PDPA's struktur i 2026

PDPA er den primære databeskyttelseslov i Thailand, og dens struktur ligner GDPR meget. De underordnede regler fra 2024 og 2025 tilføjede operationelle detaljer, der tidligere manglede i basislovgivningen.

Hvad de underordnede regler tilføjede

Gennem 2024 og 2025 udstedte PDPC underordnede regler, der dækkede: mekanismer for grænseoverskridende dataoverførsler, udnævnelse og pligter for databeskyttelsesrådgivere, procedurer for anmeldelse af databrud, krav til behandlingsregistre, tidsfrister for arbejdsgange vedrørende de registreredes rettigheder og specifikke samtykkestandarder for følsomme personoplysninger. Disse regler flyttede samlet PDPA fra en generel ramme til et operationelt regime sammenligneligt med GDPR i specificitet.

Hvem er reguleret

PDPA gælder for de fleste dataansvarlige og databehandlere med ekstraterritorial rækkevidde for udenlandske organisationer, der behandler personoplysninger om enkeltpersoner i Thailand i forbindelse med udbud af varer eller tjenester eller overvågning af adfærd. Udenlandske udgivere, der betjener thailandske brugere via lokaliserede websteder eller programmatisk inventory købt mod thailandske IP-adresser, er typisk inden for anvendelsesområdet, og PDPC har påberåbt sig den ekstraterritoriale bestemmelse i tidlige håndhævelsesbreve.

Administrative og strafferetlige sanktioner

PDPA fastsætter administrative bøder på op til 5 millioner THB pr. overtrædelse sammen med strafferetlige sanktioner for de mest alvorlige overtrædelser, herunder fængsling af direktører under specifikke omstændigheder. Det administrative bødeloft er lavere end GDPR i absolutte termer, men PDPC's eskalerende håndhævelsesposition og tilgængeligheden af strafferetligt ansvar gør den effektive risiko betydelig.

Hvad tæller som personoplysninger under PDPA

PDPA's definition af personoplysninger følger nøje GDPR. Personoplysninger er oplysninger vedrørende en identificeret eller identificerbar person, og PDPC har konsekvent behandlet cookies, reklameidentifikatorer, IP-adresser, enhedsfingeraftryk og adfærdsprofiler som personoplysninger, når de kan knyttes til en person direkte eller ved kombination med andre oplysninger.

Følsomme personoplysninger

PDPA udpeger en bred følsom kategori, der inkluderer: racemæssig eller etnisk oprindelse, politisk holdning, religiøs eller filosofisk overbevisning, seksuel adfærd, strafferegister, sundhedsoplysninger, handicap, fagforeningsmedlemskab, genetiske data og biometriske data. Behandling af følsomme personoplysninger kræver eksplicit samtykke og udløser yderligere forpligtelser for den dataansvarlige.

Hvorfor dette er vigtigt for cookies

En cookie, der gemmer en rutinemæssig identifikator, er ordinære personoplysninger. En cookie, der fodrer et målgruppesegment, der berører PDPA's følsomme liste — sundhedsinteresser, religiøs tilhørighed, politiske tendenser — er behandling af følsomme personoplysninger og kræver eksplicit samtykke snarere end det generelle reklamesamtykke. Thailandsk-sproget målretning mod målgrupper, der overlapper den følsomme liste, bør specifikt revideres i forhold til denne grænse.

Cookiesamtykke under PDPA i 2026

PDPA tillader flere lovlige behandlingsgrundlag, men for cookies og lignende teknologier, der ikke er strengt nødvendige for levering af tjenester, er PDPC's vejledning og tidlig håndhævelse samlet om samtykke som det praktiske udgangspunkt.

Elementerne i gyldigt samtykke

Samtykke under PDPA skal være:

• Frivilligt givet — uden tvang eller sammenkædning med levering af vigtige tjenester
• Informeret — den registrerede forstår, hvilke data der behandles, af hvem og til hvilket formål
• Specifikt — knyttet til klart identificerede formål snarere end paraplyanmeldt samtykke
• Utvetydigt — udtrykt gennem en klar bekræftende handling, ikke udledt af passivitet
• Eksplicit i tilfælde, der involverer følsomme personoplysninger, med separat og specifikt samtykke til den følsomme behandling

Sådan ser en compliant CMP ud

En CMP konfigureret til thailandsk trafik i 2026 bør præsentere:

• Et synligt banner, inden nogen ikke-essentiel cookie eller tracker aktiveres, på thai (ภาษาไทย) som standard for thailandske brugere
• Lige visuel fremtræden for ยอมรับ (Acceptér), ปฏิเสธ (Afvis) og ตั้งค่า (Indstillinger) — PDPC har kritiseret bannerdesigns, hvor afvisningshandlingen er visuelt nedtonet
• Granulære skift pr. formål: analyse, annoncering, personalisering, grænseoverskridende overførsel og enhver behandling af følsomme kategorier
• Et separat, tydeligt markeret flow for behandling af følsomme personoplysninger, sikret bag sin egen handling
• En vedvarende, let-at-finde mekanisme til at trække samtykke tilbage efter det indledende valg
• En privatlivsmeddelelse på thai med fuld oplysning om den dataansvarlige, databehandlere, formål, modtagere, opbevaring og rettigheder

Samtykkeregistre

Dataansvarlige skal opretholde dokumentation for samtykke — hvem der gav samtykke, hvornår, til hvilket formål og via hvilken grænseflade. Utilstrækkelige samtykkeregistre er citeret i adskillige PDPC-håndhævelsesbreve i 2025, og eksporterbare tidsstemplede logfiler er minimumskravet.

Grænseoverskridende overførsler efter reglerne fra 2025

Overførselsreglerne fra 2025 var den mest betydningsfulde seneste udvikling for udenlandske udgivere og præciserede de mekanismer, der er tilgængelige for grænseoverskridende datastrømme.

De anerkendte overførselsmekanismer

Reglerne fra 2025 indeholder fire primære veje:

• Afgørelse om tilstrækkelig beskyttelse, hvor PDPC har vurderet destinationslandet som ydende tilstrækkelig beskyttelse
• Passende garantier via kontraktuelle mekanismer, herunder PDPC-godkendte standardkontraktbestemmelser og bindende virksomhedsregler
• Specifikke undtagelser, herunder eksplicit samtykke fra den registrerede med tilstrækkelig oplysning, kontraktnødvendighed, vitale interesser og væsentlige offentlige interesser
• Certificeringsordninger anerkendt af PDPC for specifikke sektorer eller aktiviteter

Adequacy-listen

PDPC har udstedt adequacy-afgørelser for en håndfuld jurisdiktioner frem til begyndelsen af 2026. USA er ikke på listen, hvilket betyder, at overførsler til amerikanske ad-tech- og analyseleverandører kræver kontraktbestemmelser, certificering eller en samtykkebaseret undtagelse.

Den praktiske tilgang i 2026

For de fleste udenlandske udgivere er arbejdstilgangen at udføre PDPC-godkendte standardkontraktbestemmelser med internationale databehandlere, dokumentere overførselsmekanismen i privatlivsmeddelelsen på thai og supplere med samtykkebaseret godkendelse kun, hvor standardmekanismen ikke passer klart.

Registreredes rettigheder under PDPA

PDPA giver et sæt rettigheder, der nøje følger GDPR:

• Ret til indsigt i personoplysninger, der opbevares af den dataansvarlige
• Ret til berigtigelse af unøjagtige eller ufuldstændige data
• Ret til sletning
• Ret til begrænsning af behandling
• Ret til dataportabilitet
• Ret til at gøre indsigelse mod behandling
• Ret til at trække samtykke tilbage
• Ret til ikke at være genstand for automatiseret beslutningstagning, der producerer væsentlige virkninger
• Ret til at indgive en klage til PDPC

Svarfrister

Dataansvarlige skal besvare anmodninger fra registrerede inden for 30 dage inden for den generelle ramme, med kortere vinduer for specifikke anmodningstyper. Operationel parathed til dette vindue — med thai-sproget værktøj og runbooks — er en almindelig mangel for udenlandske udgivere afstemt til en europæisk kadence.

DPO-kravet

Den underordnede forordning fra 2024 præciserede, hvornår en DPO er påkrævet. Dataansvarlige, der behandler store mængder personoplysninger, udfører systematisk overvågning af registrerede eller behandler følsomme personoplysninger i stor skala, skal udnævne en DPO. Udenlandske dataansvarlige, der når volumentærsklen via thailandske brugere, er inden for anvendelsesområdet. DPO's kontaktoplysninger skal være tilgængelige i privatlivsmeddelelsen på thai.

Sanktioner og håndhævelsesposition i 2026

PDPC's håndhævelsesaktivitet er eskaleret betydeligt i løbet af 2024 og 2025, og 2026 er på en lignende bane.

Strukturen for administrative bøder

Administrative bøder skaleres efter overtrædelsestype med maksimumsbeløb på 5 millioner THB pr. overtrædelse for de mest alvorlige overtrædelser. Rutinemæssige overtrædelser — utilstrækkelige samtykkebanners, manglende privatlivsmeddelelser, manglende svar på registreredes anmodninger — tiltrækker typisk bøder i det lavere hundredtusinde-THB-område, men kan eskalere hurtigt ved gentagne eller skærpende overtrædelser.

Det strafferetlige ansvarssikkerhedsnet

I modsætning til GDPR fastsætter PDPA strafferetligt ansvar for de mest alvorlige overtrædelser, herunder fængsling af direktører under specifikke omstændigheder. Den underordnede forordning fra 2024 præciserede omfanget af strafferetligt ansvar, og selvom det ikke er blevet anvendt mod udenlandske udgivere i 2026 til dato, former muligheden risikoanalysen for enhver organisation, der behandler thailandske data i stor skala.

Håndhævelsestemaer

PDPC's handlinger fra 2025 og tidligt i 2026 samler sig om: tvetydige eller fraværende samtykkebanners, manglende privatlivsmeddelelser på thai, grænseoverskridende overførsler uden en gyldig mekanisme under reglerne fra 2025, manglende svar på registreredes anmodninger inden for 30-dages-vinduet og manglende DPO-udnævnelser for dataansvarlige inden for anvendelsesområdet. Udenlandske udgivere er citeret i alle fem kategorier.

Revisionscheckliste for thailandsk trafik i 2026

• CMP-banneret serveres på thai med ยอมรับ, ปฏิเสธ og ตั้งค่า med lige visuel fremtræden
• Samtykkeformål er granulære og adskiller behandling af følsomme kategorier bag sit eget samtykkeflow
• Privatlivsmeddelelse er tilgængelig på thai med fuld oplysning om dataansvarlig, databehandlere, formål, opbevaring, rettigheder og DPO-kontakt
• Grænseoverskridende overførsler er baseret på PDPC-godkendte standardkontraktbestemmelser, en adequacy-afgørelse, BCRs, certificering eller en dokumenteret undtagelse
• Samtykkelogge er tidsstemplede, eksporterbare og opbevaret i den gældende periode
• Arbejdsgang for anmodninger fra registrerede kan svare inden for 30 dage fra ende til ende på thai
• DPO er udnævnt, hvor det er påkrævet, og kontaktoplysninger er offentliggjort i privatlivsmeddelelsen
• Leverandørlisten er gennemgået for nødvendighed med fjernelse af ubrugte eller redundante leverandører for at reducere den grænseoverskridende overførselsoverflade
• Målgruppesegmenter i følsomme kategorier er gated bag eksplicit, separat indhentet samtykke
• Runbook for anmeldelse af databrud er tilpasset PDPA's tidsfrister for anmeldelse af databrud

Udsigterne for 2026

Thailands privatlivsregime er modnet fra en basislovgivning med begrænset operationel specificitet til et regime med underordnede regler, håndhævelseskapacitet og politisk vilje til at blive meningsfuldt håndhævet. Reglerne for grænseoverskridende overførsler fra 2025 lukkede det mest betydningsfulde strukturelle hul, og PDPC's tidlige håndhævelsesposition er i overensstemmelse med en seriøs tilsynsmyndighed midt i en opskalering snarere end en, der vil forblive stille. For udgivere, der allerede kører en samtykkestak af GDPR-kvalitet, er kløften til PDPA-overholdelse operationel snarere end arkitektonisk: thai-sproget CMP og privatlivsmeddelelse, PDPC-godkendte overførselsmekanismer, 30-dages svarrytme, DPO-udnævnelse hvor krævet og omhu med PDPA's bredere liste over følsomme data. Kløften kan lukkes på uger, hvis den prioriteres — og Thailand er et betydeligt sydøstasiatisk marked, så prioriteringen betaler sig typisk hurtigt. Udgivere, der behandlede Thailand som et lettere marked frem til 2024, finder 2026 betydeligt mere krævende, og tendensen er klar.