Водич за усклађеност са Data Privacy Act 2012 Филипина за сагласност на колачиће за издаваче у 2026.
Филипини су донели Data Privacy Act 2012. године, четири године пре усвајања GDPR-а и у време када је већина азијских јурисдикција још увек функционисала без свеобухватног законодавства о приватности. Republic Act 10173 успоставио је National Privacy Commission (NPC) као независно тело и дао земљи један од првих оквира у стилу GDPR-а у Југоисточној Азији. Структура Закона је изванредно издржала — његови основни принципи, законите основе и оквир права сви се чисто пресликавају на европски стандард — али оперативни детаљи су опширно ажурирани кроз NPC циркуларе а не кроз законодавне измене. За издаваче и SaaS оператере који опслужују филипински саобраћај, то значи да је сам Закон уставни текст високог нивоа, али NPC циркулари о сагласности, обавештењу о кршењу, обради осетљивих личних података и Саветодавно мишљење за 2024. о онлајн праћењу су место где оперативни стандарди заиста живе. Овај водич пролази кроз оно шта Закон захтева, како га је NPC тумачио за онлајн праћење и где се практичан рад на усклађености мора фокусирати у 2026.
Data Privacy Act у прегледу
Data Privacy Act је структуриран око пет општих принципа у Section 11 — транспарентност, легитимна сврха, сразмерност и правилно руковање — и детаљнијег оквира за критеријуме законитог обрађивања у Section 12. Законите основе одражавају GDPR: сагласност, уговор, законска обавеза, витални интереси, јавна функција и легитимни интерес. Закон има ванземаљски досег у складу са Section 6: примењује се на обраду личних података о филипинском грађанину или резиденту без обзира на то где је руковалац регистрован, обухватајући офшор издаваче који опслужују филипински саобраћај.
Две структурне карактеристике су оперативно важне. Прво, Закон разликује “личне податке” од “осетљивих личних података” (Section 3, параграфи (g) и (l)) и примењује строжа правила обраде на потоње — здравље, образовање, финансијски подаци и идентификатори које издаје влада сви се квалификују као осетљиви у складу са Section 3(l). Друго, Section 21 захтева да контролори и обрађивачи личних података изнад одређених прагова буду регистровани код NPC-а и да именују Службеника за заштиту података. NPC је активно гонио нерегистроване контролоре.
Како Data Privacy Act третира колачиће и онлајн праћење
Закон не садржи одредбу специфичну за колачиће. Обавезе сагласности и информисања произилазе из Секција 11, 12 и 16 Закона и из NPC Саветодавног мишљења за 2024. о онлајн праћењу и бихевиоралном оглашавању. Саветодавно мишљење је користан документ јер експлицитно артикулише очекивања уместо да их оставља на извођење из општег оквира.
Афирмативна сагласност за неесенцијално праћење
Став NPC-а је да сагласност мора бити слободно дата, специфична, информисана и потврђена писаним или електронским записом. Саветодавно мишљење за 2024. одбацује скроловање-као-сагласност и наставак-употребе-као-сагласност као неиспуњење “специфичних” и “информисаних” услова Section 3(b). Унапред означени оквири се експлицитно сматрају неважећим.
Гранулирне контроле категорија
Саветодавно мишљење очекује да банери омогуће кориснику да независно прихвати и одбије категорије. Обједињена прихвати-све сагласност без гранулираности не испуњава принцип сразмерности у складу са Section 11(d), који захтева да обрада буде “адекватна, релевантна, одговарајућа, неопходна и не претерана” — јединствена обједињена сагласност се сматра претераном када је раздвајање технички директно.
DPO и захтев за регистрацију
За контролоре изнад прага регистрације, именовање DPO-а је смислен оперативни захтев, а не само формалност. NPC је у неколико мера спровођења навео одсуство правилно именованог DPO-а, посебно у BPO и финтек секторима.
Прекогранични пренос (Section 21)
Оквир прекограничног преноса Закона је имплементиран кроз NPC Circular 16-02 о уговорима о ангажовању и шири принцип одговорности. Преноси примаоцима изван Филипина захтевају или одговарајуће уговорне заштите или специфичну сагласност. NPC је издао модел уговорних одредби; практично оперативно очекивање прати GDPR-ов Chapter V по суштини чак и тамо где се правни jezik разликује.
Приступ NPC-а спровођењу
NPC је био један од јавно активнијих органа за заштиту података у Југоисточној Азији. Три обрасца обликују његов приступ спровођењу.
Случајеви кршења великог профила
NPC је приоритизовао истраге кршења у великом обиму — цурење бирачког регистра COMELEC 2016. године као најзначајније — и користио те случајеве да постави очекивања за шири регулисани скуп. Јавне изјаве током истрага кршења често артикулишу захтеве који превазилазе строги законски текст.
BPO и финтек фокус
Филипини су међу највећим BPO и контакт-центар економијама у свету, и NPC је историјски фокусирао спровођење на ове секторе. За издаваче који управљају пословима подржаним огласима које циљају филипинске кориснике, регулаторна клима около публике је обликована BPO усклађеношћу чак и када сам издавач није у том сектору.
Координација са ASEAN регулаторима
NPC учествује у радном току ASEAN оквира за управљање подацима и одржава радне односе са Singapore PDPC, Thailand PDPC, новонасталим индонежанским органом и EU-овим EDPB. Прекограничне истраге које укључују филипински и европски саобраћај се све чешће воде кроз координисане поступке.
Практична контролна листа усклађености
Шест конкретних питања на која треба одговорити за сваки баnер колачића који опслужује филипински саобраћај.
- Да ли је контролор регистрован код NPC-а? Ако обрада прелази праг регистрације, потврдите да је NPC регистрација актуелна и да је именовање DPO-а евидентирано.
- Да ли постоји експлицитна одбијање на првом слоју? Путања одбијања мора бити на истој површини као и прихватање, са упоредивом истакнутошћу. Скроловање-као-сагласност не испуњава Саветодавно мишљење за 2024.
- Да ли су категорије гранулиране? Неопходне, аналитичке и маркетиншке морају бити засебно контролисане.
- Да ли је осетљиви подаци посебно ограђени? За сваки колачић који прикупља здравствене, финансијске или подобне владином ИД подацима, потврдите експлицитан opt-in различит од опште маркетиншке сагласности.
- Да ли су прекогранични преноси документовани? Идентификујте свако одредиште изван Филипина и заштиту која ауторизује пренос (уговорне одредбе, експлицитна сагласност или дерогација).
- Да ли је евидентирање сагласности на нивоу ревизије? Section 3(b) захтева да сагласност буде “потврђена писаним, електронским или снимљеним средствима” — евидентирање није опционо.
Место Филипина у вишејурисдикционом склопу
Филипини су међу четири оперативно најзначајнија ASEAN режима заштите података уз Сингапур, Тајланд и Индонезију. Година 2012. Закона значи да претходи GDPR-у, али NPC-ова модернизација вођена циркуларима је постепено ускладила оперативни стандард са европским нормама. За издаваче који граде ка пан-ASEAN операцијама, Филипини стоје уз остале три тржишта где CMP архитектура изграђена по европским стандардима обрађује главнину усклађености са два специфична додатка: NPC регистрација где се прагови примењују, и слој сагласности за осетљиве информације који разликује оквир Филипина од лабавијих регионалних алтернатива. Природа енглеског језика регулаторног оквира — неуобичајена у ASEAN-у — чини Филипине изванредно приступачном метом за усклађеност за офшор оператере без локалног правног саветника.