泰國個人資料保護委員會 (“DPDC”) 於2022年7月發布一項法規,規定根據《佛歷2562年 (2019年)個人資料保護法》 (“PDPA”) 提交和處理數據主體[1]申訴的程序。該規定是《佛歷2565年 (2022年) 提交、拒絕、終止、審查申訴和申訴的考慮期限》,自 2022年7月12日起生效。
泰國 PDPA 允許數據主體對數據控制者、數據處理者或任何不遵守 PDPA 的人提出申訴。以下是有關申訴的要求和程序:
提起申訴
直接提交申訴至PDPC辦公室的“專家委員會”。可以依據PDPC宣布以掛號信或電子方式提交。此外,使用的語言必須清楚、平鋪直敘、有禮貌和恰當,且沒有直接或間接被視為勒索或恐嚇的措辭。沒有固定的申訴表格,但是申訴必須至少包含以下資訊:
- 申訴人(或授權代表人)的姓名、地址、電話號碼或電子郵件,以及身份證、護照或其他官方身份證明文件。如果申訴是由代表人提交,需要檢附委託書和代表人的身份證明文件;
- 有關違反PDPA的事實和細節;
- 損害或影響的細節;
- 相關證據;
- 數據主體要求進行的事情。
請注意,申訴信應包含證明信中資訊真實的句子。
審核申訴內容
提交申訴後,申訴人將收到確認收到申訴的憑證,說明收到申訴的日期和參考代碼。之後官員將在15天內進行初步審查,並將案件提交至專家委員會審議。委員會將考慮以下幾點:
- 申訴信描述的行為是否違反PDPA;
- 申訴是否有理據及合理性;
- 專家委員會是否有權審理申訴內容以及是否職責和權力是否符合其他法律或是否屬於其他機構。
一般而言,專家委員會會在第一次會議後90天內完成審查。如果得到PDPC 的批准,此期限可以延長兩次,每次最多60天。
結果
經專家委員會審議申訴後,將有以下結果之一:
- 如果專家委員會認為沒有違反PDPA,則駁回申訴;
- 如果證據不足則會拒絕;
- 如果申訴可以通過調解程序解決,則設置調解會議;
- 處以行政罰款。
[1] Data subject is a person who owns his/her personal data and is the one who give away his/her necessary personal data to a service provider (data controller) to have them perform according to what both parties agreed under the contract. However, a data subject does not include a juristic person and deceased person.
本文同步發表於 https://0rz.tw/qxy8q 。
