Посібник зі відповідності Data Privacy Act 2012 Філіппін щодо згоди на файли cookie для видавців у 2026 році

Філіппіни прийняли Data Privacy Act у 2012 році — за чотири роки до ухвалення GDPR і в той час, коли більшість азійських юрисдикцій ще не мали комплексного законодавства про конфіденційність. Republic Act 10173 заснував National Privacy Commission (NPC) як незалежний орган і надав країні одну з перших структур у стилі GDPR у Південно-Східній Азії. Структура Закону витримала напрочуд добре — його основні принципи, правові підстави та права всі чітко відображаються на Європейському стандарті — але операційні деталі були ретельно оновлені через циркуляри NPC, а не через законодавчі поправки. Для видавців та операторів SaaS, які обслуговують філіппінський трафік, це означає, що сам Закон є конституційним текстом високого рівня, але циркуляри NPC щодо згоди, повідомлення про порушення, обробки конфіденційної персональної інформації та Рекомендації 2024 року щодо онлайн-відстеження — це місце, де насправді живуть операційні стандарти. Цей посібник розкриває вимоги Закону, як NPC їх тлумачив для онлайн-відстеження, і де практична робота із забезпечення відповідності має зосередитися у 2026 році.

Data Privacy Act у загальних рисах

Data Privacy Act структурований навколо п’яти загальних принципів у Section 11 — прозорість, законна мета, пропорційність та належне поводження — і більш детальної структури критеріїв законної обробки у Section 12. Правові підстави відображають GDPR: згода, договір, юридичне зобов’язання, життєво важливі інтереси, публічна функція та законний інтерес. Закон має екстериторіальну дію відповідно до Section 6: він застосовується до обробки персональних даних про громадянина або резидента Філіппін незалежно від місця реєстрації контролера, охоплюючи офшорних видавців, що обслуговують філіппінський трафік.

Дві структурні особливості мають операційне значення. По-перше, Закон розрізняє “персональні дані” та “конфіденційні персональні дані” (Section 3, параграфи (g) та (l)) і застосовує суворіші правила обробки до останніх — здоров’я, освіта, фінансова інформація та ідентифікатори, видані урядом, кваліфікуються як конфіденційні відповідно до Section 3(l). По-друге, Section 21 вимагає від контролерів та обробників персональних даних, що перевищують встановлені пороги, реєструватися в NPC та призначати відповідального за захист даних. NPC активно переслідує незареєстрованих контролерів.

Як Data Privacy Act регулює файли cookie та онлайн-відстеження

Закон не містить положень, специфічних для файлів cookie. Зобов’язання щодо згоди та інформування випливають із Розділів 11, 12 та 16 Закону та з Рекомендації NPC 2024 року щодо онлайн-відстеження та поведінкової реклами. Рекомендація є корисним документом, оскільки чітко формулює очікування, а не залишає їх виводити із загального контексту.

Стверджувальна згода на необов’язкове відстеження

Позиція NPC полягає в тому, що згода має бути надана вільно, конкретно, поінформовано та підтверджена письмовим або електронним записом. Рекомендація 2024 року відхиляє прокручування-як-згода та продовження-використання-як-згода як такі, що не відповідають “конкретним” та “поінформованим” критеріям Section 3(b). Попередньо встановлені прапорці явно вважаються недійсними.

Детальний контроль категорій

Рекомендація очікує, що банери дозволяють користувачу незалежно приймати та відхиляти категорії. Укомплектована загальна згода без деталізації не відповідає принципу пропорційності відповідно до Section 11(d), який вимагає, щоб обробка була “відповідною, пов’язаною, придатною, необхідною та не надмірною” — єдина пакетна згода вважається надмірною, коли розмежування технічно просте.

DPO та вимога реєстрації

Для контролерів, що перевищують поріг реєстрації, призначення DPO є значущою операційною вимогою, а не формальністю на папері. NPC посилався на відсутність належним чином призначеного DPO у кількох виконавчих діях, особливо у секторах BPO та фінтех.

Транскордонна передача (Section 21)

Транскордонна структура Закону реалізується через NPC Circular 16-02 про угоди з аутсорсингу та ширший принцип підзвітності. Передачі одержувачам за межами Філіппін вимагають або відповідних договірних гарантій, або конкретної згоди. NPC видав типові договірні положення; практичне операційне очікування відстежує GDPR Chapter V по суті, навіть якщо правова мова відрізняється.

Позиція NPC щодо правозастосування

NPC є одним із найбільш публічно активних органів захисту даних у Південно-Східній Азії. Три закономірності визначають підхід до правозастосування.

Резонансні справи про порушення

NPC надавав пріоритет масштабним розслідуванням порушень — витік реєстру виборців COMELEC у 2016 році як найзначніший — і використовував ці справи для формування очікувань для ширшої регульованої спільноти. Публічні заяви під час розслідувань порушень часто формулюють вимоги, що виходять за межі суворого законодавчого тексту.

Фокус на BPO та фінтех

Філіппіни є однією з найбільших економік BPO та контакт-центрів у світі, і NPC традиційно зосереджував правозастосування на цих секторах. Для видавців, що керують рекламними бізнесами, орієнтованими на філіппінських користувачів, регуляторний клімат навколо аудиторії формується позицією відповідності BPO, навіть коли сам видавець не представлений у цьому секторі.

Координація з регуляторами ASEAN

NPC бере участь у робочому потоці ASEAN Data Management Framework і підтримує робочі відносини з Singapore PDPC, Thailand PDPC, органом Індонезії, що формується, та EDPB ЄС. Транскордонні розслідування, що охоплюють філіппінський та Європейський трафік, дедалі більше здійснюються через координовані процедури.

Практичний контрольний список відповідності

Шість конкретних запитань, на які потрібно відповісти для будь-якого банера cookie, що обслуговує філіппінський трафік.

Місце Філіппін у багатоюрисдикційному контексті

Філіппіни є одним із чотирьох операційно найбільш значущих режимів захисту даних ASEAN поряд із Сингапуром, Таїландом та Індонезією. Рік 2012 Закону означає, що він передує GDPR, але модернізація, що керується циркулярами NPC, поступово привела операційний стандарт у відповідність до Європейських норм. Для видавців, що розбудовують паназіатські операції, Філіппіни займають місце поряд із трьома іншими ринками, де архітектура CMP, побудована за Європейськими стандартами, охоплює основну частину відповідності з двома специфічними доповненнями: реєстрація в NPC там, де застосовуються пороги, та рівень згоди на конфіденційну інформацію, що відрізняє структуру Філіппін від більш ліберальних регіональних альтернатив. Англомовний характер нормативно-правової бази — нетиповий для ASEAN — робить Філіппіни надзвичайно доступною метою для відповідності офшорних операторів, які не мають місцевого юридичного консультанта.

← Блaderegistrdelays delays Читати все →