Zákon o ochraně osobních údajů Filipín 2012: Průvodce souladu se souhlasem s cookies pro vydavatele v roce 2026

Filipíny přijaly svůj zákon o ochraně osobních údajů v roce 2012, čtyři roky před přijetím GDPR a v době, kdy většina asijských jurisdikcí stále fungovala bez komplexních právních předpisů v oblasti ochrany soukromí. Republic Act 10173 zřídila National Privacy Commission (NPC) jako nezávislý orgán a dala zemi jeden z prvních rámců ve stylu GDPR v jihovýchodní Asii. Struktura zákona obstála pozoruhodně dobře — jeho základní principy, zákonné základy a rámec práv se jasně mapují na evropský standard — ale provozní detaily byly rozsáhle aktualizovány prostřednictvím oběžníků NPC, nikoli legislativními změnami. Pro vydavatele a provozovatele SaaS obsluhující filipínský provoz to znamená, že samotný zákon je ústavním textem na vysoké úrovni, ale oběžníky NPC o souhlasu, oznamování porušení, zpracování citlivých osobních informací a Advisory z roku 2024 o online sledování jsou místem, kde skutečně žijí provozní standardy. Tento průvodce shrnuje, co zákon vyžaduje, jak jej NPC interpretovala pro online sledování a kde je třeba soustředit praktickou práci na dodržování předpisů v roce 2026.

Zákon o ochraně osobních údajů v přehledu

Zákon o ochraně osobních údajů je strukturován kolem pěti obecných zásad v Section 11 — transparentnost, legitimní účel, přiměřenost a řádné nakládání — a podrobnějšího rámce pro kritéria zákonného zpracování v Section 12. Zákonné základy odrážejí GDPR: souhlas, smlouva, zákonná povinnost, životní zájmy, veřejná funkce a oprávněný zájem. Zákon má extrateritoriální dosah dle Section 6: vztahuje se na zpracování osobních údajů filipínského občana nebo rezidenta bez ohledu na to, kde je správce usazen, což zahrnuje zahraniční vydavatele obsluhující filipínský provoz.

Dva strukturální prvky mají provozní význam. Zaprvé, zákon rozlišuje mezi "osobními informacemi" a "citlivými osobními informacemi" (Section 3, odstavce (g) a (l)) a na druhé jmenované uplatňuje přísnější pravidla zpracování — zdravotní, vzdělávací, finanční informace a identifikátory vydané vládou se kvalifikují jako citlivé dle Section 3(l). Zadruhé, Section 21 vyžaduje, aby správci a zpracovatelé osobních údajů překračující stanovené prahy byli registrováni u NPC a jmenovali pověřence pro ochranu osobních údajů DPO. NPC aktivně stíhala neregistrované správce.

Jak zákon o ochraně osobních údajů nakládá s cookies a online sledováním

Zákon neobsahuje žádné ustanovení specifické pro cookies. Povinnosti v oblasti souhlasu a informací vyplývají z Section 11, 12 a 16 zákona a z Advisory NPC z roku 2024 o online sledování a behaviorální reklamě. Advisory je užitečným dokumentem, protože explicitně formuluje očekávání, namísto toho, aby je ponechával k odvozování z obecného rámce.

Afirmativní souhlas s neesenciálním sledováním

Stanovisko NPC je, že souhlas musí být svobodně daný, konkrétní, informovaný a doložený písemným nebo elektronickým záznamem. Advisory z roku 2024 odmítá scrollování jako souhlas a pokračování v používání jako souhlas jako nesplňující požadavky "konkrétnosti" a "informovanosti" Section 3(b). Předem zaškrtnutá políčka jsou explicitně považována za vadná.

Granulární kategoriální kontroly

Advisory očekává, že bannery umožní uživateli přijímat a odmítat kategorie nezávisle. Souhrnný souhlas "přijmout vše" bez granularity nesplňuje zásadu přiměřenosti dle Section 11(d), která vyžaduje, aby zpracování bylo "přiměřené, relevantní, vhodné, nezbytné a nepřiměřené" — jeden souhrnný souhlas je považován za nadměrný, když je oddělení technicky přímočaré.

DPO a požadavek na registraci

Pro správce překračující registrační práh je jmenování DPO smysluplným provozním požadavkem, nikoli papírovým cvičením. NPC citovala absenci řádně jmenovaného DPO v několika donucovacích akcích, zejména v sektorech BPO a fintech.

Přeshraniční přenos (Section 21)

Rámec přeshraničního přenosu zákona je implementován prostřednictvím NPC Circular 16-02 o smlouvách o outsourcingu a širší zásadě odpovědnosti. Přenosy příjemcům mimo Filipíny vyžadují buď odpovídající smluvní záruky, nebo konkrétní souhlas. NPC vydala vzorová smluvní ustanovení; praktické provozní očekávání sleduje GDPR Chapter V z hlediska podstaty, i když se právní jazyk liší.

Postoj NPC k prosazování

NPC patří k veřejně nejaktivnějším úřadům pro ochranu osobních údajů v jihovýchodní Asii. Tři vzorce formují její přístup k prosazování.

Případy porušení s vysokou viditelností

NPC upřednostnila rozsáhlá šetření porušení — únik registru voličů COMELEC v roce 2016 byl nejdůležitějším — a využila tyto případy k nastavení očekávání pro širší regulovanou komunitu. Veřejná prohlášení během šetření porušení často formulují požadavky, které jdou nad rámec přísného zákonného textu.

Zaměření na BPO a fintech

Filipíny jsou jednou z největších ekonomik BPO a call center na světě a NPC historicky soustřeďovala prosazování na tyto sektory. Pro vydavatele provozující reklamou podporované podniky zaměřené na filipínské uživatele je regulační klima kolem publika formováno postojem k souladu v oblasti BPO, i když sám vydavatel není v tomto sektoru.

Koordinace s regulátory ASEAN

NPC se účastní pracovního proudu Rámce pro správu dat ASEAN a udržuje pracovní vztahy se singapurským PDPC, thajským PDPC, vznikajícím orgánem Indonésie a evropským EDPB. Přeshraniční šetření zahrnující filipínský a evropský provoz jsou stále více zpracovávána prostřednictvím koordinovaných postupů.

Praktický kontrolní seznam souladu

Šest konkrétních otázek, na které je třeba odpovědět pro jakýkoli banner s cookies obsluhující filipínský provoz.

Místo Filipín v multijurisdikcionalním zásobníku

Filipíny patří k čtyřem provozně nejvýznamnějším režimům ochrany osobních údajů v ASEAN spolu se Singapurem, Thajskem a Indonésií. Rok 2012 zákona znamená, že předchází GDPR, ale modernizace NPC řízená oběžníky postupně sladila provozní standard s evropskými normami. Pro vydavatele budující panasijské operace stojí Filipíny vedle ostatních tří jako trh, kde architektura CMP postavená na evropských standardech zvládá velkou část dodržování předpisů s dvěma specifickými doplňky: registrace u NPC, kde se prahy uplatňují, a vrstva souhlasu s citlivými informacemi, která odlišuje filipínský rámec od volnějších regionálních alternativ. Anglický charakter regulačního rámce — v ASEAN neobvyklý — dělá z Filipín mimořádně přístupný cíl dodržování předpisů pro zahraniční provozovatele, kteří nemají místní právní poradenství.

← Blog Číst vše →