Millised on Jaapani isikuandmete kaitse seaduse muudatused Reiwa 6. aastal (2024)? Selgitame olulisi muudatusi ja vastumeetmeid, mida peaksite teadma
2024. aasta aprillis jõustuvad muudetud Jaapani isikuandmete kaitse seaduse rakenduseeskirjad. Selle muudatuse raames laieneb kohustus teavitada Jaapani isikuandmete kaitse komisjoni ja isikut ennast, kui toimub andmeleke või muu rikkumine.
Selle muudatuse peamine eesmärk on reageerida viimaste aastate isikuandmetega seotud probleemidele, nagu veebiskimming.
Siiski on muudatuste täpseks mõistmiseks ja asjakohaseks reageerimiseks vaja spetsialiseeritud teadmisi, ning paljud ei pruugi teada, milliseid samme nende ettevõte peaks astuma. Selles artiklis selgitame 2024. aasta muudatuste peamisi punkte ja vastumeetmeid.
Ülevaade Jaapani isikuandmete kaitse seaduse muudatustest Reiwa 6. aastal (2024)
Reiwa 6. aasta (2024) Jaapani isikuandmete kaitse seaduse muudatuste peamine tähelepanuväärne punkt on see, et lekete korral teatamise ja teavitamise kohustus ning turvameetmete rakendamise kohustus laieneb teatud “isikuandmetele”.
Varasemate eeskirjade kohaselt kehtisid lekete korral teatamise kohustus ja muud sarnased kohustused ainult “isikuandmete” kohta, kuid “isikuandmed” ei olnud hõlmatud.
Selle muudatuse tulemusena on Jaapani isikuandmete kaitse seaduse rakenduseeskirjade artikli 7 lõike 3 punktis ja “Isikuandmete kaitse seaduse juhendis (üldosa)”[ja] toodud muudatuste sisu.
Muudetud seadus | Enne muudatust | |
Lekete korral teatamise kohustus | Kehtib (teatud juhtudel) | Ei kehti |
Turvameetmete rakendamise kohustus | Kehtib (teatud juhtudel) | Ei kehti |
Konkreetsed regulatsioonid ja muudatused on allpool üksikasjalikult selgitatud.
Senised Jaapani isikuandmete kaitse seaduse regulatsioonid
Muudatuste sisu mõistmiseks on hädavajalik täpne arusaam enne muudatusi kehtinud regulatsioonidest. Siin selgitame enne muudatusi kehtinud regulatsioonide määratlusi ja sisu.
Isikuandmete ja isikuandmete erinevus
Jaapani isikuandmete kaitse seaduses eristatakse kaitseobjektina “isikuandmeid” ja “isikuandmeid”.
“Isikuandmed” on teave, mis puudutab elavat isikut ja mille abil saab konkreetset isikut tuvastada, näiteks nimi või sünnikuupäev. See on määratletud Jaapani isikuandmete kaitse seaduse paragrahvi 2 lõike 1 punktis 1.
Seotud artikkel: Reiwa 4. aasta (2022) Jaapani isikuandmete kaitse seaduse muudatus, mis soodustab andmete kasutamist, luues uue kategooria ‘pseudonüümitud andmed'[ja]
Teisest küljest viitab “isikuandmed” isikuandmete andmebaasi moodustavatele isikuandmetele, nagu on sätestatud Jaapani isikuandmete kaitse seaduse paragrahvi 16 lõikes 1.
Näiteks kui koostate ürituse osalejate nimekirja, nimetatakse broneerijate saadetud nimesid ja aadresse “isikuandmeteks”. Seejärel koostatakse broneerijate isikuandmetest andmebaas, näiteks arvutustabelis, ja see andmebaas on “isikuandmete andmebaas”. Seda andmebaasi moodustavad üksikud andmed on “isikuandmed”.
Jaapani isikuandmete kaitse seaduse kohaselt on oluline mõista, et kaitseobjektina “isikuandmete” või “isikuandmete” vahel on olulisi erinevusi regulatsioonides.
Andmekaitse rikkumisest teatamise kohustus
Jaapani isikuandmete kaitse seadus kohustab isikuandmete töötlejaid teatama isikuandmete kaitse komiteele ja teavitama andmesubjekte, kui toimub isikuandmete leke või muu rikkumine.
(Rikkumisest teatamine)
Jaapani isikuandmete kaitse seadus|e-Gov seaduste otsing[ja]
Artikkel 26. Kui isikuandmete töötleja käsutuses olevate isikuandmete leke, hävimine, kahjustumine või muu isikuandmete turvalisust ohustav juhtum, mis võib oluliselt kahjustada isikute õigusi ja huve, toimub, peab isikuandmete töötleja teatama sellest isikuandmete kaitse komiteele vastavalt isikuandmete kaitse komitee määrustele. Kui isikuandmete töötleja on saanud isikuandmete töötlemise ülesande teiselt isikuandmete töötlejalt või haldusasutuselt ja teavitab sellest teist isikuandmete töötlejat või haldusasutust vastavalt isikuandmete kaitse komitee määrustele, ei ole teatamine isikuandmete kaitse komiteele vajalik.
2. Eelmises lõikes sätestatud juhtudel peab isikuandmete töötleja (välja arvatud isik, kes on teavitanud vastavalt eelmise lõike erandile) teavitama andmesubjekti vastavalt isikuandmete kaitse komitee määrustele. Kui andmesubjekti teavitamine on keeruline ja võetakse vajalikud alternatiivsed meetmed andmesubjekti õiguste ja huvide kaitsmiseks, ei ole teavitamine vajalik.
Teatamis- ja teavitamiskohustus ei kehti kõigi rikkumiste korral. See kehtib ainult nelja juhtumi puhul, mis on sätestatud Jaapani isikuandmete kaitse seaduse rakendusmääruse artiklis 7.
- Isikuandmete leke, mis sisaldab tundlikke isikuandmeid (nt töötajate tervisekontrolli tulemused)
- Isikuandmete leke, mis võib põhjustada varalist kahju pettuse tõttu (nt krediitkaardi number)
- Isikuandmete leke, mis on toime pandud pettuse eesmärgil
- Isikuandmete leke, mis mõjutab rohkem kui 1000 isikut
Käesoleva muudatusega on muudetud rakendusmääruse artikli 7 lõike 3 sisu.
Mis on turvameetmed
Jaapani isikuandmete kaitse seadus kohustab isikuandmete töötlejaid võtma vajalikke ja asjakohaseid meetmeid, et ennetada isikuandmete lekkimist ja tagada nende turvaline haldamine.
(Turvameetmed)
Jaapani isikuandmete kaitse seadus|e-Gov seaduste otsing[ja]
Artikkel 23. Isikuandmete töötlejad peavad võtma vajalikke ja asjakohaseid meetmeid, et ennetada nende hallatavate isikuandmete lekkimist, kadumist või kahjustamist ning tagada muul viisil isikuandmete turvaline haldamine.
Konkreetsed näited hõlmavad juurdepääsu kontrolli, töötajate koolitust ja distsiplinaarreeglite kehtestamist.
Enne muudatust kehtinud regulatsioonid
Enne muudatust kehtisid aruandluskohustus ja turvameetmete rakendamise kohustus ainult “isikuandmete” suhtes. “Isikuinfo” puhul ei olnud ettevõtetel selliste kohustuste täitmise vajadust, isegi kui toimus andmeleke või muu sarnane juhtum.
Kuid seekordse muudatusega laiendati aruandlus- ja teavitamiskohustust ning turvameetmete rakendamise kohustust ka teatud “isikuinfo” kategooriatele.
Isikuandmete kaitse seaduse rakenduseeskirjade muudatuste eesmärk ja siht
Selle muudatuse eesmärk on võtta arvesse veebiskimmingu vastaseid meetmeid. Veebiskimming on rünnakumeetod, mille käigus paigaldatakse ebaseaduslik programm e-kaubanduse saitidele, et varastada isikuandmeid.
Konkreetselt on olemas meetod, kus kasutaja sisestatud paroolid ja krediitkaardi andmed saadakse otse sisestuslehelt.
Veebiskimmingu puhul on iseloomulik, et kasutaja sisestatud teave varastatakse enne, kui see integreeritakse e-kaubanduse saidi operaatori isikuandmete andmebaasi. Sellisel kujul varastatakse “isikuandmeid” enne, kui need muutuvad “isikuandmeteks”.
Enne muudatust oli leke jms aruandluskohustus ainult “isikuandmete” suhtes. Seetõttu ei olnud e-kaubanduse saidi operaatoritel kohustust teatada veebiskimmingu põhjustatud kahjudest.
Selle muudatuse eesmärk on laiendada leke jms aruandluse ja turvameetmete kohaldamisala, et hõlmata ka “isikuandmeid”, sealhulgas veebiskimmingu põhjustatud andmelekked.
2024. aasta Jaapani isikuandmete kaitse seaduse rakenduseeskirjade muudatused
Andmelekkest teatamise kohustuse laiendamine
Jaapani isikuandmete kaitse seaduse rakenduseeskirjade paragrahvi 7 lõige 3 on muudetud järgmiselt:
Muudetud seadus | Enne muudatust |
Paragrahv 7, seaduse paragrahv 26 lõige 1: Isikuandmete kaitse komisjoni määrusega määratletud juhtumid, mis võivad oluliselt kahjustada isiku õigusi ja huve, on järgmised: 3. Juhtumid, kus isikuandmete töötleja suhtes on toimunud või võib toimuda andmeleke, mis on toime pandud pettuse eesmärgil (sealhulgas isikuandmed, mida isikuandmete töötleja on omandanud või kavatseb omandada ja mida kavatsetakse käsitleda isikuandmetena). | Paragrahv 7, seaduse paragrahv 26 lõige 1: Isikuandmete kaitse komisjoni määrusega määratletud juhtumid, mis võivad oluliselt kahjustada isiku õigusi ja huve, on järgmised: 3. Juhtumid, kus on toimunud või võib toimuda isikuandmete leke, mis on toime pandud pettuse eesmärgil. |
“Asjaomane isikuandmete töötleja” hõlmab ka alltöövõtjaid ja isikuandmete töötlemise teenuse pakkujaid.
Lisaks hinnatakse objektiivselt, kas isikuandmete töötleja “kavatseb omandada isikuandmeid”, võttes arvesse isikuandmete omandamise meetodeid jne (juhendi üldosa 3-5-3-1).
Seega on andmelekkest teatamise ja teavitamise kohustuse ulatus laiendatud hõlmama teatud juhtudel ka “isikuandmeid”, mis on 2024. aasta muudatuse oluline muudatus.
Turvameetmete kohustuse laiendamine
Seoses andmelekkest teatamise kohustuse regulatsiooni muudatustega on muudetud ka isikuandmete kaitse seaduse juhendi üldosa 3-4-2 sisu.
Ettevõtete poolt rakendatavad turvameetmed peavad hõlmama ka vajalikke ja asjakohaseid meetmeid, et vältida isikuandmete leket, mida isikuandmete töötleja kavatseb käsitleda isikuandmetena (isikuandmed, mida isikuandmete töötleja on omandanud või kavatseb omandada).
Turvameetmete kohustuse ulatus on laiendatud hõlmama mitte ainult “isikuandmeid”, vaid ka teatud juhtudel “isikuandmeid”.
Viide: Isikuandmete kaitse komisjon|(2024. aasta 1. aprillil jõustuv) isikuandmete kaitse seaduse juhend (üldosa)
Meetmed, mida tuleb võtta seoses muudetud isikuandmete kaitse seaduse jõustumisega
Meetmed, mida tuleb võtta seoses 令和6年 (2024) muudetud Jaapani isikuandmete kaitse seaduse jõustumisega, on järgmised:
- Privaatsuspoliitika uuendamine
- Sisekorra eeskirjade uuendamine ja nende teavitamine
Vaatame neid üksikasjalikumalt.
Privaatsuspoliitika uuendamine
Isikuandmete töötlejad peavad tagama, et isikuandmete turvameetmed on isikule teadaolevad. See hõlmab ka olukorda, kus isiku taotlusele vastatakse viivitamata (Jaapani isikuandmete kaitse seaduse artikkel 32 lõige 1 punkt 4).
Ettevõtted, kes on seni käsitlenud isikuandmete turvameetmeid privaatsuspoliitikas, peavad olema ettevaatlikud. Privaatsuspoliitikasse tuleb lisada teatud isikuandmete kaasamine uute turvameetmete alla.
Sisekorra eeskirjade uuendamine ja nende teavitamine
Teatud isikuandmete lekkimise kohta on nüüd kehtestatud teavitamis- ja aruandluskohustus, mis tuleb kajastada ka sisekorra eeskirjades ja teavitada töötajaid.
Muudatustega hõlmatud isikuandmete lekkimise juhtumid ei piirdu ainult veebiskimmimisega.
Näiteks, kui isikuandmete töötleja saadab kliendile tagasisaatmiseks mõeldud ümbriku, mille aadress on muudetud, ja ümbrikus olevas ankeedis sisalduvad isikuandmed satuvad kolmanda isiku kätte, tekib teavitamis- ja aruandluskohustus, kui need isikuandmed olid mõeldud isikuandmetena käsitlemiseks.
Kuna kohustus laieneb nüüd ka isikuandmetele, mille kohta varem kohustust ei olnud, tuleb töötajaid sellest teavitada ja tähelepanu juhtida.
Kokkuvõte: Isikuandmete kaitse seaduse muudatuste osas konsulteerige spetsialistiga
Jaapani isikuandmete kaitse seaduse Reiwa 6. aasta (2024) muudatused laiendasid veebiskimmingu vastaseid meetmeid silmas pidades lekete jms juhtumite aruandlus- ja teavitamiskohustusi ning turvameetmete ulatust. Enne muudatusi hõlmasid need kohustused ainult “isikuandmeid”, kuid teatud juhtudel hõlmavad need nüüd ka “isikuinfot”.
Seoses selle muudatusega on vaja võtta meetmeid, nagu privaatsuspoliitika ja sisemiste eeskirjade muutmine.
Isikuandmete käsitlemisel on vale sammuga seotud suured riskid, nagu ühiskondliku usalduse kaotus. Soovitame konsulteerida advokaadiga, et tagada õige lähenemine.
Meie büroo meetmete tutvustus
Monolith advokaadibüroo on advokaadibüroo, millel on rikkalik kogemus IT, eriti interneti ja õiguse valdkonnas. Viimasel ajal on isikuandmete lekkimine muutunud suureks probleemiks. Juhul kui isikuandmed lekivad, võib see ettevõtte tegevusele saatuslikult mõjuda. Meie ettevõttel on spetsialiseeritud teadmised andmelekkete ennetamise ja lahendamise kohta. Üksikasjad on toodud allolevas artiklis.
Monolith advokaadibüroo tegevusvaldkonnad: Jaapani isikuandmete kaitse seadusega seotud õigusnõustamine[ja]