PDPA:s struktur 2026

PDPA är den primära dataskyddslagen i Thailand, och dess struktur liknar nära GDPR. De underordnade förordningarna från 2024 och 2025 lade till operativa detaljer som tidigare saknades i grundlagen.

Vad de underordnade förordningarna tillförde

Under 2024 och 2025 utfärdade PDPC underordnade förordningar som täcker: mekanismer för gränsöverskridande dataöverföring, utseende och uppgifter för dataskyddsombud, förfaranden för anmälan av dataintrång, krav på behandlingsregister, tidsramar för arbetsflöden för de registrerades rättigheter och specifika samtyckestandarder för känsliga personuppgifter. Dessa förordningar förflyttade kollektivt PDPA från ett allmänt ramverk till ett operativt regelverk jämförbart med GDPR i specificitet.

Vem regleras

PDPA gäller för de flesta personuppgiftsansvariga och personuppgiftsbiträden, med extraterritoriell räckvidd för utländska organisationer som behandlar personuppgifter om individer i Thailand i samband med erbjudande av varor eller tjänster eller övervakning av beteende. Utländska utgivare som betjänar thailändska användare via lokaliserade webbplatser eller programmatisk inventering köpt mot thailändska IP-adresser är vanligtvis inom tillämpningsområdet, och PDPC har åberopat den extraterritoriella bestämmelsen i tidiga tillsynsskrivelser.

Administrativa och straffrättsliga sanktioner

PDPA föreskriver administrativa böter på upp till THB 5 miljoner per överträdelse, tillsammans med straffrättsliga påföljder för de allvarligaste överträdelserna inklusive fängelse för direktörer under specifika omständigheter. Det administrativa bötestaket är lägre än GDPR i absoluta termer, men PDPC:s eskalerande tillsynshållning och tillgången till straffrättsligt ansvar gör den effektiva risken betydande.

Vad som räknas som personuppgifter enligt PDPA

PDPA:s definition av personuppgifter följer nära GDPR. Personuppgifter är information som hänför sig till en identifierad eller identifierbar person, och PDPC har konsekvent behandlat cookies, reklamidentifierare, IP-adresser, enhetsfingeravtryck och beteendeprofiler som personuppgifter när de kan kopplas till en individ direkt eller genom kombination med annan information.

Känsliga personuppgifter

PDPA anger en bred känslig kategori som inkluderar: ras- eller etniskt ursprung, politisk åsikt, religiös eller filosofisk övertygelse, sexuellt beteende, kriminell bakgrund, hälsodata, funktionsnedsättning, fackföreningsmedlemskap, genetiska uppgifter och biometriska uppgifter. Behandling av känsliga personuppgifter kräver uttryckligt samtycke och utlöser ytterligare skyldigheter för den personuppgiftsansvarige.

Varför detta är viktigt för cookies

En cookie som lagrar en rutinmässig identifierare är vanliga personuppgifter. En cookie som matar ett målgruppssegment som berör PDPA:s känsliga lista — hälsointressen, religiös tillhörighet, politiska lutningar — är behandling av känsliga personuppgifter och kräver uttryckligt samtycke snarare än det allmänna reklamsamtycket. Målgruppsanpassning på thailändska som överlappar den känsliga listan bör specifikt granskas mot denna gräns.

Cookiesamtycke enligt PDPA 2026

PDPA tillåter flera lagliga grunder för behandling, men för cookies och liknande tekniker som inte är strikt nödvändiga för tjänsteleveransen har PDPC:s vägledning och tidiga tillsyn konvergerat på samtycke som den praktiska utgångspunkten.

Elementen i giltigt samtycke

Samtycke enligt PDPA måste vara:

• Frivilligt lämnat — utan tvång eller koppling till tillhandahållande av grundläggande tjänst
• Informerat — den registrerade förstår vilka uppgifter som behandlas, av vem och för vilket syfte
• Specifikt — kopplat till tydligt identifierade ändamål snarare än paraplysamtycke
• Otvetydigt — uttryckt genom en tydlig jakande handling, inte slutledningsvis från inaktivitet
• Uttryckligt i fall som rör känsliga personuppgifter, med separat och specifikt samtycke för den känsliga behandlingen

Hur ett efterlevande CMP ser ut

En CMP konfigurerad för thailändsk trafik 2026 bör presentera:

• En synlig banner innan någon icke-nödvändig cookie eller spårare aktiveras, på thailändska (ภาษาไทย) som standard för thailändska användare
• Lika visuell framträdande för ยอมรับ (Acceptera), ปฏิเสธ (Avvisa) och ตั้งค่า (Inställningar) — PDPC har kritiserat bannerdesigner där Avvisa-åtgärden är visuellt nedtonad
• Granulära växlar per ändamål: analys, annonsering, personalisering, gränsöverskridande överföring och eventuell behandling av känslig kategori
• Ett separat, tydligt märkt flöde för behandling av känsliga personuppgifter, bakom en egen åtgärd
• En beständig, lättillgänglig mekanism för att dra tillbaka samtycke efter det initiala valet
• En integritetspolicy på thailändska med fullständigt uppgiftslämnande om personuppgiftsansvarig, biträden, ändamål, mottagare, lagring och rättigheter

Samtyckesregister

Personuppgiftsansvariga måste bevara bevis på samtycke — vem som samtyckte, när, till vilket ändamål och via vilket gränssnitt. Otillräckliga samtyckesregister har citerats i flera PDPC-tillsynsskrivelser 2025, och exporterbara tidsstämplade loggar är grundläggande förväntning.

Gränsöverskridande överföringar efter 2025 års förordningar

2025 års överföringsförordningar var den mest betydelsefulla senaste utvecklingen för utländska utgivare, och klargjorde de tillgängliga mekanismerna för gränsöverskridande dataflöden.

Erkända överföringsmekanismer

2025 års förordningar ger fyra primära vägar:

• Beslut om adekvat skyddsnivå där PDPC har bedömt destinationslandet som tillhandahållande av adekvat skydd
• Lämpliga skyddsåtgärder via kontraktuella mekanismer inklusive PDPC-godkända standardavtalsklausuler och bindande företagsregler
• Specifika undantag inklusive uttryckligt samtycke från den registrerade med tillräcklig information, avtalsnödvändighet, vitalt intresse och väsentligt allmänt intresse
• Certifieringsordningar erkända av PDPC för specifika sektorer eller verksamheter

Adekvathetslistan

PDPC har utfärdat adekvathetsbeslut för ett fåtal jurisdiktioner fram till tidigt 2026. USA finns inte på listan, vilket innebär att överföringar till USA-baserade ad-tech- och analysleverantörer kräver avtalsklausuler, certifiering eller ett samtyckesbaserat undantag.

Det praktiska tillvägagångssättet för 2026

För de flesta utländska utgivare är arbetsmetoden att ingå PDPC-godkända standardavtalsklausuler med internationella personuppgiftsbiträden, dokumentera överföringsmekanismen i integritetspolicyn på thailändska och komplettera med samtyckesbaserad auktorisation enbart där standardmekanismen inte passar rent.

De registrerades rättigheter enligt PDPA

PDPA ger en uppsättning rättigheter som nära följer GDPR:

• Rätt till tillgång till personuppgifter som innehas av den personuppgiftsansvarige
• Rätt till rättelse av felaktiga eller ofullständiga uppgifter
• Rätt till radering
• Rätt att begränsa behandling
• Rätt till dataportabilitet
• Rätt att invända mot behandling
• Rätt att återkalla samtycke
• Rätt att inte vara föremål för automatiserat beslutsfattande som ger betydande effekter
• Rätt att lämna in klagomål till PDPC

Svarstider

Personuppgiftsansvariga måste svara på de registrerades begäranden inom 30 dagar enligt det allmänna ramverket, med kortare fönster för specifika typer av begäranden. Operativ beredskap för detta fönster — med verktyg och handböcker på thailändska — är ett vanligt gap för utländska utgivare som är inriktade på en europeisk kadence.

DPO-kravet

Den underordnade förordningen från 2024 klargjorde när ett DPO krävs. Personuppgiftsansvariga som behandlar stora volymer personuppgifter, bedriver systematisk övervakning av registrerade eller behandlar känsliga personuppgifter i stor skala måste utse ett DPO. Utländska personuppgiftsansvariga som når volymetröskeln via thailändska användare är inom tillämpningsområdet. DPO:ns kontaktuppgifter måste vara tillgängliga i integritetspolicyn på thailändska.

Påföljder och tillsynshållning 2026

PDPC:s tillsynsaktivitet har eskalerat betydande under 2024 och 2025, och 2026 är på en liknande bana.

Den administrativa böterstrukturen

Administrativa böter skalas efter överträdelsetyp, med maximibelopp på THB 5 miljoner per överträdelse för de allvarligaste fallen. Rutinöverträdelser — otillräckliga samtyckesbanners, saknade integritetspolicyer, underlåtenhet att svara på de registrerades begäranden — lockar vanligtvis böter i det lägre hundratusental-THB-intervallet men kan snabbt eskalera vid upprepade eller försvårande överträdelser.

Det straffrättsliga ansvaret som sista utväg

Till skillnad från GDPR föreskriver PDPA straffrättsligt ansvar för de allvarligaste överträdelserna, inklusive fängelse för direktörer under specifika omständigheter. Den underordnade förordningen från 2024 klargjorde straffrättsligt ansvarets räckvidd, och även om det inte tillämpats mot utländska utgivare 2026 hittills, formar möjligheten riskanalysen för varje organisation som behandlar thailändska uppgifter i stor skala.

Tillsynsteman

PDPC:s åtgärder 2025 och tidiga 2026 grupperas kring: otydliga eller frånvarande samtyckesbanners, avsaknad av integritetspolicyer på thailändska, gränsöverskridande överföringar utan giltig mekanism enligt 2025 års förordningar, underlåtenhet att svara på de registrerades begäranden inom 30-dagarsfönstret och saknade DPO-utnämningar för personuppgiftsansvariga inom tillämpningsområdet. Utländska utgivare har citerats i alla fem kategorierna.

Granskningschecklista för thailändsk trafik 2026

• CMP-bannern visas på thailändska med ยอมรับ, ปฏิเสธ och ตั้งค่า med lika visuell framträdande
• Samtyckessyften är granulära och separerar behandling av känslig kategori bakom ett eget samtyckesflöde
• Integritetspolicyn är tillgänglig på thailändska med fullständigt uppgiftslämnande om personuppgiftsansvarig, biträden, ändamål, lagring, rättigheter och DPO-kontakt
• Gränsöverskridande överföringar förlitar sig på PDPC-godkända standardavtalsklausuler, adekvathetsbeslut, BCRs, certifiering eller ett dokumenterat undantag
• Samtyckesloggar är tidsstämplade, exporterbara och bevarade under tillämplig period
• Arbetsflödet för de registrerades begäranden kan svara inom 30 dagar från start till mål, på thailändska
• DPO är utsedd där det krävs och kontaktuppgifter är publicerade i integritetspolicyn
• Leverantörslistan har granskats för nödvändighet, med oanvända eller överflödiga leverantörer borttagna för att minska ytan för gränsöverskridande överföring
• Målgruppssegment av känslig kategori är låsta bakom uttryckligt, separat insamlat samtycke
• Handboken för intrångsanmälan är anpassad till PDPA:s tidsgränser för intrångsanmälan

Utsikterna för 2026

Thailands integritetsregelverk har mognat från ett grundläggande regelverk med begränsad operativ specificitet till ett regelverk med underordnade förordningar, tillsynskapacitet och politisk vilja att verkligen tillämpa det. 2025 års förordningar om gränsöverskridande överföringar slöt det mest avgörande strukturella gapet, och PDPC:s tidiga tillsynshållning är konsistent med en seriös tillsynsmyndighet mitt i skalning snarare än en som förblir tyst. För utgivare som redan kör en samtyckesstack på GDPR-nivå är gapet till PDPA-efterlevnad operativt snarare än arkitektoniskt: CMP och integritetspolicy på thailändska, PDPC-godkända överföringsmekanismer, 30-dagars svarskadence, DPO-utnämning där det krävs och noggrannhet med PDPA:s bredare lista över känsliga uppgifter. Gapet kan stängas på veckor om det prioriteras — och Thailand är en meningsfull sydostasiatisk marknad. Utgivare som behandlade Thailand som en lättare marknad under 2024 finner 2026 betydligt mer krävande, och trenden är tydlig.