De Structuur van de PDPA in 2026

De PDPA is het primaire gegevensbeschermingsstatuut in Thailand en de structuur ervan lijkt sterk op de GDPR. De gedelegeerde regelgeving van 2024 en 2025 voegde operationele details toe die eerder ontbraken in de basiswet.

Wat de Gedelegeerde Regelgeving Toevoegde

Gedurende 2024 en 2025 heeft de PDPC gedelegeerde regelgeving uitgevaardigd met betrekking tot: mechanismen voor grensoverschrijdende gegevensdoorgiften, aanstelling en taken van Functionarissen voor Gegevensbescherming, procedures voor melding van datalekken, vereisten voor verwerkingsregisters, tijdlijnen voor workflowprocedures van betrokkenenrechten, en specifieke toestemmingsnormen voor gevoelige persoonsgegevens. Deze regelgeving heeft de PDPA collectief omgevormd van een algemeen kader naar een operationeel regime dat vergelijkbaar is met de GDPR qua specificiteit.

Wie Gereguleerd Wordt

De PDPA is van toepassing op de meeste verwerkingsverantwoordelijken en verwerkers, met extraterritoriale werking voor buitenlandse organisaties die persoonsgegevens van personen in Thailand verwerken in verband met het aanbieden van goederen of diensten of het monitoren van gedrag. Buitenlandse uitgevers die Thaise gebruikers bedienen via gelokaliseerde sites of programmatische inventaris die wordt ingekocht op Thaise IP-adressen, vallen doorgaans binnen de reikwijdte, en de PDPC heeft de extraterritoriale bepaling ingeroepen in vroege handhavingsbrieven.

Administratieve en Strafrechtelijke Sancties

De PDPA voorziet in administratieve boetes tot THB 5 miljoen per overtreding, naast strafrechtelijke sancties voor de ernstigste inbreuken, waaronder gevangenisstraf voor directeuren in specifieke omstandigheden. Het plafond voor administratieve boetes is in absolute termen lager dan de GDPR, maar de escalerende handhavingshouding van de PDPC en de mogelijkheid van strafrechtelijke aansprakelijkheid maken het effectieve risico significant.

Wat Telt als Persoonsgegevens Onder de PDPA

De definitie van persoonsgegevens in de PDPA sluit nauw aan bij de GDPR. Persoonsgegevens zijn informatie die betrekking heeft op een geïdentificeerde of identificeerbare persoon, en de PDPC heeft cookies, advertentie-identifiers, IP-adressen, apparaatvingerafdrukken en gedragsprofielen consequent behandeld als persoonsgegevens wanneer ze direct of in combinatie met andere informatie aan een persoon kunnen worden gekoppeld.

Gevoelige Persoonsgegevens

De PDPA wijst een brede gevoelige categorie aan, waaronder: ras of etnische afkomst, politieke opinie, religieuze of filosofische overtuiging, seksueel gedrag, strafrechtelijk verleden, gezondheidsgegevens, handicap, vakbondslidmaatschap, genetische gegevens en biometrische gegevens. De verwerking van gevoelige persoonsgegevens vereist uitdrukkelijke toestemming en brengt aanvullende verplichtingen voor de verwerkingsverantwoordelijke met zich mee.

Waarom Dit Belangrijk Is voor Cookies

Een cookie die een gewone identifier opslaat, is gewone persoonsgegeven. Een cookie die een doelgroepsegment voorziet dat de PDPA-gevoelige lijst raakt — gezondheidsbelangen, religieuze affiliatie, politieke gezindheid — is verwerking van gevoelige persoonsgegevens en vereist uitdrukkelijke toestemming in plaats van de algemene reclameconsent. Thaalstalige doelgroeptargeting die de gevoelige lijst overlapt, moet specifiek worden geauditeerd ten opzichte van deze grens.

Cookietoestemming Onder de PDPA in 2026

De PDPA staat meerdere rechtsgrondslagen voor verwerking toe, maar voor cookies en soortgelijke technologieën die niet strikt noodzakelijk zijn voor de dienstverlening, zijn de richtsnoeren van de PDPC en de vroege handhaving geconvergeerd op toestemming als de praktische basislijn.

De Elementen van Geldige Toestemming

Toestemming onder de PDPA moet:

• Vrij gegeven zijn — zonder dwang of koppeling aan essentiële dienstverlening
• Geïnformeerd zijn — de betrokkene begrijpt welke gegevens worden verwerkt, door wie en voor welk doel
• Specifiek zijn — gebonden aan duidelijk geïdentificeerde doeleinden in plaats van algemene toestemming
• Ondubbelzinnig zijn — uitgedrukt door een duidelijke bevestigende handeling, niet afgeleid uit inactiviteit
• Uitdrukkelijk zijn in gevallen waarbij gevoelige persoonsgegevens betrokken zijn, met afzonderlijke en specifieke toestemming voor de gevoelige verwerking

Hoe een Conforme CMP Eruitziet

Een CMP geconfigureerd voor Thais verkeer in 2026 moet presenteren:

• Een zichtbare banner voordat een niet-essentiële cookie of tracker wordt geactiveerd, standaard in het Thai (ภาษาไทย) voor Thaise gebruikers
• Gelijke visuele prominentie voor ยอมรับ (Accepteren), ปฏิเสธ (Weigeren) en ตั้งค่า (Instellingen) — de PDPC heeft bannerontwerpen bekritiseerd waarbij de Weiger-actie visueel minder prominent is
• Granulaire schakelaars per doel: analyse, reclame, personalisatie, grensoverschrijdende doorgiften en eventuele verwerking van gevoelige categorieën
• Een aparte, duidelijk gelabelde stroom voor de verwerking van gevoelige persoonsgegevens, afgeschermd achter een eigen actie
• Een persistent, gemakkelijk te vinden mechanisme om toestemming in te trekken na de initiële keuze
• Een Thaalstalige privacyverklaring met volledige bekendmakingen van verwerkingsverantwoordelijke, verwerkers, doeleinden, ontvangers, bewaartermijnen en rechten

Toestemmingsregisters

Verwerkingsverantwoordelijken moeten bewijs van toestemming bewaren — wie toestemming heeft gegeven, wanneer, voor welk doel en via welke interface. Ontoereikende toestemmingsregisters zijn in 2025 geciteerd in meerdere handhavingsbrieven van de PDPC, en exporteerbare timestamped logs zijn de basisverwachting.

Grensoverschrijdende Transfers Na de Regelgeving van 2025

De transferregelgeving van 2025 was de meest ingrijpende recente ontwikkeling voor buitenlandse uitgevers, waarbij de beschikbare mechanismen voor grensoverschrijdende gegevensstromen werden verduidelijkt.

De Erkende Transfermechanismen

De regelgeving van 2025 biedt vier primaire routes:

• Adequaatheidsbesluit waarbij de PDPC het bestemmingsland heeft beoordeeld als een adequate bescherming biedend
• Passende waarborgen via contractuele mechanismen, waaronder door de PDPC goedgekeurde standaardcontractbepalingen en bindende bedrijfsregels
• Specifieke uitzonderingen waaronder uitdrukkelijke toestemming van de betrokkene met adequate bekendmaking, contractuele noodzaak, vitaal belang en zwaarwegend publiek belang
• Certificeringsregelingen erkend door de PDPC voor specifieke sectoren of activiteiten

De Adequaatheidslijst

De PDPC heeft adequaatheidsbesluiten genomen voor een handvol jurisdicties tot begin 2026. De Verenigde Staten staan niet op de lijst, wat betekent dat doorgiften aan in de VS gevestigde adtech- en analyticleveranciers contractuele bepalingen, certificering of een toestemmingsgebaseerde uitzondering vereisen.

De Praktische Aanpak voor 2026

Voor de meeste buitenlandse uitgevers is de werkende aanpak het sluiten van door de PDPC goedgekeurde standaardcontractbepalingen met internationale verwerkers, het documenteren van het transfermechanisme in de Thaalstalige privacyverklaring en het aanvullen met toestemmingsgebaseerde autorisatie alleen waar het standaardmechanisme niet goed past.

Rechten van Betrokkenen Onder de PDPA

De PDPA verleent een reeks rechten die nauw aansluiten bij de GDPR:

• Recht op inzage in persoonsgegevens die door de verwerkingsverantwoordelijke worden bewaard
• Recht op rectificatie van onjuiste of onvolledige gegevens
• Recht op verwijdering
• Recht op beperking van de verwerking
• Recht op gegevensoverdraagbaarheid
• Recht om bezwaar te maken tegen de verwerking
• Recht om toestemming in te trekken
• Recht om niet te worden onderworpen aan geautomatiseerde besluitvorming die significante gevolgen heeft
• Recht om een klacht in te dienen bij de PDPC

Antwoordtermijnen

Verwerkingsverantwoordelijken moeten reageren op verzoeken van betrokkenen binnen 30 dagen onder het algemene kader, met kortere termijnen voor specifieke soorten verzoeken. Operationele gereedheid voor dit venster — met Thaalstalige tools en draaiboeken — is een veelvoorkomend hiaat voor buitenlandse uitgevers die zijn afgestemd op een Europees ritme.

De DPO-vereiste

De gedelegeerde regelgeving van 2024 verduidelijkte wanneer een DPO vereist is. Verwerkingsverantwoordelijken die grote hoeveelheden persoonsgegevens verwerken, systematische monitoring van betrokkenen uitvoeren of gevoelige persoonsgegevens op grote schaal verwerken, moeten een DPO aanstellen. Buitenlandse verwerkingsverantwoordelijken die de volumedrempel bereiken via Thaise gebruikers, vallen binnen de reikwijdte. De contactgegevens van de DPO moeten toegankelijk zijn in de Thaalstalige privacyverklaring.

Sancties en Handhavingshouding in 2026

De handhavingsactiviteit van de PDPC is in 2024 en 2025 aanzienlijk geëscaleerd, en 2026 bevindt zich op een vergelijkbare trajectorie.

De Structuur van Administratieve Boetes

Administratieve boetes worden geschaald op basis van het type overtreding, met maxima van THB 5 miljoen per overtreding voor de ernstigste inbreuken. Routineovertredingen — ontoereikende toestemmingsbanners, ontbrekende privacyverklaringen, nalaten te reageren op verzoeken van betrokkenen — trekken doorgaans boetes in de lagere honderdduizenden THB aan, maar kunnen snel escaleren bij herhaalde of verzwarende overtredingen.

Het Strafrechtelijke Aansprakelijkheidsnet

In tegenstelling tot de GDPR voorziet de PDPA in strafrechtelijke aansprakelijkheid voor de ernstigste overtredingen, waaronder gevangenisstraf voor directeuren in specifieke omstandigheden. De gedelegeerde regelgeving van 2024 verduidelijkte de reikwijdte van de strafrechtelijke aansprakelijkheid, en hoewel deze in 2026 nog niet is toegepast op buitenlandse uitgevers, vormt de mogelijkheid de risicoanalyse voor elke organisatie die op grote schaal Thaise gegevens verwerkt.

Handhavingsthema's

De acties van de PDPC in 2025 en begin 2026 clusteren rond: dubbelzinnige of afwezige toestemmingsbanners, ontbreken van Thaalstalige privacyverklaringen, grensoverschrijdende doorgiften zonder een geldig mechanisme onder de regelgeving van 2025, nalaten te reageren op verzoeken van betrokkenen binnen het 30-dagenvenster, en ontbrekende DPO-aanstellingen voor verwerkingsverantwoordelijken die in de reikwijdte vallen. Buitenlandse uitgevers zijn in alle vijf categorieën geciteerd.

Auditchecklist voor Thais Verkeer in 2026

• De CMP-banner wordt weergegeven in het Thai met ยอมรับ, ปฏิเสธ en ตั้งค่า met gelijke visuele prominentie
• Toestemmingsdoeleinden zijn granulair en scheiden de verwerking van gevoelige categorieën achter een eigen toestemmingsstroom
• De privacyverklaring is beschikbaar in het Thai met volledige bekendmakingen van verwerkingsverantwoordelijke, verwerkers, doeleinden, bewaring, rechten en DPO-contact
• Grensoverschrijdende doorgiften zijn gebaseerd op door de PDPC goedgekeurde standaardcontractbepalingen, een adequaatheidsbesluit, BCRs, certificering of een gedocumenteerde uitzondering
• Toestemmingslogboeken zijn van tijdstempels voorzien, exporteerbaar en bewaard voor de toepasselijke periode
• De workflow voor verzoeken van betrokkenen kan van begin tot eind binnen 30 dagen reageren, in het Thai
• De DPO is aangesteld waar vereist en de contactgegevens zijn gepubliceerd in de privacyverklaring
• De leverancierslijst is gecontroleerd op noodzaak, met ongebruikte of overbodige leveranciers verwijderd om het grensoverschrijdende transferoppervlak te verkleinen
• Doelgroepsegmenten van gevoelige categorieën zijn afgeschermd achter uitdrukkelijke, afzonderlijk vastgelegde toestemming
• Het draaiboek voor datalekkenmelding is afgestemd op de meldtermijnen voor datalekken van de PDPA

De Vooruitzichten voor 2026

Thailand's privacyregime is gerijpt van een basisstatuut met beperkte operationele specificiteit naar een regime met de gedelegeerde regelgeving, de handhavingscapaciteit en de politieke wil om zinvol te worden gehandhaafd. De grensoverschrijdende transferregelgeving van 2025 sloot de meest ingrijpende structurele leemte, en de vroege handhavingshouding van de PDPC is consistent met een serieuze toezichthouder die zich midden in een opschaling bevindt in plaats van een die rustig zal blijven. Voor uitgevers die al een GDPR-grade toestemmingsstack draaien, is de kloof naar PDPA-compliance operationeel in plaats van architecturaal: Thaalstalige CMP en privacyverklaring, door de PDPC goedgekeurde transfermechanismen, het 30-dagenantwoordritme, DPO-aanstelling waar vereist en zorgvuldigheid met de bredere gevoelige gegevenslijst van de PDPA. De kloof kan in weken worden gedicht als prioriteit wordt gegeven — en Thailand is een betekenisvolle Zuidoost-Aziatische markt, dus de prioritering betaalt zich doorgaans snel terug. De uitgevers die Thailand in 2024 als een lichtere markt beschouwden, ontdekken dat 2026 aanzienlijk veeleisender is, en de trend is duidelijk.