Co to jest "wyjątek dotyczący chmury" w prawie o ochronie danych osobowych? Wyjaśnienie na podstawie rzeczywistych przykładów wytycznych administracyjnych otrzymanych przez dostawców usług chmurowych.
Podmioty zajmujące się przetwarzaniem danych osobowych podlegają różnorodnym regulacjom dotyczącym obsługi tych informacji na mocy japońskiej Ustawy o Ochronie Danych Osobowych. Nasze dane osobiste są ściśle związane z prywatnością i obejmują ważne informacje dotyczące cech fizycznych czy majątku, dlatego naturalne jest, że zostały określone surowe zasady ich ochrony.
Jednakże, w tej ustawie przewidziano również pewne wyjątki. Jednym z nich jest tak zwany “wyjątek dotyczący chmury obliczeniowej”.
Co zatem oznacza “wyjątek dotyczący chmury obliczeniowej”? W niniejszym artykule, na podstawie przypadku firmy MK System, która w roku Reiwa 6 (2024) otrzymała wskazówki administracyjne, wyjaśnimy w przystępny sposób ogólną ideę “wyjątku dotyczącego chmury obliczeniowej” oraz warunki jego stosowania.
Zasady i wyjątki dotyczące udostępniania danych osobowych osobom trzecim w Japonii
Najpierw przyjrzyjmy się zasadom i wyjątkom dotyczącym udostępniania danych osobowych osobom trzecim, które określa japońska ustawa o ochronie danych osobowych.
Zasady dotyczące udostępniania danych osobowych osobom trzecim w świetle japońskiej ustawy o ochronie danych osobowych
Gdy podmiot zajmujący się przetwarzaniem danych osobowych korzysta z usług chmurowych, uznaje się to za “powierzenie całości lub części przetwarzania danych osobowych” zgodnie z art. 27 ust. 5 pkt 1 japońskiej ustawy o ochronie danych osobowych, co zobowiązuje do przestrzegania zasady koniecznego i odpowiedniego nadzoru nad dostawcą usług chmurowych, zgodnie z art. 25 tej ustawy.
Czym jest wyjątek dotyczący chmury w Japonii?
Wyjątek, o którym mowa, to tzw. “wyjątek dotyczący chmury” w japońskim prawie.
W tym kontekście “dostawcy usług chmurowych” to przedsiębiorstwa, które głównie dostarczają infrastrukturę IT, taką jak przechowywanie danych czy serwery (IaaS/PaaS), i oferują usługi przechowywania oraz przetwarzania danych innych firm za pośrednictwem Internetu. Do takich dostawców należą między innymi:
- Amazon Web Services (AWS): usługa dostarczana przez amerykańską firmę Amazon, szeroko wykorzystywana przez wiele japońskich przedsiębiorstw.
- Microsoft Azure: usługa infrastruktury chmurowej oferowana przez Microsoft, z licznymi przypadkami wdrożeń w japońskich instytucjach publicznych.
- Google Cloud Platform (GCP): usługa dostarczana przez Google, specjalizująca się w AI i przetwarzaniu dużych zbiorów danych.
Wyjątek dotyczący chmury odnosi się do sytuacji, gdy dostawcy usług SaaS (Software as a Service) rozwijają systemy na infrastrukturze chmurowej (IaaS lub PaaS) dostarczanej przez wyżej wymienionych dostawców i oferują te systemy swoim klientom, co wiąże się z przetwarzaniem danych osobowych.
W Q&A dotyczącym “Wytycznych dotyczących ochrony danych osobowych” opublikowanych przez Japońską Komisję Ochrony Danych Osobowych, w punkcie 7-53 znajduje się następujący zapis:
(W przypadku, gdy nie ma mowy o stronie trzeciej) Pytanie 7-53: Czy przedsiębiorstwo przetwarzające dane osobowe, które korzysta z systemu informatycznego do przetwarzania danych elektronicznych zawierających dane osobowe, na zasadach podobnych do umowy o usługę chmurową z zewnętrznym dostawcą, musi uzyskać “zgodę osoby, której dane dotyczą” (zgodnie z art. 27 ust. 1) lub czy musi nadzorować dostawcę usług chmurowych zgodnie z art. 25, traktując to jako “powierzenie przetwarzania danych osobowych w całości lub w części” (zgodnie z art. 27 ust. 5 pkt 1)?
Odpowiedź 7-53: Istnieje wiele form usług chmurowych, ale to, czy korzystanie z usług chmurowych kwalifikuje się jako udostępnienie danych osobowych stronie trzeciej wymagającej zgody (zgodnie z art. 27 ust. 1) lub jako powierzenie (zgodnie z art. 27 ust. 5 pkt 1), zależy nie od tego, czy przechowywane dane elektroniczne zawierają dane osobowe, ale od tego, czy dostawca usług chmurowych faktycznie przetwarza dane osobowe. Jeśli dostawca usług chmurowych nie przetwarza danych osobowych, przedsiębiorstwo przetwarzające dane osobowe nie musi uzyskiwać zgody osoby, której dane dotyczą. Ponadto, w wyżej wymienionym przypadku, nie ma mowy o udostępnieniu danych osobowych, więc nie ma również obowiązku nadzorowania dostawcy usług chmurowych zgodnie z art. 25. W przypadku, gdy dostawca usług chmurowych nie przetwarza danych osobowych, należy odnieść się do pytania 7-54 dotyczącego środków bezpieczeństwa, które powinno zastosować przedsiębiorstwo przetwarzające dane osobowe. Przykładem sytuacji, w której dostawca usług chmurowych nie przetwarza danych osobowych, może być umowa, która wyraźnie określa, że zewnętrzny dostawca nie będzie przetwarzał przechowywanych na serwerze danych osobowych i stosuje odpowiednie kontrole dostępu. W odniesieniu do związku z art. 28, patrz pytanie 12-3.
Q&A dotyczące Wytycznych o ochronie danych osobowych[ja]| Komisja Ochrony Danych Osobowych
Oznacza to, że użytkownicy usług chmurowych w Japonii, jeśli spełniają określone wymogi wyjątku, nie muszą nadzorować dostawców usług chmurowych. Aby skorzystać z wyjątku dotyczącego chmury, konieczne jest spełnienie dwóch warunków:
- Umowa musi wyraźnie określać, że zewnętrzny dostawca nie będzie przetwarzał przechowywanych na serwerze danych osobowych
- Należy stosować odpowiednie kontrole dostępu
Wskazówki administracyjne dla spółki MK System w świetle japońskiego prawa o ochronie danych osobowych
Dnia 25 marca 2024 roku (Reiwa 6), Japońska Komisja Ochrony Danych Osobowych wydała wskazówki dla spółki MK System na podstawie artykułu 147. japońskiej ustawy o ochronie danych osobowych. W wyniku incydentu, który doprowadził do wycieku danych na masową skalę, dotykającego około 7,5 miliona osób, Komisja Ochrony Danych Osobowych opublikowała “Uwagi dotyczące dostawców usług chmurowych jako podmiotów przetwarzających dane osobowe zgodnie z ustawą o ochronie danych osobowych (ostrzeżenie)”.
Przyjrzyjmy się bliżej wskazówkom administracyjnym wydanym dla spółki MK System w kontekście wyjątku dotyczącego chmury w japońskiej ustawie o ochronie danych osobowych.
Zarys sprawy
Spółka MK System Co., Ltd. wykorzystywała serwery Tencent Cloud w Chinach do budowy systemu wspierającego działalność z zakresu ubezpieczeń społecznych i zarządzania zasobami ludzkimi, świadcząc usługi dla użytkowników takich jak biura doradców pracy społecznej.
W czerwcu (Reiwa 5) 2023 roku serwer został naruszony przez nieautoryzowany dostęp, co stworzyło ryzyko wycieku zarządzanych danych osobowych (takich jak imiona i nazwiska, daty urodzenia, płeć, adresy, numery podstawowego ubezpieczenia emerytalnego, numery ubezpieczenia zatrudnienia oraz My Number, czyli japoński numer identyfikacyjny) klientów doradców pracy społecznej, w tym pracowników firm i instytucji.
Relacje między tymi trzema podmiotami, zgodnie z wytycznymi, przedstawiają się następująco:
| Pozycja według wytycznych | Podmiot gospodarczy | Zakres działalności |
| Zleceniodawca | Użytkownicy, tacy jak doradcy pracy społecznej (przedsiębiorcy przetwarzający dane osobowe) | Podmioty przetwarzające dane osobowe klientów (firm i osób prywatnych) |
| Zleceniobiorca | MK System Co., Ltd. | Dostarczanie systemu zastępującego i wspierającego działalność doradców pracy społecznej w chmurze. Przetwarzanie danych osobowych na polecenie klienta |
| Podwykonawca | Tencent Cloud (Chiny) | Zlecanie infrastruktury chmurowej przez MK System. Możliwość kwalifikacji jako przekazanie za granicę |
Japońska Komisja Ochrony Danych Osobowych stwierdziła, że w MK System Co., Ltd. wystąpiły braki w technicznych środkach zarządzania bezpieczeństwem.
Treść wytycznych administracyjnych
Od Komisji Ochrony Danych Osobowych w Japonii otrzymaliśmy wytyczne administracyjne zgodnie z artykułem 147 Ustawy o Ochronie Danych Osobowych oraz raport na podstawie artykułu 146 ustęp 1 tejże ustawy.
Ostrzeżenie Komisji Ochrony Danych Osobowych w Japonii
Wraz z tym Komisja Ochrony Danych Osobowych w Japonii opublikowała “Kwestie, na które należy zwrócić uwagę, gdy dostawca usług chmurowych jest uznawany za podmiot przetwarzający dane osobowe zgodnie z prawem o ochronie danych osobowych (ostrzeżenie)[ja]“.
To ostrzeżenie jest skierowane głównie do użytkowników usług chmurowych, aby ocenili, czy korzystanie z chmury odpowiada zlecaniu przetwarzania danych osobowych (zgodnie z art. 27 ust. 5 pkt 1 ustawy o ochronie danych osobowych), i jeśli tak, to podmiot przetwarzający dane osobowe, który korzysta z usług chmurowych, musi odpowiednio nadzorować podmiot, któremu zleca przetwarzanie.
W przypadku systemu MK nie przyznano wyjątku dla chmury, a podmiot został uznany za przetwarzającego dane osobowe, co oznacza, że wymagany jest odpowiedni nadzór nad przetwarzaniem danych osobowych.
Kwestie, na które należy zwrócić uwagę, gdy dostawca usług chmurowych jest uznawany za podmiot przetwarzający dane osobowe zgodnie z prawem o ochronie danych osobowych (ostrzeżenie)|Komisja Ochrony Danych Osobowych[ja]
- W regulaminie określono, że dostawca usług chmurowych może przeprowadzać niezbędne działania, takie jak monitorowanie, analiza czy dochodzenie, jeśli uzna to za konieczne do utrzymania i operowania systemem, oraz że bez zgody nie może używać danych w systemie ani ujawniać ich osobom trzecim, z wyjątkiem określonych przypadków, co oznacza, że dostawca usług chmurowych może w określonych sytuacjach korzystać z danych osobowych użytkowników usług chmurowych.
- Dostawca usług chmurowych posiadał identyfikator do celów konserwacji, co umożliwiało dostęp do danych osobowych użytkowników usług chmurowych, i nie zostały podjęte techniczne środki kontroli dostępu, aby zapobiec przetwarzaniu danych.
- Po zawarciu umowy potwierdzającej z użytkownikiem usług chmurowych, dostawca faktycznie przetwarzał dane osobowe użytkownika.
Uwagi dla dostawców usług chmurowych w Japonii
Biorąc pod uwagę wyjaśnione kwestie prawne oraz wytyczne i ostrzeżenia wydane przez organy administracyjne, jakie środki ostrożności powinni podjąć dostawcy usług chmurowych (w wyżej wymienionym przypadku odnosi się to do MK System)?
Ponowna weryfikacja spełnienia wymogów wyjątku dla chmury
Przede wszystkim, należy ponownie zweryfikować, czy usługi oferowane przez Twoją firmę spełniają wymogi wyjątku dla chmury.
W odpowiedzi na ostrzeżenia wydane przez Japońską Komisję Ochrony Danych Osobowych, przedsiębiorcy korzystający z usług chmurowych mogą rozważyć dokładne sprawdzenie, czy dostawca usług chmurowych spełnia wymogi wyjątku dla chmury.
Dlatego też, jako dostawca usług chmurowych, powinieneś również dokładnie zweryfikować, czy spełniasz wymogi wyjątku dla chmury.
Konieczność nadzoru nad podmiotem zewnętrznym, jeśli nie spełnia się wymogów wyjątku dla chmury
Jeśli nie spełniasz wymogów wyjątku dla chmury, musisz być gotowy na nadzór ze strony użytkowników usług chmurowych (w tym przypadku biur rachunkowych i firm korzystających z usług MK System).
Nadzór ze strony użytkowników usług chmurowych może obejmować działania określone w wytycznych dotyczących ochrony danych osobowych (część ogólna) 3-4-4 Nadzór nad podmiotem zewnętrznym (związane z artykułem 25. prawa), takie jak:
- Wybór odpowiedniego podmiotu zewnętrznego: konieczne jest potwierdzenie, że środki bezpieczeństwa podmiotu zewnętrznego są równoważne z tymi, które wymagane są od zleceniodawcy zgodnie z artykułem 23. prawa i niniejszymi wytycznymi
- Zawarcie umowy z podmiotem zewnętrznym: zaleca się zawarcie umowy, która umożliwi zleceniodawcy racjonalne zrozumienie sposobu przetwarzania powierzonych danych osobowych
- Zrozumienie sposobu przetwarzania danych osobowych przez podmiot zewnętrzny: regularna ocena poprzez audyt w celu odpowiedniej weryfikacji
Jeśli środki bezpieczeństwa podmiotu zewnętrznego są niewłaściwe, istnieje możliwość rozwiązania umowy, a także konieczność podjęcia odpowiednich środków bezpieczeństwa i dostosowania się do regularnych audytów.
Podsumowanie: W sprawie ochrony danych osobowych w usługach chmurowych należy skonsultować się z adwokatem
W niniejszym artykule omówiliśmy ryzyko, z jakim mogą się spotkać dostawcy usług chmurowych, którzy nie spełniają wyjątków dotyczących chmury, na podstawie wytycznych administracyjnych opublikowanych w marcu 2025 roku (Reiwa 7) przez Japońską Komisję Ochrony Danych Osobowych.
W wyniku incydentu z wyciekiem informacji, Japońska Komisja Ochrony Danych Osobowych wydała ostrzeżenie skierowane do użytkowników usług chmurowych. Zawarte w nim zalecenia dotyczą nie tylko użytkowników, ale również dostawców usług chmurowych, którzy powinni dokonać przeglądu świadczonych przez siebie usług oraz zwrócić uwagę na potencjalne obciążenia, które mogą wystąpić.
Biorąc pod uwagę te wytyczne, jeśli istnieją obawy dotyczące rodzaju ryzyka, z jakim może się spotkać Państwa firma, oraz jakie działania należy podjąć, zalecamy konsultację z adwokatem specjalizującym się w prawie japońskim.
Zapoznaj się z działaniami podejmowanymi przez naszą kancelarię
Kancelaria Prawna Monolith to firma specjalizująca się w IT, a w szczególności w prawie internetowym i technologii. W obecnych czasach, gdy wiele firm IT, takich jak AWS, korzysta z chmury do rozwijania swoich działalności, zarządzanie ryzykiem związanym z wyciekiem danych osobowych stało się nieodłącznym elementem prowadzenia biznesu. W przypadku wycieku danych osobowych, działalność przedsiębiorstwa może zostać poważnie zagrożona. Nasza firma posiada specjalistyczną wiedzę w zakresie zapobiegania wyciekom informacji i opracowywania strategii reagowania. Szczegółowe informacje znajdują się w poniższym artykule.
Obszary praktyki Kancelarii Prawnej Monolith: Prawo ochrony danych osobowych w Japonii[ja]
Category: IT
Tag: ITTerms of Use
