PDPA Thailand 2026: Panduan Publisher lan Pengiklan babagan Persetujuan Cookie, Transfer Lintas Wates, lan Penegakan PDPC
Thailand Undhang-undhang Perlindungan Data Pribadi B.E. 2562 (2019) — dikenal minangka PDPA — wiwit berlaku sepenuhe ing Juni 2022 sawise pirang-pirang penundaan, lan ngentekake sebagian besar telu taun sabanjure ing fase pembangunan kapasitas regulasi, peluncuran peraturan subordinat, lan apa sing diterangake sacara umum dening Komite Perlindungan Data Pribadi (PDPC) minangka postur penegakan sing sabar. Postur kuwi saiki wis rampung kanthi tegas. Peraturan subordinat PDPC 2024 lan 2025 ngisi rincian spesifik sing ditinggalake dening undhang-undhang dasar, Kantor PDPC (regulator operasional) mbangun kapasitas penegakane, lan ing wiwitan 2026 PDPC wis wiwit ngetokake denda administratif ing tingkat sing bermakna — kalebu tumrap platform asing sing ngolah data pengguna Thailand saka luar negeri. Kanggo saben publisher, pengiklan, utawa platform sing ngolah data pribadi individu ing Thailand — ora preduli dununge ing Thailand utawa ngladeni pasar Thailand saka luar negeri — 2026 yaiku taun nalika PDPA mandheg dadi rezim sing relatif tenang lan dadi prioritas penegakan sing kredibel. Pandhuan iki nerangake PDPA kaya sing ana ing 2026, apa sing bener-bener dibutuhake dening persetujuan cookie, carane transfer lintas wates makarya sawise peraturan transfer 2025, lan kepiye tema penegakan awal PDPC katon ing praktik.
Struktur PDPA ing 2026
PDPA yaiku undhang-undhang perlindungan data utama ing Thailand, lan strukture mirip banget karo GDPR. Peraturan subordinat 2024 lan 2025 nambahake rincian operasional sing sadurunge ora ana ing undhang-undhang dasar.
Apa sing Ditambahake dening Peraturan Subordinat
Sajrone 2024 lan 2025, PDPC ngetokake peraturan subordinat sing nyakup: mekanisme transfer data lintas wates, penunjukan lan tugas Data Protection Officer, prosedur notifikasi pelanggaran data, persyaratan catatan pemrosesan, jadwal alur kerja hak subjek data, lan standar persetujuan khusus kanggo data pribadi sensitif. Peraturan-peraturan iki sacara kolektif ngubah PDPA saka kerangka umum dadi rezim operasional sing bisa dibandhingake karo GDPR babagan spesifisitas.
Sapa sing Diatur
PDPA ditrapake kanggo umume pengontrol lan pemroses data, kanthi jangkauan ekstrateritorial kanggo organisasi asing sing ngolah data pribadi individu ing Thailand gegayutan karo penawaran barang utawa jasa utawa pemantauan perilaku. Publisher asing sing ngladeni pengguna Thailand liwat situs sing dilokalisasi utawa inventaris programatik sing dituku marang IP Thailand biasane kalebu ing lingkup, lan PDPC wis nggunakake ketentuan ekstrateritorial ing layang penegakan awal.
Sanksi Administratif lan Pidana
PDPA nyedhiyakake denda administratif nganti THB 5 yuta saben pelanggaran, bebarengan karo hukuman pidana kanggo pelanggaran sing paling serius kalebu pemenjaraan direktur ing kahanan tartamtu. Wates denda administratif luwih murah tinimbang GDPR ing nilai absolut, nanging postur penegakan PDPC sing saya mundhak lan kasedhiyan tanggung jawab pidana nggawe risiko efektif dadi signifikan.
Apa sing Kalebu Data Pribadi Miturut PDPA
Definisi data pribadi PDPA nderek GDPR kanthi cekat. Data pribadi yaiku informasi sing gegayutan karo wong sing wis diidentifikasi utawa bisa diidentifikasi, lan PDPC kanthi konsisten nganggep cookie, pengidentifikasi periklanan, alamat IP, sidik jari perangkat, lan profil perilaku minangka data pribadi nalika bisa dikaitake karo individu kanthi langsung utawa liwat kombinasi karo informasi liyane.
Data Pribadi Sensitif
PDPA ngetokake kategori sensitif sing amba kalebu: asal ras utawa etnis, pendapat politik, keyakinan agama utawa filosofis, perilaku seksual, catatan kriminal, data kesehatan, disabilitas, keanggotaan serikat pekerja, data genetik, lan data biometrik. Pemrosesan data pribadi sensitif mbutuhake persetujuan eksplisit lan micu kewajiban pengontrol tambahan.
Mengapa Iki Penting kanggo Cookie
Cookie sing nyimpen pengidentifikasi rutin yaiku data pribadi biasa. Cookie sing menehi makan segmen audiens sing nyentuh dhaftar sensitif PDPA — minat kesehatan, afiliasi agama, kecenderungan politik — yaiku pemrosesan data pribadi sensitif lan mbutuhake persetujuan eksplisit tinimbang persetujuan periklanan umum. Penargetan audiens basa Thailand sing tumpang tindih karo dhaftar sensitif kudu diaudit kanthi khusus marang wates iki.
Persetujuan Cookie Miturut PDPA ing 2026
PDPA ngidini sawetara dasar hukum kanggo pemrosesan, nanging kanggo cookie lan teknologi sing padha sing ora bener-bener dibutuhake kanggo penyediaan layanan, panduan PDPC lan penegakan awal wis menyatu babagan persetujuan minangka garis dasar praktis.
Unsur-unsur Persetujuan sing Valid
Persetujuan miturut PDPA kudu:
- Diwenehake kanthi bebas — tanpa paksaan utawa penggabungan karo penyediaan layanan esensial
- Terinformasi — subjek data ngerti data apa sing diproses, dening sapa, lan kanggo tujuan apa
- Spesifik — terikat karo tujuan sing jelas diidentifikasi tinimbang persetujuan payung
- Ora ambigu — dinyatakake liwat tindakan afirmatif sing jelas, ora disimpulake saka ketidakaktifan
- Eksplisit ing kasus sing kalebu data pribadi sensitif, kanthi persetujuan sing kapisah lan spesifik kanggo pemrosesan sensitif
Kepiye Tampilan CMP sing Patuh
CMP sing dikonfigurasi kanggo lalu lintas Thailand ing 2026 kudu nampilake:
- Banner sing katon sadurunge cookie utawa pelacak non-esensial apa wae daktifake, ing basa Thailand (ภาษาไทย) kanthi gawan kanggo pangguna Thailand
- Keunggulan visual sing setara kanggo ยอมรับ (Nampa), ปฏิเสธ (Nolak), lan ตั้งค่า (Setelan) — PDPC wis ngritik desain banner sing ngendi tindakan Nolak kanthi visual dikurangi penekananipun
- Toggle granular saben tujuan: analitik, periklanan, personalisasi, transfer lintas wates, lan pemrosesan kategori sensitif apa wae
- Alur sing kapisah lan kanthi jelas dilabeli kanggo pemrosesan data pribadi sensitif, dikunci ing mburi tindakane dhewe
- Mekanisme sing persisten lan gampang ditemokake kanggo narik persetujuan sawise pilihan awal
- Pemberitahuan privasi basa Thailand kanthi pengungkapan lengkap babagan pengontrol, pemroses, tujuan, penerima, retensi, lan hak
Catatan Persetujuan
Pengontrol kudu njaga bukti persetujuan — sapa sing nyetujui, kapan, kanggo tujuan apa, lan liwat antarmuka apa. Catatan persetujuan sing ora cukup wis dikutip ing sawetara layang penegakan PDPC ing 2025, lan log karo stempel wektu sing bisa diekspor yaiku ekspektasi dhasar.
Transfer Lintas Wates Sawise Peraturan 2025
Peraturan transfer 2025 yaiku perkembangan paling penting anyar kanggo publisher asing, sing ngklarifikasi mekanisme sing kasedhiya kanggo aliran data lintas wates.
Mekanisme Transfer sing Diakoni
Peraturan 2025 nyedhiyakake papat jalur utama:
- Penetapan perlindungan sing cukup ing ngendi PDPC wis ngevaluasi negara tujuan minangka menehi perlindungan sing cukup
- Perlindungan sing sesuai liwat mekanisme kontrak kalebu klausul kontrak standar sing disetujui PDPC lan aturan korporat sing ngikat
- Pengecualian tartamtu kalebu persetujuan eksplisit saka subjek data kanthi pengungkapan sing cukup, keperluan kontrak, kepentingan vital, lan kepentingan publik sing substansial
- Skema sertifikasi sing diakoni dening PDPC kanggo sektor utawa kegiatan tartamtu
Dhaftar Kecukupan
PDPC wis ngetokake keputusan kecukupan kanggo sawetara yurisdiksi nganti awal 2026. Amerika Serikat ora ana ing dhaftar, sing tegese transfer menyang vendor ad-tech lan analitik berbasis AS mbutuhake klausul kontrak, sertifikasi, utawa pengecualian berbasis persetujuan.
Pendekatan Praktis 2026
Kanggo umume publisher asing, pendekatan sing makaryo yaiku nglakokake klausul kontrak standar sing disetujui PDPC karo pemroses internasional, mendokumentasikan mekanisme transfer ing pemberitahuan privasi basa Thailand, lan nglengkapi karo otorisasi berbasis persetujuan mung ing ngendi mekanisme standar ora cocog kanthi resik.
Hak Subjek Data Miturut PDPA
PDPA menehi sakumpulan hak sing nderek GDPR kanthi cekat:
- Hak akses menyang data pribadi sing dicekel dening pengontrol
- Hak rektifikasi babagan data sing ora akurat utawa ora lengkap
- Hak penghapusan
- Hak kanggo mbatasi pemrosesan
- Hak portabilitas data
- Hak kanggo mbantah pemrosesan
- Hak kanggo narik persetujuan
- Hak kanggo ora dadi subjek pengambilan keputusan otomatis sing ngasilake efek signifikan
- Hak kanggo ngajokake pengaduan menyang PDPC
Tenggat Wektu Respons
Pengontrol kudu nanggapi panjaluk subjek data sajrone 30 dina miturut kerangka umum, kanthi jendela sing luwih cendhek kanggo jenis panjaluk tartamtu. Kesiapan operasional kanggo jendela iki — kanthi piranti lan panduan basa Thailand — yaiku kesenjangan umum kanggo publisher asing sing terbiasa karo irama Eropa.
Persyaratan DPO
Peraturan subordinat 2024 ngklarifikasi kapan DPO dibutuhake. Pengontrol sing ngolah volume besar data pribadi, nindakake pemantauan sistematis subjek data, utawa ngolah data pribadi sensitif kanthi skala gedhe kudu nunjuk DPO. Pengontrol asing sing nggayuh ambang volume liwat pangguna Thailand kalebu ing lingkup. Informasi kontak DPO kudu bisa diakses ing pemberitahuan privasi basa Thailand.
Pinalti lan Postur Penegakan ing 2026
Aktivitas penegakan PDPC wis mundhak kanthi bermakna sajrone 2024 lan 2025, lan 2026 ana ing jalur sing padha.
Struktur Denda Administratif
Denda administratif diskala miturut jenis pelanggaran, kanthi maksimum THB 5 yuta saben pelanggaran kanggo pelanggaran sing paling serius. Pelanggaran rutin — banner persetujuan sing ora cukup, pemberitahuan privasi sing ilang, gagal nanggapi panjaluk subjek data — biasane narik denda ing kisaran ratusan ewu THB sing luwih murah nanging bisa mundhak kanthi cepat kanggo pelanggaran sing dibaleni utawa diperparah.
Jaring Pengaman Tanggung Jawab Pidana
Ora kaya GDPR, PDPA nyedhiyakake tanggung jawab pidana kanggo pelanggaran paling serius, kalebu pemenjaraan direktur ing kahanan tartamtu. Peraturan subordinat 2024 ngklarifikasi ruang lingkup tanggung jawab pidana, lan senajan durung ditrapake marang publisher asing ing 2026 nganti saiki, kemungkinan kasebut mbentuk analisis risiko kanggo organisasi apa wae sing ngolah data Thailand kanthi skala gedhe.
Tema Penegakan
Tindakan PDPC ing 2025 lan wiwitan 2026 kluster ing sekitar: banner persetujuan sing ambigu utawa ora ana, kurange pemberitahuan privasi basa Thailand, transfer lintas wates tanpa mekanisme sing valid miturut peraturan 2025, gagal nanggapi panjaluk subjek data sajrone jendela 30 dina, lan penunjukan DPO sing ilang kanggo pengontrol ing lingkup. Publisher asing wis dikutip ing kabeh limang kategori kasebut.
Dhaftar Periksa Audit kanggo Lalu Lintas Thailand ing 2026
- Banner CMP disajekake ing basa Thailand kanthi ยอมรับ, ปฏิเสธ, lan ตั้งค่า kanthi keunggulan visual sing setara
- Tujuan persetujuan wis granular lan ngisahake pemrosesan kategori sensitif ing mburi alur persetujuane dhewe
- Pemberitahuan privasi kasedhiya ing basa Thailand kanthi pengungkapan lengkap babagan pengontrol, pemroses, tujuan, retensi, hak, lan kontak DPO
- Transfer lintas wates ngandelake klausul kontrak standar sing disetujui PDPC, penetapan kecukupan, BCRs, sertifikasi, utawa pengecualian sing terdokumentasi
- Log persetujuan duwe stempel wektu, bisa diekspor, lan disimpen kanggo periode sing ditrapake
- Alur kerja panjaluk subjek data bisa nanggapi sajrone 30 dina saka awal nganti pungkasan, ing basa Thailand
- DPO ditunjuk ing ngendi dibutuhake lan informasi kontake diterbitake ing pemberitahuan privasi
- Dhaftar vendor wis ditinjau kanggo keperluan, kanthi vendor sing ora digunakake utawa berlebihan dicopot kanggo nyuda permukaan transfer lintas wates
- Segmen audiens kategori sensitif dikunci ing mburi persetujuan eksplisit sing diklumpukake kanthi kapisah
- Panduan notifikasi pelanggaran disetel kanggo tenggat wektu notifikasi pelanggaran PDPA
Prospek 2026
Rezim privasi Thailand wis mateng saka undhang-undhang dasar kanthi spesifisitas operasional sing winates dadi rezim kanthi peraturan subordinat, kapasitas penegakan, lan krenteg politik kanggo ditegakake kanthi bermakna. Peraturan transfer lintas wates 2025 nutup kesenjangan struktural sing paling penting, lan postur penegakan awal PDPC konsisten karo regulator serius sing lagi ing proses scaling up tinimbang sing bakal tetep meneng. Kanggo publisher sing wis nglakokake tumpukan persetujuan bermutu GDPR, kesenjangan menyang kepatuhan PDPA yaiku operasional tinimbang arsitektural: CMP lan pemberitahuan privasi basa Thailand, mekanisme transfer sing disetujui PDPC, irama respons 30 dina, penunjukan DPO ing ngendi dibutuhake, lan perhatian babagan dhaftar data sensitif PDPA sing luwih amba. Kesenjangan iki bisa ditutup sajrone sawetara minggu yen diprioritasake — lan Thailand yaiku pasar Asia Tenggara sing bermakna, mula prioritisasi biasane mbayar bali kanthi cepet. Publisher sing nganggep Thailand minangka pasar sing luwih entheng sajrone 2024 nemokake 2026 luwih akeh tuntutan, lan trennya jelas.