Co dělat v případě úniku osobních údajů? Vysvětlení správních opatření, která by měla podniky přijmout

S rozvojem internetu a možností výměny informací online se zvyšuje počet případů, kdy důležité informace firmy unikají nečekaným způsobem.

V posledních letech se hodnota informací zvyšuje, a pokud dojde k úniku informací, může to vést k velkým problémům spojeným se ztrátou důvěry. Od firem se očekává, že v případě úniku informací budou rychle a adekvátně reagovat.

Zde podrobně vysvětlíme, jak by měly firmy reagovat v případě úniku informací, se zaměřením na administrativní opatření.

Informační úniky vyžadující administrativní reakci

I když mluvíme o únicích informací, obsah a důležitost informací se liší. Administrativní reakce je nutná v případě úniku osobních údajů.

Definice osobních údajů je stanovena v následujícím zákoně o ochraně osobních údajů (dále jen “zákon o ochraně osobních údajů”) v článku 2 odstavec 1.

(Definice)
Článek 2 V tomto zákoně se “osobní údaje” vztahují na informace o existujících jednotlivcích, které odpovídají následujícím bodům.
1 Informace obsahující jméno, datum narození a další popisy (dokumenty, kresby nebo elektronické záznamy (záznamy vytvořené elektronickými, magnetickými nebo jinými prostředky, které nelze rozpoznat lidským vnímáním. Stejné v následujícím bodu.) které jsou zapsány nebo zaznamenány, nebo jsou vyjádřeny pomocí zvuku, pohybu nebo jiných metod (s výjimkou osobních identifikačních kódů). Stejné níže.) které umožňují identifikovat konkrétní osobu (včetně těch, které lze snadno porovnat s jinými informacemi a umožňují identifikovat konkrétní osobu.)
2 Obsahuje osobní identifikační kód

e-GOV｜Zákon o ochraně osobních údajů[ja]

Informace, které odpovídají výše uvedené definici, jsou chráněny jako osobní údaje podle zákona o ochraně osobních údajů.

Související článek: Co je zákon o ochraně osobních údajů a osobní údaje? Vysvětluje právník[ja]

Kromě administrativní reakce může být v případě úniku informací nutné také zveřejnění informací. Více informací naleznete v následujícím článku.

Související článek: Co by měly firmy zveřejnit v případě úniku informací[ja]

Povinnost hlásit úniky osobních údajů

Podnikatelé zpracovávající osobní údaje jsou povinni nahlásit Úřadu pro ochranu osobních údajů (japonský ~ Úřad pro ochranu osobních údajů), pokud dojde k úniku osobních údajů nebo existuje riziko takového úniku.

Před 1. dubnem 2022 (4. rok éry Reiwa) nebyla povinnost nahlásit Úřadu pro ochranu osobních údajů únik nebo riziko úniku, ale bylo to považováno za úsilí. S novelizací zákona o ochraně osobních údajů (japonský ~ Zákon o ochraně osobních údajů) se od 1. dubna 2022 stala povinností nahlásit Úřadu pro ochranu osobních údajů.

Termín “podnikatel zpracovávající osobní údaje” se vztahuje na ty, kteří využívají databáze osobních údajů pro své podnikání (článek 16 odstavec 2 Zákona o ochraně osobních údajů). Nicméně, státní orgány, místní veřejné subjekty, nezávislé správní korporace a místní nezávislé správní korporace nejsou zahrnuty mezi podnikatele zpracovávající osobní údaje.

“Databáze osobních údajů” se vztahuje na soubory informací obsahující osobní údaje, které splňují jednu z následujících dvou podmínek, s výjimkou těch, které jsou definovány vládním nařízením jako málo pravděpodobné, že by poškodily práva a zájmy jednotlivců (článek 16 odstavec 1 Zákona o ochraně osobních údajů).

• Systém, který umožňuje vyhledávání konkrétních osobních údajů pomocí počítače
• Systém, který umožňuje snadné vyhledávání konkrétních osobních údajů

Podnikatelé zpracovávající osobní údaje, kteří využívají databáze osobních údajů pro své podnikání, jsou povinni nahlásit Úřadu pro ochranu osobních údajů.

Související článek: Vysvětlení klíčových bodů týkajících se “odpovědnosti podnikatelů” v rámci novelizace zákona o ochraně osobních údajů v roce 2022[ja]

Čtyři případy, kdy je nutné nahlásit únik osobních údajů Komisi pro ochranu osobních údajů

Existují čtyři případy, kdy je nutné nahlásit únik osobních údajů Komisi pro ochranu osobních údajů (podle článku 7 prováděcího nařízení k zákonu o ochraně osobních údajů).

1. Došlo k úniku osobních dat, která obsahují citlivé osobní informace, nebo existuje riziko takového úniku.
2. Došlo k úniku osobních dat, které by mohly být zneužity a způsobit finanční škodu, nebo existuje riziko takového úniku.
3. Došlo k úniku osobních dat, který mohl být proveden s nekalým úmyslem, nebo existuje riziko takového úniku.
4. Došlo k úniku, který se týká více než 1 000 osob, nebo existuje riziko takového úniku.

Níže vysvětlíme tyto případy podrobněji.

Únik citlivých osobních informací

“Citlivé osobní informace” jsou informace, které vyžadují zvláštní opatrnost při zpracování, aby se zabránilo nespravedlivé diskriminaci, předsudkům nebo jiným nevýhodám pro dotyčnou osobu. Tato kategorie zahrnuje informace o rase, víře, sociálním postavení, zdravotní anamnéze, trestní minulosti a obětech trestných činů.

Například informace o zdravotní anamnéze zaměstnance získané z lékařských prohlídek spadají do kategorie citlivých osobních informací.

Únik osobních informací, který by mohl způsobit finanční škodu

Tento případ se týká úniku osobních dat, které by mohly být zneužity a způsobit finanční škodu.

Typickým příkladem je situace, kdy firma nechá uniknout informace o kreditních kartách svých zákazníků.

Únik osobních informací s nekalým úmyslem

Tento případ se týká situací, kdy subjekt, který způsobil únik osobních dat, měl nekalý úmysl.

Typickým příkladem je situace, kdy třetí strana nebo zaměstnanec firmy neoprávněně přistupuje k firemní síti s úmyslem zneužít osobní údaje a způsobit jejich únik.

Rozsáhlý únik osobních informací

Tento případ se týká situací, kdy došlo k úniku, který se týká více než 1 000 osob.

Firmy, které zpracovávají velké množství osobních dat, by měly být na pozoru, protože existuje riziko, že dojde k rozsáhlému úniku osobních dat najednou.

Informace k nahlášení Úřadu pro ochranu osobních údajů v případě úniku informací

V případě, že je nutné podat zprávu Úřadu pro ochranu osobních údajů, je třeba podat zprávu o záležitostech stanovených v článku 8 odstavec 1 prováděcího nařízení zákona o ochraně osobních údajů (Japonský zákon o ochraně osobních údajů).

(Nahlášení Úřadu pro ochranu osobních údajů)
Článek 8 Osobní informace, které podnikatel zpracovává, musí být nahlášeny co nejdříve po zjištění situace stanovené v předchozím článku, a to v následujících záležitostech týkajících se dané situace (omezeno na ty, které jsou známy v době, kdy se chystá podat zprávu. Totéž platí v následujícím článku).

e-GOV｜Zákon o ochraně osobních údajů[ja]

Pokud se vyskytne některý ze čtyř případů, kdy je nutné podat zprávu, jak je uvedeno výše, musí podnikatel co nejdříve nahlásit následující záležitosti Úřadu pro ochranu osobních údajů:

• Přehled
• Položky osobních dat, u kterých došlo k úniku nebo hrozí únik
• Počet osob, na které se vztahují osobní data, u kterých došlo k úniku nebo hrozí únik
• Příčina
• Přítomnost nebo nepřítomnost sekundární škody nebo její možnosti a její obsah
• Stav provádění opatření vůči dotčené osobě
• Stav provádění zveřejnění
• Opatření k zabránění opakování
• Jiné záležitosti, které mohou sloužit jako reference

Je však dostačující nahlásit pouze ty záležitosti, které jsou známy v době podání zprávy.

Hlášení dozorovému úřadu pro ochranu osobních údajů v případě úniku informací

Pro hlášení dozorovému úřadu pro ochranu osobních údajů existuje stanovená lhůta (paragraf 8, odstavec 2, Vyhlášky o provádění zákona o ochraně osobních údajů).

Hlášení dozorovému úřadu pro ochranu osobních údajů by mělo být provedeno v zásadě do 30 dnů od data, kdy byl únik nebo podobná situace zjištěna. Pokud subjekt, který způsobil únik osobních dat nebo podobnou situaci, měl nekalý úmysl, je třeba provést hlášení do 60 dnů.

Povinnost oznámit dotčené osobě

V případě úniku osobních údajů existuje kromě povinnosti nahlásit toto porušení Japonské komisi pro ochranu osobních údajů také povinnost oznámit to dotčené osobě (článek 26 odstavec 2 Japonského zákona o ochraně osobních údajů).

Cílem oznámení dotčené osobě je umožnit jí co nejdříve reagovat na únik osobních údajů a tím zabránit porušení jejích práv a zájmů. Proto je od subjektů zpracovávajících osobní údaje vyžadováno, aby dotčené osobě oznámili únik co nejrychleji.

Shrnutí: V případě úniku osobních údajů se obraťte na právníka pro správné administrativní řešení

Výše jsme vysvětlili, jaké kroky by měla podniky podniknout, pokud dojde k úniku osobních údajů, se zaměřením na administrativní řešení.

Pro podniky je samozřejmě důležité vytvořit systémy, které zabrání úniku informací. Avšak v případě, že dojde k úniku informací, je nutné adekvátně reagovat.

Co se týče japonského zákona o ochraně osobních údajů, je to zákon, který se často mění a má složitou strukturu. Pro správné řešení doporučujeme konzultovat s právníkem, který má odborné znalosti.

Úvod do opatření naší kanceláře

Právnická kancelář Monolis je právnická kancelář s vysokou odborností v oblasti IT, zejména internetu a práva. V dnešní době je únik osobních údajů velkým problémem. Pokud dojde k úniku osobních údajů, může to mít fatální dopad na podnikání. Naše společnost má odborné znalosti v oblasti prevence úniku informací a opatření proti nim. Podrobnosti jsou uvedeny v následujícím článku.