Структурата на PDPA през 2026 г.

PDPA е основният закон за защита на данните в Тайланд и неговата структура много прилича на GDPR. Подзаконовите актове от 2024 и 2025 г. добавиха оперативни детайли, които преди липсваха от основния закон.

Какво добавиха подзаконовите актове

През 2024 и 2025 г. PDPC издаде подзаконови актове, обхващащи: механизми за трансгранично прехвърляне на данни, назначаване и задължения на длъжностни лица по защита на данните, процедури за уведомяване при нарушение на данните, изисквания за запис на обработването, срокове за работния процес за права на субектите на данни и специфични стандарти за съгласие за чувствителни лични данни. Тези разпоредби колективно преместиха PDPA от обща рамка към оперативен режим, сравним с GDPR по специфичност.

Кой е регулиран

PDPA се прилага за повечето администратори и обработватели на данни с екстериториален обхват за чужди организации, обработващи лични данни на физически лица в Тайланд във връзка с предлагане на стоки или услуги или наблюдение на поведение. Чуждите издатели, обслужващи тайландски потребители чрез локализирани сайтове или програмен инвентар, купен срещу тайландски IP адреси, обикновено са в обхвата, а PDPC е позовал се на екстериториалната разпоредба в ранни писма за прилагане.

Административни и наказателни санкции

PDPA предвижда административни глоби до 5 милиона THB за нарушение, заедно с наказателни санкции за най-сериозните нарушения, включително лишаване от свобода на директори при специфични обстоятелства. Таванът на административната глоба е по-нисък от GDPR в абсолютно изражение, но ескалиращата позиция на прилагане на PDPC и наличността на наказателна отговорност правят ефективния риск значителен.

Какво се счита за лични данни по PDPA

Определението за лични данни в PDPA много прилича на GDPR. Личните данни са информация, свързана с идентифицирано или идентифицируемо лице, а PDPC последователно е третирал бисквитките, рекламните идентификатори, IP адресите, пръстовите отпечатъци на устройствата и поведенческите профили като лични данни, когато могат да бъдат свързани с лице пряко или чрез комбинация с друга информация.

Чувствителни лични данни

PDPA определя широка чувствителна категория, включваща: расов или етнически произход, политическо мнение, религиозно или философско убеждение, сексуално поведение, криминална история, здравни данни, увреждане, членство в синдикати, генетични данни и биометрични данни. Обработването на чувствителни лични данни изисква изрично съгласие и задейства допълнителни задължения на администратора.

Защо това е важно за бисквитките

Бисквитка, която съхранява рутинен идентификатор, е обикновени лични данни. Бисквитка, захранваща аудиторен сегмент, засягащ чувствителния списък на PDPA — здравни интереси, религиозна принадлежност, политически наклонности — е обработване на чувствителни лични данни и изисква изрично съгласие, а не общо рекламно съгласие. Тайландскоезичното насочване към аудитория, припокриващо се с чувствителния списък, трябва да бъде одитирано специално спрямо тази граница.

Съгласие за бисквитки по PDPA през 2026 г.

PDPA позволява множество законни основания за обработване, но за бисквитки и подобни технологии, които не са строго необходими за предоставяне на услугата, насоките на PDPC и ранното прилагане са се сближили върху съгласието като практическа базова линия.

Елементи на валидно съгласие

Съгласието по PDPA трябва да бъде:

• Свободно дадено — без принуда или обвързване с предоставяне на основна услуга
• Информирано — субектът на данните разбира какви данни се обработват, от кого и за каква цел
• Специфично — обвързано с ясно определени цели, а не с общо съгласие
• Недвусмислено — изразено чрез ясно утвърдително действие, а не изведено от бездействие
• Изрично в случаи, включващи чувствителни лични данни, с отделно и специфично съгласие за чувствителното обработване

Как изглежда съвместима CMP

CMP, конфигурирана за тайландски трафик през 2026 г., трябва да представи:

• Видим банер преди да се задейства каквато и да е несъществена бисквитка или тракер, на тайландски (ภาษาไทย) по подразбиране за тайландски потребители
• Равна визуална изтъкнатост за ยอมรับ (Приемане), ปฏิเสธ (Отхвърляне) и ตั้งค่า (Настройки) — PDPC е критикувал дизайни на банери, при които действието за отхвърляне е визуално де-акцентирано
• Детайлни превключватели за всяка цел: анализи, реклама, персонализиране, трансгранично прехвърляне и всяко обработване на чувствителна категория
• Отделен, ясно обозначен поток за обработване на чувствителни лични данни, заключен зад собствено действие
• Постоянен, лесно намерим механизъм за оттегляне на съгласие след първоначалния избор
• Известие за поверителност на тайландски език с пълно разкриване на администратора, обработвателите, целите, получателите, съхранението и правата

Записи за съгласие

Администраторите трябва да поддържат доказателства за съгласие — кой е дал съгласие, кога, за каква цел и чрез кой интерфейс. Неадекватните записи за съгласие са цитирани в няколко писма за прилагане на PDPC от 2025 г. и експортируемите времево-отпечатани журнали са базовото очакване.

Трансгранични прехвърляния след разпоредбите от 2025 г.

Разпоредбите за прехвърляне от 2025 г. бяха най-значимото скорошно развитие за чужди издатели, изяснявайки механизмите, налични за трансгранични потоци от данни.

Признатите механизми за прехвърляне

Разпоредбите от 2025 г. предвиждат четири основни пътища:

• Определяне на адекватна защита, при което PDPC е оценил държавата на местоназначение като осигуряваща адекватна защита
• Подходящи гаранции чрез договорни механизми, включително PDPC-одобрени стандартни договорни клаузи и задължителни корпоративни правила
• Специфични изключения, включително изрично съгласие от субекта на данните с адекватно разкриване, договорна необходимост, жизненоважен интерес и значителен обществен интерес
• Схеми за сертифициране, признати от PDPC за специфични сектори или дейности

Списъкът за адекватност

PDPC е издал решения за адекватност за шепа юрисдикции до началото на 2026 г. Съединените щати не са в списъка, което означава, че прехвърлянията към базирани в САЩ доставчици на рекламни технологии и анализи изискват договорни клаузи, сертифициране или изключение, основано на съгласие.

Практическият подход за 2026 г.

За повечето чужди издатели работният подход е да изпълнят PDPC-одобрени стандартни договорни клаузи с международни обработватели, да документират механизма за прехвърляне в известието за поверителност на тайландски език и да допълнят с разрешение, основано на съгласие, само когато стандартният механизъм не се прилага ясно.

Права на субектите на данни по PDPA

PDPA предоставя набор от права, много близки до GDPR:

• Право на достъп до лични данни, държани от администратора
• Право на коригиране на неточни или непълни данни
• Право на изтриване
• Право на ограничаване на обработването
• Право на преносимост на данните
• Право на възражение срещу обработването
• Право на оттегляне на съгласие
• Право да не бъдеш обект на автоматизирано вземане на решения, произвеждащо значителни ефекти
• Право на подаване на жалба до PDPC

Срокове за отговор

Администраторите трябва да отговарят на заявки на субекти на данни в рамките на 30 дни по общата рамка, с по-кратки прозорци за специфични видове заявки. Оперативната готовност за този прозорец — с инструменти и наръчници на тайландски език — е обща слабост за чужди издатели, настроени на европейски ритъм.

Изискването за DPO

Подзаконовият акт от 2024 г. изясни кога е необходим DPO. Администраторите, обработващи големи обеми лични данни, провеждащи систематично наблюдение на субекти на данни или обработващи чувствителни лични данни в мащаб, трябва да назначат DPO. Чуждите администратори, достигащи прага на обема чрез тайландски потребители, са в обхвата. Данните за контакт на DPO трябва да бъдат достъпни в известието за поверителност на тайландски език.

Наказания и позиция за прилагане през 2026 г.

Дейността по прилагане на PDPC е нараснала значително през 2024 и 2025 г. и 2026 г. е на подобна траектория.

Структурата на административните глоби

Административните глоби се мащабират според вида нарушение, с максимум 5 милиона THB за нарушение за най-сериозните нарушения. Рутинните нарушения — неадекватни банери за съгласие, липсващи известия за поверителност, неуспех да се отговори на заявки на субекти на данни — обикновено привличат глоби в диапазона на по-ниските стотици хиляди THB, но могат да ескалират бързо при повторни или утежнени нарушения.

Гаранцията за наказателна отговорност

За разлика от GDPR, PDPA предвижда наказателна отговорност за най-сериозните нарушения, включително лишаване от свобода на директори при специфични обстоятелства. Подзаконовият акт от 2024 г. изясни обхвата на наказателната отговорност и макар да не е прилагана срещу чужди издатели до 2026 г., тази възможност оформя анализа на риска за всяка организация, обработваща тайландски данни в мащаб.

Теми за прилагане

Действията на PDPC от 2025 г. и началото на 2026 г. се групират около: двусмислени или отсъстващи банери за съгласие, липса на известия за поверителност на тайландски език, трансгранични прехвърляния без валиден механизъм по разпоредбите от 2025 г., неуспех да се отговори на заявки на субекти на данни в 30-дневния прозорец и липсващи назначения на DPO за администратори в обхвата. Чужди издатели са цитирани и в петте категории.

Контролен списък за одит за тайландски трафик през 2026 г.

• CMP банерът се показва на тайландски с ยอมรับ, ปฏิเสธ и ตั้งค่า при равна визуална изтъкнатост
• Целите на съгласие са детайлни и отделят обработването на чувствителна категория зад собствен поток за съгласие
• Известието за поверителност е налично на тайландски с пълно разкриване на администратора, обработвателите, целите, съхранението, правата и данните за контакт на DPO
• Трансграничните прехвърляния разчитат на PDPC-одобрени стандартни договорни клаузи, определяне за адекватност, BCRs, сертифициране или документирано изключение
• Журналите за съгласие са времево-отпечатани, експортируеми и съхранявани за приложимия период
• Работният процес за заявки на субекти на данни може да отговори в рамките на 30 дни от край до край, на тайландски
• DPO е назначен там, където се изисква, и данните за контакт са публикувани в известието за поверителност
• Списъкът с доставчици е прегледан за необходимост, с отстранени неизползвани или излишни доставчици, за да се намали повърхността на трансграничното прехвърляне
• Аудиторните сегменти на чувствителна категория са заключени зад изрично, отделно уловено съгласие
• Наръчникът за уведомяване при нарушения е настроен към сроковете за уведомяване при нарушения на PDPA

Перспективата за 2026 г.

Режимът за поверителност в Тайланд е узрял от основен закон с ограничена оперативна специфичност до режим с подзаконови актове, изпълнителен капацитет и политическа воля да бъде смислено прилаган. Разпоредбите за трансгранично прехвърляне от 2025 г. затвориха най-значимата структурна пропаст и ранната позиция за прилагане на PDPC е в съответствие с сериозен регулатор в средата на разширяване, а не с такъв, който ще остане тих. За издатели, вече работещи с набор за съгласие на ниво GDPR, пропастта до съответствие с PDPA е оперативна, а не архитектурна: CMP и известие за поверителност на тайландски, PDPC-одобрени механизми за прехвърляне, 30-дневен ритъм на отговор, назначаване на DPO там, където се изисква, и внимание към по-широкия списък за чувствителни данни на PDPA. Пропастта може да бъде затворена за седмици, ако е приоритизирана — и Тайланд е значителен пазар в Югоизточна Азия, така че приоритизирането обикновено се изплаща бързо. Издателите, третирали Тайланд като по-лек пазар до 2024 г., намират 2026 г. значително по-взискателна и тенденцията е ясна.