Ο νόμος PDPA της Ταϊλάνδης το 2026: Ο οδηγός εκδοτών και διαφημιστών για τη συγκατάθεση cookies, τις διασυνοριακές μεταφορές και την εφαρμογή του PDPC
Ο Ταϊλανδικός νόμος περί προστασίας προσωπικών δεδομένων B.E. 2562 (2019) — γνωστός ως PDPA — τέθηκε πλήρως σε ισχύ τον Ιούνιο του 2022 μετά από πολλαπλές καθυστερήσεις και πέρασε το μεγαλύτερο μέρος των επόμενων τριών ετών σε μια φάση οικοδόμησης ρυθμιστικής ικανότητας, ανάπτυξης δευτερογενών κανονισμών και αυτό που η Επιτροπή Προστασίας Προσωπικών Δεδομένων (PDPC) περιέγραψε δημοσίως ως υπομονετική στάση εφαρμογής. Αυτή η στάση έχει πλέον τελειώσει αποφασιστικά. Οι δευτερογενείς κανονισμοί του 2024 και 2025 συμπλήρωσαν τις λεπτομέρειες που ο βασικός νόμος είχε αφήσει ανοιχτές, το Γραφείο του PDPC (ο επιχειρησιακός ρυθμιστής) ανέπτυξε την εκτελεστική του ικανότητα, και στις αρχές του 2026 το PDPC άρχισε να επιβάλλει διοικητικά πρόστιμα σε ουσιαστικά επίπεδα — συμπεριλαμβανομένων ξένων πλατφορμών που επεξεργάζονται δεδομένα Ταϊλανδών χρηστών από το εξωτερικό. Για οποιονδήποτε εκδότη, διαφημιστή ή πλατφόρμα που επεξεργάζεται προσωπικά δεδομένα ατόμων στην Ταϊλάνδη — είτε βρίσκεται στην Ταϊλάνδη είτε εξυπηρετεί την ταϊλανδική αγορά από το εξωτερικό — το 2026 είναι η χρονιά που ο PDPA παύει να είναι ένα σχετικά ήσυχο καθεστώς και γίνεται αξιόπιστη προτεραιότητα επιβολής. Αυτός ο οδηγός εξετάζει τον PDPA όπως είναι το 2026, τι απαιτεί στην πράξη η συγκατάθεση cookies, πώς λειτουργούν οι διασυνοριακές μεταφορές μετά τους κανονισμούς μεταφοράς του 2025 και πώς μοιάζουν τα πρώιμα θέματα επιβολής του PDPC στην πράξη.
Η δομή του PDPA το 2026
Ο PDPA είναι ο κύριος νόμος προστασίας δεδομένων στην Ταϊλάνδη, και η δομή του μοιάζει πολύ με τον GDPR. Οι δευτερογενείς κανονισμοί του 2024 και 2025 πρόσθεσαν επιχειρησιακές λεπτομέρειες που προηγουμένως απουσίαζαν από τον βασικό νόμο.
Τι πρόσθεσαν οι δευτερογενείς κανονισμοί
Κατά τη διάρκεια των ετών 2024 και 2025, το PDPC εξέδωσε δευτερογενείς κανονισμούς που καλύπτουν: μηχανισμούς διασυνοριακής μεταφοράς δεδομένων, διορισμό και καθήκοντα Υπευθύνων Προστασίας Δεδομένων, διαδικασίες γνωστοποίησης παραβίασης δεδομένων, απαιτήσεις τήρησης αρχείων επεξεργασίας, χρονοδιαγράμματα ροής εργασίας για τα δικαιώματα των υποκειμένων των δεδομένων και ειδικά πρότυπα συγκατάθεσης για ευαίσθητα προσωπικά δεδομένα. Αυτοί οι κανονισμοί μετέφεραν συλλογικά τον PDPA από ένα γενικό πλαίσιο σε ένα επιχειρησιακό καθεστώς συγκρίσιμο με τον GDPR σε εξειδίκευση.
Ποιος ρυθμίζεται
Ο PDPA εφαρμόζεται στους περισσότερους υπευθύνους επεξεργασίας και εκτελούντες την επεξεργασία, με εξωεδαφική εμβέλεια για ξένους οργανισμούς που επεξεργάζονται προσωπικά δεδομένα ατόμων στην Ταϊλάνδη σε σχέση με την προσφορά αγαθών ή υπηρεσιών ή την παρακολούθηση συμπεριφοράς. Ξένοι εκδότες που εξυπηρετούν Ταϊλανδούς χρήστες μέσω τοπικοποιημένων ιστοτόπων ή προγραμματικού αποθέματος που αγοράζεται έναντι ταϊλανδικών IPs βρίσκονται συνήθως εντός πεδίου εφαρμογής, και το PDPC επικαλέστηκε την εξωεδαφική διάταξη σε πρώιμες επιστολές επιβολής.
Διοικητικές και ποινικές κυρώσεις
Ο PDPA προβλέπει διοικητικά πρόστιμα έως 5 εκατομμύρια THB ανά παράβαση, μαζί με ποινικές κυρώσεις για τις πιο σοβαρές παραβιάσεις, συμπεριλαμβανομένης της φυλάκισης διευθυντών σε συγκεκριμένες περιστάσεις. Το ανώτατο όριο του διοικητικού προστίμου είναι χαμηλότερο από τον GDPR σε απόλυτους αριθμούς, αλλά η κλιμακούμενη στάση επιβολής του PDPC και η διαθεσιμότητα ποινικής ευθύνης καθιστούν τον πραγματικό κίνδυνο σημαντικό.
Τι μετράει ως προσωπικά δεδομένα βάσει του PDPA
Ο ορισμός των προσωπικών δεδομένων στον PDPA ακολουθεί στενά τον GDPR. Τα προσωπικά δεδομένα είναι πληροφορίες που αφορούν ένα ταυτοποιημένο ή ταυτοποιήσιμο πρόσωπο, και το PDPC έχει σταθερά αντιμετωπίσει cookies, αναγνωριστικά διαφημίσεων, διευθύνσεις IP, αποτυπώματα συσκευών και συμπεριφορικά προφίλ ως προσωπικά δεδομένα όταν μπορούν να συνδεθούν με ένα άτομο άμεσα ή με συνδυασμό με άλλες πληροφορίες.
Ευαίσθητα προσωπικά δεδομένα
Ο PDPA ορίζει μια ευρεία ευαίσθητη κατηγορία που περιλαμβάνει: φυλετική ή εθνοτική καταγωγή, πολιτική γνώμη, θρησκευτικές ή φιλοσοφικές πεποιθήσεις, σεξουαλική συμπεριφορά, ποινικό μητρώο, δεδομένα υγείας, αναπηρία, συνδικαλιστική ιδιότητα μέλους, γενετικά δεδομένα και βιομετρικά δεδομένα. Η επεξεργασία ευαίσθητων προσωπικών δεδομένων απαιτεί ρητή συγκατάθεση και ενεργοποιεί πρόσθετες υποχρεώσεις του υπευθύνου επεξεργασίας.
Γιατί αυτό έχει σημασία για τα cookies
Ένα cookie που αποθηκεύει ένα τυπικό αναγνωριστικό αποτελεί συνηθισμένα προσωπικά δεδομένα. Ένα cookie που τροφοδοτεί ένα τμήμα κοινού που αγγίζει τον ευαίσθητο κατάλογο του PDPA — ενδιαφέροντα υγείας, θρησκευτική ένταξη, πολιτικές κλίσεις — αποτελεί επεξεργασία ευαίσθητων προσωπικών δεδομένων και απαιτεί ρητή συγκατάθεση αντί της γενικής διαφημιστικής συγκατάθεσης. Η στόχευση κοινού στα ταϊλανδικά που επικαλύπτεται με τον ευαίσθητο κατάλογο θα πρέπει να ελεγχθεί ειδικά σε σχέση με αυτό το όριο.
Συγκατάθεση cookies βάσει του PDPA το 2026
Ο PDPA επιτρέπει πολλαπλές νόμιμες βάσεις για επεξεργασία, αλλά για cookies και παρόμοιες τεχνολογίες που δεν είναι απολύτως απαραίτητες για την παροχή υπηρεσιών, οι κατευθυντήριες γραμμές του PDPC και η πρώιμη επιβολή έχουν συγκλίνει στη συγκατάθεση ως πρακτική γραμμή βάσης.
Τα στοιχεία της έγκυρης συγκατάθεσης
Η συγκατάθεση βάσει του PDPA πρέπει να είναι:
- Ελεύθερα δοθείσα — χωρίς εξαναγκασμό ή δέσμευση με την παροχή βασικών υπηρεσιών
- Ενημερωμένη — το υποκείμενο δεδομένων κατανοεί ποια δεδομένα υποβάλλονται σε επεξεργασία, από ποιον και για ποιον σκοπό
- Ειδική — συνδεδεμένη με σαφώς προσδιορισμένους σκοπούς αντί για γενική συγκατάθεση
- Αναμφίβολη — εκφρασμένη μέσω μιας σαφούς καταφατικής πράξης, όχι συναγόμενη από αδράνεια
- Ρητή σε περιπτώσεις που αφορούν ευαίσθητα προσωπικά δεδομένα, με χωριστή και ειδική συγκατάθεση για την ευαίσθητη επεξεργασία
Πώς μοιάζει μια συμβατή CMP
Μια CMP διαμορφωμένη για ταϊλανδική κίνηση το 2026 θα πρέπει να παρουσιάζει:
- Ένα ορατό banner πριν ενεργοποιηθεί οποιοδήποτε μη απαραίτητο cookie ή tracker, στα ταϊλανδικά (ภาษาไทย) από προεπιλογή για Ταϊλανδούς χρήστες
- Ίση οπτική εμφάνεια για τα ยอมรับ (Αποδοχή), ปฏิเสธ (Απόρριψη) και ตั้งค่า (Ρυθμίσεις) — το PDPC έχει επικρίνει σχέδια banner όπου η ενέργεια απόρριψης υποβαθμίζεται οπτικά
- Λεπτομερείς εναλλαγές ανά σκοπό: αναλυτικά, διαφήμιση, εξατομίκευση, διασυνοριακή μεταφορά και οποιαδήποτε επεξεργασία ευαίσθητης κατηγορίας
- Μια ξεχωριστή, σαφώς επισημασμένη ροή για την επεξεργασία ευαίσθητων προσωπικών δεδομένων, ασφαλισμένη πίσω από τη δική της ενέργεια
- Έναν μόνιμο, εύκολα ευρέσιμο μηχανισμό για την ανάκληση της συγκατάθεσης μετά την αρχική επιλογή
- Γνωστοποίηση απορρήτου στα ταϊλανδικά με πλήρη αποκάλυψη του υπευθύνου επεξεργασίας, των εκτελούντων την επεξεργασία, των σκοπών, των αποδεκτών, της διατήρησης και των δικαιωμάτων
Αρχεία συγκατάθεσης
Οι υπεύθυνοι επεξεργασίας πρέπει να διατηρούν αποδεικτικά στοιχεία συγκατάθεσης — ποιος συγκατατέθηκε, πότε, σε ποιον σκοπό και μέσω ποιας διεπαφής. Τα ανεπαρκή αρχεία συγκατάθεσης έχουν αναφερθεί σε αρκετές επιστολές επιβολής του PDPC το 2025, και τα εξαγώγιμα αρχεία καταγραφής με χρονοσφραγίδα αποτελούν τη βασική προσδοκία.
Διασυνοριακές μεταφορές μετά τους κανονισμούς του 2025
Οι κανονισμοί μεταφοράς του 2025 ήταν η πιο σημαντική πρόσφατη εξέλιξη για τους ξένους εκδότες, διευκρινίζοντας τους διαθέσιμους μηχανισμούς για διασυνοριακές ροές δεδομένων.
Οι αναγνωρισμένοι μηχανισμοί μεταφοράς
Οι κανονισμοί του 2025 προβλέπουν τέσσερα κύρια μονοπάτια:
- Καθορισμός επαρκούς προστασίας όπου το PDPC έχει αξιολογήσει τη χώρα προορισμού ως παρέχουσα επαρκή προστασία
- Κατάλληλες εγγυήσεις μέσω συμβατικών μηχανισμών, συμπεριλαμβανομένων τυποποιημένων συμβατικών ρητρών εγκεκριμένων από τον PDPC και δεσμευτικών εταιρικών κανόνων
- Ειδικές εξαιρέσεις, συμπεριλαμβανομένης ρητής συγκατάθεσης από το υποκείμενο δεδομένων με επαρκή αποκάλυψη, αναγκαιότητα σύμβασης, ζωτικό συμφέρον και ουσιαστικό δημόσιο συμφέρον
- Συστήματα πιστοποίησης αναγνωρισμένα από το PDPC για συγκεκριμένους τομείς ή δραστηριότητες
Ο κατάλογος επάρκειας
Το PDPC έχει εκδώσει αποφάσεις επάρκειας για μια χούφτα δικαιοδοσίες έως τις αρχές του 2026. Οι Ηνωμένες Πολιτείες δεν βρίσκονται στον κατάλογο, πράγμα που σημαίνει ότι οι μεταφορές σε παρόχους ad-tech και αναλυτικών που εδρεύουν στις ΗΠΑ απαιτούν συμβατικές ρήτρες, πιστοποίηση ή εξαίρεση βάσει συγκατάθεσης.
Η πρακτική προσέγγιση για το 2026
Για τους περισσότερους ξένους εκδότες, η εργαζόμενη προσέγγιση είναι η εκτέλεση τυποποιημένων συμβατικών ρητρών εγκεκριμένων από τον PDPC με διεθνείς εκτελούντες την επεξεργασία, η τεκμηρίωση του μηχανισμού μεταφοράς στη γνωστοποίηση απορρήτου στα ταϊλανδικά και η συμπλήρωση με εξουσιοδότηση βάσει συγκατάθεσης μόνο όπου ο τυπικός μηχανισμός δεν ταιριάζει καθαρά.
Δικαιώματα υποκειμένων δεδομένων βάσει του PDPA
Ο PDPA χορηγεί ένα σύνολο δικαιωμάτων που ακολουθούν στενά τον GDPR:
- Δικαίωμα πρόσβασης σε προσωπικά δεδομένα που τηρούνται από τον υπεύθυνο επεξεργασίας
- Δικαίωμα διόρθωσης ανακριβών ή ελλιπών δεδομένων
- Δικαίωμα διαγραφής
- Δικαίωμα περιορισμού της επεξεργασίας
- Δικαίωμα φορητότητας δεδομένων
- Δικαίωμα εναντίωσης στην επεξεργασία
- Δικαίωμα ανάκλησης συγκατάθεσης
- Δικαίωμα να μην υπόκεινται σε αυτοματοποιημένη λήψη αποφάσεων που παράγει σημαντικά αποτελέσματα
- Δικαίωμα υποβολής καταγγελίας στο PDPC
Χρονοδιαγράμματα απόκρισης
Οι υπεύθυνοι επεξεργασίας πρέπει να απαντούν σε αιτήματα υποκειμένων δεδομένων εντός 30 ημερών στο πλαίσιο του γενικού πλαισίου, με μικρότερα παράθυρα για συγκεκριμένους τύπους αιτημάτων. Η επιχειρησιακή ετοιμότητα για αυτό το παράθυρο — με εργαλεία και εγχειρίδια στα ταϊλανδικά — αποτελεί κοινό κενό για ξένους εκδότες που έχουν συντονιστεί σε ευρωπαϊκό ρυθμό.
Η απαίτηση DPO
Ο δευτερογενής κανονισμός του 2024 διευκρίνισε πότε απαιτείται DPO. Οι υπεύθυνοι επεξεργασίας που επεξεργάζονται μεγάλους όγκους προσωπικών δεδομένων, διεξάγουν συστηματική παρακολούθηση υποκειμένων δεδομένων ή επεξεργάζονται ευαίσθητα προσωπικά δεδομένα σε κλίμακα πρέπει να ορίζουν DPO. Οι ξένοι υπεύθυνοι επεξεργασίας που φτάνουν το κατώφλι όγκου μέσω Ταϊλανδών χρηστών βρίσκονται εντός πεδίου εφαρμογής. Τα στοιχεία επικοινωνίας του DPO πρέπει να είναι προσβάσιμα στη γνωστοποίηση απορρήτου στα ταϊλανδικά.
Κυρώσεις και στάση επιβολής το 2026
Η δραστηριότητα επιβολής του PDPC έχει κλιμακωθεί ουσιαστικά κατά τη διάρκεια του 2024 και 2025, και το 2026 βρίσκεται σε παρόμοια τροχιά.
Η δομή των διοικητικών προστίμων
Τα διοικητικά πρόστιμα κλιμακώνονται ανά τύπο παράβασης, με ανώτατα ποσά 5 εκατομμυρίων THB ανά παράβαση για τις πιο σοβαρές παραβιάσεις. Οι τυπικές παραβάσεις — ανεπαρκή banner συγκατάθεσης, ελλείπουσες γνωστοποιήσεις απορρήτου, αδυναμία ανταπόκρισης σε αιτήματα υποκειμένων δεδομένων — συνήθως προσελκύουν πρόστιμα στο κατώτερο εύρος εκατοντάδων χιλιάδων THB, αλλά μπορούν να κλιμακωθούν γρήγορα για επαναλαμβανόμενες ή επιβαρυντικές παραβάσεις.
Το δίχτυ ασφαλείας ποινικής ευθύνης
Σε αντίθεση με τον GDPR, ο PDPA προβλέπει ποινική ευθύνη για τις πιο σοβαρές παραβιάσεις, συμπεριλαμβανομένης φυλάκισης διευθυντών σε συγκεκριμένες περιστάσεις. Ο δευτερογενής κανονισμός του 2024 διευκρίνισε το εύρος της ποινικής ευθύνης, και ενώ δεν έχει εφαρμοστεί κατά ξένων εκδοτών το 2026 έως σήμερα, η πιθανότητα διαμορφώνει την ανάλυση κινδύνου για οποιονδήποτε οργανισμό επεξεργάζεται ταϊλανδικά δεδομένα σε κλίμακα.
Θέματα επιβολής
Οι ενέργειες του PDPC από το 2025 και τις αρχές του 2026 συγκεντρώνονται γύρω από: αμφίβολα ή απόντα banner συγκατάθεσης, έλλειψη γνωστοποιήσεων απορρήτου στα ταϊλανδικά, διασυνοριακές μεταφορές χωρίς έγκυρο μηχανισμό βάσει των κανονισμών του 2025, αδυναμία ανταπόκρισης σε αιτήματα υποκειμένων δεδομένων εντός του παραθύρου 30 ημερών και ελλείπουσες ορισμοί DPO για υπευθύνους επεξεργασίας εντός πεδίου εφαρμογής. Ξένοι εκδότες έχουν αναφερθεί και στις πέντε κατηγορίες.
Λίστα ελέγχου ελέγχου για την ταϊλανδική κίνηση το 2026
- Το banner CMP εξυπηρετείται στα ταϊλανδικά με ยอมรับ, ปฏิเสธ και ตั้งค่า με ίση οπτική εμφάνεια
- Οι σκοποί συγκατάθεσης είναι λεπτομερείς και διαχωρίζουν την επεξεργασία ευαίσθητης κατηγορίας πίσω από τη δική της ροή συγκατάθεσης
- Η γνωστοποίηση απορρήτου είναι διαθέσιμη στα ταϊλανδικά με πλήρη αποκάλυψη του υπευθύνου επεξεργασίας, εκτελούντων την επεξεργασία, σκοπών, διατήρησης, δικαιωμάτων και στοιχείων επικοινωνίας DPO
- Οι διασυνοριακές μεταφορές βασίζονται σε τυποποιημένες συμβατικές ρήτρες εγκεκριμένες από τον PDPC, καθορισμό επάρκειας, BCRs, πιστοποίηση ή τεκμηριωμένη εξαίρεση
- Τα αρχεία καταγραφής συγκατάθεσης φέρουν χρονοσφραγίδα, είναι εξαγώγιμα και διατηρούνται για την εφαρμοστέα περίοδο
- Η ροή εργασίας αιτήματος υποκειμένου δεδομένων μπορεί να ανταποκριθεί εντός 30 ημερών από άκρο σε άκρο, στα ταϊλανδικά
- Ο DPO ορίζεται εκεί που απαιτείται και τα στοιχεία επικοινωνίας δημοσιεύονται στη γνωστοποίηση απορρήτου
- Ο κατάλογος παρόχων έχει αναθεωρηθεί για αναγκαιότητα, με αφαίρεση αχρησιμοποίητων ή πλεονασματικών παρόχων για μείωση της επιφάνειας διασυνοριακής μεταφοράς
- Τα τμήματα κοινού ευαίσθητης κατηγορίας είναι ασφαλισμένα πίσω από ρητή, χωριστά καταγεγραμμένη συγκατάθεση
- Το εγχειρίδιο γνωστοποίησης παραβίασης είναι συντονισμένο στα χρονοδιαγράμματα γνωστοποίησης παραβίασης του PDPA
Η προοπτική για το 2026
Το καθεστώς απορρήτου της Ταϊλάνδης έχει ωριμάσει από έναν βασικό νόμο με περιορισμένη επιχειρησιακή εξειδίκευση σε ένα καθεστώς με τους δευτερογενείς κανονισμούς, την εκτελεστική ικανότητα και την πολιτική βούληση για ουσιαστική εφαρμογή. Οι κανονισμοί διασυνοριακής μεταφοράς του 2025 έκλεισαν το πιο σημαντικό δομικό κενό, και η πρώιμη στάση επιβολής του PDPC είναι συνεπής με έναν σοβαρό ρυθμιστή στη μέση της κλιμάκωσης παρά με κάποιον που θα παραμείνει ήσυχος. Για εκδότες που ήδη εκτελούν ένα σύνολο συγκατάθεσης επιπέδου GDPR, το χάσμα μέχρι τη συμμόρφωση με τον PDPA είναι επιχειρησιακό και όχι αρχιτεκτονικό: CMP και γνωστοποίηση απορρήτου στα ταϊλανδικά, μηχανισμοί μεταφοράς εγκεκριμένοι από τον PDPC, ο ρυθμός απόκρισης 30 ημερών, ορισμός DPO όπου απαιτείται και προσοχή στον ευρύτερο κατάλογο ευαίσθητων δεδομένων του PDPA. Το χάσμα μπορεί να κλείσει σε εβδομάδες εάν δοθεί προτεραιότητα — και η Ταϊλάνδη είναι μια σημαντική αγορά της Νοτιοανατολικής Ασίας, οπότε η ιεράρχηση προτεραιοτήτων αποδίδει συνήθως γρήγορα. Οι εκδότες που αντιμετώπισαν την Ταϊλάνδη ως ελαφρύτερη αγορά μέχρι το 2024 βρίσκουν το 2026 σημαντικά πιο απαιτητικό, και η τάση είναι σαφής.