Yayıncılar için 2026'da Filipinler Veri Gizliliği Yasası 2012 Çerez Onayı Uyumluluk Rehberi

Filipinler, GDPR'ın kabul edilmesinden dört yıl önce ve çoğu Asya yargı bölgesinin kapsamlı gizlilik mevzuatı olmadan faaliyet gösterdiği bir dönemde 2012 yılında Data Privacy Act'i kabul etti. Republic Act 10173, National Privacy Commission (NPC)'yi bağımsız bir organ olarak kurdu ve ülkeye Güneydoğu Asya'daki ilk GDPR tarzı çerçevelerden birini kazandırdı. Yasanın yapısı olağanüstü biçimde ayakta kaldı — temel ilkeleri, yasal dayanakları ve haklar çerçevesi hepsi Avrupa standardıyla düzgün bir şekilde örtüşüyor — ancak operasyonel ayrıntılar, yasal değişiklikler yerine NPC sirkülleri aracılığıyla kapsamlı biçimde güncellendi. Filipin trafiğine hizmet veren yayıncılar ve SaaS operatörleri için bu, Yasanın kendisinin üst düzey anayasal metin olduğu, ancak onay, ihlal bildirimi, hassas kişisel bilgilerin işlenmesi ve Çevrimiçi Takip hakkındaki 2024 Tavsiyesi konularındaki NPC sirküllerin operasyonel standartların gerçekte yaşadığı yerler olduğu anlamına gelir. Bu rehber, Yasanın ne gerektirdiğini, NPC'nin bunu çevrimiçi takip için nasıl yorumladığını ve 2026'da pratik uyumluluk çalışmalarının nereye odaklanması gerektiğini ele almaktadır.

Data Privacy Act'e Genel Bakış

Data Privacy Act, Section 11'deki beş genel ilke etrafında yapılandırılmıştır — şeffaflık, meşru amaç, orantılılık ve uygun işleme — ve Section 12'deki yasal işleme kriterleri için daha ayrıntılı bir çerçeve. Yasal dayanaklar GDPR'ı yansıtmaktadır: onay, sözleşme, yasal yükümlülük, hayati çıkarlar, kamu işlevi ve meşru çıkar. Yasa, Section 6 kapsamında toprak dışı bir kapsama sahiptir: denetleyicinin nerede kurulu olduğundan bağımsız olarak bir Filipinli vatandaş veya sakin hakkındaki kişisel bilgilerin işlenmesi için geçerlidir ve Filipin trafiğine hizmet eden offshore yayıncıları kapsar.

İki yapısal özelliğin operasyonel önemi vardır. Birincisi, Yasa “kişisel bilgi” ile “hassas kişisel bilgi” arasında ayrım yapar (Section 3, paragraflar (g) ve (l)) ve ikincisine daha katı işleme kuralları uygular — sağlık, eğitim, finansal bilgi ve devlet tarafından verilen tanımlayıcılar Section 3(l) kapsamında hassas olarak nitelendirilir. İkincisi, Section 21, belirtilen eşiklerin üzerindeki kişisel bilgi denetleyicileri ve işleyicilerinin NPC'ye kayıt olmasını ve bir Veri Koruma Görevlisi atamasını zorunlu kılmaktadır. NPC, kayıtsız denetleyicileri aktif olarak takip etmiştir.

Data Privacy Act Çerezleri ve Çevrimiçi Takibi Nasıl Ele Alır

Yasa, çerez'e özgü bir hüküm içermez. Onay ve bilgi yükümlülükleri, Yasanın 11, 12 ve 16. Bölümlerinden ve NPC'nin Çevrimiçi Takip ve Davranışsal Reklamcılık hakkındaki 2024 Tavsiyesi'nden kaynaklanmaktadır. Tavsiye, beklentileri genel çerçeveden çıkarımla bırakmak yerine açıkça ifade ettiği için yararlı bir belgedir.

Zorunlu olmayan takip için onaylayıcı onay

NPC'nin tutumu, onayın özgürce verilmesi, belirli, bilgilendirilmiş olması ve yazılı veya elektronik bir kayıtla kanıtlanması gerektiğidir. 2024 Tavsiyesi, kaydırma-onay-olarak ve kullanımı-sürdürme-onay-olarak yaklaşımlarını Section 3(b)'nin “belirli” ve “bilgilendirilmiş” koşullarını karşılamamak olarak reddeder. Önceden işaretlenmiş kutular açıkça kusurlu olarak değerlendirilmektedir.

Ayrıntılı kategori kontrolleri

Tavsiye, bannerların kullanıcının kategorileri bağımsız olarak kabul etmesine ve reddetmesine izin vermesini bekler. Ayrıntısız toplu tümünü-kabul et onayı, Section 11(d) kapsamındaki orantılılık ilkesini karşılamamaktadır; bu ilke işlemenin “yeterli, ilgili, uygun, gerekli ve aşırı olmayan” olmasını gerektirir — ayrım teknik açıdan basit olduğunda tek bir toplu onay aşırı olarak değerlendirilir.

DPO ve kayıt zorunluluğu

Kayıt eşiğinin üzerindeki denetleyiciler için DPO ataması, bir kağıt egzersizi değil, anlamlı bir operasyonel gereklilik'tir. NPC, özellikle BPO ve fintech sektörlerinde birkaç uygulama işleminde usulüne uygun atanmış bir DPO'nun yokluğunu gerekçe olarak göstermiştir.

Sınır ötesi transfer (Section 21)

Yasanın sınır ötesi çerçevesi, NPC Circular 16-02 kapsamında Dış Kaynak Sözleşmeleri ve daha geniş sorumluluk ilkesi aracılığıyla uygulanmaktadır. Filipinler dışındaki alıcılara yapılan transferler, ya uygun sözleşmeli güvenceleri ya da belirli onayı gerektirir. NPC, model sözleşme hükümleri yayımlamıştır; pratik operasyonel beklenti, hukuki dil farklı olsa bile özde GDPR'ın Chapter V'ini takip eder.

NPC'nin Uygulama Tutumu

NPC, Güneydoğu Asya'nın en kamuoyu önünde aktif veri koruma otoritelerinden biri olmuştur. Üç örüntü, uygulama yaklaşımını şekillendirir.

Yüksek görünürlüklü ihlal vakaları

NPC, büyük ölçekli ihlal soruşturmalarına öncelik vermiş — en önemli olanı 2016 COMELEC seçmen kütüğü sızıntısı — ve bu vakaları daha geniş düzenlenmiş topluluk için beklentileri belirlemek amacıyla kullanmıştır. İhlal soruşturmaları sırasındaki kamuoyu açıklamaları, sıklıkla katı yasal metni aşan gereksinimleri dile getirmektedir.

BPO ve fintech odağı

Filipinler, dünyanın en büyük BPO ve çağrı merkezi ekonomilerinden biridir ve NPC, tarihsel olarak uygulamayı bu sektörlere odaklamıştır. Filipinli kullanıcıları hedefleyen reklam destekli işletmeler yürüten yayıncılar için, yayıncının kendisi o sektörde olmasa bile izleyici çevresindeki düzenleyici iklim BPO uyumluluk tutumu tarafından şekillendirilmektedir.

ASEAN düzenleyicileriyle koordinasyon

NPC, ASEAN Veri Yönetimi Çerçevesi çalışma akışına katılmakta ve Singapore PDPC, Thailand PDPC, Endonezya'nın gelişmekte olan otoritesi ve EU'nun EDPB'si ile çalışma ilişkileri sürdürmektedir. Filipin ve Avrupa trafiğini içeren sınır ötesi soruşturmalar, giderek artan biçimde koordineli prosedürler aracılığıyla yürütülmektedir.

Pratik Uyumluluk Kontrol Listesi

Filipin trafiğine hizmet veren her çerez bannerı için yanıtlanması gereken altı somut soru.

Filipinler'in Çok Yargı Bölgeli Bir Yapıdaki Yeri

Filipinler, Singapur, Tayland ve Endonezya ile birlikte dört operasyonel açıdan en önemli ASEAN veri koruma rejiminden biridir. Yasanın 2012 tarihi, GDPR'dan önce geldiği anlamına gelir, ancak NPC'nin sirkülle yürütülen modernizasyonu, operasyonel standardı Avrupa normlarıyla giderek daha fazla hizalamıştır. Pan-ASEAN operasyonlarına yönelik oluşturan yayıncılar için Filipinler, Avrupa standartlarına göre inşa edilmiş bir CMP mimarisinin iki özgün ek ile uyumluluğun büyük bölümünü ele aldığı bir pazar olarak diğer üçünün yanında yer almaktadır: eşiklerin geçerli olduğu durumlarda NPC kaydı ve Filipinler çerçevesini daha gevşek bölgesel alternatiflerden ayıran hassas bilgi onay katmanı. Düzenleyici çerçevenin İngilizce niteliği — ASEAN'da alışılmadık — Filipinler'i yerel danışmanlara sahip olmayan offshore operatörler için olağandışı biçimde erişilebilir bir uyumluluk hedefi yapar.

← Blog Tümünü Oku →