Struktura PDPA v roce 2026

PDPA je primárním zákonem o ochraně údajů v Thajsku a jeho struktura se velmi podobá GDPR. Prováděcí předpisy z let 2024 a 2025 doplnily provozní podrobnosti, které dříve v základním zákoně chyběly.

Co prováděcí předpisy přidaly

V průběhu let 2024 a 2025 vydal PDPC prováděcí předpisy pokrývající: mechanismy přeshraničního přenosu dat, jmenování a povinnosti pověřenců pro ochranu osobních údajů, postupy oznamování porušení zabezpečení dat, požadavky na záznamy o zpracování, lhůty pro pracovní postupy práv subjektů údajů a specifické standardy souhlasu pro citlivé osobní údaje. Tyto předpisy kolektivně posunuly PDPA z obecného rámce do provozního režimu srovnatelného s GDPR ve specifičnosti.

Kdo je regulován

PDPA se vztahuje na většinu správců a zpracovatelů údajů s mimořádnou územní působností pro zahraniční organizace zpracovávající osobní údaje fyzických osob v Thajsku v souvislosti s nabídkou zboží nebo služeb nebo sledováním chování. Zahraniční vydavatelé obsluhující thajské uživatele prostřednictvím lokalizovaných stránek nebo programatického inventáře zakoupeného vůči thajským IP adresám jsou obvykle v působnosti a PDPC se v raných vymáhacích dopisech odvolal na ustanovení o mimořádné teritoriální působnosti.

Správní a trestní sankce

PDPA stanoví správní pokuty až do výše 5 milionů THB za porušení spolu s trestními sankcemi za nejzávažnější porušení včetně uvěznění ředitelů za specifických okolností. Strop správní pokuty je v absolutním vyjádření nižší než u GDPR, ale eskalující vymáhací postoj PDPC a dostupnost trestní odpovědnosti skutečné riziko výrazně zvyšují.

Co se považuje za osobní údaje podle PDPA

Definice osobních údajů v PDPA se úzce přibližuje GDPR. Osobní údaje jsou informace týkající se identifikované nebo identifikovatelné osoby a PDPC konzistentně zachází s cookies, reklamními identifikátory, IP adresami, otisky zařízení a behaviorálními profily jako s osobními údaji, pokud je lze přímo nebo kombinací s jinými informacemi spojit s konkrétní osobou.

Citlivé osobní údaje

PDPA vymezuje širokou citlivou kategorii zahrnující: rasový nebo etnický původ, politické názory, náboženské nebo filozofické přesvědčení, sexuální chování, trestní záznamy, zdravotní údaje, zdravotní postižení, členství v odborech, genetické údaje a biometrické údaje. Zpracování citlivých osobních údajů vyžaduje výslovný souhlas a aktivuje dodatečné povinnosti správce.

Proč je to důležité pro cookies

Cookie ukládající běžný identifikátor jsou obyčejné osobní údaje. Cookie napájející segment publika dotýkající se citlivého seznamu PDPA — zdravotní zájmy, náboženská příslušnost, politické sklony — je zpracováním citlivých osobních údajů a vyžaduje výslovný souhlas namísto obecného reklamního souhlasu. Cílení publika v thajštině, které se překrývá s citlivým seznamem, by mělo být specificky auditováno vůči této hranici.

Souhlas s cookies podle PDPA v roce 2026

PDPA umožňuje více zákonných důvodů pro zpracování, ale pro cookies a podobné technologie, které nejsou nezbytně nutné pro poskytování služby, se pokyny PDPC a rané vymáhání shodly na souhlasu jako praktickém základním standardu.

Prvky platného souhlasu

Souhlas podle PDPA musí být:

• Svobodně udělený — bez nátlaku nebo svázání se základním poskytováním služeb
• Informovaný — subjekt údajů rozumí tomu, jaké údaje jsou zpracovávány, kým a za jakým účelem
• Konkrétní — vázaný na jasně identifikované účely, nikoli na všeobecný souhlas
• Jednoznačný — vyjádřený jasným kladným úkonem, nikoli odvozený z nečinnosti
• Výslovný v případech zahrnujících citlivé osobní údaje, se samostatným a konkrétním souhlasem pro citlivé zpracování

Jak vypadá vyhovující CMP

CMP nakonfigurovaná pro thajský provoz v roce 2026 by měla prezentovat:

• Viditelný banner před aktivací jakéhokoli nepodstatného cookie nebo sledovače, v thajštině (ภาษาไทย) jako výchozí pro thajské uživatele
• Stejnou vizuální prominentnost pro ยอมรับ (Přijmout), ปฏิเสธ (Odmítnout) a ตั้งค่า (Nastavení) — PDPC kritizoval návrhy bannerů, kde je akce odmítnutí vizuálně potlačena
• Granulární přepínače pro každý účel: analytika, reklama, personalizace, přeshraniční přenos a veškeré zpracování citlivé kategorie
• Samostatný, jasně označený tok pro zpracování citlivých osobních údajů, chráněný vlastní akcí
• Trvalý, snadno nalezitelný mechanismus pro odvolání souhlasu po počáteční volbě
• Oznámení o ochraně osobních údajů v thajštině s úplným zveřejněním správce, zpracovatelů, účelů, příjemců, uchovávání a práv

Záznamy o souhlasu

Správci musí uchovávat důkazy o souhlasu — kdo souhlasil, kdy, za jakým účelem a prostřednictvím jakého rozhraní. Nedostatečné záznamy o souhlasu byly citovány v několika vymáhacích dopisech PDPC v roce 2025 a exportovatelné protokoly s časovými razítky jsou základním očekáváním.

Přeshraniční přenosy po předpisech z roku 2025

Předpisy o přenosech z roku 2025 byly pro zahraniční vydavatele nejdůležitějším nedávným vývojem, objasňující dostupné mechanismy pro přeshraniční datové toky.

Uznávané mechanismy přenosu

Předpisy z roku 2025 stanoví čtyři primární cesty:

• Rozhodnutí o odpovídající ochraně, kde PDPC posoudil cílovou zemi jako poskytující odpovídající ochranu
• Vhodné záruky prostřednictvím smluvních mechanismů včetně standardních smluvních doložek schválených PDPC a závazných podnikových pravidel
• Specifické výjimky včetně výslovného souhlasu subjektu údajů s odpovídajícím zveřejněním, nezbytnosti smlouvy, životně důležitého zájmu a podstatného veřejného zájmu
• Certifikační systémy uznávané PDPC pro konkrétní odvětví nebo činnosti

Seznam odpovídající ochrany

PDPC vydal rozhodnutí o odpovídající ochraně pro hrstku jurisdikcí do začátku roku 2026. Spojené státy na seznamu nejsou, což znamená, že přenosy do amerických poskytovatelů ad-tech a analytiky vyžadují smluvní doložky, certifikaci nebo výjimku na základě souhlasu.

Praktický přístup v roce 2026

Pro většinu zahraničních vydavatelů je pracovním přístupem uzavření standardních smluvních doložek schválených PDPC s mezinárodními zpracovateli, zdokumentování mechanismu přenosu v oznámení o ochraně osobních údajů v thajštině a doplnění autorizací na základě souhlasu pouze tam, kde standardní mechanismus jednoznačně nesedí.

Práva subjektů údajů podle PDPA

PDPA přiznává soubor práv úzce sledujících GDPR:

• Právo na přístup k osobním údajům uloženým správcem
• Právo na opravu nepřesných nebo neúplných údajů
• Právo na výmaz
• Právo na omezení zpracování
• Právo na přenositelnost údajů
• Právo vznést námitku proti zpracování
• Právo odvolat souhlas
• Právo nebýt předmětem automatizovaného rozhodování s významným účinkem
• Právo podat stížnost u PDPC

Lhůty pro odpovědi

Správci musí odpovídat na žádosti subjektů údajů do 30 dnů v rámci obecného rámce s kratšími lhůtami pro konkrétní typy žádostí. Provozní připravenost na toto okno — s thajskými nástroji a příručkami — je běžnou mezerou pro zahraniční vydavatele nastavené na evropský rytmus.

Požadavek DPO

Prováděcí předpis z roku 2024 objasnil, kdy je DPO vyžadován. Správci zpracovávající velké objemy osobních údajů, provádějící systematické monitorování subjektů údajů nebo zpracovávající citlivé osobní údaje ve velkém měřítku musí jmenovat DPO. Zahraniční správci dosahující prahové hodnoty objemu prostřednictvím thajských uživatelů jsou v působnosti. Kontaktní údaje DPO musí být dostupné v oznámení o ochraně osobních údajů v thajštině.

Sankce a postoj k vymáhání v roce 2026

Vymáhací aktivita PDPC výrazně eskalovala v průběhu let 2024 a 2025 a rok 2026 je na podobné trajektorii.

Struktura správních pokut

Správní pokuty se škálují podle typu porušení s maximální výší 5 milionů THB za porušení pro nejzávažnější porušení. Rutinní porušení — nedostatečné bannery souhlasu, chybějící oznámení o ochraně osobních údajů, nedostatečné odpovídání na žádosti subjektů údajů — obvykle přitahují pokuty v nižším rozsahu stovek tisíc THB, ale u opakovaných nebo přitěžujících porušení mohou rychle eskalovat.

Záchranná síť trestní odpovědnosti

Na rozdíl od GDPR stanoví PDPA trestní odpovědnost za nejzávažnější porušení, včetně uvěznění ředitelů za specifických okolností. Prováděcí předpis z roku 2024 objasnil rozsah trestní odpovědnosti, a ačkoli nebyla v roce 2026 dosud uplatněna vůči zahraničním vydavatelům, tato možnost formuje analýzu rizik pro jakoukoli organizaci zpracovávající thajská data ve velkém měřítku.

Témata vymáhání

Akce PDPC z roku 2025 a začátku roku 2026 se soustředí kolem: nejednoznačných nebo chybějících bannerů souhlasu, nedostatku oznámení o ochraně osobních údajů v thajštině, přeshraničních přenosů bez platného mechanismu podle předpisů z roku 2025, nedostatečného odpovídání na žádosti subjektů údajů v 30denní lhůtě a chybějících jmenování DPO pro správce v působnosti. Zahraniční vydavatelé byli citováni ve všech pěti kategoriích.

Kontrolní seznam auditu pro thajský provoz v roce 2026

• Banner CMP je zobrazován v thajštině s ยอมรับ, ปฏิเสธ a ตั้งค่า se stejnou vizuální prominentností
• Účely souhlasu jsou granulární a oddělují zpracování citlivé kategorie za vlastní tok souhlasu
• Oznámení o ochraně osobních údajů je dostupné v thajštině s úplným zveřejněním správce, zpracovatelů, účelů, uchovávání, práv a kontaktních údajů DPO
• Přeshraniční přenosy se opírají o standardní smluvní doložky schválené PDPC, rozhodnutí o odpovídající ochraně, BCRs, certifikaci nebo zdokumentovanou výjimku
• Protokoly souhlasu jsou opatřeny časovými razítky, exportovatelné a uchovávány po příslušnou dobu
• Pracovní postup žádosti subjektu údajů může odpovídat do 30 dnů od začátku do konce v thajštině
• DPO je jmenován tam, kde je to požadováno, a kontaktní informace jsou zveřejněny v oznámení o ochraně osobních údajů
• Seznam dodavatelů byl přezkoumán z hlediska nezbytnosti s odstraněním nepoužívaných nebo redundantních dodavatelů pro snížení povrchu přeshraničního přenosu
• Segmenty publika citlivé kategorie jsou chráněny za výslovným, samostatně zachyceným souhlasem
• Příručka pro oznamování porušení je nastavena podle lhůt oznamování porušení v PDPA

Výhled pro rok 2026

Thajský režim ochrany soukromí dozrál ze základního zákona s omezenou provozní specifičností do režimu s prováděcími předpisy, vymáhacími kapacitami a politickou vůlí být smysluplně vymáhán. Předpisy o přeshraničních přenosech z roku 2025 uzavřely nejvýznamnější strukturální mezeru a rané vymáhací postoje PDPC jsou v souladu s vážným regulátorem uprostřed rozrůstání, nikoli s takovým, který zůstane tichý. Pro vydavatele již provozující souhlas na úrovni GDPR je mezera k souladu s PDPA provozní, nikoli architektonická: CMP a oznámení o ochraně osobních údajů v thajštině, mechanismy přenosu schválené PDPC, 30denní rytmus odpovědí, jmenování DPO tam, kde je to požadováno, a péče o širší seznam citlivých dat PDPA. Mezeru lze uzavřít v průběhu týdnů, pokud je prioritizována — a Thajsko je významným jihovýchodoasijským trhem, takže prioritizace se obvykle rychle vyplatí. Vydavatelé, kteří s Thajskem zacházeli jako s lehčím trhem do roku 2024, zjišťují, že rok 2026 je výrazně náročnější, a trend je jasný.