Philippines adatvédelmi törvény 2012 – Sütihozzájárulási megfelelési útmutató kiadóknak 2026-ban

A Philippines 2012-ben fogadta el adatvédelmi törvényét, négy évvel azelőtt, hogy a GDPR-t elfogadták, és abban az időben, amikor az ázsiai joghatóságok többsége még átfogó adatvédelmi jogszabályok nélkül működött. A Republic Act 10173 létrehozta a National Privacy Commission-t (NPC) mint független szervet, és az országnak adta Délkelet-Ázsia egyik legkorábbi GDPR-típusú keretrendszerét. A törvény szerkezete figyelemreméltóan helytállt – alapelvei, jogszerű jogalapjai és jogosultsági kerete mind tisztán illeszkedik az európai szabványhoz – de az operatív részleteket az NPC körrendeletein keresztül frissítették, nem törvényhozási módosítással. A philippin forgalmat kiszolgáló kiadók és SaaS-üzemeltetők számára ez azt jelenti, hogy maga a törvény a magas szintű alkotmányos szöveg, de az NPC hozzájárulásra, jogsértési bejelentésre, érzékeny személyes adatok feldolgozására vonatkozó körrendeletei és az Online Követésről szóló 2024 Advisory azok a helyek, ahol az operatív szabványok valójában élnek. Ez az útmutató végigvezeti, hogy mit ír elő a törvény, hogyan értelmezte azt az NPC az online követés tekintetében, és hová kell fókuszálni a gyakorlati megfelelési munkát 2026-ban.

Az adatvédelmi törvény áttekintése

A Data Privacy Act öt általános elv köré épül a Section 11-ben – átláthatóság, jogszerű cél, arányosság és megfelelő kezelés – és részletesebb keretet tartalmaz a jogszerű feldolgozás kritériumaira a Section 12-ben. A jogszerű alapok tükrözik a GDPR-t: hozzájárulás, szerződés, jogi kötelezettség, létfontosságú érdekek, közérdekű feladat és jogos érdek. A törvénynek területen kívüli hatálya van a Section 6 alapján: vonatkozik a philippines állampolgár vagy lakos személyes adatainak kezelésére, függetlenül attól, hogy az adatkezelő hol telepedett le, befoglalva a philippin forgalmat kiszolgáló tengerentúli kiadókat.

Két strukturális jellemző fontos operatív szempontból. Először is, a törvény megkülönbözteti a személyes adatokat az érzékeny személyes adatoktól (Section 3, (g) és (l) bekezdések), és szigorúbb feldolgozási szabályokat alkalmaz az utóbbira – az egészségügyi, oktatási, pénzügyi adatok és a kormány által kiadott azonosítók mind érzékenyként minősülnek a Section 3(l) alapján. Másodszor, a Section 21 előírja, hogy a meghatározott küszöböket meghaladó személyes adatkezelők és feldolgozók regisztráljanak az NPC-nél, és jelöljenek ki Adatvédelmi Tisztviselőt. Az NPC aktívan üldözte a nem regisztrált adatkezelőket.

Hogyan kezeli a Data Privacy Act a sütifájlokat és az online követést

A törvény nem tartalmaz sütispecifikus rendelkezést. A hozzájárulási és tájékoztatási kötelezettségek a törvény Section 11, 12 és 16 szakaszaiból és az NPC Online Követésről és Viselkedésen Alapuló Hirdetésről szóló 2024 Advisory-jából következnek. Az Advisory hasznos dokumentum, mert explicit módon fogalmazza meg az elvárásokat, ahelyett hogy az általános keretből való következtetésre hagyná azokat.

Megerősítő hozzájárulás a nem elengedhetetlen követéshez

Az NPC álláspontja szerint a hozzájárulásnak szabadon adottnak, specifikusnak, tájékozottnak kell lennie, és írásos vagy elektronikus nyilvántartással kell igazolni. A 2024 Advisory elveti a görgetés-mint-hozzájárulást és a folyamatos-használat-mint-hozzájárulást, mint amelyek nem teljesítik a Section 3(b) specifikus és tájékozott feltételeit. Az előre bejelölt négyzeteket kifejezetten hibásként kezelik.

Részletes kategóriavezérlők

Az Advisory elvárja, hogy a bannerek lehetővé tegyék a felhasználó számára a kategóriák önálló elfogadását és elutasítását. A részletesség nélküli összesített elfogadás meghibásodik a Section 11(d) arányossági elve alapján, amely megköveteli, hogy a feldolgozás megfelelő, releváns, alkalmas, szükséges és nem túlzott legyen – egyetlen összesített hozzájárulást túlzásnak tekintenek, ha az elválasztás technikailag egyszerű.

A DPO és a regisztrációs követelmény

A regisztrációs küszöb feletti adatkezelők számára a DPO kijelölés érdemi operatív követelmény, nem papírgyakorlat. Az NPC több végrehajtási intézkedésben hivatkozott arra, hogy nincs megfelelően kijelölt DPO, különösen a BPO és a fintech szektorokban.

Határon átnyúló adattovábbítás (Section 21)

A törvény határon átnyúló keretrendszerét az NPC Circular 16-02 az outsourcing megállapodásokról és a szélesebb elszámoltathatósági elven keresztül hajtják végre. A nem philippines címzetteknek való adattovábbítás megfelelő szerződéses biztosítékokat vagy konkrét hozzájárulást igényel. Az NPC kiadta a modell szerződéses rendelkezéseket; a gyakorlati operatív elvárás lényegében a GDPR Chapter V-öt követi, még ha a jogi szöveg eltér is.

Az NPC végrehajtási magatartása

Az NPC Délkelet-Ázsia egyik legnyilvánosabban aktív adatvédelmi hatósága volt. Három minta alakítja végrehajtási megközelítését.

Nagy láthatóságú jogsértési ügyek

Az NPC prioritásként kezelte a nagy léptékű jogsértési vizsgálatokat – a 2016-os COMELEC szavazói nyilvántartás kiszivárgása volt a legkövetkezménydúsabb – és ezeket az ügyeket felhasználta a szélesebb szabályozott közösség elvárásainak meghatározására. A jogsértési vizsgálatok során tett nyilatkozatok gyakran olyan követelményeket fogalmaznak meg, amelyek túlmutatnak a szigorú törvényes szövegen.

BPO és fintech fókusz

A Philippines a világ egyik legnagyobb BPO és kontaktközpont-gazdasága, és az NPC történelmileg ezekre a szektorokra összpontosította a végrehajtást. A philippin felhasználókat célzó hirdetéstámogatott vállalkozásokat üzemeltető kiadók számára a közönség körüli szabályozási légkört a BPO megfelelési magatartás alakítja, még akkor is, ha maga a kiadó nem abban a szektorban van.

Koordináció az ASEAN-szabályozókkal

Az NPC részt vesz az ASEAN Data Management Framework munkafolyamatban, és munkahálózatokat tart fenn Singapore PDPC-jével, Thailand PDPC-jével, Indonézia kialakulóban lévő hatóságával és az EU EDPB-jével. A philippines és európai forgalmat érintő határon átnyúló vizsgálatokat egyre inkább koordinált eljárásokon keresztül kezelik.

Gyakorlati megfelelési ellenőrzőlista

Hat konkrét kérdés, amelyre választ kell adni minden philippin forgalmat kiszolgáló sütibannernél.

Hol helyezkedik el a Philippines a többjoghatóságú veremben

A Philippines az ASEAN négy legoperatívabban következményes adatvédelmi rezsimjének egyike Singapore, Thailand és Indonézia mellett. A törvény 2012-es keltezése azt jelenti, hogy megelőzte a GDPR-t, de az NPC körrendelet-vezérelt modernizációja fokozatosan összehangolta az operatív szabványt az európai normákkal. A pan-ASEAN műveletek felé építő kiadók számára a Philippines a másik három mellett áll, mint olyan piac, ahol az európai szabványoknak megfelelően épített CMP-architektúra kezeli a megfelelés nagy részét két specifikus kiegészítéssel: NPC-regisztráció ahol a küszöbök érvényesek, és az érzékeny adatok hozzájárulási rétege, amely megkülönbözteti a philippines keretrendszert a lazább regionális alternatíváktól. A szabályozási keretrendszer angol nyelvű jellege – ami ritka az ASEAN-ban – teszi a Philippinest szokatlanul hozzáférhetővé megfelelési célponttá a tengerentúli üzemeltetők számára, akiknek nincs helyi jogi tanácsadójuk.

← Blog Összes olvasása →