Understanding how the Data Protection Authority in Philippines works | MediaNama

MediaNama

17 Oct 201907:04

Summary

TLDRMatthew Ich Bruce, a journalist from the Philippines, discusses the National Privacy Commission (NPC), established under the 2012 Data Privacy Act. The NPC, with its commissioner and deputies, has broad powers including rule-making and quasi-judicial functions but has been criticized for its lack of transparency and enforcement. Despite having the authority to impose fines, the NPC has been lenient, focusing on compliance over punishment. The biggest data leak occurred shortly after the NPC's inception, with no accountability. The NPC's effectiveness is questioned, with suggestions for increased transparency and stricter enforcement to improve data protection.

Takeaways

🇵🇭 The Philippines has had a data protection law since 2012, overseen by the National Privacy Commission (NPC).
🛡️ The NPC is endowed with broad powers under the Data Privacy Act of 2012, including rulemaking and quasi-judicial functions.
👤 The current commissioner is the first and only one since the law's implementation in 2016, following the establishment of the NPC.
⚖️ The NPC can impose administrative fines and conduct investigations but refers criminal prosecutions to the Department of Justice.
🔍 Despite the NPC's powers, there has been limited transparency regarding the enforcement of data privacy regulations.
📊 A significant data leak involving 55 million voters' information occurred shortly after the NPC's establishment, with no accountability.
🚫 The NPC has been criticized for not being stringent enough in its enforcement, leading to a lack of fear or pressure among companies.
🔑 Companies are required to disclose data breaches to the NPC within 72 hours, but the NPC's follow-up actions are not well-publicized.
💡 Transparency in the NPC's actions and compliance enforcement could help build trust and ensure companies adhere to data privacy laws.
📈 The NPC could benefit from increased use of its power to impose fines to demonstrate its commitment to enforcing data privacy regulations.
👩‍💼 There is a shortage of Data Protection Officers (DPOs) in the Philippines, which is a challenge that needs to be addressed.

Q & A

菲律宾的数据保护法是什么时候开始实施的？
-菲律宾的数据保护法，即2012年数据隐私法案（Republic Act No. 10173），自2012年9月8日起成为可执行的法律，但其实施规则和条例（IRR）直到2016年9月9日才开始生效。
菲律宾国家隐私委员会（NPC）的主要职能是什么？
-菲律宾国家隐私委员会（NPC）是负责管理和执行数据隐私法案的独立机构，确保国家遵守数据保护的国际标准。NPC负责发布关于处理个人数据的程序的指南和通知，处理个人数据泄露事件，并提供关于数据隐私问题的建议和咨询。
菲律宾数据保护法案规定了哪些个人数据的处理原则？
-菲律宾数据保护法案规定了透明度、合法目的和比例性等数据处理的一般原则。此外，还规定了收集、处理和保留个人数据的具体原则，例如收集必须是为了声明的、特定的和合法的目的；个人数据应被公平和合法地处理；处理应确保数据质量；个人数据不应被不必要地长期保留。
在菲律宾，个人数据泄露后有哪些通知要求？
-在菲律宾，个人数据泄露后，个人信息控制者（PIC）必须在知道发生需要通知的个人数据泄露后72小时内通知国家隐私委员会（NPC）和受影响的数据主体。通知必须描述泄露的性质、可能涉及的个人数据，以及实体为解决泄露所采取的措施。
菲律宾国家隐私委员会的结构是怎样的？
-菲律宾国家隐私委员会由一名委员和两名副委员组成。目前的委员是该委员会自成立以来的第一位委员。虽然法律在2012年通过，但直到2016年实施规则和条例通过后，委员会才开始真正发挥作用。
菲律宾国家隐私委员会如何处理违反数据隐私法的行为？
-菲律宾国家隐私委员会可以对违反数据隐私法的行为进行调查，接收正式投诉，并启动事实调查程序。它还可以自行对违规行为施加行政处罚罚款，但刑事起诉则需转交给司法部处理。
菲律宾国家隐私委员会是否有权对公司进行罚款？
-是的，菲律宾国家隐私委员会有权对违反数据隐私法的公司进行罚款。它还可以要求公司遵守其发布的合规命令，以改善内部流程。
菲律宾国家隐私委员会是否面临任何挑战或限制？
-是的，菲律宾国家隐私委员会的权力受到法律的限制。例如，尽管委员会建议对选举委员会主席提起诉讼，但司法部并未采取行动，导致没有对数据泄露事件的负责人进行问责。此外，委员会在执行合规和透明度方面也存在挑战。
菲律宾国家隐私委员会是否应该被重新构建或赋予更多权力？
-一些人认为，为了提高其效率，菲律宾国家隐私委员会应该更加透明，并且可能需要更频繁地使用其罚款权力来显示其执行数据隐私法的决心。此外，也有人提出需要更多数据保护官员来满足公司的需求，这是当前面临的一个问题。
菲律宾的数据保护法律是否符合国际标准？
-是的，菲律宾的数据保护法律旨在确保国家遵守数据保护的国际标准，并通过国家隐私委员会来监督实施。