Пояснення щодо 'штрафів' у Законі про захист персональних даних, який був змінений у 4 році ери Рейва (2022 рік)

З квітня 2022 року (Рейва 4) набув чинності Закон про захист персональних даних. Після роз’яснення особливостей розділу “Обов’язки суб’єкта господарювання” у Законі про захист персональних даних 2022 року (Рейва 4), цього разу ми розглянемо питання використання даних та штрафів.

Огляд змін до Закону про захист персональних даних Японії (Рейва 4 рік (2022 рік))

Зміни до японського Закону про захист персональних даних 2022 року включають наступні 6 пунктів:

1. Стан прав особи
2. Обов’язки, які повинен виконувати бізнес
3. Механізми для заохочення бізнесу до самостійних заходів
4. Використання даних
5. Стан штрафів
6. Застосування закону за межами країни та транскордонні перекази

У статті “Огляд змін до Закону про захист персональних даних Японії 2022 року. Обов’язки бізнесу[ja]“, ми розглядаємо пункти (1) та (2) змін. У цій статті ми розглянемо пункти (3), (4), (5) та (6) змін.

Пов’язана стаття: Що таке Закон про захист персональних даних та персональні дані? Пояснення адвоката[ja]

Спосіб стимулювання самостійних зусиль бізнесу

Щодо способів стимулювання самостійних зусиль бізнесу, зростає важливість того, щоб приватні організації розробляли власні правила щодо обробки персональних даних у конкретних областях, а також активно надавали рекомендації та іншу допомогу цільовим підприємствам, у зв’язку з різноманітністю бізнес-практик та прогресом IT-технологій.

У Законі Японії “Про захист персональних даних” (Japanese Personal Information Protection Law), крім Комісії з захисту персональних даних, передбачено використання приватних організацій для захисту інформації, а також встановлено систему акредитованих організацій. Організації, які займаються обробкою скарг щодо обробки персональних даних та наданням інформації про правильне поводження з персональними даними до підприємств, можуть отримати акредитацію від Комісії з захисту персональних даних і стати “Акредитованою організацією з захисту персональних даних”. Згідно зі змінами до закону, система акредитованих організацій тепер дозволяє акредитувати організації, які цілком спрямовані на конкретні сфери (відділи) підприємств (стаття 47, пункт 2). Це заходи, спрямовані на подальше використання акредитованих організацій та на розвиток захисту персональних даних за допомогою організацій, які спеціалізуються на конкретних сферах діяльності.

Спосіб використання даних

Щодо способу використання даних, було внесено дві зміни.

Створення “псевдонімізованої інформації” та послаблення обов’язків (пункт 2 статті 9)

Згідно з чинним законодавством, інформація, яка просто псевдонімізована з особистих даних, продовжує бути “особистими даними”, і підприємства мають виконувати різні обов’язки щодо обробки особистих даних. Однак, щодо цієї “псевдонімізованої особистої інформації”, існує зростаюча потреба в її використанні, забезпечуючи певний рівень безпеки, а також зберігаючи корисність даних на рівні, що дорівнює особистій інформації до обробки, що дозволяє проводити більш детальний аналіз за допомогою відносно простих методів обробки.

Враховуючи це, змінений закон вводить “псевдонімізовану інформацію”, видаляючи імена та іншу інформацію, з метою сприяння інноваціям, і послаблює обов’язки, такі як відповідь на вимоги про розкриття та припинення використання, за умови обмеження внутрішнього аналізу.

Створена псевдонімізована інформація відноситься до “інформації про особу, отриманої шляхом обробки особистих даних таким чином, що конкретну особу неможливо ідентифікувати, якщо не порівнювати з іншою інформацією”. Наприклад, “ім’я, вік, дата, час, сума, магазин” обробляються в “псевдо-ID, вік, дата, час, сума, магазин”. Припустимі приклади використання включають “внутрішній аналіз для нових цілей, які не відповідають початковій меті використання, або для яких важко визначити, чи вони відповідають” (наприклад, дослідження в медичній та фармацевтичній галузях, виявлення шахрайства, прогнозування продажів та інше за допомогою моделей машинного навчання), “зберігання особистих даних, які були оброблені як псевдонімізована інформація, оскільки вони можуть бути використані для статистичного аналізу в майбутньому після досягнення мети використання”.

Щодо методу створення псевдонімізованої інформації, як мінімальне правило, вимагається:

• Видалення всіх або частини описів, які можуть ідентифікувати конкретну особу (наприклад, ім’я) (включаючи заміну. Те ж саме нижче)
• Видалення всіх особистих ідентифікаційних кодів
• Видалення описів, які можуть призвести до матеріальної шкоди в результаті неправильного використання (наприклад, номер кредитної картки)

Ці заходи вимагаються.

Обов’язок перевірки інформації, яка може стати особистими даними у одержувача (стаття 26-2)

Згідно з чинним законодавством, якщо інформація не є особистими даними у джерела надання, вона не стає предметом регулювання, навіть якщо очікується, що вона стане особистими даними у одержувача. Однак, згідно зі зміненим законом, навіть якщо інформація не є особистими даними у джерела надання, обов’язковою стає перевірка, чи отримано згоду особи та інше, щодо передачі третім особам інформації, яка очікується стати особистими даними у одержувача.

Технології, які дозволяють збирати великі обсяги даних користувачів та миттєво об’єднувати їх у особисті дані, розвиваються та поширюються, і все більше поширюється схема, яка обходить мету Закону про захист особистих даних, передаючи неособисту інформацію третім особам, знаючи заздалегідь, що вона стане особистими даними у одержувача. Це тому, що існує обгрунтована стурбованість, що методи збору особистих даних без участі особи поширюються.

Про штрафи

Щодо штрафів було внесено дві зміни.

Підвищення законодавчих покарань за порушення наказів комісії та подання їй недостовірних звітів (статті 83, 87 та інші)

У зв’язку зі зростанням кількості порушень закону, кількість випадків збору звітів та проведення перевірок на місці зростає, і є необхідність підвищити ефективність збору звітів та перевірок на місці, які є початком виявлення реального стану справ у підприємств. У зміненому законі покарання було підвищено.

За “порушення наказів від Комісії з захисту персональних даних” винний особа за поточним законодавством підлягає покаранню у вигляді ув’язнення на термін до 6 місяців або штрафу до 300 тисяч єн, але за зміненим законом покарання становить ув’язнення на термін до 1 року або штраф до 1 мільйона єн. “Незаконне надання бази даних персональної інформації та інше” залишається покаранням у вигляді ув’язнення на термін до 1 року або штрафу до 500 тисяч єн, але “недостовірне звітування до Комісії з захисту персональних даних та інше”, яке за поточним законодавством підлягає штрафу до 300 тисяч єн, за зміненим законом підлягає штрафу до 500 тисяч єн.

Підвищення штрафів для юридичних осіб (статті 84, 85 та інші)

За поточним законодавством, розмір штрафу для юридичної особи був таким же, як і для винного. Однак, враховуючи різницю в фінансових можливостях між юридичними та фізичними особами, за зміненим законом максимальний розмір штрафу для юридичних осіб за порушення наказів та інше було підвищено. Це випливає з висновку, що навіть якщо на юридичну особу накладено штраф у такому ж розмірі, як і на винного, не можна очікувати достатнього ефекту стримування від порушень.

За “порушення наказів від Комісії з захисту персональних даних” юридична особа за поточним законодавством підлягає штрафу до 300 тисяч єн, але за зміненим законом штраф становить до 100 мільйонів єн. “Незаконне надання бази даних персональної інформації та інше” за поточним законодавством підлягає штрафу до 500 тисяч єн, але за зміненим законом штраф становить до 100 мільйонів єн. Однак, “недостовірне звітування до Комісії з захисту персональних даних та інше”, яке за поточним законодавством підлягає штрафу до 300 тисяч єн, за зміненим законом залишається штрафом до 500 тисяч єн.

Застосування закону за межами країни та перенесення даних через кордон

У контексті застосування закону за межами країни та перенесення даних через кордон, було внесено дві зміни:

Посилення застосування закону за межами країни (стаття 75)

Згідно з діючим законодавством, повноваження, які можуть бути застосовані до іноземних операторів, що підпадають під дію закону за межами країни, обмежувалися лише рекомендаціями та порадами без примусового характеру. Однак, через ризик неможливості адекватного реагування комісії на випадки витоку даних за кордоном, у зміненому законі іноземні оператори, які обробляють персональні дані, пов’язані з наданням товарів або послуг в Японії, стали об’єктом збору звітів та виконання наказів, що забезпечуються штрафами, що посилює виконання повноважень Комісії з захисту персональних даних.

Покращення інформування особи про обробку її персональних даних у компанії-одержувачі (стаття 78)

В деяких країнах починають з’являтися державні регулятивні обмеження, а в контексті розширення можливостей для перенесення персональних даних через кордон, різниця в системах різних країн та регіонів робить прогнозування для осіб та операторів, що обробляють дані, нестабільним, викликаючи занепокоєння з точки зору захисту прав та інтересів осіб.

У відповідь на це, при передачі персональних даних третій стороні за кордоном, вимагається покращення інформування особи про обробку її персональних даних у компанії-одержувачі. Як вимоги для передачі персональних даних третій стороні за кордоном, в діючому законодавстві вимагалася “згода особи”, але тепер вимагається “інформування особи про назву країни-одержувача, наявність системи захисту персональних даних у країні-одержувачі тощо при отриманні згоди”. Вимога, що стосувалася “оператора, який створив систему, що відповідає стандартам”, тепер включає “регулярне перевіряння стану обробки даних у компанії-одержувачі та надання відповідної інформації за запитом особи”.

Підсумки

Перші зміни до закону про захист персональних даних 2022 року, здійснені на основі положення про “перегляд кожні три роки”, включають розширення правил про припинення використання та видалення даних, заборону неналежного використання, покращення надання інформації щодо транскордонних перевезень, створення “інформації з псевдонімами” та інше. Це сприяє захисту прав та інтересів особи, посиленню використання, реагуванню на нові ризики, пов’язані зі збільшенням транскордонного обігу даних, а також адаптації до епохи AI та великих даних.

Інформація про заходи, що вживає наша юридична фірма

Юридична фірма “Моноліт” є експертом у галузі ІТ, особливо в області інтернету та права. Недавно внесені зміни до Закону про захист персональних даних (Японський ~) привертають увагу, а потреба в юридичній перевірці все більше зростає. Наша фірма надає рішення, пов’язані з інтелектуальною власністю. Деталі ви знайдете в статті нижче.

https://monolith.law/practices/corporate[ja]