Perubahan pada Undang-Undang Perlindungan Data Peribadi Jepun pada Tahun Reiwa 4 (2022): 'Maklumat Pemprosesan Nama Samaran' Baru dan lain-lain untuk Meningkatkan Penggunaan Data
Undang-undang yang berkaitan dengan pengendalian maklumat peribadi seringkali dipinda dan berubah mengikut zaman. Penyedia perkhidmatan pengendalian maklumat peribadi perlu menangkap dengan cepat titik-titik pindaan ini dan menyusun struktur dalam syarikat mereka.
Penguatan hak individu, perubahan yang berkaitan dengan penyerahan kepada pihak ketiga termasuk luar negeri, penubahan ‘Maklumat Pseudonim’ dan ‘Maklumat Berkaitan Peribadi’ yang baru ditubuhkan, dan banyak lagi titik perubahan dalam pindaan Undang-Undang Perlindungan Maklumat Peribadi Jepun pada tahun 2022. Penyedia perkhidmatan perlu memahami dengan betul apa jenis pindaan yang ada dan tindakan yang perlu diambil.
Oleh itu, kami akan menerangkan ‘Undang-Undang Perlindungan Maklumat Peribadi Jepun’ yang telah dipinda dan ditubuhkan pada 1 April 2022 (Reiwa 4) dan titik semakan untuk tindakan praktikal penyedia perkhidmatan pengendalian maklumat peribadi.
Apa itu Undang-Undang Perlindungan Data Peribadi
“Undang-Undang Perlindungan Data Peribadi”, atau nama rasminya adalah “Undang-Undang mengenai Perlindungan Data Peribadi”. “Undang-Undang Perlindungan Data Peribadi” adalah undang-undang yang ditetapkan untuk mencapai keseimbangan antara kegunaan data peribadi dan perlindungan hak dan kepentingan individu, yang mengatur pengendalian yang betul terhadap data peribadi (peraturan mengenai pengumpulan, penggunaan, penyimpanan, pengurusan, penyediaan, pendedahan, penghentian, dan cara penghapusan).
Undang-undang ini menetapkan kewajipan yang harus dipatuhi dan peraturan hukuman jika melanggar bagi semua agensi kerajaan dan perniagaan swasta yang mengendalikan pangkalan data data peribadi, di bawah pengawasan “Suruhanjaya Perlindungan Data Peribadi”.
Sejarah Pindaan Undang-Undang Perlindungan Maklumat Peribadi Jepun
Undang-Undang Perlindungan Maklumat Peribadi Jepun telah diperkenalkan pada 23 Mei Heisei 15 (2003) (Undang-Undang No. 57, 30 Mei Heisei 15), dan peruntukan yang tidak melibatkan syarikat umum dan hukuman (Bab 4 hingga 6) telah dikuatkuasakan segera. Undang-undang ini sepenuhnya dikuatkuasakan pada 1 April Heisei 17 (2005).
Pada pindaan Heisei 27 (2015), dalam menghadapi digitalisasi masyarakat secara keseluruhan, peruntukan untuk mengkaji semula setiap tiga tahun juga telah dimasukkan untuk mencapai “perlindungan maklumat peribadi” dan “penggunaan data peribadi”, serta “keserasian dengan sistem antarabangsa”.
Dalam pindaan yang dikuatkuasakan pada Mei Heisei 29 (2017), “kod pengenalan peribadi”, “maklumat peribadi yang memerlukan pertimbangan”, dan “maklumat yang diproses secara anonim” telah ditambahkan ke data peribadi. Selain itu, sistem penjejakan (traceability), kewajipan usaha penghapusan data peribadi, pembatasan penyerahan kepada pihak ketiga di luar negara, dan penubuhan Suruhanjaya Perlindungan Maklumat Peribadi telah dilaksanakan. Sistem pengawasan telah berubah dari pengawasan oleh menteri yang bertanggungjawab kepada sistem pengawasan yang seragam oleh Suruhanjaya Perlindungan Maklumat Peribadi.
Kemudian, pada 1 April Reiwa 4 (2022), pindaan Undang-Undang Perlindungan Maklumat Peribadi telah dikuatkuasakan.
Ini adalah undang-undang yang diumumkan pada 12 Jun Reiwa 2 (2020), dan merupakan pindaan terbesar kepada “sistem undang-undang perlindungan maklumat peribadi” dari perspektif menggabungkan dan menyatukan tiga undang-undang perlindungan maklumat peribadi sebelumnya (Undang-Undang Perlindungan Maklumat Peribadi, Undang-Undang Perlindungan Maklumat Peribadi Agensi Kerajaan, dan Undang-Undang Perlindungan Maklumat Peribadi Badan Pentadbiran Bebas).
Selain penyatuan definisi maklumat peribadi antara sektor awam dan swasta, undang-undang baru ini juga memasukkan pelbagai perubahan dalam menghadapi era AI dan Big Data global dan keperluan untuk memperkuat perlindungan hak dan kepentingan individu.
Antara perubahan khusus adalah penambahan “maklumat yang diproses secara pseudonim” dan “maklumat berkaitan peribadi” ke data peribadi, dan pengawalan yang lebih ketat dan hukuman yang lebih berat terhadap pengendalian data peribadi yang dimiliki, termasuk di luar negara. Jika ada kebocoran (kebocoran, kehilangan, kerosakan), laporan kepada Suruhanjaya Perlindungan Maklumat Peribadi dan pemberitahuan kepada individu yang berkenaan menjadi wajib.
Dengan kata lain, pengusaha asing yang mengendalikan maklumat peribadi dan sebagainya yang berkaitan dengan individu di Jepun juga menjadi subjek pengumpulan laporan pentadbiran dan arahan, dan hukuman juga dikenakan. Untuk hukuman, sila rujuk artikel ini untuk penjelasan lebih lanjut.
Artikel Berkaitan: Penjelasan mengenai ‘Penalti’ dalam Pindaan Undang-Undang Perlindungan Maklumat Peribadi Reiwa 4 (2022)
Pada 1 April 2023 (Reiwa 5), pindaan undang-undang yang menggabungkan sistem di bawah Suruhanjaya Perlindungan Maklumat Peribadi untuk mengatasi ketidakseimbangan dan ketidakseragaman tahap perlindungan yang disebabkan oleh perbezaan dalam peruntukan dan operasi undang-undang perlindungan maklumat peribadi setiap badan awam tempatan, peraturan undang-undang dalam bidang perubatan, dan pengecualian dalam bidang akademik akan sepenuhnya dikuatkuasakan.
6 Titik Utama dalam Pindaan Undang-Undang Perlindungan Maklumat Peribadi Jepun Tahun Reiwa 4 (2022)
Undang-Undang Perlindungan Maklumat Peribadi Jepun yang dipinda dan diperbaharui pada tahun Reiwa 2 (2020) bertujuan untuk menjadi “sistem yang meluas dalam kedua-dua aspek pertumbuhan ekonomi dan perlindungan hak dan kepentingan individu hasil daripada inovasi teknologi yang berkaitan dengan maklumat peribadi dan individu”, berdasarkan lima perspektif berikut dengan mengambil kira perubahan situasi sosial dan ekonomi:
- Perlindungan hak dan kepentingan individu
- Penguatan perlindungan dan penggunaan hasil inovasi teknologi
- Harmonisasi dan kerjasama sistem antarabangsa
- Menangani risiko yang berkaitan dengan peningkatan aliran data lintas sempadan
- Menangani era data besar dan AI
Enam titik utama dalam pindaan Undang-Undang Perlindungan Maklumat Peribadi Jepun tahun Reiwa 4 adalah seperti berikut:
- Pengembangan hak permintaan individu
- Penambahan tanggungjawab pengusaha
- Promosi usaha pengusaha secara sukarela
- Promosi penggunaan data
- Penguatan hukuman
- Pengembangan aplikasi luar kawasan
Untuk mematuhi ‘Undang-Undang Perlindungan Maklumat Peribadi yang Dipinda’ yang dikuatkuasakan pada 1 April tahun Reiwa 4 (2022), pengendali maklumat peribadi perlu mengkaji semula dan meminda sistem pengurusan perlindungan maklumat peribadi, polisi privasi, peraturan dalaman, isi kontrak (seperti terma penggunaan) dan sebagainya. Anda harus mengkaji semula sistem pengurusan maklumat peribadi syarikat anda dengan merujuk kepada ‘Panduan Undang-Undang Perlindungan Maklumat Peribadi’ dan bahan latihan yang dikemaskini dari masa ke semasa oleh Jawatankuasa Perlindungan Maklumat Peribadi (PPC) Jepun.
Selain itu, sila rujuk artikel berikut untuk penjelasan lebih lanjut mengenai tanggungjawab pengusaha yang ditambah dalam pindaan kali ini.
Artikel Berkaitan: Penjelasan Mengenai ‘Tanggungjawab Pengusaha’ dalam Pindaan Undang-Undang Perlindungan Maklumat Peribadi Jepun Tahun Reiwa 4 (2022)
Cara Hak Individu Mengenai Data Peribadi
Di sini, kami akan menjelaskan tentang hak yang berkaitan dengan data peribadi yang telah diperluas dalam pindaan kali ini, dan bagaimana tindakan yang perlu diambil dalam amalan sebenar.
Pelembutan Syarat Permintaan Penghentian Penggunaan, Penghapusan, dan Penghentian Penyediaan kepada Pihak Ketiga
Permintaan untuk penghentian penggunaan atau penghapusan data peribadi dan penghentian penyediaan kepada pihak ketiga sebelum ini hanya boleh dilakukan dalam kes penggunaan di luar tujuan atau perolehan secara tidak sah. Namun, dalam pindaan undang-undang ini, permintaan juga boleh dibuat jika ada kemungkinan hak individu atau kepentingan yang sah terjejas. Selain itu, permintaan ini juga boleh dibuat jika tidak perlu lagi menggunakan data peribadi.
Oleh itu, selepas pindaan ini, dijangka akan ada peningkatan dalam jumlah permintaan kepada pengendali data peribadi. Dari segi pengendali, perlu ada penjagaan sumber dan penyusunan semula manual dan sebagainya untuk menangani permintaan ini.
Selain itu, untuk menentukan sama ada “tidak perlu lagi menggunakan”, sistem yang dapat mengesahkan tujuan penggunaan untuk setiap data peribadi yang dimiliki mungkin diperlukan.
Peningkatan Permintaan Penzahiran dari Individu
Ruang lingkup “permintaan penzahiran data peribadi yang dimiliki” dari individu telah diperluas, dan rekod penyediaan data peribadi kepada pihak ketiga oleh pengendali data peribadi juga boleh diminta untuk penzahiran.
Selain itu, sebelum ini permintaan penzahiran hanya boleh dilakukan melalui penyerahan dalam bentuk bertulis, tetapi sekarang penzahiran melalui cara yang ditentukan oleh individu (penzahiran melalui penyediaan rekod elektromagnetik) juga boleh dipilih. Oleh itu, dijangka akan ada peningkatan dalam jumlah permintaan penzahiran dalam talian kepada pengendali data peribadi. Dari segi pengendali, usaha teknikal dan organisasi diperlukan untuk membolehkan cara penyediaan rekod elektromagnetik.
Pengendali data peribadi perlu menzahirkan dalam cara yang diminta oleh individu, kecuali jika sukar untuk menzahirkan dalam cara yang ditentukan, apabila individu meminta penzahiran dengan menentukan cara penyediaan data peribadi yang dimiliki.
Pengendali data peribadi boleh menentukan format fail rekod elektromagnetik (format PDF, format Word, dll.) dan cara penyediaan rekod elektromagnetik (menyimpan rekod elektromagnetik pada media penyimpanan dan menghantarnya melalui pos, melampirkan rekod elektromagnetik dalam e-mel dan menghantarnya, membolehkan rekod elektromagnetik dimuat turun dari laman web, dll.). Jika sukar untuk menzahirkan dalam cara yang ditentukan oleh individu, cukup dengan menzahirkan dalam cara yang boleh ditangani. Walau bagaimanapun, dari segi meningkatkan kemudahan individu, diharapkan untuk menangani sebanyak mungkin dalam cara yang sesuai dengan keinginan individu.
Peningkatan Ruang Lingkup Data Peribadi yang Dimiliki yang Menjadi Subjek Penzahiran, dll.
Sebelum pindaan, data peribadi yang disimpan untuk jangka pendek yang akan dihapuskan dalam tempoh 6 bulan tidak termasuk dalam “data peribadi yang dimiliki”, tetapi dalam pindaan undang-undang ini, ia menjadi subjek “data peribadi yang dimiliki” tanpa mengira tempoh penyimpanan.
Oleh itu, pengendali data peribadi yang sebelum pindaan telah mengatur data yang disimpan untuk jangka pendek sebagai bukan subjek permintaan perlu meminda pengendalian mereka.
Penguatan Peraturan Opt-out: Penambahan Item Pemberitahuan, Pengumuman, dan Pengisytiharan
Item berikut telah ditambahkan kepada item yang perlu diberitahu kepada individu, diumumkan, dan dilaporkan kepada Jawatankuasa Perlindungan Data Peribadi.
- Nama dan sebagainya pengendali data peribadi yang menyediakan kepada pihak ketiga
- Cara mendapatkan data peribadi yang disediakan kepada pihak ketiga
Jika anda menggunakan “cara opt-out”, tidak ada masalah selama anda mengumumkan kepada individu terlebih dahulu bahawa “data peribadi akan disediakan kepada pihak ketiga” dan jika ada permintaan dari individu, “penghentian penyediaan kepada pihak ketiga” akan dilakukan.
Dengan pindaan undang-undang kali ini, jika anda ingin menyediakan data peribadi kepada pihak ketiga dengan “cara opt-out”, anda perlu melaporkan terlebih dahulu kepada Jawatankuasa Perlindungan Data Peribadi. Juga, jika anda berhenti menyediakan opt-out, anda perlu membuat pengisytiharan perubahan yang berkaitan.
Oleh itu, pengendali yang menyediakan kepada pihak ketiga dengan “cara opt-out” perlu membuat perubahan dan sebagainya kepada dasar privasi mereka yang membuat pemberitahuan dan pengumuman untuk tujuan tersebut.
Penguatan Peraturan Opt-out: Larangan Opt-out Berganda
Data peribadi yang tidak menjadi subjek “cara opt-out” telah ditambahkan kepada “data peribadi yang perlu dipertimbangkan” dan “data peribadi yang diperoleh secara tidak sah”, dan peraturan larangan opt-out berganda yang tidak boleh menyediakan data peribadi yang diperoleh dengan “cara opt-out” sekali lagi dengan “cara opt-out” juga telah ditubuhkan.
Oleh itu, pengendali data peribadi perlu memeriksa bagaimana data peribadi yang disediakan kepada pihak ketiga dengan “cara opt-out” diperoleh dan diperoleh, dan perlu mengambil tindakan untuk mematuhi pindaan undang-undang.
Penggunaan Data Diperluas oleh Akta Perlindungan Maklumat Peribadi yang Dipinda (Japanese Personal Information Protection Act)
Pembentukan Baru Maklumat Pemprosesan Nama Samaran
Sebagai contoh, kita boleh mempertimbangkan kes di mana maklumat peribadi diproses menjadi ‘Maklumat Pemprosesan Anonim’ atau ‘Maklumat Pemprosesan Nama Samaran’ untuk kegunaan statistik dan sebagainya.
Seperti yang telah disebutkan sebelum ini, ‘Maklumat Pemprosesan Anonim’ adalah data peribadi yang telah diproses sedemikian rupa sehingga tidak dapat mengenal pasti individu tertentu walaupun dibandingkan dengan maklumat lain. Maklumat Pemprosesan Anonim mempunyai peraturan berikut:
- Persetujuan individu tidak diperlukan untuk pemberian kepada pihak ketiga
- Pengenalan dilarang
- Apabila Maklumat Pemprosesan Anonim dibuat, item data peribadi yang terkandung dalam Maklumat Pemprosesan Anonim tersebut perlu diumumkan
Sebaliknya, ‘Maklumat Pemprosesan Nama Samaran’ yang baru ditubuhkan dalam pindaan kali ini adalah data peribadi yang telah diproses dan boleh mengenal pasti individu apabila dibandingkan dengan maklumat lain. Peraturan berikut telah ditetapkan untuk Maklumat Pemprosesan Nama Samaran:
- Tiada sekatan untuk perubahan tujuan penggunaan, tetapi tujuan penggunaan selepas perubahan perlu diumumkan
- Pengenalan dan penghubungan dengan individu dilarang
- Tiada kewajipan untuk mematuhi permintaan penzahiran atau penghentian penggunaan dari individu
- Tiada kewajipan untuk melaporkan atau memberitahu jika terdapat kebocoran
- Pemberian kepada pihak ketiga dilarang
Walau bagaimanapun, jika penerima adalah dalam kes penyerahan perniagaan, penggunaan bersama (syarikat kumpulan, penyelidikan bersama, dll.), adalah mungkin untuk memberikan ‘Maklumat Pemprosesan Nama Samaran’.
Bagi pengendali perniagaan maklumat peribadi, jika mereka melakukan pemprosesan menggunakan ‘Maklumat Pemprosesan Nama Samaran’, mereka mungkin perlu mengubah polisi privasi mereka berkenaan dengan penentuan dan pengumuman tujuan penggunaan dan hubungan dengan pemberian kepada pihak ketiga.
Peraturan Mengenai Maklumat Peribadi yang Menjadi Data Peribadi di Tempat Penerimaan
Di tempat penyerahan, walaupun ia adalah “maklumat berkaitan peribadi”, jika dianggap bahawa ia akan diperoleh sebagai “data peribadi” di tempat penerimaan, tempat penerimaan perlu mengesahkan sama ada persetujuan individu tersebut telah diperoleh dari tempat penyerahan.
Bagi penyedia DMP (Data Management Platform) atau perkhidmatan serupa, peraturan yang setara dengan penyerahan data peribadi kepada pihak ketiga dikenakan.
Contoh: Dalam kes menuntut penulis anonim atas tuduhan pencemaran nama baik, apabila permintaan penzahiran maklumat pengirim dibuat, pengurus laman web yang memiliki alamat IP perlu memberikan maklumat kepada penyedia perkhidmatan komunikasi internet (seperti syarikat NTT dan syarikat telekomunikasi mudah alih).
Peruntukan Mengenai Penguatan Pengawalan Lintas Sempadan & Aplikasi Luar Kawasan
Sebelum pindaan, apabila memberikan data peribadi kepada pihak ketiga di luar negara, syaratnya adalah ‘persetujuan individu’ dan penerima adalah ‘peniaga yang telah menubuhkan sistem yang mematuhi standard’, dan juga ‘negara dengan standard sama dengan Jepun’ seperti EU dan UK.
Dalam undang-undang yang dipinda, syarat tambahan telah ditambahkan kepada dua syarat terdahulu. Secara khususnya, pendedahan maklumat berikut telah diwajibkan semasa mendapatkan ‘persetujuan dari individu’:
- Nama negara destinasi pemindahan
- Sistem perlindungan maklumat peribadi di negara asing tersebut
- Langkah-langkah yang diambil oleh destinasi pemindahan untuk melindungi maklumat peribadi
- Maklumat lain yang harus dirujuk oleh individu tersebut
Selain itu, untuk pengesahan bahawa ‘peniaga yang telah menubuhkan sistem yang mematuhi standard’, sumber pemindahan data diwajibkan untuk mengambil ‘langkah-langkah perlindungan maklumat peribadi yang diperlukan’ dan memberikan maklumat ini atas permintaan individu.
Langkah-langkah yang perlu diambil oleh sumber pemindahan secara khususnya adalah ‘sistem pengurusan untuk keadaan pengendalian yang betul di destinasi pemindahan’ dan ‘tindakan jika risiko timbul dari pengendalian yang betul di destinasi pemindahan’.
Memandangkan terdapat sistem perlindungan maklumat peribadi yang unik di negara-negara lain selain negara anggota sistem GDPR (Peraturan Perlindungan Data Umum) EU yang terkenal dan sistem CBPR UK & APEC, adalah penting untuk memahami dan mengambil tindakan terlebih dahulu bergantung pada keadaan perniagaan.
Sebagai maklumat yang boleh menjadi petunjuk mengenai ‘sistem perlindungan maklumat peribadi’, jika tidak ada kewajipan peniaga atau hak individu yang mematuhi ‘8 Prinsip Panduan Privasi OECD (Organisasi Kerjasama Ekonomi dan Pembangunan)’, anda mesti memberikan maklumat ini kepada individu. Ini kerana ia menunjukkan perbezaan hakiki dengan ‘Undang-Undang Perlindungan Maklumat Peribadi Jepun’.
Di luar negara, dianggap bahawa terdapat sistem perlindungan maklumat peribadi yang lebih ketat daripada Jepun, jadi adalah penting untuk menyiasat dan memahaminya. Untuk maklumat lanjut, sila lihat maklumat hubungan antarabangsa dari Suruhanjaya Perlindungan Maklumat Peribadi.
Dalam undang-undang yang dipinda, Suruhanjaya Perlindungan Maklumat Peribadi kini boleh mengumpul laporan yang dijamin oleh hukuman, memberi arahan, dan melakukan pemeriksaan terhadap peniaga asing, dan usaha telah dibuat untuk menyamakan syarat dengan peniaga domestik.
Untuk melaksanakan kuasa secara berkesan terhadap peniaga domestik dan asing dan untuk menjamin prosedur yang betul, prosedur penghantaran (penghantaran konsul, penghantaran pengumuman, dll.) telah diperincikan. Dari hubungan dengan kedaulatan asing, kecuali jika ada persetujuan dari negara lain, anda tidak boleh melaksanakan kuasa awam di dalam wilayah negara lain, jadi anda akan bekerjasama dengan pihak berkuasa asing mengikut keperluan (tidak ada keperluan untuk menubuhkan wakil seperti GDPR).
Rumusan: Untuk langkah-langkah penyesuaian terhadap pindaan Undang-Undang Perlindungan Data Peribadi Jepun, sila rujuk kepada peguam
Sebagai kesimpulan, kami telah menerangkan tentang pindaan Undang-Undang Perlindungan Data Peribadi Jepun pada tahun Reiwa 4 (2022) dan tindakan yang perlu diambil oleh perniagaan dalam operasi harian mereka. Selain daripada pindaan yang kami nyatakan di sini, terdapat banyak perkara lain yang perlu ditangani oleh perniagaan yang mengendalikan data peribadi.
Di seluruh dunia, peraturan terhadap penggunaan data peribadi semakin ketat. Khususnya, perniagaan yang menyediakan perkhidmatan di internet perlu mempertimbangkan bahawa laman web mereka boleh diakses dari seluruh dunia dan perlu mengambil tindakan yang sesuai dengan peraturan ini.
Perniagaan perlu memeriksa semula sistem pengurusan data peribadi mereka, bukan sahaja berdasarkan pindaan Undang-Undang Perlindungan Data Peribadi Jepun, tetapi juga dengan mempertimbangkan trend global. Jika anda menghadapi masalah dalam menyesuaikan diri dengan pindaan Undang-Undang Perlindungan Data Peribadi, kami menyarankan anda untuk berunding dengan peguam.
Panduan Langkah-langkah oleh Firma Kami
Firma undang-undang Monolith adalah sebuah firma undang-undang yang memiliki kepakaran tinggi dalam bidang IT, khususnya internet dan undang-undang. Kebocoran maklumat peribadi telah menjadi masalah besar pada masa kini. Sekiranya maklumat peribadi bocor, ia mungkin memberi kesan yang sangat buruk kepada aktiviti syarikat. Kami memiliki pengetahuan pakar tentang pencegahan dan langkah-langkah penanggulangan kebocoran maklumat. Butiran lanjut dinyatakan dalam artikel di bawah.
Bidang yang ditangani oleh Firma Undang-Undang Monolith: Undang-Undang Perlindungan Maklumat Peribadi Jepun