Omówienie 'kary' w zmienionym w roku Reiwa 4 (2022) Japońskiej Ustawie o Ochronie Danych Osobowych

Od kwietnia 2022 roku (rok Gregoriański 2022) weszła w życie nowelizacja Japońskiej Ustawy o Ochronie Danych Osobowych. Po omówieniu punktów, na które należy zwrócić uwagę w zakresie “Obowiązków przedsiębiorcy” w ramach nowelizacji Japońskiej Ustawy o Ochronie Danych Osobowych z 2022 roku, tym razem omówimy sposób wykorzystania danych i kwestie kar.

Podsumowanie zmian w Japońskiej Ustawie o Ochronie Danych Osobowych z roku 2022 (Rok 4 Ery Reiwa)

Zmiany w Japońskiej Ustawie o Ochronie Danych Osobowych z roku 2022 dotyczą następujących sześciu punktów:

1. Nature prawa jednostki
2. Nature obowiązków, które powinien przestrzegać przedsiębiorca
3. Nature mechanizmu zachęcającego przedsiębiorców do samodzielnych działań
4. Nature wykorzystania danych
5. Nature kary
6. Nature zastosowania prawa poza granicami kraju i transferu danych za granicę

W artykule “Zmiany w Japońskiej Ustawie o Ochronie Danych Osobowych z roku 2022 – Uwagi dotyczące ‘Obowiązków przedsiębiorcy'[ja]” omówiliśmy punkty (1) i (2) zmian. W tym miejscu omówimy punkty (3), (4), (5) i (6).

Powiązane artykuły: Co to jest Japońska Ustawa o Ochronie Danych Osobowych i dane osobowe? Wyjaśnienie prawnika[ja]

Sposób promowania samodzielnych działań przedsiębiorców

W kontekście mechanizmu promującego samodzielne działania przedsiębiorców, znaczenie wzrasta wraz z różnorodnością rzeczywistych operacji biznesowych i postępem technologii IT. Prywatne organizacje tworzą własne zasady dotyczące obsługi danych osobowych w określonych dziedzinach i aktywnie prowadzą działania edukacyjne wobec przedsiębiorstw.

W japońskim Prawie o Ochronie Danych Osobowych (Japanese Personal Information Protection Law), oprócz Komisji Ochrony Danych Osobowych, wykorzystuje się prywatne organizacje do ochrony informacji, a system certyfikacji organizacji jest ustanowiony. Organizacje, takie jak korporacje, które przetwarzają skargi dotyczące obsługi danych osobowych i dostarczają informacje o odpowiednim postępowaniu z danymi osobowymi do przedsiębiorstw, mogą otrzymać certyfikację od Komisji Ochrony Danych Osobowych i stać się “Certyfikowaną Organizacją Ochrony Danych Osobowych”. W nowelizacji prawa, system certyfikacji organizacji pozwala na certyfikację organizacji, które koncentrują się na określonych obszarach (działach) przedsiębiorstw (art. 47 ust. 2). Jest to inicjatywa mająca na celu promowanie wykorzystania certyfikowanych organizacji i promowanie ochrony danych osobowych przez organizacje specjalizujące się w określonych działaniach biznesowych.

Sposób wykorzystania danych

W kwestii wykorzystania danych, nastąpiły dwie zmiany.

Utworzenie “informacji pseudonimizowanych” i złagodzenie obowiązków (Artykuł 2, punkt 9)

Obecnie, informacje, które zostały jedynie pseudonimizowane, nadal są traktowane jako “informacje osobiste”, a podmioty gospodarcze muszą nadal spełniać różne obowiązki związane z przetwarzaniem informacji osobistych. Jednakże, istnieje rosnące zapotrzebowanie na wykorzystanie tych “pseudonimizowanych informacji osobistych” w celu przeprowadzenia bardziej szczegółowych analiz za pomocą stosunkowo prostych metod przetwarzania, zachowując przy tym pewien poziom bezpieczeństwa i użyteczność danych na poziomie zbliżonym do informacji osobistych przed przetwarzaniem.

W odpowiedzi na to, nowelizacja prawa wprowadza “informacje pseudonimizowane”, które są tworzone poprzez usunięcie imion i nazwisk, i złagodzi obowiązki, takie jak reagowanie na żądania ujawnienia lub zaprzestania korzystania z danych, pod warunkiem, że są one ograniczone do analiz wewnętrznych, w celu promowania innowacji.

Utworzone informacje pseudonimizowane to “informacje o osobach, które zostały przetworzone z informacji osobistych w taki sposób, że nie można zidentyfikować konkretnej osoby, chyba że zostaną one porównane z innymi informacjami”. Na przykład, “imię i nazwisko, wiek, data, czas, kwota, sklep” są przetwarzane na “pseudonim, wiek, data, czas, kwota, sklep”. Przykładowe zastosowania obejmują “analizy wewnętrzne dla celów, które nie były pierwotnym celem użytkowania, lub dla nowych celów, które są trudne do oceny” (takie jak badania w dziedzinie medycyny i farmacji, wykrywanie oszustw, prognozowanie sprzedaży, itp. za pomocą modeli uczenia maszynowego), oraz “przetwarzanie informacji osobistych, które osiągnęły swój cel użytkowania, jako informacje pseudonimizowane i przechowywanie ich na przyszłe analizy statystyczne”.

Co do metody tworzenia informacji pseudonimizowanych, wymaga się przynajmniej:

• usunięcia wszystkich lub części opisów, które mogą zidentyfikować konkretną osobę (np. imię i nazwisko) (włączając w to zastąpienie)
• usunięcia wszystkich kodów identyfikujących osobę
• usunięcia opisów, które mogą spowodować straty finansowe, jeśli zostaną wykorzystane w sposób nieuprawniony (np. numer karty kredytowej)

Wymaga się podjęcia tych środków.

Obowiązek sprawdzenia informacji, które mogą stać się danymi osobowymi u odbiorcy (Artykuł 26, punkt 2)

Obecnie, jeśli informacje nie są danymi osobowymi u dostawcy, nie są one regulowane, nawet jeśli przewiduje się, że staną się danymi osobowymi u odbiorcy. Jednakże, nowelizacja prawa nakłada obowiązek sprawdzenia, czy zgoda osoby, której dane dotyczą, została uzyskana, itp., w przypadku udostępniania informacji, które nie są danymi osobowymi u dostawcy, ale mogą stać się danymi osobowymi u odbiorcy.

W wyniku rozwoju i rozpowszechnienia technologii, które gromadzą duże ilości danych użytkowników i natychmiast łączą je w dane osobowe, schematy, które obejmują udostępnianie informacji nieosobowych jako dane osobowe odbiorcy, wiedząc z góry, że staną się one danymi osobowymi, są coraz bardziej powszechne, co jest sprzeczne z celem ochrony danych osobowych. Jest to z powodu obaw, że metody zbierania danych osobowych bez udziału osoby, której dane dotyczą, mogą się rozprzestrzeniać.

O karach

Zasady dotyczące kar zostały zmienione w dwóch kluczowych punktach.

Zwiększenie ustawowych kar za naruszenie nakazów Komisji i fałszywe raportowanie do Komisji (Artykuł 83, Artykuł 87, itd.)

W obliczu wzrostu przypadków naruszeń prawa, liczba spraw, w których są zbierane raporty i przeprowadzane inspekcje, również rośnie. W związku z tym, w nowelizacji ustawy, uznano za konieczne zwiększenie skuteczności tych działań, co doprowadziło do podniesienia ustawowych kar.

W przypadku “naruszenia nakazów Japońskiej Komisji Ochrony Danych Osobowych” przez sprawcę, dotychczasowa kara wynosiła do 6 miesięcy pozbawienia wolności lub grzywna do 300 000 jenów, ale w nowelizacji ustawy kara ta została zwiększona do 1 roku pozbawienia wolności lub grzywny do 1 000 000 jenów. “Nielegalne udostępnianie bazy danych z danymi osobowymi, itp.” nadal podlega karze do 1 roku pozbawienia wolności lub grzywnie do 500 000 jenów, ale “fałszywe raportowanie do Japońskiej Komisji Ochrony Danych Osobowych”, które dotychczas było karane grzywną do 300 000 jenów, w nowelizacji ustawy zostało zwiększone do grzywny do 500 000 jenów.

Zwiększenie kar pieniężnych dla osób prawnych (Artykuł 84, Artykuł 85, itd.)

W dotychczasowym prawie, kary pieniężne dla osób prawnych były takie same jak dla sprawców. Jednakże, biorąc pod uwagę różnice w zasobach finansowych między osobami prawnymi a fizycznymi, w nowelizacji ustawy, kary pieniężne za naruszenie nakazów, itp., dla osób prawnych zostały zwiększone (większe kary dla osób prawnych). Nawet jeśli nałożono na osobę prawną taką samą grzywnę jak na sprawcę, nie można oczekiwać, że będzie to skuteczne środki odstraszające.

W przypadku “naruszenia nakazów Japońskiej Komisji Ochrony Danych Osobowych” przez osobę prawną, dotychczasowa kara wynosiła do 300 000 jenów, tak samo jak dla sprawcy, ale w nowelizacji ustawy kara ta została zwiększona do 100 000 000 jenów. “Nielegalne udostępnianie bazy danych z danymi osobowymi, itp.” było dotychczas karane grzywną do 500 000 jenów, tak samo jak dla sprawcy, ale w nowelizacji ustawy kara ta została zwiększona do 100 000 000 jenów. Jednakże, “fałszywe raportowanie do Japońskiej Komisji Ochrony Danych Osobowych”, które dotychczas było karane grzywną do 300 000 jenów, tak samo jak dla sprawcy, w nowelizacji ustawy nadal podlega grzywnie do 500 000 jenów.

Zastosowanie prawa poza granicami kraju i sposób przekazywania danych za granicę

W kwestii zastosowania prawa poza granicami kraju i sposobu przekazywania danych za granicę, wprowadzono następujące dwie zmiany.

Wzmocnienie zastosowania prawa poza granicami kraju (Artykuł 75 Japońskiej Ustawy o Ochronie Danych Osobowych)

W obecnej ustawie, uprawnienia, które mogą być wykorzystane wobec zagranicznych przedsiębiorców, na które rozciąga się zastosowanie prawa poza granicami kraju, ograniczały się do uprawnień nieposiadających mocy przymusu, takich jak doradztwo i zalecenia. Jednakże, ze względu na ryzyko, że Komisja Ochrony Danych Osobowych może nie być w stanie odpowiednio zareagować na incydenty takie jak wycieki danych za granicą, nowelizacja ustawy przewiduje, że zagraniczni przedsiębiorcy, którzy przetwarzają dane osobowe związane z dostarczaniem towarów lub usług farmaceutycznych na terytorium Japonii, będą podlegać sankcjom w postaci obowiązku zgłaszania i wydawania poleceń, co ma na celu wzmocnienie uprawnień Komisji Ochrony Danych Osobowych.

Poprawa dostarczania informacji o przetwarzaniu danych osobowych przez przedsiębiorcę, do którego dane są przekazywane (Artykuł 78 Japońskiej Ustawy o Ochronie Danych Osobowych)

W niektórych krajach zaczynają pojawiać się regulacje na poziomie państwowym, a wraz z rozszerzaniem się możliwości przekazywania danych osobowych za granicę, różnice w systemach prawnych różnych krajów i regionów powodują niestabilność przewidywalności dla osób i przedsiębiorców przetwarzających dane, co budzi obawy z punktu widzenia ochrony praw i interesów osób.

W odpowiedzi na to, postanowiono wymagać poprawy dostarczania informacji o przetwarzaniu danych osobowych przez przedsiębiorcę, do którego dane są przekazywane, podczas przekazywania danych osobowych do podmiotu trzeciego za granicą. Jako warunki umożliwiające przekazanie danych osobowych do podmiotu trzeciego za granicą, zamiast “zgody osoby”, która była wymagana w obecnej ustawie, wprowadzono obowiązek “informowania osoby o nazwie kraju, do którego dane są przekazywane, oraz o istnieniu lub braku systemu ochrony danych osobowych w tym kraju podczas uzyskiwania zgody”. Zamiast wymogu, że przedsiębiorca musi “mieć system zgodny ze standardami”, wprowadzono obowiązek “regularnego sprawdzania sposobu przetwarzania danych przez przedsiębiorcę, do którego dane są przekazywane, oraz dostarczania informacji na żądanie osoby”.

Podsumowanie

Pierwsza zmiana w Ustawie o ochronie danych osobowych (japońska Ustawa o ochronie danych osobowych) w 2022 roku, oparta na zasadzie “przeglądu co trzy lata”, obejmowała rozszerzenie zakresu zastosowania zasad dotyczących zatrzymania korzystania i usuwania danych, zakaz niewłaściwego korzystania, ulepszenie dostarczania informacji dotyczących transgranicznego transferu danych, wprowadzenie “informacji przetworzonych pseudonimowo” i inne. Te zmiany mają na celu ochronę i wzmocnienie wykorzystania praw i korzyści jednostek, reagowanie na nowe ryzyko związane ze wzrostem transgranicznego przepływu danych, oraz dostosowanie do ery AI i Big Data.

Informacje o środkach podjętych przez naszą kancelarię

Kancelaria prawna Monolis specjalizuje się w IT, a w szczególności w prawie internetowym. Nowo zaktualizowane “Japońskie Prawo o Ochronie Danych Osobowych” przyciąga dużo uwagi, a potrzeba kontroli prawnej stale rośnie. Nasza kancelaria oferuje rozwiązania związane z prawem własności intelektualnej. Szczegóły znajdują się w poniższym artykule.