泰国将加强个人数据安全执法，执法现状和趋势如何？

泰国《个人数据保护法》（PDPA）已于2022年6月1日开始生效实施了。执法现状和趋势如何？

最近，泰国主管部门个人数据保护委员会（PDPC）声明，在PDPA实施的第一年将不会对违法行为进行处罚，以便让公众和企业有更多的时间进行准备。一年过渡期结束后，PDPC的目标将侧重于在保护个人数据和维护商业运行之间实现平衡。

PDPA规定，数据控制者和数据处理者如果要使用个人数据，必须事先取得数据所有者的同意，且只能将数据用于明示的用途。2022年12月15日，PDPC颁发了关于个人数据违规事件的通知程序细则规定。根据细则规定，任何机构在知悉数据违规事件后，必须在72小时内通知主管部门，否则将可被处以最高300万泰铢的罚款。

关于处罚的具体程度，PDPC声称将取决于违法者的意图。如果任何机构意图出卖个人数据，或者未能采取适当的安全措施去保护高度敏感的个人数据（例如健康记录），该机构将面临有期徒刑的处罚。

在罚款的金额方面，PDPC称将不会实施顶格罚款，而将考虑个案的情形，包括损害的程度和违法的次数等。

此外，机构还应设置数据保护官（DPO），负责报告违规事件和监督数据保护流程。DPO可以是机构自聘的IT经理，也可以是外聘的服务机构。

在2023年，PDPC计划制订一部新法规，以明确处理敏感个人数据的机构（如医疗和保险机构）设置DPO的义务。另外，机构还必须制定清晰的数据保护政策、数据储存流程以及用于防止黑客入侵和人为操作失误的个人数据读取监控措施。

在2023年第一季度，PDPC还将建立个人数据违规投诉渠道，方便民众通过网络等方式报告数据违规事件。