Co je GDPR? Vysvětlení rozdílů oproti zákonu o ochraně osobních údajů a body, na které by si měly japonské firmy dát pozor
Při rozšiřování podnikání do oblasti EU je nezbytné mít komplexní znalosti o GDPR (Obecném nařízení o ochraně osobních údajů). GDPR se může vztahovat i na japonské společnosti, které nemají základnu v EU. Získejte základní znalosti o GDPR a japonském zákoně o ochraně osobních údajů a zajistěte správné řízení dat.
V tomto článku vysvětlíme GDPR, porovnáme jej s japonským zákonem o ochraně osobních údajů a uvedeme, na co by si japonské společnosti měly dát pozor. Pokud jste právník, který zvažuje, zda je třeba změnit pravidla ochrany dat, nebo chcete vědět, jaké právní předpisy byste měli dodržovat při expanzi do EU, tento článek je určen právě vám.
Co je GDPR (Obecné nařízení o ochraně osobních údajů)
“GDPR (General Data Protection Regulation)” je pravidlo týkající se zacházení s osobními daty (ochrany osobních informací), které stanovila Evropská unie (EU) a je známé také jako “Obecné nařízení o ochraně osobních údajů” v Japonsku.
Cílem GDPR je stanovit přísná kritéria pro zacházení s osobními daty v rámci EU a posílit ochranu soukromí jednotlivců.
Z hlediska ochrany osobních informací poskytuje normy, jak by měly společnosti a organizace zacházet s daty a jak mohou jednotlivci chránit své informace.
Reference: Japonská komise pro ochranu osobních údajů | “Předběžný japonský překlad Obecného nařízení o ochraně osobních údajů (GDPR)[ja]“
Základní principy GDPR jsou následující:
- Zákonnost, spravedlnost a transparentnost
- Omezení účelu
- Minimalizace dat
- Přesnost
- Omezení uchovávání záznamů
- Úplnost a důvěrnost
V následujícím textu vysvětlíme každý z těchto základních principů.
Zákonnost, spravedlnost a transparentnost
Základními principy GDPR, které jsou často uváděny na prvním místě, jsou zákonnost, spravedlnost a transparentnost.
Když podnikatelé shromažďují a zpracovávají osobní údaje, musí vycházet z právně oprávněného základu a je nutné, aby stranám jasně sdělili, jak bude jejich zpracování probíhat.
Dále je od podnikatelů vyžadováno, aby explicitně poskytovali informace o ochraně soukromí a zajistili transparentnost tak, aby strany rozuměly, jak jsou jejich údaje zpracovávány, a mohly je kontrolovat.
Omezení účelu použití
Omezení účelu použití znamená, že sběr a zpracování dat by mělo být prováděno výhradně pro specifické a jasně definované účely.
Podniky, které získávají osobní údaje, musí tyto účely přesně a konkrétně sdělit dotčeným stranám a získat jejich jasný souhlas. Dále jsou podniky povinny omezit použití shromážděných dat pouze na účely, pro které byl získán souhlas od subjektu dat, a přísně tato data spravovat.
Minimalizace osobních údajů
Sběr osobních údajů by měl být omezen (minimalizován) pouze na rozsah nezbytný pro dosažení stanoveného účelu. Osobní údaje bychom měli shromažďovat pouze v rozsahu, který je vhodný pro požadovaný účel, a vyhýbat se sběru nadbytečných informací.
Tímto způsobem se množství uchovávaných osobních údajů udrží na minimu a ochrání se tak soukromí jednotlivců.
Přesnost
Jako základní princip Obecného nařízení o ochraně osobních údajů (GDPR) musí být osobní údaje přesné. Nepřesné osobní údaje je nutné opravit a musí se přijmout opatření k udržení aktuálních a správných informací.
Tímto způsobem jsou chráněna práva a zájmy jednotlivců a zpracování osobních údajů probíhá na základě přesných informací.
Omezení uchovávání záznamů
Mezi základní principy GDPR patří koncept omezení uchovávání záznamů. Osobní údaje, které již nejsou potřebné po dosažení účelu, by měly být rychle smazány.
Neuchováváním již nepotřebných osobních údajů dosahujeme správného řízení osobních údajů a ochrany soukromí.
Úplnost a důvěrnost
Osobní údaje musí být úplné a jejich důvěrnost musí být zachována. Osobní údaje by měly být chráněny proti úpravám a ztrátě a měla by být přijata vhodná opatření k ochraně před neoprávněným přístupem.
Tímto způsobem bude zvýšena důvěryhodnost osobních údajů.
Nejen podniky v EU? Rozsah působnosti GDPR
GDPR se nevztahuje pouze na podniky v EU. Může se týkat i japonských podniků. Vysvětlíme čtyři hlavní skupiny podniků, na které se GDPR vztahuje.
| Cílové podniky podléhající GDPR | Popis |
| Podniky se sídlem v EU | “Správce” | Správce určuje účely a prostředky zpracování dat a vlastní data. Například, podniky s hlavním sídlem nebo pobočkami v EU spadají do této kategorie. Správce má odpovědnost zajistit zákonné a transparentní zpracování dat. |
| Podniky, kterým bylo svěřeno zpracování osobních dat od EU podniků | “Zpracovatel” | Když podnik v EU svěří zpracování dat jinému podniku, tento podnik se stává “zpracovatelem” a podléhá GDPR. Zpracovatel také nese odpovědnost za zajištění bezpečnosti a zákonného zpracování dat. |
| Podniky poskytující zboží nebo služby osobám v EU | Spadají sem podniky provozující online obchody nebo webové služby. Zpracování dat souvisejících s poskytovaným zbožím nebo službami musí být v souladu s normami GDPR. |
| Podniky, které sledují osoby v EU | Sledování znamená dlouhodobé sledování chování nebo stavu konkrétních osob. Například, podniky provozující bezpečnostní kamery nebo sledující online chování spadají do této kategorie a musí zpracovávat data v souladu se zákony. |
Podniky, na které se vztahuje GDPR, jsou povinny zajistit zákonné a transparentní zpracování dat, zabezpečení dat a dodržování norem GDPR.
Související článek: Co když se GDPR vztahuje mimo území EU? Vysvětlení postupů[ja]
Zpracování osobních údajů podle GDPR
GDPR poskytuje rámec pro ochranu soukromí a volný pohyb dat při zpracování osobních údajů.
| Cílem a zásadami tohoto nařízení je zajištění ochrany základních práv a svobod, zejména úcty k osobnímu soukromí, a podpora volného pohybu osobních údajů (článek 4 GDPR). |
GDPR chrání kontrolu a respekt k osobním údajům, zároveň podporuje jejich volný pohyb a zajišťuje důvěryhodnost prostřednictvím správného řízení.
Pro dosažení tohoto cíle je důležitá transparentnost zpracování dat a odpovědnost podniků, které jsou povinny údaje zpracovávat v souladu s předpisy.
GDPR obsahuje také následující ustanovení:
| Při zpracování osobních údajů podniky podléhající GDPR musí obvykle získat souhlas subjektu údajů (článek 6 odstavec 1 písmeno a) GDPR). |
| Zpracovatel musí být schopen prokázat, že má souhlas subjektu údajů pro zpracování jeho osobních údajů (článek 7 odstavec 1 GDPR). |
| Subjekt údajů má také možnost kdykoliv svůj souhlas se zpracováním osobních údajů odvolat (článek 7 odstavec 3 GDPR). |
V některých případech je možné zpracování osobních údajů i bez souhlasu subjektu údajů. Konkrétní příklady jsou následující:
- Když je to nezbytné pro plnění smlouvy, jejíž stranou je subjekt údajů
- Když je to nezbytné pro přijetí opatření na žádost subjektu údajů před uzavřením smlouvy
- Když je to nezbytné pro dodržení právní povinnosti zpracovatele
- Když je to nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné osoby
- Když je to nezbytné pro výkon úkolu ve veřejném zájmu nebo při výkonu veřejné moci
- Když je to nezbytné pro účely oprávněných zájmů zpracovatele nebo třetí strany, za předpokladu, že převažují zájmy nebo základní práva a svobody subjektu údajů
Hlavní práva týkající se osobních údajů podle GDPR
Nařízení GDPR (General Data Protection Regulation) poskytuje subjektům osobních údajů především následující práva:
- Právo na přístup k osobním údajům
- Právo požadovat opravu nebo výmaz osobních údajů
- Právo požadovat omezení zpracování osobních údajů
- Právo vznést námitky proti zpracování osobních údajů
Subjekty osobních údajů mají právo porozumět tomu, jak poskytovatel s jejich informacemi nakládá. Pokud se domnívají, že jsou informace zpracovávány nepřesně nebo nevhodně, mohou požadovat jejich opravu nebo výmaz, případně mohou požadovat dočasné zastavení jejich používání nebo podat námitky proti zpracování.
Hlavní povinnosti týkající se osobních údajů podle GDPR
Zatímco subjekty osobních údajů mají uznávaná výše uvedená práva, společnosti, které shromažďují a zpracovávají osobní údaje, nesou především následující povinnosti:
- Zodpovědnost za vytvoření systému a personálních kapacit pro zpracování osobních údajů v souladu s GDPR
- Zodpovědnost za vedení záznamů o zpracování osobních údajů
- Zodpovědnost za reakci na porušení ochrany osobních údajů
Pro adekvátní ochranu osobních údajů jsou tyto povinnosti, které společnosti nesou, zásadní.
Kromě toho je pro možnost revize v případě potřeby nezbytné, aby byly všechny aktivity zpracování údajů řádně zaznamenány.
V případě porušení ochrany osobních údajů má společnost povinnost přijmout vhodná opatření a informovat o tom dotčené strany.
V případě porušení GDPR
Pokud správce nebo zpracovatel poruší GDPR a způsobí tím škodu subjektu údajů, může být požadováno odškodnění (článek 82 odstavec 1 GDPR).
Dále může porušení GDPR vést k vážným následkům. Například za porušení může být na základě článku 83 GDPR uložena sankce ve formě pokuty od EU (článek 83 GDPR).
Rozdíly mezi GDPR a zákonem o ochraně osobních údajů
Hlavní rozdíly mezi GDPR a zákonem o ochraně osobních údajů jsou následující:
- Ochrana subjektů údajů
- Reakce na porušení osobních údajů
- Ustanovení zástupce
- Sankce za porušení
Níže tyto rozdíly podrobně vysvětlíme.
Ochrana subjektů údajů
GDPR a zákon o ochraně osobních údajů se liší v tom, jaké údaje podléhají ochraně. GDPR chrání osobní údaje zpracovávané v rámci EU široce. Týká se nejen společností se sídlem v EU, ale také těch, které poskytují zboží nebo služby osobám v EU.
Na druhé straně, zákon o ochraně osobních údajů má různý rozsah ochrany v závislosti na zemi nebo regionu.
Například, japonský zákon o ochraně osobních údajů se zaměřuje na ochranu osobních údajů zpracovávaných v Japonsku a jeho ochranný dosah je v zásadě omezen na vnitrostátní úroveň.
Reakce na porušení osobních údajů
GDPR a zákon o ochraně osobních údajů se liší v tom, jak reagují na porušení osobních údajů.
V případě GDPR, pokud dojde k porušení údajů, společnosti mají povinnost nahlásit to dozorovému orgánu do 72 hodin. Mají také odpovědnost rychle a jasně informovat subjekty údajů.
V rámci zákona o ochraně osobních údajů je také požadováno, aby bylo o porušení údajů informováno bez zbytečného odkladu, ale lhůty pro hlášení a obsah oznámení se liší podle země nebo regionu.
Ustanovení zástupce
GDPR a zákon o ochraně osobních údajů mají různá pravidla pro ustanovení zástupce.
Podle GDPR je při zpracování osobních údajů dětí vyžadován souhlas rodičů nebo zákonných zástupců. Když společnosti poskytující online služby zpracovávají osobní údaje dětí mladších 16 let, je také nutný souhlas rodičů.
Zákon o ochraně osobních údajů rovněž vyžaduje souhlas zákonných zástupců při zpracování osobních údajů dětí, ale věková hranice a metody získávání souhlasu se liší podle právních předpisů.
Sankce za porušení
Jako rozdíl mezi GDPR a zákonem o ochraně osobních údajů lze uvést také sankce za porušení.
V případě GDPR může být za porušení uložena sankce až do výše 4 % z celkového ročního obratu společnosti nebo 20 milionů eur.
Sankce stanovené zákonem o ochraně osobních údajů se liší podle země nebo regionu, ale obvykle zahrnují pokuty nebo právní odpovědnost. Výše pokut se mění v závislosti na povaze a závažnosti porušení.
Klíčové body, na které by se měly japonské firmy zaměřit v reakci na GDPR
Následující typy firem by měly přijmout opatření v reakci na GDPR:
- Firmy s dceřinými společnostmi, pobočkami nebo obchodními kancelářemi v EU
- Firmy, které poskytují zboží nebo služby do EU z Japonska
- Firmy, které zpracovávají osobní údaje na základě smlouvy s firmami v EU
Jako konkrétní příklad opatření ve firmách, článek 32 a preambule (83) GDPR doporučují jako jednu z technologií ochrany dat šifrování.
Je tedy nezbytné šifrovat osobní data na klientských PC, pevných discích, USB paměťových médiích, sdílených složkách a podobně.
Kromě toho je nutné aktualizovat zásady ochrany osobních údajů tak, aby odpovídaly požadavkům GDPR. Podrobnosti o zásadách ochrany osobních údajů v souladu s GDPR naleznete v následujícím článku.
Související článek: Vysvětlení klíčových bodů při tvorbě zásad ochrany osobních údajů v souladu s GDPR[ja]
Shrnutí: GDPR opatření by měla být konzultována s odborníky
GDPR (Obecné nařízení o ochraně osobních údajů) chrání osobní data zpracovávaná v rámci EU na široké bázi a vyžaduje jejich zákonné a transparentní zpracování a zajištění bezpečnosti. Mezi rozdíly mezi GDPR a japonským zákonem o ochraně osobních údajů patří rozsah ochrany, reakce na porušení osobních údajů, nastavení zástupce a sankce za porušení.
GDPR se vztahuje především na společnosti se sídlem v EU, společnosti poskytující zboží nebo služby osobám v EU a společnosti, které zpracovávají osobní údaje na základě pověření od společností v EU. V případě porušení GDPR hrozí nároky na odškodnění a sankční pokuty, proto je třeba být velmi opatrný.
Doporučujeme konzultovat s odborníky, zda je třeba změnit pravidla ochrany dat vaší společnosti, aby byla v souladu s GDPR.
Představení opatření naší kanceláře
Advokátní kancelář Monolith je právní firma s bohatými zkušenostmi v oblasti IT, zejména internetu a práva. V posledních letech se globální podnikání neustále rozšiřuje a potřeba právní kontroly odborníky stále roste. Naše kancelář poskytuje řešení v oblasti mezinárodního práva.
Oblasti působnosti advokátní kanceláře Monolith: Mezinárodní právní služby a zahraniční podnikání[ja]
Related Articles
Klíčové body novely zákona o prevenci nekalé soutěže, která nabývá účinnosti v dubnu roku Reiwa .
General Corporate
Je možné zrušit pracovní nabídku kvůli špatnému výkonu nebo zmenšení podnikání v důsledku korona.
General Corporate
Doporučený nákup doplňků stravy. Jaké jsou body, na které je třeba dávat pozor při poskytování s.
General Corporate
Není možné vrátit zboží označené jako 'Bez reklamací, bez vrácení'? Vysvětlení právní platnosti
General Corporate
Nakolik je důvěryhodné každé médium? Vysvětlení skutečného využití médií podle účelu
General Corporate
