2026 میں PDPA کی ساخت

PDPA تھائی لینڈ میں ڈیٹا کے تحفظ کا بنیادی قانون ہے، اور اس کی ساخت GDPR سے گہری مماثلت رکھتی ہے۔ 2024 اور 2025 کے ضمنی قوانین نے وہ عملیاتی تفصیلات شامل کیں جو پہلے بنیادی قانون میں موجود نہیں تھیں۔

ضمنی قوانین نے کیا اضافہ کیا

2024 اور 2025 کے دوران، PDPC نے ضمنی قوانین جاری کیے جو ان امور کا احاطہ کرتے ہیں: سرحد پار ڈیٹا منتقلی کے طریقہ کار، ڈیٹا پروٹیکشن آفیسرز کی تقرری اور فرائض، ڈیٹا کی خلاف ورزی کی اطلاع کے طریقہ کار، پروسیسنگ ریکارڈز کی ضروریات، ڈیٹا سبجیکٹ حقوق کے ورک فلو کی ٹائم لائنز، اور حساس ذاتی ڈیٹا کے لیے مخصوص رضامندی معیارات۔ ان قوانین نے مجموعی طور پر PDPA کو ایک عمومی فریم ورک سے GDPR کی مخصوصیت کے مقابل ایک عملیاتی نظام میں تبدیل کر دیا۔

کن پر لاگو ہوتا ہے

PDPA زیادہ تر ڈیٹا کنٹرولرز اور پروسیسرز پر لاگو ہوتا ہے، اور ان غیر ملکی اداروں کے لیے خارجی علاقائی دائرہ رکھتا ہے جو سامان یا خدمات کی پیشکش یا رویے کی نگرانی سے متعلق تھائی لینڈ میں افراد کا ذاتی ڈیٹا پروسیس کرتے ہیں۔ مقامی سائٹس یا تھائی IPs کے خلاف خریدے گئے پروگرامیٹک انونٹری کے ذریعے تھائی صارفین کی خدمت کرنے والے غیر ملکی ناشرین عام طور پر دائرے میں آتے ہیں، اور PDPC نے ابتدائی نفاذ خطوط میں خارجی علاقائی شق کو استعمال کیا ہے۔

انتظامی اور فوجداری پابندیاں

PDPA فی خلاف ورزی THB 5 ملین تک انتظامی جرمانوں کا تعین کرتا ہے، ساتھ ہی مخصوص حالات میں ڈائریکٹرز کی قید سمیت سنگین ترین خلاف ورزیوں کے لیے فوجداری سزائیں بھی ہیں۔ انتظامی جرمانے کی حد مطلق معنوں میں GDPR سے کم ہے، لیکن PDPC کا بڑھتا ہوا نفاذ کا رویہ اور فوجداری ذمے داری کی دستیابی مؤثر خطرے کو اہم بناتی ہے۔

PDPA کے تحت ذاتی ڈیٹا کیا شمار ہوتا ہے

PDPA کی ذاتی ڈیٹا کی تعریف GDPR کے قریب ہے۔ ذاتی ڈیٹا وہ معلومات ہے جو کسی شناخت شدہ یا قابل شناخت شخص سے متعلق ہو، اور PDPC نے مسلسل کوکیز، اشتہاری شناخت کنندگان، IP پتے، ڈیوائس فنگر پرنٹس اور رویے کے پروفائلز کو ذاتی ڈیٹا کے طور پر سمجھا ہے جب انہیں براہ راست یا دیگر معلومات کے ساتھ ملا کر کسی فرد سے جوڑا جا سکتا ہو۔

حساس ذاتی ڈیٹا

PDPA ایک وسیع حساس زمرہ متعین کرتا ہے جس میں شامل ہیں: نسلی یا قومی نژاد، سیاسی رائے، مذہبی یا فلسفیانہ عقائد، جنسی رویہ، مجرمانہ ریکارڈ، صحت کا ڈیٹا، معذوری، ٹریڈ یونین کی رکنیت، جینیاتی ڈیٹا اور بائیومیٹرک ڈیٹا۔ حساس ذاتی ڈیٹا کی پروسیسنگ کے لیے واضح رضامندی ضروری ہے اور کنٹرولر پر اضافی ذمے داریاں عائد ہوتی ہیں۔

کوکیز کے لیے یہ کیوں اہم ہے

ایک معمول کا شناخت کنندہ محفوظ کرنے والی کوکی عام ذاتی ڈیٹا ہے۔ ایک کوکی جو PDPA کی حساس فہرست سے ملنے والے سامعین کے حصے کو فیڈ کرتی ہے — صحت کی دلچسپیاں، مذہبی وابستگی، سیاسی جھکاؤ — حساس ذاتی ڈیٹا کی پروسیسنگ ہے اور عمومی اشتہاری رضامندی کے بجائے واضح رضامندی کی ضرورت ہے۔ حساس فہرست کے ساتھ تھائی زبان کی سامعین ٹارگیٹنگ کو خاص طور پر اس حد کے خلاف آڈٹ کیا جانا چاہیے۔

2026 میں PDPA کے تحت کوکی رضامندی

PDPA پروسیسنگ کے لیے متعدد قانونی بنیادوں کی اجازت دیتا ہے، لیکن ایسی کوکیز اور اسی طرح کی ٹیکنالوجیز کے لیے جو سروس فراہمی کے لیے سختی سے ضروری نہیں ہیں، PDPC کی رہنمائی اور ابتدائی نفاذ نے رضامندی کو عملی بنیاد کے طور پر مرکوز کیا ہے۔

درست رضامندی کے عناصر

PDPA کے تحت رضامندی یہ ہونی چاہیے:

• آزادانہ طور پر دی گئی — جبر یا ضروری سروس کی فراہمی سے جوڑے بغیر
• باخبر — ڈیٹا سبجیکٹ سمجھتا ہے کہ کون سا ڈیٹا پروسیس کیا جاتا ہے، کس کے ذریعے، اور کس مقصد کے لیے
• مخصوص — چھتری رضامندی کے بجائے واضح طور پر شناخت شدہ مقاصد سے منسلک
• غیر مبہم — غیر فعالیت سے اخذ کیے جانے کی بجائے واضح توثیقی عمل کے ذریعے ظاہر کیا گیا
• واضح حساس ذاتی ڈیٹا سے متعلق معاملات میں، حساس پروسیسنگ کے لیے علیحدہ اور مخصوص رضامندی کے ساتھ

ایک ہم آہنگ CMP کیسا دکھتا ہے

2026 میں تھائی ٹریفک کے لیے ترتیب دی گئی CMP کو پیش کرنا چاہیے:

• کوئی بھی غیر ضروری کوکی یا ٹریکر فعال ہونے سے پہلے ایک نظر آنے والا بینر، تھائی صارفین کے لیے بطور ڈیفالٹ تھائی زبان (ภาษาไทย) میں
• ยอมรับ (قبول کریں)، ปฏิเสธ (مسترد کریں) اور ตั้งค่า (ترتیبات) کے لیے یکساں بصری نمایانیت — PDPC نے ایسے بینر ڈیزائنوں کو تنقید کا نشانہ بنایا ہے جہاں مسترد کرنے کا عمل بصری طور پر کم نمایاں ہے
• مقصد کے مطابق تفصیلی ٹوگلز: تجزیات، اشتہارات، ذاتی کاری، سرحد پار منتقلی، اور کوئی بھی حساس زمرے کی پروسیسنگ
• حساس ذاتی ڈیٹا پروسیسنگ کے لیے ایک علیحدہ، واضح طور پر نشاندہی شدہ فلو، اپنے عمل کے پیچھے بند
• ابتدائی انتخاب کے بعد رضامندی واپس لینے کا ایک مستقل، آسانی سے مل جانے والا طریقہ کار
• کنٹرولر، پروسیسرز، مقاصد، وصول کنندگان، برقراری اور حقوق کے مکمل انکشافات کے ساتھ تھائی زبان میں رازداری کا نوٹس

رضامندی کے ریکارڈز

کنٹرولرز کو رضامندی کا ثبوت برقرار رکھنا چاہیے — کس نے رضامندی دی، کب، کس مقصد کے لیے، اور کس انٹرفیس کے ذریعے۔ ناکافی رضامندی کے ریکارڈز 2025 میں PDPC کے کئی نفاذ خطوط میں درج کیے گئے ہیں، اور برآمد کے قابل ٹائم اسٹیمپ شدہ لاگز بنیادی توقع ہیں۔

2025 کے قوانین کے بعد سرحد پار منتقلی

2025 کے منتقلی کے قوانین غیر ملکی ناشرین کے لیے سب سے اہم حالیہ پیش رفت تھی، جس نے سرحد پار ڈیٹا کے بہاؤ کے لیے دستیاب طریقہ کاروں کو واضح کیا۔

تسلیم شدہ منتقلی کے طریقہ کار

2025 کے قوانین چار بنیادی راستے فراہم کرتے ہیں:

• مناسب تحفظ کا تعین جہاں PDPC نے منزل ملک کو مناسب تحفظ فراہم کرنے والا قرار دیا ہو
• PDPC سے منظور شدہ معیاری معاہداتی شقوں اور پابند کارپوریٹ قوانین سمیت معاہداتی طریقہ کاروں کے ذریعے مناسب تحفظات
• کافی انکشاف کے ساتھ ڈیٹا سبجیکٹ کی واضح رضامندی، معاہدے کی ضرورت، اہم مفاد اور اہم عوامی مفاد سمیت مخصوص مستثنیات
• مخصوص شعبوں یا سرگرمیوں کے لیے PDPC کے ذریعے تسلیم شدہ سرٹیفیکیشن اسکیمیں

مناسبت کی فہرست

PDPC نے ابتدائی 2026 تک چند دائرہ اختیارات کے لیے مناسبت کے فیصلے جاری کیے ہیں۔ امریکہ فہرست میں نہیں ہے، جس کا مطلب ہے کہ امریکہ میں قائم ایڈ ٹیک اور تجزیاتی فروخت کنندگان کو منتقلی کے لیے معاہداتی شقوں، سرٹیفیکیشن یا رضامندی پر مبنی استثنیٰ کی ضرورت ہے۔

2026 کا عملی نقطہ نظر

زیادہ تر غیر ملکی ناشرین کے لیے کام کرنے والا نقطہ نظر یہ ہے کہ بین الاقوامی پروسیسرز کے ساتھ PDPC سے منظور شدہ معیاری معاہداتی شقیں چلائی جائیں، تھائی زبان کے رازداری نوٹس میں منتقلی کے طریقہ کار کو دستاویز کیا جائے، اور صرف وہاں رضامندی پر مبنی اجازت کے ساتھ تکملہ کیا جائے جہاں معیاری طریقہ کار صاف فٹ نہ ہو۔

PDPA کے تحت ڈیٹا سبجیکٹ کے حقوق

PDPA حقوق کا ایک سیٹ دیتا ہے جو GDPR کے قریب ہے:

• کنٹرولر کے پاس محفوظ ذاتی ڈیٹا تک رسائی کا حق
• غلط یا نامکمل ڈیٹا کی اصلاح کا حق
• حذف کا حق
• پروسیسنگ محدود کرنے کا حق
• ڈیٹا پورٹیبلٹی کا حق
• پروسیسنگ پر اعتراض کا حق
• رضامندی واپس لینے کا حق
• اہم اثرات پیدا کرنے والے خودکار فیصلہ سازی کا شکار نہ ہونے کا حق
• PDPC میں شکایت درج کرانے کا حق

جواب کی ٹائم لائنز

کنٹرولرز کو عمومی فریم ورک کے تحت 30 دنوں کے اندر ڈیٹا سبجیکٹ کی درخواستوں کا جواب دینا ضروری ہے، مخصوص درخواست کی اقسام کے لیے کم مدت کے ساتھ۔ اس ونڈو کے لیے عملیاتی تیاری — تھائی زبان کے ٹولز اور رن بکس کے ساتھ — یورپی تال کو اپنانے والے غیر ملکی ناشرین کے لیے ایک عام خلا ہے۔

DPO کی ضرورت

2024 کے ضمنی قانون نے واضح کیا کہ DPO کب ضروری ہے۔ ذاتی ڈیٹا کی بڑی مقدار پروسیس کرنے، ڈیٹا سبجیکٹس کی منظم نگرانی کرنے، یا بڑے پیمانے پر حساس ذاتی ڈیٹا پروسیس کرنے والے کنٹرولرز کو DPO مقرر کرنا ضروری ہے۔ تھائی صارفین کے ذریعے حجم کی حد تک پہنچنے والے غیر ملکی کنٹرولرز دائرے میں ہیں۔ DPO کی رابطہ معلومات تھائی زبان کے رازداری نوٹس میں قابل رسائی ہونی چاہیے۔

2026 میں جرمانے اور نفاذ کا رویہ

PDPC کی نفاذ سرگرمی 2024 اور 2025 کے دوران نمایاں طور پر بڑھی ہے، اور 2026 اسی رفتار پر ہے۔

انتظامی جرمانے کا ڈھانچہ

انتظامی جرمانے خلاف ورزی کی قسم کے مطابق اسکیل ہوتے ہیں، سنگین ترین خلاف ورزیوں کے لیے فی خلاف ورزی THB 5 ملین تک۔ معمول کی خلاف ورزیاں — ناکافی رضامندی بینرز، غائب رازداری نوٹسز، ڈیٹا سبجیکٹ درخواستوں کا جواب نہ دینا — عام طور پر THB کے کم لاکھوں کی حد میں جرمانے کھینچتی ہیں لیکن بار بار یا سنگین خلاف ورزیوں پر تیزی سے بڑھ سکتی ہیں۔

فوجداری ذمے داری کی پشت پناہی

GDPR کے برعکس، PDPA مخصوص حالات میں ڈائریکٹرز کی قید سمیت سنگین ترین خلاف ورزیوں کے لیے فوجداری ذمے داری فراہم کرتا ہے۔ 2024 کے ضمنی قانون نے فوجداری ذمے داری کے دائرے کو واضح کیا، اور اگرچہ اسے 2026 میں اب تک غیر ملکی ناشرین کے خلاف لاگو نہیں کیا گیا ہے، لیکن یہ امکان بڑے پیمانے پر تھائی ڈیٹا پروسیس کرنے والے کسی بھی ادارے کے لیے خطرے کے تجزیے کو تشکیل دیتا ہے۔

نفاذ کے موضوعات

2025 اور ابتدائی 2026 کے PDPC کے اقدامات ان کے گرد مرکوز ہیں: مبہم یا غائب رضامندی بینرز، تھائی زبان کے رازداری نوٹسز کا فقدان، 2025 کے قوانین کے تحت درست طریقہ کار کے بغیر سرحد پار منتقلی، 30 دن کی ونڈو میں ڈیٹا سبجیکٹ درخواستوں کا جواب نہ دینا، اور دائرے میں آنے والے کنٹرولرز کے لیے DPO کی تقرری کا فقدان۔ غیر ملکی ناشرین کو تمام پانچ زمروں میں درج کیا گیا ہے۔

2026 میں تھائی ٹریفک کے لیے آڈٹ چیک لسٹ

• CMP بینر تھائی زبان میں ยอมรับ، ปฏิเสธ اور ตั้งค่า کے ساتھ یکساں بصری نمایانیت کے ساتھ پیش کیا جاتا ہے
• رضامندی کے مقاصد تفصیلی ہیں اور حساس زمرے کی پروسیسنگ کو اپنے رضامندی فلو کے پیچھے الگ کرتے ہیں
• رازداری نوٹس تھائی زبان میں دستیاب ہے جس میں کنٹرولر، پروسیسرز، مقاصد، برقراری، حقوق اور DPO رابطے کے مکمل انکشافات ہیں
• سرحد پار منتقلی PDPC سے منظور شدہ معیاری معاہداتی شقوں، مناسبت کے تعین، BCRs، سرٹیفیکیشن یا ایک دستاویزی استثنیٰ پر انحصار کرتی ہے
• رضامندی کے لاگز ٹائم اسٹیمپ شدہ، برآمد کے قابل اور قابل اطلاق مدت کے لیے برقرار رکھے گئے ہیں
• ڈیٹا سبجیکٹ درخواست ورک فلو شروع سے آخر تک تھائی زبان میں 30 دنوں کے اندر جواب دے سکتا ہے
• جہاں ضرورت ہو DPO مقرر ہے اور رابطہ معلومات رازداری نوٹس میں شائع ہیں
• فروخت کنندہ کی فہرست کو ضرورت کے لیے جائزہ لیا گیا ہے، استعمال نہ ہونے والے یا اضافی فروخت کنندگان کو سرحد پار منتقلی کی سطح کم کرنے کے لیے ہٹا دیا گیا ہے
• حساس زمرے کے سامعین حصے واضح، الگ سے حاصل کردہ رضامندی کے پیچھے بند ہیں
• خلاف ورزی کی اطلاع رن بک PDPA کی خلاف ورزی اطلاع ٹائم لائنز سے ہم آہنگ ہے

2026 کا آؤٹ لک

تھائی لینڈ کا رازداری کا نظام محدود عملیاتی مخصوصیت والے بنیادی قانون سے ضمنی قوانین، نفاذ صلاحیت اور بامعنی طریقے سے نافذ کرنے کی سیاسی مرضی والے نظام میں پختہ ہو گیا ہے۔ 2025 کے سرحد پار منتقلی کے قوانین نے سب سے اہم ساختی خلا بند کر دیا، اور PDPC کا ابتدائی نفاذ کا رویہ ایک سنجیدہ ریگولیٹر کے ساتھ مطابقت رکھتا ہے جو اسکیلنگ کے درمیان میں ہے بجائے اس کے کہ خاموش رہے۔ ان ناشرین کے لیے جو پہلے سے GDPR درجے کی رضامندی اسٹیک چلا رہے ہیں، PDPA کی تعمیل کا فرق تعمیراتی کے بجائے عملیاتی ہے: تھائی زبان کی CMP اور رازداری نوٹس، PDPC سے منظور شدہ منتقلی کے طریقہ کار، 30 دن کی جواب کی تال، جہاں ضرورت ہو DPO کی تقرری، اور PDPA کی وسیع تر حساس ڈیٹا فہرست کے ساتھ احتیاط۔ اگر ترجیح دی جائے تو خلا کو ہفتوں میں بند کیا جا سکتا ہے — اور تھائی لینڈ ایک اہم جنوب مشرقی ایشیائی مارکیٹ ہے۔ 2024 کے دوران تھائی لینڈ کو ہلکی مارکیٹ سمجھنے والے ناشرین 2026 کو نمایاں طور پر زیادہ مطالبہ کرتے ہوئے پا رہے ہیں، اور رجحان واضح ہے۔