Εξήγηση για τις «Ποινές» του Αναθεωρημένου Νόμου για την Προστασία Προσωπικών Δεδομένων της Ιαπωνίας του Έτους Reiwa 4 (2022)

Από τον Απρίλιο του 2022 (令和4年), η τροποποιημένη Ιαπωνική Νομοθεσία για την Προστασία Προσωπικών Δεδομένων έχει τεθεί σε ισχύ. Μετά την ανάλυση των “Καθηκόντων των Επιχειρήσεων” στον τροποποιημένο Ιαπωνικό Νόμο για την Προστασία Προσωπικών Δεδομένων του 2022, αυτή τη φορά θα εξηγήσουμε τον τρόπο χρήσης των δεδομένων και τις ποινές που επιβάλλονται.

Περίληψη της Αναθεώρησης του Νόμου για την Προστασία Προσωπικών Δεδομένων του Έτους Reiwa 4 (2022)

Η αναθεώρηση του Νόμου για την Προστασία Προσωπικών Δεδομένων του 2022 πραγματοποιήθηκε στα ακόλουθα έξι σημεία:

1. Η φύση των δικαιωμάτων του ατόμου
2. Η φύση των υποχρεώσεων που πρέπει να τηρούν οι επιχειρήσεις
3. Η φύση του μηχανισμού που ενθαρρύνει τις επιχειρήσεις να λάβουν πρωτοβουλίες αυτορρύθμισης
4. Η φύση της χρήσης των δεδομένων
5. Η φύση των ποινών
6. Η φύση της εξωτερικής εφαρμογής του νόμου και της διασυνοριακής μεταφοράς

Στο άρθρο “Αναθεώρηση του Νόμου για την Προστασία Προσωπικών Δεδομένων του 2022 – Σημεία προσοχής σχετικά με τις υποχρεώσεις των επιχειρήσεων[ja]” έχουμε αναλύσει τα σημεία (1) και (2) της αναθεώρησης. Εδώ θα αναλύσουμε τα σημεία (3), (4), (5) και (6).

Σχετικό άρθρο: Τι είναι ο Νόμος για την Προστασία Προσωπικών Δεδομένων και τα Προσωπικά Δεδομένα; Εξηγεί ένας δικηγόρος[ja]

Η διάρθρωση των μηχανισμών που ενθαρρύνουν τις πρωτοβουλίες από τους επιχειρηματίες

Η διάρθρωση των μηχανισμών που ενθαρρύνουν τις πρωτοβουλίες από τους επιχειρηματίες γίνεται όλο και πιο σημαντική, καθώς η ποικιλομορφία των επιχειρησιακών πραγματικοτήτων και η πρόοδος των IT τεχνολογιών αυξάνονται. Οι ιδιωτικοί φορείς αναπτύσσουν αυτορρυθμιζόμενους κανόνες για τη διαχείριση προσωπικών δεδομένων σε συγκεκριμένους τομείς και παρέχουν ενεργά καθοδήγηση στους σχετικούς επιχειρηματίες.

Στον Ιαπωνικό Νόμο Προστασίας Προσωπικών Δεδομένων (Japanese Personal Information Protection Law), εκτός από την Επιτροπή Προστασίας Προσωπικών Δεδομένων, προβλέπεται η χρήση ιδιωτικών οργανισμών για την προστασία των πληροφοριών, και έχει θεσπιστεί το σύστημα αναγνωρισμένων οργανισμών. Οι οργανισμοί που ασχολούνται με την επεξεργασία παραπόνων σχετικά με τα προσωπικά δεδομένα και παρέχουν πληροφορίες για την κατάλληλη διαχείριση των προσωπικών δεδομένων στους επιχειρηματίες, μπορούν να λάβουν πιστοποίηση από την Επιτροπή και να γίνουν “Αναγνωρισμένοι Οργανισμοί Προστασίας Προσωπικών Δεδομένων”. Με την αναθεωρημένη νομοθεσία, το σύστημα πιστοποίησης επεκτάθηκε ώστε να περιλαμβάνει οργανισμούς που στοχεύουν σε συγκεκριμένους τομείς (τμήματα) των επιχειρήσεων (Άρθρο 47, παράγραφος 2). Η αναγνώριση οργανισμών ανά επιχειρησιακή μονάδα ενθαρρύνει την περαιτέρω χρήση των αναγνωρισμένων οργανισμών και προωθεί την προστασία των προσωπικών δεδομένων με την εκμετάλλευση της ειδικότητας των οργανισμών που δραστηριοποιούνται σε συγκεκριμένες επιχειρήσεις.

Η Χρήση Δεδομένων και ο Τρόπος Αξιοποίησής τους

Σχετικά με τον τρόπο αξιοποίησης των δεδομένων, έχουν γίνει δύο σημαντικές αλλαγές.

Δημιουργία της «Επεξεργασμένης Πληροφορίας με Ψευδώνυμο» και χαλάρωση των υποχρεώσεων (Άρθρο 2, Παράγραφος 9)

Στην ισχύουσα νομοθεσία, οι πληροφορίες που απλώς έχουν ανωνυμοποιηθεί παραμένουν «προσωπικά δεδομένα» και οι επιχειρήσεις φέρουν διάφορες υποχρεώσεις σχετικά με την επεξεργασία τους. Ωστόσο, υπάρχει αυξανόμενη ανάγκη για τη χρήση αυτών των «ανωνυμοποιημένων προσωπικών δεδομένων» με τρόπο που διατηρεί την χρησιμότητα των δεδομένων σε βαθμό ισοδύναμο με τα αρχικά προσωπικά δεδομένα, ενώ παράλληλα εξασφαλίζει ένα επίπεδο ασφάλειας, επιτρέποντας πιο λεπτομερείς αναλύσεις με σχετικά απλές μεθόδους επεξεργασίας.

Ανταποκρινόμενοι σε αυτό, ο νέος νόμος δημιουργεί την «Επεξεργασμένη Πληροφορία με Ψευδώνυμο», αφαιρώντας το όνομα και άλλα στοιχεία, και χαλαρώνει τις υποχρεώσεις όπως η ανταπόκριση σε αιτήματα για διακοπή χρήσης ή αποκάλυψη, υπό τον όρο ότι η χρήση περιορίζεται σε εσωτερική ανάλυση.

Η «Επεξεργασμένη Πληροφορία με Ψευδώνυμο» αναφέρεται σε πληροφορίες που έχουν επεξεργαστεί έτσι ώστε να μην είναι δυνατή η ταυτοποίηση συγκεκριμένων ατόμων χωρίς τη σύγκριση με άλλες πληροφορίες. Για παράδειγμα, πληροφορίες όπως «όνομα, ηλικία, ημερομηνία, ώρα, ποσό, κατάστημα» μετατρέπονται σε «ψευδώνυμο ID, ηλικία, ημερομηνία, ώρα, ποσό, κατάστημα». Πιθανές χρήσεις περιλαμβάνουν «εσωτερική ανάλυση για σκοπούς που δεν αντιστοιχούν στο αρχικό σκοπό χρήσης ή για νέους σκοπούς που είναι δύσκολο να καθοριστούν» (όπως έρευνα στον τομέα της υγείας και των φαρμάκων, ανίχνευση απάτης, προβλέψεις πωλήσεων, εκπαίδευση μοντέλων μηχανικής μάθησης), καθώς και «αποθήκευση πληροφοριών ως επεξεργασμένες με ψευδώνυμο για μελλοντική στατιστική ανάλυση».

Όσον αφορά τη μέθοδο δημιουργίας της επεξεργασμένης πληροφορίας με ψευδώνυμο, απαιτείται τουλάχιστον η λήψη των ακόλουθων μέτρων:

• Αφαίρεση ολόκληρης ή μέρους της περιγραφής που μπορεί να ταυτοποιήσει συγκεκριμένα άτομα (π.χ. όνομα)
• Αφαίρεση όλων των προσωπικών αναγνωριστικών κωδικών
• Αφαίρεση περιγραφών που, εάν χρησιμοποιηθούν παράνομα, μπορεί να προκαλέσουν οικονομική ζημιά (π.χ. αριθμοί πιστωτικών καρτών)

Αυτά τα μέτρα απαιτούνται ως ελάχιστη πειθαρχία.

Υποχρέωση επιβεβαίωσης για πληροφορίες που μπορεί να γίνουν προσωπικά δεδομένα στον παραλήπτη (Άρθρο 26, Παράγραφος 2)

Στην ισχύουσα νομοθεσία, εάν οι πληροφορίες δεν αποτελούν προσωπικά δεδομένα για τον παροχέα, δεν υπόκεινται σε κανονισμούς ακόμη και αν μπορεί να γίνουν προσωπικά δεδομένα για τον παραλήπτη. Ωστόσο, ο νέος νόμος επιβάλλει την υποχρέωση επιβεβαίωσης ότι έχει ληφθεί η συγκατάθεση του υποκειμένου και άλλες προϋποθέσεις, όταν παρέχονται πληροφορίες που δεν αποτελούν προσωπικά δεδομένα από τον παροχέα αλλά μπορεί να γίνουν προσωπικά δεδομένα για τον παραλήπτη.

Η ανάπτυξη και διάδοση τεχνολογιών που συλλέγουν μαζικά δεδομένα χρηστών και τα συνδυάζουν άμεσα για να δημιουργήσουν προσωπικά δεδομένα, έχει οδηγήσει στην εξάπλωση σχεδίων που παρακάμπτουν το πνεύμα του νόμου περί προστασίας προσωπικών δεδομένων, παρέχοντας πληροφορίες που δεν είναι προσωπικά δεδομένα ως μη προσωπικές πληροφορίες σε τρίτους, γνωρίζοντας εκ των προτέρων ότι μπορεί να γίνουν προσωπικά δεδομένα. Αυτό αποτελεί ανησυχία, καθώς η διάδοση τέτοιων μεθόδων συλλογής προσωπικών δεδομένων χωρίς τη συμμετοχή του υποκειμένου είναι πιθανόν να αυξηθεί.

Σχετικά με τις Ποινές

Οι αλλαγές στον τρόπο επιβολής των ποινών περιλαμβάνουν τα εξής δύο σημεία:

Αύξηση των νόμιμων ποινών για παραβάσεις εντολών της Επιτροπής και για ψευδείς αναφορές προς την Επιτροπή (Άρθρα 83, 87 κ.ά.)

Καθώς οι περιπτώσεις παραβίασης του νόμου αυξάνονται, το ίδιο συμβαίνει και με τις περιπτώσεις αναφορών και επιθεωρήσεων. Αυτές οι διαδικασίες αποτελούν την αφετηρία για την κατανόηση της πραγματικής κατάστασης των επιχειρήσεων, και η αναθεωρημένη νομοθεσία αύξησε τις νόμιμες ποινές για να ενισχύσει την αποτελεσματικότητα αυτών των διαδικασιών.

Η παραβίαση των εντολών της ‘Ιαπωνικής Επιτροπής Προστασίας Προσωπικών Δεδομένων’ από τον δράστη, που κατά τον ισχύοντα νόμο τιμωρούνταν με φυλάκιση έως έξι μήνες ή πρόστιμο έως 300.000 γιεν, με τον αναθεωρημένο νόμο τιμωρείται με φυλάκιση έως ένα έτος ή πρόστιμο έως 1.000.000 γιεν. Η ‘παράνομη παροχή βάσεων δεδομένων προσωπικών πληροφοριών κ.λπ.’ παραμένει τιμωρητέα με φυλάκιση έως ένα έτος ή πρόστιμο έως 500.000 γιεν, ενώ η ‘ψευδής αναφορά προς την Επιτροπή Προστασίας Προσωπικών Δεδομένων’ που κατά τον ισχύοντα νόμο τιμωρούνταν με πρόστιμο έως 300.000 γιεν, με τον αναθεωρημένο νόμο τιμωρείται με πρόστιμο έως 500.000 γιεν.

Αύξηση των προστίμων για τις νομικές πρόσωπα (Άρθρα 84, 85 κ.ά.)

Σύμφωνα με τον ισχύοντα νόμο, τα πρόστιμα για τις νομικές πρόσωπα ήταν ίδια με αυτά των φυσικών προσώπων. Ωστόσο, λαμβάνοντας υπόψη τις διαφορές στην οικονομική ισχύ μεταξύ νομικών και φυσικών προσώπων, ο αναθεωρημένος νόμος αύξησε το μέγιστο ποσό των προστίμων για τις νομικές πρόσωπα (βαρύτερες ποινές για νομικά πρόσωπα). Η απόφαση αυτή βασίζεται στην άποψη ότι η επιβολή του ίδιου προστίμου σε νομικά πρόσωπα, όπως στα φυσικά πρόσωπα, δεν θα είχε επαρκή αποτρεπτικό αποτέλεσμα ως ποινή.

Η παραβίαση των εντολών της ‘Ιαπωνικής Επιτροπής Προστασίας Προσωπικών Δεδομένων’ από νομικό πρόσωπο, που κατά τον ισχύοντα νόμο τιμωρούνταν με πρόστιμο έως 300.000 γιεν, με τον αναθεωρημένο νόμο τιμωρείται με πρόστιμο έως 100.000.000 γιεν. Η ‘παράνομη παροχή βάσεων δεδομένων προσωπικών πληροφοριών κ.λπ.’ που κατά τον ισχύοντα νόμο τιμωρούνταν με πρόστιμο έως 500.000 γιεν, με τον αναθεωρημένο νόμο τιμωρείται με πρόστιμο έως 100.000.000 γιεν. Ωστόσο, η ‘ψευδής αναφορά προς την Επιτροπή Προστασίας Προσωπικών Δεδομένων’ που κατά τον ισχύοντα νόμο τιμωρούνταν με πρόστιμο έως 300.000 γιεν, με τον αναθεωρημένο νόμο παραμένει τιμωρητέα με πρόστιμο έως 500.000 γιεν, όπως και για τα φυσικά πρόσωπα.

Η Εφαρμογή του Νόμου Εκτός Συνόρων και η Μεταφορά Δεδομένων Διασυνοριακά

Σχετικά με την εφαρμογή του νόμου εκτός συνόρων και τη διασυνοριακή μεταφορά δεδομένων, έχουν γίνει οι ακόλουθες δύο τροποποιήσεις.

Ενίσχυση της Εφαρμογής Εκτός Συνόρων (Άρθρο 75)

Στον ισχύοντα νόμο, οι εξουσίες που μπορούσαν να ασκηθούν σε ξένους επιχειρηματίες που υπόκεινται στην εφαρμογή του νόμου εκτός συνόρων περιορίζονταν σε καθοδήγηση και συμβουλές καθώς και σε συστάσεις χωρίς δεσμευτική δύναμη. Ωστόσο, λόγω του κινδύνου της ανεπαρκούς αντιμετώπισης περιστατικών διαρροής δεδομένων στο εξωτερικό από την Επιτροπή, ο τροποποιημένος νόμος προβλέπει ότι οι ξένοι επιχειρηματίες που χειρίζονται προσωπικά δεδομένα σχετικά με την παροχή αγαθών ή υπηρεσιών σε πρόσωπα που βρίσκονται στην Ιαπωνία, θα υπόκεινται σε εντολές και εισπρακτικές αναφορές που ενισχύονται με ποινικές κυρώσεις, ενισχύοντας έτσι την εξουσία της Επιτροπής Προστασίας Προσωπικών Δεδομένων.

Βελτίωση της Παροχής Πληροφοριών στο Άτομο για την Επεξεργασία Προσωπικών Δεδομένων από τον Αποδέκτη (Άρθρο 78)

Καθώς ορισμένες χώρες έχουν αρχίσει να εφαρμόζουν κρατικού τύπου ρυθμιστικά μέτρα και οι ευκαιρίες για διασυνοριακή μεταφορά προσωπικών δεδομένων αυξάνονται, οι διαφορές στα συστήματα μεταξύ χωρών και περιοχών καθιστούν την προβλεψιμότητα ασταθή τόσο για τα άτομα όσο και για τους επιχειρηματίες που χειρίζονται δεδομένα, προκαλώντας ανησυχίες από την άποψη της προστασίας των δικαιωμάτων και των συμφερόντων των ατόμων.

Απέναντι σε αυτό, ο τροποποιημένος νόμος απαιτεί τη βελτίωση της παροχής πληροφοριών στο άτομο σχετικά με την επεξεργασία των προσωπικών δεδομένων από τον αποδέκτη, κατά την παροχή προσωπικών δεδομένων σε τρίτους στο εξωτερικό. Ως προϋποθέσεις για την παροχή προσωπικών δεδομένων σε τρίτους, ο νόμος πλέον απαιτεί κατά τη στιγμή της λήψης της συγκατάθεσης, την παροχή πληροφοριών στο άτομο σχετικά με το όνομα της χώρας προορισμού, την ύπαρξη ή μη συστημάτων προστασίας προσωπικών δεδομένων στην εν λόγω χώρα, και επιπλέον, απαιτεί από τους επιχειρηματίες που έχουν εγκαταστήσει συστήματα σύμφωνα με τα πρότυπα, την τακτική επαλήθευση της κατάστασης επεξεργασίας από τον αποδέκτη και την παροχή σχετικών πληροφοριών στο άτομο κατόπιν αιτήματος.

Σύνοψη

Η αναθεώρηση του Νόμου για την Προστασία Προσωπικών Δεδομένων του 2022, η οποία αποτελεί την πρώτη μεταρρύθμιση βάσει της διάταξης για την τριετή αναθεώρηση, περιλαμβάνει την επέκταση των μέτρων για τη διακοπή χρήσης και διαγραφή δεδομένων, την απαγόρευση της ακατάλληλης χρήσης, την ενίσχυση της παροχής πληροφοριών σχετικά με τη διασυνοριακή μεταφορά, καθώς και τη δημιουργία των ‘Ψευδωνυμοποιημένων Πληροφοριών’. Αυτές οι αλλαγές αποσκοπούν στην ενίσχυση της προστασίας και της χρήσης των δικαιωμάτων και των συμφερόντων των ατόμων, στην αντιμετώπιση των νέων κινδύνων που συνεπάγεται η αυξανόμενη διασυνοριακή ροή δεδομένων, και στην προσαρμογή στην εποχή της τεχνητής νοημοσύνης και των μεγάλων δεδομένων.

Οδηγίες για τα Μέτρα από το Δικηγορικό μας Γραφείο

Το Δικηγορικό Γραφείο Monolith είναι εξειδικευμένο στον τομέα της πληροφορικής, και ειδικότερα στο δίκαιο του διαδικτύου και της νομικής. Η πρόσφατα αναθεωρημένη Ιαπωνική Νομοθεσία για τα Προσωπικά Δεδομένα έχει προσελκύσει πολύ ενδιαφέρον και η ανάγκη για νομικό έλεγχο αυξάνεται συνεχώς. Το γραφείο μας προσφέρει λύσεις σχετικά με θέματα πνευματικής ιδιοκτησίας. Παρακαλούμε δείτε το παρακάτω άρθρο για περισσότερες λεπτομέρειες.