Guide till efterlevnad av PDPO för cookie-samtycke i Hong Kong för utgivare 2026

Hong Kongs Personal Data (Privacy) Ordinance (PDPO) är en av de äldsta heltäckande integritetslagstiftningarna i Asien, med ikraftträdande 1996. Under större delen av sin livstid intog PDPO en märklig position: strukturellt sund men evolverande långsamt genom tolkning snarare än ändring. Privacy Commissioner for Personal Data (PCPD) har varit den aktiva drivkraften bakom denna evolution och publicerat vägledningsdokument som successivt anpassat Hong Kongs operativa standard till europeiska normer, medan den underliggande lagstiftningen har förändrats mindre dramatiskt än i Singapore, Australien eller till och med Mainland China. 2021 års ändringar rörde specifikt doxning, men det bredare integritetsregelverket fortsätter att fungera under den ursprungliga PDPO-ramen tolkad genom nästan tre decennier av PCPD-vägledning. För utgivare och SaaS-operatörer som servar Hong Kong-trafik — en marknad som inkluderar en av Asiens största koncentrationer av finansiell verksamhet och en betydande andel av regional e-handel — är PDPO-efterlevnadsbilden 2026 en bild av en mogen tillsynsmyndighet, måttligt strikta standarder och ovanligt tydliga vägledningsdokument. Den här artikeln går igenom vad PDPO kräver, var PCPD har tillämpat ramverket på online-spårning och de operativa konsekvenserna för utformning av cookie-banners.

PDPO i sammandrag

PDPO är organiserat kring sex dataskyddsprinciper (DPP) som reglerar insamling, noggrannhet, lagring, användning, säkerhet och öppenhet av personuppgifter. Principerna föregår GDPR med nästan två decennier och använder något annorlunda terminologi, men de materiella standarderna har konvergerat genom tolkning. DPP1 (syfte och sätt för insamling), DPP3 (användning av personuppgifter) och DPP5 (allmänt tillgänglig information) är de principer som är mest direkt relevanta för online-spårning.

Förordningen gäller varje dataanvändare — Hong Kongs term för det som GDPR kallar personuppgiftsansvarig — som kontrollerar insamling, innehav, behandling eller användning av personuppgifter. Det territoriella tillämpningsområdet har varit ett omtvistat område: PDPO föregår extraterritoriella doktriner, och PCPD har historiskt sett intagit ett mer konservativt synsätt än EDPB när det gäller extraterritoriell verkställighet. I praktiken hävdar PCPD jurisdiktion över offshore-operatörer som riktar sig mot Hong Kong-invånare eller behandlar Hong Kong-data med tillräcklig anknytning, och operatörer som servar Hong Kong-trafik bör planera som om extraterritoriell räckvidd gäller.

Hur PDPO behandlar cookies och online-spårning

PDPO innehåller ingen cookie-specifik bestämmelse; samtyckes- och informationsskyldigheterna följer av DPP:erna och av PCPD:s 2022 Guidance Note om online-spårning och beteendebaserad annonsering. Vägledningen är ett av de tydligaste dokumenten om asiatisk cookie-efterlevnad och formulerar förväntningar som nära stämmer överens med EDPB Cookie Banner Taskforces ståndpunkt.

Aktivt samtycke för icke-nödvändig spårning

PCPD:s ståndpunkt är att samtycke måste vara uttryckligt för icke-nödvändig spårning. Underförstått samtycke, fortsatt användning och förkryssade rutor uppfyller inte DPP1:s krav på att vara specifikt och informerat när det tolkas i ett online-sammanhang. Vägledningsdokumentet namnger specifikt scroll-as-consent som ett defekt mönster.

Granulär kategorikontroll

Banners måste ge användaren möjlighet att acceptera och avvisa kategorier oberoende av varandra. Vägledningen behandlar en enkel Acceptera alla-knapp utan motsvarande avvisning som ett strukturellt fel och identifierar felmärkning av marknadsförings-cookies som strikt nödvändiga som ett separat brott.

Innehåll i integritetsmeddelande

DPP5 har historiskt sett varit en av de mest aktivt tillämpade principerna. Integritetsmeddelanden måste identifiera dataanvändaren, syftena, mottagarna (inklusive överföringsmottagare), rättighetsramverket enligt DPP6 (tillgång och rättelse) och en kontaktpunkt för förfrågningar. PCPD har uttryckligen klargjort att generiska mallmeddelanden inte uppfyller DPP5 — upplysningen måste återspegla den faktiska behandlingen.

Gränsöverskridande överföring (Section 33)

Section 33 i PDPO reglerar gränsöverskridande överföringar och har under större delen av förordningens historia varit det mest ovanliga inslaget i regelverket: paragrafen antogs 1995 men har aldrig satts i kraft av Sekreteraren. PCPD har ändå utfärdat modellklausuler och behandlar Section 33-liknande skyddsåtgärder som praktiskt taget obligatoriska för överföringar till jurisdiktioner utanför Hong Kong. Den rättsliga statusen är tvetydig — Section 33 är lag men inte operativ — men de operativa förväntningarna följer GDPR:s Chapter V.

PCPD:s tillsynsförhållningssätt

PCPD fungerar med en distinkt tillsynsstil som skiljer sig från större europeiska dataskyddsmyndigheter på tre observerbara sätt.

Frekvent användning av efterlevnadsutredningar

PCPD:s primära tillsynsverktyg är efterlevnadsutredningen, som kulminerar i ett tillsynsbeslut snarare än en bot. Besluten kräver åtgärdande inom en angiven tidsram och löses typiskt utan ekonomisk påföljd. Civilrättsliga sanktioner finns men har använts sparsamt.

Offentlig kommentar som tillsynssignal

PCPD publicerar detaljerade utredningsrapporter för uppmärksammade fall som fungerar som rättspraxis i avsaknad av prejudikatskapande böter. Operatörer läser dessa rapporter noggrant eftersom de formulerar specifika förväntningar som kanske inte framgår av formell vägledning.

Samordning med fastlandet

Gränsöverskridande utredningar som involverar Hong Kong- och Mainland China-dataflöden hanteras i allt högre grad genom samordnade förfaranden med Cyberspace Administration of China. PIPL:s extraterritoriella räckvidd och Hong Kongs position i det ekonomiska ramverket för Greater Bay Area gör denna samordning mer operativt betydelsefull än vad den skulle vara i de flesta jurisdiktioner.

En praktisk efterlevnadschecklista

Sex konkreta frågor att besvara för varje cookie-banner som servar Hong Kong-trafik.

Var Hong Kong passar i en multi-jurisdiktionell stack

Hong Kong är det mest mogna dataskyddsregelverket i Greater China och fungerar som den faktiska ingångspunkten för gränsöverskridande dataflöden mellan Mainland China och resten av världen. För utgivare som bygger mot pan-asiatisk verksamhet placerar sig PDPO bredvid Singapores PDPA, Japans APPI och Sydkoreas PIPA som de fyra operativt mest betydelsefulla asiatiska regelverken. PDPO är det mest tillåtande av de fyra på papper men det mest krävande gällande dokumentationskvalitet, eftersom PCPD:s utredningsdrivna verkställighet gör ett välskrivet integritetsmeddelande till den enskilt starkaste försvarslinjen. En CMP-arkitektur byggd enligt europeiska standarder hanterar merparten av Hong Kongs efterlevnad med två tillägg: Traditional Chinese språkstöd och dokumentationsmönstret för gränsöverskridande överföringar som Section 33 förutsätter även när det inte formellt är i kraft. För operatörer som servar Hong Kong från offshore är det praktiska förhållningssättet att behandla PCPD:s 2022 Guidance Note som det auktoritativa dokumentet och utforma mot dess specifika felmönster snarare än mot den äldre PDPO-texten ensam.

← Blogg Läs allt →