Що робити, якщо сталася витік особистої інформації? Пояснення адміністративної реакції, яку повинна вжити компанія

З розвитком Інтернету та можливістю обміну інформацією онлайн, випадки непередбачуваного витоку важливої інформації компанії стають все частішими.

Останнім часом, вартість інформації зростає, і в разі витоку інформації може виникнути серйозна проблема, яка підриває довіру. Для компаній важливо швидко та адекватно реагувати на витоки інформації.

Тут ми детально розглянемо адміністративну реакцію, яку компанія повинна виконати у випадку витоку інформації.

Інформаційні витоки, що вимагають адміністративного реагування

Інформаційні витоки можуть бути різними за своїм змістом та важливістю. Адміністративне реагування стає необхідним, коли відбувається витік особистих даних.

Визначення особистих даних наведено в статті 2 пункт 1 Закону Японії “Про захист особистих даних” (далі – “Закон про захист особистих даних”).

(Визначення)
Стаття 2. У цьому Законі під “особистими даними” розуміються відомості про живу особу, які відповідають будь-якому з наступних пунктів:
1. Відомості, що містять прізвище, ім’я, дату народження та інші дані (документи, малюнки або електронні записи (записи, створені за допомогою електронних, магнітних або інших невидимих методів. Те ж саме стосується пункту 2 нижче.) та інші питання, виключаючи індивідуальні ідентифікаційні коди, які можуть ідентифікувати конкретну особу (включаючи ті, які можуть ідентифікувати конкретну особу шляхом легкого порівняння з іншою інформацією).
2. Відомості, що містять індивідуальні ідентифікаційні коди.

e-GOV｜Закон про захист особистих даних[ja]

Інформація, що відповідає вищенаведеному визначенню, захищається як особисті дані відповідно до Закону про захист особистих даних.

Пов’язана стаття: Що таке Закон про захист особистих даних та особисті дані? Пояснення адвоката[ja]

Крім адміністративного реагування, у випадку витоку інформації, компанія може зобов’язана до розкриття інформації. Більше інформації про це можна знайти в статті нижче.

Пов’язана стаття: Що таке розкриття інформації, яке компанія повинна здійснити у випадку витоку інформації?[ja]

Обов’язок повідомляти про витік особистих даних

Суб’єкти, що обробляють особисті дані, зобов’язані повідомляти Комісію з захисту особистих даних у випадку витоку особистих даних або ймовірності такого витоку, в залежності від обставин.

До 1 квітня 2022 року (Рейва 4 року) повідомлення Комісії з захисту особистих даних про витік або ймовірність витоку особистих даних було не обов’язковим, а рекомендованим. Однак зміни до Японського закону про захист особистих даних, які набули чинності з 1 квітня 2022 року (Рейва 4 року), зробили це обов’язковим.

Термін “суб’єкт, що обробляє особисті дані” в цьому контексті означає особу, яка використовує базу даних особистих даних для своєї діяльності (стаття 16, пункт 2 Японського закону про захист особистих даних). Однак це не включає державні установи, місцеві органи влади, незалежні адміністративні органи тощо.

“База даних особистих даних” означає набір інформації, що містить особисті дані, який відповідає одному з двох наступних вимог, за винятком тих, які визначені урядовими розпорядженнями як малоймовірні для порушення прав та інтересів особи (стаття 16, пункт 1 Японського закону про захист особистих даних):

• Систематизовано організований таким чином, що дозволяє шукати конкретні особисті дані за допомогою комп’ютера
• Систематизовано організований таким чином, що дозволяє легко шукати конкретні особисті дані

Суб’єкти, що використовують базу даних особистих даних для своєї діяльності, зобов’язані повідомляти Комісію з захисту особистих даних.

Пов’язана стаття: Основні зміни в Японському законі про захист особистих даних у 2022 році: що потрібно знати про обов’язки суб’єктів[ja]

Чотири випадки, коли потрібно звітувати до Комісії з захисту персональних даних

Існують чотири випадки, коли потрібно звітувати до Комісії з захисту персональних даних у разі витоку персональних даних (згідно з Правилами виконання Закону Японії про захист персональних даних, стаття 7):

1. Коли відбувається або може відбутися витік персональних даних, що містять інформацію, яка вимагає особливої уваги
2. Коли відбувається або може відбутися витік персональних даних, використання яких неправомірно може призвести до матеріальної шкоди
3. Коли відбувається або може відбутися витік персональних даних, який міг бути здійснений з неправомірною метою
4. Коли відбувається або може відбутися витік персональних даних, що стосуються більше ніж 1,000 осіб

Нижче ми розглянемо кожен з цих випадків.

Витік персональних даних, що вимагають особливої уваги

“Персональні дані, що вимагають особливої уваги” – це інформація про расу, віру, соціальний статус, медичну історію, кримінальний досвід, випадки становлення жертвою злочину та інші дані, які вимагають особливої уваги при обробці, щоб уникнути неправильної дискримінації, упередженості або інших негативних наслідків для особи.

Наприклад, дані про медичну історію працівника, отримані в результаті медичного огляду, вважаються персональними даними, що вимагають особливої уваги.

Витік персональних даних, використання яких може призвести до матеріальної шкоди

Цей пункт стосується випадків, коли відбувається витік персональних даних, використання яких неправомірно може призвести до матеріальної шкоди.

Конкретним прикладом може бути витік інформації про кредитні картки клієнтів компанії.

Витік персональних даних з неправомірною метою

Цей випадок стосується ситуацій, коли особа, яка викликала витік персональних даних, мала неправомірну мету.

Наприклад, якщо третя особа або працівник компанії неправомірно отримав доступ до корпоративної мережі з метою неправомірного використання персональних даних.

Масштабний витік персональних даних

Цей випадок стосується ситуацій, коли відбувається витік персональних даних, що стосуються більше ніж 1,000 осіб.

Компанії, які обробляють велику кількість персональних даних, повинні бути особливо уважні, оскільки може відбутися масовий витік персональних даних.

Пункти, які потрібно повідомити до Комітету з захисту персональних даних у разі витоку інформації

У випадку, коли необхідно звітувати до Комітету з захисту персональних даних, потрібно повідомити про пункти, визначені в параграфі 1 статті 8 Правил виконання Закону Японії про захист персональних даних.

(Повідомлення до Комітету з захисту персональних даних)
Стаття 8. Оператори обробки персональних даних, якщо вони зобов’язані звітувати відповідно до основного тексту параграфа 1 статті 26 Закону, повинні негайно повідомити про наступні пункти, що стосуються даної ситуації (обмежено тими, які вони знають на момент наміру звітувати. Те ж саме стосується наступної статті).

e-GOV｜Закон Японії про захист персональних даних[ja]

Якщо ви відповідаєте будь-якому з чотирьох випадків, коли необхідно звітувати, як зазначено вище, ви повинні негайно повідомити Комітет з захисту персональних даних про наступні пункти:

• Загальний опис
• Елементи персональних даних, які були або можуть бути витікли
• Кількість осіб, до яких стосуються персональні дані, які були або можуть бути витікли
• Причина
• Наявність або відсутність вторинних збитків та їх характер
• Стан відповіді до особи
• Стан опублікування
• Заходи для запобігання повторенню
• Інші пункти для розгляду

Однак, ви можете повідомити лише ті пункти, про які ви знаєте на момент звітування.

Термін подання звіту до Комісії з захисту персональних даних у разі витоку інформації

Щодо звітів до Комісії з захисту персональних даних, встановлено відповідні терміни (Параграф 2, Стаття 8 Правил виконання Закону Японії про захист персональних даних).

Звіт до Комісії з захисту персональних даних, як правило, повинен бути поданий протягом 30 днів з дня, коли ви дізналися про витік або іншу подібну ситуацію. Якщо особа, яка допустила витік персональних даних або іншу подібну дію, мала незаконні наміри, звіт повинен бути поданий протягом 60 днів.

Обов’язок повідомлення особі

У випадку витоку персональних даних, крім обов’язку повідомлення до Комісії з захисту персональних даних, також передбачено обов’язок повідомлення особі (стаття 26, пункт 2, Японського закону про захист персональних даних).

Метою повідомлення особі є запобігання порушенню прав та інтересів особи шляхом забезпечення того, щоб вона могла якнайшвидше відреагувати на витік персональних даних. Тому, суб’єкти, які обробляють персональні дані, повинні негайно повідомити особу.

Підсумок: звертайтеся до адвоката щодо адміністративної реакції на витік особистих даних

Вище ми розглянули, які дії повинна вжити компанія у випадку витоку особистих даних, зосереджуючись на адміністративній реакції.

Для компанії важливо створити систему, яка запобігатиме витокам інформації. Однак, якщо витік інформації все ж відбувся, необхідно відповідно реагувати.

Через численні зміни в Законі про захист особистих даних (Японський ~) і його складну структуру, для належного реагування рекомендується звернутися до адвоката з відповідними знаннями.

Інформація про заходи, що вживає наша фірма

Юридична фірма “Моноліт” є висококваліфікованою у сфері ІТ, особливо в області інтернету та права. У сучасному світі витік особистих даних стає великою проблемою. У випадку витоку особистих даних, це може мати критичний вплив на діяльність компанії. Наша компанія має професійні знання щодо запобігання витоку інформації та відповідних заходів. Деталі описані в статті нижче.

https://monolith.law/practices/itlaw[ja]