Ang Estruktura ng PDPA noong 2026

Ang PDPA ang pangunahing batas sa proteksyon ng datos sa Thailand, at ang estruktura nito ay malapit na katulad ng GDPR. Ang mga pangalawang regulasyon ng 2024 at 2025 ay nagdagdag ng operational na detalye na nawawala sa pangunahing batas.

Ano ang Idinagdag ng mga Pangalawang Regulasyon

Sa buong 2024 at 2025, ang PDPC ay naglabas ng mga pangalawang regulasyon na sumasaklaw sa: mga mekanismo ng cross-border na paglipat ng datos, pagtalaga at mga tungkulin ng mga Data Protection Officer, mga pamamaraan ng abiso sa paglabag ng datos, mga kinakailangan sa rekord ng pagproseso, mga takdang oras ng daloy ng trabaho ng mga karapatan ng data subject, at mga tiyak na pamantayan ng pahintulot para sa sensitibong personal na datos. Ang mga regulasyong ito ay kolektibong nagpabago ng PDPA mula sa isang pangkalahatang balangkas patungo sa isang operational na rehimen na maihahambing sa GDPR sa espesipikidad.

Sino ang Kinokontrol

Ang PDPA ay nalalapat sa karamihan ng mga data controller at processor, na may extraterritorial na abot para sa mga dayuhang organisasyong nagpoproseso ng personal na datos ng mga indibidwal sa Thailand kaugnay ng pag-aalok ng mga kalakal o serbisyo o pagmamasid sa gawi. Ang mga dayuhang publisher na naglilingkod sa mga gumagamit ng Thailand sa pamamagitan ng mga lokalisadong site o programmatic inventory na biniling laban sa mga Thai IP ay karaniwang nasa saklaw, at nagbigay-diin ang PDPC sa extraterritorial na probisyon sa mga maagang liham ng pagpapatupad.

Mga Administratibo at Kriminal na Parusa

Ang PDPA ay nagbibigay para sa mga administratibong multa hanggang THB 5 milyon bawat paglabag, kasama ang mga kriminal na parusa para sa pinaka-seryosong mga paglabag kabilang ang pagkakulong ng mga direktor sa mga tiyak na pangyayari. Ang kisame ng administratibong multa ay mas mababa kaysa sa GDPR sa mga ganap na termino, ngunit ang pagtaas ng postura ng pagpapatupad ng PDPC at ang pagkakaroon ng kriminal na pananagutan ay ginagawang makabuluhan ang epektibong panganib.

Ano ang Binibilang bilang Personal na Datos sa ilalim ng PDPA

Ang kahulugan ng personal na datos ng PDPA ay malapit na katulad ng GDPR. Ang personal na datos ay impormasyon na may kaugnayan sa isang natukoy o natutukuyang tao, at patuloy na itinuring ng PDPC ang mga cookie, mga identifier ng pag-advertise, mga IP address, mga fingerprint ng device, at mga profile ng pag-uugali bilang personal na datos kapag maaari silang itali sa isang indibidwal nang direkta o sa kombinasyon ng ibang impormasyon.

Sensitibong Personal na Datos

Ang PDPA ay nagtatalaga ng malawak na sensitibong kategorya kabilang ang: lahi o etnikong pinagmulan, opinyon sa pulitika, relihiyosong o pilosopikal na paniniwala, sekswal na gawi, talaan ng kriminal, datos ng kalusugan, kapansanan, pagiging miyembro ng unyon ng manggagawa, genetic na datos, at biometric na datos. Ang pagproseso ng sensitibong personal na datos ay nangangailangan ng hayagang pahintulot at nagti-trigger ng mga karagdagang obligasyon ng controller.

Bakit Ito Mahalaga para sa mga Cookie

Ang isang cookie na nag-iimbak ng isang karaniwang identifier ay ordinaryong personal na datos. Ang isang cookie na nagpapakain ng isang segment ng audience na humahawak ng sensitibong listahan ng PDPA — interes sa kalusugan, relihiyosong pagkakakilanlan, pampulitikang hilig — ay sensitibong pagproseso ng personal na datos at nangangailangan ng hayagang pahintulot kaysa sa pangkalahatang pahintulot sa pag-advertise. Ang pag-target ng audience sa wikang Thai na nagtatagpo ng sensitibong listahan ay dapat na partikular na i-audit laban sa hangganan na ito.

Cookie Consent sa ilalim ng PDPA noong 2026

Ang PDPA ay nagbibigay-pahintulot ng maraming legal na batayan para sa pagproseso, ngunit para sa mga cookie at katulad na teknolohiya na hindi mahigpit na kinakailangan para sa paghahatid ng serbisyo, ang gabay ng PDPC at maagang pagpapatupad ay nagkaisa sa pahintulot bilang praktikal na baseline.

Mga Elemento ng Wastong Pahintulot

Ang pahintulot sa ilalim ng PDPA ay dapat na:

• Libreng ibinigay — nang walang pamimilit o pagsasama sa mahahalagang probisyon ng serbisyo
• Iniimporma — naiintindihan ng data subject kung anong datos ang pinoproseso, ng sino, at para sa anong layunin
• Tiyak — nakatali sa malinaw na natukuyang mga layunin kaysa sa pahintulot na pangkalahatan
• Hindi malabo — ipinahayag sa pamamagitan ng isang malinaw na affirmative na kilos, hindi hinuha mula sa kawalan ng kilos
• Hayagan sa mga kasong kinasasangkutan ng sensitibong personal na datos, na may hiwalay at tiyak na pahintulot para sa sensitibong pagproseso

Ano ang Hitsura ng Sumusunod na CMP

Ang isang CMP na na-configure para sa trapiko ng Thai noong 2026 ay dapat magpakita ng:

• Isang nakikitang banner bago mag-apoy ang anumang hindi kinakailangang cookie o tracker, sa Thai (ภาษาไทย) bilang default para sa mga gumagamit ng Thai
• Pantay na visual na prominensya para sa ยอมรับ (Tanggapin), ปฏิเสธ (Tanggihan), at ตั้งค่า (Mga Setting) — pinuna ng PDPC ang mga disenyo ng banner kung saan ang aksyon ng Pagtanggi ay visually na pinaliit
• Mga granular na toggle bawat layunin: analytics, advertising, personalization, cross-border transfer, at anumang sensitibong pagproseso ng kategorya
• Isang hiwalay, malinaw na may label na daloy para sa sensitibong pagproseso ng personal na datos, na nakatrangka sa likod ng sarili nitong aksyon
• Isang paulit-ulit, madaling mahanap na mekanismo para bawiin ang pahintulot pagkatapos ng paunang pagpili
• Isang abiso sa privacy sa wikang Thai na may buong pagbubunyag ng controller, mga processor, mga layunin, mga tatanggap, pagpapanatili, at mga karapatan

Mga Rekord ng Pahintulot

Ang mga controller ay dapat na mapanatili ang katibayan ng pahintulot — kung sino ang pumayag, kailan, sa anong layunin, at sa pamamagitan ng kung anong interface. Ang mga sapat na rekord ng pahintulot ay binanggit sa ilang liham ng pagpapatupad ng PDPC noong 2025, at ang mga nае-export na log na may timestamp ay ang pangunahing inaasahan.

Mga Cross-Border Transfer Pagkatapos ng mga Regulasyon ng 2025

Ang mga regulasyon ng transfer ng 2025 ang pinaka-makabuluhang kamakailang pag-unlad para sa mga dayuhang publisher, na naglilinaw ng mga mekanismong available para sa mga cross-border na daloy ng datos.

Ang mga Kinikilalang Mekanismo ng Transfer

Ang mga regulasyon ng 2025 ay nagbibigay ng apat na pangunahing landas:

• Designasyon ng sapat na proteksyon kung saan ang PDPC ay nagtatasa sa destinasyon na bansa bilang nagbibigay ng sapat na proteksyon
• Mga angkop na pananggalang sa pamamagitan ng mga mekanismo ng kontrakto kabilang ang mga standard contractual clause na naaprubahan ng PDPC at binding corporate rules
• Mga tiyak na pagbubukod kabilang ang hayagang pahintulot mula sa data subject na may sapat na pagbubunyag, pangangailangan ng kontrakto, vital na interes, at malaking pampublikong interes
• Mga scheme ng sertipikasyon na kinikilala ng PDPC para sa mga tiyak na sektor o aktibidad

Ang Listahan ng Adequacy

Ang PDPC ay naglabas ng mga desisyon ng adequacy para sa ilang mga hurisdiksyon sa maagang bahagi ng 2026. Ang Estados Unidos ay wala sa listahan, na nangangahulugang ang mga transfer sa mga vendor ng ad-tech at analytics na nakabase sa US ay nangangailangan ng mga contractual clause, sertipikasyon, o exemption na batay sa pahintulot.

Ang Praktikal na Diskarte sa 2026

Para sa karamihan ng mga dayuhang publisher, ang working na diskarte ay ang magsagawa ng mga standard contractual clause na naaprubahan ng PDPC sa mga internasyonal na processor, idokumento ang mekanismo ng transfer sa abiso sa privacy sa wikang Thai, at dagdagan ng pahintulot-based na awtorisasyon lamang kung saan ang karaniwang mekanismo ay hindi malinaw na akma.

Mga Karapatan ng Data Subject sa ilalim ng PDPA

Ang PDPA ay nagbibigay ng hanay ng mga karapatang malapit na sumasaklaw sa GDPR:

• Karapatang ma-access ang personal na datos na hawak ng controller
• Karapatang itama ang hindi tumpak o hindi kumpleto na datos
• Karapatang burahin
• Karapatang limitahan ang pagproseso
• Karapatang sa portabilidad ng datos
• Karapatang tumuon sa pagproseso
• Karapatang bawiin ang pahintulot
• Karapatang hindi mapailalim sa awtomatikong paggawa ng desisyon na gumagawa ng mga makabuluhang epekto
• Karapatang mag-file ng reklamo sa PDPC

Mga Takdang Oras ng Pagtugon

Ang mga controller ay dapat tumugon sa mga kahilingan ng data subject sa loob ng 30 araw sa ilalim ng pangkalahatang balangkas, na may mas maikling mga window para sa mga tiyak na uri ng kahilingan. Ang operational na kahandaan para sa window na ito — na may tooling at mga runbook sa wikang Thai — ay isang karaniwang agwat para sa mga dayuhang publisher na naka-tune sa isang cadence na Europeo.

Ang Kinakailangan ng DPO

Ang pangalawang regulasyon ng 2024 ay naglinaaw kung kailan kinakailangan ang isang DPO. Ang mga controller na nagpoproseso ng malalaking volume ng personal na datos, nagsasagawa ng sistematikong pagmamasid ng mga data subject, o nagpoproseso ng sensitibong personal na datos sa malaking sukat ay kailangang mag-appoint ng isang DPO. Ang mga dayuhang controller na umaabot sa threshold ng volume sa pamamagitan ng mga gumagamit ng Thai ay nasa saklaw. Ang impormasyon sa pakikipag-ugnayan ng DPO ay dapat na naa-access sa abiso sa privacy sa wikang Thai.

Mga Parusa at Postura ng Pagpapatupad noong 2026

Ang aktibidad ng pagpapatupad ng PDPC ay naging makabuluhang mataas sa buong 2024 at 2025, at ang 2026 ay nasa katulad na landas.

Ang Estruktura ng Administratibong Multa

Ang mga administratibong multa ay nasusukat ayon sa uri ng paglabag, na may pinakamataas na THB 5 milyon bawat paglabag para sa pinaka-seryosong mga paglabag. Ang mga karaniwang paglabag — hindi sapat na mga banner ng pahintulot, nawawalang mga abiso sa privacy, kabiguan na tumugon sa mga kahilingan ng data subject — ay karaniwang nag-akit ng mga multa sa mas mababang daan-daang libo-THB na hanay ngunit maaaring mabilis na umakyat para sa paulit-ulit o pinahigpit na mga paglabag.

Ang Backstop ng Kriminal na Pananagutan

Hindi katulad ng GDPR, ang PDPA ay nagbibigay para sa kriminal na pananagutan para sa pinaka-seryosong mga paglabag, kabilang ang pagkakulong ng mga direktor sa mga tiyak na pangyayari. Ang pangalawang regulasyon ng 2024 ay naglinaaw ng saklaw ng kriminal na pananagutan, at habang hindi ito inilapat laban sa mga dayuhang publisher noong 2026 hanggang ngayon, ang posibilidad ay humuhubog sa pagsusuri ng panganib para sa anumang organisasyong nagpoproseso ng datos ng Thai sa malaking sukat.

Mga Tema ng Pagpapatupad

Ang mga aksyon ng PDPC para sa 2025 at maagang 2026 ay nagkakahon sa paligid ng: malabo o wala sa lugar na mga banner ng pahintulot, kakulangan ng mga abiso sa privacy sa wikang Thai, mga cross-border na transfer nang walang valid na mekanismo sa ilalim ng mga regulasyon ng 2025, kabiguan na tumugon sa mga kahilingan ng data subject sa loob ng 30-araw na window, at nawawalang mga designasyon ng DPO para sa mga controller na nasa saklaw. Ang mga dayuhang publisher ay na-cite sa lahat ng limang kategorya.

Audit Checklist para sa Trapiko ng Thai noong 2026

• Ang banner ng CMP ay inihahain sa Thai na may ยอมรับ, ปฏิเสธ, at ตั้งค่า sa pantay na visual na prominensya
• Ang mga layunin ng pahintulot ay granular at ang sensitibong pagproseso ng kategorya ay hiwalay sa likod ng sarili nitong daloy ng pahintulot
• Ang abiso sa privacy ay available sa Thai na may buong pagbubunyag ng controller, mga processor, mga layunin, pagpapanatili, mga karapatan, at pakikipag-ugnayan ng DPO
• Ang mga cross-border na transfer ay umaasa sa mga standard contractual clause na naaprubahan ng PDPC, designasyon ng adequacy, BCRs, sertipikasyon, o dokumentadong exemption
• Ang mga log ng pahintulot ay may timestamp, nае-export, at napanatili para sa naaangkop na panahon
• Ang daloy ng trabaho ng kahilingan ng data subject ay maaaring tumugon sa loob ng 30 araw mula simula hanggang katapusan, sa Thai
• Ang DPO ay itinalaga kung saan kinakailangan at ang impormasyon sa pakikipag-ugnayan ay nailathala sa abiso sa privacy
• Ang listahan ng vendor ay nasuri para sa pangangailangan, na inalis ang mga hindi ginagamit o redundanteng vendor upang mabawasan ang surface ng cross-border na transfer
• Ang mga segment ng audience ng sensitibong kategorya ay naka-lock sa likod ng hayagan, hiwalay na nakunan ng pahintulot
• Ang runbook ng abiso sa paglabag ay naka-tune sa mga takdang oras ng abiso sa paglabag ng PDPA

Ang Outlook para sa 2026

Ang rehimen ng privacy ng Thailand ay lumago mula sa isang pangunahing batas na may limitadong operational na espesipikidad patungo sa isang rehimen na may mga pangalawang regulasyon, kapasidad ng pagpapatupad, at political na kalooban na maging makabuluhang ipinatupad. Ang mga regulasyon ng cross-border na transfer ng 2025 ay nagsara ng pinakamakabuluhang structural gap, at ang maagang postura ng pagpapatupad ng PDPC ay naaayon sa isang seryosong regulator sa kalagitnaan ng pag-scale up kaysa sa isa na mananatiling tahimik. Para sa mga publisher na nagpapatakbo na ng isang GDPR-grade consent stack, ang agwat sa pagsunod sa PDPA ay operational kaysa sa arkitekturikal: Thai-language CMP at abiso sa privacy, mga mekanismo ng transfer na naaprubahan ng PDPC, ang 30-araw na cadence ng pagtugon, designasyon ng DPO kung saan kinakailangan, at pag-iingat sa mas malawak na listahan ng sensitibong datos ng PDPA. Ang agwat ay maaaring magsara sa loob ng mga linggo kung prioritized — at ang Thailand ay isang makabuluhang merkado ng Southeast Asia, kaya ang prioritization ay karaniwang nagbabayad nang mabilis. Ang mga publisher na itinuring ang Thailand bilang isang mas magaan na merkado sa buong 2024 ay natuklasan na ang 2026 ay makabuluhang mas hinihingi, at ang trend ay malinaw.