Das schnelle Wachstum der digitalen Technologie hat zu einer erheblichen Zunahme der Generierung, Speicherung und Übertragung personenbezogener Daten geführt. Infolgedessen ist der Schutz personenbezogener Daten vor unbefugtem Zugriff, Verwendung und Offenlegung von entscheidender Bedeutung.
Als Reaktion auf diese Bedenken wurde das Datenschutzgesetz von 2012 (Republic Act No. 10173) erlassen, um das Recht auf Privatsphäre zu fördern und einen Rechtsrahmen für die Verarbeitung personenbezogener Daten zu schaffen. Einer der Schlüsselaspekte des Gesetzes ist die Ernennung des Personal Information Controller (PIC), der letztendlich für die Gewährleistung des Schutzes personenbezogener Daten verantwortlich ist.
Das Datenschutzgesetz definiert einen Personal Information Controller als eine Person oder Organisation, die die Erfassung, Speicherung, Verarbeitung oder Nutzung personenbezogener Daten kontrolliert, einschließlich derer, die andere anweisen, solche Informationen in ihrem Namen zu sammeln, zu speichern, zu verarbeiten, zu verwenden, zu übertragen oder offenzulegen .
Der PIC ist in erster Linie dafür verantwortlich sicherzustellen, dass personenbezogene Daten in Übereinstimmung mit den Grundsätzen der Transparenz, des rechtmäßigen Zwecks und der Verhältnismäßigkeit verarbeitet werden. Darüber hinaus muss der PIC auch angemessene organisatorische, physische und technische Maßnahmen ergreifen, um personenbezogene Daten vor unbefugtem Zugriff, Verwendung und Offenlegung zu schützen.
Es gibt auch den Personal Information Processor (PIP), eine natürliche oder juristische Person, an die ein PIC die Verarbeitung personenbezogener Daten auslagern oder anweisen kann. Einige Beispiele für PIC- und PIP-Interaktionen sind:
- 1. Facebook (PIC) gibt Benutzerdaten an einen Drittanbieter-App-Entwickler (PIP) weiter, um personalisierte Erfahrungen für Benutzer zu schaffen
2. Google (PIC) teilt Benutzerdaten mit einer Marketingagentur (PIP) für gezielte Werbekampagnen
3. Ein Krankenhaus (PIC), das Patientendaten mit einem Anbieter elektronischer Gesundheitsakten (PIP) teilt, um Krankenakten sicher zu speichern und zu verwalten
4. Eine Schule (PIC), die eine Online-Lernplattform (PIP) abonniert, auf der Unterrichtsstunden hochgeladen und für Schüler gespielt werden und wo Schüler Aufgaben hochladen und ihren Lehrern übermitteln
5. Ein Immobilienentwickler (PIC), der die Dienste eines Contact-Center-Anbieters (PIP) in Anspruch nimmt, um Aspekte der Vermarktung seines Projekts abzuwickeln
6. Ein Unternehmen (PIC), das die Dienste einer Drittagentur (PIP) in Anspruch nimmt, um Mitarbeiterbewerber zu überprüfen und Hintergrundüberprüfungsdienste bereitzustellen
7. Ein Geldgeber (PIC), der die Dienste eines Inkassounternehmens (PIP) in Anspruch nimmt, um eine unbezahlte Schuld zu verfolgen und einzutreiben
8. Ein Online-Händler (PIC), der seine Waren verkauft und über einen Drittanbieter-Kurierdienst (PIP) liefern lässt, wobei der PIC dem PIP Käuferdaten zur Verfügung stellt, um die Lieferung der gekauften Artikel abzuschließen
Selbst wenn ein Mandant seinem Anwalt eine E-Mail sendet, würde er Informationen weitergeben, wodurch der Anwalt sehr wahrscheinlich zu einem PIC wird, da der Anwalt diese Informationen in seiner E-Mail oder seinem Cloud-Laufwerk speichern würde, wodurch sein E-Mail-Dienstleister, sei es Google, Microsoft wird oder Apple, der PIP.
Das Datenschutzgesetz unterscheidet zwischen zwei Arten von personenbezogenen Daten: personenbezogene Daten und sensible personenbezogene Daten.
Personenbezogene Daten beziehen sich auf alle Informationen, aus denen die Identität einer Person ersichtlich ist oder vernünftigerweise und direkt festgestellt werden kann, oder die zusammen mit anderen Informationen eine Person direkt und sicher identifizieren würden. Beispiele hierfür sind Vor-, Zweit- und Nachname, Adresse, ob physisch oder E-Mail, Mobiltelefonnummern, Geburtsort und familiärer Hintergrund.
Auf der anderen Seite gibt es die sensiblen personenbezogenen Daten, die sich auf Informationen beziehen, die sich auf Folgendes beziehen:
A. Rasse, ethnische Herkunft, Familienstand, Hautfarbe, religiöse, weltanschauliche oder politische Zugehörigkeit
B. Gesundheit, Bildung, genetisches oder Sexualleben, Verfahren oder begangene Straftaten
C. Sozialversicherungsnummern, Krankenakten, Lizenzen, Steuererklärungen und andere Informationen oder Dokumente, die von Regierungsbehörden speziell für die Person ausgestellt werden
D. Angelegenheiten, die durch eine Exekutivverordnung oder einen Akt des Kongresses klassifiziert sind
Das Datenschutzgesetz schreibt vor, die ordnungsgemäße Zustimmung der betroffenen Personen einzuholen, mit festgelegten Parametern für die Verarbeitung personenbezogener Daten und sensibler personenbezogener Daten. Verstöße können zu verwaltungs-, zivil- und strafrechtlichen Sanktionen führen. Selbst wenn ein PIC einen Vertrag mit einer anderen Stelle zur Informationsverarbeitung abschließt, bleibt der PIC für alle Verstöße verantwortlich, die vom PIP oder seinem Personal gemäß dem Grundsatz der Rechenschaftspflicht begangen werden.
Das in Abschnitt 21 des Datenschutzgesetzes beschriebene Prinzip der Rechenschaftspflicht besagt, dass der PIC die Verantwortung für alle personenbezogenen Daten unter seiner Kontrolle oder Verwahrung trägt, selbst wenn diese Daten zur Verarbeitung an Dritte weitergegeben wurden. Im Wesentlichen machen das Gesetz und die National Privacy Commission (Privacy Commission) den PIC für die Handlungen des PIP verantwortlich, ungeachtet etwaiger vertraglicher Vereinbarungen, die etwas anderes nahelegen.
Dieser Grundsatz wurde von der Datenschutzkommission in zwei jüngsten Entscheidungen bestätigt.
Es gibt den Fall von In Re: FLI Operating ABC Online Lending Application (FLI), das die Dienste der CSA-Inkassostelle in Anspruch nahm, um Zahlungen für von FLI ausgestellte Kredite einzuziehen. Nach zahlreichen Beschwerden über Verstöße gegen das Datenschutzgesetz durch Schuldner und missbräuchliche Inkassopraktiken hat die Datenschutzkommission eine Untersuchung gegen das FLI eingeleitet.
Zu seiner Verteidigung behauptete FLI, dass, wenn die Inkassobüros, die sich an die Kontakte der Kreditnehmer wenden, den Ruf der betroffenen Personen schädigen, sie belästigen, bedrohen oder zur Begleichung ihrer Kredite zwingen, diese Handlungen nicht nur von den betroffenen Personen nicht genehmigt wurden, sondern es waren auch nicht vom FLI autorisiert, so dass CSA die Verantwortung tragen sollte. FLI wies ferner darauf hin, dass der Master Service Agreement zwischen ihm und CSA vorsieht, dass CSA für die von ihm durchgeführten Arbeiten verantwortlich ist.
Die Datenschutzkommission wies die Verteidigung des FLI zurück, bekräftigte den Grundsatz der Rechenschaftspflicht und empfahl dem Justizministerium die strafrechtliche Verfolgung des Vorstands des FLI wegen unbefugter Verarbeitung von Informationen, die einen Verstoß gegen das Datenschutzgesetz darstellen. (NPC-Fall 19-910)
In einem neueren Fall, MAF vs. Shopee Philippines Inc, wurde Shopee von einem Kunden, der einen Artikel über ihre Plattform gekauft hatte, beschuldigt, gegen das Datenschutzgesetz verstoßen zu haben. Der Kunde behauptete, dass der von Shopee beauftragte Lieferfahrer ohne Zustimmung ein Foto von seinem Sohn als Liefernachweis gemacht habe. Die Beschwerdeführerin argumentierte, dass die Fahrerin ein Foto vom Arm und Paket ihres Sohnes hätte machen oder Geotagging vornehmen sollen, wie in den Richtlinien von Shopee vorgeschrieben. (NPC-Fall Nr. 21-167) (Shopee-Fall).
Die Datenschutzkommission stellte fest, dass die Aktion von Shopee, den Sohn als Nachweis der Lieferung zu fotografieren, in keinem Verhältnis zum angegebenen Zweck stand und dass weniger aufdringliche Methoden zur Bestätigung der Lieferung verfügbar waren. Trotz der Auslagerung der Liefer- und Liefernachweisaufgaben an seinen PIP bleibt Shopee als PIC im Einklang mit dem Grundsatz der Rechenschaftspflicht für die Handlungen des PIP verantwortlich.
Im Shopee-Fall forderte der NPC Shopee auf, dem Beschwerdeführer 15.000 Pesos zu zahlen.
Dementsprechend ist es bei der Erfassung, Speicherung, Handhabung und Verarbeitung von Informationen, die unter das Datenschutzgesetz fallen, nicht übertrieben zu behaupten, dass die Verantwortung beim Personal Information Controller liegt.
(Der Autor, Atty. John Philip C. Siao, ist praktizierender Anwalt und Gründungspartner der Tiongco Siao Bello & Associates Law Offices, lehrt Jura an der MLQU School of Law und ist Schiedsrichter der Construction Industry Arbitration Commission of the Philippines. Er kann unter kontaktiert werden [email protected] Die in diesem Artikel geäußerten Ansichten gehören allein dem Autor.)
INQUIRER.net möchte von Ihnen hören! Nehmen Sie an unserer Leserumfrage teil und helfen Sie uns, besser zu werden. Klicken Sie auf dieses Bild, um zu antworten.
Lesen Sie weiter
Abonnieren Sie INQUIRER PLUS, um Zugang zu The Philippine Daily Inquirer und mehr als 70 Titeln zu erhalten, bis zu 5 Gadgets zu teilen, Nachrichten zu hören, schon um 4 Uhr morgens herunterzuladen und Artikel in sozialen Medien zu teilen. Rufen Sie 896 6000 an.
