[Legal] 개인 정보 보호법에 따른 '정보 컨트롤러' 및 '정보 프로세서'의 책임과 의무
[Legal]개인 정보 보호법에 따른 '정보 컨트롤러' 및 '정보 프로세서'의 책임과 의무
10/3/2020
'정보 컨트롤러'와 '정보 프로세서'의 차이점과 그 책임에 대해 아래 표에 정리되어 있습니다.
역할 | 정의 | 책임 |
정보 컨트롤러 | 개인 정보의 수집, 사용 및 공개에 대한 결정을 내릴 권한이 있는 자연인 또는 법인. | 개인 정보의 수집, 사용 및 공개와 같은 정보 처리가 PDPA에 따라 수행되도록 하기 위해 적절한 기술적 및 조직적 조치를 구현합니다. 예시: - 개인 정보 수집, 사용 및 공개 전 또는 시점에 정보 주체의 동의를 얻습니다 - 동의 범위에 따라 정보를 처리합니다. - 정보 처리가 PDPA를 준수하여 정보 주체의 권리를 보호할 수 있도록 충분한 보증을 제공할 수 있는 정보 프로세서를 선택합니다. - 정보 보호 책임자를 임명합니다 . |
정보 프로세서 | 개인 정보 컨트롤러의 요구를 따르거나 혹은 대신하여 개인 정보를 수집, 사용 또는 공개하는 자연인 또는 법인. 이 사람은 개인 정보 컨트롤러 이외의 사람. | PDPA의 요구 사항을 충족할 수 있도록 적절한 기술적 및 조직적 조치를 구현하여 충분한 보증을 제공합니다. 예시: - 정보 컨트롤러가 제공한 합법적인 지침에 따라 개인 정보를 수집, 사용 및 공개합니다. - 개인 정보를 보호할 수 있는 충분한 보안 조치를 제공합니다. - PDPA에 따라 정보를 저장하고 기록합니다. - PDPA위원회의 통보에 따라 정보 보호 책임자의 임명이 필요할 수 있습니다. |
정보 컨트롤러 및 정보 프로세서가 PDPA를 위반하는 경우 다음과 같은 책임이 부과됩니다.
개인정보 보호법의 영역적 범주 | 책임 | 자세한 내용 |
개인정보 보호법은 다음에 적용됩니다: 1. 태국 내의 정보 컨트롤러와 정보 프로세서 –태국 내외부에서의 활동 여부와 관계없이 태국에 있는 정보 컨트롤러 또는 정보 프로세서에 의한 개인 정보를 수집, 사용 및 공개하는 행위. 2. 태국 이외의 정보 컨트롤러와 정보 프로세서– 태국 이외의 지역에서 정보 컨트롤러 또는 정보 프로세서가 태국에 거주하는 정보 주체의 개인 정보를 수집, 사용 및 공개하는 행위: 2.1 정보 주체가 지급을 요구하는지 여부와 관계없이 태국에 있는 정보 주체에게 상품 또는 서비스 제공 ; 또는 2.2 태국에서 정보 주체의 행동 모니터링. | 민사 책임 | 정보 컨트롤러 또는 정보 프로세서가 PDPA를 준수하지 않거나 위반하는 경우 다음에 대한 책임이 있습니다: 1. 정보 컨트롤러 또는 정보 프로세서가 다음을 입증할 수 없는 경우, 의도적으로 또는 과실적으로 조치를 취했는지 여부와 관계없이 해당 조치로 인한 실제 손해: 1.1 불가항력 또는 정보 주체의 행동 또는 실수로 인해 발생한 손해. ;또는 1.2 공무원의 합법적 명령을 준수한 결과 발생한 손해. 2. 법원 명령에 따른 징벌적 손해. |
형사 책임 | PDPA를 준수하지 않거나 위반할 경우 벌금, 징역형 또는 둘 다 부과. 범죄의 심각성에 따라 최대 1백만 바트의 벌금과 최대 1년의 징역형이 부과. | |
행정 책임 | PDPA를 준수하지 않거나 위반한 경우에도 벌금이 부과. 범죄의 심각성에 따라 최대 5백만 바트의 벌금이 부과. |