许多规定和义务受到欧盟的影响通用数据保护条例(GDPR),其关键定义和原则类似。但也存在一定差异。
在本博客中,我们比较了这些法律的相同点和不同点,探讨了关键领域的细微差别。在两个司法管辖区内运营的组织必须了解这些细微差别,以确保遵守数据保护规定并避免潜在的处罚。
PDPA 与 GDPR:关键相似之处
泰国目前与欧盟尚未达成充分性协议。然而,PDPA 的通过 目标电话号码或电话营销数据 可视为泰国向与欧盟数据保护标准接轨迈出的一步,可能为未来达成此类协议铺平道路。
- 个人范围:
PDPA 和 GDPR 均旨在让个人更好地控制自己的个人资料并制定规章制度来确保个人数据的安全 - 域外范围:
PDPA 和 GDPR 均适用于各自管辖范围之外。这意味着数据保护法适用于位于各自国家/地区的组织,以及管辖范围之外的组织(如果它们正在处理各自国家/地区内个人数据) - 关键定义:
GDPR 和 PDPA 对个人数据的定义都很广泛,指的是与可识别或已识别个人有关的任何信息;两者都定义了数据控制者作为决定处理个人数据的目的和方法的个人或实体,以及数据处理器作为代表控制者处理个人数据的个人或实体 - 数据保护监督机构:
两部法律都要求设立一个独立机构来监督数据保护法规的执行,确保合规,调查违规行为并保护个人权利。在泰国,监管机构(SA)是个人数据保护委员会(PDPC),由数字经济和社会部长监督。欧洲独立的数据保护机构是欧洲数据保护监督局(EDPS),每个成员国也有自己的数据保护局(DPA) - 处理的法律依据:
PDPA 和 GDPR 都要求组织有处理个人数据的法律依据。 - 数据保护官 (DPO):
两部法律都强制要求某些组织任命一名数据保护官 (DPO)。DPO 负责监督组织内数据保护流程和策略的实施。他们还充当当局和个人的联络点
PDPA 与GDPR :主要区别
- 自动化决策:
-
- PDPA没有明确规定数据主体 如何在内容营销中设定适当的期望 有权了解个人资料分析和自动决策的使用情况
- GDPR规定,数据主体在数据收集时必须意识到分析和自动决策
-
- 口头交流:
-
- PDPA没有明确规定数据主体是否可以通过口头方式了解其权利
- GDPR规定,数据主体可以通过口头、电子和书面通知的方式获知其权利
-
- 匿名以及假名数据:
-
- PDPA没有明确将匿名数据定义为其范围的例外,也没有定义假名数据
- GDPR明确将匿名数据排除在其范围之外,并将假名数据定义为“以某种方式处理个人数据,使个人数据不再归属于特定资料主体无需使用额外信息
-
- 不合规处罚:
-
- 违反PDPA规定的处罚包括可能判处最高 6 个月监禁以及最高 500 万泰铢(29 欧元)的行政罚款,
- 违反GDPR合规规定可能会招致最高 2000 万欧元或年营业额 4% 的行政罚款(以较高者为准)
-
网络研讨会和信息图表
识别挑战、提升信任:泰国新出台的 PDPA 满足欧 bo 目录 盟通用数据保护条例 (GDPR)
DPO 中心和 DBC 集团于 2023 年 10 月 11 日举办了一场独家网络研讨会,探讨了两项法规之间的异同,并讨论了组织在跨多个司法管辖区运营时可能遇到的一些挑战。