Co zrobić w przypadku wycieku danych osobowych? Wyjaśniamy, jakie działania administracyjne powinny podjąć firmy
Z rozwojem internetu i możliwością wymiany informacji online, coraz częściej dochodzi do nieoczekiwanych wycieków ważnych informacji firmowych.
W ostatnich latach, wartość informacji znacznie wzrosła, a wyciek informacji może prowadzić do poważnych problemów, takich jak utrata zaufania. Dla firm, szybkie i odpowiednie reagowanie na wycieki informacji jest niezbędne.
W tym artykule szczegółowo omówimy, jak firmy powinny reagować na wycieki informacji, skupiając się przede wszystkim na odpowiedziach administracyjnych.
Wyciek informacji wymagający interwencji administracyjnej
Mówiąc o wycieku informacji, treść i znaczenie informacji różnią się. Interwencja administracyjna jest wymagana, gdy dochodzi do wycieku informacji osobowych.
Definicja informacji osobowych jest określona w artykule 2, ustęp 1, Japońskiej Ustawy o Ochronie Informacji Osobowych (zwanej dalej “Ustawą o Ochronie Informacji Osobowych”).
(Definicja)
e-GOV|Ustawa o ochronie informacji osobowych[ja]
Artykuł 2 W niniejszej ustawie “informacje osobowe” oznaczają informacje dotyczące żyjącej osoby, które spełniają jedno z poniższych warunków:
1. Informacje zawierające nazwisko, datę urodzenia i inne opisy (dokumenty, rysunki lub zapisy elektromagnetyczne (zapisy tworzone za pomocą metod elektromagnetycznych (elektronicznych, magnetycznych i innych, które nie mogą być rozpoznane przez zmysły człowieka. To samo dotyczy poniższego punktu 2.) Są one zapisane lub zarejestrowane, lub wyrażone za pomocą dźwięku, ruchu lub innych metod (z wyjątkiem kodów identyfikacyjnych). To samo dotyczy poniżej.) które mogą zidentyfikować konkretną osobę (włączając informacje, które mogą być łatwo porównane z innymi informacjami, umożliwiając identyfikację konkretnej osoby.)
2. Informacje zawierające kod identyfikacyjny osoby
Informacje spełniające powyższą definicję są chronione jako informacje osobowe zgodnie z Ustawą o Ochronie Informacji Osobowych.
Powiązane artykuły: Co to jest Ustawa o Ochronie Informacji Osobowych i informacje osobowe? Wyjaśnienie prawnika[ja]
Ponadto, w przypadku wycieku informacji, oprócz interwencji administracyjnej, firma może musieć ujawnić informacje. Więcej na ten temat można przeczytać w poniższym artykule.
Powiązane artykuły: Co to jest ujawnienie informacji, które firmy powinny przeprowadzić w przypadku wycieku informacji[ja]
Obowiązek zgłaszania wycieków danych osobowych
Podmioty prowadzące działalność związaną z przetwarzaniem danych osobowych mają obowiązek zgłaszać do Komisji Ochrony Danych Osobowych sytuacje, w których doszło do wycieku danych osobowych lub istnieje ryzyko takiego wycieku.
Przed 1 kwietnia 2022 roku (Rok 4 Ery Reiwa), zgłaszanie takich sytuacji do Komisji Ochrony Danych Osobowych było zalecane, a nie obligatoryjne. Jednakże, w wyniku zmian w japońskiej Ustawie o Ochronie Danych Osobowych, od 1 kwietnia 2022 roku (Rok 4 Ery Reiwa), zgłaszanie takich sytuacji stało się obowiązkowe.
Termin “podmiot prowadzący działalność związaną z przetwarzaniem danych osobowych” odnosi się do podmiotów, które wykorzystują bazy danych zawierające dane osobowe w swojej działalności gospodarczej (art. 16 ust. 2 japońskiej Ustawy o Ochronie Danych Osobowych). Nie obejmuje to jednak instytucji państwowych, samorządów lokalnych, niezależnych agencji administracyjnych itp.
“Baza danych zawierająca dane osobowe” to zbiór informacji zawierających dane osobowe, które spełniają jeden z dwóch poniższych warunków, z wyłączeniem tych, które są uznane za mało prawdopodobne do naruszenia praw i interesów osób, zgodnie z rozporządzeniem wykonawczym (art. 16 ust. 1 japońskiej Ustawy o Ochronie Danych Osobowych):
- Systematycznie zorganizowane w taki sposób, że można wyszukać konkretne dane osobowe za pomocą komputera
- Systematycznie zorganizowane w taki sposób, że można łatwo wyszukać konkretne dane osobowe
Podmioty prowadzące działalność związaną z przetwarzaniem danych osobowych, które wykorzystują bazy danych zawierające dane osobowe w swojej działalności gospodarczej, mają obowiązek zgłaszania takich sytuacji do Komisji Ochrony Danych Osobowych.
Artykuł powiązany: Zmiany w Ustawie o Ochronie Danych Osobowych w 2022 roku – Uwagi dotyczące “Obowiązków przedsiębiorców”[ja]
Cztery przypadki, kiedy wymagane jest zgłoszenie do Komisji Ochrony Danych Osobowych
W przypadku wycieku danych osobowych, istnieją cztery sytuacje, w których wymagane jest zgłoszenie do Komisji Ochrony Danych Osobowych (zgodnie z artykułem 7 Rozporządzenia wykonawczego do japońskiej Ustawy o ochronie danych osobowych).
- Wyciek danych osobowych zawierających informacje wymagające szczególnej ostrożności, lub istnieje ryzyko takiego wycieku
- Wyciek danych osobowych, które mogą prowadzić do strat finansowych w wyniku ich nielegalnego wykorzystania, lub istnieje ryzyko takiego wycieku
- Wyciek danych osobowych, który mógł zostać spowodowany z nielegalnymi zamiarami, lub istnieje ryzyko takiego wycieku
- Wyciek danych osobowych dotyczących więcej niż 1000 osób, lub istnieje ryzyko takiego wycieku
Poniżej wyjaśniamy te przypadki.
Wyciek informacji wymagających szczególnej ostrożności
“Informacje wymagające szczególnej ostrożności” to dane osobowe, które wymagają szczególnej ostrożności w ich obsłudze, aby zapobiec niesprawiedliwej dyskryminacji, uprzedzeniom i innym szkodom dla osoby, której dotyczą. Dotyczy to takich informacji jak rasa, przekonania, status społeczny, historia chorób, przeszłość kryminalna, ofiary przestępstw itp.
Na przykład, informacje o historii chorób pracowników uzyskane z wyników badań zdrowia są uważane za informacje wymagające szczególnej ostrożności.
Wyciek informacji osobowych, które mogą prowadzić do strat finansowych
Tutaj mówimy o sytuacji, w której doszło do wycieku danych osobowych, które mogą prowadzić do strat finansowych w wyniku ich nielegalnego wykorzystania.
Przykładem może być sytuacja, w której firma ujawnia informacje o kartach kredytowych klientów.
Wyciek informacji osobowych z nielegalnymi zamiarami
Dotyczy to sytuacji, w której osoba lub organizacja, która spowodowała wyciek danych osobowych, miała nielegalne zamiary.
Na przykład, kiedy pracownik firmy lub osoba trzecia nielegalnie uzyskuje dostęp do sieci firmy w celu nielegalnego wykorzystania danych osobowych.
Wyciek dużej ilości danych osobowych
Dotyczy to sytuacji, w której doszło do wycieku danych osobowych dotyczących więcej niż 1000 osób.
Firmy, które obsługują duże ilości danych osobowych, muszą być szczególnie ostrożne, ponieważ istnieje ryzyko jednoczesnego wycieku dużej ilości danych osobowych.
Sprawy do zgłoszenia do Komisji Ochrony Danych Osobowych (Japońska Komisja Ochrony Danych Osobowych) w przypadku wycieku informacji
W sytuacji, gdy konieczne jest zgłoszenie do Komisji Ochrony Danych Osobowych, należy zgłosić kwestie określone w artykule 8 ust. 1 Rozporządzenia wykonawczego do Ustawy o ochronie danych osobowych (Japońska Ustawa o ochronie danych osobowych).
(Zgłoszenie do Komisji Ochrony Danych Osobowych)
e-GOV|Ustawa o ochronie danych osobowych[ja]
Artykuł 8. Operatorzy danych osobowych, w przypadku składania zgłoszenia zgodnie z postanowieniami głównego tekstu ust. 1 art. 26 Ustawy, muszą niezwłocznie zgłosić następujące kwestie dotyczące danego incydentu (ograniczone do tych, które są znane w momencie planowanego zgłoszenia. To samo dotyczy następnego artykułu.)
Jeżeli występuje jeden z czterech powyższych przypadków, które wymagają zgłoszenia, operator musi niezwłocznie zgłosić do Komisji Ochrony Danych Osobowych następujące kwestie:
- Zarys sytuacji
- Elementy danych osobowych, które mogły zostać ujawnione lub istnieje ryzyko ich ujawnienia
- Liczba osób, których dane osobowe mogły zostać ujawnione lub istnieje ryzyko ich ujawnienia
- Przyczyna
- Obecność lub brak drugorzędnych szkód lub ryzyka takich szkód oraz ich treść
- Status działań podejmowanych wobec osób, których dane dotyczą
- Status publikacji
- Środki zapobiegające powtórzeniu incydentu
- Inne kwestie, które mogą służyć jako referencje
Jednakże, wystarczy zgłosić tylko te kwestie, które są znane w momencie zgłoszenia.
Termin zgłoszenia do Komisji Ochrony Danych Osobowych w przypadku wycieku informacji
Zgłoszenie do Komisji Ochrony Danych Osobowych jest regulowane terminem (Rozporządzenie wykonawcze do japońskiej Ustawy o ochronie danych osobowych, artykuł 8, ustęp 2).
Zasada jest taka, że zgłoszenie do Komisji Ochrony Danych Osobowych powinno nastąpić w ciągu 30 dni od dnia, w którym dowiedziano się o wycieku informacji. Jeżeli podmiot, który dopuścił się wycieku danych osobowych, miał nielegalne zamiary, zgłoszenie powinno nastąpić w ciągu 60 dni.
Obowiązek powiadomienia osoby, której dane dotyczą
W przypadku wycieku danych osobowych, oprócz obowiązku zgłoszenia do Komisji Ochrony Danych Osobowych (japońska: 個人情報保護委員会), przewidziane jest również obowiązek powiadomienia osoby, której dane dotyczą (zgodnie z art. 26 ust. 2 japońskiej Ustawy o ochronie danych osobowych).
Celem powiadomienia osoby, której dane dotyczą, jest umożliwienie jej jak najszybszego podjęcia działań w odpowiedzi na wyciek danych osobowych, co ma na celu zapobieganie naruszeniu jej praw i interesów. Dlatego podmioty przetwarzające dane osobowe są zobowiązane do niezwłocznego powiadomienia osoby, której dane dotyczą.
Podsumowanie: W przypadku naruszenia ochrony danych osobowych skonsultuj się z prawnikiem
Wyżej opisaliśmy, jakie działania powinny podjąć firmy, gdy dojdzie do naruszenia ochrony danych osobowych, skupiając się przede wszystkim na reakcji administracyjnej.
Bez wątpienia, dla firm kluczowe jest stworzenie systemu, który zapobiega wyciekom informacji. Jednak w przypadku, gdy dojdzie do naruszenia ochrony danych, konieczne jest podjęcie odpowiednich działań.
Ze względu na częste zmiany i skomplikowaną strukturę Japońskiej Ustawy o Ochronie Danych Osobowych, zalecamy skonsultowanie się z prawnikiem posiadającym specjalistyczną wiedzę, aby prawidłowo zareagować na taką sytuację.
Informacje o środkach zapobiegawczych w naszej kancelarii
Kancelaria prawna Monolis specjalizuje się w IT, a w szczególności w prawie internetowym. W dzisiejszych czasach wyciek danych osobowych staje się poważnym problemem. W przypadku, gdyby doszło do wycieku danych osobowych, mogłoby to mieć fatalne skutki dla działalności firmy. Nasza firma posiada specjalistyczną wiedzę na temat zapobiegania wyciekom informacji i środków zaradczych. Szczegóły są opisane w poniższym artykule.