PDPA Thailand 2026: Panduan Penerbit dan Pengiklan untuk Persetujuan Kuki, Pemindahan Rentas Sempadan, dan Penguatkuasaan PDPC
Thailand Akta Perlindungan Data Peribadi B.E. 2562 (2019) — dikenali sebagai PDPA — berkuat kuasa sepenuhnya pada Jun 2022 selepas beberapa kelewatan, dan menghabiskan sebahagian besar tiga tahun berikutnya dalam fasa pembinaan kapasiti kawal selia, peluncuran peraturan bawahan, dan apa yang Jawatankuasa Perlindungan Data Peribadi (PDPC) huraikan secara awam sebagai pendirian penguatkuasaan yang sabar. Pendirian itu kini telah tamat secara muktamad. Peraturan bawahan PDPC 2024 dan 2025 mengisi spesifik yang telah ditinggalkan terbuka oleh statut asas, Pejabat PDPC (pengawal selia operasi) membina kapasiti penguatkuasaannya, dan menjelang pembukaan 2026 PDPC telah mula mengeluarkan denda pentadbiran pada tahap yang bermakna — termasuk terhadap platform asing yang memproses data pengguna Thailand dari luar negara. Bagi mana-mana penerbit, pengiklan, atau platform yang memproses data peribadi individu di Thailand — sama ada berpangkalan di Thailand atau melayani pasaran Thailand dari luar negara — 2026 adalah tahun PDPA berhenti menjadi rejim yang agak senyap dan menjadi keutamaan penguatkuasaan yang boleh dipercayai. Panduan ini meneliti PDPA dalam keadaannya pada 2026, apa yang sebenarnya diperlukan oleh persetujuan kuki, cara pemindahan rentas sempadan berfungsi selepas peraturan pemindahan 2025, dan bagaimana tema penguatkuasaan awal PDPC kelihatan dalam amalan.
Struktur PDPA pada 2026
PDPA adalah statut perlindungan data utama di Thailand, dan strukturnya sangat menyerupai GDPR. Peraturan bawahan 2024 dan 2025 menambah butiran operasi yang sebelumnya tiada dalam undang-undang asas.
Apa yang Ditambah oleh Peraturan Bawahan
Sepanjang 2024 dan 2025, PDPC mengeluarkan peraturan bawahan yang merangkumi: mekanisme pemindahan data rentas sempadan, pelantikan dan tugas Pegawai Perlindungan Data, prosedur pemberitahuan pelanggaran data, keperluan rekod pemprosesan, garis masa aliran kerja hak subjek data, dan standard persetujuan khusus untuk data peribadi sensitif. Peraturan-peraturan ini secara kolektif mengubah PDPA daripada rangka kerja umum kepada rejim operasi yang setanding dengan GDPR dari segi kekhususan.
Siapa yang Dikawal
PDPA terpakai kepada kebanyakan pengawal data dan pemproses, dengan capaian ekstrateritorial bagi organisasi asing yang memproses data peribadi individu di Thailand berkaitan dengan penawaran barangan atau perkhidmatan atau pemantauan tingkah laku. Penerbit asing yang melayani pengguna Thailand melalui laman web yang disetempatkan atau inventori program yang dibeli terhadap IP Thailand biasanya termasuk dalam skop, dan PDPC telah menggunakan peruntukan ekstrateritorial dalam surat penguatkuasaan awal.
Sanksi Pentadbiran dan Jenayah
PDPA memperuntukkan denda pentadbiran sehingga THB 5 juta setiap pelanggaran, bersama penalti jenayah untuk pelanggaran yang paling serius termasuk pemenjaraan pengarah dalam keadaan tertentu. Siling denda pentadbiran lebih rendah daripada GDPR dari segi mutlak, tetapi pendirian penguatkuasaan PDPC yang semakin meningkat dan ketersediaan liabiliti jenayah menjadikan risiko efektif ini signifikan.
Apa yang Dikira sebagai Data Peribadi di Bawah PDPA
Definisi data peribadi PDPA sangat rapat dengan GDPR. Data peribadi adalah maklumat yang berkaitan dengan orang yang dikenal pasti atau boleh dikenal pasti, dan PDPC secara konsisten telah menganggap kuki, pengecam pengiklanan, alamat IP, cap jari peranti, dan profil tingkah laku sebagai data peribadi apabila ia boleh dikaitkan dengan individu secara langsung atau melalui gabungan dengan maklumat lain.
Data Peribadi Sensitif
PDPA menetapkan kategori sensitif yang luas termasuk: asal usul kaum atau etnik, pendapat politik, kepercayaan agama atau falsafah, tingkah laku seksual, rekod jenayah, data kesihatan, kecacatan, keahlian kesatuan sekerja, data genetik, dan data biometrik. Pemprosesan data peribadi sensitif memerlukan persetujuan eksplisit dan mencetuskan kewajipan pengawal tambahan.
Mengapa Ini Penting untuk Kuki
Kuki yang menyimpan pengecam biasa adalah data peribadi biasa. Kuki yang menyuap segmen khalayak yang menyentuh senarai sensitif PDPA — kepentingan kesihatan, afiliasi agama, kecenderungan politik — adalah pemprosesan data peribadi sensitif dan memerlukan persetujuan eksplisit dan bukannya persetujuan pengiklanan umum. Penyasaran khalayak berbahasa Thai yang bertindih dengan senarai sensitif harus diaudit khususnya terhadap sempadan ini.
Persetujuan Kuki Di Bawah PDPA pada 2026
PDPA membenarkan pelbagai asas yang sah untuk pemprosesan, tetapi untuk kuki dan teknologi seumpamanya yang tidak semestinya diperlukan untuk penyampaian perkhidmatan, panduan PDPC dan penguatkuasaan awal telah menumpukan pada persetujuan sebagai garis dasar praktikal.
Elemen Persetujuan yang Sah
Persetujuan di bawah PDPA mestilah:
- Diberikan secara bebas — tanpa paksaan atau penggabungan dengan peruntukan perkhidmatan penting
- Bermaklumat — subjek data memahami data apa yang diproses, oleh siapa, dan untuk tujuan apa
- Spesifik — terikat kepada tujuan yang jelas dikenal pasti dan bukannya persetujuan payung
- Tidak samar-samar — dinyatakan melalui tindakan afirmatif yang jelas, bukan disimpulkan daripada ketidakaktifan
- Eksplisit dalam kes yang melibatkan data peribadi sensitif, dengan persetujuan berasingan dan spesifik untuk pemprosesan sensitif
Seperti Apa CMP yang Patuh
CMP yang dikonfigurasi untuk trafik Thai pada 2026 harus memaparkan:
- Sepanduk yang kelihatan sebelum mana-mana kuki atau penjejak bukan penting diaktifkan, dalam bahasa Thai (ภาษาไทย) secara lalai untuk pengguna Thai
- Kenonjolan visual yang sama untuk ยอมรับ (Terima), ปฏิเสธ (Tolak), dan ตั้งค่า (Tetapan) — PDPC telah mengkritik reka bentuk sepanduk di mana tindakan Tolak dikurangkan secara visual
- Togol berbutir mengikut tujuan: analitik, pengiklanan, pemperibadian, pemindahan rentas sempadan, dan mana-mana pemprosesan kategori sensitif
- Aliran berasingan, berlabel jelas untuk pemprosesan data peribadi sensitif, terpagar di sebalik tindakannya sendiri
- Mekanisme yang kekal dan mudah ditemui untuk menarik balik persetujuan selepas pilihan awal
- Notis privasi berbahasa Thai dengan pendedahan penuh tentang pengawal, pemproses, tujuan, penerima, pengekalan, dan hak
Rekod Persetujuan
Pengawal mesti mengekalkan bukti persetujuan — siapa yang bersetuju, bila, untuk tujuan apa, dan melalui antara muka mana. Rekod persetujuan yang tidak mencukupi telah disebut dalam beberapa surat penguatkuasaan PDPC pada 2025, dan log cap masa yang boleh dieksport adalah jangkaan garis dasar.
Pemindahan Rentas Sempadan Selepas Peraturan 2025
Peraturan pemindahan 2025 adalah perkembangan terbaru yang paling akibat untuk penerbit asing, menjelaskan mekanisme yang tersedia untuk aliran data rentas sempadan.
Mekanisme Pemindahan yang Diiktiraf
Peraturan 2025 menyediakan empat laluan utama:
- Penetapan perlindungan yang mencukupi di mana PDPC telah menilai negara destinasi sebagai menyediakan perlindungan yang mencukupi
- Perlindungan yang sesuai melalui mekanisme kontrak termasuk klausa kontrak standard yang diluluskan PDPC dan peraturan korporat yang mengikat
- Pengecualian khusus termasuk persetujuan eksplisit daripada subjek data dengan pendedahan yang mencukupi, keperluan kontrak, kepentingan penting, dan kepentingan awam yang substantif
- Skim pensijilan yang diiktiraf oleh PDPC untuk sektor atau aktiviti tertentu
Senarai Kecukupan
PDPC telah mengeluarkan keputusan kecukupan untuk beberapa bilangan bidang kuasa hingga awal 2026. Amerika Syarikat tidak ada dalam senarai, yang bermaksud pemindahan kepada vendor teknologi iklan dan analitik berbasis AS memerlukan klausa kontrak, pensijilan, atau pengecualian berasaskan persetujuan.
Pendekatan Praktikal 2026
Bagi kebanyakan penerbit asing, pendekatan yang berfungsi adalah melaksanakan klausa kontrak standard yang diluluskan PDPC dengan pemproses antarabangsa, mendokumentasikan mekanisme pemindahan dalam notis privasi berbahasa Thai, dan menambah dengan kebenaran berasaskan persetujuan hanya apabila mekanisme standard tidak sesuai.
Hak Subjek Data Di Bawah PDPA
PDPA memberikan satu set hak yang rapat mengikut GDPR:
- Hak akses kepada data peribadi yang dipegang oleh pengawal
- Hak pembetulan data yang tidak tepat atau tidak lengkap
- Hak pemadaman
- Hak untuk menyekat pemprosesan
- Hak mudah alih data
- Hak untuk membantah pemprosesan
- Hak untuk menarik balik persetujuan
- Hak untuk tidak tertakluk kepada pembuatan keputusan automatik yang menghasilkan kesan yang signifikan
- Hak untuk membuat aduan kepada PDPC
Garis Masa Respons
Pengawal mesti bertindak balas terhadap permintaan subjek data dalam masa 30 hari di bawah rangka kerja umum, dengan tempoh yang lebih singkat untuk jenis permintaan tertentu. Kesediaan operasi untuk tetingkap ini — dengan alat dan buku panduan berbahasa Thai — adalah jurang biasa bagi penerbit asing yang diselaraskan dengan kadence Eropah.
Keperluan DPO
Peraturan bawahan 2024 menjelaskan bila DPO diperlukan. Pengawal yang memproses jumlah besar data peribadi, menjalankan pemantauan sistematik terhadap subjek data, atau memproses data peribadi sensitif pada skala mesti melantik DPO. Pengawal asing yang mencapai ambang kelantangan melalui pengguna Thailand termasuk dalam skop. Maklumat hubungan DPO mesti boleh diakses dalam notis privasi berbahasa Thai.
Penalti dan Pendirian Penguatkuasaan pada 2026
Aktiviti penguatkuasaan PDPC telah meningkat dengan bermakna sepanjang 2024 dan 2025, dan 2026 berada pada trajektori yang sama.
Struktur Denda Pentadbiran
Denda pentadbiran berskala mengikut jenis pelanggaran, dengan maksimum THB 5 juta setiap pelanggaran untuk pelanggaran yang paling serius. Pelanggaran rutin — sepanduk persetujuan yang tidak mencukupi, notis privasi yang hilang, kegagalan bertindak balas terhadap permintaan subjek data — biasanya menarik denda dalam julat ratusan ribu THB yang lebih rendah tetapi boleh meningkat dengan cepat untuk pelanggaran berulang atau diburukkan.
Sandaran Liabiliti Jenayah
Berbeza daripada GDPR, PDPA memperuntukkan liabiliti jenayah untuk pelanggaran yang paling serius, termasuk pemenjaraan pengarah dalam keadaan tertentu. Peraturan bawahan 2024 menjelaskan skop liabiliti jenayah, dan walaupun ia belum dikenakan terhadap penerbit asing pada 2026 setakat ini, kemungkinan membentuk analisis risiko bagi mana-mana organisasi yang memproses data Thailand pada skala.
Tema Penguatkuasaan
Tindakan PDPC 2025 dan awal 2026 berkumpul sekitar: sepanduk persetujuan yang samar-samar atau tiada, kekurangan notis privasi berbahasa Thai, pemindahan rentas sempadan tanpa mekanisme yang sah di bawah peraturan 2025, kegagalan bertindak balas terhadap permintaan subjek data dalam tempoh 30 hari, dan penetapan DPO yang hilang untuk pengawal yang termasuk dalam skop. Penerbit asing telah disebut dalam semua lima kategori.
Senarai Semak Audit untuk Trafik Thai pada 2026
- Sepanduk CMP disajikan dalam bahasa Thai dengan ยอมรับ, ปฏิเสธ, dan ตั้งค่า pada kenonjolan visual yang sama
- Tujuan persetujuan adalah berbutir dan memisahkan pemprosesan kategori sensitif di sebalik aliran persetujuannya sendiri
- Notis privasi tersedia dalam bahasa Thai dengan pendedahan penuh tentang pengawal, pemproses, tujuan, pengekalan, hak, dan hubungan DPO
- Pemindahan rentas sempadan bergantung pada klausa kontrak standard yang diluluskan PDPC, penetapan kecukupan, BCRs, pensijilan, atau pengecualian yang didokumentasikan
- Log persetujuan adalah bertimestamp, boleh dieksport, dan disimpan untuk tempoh yang berkenaan
- Aliran kerja permintaan subjek data boleh bertindak balas dalam masa 30 hari dari awal hingga akhir, dalam bahasa Thai
- DPO dilantik di mana diperlukan dan maklumat hubungan diterbitkan dalam notis privasi
- Senarai vendor telah disemak untuk keperluan, dengan vendor yang tidak digunakan atau berlebihan dikeluarkan untuk mengurangkan permukaan pemindahan rentas sempadan
- Segmen khalayak kategori sensitif dipagari di sebalik persetujuan eksplisit yang ditangkap secara berasingan
- Buku panduan pemberitahuan pelanggaran diselaraskan dengan garis masa pemberitahuan pelanggaran PDPA
Pandangan 2026
Rejim privasi Thailand telah matang daripada statut asas dengan kekhususan operasi yang terhad kepada rejim dengan peraturan bawahan, kapasiti penguatkuasaan, dan kehendak politik untuk dikuatkuasakan dengan bermakna. Peraturan pemindahan rentas sempadan 2025 menutup jurang struktural yang paling akibat, dan pendirian penguatkuasaan awal PDPC adalah konsisten dengan pengawal selia yang serius di pertengahan peningkatan skala dan bukannya yang akan kekal senyap. Bagi penerbit yang sudah menjalankan tindanan persetujuan gred GDPR, jurang kepada pematuhan PDPA adalah operasi dan bukannya seni bina: CMP dan notis privasi berbahasa Thai, mekanisme pemindahan yang diluluskan PDPC, kadence tindak balas 30 hari, penetapan DPO di mana diperlukan, dan berhati-hati dengan senarai data sensitif PDPA yang lebih luas. Jurang boleh ditutup dalam beberapa minggu jika diprioritaskan — dan Thailand adalah pasaran Asia Tenggara yang bermakna, jadi keutamaan biasanya membayar balik dengan cepat. Penerbit yang menganggap Thailand sebagai pasaran yang lebih ringan sepanjang 2024 mendapati 2026 jauh lebih menuntut, dan trendnya jelas.