om dine websteder indsamler cookies, hvilke oplysninger der indsamles, hvad der gøres med dem, og hvem der ellers har adgang til dem.
Det er her, en samtykkestyringsplatform som den, der tilbydes af CookieHub, kan komme i spil. CookieHub har værktøjer og løsninger til at sikre, at din hjemmeside er i overensstemmelse med love som GDPR og andre.
For at lære mere, kontakt CookieHub i dag.