Структура PDPA в 2026 году

PDPA — это основной закон о защите данных в Таиланде, и его структура близко напоминает GDPR. Подзаконные акты 2024 и 2025 годов добавили операционные детали, которые ранее отсутствовали в базовом законе.

Что добавили подзаконные акты

В течение 2024 и 2025 годов PDPC выпустил подзаконные акты, охватывающие: механизмы трансграничной передачи данных, назначение и обязанности сотрудников по защите данных, процедуры уведомления об утечках данных, требования к записи обработки, сроки рабочего процесса прав субъектов данных и конкретные стандарты согласия для конфиденциальных персональных данных. Эти регулирования в совокупности переместили PDPA из общей системы в операционный режим, сопоставимый с GDPR по специфичности.

Кто регулируется

PDPA применяется к большинству контролёров и обработчиков данных, с экстерриториальным охватом для иностранных организаций, которые обрабатывают персональные данные лиц в Таиланде в связи с предложением товаров или услуг или мониторингом поведения. Иностранные паблишеры, обслуживающие тайских пользователей через локализованные сайты или программатик-инвентарь, купленный против тайских IP, как правило, входят в сферу действия, и PDPC ссылался на экстерриториальное положение в ранних правоприменительных письмах.

Административные и уголовные санкции

PDPA предусматривает административные штрафы до THB 5 миллионов за нарушение, наряду с уголовными наказаниями за самые серьёзные нарушения, включая тюремное заключение для директоров в определённых обстоятельствах. Потолок административного штрафа ниже GDPR в абсолютном выражении, но эскалирующая позиция правоприменения PDPC и доступность уголовной ответственности делают эффективный риск значительным.

Что считается персональными данными согласно PDPA

Определение персональных данных PDPA близко следует GDPR. Персональные данные — это информация, относящаяся к идентифицированному или идентифицируемому лицу, и PDPC последовательно рассматривал файлы cookie, рекламные идентификаторы, IP-адреса, отпечатки устройств и поведенческие профили как персональные данные, когда они могут быть привязаны к лицу напрямую или в комбинации с другой информацией.

Конфиденциальные персональные данные

PDPA обозначает широкую конфиденциальную категорию, включающую: расовое или этническое происхождение, политическое мнение, религиозное или философское убеждение, сексуальное поведение, судимость, данные о здоровье, инвалидность, членство в профсоюзе, генетические данные и биометрические данные. Обработка конфиденциальных персональных данных требует явного согласия и запускает дополнительные обязательства контролёра.

Почему это важно для cookie

Файл cookie, который хранит рутинный идентификатор, — это обычные персональные данные. Файл cookie, который питает сегмент аудитории, затрагивающий конфиденциальный список PDPA — интересы здоровья, религиозную принадлежность, политические наклонности — это обработка конфиденциальных персональных данных и требует явного согласия, а не общего согласия на рекламу. Таргетинг аудитории на тайском языке, который пересекается с конфиденциальным списком, должен проверяться конкретно против этой границы.

Согласие на cookie согласно PDPA в 2026 году

PDPA разрешает множество законных оснований для обработки, но для файлов cookie и аналогичных технологий, которые не являются строго необходимыми для предоставления услуги, рекомендации и раннее правоприменение PDPC сошлись на согласии как практической базовой линии.

Элементы действительного согласия

Согласие согласно PDPA должно быть:

• Свободно данным — без принуждения или связывания с предоставлением основной услуги
• Информированным — субъект данных понимает, какие данные обрабатываются, кем и для какой цели
• Конкретным — привязанным к чётко определённым целям, а не к зонтичному согласию
• Недвусмысленным — выраженным через ясный утвердительный акт, а не выведенным из бездействия
• Явным в случаях, связанных с конфиденциальными персональными данными, с отдельным и конкретным согласием на конфиденциальную обработку

Как выглядит соответствующая CMP

CMP, настроенная для тайского трафика в 2026 году, должна представлять:

• Видимый баннер до срабатывания любого неосновного файла cookie или трекера, на тайском (ภาษาไทย) по умолчанию для тайских пользователей
• Равную визуальную заметность для ยอมรับ (Принять), ปฏิเสธ (Отклонить) и ตั้งค่า (Настройки) — PDPC критиковал дизайны баннеров, где действие отклонения визуально приуменьшено
• Гранулярные переключатели по цели: аналитика, реклама, персонализация, трансграничная передача и любая обработка конфиденциальных категорий
• Отдельный, чётко обозначенный поток для обработки конфиденциальных персональных данных, огороженный собственным действием
• Постоянный, легко находимый механизм отзыва согласия после первоначального выбора
• Уведомление о конфиденциальности на тайском языке с полными раскрытиями контролёра, обработчиков, целей, получателей, хранения и прав

Записи о согласии

Контролёры должны вести доказательства согласия — кто согласился, когда, на какую цель и через какой интерфейс. Неадекватные записи о согласии упоминались в нескольких правоприменительных письмах PDPC в 2025 году, и экспортируемые журналы с временными метками являются базовым ожиданием.

Трансграничные передачи после регулирований 2025 года

Регулирования передачи 2025 года были самым значимым недавним событием для иностранных паблишеров, прояснив механизмы, доступные для трансграничных потоков данных.

Признанные механизмы передачи

Регулирования 2025 года предусматривают четыре основных пути:

• Обозначение адекватной защиты, где PDPC оценил страну назначения как обеспечивающую адекватную защиту
• Соответствующие гарантии через договорные механизмы, включая одобренные PDPC стандартные договорные положения и обязательные корпоративные правила
• Специфические исключения, включая явное согласие субъекта данных с адекватным раскрытием, необходимость договора, жизненный интерес и существенный общественный интерес
• Схемы сертификации, признанные PDPC для конкретных секторов или видов деятельности

Список адекватности

PDPC выпустил решения об адекватности для нескольких юрисдикций к началу 2026 года. Соединённые Штаты не входят в список, что означает, что передачи поставщикам ad-tech и аналитики, базирующимся в США, требуют договорных положений, сертификации или исключения на основе согласия.

Практический подход 2026 года

Для большинства иностранных паблишеров рабочий подход — заключить одобренные PDPC стандартные договорные положения с международными обработчиками, задокументировать механизм передачи в уведомлении о конфиденциальности на тайском языке и дополнить авторизацией на основе согласия только там, где стандартный механизм не вписывается чисто.

Права субъекта данных согласно PDPA

PDPA предоставляет набор прав, близко следующих GDPR:

• Право доступа к персональным данным, хранящимся у контролёра
• Право на исправление неточных или неполных данных
• Право на удаление
• Право на ограничение обработки
• Право на переносимость данных
• Право возражать против обработки
• Право отозвать согласие
• Право не подвергаться автоматизированному принятию решений, производящему значительные последствия
• Право подать жалобу в PDPC

Сроки ответа

Контролёры должны отвечать на запросы субъектов данных в течение 30 дней в рамках общей системы, с более короткими окнами для конкретных типов запросов. Операционная готовность к этому окну — с инструментарием и руководствами на тайском языке — является распространённым пробелом для иностранных паблишеров, настроенных на европейский ритм.

Требование DPO

Подзаконный акт 2024 года прояснил, когда требуется DPO. Контролёры, обрабатывающие большие объёмы персональных данных, проводящие систематический мониторинг субъектов данных или обрабатывающие конфиденциальные персональные данные в масштабе, должны назначить DPO. Иностранные контролёры, достигающие порога объёма через тайских пользователей, входят в сферу действия. Контактная информация DPO должна быть доступна в уведомлении о конфиденциальности на тайском языке.

Штрафы и позиция правоприменения в 2026 году

Правоприменительная активность PDPC значительно возросла в течение 2024 и 2025 годов, и 2026 год идёт по аналогичной траектории.

Структура административных штрафов

Административные штрафы масштабируются по типу нарушения, с максимумами THB 5 миллионов за нарушение для самых серьёзных нарушений. Рутинные нарушения — неадекватные баннеры согласия, отсутствующие уведомления о конфиденциальности, неспособность ответить на запросы субъектов данных — обычно привлекают штрафы в нижнем диапазоне сотен тысяч THB, но могут быстро эскалироваться за повторяющиеся или отягощённые нарушения.

Резерв уголовной ответственности

В отличие от GDPR, PDPA предусматривает уголовную ответственность за самые серьёзные нарушения, включая тюремное заключение директоров в определённых обстоятельствах. Подзаконный акт 2024 года прояснил сферу уголовной ответственности, и хотя она не применялась против иностранных паблишеров в 2026 году на сегодняшний день, эта возможность формирует анализ рисков для любой организации, обрабатывающей тайские данные в масштабе.

Темы правоприменения

Действия PDPC в 2025 и начале 2026 года группируются вокруг: неоднозначных или отсутствующих баннеров согласия, отсутствия уведомлений о конфиденциальности на тайском языке, трансграничных передач без действительного механизма в рамках регулирований 2025 года, неспособности ответить на запросы субъектов данных в течение 30-дневного окна и отсутствующих назначений DPO для контролёров в сфере действия. Иностранные паблишеры были упомянуты во всех пяти категориях.

Чек-лист аудита для тайского трафика в 2026 году

• Баннер CMP подаётся на тайском с ยอมรับ, ปฏิเสธ и ตั้งค่า при равной визуальной заметности
• Цели согласия гранулярны и отделяют обработку конфиденциальных категорий за собственным потоком согласия
• Уведомление о конфиденциальности доступно на тайском с полными раскрытиями контролёра, обработчиков, целей, хранения, прав и контакта DPO
• Трансграничные передачи опираются на одобренные PDPC стандартные договорные положения, обозначение адекватности, BCR, сертификацию или задокументированное исключение
• Журналы согласия имеют временные метки, экспортируемы и сохраняются в течение применимого периода
• Рабочий процесс запросов субъектов данных может ответить в течение 30 дней от начала до конца, на тайском
• DPO назначен там, где требуется, и контактная информация опубликована в уведомлении о конфиденциальности
• Список вендоров был проверен на необходимость, с удалением неиспользуемых или избыточных вендоров для сокращения поверхности трансграничной передачи
• Сегменты аудитории конфиденциальных категорий огорожены явным, отдельно собранным согласием
• Руководство по уведомлению об утечках настроено на сроки уведомления об утечках PDPA

Перспектива 2026 года

Режим приватности Таиланда созрел от базового закона с ограниченной операционной специфичностью до режима с подзаконными актами, правоприменительным потенциалом и политической волей для значимого применения. Регулирования трансграничной передачи 2025 года закрыли наиболее значимый структурный пробел, а ранняя позиция правоприменения PDPC согласуется с серьёзным регулятором в середине наращивания, а не с тем, кто останется тихим. Для паблишеров, уже запускающих стек согласия уровня GDPR, разрыв до соответствия PDPA является операционным, а не архитектурным: CMP и уведомление о конфиденциальности на тайском языке, одобренные PDPC механизмы передачи, 30-дневный ритм ответа, назначение DPO там, где требуется, и осторожность с более широким списком конфиденциальных данных PDPA. Разрыв можно закрыть за недели, если приоритизировать — а Таиланд является значимым рынком Юго-Восточной Азии, поэтому приоритизация обычно быстро окупается. Паблишеры, которые относились к Таиланду как к рынку с более мягким подходом в течение 2024 года, находят 2026 год значительно более требовательным, и тренд ясен.