Структура PDPA ў 2026 годзе

PDPA — гэта асноўны закон аб ахове даных у Тайландзе, і яго структура блізка нагадвае GDPR. Падзаконныя акты 2024 і 2025 гадоў дадалі аперацыйныя дэталі, якія раней адсутнічалі ў базавым законе.

Што дадалі падзаконныя акты

На працягу 2024 і 2025 гадоў PDPC выпусціў падзаконныя акты, якія ахопліваюць: механізмы трансгранічнай перадачы даных, прызначэнне і абавязкі супрацоўнікаў па ахове даных, працэдуры апавяшчэння аб уцечках даных, патрабаванні да запісу апрацоўкі, тэрміны працоўнага працэсу правоў суб'ектаў даных і канкрэтныя стандарты згоды для канфідэнцыйных персанальных даных. Гэтыя рэгуляванні ў сукупнасці перамясцілі PDPA з агульнай сістэмы ў аперацыйны рэжым, супастаўны з GDPR па спецыфічнасці.

Хто рэгулюецца

PDPA прымяняецца да большасці кантролёраў і апрацоўшчыкаў даных, з экстэрытарыяльным ахопам для замежных арганізацый, якія апрацоўваюць персанальныя даныя асоб у Тайландзе ў сувязі з прапановай тавараў або паслуг або маніторынгам паводзін. Замежныя паблішэры, якія абслугоўваюць тайскіх карыстальнікаў праз лакалізаваныя сайты або праграматык-інвентар, куплены супраць тайскіх IP, як правіла, уваходзяць у сферу дзеяння, і PDPC спасылаўся на экстэрытарыяльнае палажэнне ў ранніх правапрымяняльных лістах.

Адміністрацыйныя і крымінальныя санкцыі

PDPA прадугледжвае адміністрацыйныя штрафы да THB 5 мільёнаў за парушэнне, разам з крымінальнымі пакараннямі за самыя сур'ёзныя парушэнні, уключаючы турэмнае зняволенне для дырэктараў у пэўных абставінах. Столь адміністрацыйнага штрафу ніжэйшая за GDPR у абсалютным выражэнні, але эскалюючая пазіцыя правапрымянення PDPC і даступнасць крымінальнай адказнасці робяць эфектыўную рызыку значнай.

Што лічыцца персанальнымі данымі згодна з PDPA

Вызначэнне персанальных даных PDPA блізка сочыць за GDPR. Персанальныя даныя — гэта інфармацыя, якая адносіцца да ідэнтыфікаванай або ідэнтыфікуемай асобы, і PDPC паслядоўна разглядаў файлы cookie, рэкламныя ідэнтыфікатары, IP-адрасы, адбіткі прылад і паводзінскія профілі як персанальныя даныя, калі яны могуць быць прывязаны да асобы напрамую або ў камбінацыі з іншай інфармацыяй.

Канфідэнцыйныя персанальныя даныя

PDPA абазначае шырокую канфідэнцыйную катэгорыю, якая ўключае: расавае або этнічнае паходжанне, палітычнае меркаванне, рэлігійнае або філасофскае перакананне, сэксуальныя паводзіны, судзімасць, даныя аб здароўі, інваліднасць, членства ў прафсаюзе, генетычныя даныя і біяметрычныя даныя. Апрацоўка канфідэнцыйных персанальных даных патрабуе відавочнай згоды і запускае дадатковыя абавязацельствы кантролёра.

Чаму гэта важна для cookie

Файл cookie, які захоўвае руцінны ідэнтыфікатар, — гэта звычайныя персанальныя даныя. Файл cookie, які сілкуе сегмент аўдыторыі, які закранае канфідэнцыйны спіс PDPA — інтарэсы здароўя, рэлігійную прыналежнасць, палітычныя схільнасці — гэта апрацоўка канфідэнцыйных персанальных даных і патрабуе відавочнай згоды, а не агульнай згоды на рэкламу. Таргетынг аўдыторыі на тайскай мове, які перасякаецца з канфідэнцыйным спісам, павінен правярацца канкрэтна супраць гэтай мяжы.

Згода на cookie згодна з PDPA ў 2026 годзе

PDPA дазваляе мноства законных падстаў для апрацоўкі, але для файлаў cookie і аналагічных тэхналогій, якія не з'яўляюцца строга неабходнымі для прадастаўлення паслугі, рэкамендацыі і ранняе правапрымяненне PDPC сышліся на згодзе як практычнай базавай лініі.

Элементы сапраўднай згоды

Згода згодна з PDPA павінна быць:

• Свабодна дадзенай — без прымусу або звязвання з прадастаўленнем асноўнай паслугі
• Інфармаванай — суб'ект даных разумее, якія даныя апрацоўваюцца, кім і для якой мэты
• Канкрэтнай — прывязанай да дакладна вызначаных мэтаў, а не да парасонавай згоды
• Адназначнай — выражанай праз ясны сцвярджальны акт, а не выведзенай з бяздзейнасці
• Відавочнай у выпадках, звязаных з канфідэнцыйнымі персанальнымі данымі, з асобнай і канкрэтнай згодай на канфідэнцыйную апрацоўку

Як выглядае адпаведная CMP

CMP, наладжаная для тайскага трафіку ў 2026 годзе, павінна прадстаўляць:

• Бачны банер да спрацоўвання любога неасноўнага файла cookie або трэкера, на тайскай (ภาษาไทย) па змаўчанні для тайскіх карыстальнікаў
• Роўную візуальную прыкметнасць для ยอมรับ (Прыняць), ปฏิเสธ (Адхіліць) і ตั้งค่า (Налады) — PDPC крытыкаваў дызайны банераў, дзе дзеянне адхілення візуальна прыменшана
• Гранулярныя пераключальнікі па мэце: аналітыка, рэклама, персаналізацыя, трансгранічная перадача і любая апрацоўка канфідэнцыйных катэгорый
• Асобны, дакладна абазначаны паток для апрацоўкі канфідэнцыйных персанальных даных, агароджаны ўласным дзеяннем
• Пастаянны, лёгка знаходзімы механізм адклікання згоды пасля першапачатковага выбару
• Апавяшчэнне аб прыватнасці на тайскай мове з поўнымі раскрыццямі кантролёра, апрацоўшчыкаў, мэтаў, атрымальнікаў, захоўвання і правоў

Запісы аб згодзе

Кантролёры павінны весці доказы згоды — хто згадзіўся, калі, на якую мэту і праз які інтэрфейс. Неадэкватныя запісы аб згодзе ўпаміналіся ў некалькіх правапрымяняльных лістах PDPC у 2025 годзе, і экспартуемыя часопісы з часавымі меткамі з'яўляюцца базавым чаканнем.

Трансгранічныя перадачы пасля рэгуляванняў 2025 года

Рэгуляванні перадачы 2025 года былі самай значнай нядаўняй падзеяй для замежных паблішэраў, праясніўшы механізмы, даступныя для трансгранічных патокаў даных.

Прызнаныя механізмы перадачы

Рэгуляванні 2025 года прадугледжваюць чатыры асноўныя шляхі:

• Абазначэнне адэкватнай абароны, дзе PDPC ацаніў краіну прызначэння як забяспечваючую адэкватную абарону
• Адпаведныя гарантыі праз дагаворныя механізмы, уключаючы ўхваленыя PDPC стандартныя дагаворныя палажэнні і абавязковыя карпаратыўныя правілы
• Спецыфічныя выключэнні, уключаючы відавочную згоду суб'екта даных з адэкватным раскрыццём, неабходнасць дагавора, жыццёвы інтарэс і істотны грамадскі інтарэс
• Схемы сертыфікацыі, прызнаныя PDPC для канкрэтных сектараў або відаў дзейнасці

Спіс адэкватнасці

PDPC выпусціў рашэнні аб адэкватнасці для некалькіх юрысдыкцый да пачатку 2026 года. Злучаныя Штаты не ўваходзяць у спіс, што азначае, што перадачы пастаўшчыкам ad-tech і аналітыкі, якія базуюцца ў ЗША, патрабуюць дагаворных палажэнняў, сертыфікацыі або выключэння на аснове згоды.

Практычны падыход 2026 года

Для большасці замежных паблішэраў працоўны падыход — заключыць ухваленыя PDPC стандартныя дагаворныя палажэнні з міжнароднымі апрацоўшчыкамі, задакументаваць механізм перадачы ў апавяшчэнні аб прыватнасці на тайскай мове і дапоўніць аўтарызацыяй на аснове згоды толькі там, дзе стандартны механізм не ўпісваецца чыста.

Правы суб'екта даных згодна з PDPA

PDPA прадастаўляе набор правоў, якія блізка сочаць за GDPR:

• Права доступу да персанальных даных, якія захоўваюцца ў кантролёра
• Права на выпраўленне недакладных або няпоўных даных
• Права на выдаленне
• Права на абмежаванне апрацоўкі
• Права на пераноснасць даных
• Права пярэчыць супраць апрацоўкі
• Права адклікаць згоду
• Права не падвяргацца аўтаматызаванаму прыняццю рашэнняў, якое вырабляе значныя наступствы
• Права падаць скаргу ў PDPC

Тэрміны адказу

Кантролёры павінны адказваць на запыты суб'ектаў даных на працягу 30 дзён у рамках агульнай сістэмы, з больш кароткімі вокнамі для канкрэтных тыпаў запытаў. Аперацыйная гатоўнасць да гэтага акна — з інструментарыем і кіраўніцтвамі на тайскай мове — з'яўляецца распаўсюджаным прабелам для замежных паблішэраў, наладжаных на еўрапейскі рытм.

Патрабаванне DPO

Падзаконны акт 2024 года праясніў, калі патрабуецца DPO. Кантролёры, якія апрацоўваюць вялікія аб'ёмы персанальных даных, праводзяць сістэматычны маніторынг суб'ектаў даных або апрацоўваюць канфідэнцыйныя персанальныя даныя ў маштабе, павінны прызначыць DPO. Замежныя кантролёры, якія дасягаюць парога аб'ёму праз тайскіх карыстальнікаў, уваходзяць у сферу дзеяння. Кантактная інфармацыя DPO павінна быць даступна ў апавяшчэнні аб прыватнасці на тайскай мове.

Штрафы і пазіцыя правапрымянення ў 2026 годзе

Правапрымяняльная актыўнасць PDPC значна ўзрасла на працягу 2024 і 2025 гадоў, і 2026 год ідзе па аналагічнай траекторыі.

Структура адміністрацыйных штрафаў

Адміністрацыйныя штрафы маштабуюцца па тыпе парушэння, з максімумамі THB 5 мільёнаў за парушэнне для самых сур'ёзных парушэнняў. Руцінныя парушэнні — неадэкватныя банеры згоды, адсутныя апавяшчэнні аб прыватнасці, няздольнасць адказаць на запыты суб'ектаў даных — звычайна прыцягваюць штрафы ў ніжнім дыяпазоне сотняў тысяч THB, але могуць хутка эскалявацца за паўтаральныя або абцяжараныя парушэнні.

Рэзерв крымінальнай адказнасці

У адрозненне ад GDPR, PDPA прадугледжвае крымінальную адказнасць за самыя сур'ёзныя парушэнні, уключаючы турэмнае зняволенне дырэктараў у пэўных абставінах. Падзаконны акт 2024 года праясніў сферу крымінальнай адказнасці, і хоць яна не прымянялася супраць замежных паблішэраў у 2026 годзе на сённяшні дзень, гэтая магчымасць фарміруе аналіз рызык для любой арганізацыі, якая апрацоўвае тайскія даныя ў маштабе.

Тэмы правапрымянення

Дзеянні PDPC у 2025 і пачатку 2026 года групуюцца вакол: неадназначных або адсутных банераў згоды, адсутнасці апавяшчэнняў аб прыватнасці на тайскай мове, трансгранічных перадач без сапраўднага механізму ў рамках рэгуляванняў 2025 года, няздольнасці адказаць на запыты суб'ектаў даных на працягу 30-дзённага акна і адсутных прызначэнняў DPO для кантролёраў у сферы дзеяння. Замежныя паблішэры былі ўпамянуты ва ўсіх пяці катэгорыях.

Чэк-ліст аўдыту для тайскага трафіку ў 2026 годзе

• Банер CMP падаецца на тайскай з ยอมรับ, ปฏิเสธ і ตั้งค่า пры роўнай візуальнай прыкметнасці
• Мэты згоды гранулярныя і аддзяляюць апрацоўку канфідэнцыйных катэгорый за ўласным патокам згоды
• Апавяшчэнне аб прыватнасці даступнае на тайскай з поўнымі раскрыццямі кантролёра, апрацоўшчыкаў, мэтаў, захоўвання, правоў і кантакту DPO
• Трансгранічныя перадачы абапіраюцца на ўхваленыя PDPC стандартныя дагаворныя палажэнні, абазначэнне адэкватнасці, BCR, сертыфікацыю або задакументаванае выключэнне
• Часопісы згоды маюць часавыя меткі, экспартуемыя і захоўваюцца на працягу дастасавальнага перыяду
• Працоўны працэс запытаў суб'ектаў даных можа адказаць на працягу 30 дзён ад пачатку да канца, на тайскай
• DPO прызначаны там, дзе патрабуецца, і кантактная інфармацыя апублікавана ў апавяшчэнні аб прыватнасці
• Спіс вендараў быў правераны на неабходнасць, з выдаленнем неіспользуемых або залішніх вендараў для скарачэння паверхні трансгранічнай перадачы
• Сегменты аўдыторыі канфідэнцыйных катэгорый агароджаны відавочнай, асобна сабранай згодай
• Кіраўніцтва па апавяшчэнні аб уцечках наладжана на тэрміны апавяшчэння аб уцечках PDPA

Перспектыва 2026 года

Рэжым прыватнасці Тайланда спеў ад базавага закону з абмежаванай аперацыйнай спецыфічнасцю да рэжыму з падзаконнымі актамі, правапрымяняльным патэнцыялам і палітычнай воляй для значнага прымянення. Рэгуляванні трансгранічнай перадачы 2025 года закрылі найбольш значны структурны прабел, а ранняя пазіцыя правапрымянення PDPC узгадняецца з сур'ёзным рэгулятарам у сярэдзіне нарошчвання, а не з тым, хто застанецца ціхім. Для паблішэраў, якія ўжо запускаюць стэк згоды ўзроўню GDPR, разрыў да адпаведнасці PDPA з'яўляецца аперацыйным, а не архітэктурным: CMP і апавяшчэнне аб прыватнасці на тайскай мове, ухваленыя PDPC механізмы перадачы, 30-дзённы рытм адказу, прызначэнне DPO там, дзе патрабуецца, і асцярожнасць з больш шырокім спісам канфідэнцыйных даных PDPA. Разрыў можна закрыць за тыдні, калі прыярытызаваць — а Тайланд з'яўляецца значным рынкам Паўднёва-Усходняй Азіі, таму прыярытызацыя звычайна хутка акупляецца. Паблішэры, якія адносіліся да Тайланда як да рынку з больш мяккім падыходам на працягу 2024 года, знаходзяць 2026 год значна больш патрабавальным, і трэнд ясны.