MONOLITH LAW OFFICE+81-3-6262-3248Všední dny 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Vysvětlení klíčových bodů týkajících se 'povinností podnikatelů' podle novely Zákona o ochraně osobních údajů z roku Reiwa 4 (2022)

General Corporate

Vysvětlení klíčových bodů týkajících se 'povinností podnikatelů' podle novely Zákona o ochraně osobních údajů z roku Reiwa 4 (2022)

Od dubna 2022 (rok 2022 podle gregoriánského kalendáře) byl zaveden novelizovaný Japonský zákon o ochraně osobních údajů. Japonský zákon o ochraně osobních údajů má za cíl zajistit správné zacházení s osobními údaji, zatímco zohledňuje jejich užitečnost a chrání práva a zájmy jednotlivců. Jaké konkrétní změny přináší zavedení novelizovaného Japonského zákona o ochraně osobních údajů? V tomto článku vysvětlíme, jak se mění práva jednotlivců a povinnosti podnikatelů.

Reforma a historie zákona o ochraně osobních údajů

Zákon o ochraně osobních údajů, který byl přijat v roce 2003 (Gregoriánský kalendář) a plně vstoupil v platnost v roce 2005 (Gregoriánský kalendář), byl po deseti letech od svého zavedení, v roce 2015 (Gregoriánský kalendář), revidován s odůvodněním, že “vývoj informačních a komunikačních technologií umožnil využití osobních dat, které nebyly předpokládány v době jeho vzniku”. Tato revize byla plně implementována v roce 2017 (Gregoriánský kalendář).

V této revizi z roku 2017 (Gregoriánský kalendář) bylo zahrnuto ustanovení o “pravidelném přezkumu každé tři roky”, které bere v úvahu “mezinárodní trendy, pokrok v informačních technologiích a situaci vytváření a rozvoje nových průmyslových odvětví”.

Ustanovení týkající se revize zákona o ochraně osobních údajů z roku 2017 (Gregoriánský kalendář) v dodatcích (výňatek)

Článek 12 (Přezkum)

(Vynecháno)

2 Vláda by měla, s cílem efektivně provádět základní politiku ochrany osobních údajů a další úkoly pod dohledem Komise pro ochranu osobních údajů po třech letech od zavedení tohoto zákona, zvážit zlepšení, berouc v úvahu situaci týkající se zajištění lidských zdrojů, zajištění finančních zdrojů a dalších opatření, a pokud to bude považovat za nezbytné, přijmout potřebná opatření na základě výsledků tohoto přezkumu.

3 Kromě věcí stanovených v předchozím odstavci, vláda by měla po třech letech od zavedení tohoto zákona zvážit situaci týkající se mezinárodních trendů v ochraně osobních údajů, pokroku v informačních a komunikačních technologiích, vytváření a rozvoje nových průmyslových odvětví využívajících osobní údaje a dalších faktorů, a pokud to bude považovat za nezbytné, přijmout potřebná opatření na základě výsledků tohoto přezkumu.

4, 5 (Vynecháno)

6 Vláda by měla, berouc v úvahu situaci týkající se zavedení nového zákona o ochraně osobních údajů, situaci týkající se provádění opatření podle prvního odstavce a další okolnosti, zvážit způsob, jakým by měla být ochrana osobních údajů a osobních údajů držených státními a jinými institucemi regulována, včetně možnosti sjednocení těchto ustanovení do jednoho celku.

Reforma zákona o ochraně osobních údajů z roku Reiwa 4 (2022 Gregoriánský kalendář) je první reformou zákona na základě tohoto “pravidla o pravidelném přezkumu každé tři roky”.

Související článek: Co je to zákon o ochraně osobních údajů a osobní údaje? Vysvětluje právník[ja]

Přehled o změně japonského zákona o ochraně osobních údajů (Japanese Personal Information Protection Act) v roce Reiwa 4 (2022)

Změna japonského zákona o ochraně osobních údajů (Japanese Personal Information Protection Act) v roce 2022 se týká následujících šesti bodů:

  1. Podstata práv jednotlivce
  2. Podstata povinností, které by měly být chráněny podnikateli
  3. Podstata mechanismu, který podporuje dobrovolné úsilí podnikatelů
  4. Podstata využití dat
  5. Podstata sankcí
  6. Podstata extrateritoriální aplikace zákona a přeshraničního přenosu

V tomto článku se zaměříme na vysvětlení bodů 1 a 2.

Související článek: Vysvětlení sankcí v japonském zákoně o ochraně osobních údajů (Japanese Personal Information Protection Act) v roce Reiwa 4 (2022)[ja]

Podstata individuálních práv

Došlo k pěti změnám týkajících se podstaty individuálních práv.

Rozšíření individuálního práva na požadavek na zastavení použití a vymazání (článek 30)

V současném zákoně bylo individuální právo na požadavek na zastavení použití a vymazání omezeno na případy porušení zákona, jako je “použití osobních údajů mimo účel” nebo “získání prostřednictvím nelegálních prostředků”. Avšak v novém zákoně, i když “není třeba, aby subjekt zpracování osobních údajů používal držené osobní údaje”, “došlo k úniku atd.”, nebo “existuje riziko poškození práv nebo legitimních zájmů subjektu údajů”, je možné požadovat zastavení použití, vymazání a zastavení poskytování třetím stranám.

Způsob zveřejnění držených osobních údajů (článek 28)

Subjekt údajů může požadovat od subjektu zpracování osobních údajů zveřejnění držených osobních údajů. Po přijetí žádosti musí subjekt zpracování osobních údajů zveřejnit držené osobní údaje. V současném zákoně bylo zveřejnění držených osobních údajů prováděno v zásadě písemně. Avšak v případě velkého množství informací může být písemné předání nevhodné a navíc mohou existovat data, která nejsou vhodná pro písemné předání, jako jsou video nebo audio data. Proto nový zákon umožňuje subjektu údajů požadovat “zveřejnění způsobem určeným subjektem údajů”, například poskytnutím elektronických záznamů. Subjekt zpracování osobních údajů je povinen zveřejnit údaje způsobem požadovaným subjektem údajů.

Od společností, které zpracovávají osobní údaje, se vyžaduje, aby co nejdříve vytvořily systém pro reagování na požadavky na zveřejnění digitálních dat.

Požadavek subjektu údajů na zveřejnění záznamů o poskytnutí třetím stranám (článek 28, odstavec 5)

Subjekt zpracování osobních údajů musí při poskytnutí osobních údajů třetí straně vytvořit záznamy stanovené zákonem a osoba, která přijímá poskytnutí od třetí strany, také musí vytvořit záznamy stanovené zákonem. Tyto záznamy o poskytnutí osobních údajů třetím stranám a záznamy o ověření při přijetí poskytnutí osobních údajů třetí stranou se společně nazývají “záznamy o poskytnutí třetím stranám”.

V současném zákoně subjekt údajů nemohl požadovat zveřejnění záznamů o poskytnutí třetím stranám vytvořených subjektem zpracování. Avšak v novém zákoně může subjekt údajů požadovat zveřejnění záznamů o poskytnutí třetím stranám, což zohledňuje možnost sledování subjektem údajů.

Zahrnutí krátkodobě uchovávaných dat do držených osobních údajů (článek 2, odstavec 7)

V současném zákoně jsou držené osobní údaje definovány jako “osobní údaje, které subjekt zpracování osobních údajů má právo zveřejnit, opravit, doplnit nebo vymazat, zastavit použití, vymazat a zastavit poskytnutí třetím stranám”, “osobní údaje, které by mohly poškodit veřejný zájem nebo jiné zájmy tím, že by bylo zřejmé, že existují”, nebo “osobní údaje, které budou vymazány během období stanoveného vládním nařízením do jednoho roku”, s výjimkou “období stanoveného vládním nařízením do jednoho roku”, které bylo stanoveno na šest měsíců.

Avšak i v případě dat, která mají být vymazána v krátkém čase, existuje možnost, že dojde k úniku atd. během doby, než jsou vymazána. Proto nový zákon zahrnuje i krátkodobě uchovávaná data, která mají být vymazána do šesti měsíců, do “držených osobních údajů”.

Omezení rozsahu ustanovení o opt-out (článek 23, odstavec 2)

Ustanovení o opt-out je “systém, který umožňuje poskytnout osobní údaje třetím stranám bez souhlasu subjektu údajů, za předpokladu, že subjekt údajů může požadovat zastavení poskytnutí po jeho zveřejnění atd.”, ale v současném zákoně byly vyloučeny pouze citlivé osobní údaje.

V novém zákoně je rozsah osobních údajů, které mohou být poskytnuty třetím stranám, omezen a “osobní údaje získané nelegálně” a “osobní údaje poskytnuté podle ustanovení o opt-out” jsou také vyloučeny.

Způsob plnění povinností podnikatele

Byly provedeny dvě změny týkající se způsobu plnění povinností, které by měl podnikatel dodržovat.

Povinnost hlásit úniky dat (článek 22, odstavec 2, Japonský zákon o ochraně osobních údajů)

V současném zákoně není hlášení úniků dat zákonnou povinností, a proto existují někteří podnikatelé, kteří se k tomuto problému nezaujímají aktivně. Pokud podnikatel neoznámí únik dat, může se stát, že Japonská komise pro ochranu osobních údajů nebude mít o případu přehled a nebude moci adekvátně reagovat. Podle novely zákona je nyní povinné oznámit únik dat Komisi pro ochranu osobních údajů a informovat o tom dotčenou osobu, pokud došlo k úniku dat a existuje velké riziko poškození práv a zájmů jednotlivce.

Případy, které spadají do povinnosti hlásit úniky dat, zahrnují “únik citlivých osobních údajů”, “únik způsobený neoprávněným přístupem” a “únik, který může způsobit finanční škodu”, bez ohledu na počet případů, a “velký únik” přesahující 1000 případů.

Zákaz využívání osobních údajů nevhodným způsobem (článek 16, odstavec 2, Japonský zákon o ochraně osobních údajů)

Vzhledem k rychlému rozvoji technologií pro analýzu dat se objevují formy využití osobních údajů, které mohou potenciálně porušovat práva a zájmy jednotlivců, což zvyšuje obavy spotřebitelů. V reakci na to bylo v novele zákona jasně stanoveno, že osobní údaje nesmí být využívány nevhodnými způsoby, které by podporovaly nezákonné nebo nespravedlivé jednání.

“Nevhodné způsoby, které podporují nezákonné nebo nespravedlivé jednání”, zahrnují “poskytování osobních údajů třetím stranám, které se dopouštějí nezákonných činností” nebo “shromažďování a databázové zpracování osobních údajů, které jsou rozptýleně zveřejněny prostřednictvím soudních oznámení atd., a jejich zveřejnění na internetu, přestože je možné předvídat, že to může vyvolat diskriminaci”. Předpokládají se tedy poměrně závažné případy.

Shrnutí

V tomto článku jsme se zabývali prvním a druhým bodem změn. O bodech 3, 4, 5 a 6 budeme diskutovat v dalším článku.

Související článek: Vysvětlení ‘penalizace’ v rámci zákona o ochraně osobních údajů (japonský Zákon o ochraně osobních údajů) po jeho změně v roce Reiwa 4 (2022)[ja]

Představení opatření naší kanceláře

Právnická kancelář Monolis je právnická kancelář s vysokou odborností v oblasti IT, zejména internetu a práva. Nově revidovaný ‘Japonský zákon o ochraně osobních údajů’ je středem pozornosti a potřeba právní kontroly se stále zvyšuje. Naše kancelář poskytuje řešení týkající se duševního vlastnictví. Podrobnosti jsou uvedeny v následujícím článku.

https://monolith.law/practices/corporate[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Zpět na začátek