Водич за усклађеност са PDPO у вези са пристанком за колачиће у Hong Kongu за издаваче у 2026.
Personal Data (Privacy) Ordinance (PDPO) Hong Konga је један од најстаријих свеобухватних закона о приватности у Азији, ступивши на снагу 1996. године. Током већег дела свог постојања PDPO је заузимала чудан положај: структурно исправна, али споро еволуирајући кроз тумачење, а не измене. Privacy Commissioner for Personal Data (PCPD) је био активни покретач те еволуције, објављујући смернице које су постепено ускладиле оперативни стандард Hong Konga са европским нормама, док се основно законодавство мењало мање драматично него у Сингапуру, Аустралији или чак Mainland China. Измене из 2021. бавиле су се специфично доксинговањем, али шири режим приватности и даље функционише у оквиру оригиналне PDPO структуре онако како је тумачена кроз готово три деценије смерница PCPD-а. За издаваче и SaaS оператере који опслужују саобраћај из Hong Konga — тржиште које укључује једну од највећих концентрација активности финансијских услуга у Азији и значајан удео регионалне е-трговине — слика усклађености са PDPO у 2026. години је слика зрелог регулатора, умерено строгих стандарда и изузетно јасних докумената са смерницама. Овај чланак пролази кроз оно што PDPO захтева, где је PCPD применио оквир на онлајн праћење и оперативне импликације за дизајн банера за колачиће.
PDPO у кратким цртама
PDPO је организован oko шест принципа заштите података (DPP) који уређују прикупљање, тачност, чување, коришћење, безбедност и отвореност личних података. Принципи претходе GDPR-у за готово две деценије и користе нешто другачију терминологију, али су суштински стандарди конвергирали кроз тумачење. DPP1 (сврха и начин прикупљања), DPP3 (коришћење личних података) и DPP5 (опште доступне информације) су принципи најдиректније релевантни за онлајн праћење.
Уредба се примењује на сваког корисника података — термин Hong Konga за оно што GDPR назива контролором — који контролише прикупљање, чување, обраду или коришћење личних података. Територијално важење је спорна област: PDPO претходи екстериторијалним доктринама, а PCPD је историјски заузимао конзервативнији став него EDPB по питању прекограничног извршења. У пракси PCPD тврди надлежност над прекоморским оператерима који циљају резиденте Hong Konga или обрађују податке из Hong Konga са довољном везом, а оператери који опслужују саобраћај из Hong Konga треба да планирају као да екстериторијални досег важи.
Kako PDPO tretira kolačiće i онлајн праћење
PDPO не садржи одредбу специфичну за колачиће; обавезе пристанка и информисања произилазе из DPP-ова и из 2022 Guidance Note PCPD-а о онлајн праћењу и понашању у оглашавању. Смерница је један од најјаснијих докумената о усклађености са колачићима у Азији и артикулише очекивања која се блиско поклапају са позицијом EDPB Cookie Banner Taskforce.
Афирмативни пристанак за непотребно праћење
Став PCPD-а је да пристанак мора бити изричит за непотребно праћење. Подразумевани пристанак, наставак коришћења и унапред обележена поља не задовољавају захтев DPP1 за специфичним и информисаним пристанком тумаченим у онлајн контексту. Смерница изричито наводи scroll-as-consent као дефектан образац.
Гранулске контроле категорија
Банери морају омогућити кориснику да прихвати и одбије категорије независно. Смерница третира јединично дугме Прихвати све без еквивалентног одбијања као структурни дефект и идентификује погрешно означавање маркетиншких колачића као строго неопходних као засебно кршење.
Садржај обавештења о приватности
DPP5 је историјски био један од принципа са највише активне примене. Обавештења о приватности морају идентификовати корисника података, сврхе, примаоце (укључујући примаоце преноса), оквир права под DPP6 (приступ и исправка) и тачку контакта за упите. PCPD је јасно нагласио да генеричка стандардизована обавештења не задовољавају DPP5 — обелодањивање мора одражавати стварну обраду.
Прекогранични пренос (Section 33)
Section 33 PDPO-а уређује прекограничне преносе и, током већег дела историје Уредбе, представљао је најнеобичнију карактеристику режима: одредба је усвојена 1995. али никада није ступила на снагу одлуком Секретара. PCPD је ипак издао моделне уговорне клаузуле и третира заштитне мере у стилу Section 33 као практично обавезне за преносе у ненадлежности изван Hong Konga. Правни статус је двосмислен — Section 33 је закон, али није оперативан — али оперативно очекивање прати Chapter V GDPR-а.
Приступ PCPD-а у примени прописа
PCPD функционише са препознатљивим стилом примене који се разликује од великих европских органа за заштиту података на три уочљива начина.
Широка употреба истрага о усклађености
Примарни алат примене PCPD-а је истрага о усклађености, која кулминира налогом за примену, а не новчаном казном. Налози захтевају санацију у одређеном року и обично се решавају без новчане казне. Грађанске казне постоје, али су ретко коришћене.
Јавни коментар као сигнал примене
PCPD објављује детаљне извештаје о истрагама за истакнуте случајеве који функционишу као судска пракса у одсуству јаких преседантних новчаних казни. Оператери пажљиво читају ове извештаје јер артикулишу специфична очекивања која се можда неће појавити у формалним смерницама.
Координација са Копном
Прекограничне истраге које укључују токове података из Hong Konga и Mainland China све више се обрађују кроз координиране процедуре са Cyberspace Administration of China. Екстериторијални досег PIPL-а и позиција Hong Konga у економском оквиру Greater Bay Area чине ову координацију оперативно значајнијом него у већини надлежности.
Практична листа за проверу усклађености
Шест конкретних питања на која треба одговорити за сваки банер колачића који опслужује саобраћај из Hong Konga.
- Да ли постоји изричито одбијање у првом слоју? Пут одбијања мора се налазити на истој површини као прихватање, са упоредивом истакнутошћу. Scroll-as-consent и наставак коришћења не пролазе 2022 Guidance.
- Да ли су категорије гранулске? Неопходне, аналитичке и маркетиншке морају бити засебно контролисане.
- Да ли је обавештење DPP5 специфично? Потврдите да обавештење о приватности идентификује стварне кориснике података, сврхе и примаоце.
- Да ли је језик одговарајући? За публику која може укључивати изворне говорнике кинеског, банер и обавештење треба да буду доступни на Traditional Chinese (стандард у Hong Kongu) као и на енглеском.
- Да ли су прекогранични преноси документовани? Section 33 није оперативан, али PCPD третира уговорне заштитне мере као очекиване. Идентификујте свако одредиште изван Hong Konga и заштитну меру која овлашћује пренос.
- Да ли је евидентирање пристанка на нивоу ревизије? Записи о одлукама о пристанку са временском ознаком и верзијом банера потребни су за одговор на истрагу усклађености PCPD-а.
Где Hong Kong стаје у мулти-надлежни стек
Hong Kong је најзрелији режим заштите података у Greater China и служи као де факто улазна тачка за прекограничне токове података између Mainland China и остатка света. За издаваче који граде према пан-азијским операцијама, PDPO стоји поред Сингапуровог PDPA, јапанског APPI и јужнокорејског PIPA као четири оперативно најзначајнија азијска режима. PDPO је на папиру најпермисивнији од четири, али најзахтевнији у погледу квалитета документације, јер примена вођена истрагама PCPD-а чини добро написано обавештење о приватности најјачом појединачном линијом одбране. CMP архитектура изграђена на европским стандардима обрађује већи део усклађености Hong Konga са два додатка: подршка за Traditional Chinese језик и образац документације прекограничних преноса који Section 33 подразумева чак и када формално није на снази. За оператере који опслужују Hong Kong из иностранства, практичан приступ је да третирају 2022 Guidance Note PCPD-а као меродавни документ и да дизајнирају против његових специфичних образаца неуспеха, а не само против старијег текста PDPO-а.