文章分类
简言之
2023年12月25日,泰国个人数据保护委员会(PDPC)在《政府公报》上发布了两项关于根据《个人数据保护法》B.E.2562(2019)(PDPA)跨境转移个人数据的附属法规。这两条规则是:(1)白名单通知;以及(2)《具有约束力的公司规则》和《适当保障通知》,这两项规定将于2024年3月24日生效。
企业可能需要重新考虑哪种跨境转移方案适合其特定情况,特别是考虑其现有的BCR(供PDPC办公室批准)或适当的保障措施(如现有的合同条款)是否符合这些新的附属规则规定的要求。
如前所述,PDPC于2023年10月底至11月初就其跨境转移新规则草案举行了最新一轮公众咨询。
在公众咨询窗口于2023年11月11日关闭后,PDPC于2023月25日在《政府公报》上发布了两项关于PDPA下个人数据跨境转移的附属法规:
1.个人数据保护委员会根据《个人数据保护法》B.E.2562 B.E.2566(2023)第28条关于发送或转移到外国的个人数据保护标准的通知(“白名单通知”)。
2.个人数据保护委员会根据《个人数据保护法》B.E.2562 B.E.2566(2023)第29条关于发送或转移到外国的个人数据保护标准的通知(“BCR和适当保障通知”)。
白名单通知、BCR和适当保障通知将于2024年3月24日生效。一旦生效,这两项规则将扩大公司根据PDPA在泰国境外合法跨境转移个人数据时的可用选择。根据这项法律,跨境转移有三个关键机制,它们是:(一)目的地国(白名单国家)的充分性决定;(ii)BCR;以及(iii)适当的保障措施(即标准合同条款、认证以及泰国政府机构与外国政府机构之间的约束性文书)。
请参阅下面我们对白名单通知、BCR和适当保障通知的主要内容的总结。
1.“发送或传输个人数据”的定义。
这两项附属法规现在都对“发送或传输个人数据”一词进行了定义,而PDPA本身的文本中没有这一定义。附属法规提供的定义在哪些活动将被视为或不被视为发送或传输个人数据,因此受到PDPA下的传输限制之间划出了界限,使用了与公众咨询版本相同的“无第三方访问”原则。
也就是说,第三方无法访问个人数据的泰国境外的数据传输或数据存储现在被排除在“发送或传输个人数据”的定义之外。该定义举例说明,如果向云计算服务提供商传输个人数据时没有第三方访问此类个人数据,则将不视为发送或传输此类个人数据。
企业应重新审视其数据处理活动和相关合同,以确定其中任何一项是否属于“发送或传输个人数据”的定义范围,这将触发PDPA、白名单通知、BCR和适当保障通知下的跨境传输限制。
2.充分性决定(列入白名单的国家)
一般来说,根据PDPA,可以向具有适当个人数据保护标准的目的地国家进行跨境转移;然而,也有一些例外。新发布的白名单通知规定了PDPC考虑目的地国家或国际组织是否具有“适当”的个人数据保护标准(例如,目的地国家是否存在法律措施)的标准。然而,目前没有特定国家被监管机构列为新子法规下的白名单国家。
企业应监控PDPC将要评估的白名单国家,或考虑联系PDPC办公室,根据上述标准进行充分性评估。
3.具有约束力的公司规则(BCR)
BCR和适当保障通知规定了将BCR提交给PDPC办公室审查和批准的方法(例如,约束效力和某些强制性和最低要求的规定)。
业务部门应重新审查其现有BCR(如有),并确定是否需要进行修订以符合BCR和适当保障通知中规定的要求。
4.适当的保障措施
BCR和适当保障通知更详细地规定了在PDPC不承认某个特定国家为适当目的地国家或数据控制者或数据处理者不依赖BCR的情况下应依赖的适当保障。可用的适当保障措施包括标准合同条款、认证以及泰国和外国政府机构之间的约束性文书。
关于SCC的规定可能会对企业在实践中如何选择遵守PDPA下的跨境转移限制产生最重大的影响。
合规SCC通常必须满足以下两个标准之一,才能被视为有效的跨境转移适当保障:
(a) SCC由各方起草,具有约束力,并包含BCR和适当保障通知中规定的最低要求条款。
(b) SCC由各方根据外国法律起草或由国际组织建立,其内容和规定与数据保护有关,并依据(i)东盟跨境数据流示范合同条款;二欧盟向第三国转让个人数据的标准合同条款;或(iii)PDPC将进一步规定的任何其他示范条款。
值得强调的是,PDPC对这些跨境转移选项的解释与其他国家或地区(如欧盟)的数据保护当局所采用的解释不同。因此,企业可能需要首先确定其任何数据处理活动是否符合跨境转移的定义,如果符合,则根据其特定情况重新考虑哪种跨境转移选择(例如SCC、BCR或减损)适合遵守泰国法律。具体而言,如果企业已经实施了基于欧盟SCC或东盟MCC的BCR或SCC,则应重新考虑此类措施,以确保符合泰国PDPA要求。
- 登录 发表评论