Az 2022-es (Reiwa 4) évben módosított 'Japán Személyes Adatvédelmi Törvény' és az 'üzleti szereplők felelőssége' - fontos tudnivalók
2022 áprilisától hatályba lépett a módosított Japán Személyes Adatvédelmi Törvény (2022). A Személyes Adatvédelmi Törvény célja, hogy a személyes adatok hasznosságát figyelembe véve megvédje az egyének jogait és érdekeit, és biztosítsa a személyes adatok megfelelő kezelését. De milyen változásokat hozott a módosított Személyes Adatvédelmi Törvény hatálybalépése? Ebben a cikkben bemutatjuk az egyének jogainak és a vállalkozások kötelezettségeinek változásait.
A személyes adatok védelméről szóló törvény módosítása és előzményei
A személyes adatok védelméről szóló törvény, amely 2003-ban lépett hatályba és 2005-ben került teljes körűen végrehajtásra, 2015-ben, a hatálybalépést követő 10 év elteltével módosult. A módosítás oka az volt, hogy “az információs és kommunikációs technológia fejlődése lehetővé tette a személyes adatok olyan módon történő felhasználását, amelyet a törvény elfogadásakor nem lehetett előre látni”. A módosított törvény 2017-ben lépett teljes körűen hatályba.
Ez a 2017-es módosítás tartalmazza a “háromévente történő felülvizsgálati rendelkezést”, amely szerint “figyelembe véve a nemzetközi trendeket, az információs technológia fejlődését, az új iparágak létrehozását és fejlődését, a törvény hatálybalépését követően minden három évben felülvizsgálatot kell végezni a valós helyzethez igazodó tartalommal”.
A 2017-es személyes adatok védelméről szóló törvény módosításának melléklete (részlet)
(Megfontolás) 12. cikk
(Részlet)
2 A kormány, e törvény hatálybalépését követően három évvel, figyelembe véve a személyes adatok védelmével kapcsolatos alapvető irányelvek kidolgozását és előmozdítását, valamint a személyes adatok védelmével foglalkozó bizottság feladatait, azok hatékony végrehajtásához szükséges személyi feltételek biztosítását, a források biztosítását és egyéb intézkedéseket, megvizsgálja a javításokat, és ha szükségesnek ítéli, a vizsgálat eredményei alapján megteszi a szükséges intézkedéseket.
3 A kormány, a fent említett kérdéseken túl, e törvény hatálybalépését követően három évvel, figyelembe véve a személyes adatok védelmével kapcsolatos nemzetközi trendeket, az információs és kommunikációs technológia fejlődését, az azzal járó új iparágak létrehozását és fejlődését, megvizsgálja az új személyes adatvédelmi törvény végrehajtásának helyzetét, és ha szükségesnek ítéli, a vizsgálat eredményei alapján megteszi a szükséges intézkedéseket.
4, 5 (Részlet)
6 A kormány, figyelembe véve az új személyes adatvédelmi törvény végrehajtásának helyzetét, az első bekezdésben említett intézkedések végrehajtásának helyzetét és egyéb körülményeket, megvizsgálja a személyes adatok védelmével kapcsolatos jogszabályok helyzetét, beleértve a személyes adatok és az állami szervek által birtokolt személyes adatok védelmére vonatkozó rendelkezések összegyűjtését és egységes szabályozását.
A Reiwa 4 (2022) évi személyes adatok védelméről szóló törvény módosítása az első olyan törvénymódosítás, amely ezen “háromévente történő felülvizsgálati rendelkezés” alapján történt.
Kapcsolódó cikk: Mi a személyes adatok védelméről szóló törvény és a személyes adatok? Ügyvéd magyarázza[ja]
Az 2022-es (Reiwa 4. év) módosítások áttekintése a Japán Személyes Adatvédelmi Törvényben
A Japán Személyes Adatvédelmi Törvény 2022-es módosítása a következő hat pontot érinti:
- A személyek jogainak jellege
- A vállalkozások által betartandó kötelezettségek jellege
- A vállalkozások önkéntes intézkedéseinek ösztönzésére szolgáló mechanizmusok jellege
- Az adatok felhasználásának jellege
- A büntetések jellege
- A törvény határon túli alkalmazásának és adatok határokon átnyúló átadásának jellege
Ebben a cikkben az 1. és 2. módosítási pontot ismertetjük.
Kapcsolódó cikk: A Reiwa 4. év (2022) módosításai a Japán Személyes Adatvédelmi Törvényben ‘Büntetések'[ja]
Az egyéni jogok jellege
Az egyéni jogok jellegét illetően az alábbi 5 pontot módosították.
Az egyéni kérelmek jogának kiterjesztése a használat leállítására és törlésére (30. cikk)
A jelenlegi törvény szerint az egyéni kérelmek jogát a használat leállítására és törlésére korlátozták olyan jogellenes esetekre, mint amikor “a személyes adatokat nem a céljuknak megfelelően használták” vagy “törvénytelen eszközökkel szerezték meg”. Azonban a módosított törvény szerint, ha “a személyes adatokat kezelő vállalkozásnak már nincs szüksége a meglévő személyes adatokra”, “adatszivárgás történt” vagy “az érintett jogait vagy jogos érdekeit veszélyezteti”, akkor is kérelmezhető a használat leállítása, a törlés és a harmadik félnek történő szolgáltatás leállítása.
A meglévő személyes adatok közzététele (28. cikk)
Ha Ön az érintett, akkor kérelmezheti a személyes adatokat kezelő vállalkozástól a meglévő személyes adatok közzétételét. A kérelemre a személyes adatokat kezelő vállalkozásnak alapvetően közzé kell tennie a meglévő személyes adatokat. A jelenlegi törvény szerint a meglévő személyes adatok közzététele alapvetően írásban történik. Azonban, ha az információ mennyisége hatalmas, akkor az írásos átadás nem megfelelő, és továbbá vannak olyan személyes adatok, mint a videó- vagy hangadatok, amelyek nem alkalmasak írásos átadásra. Ezért a módosított törvény szerint az érintett kérelmezheti az “érintett által meghatározott módon történő közzétételt”, például az elektromágneses feljegyzések átadását. A személyes adatokat kezelő vállalkozásnak kötelessége a kért módon történő közzététel.
A személyes adatokat kezelő vállalatoknak gyorsan fel kell építeniük a digitális adatok közzétételére vonatkozó kérelmek kezelésének rendszerét.
A harmadik félnek történő szolgáltatásról szóló feljegyzések közzététele az érintett által (28. cikk 5. bekezdés)
A személyes adatokat kezelő vállalkozásnak törvényi előírás szerint feljegyzést kell készítenie, amikor személyes adatokat szolgáltat harmadik félnek, és a harmadik félnek is törvényi előírás szerint feljegyzést kell készítenie. Ezt a személyes adatok harmadik félnek történő szolgáltatásával kapcsolatos feljegyzést és a személyes adatok harmadik félnek történő szolgáltatásának ellenőrzésével kapcsolatos feljegyzést együttesen “harmadik félnek történő szolgáltatásról szóló feljegyzésnek” nevezik.
A jelenlegi törvény szerint az érintett nem kérelmezheti a vállalkozás által készített harmadik félnek történő szolgáltatásról szóló feljegyzés közzétételét, de a módosított törvény szerint az érintett kérelmezheti a harmadik félnek történő szolgáltatásról szóló feljegyzés közzétételét, figyelembe véve az érintett nyomon követési képességét.
A rövid tárolási idővel rendelkező adatokat is belefoglalják a meglévő személyes adatokba (2. cikk 7. bekezdés)
A jelenlegi törvény szerint a meglévő személyes adatokat úgy definiálják, mint “azokat a személyes adatokat, amelyekkel a személyes adatokat kezelő vállalkozás rendelkezik a közzététel, a tartalom javítása, hozzáadása vagy törlése, a használat leállítása, a törlés és a harmadik félnek történő szolgáltatás leállítása jogával”, “amelyeket a kormányrendeletben meghatározottak szerint a létezésük nyilvánosságra hozatala által a közérdek vagy más érdek károsodna” vagy “amelyeket a kormányrendeletben meghatározott időszakon belül, egy éven belül meg kell semmisíteni”, kivéve a “kormányrendeletben meghatározott időszakon belül, egy éven belül”, amely 6 hónapra van meghatározva.
Azért, mert rövid idő alatt törlődnek, mégis lehetséges, hogy a törlésig adatszivárgás vagy más incidens történik, ezért a módosított törvény szerint a 6 hónapon belül törlendő rövid tárolási idővel rendelkező adatokat is belefoglalják a “meglévő személyes adatokba”.
Az opt-out rendelkezések hatályának korlátozása (23. cikk 2. bekezdés)
Az opt-out rendelkezés olyan rendszer, amelyben “a személyes adatok szolgáltatását a személyes adatok közzététele stb. alapján, az érintett kérésére utólag leállítják, és a személyes adatokat az érintett hozzájárulása nélkül harmadik félnek szolgáltathatják”, de a jelenlegi törvényben csak a különös figyelmet igénylő személyes adatok voltak kizárva.
A módosított törvényben korlátozták a harmadik félnek szolgáltatható személyes adatok körét, és a “törvénytelenül megszerzett személyes adatok” és az “opt-out rendelkezés alapján szolgáltatott személyes adatok” is kizárták.
A vállalkozások által betartandó kötelezettségek jellege
A vállalkozások által betartandó kötelezettségek jellegét a következő két pontban módosították.
Szivárgásokról szóló jelentési kötelezettség (22. cikk, 2. bekezdés)
A jelenlegi törvény szerint a szivárgásokról szóló jelentés nem jogszabályi kötelezettség, ezért vannak olyan vállalkozások, amelyek nem foglalkoznak aktívan ezzel a kérdéssel, és ha a vállalkozások nem hozzák nyilvánosságra, akkor előfordulhat, hogy a Személyes Adatvédelmi Bizottság (japán: 個人情報保護委員会) nem tudja megismerni az esetet, és nem tudja megfelelően kezelni. A módosított törvény szerint, ha szivárgás történik, és nagy a veszélye annak, hogy ez károsítja az egyének jogait és érdekeit, akkor kötelező jelentést tenni a Személyes Adatvédelmi Bizottságnak és értesíteni az érintett személyt.
A szivárgásokról szóló jelentési kötelezettség alá tartozó esetek között szerepelnek a “különös figyelmet igénylő személyes adatok szivárgása”, a “jogtalan hozzáférésből eredő szivárgások”, a “vagyoni károkra utaló szivárgások”, valamint a “1000 esetet meghaladó nagy volumenű szivárgások”, függetlenül az esetek számától.
Az adatok helytelen módon történő felhasználásának tilalma (16. cikk, 2. bekezdés)
A gyorsan fejlődő adatelemzési technológiák hátterében egyre több olyan személyes adatok felhasználásának formája figyelhető meg, amelyek potenciálisan sértik az egyének jogait és érdekeit, ami növeli a fogyasztók aggodalmait. Ezt figyelembe véve a módosított törvény kimondja, hogy az adatokat nem szabad helytelen módon, például törvénytelen vagy tisztességtelen cselekmények elősegítése céljából felhasználni.
A “törvénytelen vagy tisztességtelen cselekmények elősegítése és hasonló helytelen módszerek” alatt olyan súlyosan rosszindulatú eseteket értenek, mint például a “személyes adatok harmadik félnek történő átadása, aki törvénytelen tevékenységet folytat”, vagy a “bíróság által közzétett és szétszórtan nyilvánosságra hozott személyes adatok összegyűjtése és adatbázisba rendezése, annak ellenére, hogy előre látható, hogy ez diszkriminációt válthat ki, majd ezeknek a nyilvánosságra hozatala az interneten”.
Összefoglaló
Ebben a cikkben az 1. és 2. módosítási pontokat tárgyaltuk. A 3., 4., 5. és 6. módosítási pontokat egy másik cikkben fogjuk megvitatni.
Kapcsolódó cikk: A Reiwa 4. év (2022) módosított ‘Japán Személyes Adatvédelmi Törvény’ büntetéseiről[ja]
Intézkedéseink bemutatása irodánk részéről
A Monolis Jogi Iroda egy olyan jogi iroda, amely magas szakmai szinten rendelkezik az IT, különösen az internet és a jog területén. A nemrégiben módosított személyes adatvédelmi törvény (japán: 個人情報法) nagy figyelmet kap, és egyre növekszik a jogi ellenőrzés szükségessége. Irodánkban szolgáltatásokat nyújtunk az szellemi tulajdonjog területén. A részleteket az alábbi cikkben ismertetjük.
Related Articles
Az „Módosított Japán Közérdekű Jelentéstételi Védelmi Törvény” főbb pontjainak ismertetése - Mil.
General Corporate
Az orvosi hirdetések útmutatója: Mi az? Magyarázat a szabályozott hamis és túlzó orvosi hirdetés.
General Corporate
Hat fontos szempont, amire figyelni kell a helyes 'üzleti együttműködés' megkötésekor, hogy ne s.
General Corporate
Mi az a nemzetközi választottbíráskodás? Ismertetjük azokat a dolgokat, amelyeket tudni érdemes,.
General Corporate
Hogyan alapítsunk társaságot (céget) külföldön? A típusok és fontos szempontok ismertetése
General Corporate
Milyen a helyzet az 'Orvosi Eszközök Törvényének' (Japanese Pharmaceutical and Medical Device Ac.
General Corporate
A jogszabályok a stéma és egyéb hirdetési és promóciós tevékenységekre vonatkozóan az élelmiszer.
General Corporate
