Penjelasan tentang 'Penalti' dalam Undang-Undang Perlindungan Informasi Pribadi yang Direvisi pada Tahun Reiwa 4 (2022)
Mulai April 2022 (Tahun 2022 dalam Kalender Gregorian), Undang-Undang Perlindungan Informasi Pribadi Jepang yang telah direvisi mulai berlaku. Setelah menjelaskan poin-poin penting tentang ‘Tanggung Jawab Bisnis’ dalam Undang-Undang Perlindungan Informasi Pribadi Jepang yang telah direvisi tahun 2022, kali ini kami akan menjelaskan tentang bagaimana cara memanfaatkan data dan tentang hukuman yang ada.
Ringkasan Undang-Undang Perlindungan Data Pribadi Jepang yang Direvisi pada Tahun Reiwa 4 (2022)
Revisi Undang-Undang Perlindungan Data Pribadi Jepang pada tahun 2022 mencakup enam poin berikut:
- Status hak individu
- Status kewajiban yang harus dilindungi oleh perusahaan
- Status mekanisme untuk mendorong upaya mandiri oleh perusahaan
- Status pemanfaatan data
- Status hukuman
- Status penerapan hukum di luar negeri dan transfer lintas batas
Di artikel “Penjelasan poin penting tentang ‘Kewajiban Perusahaan’ dalam Undang-Undang Perlindungan Data Pribadi Jepang yang Direvisi pada Tahun 2022[ja]“, kami telah menjelaskan poin (1) dan (2) dari revisi tersebut. Di sini, kami akan menjelaskan poin (3), (4), (5), dan (6).
Artikel terkait: Apa itu Undang-Undang Perlindungan Data Pribadi dan Data Pribadi? Penjelasan oleh Pengacara[ja]
Cara Kerja Mekanisme untuk Mendorong Inisiatif Mandiri oleh Pelaku Usaha
Seiring dengan diversifikasi praktik bisnis dan kemajuan teknologi IT, pentingnya mekanisme untuk mendorong inisiatif mandiri oleh pelaku usaha semakin meningkat. Ini mencakup pembentukan aturan mandiri oleh organisasi swasta terkait penanganan data pribadi dalam bidang tertentu, dan memberikan bimbingan yang aktif kepada pelaku usaha yang bersangkutan.
Dalam Undang-Undang Perlindungan Data Pribadi Jepang (Japanese Personal Information Protection Law), selain Komisi Perlindungan Data Pribadi, perlindungan informasi juga dilakukan melalui penggunaan organisasi swasta, dan sistem organisasi yang disertifikasi telah dibentuk. Organisasi seperti korporasi yang menangani pengaduan terkait penanganan data pribadi dan memberikan informasi tentang penanganan data pribadi yang tepat kepada pelaku usaha dapat menerima sertifikasi dari Komisi Perlindungan Data Pribadi dan menjadi “Organisasi Perlindungan Data Pribadi yang Disertifikasi”. Namun, dalam hukum yang telah direvisi, sistem organisasi yang disertifikasi sekarang dapat mensertifikasi organisasi yang menargetkan bidang tertentu (departemen) dari perusahaan (Pasal 47, Ayat 2). Ini adalah upaya untuk mempromosikan perlindungan data pribadi yang lebih spesialis dengan memperbolehkan sertifikasi organisasi pada tingkat bisnis dan mempromosikan penggunaan organisasi yang disertifikasi yang beroperasi dalam bidang bisnis tertentu.
Cara Memanfaatkan Data
Ada dua poin yang telah diubah mengenai cara memanfaatkan data.
Pembentukan ‘Informasi Pseudonim’, Pelonggaran Kewajiban (Pasal 2 Ayat 9)
Dalam hukum yang berlaku saat ini, informasi yang hanya dipseudonimkan dari informasi pribadi masih dianggap sebagai ‘informasi pribadi’, dan perusahaan harus memikul berbagai kewajiban terkait penanganan informasi pribadi. Namun, untuk ‘informasi pribadi yang telah dipseudonimkan’ ini, ada kebutuhan yang meningkat untuk memanfaatkannya sebagai alat untuk melakukan analisis yang lebih rinci dengan metode pengolahan yang relatif sederhana, dengan memastikan tingkat keamanan tertentu dan menjaga kegunaan data setara dengan informasi pribadi sebelum diproses.
Menanggapi hal ini, dalam hukum yang telah direvisi, ‘Informasi Pseudonim’, yang menghapus nama dan sejenisnya, telah dibentuk untuk mendorong inovasi, dan kewajiban seperti respons terhadap permintaan penghentian penggunaan dan pengungkapan telah dilonggarkan dengan syarat dibatasi untuk analisis internal.
Informasi Pseudonim yang telah dibentuk adalah ‘informasi tentang individu yang diperoleh dengan memproses informasi pribadi sehingga tidak dapat mengidentifikasi individu tertentu kecuali jika dicocokkan dengan informasi lain’. Misalnya, ‘Nama, Usia, Tanggal, Waktu, Jumlah, Toko’ diproses menjadi ‘ID Pseudonim, Usia, Tanggal, Waktu, Jumlah, Toko’. Contoh penggunaan yang diantisipasi adalah ‘analisis internal untuk tujuan yang tidak sesuai dengan tujuan penggunaan awal atau tujuan baru yang sulit untuk ditentukan apakah sesuai’ (seperti penelitian di bidang medis dan farmasi, deteksi penipuan, pembelajaran model pembelajaran mesin untuk prediksi penjualan), dan ‘informasi pribadi yang telah mencapai tujuan penggunaannya diproses menjadi informasi pseudonim dan disimpan untuk analisis statistik di masa depan’.
Untuk metode pembuatan Informasi Pseudonim, setidaknya harus:
- Menghapus semua atau sebagian dari deskripsi yang dapat mengidentifikasi individu tertentu (misalnya: nama)
- Menghapus semua kode identifikasi pribadi
- Menghapus deskripsi yang dapat menyebabkan kerugian finansial jika disalahgunakan (misalnya: nomor kartu kredit)
Langkah-langkah ini diperlukan.
Kewajiban untuk Memeriksa Informasi yang Diperkirakan Menjadi Data Pribadi di Tempat Penyediaan (Pasal 26 Ayat 2)
Dalam hukum yang berlaku saat ini, meskipun informasi yang tidak termasuk data pribadi di tempat penyediaan diperkirakan menjadi data pribadi di tempat penerima, tidak menjadi subjek regulasi. Namun, dalam hukum yang telah direvisi, untuk penyediaan kepada pihak ketiga informasi yang tidak termasuk data pribadi di tempat penyediaan tetapi diperkirakan menjadi data pribadi di tempat penerima, kewajiban untuk memastikan bahwa persetujuan dari individu telah diperoleh, dll. telah ditetapkan.
Dengan perkembangan dan penyebaran teknologi yang mengumpulkan data pengguna dalam jumlah besar dan menggabungkannya menjadi data pribadi secara instan, skema yang menghindari tujuan Hukum Perlindungan Data Pribadi dengan memberikan informasi non-pribadi kepada pihak ketiga sementara mengetahui bahwa itu akan menjadi data pribadi di tempat penerima semakin merajalela. Ini karena ada kekhawatiran bahwa metode pengumpulan data pribadi tanpa keterlibatan individu akan semakin menyebar.
Tentang Penalti
Ada dua perubahan terkait penalti:
Peningkatan hukuman statut untuk pelanggaran perintah oleh Komite dan pelaporan palsu kepada Komite (Pasal 83, Pasal 87, dll)
Seiring bertambahnya kasus pelanggaran hukum, jumlah kasus yang memerlukan pengumpulan laporan dan inspeksi penyerbuan juga meningkat. Untuk meningkatkan efektivitas pengumpulan laporan dan inspeksi penyerbuan yang menjadi titik awal dalam memahami kondisi aktual perusahaan, hukuman statut ditingkatkan dalam hukum yang direvisi.
Untuk pelanggaran ‘Perintah dari Komite Perlindungan Data Pribadi Jepang’, hukuman di bawah hukum saat ini adalah kurungan maksimal 6 bulan atau denda maksimal 300.000 yen, tetapi di bawah hukum yang direvisi, hukumannya menjadi kurungan maksimal 1 tahun atau denda maksimal 1 juta yen. ‘Penyediaan ilegal basis data informasi pribadi, dll’ tetap dikenakan hukuman kurungan maksimal 1 tahun atau denda maksimal 500.000 yen, tetapi ‘Pelaporan palsu kepada Komite Perlindungan Data Pribadi Jepang’, yang sebelumnya dikenakan denda maksimal 300.000 yen, sekarang dikenakan denda maksimal 500.000 yen di bawah hukum yang direvisi.
Peningkatan denda untuk badan hukum (Pasal 84, Pasal 85, dll)
Di bawah hukum saat ini, jumlah denda untuk badan hukum sama dengan hukuman statut untuk pelaku. Namun, mengingat perbedaan kemampuan finansial antara badan hukum dan individu, hukum yang direvisi meningkatkan jumlah maksimum denda (hukuman berat untuk badan hukum) untuk pelanggaran perintah, dll. Ini didasarkan pada penilaian bahwa meskipun denda yang sama dengan pelaku dikenakan kepada badan hukum, efek pencegahan yang cukup tidak dapat diharapkan.
Untuk pelanggaran ‘Perintah dari Komite Perlindungan Data Pribadi Jepang’ oleh badan hukum, hukuman di bawah hukum saat ini adalah denda maksimal 300.000 yen, sama dengan pelaku, tetapi di bawah hukum yang direvisi, hukumannya menjadi denda maksimal 1 miliar yen. ‘Penyediaan ilegal basis data informasi pribadi, dll’ yang sebelumnya dikenakan denda maksimal 500.000 yen, sama dengan pelaku, sekarang dikenakan denda maksimal 1 miliar yen di bawah hukum yang direvisi. Namun, ‘Pelaporan palsu kepada Komite Perlindungan Data Pribadi Jepang’, yang sebelumnya dikenakan denda maksimal 300.000 yen, sama dengan pelaku, tetap dikenakan denda maksimal 500.000 yen di bawah hukum yang direvisi.
Penerapan Hukum Luar Negeri & Penanganan Transfer Lintas Batas
Ada dua poin utama yang telah diubah mengenai penerapan hukum luar negeri dan penanganan transfer lintas batas:
Penguatan Penerapan Hukum Luar Negeri (Pasal 75)
Dalam hukum yang berlaku saat ini, wewenang yang dapat diberlakukan kepada pelaku usaha asing yang menjadi subjek penerapan hukum luar negeri terbatas pada wewenang yang tidak memiliki kekuatan paksa, seperti petunjuk dan saran. Namun, ada kemungkinan bahwa Komisi tidak dapat menangani secara tepat kasus-kasus seperti kebocoran data di luar negeri. Oleh karena itu, dalam hukum yang telah direvisi, pelaku usaha asing yang menangani informasi pribadi dan sejenisnya yang terkait dengan penyediaan barang atau layanan medis kepada individu di Jepang, menjadi subjek pengumpulan laporan dan perintah yang dijamin oleh sanksi. Ini bertujuan untuk memperkuat pelaksanaan wewenang oleh Komisi Perlindungan Data Pribadi Jepang.
Peningkatan Penyediaan Informasi kepada Individu Mengenai Penanganan Informasi Pribadi oleh Pelaku Usaha Penerima (Pasal 78)
Di beberapa negara, regulasi pengelolaan negara mulai diterapkan, dan dengan semakin banyaknya kesempatan untuk transfer data pribadi lintas batas, perbedaan sistem di setiap negara dan wilayah dapat membuat prediksi pelaku usaha yang menangani data dan individu menjadi tidak stabil, dan menimbulkan kekhawatiran dari sudut pandang perlindungan hak dan kepentingan individu.
Sebagai respons terhadap hal ini, saat memberikan data pribadi kepada pihak ketiga di luar negeri, diharapkan untuk meningkatkan penyediaan informasi kepada individu mengenai penanganan informasi pribadi oleh pelaku usaha penerima. Sebagai syarat untuk dapat memberikan data pribadi kepada pihak ketiga di luar negeri, hukum yang berlaku saat ini mensyaratkan “persetujuan individu”. Syarat ini telah diubah menjadi “penyediaan informasi kepada individu tentang nama negara penerima, keberadaan atau tidaknya sistem perlindungan data pribadi di negara penerima, dll. saat memperoleh persetujuan”, dan “pelaku usaha yang telah menyiapkan sistem yang sesuai dengan standar” menjadi “konfirmasi periodik tentang kondisi penanganan oleh pelaku usaha penerima + penyediaan informasi terkait atas permintaan individu”.
Ringkasan
Amendemen Undang-Undang Perlindungan Data Pribadi Jepang tahun 2022, yang merupakan amendemen hukum pertama berdasarkan ‘Ketentuan Revisi Setiap Tiga Tahun’, melibatkan peningkatan penghentian penggunaan dan penghapusan data, pelarangan penggunaan yang tidak tepat, peningkatan penyediaan informasi terkait transfer lintas batas, pembentukan ‘Informasi yang Diproses dalam Bentuk Alias’, dan lainnya. Hal ini bertujuan untuk melindungi dan memperkuat hak dan kepentingan individu, menanggapi risiko baru yang muncul seiring dengan peningkatan sirkulasi data lintas batas, dan beradaptasi dengan era AI dan Big Data.
Panduan Strategi dari Kantor Kami
Kantor Hukum Monolis adalah kantor hukum yang memiliki keahlian tinggi dalam IT, khususnya internet dan hukum. Undang-Undang Perlindungan Data Pribadi yang baru saja direvisi sedang menjadi sorotan, dan kebutuhan untuk pengecekan hukum semakin meningkat. Di kantor kami, kami menyediakan solusi terkait hak kekayaan intelektual. Detailnya dijelaskan dalam artikel di bawah ini.