Isikuandmete kaitse seaduses 'pilveteenuste erand' – selgitus pilveteenuse pakkujatele antud haldusjuhiste näitel
Isikuandmete töötlejad on Jaapani isikuandmete kaitse seaduse alusel mitmesuguste regulatsioonidega piiratud, kui nad käitlevad isikuandmeid. Meie isikuandmed on tihedalt seotud privaatsusega ja hõlmavad ka olulist teavet füüsiliste omaduste ning varanduslike küsimuste kohta, mistõttu on rangeid reegleid loomulikult vaja.
Kuid selles seaduses on ka mõned erandid. Üks neist on nn “pilve erand”.
Mis on “pilve erand”? Käesolevas artiklis selgitame lihtsalt ja arusaadavalt “pilve erandi” üldist kontseptsiooni ja selle kohaldamise tingimusi, lähtudes MK Systemi juhtumist, mis sai Reiwa 6. aastal (2024) haldusjuhiseid.
Kolmandatele osapooltele isikuandmete edastamise põhimõtted ja erandid Jaapanis
Alustuseks vaatleme Jaapani isikuandmete kaitse seaduse (Personal Information Protection Law) alusel kolmandatele osapooltele isikuandmete edastamise põhimõtteid ja erandeid.
Põhimõtted isikuandmete kolmandatele isikutele edastamisel Jaapani isikuandmete kaitse seaduse alusel
Kui isikuandmete töötleja kasutab pilveteenuseid, peetakse seda “isikuandmete töötlemise osaliseks või täielikuks delegeerimiseks” (Jaapani isikuandmete kaitse seaduse artikkel 27, lõige 5, punkt 1), ja vastavalt Jaapani isikuandmete kaitse seaduse artiklile 25 on töötleja kohustatud rakendama vajalikku ja asjakohast järelevalvet pilveteenuse pakkujate üle.
Mis on pilveteenuste erand?
See erand on tuntud kui “pilveteenuste erand”.
Antud kontekstis viidatakse “pilveteenuste pakkujatele” kui ettevõtetele, mis peamiselt pakuvad IT-infrastruktuuri, nagu salvestusruum ja serverid (IaaS/PaaS), ning haldavad ja töötlevad teiste ettevõtete andmeid interneti kaudu. Järgnevad teenusepakkujad on sellele vastavad näited:
- Amazon Web Services (AWS): USA ettevõtte Amazon pakutav teenus, mida kasutavad paljud Jaapani ettevõtted.
- Microsoft Azure: Microsofti poolt pakutav pilveinfrastruktuuri teenus, millel on palju kasutusjuhtumeid valitsusasutustes.
- Google Cloud Platform (GCP): Google’i pakutav teenus, mis on tugev AI ja suurandmete töötlemise alal.
Pilveteenuste erand muutub oluliseks, kui SaaS (Software as a Service) tüüpi ettevõtted, kes arendavad süsteeme pilveteenuste pakkuja (IaaS või PaaS) infrastruktuuril ja pakuvad neid oma klientidele, hakkavad käitlema isikuandmeid.
Jaapani Isikuandmete Kaitse Komisjoni “Isikuandmete kaitse seaduse juhend” Q&A osas on pilveteenuste pakkujate kohta punktis 7-53 järgmine kirjeldus:
(Kui ei loeta kolmandaks osapooleks) K7-53: Kui isikuandmeid käitlev ettevõtja kasutab isikuandmeid sisaldava elektroonilise andmebaasi haldamiseks pilveteenuste lepingut sarnast välist ettevõtjat, kas on vaja saada “isiku nõusolek” (seaduse § 27 lõige 1) nagu kolmanda osapoole andmete edastamisel? Või kas tuleb “isikuandmete käitlemise osalise või täieliku delegeerimise” (seaduse § 27 lõige 5 punkt 1) korral pilveteenuste pakkujat järelevalve all hoida vastavalt seaduse § 25-le?
A7-53: Pilveteenuste kasutamisel on palju erinevaid vorme, kuid kas pilveteenuste kasutamine kvalifitseerub kolmanda osapoole andmete edastamiseks, mis nõuab isiku nõusolekut (seaduse § 27 lõige 1), või delegeerimiseks (seaduse § 27 lõige 5 punkt 1), sõltub mitte sellest, kas salvestatud elektroonilised andmed sisaldavad isikuandmeid, vaid sellest, kas pilveteenuste pakkuja käitleb isikuandmeid. Kui pilveteenuste pakkuja ei käitle vastavaid isikuandmeid, siis ei pea isikuandmeid käitlev ettevõtja saama “isiku nõusolekut”. Samuti, kui isikuandmeid ei edastata, siis ei kvalifitseeru see “isikuandmete käitlemise osaliseks või täielikuks delegeerimiseks, mis kaasneb andmete edastamisega…” (seaduse § 27 lõige 5 punkt 1), ja seaduse § 25 alusel ei ole vaja pilveteenuste pakkujat järelevalve all hoida. Kui pilveteenuste pakkuja ei käitle vastavaid isikuandmeid, siis viidake punktile K7-54, et saada teavet isikuandmeid käitleva ettevõtja turvameetmete kohta. Kui pilveteenuste pakkuja ei käitle vastavaid isikuandmeid, siis võib see tähendada, et lepingutingimustes on sätestatud, et väline ettevõtja ei käitle serveris salvestatud isikuandmeid ja et juurdepääsu kontroll on korralikult teostatud. Seaduse § 28 suhtes vt punkti K12-3.
Isikuandmete kaitse seaduse juhend Q&A[ja]|Isikuandmete Kaitse Komisjon
Seega, kui pilveteenuste kasutajad kasutavad pilveteenuseid, siis ei ole vaja pilveteenuste pakkujat järelevalve all hoida, kui on täidetud erandi tingimused. Pilveteenuste erandi rakendamiseks on vajalikud järgmised kaks tingimust:
- Lepingutingimustes on sätestatud, et väline ettevõtja ei käitle serveris salvestatud isikuandmeid
- Juurdepääsu kontroll on korralikult teostatud
Administratiivjuhised MK System Inc.-le Jaapanis
Reiwa 6. aastal (2024) 25. märtsil andis Jaapani Isikuandmete Kaitse Komisjon MK System Inc.-le juhiseid, mis põhinevad isikuandmete kaitse seaduse artiklil 147, seoses isikuandmete kaitsega. Selle juhtumi, mis hõlmas ligikaudu 7,5 miljoni inimese andmete leket, tõttu avaldas Isikuandmete Kaitse Komisjon teavitusmaterjali “Tähelepanekud, mida tuleb arvestada, kui pilveteenuse pakkujad kuuluvad isikuandmete kaitse seaduse alusel isikuandmete töötlejate hulka (tähelepanu juhtimine)”.
Vaatame lähemalt, kuidas MK System Inc. suhtes rakendati administratiivjuhiseid seoses pilveteenuste erandiga Jaapani isikuandmete kaitse seaduses.
Juhtumi ülevaade
MK System Inc. ehitas Hiina Tencent Cloudi servereid kasutades üles sotsiaalkindlustuse ja personalitöö toetussüsteemi ning pakkus seda teenust sotsiaalkindlustusnõustajate büroodele ja teistele kasutajatele.
2023. aasta juunis (Reiwa 5) langes server pahatahtliku rünnaku ohvriks, mis tõi kaasa riski, et lekivad hallatavad isikuandmed (näiteks ettevõtete ja asutuste töötajate nimed, sünnikuupäevad, sood, aadressid, põhipensioni numbrid, töötuskindlustuse numbrid ja My Number süsteemi andmed), mis kuulusid sotsiaalkindlustusnõustajate klientidele.
Kui rakendada seda kolme osapoole suhet juhenditele, siis kujuneb olukord järgmiselt:
| Juhendi seisukohalt | Ettevõtja | Sisu |
| Tellija | Sotsiaalkindlustusnõustajad jt kasutajad (isikuandmete töötlejad) | Seisus, kus käideldakse klientide (ettevõtted ja eraisikud) isikuandmeid |
| Teenusepakkuja | MK System Inc. | Pakub süsteemi, mis asendab ja toetab sotsiaalkindlustusnõustajate tööd pilves, töötleb isikuandmeid klientide juhiste alusel |
| Alamlepingu partner | Tencent Cloud (Hiina) | MK System Inc. on delegeerinud pilveinfrastruktuuri, mis võib hõlmata andmete edastamist välismaale |
Isikuandmete Kaitse Komisjon leidis, et MK System Inc. tehnilistes turvameetmetes esines puudujääke.
Juhtnööride sisu Jaapani isikuandmete kaitse seaduse alusel
Jaapani Isikuandmete Kaitse Komisjonilt saadi juhtnööre, mis põhinevad Isikuandmete Kaitse Seaduse (平成17年法律第57号, 2005) artikli 147 juhistel ja artikli 146 lõike 1 alusel nõutud aruandluse kogumisel.
Isikuandmete Kaitse Komisjoni hoiatus
Isikuandmete Kaitse Komisjon on avaldanud teate “Pilveteenuste pakkujate tähelepanekud, kui nad käsitlevad isikuandmeid vastavalt isikuandmete kaitse seadusele (hoiatus)[ja].”
See hoiatus on suunatud peamiselt pilveteenuste kasutajatele, et nad hindaksid, kas pilveteenuste kasutamine kujutab endast isikuandmete töötlemise delegeerimist (isikuandmete seaduse § 27 lõige 5 punkt 1) ning kui see on nii, peavad pilveteenuste kasutajad, kes on isikuandmete töötlejad, tagama vajaliku ja asjakohase järelevalve alltöövõtjate üle.
MK Systemi puhul on tuvastatud, et pilve erand ei kehti ning ettevõtet peetakse isikuandmete töötlejaks, mis tähendab, et on vajalik tagada asjakohane järelevalve, kuna ettevõte käsitleb isikuandmeid. Selle kohta on välja toodud järgmised kolm punkti:
Pilveteenuste pakkujate tähelepanekud, kui nad käsitlevad isikuandmeid vastavalt isikuandmete kaitse seadusele (hoiatus)|Isikuandmete Kaitse Komisjon[ja]
- Kasutustingimustes on sätestatud, et pilveteenuste pakkuja võib hoolduse, operatsioonide ja muude vajalike tegevuste puhul jälgida, analüüsida ja uurida andmeid ning süsteemiandmeid ei tohi ilma loata kasutada ega kolmandatele osapooltele avaldada, välja arvatud teatud juhtudel, mis võimaldab pilveteenuste pakkujal kasutada pilveteenuste kasutajate isikuandmeid teatud olukordades.
- Pilveteenuste pakkuja omab hooldus-ID-d, mis võimaldab juurdepääsu pilveteenuste kasutajate isikuandmetele, ja ei ole rakendatud tehnilisi juurdepääsu kontrolli meetmeid, mis takistaksid andmete käsitlemist.
- Pilveteenuste kasutaja ja pilveteenuste pakkuja on sõlminud kinnituskirja, mille alusel on pilveteenuste pakkuja tegelikult käsitlenud pilveteenuste kasutaja isikuandmeid.
Olulised tähelepanekud Jaapani pilveteenuste pakkujatele
Arvestades eelnevalt selgitatud õiguslikke küsimusi ja haldusjuhiseid ning tähelepanu juhtimist, millised on peamised aspektid, mida Jaapani pilveteenuste pakkujad (nagu eelpool mainitud MK System) peaksid silmas pidama?
Kontrollige uuesti, kas täidate pilveteenuste erandi nõudeid
Esmalt tuleks uuesti kontrollida, kas teie pakutav teenus vastab pilveteenuste erandi nõuetele.
Arvestades hiljutist tähelepanu juhtimist Jaapani Isikuandmete Kaitse Komisjonilt, võivad pilveteenuseid kasutavad ettevõtted (antud juhul MK Systemi teenuseid kasutavad personalibürood või ettevõtted) hinnata, kas nende kasutatav pilveteenuste pakkuja vastab pilveteenuste erandi nõuetele.
Seetõttu peaksid pilveteenuste pakkujad samuti tagama, et nad vastavad pilveteenuste erandi nõuetele ja viima läbi uuesti kontrolli.
Kui te ei vasta pilveteenuste erandi nõuetele, peate vastama alltöövõtja järelevalvele
Kui te ei vasta pilveteenuste erandi nõuetele, peate vastama pilveteenuse kasutajate (antud juhul MK Systemi teenuseid kasutavate personalibüroode või ettevõtete) järelevalvele.
Pilveteenuse kasutajate järelevalve hõlmab järgmisi tegevusi, mis on kirjeldatud Isikuandmete Kaitse Seaduse üldistes juhistes (3-4-4 Alltöövõtja järelevalve, seaduse §25 seotud):
- Sobiva alltöövõtja valimine: On vajalik kinnitada, et alltöövõtja turvameetmed on võrdsed seaduse §23 ja käesolevate juhiste nõuetega.
- Alltöövõtu lepingu sõlmimine: Soovitatav on sõlmida leping, mis võimaldab tellijal mõistlikult mõista, kuidas isikuandmeid käsitletakse.
- Isikuandmete käsitlemise olukorra mõistmine alltöövõtja juures: Regulaarselt läbi viidavate auditite abil tuleb olukorda asjakohaselt hinnata.
Kui alltöövõtja turvameetmed on ebapiisavad, võib leping lõpetada ning alltöövõtjat võidakse nõuda vajalike turvameetmete rakendamist või regulaarsete auditite läbiviimist.
Kokkuvõte: Pilveteenuste isikuandmete kaitse osas konsulteerige advokaadiga
Käesolevas artiklis oleme selgitanud riske, mis kaasnevad pilveteenuste pakkujatele, kui nad ei vasta pilveteenuste eranditele, tuginedes Jaapani Isikuandmete Kaitse Komisjoni poolt 2025. aasta märtsis (Reiwa 7) avaldatud haldusjuhistele.
Antud juhtumi andmeleke põhjustas Isikuandmete Kaitse Komisjoni poolt pilveteenuste kasutajatele suunatud hoiatuse. See hoiatus on oluline mitte ainult pilveteenuste kasutajatele, vaid ka pilveteenuste pakkujatele, kes peavad üle vaatama oma pakutavad teenused ja olema teadlikud võimalikest kohustustest, mis võivad tekkida.
Arvestades neid haldusjuhiseid, kui teie ettevõttel on kahtlusi, millised riskid teid võivad ees oodata ja milliseid meetmeid on vajalik võtta, soovitame konsulteerida advokaadiga.
Meie büroo poolt pakutavad lahendused
Monolith õigusbüroo on IT-valdkonnas, eriti interneti ja õiguse ristumiskohas, rikkaliku kogemusega õigusteenuste pakkuja. Tänapäeval, kus paljud IT-ettevõtted, nagu AWS, kasutavad äritegevuse laiendamiseks pilveteenuseid, on isikuandmete leke üks olulisemaid riske, mida ärijuhtimisel eirata ei saa. Kui isikuandmed peaksid lekkima, võib see ettevõtte tegevusele mõnikord saatuslikuks saada. Meie bürool on spetsialiseeritud teadmised infolekkide ennetamiseks ja nendega toimetulekuks. Allpool olevas artiklis on kirjeldatud üksikasju.
Monolith õigusbüroo tegevusvaldkonnad: Jaapani isikuandmete kaitse seonduv õigusteenus[ja]
Category: IT
Tag: ITTerms of Use
