מה מצב ההגנה על הפרטיות בתאילנד?

לאחר ציפייה רבה, ב-28 במאי 2019 נחקק בתאילנד החוק להגנת המידע האישי (PDPA – Personal Data Protection Act). כניסתו לתוקף של החוק תוכננה לשנת 2020, כאשר במשך תקופת המעבר הממשל נדרש לכונן גוף רגולטורי חדש – הוועדה להגנת מידע אישי (PDPC), אשר עליה מוטלת האחריות לקדם תקנות בתחום ולאכוף את החוק החדש בממלכה.

טרום אישור חוק ה-PDPA לא התקיים בתאילנד חוק כולל המסדיר הגנה על מידע, שמאפשר זיהוי באופן אישי. איסוף, שימוש ועיבוד של נתונים אישיים בתאילנד הוסדרו בעבר במידה מסוימת, על ידי אוסף של חוקים, כולל החוקה התאילנדית והנחיות ספציפיות לכל מגזר. לכן, חוק הגנת המידע החדש סימן התפתחות חדשה בתחום פרטיות המידע והאבטחה ברחבי תאילנד.

הוארך בשנה יישום חוק הגנת המידע. תאילנד. אילוסטרציה: BigStock

בצו מלכותי שנמסר בחודש מאי 2020 הוארך יישום חוק הגנת המידע עד ליום 1 ביוני 2021, על מנת לאפשר לכל בעלי העניין זמן נוסף להתכונן להטמעתו. אך זו לא הייתה הדחייה האחרונה. ב-8 במאי 2021, על רקע השפעות מגיפת הקורונה על ארגונים וחברות בתאילנד, נדחתה אכיפת החוק בשנה נוספת, כך שזו תיכנס לתקוף רק מחודש יוני 2022 ואילך. סיבה נוספת לתמיכה בדחייה האחרונה נובעת מכך שהוועדה הרגולטורית המפקחת, ה-PDPC, טרם הוקמה כמתוכנן.

עד כה המשרד הממשלתי לכלכלה דיגיטלית וחברה (MDES), פעל כמשרד הזמני של ה-PDPC, וערך סדרת דיונים פומביים לקבוצת העדיפות הראשונה של תקנות משנה בחודש מרץ האחרון. אלה כוללים עקרונות מרכזיים מסוימים הנוגעים, בין היתר, למתן הסכמות על ידי נושאי נתונים לעיבוד נתונים אישיים רגישים ולא רגישים; קיזוז נתונים; מימוש זכויות נושא הנתונים; אמצעי הגנה על נתונים אישיים רגישים; וכן מינוי קצין אבטחת מידע (DPO) בכל חברה רלוונטית. העקרונות העיקריים של תקנות-משנה אלה נגזרים מהתקנה הכללית להגנת נתונים (GDPR), מסגרת הפרטיות של APEC, וכן מהנחיות ארגון ה-OECD בנושא הגנה על פרטיות והזרמת נתונים אישיים באופן חוצה גבולות ומדינות. עם זאת, ציר הזמן ליישום בפועל של תקנות משנה אלו עדיין אינו ברור.

השפעה על ארגונים ואזרחים ועל ישראלים העושים עסקים בתאילנד

החוק החדש עשוי להיות בעל השפעה על ארגונים באופן חוצה מגזרים. ההיקף החיצוני של חוק הגנת המידע מייצג הרחבה משמעותית של חובת הגנת הנתונים של תאילנד לכיסוי כל פעילויות העיבוד הנוגעות לנבדקים מבוססי תאילנד. כך, למשל, ארגונים ישראליים עשויים להידרש לציית לחוק, למרות שאין להם נוכחות חוקית בתאילנד, וזאת במקרה שהם עוסקים בעיבוד נתונים אישיים של נושאי נתונים בתאילנד, במטרה להציע סחורות ושירותים לתאילנדים.

לכן, על ארגונים לוודא כי הם מתואמים עם חוקי הגנת המידע לפני 1 ביוני 2022, אחרת יכולים להגיש נגדם תלונות מנהליות ופליליות במסגרת החוק החדש. לוועדה הרגולטורית עומדת הסמכות להביא מפירי נתונים, כגון ארגונים או בקרי נתונים, לבתי משפט פליליים. הפרות נתונים עשויות למשוך גם קנסות אדמיניסטרטיביים מרביים של עד 5,000,000 באט תאילנדי (כחצי מיליון שקל), בנוסף לעונשים הניתנים לעיתים נדירות על פי החוק התאילנדי, אשר יהיו זמינים אך מוגבלים גם במסגרת ה-PDPA.

על אזרחים/נושאי נתונים בתאילנד להיות מודעים לזכויות המוענקות במסגרת חוק הגנת המידע, מכיוון שהם רשאים להתנגד לסוג מסוים של עיבוד והגנה על הנתונים האישיים שלהם.

מה שארגונים צריכים לעשות לפני 1 ביוני 2022 כדי למנוע אי ציות לחוק:

• העלאת המודעות לבעלי העניין בנוגע לחשיבות ה-PDPA
• תיעוד של זרימת הנתונים בארגון/חברה
• הכנה או עיון בהודעות/מדיניות הפרטיות הנוכחיות
• זיהוי ותיעוד בסיס חוקי לשימוש בנתונים/רענון הסכמים קיימים
• יישום מדיניות ניהול אירועי דליפת מידע ונתונים והקמת צוות לניהול האירוע
• מינוי קצין אבטחת מידע (DPO)

הכותבת היא שותפה בפירמת עוה"ד הגלובאלית DLA Piper תאילנד. היא בעלת התמחות בדיני תאגידים, תוך התמקדות מיוחדת במיזוגים ורכישות של גופים ציבוריים ופרטיים, עסקאות מיזמים משותפים, ארגון מחדש של חברות, הגבלים עסקיים וכללי תאגידים ורגולציה. כמו כן הכותבת מוכרת כמי שייעצה בכמה מהעסקאות המורכבות ביותר בתאילנד, והובילה מספר תיקים שזכו לתואר 'עסקאות השנה' בתאילנד