Struktura PDPA-a u 2026.

PDPA je primarni zakon o zaštiti podataka u Tajlandu, a njegova struktura nalikuje GDPR-u. Podređeni propisi iz 2024. i 2025. dodali su operativne pojedinosti koje su nedostajale u temeljnom zakonu.

Što su dodali podređeni propisi

Kroz 2024. i 2025., PDPC je izdao podređene propise koji pokrivaju: mehanizme prekograničnog prijenosa podataka, imenovanje i dužnosti zaštitara podataka, postupke obavješćivanja o povredi podataka, zahtjeve za evidencijom obrade, rokove tijeka rada prava ispitanika i specifične standarde pristanka za osjetljive osobne podatke. Ovi propisi kolektivno su transformirali PDPA iz općeg okvira u operativni režim usporediv s GDPR-om po specifičnosti.

Tko je reguliran

PDPA se primjenjuje na većinu voditelja obrade i izvršitelja obrade, s izvanzakonodavnim dosegom za strane organizacije koje obrađuju osobne podatke pojedinaca u Tajlandu u vezi s ponudom roba ili usluga ili praćenjem ponašanja. Strani izdavači koji posluju s tajlandskim korisnicima putem lokaliziranih stranica ili programatičkog inventara kupljenog prema tajlandskim IP adresama tipično su u opsegu, a PDPC se pozivao na izvanzakonodavnu odredbu u ranim pismima provedbe.

Administrativne i kaznene sankcije

PDPA predviđa administrativne novčane kazne do THB 5 milijuna po prekršaju, zajedno s kaznenim sankcijama za najozbiljnije povrede uključujući zatvorske kazne za direktore u posebnim okolnostima. Gornja granica administrativne novčane kazne niža je od GDPR-a u apsolutnim iznosima, ali rastuće stajalište PDPC-a o provedbi i dostupnost kaznene odgovornosti čine stvarni rizik značajnim.

Što se smatra osobnim podatkom prema PDPA-u

Definicija osobnih podataka PDPA-a usko prati GDPR. Osobni podaci su informacije koje se odnose na identificiranu ili prepoznatljivu osobu, a PDPC je dosljedno tretirao kolačiće, identifikatore oglašavanja, IP adrese, digitalne otiske uređaja i bihevioralne profile kao osobne podatke kada ih se može povezati s pojedincem izravno ili kombinacijom s drugim informacijama.

Osjetljivi osobni podaci

PDPA određuje široku osjetljivu kategoriju koja uključuje: rasno ili etničko porijeklo, političko mišljenje, vjerska ili filozofska uvjerenja, seksualno ponašanje, kaznenu evidenciju, zdravstvene podatke, invaliditet, članstvo u sindikatu, genetske podatke i biometrijske podatke. Obrada osjetljivih osobnih podataka zahtijeva izričiti pristanak i pokreće dodatne obveze voditelja obrade.

Zašto je to važno za kolačiće

Kolačić koji pohranjuje uobičajeni identifikator je obični osobni podatak. Kolačić koji hrani segment publike koji dotiče popis osjetljivih podataka PDPA-a — zdravstveni interesi, vjerska afilijacija, politički stavovi — je obrada osjetljivih osobnih podataka i zahtijeva izričiti pristanak, a ne opći pristanak za oglašavanje. Tajlandsko ciljanje publike koje se preklapa s popisom osjetljivih podataka treba posebno provjeriti u odnosu na tu granicu.

Pristanak na kolačiće prema PDPA-u u 2026.

PDPA dopušta više pravnih osnova za obradu, ali za kolačiće i slične tehnologije koje nisu strogo neophodne za pružanje usluge, smjernice PDPC-a i rana provedba konvergirale su na pristanak kao praktičnu osnovicu.

Elementi valjanog pristanka

Pristanak prema PDPA-u mora biti:

• Slobodno dan — bez prisile ili vezivanja za pružanje bitnih usluga
• Informiran — ispitanik razumije koji se podaci obrađuju, od koga i u koju svrhu
• Specifičan — vezan uz jasno identificirane svrhe, a ne opći pristanak
• Nedvosmislen — izražen jasnom potvrdnom radnjom, a ne zaključen iz neaktivnosti
• Izričit u slučajevima koji uključuju osjetljive osobne podatke, s odvojenim i specifičnim pristankom za osjetljivu obradu

Kako izgleda usklađeni CMP

CMP konfiguriran za tajlandski promet u 2026. trebao bi prikazivati:

• Vidljivi banner prije aktivacije bilo kojeg nebitnog kolačića ili tragača, na tajlandskom (ภาษาไทย) kao zadanom za tajlandske korisnike
• Jednaku vizualnu istaknutost za ยอมรับ (Prihvati), ปฏิเสธ (Odbij) i ตั้งค่า (Postavke) — PDPC je kritikovao dizajne bannera u kojima je radnja odbijanja vizualno manje istaknuta
• Detaljne prekidače po svrsi: analitika, oglašavanje, personalizacija, prekogranični prijenos i svaka obrada osjetljivih kategorija
• Zaseban, jasno označen tok za obradu osjetljivih osobnih podataka, zaštićen vlastitom radnjom
• Trajni, lako pronađeni mehanizam za povlačenje pristanka nakon početnog izbora
• Obavijest o privatnosti na tajlandskom s potpunim razotkrivanjem voditelja obrade, izvršitelja obrade, svrha, primatelja, pohrane i prava

Evidencija pristanka

Voditelji obrade moraju čuvati dokaze o pristanku — tko je dao pristanak, kada, u koju svrhu i putem kojeg sučelja. Neadekvatna evidencija pristanka navedena je u nekoliko pisama provedbe PDPC-a u 2025., a izvozivi dnevnici s vremenskim oznakama su osnovno očekivanje.

Prekogranični prijenosi nakon propisa iz 2025.

Propisi o prijenosu iz 2025. bili su najvažniji nedavni razvoj za strane izdavače, razjašnjavajući mehanizme dostupne za prekogranične tokove podataka.

Prepoznati mehanizmi prijenosa

Propisi iz 2025. predviđaju četiri primarna puta:

• Oznaka primjerene zaštite gdje je PDPC ocijenio odredišnu zemlju kao pružatelja primjerene zaštite
• Odgovarajuća zaštitna jamstva kroz ugovorne mehanizme uključujući standardne ugovorne klauzule odobrene od PDPC-a i obvezujuća korporativna pravila
• Posebne iznimke uključujući izričiti pristanak ispitanika s odgovarajućim razotkrivanjem, ugovornu nužnost, vitalne interese i znatan javni interes
• Certifikacijske sheme koje PDPC priznaje za posebne sektore ili aktivnosti

Popis primjerene zaštite

PDPC je do početka 2026. donio odluke o primjerenosti za nekoliko jurisdikcija. Sjedinjene Američke Države nisu na popisu, što znači da prijenosi dobavljačima ad-tech i analitike sa sjedištem u SAD-u zahtijevaju ugovorne klauzule, certifikaciju ili iznimku temeljenu na pristanku.

Praktični pristup za 2026.

Za većinu stranih izdavača, radni pristup je izvršiti standardne ugovorne klauzule odobrene od PDPC-a s međunarodnim izvršiteljima obrade, dokumentirati mehanizam prijenosa u obavijesti o privatnosti na tajlandskom i nadopuniti autorizacijom temeljenoj na pristanku samo gdje standardni mehanizam jasno ne odgovara.

Prava ispitanika prema PDPA-u

PDPA dodjeljuje skup prava koji usko prati GDPR:

• Pravo pristupa osobnim podacima koje drži voditelj obrade
• Pravo na ispravak netočnih ili nepotpunih podataka
• Pravo na brisanje
• Pravo na ograničavanje obrade
• Pravo na prenosivost podataka
• Pravo na prigovor na obradu
• Pravo na povlačenje pristanka
• Pravo da ne bude podvrgnut automatiziranom donošenju odluka koje proizvodi značajne učinke
• Pravo na podnošenje pritužbe PDPC-u

Rokovi odgovora

Voditelji obrade moraju odgovoriti na zahtjeve ispitanika u roku od 30 dana prema općem okviru, s kraćim rokovima za specifične vrste zahtjeva. Operativna spreman ost za taj rok — uz alate i priručnike na tajlandskom — uobičajena je praznina za strane izdavače usklađene s europskim ritmom.

Zahtjev za DPO-om

Podređeni propis iz 2024. razjasnio je kada je DPO potreban. Voditelji obrade koji obrađuju velike količine osobnih podataka, provode sustavno praćenje ispitanika ili obrađuju osjetljive osobne podatke u velikom opsegu moraju imenovati DPO-a. Strani voditelji obrade koji dostignu volumni prag putem tajlandskih korisnika su u opsegu. Kontaktni podaci DPO-a moraju biti dostupni u obavijesti o privatnosti na tajlandskom.

Kazne i stajalište o provedbi u 2026.

Aktivnost provedbe PDPC-a znatno je eskalirala kroz 2024. i 2025., a 2026. je na sličnoj putanji.

Struktura administrativnih novčanih kazni

Administrativne novčane kazne rastu prema vrsti prekršaja, s maksimumima od THB 5 milijuna po prekršaju za najozbiljnije povrede. Uobičajeni prekršaji — neadekvatni banneri pristanka, nedostajuće obavijesti o privatnosti, propust odgovaranja na zahtjeve ispitanika — tipično privlače novčane kazne u nižem rasponu stotina tisuća THB, ali mogu brzo eskalirati za ponavljajuće ili pogoršane prekršaje.

Sigurnosna mreža kaznene odgovornosti

Za razliku od GDPR-a, PDPA predviđa kaznenu odgovornost za najozbiljnije povrede, uključujući zatvorske kazne za direktore u posebnim okolnostima. Podređeni propis iz 2024. razjasnio je opseg kaznene odgovornosti, a iako nije primijenjeno protiv stranih izdavača u 2026. dosad, mogućnost oblikuje analizu rizika za svaku organizaciju koja obrađuje tajlandske podatke u velikom opsegu.

Teme provedbe

Akcije PDPC-a iz 2025. i ranog 2026. grupiraju se oko: dvosmislenih ili odsutnih bannera pristanka, nedostatka obavijesti o privatnosti na tajlandskom, prekograničnih prijenosa bez valjanog mehanizma prema propisima iz 2025., propusta odgovaranja na zahtjeve ispitanika u roku od 30 dana i nedostajućih imenovanja DPO-a za voditelje obrade u opsegu. Strani izdavači navedeni su u svim pet kategorija.

Kontrolni popis revizije za tajlandski promet u 2026.

• Banner CMP-a prikazuje se na tajlandskom s ยอมรับ, ปฏิเสธ i ตั้งค่า s jednakom vizualnom istaknutošću
• Svrhe pristanka su detaljne i obrada osjetljive kategorije odvojena je iza vlastitog toka pristanka
• Obavijest o privatnosti dostupna je na tajlandskom s potpunim razotkrivanjem voditelja obrade, izvršitelja obrade, svrha, pohrane, prava i kontakta DPO-a
• Prekogranični prijenosi oslanjaju se na standardne ugovorne klauzule odobrene od PDPC-a, oznaku primjerenosti, BCR-ove, certifikaciju ili dokumentiranu iznimku
• Dnevnici pristanka su s vremenskim oznakama, izvozivi i čuvani za primjenjivo razdoblje
• Tijek rada zahtjeva ispitanika može odgovoriti u roku od 30 dana od početka do kraja, na tajlandskom
• DPO je imenovan gdje se zahtijeva i kontaktni podaci objavljeni su u obavijesti o privatnosti
• Popis dobavljača pregledan je za nužnost, s uklanjanjem nekorištenih ili redundantnih dobavljača radi smanjenja površine prekograničnog prijenosa
• Segmenti publike osjetljive kategorije zaključani su iza izričitog, zasebno snimljenog pristanka
• Priručnik za obavješćivanje o povredi usklađen je s rokovima obavješćivanja o povredi prema PDPA-u

Izgled za 2026.

Tajlandski režim privatnosti sazrio je od temeljnog zakona s ograničenom operativnom specifičnošću do režima s podređenim propisima, kapacitetima provedbe i političkom voljom za smislenu provedbu. Propisi o prekograničnom prijenosu iz 2025. zatvorili su najznačajniju strukturnu prazninu, a rano stajalište o provedbi PDPC-a konzistentno je s ozbiljnim regulatorom usred skaliranja, a ne onim koji će ostati tih. Za izdavače koji već pokreću stos pristanka na razini GDPR-a, jaz do usklađenosti s PDPA-om je operativan, a ne arhitekturalan: CMP i obavijest o privatnosti na tajlandskom, mehanizmi prijenosa odobreni od PDPC-a, rok odgovora od 30 dana, imenovanje DPO-a gdje se zahtijeva i pažnja prema širem popisu osjetljivih podataka PDPA-a. Jaz se može zatvoriti u tjednima ako se prioritizira — a Tajland je značajno tržište jugoistočne Azije, pa prioritizacija tipično brzo donosi povrat. Izdavači koji su Tajland tretirali kao tržište s lakšim pristupom kroz 2024. otkrivaju da je 2026. znatno zahtjevniji, a trend je jasan.