Εξηγώντας τα σημεία προσοχής για τις 'Υποχρεώσεις των Επιχειρήσεων' σύμφωνα με τον Αναθεωρημένο Ιαπωνικό Νόμο για την Προστασία Προσωπικών Δεδομένων της Έτους Reiwa 4 (2022)

Από τον Απρίλιο του 2022 (2022年4月), έχει τεθεί σε εφαρμογή ο τροποποιημένος Ιαπωνικός Νόμος για την Προστασία των Προσωπικών Δεδομένων. Ο Ιαπωνικός Νόμος για την Προστασία των Προσωπικών Δεδομένων, ενώ λαμβάνει υπόψη την ωφέλεια των προσωπικών δεδομένων, στοχεύει στην προστασία των δικαιωμάτων και των συμφερόντων του ατόμου, εξασφαλίζοντας την κατάλληλη διαχείριση των προσωπικών δεδομένων. Ποια είναι όμως τα συγκεκριμένα σημεία που αλλάζουν με την εφαρμογή του τροποποιημένου Ιαπωνικού Νόμου για την Προστασία των Προσωπικών Δεδομένων; Σε αυτό το άρθρο, θα εξηγήσουμε τα δικαιώματα του ατόμου και τις υποχρεώσεις των επιχειρήσεων.

Τροποποίηση και προϋποθέσεις του Ιαπωνικού Νόμου για την Προστασία Προσωπικών Δεδομένων

Ο Ιαπωνικός Νόμος για την Προστασία Προσωπικών Δεδομένων, που εγκρίθηκε το 2003 και τέθηκε σε πλήρη εφαρμογή το 2005, τροποποιήθηκε το 2015 (δέκα χρόνια μετά την εφαρμογή του) λόγω της “εξέλιξης της τεχνολογίας πληροφορικής και επικοινωνιών, η οποία επέτρεψε την εκμετάλλευση προσωπικών δεδομένων που δεν είχε προβλεφθεί κατά την έγκριση του νόμου” και τέθηκε σε πλήρη εφαρμογή το 2017.

Στην τροποποίηση του 2017 (2017) συμπεριλήφθηκε η “διάταξη για την αναθεώρηση κάθε τρία χρόνια”, η οποία προβλέπει ότι “θα πρέπει να γίνεται αναθεώρηση κάθε τρία χρόνια με βάση τις πραγματικές συνθήκες, λαμβάνοντας υπόψη τις διεθνείς τάσεις, την εξέλιξη της τεχνολογίας πληροφορικής, καθώς και τη δημιουργία και ανάπτυξη νέων βιομηχανιών”.

Σχετικές διατάξεις στο πρόσθετο του Ιαπωνικού Νόμου για την Προστασία Προσωπικών Δεδομένων του 2017 (απόσπασμα)

Άρθρο 12 (Συζήτηση)

(Παράλειψη)

2 Η κυβέρνηση, με στόχο τα τρία χρόνια μετά την εφαρμογή αυτού του νόμου, θα λάβει υπόψη την κατάσταση των μέτρων που απαιτούνται για την αποτελεσματική εφαρμογή του, όπως η δημιουργία του απαραίτητου ανθρώπινου δυναμικού, η εξασφάλιση των πόρων και άλλα μέτρα, και θα εξετάσει τις βελτιώσεις που είναι απαραίτητες. Όταν κρίνεται απαραίτητο, θα ληφθούν τα απαραίτητα μέτρα βάσει των αποτελεσμάτων.

3 Η κυβέρνηση, εκτός από τα θέματα που ορίζονται στην προηγούμενη παράγραφο, με στόχο τα τρία χρόνια μετά την εφαρμογή αυτού του νόμου, θα λάβει υπόψη τις διεθνείς τάσεις σχετικά με την προστασία των προσωπικών δεδομένων, την εξέλιξη της τεχνολογίας πληροφορικής και επικοινωνιών, καθώς και τη δημιουργία και ανάπτυξη νέων βιομηχανιών που εκμεταλλεύονται προσωπικά δεδομένα, και θα εξετάσει την κατάσταση εφαρμογής του νέου Ιαπωνικού Νόμου για την Προστασία Προσωπικών Δεδομένων. Όταν κρίνεται απαραίτητο, θα ληφθούν τα απαραίτητα μέτρα βάσει των αποτελεσμάτων.

4, 5 (Παράλειψη)

6 Η κυβέρνηση, λαμβάνοντας υπόψη την κατάσταση εφαρμογής του νέου Ιαπωνικού Νόμου για την Προστασία Προσωπικών Δεδομένων, την κατάσταση εφαρμογής των μέτρων που ορίζονται στην παράγραφο 1 και άλλες συνθήκες, θα εξετάσει την κατάσταση της νομοθεσίας για την προστασία των προσωπικών δεδομένων, συμπεριλαμβανομένης της συγκέντρωσης και της ολοκληρωμένης ρύθμισης των διατάξεων για την προστασία των προσωπικών δεδομένων και των προσωπικών δεδομένων που κατέχουν οι διοικητικές αρχές και άλλα οργανισμοί.

Η τροποποίηση του Ιαπωνικού Νόμου για την Προστασία Προσωπικών Δεδομένων του 2022 (Reiwa 4) είναι η πρώτη τροποποίηση του νόμου βάσει αυτής της “διάταξης για την αναθεώρηση κάθε τρία χρόνια”.

Σχετικό άρθρο: Τι είναι ο Ιαπωνικός Νόμος για την Προστασία Προσωπικών Δεδομένων και τα προσωπικά δεδομένα; Εξήγηση από δικηγόρο

Περίληψη του Αναθεωρημένου Ιαπωνικού Νόμου για την Προστασία Προσωπικών Δεδομένων του 2022 (Έτος Reiwa 4)

Η αναθεώρηση του Ιαπωνικού Νόμου για την Προστασία Προσωπικών Δεδομένων του 2022 αφορά τα εξής έξι σημεία:

1. Το πώς θα πρέπει να είναι τα δικαιώματα του ατόμου
2. Το πώς θα πρέπει να είναι οι υποχρεώσεις που πρέπει να προστατεύουν οι επιχειρήσεις
3. Το πώς θα πρέπει να είναι οι μηχανισμοί που ενθαρρύνουν την αυτονομία των επιχειρήσεων
4. Το πώς θα πρέπει να είναι η χρήση των δεδομένων
5. Το πώς θα πρέπει να είναι οι ποινές
6. Το πώς θα πρέπει να είναι η εφαρμογή του νόμου εκτός συνόρων και η διασυνοριακή μεταφορά

Σε αυτό το άρθρο, θα εξηγήσουμε τα σημεία 1 και 2 της αναθεώρησης.

Σχετικό άρθρο: Εξήγηση των ‘Ποινών’ στον Αναθεωρημένο Ιαπωνικό Νόμο για την Προστασία Προσωπικών Δεδομένων του 2022 (Έτος Reiwa 4)

Η ύπαρξη των ατομικών δικαιωμάτων

Σχετικά με την ύπαρξη των ατομικών δικαιωμάτων, έχουν γίνει πέντε τροποποιήσεις.

Επέκταση του δικαιώματος αίτησης για διακοπή χρήσης, διαγραφή κ.λπ. (Άρθρο 30)

Στην τρέχουσα νομοθεσία, το δικαίωμα αίτησης για διακοπή χρήσης, διαγραφή κ.λπ. από το άτομο ήταν περιορισμένο σε περιπτώσεις παραβίασης του νόμου, όπως “όταν τα προσωπικά δεδομένα χρησιμοποιούνται για εκτός σκοπούς” ή “όταν αποκτώνται με παράνομα μέσα”. Ωστόσο, με την τροποποίηση του νόμου, “όταν δεν υπάρχει πλέον ανάγκη για τον επιχειρηματία να χρησιμοποιεί τα προσωπικά δεδομένα που κατέχει”, “όταν προκύπτει διαρροή κ.λπ.” ή “όταν υπάρχει κίνδυνος να πληγεί το δικαίωμα ή το δίκαιο συμφέρον του ατόμου”, είναι επίσης δυνατόν να αιτηθεί η διακοπή χρήσης, διαγραφή ή διακοπή παροχής σε τρίτους.

Μέθοδος Αποκάλυψης Προσωπικών Δεδομένων (Άρθρο 28)

Εάν είστε ο ίδιος ο άνθρωπος, μπορείτε να ζητήσετε την αποκάλυψη των προσωπικών δεδομένων που κατέχετε από τον επιχειρηματία που χειρίζεται τα προσωπικά δεδομένα. Κατόπιν αιτήματος, ο επιχειρηματίας που χειρίζεται τα προσωπικά δεδομένα πρέπει, κατά κανόνα, να αποκαλύψει τα προσωπικά δεδομένα που κατέχει. Σύμφωνα με την τρέχουσα νομοθεσία, η αποκάλυψη των προσωπικών δεδομένων που κατέχονται γίνεται κατά κανόνα γραπτώς. Ωστόσο, υπάρχουν περιπτώσεις όπου η παράδοση γραπτώς δεν είναι κατάλληλη όταν ο όγκος των πληροφοριών είναι τεράστιος, και επιπλέον, υπάρχουν δεδομένα που κατέχονται, όπως βίντεο και ήχος, που δεν είναι κατάλληλα για παράδοση γραπτώς. Συνεπώς, σύμφωνα με τον τροποποιημένο νόμο, ο ίδιος άνθρωπος μπορεί να ζητήσει “αποκάλυψη με τον τρόπο που ορίζει ο ίδιος”, όπως η παροχή ηλεκτρομαγνητικών εγγραφών. Ο επιχειρηματίας που χειρίζεται τα προσωπικά δεδομένα έχει την υποχρέωση να αποκαλύψει με τον τρόπο που ζήτησε ο ίδιος άνθρωπος.

Οι επιχειρήσεις που χειρίζονται προσωπικά δεδομένα καλούνται να δημιουργήσουν ένα σύστημα για την αντιμετώπιση των αιτημάτων αποκάλυψης ψηφιακών δεδομένων το συντομότερο δυνατόν.

Αίτηση για αποκάλυψη από τον ίδιο τον άνθρωπο των εγγραφών παροχής σε τρίτους (άρθρο 28, παράγραφος 5)

Οι επιχειρήσεις που χειρίζονται προσωπικά δεδομένα πρέπει να δημιουργούν εγγραφές που ορίζονται από τον νόμο όταν παρέχουν προσωπικά δεδομένα σε τρίτους, και όσοι λαμβάνουν την παροχή από τρίτους πρέπει επίσης να δημιουργούν εγγραφές που ορίζονται από τον νόμο. Αυτές οι εγγραφές που σχετίζονται με την παροχή προσωπικών δεδομένων σε τρίτους και τις εγγραφές επιβεβαίωσης κατά τη λήψη της παροχής προσωπικών δεδομένων από τρίτους αποκαλούνται συλλογικά “εγγραφές παροχής σε τρίτους”.

Σύμφωνα με την τρέχουσα νομοθεσία, ο ίδιος ο άνθρωπος δεν μπορούσε να ζητήσει την αποκάλυψη των εγγραφών παροχής σε τρίτους που δημιουργήθηκαν από την επιχείρηση, αλλά με τον τροποποιημένο νόμο, ο ίδιος ο άνθρωπος μπορεί να ζητήσει την αποκάλυψη των εγγραφών παροχής σε τρίτους, λαμβάνοντας υπόψη τη δυνατότητα παρακολούθησης από τον ίδιο τον άνθρωπο.

Συμπερίληψη των δεδομένων βραχυπρόθεσμης αποθήκευσης στα προσωπικά δεδομένα που διατηρούνται (Άρθρο 2, παράγραφος 7)

Σύμφωνα με την ισχύουσα νομοθεσία, τα προσωπικά δεδομένα που διατηρούνται ορίζονται ως “προσωπικά δεδομένα για τα οποία οι επιχειρήσεις που χειρίζονται προσωπικές πληροφορίες έχουν την εξουσία να προβαίνουν σε αποκάλυψη, διόρθωση περιεχομένου, προσθήκη ή διαγραφή, διακοπή χρήσης, διαγραφή και διακοπή παροχής σε τρίτους”, “πράγματα που ορίζονται από τον προεδρικό διάταγμα ως πράγματα που θα μπορούσαν να βλάψουν το δημόσιο συμφέρον ή άλλα συμφέροντα αν γίνει γνωστή η ύπαρξή τους” ή “πράγματα που πρέπει να διαγραφούν εντός της περιόδου που ορίζεται από τον προεδρικό διάταγμα εντός ενός έτους”, εκτός από άλλα. Η “περίοδος που ορίζεται από τον προεδρικό διάταγμα εντός ενός έτους” ήταν έξι μήνες.

Ωστόσο, λαμβάνοντας υπόψη το γεγονός ότι υπάρχει πιθανότητα να προκύψουν διαρροές κ.λπ. κατά τη διάρκεια της περιόδου μέχρι τη διαγραφή, ακόμη και αν πρόκειται για δεδομένα που διαγράφονται σε σύντομο χρονικό διάστημα, η τροποποιημένη νομοθεσία περιλαμβάνει τα δεδομένα βραχυπρόθεσμης αποθήκευσης που διαγράφονται εντός έξι μηνών στα “προσωπικά δεδομένα που διατηρούνται”.

Περιορισμός του Πεδίου Εφαρμογής της Ρύθμισης Αποχωρήσεως (Άρθρο 23, Παράγραφος 2)

Η ρύθμιση αποχωρήσεως αναφέρεται στο “σύστημα που επιτρέπει την παροχή προσωπικών δεδομένων σε τρίτους χωρίς τη συγκατάθεση του ενδιαφερόμενου, με την προϋπόθεση ότι θα σταματήσει εάν το άτομο το ζητήσει, μετά τη δημοσίευση των στοιχείων των προσωπικών δεδομένων που παρέχονται”. Στην τρέχουσα νομοθεσία, μόνο τα προσωπικά δεδομένα που απαιτούν ειδική προσοχή ήταν εκτός εφαρμογής.

Σύμφωνα με τον τροποποιημένο νόμο, το πεδίο εφαρμογής των προσωπικών δεδομένων που μπορούν να παραχωρηθούν σε τρίτους περιορίζεται, και τα “προσωπικά δεδομένα που έχουν αποκτηθεί παράνομα” και τα “προσωπικά δεδομένα που παρέχονται μέσω της ρύθμισης αποχωρήσεως” είναι επίσης εκτός εφαρμογής.

Ο τρόπος με τον οποίο οι επιχειρηματίες πρέπει να εκπληρώνουν τα καθήκοντά τους

Ο τρόπος με τον οποίο οι επιχειρηματίες πρέπει να εκπληρώνουν τα καθήκοντά τους έχει τροποποιηθεί στα εξής δύο σημεία.

Υποχρέωση αναφοράς διαρροών (Άρθρο 22, παράγραφος 2, του Ιαπωνικού Νόμου για την Προστασία Προσωπικών Δεδομένων)

Σύμφωνα με τον ισχύοντα νόμο, η αναφορά διαρροών δεν είναι νομική υποχρέωση, επομένως υπάρχουν επιχειρηματίες που δεν αντιδρούν ενεργά. Αν οι επιχειρηματίες δεν δημοσιεύσουν τις πληροφορίες, υπάρχει η πιθανότητα η Επιτροπή Προστασίας Προσωπικών Δεδομένων να μην είναι σε θέση να αντιμετωπίσει το ζήτημα κατάλληλα. Με την τροποποίηση του νόμου, η αναφορά και η ειδοποίηση στο άτομο γίνονται υποχρεωτικές σε περίπτωση διαρροής που μπορεί να προκαλέσει σημαντική βλάβη στα δικαιώματα και τα συμφέροντα του ατόμου.

Τα περιστατικά που υπάγονται στην υποχρέωση αναφοράς διαρροών περιλαμβάνουν “διαρροές προσωπικών δεδομένων που απαιτούν ειδική προσοχή”, “διαρροές λόγω παράνομης πρόσβασης” και “διαρροές που μπορεί να προκαλέσουν οικονομική ζημία”, ανεξάρτητα από τον αριθμό των περιστατικών, καθώς και “μεγάλης κλίμακας διαρροές” που υπερβαίνουν τα 1000 περιστατικά.

Απαγόρευση της χρήσης με ακατάλληλο τρόπο (Άρθρο 16, παράγραφος 2, του Ιαπωνικού Νόμου για την Προστασία Προσωπικών Δεδομένων)

Λόγω της ταχείας βελτίωσης της τεχνολογίας ανάλυσης δεδομένων, υπάρχουν αυξανόμενες ανησυχίες για την πιθανή παραβίαση των δικαιωμάτων και των συμφερόντων των ατόμων από τη χρήση προσωπικών δεδομένων. Ως αποτέλεσμα, ο τροποποιημένος νόμος διευκρινίζει ότι δεν πρέπει να χρησιμοποιούνται προσωπικά δεδομένα με ακατάλληλο τρόπο που ενθαρρύνει παράνομες ή αδίκες πράξεις.

Οι “ακατάλληλες μέθοδοι που ενθαρρύνουν παράνομες ή αδίκες πράξεις” περιλαμβάνουν “την παροχή προσωπικών δεδομένων σε τρίτους που διαπράττουν παράνομες πράξεις” και “την αποθήκευση προσωπικών δεδομένων που δημοσιεύονται διασκορπισμένα μέσω δικαστικών ανακοινώσεων κ.λπ., παρά το γεγονός ότι είναι προφανές ότι μπορεί να προκληθεί διάκριση, και τη δημοσίευσή τους στο διαδίκτυο”, προβλέποντας περιπτώσεις σημαντικής κακοποίησης.

Περίληψη

Σε αυτό το άρθρο, εξηγήσαμε τα σημεία αναθεώρησης 1 και 2. Τα σημεία αναθεώρησης 3, 4, 5 και 6 θα εξηγηθούν σε άλλο άρθρο.

Σχετικό άρθρο: Εξήγηση του ‘Ποινικού’ του Αναθεωρημένου Ιαπωνικού Νόμου για την Προστασία Προσωπικών Δεδομένων της Έτους Reiwa 4 (2022)

Εισαγωγή στις στρατηγικές του γραφείου μας

Το Νομικό Γραφείο Monolis είναι ένα νομικό γραφείο με υψηλή εξειδίκευση στην τεχνολογία πληροφορικής, ειδικά στο διαδίκτυο και στο δίκαιο. Ο νόμος για την προστασία των προσωπικών δεδομένων που μόλις τροποποιήθηκε στην Ιαπωνία (Japanese Personal Information Protection Law) έχει προσελκύσει πολλή προσοχή, και η ανάγκη για νομικό έλεγχο αυξάνεται ολοένα και περισσότερο. Το γραφείο μας παρέχει λύσεις σχετικά με την πνευματική ιδιοκτησία. Περισσότερες λεπτομέρειες παρατίθενται στο παρακάτω άρθρο.