Průvodce souladu se souhlasem se soubory cookie Hong Kong PDPO pro vydavatele v roce 2026
Personal Data (Privacy) Ordinance (PDPO) Hong Kongu je jedním z nejstarších komplexních zákonů o ochraně soukromí v Asii, který vstoupil v platnost v roce 1996. Po většinu své existence zaujímal PDPO zvláštní postavení: strukturálně solidní, ale vyvíjející se pomalu prostřednictvím výkladu spíše než změnami. Privacy Commissioner for Personal Data (PCPD) byl aktivním hybatelem tohoto vývoje a publikoval pokyny, které postupně sladily provozní standard Hong Kongu s evropskými normami, zatímco základní legislativa se měnila méně dramaticky než v Singapuru, Austrálii nebo dokonce Mainland China. Změny z roku 2021 se zabývaly konkrétně doxingem, ale širší systém ochrany soukromí nadále funguje v rámci původního PDPO, jak je vykládán prostřednictvím téměř tří desetiletí pokynů PCPD. Pro vydavatele a operátory SaaS obsluhující provoz z Hong Kongu — trh zahrnující jednu z největších koncentrací aktivit finančních služeb v Asii a výrazný podíl regionálního elektronického obchodu — je obraz souladu s PDPO v roce 2026 charakterizován vyspělým regulátorem, středně přísnými standardy a neobvykle jasnými pokyny. Tento článek se věnuje tomu, co PDPO vyžaduje, kde PCPD aplikoval rámec na online sledování, a provozním důsledkům pro návrh bannerů souborů cookie.
PDPO v přehledu
PDPO je organizován kolem šesti Data Protection Principles (DPPs), které upravují shromažďování, přesnost, uchovávání, použití, bezpečnost a otevřenost osobních údajů. Principy předcházejí GDPR o téměř dvě desetiletí a používají poněkud odlišnou terminologii, ale věcné standardy se prostřednictvím výkladu přiblížily. DPP1 (účel a způsob shromažďování), DPP3 (použití osobních údajů) a DPP5 (obecně dostupné informace) jsou principy nejvíce přímo relevantní pro online sledování.
Nařízení se vztahuje na jakéhokoli uživatele dat — hongkongský výraz pro to, co GDPR nazývá správcem — který kontroluje shromažďování, uchovávání, zpracování nebo použití osobních údajů. Teritoriální dosah byl spornou oblastí: PDPO předchází extrateritoriálním doktrínám a PCPD zaujímal historicky konzervativnější pohled než EDPB na offshore vymáhání. V praxi PCPD uplatňuje jurisdikci nad offshore operátory, kteří cílí na obyvatele Hong Kongu nebo zpracovávají hongkongská data s dostatečnou vazbou, a operátoři obsluhující provoz z Hong Kongu by měli plánovat, jako by se extrateritoriální dosah uplatňoval.
Jak PDPO zachází se soubory cookie a online sledováním
PDPO neobsahuje ustanovení specifické pro soubory cookie; povinnosti souhlasu a informování vyplývají z DPPs a z pokynů PCPD z roku 2022 o online sledování a behaviorální reklamě. Pokyn je jedním z nejjasnějších dokumentů o asijském souladu se soubory cookie a formuluje očekávání, která jsou v souladu s postojem EDPB Cookie Banner Taskforce.
Výslovný souhlas pro nezbytné sledování
Postoj PCPD je, že souhlas musí být výslovný pro nezbytné sledování. Implicitní souhlas, pokračující používání a předem zaškrtnutá políčka nesplňují požadavek DPP1 na specifický a informovaný souhlas při výkladu v online kontextu. Pokyn výslovně jmenuje přesun jako souhlas jako vadný vzor.
Granulární ovládací prvky kategorií
Bannery musí uživateli umožnit přijímat a odmítat kategorie nezávisle. Pokyn považuje jednolačítkový souhlas se vším bez ekvivalentního odmítnutí za strukturální vadu a identifikuje nesprávné označování marketingových souborů cookie jako přísně nezbytné jako samostatné porušení.
Obsah oznámení o ochraně soukromí
DPP5 byl historicky jedním z nejaktivněji vymáhaných principů. Oznámení o ochraně soukromí musí identifikovat uživatele dat, účely, příjemce (včetně příjemců přenosu), rámec práv podle DPP6 (přístup a oprava) a kontaktní místo pro dotazy. PCPD byl jasný v tom, že obecná vzorová oznámení nesplňují DPP5 — sdělení musí odrážet skutečné zpracování.
Přeshraniční přenos (Section 33)
Section 33 PDPO upravuje přeshraniční přenosy a po většinu historie nařízení byl nejneobvyklejším prvkem systému: oddíl byl schválen v roce 1995, ale nikdy nebyl uveden v platnost tajemníkem. PCPD nicméně vydal vzorové smluvní doložky a považuje záruky ve stylu Section 33 za prakticky nezbytné pro přenosy do jurisdikcí mimo Hong Kong. Právní status je nejednoznačný — Section 33 je zákon, ale není funkční — ale provozní očekávání sleduje Chapter V GDPR.
Postoj PCPD k vymáhání
PCPD funguje s charakteristickým stylem vymáhání, který se liší od větších evropských DPA třemi pozorovatelnými způsoby.
Intenzivní využívání šetření souladu
Primárním nástrojem vymáhání PCPD je šetření souladu, které vyvrcholí oznámením o vymáhání spíše než pokutou. Oznámení vyžadují nápravu ve stanoveném časovém rámci a jsou obvykle vyřešena bez peněžní sankce. Existují občanskoprávní sankce, ale byly použity střídmě.
Veřejný komentář jako signál vymáhání
PCPD publikuje podrobné zprávy o šetření u vysoce profilovaných případů, které fungují jako judikatura v nepřítomnosti silných precedentních pokut. Operátoři čtou tyto zprávy pozorně, protože formulují konkrétní očekávání, která se nemusí objevit ve formálních pokynech.
Koordinace s pevninou
Přeshraniční šetření zahrnující toky dat mezi Hong Kongem a Mainland China jsou stále více zpracovávána prostřednictvím koordinovaných postupů s Cyberspace Administration of China. Extrateritoriální dosah PIPL a postavení Hong Kongu v ekonomickém rámci Greater Bay Area činí tuto koordinaci provozně více závažnou, než by byla ve většině jurisdikcí.
Praktický kontrolní seznam souladu
Šest konkrétních otázek, na které je třeba odpovědět pro jakýkoli banner souborů cookie obsluhující provoz z Hong Kongu.
- Je na první vrstvě výslovné odmítnutí? Cesta odmítnutí musí být na stejné ploše jako přijetí, se srovnatelnou viditelností. Přesun jako souhlas a pokračující používání nesplňují pokyny z roku 2022.
- Jsou kategorie granulární? Nezbytné, analytické a marketingové musí být samostatně ovladatelné.
- Je oznámení DPP5 specifické? Potvrďte, že oznámení o ochraně soukromí identifikuje skutečné uživatele dat, účely a příjemce — nikoli obecné vzory.
- Je jazyk vhodný? Pro publika, která mohou zahrnovat rodilé mluvčí čínštiny, by měl být banner a oznámení dostupné v Traditional Chinese (standard v Hong Kongu) i v angličtině.
- Jsou přeshraniční přenosy zdokumentovány? Section 33 není funkční, ale PCPD považuje smluvní záruky za očekávané. Identifikujte každý cíl mimo Hong Kong a záruku opravňující přenos.
- Je protokolování souhlasu na úrovni auditu? Záznamy rozhodnutí o souhlasu s časovým razítkem a verzí banneru jsou potřebné k odpovědi na šetření souladu PCPD.
Kde Hong Kong zapadá do víceúrovňového zásobníku jurisdikcí
Hong Kong je nejvyspělejším systémem ochrany dat v Greater China a slouží jako de facto vstupní bod pro přeshraniční toky dat mezi Mainland China a zbytkem světa. Pro vydavatele budující směrem k panevropským asijským operacím stojí PDPO vedle PDPA Singapuru, APPI Japonska a PIPA Jižní Koreje jako čtyři provozně nejvýznamnější asijské systémy. PDPO je na papíře nejpermisivnější ze čtyř, ale nejnáročnější na kvalitu dokumentace, protože styl vymáhání PCPD řízený šetřením dělá z dobře napsaného oznámení o ochraně soukromí nejsilnější jedinou linii obrany. Architektura CMP postavená na evropských standardech zvládá velkou část souladu s Hong Kongem se dvěma doplňky: jazykovou podporou Traditional Chinese a vzorem dokumentace přeshraničního přenosu, který Section 33 implikuje, i když není formálně v platnosti. Pro operátory obsluhující Hong Kong z offshore je praktický postoj považovat pokyn PCPD z roku 2022 za závazný dokument a navrhovat proti jeho specifickým vzorům selhání spíše než proti staršímu textu PDPO samotnému.