Isikliku teabe kaitse seaduse muudatused aastal Reiwa 4 (2022): Andmete kasutamise edendamine 'pseudonüümse töötluse teabe' uue seadistuse jms kaudu
Isikuandmete käsitlemise seadusi muudetakse sageli, et need vastaksid ajastu muutustele. Isikuandmete käsitlejatel on vaja kiiresti neid muudatusi mõista ja oma organisatsiooni struktuuri vastavalt kohandada.
Isikute õiguste tugevdamine, muudatused, mis on seotud kolmandate osapoolte, sealhulgas välismaiste osapoolte andmete jagamisega, uute mõistete nagu “pseudonüümiga töödeldud teave” ja “isikuga seotud teave” kasutuselevõtt – need on vaid mõned paljudest punktidest, mis muutuvad 2022. aasta (Reiwa 4) isikuandmete kaitse seaduse muudatustega. Ettevõtjad peavad mõistma, millised muudatused on tehtud ja millised on nende vastavad tegevused.
Seetõttu selgitame 2022. aasta (Reiwa 4) 1. aprillil muudetud “Isikuandmete kaitse seadust” ja isikuandmete käsitlejate praktilise tegevuse kontrollpunkte.
Isikute andmekaitse seadus
“Isikute andmekaitse seadus”, mille ametlik nimi on “Isikuandmete kaitse seadus”, on seadus, mis reguleerib isikuandmete nõuetekohast käsitlemist (andmete kogumine, kasutamine, säilitamine, haldamine, jagamine, avalikustamine, peatamine ja kustutamine) eesmärgiga saavutada tasakaal isikuandmete kasulikkuse ja isiku õiguste kaitse vahel.
Seadus määrab kindlaks kohustused, mida tuleb järgida kõigil haldusorganitel ja erasektori ettevõtetel, kes tegelevad isikuandmete andmebaasidega, ning karistused rikkumiste eest. Järelevalvet teostab “Isikuandmete kaitse komisjon”.
Isikuandmete kaitse seaduse muutmise taust
Isikuandmete kaitse seadus jõustus 23. mail 2003 (Heisei 15) (seadus nr 57, 30. mai 2003) ja selle sätted, mis ei sisalda karistusi ja mis on otseselt seotud üldiste ettevõtetega, jõustusid kohe. Kogu seadus jõustus 1. aprillil 2005 (Heisei 17).
2015. aasta (Heisei 27) muudatused hõlmasid nõuet vaadata seadust üle iga kolme aasta tagant, et vastata ühiskonna üldisele digitaliseerimisele, tasakaalustada isikuandmete kaitset ja isikuandmete kasutamist ning harmoneerida rahvusvaheliste süsteemidega.
2017. aasta (Heisei 29) mais jõustunud muudatused lisasid isikuandmetele “isikliku identifitseerimiskoodi”, “tähelepanu vajavate isikuandmete” ja “anonüümse töötlemise teabe”. Lisaks loodi uus jälgitavuse (tagasijälitamise võimaluse tagamise) süsteem, isikuandmete kustutamise kohustus, piirangud kolmandatele isikutele välismaal andmete edastamiseks ja uus Isikuandmete Kaitse Komisjon. Järelevalve süsteem muutus ühtseks, minnes üle peaministri järelevalvest Isikuandmete Kaitse Komisjoni järelevalvele.
Ja 1. aprillil 2022 (Reiwa 4) jõustus muudetud isikuandmete kaitse seadus.
See avaldati 12. juunil 2020 (Reiwa 2) ja on suurim muudatus “isikuandmete kaitse seaduses”, mis ühendab ja ühtlustab kolm eelnevat isikuandmete kaitse seadust (Isikuandmete kaitse seadus, Avaliku halduse isikuandmete kaitse seadus, Sõltumatute haldusorganite isikuandmete kaitse seadus).
Uus seadus sisaldab mitmeid muudatusi, sealhulgas ühtset määratlust isikuandmetele avaliku ja erasektori vahel, et vastata globaalsele AI ja suurandmete ajastule ning tugevdada isikute õiguste ja huvide kaitset.
Muudatuste hulka kuuluvad “pseudonüümse töötlemise teabe” ja “isikuga seotud teabe” lisamine isikuandmetele ning isikuandmete käitlemise, sealhulgas välismaal, reguleerimise tugevdamine ja karistuste karmistamine. Kui lekib teavet (lekke, kadumise või kahjustumise korral), on kohustuslik teavitada Isikuandmete Kaitse Komisjoni ja isikut ennast.
See tähendab, et välismaised ettevõtted, kes käitlevad Jaapanis asuvate isikute isikuandmeid, on nüüd haldusliku aruandluse ja korralduste all ning neile kohaldatakse ka karistusi. Karistuste kohta saate rohkem teada sellest artiklist.
Seotud artikkel: 2022. aasta (Reiwa 4) muudetud isikuandmete kaitse seaduse ‘karistused'[ja]
Lisaks jõustub 1. aprillil 2023 (Reiwa 5) muudetud seadus, mis ühtlustab kaitsetaset ja kõrvaldab ebaühtlused, mis tulenevad erinevatest kohalike omavalitsuste isikuandmete kaitse määrustest ja rakendamisest, meditsiinivaldkonna seaduslikest reeglitest ja akadeemilistest eranditest. Selle eesmärk on ühtlustada reguleerimist, nii et “Isikuandmete Kaitse Komisjon” haldaks süsteemi ühtselt nii avalikus kui ka erasektoris.
Reiwa 4. aasta (2022) isikuandmete kaitse seaduse muudatuste 6 punkti
Reiwa 2. aastal (2020) uuesti kehtestatud isikuandmete kaitse seadus on muudetud, võttes arvesse ühiskondlikke ja majanduslikke muutusi ning järgides viit vaatenurka, et saavutada “süsteem, mis levib mõlemal pool, majanduskasvu ja isiku õiguste kaitse, tehnoloogilise innovatsiooni tulemusena isikuandmete ja isikuga seotud teabe osas”.
- Isiku õiguste ja huvide kaitse
- Tehnoloogilise innovatsiooni tulemuste kaitse ja tugevdamine
- Rahvusvaheline süsteemide harmoonia ja koostöö
- Riskidele reageerimine, mis kaasnevad piiriülese andmevoo suurenemisega
- Kohanemine AI ja suurandmete ajastuga
Reiwa 4. aasta isikuandmete kaitse seaduse muudatuste põhipunktid on järgmised kuus:
- Isiku taotlusõiguse laiendamine
- Ettevõtja kohustuste lisamine
- Ettevõtja iseseisva tegevuse edendamine
- Andmekasutuse edendamine
- Trahvide tugevdamine
- Väljaspool asuvate rakenduste laiendamine jne
Et kohaneda 2022. aasta (Reiwa 4) 1. aprillil jõustunud “muudetud isikuandmete kaitse seadusega”, peavad isikuandmete käitlejad läbi vaatama ja muutma oma isikuandmete kaitse süsteeme, privaatsuspoliitikat, ettevõtte reegleid, lepingutingimusi (kasutustingimused jne). Vaadake üle oma isikuandmete haldussüsteem, viidates Isikuandmete Kaitse Komisjoni (PPC) jooksvatele “Isikuandmete kaitse seaduse juhenditele” ja koolitusmaterjalidele.
Muuhulgas on lisatud ettevõtja kohustuste kohta üksikasjalikumalt selgitatud järgmises artiklis, nii et vaadake seda ka.
Seotud artikkel: Reiwa 4. aasta (2022) isikuandmete kaitse seaduse muudatused ‘Ettevõtja kohustused’ – selgitame tähelepanupunkte[ja]
Isiklike andmetega seotud isikute õiguste olemus
Selles osas selgitame, millised on isiklike andmetega seotud õigused, mida on laiendatud viimase muudatusega, ja millist praktilist lähenemist nõuab see.
Isikliku teabe kasutamise peatamise, kustutamise ja kolmandatele osapooltele edastamise peatamise nõuete leevendamine
Enne muudatust oli isikliku teabe kasutamise peatamise, kustutamise ja kolmandatele osapooltele edastamise peatamise nõudmine võimalik ainult juhul, kui teavet kasutati eesmärgiväliselt või kui see oli ebaõiglaselt saadud. Muudetud seaduse kohaselt on nõudmine võimalik ka siis, kui on oht, et isiku õigused või õigustatud huvid võivad olla kahjustatud. Samuti on nõudmine võimalik ka siis, kui isikliku teabe kasutamise vajadus on kadunud.
Seega on pärast muudatust oodata, et nõudmiste arv isikliku teabe käsitlevatele ettevõtjatele suureneb. Ettevõtjatel on vaja tagada ressursid nende nõudmiste täitmiseks ja vajadusel uuendada juhendeid.
Lisaks on vaja süsteemi, mis võimaldab kontrollida iga isikuandmete kasutamise eesmärki, et otsustada, kas andmete kasutamise vajadus on kadunud või mitte.
Isikuandmete avalikustamise taotluste laiendamine
“Isikuandmete avalikustamise taotluse” ulatust on laiendatud ning nüüd on võimalik taotleda avalikustamist ka isikuandmeid käsitleva ettevõtja kolmandatele isikutele andmete üleandmise kohta.
Lisaks oli avalikustamise taotlus seni võimalik ainult kirjalikult, kuid nüüd on võimalik valida avalikustamise viis (avalikustamine elektromagnetilise salvestuse kaudu), mida isik määrab. See võib suurendada isikuandmeid käsitlevate ettevõtjate online-avalikustamise taotluste arvu. Ettevõtjatel on vaja tehnoloogilisi ja organisatsioonilisi meetmeid, et võimaldada avalikustamist elektromagnetilise salvestuse kaudu.
Kui isik taotleb isikuandmete avalikustamist, määrates andmete esitamise viisi, peab isikuandmeid käsitlev ettevõtja avalikustama andmed määratud viisil, välja arvatud juhul, kui see on keeruline.
Isikuandmeid käsitlev ettevõtja võib määrata elektromagnetilise salvestuse failivormingu (PDF-vorming, Word-vorming jne) ja elektromagnetilise salvestuse esitamise viisi (salvestage elektromagnetiline salvestus salvestusmeediumile ja saatke see posti teel, saatke elektromagnetiline salvestus e-posti manuses, laske veebisaidil elektromagnetilist salvestust alla laadida jne). Kui isiku määratud avalikustamise viis on keeruline, piisab, kui avalikustada andmed võimalikul viisil. Siiski on soovitav võimalikult palju vastata isiku soovidele, et parandada isiku mugavust.
Allikas: Jaapani isikuandmete kaitsekomisjoni ‘Isikuandmete kaitse seaduse suunised Q&A | A9-10′[ja]
Isiklikke andmeid sisaldava teabe avalikustamise ulatuse laiendamine
Enne muudatust ei olnud lühiajaliseks säilitamiseks mõeldud isikuandmeid, mis kustutatakse kuue kuu jooksul, määratletud kui “isiklikke andmeid sisaldav teave”. Kuid muudetud seaduse kohaselt on need nüüd sõltumata säilitamise perioodist “isiklikke andmeid sisaldava teabe” hulka arvatud.
Seega, isikuandmete käsitlejad, kes enne muudatust välistasid lühiajalise säilitamise alusel teabenõuded, peavad oma käsitlemist muutma.
Opt-out regulatsioonide tugevdamine: teavitamise, avalikustamise ja teatamiskohustuse lisamine
Isiku teavitamise, avalikustamise ja isikuandmete kaitse komisjonile teatamise kohustuslike punktide hulka on lisatud järgmised punktid:
- Kolmandatele osapooltele isikuandmeid edastava ettevõtte nimi jne
- Kolmandatele osapooltele edastatavate isikuandmete kogumise meetod
Kui kasutate “opt-out meetodit”, ei olnud probleemi, kui te eelnevalt teatasite isikule, et “me jagame teie isikuandmeid kolmandatele osapooltele” ja kui isik soovis, avalikustasite eelnevalt, et “me lõpetame andmete jagamise kolmandatele osapooltele”.
Seadusemuudatuse tõttu peab nüüd isikuandmeid kolmandatele osapooltele edastav ettevõte, kes kasutab “opt-out meetodit”, eelnevalt teatama isikuandmete kaitse komisjonile. Samuti on kohustuslik teatada muudatusest, kui opt-out pakkumine on peatatud.
Seega, ettevõtted, kes kasutavad “opt-out meetodit” isikuandmete jagamiseks kolmandatele osapooltele, peavad oma privaatsuspoliitikas, mis teavitab ja avalikustab sellest, tegema vajalikud parandused.
Opt-out regulatsiooni tugevdamine: topelt opt-out keeld
Isikuandmeid, mis ei kuulu “opt-out meetodi” alla, reguleeritakse lisaks “tundlikele isikuandmetele” ka “ebaõiglaselt omandatud isikuandmete” osas. Uus sätte keelab topelt opt-out meetodi, mille kohaselt ei tohi “opt-out meetodil” omandatud isikuandmeid uuesti “opt-out meetodil” pakkuda.
Seega peavad isikuandmete töötlejad kontrollima, kuidas on omandatud isikuandmed, mida nad soovivad “opt-out meetodil” kolmandatele osapooltele pakkuda, ning tegema vajalikud muudatused seadusemuudatuste järgimiseks.
Muudetud isikuandmete kaitse seadusega laieneb andmete kasutamine
Pseudonüümse töötluse info uus loomine
Näiteks võib ette tulla olukordi, kus isikuandmeid töödeldakse “anonüümse töötluse info” või “pseudonüümse töötluse info” jaoks, näiteks statistilistel eesmärkidel.
Nagu eespool mainitud, on “anonüümse töötluse info” isikuandmed, mis on töödeldud nii, et isikut ei saa tuvastada ka teiste andmetega võrreldes. Anonüümse töötluse info puhul kehtisid järgmised reeglid:
- Isiku nõusolekut ei nõuta kolmandatele osapooltele edastamiseks
- Identifitseerimise tegevuse keeld
- Anonüümse töötluse info loomisel tuleb avaldada isikuandmete kategooriad, mis sisalduvad anonüümse töötluse info all
Teiselt poolt, uus “pseudonüümse töötluse info”, mis on loodud selle muudatusega, on isikuandmed, mis on töödeldud nii, et isikut saab tuvastada teiste andmetega võrreldes. Pseudonüümse töötluse info puhul kehtestati järgmised reeglid:
- Kasutamise eesmärgi muutmine on lubatud, kuid muutmisel tuleb avaldada uus kasutamise eesmärk
- Identifitseerimise tegevuse ja isikuga ühenduse võtmise keeld
- Isiku avalikustamise, kasutamise peatamise jne taotlusele ei ole kohustus vastata
- Leke ei nõua teatamise või teavitamise kohustust
- Kolmandatele osapooltele edastamise keeld
Kuid kui andmete saaja on delegeeritud, äritegevuse jätkaja või ühiskasutaja (näiteks grupiettevõtted või ühised uuringud), on “pseudonüümse töötluse info” edastamine lubatud.
Kui isikuandmete töötleja kasutab “pseudonüümse töötluse info”, on vaja muuta privaatsuspoliitikat, et määratleda kasutamise eesmärk ja avaldada see ning määratleda suhe kolmandate osapooltega jagamisele.
Isikuga seotud teabe reguleerimine, mis muutub isikuandmeteks saajate juures
Kui andmete esitaja juures on tegemist “isikuga seotud teabega”, kuid on “oletatav”, et saaja saab selle “isikuandmetena”, peab saaja kontrollima, kas andmete esitajal on sellekohane nõusolek.
Niinimetatud DMP-de (Data Management Platform) või sarnaste teenuste pakkujatele kehtivad “isikuandmete” kolmandatele isikutele edastamisele sarnased piirangud.
Näide: Kui anonüümset postitajat süüdistatakse au teotamises ja taotletakse saatja teabe avalikustamist, peab IP-aadressi omav saidi haldaja andma teavet internetiühenduse pakkujatele (näiteks NTT, mobiiltelefoni ettevõtted).
Ülepiiriliste regulatsioonide tugevdamine ja väljaspool asukohariiki kohaldatavad sätted
Kui isikuandmeid edastatakse välismaal asuvale kolmandale isikule, nõuti enne muudatust, et andmete saaja oleks “isiku nõusolekul” ja “standarditele vastava süsteemi loonud ettevõtja” ning et see oleks “sama tasemega riik nagu Jaapan”, näiteks EL või Suurbritannia.
Muudetud seaduse kohaselt lisatakse esimese kahe nõude juurde täiendavad nõuded. Täpsemalt on nõutav järgmise teabe avaldamine, kui saadakse “nõusolek isikult”:
- Andmete saaja asukohariigi nimi
- Isikuandmete kaitse süsteem vastavas välisriigis
- Andmete saaja poolt rakendatavad isikuandmete kaitse meetmed
- Muud teave, mis võib olla isikule kasulik
Lisaks on nõutud, et andmete edastaja rakendaks “vajalikke isikuandmete kaitse meetmeid” ja esitaks neid teavet isiku taotlusel, kui kinnitatakse, et andmete saaja on “standarditele vastava süsteemi loonud ettevõtja”.
Andmete edastaja poolt rakendatavad vajalikud meetmed hõlmavad konkreetsemalt “juhtimissüsteemi, mis tagab andmete saaja poolt nõuetekohase käitlemise” ja “vastuse, kui andmete saaja nõuetekohase käitlemise korral tekib risk”.
Tuntud ELi isikuandmete kaitse süsteem, nagu GDPR (üldine andmekaitsemäärus), Suurbritannia ja APECi CBPR süsteemi liikmesriigid, samuti paljudes teistes riikides on olemas oma isikuandmete kaitse süsteemid, seega on oluline neid eelnevalt mõista ja nendega tegeleda, sõltuvalt äritegevuse olukorrast.
Teave, mis võib olla indikaatoriks “isikuandmete kaitse süsteemi” kohta, on see, et kui ettevõtjal ei ole kohustusi ega isiku õigusi, mis vastavad “OECD (Majandusliku Koostöö ja Arengu Organisatsiooni) privaatsuse juhiste 8 põhimõttele”, tuleb selle sisu isikule teatavaks teha. See on seetõttu, et see näitab olulist erinevust Jaapani “Isikuandmete Kaitse Seadusega”.
Välisriikides võib olla ka rangemaid isikuandmete kaitse süsteeme kui Jaapanis, seega on nende uurimine ja mõistmine oluline. Lisateavet leiate Isikuandmete Kaitse Komisjoni rahvusvaheliste suhete teabe pakkumisest.
Muudetud seaduse kohaselt saab Isikuandmete Kaitse Komisjon nüüd ka välisettevõtjate suhtes kohaldada karistusi, mis tagavad aruandekohustuse, korraldused ja sisenemiskontrollid, tagades seeläbi võrdse kohtlemise kodumaiste ettevõtjatega.
Selleks, et tõhusalt kasutada volitusi nii kodumaiste kui ka välisettevõtjate suhtes ja tagada nõuetekohased menetlused, on täpsustatud kättetoimetamise menetlusi (konsulaarkättetoimetamine, avalik kättetoimetamine jne). Välisriigi suveräänsuse tõttu ei saa avalikku võimu rakendada teise riigi territooriumil ilma selle riigi nõusolekuta, seega on poliitikaks teha vajadusel koostööd välisriigi asutustega (nagu GDPR, ei nõuta esindaja määramise kohustust).
Kokkuvõte: Konsulteerige advokaadiga isikuandmete kaitse seaduse muudatuste osas
Kokkuvõtvalt oleme selgitanud Reiwa 4. aasta (2022) isikuandmete kaitse seaduse muudatuste põhipunkte ja äriühingutele vajalikke praktilisi vastumeetmeid. Lisaks siin käsitletud muudatustele on palju muid aspekte, millega isikuandmete töötlejad peavad tegelema.
Ülemaailmselt on isikuandmete kasutamisele seaduslikud piirangud üha tugevamad. Eriti internetipõhiste teenuste pakkujad peavad arvestama, et nende veebisaitidele on võimalik juurde pääseda kogu maailmast, ning seetõttu peavad nad vastama nendele regulatsioonidele.
Äriühingud peavad mitte ainult jälgima Jaapani isikuandmete kaitse seaduse muudatusi, vaid ka maailma suundumusi, ning vaatama üle oma isikuandmete haldamise süsteemi. Kui teil on raskusi isikuandmete kaitse seaduse muudatustega kohanemisel, soovitame konsulteerida advokaadiga.
Meie büroo poolt pakutavad meetmed
Monolithi õigusbüroo on IT- ja eriti internetiõiguse valdkonnas kõrge spetsialiseerumisega õigusbüroo. Viimasel ajal on isikuandmete lekkimine muutunud suureks probleemiks. Kui isikuandmed peaksid lekkima, võib see mõnikord ettevõtte tegevusele saatusliku mõju avaldada. Meie ettevõttel on spetsialiseerunud teadmised infolekke ennetamise ja vastumeetmete kohta. Üksikasjad on kirjeldatud allpool toodud artiklis.
Monolithi õigusbüroo tegevusvaldkonnad: Isikuandmete kaitse seadusega seotud õigusteenused[ja]