[Legal] 개인 정보 보호법에 따른 '정보 컨트롤러' 및 '정보 프로세서'의 책임과 의무

2020년 5월 27일에 완전히 발효되는 개인정보 보호법 ("PDPA")은 '정보 컨트롤러'및 '정보 프로세서'로 정의된 사람들에게 책임과 의무를 부과합니다. 따라서 회사는 PDPA에 따라 개인 정보정책을 수립하기 위해 '정보 컨트롤러'및 정보 프로세서 '의 역할을 이해해야 합니다.

10/3/2020

'정보 컨트롤러'와 '정보 프로세서'의 차이점과 그 책임에 대해 아래 표에 정리되어 있습니다.

역할

정의

책임

정보 컨트롤러

개인 정보의 수집, 사용 및 공개에 대한 결정을 내릴 권한이 있는 자연인 또는 법인.

개인 정보의 수집, 사용 및 공개와 같은 정보 처리가 PDPA에 따라 수행되도록 하기 위해 적절한 기술적 및 조직적 조치를 구현합니다.

예시:

- 개인 정보 수집, 사용 및 공개 전 또는 시점에 정보 주체의 동의를 얻습니다

- 동의 범위에 따라 정보를 처리합니다.

- 정보 처리가 PDPA를 준수하여 정보 주체의 권리를 보호할 수 있도록 충분한 보증을 제공할 수 있는 정보 프로세서를 선택합니다.

- 정보 보호 책임자를 임명합니다 .

정보 프로세서

개인 정보 컨트롤러의 요구를 따르거나 혹은 대신하여 개인 정보를 수집, 사용 또는 공개하는 자연인 또는 법인. 이 사람은 개인 정보 컨트롤러 이외의 사람.

PDPA의 요구 사항을 충족할 수 있도록 적절한 기술적 및 조직적 조치를 구현하여 충분한 보증을 제공합니다.

예시:

- 정보 컨트롤러가 제공한 합법적인 지침에 따라 개인 정보를 수집, 사용 및 공개합니다.

- 개인 정보를 보호할 수 있는 충분한 보안 조치를 제공합니다.

- PDPA에 따라 정보를 저장하고 기록합니다.

- PDPA위원회의 통보에 따라 정보 보호 책임자의 임명이 필요할 수 있습니다.

정보 컨트롤러 및 정보 프로세서가 PDPA를 위반하는 경우 다음과 같은 책임이 부과됩니다.

개인정보 보호법의 영역적 범주

책임

  자세한 내용

개인정보 보호법은 다음에 적용됩니다:

1. 태국 내의 정보 컨트롤러와 정보 프로세서 –태국 내외부에서의 활동 여부와 관계없이 태국에 있는 정보 컨트롤러 또는 정보 프로세서에 의한  개인 정보를 수집, 사용 및 공개하는 행위.

2. 태국 이외의 정보 컨트롤러와 정보  프로세서– 태국 이외의 지역에서 정보 컨트롤러 또는 정보 프로세서가 태국에 거주하는 정보 주체의 개인 정보를 수집, 사용 및 공개하는 행위:

2.1 정보 주체가 지급을 요구하는지 여부와 관계없이 태국에 있는 정보 주체에게 상품 또는 서비스 제공 ; 또는

2.2 태국에서 정보 주체의 행동 모니터링.

민사 책임

정보 컨트롤러 또는 정보 프로세서가 PDPA를 준수하지 않거나 위반하는 경우 다음에 대한 책임이 있습니다:

1. 정보 컨트롤러 또는 정보 프로세서가 다음을 입증할 수 없는 경우, 의도적으로 또는 과실적으로 조치를 취했는지 여부와 관계없이 해당 조치로 인한 실제 손해:

1.1 불가항력 또는 정보 주체의 행동 또는 실수로 인해 발생한 손해. ;또는

1.2 공무원의 합법적 명령을 준수한 결과 발생한 손해.

2. 법원 명령에 따른 징벌적 손해.

형사 책임

PDPA를 준수하지 않거나 위반할 경우 벌금, 징역형 또는 둘 다 부과.

범죄의 심각성에 따라 최대 1백만 바트의 벌금과 최대 1년의 징역형이 부과.

행정 책임

PDPA를 준수하지 않거나 위반한 경우에도 벌금이 부과.

범죄의 심각성에 따라 최대 5백만 바트의 벌금이 부과.

Want to know more?