2024 年 6 月 14 日,泰國個人資料保護委員會(“PDPC”)發布關於刪除或銷毀個人資料或去識別個人資料的標準的公眾諮詢通知草案。
PDPC 表示,該通知草案旨在澄清《2019 年泰國個人資料保護法》(PDPA) 第 33 條關於要求資料控制者刪除、銷毀或去識別個人資料的權利的適用標準。如有下列情形之一,資料主體可以請求資料控制者刪除、銷毀或去識別化其個人資料:
- 個人資料不再需要用於其收集、使用或揭露的目的;
- 資料主體已撤回對個人資料處理的同意,且不存在其他合法的處理依據;
- 資料主體以合法利益或官方任務為由反對處理其個人資料,資料控制者沒有其他令人信服的理由拒絕該請求,且該資料不需要用於法律索賠;
- 資料主體反對為直接行銷目的處理其個人資料;
- 個人資料的處理是非法的。
刪除、銷毀或去識別個人資料的請求必須立即處理,但不得遲於收到請求之日起 60 天,必須執行該請求以涵蓋副本或個人資料(如果有)的備份必須進行,並且必須確保沒有人可以這樣做。以任何可以合理預期的方式。透過任何可以合理預期恢復或逆轉個人資訊的方式。能夠識別直接或間接擁有個人資料的人。如果資料控制者無法立即滿足請求,控制者必須採取組織、技術和實體措施,以確保個人資訊:
- 不會被資料控制者或任何其他人存取、使用或揭露,即使它仍然可用;
- 資料控制者不能使用該資訊來提供服務、影響決策或對個人資料所有者採取任何行動;
- 依風險程度進行適當的保護;
- 若因技術原因無法刪除、銷毀或去識別化,資料控制者必須證明並記錄這些原因。例如,在刪除或銷毀個人資料或使個人資料無法被所有者識別的情況,個人資訊可用。這可能會對他人的個人資料產生類似的負面影響。
在某些情況下,資料控制者可以選擇對個人資料進行去識別化或匿名化,而不是刪除或銷毀它。資料控制者必須符合以下標準:
- 刪除個人資料所有者的任何直接標識符,包括姓名、身分證號碼、電話號碼、圖片、生物識別數據和任何其他屬於個人且可識別其身份的資訊;
- 確保個人資料的擁有者無法透過將資訊保持在較低水準、使用假名或提供間接識別碼來重新識別;
- 考慮技術因素、背景、環境以及相關個人資訊的性質或類型。
通知草案還確認,資料控制者不能合法地拒絕刪除、銷毀或去識別化請求,並且必須通知個人資料所有者該請求已被執行。
本文同步發表於 https://0rz.tw/w6v05。
