2022年6月10日和2022年6月14日，个人数据保护委员会(PDPC)根据《个人 数据保护法》B.E. 2562 (PDPA) 发布了其首批四个附属立法，如下所示。政府公报于2022年6月20日公布。第1项通知将于2022年12月17日生效。其他三项通知于2022年6月21日生效。

1、PDPC通知: 2022年6月10日数据处理器B.E.2565 编制和维护处理活动记录（ROPA）的标准和程序

数据处理方需要按照本通知规定的最低要求，编制和维护其处理（收集、使用、披露）个人数据的ROPA（书面或电子格式）。ROPA必须易于访问，并能容易地向PDPC、数据控制器或由PDPC或数据控制器指定的任何人显示。

2、PDPC通知：2022年6月10日关于小型企业B.E. 2565 活动记录（ROPA）的豁免

根据本通知，以下所列小型企业的数据控制员可免除根据PDPA第39节编制和维护ROPA的义务：

(1)  中小企业（如员工不超过200人或年收入不超过5亿泰铢的工厂，或员工不超过100人或收入不超过3亿泰铢的零售/批发企业）

(2)  社区企业或社区企业网络

(3)  社会企业或社会企业集团

(4)  合作社、合作社网络或农民团体

(5)  基金会、协会、宗教或非营利组织

(6)  家庭企业或其他类似企业。

3、PDPC 通知：2022年6月10日数据控制器安全措施B.E.2565

本通知规定了数据控制者和数据处理者应遵守的7项最低/适当的安全措施，以防止根据《个人数据保护法》第37(1) 条的规定，未经授权或非法丢失、访问、使用、更改、更正或披露个人数据（包括书面和数字格式）。

这些安全措施包括组织措施、技术/物理措施、确定信息资产可能发生的主要风险、维护个人数据的机密性、完整性和可用性的能力。

4、PDPC通知：2022年6月14日专家委员会B.E.2565 发布行政罚款命令的标准

当专家委员会发布对数据控制者或数据处理者或任何其他违反或不遵守PDPA或出口委员会命令的人处以罚款的行政命令时，本通知列出了专家委员会考虑的13项标准。这13项标准也适用于为行政执行专家委员会的命令而对受行政制裁的人的财产发出扣押、扣押或拍卖令。

To see the archive of our past newsletters and articles please click here.