2022年12月6日,个人数据保护委员会(PDPC)发布了《关于通知个人数据泄露的标准及程序的通知》B.E.2565(2022),自2022年12月15日起生效。我们在下面讨论了本通知的主要规定。
1. 数据控制者必须将以下任何个人数据泄露事件通知PDPC办事处和数据主体:
(1) 由于个人数据未经授权或错误地访问或披露,或由于错误、缺陷或事故而导致的机密性违规;
(2) 个人数据未经授权的更改或更正,或由于错误、缺陷或事故导致个人数据不准确或不完整,构成完整性违规; 而且
(3) 由于个人数据无法访问或被破坏,无法正常使用,造成可用性违规。
2. 当数据控制者意识到个人数据泄露或潜在的泄露时,数据控制者必须立即评估和审计泄露。如果确定违规行为对数据主体的权利和自由构成风险,数据控制者必须立即采取行动防止、暂停或纠正违规行为,并在得知违规行为后72小时内通知PDPC办事处。
3. 如果数据控制者发现违规行为可能对数据主体的权利和自由产生重大影响(考虑到本通知中列出的因素),数据控制者必须(1)立即将违规行为和本通知中所列的其他事实通知数据主体,(2)向数据主体提供数据控制者将采取的补救措施指南,以及(3)采取所有必要和适当的措施,暂停、回复、纠正或从个人数据泄露中恢复,并防止未来的泄露。
4. 数据控制者必须通过电子方式或PDPC办事处指定的任何其他方式以书面形式通知PDPC办事处该违规行为。如果由于不可避免的情况,数据控制者未能在72小时内通知PDPC办事处,则数据控制者必须在得知违规事件后15天内通知PDPC办事处,并说明延迟的原因。
5. 数据控制者必须在与数据处理者的数据处理协议中规定,数据处理者有义务在数据处理者意识到个人数据泄露后的72小时内立即通知数据控制者。
6. 如果数据泄露涉及多个数据主体,则数据控制者可通过公共媒体、社交媒体或电子手段或数据主体或公众可获得的任何其他手段,专门或一般地将数据泄露通知此类数据主体。
To see the archive of our past newsletters and articles please click here.
AUTHOR
- Senior Partner | bangkok
- Partner | bangkok
The information provided in this document is general in nature and may not apply to any specific situation. Specific advice should be sought before taking any action based on the information provided. Under no circumstances shall LawPlus Ltd. and LawPlus Myanmar Ltd. or any of their directors, partners and lawyers be liable for any direct or indirect, incidental or consequential loss or damage that results from the use of or the reliance upon the information contained in this document. Copyright © 2016 to 2020 LawPlus Ltd.