Čeština English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_cs/header.php</b> on line <b>103</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Všední dny 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

HOME > LAW MAGAZINE > IT > Co je to "výjimka pro cloud" v zákoně o ochraně osobních údajů? Vysvětlení na základě skutečných případů administrativního vedení poskytovatelů cloudových služeb.

Co je to "výjimka pro cloud" v zákoně o ochraně osobních údajů? Vysvětlení na základě skutečných případů administrativního vedení poskytovatelů cloudových služeb.

IT

Co je to

Podniky, které se zabývají osobními údaji, jsou podle japonského zákona o ochraně osobních údajů (Personal Information Protection Law) podrobeny různým regulacím ve zpracování těchto informací. Naše osobní údaje jsou úzce spojeny s naším soukromím a zahrnují důležité informace týkající se fyzických charakteristik nebo majetku, takže je zcela logické, že jsou stanoveny přísné pravidla.

Avšak tento zákon také stanoví některé výjimky. Jednou z nich je takzvaná “cloudová výjimka”.

Co tedy “cloudová výjimka” znamená? V tomto článku vysvětlíme na příkladu společnosti MK System, která byla podrobena administrativnímu vedení v roce Reiwa 6 (2024), co přesně “cloudová výjimka” obnáší a jaké jsou podmínky pro její uplatnění.

Zásady a výjimky při poskytování osobních údajů třetím stranám podle japonského práva

Zásady a výjimky při poskytování osobních údajů třetím stranám podle japonského práva

Nejprve si probereme zásady a výjimky, které se vztahují na poskytování osobních údajů třetím stranám podle Zákona o ochraně osobních údajů v Japonsku.

Zásady poskytování osobních údajů třetím stranám podle zákona o ochraně osobních údajů v Japonsku

Když subjekty zpracovávající osobní údaje využívají cloudové služby, považuje se to za “přenechání zpracování všech nebo části osobních dat” podle článku 27 odstavec 5 bod 1 zákona o ochraně osobních údajů (zákon č. 27 odstavec 5 bod 1), a na základě článku 25 tohoto zákona je zásadou, že musí provádět nezbytný a vhodný dohled nad poskytovatelem cloudových služeb.

Co je výjimka pro cloud podle japonského práva

Tato výjimka je známá jako “výjimka pro cloud”.

Termín “poskytovatel cloudových služeb” zde označuje společnosti, které především poskytují IT infrastrukturu, jako jsou úložiště a servery (IaaS/PaaS), a nabízejí služby ukládání a zpracování dat jiných společností prostřednictvím internetu. Mezi tyto poskytovatele patří například:

  • Amazon Web Services (AWS): Službu poskytuje americká společnost Amazon, kterou využívá mnoho japonských firem.
  • Microsoft Azure: Cloudová platforma od společnosti Microsoft, která má mnoho případů implementace ve veřejné správě.
  • Google Cloud Platform (GCP): Službu poskytuje Google, který se specializuje na AI a zpracování velkých dat.

Výjimka pro cloud se týká situací, kdy podniky poskytující SaaS (Software as a Service) vyvíjejí systémy na cloudové infrastruktuře (IaaS nebo PaaS) těchto poskytovatelů a následně je nabízejí svým zákazníkům, přičemž se zabývají osobními daty.

V Q&A k “Směrnicím k zákonu o ochraně osobních údajů” vydaným Japonskou komisí pro ochranu osobních údajů je o poskytovatelích cloudových služeb uvedeno následující v bodě 7-53:

(Pokud se nejedná o třetí stranu) Q7-53: Musí subjekt zpracovávající osobní údaje získat “souhlas subjektu údajů” (podle článku 27 odstavec 1) v případě, že využívá externího poskytovatele, jako je cloudová služba, pro informační systém zpracovávající elektronická data obsahující osobní údaje? Nebo je třeba, aby subjekt podle článku 25 dohlížel na poskytovatele cloudových služeb, protože “přenechal zpracování všech nebo části osobních údajů” (podle článku 27 odstavec 5 bod 1)?

A7-53: Existuje mnoho různých forem cloudových služeb, ale otázka, zda využití cloudové služby představuje poskytování údajů třetí straně vyžadující souhlas subjektu údajů (podle článku 27 odstavec 1) nebo zda jde o přenechání (podle článku 27 odstavec 5 bod 1), závisí ne na tom, zda uložená elektronická data obsahují osobní údaje, ale na tom, zda poskytovatel cloudových služeb zpracovává osobní údaje. Pokud poskytovatel cloudových služeb nezpracovává dané osobní údaje, pak subjekt zpracovávající osobní údaje neposkytl osobní údaje třetí straně a není třeba získávat “souhlas subjektu údajů”. Výše uvedený případ také nepředstavuje přenechání zpracování osobních údajů, a proto není podle článku 25 povinností dohlížet na poskytovatele cloudových služeb. Pokud poskytovatel cloudových služeb nezpracovává dané osobní údaje, viz Q7-54 pro přístup k bezpečnostním opatřením subjektu zpracovávajícího osobní údaje. Případ, kdy poskytovatel cloudových služeb nezpracovává osobní údaje, může nastat, pokud jsou v smluvních podmínkách stanoveny ustanovení, že externí poskytovatel nebude zpracovávat osobní údaje uložené na serveru, a jsou zavedena vhodná opatření pro kontrolu přístupu. Vztah k článku 28 je vysvětlen v Q12-3.

Q&A k “Směrnicím k zákonu o ochraně osobních údajů”[ja]|Japonská komise pro ochranu osobních údajů

Jinými slovy, pokud uživatel cloudových služeb splní výjimečné požadavky, není nutné dohlížet na poskytovatele cloudových služeb. Aby bylo možné uznat výjimku pro cloud, je třeba splnit následující dvě podmínky:

  • Smluvní ustanovení stanoví, že externí poskytovatel nebude zpracovávat osobní údaje uložené na serveru
  • Jsou zavedena vhodná opatření pro kontrolu přístupu

Administrativní vedení společnosti MK System podle japonského zákona o ochraně osobních údajů

Dne 25. března roku Reiwa 6 (2024) provedla Japonská komise pro ochranu osobních údajů podle článku 147 zákona o ochraně osobních údajů vedení společnosti MK System. Toto vedení bylo reakcí na rozsáhlý únik informací, který se týkal přibližně 7,5 milionu lidí. V důsledku této události vydala Japonská komise pro ochranu osobních údajů upozornění na to, co by poskytovatelé cloudových služeb měli vzít v úvahu, pokud se stávají zpracovateli osobních údajů podle zákona o ochraně osobních údajů.

Reference: Japonská komise pro ochranu osobních údajů | Upozornění na to, co by poskytovatelé cloudových služeb měli vzít v úvahu, pokud se stávají zpracovateli osobních údajů podle zákona o ochraně osobních údajů[ja]

Pojďme se podívat na případ administrativního vedení společnosti MK System, které se týkalo výjimky pro cloud podle zákona o ochraně osobních údajů.

Přehled případu

Společnost MK System Co., Ltd. využívala servery Tencent Cloud v Číně k vytvoření systému podpory pro sociální pojištění a personálně-mzdové úkony a poskytovala tento servis uživatelům, jako jsou kanceláře sociálních a pracovních poradců.

V červnu roku Reiwa 5 (2023), servery byly kompromitovány neoprávněným přístupem, což vedlo k riziku úniku spravovaných osobních údajů (jmen, dat narození, pohlaví, adres, čísel základního důchodového pojištění, čísel pojištěnců zaměstnaneckého pojištění a My Number atd.) zaměstnanců firem a pracovišť, které jsou klienty sociálních a pracovních poradců.

Vztah mezi těmito třemi stranami lze v souladu s pokyny vyložit následovně:

Pozice podle pokynůPodnikatelObsah
ZadavatelUživatelé, jako jsou sociální a pracovní poradci (podnikatelé zpracovávající osobní údaje)Osoby zpracovávající osobní údaje zákazníků (firem a jednotlivců)
DodavatelMK System Co., Ltd.Poskytování systému na cloudu, který nahrazuje a podporuje činnost sociálních a pracovních poradců. Zpracování osobních údajů na základě pokynů zákazníků
SubdodavatelTencent Cloud (Čína)Infrastruktura cloudu svěřená společností MK System. Možnost, že se jedná o předání do zahraničí

Osobní informační komise Japonska rozhodla, že MK System měl nedostatky v technických bezpečnostních řídicích opatřeních.

Obsah administrativního vedení

Od Komise pro ochranu osobních údajů bylo provedeno administrativní vedení, které zahrnovalo pokyny podle článku 147 Zákona o ochraně osobních údajů a sběr zpráv podle odstavce 1 článku 146 téhož zákona v Japonsku.

Upozornění od Japonské komise pro ochranu osobních údajů

Společně s tím bylo Japonskou komisí pro ochranu osobních údajů vydáno upozornění “Upozornění pro poskytovatele cloudových služeb, kteří se stávají zpracovateli osobních údajů podle zákona o ochraně osobních údajů[ja].”

Toto upozornění je primárně určeno stranám využívajícím cloudové služby, aby posoudily, zda používání cloudových služeb odpovídá pověření zpracování osobních dat (podle článku 27 odstavce 5 bodu 1 zákona o ochraně osobních údajů), a v případě, že se jedná o pověření, musí zpracovatel osobních údajů, kterým je uživatel cloudových služeb, provádět nezbytný a vhodný dohled nad poskytovatelem služeb.

Co se týče systému MK, bylo uznáno, že neexistuje výjimka pro cloud a je považován za zpracovatele osobních údajů, což vyžaduje odpovídající dohled, protože se zabývá osobními daty, a to z následujících tří důvodů:

  • V uživatelských podmínkách je stanoveno, že poskytovatel cloudových služeb může provádět nezbytné činnosti, jako je monitorování, analýza a vyšetřování dat atd., pokud to považuje za nezbytné pro údržbu a provoz, a že poskytovatel cloudových služeb může v určitých případech používat osobní data uživatele cloudových služeb bez povolení a nesmí je zveřejňovat třetím stranám.
  • Poskytovatel cloudových služeb má v držení údržbové ID, které mu umožňuje přístup k osobním datům uživatele cloudových služeb, a nebyla přijata žádná technická opatření pro kontrolu přístupu, která by zabránila zpracování.
  • Poskytovatel cloudových služeb skutečně zpracovával osobní data uživatele cloudových služeb po vzájemné dohodě a podepsání potvrzení.
Upozornění pro poskytovatele cloudových služeb, kteří se stávají zpracovateli osobních údajů podle zákona o ochraně osobních údajů|Japonská komise pro ochranu osobních údajů[ja]

Pozorování pro poskytovatele cloudových služeb podle japonského práva

Pozorování pro poskytovatele cloudových služeb podle japonského práva

Vzhledem k právním otázkám a upozorněním ze strany regulačních orgánů, které jsme dosud vysvětlili, jaké kroky by měli podniknout poskytovatelé cloudových služeb, jako je například MK System, o kterém jsme hovořili dříve?

Znovu zkontrolujte, zda jsou splněny požadavky pro výjimku cloudových služeb

Nejprve byste měli znovu zkontrolovat, zda služby, které vaše společnost poskytuje, splňují požadavky pro výjimku cloudových služeb.

V reakci na nedávná upozornění od Japonské komise pro ochranu osobních údajů by měli uživatelé cloudových služeb zvážit důkladnou kontrolu, zda poskytovatelé cloudových služeb, které využívají, splňují podmínky pro výjimku cloudových služeb.

Proto by i poskytovatelé cloudových služeb měli znovu zkontrolovat, zda splňují požadavky pro výjimku cloudových služeb.

Pokud nesplňujete požadavky pro výjimku cloudových služeb, musíte se postarat o dohled nad subdodavateli

Pokud nesplňujete požadavky pro výjimku cloudových služeb, musíte se vyrovnat s dohledem ze strany uživatelů cloudových služeb (v tomto případě kanceláří sociálních a pracovních poradců nebo společností využívajících služby MK System).

Dohled uživatelů cloudových služeb zahrnuje následující kroky, které jsou uvedeny v pokynech k zákonu o ochraně osobních údajů (Obecná část) 3-4-4 Dohled nad subdodavateli (související s článkem 25 zákona):

  • Výběr vhodného subdodavatele: Je nutné ověřit, že bezpečnostní opatření subdodavatele jsou ekvivalentní s požadavky, které zákon a tyto pokyny kladou na zadavatele.
  • Uzavření smlouvy o subdodávce: Je vhodné uzavřít smlouvu, která umožňuje zadavateli rozumně sledovat zpracování svěřených osobních údajů.
  • Pochopení zpracování osobních údajů subdodavatelem: Pravidelně hodnotit prostřednictvím auditů, zda je zpracování adekvátní.

Pokud bezpečnostní opatření subdodavatele nejsou adekvátní, může dojít k ukončení smlouvy, nebo může být subdodavatel vyzván k zavedení potřebných bezpečnostních opatření a k účasti na pravidelných auditech.

Shrnutí: Ochrana osobních údajů v cloudových službách – konzultujte s právníkem

V tomto článku jsme vysvětlili rizika pro poskytovatele cloudových služeb, které nesplňují výjimky cloudu, na základě administrativního vedení od Japonské komise pro ochranu osobních údajů (Personal Information Protection Commission) zveřejněného v březnu 2025 (2025).

Na základě úniku informací v této věci byla uživatelům cloudových služeb vydána upozornění od Japonské komise pro ochranu osobních údajů. Tato upozornění jsou relevantní nejen pro uživatele cloudových služeb, ale také pro poskytovatele cloudových služeb, kteří by měli přehodnotit své služby a být si vědomi možných zátěží, které mohou vzniknout.

Vzhledem k tomuto administrativnímu vedení, pokud máte obavy ohledně rizik, kterým může vaše společnost čelit, a jaké kroky by měly být provedeny, doporučujeme konzultovat s právníkem.

Představení opatření naší kanceláře

Právní kancelář Monolith je firma s bohatými zkušenostmi v oblasti IT, zejména internetu, a práva. V dnešní době, kdy mnoho IT společností využívá cloudové služby jako AWS pro rozvoj svých podniků, se stává únik osobních údajů jedním z nezbytných rizik, která je třeba řídit při vedení podniku. V případě úniku osobních údajů může dojít k závažným dopadům na podnikové aktivity. Naše firma má odborné znalosti v prevenci úniku informací a v reakcích na takové události. Podrobnosti naleznete v následujícím článku.

Oblasti práce právní kanceláře Monolith: Právní služby související s ochranou osobních údajů podle japonského práva[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Related Articles

Je zprostředkování recenzí na Google nelegální? Vysvětlení vztahu k zákonu o označování zboží a trestů

Je zprostředkování recenzí na Google nelegální? Vysvětlení vztahu k zákonu o označování zboží a .

IT

Právní výhody a nevýhody vývoje systému podle jednotlivých vývojových modelů

Právní výhody a nevýhody vývoje systému podle jednotlivých vývojových modelů

IT

Co je nezbytné pro obchodování s NFT, tzv. chytré kontrakty? Vysvětlení 4 charakteristik a nevýhod

Co je nezbytné pro obchodování s NFT, tzv. chytré kontrakty? Vysvětlení 4 charakteristik a nevýh.

IT

Klíčové body úprav smluvních podmínek pro využití cloudových služeb (BtoB) v souvislosti s novelizací občanského zákoníku a novým pravidlem pro standardní smluvní podmínky

Klíčové body úprav smluvních podmínek pro využití cloudových služeb (BtoB) v souvislosti s novel.

IT

Je nutné zobrazovat licenci při použití open source AGPL pouze na serverové straně?

Je nutné zobrazovat licenci při použití open source AGPL pouze na serverové straně?

IT

Podrobnosti a příklady porušení Japonského zákona o zákazu neoprávněného přístupu

Podrobnosti a příklady porušení Japonského zákona o zákazu neoprávněného přístupu

IT

Jaký je vztah mezi 'držením' uměleckých NFT a autorskými právy?

Jaký je vztah mezi 'držením' uměleckých NFT a autorskými právy?

IT

Co je AI governance, kterou by se měly podniky zabývat? Vysvětlení klíčových bodů na základě „AI podnikatelských směrnic“.

Co je AI governance, kterou by se měly podniky zabývat? Vysvětlení klíčových bodů na základě „AI.

IT

Jaký nový technologický význam má blockchain?

Jaký nový technologický význam má blockchain?

IT


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IPO in Japan IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Zpět na začátek