Aktuelles zum thailändischen Wirtschaftsrecht
Aktualisierte Kriterien für die Löschung, Vernichtung und De-Identifizierung von personenbezogenen Daten in Thailand
27.08.2024
Von unserem deutschsprachigen CBBL-Anwalt in Bangkok, Herrn Rechtsanwalt Dr. Andreas Respondek, respondek@cbbl-lawyers.de, Tel. +66 2 635 5498, www.rflegal.com
sowie Ms. Sutthida Norasarn und Ms. Piriya Kimsawat
Am 14. Juni 2024 hat der thailändische Ausschuss für den Schutz personenbezogener Daten („PDPC“) einen Entwurf für eine Mitteilung im Rahmen des Personal Data Protection Act 2019 („PDPA“) veröffentlicht, in dem die Kriterien dargelegt werden, welche die für die Datenverarbeitung Verantwortlichen bei der Löschung, Vernichtung und De-Identifizierung personenbezogener Daten zu beachten haben.
Der besagte Entwurf verlangt von den für die Verarbeitung Verantwortlichen, dass sie unverzüglich auf den Antrag einer betroffenen Person auf Löschung, Vernichtung oder De-Identifizierung personenbezogener Daten reagieren und den Vorgang innerhalb von 60 Tagen nach Erhalt des Antrags abschließen. Wenn der für die Datenverarbeitung Verantwortliche dem Antrag nicht sofort nachkommen kann, muss er vorläufige Maßnahmen ergreifen, um die Erhebung, Verwendung oder Weitergabe der personenbezogenen Daten zu erschweren. Dazu gehören die Verhinderung des Zugriffs auf die Daten und die Anwendung geeigneter Sicherheitsmaßnahmen, um sie vor unbefugter Nutzung oder Offenlegung zu schützen.
In einigen Fällen kann sich ein für die Verarbeitung Verantwortlicher dafür entscheiden, personenbezogene Daten zu de-identifizieren oder zu anonymisieren, anstatt sie zu löschen oder zu vernichten. Dazu muss der für die Datenverarbeitung Verantwortliche die folgenden Kriterien erfüllen:
- Es muss ein strukturierter Prozess vorhanden sein, um alle direkten Identifikatoren, die mit der betroffenen Person in Verbindung stehen, zu entfernen oder zu eliminieren, wie z. B. Namen, Identifikationsnummern, persönliche E-Mail-Adressen und biometrische Daten.
- Es müssen zusätzliche Maßnahmen ergriffen werden, um sicherzustellen, dass die Daten die betroffene Person nicht indirekt identifizieren können. Das Risiko der Identifizierung der betroffenen Person muss so gering sein, dass eine erneute Identifizierung verhindert wird. Der für die Verarbeitung Verantwortliche kann eine Pseudonymisierung der Daten in Betracht ziehen oder Maßnahmen ergreifen, um das Risiko einer Identifizierung durch indirekte Identifikatoren wie Geburtsdatum, IP-Adresse, Alter und Position zu verringern.
Eine De-Identifizierung oder Anonymisierung ist jedoch nicht zulässig, wenn eine betroffene Person von ihrem Recht auf Löschung Gebrauch macht, weil ihre personenbezogenen Daten unrechtmäßig verarbeitet wurden. In solchen Fällen müssen die Daten vollständig gelöscht oder vernichtet werden, um dem Antrag der betroffenen Person zu entsprechen.
Der Entwurf der PDPC-Meldung wird derzeit weiter überarbeitet. Über die weitere Entwicklung werden wir berichten.
Sie haben weitere Fragen zu den aktuellen Kriterien für die Löschung personenbezogener Daten in Thailand? Sprechen Sie uns an!
Unser deutschsprachiger CBBL-Anwalt in Bangkok, Herr Rechtsanwalt Dr. Andreas Respondek, berät Sie gerne: respondek@cbbl-lawyers.de, Tel. +66 2 635 5498