Struktura e PDPA-së në 2026

PDPA është statuti kryesor i mbrojtjes së të dhënave në Tailandë, dhe struktura e tij ngjan ngushtë me GDPR-në. Rregulloret vartëse të 2024 dhe 2025 shtuan detaje operacionale që mungonin më parë nga ligji bazë.

Çfarë Shtuan Rregulloret Vartëse

Gjatë viteve 2024 dhe 2025, PDPC lëshoi rregullore vartëse që mbulojnë: mekanizmat e transfertës ndërkufitare të të dhënave, emërimin dhe detyrat e Zyrtarëve të Mbrojtjes së të Dhënave, procedurat e njoftimit të shkeljeve të të dhënave, kërkesat e regjistrimit të përpunimit, afatet kohore të rrjedhës së punës për të drejtat e subjektit të të dhënave, dhe standardet specifike të pëlqimit për të dhënat personale të ndjeshme. Këto rregullore kolektivisht lëvizën PDPA-në nga një kuadër i përgjithshëm në një regjim operacional të krahasueshëm me GDPR-në në specifitet.

Kush Rregullohet

PDPA zbatohet për shumicën e kontrolluesve dhe përpunuesve të të dhënave, me shtrirje ekstraterritoriale për organizatat e huaja që përpunojnë të dhëna personale të individëve në Tailandë në lidhje me ofrimin e mallrave ose shërbimeve ose monitorimin e sjelljes. Botuesit e huaj që u shërbejnë përdoruesve tajlandezë përmes faqeve të lokalizuara ose inventarit programatik të blerë kundër IP-ve tajlandeze janë zakonisht në fushë, dhe PDPC ka invokuar dispozitën ekstraterritoriale në letrat e hershme të zbatimit.

Sanksionet Administrative dhe Penale

PDPA parashikon gjoba administrative deri në THB 5 milion për shkelje, krahas dënimeve penale për shkeljet më të rënda duke përfshirë burgosjen e drejtorëve në rrethana specifike. Tavan i gjobës administrative është më i ulët se GDPR-ja në terma absolutë, por qëndrimi eskalues i zbatimit të PDPC-së dhe disponueshmëria e përgjegjësisë penale e bëjnë rrezikun efektiv të rëndësishëm.

Çfarë Llogaritet si të Dhëna Personale Sipas PDPA-së

Përkufizimi i të dhënave personale të PDPA-së gjurmon ngushtë GDPR-në. Të dhënat personale janë informacion që lidhet me një person të identifikuar ose të identifikueshëm, dhe PDPC ka trajtuar vazhdimisht cookies, identifikuesit e reklamave, adresat IP, shenjat gishtave të pajisjes dhe profilet e sjelljes si të dhëna personale kur mund të lidhen me një individ drejtpërdrejt ose duke i kombinuar me informacione të tjera.

Të Dhënat Personale të Ndjeshme

PDPA cakton një kategori të gjerë të ndjeshme duke përfshirë: origjinën racore ose etnike, mendimin politik, besimin fetar ose filozofik, sjelljen seksuale, historikun kriminal, të dhënat shëndetësore, aftësinë e kufizuar, anëtarësinë e sindikatës, të dhënat gjenetike dhe të dhënat biometrike. Përpunimi i të dhënave personale të ndjeshme kërkon pëlqim eksplicit dhe aktivizon detyrime shtesë të kontrolluesit.

Pse Kjo ka Rëndësi për Cookies

Një cookie që ruan një identifikues rutinë është të dhëna personale të zakonshme. Një cookie që ushqen një segment audiencë që prek listën e ndjeshme të PDPA-së — interesat shëndetësore, përkatësia fetare, prirjet politike — është përpunim i të dhënave personale të ndjeshme dhe kërkon pëlqim eksplicit në vend të pëlqimit të përgjithshëm të reklamimit. Targetimi i audiencës në gjuhën tailandeze që mbivendoset me listën e ndjeshme duhet të auditohet posaçërisht kundër kësaj kufiri.

Pëlqimi i Cookies Sipas PDPA-së në 2026

PDPA lejon baza të shumta ligjore për përpunim, por për cookies dhe teknologji të ngjashme që nuk janë rreptësisht të nevojshme për ofrimin e shërbimit, udhëzimi dhe zbatimi i hershëm i PDPC-së kanë konvergjuar mbi pëlqimin si bazën praktike.

Elementet e Pëlqimit të Vlefshëm

Pëlqimi sipas PDPA-së duhet të jetë:

• Dhënë lirisht — pa shtrëngim ose lidhje me ofrimin e shërbimit thelbësor
• I informuar — subjekti i të dhënave kupton çfarë të dhënash përpunohen, nga kush dhe për çfarë qëllimi
• Specifik — i lidhur me qëllime të identifikuara qartë në vend të pëlqimit ombrellë
• I paqartë — i shprehur përmes një akti pozitiv të qartë, jo i nxjerrë nga mosaktiviteti
• Eksplicit në rastet që përfshijnë të dhëna personale të ndjeshme, me pëlqim të veçantë dhe specifik për përpunimin e ndjeshëm

Si Duket një CMP i Pajtueshmëm

Një CMP i konfiguruar për trafikun tailandez në 2026 duhet të paraqesë:

• Një baner të dukshëm para se të aktivizohet ndonjë cookie ose gjurmues jo-thelbësor, në gjuhën tailandeze (ภาษาไทย) si parazgjedhje për përdoruesit tailandezë
• Rëndësi vizuale të barabartë për ยอมรับ (Prano), ปฏิเสธ (Refuzo) dhe ตั้งค่า (Cilësimet) — PDPC ka kritikuar dizajnet e banerit ku veprimi Refuzo është theksuar vizualisht më pak
• Çelësa granularë sipas qëllimit: analitika, reklamat, personalizimi, transferta ndërkufitare dhe çdo përpunim i kategorisë së ndjeshme
• Një rrjedhë e veçantë, e etiketuar qartë për përpunimin e të dhënave personale të ndjeshme, e kyçur pas veprimit të vet
• Një mekanizëm i vazhdueshëm, i gjendshëm lehtë për tërheqjen e pëlqimit pas zgjedhjes fillestare
• Një njoftim privatësie në gjuhën tailandeze me zbulime të plota të kontrolluesit, përpunuesve, qëllimeve, marrësve, mbajtjes dhe të drejtave

Regjistrimet e Pëlqimit

Kontrolluesit duhet të mbajnë dëshmi të pëlqimit — kush ka dhënë pëlqim, kur, për çfarë qëllimi dhe përmes cilit ndërfaqe. Regjistrimet e pamjaftueshme të pëlqimit janë cituar në disa letra zbatimi të PDPC-së në 2025, dhe regjistrat e eksportueshëm me vulë kohore janë pritshmëria bazë.

Transfertat Ndërkufitare Pas Rregulloreve të 2025

Rregulloret e transfertave të 2025 ishin zhvillimi i fundit më domethënës për botuesit e huaj, duke sqaruar mekanizmat e disponueshëm për rrjedhat ndërkufitare të të dhënave.

Mekanizmat e Njohur të Transfertës

Rregulloret e 2025 ofrojnë katër rrugë kryesore:

• Caktimi i mbrojtjes adekuate ku PDPC ka vlerësuar vendin e destinacionit si duke ofruar mbrojtje adekuate
• Mbrojtje të përshtatshme përmes mekanizmave kontraktualë duke përfshirë klauzolat standarde kontraktuale të aprovuara nga PDPC dhe rregullat e detyrueshme të korporatës
• Përjashtime specifike duke përfshirë pëlqimin eksplicit nga subjekti i të dhënave me zbulim adekuat, domosdoshmërinë e kontratës, interesin vital dhe interesin thelbësor publik
• Skema certifikimi të njohura nga PDPC për sektorë ose aktivitete specifike

Lista e Adekuacisë

PDPC ka lëshuar vendime adekuacie për një numër të vogël juridiksionesh deri në fillim të vitit 2026. Shtetet e Bashkuara nuk janë në listë, gjë që do të thotë se transfertat tek shitësit e ad-tech dhe analitikës me bazë në SHBA kërkojnë klauzola kontraktuale, certifikim ose një përjashtim të bazuar në pëlqim.

Qasja Praktike e 2026

Për shumicën e botuesve të huaj, qasja pune është të ekzekutojnë klauzola standarde kontraktuale të aprovuara nga PDPC me përpunuesit ndërkombëtarë, të dokumentojnë mekanizmin e transfertës në njoftimin e privatësisë në gjuhën tailandeze, dhe të plotësojnë me autorizim të bazuar në pëlqim vetëm aty ku mekanizmi standard nuk përshtatet mirë.

Të Drejtat e Subjektit të të Dhënave Sipas PDPA-së

PDPA garanton një sërë të drejtash që gjurmojnë ngushtë GDPR-në:

• E drejta e aksesit në të dhënat personale të mbajtura nga kontrolluesi
• E drejta e korrigjimit të të dhënave të pasakta ose të paplota
• E drejta e fshirjes
• E drejta e kufizimit të përpunimit
• E drejta e portabilitetit të të dhënave
• E drejta e kundërshtimit të përpunimit
• E drejta e tërheqjes së pëlqimit
• E drejta për të mos qenë subjekt i vendimmarrjes automatike që prodhon efekte të rëndësishme
• E drejta e paraqitjes së ankesës pranë PDPC-së

Afatet Kohore të Përgjigjes

Kontrolluesit duhet t'u përgjigjen kërkesave të subjektit të të dhënave brenda 30 ditësh sipas kuadrit të përgjithshëm, me dritare më të shkurtra për llojet specifike të kërkesave. Gatishmëria operacionale për këtë dritare — me mjete dhe libra pune në gjuhën tailandeze — është një boshllëk i zakonshëm për botuesit e huaj të sinkronizuar me një kadencë europiane.

Kërkesa e DPO-së

Rregullorja vartëse e 2024 sqaroi kur nevojitet një DPO. Kontrolluesit që përpunojnë vëllime të mëdha të dhënash personale, kryejnë monitorim sistematik të subjekteve të të dhënave ose përpunojnë të dhëna personale të ndjeshme në shkallë duhet të emërojnë një DPO. Kontrolluesit e huaj që arrijnë pragun e vëllimit përmes përdoruesve tailandezë janë në fushë. Informacioni i kontaktit të DPO-së duhet të jetë i aksesueshëm në njoftimin e privatësisë në gjuhën tailandeze.

Dënimet dhe Qëndrimi i Zbatimit në 2026

Aktiviteti zbatues i PDPC-së ka eskaluar ndjeshëm gjatë viteve 2024 dhe 2025, dhe viti 2026 është në një trajektore të ngjashme.

Struktura e Gjobës Administrative

Gjobat administrative shkallëzohen sipas llojit të shkeljes, me maksimale prej THB 5 milion për shkelje për shkeljet më të rënda. Shkeljet rutinë — banerë të pamjaftueshëm të pëlqimit, njoftimet e privatësisë që mungojnë, dështimi për t'iu përgjigjur kërkesave të subjektit të të dhënave — zakonisht tërheqin gjoba në rangun e qindra-mijërave-THB të ulëta por mund të eskalojnë shpejt për shkelje të përsëritura ose të rënduara.

Mbështetja e Përgjegjësisë Penale

Ndryshe nga GDPR-ja, PDPA parashikon përgjegjësi penale për shkeljet më të rënda, duke përfshirë burgosjen e drejtorëve në rrethana specifike. Rregullorja vartëse e 2024 sqaroi fushëveprimin e përgjegjësisë penale, dhe ndërkohë që nuk është aplikuar kundër botuesve të huaj në 2026 deri tani, mundësia formon analizën e rrezikut për çdo organizatë që përpunon të dhëna tailandeze në shkallë.

Temat e Zbatimit

Veprimet e PDPC-së për 2025 dhe fillimin e 2026 grumbullohen rreth: banerave ambige ose munguese të pëlqimit, mungesës së njoftimeve të privatësisë në gjuhën tailandeze, transfertave ndërkufitare pa mekanizëm të vlefshëm sipas rregulloreve të 2025, dështimit për t'iu përgjigjur kërkesave të subjektit të të dhënave brenda dritares 30-ditore, dhe emërimeve të munguara të DPO-së për kontrolluesit në fushë. Botuesit e huaj janë cituar në të pesë kategoritë.

Lista e Kontrollit të Auditimit për Trafikun Tailandez në 2026

• Baneri CMP shërbehet në gjuhën tailandeze me ยอมรับ, ปฏิเสธ dhe ตั้งค่า me rëndësi të barabartë vizuale
• Qëllimet e pëlqimit janë granulare dhe e ndajnë përpunimin e kategorisë së ndjeshme pas rrjedhës së vet të pëlqimit
• Njoftimi i privatësisë është i disponueshëm në gjuhën tailandeze me zbulime të plota të kontrolluesit, përpunuesve, qëllimeve, mbajtjes, të drejtave dhe kontaktit të DPO-së
• Transfertat ndërkufitare mbështeten në klauzola standarde kontraktuale të aprovuara nga PDPC, caktim adekuacie, BCRs, certifikim ose një përjashtim të dokumentuar
• Regjistrat e pëlqimit janë me vulë kohore, të eksportueshëm dhe mbajtur për periudhën e zbatueshme
• Rrjedha e punës e kërkesës së subjektit të të dhënave mund t'i përgjigjet brenda 30 ditësh nga fillimi në fund, në gjuhën tailandeze
• DPO është emëruar aty ku kërkohet dhe informacioni i kontaktit është i publikuar në njoftimin e privatësisë
• Lista e shitësve është rishikuar për domosdoshmëri, me shitësit e papërdorur ose të tepërt të hequr për të reduktuar sipërfaqen e transfertës ndërkufitare
• Segmentet e audiencës së kategorisë së ndjeshme janë të kyçura pas pëlqimit eksplicit të kapur veçmas
• Libri i zbatimit të njoftimit të shkeljeve është rregulluar sipas afateve kohore të njoftimit të shkeljeve të PDPA-së

Perspektiva e 2026

Regjimi i privatësisë i Tailandës ka pjekur nga një statut bazë me specifitet operacional të kufizuar në një regjim me rregulloret vartëse, kapacitetin zbatues dhe vullnetin politik për të zbatuar me kuptimplotësi. Rregulloret e transfertës ndërkufitare të 2025 mbyllën boshllëkun strukturor më domethënës, dhe qëndrimi i hershëm i zbatimit të PDPC-së është i qëndrueshëm me një rregullator serioz në mes të shkallëzimit. Për botuesit që tashmë xhirojnë një stak pëlqimi të nivelit GDPR, hendeku ndaj pajtueshmërisë me PDPA-në është operacional në vend të arkitektonik: CMP dhe njoftim privatësie në gjuhën tailandeze, mekanizma transferte të aprovuara nga PDPC, kadenca e përgjigjes 30-ditore, emërimi i DPO-së aty ku kërkohet, dhe kujdes me listën më të gjerë të të dhënave të ndjeshme të PDPA-së. Hendeku mund të mbyllet brenda javësh nëse prioritarizohet — dhe Tailanda është një treg kuptimplotë i Azisë Juglindore. Botuesit që e trajtuan Tailandën si një treg me prekje më të lehtë përgjatë 2024 po gjejnë vitin 2026 ndjeshëm më kërkues, dhe tendenca është e qartë.