थाईलैंड का PDPA 2026 में: कुकी सहमति, सीमा-पार स्थानांतरण और PDPC प्रवर्तन के लिए प्रकाशक और विज्ञापनदाता गाइड
थाईलैंड का व्यक्तिगत डेटा संरक्षण अधिनियम B.E. 2562 (2019) — जिसे PDPA के नाम से जाना जाता है — कई देरी के बाद जून 2022 में पूरी तरह से लागू हुआ, और अगले तीन वर्षों का अधिकांश समय नियामक क्षमता-निर्माण, द्वितीयक विनियमन रोलआउट, और व्यक्तिगत डेटा संरक्षण समिति (PDPC) द्वारा सार्वजनिक रूप से वर्णित धैर्यपूर्ण प्रवर्तन मुद्रा के चरण में बिताया। वह मुद्रा अब निर्णायक रूप से समाप्त हो गई है। PDPC के 2024 और 2025 के द्वितीयक विनियमों ने उन विवरणों को भर दिया जो आधार क़ानून ने खुले छोड़ दिए थे, PDPC कार्यालय (परिचालन नियामक) ने अपनी प्रवर्तन क्षमता का निर्माण किया, और 2026 की शुरुआत तक PDPC ने महत्वपूर्ण स्तरों पर प्रशासनिक जुर्माने जारी करना शुरू कर दिया है — जिनमें विदेश से थाई उपयोगकर्ताओं के डेटा को संसाधित करने वाले विदेशी प्लेटफॉर्म भी शामिल हैं। थाईलैंड में व्यक्तियों के व्यक्तिगत डेटा को संसाधित करने वाले किसी भी प्रकाशक, विज्ञापनदाता या प्लेटफॉर्म के लिए — चाहे वे थाईलैंड में आधारित हों या विदेश से थाई बाजार की सेवा कर रहे हों — 2026 वह वर्ष है जब PDPA एक अपेक्षाकृत शांत व्यवस्था बनना बंद कर देता है और एक विश्वसनीय प्रवर्तन प्राथमिकता बन जाता है। यह गाइड PDPA को उस रूप में देखती है जैसा वह 2026 में है, कुकी सहमति वास्तव में क्या आवश्यक है, 2025 के स्थानांतरण विनियमों के बाद सीमा-पार स्थानांतरण कैसे काम करते हैं, और PDPC के प्रारंभिक प्रवर्तन विषय व्यवहार में कैसे दिखते हैं।
2026 में PDPA की संरचना
PDPA थाईलैंड में प्राथमिक डेटा संरक्षण क़ानून है, और इसकी संरचना GDPR से बहुत मिलती-जुलती है। 2024 और 2025 के द्वितीयक विनियमों ने वह परिचालन विवरण जोड़ा जो आधार क़ानून में अनुपस्थित था।
द्वितीयक विनियमों ने क्या जोड़ा
2024 और 2025 के दौरान, PDPC ने द्वितीयक विनियम जारी किए जो इन्हें कवर करते हैं: सीमा-पार डेटा स्थानांतरण तंत्र, डेटा संरक्षण अधिकारियों की नियुक्ति और कर्तव्य, डेटा उल्लंघन अधिसूचना प्रक्रियाएं, प्रसंस्करण रिकॉर्ड-की-आवश्यकताएं, डेटा विषय अधिकार कार्यप्रवाह समयरेखाएं, और संवेदनशील व्यक्तिगत डेटा के लिए विशिष्ट सहमति मानक। इन विनियमों ने सामूहिक रूप से PDPA को एक सामान्य ढांचे से एक परिचालन व्यवस्था में बदल दिया जो विशिष्टता में GDPR के बराबर है।
किसे विनियमित किया जाता है
PDPA अधिकांश डेटा नियंत्रकों और प्रोसेसरों पर लागू होता है, जिसमें उन विदेशी संगठनों के लिए अतिरिक्त-क्षेत्रीय पहुंच है जो वस्तुओं या सेवाओं की पेशकश करने या व्यवहार की निगरानी के संबंध में थाईलैंड में व्यक्तियों के व्यक्तिगत डेटा को संसाधित करते हैं। स्थानीयकृत साइटों या थाई आईपी के खिलाफ खरीदी गई प्रोग्रामेटिक इन्वेंट्री के माध्यम से थाई उपयोगकर्ताओं की सेवा करने वाले विदेशी प्रकाशक आमतौर पर दायरे में आते हैं, और PDPC ने प्रारंभिक प्रवर्तन पत्रों में अतिरिक्त-क्षेत्रीय प्रावधान का उल्लेख किया है।
प्रशासनिक और आपराधिक प्रतिबंध
PDPA प्रति उल्लंघन THB 5 मिलियन तक के प्रशासनिक जुर्माने का प्रावधान करता है, साथ ही सबसे गंभीर उल्लंघनों के लिए आपराधिक दंड, जिसमें विशिष्ट परिस्थितियों में निदेशकों को कारावास भी शामिल है। प्रशासनिक जुर्माने की सीमा पूर्ण शर्तों में GDPR से कम है, लेकिन PDPC की बढ़ती प्रवर्तन मुद्रा और आपराधिक दायित्व की उपलब्धता प्रभावी जोखिम को महत्वपूर्ण बनाती है।
PDPA के तहत व्यक्तिगत डेटा के रूप में क्या गिना जाता है
PDPA की व्यक्तिगत डेटा परिभाषा GDPR से बहुत मेल खाती है। व्यक्तिगत डेटा एक पहचाने गए या पहचाने जाने योग्य व्यक्ति से संबंधित जानकारी है, और PDPC ने लगातार कुकीज़, विज्ञापन पहचानकर्ताओं, IP पतों, डिवाइस फिंगरप्रिंट और व्यवहार प्रोफाइल को व्यक्तिगत डेटा के रूप में माना है जब उन्हें किसी व्यक्ति से सीधे या अन्य जानकारी के संयोजन से जोड़ा जा सकता है।
संवेदनशील व्यक्तिगत डेटा
PDPA एक व्यापक संवेदनशील श्रेणी निर्दिष्ट करता है जिसमें शामिल हैं: नस्लीय या जातीय मूल, राजनीतिक मत, धार्मिक या दार्शनिक विश्वास, यौन व्यवहार, आपराधिक रिकॉर्ड, स्वास्थ्य डेटा, विकलांगता, ट्रेड यूनियन सदस्यता, आनुवांशिक डेटा, और बायोमेट्रिक डेटा। संवेदनशील व्यक्तिगत डेटा को संसाधित करने के लिए स्पष्ट सहमति की आवश्यकता होती है और नियंत्रक दायित्वों को ट्रिगर करती है।
कुकीज़ के लिए यह क्यों मायने रखता है
एक कुकी जो एक नियमित पहचानकर्ता संग्रहीत करती है वह सामान्य व्यक्तिगत डेटा है। एक कुकी जो PDPA संवेदनशील सूची को छूने वाले दर्शक खंड को फीड करती है — स्वास्थ्य रुचियां, धार्मिक संबद्धता, राजनीतिक झुकाव — संवेदनशील व्यक्तिगत डेटा प्रसंस्करण है और सामान्य विज्ञापन सहमति के बजाय स्पष्ट सहमति की आवश्यकता है। संवेदनशील सूची से ओवरलैप होने वाले थाई-भाषा दर्शक लक्ष्यीकरण को इस सीमा के खिलाफ विशेष रूप से ऑडिट किया जाना चाहिए।
2026 में PDPA के तहत कुकी सहमति
PDPA प्रसंस्करण के लिए कई वैध आधारों की अनुमति देता है, लेकिन कुकीज़ और समान प्रौद्योगिकियों के लिए जो सेवा वितरण के लिए सख्ती से आवश्यक नहीं हैं, PDPC के मार्गदर्शन और प्रारंभिक प्रवर्तन व्यावहारिक आधार रेखा के रूप में सहमति पर एकत्रित हुए हैं।
वैध सहमति के तत्व
PDPA के तहत सहमति होनी चाहिए:
- स्वतंत्र रूप से दी गई — बिना जबरदस्ती या आवश्यक सेवा प्रावधान के साथ बंडलिंग के
- सूचित — डेटा विषय समझता है कि क्या डेटा संसाधित किया जाता है, किसके द्वारा, और किस उद्देश्य के लिए
- विशिष्ट — छाता सहमति के बजाय स्पष्ट रूप से पहचाने गए उद्देश्यों से जुड़ी हुई
- स्पष्ट — निष्क्रियता से अनुमान लगाने के बजाय एक स्पष्ट सकारात्मक कार्य के माध्यम से व्यक्त
- स्पष्ट संवेदनशील व्यक्तिगत डेटा शामिल होने वाले मामलों में, संवेदनशील प्रसंस्करण के लिए अलग और विशिष्ट सहमति के साथ
एक अनुपालन CMP कैसा दिखता है
2026 में थाई ट्रैफिक के लिए कॉन्फ़िगर किया गया एक CMP प्रस्तुत करना चाहिए:
- किसी भी गैर-आवश्यक कुकी या ट्रैकर के सक्रिय होने से पहले एक दृश्यमान बैनर, थाई उपयोगकर्ताओं के लिए डिफ़ॉल्ट रूप से थाई (ภาษาไทย) में
- ยอมรับ (स्वीकार), ปฏิเสธ (अस्वीकार), और ตั้งค่า (सेटिंग्स) के लिए समान दृश्य प्रमुखता — PDPC ने बैनर डिज़ाइनों की आलोचना की है जहां अस्वीकार क्रिया को दृश्यात्मक रूप से कम महत्व दिया जाता है
- उद्देश्य के अनुसार विस्तृत टॉगल: विश्लेषण, विज्ञापन, व्यक्तिगतकरण, सीमा-पार स्थानांतरण, और कोई भी संवेदनशील श्रेणी प्रसंस्करण
- संवेदनशील व्यक्तिगत डेटा प्रसंस्करण के लिए एक अलग, स्पष्ट रूप से लेबल किया गया प्रवाह, अपनी स्वयं की क्रिया के पीछे बंद
- प्रारंभिक विकल्प के बाद सहमति वापस लेने के लिए एक स्थायी, आसानी से पाया जाने वाला तंत्र
- नियंत्रक, प्रोसेसर, उद्देश्यों, प्राप्तकर्ताओं, प्रतिधारण और अधिकारों के पूर्ण प्रकटीकरण के साथ थाई-भाषा गोपनीयता नोटिस
सहमति रिकॉर्ड
नियंत्रकों को सहमति का प्रमाण बनाए रखना होगा — किसने सहमति दी, कब, किस उद्देश्य के लिए, और किस इंटरफेस के माध्यम से। 2025 में कई PDPC प्रवर्तन पत्रों में अपर्याप्त सहमति रिकॉर्ड का उल्लेख किया गया है, और निर्यात योग्य टाइमस्टैम्प लॉग आधारभूत अपेक्षा हैं।
2025 के विनियमों के बाद सीमा-पार स्थानांतरण
2025 के स्थानांतरण विनियम विदेशी प्रकाशकों के लिए सबसे महत्वपूर्ण हालिया विकास थे, जो सीमा-पार डेटा प्रवाह के लिए उपलब्ध तंत्रों को स्पष्ट करते थे।
मान्यता प्राप्त स्थानांतरण तंत्र
2025 के विनियम चार प्राथमिक मार्ग प्रदान करते हैं:
- पर्याप्त-संरक्षण पदनाम जहां PDPC ने गंतव्य देश का मूल्यांकन पर्याप्त सुरक्षा प्रदान करने वाले के रूप में किया है
- उपयुक्त सुरक्षा उपाय संविदात्मक तंत्रों के माध्यम से जिनमें PDPC-अनुमोदित मानक संविदात्मक खंड और बाध्यकारी कॉर्पोरेट नियम शामिल हैं
- विशिष्ट छूट जिनमें पर्याप्त प्रकटीकरण के साथ डेटा विषय की स्पष्ट सहमति, अनुबंध आवश्यकता, महत्वपूर्ण हित, और पर्याप्त सार्वजनिक हित शामिल हैं
- प्रमाणन योजनाएं PDPC द्वारा विशिष्ट क्षेत्रों या गतिविधियों के लिए मान्यता प्राप्त
पर्याप्तता सूची
PDPC ने 2026 की शुरुआत तक कुछ क्षेत्राधिकारों के लिए पर्याप्तता निर्णय जारी किए हैं। संयुक्त राज्य अमेरिका सूची में नहीं है, जिसका अर्थ है कि US-आधारित ad-tech और एनालिटिक्स विक्रेताओं को स्थानांतरण के लिए संविदात्मक खंड, प्रमाणन, या सहमति-आधारित छूट की आवश्यकता है।
व्यावहारिक 2026 दृष्टिकोण
अधिकांश विदेशी प्रकाशकों के लिए, कार्य दृष्टिकोण अंतर्राष्ट्रीय प्रोसेसरों के साथ PDPC-अनुमोदित मानक संविदात्मक खंडों को निष्पादित करना, थाई-भाषा गोपनीयता नोटिस में स्थानांतरण तंत्र का दस्तावेजीकरण करना, और केवल तभी सहमति-आधारित प्राधिकरण के साथ पूरक करना है जब मानक तंत्र स्पष्ट रूप से फिट नहीं होता।
PDPA के तहत डेटा विषय अधिकार
PDPA GDPR से निकटता से मिलने वाले अधिकारों का एक सेट प्रदान करता है:
- नियंत्रक द्वारा रखे गए व्यक्तिगत डेटा तक पहुंच का अधिकार
- गलत या अपूर्ण डेटा के सुधार का अधिकार
- मिटाने का अधिकार
- प्रसंस्करण को प्रतिबंधित करने का अधिकार
- डेटा पोर्टेबिलिटी का अधिकार
- प्रसंस्करण पर आपत्ति करने का अधिकार
- सहमति वापस लेने का अधिकार
- महत्वपूर्ण प्रभाव उत्पन्न करने वाले स्वचालित निर्णय-लेने के अधीन न होने का अधिकार
- PDPC के साथ शिकायत दर्ज करने का अधिकार
प्रतिक्रिया समयरेखाएं
नियंत्रकों को सामान्य ढांचे के तहत 30 दिनों के भीतर डेटा विषय अनुरोधों का जवाब देना होगा, विशिष्ट अनुरोध प्रकारों के लिए छोटी खिड़कियों के साथ। इस खिड़की के लिए परिचालन तैयारी — थाई-भाषा टूलिंग और रनबुक के साथ — यूरोपीय कैडेंस के अनुसार ट्यून किए गए विदेशी प्रकाशकों के लिए एक सामान्य अंतर है।
DPO आवश्यकता
2024 के द्वितीयक विनियमन ने स्पष्ट किया कि DPO कब आवश्यक है। बड़े पैमाने पर व्यक्तिगत डेटा संसाधित करने वाले, डेटा विषयों की व्यवस्थित निगरानी करने वाले, या पैमाने पर संवेदनशील व्यक्तिगत डेटा संसाधित करने वाले नियंत्रकों को DPO नियुक्त करना होगा। थाई उपयोगकर्ताओं के माध्यम से वॉल्यूम सीमा तक पहुंचने वाले विदेशी नियंत्रक दायरे में हैं। DPO की संपर्क जानकारी थाई-भाषा गोपनीयता नोटिस में सुलभ होनी चाहिए।
2026 में दंड और प्रवर्तन मुद्रा
PDPC की प्रवर्तन गतिविधि 2024 और 2025 के दौरान सार्थक रूप से बढ़ी है, और 2026 इसी प्रक्षेपवक्र पर है।
प्रशासनिक जुर्माना संरचना
प्रशासनिक जुर्माने उल्लंघन प्रकार के अनुसार बढ़ते हैं, सबसे गंभीर उल्लंघनों के लिए प्रति उल्लंघन अधिकतम THB 5 मिलियन के साथ। नियमित उल्लंघन — अपर्याप्त सहमति बैनर, गुम गोपनीयता नोटिस, डेटा विषय अनुरोधों का जवाब देने में विफलता — आमतौर पर निचले सैकड़ों-हजारों-THB श्रेणी में जुर्माना आकर्षित करते हैं लेकिन बार-बार या बढ़े हुए उल्लंघनों के लिए तेजी से बढ़ सकते हैं।
आपराधिक दायित्व बैकस्टॉप
GDPR के विपरीत, PDPA सबसे गंभीर उल्लंघनों के लिए आपराधिक दायित्व का प्रावधान करता है, जिसमें विशिष्ट परिस्थितियों में निदेशकों को कारावास शामिल है। 2024 के द्वितीयक विनियमन ने आपराधिक दायित्व के दायरे को स्पष्ट किया, और हालांकि इसे 2026 तक विदेशी प्रकाशकों के खिलाफ लागू नहीं किया गया है, संभावना पैमाने पर थाई डेटा संसाधित करने वाले किसी भी संगठन के लिए जोखिम विश्लेषण को आकार देती है।
प्रवर्तन विषय
PDPC की 2025 और 2026 की शुरुआती कार्रवाइयां इनके आसपास एकत्रित हैं: अस्पष्ट या अनुपस्थित सहमति बैनर, थाई-भाषा गोपनीयता नोटिस की कमी, 2025 के विनियमों के तहत वैध तंत्र के बिना सीमा-पार स्थानांतरण, 30-दिन की खिड़की में डेटा विषय अनुरोधों का जवाब देने में विफलता, और दायरे में नियंत्रकों के लिए लापता DPO पदनाम। विदेशी प्रकाशकों को सभी पांच श्रेणियों में उद्धृत किया गया है।
2026 में थाई ट्रैफिक के लिए ऑडिट चेकलिस्ट
- CMP बैनर थाई में परोसा जाता है जिसमें ยอมรับ, ปฏิเสธ, और ตั้งค่า समान दृश्य प्रमुखता के साथ हैं
- सहमति उद्देश्य विस्तृत हैं और संवेदनशील श्रेणी प्रसंस्करण अपने स्वयं के सहमति प्रवाह के पीछे अलग है
- गोपनीयता नोटिस थाई में नियंत्रक, प्रोसेसर, उद्देश्यों, प्रतिधारण, अधिकारों और DPO संपर्क के पूर्ण प्रकटीकरण के साथ उपलब्ध है
- सीमा-पार स्थानांतरण PDPC-अनुमोदित मानक संविदात्मक खंडों, पर्याप्तता पदनाम, BCRs, प्रमाणन, या दस्तावेज़ छूट पर निर्भर करते हैं
- सहमति लॉग टाइमस्टैम्पड, निर्यात योग्य, और लागू अवधि के लिए बनाए रखे गए हैं
- डेटा विषय अनुरोध कार्यप्रवाह थाई में शुरू से अंत तक 30 दिनों के भीतर जवाब दे सकता है
- DPO आवश्यक होने पर नामित है और संपर्क जानकारी गोपनीयता नोटिस में प्रकाशित है
- विक्रेता सूची की आवश्यकता के लिए समीक्षा की गई है, सीमा-पार स्थानांतरण सतह को कम करने के लिए अप्रयुक्त या अतिरेक विक्रेताओं को हटाया गया है
- संवेदनशील श्रेणी दर्शक खंड स्पष्ट, अलग से कैप्चर की गई सहमति के पीछे बंद हैं
- उल्लंघन अधिसूचना रनबुक PDPA के उल्लंघन अधिसूचना समयरेखाओं के अनुसार ट्यून किया गया है
2026 आउटलुक
थाईलैंड का गोपनीयता शासन सीमित परिचालन विशिष्टता वाले एक आधार क़ानून से द्वितीयक विनियमों, प्रवर्तन क्षमता और सार्थक रूप से लागू होने की राजनीतिक इच्छाशक्ति वाले शासन तक परिपक्व हुआ है। 2025 के सीमा-पार स्थानांतरण विनियमों ने सबसे महत्वपूर्ण संरचनात्मक अंतर को बंद कर दिया, और PDPC की प्रारंभिक प्रवर्तन मुद्रा एक गंभीर नियामक के अनुरूप है जो स्केल-अप के बीच में है बजाय उस नियामक के जो शांत रहेगा। जो प्रकाशक पहले से GDPR-ग्रेड सहमति स्टैक चला रहे हैं, उनके लिए PDPA अनुपालन का अंतर वास्तुशिल्पीय के बजाय परिचालन है: थाई-भाषा CMP और गोपनीयता नोटिस, PDPC-अनुमोदित स्थानांतरण तंत्र, 30-दिन की प्रतिक्रिया कैडेंस, आवश्यक होने पर DPO पदनाम, और PDPA की व्यापक संवेदनशील-डेटा सूची के साथ देखभाल। अंतर प्राथमिकता दिए जाने पर हफ्तों में बंद किया जा सकता है — और थाईलैंड एक महत्वपूर्ण दक्षिण पूर्व एशियाई बाजार है, इसलिए प्राथमिकता आमतौर पर जल्दी भुगतान करती है। जो प्रकाशक 2024 के दौरान थाईलैंड को हल्के-स्पर्श बाजार के रूप में मानते थे, वे 2026 को सार्थक रूप से अधिक मांगलिक पा रहे हैं, और प्रवृत्ति स्पष्ट है।