《2019年个人数据保护法》（“PDPA”）于2022年6月1日全面生效。该法对居住在泰国的数据主体的个人数据的处理（即收集、使用和披露）进行管理，这些数据主体由企业（定义为数据控制者或数据处理者的个人或法人实体）执行。《个人数据保护法》保护数据主体的权利，并承认企业出于适当和有限的目的处理个人数据的需要。

作为PDPA运作洞察系列的第一部分，LawPlus Ltd.的Kowit Somwaiya和Usa Ua areetham概述了企业遵守PDPA必须满足的关键通知和同意要求。

同意

除《个人数据保护法》或任何其他法律允许的情况外，未经数据主体明确同意，企业不得收集、使用或披露个人数据。

获得同意的关键要求和原则

• 必须在收集、使用或披露个人数据之前或之时获得同意。
• 同意请求必须以书面形式或通过电子方式明确提出，但因其性质无法这样做的情况除外。
• 在同意请求中，企业还必须告知数据主体收集、使用或披露个人数据的目的。
• 同意请求必须以明确区别于其他事项的方式提出，以易于理解的形式和声明，使用清晰明了的语言。就个人数据处理的目的而言，同意请求不得对数据主体具有欺骗性或误导性。
• 数据主体的同意必须是自由的。企业不得要求数据主体同意收集、使用或披露个人数据，作为与企业签订服务合同的条件，如果此类个人数据不是必要的，或与合同或合同项下企业提供的服务无关。
• 数据主体可随时撤回其同意，但法律或有利于数据主体的合同限制撤回同意的情况除外。

回应同意撤回请求的关键要求和原则

• 企业必须安排一种简单的方法，让数据主体轻松撤回其同意。
• 如果同意撤回将以任何方式对数据主体产生负面影响，则业务部门必须将该后果告知数据主体。
• 撤回同意不影响数据主体已经同意的个人数据的收集、使用和披露。
• 在收到同意撤回请求后，企业必须：
• 停止进一步收集、使用或披露个人数据；
• 通知其数据处理人员和代理人撤回同意；和
• 确保他们停止收集、使用或披露请求数据主体的个人数据。

收集个人数据的通知要求

如上文所述，个人数据的收集须经数据主体的明确同意，且必须仅限于业务合法目的所需的范围。

数据主体通知中包含的关键细节

企业必须在收集其个人数据之前或之时向数据主体通知以下详细信息，除非企业已经知道此类详细信息：

• 为使用或披露个人数据而收集个人数据的目的；
• 如果个人数据的收集可以出于《个人数据保护法》或其他法律允许的某些目的在未经同意的情况下进行，则必须在通知中说明此类目的；
• 声明指出，法律或合同要求数据主体提供其个人数据，或数据主体有必要为签订合同而提供其个人信息，以及如果他们不提供个人信息可能产生的影响；
• 将要收集的个人数据的类别和保留期；
• 可向其披露收集的个人数据的人员或当局的类别；
• 业务和业务数据保护官（DPO）（如有）的联系方式；和
• 《个人数据保护法》承认的数据主体的权利，包括撤回同意的权利、请求访问和获取个人数据副本的权利以及以可读数字格式接收个人数据的权利。

通知的方法和形式

PDPA未规定向数据主体发出通知的方法和形式。因此，各企业可通过其选择的方法和形式向数据主体通知上述详细信息，例如通过邮寄或在企业场所张贴的书面通知，或者以通过电子手段提供的数字通知的形式（在企业的网站中，或者作为电子邮件或消息发送到数据主体的电子设备）。

通知可以是独立文件，也可以作为其他个人数据保护合规文件（如数据隐私政策）的一部分。

在确定通知的交付方式和形式时，企业可考虑以下因素：

• 收集个人数据的情况和方式；
• 要收集的个人数据的数量；和
• 收集个人数据的频率。

本文：https://cioctocdo.com/thailand-operationalising-pdpa-notification-and-c…