Magyar English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_hu/header.php</b> on line <b>103</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Hétköznapokon 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

HOME > LAW MAGAZINE > IT > Mi az a "felhő kivétel" a személyes adatvédelmi törvényben? Magyarázat a felhőszolgáltatást nyújtó vállalkozások által kapott közigazgatási útmutatások valós példái alapján

Mi az a "felhő kivétel" a személyes adatvédelmi törvényben? Magyarázat a felhőszolgáltatást nyújtó vállalkozások által kapott közigazgatási útmutatások valós példái alapján

IT

Mi az a

A személyes adatok kezelésével foglalkozó vállalkozások a japán személyes adatvédelmi törvény által számos szabályozás alá esnek az információk kezelését illetően. Személyes adataink a magánéletünkkel mélyen összefüggnek, és tartalmazzák testi jellemzőinket vagy vagyonunkkal kapcsolatos fontos információkat is, ezért természetes, hogy szigorú szabályok vonatkoznak rájuk.

Az említett törvény azonban bizonyos kivételeket is tartalmaz. Ezek közül az egyiket “felhő kivételnek” nevezik.

Mi is az a “felhő kivétel” valójában? Ebben a cikkben a Reiwa 6. évében (2024) közigazgatási útmutatást kapott MK System esetét felhasználva ismertetjük a “felhő kivétel” áttekintését és alkalmazási feltételeit érthető módon.

A személyes adatok harmadik félnek történő átadásának alapelvei és kivételei a japán jog szerint

A személyes adatok harmadik félnek történő átadásának alapelvei és kivételei a japán jog szerint

Először is tekintsük át a személyes adatok védelméről szóló törvény alapelveit és kivételeit, amikor a személyes adatokat harmadik fél részére kívánjuk átadni.

A személyes adatok harmadik félnek történő átadásának alapelvei a Japán Adatvédelmi Törvényben

Amikor egy személyes adatokat kezelő vállalkozás felhőszolgáltatást vesz igénybe, úgy tekintendő, hogy a “személyes adatok kezelésének egészét vagy egy részét megbízottként végzi” (Adatvédelmi Törvény 27. cikk 5. bekezdés 1. pontja), és alapelvként a felhőszolgáltatás nyújtó vállalkozásnak a személyes adatok védelméről szóló 25. cikk alapján szükséges és megfelelő felügyeletet kell gyakorolnia.

Mi a “felhő kivétel”?

Ez a kivétel az úgynevezett “felhő kivétel”.

A “felhőszolgáltatást nyújtó vállalkozások” alatt elsősorban olyan cégeket értünk, amelyek IT infrastruktúrát, mint tárhelyet vagy szervert biztosítanak (IaaS/PaaS), és más vállalatok adatait az interneten keresztül kezelik, tárolják és feldolgozzák. Ilyen szolgáltatók például:

  • Amazon Web Services (AWS): Az amerikai Amazon által nyújtott szolgáltatás, amelyet számos japán vállalat használ.
  • Microsoft Azure: A Microsoft által kínált felhőalapú szolgáltatás, amelyet számos kormányzati intézmény is alkalmaz.
  • Google Cloud Platform (GCP): A Google által biztosított szolgáltatás, amely az AI és a nagy adatmennyiség kezelésében erős.

A “felhő kivétel” akkor merül fel, amikor az ilyen felhőszolgáltatást nyújtó vállalkozások által biztosított felhőinfrastruktúrán (IaaS vagy PaaS) rendszereket fejlesztenek, és azt SaaS (Software as a Service) típusú vállalkozásokként nyújtják az ügyfeleknek, amelyek során személyes adatok kezelésére kerül sor.

A Japán Személyes Adatok Védelméért Felelős Bizottság “A személyes adatok védelméről szóló törvényre vonatkozó irányelvek” című Q&A dokumentumában a felhőszolgáltatást nyújtó vállalkozásokra vonatkozóan a 7-53 pontban a következőképpen fogalmaz:

(Amikor nem minősül harmadik félnek) K7-53 Ha egy személyes adatokat kezelő vállalkozás olyan információs rendszert használ, amely elektronikus adatokat kezel, és amely személyes adatokat tartalmaz, és ezt a rendszert külső vállalkozások, mint a felhőszolgáltatások keretében használja, szükséges-e a “személyes adatok harmadik félnek történő átadásához” (a törvény 27. cikkének 1. bekezdése) a személy hozzájárulását kérni? Vagy “a személyes adatok kezelésének egészét vagy egy részét megbízásra” (a törvény 27. cikkének 5. bekezdése 1. pontja) adja, és ebben az esetben a felhőszolgáltatást nyújtó vállalkozást a törvény 25. cikke alapján felügyelni kell?

A7-53 A felhőszolgáltatások számos különböző formát ölthetnek, de a felhőszolgáltatások használata esetén az a kérdés, hogy a harmadik félnek történő adatátadás (a törvény 27. cikkének 1. bekezdése) vagy a megbízás (a törvény 27. cikkének 5. bekezdése 1. pontja) szükségessége függ-e attól, hogy az elektronikus adatok tartalmaznak-e személyes adatokat, vagy attól, hogy a felhőszolgáltatást nyújtó vállalkozás kezeli-e a személyes adatokat. Ha a felhőszolgáltatást nyújtó vállalkozás nem kezeli a személyes adatokat, akkor a személyes adatokat kezelő vállalkozás nem adta át a személyes adatokat, így nem szükséges a személy hozzájárulását kérni. Emellett, mivel nem történt adatátadás, nem áll fenn a “személyes adatok kezelésének egészének vagy egy részének megbízásra történő átadása” (a törvény 27. cikkének 5. bekezdése 1. pontja) sem, így nincs kötelezettség a felhőszolgáltatást nyújtó vállalkozást a törvény 25. cikke alapján felügyelni. A személyes adatokat kezelő vállalkozásnak a biztonsági intézkedésekre vonatkozó megközelítését, amikor a felhőszolgáltatást nyújtó vállalkozás nem kezeli a személyes adatokat, a K7-54 pontban található. Amikor a felhőszolgáltatást nyújtó vállalkozás nem kezeli a személyes adatokat, az azt jelenti, hogy a szerződési feltételek szerint a külső vállalkozás nem kezeli a szerveren tárolt személyes adatokat, és megfelelő hozzáférés-ellenőrzést végez. A törvény 28. cikkével való kapcsolatot a Q12-3 pontban tárgyaljuk.

“A személyes adatok védelméről szóló törvényre vonatkozó irányelvek” Q&A[ja]|Személyes Adatok Védelméért Felelős Bizottság

Tehát, ha a felhőszolgáltatások felhasználói a szolgáltatást használják, és teljesítik a kivétel feltételeit, akkor nincs szükség a felhőszolgáltatást nyújtó vállalkozás felügyeletére. A “felhő kivétel” elismeréséhez szükséges feltételek, hogy “a vállalkozás nem kezeli a személyes adatokat”, a következő két feltétel teljesítését igénylik:

  • A szerződési feltételek szerint a külső vállalkozás nem kezeli a szerveren tárolt személyes adatokat
  • Megfelelő hozzáférés-ellenőrzést végeznek

Az MK System Corporation elleni közigazgatási intézkedés Japánban

2024. március 25-én (Reiwa 6) a Japán Adatvédelmi Bizottság a személyes adatok védelméről szóló törvény 147. cikke alapján intézkedést hozott az MK System Corporation-nal szemben. A körülbelül 7,5 millió embert érintő nagyszabású adatszivárgásra reagálva a Bizottság kiadott egy figyelmeztetést, amely a „Felhőszolgáltatást nyújtó vállalkozások figyelmeztetése, ha azok a személyes adatok védelméről szóló törvény értelmében személyes adatokat kezelő vállalkozásnak minősülnek” címet viseli.

Forrás: Adatvédelmi Bizottság | Felhőszolgáltatást nyújtó vállalkozások figyelmeztetése, ha azok a személyes adatok védelméről szóló törvény értelmében személyes adatokat kezelő vállalkozásnak minősülnek[ja]

Nézzük meg, mi történt az MK System Corporation esetében, amikor a Japán személyes adatok védelméről szóló törvény alapján közigazgatási intézkedést hoztak a felhőszolgáltatások kivételével kapcsolatban.

Az ügy rövid összefoglalása

A MK System Corporation egy társaság, amely a kínai Tencent Cloud szervereit használva társadalombiztosítási és személyzeti munkaügyi támogató rendszert épített ki, és ezt a szolgáltatást nyújtotta a szociális biztosítási ügyintézők irodáinak és egyéb felhasználóknak.

2023-ban (Reiwa 5 évében júniusban), a szerverek jogosulatlan hozzáférést szenvedtek, és fennállt annak a veszélye, hogy a kezelt személyes adatok (a szociális biztosítási ügyintézők ügyfelei által alkalmazott vállalatok és munkahelyek alkalmazottainak nevei, születési dátumai, nemük, címük, alapnyugdíj-számuk, foglalkoztatási biztosítási számuk és My Number azonosítóik stb.) kiszivárognak.

Ha ezt a három vállalatot a vonatkozó irányelvekhez viszonyítjuk, a következőképpen alakul a helyzet:

Irányelvek szerinti szerepkörVállalkozóTartalom
MegbízóSzociális biztosítási ügyintézők és egyéb felhasználók (személyes adatokat kezelő vállalkozások)Az ügyfelek (vállalatok és magánszemélyek) személyes adatainak kezelése
MegbízottMK System CorporationA szociális biztosítási ügyintézői feladatokat helyettesítő és támogató rendszert biztosít a felhőben. Az ügyfelek utasításai alapján kezeli a személyes adatokat
AlmegbízottTencent Cloud (Kína)Az MK System Corporation a felhőinfrastruktúrát bízta meg. Külföldre történő adattovábbításra utalhat

A Személyes Adatok Védelméért Felelős Bizottság úgy ítélte meg, hogy az MK System Corporation technikai biztonsági intézkedései elégtelenek voltak.

Az adminisztratív útmutatás tartalma

A Személyes Adatok Védelméért Felelős Bizottságtól (Japán) az adminisztratív útmutatás a Személyes Adatvédelmi Törvény (2003-as évi) 147. cikkének előírásai szerinti útmutatást, valamint a Személyes Adatvédelmi Törvény 146. cikk (1) bekezdésének előírásai szerinti jelentéstételi és adatgyűjtési kötelezettséget foglalt magában.

Figyelemfelhívás a Japán Adatvédelmi Bizottságtól

A Japán Adatvédelmi Bizottság egyidejűleg kiadott egy figyelemfelhívást a “Felhívás a felhőszolgáltatást nyújtó vállalkozások számára, amelyek megfelelnek az adatkezelő vállalkozásoknak a személyes adatok védelméről szóló törvény értelmében[ja]” címmel.

Ez a figyelemfelhívás elsősorban a felhőszolgáltatásokat igénybe vevő felekre irányul, hogy megítéljék, a felhőszolgáltatások használata megfelel-e a személyes adatok kezelésének megbízásának (a személyes adatok védelméről szóló törvény 27. cikk 5. bekezdés 1. pontja), és ha igen, akkor a felhőszolgáltatást igénybe vevő adatkezelő vállalkozásoknak megfelelő és szükséges felügyeletet kell gyakorolniuk a megbízott felekre.

Az MK System esetében a következő három pont alapján nem fogadták el a felhő kivételt, és az adatkezelő vállalkozásnak minősül, így szükséges a megfelelő felügyelet biztosítása a kezelt személyes adatok felett:

  • A felhasználási feltételek szerint a felhőszolgáltatást nyújtó vállalkozás karbantartási, üzemeltetési és egyéb szükséges esetekben jogosult adataink monitorozására, elemzésére, vizsgálatára és egyéb szükséges intézkedések megtételére, valamint a rendszeren belüli adatokat bizonyos esetek kivételével nem használhatja fel és nem fedheti fel harmadik fél számára, ami lehetővé teszi a felhőszolgáltatást nyújtó vállalkozás számára, hogy bizonyos esetekben felhasználja a felhőszolgáltatást igénybe vevők személyes adatait.
  • A felhőszolgáltatást nyújtó vállalkozás karbantartási célokra szolgáló azonosítóval rendelkezik, és hozzáférhet a felhőszolgáltatást igénybe vevők személyes adataihoz, és nem tettek megfelelő technikai hozzáférés-szabályozási vagy egyéb intézkedéseket az adatkezelés megakadályozására.
  • A felhőszolgáltatást igénybe vevőkkel megerősítő dokumentumokat kötöttek, és ténylegesen kezelték a felhőszolgáltatást igénybe vevők személyes adatait.
Felhívás a felhőszolgáltatást nyújtó vállalkozások számára, amelyek megfelelnek az adatkezelő vállalkozásoknak a személyes adatok védelméről szóló törvény értelmében | Japán Adatvédelmi Bizottság[ja]

Figyelemfelhívás a japán felhőszolgáltatást nyújtó vállalkozások számára

Figyelemfelhívás a japán felhőszolgáltatást nyújtó vállalkozások számára

Mit kell figyelembe venniük a felhőszolgáltatást nyújtó vállalkozásoknak (az előző példákban említett MK System esetében), a jogi kérdések és az adminisztratív útmutatások, figyelmeztetések ismeretében?

Ellenőrizzük újra, hogy teljesítjük-e a felhő kivételének követelményeit

Először is, ellenőrizzük újra, hogy a saját vállalkozásunk által nyújtott szolgáltatások megfelelnek-e a felhő kivételének követelményeinek.

A személyes adatok védelméért felelős bizottság figyelmeztetése nyomán a felhőszolgáltatást igénybe vevő vállalkozások valószínűleg felülvizsgálják, hogy a felhőszolgáltatást nyújtó vállalkozások eleget tesznek-e a felhő kivételének követelményeinek.

Ezért a felhőszolgáltatást nyújtó vállalkozásoknak is újra kell ellenőrizniük, hogy teljesítik-e a felhő kivételének követelményeit.

Ha nem teljesítjük a felhő kivételének követelményeit, meg kell felelnünk a megbízó felügyeleti követelményeinek

Ha nem teljesítjük a felhő kivételének követelményeit, akkor meg kell felelnünk a felhőszolgáltatást igénybe vevők (ebben az esetben az MK System által nyújtott szolgáltatást használó munkaügyi irodák vagy vállalatok) felügyeleti követelményeinek.

A felhőszolgáltatást igénybe vevők felügyelete a következő tevékenységeket foglalhatja magában, amelyek a személyes adatok védelmére vonatkozó törvény általános irányelveiben (3-4-4 szakasz, a megbízott felügyelete, a 25. cikk kapcsolódása) vannak meghatározva:

  • Megfelelő megbízott kiválasztása: Biztosítani kell, hogy a megbízott biztonsági intézkedései megfeleljenek a törvény 23. cikkében és az irányelvekben a megbízó által követelt szintnek.
  • Megbízási szerződés megkötése: Célszerű olyan szerződést kötni, amely lehetővé teszi a megbízó számára, hogy ésszerűen átlássa a megbízott által kezelt személyes adatok helyzetét.
  • A megbízott által kezelt személyes adatok helyzetének megismerése: Rendszeresen elvégzett ellenőrzésekkel megfelelően értékelni kell.

Ha a megbízott biztonsági intézkedései nem megfelelőek, előfordulhat, hogy a szerződést felbontják, vagy szükségessé válhat a megfelelő biztonsági intézkedések megtétele, illetve a rendszeres ellenőrzéseknek való megfelelés.

Összefoglalás: A felhőszolgáltatásokon tárolt személyes adatok védelmében forduljon ügyvédhez

Ebben a cikkben a felhőszolgáltatásokat nyújtó vállalkozások által nem teljesített felhőkivételekkel kapcsolatos kockázatokat tárgyaltuk, a 2025 márciusában (Reiwa 7) közzétett Japán Személyes Adatvédelmi Bizottság által kiadott adminisztratív útmutatás alapján.

Az adatszivárgási eset nyomán a Személyes Adatvédelmi Bizottság figyelmeztetéseket adott ki a felhőszolgáltatások felhasználóinak. Ezek a figyelmeztetések nemcsak a felhasználókra, hanem a felhőszolgáltatásokat nyújtó vállalatokra is vonatkoznak, hogy felülvizsgálják a nyújtott szolgáltatásaikat és figyeljenek az esetlegesen felmerülő terhekkel kapcsolatos kockázatokra.

Ha bizonytalan abban, hogy vállalatának milyen kockázatai lehetnek, vagy milyen intézkedéseket kellene megtennie az adminisztratív útmutatások figyelembevételével, javasoljuk, hogy forduljon ügyvédhez tanácsért.

A Monolith Ügyvédi Iroda által kínált megoldások bemutatása

A Monolith Ügyvédi Iroda egy olyan jogi szolgáltatást nyújtó cég, amely gazdag tapasztalattal rendelkezik az IT területén, különösen az internet és a jogi szakma ötvözésében. A mai világban, ahol az IT vállalatok, mint az AWS, egyre inkább felhőalapú szolgáltatásokat használnak üzleti tevékenységük során, a személyes adatok szivárgása elkerülhetetlen kockázatkezelési tényezővé vált a vállalatok működésében. Ha személyes adatok szivárognak ki, az végzetes következményekkel járhat a vállalati tevékenységre nézve. Cégünk szakértői tudással rendelkezik az információszivárgás megelőzésében és kezelésében. A részleteket az alábbi cikkben ismertetjük.

A Monolith Ügyvédi Iroda szolgáltatási területei: Japán személyes adatvédelmi joghoz kapcsolódó jogi szolgáltatások[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Related Articles

Az alvállalkozókat (újraközbeszerzést) bevonó projektek kudarcának jogi következményei

Az alvállalkozókat (újraközbeszerzést) bevonó projektek kudarcának jogi következményei

IT

A rendszerműködtetők adatvesztési kockázatai és jogi felelősségei

A rendszerműködtetők adatvesztési kockázatai és jogi felelősségei

IT

Az AI által generált

Az AI által generált "hangok" szerzői jogi problémát jelentenek? (#2 Generálás és felhasználás s.

IT

Mi a ChatGPT információszivárgásának kockázata? Bemutatjuk a megteendő négy lépést

Mi a ChatGPT információszivárgásának kockázata? Bemutatjuk a megteendő négy lépést

IT

A webes szolgáltatások használati feltételeinek elkészítésekor figyelembe vett szempontok (második rész)

A webes szolgáltatások használati feltételeinek elkészítésekor figyelembe vett szempontok (másod.

IT

Lehetőség van a ChatGPT kereskedelmi felhasználására? Egy ügyvéd magyarázza el a szerzői jogi kérdéseket

Lehetőség van a ChatGPT kereskedelmi felhasználására? Egy ügyvéd magyarázza el a szerzői jogi ké.

IT

Van szerzői jog a promptokra? Az AI korszakának szellemi tulajdonjogait alaposan megmagyarázva

Van szerzői jog a promptokra? Az AI korszakának szellemi tulajdonjogait alaposan megmagyarázva

IT

A rendszerfejlesztési határidők késése és a jogi teljesítési késedelem kapcsolata

A rendszerfejlesztési határidők késése és a jogi teljesítési késedelem kapcsolata

IT

Civil mediáció mint a rendszerfejlesztési viták megoldásának eszköze

Civil mediáció mint a rendszerfejlesztési viták megoldásának eszköze

IT


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IPO in Japan IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Vissza a tetejére