Пояснення щодо особливостей «Обов'язків бізнесу» в Законі про захист персональних даних, внесені зміни в 4 році ери Рейва (2022 рік)

З квітня 2022 року набули чинності зміни до Японського закону про захист персональних даних. Цей закон, з одного боку, враховує корисність персональних даних, а з іншого – спрямований на захист прав та інтересів особи, гарантуючи належне поводження з персональними даними. Які ж конкретні зміни вносить виконання змін до Японського закону про захист персональних даних? У цій статті ми розглянемо питання прав особи та обов’язків бізнесу.

Зміни та обставини в Законі про захист персональних даних

Закон про захист персональних даних, який був прийнятий у 2003 році і повністю набув чинності у 2005 році, був змінений у 2015 році, через 10 років після введення в дію, “через розвиток інформаційно-комунікаційних технологій, який дозволив використовувати персональні дані, що не були передбачені на момент прийняття закону”. Зміни були повністю введені в дію у 2017 році.

У цих змінах 2017 року було включено “правило перегляду кожні три роки”, яке стверджує, що “враховуючи міжнародні тенденції, прогрес інформаційних технологій, створення та розвиток нових галузей, перегляд відбувається кожні три роки згідно з реальним станом справ”.

Відповідні положення у додатку до Закону про захист персональних даних 2017 року (витяг)

Стаття 12 (дослідження)

(виключено)

2 Уряд, маючи на увазі ситуацію з розробкою необхідної людської структури, забезпеченням фінансових ресурсів та іншими заходами для ефективного виконання основних політик щодо захисту персональних даних та інших справ, що належать до компетенції Комісії з захисту персональних даних, після введення в дію цього закону, має провести розгляд щодо їх поліпшення і, якщо вважає це необхідним, вжити відповідних заходів на основі результатів.

3 Уряд, крім питань, визначених у попередньому пункті, після введення в дію цього закону, має провести розгляд щодо стану виконання нового Закону про захист персональних даних, враховуючи міжнародні тенденції щодо захисту персональних даних, прогрес інформаційно-комунікаційних технологій, створення та розвиток нових галузей, що використовують персональні дані, і, якщо вважає це необхідним, вжити відповідних заходів на основі результатів.

4, 5 (виключено)

6 Уряд, враховуючи стан виконання нового Закону про захист персональних даних, стан виконання заходів, визначених у пункті 1, та інші обставини, має провести розгляд щодо способу законодавчого регулювання захисту персональних даних, включаючи збір положень про захист персональних даних та персональних даних, що належать державним органам, відповідно до пункту 1 статті 2 нового Закону про захист персональних даних, та їх загальне регулювання.

Зміни до Закону про захист персональних даних 2022 року (Рейва 4 рік) є першими змінами до закону, заснованими на “правилі перегляду кожні три роки”.

Пов’язана стаття: Що таке Закон про захист персональних даних та персональні дані? Пояснення адвоката[ja]

Огляд змін до Закону про захист персональних даних у 2022 році (Рейва 4 рік)

Зміни до японського Закону про захист персональних даних у 2022 році стосуються наступних шести пунктів:

1. Сутність прав особи
2. Сутність обов’язків, які повинен дотримуватися бізнес
3. Сутність механізму, який стимулює бізнес до самостійних заходів
4. Сутність використання даних
5. Сутність пенальті
6. Сутність застосування закону за межами країни та транскордонних перевезень

У цій статті ми розглянемо пункти 1 та 2 змін.

Пов’язана стаття: Огляд пенальті за Законом про захист персональних даних у 2022 році (Рейва 4 рік)[ja]

Спосіб існування особистих прав

Було внесено зміни до п’яти аспектів щодо способу існування особистих прав.

Розширення права особи на вимогу припинення використання та видалення (стаття 30 Японського закону про захист персональних даних)

За діючим законодавством, право особи на вимогу припинення використання та видалення обмежувалося випадками порушення закону, такими як “використання персональних даних не за призначенням” або “отримання за допомогою незаконних засобів”. Однак, за зміненим законом, навіть у випадках, коли “необхідність використання персональних даних, які зберігаються бізнес-оператором, відпала”, “сталася витік інформації” або “існує ризик порушення прав особи або її законних інтересів”, можна вимагати припинення використання, видалення та припинення передачі третім особам.

Спосіб розкриття персональних даних, що зберігаються (стаття 28)

Якщо ви є особою, ви можете вимагати від бізнес-оператора, який обробляє персональні дані, розкриття зберіганих персональних даних. При отриманні такої вимоги, бізнес-оператор, як правило, повинен розкрити зберігані персональні дані. За діючим законодавством розкриття зберіганих персональних даних здійснювалося в основному у письмовій формі. Однак, у випадках, коли обсяг інформації великий, письмова передача може бути недоречною, і, крім того, є дані, такі як відео та аудіодані, які взагалі не підходять для письмової передачі. Тому, за зміненим законом, особа може вимагати “розкриття способом, вказаним особою”, таким як надання електронних записів. Бізнес-оператори персональних даних зобов’язані розкривати інформацію способом, вимаганим особою.

Компанії, які обробляють персональні дані, повинні якнайшвидше створити систему для реагування на вимоги про розкриття в цифровому форматі.

Вимога особи про розкриття записів про передачу третім особам (стаття 28, пункт 5)

Бізнес-оператори персональних даних повинні створювати записи, визначені законом, при передачі персональних даних третім особам, і ті, хто отримує передачу від третіх осіб, також повинні створювати записи, визначені законом. Ці записи про передачу персональних даних третім особам та записи про перевірку при отриманні передачі персональних даних від третіх осіб разом називаються “записами про передачу третім особам”.

За діючим законодавством, особа не могла вимагати розкриття записів про передачу третім особам, створених бізнес-оператором, але за зміненим законом, особа може вимагати розкриття записів про передачу третім особам, враховуючи можливість відстеження особою.

Включення короткострокових збережених даних до зберіганих персональних даних (стаття 2, пункт 7)

За діючим законодавством, зберігані персональні дані визначалися як “персональні дані, над якими бізнес-оператор персональних даних має право здійснювати розкриття, виправлення, додавання або видалення вмісту, припинення використання, видалення та припинення передачі третім особам”, “ті, які визначені постановою як ті, що шкодять громадському благу або іншим інтересам, якщо стане відомо про їхнє існування” або “ті, які повинні бути видалені протягом періоду, визначеного постановою, в межах одного року”, крім “періоду, визначеного постановою, в межах одного року”, який був встановлений як шість місяців.

Однак, навіть якщо дані повинні бути видалені протягом короткого періоду, існує можливість витоку інформації до моменту видалення, тому за зміненим законом короткострокові дані, які повинні бути видалені протягом шести місяців, також включаються до “зберіганих персональних даних”.

Обмеження сфери дії положень про відмову від участі (стаття 23, пункт 2)

Положення про відмову від участі – це “система, яка дозволяє передавати персональні дані третім особам без згоди особи, передбачаючи, що вона може вимагати припинення після того, як були опубліковані пункти персональних даних для передачі”, але за діючим законодавством лише чутливі персональні дані були виключені.

За зміненим законом обмежується діапазон персональних даних, які можна передавати третім особам, і “незаконно отримані персональні дані” та “персональні дані, передані за положеннями про відмову від участі”, також виключаються.

Як має бути виконана обов’язковість, яку повинен дотримуватися підприємець

Щодо обов’язковості, яку повинен дотримуватися підприємець, було внесено наступні дві зміни.

Обов’язок повідомлення про витоки (пункт 2 статті 22)

За чинним законодавством, повідомлення про витоки не є обов’язковим за законом, тому деякі підприємці не вживають активних заходів, і якщо підприємець не оголошує про це, Японська комісія з охорони персональних даних може не знати про цей випадок і не змогти відповідно відреагувати. Згідно зі зміненим законом, якщо відбувається витік, і є велика ймовірність, що це зашкодить правам і інтересам особи, стає обов’язковим повідомлення до Японської комісії з охорони персональних даних та повідомлення особі.

Справи, що підпадають під обов’язок повідомлення про витоки, включають “витоки персональних даних, які вимагають особливої уваги”, “витоки внаслідок незаконного доступу” і “витоки, які можуть призвести до матеріальної шкоди”, незалежно від кількості, а також “масові витоки”, що перевищують 1000 випадків.

Заборона використання неналежним способом (пункт 2 статті 16)

На фоні швидкого розвитку технологій аналізу даних, з’являється форма використання персональних даних, яка може потенційно порушити права і інтереси особи, і це викликає занепокоєння серед споживачів. Відповідно до цього, у зміненому законі було вирішено явно вказати, що персональні дані не можна використовувати неналежним способом, таким як сприяння незаконним або недобросовісним діям.

“Неналежний спосіб, який сприяє незаконним або недобросовісним діям”, означає такі випадки, як “надання персональних даних третій особі, яка займається незаконною діяльністю” або “створення бази даних, зібравши персональні дані, які розповсюджуються через оголошення суду тощо, не дивлячись на те, що можна було достатньо передбачити, що це може спричинити дискримінацію, і публікація її в Інтернеті”. Це передбачає випадки з достатньо високим рівнем зловживань.

Підсумки

У цій статті ми розглянули пункти 1 та 2 змін. Пункти 3, 4, 5, 6 будуть розглянуті в іншій статті.

Пов’язана стаття: Пояснення «штрафів» за порушення японського Закону про захист персональних даних у 2022 році (Рейва 4 рік)[ja]

Інформація про заходи, що вживає наша юридична фірма

Юридична фірма “Моноліт” володіє високою професійністю в галузі ІТ, особливо в області інтернету та права. Недавно змінений Закон про захист персональних даних (Японський ~) привертає увагу, а потреба в юридичній перевірці все більше зростає. Наша фірма надає рішення, пов’язані з інтелектуальною власністю. Деталі ви знайдете в статті нижче.

https://monolith.law/practices/corporate[ja]