Efterlevnadsguide för Data Privacy Act 2012 på Filippinerna för Cookie-samtycke för Utgivare 2026

Filippinerna antog Data Privacy Act 2012, fyra år innan GDPR antogs och vid en tidpunkt då de flesta asiatiska jurisdiktioner fortfarande fungerade utan heltäckande integritetslagstiftning. Republic Act 10173 skapade National Privacy Commission (NPC) som ett oberoende organ och gav landet ett av de tidiga GDPR-liknande ramverken i Sydostasien. Lagens struktur har stått sig anmärkningsvärt väl — dess grundläggande principer, rättsliga grunder och rättighetsramverk avbildas alla tydligt mot den europeiska standarden — men de operativa detaljerna har uppdaterats i stor utsträckning genom NPC-cirkulär snarare än genom lagstiftningsändringar. För utgivare och SaaS-operatörer som betjänar filippinskt trafik innebär det att lagen själv är den övergripande konstitutionella texten, men NPC:s cirkulär om samtycke, dataintrångsanmälan, behandling av känsliga personuppgifter och 2024 Advisory om onlinespårning är där de operativa standarderna faktiskt lever. Denna guide går igenom vad lagen kräver, hur NPC har tolkat den för onlinespårning och var det praktiska efterlevnadsarbetet behöver fokusera 2026.

Data Privacy Act i korthet

Data Privacy Act är strukturerad kring fem allmänna principer i Section 11 — transparens, legitimt ändamål, proportionalitet och korrekt hantering — och ett mer detaljerat ramverk för kriterierna för laglig behandling i Section 12. De rättsliga grunderna speglar GDPR: samtycke, avtal, rättslig förpliktelse, vitala intressen, allmän funktion och legitimt intresse. Lagen har extraterritoriell räckvidd enligt Section 6: den gäller behandling av personuppgifter om en filippinsk medborgare eller bosatt oavsett var den personuppgiftsansvarige är etablerad, vilket fångar upp offshore-utgivare som betjänar filippinskt trafik.

Två strukturella egenskaper är operativt viktiga. För det första skiljer lagen på “personuppgifter” och “känsliga personuppgifter” (Section 3, paragraferna (g) och (l)) och tillämpar strängare behandlingsregler för de senare — hälsa, utbildning, finansiell information och statligt utfärdade identifierare kvalificerar alla som känsliga enligt Section 3(l). För det andra kräver Section 21 att personuppgiftsansvariga och personuppgiftsbiträden över specificerade trösklar registrerar sig hos NPC och utser ett dataskyddsombud. NPC har aktivt tagit itu med oregistrerade personuppgiftsansvariga.

Hur Data Privacy Act behandlar cookies och onlinespårning

Lagen innehåller ingen cookie-specifik bestämmelse. Samtyckes- och informationsskyldigheterna flödar från Sektionerna 11, 12 och 16 i lagen och från NPC:s 2024 Advisory om onlinespårning och beteendebaserad reklam. Advisory:n är ett användbart dokument eftersom det uttrycker förväntningar explicit snarare än att lämna dem till slutledning från det allmänna ramverket.

Bekräftande samtycke för icke-nödvändig spårning

NPC:s ståndpunkt är att samtycke måste vara frivilligt, specifikt, informerat och styrkt med en skriftlig eller elektronisk post. 2024 Advisory avvisar scroll-som-samtycke och fortsatt-användning-som-samtycke som misslyckanden med “specifika” och “informerade” kraven i Section 3(b). Förkryssade rutor behandlas uttryckligen som defekta.

Granulär kategorikontroll

Advisory:n förväntar sig att banners låter användaren acceptera och avvisa kategorier oberoende av varandra. Samlad godkänn-allt utan granularitet misslyckas med proportionalitetsprincipen enligt Section 11(d), som kräver att behandlingen ska vara “adekvat, relevant, lämplig, nödvändig och inte överdriven” — ett enda samlat samtycke behandlas som överdrivet när separation är tekniskt okomplicerat.

DPO och registreringskravet

För personuppgiftsansvariga över registreringströsklarna är utnämningen av DPO ett meningsfullt operativt krav, inte en pappersexercis. NPC har åberopat avsaknaden av ett korrekt utnämnt DPO i flera efterlevnadsåtgärder, särskilt inom BPO- och fintechsektorerna.

Gränsöverskridande överföring (Section 21)

Lagens gränsöverskridande ramverk implementeras genom NPC Circular 16-02 om outsourcingavtal och den bredare ansvarsprincipen. Överföringar till icke-filippinska mottagare kräver antingen lämpliga avtalsbaserade skyddsåtgärder eller specifikt samtycke. NPC har utfärdat modell avtalsmässiga bestämmelser; den praktiska operativa förväntningen spårar GDPR:s Chapter V i sak även där det juridiska språket skiljer sig.

NPC:s efterlevnadshållning

NPC har varit en av de mer offentligt aktiva dataskyddsmyndigheterna i Sydostasien. Tre mönster formar dess efterlevnadsmetod.

Högt synliga intrångsfall

NPC har prioriterat storskaliga intrångsutredningar — läckan av COMELEC-väljarregistret 2016 som den mest konsekventa — och använt dessa fall för att fastställa förväntningar för det bredare reglerade samfundet. Offentliga uttalanden under intrångsutredningar formulerar ofta krav som går utöver den strikta lagstadgade texten.

BPO och fintech-fokus

Filippinerna är en av de största BPO- och kontaktcenterekonomerna i världen, och NPC har historiskt sett fokuserat efterlevnad på dessa sektorer. För utgivare som driver annonsfinansierade verksamheter riktade mot filippinska användare formas det regulatoriska klimatet kring publiken av BPO-efterlevnadshållningen även när utgivaren själv inte är i den sektorn.

Samordning med ASEAN-tillsynsmyndigheter

NPC deltar i ASEAN Data Management Framework-arbetsströmmen och upprätthåller arbetsrelationer med Singapore PDPC, Thailand PDPC, Indonesiens framväxande myndighet och EU:s EDPB. Gränsöverskridande utredningar som involverar filippinsk och europeisk trafik hanteras i allt högre grad genom samordnade förfaranden.

Praktisk efterlevnadschecklista

Sex konkreta frågor att besvara för varje cookie-banner som betjänar filippinskt trafik.

Filippinernas plats i ett flerjurisdiktionellt sammanhang

Filippinerna är ett av de fyra operativt mest konsekventa ASEAN-dataskyddsregimerna vid sidan av Singapore, Thailand och Indonesien. Lagens årgång 2012 innebär att den föregår GDPR, men NPC:s cirkulärdrivna modernisering har stadigt anpassat den operativa standarden till europeiska normer. För utgivare som bygger mot pan-ASEAN-verksamhet ligger Filippinerna sida vid sida med de andra tre som en marknad där en CMP-arkitektur byggd enligt europeiska standarder hanterar huvuddelen av efterlevnaden med två specifika tillägg: NPC-registrering där trösklar gäller, och samtyckesnivån för känsliga uppgifter som skiljer Filippinernas ramverk från lösare regionala alternativ. Det engelska regelverkets karaktär — ovanlig i ASEAN — gör Filippinerna till ett ovanligt tillgängligt efterlevnadsmål för offshore-operatörer som inte har lokal juridisk rådgivare.

← Blogg Läs allt →