Τα Κύρια Σημεία του Αναθεωρημένου Νόμου για την Προστασία Προσωπικών Δεδομένων της Έτους Reiwa 6 (2024); Εξηγούμε τις Αλλαγές και τα Μέτρα Αντίδρασης που Πρέπει να Γνωρίζετε

Τον Απρίλιο του 2024 (令和6年), οι τροποποιημένοι κανονισμοί εφαρμογής του Ιαπωνικού Νόμου για την Προστασία Προσωπικών Δεδομένων θα τεθούν σε ισχύ. Στην παρούσα τροποποίηση, επεκτείνεται το πεδίο της υποχρέωσης αναφοράς στην Επιτροπή Προστασίας Προσωπικών Δεδομένων και η υποχρέωση ενημέρωσης του προσώπου σε περίπτωση διαρροής ή άλλων παρόμοιων περιστατικών.

Το κύριο σημείο αυτής της τροποποίησης εστιάζει στην αντιμετώπιση προβλημάτων που αφορούν τα προσωπικά δεδομένα στις τελευταίες ημέρες, όπως το web skimming.

Ωστόσο, για να κατανοήσει κανείς ακριβώς τις τροποποιήσεις και να αντιδράσει κατάλληλα, απαιτείται εξειδικευμένη γνώση, και πολλοί μπορεί να αναρωτιούνται ποια θα ήταν η κατάλληλη αντίδραση για την εταιρεία τους. Σε αυτό το άρθρο, θα εξηγήσουμε τα κύρια σημεία της τροποποίησης του 2024 και τις στρατηγικές αντιμετώπισης.

Περίληψη των Αλλαγών στον Επανασχεδιασμένο Νόμο Προστασίας Προσωπικών Δεδομένων του Έτους Reiwa 6 (2024)

Οι σημαντικές αλλαγές στον Επανασχεδιασμένο Νόμο Προστασίας Προσωπικών Δεδομένων του έτους Reiwa 6 (2024) αφορούν την επέκταση των υποχρεώσεων αναφοράς και ειδοποίησης σε περίπτωση διαρροής και των υποχρεώσεων λήψης μέτρων ασφαλείας, που πλέον καλύπτουν ορισμένα «προσωπικά δεδομένα».

Σύμφωνα με την προηγούμενη νομοθεσία, οι υποχρεώσεις αναφοράς σε περίπτωση διαρροής καλύπτουν μόνο τα «προσωπικά δεδομένα», και όχι τις «προσωπικές πληροφορίες».

Με την τρέχουσα αναθεώρηση, οι αλλαγές στον Νόμο Προστασίας Προσωπικών Δεδομένων και στις Οδηγίες για τον Νόμο Προστασίας Προσωπικών Δεδομένων (Γενικές Διατάξεις)[ja] έχουν καταγραφεί στο Άρθρο 7, Παράγραφος 3.

Το συγκεκριμένο περιεχόμενο των ρυθμίσεων και των αλλαγών θα εξηγηθεί αναλυτικά παρακάτω.

Οι μέχρι τώρα ρυθμιστικοί στόχοι του Νόμου για την Προστασία Προσωπικών Δεδομένων

Για να κατανοήσουμε το περιεχόμενο του τροποποιημένου νόμου, είναι απαραίτητη μια ακριβής κατανόηση του περιεχομένου και των ρυθμίσεων πριν από την τροποποίηση. Εδώ θα αναλύσουμε τους ορισμούς και το περιεχόμενο των ρυθμίσεων που είχαν καθοριστεί πριν από την τροποποίηση.

Η διαφορά μεταξύ προσωπικών πληροφοριών και προσωπικών δεδομένων

Στον Νόμο για την Προστασία Προσωπικών Πληροφοριών, οι «προσωπικές πληροφορίες» και τα «προσωπικά δεδομένα» θεωρούνται ως διακριτά αντικείμενα προστασίας.

Οι «προσωπικές πληροφορίες» αφορούν πληροφορίες σχετικές με ζωντανά άτομα, που μπορούν να ταυτοποιήσουν συγκεκριμένα άτομα μέσω στοιχείων όπως το όνομα ή η ημερομηνία γέννησης που περιέχονται στις πληροφορίες. Αυτό ορίζεται στο Άρθρο 2, Παράγραφος 1, Εδάφιο 1 του Νόμου για την Προστασία Προσωπικών Πληροφοριών.

Σχετικό άρθρο: Τροποποίηση του Νόμου για την Προστασία Προσωπικών Πληροφοριών το έτος Reiwa 4 (2022) με την εισαγωγή των «Ψευδωνυμοποιημένων Πληροφοριών» και άλλων μέτρων για την ενίσχυση της χρήσης δεδομένων[ja]

Από την άλλη πλευρά, τα «προσωπικά δεδομένα» αναφέρονται στις προσωπικές πληροφορίες που αποτελούν μέρος ενός βάσης δεδομένων προσωπικών πληροφοριών κ.λπ., όπως ορίζεται στο Άρθρο 16, Παράγραφος 1 του Νόμου για την Προστασία Προσωπικών Πληροφοριών.

Για παράδειγμα, όταν δημιουργείται ένας κατάλογος συμμετεχόντων σε ένα συμβάν, οι πληροφορίες όπως το όνομα και η διεύθυνση που έχουν αποσταλεί από τους κρατήσεις θεωρούνται «προσωπικές πληροφορίες». Και η βάση δεδομένων που δημιουργείται συγκεντρώνοντας τις προσωπικές πληροφορίες όλων των κρατήσεων σε ένα υπολογιστικό φύλλο κ.λπ., αποτελεί την «βάση δεδομένων προσωπικών πληροφοριών». Οι μεμονωμένες πληροφορίες που αποτελούν αυτή τη βάση δεδομένων θεωρούνται «προσωπικά δεδομένα».

Στον Νόμο για την Προστασία Προσωπικών Πληροφοριών, είναι σημαντικό να κατανοήσουμε ότι οι ρυθμίσεις αλλάζουν σημαντικά ανάλογα με το αν το αντικείμενο προστασίας είναι «προσωπικές πληροφορίες» ή «προσωπικά δεδομένα».

Τι είναι η Υποχρέωση Αναφοράς και Ειδοποίησης Σε Περίπτωση Διαρροής

Ο Νόμος για την Προστασία Προσωπικών Δεδομένων υποχρεώνει τους επιχειρηματίες που χειρίζονται προσωπικά δεδομένα, σε περίπτωση διαρροής ή άλλου συμβάντος που αφορά τα προσωπικά δεδομένα, να αναφέρουν το συμβάν στην Επιτροπή Προστασίας Προσωπικών Δεδομένων και να ειδοποιήσουν τον ενδιαφερόμενο.

（Αναφορά Διαρροής κ.ά.）
Άρθρο 26: Οι επιχειρηματίες που χειρίζονται προσωπικά δεδομένα, σε περίπτωση διαρροής, απώλειας, καταστροφής ή άλλου συμβάντος που αφορά την ασφάλεια των προσωπικών δεδομένων και ενδέχεται να βλάψει σημαντικά τα δικαιώματα και τα συμφέροντα των ατόμων, όπως ορίζεται από τους κανονισμούς της Επιτροπής Προστασίας Προσωπικών Δεδομένων, πρέπει να αναφέρουν το συμβάν στην Επιτροπή Προστασίας Προσωπικών Δεδομένων σύμφωνα με τους κανονισμούς. Ωστόσο, αυτό δεν ισχύει εάν ο επιχειρηματίας έχει αναθέσει την επεξεργασία των προσωπικών δεδομένων σε άλλον επιχειρηματία ή δημόσιο φορέα και έχει ειδοποιήσει για το συμβάν σύμφωνα με τους κανονισμούς.
2. Στην περίπτωση που ορίζεται στην προηγούμενη παράγραφο, οι επιχειρηματίες (εκτός από αυτούς που έχουν κάνει την ειδοποίηση σύμφωνα με την εξαίρεση) πρέπει να ειδοποιήσουν το άτομο για το συμβάν σύμφωνα με τους κανονισμούς. Ωστόσο, αυτό δεν ισχύει εάν η ειδοποίηση στο άτομο είναι δύσκολη και έχουν ληφθεί αντίστοιχα μέτρα για την προστασία των δικαιωμάτων και των συμφερόντων του ατόμου.

Νόμος για την Προστασία Προσωπικών Δεδομένων｜e-Gov Αναζήτηση Νομοθεσίας[ja]

Η υποχρέωση αναφοράς και ειδοποίησης δεν προκύπτει σε κάθε περίπτωση διαρροής. Η υποχρέωση αυτή περιορίζεται μόνο στις περιπτώσεις που ορίζονται στο άρθρο 7 του Κανονισμού Εφαρμογής του Νόμου για την Προστασία Προσωπικών Δεδομένων, όπως παρακάτω:

1. Διαρροή προσωπικών δεδομένων που περιλαμβάνουν ευαίσθητες πληροφορίες (π.χ. αποτελέσματα υγειονομικής εξέτασης εργαζομένων)
2. Διαρροή προσωπικών δεδομένων που μπορεί να οδηγήσει σε οικονομική ζημία λόγω παράνομης χρήσης (π.χ. αριθμοί πιστωτικών καρτών)
3. Διαρροή προσωπικών δεδομένων που έχει γίνει με παράνομο σκοπό
4. Διαρροή που αφορά περισσότερα από 1000 άτομα

Με την τελευταία τροποποίηση, άλλαξε το περιεχόμενο του άρθρου 7 παράγραφος 3 του Κανονισμού.

Τι είναι τα Μέτρα Διαχείρισης Ασφάλειας

Ο Νόμος για την Προστασία Προσωπικών Δεδομένων υποχρεώνει τους επιχειρηματίες που χειρίζονται προσωπικά δεδομένα να λαμβάνουν τα απαραίτητα και κατάλληλα μέτρα για την πρόληψη διαρροών προσωπικών δεδομένων και για τη διασφάλιση της ασφάλειας διαχείρισης.

（Μέτρα Διαχείρισης Ασφάλειας）
Άρθρο 23: Οι επιχειρηματίες που χειρίζονται προσωπικά δεδομένα πρέπει να λαμβάνουν τα απαραίτητα και κατάλληλα μέτρα για την πρόληψη διαρροών, απώλειας ή καταστροφής των προσωπικών δεδομένων και για την ασφαλή διαχείριση των προσωπικών δεδομένων.

Νόμος για την Προστασία Προσωπικών Δεδομένων | e-Gov Αναζήτηση Νομοθεσίας[ja]

Ως συγκεκριμένα παραδείγματα αναφέρονται ο έλεγχος πρόσβασης, η εκπαίδευση των εργαζομένων και η οργάνωση κανονισμών.

Ρυθμίσεις πριν από την τροποποίηση

Πριν από την τροποποίηση, τα αντικείμενα που υποχρεούνται να αναφέρουν περιστατικά διαρροής και να λαμβάνουν μέτρα ασφαλείας ήταν μόνο τα «προσωπικά δεδομένα». Σε περίπτωση διαρροής «προσωπικών πληροφοριών», οι επιχειρήσεις δεν είχαν την υποχρέωση να αναλάβουν τέτοιες υποχρεώσεις.

Ωστόσο, η τροποποίηση αυτή επέκτεινε τον κατάλογο των υποχρεώσεων αναφοράς και εγκατάστασης μέτρων ασφαλείας σε ορισμένες «προσωπικές πληροφορίες».

Σκοπός και Αντικείμενο της Τροποποίησης των Κανονισμών Εφαρμογής του Νόμου για την Προστασία Προσωπικών Δεδομένων

Η παρούσα τροποποίηση αποσκοπεί κυρίως στην αντιμετώπιση του web skimming. Το web skimming είναι μια τεχνική επίθεσης που περιλαμβάνει την εγκατάσταση κακόβουλων προγραμμάτων σε ιστοσελίδες ηλεκτρονικού εμπορίου με σκοπό την κλοπή προσωπικών δεδομένων.

Συγκεκριμένα, μια τέτοια επίθεση μπορεί να περιλαμβάνει την απευθείας απόκτηση πληροφοριών όπως κωδικοί πρόσβασης και στοιχεία πιστωτικών καρτών που οι χρήστες εισάγουν σε φόρμες ιστοσελίδων.

Στο web skimming, τα δεδομένα που εισάγονται από τους χρήστες κλέβονται πριν ενσωματωθούν στις βάσεις δεδομένων προσωπικών πληροφοριών των επιχειρήσεων ηλεκτρονικού εμπορίου. Αυτό σημαίνει ότι οι πληροφορίες που κλέβονται δεν έχουν ακόμη μετατραπεί σε «προσωπικά δεδομένα».

Πριν από την τροποποίηση, η υποχρέωση αναφοράς διαρροών αφορούσε μόνο τα «προσωπικά δεδομένα». Ως εκ τούτου, ακόμη και αν προέκυπτε ζημιά από web skimming, οι επιχειρήσεις ηλεκτρονικού εμπορίου δεν είχαν υποχρέωση να προβούν σε αναφορά.

Η παρούσα τροποποίηση στοχεύει στην κάλυψη των διαρροών πληροφοριών μέσω web skimming ως αντικείμενο αναφοράς, επεκτείνοντας το πεδίο των υποχρεώσεων αναφοράς διαρροών και των μέτρων ασφαλείας στα «προσωπικά δεδομένα».

Περιεχόμενο της Αναθεώρησης του Νόμου για την Προστασία Προσωπικών Δεδομένων του Έτους Reiwa 6 (2024)

Επέκταση του Καθήκοντος Αναφοράς Διαρροών κ.ά.

Ο κανονισμός εφαρμογής του Νόμου για την Προστασία Προσωπικών Δεδομένων, άρθρο 7, παράγραφος 3, έχει τροποποιηθεί ως εξής.

Ο όρος «επιχειρηματίας που χειρίζεται προσωπικά δεδομένα» περιλαμβάνει επίσης αναδόχους και παρόχους υπηρεσιών χειρισμού προσωπικών δεδομένων.

Επιπλέον, η απόφαση για το αν τα προσωπικά δεδομένα που ο επιχειρηματίας προσπαθεί να αποκτήσει ανήκουν σε αυτή την κατηγορία, πρέπει να λαμβάνεται αντικειμενικά με βάση τον τρόπο απόκτησης των προσωπικών δεδομένων και άλλους παράγοντες (Οδηγίες Γενικών Αρχών 3-5-3-1).

Έτσι, η επέκταση του καθήκοντος αναφοράς και ειδοποίησης για διαρροές κ.ά. σε περιπτώσεις που αφορούν «προσωπικά δεδομένα», αποτελεί μία από τις σημαντικές αλλαγές της αναθεώρησης του έτους Reiwa 6 (2024).

Επέκταση του Καθήκοντος για τα Μέτρα Ασφαλείας

Με την αναθεώρηση του καθήκοντος αναφοράς διαρροών κ.ά., άλλαξε επίσης η διατύπωση στις Οδηγίες Γενικών Αρχών 3-4-2 του Νόμου για την Προστασία Προσωπικών Δεδομένων.

Τα μέτρα ασφαλείας που πρέπει να λάβει ο επιχειρηματίας περιλαμβάνουν τώρα τα απαραίτητα και κατάλληλα μέτρα για την πρόληψη διαρροών προσωπικών δεδομένων που ο επιχειρηματίας προτίθεται να χειριστεί ως προσωπικά δεδομένα (συμπεριλαμβανομένων των προσωπικών δεδομένων που ο επιχειρηματίας έχει αποκτήσει ή προσπαθεί να αποκτήσει).

Το αντικείμενο των μέτρων ασφαλείας έχει επίσης επεκταθεί, από τα «προσωπικά δεδομένα» σε περιπτώσεις που αφορούν «προσωπικά δεδομένα».

Αναφορά: Επιτροπή Προστασίας Προσωπικών Δεδομένων｜(Εφαρμογή από την 1η Απριλίου του Έτους Reiwa 6 (2024)) Οδηγίες για τον Νόμο Προστασίας Προσωπικών Δεδομένων (Γενικές Αρχές)

Μέτρα που πρέπει να ληφθούν λόγω της εφαρμογής του αναθεωρημένου Νόμου για την Προστασία Προσωπικών Δεδομένων

Τα μέτρα που πρέπει να ληφθούν σε απάντηση στην εφαρμογή του αναθεωρημένου Νόμου για την Προστασία Προσωπικών Δεδομένων του έτους Reiwa 6 (2024) είναι τα εξής δύο:

• Αναθεώρηση της Πολιτικής Απορρήτου
• Αναθεώρηση και ενημέρωση των εσωτερικών κανονισμών

Ας τα εξετάσουμε αναλυτικά.

Αναθεώρηση της Πολιτικής Απορρήτου

Οι επιχειρήσεις που χειρίζονται προσωπικά δεδομένα πρέπει να διασφαλίζουν τα μέτρα ασφαλείας των κατεχόμενων προσωπικών δεδομένων σε κατάσταση που να είναι προσβάσιμα από τον ίδιο τον υποκείμενο. Αυτό περιλαμβάνει την ικανότητα να απαντάτε άμεσα σε αιτήματα του υποκειμένου (Άρθρο 32, Παράγραφος 1, Εδάφιο 4 του Νόμου για την Προστασία Προσωπικών Δεδομένων).

Οι επιχειρήσεις που αντιμετώπιζαν τα μέτρα ασφαλείας των κατεχόμενων προσωπικών δεδομένων μέσω της Πολιτικής Απορρήτου τους πρέπει να είναι προσεκτικές. Πρέπει να προσθέσουν στην Πολιτική Απορρήτου τους την περίπτωση που ορισμένα προσωπικά δεδομένα περιλαμβάνονται πλέον στα μέτρα ασφαλείας.

Αναθεώρηση και ενημέρωση των εσωτερικών κανονισμών

Η ανάγκη για αναφορά και ειδοποίηση σε περίπτωση διαρροής ορισμένων προσωπικών δεδομένων έχει πλέον επεκταθεί, κάτι που πρέπει να αντανακλάται και στους εσωτερικούς κανονισμούς και να γίνεται γνωστό στους εργαζομένους.

Οι περιπτώσεις διαρροής προσωπικών δεδομένων που πλέον απαιτούν αναφορά δεν περιορίζονται μόνο στο web skimming.

Για παράδειγμα, αν μια επιχείρηση που χειρίζεται προσωπικά δεδομένα αποστείλει σε πελάτη έναν φάκελο απάντησης με αλλοιωμένη διεύθυνση και τα προσωπικά δεδομένα που συμπληρώνονται στο ερωτηματολόγιο μέσα στον φάκελο καταλήξουν στα χέρια τρίτου, αυτά τα προσωπικά δεδομένα, που προορίζονταν να χειριστούν ως προσωπικά δεδομένα, θα απαιτήσουν την αναφορά και ειδοποίηση της διαρροής.

Επειδή η αντιμετώπιση ορισμένων προσωπικών δεδομένων που προηγουμένως δεν απαιτούσαν αναφορά έχει αλλάξει, είναι απαραίτητο να ενημερώσουμε και να προειδοποιήσουμε τους εργαζομένους.

Συνοπτικά: Συμβουλευτείτε ειδικούς για την αντιμετώπιση των αλλαγών στον Νόμο Προστασίας Προσωπικών Δεδομένων

Με την τροποποίηση του Νόμου Προστασίας Προσωπικών Δεδομένων το έτος Ρέιβα 6 (2024), η προστασία από το web skimming και οι υποχρεώσεις αναφοράς και ειδοποίησης σε περίπτωση διαρροής, καθώς και οι μέτρα ασφαλείας διαχείρισης, έχουν επεκταθεί. Πριν από την τροποποίηση, μόνο τα “προσωπικά δεδομένα” ήταν στο επίκεντρο, αλλά τώρα, υπό ορισμένες συνθήκες, και οι “προσωπικές πληροφορίες” περιλαμβάνονται επίσης.

Αυτή η τροποποίηση απαιτεί τη λήψη μέτρων όπως η αναθεώρηση της πολιτικής απορρήτου και των εσωτερικών κανονισμών της εταιρείας.

Όσον αφορά τη διαχείριση προσωπικών πληροφοριών, οι λανθασμένες ενέργειες μπορούν να οδηγήσουν σε σημαντικούς κινδύνους, όπως η απώλεια κοινωνικής εμπιστοσύνης. Συνιστάται η συμβουλή με δικηγόρο κατά τη διαδικασία αντιμετώπισης.

Οδηγίες Μέτρων από το Δικηγορικό μας Γραφείο

Το Δικηγορικό Γραφείο Monolith διαθέτει πλούσια εμπειρία στον τομέα της Τεχνολογίας Πληροφοριών, και ειδικότερα στο Διαδίκτυο και τον νομικό τομέα. Στις μέρες μας, η διαρροή προσωπικών δεδομένων αποτελεί μεγάλο πρόβλημα. Σε περίπτωση που διαρρεύσουν προσωπικά δεδομένα, αυτό μπορεί να έχει καταστροφικές επιπτώσεις στην επιχειρηματική δραστηριότητα. Η εταιρεία μας διαθέτει εξειδικευμένες γνώσεις στην πρόληψη και την αντιμετώπιση διαρροών πληροφοριών. Παρακαλούμε δείτε τις λεπτομέρειες στο παρακάτω άρθρο.

Τομείς εξειδίκευσης του Δικηγορικού Γραφείου Monolith: Σχετικά με τον Νόμο Προστασίας Προσωπικών Δεδομένων[ja]