Filipinski Zakon o zaštiti podataka 2012: Vodič za usklađenost pristanka na kolačiće za izdavače u 2026.

Philippines je donio svoj Data Privacy Act 2012. godine, četiri godine prije usvajanja GDPR-a i u vrijeme kada je većina azijskih jurisdikcija još uvijek poslovala bez sveobuhvatnog zakonodavstva o privatnosti. Republic Act 10173 stvorio je National Privacy Commission (NPC) kao neovisno tijelo i dao zemlji jedan od prvih okvira u stilu GDPR-a u jugoistočnoj Aziji. Struktura Zakona pokazala se izuzetno izdržljivom — njeni temeljni principi, zakonske osnove i okvir prava sve se podudaraju s europskim standardom — ali operativni detalji opsežno su ažurirani putem NPC okružnica, a ne zakonodavnim izmjenama. Za izdavače i SaaS operatere koji opslužuju filipinski promet, to znači da je sam Zakon visokorazinski ustavni tekst, ali NPC okružnice o pristanku, obavijesti o kršenju, obradi osjetljivih osobnih podataka i 2024 Advisory o online praćenju jesu tamo gdje stvarno žive operativni standardi. Ovaj vodič prolazi kroz ono što Zakon zahtijeva, kako ga je NPC interpretirala za online praćenje i gdje se praktičan posao usklađenosti mora fokusirati u 2026.

Data Privacy Act u pregledu

Data Privacy Act strukturiran je oko pet općih načela u Section 11 — transparentnost, zakonita svrha, proporcionalnost i pravilno rukovanje — i detaljnijeg okvira za kriterije zakonite obrade u Section 12. Zakonske osnove odražavaju GDPR: pristanak, ugovor, zakonska obveza, vitalni interesi, javna funkcija i legitimni interes. Zakon ima ekstrateritorijalni doseg prema Section 6: primjenjuje se na obradu osobnih podataka o državljaninu ili stanovniku Philippines bez obzira na to gdje je voditelj obrade uspostavljen, obuhvaćajući offshore izdavače koji opslužuju filipinski promet.

Dvije strukturalne osobine važne su operativno. Prvo, Zakon razlikuje osobne podatke od osjetljivih osobnih podataka (Section 3, odlomci (g) i (l)) i primjenjuje strožija pravila obrade na potonje — zdravlje, obrazovanje, financijski podaci i identifikatori koje je izdala vlada svi se kvalificiraju kao osjetljivi prema Section 3(l). Drugo, Section 21 zahtijeva da voditelji obrade osobnih podataka i izvršitelji obrade iznad određenih pragova se registriraju pri NPC-u i imenuju Data Protection Officer. NPC je aktivno progonila neregistrirane voditelje obrade.

Kako Data Privacy Act tretira kolačiće i online praćenje

Zakon ne sadrži odredbu specifičnu za kolačiće. Obveze pristanka i informiranja proizlaze iz Sections 11, 12 i 16 Zakona te iz 2024 Advisory NPC-a o online praćenju i bihevioralnom oglašavanju. Advisory je koristan dokument jer eksplicitno artikulira očekivanja umjesto da ih prepušta zaključivanju iz općeg okvira.

Afirmativni pristanak za nebitno praćenje

Stav NPC-a jest da pristanak mora biti slobodno dan, specifičan, informiran i potkrijepljen pisanim ili elektroničkim zapisom. 2024 Advisory odbacuje scroll-as-consent i continued-use-as-consent kao neispunjavanje specifičnih i informiranih kriterija iz Section 3(b). Unaprijed označeni okviri izričito se tretiraju kao manjkavi.

Granularni kontrole kategorija

Advisory očekuje da banneri omoguće korisniku da prihvati i odbije kategorije neovisno. Skupno prihvaćanje svega bez granularnosti krši načelo proporcionalnosti prema Section 11(d), koje zahtijeva da obrada bude adekvatna, relevantna, prikladna, nužna i ne pretjerana — jedan skupni pristanak tretira se kao pretjeran kada je razdvajanje tehnički jednostavno.

DPO i zahtjev registracije

Za voditelje obrade iznad praga registracije, imenovanje DPO-a je značajan operativni zahtjev, a ne papirnatovježba. NPC je citirala odsutnost propisno imenovanog DPO-a u nekoliko provedbenih radnji, posebno u sektorima BPO i fintech.

Prekogranični prijenos (Section 21)

Prekogranični okvir Zakona implementiran je putem NPC Circular 16-02 o ugovorima o outsourcingu i širem načelu odgovornosti. Prijenosi primateljima koji nisu iz Philippines zahtijevaju odgovarajuće ugovorne zaštite ili specifičan pristanak. NPC je izdao uzorčne ugovorne odredbe; praktično operativno očekivanje prati GDPR Chapter V u biti čak i gdje se pravni jezik razlikuje.

NPC-ov stav prema provedbi

NPC je bio jedno od javno aktivnijih tijela za zaštitu podataka u jugoistočnoj Aziji. Tri obrasca oblikuju njegov pristup provedbi.

Slučajevi kršenja visoke vidljivosti

NPC je dao prioritet istragama kršenja velikih razmjera — curenje registra birača COMELEC 2016. najznačajnije je — i koristio te slučajeve za postavljanje očekivanja za širu reguliranu zajednicu. Javne izjave tijekom istraga kršenja često artikuliraju zahtjeve koji nadilaze strogi zakonski tekst.

Fokus na BPO i fintech

Philippines je jedna od najvećih BPO i call-centar ekonomija na svijetu, a NPC je povijesno fokusirao provedbu na te sektore. Za izdavače koji upravljaju poslovanjem podržanim oglašavanjem usmjerenim na filipinske korisnike, regulatornu klimu oko publike oblikuje BPO usklađenost čak i kada sam izdavač nije u tom sektoru.

Koordinacija s regulatorima ASEAN-a

NPC sudjeluje u radnom tijeku ASEAN okvira za upravljanje podacima i održava radne odnose sa Singapore PDPC, Thailand PDPC, novonastalim tijelom Indonezije i EU EDPB-om. Prekogranične istrage koje uključuju filipinski i europski promet sve se više obrađuju koordiniranim postupcima.

Praktičan kontrolni popis usklađenosti

Šest konkretnih pitanja na koja treba odgovoriti za svaki banner kolačića koji opslužuje filipinski promet.

Gdje Philippines stoji u skupu s više jurisdikcija

Philippines je jedan od četiri operativno najznačajnija ASEAN režima zaštite podataka uz Singapore, Thailand i Indoneziju. Starost Data Privacy Act iz 2012. znači da prethodi GDPR-u, ali NPC-ova modernizacija vođena okružnicama postupno je uskladila operativni standard s europskim normama. Za izdavače koji grade prema pan-ASEAN operacijama, Philippines stoji uz ostale tri kao tržište gdje CMP arhitektura izgrađena prema europskim standardima rješava većinu usklađenosti s dva specifična dodatka: NPC registracija gdje se pragovi primjenjuju i sloj pristanka za osjetljive informacije koji razlikuje filipinski okvir od labavijih regionalnih alternativa. Engleski karakter regulatornog okvira — neobičan u ASEAN-u — čini Philippines neuobičajeno dostupnom metom usklađenosti za offshore operatere koji nemaju lokalnog savjetnika.

← Blog Pročitaj sve →