თაილანდის PDPA 2026 წელს: გამომცემლებისა და რეკლამოდავლეების სახელმძღვანელო Cookie-თანხმობაზე, სასაზღვრო გადაცემებზე და PDPC-ს სანქციებზე
თაილანდის პერსონალური მონაცემების დაცვის კანონი B.E. 2562 (2019) — რომელიც ცნობილია როგორც PDPA — 2022 წლის ივნისში სრულად ამოქმედდა მრავალი გადავადების შემდეგ და შემდგომი სამი წლის უმეტეს ნაწილს მარეგულირებელი შესაძლებლობების განვითარების, დამხმარე რეგლამენტების შემოღებისა და პერსონალური მონაცემების დაცვის კომიტეტის (PDPC) მიერ საჯაროდ მოთმინებიანი სანქციების პოზიციად წოდებულ ეტაპზე გაატარა. ეს პოზიცია ახლა გადამჭრელად დასრულდა. PDPC-ის 2024 და 2025 წლების დამხმარე რეგლამენტებმა შეავსეს ის კონკრეტული დეტალები, რომლებიც სამართლის საბაზო ტექსტმა ღიად დატოვა, PDPC-ის სამდივნომ (ოპერაციული მარეგულირებელი) ჩამოაყალიბა სანქციების შესაძლებლობა და 2026 წლის დასაწყისისთვის PDPC-მ მნიშვნელოვან დონეზე ადმინისტრაციული ჯარიმების გამოყენება დაიწყო — მათ შორის საზღვარგარეთიდან თაილანდელ მომხმარებელთა მონაცემებს დამამუშავებელი უცხოური პლათფორმების მიმართ. ნებისმიერი გამომცემლისთვის, რეკლამოდავლისთვის ან პლათფორმისთვის, რომელიც ამუშავებს თაილანდში მყოფი პირების პერსონალურ მონაცემებს — იქნება ეს თაილანდში დაფუძნებული თუ საზღვარგარეთიდან თაილანდის ბაზარზე მომსახური — 2026 წელი ის წელია, როდესაც PDPA შედარებით მშვიდ რეჟიმად ყოფნას ამთავრებს და სანდო სანქციების პრიორიტეტად იქცევა. ეს სახელმძღვანელო განიხილავს PDPA-ს 2026 წლის მდგომარეობით, რეალურად რას მოითხოვს cookie-თანხმობა, 2025 წლის გადაცემის რეგლამენტების შემდეგ როგორ მუშაობს სასაზღვრო გადაცემები და PDPC-ის ადრეული სანქციების თემები პრაქტიკაში.
PDPA-ს სტრუქტურა 2026 წელს
PDPA თაილანდში მონაცემთა დაცვის ძირითადი კანონია და მისი სტრუქტურა GDPR-ს ძალიან ჰგავს. 2024 და 2025 წლების დამხმარე რეგლამენტებმა დაამატეს ოპერაციული დეტალები, რომლებიც ადრე საბაზო კანონში აკლდა.
რა დაამატეს დამხმარე რეგლამენტებმა
2024 და 2025 წლების განმავლობაში PDPC-მ გამოსცა დამხმარე რეგლამენტები, რომლებიც მოიცავს: სასაზღვრო მონაცემთა გადაცემის მექანიზმებს, მონაცემთა დაცვის ოფიცრების დანიშვნასა და მოვალეობებს, მონაცემთა დარღვევების შეტყობინების პროცედურებს, დამუშავების ჩანაწერების მოთხოვნებს, მონაცემთა სუბიექტის უფლებების სამუშაო პროცესის ვადებს, და სენსიტიური პერსონალური მონაცემებისთვის სპეციფიური თანხმობის სტანდარტებს. ეს რეგლამენტები ერთობლივად გარდაქმნეს PDPA ზოგადი ჩარჩოდან ოპერაციულ რეჟიმად, რომელიც GDPR-ს სპეციფიკურობით შედარება.
ვინ ექვემდებარება რეგულაციას
PDPA ვრცელდება მონაცემთა კონტროლერთა და პროცესორთა უმეტეს ნაწილზე, ექსტრატერიტორიული გამოყენებით უცხოური ორგანიზაციების მიმართ, რომლებიც ამუშავებენ თაილანდში მყოფი პირების პერსონალურ მონაცემებს საქონლის ან მომსახურების შეთავაზებასთან ან ქცევის მონიტორინგთან დაკავშირებით. უცხოური გამომცემლები, რომლებიც ლოკალიზებული საიტებით ან თაილანდური IP-ების წინააღმდეგ შეძენილი პროგრამული ინვენტარით ემსახურებიან თაილანდელ მომხმარებლებს, ჩვეულებრივ შედიან გამოყენების ფარგლებში და PDPC-მ ექსტრატერიტორიული დებულება გამოიყენა ადრეულ სანქციების წერილებში.
ადმინისტრაციული და სისხლის სამართლის სანქციები
PDPA ითვალისწინებს ადმინისტრაციულ ჯარიმებს თითო დარღვევაზე 5 მილიონ THB-მდე, ასევე სისხლის სამართლის სანქციებს ყველაზე მძიმე დარღვევებისთვის, მათ შორის კონკრეტულ გარემოებებში დირექტორების პატიმრობას. ადმინისტრაციული ჯარიმის ჭერი GDPR-ზე დაბალია აბსოლუტური მაჩვენებლებით, თუმცა PDPC-ის მზარდი სანქციების პოზიცია და სისხლის სამართლის პასუხისმგებლობის შესაძლებლობა რეალურ რისკს მნიშვნელოვანს ხდის.
რა ითვლება პერსონალურ მონაცემად PDPA-ს მიხედვით
PDPA-ს პერსონალური მონაცემების განმარტება GDPR-ს მჭიდროდ მიჰყვება. პერსონალური მონაცემები არის ინფორმაცია, რომელიც ეხება განსაზღვრულ ან განსაზღვრებად პირს და PDPC-მ თანმიმდევრულად მიიჩნია cookie-ები, სარეკლამო იდენტიფიკატორები, IP მისამართები, მოწყობილობის თითის ანაბეჭდები და ქცევითი პროფილები პერსონალურ მონაცემებად, როდესაც შეიძლება პირთან დაკავშირება პირდაპირ ან სხვა ინფორმაციასთან კომბინაციით.
სენსიტიური პერსონალური მონაცემები
PDPA განსაზღვრავს სენსიტიური კატეგორიების ფართო სპექტრს, მათ შორის: რასობრივი ან ეთნიკური წარმოშობა, პოლიტიკური მოსაზრება, რელიგიური ან ფილოსოფიური რწმენა, სექსუალური ქცევა, სისხლის სამართლის ჩანაწერი, ჯანმრთელობის მონაცემები, შეზღუდული შესაძლებლობა, პროფკავშირის წევრობა, გენეტიკური მონაცემები და ბიომეტრიული მონაცემები. სენსიტიური პერსონალური მონაცემების დამუშავება მოითხოვს ექსპლიციტ თანხმობას და ააქტიურებს კონტროლერის დამატებით ვალდებულებებს.
რატომ არის ეს მნიშვნელოვანი Cookie-ებისთვის
Cookie, რომელიც ინახავს ჩვეულებრივ იდენტიფიკატორს, ჩვეულებრივი პერსონალური მონაცემია. Cookie, რომელიც კვებავს სამიზნე აუდიტორიის სეგმენტს, რომელიც PDPA-ს სენსიტიური სიის შეხებაშია — ჯანმრთელობის ინტერესები, რელიგიური კუთვნილება, პოლიტიკური მიდრეკილებები — სენსიტიური პერსონალური მონაცემების დამუშავებაა და საჭიროებს ექსპლიციტ თანხმობას ზოგადი სარეკლამო თანხმობის ნაცვლად. სენსიტიური სიასთან მოვარდნილი თაილანდური სამიზნე სეგმენტი სწორედ ამ ზღვართან მიმართებაში უნდა იყოს კონკრეტულად გადამოწმებული.
Cookie-თანხმობა PDPA-ს მიხედვით 2026 წელს
PDPA ითვალისწინებს დამუშავების მრავალ კანონიერ საფუძველს, თუმცა cookie-ებისა და მსგავსი ტექნოლოგიებისთვის, რომლებიც მომსახურების მიწოდებისთვის მკაცრად საჭირო არ არის, PDPC-ის სახელმძღვანელო მითითებები და ადრეული სანქციები თანხმობაზე, როგორც პრაქტიკულ საბაზო მოთხოვნაზე, შეჯამდა.
მოქმედი თანხმობის ელემენტები
PDPA-ს მიხედვით თანხმობა უნდა იყოს:
- თავისუფლად მიცემული — იძულების გარეშე ან სავალდებულო მომსახურების მიწოდებასთან შეჯამების გარეშე
- ინფორმირებული — მონაცემთა სუბიექტი ესმის, რა მონაცემები მუშავდება, ვის მიერ და რა მიზნით
- სპეციფიკური — მკაფიოდ განსაზღვრულ მიზნებს უკავშირდება და არა ქოლგის ქვეშ მოცულ თანხმობას
- ცალსახა — გამოხატული მკაფიო დამადასტურებელი ქმედებით და არა უმოქმედობიდან გამოცნობილი
- ექსპლიციტური სენსიტიური პერსონალური მონაცემების შემთხვევაში, სენსიტიური დამუშავებისთვის ცალკე და სპეციფიკური თანხმობით
შესაბამისი CMP-ის გარეგნობა
2026 წელს თაილანდური ტრაფიკისთვის კონფიგურირებული CMP უნდა წარმოაჩენდეს:
- ხილულ ბანერს ნებისმიერი არაუცილებელი cookie-ს ან ტრეკერის გამოყენებამდე, თაილანდელ მომხმარებლებისთვის ნაგულისხმევად თაილანდურ ენაზე (ภาษาไทย)
- ยอมรับ (მიღება), ปฏิเสธ (უარი) და ตั้งค่า (პარამეტრები) თანაბარ ვიზუალურ გამოჩენას — PDPC-მ გააკრიტიკა ბანერის დიზაინები, სადაც უარის ქმედება ვიზუალურად გაუფასურებულია
- დეტალური გადართველები მიზნის მიხედვით: ანალიტიკა, რეკლამა, პერსონალიზაცია, სასაზღვრო გადაცემა და ნებისმიერი სენსიტიური კატეგორიის დამუშავება
- ცალკე, მკაფიოდ მონიშნული სვლა სენსიტიური პერსონალური მონაცემების დამუშავებისთვის, საკუთარი ქმედების მიღმა ჩაკეტილი
- მუდმივი, ადვილად პოვნადი მექანიზმი პირველადი არჩევანის შემდეგ თანხმობის გასატყუებლად
- კონტროლერის, პროცესორების, მიზნების, მიმღებთა, შენახვისა და უფლებების სრულ გამჟღავნებასთან ერთად თაილანდურ ენაზე კონფიდენციალურობის შეტყობინება
თანხმობის ჩანაწერები
კონტროლერებმა უნდა შეინარჩუნონ თანხმობის მტკიცებულება — ვინ დათანხმდა, როდის, რა მიზნით და რომელი ინტერფეისის მეშვეობით. არასაკმარისი თანხმობის ჩანაწერები 2025 წელს PDPC-ის რამდენიმე სანქციების წერილში ციტირდა და ექსპორტირებადი დროის შტამპის მქონე ლოგები საბაზო მოლოდინია.
სასაზღვრო გადაცემები 2025 წლის რეგლამენტების შემდეგ
2025 წლის გადაცემის რეგლამენტები უცხოელი გამომცემლებისთვის ყველაზე მნიშვნელოვანი ბოლოდროინდელი განვითარება იყო, რომელმაც განმარტა სასაზღვრო მონაცემთა ნაკადებისთვის ხელმისაწვდომი მექანიზმები.
აღიარებული გადაცემის მექანიზმები
2025 წლის რეგლამენტები ოთხ ძირითად გზას იძლევა:
- სათანადო დაცვის დანიშვნა სადაც PDPC-მ შეაფასა დანიშნულების ქვეყანა სათანადო დაცვის მქონედ
- შესაბამისი დაცვის ზომები სახელშეკრულებო მექანიზმებით, მათ შორის PDPC-ს მიერ დამტკიცებული სტანდარტული სახელშეკრულებო პუნქტები და სავალდებულო კორპორატიული წესები
- კონკრეტული გამონაკლისები, მათ შორის მონაცემთა სუბიექტის ექსპლიციტი თანხმობა სათანადო გამჟღავნებით, ხელშეკრულების აუცილებლობა, სასიცოცხლო ინტერესი და მნიშვნელოვანი საზოგადოებრივი ინტერესი
- სერტიფიკაციის სქემები, რომლებსაც PDPC განსაზღვრული სექტორებისა ან საქმიანობებისთვის აღიარებს
სათანადოობის სია
PDPC-მ 2026 წლის დასაწყისამდე რამდენიმე იურისდიქციისთვის სათანადოობის გადაწყვეტილებები გამოსცა. შეერთებული შტატები სიაში არ არის, რაც ნიშნავს, რომ აშშ-ში დაფუძნებულ სარეკლამო-ტექნოლოგიურ და ანალიტიკური მომწოდებლებთან გადაცემები საჭიროებს სახელშეკრულებო პუნქტებს, სერტიფიკაციას ან თანხმობაზე დაფუძნებულ გამონაკლისს.
პრაქტიკული 2026 წლის მიდგომა
უცხოელ გამომცემელთა უმეტესობისთვის სამუშაო მიდგომა არის საერთაშორისო პროცესორებთან PDPC-ს მიერ დამტკიცებული სტანდარტული სახელშეკრულებო პუნქტების შესრულება, გადაცემის მექანიზმის დოკუმენტირება თაილანდური კონფიდენციალურობის შეტყობინებაში და თანხმობაზე დაფუძნებული ავტორიზაციით შევსება მხოლოდ იქ, სადაც სტანდარტული მექანიზმი სუფთად არ ჯდება.
მონაცემთა სუბიექტის უფლებები PDPA-ს მიხედვით
PDPA ანიჭებს GDPR-ს ახლოს მდგომ უფლებების ნაკრებს:
- კონტროლერის მიერ შენახულ პერსონალურ მონაცემებზე წვდომის უფლება
- არასწორი ან არასრული მონაცემების გასწორების უფლება
- წაშლის უფლება
- დამუშავების შეზღუდვის უფლება
- მონაცემთა გადატანადობის უფლება
- დამუშავებაზე გამოხატვის უფლება
- თანხმობის გაუქმების უფლება
- მნიშვნელოვანი ეფექტების გამომწვევი ავტომატური გადაწყვეტილების მიღების სუბიექტი არ გახდე — ასეთი უფლება
- PDPC-სთვის საჩივრის შეტანის უფლება
პასუხის ვადები
კონტროლერებმა ზოგადი ჩარჩოს ფარგლებში მონაცემთა სუბიექტის მოთხოვნებზე 30 დღის განმავლობაში უნდა უპასუხონ, კონკრეტული მოთხოვნის ტიპებისთვის უფრო მოკლე ვადებით. ამ ვადისთვის ოპერაციული მზადყოფნა — თაილანდური ინსტრუმენტებითა და სახელმძღვანელოებით — ევროპული ტემპისადმი ჩვეული უცხოელი გამომცემლებისთვის გავრცელებული ხარვეზია.
DPO მოთხოვნა
2024 წლის დამხმარე რეგლამენტმა განმარტა, როდის არის DPO სავალდებულო. კონტროლერებმა, რომლებიც ამუშავებენ პერსონალური მონაცემების დიდ მოცულობებს, ახორციელებენ მონაცემთა სუბიექტების სისტემატურ მონიტორინგს ან ფართო მასშტაბით ამუშავებენ სენსიტიურ პერსონალურ მონაცემებს, DPO უნდა დანიშნონ. თაილანდელი მომხმარებლების მეშვეობით მოცულობის ზღვარს მიღწეული უცხოელი კონტროლერები შედიან გამოყენების ფარგლებში. DPO-ს საკონტაქტო ინფორმაცია თაილანდური კონფიდენციალურობის შეტყობინებაში ხელმისაწვდომი უნდა იყოს.
სანქციები და სანქციების პოზიცია 2026 წელს
PDPC-ის სანქციების საქმიანობა 2024 და 2025 წლების განმავლობაში მნიშვნელოვნად გაიზარდა და 2026 მსგავს ტრაექტორიაზეა.
ადმინისტრაციული ჯარიმის სტრუქტურა
ადმინისტრაციული ჯარიმები დარღვევის ტიპის მიხედვით სკალირდება, ყველაზე მძიმე დარღვევებისთვის თითო დარღვევაზე მაქსიმუმ 5 მილიონ THB-ით. ჩვეულებრივი დარღვევები — არასათანადო თანხმობის ბანერები, კონფიდენციალურობის შეტყობინებების არარსებობა, მონაცემთა სუბიექტის მოთხოვნებზე პასუხის გაუცემა — ჩვეულებრივ ნაკლები THB-ის ასეულ ათასებს კრავს, თუმცა განმეორებადი ან გამძაფრებული დარღვევების შემთხვევაში სწრაფად შეიძლება გაიზარდოს.
სისხლის სამართლის პასუხისმგებლობის უსაფრთხოების ქსელი
GDPR-ისგან განსხვავებით, PDPA ყველაზე მძიმე დარღვევებისთვის სისხლის სამართლის პასუხისმგებლობას ითვალისწინებს, მათ შორის კონკრეტულ გარემოებებში დირექტორების პატიმრობას. 2024 წლის დამხმარე რეგლამენტმა სისხლის სამართლის პასუხისმგებლობის ფარგლები განმარტა და მიუხედავად იმისა, რომ 2026 წლის მდგომარეობით უცხოელი გამომცემლების მიმართ არ გამოყენებულა, ეს შესაძლებლობა ნებისმიერი ორგანიზაციის, რომელიც ფართო მასშტაბით ამუშავებს თაილანდის მონაცემებს, რისკის ანალიზს განსაზღვრავს.
სანქციების თემები
PDPC-ის 2025 და 2026 წლის დასაწყისის ქმედებები ეხება: ბუნდოვან ან არარსებულ თანხმობის ბანერებს, თაილანდური კონფიდენციალურობის შეტყობინებების არარსებობას, 2025 წლის რეგლამენტებით განსაზღვრული მოქმედი მექანიზმის გარეშე სასაზღვრო გადაცემებს, 30-დღიანი ფარგლების ფარგლებში მონაცემთა სუბიექტის მოთხოვნებზე პასუხის გაუცემას, ასევე DPO-ს არარსებობას გამოყენების ფარგლებში მყოფი კონტროლერებისთვის. უცხოელი გამომცემლები ყველა ხუთ კატეგორიაში ციტირებულა.
2026 წლის თაილანდური ტრაფიკის აუდიტის სახელმძღვანელო
- CMP ბანერი თაილანდურ ენაზეა ยอมรับ, ปฏิเสธ და ตั้งค่า-ს თანაბარი ვიზუალური გამოჩენით
- თანხმობის მიზნები დეტალურია და სენსიტიური კატეგორიის დამუშავება საკუთარი თანხმობის სვლის მიღმეა გამოყოფილი
- კონფიდენციალურობის შეტყობინება თაილანდურ ენაზეა ხელმისაწვდომი კონტროლერის, პროცესორების, მიზნების, შენახვის, უფლებებისა და DPO-ს კონტაქტის სრული გამჟღავნებით
- სასაზღვრო გადაცემები ეყრდნობა PDPC-ს მიერ დამტკიცებულ სტანდარტულ სახელშეკრულებო პუნქტებს, სათანადოობის დანიშვნას, BCRs-ს, სერტიფიკაციას ან დოკუმენტირებულ გამონაკლისს
- თანხმობის ლოგები დროის შტამპიანია, ექსპორტირებადი და შენახულია გამოყენებადი პერიოდისთვის
- მონაცემთა სუბიექტის მოთხოვნის სამუშაო პროცესს შეუძლია 30 დღის განმავლობაში ბოლოდან ბოლომდე, თაილანდურ ენაზე, უპასუხოს
- DPO დანიშნულია სადაც საჭიროა და მისი საკონტაქტო ინფორმაცია კონფიდენციალურობის შეტყობინებაში გამოქვეყნებულია
- მომწოდებლების სია საჭიროებისთვის გადამოწმებულია, სასაზღვრო გადაცემის ზედაპირის შესამცირებლად გამოუყენებელი ან ზედმეტი მომწოდებლები ამოღებულია
- სენსიტიური კატეგორიის სამიზნე სეგმენტები ცალ-ცალკე მოგროვებული ექსპლიციტი თანხმობის მიღმაა ჩაკეტილი
- დარღვევის შეტყობინების სახელმძღვანელო PDPA-ს დარღვევის შეტყობინების ვადებთან შეთავსებულია
2026 წლის პერსპექტივა
თაილანდის კონფიდენციალურობის რეჟიმი შეზღუდული ოპერაციული სპეციფიკის მქონე საბაზო კანონიდან დამხმარე რეგლამენტებით, სანქციების შესაძლებლობებითა და მნიშვნელოვანი გამოყენებისთვის პოლიტიკური ნებით აღჭურვილ რეჟიმად მომწიფდა. 2025 წლის სასაზღვრო გადაცემის რეგლამენტებმა ყველაზე მნიშვნელოვანი სტრუქტურული ხარვეზი დახურეს და PDPC-ის ადრეული სანქციების პოზიცია თანხვედრაშია სკალირების პროცესსა და ჩუმად დარჩენის ნაცვლად სერიოზულ მარეგულირებელთან. გამომცემლებისთვის, რომლებიც GDPR-ის ხარისხის თანხმობის სტეკს უკვე მართავენ, PDPA-ს შესაბამისობაზე ხარვეზი არქიტექტურული კი არა, ოპერაციულია: თაილანდური CMP და კონფიდენციალურობის შეტყობინება, PDPC-ს მიერ დამტკიცებული გადაცემის მექანიზმები, 30-დღიანი პასუხის ტემპი, DPO-ს დანიშვნა სადაც საჭიროა, და PDPA-ს სენსიტიური მონაცემების გაფართოებული სიისადმი ყურადღება. ხარვეზი კვირების განმავლობაში შეიძლება დაიხუროს, თუ პრიორიტეტი მიენიჭება — და თაილანდი სამხრეთ-აღმოსავლეთ აზიის მნიშვნელოვანი ბაზარია, ამიტომ პრიორიტიზაცია ჩვეულებრივ სწრაფად გამართლდება. გამომცემლები, რომლებიც 2024 წლის განმავლობაში თაილანდს მსუბუქ ბაზრად განიხილავდნენ, 2026 წელს გაცილებით მომთხოვნ გარემოს პოულობენ და ტენდენცია გარკვეულია.