Tailanddakı PDPA 2026-cı ildə: Çərəz Razılığı, Sərhədlərarası Ötürmələr və PDPC İcrası üçün Nəşriyyatçı və Reklamçı Bələdçisi
Tailandın Şəxsi Məlumatların Mühafizəsi Aktı B.E. 2562 (2019) — PDPA adıyla tanınan — bir neçə gecikmədən sonra 2022-ci ilin iyununda tam qüvvəyə mindi və ardınca gələn üç ilin böyük hissəsini tənzimləyici potensialın inkişafı, tabe qanunvericilik tətbiqi mərhələsində keçirdi; Şəxsi Məlumatların Mühafizəsi Komitəsi (PDPC) bunu açıq şəkildə səbirli icra mövqeyi kimi təsvir etdi. Bu mövqe indi qətiyyətlə sona çatmışdır. 2024 və 2025-ci il tabe qanunvericiliyi əsas qanunun açıq qoyduğu təfərrüatları doldurdu, PDPC Ofisi (əməliyyat tənzimləyicisi) icra potensialını inkişaf etdirdi və 2026-cı ilin əvvəlinə qədər PDPC mənalı səviyyələrdə inzibati cərimələr verməyə başladı — xaricdən Tailand istifadəçilərinin məlumatlarını emal edən xarici platformlara qarşı da daxil olmaqla. Tailanddakı fiziki şəxslərin şəxsi məlumatlarını emal edən hər hansı nəşriyyatçı, reklamçı və ya platforma üçün — istər Tailandda yerləşsin, istər xaricdən Tailand bazarına xidmət etsin — 2026-cı il PDPA-nın nisbətən sakit bir rejim olmaqdan çıxıb etibarlı bir icra prioritetinə çevrildiyi ildir. Bu bələdçi PDPA-nı 2026-cı ildəki vəziyyətdə, çərəz razılığının əslində nə tələb etdiyini, 2025-ci il köçürmə qaydalarından sonra sərhədlərarası ötürmələrin necə işlədiyini və PDPC-nin erkən icra mövzularının praktikada necə göründüyünü izah edir.
2026-cı ildə PDPA-nın Strukturu
PDPA Tailanddakı əsas məlumat mühafizəsi qanunudur və onun strukturu GDPR-a çox bənzəyir. 2024 və 2025-ci il tabe qanunvericiliyi əvvəllər əsas qanunda olmayan əməliyyat təfərrüatları əlavə etdi.
Tabe Qanunvericilik Nə Əlavə Etdi
2024 və 2025-ci illər ərzində PDPC aşağıdakıları əhatə edən tabe qanunvericilik aktları çıxardı: sərhədlərarası məlumat ötürmə mexanizmləri, Məlumat Mühafizəsi Zabitlərinin təyin edilməsi və vəzifələri, məlumat pozuntusu barədə bildiriş prosedurları, emal qeydləri tələbləri, məlumat subyektlərinin hüquqları iş axını cədvəlləri və həssas şəxsi məlumatlar üçün xüsusi razılıq standartları. Bu qaydalar birlikdə PDPA-nı ümumi bir çərçivədən GDPR-a bənzər ətraflı bir əməliyyat rejiminə çevirdi.
Kim Tənzimlənir
PDPA əksər məlumat nəzarətçiləri və emalçılarına tətbiq olunur, əmtəə və ya xidmətlər təklif etmək və ya davranışa nəzarət etmək baxımından Tailanddakı fiziki şəxslərin şəxsi məlumatlarını emal edən xarici təşkilatlar üçün ərazi xaricindəki əhatəsi ilə. Yerli saytlar vasitəsilə Tailand istifadəçilərinə xidmət edən və ya Tailand IP-lərinə qarşı alınmış proqramlı inventarla işləyən xarici nəşriyyatçılar adətən əhatə daxilindədir və PDPC erkən icra məktublarında ərazixarici müddəaya müraciət etmişdir.
İnzibati və Cinayət Sanksiyaları
PDPA hər pozuntu üçün 5 milyon THB-ə qədər inzibati cərimələr, ən ciddi pozuntular üçün müəyyən hallarda direktorların həbsi daxil olmaqla cinayət cəzaları nəzərdə tutur. İnzibati cərimə tavanı mütləq dəyərlər baxımından GDPR-dan aşağıdır, lakin PDPC-nin artan icra mövqeyi və cinayət məsuliyyətinin mövcudluğu effektiv riski əhəmiyyətli edir.
PDPA Çərçivəsində Şəxsi Məlumat Sayılan Nədir
PDPA-nın şəxsi məlumat tərifi GDPR-a çox yaxındır. Şəxsi məlumat müəyyən edilmiş və ya müəyyən edilə bilən şəxslə əlaqəli məlumatdır və PDPC çərəzləri, reklam tanımlayıcılarını, IP ünvanlarını, cihaz barmaq izlərini və davranış profilllərini birbaşa və ya digər məlumatlarla birlikdə bir şəxsə bağlana bildikdə şəxsi məlumat kimi ardıcıl olaraq qiymətləndirmişdir.
Həssas Şəxsi Məlumatlar
PDPA geniş bir həssas kateqoriya müəyyən edir: irqi və ya etnik mənşə, siyasi fikir, dini və ya fəlsəfi inanc, cinsi davranış, cinayət məsuliyyəti, sağlamlıq məlumatları, əlillik, həmkarlar ittifaqı üzvlüyü, genetik məlumat və biometrik məlumat. Həssas şəxsi məlumatların emalı açıq razılıq tələb edir və əlavə nəzarətçi öhdəlikləri yaradır.
Bu Niyə Çərəzlər Üçün Vacibdir
Adi tanımlayıcı saxlayan çərəz adi şəxsi məlumatlardır. PDPA həssas siyahısına toxunan bir auditoriya seqmentini — sağlamlıq maraqları, dini mənsubiyyət, siyasi meyllər — qidalandıran çərəz isə həssas şəxsi məlumat emalıdır və ümumi reklam razılığı deyil, açıq razılıq tələb edir. Həssas siyahı ilə üst-üstə düşən Tailand dilli auditoriya hədəfləməsi bu sərhədə qarşı xüsusi olaraq yoxlanılmalıdır.
2026-cı ildə PDPA Çərçivəsində Çərəz Razılığı
PDPA emal üçün bir neçə qanuni əsas icazə verir, lakin xidmətin göstərilməsi üçün tam zəruri olmayan çərəzlər və oxşar texnologiyalar üçün PDPC-nin rəhbərliyi və erkən icra praktiki baza xətti kimi razılıq üzərində birləşmişdir.
Etibarlı Razılığın Elementləri
PDPA çərçivəsində razılıq aşağıdakı kimi olmalıdır:
- Azad verilmiş — məcburiyyət olmadan və ya əsas xidmətin göstərilməsi ilə birləşdirilmədən
- Məlumatlı — məlumat subyekti hansı məlumatların, kim tərəfindən və hansı məqsədlə emal edildiyini anlayır
- Xüsusi — ümumi razılıq deyil, aydın şəkildə müəyyən edilmiş məqsədlərə bağlıdır
- Birmənalı — passivlikdən çıxarılmış deyil, aydın müsbət bir fəaliyyətlə ifadə edilmişdir
- Açıq həssas şəxsi məlumatları əhatə edən hallarda, həssas emal üçün ayrıca və xüsusi razılıqla
Uyğun CMP Necə Görünür
2026-cı ildə Tailand trafikinə konfiqurasiya edilmiş CMP aşağıdakıları təqdim etməlidir:
- Tailand istifadəçiləri üçün standart olaraq Tailand dilində (ภาษาไทย) hər hansı qeyri-zəruri çərəz və ya izləyicinin aktivləşməsindən əvvəl görünən banner
- ยอมรับ (Qəbul et), ปฏิเสธ (Rədd et) və ตั้งค่า (Parametrlər) üçün bərabər vizual görkəmlilik — PDPC, Rədd et əməliyyatının vizual olaraq az vurğulandığı banner dizaynlarını tənqid etmişdir
- Hər məqsəd üçün ətraflı açar-düymələr: analitika, reklam, fərdiləşdirmə, sərhədlərarası ötürmə və hər hansı həssas kateqoriya emalı
- Həssas şəxsi məlumat emalı üçün ayrıca, aydın etiketlənmiş axın, öz əməliyyatının arxasında kilidlənmiş
- İlk seçimdən sonra razılığı geri götürmək üçün davamlı, asanlıqla tapılan mexanizm
- Nəzarətçi, emalçılar, məqsədlər, alıcılar, saxlama müddəti və hüquqların tam açıqlamaları ilə Tailand dilində məxfilik bildirişi
Razılıq Qeydləri
Nəzarətçilər razılığın sübutunu saxlamalıdır — kim, nə zaman, hansı məqsəd üçün və hansı interfeys vasitəsilə razılıq verdi. Bir neçə PDPC icra məktubunda 2025-ci ildə qeyri-kafi razılıq qeydləri qeyd edilmişdir və ixrac edilə bilən vaxt damğalı jurnallar əsas gözləntidir.
2025-ci İl Qaydalarından Sonra Sərhədlərarası Ötürmələr
2025-ci il köçürmə qaydaları xarici nəşriyyatçılar üçün ən nəticəli son inkişaf oldu və sərhədlərarası məlumat axınları üçün mövcud mexanizmləri aydınlaşdırdı.
Tanınan Köçürmə Mexanizmləri
2025-ci il qaydaları dörd əsas yol təmin edir:
- PDPC-nin təyinat ölkəsini kifayət qədər mühafizə təmin etdiyi kimi qiymətləndirdiyi Yeterli qoruma təyinatı
- PDPC-nin təsdiqlədiyi standart müqavilə müddəaları və məcburi korporativ qaydalar daxil olmaqla müqavilə mexanizmləri vasitəsilə Uyğun tədbirlər
- Kifayət qədər açıqlama ilə məlumat subyektinin açıq razılığı, müqavilə zərurəti, həyati maraq və əhəmiyyətli ictimai maraq daxil olmaqla Xüsusi istisnalar
- PDPC tərəfindən müəyyən sektor və ya fəaliyyətlər üçün tanınan Sertifikat sxemləri
Adekvatlıq Siyahısı
PDPC 2026-cı ilin əvvəlinə qədər bir neçə yurisdiksiya üçün adekvatlıq qərarları çıxarmışdır. Amerika Birləşmiş Ştatları siyahıda deyil, bu o deməkdir ki, ABŞ-da yerləşən reklam texnologiyası və analitika satıcılarına ötürmələr müqavilə müddəaları, sertifikat və ya razılığa əsaslı istisna tələb edir.
2026-cı İlin Praktik Yanaşması
Əksər xarici nəşriyyatçılar üçün iş yanaşması beynəlxalq emalçılarla PDPC-nin təsdiqlədiyi standart müqavilə müddəalarını imzalamaq, köçürmə mexanizmini Tailand dilindəki məxfilik bildirişində sənədləşdirmək və yalnız standart mexanizm aydın şəkildə uyğun olmadığı yerdə razılığa əsaslı icazə ilə tamamlamaqdır.
PDPA Çərçivəsində Məlumat Subyektlərinin Hüquqları
PDPA GDPR-a çox yaxın olan bir hüquqlar toplusu verir:
- Nəzarətçinin saxladığı şəxsi məlumatlara giriş hüququ
- Qeyri-dəqiq və ya natamam məlumatların düzəldilməsi hüququ
- Silinmə hüququ
- Emalı məhdudlaşdırma hüququ
- Məlumatların daşınması hüququ
- Emala etiraz hüququ
- Razılığı geri götürmə hüququ
- Əhəmiyyətli nəticələr doğuran avtomatlaşdırılmış qərar qəbuluna tabe olmama hüququ
- PDPC-yə şikayət etmə hüququ
Cavab Müddətləri
Nəzarətçilər ümumi çərçivə çərçivəsində məlumat subyektlərinin sorğularına 30 gün ərzində cavab verməlidir, müəyyən sorğu növləri üçün daha qısa müddətlər mövcuddur. Bu müddət üçün əməliyyat hazırlığı — Tailand dilli alətlər və əməliyyat sənədləri ilə — Avropa sürətinə uyğunlaşdırılmış xarici nəşriyyatçılar üçün ümumi bir boşluqdur.
DPO Tələbi
2024-cü il tabe qanunvericiliyi DPO-nun nə zaman tələb olunduğunu aydınlaşdırdı. Böyük həcmdə şəxsi məlumat emal edən, məlumat subyektlərinin sistematik monitorinqini aparan və ya miqyasda həssas şəxsi məlumat emal edən nəzarətçilər DPO təyin etməlidir. Tailand istifadəçiləri vasitəsilə həcm həddinə çatan xarici nəzarətçilər əhatə daxilindədir. DPO-nun əlaqə məlumatları Tailand dilindəki məxfilik bildirişində əlçatan olmalıdır.
2026-cı ildə Cəzalar və İcra Mövqeyi
PDPC-nin icra fəaliyyəti 2024 və 2025-ci illər ərzində mənalı şəkildə artmışdır və 2026-cı il oxşar bir istiqamətdədir.
İnzibati Cərimə Strukturu
İnzibati cərimələr pozuntu növünə görə dərəcələnir, ən ciddi pozuntular üçün pozuntu başına maksimum 5 milyon THB ilə. Rutin pozuntular — qeyri-kafi razılıq bannerları, çatışmayan məxfilik bildirişləri, məlumat subyektlərinin sorğularına cavab verməmək — adətən daha aşağı yüz minlər THB diapazonunda cərimə cəlb edir, lakin təkrarlanan və ya ağırlaşdırılmış pozuntular üçün tez yüksələ bilər.
Cinayət Məsuliyyəti Təminatı
GDPR-dan fərqli olaraq, PDPA müəyyən hallarda direktorların həbsi daxil olmaqla ən ciddi pozuntular üçün cinayət məsuliyyəti nəzərdə tutur. 2024-cü il tabe qanunvericiliyi cinayət məsuliyyətinin əhatəsini aydınlaşdırdı və hələ 2026-cı ildə xarici nəşriyyatçılara qarşı tətbiq edilməmiş olsa da, bu ehtimal geniş miqyasda Tailand məlumatlarını emal edən hər hansı bir təşkilat üçün risk analizini formalaşdırır.
İcra Mövzuları
PDPC-nin 2025-ci il və 2026-cı ilin əvvəlindəki hərəkətləri bunların ətrafında toplanmışdır: qeyri-müəyyən və ya olmayan razılıq bannerları, Tailand dilindəki məxfilik bildirişlərinin olmaması, 2025-ci il qaydaları çərçivəsində etibarlı mexanizm olmadan sərhədlərarası ötürmələr, 30 günlük müddət ərzində məlumat subyektlərinin sorğularına cavab verməmək və əhatə daxilindəki nəzarətçilər üçün DPO təyinatlarının olmaması. Xarici nəşriyyatçılar bütün beş kateqoriyada qeyd edilmişdir.
2026-cı İldə Tailand Trafiki üçün Audit Yoxlama Siyahısı
- CMP banneri bərabər vizual görkəmlilikdə ยอมรับ, ปฏิเสธ və ตั้งค่า ilə Tailand dilində göstərilir
- Razılıq məqsədləri ətraflıdır və həssas kateqoriya emalını öz razılıq axınının arxasında ayırır
- Məxfilik bildirişi nəzarətçi, emalçılar, məqsədlər, saxlama müddəti, hüquqlar və DPO əlaqəsinin tam açıqlamaları ilə Tailand dilində mövcuddur
- Sərhədlərarası ötürmələr PDPC-nin təsdiqlədiyi standart müqavilə müddəaları, adekvatlıq təyinatı, BCRs, sertifikat və ya sənədləşdirilmiş istisnaya əsaslanır
- Razılıq jurnalları vaxt damğalı, ixrac edilə bilən və tətbiq olunan müddət üçün saxlanılır
- Məlumat subyekti sorğu iş axını Tailand dilində başdan sona 30 gün ərzində cavab verə bilər
- DPO tələb olunduqda təyin edilmişdir və əlaqə məlumatları məxfilik bildirişində dərc edilmişdir
- Satıcı siyahısı zəruriliyi üçün nəzərdən keçirilmiş, istifadə edilməmiş və ya artıq satıcılar sərhədlərarası ötürmə səthinı azaltmaq üçün silinmişdir
- Həssas kateqoriyalı auditoriya seqmentləri ayrıca toplanmış açıq razılığın arxasında kilidlənmişdir
- Pozuntu bildiriş əməliyyat sənədi PDPA-nın pozuntu bildiriş cədvəllərinə uyğunlaşdırılmışdır
2026-cı İlin Perspektivi
Tailandın məxfilik rejimi məhdud əməliyyat xüsusiyyətləri olan bir əsas qanundan tabe qanunvericiliyi, icra potansialı və mənalı şəkildə tətbiq olunmaq üçün siyasi iradəsi olan bir rejimə yetişmişdir. 2025-ci il sərhədlərarası köçürmə qaydaları ən nəticəli struktur boşluğu bağladı və PDPC-nin erkən icra mövqeyi sakit qalmayacaq bir tənzimləyicidən deyil, miqyaslanma prosesinin ortasında olan ciddi bir tənzimləyicidən gözlənilənlərə uyğundur. Artıq GDPR səviyyəsində razılıq yığımı işlədən nəşriyyatçılar üçün PDPA uyğunluğuna qədər olan uçurum memarlıqdan deyil, əməliyyatdandır: Tailand dilli CMP və məxfilik bildirişi, PDPC-nin təsdiqlədiyi köçürmə mexanizmləri, 30 günlük cavab sürəti, tələb olunduqda DPO təyinatı və PDPA-nın daha geniş həssas məlumat siyahısına diqqət. Boşluq prioritetləşdirildikdə həftələr ərzində bağlana bilər — Tailand əhəmiyyətli bir Cənub-Şərqi Asiya bazarıdır, buna görə prioritetləşdirmə adətən tez geri ödənilir. 2024-cü ildə Tailanda daha yüngül bir bazar kimi yanaşan nəşriyyatçılar 2026-cı ili mənalı şəkildə daha tələbkar tapır və trend aydındır.