คู่มือการปฏิบัติตาม Data Privacy Act 2012 ของฟิลิปปินส์สำหรับการยินยอมคุกกี้สำหรับผู้เผยแพร่ในปี 2569
ฟิลิปปินส์ผ่าน Data Privacy Act ในปี 2555 สี่ปีก่อนที่ GDPR จะได้รับการรับรอง และในช่วงเวลาที่เขตอำนาจศาลส่วนใหญ่ในเอเชียยังคงดำเนินการโดยไม่มีกฎหมายความเป็นส่วนตัวที่ครอบคลุม Republic Act 10173 ได้จัดตั้ง National Privacy Commission (NPC) เป็นหน่วยงานอิสระและให้ประเทศมีกรอบงานสไตล์ GDPR ที่เก่าแก่ที่สุดแห่งหนึ่งในเอเชียตะวันออกเฉียงใต้ โครงสร้างของกฎหมายได้รับการดูแลรักษาอย่างยอดเยี่ยม หลักการหลัก ฐานทางกฎหมาย และกรอบสิทธิ์ต่างสอดคล้องกับมาตรฐานยุโรปอย่างชัดเจน แต่รายละเอียดการปฏิบัติงานได้รับการอัปเดตอย่างกว้างขวางผ่านหนังสือเวียนของ NPC แทนที่จะเป็นการแก้ไขกฎหมาย สำหรับผู้เผยแพร่และผู้ดำเนินการ SaaS ที่ให้บริการการจราจรของฟิลิปปินส์ นั่นหมายความว่ากฎหมายเองเป็นข้อความรัฐธรรมนูญระดับสูง แต่หนังสือเวียนของ NPC เกี่ยวกับการยินยอม การแจ้งเตือนการละเมิด การประมวลผลข้อมูลส่วนบุคคลที่ละเอียดอ่อน และ Advisory ปี 2567 เกี่ยวกับการติดตามออนไลน์คือที่ที่มาตรฐานการปฏิบัติงานอยู่จริง คู่มือนี้จะนำเสนอสิ่งที่กฎหมายกำหนด วิธีที่ NPC ตีความสำหรับการติดตามออนไลน์ และจุดที่งานปฏิบัติตามที่ปฏิบัติจริงต้องมุ่งเน้นในปี 2569
Data Privacy Act โดยสรุป
Data Privacy Act มีโครงสร้างรอบหลักการทั่วไปห้าข้อใน Section 11 ได้แก่ ความโปร่งใส วัตถุประสงค์ที่ถูกต้องตามกฎหมาย ความสมส่วน และการจัดการที่เหมาะสม และกรอบงานที่ละเอียดมากขึ้นสำหรับเกณฑ์การประมวลผลที่ถูกต้องตามกฎหมายใน Section 12 ฐานทางกฎหมายสะท้อน GDPR: การยินยอม สัญญา ภาระผูกพันทางกฎหมาย ผลประโยชน์สำคัญ หน้าที่สาธารณะ และผลประโยชน์ที่ถูกต้อง กฎหมายมีการบังคับใช้นอกอาณาเขตภายใต้ Section 6: ใช้กับการประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับพลเมืองหรือผู้อยู่อาศัยชาวฟิลิปปินส์โดยไม่คำนึงว่าผู้ควบคุมตั้งอยู่ที่ใด ครอบคลุมผู้เผยแพร่ออฟชอร์ที่ให้บริการการจราจรของฟิลิปปินส์
คุณลักษณะเชิงโครงสร้างสองประการมีความสำคัญในการปฏิบัติงาน ประการแรก กฎหมายแยกแยะ “ข้อมูลส่วนบุคคล” จาก “ข้อมูลส่วนบุคคลที่ละเอียดอ่อน” (Section 3 วรรค (g) และ (l)) และใช้กฎการประมวลผลที่เข้มงวดยิ่งขึ้นกับข้อมูลหลัง — ข้อมูลสุขภาพ การศึกษา การเงิน และเอกลักษณ์ที่ออกโดยรัฐบาลล้วนผ่านเกณฑ์เป็นข้อมูลละเอียดอ่อนภายใต้ Section 3(l) ประการที่สอง Section 21 กำหนดให้ผู้ควบคุมและผู้ประมวลผลข้อมูลส่วนบุคคลที่เกินเกณฑ์ที่กำหนดต้องลงทะเบียนกับ NPC และแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล NPC ได้ดำเนินคดีกับผู้ควบคุมที่ไม่ได้ลงทะเบียนอย่างจริงจัง
Data Privacy Act จัดการกับคุกกี้และการติดตามออนไลน์อย่างไร
กฎหมายไม่มีบทบัญญัติเฉพาะสำหรับคุกกี้ ภาระผูกพันในการยินยอมและข้อมูลมาจากมาตรา 11, 12 และ 16 ของกฎหมาย และจาก Advisory ปี 2567 ของ NPC เกี่ยวกับการติดตามออนไลน์และการโฆษณาตามพฤติกรรม Advisory เป็นเอกสารที่มีประโยชน์เพราะระบุความคาดหวังอย่างชัดเจนแทนที่จะปล่อยให้อนุมานจากกรอบงานทั่วไป
การยินยอมอย่างชัดแจ้งสำหรับการติดตามที่ไม่จำเป็น
จุดยืนของ NPC คือการยินยอมต้องให้อย่างเสรี เฉพาะเจาะจง มีข้อมูล และพิสูจน์ด้วยบันทึกที่เป็นลายลักษณ์อักษรหรือทางอิเล็กทรอนิกส์ Advisory ปี 2567 ปฏิเสธการเลื่อน-ดู-เป็นการยินยอมและการใช้งานต่อเนื่อง-เป็นการยินยอมว่าไม่ผ่านเกณฑ์ “เฉพาะเจาะจง” และ “มีข้อมูล” ของ Section 3(b) ช่องทำเครื่องหมายที่ทำเครื่องหมายไว้ล่วงหน้าถูกถือว่ามีข้อบกพร่องอย่างชัดเจน
การควบคุมหมวดหมู่แบบละเอียด
Advisory คาดหวังให้แบนเนอร์อนุญาตให้ผู้ใช้ยอมรับและปฏิเสธหมวดหมู่โดยอิสระ การยินยอมรวมที่รับทั้งหมดโดยไม่มีความละเอียดไม่ผ่านหลักการความสมส่วนภายใต้ Section 11(d) ซึ่งกำหนดให้การประมวลผลต้องเป็น “เหมาะสม เกี่ยวข้อง เหมาะสม จำเป็น และไม่มากเกินไป” การยินยอมรวมเดียวถูกถือว่ามากเกินไปเมื่อการแยกเป็นเรื่องง่ายทางเทคนิค
DPO และข้อกำหนดการลงทะเบียน
สำหรับผู้ควบคุมที่เกินเกณฑ์การลงทะเบียน การแต่งตั้ง DPO เป็นข้อกำหนดการปฏิบัติงานที่มีความหมาย ไม่ใช่แค่การทำเอกสาร NPC ได้อ้างถึงการขาดหาย DPO ที่ได้รับการแต่งตั้งอย่างถูกต้องในมาตรการบังคับใช้หลายรายการ โดยเฉพาะในภาคส่วน BPO และฟินเทค
การถ่ายโอนข้ามพรมแดน (Section 21)
กรอบการถ่ายโอนข้ามพรมแดนของกฎหมายถูกนำไปปฏิบัติผ่าน NPC Circular 16-02 เกี่ยวกับข้อตกลงการว่าจ้างและหลักการรับผิดชอบที่กว้างขึ้น การถ่ายโอนไปยังผู้รับที่ไม่ใช่ชาวฟิลิปปินส์ต้องมีการป้องกันตามสัญญาที่เหมาะสมหรือการยินยอมเฉพาะเจาะจง NPC ได้ออกบทบัญญัติสัญญาตัวอย่าง ความคาดหวังการปฏิบัติงานจริงติดตาม GDPR Chapter V ในสาระสำคัญแม้ว่าภาษาทางกฎหมายจะแตกต่างกัน
จุดยืนการบังคับใช้ของ NPC
NPC เป็นหนึ่งในหน่วยงานคุ้มครองข้อมูลที่มีความเคลื่อนไหวต่อสาธารณะมากที่สุดในเอเชียตะวันออกเฉียงใต้ รูปแบบสามประการกำหนดแนวทางการบังคับใช้
คดีการละเมิดที่มีชื่อเสียง
NPC ให้ความสำคัญกับการสอบสวนการละเมิดขนาดใหญ่ โดยการรั่วไหลของทะเบียนผู้มีสิทธิ์เลือกตั้งของ COMELEC ในปี 2559 เป็นที่น่าสังเกตมากที่สุด และใช้คดีเหล่านั้นกำหนดความคาดหวังสำหรับชุมชนที่ถูกควบคุมในวงกว้าง คำแถลงสาธารณะระหว่างการสอบสวนการละเมิดมักระบุข้อกำหนดที่เกินกว่าข้อความทางกฎหมายที่เคร่งครัด
มุ่งเน้น BPO และฟินเทค
ฟิลิปปินส์เป็นหนึ่งในเศรษฐกิจ BPO และศูนย์ติดต่อที่ใหญ่ที่สุดในโลก และ NPC มีประวัติมุ่งเน้นการบังคับใช้ในภาคส่วนเหล่านี้ สำหรับผู้เผยแพร่ที่ดำเนินธุรกิจที่สนับสนุนโฆษณาซึ่งกำหนดเป้าหมายผู้ใช้ชาวฟิลิปปินส์ สภาพแวดล้อมการกำกับดูแลรอบผู้ชมถูกกำหนดโดยจุดยืนการปฏิบัติตามของ BPO แม้ว่าผู้เผยแพร่เองจะไม่ได้อยู่ในภาคส่วนนั้น
การประสานงานกับหน่วยงานกำกับดูแล ASEAN
NPC เข้าร่วมในสายงาน ASEAN Data Management Framework และรักษาความสัมพันธ์การทำงานกับ Singapore PDPC, Thailand PDPC, หน่วยงานที่กำลังเติบโตของอินโดนีเซีย และ EDPB ของ EU การสอบสวนข้ามพรมแดนที่เกี่ยวข้องกับการจราจรของฟิลิปปินส์และยุโรปถูกจัดการผ่านขั้นตอนที่ประสานงานกันมากขึ้น
รายการตรวจสอบการปฏิบัติตามที่ปฏิบัติจริง
คำถามหกข้อที่เป็นรูปธรรมเพื่อตอบสำหรับแบนเนอร์คุกกี้ที่ให้บริการการจราจรของฟิลิปปินส์
- ผู้ควบคุมลงทะเบียนกับ NPC หรือไม่? หากการประมวลผลเกินเกณฑ์การลงทะเบียน ยืนยันว่าการลงทะเบียน NPC เป็นปัจจุบันและการแต่งตั้ง DPO อยู่ในแฟ้ม
- มีการปฏิเสธอย่างชัดเจนในชั้นแรกหรือไม่? เส้นทางการปฏิเสธต้องอยู่บนพื้นผิวเดียวกับการยอมรับด้วยความโดดเด่นที่เทียบเคียงได้ การเลื่อน-ดู-เป็นการยินยอมไม่ผ่าน Advisory ปี 2567
- หมวดหมู่มีความละเอียดหรือไม่? จำเป็น การวิเคราะห์ และการตลาดต้องควบคุมได้แยกกัน
- ข้อมูลละเอียดอ่อนถูกล็อคอย่างเฉพาะเจาะจงหรือไม่? สำหรับคุกกี้ที่รวบรวมข้อมูลสุขภาพ การเงิน หรือที่คล้ายกับ ID ของรัฐ ยืนยัน opt-in อย่างชัดแจ้งที่แตกต่างจากการยินยอมทางการตลาดทั่วไป
- การถ่ายโอนข้ามพรมแดนได้รับการบันทึกหรือไม่? ระบุแต่ละปลายทางที่ไม่ใช่ฟิลิปปินส์และการป้องกันที่อนุญาตการถ่ายโอน (บทบัญญัติสัญญา การยินยอมอย่างชัดเจน หรือการยกเว้น)
- การบันทึกการยินยอมอยู่ในระดับการตรวจสอบหรือไม่? Section 3(b) กำหนดให้การยินยอม “ได้รับการพิสูจน์ด้วยวิธีการที่เป็นลายลักษณ์อักษร อิเล็กทรอนิกส์ หรือบันทึกไว้” การบันทึกไม่ใช่ตัวเลือก
ที่ที่ฟิลิปปินส์อยู่ในกลุ่มหลายเขตอำนาจศาล
ฟิลิปปินส์เป็นหนึ่งในสี่ระบอบการคุ้มครองข้อมูล ASEAN ที่มีผลสำคัญในการปฏิบัติงานมากที่สุดร่วมกับสิงคโปร์ ไทย และอินโดนีเซีย วินเทจปี 2555 ของกฎหมายหมายความว่ามาก่อน GDPR แต่การปรับปรุงที่ขับเคลื่อนโดยหนังสือเวียนของ NPC ได้ค่อยๆ ปรับมาตรฐานการปฏิบัติงานให้สอดคล้องกับบรรทัดฐานของยุโรป สำหรับผู้เผยแพร่ที่สร้างมุ่งสู่การดำเนินงาน pan-ASEAN ฟิลิปปินส์อยู่ร่วมกับสามแห่งอื่นๆ เป็นตลาดที่สถาปัตยกรรม CMP ที่สร้างตามมาตรฐานยุโรปจัดการการปฏิบัติตามส่วนใหญ่ด้วยสองส่วนเพิ่มเติมเฉพาะ: การลงทะเบียน NPC ที่เกณฑ์ใช้ และชั้นการยินยอมข้อมูลละเอียดอ่อนที่แยกแยะกรอบงานของฟิลิปปินส์จากทางเลือกระดับภูมิภาคที่หย่อนยาน ลักษณะภาษาอังกฤษของกรอบงานการกำกับดูแล ซึ่งไม่ปกติใน ASEAN ทำให้ฟิลิปปินส์เป็นเป้าหมายการปฏิบัติตามที่เข้าถึงได้ผิดปกติสำหรับผู้ดำเนินการออฟชอร์ที่ไม่มีที่ปรึกษากฎหมายท้องถิ่น