泰国数字经济与社会部(MDES)下属的个人数据保护委员会(PDPC)宣布根据《个人数据保护法》B.E. 2562(2019)(PDPA)做出的首例行政罚款裁定。一家大型私营公司因未遵守PDPA的特定规定,导致个人数据未经授权泄露给诈骗电话团伙(电话诈骗犯),被罚款700万泰铢。
不合规的主要发现
个人数据保护委员会认定,该公司存在三项违反《个人数据保护法》特定要求的主要违规行为:
- 未任命数据保护官(DPO):尽管该公司在其核心业务中处理了超过10万人的个人数据,但未按要求任命数据保护官。
- 安全措施不足:该公司未采取必要的安全措施,导致数据泄露事件,涉及电话诈骗团伙,造成广泛损害。
- 数据泄露通知延迟:该公司未在规定的时间内向相关当局通报数据泄露事件,也未及时处理该事件,致使问题无法得到有效解决。
除罚款外,个人数据保护委员会及《个人数据保护法》专家委员会还发布了整改命令,要求该公司采取以下行动,并在接到命令后七天内向PDPC办公室报告相关的整改措施:
- 实施最新的安全措施:该公司必须改进现有的安全措施,以防止未来的数据泄露,并确保这些安全措施与不断变化的技术同步更新。
- 提高员工意识:公司必须对相关人员进行培训,确保其了解数据合规性和数据保护的实践。
这一重大行政行动为泰国政府和商业部门处理数据泄露事件树立了先例,同时也确认了遵守《个人数据保护法》的重要性,特别是加强安全措施、及时进行数据泄露通知以及任命专职数据保护官的必要性。
此次罚款凸显了与不合规相关的财务和声誉风险。各组织不仅需要完善的数据保护措施以遵守法规,还需通过保护个人数据来维护公众信任。
这一具有里程碑意义的裁决为泰国的数据保护与合规设立了新的标准。凡在泰国运营或与泰国有业务联系的企业,应重新审视其数据保护策略,确保其符合最新法律要求,避免今后出现类似的违规行为及相关处罚。
注意:本文为英文文章的中文翻译。原文请参见以下链接。
www.tilleke.com/insights/landmark-fine-imposed-under-thailands-personal-data-protection-act/