タイ法務改正動向 :個人情報保護法における「データ管理者」と「データ処理者」

2020年5月27日に施行が予定されているタイの個人情報保護法では、個人情報の取扱を行う者として、「データ管理者Data Controller」と「データ処理者Data Processor」の2種類が定義され、それぞれの義務が規定されています。

役割

定義

義務

データ管理者(Data Controller)

個人情報の収集、使用、開示等(以下「個人情報の取扱」)の権限を与えられた自然人又は法人

-    個人情報の取扱にあたり適切なデータ管理技術や組織体制を整える

-    個人情報の取扱前または情報収集時に情報提供者の同意を取る

-    同意の範囲内でのみ個人情報を取扱う

-    必要な場合は、個人情報保護法に即した権限を 保証できる適切なデータ処理者を選出する

-    組織内での個人情報取扱に関する責任者として「データ保護担当者」(Data Protection Officer)を指名する

データ処理者

(Data Processor)

データ管理者の指示に基づき、またはその代理として、個人情報の取扱を行う自然人または法人。

-    個人情報保護法の要求事項を満たした技術及び 組織体制を有すること

-    データ管理者の指示に従った個人情報の取扱い

-    個人情報を保護する十分なセキュリティの導入

-    個人情報保護法に即した情報保管、記録、処理

-    個人情報保護委員会からの通知に基づき、データ保護責任者の選任を求められる場合もある

  例えば、事業者がその従業員に関する給与計算等の人事関連業務を第三者に委託している場合、委託にあたり必要となる情報を収集している事業者は「データ管理者」となり、給与計算等の委託先は「データ処理者」となります。人事関連業務を第三者に委託している場合でも、データ管理者として個人情報保護法への対応が必要となることにご留意ください。

  また、データ管理者・処理者はタイ国内に所在する事業者に限定されず、タイ国外の
事業者であっても、タイ国内のデータ主体(個人情報により特定され、または特定可能な自然人)に商品やサービスを提供する場合や、タイ国内でのデータ主体の行動をモニタリングする場合には、「データ管理者・処理者」として、タイ個人情報保護法が適用されることになります。

  データ管理者・処理者が、個人情報保護法に定める義務を遵守しない場合、または違反した場合、以下の損害賠償義務、罰則が課せられます。

種別

詳細

民事

1. 故意または過失の有無に関わらず、個人情報保護法違反に起因して発生した実際の損害額の賠償責任を負う。ただし、データ管理者・処理者が以下のいずれかを立証した場合を除く。

1.1   損害発生が不可抗力またはデータ主体に帰責事由があること

1.2   適切な行政命令の遵守により発生した損害であること

2. 裁判所による懲罰的損害賠償

刑事

1百万バーツ以下の罰金もしくは1年以内の禁固刑またはその両方が
課せられる

過料(行政罰)

5百万バーツ以内の過料が課せられる

他のニュースレターはこちらからご覧いただけます

(2020年3月作成)

 

免責事項

本記事は、作成日時点でのタイの法律等改正動向や一般的な解釈に関する情報提供を目的としております。内容については、正確性を期しておりますが、正確性を保証するものではなく、また作成後の法律改正等により最新の情報でない場合もあります。本記事の利用は、利用者の自身の判断責任となり、利用により生じたいかなるトラブルおよび損失、損害に対してMazarsは一切責任を負いません。個別の具体的な案件を進める場合には、事前に専門家へご相談頂きます様、お願い申し上げます。

 

Want to know more?