ה-PDPA של תאילנד ב-2026: מדריך המוציאים לאור והמפרסמים לגבי הסכמה לעוגיות, העברות חוצות גבולות ואכיפת PDPC
חוק הגנת המידע האישי של תאילנד B.E. 2562 (2019) — הידוע בשם PDPA — נכנס לתוקף מלא ביוני 2022 לאחר עיכובים מרובים, ובילה את רוב שלוש השנים שלאחר מכן בשלב של בניית יכולת רגולטורית, פרסום תקנות משנה, ומה שוועדת הגנת המידע האישי (PDPC) תיארה בפומבי כגישת אכיפה סבלנית. גישה זו הסתיימה כעת באופן מכריע. תקנות המשנה של PDPC לשנים 2024 ו-2025 מילאו את הפרטים שחוק הבסיס השאיר פתוחים, משרד PDPC (הרגולטור המבצעי) פיתח את יכולת האכיפה שלו, ועם פתיחת 2026 PDPC החל להנפיק קנסות מינהליים ברמות משמעותיות — כולל כנגד פלטפורמות זרות המעבדות נתונים של משתמשים תאילנדים מחוץ לארץ. עבור כל מוציא לאור, מפרסם או פלטפורמה המעבדת מידע אישי של אנשים בתאילנד — בין אם ממוקמת בתאילנד ובין אם משרתת את השוק התאילנדי מחוץ לארץ — 2026 הוא השנה שבה PDPA מפסיק להיות משטר שקט יחסית והופך לעדיפות אכיפה אמינה. מדריך זה עובר על PDPA כפי שהוא עומד ב-2026, מה שהסכמה לעוגיות דורשת למעשה, כיצד פועלות העברות חוצות גבולות לאחר תקנות ההעברה של 2025, וכיצד נראים נושאי האכיפה המוקדמים של PDPC בפועל.
מבנה ה-PDPA ב-2026
PDPA הוא חוק הגנת הנתונים העיקרי בתאילנד, ומבנהו דומה מאוד ל-GDPR. תקנות המשנה של 2024 ו-2025 הוסיפו פרטים תפעוליים שחסרו בחוק הבסיס.
מה הוסיפו תקנות המשנה
לאורך 2024 ו-2025, PDPC הנפיק תקנות משנה המכסות: מנגנוני העברת נתונים חוצי גבולות, מינוי ותפקידי קציני הגנת נתונים, נהלי הודעה על הפרת נתונים, דרישות רשומות עיבוד, לוחות זמנים לזרימת עבודה של זכויות נושא הנתונים, ותקני הסכמה ספציפיים לנתונים אישיים רגישים. תקנות אלה הפכו ביחד את PDPA ממסגרת כללית למשטר תפעולי הניתן להשוואה ל-GDPR מבחינת ספציפיות.
מי מוסדר
PDPA חל על רוב בקרי הנתונים והמעבדים, עם תחולה חוץ-טריטוריאלית לארגונים זרים המעבדים מידע אישי של אנשים בתאילנד בקשר להצעת סחורות או שירותים או ניטור התנהגות. מוציאים לאור זרים המשרתים משתמשים תאילנדים דרך אתרים מקומיים או מלאי תכנותי שנרכש כנגד כתובות IP תאילנדיות נמצאים בדרך כלל בתחולה, ו-PDPC הפעיל את ההוראה החוץ-טריטוריאלית במכתבי אכיפה מוקדמים.
סנקציות מינהליות ופליליות
PDPA קובע קנסות מינהליים של עד THB 5 מיליון לכל הפרה, לצד עונשים פליליים להפרות החמורות ביותר כולל מאסר מנהלים בנסיבות ספציפיות. תקרת הקנס המינהלי נמוכה מ-GDPR במונחים מוחלטים, אך גישת האכיפה המתגברת של PDPC וזמינות האחריות הפלילית הופכות את הסיכון האפקטיבי למשמעותי.
מה נחשב כמידע אישי תחת PDPA
הגדרת המידע האישי של PDPA עוקבת מקרוב אחר GDPR. מידע אישי הוא מידע הנוגע לאדם מזוהה או ניתן לזיהוי, ו-PDPC התייחס באופן עקבי לעוגיות, מזהי פרסום, כתובות IP, טביעות אצבע של מכשירים ופרופילים התנהגותיים כמידע אישי כאשר ניתן לקשור אותם לאדם ישירות או בשילוב עם מידע אחר.
מידע אישי רגיש
PDPA מייעד קטגוריה רגישה רחבה הכוללת: מוצא גזעי או אתני, דעה פוליטית, אמונה דתית או פילוסופית, התנהגות מינית, עבר פלילי, נתוני בריאות, מוגבלות, חברות בארגון עובדים, נתונים גנטיים ונתונים ביומטריים. עיבוד מידע אישי רגיש מצריך הסכמה מפורשת ומפעיל חובות נוספות של הבקר.
מדוע זה חשוב לעוגיות
עוגייה המאחסנת מזהה רגיל היא מידע אישי רגיל. עוגייה המזינה מקטע קהל הנוגע ברשימת הרגישים של PDPA — תחומי עניין בריאותיים, השתייכות דתית, נטיות פוליטיות — היא עיבוד מידע אישי רגיש ומצריכה הסכמה מפורשת ולא הסכמת פרסום כללית. יש לבצע ביקורת ספציפית על פנייה לקהל בשפה תאילנדית החופפת לרשימה הרגישה ביחס לגבול זה.
הסכמה לעוגיות תחת PDPA ב-2026
PDPA מתיר מספר בסיסים משפטיים לעיבוד, אך לגבי עוגיות וטכנולוגיות דומות שאינן נחוצות בהחלט למתן השירות, הנחיות PDPC והאכיפה המוקדמת התכנסו על הסכמה כבסיס מעשי.
יסודות ההסכמה התקפה
הסכמה תחת PDPA חייבת להיות:
- ניתנת בחופשיות — ללא כפייה או חיבור למתן שירות חיוני
- מדעת — נושא הנתונים מבין אילו נתונים מעובדים, על ידי מי ולאיזו מטרה
- ספציפית — קשורה למטרות מזוהות בבירור ולא להסכמה כוללת
- חד-משמעית — מובעת באמצעות פעולה חיובית ברורה, ולא מסוקת מחוסר פעילות
- מפורשת במקרים הכוללים מידע אישי רגיש, עם הסכמה נפרדת וספציפית לעיבוד הרגיש
כיצד נראה CMP תואם
CMP המוגדר לתנועה תאילנדית ב-2026 צריך להציג:
- באנר נראה לעין לפני שמופעלת כל עוגייה או עוקב שאינם חיוניים, בתאילנדית (ภาษาไทย) כברירת מחדל למשתמשים תאילנדים
- בולטות חזותית שווה ל-ยอมรับ (קבל), ปฏิเสธ (דחה) ו-ตั้งค่า (הגדרות) — PDPC ביקר עיצובי באנר שבהם פעולת הדחייה ממוקמת ויזואלית בנחיתות
- כפתורים מפורטים לכל מטרה: אנליטיקה, פרסום, התאמה אישית, העברה חוצת גבולות וכל עיבוד קטגוריה רגישה
- זרימה נפרדת, עם תווית ברורה לעיבוד מידע אישי רגיש, הנעולה מאחורי פעולתה שלה
- מנגנון קבוע וקל למציאה לשלילת הסכמה לאחר הבחירה הראשונית
- הודעת פרטיות בתאילנדית עם גילוי מלא של הבקר, המעבדים, המטרות, הנמענים, השמירה והזכויות
רשומות הסכמה
על הבקרים לשמור ראיות להסכמה — מי הסכים, מתי, לאיזו מטרה ודרך איזו ממשק. רשומות הסכמה לא מספקות צוינו במספר מכתבי אכיפה של PDPC ב-2025, ויומנים עם חותמת זמן הניתנים לייצוא הם הציפייה הבסיסית.
העברות חוצות גבולות לאחר תקנות 2025
תקנות ההעברה של 2025 היו ההתפתחות האחרונה המשמעותית ביותר עבור מוציאים לאור זרים, המבהירה את המנגנונים הזמינים לזרימות נתונים חוצות גבולות.
מנגנוני ההעברה המוכרים
תקנות 2025 מספקות ארבעה מסלולים עיקריים:
- ייעוד הגנה מספקת שבו PDPC העריך את מדינת היעד כמספקת הגנה מספקת
- אמצעי הגנה מתאימים דרך מנגנונים חוזיים כולל סעיפים חוזיים סטנדרטיים שאושרו על ידי PDPC וכללים תאגידיים מחייבים
- פטורים ספציפיים כולל הסכמה מפורשת מנושא הנתונים עם גילוי מספק, הכרח חוזי, אינטרסים חיוניים ואינטרס ציבורי מהותי
- תוכניות הסמכה המוכרות על ידי PDPC לסקטורים או פעילויות ספציפיות
רשימת ה-Adequacy
PDPC הנפיק החלטות adequacy למספר תחומי שיפוט עד תחילת 2026. ארצות הברית אינה ברשימה, כלומר העברות לספקי ad-tech ואנליטיקה שמבוססים בארה״ב מצריכות סעיפים חוזיים, הסמכה, או פטור מבוסס הסכמה.
הגישה המעשית ב-2026
עבור רוב המוציאים לאור הזרים, הגישה העבודתית היא לבצע סעיפים חוזיים סטנדרטיים שאושרו על ידי PDPC עם מעבדים בינלאומיים, לתעד את מנגנון ההעברה בהודעת הפרטיות בתאילנדית, ולהשלים עם הרשאה מבוססת הסכמה רק כאשר המנגנון הסטנדרטי אינו מתאים בבירור.
זכויות נושא הנתונים תחת PDPA
PDPA מעניק מערכת זכויות העוקבת מקרוב אחר GDPR:
- זכות גישה למידע אישי המוחזק על ידי הבקר
- זכות לתיקון נתונים לא מדויקים או לא שלמים
- זכות למחיקה
- זכות להגבלת עיבוד
- זכות לניידות נתונים
- זכות להתנגד לעיבוד
- זכות לשלול הסכמה
- זכות שלא להיות כפוף לקבלת החלטות אוטומטית המייצרת השפעות משמעותיות
- זכות להגיש תלונה ל-PDPC
לוחות זמנים לתגובה
על הבקרים להגיב לבקשות נושאי נתונים תוך 30 יום במסגרת הכללית, עם חלונות קצרים יותר לסוגי בקשות ספציפיים. מוכנות תפעולית לחלון זה — עם כלים ומדריכי הפעלה בתאילנדית — היא פער נפוץ אצל מוציאים לאור זרים המכווננים לקצב אירופי.
דרישת DPO
תקנת המשנה של 2024 הבהירה מתי נדרש DPO. בקרים המעבדים כמויות גדולות של מידע אישי, מבצעים ניטור שיטתי של נושאי נתונים, או מעבדים מידע אישי רגיש בהיקף גדול חייבים למנות DPO. בקרים זרים המגיעים לסף הכמות דרך משתמשים תאילנדים נמצאים בתחולה. פרטי הקשר של DPO חייבים להיות נגישים בהודעת הפרטיות בתאילנדית.
קנסות וגישת אכיפה ב-2026
פעילות האכיפה של PDPC הסלימה בצורה משמעותית לאורך 2024 ו-2025, ו-2026 נמצא על מסלול דומה.
מבנה הקנס המינהלי
קנסות מינהליים מדורגים לפי סוג ההפרה, עם מקסימום של THB 5 מיליון לכל הפרה עבור ההפרות החמורות ביותר. הפרות שגרתיות — באנרים לא מספקים של הסכמה, הודעות פרטיות חסרות, אי-מענה לבקשות נושאי נתונים — בדרך כלל מושכות קנסות בטווח הנמוך של מאות אלפי THB אך עלולות להסלים במהירות עבור הפרות חוזרות או מחמירות.
רשת הביטחון של אחריות פלילית
בניגוד ל-GDPR, PDPA קובע אחריות פלילית להפרות החמורות ביותר, כולל מאסר מנהלים בנסיבות ספציפיות. תקנת המשנה של 2024 הבהירה את היקף האחריות הפלילית, ואף שלא הופעלה כנגד מוציאים לאור זרים ב-2026 עד כה, האפשרות מעצבת את ניתוח הסיכונים לכל ארגון המעבד נתונים תאילנדים בהיקף גדול.
נושאי אכיפה
פעולות PDPC לשנת 2025 ותחילת 2026 מתרכזות סביב: באנרי הסכמה עמומים או נעדרים, העדר הודעות פרטיות בתאילנדית, העברות חוצות גבולות ללא מנגנון תקף תחת תקנות 2025, אי-מענה לבקשות נושאי נתונים בתוך חלון 30 הימים ומינויי DPO חסרים לבקרים בתחולה. מוציאים לאור זרים צוינו בכל חמש הקטגוריות.
רשימת בדיקת ביקורת לתנועה תאילנדית ב-2026
- באנר ה-CMP מוגש בתאילנדית עם ยอมรับ, ปฏิเสธ ו-ตั้งค่า בבולטות חזותית שווה
- מטרות ההסכמה מפורטות ועיבוד קטגוריה רגישה מופרד מאחורי זרימת ההסכמה שלו
- הודעת הפרטיות זמינה בתאילנדית עם גילוי מלא של הבקר, המעבדים, המטרות, השמירה, הזכויות ויצירת הקשר עם DPO
- העברות חוצות גבולות נשענות על סעיפים חוזיים סטנדרטיים שאושרו על ידי PDPC, ייעוד adequacy, BCRs, הסמכה או פטור מתועד
- יומני ההסכמה נושאי חותמת זמן, ניתנים לייצוא ונשמרים לתקופה הרלוונטית
- זרימת עבודה בקשת נושאי הנתונים יכולה להגיב תוך 30 יום מקצה לקצה, בתאילנדית
- DPO מינוי בעת הצורך ופרטי הקשר פורסמו בהודעת הפרטיות
- רשימת הספקים נבדקה לצורך, עם הסרת ספקים שאינם בשימוש או מיותרים לצמצום שטח ההעברה החוצת גבולות
- מקטעי קהל של קטגוריות רגישות נעולים מאחורי הסכמה מפורשת שנקלטה בנפרד
- ספר ההפעלה להודעה על הפרה מכוון ללוחות הזמנים של הודעה על הפרה של PDPA
התחזית ל-2026
משטר הפרטיות של תאילנד בגר מחוק בסיס עם ספציפיות תפעולית מוגבלת למשטר עם תקנות משנה, יכולת אכיפה ורצון פוליטי להיות מוחל בצורה משמעותית. תקנות ההעברה חוצות הגבולות של 2025 סגרו את הפער המבני המשמעותי ביותר, וגישת האכיפה המוקדמת של PDPC עקבית עם רגולטור רציני שנמצא באמצע הרחבה ולא אחד שיישאר שקט. עבור מוציאים לאור שכבר מפעילים ערימת הסכמה ברמת GDPR, הפער לציות PDPA הוא תפעולי ולא ארכיטקטוני: CMP והודעת פרטיות בתאילנדית, מנגנוני העברה שאושרו על ידי PDPC, קצב תגובה של 30 יום, מינוי DPO בעת הצורך, וזהירות עם רשימת הנתונים הרגישים הרחבה יותר של PDPA. ניתן לסגור את הפער בשבועות אם מתעדפים — ותאילנד היא שוק דרום-מזרח אסיה משמעותי, כך שהתעדוף בדרך כלל משתלם במהירות. המוציאים לאור שהתייחסו לתאילנד כשוק קל משקל לאורך 2024 מגלים כי 2026 תובעני משמעותית יותר, והמגמה ברורה.