2019年初,泰国颁布了《个人数据保护法案》(PDPA)。该法案就雇主在收集雇员(在法案中称为“数据主体”)的个人信息时应履行哪些义务作出了规定。PDPA中大部分条款将于2020年5月27日正式生效,因此雇主们应清楚自身需要履行的义务。
根据PDPA的规定,雇主应遵循如下规定:
-雇主仅能基于合法目的来收集雇员的个人信息;
-雇主不得从雇员以外的任何来源收集雇员的个人信息;
-雇主必须防止雇员的个人信息遗失、被披露或被更改;
-雇主必须在一定时间之后删除雇员的个人信息;
-雇主在收集、使用或披露雇员的个人信息之前必须获得雇员的同意;
-如果雇员的个人信息遭到泄露,雇主必须通知由政府运作的个人数据保护委员会。
如果雇主违反了PDPA的规定,那么将会面临民事、刑事或行政处罚,这将视具体的情况而定。
民事责任
如果违法者被认定应承担民事责任,那么法院可命令违法者支付最高为实际损失两倍的惩罚性损害赔偿。
刑事责任
根据PDPA的规定,某些违法者需承担一定的刑事责任。刑事处罚包括最高6个月的监禁、最高100万泰铢(近3万欧元)的罚款,或两者兼具。如果违法者为公司实体,且公司董事、经理下达命令或开展行动或其他相关人员行执行动的行为违反了PDPA的规定,那么这些人员将需承担刑事责任并面临上述处罚。此外,如果个人有义务下达行动命令或执行相关行动却未履行自身的职责,从而导致公司违反了PDPA的规定,那么其也应承担刑事责任并面临上述处罚。
行政责任
企业违反PDPA的规定还将面临50万到500万泰铢(1.5万到15万欧元左右)的行政罚款。
结语
总之,雇主在收集、使用或披露雇员的个人信息时需要严格遵守PDPA的规定,否则将会面临民事、刑事或行政处罚。(编译自www.lexology.com)