Przewodnik po zgodności ze zgodą na pliki cookie na mocy filipińskiej ustawy o ochronie danych osobowych 2012 dla wydawców w 2026 roku

Filipiny uchwaliły Data Privacy Act w 2012 roku, cztery lata przed przyjęciem GDPR i w czasie, gdy większość jurysdykcji azjatyckich nadal działała bez kompleksowych przepisów dotyczących prywatności. Republic Act 10173 powołał National Privacy Commission (NPC) jako niezależny organ i dał krajowi jeden z najwcześniejszych ram podobnych do GDPR w Azji Południowo-Wschodniej. Struktura ustawy sprawdziła się znakomicie — jej podstawowe zasady, podstawy prawne przetwarzania i ramy praw wszystkie są zgodne z europejskim standardem — ale szczegóły operacyjne zostały gruntownie zaktualizowane poprzez okólniki NPC, a nie poprzez zmiany legislacyjne. Dla wydawców i operatorów SaaS obsługujących ruch filipiński oznacza to, że sama ustawa stanowi konstytucyjny tekst wysokiego poziomu, natomiast okólniki NPC dotyczące zgody, powiadamiania o naruszeniach, przetwarzania wrażliwych danych osobowych i 2024 Advisory dotycząca śledzenia online to miejsca, gdzie faktycznie żyją standardy operacyjne. Niniejszy przewodnik omawia wymagania ustawy, sposób jej interpretacji przez NPC w kontekście śledzenia online oraz to, na czym powinny skupić się praktyczne prace compliance w 2026 roku.

Zarys Data Privacy Act

Data Privacy Act jest skonstruowana wokół pięciu ogólnych zasad zawartych w Section 11 — przejrzystości, uzasadnionego celu, proporcjonalności i właściwego postępowania — oraz bardziej szczegółowych ram kryteriów legalnego przetwarzania zawartych w Section 12. Podstawy prawne przetwarzania odzwierciedlają GDPR: zgoda, umowa, obowiązek prawny, żywotne interesy, zadanie publiczne i prawnie uzasadniony interes. Ustawa ma zasięg ekstraterytorialny na mocy Section 6: ma zastosowanie do przetwarzania danych osobowych obywatela lub rezydenta Filipin niezależnie od miejsca siedziby administratora, obejmując tym samym wydawców offshore obsługujących ruch filipiński.

Dwie cechy strukturalne mają znaczenie operacyjne. Po pierwsze, ustawa rozróżnia dane osobowe od wrażliwych danych osobowych (Section 3, ustępy (g) i (l)) i stosuje do tych ostatnich bardziej rygorystyczne zasady przetwarzania — zdrowie, edukacja, informacje finansowe i identyfikatory wydawane przez władze publiczne kwalifikują się jako wrażliwe na mocy Section 3(l). Po drugie, Section 21 nakłada na administratorów i przetwarzających dane osobowe powyżej określonych progów obowiązek rejestracji w NPC oraz wyznaczenia Inspektora Ochrony Danych (DPO). NPC aktywnie ścigała niezarejestrowanych administratorów.

Jak Data Privacy Act traktuje pliki cookie i śledzenie online

Ustawa nie zawiera przepisu dotyczącego konkretnie plików cookie. Obowiązki w zakresie zgody i informacji wynikają z Sections 11, 12 i 16 ustawy oraz z 2024 Advisory NPC dotyczącej śledzenia online i reklamy behawioralnej. Advisory jest przydatnym dokumentem, ponieważ wyraźnie formułuje oczekiwania, zamiast pozostawiać je do wnioskowania z ogólnych ram.

Aktywna zgoda na śledzenie nieistotne

Stanowisko NPC jest takie, że zgoda musi być swobodnie udzielona, konkretna, świadoma i udokumentowana pisemnym lub elektronicznym zapisem. 2024 Advisory odrzuca przewijanie-jako-zgoda i kontynuowane-użytkowanie-jako-zgoda jako niespełniające kryteriów konkretności i świadomości z Section 3(b). Wcześniej zaznaczone pola wyboru są wyraźnie traktowane jako wadliwe.

Szczegółowe kontrole kategorii

Advisory oczekuje, że banery umożliwią użytkownikowi niezależne akceptowanie i odrzucanie kategorii. Zbiorcze zaakceptowanie wszystkich bez granularności narusza zasadę proporcjonalności zawartą w Section 11(d), która wymaga, aby przetwarzanie było adekwatne, istotne, odpowiednie, konieczne i nieprzesadne — jedna zbiorcza zgoda jest traktowana jako nadmierna, gdy rozdzielenie jest technicznie proste.

DPO i wymóg rejestracji

Dla administratorów powyżej progu rejestracyjnego wyznaczenie DPO jest istotnym wymogiem operacyjnym, a nie ćwiczeniem papierowym. NPC powoływała się na brak właściwie wyznaczonego DPO w kilku działaniach egzekucyjnych, szczególnie w sektorach BPO i fintech.

Przekazywanie transgraniczne (Section 21)

Transgraniczne ramy ustawy są wdrożone przez NPC Circular 16-02 dotyczącą umów outsourcingowych i szerszą zasadę odpowiedzialności. Przekazywanie do odbiorców spoza Filipin wymaga albo odpowiednich zabezpieczeń umownych, albo konkretnej zgody. NPC wydała wzorcowe klauzule umowne; praktyczne oczekiwania operacyjne w treści odpowiadają GDPR Chapter V, nawet jeśli język prawny różni się.

Podejście NPC do egzekwowania

NPC jest jednym z bardziej publicznie aktywnych organów ochrony danych w Azji Południowo-Wschodniej. Trzy wzorce kształtują jej podejście do egzekwowania.

Głośne sprawy naruszeń

NPC priorytetowo traktowała dochodzenia w sprawie naruszeń na dużą skalę — wyciek rejestru wyborców COMELEC w 2016 roku jest najbardziej konsekwentny — i wykorzystała te sprawy do ustalenia oczekiwań wobec szerszej regulowanej społeczności. Publiczne oświadczenia podczas dochodzeń w sprawie naruszeń często formułują wymagania wykraczające poza ścisły tekst ustawowy.

Fokus na BPO i fintech

Filipiny są jedną z największych gospodarek BPO i centrów kontaktowych na świecie, a NPC historycznie koncentrowała egzekwowanie na tych sektorach. Dla wydawców prowadzących działalność wspieraną reklamami, skierowaną do filipińskich użytkowników, klimat regulacyjny wokół odbiorców jest kształtowany przez postawę compliance BPO, nawet gdy sam wydawca nie należy do tego sektora.

Koordynacja z regulatorami ASEAN

NPC uczestniczy w strumieniu prac ASEAN Data Management Framework i utrzymuje relacje robocze z Singapore PDPC, Thailand PDPC, wschodzącym organem Indonezji i EU EDPB. Dochodzenia transgraniczne dotyczące ruchu filipińskiego i europejskiego są coraz częściej prowadzone w ramach skoordynowanych procedur.

Praktyczna lista kontrolna compliance

Sześć konkretnych pytań do odpowiedzi dla każdego banera plików cookie obsługującego ruch filipiński.

Miejsce Filipin w stosie wielu jurysdykcji

Filipiny są jednym z czterech najbardziej operacyjnie istotnych reżimów ochrony danych ASEAN obok Singapuru, Tajlandii i Indonezji. Rok 2012 uchwalenia ustawy oznacza, że poprzedza ona GDPR, ale modernizacja napędzana okólnikami NPC stopniowo dostosowała standard operacyjny do norm europejskich. Dla wydawców budujących działalność ogólnoazjatycką Filipiny zajmują miejsce obok pozostałej trójki jako rynek, na którym architektura CMP zbudowana do standardów europejskich obsługuje większość wymagań compliance z dwoma specyficznymi uzupełnieniami: rejestracja w NPC tam, gdzie mają zastosowanie progi, oraz warstwa zgody na informacje wrażliwe wyróżniająca filipińskie ramy od luźniejszych regionalnych alternatyw. Anglojęzyczny charakter ram regulacyjnych — niecodzienny w ASEAN — sprawia, że Filipiny są wyjątkowo dostępnym celem compliance dla offshore operatorów nieposiadających lokalnych doradców prawnych.

← Blog Czytaj wszystko →