Що таке GDPR? Порівняння з японським законом про захист персональних даних та ключові аспекти, на які повинні звернути увагу японські компанії
При розгортанні бізнесу в межах ЄС необхідно мати всебічні знання про GDPR (Загальний регламент захисту даних). Навіть японські компанії, які не мають представництв у ЄС, можуть підпадати під дію GDPR. Отримайте базові знання про GDPR та японський Закон про захист персональних даних, щоб забезпечити належне управління даними.
У цій статті ми розглянемо GDPR, порівняємо його з японським Законом про захист персональних даних та пояснимо, на що повинні звернути увагу японські компанії. Якщо ви юрист, який розглядає можливість зміни правил захисту даних або хочете дізнатися про закони, які слід врахувати при виході на ринок ЄС, обов’язково скористайтеся цією інформацією.
Що таке GDPR (Загальний регламент захисту даних ЄС)
«GDPR (General Data Protection Regulation)», відомий в Японії як «Загальний регламент захисту даних», – це нормативний акт, прийнятий Європейським Союзом (ЄС), який регулює обробку персональних даних (захист персональної інформації).
Він встановлює строгі стандарти для обробки персональних даних у межах ЄС та має на меті посилити захист приватності особистості.
З точки зору захисту персональної інформації, він надає стандарти щодо того, як компанії та організації повинні обробляти дані, а також як особи можуть захистити свою інформацію.
Довідка: Комісія з захисту персональних даних | «Тимчасовий японський переклад Загального регламенту захисту даних (GDPR)[ja]»
Основні принципи GDPR наступні:
- Законність, справедливість та прозорість
- Обмеження цілей
- Мінімізація даних
- Точність
- Обмеження зберігання записів
- Цілісність та конфіденційність
Нижче ми пояснимо кожен з основних принципів.
Законність, справедливість та прозорість
Основними принципами GDPR є законність, справедливість та прозорість.
Коли компанії збирають та обробляють персональні дані, вони повинні мати законну підставу для цього та забезпечити, щоб сторони розуміли, як саме відбувається ця обробка, і це має бути їм ясно пояснено.
Крім того, компанії повинні явно надавати інформацію про приватність та забезпечувати прозорість, щоб сторони могли розуміти та контролювати, як їхні дані обробляються.
Обмеження цілей використання
Обмеження цілей використання означає, що збір та обробка даних повинні відбуватися виключно для конкретних і чітко визначених цілей.
Суб’єкти, які збирають персональні дані, повинні точно та конкретно вказати ці цілі сторонам, отримати від них ясну згоду. Крім того, від суб’єктів вимагається обмежити використання зібраних даних виключно для цілей, на які було отримано згоду від суб’єкта даних, та строго контролювати їх обробку.
Мінімізація персональних даних
Збір персональних даних має бути обмежений (мінімізований) до обсягу, необхідного для досягнення визначеної мети. Збирайте персональні дані лише в межах, які відповідають запитуваній меті, та уникайте збору зайвої інформації.
Це дозволяє звести до мінімуму кількість зберіганих персональних даних і захистити приватність особи.
Точність
Згідно з основними принципами GDPR (Загального регламенту про захист даних), особисті дані повинні бути точними. Неточні особисті дані мають бути виправлені, і мають бути вжиті заходи для підтримки їх актуальності та точності.
Це забезпечує захист прав та інтересів осіб, а також здійснення обробки особистих даних на основі точної інформації.
Обмеження щодо зберігання записів
Одним із основних принципів Європейського регламенту про захист даних (GDPR) є концепція обмеження зберігання записів. Особисті дані, які стали непотрібними після досягнення мети, мають бути негайно видалені.
Не зберігаючи непотрібні особисті дані, ми досягаємо належного управління особистими даними та захисту приватності.
Цілісність та конфіденційність
Особисті дані мають бути повними та зберігати свою конфіденційність. Вони повинні бути захищені від підробок та втрат, а також мають бути вжиті належні заходи для захисту від несанкціонованого доступу.
Це сприяє підвищенню довіри до особистих даних.
Чи лише для компаній у межах ЄС? Сфера застосування GDPR
GDPR застосовується не тільки до компаній в межах ЄС. Японські компанії також можуть підпадати під дію цього регламенту. Ось чотири категорії компаній, до яких застосовується GDPR:
| Компанії, до яких застосовується GDPR | Опис |
| Компанії з офісами в межах ЄС | “Контролер” | Організація, яка визначає цілі та засоби обробки даних і володіє даними, називається контролером. Наприклад, компанії з головним офісом або філіями в ЄС відповідають цьому критерію. Контролер несе відповідальність за законну та прозору обробку даних. |
| Компанії, яким ЄС-компанії доручають обробку персональних даних | “Процесор” | Коли компанія в межах ЄС доручає обробку даних іншій компанії, остання стає “процесором” і підпадає під дію GDPR. Процесор також несе відповідальність за забезпечення безпеки та законності обробки даних. |
| Компанії, що надають товари чи послуги особам в межах ЄС | Це стосується компаній, які пропонують онлайн-магазини або веб-сервіси. Обробка даних, пов’язаних з наданими товарами чи послугами, має відповідати стандартам GDPR. |
| Компанії, що здійснюють моніторинг осіб в межах ЄС | Моніторинг означає тривале відстеження поведінки або стану конкретних осіб. Наприклад, компанії, що використовують відеоспостереження або трекінг онлайн-поведінки, відповідають цьому критерію і мають забезпечувати законну обробку даних. |
Компанії, до яких застосовується GDPR, зобов’язані забезпечувати законну та прозору обробку даних, безпеку даних, а також відповідність стандартам GDPR.
Пов’язані статті: Що робити, коли GDPR застосовується поза межами ЄС? Пояснення методів відповіді[ja]
Обробка персональних даних за GDPR
GDPR надає рамки для захисту приватності та обігу даних у контексті обробки персональних даних.
| Метою та принципами цього регламенту є захист основних прав та свобод, зокрема повага до приватності особи, а також забезпечення вільного обігу персональних даних (стаття 4 GDPR). |
GDPR захищає контроль та повагу до персональних даних, одночасно сприяючи їх обігу та забезпечуючи надійність через належне управління.
Для цього важливими є прозорість обробки даних та відповідальність компаній, які мають обробляти дані відповідно до регламенту.
GDPR також містить такі положення:
| Компанії, на які поширюється GDPR, при обробці персональних даних, як правило, повинні мати згоду суб’єкта даних (пункт (a) частини 1 статті 6 GDPR). |
| Відповідальний за обробку має бути здатний довести факт отримання згоди від суб’єкта даних (частина 1 статті 7 GDPR). |
| Крім того, суб’єкт даних має право в будь-який час відкликати свою згоду на обробку персональних даних (частина 3 статті 7 GDPR). |
Однак, існують випадки, коли обробка персональних даних дозволяється без згоди суб’єкта даних. Конкретні приклади включають:
- Якщо це необхідно для виконання контракту, у якому суб’єкт даних є стороною;
- Якщо це необхідно для вжиття заходів на запит суб’єкта даних перед укладенням контракту;
- Якщо це необхідно для дотримання юридичних зобов’язань, які покладені на відповідального за обробку;
- Якщо це необхідно для захисту життєво важливих інтересів суб’єкта даних або іншої особи;
- Якщо це необхідно для виконання завдання, що виконується в інтересах громадськості або у зв’язку з виконанням офіційних повноважень;
- Якщо це необхідно для цілей законних інтересів, які переслідують відповідальний за обробку або третя особа, за умови, що інтереси або основні права та свободи суб’єкта даних не переважають ці інтереси.
Основні права щодо персональних даних за GDPR
Згідно з GDPR, суб’єкти персональних даних мають, зокрема, такі права:
- Право на доступ до персональних даних
- Право вимагати виправлення або видалення персональних даних
- Право вимагати обмеження використання персональних даних
- Право висловлювати заперечення проти обробки персональних даних
Суб’єкти персональних даних мають право знати, яким чином використовується їх інформація постачальником. Якщо вони вважають, що інформація є неправильною або використовується неналежним чином, вони можуть вимагати її виправлення чи видалення, а також тимчасово зупинити її використання або подати заперечення.
Основні обов’язки щодо обробки персональних даних за GDPR
Окрім того, що суб’єктам персональних даних надані вищезазначені права, компанії, які збирають та обробляють персональні дані, несуть наступні основні обов’язки:
- Відповідальність за створення системи обробки персональних даних та організаційної структури відповідно до GDPR
- Відповідальність за ведення записів про обробку персональних даних
- Відповідальність за реагування на порушення персональних даних
Для належного захисту персональних даних, ці обов’язки, які покладаються на компанії, є важливими.
Крім того, для можливості проведення перегляду при необхідності, важливо, щоб усі дії з обробки даних були належно задокументовані.
У разі порушення персональних даних, компанія має відповідальність за вжиття відповідних заходів та повідомлення зацікавлених сторін.
У разі порушення GDPR
Якщо адміністратор або обробник порушить GDPR та завдасть шкоди суб’єкту даних, вони можуть бути зобов’язані відшкодувати збитки (стаття 82, пункт 1 GDPR).
Крім того, порушення GDPR може призвести до суворих наслідків. Наприклад, за порушення може бути накладено штрафи від ЄС відповідно до статті 83 GDPR (стаття 83 GDPR).
Відмінності між GDPR та законом про захист персональних даних
Основні відмінності між GDPR та законом про захист персональних даних полягають у наступному:
- Об’єкти захисту
- Реагування на порушення персональних даних
- Призначення представника
- Покарання за порушення
Далі ми детально розглянемо кожен пункт.
Об’єкти захисту
GDPR та закон про захист персональних даних відрізняються за об’єктами захисту, які вони охоплюють. GDPR захищає персональні дані, що обробляються в межах ЄС, на широкому рівні. Це стосується не лише компаній, які мають базу в ЄС, але й тих, що надають товари чи послуги особам у ЄС.
З іншого боку, закон про захист персональних даних має різні об’єкти захисту в залежності від країни чи регіону.
Наприклад, японський закон про захист персональних даних (Japanese Personal Information Protection Law) охоплює персональні дані, що обробляються в межах країни, і захист зазвичай обмежений внутрішніми рамками.
Реагування на порушення персональних даних
Є відмінності у реагуванні на порушення персональних даних між GDPR та законом про захист персональних даних.
За GDPR, у разі витоку даних компанії зобов’язані повідомити наглядовий орган протягом 72 годин. Також вони несуть відповідальність за швидке та ясне інформування суб’єктів персональних даних.
Закон про захист персональних даних також вимагає негайного повідомлення у разі витоку даних, але терміни звітування та вміст повідомлень варіюються в залежності від країни чи регіону.
Призначення представника
Є різниця у правилах призначення представника між GDPR та законом про захист персональних даних.
За GDPR, при обробці персональних даних дітей необхідна згода батьків або законних представників. Крім того, компанії, що надають онлайн-послуги, мають отримати згоду батьків при обробці даних дітей віком до 16 років.
Закон про захист персональних даних також вимагає згоди законних представників при обробці персональних даних дітей, але вік, при якому потрібна згода, та методи її отримання варіюються в залежності від законодавства.
Покарання за порушення
Ще однією відмінністю між GDPR та законом про захист персональних даних є покарання за порушення.
За GDPR, за порушення може бути накладено штраф до 4% від загального річного обороту компанії або 20 мільйонів євро.
Покарання за порушення закону про захист персональних даних варіюються в залежності від країни чи регіону, але зазвичай включають штрафи та юридичну відповідальність. Розмір штрафів залежить від характеру та серйозності порушення.
Ключові аспекти, на які японські компанії мають звернути увагу щодо GDPR
Компанії, які відповідають наступним критеріям, мають вжити заходів щодо GDPR:
- Компанії, що мають дочірні підприємства, філії чи представництва в межах ЄС
- Компанії, які надають товари чи послуги з Японії на територію ЄС
- Компанії, яким доручено обробку персональних даних від організацій у межах ЄС
Як конкретний приклад заходів, які може вжити компанія, стаття 32 та преамбула (83) GDPR рекомендують використання шифрування як однієї з технологій захисту даних.
Тому необхідно зашифрувати персональні дані на клієнтських ПК, HDD, USB-накопичувачах, а також у спільних папках та інших носіях інформації.
Крім того, потрібно оновити політику конфіденційності, щоб вона відповідала вимогам GDPR. Детальніше про створення політики конфіденційності, яка відповідає GDPR, ви можете прочитати в наступній статті.
Пов’язана стаття: Роз’яснення ключових моментів при створенні політики конфіденційності, що відповідає GDPR[ja]
Висновок: Консультуйтеся з експертами щодо заходів GDPR
GDPR широко захищає персональні дані, що обробляються в межах ЄС, вимагаючи законної та прозорої обробки даних та забезпечення їх безпеки. Відмінності між GDPR та японським Законом про захист персональних даних включають об’єкти захисту, реагування на порушення персональних даних, призначення представників та штрафи за порушення.
GDPR застосовується до компаній, які мають бази в ЄС, надають товари чи послуги особам в ЄС, або обробляють персональні дані на замовлення компаній з ЄС. Порушення GDPR може призвести до вимог про відшкодування збитків та накладення штрафів, тому необхідно бути дуже уважними.
Якщо вам потрібно змінити правила захисту даних вашої компанії, щоб вони відповідали GDPR, ми рекомендуємо проконсультуватися з фахівцями.
Інформація про заходи, що їх пропонує наша юридична фірма
Юридична фірма “Моноліт” спеціалізується на IT, зокрема на поєднанні інтернету та права, маючи значний досвід у обох сферах. У зв’язку з тим, що глобальний бізнес продовжує розширюватися, потреба у професійній юридичній перевірці зростає. Наша фірма пропонує рішення у сфері міжнародного права.Сфери діяльності юридичної фірми “Моноліт”: Міжнародне право та зарубіжний бізнес[ja]
Related Articles
Чи можливе скасування пропозиції про прийняття на роботу через погіршення показників діяльності .
General Corporate
Чи можуть вас арештувати за порушення 'Японського закону про ліки та медичні прилади'? Роз'яснен.
General Corporate
Порушення прав на торговельні марки учасниками торгівлі та юридична відповідальність операторів .
General Corporate
Що варто врахувати при «купівлі відпустки» працівника, який покидає компанію: вміст «письмового».
General Corporate
