Štruktúra PDPA v roku 2026

PDPA je primárnym štatútom ochrany údajov v Thajsku a jeho štruktúra sa úzko podobá na GDPR. Podriadené predpisy z rokov 2024 a 2025 pridali prevádzkové podrobnosti, ktoré predtým chýbali v základnom zákone.

Čo Pridali Podriadené Predpisy

V priebehu rokov 2024 a 2025 vydal PDPC podriadené predpisy pokrývajúce: mechanizmy cezhraničného prenosu údajov, vymenovanie a povinnosti zodpovedných osôb za ochranu údajov, postupy oznamovania porušenia ochrany údajov, požiadavky na vedenie záznamov o spracovateľských činnostiach, časové harmonogramy pracovného toku pre práva dotknutých osôb a špecifické štandardy súhlasu pre citlivé osobné údaje. Tieto predpisy kolektívne transformovali PDPA zo všeobecného rámca na prevádzkový režim porovnateľný s GDPR v špecifickosti.

Kto Je Regulovaný

PDPA sa vzťahuje na väčšinu prevádzkovateľov a sprostredkovateľov, s extrateritoriálnym dosahom pre zahraničné organizácie spracúvajúce osobné údaje fyzických osôb v Thajsku v súvislosti s ponukou tovaru alebo služieb alebo monitorovaním správania. Zahraniční vydavatelia obsluhujúci thajských používateľov prostredníctvom lokalizovaných stránok alebo programatického inventára zakúpeného voči thajským IP adresám sú typicky v rozsahu a PDPC sa vo svojich skorých presadzovacích listoch odvolal na extrateritoriálne ustanovenie.

Správne a Trestnoprávne Sankcie

PDPA stanovuje správne pokuty až do výšky THB 5 miliónov za porušenie, spolu s trestnými sankciami za najzávažnejšie porušenia, vrátane väzby pre riaditeľov v konkrétnych okolnostiach. Strop správnej pokuty je nižší ako GDPR v absolútnych hodnotách, ale eskalujúci postoj k presadzovaniu zo strany PDPC a dostupnosť trestnoprávnej zodpovednosti robia efektívne riziko významným.

Čo Sa Počíta ako Osobné Údaje Podľa PDPA

Definícia osobných údajov v PDPA úzko sleduje GDPR. Osobné údaje sú informácie týkajúce sa identifikovanej alebo identifikovateľnej osoby a PDPC dôsledne zaobchádzal s cookies, reklamými identifikátormi, IP adresami, odtlačkami zariadení a správanými profilmi ako s osobnými údajmi, keď ich možno priamo alebo v kombinácii s inými informáciami prepojiť s fyzickou osobou.

Citlivé Osobné Údaje

PDPA určuje širokú citlivú kategóriu vrátane: rasového alebo etnického pôvodu, politického názoru, náboženského alebo filozofického presvedčenia, sexuálneho správania, trestnej minulosti, zdravotných údajov, zdravotného postihnutia, členstva v odboroch, genetických údajov a biometrických údajov. Spracúvanie citlivých osobných údajov vyžaduje výslovný súhlas a spúšťa ďalšie povinnosti prevádzkovateľa.

Prečo Je To Dôležité pre Cookies

Cookie, ktorý ukladá bežný identifikátor, predstavuje bežné osobné údaje. Cookie, ktorý napája segment publika dotýkajúci sa citlivého zoznamu PDPA — zdravotné záujmy, náboženská príslušnosť, politické sklony — predstavuje spracúvanie citlivých osobných údajov a vyžaduje výslovný súhlas, nie všeobecný reklamný súhlas. Cielenie publika v thajčine, ktoré sa prekrýva s citlivým zoznamom, by sa malo konkrétne auditovať voči tejto hranici.

Súhlas s Cookies Podľa PDPA v Roku 2026

PDPA umožňuje viacero zákonných základov pre spracúvanie, ale pre cookies a podobné technológie, ktoré nie sú nevyhnutne potrebné na poskytovanie služieb, usmernenia PDPC a skoré presadzovanie sa zblížili na súhlase ako praktickom základe.

Prvky Platného Súhlasu

Súhlas podľa PDPA musí byť:

• Slobodne daný — bez nátlaku alebo prepojenia s poskytovaním základných služieb
• Informovaný — dotknutá osoba rozumie, aké údaje sa spracúvajú, kým a na aký účel
• Konkrétny — viazaný na jasne identifikované účely, nie na všeobecný súhlas
• Jednoznačný — vyjadrený prostredníctvom jasného kladného úkonu, nie odvodený z nečinnosti
• Výslovný v prípadoch týkajúcich sa citlivých osobných údajov, s oddeleným a konkrétnym súhlasom pre citlivé spracúvanie

Ako Vyzerá Vyhovujúca CMP

CMP nakonfigurovaný pre thajskú premávku v roku 2026 by mal prezentovať:

• Viditeľný banner pred aktiváciou akéhokoľvek nepodstatného cookie alebo sledovača, v thajčine (ภาษาไทย) predvolene pre thajských používateľov
• Rovnakú vizuálnu prominenciu pre ยอมรับ (Prijať), ปฏิเสธ (Odmietnuť) a ตั้งค่า (Nastavenia) — PDPC kritizoval dizajny bannerov, kde je akcia Odmietnuť vizuálne oslabená
• Granulárne prepínače pre každý účel: analytika, reklama, personalizácia, cezhraničný prenos a akékoľvek spracúvanie citlivej kategórie
• Samostatný, jasne označený tok pre spracúvanie citlivých osobných údajov, chránený za vlastnou akciou
• Trvalý, ľahko nájditeľný mechanizmus na odvolanie súhlasu po počiatočnej voľbe
• Oznámenie o ochrane súkromia v thajčine s úplnými zverejneniami prevádzkovateľa, sprostredkovateľov, účelov, príjemcov, doby uchovávania a práv

Záznamy o Súhlase

Prevádzkovatelia musia uchovávať dôkazy o súhlase — kto súhlasil, kedy, na aký účel a prostredníctvom ktorého rozhrania. Nedostatočné záznamy o súhlase boli citované v niekoľkých presadzovacích listoch PDPC v roku 2025 a exportovateľné protokoly s časovými pečiatkami sú základným očakávaním.

Cezhraničné Prenosy po Predpisoch z Roku 2025

Transferové predpisy z roku 2025 boli najdôležitejším nedávnym vývojom pre zahraničných vydavateľov, ktorý objasnil mechanizmy dostupné pre cezhraničné dátové toky.

Uznané Prenosové Mechanizmy

Predpisy z roku 2025 poskytujú štyri primárne cesty:

• Označenie primeranej ochrany, kde PDPC posúdil cieľovú krajinu ako poskytujúcu primeranú ochranu
• Primerané záruky prostredníctvom zmluvných mechanizmov vrátane štandardných zmluvných doložiek schválených PDPC a záväzných firemných pravidiel
• Konkrétne výnimky vrátane výslovného súhlasu dotknutej osoby s primeraným zverejnením, zmluvnej nevyhnutnosti, životného záujmu a podstatného verejného záujmu
• Certifikačné schémy uznané PDPC pre konkrétne odvetvia alebo činnosti

Zoznam Primeranosti

PDPC vydal rozhodnutia o primeranosti pre hrstku jurisdikcií do začiatku roku 2026. Spojené štáty nie sú na zozname, čo znamená, že prenosy k americkým dodávateľom adtech a analytiky vyžadujú zmluvné doložky, certifikáciu alebo výnimku založenú na súhlase.

Praktický Prístup pre Rok 2026

Pre väčšinu zahraničných vydavateľov je pracovný prístup uzatvoriť štandardné zmluvné doložky schválené PDPC s medzinárodnými sprostredkovateľmi, zdokumentovať prenosový mechanizmus v oznámení o ochrane súkromia v thajčine a doplniť autorizáciou založenou na súhlase len tam, kde štandardný mechanizmus nepasuje čisto.

Práva Dotknutých Osôb Podľa PDPA

PDPA udeľuje súbor práv úzko sledujúci GDPR:

• Právo na prístup k osobným údajom uchovávaným prevádzkovateľom
• Právo na opravu nepresných alebo neúplných údajov
• Právo na vymazanie
• Právo na obmedzenie spracúvania
• Právo na prenosnosť údajov
• Právo namietať voči spracúvaniu
• Právo odvolať súhlas
• Právo nebyť predmetom automatizovaného rozhodovania, ktoré produkuje významné účinky
• Právo podať sťažnosť PDPC

Lehoty Odpovede

Prevádzkovatelia musia odpovedať na žiadosti dotknutých osôb do 30 dní v rámci všeobecného rámca, s kratšími lehotami pre konkrétne typy žiadostí. Prevádzková pripravenosť na toto okno — s nástrojmi a manuálmi v thajčine — je bežnou medzerou pre zahraničných vydavateľov nastavených na európsky rytmus.

Požiadavka DPO

Podriadený predpis z roku 2024 objasnil, kedy je DPO potrebný. Prevádzkovatelia spracúvajúci veľké objemy osobných údajov, vykonávajúci systematické monitorovanie dotknutých osôb alebo spracúvajúci citlivé osobné údaje vo veľkom rozsahu musia menovať DPO. Zahraniční prevádzkovatelia dosahujúci prahový objem prostredníctvom thajských používateľov sú v rozsahu. Kontaktné informácie DPO musia byť prístupné v oznámení o ochrane súkromia v thajčine.

Sankcie a Postoj k Presadzovaniu v Roku 2026

Presadzovacia aktivita PDPC výrazne eskalovala v rokoch 2024 a 2025 a rok 2026 je na podobnej trajektórii.

Štruktúra Správnych Pokút

Správne pokuty sa škálujú podľa druhu porušenia, s maximom THB 5 miliónov za porušenie pre najzávažnejšie porušenia. Rutinné porušenia — nedostatočné bannery súhlasu, chýbajúce oznámenia o ochrane súkromia, nezodpovedanie žiadostí dotknutých osôb — typicky priťahujú pokuty v nižšom rozsahu stotisíc THB, ale môžu rýchlo eskalovať pri opakovaných alebo priťažujúcich porušeniach.

Záchranná Sieť Trestnoprávnej Zodpovednosti

Na rozdiel od GDPR PDPA stanovuje trestnoprávnu zodpovednosť za najzávažnejšie porušenia, vrátane väzby riaditeľov v konkrétnych okolnostiach. Podriadený predpis z roku 2024 objasnil rozsah trestnoprávnej zodpovednosti a hoci nebola uplatnená voči zahraničným vydavateľom v roku 2026 k dnešnému dňu, možnosť formuje analýzu rizík pre každú organizáciu spracúvajúcu thajské údaje vo veľkom meradle.

Témy Presadzovania

Akcie PDPC z roku 2025 a začiatku roku 2026 sa zhlukujú okolo: nejednoznačných alebo chýbajúcich bannerov súhlasu, absencie oznámení o ochrane súkromia v thajčine, cezhraničných prenosov bez platného mechanizmu podľa predpisov z roku 2025, nezodpovedania žiadostí dotknutých osôb v lehote 30 dní a chýbajúcich menovania DPO pre prevádzkovateľov v rozsahu. Zahraniční vydavatelia boli citovaní vo všetkých piatich kategóriách.

Kontrolný Zoznam Auditu pre Thajskú Premávku v Roku 2026

• Banner CMP je zobrazovaný v thajčine s ยอมรับ, ปฏิเสธ a ตั้งค่า s rovnakou vizuálnou prominenciou
• Účely súhlasu sú granulárne a oddeľujú spracúvanie citlivých kategórií za vlastným tokom súhlasu
• Oznámenie o ochrane súkromia je dostupné v thajčine s úplnými zverejneniami prevádzkovateľa, sprostredkovateľov, účelov, uchovávania, práv a kontaktu DPO
• Cezhraničné prenosy sa opierajú o štandardné zmluvné doložky schválené PDPC, označenie primeranosti, BCRs, certifikáciu alebo zdokumentovanú výnimku
• Protokoly súhlasu sú s časovými pečiatkami, exportovateľné a uchovávané po príslušné obdobie
• Pracovný tok žiadostí dotknutých osôb môže odpovedať do 30 dní od začiatku do konca v thajčine
• DPO je menovaný tam, kde sa to vyžaduje, a kontaktné informácie sú zverejnené v oznámení o ochrane súkromia
• Zoznam dodávateľov bol preskúmaný z hľadiska nevyhnutnosti, pričom nepoužívané alebo nadbytočné subjekty boli odstránené na zníženie povrchu cezhraničných prenosov
• Segmenty publika citlivých kategórií sú chránené za výslovným, samostatne zachyteným súhlasom
• Manuál oznamovania porušení je nastavený na lehoty oznamovania porušení ochrany údajov PDPA

Výhľad pre Rok 2026

Thajský režim ochrany súkromia dozrel zo základného štatútu s obmedzenou prevádzkovou špecifickosťou na režim s podriadenými predpismi, kapacitou na presadzovanie a politickou vôľou na zmysluplné presadzovanie. Transferové predpisy cezhraničných prenosov z roku 2025 uzavreli najdôležitejšiu štrukturálnu medzeru a skorý postoj PDPC k presadzovaniu je v súlade so serióznym regulátorom uprostred rozširovania, nie takým, ktorý zostane tichý. Pre vydavateľov, ktorí už prevádzkujú zásobník súhlasov triedy GDPR, je medzera k súladu s PDPA prevádzkového charakteru, nie architektonická: CMP a oznámenie o ochrane súkromia v thajčine, prenosové mechanizmy schválené PDPC, 30-dňový rytmus odpovede, menovanie DPO tam, kde je to potrebné, a starostlivosť s rozsiahlejším zoznamom citlivých údajov PDPA. Medzera sa dá uzatvoriť v priebehu týždňov, ak je prioritizovaná — a Thajsko je významným trhom juhovýchodnej Ázie, takže prioritizácia sa zvyčajne rýchlo vyplatí. Vydavatelia, ktorí sa v roku 2024 správali k Thajsku ako k ľahšiemu trhu, zisťujú, že rok 2026 je výrazne náročnejší a trend je jasný.