คู่มือการปฏิบัติตาม Data Privacy Act 2012 ของฟิลิปปินส์สำหรับการยินยอมคุกกี้สำหรับผู้เผยแพร่ในปี 2569

ฟิลิปปินส์ผ่าน Data Privacy Act ในปี 2555 สี่ปีก่อนที่ GDPR จะได้รับการรับรอง และในช่วงเวลาที่เขตอำนาจศาลส่วนใหญ่ในเอเชียยังคงดำเนินการโดยไม่มีกฎหมายความเป็นส่วนตัวที่ครอบคลุม Republic Act 10173 ได้จัดตั้ง National Privacy Commission (NPC) เป็นหน่วยงานอิสระและให้ประเทศมีกรอบงานสไตล์ GDPR ที่เก่าแก่ที่สุดแห่งหนึ่งในเอเชียตะวันออกเฉียงใต้ โครงสร้างของกฎหมายได้รับการดูแลรักษาอย่างยอดเยี่ยม หลักการหลัก ฐานทางกฎหมาย และกรอบสิทธิ์ต่างสอดคล้องกับมาตรฐานยุโรปอย่างชัดเจน แต่รายละเอียดการปฏิบัติงานได้รับการอัปเดตอย่างกว้างขวางผ่านหนังสือเวียนของ NPC แทนที่จะเป็นการแก้ไขกฎหมาย สำหรับผู้เผยแพร่และผู้ดำเนินการ SaaS ที่ให้บริการการจราจรของฟิลิปปินส์ นั่นหมายความว่ากฎหมายเองเป็นข้อความรัฐธรรมนูญระดับสูง แต่หนังสือเวียนของ NPC เกี่ยวกับการยินยอม การแจ้งเตือนการละเมิด การประมวลผลข้อมูลส่วนบุคคลที่ละเอียดอ่อน และ Advisory ปี 2567 เกี่ยวกับการติดตามออนไลน์คือที่ที่มาตรฐานการปฏิบัติงานอยู่จริง คู่มือนี้จะนำเสนอสิ่งที่กฎหมายกำหนด วิธีที่ NPC ตีความสำหรับการติดตามออนไลน์ และจุดที่งานปฏิบัติตามที่ปฏิบัติจริงต้องมุ่งเน้นในปี 2569

Data Privacy Act โดยสรุป

Data Privacy Act มีโครงสร้างรอบหลักการทั่วไปห้าข้อใน Section 11 ได้แก่ ความโปร่งใส วัตถุประสงค์ที่ถูกต้องตามกฎหมาย ความสมส่วน และการจัดการที่เหมาะสม และกรอบงานที่ละเอียดมากขึ้นสำหรับเกณฑ์การประมวลผลที่ถูกต้องตามกฎหมายใน Section 12 ฐานทางกฎหมายสะท้อน GDPR: การยินยอม สัญญา ภาระผูกพันทางกฎหมาย ผลประโยชน์สำคัญ หน้าที่สาธารณะ และผลประโยชน์ที่ถูกต้อง กฎหมายมีการบังคับใช้นอกอาณาเขตภายใต้ Section 6: ใช้กับการประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับพลเมืองหรือผู้อยู่อาศัยชาวฟิลิปปินส์โดยไม่คำนึงว่าผู้ควบคุมตั้งอยู่ที่ใด ครอบคลุมผู้เผยแพร่ออฟชอร์ที่ให้บริการการจราจรของฟิลิปปินส์

คุณลักษณะเชิงโครงสร้างสองประการมีความสำคัญในการปฏิบัติงาน ประการแรก กฎหมายแยกแยะ “ข้อมูลส่วนบุคคล” จาก “ข้อมูลส่วนบุคคลที่ละเอียดอ่อน” (Section 3 วรรค (g) และ (l)) และใช้กฎการประมวลผลที่เข้มงวดยิ่งขึ้นกับข้อมูลหลัง — ข้อมูลสุขภาพ การศึกษา การเงิน และเอกลักษณ์ที่ออกโดยรัฐบาลล้วนผ่านเกณฑ์เป็นข้อมูลละเอียดอ่อนภายใต้ Section 3(l) ประการที่สอง Section 21 กำหนดให้ผู้ควบคุมและผู้ประมวลผลข้อมูลส่วนบุคคลที่เกินเกณฑ์ที่กำหนดต้องลงทะเบียนกับ NPC และแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล NPC ได้ดำเนินคดีกับผู้ควบคุมที่ไม่ได้ลงทะเบียนอย่างจริงจัง

Data Privacy Act จัดการกับคุกกี้และการติดตามออนไลน์อย่างไร

กฎหมายไม่มีบทบัญญัติเฉพาะสำหรับคุกกี้ ภาระผูกพันในการยินยอมและข้อมูลมาจากมาตรา 11, 12 และ 16 ของกฎหมาย และจาก Advisory ปี 2567 ของ NPC เกี่ยวกับการติดตามออนไลน์และการโฆษณาตามพฤติกรรม Advisory เป็นเอกสารที่มีประโยชน์เพราะระบุความคาดหวังอย่างชัดเจนแทนที่จะปล่อยให้อนุมานจากกรอบงานทั่วไป

การยินยอมอย่างชัดแจ้งสำหรับการติดตามที่ไม่จำเป็น

จุดยืนของ NPC คือการยินยอมต้องให้อย่างเสรี เฉพาะเจาะจง มีข้อมูล และพิสูจน์ด้วยบันทึกที่เป็นลายลักษณ์อักษรหรือทางอิเล็กทรอนิกส์ Advisory ปี 2567 ปฏิเสธการเลื่อน-ดู-เป็นการยินยอมและการใช้งานต่อเนื่อง-เป็นการยินยอมว่าไม่ผ่านเกณฑ์ “เฉพาะเจาะจง” และ “มีข้อมูล” ของ Section 3(b) ช่องทำเครื่องหมายที่ทำเครื่องหมายไว้ล่วงหน้าถูกถือว่ามีข้อบกพร่องอย่างชัดเจน

การควบคุมหมวดหมู่แบบละเอียด

Advisory คาดหวังให้แบนเนอร์อนุญาตให้ผู้ใช้ยอมรับและปฏิเสธหมวดหมู่โดยอิสระ การยินยอมรวมที่รับทั้งหมดโดยไม่มีความละเอียดไม่ผ่านหลักการความสมส่วนภายใต้ Section 11(d) ซึ่งกำหนดให้การประมวลผลต้องเป็น “เหมาะสม เกี่ยวข้อง เหมาะสม จำเป็น และไม่มากเกินไป” การยินยอมรวมเดียวถูกถือว่ามากเกินไปเมื่อการแยกเป็นเรื่องง่ายทางเทคนิค

DPO และข้อกำหนดการลงทะเบียน

สำหรับผู้ควบคุมที่เกินเกณฑ์การลงทะเบียน การแต่งตั้ง DPO เป็นข้อกำหนดการปฏิบัติงานที่มีความหมาย ไม่ใช่แค่การทำเอกสาร NPC ได้อ้างถึงการขาดหาย DPO ที่ได้รับการแต่งตั้งอย่างถูกต้องในมาตรการบังคับใช้หลายรายการ โดยเฉพาะในภาคส่วน BPO และฟินเทค

การถ่ายโอนข้ามพรมแดน (Section 21)

กรอบการถ่ายโอนข้ามพรมแดนของกฎหมายถูกนำไปปฏิบัติผ่าน NPC Circular 16-02 เกี่ยวกับข้อตกลงการว่าจ้างและหลักการรับผิดชอบที่กว้างขึ้น การถ่ายโอนไปยังผู้รับที่ไม่ใช่ชาวฟิลิปปินส์ต้องมีการป้องกันตามสัญญาที่เหมาะสมหรือการยินยอมเฉพาะเจาะจง NPC ได้ออกบทบัญญัติสัญญาตัวอย่าง ความคาดหวังการปฏิบัติงานจริงติดตาม GDPR Chapter V ในสาระสำคัญแม้ว่าภาษาทางกฎหมายจะแตกต่างกัน

จุดยืนการบังคับใช้ของ NPC

NPC เป็นหนึ่งในหน่วยงานคุ้มครองข้อมูลที่มีความเคลื่อนไหวต่อสาธารณะมากที่สุดในเอเชียตะวันออกเฉียงใต้ รูปแบบสามประการกำหนดแนวทางการบังคับใช้

คดีการละเมิดที่มีชื่อเสียง

NPC ให้ความสำคัญกับการสอบสวนการละเมิดขนาดใหญ่ โดยการรั่วไหลของทะเบียนผู้มีสิทธิ์เลือกตั้งของ COMELEC ในปี 2559 เป็นที่น่าสังเกตมากที่สุด และใช้คดีเหล่านั้นกำหนดความคาดหวังสำหรับชุมชนที่ถูกควบคุมในวงกว้าง คำแถลงสาธารณะระหว่างการสอบสวนการละเมิดมักระบุข้อกำหนดที่เกินกว่าข้อความทางกฎหมายที่เคร่งครัด

มุ่งเน้น BPO และฟินเทค

ฟิลิปปินส์เป็นหนึ่งในเศรษฐกิจ BPO และศูนย์ติดต่อที่ใหญ่ที่สุดในโลก และ NPC มีประวัติมุ่งเน้นการบังคับใช้ในภาคส่วนเหล่านี้ สำหรับผู้เผยแพร่ที่ดำเนินธุรกิจที่สนับสนุนโฆษณาซึ่งกำหนดเป้าหมายผู้ใช้ชาวฟิลิปปินส์ สภาพแวดล้อมการกำกับดูแลรอบผู้ชมถูกกำหนดโดยจุดยืนการปฏิบัติตามของ BPO แม้ว่าผู้เผยแพร่เองจะไม่ได้อยู่ในภาคส่วนนั้น

การประสานงานกับหน่วยงานกำกับดูแล ASEAN

NPC เข้าร่วมในสายงาน ASEAN Data Management Framework และรักษาความสัมพันธ์การทำงานกับ Singapore PDPC, Thailand PDPC, หน่วยงานที่กำลังเติบโตของอินโดนีเซีย และ EDPB ของ EU การสอบสวนข้ามพรมแดนที่เกี่ยวข้องกับการจราจรของฟิลิปปินส์และยุโรปถูกจัดการผ่านขั้นตอนที่ประสานงานกันมากขึ้น

รายการตรวจสอบการปฏิบัติตามที่ปฏิบัติจริง

คำถามหกข้อที่เป็นรูปธรรมเพื่อตอบสำหรับแบนเนอร์คุกกี้ที่ให้บริการการจราจรของฟิลิปปินส์

ที่ที่ฟิลิปปินส์อยู่ในกลุ่มหลายเขตอำนาจศาล

ฟิลิปปินส์เป็นหนึ่งในสี่ระบอบการคุ้มครองข้อมูล ASEAN ที่มีผลสำคัญในการปฏิบัติงานมากที่สุดร่วมกับสิงคโปร์ ไทย และอินโดนีเซีย วินเทจปี 2555 ของกฎหมายหมายความว่ามาก่อน GDPR แต่การปรับปรุงที่ขับเคลื่อนโดยหนังสือเวียนของ NPC ได้ค่อยๆ ปรับมาตรฐานการปฏิบัติงานให้สอดคล้องกับบรรทัดฐานของยุโรป สำหรับผู้เผยแพร่ที่สร้างมุ่งสู่การดำเนินงาน pan-ASEAN ฟิลิปปินส์อยู่ร่วมกับสามแห่งอื่นๆ เป็นตลาดที่สถาปัตยกรรม CMP ที่สร้างตามมาตรฐานยุโรปจัดการการปฏิบัติตามส่วนใหญ่ด้วยสองส่วนเพิ่มเติมเฉพาะ: การลงทะเบียน NPC ที่เกณฑ์ใช้ และชั้นการยินยอมข้อมูลละเอียดอ่อนที่แยกแยะกรอบงานของฟิลิปปินส์จากทางเลือกระดับภูมิภาคที่หย่อนยาน ลักษณะภาษาอังกฤษของกรอบงานการกำกับดูแล ซึ่งไม่ปกติใน ASEAN ทำให้ฟิลิปปินส์เป็นเป้าหมายการปฏิบัติตามที่เข้าถึงได้ผิดปกติสำหรับผู้ดำเนินการออฟชอร์ที่ไม่มีที่ปรึกษากฎหมายท้องถิ่น

← บล็อก อ่านทั้งหมด →