Hongkongi PDPO Cookie-Hozzájárulási Megfelelőségi Útmutató Kiadóknak 2026-ban

Hongkong Personal Data (Privacy) Ordinance (PDPO) Ázsia egyik legrégebbi átfogó adatvédelmi törvénye, amely 1996-ban lépett hatályba. Életének nagy részében a PDPO különös helyzetben volt: szerkezetileg szilárd, de lassan fejlődött értelmezés, nem módosítás révén. A Privacy Commissioner for Personal Data (PCPD) volt ennek az evolúciónak az aktív hajtóereje, útmutatókat adva ki, amelyek fokozatosan összehangolták Hongkong működési standardját az európai normákkal, miközben az alapjogszabály kevésbé drámaian változott, mint Szingapúrban, Ausztráliában vagy akár Mainland China-ban. A 2021-es módosítások kifejezetten a doxxolással foglalkoztak, de a szélesebb adatvédelmi rendszer az eredeti PDPO-keretrendszer szerint működik tovább, amelyet közel három évtized PCPD-útmutatásán keresztül értelmeztek. A hongkongi forgalmat kiszolgáló kiadók és SaaS-üzemeltetők számára a PDPO-megfelelőségi kép 2026-ban egy érett szabályozóból, mérsékelten szigorú standardokból és szokatlanul egyértelmű útmutató dokumentumokból áll. Ez a cikk végigvezeti, mit követel a PDPO, hol alkalmazta a PCPD a keretrendszert az online követésre, és milyen működési következményei vannak a cookie-szalag tervezésére nézve.

A PDPO vázlata

A PDPO hat Adatvédelmi Elv (DPP) köré szerveződik, amelyek az adatgyűjtés, pontosság, megőrzés, felhasználás, biztonság és nyitottság területeit szabályozzák. Az elvek közel két évtizeddel megelőzik a GDPR-t, és némileg eltérő terminológiát használnak, de az érdemi standardok értelmezés révén közeledtek egymáshoz. DPP1 (gyűjtés célja és módja), DPP3 (személyes adatok felhasználása) és DPP5 (általánosan elérhető információk) a leginkább releváns elvek az online követés szempontjából.

Az Ordinance minden adatfelhasználóra vonatkozik, aki irányítja a személyes adatok gyűjtését, tárolását, feldolgozását vagy felhasználását. A területi hatáskör vitatott terület volt: a PDPO megelőzi az extraterritoriális doktrínákat, és a PCPD hagyományosan konzervatívabb álláspontot képviselt az EDPB-nél az offshore végrehajtást illetően. A gyakorlatban a PCPD érvényesíti joghatóságát olyan offshore üzemeltetőkkel szemben, akik hongkongi lakosokat céloznak meg, és a hongkongi forgalmat kiszolgáló üzemeltetőknek úgy kell tervezniük, mintha az extraterritoriális hatáskör érvényes lenne.

Hogyan kezeli a PDPO a cookie-kat és az online követést

A PDPO nem tartalmaz cookie-specifikus rendelkezést; a hozzájárulási és tájékoztatási kötelezettségek a DPP-kből és a PCPD 2022 Guidance Note-jából fakadnak az online követésről és viselkedésen alapuló hirdetésről. Az útmutató az egyik legvilágosabb dokumentum az ázsiai cookie-megfelelőségről, és olyan elvárásokat fogalmaz meg, amelyek szorosan illeszkednek az EDPB Cookie Banner Taskforce álláspontjához.

Kifejezett hozzájárulás nem alapvető követéshez

A PCPD álláspontja szerint a nem alapvető követéshez explicit hozzájárulás szükséges. Az implicit hozzájárulás, a folyamatos használat és az előre bejelölt négyzetek nem teljesítik a DPP1 specifikus és tájékozott követelményét, ha azt online kontextusban értelmezik. Az útmutató kifejezetten megnevezi a görgetés-mint-hozzájárulást hibás mintaként.

Részletes kategória-vezérlők

A szalagoknak lehetővé kell tenniük a felhasználónak, hogy egymástól függetlenül fogadja el és utasítsa el a kategóriákat. Az útmutató szerkezeti hibaként kezeli az egyetlen gombos elfogadást egy egyenértékű visszautasítás nélkül, és a marketingsütik szigorúan szükségesként való félrecímkézését külön szabálysértésként azonosítja.

Adatvédelmi értesítés tartalma

A DPP5 hagyományosan az egyik legtöbbet érvényesített elv volt. Az adatvédelmi értesítéseknek azonosítaniuk kell az adatfelhasználót, a célokat, a címzetteket, a DPP6 szerinti jogkeretrendszert, valamint egy kapcsolattartási pontot. A PCPD egyértelműen kijelentette, hogy az általános sablonértesítések nem teljesítik a DPP5-öt.

Határon átnyúló adattovábbítás (Section 33)

A PDPO Section 33 szakasza szabályozza a határon átnyúló adattovábbítást, és az Ordinance történetének nagy részében a rendszer legszokatlanabb jellemzője volt: a szakaszt 1995-ben fogadták el, de soha nem léptették hatályba. A PCPD ennek ellenére modell szerződéses záradékokat adott ki, és a Section 33 szerű biztosítékokat a nem hongkongi joghatóságokba történő átadásokhoz gyakorlatilag elvártnak kezeli. A jogi státusz kétértelmű, de a működési elvárás a GDPR Chapter V-t követi.

A PCPD végrehajtási magatartása

A PCPD sajátos végrehajtási stílussal működik, amely három megfigyelhető módon különbözik a nagyobb európai adatvédelmi hatóságoktól.

A megfelelőségi vizsgálatok intenzív alkalmazása

A PCPD elsődleges végrehajtási eszköze a megfelelőségi vizsgálat, amely végrehajtási értesítéssel, nem bírsággal zárul. Az értesítések meghatározott határidőn belüli orvoslást igényelnek, és jellemzően pénzbeli szankció nélkül oldódnak meg. Polgári jogi szankciók léteznek, de takarékosan alkalmazták őket.

Nyilvános kommentárok mint végrehajtási jelek

A PCPD részletes vizsgálati jelentéseket tesz közzé magas profilú ügyekről, amelyek esetjogként funkcionálnak a precedenst teremtő erős bírságok hiányában. Az üzemeltetők gondosan olvassák ezeket a jelentéseket, mert olyan konkrét elvárásokat fogalmaznak meg, amelyek esetleg nem szerepelnek a formális útmutatásban.

Koordináció a szárazfölddel

A hongkongi és szárazföldi adatáramlásokat érintő határon átnyúló vizsgálatokat egyre inkább a Cyberspace Administration of China-val koordinált eljárásokon keresztül kezelik. A PIPL extraterritoriális hatálya és Hongkong helyzete a Greater Bay Area gazdasági keretrendszerben ezt az együttműködést működési szempontból következményesebbé teszi, mint a legtöbb joghatóságban.

Gyakorlati megfelelőségi ellenőrző lista

Hat konkrét kérdés, amelyre választ kell adni minden hongkongi forgalmat kiszolgáló cookie-szalag esetén.

Hol helyezkedik el Hongkong a többjoghatóságú rendszerben

Hongkong a Greater China legszigorúbb adatvédelmi rendszere, és de facto belépési pontként szolgál a Mainland China és a világ többi része közötti határon átnyúló adatáramláshoz. A pán-ázsiai működés felé haladó kiadók számára a PDPO Szingapúr PDPA-ja, Japán APPI-je és Dél-Korea PIPA-ja mellett helyezkedik el, mint a négy leginkább működési szempontból következményes ázsiai rendszer. A PDPO a legmegengedőbb a négy közül papíron, de a legszigorúbb dokumentációs minőség tekintetében, mert a PCPD vizsgálat-vezérelt végrehajtása teszi a jól megírt adatvédelmi értesítést a legerősebb védelmi vonallá. Egy európai standardokra épített CMP-architektúra a hongkongi megfelelőség nagy részét lefedi két kiegészítéssel: Traditional Chinese nyelvi támogatás és a Section 33 által implikált határon átnyúló átadási dokumentációs minta. Az offshore-ból Hongkongot kiszolgáló üzemeltetők számára a gyakorlati megközelítés az, hogy a PCPD 2022 Guidance Note-ját kezeljük mérvadó dokumentumként, és az abban meghatározott konkrét hibaminták ellen tervezzük, nem az idősebb PDPO szöveg ellen.

← Blog Összes olvasása →