Undang-Undang Privasi Data Philippines 2012 – Panduan Kepatuhan Persetujuan Cookie untuk Penerbit di 2026
Philippines mengesahkan Data Privacy Act pada tahun 2012, empat tahun sebelum GDPR diadopsi dan pada saat sebagian besar yurisdiksi Asia masih beroperasi tanpa undang-undang privasi yang komprehensif. Republic Act 10173 mendirikan National Privacy Commission (NPC) sebagai badan independen dan memberi negara ini salah satu kerangka bergaya GDPR paling awal di Asia Tenggara. Struktur undang-undang ini telah bertahan dengan sangat baik – prinsip-prinsip inti, landasan hukum, dan kerangka hak semuanya selaras dengan standar Eropa – namun detail operasional telah diperbarui secara ekstensif melalui sirkular NPC, bukan melalui amandemen legislatif. Bagi penerbit dan operator SaaS yang melayani lalu lintas Philippines, hal itu berarti undang-undang itu sendiri adalah teks konstitusional tingkat tinggi, tetapi sirkular NPC tentang persetujuan, pemberitahuan pelanggaran, pemrosesan informasi pribadi sensitif, dan 2024 Advisory tentang Pelacakan Online adalah tempat standar operasional sebenarnya berada. Panduan ini membahas apa yang dipersyaratkan undang-undang, bagaimana NPC menafsirkannya untuk pelacakan online, dan di mana pekerjaan kepatuhan praktis perlu difokuskan pada tahun 2026.
Ikhtisar Data Privacy Act
Data Privacy Act terstruktur di sekitar lima prinsip umum dalam Section 11 – transparansi, tujuan yang sah, proporsionalitas, dan penanganan yang tepat – dan kerangka yang lebih rinci untuk kriteria pemrosesan yang sah dalam Section 12. Landasan hukum mencerminkan GDPR: persetujuan, kontrak, kewajiban hukum, kepentingan vital, fungsi publik, dan kepentingan sah. Undang-undang ini memiliki jangkauan ekstrayudisial berdasarkan Section 6: berlaku untuk pemrosesan informasi pribadi tentang warga negara atau penduduk Philippines tanpa memandang di mana pengontrol didirikan, mencakup penerbit luar negeri yang melayani lalu lintas Philippines.
Dua fitur struktural penting secara operasional. Pertama, undang-undang membedakan informasi pribadi dari informasi pribadi sensitif (Section 3, paragraf (g) dan (l)) dan menerapkan aturan pemrosesan yang lebih ketat untuk yang terakhir – kesehatan, pendidikan, informasi keuangan, dan pengidentifikasi yang dikeluarkan pemerintah semuanya memenuhi kualifikasi sebagai sensitif berdasarkan Section 3(l). Kedua, Section 21 mewajibkan pengontrol dan pemroses informasi pribadi di atas ambang batas tertentu untuk mendaftar ke NPC dan menunjuk Petugas Perlindungan Data. NPC telah aktif mengejar pengontrol yang tidak terdaftar.
Bagaimana Data Privacy Act Memperlakukan Cookie dan Pelacakan Online
Undang-undang tidak mengandung ketentuan khusus cookie. Kewajiban persetujuan dan informasi mengalir dari Section 11, 12, dan 16 undang-undang dan dari 2024 Advisory NPC tentang Pelacakan Online dan Periklanan Perilaku. Advisory ini adalah dokumen yang berguna karena mengartikulasikan ekspektasi secara eksplisit daripada membiarkannya untuk disimpulkan dari kerangka umum.
Persetujuan afirmatif untuk pelacakan non-esensial
Posisi NPC adalah bahwa persetujuan harus diberikan secara bebas, spesifik, berdasarkan informasi, dan dibuktikan dengan catatan tertulis atau elektronik. 2024 Advisory menolak scroll-sebagai-persetujuan dan penggunaan-berkelanjutan-sebagai-persetujuan sebagai gagal memenuhi syarat spesifik dan berdasarkan informasi dari Section 3(b). Kotak yang dicentang sebelumnya secara eksplisit diperlakukan sebagai cacat.
Kontrol kategori yang terperinci
Advisory mengharapkan banner memungkinkan pengguna menerima dan menolak kategori secara independen. Terima-semua yang digabungkan tanpa granularitas gagal memenuhi prinsip proporsionalitas berdasarkan Section 11(d), yang mensyaratkan bahwa pemrosesan harus memadai, relevan, sesuai, diperlukan, dan tidak berlebihan – persetujuan tunggal yang digabungkan diperlakukan berlebihan ketika pemisahan secara teknis mudah dilakukan.
DPO dan persyaratan pendaftaran
Bagi pengontrol di atas ambang batas pendaftaran, penunjukan DPO adalah persyaratan operasional yang berarti, bukan latihan di atas kertas. NPC telah mengutip ketiadaan DPO yang ditunjuk dengan benar dalam beberapa tindakan penegakan, khususnya di sektor BPO dan fintech.
Transfer lintas batas (Section 21)
Kerangka lintas batas undang-undang diimplementasikan melalui NPC Circular 16-02 tentang Perjanjian Outsourcing dan prinsip akuntabilitas yang lebih luas. Transfer ke penerima non-Philippines memerlukan perlindungan kontraktual yang sesuai atau persetujuan khusus. NPC telah mengeluarkan ketentuan kontraktual model; ekspektasi operasional praktis secara substansi mengikuti GDPR Chapter V meskipun bahasa hukumnya berbeda.
Posisi Penegakan NPC
NPC telah menjadi salah satu otoritas perlindungan data yang paling aktif secara publik di Asia Tenggara. Tiga pola membentuk pendekatan penegakannya.
Kasus pelanggaran dengan visibilitas tinggi
NPC telah memprioritaskan investigasi pelanggaran skala besar – kebocoran registri pemilih COMELEC 2016 menjadi yang paling konsekuensial – dan menggunakan kasus-kasus tersebut untuk menetapkan ekspektasi bagi komunitas yang diatur secara lebih luas. Pernyataan publik selama investigasi pelanggaran sering mengartikulasikan persyaratan yang melampaui teks undang-undang yang ketat.
Fokus BPO dan fintech
Philippines adalah salah satu ekonomi BPO dan pusat kontak terbesar di dunia, dan NPC secara historis berfokus pada penegakan di sektor-sektor ini. Bagi penerbit yang menjalankan bisnis yang didukung iklan menargetkan pengguna Philippines, iklim regulasi di sekitar audiens dibentuk oleh postur kepatuhan BPO bahkan ketika penerbit itu sendiri tidak berada di sektor tersebut.
Koordinasi dengan regulator ASEAN
NPC berpartisipasi dalam alur kerja ASEAN Data Management Framework dan menjalin hubungan kerja dengan Singapore PDPC, Thailand PDPC, otoritas Indonesia yang sedang berkembang, dan EDPB dari EU. Investigasi lintas batas yang melibatkan lalu lintas Philippines dan Eropa semakin ditangani melalui prosedur terkoordinasi.
Daftar Periksa Kepatuhan Praktis
Enam pertanyaan konkret untuk dijawab untuk banner cookie yang melayani lalu lintas Philippines.
- Apakah pengontrol sudah terdaftar di NPC? Jika pemrosesan melewati ambang batas pendaftaran, konfirmasi bahwa pendaftaran NPC saat ini dan penunjukan DPO telah dicatat.
- Apakah ada penolakan eksplisit di lapisan pertama? Jalur penolakan harus berada di permukaan yang sama dengan terima, dengan kecacatan yang sebanding. Scroll-sebagai-persetujuan gagal memenuhi 2024 Advisory.
- Apakah kategorinya terperinci? Kategori yang diperlukan, analitik, dan pemasaran harus dapat dikontrol secara terpisah.
- Apakah informasi sensitif secara khusus dibatasi akses? Untuk cookie yang menangkap data kesehatan, keuangan, atau yang terkait dengan ID pemerintah, konfirmasi opt-in eksplisit yang berbeda dari persetujuan pemasaran umum.
- Apakah transfer lintas batas terdokumentasi? Identifikasi setiap tujuan non-Philippines dan perlindungan yang mengotorisasi transfer (ketentuan kontraktual, persetujuan eksplisit, atau derogasi).
- Apakah pencatatan persetujuan setara dengan kualitas audit? Section 3(b) mensyaratkan persetujuan untuk dibuktikan dengan cara tertulis, elektronik, atau dicatat – pencatatan tidak bersifat opsional.
Posisi Philippines dalam Tumpukan Multi-Yurisdiksi
Philippines adalah salah satu dari empat rezim perlindungan data ASEAN yang paling konsekuensial secara operasional di samping Singapore, Thailand, dan Indonesia. Tanggal 2012 undang-undang berarti ia mendahului GDPR, namun modernisasi berbasis sirkular NPC telah secara bertahap menyelaraskan standar operasional dengan norma Eropa. Bagi penerbit yang membangun operasi pan-ASEAN, Philippines berdiri di samping tiga lainnya sebagai pasar di mana arsitektur CMP yang dibangun sesuai standar Eropa menangani sebagian besar kepatuhan dengan dua tambahan spesifik: pendaftaran NPC di mana ambang batas berlaku, dan lapisan persetujuan informasi sensitif yang membedakan kerangka Philippines dari alternatif regional yang lebih longgar. Sifat berbahasa Inggris dari kerangka regulasi – yang tidak umum di ASEAN – menjadikan Philippines target kepatuhan yang sangat mudah diakses bagi operator luar negeri yang tidak memiliki penasihat hukum lokal.