Struktura PDPA leta 2026

PDPA je primarni statut varstva podatkov na Tajskem, njegova struktura pa je zelo podobna GDPR. Podrejeni predpisi iz let 2024 in 2025 so dodali operativne podrobnosti, ki so prej manjkale v temeljnem zakonu.

Kaj so Dodali Podrejeni Predpisi

V letih 2024 in 2025 je PDPC izdal podrejene predpise, ki zajemajo: mehanizme čezmejnega prenosa podatkov, imenovanje in dolžnosti pooblaščenih oseb za varstvo podatkov, postopke obveščanja o kršitvah podatkov, zahteve za evidenco dejavnosti obdelave, časovnice delovnega toka za pravice posameznikov, na katere se nanašajo osebni podatki, in posebne standarde privolitve za občutljive osebne podatke. Ti predpisi so skupaj transformirali PDPA iz splošnega okvira v operativno ureditev, primerljivo z GDPR po specifičnosti.

Kdo je Reguliran

PDPA se nanaša na večino upravljavcev in obdelovalcev podatkov z ekstrateritorialnim dosegom za tuje organizacije, ki obdelujejo osebne podatke posameznikov na Tajskem v zvezi z ponujanjem blaga ali storitev ali nadzorovanjem vedenja. Tuji založniki, ki strežejo tajskim uporabnikom prek lokaliziranih spletnih mest ali programatičnega zalog, kupljenega glede na tajske naslove IP, so tipično v obsegu, PDPC pa je v zgodnjih dopisih o izvrševanju navedel ekstrateritorialno določbo.

Upravne in Kazenske Sankcije

PDPA predvideva upravne globe do THB 5 milijonov na kršitev poleg kazenskih sankcij za najhujše kršitve, vključno z zaporom direktorjev v posebnih okoliščinah. Zgornja meja upravne globe je nižja od GDPR v absolutnih vrednostih, a eskalirajoče stališče PDPC do izvrševanja in možnost kazenske odgovornosti naredita dejansko tveganje pomembno.

Kaj se Šteje kot Osebni Podatki po PDPA

Definicija osebnih podatkov v PDPA natančno sledi GDPR. Osebni podatki so informacije, ki se nanašajo na identificirano ali identificabilno osebo, PDPC pa je dosledno obravnaval piškotke, oglaševalske identifikatorje, naslove IP, prstne odtise naprav in vedenjske profile kot osebne podatke, kadar jih je mogoče neposredno ali v kombinaciji z drugimi informacijami povezati s posameznikom.

Občutljivi Osebni Podatki

PDPA določa široko občutljivo kategorijo, ki vključuje: rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje, spolno vedenje, kazensko evidenco, zdravstvene podatke, invalidnost, članstvo v sindikatu, genetske podatke in biometrične podatke. Obdelava občutljivih osebnih podatkov zahteva izrecno privolitev in sproži dodatne obveznosti upravljavca.

Zakaj je to Pomembno za Piškotke

Piškotek, ki shrani rutinski identifikator, je navadni osebni podatek. Piškotek, ki napaja segment občinstva, ki se dotika občutljivega seznama PDPA — zdravstveni interesi, verska pripadnost, politične nagnjenja — je obdelava občutljivih osebnih podatkov in zahteva izrecno privolitev, ne splošne oglaševalske privolitve. Ciljanje občinstva v tajščini, ki se prekriva z občutljivim seznamom, je treba posebej pregledati glede na to mejo.

Privolitev za Piškotke po PDPA leta 2026

PDPA dovoljuje več zakonitih osnov za obdelavo, a za piškotke in podobne tehnologije, ki niso nujno potrebne za zagotavljanje storitev, so smernice PDPC in zgodnje izvrševanje konvergirale k privolitvi kot praktični osnovi.

Elementi Veljavne Privolitve

Privolitev po PDPA mora biti:

• Prostovoljna — brez prisile ali vezave na bistveno zagotavljanje storitev
• Informirana — posameznik razume, kateri podatki se obdelujejo, kdo jih obdeluje in v kakšen namen
• Specifična — vezana na jasno opredeljene namene, ne splošno privolitev
• Nedvoumna — izražena z jasnim pritrdilnim dejanjem, ne sklepana iz nedejavnosti
• Izrecna v primerih, ki vključujejo občutljive osebne podatke, z ločeno in specifično privolitvijo za občutljivo obdelavo

Kako Izgleda Skladna CMP

CMP, konfiguriran za tajski promet leta 2026, bi moral predstaviti:

• Vidni pasico pred aktivacijo katerega koli nebistvenih piškotka ali sledilnika, privzeto v tajščini (ภาษาไทย) za tajske uporabnike
• Enako vizualno vidnost za ยอมรับ (Sprejmi), ปฏิเสธ (Zavrni) in ตั้งค่า (Nastavitve) — PDPC je kritiziral zasnove pasic, kjer je dejanje Zavrni vizualno zmanjšano
• Podrobna stikala za vsak namen: analitika, oglaševanje, personalizacija, čezmejni prenos in vsaka obdelava občutljive kategorije
• Ločen, jasno označen tok za obdelavo občutljivih osebnih podatkov, zavarovan za lastnim dejanjem
• Trajen, enostavno dostopen mehanizem za umik privolitve po začetni izbiri
• Obvestilo o zasebnosti v tajščini s popolnimi razkritji upravljavca, obdelovalcev, namenov, prejemnikov, hranjenja in pravic

Evidence Privolitev

Upravljavci morajo hraniti dokaze o privolitvi — kdo je privolil, kdaj, za kateri namen in prek katerega vmesnika. Nezadostne evidence privolitev so bile navedene v več dopisih o izvrševanju PDPC leta 2025, izvozljivi dnevniki s časovnimi žigi pa so osnovno pričakovanje.

Čezmejni Prenosi po Predpisih iz leta 2025

Prenosni predpisi iz leta 2025 so bili najpomembnejši nedavni razvoj za tuje založnike, ki je pojasnil mehanizme, ki so na voljo za čezmejne tokove podatkov.

Priznani Prenosni Mehanizmi

Predpisi iz leta 2025 zagotavljajo štiri primarne poti:

• Oznaka ustrezne zaščite, kjer je PDPC ocenil namembno državo kot zagotavljajočo ustrezno zaščito
• Ustrezna zaščitna jamstva prek pogodbenih mehanizmov, vključno s standardnimi pogodbenimi klavzulami, odobrenimi s strani PDPC, in zavezujočimi korporativnimi pravili
• Posebne izjeme, vključno z izrecno privolitvijo posameznika z ustreznim razkritjem, pogodbeno nujnostjo, vitalni interesom in bistvenimi javnimi interesi
• Certifikacijske sheme, ki jih PDPC prizna za posebne sektorje ali dejavnosti

Seznam Ustreznosti

PDPC je do začetka leta 2026 izdal odločbe o ustreznosti za peščico jurisdikcij. Združene države Amerike niso na seznamu, kar pomeni, da prenosi h prodajalcem adtech in analitike s sedežem v ZDA zahtevajo pogodbene klavzule, certifikacijo ali izjemo, ki temelji na privolitvi.

Praktični Pristop za leto 2026

Za večino tujih založnikov je delovni pristop izvajanje standardnih pogodbenih klavzul, odobrenih s strani PDPC, z mednarodnimi obdelovalci, dokumentiranje prenosnega mehanizma v obvestilu o zasebnosti v tajščini in dopolnitev z avtorizacijo, ki temelji na privolitvi, le tam, kjer standardni mehanizem ne ustreza jasno.

Pravice Posameznikov po PDPA

PDPA podeljuje nabor pravic, ki natančno sledijo GDPR:

• Pravica do dostopa do osebnih podatkov, ki jih hrani upravljavec
• Pravica do popravka netočnih ali nepopolnih podatkov
• Pravica do izbrisa
• Pravica do omejitve obdelave
• Pravica do prenosljivosti podatkov
• Pravica do ugovora zoper obdelavo
• Pravica do umika privolitve
• Pravica, da ne bi bil predmet avtomatiziranega odločanja, ki ima pomembne učinke
• Pravica do vložitve pritožbe pri PDPC

Roki za Odziv

Upravljavci se morajo odzvati na zahteve posameznikov v 30 dneh v okviru splošnega okvira, s krajšimi okni za posebne vrste zahtev. Operativna pripravljenost na to okno — z orodji in navodili v tajščini — je pogosta vrzel za tuje založnike, nastavljene na evropski ritem.

Zahteva DPO

Podrejeni predpis iz leta 2024 je pojasnil, kdaj je DPO potreben. Upravljavci, ki obdelujejo velike količine osebnih podatkov, izvajajo sistematično nadzorovanje posameznikov ali obdelujejo občutljive osebne podatke v velikem obsegu, morajo imenovati DPO. Tuji upravljavci, ki dosežejo prag obsega prek tajskih uporabnikov, so v obsegu. Kontaktni podatki DPO morajo biti dostopni v obvestilu o zasebnosti v tajščini.

Kazni in Stališče do Izvrševanja leta 2026

Dejavnost izvrševanja PDPC se je v letih 2024 in 2025 bistveno stopnjevala, leto 2026 pa je na podobni trajektoriji.

Struktura Upravnih Glob

Upravne globe se lestvičijo glede na vrsto kršitve, z maksimumi THB 5 milijonov na kršitev za najhujše kršitve. Rutinske kršitve — neustrezne pasice privolitve, manjkajoča obvestila o zasebnosti, neodzivanje na zahteve posameznikov — tipično privabijo globe v nižjem razponu stotisočev THB, a se lahko hitro stopnjujejo pri ponovljenih ali oteženih kršitvah.

Varnostna Mreža Kazenske Odgovornosti

Za razliko od GDPR PDPA predvideva kazensko odgovornost za najhujše kršitve, vključno z zaporom direktorjev v posebnih okoliščinah. Podrejeni predpis iz leta 2024 je pojasnil obseg kazenske odgovornosti in čeprav ni bil uporabljen zoper tuje založnike leta 2026 do zdaj, možnost oblikuje analizo tveganj za vsako organizacijo, ki obdeluje tajske podatke v velikem obsegu.

Teme Izvrševanja

Ukrepi PDPC iz leta 2025 in začetka leta 2026 se grupirajo okoli: dvoumnih ali odsotnih pasic privolitve, pomanjkanja obvestil o zasebnosti v tajščini, čezmejnih prenosov brez veljavnega mehanizma po predpisih iz leta 2025, neodzivanja na zahteve posameznikov v 30-dnevnem oknu in manjkajočih imenovanj DPO za upravljavce v obsegu. Tuji založniki so bili navedeni v vseh petih kategorijah.

Kontrolni Seznam Revizije za Tajski Promet leta 2026

• Pasica CMP je prikazana v tajščini z ยอมรับ, ปฏิเสธ in ตั้งค่า z enako vizualno vidnostjo
• Nameni privolitve so podrobni in ločijo obdelavo občutljive kategorije za lastnim tokom privolitve
• Obvestilo o zasebnosti je na voljo v tajščini s popolnimi razkritji upravljavca, obdelovalcev, namenov, hranjenja, pravic in kontakta DPO
• Čezmejni prenosi se opirajo na standardne pogodbene klavzule, odobrene s strani PDPC, oznako ustreznosti, BCRs, certifikacijo ali dokumentirano izjemo
• Evidence privolitev so z časovnimi žigi, izvozljive in hranjene za ustrezno obdobje
• Delovni tok zahtev posameznikov se lahko odzove v 30 dneh od začetka do konca v tajščini
• DPO je imenovan tam, kjer je to potrebno, in kontaktni podatki so objavljeni v obvestilu o zasebnosti
• Seznam prodajalcev je bil pregledan glede nujnosti, nerabljeni ali odvečni prodajalci pa so bili odstranjeni za zmanjšanje površine čezmejnih prenosov
• Segmenti občinstva občutljive kategorije so zaščiteni za izrecno, ločeno zajeto privolitvijo
• Navodila za obveščanje o kršitvah so usklajena s časovnicami obveščanja o kršitvah PDPA

Obeti za leto 2026

Tajski zasebnostni režim je dozorел od temeljnega statuta z omejeno operativno specifičnostjo do ureditve s podrejenimi predpisi, zmogljivostjo izvrševanja in politično voljo za smiselno izvrševanje. Prenosni predpisi čezmejnih prenosov iz leta 2025 so zapolnili najpomembnejšo strukturno vrzel, zgodno stališče PDPC do izvrševanja pa je skladno z resnim regulatorjem sredi razširjanja, ne takim, ki bo ostal tih. Za založnike, ki že upravljajo sklad privolitev razreda GDPR, je vrzel do skladnosti s PDPA operativna, ne arhitekturna: CMP in obvestilo o zasebnosti v tajščini, prenosni mehanizmi, odobreni s strani PDPC, 30-dnevni ritem odziva, imenovanje DPO tam, kjer je potrebno, in skrbnost z obsežnejšim seznamom občutljivih podatkov PDPA. Vrzel je mogoče zapolniti v tednih, če jo prednostno obravnavamo — Tajska pa je pomemben trg jugovzhodne Azije, zato prednostna obravnava tipično hitro povrne vlaganje. Založniki, ki so v letu 2024 obravnavali Tajsko kot lažji trg, ugotavljajo, da je leto 2026 bistveno bolj zahtevno, in trend je jasen.