Struktura PDPA w 2026 roku

PDPA jest podstawowym statutem ochrony danych w Tajlandii, a jej struktura ściśle przypomina GDPR. Akty podrzędne z 2024 i 2025 roku dodały szczegóły operacyjne, których wcześniej brakowało w podstawowym prawie.

Co Dodały Akty Podrzędne

W latach 2024 i 2025 PDPC wydał akty podrzędne obejmujące: mechanizmy transgranicznych transferów danych, mianowanie i obowiązki Inspektorów Ochrony Danych, procedury powiadamiania o naruszeniach danych, wymagania dotyczące rejestrów przetwarzania, harmonogramy przepływu pracy dla praw podmiotów danych oraz szczegółowe standardy zgody na wrażliwe dane osobowe. Przepisy te zbiorowo przekształciły PDPA z ogólnych ram w reżim operacyjny porównywalny z GDPR pod względem szczegółowości.

Kto Jest Regulowany

PDPA ma zastosowanie do większości administratorów i podmiotów przetwarzających, z eksterytorialnym zasięgiem dla zagranicznych organizacji przetwarzających dane osobowe osób w Tajlandii w związku z oferowaniem towarów lub usług albo monitorowaniem zachowania. Zagraniczni wydawcy obsługujący tajlandzkich użytkowników za pośrednictwem zlokalizowanych stron lub zapasów programatycznych zakupionych wobec tajlandzkich adresów IP zazwyczaj mieszczą się w zakresie, a PDPC powołał się na przepis eksterytorialny we wczesnych pismach egzekwowania.

Sankcje Administracyjne i Karne

PDPA przewiduje kary administracyjne do THB 5 milionów za naruszenie, obok kar karnych za najpoważniejsze naruszenia, w tym pozbawienie wolności dyrektorów w określonych okolicznościach. Pułap kary administracyjnej jest niższy niż w GDPR w wartościach bezwzględnych, ale eskalująca postawa egzekwowania PDPC i możliwość odpowiedzialności karnej sprawiają, że efektywne ryzyko jest znaczące.

Co Zalicza Się do Danych Osobowych w Ramach PDPA

Definicja danych osobowych w PDPA ściśle odpowiada GDPR. Dane osobowe to informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby, a PDPC konsekwentnie traktuje pliki cookie, identyfikatory reklamowe, adresy IP, odciski palców urządzeń i profile behawioralne jako dane osobowe, gdy można je powiązać z osobą bezpośrednio lub w połączeniu z innymi informacjami.

Wrażliwe Dane Osobowe

PDPA wyznacza szeroką kategorię wrażliwą obejmującą: rasowe lub etniczne pochodzenie, opinię polityczną, przekonania religijne lub filozoficzne, zachowanie seksualne, kartotekę karną, dane zdrowotne, niepełnosprawność, przynależność do związków zawodowych, dane genetyczne i dane biometryczne. Przetwarzanie wrażliwych danych osobowych wymaga wyraźnej zgody i wywołuje dodatkowe obowiązki administratora.

Dlaczego Ma to Znaczenie dla Plików Cookie

Plik cookie przechowujący rutynowy identyfikator to zwykłe dane osobowe. Plik cookie zasilający segment odbiorców dotykający listy wrażliwych PDPA — zainteresowania zdrowotne, przynależność religijna, skłonności polityczne — to przetwarzanie wrażliwych danych osobowych wymagające wyraźnej zgody, a nie ogólnej zgody reklamowej. Targetowanie odbiorców w języku tajskim pokrywające się z listą wrażliwych należy poddać szczegółowemu audytowi pod kątem tej granicy.

Zgoda na Pliki Cookie w Ramach PDPA w 2026 roku

PDPA dopuszcza wiele podstaw prawnych przetwarzania, jednak w przypadku plików cookie i podobnych technologii, które nie są ściśle niezbędne do świadczenia usług, wytyczne PDPC i wczesne egzekwowanie skupiły się na zgodzie jako praktycznej linii bazowej.

Elementy Ważnej Zgody

Zgoda na mocy PDPA musi być:

• Dobrowolna — bez przymusu ani powiązania z istotnym świadczeniem usług
• Świadoma — podmiot danych rozumie, jakie dane są przetwarzane, przez kogo i w jakim celu
• Konkretna — powiązana z wyraźnie określonymi celami, a nie ogólną zgodą
• Jednoznaczna — wyrażona poprzez wyraźne działanie afirmatywne, nie wnioskowana z bezczynności
• Wyraźna w przypadkach dotyczących wrażliwych danych osobowych, z odrębną i szczegółową zgodą na wrażliwe przetwarzanie

Jak Wygląda Zgodna CMP

CMP skonfigurowana dla tajlandzkiego ruchu w 2026 roku powinna prezentować:

• Widoczny baner przed uruchomieniem jakiegokolwiek nieistotnego pliku cookie lub śledzącego, domyślnie w języku tajskim (ภาษาไทย) dla tajlandzkich użytkowników
• Równą wizualną prominencję dla ยอมรับ (Akceptuj), ปฏิเสธ (Odrzuć) i ตั้งค่า (Ustawienia) — PDPC skrytykował projekty banerów, w których działanie Odrzuć jest wizualnie pomniejszone
• Granularne przełączniki na cel: analityka, reklama, personalizacja, transfer transgraniczny i wszelkie przetwarzanie kategorii wrażliwych
• Oddzielny, wyraźnie oznaczony przepływ dla przetwarzania wrażliwych danych osobowych, chroniony za własnym działaniem
• Trwały, łatwy do znalezienia mechanizm wycofywania zgody po dokonaniu początkowego wyboru
• Tajskojęzyczne powiadomienie o prywatności z pełnymi ujawnieniami dotyczącymi administratora, podmiotów przetwarzających, celów, odbiorców, okresu przechowywania i praw

Rejestry Zgód

Administratorzy muszą utrzymywać dowody zgody — kto wyraził zgodę, kiedy, na jaki cel i przez który interfejs. Niewystarczające rejestry zgód były cytowane w kilku pismach egzekwowania PDPC w 2025 roku, a eksportowalne dzienniki ze znacznikami czasu to minimalne oczekiwanie.

Transfery Transgraniczne po Przepisach z 2025 roku

Przepisy transferowe z 2025 roku były najbardziej konsekwentnym niedawnym rozwojem dla zagranicznych wydawców, wyjaśniając dostępne mechanizmy transgranicznych przepływów danych.

Uznane Mechanizmy Transferu

Przepisy z 2025 roku przewidują cztery główne ścieżki:

• Decyzja o odpowiednim stopniu ochrony, w której PDPC ocenił kraj docelowy jako zapewniający odpowiednią ochronę
• Odpowiednie zabezpieczenia poprzez mechanizmy umowne, w tym zatwierdzone przez PDPC standardowe klauzule umowne i wiążące reguły korporacyjne
• Szczególne wyjątki obejmujące wyraźną zgodę podmiotu danych z odpowiednim ujawnieniem, konieczność umowną, interes życiowy i istotny interes publiczny
• Programy certyfikacji uznane przez PDPC dla określonych sektorów lub działalności

Lista Adekwatności

PDPC wydał decyzje o adekwatności dla garstki jurysdykcji do początku 2026 roku. Stany Zjednoczone nie figurują na liście, co oznacza, że transfery do dostawców technologii reklamowych i analitycznych z siedzibą w USA wymagają klauzul umownych, certyfikacji lub wyjątku opartego na zgodzie.

Praktyczne Podejście na 2026 rok

Dla większości zagranicznych wydawców robocze podejście polega na wykonaniu zatwierdzonych przez PDPC standardowych klauzul umownych z międzynarodowymi podmiotami przetwarzającymi, udokumentowaniu mechanizmu transferu w tajskojęzycznym powiadomieniu o prywatności i uzupełnieniu autoryzacją opartą na zgodzie tylko tam, gdzie standardowy mechanizm nie pasuje czysto.

Prawa Podmiotów Danych w Ramach PDPA

PDPA przyznaje zestaw praw ściśle odpowiadający GDPR:

• Prawo dostępu do danych osobowych przechowywanych przez administratora
• Prawo do sprostowania niedokładnych lub niekompletnych danych
• Prawo do usunięcia
• Prawo do ograniczenia przetwarzania
• Prawo do przenoszenia danych
• Prawo do sprzeciwu wobec przetwarzania
• Prawo do wycofania zgody
• Prawo do niepodlegania zautomatyzowanemu podejmowaniu decyzji wywołującemu znaczące skutki
• Prawo do złożenia skargi do PDPC

Terminy Odpowiedzi

Administratorzy muszą odpowiadać na żądania podmiotów danych w ciągu 30 dni w ramach ogólnych zasad, z krótszymi oknami dla określonych rodzajów żądań. Gotowość operacyjna na to okno — z narzędziami i instrukcjami w języku tajskim — to typowa luka dla zagranicznych wydawców dostosowanych do europejskiego rytmu.

Wymóg DPO

Akt podrzędny z 2024 roku wyjaśnił, kiedy wymagany jest DPO. Administratorzy przetwarzający duże wolumeny danych osobowych, prowadzący systematyczne monitorowanie podmiotów danych lub przetwarzający wrażliwe dane osobowe na dużą skalę muszą wyznaczyć DPO. Zagraniczni administratorzy osiągający próg wolumenu przez tajlandzkich użytkowników mieszczą się w zakresie. Dane kontaktowe DPO muszą być dostępne w tajskojęzycznym powiadomieniu o prywatności.

Kary i Postawa Egzekwowania w 2026 roku

Aktywność egzekwowania PDPC eskalowała znacząco w latach 2024 i 2025, a rok 2026 jest na podobnej trajektorii.

Struktura Kar Administracyjnych

Kary administracyjne są skalowane według rodzaju naruszenia, z maksimami THB 5 milionów za naruszenie dla najpoważniejszych naruszeń. Rutynowe naruszenia — niewystarczające banery zgody, brakujące powiadomienia o prywatności, niezastosowanie się do żądań podmiotów danych — zazwyczaj przyciągają kary w niższym przedziale setek tysięcy THB, ale mogą szybko eskalować w przypadku powtarzających się lub zaostrzonych naruszeń.

Sieć Bezpieczeństwa Odpowiedzialności Karnej

W przeciwieństwie do GDPR, PDPA przewiduje odpowiedzialność karną za najpoważniejsze naruszenia, w tym pozbawienie wolności dyrektorów w określonych okolicznościach. Akt podrzędny z 2024 roku wyjaśnił zakres odpowiedzialności karnej, i choć nie została ona zastosowana wobec zagranicznych wydawców w 2026 roku do tej pory, możliwość ta kształtuje analizę ryzyka dla każdej organizacji przetwarzającej tajlandzkie dane na dużą skalę.

Tematy Egzekwowania

Działania PDPC z 2025 roku i początku 2026 skupiają się wokół: niejednoznacznych lub nieobecnych banerów zgody, braku tajskojęzycznych powiadomień o prywatności, transgranicznych transferów bez ważnego mechanizmu w ramach przepisów z 2025 roku, niezastosowania się do żądań podmiotów danych w oknie 30 dni i brakujących wyznaczenia DPO dla administratorów w zakresie. Zagraniczni wydawcy zostali zacytowani we wszystkich pięciu kategoriach.

Lista Kontrolna Audytu dla Tajlandzkiego Ruchu w 2026 roku

• Baner CMP jest wyświetlany po tajsku z ยอมรับ, ปฏิเสธ i ตั้งค่า z równą wizualną prominencją
• Cele zgody są granularne i oddzielają przetwarzanie kategorii wrażliwych za własnym przepływem zgody
• Powiadomienie o prywatności jest dostępne po tajsku z pełnymi ujawnieniami administratora, podmiotów przetwarzających, celów, przechowywania, praw i kontaktu DPO
• Transfery transgraniczne opierają się na zatwierdzonych przez PDPC standardowych klauzulach umownych, decyzji o adekwatności, BCRs, certyfikacji lub udokumentowanym wyjątku
• Dzienniki zgód są opatrzone znacznikami czasu, eksportowalne i przechowywane przez odpowiedni okres
• Przepływ pracy żądań podmiotów danych może odpowiadać w ciągu 30 dni od początku do końca, po tajsku
• DPO jest wyznaczony tam, gdzie jest to wymagane, a informacje kontaktowe są opublikowane w powiadomieniu o prywatności
• Lista dostawców została przejrzana pod kątem niezbędności, z usuniętymi nieużywanymi lub nadmiarowymi dostawcami w celu zmniejszenia powierzchni transgranicznych transferów
• Segmenty odbiorców z kategorii wrażliwych są chronione za wyraźną, osobno uzyskaną zgodą
• Instrukcja powiadamiania o naruszeniach jest dostosowana do harmonogramów powiadamiania o naruszeniach PDPA

Perspektywy na 2026 rok

Tajlandzki reżim prywatności dojrzał od podstawowego statutu o ograniczonej szczegółowości operacyjnej do reżimu z aktami podrzędnymi, zdolnością egzekwowania i polityczną wolą skutecznego egzekwowania. Przepisy transferowe z 2025 roku zamknęły najbardziej konsekwentną strukturalną lukę, a wczesna postawa egzekwowania PDPC jest spójna z poważnym organem regulacyjnym w trakcie rozbudowy, a nie takim, który pozostanie cichy. Dla wydawców już korzystających z stosu zgody klasy GDPR luka do zgodności z PDPA jest operacyjna, a nie architektoniczna: tajskojęzyczna CMP i powiadomienie o prywatności, mechanizmy transferu zatwierdzone przez PDPC, rytm odpowiedzi 30 dni, wyznaczenie DPO tam, gdzie jest wymagane, i ostrożność z szerszą listą wrażliwych danych PDPA. Lukę można wypełnić w ciągu tygodni, jeśli zostanie nadany priorytet — a Tajlandia jest znaczącym rynkiem Azji Południowo-Wschodniej, więc priorytetyzacja zazwyczaj szybko się opłaca. Wydawcy, którzy traktowali Tajlandię jako lżejszy rynek przez 2024 rok, odkrywają, że 2026 jest znacznie bardziej wymagający, a trend jest wyraźny.