Română English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_ro/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Zilele săptămânii 10:00-18:00 JST[English Only]

MONOLITH LAW MAGAZINE

IT

HOME > LAW MAGAZINE > IT > Ce este 'excepția cloud' în legea protecției datelor personale? Explicație bazată pe exemple reale de instrucțiuni administrative primite de furnizorii de servicii cloud

Ce este 'excepția cloud' în legea protecției datelor personale? Explicație bazată pe exemple reale de instrucțiuni administrative primite de furnizorii de servicii cloud

IT

Ce este 'excepția cloud' în legea protecției datelor personale? Explicație bazată pe exemple reale de instrucțiuni administrative primite de furnizorii de servicii cloud

Operatorii care manipulează informații personale sunt supuși diferitelor reglementări privind tratamentul acestor informații de către Legea Protecției Datelor Personale din Japonia. Datele noastre personale sunt strâns legate de intimitatea noastră și includ informații importante legate de caracteristicile fizice sau de proprietate, motiv pentru care stabilirea unor reguli stricte este considerată o necesitate.

Totuși, această lege prevede și anumite excepții. Una dintre acestea este cunoscută sub numele de “excepția cloud”.

Dar ce este, de fapt, “excepția cloud”? În acest articol, vom explica pe înțelesul tuturor ce presupune “excepția cloud” și condițiile de aplicare ale acesteia, bazându-ne pe cazul companiei MK System, care a primit orientări administrative în anul Reiwa 6 (2024).

Principiile și excepțiile privind furnizarea datelor personale către terți sub Legea Japoneză de Protecție a Datelor Personale

Principiile și excepțiile privind furnizarea datelor personale către terți sub Legea Japoneză de Protecție a Datelor Personale

În primul rând, să examinăm principiile și excepțiile legate de furnizarea datelor personale către terți, conform Legii Japoneze de Protecție a Datelor Personale.

Principiile Legii Protecției Datelor Personale în Japonia atunci când se furnizează date personale terților

Când un operator de prelucrare a datelor personale utilizează servicii cloud, acesta este considerat a fi “delegat total sau parțial prelucrarea datelor personale” conform articolului 27, alineatul 5, punctul 1 al Legii Protecției Datelor Personale (平成17年(2005)), și trebuie să exercite supravegherea necesară și adecvată asupra furnizorului de servicii cloud, conform principiilor stabilite în articolul 25 al aceleiași legi.

Ce este Excepția Cloud sub legislația japoneză

Această excepție este cunoscută sub numele de “Excepția Cloud”.

În acest context, “furnizorii de servicii cloud” se referă la companiile care oferă în principal infrastructura IT, cum ar fi stocarea și serverele (IaaS/PaaS), și care găzduiesc și procesează datele altor companii prin intermediul internetului. Furnizorii specifici includ următorii:

  • Amazon Web Services (AWS): oferit de compania americană Amazon, adoptat de multe companii japoneze.
  • Microsoft Azure: serviciu de infrastructură cloud oferit de Microsoft, cu numeroase cazuri de implementare în agențiile guvernamentale.
  • Google Cloud Platform (GCP): oferit de Google, cu puncte forte în AI și procesarea datelor mari.

Excepția Cloud devine relevantă atunci când furnizorii de servicii de tip SaaS (Software as a Service), care dezvoltă sisteme pe infrastructura cloud (IaaS sau PaaS) și le oferă clienților, se ocupă de date personale.

În întrebările și răspunsurile ghidului “Despre Legea privind Protecția Datelor Personale” al Comisiei pentru Protecția Informațiilor Personale, se menționează următoarele despre furnizorii de servicii cloud la punctul 7-53:

(Când nu se aplică cazul unei terțe părți) Q7-53 Dacă un operator de date personale utilizează un sistem de informații care manipulează date electronice ce includ date personale, asemenea unui contract de servicii cloud cu un furnizor extern, este necesar să obțină “consimțământul persoanei” (conform articolului 27, alineatul 1) ca și cum ar fi furnizat datele personale unei terțe părți? Sau, este considerat “delegarea totală sau parțială a manipulării datelor personale” (conform articolului 27, alineatul 5, punctul 1), necesitând supravegherea furnizorului de servicii cloud conform articolului 25?

A7-53 Există multe forme de servicii cloud, dar dacă utilizarea serviciilor cloud constituie o furnizare către o terță parte care necesită consimțământul persoanei (conform articolului 27, alineatul 1) sau o delegare (conform articolului 27, alineatul 5, punctul 1), nu depinde de faptul că datele electronice stocate includ date personale, ci dacă furnizorul de servicii cloud manipulează datele personale. Dacă furnizorul de servicii cloud nu manipulează datele personale, atunci operatorul de date personale nu este considerat a fi furnizat datele personale, deci nu este necesar să obțină consimțământul persoanei. În plus, în cazul menționat mai sus, deoarece nu se consideră că a avut loc o furnizare de date personale, nu se aplică nici “delegarea totală sau parțială a manipulării datelor personale… în cazul furnizării” (conform articolului 27, alineatul 5, punctul 1), și nu există obligația de a supraveghea furnizorul de servicii cloud conform articolului 25. Pentru măsurile de securitate ale operatorului de date personale când furnizorul de servicii cloud nu manipulează datele personale, vezi Q7-54. Un caz în care furnizorul de servicii cloud nu manipulează datele personale ar putea fi când termenii contractuali stabilesc că furnizorul extern nu va manipula datele personale stocate pe server și când se efectuează un control adecvat al accesului. Pentru relația cu articolul 28, vezi Q12-3.

Întrebări și răspunsuri despre Ghidul Legii privind Protecția Datelor Personale[ja]|Comisia pentru Protecția Informațiilor Personale

Prin urmare, atunci când utilizatorii de servicii cloud folosesc aceste servicii, nu este necesar să supravegheze furnizorul de servicii cloud dacă îndeplinesc condițiile excepției. Pentru a se califica pentru “Excepția Cloud”, trebuie îndeplinite următoarele două condiții:

  • Termenii contractuali stabilesc că furnizorul extern nu va manipula datele personale stocate pe server
  • Se efectuează un control adecvat al accesului

Orientare administrativă împotriva MK System Co., Ltd. sub legislația japoneză privind protecția datelor personale

La data de 25 martie 2024 (Reiwa 6), Comisia pentru Protecția Informațiilor Personale din Japonia a emis o orientare către MK System Co., Ltd. pe baza articolului 147 din Legea privind Protecția Informațiilor Personale. Această acțiune a fost declanșată de un incident de scurgere de informații la scară largă, care a afectat aproximativ 7,5 milioane de persoane. În urma acestui caz, Comisia pentru Protecția Informațiilor Personale a publicat un avertisment intitulat “Aspecte de care trebuie să țină cont furnizorii de servicii cloud atunci când sunt considerați operatori de date personale conform Legii privind Protecția Informațiilor Personale”.

Referință: Comisia pentru Protecția Informațiilor Personale | Avertisment privind aspectele de care trebuie să țină cont furnizorii de servicii cloud atunci când sunt considerați operatori de date personale conform Legii privind Protecția Informațiilor Personale[ja]

Să examinăm cazul orientării administrative împotriva MK System Co., Ltd. în contextul excepției cloud prevăzute de Legea privind Protecția Informațiilor Personale din Japonia.

Rezumatul cazului

Compania MK System a construit un sistem de suport pentru activități de asigurări sociale și resurse umane, folosind serverele Tencent Cloud din China, și a oferit servicii utilizatorilor săi, inclusiv birourilor de consultanță în domeniul muncii.

În iunie al anului Reiwa 5 (2023), serverul a fost supus unui acces neautorizat, ceea ce a dus la riscul de scurgere a datelor personale gestionate (nume, data nașterii, sex, adresă, numărul de bază al pensiei, numărul de asigurare pentru angajați și numărul My Number al angajaților companiilor și instituțiilor clienți ai consultanților în domeniul muncii etc.).

Relația dintre aceste trei entități, aplicată la liniile directoare, este următoarea:

Poziția conform liniilor directoareOperatorulConținut
ContractantulUtilizatorii, cum ar fi consultanții în domeniul muncii (operatorii de date personale)Poziția de a manipula datele personale ale clienților (companii și persoane fizice)
ContractorulMK System Co., Ltd.Oferă un sistem care substituie și suportă activitățile de consultanță în domeniul muncii în cloud. Procesează datele personale conform instrucțiunilor clienților
SubcontractorulTencent Cloud (China)MK System subcontractează infrastructura cloud. Poate corespunde furnizării în străinătate

Comisia pentru Protecția Datelor Personale din Japonia a decis că MK System avea deficiențe în măsurile de management al securității tehnice.

Conținutul instrucțiunilor administrative

De la Comisia pentru Protecția Datelor cu Caracter Personal din Japonia s-au efectuat instrucțiuni administrative conform prevederilor articolului 147 din Legea Japoneză privind Protecția Datelor cu Caracter Personal, precum și colectarea rapoartelor conform prevederilor paragrafului 1 al articolului 146 din aceeași lege.

Avertismentul Comisiei pentru Protecția Datelor Personale din Japonia

În același timp, Comisia pentru Protecția Datelor Personale din Japonia a publicat un avertisment intitulat “Aspecte de luat în considerare de către furnizorii de servicii cloud care sunt considerați operatori de date personale conform legii protecției datelor personale din Japonia (Avertisment)[ja]“.

Acest avertisment se adresează în principal celor care utilizează serviciile cloud, pentru a determina dacă utilizarea acestora constituie subcontractarea prelucrării datelor personale (conform Articolului 27, Paragraful 5, Punctul 1 al Legii Protecției Datelor Personale din Japonia) și, în cazul în care este considerată subcontractare, operatorii de date personale care utilizează serviciile cloud trebuie să exercite o supraveghere necesară și adecvată asupra subcontractorilor.

În cazul sistemului MK, nu se recunoaște excepția pentru serviciile cloud, fiind considerat operator de date personale, motiv pentru care este necesară o supraveghere adecvată în gestionarea datelor personale, din următoarele trei motive:

  • Termenii și condițiile stabilesc că furnizorul de servicii cloud poate efectua acțiuni necesare, cum ar fi monitorizarea, analiza și investigația datelor etc., atunci când consideră necesar pentru întreținere și operare, și că, cu anumite excepții, nu este permisă utilizarea sau divulgarea datelor sistemului fără autorizație către terți, ceea ce înseamnă că furnizorul de servicii cloud poate utiliza datele personale ale utilizatorului în anumite circumstanțe.
  • Furnizorul de servicii cloud deține un ID de întreținere și are posibilitatea de a accesa datele personale ale utilizatorului, fără ca măsurile de control al accesului tehnic să fie implementate pentru a preveni prelucrarea acestora.
  • În urma încheierii unui acord de confirmare cu utilizatorul serviciului cloud, furnizorul a prelucrat efectiv datele personale ale utilizatorului.
Aspecte de luat în considerare de către furnizorii de servicii cloud care sunt considerați operatori de date personale conform legii protecției datelor personale din Japonia (Avertisment)|Comisia pentru Protecția Datelor Personale[ja]

Aspecte de care trebuie să țină cont furnizorii de servicii cloud în Japonia

Aspecte de care trebuie să țină cont furnizorii de servicii cloud în Japonia

Având în vedere problemele legale și îndrumările administrative menționate anterior, care sunt aspectele de care trebuie să țină cont furnizorii de servicii cloud, cum ar fi MK System în exemplul nostru?

Verificarea din nou a îndeplinirii cerințelor excepției cloud

În primul rând, este esențial să verificați din nou dacă serviciul pe care îl furnizați îndeplinește cerințele excepției cloud.

În urma atenționărilor Comisiei Japoneze pentru Protecția Datelor Personale, este posibil ca utilizatorii de servicii cloud să evalueze dacă furnizorii de servicii cloud respectivi îndeplinesc cerințele excepției cloud.

Prin urmare, este important ca furnizorii de servicii cloud să reexamineze dacă îndeplinesc cu adevărat cerințele excepției cloud.

Dacă nu îndeplinesc cerințele excepției cloud, trebuie să răspundă la supravegherea entităților contractante

Dacă nu îndeplinesc cerințele excepției cloud, furnizorii de servicii cloud trebuie să răspundă la supravegherea din partea utilizatorilor serviciilor cloud (în acest caz, birourile de consultanță în muncă și companiile care utilizează serviciile oferite de MK System).

Supravegherea din partea utilizatorilor serviciilor cloud include următoarele acțiuni, conform Ghidului privind protecția datelor personale (Partea generală) 3-4-4 Supravegherea entităților contractante (relaționată cu Articolul 25 din lege):

  • Selectarea adecvată a entității contractante: Este necesar să se confirme că măsurile de securitate ale entității contractante sunt echivalente cu cele cerute de Articolul 23 și de acest ghid.
  • Încheierea contractului de delegare: Este de dorit să se încheie un contract care să includă posibilitatea ca entitatea contractantă să înțeleagă în mod rezonabil modul în care se manipulează datele personale delegate.
  • Înțelegerea modului în care entitatea contractantă manipulează datele personale: Evaluarea adecvată prin audituri periodice.

Dacă măsurile de securitate ale entității contractante sunt inadecvate, există posibilitatea ca contractul să fie reziliat, iar entitatea contractantă poate fi obligată să implementeze măsurile de securitate necesare și să se conformeze auditurilor periodice.

Concluzie: Consultați un avocat pentru protecția datelor personale pe servicii cloud

Acest articol a explicat riscurile pentru furnizorii de servicii cloud care nu îndeplinesc excepțiile cloud, bazându-se pe îndrumările administrative publicate în martie 2025 (Reiwa 7) de Comisia pentru Protecția Datelor Personale din Japonia.

În urma unei scurgeri de informații, Comisia pentru Protecția Datelor Personale din Japonia a emis un avertisment către utilizatorii de servicii cloud. Acest avertisment este relevant nu doar pentru utilizatori, ci și pentru companiile care oferă servicii cloud, subliniind necesitatea de a revizui serviciile oferite și de a fi conștienți de posibilele sarcini care pot apărea.

Având în vedere aceste îndrumări administrative, dacă aveți îndoieli cu privire la riscurile la care se expune compania dumneavoastră sau la măsurile de răspuns necesare, vă recomandăm să consultați un avocat.

Ghidul măsurilor noastre de intervenție

Cabinetul de Avocatură Monolith este o firmă de avocatură cu experiență bogată în domeniul IT, în special în ceea ce privește internetul și legea. În zilele noastre, când multe companii IT folosesc cloud-uri precum AWS pentru a-și extinde afacerile, scurgerea de informații personale a devenit un aspect esențial al managementului de risc, care nu poate fi neglijat în operarea unei afaceri. În cazul nefericit al unei scurgeri de informații personale, activitatea corporativă poate suferi un impact devastator. Firma noastră deține expertiză specializată în prevenirea și gestionarea scurgerilor de informații. Detalii suplimentare sunt furnizate în articolul de mai jos.

Domeniile de practică ale Cabinetului de Avocatură Monolith: Servicii legale legate de protecția datelor personale sub Legea Japoneză[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Related Articles

Diferența și distincția dintre contractul de prestări servicii și contractul de delegare în dezvoltarea de sisteme

Diferența și distincția dintre contractul de prestări servicii și contractul de delegare în dezv.

IT

Ce înseamnă legea în legătură cu conflictele și problemele în etapa de operare a sistemului?

Ce înseamnă legea în legătură cu conflictele și problemele în etapa de operare a sistemului?

IT

Despre problemele legale asociate cu baza de date a sistemului IT

Despre problemele legale asociate cu baza de date a sistemului IT

IT

Ce înseamnă operațiunile de custodie? Explicăm reglementările pentru operatorii de schimb de active criptografice

Ce înseamnă operațiunile de custodie? Explicăm reglementările pentru operatorii de schimb de act.

IT

Ce este staking-ul de criptoactive? Explicăm problemele din punct de vedere al reglementărilor financiare

Ce este staking-ul de criptoactive? Explicăm problemele din punct de vedere al reglementărilor f.

IT

Care sunt cele 3 categorii de infracțiuni cibernetice? Un avocat explică măsurile de protecție pentru fiecare tipar

Care sunt cele 3 categorii de infracțiuni cibernetice? Un avocat explică măsurile de protecție p.

IT

Ce înseamnă contractele multietapice în dezvoltarea de sisteme? O explicație care include și motivele pentru care sunt recomandate

Ce înseamnă contractele multietapice în dezvoltarea de sisteme? O explicație care include și mot.

IT

Ce înseamnă din punct de vedere juridic scuzele de la furnizor la utilizator în dezvoltarea de sisteme?

Ce înseamnă din punct de vedere juridic scuzele de la furnizor la utilizator în dezvoltarea de s.

IT

Ce este răspunderea pentru neconformitatea contractului în dezvoltarea de sisteme și software? Explicăm punctele de revizuire

Ce este răspunderea pentru neconformitatea contractului în dezvoltarea de sisteme și software? E.

IT


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IPO in Japan IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

?napoi la ?nceput