Struktura PDPA u 2026. godini

PDPA je primarni zakon o zaštiti podataka u Tajlandu, a njegova struktura blisko nalikuje GDPR-u. Podzakonski propisi za 2024. i 2025. godinu dodali su operativne detalje koji su prethodno nedostajali iz osnovnog zakona.

Šta su dodali podzakonski propisi

Tokom 2024. i 2025. godine, PDPC je izdao podzakonske propise koji pokrivaju: mehanizme prekograničnog prenosa podataka, imenovanje i dužnosti službenika za zaštitu podataka, procedure obaveštavanja o povredi podataka, zahteve za vođenje evidencije obrade, rokove za ostvarivanje prava subjekta podataka, i specifične standarde pristanka za osetljive lične podatke. Ovi propisi su kolektivno premestili PDPA iz opšteg okvira u operativni režim koji je po specifičnosti uporediv sa GDPR-om.

Ko je regulisan

PDPA se primenjuje na većinu rukovalaca i obrađivača podataka, sa eksteritorijalno dejstvo za strane organizacije koje obrađuju lične podatke pojedinaca u Tajlandu u vezi sa ponudom roba ili usluga ili praćenjem ponašanja. Strani izdavači koji opslužuju tajlandske korisnike putem lokalizovanih sajtova ili programatičnog inventara kupljenog prema tajlandskim IP adresama su obično u domenu primene, a PDPC je pozvao eksteritorijalne odredbe u ranim pismima o sprovođenju.

Administrativne i krivične sankcije

PDPA predviđa administrativne kazne do THB 5 miliona po prekršaju, uz krivične kazne za najteže povrede uključujući zatvorsku kaznu za direktore u određenim okolnostima. Gornji limit administrativne kazne je niži od GDPR-a u apsolutnim iznosima, ali eskalativni pristup sprovođenja PDPC-a i dostupnost krivične odgovornosti čine efektivni rizik značajnim.

Šta se smatra ličnim podacima prema PDPA

Definicija ličnih podataka u PDPA blisko prati GDPR. Lični podaci su informacije koje se odnose na identifikovano ili prepoznatljivo lice, a PDPC je dosledno tretirao kolačiće, identifikatore reklama, IP adrese, otiske prstiju uređaja i bihejvioralne profile kao lične podatke kada ih je moguće povezati sa pojedincem direktno ili kombinovanjem sa drugim informacijama.

Osetljivi lični podaci

PDPA određuje široku osetljivu kategoriju koja uključuje: rasno ili etničko poreklo, politička mišljenja, verska ili filozofska uverenja, seksualno ponašanje, krivičnu evidenciju, zdravstvene podatke, invaliditet, članstvo u sindikatu, genetske podatke i biometrijske podatke. Obrada osetljivih ličnih podataka zahteva eksplicitni pristanak i aktivira dodatne obaveze rukovaoca.

Zašto je to važno za kolačiće

Kolačić koji čuva rutinski identifikator je običan lični podatak. Kolačić koji napaja segment publike koji dodiruje osetljivu listu PDPA — zdravstveni interesi, verska pripadnost, politička opredeljenja — je obrada osetljivih ličnih podataka i zahteva eksplicitni pristanak umesto opšteg pristanka za oglašavanje. Ciljanje publike na tajlandskom jeziku koje se preklapa sa osetljivom listom treba posebno revizovati u odnosu na ovu granicu.

Pristanak na kolačiće prema PDPA u 2026. godini

PDPA dozvoljava više zakonskih osnova za obradu, ali za kolačiće i slične tehnologije koje nisu strogo neophodne za pružanje usluge, smernice PDPC-a i rano sprovođenje su se konvergirale na pristanak kao praktičnu osnovu.

Elementi važećeg pristanka

Pristanak prema PDPA mora biti:

• Slobodno dat — bez prinude ili vezivanja za pružanje osnovne usluge
• Informisan — subjekt podataka razume koji podaci se obrađuju, od strane koga i u koje svrhe
• Specifičan — vezan za jasno identifikovane svrhe umesto sveobuhvatnog pristanka
• Nedvosmislen — izražen kroz jasnu pozitivnu radnju, a ne zaključen iz neaktivnosti
• Eksplicitan u slučajevima koji uključuju osetljive lične podatke, sa posebnim i specifičnim pristankom za osetljivu obradu

Kako izgleda usklađeni CMP

CMP konfigurisan za tajlandski saobraćaj u 2026. godini treba da prikazuje:

• Vidljiv baner pre nego što se aktivira bilo koji neesencijalni kolačić ili tragač, na tajlandskom (ภาษาไทย) kao podrazumevano za tajlandske korisnike
• Jednaku vizuelnu istaknutost za ยอมรับ (Prihvati), ปฏิเสธ (Odbij) i ตั้งค่า (Podešavanja) — PDPC je kritikovao dizajne banera gde je radnja Odbij vizuelno de-naglašena
• Granularne prekidače po svrsi: analitika, oglašavanje, personalizacija, prekogranični prenos i svaka obrada osetljive kategorije
• Poseban, jasno označen tok za obradu osetljivih ličnih podataka, zaštićen sopstvenom radnjom
• Trajni, lako pronađeni mehanizam za povlačenje pristanka nakon početnog izbora
• Obaveštenje o privatnosti na tajlandskom jeziku sa punim otkrivanjem rukovaoca, obrađivača, svrha, primalaca, čuvanja i prava

Evidencija pristanka

Rukovaoci moraju da čuvaju dokaze o pristanku — ko je dao pristanak, kada, za koje svrhe i putem kog interfejsa. Neadekvatna evidencija pristanka citirana je u nekoliko pisama o sprovođenju PDPC-a u 2025. godini, a izvozivi vremenski pečatirani zapisi su osnovno očekivanje.

Prekogranični prenosi nakon propisa iz 2025. godine

Propisi o prenosima iz 2025. godine bili su najznačajniji nedavni razvoj za strane izdavače, razjašnjavajući dostupne mehanizme za prekogranične tokove podataka.

Priznatni mehanizmi prenosa

Propisi iz 2025. godine pružaju četiri primarna puta:

• Određivanje adekvatne zaštite gde je PDPC procenio odredišnu zemlju kao pružajuću adekvatnu zaštitu
• Odgovarajuće zaštitne mere putem ugovornih mehanizama uključujući standardne ugovorne klauzule odobrene od PDPC-a i obavezujuća korporativna pravila
• Specifična izuzeća uključujući eksplicitni pristanak subjekta podataka sa adekvatnim otkrivanjem, nužnost ugovora, vitalni interes i značajan javni interes
• Sheme sertifikacije priznate od PDPC-a za specifične sektore ili aktivnosti

Lista adekvatnosti

PDPC je do ranog 2026. godine izdao odluke o adekvatnosti za mali broj jurisdikcija. Sjedinjene Države nisu na listi, što znači da prenosi ka vendorima ad-tech i analitike sa sedištem u SAD zahtevaju ugovorne klauzule, sertifikaciju ili izuzeće zasnovano na pristanku.

Praktičan pristup za 2026. godinu

Za većinu stranih izdavača, radni pristup je izvršiti standardne ugovorne klauzule odobrene od PDPC-a sa međunarodnim obrađivačima, dokumentovati mehanizam prenosa u obaveštenju o privatnosti na tajlandskom jeziku, i dopuniti autorizacijom zasnovano na pristanku samo tamo gde standardni mehanizam ne odgovara čisto.

Prava subjekta podataka prema PDPA

PDPA daje set prava koja blisko prate GDPR:

• Pravo pristupa ličnim podacima koje čuva rukovalac
• Pravo na ispravku netačnih ili nepotpunih podataka
• Pravo na brisanje
• Pravo na ograničenje obrade
• Pravo na prenosivost podataka
• Pravo na prigovor na obradu
• Pravo na povlačenje pristanka
• Pravo da ne bude predmet automatizovanog odlučivanja koje proizvodi značajne efekte
• Pravo na podnošenje pritužbe PDPC-u

Rokovi za odgovor

Rukovaoci moraju odgovoriti na zahteve subjekta podataka u roku od 30 dana prema opštem okviru, sa kraćim rokovima za specifične vrste zahteva. Operativna spremnost za ovaj rok — sa alatima i priručnicima na tajlandskom jeziku — uobičajeni je propust za strane izdavače prilagođene evropskom ritmu.

Zahtev za DPO

Podzakonski propis iz 2024. godine razjasnio je kada je potreban DPO. Rukovaoci koji obrađuju velike količine ličnih podataka, sprovode sistematsko praćenje subjekata podataka ili obrađuju osetljive lične podatke u velikom obimu moraju da imenuju DPO. Strani rukovaoci koji dostižu prag obima putem tajlandskih korisnika su u domenu primene. Kontakt informacije DPO-a moraju biti dostupne u obaveštenju o privatnosti na tajlandskom jeziku.

Kazne i pristup sprovođenju u 2026. godini

Aktivnost sprovođenja PDPC-a značajno je eskaliirala tokom 2024. i 2025. godine, a 2026. godina je na sličnoj putanji.

Struktura administrativnih kazni

Administrativne kazne se skaliraju prema vrsti prekršaja, sa maksimalnim iznosima od THB 5 miliona po prekršaju za najteže povrede. Rutinski prekršaji — neadekvatni baneri pristanka, nedostajuća obaveštenja o privatnosti, propust da se odgovori na zahteve subjekata podataka — obično privlače kazne u nižem rasponu stotina hiljada THB, ali mogu brzo eskalirati za ponavljane ili otežavajuće prekršaje.

Krivična odgovornost kao krajnje sredstvo

Za razliku od GDPR-a, PDPA predviđa krivičnu odgovornost za najteže povrede, uključujući zatvorsku kaznu za direktore u određenim okolnostima. Podzakonski propis iz 2024. godine razjasnio je obim krivične odgovornosti, i mada nije primenjen prema stranim izdavačima u 2026. godini do sada, mogućnost oblikuje analizu rizika za svaku organizaciju koja obrađuje tajlandske podatke u velikom obimu.

Teme sprovođenja

Akcije PDPC-a za 2025. i početak 2026. godine grupišu se oko: nejasnih ili odsutnih banera pristanka, nedostatka obaveštenja o privatnosti na tajlandskom jeziku, prekograničnih prenosa bez važećeg mehanizma prema propisima iz 2025. godine, propusta da se odgovori na zahteve subjekata podataka u roku od 30 dana, i nedostajućih imenovanja DPO za rukovaoce u domenu. Strani izdavači su citirani u svih pet kategorija.

Kontrolna lista revizije za tajlandski saobraćaj u 2026. godini

• Baner CMP-a se prikazuje na tajlandskom sa ยอมรับ, ปฏิเสธ i ตั้งค่า sa jednakom vizuelnom istaknutošću
• Svrhe pristanka su granularne i odvajaju obradu osetljive kategorije iza sopstvenog toka pristanka
• Obaveštenje o privatnosti je dostupno na tajlandskom sa punim otkrivanjem rukovaoca, obrađivača, svrha, čuvanja, prava i kontakta DPO-a
• Prekogranični prenosi oslanjaju se na standardne ugovorne klauzule odobrene od PDPC-a, određivanje adekvatnosti, BCRs, sertifikaciju ili dokumentovano izuzeće
• Zapisi pristanka su vremenski pečatirani, izvozivi i čuvani tokom primenljivog perioda
• Tok obrade zahteva subjekata podataka može odgovoriti u roku od 30 dana od početka do kraja, na tajlandskom
• DPO je imenovan gde je to potrebno i kontakt informacije su objavljene u obaveštenju o privatnosti
• Lista vendora je pregledana radi neophodnosti, sa nekorišćenim ili suvišnim vendorima uklonjenim radi smanjenja površine prekograničnog prenosa
• Segmenti publike osetljive kategorije su zaštićeni eksplicitnim, odvojeno prikupljenim pristankom
• Priručnik za obaveštavanje o povredi je prilagođen rokovima obaveštavanja o povredi prema PDPA

Izgled za 2026. godinu

Tajlandski režim privatnosti sazreo je od osnovnog statuta sa ograničenom operativnom specifičnošću u režim sa podzakonskim propisima, kapacitetom za sprovođenje i političkom voljom da se smisleno primeni. Propisi o prekograničnim prenosima iz 2025. godine zatvorili su najznačajniji strukturalni jaz, a rani pristup sprovođenja PDPC-a konzistentan je sa ozbiljnim regulatorom koji se nalazi usred skaliranja. Za izdavače koji već vode stek pristanka GDPR nivoa, jaz prema usklađenosti sa PDPA je operativne a ne arhitektonske prirode: CMP i obaveštenje o privatnosti na tajlandskom jeziku, mehanizmi prenosa odobreni od PDPC-a, rok odgovora od 30 dana, imenovanje DPO gde je potrebno, i pažnja prema široj listi osetljivih podataka PDPA. Jaz se može zatvoriti za nekoliko nedelja ako se prioritizuje — a Tajland je značajno jugoistočnoazijsko tržište. Izdavači koji su Tajland tretirali kao lakše tržište tokom 2024. godine nalaze 2026. godinu znatno zahtevnijom, a trend je jasan.