Cégek által alkalmazandó adminisztratív válaszlépések személyes adatok szivárgása esetén: Egy magyarázat
Az internet fejlődésével és az online információcserének lehetőségével egyre több esetben fordul elő, hogy a vállalatok fontos információi váratlan módon szivárognak ki.
Az információ értékének növekedése miatt az utóbbi években egyetlen információszivárgás is komoly hitelességi problémákat okozhat. A vállalatok számára fontos, hogy az információszivárgás esetén gyorsan és megfelelően reagáljanak.
Ebben a cikkben részletesen bemutatjuk, hogy milyen intézkedéseket kell tenniük a vállalatoknak, ha információszivárgás történik, különös tekintettel az adminisztratív válaszlépésekre.
Szükség lehet adminisztratív intézkedésekre is információszivárgás esetén
Az információszivárgások nem egyformák, az információ tartalma és fontossága eltérő lehet. Adminisztratív intézkedések lehetnek szükségesek, ha személyes adatok szivárognak ki.
A személyes adatok definícióját a következő Japán Személyes Adatok Védelméről szóló törvény (a továbbiakban “Személyes Adatok Védelméről szóló törvény”) 2. cikkének 1. bekezdése határozza meg.
(Definíció)
e-GOV|Személyes Adatok Védelméről szóló törvény[ja]
2. cikk E törvény szerint a “személyes adatok” olyan információkat jelentenek, amelyek élő személyekre vonatkoznak, és amelyek az alábbiak bármelyikébe tartoznak:
1. Az információban szereplő név, születési dátum és egyéb leírások (dokumentumok, rajzok vagy elektromágneses feljegyzések (elektromágneses módszerekkel (elektronikus, mágneses vagy más, az emberi érzékelés által nem érzékelhető módszerek) készült feljegyzéseket jelent. A továbbiakban ugyanez érvényes.) amelyekben szerepelnek, vagy amelyek rögzítésre kerültek, vagy hang, mozgás vagy más módszerekkel kifejezésre kerültek (kivéve a személyes azonosító kódokat). A továbbiakban ugyanez érvényes.) amelyekkel azonosítható egy adott személy (beleértve azokat is, amelyek könnyen összehasonlíthatók más információkkal, és amelyekkel azonosítható egy adott személy.)
2. Személyes azonosító kódokat tartalmazó információk
A fenti definíció szerinti információkat személyes adatokként kezelik, és védelmet élveznek a Személyes Adatok Védelméről szóló törvény alapján.
Kapcsolódó cikk: Mi a Személyes Adatok Védelméről szóló törvény és a személyes adatok? Ügyvéd magyarázza[ja]
Ezenkívül, információszivárgás esetén a vállalatoknak szükségük lehet adminisztratív intézkedéseken kívül információközlésre is. Erről a következő cikkben olvashat bővebben.
Kapcsolódó cikk: Mit kell közölnie a vállalatoknak információszivárgás esetén?[ja]
Személyes adatok szivárgásával kapcsolatos bejelentési kötelezettség
A személyes adatokat kezelő vállalkozásoknak, ha személyes adatok szivárgása vagy annak veszélye merül fel, kötelesek bejelentést tenni a Japán Személyes Adatvédelmi Bizottságnál (Japanese Personal Information Protection Commission) a felmerült helyzet alapján.
Megjegyzendő, hogy a 2022. április 1. (Reiwa 4. év) előtti időszakban a szivárgás vagy annak veszélye esetén a Személyes Adatvédelmi Bizottságnak történő bejelentés nem volt kötelező, hanem törekvés kérdése volt. A személyes adatvédelmi törvény (Japanese Personal Information Protection Law) módosítása miatt 2022. április 1. (Reiwa 4. év) után a Személyes Adatvédelmi Bizottságnak történő bejelentés kötelezővé vált.
Az itt említett “személyes adatokat kezelő vállalkozások” olyan személyeket jelentenek, akik személyes adatbázisokat használnak üzleti célra (Japanese Personal Information Protection Law, 16. cikk, 2. bekezdés). Azonban a nemzeti intézmények, helyi önkormányzatok, független közigazgatási szervek stb. nem tartoznak a személyes adatokat kezelő vállalkozások közé.
A “személyes adatbázisok” olyan információgyűjteményeket jelentenek, amelyek személyes adatokat tartalmaznak, és amelyek kivételt képeznek a rendeletben meghatározott, a személy jogait és érdekeit kevésbé veszélyeztető használati módszerek alól, és amelyek a következő két feltétel közül legalább az egyiket teljesítik (Japanese Personal Information Protection Law, 16. cikk, 1. bekezdés):
- Olyan rendszert hoztak létre, amely lehetővé teszi a specifikus személyes adatok számítógépes keresését
- Olyan rendszert hoztak létre, amely lehetővé teszi a specifikus személyes adatok könnyű keresését
A személyes adatbázisokat üzleti célra használó személyes adatokat kezelő vállalkozásoknak kötelesek bejelentést tenni a Személyes Adatvédelmi Bizottságnál.
Kapcsolódó cikk: A 2022-es módosított személyes adatvédelmi törvény – Megjegyzések a “vállalkozások felelősségével” kapcsolatban[ja]
A személyes adatok védelméért felelős bizottsághoz bejelentendő négy eset
A személyes adatok védelméért felelős bizottsághoz akkor kell bejelentést tenni, ha a személyes adatok kiszivárogtak. Az alábbi négy esetben van erre szükség (a személyes adatok védelméről szóló törvény végrehajtási rendelete 7. cikk).
- Amikor kiszivárogtak a különös figyelemmel kezelendő személyes adatok, vagy fennáll a veszélye, hogy ez bekövetkezik
- Amikor kiszivárogtak azok a személyes adatok, amelyek jogosulatlan felhasználása esetén anyagi kár keletkezhet, vagy fennáll a veszélye, hogy ez bekövetkezik
- Amikor kiszivárogtak azok a személyes adatok, amelyek jogosulatlan célból kerültek ki, vagy fennáll a veszélye, hogy ez bekövetkezik
- Amikor több mint 1000 személy adataihoz kapcsolódó adatszivárgás történt, vagy fennáll a veszélye, hogy ez bekövetkezik
Az alábbiakban ezeket az eseteket ismertetjük.
Különös figyelemmel kezelendő személyes adatok kiszivárgása
A “különös figyelemmel kezelendő személyes adatok” olyan személyes adatokat jelentenek, amelyeket különös figyelemmel kell kezelni annak érdekében, hogy a személyt ne érje indokolatlan diszkrimináció, előítélet vagy más hátrány. Ilyen adatok például a személy faji hovatartozása, vallási meggyőződése, társadalmi státusza, betegségtörténete, bűnügyi előélete, bűncselekmény áldozatává válása stb.
Például, ha egy munkavállaló egészségügyi vizsgálatának eredményei kiszivárognak, az a munkavállaló betegségtörténetére vonatkozó adatokat tartalmazhat, amelyek különös figyelemmel kezelendő személyes adatoknak minősülnek.
Személyes adatok kiszivárgása, amelyek jogosulatlan felhasználása esetén anyagi kár keletkezhet
Itt arról van szó, hogy a személyes adatok közül azok kiszivárogtak, amelyek jogosulatlan felhasználása esetén anyagi kár keletkezhet.
Konkrét példa erre, ha egy vállalat ügyfeleinek hitelkártya adatai kiszivárognak.
Jogosulatlan célból történő személyes adatok kiszivárgása
Ez az eset akkor áll fenn, ha a személyes adatokat kiszivárogtató félnek jogosulatlan célja volt.
Például, ha egy harmadik fél vagy egy vállalat alkalmazottja jogosulatlan célból hozzáfér a vállalat hálózatához, és személyes adatokat szivárogtat ki.
Nagy mennyiségű személyes adatok kiszivárgása
Ez az eset akkor áll fenn, ha több mint 1000 személy adataihoz kapcsolódó adatszivárgás történt.
A nagy mennyiségű személyes adatokat kezelő vállalatoknak különösen óvatosnak kell lenniük, mert fennáll a veszélye, hogy egyszerre nagy mennyiségű személyes adat szivárog ki.
Jelentési kötelezettség az Adatvédelmi Bizottsághoz információszivárgás esetén
Amennyiben olyan helyzet áll elő, amikor jelentést kell tenni az Adatvédelmi Bizottságnak, a személyes adatok védelméről szóló törvény végrehajtási rendeletének 8. cikk (1) bekezdésében meghatározott követelményeknek megfelelően kell jelentést tenni.
(Jelentés az Adatvédelmi Bizottságnak)
e-GOV|Személyes adatok védelméről szóló törvény[ja]
8. cikk Az adatkezelőnek, a 26. cikk (1) bekezdésében meghatározott jelentési kötelezettség esetén, a következő tényeket kell jelentenie a Bizottságnak a helyzet felismerése után, mielőbb, de csak azokat, amelyeket a jelentés időpontjában ismer (ugyanígy a következő cikkben is):
Ha a fent említett jelentési kötelezettség valamelyik négy esetében fennáll, a vállalkozásnak az alábbiakat kell jelentenie az Adatvédelmi Bizottságnak:
- A helyzet áttekintése
- Az érintett, vagy potenciálisan érintett személyes adatok
- Az érintett, vagy potenciálisan érintett személyek száma
- Az esemény okai
- A másodlagos károk vagy azok lehetőségének megléte és tartalma
- Az érintettekkel való kommunikáció állapota
- A nyilvánosságra hozatal állapota
- Az ismételt előfordulás megelőzésére tett intézkedések
- Egyéb, hivatkozási céllal szolgáló információk
Fontos megjegyezni, hogy csak azokat az információkat kell jelenteni, amelyek a jelentés időpontjában ismertek.
Jelentési határidő a Személyes Adatvédelmi Bizottságnak információszivárgás esetén
A Személyes Adatvédelmi Bizottságnak történő jelentésre vonatkozóan határidő van meghatározva (a Személyes Adatok Védelméről szóló Japán törvény végrehajtási rendelete, 8. cikk, 2. bekezdés).
A Személyes Adatvédelmi Bizottságnak történő jelentést alapvetően az információszivárgás vagy hasonló esemény tudomásra jutásától számított 30 napon belül kell benyújtani. Ha az adatszivárgást okozó félnek törvénytelen célja volt, akkor a jelentést 60 napon belül kell benyújtani.
Értesítési kötelezettség az érintett személy felé
Személyes adatok szivárgása esetén nem csak a Japán Adatvédelmi Bizottság felé jelentési kötelezettségünk van, hanem az érintett személy felé is értesítési kötelezettségünk van (Japán Adatvédelmi Törvény 26. cikk 2. bekezdés).
Az érintett személy felé történő értesítés célja, hogy az érintett személy minél hamarabb intézkedhessen a személyes adatok szivárgása ellen, ezzel megelőzve, hogy jogait és érdekeit sértő helyzet alakuljon ki. Ezért a személyes adatokat kezelő vállalkozásoknak haladéktalanul értesíteniük kell az érintett személyt.
Összefoglalás: Az adatszivárgások adminisztratív kezelése – forduljon ügyvédhez
A fentiekben bemutattuk, hogy milyen lépéseket kell tenniük a vállalatoknak, ha személyes adatok szivárognak ki, különös tekintettel az adminisztratív intézkedésekre.
A vállalatok számára természetesen fontos, hogy olyan rendszert hozzanak létre, amely megakadályozza az adatszivárgást, de ha mégis bekövetkezik ilyen esemény, megfelelően kell reagálniuk.
A személyes adatok védelméről szóló törvény (japán ‘Személyes Adatvédelmi Törvény’) gyakran módosul, és bizonyos részei bonyolultak, ezért javasoljuk, hogy szakértői tanácsot kérjenek egy ügyvédtől a megfelelő intézkedések megtételéhez.
Intézkedéseink bemutatása irodánk részéről
A Monolit Jogügyi Iroda egy olyan jogi szakértői csoport, amely rendelkezik az IT, különösen az internet és a jog mindkét területén magas szintű szakértelemmel. Manapság a személyes adatok szivárgása nagy problémát jelent. Ha a személyes adatok bármilyen módon kiszivárognak, az végzetes hatással lehet a vállalati tevékenységekre. Cégünk rendelkezik szakértői ismeretekkel az információszivárgás megelőzésével és kezelésével kapcsolatban. A részleteket az alábbi cikkben ismertetjük.
Related Articles
Az ügynökségi szerződések helyes megfogalmazása és típusai - egy ügyvéd magyarázata
General Corporate
A kiküldetés, kirendelés, kvázi-megbízás, alvállalkozás, álcázott alvállalkozás és munkaerő-szol.
General Corporate
Az angol nyelvű szerződések alapismeretei: Milyen szerződési ismeretekkel érdemes tisztában lenn.
General Corporate
Az amerikai jogrendszer miben különbözik a japántól? Ismertetjük azokat a pontokat, amelyeket tu.
General Corporate
Az ártmejk orvosi tevékenység? A szépségklinikáknak figyelniük kell az új, a Japán Egészségügyi,.
General Corporate
