Structura PDPA în 2026

PDPA este statutul principal de protecție a datelor din Thailanda, iar structura sa seamănă îndeaproape cu GDPR. Reglementările subordonate din 2024 și 2025 au adăugat detalii operaționale care lipseau anterior din legea de bază.

Ce Au Adăugat Reglementările Subordonate

De-a lungul anilor 2024 și 2025, PDPC a emis reglementări subordonate care acoperă: mecanisme de transfer transfrontalier de date, numirea și atribuțiile Responsabililor cu Protecția Datelor, proceduri de notificare a încălcării datelor, cerințe de evidență a prelucrării, calendare ale fluxului de lucru pentru drepturile persoanelor vizate și standarde specifice de consimțământ pentru datele cu caracter personal sensibile. Aceste reglementări au transformat colectiv PDPA dintr-un cadru general într-un regim operațional comparabil cu GDPR ca specificitate.

Cine Este Reglementat

PDPA se aplică majorității operatorilor și persoanelor împuternicite de operator, cu efect extrateritorial pentru organizațiile străine care procesează date cu caracter personal ale persoanelor din Thailanda în legătură cu oferirea de bunuri sau servicii sau monitorizarea comportamentului. Editorii străini care deservesc utilizatori din Thailanda prin intermediul site-urilor localizate sau al inventarului programatic achiziționat față de IP-uri thailandeze intră de obicei în domeniul de aplicare, iar PDPC a invocat dispoziția extrateritorială în scrisorile timpurii de aplicare.

Sancțiuni Administrative și Penale

PDPA prevede amenzi administrative de până la THB 5 milioane per încălcare, alături de sancțiuni penale pentru cele mai grave încălcări, inclusiv închisoarea pentru directori în circumstanțe specifice. Plafonul amenzii administrative este mai mic decât GDPR în termeni absoluți, dar atitudinea de aplicare în creștere a PDPC și disponibilitatea răspunderii penale fac ca riscul efectiv să fie semnificativ.

Ce Constituie Date cu Caracter Personal sub PDPA

Definiția datelor cu caracter personal din PDPA urmărește îndeaproape GDPR. Datele cu caracter personal sunt informații referitoare la o persoană identificată sau identificabilă, iar PDPC a tratat în mod consecvent cookie-urile, identificatorii de publicitate, adresele IP, amprentele dispozitivelor și profilurile comportamentale drept date cu caracter personal când pot fi legate de o persoană direct sau prin combinație cu alte informații.

Date cu Caracter Personal Sensibile

PDPA desemnează o categorie sensibilă largă care include: originea rasială sau etnică, opinia politică, credința religioasă sau filozofică, comportamentul sexual, cazierul judiciar, datele privind sănătatea, handicapul, apartenența la un sindicat, datele genetice și datele biometrice. Prelucrarea datelor cu caracter personal sensibile necesită consimțământ explicit și declanșează obligații suplimentare pentru operator.

De Ce Este Important pentru Cookie-uri

Un cookie care stochează un identificator de rutină reprezintă date cu caracter personal obișnuite. Un cookie care alimentează un segment de audiență care atinge lista sensibilă PDPA — interese de sănătate, afiliere religioasă, tendințe politice — reprezintă prelucrare de date cu caracter personal sensibile și necesită consimțământ explicit, mai degrabă decât consimțământul general pentru publicitate. Targetarea audienței în limba thailandeză care se suprapune cu lista sensibilă trebuie auditată specific față de această limită.

Consimțământul pentru Cookie-uri sub PDPA în 2026

PDPA permite mai multe baze legale pentru prelucrare, dar pentru cookie-uri și tehnologii similare care nu sunt strict necesare pentru furnizarea serviciilor, ghidanța PDPC și aplicarea timpurie au conversat asupra consimțământului ca linie de bază practică.

Elementele Consimțământului Valid

Consimțământul sub PDPA trebuie să fie:

• Acordat în mod liber — fără constrângere sau condiționare de furnizarea esențială a serviciului
• Informat — persoana vizată înțelege ce date sunt prelucrate, de către cine și în ce scop
• Specific — legat de scopuri clar identificate, mai degrabă decât un consimțământ general
• Neechivoc — exprimat printr-un act afirmativ clar, nu dedus din inactivitate
• Explicit în cazurile care implică date cu caracter personal sensibile, cu consimțământ separat și specific pentru prelucrarea sensibilă

Cum Arată o CMP Conformă

O CMP configurată pentru traficul din Thailanda în 2026 ar trebui să prezinte:

• Un banner vizibil înainte ca orice cookie sau tracker neesențial să fie activat, în thailandeză (ภาษาไทย) în mod implicit pentru utilizatorii din Thailanda
• Proeminență vizuală egală pentru ยอมรับ (Acceptați), ปฏิเสธ (Refuzați) și ตั้งค่า (Setări) — PDPC a criticat designurile de banner în care acțiunea de Refuzare este redusă vizual
• Comutatoare granulare per scop: analiză, publicitate, personalizare, transfer transfrontalier și orice prelucrare de categorie sensibilă
• Un flux separat, etichetat clar, pentru prelucrarea datelor cu caracter personal sensibile, protejat de propria acțiune
• Un mecanism persistent, ușor de găsit, pentru retragerea consimțământului după alegerea inițială
• O notificare de confidențialitate în tailandeză cu dezvăluiri complete ale operatorului, persoanelor împuternicite, scopurilor, destinatarilor, perioadei de retenție și drepturilor

Înregistrările Consimțământului

Operatorii trebuie să mențină dovezi ale consimțământului — cine a consimțit, când, pentru ce scop și prin ce interfață. Înregistrările inadecvate ale consimțământului au fost menționate în mai multe scrisori de aplicare ale PDPC în 2025, iar jurnalele cu marcaj temporal exportabile reprezintă așteptarea minimă.

Transferurile Transfrontaliere după Reglementările din 2025

Reglementările de transfer din 2025 au reprezentat cea mai importantă dezvoltare recentă pentru editorii străini, clarificând mecanismele disponibile pentru fluxurile transfrontaliere de date.

Mecanismele de Transfer Recunoscute

Reglementările din 2025 prevăd patru rute principale:

• Desemnarea protecției adecvate în care PDPC a evaluat țara de destinație ca oferind protecție adecvată
• Garanții adecvate prin mecanisme contractuale, inclusiv clauze contractuale standard aprobate de PDPC și reguli corporative obligatorii
• Derogări specifice inclusiv consimțământul explicit al persoanei vizate cu dezvăluire adecvată, necesitate contractuală, interes vital și interes public substanțial
• Scheme de certificare recunoscute de PDPC pentru sectoare sau activități specifice

Lista de Adecvare

PDPC a emis decizii de adecvare pentru o mână de jurisdicții până la începutul anului 2026. Statele Unite nu se află pe listă, ceea ce înseamnă că transferurile către vânzătorii de adtech și analiză cu sediul în SUA necesită clauze contractuale, certificare sau o derogare bazată pe consimțământ.

Abordarea Practică din 2026

Pentru majoritatea editorilor străini, abordarea de lucru este de a executa clauze contractuale standard aprobate de PDPC cu procesatorii internaționali, de a documenta mecanismul de transfer în notificarea de confidențialitate în tailandeză și de a completa cu autorizarea bazată pe consimțământ numai acolo unde mecanismul standard nu se potrivește clar.

Drepturile Persoanelor Vizate sub PDPA

PDPA acordă un set de drepturi care urmăresc îndeaproape GDPR:

• Dreptul de acces la datele cu caracter personal deținute de operator
• Dreptul la rectificarea datelor inexacte sau incomplete
• Dreptul la ștergere
• Dreptul la restricționarea prelucrării
• Dreptul la portabilitatea datelor
• Dreptul de a se opune prelucrării
• Dreptul de a retrage consimțământul
• Dreptul de a nu fi supus luării automate de decizii care produce efecte semnificative
• Dreptul de a depune o plângere la PDPC

Termenele de Răspuns

Operatorii trebuie să răspundă la cererile persoanelor vizate în termen de 30 de zile în cadrul cadrului general, cu ferestre mai scurte pentru tipuri specifice de cereri. Pregătirea operațională pentru această fereastră — cu instrumente și manuale în tailandeză — este o lacună comună pentru editorii străini ajustați la un ritm european.

Cerința DPO

Reglementarea subordonată din 2024 a clarificat când este necesar un DPO. Operatorii care procesează volume mari de date cu caracter personal, efectuează monitorizarea sistematică a persoanelor vizate sau procesează date cu caracter personal sensibile la scară trebuie să numească un DPO. Operatorii străini care ating pragul de volum prin utilizatorii din Thailanda intră în domeniul de aplicare. Informațiile de contact ale DPO trebuie să fie accesibile în notificarea de confidențialitate în tailandeză.

Penalități și Atitudinea de Aplicare în 2026

Activitatea de aplicare a PDPC a escaladat semnificativ de-a lungul anilor 2024 și 2025, iar 2026 urmează o traiectorie similară.

Structura Amenzilor Administrative

Amenzile administrative sunt scalate în funcție de tipul de încălcare, cu maxime de THB 5 milioane per încălcare pentru cele mai grave încălcări. Încălcările de rutină — bannere de consimțământ inadecvate, notificări de confidențialitate lipsă, nerespunsul la cererile persoanelor vizate — atrag de obicei amenzi în intervalul inferior al sutelor de mii de THB, dar pot escalada rapid pentru încălcări repetate sau agravate.

Plasa de Siguranță a Răspunderii Penale

Spre deosebire de GDPR, PDPA prevede răspundere penală pentru cele mai grave încălcări, inclusiv închisoarea directorilor în circumstanțe specifice. Reglementarea subordonată din 2024 a clarificat domeniul de aplicare al răspunderii penale, iar deși nu a fost aplicată împotriva editorilor străini în 2026 până acum, posibilitatea configurează analiza de risc pentru orice organizație care procesează date din Thailanda la scară.

Temele de Aplicare

Acțiunile PDPC din 2025 și începutul anului 2026 se grupează în jurul: bannerelor de consimțământ ambigue sau absente, lipsei notificărilor de confidențialitate în tailandeză, transferurilor transfrontaliere fără un mecanism valid conform reglementărilor din 2025, nereacționării la cererile persoanelor vizate în fereastra de 30 de zile și desemnărilor DPO lipsă pentru operatorii în domeniul de aplicare. Editorii străini au fost menționați în toate cele cinci categorii.

Lista de Control a Auditului pentru Traficul din Thailanda în 2026

• Bannerul CMP este afișat în tailandeză cu ยอมรับ, ปฏิเสธ și ตั้งค่า cu proeminență vizuală egală
• Scopurile consimțământului sunt granulare și separă prelucrarea categoriei sensibile în spatele propriului flux de consimțământ
• Notificarea de confidențialitate este disponibilă în tailandeză cu dezvăluiri complete ale operatorului, persoanelor împuternicite, scopurilor, retenției, drepturilor și contactului DPO
• Transferurile transfrontaliere se bazează pe clauze contractuale standard aprobate de PDPC, desemnare de adecvare, BCRs, certificare sau o derogare documentată
• Jurnalele de consimțământ sunt cu marcaj temporal, exportabile și păstrate pentru perioada aplicabilă
• Fluxul de lucru al cererii persoanelor vizate poate răspunde în termen de 30 de zile de la capăt la capăt, în tailandeză
• DPO este desemnat acolo unde este necesar, iar informațiile de contact sunt publicate în notificarea de confidențialitate
• Lista furnizorilor a fost revizuită pentru necesitate, cu furnizorii neutilizați sau redundanți eliminați pentru a reduce suprafața de transfer transfrontalier
• Segmentele de audiență din categoria sensibilă sunt protejate în spatele consimțământului explicit, capturat separat
• Manualul de notificare a încălcării este ajustat la termenele de notificare a încălcărilor din PDPA

Perspectivele pentru 2026

Regimul de confidențialitate al Thailandei a ajuns la maturitate de la un statut de bază cu specificitate operațională limitată la un regim cu reglementările subordonate, capacitatea de aplicare și voința politică de a fi aplicat în mod semnificativ. Reglementările transfrontaliere de transfer din 2025 au închis cea mai importantă lacună structurală, iar atitudinea timpurie de aplicare a PDPC este consecventă cu un regulator serios aflat în mijlocul scalării, nu unul care va rămâne liniștit. Pentru editorii care rulează deja o stivă de consimțământ de nivel GDPR, decalajul față de conformitatea PDPA este operațional, mai degrabă decât arhitectural: CMP și notificare de confidențialitate în tailandeză, mecanisme de transfer aprobate de PDPC, cadența de răspuns de 30 de zile, desemnarea DPO acolo unde este necesar și atenție cu lista mai extinsă de date sensibile a PDPA. Decalajul poate fi închis în săptămâni dacă este prioritizat — iar Thailanda este o piață semnificativă din Asia de Sud-Est, deci prioritizarea se plătește de obicei rapid. Editorii care au tratat Thailanda ca o piață mai ușoară pe parcursul anului 2024 descoperă că 2026 este semnificativ mai exigent, iar tendința este clară.