Seletus „karistuse“ kohta Reiwa 4. aasta (2022) isikuandmete kaitse seaduse muudatustes
Alates 2022. aasta aprillist (2022年) jõustus muudetud isikuandmete kaitse seadus. Jätkates 2022. aasta muudetud isikuandmete kaitse seaduse “ettevõtja kohustuste” selgitamist, selgitame seekord andmete kasutamise viise ja karistusi.
Reiwa 4. aasta (2022) isikuandmete kaitse seaduse muudatuste ülevaade
Isikuandmete kaitse seaduse 2022. aasta muudatused hõlmavad järgmisi kuut punkti:
- Isikuõiguste olemus
- Ettevõtjate kaitstavate kohustuste olemus
- Ettevõtjate poolt vabatahtlike meetmete rakendamise soodustamise süsteemi olemus
- Andmete kasutamise olemus
- Trahvide olemus
- Seaduse välismaise kohaldamise ja piiriülese ülekande olemus
Artiklis “2022. aasta isikuandmete kaitse seaduse muudatused – ettevõtjate kohustused[ja]” on selgitatud muudatuspunkte (1) ja (2). Siin selgitame muudatuspunkte (3), (4), (5) ja (6).
Seotud artikkel: Mis on isikuandmete kaitse seadus ja isikuandmed? Advokaat selgitab[ja]
Ettevõtjate poolt algatatud tegevuste soodustamise süsteemi olemus
Ettevõtjate poolt algatatud tegevuste soodustamise süsteemi olemus on muutumas üha olulisemaks, kuna äritegevuse mitmekesisus ja IT-tehnoloogia areng nõuavad eraorganisatsioonidelt isikliku andmete käsitlemisele omaste reeglite kehtestamist teatud valdkondades ning aktiivset juhendamist ja nõustamist ettevõtjatele.
Jaapani isikuandmete kaitse seadus (Japanese Personal Information Protection Act) näeb ette mitte ainult Isikuandmete Kaitse Komisjoni, vaid ka eraorganisatsioonide kasutamise info kaitseks. On olemas sertifitseeritud organisatsioonide süsteem. Organisatsioonid, mis tegelevad isikuandmete käsitlemise kaebuste lahendamise ja ettevõtjatele isikuandmete korrektse käsitlemise teabe pakkumisega, võivad saada Isikuandmete Kaitse Komisjoni sertifikaadi ja muutuda “sertifitseeritud isikuandmete kaitse organisatsiooniks”. Muudetud seadus võimaldab sertifitseerida organisatsioone, mis keskenduvad ettevõtete teatud valdkondadele (osakondadele) (paragrahv 47, lõige 2). See on ettevõtmistegevuse üksuse sertifitseerimise lubamine, et edendada veelgi sertifitseeritud organisatsioonide kasutamist ja spetsialiseerunud isikuandmete kaitset, mida viivad läbi organisatsioonid, mis tegelevad teatud äritegevusega.
Andmekasutuse olemus
Andmekasutuse olemuse osas on tehtud järgmised kaks muudatust.
“Pseudonüümidega töödeldud teabe” loomine ja kohustuste leevendamine (paragrahv 2, lõige 9)
Praeguse seaduse kohaselt on isikuandmete lihtsalt pseudonüümidega töötlemine jätkuvalt “isikuandmed” ja ettevõtted peavad jätkuvalt kandma erinevaid kohustusi seoses isikuandmete käitlemisega. Kuid selle “pseudonüümidega töödeldud isikuandmete” osas on kasvav vajadus kasutada neid andmeid, säilitades nende kasulikkuse samal tasemel kui töötlemata isikuandmete puhul, tagades samal ajal teatava turvalisuse, võimaldades teha üksikasjalikumaid analüüse suhteliselt lihtsate töötlemismeetoditega.
Sellele reageerides on muudetud seadust, et luua “pseudonüümidega töödeldud teave”, eemaldades nimed jms, ja leevendada kohustusi, nagu vastamine avalikustamise ja kasutamise peatamise taotlustele, tingimusel, et seda kasutatakse ainult sisemiseks analüüsiks.
Loodud pseudonüümidega töödeldud teave on “teave isiku kohta, mis on saadud isikuandmete töötlemisel nii, et konkreetset isikut ei saa tuvastada, kui seda ei võrrelda teiste teabega”. Näiteks on “nimi, vanus, kuupäev, kellaaeg, summa, pood” töödeldud “ajutiseks ID-ks, vanuseks, kuupäevaks, kellaajaks, summaks, poeks”. Eeldatavad kasutusjuhud hõlmavad “sisemist analüüsi uute eesmärkide jaoks, mis ei kuulu algse kasutuseesmärgi alla või mille puhul on raske otsustada, kas need kuuluvad alla” (nt meditsiini- ja farmaatsiavaldkonna uuringud, pettuste tuvastamine, müügiprognoosid jne masinõppe mudelite õppimiseks), “isikuandmete töötlemine pseudonüümidega töödeldud teabeks ja säilitamine, kuna on võimalik, et neid kasutatakse tulevikus statistiliseks analüüsiks pärast kasutuseesmärgi saavutamist”.
Märkusena, pseudonüümidega töödeldud teabe loomise meetodi kohta on nõutud vähemalt järgmised meetmed:
- Kõigi või osa kirjeldustest, mis võimaldavad tuvastada konkreetse isiku (nt nimi), eemaldamine (kaasa arvatud asendamine. Edaspidi sama).
- Isikliku identifitseerimiskoodi kõigi osade eemaldamine.
- Kirjelduste eemaldamine, mis võivad põhjustada varalisi kahjusid, kui neid kasutatakse ebaseaduslikult (nt krediitkaardi number).
On nõutud, et need meetmed oleksid rakendatud.
Kohustus kontrollida teavet, mis võib saada isikuandmeteks andmete saajal (paragrahv 26, lõige 2)
Praeguse seaduse kohaselt, kui teave ei kuulu isikuandmete hulka andmete esitajal, ei kuulu see reguleerimise alla isegi siis, kui eeldatakse, et see võib saada isikuandmeteks andmete saajal. Kuid muudetud seaduse kohaselt on nõutud, et kui teave, mis ei kuulu isikuandmete hulka andmete esitajal, kuid võib eeldatavasti saada isikuandmeteks andmete saajal, antakse kolmandale isikule, tuleb kontrollida, kas on saadud isiku nõusolek jne.
Tehnoloogia, mis kogub suures koguses kasutajaandmeid ja muudab need koheselt isikuandmeteks, on arenenud ja levinud, mistõttu on üha rohkem skeeme, mis annavad isikuandmeid kolmandatele isikutele kui mitteisiklikku teavet, teades ette, et need võivad saada isikuandmeteks andmete saajal, mis on vastuolus isikuandmete kaitse seaduse eesmärgiga. See on mure, et sellised isikuandmete kogumise meetodid, milles isik ei osale, võivad levida.
Karistuste kohta
Karistuste olemuse osas on tehtud järgmised kaks muudatust.
Komitee korralduste rikkumine ja komiteele valeandmete esitamine: seadusega ettenähtud karistuse tõstmine (paragrahvid 83, 87 jne)
Seaduserikkumiste arv kasvab ja seetõttu on suurenenud ka juhtumite arv, kus tuleb teha aruandluse kogumist või sisenemiskontrolli. Ettevõtete tegeliku olukorra mõistmiseks on vaja suurendada aruandluse kogumise ja sisenemiskontrolli tõhusust. Seetõttu on muudetud seaduses karistusi suurendatud.
Isiku poolt “Isikuandmete kaitse komitee korralduse rikkumine” oli varem karistatav kuni kuue kuu pikkuse vangistuse või kuni 300 000 jeeni suuruse trahviga, kuid muudetud seaduse kohaselt on karistus kuni ühe aasta pikkune vangistus või kuni miljoni jeeni suurune trahv. “Isikuandmete andmebaasi ebaseaduslik kasutamine” on endiselt karistatav kuni ühe aasta pikkuse vangistuse või kuni 500 000 jeeni suuruse trahviga, kuid “Isikuandmete kaitse komiteele valeandmete esitamine” oli varem karistatav kuni 300 000 jeeni suuruse trahviga, kuid muudetud seaduse kohaselt on karistus kuni 500 000 jeeni suurune trahv.
Juriidilise isiku trahvi suurendamine (paragrahvid 84, 85 jne)
Varem oli juriidilise isiku trahvi suurus sama, mis isiku puhul. Arvestades juriidilise isiku ja füüsilise isiku varalisi erinevusi, on muudetud seaduses karistusi suurendatud. Juriidilise isiku puhul on korralduse rikkumise trahvi maksimaalne summa suurem kui isiku puhul. See on otsus, et isegi kui juriidilisele isikule määratakse sama suur trahv kui isikule, ei ole karistusel piisavat hoiatavat mõju.
Juriidilise isiku poolt “Isikuandmete kaitse komitee korralduse rikkumine” oli varem karistatav sama suure trahviga kui isiku puhul, kuni 300 000 jeeni, kuid muudetud seaduse kohaselt on karistus kuni 100 miljoni jeeni suurune trahv. “Isikuandmete andmebaasi ebaseaduslik kasutamine” oli varem karistatav sama suure trahviga kui isiku puhul, kuni 500 000 jeeni, kuid muudetud seaduse kohaselt on karistus kuni 100 miljoni jeeni suurune trahv. Siiski, “Isikuandmete kaitse komiteele valeandmete esitamine” oli varem karistatav sama suure trahviga kui isiku puhul, kuni 300 000 jeeni, kuid muudetud seaduse kohaselt on karistus endiselt sama suur kui isiku puhul, kuni 500 000 jeeni.
Seaduse välismaise kohaldamise ja piiriülese ülekande olemus
Seaduse välismaise kohaldamise ja piiriülese ülekande olemuse osas on tehtud järgmised kaks muudatust.
Välismaise kohaldamise tugevdamine (paragrahv 75)
Kehtiva seaduse kohaselt piirdusid välismaiste ettevõtjate suhtes rakendatavad volitused, mis kuuluvad välismaise kohaldamise alla, juhendamise ja nõuannete ning soovituste andmisega, mis ei kaasne sundjõuga. Kuid on oht, et komisjon ei suuda asjakohaselt reageerida välismaal toimuvatele leketele jms, seega on muudetud seaduses sätestatud, et välismaised ettevõtjad, kes tegelevad Jaapanis asuvate isikute poolt pakutavate kaupade või ravimitega seotud isikuandmetega, on karistusõiguslike sanktsioonidega tagatud aruandluse ja korralduste eesmärgil ning tugevdatakse Isikuandmete Kaitse Komisjoni volitusi.
Isikuandmete käitlemise kohta teabe pakkumise parandamine üleandmise saaja ettevõttes (paragrahv 78)
Mõnes riigis on hakanud ilmnema riikliku haldusregulatsiooni märke ning isikuandmete piiriülese ülekande võimalused laienevad. Riikide ja piirkondade süsteemide erinevused muudavad isikute ja andmeid käitlevate ettevõtjate ettenägelikkuse ebastabiilseks ning tekivad mured isikute õiguste ja huvide kaitsmise seisukohast.
Sellele vastates nõutakse, et isikuandmete edastamisel välismaal asuvale kolmandale isikule parandataks teabe pakkumist üleandmise saaja ettevõttes isikuandmete käitlemise kohta ning nõutakse, et isikuandmete edastamise tingimused välismaal asuvale kolmandale isikule oleksid “isiku nõusolek”, mida kehtiv seadus nõuab, ja “isiku informeerimine üleandmise saaja riigi nime, isikuandmete kaitse süsteemi olemasolu jms kohta nõusoleku saamisel” ning “standarditele vastava süsteemi loonud ettevõtja” nõuab “üleandmise saaja käitlemise olukorra regulaarset kontrollimist + seotud teabe pakkumist isiku taotlusel”.
Kokkuvõte
2022. aasta (2022) isikuandmete kaitse seaduse muudatused, mis on esimene seadusemuudatus, mis põhineb “kolmeaastasel ülevaatamisklauslil”, hõlmavad kasutamise peatamise ja kustutamise laiendamist, ebaõige kasutamise keelustamist, piiriülese ülekande teabe parandamist, “pseudonüümide töötlemise” loomist jne. See on suunatud isiklike õiguste ja huvide kaitsmise ja kasutamise tugevdamisele, uute riskidega toimetulekule, mis kaasnevad piiriülese andmevahetuse suurenemisega, ning AI ja suurandmete ajastu käsitlemisele.
Meie büroo poolt pakutavad meetmed
Monolise õigusbüroo on IT- ja eriti internetiõiguse valdkonnas kõrge spetsialiseerumisega õigusbüroo. Hiljuti muudetud isikuandmete kaitse seadus (Jaapani Isikuandmete Kaitse Seadus) on saanud palju tähelepanu ja õiguslike kontrollide vajadus on üha suurenenud. Meie büroo pakub intellektuaalomandi lahendusi. Üksikasjad on toodud allpool olevas artiklis.