Обзор изменений в Законе о защите персональных данных в 4 году эры Рейва (2022 год): «Обязанности предпринимателей» и ключевые моменты, на которые следует обратить внимание

С апреля 2022 года вступил в силу измененный Закон о защите персональных данных (Японский Закон о защите персональных данных). Закон о защите персональных данных направлен на обеспечение должного учета полезности персональных данных, защиту прав и интересов личности, а также на обеспечение надлежащего обращения с персональными данными. Но что конкретно изменится с введением измененного Закона о защите персональных данных? В этой статье мы рассмотрим вопросы прав личности и обязанностей бизнеса.

Изменения и история Закона о защите персональных данных

Закон о защите персональных данных, принятый в 2003 году и полностью вступивший в силу в 2005 году, был изменен в 2015 году, спустя 10 лет после вступления в силу, по причине того, что “развитие информационно-коммуникационных технологий позволило использовать персональные данные, которые не предполагались в момент принятия закона”. Изменения вступили в силу в 2017 году.

В этом изменении Закона о защите персональных данных 2017 года было включено положение о “пересмотре каждые три года, учитывая международные тенденции, прогресс в области информационных технологий и состояние создания и развития новых отраслей”.

Связанные положения в приложении к измененному Закону о защите персональных данных 2017 года (выдержки)

Статья 12 (Обсуждение)

(Пропуск)

2 Правительство, с целью эффективного выполнения задач по защите персональных данных, включая разработку и продвижение основной политики по защите персональных данных и другие вопросы, входящие в компетенцию Комиссии по защите персональных данных, через три года после вступления в силу этого закона, учитывая состояние обеспечения необходимого персонала, финансирования и других мер, должно рассмотреть улучшения и, если это необходимо, принять соответствующие меры на основе результатов.

3 Правительство, помимо вопросов, указанных в предыдущем пункте, через три года после вступления в силу этого закона, учитывая международные тенденции в области защиты персональных данных, прогресс в области информационно-коммуникационных технологий и состояние создания и развития новых отраслей, использующих персональные данные, должно рассмотреть состояние выполнения нового Закона о защите персональных данных и, если это необходимо, принять соответствующие меры на основе результатов.

4, 5 (Пропуск)

6 Правительство, учитывая состояние выполнения нового Закона о защите персональных данных, состояние реализации мер, указанных в пункте 1, и другие обстоятельства, должно рассмотреть вопросы защиты персональных данных и персональных данных, находящихся в ведении государственных органов и других организаций, предусмотренных в пункте 1 статьи 2 нового Закона о защите персональных данных, и рассмотреть вопросы законодательства по защите персональных данных, включая вопросы о его интеграции.

Изменение Закона о защите персональных данных в 2022 году (4 год эры Рейва) является первым изменением, основанным на этом “положении о пересмотре каждые три года”.

Связанные статьи: Что такое Закон о защите персональных данных и персональные данные? Объяснение адвоката[ja]

Обзор изменений в Законе о защите персональных данных Японии (Японский Закон о защите персональных данных) в 2022 году (4 год эры Рейва)

Изменения в Законе о защите персональных данных Японии в 2022 году касаются следующих шести пунктов:

1. Суть прав индивидуума
2. Суть обязанностей, которые должен соблюдать бизнес
3. Суть механизма, стимулирующего самостоятельные усилия со стороны бизнеса
4. Суть использования данных
5. Суть штрафных санкций
6. Суть применения закона за пределами страны и трансграничной передачи

В этой статье мы рассмотрим пункты 1 и 2 изменений.

Связанные статьи: Обзор штрафных санкций в Законе о защите персональных данных Японии в 2022 году (4 год эры Рейва)[ja]

Особенности прав индивидуума

Были внесены следующие пять изменений в отношении прав индивидуума.

Расширение права индивидуума на прекращение использования и удаление данных (Статья 30)

В действующем законодательстве право индивидуума на прекращение использования и удаление данных ограничивалось случаями нарушения закона, такими как “использование персональных данных вне целей” или “получение с помощью незаконных средств”. Однако, в соответствии с измененным законом, теперь можно требовать прекращение использования, удаление и прекращение предоставления данных третьим лицам, если “необходимость в использовании персональных данных у оператора отпала”, “произошла утечка данных” или “существует риск нарушения прав или законных интересов субъекта данных”.

Способы раскрытия персональных данных (Статья 28)

Субъект данных может требовать от оператора персональных данных раскрытия его персональных данных. По получении такого запроса, оператор персональных данных обязан раскрыть эти данные. В действующем законодательстве раскрытие персональных данных осуществлялось в основном в письменной форме. Однако, в случае большого объема информации, письменное предоставление может быть неуместным, а также есть данные, которые в принципе не подходят для письменного предоставления, например, видео или аудио данные. Поэтому, в соответствии с измененным законом, субъект данных может требовать раскрытия “способом, указанным субъектом данных”, например, предоставлением электронной записи. Оператор персональных данных обязан раскрыть данные способом, указанным субъектом данных.

Компании, обрабатывающие персональные данные, должны как можно скорее создать систему для обработки запросов на раскрытие в цифровом формате.

Запрос на раскрытие записей о предоставлении данных третьим лицам от субъекта данных (Статья 28, пункт 5)

Оператор персональных данных обязан создавать записи, предусмотренные законом, при предоставлении персональных данных третьим лицам, и лица, получающие данные от третьих лиц, также обязаны создавать такие записи. Эти записи о предоставлении персональных данных третьим лицам и записи о проверке при получении персональных данных от третьих лиц вместе называются “записями о предоставлении данных третьим лицам”.

В действующем законодательстве субъект данных не мог запросить раскрытие записей о предоставлении данных третьим лицам, созданных оператором. Однако, в соответствии с измененным законом, субъект данных может запросить раскрытие этих записей, что учитывает возможность отслеживания субъектом данных.

Включение краткосрочных данных в персональные данные (Статья 2, пункт 7)

В действующем законодательстве персональные данные определялись как “персональные данные, над которыми оператор персональных данных имеет право на раскрытие, корректировку, добавление или удаление содержания, прекращение использования, удаление и прекращение предоставления третьим лицам”, “данные, которые могут нанести ущерб общественному благу или другим интересам, если их существование станет известно”, или “данные, которые должны быть удалены в течение периода, установленного постановлением, в течение одного года”, за исключением “данных, которые должны быть удалены в течение периода, установленного постановлением, в течение одного года”, который был установлен как шесть месяцев.

Однако, даже если данные должны быть удалены в течение короткого периода, существует вероятность утечки данных до их удаления, поэтому в соответствии с измененным законом, краткосрочные данные, которые должны быть удалены в течение шести месяцев, теперь также включены в “персональные данные”.

Ограничение действия положения об отказе (Статья 23, пункт 2)

Положение об отказе – это “система, которая позволяет предоставлять персональные данные третьим лицам без согласия субъекта данных, предполагая, что предоставление будет прекращено по требованию субъекта данных, после того как будут опубликованы данные о предоставляемых персональных данных и т.д.”, но в действующем законодательстве только чувствительные персональные данные были исключены из этого положения.

В соответствии с измененным законом, диапазон персональных данных, которые могут быть предоставлены третьим лицам, был ограничен, и “незаконно полученные персональные данные” и “персональные данные, предоставленные в соответствии с положением об отказе”, теперь также исключены из этого положения.

Обязанности бизнесменов, которые следует соблюдать

Были внесены изменения в два аспекта обязанностей бизнесменов, которые следует соблюдать.

Обязательное сообщение о утечках информации (Статья 22, параграф 2)

В действующем законодательстве отчеты о утечках информации не являются юридическим обязательством, поэтому некоторые бизнесмены не принимают активных мер. Если бизнесмен не объявляет об этом, возможно, что Комиссия по защите персональных данных не сможет узнать о случае и не сможет адекватно реагировать. В измененном законе, в случае утечки информации, которая может серьезно повредить права и интересы человека, стало обязательным сообщать об этом Комиссии по защите персональных данных и уведомлять самого человека.

Случаи, подлежащие обязательному сообщению о утечках, включают “утечку конфиденциальной персональной информации”, “утечку из-за незаконного доступа” и “утечку, которая может привести к материальному ущербу”, независимо от количества случаев, а также “массовую утечку”, превышающую 1000 случаев.

Запрет на использование неправильных методов (Статья 16, параграф 2)

На фоне быстрого улучшения технологий анализа данных, возникают опасения, что формы использования персональной информации могут потенциально нарушать права и интересы человека, и растет беспокойство потребителей. В ответ на это, в измененном законе было уточнено, что персональную информацию нельзя использовать неправильными методами, такими как поощрение незаконных или недобросовестных действий.

“Неправильные методы, такие как поощрение незаконных или недобросовестных действий”, включают в себя “предоставление персональной информации третьим лицам, занимающимся незаконной деятельностью” и “создание базы данных, собирая персональную информацию, которая распространяется в разрозненном виде через судебные объявления и т.д., несмотря на то, что можно было предвидеть, что это может спровоцировать дискриминацию, и публикация ее в Интернете”. Предполагаются довольно серьезные случаи злоупотребления.

Итог

В этой статье мы рассмотрели пункты 1 и 2 изменений. Пункты 3, 4, 5 и 6 будут рассмотрены в отдельной статье.

Связанные статьи: Объяснение ‘штрафов’ в Законе о защите персональных данных, измененном в 4 году эры Рейва (2022 год)[ja]

Информация о мерах, предпринимаемых нашей юридической фирмой

Юридическая фирма “Монолит” обладает высокой специализацией в области IT, особенно в вопросах, связанных с Интернетом и законодательством. Недавно измененный Японский закон о защите персональных данных привлекает большое внимание, и потребность в юридической проверке все больше увеличивается. Наша фирма предлагает решения, связанные с интеллектуальной собственностью. Подробности приведены в статье ниже.

https://monolith.law/practices/corporate[ja]