PDPA Thailand 2026: Panduan Publisher dan Pengiklan tentang Persetujuan Cookie, Transfer Lintas Batas, dan Penegakan PDPC
Thailand Undang-Undang Perlindungan Data Pribadi B.E. 2562 (2019) — dikenal sebagai PDPA — mulai berlaku penuh pada Juni 2022 setelah berbagai penundaan, dan menghabiskan sebagian besar tiga tahun berikutnya dalam fase pembangunan kapasitas regulasi, peluncuran peraturan subordinat, dan apa yang secara publik digambarkan oleh Komite Perlindungan Data Pribadi (PDPC) sebagai postur penegakan yang sabar. Postur itu kini telah berakhir secara tegas. Peraturan subordinat PDPC 2024 dan 2025 mengisi detail spesifik yang ditinggalkan oleh undang-undang dasar, Kantor PDPC (regulator operasional) membangun kapasitas penegakannya, dan pada awal 2026 PDPC telah mulai menerbitkan denda administratif pada tingkat yang bermakna — termasuk terhadap platform asing yang memproses data pengguna Thailand dari luar negeri. Bagi setiap publisher, pengiklan, atau platform yang memproses data pribadi individu di Thailand — baik yang berkedudukan di Thailand maupun yang melayani pasar Thailand dari luar negeri — 2026 adalah tahun ketika PDPA berhenti menjadi rezim yang relatif tenang dan menjadi prioritas penegakan yang kredibel. Panduan ini menguraikan PDPA sebagaimana adanya pada 2026, apa yang sebenarnya diperlukan oleh persetujuan cookie, bagaimana transfer lintas batas bekerja setelah peraturan transfer 2025, dan seperti apa tema penegakan awal PDPC dalam praktiknya.
Struktur PDPA pada 2026
PDPA adalah undang-undang perlindungan data utama di Thailand, dan strukturnya sangat mirip dengan GDPR. Peraturan subordinat 2024 dan 2025 menambahkan detail operasional yang sebelumnya tidak ada dalam undang-undang dasar.
Apa yang Ditambahkan oleh Peraturan Subordinat
Sepanjang 2024 dan 2025, PDPC menerbitkan peraturan subordinat yang mencakup: mekanisme transfer data lintas batas, penunjukan dan tugas Data Protection Officer, prosedur notifikasi pelanggaran data, persyaratan catatan pemrosesan, jadwal alur kerja hak subjek data, dan standar persetujuan khusus untuk data pribadi sensitif. Peraturan-peraturan ini secara kolektif mengubah PDPA dari kerangka umum menjadi rezim operasional yang sebanding dengan GDPR dalam hal kekhususan.
Siapa yang Diatur
PDPA berlaku untuk sebagian besar pengontrol dan pemroses data, dengan jangkauan ekstrateritorial bagi organisasi asing yang memproses data pribadi individu di Thailand sehubungan dengan penawaran barang atau jasa atau pemantauan perilaku. Publisher asing yang melayani pengguna Thailand melalui situs yang dilokalisasi atau inventaris programatik yang dibeli terhadap IP Thailand biasanya termasuk dalam lingkup, dan PDPC telah menerapkan ketentuan ekstrateritorial dalam surat penegakan awal.
Sanksi Administratif dan Pidana
PDPA menetapkan denda administratif hingga THB 5 juta per pelanggaran, beserta hukuman pidana untuk pelanggaran paling serius termasuk pemenjaraan direktur dalam keadaan tertentu. Batas denda administratif lebih rendah dari GDPR dalam nilai absolut, namun postur penegakan PDPC yang meningkat dan ketersediaan tanggung jawab pidana membuat risiko efektif menjadi signifikan.
Apa yang Termasuk Data Pribadi di Bawah PDPA
Definisi data pribadi PDPA sangat mengikuti GDPR. Data pribadi adalah informasi yang berkaitan dengan orang yang teridentifikasi atau dapat diidentifikasi, dan PDPC secara konsisten memperlakukan cookie, pengidentifikasi periklanan, alamat IP, sidik jari perangkat, dan profil perilaku sebagai data pribadi ketika mereka dapat dikaitkan dengan individu secara langsung atau melalui kombinasi dengan informasi lain.
Data Pribadi Sensitif
PDPA menetapkan kategori sensitif yang luas termasuk: asal ras atau etnis, pendapat politik, keyakinan agama atau filosofis, perilaku seksual, catatan kriminal, data kesehatan, disabilitas, keanggotaan serikat pekerja, data genetik, dan data biometrik. Pemrosesan data pribadi sensitif memerlukan persetujuan eksplisit dan memicu kewajiban pengontrol tambahan.
Mengapa Ini Penting untuk Cookie
Cookie yang menyimpan pengidentifikasi rutin adalah data pribadi biasa. Cookie yang memberi makan segmen audiens yang menyentuh daftar sensitif PDPA — minat kesehatan, afiliasi agama, kecenderungan politik — adalah pemrosesan data pribadi sensitif dan memerlukan persetujuan eksplisit daripada persetujuan periklanan umum. Penargetan audiens berbahasa Thailand yang tumpang tindih dengan daftar sensitif harus diaudit secara khusus terhadap batas ini.
Persetujuan Cookie di Bawah PDPA pada 2026
PDPA mengizinkan beberapa dasar hukum untuk pemrosesan, namun untuk cookie dan teknologi serupa yang tidak benar-benar diperlukan untuk pemberian layanan, panduan PDPC dan penegakan awal telah menyatu pada persetujuan sebagai garis dasar praktis.
Elemen Persetujuan yang Valid
Persetujuan di bawah PDPA harus:
- Diberikan secara bebas — tanpa paksaan atau penggabungan dengan penyediaan layanan esensial
- Terinformasi — subjek data memahami data apa yang diproses, oleh siapa, dan untuk tujuan apa
- Spesifik — terikat pada tujuan yang jelas diidentifikasi daripada persetujuan payung
- Tidak ambigu — dinyatakan melalui tindakan afirmatif yang jelas, bukan disimpulkan dari ketidakaktifan
- Eksplisit dalam kasus yang melibatkan data pribadi sensitif, dengan persetujuan terpisah dan spesifik untuk pemrosesan sensitif
Seperti Apa CMP yang Patuh
CMP yang dikonfigurasi untuk lalu lintas Thailand pada 2026 harus menampilkan:
- Banner yang terlihat sebelum cookie atau pelacak non-esensial mana pun diaktifkan, dalam bahasa Thailand (ภาษาไทย) secara default untuk pengguna Thailand
- Keunggulan visual yang setara untuk ยอมรับ (Terima), ปฏิเสธ (Tolak), dan ตั้งค่า (Pengaturan) — PDPC telah mengkritik desain banner di mana tindakan Tolak secara visual dikurangi penekanannya
- Toggle granular per tujuan: analitik, periklanan, personalisasi, transfer lintas batas, dan setiap pemrosesan kategori sensitif
- Alur yang terpisah dan berlabel jelas untuk pemrosesan data pribadi sensitif, dikunci di balik tindakannya sendiri
- Mekanisme yang persisten dan mudah ditemukan untuk menarik persetujuan setelah pilihan awal
- Pemberitahuan privasi berbahasa Thailand dengan pengungkapan penuh tentang pengontrol, pemroses, tujuan, penerima, retensi, dan hak
Catatan Persetujuan
Pengontrol harus menyimpan bukti persetujuan — siapa yang menyetujui, kapan, untuk tujuan apa, dan melalui antarmuka mana. Catatan persetujuan yang tidak memadai telah dikutip dalam beberapa surat penegakan PDPC pada 2025, dan log berkapasitas ekspor dengan stempel waktu adalah ekspektasi dasar.
Transfer Lintas Batas Setelah Peraturan 2025
Peraturan transfer 2025 adalah perkembangan terbaru yang paling penting bagi publisher asing, yang mengklarifikasi mekanisme yang tersedia untuk aliran data lintas batas.
Mekanisme Transfer yang Diakui
Peraturan 2025 menyediakan empat jalur utama:
- Penetapan perlindungan yang memadai di mana PDPC telah menilai negara tujuan sebagai memberikan perlindungan yang memadai
- Perlindungan yang sesuai melalui mekanisme kontraktual termasuk klausul kontrak standar yang disetujui PDPC dan aturan korporat yang mengikat
- Pengecualian tertentu termasuk persetujuan eksplisit dari subjek data dengan pengungkapan yang memadai, keperluan kontrak, kepentingan vital, dan kepentingan publik yang substansial
- Skema sertifikasi yang diakui oleh PDPC untuk sektor atau kegiatan tertentu
Daftar Kecukupan
PDPC telah mengeluarkan keputusan kecukupan untuk beberapa yurisdiksi hingga awal 2026. Amerika Serikat tidak ada dalam daftar, yang berarti transfer ke vendor ad-tech dan analitik berbasis AS memerlukan klausul kontrak, sertifikasi, atau pengecualian berbasis persetujuan.
Pendekatan Praktis 2026
Bagi sebagian besar publisher asing, pendekatan yang berhasil adalah mengeksekusi klausul kontrak standar yang disetujui PDPC dengan pemroses internasional, mendokumentasikan mekanisme transfer dalam pemberitahuan privasi berbahasa Thailand, dan melengkapi dengan otorisasi berbasis persetujuan hanya di mana mekanisme standar tidak cocok dengan sempurna.
Hak Subjek Data di Bawah PDPA
PDPA memberikan serangkaian hak yang sangat mengikuti GDPR:
- Hak akses ke data pribadi yang dipegang oleh pengontrol
- Hak rektifikasi atas data yang tidak akurat atau tidak lengkap
- Hak penghapusan
- Hak untuk membatasi pemrosesan
- Hak portabilitas data
- Hak untuk keberatan terhadap pemrosesan
- Hak untuk menarik persetujuan
- Hak untuk tidak menjadi subjek pengambilan keputusan otomatis yang menghasilkan efek signifikan
- Hak untuk mengajukan pengaduan ke PDPC
Batas Waktu Respons
Pengontrol harus merespons permintaan subjek data dalam 30 hari di bawah kerangka umum, dengan jendela yang lebih singkat untuk jenis permintaan tertentu. Kesiapan operasional untuk jendela ini — dengan perkakas dan panduan berbahasa Thailand — adalah kesenjangan umum bagi publisher asing yang terbiasa dengan irama Eropa.
Persyaratan DPO
Peraturan subordinat 2024 mengklarifikasi kapan DPO diperlukan. Pengontrol yang memproses volume besar data pribadi, melakukan pemantauan sistematis subjek data, atau memproses data pribadi sensitif dalam skala besar harus menunjuk DPO. Pengontrol asing yang mencapai ambang volume melalui pengguna Thailand termasuk dalam lingkup. Informasi kontak DPO harus dapat diakses dalam pemberitahuan privasi berbahasa Thailand.
Penalti dan Postur Penegakan pada 2026
Aktivitas penegakan PDPC telah meningkat secara bermakna sepanjang 2024 dan 2025, dan 2026 berada pada jalur yang serupa.
Struktur Denda Administratif
Denda administratif diskalakan berdasarkan jenis pelanggaran, dengan maksimum THB 5 juta per pelanggaran untuk pelanggaran paling serius. Pelanggaran rutin — banner persetujuan yang tidak memadai, pemberitahuan privasi yang hilang, kegagalan merespons permintaan subjek data — biasanya menarik denda dalam kisaran ratusan ribu THB yang lebih rendah tetapi dapat meningkat dengan cepat untuk pelanggaran yang berulang atau diperparah.
Jaring Pengaman Tanggung Jawab Pidana
Tidak seperti GDPR, PDPA menetapkan tanggung jawab pidana untuk pelanggaran paling serius, termasuk pemenjaraan direktur dalam keadaan tertentu. Peraturan subordinat 2024 mengklarifikasi ruang lingkup tanggung jawab pidana, dan meskipun belum diterapkan terhadap publisher asing pada 2026 hingga saat ini, kemungkinan tersebut membentuk analisis risiko bagi organisasi mana pun yang memproses data Thailand dalam skala besar.
Tema Penegakan
Tindakan PDPC pada 2025 dan awal 2026 berkluster di sekitar: banner persetujuan yang ambigu atau tidak ada, kurangnya pemberitahuan privasi berbahasa Thailand, transfer lintas batas tanpa mekanisme yang valid di bawah peraturan 2025, kegagalan merespons permintaan subjek data dalam jendela 30 hari, dan penunjukan DPO yang hilang untuk pengontrol dalam lingkup. Publisher asing telah dikutip dalam kelima kategori tersebut.
Daftar Periksa Audit untuk Lalu Lintas Thailand pada 2026
- Banner CMP disajikan dalam bahasa Thailand dengan ยอมรับ, ปฏิเสธ, dan ตั้งค่า pada keunggulan visual yang setara
- Tujuan persetujuan bersifat granular dan memisahkan pemrosesan kategori sensitif di balik alur persetujuannya sendiri
- Pemberitahuan privasi tersedia dalam bahasa Thailand dengan pengungkapan penuh tentang pengontrol, pemroses, tujuan, retensi, hak, dan kontak DPO
- Transfer lintas batas mengandalkan klausul kontrak standar yang disetujui PDPC, penetapan kecukupan, BCRs, sertifikasi, atau pengecualian yang terdokumentasi
- Log persetujuan memiliki stempel waktu, dapat diekspor, dan disimpan selama periode yang berlaku
- Alur kerja permintaan subjek data dapat merespons dalam 30 hari dari awal hingga akhir, dalam bahasa Thailand
- DPO ditunjuk di mana diperlukan dan informasi kontaknya diterbitkan dalam pemberitahuan privasi
- Daftar vendor telah ditinjau untuk keperluan, dengan vendor yang tidak digunakan atau berlebihan dihapus untuk mengurangi permukaan transfer lintas batas
- Segmen audiens kategori sensitif dikunci di balik persetujuan eksplisit yang ditangkap secara terpisah
- Panduan notifikasi pelanggaran disetel ke batas waktu notifikasi pelanggaran PDPA
Prospek 2026
Rezim privasi Thailand telah matang dari undang-undang dasar dengan kekhususan operasional terbatas menjadi rezim dengan peraturan subordinat, kapasitas penegakan, dan kemauan politik untuk ditegakkan secara bermakna. Peraturan transfer lintas batas 2025 menutup kesenjangan struktural yang paling penting, dan postur penegakan awal PDPC konsisten dengan regulator serius yang sedang dalam proses peningkatan skala daripada yang akan tetap tenang. Bagi publisher yang sudah menjalankan tumpukan persetujuan bermutu GDPR, kesenjangan menuju kepatuhan PDPA bersifat operasional daripada arsitektural: CMP dan pemberitahuan privasi berbahasa Thailand, mekanisme transfer yang disetujui PDPC, irama respons 30 hari, penunjukan DPO di mana diperlukan, dan perhatian terhadap daftar data sensitif PDPA yang lebih luas. Kesenjangan ini dapat ditutup dalam beberapa minggu jika diprioritaskan — dan Thailand adalah pasar Asia Tenggara yang bermakna, sehingga prioritisasi biasanya memberikan hasil yang cepat. Publisher yang memperlakukan Thailand sebagai pasar yang lebih ringan sepanjang 2024 menemukan 2026 jauh lebih menuntut, dan tren ini jelas.