GDPR

Pahayag sa Pagsunod sa Datos ng EU

1. Pangkalahatang-ideya ng Batas sa Proteksyon ng Personal na Datos ng EU

Ipinasa ng EU ang General Data Protection Regulation (GDPR) noong 2016 at nagkabisa noong 2018. Layunin ng GDPR na protektahan ang karapatan sa privacy at proteksyon ng datos ng lahat ng indibidwal sa loob ng EU. Ang GDPR ay naaangkop sa lahat ng negosyo at organisasyon na nagpoproseso ng personal na datos, anuman ang kanilang lokasyon, basta’t ang kanilang mga aktibidad sa pagpoproseso ng datos ay may kinalaman sa personal na datos ng mga mamamayan ng EU.

（一）Mga Kaugnay na Kahulugan

1. Ang data controller ay isang natural na tao, legal na entidad, pampublikong ahensya, administratibong ahensya, o iba pang hindi legal na organisasyon na maaaring mag-isa o magkatuwang na magpasya sa mga layunin at paraan ng pagproseso ng personal na datos, at responsable para sa pagpapasya sa mga layunin at paraan ng pagproseso ng personal na datos, ngunit ang mga partikular na pamantayan ay dapat tukuyin ng mga batas ng EU o mga miyembrong estado nito.

2. Ang digital processor ay tumutukoy sa isang natural na tao, legal na entidad, pampublikong ahensya, administratibong ahensya, o iba pang hindi legal na organisasyon na nagpoproseso ng personal na datos para sa data controller. Gayunpaman, kung minsan ay mahirap tukuyin kung ang isang entity ay isang data controller o isang processor.

3. Ang personal na datos ay tumutukoy sa anumang impormasyon na tumutukoy sa isang natukoy o matutukoy na natural na tao (“data subject”). Pinalawak ng GDPR ang saklaw ng personal na datos. Ayon sa saklaw na tinukoy ng GDPR, kasama rin sa personal na datos ang mga digital fingerprint (halimbawa, mga IP address at Cookie). Bilang karagdagan, kasama rin sa kategorya ng “sensitibong datos” ang genetic o biometric na datos.

4. Malinaw na binanggit ng GDPR na ang sensitibong personal na datos ay dapat na lubos na protektado, kabilang ang: lahi at etnikong pinagmulan ng isang indibidwal, mga pananaw pampulitika, mga paniniwalang panrelihiyon at pampilosopiya, pagiging miyembro ng unyon, genetic na datos, biometric na datos, datos pangkalusugan, impormasyon tungkol sa buhay sekswal o oryentasyong sekswal, at impormasyon tungkol sa mga talaan ng kriminal. At ang mga institusyong medikal ay karaniwang dapat matugunan ang mas mataas na pamantayan para sa proteksyon ng datos.

5. Pangunahing Nilalaman

（一）Ang mga negosyo ay kailangang sundin ang mga sumusunod na hakbang upang makamit ang pagsunod sa GDPR:

（1）Pag-audit ng datos: I-audit ang mga kasalukuyang aktibidad sa pagpoproseso ng datos upang matiyak na nauunawaan mo ang pinagmulan, layunin ng paggamit, at panahon ng pag-iimbak ng personal na datos.

（2）Pag-update ng patakaran sa privacy: I-update ang patakaran sa privacy upang matiyak na ang nilalaman nito ay sumusunod sa mga kinakailangan ng GDPR at malinaw na ipaalam sa mga user kung paano pinoproseso ang kanilang datos.

（3）Pagbuo ng mekanismo ng pagsunod: Magtatag ng isang sistema ng pamamahala ng proteksyon ng datos upang matiyak na ang lahat ng aktibidad sa pagpoproseso ng datos ay sumusunod sa mga prinsipyo ng GDPR.

（4）Pagsasanay ng empleyado: Sanayin ang mga empleyado sa GDPR at kaalaman na may kaugnayan sa proteksyon ng datos upang mapataas ang kanilang kamalayan sa pagsunod.

Pagsubaybay at pagsusuri: Regular na subaybayan ang mga aktibidad sa pagpoproseso ng datos upang matiyak ang patuloy na pagsunod sa mga kinakailangan ng GDPR.

2. Kailan legal ang pagproseso ng personal na datos

Ayon sa Artikulo 6 ng GDPR, ang pagproseso ng personal na datos ay dapat sumunod sa sumusunod na anim na legal na batayan:

(1) Pumapayag ang data subject na ang kanyang personal na datos ay iproseso para sa isa o higit pang partikular na layunin;

(2) Kinakailangan ang pagproseso para sa pagganap ng isang kontrata kung saan ang data subject ay isang partido o upang magsagawa ng mga hakbang sa kahilingan ng data subject bago pumasok sa isang kontrata;

(3) Kinakailangan ang pagproseso para sumunod sa isang legal na obligasyon kung saan ang controller ay sakop;

(4) Kinakailangan ang pagproseso upang protektahan ang mahahalagang interes ng data subject o ng ibang natural na tao;

(5) Kinakailangan ang pagproseso para sa pagganap ng isang gawain na isinasagawa sa interes ng publiko o sa paggamit ng opisyal na awtoridad na ipinagkaloob sa controller;

(6) Kinakailangan ang pagproseso para sa mga lehitimong interes na hinahabol ng controller o ng isang third party, maliban kung ang mga interes na iyon ay pinangungunahan ng mga interes o pangunahing karapatan at kalayaan ng data subject na nangangailangan ng proteksyon ng personal na datos, lalo na kung ang data subject ay isang bata. (Tandaan: Hindi ito nalalapat sa pagproseso na isinasagawa ng mga awtoridad ng gobyerno sa pagganap ng kanilang mga gawain)

Ang pagkakaroon ng paunang pahintulot ay ang pinakamahalagang paunang kondisyon para sa mga negosyo na legal na maproseso ang personal na datos ng mga mamamayan ng EU. Halimbawa, kapag nahaharap sa pagsunod sa GDPR, dapat subukang kumuha ng pahintulot ang Facebook sa halip na sumunod sa prinsipyo ng pagliit ng datos.

Ang pahintulot ay dapat mapatunayan, dapat na malinaw na nakikilala mula sa iba pang mga bagay, at maaaring bawiin. Kapansin-pansin, ang malinaw na pahintulot ay kinakailangan upang maproseso ang sensitibong datos. Ang malabo o “blanket consent” ay itinuturing na hindi wasto. Dapat ipakita ng mga negosyo sa data subject ang isang madaling maunawaan na wika upang piliin kung papayag sila sa pagproseso ng personal na datos ng kabilang partido. Dahil dito, hindi na iiral ang mga kahilingan para sa malabo, puno ng terminolohiya, at pangmatagalang pahintulot, kahit sa teorya.

Bukod pa rito, ang pananahimik, paunang pag-check o hindi aktibo ay hindi bumubuo ng wastong pahintulot. Kapag kailangang mag-check ang isang user o sumang-ayon sa pamamagitan ng telepono, ito ay isang malinaw na pagpipilian.

Ang mga menor de edad na wala pang 16 taong gulang ay walang legal na karapatang magbigay ng pahintulot, ngunit maaaring palawigin ng mga estado ng miyembro ng EU ang limitasyon sa edad na ito sa 13 taong gulang.

(二) Paglilipat ng personal na datos sa buong hangganan

1. Paglilipat sa loob ng EU

Sa kaso ng paglilipat ng personal na datos sa loob ng EU, ang GDPR ay hindi nagpapataw ng anumang karagdagang kinakailangan sa direktang pagiging aplikable ng GDPR. Gayunpaman, kapag ang isang controller ay gumagamit ng isang processor, ang relasyon sa pagitan ng data controller at ng data processor ay kailangang kontrolin ng isang kasunduan, at ang mga minimum na pamantayan na tinukoy ng GDPR sa mga kasong ito ay dapat sundin. Ang kasunduan sa pagitan ng processor at ng processor (Artikulo 28 ng GDPR) ay tumutukoy sa paksa at tagal ng pagproseso, ang katangian at layunin ng pagproseso, ang uri ng personal na datos at ang kategorya ng mga data subject, at ang mga obligasyon at karapatan ng controller.

2. Paglilipat ng Datos na Hindi EU: Mga Hakbang para Sumunod sa GDPR

Para sa paglilipat ng datos na hindi EU, nakikita ng GDPR ang mga partikular na sitwasyon kung saan maaaring gawin ang mga ganitong paglilipat. Lalo na, ang mga organisasyong nagsasagawa ng paglilipat ng personal na datos na hindi EU ay kailangang beripikahin.

Kung ang Komisyon ng EU ay may sapat na desisyon, at kung wala, magbigay ng karagdagang mga garantiya sa pamamagitan ng kasunduan sa kontrata.

(1) Maaaring maglabas ang Komisyon ng EU ng mga desisyon tungkol sa antas ng proteksyon ng datos sa mga bansang hindi EU (hal., EU-US Privacy Shield). Ang mga desisyong ito ay batay sa isang komprehensibong pagsusuri kung ang ikatlong bansa ay may sapat na mga legal na pananggalang sa proteksyon ng datos na katumbas ng sa EU. Ang resulta ng sapat na desisyon ay ang pag-aalis ng anumang hadlang sa paglilipat ng datos mula sa EU (pati na rin ang Norway, Liechtenstein, at Iceland) patungo sa ikatlong bansang iyon, nang walang anumang karagdagang kinakailangan sa proteksyon ng datos.

(2) Ang paglilipat ay dapat sumunod sa naaangkop na mga pananggalang

Kung ang ikatlong bansa ay hindi sakop ng sapat na desisyon, dapat isaalang-alang ng mga organisasyon ng EU ang isa sa mga sumusunod na alternatibo:

1) Mga Pamantayang Klausula sa Kontrata. Maaari ring gumamit ang Komisyon ng EU ng mga pamantayang klausula sa kontrata upang mapadali ang sapat na proteksyon ng datos na ibinibigay ng mga kontroler ng EU kapag naglilipat ng personal na datos sa mga kontroler o prosesor na hindi EU. Sa ngayon, naglabas na ang Komisyon ng EU ng dalawang hanay ng mga pamantayang klausula sa kontrata: paglilipat ng datos mula sa kontroler ng EU patungo sa kontroler na hindi EU o EEA, at paglilipat ng kontroler ng EU patungo sa prosesor na hindi EU o EEA. Maaari ring gumamit ang mga awtoridad sa proteksyon ng datos ng mga huwarang klausula. Gayunpaman, kailangang aprubahan ng Komisyon ang mga klausulang ito. Panghuli ngunit hindi bababa sa, ang mga paglilipat sa buong hangganan ay maaari ding gawin batay sa mga pansamantalang klausula sa kontrata na napagkasunduan sa pagitan ng tagaluwas ng datos at ng tagapag-angkat ng datos, na dapat aprubahan ng may kakayahang DPA.

2) Mga Binding Corporate Rules (BCR). Kung ang personal na datos ay inililipat mula sa isang entity ng kumpanya patungo sa isa pang entity ng kumpanya (hindi isinasaalang-alang ang rehiyon), ang paglilipat ng datos ay gagawin alinsunod sa mga Binding Corporate Rules (BRC). Ang mga Binding Corporate Rules ay mga legal na nagbubuklod na panuntunan na inaprubahan ng may kakayahang awtoridad sa pangangasiwa na namamahala sa paglilipat at pagproseso ng personal na datos sa loob ng isang grupo ng mga negosyo o grupo ng mga negosyo na nakikibahagi sa isang pinagsamang aktibidad na pang-ekonomiya at ang mga empleyado nito (kabilang ang mga matatagpuan sa labas ng teritoryo ng EU). Ang kalamangan ng BCR kumpara sa mga pamantayang klausula sa kontrata ay, sa sandaling makakuha ng pag-apruba mula sa awtoridad sa proteksyon ng datos, ang lahat ng mga paglilipat sa loob ng grupo sa hinaharap ay maaaring gawin nang hindi isinasaalang-alang ang rehiyon nang walang anumang karagdagang kinakailangan.

Karagdagang mga Pananggalang Bilang karagdagan sa mga opsyon sa itaas, ang GDPR ay nagpapakilala ng dalawang alternatibong kasangkapan sa kasapatan para sa paglilipat ng datos: mga aprubadong mekanismo ng sertipikasyon at mga aprubadong code of conduct. Ang parehong mekanismo ay nagpapahintulot sa paglilipat ng datos, sa kondisyon na ang tagapag-angkat ng datos ay gumawa ng mga nagbubuklod at maipapatupad na pangako na maglapat ng naaangkop na mga pananggalang para sa proteksyon ng datos.

(3) Mga Pagbubukod sa Paglilipat ng Datos

Sa maraming mga kaso, ang paglilipat ng personal na datos ay maaaring gawin nang walang mga mekanismo ng paglilipat na nabanggit sa itaas. Ang mga sitwasyong ito ay limitado at kinabibilangan ng mga sumusunod:

1. Ang paksa ng datos ay nagbibigay ng tahasang pahintulot;

2. Ang paglilipat ay kinakailangan para sa pagpasok o pagganap ng isang kontrata;

3. Mayroong mahahalagang dahilan ng pampublikong interes;

4. Kinakailangan upang magtatag, mag-ehersisyo, o ipagtanggol ang mga legal na paghahabol;

5. Kinakailangan para sa mahalagang interes ng paksa ng datos o ng ibang tao;

6. Ito ay may kinalaman sa datos na nasa pampublikong rehistro;

Bukod pa rito, nagpapakilala ang GDPR ng mga bagong paghihigpit sa mga hindi paulit-ulit na paglilipat na kinasasangkutan ng limitadong bilang ng mga paksa ng datos, ibig sabihin, derogasyon. Sa kawalan ng anumang iba pang legal na batayan, pinapayagan ang paglilipat kapag ito ay kinakailangan para sa mga lehitimong interes ng tagapag-export ng sapilitang datos na hindi pinanghihinaan ng mga lehitimong interes ng paksa ng datos at ang tagapag-export ay nagbibigay ng sapat na mga pag-iingat para sa datos na inilipat. Sa ganitong mga kaso, dapat ipaalam ng tagapag-export ang paglilipat sa may-katuturang awtoridad sa proteksyon ng datos at sa paksa ng datos.