Filipīnu Datu privātuma likuma 2012 sīkfailu piekrišanas atbilstības rokasgrāmata izdevējiem 2026. gadā

Filipīnas pieņēma Data Privacy Act 2012. gadā, četrus gadus pirms GDPR pieņemšanas un laikā, kad lielākā daļa Āzijas jurisdikciju vēl darbojās bez visaptverošiem privātuma tiesību aktiem. Republic Act 10173 izveidoja National Privacy Commission (NPC) kā neatkarīgu iestādi un deva valstij vienu no pirmajiem GDPR tipa ietvariem Dienvidaustrumāzijā. Likuma struktūra ir izturējusies ļoti labi — tā pamatprincipi, likumīgais pamats un tiesību sistēma visi atbilstoši atbilst Eiropas standartiem — taču darbības detaļas ir plaši atjauninātas ar NPC apkārtrakstiem, nevis ar likumdošanas grozījumiem. Izdevējiem un SaaS operatoriem, kas apkalpo Filipīnu trafiku, tas nozīmē, ka pats Likums ir augsta līmeņa konstitucionālais teksts, bet NPC apkārtraksti par piekrišanu, pārkāpumu paziņošanu, sensitīvas personas informācijas apstrādi un 2024. gada Konsultācija par tiešsaistes izsekošanu ir tie, kur faktiski dzīvo darbības standarti. Šī rokasgrāmata izskata, ko Likums prasa, kā NPC to ir interpretējis tiešsaistes izsekošanai un kur 2026. gadā jākoncentrējas praktisks atbilstības darbs.

Data Privacy Act kopsavilkums

Data Privacy Act ir strukturēts ap pieciem vispārīgiem principiem Section 11 — pārredzamība, likumīgs mērķis, proporcionalitāte un pareiza apstrāde — un detalizētāku sistēmu likumīgas apstrādes kritērijiem Section 12. Likumīgais pamats atspoguļo GDPR: piekrišana, līgums, juridisks pienākums, vitālas intereses, publiska funkcija un likumīgas intereses. Likumam ir ārpusteritoriāla ietekme saskaņā ar Section 6: tas attiecas uz Filipīnu pilsoņa vai rezidenta personas informācijas apstrādi neatkarīgi no tā, kur pārzinis ir reģistrēts, aptverot ārzemju izdevējus, kas apkalpo Filipīnu trafiku.

Divas strukturālas iezīmes ir darbības ziņā nozīmīgas. Pirmkārt, Likums izšķir "personas informāciju" no "sensitīvas personas informācijas" (Section 3, punkti (g) un (l)) un piemēro pēdējai stingrākus apstrādes noteikumus — veselība, izglītība, finansiāla informācija un valsts izsniegtie identifikatori visi kvalificējas kā sensitīvi saskaņā ar Section 3(l). Otrkārt, Section 21 prasa personas informācijas pārziņiem un apstrādātājiem, kas pārsniedz noteiktus sliekšņus, reģistrēties NPC un iecelt Datu aizsardzības speciālistu (DPO). NPC ir aktīvi sekojusi neregistrētiem pārziņiem.

Kā Data Privacy Act izturas pret sīkfailiem un tiešsaistes izsekošanu

Likumā nav sīkfailiem specifisku noteikumu. Piekrišanas un informācijas pienākumi izriet no Sections 11, 12 un 16 un no NPC 2024. gada Konsultācijas par tiešsaistes izsekošanu un uzvedības reklāmu. Konsultācija ir noderīgs dokuments, jo tā skaidri formulē prasības, nevis atstāj tās secinājumiem no vispārīgās sistēmas.

Apstiprinoša piekrišana nebūtiskai izsekošanai

NPC pozīcija ir tāda, ka piekrišanai jābūt brīvi dotai, specifiskai, informētai un dokumentētai ar rakstisku vai elektronisku ierakstu. 2024. gada Konsultācija noraida ritināšanu-kā-piekrišanu un turpinātu-lietošanu-kā-piekrišanu kā neatbilstošus Section 3(b) "specifiskajam" un "informētajam" kritērijiem. Iepriekš atzīmētas rūtiņas tiek skaidri uzskatītas par nepilnvērtīgām.

Detalizēta kategoriju kontrole

Konsultācija sagaida, ka reklāmkarogi ļauj lietotājam neatkarīgi pieņemt un noraidīt kategorijas. Saistīts pieņemt-visu bez granularitātes pārkāpj proporcionalitātes principu saskaņā ar Section 11(d), kas prasa, lai apstrāde būtu "atbilstoša, relevanta, piemērota, nepieciešama un ne pārmērīga" — viena saistīta piekrišana tiek uzskatīta par pārmērīgu, kad atdalīšana ir tehniski vienkārša.

DPO un reģistrācijas prasība

Pārziņiem, kas pārsniedz reģistrācijas slieksni, DPO iecelšana ir nozīmīga darbības prasība, nevis papīra uzdevums. NPC ir minējusi pareizi iecelta DPO neesamību vairākās izpildes darbībās, īpaši BPO un fintech sektoros.

Pārrobežu pārsūtīšana (Section 21)

Likuma pārrobežu sistēma ir ieviesta ar NPC Circular 16-02 par Ārpakalpojumu līgumiem un plašāko atbildības principu. Pārsūtīšanai ne-Filipīnu saņēmējiem nepieciešami vai nu atbilstoši līgumiskai aizsardzības pasākumi, vai specifiska piekrišana. NPC ir izdevusi tipveida līgumiskos noteikumus; praktiskās darbības prasības pēc būtības atbilst GDPR Chapter V, pat ja juridiskā valoda atšķiras.

NPC izpildes nostāja

NPC ir bijusi viena no aktīvākajām datu aizsardzības iestādēm Dienvidaustrumāzijā publiski. Trīs modeļi veido tās izpildes pieeju.

Augsta redzamuma pārkāpumu lietas

NPC ir prioritizējusi liela mēroga pārkāpumu izmeklēšanas — 2016. gada COMELEC vēlētāju reģistra noplūde ir visbūtiskākā — un ir izmantojusi šīs lietas, lai noteiktu prasības plašākai regulētajai sabiedrībai. Publiskajiem paziņojumiem pārkāpumu izmeklēšanas laikā bieži ir prasības, kas pārsniedz strikto likumdošanas tekstu.

BPO un fintech fokuss

Filipīnas ir viena no lielākajām BPO un zvanu centru ekonomikām pasaulē, un NPC vēsturiski ir koncentrējusi izpildi uz šiem sektoriem. Izdevējiem, kas vada ar reklāmu atbalstītas darbības, mērķējot uz Filipīnu lietotājiem, regulatīvais klimats ap auditoriju ir veidots pēc BPO atbilstības nostājas, pat ja pats izdevējs nav šajā sektorā.

Koordinācija ar ASEAN regulatoriem

NPC piedalās ASEAN Data Management Framework darba straumē un uztur darba attiecības ar Singapore PDPC, Thailand PDPC, Indonēzijas jaunveidojošo iestādi un EU EDPB. Pārrobežu izmeklēšanas, kurās iesaistīts Filipīnu un Eiropas trafiks, arvien biežāk tiek risinātas ar koordinētām procedūrām.

Praktisks atbilstības kontrolsaraksts

Seši konkrēti jautājumi, uz kuriem jāatbild jebkuram sīkfailu reklāmkarogam, kas apkalpo Filipīnu trafiku.

Kur Filipīnas iederas daudzjurisdikcijas struktūrā

Filipīnas ir viena no četrām darbībai visbūtiskākajām ASEAN datu aizsardzības jurisdikcijām līdzās Singapūrai, Taizemei un Indonēzijai. Likuma 2012. gada iedibinājums nozīmē, ka tas ir vecāks par GDPR, taču NPC apkārtrakstu virzīta modernizācija ir pakāpeniski saskaņojusi darbības standartu ar Eiropas normām. Izdevējiem, kas veido darbu visā ASEAN, Filipīnas atrodas blakus pārējiem trim kā tirgus, kur CMP arhitektūra, kas veidota pēc Eiropas standartiem, nodrošina lielāko daļu atbilstības ar diviem specifiskiem papildinājumiem: NPC reģistrācija, kur sliekšņi tiek piemēroti, un sensitīvās informācijas piekrišanas slānis, kas atšķir Filipīnu sistēmu no vairāk nestingrām reģionālajām alternatīvām. Normatīvās sistēmas angļu valodas raksturs — neparasts ASEAN — padara Filipīnas par neparasti pieejamu atbilstības mērķi ārvalstu operatoriem, kuriem nav vietējo juristu.

← Blogs Lasīt visu →