Kuidas peaks ettevõte reageerima, kui toimub isikliku teabe leke? Selgitame, milliseid administratiivseid meetmeid tuleks rakendada

Interneti areng ja võimalus vahetada infot veebis on kaasa toonud olukorra, kus ettevõtete oluline teave võib ootamatult lekkida.

Viimastel aastatel on info väärtus suurenenud ning kui info lekkimine juhtub, võib see põhjustada suuri probleeme, kahjustades usaldusväärsust. Ettevõttena on oluline, et info lekke korral võetakse kiiresti kasutusele sobivad meetmed.

Selles artiklis selgitame üksikasjalikult, milliseid meetmeid peaks ettevõte võtma, kui info leke on toimunud, keskendudes eelkõige haldusmeetmetele.

Informatsiooni lekkimine, mis nõuab halduslikku sekkumist

Informatsiooni lekkimine võib olla erineva sisu ja tähtsusega. Halduslikku sekkumist nõuab juhul, kui lekkinud on isikuandmed.

Isikuandmete määratlus on sätestatud järgnevas Isikuandmete kaitse seaduses (edaspidi “Isikuandmete kaitse seadus”) paragrahvi 2 lõikes 1.

(Määratlus)
Artikkel 2. Selle seaduse kohaselt tähendab “isikuandmed” teavet elava isiku kohta, mis vastab ühele järgmistest punktidest:
1. Teave, mis sisaldab nime, sünnikuupäeva ja muid kirjeldusi (dokumendid, joonised või elektromagnetilised kirjed (mõeldakse kirjeid, mis on loodud elektromagnetilisel viisil (elektroonilisel viisil, magnetilisel viisil või muul viisil, mida ei saa tajuda. Sama kehtib järgmises punktis.) ja mis on kirjutatud, salvestatud või väljendatud heli, liikumise või muu meetodi abil (välja arvatud isiklikud identifitseerimiskoodid). Sama kehtib edaspidi.) ja mis võimaldab tuvastada konkreetset isikut (kaasa arvatud teave, mida saab hõlpsasti võrrelda teiste andmetega ja mis võimaldab tuvastada konkreetset isikut).
2. Teave, mis sisaldab isiklikke identifitseerimiskoode.

e-GOV｜Isikuandmete kaitse seadus[ja]

Ülaltoodud määratlusele vastav teave on isikuandmed ja on kaitstud Isikuandmete kaitse seadusega.

Seotud artikkel: Mis on Isikuandmete kaitse seadus ja isikuandmed? Advokaat selgitab[ja]

Lisaks võib ettevõtte tegevus informatsiooni lekkimise korral nõuda lisaks halduslikule sekkumisele ka informatsiooni avalikustamist. Selle kohta leiate lisateavet allpool toodud artiklist.

Seotud artikkel: Mis on ettevõtte poolt teostatav informatsiooni avalikustamine informatsiooni lekkimise korral[ja]

Isikuandmete lekkega seotud teatamiskohustus

Isikuandmete töötlejad on kohustatud teavitama Isikuandmete Kaitse Komisjoni (Jaapani Isikuandmete Kaitse Komisjon), kui tekib olukord, kus isikuandmed võivad lekkida või on oht lekkeks.

Enne 2022. aasta 1. aprilli (Reiwa 4) ei olnud lekke või lekkeohu korral Isikuandmete Kaitse Komisjonile teatamine kohustuslik, vaid seda soovitati teha. Isikuandmete kaitse seaduse muudatuse tõttu on alates 2022. aasta 1. aprillist (Reiwa 4) Isikuandmete Kaitse Komisjonile teatamine kohustuslik.

Selles kontekstis tähendab “isikuandmete töötleja” isikut, kes kasutab isikuandmete andmebaasi äritegevuses (Jaapani Isikuandmete Kaitse Seaduse paragrahv 16, lõige 2). Siiski ei hõlma see riigiasutusi, kohalikke omavalitsusi, sõltumatuid haldusorganeid ega kohalikke sõltumatuid haldusorganeid.

“Isikuandmete andmebaas” tähendab teabe kogumit, mis sisaldab isikuandmeid ja mis, välja arvatud need, mida määrusega on määratletud kui vähetõenäolised isiku õiguste ja huvide kahjustamiseks, vastab ühele järgmistest kahest nõudest (Jaapani Isikuandmete Kaitse Seaduse paragrahv 16, lõige 1):

• Süsteem, mis on loodud spetsiifiliste isikuandmete otsimiseks arvuti abil
• Süsteem, mis on loodud spetsiifiliste isikuandmete hõlpsaks otsimiseks

Isikuandmete töötlejad, kes kasutavad isikuandmete andmebaasi äritegevuses, peavad teavitama Isikuandmete Kaitse Komisjoni.

Seotud artikkel: 2022. aasta muudatused isikuandmete kaitse seaduses: selgitame “ettevõtete kohustusi”[ja]

Neli juhtumit, kui on vaja teatada Isikuandmete Kaitse Komisjonile

Isikuandmete lekke korral on neli juhtumit, kui on vaja teatada Isikuandmete Kaitse Komisjonile (Jaapani isikuandmete kaitse seaduse rakendussätete paragrahv 7).

1. Kui on toimunud leke, mis sisaldab erilist hoolt vajavaid isikuandmeid, või kui on oht, et selline leke võib tekkida
2. Kui on toimunud leke, mis sisaldab isikuandmeid, mille ebaseaduslik kasutamine võib põhjustada varalisi kahjusid, või kui on oht, et selline leke võib tekkida
3. Kui on toimunud leke, mis sisaldab isikuandmeid, mille lekitamist võib kahtlustada ebaseadusliku eesmärgiga, või kui on oht, et selline leke võib tekkida
4. Kui on toimunud leke, mis hõlmab rohkem kui 1000 isiku isikuandmeid, või kui on oht, et selline leke võib tekkida

Allpool selgitame neid juhtumeid lähemalt.

Erilist hoolt vajavate isikuandmete leke

“Erilist hoolt vajavad isikuandmed” on isikuandmed, mille puhul on vaja erilist hoolt, et vältida ebaõiglast diskrimineerimist, eelarvamusi või muid kahjusid isikule, nagu rass, usutunnistus, sotsiaalne staatus, haiguslugu, kuritegelik taust, kuriteoohvriks langemine jne.

Näiteks töötajate tervisekontrolli tulemused, mis sisaldavad teavet töötaja haigusloo kohta, kuuluvad erilist hoolt vajavate isikuandmete hulka.

Isikuandmete leke, mis võib põhjustada varalisi kahjusid

Siin on sätestatud juhtumid, kus on lekkinud isikuandmed, mille ebaseaduslik kasutamine võib põhjustada varalisi kahjusid.

Näiteks kui ettevõte lekitab klientide krediitkaardi andmeid, kuulub see juhtum siia kategooriasse.

Ebaseadusliku eesmärgiga isikuandmete leke

See hõlmab juhtumeid, kus isikuandmete lekitajal on ebaseaduslik eesmärk.

Näiteks kui kolmas isik või ettevõtte töötaja pääseb ebaseaduslikult ettevõtte võrku ja lekitab isikuandmeid ebaseadusliku kasutamise eesmärgil, kuulub see juhtum siia kategooriasse.

Uljakas isikuandmete leke

See hõlmab juhtumeid, kus on lekkinud rohkem kui 1000 isiku isikuandmeid.

Ettevõtted, kes käitlevad suures koguses isikuandmeid, peavad olema ettevaatlikud, sest on oht, et korraga võib tekkida suur hulk isikuandmete lekkeid.

Teavitamiskohustus isikuandmete kaitse komisjonile infolekke korral

Kui tekib olukord, kus on vaja teavitada Isikuandmete Kaitse Komisjoni, tuleb teha teatis, mis sisaldab järgmisi punkte, mis on sätestatud Jaapani isikuandmete kaitse seaduse (Jaapani ~) rakendussätete paragrahvi 8 lõikes 1.

(Teavitamine Isikuandmete Kaitse Komisjonile)
Paragrahv 8. Isikuandmete töötleja peab, kui ta teeb teatise vastavalt seaduse paragrahvi 26 lõike 1 sätetele, teavitama viivitamatult pärast järgmiste asjaolude teadasaamist (piiratud nendega, millest on teadlik teatise tegemise ajal. Sama kehtib järgmises paragrahvis.)

e-GOV｜Isikuandmete kaitse seadus[ja]

Kui tekib üks neljast ülaltoodud teatamist nõudvast olukorrast, peab ettevõtja viivitamatult teavitama Isikuandmete Kaitse Komisjoni järgmistest asjaoludest:

• Üldine ülevaade
• Isikuandmete punktid, mille puhul on toimunud leke või on oht, et see võib juhtuda
• Isikute arv, kelle isikuandmetega seoses on toimunud leke või on oht, et see võib juhtuda
• Põhjus
• Kas on olemas sekundaarse kahju või selle ohu olemasolu ja selle sisu
• Meetmed, mis on võetud isikute suhtes
• Avalikustamise seis
• Meetmed taasjuhtumise vältimiseks
• Muud viiteandmed

Kuid piisab ainult nendest teavitamispunktidest, millest ollakse teadlik teatise tegemise ajal.

Teabe lekkimise korral Isikuandmete Kaitse Komisjonile esitatava aruande tähtaeg

Isikuandmete Kaitse Komisjonile esitatava aruande kohta on kehtestatud tähtaeg (Jaapani isikuandmete kaitse seaduse rakendussätete paragrahv 8 lõige 2).

Isikuandmete Kaitse Komisjoni aruande esitamine peab toimuma põhimõtteliselt 30 päeva jooksul alates lekke või muu sarnase olukorra teadasaamisest. Kui isikuandmete lekitaja on toiminud ebaseadusliku eesmärgiga, tuleb aruanne esitada 60 päeva jooksul.

Teavitamiskohustus isikule

Kui isikuandmete leke on toimunud, on ette nähtud mitte ainult kohustus teavitada Isikuandmete Kaitse Komisjoni (Jaapani Isikuandmete Kaitse Seaduse artikkel 26, lõige 2), vaid ka kohustus teavitada isikut enda.

Isikule teavitamise eesmärk on vältida isiku õiguste ja huvide rikkumist, võimaldades tal võimalikult kiiresti reageerida isikuandmete lekkele. Seetõttu peab isikuandmete töötleja teavitama isikut viivitamatult.

Kokkuvõte: Konsulteerige advokaadiga isikuandmete lekke haldamiseks

Ülaltoodud tekstis selgitasime, milliseid samme peab ettevõte astuma, kui on toimunud isikuandmete leke, keskendudes eelkõige haldusmeetmetele.

Ettevõttena on mõistagi oluline luua süsteem, mis väldib andmete leket, kuid kui leke peaks siiski juhtuma, on vaja reageerida asjakohaselt.

Isikuandmete kaitse seadus (Japanese Personal Information Protection Law) on sageli muudetav ja mõnes osas keerukas seadus. Seetõttu soovitame nõu pidada advokaadiga, kellel on asjakohane erialane teadmiste, et tagada asjakohane reageerimine.

Meie büroo poolt pakutavad meetmed

Monolith õigusbüroo on IT- ja eriti internetiõiguse mõlemal küljel kõrge spetsialiseerumisega õigusbüroo. Viimasel ajal on isikuandmete lekkimine muutunud suureks probleemiks. Kui isikuandmed peaksid lekkima, võib see mõnikord ettevõtlusele saatuslikke tagajärgi kaasa tuua. Meie ettevõttel on spetsialiseerunud teadmised infolekke ennetamise ja vastumeetmete kohta. Üksikasjad on kirjeldatud allpool toodud artiklis.

https://monolith.law/practices/itlaw[ja]