PDPA struktūra 2026. gadā

PDPA ir galvenais datu aizsardzības statūts Taizemē, un tā struktūra ir ļoti līdzīga GDPR. 2024. un 2025. gada pakārtotie noteikumi pievienoja darbības detaļas, kas iepriekš pamata likumā trūka.

Ko pakārtotie noteikumi pievienoja

2024. un 2025. gadā PDPC izdeva pakārtotos noteikumus, kas aptver: pārrobežu datu pārsūtīšanas mehānismus, Datu aizsardzības speciālistu iecelšanu un pienākumus, datu aizsardzības pārkāpumu paziņošanas procedūras, apstrādes uzskaites prasības, datu subjektu tiesību darbplūsmas termiņus un īpašus piekrišanas standartus sensitīviem personas datiem. Šie noteikumi kopumā pārveidoja PDPA no vispārīga regulējuma par darbības režīmu, kas ir salīdzināms ar GDPR pēc specifiskuma.

Uz ko attiecas regulējums

PDPA attiecas uz lielāko daļu datu pārziņu un apstrādātāju, ar eksteritoriālu darbību ārvalstu organizācijām, kas apstrādā personu personas datus Taizemē saistībā ar preču vai pakalpojumu piedāvāšanu vai uzvedības uzraudzību. Ārvalstu izdevēji, kas apkalpo Taizemes lietotājus, izmantojot lokalizētas vietnes vai programmatisko inventāru, kas iegādāts pret Taizemes IP adresēm, parasti ietilpst darbības jomā, un PDPC ir atsaucies uz eksteritoriālo noteikumu agrīnajās izpildes vēstulēs.

Administratīvās un kriminālās sankcijas

PDPA paredz administratīvos naudas sodus līdz THB 5 miljoniem par pārkāpumu, kā arī kriminālsodus par nopietnākajiem pārkāpumiem, tostarp brīvības atņemšanu direktoriem noteiktos apstākļos. Administratīvo naudas sodu griesti ir zemāki nekā GDPR absolūtā izteiksmē, taču PDPC eskalācijas izpildes pozīcija un kriminālatbildības iespēja padara efektīvo risku nozīmīgu.

Kas tiek uzskatīts par personas datiem saskaņā ar PDPA

PDPA personas datu definīcija ir cieši saistīta ar GDPR. Personas dati ir informācija, kas attiecas uz identificētu vai identificējamu personu, un PDPC ir konsekventi uzskatījis sīkfailus, reklāmas identifikatorus, IP adreses, ierīču nospiedumus un uzvedības profilus par personas datiem, ja tos var tieši vai kombinācijā ar citu informāciju saistīt ar personu.

Sensitīvie personas dati

PDPA nosaka plašu sensitīvo kategoriju, tostarp: rases vai etniskā izcelsme, politiskie uzskati, reliģiskie vai filozofiskie uzskati, seksuālā uzvedība, sodāmība, veselības dati, invaliditāte, dalība arodbiedrībā, ģenētiskie dati un biometriskie dati. Sensitīvo personas datu apstrādei nepieciešama nepārprotama piekrišana un tā rada papildu pārziņa pienākumus.

Kāpēc tas ir svarīgi sīkfailiem

Sīkfails, kas saglabā parasto identifikatoru, ir parasti personas dati. Sīkfails, kas baro auditorijas segmentu, kas skar PDPA sensitīvo sarakstu — veselības intereses, reliģiskā piederība, politiskās noslieces — ir sensitīvu personas datu apstrāde un prasa nepārprotamu piekrišanu, nevis vispārīgu reklāmas piekrišanu. Taizemes valodas auditorijas mērķēšana, kas pārklājas ar sensitīvo sarakstu, jāaudita īpaši attiecībā uz šo robežu.

Sīkfailu piekrišana saskaņā ar PDPA 2026. gadā

PDPA pieļauj vairākus likumīgus apstrādes pamatus, taču sīkfailiem un līdzīgām tehnoloģijām, kas nav absolūti nepieciešamas pakalpojuma sniegšanai, PDPC norādījumi un agrīnā izpilde ir konverģējuši uz piekrišanu kā praktisko bāzes līniju.

Derīgas piekrišanas elementi

Piekrišanai saskaņā ar PDPA jābūt:

• Brīvprātīgai — bez piespiešanas vai saistīšanas ar būtiska pakalpojuma sniegšanu
• Informētai — datu subjekts saprot, kādi dati tiek apstrādāti, no kā un kādam nolūkam
• Specifiskai — saistītai ar skaidri identificētiem nolūkiem, nevis vispārēju piekrišanu
• Nepārprotamai — izteiktai ar skaidru apliecinošu darbību, nevis secināmai no neaktivitātes
• Nepārprotamai sensitīvu personas datu gadījumos, ar atsevišķu un specifisko piekrišanu sensitīvajai apstrādei

Kā izskatās atbilstošs CMP

CMP, kas konfigurēts Taizemes trafikam 2026. gadā, jāparāda:

• Redzams baneris pirms jebkura nebūtiska sīkfaila vai izsekotāja aktivizācijas, Taizemes valodā (ภาษาไทย) pēc noklusējuma Taizemes lietotājiem
• Vienāds vizuāls uzsvars ยอมรับ (Pieņemt), ปฏิเสธ (Noraidīt) un ตั้งค่า (Iestatījumi) — PDPC ir kritizējis baneru dizainus, kur Noraidīšanas darbība ir vizuāli mazāk uzsvērta
• Granulāras slēdži katram nolūkam: analītika, reklāma, personalizācija, pārrobežu pārsūtīšana un jebkāda sensitīvo kategoriju apstrāde
• Atsevišķa, skaidri marķēta plūsma sensitīvo personas datu apstrādei, kas aizsargāta aiz savas darbības
• Pastāvīgs, viegli atrodams mehānisms, lai pēc sākotnējās izvēles atsauktu piekrišanu
• Taizemes valodas privātuma paziņojums ar pilnīgu informāciju par pārzini, apstrādātājiem, nolūkiem, saņēmējiem, glabāšanu un tiesībām

Piekrišanas ieraksti

Pārziņiem jāuztur piekrišanas pierādījumi — kas piekrita, kad, kādam nolūkam un caur kuru saskarni. Nepietiekami piekrišanas ieraksti tika citēti vairākās PDPC izpildes vēstulēs 2025. gadā, un eksportējami ar laika zīmogu žurnāli ir bāzes līnijas sagaidāmās vērtības.

Pārrobežu pārsūtīšana pēc 2025. gada noteikumiem

2025. gada pārsūtīšanas noteikumi bija visbūtiskākā nesenā attīstība ārvalstu izdevējiem, precizējot pieejamos mehānismus pārrobežu datu plūsmām.

Atzītie pārsūtīšanas mehānismi

2025. gada noteikumi paredz četrus primāros ceļus:

• Atbilstošas aizsardzības apzīmējums, kur PDPC ir novērtējis galamērķa valsti kā nodrošinošu atbilstošu aizsardzību
• Atbilstoši aizsardzības pasākumi caur līgumiskiem mehānismiem, tostarp PDPC apstiprinātiem standarta līguma klauzulām un saistošiem korporatīviem noteikumiem
• Īpašie izņēmumi, tostarp nepārprotama datu subjekta piekrišana ar atbilstošu informācijas izpaušanu, līguma nepieciešamība, vitālā interese un nozīmīga sabiedriskā interese
• Sertifikācijas shēmas, ko PDPC atzinis konkrētiem sektoriem vai darbībām

Atbilstības saraksts

PDPC ir izdevis atbilstības lēmumus par nedaudzām jurisdikcijām līdz 2026. gada sākumam. Amerikas Savienotās Valstis nav sarakstā, kas nozīmē, ka pārsūtīšana uz ASV bāzētiem reklāmas tehnoloģiju un analītikas piegādātājiem prasa līguma klauzulas, sertifikāciju vai piekrišanas izņēmumu.

Praktiskā 2026. gada pieeja

Lielākajai daļai ārvalstu izdevēju darba pieeja ir izpildīt PDPC apstiprinātas standarta līguma klauzulas ar starptautiskiem apstrādātājiem, dokumentēt pārsūtīšanas mehānismu Taizemes valodas privātuma paziņojumā un papildināt ar piekrišanas autorizāciju tikai tur, kur standarta mehānisms nav piemērojams.

Datu subjektu tiesības saskaņā ar PDPA

PDPA piešķir tiesību kopumu, kas cieši seko GDPR:

• Piekļuves tiesības personas datiem, ko glabā pārzinis
• Neprecīzu vai nepilnīgu datu labošanas tiesības
• Dzēšanas tiesības
• Tiesības ierobežot apstrādi
• Datu pārnesamības tiesības
• Tiesības iebilst pret apstrādi
• Tiesības atsaukt piekrišanu
• Tiesības nebūt pakļautam automatizētu lēmumu pieņemšanai, kas rada nozīmīgas sekas
• Tiesības iesniegt sūdzību PDPC

Atbildes termiņi

Pārziņiem jāatbild uz datu subjektu pieprasījumiem 30 dienu laikā saskaņā ar vispārējo regulējumu, ar īsākiem termiņiem konkrētiem pieprasījumu veidiem. Darbības gatavība šim logam — ar Taizemes valodas rīkiem un darba instrukcijām — ir izplatīta nepilnība ārvalstu izdevējiem, kas pielāgoti Eiropas ritmam.

DPO prasība

2024. gada pakārtotie noteikumi precizēja, kad nepieciešams DPO. Pārziņiem, kas apstrādā lielus personas datu apjomus, veic sistemātisku datu subjektu uzraudzību vai apstrādā sensitīvus personas datus lielā apjomā, jāieceļ DPO. Ārvalstu pārziņi, kas sasniedz apjoma robežu ar Taizemes lietotājiem, ietilpst darbības jomā. DPO kontaktinformācijai jābūt pieejamai Taizemes valodas privātuma paziņojumā.

Sodi un izpildes pozīcija 2026. gadā

PDPC izpildes aktivitāte ir nozīmīgi eskalējusies 2024. un 2025. gadā, un 2026. gads ir līdzīgā trajektorijā.

Administratīvo naudas sodu struktūra

Administratīvie naudas sodi skalē pēc pārkāpuma veida, ar maksimumiem THB 5 miljoni par pārkāpumu nopietnākajiem pārkāpumiem. Parastie pārkāpumi — nepietiekami piekrišanas baneri, trūkstošie privātuma paziņojumi, nespēja atbildēt uz datu subjektu pieprasījumiem — parasti piesaista naudas sodus zemāku simtu tūkstošu THB diapazonā, bet var ātri eskalēt atkārtotiem vai pastiprinātiem pārkāpumiem.

Kriminālatbildības garantija

Atšķirībā no GDPR PDPA paredz kriminālatbildību par nopietnākajiem pārkāpumiem, tostarp direktoru brīvības atņemšanu noteiktos apstākļos. 2024. gada pakārtotie noteikumi precizēja kriminālatbildības darbības jomu, un, lai gan tā 2026. gadā vēl nav piemērota pret ārvalstu izdevējiem, iespēja veido riska analīzi jebkurai organizācijai, kas apstrādā Taizemes datus lielā apjomā.

Izpildes temati

PDPC 2025. gada un 2026. gada sākuma darbības koncentrējas ap: neskaidri vai neesošiem piekrišanas baneriem, Taizemes valodas privātuma paziņojumu trūkumu, pārrobežu pārsūtīšanu bez derīga mehānisma saskaņā ar 2025. gada noteikumiem, nespēju atbildēt uz datu subjektu pieprasījumiem 30 dienu laikā un trūkstošiem DPO iecelšanas dokumentiem ietilpstošajiem pārziņiem. Ārvalstu izdevēji ir tikuši citēti visās piecās kategorijās.

Audita kontrolsaraksts Taizemes trafikam 2026. gadā

• CMP baneris tiek rādīts Taizemes valodā ar ยอมรับ, ปฏิเสธ un ตั้งค่า vienādu vizuālo uzsvaru
• Piekrišanas nolūki ir granulāri un atdala sensitīvo kategoriju apstrādi aiz savas piekrišanas plūsmas
• Privātuma paziņojums ir pieejams Taizemes valodā ar pilnīgu informāciju par pārzini, apstrādātājiem, nolūkiem, glabāšanu, tiesībām un DPO kontaktu
• Pārrobežu pārsūtīšana balstās uz PDPC apstiprinātām standarta līguma klauzulām, atbilstības apzīmējumu, BCRs, sertifikāciju vai dokumentētu izņēmumu
• Piekrišanas žurnāli ir ar laika zīmogu, eksportējami un glabājami piemērojamā periodā
• Datu subjektu pieprasījumu darbplūsma var atbildēt 30 dienu laikā no sākuma līdz beigām Taizemes valodā
• DPO ir iecelts tur, kur tas nepieciešams, un kontaktinformācija ir publicēta privātuma paziņojumā
• Piegādātāju saraksts ir pārskatīts pēc nepieciešamības, ar neizmantotiem vai liekajiem piegādātājiem izņemtiem, lai samazinātu pārrobežu pārsūtīšanas virsmu
• Sensitīvo kategoriju auditorijas segmenti ir aizsargāti aiz nepārprotamas, atsevišķi iegūtas piekrišanas
• Pārkāpumu paziņošanas plāns ir pielāgots PDPA pārkāpumu paziņošanas termiņiem

2026. gada perspektīva

Taizemes privātuma režīms ir nobriesis no pamata statūta ar ierobežotu darbības specifiku par režīmu ar pakārtotajiem noteikumiem, izpildes kapacitāti un politisko gribu, lai tiktu nopietni izpildīts. 2025. gada pārrobežu pārsūtīšanas noteikumi novērsa visbūtiskāko strukturālo nepilnību, un PDPC agrīnā izpildes pozīcija atbilst nopietnam regulatoram, kas ir eskalācijas vidū, nevis tādam, kas paliks kluss. Izdevējiem, kas jau vada GDPR līmeņa piekrišanas steku, atšķirība no PDPA atbilstības ir darbības, nevis arhitektoniska: Taizemes valodas CMP un privātuma paziņojums, PDPC apstiprinātie pārsūtīšanas mehānismi, 30 dienu atbildes ritms, DPO iecelšana tur, kur nepieciešams, un rūpes ar PDPA plašāku sensitīvo datu sarakstu. Atšķirību var novērst nedēļu laikā, ja tas tiek prioritizēts — un Taizeme ir nozīmīgs Dienvidaustrumāzijas tirgus, tāpēc prioritizācija parasti ātri atmaksājas. Izdevēji, kas traktēja Taizemi kā vieglāku tirgu 2024. gadā, atklāj, ka 2026. gads ir nozīmīgi prasīgāks, un tendence ir skaidra.