Uwagi dotyczące 'Obowiązków przedsiębiorców' w zaktualizowanej 'Japońskiej Ustawie o Ochronie Danych Osobowych' z roku Reiwa 4 (2022)
Od kwietnia 2022 roku (rok 2022 w kalendarzu gregoriańskim) weszła w życie nowelizacja Japońskiej Ustawy o Ochronie Danych Osobowych. Ustawa o Ochronie Danych Osobowych ma na celu zapewnienie odpowiedniego traktowania danych osobowych, jednocześnie chroniąc prawa i interesy jednostki, z uwzględnieniem użyteczności informacji osobowych. Jakie konkretne zmiany wprowadza nowelizacja Japońskiej Ustawy o Ochronie Danych Osobowych? W tym artykule omówimy kwestie praw jednostki i obowiązków przedsiębiorców.
Zmiany i tło Ustawy o ochronie danych osobowych
Ustawa o ochronie danych osobowych, która została uchwalona w 2003 roku i w pełni wdrożona w 2005 roku, została zmieniona w 2015 roku, po upływie 10 lat od jej wdrożenia, z powodu “możliwości wykorzystania danych osobowych, które nie były przewidywane w momencie uchwalenia, dzięki rozwojowi technologii informacyjno-komunikacyjnych”. Zmieniona ustawa została w pełni wdrożona w 2017 roku.
W tej nowelizacji z 2017 roku zawarto postanowienie o “przeglądzie co trzy lata, biorąc pod uwagę międzynarodowe trendy, postęp technologii informacyjnych i sytuację tworzenia i rozwoju nowych branż”.
Postanowienia związane z Ustawą o ochronie danych osobowych z 2017 roku (wybrane fragmenty)
Artykuł 12 (Rozważania)
(Pominięte)
2 Rząd, mając na uwadze sytuację związaną z tworzeniem niezbędnej struktury personalnej, zapewnieniem środków finansowych i innymi środkami niezbędnymi do skutecznego wdrażania tej ustawy, w tym opracowywania i promowania podstawowej polityki ochrony danych osobowych oraz innych spraw podlegających jurysdykcji Komisji Ochrony Danych Osobowych, po trzech latach od wdrożenia tej ustawy, powinien przeprowadzić przegląd w celu jej poprawy i, jeżeli uzna to za konieczne, podjąć odpowiednie środki na podstawie wyników tego przeglądu.
3 Rząd, oprócz spraw określonych w poprzednim punkcie, po trzech latach od wdrożenia tej ustawy, biorąc pod uwagę międzynarodowe trendy w zakresie ochrony danych osobowych, postęp technologii informacyjno-komunikacyjnych, sytuację tworzenia i rozwoju nowych branż wykorzystujących dane osobowe, powinien przeprowadzić przegląd sytuacji wdrożenia nowej Ustawy o ochronie danych osobowych i, jeżeli uzna to za konieczne, podjąć odpowiednie środki na podstawie wyników tego przeglądu.
4, 5 (Pominięte)
6 Rząd, biorąc pod uwagę sytuację wdrożenia nowej Ustawy o ochronie danych osobowych, sytuację wdrożenia środków określonych w punkcie pierwszym i inne okoliczności, powinien przeprowadzić przegląd kwestii prawnych dotyczących ochrony danych osobowych, w tym kwestii konsolidacji przepisów dotyczących ochrony danych osobowych i danych osobowych posiadanych przez organy administracji publicznej, określonych w artykule 2, punkt 1, nowej Ustawy o ochronie danych osobowych.
Nowelizacja Ustawy o ochronie danych osobowych z roku 2022 (Roku 4 Ery Reiwa) jest pierwszą zmianą prawa opartą na tym “postanowieniu o przeglądzie co trzy lata”.
Artykuł powiązany: Czym jest Ustawa o ochronie danych osobowych i dane osobowe? Wyjaśnienie prawnika[ja]
Podsumowanie zmian w Japońskiej Ustawie o Ochronie Danych Osobowych z roku 2022 (Rok 4 Ery Reiwa)
Zmiany w Japońskiej Ustawie o Ochronie Danych Osobowych w 2022 roku dotyczą następujących sześciu punktów:
- Nature prawa jednostki
- Nature obowiązków, które powinien przestrzegać przedsiębiorca
- Nature mechanizmów promujących samodzielne działania przedsiębiorców
- Nature wykorzystania danych
- Nature kary
- Nature zastosowania prawa poza granicami kraju i transferu danych za granicę
W tym artykule omówimy punkty 1 i 2.
Artykuł powiązany: Podsumowanie zmian w Japońskiej Ustawie o Ochronie Danych Osobowych z roku 2022 (Rok 4 Ery Reiwa) dotyczących kar[ja]
Sposób traktowania praw jednostki
W kwestii sposobu traktowania praw jednostki, nastąpiło pięć zmian.
Rozszerzenie praw jednostki do żądania zaprzestania korzystania i usunięcia (Artykuł 30 Japońskiej Ustawy o Ochronie Danych Osobowych)
Obecne prawo ograniczało prawo jednostki do żądania zaprzestania korzystania i usunięcia danych osobowych do przypadków, gdy “dane osobowe były wykorzystywane poza celami” lub “zostały uzyskane za pomocą nielegalnych środków”. Jednakże, nowelizacja ustawy umożliwiła żądanie zaprzestania korzystania, usunięcia i zaprzestania udostępniania danych osobowych trzecim stronom również w przypadkach, gdy “nie ma już potrzeby korzystania z przechowywanych danych osobowych przez podmiot przetwarzający”, “doszło do wycieku danych” lub “istnieje ryzyko naruszenia praw lub słusznych interesów osoby, której dane dotyczą”.
Sposób ujawniania przechowywanych danych osobowych (Artykuł 28 Japońskiej Ustawy o Ochronie Danych Osobowych)
Osoba, której dane dotyczą, może żądać od podmiotu przetwarzającego dane osobowe ujawnienia przechowywanych danych osobowych. Po otrzymaniu takiego żądania, podmiot przetwarzający dane osobowe musi zasadniczo ujawnić przechowywane dane osobowe. Obecne prawo wymagało, aby ujawnienie przechowywanych danych osobowych było dokonywane na piśmie. Jednakże, w przypadku dużych ilości informacji, dostarczenie ich na piśmie może nie być odpowiednie, a ponadto, niektóre przechowywane dane osobowe, takie jak filmy lub dane dźwiękowe, nie nadają się do dostarczenia na piśmie. Dlatego nowelizacja ustawy umożliwiła osobie, której dane dotyczą, żądanie ujawnienia danych “w sposób wskazany przez osobę, której dane dotyczą”, na przykład poprzez dostarczenie zapisu elektromagnetycznego. Podmiot przetwarzający dane osobowe ma obowiązek ujawnić dane w sposób żądany przez osobę, której dane dotyczą.
Od firm przetwarzających dane osobowe wymaga się szybkiego stworzenia systemu umożliwiającego reagowanie na żądania ujawnienia danych w formie cyfrowej.
Żądanie ujawnienia przez osobę, której dane dotyczą, zapisów udostępniania danych osobowych trzecim stronom (Artykuł 28, ustęp 5 Japońskiej Ustawy o Ochronie Danych Osobowych)
Podmiot przetwarzający dane osobowe musi sporządzić zapisy określone w prawie, gdy udostępnia dane osobowe trzecim stronom, a osoba otrzymująca dane osobowe od trzeciej strony również musi sporządzić zapisy określone w prawie. Te zapisy dotyczące udostępniania danych osobowych trzecim stronom i zapisy dotyczące potwierdzenia otrzymania danych osobowych od trzeciej strony są łącznie nazywane “zapisami udostępniania danych osobowych trzecim stronom”.
Obecne prawo nie pozwalało osobie, której dane dotyczą, na żądanie ujawnienia zapisów udostępniania danych osobowych trzecim stronom sporządzonych przez podmiot przetwarzający dane osobowe, ale nowelizacja ustawy umożliwiła osobie, której dane dotyczą, żądanie ujawnienia tych zapisów, co pozwala na śledzenie, co dzieje się z danymi.
Włączenie krótkoterminowych danych przechowywanych do przechowywanych danych osobowych (Artykuł 2, ustęp 7 Japońskiej Ustawy o Ochronie Danych Osobowych)
Obecne prawo definiuje przechowywane dane osobowe jako “dane osobowe, nad którymi podmiot przetwarzający dane osobowe ma władzę do ujawnienia, korekty, dodania lub usunięcia treści, zaprzestania korzystania, usunięcia i zaprzestania udostępniania trzecim stronom”, “dane, które mogą zaszkodzić interesowi publicznemu lub innym interesom, jeśli ich istnienie stanie się jasne, jak określono w rozporządzeniu wykonawczym” lub “dane, które mają być usunięte w ciągu określonego w rozporządzeniu wykonawczym okresu nie dłuższego niż rok”, z wyjątkiem “okresu określonego w rozporządzeniu wykonawczym nie dłuższego niż rok”, który był określony jako 6 miesięcy.
Jednakże, ze względu na możliwość wystąpienia wycieku danych itp. nawet w przypadku danych, które mają być usunięte w krótkim czasie, nowelizacja ustawy uwzględniła również krótkoterminowe dane przechowywane, które mają być usunięte w ciągu 6 miesięcy, jako “przechowywane dane osobowe”.
Ograniczenie zakresu postanowień o rezygnacji (Artykuł 23, ustęp 2 Japońskiej Ustawy o Ochronie Danych Osobowych)
Postanowienia o rezygnacji to “system, który umożliwia udostępnianie danych osobowych trzecim stronom bez zgody osoby, której dane dotyczą, pod warunkiem, że osoba, której dane dotyczą, może żądać zaprzestania udostępniania po fakcie, po upublicznieniu informacji takich jak rodzaj danych osobowych, które mogą być udostępnione”, ale obecne prawo wyłączało tylko dane osobowe wymagające szczególnej ostrożności.
Nowelizacja ustawy ograniczyła zakres danych osobowych, które mogą być udostępniane trzecim stronom, i wyłączyła również “dane osobowe uzyskane nielegalnie” i “dane osobowe udostępniane na mocy postanowień o rezygnacji”.
Sposób wykonywania obowiązków przez przedsiębiorców
W kwestii sposobu wykonywania obowiązków przez przedsiębiorców, nastąpiły dwie zmiany.
Obowiązek zgłaszania wycieków danych (Artykuł 22, ustęp 2, Japońskiej Ustawy o Ochronie Danych Osobowych)
W obecnej ustawie, zgłaszanie wycieków danych nie jest obowiązkowe, co prowadzi do sytuacji, w której niektóre firmy nie podejmują aktywnych działań w tym zakresie. Jeżeli przedsiębiorca nie ujawnił takiego incydentu, Japońska Komisja Ochrony Danych Osobowych mogła nie być w stanie odpowiednio zareagować, nie mając pełnej świadomości sytuacji. W nowelizacji ustawy, w przypadku wystąpienia wycieku danych, który może poważnie naruszyć prawa i interesy osób, zgłoszenie do Komisji Ochrony Danych Osobowych oraz powiadomienie osoby, której dane dotyczą, stało się obowiązkowe.
Obowiązek zgłaszania wycieków danych dotyczy incydentów takich jak “wyciek szczególnie wrażliwych danych osobowych”, “wyciek spowodowany nieautoryzowanym dostępem” oraz “wyciek, który może prowadzić do strat finansowych”, niezależnie od liczby przypadków, a także “masowych wycieków” przekraczających 1000 przypadków.
Zakaz korzystania z danych w niewłaściwy sposób (Artykuł 16, ustęp 2, Japońskiej Ustawy o Ochronie Danych Osobowych)
W obliczu szybkiego rozwoju technologii analizy danych, obserwuje się wzrost form korzystania z danych osobowych, które potencjalnie mogą naruszać prawa i interesy osób, co budzi coraz większe obawy konsumentów. W odpowiedzi na to, nowelizacja ustawy jasno określa, że nie wolno korzystać z danych osobowych w niewłaściwy sposób, tak jak w przypadku promowania nielegalnych lub niewłaściwych działań.
Przez “niewłaściwe metody, takie jak promowanie nielegalnych lub niewłaściwych działań” rozumie się “dostarczanie danych osobowych podmiotom prowadzącym działalność niezgodną z prawem” lub “tworzenie bazy danych z danych osobowych, które są publicznie dostępne poprzez ogłoszenia sądowe itp., mimo że można przewidzieć, że może to prowadzić do dyskryminacji, i publikowanie jej w Internecie”, co odnosi się do dość poważnych przypadków.
Podsumowanie
W tym artykule omówiliśmy punkty 1 i 2 zmian. Punkty 3, 4, 5 i 6 zmian zostaną omówione w innym artykule.
Artykuł powiązany: Wyjaśnienie ‘kary’ w zmienionym w roku 2022 (Rok 4 Reiwa) Japońskim Prawie Ochrony Danych Osobowych[ja]
Informacje o środkach podjętych przez naszą kancelarię
Kancelaria prawna Monolis specjalizuje się w IT, a w szczególności w prawie internetowym. Nowo zaktualizowane Japońskie Prawo o Ochronie Danych Osobowych przyciąga dużo uwagi, a potrzeba kontroli prawnej stale rośnie. Nasza kancelaria oferuje rozwiązania związane z własnością intelektualną. Szczegóły znajdują się w poniższym artykule.