Polski English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_pl/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Dni powszednie 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Co zrobić w przypadku wycieku danych osobowych? Wyjaśniamy, jakie działania administracyjne powinny podjąć firmy

Co zrobić w przypadku wycieku danych osobowych? Wyjaśniamy, jakie działania administracyjne powinny podjąć firmy

General Corporate

Co zrobić w przypadku wycieku danych osobowych? Wyjaśniamy, jakie działania administracyjne powinny podjąć firmy

Z rozwojem internetu i możliwością wymiany informacji online, coraz częściej dochodzi do nieoczekiwanych wycieków ważnych informacji firmowych.

W ostatnich latach, wartość informacji znacznie wzrosła, a wyciek informacji może prowadzić do poważnych problemów, takich jak utrata zaufania. Dla firm, szybkie i odpowiednie reagowanie na wycieki informacji jest niezbędne.

W tym artykule szczegółowo omówimy, jak firmy powinny reagować na wycieki informacji, skupiając się przede wszystkim na odpowiedziach administracyjnych.

Wyciek informacji wymagający interwencji administracyjnej

Wyciek informacji wymagający interwencji administracyjnej

Mówiąc o wycieku informacji, treść i znaczenie informacji różnią się. Interwencja administracyjna jest wymagana, gdy dochodzi do wycieku informacji osobowych.

Definicja informacji osobowych jest określona w artykule 2, ustęp 1, Japońskiej Ustawy o Ochronie Informacji Osobowych (zwanej dalej “Ustawą o Ochronie Informacji Osobowych”).

(Definicja)
Artykuł 2 W niniejszej ustawie “informacje osobowe” oznaczają informacje dotyczące żyjącej osoby, które spełniają jedno z poniższych warunków:
1. Informacje zawierające nazwisko, datę urodzenia i inne opisy (dokumenty, rysunki lub zapisy elektromagnetyczne (zapisy tworzone za pomocą metod elektromagnetycznych (elektronicznych, magnetycznych i innych, które nie mogą być rozpoznane przez zmysły człowieka. To samo dotyczy poniższego punktu 2.) Są one zapisane lub zarejestrowane, lub wyrażone za pomocą dźwięku, ruchu lub innych metod (z wyjątkiem kodów identyfikacyjnych). To samo dotyczy poniżej.) które mogą zidentyfikować konkretną osobę (włączając informacje, które mogą być łatwo porównane z innymi informacjami, umożliwiając identyfikację konkretnej osoby.)
2. Informacje zawierające kod identyfikacyjny osoby

e-GOV|Ustawa o ochronie informacji osobowych[ja]

Informacje spełniające powyższą definicję są chronione jako informacje osobowe zgodnie z Ustawą o Ochronie Informacji Osobowych.

Powiązane artykuły: Co to jest Ustawa o Ochronie Informacji Osobowych i informacje osobowe? Wyjaśnienie prawnika[ja]

Ponadto, w przypadku wycieku informacji, oprócz interwencji administracyjnej, firma może musieć ujawnić informacje. Więcej na ten temat można przeczytać w poniższym artykule.

Powiązane artykuły: Co to jest ujawnienie informacji, które firmy powinny przeprowadzić w przypadku wycieku informacji[ja]

Obowiązek zgłaszania wycieków danych osobowych

Podmioty prowadzące działalność związaną z przetwarzaniem danych osobowych mają obowiązek zgłaszać do Komisji Ochrony Danych Osobowych sytuacje, w których doszło do wycieku danych osobowych lub istnieje ryzyko takiego wycieku.

Przed 1 kwietnia 2022 roku (Rok 4 Ery Reiwa), zgłaszanie takich sytuacji do Komisji Ochrony Danych Osobowych było zalecane, a nie obligatoryjne. Jednakże, w wyniku zmian w japońskiej Ustawie o Ochronie Danych Osobowych, od 1 kwietnia 2022 roku (Rok 4 Ery Reiwa), zgłaszanie takich sytuacji stało się obowiązkowe.

Termin “podmiot prowadzący działalność związaną z przetwarzaniem danych osobowych” odnosi się do podmiotów, które wykorzystują bazy danych zawierające dane osobowe w swojej działalności gospodarczej (art. 16 ust. 2 japońskiej Ustawy o Ochronie Danych Osobowych). Nie obejmuje to jednak instytucji państwowych, samorządów lokalnych, niezależnych agencji administracyjnych itp.

“Baza danych zawierająca dane osobowe” to zbiór informacji zawierających dane osobowe, które spełniają jeden z dwóch poniższych warunków, z wyłączeniem tych, które są uznane za mało prawdopodobne do naruszenia praw i interesów osób, zgodnie z rozporządzeniem wykonawczym (art. 16 ust. 1 japońskiej Ustawy o Ochronie Danych Osobowych):

  • Systematycznie zorganizowane w taki sposób, że można wyszukać konkretne dane osobowe za pomocą komputera
  • Systematycznie zorganizowane w taki sposób, że można łatwo wyszukać konkretne dane osobowe

Podmioty prowadzące działalność związaną z przetwarzaniem danych osobowych, które wykorzystują bazy danych zawierające dane osobowe w swojej działalności gospodarczej, mają obowiązek zgłaszania takich sytuacji do Komisji Ochrony Danych Osobowych.

Artykuł powiązany: Zmiany w Ustawie o Ochronie Danych Osobowych w 2022 roku – Uwagi dotyczące “Obowiązków przedsiębiorców”[ja]

Cztery przypadki, kiedy wymagane jest zgłoszenie do Komisji Ochrony Danych Osobowych

W przypadku wycieku danych osobowych, istnieją cztery sytuacje, w których wymagane jest zgłoszenie do Komisji Ochrony Danych Osobowych (zgodnie z artykułem 7 Rozporządzenia wykonawczego do japońskiej Ustawy o ochronie danych osobowych).

  1. Wyciek danych osobowych zawierających informacje wymagające szczególnej ostrożności, lub istnieje ryzyko takiego wycieku
  2. Wyciek danych osobowych, które mogą prowadzić do strat finansowych w wyniku ich nielegalnego wykorzystania, lub istnieje ryzyko takiego wycieku
  3. Wyciek danych osobowych, który mógł zostać spowodowany z nielegalnymi zamiarami, lub istnieje ryzyko takiego wycieku
  4. Wyciek danych osobowych dotyczących więcej niż 1000 osób, lub istnieje ryzyko takiego wycieku

Poniżej wyjaśniamy te przypadki.

Wyciek informacji wymagających szczególnej ostrożności

“Informacje wymagające szczególnej ostrożności” to dane osobowe, które wymagają szczególnej ostrożności w ich obsłudze, aby zapobiec niesprawiedliwej dyskryminacji, uprzedzeniom i innym szkodom dla osoby, której dotyczą. Dotyczy to takich informacji jak rasa, przekonania, status społeczny, historia chorób, przeszłość kryminalna, ofiary przestępstw itp.

Na przykład, informacje o historii chorób pracowników uzyskane z wyników badań zdrowia są uważane za informacje wymagające szczególnej ostrożności.

Wyciek informacji osobowych, które mogą prowadzić do strat finansowych

Tutaj mówimy o sytuacji, w której doszło do wycieku danych osobowych, które mogą prowadzić do strat finansowych w wyniku ich nielegalnego wykorzystania.

Przykładem może być sytuacja, w której firma ujawnia informacje o kartach kredytowych klientów.

Wyciek informacji osobowych z nielegalnymi zamiarami

Dotyczy to sytuacji, w której osoba lub organizacja, która spowodowała wyciek danych osobowych, miała nielegalne zamiary.

Na przykład, kiedy pracownik firmy lub osoba trzecia nielegalnie uzyskuje dostęp do sieci firmy w celu nielegalnego wykorzystania danych osobowych.

Wyciek dużej ilości danych osobowych

Dotyczy to sytuacji, w której doszło do wycieku danych osobowych dotyczących więcej niż 1000 osób.

Firmy, które obsługują duże ilości danych osobowych, muszą być szczególnie ostrożne, ponieważ istnieje ryzyko jednoczesnego wycieku dużej ilości danych osobowych.

Sprawy do zgłoszenia do Komisji Ochrony Danych Osobowych (Japońska Komisja Ochrony Danych Osobowych) w przypadku wycieku informacji

Sprawy do zgłoszenia do Komisji Ochrony Danych Osobowych w przypadku wycieku informacji

W sytuacji, gdy konieczne jest zgłoszenie do Komisji Ochrony Danych Osobowych, należy zgłosić kwestie określone w artykule 8 ust. 1 Rozporządzenia wykonawczego do Ustawy o ochronie danych osobowych (Japońska Ustawa o ochronie danych osobowych).

(Zgłoszenie do Komisji Ochrony Danych Osobowych)
Artykuł 8. Operatorzy danych osobowych, w przypadku składania zgłoszenia zgodnie z postanowieniami głównego tekstu ust. 1 art. 26 Ustawy, muszą niezwłocznie zgłosić następujące kwestie dotyczące danego incydentu (ograniczone do tych, które są znane w momencie planowanego zgłoszenia. To samo dotyczy następnego artykułu.)

e-GOV|Ustawa o ochronie danych osobowych[ja]

Jeżeli występuje jeden z czterech powyższych przypadków, które wymagają zgłoszenia, operator musi niezwłocznie zgłosić do Komisji Ochrony Danych Osobowych następujące kwestie:

  • Zarys sytuacji
  • Elementy danych osobowych, które mogły zostać ujawnione lub istnieje ryzyko ich ujawnienia
  • Liczba osób, których dane osobowe mogły zostać ujawnione lub istnieje ryzyko ich ujawnienia
  • Przyczyna
  • Obecność lub brak drugorzędnych szkód lub ryzyka takich szkód oraz ich treść
  • Status działań podejmowanych wobec osób, których dane dotyczą
  • Status publikacji
  • Środki zapobiegające powtórzeniu incydentu
  • Inne kwestie, które mogą służyć jako referencje

Jednakże, wystarczy zgłosić tylko te kwestie, które są znane w momencie zgłoszenia.

Termin zgłoszenia do Komisji Ochrony Danych Osobowych w przypadku wycieku informacji

Zgłoszenie do Komisji Ochrony Danych Osobowych jest regulowane terminem (Rozporządzenie wykonawcze do japońskiej Ustawy o ochronie danych osobowych, artykuł 8, ustęp 2).

Zasada jest taka, że zgłoszenie do Komisji Ochrony Danych Osobowych powinno nastąpić w ciągu 30 dni od dnia, w którym dowiedziano się o wycieku informacji. Jeżeli podmiot, który dopuścił się wycieku danych osobowych, miał nielegalne zamiary, zgłoszenie powinno nastąpić w ciągu 60 dni.

Obowiązek powiadomienia osoby, której dane dotyczą

W przypadku wycieku danych osobowych, oprócz obowiązku zgłoszenia do Komisji Ochrony Danych Osobowych (japońska: 個人情報保護委員会), przewidziane jest również obowiązek powiadomienia osoby, której dane dotyczą (zgodnie z art. 26 ust. 2 japońskiej Ustawy o ochronie danych osobowych).

Celem powiadomienia osoby, której dane dotyczą, jest umożliwienie jej jak najszybszego podjęcia działań w odpowiedzi na wyciek danych osobowych, co ma na celu zapobieganie naruszeniu jej praw i interesów. Dlatego podmioty przetwarzające dane osobowe są zobowiązane do niezwłocznego powiadomienia osoby, której dane dotyczą.

Podsumowanie: W przypadku naruszenia ochrony danych osobowych skonsultuj się z prawnikiem

Wyżej opisaliśmy, jakie działania powinny podjąć firmy, gdy dojdzie do naruszenia ochrony danych osobowych, skupiając się przede wszystkim na reakcji administracyjnej.

Bez wątpienia, dla firm kluczowe jest stworzenie systemu, który zapobiega wyciekom informacji. Jednak w przypadku, gdy dojdzie do naruszenia ochrony danych, konieczne jest podjęcie odpowiednich działań.

Ze względu na częste zmiany i skomplikowaną strukturę Japońskiej Ustawy o Ochronie Danych Osobowych, zalecamy skonsultowanie się z prawnikiem posiadającym specjalistyczną wiedzę, aby prawidłowo zareagować na taką sytuację.

Informacje o środkach zapobiegawczych w naszej kancelarii

Kancelaria prawna Monolis specjalizuje się w IT, a w szczególności w prawie internetowym. W dzisiejszych czasach wyciek danych osobowych staje się poważnym problemem. W przypadku, gdyby doszło do wycieku danych osobowych, mogłoby to mieć fatalne skutki dla działalności firmy. Nasza firma posiada specjalistyczną wiedzę na temat zapobiegania wyciekom informacji i środków zaradczych. Szczegóły są opisane w poniższym artykule.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Co było problemem w procesie pomiędzy Nintendo a Colopl?

Co było problemem w procesie pomiędzy Nintendo a Colopl?

General Corporate

Przykłady wyroków, w których nie uznano tajemnicy handlowej i nieuczciwej konkurencji

Przykłady wyroków, w których nie uznano tajemnicy handlowej i nieuczciwej konkurencji

General Corporate

Omówienie środków zapobiegających wyciekom informacji: Jakie powinny być treści regulaminów wewnętrznych do opracowania?

Omówienie środków zapobiegających wyciekom informacji: Jakie powinny być treści regulaminów wewn.

General Corporate

Co to są regulacje reklamowe produktów CBD? Adwokat wyjaśnia związek z Japońskim Prawem Farmaceutycznym i innymi

Co to są regulacje reklamowe produktów CBD? Adwokat wyjaśnia związek z Japońskim Prawem Farmaceu.

General Corporate

Czy można żądać odszkodowania za straty majątkowe spowodowane przerwaniem transakcji lub spadkiem sprzedaży z powodu naruszenia reputacji?

Czy można żądać odszkodowania za straty majątkowe spowodowane przerwaniem transakcji lub spadkie.

General Corporate

Co to jest umowa inwestycyjna? Konieczność zawarcia umowy dla firm

Co to jest umowa inwestycyjna? Konieczność zawarcia umowy dla firm

General Corporate

Czym są regulacje prawne dotyczące reklamowania suplementów diety?

Czym są regulacje prawne dotyczące reklamowania suplementów diety?

General Corporate

YouTuber powinien wiedzieć o prawie autorskim: 'Komentowanie gier' może stać się nielegalne

YouTuber powinien wiedzieć o prawie autorskim: 'Komentowanie gier' może stać się nielegalne

General Corporate

Nie wolno tego robić! Przykłady reklam przesadzonych i kary za ich naruszenie

Nie wolno tego robić! Przykłady reklam przesadzonych i kary za ich naruszenie

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Wróć do góry