Eesti keel English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_et/header.php</b> on line <b>89</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Weekdays 10:00-18:00 JST

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > GDPR-ile vastava privaatsuspoliitika koostamise olulised punktid selgitatuna

GDPR-ile vastava privaatsuspoliitika koostamise olulised punktid selgitatuna

General Corporate

GDPR-ile vastava privaatsuspoliitika koostamise olulised punktid selgitatuna

Kui tegelete ELi piires kasutajate isikuandmetega, peate vastama GDPR-ile ja looma GDPR-iga kooskõlas oleva privaatsuspoliitika. Siiski, kuna GDPR-i mõistmine võib olla keeruline, võib paljudel tekkida küsimus, kas ja kuidas nende veebisait peab GDPR-iga kooskõlas olema.

Selles artiklis selgitame GDPR-i üldpõhimõtteid ja toome välja olulised punktid GDPR-ile vastava privaatsuspoliitika koostamisel. Lisaks tutvustame Jaapani vastavusolukorda ja tuntud ettevõtete näiteid, mis võivad teile abiks olla.

GDPR ja privaatsuspoliitika

GDPR ja privaatsuspoliitika

Mis on GDPR-ile vastav privaatsuspoliitika? Siin selgitame GDPR-i üldpõhimõtteid ja privaatsuspoliitika nõudeid GDPR-i raames.

GDPR ja privaatsuspoliitika

GDPR on EL-i poolt kehtestatud määrus, mis sätestab üksikasjalikult isikuandmete kaitse ja nende käitlemise. GDPR kehtib Euroopa Majanduspiirkonnas (EMP: EL-i liikmesriigid, välja arvatud Šveits, ja EFTA liikmesriigid Island, Liechtenstein ja Norra). Järgmistel juhtudel võib GDPR kehtida ka Jaapani ettevõtetele:

  • EU territooriumil asuvatele andmesubjektidele kaupade või teenuste pakkumine
  • EU territooriumil asuvate andmesubjektide käitumise jälgimine

Andmesubjekt on tuvastatud või tuvastatav füüsiline isik, kellele isikuandmed on seotud.

Ülalnimetatud tingimustele vastavad ettevõtted peavad oma privaatsuspoliitikat (privaatsusteatis) üle vaatama ja vajadusel uuendama. GDPR-i rikkumise korral võib ettevõtet trahvida kuni 20 miljoni euroga või kogu maailma müügitulu 4% ulatuses.

Viide: Jaapani Kaubanduse Edendamise Organisatsioon | “EU üldine andmekaitsemäärus (GDPR)”[ja]

EU riikidega tehingute turvaliseks sooritamiseks on privaatsuspoliitika kontrollimine hädavajalik.

GDPR-i poolt määratletud isikuandmete kogumisel “teabe andmine”

GDPR sätestab, et isikuandmete kogumisel peab haldaja andmesubjektile teatud teavet andma, ja GDPR-i artikkel 12 lõige 1 kirjeldab teabe andmise viisi.

Nõuded on järgmised:

  • Lihtne, läbipaistev, arusaadav ja kergesti ligipääsetav
  • Kasutada selget ja lihtsat keelt
  • Lastele teabe andmisel tuleb rakendada asjakohaseid meetmeid
  • Teave antakse kirjalikult, sobivatel juhtudel elektrooniliselt või muul viisil
  • Kui andmesubjekt seda nõuab, peab teavet olema võimalik anda suuliselt

Lisaks on GDPR-i artikkel 12 lõige 5 sätestatud, et teabe andmine peab olema tasuta. Kontrollige, kas teie ettevõtte privaatsuspoliitika vastab ülaltoodud nõuetele ja vajadusel tehke muudatusi.

GDPR-ile kooskõlas oleva privaatsuspoliitika uuendamisel arvestatavad punktid

GDPR-ile kooskõlas oleva privaatsuspoliitika uuendamisel arvestatavad punktid

GDPR sätestab, et kui isikuandmeid kogutakse andmesubjektilt endalt (GDPR artikkel 13) või kui andmeid kogutakse muust allikast kui andmesubjekt (GDPR artikkel 14), peab isikuandmete vastutav töötleja andmesubjektile selgelt välja tooma mitmed punktid.

Vastutava töötleja selgitama peetavate punktide hulka kuuluvad järgmised:

  • Vastutava töötleja isikusamasus, üksikasjalikud kontaktandmed
  • Kui on olemas esindaja, siis esindaja isikusamasus, üksikasjalikud kontaktandmed
  • Andmesubjekti õigused juurdepääsuks, parandamiseks, kustutamiseks, töötlemise piiramiseks, andmete ülekandmiseks ja vastuväidete esitamiseks
  • Isikuandmete töötlemise eesmärgid, õiguslik alus
  • Isikuandmete säilitamise periood või selle määramise kriteeriumid
  • Töödeldavate isikuandmete liigid

On punkte, mida ei ole mainitud Jaapani privaatsuspoliitikas, seega tuleb neile uuendamisel erilist tähelepanu pöörata. Jaapani isikuandmete kaitse seadusest (Japanese Personal Information Protection Act) lähtuva privaatsuspoliitika kohta leiate lisateavet siit artiklist.

Seotud artikkel: Mis on oluline Jaapani isikuandmete kaitse seadusest lähtuva privaatsuspoliitika koostamisel?[ja]

Siin selgitame uuendamise punkte, keskendudes eelkõige aspektidele, mida ei ole kajastatud Jaapani isikuandmete kaitse seadusest lähtuvas privaatsuspoliitikas.

Andmetöötluse seaduslikkuse alused

GDPR (General Data Protection Regulation) nõuab, et oleks selgelt välja toodud “andmetöötluse seaduslikkuse alused”, mida isikuandmete kaitse seaduses varem ei nõutud. Isikuandmete töötlemise seaduslikuks muutmise alused on järgmised kuus (GDPR artikkel 6):

  • Andmesubjekti nõusolek
  • Lepingu täitmine
  • Õiguslik kohustus
  • Elu kaitsmisega seotud huvid
  • Avalik huvi
  • Õigustatud huvi

Kui üks neist kuuest alusest on kohaldatav, peetakse töötlemist seaduslikuks, seega tuleks see selgelt välja tuua privaatsuspoliitikas. Uute isikute puhul, kellelt teavet esmakordselt kogutakse, saab nõusoleku saada uue privaatsuspoliitika alusel.

Kuid tähelepanu tuleb pöörata juba nõusoleku andnud kasutajatele. Inimestele, kes on nõusoleku andnud enne privaatsuspoliitika muudatust, võib olla vajalik uuesti nõusolek saada.

Selles olukorras võib üheks lahenduseks olla privaatsuspoliitikasse ühe kuuest seadusliku aluse lisamine ja kasutajatelt nende muudatuste osas nõusoleku küsimine.

Kogutava teabe liigid ja kasutuseesmärgid

Traditsioonilises privaatsuspoliitikas on kombeks kogutava teabe ja selle kasutuseesmärkide, samuti kasutustingimuste kirjeldamine ühel lehel ning nende kohta ühiselt nõusoleku saamine. Siiski nõuab GDPR (General Data Protection Regulation), et kasutajad mõistaksid täpselt, millega nad nõustuvad, ning et nõusoleku objekt oleks selgelt määratletud.

On soovitatav esitada iga kogutava teabe liigi kohta eraldi kasutuseesmärk ja saada selle kohta eraldi nõusolek.

Kasutuseesmärkide selgitamine

GDPR (General Data Protection Regulation) nõuab, et teabe kogumise eesmärk oleks selgelt määratletud. Näiteks, kui eesmärk on määratletud kui “teenuse parendamine”, võib see olla liiga ebamäärane ja seetõttu peetakse seda sobimatuks.

Lisaks ei ole lubatud eesmärgiga mittekooskõlas olev täiendav töötlemine, seega tuleks seda aspekti arvesse võttes uuendada ka privaatsuspoliitikat.

Kustutamisõigus ja andmete ülekantavuse õigus

Paljud ettevõtted on oma privaatsuspoliitikas varem maininud juurdepääsuõigust ja parandamisõigust. Kuid GDPR (General Data Protection Regulation) nõuab nüüd ka “kustutamisõiguse ja andmete ülekantavuse õiguse” kirjeldamist.

Kustutamisõigus annab kasutajatele õiguse nõuda oma isikuandmete kustutamist haldaja poolt. Andmete ülekantavuse õigus võimaldab isikuandmete ülekandmist ühelt teenuselt teisele.

Näiteks võib tuua olukorra, kus mobiiltelefonioperaator A klient soovib oma lepingu ja kõneajaloo andmed üle viia mobiiltelefonioperaator B juurde. GDPR-i nõuetele vastamiseks peavad ettevõtted oma privaatsuspoliitikas neid õigusi kirjeldama.

Isikuandmete säilitamise perioodi täpsustamine

GDPR (General Data Protection Regulation) nõuab, et isikuandmete säilitamise perioodi oleks selgelt välja toodud, mis varasemates privaatsuspoliitikates tihti puudus. Kui perioodi ei ole võimalik määrata, on lubatud välja tuua kriteeriumid, mille alusel säilitamise perioodi määratakse.

Jaapani ettevõtete GDPR-i vastavuse olukord

Jaapani ettevõtete GDPR-i vastavuse olukord

Tutvustame teile Jaapani Infoühiskonna Edendamise Üldfondi ja Aktsiaseltsi I.T.R. “Ettevõtete IT-kasutuse suundumuste uuring 2021” (detailne versioon)[ja] uuringu tulemusi.

Ettevõtete IT-kasutuse suundumuste uuring 2021

Uuringu tulemuste kohaselt on GDPR-iga vastavuses olevaid ettevõtteid vähe ning kõige rohkem, 26,1%, on ettevõtteid, kes on GDPR-i vastavuses olemise protsessis (kaalumisel). 2021. aasta arvestuses on ka palju ettevõtteid, kellel ei ole EL-iga isikuandmete ülekandeid.

EL-iga isikuandmete vahetuse uuringu tulemused on järgmised:

Ettevõtete IT-kasutuse suundumuste uuring 2021

Ülaltoodud jooniselt nähtub, et kõige rohkem, 44,4% ettevõtetest vastas, et “praegu ei toimu vahetust ja ka tulevikus ei ole plaanis”. 12% ettevõtetest vastas, et “vahetus toimus varem, kuid GDPR-i rakendamise järel töödeldakse andmeid nii EL-is kui ka Jaapanis eraldi”.

“Praegu ei toimu vahetust, kuid on plaanis tulevikus” on 25,9%, “praegu toimub vahetus” on 17,6%, mis näitab, et tulevikus võib EL-iga vahetust tegevate ettevõtete arv suureneda, kuid 2021. aasta uuringu ajal oli neid siiski vähe.

Allikas: JIPDEC/ITR「Ettevõtete IT-kasutuse suundumuste uuring 2021」[ja]

Tuntud ettevõtete vastavus GDPR-ile

Tuntud ettevõtete vastavus GDPR-ile

Paljud ettevõtted soovivad oma privaatsuspoliitikat uuendada vastavalt GDPR-ile, kuid ei pruugi teada, milliseid muudatusi täpselt teha. Selles artiklis käsitleme Google’i ja Facebooki näitel, kuidas tuntud ettevõtted on GDPR-i nõuetega kohanenud.

Google’i vastavus GDPR-ile

Google on GDPR-iga vastavusse viimiseks teatanud järgmistest sammudest:

  • Kasutajatele suunatud läbipaistvuse suurendamine
  • Kasutajate kontrolli parendamine
  • Andmete ülekantavuse parandamine
  • Vahendid lapsevanemate nõusoleku saamiseks ja lastele sobiva internetikasutuse tagamiseks
  • Ärikasutajate ja partnerite toetamine
  • Privaatsuse järgimise programmide tugevdamine

Siin selgitame üksikasju.

Viide: Google „Google’i ettevalmistused Euroopa uue andmekaitsemääruse (GDPR) jaoks[ja]

Kasutajatele suurema läbipaistvuse tagamine

Google parandab ja uuendab oma privaatsuspoliitikat, et muuta Google’i poolt kogutava teabe ja selle kogumise põhjuste selgitus arusaadavamaks ning teabe leidmine lihtsamaks. Muudatuste hulka kuuluvad järgmised punktid:

  • Teabe haldamise, eksportimise ja kustutamise detailide täiendamine
  • Tekstile lisaks videote ja diagrammide lisamine

Lisaks on privaatsusseadete lehele lihtsamini juurdepääsu võimaldamiseks muudetud seadeid.

Kasutajahalduse täiustamine

GDPR-i (General Data Protection Regulation) nõuetele vastamiseks oleme täiustanud kasutajate haldamise viise. Tehtud muudatused on järgmised:

  • Minu tegevused lehel on võimalik andmeid vaadata ja kustutada
  • Lisatud on võimalus otsida teemade, kuupäevade ja toodete järgi
  • Võimalik on kontrollida endale sobivaid privaatsusseadeid
  • On võimalik hallata ja peita kuvatavaid reklaame
  • Google’i armatuurlaua kaudu on võimalik andmeid hõlpsasti jälgida

Lisaks on GDPR-i (General Data Protection Regulation) jõustumisele eelnenud ajast alates tehtud muudatusi, et kasutajate teave ja reklaamid oleksid lihtsamini hallatavad.

Andmete portatiivsuse parandamine

Google’il on mitmeid erinevaid teenuseid nagu Google Photos, Drive, Kalender ja Gmail. Google’i poolt GDPR-i (General Data Protection Regulation) nõuetele vastavuse tagamiseks tehtavad andmete portatiivsuse parandamise meetmed on järgmised:

  • Andmete allalaadimist võimaldavate teenuste ja haldusvalikute laiendamine
  • Funktsiooni lisamine, mis võimaldab andmete regulaarset allalaadimist ajastada

Lapsevanemate nõusolek ja laste asjakohase internetikasutuse parendamiseks mõeldud tööriistad

Google pakub Family Link rakendust, et toetada lapsevanemaid ja lapsi interneti asjakohasel kasutamisel. Family Linki abil saavad vanemad luua oma lastele kontosid.

Rakendus võimaldab seada ja hallata koduseid reegleid, nagu “kasutusaja piirangud” ja “seadme ajutine peatamine”.

Ärikasutajate ja partnerite tugi

GDPR-i (General Data Protection Regulation) nõuetele vastamiseks oleme uuendanud Google’i partnerite (reklaamijad, veebisaidi haldajad jne) poliitikat, mis puudutab kasutajate nõusoleku küsimist veebisaitidel ja rakendustes. Muud olulised uuendused on järgmised:

  • GDPR-i järgimist toetavate tööriistade pakkumine
  • Google’i reklaamiteenuseid kasutavate ettevõtete sertifitseerimisprotsessi karmistamine
  • Andmetöötlustingimuste ajakohastamine
  • Andmete ülekantavuse ja andmeintsidentide teavitamise kohta üksikasjaliku teabe pakkumine

Privaatsusnõuetele vastavuse programmi tugevdamine

GDPR-i (General Data Protection Regulation) nõuetele vastamiseks oleme tugevdanud oma privaatsusnõuetele vastavuse programmi. Täiendused on järgmised:

  • Privaatsusprogrammi parendamine
  • Toote ülevaatusprotsessi tugevdamine

Lisaks dokumenteerime andmetöötlust nüüd veelgi põhjalikumalt.

Facebooki vastavus GDPR-ile

Facebook on GDPR-i nõuetele vastamiseks teatanud järgmistest meetmetest:

  • Reklaamidest saadud teabe üle vaatamine
  • Profiiliinfo valikud
  • Näotuvastustehnoloogia üle vaatamine (EL & Kanada)
  • Uuendatud teenusetingimused ja andmete kasutamise kokkulepped
  • Teabele juurdepääsu, kustutamise ja allalaadimise hõlbustamine
  • Teabe esitamine noorematele kasutajatele

Siin selgitame üksikasju.

Viide: Facebook “Üldise andmekaitsemääruse (GDPR) järgimine ja uute privaatsuskaitsemeetmete tutvustamine

Reklaamidest saadud teabe üle vaatamine

Facebooki partnerid kasutavad reklaamide kuvamisel “Meeldib” nupu vajutustest ja Facebooki poolt pakutavatest tööriistadest saadud teavet. Kasutajatele pakutakse teavet reklaamide kohta ja võimalust valida, kas partnerite teavet võib reklaamide kuvamiseks kasutada.

Profiiliinfo valikud

Facebooki profiilides on avaldatud poliitilised vaated, usulised veendumused ja suhtestaatus. Kasutajad saavad valida, kas nad soovivad neid andmeid edaspidi avaldada ja kas neid võib kasutada reklaamides.

Profiiliinfo on alati vabalt valitav ja kasutajad saavad seda soovi korral kergesti kustutada.

Näotuvastustehnoloogia üle vaatamine (EL & Kanada)

Facebook võimaldab EL-i liikmesriikide ja Kanada kasutajatel valida, kas nad soovivad kasutada näotuvastustehnoloogiat. Samuti on see valik vabalt kättesaadav kõigile teistele kasutajatele.

Uuendatud teenusetingimused ja andmete kasutamise kokkulepped

Kasutajatele kuvatakse nõusolekut küsivad teated, mis sisaldavad üksikasjalikku teavet teenuse toimimise ja “Andmepoliitika” kohta.

Teabele juurdepääsu, kustutamise ja allalaadimise hõlbustamine

“Isikuandmete haldamise tööriista” kasutamine võimaldab kasutajatel oma andmeid kontrollida ja kustutada. Samuti on andmeid lihtne alla laadida ja eksportida.

Mobiilseadmete tegevuslogi on uuendatud, et kasutajad saaksid hõlpsamini kontrollida, millist teavet nad on jaganud.

Teabe esitamine noorematele kasutajatele

Facebook on juba kehtestanud teatud piirangud teismelistele kasutajatele. Need hõlmavad järgmist:

  • Reklaamikategooriate piirangud
  • Näotuvastuse kasutamise keeld (alla 18-aastastele)
  • Teismeliste kasutajate jagatud teabe vaatamise ja otsimise piirangud

Lisaks on vaikimisi seaded sellised, et teavet ei avaldataks avalikult.

GDPR-i järgimiseks on Facebook kehtestanud eraldi eeskirjad. EL-i liikmesriikide kasutajate puhul on vaja vanemate nõusolekut reklaamide vaatamiseks ja profiili teabe (nt usulised veendumused, poliitilised vaated) avaldamiseks.

Muudes piirkondades võimaldab Facebook kasutajatel valida, kas nad soovivad partneritelt saadud andmeid reklaamide kuvamiseks kasutada ja kas nad soovivad oma profiilis isiklikku teavet avaldada.

Kokkuvõte: GDPR nõuab laiemat isikuandmete kaitset kui Jaapani seadused ja on hädavajalik

GDPR

GDPR (General Data Protection Regulation) sätestab mitmeid nõudeid, nagu “andmete kogumise eesmärkide selgitamine”, “õigus andmete kustutamisele ja andmete ülekantavusele” ning “andmete säilitamise perioodide avalikustamine”, laiendades sellega kasutajate õigusi võrreldes traditsiooniliste Jaapani seadustega.

Kui ettevõte rikub GDPR-i nõudeid, võib see kaasa tuua suuri trahve. Seetõttu peavad kõik ettevõtted, kes töötlevad isikuandmeid EL-i piires, järgima GDPR-i nõudeid. Ettevõtted, kes tegutsevad või plaanivad laieneda EL-i turule, peaksid koostama GDPR-ile vastava privaatsuspoliitika.

Meie büroo poolt pakutavad meetmed

Monolith õigusbüroo on õigusteenuste pakkuja, millel on rikkalik kogemus IT valdkonnas, eriti interneti ja õiguse ristumiskohas. Viimastel aastatel on globaalne äritegevus üha laienenud ja professionaalsete õiguslike kontrollide vajadus on suurenenud. Meie büroo pakub lahendusi rahvusvahelise õiguse valdkonnas.

Monolith õigusbüroo tegevusvaldkonnad: Rahvusvaheline õigus ja välisäri[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Mis on J-KISSi (Jaapani investeerimislepingute standard) poolt soovitatavad olulised kontrollpunktid investeerimislepingutes?

Mis on J-KISSi (Jaapani investeerimislepingute standard) poolt soovitatavad olulised kontrollpun.

General Corporate

Video redigeerimise tellimine pilvetöötajalt: 6 punkti töövõtulepingu kohta selgitatud

Video redigeerimise tellimine pilvetöötajalt: 6 punkti töövõtulepingu kohta selgitatud

General Corporate

Advokaadi lihtne selgitus meditsiinireklaami juhiste põhipunktide kohta

Advokaadi lihtne selgitus meditsiinireklaami juhiste põhipunktide kohta

General Corporate

Interneti kasutamise aeg ületas esmakordselt televiisori vaatamise aja: meedia kasutamise tegelikkuse selgitus

Interneti kasutamise aeg ületas esmakordselt televiisori vaatamise aja: meedia kasutamise tegeli.

General Corporate

Kas AI tarkvaraarenduse leping on alltöövõtt või volitus? Lepinguliste oluliste punktide selgitus

Kas AI tarkvaraarenduse leping on alltöövõtt või volitus? Lepinguliste oluliste punktide selgitu.

General Corporate

Olulised kontrollpunktid reklaamitehingute põhilepingus, et vältida probleeme

Olulised kontrollpunktid reklaamitehingute põhilepingus, et vältida probleeme

General Corporate

Mis on juhatuse liikme lähetamise klausel investeerimislepingutes?

Mis on juhatuse liikme lähetamise klausel investeerimislepingutes?

General Corporate

UK GDPR – mis see on? Selgitame GDPR-i suhet ja punkte, mida tuleks meeles pidada

UK GDPR – mis see on? Selgitame GDPR-i suhet ja punkte, mida tuleks meeles pidada

General Corporate

Juriidiline jõud M&A lepingutes põhikokkuleppe raames

Juriidiline jõud M&A lepingutes põhikokkuleppe raames

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection Personal Information Protection#Cross-border System Development Terms of Use

Weekly Popular Articles

Tagasi üles