top of page

菲律宾数据保护官DPO

  • Writer: Alice Liu
    Alice Liu
  • Oct 2
  • 4 min read

Updated: Oct 15


主题:数据合规、隐私保护

日期:2025年10月2日


一、术语定义

“数据保护官”(Data Protection Officer,简称 DPO)指由机构或组织负责人指定的个人, 负责确保其遵守《数据隐私法》(The Data Privacy Act of 2012 (Republic Act No. 10173))、其实施细则IRR及隐私委员会的其他发布; 除法律或委员会另有允许外, 该个人必须为政府机构或私营实体的正式员工; 并且一个政府机构或私营实体不得拥有超过一名 DPO, 集团性公司可以拥有同一名DPO, 但每个实体仍以自己实体的DPO电子邮件地址分别向国家隐私委员会(NPC)进行注册。 

二、数据处理系统(DPS)和数据保护官(DPO)的注册

A. 强制注册Mandatory Registration

雇佣 250 名或以上员工的公司, 或处理 1,000 名或以上个人的敏感个人信息的公司, 或处理的数据可能对数据主体的权利和自由构成风险的公司, 必须在国家隐私委员会注册所有数据处理系统。

B. 自愿注册Voluntary Registration

若公司的数据处理系统不符合前款所述条件, 可选择自愿注册。若公司既不属于强制注册范围, 又不选择自愿注册, 则须向委员会提交经宣誓的声明。

C. 注册时间 When to Register

相关公司须在新实施数据处理系统或首次任命 DPO 生效之日起 20 天内, 通过 隐私委员会 官方注册平台完成注册。若需对现有注册信息进行小幅修改, 包括更新数据处理系统或更换 DPO, 公司须在系统更新或新 DPO 任命生效之日起 10 天内完成更新。

三、数据保护官(DPO)的主要职责

为了有效履行确保组织遵守数据隐私法及其他适用法律的角色, DPO 需承担以下责任:

  • 监督合规: 监督个人信息控制者(PIC)或个人信息处理者(PIP)遵守数据隐私法及其实施细则、国家隐私委员会发布的规定, 以及其他相关法律与政策; 倡导并参与制定、审查和修订与隐私和数据保护相关的政策、指南、项目或计划;

  • 确保进行隐私影响评估PIA: 针对 PIC 或 PIP 的各类活动、措施、项目、计划或系统, 确保开展隐私影响评估;

  • 提供咨询与建议: 就数据主体的投诉及其行使权利, 如获取信息、澄清、修正或删除个人数据的请求, 向 PIC 或 PIP 提供意见和指导;

  • 数据泄露与安全事件管理: 确保 PIC 或 PIP 建立妥善的数据泄露和安全事件管理机制, 监督其在规定期限内准备并提交相关事件报告及文件至 隐私委员会;

  • 隐私与数据保护意识推广: 在组织内部宣传并提升隐私保护意识, 向全体员工传达与隐私和数据保护相关的法律、规则、规章及隐私委员会发布的要求;

  • 联络窗口角色: 作为 PIC 或 PIP 在数据主体、隐私委员会及其他主管机关之间的联络人, 就所有涉及数据隐私或安全的问题进行沟通与协调;

  • 与 隐私委员会协作: 在数据隐私和安全相关事务中, 与 隐私委员会保持合作、协调并寻求指导; 执行 PIC 或 PIP 指派的其他有助于促进数据隐私与安全、维护数据主体权利的职责和任务。

四、注册流程

步骤一:创建账号

访问 隐私委员会 注册系统(NPCRS):https://npcregistration.privacy.gov.ph

注册时, 公司需输入 DPO 的姓名及联系方式, 并提供唯一的 DPO 专用官方邮箱, 如 dataprotection@domain.com

步骤二:正式注册

1. 使用账号登录,选择 DPO/DPS(data processing system) 注册类型;

2. 注册过程中,控制者(PIC)或处理者(PIP)须:

- 填写组织/机构负责人的姓名和联系方式

- 填写数据处理系统的详细信息

- 填写隐私合规官的信息

- 上传支持文件,如营业执照/注册证明/经公证的 DPO 任命文件等(视机构性质而定)

3. 点击“保存注册”;

4. 公证流程:

- 导出系统自动生成的 表格(PDF 格式)

- 打印并由 DPO 和组织负责人签署

- 经公证后扫描并上传

注意:提交后, 委员会将审核; 若有缺漏,PIC/PIP 须在 5 天内补齐材料。

步骤三:缴费、下载证书和印章

提交并验证通过后, 系统状态将变为“待缴费”, 点击“立即支付”完成付款, 缴费完成后即可下载注册证书及 注册印章。费用标准依据 隐私委员会 通告第 2023-01 号第 1 条执行。


ree

 

五、重要提醒

  • 所有公司必须使用官方 DPO 邮箱, 不得与 DPO 本人身份相关, 须与 DPO 职位绑定; 每个 PIC/PIP 的 DPO 邮箱地址必须唯一, 提供的邮箱及菲律宾手机号码将被视为官方联系渠道;

  • 虽然遵守《数据隐私法》的最终责任 在于组织,而非 DPO, 但根据菲律宾法律法规,DPO可能因其不当处置或者不当/怠于履行法定责任, 进而导致的未经授权访问和信息泄露, 而面临最高至6年的监禁和最高至400万比索的罚金, 因此建议企业在选任DPO的时候谨慎挑选, 并进行能力考核。














bottom of page