PDPA-ның 2026 жылғы құрылымы

PDPA — Таиланддың негізгі деректерді қорғау заңы, ал оның құрылымы GDPR-ға жақын. 2024 және 2025 жылғы бағынышты нормативтік актілер бұрын негізгі заңда жоқ болған операциялық мәліметтерді қосты.

Бағынышты нормативтік актілер не қосты

2024 және 2025 жылдар бойы PDPC мыналарды қамтитын бағынышты нормативтік актілерді шығарды: шекараларалық деректерді беру механизмдері, деректерді қорғау жөніндегі офицерлерді тағайындау және олардың міндеттері, деректер бұзылуы туралы хабарлау рәсімдері, өңдеу жазбаларына қойылатын талаптар, деректер субъектісі құқықтарының жұмыс процесі уақыт кестелері, және сезімтал дербес деректерге арналған нақты келісім стандарттары. Бұл нормативтік актілер ұжымдасқан түрде PDPA-ны жалпы шеңберден GDPR-мен салыстыруға болатын операциялық режимге айналдырды.

Кімдер реттеуге жатады

PDPA деректер бақылаушылары мен өңдеушілерінің көпшілігіне қолданылады және тауарлар немесе қызметтер ұсынумен немесе мінез-құлықты бақылаумен байланысты Таиландтағы жеке тұлғалардың дербес деректерін өңдейтін шетелдік ұйымдарға экстерриториялық қолданысы бар. Жергілікті сайттар немесе тайланд IP-лерімен сатып алынған бағдарламалы қорлар арқылы тайландтық пайдаланушыларға қызмет көрсететін шетелдік баспагерлер әдетте қолдану аясына кіреді, ал PDPC ерте орындау хаттарында экстерриториялық ережені пайдаланды.

Әкімшілік және қылмыстық санкциялар

PDPA бұзушылық үшін 5 миллион THB дейін әкімшілік айыппұлды, сондай-ақ нақты жағдайларда директорларды түрмеге қамауды қоса алғанда ең ауыр бұзушылықтар үшін қылмыстық жазаны ескереді. Әкімшілік айыппұлдың шегі GDPR-ға қарағанда абсолютті мәнде төмен, бірақ PDPC-тің күшейіп бара жатқан орындау ұстанымы және қылмыстық жауапкершіліктің мүмкіндігі нақты тәуекелді маңызды етеді.

PDPA бойынша дербес деректерге не жатады

PDPA-ның дербес деректер анықтамасы GDPR-ға тығыз сәйкес келеді. Дербес деректер — анықталған немесе анықталатын тұлғаға қатысты ақпарат, ал PDPC cookie-лерді, жарнамалық идентификаторларды, IP мекенжайларын, құрылғы саусақ іздерін және мінез-құлық профильдерін, олар тікелей немесе басқа ақпаратпен үйлестіру арқылы жеке тұлғамен байланыстырылуы мүмкін болған кезде, дербес деректер ретінде дәйекті түрде қарастырды.

Сезімтал дербес деректер

PDPA мыналарды қамтитын кең сезімтал санатты белгілейді: нәсілдік немесе этникалық шығу тегі, саяси пікір, діни немесе философиялық сенім, жыныстық мінез-құлық, қылмыстық жазба, денсаулық туралы деректер, мүгедектік, кәсіподаққа мүшелік, генетикалық деректер және биометриялық деректер. Сезімтал дербес деректерді өңдеу ашық келісімді талап етеді және бақылаушыға қосымша міндеттемелерді туындатады.

Бұл cookie-лер үшін неліктен маңызды

Жай идентификаторды сақтайтын cookie — қарапайым дербес деректер. PDPA сезімтал тізіміне жататын аудитория сегментін — денсаулыққа деген қызығушылықтар, діни тиесілілік, саяси бейімділіктер — қоректендіретін cookie сезімтал дербес деректерді өңдеу болып табылады және жалпы жарнамалық келісімнің орнына ашық келісімді талап етеді. Сезімтал тізіммен сәйкес келетін тайланд тілдес аудитория бағыттауы осы шекарамен нақты аудитке жатуы тиіс.

2026 жылғы PDPA бойынша cookie келісімі

PDPA өңдеу үшін бірнеше заңды негізге рұқсат береді, бірақ қызмет көрсету үшін қатаң қажет емес cookie-лер мен ұқсас технологиялар үшін PDPC-тің нұсқаулары мен ерте орындауы практикалық базалық стандарт ретінде келісімде біріктірілді.

Жарамды келісімнің элементтері

PDPA бойынша келісім мынадай болуы тиіс:

• Еркін берілген — мәжбүрлеусіз немесе маңызды қызметтер көрсетумен байланыстырылмаған
• Хабардар ету негізінде берілген — деректер субъектісі қандай деректердің, кімнің және қандай мақсатта өңделетінін түсінеді
• Нақты — жалпы келісімнің орнына нақты анықталған мақсаттарға байланысты
• Ерекше — белсенді нақты әрекет арқылы берілген, белсенді еместіктен шығарылмаған
• Ашық сезімтал дербес деректерді қамтитын жағдайларда — сезімтал өңдеу үшін бөлек және нақты келісіммен

Үйлесімді CMP қалай көрінеді

2026 жылы тайланд трафигіне арналған CMP мыналарды ұсынуы тиіс:

• Тайландтық пайдаланушылар үшін әдепкі бойынша тайланд тілінде (ภาษาไทย) маңызды емес кез келген cookie немесе трекер іске қосылғанға дейін көрінетін баннер
• ยอมรับ (Қабылдау), ปฏิเสธ (Бас тарту) және ตั้งค่า (Параметрлер) үшін тең визуалды айқындылық — PDPC бас тарту әрекеті визуалды түрде азайтылған баннер дизайндарын сынға алды
• Мақсатқа байланысты егжей-тегжейлі ауыстырғыштар: аналитика, жарнама, жекелендіру, шекараларалық беру және кез келген сезімтал санаттағы өңдеу
• Сезімтал дербес деректерді өңдеуге арналған бөлек, нақты белгіленген ағын — өзінің әрекетімен бекітілген
• Бастапқы таңдаудан кейін келісімді кері қайтарып алуға арналған тұрақты, оңай табылатын механизм
• Бақылаушы, өңдеушілер, мақсаттар, алушылар, сақтау және құқықтар туралы толық ақпарат ашылатын тайланд тіліндегі құпиялылық туралы хабарлама

Келісім жазбалары

Бақылаушылар келісімнің дәлелдерін — кім, қашан, қандай мақсатқа және қандай интерфейс арқылы келісімін бергенін — сақтауға тиіс. Жеткіліксіз келісім жазбалары 2025 жылы PDPC-тің бірнеше орындау хаттарында аталды, ал экспортталатын уақыт таңбасы бар журналдар — базалық күтіліс.

2025 жылғы ережелерден кейін шекараларалық берулер

2025 жылғы беру ережелері шетелдік баспагерлер үшін ең маңызды жақын арадағы жаңалық болды, шекараларалық деректер ағымдары үшін қолжетімді механизмдерді нақтылады.

Танылған беру механизмдері

2025 жылғы ережелер төрт негізгі жол ұсынады:

• Тиісті қорғаным белгілеу — PDPC баратын елдің тиісті қорғанымды қамтамасыз ететінін бағалаған жерде
• Тиісті кепілдіктер — PDPC мақұлдаған стандартты шарттық ережелер мен міндетті корпоративтік ережелерді қоса алғанда, шарттық механизмдер арқылы
• Нақты ерекшеліктер — тиісті ашып жариялаумен деректер субъектісінің ашық келісімін, шарт қажеттілігін, өмірлік маңызды мүдделерді және айтарлықтай мемлекеттік мүдделерді қамтиды
• Сертификаттау схемалары — PDPC нақты салалар немесе қызметтер үшін мойындаған

Жеткіліктілік тізімі

PDPC 2026 жылдың басына дейін бірнеше юрисдикция үшін жеткіліктілік шешімдерін шығарды. Америка Құрама Штаттары тізімде жоқ, яғни АҚШ-та орналасқан жарнамалық-технологиялық және аналитикалық жеткізушілерге берулер үшін шарттық ережелер, сертификаттау немесе келісімге негізделген ерекшелік қажет.

Практикалық 2026 жылғы тәсіл

Шетелдік баспагерлердің көпшілігі үшін жұмыс тәсілі — халықаралық өңдеушілермен PDPC мақұлдаған стандартты шарттық ережелерді орындау, тайланд тіліндегі құпиялылық хабарламасында беру механизмін құжаттау және стандартты механизм нақты сәйкес келмеген жерде ғана келісімге негізделген авторизациямен толықтыру.

PDPA бойынша деректер субъектісінің құқықтары

PDPA GDPR-ға тығыз сәйкес келетін құқықтар жиынтығын береді:

• Бақылаушы сақтайтын дербес деректерге қол жеткізу құқығы
• Дұрыс емес немесе толық емес деректерді түзету құқығы
• Жою құқығы
• Өңдеуді шектеу құқығы
• Деректердің тасымалдануы құқығы
• Өңдеуге қарсылық білдіру құқығы
• Келісімді кері қайтарып алу құқығы
• Айтарлықтай салдарлар туындататын автоматтандырылған шешім қабылдаудың субъектісі болмау құқығы
• PDPC-ке шағым беру құқығы

Жауап беру мерзімдері

Бақылаушылар жалпы шеңбер бойынша деректер субъектісінің өтінімдеріне 30 күн ішінде жауап беруге тиіс, белгілі бір өтінім түрлері үшін қысқа мерзімдермен. Бұл мерзімге операциялық дайындық — тайланд тіліндегі құралдармен және нұсқаулықтармен — еуропалық ырғаққа үйренген шетелдік баспагерлер үшін жалпы олқылық.

DPO талабы

2024 жылғы бағынышты нормативтік акт DPO қашан қажет екенін нақтылады. Дербес деректердің үлкен көлемін өңдейтін, деректер субъектілерін жүйелі бақылайтын немесе ауқымды сезімтал дербес деректерді өңдейтін бақылаушылар DPO тағайындауы тиіс. Тайландтық пайдаланушылар арқылы көлем шегіне жеткен шетелдік бақылаушылар қолдану аясына кіреді. DPO байланыс ақпараты тайланд тіліндегі құпиялылық хабарламасында қолжетімді болуы тиіс.

2026 жылғы санкциялар мен орындау ұстанымы

PDPC-тің орындау қызметі 2024 және 2025 жылдар бойы мағыналы түрде жандана түсті, ал 2026 жыл ұқсас траекторияда.

Әкімшілік айыппұл құрылымы

Әкімшілік айыппұлдар бұзушылық түріне қарай шкаланы — ең ауыр бұзушылықтар үшін бұзушылық үшін ең көбі 5 миллион THB. Жай бұзушылықтар — жеткіліксіз келісім баннерлері, жоқ құпиялылық хабарламалары, деректер субъектісінің өтінімдеріне жауап беруден бас тарту — әдетте төменгі жүздеген мың THB ауқымындағы айыппұлдарды тарттырады, бірақ қайталама немесе ауырлатылған бұзушылықтар үшін тез арта алады.

Қылмыстық жауапкершіліктің қауіпсіздік торы

GDPR-дан айырмашылығы, PDPA ең ауыр бұзушылықтар үшін қылмыстық жауапкершілікті ескереді, оның ішінде нақты жағдайларда директорларды түрмеге қамауды. 2024 жылғы бағынышты нормативтік акт қылмыстық жауапкершіліктің ауқымын нақтылады, ал 2026 жылға дейін шетелдік баспагерлерге қолданылмаса да, бұл мүмкіндік тайланд деректерін ауқымды өңдейтін кез келген ұйымның тәуекел талдауын қалыптастырады.

Орындау тақырыптары

PDPC-тің 2025 және 2026 жылдың басындағы іс-шаралары мыналардың айналасына топтасады: бұлыңғыр немесе жоқ келісім баннерлері, тайланд тіліндегі құпиялылық хабарламаларының жоқтығы, 2025 жылғы ережелер бойынша жарамды механизмсіз шекараларалық берулер, деректер субъектісінің өтінімдеріне 30 күндік терезе ішінде жауап беруден бас тарту және қолдану аясындағы бақылаушылар үшін DPO тағайындаудың жоқтығы. Шетелдік баспагерлер бес санаттың барлығы бойынша аталды.

2026 жылы тайланд трафигіне арналған аудит бақылаушы парағы

• CMP баннері тайланд тілінде ยอมรับ, ปฏิเสธ және ตั้งค่า тең визуалды айқындылықпен ұсынылады
• Келісім мақсаттары егжей-тегжейлі және сезімтал санаттағы өңдеу өзінің келісім ағынымен бөлінген
• Құпиялылық хабарламасы бақылаушы, өңдеушілер, мақсаттар, сақтау, құқықтар және DPO байланысы туралы толық ақпаратпен тайланд тілінде қолжетімді
• Шекараларалық берулер PDPC мақұлдаған стандартты шарттық ережелерге, жеткіліктілік белгілеуге, BCRs-ке, сертификаттауға немесе құжатталған ерекшелікке сүйенеді
• Келісім журналдарында уақыт таңбасы бар, экспортталуы мүмкін және қолданылатын кезең үшін сақталған
• Деректер субъектісінің өтінімі жұмыс процесі тайланд тілінде бастан аяқ 30 күн ішінде жауап бере алады
• DPO қажет болған жерде тағайындалған және байланыс ақпараты құпиялылық хабарламасында жарияланған
• Жеткізушілер тізімі қажеттілік тұрғысынан қаралды, шекараларалық беру бетін азайту үшін пайдаланылмаған немесе артық жеткізушілер алынып тасталды
• Сезімтал санаттағы аудитория сегменттері бөлек жиналған ашық келісімнің артында бекітілген
• Бұзушылық туралы хабарлау нұсқаулығы PDPA-ның бұзушылық туралы хабарлау мерзімдеріне реттелген

2026 жылғы болашақ

Таиланддың құпиялылық режимі шектеулі операциялық ерекшелікке ие негізгі заңнан бағынышты нормативтік актілері, орындау әлеуеті және мағыналы орындауды жүзеге асыруға саяси ерік-жігері бар режимге жетілді. 2025 жылғы шекараларалық беру ережелері ең маңызды құрылымдық алшақтықты жапты, ал PDPC-тің ерте орындау ұстанымы тыныш болудан гөрі өрлеп жатқан байыпты реттеушіге сәйкес. GDPR деңгейіндегі келісім жасаушы жиынтығын іске қосып жатқан баспагерлер үшін PDPA сәйкестігіне алшақтық архитектуралық емес, операциялық: тайланд тіліндегі CMP және құпиялылық хабарламасы, PDPC мақұлдаған беру механизмдері, 30 күндік жауап беру ырғағы, қажет болған жерде DPO тағайындау, PDPA-ның кеңірек сезімтал деректер тізіміне мұқияттылық. Алшақтық басымдылық берілсе бірнеше аптада жабылуы мүмкін — ал Таиланд Оңтүстік-Шығыс Азияның маңызды нарығы болғандықтан, басымдылық беру әдетте тез ақталады. 2024 жыл бойы Таиландты неғұрлым жеңіл нарық ретінде қараған баспагерлер 2026 жылды мағыналы деңгейде талапшыл деп тауып жатыр, ал бұл үрдіс анық.