PDPA struktuur 2026. aastal

PDPA on Tai peamine andmekaitse seadus ja selle struktuur sarnaneb tihedalt GDPR-iga. 2024. ja 2025. aasta allõigusaktid lisasid tegevusliku üksikasjalikkuse, mis põhiseaduses puudus.

Mida allõigusaktid lisasid

Aastatel 2024 ja 2025 andis PDPC välja allõigusaktid, mis hõlmavad: piiriülese andmeedastuse mehhanisme, andmekaitseametnike nimetamist ja kohustusi, andmerikkumistest teavitamise korda, töötlemistoimingute registri nõudeid, andmesubjekti õiguste rakendamise ajakavasid ning tundlike isikuandmete erinõuded nõusolekule. Need määrused muutsid PDPA üldraamistikust operatiivseks režiimiks, mis on spetsiifilisuse poolest võrreldav GDPR-iga.

Kelle suhtes kohaldatakse

PDPA kohaldub enamiku vastutavate töötlejate ja volitatud töötlejate suhtes ning sellel on territoriaalne ulatus välisorganisatsioonidele, kes töötlevad Tais asuvate isikute isikuandmeid seoses kaupade või teenuste pakkumisega või käitumise jälgimisega. Välismaised väljaandjad, kes teenindavad Tai kasutajaid lokaliseeritud saitide või programmilise inventariga Tai IP-de vastu ostetuna, on tavaliselt kohaldamisalasse kuuluvad ning PDPC on varajastes täitmiskirjades tuginenud territoriaalsele sättele.

Haldus- ja kriminaalkaristused

PDPA näeb ette haldustrahvid kuni THB 5 miljonit rikkumise kohta ning kriminaalkaristused kõige tõsisemate rikkumiste eest, sealhulgas juhtide vangistus teatud asjaoludel. Haldustrahvi ülempiir on absoluutarvudes madalam kui GDPR-il, kuid PDPC eskaleeruv täitmispoliitika ja kriminaalvastutuse võimalus muudavad tegeliku riski oluliseks.

Mis loetakse PDPA alusel isikuandmeteks

PDPA isikuandmete definitsioon sarnaneb tihedalt GDPR-iga. Isikuandmed on tuvastatud või tuvastatava isiku kohta käiv teave ning PDPC on järjepidevalt käsitlenud küpsiseid, reklaamitunnuseid, IP-aadresse, seadme sõrmejälgi ja käitumuslikke profiile isikuandmetena, kui neid saab seostada isikuga otseselt või kombinatsioonis muu teabega.

Tundlikud isikuandmed

PDPA määratleb laia tundliku kategooria, sealhulgas: rassiline või etniline päritolu, poliitiline arvamus, usulised või filosoofilised veendumused, seksuaalkäitumine, kriminaalkaristused, terviseandmed, puue, ametiühingusse kuulumine, geneetilised andmed ja biomeetrilised andmed. Tundlike isikuandmete töötlemine nõuab selgesõnalist nõusolekut ja toob kaasa täiendavad vastutava töötleja kohustused.

Miks see küpsiste puhul oluline on

Küpsis, mis salvestab tavapärase tunnuse, on tavaline isikuandme. Küpsis, mis toetab PDPA tundlike andmete nimekirjaga seotud vaatajaskonnasegmenti — tervisehuvid, usulised seotused, poliitilised kalduvused — on tundlike isikuandmete töötlemine ning nõuab selgesõnalist nõusolekut, mitte üldist reklaamiandmete nõusolekut. Taikeelset sihtrühma, mis katab tundlike andmete nimekirja, tuleks selle piiri suhtes spetsiaalselt auditeerida.

Küpsiste nõusolek PDPA alusel 2026. aastal

PDPA lubab töötlemiseks mitmeid õiguslikke aluseid, kuid küpsiste ja sarnaste tehnoloogiate puhul, mis ei ole teenuse osutamiseks rangelt vajalikud, on PDPC juhendid ja varajane täitmine koondunud nõusolekule kui praktilisele lähtealusele.

Kehtiva nõusoleku elemendid

PDPA alusel peab nõusolek olema:

• Vabalt antud — ilma sunni või sidumiseta hädavajaliku teenuse osutamisega
• Teadlik — andmesubjekt mõistab, milliseid andmeid töödeldakse, kelle poolt ja mis eesmärgil
• Spetsiifiline — seotud selgelt määratletud eesmärkidega, mitte üldise nõusolekuga
• Ühemõtteline — väljendatud selge jaatava tegevuse kaudu, mitte järeldatud tegevusetusest
• Selgesõnaline tundlike isikuandmete puhul, eraldi ja konkreetse nõusolekuga tundlike andmete töötlemiseks

Kuidas näeb välja nõuetele vastav CMP

Tai liiklusele konfigureeritud CMP peaks 2026. aastal esitama:

• Nähtava bänneri enne mis tahes mittevajaliku küpsise või jälgija käivitamist, vaikimisi taikeeles (ภาษาไทย) Tai kasutajatele
• Võrdset visuaalset tähtsust ยอมรับ (Nõustu), ปฏิเสธ (Keeldu) ja ตั้งค่า (Seaded) jaoks — PDPC on kritiseerinud bänneri kujundusi, kus keeldumise toiming on visuaalselt vähendatud
• Granuleeritud lüliteid eesmärkide kaupa: analüütika, reklaam, isikupärastamine, piiriülene edastamine ja tundliku kategooria töötlemine
• Eraldi, selgelt märgistatud voogu tundlike isikuandmete töötlemiseks, mis on turvatud oma toiminguga
• Püsivat, kergesti leitavat mehhanismi nõusoleku tagasivõtmiseks pärast esialgset valikut
• Taikeelset privaatsuspoliitikat vastutava töötleja, töötlejate, eesmärkide, saajate, säilitamise ja õiguste täieliku avalikustamisega

Nõusoleku registrid

Vastutavad töötlejad peavad säilitama nõusoleku tõendeid — kes nõustus, millal, mis eesmärgil ja millise liidese kaudu. Ebapiisavaid nõusoleku registreid on mainitud mitmetes PDPC täitmiskirjades 2025. aastal ning eksporditavad ajatempliga logid on lähteline ootus.

Piiriülesed edastused pärast 2025. aasta määrusi

2025. aasta edastamise määrused olid välisväljaandjate jaoks kõige olulisem hiljutine areng, täpsustades piiriüleste andmevoogude jaoks saadaolevaid mehhanisme.

Tunnustatud edastamismehhanismid

2025. aasta määrused pakuvad nelja peamist teed:

• Piisava kaitse tunnustamine, kus PDPC on hinnanud sihtriiki piisava kaitse pakkujaks
• Asjakohased kaitsemeetmed lepinguliste mehhanismide kaudu, sealhulgas PDPC kinnitatud standardsed lepingutingimused ja siduvad kontsernisisesed eeskirjad
• Konkreetsed erandid, sealhulgas andmesubjekti selgesõnaline nõusolek koos piisava avalikustamisega, lepingu vajalikkus, elulised huvid ja oluline avalik huvi
• Sertifitseerimisskeemid, mida PDPC tunnustab konkreetsete sektorite või tegevuste jaoks

Piisavuse nimekiri

PDPC on andnud 2026. aasta alguseks välja piisavuse otsused mõnede jurisdiktsioonide kohta. Ameerika Ühendriigid ei ole nimekirjas, mis tähendab, et edastused USA-põhistele reklaamitehnoloogia- ja analüütikamüüjatele nõuavad lepingulisi tingimusi, sertifitseerimist või nõusolekupõhist erandit.

Praktiline 2026. aasta lähenemine

Enamiku välismaiste väljaandjate jaoks on toimiv lähenemine täita PDPC kinnitatud standardsed lepingutingimused rahvusvaheliste töötlejatega, dokumenteerida edastamismehhanism taikeelses privaatsuspoliitikas ning täiendada nõusolekupõhise volitusega ainult seal, kus standardmehhanism ei sobi selgelt.

Andmesubjekti õigused PDPA alusel

PDPA annab õiguste kogumi, mis sarnaneb tihedalt GDPR-iga:

• Õigus juurdepääsule vastutava töötleja valduses olevatele isikuandmetele
• Õigus ebatäpsete või puudulike andmete parandamisele
• Õigus kustutamisele
• Õigus töötlemise piiramisele
• Õigus andmete ülekandmisele
• Õigus töötlemisele vastuväitete esitamisele
• Õigus nõusolek tagasi võtta
• Õigus mitte olla automatiseeritud otsustamise objekt, mis toob kaasa olulisi tagajärgi
• Õigus esitada kaebus PDPC-le

Vastamise tähtajad

Vastutavad töötlejad peavad vastama andmesubjekti taotlustele 30 päeva jooksul üldise raamistiku alusel, lühema aknaga teatud taotluste jaoks. Tegevusvalmidus selle akna jaoks — taikeelsete tööriistade ja tööraamatutega — on välismaiste väljaandjate jaoks, kes on häälestatud Euroopa tempole, tavaline puudujääk.

DPO nõue

2024. aasta allõigusakt täpsustas, millal on DPO nõutav. Vastutavad töötlejad, kes töötlevad suuri isikuandmete koguseid, viivad läbi andmesubjektide süstemaatilist jälgimist või töötlevad tundlikke isikuandmeid suuremas mahus, peavad määrama DPO. Tai kasutajate kaudu mahu lävendile jõudvad välismaised vastutavad töötlejad on kohaldamisalasse kuuluvad. DPO kontaktteave peab olema taikeelses privaatsuspoliitikas kättesaadav.

Karistused ja täitmise poliitika 2026. aastal

PDPC täitmistegevus on 2024. ja 2025. aastal märkimisväärselt eskaleerunud ning 2026. aasta on samal trajektooril.

Haldustrahvi struktuur

Haldustrahvid skaleeritakse rikkumise tüübi järgi, maksimaalsed THB 5 miljonit rikkumise kohta kõige tõsisemate rikkumiste puhul. Tavapärased rikkumised — ebapiisavad nõusoleku bännerid, puuduvad privaatsuspoliitikat, suutmatus vastata andmesubjekti taotlustele — meelitavad tavaliselt trahve sadade tuhandete THB piirkonnas, kuid võivad korduvate või raskendavate rikkumiste puhul kiiresti eskaleeruda.

Kriminaalvastutuse tagavaravõimalus

Erinevalt GDPR-ist näeb PDPA ette kriminaalvastutuse kõige tõsisemate rikkumiste eest, sealhulgas juhtide vangistus teatud asjaoludel. 2024. aasta allõigusakt täpsustas kriminaalvastutuse ulatust ning kuigi seda ei ole 2026. aastal tänaseni rakendatud välismaiste väljaandjate vastu, kujundab võimalus riskianalüüsi iga organisatsiooni jaoks, kes töötleb Tai andmeid suuremas mahus.

Täitmise teemad

PDPC 2025. aasta ja 2026. aasta alguse tegevused koonduvad: ebaselged või puuduvad nõusoleku bännerid, taikeelsete privaatsuspoliitikte puudumine, piiriülesed edastused ilma kehtiva mehhanismita 2025. aasta määruste alusel, suutmatus vastata andmesubjekti taotlustele 30-päevase akna jooksul ning puuduvad DPO nimetamised kohaldamisalasse kuuluvatele vastutavatele töötlejatele. Välismaised väljaandjad on saanud viiteid kõigis viies kategoorias.

Auditikontrollnimekiri Tai liiklusele 2026. aastal

• CMP bänner esitatakse taikeeles ยอมรับ, ปฏิเสธ ja ตั้งค่า võrdse visuaalse tähtsusega
• Nõusoleku eesmärgid on granuleeritud ja tundliku kategooria töötlemine on oma nõusolekuvoo taga eraldi
• Privaatsuspoliitika on saadaval taikeeles vastutava töötleja, töötlejate, eesmärkide, säilitamise, õiguste ja DPO kontakti täieliku avalikustamisega
• Piiriülesed edastused tuginevad PDPC kinnitatud standardsetele lepingutingimustele, piisavuse tunnustamisele, BCR-idele, sertifitseerimisele või dokumenteeritud erandile
• Nõusoleku logid on ajatempliga, eksporditavad ja säilitatud kohaldatava perioodi jooksul
• Andmesubjekti taotluste töövoog suudab vastata 30 päeva jooksul algusest lõpuni taikeeles
• DPO on määratud vajadusel ning kontaktteave on avaldatud privaatsuspoliitikas
• Müüjate nimekiri on vajadusel üle vaadatud, kasutamata või üleliigsed müüjad eemaldatud piiriülese edastuse pinna vähendamiseks
• Tundliku kategooria vaatajaskonnasegmendid on selgesõnalise, eraldi kogutud nõusoleku taha suletud
• Rikkumisest teavitamise tööraamat on kohandatud PDPA rikkumisteavituse ajakavadele

2026. aasta väljavaade

Tai privaatsusrežiim on küpsenud piiratud tegevusliku spetsiifilisusega põhiseadusest allõigusaktide, täitmisvõimekuse ja poliitilise tahtega režiimiks, mida on tähenduslikult täidetud. 2025. aasta piiriülese edastuse määrused sulgesid kõige olulisema struktuurse lünga ning PDPC varajane täitmispoliitika on kooskõlas tõsise regulaatoriga, kes on skaleerimise keskel, mitte sellega, kes jääb vaikseks. Väljaandjatele, kes juba käitavad GDPR-taseme nõusoleku virna, on lõhe PDPA vastavusse saamises tegevuslik, mitte arhitektuuriline: taikeelne CMP ja privaatsuspoliitika, PDPC kinnitatud edastamismehhanismid, 30-päevane vastamise tempo, DPO nimetamine vajadusel ja hoolsus PDPA laiema tundlike andmete nimekirjaga. Lõhe saab sulgeda nädalate jooksul, kui seda prioritiseerida — ning Tai on oluline Kagu-Aasia turg, mistõttu prioritiseerimine tasub end tavaliselt kiiresti ära. Väljaandjad, kes käsitlesid Taid kergemate reeglitega turuna 2024. aastal, leiavad, et 2026. aasta on märkimisväärselt nõudlikum ning trend on selge.