Penerangan Mengenai 'Penalti' dalam Akta Perlindungan Maklumat Peribadi Jepun yang Dipinda pada Tahun Reiwa 4 (2022)
Mulai April 2022 (Tahun 2022 mengikut Kalendar Gregorian), Undang-Undang Perlindungan Maklumat Peribadi Jepun yang dipinda telah dikuatkuasakan. Selepas membincangkan tentang tanggungjawab ‘pengendali perniagaan’ dalam Undang-Undang Perlindungan Maklumat Peribadi Jepun yang dipinda pada tahun 2022, kali ini kita akan membincangkan tentang cara penggunaan data dan hukuman yang berkaitan.
Ringkasan Undang-Undang Perlindungan Data Peribadi Jepun (Japanese Personal Information Protection Act) yang Dipinda pada Tahun Reiwa 4 (2022)
Pindaan Undang-Undang Perlindungan Data Peribadi Jepun pada tahun 2022 melibatkan enam perkara berikut:
- Status hak individu
- Status tanggungjawab yang perlu dipatuhi oleh pengusaha
- Status mekanisme untuk menggalakkan usaha sendiri oleh pengusaha
- Status penggunaan data
- Status hukuman
- Status aplikasi luar bidang undang-undang dan pemindahan rentas sempadan
Dalam artikel ‘Penjelasan tentang tanggungjawab pengusaha dalam Undang-Undang Perlindungan Data Peribadi Jepun yang Dipinda pada Tahun 2022[ja]‘, kami telah menjelaskan tentang perkara (1) dan (2). Di sini, kami akan menjelaskan tentang perkara (3), (4), (5), dan (6).
Artikel berkaitan: Apa itu Undang-Undang Perlindungan Data Peribadi dan Data Peribadi? Seorang peguam menjelaskan[ja]
Cara Penyediaan Mekanisme untuk Menggalakkan Usaha Sendiri oleh Pengusaha
Mengenai cara penyediaan mekanisme untuk menggalakkan usaha sendiri oleh pengusaha, kepentingan untuk membentuk peraturan sendiri berkaitan dengan pengendalian data peribadi dalam bidang tertentu oleh organisasi swasta dan untuk memberikan bimbingan secara proaktif kepada pengusaha yang berkenaan semakin meningkat seiring dengan kepelbagaian realiti operasi dan kemajuan teknologi IT.
Dalam Undang-Undang Perlindungan Data Peribadi Jepun (Japanese Personal Information Protection Act), selain daripada Suruhanjaya Perlindungan Data Peribadi, perlindungan maklumat menggunakan organisasi swasta juga diambil kira, dan sistem badan pengesahan telah ditubuhkan. Organisasi seperti badan korporat yang menjalankan pemprosesan aduan berkaitan dengan pengendalian data peribadi dan penyediaan maklumat berkaitan dengan pengendalian data peribadi yang betul kepada pengusaha boleh menerima pengesahan dari Suruhanjaya Perlindungan Data Peribadi dan menjadi “Badan Perlindungan Data Peribadi yang Disahkan”, tetapi dalam undang-undang yang dipinda, sistem badan pengesahan boleh mengesahkan badan yang menargetkan bidang tertentu (bahagian) syarikat sebagai badan yang disahkan (Perenggan 2, Artikel 47). Ini adalah usaha untuk memajukan penggunaan badan yang disahkan dan untuk memajukan perlindungan data peribadi yang memanfaatkan kepakaran oleh badan yang menjalankan aktiviti yang menargetkan perniagaan tertentu.
Cara Penggunaan Data
Ada dua perubahan berkenaan dengan cara penggunaan data:
Pembentukan ‘Maklumat Pseudonim’, dan pelonggaran tanggungjawab (Perkara 2, Perenggan 9)
Dalam undang-undang semasa, maklumat yang hanya dipseudonimkan masih dianggap sebagai ‘maklumat peribadi’, dan perniagaan perlu memikul pelbagai tanggungjawab berkaitan dengan pengendalian maklumat peribadi. Walau bagaimanapun, untuk ‘maklumat peribadi yang telah dipseudonimkan’ ini, keperluan untuk memanfaatkan data semakin meningkat, dengan jaminan keselamatan tertentu dan mempertahankan kegunaan data pada tahap yang sama dengan maklumat peribadi sebelum diproses, membolehkan analisis yang lebih terperinci dilakukan dengan cara pemprosesan yang relatif mudah.
Sebagai respons kepada ini, undang-undang yang dipinda mencipta ‘Maklumat Pseudonim’, yang menghapuskan nama dan sebagainya, dan melonggarkan tanggungjawab seperti menanggapi permintaan penghentian penzahiran dan penggunaan, dengan syarat ia terhad kepada analisis dalaman.
Maklumat Pseudonim yang dicipta adalah ‘maklumat tentang individu yang diperoleh dengan memproses maklumat peribadi sedemikian rupa sehingga tidak dapat mengenal pasti individu tertentu kecuali jika dibandingkan dengan maklumat lain’. Contohnya, ‘Nama, Umur, Tarikh, Masa, Jumlah, Kedai’ diproses menjadi ‘ID Sementara, Umur, Tarikh, Masa, Jumlah, Kedai’. Contoh penggunaan yang dijangka termasuk ‘analisis dalaman untuk tujuan yang tidak relevan dengan tujuan penggunaan asal atau tujuan baru yang sukar untuk ditentukan’ (pembelajaran model pembelajaran mesin untuk penyelidikan dalam bidang perubatan dan farmaseutikal, pengesanan penipuan, ramalan jualan), dan ‘untuk maklumat peribadi yang telah mencapai tujuan penggunaannya, ada kemungkinan akan digunakan untuk analisis statistik di masa depan, jadi ia diproses sebagai Maklumat Pseudonim dan disimpan’.
Untuk cara pembuatan Maklumat Pseudonim, sekurang-kurangnya, ia memerlukan:
- Menghapuskan semua atau sebahagian daripada deskripsi yang dapat mengenal pasti individu tertentu (contoh: nama) (termasuk penggantian)
- Menghapuskan semua kod pengenal pasti peribadi
- Menghapuskan semua atau sebahagian daripada deskripsi yang boleh menyebabkan kerugian harta benda jika digunakan secara tidak sah (contoh: nombor kad kredit)
Langkah-langkah ini diperlukan.
Penyediaan maklumat yang dijangka menjadi data peribadi di tempat penerima (Perkara 26, Dua)
Dalam undang-undang semasa, jika maklumat tidak memenuhi kriteria data peribadi di tempat penyedia, ia tidak akan menjadi subjek peraturan walaupun dijangka menjadi data peribadi di tempat penerima. Walau bagaimanapun, dalam undang-undang yang dipinda, untuk penyediaan kepada pihak ketiga maklumat yang tidak memenuhi kriteria data peribadi di tempat penyedia, tetapi dijangka menjadi data peribadi di tempat penerima, ia memerlukan pengesahan bahawa persetujuan individu telah diperolehi dan sebagainya.
Teknologi yang mengumpulkan data pengguna dalam jumlah besar dan menggabungkannya menjadi data peribadi dalam sekelip mata telah berkembang dan tersebar luas, dan skema yang mengelak dari tujuan undang-undang perlindungan data peribadi dengan memberikan maklumat bukan peribadi kepada pihak ketiga dengan pengetahuan awal bahawa ia akan menjadi data peribadi di tempat penerima semakin berleluasa. Ini kerana kebimbangan bahawa cara pengumpulan data peribadi tanpa penglibatan individu akan semakin meluas.
Mengenai Hukuman
Ada dua perubahan utama mengenai hukuman:
Peningkatan hukuman statutori untuk pelanggaran perintah oleh Jawatankuasa dan laporan palsu kepada Jawatankuasa (Pasal 83, Pasal 87, dan lain-lain)
Seiring dengan peningkatan kes pelanggaran undang-undang, jumlah kes yang melibatkan pengumpulan laporan dan pemeriksaan tempat telah meningkat. Oleh itu, untuk meningkatkan keberkesanan pengumpulan laporan dan pemeriksaan tempat yang menjadi titik permulaan untuk memahami realiti perniagaan, hukuman statutori telah dinaikkan dalam undang-undang yang dipinda.
Bagi pelaku yang ‘melanggar perintah dari Jawatankuasa Perlindungan Data Peribadi Jepun’, hukuman di bawah undang-undang sedia ada adalah penjara selama 6 bulan atau kurang atau denda sebanyak 300,000 yen atau kurang, tetapi di bawah undang-undang yang dipinda, hukuman adalah penjara selama 1 tahun atau kurang atau denda sebanyak 1 juta yen atau kurang. ‘Penyediaan tidak sah database data peribadi dan lain-lain’ masih dikenakan hukuman penjara selama 1 tahun atau kurang atau denda sebanyak 500,000 yen atau kurang, tetapi ‘laporan palsu kepada Jawatankuasa Perlindungan Data Peribadi Jepun’, yang di bawah undang-undang sedia ada dikenakan denda sebanyak 300,000 yen atau kurang, telah dinaikkan kepada denda sebanyak 500,000 yen atau kurang di bawah undang-undang yang dipinda.
Peningkatan denda terhadap badan korporat (Pasal 84, Pasal 85, dan lain-lain)
Di bawah undang-undang sedia ada, jumlah denda terhadap badan korporat adalah sama dengan hukuman statutori bagi pelaku. Namun, dengan mempertimbangkan perbezaan keupayaan kewangan antara badan korporat dan individu, undang-undang yang dipinda telah meningkatkan jumlah maksimum denda (hukuman berat badan korporat) terhadap badan korporat untuk pelanggaran perintah dan lain-lain. Ini adalah kerana, walaupun denda yang sama dikenakan terhadap badan korporat dan pelaku, ia tidak dijangka mempunyai kesan pencegahan yang cukup sebagai hukuman.
Bagi badan korporat yang ‘melanggar perintah dari Jawatankuasa Perlindungan Data Peribadi Jepun’, hukuman di bawah undang-undang sedia ada adalah denda sebanyak 300,000 yen atau kurang, sama dengan pelaku, tetapi di bawah undang-undang yang dipinda, hukuman adalah denda sebanyak 100 juta yen atau kurang. ‘Penyediaan tidak sah database data peribadi dan lain-lain’, yang di bawah undang-undang sedia ada dikenakan denda sebanyak 500,000 yen atau kurang, sama dengan pelaku, tetapi di bawah undang-undang yang dipinda, hukuman adalah denda sebanyak 100 juta yen atau kurang. Walau bagaimanapun, ‘laporan palsu kepada Jawatankuasa Perlindungan Data Peribadi Jepun’, yang di bawah undang-undang sedia ada dikenakan denda sebanyak 300,000 yen atau kurang, sama dengan pelaku, tetap sama di bawah undang-undang yang dipinda, iaitu denda sebanyak 500,000 yen atau kurang.
Aplikasi Luar Wilayah Undang-undang & Cara Penghantaran Lintas Sempadan
Dua perkara berikut telah dipinda berkenaan dengan aplikasi luar wilayah undang-undang dan cara penghantaran lintas sempadan:
Penguatan Aplikasi Luar Wilayah (Perkara 75)
Dalam undang-undang semasa, kuasa yang boleh dilaksanakan terhadap pengendali perniagaan asing yang menjadi subjek aplikasi luar wilayah adalah terhad kepada kuasa yang tidak mempunyai kekuatan paksaan seperti arahan dan nasihat. Walau bagaimanapun, kerana ada kemungkinan bahawa komisi tidak dapat menangani dengan sewajarnya kes-kes kebocoran dan sebagainya di luar negara, dalam undang-undang yang dipinda, pengendali perniagaan asing yang mengendalikan maklumat peribadi dan sebagainya yang berkaitan dengan penyediaan barang atau perkhidmatan farmaseutikal kepada individu di Jepun telah menjadi subjek pengumpulan laporan dan arahan yang dijamin oleh hukuman, dan kuasa pelaksanaan Suruhanjaya Perlindungan Maklumat Peribadi Jepun telah diperkuat.
Peningkatan Penyediaan Maklumat kepada Individu Mengenai Pengendalian Maklumat Peribadi oleh Pengendali Perniagaan Penerima (Perkara 78)
Di beberapa negara, regulasi pengurusan negara telah mula dilihat, dan dengan peluang penghantaran lintas sempadan maklumat peribadi semakin meluas, perbezaan sistem di negara dan wilayah menjadikan kebolehramalan individu dan pengendali data tidak stabil, dan kebimbangan dari sudut pandang perlindungan hak dan kepentingan individu telah timbul.
Sebagai respons terhadap ini, apabila memberikan data peribadi kepada pihak ketiga di luar negara, kita telah meminta peningkatan penyediaan maklumat kepada individu mengenai pengendalian maklumat peribadi oleh pengendali perniagaan penerima, dan sebagai syarat untuk memberikan data peribadi kepada pihak ketiga di luar negara, kita telah mengenakan kewajipan untuk “memberikan maklumat kepada individu mengenai nama negara penerima, keberadaan sistem perlindungan maklumat peribadi di negara penerima, dan sebagainya pada masa mendapatkan persetujuan” pada syarat yang dalam undang-undang semasa adalah “persetujuan individu”, dan “pengendali perniagaan yang telah menyiapkan sistem yang mematuhi standard” pada syarat yang “pengesahan berkala situasi pengendalian oleh pengendali perniagaan penerima + penyediaan maklumat berkaitan atas permintaan individu”.
Rumusan
Pindaan Undang-Undang Perlindungan Data Peribadi Jepun pada tahun 2022, yang merupakan pindaan undang-undang pertama berdasarkan ‘peraturan semakan setiap 3 tahun’, telah melaksanakan peningkatan dalam penghentian penggunaan, penghapusan dan sebagainya, larangan penggunaan yang tidak sesuai, peningkatan dalam penyediaan maklumat berkaitan dengan pemindahan lintas sempadan, pembentukan ‘maklumat yang diproses secara pseudonim’ dan lain-lain. Ini bertujuan untuk melindungi dan memperkuat hak dan kepentingan individu, menangani risiko baru yang timbul dengan peningkatan aliran data lintas sempadan, dan beradaptasi dengan era AI dan Big Data.
Panduan Mengenai Langkah-langkah yang Diambil oleh Firma Kami
Firma undang-undang Monolis adalah sebuah firma undang-undang yang memiliki kepakaran tinggi dalam bidang IT, khususnya internet dan undang-undang. Undang-undang Perlindungan Data Peribadi yang baru sahaja dipinda menarik perhatian ramai, dan keperluan untuk pemeriksaan undang-undang semakin meningkat. Di firma kami, kami menyediakan penyelesaian berkaitan dengan harta intelek. Butiran lanjut dinyatakan dalam artikel di bawah.