タイ個人情報保護委員会(PDPC)は9月7日、2019年個人情報保護法(PDPA、2022年7月4日記事参照)に関連し、(1)PDPAに基づくデータ主体の同意取得手続きに関するガイドライン(同意ガイドライン)
、(2)PDPAに基づくデータ主体からの個人情報収集に関する目的・詳細の通知ガイドライン(通知ガイドライン)を公表した。
同意ガイドラインでは、同意に関する主な要件を以下のように定めている。
- 個人情報の処理前/処理時に取得すること
- 特定の目的に対するものであること
- 明確で理解しやすい言葉・条件を使用すること
- 自由に与えられたものであること(同意を強制されていない)
- 同意は、データ主体が契約やサービスの提供を受ける際の条件とならないこと
- データ主体が同意する前に、個人情報処理の目的や詳細について情報提供すること
同意取得に当たっての目的と詳細は、書面や口頭、SMS、Eメール、またはその他の電子的手段で通知することができる。未成年者の個人情報を収集する場合、本人確認と年齢確認を行う必要がある。10歳未満の場合は親の同意が必要だが、10歳~20歳の場合は、親の同意は不要だ。
通知ガイドラインでは、個人情報を収集する際のデータ主体に対する通知に関する主要な原則、目的の制限、法的根拠などを以下のように定めている。
- 公正さ:全てのデータ主体がデータ処理の目的と詳細について通知され、活動の詳細を理解できるようにすること。プライバシーノーティス(個人情報の取り扱いに関する説明)のかたちで通知されてもよい。
- 目的の制限:データ管理者はデータ主体に通知した目的の範囲外で個人情報を 使用してはならない。
- 同意:データ管理者が個人情報の収集やデータ処理の正当性について、他の法的根拠(契約書、正当な利益など)に依拠することができない場合、 データ主体から同意を得なければならない。
- 正当な利益(legitimate interests):データ管理者が個人情報の収集やデータ処理の正当性について、正当な利益に依拠する必要がある場合、データ処理自体は可能。しかし、データ主体の利益を保護し、またはデータ主体への影響を防止するため、慎重に処理しなければならない。
データ主体本人以外から個人情報を収集し、データ主体が知らない/同意していない個人情報を処理する場合、またはデータ管理者が処理に当たって新たな技術を使用する場合、結果として生じる潜在的リスクや影響を軽減するため、データ管理者はデータ処理影響評価(DPIA)を実施し、その活動に伴うリスクを評価すべきだ。
データ管理者は間接的収集の通知を行うことができない場合、または個人情報処理が困難になる可能性がある場合、通知義務は免除される。ただし、データ管理者はデータ主体の権利や自由、利益を保護するため適切な措置を講じる必要がある。また、データ管理者はプライバシーポリシーを一般に公開するか、DPIAを実施する必要がある。
(北見創、シリンポーン・パックピンペット)
からの記事と詳細 ( 個人情報保護委員会、同意取得と通知に関する2つのガイドライン公表(タイ) | ビジネス短信 ―ジェトロの海外ニュース - ジェトロ(日本貿易振興機構) )
https://ift.tt/mraMJzx
No comments:
Post a Comment