MONOLITH LAW OFFICE+81-3-6262-3248Weekdays 10:00-18:00 JST

MONOLITH LAW MAGAZINE

General Corporate

Selgitame ettevõtja kohustusi seoses Reiwa 4. aasta (2022) isikuandmete kaitse seaduse muudatustega

General Corporate

Selgitame ettevõtja kohustusi seoses Reiwa 4. aasta (2022) isikuandmete kaitse seaduse muudatustega

Alates 2022. aasta aprillist (Gregoriaani kalendri järgi) on jõustunud muudetud isikuandmete kaitse seadus. Isikuandmete kaitse seadus on mõeldud tagama isikuandmete nõuetekohase käsitlemise, võttes arvesse isikuandmete kasulikkust ja kaitstes samal ajal üksikisikute õigusi ja huve. Millised on siis konkreetsed muudatused, mis jõustuvad isikuandmete kaitse seaduse muudatusega? Sel korral selgitame üksikisikute õiguste olemust ja ettevõtjate kohustusi.

Isikuandmete kaitse seaduse muudatused ja nende taust

2003. aastal vastu võetud ja 2005. aastal täielikult jõustunud Isikuandmete kaitse seadus muudeti 2015. aastal, kümme aastat pärast jõustumist, sest “infotehnoloogia arengu tõttu on võimalikuks saanud isikuandmete kasutamine, mida seaduse vastuvõtmise ajal ei osatud ette näha”. Seadusemuudatus jõustus täielikult 2017. aastal.

Selles 2017. aasta muudatuses on sisse viidud “kolmeaastane ülevaatamise klausel”, mis tähendab, et “arvestades rahvusvahelisi suundumusi, infotehnoloogia arengut ja uute tööstusharude loomise ja arengu olukorda, tuleb seadust iga kolme aasta tagant üle vaadata ja kohandada tegelike oludega”.

2017. aasta Isikuandmete kaitse seaduse muudatuse lisasätete asjakohased sätted (väljavõte)

(Ülevaatamine) Artikkel 12

(Jätka)

2 Valitsus peab pärast selle seaduse jõustumist kolme aasta jooksul arvestama isikuandmete kaitse põhimõtete väljatöötamise ja edendamise ning muude Isikuandmete kaitse komisjoni pädevusse kuuluvate ülesannete täitmiseks vajaliku personali struktuuri, rahastamise ja muude meetmete olukorraga, kaaluma nende parandamist ja vajadusel võtma vastu asjakohased meetmed nende tulemuste põhjal.

3 Lisaks eelmises lõigus sätestatud küsimustele peab valitsus pärast selle seaduse jõustumist kolme aasta jooksul arvestama isikuandmete kaitse rahvusvaheliste suundumustega, infotehnoloogia arenguga, uute tööstusharude loomise ja arengu olukorraga, mis on seotud isikuandmete kasutamisega, ning kaaluma uue Isikuandmete kaitse seaduse rakendamise olukorda ja vajadusel võtma vastu asjakohased meetmed nende tulemuste põhjal.

4, 5 (Jätka)

6 Valitsus peab arvestama uue Isikuandmete kaitse seaduse rakendamise olukorda, esimese lõigu meetmete rakendamise olukorda ja muid asjaolusid ning kaaluma isikuandmete ja haldusorganite poolt omavate isikuandmete kaitse sätete koondamist ja ühtseks muutmist, sealhulgas isikuandmete kaitse seadusandluse olemuse üle.

Reiwa 4. aasta (2022. aasta) Isikuandmete kaitse seaduse muudatus on esimene seadusemuudatus, mis põhineb sellel “kolmeaastasel ülevaatamise klauslil”.

Seotud artikkel: Mis on Isikuandmete kaitse seadus ja isikuandmed? Advokaat selgitab[ja]

Reiwa 4. aasta (2022) isikuandmete kaitse seaduse muudatuste ülevaade

Isikuandmete kaitse seaduse 2022. aasta muudatused hõlmavad järgmisi kuut punkti:

  1. Isikuõiguste olemus
  2. Ettevõtjate kaitstavate kohustuste olemus
  3. Ettevõtjate poolt vabatahtlike meetmete rakendamise soodustamise mehhanismi olemus
  4. Andmekasutuse olemus
  5. Trahvide olemus
  6. Seaduse välismaise kohaldamise ja piiriülese ülekande olemus

Käesolevas artiklis selgitame muudatuspunkte 1 ja 2.

Seotud artikkel: Reiwa 4. aasta (2022) isikuandmete kaitse seaduse ‘trahvide’ selgitus[ja]

Isikute õiguste olemus

Isikute õiguste olemuse osas on tehtud viis muudatust.

Kasutamise peatamise ja kustutamise õiguse laiendamine (paragrahv 30)

Kehtivas seaduses oli isikute õigus nõuda kasutamise peatamist või kustutamist piiratud juhtudega, kus isikuandmeid kasutati eesmärgiväliselt või kui neid oli omandatud ebaseaduslikult. Kuid muudetud seaduse kohaselt, kui “ettevõtjal pole enam vaja säilitada isikuandmeid”, “kui on toimunud leke” või “kui on oht, et isiku õigused või õigustatud huvid võivad olla kahjustatud”, on võimalik nõuda kasutamise peatamist, kustutamist või kolmandatele osapooltele edastamise peatamist.

Isikuandmete avalikustamise meetod (paragrahv 28)

Isikul on õigus nõuda isikuandmete töötlejalt oma isikuandmete avalikustamist. Vastates taotlusele, peab isikuandmete töötleja põhimõtteliselt avalikustama isikuandmed. Kehtiva seaduse kohaselt toimus isikuandmete avalikustamine põhimõtteliselt kirjalikult. Kuid kui andmete hulk on suur, ei pruugi kirjalik edastamine olla sobiv, ja lisaks on olemas andmeid, nagu video- või helifailid, mis ei sobi üldse kirjalikuks edastamiseks. Seega muudetud seaduse kohaselt saab isik nõuda “avaldamist isiku poolt määratud viisil”, näiteks elektromagnetilise salvestuse kaudu. Isikuandmete töötleja peab avaldama andmed isiku poolt nõutud viisil.

Ettevõtetel, kes käitlevad isikuandmeid, on vaja kiiresti luua süsteemid, mis suudavad vastata digitaalsetele avalikustamistaotlustele.

Kolmandatele osapooltele edastamise kirjete avalikustamine isiku poolt (paragrahv 28, lõige 5)

Isikuandmete töötleja peab isikuandmete kolmandatele osapooltele edastamisel looma seadusega ettenähtud kirjed ja kolmandatele osapooltele edastamise saaja peab samuti looma seadusega ettenähtud kirjed. Neid kirjeid, mis on seotud isikuandmete kolmandatele osapooltele edastamise ja kolmandatele osapooltele edastamise saamise kinnitamisega, nimetatakse “kolmandatele osapooltele edastamise kirjeteks”.

Kehtiva seaduse kohaselt ei saanud isik nõuda ettevõttelt kolmandatele osapooltele edastamise kirjete avalikustamist, kuid muudetud seaduse kohaselt saab isik nõuda kolmandatele osapooltele edastamise kirjete avalikustamist, võttes arvesse isiku jälgimisvõimalusi.

Lühiajalise säilitamise andmete lisamine isikuandmetesse (paragrahv 2, lõige 7)

Kehtiva seaduse kohaselt määratletakse isikuandmed kui “isikuandmed, mille suhtes isikuandmete töötlejal on õigus teha avalikustamine, sisu parandamine, lisamine või kustutamine, kasutamise peatamine, kustutamine ja kolmandatele osapooltele edastamise peatamine”, “mille olemasolu või puudumine võib kahjustada avalikku huvi või muid huve, nagu määratletud valitsuse määrusega” või “mis tuleb kustutada valitsuse määrusega määratud üheaastase perioodi jooksul”, välja arvatud “valitsuse määrusega määratud üheaastase perioodi jooksul”, mis oli määratletud kui kuus kuud.

Kuid isegi kui andmed kustutatakse lühikese aja jooksul, on olemas võimalus, et leke või muu sarnane juhtum võib tekkida enne kustutamist. Seetõttu on muudetud seaduse kohaselt kuue kuu jooksul kustutatavad lühiajalised andmed kaasatud “isikuandmetesse”.

Opt-out sätete piiramine (paragrahv 23, lõige 2)

Opt-out sätted tähendavad “süsteemi, mis võimaldab isikuandmeid kolmandatele osapooltele edastada ilma isiku nõusolekuta, eeldusel, et isik võib nõuda peatamist pärast seda, kui on avaldatud andmete kategooriad, mida edastatakse”, kuid kehtiva seaduse kohaselt olid ainult tundlikud isikuandmed välja jäetud.

Muudetud seaduse kohaselt on kolmandatele osapooltele edastatavate isikuandmete ulatus piiratud ja “ebaõiglaselt omandatud isikuandmed” ning “opt-out sätete alusel edastatud isikuandmed” on samuti välja jäetud.

Ettevõtja kohustuste täitmise viis

Ettevõtja kohustuste täitmise viisi osas on tehtud järgmised kaks muudatust.

Leke jms teatamise kohustus (Jaapani isikuandmete kaitse seaduse artikkel 22, lõige 2)

Kehtiva seaduse kohaselt ei ole lekke jms teatamine seaduslik kohustus, mistõttu on olemas ettevõtjad, kes ei reageeri aktiivselt, ja kui ettevõtja ei avalikusta seda, ei pruugi Jaapani isikuandmete kaitse komisjon juhtumist teadlik olla ja ei pruugi suuta asjakohaselt reageerida. Muudetud seaduse kohaselt on lekke jms tekkimisel, kui on suur oht kahjustada isiku õigusi ja huve, kohustuslik teatada Jaapani isikuandmete kaitse komisjonile ja teavitada isikut.

Leke jms teatamise kohustuse alla kuuluvad juhtumid hõlmavad “tundliku isikuandmete leket”, “leket ebaseadusliku juurdepääsu tõttu”, “leket, millel on oht varalisele kahjule”, olenemata juhtumite arvust, ja “suuremahulist leket”, mis ületab 1000 juhtumit.

Isikuandmete kasutamise keeld ebasobival viisil (Jaapani isikuandmete kaitse seaduse artikkel 16, lõige 2)

Kiire andmeanalüüsi tehnoloogia arengu taustal on märgata isikuandmete kasutamise vorme, mis võivad potentsiaalselt rikkuda isiku õigusi ja huve, ja tarbijate mure on suurenenud. Sellele reageerides on muudetud seaduses selgelt sätestatud, et isikuandmeid ei tohi kasutada ebasobival viisil, mis soodustab ebaseaduslikku või ebaõiglast tegevust.

“Ebaseadusliku või ebaõiglase tegevuse soodustamine jms ebasobival viisil” tähendab selliseid oluliselt halbu juhtumeid nagu “isikuandmete andmine kolmandale isikule, kes tegeleb ebaseadusliku tegevusega” või “hoolimata sellest, et on täiesti etteaimatav, et isikuandmete koondamine andmebaasi ja avaldamine internetis võib põhjustada diskrimineerimist, mis on avaldatud hajutatult kohtu avalduste jms kaudu”.

Kokkuvõte

Selles artiklis selgitasime muudatuste punkte 1 ja 2. Muudatuste punktide 3, 4, 5 ja 6 kohta selgitame teises artiklis.

Seotud artikkel: Jaapani isikuandmete kaitse seaduse ‘karistused’ 2022. aasta (Reiwa 4. aasta) muudatuste kohta[ja]

Meie büroo poolt pakutavad meetmed

Monolise õigusbüroo on IT- ja eriti internetiõiguse valdkonnas kõrge spetsialiseerumisega õigusbüroo. Hiljuti muudetud isikuandmete kaitse seadus (Jaapani Isikuandmete Kaitse Seadus) on saanud palju tähelepanu ja seadusliku kontrolli vajadus on üha suurenenud. Meie büroo pakub intellektuaalomandi lahendusi. Üksikasjad on toodud allpool olevas artiklis.

https://monolith.law/practices/corporate[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Return to Top