Klíčové body novely Zákona o ochraně osobních údajů z roku Reiwa 6 (2024): Co byste měli vědět o změnách a opatřeních?

V dubnu roku Reiwa 6 (2024) vstoupí v platnost novelizované prováděcí předpisy k zákonu o ochraně osobních údajů. Tato novela rozšiřuje povinnost hlásit případy úniku a podobně Japonské komisi pro ochranu osobních údajů a povinnost informovat dotčené osoby.

Hlavním bodem této novely je reakce na současné problémy s ochranou osobních údajů, jako je web skimming.

Přestože je pro správné pochopení a adekvátní reakci na změny potřeba odborných znalostí, mnoho lidí možná neví, jaká opatření by jejich společnost měla přijmout. V tomto článku vysvětlíme klíčové body novely Reiwa 6 a navrhneme možná řešení.

Přehled změn v zákoně o ochraně osobních údajů v roce Reiwa 6 (2024)

Změny v zákoně o ochraně osobních údajů, na které bychom měli věnovat pozornost v roce Reiwa 6 (2024), se týkají rozšíření povinnosti hlášení a oznámení v případě úniku a povinnosti zavést bezpečnostní opatření, které nyní zahrnují i určité „osobní informace“.

Podle původních pravidel se povinnost hlášení v případě úniku a další povinnosti týkaly pouze „osobních dat“, zatímco „osobní informace“ nebyly zahrnuty.

V důsledku této novely jsou změny uvedeny v článku 7 odstavec 3 prováděcího nařízení k zákonu o ochraně osobních údajů a v 「Japonské směrnice k zákonu o ochraně osobních údajů (obecná část)」[ja].

Konkrétní regulační obsah a změny budou podrobně vysvětleny níže.

Cílové skupiny regulace v dosavadním zákoně o ochraně osobních údajů

Pro pochopení obsahu novely je nezbytné mít přesné porozumění regulacím stanoveným před novelizací. Zde vysvětlíme definice a obsah regulací, které byly stanoveny před novelizací.

Rozdíl mezi osobními informacemi a osobními daty

Zákon o ochraně osobních údajů rozlišuje mezi „osobními informacemi“ a „osobními daty“ jako objekty ochrany.

„Osobní informace“ se vztahují na informace o žijících jedincích, které umožňují identifikaci konkrétní osoby na základě údajů obsažených v informacích, jako jsou jméno a datum narození. Toto je definováno v článku 2 odstavci 1 bodu 1 Zákona o ochraně osobních informací.

Související článek: Změna Zákona o ochraně osobních informací v roce Reiwa 4 (2022) zavádí ‘pseudonymizované informace’ a další pro podporu využívání dat[ja]

Na druhou stranu „osobní data“ se vztahují na osobní informace, které tvoří databázi osobních informací, jak je stanoveno v článku 16 odstavci 1 Zákona o ochraně osobních informací.

Například při vytváření seznamu účastníků události se informace zaslané rezervujícím, jako jsou jména a adresy, nazývají „osobní informace“. Databáze vytvořená shromážděním osobních informací jednotlivých rezervujících do tabulky, jako je například spreadsheet, se nazývá „databáze osobních informací“. Jednotlivé informace, které tuto databázi tvoří, se považují za „osobní data“.

Je důležité pochopit, že v Zákoně o ochraně osobních informací se obsah regulace výrazně liší v závislosti na tom, zda se jedná o „osobní informace“ nebo „osobní data“.

Co je povinnost hlášení úniků informací a dalších událostí

Zákon o ochraně osobních údajů ukládá subjektům zpracovávajícím osobní údaje povinnost hlásit Úřadu pro ochranu osobních údajů a informovat dotčenou osobu v případě, že dojde k úniku osobních dat nebo jiné podobné události.

(Hlášení úniků a dalších událostí)
Článek 26: Subjekty zpracovávající osobní údaje musí, pokud dojde k úniku, ztrátě, poškození nebo jiné situaci týkající se zabezpečení osobních dat, která může významně poškodit práva a zájmy jednotlivců, jak je stanoveno pravidly Úřadu pro ochranu osobních údajů, o této situaci Úřadu pro ochranu osobních údajů nahlásit v souladu s těmito pravidly. Toto neplatí, pokud subjekt zpracovávající osobní údaje pověřil zpracováním osobních dat jiný subjekt zpracovávající osobní údaje nebo veřejnou instituci a o situaci informoval v souladu s pravidly Úřadu pro ochranu osobních údajů.
2 V případech stanovených v předchozím odstavci musí subjekty zpracovávající osobní údaje (s výjimkou těch, které provedly oznámení podle výjimky uvedené v předchozím odstavci) informovat dotčenou osobu o situaci v souladu s pravidly Úřadu pro ochranu osobních údajů. Toto neplatí, pokud je informování dotčené osoby obtížné a jsou přijata náhradní opatření nezbytná k ochraně práv a zájmů dotčené osoby.

Zákon o ochraně osobních údajů | e-Gov právní vyhledávání[ja]

Povinnost hlášení a informování nevzniká ve všech případech úniku informací. Zákon o ochraně osobních údajů a jeho prováděcí předpisy v článku 7 stanovují povinnost hlášení pouze v následujících čtyřech případech:

1. Únik osobních dat obsahujících citlivé osobní informace (například výsledky zdravotních prohlídek zaměstnanců)
2. Únik osobních dat, který může vést k finanční škodě z důvodu neoprávněného využití (například čísla kreditních karet)
3. Únik osobních dat, který byl proveden s nelegálním úmyslem
4. Únik osobních dat, který se týká více než 1000 osob

V této revizi došlo ke změně obsahu článku 7 odst. 3.

Co jsou bezpečnostní opatření

Zákon o ochraně osobních údajů ukládá subjektům zpracovávajícím osobní údaje povinnost přijímat nezbytná a vhodná opatření k prevenci úniku osobních dat a jiných bezpečnostních rizik a k zajištění bezpečného zpracování.

(Bezpečnostní opatření)
Článek 23: Subjekty zpracovávající osobní údaje musí přijmout nezbytná a vhodná opatření k prevenci úniku, ztrátě nebo poškození zpracovávaných osobních údajů a k dalšímu zajištění jejich bezpečného zpracování.

Zákon o ochraně osobních údajů | e-Gov právní předpisy[ja]

Jako konkrétní příklady lze uvést kontrolu přístupu, školení zaměstnanců a zavedení pravidel.

Regulace před novelizací

Před novelizací byly subjekty povinny hlásit případy úniku a podobně a zavádět bezpečnostní opatření pouze pro “osobní data”. V případě “osobních informací” nebyly podniky povinny tyto povinnosti plnit, i když došlo k úniku informací.

Avšak, rozšíření povinností hlášení a notifikace a povinnosti zavést bezpečnostní opatření nyní zahrnuje i určité “osobní informace”, což je klíčová změna této novely.

Záměr a účel změny prováděcího předpisu k zákonu o ochraně osobních údajů

Tato změna je primárně zaměřena na opatření proti web skimmingu. Web skimming je útočná metoda, při které jsou na e-commerce webových stránkách instalovány škodlivé programy za účelem krádeže osobních údajů.

Konkrétně se jedná o metodu, kdy útočník přímo získává hesla a informace o kreditních kartách, které uživatel zadává do formulářů na webových stránkách.

Při web skimmingu je charakteristické, že informace zadané uživatelem jsou ukradeny přímo předtím, než jsou začleněny do databáze osobních údajů provozovatele e-commerce stránky. V této fázi jsou ukradené informace stále považovány za “osobní informace” a ještě nedošlo k jejich přeměně na “osobní data”.

Před změnou byla povinnost hlásit úniky omezena pouze na “osobní data”. Proto v případě úniku informací způsobeného web skimmingem nebyli provozovatelé e-commerce stránek povinni takový únik hlásit.

Cílem této změny je rozšířit povinnost hlášení úniků informací a opatření pro zabezpečení tak, aby zahrnovala i “osobní informace”, a to s cílem zahrnout do hlášení i úniky informací způsobené web skimmingem.

Obsah změn prováděcích předpisů k zákonu o ochraně osobních údajů v roce Reiwa 6 (2024)

Rozšíření povinnosti hlásit úniky a podobně

Článek 7 odstavec 3 prováděcích předpisů k zákonu o ochraně osobních údajů byl změněn následovně.

“Subjekt zpracování osobních údajů” zahrnuje také zpracovatele na základě smlouvy a poskytovatele služeb zpracování osobních údajů.

Kromě toho, zda se informace, které subjekt zpracování osobních údajů získává, považují za “osobní informace”, se posuzuje objektivně s ohledem na způsob získání osobních informací (Guidelines General Provisions 3-5-3-1).

Takto se rozsah povinnosti hlásit a informovat o únicích a podobně rozšířil na “osobní informace” v určitých případech, což je hlavní změna při revizi v roce Reiwa 6 (2024).

Rozšíření opatření pro zajištění bezpečnosti

S revizí regulace povinnosti hlásit úniky došlo také ke změně v zápisu v Guidelines General Provisions 3-4-2.

Opatření pro zajištění bezpečnosti, která by subjekty zpracování měly přijmout, nyní zahrnují také nezbytná a vhodná opatření k prevenci úniků osobních údajů (včetně osobních informací, které subjekt zpracování osobních údajů získal nebo se snažil získat) a které se očekává, že budou zpracovávány jako osobní data.

Rozsah opatření pro zajištění bezpečnosti byl rozšířen nejen na “osobní data”, ale také na “osobní informace” v určitých případech.

Reference: Komise pro ochranu osobních údajů｜(Platné od 1. dubna Reiwa 6 (2024)) Guidelines k zákonu o ochraně osobních údajů (General Provisions)

Opatření, která je třeba přijmout v důsledku provádění novelizovaného zákona o ochraně osobních údajů

Opatření, která je třeba přijmout v reakci na provádění novelizovaného zákona o ochraně osobních údajů (2024) jsou následující dvě:

• Revidovat zásady ochrany soukromí
• Revidovat a zveřejnit interní předpisy

Pojďme se na každé z nich podívat podrobněji.

Revidovat zásady ochrany soukromí

Podniky zpracovávající osobní údaje musí zajistit, aby byla opatření pro bezpečné zpracování osobních dat dostupná a srozumitelná pro subjekty údajů. To zahrnuje i schopnost odpovědět na požadavky subjektů údajů bez zbytečného odkladu (článek 32 odstavec 1 bod 4 japonského zákona o ochraně osobních údajů).

Podniky, které se již dříve spoléhaly na zásady ochrany soukromí pro informování o opatřeních pro bezpečné zpracování osobních dat, musí být opatrné. Je nutné do zásad ochrany soukromí doplnit informace o nově zahrnutých osobních údajích, které podléhají bezpečnostním opatřením.

Revidovat a zveřejnit interní předpisy

V důsledku změn se vytváří povinnost hlásit a informovat i o některých únicích osobních údajů, což je třeba odrážet i v interních předpisech a informovat o tom zaměstnance.

Nově zahrnuté případy úniku osobních údajů, které podléhají povinnosti hlášení, nejsou omezeny pouze na web skimming. Například, pokud podnik zpracovávající osobní údaje pošle zákazníkovi odpovědní obálku s pozměněnou adresou a osobní údaje vyplněné na dotazníku uvnitř obálky se dostanou do rukou třetí strany, stává se toto únikem osobních údajů, který podléhá povinnosti hlášení.

Protože se rozšiřuje rozsah osobních údajů, které podléhají povinnosti hlášení, je nutné upozornit zaměstnance na změny v zacházení s těmito údaji.

Shrnutí: V reakci na změny v zákoně o ochraně osobních údajů se poraďte s odborníky

V rámci změn zákona o ochraně osobních údajů v roce Reiwa 6 (2024) došlo k rozšíření povinnosti hlášení a oznámení v případě úniku údajů a také k rozšíření opatření pro zabezpečení. Před změnou se to týkalo pouze “osobních dat”, ale nyní se v určitých případech týká i “osobních informací”.

V důsledku této změny je nutné přijmout opatření, jako je revize zásad ochrany soukromí a interních předpisů.

Při zpracování osobních informací je riziko velké, včetně možné ztráty společenského kreditu, pokud nebudou opatření správně provedena. Doporučujeme konzultovat s právníkem, když se s tímto vypořádáváte.

Představení opatření naší kanceláře

Právní kancelář Monolith má bohaté zkušenosti v oblasti IT, zejména internetu, a práva. V poslední době se únik osobních údajů stal velkým problémem. V případě úniku osobních informací může dojít k závažnému negativnímu dopadu na podnikání. Naše firma má odborné znalosti v prevenci úniku informací a v reakci na takové situace. Podrobnosti naleznete v následujícím článku.

Specializace právní kanceláře Monolith: Právní služby související s ochranou osobních údajů[ja]