MONOLITH LAW OFFICE+81-3-6262-3248Hétköznapokon 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

A GDPR-ről: Összehasonlítás a Japán Személyes Adatvédelmi Törvénnyel és a Japán Vállalatok Számára Fontos Szempontok

General Corporate

A GDPR-ről: Összehasonlítás a Japán Személyes Adatvédelmi Törvénnyel és a Japán Vállalatok Számára Fontos Szempontok

Amikor az Európai Unió (EU) területén belül terjeszkedik a vállalkozás, alapvető fontosságú, hogy átfogóan ismerje a GDPR-t (Általános Adatvédelmi Rendelet). Az EU területén nem rendelkező japán vállalatokra is vonatkozhat a GDPR. Szerezzünk alapvető ismereteket a GDPR-ról és a japán adatvédelmi törvényről, és végezzünk megfelelő adatkezelést.

Ebben a cikkben bemutatjuk a GDPR-t, összehasonlítjuk a japán adatvédelmi törvénnyel, és ismertetjük, milyen szempontokra kell figyelniük a japán vállalatoknak. Ha Ön jogi szakember, aki azt fontolgatja, hogy szükséges-e módosítani az adatvédelmi szabályokat, vagy ha tudni szeretné, milyen jogi előkészületeket kell tennie az EU-ba történő terjeszkedés érdekében, akkor ezt a cikket Önnek ajánljuk.

Mi az a GDPR (Általános Adatvédelmi Rendelet)?

Okostelefon zárolási képernyő

A „GDPR” (General Data Protection Regulation), amelyet Magyarországon „Általános Adatvédelmi Rendelet”-ként is ismernek, az Európai Unió (EU) által meghatározott személyes adatok kezelésére (adatvédelem) vonatkozó szabályozás.

Célja, hogy az EU területén belül szigorú szabványokat állítson fel a személyes adatok kezelésére, és ezzel erősítse az egyének magánéletének védelmét.

Az adatvédelem szempontjából irányelveket nyújt arra vonatkozóan, hogy a vállalatok és szervezetek hogyan kezeljék az adatokat, valamint hogy az egyének hogyan védhetik meg saját információikat.

Forrás: Adatvédelmi Hatóság | „Általános Adatvédelmi Rendelet (GDPR) ideiglenes japán fordítása[ja]

A GDPR alapelvei a következők:

  • Törvényesség, tisztesség és átláthatóság
  • Célhoz kötöttség
  • Adatminimalizálás
  • Pontosság
  • Nyilvántartási idő korlátozása
  • Teljesség és bizalmas kezelés

Az alapelvek mindegyikét az alábbiakban részletezzük.

Jogszerűség, tisztesség és átláthatóság

A GDPR alapelvei között elsőként említendő a jogszerűség, tisztesség és átláthatóság.

Amikor a vállalkozások személyes adatokat gyűjtenek és kezelnek, jogilag megalapozott indokokra van szükség, és kötelesek világosan kommunikálni az érintettek felé, hogy a feldolgozás pontosan hogyan történik.

Ezenkívül a vállalkozásoknak kiemelten kell kezelniük az átláthatóságot, egyértelműen kell tájékoztatniuk a magánélethez kapcsolódó információkról, és biztosítaniuk kell, hogy az érintettek megértsék és kontrollálhassák adataik kezelését.

A felhasználás céljának korlátozása

A felhasználás céljának korlátozása azt jelenti, hogy az adatgyűjtés és -feldolgozás egy meghatározott, világos cél érdekében kell, hogy történjen.

A személyes adatokat gyűjtő vállalkozásoknak pontosan és konkrétan kell bemutatniuk ezt a célt az érintettek számára, és egyértelmű beleegyezést kell szerezniük. Ezenkívül a vállalkozásokra vonatkozik az a követelmény, hogy a gyűjtött adatokat szigorúan kezeljék, és csak a adat tulajdonosok által hozzájárult célból használják fel.

Személyes adatok minimalizálása

A személyes adatok gyűjtése korlátozódjon (minimalizálódjon) arra a mértékre, amely a cél eléréséhez szükséges. Csak a kért célra megfelelő mértékben gyűjtsünk személyes adatokat, és kerüljük a felesleges személyes információk begyűjtését.

Ezzel a megközelítéssel a megőrzött személyes adatok mennyisége minimálisra csökkenthető, és a személyek magánélete jobban védetté válik.

Pontosság

Az általános adatvédelmi rendelet (GDPR) alapelvei szerint a személyes adatoknak pontosnak kell lenniük. A pontatlan személyes adatokat ki kell javítani, és intézkedéseket kell hozni annak érdekében, hogy az információk naprakészek és pontosak maradjanak.

Ezáltal megvédhetők az egyének jogai és érdekei, és a személyes adatok feldolgozása pontos információk alapján történhet.

Adatmegőrzési korlátozások

Az általános adatvédelmi rendelet (GDPR) alapelvei között szerepel az adatmegőrzési korlátozások fogalma. Amint az adatok célja teljesült és azok már nem szükségesek, haladéktalanul törölni kell őket.

Az elavult személyes adatok megőrzésének mellőzésével biztosítható a személyes adatok megfelelő kezelése és a magánélet védelme.

Teljesség és Bizalmas Kezelés

A személyes adatoknak teljeseknek és bizalmasan kezeltnek kell lenniük. A személyes adatokat meg kell védeni a hamisítástól és veszteségtől, és megfelelő intézkedéseket kell hozni a jogosulatlan hozzáférés ellen.

Ezáltal a személyes adatok megbízhatósága növekszik.

Nem csak az EU területén működő vállalatokra vonatkozik? A GDPR alkalmazási köre

Információkezelés

A GDPR nem csak az EU területén működő vállalatokra vonatkozik. Előfordulhat, hogy a japán vállalatok is beletartoznak az alkalmazási körbe. A GDPR által érintett vállalatokat a következő négy kategóriában ismertetjük.

A GDPR által érintett vállalatokLeírás
EU területén rendelkezik bázissal a vállalat | „Adatkezelő”Az adatkezelés célját és eszközeit meghatározó, valamint az adatok feletti tulajdonjogot birtokló szervezetet adatkezelőnek nevezzük.
Például az EU-ban központtal vagy fiókteleppel rendelkező vállalatok tartoznak ide.
Az adatkezelő felelős az adatok törvényes és átlátható feldolgozásának biztosításáért.
EU vállalattól személyes adatok feldolgozását kapja meg a vállalat | „Adatfeldolgozó”Amikor egy EU területén működő vállalat másik vállalatnak adatfeldolgozást bíz meg, a megbízott vállalat „adatfeldolgozóként” válik a GDPR alkalmazási körének részévé.
Az adatfeldolgozó is felelősséggel tartozik az adatok biztonságának és törvényes feldolgozásának biztosításáért.
EU területén lévő személyeknek árut vagy szolgáltatást nyújtó vállalatOnline boltok vagy webes szolgáltatások nyújtói esnek ebbe a kategóriába.
A nyújtott árukhoz vagy szolgáltatásokhoz kapcsolódó adatok kezelésének meg kell felelnie a GDPR előírásainak.
EU területén lévő személyeket megfigyelő vállalatA megfigyelés alatt egy adott személy viselkedésének vagy állapotának hosszú távú követését értjük.
Például a megfigyelő kamerákat vagy az online viselkedés nyomon követését végző vállalatok tartoznak ide, és az adatok törvényes kezelése követelmény.

A GDPR által érintett vállalatoknak biztosítaniuk kell az adatok törvényes és átlátható feldolgozását, a biztonság megőrzését, valamint a GDPR előírásainak való megfelelést.

Kapcsolódó cikkek: Mit tegyünk, ha a GDPR kiterjesztett hatálya alá esünk? A megfelelési módszerek magyarázata[ja]

Az adatvédelmi rendelet (GDPR) szabályozása a személyes adatok kezelésében

Személyes adatok kezelése

Az adatvédelmi rendelet (GDPR) keretet biztosít a személyes adatok kezeléséhez, amely egyensúlyt teremt a magánélet védelme és az adatok szabad áramlása között.

A rendelet célja és alapelvei az alapvető jogok és szabadságok védelmében gyökereznek, különös tekintettel a személyes adatok magánéletének tiszteletben tartására és az adatok szabad áramlásának elősegítésére (GDPR 4. cikk).

A GDPR védi a személyes adatok feletti kontrollt és tiszteletet, miközben elősegíti az adatok áramlását és a megfelelő kezelés révén biztosítja azok megbízhatóságát.

Ehhez átlátható adatkezelésre és a vállalatok felelősségteljes magatartására van szükség, és elvárás, hogy a vállalatok a szabályozásnak megfelelően kezeljék az adatokat.

A GDPR további fontos rendelkezéseket is tartalmaz.

Amikor egy GDPR hatálya alá tartozó vállalat személyes adatokat „kezel”, alapvetően szükséges az érintett személy hozzájárulása (GDPR 6. cikk (1) bekezdés (a) pont).
Az adatkezelőnek bizonyítania kell, hogy az érintett hozzájárult a személyes adatok kezeléséhez (GDPR 7. cikk (1) bekezdés).
Továbbá az érintett bármikor visszavonhatja a személyes adatok kezeléséhez adott hozzájárulását (GDPR 7. cikk (3) bekezdés).

Vannak azonban olyan esetek, amikor az érintett hozzájárulása nélkül is megengedett a személyes adatok „kezelése”. A konkrét példák a következők:

  • Amikor az érintett szerződő félként részt vesz egy szerződés teljesítésében
  • Amikor az érintett és a szerződéskötés előtt szükséges az érintett kérésére intézkedéseket tenni
  • Amikor az adatkezelőnek jogi kötelezettségeinek eleget tennie kell
  • Amikor szükséges az érintett vagy más személy életének védelme érdekében
  • Amikor a közérdek vagy a közfeladatok ellátása érdekében szükséges
  • Amikor az adatkezelő vagy harmadik fél jogos érdekei miatt szükséges (az érintett jogainak, érdekeinek és szabadságainak mérlegelése szükséges)

Az Európai Általános Adatvédelmi Rendelet (GDPR) keretében az egyének személyes adataikra vonatkozó főbb jogai

Személyes adatok jogai

Az Európai Általános Adatvédelmi Rendelet (GDPR) értelmében az adatkezelés alanya számos jogot élvez, többek között a következőket:

  • Hozzáférési jog a személyes adatokhoz
  • A személyes adatok helyesbítésének vagy törlésének kéréséhez való jog
  • A személyes adatok kezelésének korlátozásához való jog
  • Ellenvetés jog a személyes adatok kezelésével szemben

A személyes adatok alanya jogosult arra, hogy megértse, hogyan használják fel adatait a szolgáltatók. Amennyiben úgy érzi, hogy az információk pontatlanok vagy helytelenül használják fel őket, jogában áll kérni azok helyesbítését vagy törlését, továbbá kérheti az adatkezelés ideiglenes felfüggesztését vagy ellenvetés benyújtását.

A GDPR szerinti személyes adatokkal kapcsolatos főbb felelősségek

Személyes adatok felelőssége

Miközben a személyes adatok alanyai számára biztosítottak a fent említett jogok, a személyes adatokat gyűjtő és feldolgozó vállalatokat elsősorban a következő felelősségek terhelik:

  • A GDPR-nak megfelelő személyes adatkezelési rendszer és személyi állomány kialakításának felelőssége
  • A személyes adatok kezelésével kapcsolatos nyilvántartások vezetésének felelőssége
  • A személyes adatok megsértése esetén történő megfelelő reagálás felelőssége

A személyes adatok megfelelő védelme érdekében a vállalatokat terhelő ezek a felelősségek kiemelten fontosak.

Továbbá, a személyes adatokkal kapcsolatban elengedhetetlen, hogy minden adatfeldolgozási tevékenység megfelelően legyen dokumentálva, ami szükséges lehet a későbbi felülvizsgálatok elvégzéséhez.

Amennyiben személyes adatok megsértése történik, a vállalatoknak kötelességük megfelelő intézkedéseket tenni és értesíteniük kell az érintetteket.

Amennyiben megsértik a GDPR-t

Tendenciát mutató férfi

Amennyiben az adatkezelő vagy az adatfeldolgozó megsérti a GDPR előírásait és ezzel kárt okoz az adatalany számára, fennáll a lehetősége, hogy kártérítési igényt támasszon (GDPR 82. cikk (1) bekezdés).

Továbbá, a GDPR megsértése súlyos következményekkel járhat. Például a szabálytalanságok esetén az EU szankciókat szabhat ki a GDPR 83. cikkében foglalt intézkedések alapján (GDPR 83. cikk).

A GDPR és a személyes adatok védelméről szóló törvények közötti különbségek

Vizsgálódó üzletember

A GDPR és a személyes adatok védelméről szóló törvények közötti főbb különbségek a következők:

  • Védelmi kör
  • A személyes adatok megsértése esetén történő intézkedések
  • Képviselő kijelölése
  • Szabálytalanság esetén alkalmazandó szankciók

Alább részletesen ismertetjük ezeket.

Védelmi kör

A GDPR és a személyes adatok védelméről szóló törvények eltérő adatokat védenek. A GDPR széles körben védi az EU területén feldolgozott személyes adatokat. Nem csak az EU területén működő vállalatokra vonatkozik, hanem azokra a cégekre is, amelyek termékeket vagy szolgáltatásokat nyújtanak az EU területén lévő személyek számára.

Ezzel szemben a személyes adatok védelméről szóló törvények védelmi köre országonként vagy régióként eltérő lehet.

Például a japán személyes adatok védelméről szóló törvény (Japanese Personal Information Protection Law) az országban feldolgozott személyes adatokra vonatkozik, és a védelem alapvetően a belföldre korlátozódik.

Személyes adatok megsértése esetén történő intézkedések

A GDPR és a személyes adatok védelméről szóló törvények között különbség van abban, hogyan kell reagálni a személyes adatok megsértése esetén.

A GDPR értelmében, ha adatvédelmi incidens történik, a vállalatoknak 72 órán belül jelentést kell tenniük a felügyeleti hatóságnak. Ezenkívül kötelezettségük gyorsan és egyértelműen tájékoztatni az adatok tulajdonosát is.

A személyes adatok védelméről szóló törvények szerint is haladéktalanul értesíteni kell az érintetteket, ha adatvédelmi incidens történik, de a jelentési kötelezettség határideje és a tájékoztatás tartalma országonként vagy régióként eltérő lehet.

Képviselő kijelölése

A GDPR és a személyes adatok védelméről szóló törvények eltérő szabályokat alkalmaznak a képviselő kijelölésére.

A GDPR szerint a gyermek személyes adatainak feldolgozásakor szükség van a szülő vagy a törvényes képviselő hozzájárulására. Továbbá, ha egy online szolgáltatást nyújtó vállalat 16 éven aluli gyermek személyes adatait kezeli, szükség van a szülő beleegyezésére.

A személyes adatok védelméről szóló törvények is hasonlóan megkövetelik a törvényes képviselő hozzájárulását a gyermek személyes adatainak kezeléséhez, de az életkor beállítása és a hozzájárulás megszerzésének módja törvényenként eltérő lehet.

Szabálytalanság esetén alkalmazandó szankciók

A GDPR és a személyes adatok védelméről szóló törvények közötti különbségként említhető a szabálytalanság esetén alkalmazandó szankciók is.

A GDPR esetében a szabálytalanságokért a vállalatokra kiszabható büntetés a teljes éves forgalom 4%-a vagy 20 millió euró lehet a legmagasabb büntetési keretben.

A személyes adatok védelméről szóló törvények szankciói országonként vagy régióként eltérőek lehetnek, de általában jellemző a pénzbírságok és a jogi felelősség megállapítása. A bírságok összege az adott jogsértés tartalmától és súlyosságától függően változhat.

Azok a pontok, amelyekre a japán vállalatoknak figyelmet kell fordítaniuk a GDPR kapcsán

Telefonáló nő

Az alábbiakban felsorolt vállalatoknak szükséges intézkedéseket tenniük a GDPR-ral kapcsolatban:

  • Az EU területén leányvállalattal, fiókteleppel vagy üzleti irodával rendelkező vállalatok
  • Az EU területére Japánból árut vagy szolgáltatásokat nyújtó vállalatok
  • Az EU területén működő vállalatoktól személyes adatok feldolgozására megbízást kapó vállalatok

A vállalatoknál alkalmazandó konkrét intézkedések között a GDPR 32. cikke és a preambulum (83) ajánlásaként az adatvédelmi technológiák egyiként az adatok titkosítását említi.

Emiatt szükségessé válik a kliens PC-k, merevlemezek, USB memóriák és egyéb adattároló eszközök, valamint a megosztott mappákban tárolt személyes adatok titkosítása.

Ezenfelül szükséges a GDPR-nak megfelelő tartalomra frissíteni a vállalat adatvédelmi irányelveit. A GDPR-nak megfelelő adatvédelmi irányelvekről bővebben az alábbi cikkben olvashatnak.

Kapcsolódó cikk: Hogyan készítsünk GDPR-nak megfelelő adatvédelmi irányelveket[ja]

Összefoglalás: GDPR-megfelelőség esetén forduljon szakértőhöz

Jogász, aki a Hatlépéses Teljes Könyvet olvassa

A GDPR (Általános Adatvédelmi Rendelet) széles körben védi az EU területén feldolgozott személyes adatokat, és az adatok törvényes, átlátható feldolgozását, valamint a biztonságuk biztosítását követeli meg. A GDPR és a személyes adatok védelméről szóló japán törvény közötti különbségek közé tartozik a védelmi kör, a személyes adatok megsértése esetén történő intézkedések, a képviselő kijelölése, valamint a jogsértések esetén alkalmazandó szankciók.

Főként azok a vállalatok tartoznak a GDPR hatálya alá, amelyeknek EU területén van bázisuk, az EU területén lévő személyeknek árut vagy szolgáltatást nyújtanak, vagy az EU területén működő vállalatoktól személyes adatok feldolgozására megbízást kapnak. A GDPR megsértése esetén kártérítési igényeknek vagy büntetőpénzeknek lehetünk kitéve, ezért legyünk rendkívül óvatosak.

Az Ön vállalatának adatvédelmi szabályzatát a GDPR-nak megfelelően szükséges-e módosítani, azt javasoljuk, hogy konzultáljon egy szakértővel.

Intézkedéseink bemutatása a Monolith Ügyvédi Irodánál

A Monolith Ügyvédi Iroda az IT területén, különösen az internet és a jogi szolgáltatások terén rendelkezik jelentős tapasztalattal. A globális üzleti tevékenységek az utóbbi években egyre inkább terjednek, és a szakértői jogi ellenőrzés szükségessége egyre növekszik. Irodánk nemzetközi jogi ügyekben nyújt megoldásokat.

A Monolith Ügyvédi Iroda által kezelt területek: Nemzetközi jogi ügyek és külföldi vállalkozások[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Vissza a tetejére