Philippines Data Privacy Act 2012 – კუქის თანხმობის შესაბამისობის სახელმძღვანელო გამომცემლებისთვის 2026 წელს

Philippines-მა 2012 წელს მიიღო Data Privacy Act, GDPR-ის მიღებამდე ოთხი წლით ადრე და მაშინ, როდესაც აზიის პროვინციების უმეტესობა ჯერ კიდევ ყოვლისმომცველი კონფიდენციალობის კანონმდებლობის გარეშე მოქმედებდა. Republic Act 10173-მა შექმნა National Privacy Commission (NPC) როგორც დამოუკიდებელი ორგანო და ქვეყანას მისცა სამხრეთ-აღმოსავლეთ აზიაში GDPR-ის ტიპის ერთ-ერთი ყველაზე ადრეული ჩარჩო. კანონის სტრუქტურა განსაცვიფრებლად კარგად გამოდგა — მისი ძირითადი პრინციპები, კანონიერი საფუძვლები და უფლებების ჩარჩო ყველაფერი ევროპულ სტანდარტს ემთხვევა — მაგრამ ოპერაციული დეტალები ლეგისლაციური ცვლილებების ნაცვლად NPC ცირკულარების მეშვეობით ფართოდ განახლდა. Philippines-ის ტრაფიკის მომსახურე გამომცემლებისა და SaaS ოპერატორებისთვის ეს ნიშნავს, რომ კანონი თავად არის მაღალდონიანი კონსტიტუციური ტექსტი, მაგრამ NPC-ის ცირკულარები თანხმობის, დარღვევის შეტყობინების, მგრძნობიარე პერსონალური ინფორმაციის დამუშავებისა და ონლაინ თვალთვალის 2024 Advisory-ის შესახებ არის ის ადგილი, სადაც ოპერაციული სტანდარტები სინამდვილეში ცხოვრობს. ეს სახელმძღვანელო განიხილავს, რას მოითხოვს კანონი, როგორ განმარტა იგი NPC-მ ონლაინ თვალთვალისთვის, და სად უნდა იყოს კონცენტრირებული პრაქტიკული შესაბამისობის სამუშაო 2026 წელს.

Data Privacy Act-ის მიმოხილვა

Data Privacy Act სტრუქტურირებულია Section 11-ში ხუთი ზოგადი პრინციპის გარშემო — გამჭვირვალობა, კანონიერი მიზანი, პროპორციულობა და სათანადო მართვა — და Section 12-ში კანონიერი დამუშავების კრიტერიუმების უფრო დეტალური ჩარჩო. კანონიერი საფუძვლები GDPR-ს ასახავს: თანხმობა, ხელშეკრულება, სამართლებრივი ვალდებულება, სასიცოცხლო ინტერესები, საჯარო ფუნქცია და კანონიერი ინტერესი. კანონს Section 6-ის მიხედვით ექსტრატერიტორიული მოქმედება აქვს: ვრცელდება Philippines-ის მოქალაქის ან რეზიდენტის პერსონალური ინფორმაციის დამუშავებაზე, იმისდა მიუხედავად, სად არის მენეჯერი დარეგისტრირებული, მათ შორის ოფშორულ გამომცემლებზე, რომლებიც Philippines-ის ტრაფიკს ემსახურებიან.

ოპერაციულად ორი სტრუქტურული მახასიათებელი მნიშვნელოვანია. პირველი, კანონი განასხვავებს პერსონალურ ინფორმაციას მგრძნობიარე პერსონალური ინფორმაციისგან (Section 3, (g) და (l) პარაგრაფები) და უკანასკნელს უფრო მკაცრ დამუშავების წესებს უყენებს — ჯანმრთელობა, განათლება, ფინანსური ინფორმაცია და სამთავრობო გამოცემული იდენტიფიკატორები ყველა Section 3(l)-ის მიხედვით მგრძნობიარედ კვალიფიცირდება. მეორე, Section 21 ავალდებულებს პერსონალური ინფორმაციის გარკვეული ზღვრების ზემოთ მყოფ მენეჯერებსა და პროცესორებს, დარეგისტრირდნენ NPC-ში და დანიშნონ მონაცემთა დაცვის ოფიცერი. NPC-მ აქტიურად განახორციელა სასამართლო დევნა უარეგისტრირო მენეჯერების მიმართ.

როგორ ეხება Data Privacy Act კუქებს და ონლაინ თვალთვალს

კანონი კუქისადმი სპეციფიკურ დებულებას არ შეიცავს. თანხმობისა და ინფორმაციის ვალდებულებები კანონის Section 11, 12 და 16-დან და NPC-ის ონლაინ თვალთვალისა და ქცევითი რეკლამის 2024 Advisory-დან გამომდინარეობს. Advisory სასარგებლო დოკუმენტია, რადგან მოლოდინებს ცხადად გამოხატავს, ნაცვლად იმისა, რომ ზოგადი ჩარჩოდან გამოტანაზე დაიყრდნოს.

დამადასტურებელი თანხმობა არასავალდებულო თვალთვალისთვის

NPC-ის პოზიციაა, რომ თანხმობა უნდა იყოს თავისუფლად მიცემული, სპეციფიკური, ინფორმირებული და წერილობითი ან ელექტრონული ჩანაწერით დოკუმენტირებული. 2024 Advisory უარყოფს გადახვევა-თანხმობად და გამოყენების-გაგრძელება-თანხმობად, როგორც Section 3(b)-ის სპეციფიკური და ინფორმირებული კრიტერიუმების შეუსრულებელს. წინასწარ მოტიშნული ველები ცხადად დეფექტურად განიხილება.

კატეგორიების გრანულარული კონტროლი

Advisory ელის, რომ ბანერები მომხმარებელს კატეგორიების დამოუკიდებლად მიღება-უარყოფის საშუალებას მისცემენ. ყველა ვარიანტის გაერთიანებული მიღება გრანულარობის გარეშე Section 11(d)-ის პროპორციულობის პრინციპს ვერ ასრულებს, რომელიც მოითხოვს, რომ დამუშავება იყოს ადეკვატური, რელევანტური, შესაფერისი, აუცილებელი და არა გადამეტებული — ერთი გაერთიანებული თანხმობა გადამეტებულად ითვლება, როდესაც გამიჯვნა ტექნიკურად მარტივია.

DPO და რეგისტრაციის მოთხოვნა

რეგისტრაციის ზღვრის ზემოთ მყოფი მენეჯერებისთვის DPO-ს დანიშვნა მნიშვნელოვანი ოპერაციული მოთხოვნაა, არა ქაღალდის სავარჯიშო. NPC-მ რამდენიმე სააღსრულებო ქმედებაში, განსაკუთრებით BPO და ფინტექ სექტორებში, სათანადოდ დანიშნული DPO-ს არარსებობა ახსენა.

ტრანსსასაზღვრო გადაცემა (Section 21)

კანონის ტრანსსასაზღვრო ჩარჩო NPC Circular 16-02-ის მეშვეობით outsourcing ხელშეკრულებებზე და ფართო ანგარიშვალდებულების პრინციპზე არის დამყარებული. Philippines-ის გარე მიმღებებისთვის გადაცემა სათანადო სახელშეკრულებო დაცვას ან სპეციფიკურ თანხმობას მოითხოვს. NPC-მ სამოდელო სახელშეკრულებო დებულებები გამოსცა; პრაქტიკული ოპერაციული მოლოდინი არსებითად GDPR Chapter V-ს მიჰყვება, მაშინაც კი, სადაც სამართლებრივი ენა განსხვავდება.

NPC-ის სააღსრულებო პოზიცია

NPC სამხრეთ-აღმოსავლეთ აზიაში ყველაზე საჯაროდ აქტიური მონაცემთა დაცვის ერთ-ერთი ორგანო ყოფილა. სამი ნიმუში განსაზღვრავს მის სააღსრულებო მიდგომას.

მაღალხილვადობის დარღვევის საქმეები

NPC-მ პრიორიტეტი დიდი მასშტაბის დარღვევის გამოძიებებს მიანიჭა — 2016 წლის COMELEC-ის ამომრჩეველთა რეესტრის გაჟონვა ყველაზე კონსეკვენციური იყო — და ეს საქმეები გამოიყენა ფართო რეგულირებული საზოგადოების მოლოდინების ჩამოყალიბებისთვის. დარღვევის გამოძიების დროს საჯარო განცხადებები ხშირად ისეთ მოთხოვნებს გამოხატავს, რომლებიც მკაცრ საკანონმდებლო ტექსტს სცილდება.

BPO და ფინტექ ფოკუსი

Philippines მსოფლიოში ერთ-ერთ უდიდეს BPO და საკონტაქტო ცენტრის ეკონომიკას წარმოადგენს, და NPC ისტორიულად ამ სექტორებზე კონცენტრირდა. Philippines-ის მომხმარებლებზე ორიენტირებული რეკლამით მხარდაჭერილ ბიზნესს მამართველი გამომცემლებისთვის, აუდიტორიის გარშემო მარეგულირებელ კლიმატს BPO-ს შესაბამისობის პოზიცია განსაზღვრავს, მაშინაც კი, როდესაც გამომცემელი თავად ამ სექტორში არ არის.

ASEAN რეგულატორებთან კოორდინაცია

NPC მონაწილეობს ASEAN Data Management Framework-ის სამუშაო ნაკადში და სამუშაო ურთიერთობებს ინარჩუნებს Singapore PDPC-სთან, Thailand PDPC-სთან, ინდონეზიის განვითარებად ორგანოსთან და EU-ის EDPB-სთან. Philippines-ის და ევროპული ტრაფიკის მომცველი ტრანსსასაზღვრო გამოძიებები სულ უფრო ხშირად კოორდინირებული პროცედურების მეშვეობით განიხილება.

პრაქტიკული შესაბამისობის სია

ექვსი კონკრეტული კითხვა, რომლებზეც პასუხი უნდა გაეცეს Philippines-ის ტრაფიკის მომსახურე ნებისმიერ კუქი ბანერისთვის.

სად ჯდება Philippines მულტი-იურისდიქციულ სტეკში

Philippines ASEAN-ის ოთხი ოპერაციულად ყველაზე კონსეკვენციური მონაცემთა დაცვის რეჟიმიდან ერთ-ერთია, Singapore, Thailand და ინდონეზიასთან ერთად. კანონის 2012 წლის თარიღი ნიშნავს, რომ ის GDPR-ზე ადრე იქნა შექმნილი, მაგრამ NPC-ის ცირკულარებით განპირობებულმა მოდერნიზაციამ ოპერაციული სტანდარტი თანდათანობით ევროპულ ნორმებს შეასაბამა. გამომცემლებისთვის, რომლებიც პან-ASEAN ოპერაციებისკენ მიდიან, Philippines სხვა სამი ბაზრის გვერდით დგას, სადაც ევროპული სტანდარტების მიხედვით აგებული CMP არქიტექტურა შესაბამისობის უმეტეს ნაწილს ორი სპეციფიკური დამატებით ამუშავებს: NPC რეგისტრაცია სადაც ზღვრები მოქმედებს, და მგრძნობიარე ინფორმაციის თანხმობის შრე, რომელიც Philippines-ის ჩარჩოს უფრო მოსახერხებელი რეგიონული ალტერნატივებისგან განასხვავებს. მარეგულირებელი ჩარჩოს ინგლისურენოვანი ხასიათი — ASEAN-ში იშვიათი — Philippines-ს განსაკუთრებით ხელმისაწვდომ შესაბამისობის სამიზნედ ხდის ოფშორული ოპერატორებისთვის, რომლებს ადგილობრივი სამართლებრივი მრჩეველი არ ჰყავთ.

← ბlodelays delays ყველას წაკითხვა →