Az 2022-es (Reiwa 4) módosított 'Japán Személyes Adatvédelmi Törvény' 'büntetések' magyarázata

2022 áprilisától hatályba lépett a módosított Japán Személyes Adatvédelmi Törvény. A 2022-es módosított Japán Személyes Adatvédelmi Törvény “Az üzleti szereplők felelőssége” című részének magyarázatát követően, most adataink felhasználásának módjáról és a büntetésekről fogunk tájékoztatást adni.

A 2022-es (Reiwa 4. év) személyes adatok védelméről szóló törvény módosításának áttekintése

A személyes adatok védelméről szóló törvény 2022-es módosítása a következő hat pontban foglalható össze:

1. Az egyéni jogok jellege
2. A vállalkozások által betartandó kötelezettségek jellege
3. A vállalkozások önkéntes intézkedéseinek ösztönzésére szolgáló mechanizmusok jellege
4. Az adatok felhasználásának jellege
5. A büntetések jellege
6. A törvény határon túli alkalmazásának és adatok határokon átnyúló átadásának jellege

A “2022-es személyes adatok védelméről szóló törvény módosítása – A vállalkozások kötelezettségei[ja]” című cikkben a módosítások (1) és (2) pontját tárgyaltuk. Ebben a cikkben a (3), (4), (5) és (6) pontokat fogjuk megvizsgálni.

Kapcsolódó cikk: Mi a személyes adatok védelméről szóló törvény és a személyes adatok? Ügyvéd magyarázza[ja]

A vállalkozások önkéntes kezdeményezéseit ösztönző rendszerek jellege

A vállalkozások önkéntes kezdeményezéseit ösztönző rendszerek jellegét tekintve, a munka gyakorlatának sokfélesége és az IT technológia fejlődése miatt növekszik a magán szervezetek fontossága, amelyek saját szabályokat hoznak létre bizonyos területeken a személyes adatok kezelésével kapcsolatban, és aktívan irányítást és egyéb tevékenységeket végeznek a célcsoport vállalkozások számára.

A személyes adatok védelméről szóló törvényben (Japanese Personal Information Protection Law), a Személyes Adatvédelmi Bizottságon (Japanese Personal Information Protection Commission) kívül, a magán szervezeteket is felhasználják az információvédelem érdekében, és létrehozták az akkreditált szervezetek rendszerét. Az olyan szervezetek, amelyek panaszokat kezelnek a személyes adatok kezelésével kapcsolatban, és információkat szolgáltatnak a vállalkozásoknak a személyes adatok megfelelő kezeléséről, akkreditációt kaphatnak a Személyes Adatvédelmi Bizottságtól, és “akkreditált személyes adatvédelmi szervezetté” válhatnak. A módosított törvényben (47. cikk 2. bekezdés) az akkreditált szervezetek rendszerét úgy módosították, hogy a vállalatok bizonyos területeit (részlegeit) célzó szervezeteket is akkreditált szervezetként lehet elismerni. Ez a kezdeményezés arra irányul, hogy elősegítse az akkreditált szervezetek további felhasználását, és előmozdítsa a személyes adatok védelmét a specifikus üzleti tevékenységeket célzó szervezetek szakértelmének felhasználásával.

Az adatok felhasználásának módja

Az adatok felhasználásának módjában a következő két pont módosult:

A „név nélküli feldolgozott információ” létrehozása és a kötelezettségek enyhítése (2. cikk, 9. bekezdés)

A jelenlegi törvény szerint az egyszerűen név nélkülített információ továbbra is „személyes adat”, és a vállalkozásoknak továbbra is számos kötelezettséget kell teljesíteniük a személyes adatok kezelésével kapcsolatban. Azonban a „név nélküli személyes adatok” esetében, bizonyos biztonsági szint fenntartása mellett, az adatok hasznosságát a feldolgozás előtti személyes adatokhoz hasonló szinten kell tartani, ami lehetővé teszi a részletesebb elemzést viszonylag egyszerű feldolgozási módszerekkel, és növekszik az igény a felhasználásukra.

Ezt figyelembe véve, a módosított törvény létrehozza a „név nélküli feldolgozott információt” a nevek stb. eltávolításával, és enyhíti a kötelezettségeket, mint például a közzététel és a felhasználás megszüntetésére irányuló kérelmek kezelése, feltéve, hogy korlátozott a belső elemzésre.

A létrehozott név nélküli feldolgozott információ olyan információt jelent, amelyet személyes adatok feldolgozásával nyertünk, és amelyet nem lehet azonosítani egy adott személlyel, hacsak nem hasonlítjuk össze más információkkal. Például, a „név, életkor, dátum, idő, összeg, üzlet” információkat „ideiglenes ID, életkor, dátum, idő, összeg, üzlet” információkká alakítjuk át. A felhasználás várható példái között szerepel a „belső elemzés új célokra, amelyek nem felelnek meg az eredeti felhasználási célkitűzésnek, vagy amelyeknek megfelelőek-e, nehéz megítélni” (kutatás az egészségügyi és gyógyszeripari szektorban, csalások észlelése, bevétel előrejelzés stb. a gépi tanulás modellek tanulása), „a személyes adatok felhasználásának céljának elérése után, a jövőbeni statisztikai elemzésre való felhasználás lehetősége miatt, a személyes adatokat név nélküli feldolgozott információkká alakítjuk át és tároljuk”.

A név nélküli feldolgozott információk létrehozásának módjával kapcsolatban a minimális szabályok a következők:

• Az összes vagy egy részének eltávolítása, amely lehetővé teszi egy adott személy azonosítását (például: név)
• A személyes azonosító kódok összes eltávolítása
• Azoknak a leírásoknak az eltávolítása, amelyek esetén a jogosulatlan felhasználás anyagi kárt okozhat (például: hitelkártyaszám)

Ezeket az intézkedéseket követelik meg.

Kötelezettség a személyes adatokká váló információk ellenőrzésére a szolgáltatónál (26. cikk, második bekezdés)

A jelenlegi törvény szerint, ha az információ nem személyes adat a szolgáltatónál, akkor nem tartozik szabályozás alá, még akkor sem, ha a szolgáltatónál személyes adatnak tekinthető. A módosított törvény azonban kötelezővé teszi a személyes adatokká váló információk ellenőrzését a szolgáltatónál, még akkor is, ha azok nem személyes adatok a szolgáltatónál, és a harmadik félnek történő átadásuk előtt biztosítani kell, hogy a személy hozzájárulását megkapták.

A felhasználói adatok nagy mennyiségű gyűjtése és azok azonnali összekapcsolása személyes adatokká történő alakításával a technológia fejlődése és elterjedése miatt a személyes adatokká váló információkat előre látva, mint nem személyes információkat, harmadik félnek adhatják át, ami ellentétes a személyes adatvédelmi törvény szellemével, és ez a gyakorlat egyre elterjedtebb. Ez azért aggasztó, mert a személy bevonása nélküli személyes adatgyűjtési módszerek terjedhetnek.

A büntetésekkel kapcsolatban

A büntetésekkel kapcsolatban a következő két pontot módosították:

A bizottság által kiadott utasítások megsértése és a bizottság felé tett hamis jelentések büntetési tételeinek emelése (83. cikk, 87. cikk stb.)

A törvénysértések száma növekszik, és egyre több esetben szükséges a jelentések begyűjtése és a helyszíni ellenőrzések lefolytatása. Ezek a tevékenységek segítenek megérteni a vállalkozások valós helyzetét, ezért a módosított törvényben szükségesnek tartották a hatékonyságuk növelését, és emiatt emelték meg a törvényi büntetéseket.

Az “Adatvédelmi Bizottság utasításainak megsértése” a jelenlegi törvény szerint legfeljebb hat hónapig terjedő szabadságvesztéssel vagy legfeljebb 300 ezer yen bírsággal büntethető, de a módosított törvény szerint ez legfeljebb egy évig terjedő szabadságvesztéssel vagy legfeljebb 1 millió yen bírsággal büntethető. Az “Adatbázisok jogtalan használata stb.” büntetése változatlanul legfeljebb egy évig terjedő szabadságvesztés vagy legfeljebb 500 ezer yen bírság, de a “Hamis jelentések az Adatvédelmi Bizottság felé” esetében a jelenlegi törvény szerinti legfeljebb 300 ezer yen bírság helyett a módosított törvény szerint legfeljebb 500 ezer yen bírság szabható ki.

A jogi személyekre kiszabható bírságok emelése (84. cikk, 85. cikk stb.)

A jelenlegi törvény szerint a jogi személyekre kiszabható bírságok összege megegyezik a cselekmény elkövetőjére kiszabható bírság összegével. Azonban a módosított törvény figyelembe veszi a jogi személyek és a magánszemélyek közötti anyagi különbségeket, és emiatt a jogi személyekre kiszabható bírságok összegét megemelte (súlyosabb büntetés a jogi személyek számára). A döntés indoka az volt, hogy ha a jogi személyekre ugyanolyan összegű bírságot szabnak ki, mint az elkövetőkre, akkor a büntetés nem lesz elég elrettentő.

A “Japán Adatvédelmi Bizottság utasításainak megsértése” a jelenlegi törvény szerint a cselekmény elkövetőjével megegyező, legfeljebb 300 ezer yen bírsággal büntethető, de a módosított törvény szerint ez legfeljebb 1 milliárd yen bírsággal büntethető. Az “Adatbázisok jogtalan használata stb.” a jelenlegi törvény szerint a cselekmény elkövetőjével megegyező, legfeljebb 500 ezer yen bírsággal büntethető, de a módosított törvény szerint ez legfeljebb 1 milliárd yen bírsággal büntethető. Azonban a “Hamis jelentések a Japán Adatvédelmi Bizottság felé” esetében a jelenlegi törvény szerinti legfeljebb 300 ezer yen bírság a módosított törvény szerint is változatlan, tehát továbbra is a cselekmény elkövetőjével megegyező, legfeljebb 500 ezer yen bírság szabható ki.

A jog határokon átnyúló alkalmazása és átadása

A jog határokon átnyúló alkalmazásával és átadásával kapcsolatban a következő két pontot módosították:

A határokon átnyúló alkalmazás megerősítése (75. cikk)

A jelenlegi törvény szerint a határokon átnyúló alkalmazásra vonatkozóan a külföldi vállalkozásokkal szemben gyakorolható jogosítványok korlátozódnak a tanácsadásra és ajánlásra, amelyek nem járnak kényszerítő erővel. Azonban a külföldi adatszivárgások eseteiben fennáll a veszély, hogy a Bizottság nem tud megfelelően reagálni, ezért a módosított törvény szerint a Japánban található személyekkel kapcsolatos személyes adatokat kezelő külföldi vállalkozásokat büntetőjogi szankciókkal biztosított jelentéstételi és parancsok alá vonják, és megerősítik a Személyes Adatvédelmi Bizottság jogosítványainak gyakorlását.

A személyes adatok kezelésével kapcsolatos tájékoztatás javítása az átvevő vállalkozásnál (78. cikk)

Egyes országokban megfigyelhető a nemzeti szabályozás, és a személyes adatok határokon átnyúló átadásának lehetőségei növekednek. Az országok és régiók rendszereinek különbségei azonban instabillá teszik a személyek és az adatokat kezelő vállalkozások előreláthatóságát, és aggodalmakat vetnek fel a személyek jogainak és érdekeinek védelme szempontjából.

Ezzel szemben, amikor személyes adatokat adnak át külföldi harmadik félnek, javítani kell a személyes adatok kezelésével kapcsolatos tájékoztatást az átvevő vállalkozásnál, és a külföldi harmadik félnek történő személyes adatok átadásának feltételeit a jelenlegi törvényben “az érintett hozzájárulása” volt a feltétel, amelyhez hozzáadódik a “hozzájárulás megszerzésekor, tájékoztatni kell az érintettet az átadás célországának nevéről, az adatvédelmi rendszer meglétéről vagy hiányáról az átadás célországában” kötelezettség, és a “szabványoknak megfelelő rendszert kialakított vállalkozás” volt a feltétel, amelyhez hozzáadódik a “rendszeres ellenőrzés az átvevő vállalkozás kezelési helyzetéről + az érintett kérésére kapcsolódó információk szolgáltatása” kötelezettség.

Összefoglalás

A ‘háromévente történő felülvizsgálati rendelkezés’ alapján végrehajtott első törvénymódosítás, a 2022-es (2022) ‘Japán Személyes Adatvédelmi Törvény’ módosítás, a használati korlátozások és törlések kiterjesztése, a helytelen használat tilalma, a határokon átnyúló átadásokkal kapcsolatos információszolgáltatás javítása, az ‘anonimizált információ’ létrehozása stb. megtörtént. Ez lehetővé teszi az egyéni jogok és érdekek védelmének és használatának erősítését, az új kockázatok kezelését a határokon átnyúló adatforgalom növekedésével, valamint az AI és a nagy adatmennyiségek korának megfelelő reagálást.

Intézkedéseink bemutatása irodánk részéről

A Monolis Jogi Iroda egy olyan jogi iroda, amely magas szakmai szinten rendelkezik az IT, különösen az internet és a jog területén. A nemrégiben módosított személyes adatvédelmi törvény (japán: 個人情報法) nagy figyelmet kap, és egyre növekszik a jogi ellenőrzés szükségessége. Irodánkban szolgáltatásokat nyújtunk az szellemi tulajdonjog területén. A részleteket az alábbi cikkben ismertetjük.

https://monolith.law/practices/corporate[ja]