PDPAren egitura 2026an

PDPA Tailandiako datu-babeserako lege nagusia da, eta bere egitura GDPRarena bezalakoa da. 2024ko eta 2025eko azpiarauketak oinarrizko legeari falta zitzaion xehetasun operatiboa gehitu zioten.

Azpiarauketak gehitu zuena

2024 eta 2025an zehar, PDPCk azpiarauketak eman zituen hauek estaliz: mugaz gaindiko datu-transferentziaren mekanismoak, Datu Babeserako Arduradunaren izendapena eta betebeharrak, datu-hauste-jakinarazpen prozedurak, prozesatze-erregistroaren eskakizunak, datu-subjektuaren eskubideen epe-zerrenda, eta datu pertsonal sentikorretarako baimenerako estandar bereziak. Araudi honek guztiak PDPA esparru orokor batetik zehaztasunean GDPRarekin alderagarria den erregimen operatibo batean bihurtu zuen.

Nor dago araututa

PDPA datu-kontrolatzaile eta prozesatzaile gehienei aplikatzen zaie, lurraldez kanpoko irismenarekin atzerriko erakundeentzat Tailandian dauden pertsonen datu pertsonalak ondasun edo zerbitzuak eskaintzearekin edo portaera kontrolatzearekin lotuta prozesatzen dituztenei. Tailandiako erabiltzaileak tokian tokikoen gune edo Tailandiako IP-en aurka erosita programatikoa den inbentarioa bidez zerbitzatzen dituzten atzerriko argitaratzaileak normalean barruan daude, eta PDPCk lurraldez kanpoko xedapena goiztiar betearazpen gutunetan baliatu du.

Administrazio eta zigor penal zehapenak

PDPAk administrazio-isunak ezartzen ditu THB 5 milioirainoko per urraketa, eta zigor penalak urraketarik larrientzat, zuzendarien espetxeratzea barne egoera zehatzetan. Administrazio-isunaren sabaia absolutu terminoetan GDPRrena baino baxuagoa da, baina PDPCren betearazpen-jarrera eskalatzaileak eta zigor-erantzukizunaren eskuragarritasunak arrisku eraginkorra esanguratsua egiten dute.

Zer zenbatzen da PDPA pean datu pertsonal gisa

PDPAren datu pertsonal definizio GDPRarena bezalakoa da. Datu pertsonalak pertsona identifikatu edo identifika daitekeen bati buruzko informazioa da, eta PDPCk cookie-ak, publizitate-identifikatzaileak, IP helbideak, gailuaren aztarnak eta portaera-profilak datu pertsonal gisa tratatzen ditu sistematikoki, banako bati zuzenean edo beste informazioarekin konbinatuta lotu daitezkeenean.

Datu pertsonal sentikorrak

PDPAk kategoria sentikor zabala izendatzen du, hauek barne: arraza edo etnia jatorria, iritzi politikoa, sinesmen erlijioso edo filosofikoa, portaera sexuala, zigor-erregistroa, osasun-datuak, ezintasuna, sindikatu-kide izatea, datu genetikoak eta datu biometrikoak. Datu pertsonal sentikorren prozesatzeak baimen esplizitua eskatzen du eta kontrolatzailearen betebehar gehigarriak dakartzate.

Zergatik garrantzitsua da cookie-etarako

Ohiko identifikatzaile bat gordetzen duen cookie-a ohiko datu pertsonala da. PDPAren zerrendarekin lotutako publiko-segmentu bat elikatzen duen cookie-a — osasun-interesak, erlijio-kidetzak, joera politikoak — datu pertsonal sentikorrekin prozesatzea da eta baimen esplizitua eskatzen du, publizitate-baimen orokorra ez. Zerrenda sentikorrarekin gainjarritako tailandiar-hizkuntzako publiko-orientatzea muga hori kontuan hartuta bereziki auditatu beharko litzateke.

Cookie Baimena PDPA pean 2026an

PDPAk prozesatzeko oinarri juridiko anitz onartzen ditu, baina zerbitzu-horniduraren ezinbestean beharrezkoak ez diren cookie eta antzeko teknologietarako, PDPCren gidak eta goiztiar betearazpenak baimenean batu dira oinarri praktiko gisa.

Baimen balioduaren elementuak

PDPAren pean baimenaren eskakizunak hauek dira:

• Libreki emana — behartu edo funtsezko zerbitzu-hornikuntza lotuta gabe
• Informatua — datu-subjektuak ulertzen du zer datu prozesatzen diren, nork eta zein xederako
• Zehatza — argi identifikatutako xedeekin lotuta, baimen orokorra ordez
• Anbiguotasunik gabea — ekintza baieztatze argi baten bidez adierazia, inakziotik ondorioztatu gabe
• Esplizitua datu pertsonal sentikorren kasuan, sentikorraren prozesatzearentzat banandutako eta berariazko baimenarekin

CMP bateragarri batek nolakoa beharko luke

Tailandiako trafikorako konfiguratutako CMP batek 2026an aurkeztu beharko luke:

• Edozein cookie edo jarraitzaile ez-ezinbesterezko sutu aurretik banner ikusgarria, tailandiako (ภาษาไทย) hizkuntzan lehenespenez Tailandiako erabiltzaileetarako
• Nabarmentasun bisual berdina ยอมรับ (Onartu), ปฏิเสธ (Ukatu) eta ตั้งค่า (Ezarpenak) - rako — PDPCk banner diseinuak kritikatu ditu Ukatu ekintza bisualki gutxietsia dagoenean
• Toggle zehaztasunezko xedez: analitika, publizitatea, pertsonalizazioa, mugaz gaindiko transferentzia eta kategoria sentikorren prozesatzea
• Datu pertsonal sentikorren prozesatzeko banatutako, argi etiketatutako fluxua, bere ekintza atzean itxita
• Hasierako aukeraren ostean baimena atzera erretiratzeko iraunkorrak, erraz aurkituko den mekanismoa
• Tailandiar-hizkuntzako pribatutasun-oharra kontrolatzaile, prozesatzaile, xede, hartzaile, atxikipen eta eskubideen adierazpen osoarekin

Baimen-erregistroak

Kontrolatzaileek baimenaren frogagiriak mantendu behar dituzte — nork baimendu zuen, noiz, zein xederako eta zein interfazeren bidez. Ezegoki baimen-erregistroak 2025eko PDPCren hainbat betearazpen gutunetan aipatu dira, eta esportatu daitezkeen denbora-zigiluak dituzten erregistroak oinarrizko itxaropena dira.

Mugaz gaindiko transferentziak 2025eko Arauen ondoren

2025eko transferentzia-arauak atzerriko argitaratzaileentzako azken garapen garrantzitsuena izan ziren, mugaz gaindiko datu-fluxurako eskuragarri dauden mekanismoak argituz.

Onartutako transferentzia-mekanismoak

2025eko araudiak lau bide nagusi eskaintzen ditu:

• Babes-egokiaren izendapena non PDPCk helburuko herrialdea babes egokia eskaintzen duela ebaluatu duen
• Babes-neurri egokiak kontratu-mekanismoen bidez, PDPC onartutako estandar kontratu-klausulak eta lotesle kontsortzioko arauak barne
• Salbuespen zehatzak datu-subjektuaren baimen esplizitua adierazpen egokiarekin barne, kontratu-beharra, interes bitalak eta interes publiko garrantzitsua barne
• Ziurtagiri-eskemak PDPCk sektore edo jarduera zehatzetan onartutakoak

Egokitasun-zerrenda

PDPCk 2026ko hasierarako eskumen batzuentzat egokitasun-erabakiak eman ditu. Estatu Batuak zerrendan ez daude, eta horrek esan nahi du AEB-oinarritutako ad-tech eta analitika hornitzaileei transferentziek kontratu-klausulak, ziurtagiria edo baimen-oinarritutako salbuespen bat eskatzen dutela.

2026ko ikuspegi praktikoa

Atzerriko argitaratzaile gehienentzat, lan-ikuspegia da PDPC onartutako kontratu-klausula estandarrak nazioarteko prozesatzaileekin betetzea, tailandiar-hizkuntzako pribatutasun-oharrean transferentzia-mekanismoa dokumentatzea eta baimen-oinarritutako baimenarekin gehitzea soilik non mekanismo estandarra garbi ez dagoen.

Datu-Subjektuaren Eskubideak PDPA pean

PDPAk GDPRarena bezalakoa den eskubide multzoa ematen du:

• Kontrolatzaileak duen datu pertsonaletarako sarbide eskubidea
• Zehatz-malatuzko edo osatu gabeko datuen zuzenketa eskubidea
• Ezabatze eskubidea
• Prozesatzea mugatzeko eskubidea
• Datu-eramangarritasunaren eskubidea
• Prozesatzeari aurka egiteko eskubidea
• Baimena atzera erretiratzeko eskubidea
• Efektu esanguratsuak eragiten dituen erabaki automatizaturen menpe ez egoteko eskubidea
• PDPCrekin kexa jartzeko eskubidea

Erantzun-epeak

Kontrolatzaileek datu-subjektuaren eskaerak 30 egunetan erantzun behar dizkiete esparru orokorraren arabera, eskaera-mota zehatzetan leiho laburragoekin. Leiho honetarako eragiketa-prontotasuna — tailandiar-hizkuntzako tresna eta gidaliburuekin — Europako erritmora sintonizatutako atzerriko argitaratzaileentzako hutsune arrunta da.

DPOaren eskakizuna

2024ko azpiaraudiak argitu zuen noiz den DPO beharrezkoa. Datu pertsonal bolumen handiak prozesatzen dituzten, datu-subjektuen jarraipena sistematikoki egiten duten edo datu pertsonal sentikorrak eskalan prozesatzen dituzten kontrolatzaileek DPO bat izendatu behar dute. Tailandiako erabiltzaileen bidez bolumen-atalasera iristen diren atzerriko kontrolatzaileak barruan daude. DPOaren kontaktu-informazioa tailandiar-hizkuntzako pribatutasun-oharrean eskuragarri egon behar da.

Zigorrak eta 2026ko Betearazpen-Jarrera

PDPCren betearazpen-jarduera 2024 eta 2025ean esanguratsuki eskalatu da, eta 2026 antzeko ibilbidean dago.

Administrazio-Isunaren Egitura

Administrazio-isunak urraketa motaren arabera eskalagarriak dira, THB 5 milioi gehienezko urraketarik larrientzat. Ohiko urraketek — baimena-banner desegokiak, pribatutasun-oharrik ez, datu-subjektuaren eskaerei erantzuteko porrota — normalean ehun milaka THB mailan isunak erakartzen dituzte, baina behin edo berriro egindako edo astundu urraketen kasuan azkar eskalatu daitezke.

Zigor-Erantzukizunaren Atzekaldea

GDPRa ez bezala, PDPAk urraketarik larrientzat zigor-erantzukizuna aurreikusten du, zuzendarien espetxeratzea barne egoera zehatzetan. 2024ko azpiaraudiak zigor-erantzukizunaren esparrua argitu zuen, eta 2026an atzerriko argitaratzaileen aurka aplikatu ez den arren oraingoz, aukerak arriskuaren analisia moldatzen du Tailandiako datuak eskalan prozesatzen duen edozein erakunderentzat.

Betearazpen Gaiak

PDPCren 2025eko eta 2026ko hasierako ekintzak hauetan biltzen dira: anbiguozko edo faltako baimen-bannerrak, tailandiar-hizkuntzako pribatutasun-oharren falta, 2025eko arauen pean mekanismo baliodunik gabeko mugaz gaindiko transferentziak, datu-subjektuaren eskaerei 30 eguneko leihoan erantzuteko porrota, eta barruan dauden kontrolatzaileentzako DPO izendapenik eza. Atzerriko argitaratzaileak bost kategoria guztietan aipatu dira.

2026ko Tailandiako Trafiko Auditoriaren Kontrol-Zerrenda

• CMP bannerra tailandiar hizkuntzan ematen da ยอมรับ, ปฏิเสธ eta ตั้งค่า nabarmentasun bisual berdinekin
• Baimena-xedeak zehatzak dira eta kategoria sentikorraren prozesatzea bere baimen-fluxuan bananduta dago
• Pribatutasun-oharra tailandiar hizkuntzan eskuragarri dago kontrolatzaile, prozesatzaile, xede, atxikipen, eskubide eta DPO kontaktuaren adierazpen osoarekin
• Mugaz gaindiko transferentziak PDPC onartutako kontratu-klausula estandarren, egokitasun-izendapenaren, BCR-en, ziurtagiriaren edo dokumentatutako salbuespenaren menpe daude
• Baimen-erregistroak denbora-zigiludun, esportagarriak eta aplikatu aldi osoan mantenduak dira
• Datu-subjektuaren eskaera-fluxua 30 egunetan erantzun dezake hasieratik amaierara, tailandiar hizkuntzan
• DPO izendatuta dago behar denean eta kontaktu-informazioa pribatutasun-oharrean argitaratuta dago
• Hornitzaileen zerrenda beharrizanaren arabera berrikusi da, erabili gabeko edo bikoiztuak hornitzaileak kenduta mugaz gaindiko transferentzia-gainazala murrizteko
• Kategoria sentikorreko publiko-segmentuak baimen esplizitu eta bereizita jasota dagoen atzean itxita daude
• Hauste-jakinarazpen gidaliburua PDPAren hauste-jakinarazpen epeetara doituta dago

2026ko Ikuspena

Tailandiako pribatutasun-erregimena oinarrizko estatutu batetik azpiaraudiekin, betearazpen-ahalmenarekin eta modu esanguratsuan betearazteko borondate politikoarekin osatutako erregimen batera egokitu da. 2025eko mugaz gaindiko transferentzien araudi estrukturazko hutsune garrantzitsuena itxi zuen, eta PDPCren goiztiar betearazpen-jarrera eskalatzen ari den erregulatzaile seriosa batekin bat dator, isilik geldituko den batera ez. GDPR mailako baimena pila bat martxan duten argitaratzaileentzat, PDPA betetzearen hutsunea operazionala da, ez arkitekturakoa: tailandiar-hizkuntzako CMP eta pribatutasun-oharra, PDPC onartutako transferentzia-mekanismoak, 30 eguneko erantzun-erritmoa, DPO izendapena behar denean eta PDPAren zerrendari zehatza sentikorra. Hutsunea astetan itxi daiteke lehentasunezkotzat joz gero — eta Tailandia Hego-ekialdeko Asiako merkataritza esanguratsua da, beraz lehentasunezkotzeak normalean azkar itzultzen du. Tailandia 2024an erregimen arinagoko merkatu gisa tratatu zuten argitaratzaileak aurkitzen ari dira 2026 nabarmenki esanguratsuagoa dela, eta joera argia da.