Mga Batas sa Pagkapribado ng Datos sa Pilipinas: Gabay sa RA 10173 at NPC (2026)

Pinoprotektahan ng Pilipinas ang personal na datos sa ilalim ng Republic Act No. 10173, ang Data Privacy Act of 2012, na naaangkop sa anumang organisasyong nangongolekta o nagpoproseso ng personal na datos sa loob o mula sa Pilipinas. Ipinatutupad ng National Privacy Commission (NPC) ang batas at maaari itong magpataw ng mga administratibong multa na hanggang 3% ng taunang kabuuang kita sa ilalim ng NPC Circular 2022-01.
Isinabatas ng Pilipinas ang isa sa pinakakomprehensibong balangkas sa proteksyon ng datos sa Timog-Silangang Asya nang lagdaan ni Pangulong Benigno S. Aquino III ang Republic Act No. 10173, ang Data Privacy Act of 2012, bilang batas noong Agosto 15, 2012. Nagkabisa ang batas noong Setyembre 8, 2012, at ang mga Implementing Rules and Regulations (IRR) nito ay nagkabisa noong Setyembre 9, 2016. Isang dekada makalipas, umunlad ang National Privacy Commission bilang isang tagapangasiwang may tiwala sa sarili at may tunay na kapangyarihan sa pagpapatupad.
Saklaw ng gabay na ito ang lahat ng kailangang malaman ng mga organisasyon at indibidwal tungkol sa pagsunod sa batas ng pagkapribado ng datos sa Pilipinas noong 2026, mula sa mga batayang konstitusyonal hanggang sa pinakahuling mga advisory at aksyong pang-pagpapatupad ng NPC.
Mabilis na Sagot: Mga Pangunahing Katotohanan Tungkol sa Batas sa Pagkapribado ng Datos sa Pilipinas
Ang pangunahing batas sa proteksyon ng datos ng Pilipinas ay ang Data Privacy Act of 2012 (RA 10173), na ipinatutupad ng National Privacy Commission. Naaangkop ang batas sa anumang organisasyong nangongolekta o nagpoproseso ng personal na datos ng mga indibidwal sa Pilipinas, kabilang ang mga dayuhang kompanyang nagpapatakbo sa pamamagitan ng kagamitan o opisina sa Pilipinas. Maaaring magpataw ang NPC ng mga administratibong multang hanggang 3% ng taunang kabuuang kita (hanggang PHP 5 milyon kada paglabag) at magsangguni ng mga kaso para sa pag-uusig na kriminal. Kailangang magtalaga ang mga organisasyon ng isang Data Protection Officer, irehistro ang mga kwalipikadong sistema ng pagproseso ng datos, at iulat ang mga paglabag sa loob ng 72 oras mula nang matuklasan.
Batayang Konstitusyonal: Ang 1987 Konstitusyon ng Pilipinas
Ibinabatay ng Pilipinas ang mga karapatan sa pagkapribado ng datos sa 1987 Konstitusyon nito. Ipinahahayag ng Artikulo III, Seksyon 3 ng Bill of Rights na ang pagkapribado ng komunikasyon at sulatan ay hindi malalabag maliban sa legal na utos ng korte, o kapag kinakailangan ito ng kaligtasan o kaayusang pampubliko ayon sa itinatakda ng batas. Anumang ebidensiyang nakuha sa paglabag sa probisyong ito ay hindi tinatanggap sa anumang paglilitis.
Malawak ang pagpapaliwanag ng hurisprudensiya ng Pilipinas sa proteksyong konstitusyonal na ito. Kinikilala ng Korte Suprema ang tatlong kategorya ng pagkapribado: pagkapribadong pisikal na lokasyon (kalayaan mula sa hindi kinakailangang pagpasok), pagkapribadong impormasyon (ang karapatang kontrolin ang personal na datos), at pagkapribadong pagpapasya (kalayaan sa mga personal na pagpili). Ang pagkapribadong impormasyon ang direktang batayang konstitusyonal ng Data Privacy Act.
Makabuluhan ang batayang konstitusyonal na ito sa praktika. Ang isang probisyong batas na lumalabag sa karapatang konstitusyonal sa pagkapribado ay maaaring ipawalang-bisa ng Korte Suprema, na nagbibigay ng isang mas mataas na antas na proteksyon bukod pa sa DPA mismo.
Ang Data Privacy Act of 2012 (RA 10173) at ang IRR

Ang Data Privacy Act of 2012 ang pangunahing batas ng Pilipinas na namamahala sa pangongolekta, pagproseso, pag-iimbak, at pagtatapon ng personal na impormasyon. Ang layunin nitong nakasaad ay protektahan ang saligang karapatang pantao sa pagkapribado habang tinitiyak ang malayang daloy ng impormasyong kinakailangan para itaguyod ang inobasyon at paglago.
Nagbatay ang Batas sa mga internasyonal na pamantayan sa proteksyon ng datos, partikular ang APEC Privacy Framework at ang OECD Privacy Guidelines. Nilikha nito ang National Privacy Commission bilang independiyenteng regulatory body ng bansa at itinatag ang isang balangkas na nakabatay sa mga karapatan para sa mga data subject.
Ang Implementing Rules and Regulations ay inilabas noong Setyembre 9, 2016. Isang nirebisang bersyon ang inilathala noong 2023, na isinama ang mga update mula sa mga kasunod na circular at kaganapan ng NPC.
Saklaw na Extraterritorial
Isa sa pinakamahalagang tampok ng RA 10173 ay ang saklaw nitong extraterritorial. Naaangkop ang batas sa:
- Anumang personal information controller o processor na itinatag sa Pilipinas;
- Mga organisasyong hindi itinatag sa Pilipinas ngunit gumagamit ng kagamitang matatagpuan sa bansa para magproseso ng personal na datos; at
- Mga entidad na nagpapanatili ng opisina, sangay, o ahensya sa Pilipinas, anuman ang aktwal na lugar ng pagproseso.
Ang isang dayuhang kompanyang nagpoproseso ng personal na datos ng mga residenteng Pilipino sa pamamagitan ng mga server, cloud infrastructure, o mga empleyadong nakabase sa Pilipinas ay saklaw ng DPA kahit saan man matatagpuan ang punong tanggapan nito.
Apat na Pangunahing Prinsipyo
Nakabatay ang Data Privacy Act sa apat na prinsipyong namamahala sa lahat ng aktibidad ng pagproseso.
Transparency (Kalinawan). Kailangang maipaalam sa mga data subject bago o sa panahon ng pangongolekta ang uri, layunin, at saklaw ng pagproseso. Kailangan din silang sabihan ng pagkakakilanlan ng controller at ang batayan kung saan pinoproseso ang kanilang datos.
Lehitimong Layunin. Ang personal na datos ay maaari lamang iproseso para sa mga idineklara, tinukoy, at lehitimong layunin. Ipinagbabawal ang pagprosesong hindi tugma sa orihinal na nakasaad na layunin, at kailangang matukoy ang layunin bago magsimula ang pangongolekta.
Proporsyonalidad. Kailangang sapat, may kaugnayan, angkop, kinakailangan, at hindi labis ang pagproseso na kaugnay sa idineklarang layunin. Hindi dapat mangolekta ang mga organisasyon ng mas maraming datos kaysa sa kanilang kailangan.
Pananagutan. Ang mga personal information controller ay responsable sa pagsunod sa DPA at dapat kayang ipakita ang pagsunod na iyon sa pamamagitan ng mga dokumentadong patakaran, hakbang na organisasyonal, at teknikal na pananggalang.
Mga Kategorya ng Protektadong Datos
Nagtatatag ang DPA ng tatlong magkaibang kategorya ng datos na may iba't ibang antas ng proteksyon.
Personal na Impormasyon
Anumang impormasyong maaaring makatwiran at direktang matukoy ang pagkakakilanlan ng isang indibidwal, o na kapag pinagsama sa iba pang impormasyon ay direkta at tiyak na makikilala ang isang indibidwal. Kabilang dito ang mga pangalan, address, numero ng telepono, at email address.
Sensitibong Personal na Impormasyon
Ang kategoryang ito ay tumatanggap ng pinakamataas na proteksyon at kinabibilangan ng:
- Lahi, pinagmulang etniko, katayuang sibil, edad, kulay, at mga kaakibat na relihiyoso, pilosopikal, o pampulitika;
- Impormasyon tungkol sa kalusugan, edukasyon, genetiko, o buhay sekswal;
- Numero ng identipikasyong inilabas ng gobyerno tulad ng numero ng SSS, Tax Identification Number, at numero ng lisensya ng PRC;
- Mga talaan ng anumang paglilitis para sa anumang paglabag na nagawa o diumano'y nagawa;
- Impormasyong inilabas ng mga ahensya ng gobyerno tungkol sa kaangkupan sa panunungkulan; at
- Biometric na datos kabilang ang fingerprint, datos ng facial recognition, at profile ng DNA.
Sa pangkalahatan ay ipinagbabawal ang pagproseso ng sensitibong personal na impormasyon maliban kung naaangkop ang isang kinikilalang lehitimong eksepsyon.
Pribilehiyadong Impormasyon
Impormasyong protektado sa ilalim ng mga alituntunin ng korte o iba pang batas mula sa pagbubunyag sa mga legal na paglilitis. Tumatanggap ng pinakamahigpit na proteksyon ang pribilehiyadong impormasyon at maaari lamang iproseso nang may pahintulot ng lahat ng panig sa pribilehiyo.
Mga Lehitimong Batayan para sa Pagproseso
Para sa Pangkalahatang Personal na Impormasyon
Nagbibigay ang DPA ng anim na kinikilalang lehitimong batayan:
- Pahintulot, malinaw, malayang ibinigay, tiyak, at may kaalamang pahintulot ng data subject bago ang pangongolekta.
- Kontrata, kinakailangan ang pagproseso para tuparin ang isang obligasyong kontraktwal sa data subject.
- Legal na obligasyon, kinakailangan ang pagproseso ng isang umiiral na batas o regulasyon.
- Mahahalagang interes, kinakailangan ang pagproseso para protektahan ang buhay at kalusugan ng data subject o ng ibang tao.
- Pampublikong tungkulin, kinakailangan ang pagproseso para sa isang gawaing isinasagawa para sa interes ng publiko o sa paggamit ng isang pampublikong tungkulin.
- Lehitimong interes, kinakailangan ang pagproseso para sa lehitimong interes ng controller o ng isang ikatlong partido, maliban kung ito ay nasupil ng mga karapatan ng data subject.
Para sa Sensitibong Personal na Impormasyon
May mas mahigpit na kinakailangan ang sensitibong datos. Ipinagbabawal ang pagproseso maliban kung:
- Nagbigay ang data subject ng tiyak at malinaw na pahintulot para sa nakasaad na layunin;
- Itinatadhana ang pagproseso ng mga umiiral na batas o regulasyon;
- Kinakailangan ang pagproseso para protektahan ang buhay at kalusugan ng isang data subject na hindi kayang magbigay ng pahintulot;
- Kinakailangan ang pagproseso para sa medikal na paggamot ng isang kwalipikadong practitioner o institusyon; o
- Isinasagawa ang pagproseso ng isang non-profit na organisasyon para sa mga lehitimong layuning may kinalaman lamang sa mga miyembro nito.
Lehitimong Interes: NPC Circular 2023-07
Naglabas ang NPC ng Circular 2023-07 noong Disyembre 2023 na partikular na tumutugon sa lehitimong interes. Iniaatas ng circular sa mga controller na isagawa at idokumento ang isang tatlong-bahaging pagtatasa ng lehitimong interes: (1) pagsusuri ng layunin, lehitimo at tunay ba ang interes?; (2) pagsusuri ng pangangailangan, kinakailangan ba ang pagproseso para sa layuning iyon?; at (3) pagsusuring pantimbang, nasupil ba ng interes ng controller ang mga karapatan at saligang kalayaan ng data subject? Kailangang panatilihin ng mga controller ang dokumentadong pagtatasang ito at ipakita ito kapag hiniling.
Ang National Privacy Commission (NPC)
Ang NPC ang independiyenteng katawan ng Pilipinas na itinalaga para pangasiwaan at ipatupad ang Data Privacy Act. Itinatag ito nang pormal noong Marso 2016 at ipinagdiwang ang ika-sampung anibersaryo nito noong 2026.
Mga Kapangyarihan at Tungkulin ng NPC
Hawak ng Komisyon ang malawak na awtoridad:
- Paggawa ng patakaran, maglabas ng mga alituntunin, regulasyon, at circular na nagpapatupad sa DPA;
- Tungkuling tagapayo, magbigay ng opinyon at gabay tungkol sa mga usaping may kinalaman sa pagkapribado ng datos;
- Quasi-hudisyal na awtoridad, tumanggap at mag-imbestiga ng mga reklamo, magdesisyon ng mga kaso, at magpataw ng mga remedyo;
- Pagsusuri ng pagsunod, magsagawa ng mga on-site inspection at privacy sweep ng mga establisyimento at sistema;
- Pagpapatupad, maglabas ng mga compliance order, cease and desist order, at mga administratibong multa; at
- Pagbabawal sa pagproseso, pansamantalang o permanenteng ipagbawal ang pagproseso ng personal na datos.
NPC Circular 2022-01: Ang Balangkas ng Administratibong Multa
Ang NPC Circular 2022-01, na inilabas noong Agosto 8, 2022 at nagkabisa noong Agosto 27, 2022, opisyal na inaktibo ang kapangyarihan ng NPC na magpataw ng administratibong multa at nagtatag ng isang graduated na istruktura na nakabatay sa taunang kabuuang kita:
| Uri ng Paglabag | Saklaw ng Multa | Kailan Naaangkop |
|---|---|---|
| Malubhang paglabag | 0.5% hanggang 3% ng taunang kabuuang kita | Paglabag sa pangkalahatang prinsipyo ng pagkapribado o karapatan ng data subject na nakaaapekto sa 1,000 o higit pang indibidwal |
| Mataas na paglabag | 0.25% hanggang 2% ng taunang kabuuang kita | Kabiguang ipatupad ang kinakailangang hakbang sa seguridad o kabiguan sa pag-abiso ng paglabag |
| Kabiguan sa rehistrasyon / pagkakakilanlan | PHP 50,000 hanggang PHP 200,000 | Kabiguang irehistro ang pagkakakilanlan, DPS, o detalye ng DPO sa NPC |
| Hindi pagsunod sa mga utos ng NPC | PHP 20,000 hanggang PHP 50,000 kada insidente | Pinakamataas na PHP 5,000,000 kabuuan |
Ang kabuuang maipapataw na administratibong multa para sa isang gawa, magresulta man ito sa iisang paglabag o maraming paglabag, ay hindi dapat lumampas sa PHP 5,000,000. Para sa mga organisasyong nagpapatakbo nang wala pang isang taon, ang batayan ay ang kabuuang kita sa oras ng paglabag sa halip na taunang bilang. Ipinapataw lamang ang mga administratibong multa matapos ang abiso at pagdinig sa ilalim ng Rules of Procedure ng NPC.
Ganap na hiwalay sa mga parusang kriminal sa DPA ang mga parusang administratibong ito. Maaaring harapin ng isang controller ang parehong administratibo at kriminal na paglilitis nang sabay-sabay.
Mga Kinakailangan sa Rehistrasyon sa Ilalim ng NPC Circular 2022-04

Nagtatatag ang NPC Circular 2022-04 (nagkabisa Enero 2023) ng mga sapilitang obligasyon sa rehistrasyon para sa mga personal information controller at processor na natutugunan ang alinman sa mga hangganang ito:
- May 250 o higit pang empleyado;
- Nagpoproseso ng sensitibong personal na impormasyon ng 1,000 o higit pang indibidwal; o
- Nagpoproseso ng personal na datos na malamang na magdulot ng panganib sa mga karapatan at kalayaan ng data subject.
Ano ang Kailangang Irehistro
Mga Data Protection Officer. Kailangang irehistro ng bawat saklaw na PIC at PIP ang kanilang DPO sa pamamagitan ng NPC Registration System (NPCRS) portal. Ang form ng rehistrasyon ng DPO (NPC Form 2022-01) ay awtomatikong nagagawa ng sistema at kailangang notaryuhan bago isumite. Kailangang matapos ang rehistrasyon sa loob ng 90 araw mula sa pagtatalaga. Kung mapalitan ang isang DPO, kailangang maipakita ang na-update na pagtatalaga sa NPCRS sa loob ng 10 araw.
Mga Sistema ng Pagproseso ng Datos. Anumang sistema ng pagproseso ng datos na natutugunan ang mga hangganan ay kailangang irehistro sa loob ng 20 araw mula sa unang pagpapatakbo. Kabilang dito ang mga awtomatikong sistemang ginagamit para sa pagproseso, profiling, o awtomatikong paggawa ng desisyon.
Taunang Pagpapanibago. Balido lamang sa isang taon ang mga Certificate of Registration at Seal of Registration at kailangang ipanibago sa loob ng 30 araw bago mag-expire.
Mga Update. Kailangang maipakita ang mga materyal na pagbabago sa nairehistrong impormasyon sa NPCRS sa loob ng 10 araw mula sa pagbabago.
Noong Mayo 2024, nagsagawa ang NPC ng mga on-the-spot privacy sweep sa isang shopping mall at nakita ang 65 komersyal na nangungupahang nagpapatakbo nang wala pang rehistrasyon sa NPC. Nagbabala ang Komisyon na maglalabas ito ng mga show cause order at hahabulin ang mga administratibong multa laban sa mga negosyong hindi sumusunod.
Mga Karapatan ng Data Subject sa Ilalim ng Kabanata IV
Nagbibigay ang DPA ng walong tiyak at maipapatupad na karapatan sa mga data subject.
Karapatang Malaman. Kailangang sabihin sa mga data subject bago o sa punto ng pangongolekta: ang pagkakakilanlan at detalye ng contact ng controller; ang layunin at legal na batayan para sa pagproseso; ang mga tatanggap; ang panahon ng pagtatago; ang pagkakaroon ng kanilang mga karapatan; at kung paano maghain ng reklamo sa NPC.
Karapatan sa Pag-akses. Maaaring hilingin ng mga data subject ang isang paglalarawan ng personal na datos na hawak tungkol sa kanila, ang pinagmulan nito, mga tatanggap, paraan ng pagproseso, petsa ng huling pag-akses, at isang kopya sa isang karaniwang ginagamit na electronic na format.
Karapatang Tumutol. Maaaring tumutol ang mga data subject sa pagproseso, kabilang para sa direktang marketing at awtomatikong profiling. Kailangang ihinto ng controller ang pagproseso pagkatapos ng isang wastong pagtutol maliban kung mapapatunayan nito ang mapanghikayat na lehitimong batayan na nasusupil ang pagtutol.
Karapatan sa Pagbura o Pagharang. Maaaring hilingin ng mga data subject ang pagharang, pagtanggal, o pagsira ng personal na datos na hindi kumpleto, luma na, mali, iligal na nakuha, ginagamit para sa hindi awtorisadong layunin, hindi na kailangan, o pinoproseso sa paglabag sa kanilang mga karapatan. Kailangang kumilos ang mga controller nang mabilis at walang bayad para sa data subject.
Karapatan sa Pagwawasto. Maaaring pagdudahan ng mga data subject ang katumpakan ng kanilang datos at hilinging iwasto ito. Kailangan ding ipaalam ang mga pagwawasto sa mga ikatlong partidong dating nakatanggap ng maling datos.
Karapatan sa Portabilidad ng Datos. Maaaring makuha ng mga data subject ang kanilang personal na datos sa isang electronic o structured na format at ilipat ito sa ibang controller.
Karapatang Maghain ng Reklamo. Maaaring maghain ang mga data subject ng reklamo direkta sa NPC sa pamamagitan ng e-BOSS portal. Nag-iimbestiga, nagdedesisyon, at maaaring mag-utos ng mga remedyo ang NPC kabilang ang kabayaran.
Karapatan sa Danyos. Ang sinumang data subject na nagdurusa ng pinsala dahil sa hindi wasto, hindi kumpleto, luma na, mali, iligal na nakuha, o hindi awtorisadong paggamit ng personal na impormasyon ay maaaring humingi ng kabayaran mula sa personal information controller sa pamamagitan ng aksyong sibil o bilang bahagi ng paglilitis ng NPC.
Sapilitang Pag-abiso ng Paglabag sa Datos
Nagpapataw ang Pilipinas ng mahigpit na kinakailangan sa pag-abiso ng paglabag sa ilalim ng NPC Circular 16-03 tungkol sa Pamamahala ng Personal Data Breach.
Ang Bintanang 72-Oras
Kailangang ipaalam ng isang personal information controller sa parehong NPC at sa mga apektadong data subject sa loob ng 72 oras mula nang matuklasan ang isang paglabag, o mula nang mayroong makatwirang paniniwalang naganap ang isang paglabag. Naaangkop ang timeline na ito kapag ang paglabag ay:
- Kasangkot ang sensitibong personal na impormasyon o impormasyong makapagbibigay-daan sa pagpapanggap sa pagkakakilanlan; o
- May posibilidad na magdulot ng tunay na panganib ng malubhang pinsala sa mga apektadong data subject.
Hindi lahat ng insidente sa seguridad ay nag-uudyok ng sapilitang pag-abiso. Isinasaalang-alang ng NPC ang uri at sensitibidad ng datos, ang bilang ng mga naapektuhang talaan, ang posibilidad ng pinsala, at kung ang datos ay naka-encrypt o iba pang paraan protektado.
Nilalaman ng Pag-abiso
Kailangang isama sa parehong pag-abiso sa NPC at pag-abiso sa data subject: ang uri ng paglabag at isang timeline ng mga pangyayari; ang tinatayang bilang ng mga apektadong data subject; isang paglalarawan ng personal na datos na sangkot; mga hakbang na ginawa para tugunan ang paglabag; mga hakbang para mabawasan ang pinsala; at detalye ng contact ng DPO o compliance officer.
Kumpletong Ulat sa Loob ng Limang Araw
Kailangang isumite ang isang komprehensibong ulat ng paglabag sa NPC sa loob ng limang araw mula nang matuklasan. Maaaring magbigay ng ekstensyon ang NPC kung may makatwirang dahilan, ngunit hindi dapat ipagpalagay ng mga organisasyon na palaging magagamit ang karagdagang oras.
Taunang Pag-uulat ng Insidente sa Seguridad
Bukod sa mga indibidwal na pag-abiso ng paglabag, kailangang magsumite ang mga organisasyon ng isang Annual Security Incident Report (ASIR) sa NPC na nagdodokumento ng lahat ng insidente sa seguridad mula sa nakaraang taon, anuman ang kinakailangan ng indibidwal na pag-abiso.
Mga Kinakailangan sa Data Protection Officer
Kailangang magtalaga ang bawat personal information controller at processor ng isang Data Protection Officer.
Mga Kwalipikasyon at Kalayaan
Kailangang may dalubhasang kaalaman ang DPO sa mga batas at kasanayan sa pagkapribado ng datos, kasama ang sapat na pang-unawa sa mga operasyon ng pagproseso ng datos ng organisasyon para epektibong masubaybayan ang pagsunod. Kailangang kumilos nang independiyente ang DPO, direktang mag-ulat sa pinakamataas na katawan ng pamamahala ng organisasyon, at hindi dapat tumanggap ng mga instruksyon mula sa pamamahala sa paggamit ng kanilang mga tungkulin sa pagsunod. Maaaring hawakan ng DPO ang ibang tungkulin sa loob ng organisasyon basta walang conflict of interest.
Mga Pangunahing Responsibilidad
Kabilang sa mga pangunahing tungkulin ng DPO: pagsubaybay sa pagsunod sa DPA, IRR, at mga isyung inilabas ng NPC; pagsasagawa ng mga privacy impact assessment; pagiging pangunahing punto ng contact para sa mga data subject na gumagamit ng kanilang mga karapatan; pakikipagtulungan sa NPC sa panahon ng mga imbestigasyon; pamamahala sa pagtugon sa paglabag ng datos; at pagsasanay sa mga tauhan tungkol sa mga obligasyon sa pagkapribado.
Mga Cross-Border na Paglilipat ng Datos
Hindi ipinagbabawal ng Pilipinas ang mga internasyonal na paglilipat ng datos ngunit naglalagay ng malaking obligasyon sa pananagutan sa mga controller na nagsisimula ng cross-border na daloy.
Walang Whitelist ng Kasapatan
Kaiba sa EU na may mga adequacy decision, walang pinapanatiling listahan ang Pilipinas ng mga bansang itinuturing na nagbibigay ng sapat na proteksyon. Sinusuri ang mga paglilipat nang isa-isa. Kailangang magsagawa ang naglilipat na controller ng isang Data Privacy Impact Assessment bago simulan ang mga cross-border na daloy.
Kontraktwal na Pananggalang
Noong 2024, naglabas ang NPC ng gabay sa model contractual clauses na maaaring isama ng mga PIC at PIP sa mga nagbubuklod na kasunduang namamahala sa cross-border na paglilipat. Tinutugunan ng mga clause na ito: mga obligasyon sa pagiging kumpidensyal; mga kinakailangan sa pag-apruba ng sub-processor; mga karapatan sa pag-audit; minimum na kinakailangan sa seguridad; at proteksyon ng mga karapatan ng data subject. Katanggap-tanggap din ang mga binding corporate rule sa loob ng mga multinasyunal na grupo.
Pamantayan ng Pananagutan
Nananatiling ganap na may pananagutan ang naglilipat na organisasyon para tiyakin na ang tumatanggap na partido ay nagbibigay ng proteksyong maihahambing sa DPA. Hindi maililipat ang pananagutan sa pamamagitan ng pag-outsource ng pagproseso sa isang dayuhang entidad.
Trigger sa Rehistrasyon
Kung nagpoproseso ang isang controller ng personal na datos ng 1,000 o higit pang indibidwal at nag-outsource ng pagproseso sa mga entidad sa ibang bansa, kailangang irehistro ang sistema ng pagproseso ng datos sa NPC sa loob ng 20 araw mula sa unang daloy ng datos.
Mga Parusang Kriminal sa Ilalim ng Sections 25-34

Nagpapataw ang DPA ng mga parusang kriminal sa mga indibidwal na gumagawa ng mga paglabag sa ilalim ng Batas. Sa ilalim ng Section 34, maaaring managot nang personal at kriminal ang mga responsableng opisyal ng korporasyon.
| Paglabag | Parusa para sa Personal na Impormasyon | Parusa para sa Sensitibong Personal na Impormasyon |
|---|---|---|
| Sec. 25: Hindi Awtorisadong Pagproseso | 1-3 taon + PHP 500K-2M | 3-6 taon + PHP 500K-4M |
| Sec. 26: Kapabayaang Pag-akses | 1-3 taon + PHP 500K-2M | 3-6 taon + PHP 500K-4M |
| Sec. 27: Hindi Wastong Pagtatapon | 6 buwan-2 taon + PHP 100K-500K | 1-3 taon + PHP 100K-1M |
| Sec. 28: Pagproseso para sa Hindi Awtorisadong Layunin | 1.5-5 taon + PHP 500K-1M | 2-7 taon + PHP 500K-2M |
| Sec. 29: Hindi Awtorisadong Pag-akses / Sinasadyang Paglabag | 1-3 taon + PHP 500K-2M | 2-7 taon + PHP 500K-2M |
| Sec. 30: Pagtatago ng Paglabag sa Seguridad | 1.5-5 taon + PHP 500K-1M | Pareho |
| Sec. 31: Mapaminsalang Pagbubunyag | 1.5-5 taon + PHP 500K-1M | Pareho |
| Sec. 32: Hindi Awtorisadong Pagbubunyag | 1-3 taon + PHP 500K-1M | Pareho |
| Sec. 33: Kumbinasyon ng mga Gawa | 3-6 taon + PHP 1M-5M | Pareho |
Ihinahain ang mga kasong kriminal sa Department of Justice, hindi sa NPC. Maaaring isangguni ng NPC ang mga kaso sa DOJ para sa pag-uusig na kriminal kasabay o hiwalay sa sarili nitong mga paglilitis na administratibo.
Mga Kamakailang Kaganapan ng NPC: 2024-2026
Ang NPC ay isa sa pinakaaktibong regulator sa proteksyon ng datos sa Timog-Silangang Asya sa nakalipas na dalawang taon.
NPC Advisory 2024-04: AI at Pagkapribado ng Datos (Disyembre 2024)
Inilabas noong Disyembre 19, 2024, iniaangkop ng Advisory 2024-04 ang DPA sa lahat ng yugto ng lifecycle ng AI: pagpapaunlad, pagsasanay, pagsubok, deployment, at patuloy na paggamit. Kailangang: ibunyag ng mga personal information controller na gumagamit ng AI sa mga data subject ang uri, layunin, at panganib ng pagprosesong nakabatay sa AI; magsagawa ng mga privacy impact assessment bago i-deploy ang mga sistemang AI; ipatupad ang privacy-by-design at mga teknolohiyang nagpapahusay ng pagkapribado; at tiyakin na maipaliwanag ang mga desisyong nabuo ng AI na materyal na nakaaapekto sa mga indibidwal. Tinutugunan ng advisory ang mga large language model, sistema ng computer vision, at mga plataporma ng awtomatikong paggawa ng desisyon.
NPC Circular 2025-01: Mga Body-Worn Camera (Nagkabisa Hunyo 2025)
Nagkabisa noong Hunyo 10, 2025, na may bintana ng pagsunod hanggang Agosto 9, 2025, itinatakda ng circular na ito ang komprehensibong kinakailangan para sa mga controller na gumagamit ng mga body-worn camera o alternatibong kagamitan sa pagre-record, kabilang ang mga mobile phone na ginagamit para sa pagre-record. Naaangkop ito sa pagpapatupad ng batas, pribadong seguridad, mga mamamahayag, at mga vlogger. Kabilang sa mga pangunahing kinakailangan ang mga tagapagpahiwatig ng pagre-record na nakikita sa mga device, hindi mababagong pamamahala ng datos na may encryption, mga recording sa open-format na may embedded na metadata at timestamp, mahigpit na kontrol sa pag-akses, at tinukoy na iskedyul ng pagtatago.
NPC Advisory 2025-02: Privacy Engineering (Huling bahagi ng 2025)
Nagbibigay ang advisory na ito ng gabay tungkol sa pagsasama ng mga prinsipyo ng privacy-by-design sa system development life cycle. Kailangang isama ng mga PIC at PIP na gumagawa o nagbibili ng mga software system na nagpoproseso ng personal na datos ang mga kinakailangan sa pagkapribado mula sa pinakaunang yugto ng disenyo.
NPC Advisory 2026-01: Mga Alituntunin sa Data Scraping (Abril 2026)
Inilabas noong Abril 13, 2026, tinutugunan ng advisory na ito ang awtomatiko o manwal na pagkuha ng personal na datos mula sa mga online na pinagkukunan. Mga pangunahing kongklusyon: ang pagiging pampubliko ay hindi katumbas ng blanket na pahintulot para sa paggamit ng datos; kailangang magtatag ang mga scraper ng isang independiyenteng lehitimong batayan; kailangang ipaalam ng mga PIC sa mga data subject kapag sina-scrape ang kanilang datos; at ang pag-iwas sa mga pananggalang ng website o mga tuntunin ng serbisyo ng plataporma ay maaaring magresulta sa administratibo, sibil, at kriminal na pananagutan. Dapat magpatupad ang mga organisasyong nagho-host ng personal na datos ng rate limiting, pagtukoy ng bot, at mga abisong nakikita ng user.
Makasaysayang Pagpapatupad: Tools for Humanity / World App (Setyembre 2025)
Ang pinakamahalagang aksyon sa pagpapatupad ng NPC hanggang ngayon ay naganap noong Setyembre 23, 2025, nang maglabas ito ng cease and desist order (CDO) laban sa Tools for Humanity (TFH), ang entidad sa likod ng World App at ng programa nitong iris-scanning na Orb.
Nangongolekta ang TFH ng biometric na iris mula sa mga residenteng Pilipino bilang kapalit ng kompensasyon sa cryptocurrency. Natuklasan ng NPC na: ang pahintulot na nakuha sa pamamagitan ng insentibong pananalapi ay hindi maituturing na malayang ibinigay sa ilalim ng DPA; nabigo ang TFH na magbigay ng sapat na abiso tungkol sa uri at saklaw ng pangongolekta ng biometric na datos; tinanggihan ang mga data subject ng makabuluhang mga karapatan sa pag-akses, pagbawi ng pahintulot, at pagbura; at ang saklaw ng pangongolekta ng biometric na datos ay hindi katumbas ng layunin.
Inutusan ng CDO ang TFH na agad na ihinto ang lahat ng pagproseso ng personal na datos na may kaugnayan sa World App at Orb verification sa Pilipinas, tanggalin ang app mula sa mga Philippine app store, at ihinto ang anumang karagdagang paglilipat o pagbubunyag ng datos na nakolekta na. Naghain ang TFH ng isang motion for reconsideration, at nananatiling nasa ilalim ng pagsusuri ang usapin hanggang kalagitnaan ng 2026.
Ipinapakita ng kasong ito ang kahandaan ng NPC na kumilos laban sa mga pandaigdigang teknolohikal na plataporma at itinatag na ang pahintulot sa pamamagitan ng insentibo ay per se kaduda-duda sa ilalim ng batas ng Pilipinas.
Pagsunod ng Negosyo: Praktikal na Checklist
Dapat tugunan ng mga organisasyong nagpoproseso ng personal na datos sa loob o mula sa Pilipinas ang mga sumusunod:
-
Tasahin kung kinakailangan ang rehistrasyon. Naaangkop ang sapilitang rehistrasyon sa NPC kung mayroon kang 250 o higit pang empleyado, nagpoproseso ka ng sensitibong personal na impormasyon ng 1,000 o higit pang indibidwal, o nagpoproseso ka ng datos na nagdudulot ng panganib sa mga data subject. Kung may pagdududa, magrehistro.
-
Magtalaga ng isang kwalipikadong Data Protection Officer. Kailangan ng DPO ng tunay na kadalubhasaan, tunay na kalayaan, at direktang linya ng pag-uulat sa senior management. Irehistro ang DPO sa NPCRS sa loob ng 90 araw mula sa pagtatalaga.
-
Irehistro ang mga kwalipikadong sistema ng pagproseso ng datos. Anumang DPS na natutugunan ang mga hangganan ay kailangang irehistro sa loob ng 20 araw mula sa unang pagpapatakbo sa pamamagitan ng NPCRS portal.
-
Magtatag ng isang Privacy Management Program. Idokumento ang mga patakaran, pamamaraan, at kontrol para sa pangongolekta, pagproseso, pagtatago, at pagtatapon ng datos na sumasaklaw sa lahat ng apat na prinsipyo ng DPA.
-
Magsagawa ng mga Privacy Impact Assessment. Magsagawa ng mga PIA para sa lahat ng makabuluhang aktibidad ng pagproseso at bago mag-deploy ng mga bagong sistema, tool na AI, o cross-border na daloy ng datos.
-
Bumuo ng kakayahang tumugon sa paglabag sa loob ng 72 oras. Kailangang kayang tukuyin, tasahin, at abisuhan ng iyong plano sa pagtugon sa insidente ang parehong NPC at mga data subject sa loob ng 72 oras.
-
I-audit ang mga deployment ng AI laban sa Advisory 2024-04. Kailangan ng anumang sistemang AI na nagpoproseso ng personal na datos ng mga pagsisiwalat ng transparency na sumusunod sa DPA, mga PIA, at mga mekanismo ng pagpapaliwanag.
-
I-audit ang mga mekanismo ng pahintulot. Kung umaasa ka sa pahintulot bilang isang lehitimong batayan, tiyakin na ito ay malayang ibinigay, tiyak, at may kaalaman. Ang pahintulot na hinihikayat ng pananalapi ay may mataas na panganib ng hamon mula sa NPC.
-
Siguraduhin ang mga kasunduan sa cross-border na paglilipat. Para sa mga daloy ng datos sa labas ng Pilipinas, isagawa ang mga model contractual clause o katumbas na pananggalang at magrehistro kung nagpoproseso ng 1,000 o higit pang talaan sa ibang bansa.
-
Ipanibago ang rehistrasyon sa NPC taun-taon. Isumite ang mga pagpapanibago sa loob ng 30 araw bago ang petsa ng pag-expire ng sertipiko.
-
Isumite ang mga Annual Security Incident Report. Isumite ang mga ASIR sa NPC na sumasaklaw sa lahat ng insidente sa seguridad ng nakaraang taon anuman ang kinakailangan ng indibidwal na pag-abiso ng paglabag.
-
Regular na sanayin ang mga tauhan. Kailangang idokumento at subaybayan ng DPO ang pagsasanay tungkol sa mga obligasyon sa DPA, pagtugon sa paglabag, at mga karapatan ng data subject.
Paano Nakakumpara ang Pilipinas sa Iba Pang Balangkas
Nagbabahagi ang Philippine DPA ng mga pagkakatulad sa istruktura sa General Data Protection Regulation (GDPR) ng EU, bagaman naisabatas ito apat na taon bago nagkabisa ang GDPR. Parehong nangangailangan ng data protection officer, nag-aatas ng pag-abiso ng paglabag sa loob ng 72-oras na timeline, at nagbibigay ng malawak na karapatan sa data subject.
Kabilang sa mga pangunahing pagkakaiba:
- Mga parusang kriminal. Nagpapataw ang Pilipinas ng pagkabilanggo para sa mga paglabag. Lumilikha ang GDPR ng pananagutang administratibo sa antas ng EU nang walang direktang sansyong kriminal (bagaman maaaring magsabatas ang mga estado-miyembro ng mga probisyong kriminal na pambansa).
- Istruktura ng multa. Maaaring umabot ang mga multa ng GDPR sa 4% ng pandaigdigang taunang kita nang walang hangganan sa PHP kada paglabag. Ang mga administratibong multa ng Pilipinas ay limitado sa PHP 5 milyon kada paglabag, bagaman ang batayang porsyento-ng-kita ay maaaring makabuo ng malalaking halaga para sa malalaking kompanya.
- Rehistrasyon. Nagpapanatili ang Pilipinas ng isang aktibong sapilitang sistema ng rehistrasyon. Inalis ng GDPR ang mga kinakailangan sa rehistrasyon. Aktibong pinapanibago taun-taon at ipinapatupad ang rehistrasyon sa NPC ng Pilipinas.
- Kasapatan. Hindi pa nakatanggap ang Pilipinas ng adequacy decision mula sa EU. Kaya nangangailangan ang mga paglilipat mula sa EU patungo sa Pilipinas ng karagdagang pananggalang tulad ng standard contractual clauses.
Ang Pilipinas ay isa lamang sa iilang hurisdiksyong hindi kasapi ng EU na nagpapataw ng pagkabilanggong kriminal bilang isang sansyon sa pagkapribado ng datos, na ginagawa itong isang medyo mahigpit na rehimen para sa sinasadyang mga paglabag.
Para sa karagdagang impormasyon tungkol sa mga tuntunin partikular sa pagre-record sa Pilipinas, tingnan ang aming gabay sa mga batas sa pagre-record sa Pilipinas.
Frequently Asked Questions
Naaangkop ba ang Philippine Data Privacy Act sa mga dayuhang kompanya?
Oo. May extraterritorial na aplikasyon ang DPA. Naaangkop ito sa anumang organisasyong nagpoproseso ng personal na datos ng mga indibidwal sa Pilipinas, gumagamit ng kagamitang matatagpuan sa Pilipinas para sa pagproseso, o nagpapanatili ng opisina, sangay, o ahensya sa bansa. Ang isang dayuhang kompanyang may mga server, cloud infrastructure, o mga empleyado sa Pilipinas na humahawak ng personal na datos ay saklaw ng DPA kahit saan man matatagpuan ang punong tanggapan nito.
Ano ang mga administratibong multa para sa mga paglabag sa pagkapribado ng datos sa Pilipinas?
Sa ilalim ng NPC Circular 2022-01, mula 0.5% hanggang 3% ng taunang kabuuang kita ang mga administratibong multa para sa mga malubhang paglabag tulad ng mga paglabag sa pagproseso na nakaaapekto sa 1,000 o higit pang tao, at mula 0.25% hanggang 2% para sa mga mataas na paglabag tulad ng kabiguan sa hakbang ng seguridad. Ang mga kabiguan sa rehistrasyon at pag-abiso ay may multang PHP 50,000 hanggang PHP 200,000. Ang hindi pagsunod sa mga utos ng NPC ay may PHP 20,000 hanggang PHP 50,000 kada insidente. Ang kabuuang maipapataw na multa para sa isang gawa ay limitado sa PHP 5 milyon.
Ano ang parusa sa kabiguang iulat ang isang paglabag sa datos sa loob ng 72 oras?
Ang pagtatago ng isang paglabag sa seguridad na nangangailangan ng pag-abiso ay isang paglabag na kriminal sa ilalim ng Section 30 ng DPA: 1 taon 6 na buwan hanggang 5 taon ng pagkabilanggo kasama ang multang PHP 500,000 hanggang PHP 1,000,000. Maaari ding magpataw ang NPC ng mga administratibong multa sa ilalim ng NPC Circular 2022-01 at maglabas ng compliance order, cease and desist order, o pansamantala o permanenteng pagbabawal sa pagproseso.
Kailangan bang sumunod ng isang maliit na negosyo sa Data Privacy Act?
Oo. Naaangkop ang DPA sa lahat ng natural at juridical na tao na kasangkot sa pagproseso ng personal na impormasyon, anuman ang laki. Naaangkop ang sapilitang rehistrasyon sa NPC partikular sa mga organisasyong may 250 o higit pang empleyado o nagpoproseso ng sensitibong personal na impormasyon ng 1,000 o higit pang indibidwal. Kahit ang maliliit na negosyong regular na nagpoproseso ng personal na datos ay kailangang magtalaga ng isang Data Protection Officer, ipatupad ang naaangkop na hakbang sa seguridad, at igalang ang mga karapatan ng data subject.
Maaari bang humiling ang isang data subject sa Pilipinas ng pagbura ng kanilang personal na datos?
Oo. Sa ilalim ng Karapatan sa Pagbura o Pagharang sa Kabanata IV ng DPA, maaaring hilingin ng mga data subject ang pagharang, pagtanggal, o pagsira ng kanilang personal na datos kapag ito ay hindi kumpleto, luma na, mali, iligal na nakuha, ginagamit para sa hindi awtorisadong layunin, o hindi na kailangan para sa orihinal na layunin ng pangongolekta. Kailangang kumilos ang mga controller sa mga wastong kahilingan sa pagbura nang mabilis at walang bayad para sa data subject.
Paano hinahawakan ng Pilipinas ang mga cross-border na paglilipat ng datos?
Walang pinapanatiling whitelist ang Pilipinas ng mga aprubadong bansa para sa paglilipat ng datos. Sinusuri ang mga paglilipat nang isa-isa. Kailangang magsagawa ang mga organisasyon ng isang Data Privacy Impact Assessment bago maglipat ng datos sa ibang bansa, magtatag ng mga model contractual clause o katumbas na legal na pananggalang, at irehistro ang kanilang mga sistema ng pagproseso ng datos sa NPC kung nagpoproseso sila ng 1,000 o higit pang talaan. Nananatiling ganap na may pananagutan ang naglilipat na organisasyon para tiyakin na ang tumatanggap na partido ay nagbibigay ng sapat na proteksyon.
Balido ba sa ilalim ng batas ng Pilipinas ang pahintulot na nakuha sa pamamagitan ng mga insentibong pananalapi?
Hindi ito maaasahan. Itinatag ng cease and desist order ng NPC noong Setyembre 2025 laban sa Tools for Humanity (World App) na ang pahintulot na nakuha sa pamamagitan ng mga insentibong pananalapi ay hindi maituturing na malayang ibinigay. Iniaatas ng DPA na ang pahintulot ay malayang ibinigay, tiyak, at may kaalaman. Kung saan ang pahintulot ay hinihikayat ng bayad o makabuluhang benepisyo, susuriin ng NPC kung ang data subject ay may tunay na malayang pagpili. Dapat maingat na i-audit ng mga organisasyong umaasa sa pahintulot bilang isang lehitimong batayan kung may anumang anyo ng insentibo.
Kailangan bang sumunod ang mga sistemang AI sa Philippine Data Privacy Act?
Oo. Iniaangkop ng NPC Advisory 2024-04, na inilabas noong Disyembre 2024, ang DPA sa mga sistemang AI sa bawat yugto ng kanilang lifecycle kabilang ang pagpapaunlad, pagsasanay, pagsubok, at deployment. Kailangang magbigay ng transparent na pagsisiwalat ng mga personal information controller na gumagamit ng AI sa mga data subject tungkol sa pagprosesong nakabatay sa AI, magsagawa ng mga privacy impact assessment bago i-deploy, ipatupad ang mga hakbang na privacy-by-design, at tiyakin na maipaliwanag ang mga desisyong nabuo ng AI na nakaaapekto sa mga indibidwal.
Sources and References
- Republic Act No. 10173 -- Data Privacy Act of 2012 (Full Text)(privacy.gov.ph).gov
- 1987 Constitution of the Republic of the Philippines -- Article III, Bill of Rights(officialgazette.gov.ph).gov
- Implementing Rules and Regulations of RA 10173 (Original, 2016)(officialgazette.gov.ph).gov
- Implementing Rules and Regulations of RA 10173 (As Amended, 2023)(privacy.gov.ph).gov
- National Privacy Commission -- Powers and Functions(privacy.gov.ph).gov
- NPC Circular 2022-01 -- Guidelines on Administrative Fines (August 8, 2022)(privacy.gov.ph).gov
- NPC Circular 2022-04 -- Registration of DPO and Data Processing Systems(privacy.gov.ph).gov
- NPC Circular 16-03 -- Personal Data Breach Management(privacy.gov.ph).gov
- NPC Circular 2023-07 -- Guidelines on Legitimate Interest (December 2023)(privacy.gov.ph).gov
- National Privacy Commission -- Appointing a Data Protection Officer(privacy.gov.ph).gov
- National Privacy Commission -- Enforcement Decisions(privacy.gov.ph).gov
- NPC -- Cease and Desist Order Against Tools for Humanity (World App, September 2025)(privacy.gov.ph).gov
- NPC Circular 2025-01 -- Guidelines on Processing Personal Data Collected Using Body-Worn Cameras(privacy.gov.ph).gov
- NPC Advisory 2024-04 -- Guidelines on AI Systems Processing Personal Data (December 2024)(privacy.gov.ph).gov
- Republic Act No. 10173 -- LawPhil Full Text(lawphil.net)
- DLA Piper -- Data Protection Laws of the World: Philippines(dlapiperdataprotection.com)
- Baker McKenzie -- Philippines: Regulators, Enforcement Priorities and Penalties(resourcehub.bakermckenzie.com)
- National Privacy Commission -- Advisories and Circulars (Index)(privacy.gov.ph).gov