Română English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_ro/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Zilele săptămânii 10:00-18:00 JST[English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Care sunt punctele cheie ale Legii Japoneze privind Protecția Datelor Personale, revizuită în anul Reiwa 6 (2024)? Explicăm modificările importante și măsurile de care trebuie să știți

Care sunt punctele cheie ale Legii Japoneze privind Protecția Datelor Personale, revizuită în anul Reiwa 6 (2024)? Explicăm modificările importante și măsurile de care trebuie să știți

General Corporate

Care sunt punctele cheie ale Legii Japoneze privind Protecția Datelor Personale, revizuită în anul Reiwa 6 (2024)? Explicăm modificările importante și măsurile de care trebuie să știți

În aprilie 2024 (Reiwa 6), vor fi implementate regulile revizuite ale Legii Japoneze pentru Protecția Datelor Personale. Această revizuire extinde obligațiile de raportare către Comisia Japoneză pentru Protecția Datelor Personale și de notificare către persoanele afectate în cazul unei scurgeri de informații.

Principalul punct al acestei revizuiri se concentrează pe abordarea problemelor recente legate de datele personale, cum ar fi web skimming.

Totuși, pentru a înțelege corect și a răspunde adecvat la modificările aduse, este necesară o cunoaștere specializată. Mulți se pot întreba ce măsuri ar trebui să ia compania lor. Acest articol explică punctele cheie ale revizuirii din 2024 (Reiwa 6) și măsurile pe care le puteți lua.

Sumarul modificărilor Legii Protecției Datelor Personale din anul Reiwa 6 (2024)

Aspectele notabile ale modificărilor aduse Legii Protecției Datelor Personale în anul Reiwa 6 (2024) sunt extinderea obligațiilor de raportare și notificare în caz de scurgeri de informații, precum și obligația de a implementa măsuri de securitate, care acum se aplică și pentru anumite „informații personale”.

În reglementările anterioare, obiectul obligației de raportare în caz de scurgere era limitat doar la „date personale”, fără a include „informațiile personale”.

Modificările aduse de această revizuire sunt detaliate în Articolul 7, Paragraful 3 al Regulamentului de Implementare a Legii Protecției Datelor Personale și în 「Ghidul Legii Protecției Datelor Personale Japoneze (Ediția Generală)」[ja].

Legea modificatăÎnainte de modificare
Obligația de raportare în caz de scurgeri etc.Există (în anumite cazuri)Nu există
Obligația de a implementa măsuri de securitateExistă (în anumite cazuri)Nu există
Modificări în tratamentul anumitor informații personale

Detaliile specifice ale reglementărilor și modificărilor sunt explicate mai jos.

Obiectivele reglementării anterioare în Legea Japoneză pentru Protecția Datelor Personale

Obiectivele reglementării anterioare în Legea Japoneză pentru Protecția Datelor Personale

Pentru a înțelege conținutul legii modificate, este esențial să avem o înțelegere precisă a reglementărilor și definițiilor stabilite înainte de modificare. Aici vom explica definițiile și conținutul reglementărilor stabilite anterior.

Diferența dintre informațiile personale și datele personale

Legea privind Protecția Informațiilor Personale tratează separat „informațiile personale” și „datele personale” ca obiecte de protecție.

„Informațiile personale” se referă la informații despre o persoană care este în viață, care pot identifica o persoană specifică prin descrieri precum numele sau data nașterii incluse în aceste informații. Aceasta este definită în articolul 2, alineatul 1, punctul 1 al Legii privind Protecția Informațiilor Personale.

Articol asociat: Legea privind Protecția Informațiilor Personale din anul Reiwa 4 (2022), revizuită „Informații prelucrate anonim” și alte măsuri pentru a promova utilizarea datelor[ja]

Pe de altă parte, „datele personale” se referă la informațiile personale care compun o bază de date de informații personale etc., așa cum este stabilit în articolul 16, alineatul 1 al Legii privind Protecția Informațiilor Personale.

De exemplu, atunci când se creează o listă de participanți la un eveniment, informațiile trimise de rezervanți, cum ar fi numele și adresa, sunt denumite „informații personale”. Și baza de date creată prin colectarea informațiilor personale ale fiecărui rezervant într-un spreadsheet etc., este „baza de date de informații personale”. Informațiile individuale care compun această bază de date sunt considerate „date personale”.

În cadrul Legii privind Protecția Informațiilor Personale, este necesar să înțelegem că reglementările se schimbă semnificativ în funcție de faptul dacă obiectul protecției este „informații personale” sau „date personale”.

Ce sunt obligațiile de raportare și notificare în caz de scurgeri de informații

Legea Protecției Datelor Personale impune operatorilor de date personale să raporteze Comisiei Japoneze pentru Protecția Datelor Personale și să notifice persoanele vizate în cazul în care are loc o scurgere de date personale.

(Raportarea scurgerilor de informații etc.)
Articolul 26 Operatorii de date personale trebuie să raporteze Comisiei Japoneze pentru Protecția Datelor Personale, conform regulamentelor stabilite de aceasta, atunci când se produce o situație legată de securitatea datelor personale pe care le gestionează, cum ar fi scurgerea, pierderea, deteriorarea sau alte situații care pot afecta grav drepturile și interesele persoanelor, așa cum este definit în regulamentele Comisiei pentru Protecția Datelor Personale. Totuși, aceasta nu se aplică în cazul în care operatorul de date personale a delegat total sau parțial gestionarea datelor personale altui operator de date personale sau unei entități administrative și a notificat această situație conform regulamentelor Comisiei pentru Protecția Datelor Personale.
2 În cazurile prevăzute în alineatul precedent, operatorii de date personale (cu excepția celor care au efectuat notificarea conform excepției menționate) trebuie să notifice persoana vizată despre situație, conform regulamentelor stabilite de Comisia pentru Protecția Datelor Personale. Totuși, dacă notificarea persoanei vizate este dificilă și se iau măsuri alternative necesare pentru protejarea drepturilor și intereselor acesteia, aceasta nu se aplică.

Legea privind Protecția Datelor Personale | Căutare legislație e-Gov[ja]

Obligațiile de raportare și notificare nu se aplică în toate cazurile de scurgeri de informații. Acestea sunt limitate la cele patru cazuri definite în articolul 7 al regulamentului de implementare a Legii Protecției Datelor Personale:

  1. Scurgerea de date personale care conțin informații sensibile (exemplu: rezultatele examinărilor medicale ale angajaților)
  2. Scurgerea de date personale care ar putea duce la daune materiale prin utilizare necorespunzătoare (exemplu: numere de carduri de credit)
  3. Scurgerea de date personale care ar putea fi efectuată cu intenții frauduloase
  4. Scurgerea de date personale care afectează mai mult de 1000 de persoane

În cadrul acestei revizuiri, conținutul punctului 3 al articolului 7 a fost modificat.

Ce sunt măsurile de gestionare a securității

Legea japoneză privind protecția datelor personale obligă operatorii care prelucrează date personale să adopte măsuri necesare și adecvate pentru prevenirea scurgerilor de date și pentru gestionarea securității acestora.

(Măsuri de gestionare a securității)
Articolul 23 Operatorii care prelucrează date personale trebuie să adopte măsuri necesare și adecvate pentru prevenirea scurgerilor, pierderii sau deteriorării datelor personale și pentru alte aspecte ale gestionării securității datelor personale.

Legea japoneză privind protecția datelor personale | e-Gov căutare legislativă[ja]

Ca exemple concrete, se pot menționa controlul accesului, formarea angajaților și stabilirea de reguli.

Reglementările vizate înainte de modificare

Înainte de modificare, subiectele obligate să raporteze în caz de scurgeri de informații și să adopte măsuri de securitate erau limitate doar la “date personale”. În ceea ce privește “informațiile personale”, chiar dacă se produceau scurgeri de informații, operatorii economici nu erau obligați să respecte aceste cerințe.

Totuși, modificarea recentă a extins obligațiile de raportare și notificare, precum și obligația de a implementa măsuri de securitate, la anumite “informații personale”.

Scopul și obiectivul modificării Regulamentului de aplicare a Legii Protecției Datelor Personale

Scopul și obiectivul modificării Regulamentului de aplicare a Legii Protecției Datelor Personale

Această modificare are în vedere, în principal, măsurile împotriva web skimming-ului. Web skimming-ul reprezintă o metodă de atac prin care se instalează programe ilegale pe site-uri de comerț electronic pentru a fura informații personale.

Mai exact, există o metodă prin care se obțin direct informații precum parolele și datele de pe cardurile de credit introduse de utilizatori în formularele de pe paginile web.

În cazul web skimming-ului, caracteristica distinctivă este că informațiile introduse de utilizatori sunt furate direct înainte de a fi integrate în bazele de date ale operatorilor de site-uri de comerț electronic sau în alte sisteme de informații personale. În această situație, se fură „informații personale” înainte ca acestea să devină „date personale”.

Înainte de modificare, obligația de raportare a scurgerilor de informații se aplica doar „datelor personale”. Prin urmare, chiar dacă se produceau incidente de web skimming, operatorii de site-uri de comerț electronic nu erau obligați să raporteze aceste incidente.

Modificarea actuală își propune să includă scurgerile de informații cauzate de web skimming în categoria incidentelor ce trebuie raportate, extinzând astfel obiectul raportărilor de scurgeri de informații și măsurile de securitate la „informații personale”.

Conținutul revizuirii Regulamentului de aplicare a Legii Protecției Datelor Personale în anul Reiwa 6 (2024)

Extinderea obiectului obligației de raportare a scurgerilor etc.

Articolul 7, alineatul (3) din Regulamentul de aplicare a Legii Protecției Datelor Personale a fost modificat după cum urmează.

Legea modificatăÎnainte de modificare
Articolul 7, Legea articolul 26, alineatul (1) prevede că, ca situații care pot afecta grav drepturile și interesele persoanelor, se consideră cele stabilite prin regulamentul Comisiei de Protecție a Datelor Personale, inclusiv situațiile în care există un risc de acțiuni efectuate cu un scop ilegitim împotriva operatorului de date personale, care ar putea duce la scurgerea sau posibila scurgere de date personale (inclusiv informațiile personale pe care operatorul de date personale le-a obținut sau intenționează să le obțină și care sunt preconizate a fi tratate ca date personale).Articolul 7, Legea articolul 26, alineatul (1) prevede că, ca situații care pot afecta grav drepturile și interesele persoanelor, se consideră cele stabilite prin regulamentul Comisiei de Protecție a Datelor Personale, inclusiv situațiile în care există un risc de scurgere sau posibila scurgere de date personale în urma unor acțiuni efectuate cu un scop ilegitim.
Regulamentul de aplicare a Legii Protecției Datelor Personale|Căutare legislație e-Gov[ja]

„Operatorul de date personale” include și subcontractanții sau furnizorii de servicii de prelucrare a datelor personale.

De asemenea, dacă informațiile personale pe care operatorul de date personale intenționează să le obțină sunt considerate ca atare, se va judeca obiectiv, luând în considerare mijloacele de obținere a informațiilor personale (Ghidul general secțiunea 3-5-3-1).

Astfel, extinderea obiectului obligației de raportare și notificare a scurgerilor etc. la „informațiile personale” în anumite cazuri reprezintă o schimbare majoră adusă de revizuirea din anul Reiwa 6 (2024).

Extinderea obiectului măsurilor de securitate

În urma modificării reglementărilor privind obligația de raportare a scurgerilor etc., a fost modificată și secțiunea 3-4-2 din Ghidul general al Legii Protecției Datelor Personale.

Se consideră că măsurile de securitate necesare și adecvate pe care operatorul de date personale trebuie să le ia pentru a preveni scurgerea etc. a informațiilor personale (inclusiv informațiile personale pe care operatorul de date personale le-a obținut sau intenționează să le obțină și care sunt preconizate a fi tratate ca date personale) sunt incluse.

Obiectul măsurilor de securitate a fost extins nu doar la „datele personale”, ci și la „informațiile personale” în anumite cazuri.

Referință: Comisia de Protecție a Datelor Personale|Ghidul privind Legea Protecției Datelor Personale (aplicabil din 1 aprilie Reiwa 6 (2024)) (secțiunea generală)

Măsuri de luat în urma implementării Legii revizuite privind Protecția Datelor Personale

Măsuri de luat în urma implementării Legii revizuite privind Protecția Datelor Personale

Măsurile ce trebuie luate în urma implementării Legii revizuite privind Protecția Datelor Personale din anul Reiwa 6 (2024) sunt următoarele două:

  • Revizuirea politicii de confidențialitate
  • Revizuirea și comunicarea regulamentelor interne

Să le examinăm pe fiecare în detaliu.

Revizuirea politicii de confidențialitate

Operatorii care prelucrează date personale trebuie să asigure măsuri de securitate pentru protecția datelor personale pe care le dețin, astfel încât să fie accesibile titularului datelor. Aceasta include și capacitatea de a răspunde prompt la solicitările titularului (Legea japoneză privind Protecția Datelor Personale, Articolul 32, Paragraful 1, Punctul 4).

Operatorii care au inclus măsuri de securitate în politica de confidențialitate trebuie să fie atenți. Este necesar să adauge în politica de confidențialitate măsuri de securitate pentru anumite date personale care nu erau anterior incluse.

Revizuirea și comunicarea regulamentelor interne

Este necesar să se reflecte în regulamentele interne și să se comunice angajaților faptul că obligația de raportare și notificare se aplică acum și în cazul scurgerilor de anumite informații personale.

Scurgerile de informații personale care devin acum subiect de raportare nu se limitează la skimming-ul web.

De exemplu, dacă un operator de prelucrare a datelor personale trimite un client un plic de răspuns cu adresa modificată și informațiile personale completate pe formularul de sondaj din interiorul plicului ajung în mâinile unei terțe părți, acest incident devine subiectul obligației de raportare și notificare dacă informațiile respective erau preconizate să fie tratate ca date personale.

Deoarece tratamentul informațiilor personale care anterior nu generau obligații se schimbă, este necesar să se atragă atenția angajaților.

Concluzie: Consultați un specialist pentru a răspunde la modificările Legii Protecției Datelor Personale

În modificarea din anul 2024 (Reiwa 6) a Legii Japoneze pentru Protecția Datelor Personale, s-a extins domeniul de aplicare al obligațiilor de raportare și notificare în caz de scurgeri de informații, precum și al măsurilor de securitate, având în vedere prevenirea web skimming-ului. Înainte de modificare, doar „datele personale” erau vizate, dar acum, în anumite cazuri, și „informațiile personale” sunt incluse.

Ca urmare a acestei modificări, este necesar să se ia măsuri precum revizuirea politicilor de confidențialitate și a regulamentelor interne.

În ceea ce privește gestionarea informațiilor personale, greșelile în implementarea măsurilor pot duce la riscuri mari, cum ar fi pierderea încrederii sociale. Vă recomandăm să consultați un avocat atunci când abordați aceste probleme.

Ghidul măsurilor noastre

Cabinetul de avocatură Monolith este specializat în IT, având o experiență bogată atât în domeniul internetului, cât și în cel juridic. În ultima vreme, scurgerea de informații personale a devenit o problemă majoră. În cazul nefericit al unei scurgeri de informații personale, activitatea unei companii poate fi afectată în mod fatal. Firma noastră deține cunoștințe specializate în prevenirea și gestionarea scurgerilor de informații. Detalii suplimentare sunt furnizate în articolul de mai jos.

Domeniile de practică ale Cabinetului de Avocatură Monolith: Servicii juridice legate de Legea Japoneză pentru Protecția Informațiilor Personale[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Explicăm punctele de atenție ale contractului SES ~ Care sunt punctele cheie pentru a preveni problemele? ~

Explicăm punctele de atenție ale contractului SES ~ Care sunt punctele cheie pentru a preveni pr.

General Corporate

Puncte de atenție privind exprimarea publicitară a produselor cosmetice și alimentelor sănătoase

Puncte de atenție privind exprimarea publicitară a produselor cosmetice și alimentelor sănătoase

General Corporate

Puncte de atenție legală în administrarea unei școli de eSport

Puncte de atenție legală în administrarea unei școli de eSport

General Corporate

Utilizarea imaginilor clădirilor încalcă legea? Despre drepturile de autor și drepturile de marcă

Utilizarea imaginilor clădirilor încalcă legea? Despre drepturile de autor și drepturile de marc.

General Corporate

Puncte de atenție în dreptul de autor pentru materialele de învățare e-learning în creștere?

Puncte de atenție în dreptul de autor pentru materialele de învățare e-learning în creștere?

General Corporate

Ce putem învăța despre gestionarea crizelor și rolul avocatului din scurgerea de informații a Capcom

Ce putem învăța despre gestionarea crizelor și rolul avocatului din scurgerea de informații a Ca.

General Corporate

Puncte de atenție în contractele de parteneriat pentru implementarea API-urilor? Explicații pentru fiecare clauză

Puncte de atenție în contractele de parteneriat pentru implementarea API-urilor? Explicații pent.

General Corporate

Avantajele și procesul contractului de 'transfer de acțiuni', un plan simplu în cadrul fuziunilor și achizițiilor (M&A)

Avantajele și procesul contractului de 'transfer de acțiuni', un plan simplu în cadrul fuziunilo.

General Corporate

Ce este o 'Creație în cadrul Serviciului'? Explicarea cazurilor de litigiu și a deciziilor judecătorești care au devenit controversate

Ce este o 'Creație în cadrul Serviciului'? Explicarea cazurilor de litigiu și a deciziilor judec.

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

?napoi la ?nceput