{"id":73651,"date":"2025-07-25T19:22:12","date_gmt":"2025-07-25T10:22:12","guid":{"rendered":"https:\/\/monolith.law\/pl\/?p=73651"},"modified":"2025-08-02T16:56:46","modified_gmt":"2025-08-02T07:56:46","slug":"personal-information-cloud-exceptions","status":"publish","type":"post","link":"https:\/\/monolith.law\/pl\/it\/personal-information-cloud-exceptions","title":{"rendered":"Co to jest &#8220;wyj\u0105tek dotycz\u0105cy chmury&#8221; w prawie o ochronie danych osobowych? Wyja\u015bnienie na podstawie rzeczywistych przyk\u0142ad\u00f3w wytycznych administracyjnych otrzymanych przez dostawc\u00f3w us\u0142ug chmurowych."},"content":{"rendered":"\n<p>Podmioty zajmuj\u0105ce si\u0119 przetwarzaniem danych osobowych podlegaj\u0105 r\u00f3\u017cnorodnym regulacjom dotycz\u0105cym obs\u0142ugi tych informacji na mocy japo\u0144skiej Ustawy o Ochronie Danych Osobowych. Nasze dane osobiste s\u0105 \u015bci\u015ble zwi\u0105zane z prywatno\u015bci\u0105 i obejmuj\u0105 wa\u017cne informacje dotycz\u0105ce cech fizycznych czy maj\u0105tku, dlatego naturalne jest, \u017ce zosta\u0142y okre\u015blone surowe zasady ich ochrony.<\/p>\n\n\n\n<p>Jednak\u017ce, w tej ustawie przewidziano r\u00f3wnie\u017c pewne wyj\u0105tki. Jednym z nich jest tak zwany &#8220;wyj\u0105tek dotycz\u0105cy chmury obliczeniowej&#8221;.<\/p>\n\n\n\n<p>Co zatem oznacza &#8220;wyj\u0105tek dotycz\u0105cy chmury obliczeniowej&#8221;? W niniejszym artykule, na podstawie przypadku firmy MK System, kt\u00f3ra w roku Reiwa 6 (2024) otrzyma\u0142a wskaz\u00f3wki administracyjne, wyja\u015bnimy w przyst\u0119pny spos\u00f3b og\u00f3ln\u0105 ide\u0119 &#8220;wyj\u0105tku dotycz\u0105cego chmury obliczeniowej&#8221; oraz warunki jego stosowania.<\/p>\n\n\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_53 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/monolith.law\/pl\/it\/personal-information-cloud-exceptions\/#Zasady_i_wyjatki_dotyczace_udostepniania_danych_osobowych_osobom_trzecim_w_Japonii\" title=\"Zasady i wyj\u0105tki dotycz\u0105ce udost\u0119pniania danych osobowych osobom trzecim w Japonii\">Zasady i wyj\u0105tki dotycz\u0105ce udost\u0119pniania danych osobowych osobom trzecim w Japonii<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/monolith.law\/pl\/it\/personal-information-cloud-exceptions\/#Zasady_dotyczace_udostepniania_danych_osobowych_osobom_trzecim_w_swietle_japonskiej_ustawy_o_ochronie_danych_osobowych\" title=\"Zasady dotycz\u0105ce udost\u0119pniania danych osobowych osobom trzecim w \u015bwietle japo\u0144skiej ustawy o ochronie danych osobowych\">Zasady dotycz\u0105ce udost\u0119pniania danych osobowych osobom trzecim w \u015bwietle japo\u0144skiej ustawy o ochronie danych osobowych<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/monolith.law\/pl\/it\/personal-information-cloud-exceptions\/#Czym_jest_wyjatek_dotyczacy_chmury_w_Japonii\" title=\"Czym jest wyj\u0105tek dotycz\u0105cy chmury w Japonii?\">Czym jest wyj\u0105tek dotycz\u0105cy chmury w Japonii?<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/monolith.law\/pl\/it\/personal-information-cloud-exceptions\/#Wskazowki_administracyjne_dla_spolki_MK_System_w_swietle_japonskiego_prawa_o_ochronie_danych_osobowych\" title=\"Wskaz\u00f3wki administracyjne dla sp\u00f3\u0142ki MK System w \u015bwietle japo\u0144skiego prawa o ochronie danych osobowych\">Wskaz\u00f3wki administracyjne dla sp\u00f3\u0142ki MK System w \u015bwietle japo\u0144skiego prawa o ochronie danych osobowych<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/monolith.law\/pl\/it\/personal-information-cloud-exceptions\/#Zarys_sprawy\" title=\"Zarys sprawy\">Zarys sprawy<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/monolith.law\/pl\/it\/personal-information-cloud-exceptions\/#Tresc_wytycznych_administracyjnych\" title=\"Tre\u015b\u0107 wytycznych administracyjnych\">Tre\u015b\u0107 wytycznych administracyjnych<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/monolith.law\/pl\/it\/personal-information-cloud-exceptions\/#Ostrzezenie_Komisji_Ochrony_Danych_Osobowych_w_Japonii\" title=\"Ostrze\u017cenie Komisji Ochrony Danych Osobowych w Japonii\">Ostrze\u017cenie Komisji Ochrony Danych Osobowych w Japonii<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/monolith.law\/pl\/it\/personal-information-cloud-exceptions\/#Uwagi_dla_dostawcow_uslug_chmurowych_w_Japonii\" title=\"Uwagi dla dostawc\u00f3w us\u0142ug chmurowych w Japonii\">Uwagi dla dostawc\u00f3w us\u0142ug chmurowych w Japonii<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/monolith.law\/pl\/it\/personal-information-cloud-exceptions\/#Ponowna_weryfikacja_spelnienia_wymogow_wyjatku_dla_chmury\" title=\"Ponowna weryfikacja spe\u0142nienia wymog\u00f3w wyj\u0105tku dla chmury\">Ponowna weryfikacja spe\u0142nienia wymog\u00f3w wyj\u0105tku dla chmury<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/monolith.law\/pl\/it\/personal-information-cloud-exceptions\/#Koniecznosc_nadzoru_nad_podmiotem_zewnetrznym_jesli_nie_spelnia_sie_wymogow_wyjatku_dla_chmury\" title=\"Konieczno\u015b\u0107 nadzoru nad podmiotem zewn\u0119trznym, je\u015bli nie spe\u0142nia si\u0119 wymog\u00f3w wyj\u0105tku dla chmury\">Konieczno\u015b\u0107 nadzoru nad podmiotem zewn\u0119trznym, je\u015bli nie spe\u0142nia si\u0119 wymog\u00f3w wyj\u0105tku dla chmury<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-11\" href=\"https:\/\/monolith.law\/pl\/it\/personal-information-cloud-exceptions\/#Podsumowanie_W_sprawie_ochrony_danych_osobowych_w_uslugach_chmurowych_nalezy_skonsultowac_sie_z_adwokatem\" title=\"Podsumowanie: W sprawie ochrony danych osobowych w us\u0142ugach chmurowych nale\u017cy skonsultowa\u0107 si\u0119 z adwokatem\">Podsumowanie: W sprawie ochrony danych osobowych w us\u0142ugach chmurowych nale\u017cy skonsultowa\u0107 si\u0119 z adwokatem<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-12\" href=\"https:\/\/monolith.law\/pl\/it\/personal-information-cloud-exceptions\/#Zapoznaj_sie_z_dzialaniami_podejmowanymi_przez_nasza_kancelarie\" title=\"Zapoznaj si\u0119 z dzia\u0142aniami podejmowanymi przez nasz\u0105 kancelari\u0119\">Zapoznaj si\u0119 z dzia\u0142aniami podejmowanymi przez nasz\u0105 kancelari\u0119<\/a><\/li><\/ul><\/nav><\/div>\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Zasady_i_wyjatki_dotyczace_udostepniania_danych_osobowych_osobom_trzecim_w_Japonii\"><\/span>Zasady i wyj\u0105tki dotycz\u0105ce udost\u0119pniania danych osobowych osobom trzecim w Japonii<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2025\/05\/b220cbcc20a6fcb8115bfe357ec9f5f6.jpg\" alt=\"Zasady i wyj\u0105tki dotycz\u0105ce udost\u0119pniania danych osobowych osobom trzecim w Japonii\" class=\"wp-image-137683\" \/><\/figure>\n\n\n\n<p>Najpierw przyjrzyjmy si\u0119 zasadom i wyj\u0105tkom dotycz\u0105cym udost\u0119pniania danych osobowych osobom trzecim, kt\u00f3re okre\u015bla japo\u0144ska ustawa o ochronie danych osobowych.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Zasady_dotyczace_udostepniania_danych_osobowych_osobom_trzecim_w_swietle_japonskiej_ustawy_o_ochronie_danych_osobowych\"><\/span>Zasady dotycz\u0105ce udost\u0119pniania danych osobowych osobom trzecim w \u015bwietle japo\u0144skiej ustawy o ochronie danych osobowych<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Gdy podmiot zajmuj\u0105cy si\u0119 przetwarzaniem danych osobowych korzysta z us\u0142ug chmurowych, uznaje si\u0119 to za &#8220;powierzenie ca\u0142o\u015bci lub cz\u0119\u015bci przetwarzania danych osobowych&#8221; zgodnie z art. 27 ust. 5 pkt 1 japo\u0144skiej ustawy o ochronie danych osobowych, co zobowi\u0105zuje do przestrzegania zasady koniecznego i odpowiedniego nadzoru nad dostawc\u0105 us\u0142ug chmurowych, zgodnie z art. 25 tej ustawy.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Czym_jest_wyjatek_dotyczacy_chmury_w_Japonii\"><\/span>Czym jest wyj\u0105tek dotycz\u0105cy chmury w Japonii?<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Wyj\u0105tek, o kt\u00f3rym mowa, to tzw. &#8220;wyj\u0105tek dotycz\u0105cy chmury&#8221; w japo\u0144skim prawie.<\/p>\n\n\n\n<p>W tym kontek\u015bcie &#8220;dostawcy us\u0142ug chmurowych&#8221; to przedsi\u0119biorstwa, kt\u00f3re g\u0142\u00f3wnie dostarczaj\u0105 infrastruktur\u0119 IT, tak\u0105 jak przechowywanie danych czy serwery (IaaS\/PaaS), i oferuj\u0105 us\u0142ugi przechowywania oraz przetwarzania danych innych firm za po\u015brednictwem Internetu. Do takich dostawc\u00f3w nale\u017c\u0105 mi\u0119dzy innymi:<\/p>\n\n\n\n<ul>\n<li>Amazon Web Services (AWS): us\u0142uga dostarczana przez ameryka\u0144sk\u0105 firm\u0119 Amazon, szeroko wykorzystywana przez wiele japo\u0144skich przedsi\u0119biorstw.<\/li>\n\n\n\n<li>Microsoft Azure: us\u0142uga infrastruktury chmurowej oferowana przez Microsoft, z licznymi przypadkami wdro\u017ce\u0144 w japo\u0144skich instytucjach publicznych.<\/li>\n\n\n\n<li>Google Cloud Platform (GCP): us\u0142uga dostarczana przez Google, specjalizuj\u0105ca si\u0119 w AI i przetwarzaniu du\u017cych zbior\u00f3w danych.<\/li>\n<\/ul>\n\n\n\n<p>Wyj\u0105tek dotycz\u0105cy chmury odnosi si\u0119 do sytuacji, gdy dostawcy us\u0142ug SaaS (Software as a Service) rozwijaj\u0105 systemy na infrastrukturze chmurowej (IaaS lub PaaS) dostarczanej przez wy\u017cej wymienionych dostawc\u00f3w i oferuj\u0105 te systemy swoim klientom, co wi\u0105\u017ce si\u0119 z przetwarzaniem danych osobowych.<\/p>\n\n\n\n<p>W Q&amp;A dotycz\u0105cym &#8220;Wytycznych dotycz\u0105cych ochrony danych osobowych&#8221; opublikowanych przez Japo\u0144sk\u0105 Komisj\u0119 Ochrony Danych Osobowych, w punkcie 7-53 znajduje si\u0119 nast\u0119puj\u0105cy zapis:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\">\n<p>(W przypadku, gdy nie ma mowy o stronie trzeciej) Pytanie 7-53: Czy przedsi\u0119biorstwo przetwarzaj\u0105ce dane osobowe, kt\u00f3re korzysta z systemu informatycznego do przetwarzania danych elektronicznych zawieraj\u0105cych dane osobowe, na zasadach podobnych do umowy o us\u0142ug\u0119 chmurow\u0105 z zewn\u0119trznym dostawc\u0105, musi uzyska\u0107 &#8220;zgod\u0119 osoby, kt\u00f3rej dane dotycz\u0105&#8221; (zgodnie z art. 27 ust. 1) lub czy musi nadzorowa\u0107 dostawc\u0119 us\u0142ug chmurowych zgodnie z art. 25, traktuj\u0105c to jako &#8220;powierzenie przetwarzania danych osobowych w ca\u0142o\u015bci lub w cz\u0119\u015bci&#8221; (zgodnie z art. 27 ust. 5 pkt 1)?<\/p>\n\n\n\n<p>Odpowied\u017a 7-53: Istnieje wiele form us\u0142ug chmurowych, ale to, czy korzystanie z us\u0142ug chmurowych kwalifikuje si\u0119 jako udost\u0119pnienie danych osobowych stronie trzeciej wymagaj\u0105cej zgody (zgodnie z art. 27 ust. 1) lub jako powierzenie (zgodnie z art. 27 ust. 5 pkt 1), zale\u017cy nie od tego, czy przechowywane dane elektroniczne zawieraj\u0105 dane osobowe, ale od tego, czy dostawca us\u0142ug chmurowych faktycznie przetwarza dane osobowe. Je\u015bli dostawca us\u0142ug chmurowych nie przetwarza danych osobowych, przedsi\u0119biorstwo przetwarzaj\u0105ce dane osobowe nie musi uzyskiwa\u0107 zgody osoby, kt\u00f3rej dane dotycz\u0105. Ponadto, w wy\u017cej wymienionym przypadku, nie ma mowy o udost\u0119pnieniu danych osobowych, wi\u0119c nie ma r\u00f3wnie\u017c obowi\u0105zku nadzorowania dostawcy us\u0142ug chmurowych zgodnie z art. 25. W przypadku, gdy dostawca us\u0142ug chmurowych nie przetwarza danych osobowych, nale\u017cy odnie\u015b\u0107 si\u0119 do pytania 7-54 dotycz\u0105cego \u015brodk\u00f3w bezpiecze\u0144stwa, kt\u00f3re powinno zastosowa\u0107 przedsi\u0119biorstwo przetwarzaj\u0105ce dane osobowe. Przyk\u0142adem sytuacji, w kt\u00f3rej dostawca us\u0142ug chmurowych nie przetwarza danych osobowych, mo\u017ce by\u0107 umowa, kt\u00f3ra wyra\u017anie okre\u015bla, \u017ce zewn\u0119trzny dostawca nie b\u0119dzie przetwarza\u0142 przechowywanych na serwerze danych osobowych i stosuje odpowiednie kontrole dost\u0119pu. W odniesieniu do zwi\u0105zku z art. 28, patrz pytanie 12-3.<\/p>\n<cite><a href=\"https:\/\/www.ppc.go.jp\/personalinfo\/faq\/APPI_QA\/\" target=\"_blank\" rel=\"noreferrer noopener\">Q&amp;A dotycz\u0105ce Wytycznych o ochronie danych osobowych[ja]<\/a><em>| Komisja Ochrony Danych Osobowych<\/em><\/cite><\/blockquote>\n\n\n\n<p>Oznacza to, \u017ce u\u017cytkownicy us\u0142ug chmurowych w Japonii, je\u015bli spe\u0142niaj\u0105 okre\u015blone wymogi wyj\u0105tku, nie musz\u0105 nadzorowa\u0107 dostawc\u00f3w us\u0142ug chmurowych. Aby skorzysta\u0107 z wyj\u0105tku dotycz\u0105cego chmury, konieczne jest spe\u0142nienie dw\u00f3ch warunk\u00f3w:<\/p>\n\n\n\n<ul>\n<li>Umowa musi wyra\u017anie okre\u015bla\u0107, \u017ce zewn\u0119trzny dostawca nie b\u0119dzie przetwarza\u0142 przechowywanych na serwerze danych osobowych<\/li>\n\n\n\n<li>Nale\u017cy stosowa\u0107 odpowiednie kontrole dost\u0119pu<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Wskazowki_administracyjne_dla_spolki_MK_System_w_swietle_japonskiego_prawa_o_ochronie_danych_osobowych\"><\/span>Wskaz\u00f3wki administracyjne dla sp\u00f3\u0142ki MK System w \u015bwietle japo\u0144skiego prawa o ochronie danych osobowych<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Dnia 25 marca 2024 roku (Reiwa 6), Japo\u0144ska Komisja Ochrony Danych Osobowych wyda\u0142a wskaz\u00f3wki dla sp\u00f3\u0142ki MK System na podstawie artyku\u0142u 147. japo\u0144skiej ustawy o ochronie danych osobowych. W wyniku incydentu, kt\u00f3ry doprowadzi\u0142 do wycieku danych na masow\u0105 skal\u0119, dotykaj\u0105cego oko\u0142o 7,5 miliona os\u00f3b, Komisja Ochrony Danych Osobowych opublikowa\u0142a &#8220;Uwagi dotycz\u0105ce dostawc\u00f3w us\u0142ug chmurowych jako podmiot\u00f3w przetwarzaj\u0105cych dane osobowe zgodnie z ustaw\u0105 o ochronie danych osobowych (ostrze\u017cenie)&#8221;.<\/p>\n\n\n\n<p>\u0179r\u00f3d\u0142o: <a href=\"https:\/\/www.ppc.go.jp\/news\/careful_information\/240325_alert_cloud_service_provider\/\" target=\"_blank\" rel=\"noreferrer noopener\">Komisja Ochrony Danych Osobowych\uff5cUwagi dotycz\u0105ce dostawc\u00f3w us\u0142ug chmurowych jako podmiot\u00f3w przetwarzaj\u0105cych dane osobowe zgodnie z ustaw\u0105 o ochronie danych osobowych[ja]<\/a><\/p>\n\n\n\n<p>Przyjrzyjmy si\u0119 bli\u017cej wskaz\u00f3wkom administracyjnym wydanym dla sp\u00f3\u0142ki MK System w kontek\u015bcie wyj\u0105tku dotycz\u0105cego chmury w japo\u0144skiej ustawie o ochronie danych osobowych.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Zarys_sprawy\"><\/span>Zarys sprawy<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Sp\u00f3\u0142ka MK System Co., Ltd. wykorzystywa\u0142a serwery Tencent Cloud w Chinach do budowy systemu wspieraj\u0105cego dzia\u0142alno\u015b\u0107 z zakresu ubezpiecze\u0144 spo\u0142ecznych i zarz\u0105dzania zasobami ludzkimi, \u015bwiadcz\u0105c us\u0142ugi dla u\u017cytkownik\u00f3w takich jak biura doradc\u00f3w pracy spo\u0142ecznej.<\/p>\n\n\n\n<p>W czerwcu (Reiwa 5) 2023 roku serwer zosta\u0142 naruszony przez nieautoryzowany dost\u0119p, co stworzy\u0142o ryzyko wycieku zarz\u0105dzanych danych osobowych (takich jak imiona i nazwiska, daty urodzenia, p\u0142e\u0107, adresy, numery podstawowego ubezpieczenia emerytalnego, numery ubezpieczenia zatrudnienia oraz My Number, czyli japo\u0144ski numer identyfikacyjny) klient\u00f3w doradc\u00f3w pracy spo\u0142ecznej, w tym pracownik\u00f3w firm i instytucji.<\/p>\n\n\n\n<p>Relacje mi\u0119dzy tymi trzema podmiotami, zgodnie z wytycznymi, przedstawiaj\u0105 si\u0119 nast\u0119puj\u0105co:<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><tbody><tr><td>Pozycja wed\u0142ug wytycznych<\/td><td>Podmiot gospodarczy<\/td><td>Zakres dzia\u0142alno\u015bci<\/td><\/tr><tr><td>Zleceniodawca<\/td><td>U\u017cytkownicy, tacy jak doradcy pracy spo\u0142ecznej (przedsi\u0119biorcy przetwarzaj\u0105cy dane osobowe)<\/td><td>Podmioty przetwarzaj\u0105ce dane osobowe klient\u00f3w (firm i os\u00f3b prywatnych)<\/td><\/tr><tr><td>Zleceniobiorca<\/td><td>MK System Co., Ltd.<\/td><td>Dostarczanie systemu zast\u0119puj\u0105cego i wspieraj\u0105cego dzia\u0142alno\u015b\u0107 doradc\u00f3w pracy spo\u0142ecznej w chmurze. Przetwarzanie danych osobowych na polecenie klienta<\/td><\/tr><tr><td>Podwykonawca<\/td><td>Tencent Cloud (Chiny)<\/td><td>Zlecanie infrastruktury chmurowej przez MK System. Mo\u017cliwo\u015b\u0107 kwalifikacji jako przekazanie za granic\u0119<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p>Japo\u0144ska Komisja Ochrony Danych Osobowych stwierdzi\u0142a, \u017ce w MK System Co., Ltd. wyst\u0105pi\u0142y braki w technicznych \u015brodkach zarz\u0105dzania bezpiecze\u0144stwem.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Tresc_wytycznych_administracyjnych\"><\/span>Tre\u015b\u0107 wytycznych administracyjnych<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Od Komisji Ochrony Danych Osobowych w Japonii otrzymali\u015bmy wytyczne administracyjne zgodnie z artyku\u0142em 147 Ustawy o Ochronie Danych Osobowych oraz raport na podstawie artyku\u0142u 146 ust\u0119p 1 tej\u017ce ustawy.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Ostrzezenie_Komisji_Ochrony_Danych_Osobowych_w_Japonii\"><\/span>Ostrze\u017cenie Komisji Ochrony Danych Osobowych w Japonii<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Wraz z tym Komisja Ochrony Danych Osobowych w Japonii opublikowa\u0142a &#8220;<a href=\"https:\/\/www.ppc.go.jp\/news\/careful_information\/240325_alert_cloud_service_provider\/\" target=\"_blank\" rel=\"noreferrer noopener\">Kwestie, na kt\u00f3re nale\u017cy zwr\u00f3ci\u0107 uwag\u0119, gdy dostawca us\u0142ug chmurowych jest uznawany za podmiot przetwarzaj\u0105cy dane osobowe zgodnie z prawem o ochronie danych osobowych (ostrze\u017cenie)[ja]<\/a>&#8220;.<\/p>\n\n\n\n<p>To ostrze\u017cenie jest skierowane g\u0142\u00f3wnie do u\u017cytkownik\u00f3w us\u0142ug chmurowych, aby ocenili, czy korzystanie z chmury odpowiada zlecaniu przetwarzania danych osobowych (zgodnie z art. 27 ust. 5 pkt 1 ustawy o ochronie danych osobowych), i je\u015bli tak, to podmiot przetwarzaj\u0105cy dane osobowe, kt\u00f3ry korzysta z us\u0142ug chmurowych, musi odpowiednio nadzorowa\u0107 podmiot, kt\u00f3remu zleca przetwarzanie.<\/p>\n\n\n\n<p>W przypadku systemu MK nie przyznano wyj\u0105tku dla chmury, a podmiot zosta\u0142 uznany za przetwarzaj\u0105cego dane osobowe, co oznacza, \u017ce wymagany jest odpowiedni nadz\u00f3r nad przetwarzaniem danych osobowych.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\">\n<ul>\n<li>W regulaminie okre\u015blono, \u017ce dostawca us\u0142ug chmurowych mo\u017ce przeprowadza\u0107 niezb\u0119dne dzia\u0142ania, takie jak monitorowanie, analiza czy dochodzenie, je\u015bli uzna to za konieczne do utrzymania i operowania systemem, oraz \u017ce bez zgody nie mo\u017ce u\u017cywa\u0107 danych w systemie ani ujawnia\u0107 ich osobom trzecim, z wyj\u0105tkiem okre\u015blonych przypadk\u00f3w, co oznacza, \u017ce dostawca us\u0142ug chmurowych mo\u017ce w okre\u015blonych sytuacjach korzysta\u0107 z danych osobowych u\u017cytkownik\u00f3w us\u0142ug chmurowych.<\/li>\n\n\n\n<li>Dostawca us\u0142ug chmurowych posiada\u0142 identyfikator do cel\u00f3w konserwacji, co umo\u017cliwia\u0142o dost\u0119p do danych osobowych u\u017cytkownik\u00f3w us\u0142ug chmurowych, i nie zosta\u0142y podj\u0119te techniczne \u015brodki kontroli dost\u0119pu, aby zapobiec przetwarzaniu danych.<\/li>\n\n\n\n<li>Po zawarciu umowy potwierdzaj\u0105cej z u\u017cytkownikiem us\u0142ug chmurowych, dostawca faktycznie przetwarza\u0142 dane osobowe u\u017cytkownika.<\/li>\n<\/ul>\n<cite><a href=\"https:\/\/www.ppc.go.jp\/files\/pdf\/240325_alert_cloud_service_provider.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">Kwestie, na kt\u00f3re nale\u017cy zwr\u00f3ci\u0107 uwag\u0119, gdy dostawca us\u0142ug chmurowych jest uznawany za podmiot przetwarzaj\u0105cy dane osobowe zgodnie z prawem o ochronie danych osobowych (ostrze\u017cenie)\uff5cKomisja Ochrony Danych Osobowych[ja]<\/a><br><\/cite><\/blockquote>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Uwagi_dla_dostawcow_uslug_chmurowych_w_Japonii\"><\/span>Uwagi dla dostawc\u00f3w us\u0142ug chmurowych w Japonii<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2025\/05\/7d8b9299c2a15a801c04913ba0d80d99.jpg\" alt=\"Uwagi dla dostawc\u00f3w us\u0142ug chmurowych w Japonii\" class=\"wp-image-137684\" \/><\/figure>\n\n\n\n<p>Bior\u0105c pod uwag\u0119 wyja\u015bnione kwestie prawne oraz wytyczne i ostrze\u017cenia wydane przez organy administracyjne, jakie \u015brodki ostro\u017cno\u015bci powinni podj\u0105\u0107 dostawcy us\u0142ug chmurowych (w wy\u017cej wymienionym przypadku odnosi si\u0119 to do MK System)?<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Ponowna_weryfikacja_spelnienia_wymogow_wyjatku_dla_chmury\"><\/span>Ponowna weryfikacja spe\u0142nienia wymog\u00f3w wyj\u0105tku dla chmury<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Przede wszystkim, nale\u017cy ponownie zweryfikowa\u0107, czy us\u0142ugi oferowane przez Twoj\u0105 firm\u0119 spe\u0142niaj\u0105 wymogi wyj\u0105tku dla chmury.<\/p>\n\n\n\n<p>W odpowiedzi na ostrze\u017cenia wydane przez Japo\u0144sk\u0105 Komisj\u0119 Ochrony Danych Osobowych, przedsi\u0119biorcy korzystaj\u0105cy z us\u0142ug chmurowych mog\u0105 rozwa\u017cy\u0107 dok\u0142adne sprawdzenie, czy dostawca us\u0142ug chmurowych spe\u0142nia wymogi wyj\u0105tku dla chmury.<\/p>\n\n\n\n<p>Dlatego te\u017c, jako dostawca us\u0142ug chmurowych, powiniene\u015b r\u00f3wnie\u017c dok\u0142adnie zweryfikowa\u0107, czy spe\u0142niasz wymogi wyj\u0105tku dla chmury.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Koniecznosc_nadzoru_nad_podmiotem_zewnetrznym_jesli_nie_spelnia_sie_wymogow_wyjatku_dla_chmury\"><\/span>Konieczno\u015b\u0107 nadzoru nad podmiotem zewn\u0119trznym, je\u015bli nie spe\u0142nia si\u0119 wymog\u00f3w wyj\u0105tku dla chmury<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Je\u015bli nie spe\u0142niasz wymog\u00f3w wyj\u0105tku dla chmury, musisz by\u0107 gotowy na nadz\u00f3r ze strony u\u017cytkownik\u00f3w us\u0142ug chmurowych (w tym przypadku biur rachunkowych i firm korzystaj\u0105cych z us\u0142ug MK System).<\/p>\n\n\n\n<p>Nadz\u00f3r ze strony u\u017cytkownik\u00f3w us\u0142ug chmurowych mo\u017ce obejmowa\u0107 dzia\u0142ania okre\u015blone w wytycznych dotycz\u0105cych ochrony danych osobowych (cz\u0119\u015b\u0107 og\u00f3lna) 3-4-4 Nadz\u00f3r nad podmiotem zewn\u0119trznym (zwi\u0105zane z artyku\u0142em 25. prawa), takie jak:<\/p>\n\n\n\n<ul>\n<li>Wyb\u00f3r odpowiedniego podmiotu zewn\u0119trznego: konieczne jest potwierdzenie, \u017ce \u015brodki bezpiecze\u0144stwa podmiotu zewn\u0119trznego s\u0105 r\u00f3wnowa\u017cne z tymi, kt\u00f3re wymagane s\u0105 od zleceniodawcy zgodnie z artyku\u0142em 23. prawa i niniejszymi wytycznymi<\/li>\n\n\n\n<li>Zawarcie umowy z podmiotem zewn\u0119trznym: zaleca si\u0119 zawarcie umowy, kt\u00f3ra umo\u017cliwi zleceniodawcy racjonalne zrozumienie sposobu przetwarzania powierzonych danych osobowych<\/li>\n\n\n\n<li>Zrozumienie sposobu przetwarzania danych osobowych przez podmiot zewn\u0119trzny: regularna ocena poprzez audyt w celu odpowiedniej weryfikacji<\/li>\n<\/ul>\n\n\n\n<p>Je\u015bli \u015brodki bezpiecze\u0144stwa podmiotu zewn\u0119trznego s\u0105 niew\u0142a\u015bciwe, istnieje mo\u017cliwo\u015b\u0107 rozwi\u0105zania umowy, a tak\u017ce konieczno\u015b\u0107 podj\u0119cia odpowiednich \u015brodk\u00f3w bezpiecze\u0144stwa i dostosowania si\u0119 do regularnych audyt\u00f3w.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Podsumowanie_W_sprawie_ochrony_danych_osobowych_w_uslugach_chmurowych_nalezy_skonsultowac_sie_z_adwokatem\"><\/span>Podsumowanie: W sprawie ochrony danych osobowych w us\u0142ugach chmurowych nale\u017cy skonsultowa\u0107 si\u0119 z adwokatem<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>W niniejszym artykule om\u00f3wili\u015bmy ryzyko, z jakim mog\u0105 si\u0119 spotka\u0107 dostawcy us\u0142ug chmurowych, kt\u00f3rzy nie spe\u0142niaj\u0105 wyj\u0105tk\u00f3w dotycz\u0105cych chmury, na podstawie wytycznych administracyjnych opublikowanych w marcu 2025 roku (Reiwa 7) przez Japo\u0144sk\u0105 Komisj\u0119 Ochrony Danych Osobowych.<\/p>\n\n\n\n<p>W wyniku incydentu z wyciekiem informacji, Japo\u0144ska Komisja Ochrony Danych Osobowych wyda\u0142a ostrze\u017cenie skierowane do u\u017cytkownik\u00f3w us\u0142ug chmurowych. Zawarte w nim zalecenia dotycz\u0105 nie tylko u\u017cytkownik\u00f3w, ale r\u00f3wnie\u017c dostawc\u00f3w us\u0142ug chmurowych, kt\u00f3rzy powinni dokona\u0107 przegl\u0105du \u015bwiadczonych przez siebie us\u0142ug oraz zwr\u00f3ci\u0107 uwag\u0119 na potencjalne obci\u0105\u017cenia, kt\u00f3re mog\u0105 wyst\u0105pi\u0107.<\/p>\n\n\n\n<p>Bior\u0105c pod uwag\u0119 te wytyczne, je\u015bli istniej\u0105 obawy dotycz\u0105ce rodzaju ryzyka, z jakim mo\u017ce si\u0119 spotka\u0107 Pa\u0144stwa firma, oraz jakie dzia\u0142ania nale\u017cy podj\u0105\u0107, zalecamy konsultacj\u0119 z adwokatem specjalizuj\u0105cym si\u0119 w prawie japo\u0144skim.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Zapoznaj_sie_z_dzialaniami_podejmowanymi_przez_nasza_kancelarie\"><\/span>Zapoznaj si\u0119 z dzia\u0142aniami podejmowanymi przez nasz\u0105 kancelari\u0119<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Kancelaria Prawna Monolith to firma specjalizuj\u0105ca si\u0119 w IT, a w szczeg\u00f3lno\u015bci w prawie internetowym i technologii. W obecnych czasach, gdy wiele firm IT, takich jak AWS, korzysta z chmury do rozwijania swoich dzia\u0142alno\u015bci, zarz\u0105dzanie ryzykiem zwi\u0105zanym z wyciekiem danych osobowych sta\u0142o si\u0119 nieod\u0142\u0105cznym elementem prowadzenia biznesu. W przypadku wycieku danych osobowych, dzia\u0142alno\u015b\u0107 przedsi\u0119biorstwa mo\u017ce zosta\u0107 powa\u017cnie zagro\u017cona. Nasza firma posiada specjalistyczn\u0105 wiedz\u0119 w zakresie zapobiegania wyciekom informacji i opracowywania strategii reagowania. Szczeg\u00f3\u0142owe informacje znajduj\u0105 si\u0119 w poni\u017cszym artykule.<\/p>\n\n\n\n<p>Obszary praktyki Kancelarii Prawnej Monolith: <a href=\"https:\/\/monolith.law\/personalinformation\" target=\"_blank\" rel=\"noreferrer noopener\">Prawo ochrony danych osobowych w Japonii[ja]<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Podmioty zajmuj\u0105ce si\u0119 przetwarzaniem danych osobowych podlegaj\u0105 r\u00f3\u017cnorodnym regulacjom dotycz\u0105cym obs\u0142ugi tych informacji na mocy japo\u0144skiej Ustawy o Ochronie Danych Osobowych. Nasze dane osobiste s\u0105 [&hellip;]<\/p>\n","protected":false},"author":32,"featured_media":73856,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[16],"tags":[19,51],"acf":[],"_links":{"self":[{"href":"https:\/\/monolith.law\/pl\/wp-json\/wp\/v2\/posts\/73651"}],"collection":[{"href":"https:\/\/monolith.law\/pl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/monolith.law\/pl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/monolith.law\/pl\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/monolith.law\/pl\/wp-json\/wp\/v2\/comments?post=73651"}],"version-history":[{"count":3,"href":"https:\/\/monolith.law\/pl\/wp-json\/wp\/v2\/posts\/73651\/revisions"}],"predecessor-version":[{"id":73857,"href":"https:\/\/monolith.law\/pl\/wp-json\/wp\/v2\/posts\/73651\/revisions\/73857"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/monolith.law\/pl\/wp-json\/wp\/v2\/media\/73856"}],"wp:attachment":[{"href":"https:\/\/monolith.law\/pl\/wp-json\/wp\/v2\/media?parent=73651"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/monolith.law\/pl\/wp-json\/wp\/v2\/categories?post=73651"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/monolith.law\/pl\/wp-json\/wp\/v2\/tags?post=73651"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}