Thaimaan PDPA vuonna 2026: julkaisijoiden ja mainostajien opas evästeiden suostumuksesta, rajat ylittävistä siirroista ja PDPC:n täytäntöönpanosta
Thaimaan henkilötietojen suojalaki B.E. 2562 (2019) — tunnettu nimellä PDPA — tuli täysimääräisesti voimaan kesäkuussa 2022 useiden viivästysten jälkeen ja vietti suurimman osan seuraavista kolmesta vuodesta sääntelykyvyn rakentamisen, toissijaisen sääntelyn julkaisemisen ja henkilötietojen suojakomitean (PDPC) julkisesti kuvaamassa kärsivällisessä täytäntöönpanoasenteessa. Tuo asenne on nyt päättynyt ratkaisevasti. PDPC:n vuosien 2024 ja 2025 toissijaiset säädökset täyttivät peruslain avoimiksi jättämät yksityiskohdat, PDPC:n toimisto (operatiivinen sääntelyviranomainen) rakensi täytäntöönpanokapasiteettiaan, ja vuoden 2026 alussa PDPC on alkanut antaa hallinnollisia sakkoja merkittävällä tasolla — mukaan lukien ulkomaisille alustoille, jotka käsittelevät thaimaalaisten käyttäjien tietoja ulkomailta. Jokaiselle julkaisijalle, mainostajalle tai alustalle, joka käsittelee Thaimaassa olevien henkilöiden henkilötietoja — riippumatta siitä, onko se Thaimaassa vai palvelee Thaimaan markkinoita ulkomailta — vuosi 2026 on se vuosi, jolloin PDPA lakkaa olemasta suhteellisen hiljainen järjestelmä ja muuttuu uskottavaksi täytäntöönpanon prioriteetiksi. Tämä opas käy läpi PDPA:n sellaisena kuin se on vuonna 2026, mitä evästeiden suostumus käytännössä vaatii, miten rajat ylittävät siirrot toimivat vuoden 2025 siirtomääräysten jälkeen ja miltä PDPC:n varhaisen täytäntöönpanon teemat näyttävät käytännössä.
PDPA:n rakenne vuonna 2026
PDPA on Thaimaan ensisijainen tietosuojalaki, ja sen rakenne muistuttaa läheisesti GDPR:ää. Vuosien 2024 ja 2025 toissijaiset säädökset lisäsivät toiminnallisen yksityiskohtaisuuden, joka peruslaista puuttui.
Mitä toissijaiset säädökset lisäsivät
Vuosien 2024 ja 2025 aikana PDPC antoi toissijaisia säädöksiä, jotka kattavat: rajat ylittävän tiedonsiirron mekanismit, tietosuojavastaavien nimeämisen ja tehtävät, tietomurtoselvitysmenettelyt, käsittelyrekisterin vaatimukset, rekisteröidyn oikeuksien työnkulun aikataulut ja erityiset suostumusstandardit arkaluonteisille henkilötiedoille. Nämä asetukset muuttivat yhteisesti PDPA:n yleisestä kehyksestä toiminnalliseksi järjestelmäksi, joka on yksityiskohtaisuudeltaan verrattavissa GDPR:ään.
Ketä säännellään
PDPA soveltuu useimpiin rekisterinpitäjiin ja henkilötietojen käsittelijöihin, ja sillä on alueellinen ulottuvuus ulkomaisiin organisaatioihin, jotka käsittelevät Thaimaassa olevien henkilöiden henkilötietoja tavaroiden tai palvelujen tarjoamisen tai käyttäytymisen seurannan yhteydessä. Ulkomaiset julkaisijat, jotka palvelevat thaimaalaisia käyttäjiä lokalisoitujen sivustojen tai thaimaalaisiin IP-osoitteisiin ostetun ohjelmallisen inventaarin kautta, ovat tyypillisesti soveltamisalassa, ja PDPC on vedonnut alueelliseen säännökseen varhaisten täytäntöönpanokirjeiden yhteydessä.
Hallinnolliset ja rikosoikeudelliset sanktiot
PDPA säätää hallinnollisista sakoista enintään THB 5 miljoonaa per rikkomus sekä rikosoikeudellisista rangaistuksista vakavimmille rikkomuksille, mukaan lukien johtajien vankeusrangaistukset tietyissä olosuhteissa. Hallinnollisen sakon enimmäismäärä on ehdottomissa luvuissa GDPR:ää alhaisempi, mutta PDPC:n kiristyvä täytäntöönpanoasenne ja rikosoikeudellisen vastuun mahdollisuus tekevät tosiasiallisesta riskistä merkittävän.
Mitä lasketaan henkilötiedoksi PDPA:n alla
PDPA:n henkilötietojen määritelmä muistuttaa läheisesti GDPR:ää. Henkilötiedot ovat tunnistettuun tai tunnistettavissa olevaan henkilöön liittyvää tietoa, ja PDPC on johdonmukaisesti käsitellyt evästeitä, mainontaan liittyviä tunnistetietoja, IP-osoitteita, laitteiden sormenjälkiä ja käyttäytymisprofiileja henkilötietoina, kun ne voidaan yhdistää yksilöön suoraan tai yhdistettynä muihin tietoihin.
Arkaluonteiset henkilötiedot
PDPA määrittelee laajan arkaluonteisen kategorian, mukaan lukien: rotu tai etninen alkuperä, poliittinen mielipide, uskonnollinen tai filosofinen vakaumus, seksuaalinen käyttäytyminen, rikosrekisteri, terveystiedot, vammaisuus, ammattiliiton jäsenyys, geneettiset tiedot ja biometriset tiedot. Arkaluonteisten henkilötietojen käsittely edellyttää nimenomaista suostumusta ja aiheuttaa rekisterinpitäjälle lisävelvoitteita.
Miksi tämä on tärkeää evästeiden kannalta
Eväste, joka tallentaa tavallisen tunnisteen, on tavallinen henkilötieto. Eväste, joka ruokkii PDPA:n arkaluonteiseen listaan koskevaa yleisösegmenttiä — terveyskiinnostukset, uskonnollinen kuuluminen, poliittiset suuntaukset — on arkaluonteisten henkilötietojen käsittelyä ja edellyttää nimenomaista suostumusta eikä yleistä mainontasuostumusta. Thaimaankielinen kohdennus, joka ylittää arkaluonteisen listan, olisi auditoitava erityisesti tätä rajaa vasten.
Evästeiden suostumus PDPA:n alla vuonna 2026
PDPA sallii useita laillisia perusteita käsittelylle, mutta evästeille ja vastaaville teknologioille, jotka eivät ole välttämättömiä palvelun toimittamiseksi, PDPC:n ohjeet ja varhainen täytäntöönpano ovat supistuneet suostumukseen käytännöllisenä lähtökohtana.
Pätevän suostumuksen elementit
Suostumuksen PDPA:n alla on oltava:
- Vapaaehtoisesti annettu — ilman pakottamista tai yhdistämistä välttämättömään palvelun toimittamiseen
- Tietoinen — rekisteröity ymmärtää, mitä tietoja käsitellään, kenen toimesta ja mihin tarkoitukseen
- Erityinen — sidottu selkeästi yksilöityihin tarkoituksiin eikä yleiseen suostumukseen
- Yksiselitteinen — ilmaistu selkeällä myöntävällä teolla, ei päätelty passiivisuudesta
- Nimenomainen arkaluonteisia henkilötietoja sisältävissä tapauksissa, erillisellä ja erityisellä suostumuksella arkaluonteiselle käsittelylle
Miltä vaatimustenmukainen CMP näyttää
Thaimaan liikenteelle konfiguroitu CMP vuonna 2026 tulisi esittää:
- Näkyvä banneri ennen kuin yksikään ei-välttämätön eväste tai seuranta käynnistyy, thai (ภาษาไทย) -kielellä oletuksena thaimaalaisille käyttäjille
- Yhtäläinen visuaalinen näkyvyys ยอมรับ (Hyväksy), ปฏิเสธ (Hylkää) ja ตั้งค่า (Asetukset) -toiminnoille — PDPC on kritisoinut bannerien suunnittelua, jossa Hylkää-toiminto on visuaalisesti alikorostettu
- Tarkemmat kytkimet tarkoituksittain: analytiikka, mainonta, personointi, rajat ylittävä siirto ja mahdollinen arkaluonteisen kategorian käsittely
- Erillinen, selvästi merkitty kulku arkaluonteisten henkilötietojen käsittelylle, portattuna oman toimintansa taakse
- Pysyvä, helposti löydettävä mekanismi suostumuksen peruuttamiseksi alkuperäisen valinnan jälkeen
- Thaimaankielinen tietosuojakäytäntö täydellisineen rekisterinpitäjän, käsittelijöiden, tarkoitusten, vastaanottajien, säilytyksen ja oikeuksien julkistuksineen
Suostumustiedot
Rekisterinpitäjien on ylläpidettävä todisteet suostumuksesta — kuka suostui, milloin, mihin tarkoitukseen ja minkä käyttöliittymän kautta. Riittämättömiä suostumustietoja on mainittu useissa PDPC:n täytäntöönpanokirjeissä vuonna 2025, ja vietävissä olevat aikaleimatut lokit ovat perusoletuksia.
Rajat ylittävät siirrot vuoden 2025 asetusten jälkeen
Vuoden 2025 siirtomääräykset olivat merkittävin viimeaikainen kehitys ulkomaisille julkaisijoille, selventäen rajat ylittäville tietovirroille saatavilla olevia mekanismeja.
Tunnustetut siirtomekanismit
Vuoden 2025 asetukset tarjoavat neljä pääpolkua:
- Riittävän suojan nimeäminen, jossa PDPC on arvioinut kohdemaata riittävän suojan tarjoajaksi
- Asianmukaiset suojatoimet sopimusmekanismien kautta, mukaan lukien PDPC:n hyväksymät vakiosopimuslausekkeet ja sitovat konsernisuojasäännöt
- Erityiset poikkeukset, mukaan lukien rekisteröidyn nimenomainen suostumus riittävällä tiedonannolla, sopimuksen välttämättömyys, elintärkeä etu ja merkittävä yleinen etu
- Sertifiointijärjestelmät, jotka PDPC tunnustaa tietyille toimialoille tai toiminnoille
Riittävyysluettelo
PDPC on antanut riittävyyspäätöksiä muutamalle lainkäyttöalueelle vuoden 2026 alkuun mennessä. Yhdysvallat ei ole luettelossa, mikä tarkoittaa, että siirrot Yhdysvalloissa sijaitseville ad-tech- ja analytiikkatoimittajille edellyttävät sopimuslausekkeita, sertifiointia tai suostumuspohjaista poikkeuslupaa.
Käytännön lähestymistapa vuonna 2026
Useimmille ulkomaisille julkaisijoille käytännön lähestymistapa on toteuttaa PDPC:n hyväksymät vakiosopimuslausekkeet kansainvälisten käsittelijöiden kanssa, dokumentoida siirtomekanismi thaimaankielisessä tietosuojakäytännössä ja täydentää suostumuspohjaisella valtuutuksella vain silloin, kun vakiomekanismi ei selvästi sovi.
Rekisteröidyn oikeudet PDPA:n alla
PDPA myöntää GDPR:ää läheisesti muistuttavan oikeuksien joukon:
- Oikeus saada pääsy rekisterinpitäjän hallussa oleviin henkilötietoihin
- Oikeus epätarkkojen tai puutteellisten tietojen oikaisemiseen
- Oikeus poistamiseen
- Oikeus käsittelyn rajoittamiseen
- Oikeus tietojen siirrettävyyteen
- Oikeus vastustaa käsittelyä
- Oikeus peruuttaa suostumus
- Oikeus olla olematta merkittäviä vaikutuksia tuottavan automatisoituun päätöksentekoon alainen
- Oikeus tehdä valitus PDPC:lle
Vasteajat
Rekisterinpitäjien on vastattava rekisteröidyn pyyntöihin 30 päivän kuluessa yleisen kehyksen mukaisesti, lyhyemmillä ikkunoilla tietyntyyppisille pyynöille. Operatiivinen valmius tähän ikkunaan — thaimaankielisin työkaluin ja toimintaohjein — on yleinen puute ulkomaisille julkaisijoille, jotka on viritetty eurooppalaiseen tahtiin.
DPO-vaatimus
Vuoden 2024 toissijainen asetus selvensi, milloin DPO vaaditaan. Rekisterinpitäjien, jotka käsittelevät suuria henkilötietomääriä, harjoittavat rekisteröityjen järjestelmällistä seurantaa tai käsittelevät arkaluonteisia henkilötietoja laajassa mittakaavassa, on nimettävä DPO. Ulkomaiset rekisterinpitäjät, jotka saavuttavat määräkynnyksen thaimaalaisten käyttäjien kautta, ovat soveltamisalassa. DPO:n yhteystiedot on oltava saatavilla thaimaankielisessä tietosuojakäytännössä.
Seuraamukset ja täytäntöönpanoasenne vuonna 2026
PDPC:n täytäntöönpanotoiminta on lisääntynyt merkittävästi vuosien 2024 ja 2025 aikana, ja vuosi 2026 on samanlaisella kehityskaarella.
Hallinnollisen sakon rakenne
Hallinnolliset sakot skaalautuvat rikkomustyypin mukaan, maksiminaan THB 5 miljoonaa per rikkomus vakavimmille rikkomuksille. Tavalliset rikkomukset — puutteelliset suostumuskibaarit, puuttuvat tietosuojakäytännöt, epäonnistuminen vastata rekisteröityjen pyyntöihin — houkuttelevat tyypillisesti sakkoja satojen tuhansien THB:n alueella, mutta voivat nousta nopeasti toistuvien tai raskauttavien rikkomusten yhteydessä.
Rikosoikeudellisen vastuun tukirakenne
Toisin kuin GDPR, PDPA säätää rikosoikeudellisesta vastuusta vakavimmille rikkomuksille, mukaan lukien johtajien vankeusrangaistukset tietyissä olosuhteissa. Vuoden 2024 toissijainen asetus selvensi rikosoikeudellisen vastuun laajuutta, ja vaikka sitä ei ole sovellettu ulkomaisia julkaisijoita vastaan vuoteen 2026 mennessä, mahdollisuus muokkaa riskianalyysiä kaikille organisaatioille, jotka käsittelevät thaimaalaisia tietoja laajasti.
Täytäntöönpanoteemat
PDPC:n vuoden 2025 ja vuoden 2026 alun toimet keskittyvät: epäselvät tai puuttuvat suostumuskibaarit, thaimaankielisten tietosuojakäytäntöjen puuttuminen, rajat ylittävät siirrot ilman pätevää mekanismia vuoden 2025 asetusten mukaisesti, epäonnistuminen vastata rekisteröityjen pyyntöihin 30 päivän ikkunassa ja puuttuvat DPO-nimitykset soveltamisalassa oleville rekisterinpitäjille. Ulkomaisia julkaisijoita on mainittu kaikissa viidessä kategoriassa.
Auditointitarkistuslista Thaimaan liikenteelle vuonna 2026
- CMP-banneri esitetään thaiksi, jossa ยอมรับ, ปฏิเสธ ja ตั้งค่า ovat yhtäläisellä visuaalisella näkyvyydellä
- Suostumuksen tarkoitukset ovat tarkkoja ja arkaluonteisen kategorian käsittely on omassa suostumuskulussaan erillään
- Tietosuojakäytäntö on saatavilla thaiksi rekisterinpitäjän, käsittelijöiden, tarkoitusten, säilytyksen, oikeuksien ja DPO-yhteystietojen täydellisinä julkistuksineen
- Rajat ylittävät siirrot perustuvat PDPC:n hyväksymiin vakiosopimuslausekkeisiin, riittävyysnimitykseen, BCR-sääntöihin, sertifiointiin tai dokumentoituun poikkeukseen
- Suostumuksen lokit ovat aikaleimattuja, vietävissä olevia ja säilytettyjä sovellettavana ajanjaksona
- Rekisteröidyn pyyntöjen työnkulku pystyy vastaamaan 30 päivän kuluessa alusta loppuun thaiksi
- DPO on nimetty tarvittaessa ja yhteystiedot on julkaistu tietosuojakäytännössä
- Toimittajaluettelo on tarkistettu tarpeellisuuden osalta, käyttämättömät tai päällekkäiset toimittajat poistettu rajat ylittävän siirron pinnan pienentämiseksi
- Arkaluonteisen kategorian yleisösegmentit on lukittu nimenomaisen, erikseen kerätyn suostumuksen taakse
- Tietomurron ilmoitustoimintaohje on viritetty PDPA:n tietomurron ilmoitusaikatauluihin
Näkymä vuodelle 2026
Thaimaan yksityisyydensuojajärjestelmä on kypsynyt toiminnalliselta yksityiskohtaisuudeltaan rajallisesta peruslaista järjestelmäksi, jossa on toissijaiset asetukset, täytäntöönpanokapasiteetti ja poliittinen tahto merkitykselliseen täytäntöönpanoon. Vuoden 2025 rajat ylittävien siirtojen asetukset sulkivat merkittävimmän rakenteellisen aukon, ja PDPC:n varhainen täytäntöönpanoasenne vastaa vakavaa sääntelyviranomaista, joka on skaalautumisen keskellä eikä sellaista, joka jää hiljaiseksi. Julkaisijoille, jotka jo käyttävät GDPR-tasoista suostumuspinoa, kuilu PDPA-vaatimustenmukaisuuteen on toiminnallinen eikä arkkitehtuurinen: thaimaankielinen CMP ja tietosuojakäytäntö, PDPC:n hyväksymät siirtomekanismit, 30 päivän vastaustaajuus, DPO-nimitys tarvittaessa ja huolellisuus PDPA:n laajemman arkaluonteisten tietojen listan kanssa. Kuilu voidaan sulkea viikoissa, jos sille annetaan prioriteetti — ja Thaimaa on merkittävä Kaakkois-Aasian markkina, joten priorisointi tyypillisesti maksaa itsensä nopeasti takaisin. Julkaisijat, jotka kohtelivat Thaimaata kevyemmän käsittelyn markkinana vuoden 2024 läpi, havaitsevat vuoden 2026 olevan merkittävästi vaativampi, ja suuntaus on selvä.