Что такое GDPR? Сравнение с «Японским законом о защите персональных данных» и ключевые моменты, на которые должны обратить внимание японские компании
При расширении бизнеса в страны Евросоюза необходимо иметь всеобъемлющие знания о GDPR (Общем регламенте по защите данных). Даже японские компании, не имеющие представительств в ЕС, могут подпадать под действие GDPR. Получите базовые знания о GDPR и японском законе о защите личных данных, чтобы обеспечить правильное управление данными.
В этой статье мы рассмотрим GDPR, сравним его с японским законом о защите личных данных и укажем на ключевые моменты, на которые должны обратить внимание японские компании. Если вы отвечаете за юридические вопросы и задаетесь вопросами, нужно ли изменять правила защиты данных или какие законы необходимо учитывать при выходе на рынок ЕС, обязательно используйте эту статью в качестве руководства.
Что такое GDPR (Общий регламент по защите данных ЕС)?
GDPR (General Data Protection Regulation), известный в Японии как “Общий регламент по защите данных”, представляет собой набор правил, установленных Европейским Союзом (EU), касающихся обработки персональных данных (защиты личной информации).
Он устанавливает строгие стандарты для обработки персональных данных в пределах ЕС и направлен на усиление защиты личной жизни.
С точки зрения защиты личной информации, он предоставляет стандарты, которым должны следовать компании и организации в отношении обработки данных, а также указывает, как индивидуумы могут защитить свою информацию.
Ссылка: Комиссия по защите личной информации | “Предварительный японский перевод Общего регламента по защите данных (GDPR)[ja]“
Основные принципы GDPR следующие:
- Законность, справедливость и прозрачность
- Ограничение целей
- Минимизация данных
- Точность
- Ограничение хранения данных
- Целостность и конфиденциальность
Далее мы объясним каждый из основных принципов.
Законность, справедливость и прозрачность
В числе основных принципов GDPR на первом месте стоят законность, справедливость и прозрачность.
Когда компании собирают и обрабатывают личные данные, они должны исходить из того, что у них есть законное основание для этого, и должны четко сообщать заинтересованным сторонам, как именно будет происходить обработка данных.
Кроме того, компании должны явно предоставлять информацию о конфиденциальности и обеспечивать прозрачность, чтобы заинтересованные стороны могли понимать и контролировать, как их данные будут использоваться.
Ограничение целей использования
Ограничение целей использования означает, что сбор и обработка данных должны осуществляться исключительно для определенных и ясных целей.
Компании, занимающиеся сбором персональных данных, должны точно и конкретно указывать цели сбора данных сторонам и получать их явное согласие. Кроме того, компании обязаны ограничивать использование собранных данных исключительно для целей, на которые было получено согласие субъекта данных, и строго контролировать их обработку.
Минимизация персональных данных
Сбор персональных данных должен быть ограничен (минимизирован) до объема, необходимого для достижения поставленной цели. Собирайте персональные данные только в объеме, который подходит для заявленной цели, и избегайте сбора излишних персональных сведений.
Это позволяет свести к минимуму количество хранимых персональных данных и защитить конфиденциальность личной информации.
Точность
Одним из основных принципов Общего регламента по защите данных (GDPR) является точность персональных данных. Персональные данные должны быть точными. Неточные персональные данные должны быть исправлены, и должны быть приняты меры для поддержания информации в актуальном и точном состоянии.
Это обеспечивает защиту прав и интересов личности и гарантирует, что обработка персональных данных осуществляется на основе точной информации.
Ограничения на хранение записей
Одним из основных принципов Общего регламента по защите данных (GDPR) является ограничение на хранение записей. Личные данные, которые стали ненужными после достижения цели их обработки, должны быть незамедлительно удалены.
Не хранение ненужных личных данных позволяет обеспечить надлежащее управление личными данными и защиту конфиденциальности.
Целостность и конфиденциальность
Персональные данные должны быть полными и конфиденциальными. Необходимо защищать персональные данные от искажений и потерь, а также принимать соответствующие меры для предотвращения несанкционированного доступа.
Это повышает доверие к персональным данным.
Не только для компаний в ЕС? Сфера применения GDPR
GDPR применяется не только к компаниям внутри ЕС. Японские компании также могут подпадать под его действие. Ниже описаны четыре категории компаний, к которым может применяться GDPR.
| Категории компаний, к которым применяется GDPR | Описание |
| Компании с базами в ЕС | «Контролер» | Организация, определяющая цели и средства обработки данных и владеющая данными, называется контролером. Например, компании с головным офисом или филиалами в ЕС подпадают под это определение. Контролер несет ответственность за обеспечение законной и прозрачной обработки данных. |
| Компании, обрабатывающие персональные данные по поручению ЕС компаний | «Процессор» | Когда компания в ЕС поручает обработку данных другой компании, последняя становится «процессором» и подпадает под действие GDPR. Процессор также несет ответственность за обеспечение безопасности и законности обработки данных. |
| Компании, предоставляющие товары или услуги лицам в ЕС | Компании, предоставляющие онлайн-магазины или веб-сервисы, подпадают под это определение. Обработка данных, связанных с предоставляемыми товарами или услугами, должна соответствовать стандартам GDPR. |
| Компании, осуществляющие мониторинг лиц в ЕС | Под мониторингом понимается длительное отслеживание действий или состояния определенных лиц. Например, компании, использующие видеонаблюдение или отслеживание онлайн-поведения, подпадают под это определение, и от них требуется законная обработка данных. |
Компании, к которым применяется GDPR, обязаны обеспечивать законную и прозрачную обработку данных, их безопасность, а также соответствие стандартам GDPR.
Связанные статьи: Что делать, если GDPR применяется за пределами ЕС? Объясняем методы реагирования[ja]
Обработка персональных данных в соответствии с GDPR
GDPR предоставляет рамки для защиты конфиденциальности и обеспечения свободного обращения данных при обработке персональных данных.
| Цель и принципы данного регламента заключаются в защите основных прав и свобод, в частности, в уважении частной жизни личности и обеспечении свободного обращения персональных данных (статья 4 GDPR). |
GDPR защищает контроль и уважение к персональным данным, одновременно способствуя их свободному обращению и обеспечивая надежность за счет адекватного управления.
Для этого важны прозрачность обработки данных и ответственность компаний, которые должны соответствующим образом обрабатывать данные в соответствии с регламентом.
В GDPR также содержатся следующие положения:
| Компании, на которые распространяется действие GDPR, при обработке персональных данных в большинстве случаев должны получать согласие субъекта данных (пункт (a) части 1 статьи 6 GDPR). |
| Оператор должен быть в состоянии доказать, что субъект данных дал согласие на обработку его персональных данных (часть 1 статьи 7 GDPR). |
| Кроме того, субъект данных имеет право в любое время отозвать свое согласие на обработку персональных данных (часть 3 статьи 7 GDPR). |
Однако существуют случаи, когда обработка персональных данных допускается без согласия субъекта данных. Конкретные примеры включают:
- Необходимость для исполнения контракта, в котором субъект данных является стороной
- Необходимость для предварительных мер перед заключением контракта по запросу субъекта данных
- Необходимость для соблюдения юридических обязательств оператором
- Необходимость для защиты жизненно важных интересов субъекта данных или другого лица
- Необходимость для выполнения задачи, выполняемой в общественных интересах или при осуществлении официальных полномочий оператора
- Необходимость для целей законных интересов оператора или третьей стороны, при условии, что это не перевешивает интересы, права и свободы субъекта данных
Основные права, касающиеся персональных данных в GDPR
В соответствии с GDPR, субъектам персональных данных предоставляются в основном следующие права:
- Право на доступ к персональным данным
- Право требовать исправления или удаления персональных данных
- Право требовать ограничения использования персональных данных
- Право возражать против обработки персональных данных
Субъекты персональных данных имеют право понимать, как их информация используется предоставляющей стороной. Если они считают, что информация обрабатывается некорректно или неподобающим образом, они могут требовать её исправления или удаления, а также временно приостановить использование данных или подать возражение.
Основные обязанности по обработке персональных данных в соответствии с GDPR
В то время как субъектам персональных данных предоставлены вышеупомянутые права, компании, собирающие и обрабатывающие персональные данные, несут в основном следующие обязанности:
- Обязанность создать систему и человеческие ресурсы для обработки персональных данных в соответствии с GDPR;
- Обязанность вести записи о действиях по обработке персональных данных;
- Обязанность реагировать на нарушения в области персональных данных.
Для того чтобы персональные данные были надлежащим образом защищены, эти обязанности, возложенные на компании, имеют важное значение.
Кроме того, необходимо, чтобы все действия по обработке данных были должным образом задокументированы, что является неотъемлемым для проведения обзора при необходимости.
В случае нарушения в области персональных данных, компания обязана принять соответствующие меры и уведомить заинтересованные стороны.
В случае нарушения GDPR
Если администратор или обработчик нарушит GDPR и причинит ущерб субъекту данных, он может быть обязан возместить ущерб (статья 82(1) GDPR).
Кроме того, нарушение GDPR может привести к серьезным последствиям. Например, за нарушение могут быть наложены штрафы со стороны ЕС в соответствии со статьей 83 GDPR (статья 83 GDPR).
Различия между GDPR и законами о защите персональных данных
Основные различия между GDPR и законами о защите персональных данных заключаются в следующем:
- Объекты защиты
- Реагирование на нарушения персональных данных
- Установление представителя
- Санкции за нарушения
Далее мы подробно рассмотрим каждый из этих пунктов.
Объекты защиты
GDPR и законы о защите персональных данных различаются по объектам защиты. GDPR обеспечивает широкий спектр защиты персональных данных, обрабатываемых в пределах ЕС. Это касается не только компаний, базирующихся в ЕС, но и тех, которые предоставляют товары или услуги лицам в ЕС.
В то время как законы о защите персональных данных варьируются в зависимости от страны или региона. Например, японский закон о защите персональных данных ориентирован на информацию, обрабатываемую внутри страны, и в основном ограничивается национальными рамками.
Реагирование на нарушения персональных данных
GDPR и законы о защите персональных данных также различаются в отношении реагирования на нарушения персональных данных.
По GDPR, в случае нарушения данных, компании обязаны в течение 72 часов уведомить надзорный орган. Кроме того, они несут ответственность за быстрое и ясное информирование субъектов персональных данных.
Законы о защите персональных данных также требуют немедленного уведомления в случае нарушения данных, однако сроки и содержание отчетности могут варьироваться в зависимости от страны или региона.
Установление представителя
Правила установления представителя также различаются между GDPR и законами о защите персональных данных.
В соответствии с GDPR, при обработке персональных данных детей требуется согласие родителей или законных представителей. Компании, предоставляющие онлайн-услуги и обрабатывающие персональные данные детей младше 16 лет, также должны получить согласие родителей.
Законы о защите персональных данных также требуют согласия законных представителей при обработке персональных данных детей, но возрастные ограничения и методы получения согласия могут отличаться в зависимости от законодательства.
Санкции за нарушения
Еще одним различием между GDPR и законами о защите персональных данных являются санкции за нарушения.
По GDPR, за нарушения могут быть наложены штрафы до 4% от годового оборота всей компании или 20 миллионов евро.
Санкции за нарушение законов о защите персональных данных варьируются в зависимости от страны или региона, но обычно включают в себя штрафы и юридическую ответственность. Размер штрафов зависит от характера и серьезности нарушения.
Ключевые моменты, на которые должны обратить внимание японские компании в связи с GDPR
Компании, соответствующие следующим критериям, должны принять меры по соответствию GDPR:
- Компании, имеющие дочерние компании, филиалы или офисы внутри ЕС
- Компании, предоставляющие товары или услуги из Японии в страны ЕС
- Компании, которым поручена обработка персональных данных от компаний в ЕС и т.д.
В качестве конкретных мер, которые должна предпринять компания, статья 32 и преамбула (83) GDPR рекомендуют использование технологий защиты данных, таких как шифрование.
Следовательно, необходимо шифровать персональные данные на клиентских ПК, HDD, USB-накопителях, в общих папках и других носителях информации.
Кроме того, необходимо изменить политику конфиденциальности в соответствии с GDPR. Подробнее о создании политики конфиденциальности, соответствующей GDPR, вы можете прочитать в следующей статье.
Связанная статья: Объясняем ключевые моменты создания политики конфиденциальности, соответствующей GDPR[ja]
Заключение: По вопросам GDPR обращайтесь к специалистам
GDPR обеспечивает широкую защиту личных данных, обрабатываемых в пределах ЕС, требуя законной и прозрачной обработки данных и обеспечения их безопасности. Среди различий между GDPR и японским законом о защите личной информации (Japanese Personal Information Protection Law) можно выделить объекты защиты, меры реагирования на нарушения личных данных, назначение представителей и санкции за нарушения.
К сфере применения GDPR относятся компании, имеющие базы в ЕС, предоставляющие товары или услуги физическим лицам в ЕС, а также компании, которые обрабатывают личные данные по поручению от компаний в ЕС. Нарушение GDPR может привести к требованиям о возмещении ущерба и наложению штрафов, поэтому необходимо проявлять особую осторожность.
Мы рекомендуем проконсультироваться со специалистами, чтобы понять, нужно ли вам изменять внутренние правила защиты данных вашей компании для соответствия GDPR.
Информация о мерах, предпринимаемых нашей юридической фирмой
Юридическая фирма “Монолит” обладает обширным опытом в области IT, особенно в интернете и праве. В последние годы глобальный бизнес продолжает расширяться, и потребность в профессиональной юридической проверке становится всё более актуальной. Наша фирма предоставляет решения в области международного права.
Сферы деятельности юридической фирмы “Монолит”: Международное право и зарубежный бизнес[ja]
Related Articles
【Срочно】Первый арест за нарушение 'Японского закона о защите персональных данных' в связи с утеч.
General Corporate
Промежуточное решение по делу 'Марио Карт' и нарушение интеллектуальных прав собственности
General Corporate
Расширение области применения дронов с уровнем полета 4: разъяснение двух систем - сертификации .
General Corporate
Что такое ситуация с административными мерами в связи с нарушением 'Японского закона о медицинск.
General Corporate
Особенности продажи алкоголя в интернет-магазине: разъяснение Японского закона о налоге на алког.
General Corporate
