[Legal] 태국에서 개인정보보호법(PDPA)은 어떻게 적용됩니까?

이 법률이 제정된 이후, 데이터 관리자와 데이터 처리자, 즉 다른 사람(데이터 주체)의 개인 데이터를 소유한 사람은 해당 개인 데이터를 보호하기 위해 법률을 준수해야 했습니다. 법적 의무에는 다음이 포함됩니다.

• 적절한 보안 조치를 구현하고, 개인 데이터 보호 정책을 준비하고, 개인 데이터를 저장하고 사용하는 데 수반되는 위험에 해당하는 감사 가능한 데이터 관리 시스템을 보유합니다.

• 데이터 주체 또는 합법적 기관의 동의 없이 개인 데이터에 대한 무단 액세스 또는 공개를 방지하기 위한 제어 시스템을 구축합니다.

• 보유한 개인 데이터를 검토하고 수집 목적으로 보관 기간이 만료되면 삭제하거나 파기하는 시스템을 설정합니다.

• 침해 발생 후 72시간 이내에 개인 데이터 보호 위원회에 개인 데이터 침해를 보고합니다.

• 조직 내 데이터 보호 책임자(DPO) 또는 태국 내 담당자를 임명합니다.

• 데이터 주체와 개인 데이터 보호 위원회가 이를 검사할 수 있도록 처리 활동 기록(RoPA)을 유지합니다.

이러한 보호 조치 및 시스템을 구축하지 못한 데이터 관리자 및 데이터 처리자는 법률 위반으로 간주되며 벌금, 데이터 주체에 대한 보상, 징벌적 손해 배상금, 가능한 형사 기소를 포함한 행정적 처벌을 받을 수 있습니다.

2024년 7월 31일, 개인정보보호위원회는 태국의 IT 제품 판매업체에서 개인정보가 콜센터로 유출되어 피해를 입은 개인정보주체의 불만에 대한 결정을 내렸습니다.

위원회는 해당 사업체에 총 THB 700만에 달하는 벌금을 부과했습니다.

세분 내용은 다음과 같습니다.

• 1백만 바트 - 데이터 보호 책임자를 임명하지 않음

• 3백만 바트 - 적절한 데이터 보안 조치를 이행하지 않아 데이터 유출이 발생함

• 3백만 바트 - 불만 사항을 무시하고 72시간 이내에 위원회에 데이터 침해를 보고하지 않음

이 벌금은 사업체가 개인정보보호위원회에 벌금을 내야 하지만, 사업체는 또한 데이터 주체가 입은 민사 및 형사 피해에 대한 책임이 있습니다. 데이터 주체는 실제로 발생한 피해에 근거한 민사 손해배상과 실제 피해의 최대 2배에 달하는 징벌적 손해배상을 청구할 수 있습니다. 또한, 그들은 법원에 사업체에 형사 처벌을 부과할 것을 요청할 권리가 있으며, 여기에는 최대 1년의 징역형과 1백만 바트를 초과하지 않는 벌금이 포함될 수 있습니다. 또한, 법인의 운영을 책임지는 임원 또는 관리자도 PDPA 81조에 따라 처벌을 받을 수 있습니다.

태국에서 PDPA 위반 위험을 완화하기 위해 기업은 개인 데이터 보호 정책을 준비하고, 개인 데이터 수집, 사용 및 공개를 위한 통제 시스템을 구현하고, 데이터 보호 책임자를 임명하고, 개인 데이터 침해를 당국에 알리는 시스템을 갖추고, 데이터 주체와 국가 당국이 검사할 수 있도록 처리 활동 기록(RoPA)을 유지 관리하여 법률을 준수해야 합니다.