Cấu trúc của PDPA năm 2026

PDPA là đạo luật bảo vệ dữ liệu chính tại Thái Lan, và cấu trúc của nó gần giống với GDPR. Các quy định phụ năm 2024 và 2025 đã bổ sung các chi tiết vận hành mà trước đây còn thiếu trong luật cơ bản.

Những gì Các quy định phụ Bổ sung

Trong suốt năm 2024 và 2025, PDPC đã ban hành các quy định phụ bao gồm: cơ chế chuyển dữ liệu xuyên biên giới, bổ nhiệm và nhiệm vụ của Cán bộ Bảo vệ Dữ liệu, thủ tục thông báo vi phạm dữ liệu, yêu cầu hồ sơ xử lý, khung thời gian quy trình làm việc về quyền của chủ thể dữ liệu và các tiêu chuẩn đồng ý cụ thể cho dữ liệu cá nhân nhạy cảm. Những quy định này đã tập thể chuyển PDPA từ một khung chung thành một chế độ vận hành có thể so sánh với GDPR về tính cụ thể.

Ai Được Điều chỉnh

PDPA áp dụng cho hầu hết các bộ kiểm soát và bộ xử lý dữ liệu, với phạm vi ngoài lãnh thổ đối với các tổ chức nước ngoài xử lý dữ liệu cá nhân của các cá nhân ở Thái Lan liên quan đến việc cung cấp hàng hóa hoặc dịch vụ hoặc giám sát hành vi. Các nhà xuất bản nước ngoài phục vụ người dùng Thái Lan thông qua các trang web được bản địa hóa hoặc hàng tồn kho lập trình mua đối với các IP của Thái Lan thường nằm trong phạm vi, và PDPC đã viện dẫn điều khoản ngoài lãnh thổ trong các thư thực thi sớm.

Chế tài Hành chính và Hình sự

PDPA quy định phạt hành chính tối đa THB 5 triệu mỗi vi phạm, cùng với hình phạt hình sự cho các vi phạm nghiêm trọng nhất bao gồm bỏ tù giám đốc trong các trường hợp cụ thể. Mức trần phạt hành chính thấp hơn GDPR về mặt tuyệt đối, nhưng thái độ thực thi leo thang của PDPC và khả năng trách nhiệm hình sự khiến rủi ro thực tế trở nên đáng kể.

Những gì Tính là Dữ liệu Cá nhân theo PDPA

Định nghĩa dữ liệu cá nhân của PDPA theo sát GDPR. Dữ liệu cá nhân là thông tin liên quan đến một người được xác định hoặc có thể xác định, và PDPC đã nhất quán coi cookie, định danh quảng cáo, địa chỉ IP, dấu vân tay thiết bị và hồ sơ hành vi là dữ liệu cá nhân khi chúng có thể được liên kết với một cá nhân trực tiếp hoặc bằng cách kết hợp với thông tin khác.

Dữ liệu Cá nhân Nhạy cảm

PDPA chỉ định một loại nhạy cảm rộng bao gồm: nguồn gốc chủng tộc hoặc dân tộc, ý kiến chính trị, tín ngưỡng tôn giáo hoặc triết học, hành vi tình dục, hồ sơ tội phạm, dữ liệu sức khỏe, khuyết tật, tư cách thành viên công đoàn, dữ liệu di truyền và dữ liệu sinh trắc học. Xử lý dữ liệu cá nhân nhạy cảm yêu cầu sự đồng ý rõ ràng và kích hoạt các nghĩa vụ bổ sung của bộ kiểm soát.

Tại sao Điều này Quan trọng đối với Cookie

Một cookie lưu trữ định danh thông thường là dữ liệu cá nhân thông thường. Một cookie cung cấp dữ liệu cho phân khúc đối tượng có liên quan đến danh sách nhạy cảm của PDPA — quan tâm sức khỏe, liên kết tôn giáo, xu hướng chính trị — là xử lý dữ liệu cá nhân nhạy cảm và yêu cầu sự đồng ý rõ ràng thay vì đồng ý quảng cáo chung. Nhắm mục tiêu đối tượng bằng tiếng Thái giao thoa với danh sách nhạy cảm cần được kiểm tra cụ thể theo ranh giới này.

Đồng ý Cookie theo PDPA năm 2026

PDPA cho phép nhiều cơ sở pháp lý để xử lý, nhưng đối với cookie và các công nghệ tương tự không thực sự cần thiết cho việc cung cấp dịch vụ, hướng dẫn và thực thi sớm của PDPC đã hội tụ về sự đồng ý là đường cơ sở thực tế.

Các Yếu tố của Sự Đồng ý Hợp lệ

Sự đồng ý theo PDPA phải:

• Được trao tự do — không có sự ép buộc hoặc ràng buộc với việc cung cấp dịch vụ thiết yếu
• Được thông báo — chủ thể dữ liệu hiểu dữ liệu nào được xử lý, bởi ai và với mục đích gì
• Cụ thể — gắn với các mục đích được xác định rõ ràng thay vì đồng ý chung chung
• Không mơ hồ — được thể hiện qua hành động khẳng định rõ ràng, không suy ra từ sự không hoạt động
• Rõ ràng (explicit) trong các trường hợp liên quan đến dữ liệu cá nhân nhạy cảm, với sự đồng ý riêng biệt và cụ thể cho việc xử lý nhạy cảm

CMP Tuân thủ Trông như Thế nào

CMP được cấu hình cho lưu lượng truy cập Thái Lan năm 2026 nên trình bày:

• Banner hiển thị trước khi bất kỳ cookie hoặc trình theo dõi không cần thiết nào kích hoạt, bằng tiếng Thái (ภาษาไทย) theo mặc định cho người dùng Thái Lan
• Tầm nổi bật hình ảnh bình đẳng cho ยอมรับ (Chấp nhận), ปฏิเสธ (Từ chối) và ตั้งค่า (Cài đặt) — PDPC đã chỉ trích các thiết kế banner trong đó hành động Từ chối bị giảm tầm nổi bật hình ảnh
• Công tắc chi tiết theo mục đích: phân tích, quảng cáo, cá nhân hóa, chuyển dữ liệu xuyên biên giới và bất kỳ xử lý danh mục nhạy cảm nào
• Luồng riêng biệt được gắn nhãn rõ ràng cho việc xử lý dữ liệu cá nhân nhạy cảm, được bảo vệ bằng hành động riêng của nó
• Cơ chế liên tục, dễ tìm để rút lại sự đồng ý sau lựa chọn ban đầu
• Thông báo quyền riêng tư bằng tiếng Thái với đầy đủ thông tin tiết lộ về bộ kiểm soát, bộ xử lý, mục đích, người nhận, lưu giữ và quyền

Hồ sơ Đồng ý

Bộ kiểm soát phải lưu giữ bằng chứng về sự đồng ý — ai đã đồng ý, khi nào, với mục đích gì và thông qua giao diện nào. Hồ sơ đồng ý không đầy đủ đã được đề cập trong một số thư thực thi PDPC năm 2025, và nhật ký có dấu thời gian có thể xuất là kỳ vọng cơ bản.

Chuyển dữ liệu Xuyên biên giới Sau Các Quy định Năm 2025

Các quy định chuyển dữ liệu năm 2025 là sự phát triển gần đây quan trọng nhất đối với các nhà xuất bản nước ngoài, làm rõ các cơ chế có sẵn cho luồng dữ liệu xuyên biên giới.

Các Cơ chế Chuyển dữ liệu Được Công nhận

Các quy định năm 2025 cung cấp bốn con đường chính:

• Chỉ định bảo vệ đầy đủ trong đó PDPC đã đánh giá quốc gia đích là cung cấp sự bảo vệ đầy đủ
• Các biện pháp bảo vệ phù hợp thông qua các cơ chế hợp đồng bao gồm các điều khoản hợp đồng tiêu chuẩn được PDPC phê duyệt và các quy tắc doanh nghiệp ràng buộc
• Các trường hợp miễn trừ cụ thể bao gồm sự đồng ý rõ ràng từ chủ thể dữ liệu với đủ thông tin tiết lộ, sự cần thiết hợp đồng, lợi ích sống còn và lợi ích công cộng đáng kể
• Các chương trình chứng nhận được PDPC công nhận cho các ngành hoặc hoạt động cụ thể

Danh sách Đầy đủ

PDPC đã ban hành các quyết định về tính đầy đủ cho một số ít quyền tài phán vào đầu năm 2026. Hoa Kỳ không có trong danh sách, có nghĩa là các giao dịch chuyển cho các nhà cung cấp công nghệ quảng cáo và phân tích có trụ sở tại Mỹ yêu cầu các điều khoản hợp đồng, chứng nhận hoặc miễn trừ dựa trên đồng ý.

Cách tiếp cận Thực tế Năm 2026

Đối với hầu hết các nhà xuất bản nước ngoài, cách tiếp cận làm việc là thực hiện các điều khoản hợp đồng tiêu chuẩn được PDPC phê duyệt với các bộ xử lý quốc tế, ghi lại cơ chế chuyển dữ liệu trong thông báo quyền riêng tư bằng tiếng Thái và bổ sung bằng ủy quyền dựa trên sự đồng ý chỉ khi cơ chế tiêu chuẩn không phù hợp hoàn toàn.

Quyền của Chủ thể Dữ liệu theo PDPA

PDPA cấp một tập hợp quyền theo sát GDPR:

• Quyền truy cập dữ liệu cá nhân do bộ kiểm soát nắm giữ
• Quyền chỉnh sửa dữ liệu không chính xác hoặc không đầy đủ
• Quyền xóa
• Quyền hạn chế xử lý
• Quyền di chuyển dữ liệu
• Quyền phản đối xử lý
• Quyền rút lại sự đồng ý
• Quyền không phải chịu quyết định tự động tạo ra các hiệu ứng đáng kể
• Quyền nộp đơn khiếu nại lên PDPC

Khung Thời gian Phản hồi

Bộ kiểm soát phải phản hồi các yêu cầu của chủ thể dữ liệu trong vòng 30 ngày theo khung chung, với các khung thời gian ngắn hơn cho các loại yêu cầu cụ thể. Sự sẵn sàng vận hành cho cửa sổ này — với các công cụ và tài liệu hướng dẫn bằng tiếng Thái — là một khoảng cách phổ biến đối với các nhà xuất bản nước ngoài được điều chỉnh theo nhịp độ châu Âu.

Yêu cầu DPO

Quy định phụ năm 2024 đã làm rõ khi nào cần có DPO. Các bộ kiểm soát xử lý khối lượng lớn dữ liệu cá nhân, tiến hành giám sát hệ thống đối với các chủ thể dữ liệu hoặc xử lý dữ liệu cá nhân nhạy cảm ở quy mô lớn phải bổ nhiệm một DPO. Các bộ kiểm soát nước ngoài đạt đến ngưỡng khối lượng thông qua người dùng Thái Lan nằm trong phạm vi. Thông tin liên hệ của DPO phải có thể truy cập trong thông báo quyền riêng tư bằng tiếng Thái.

Phạt và Thái độ Thực thi Năm 2026

Hoạt động thực thi của PDPC đã leo thang đáng kể trong suốt năm 2024 và 2025, và năm 2026 đang theo quỹ đạo tương tự.

Cấu trúc Phạt Hành chính

Phạt hành chính theo thứ bậc theo loại vi phạm, với mức tối đa THB 5 triệu mỗi vi phạm cho các trường hợp nghiêm trọng nhất. Vi phạm thông thường — banner đồng ý không đầy đủ, thông báo quyền riêng tư bị thiếu, không phản hồi yêu cầu của chủ thể dữ liệu — thường thu hút các khoản phạt trong phạm vi hàng trăm nghìn THB thấp hơn nhưng có thể leo thang nhanh chóng đối với vi phạm lặp lại hoặc tình tiết tăng nặng.

Trách nhiệm Hình sự là Biện pháp Cuối cùng

Không giống GDPR, PDPA quy định trách nhiệm hình sự đối với các vi phạm nghiêm trọng nhất, bao gồm bỏ tù giám đốc trong các trường hợp cụ thể. Quy định phụ năm 2024 đã làm rõ phạm vi trách nhiệm hình sự, và mặc dù nó chưa được áp dụng đối với các nhà xuất bản nước ngoài vào năm 2026, khả năng này định hình phân tích rủi ro cho bất kỳ tổ chức nào xử lý dữ liệu Thái Lan ở quy mô.

Các Chủ đề Thực thi

Các hành động của PDPC năm 2025 và đầu năm 2026 tập trung xung quanh: banner đồng ý mơ hồ hoặc vắng mặt, thiếu thông báo quyền riêng tư bằng tiếng Thái, chuyển dữ liệu xuyên biên giới không có cơ chế hợp lệ theo các quy định năm 2025, không phản hồi yêu cầu của chủ thể dữ liệu trong cửa sổ 30 ngày và thiếu chỉ định DPO cho các bộ kiểm soát trong phạm vi. Các nhà xuất bản nước ngoài đã được đề cập trong cả năm danh mục.

Danh sách Kiểm tra Kiểm toán cho Lưu lượng Thái Lan Năm 2026

• Banner CMP được phục vụ bằng tiếng Thái với ยอมรับ, ปฏิเสธ và ตั้งค่า có tầm nổi bật hình ảnh bình đẳng
• Mục đích đồng ý chi tiết và phân tách xử lý danh mục nhạy cảm phía sau luồng đồng ý riêng của nó
• Thông báo quyền riêng tư có sẵn bằng tiếng Thái với đầy đủ thông tin tiết lộ về bộ kiểm soát, bộ xử lý, mục đích, lưu giữ, quyền và liên hệ DPO
• Chuyển dữ liệu xuyên biên giới dựa trên các điều khoản hợp đồng tiêu chuẩn được PDPC phê duyệt, chỉ định đầy đủ, BCRs, chứng nhận hoặc miễn trừ được ghi lại
• Hồ sơ đồng ý có dấu thời gian, có thể xuất và được lưu giữ trong khoảng thời gian áp dụng
• Quy trình yêu cầu của chủ thể dữ liệu có thể phản hồi trong vòng 30 ngày từ đầu đến cuối, bằng tiếng Thái
• DPO được chỉ định khi cần thiết và thông tin liên hệ được công bố trong thông báo quyền riêng tư
• Danh sách nhà cung cấp đã được xem xét về sự cần thiết, với các nhà cung cấp không sử dụng hoặc dư thừa bị loại bỏ để giảm bề mặt chuyển dữ liệu xuyên biên giới
• Các phân khúc đối tượng danh mục nhạy cảm được khóa phía sau sự đồng ý rõ ràng, được thu thập riêng biệt
• Sổ tay thông báo vi phạm được điều chỉnh theo các khung thời gian thông báo vi phạm của PDPA

Triển vọng Năm 2026

Chế độ quyền riêng tư của Thái Lan đã trưởng thành từ một đạo luật cơ bản với tính cụ thể vận hành hạn chế thành một chế độ với các quy định phụ, năng lực thực thi và ý chí chính trị để được thực thi có ý nghĩa. Các quy định chuyển dữ liệu xuyên biên giới năm 2025 đã đóng khoảng cách cấu trúc quan trọng nhất, và thái độ thực thi sớm của PDPC nhất quán với một cơ quan quản lý nghiêm túc đang ở giữa quá trình mở rộng quy mô. Đối với các nhà xuất bản đã chạy một ngăn xếp đồng ý cấp GDPR, khoảng cách đến tuân thủ PDPA là về mặt vận hành hơn là kiến trúc: CMP và thông báo quyền riêng tư bằng tiếng Thái, cơ chế chuyển dữ liệu được PDPC phê duyệt, nhịp độ phản hồi 30 ngày, chỉ định DPO khi cần và cẩn thận với danh sách dữ liệu nhạy cảm rộng hơn của PDPA. Khoảng cách có thể được đóng trong vài tuần nếu được ưu tiên — và Thái Lan là thị trường Đông Nam Á có ý nghĩa. Các nhà xuất bản coi Thái Lan là thị trường nhẹ nhàng hơn trong suốt năm 2024 đang thấy năm 2026 đòi hỏi nhiều hơn đáng kể, và xu hướng này rõ ràng.