Vysvětlení 'pokut' v rámci novelizace zákona o ochraně osobních údajů v roce Reiwa 4 (2022)
Od dubna 2022 (rok 2022 podle gregoriánského kalendáře) byl zaveden nový japonský zákon o ochraně osobních údajů. Po vysvětlení důležitých bodů týkajících se “odpovědnosti podnikatelů” podle novely japonského zákona o ochraně osobních údajů z roku 2022, tentokrát vysvětlíme způsoby využití dat a sankce.
Přehled o změně zákona o ochraně osobních údajů v roce Reiwa 4 (2022)
Změna japonského zákona o ochraně osobních údajů v roce 2022 se týká následujících šesti bodů:
- Podstata práv jednotlivce
- Podstata povinností, které by měly být chráněny podnikateli
- Podstata mechanismu, který podporuje dobrovolné úsilí podnikatelů
- Podstata využití dat
- Podstata sankcí
- Podstata extrateritoriální aplikace zákona a přeshraničního přenosu
V článku “Vysvětlení klíčových bodů změny japonského zákona o ochraně osobních údajů v roce 2022 – ‘Povinnosti podnikatelů'[ja]” jsme vysvětlili body (1) a (2) změny. Zde vysvětlíme body (3), (4), (5) a (6) změny.
Související článek: Co je japonský zákon o ochraně osobních údajů a osobní údaje? Vysvětluje právník[ja]
Podoba mechanismu podporujícího samostatné úsilí podnikatelů
Vzhledem k diverzifikaci podnikatelských aktivit a pokroku v IT technologiích se zvyšuje význam toho, aby soukromé organizace vytvářely vlastní pravidla pro zacházení s osobními daty v konkrétních oblastech a aktivně poskytovaly pokyny cílovým podnikatelům.
V rámci japonského zákona o ochraně osobních údajů (Act on the Protection of Personal Information) je kromě Komise pro ochranu osobních údajů využívána také ochrana informací prostřednictvím soukromých organizací a je zaveden systém akreditovaných organizací. Organizace, jako jsou právnické osoby, které zpracovávají stížnosti týkající se zacházení s osobními údaji a poskytují informace o správném zacházení s osobními údaji podnikatelům, mohou získat akreditaci od Komise pro ochranu osobních údajů a stát se “akreditovanou organizací pro ochranu osobních údajů”. Podle novely zákona může být jako akreditovaná organizace akreditována organizace zaměřená na konkrétní oblast (oddělení) podnikání (článek 47, odstavec 2). Toto je krok k dalšímu využití akreditovaných organizací a k podpoře ochrany osobních údajů s využitím odbornosti organizací, které se zaměřují na konkrétní oblasti podnikání.
Postavení využití dat
Došlo k úpravě dvou bodů týkajících se postavení využití dat.
Zavedení “pseudonymizovaných informací” a zmírnění povinností (článek 2, odstavec 9)
Podle současného zákona jsou informace, které byly pouze pseudonymizovány, stále považovány za “osobní údaje”, a podnikatelé jsou povinni dodržovat různé povinnosti týkající se zacházení s osobními údaji. Nicméně, existuje rostoucí potřeba využívat tyto “pseudonymizované osobní údaje” tak, že zajišťují určitou míru bezpečnosti, zatímco udržují užitečnost dat na stejné úrovni jako před zpracováním, což umožňuje provádět podrobnější analýzy relativně jednoduchými zpracovatelskými metodami.
V reakci na to bylo v novém zákoně zavedeno “pseudonymizované informace”, které byly vytvořeny odstraněním jmen a podobných údajů, a povinnosti, jako je reagování na požadavky na zveřejnění a zastavení použití, byly zmírněny za podmínky, že se omezí na interní analýzy, s cílem podpořit inovace.
Pseudonymizované informace jsou definovány jako “informace o jednotlivci, které byly získány zpracováním osobních údajů tak, že nelze identifikovat konkrétní osobu, pokud nejsou porovnány s jinými informacemi”. Například, “jméno, věk, datum, čas, částka, obchod” byly zpracovány na “pseudonymní ID, věk, datum, čas, částka, obchod”. Předpokládané příklady využití zahrnují “interní analýzy pro nové účely, které nejsou v souladu s původním účelem použití, nebo pro účely, u kterých je těžké rozhodnout, zda jsou relevantní” (například výzkum v oblasti zdravotnictví a farmaceutického průmyslu, detekce podvodů, předpovědi prodeje a další učení strojových modelů), a “zpracování a uchovávání osobních údajů, které dosáhly svého účelu použití, jako pseudonymizované informace, protože existuje možnost, že budou v budoucnu využity pro statistické analýzy”.
Co se týče metody vytváření pseudonymizovaných informací, minimální pravidla vyžadují, aby byla provedena následující opatření:
- Odstranění všech nebo části popisů, které mohou identifikovat konkrétní osobu (například jméno) (včetně nahrazení, stejně jako níže)
- Odstranění všech osobních identifikačních kódů
- Odstranění popisů, které by mohly způsobit finanční škodu v případě zneužití (například číslo kreditní karty)
Je požadováno, aby byla provedena tato opatření.
Povinnost ověřit informace, které se předpokládá, že se stanou osobními údaji u příjemce (článek 26, odstavec 2)
Podle současného zákona, pokud informace nepatří do kategorie osobních údajů u poskytovatele, nejsou regulovány, i když se předpokládá, že se stanou osobními údaji u příjemce. Nicméně, nový zákon nyní vyžaduje, aby bylo ověřeno, zda bylo získáno souhlas subjektu údajů atd., pokud jde o poskytování informací třetím stranám, které se předpokládá, že se stanou osobními údaji u příjemce, i když nejsou považovány za osobní údaje u poskytovatele.
Vzhledem k rozvoji a rozšíření technologií, které umožňují shromažďování velkého množství uživatelských dat a jejich okamžité spojení do osobních údajů, se stále více objevují schématy, které obcházejí záměr zákona o ochraně osobních údajů tím, že poskytují neosobní informace třetím stranám, přestože předem vědí, že se stanou osobními údaji u příjemce. Důvodem je obava z rozšíření metod shromažďování osobních údajů bez zapojení subjektu údajů.
O pokutách
Byly provedeny dvě změny týkající se pokut.
Zvýšení zákonných trestů za porušení příkazů výboru a za podávání nepravdivých zpráv výboru (článek 83, článek 87 atd.)
Vzhledem k rostoucímu počtu případů porušení zákona a zvyšujícímu se počtu případů, kdy jsou prováděny inspekce a výběr zpráv, je nutné zvýšit účinnost těchto inspekcí a výběru zpráv, které jsou základem pro pochopení skutečné situace podniků. V revidovaném zákoně byly proto zákonné tresty zvýšeny.
Při porušení příkazů od ‘Japonské komise pro ochranu osobních údajů’ byl původní trest šest měsíců vězení nebo pokuta do 300 000 jenů, ale v revidovaném zákoně je to jeden rok vězení nebo pokuta do 1 000 000 jenů. ‘Nelegální poskytování databází osobních údajů atd.’ zůstává stejné s trestem do jednoho roku vězení nebo pokutou do 500 000 jenů. ‘Podávání nepravdivých zpráv Japonské komisi pro ochranu osobních údajů’, které bylo původně pokutováno do 300 000 jenů, bylo v revidovaném zákoně zvýšeno na pokutu do 500 000 jenů.
Zvýšení pokut pro právnické osoby (článek 84, článek 85 atd.)
V původním zákoně byla pokuta pro právnické osoby stejná jako pro jednotlivce, ale v revidovaném zákoně byla pokuta pro právnické osoby zvýšena (těžší tresty pro právnické osoby) s ohledem na rozdíly v finančních prostředcích mezi právnickými osobami a jednotlivci. Je to proto, že se očekává, že pokuta ve stejné výši jako pro jednotlivce nebude mít dostatečný odstrašující účinek jako trest.
Při porušení příkazů ‘Japonské komise pro ochranu osobních údajů’ právnickými osobami byla původní pokuta stejná jako pro jednotlivce, tedy do 300 000 jenů, ale v revidovaném zákoně je to pokuta do 100 000 000 jenů. ‘Nelegální poskytování databází osobních údajů atd.’ bylo původně pokutováno stejně jako pro jednotlivce, tedy do 500 000 jenů, ale v revidovaném zákoně je to pokuta do 100 000 000 jenů. Nicméně, ‘Podávání nepravdivých zpráv Japonské komisi pro ochranu osobních údajů’ zůstává stejné jako pro jednotlivce, tedy pokuta do 500 000 jenů.
Aplikace zákona mimo území a přeshraniční převody
Ohledně aplikace zákona mimo území a přeshraničních převodů došlo k následujícím dvěma změnám.
Posílení aplikace zákona mimo území (článek 75)
V současném zákoně byla pravomoc, kterou bylo možné uplatnit vůči zahraničním podnikatelům, na které se vztahuje aplikace zákona mimo území, omezena na pravomoci bez donucovací síly, jako je vedení a poradenství a doporučení. Avšak, vzhledem k možnosti, že Komise nebude schopna adekvátně reagovat na případy úniku dat v zahraničí, bylo v novém zákoně rozhodnuto posílit pravomoc Komise pro ochranu osobních údajů tím, že zahraniční podnikatelé, kteří zpracovávají osobní údaje související s poskytováním zboží nebo lékařských služeb osobám v Japonsku, budou podléhat sankcím za shromažďování zpráv a vydávání příkazů.
Zlepšení poskytování informací subjektu údajů o zpracování osobních údajů u příjemce převodu (článek 78)
V některých zemích se objevují státní regulační omezení a vzhledem k rostoucím příležitostem pro přeshraniční převody osobních údajů, rozdíly v systémech mezi zeměmi a regiony činí předvídatelnost pro jednotlivce a podniky zpracovávající data nestabilní a vznikají obavy z hlediska ochrany práv a zájmů jednotlivců.
Na toto se požaduje zlepšení poskytování informací subjektu údajů o zpracování osobních údajů u příjemce převodu při poskytování osobních dat třetím stranám v zahraničí a jako podmínky pro poskytování osobních dat třetím stranám v zahraničí bylo stanoveno, že v současném zákoně byla podmínka “souhlas subjektu údajů” nahrazena povinností “poskytnout subjektu údajů informace o názvu země příjemce převodu, o existenci systému pro ochranu osobních údajů v zemi příjemce převodu atd. při získávání souhlasu” a podmínka “podnikatel, který má zaveden systém odpovídající standardům” byla nahrazena povinností “pravidelně kontrolovat stav zpracování u příjemce převodu a poskytovat související informace na žádost subjektu údajů”.
Shrnutí
První změna zákona na základě “pravidla o přezkumu každé tři roky” je změna japonského zákona o ochraně osobních údajů v roce 2022 (Gregorian calendar year). Tato změna zahrnuje rozšíření zastavení použití a vymazání, zákaz nesprávného použití, zlepšení poskytování informací týkajících se přeshraničního přenosu, vytvoření “anonymizovaných informací” atd. Byla provedena s cílem posílit ochranu a využití práv a zájmů jednotlivců, reagovat na nová rizika spojená s rostoucím oběhem přeshraničních dat a přizpůsobit se době AI a velkých dat.
Představení opatření naší kanceláře
Právní kancelář Monolis je právní kanceláří s vysokou odborností v oblasti IT, zejména internetu a práva. Nově revidovaný Japonský zákon o ochraně osobních údajů (Personal Information Protection Act) je středem pozornosti a potřeba právní kontroly se stále zvyšuje. Naše kancelář poskytuje řešení týkající se duševního vlastnictví. Podrobnosti jsou uvedeny v následujícím článku.