Структура PDPA у 2026 році

PDPA є основним законом про захист даних у Таїланді, і його структура тісно нагадує GDPR. Підзаконні акти 2024 і 2025 років додали операційні деталі, яких раніше бракувало в базовому законі.

Що додали підзаконні акти

Протягом 2024 і 2025 років PDPC видав підзаконні акти, що охоплюють: механізми транскордонного передавання даних, призначення та обов'язки уповноважених із захисту даних, процедури повідомлення про порушення захисту даних, вимоги до обліку обробки, часові рамки робочих процесів прав суб'єктів даних та конкретні стандарти згоди для чутливих персональних даних. Ці акти колективно перетворили PDPA із загальної системи на операційний режим, порівнянний із GDPR за специфічністю.

Хто підпадає під регулювання

PDPA застосовується до більшості контролерів і обробників даних з екстратериторіальним охопленням для іноземних організацій, що обробляють персональні дані осіб у Таїланді у зв'язку з пропонуванням товарів чи послуг або моніторингом поведінки. Іноземні видавці, які обслуговують тайських користувачів через локалізовані сайти або програматичний інвентар, куплений проти тайських IP, як правило, охоплюються сферою дії, і PDPC застосовував екстратериторіальне положення в ранніх листах-вимогах.

Адміністративні та кримінальні санкції

PDPA передбачає адміністративні штрафи до THB 5 мільйонів за порушення разом із кримінальними санкціями за найсерйозніші порушення, включаючи ув'язнення директорів за певних обставин. Стеля адміністративного штрафу нижча, ніж у GDPR, в абсолютному вираженні, але зростаюча правозастосовна позиція PDPC і можливість кримінальної відповідальності роблять ефективний ризик значним.

Що вважається персональними даними за PDPA

Визначення персональних даних у PDPA тісно відслідковує GDPR. Персональні дані — це інформація, яка стосується ідентифікованої або ідентифікованої особи, і PDPC послідовно розглядав файли cookie, рекламні ідентифікатори, IP-адреси, цифрові відбитки пристроїв та поведінкові профілі як персональні дані, коли їх можна пов'язати з особою безпосередньо або шляхом поєднання з іншою інформацією.

Чутливі персональні дані

PDPA визначає широку чутливу категорію, що включає: расове або етнічне походження, політичні погляди, релігійні або філософські переконання, сексуальну поведінку, судимість, дані про стан здоров'я, інвалідність, членство у профспілці, генетичні дані та біометричні дані. Обробка чутливих персональних даних вимагає явної згоди і активує додаткові зобов'язання контролера.

Чому це важливо для файлів cookie

Файл cookie, що зберігає звичайний ідентифікатор, є звичайними персональними даними. Файл cookie, що живить сегмент аудиторії, який зачіпає список чутливих даних PDPA — інтереси здоров'я, релігійна приналежність, політичні нахили — є обробкою чутливих персональних даних і вимагає явної згоди, а не загальної рекламної згоди. Тайськомовне таргетування аудиторії, яке перетинається із чутливим списком, слід аудитувати конкретно проти цієї межі.

Згода на файли cookie за PDPA у 2026 році

PDPA дозволяє множину правових підстав для обробки, але для файлів cookie та подібних технологій, які не є суворо необхідними для надання послуг, керівництво PDPC та раннє правозастосування сконцентрувалися на згоді як практичній базовій лінії.

Елементи дійсної згоди

Згода за PDPA має бути:

• Вільно наданою — без примусу або прив'язки до надання основних послуг
• Поінформованою — суб'єкт даних розуміє, які дані обробляються, ким і з якою метою
• Конкретною — прив'язаною до чітко визначених цілей, а не загальної згоди
• Однозначною — вираженою через чітку стверджувальну дію, а не виведеною з бездіяльності
• Явною у випадках, що стосуються чутливих персональних даних, з окремою та конкретною згодою на чутливу обробку

Як виглядає сумісна CMP

CMP, налаштована для тайського трафіку у 2026 році, має представляти:

• Видимий банер до того, як спрацює будь-який необов'язковий файл cookie або трекер, на тайській мові (ภาษาไทย) за умовчанням для тайських користувачів
• Рівну візуальну помітність для ยอมรับ (Прийняти), ปฏิเสธ (Відхилити) та ตั้งค่า (Налаштування) — PDPC критикував дизайни банерів, де дія «Відхилити» візуально знижена
• Детальні перемикачі за метою: аналітика, реклама, персоналізація, транскордонне передачання і будь-яка обробка чутливої категорії
• Окремий, чітко позначений потік для обробки чутливих персональних даних, захищений власною дією
• Постійний, легкодоступний механізм відкликання згоди після початкового вибору
• Повідомлення про конфіденційність тайською мовою з повним розкриттям інформації про контролера, обробників, цілі, одержувачів, зберігання та права

Записи про згоду

Контролери повинні зберігати докази згоди — хто надав згоду, коли, на яку мету та через який інтерфейс. Неналежні записи про згоду були процитовані в кількох листах-вимогах PDPC у 2025 році, а журнали з мітками часу, що допускають експорт, є базовим очікуванням.

Транскордонні передачання після регуляторних актів 2025 року

Регуляторні акти про передачання 2025 року були найзначнішим недавнім розвитком для іноземних видавців, уточнивши доступні механізми для транскордонних потоків даних.

Визнані механізми передавання

Акти 2025 року передбачають чотири основні шляхи:

• Рішення про відповідний рівень захисту, де PDPC оцінив країну призначення як таку, що забезпечує належний захист
• Відповідні гарантії через договірні механізми, включаючи схвалені PDPC стандартні договірні умови та обов'язкові корпоративні правила
• Конкретні винятки, включаючи явну згоду суб'єкта даних із відповідним розкриттям інформації, необхідність договору, життєво важливий інтерес та суттєвий публічний інтерес
• Схеми сертифікації, визнані PDPC для конкретних секторів або видів діяльності

Список відповідності

PDPC видав рішення про відповідність для невеликої кількості юрисдикцій до початку 2026 року. США не входять до списку, тобто передачання до постачальників рекламних технологій і аналітики, що базуються в США, вимагають договірних умов, сертифікації або виключення на основі згоди.

Практичний підхід у 2026 році

Для більшості іноземних видавців робочий підхід полягає у виконанні схвалених PDPC стандартних договірних умов з міжнародними обробниками, документуванні механізму передавання в повідомленні про конфіденційність тайською мовою та доповненні авторизацією на основі згоди лише там, де стандартний механізм не підходить.

Права суб'єктів даних за PDPA

PDPA надає набір прав, що тісно відслідковують GDPR:

• Право доступу до персональних даних, що зберігаються контролером
• Право на виправлення неточних або неповних даних
• Право на видалення
• Право на обмеження обробки
• Право на перенесення даних
• Право заперечувати проти обробки
• Право на відкликання згоди
• Право не підлягати автоматизованому прийняттю рішень, що спричиняє значущі наслідки
• Право подавати скаргу до PDPC

Терміни реагування

Контролери повинні відповідати на запити суб'єктів даних протягом 30 днів у рамках загальної системи з коротшими вікнами для конкретних типів запитів. Операційна готовність до цього вікна — з інструментами та регламентами тайською мовою — є поширеною прогалиною для іноземних видавців, налаштованих на європейський ритм.

Вимога щодо DPO

Підзаконний акт 2024 року уточнив, коли потрібен DPO. Контролери, що обробляють великі обсяги персональних даних, здійснюють систематичний моніторинг суб'єктів даних або обробляють чутливі персональні дані у значних масштабах, зобов'язані призначити DPO. Іноземні контролери, що досягають порогу обсягу через тайських користувачів, входять до сфери застосування. Контактні дані DPO мають бути доступні в повідомленні про конфіденційність тайською мовою.

Санкції та позиція щодо правозастосування у 2026 році

Правозастосовна діяльність PDPC суттєво зросла протягом 2024 і 2025 років, і 2026 рік перебуває на аналогічній траєкторії.

Структура адміністративних штрафів

Адміністративні штрафи масштабуються залежно від типу порушення з максимумом THB 5 мільйонів за порушення для найсерйозніших випадків. Рутинні порушення — неналежні банери згоди, відсутні повідомлення про конфіденційність, невідповідь на запити суб'єктів даних — зазвичай тягнуть штрафи в нижньому діапазоні сотень тисяч THB, але можуть швидко зростати за повторних або обтяжувальних порушень.

Кримінальна відповідальність як підстрахування

На відміну від GDPR, PDPA передбачає кримінальну відповідальність за найсерйозніші порушення, включаючи ув'язнення директорів за певних обставин. Підзаконний акт 2024 року уточнив сферу кримінальної відповідальності, і хоча вона ще не застосовувалася проти іноземних видавців у 2026 році, можливість впливає на аналіз ризиків для будь-якої організації, що обробляє тайські дані у значних масштабах.

Теми правозастосування

Дії PDPC у 2025 та на початку 2026 року зосереджені навколо: неоднозначних або відсутніх банерів згоди, відсутності повідомлень про конфіденційність тайською мовою, транскордонних передачань без дійсного механізму згідно з регуляторними актами 2025 року, невідповіді на запити суб'єктів даних у 30-денний термін та відсутності призначень DPO для контролерів, що входять до сфери застосування. Іноземні видавці були згадані в усіх п'яти категоріях.

Контрольний список аудиту для тайського трафіку у 2026 році

• Банер CMP відображається тайською мовою з ยอมรับ, ปฏิเสธ та ตั้งค่า з рівною візуальною помітністю
• Цілі згоди є деталізованими і відокремлюють обробку чутливої категорії за окремим потоком згоди
• Повідомлення про конфіденційність доступне тайською мовою з повним розкриттям інформації про контролера, обробників, цілі, зберігання, права та контакти DPO
• Транскордонні передачання спираються на схвалені PDPC стандартні договірні умови, рішення про відповідність, BCRs, сертифікацію або задокументований виняток
• Записи про згоду мають мітки часу, допускають експорт і зберігаються протягом відповідного терміну
• Робочий процес запитів суб'єктів даних здатний відповісти протягом 30 днів від початку до кінця тайською мовою
• DPO призначений там, де це потрібно, а контактні дані опубліковані в повідомленні про конфіденційність
• Список постачальників перевірено на необхідність, невикористані або зайві постачальники видалені для зменшення поверхні транскордонного передавання
• Сегменти аудиторії чутливої категорії заблоковані за явною, окремо зібраною згодою
• Регламент повідомлення про порушення налаштований відповідно до термінів повідомлення про порушення PDPA

Перспективи 2026 року

Режим конфіденційності Таїланду дозрів від базового закону з обмеженою операційною конкретністю до режиму з підзаконними актами, потенціалом правозастосування та політичною волею до значущого виконання. Регуляторні акти про транскордонні передачання 2025 року закрили найбільш значну структурну прогалину, а рання правозастосовна позиція PDPC відповідає серйозному регулятору, що перебуває в середині масштабування, а не тому, що залишиться тихим. Для видавців, які вже ведуть стек згоди рівня GDPR, розрив до відповідності PDPA є операційним, а не архітектурним: CMP та повідомлення про конфіденційність тайською мовою, схвалені PDPC механізми передавання, 30-денний ритм реагування, призначення DPO там, де це потрібно, і уважність до ширшого списку чутливих даних PDPA. Розрив можна закрити за тижні за умови пріоритизації — а Таїланд є важливим ринком Південно-Східної Азії. Видавці, які ставилися до Таїланду як до ринку з менш жорсткими вимогами протягом 2024 року, виявляють, що 2026 рік є значно більш вимогливим, і тенденція очевидна.