PDPA struktūra 2026 m.

PDPA yra pagrindinis duomenų apsaugos įstatymas Tailande, o jo struktūra labai panaši į GDPR. 2024 m. ir 2025 m. pavaldūs reglamentai pridėjo operacinių detalių, kurių anksčiau trūko pagrindiniame įstatyme.

Ką pridėjo pavaldūs reglamentai

Per 2024 m. ir 2025 m. PDPC išleido pavaldžius reglamentus, apimančius: tarpvalstybinių duomenų perdavimo mechanizmus, duomenų apsaugos pareigūnų (DPO) paskyrimą ir pareigas, duomenų pažeidimų pranešimo procedūras, apdorojimo įrašų reikalavimus, duomenų subjektų teisių darbo eigos terminus ir konkrečius sutikimo standartus jautriems asmens duomenims. Šie reglamentai kolektyviai pakeitė PDPA iš bendrojo pagrindo į operacinę sistemą, palyginamą su GDPR pagal specifiškumą.

Kam taikomas reglamentavimas

PDPA taikomas daugumai duomenų valdytojų ir tvarkytojų, su ekstrateritorine aprėptimi užsienio organizacijoms, apdorojančioms Tailando gyventojų asmens duomenis ryšium su prekių ar paslaugų siūlymu arba elgesio stebėjimu. Užsienio leidėjai, aptarnaujantys Tailando vartotojus per lokalizuotas svetaines arba programinio pirkimo inventorių, įsigytą prieš Tailando IP, paprastai patenka į aprėptį, o PDPC ankstyvuose vykdymo laiškuose pasitelkė ekstrateritorialinę nuostatą.

Administracinės ir baudžiamosios sankcijos

PDPA numato administracines baudas iki 5 mln. THB už pažeidimą, kartu su baudžiamosiomis bausmėmis už rimčiausius pažeidimus, įskaitant direktorių įkalinimą konkrečiomis aplinkybėmis. Administracinės baudos lubos yra mažesnės nei GDPR absoliučia verte, tačiau auganti PDPC vykdymo laikysena ir baudžiamosios atsakomybės galimybė daro faktinę riziką reikšmingą.

Kas laikoma asmens duomenimis pagal PDPA

PDPA asmens duomenų apibrėžimas glaudžiai seka GDPR. Asmens duomenys — tai informacija, susijusi su nustatytu arba nustatytinu asmeniu, o PDPC nuosekliai traktavo slapukus, reklamos identifikatorius, IP adresus, įrenginių pirštų atspaudus ir elgsenos profilius kaip asmens duomenis, kai juos galima susieti su asmeniu tiesiogiai arba derinant su kita informacija.

Jautrūs asmens duomenys

PDPA nustato plačią jautrią kategoriją, apimančią: rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus, seksualinį elgesį, kriminalinę istoriją, sveikatos duomenis, negalią, narystę profesinėse sąjungose, genetinius duomenis ir biometrinius duomenis. Jautrių asmens duomenų apdorojimas reikalauja aiškaus sutikimo ir sukelia papildomas valdytojo pareigas.

Kodėl tai svarbu slapukams

Slapukas, saugantis įprastą identifikatorių, yra paprastieji asmens duomenys. Slapukas, maitinantis auditorijos segmentą, liečiantį PDPA jautrų sąrašą — sveikatos interesai, religinė priklausomybė, politiniai polinkiai — yra jautrių asmens duomenų apdorojimas ir reikalauja aiškaus sutikimo, o ne bendro reklamos sutikimo. Tailandų kalbos auditorijos taikymas, sutampantis su jautriuoju sąrašu, turėtų būti konkrečiai audituojamas pagal šią ribą.

Slapukų sutikimas pagal PDPA 2026 m.

PDPA leidžia kelias teisėtas apdorojimo bazes, tačiau slapukams ir panašioms technologijoms, kurios nėra griežtai būtinos paslaugų teikimui, PDPC gairės ir ankstyvasis vykdymas suvienijo sutikimą kaip praktinę bazinę liniją.

Galiojančio sutikimo elementai

Sutikimas pagal PDPA turi būti:

• Laisvai duotas — be prievartos ar susiejimo su esminių paslaugų teikimu
• Informuotas — duomenų subjektas supranta, kokie duomenys apdorojami, kieno ir kokiu tikslu
• Konkretus — susietas su aiškiai nustatytais tikslais, o ne bendruoju sutikimu
• Nedviprasmiškas — išreikštas aiškiu teigiamu veiksmu, o ne išvesdintas iš neveiklumo
• Aiškus jautrių asmens duomenų atvejais — su atskiru ir konkrečiu sutikimu jautriam apdorojimui

Kaip atrodo suderinta CMP

CMP, sukonfigūruota Tailando srautui 2026 m., turėtų pateikti:

• Matomą juostą prieš aktyvuojant bet kokį nebūtiną slapuką ar sekimo priemonę, Tailando vartotojams pagal nutylėjimą tailandų kalba (ภาษาไทย)
• Vienodą vizualinį ryškumą ยอมรับ (Priimti), ปฏิเสธ (Atmesti) ir ตั้งค่า (Nustatymai) — PDPC kritikavo juostų dizainus, kuriuose Atmetimo veiksmas vizualiai sumažinamas
• Smulkius jungiklius pagal tikslą: analitika, reklama, personalizavimas, tarpvalstybinis perdavimas ir bet koks jautrios kategorijos apdorojimas
• Atskirą, aiškiai pažymėtą srautą jautrių asmens duomenų apdorojimui, užrakintą už savo veiksmo
• Nuolatinį, lengvai randamą mechanizmą sutikimui atšaukti po pradinio pasirinkimo
• Privatumo pranešimą tailandų kalba su visišku valdytojo, tvarkytojų, tikslų, gavėjų, saugojimo ir teisių atskleidimu

Sutikimų įrašai

Valdytojai turi išlaikyti sutikimo įrodymus — kas sutiko, kada, kokiam tikslui ir per kokią sąsają. Nepakankamos sutikimų įrašai buvo minimi keliuose 2025 m. PDPC vykdymo laiškuose, o eksportuojami žurnalai su laiko žymomis yra bazinis lūkestis.

Tarpvalstybiniai perdavimai po 2025 m. reglamentų

2025 m. perdavimo reglamentai buvo svarbiausias neseniai įvykęs pokytis užsienio leidėjams, išaiškinęs tarpvalstybinių duomenų srautų galimus mechanizmus.

Pripažinti perdavimo mechanizmai

2025 m. reglamentai numato keturis pagrindinius kelius:

• Tinkamos apsaugos paskyrimas, kur PDPC įvertino paskirties šalį kaip užtikrinančią tinkamą apsaugą
• Tinkamos apsaugos priemonės per sutartinius mechanizmus, įskaitant PDPC patvirtintas standartines sutarčių sąlygas ir privalomas įmonių taisykles
• Konkrečios išimtys, įskaitant aiškų duomenų subjekto sutikimą su pakankamu atskleidimu, sutarties būtinumą, gyvybinius interesus ir reikšmingą visuomenės interesą
• Sertifikavimo schemos, pripažintos PDPC konkretiems sektoriams ar veikloms

Tinkamumo sąrašas

PDPC iki 2026 m. pradžios išleido tinkamumo sprendimus kelioms jurisdikcijoms. Jungtinės Amerikos Valstijos nėra sąraše, o tai reiškia, kad perdavimai JAV įsisteigusiems reklamos technologijų ir analitikos tiekėjams reikalauja sutartinių sąlygų, sertifikavimo arba sutikimu grindžiamos išimties.

Praktinis 2026 m. metodas

Daugumai užsienio leidėjų darbinis metodas yra vykdyti PDPC patvirtintas standartines sutarčių sąlygas su tarptautiniais tvarkytojais, dokumentuoti perdavimo mechanizmą tailandų kalbos privatumo pranešime ir papildyti sutikimu grindžiamu įgaliojimu tik ten, kur standartinis mechanizmas netelpa aiškiai.

Duomenų subjektų teisės pagal PDPA

PDPA suteikia teisių rinkinį, glaudžiai sekantį GDPR:

• Teisė susipažinti su valdytojo turimais asmens duomenimis
• Teisė ištaisyti netikslius ar neišsamius duomenis
• Teisė ištrinti
• Teisė apriboti apdorojimą
• Teisė į duomenų perkeliamumą
• Teisė prieštarauti apdorojimui
• Teisė atšaukti sutikimą
• Teisė nebūti automatizuoto sprendimų priėmimo, sukeliančio reikšmingų pasekmių, subjektu
• Teisė pateikti skundą PDPC

Atsakymo terminai

Valdytojai turi atsakyti į duomenų subjektų prašymus per 30 dienų pagal bendrą sistemą, trumpesniais terminais konkretiems prašymų tipams. Operacinis pasirengimas šiam terminui — su tailandų kalbos įrankiais ir veiklos vadovais — yra dažnas trūkumas užsienio leidėjams, pritaikytiems prie Europos ritmo.

DPO reikalavimas

2024 m. pavaldus reglamentas išaiškino, kada reikalingas DPO. Valdytojai, apdorojantys didelius asmens duomenų kiekius, vykdantys sistemingą duomenų subjektų stebėjimą arba dideliu mastu apdorojantys jautrius asmens duomenis, turi paskirti DPO. Užsienio valdytojai, pasiekiantys kiekio ribą per Tailando vartotojus, patenka į aprėptį. DPO kontaktinė informacija turi būti prieinama tailandų kalbos privatumo pranešime.

Sankcijos ir vykdymo laikysena 2026 m.

PDPC vykdymo veikla prasmingai išaugo per 2024 m. ir 2025 m., ir 2026 m. yra panašioje trajektorijoje.

Administracinių baudų struktūra

Administracinės baudos keičiasi pagal pažeidimo tipą, su maksimaliu 5 mln. THB už pažeidimą rimčiausiems pažeidimams. Įprasti pažeidimai — neadekvačios sutikimų juostos, trūkstami privatumo pranešimai, nesugebėjimas atsakyti į duomenų subjektų prašymus — paprastai pritraukia baudas mažesnio šimtų tūkstančių THB diapazono, tačiau gali greitai augti pakartotiniams ar sunkinamiems pažeidimams.

Baudžiamosios atsakomybės apsauginis tinklas

Skirtingai nei GDPR, PDPA numato baudžiamąją atsakomybę už rimčiausius pažeidimus, įskaitant direktorių įkalinimą konkrečiomis aplinkybėmis. 2024 m. pavaldus reglamentas išaiškino baudžiamosios atsakomybės apimtį, ir nors ji nebuvo taikyta užsienio leidėjams 2026 m. iki šiol, galimybė formuoja rizikos analizę bet kuriai organizacijai, dideliu mastu apdorojančiai Tailando duomenis.

Vykdymo temos

PDPC 2025 m. ir 2026 m. pradžios veiksmai telkiasi aplink: dviprasmiškus ar nebuvusias sutikimų juostas, tailandų kalbos privatumo pranešimų trūkumą, tarpvalstybinius perdavimus be galiojančio mechanizmo pagal 2025 m. reglamentus, nesugebėjimą atsakyti į duomenų subjektų prašymus per 30 dienų langą ir trūkstamus DPO paskyrimus aprėpties valdytojams. Užsienio leidėjai buvo cituojami visose penkiose kategorijose.

Audito kontrolinis sąrašas Tailando srautui 2026 m.

• CMP juosta pateikiama tailandų kalba su ยอมรับ, ปฏิเสธ ir ตั้งค่า vienodo vizualinio ryškumo
• Sutikimo tikslai yra smulkūs ir atskiria jautrios kategorijos apdorojimą už savo sutikimo srauto
• Privatumo pranešimas prieinamas tailandų kalba su visišku valdytojo, tvarkytojų, tikslų, saugojimo, teisių ir DPO kontaktų atskleidimu
• Tarpvalstybiniai perdavimai remiasi PDPC patvirtintomis standartinėmis sutarčių sąlygomis, tinkamumo paskyrimu, BCRs, sertifikavimu arba dokumentuota išimtimi
• Sutikimų žurnalai turi laiko žymas, yra eksportuojami ir saugomi taikomą laikotarpį
• Duomenų subjektų prašymų darbo eiga gali atsakyti per 30 dienų nuo pradžios iki pabaigos, tailandų kalba
• DPO paskirtas, kur reikalaujama, ir jo kontaktinė informacija paskelbta privatumo pranešime
• Tiekėjų sąrašas peržiūrėtas dėl būtinumo, pašalinti nenaudojami ar pertekliniai tiekėjai, siekiant sumažinti tarpvalstybinių perdavimų paviršių
• Jautrios kategorijos auditorijų segmentai užrakinti už atskirai surinkto aiškaus sutikimo
• Pažeidimų pranešimų veiksmų planas suderintas su PDPA pažeidimų pranešimų terminais

2026 m. perspektyvos

Tailando privatumo sistema subrendė nuo pagrindinio įstatymo su ribotu operaciniu specifiškumu į sistemą su pavaldžiais reglamentais, vykdymo pajėgumais ir politine valia prasmingai vykdyti. 2025 m. tarpvalstybinių perdavimų reglamentai uždarė svarbiausią struktūrinę spragą, o PDPC ankstyvoji vykdymo laikysena atitinka rimtą reguliatorių, esantį didinimo viduryje, o ne tą, kuris liks tylus. Leidėjams, jau veikiantiems GDPR lygio sutikimų rinkinį, atotrūkis iki PDPA atitikties yra operacinis, o ne architektūrinis: tailandų kalbos CMP ir privatumo pranešimas, PDPC patvirtinti perdavimo mechanizmai, 30 dienų atsakymo ritmas, DPO paskyrimas ten, kur reikalaujama, ir dėmesys platesniam PDPA jautrių duomenų sąrašui. Atotrūkis gali būti uždarytas per kelias savaites, jei suteikiamas prioritetas — o Tailandas yra reikšminga Pietryčių Azijos rinka, todėl prioriteto suteikimas paprastai greitai atsipirks. Leidėjai, kurie 2024 m. Tailandą traktavo kaip lengvesnę rinką, 2026 m. randa prasmingai didesnius reikalavimus, o tendencija aiški.