انطباق۲۰ مه ۲۰۲۶ | FlexyConsent

PDPA تایلند در سال ۲۰۲۶: راهنمای ناشران و تبلیغ‌کنندگان برای رضایت کوکی، انتقال‌های فرامرزی و اجرای PDPC

قانون حمایت از داده‌های شخصی تایلند B.E. 2562 (2019) — که به عنوان PDPA شناخته می‌شود — پس از تأخیرهای متعدد در ژوئن ۲۰۲۲ به طور کامل اجرایی شد و بیشتر سه سال بعد را در مرحله ظرفیت‌سازی نظارتی، انتشار مقررات تبعی و آنچه کمیته حمایت از داده‌های شخصی (PDPC) به طور عمومی به عنوان رویکرد اجرایی صبورانه توصیف کرد، سپری کرد. این رویکرد اکنون به شکل قطعی پایان یافته است. مقررات تبعی PDPC در سال‌های ۲۰۲۴ و ۲۰۲۵ جزئیاتی را که قانون پایه باز گذاشته بود پر کرد، دفتر PDPC (نهاد نظارتی عملیاتی) ظرفیت اجرایی خود را گسترش داد و تا آغاز سال ۲۰۲۶ PDPC شروع به صدور جریمه‌های اداری در سطوح معنادار کرده — از جمله علیه پلتفرم‌های خارجی که داده‌های کاربران تایلندی را از خارج از کشور پردازش می‌کنند. برای هر ناشر، تبلیغ‌کننده یا پلتفرمی که داده‌های شخصی افراد در تایلند را پردازش می‌کند — چه در تایلند مستقر باشد یا از خارج به بازار تایلند خدمت کند — سال ۲۰۲۶ سالی است که PDPA از یک رژیم نسبتاً آرام به یک اولویت اجرایی معتبر تبدیل می‌شود. این راهنما PDPA را آن‌طور که در سال ۲۰۲۶ ایستاده بررسی می‌کند، نیازهای واقعی رضایت کوکی، نحوه عملکرد انتقال‌های فرامرزی پس از مقررات انتقال ۲۰۲۵ و اینکه موضوعات اولیه اجرایی PDPC در عمل چه شکلی دارند را توضیح می‌دهد.

ساختار PDPA در سال ۲۰۲۶

PDPA قانون اصلی حمایت از داده در تایلند است و ساختار آن به شدت شبیه GDPR است. مقررات تبعی ۲۰۲۴ و ۲۰۲۵ جزئیات عملیاتی را که در قانون پایه وجود نداشت افزود.

آنچه مقررات تبعی افزود

در طول ۲۰۲۴ و ۲۰۲۵، PDPC مقررات تبعی شامل موارد زیر صادر کرد: مکانیزم‌های انتقال داده فرامرزی، تعیین و وظایف مسئولان حمایت از داده، رویه‌های اطلاع‌رسانی نقض داده، الزامات ثبت پردازش، جدول زمانی گردش کار حقوق موضوع داده، و استانداردهای رضایت خاص برای داده‌های شخصی حساس. این مقررات به طور جمعی PDPA را از یک چارچوب کلی به یک رژیم عملیاتی قابل مقایسه با GDPR از نظر دقت تبدیل کرد.

چه کسی تنظیم می‌شود

PDPA بر اکثر کنترل‌کنندگان داده و پردازشگران اعمال می‌شود، با دسترسی فراسرزمینی برای سازمان‌های خارجی که داده‌های شخصی افراد در تایلند را در ارتباط با ارائه کالاها یا خدمات یا نظارت بر رفتار پردازش می‌کنند. ناشران خارجی که کاربران تایلندی را از طریق سایت‌های بومی‌سازی شده یا موجودی برنامه‌ای خریداری شده در برابر آدرس‌های IP تایلندی خدمت می‌دهند معمولاً در محدوده قرار دارند، و PDPC در نامه‌های اجرایی اولیه به مفاد فراسرزمینی استناد کرده است.

تحریم‌های اداری و کیفری

PDPA جریمه‌های اداری تا THB 5 میلیون در ازای هر نقض، همراه با مجازات‌های کیفری برای جدی‌ترین نقض‌ها از جمله زندانی شدن مدیران در شرایط خاص پیش‌بینی می‌کند. سقف جریمه اداری به ارقام مطلق از GDPR پایین‌تر است، اما رویکرد اجرایی رو به تشدید PDPC و امکان مسئولیت کیفری ریسک مؤثر را قابل توجه می‌کند.

آنچه تحت PDPA به عنوان داده شخصی محسوب می‌شود

تعریف داده شخصی PDPA به شدت شبیه GDPR است. داده شخصی اطلاعاتی مربوط به شخص شناسایی شده یا قابل شناسایی است و PDPC به طور مداوم کوکی‌ها، شناسه‌های تبلیغاتی، آدرس‌های IP، اثر انگشت دستگاه، و پروفیل‌های رفتاری را به عنوان داده شخصی زمانی که می‌توان آن‌ها را مستقیماً یا با ترکیب با اطلاعات دیگر به یک فرد مرتبط کرد، تلقی کرده است.

داده‌های شخصی حساس

PDPA یک دسته حساس گسترده را تعیین می‌کند که شامل: منشأ نژادی یا قومی، نظر سیاسی، عقیده مذهبی یا فلسفی، رفتار جنسی، سابقه کیفری، داده‌های سلامت، معلولیت، عضویت در اتحادیه کارگری، داده‌های ژنتیکی، و داده‌های بیومتریک است. پردازش داده‌های شخصی حساس نیاز به رضایت صریح دارد و تعهدات اضافی کنترل‌کننده را ایجاد می‌کند.

چرا این برای کوکی‌ها مهم است

کوکی‌ای که یک شناسه معمولی ذخیره می‌کند داده شخصی معمولی است. کوکی‌ای که بخش مخاطبان لیست حساس PDPA را تغذیه می‌کند — علایق بهداشتی، وابستگی مذهبی، گرایش‌های سیاسی — پردازش داده شخصی حساس است و نیاز به رضایت صریح نه رضایت تبلیغاتی عمومی دارد. هدف‌گیری مخاطبان به زبان تایلندی که با لیست حساس تداخل دارد باید به طور خاص در برابر این مرز مورد بررسی قرار گیرد.

رضایت کوکی تحت PDPA در سال ۲۰۲۶

PDPA پایه‌های قانونی متعددی برای پردازش مجاز می‌کند، اما برای کوکی‌ها و فناوری‌های مشابه که برای ارائه خدمات کاملاً ضروری نیستند، راهنمای PDPC و اجرای اولیه بر رضایت به عنوان خط پایه عملی همگرا شده‌اند.

عناصر رضایت معتبر

رضایت تحت PDPA باید:

یک CMP سازگار چگونه به نظر می‌رسد

یک CMP پیکربندی شده برای ترافیک تایلندی در سال ۲۰۲۶ باید ارائه دهد:

سوابق رضایت

کنترل‌کنندگان باید شواهد رضایت را نگه دارند — چه کسی رضایت داد، چه زمانی، برای چه هدفی و از طریق کدام رابط. سوابق ناکافی رضایت در چندین نامه اجرایی PDPC در سال ۲۰۲۵ ذکر شده و گزارش‌های برچسب‌دار زمانی قابل صدور انتظار پایه هستند.

انتقال‌های فرامرزی پس از مقررات ۲۰۲۵

مقررات انتقال ۲۰۲۵ مهم‌ترین توسعه اخیر برای ناشران خارجی بود که مکانیزم‌های موجود برای جریان‌های داده فرامرزی را روشن کرد.

مکانیزم‌های انتقال شناخته شده

مقررات ۲۰۲۵ چهار مسیر اصلی ارائه می‌دهد:

لیست کفایت

PDPC تا اوایل ۲۰۲۶ برای تعدادی از حوزه‌های قضایی تصمیمات کفایت صادر کرده است. ایالات متحده در لیست نیست، به این معنا که انتقال به فروشندگان فناوری تبلیغاتی و تجزیه و تحلیل مستقر در آمریکا نیاز به شروط قراردادی، گواهی، یا یک معافیت مبتنی بر رضایت دارد.

رویکرد عملی ۲۰۲۶

برای اکثر ناشران خارجی، رویکرد کاری اجرای شروط قراردادی استاندارد تأیید شده PDPC با پردازشگران بین‌المللی، مستندسازی مکانیزم انتقال در اطلاعیه حریم خصوصی به زبان تایلندی و تکمیل با مجوز مبتنی بر رضایت تنها زمانی است که مکانیزم استاندارد به وضوح مناسب نیست.

حقوق موضوع داده تحت PDPA

PDPA مجموعه‌ای از حقوق که به شدت شبیه GDPR است اعطا می‌کند:

جدول زمانی پاسخ

کنترل‌کنندگان باید ظرف ۳۰ روز به درخواست‌های موضوع داده تحت چارچوب کلی پاسخ دهند، با پنجره‌های کوتاه‌تر برای انواع درخواست خاص. آمادگی عملیاتی برای این پنجره — با ابزار و کتاب‌های راهنمای زبان تایلندی — یک شکاف رایج برای ناشران خارجی هماهنگ شده با کادنس اروپایی است.

الزام DPO

مقررات تبعی ۲۰۲۴ روشن کرد که DPO چه زمانی لازم است. کنترل‌کنندگانی که حجم زیادی از داده‌های شخصی را پردازش می‌کنند، نظارت سیستماتیک بر موضوعات داده انجام می‌دهند، یا داده‌های شخصی حساس را در مقیاس پردازش می‌کنند باید یک DPO منصوب کنند. کنترل‌کنندگان خارجی که از طریق کاربران تایلندی به آستانه حجم می‌رسند در محدوده هستند. اطلاعات تماس DPO باید در اطلاعیه حریم خصوصی به زبان تایلندی قابل دسترس باشد.

جریمه‌ها و رویکرد اجرایی در سال ۲۰۲۶

فعالیت اجرایی PDPC در طول ۲۰۲۴ و ۲۰۲۵ به طور معناداری تشدید شده و سال ۲۰۲۶ در مسیر مشابهی قرار دارد.

ساختار جریمه اداری

جریمه‌های اداری بر اساس نوع نقض مقیاس‌بندی می‌شوند، با حداکثر THB 5 میلیون در ازای هر نقض برای جدی‌ترین نقض‌ها. نقض‌های معمول — بنرهای رضایت ناکافی، اطلاعیه‌های حریم خصوصی مفقود، عدم پاسخ به درخواست‌های موضوع داده — معمولاً جریمه‌هایی در محدوده صدها هزار THB جذب می‌کنند اما می‌توانند برای نقض‌های تکراری یا مشدد سریعاً افزایش یابند.

سپر مسئولیت کیفری

برخلاف GDPR، PDPA برای جدی‌ترین نقض‌ها مسئولیت کیفری پیش‌بینی می‌کند، از جمله زندانی شدن مدیران در شرایط خاص. مقررات تبعی ۲۰۲۴ محدوده مسئولیت کیفری را روشن کرد، و در حالی که تاکنون در سال ۲۰۲۶ علیه ناشران خارجی اعمال نشده، این احتمال تحلیل ریسک را برای هر سازمانی که داده‌های تایلندی را در مقیاس پردازش می‌کند شکل می‌دهد.

موضوعات اجرایی

اقدامات PDPC در سال ۲۰۲۵ و اوایل ۲۰۲۶ حول این موارد متمرکز است: بنرهای رضایت مبهم یا غایب، فقدان اطلاعیه‌های حریم خصوصی به زبان تایلندی، انتقال‌های فرامرزی بدون مکانیزم معتبر تحت مقررات ۲۰۲۵، عدم پاسخ به درخواست‌های موضوع داده در پنجره ۳۰ روزه، و تعیینات DPO مفقود برای کنترل‌کنندگان در محدوده. ناشران خارجی در همه پنج دسته ذکر شده‌اند.

فهرست بررسی ممیزی برای ترافیک تایلندی در سال ۲۰۲۶

چشم‌انداز ۲۰۲۶

رژیم حریم خصوصی تایلند از یک قانون پایه با دقت عملیاتی محدود به یک رژیم با مقررات تبعی، ظرفیت اجرایی و اراده سیاسی برای اجرای معنادار بالغ شده است. مقررات انتقال فرامرزی ۲۰۲۵ شکاف ساختاری مهم‌ترین را بست، و رویکرد اجرایی اولیه PDPC با یک نهاد نظارتی جدی در میان مقیاس‌بندی سازگار است نه یکی که آرام خواهد ماند. برای ناشرانی که از قبل یک پشته رضایت درجه GDPR را اجرا می‌کنند، شکاف تا انطباق PDPA عملیاتی است نه معماری: CMP و اطلاعیه حریم خصوصی به زبان تایلندی، مکانیزم‌های انتقال تأیید شده PDPC، کادنس پاسخ ۳۰ روزه، تعیین DPO در صورت نیاز، و توجه به لیست گسترده‌تر داده حساس PDPA. شکاف می‌تواند در هفته‌ها اگر اولویت‌بندی شود بسته شود — و تایلند یک بازار جنوب شرق آسیا معنادار است، بنابراین اولویت‌بندی معمولاً به سرعت بازده می‌دهد. ناشرانی که تایلند را به عنوان بازاری با رویکرد سبک‌تر در ۲۰۲۴ تلقی کردند در حال یافتن این هستند که ۲۰۲۶ به طور معناداری خواستارتر است، و روند آشکار است.

← وبaderegistrdelays delays خواندن همه →