Pananagutan ng recruitment agency sa mga labor violation sa Pilipinas

Sa ilalim ng Republic Act No. 10173, o ang Data Privacy Act of 2012 (DPA), ang mga kumpanya sa Pilipinas ay itinuturing na Personal Information Controllers (PIC) o Personal Information Processors (PIP). Bilang mga tagapangalaga ng datos, ang mga kumpanyang ito ay may mabigat na legal na obligasyon na protektahan ang impormasyon ng kanilang mga kliyente, empleyado, at iba pang stakeholder.

Narito ang komprehensibong paliwanag sa mga pananagutan ng isang kumpanya kapag nagkaroon ng data breach.

1. Mandatory Breach Notification (Ang 72-Hour Rule)

Hindi lahat ng security incident ay nangangailangan ng abiso sa gobyerno, ngunit kung ang breach ay kinapapalooban ng Sensitive Personal Information o impormasyong maaaring gamitin para sa identity fraud, obligado ang kumpanya na mag-ulat.

  • Timeline: Dapat ipaalam sa National Privacy Commission (NPC) at sa mga apektadong indibidwal ang tungkol sa breach sa loob ng pitumpu't dalawang (72) oras matapos itong matuklasan.
  • Kailan dapat mag-report? Kapag ang breach ay:
    1. Kinapapalooban ng sensitive personal information o iba pang datos na maaaring magamit sa panloloko.
    2. May sapat na basehan na ang impormasyon ay nakuha ng isang unauthorized person.
    3. Ang panganib sa data subject ay totoo at seryoso.

2. Pananagutang Administratibo (Administrative Fines)

Alinsunod sa NPC Circular No. 2022-01, ang NPC ay may kapangyarihang magpataw ng malalaking multa sa mga kumpanyang hindi sumusunod sa batas. Ang multa ay nakabase sa annual gross income ng kumpanya mula sa nakaraang taon.

Kategorya ng Paglabag Halaga ng Multa
Grave Infractions (Hal. Paulit-ulit na paglabag, apektado ang >1,000 katao) 0.5% hanggang 3% ng annual gross income
Major Infractions (Hal. Kawalan ng sapat na security measures) 0.25% hanggang 2% ng annual gross income
Other Infractions (Hal. Hindi pag-rehistro sa NPC, maling impormasyon) ₱50,000 hanggang ₱200,000

Paunawa: Bagaman may percentage-based computation, ang NPC ay nagtakda ng maximum na multa na ₱5,000,000 para sa bawat isang aktong nilabag.

3. Pananagutang Kriminal (Criminal Penalties)

Ang DPA ay isang batas na may "ngipin." Ang mga sumusunod na krimen ay maaaring magresulta sa pagkabilanggo at multa para sa mga responsable sa kumpanya:

  • Access Due to Negligence (Section 25): Kapag ang breach ay nangyari dahil sa kapabayaan ng kumpanya na maglagay ng sapat na seguridad. Ang parusa ay 1 hanggang 3 taong pagkakulong at multa mula ₱500,000 hanggang ₱2,000,000.
  • Intentional Breach (Section 32): Kung ang isang tao sa loob ng kumpanya ay sinadyang pasukin ang system nang walang pahintulot. Ang parusa ay mas mabigat: 3 hanggang 6 na taong pagkakulong.
  • Concealment of Security Breaches (Section 33): Kapag nalaman ng kumpanya na may breach ngunit ito ay sadyang itinago o hindi ipinaalam sa NPC sa loob ng itinakdang oras. Parusa: 1.5 hanggang 5 taong pagkakulong at multa na hindi bababa sa ₱500,000.

4. Pananagutang Sibil (Civil Liability)

Bukod sa mga multa sa gobyerno at pagkakulong, ang kumpanya ay maaari ring sampahan ng sibil na kaso ng mga Data Subjects (ang mga taong may-ari ng datos).

  • Damages: Ang mga biktima ng data breach ay may karapatang mabayaran para sa anumang pinsalang natamo nila (moral, exemplary, o actual damages) dahil sa pagtagas ng kanilang impormasyon.
  • Indemnity: Maaaring iutos ng NPC ang pagbabayad ng danyos sa mga apektadong indibidwal bilang bahagi ng kanilang adjudication process.

5. Pananagutan ng mga Opisyal ng Kumpanya

Sa ilalim ng Section 34 ng DPA, kung ang lumabag ay isang korporasyon o juridical person, ang parusa ay ipapataw sa mga responsible officers nito. Kasama rito ang mga:

  • Directors
  • Managers
  • Data Protection Officers (DPO)

Sila ang haharap sa kasong kriminal kung mapatutunayan na sila ay may kinalaman, nagpabaya, o pinayagan ang nasabing paglabag. Bukod dito, ang kumpanya ay maaaring mawalan ng lisensya o permit para mag-operate sa Pilipinas.

6. Large-Scale Processing at Aggravating Circumstances

Itinuturing na "Large-Scale" ang isang breach kung ito ay nakaapekto sa hindi bababa sa isang libong (1,000) indibidwal. Sa ganitong sitwasyon, ang korte ay obligadong ipataw ang maximum penalty na nakasaad sa batas, kapwa sa tagal ng pagkakulong at sa halaga ng multa.

7. Pag-iwas sa Pananagutan: Ang Privacy Management Program

Upang mabawasan o maiwasan ang pananagutan, ang kumpanya ay dapat makapagpakita ng Accountability. Ayon sa mga pinakabagong regulasyon (gaya ng NPC Advisory No. 2026-01 at 2025-02), ang kumpanya ay dapat mayroong:

  1. Data Protection Officer (DPO) na rehistrado sa NPC.
  2. Privacy Impact Assessment (PIA) para sa bawat system.
  3. Privacy Management Program (PMP) at Manual.
  4. Security Measures (Organizational, Physical, at Technical).
  5. Breach Management Protocol para sa mabilis na pag-responde sa mga insidente.

Disclaimer: This content is not legal advice and may involve AI assistance. Information may be inaccurate.

Privacy Policy

Terms of Use

Lawyer Login

 
 
Privacy Policy         Terms of Use         Lawyer Login