الامتثال20 مايو 2026 | FlexyConsent

قانون حماية البيانات الشخصية في تايلاند عام 2026: دليل الناشر والمعلن لموافقة ملفات تعريف الارتباط والنقل عبر الحدود وتطبيق PDPC

دخل قانون حماية البيانات الشخصية التايلاندي B.E. 2562 (2019) — المعروف بـ PDPA — حيز التنفيذ الكامل في يونيو 2022 بعد تأخيرات متعددة، وقضى معظم السنوات الثلاث التالية في مرحلة بناء القدرات التنظيمية وإصدار اللوائح التابعة، فيما وصفته لجنة حماية البيانات الشخصية (PDPC) علنًا بـنهج تطبيق صبور. لقد انتهى ذلك النهج بشكل حاسم الآن. ملأت لوائح 2024 و2025 التابعة التفاصيل التي تركها القانون الأساسي مفتوحة، وبنى مكتب PDPC (المنظم التشغيلي) قدرته التنفيذية، وبحلول مطلع عام 2026 بدأت PDPC في إصدار غرامات إدارية بمستويات ذات معنى — بما في ذلك ضد المنصات الأجنبية التي تعالج بيانات المستخدمين التايلانديين من الخارج. بالنسبة لأي ناشر أو معلن أو منصة تعالج البيانات الشخصية للأفراد في تايلاند — سواء كانت مقيمة في تايلاند أو تخدم السوق التايلاندية من الخارج — فإن عام 2026 هو العام الذي يتوقف فيه PDPA عن كونه نظامًا هادئًا نسبيًا ليصبح أولوية تنفيذية ذات مصداقية. يستعرض هذا الدليل قانون PDPA كما هو في عام 2026، وما تتطلبه موافقة ملفات تعريف الارتباط فعليًا، وكيفية عمل النقل عبر الحدود بعد لوائح النقل لعام 2025، وكيف تبدو المواضيع التنفيذية المبكرة لـ PDPC في الممارسة العملية.

هيكل قانون PDPA في عام 2026

PDPA هو قانون حماية البيانات الأساسي في تايلاند، وهيكله يشبه عن كثب GDPR. أضافت اللوائح التابعة لعامَي 2024 و2025 تفاصيل تشغيلية كانت مفقودة سابقًا من القانون الأساسي.

ما أضافته اللوائح التابعة

خلال عامَي 2024 و2025، أصدرت PDPC لوائح تابعة تغطي: آليات نقل البيانات عبر الحدود، وتعيين مسؤولي حماية البيانات وواجباتهم، وإجراءات الإخطار بخرق البيانات، ومتطلبات سجل المعالجة، والجداول الزمنية لسير عمل حقوق أصحاب البيانات، ومعايير الموافقة المحددة للبيانات الشخصية الحساسة. نقلت هذه اللوائح مجتمعةً قانون PDPA من إطار عام إلى نظام تشغيلي مماثل لـ GDPR في تفصيله.

من يخضع للتنظيم

ينطبق PDPA على معظم المتحكمين في البيانات والمعالجين، مع امتداد خارج الحدود للمنظمات الأجنبية التي تعالج البيانات الشخصية للأفراد في تايلاند فيما يتعلق بتقديم البضائع أو الخدمات أو مراقبة السلوك. عادةً ما يكون الناشرون الأجانب الذين يخدمون المستخدمين التايلانديين من خلال مواقع محلية أو مخزون برمجي مشتراة مقابل عناوين IP تايلاندية ضمن النطاق، وقد استند PDPC إلى الحكم الخارجي في رسائل التطبيق المبكرة.

العقوبات الإدارية والجنائية

ينص PDPA على غرامات إدارية تصل إلى 5 ملايين باht تايلاندي (THB) لكل مخالفة، إلى جانب عقوبات جنائية لأشد الانتهاكات خطورة بما في ذلك السجن للمديرين في ظروف محددة. سقف الغرامة الإدارية أقل من GDPR بالقيم المطلقة، لكن النهج التصاعدي لـ PDPC وإمكانية المسؤولية الجنائية تجعل المخاطر الفعلية كبيرة.

ما يُعدّ بيانات شخصية بموجب PDPA

يتتبع تعريف البيانات الشخصية في PDPA عن كثب GDPR. البيانات الشخصية هي المعلومات المتعلقة بشخص محدد أو قابل للتحديد، وقد عاملت PDPC باستمرار ملفات تعريف الارتباط ومعرّفات الإعلانات وعناوين IP وبصمات الأجهزة والملفات التعريفية السلوكية بوصفها بيانات شخصية عندما يمكن ربطها بفرد مباشرة أو بالجمع مع معلومات أخرى.

البيانات الشخصية الحساسة

يحدد PDPA فئة حساسة واسعة تشمل: الأصل العرقي أو الإثني، والرأي السياسي، والمعتقد الديني أو الفلسفي، والسلوك الجنسي، والسجل الجنائي، وبيانات الصحة، والإعاقة، والعضوية في النقابات العمالية، والبيانات الجينية، والبيانات البيومترية. تتطلب معالجة البيانات الشخصية الحساسة موافقة صريحة وتُفعّل التزامات إضافية للمتحكم.

لماذا يهم هذا لملفات تعريف الارتباط

ملف تعريف الارتباط الذي يخزن معرّفًا اعتياديًا هو بيانات شخصية عادية. أما ملف تعريف الارتباط الذي يُغذّي شريحة جمهور تمس القائمة الحساسة في PDPA — الاهتمامات الصحية، والانتماء الديني، والميول السياسية — فهو معالجة للبيانات الشخصية الحساسة ويستلزم موافقة صريحة بدلًا من موافقة الإعلانات العامة. ينبغي تدقيق استهداف الجمهور باللغة التايلاندية الذي يتداخل مع القائمة الحساسة تحديدًا في مواجهة هذا الحد الفاصل.

موافقة ملفات تعريف الارتباط بموجب PDPA في عام 2026

يتيح PDPA أسسًا قانونية متعددة للمعالجة، لكن بالنسبة لملفات تعريف الارتباط والتقنيات المماثلة غير الضرورية بالكامل لتقديم الخدمة، تقاربت توجيهات PDPC والتطبيق المبكر على الموافقة بوصفها الخط الأساسي العملي.

عناصر الموافقة الصحيحة

يجب أن تكون الموافقة بموجب PDPA:

كيف يبدو نظام CMP المتوافق

ينبغي أن يقدّم نظام CMP المُهيأ لحركة المرور التايلاندية في عام 2026:

سجلات الموافقة

يجب على المتحكمين الاحتفاظ بأدلة الموافقة — من وافق، ومتى، وعلى أي غرض، ومن خلال أي واجهة. تمت الإشارة إلى سجلات الموافقة غير الكافية في عدة رسائل تطبيق من PDPC في عام 2025، وتُعدّ السجلات المختومة بالوقت القابلة للتصدير هي التوقع الأساسي.

النقل عبر الحدود بعد لوائح 2025

كانت لوائح النقل لعام 2025 أكثر التطورات الأخيرة أهمية للناشرين الأجانب، إذ أوضحت الآليات المتاحة لتدفقات البيانات عبر الحدود.

آليات النقل المعترف بها

توفر لوائح 2025 أربعة مسارات رئيسية:

قائمة الكفاية

أصدرت PDPC قرارات كفاية لعدد محدود من الولايات القضائية حتى مطلع 2026. الولايات المتحدة ليست على القائمة، مما يعني أن النقل إلى موردي تقنية الإعلانات والتحليلات المستندين إلى الولايات المتحدة يستلزم بنودًا تعاقدية أو شهادات أو إعفاءً قائمًا على الموافقة.

النهج العملي لعام 2026

بالنسبة لمعظم الناشرين الأجانب، يتمثل النهج العملي في تنفيذ البنود التعاقدية القياسية المعتمدة من PDPC مع المعالجين الدوليين، وتوثيق آلية النقل في إشعار الخصوصية باللغة التايلاندية، والتكميل بتصريح قائم على الموافقة فقط حيث لا تنطبق الآلية القياسية بشكل نظيف.

حقوق أصحاب البيانات بموجب PDPA

يمنح PDPA مجموعة من الحقوق تتتبع عن كثب GDPR:

الجداول الزمنية للردود

يجب على المتحكمين الرد على طلبات أصحاب البيانات في غضون 30 يومًا في إطار الإطار العام، مع نوافذ أقصر لأنواع طلبات محددة. يُعدّ الاستعداد التشغيلي لهذه النافذة — بأدوات وكتب تشغيل باللغة التايلاندية — فجوة شائعة لدى الناشرين الأجانب المضبوطين على إيقاع أوروبي.

متطلب مسؤول حماية البيانات DPO

أوضح النظام الفرعي لعام 2024 متى يكون تعيين مسؤول حماية البيانات مطلوبًا. يجب على المتحكمين الذين يعالجون كميات كبيرة من البيانات الشخصية، أو يجرون مراقبة منهجية لأصحاب البيانات، أو يعالجون البيانات الشخصية الحساسة على نطاق واسع، تعيين مسؤول حماية البيانات. المتحكمون الأجانب الذين يبلغون عتبة الحجم من خلال المستخدمين التايلانديين ضمن النطاق. يجب أن تكون معلومات الاتصال بمسؤول حماية البيانات متاحة في إشعار الخصوصية باللغة التايلاندية.

العقوبات ونهج التطبيق في عام 2026

تصاعد نشاط تطبيق PDPC بشكل ملموس خلال عامَي 2024 و2025، وعام 2026 على مسار مماثل.

هيكل الغرامات الإدارية

تتدرج الغرامات الإدارية حسب نوع المخالفة، بحد أقصى 5 ملايين باht تايلاندي (THB) لكل مخالفة للانتهاكات الأشد خطورة. تجذب الانتهاكات الروتينية — لافتات الموافقة غير الكافية، وغياب إشعارات الخصوصية، والإخفاق في الرد على طلبات أصحاب البيانات — عادةً غرامات في نطاق مئات الآلاف من باht التايلاندي (THB) الأدنى، لكنها يمكن أن تتصاعد بسرعة للانتهاكات المتكررة أو المشددة.

المسؤولية الجنائية كضمان أخير

خلافًا لـ GDPR، ينص PDPA على المسؤولية الجنائية للانتهاكات الأشد خطورة، بما في ذلك سجن المديرين في ظروف محددة. أوضح النظام الفرعي لعام 2024 نطاق المسؤولية الجنائية، وبينما لم يُطبَّق ضد الناشرين الأجانب في عام 2026 حتى الآن، فإن الاحتمالية تُشكّل تحليل المخاطر لأي منظمة تعالج البيانات التايلاندية على نطاق واسع.

مواضيع التطبيق

تتمحور إجراءات PDPC لعامَي 2025 وأوائل 2026 حول: لافتات الموافقة الغامضة أو الغائبة، وغياب إشعارات الخصوصية باللغة التايلاندية، والنقل عبر الحدود دون آلية صحيحة بموجب لوائح 2025، والإخفاق في الرد على طلبات أصحاب البيانات في غضون نافذة 30 يومًا، وغياب تعيينات مسؤول حماية البيانات للمتحكمين الخاضعين للنطاق. تمت الإشارة إلى الناشرين الأجانب في جميع الفئات الخمس.

قائمة تدقيق لحركة المرور التايلاندية في عام 2026

التوقعات لعام 2026

نضج نظام الخصوصية في تايلاند من قانون أساسي ذي تفاصيل تشغيلية محدودة إلى نظام يتمتع باللوائح التابعة وقدرة التطبيق والإرادة السياسية للتطبيق الفعّال. أغلقت لوائح النقل عبر الحدود لعام 2025 الثغرة الهيكلية الأكثر أهمية، ونهج التطبيق المبكر لـ PDPC يتسق مع جهة تنظيمية جادة في منتصف التوسع بدلًا من واحدة ستظل هادئة. بالنسبة للناشرين الذين يديرون بالفعل حزمة موافقة على مستوى GDPR، فإن الفجوة لامتثال PDPA تشغيلية لا معمارية: نظام CMP وإشعار خصوصية باللغة التايلاندية، وآليات نقل معتمدة من PDPC، وإيقاع الاستجابة خلال 30 يومًا، وتعيين مسؤول حماية البيانات عند الاقتضاء، والعناية بقائمة البيانات الحساسة الأوسع في PDPA. يمكن سد الفجوة في غضون أسابيع إذا أُعطيت الأولوية — وتايلاند سوق جنوب شرق آسيوي ذو أهمية، لذا فإن إعطاء الأولوية يؤتي ثماره عادةً بسرعة. الناشرون الذين تعاملوا مع تايلاند كسوق أخف وطأة خلال عام 2024 يجدون عام 2026 أكثر صرامة بشكل ملموس، والاتجاه واضح.

← المدونة قراءة الكل →