MONOLITH LAW OFFICE+81-3-6262-3248Dni powszednie 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Czym jest GDPR? Wyjaśnienie różnic między nim a japońską ustawą o ochronie danych osobowych oraz punkty, na które powinny zwrócić uwagę japońskie przedsiębiorstwa

General Corporate

Czym jest GDPR? Wyjaśnienie różnic między nim a japońską ustawą o ochronie danych osobowych oraz punkty, na które powinny zwrócić uwagę japońskie przedsiębiorstwa

Przy rozwijaniu działalności na terenie Unii Europejskiej konieczna jest wszechstronna wiedza na temat ogólnego rozporządzenia o ochronie danych (GDPR). Przepisy GDPR mogą być również stosowane do japońskich firm, które nie posiadają siedziby w UE. Zdobądź podstawową wiedzę na temat GDPR oraz japońskiej ustawy o ochronie danych osobowych i zadbaj o odpowiednie zarządzanie danymi.

W niniejszym artykule wyjaśniamy, czym jest GDPR, jakie są różnice między nim a japońską ustawą o ochronie danych osobowych oraz na co powinny zwrócić uwagę japońskie przedsiębiorstwa. Jeśli jesteś osobą odpowiedzialną za kwestie prawne i zastanawiasz się, czy konieczna jest zmiana przepisów dotyczących ochrony danych lub chcesz poznać przepisy, które należy wziąć pod uwagę przy ekspansji na rynek UE, niniejszy artykuł z pewnością okaże się dla Ciebie przydatny.

Czym jest RODO (Ogólne Rozporządzenie o Ochronie Danych)

Ekran blokady smartfona

“RODO (Ogólne Rozporządzenie o Ochronie Danych)” to przepisy dotyczące ochrony danych osobowych, określone przez Unię Europejską (EU), znane w Japonii również jako “Ogólne Rozporządzenie o Ochronie Danych”.

Jego celem jest ustanowienie surowych standardów dotyczących przetwarzania danych osobowych w obrębie UE i wzmocnienie ochrony prywatności osób fizycznych.

Z perspektywy ochrony danych osobowych, RODO dostarcza wytycznych dotyczących tego, jak przedsiębiorstwa i organizacje powinny przetwarzać dane, oraz jak osoby fizyczne mogą chronić swoje informacje.

Referencja: Komisja Ochrony Danych Osobowych | “Tymczasowe japońskie tłumaczenie Ogólnego Rozporządzenia o Ochronie Danych (RODO)[ja]

Podstawowe zasady RODO są następujące:

  • Legalność, uczciwość i przejrzystość
  • Ograniczenie celów
  • Minimalizacja danych
  • Dokładność
  • Ograniczenie przechowywania danych
  • Integralność i poufność

W dalszej części wyjaśnimy każdą z podstawowych zasad.

Zgodność z prawem, uczciwość i przejrzystość

Na czele podstawowych zasad RODO (Rozporządzenia Ogólnego o Ochronie Danych) znajduje się zgodność z prawem, uczciwość i przejrzystość.

Przedsiębiorcy, którzy zbierają i przetwarzają dane osobowe, muszą opierać swoje działania na legalnie uzasadnionych podstawach i w sposób zrozumiały informować zainteresowane osoby o tym, jak przetwarzanie danych jest przeprowadzane.

Ponadto, przedsiębiorcy są zobowiązani do wyraźnego dostarczania informacji dotyczących prywatności oraz zapewnienia przejrzystości, tak aby osoby, których dane dotyczą, mogły zrozumieć i kontrolować sposób, w jaki ich dane są przetwarzane.

Ograniczenie celu użytkowania

Ograniczenie celu użytkowania oznacza, że zbieranie i przetwarzanie danych powinno odbywać się wyłącznie dla określonych i jasno zdefiniowanych celów.

Podmioty gospodarcze pozyskujące dane osobowe muszą precyzyjnie i konkretnie określić cel ich zbierania wobec osób, których dane dotyczą, i uzyskać wyraźną zgodę. Następnie, od przedsiębiorców wymaga się, aby ograniczyli wykorzystanie zebranych danych wyłącznie do celów, na które uzyskali zgodę od podmiotu danych, i aby zarządzali tymi danymi w sposób rygorystyczny.

Minimalizacja danych osobowych

Zbieranie danych osobowych powinno być ograniczone (zminimalizowane) do zakresu niezbędnego do osiągnięcia celu. Należy zbierać dane osobowe tylko w zakresie odpowiednim do żądanego celu i unikać gromadzenia zbędnych informacji osobowych.

Dzięki temu ilość przechowywanych danych osobowych jest zredukowana do minimum, co chroni prywatność osób.

Dokładność

Zgodnie z podstawowymi zasadami ogólnego rozporządzenia o ochronie danych (GDPR), dane osobowe muszą być dokładne. Niedokładne dane osobowe powinny być poprawiane, a także powinny być podejmowane środki w celu utrzymania informacji w stanie aktualnym i dokładnym.

Dzięki temu prawa i interesy osób są chronione, a przetwarzanie danych osobowych odbywa się na podstawie prawidłowych informacji.

Ograniczenia w przechowywaniu danych

W podstawowych zasadach ogólnego rozporządzenia o ochronie danych (GDPR) istnieje koncepcja ograniczenia przechowywania danych. Dane osobowe, które stały się zbędne po osiągnięciu celu, powinny być niezwłocznie usunięte.

Nieprzechowywanie zbędnych danych osobowych pozwala na właściwe zarządzanie danymi osobowymi i ochronę prywatności.

Kompletność i poufność

Dane osobowe muszą być kompletne i ich poufność musi być zachowana. Należy chronić dane osobowe przed fałszerstwem, utratą oraz podjąć odpowiednie środki ochrony przed nieautoryzowanym dostępem.

Dzięki temu wiarygodność danych osobowych ulega zwiększeniu.

Zakres stosowania RODO nie ogranicza się tylko do firm w UE?

Zarządzanie informacją

RODO nie dotyczy wyłącznie firm działających na terenie UE. Może ono również dotyczyć japońskich firm. Poniżej wyjaśniamy cztery kategorie firm, na które RODO może mieć zastosowanie.

Podmioty, do których stosuje się RODOOpis
Firmy z siedzibą w UE | “Administrator”Organizacja, która określa cele i środki przetwarzania danych oraz posiada prawa do danych, nazywana jest administratorem.
Przykładem mogą być firmy z centralą lub oddziałami w UE.
Administrator odpowiada za zapewnienie legalnej i przejrzystej obróbki danych.
Firmy przetwarzające dane osobowe na zlecenie firm z UE | “Procesor”Gdy firma z UE zleca przetwarzanie danych innej firmie, ta druga staje się “procesorem” i podlega RODO.
Procesor również ponosi odpowiedzialność za zapewnienie bezpieczeństwa i legalności przetwarzania danych.
Firmy oferujące towary lub usługi osobom w UEDotyczy to firm prowadzących sklepy internetowe lub świadczących usługi online.
Przetwarzanie danych związanych z oferowanymi towarami lub usługami musi być zgodne z wymogami RODO.
Firmy monitorujące osoby w UEMonitorowanie oznacza długoterminowe śledzenie określonych działań lub stanu osoby.
Przykłady to firmy korzystające z kamer monitoringu lub śledzące działania online, które muszą przestrzegać legalnego przetwarzania danych.

Firmy, na które ma zastosowanie RODO, są zobowiązane do legalnego i przejrzystego przetwarzania danych, zapewnienia ich bezpieczeństwa oraz przestrzegania standardów RODO.

Powiązane artykuły: Co w przypadku zastosowania RODO poza UE? Wyjaśniamy metody postępowania[ja]

Obsługa danych osobowych w świetle RODO

Obsługa danych osobowych

RODO (Ogólne Rozporządzenie o Ochronie Danych) zapewnia ramy ochrony prywatności oraz przepływu danych osobowych.

Celem i zasadami tego rozporządzenia jest ochrona podstawowych praw i wolności, w szczególności szacunek dla prywatności osobistej oraz wspieranie swobodnego przepływu danych osobowych (art. 4 RODO).

RODO chroni kontrolę i szacunek dla danych osobowych, jednocześnie promując ich przepływ i zapewniając wiarygodność poprzez odpowiednie zarządzanie.

W tym celu kluczowe są przejrzystość przetwarzania danych i odpowiedzialność przedsiębiorstw, które są zobowiązane do odpowiedniego postępowania z danymi zgodnie z przepisami.

RODO zawiera również następujące przepisy:

Przedsiębiorstwa podlegające RODO, przy “przetwarzaniu” danych osobowych, zasadniczo wymagają zgody osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO).
Administrator musi być w stanie udowodnić, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie danych osobowych (art. 7 ust. 1 RODO).
Ponadto osoba, której dane dotyczą, może w każdej chwili wycofać swoją zgodę na przetwarzanie danych osobowych (art. 7 ust. 3 RODO).

Warto jednak zauważyć, że istnieją przypadki, w których “przetwarzanie” danych osobowych jest dozwolone nawet bez zgody osoby, której dane dotyczą. Oto niektóre przykłady:

  • Gdy jest to niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą
  • Gdy jest to niezbędne do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy
  • Gdy jest to niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze
  • Gdy jest to niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej
  • Gdy jest to niezbędne dla wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi
  • Gdy jest to niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, pod warunkiem, że nie mają one nadrzędności nad interesami lub podstawowymi prawami i wolnościami osoby, której dane dotyczą

Główne prawa dotyczące danych osobowych w rozporządzeniu GDPR

Prawa do danych osobowych

W rozporządzeniu GDPR osobom, których dane dotyczą, przyznaje się głównie następujące prawa:

  • Prawo dostępu do danych osobowych
  • Prawo żądania sprostowania lub usunięcia danych osobowych
  • Prawo żądania ograniczenia przetwarzania danych osobowych
  • Prawo wniesienia sprzeciwu wobec przetwarzania danych osobowych

Podmioty danych mają prawo do zrozumienia, jak ich informacje są wykorzystywane przez dostawcę. Jeśli czują, że informacje są niedokładne lub są wykorzystywane w sposób nieodpowiedni, mogą zażądać ich sprostowania lub usunięcia, a także mogą żądać tymczasowego wstrzymania ich wykorzystania lub wniesienia sprzeciwu.

Główne obowiązki dotyczące danych osobowych w rozporządzeniu GDPR

Odpowiedzialność za dane osobowe

Podczas gdy osobom, których dane dotyczą, przyznaje się powyższe prawa, przedsiębiorstwa zajmujące się zbieraniem i przetwarzaniem danych osobowych mają głównie następujące obowiązki:

  • Stworzenie systemów i struktur personalnych do obsługi danych osobowych zgodnie z GDPR
  • Rejestrowanie działań związanych z przetwarzaniem danych osobowych
  • Odpowiedzialność za reagowanie w przypadku naruszenia danych osobowych

Aby dane osobowe były odpowiednio chronione, obowiązki te, które spoczywają na przedsiębiorstwach, są kluczowe.

Ponadto, w kontekście danych osobowych, niezbędne jest, aby wszystkie działania związane z przetwarzaniem danych były odpowiednio dokumentowane, co umożliwia ich przegląd w razie potrzeby.

W przypadku naruszenia danych osobowych, przedsiębiorstwo ma obowiązek podjąć odpowiednie środki i powiadomić zainteresowane strony.

W przypadku naruszenia RODO

Mężczyzna otrzymujący żółtą kartkę

Jeśli administrator lub procesor naruszy Ogólne Rozporządzenie o Ochronie Danych (RODO), może zostać obciążony odpowiedzialnością za szkody wyrządzone osobie, której dane dotyczą, i może być zobowiązany do wypłaty odszkodowania (art. 82 ust. 1 RODO).

Ponadto, naruszenie RODO może prowadzić do surowych konsekwencji. Na przykład, za naruszenia mogą być nakładane kary pieniężne przez Unię Europejską zgodnie z art. 83 RODO (art. 83 RODO).

Różnice między RODO a japońską ustawą o ochronie danych osobowych

Mężczyzna przeprowadzający dochodzenie

Główne różnice między RODO a japońską ustawą o ochronie danych osobowych są następujące:

  • Zakres ochrony
  • Reakcja na naruszenie danych osobowych
  • Ustanowienie przedstawiciela
  • Kary za naruszenie przepisów

Poniżej przedstawiamy szczegółowe wyjaśnienie.

Zakres ochrony

RODO oraz japońska ustawa o ochronie danych osobowych różnią się pod względem danych, które podlegają ochronie. RODO chroni dane osobowe przetwarzane w obrębie Unii Europejskiej na szeroką skalę. Dotyczy to nie tylko firm z siedzibą w UE, ale również tych, które oferują towary lub usługi osobom znajdującym się w UE.

Z kolei zakres ochrony japońskiej ustawy o ochronie danych osobowych różni się w zależności od kraju lub regionu.

Na przykład, japońska ustawa o ochronie danych osobowych dotyczy informacji osobowych przetwarzanych w kraju i zasadniczo ogranicza ochronę do granic krajowych.

Reakcja na naruszenie danych osobowych

RODO i japońska ustawa o ochronie danych osobowych różnią się również pod względem reakcji na naruszenie danych osobowych.

W przypadku RODO, gdy dojdzie do naruszenia danych, przedsiębiorstwa mają obowiązek zgłosić to do organu nadzorczego w ciągu 72 godzin. Ponadto, mają również obowiązek szybkiego i wyraźnego poinformowania podmiotu danych osobowych o naruszeniu.

W ramach japońskiej ustawy o ochronie danych osobowych również wymaga się szybkiego powiadomienia w przypadku naruszenia danych, jednak terminy zgłoszeń i treść powiadomień różnią się w zależności od kraju lub regionu.

Ustanowienie przedstawiciela

RODO i japońska ustawa o ochronie danych osobowych różnią się także w kwestii ustanowienia przedstawiciela.

W przypadku RODO, przy przetwarzaniu danych osobowych dzieci wymagana jest zgoda rodziców lub opiekunów prawnych. Dodatkowo, firmy oferujące usługi online, które przetwarzają dane osobowe dzieci poniżej 16 roku życia, muszą uzyskać zgodę rodziców.

Japońska ustawa o ochronie danych osobowych również wymaga zgody opiekunów prawnych przy przetwarzaniu danych osobowych dzieci, jednak wiek dziecka i metody uzyskiwania zgody różnią się w zależności od przepisów prawnych.

Kary za naruszenie przepisów

Jedną z różnic między RODO a japońską ustawą o ochronie danych osobowych są kary za naruszenie przepisów.

W przypadku RODO, za naruszenia mogą być nałożone kary finansowe w wysokości do 4% rocznego obrotu całej firmy lub 20 milionów euro.

Kary przewidziane w japońskiej ustawie o ochronie danych osobowych różnią się w zależności od kraju lub regionu, ale charakterystyczne są zazwyczaj grzywny lub odpowiedzialność prawna. Wysokość grzywny zależy od charakteru i powagi naruszenia.

Kluczowe punkty działań, jakie japońskie przedsiębiorstwa powinny podjąć w odpowiedzi na RODO (GDPR)

Kobieta rozmawiająca przez telefon

Następujące przedsiębiorstwa muszą podjąć działania w odpowiedzi na RODO (GDPR):

  • Przedsiębiorstwa posiadające filie, oddziały lub biura handlowe na terenie UE
  • Przedsiębiorstwa dostarczające towary lub usługi z Japonii na teren UE
  • Przedsiębiorstwa, które otrzymały zlecenie przetwarzania danych osobowych od firm z UE

Jako konkretny przykład działań w przedsiębiorstwie, artykuł 32 oraz preambuła (83) RODO (GDPR) zalecają stosowanie technologii ochrony danych, takich jak szyfrowanie.

W związku z tym konieczne jest szyfrowanie danych osobowych na komputerach klientów, dyskach twardych, pamięciach USB, współdzielonych folderach i innych nośnikach danych.

Ponadto konieczne jest dostosowanie polityki prywatności do wymogów RODO (GDPR). Szczegółowe wyjaśnienie polityki prywatności zgodnej z RODO (GDPR) znajduje się w poniższym artykule.

Powiązany artykuł: Wyjaśnienie kluczowych punktów tworzenia polityki prywatności zgodnej z RODO (GDPR)[ja]

Podsumowanie: Konsultacje z ekspertami w zakresie GDPR są kluczowe

Prawnik czytający 'Rokuhō Zensho'

GDPR, czyli Ogólne Rozporządzenie o Ochronie Danych, to przepis mający na celu szeroką ochronę danych osobowych przetwarzanych w obrębie Unii Europejskiej, wymagający legalnego i przejrzystego ich przetwarzania oraz zapewnienia bezpieczeństwa. Różnice między GDPR a japońską Ustawą o Ochronie Danych Osobowych obejmują zakres ochrony, reakcję na naruszenie danych osobowych, ustanowienie przedstawiciela oraz sankcje za naruszenia.

Podmioty, które muszą stosować się do GDPR, to głównie te, które mają siedzibę w Unii Europejskiej, oferują towary lub usługi osobom w UE, lub przetwarzają dane osobowe na zlecenie firm z UE. Naruszenie przepisów GDPR może skutkować roszczeniami o odszkodowanie lub nałożeniem sankcji finansowych, dlatego należy zachować szczególną ostrożność.

Jeśli chodzi o konieczność dostosowania wewnętrznych regulacji ochrony danych firmy do wymogów GDPR, zaleca się konsultacje ze specjalistami.

Informacje o środkach podejmowanych przez naszą kancelarię

Kancelaria Prawna Monolith posiada bogate doświadczenie w dziedzinie IT, a w szczególności w aspektach prawnych związanych z Internetem. W obliczu rosnącej globalizacji biznesu, potrzeba profesjonalnej analizy prawnej staje się coraz bardziej istotna. Nasza kancelaria oferuje rozwiązania z zakresu prawa międzynarodowego.

Specjalizacje Kancelarii Prawnej Monolith: Prawo międzynarodowe i działalność zagraniczna[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Wróć do góry