Mik a pontjai a Reiwa 6 (2024) évi módosított Japán Személyes Adatvédelmi Törvénynek? Ismertetjük a tudnivaló változásokat és a teendőket

2024 áprilisában (Reiwa 6 (2024)) hatályba lép a módosított Japán Személyes Adatok Védelméről szóló Törvény végrehajtási rendelete. A módosítás kiterjeszti azokat az eseteket, amikor kötelező a Személyes Adatvédelmi Bizottságnak jelentést tenni és az érintetteket tájékoztatni, ha adatszivárgás vagy hasonló események történnek.

A módosítás fő pontjai között szerepel a webes skimelés és más, a személyes adatokkal kapcsolatos, napjainkban előforduló problémákra való reagálás.

Mégis, a módosítások pontos megértéséhez és megfelelő kezeléséhez szakértői tudás szükséges, és sokan lehetnek, akik nem biztosak abban, milyen lépéseket kell megtenniük saját vállalatuknál. Ebben a cikkben bemutatjuk a Reiwa 6. évi (2024) módosításainak kulcspontjait és a lehetséges megoldásokat.

A Reiwa 6 (2023) évi módosított Japán Személyes Adatvédelmi Törvény változásainak összefoglalása

A Reiwa 6 (2023) évi módosított Japán Személyes Adatvédelmi Törvényben figyelemre méltó változások közé tartozik, hogy a szivárgás és hasonló események esetén a jelentési és értesítési kötelezettség, valamint a biztonsági intézkedések megtételének kötelezettsége mostantól bizonyos “személyes információkra” is kiterjed.

A korábbi szabályozásban csak a “személyes adatok” esetében állt fenn jelentési kötelezettség a szivárgások idején, a “személyes információk” nem tartoztak ide.

A mostani módosítással a Japán Személyes Adatvédelmi Törvény végrehajtási szabályzatának 7. cikk 3. pontja és a “Japán Személyes Adatvédelmi Törvény Útmutatója (Általános Rész)”[ja] módosításokat tartalmaz.

A konkrét szabályozási tartalom és a változások részletes magyarázatát az alábbiakban ismertetjük.

A korábbi személyes adatok védelméről szóló törvényben meghatározott szabályozási célpontok

A módosított törvény tartalmának megértéséhez elengedhetetlen a korábbi szabályozások pontos ismerete. Itt a módosítás előtt meghatározott szabályozások definícióit és tartalmát ismertetjük.

A személyes adatok és a személyes információk közötti különbség

A személyes adatok védelméről szóló törvényben a védelem alá eső “személyes adatok” és “személyes információk” külön-külön kerülnek megfontolásra.

A “személyes információ” olyan információ, amely egy élő személyre vonatkozik, és az ilyen információban szereplő név, születési dátum és egyéb leírások alapján azonosítható egy adott személy. Ez a definíció a személyes adatok védelméről szóló törvény 2. cikk (1) bekezdésének 1. pontjában van meghatározva.

Kapcsolódó cikk: A személyes adatok védelméről szóló törvény 2022-es (Reiwa 4) (2022) módosítása, ‘anonimizált információk’ bevezetése stb. az adatok felhasználásának előmozdítása érdekében[ja]

Másrészről a “személyes adat” olyan személyes információ, amely egy személyes adatokbázist alkot, és ez a személyes adatok védelméről szóló törvény 16. cikk (1) bekezdésében van meghatározva.

Például, ha egy esemény résztvevőinek névsorát készítjük, a résztvevők által küldött név, cím és egyéb információk “személyes információk”nak minősülnek. A résztvevők személyes információinak összegyűjtése, például egy táblázatkezelőben, egy “személyes adatokbázist” hoz létre. Ezt az adatbázist alkotó egyedi információk minősülnek “személyes adatoknak”.

A személyes adatok védelméről szóló törvényben fontos megérteni, hogy a védelem alá eső adatok “személyes információk” vagy “személyes adatok” minősítése alapján a szabályozás tartalma jelentősen változhat.

Mi a jelentési és értesítési kötelezettség?

A személyes adatok védelméről szóló törvény előírja, hogy ha személyes adatok szivárognak ki, a személyes adatok kezelésével foglalkozó vállalkozásoknak jelentést kell tenniük a Személyes Adatok Védelméért Felelős Bizottságnak és értesíteniük kell az érintett személyeket.

(A szivárgásról szóló jelentés)
A 26. cikk A személyes adatok kezelésével foglalkozó vállalkozásoknak, ha az általuk kezelt személyes adatok szivárognak ki, megsemmisülnek, megrongálódnak vagy más, a személyes adatok biztonságának megőrzésével kapcsolatos esemény következik be, amely nagymértékben károsíthatja az egyének jogait és érdekeit, a Személyes Adatok Védelméért Felelős Bizottság szabályzataiban meghatározott módon jelentést kell tenniük a Bizottságnak az esemény bekövetkeztéről. Azonban, ha a személyes adatok kezelésével foglalkozó vállalkozás más személyes adatok kezelésével foglalkozó vállalkozástól vagy közigazgatási szervtől kapott megbízást az adatkezelés teljes vagy részleges elvégzésére, és a Személyes Adatok Védelméért Felelős Bizottság szabályzatai szerint értesítést küldött az esemény bekövetkeztéről az adott másik vállalkozásnak vagy közigazgatási szervnek, akkor ez alól mentesül.
2. Az előző bekezdésben meghatározott esetekben a személyes adatok kezelésével foglalkozó vállalkozásoknak (azok kivételével, akik az előző bekezdés szerinti értesítést megtették) a Személyes Adatok Védelméért Felelős Bizottság szabályzatai szerint értesíteniük kell az érintett személyt az esemény bekövetkeztéről. Azonban, ha az érintett személy értesítése nehézségekbe ütközik, és az érintett személy jogainak és érdekeinek védelme érdekében szükséges helyettesítő intézkedéseket hoznak, akkor ez alól mentesülnek.

A személyes adatok védelméről szóló törvény | e-Gov törvénykereső[ja]

A jelentési és értesítési kötelezettség nem minden szivárgási esetben áll fenn. A személyes adatok védelméről szóló törvény végrehajtási rendeletének 7. cikke csak a következő négy esetre korlátozza a jelentési és értesítési kötelezettséget:

1. Személyes adatok szivárgása, amelyek különleges figyelmet igénylő személyes adatokat tartalmaznak (például: alkalmazottak egészségügyi vizsgálatának eredményei)
2. Személyes adatok szivárgása, amely pénzügyi kárt okozhat jogellenes felhasználás esetén (például: hitelkártyaszámok)
3. Személyes adatok szivárgása, amely jogellenes céllal történhetett
4. Az érintett személyek száma meghaladja az 1000 főt

Az ebben a módosításban a végrehajtási rendelet 7. cikkének 3. pontja változott meg.

Mit jelentenek a biztonsági kezelési intézkedések?

A személyes adatok védelméről szóló japán törvény kötelezi a személyes adatokat kezelő vállalkozásokat, hogy megtegyék a szükséges és megfelelő intézkedéseket az adatok szivárgásának megelőzése és a biztonságos kezelés érdekében.

(Biztonsági kezelési intézkedések)
A 23. cikk A személyes adatokat kezelő vállalkozásoknak meg kell tenniük a szükséges és megfelelő intézkedéseket a kezelt személyes adatok szivárgásának, elvesztésének vagy károsodásának megelőzése és az adatok biztonságos kezelése érdekében.

A személyes adatok védelméről szóló japán törvény | e-Gov törvénykereső[ja]

Konkrét példák közé tartozik az hozzáférés-szabályozás, a dolgozók képzése, és a szabályzatok kidolgozása.

A módosítás előtti szabályozás tárgya

A módosítás előtt csak a „személyes adatok” esetében írták elő a szivárgás és egyéb incidensek esetén történő jelentési kötelezettséget és a biztonsági intézkedések megtételének kötelezettségét. A „személyes információk” tekintetében, ha szivárgás vagy egyéb incidens történt, a vállalkozásokra nem vonatkoztak ilyen kötelezettségek.

Az azonban, hogy a jelentési és értesítési kötelezettség, valamint a biztonsági intézkedések bevezetésének kötelezettsége most már bizonyos „személyes információkra” is kiterjed, a jelenlegi módosítás egyik fő eleme.

A személyes adatvédelmi törvény végrehajtási szabályzatának módosításának célja és szándéka

Ez a módosítás elsősorban a webes skimelés elleni intézkedéseket tartja szem előtt. A webes skimelés olyan támadási módszer, amely során illegális programokat helyeznek el például e-kereskedelmi oldalakon a személyes adatok ellopása érdekében.

Konkrétan, a felhasználók által az űrlapokba beírt jelszavakat, hitelkártya-információkat és egyéb adatokat közvetlenül az adatbeviteli oldalról szerezhetik meg.

A webes skimelés esetében a felhasználók által megadott információkat közvetlenül ellopják, még mielőtt azok bekerülnének az e-kereskedelmi oldal üzemeltetőjének személyes adatok adatbázisába. Ebben az esetben csupán a „személyes adatok” kerülnek ellopásra, még mielőtt azok „személyes adattá” válnának.

A módosítás előtt a bejelentési kötelezettség kizárólag a „személyes adatokra” vonatkozott. Ezért, ha webes skimelés által okozott kár történt, az e-kereskedelmi oldal üzemeltetőjének nem volt kötelezettsége a bejelentésre.

A mostani módosítás célja, hogy a webes skimelés révén történő információszivárgást is bejelentési kötelezettség alá vonja, és ezzel kiterjessze a bejelentési és biztonsági intézkedések alkalmazását a „személyes információkra” is.

(2024) 令和6年の個人情報保護法施行規則の改正内容

A bejelentési kötelezettség alá eső események körének kiterjesztése

Az adatvédelmi törvény végrehajtási rendeletének 7. cikk (3) bekezdése a következőképpen módosult.

A “személyes információkat kezelő vállalkozás” kifejezés magában foglalja az alvállalkozókat és a személyes adatkezelési szolgáltatások nyújtóit is.

Továbbá, hogy egy adatkezelő vállalkozás által “megszerzés alatt álló személyes információ” megfelel-e a kritériumoknak, azt a személyes információk megszerzésének módját figyelembe véve kell objektíven megítélni (Irányelvek Általános Rész 3-5-3-1).

Így a bejelentési és értesítési kötelezettség alá eső események körének kiterjesztése a “személyes információk” bizonyos esetekre való kiterjesztése volt a (2024) 令和6年 módosításának egyik jelentős változása.

A biztonsági intézkedések körének kiterjesztése

A bejelentési kötelezettség szabályainak módosításával összhangban a személyes adatok védelméről szóló törvény irányelveinek Általános Rész 3-4-2 pontja is megváltozott.

A vállalkozások által megvalósítandó biztonsági intézkedések közé tartoznak azok a szükséges és megfelelő intézkedések is, amelyek a személyes adatokat kezelő vállalkozások által személyes adatként kezelni tervezett személyes információk (a személyes adatokat kezelő vállalkozások által megszerzett vagy megszerzés alatt álló személyes információk) kiszivárgásának megelőzésére szolgálnak.

A biztonsági intézkedések körét nem csak a “személyes adatok”, hanem bizonyos esetekben a “személyes információk” tekintetében is kiterjesztették.

Forrás: Személyes Információk Védelmének Bizottsága｜(2024. április 1-jén hatályba lépő) Személyes információk védelméről szóló törvény irányelvei (Általános Rész)

A módosított Japán Személyes Adatvédelmi Törvény (2024) végrehajtásával kapcsolatos teendők

A Reiwa 6 (2024) évben módosított Japán Személyes Adatvédelmi Törvény végrehajtásával kapcsolatban meg kell tenni a következő két lépést:

• Adatvédelmi irányelvek felülvizsgálata
• Vállalati szabályzatok felülvizsgálata és azok ismertetése

Nézzük meg részletesen mindegyiket.

Adatvédelmi irányelvek felülvizsgálata

A személyes adatok kezelésével foglalkozó vállalkozásoknak biztosítaniuk kell a birtokolt személyes adatok biztonságos kezelésére vonatkozó intézkedéseket úgy, hogy azok az érintettek számára is ismertek legyenek. Ez magában foglalja azt is, hogy képesek legyenek késedelem nélkül válaszolni az érintettek kéréseire (Japán Személyes Adatvédelmi Törvény 32. cikk (1) bekezdés 4. pontja).

Azoknak a vállalkozásoknak, amelyek eddig az adatvédelmi irányelveikben tüntették fel a birtokolt személyes adatok biztonságos kezelésére vonatkozó intézkedéseket, figyelniük kell. Az adatvédelmi irányelvekben új személyes adatokat kell felvenni a biztonságos kezelési intézkedések körébe.

Vállalati szabályzatok felülvizsgálata és azok ismertetése

A személyes adatok bizonyos részének kiszivárgása esetén is bejelentési és értesítési kötelezettség keletkezik, amit a vállalati szabályzatokban is tükrözni kell, és az alkalmazottak számára ismertetni szükséges.

A módosítások következtében új jelentési kötelezettségek alá eső személyes adatok kiszivárgásának esetei nem korlátozódnak kizárólag a webes skimelésre.

Például, ha egy személyes adatok kezelésével foglalkozó vállalkozás módosított címzést tartalmazó válaszborítékot küld egy ügyfélnek, és az ügyfél által a borítékban lévő kérdőívre beírt személyes adatok illetéktelen harmadik fél kezébe kerülnek, és ezeket az adatokat személyes adatként kezelték volna, jelentési és értesítési kötelezettség keletkezik.

Mivel a korábban kötelezettség alá nem tartozó személyes adatok kezelése is változik, fel kell hívni az alkalmazottak figyelmét a változásokra.

Összefoglalás: A személyes adatok védelméről szóló törvény módosításához forduljon szakértőhöz

A személyes adatok védelméről szóló törvény Reiwa 6 (2024) évi módosítása során a webes lehallgatás elleni intézkedések figyelembevételével bővült a jelentési és értesítési kötelezettség, valamint a biztonsági kezelési intézkedések körébe tartozó esetek száma. A módosítás előtt csak a “személyes adatok” voltak érintettek, de bizonyos esetekben mostantól a “személyes információk” is beletartoznak.

Az aktuális módosítás miatt szükségessé vált a magánéleti irányelvek és a vállalati szabályzatok felülvizsgálata, valamint egyéb intézkedések megtétele.

A személyes információk kezelésével kapcsolatban nagy a kockázat, mint például a társadalmi hitelesség elvesztése, ha a intézkedéseket helytelenül hajtják végre. Ezért javasoljuk, hogy az ilyen ügyekben konzultáljon egy ügyvéddel.

Intézkedéseink bemutatása a Monolit Ügyvédi Irodánál

A Monolit Ügyvédi Iroda az IT területén, különösen az internet és a jogi aspektusok terén rendelkezik jelentős tapasztalattal. Napjainkban a személyes adatok szivárgása komoly problémát jelent. Amennyiben személyes adatok szivárognak ki, az vállalati tevékenységekre is végzetes hatással lehet. Irodánk szakértői tudással rendelkezik az információszivárgás megelőzésére és kezelésére vonatkozóan. Az alábbi cikkben részletezzük ezeket.

A Monolit Ügyvédi Iroda által kezelt területek: Japán személyes adatvédelmi törvényhez kapcsolódó jogi szolgáltatások[ja]