【Legfrissebb kiadás】Mi az adatvédelmi törvény? Az alapvető ismeretek, amiket mindenképpen tudni érdemes, érthetően magyarázva
Manapság a személyes adatok kezelése és a magánélet védelme iránti társadalmi érdeklődés növekszik. Azonban a személyes adatok védelméről szóló törvény és a kapcsolódó jogszabályok számos, ismerni szükséges rendelkezést tartalmaznak, amelyek gyakran bonyolultak, így nem könnyű átlátni ezt a területet. Ráadásul a személyes adatok védelméről szóló törvény gyakran módosul a változó társadalmi helyzeteknek megfelelően, ezért fontos, hogy naprakészen kövessük a legfrissebb információkat.
Ebben a cikkben a személyes adatok kezelésével foglalkozó személyek számára elmagyarázzuk a személyes adatok védelméről szóló törvény alapvető ismereteit, amelyeket a 2022-ben hatályba lépett legújabb módosítások alapján legalább ismerniük kell (ez a cikk a 2025 januárjában érvényes jogszabályokon és információkon alapul).
Rövidítések
Törvény: Személyes Adatok Védelméről szóló Törvény
Szabályzat: Személyes Adatok Védelmi Szabályzata
Útmutató: Személyes Adatok Védelmi Bizottság „Személyes Adatok Védelméről szóló Törvényre vonatkozó Útmutató (Általános Rész) [ja]” 2022 szeptember
A személyes adatok védelméről szóló törvény célja és módosításának háttere Japánban
A digitális társadalomban egyre fontosabbá válik a személyes adatok jogosulatlan felhasználásából eredő károk megelőzése, és ennek megfelelően a személyes adatok védelméről szóló törvényt Japánban többször is módosították. Ebben a cikkben a személyes adatok védelméről szóló törvény célját és ezeknek a módosításoknak a hátterét ismertetjük.
A személyes adatok védelméről szóló törvény célja
A személyes adatok védelméről szóló törvény elsősorban a személyes adatok megfelelő kezelésének szabályait határozza meg.
A személyes adatok és adatok felhasználásával működő szolgáltatások mára mindennapossá váltak számunkra. A vállalatoknál a munkafolyamatok hatékonyságának növelése és a digitális átalakulás során a személyes adatok felhasználása mellett az adatszivárgási események száma is nő, és az adatokkal való visszaélés kockázata egyre nagyobb.
A személyes adatok védelméről szóló törvény célja röviden az, hogy „figyelembe véve a személyes adatok hasznosságát”, ugyanakkor „megvédje az egyének jogait és érdekeit” (1. cikk). A törvény tanulmányozásakor nagyon fontos szempont a kettő közötti egyensúly megteremtése.
Ez a törvény figyelembe véve, hogy a digitális társadalom fejlődésével a személyes adatok felhasználása jelentősen kibővült, a személyes adatok megfelelő kezelésével kapcsolatos alapelveket és a kormány által létrehozott alapvető irányelveket, valamint a személyes adatok védelmével kapcsolatos egyéb alapvető kérdéseket határozza meg, tisztázza a nemzeti és helyi önkormányzati szervek felelősségét, és előírja a személyes adatokat kezelő vállalkozások és adminisztratív szervek kötelezettségeit azok jellemzőinek megfelelően, valamint a Személyes Adatvédelmi Bizottság létrehozásával biztosítja az adminisztratív szervek és vállalkozások munkájának megfelelő és zökkenőmentes működését, továbbá elősegíti, hogy a személyes adatok megfelelő és hatékony felhasználása új iparágak létrehozásához és egy dinamikus gazdasági társadalom, valamint gazdagabb nemzeti élet megvalósításához járuljon hozzá, miközben figyelembe veszi a személyes adatok hasznosságát és védi az egyének jogait és érdekeit.
Idézet: A személyes adatok védelméről szóló törvény 1. cikke
Megjegyzendő, hogy a személyes adatok kezelésével kapcsolatos összes szabályt nem a személyes adatok védelméről szóló törvény határozza meg, hanem a részletes szabályokat rendeletek és szabályzatok tartalmazzák.
Ezenkívül a személyes adatok védelméről szóló törvény alkalmazásával kapcsolatos konkrét jogértelmezéseket és figyelembe veendő szempontokat a Személyes Adatvédelmi Bizottság által meghatározott különféle irányelvek és kérdések és válaszok tartalmazzák. Ezek önmagukban nem rendelkeznek jogi kötőerővel, de gyakorlatilag normaként szolgálnak, és sok vállalat használja őket referenciaként.
Forrás: Személyes Adatvédelmi Bizottság|Törvények és irányelvek[ja]
A módosítás háttere
A személyes adatok védelméről szóló törvényt Japánban először a Heisei 17. évben (2005) hozták létre.
Azóta az információs és kommunikációs technológiák fejlődése és a globalizáció miatt megnőtt a személyes adatok felhasználása, amelyet a törvényalkotáskor még nem lehetett előre látni. Ezeket a társadalmi változásokat figyelembe véve a személyes adatok védelméről szóló törvényt a Heisei 27. évben (2015) jelentősen módosították, és a Reiwa 2. évben (2020) ismét módosították.
Továbbá a Személyes Adatvédelmi Bizottság az „A személyes adatok védelméről szóló törvény úgynevezett háromévente történő felülvizsgálatának rendszerreformja[ja]” alapján háromévente felülvizsgálja a személyes adatok védelméről szóló törvényt.
A reformtervezet szerint olyan szempontokat tartalmaz, mint az „egyéni jogok és érdekek védelme”, a „védelem és felhasználás egyensúlya”, a „nemzetközi trendekkel való összhang”, a „külföldi vállalkozók által okozott kockázatváltozások kezelése” és az „AI és nagy adatok korához való alkalmazkodás”.
A jelenleg hatályos legújabb módosított törvény, azaz a Reiwa 2. év (2020) módosított törvénye 2022 áprilisában lépett hatályba, de a Személyes Adatvédelmi Bizottság felülvizsgálati terve szerint a 2020-as évtől számított három év elteltével, 2023-ban (vagy 2024-ben) újra megvizsgálhatják a módosított törvényt.
A következőkben a Reiwa 2. év módosított törvénye alapján ismertetjük a személyes adatok védelméről szóló törvény cikkének meghatározását és osztályozását, valamint a főbb rendelkezéseket.
A személyes adatok védelméről szóló törvény (2003) definíciói és osztályozásai
A személyes adatok védelméről szóló törvény (2003) előírásainak megértéséhez először is tisztában kell lennünk a törvény sajátos terminológiájával. A mindennapi életben használt szavaktól eltérően, a jogi definíciók alapján számos előírás kerül meghatározásra, ezért fontos, hogy először megértsük a kifejezések jelentését és jelentőségét.
Ebben a cikkben a következő kifejezéseket fogjuk ismertetni:
- Személyes információ
- Személyes adat
- Birtokolt személyes adat
Lehet, hogy néhány kifejezés hasonló jelentésűnek tűnhet, de a személyes adatok védelméről szóló törvény (2003) keretében ezek között egyértelmű különbségek vannak, és minden definícióhoz különböző előírások kapcsolódnak. Jó, ha megjegyezzük, hogy a ‘személyes információ’ → ‘személyes adat’ → ‘birtokolt személyes adat’ sorrendben növekszik az adatkezeléssel kapcsolatos kötelezettségek száma.
Személyes adatok Japánban
A “személyes adatok” kifejezés olyan információkat jelent, amelyek “élő személyekre” vonatkoznak és “meghatározott személyeket azonosítani képesek”, vagy “személyazonosító kódokat tartalmaznak” (Japán Személyes Adatok Védelméről szóló törvény 2. cikk (1) bekezdés 1. és 2. pontja).
Elhunyt személyek vagy kitalált karakterek nem tartoznak az “élő személyek” kategóriájába, továbbá a jogi személyekre vagy statisztikai adatokra vonatkozó információk nem minősülnek “személyes adatoknak”.
A “meghatározott személyeket azonosítani képes” adatok közé tipikusan a név, telefonszám, cím, születési dátum, arckép tartozik, de bármely, egy adott személyhez köthető információ összességében személyes adatnak számít. Vagyis azok az információk, amelyek önmagukban nem teszik lehetővé a személy azonosítását (például azonosítók vagy vásárlási előzmények), amennyiben összekapcsolhatók a névvel vagy telefonszámmal, “meghatározott személyeket azonosítani képesekké” válnak, így személyes adatnak minősülnek.
Továbbá a “személyazonosító kódok” (Japán Személyes Adatok Védelméről szóló törvény 2. cikk (2) bekezdés) tipikusan olyan hivatalos egyedi számokat jelentenek, mint a My Number (személyi azonosító szám), jogosítvány száma, útlevélszám, biztosítási kártya száma (ugyanazon bekezdés 2. pontja). Az ujjlenyomatok vagy a DNS, mint az emberi biológiai információk átalakított adatai is személyazonosító kódoknak számítanak (ugyanazon bekezdés 1. pontja).
Ezenkívül a “meghatározott személyeket azonosítani képes” követelmény magában foglalja azokat az adatokat is, amelyek “más információkkal könnyen összevethetők, és ezáltal meghatározott személyeket azonosítani képesek” (= “könnyű összevetés”).
Például, ha egy böngészési előzmények adatbázis tartalmaz felhasználói azonosítókat és böngészési információkat, azokat látva nem lehet azonosítani a meghatározott személyeket. Azonban, ha egy másik adatbázisban (felhasználói menedzsment adatbázis) ugyanazok a felhasználói azonosítók, valamint név, cím és egyéb információk is megtalálhatók, a közös felhasználói azonosítók összevetésével már lehetővé válik a meghatározott személyek azonosítása. Ezért ebben az esetben a böngészési információk is, bár önmagukban nem azonosítanak meghatározott személyeket, a “könnyű összevetés” révén összességében személyes adatoknak minősülnek. Vagyis a vállalatoknál történő kezelés valósága alapján dől el, hogy egy adott információ “személyes adatnak” minősül-e, ezért fontos erre odafigyelni.
2. cikk: E törvény értelmében “személyes adatok” alatt olyan élő személyekre vonatkozó információkat értünk, amelyek az alábbi pontok valamelyikébe tartoznak:
1. Az adott információban szereplő név, születési dátum és egyéb leírások, amelyek dokumentumokban, rajzokban vagy elektromágneses feljegyzésekben (elektromágneses módszerrel – elektronikus, mágneses vagy más, az emberi érzékelés számára felismerhetetlen módszerrel készült feljegyzéseket jelent. A következő pontban ugyanez. – rögzítettek, vagy hang, mozdulat vagy más módszerrel kifejezettek, és amelyek alapján azonosítható a meghatározott személy (más információkkal könnyen összevethető, és ezáltal azonosítható a meghatározott személy).
2. Személyazonosító kódokat tartalmazó adatok
Japán Személyes Adatok Védelméről szóló törvény 2. cikk (1) bekezdés 1. és 2. pontja
Személyes adatok
Az adatbázisba rendezett vagy keresésre alkalmas állapotban lévő személyes információk gyűjteményét “személyes információs adatbázisok” néven ismerjük Japánban (a törvény 16. cikk (1) bekezdésének 1. és 2. pontja).
Például egy névjegykártyán szereplő személyes információ “személyes információ”, de ha az információt 50 hangjel alapján indexelt fájlban tároljuk, és így kereshetővé tesszük több névjegykártya adatait, vagy Excel segítségével adatbázisba rendezzük, akkor ezek a rendszerezetten összeállított információk “személyes információs adatbázisoknak” minősülnek, amelyek lehetővé teszik a meghatározott személyes információk keresését.
Ezen “személyes információs adatbázisok” alkotóelemeit “személyes adatoknak” nevezzük (a törvény 16. cikk (3) bekezdése). Amennyiben valami személyes adatnak minősül, úgy a harmadik feleknek történő kiadásra vonatkozó szabályozások és a biztonságos kezelési intézkedések kötelezettségei is érvényesek lesznek, amelyek szigorúbbak, mint a “személyes információk” esetében (részletek a későbbiekben).
Ennek oka, hogy a személyes adatok esetében, amikor a személyes információk adatbázisba kerülnek, fennáll a tömeges adatszivárgás magas kockázata, és könnyebb az összekapcsolás más módszerekkel, ami nagyobb valószínűséggel sérti az érintett személy jogait.
Birtokolt személyes adatok
A vállalkozások által kezelt személyes információk közül, amikor az érintett személy kérésére közzé kell tenni azokat, azokat a személyes adatokat, amelyekre a vállalkozásnak közzétételi és egyéb jogosultságai vannak, ‘birtokolt személyes adatoknak’ nevezzük (a törvény 16. cikkének 4. bekezdése alapján Japánban).
Tipikusan ez magában foglalja az üzleti tevékenység során közvetlenül gyűjtött ügyfél- és alkalmazotti információkat. Másrészről, például az olyan információk, amelyeket másoktól kaptak megbízás alapján, és amelyekre nincs közzétételi jogosultságuk, nem tartoznak a birtokolt személyes adatok körébe.
Amennyiben az adatok a birtokolt személyes adatok kategóriájába esnek, a vállalkozásnak kötelessége a meghatározott tételek nyilvánosságra hozatala, az érintett személy kérdéseire haladéktalan válaszadás, valamint a közzétételre, helyesbítésre, törlésre stb. irányuló kérelmek teljesítése (részletek a későbbiekben).
A személyes adatok védelméről szóló törvény szerint Japánban a ‘személyes információ’ a legtágabb fogalom, és a ‘személyes adatok’, ‘birtokolt személyes adatok’ definíciói egyre szűkebbek lesznek, és egyre több szabályozás vonatkozik rájuk. Ezeknek a definícióknak megfelelően változnak a rájuk alkalmazandó szabályozások, ezért fontos az óvatosság. Nézzük meg az alábbi ábrán.
Az információk típusától függően eltérő szabályok alkalmazandók
Az alábbi ábra szerint a személyes adatok védelméről szóló japán törvény (Personal Information Protection Act) főbb rendelkezései a „személyes információ”, „személyes adat” és „birtokolt személyes adat” megkülönböztetésének megfelelően vannak meghatározva.
Idézet: Japán Személyes Adatvédelmi Bizottság (Personal Information Protection Commission) „A személyes adatok védelmének alapjai” 25. oldal
A következőkben:
- A személyes információk felhasználási céljának meghatározása és tájékoztatás
- A személyes adatok biztonságos kezelésének intézkedései, az alvállalkozók kezelése
- A személyes adatok harmadik feleknek történő átadása és annak kivételei
- A birtokolt személyes adatokhoz kapcsolódó nyilvánosságra hozatali és egyéb kérelmek kezelése
ezekről fogunk áttekintést nyújtani.
A személyes adatok felhasználási céljának meghatározása és tájékoztatása Japánban
Először is, a japán személyes adatok védelméről szóló törvény értelmében, ha személyes adatokat szereznek be, a felhasználási célt a lehető legnagyobb mértékben meg kell határozni (17. cikk (1) bekezdés), és nem szabad a meghatározott felhasználási célok eléréséhez szükséges határokon túl kezelni a személyes adatokat (18. cikk (1) bekezdés).
Ezenkívül, ha megváltoztatják a felhasználási célt, azt csak a változtatás előtti felhasználási célhoz kapcsolódóan és ésszerűen várható mértékben tehetik meg (17. cikk (2) bekezdés).
Továbbá, kötelező a meghatározott felhasználási célt a személynek közölni vagy nyilvánosságra hozni (21. cikk (1) bekezdés).
A japán személyes adatok védelméről szóló törvény nem ír elő konkrét értesítési vagy nyilvánosságra hozatali módszert, de általában a “Privacy Policy” (Adatvédelmi Irányelvek) vagy a “Personal Information Protection Policy” (Személyes Adatok Védelmének Politikája) formájában történik a közzététel.
A Személyes Adatok Védelméért Felelős Bizottság útmutatója a következőképpen rendelkezik:
A felhasználási célt nem elég csak általánosan vagy absztrakt módon meghatározni, hanem konkrétan kell megjelölni, hogy a személyes adatokat milyen üzleti tevékenység során és milyen célból használják fel, úgy, hogy az érintett személy számára általánosan és ésszerűen előrelátható legyen.
Személyes Adatok Védelméért Felelős Bizottság ‘Útmutató általános rész[ja]‘3-1-1
Ezenkívül az útmutató példákat sorol fel arra vonatkozóan, hogy milyen megfogalmazások tekinthetők a felhasználási cél konkrét meghatározásának.
【Példák a felhasználási cél konkrét meghatározására】
Példa) Amikor egy vállalkozás termékértékesítés során személyes adatokat, mint név, cím, e-mail cím stb. gyűjt, és a felhasználási célt a következőképpen jelöli meg: ‘Az ○○ üzletágban történő termék kiszállításához, a kapcsolódó utószolgáltatásokhoz és az új termékekkel, szolgáltatásokkal kapcsolatos információk megosztásához használjuk fel.’
【Példák a felhasználási cél nem konkrét meghatározására】
Példa1) ‘Az üzleti tevékenység során való felhasználás céljából’
Példa2) ‘A marketingtevékenység során való felhasználás céljából’
Vagyis szükséges, hogy a személyes adatok felhasználásának konkrét célja és módja egyértelmű legyen az érintett személy számára.
Továbbá, ha közvetlenül írásos formában (elektronikus adathordozón is) szerzett személyes adatokat, előzetesen egyértelműen fel kell tárni a felhasználási célt az érintett személy felé (21. cikk (2) bekezdés).
Személyes adatok biztonságos kezelésének intézkedései és a megbízottak felügyelete Japánban
A személyes adatok kezelésével foglalkozó vállalkozásoknak megfelelő és szükséges intézkedéseket kell tenniük a kezelt személyes adatok szivárgásának, elvesztésének vagy megsemmisülésének megelőzése és egyéb biztonsági menedzsment céljából (a törvény 23. cikke).
Ezenkívül a megtett biztonsági intézkedéseket “a személyes adatok tulajdonosának tudomására hozható állapotban” kell tartani, beleértve az eseteket is, amikor a tulajdonos kérésére haladéktalanul válaszolni kell (a törvény 32. cikkének 1. bekezdése 4. pontja, a Személyes Adatok Védelméről szóló Törvény végrehajtási rendelete 10. cikk 1. pontja).
Az előírt biztonsági intézkedések konkrét példái megtalálhatók a Irányelvekben[ja].
10-1 Alapvető irányelvek kidolgozása
10-2 A személyes adatok kezelésére vonatkozó szabályok meghatározása
10-3 Szervezeti biztonsági intézkedések
10-4 Emberi biztonsági intézkedések
10-5 Fizikai biztonsági intézkedések
10-6 Technikai biztonsági intézkedések
10-7 Külső környezet felmérése
Idézet: Személyes Adatok Védelméért Felelős Bizottság ‘Általános Irányelvek[ja]‘ 10
Azonban a biztonsági intézkedések esetében nem minden vállalkozásra ugyanazok a szabványok és intézkedések vonatkoznak. Például egy nagy IT-vállalat, amely milliókra vagy tízmilliókra rúgó személyes adatokat kezel, és egy korlátozott személyes adatokkal dolgozó kis- és középvállalkozás esetében eltérő szintű intézkedések várhatók. A biztonsági intézkedéseknek a vállalkozás méretétől és jellegétől, a kezelt személyes adatok jellegétől és mennyiségétől, valamint a várható kockázatoktól függően kell megfelelő tartalmúaknak lenniük.
Mindezek mellett a személyes adatok biztonságos kezelésének biztosítása érdekében a vállalkozásoknak kötelességük megfelelően felügyelni az alkalmazottaikat és megbízottjaikat (a törvény 24. és 25. cikke).
Személyes adatok harmadik félnek történő átadása és annak kivételei Japánban
Japánban, ha személyes adatokat kívánunk harmadik félnek átadni, alapelvként szükséges megszerezni az érintett személy hozzájárulását (a törvény 27. cikkének 1. bekezdése).
A konkrét esetektől függően, például ha a felhasználási feltételek, szerződési feltételek vagy adatvédelmi irányelvek tartalmazzák a harmadik félnek történő adatátadásra vonatkozó rendelkezéseket, és az érintett személy hozzájárulását megfelelően megszerezzük, akkor mondhatjuk, hogy a harmadik félnek történő adatátadáshoz hozzájárulást szereztünk.
Azban, bizonyos kivételes esetekben, például ha közérdekű okokból, nem szükséges az érintett személy hozzájárulását megszerezni a harmadik félnek történő adatátadáshoz (a törvény 27. cikkének 1. bekezdésének egyes pontjai).
A személyes adatok kezelésével foglalkozó vállalkozásoknak a következő esetek kivételével előzetesen nem szabad a személyes adatokat harmadik félnek átadniuk az érintett személy hozzájárulása nélkül.
Egy. Törvényi előírás alapján
Kettő. Amikor szükséges egy személy életének, testi épségének vagy vagyonának védelme érdekében, és nehéz megszerezni az érintett személy hozzájárulását.
Három. Amikor különösen szükséges a közegészség javítása vagy a gyermekek egészséges fejlődésének elősegítése érdekében, és nehéz megszerezni az érintett személy hozzájárulását.
Négy. Amikor szükséges az állami szervek vagy helyi önkormányzatok, vagy azok megbízottjai által törvény által meghatározott feladatok ellátásához való együttműködés, és az érintett személy hozzájárulásának megszerzése akadályozná a feladatok ellátását.
Öt-től Hétig (részletek kihagyva)
Idézet: A személyes adatok védelméről szóló törvény 27. cikke (Japán)
Továbbá, az alábbiakban körvonalazom azokat az eseteket, amikor a személyes adatokat külföldön található harmadik félnek adják át.
Alapelvként, amikor a személyes adatokat külföldön található harmadik félnek adják át (beleértve a megbízást és a közös használatot is), a fent említett harmadik félnek történő személyes adatok átadására vonatkozó szabályozásokon túl, szükség van a “külföldön található harmadik fél” hozzájárulására is (a törvény 28. cikke). Ezenkívül, a hozzájárulás megszerzése előtt szükséges a következő információk megadása (a szabályzat 17. cikkének 2. bekezdése).
Egy. Az adott külföldi ország neve
Kettő. Az adott külföldi országban a személyes adatok védelmére vonatkozó rendszerről szóló, megfelelő és ésszerű módon megszerzett információ
Három. Az adott harmadik fél által a személyes adatok védelme érdekében hozott intézkedésekről szóló információ
A részletes leírási módszerekkel kapcsolatban a Személyes Adatok Védelmi Bizottság által meghatározott Személyes Adatok Védelméről Szóló Törvény Irányelvei (Külföldi Harmadik Félnek Történő Átadás Kiadás)[ja] 5-2 pontja nyújt tájékoztatást.
Az előzőekben azonban két kivétel van.
Ha a harmadik fél által alkalmazott adatvédelmi rendszer szintje egyenértékűnek tekinthető Japánnal, és ezt a Személyes Adatok Védelmi Bizottság elismeri (alapvető megfelelési rendszer, 2023 novemberében az EGT-tagállamok és az Egyesült Királyság), akkor az adott harmadik fél nem minősül “külföldinek”. Vagyis a határokon átnyúló adatátvitelre vonatkozó szabályozás nem alkalmazandó, és az adatátadást ugyanúgy kezelik, mint a belföldi vállalkozások esetében történő harmadik félnek történő adatátadást.
A következő esetben, amikor az előző alapvető megfelelési rendszer alapján történik a határokon átnyúló adatátvitel. Vagyis, ha ① “a megfelelő intézkedések folyamatos végrehajtásának biztosítása érdekében szükséges intézkedéseket hoznak”, és ② az érintett személy kérésére “az említett szükséges intézkedésekről szóló információt” biztosítják az érintett személy számára, akkor nincs szükség a hozzájárulás megszerzésére (a törvény 28. cikke 1. és 3. bekezdése).
A fent említett ① pont a szabályzat 18. cikkének 1. bekezdésében van meghatározva.
A japán adatvédelmi törvény végrehajtási szabályzatának 18. cikk (1) bekezdése alapján a külföldön található harmadik felek által megfelelő intézkedések folyamatos végrehajtásának biztosításához szükséges intézkedések a következők:
1. A harmadik fél által végrehajtott megfelelő intézkedések állapotának, valamint a megfelelő intézkedések végrehajtását befolyásolni képes külföldi rendszerek meglétének és tartalmának megfelelő és ésszerű módon történő rendszeres ellenőrzése.
2. Amennyiben a harmadik fél által végrehajtott megfelelő intézkedések végrehajtásában akadályok merülnek fel, szükséges és megfelelő intézkedéseket kell hozni, és ha a megfelelő intézkedések folyamatos végrehajtásának biztosítása nehézkessé válik, akkor felfüggeszteni kell az adott harmadik félnek történő személyes adatok (a törvény 31. cikk (2) bekezdésében meghatározott esetekben személyes kapcsolódó információk) történő átadását.
Idézet: A japán személyes adatok védelméről szóló törvény végrehajtási szabályzatának 18. cikk (1) bekezdése
A szabályzat szerint az 1. pontban említett “rendszeres ellenőrzés” évente legalább egyszer, vagy annál gyakrabban történő ellenőrzést jelent.
Továbbá, a szükséges rendszer kiépítésével kapcsolatban nem szükséges előzetes bejelentést tenni a Személyes Adatok Védelméért Felelős Bizottságnak.
A fent említett 2. pont részletesen szabályozva van a törvény 18. cikk (3) bekezdésében.
3. A személyes adatok kezelésével foglalkozó vállalkozásoknak, amennyiben a 28. cikk (3) bekezdésében meghatározott kérelem érkezik, haladéktalanul tájékoztatást kell adniuk az érintett személynek az alább felsorolt tételekről. Azonban, ha a tájékoztatás jelentős akadályt jelentene a személyes adatok kezelésével foglalkozó vállalkozás megfelelő működésére, jogosultak a tájékoztatás teljes vagy részleges megtagadására.
Egy. Az érintett harmadik fél által a 28. cikk (1) bekezdésében meghatározott rendszer kialakításának módja
Kettő. Az érintett harmadik fél által végrehajtott megfelelő intézkedések összefoglalása
Három. Az első bekezdés első pontjában meghatározott ellenőrzés gyakorisága és módszere
Négy. Az érintett külföldi ország neve
Öt. Az érintett harmadik fél által végrehajtott megfelelő intézkedések végrehajtását befolyásolható külföldi rendszer meglétének és annak összefoglalása
Hat. Az érintett harmadik fél által végrehajtott megfelelő intézkedések végrehajtásával kapcsolatos akadályok meglétének és annak összefoglalása
Hét. Az előző pontban említett akadályokkal kapcsolatosan a személyes adatok kezelésével foglalkozó vállalkozás által a második pontban meghatározott intézkedések összefoglalása
Idézet: A Személyes Adatok Védelméről szóló Törvény Végrehajtási Szabályzatának 18. cikke (3) bekezdése
Amennyiben a megfelelőségi rendszer alapján történik adatátvitel külföldre, szükséges lehet, hogy utólagosan (kérésre) tájékoztatást nyújtsanak az érintett személynek.
A birtokolt személyes adatok nyilvánosságra hozatalára és hasonló kérelmek kezelésére vonatkozó eljárások Japánban
A felhasználók kérelmezhetik a személyes adatok kezelésével foglalkozó vállalkozásoktól, hogy tegyék közzé azon személyes adatokat, amelyek alapján azonosíthatóak, amit a japán személyes adatok védelméről szóló törvény (Personal Information Protection Act) 33. cikke rögzít.
A személyes adatok kezelésével foglalkozó vállalkozásoknak kötelezővé tették, hogy a birtokolt személyes adatokra vonatkozó nyilvánosságra hozatali és hasonló kérelmekre adandó válaszok eljárását és a kérelemmel járó díjak összegét a kérelmező számára hozzáférhető állapotban tartsák (a törvény 32. cikk (1) bekezdése szerint), beleértve a kérelmező azonnali kérésére adott válaszokat is.
Vagyis a vállalkozások meghatározhatják a nyilvánosságra hozatali kérelem benyújtásának helyét, a kérelemhez szükséges formanyomtatványokat, a kérelmező személyazonosságának ellenőrzési módszerét, valamint a díjak összegét és beszedési módját. A kérelmezőknek ezeknek megfelelően kell benyújtaniuk a nyilvánosságra hozatali kérelmüket.
Például a vállalkozások a magánélet védelmére vonatkozó irányelveikben megadhatják telefonszámukat, e-mail címüket vagy postacímüket, így csak telefonon, e-mailben vagy postai úton történő nyilvánosságra hozatali és hasonló kérelmeket fogadhatnak el.
A felhasználók a nyilvánosságra hozatali kérelem mellett kérhetik az adatok helyesbítését, kiegészítését vagy törlését (helyesbítés stb.) (a törvény 34. cikke), valamint az adatok felhasználásának felfüggesztését vagy törlését (felhasználás felfüggesztése stb.) (a törvény 35. cikke) is.
Összefoglalás: Szakértői konzultáció szükséges a személyes adatok kezeléséhez
Ebben a cikkben áttekintettük a személyes adatok védelméről szóló japán törvény alapvető ismereteit, amelyeket tudni érdemes. A cikkben említetteken túl minden vállalatnak sajátos adatkezelési helyzete van, ezért szükséges a kapcsolódó jogszabályok és irányelvek előírásainak áttekintése és a megfelelő intézkedések megfontolása.
A személyes adatok védelméről szóló japán törvény (Japanese Personal Information Protection Act) olyan jogszabály, amely a személyes adatokat kezelő vállalkozásoktól megköveteli, hogy megfelelően kezeljék a személyes adatokat és szükséges, illetve megfelelő intézkedéseket hozzanak a biztonságos kezelés érdekében. Ez a törvény szinte minden vállalat számára elkerülhetetlen és fontos jogszabály.
Ha bizonytalanságot érez a személyes adatok kezelésével vagy a vállalatának megfelelő intézkedéseivel kapcsolatban, javasoljuk, hogy forduljon ügyvédhez tanácsért.
Kapcsolódó cikk: 令和6年(2024年)改正個人情報保護法のポイントとは?知っておくべき変更点や対応策を解説[ja]
A Monolith Ügyvédi Iroda által kínált megoldások bemutatása
A Monolith Ügyvédi Iroda egy olyan jogi szolgáltatást nyújtó iroda, amely az IT területén, különösen az internet és a jogi szakértelem terén rendelkezik kiemelkedő szaktudással. Napjainkban az egyének adatainak és a magánélet védelmének kérdése kiemelt társadalmi figyelmet kap. Például, ha egy vállalat által kezelt személyes adatok kiszivárognak, az végzetes következményekkel járhat a vállalati tevékenységre nézve. Irodánk rendelkezik a személyes adatok védelmével kapcsolatos szakértői ismeretekkel, és különösen jártas a japán adatvédelmi törvények (Personal Information Protection Law) alkalmazásában. Az alábbi cikkben részletezzük szolgáltatásainkat.
A Monolith Ügyvédi Iroda szolgáltatási területei: Japán adatvédelmi joghoz kapcsolódó jogi szolgáltatások[ja]
Related Articles
Micsoda a webes adatgyűjtés (scraping)? A figyelmet felkeltő, hasznos adatgyűjtési módszer jogi .
General Corporate
【Reiwa 6. (2024) októberi hatálybalépés】Mit jelentenek a kötelezettségvállalási eljárások és a k.
General Corporate
Lehetséges-e a munkaajánlat visszavonása a koronavírus okozta gyenge teljesítmény és üzleti zsug.
General Corporate
Mire kell figyelni a „Japán Személyes Adatvédelmi Törvény” alapján készült adatvédelmi irányelve.
General Corporate
A „Megsérti-e a biztonsági kamerák a személyes adatok védelmét? - Útmutató és bírói döntések ele.
General Corporate
