Nền tảng của niềm tin trong kỷ nguyên số
Sau 3 năm có hiệu lực kể từ năm 2022, Luật Bảo vệ dữ liệu cá nhân (PDPA) của Thái Lan đã chứng minh là một bước đi đúng đắn cần thiết, tạo ra một bộ tiêu chuẩn rõ ràng cho việc bảo vệ các thông tin cá nhân, giúp các doanh nghiệp địa phương nâng cao uy tín trên trường quốc tế.
Khung pháp lý quan trọng về bảo mật dữ liệu
PDPA yêu cầu những người quản lý và xử lý dữ liệu khi sử dụng thông tin cá nhân phải có sự đồng ý của người sở hữu dữ liệu và chỉ sử dụng nó với các mục đích đã được công bố. Chủ sở hữu dữ liệu có quyền yêu cầu truy cập cũng như xóa dữ liệu cá nhân của họ. Họ cũng có quyền phản đối việc thu thập, sử dụng hay tiết lộ dữ liệu cá nhân của mình.

Nguồn: INT
Các đơn vị quản lý dữ liệu có nghĩa vụ triển khai những biện pháp an toàn phù hợp và trong trường hợp bị rò rỉ dữ liệu phải thông báo tới văn phòng Ủy ban Bảo vệ Dữ liệu cá nhân (PDPC) trong vòng 72 giờ. Họ cũng có nghĩa vụ ngăn chặn, không để những người tiếp nhận dữ liệu cá nhân sử dụng hoặc tiết lộ dữ liệu bất hợp pháp hoặc không có thẩm quyền. Người xử lý dữ liệu có nhiệm vụ thu thập, sử dụng và tiết lộ dữ liệu cá nhân theo lệnh của người kiểm soát dữ liệu và bảo đảm các biện pháp an ninh phù hợp.
Bên cạnh đó, các cơ quan nhà nước, các công ty xử lý dữ liệu quy mô lớn phải bổ nhiệm người giữ chức vụ Nhân viên bảo vệ dữ liệu (DPO). Người giữ vị trí này có trách nhiệm giúp đỡ tổ chức bảo đảm dữ liệu cá nhân của người dùng được xử lý đúng theo yêu cầu của PDPA cũng như làm đầu mối liên hệ về các vấn đề dữ liệu cá nhân với các cơ quan chức năng và chủ sở hữu dữ liệu.
Luật Bảo vệ dữ liệu cá nhân Thái Lan cũng quy định các khoản phạt hành chính lên tới 5 triệu baht đối với những người vi phạm luật, phạt hình sự lên tới 1 năm hoặc phạt tiền lên tới 1 triệu baht và bồi thường thiệt hại với giá trị cao gấp hai lần so với mức thiệt hại thực tế. Trong tiêu chí ban hành lệnh phạt và tiền phạt hành chính, PDPC nêu rõ các yếu tố phải xem xét, bao gồm mức độ nghiêm trọng của vi phạm, quy mô doanh nghiệp của bên kiểm soát hoặc bên xử lý dữ liệu, lợi ích mà chủ thể dữ liệu nhận được từ hành động quản lý và tác động đến bên kiểm soát, bên xử lý hoặc bên vi phạm. Ngoài ra, cũng phải tính đến tác động rộng rãi đối với các doanh nghiệp hoặc công ty liên quan.
Cùng với việc ban hành luật vào năm 2022, Thái Lan cũng thành lập Ủy ban Bảo vệ dữ liệu cá nhân. Điều này đã giúp tăng thêm sức nặng đáng kể cho khuôn khổ quản lý của PDPA. Thái Lan cũng ban hành luật bổ trợ, cùng với các diễn giải pháp lý của Ủy ban Chuyên gia - cơ quan được ủy quyền xem xét khiếu nại, điều tra và áp dụng các biện pháp trừng phạt - đã nâng cao hơn nữa hiệu quả của PDPA, khi Thái Lan tăng cường nỗ lực bảo đảm an toàn và bảo mật dữ liệu cá nhân.
PDPA được kỳ vọng nền tảng pháp lý cốt lõi giúp tạo ra niềm tin trong việc bảo vệ dữ liệu cá nhân trong nền kinh tế số của Thái Lan. Đây là một trong 12 luật liên quan tới kỹ thuật số mà Thái Lan đã đưa ra để hỗ trợ nền kinh tế số. Chủ tịch PDPC Thienchai Na Nakorn nhấn mạnh: “PDPA sẽ nâng cao tiêu chuẩn bảo vệ dữ liệu ở Thái Lan ngang bằng với các nước khác. Đạo luật này cũng sẽ hỗ trợ các doanh nghiệp Thái giành được sự công nhận của quốc tế về tiêu chuẩn bảo vệ dữ liệu cá nhân”.
Vụ xử lý đầu tiên được áp dụng theo PDPA
Hai năm sau khi PDPA của Thái Lan có hiệu lực đầy đủ và được thực thi, Ủy ban Chuyên gia đã ban hành mức phạt hành chính đầu tiên vào ngày 31.7.2024, khi một công ty tư nhân kinh doanh hàng hóa trực tuyến đã phải chịu mức phạt đáng kể là 7 triệu bath do vi phạm nghiêm trọng quy định tuân thủ.
Vụ việc được phanh phui sau khi 23 khách hàng nộp đơn khiếu nại lên Văn phòng PDPC, báo cáo rằng họ nhận được cuộc gọi từ những cá nhân mạo danh nhân viên, có thông tin khách hàng cụ thể bao gồm họ tên đầy đủ, địa chỉ, thông tin liên lạc và nhiều thông tin khác. Ngoài ra, khách hàng còn phàn nàn về tình trạng một nhóm lừa đảo qua mạng viễn thông liên tục sử dụng dữ liệu cá nhân họ.
Thông tin về vi phạm dữ liệu đã được phổ biến rộng rãi trên phương tiện truyền thông xã hội và các nền tảng trực tuyến, khiến công chúng biết đến. Những hành động này được coi là cẩu thả và thể hiện sự thiếu cam kết bảo vệ quyền của chủ thể dữ liệu.
PDPC đã xác định ba hành vi vi phạm nghiêm trọng các quy định Luật PDPA, cụ thể như sau: Công ty không chỉ định một nhân viên DPO. Quy định này áp dụng đối với các công ty phải xử lý hơn 100.000 dữ liệu cá nhân khách hàng.
Các biện pháp bảo mật của công ty không đạt tiêu chuẩn PDPA, đặc biệt là về kiểm soát truy cập và quản lý ủy quyền liên quan đến xử lý dữ liệu cá nhân. Nhân viên của bất kỳ bộ phận nào cũng có thể truy cập hoàn toàn vào dữ liệu cá nhân của khách hàng. Lỗ hổng này dẫn đến vi phạm về bảo mật, trong đó dữ liệu cá nhân bị lộ cho một hoạt động lừa đảo qua mạng viễn thông.
Công ty cũng chậm trễ trong việc báo cáo vi phạm cho Văn phòng PDPC. Theo PDPA, bên kiểm soát dữ liệu phải thông báo ngay lập tức và trong vòng 72 giờ kể từ khi biết về vi phạm. Phản hồi chậm trễ đã cản trở những nỗ lực kịp thời để giải quyết sự cố.
Với những lỗi vi phạm kể trên, Ủy ban Chuyên gia ra phán quyết mức 7 triệu bath, đồng thời ban hành lệnh khắc phục yêu cầu công ty phải hành động ngay lập tức và báo cáo các biện pháp khắc phục cho Văn phòng PDPC trong vòng 7 ngày. Ngoài ra, công ty được yêu cầu tiến hành đào tạo nhân viên để tăng cường tuân thủ các giao thức bảo vệ và tuân thủ dữ liệu. Nếu không tuân thủ các hành động khắc phục này có thể dẫn đến khoản tiền phạt hành chính bổ sung lên tới 500.000 THB.
Vụ việc này đặt ra tiền lệ quan trọng cho việc thực thi bảo vệ dữ liệu trong tương lai tại Thái Lan, chứng minh cam kết của PDPC về việc tuân thủ nghiêm ngặt các quy định. Vụ việc nhấn mạnh nhu cầu cấp thiết đối với các tổ chức trong việc tuân thủ các yêu cầu của PDPA, đặc biệt là trong việc duy trì các biện pháp bảo mật mạnh mẽ, thông báo kịp thời cho các cơ quan chức năng về các vi phạm và chỉ định một DPO.