Tayland'ın PDPA'sı 2026'da: Yayıncılar ve Reklamverenler için Çerez Onayı, Sınır Ötesi Transferler ve PDPC Yaptırımları Rehberi
Tayland'ın Kişisel Verileri Koruma Kanunu B.E. 2562 (2019) — PDPA olarak bilinen — birden fazla gecikmenin ardından Haziran 2022'de tam olarak yürürlüğe girdi ve sonraki üç yılın büyük bölümünü düzenleyici kapasite inşası, ikincil mevzuat yürürlüğe girişi ve Kişisel Verileri Koruma Komitesi'nin (PDPC) kamuoyuna sabırlı yaptırım tutumu olarak nitelendirdiği bir süreçte geçirdi. Bu tutum artık kesin biçimde sona erdi. PDPC'nin 2024 ve 2025 ikincil mevzuatı, temel kanunun açık bıraktığı ayrıntıları tamamladı; PDPC Ofisi (operasyonel düzenleyici) yaptırım kapasitesini geliştirdi ve 2026'nın başında PDPC, yurt dışından Taylandlı kullanıcıların verilerini işleyen yabancı platformlar dahil olmak üzere anlamlı düzeylerde idari para cezaları vermeye başladı. Tayland'da bulunsun ya da Taylandlı pazara yurt dışından hizmet versin — Tayland'daki bireylerin kişisel verilerini işleyen her yayıncı, reklamveren veya platform için 2026, PDPA'nın görece sessiz bir rejim olmaktan çıkıp güvenilir bir yaptırım önceliği haline geldiği yıldır. Bu rehber, 2026 itibarıyla PDPA'nın nasıl göründüğünü, çerez onayının gerçekte ne gerektirdiğini, 2025 transfer yönetmeliklerinin ardından sınır ötesi transferlerin nasıl işlediğini ve PDPC'nin ilk yaptırım temalarının pratikte nasıl göründüğünü ele almaktadır.
2026'da PDPA'nın Yapısı
PDPA, Tayland'daki temel veri koruma kanunudur ve yapısı GDPR'ye yakından benzemektedir. 2024 ve 2025 ikincil mevzuatı, daha önce temel kanunda eksik olan operasyonel ayrıntıları ekledi.
İkincil Mevzuatın Ekledikleri
2024 ve 2025 yıllarında PDPC; sınır ötesi veri transfer mekanizmaları, Veri Koruma Görevlilerinin atanması ve görevleri, veri ihlali bildirim prosedürleri, işleme kayıt gereksinimleri, veri sahibi hakları iş akışı süreleri ve hassas kişisel veriler için özel onay standartları konularını kapsayan ikincil mevzuat yayımladı. Bu düzenlemeler toplu olarak PDPA'yı genel bir çerçeveden GDPR ile karşılaştırılabilir spesifikteki operasyonel bir rejime taşıdı.
Kim Düzenleme Kapsamında
PDPA, mal veya hizmet sunumu ya da davranış izleme bağlamında Tayland'daki bireylerin kişisel verilerini işleyen yabancı kuruluşlara ülke dışı uygulamayla birlikte çoğu veri sorumlusu ve işleyicisi için geçerlidir. Taylandlı kullanıcılara yerelleştirilmiş siteler veya Taylandlı IP'lere yönelik satın alınan programatik envanter aracılığıyla hizmet veren yabancı yayıncılar genellikle kapsam dahilindedir ve PDPC, ilk yaptırım mektuplarında ülke dışı hükmü uygulamıştır.
İdari ve Cezai Yaptırımlar
PDPA, ihlalin yanı sıra belirli durumlarda yönetici hapsini de içeren en ağır ihlaller için cezai yaptırımlarla birlikte ihlal başına THB 5 milyon'a kadar idari para cezası öngörmektedir. İdari para cezası tavanı mutlak anlamda GDPR'den düşüktür; ancak PDPC'nin tırmanan yaptırım tutumu ve cezai sorumluluğun bulunabilirliği, fiili riski önemli kılmaktadır.
PDPA Kapsamında Kişisel Veri Sayılanlar
PDPA'nın kişisel veri tanımı GDPR'yi yakından izlemektedir. Kişisel veri, kimliği belirlenmiş veya belirlenebilir bir kişiyle ilgili bilgidir; PDPC, çerezleri, reklam tanımlayıcılarını, IP adreslerini, cihaz parmak izlerini ve davranışsal profilleri, doğrudan ya da diğer bilgilerle birleştirilerek bir kişiyle ilişkilendirilebildiğinde kişisel veri olarak tutarlı biçimde değerlendirmiştir.
Hassas Kişisel Veriler
PDPA; ırk veya etnik köken, siyasi görüş, dini veya felsefi inanç, cinsel davranış, suç sicili, sağlık verisi, engellilik, sendika üyeliği, genetik veri ve biyometrik veriyi kapsayan geniş bir hassas kategori belirlemektedir. Hassas kişisel verilerin işlenmesi açık onay gerektirir ve veri sorumlusu için ek yükümlülükler doğurur.
Bu Durum Çerezler Açısından Neden Önemli
Rutin bir tanımlayıcı depolayan çerez sıradan kişisel veridir. PDPA hassas listesine dokunan bir kitle segmentini besleyen çerez — sağlık ilgileri, dini bağlılık, siyasi eğilimler — hassas kişisel veri işleme kapsamındadır ve genel reklam onayı yerine açık onay gerektirir. Hassas listeyle örtüşen Taylandca kitle hedeflemesi bu sınıra karşı özellikle denetlenmelidir.
2026'da PDPA Kapsamında Çerez Onayı
PDPA işleme için birden fazla hukuki dayanak izin verse de hizmet sunumu için zorunlu olmayan çerezler ve benzeri teknolojiler söz konusu olduğunda PDPC'nin rehberi ve erken yaptırımları, pratikte onayı temel zemin olarak benimsemiştir.
Geçerli Onayın Unsurları
PDPA kapsamında onay şu nitelikleri taşımalıdır:
- Özgürce verilmiş — baskı ya da temel hizmet sunumuna bağlanma olmaksızın
- Aydınlatılmış — veri sahibi hangi verinin, kimin tarafından ve ne amaçla işlendiğini anlamaktadır
- Spesifik — genel bir onay yerine açıkça tanımlanmış amaçlara bağlı
- Açık seçik — eylemsizlikten çıkarım yapılmadan, net olumlu bir eylemle ifade edilmiş
- Açık (explicit) hassas kişisel verileri kapsayan durumlarda, hassas işleme için ayrı ve özel onay ile
Uyumlu Bir CMP Nasıl Görünür
2026'da Taylandlı trafik için yapılandırılmış bir CMP şunları sunmalıdır:
- Zorunlu olmayan herhangi bir çerez veya izleyici devreye girmeden önce görünür bir banner — Taylandlı kullanıcılar için varsayılan olarak Taylandça (ภาษาไทย)
- ยอมรับ (Kabul Et), ปฏิเสธ (Reddet) ve ตั้งค่า (Ayarlar) için eşit görsel önem — PDPC, Reddet eyleminin görsel olarak geri planda bırakıldığı banner tasarımlarını eleştirmiştir
- Amaç bazında ayrıntılı geçişler: analitik, reklamcılık, kişiselleştirme, sınır ötesi transfer ve hassas kategori işleme
- Hassas kişisel veri işleme için kendi eylemiyle korunan, açıkça etiketlenmiş ayrı bir akış
- İlk tercihten sonra onayı geri çekmek için kalıcı ve kolayca bulunabilir bir mekanizma
- Veri sorumlusu, işleyiciler, amaçlar, alıcılar, saklama ve haklar hakkında tam açıklamalı Taylandça gizlilik bildirimi
Onay Kayıtları
Veri sorumluları onayın kanıtını saklamalıdır — kimin, ne zaman, hangi amaç için ve hangi arayüz üzerinden onay verdiğini. 2025 yılındaki çeşitli PDPC yaptırım mektuplarında yetersiz onay kayıtları gündeme getirilmiş; zaman damgalı dışa aktarılabilir kayıtlar temel beklenti haline gelmiştir.
2025 Yönetmelikleri Sonrasında Sınır Ötesi Transferler
2025 transfer yönetmelikleri, sınır ötesi veri akışları için mevcut mekanizmaları açıklığa kavuşturarak yabancı yayıncılar açısından en önemli son gelişme oldu.
Tanınan Transfer Mekanizmaları
2025 yönetmelikleri dört temel yol sunmaktadır:
- PDPC'nin hedef ülkeyi yeterli koruma sağlar olarak değerlendirdiği yeterli koruma kararı
- PDPC onaylı standart sözleşme hükümleri ve bağlayıcı şirket kuralları dahil sözleşme mekanizmaları aracılığıyla uygun güvenceler
- Yeterli açıklama ile veri sahibinden açık onay, sözleşme zorunluluğu, hayati çıkar ve önemli kamu yararını içeren özel istisnalar
- PDPC tarafından belirli sektör veya faaliyetler için tanınan sertifikasyon planları
Yeterlilik Listesi
PDPC, 2026 başı itibarıyla yalnızca birkaç yargı bölgesi için yeterlilik kararı yayımlamıştır. ABD listede yer almadığından, ABD merkezli reklam teknolojisi ve analitik satıcılarına yapılan transferler için sözleşme hükümleri, sertifikasyon veya onaya dayalı istisna gerekmektedir.
2026 İçin Pratik Yaklaşım
Yabancı yayıncıların büyük çoğunluğu için işleyen yaklaşım, uluslararası işleyicilerle PDPC onaylı standart sözleşme hükümleri imzalamak, transfer mekanizmasını Taylandça gizlilik bildiriminde belgelemek ve standart mekanizmanın tam oturmadığı yerlerde yalnızca onaya dayalı yetkilendirmeyle tamamlamaktır.
PDPA Kapsamında Veri Sahibi Hakları
PDPA, GDPR'yi yakından izleyen bir haklar seti tanımaktadır:
- Veri sorumlusunun tuttuğu kişisel verilere erişim hakkı
- Yanlış veya eksik verilerin düzeltilmesini talep hakkı
- Silme hakkı
- İşlemeyi kısıtlama hakkı
- Veri taşınabilirliği hakkı
- İşlemeye itiraz hakkı
- Onayı geri çekme hakkı
- Önemli sonuçlar doğuran otomatik karar almaya tabi olmama hakkı
- PDPC'ye şikâyette bulunma hakkı
Yanıt Süreleri
Veri sorumluları, genel çerçeve kapsamında veri sahibi taleplerine 30 gün içinde yanıt vermelidir; belirli talep türleri için daha kısa süreler geçerlidir. Bu süre için operasyonel hazırlık — Taylandça araçlar ve çalışma kılavuzları dahil — Avrupa ritmine alışmış yabancı yayıncılar arasında yaygın bir eksikliktir.
DPO Gerekliliği
2024 ikincil mevzuatı, DPO gereksinimini netleştirdi. Büyük hacimde kişisel veri işleyen, veri sahiplerinin sistematik izlemesini yürüten veya ölçekli hassas kişisel veri işleyen veri sorumluları DPO atamak zorundadır. Taylandlı kullanıcılar aracılığıyla hacim eşiğine ulaşan yabancı veri sorumluları kapsam dahilindedir. DPO'nun iletişim bilgileri Taylandça gizlilik bildiriminde erişilebilir olmalıdır.
2026'da Yaptırımlar ve Yaptırım Tutumu
PDPC'nin yaptırım faaliyetleri 2024 ve 2025 boyunca belirgin biçimde tırmandı ve 2026 benzer bir seyirdedir.
İdari Para Cezası Yapısı
İdari para cezaları ihlal türüne göre kademelenmekte olup en ağır ihlaller için ihlal başına THB 5 milyon üst sınır uygulanmaktadır. Rutin ihlaller — yetersiz onay banner'ları, eksik gizlilik bildirimleri, veri sahibi taleplerine yanıt verilmemesi — genellikle düşük yüz binler THB aralığında ceza çekmekte ancak tekrarlı ya da ağırlaştırıcı ihlallerde hızla tırmanabilmektedir.
Cezai Sorumluluk Güvencesi
GDPR'nin aksine PDPA, belirli durumlarda yönetici hapsini de kapsayan en ağır ihlaller için cezai sorumluluk öngörmektedir. 2024 ikincil mevzuatı cezai sorumluluğun kapsamını netleştirdi; 2026'ya kadar yabancı yayıncılara uygulanmamış olsa da bu olasılık, ölçekli Taylandlı veri işleyen her kuruluşun risk analizini şekillendirmektedir.
Yaptırım Temaları
PDPC'nin 2025 ve 2026 başı eylemleri şu konular etrafında yoğunlaşmaktadır: belirsiz veya eksik onay banner'ları, Taylandça gizlilik bildirimi eksikliği, 2025 yönetmelikleri kapsamında geçerli bir mekanizma olmadan sınır ötesi transferler, 30 günlük pencerede veri sahibi taleplerine yanıt verilmemesi ve kapsam dahilindeki veri sorumluları için eksik DPO atamaları. Yabancı yayıncılar her beş kategoride de geçmektedir.
2026'da Taylandlı Trafik için Denetim Kontrol Listesi
- CMP banner'ı ยอมรับ, ปฏิเสธ ve ตั้งค่า için eşit görsel önemle Taylandça sunulmaktadır
- Onay amaçları ayrıntılıdır ve hassas kategori işlemeyi kendi onay akışının arkasına ayırır
- Gizlilik bildirimi veri sorumlusu, işleyiciler, amaçlar, saklama, haklar ve DPO iletişim bilgilerinin tam açıklamasıyla Taylandça mevcuttur
- Sınır ötesi transferler PDPC onaylı standart sözleşme hükümlerine, yeterlilik kararına, BCRs'e, sertifikasyona veya belgelenmiş bir istisnaya dayanmaktadır
- Onay kayıtları zaman damgalı, dışa aktarılabilir ve geçerli süre boyunca saklanmaktadır
- Veri sahibi talebi iş akışı baştan sona 30 gün içinde Taylandça yanıt verebilmektedir
- DPO gerektiği yerlerde atanmış ve iletişim bilgileri gizlilik bildiriminde yayımlanmıştır
- Satıcı listesi zorunluluk açısından gözden geçirilmiş; kullanılmayan veya gereksiz satıcılar sınır ötesi transfer yüzeyini azaltmak için kaldırılmıştır
- Hassas kategori kitle segmentleri ayrı olarak toplanan açık onayın arkasına kilitlidir
- İhlal bildirim kılavuzu PDPA'nın ihlal bildirim sürelerine göre ayarlanmıştır
2026 Görünümü
Tayland'ın gizlilik rejimi, operasyonel özgüllüğü sınırlı temel bir kanundan, ikincil mevzuatı, yaptırım kapasitesi ve siyasi iradesine sahip, anlamlı biçimde uygulanan bir rejime olgunlaşmıştır. 2025 sınır ötesi transfer yönetmelikleri en kritik yapısal boşluğu kapattı; PDPC'nin erken yaptırım tutumu, sessiz kalmak yerine ölçeklenen ciddi bir düzenleyiciyle tutarlıdır. Halihazırda GDPR düzeyinde onay yığını işleten yayıncılar için PDPA uyumu açısındaki boşluk mimari değil operasyoneldir: Taylandça CMP ve gizlilik bildirimi, PDPC onaylı transfer mekanizmaları, 30 günlük yanıt ritmi, gerektiği yerlerde DPO ataması ve PDPA'nın geniş hassas veri listesine dikkat. Boşluk önceliklendirilirse haftalar içinde kapatılabilir — Tayland önemli bir Güneydoğu Asya pazarıdır. 2024 boyunca Tayland'ı daha hafif bir pazar olarak ele alan yayıncılar, 2026'yı belirgin biçimde daha zorlu bulmaktadır ve eğilim açıktır.