Закон о защите личной информации (APPI) - это основной японский закон о защите данных, соблюдение которого обеспечивает Комиссия по защите личной информации (PPC).
Первоначально он был принят в 2003 году, но официально пересматривается каждые три года, чтобы выявить правила, требующие ужесточения или уточнения. Это часто приводит к пересмотру закона, иногда существенному для интернет-маркетинга.
Например, при пересмотре в 2017 году было удалено исключение для людей и предприятий, которые обрабатывали данные о 5 000 человек или менее. Они также создали новую категорию данных "особой важности" с дополнительной защитой.
Последние изменения были приняты парламентом Японии в 2020 году и вступили в силу 1 апреля 2022 года.
Основными изменениями являются:
• Снятие любых ограничений на применение APPI за пределами Японии.
• Предприятия обязаны сообщать, когда они отправляют данные за пределы Японии, и принимать меры по обеспечению их защиты.
• Расширение сферы действия закона на псевдонимно обрабатываемые данные.
• Требовать обязательного раскрытия информации о нарушениях, отвечающих определенным характеристикам. К ним относятся нарушения, связанные с конфиденциальными данными, данными, охватывающими более 1 000 человек, а также предполагаемые кибератаки или другие нарушения, мотивированные преступными действиями.
За соблюдением закона следит Комиссия по защите личной информации (PPC).
Каковы цели APPI в Японии?
Хотя Закон о защите личной информации APPI в Японии был одним из самых ранних национальных законов о защите данных, он, возможно, использует более мягкий подход, чем некоторые аналогичные законы, особенно в своей первоначальной форме.
Например, в отношении большинства персональных данных APPI подчеркивает, что предприятия должны обеспечивать безопасность данных и информировать субъектов данных об их обработке, а не получать разрешение или использовать другое юридическое обоснование для обработки данных.
Режим штрафов, вероятно, делает больший акцент на общественном авторитете и "правильных действиях", чем на силе и наказании. Например, штрафы редко следуют за самим нарушением. Вместо этого PPC имеет право предписать предприятию принять меры или внести изменения после нарушения, и именно невыполнение этого предписания приводит к финансовым штрафам.
Эти штрафы носят карательный, а не денежный характер - идея выплаты компанией компенсации клиентам (например, после утечки данных) является скорее сильным культурным ожиданием, чем чем-то принудительным по закону.
Какие права субъектов данных устанавливает APPI в Японии?
В Японии существует общее право на неприкосновенность частной жизни, которое APPI стремится поддержать и укрепить.
Оно также предоставляет субъектам данных следующие права:
• Получать доступ (знать о) личной информации, которую предприятие обрабатывает о них, и получать копию этой информации.
• Исправлять любые ошибки в информации. Нет специального права на удаление информации, если только это не является единственным способом исправить ошибку.
• Потребовать от компании прекратить работу с данными, которые были получены с нарушением APPI.
• Подать жалобу в PPC о предполагаемых нарушениях APPI.
Не существует специального права ограничивать обработку данных или возражать против маркетинга как такового или использования личной информации для маркетинга.
Отдельный закон ограничивает способы рассылки незапрашиваемых электронных писем.
Какова сфера применения APPI в Японии?
Закон о защите личной информации APPI в Японии касается лиц или предприятий, работающих с личной информацией людей в Японии в деловом контексте.
APPI применяется к случаям обработки личной информации. Обращение трактуется так же, как "обработка" в таких законах, как GDPR, и охватывает любое использование личной информации, включая сбор, хранение и передачу третьей стороне.
С обновлением 2020 года правила немного меняются в тех случаях, когда предпринимаются некоторые шаги по анонимизации данных.
Данные классифицируются как "псевдонимно обработанные", когда из них удалена любая информация, которая непосредственно идентифицирует человека или может привести к финансовому риску в случае раскрытия (например, номера кредитных карт).
Как только данные становятся псевдонимными:
1. Предприятия могут использовать данные в целях, отличных от первоначально заявленной причины их обработки.
2. Правила уведомления о нарушении данных не применяются.
3. Право субъекта данных на доступ к данным или их исправление не действует.
Закон о защите личной информации APPI в Японии классифицирует данные как полностью анонимизированные, если нет возможности связать их с конкретным человеком, даже в сочетании с другими данными. На анонимизированные данные не распространяются все меры, предусмотренные APPI.
Тем не менее, предприятия должны публично подробно описывать типы информации, которые они обрабатывают в анонимизированной форме.
Получение согласия и территориальный охват APPI
Закон о защите личной информации APPI в Японии применяется ко всем, кто обрабатывает личную информацию о ком-либо в Японии в деловом контексте.
Для предприятий, расположенных за пределами Японии, правила изменились после пересмотра в 2020 году. Согласно новым правилам, APPI применяется, если зарубежный бизнес обрабатывает личную информацию о ком-либо в Японии и:
• это лицо является их клиентом;
• или это лицо является директором или сотрудником японской компании, которая является клиентом зарубежного предприятия.
Если применяется как материальный, так и территориальный охват, вам обычно необходимо соблюдать требования APPI, даже если вы находитесь за пределами Японии.
Основные исключения касаются обработки данных в некоммерческом контексте, например, в журналистике, научной деятельности или политике.
Правила получения согласия зависят от типа информации и способа ее обработки.
Для работы с обычной личной информацией согласие не требуется. Вместо этого главное требование Закона о защите личной информации APPI в Японии заключается в том, чтобы вы сообщили людям, как и почему вы будете использовать их данные до того, как соберете их.
Вам необходимо получить согласие на передачу данных третьей стороне. Исключениями из этого принципа являются:
1. Закон предписывает, что вы должны это сделать.
2. Это необходимо для защиты чьего-либо здоровья или жизни, и субъект данных не может дать согласие. (Например, доступ к медицинским записям человека, находящегося без сознания).
3. По соображениям общественного здравоохранения.
4. Это необходимо для государственной деятельности, и получение согласия может помешать этой деятельности.
В качестве альтернативы вы можете работать на основе отказа. Для этого вы должны сообщить человеку о планируемой передаче, в том числе о том, какие данные и кто их получит. Затем вы должны дать человеку разумный срок для отказа от передачи данных, а затем действовать только в том случае, если он не воспользуется отказом.
Вы не можете использовать основание для отказа от передачи данных в отношении категории особого ухода, о которой говорится ниже. Если не применяется одно из исключений, вам потребуется активное согласие.
Согласие сторон согласно APPI в Японии
Вам также потребуется согласие перед сбором данных, относящихся к категории "требуется особая осторожность".
К ним относится следующая информация:
• Криминальные данные;
• История болезни;
• Семейное положение;
• Раса;
• Религиозные убеждения.
Если вы не уверены, попадают ли данные в эту категорию, руководствуйтесь принципом, что она предназначена для охвата любых данных, которые, будучи раскрытыми, могут привести к дискриминации или предрассудкам.
Единственными исключениями, которые позволяют вам получать данные из этой категории без согласия, являются:
• Те же четыре исключения, которые разрешают передачу третьим лицам (требование закона, защита жизни, здоровье населения, деятельность правительства);
• Либо человек, либо государственный орган уже обнародовал информацию.
Нет исключения для "законных интересов" в стиле GDPR.
Для передачи чьих-либо данных за пределы Японии обычно требуется согласие. Это относится как к обычной, так и к "требующей особого внимания" информации.
Единственное исключение - если вы передаете ее в страну, которая имеет эквивалентный уровень защиты данных, что и APPI. На данный момент это ограничено Европейским Союзом и Великобританией.
Основные различия между APPI и GDPR
В то время как GDPR в основном остается неизменным с момента вступления в силу, Закон о защите личной информации APPI в Японии претерпел несколько серьезных обновлений с момента его первого введения в 2003 году.
Наиболее значительное обновление произошло в 2017 году, когда закон был пересмотрен с внесением изменений как в правила, так и в правоприменение.
Поскольку была необходимость привести его в соответствие с готовящимся GDPR, как для обеспечения адекватности данных для трансграничной передачи данных с ЕС, так и для усиления защиты конфиденциальности и прав японских граждан.
Сфера применения
Закон о защите личной информации APPI в Японии распространяется на любой бизнес, который работает с персональными данными людей, находящихся в Японии.
Не имеет значения, где расположено предприятие или где происходит обработка. После пересмотра в 2017 году больше не имеет значения, данные скольких людей вы обрабатываете.
GDPR применяется к любой организации, которая отвечает любому из трех критериев:
• Организация имеет присутствие (например, местный офис или компанию) в Европейском союзе.
• Субъект данных (лицо, о котором идет речь) находится в ЕС.
• Обработка физически происходит в ЕС, например, в центре обработки данных.
GDPR имеет несколько разные правила для контролеров данных (которые решают, что и как обрабатывать) и обработчиков данных (которые выполняют обработку в соответствии с инструкциями контролера данных). APPI не делает такого различия.
Правила раскрытия информации о нарушениях
Закон о защите личной информации APPI в Японии теперь требует от компаний, которые пострадали от определенных типов нарушений данных, уведомлять как пострадавших субъектов данных, так и Комиссию по защите личной информации, японский орган по защите данных.
Нарушения данных, требующие уведомления, - это те, которые:
• Затрагивают конфиденциальные персональные данные;
• Представляют риск для собственности;
• Вероятно, были совершены преднамеренно со злонамеренной или ненадлежащей целью (например, кибератака);
• Вовлекают более 1 000 субъектов данных.
Предприятия должны сделать первоначальное уведомление как можно скорее, а затем представить полный отчет в течение 30 дней (или в течение 60 дней в ситуациях "ненадлежащей причины").
GDPR предписывает предприятиям сообщать обо всех нарушениях данных, если только они не представляют угрозу для "прав и свобод" людей. Предприятия должны как можно скорее уведомить надзорный орган (агентство по защите данных в соответствующей стране), как только обнаружат нарушение.
Если предприятию требуется более 72 часов для раскрытия информации о нарушении, оно должно объяснить причину этого национальному органу по защите данных.
Предприятия также должны напрямую сообщить субъектам данных о нарушении, если оно вызвало "высокий риск" для их прав и свобод.
Существуют исключения из этого правила, если приняты меры по значительному снижению риска (например, данные, подвергшиеся нарушению, зашифрованы), или если компании могут информировать людей столь же эффективно посредством публичных коммуникаций, таких как заявление в СМИ.
Специальные категории
Оба закона предусматривают различные правила для обычных персональных данных и более чувствительных данных. Они известны как "персональные данные, требующие особого внимания" согласно Закону о защите личной информации APPI в Японии и "данные особой категории" согласно GDPR.
Типы данных, которые попадают в эти категории, во многом схожи, в качестве примера можно привести историю болезни и религиозные убеждения. Некоторые данные подпадают под действие только одного закона, например, семейное положение в APPI и подробности сексуальной жизни человека в GDPR.
Принцип обоих законов заключается в том, чтобы обеспечить более надежную защиту данных, которые могут привести к предрассудкам или дискриминации.
Согласие и правовое основание для обработки
В отличие от GDPR, в APPI нет существенных ограничений на обработку обычных персональных данных, хотя субъекты данных имеют право спрашивать, какие данные вы обрабатываете и каковы причины этого.
Закон о защите личной информации APPI в Японии ограничивает обработку данных, "требующих особого ухода". Для обработки этих категорий данных требуется согласие. В очень ограниченных обстоятельствах вы можете обрабатывать эти данные без согласия, например, при выполнении контракта с субъектом данных или действуя в общественных интересах.
Закон не допускает обработку данных на основании "законного интереса".
Согласно GDPR, обработка (как обычных, так и чувствительных персональных данных) является законной только в том случае, если вы можете указать на одно из шести законных оснований.
Наиболее подходящими для предприятий являются:
1. У вас есть согласие субъекта данных. (Это согласие должно быть получено до начала обработки, и субъект данных имеет право его отозвать).
2. Вы преследуете законные интересы (такие как ваша основная деятельность), и они перевешивают права субъекта данных. Как правило, это относится только к обработке, которую субъект данных мог бы разумно ожидать от вас и которая не оказывает существенного влияния на его частную жизнь.
Другие законные основания включают выполнение контракта с субъектом данных, обработку в общественных интересах и защиту чьих-либо жизненно важных интересов (другими словами, его жизни).
Штрафы за несоблюдение APPI
Нарушение Закона о защите личной информации APPI в Японии обычно само по себе не приводит к прямому наказанию. Вместо этого, штрафы следуют за невыполнением предписания Комиссии по защите личной информации об улучшении практики работы с данными, особенно после нарушения.
Институциональные штрафы также намного ниже, чем те, которые предусмотрены GDPR, в то время как индивидуальные штрафы намного суровее. Максимальное наказание теперь составляет один год лишения свободы и штраф в размере одного миллиона иен за любое из следующих действий:
• Физическое лицо, ответственное за нарушение;
• Директор предприятия;
• Лицо, ответственное за соблюдение APPI на предприятии.
Само предприятие может быть оштрафовано на сумму до 100 миллионов иен, что составляет примерно 900 000 долларов США.
Также существует культурное ожидание, что компании будут выплачивать ущерб субъектам данных, пострадавшим от нарушения, хотя субъекты данных имеют право подать в суд, если этого не происходит.
GDPR предусматривает две категории максимальных штрафов за несоблюдение требований. За менее серьезные нарушения, которые обычно связаны с процедурными нарушениями, максимальный штраф составляет 10 миллионов евро или два процента от вашего мирового оборота, в зависимости от того, что больше.
За более серьезные нарушения, которые обычно связаны с нарушением ключевых принципов GDPR, максимальный штраф составляет 20 миллионов евро или четыре процента от вашего мирового оборота, в зависимости от того, что больше.
Основные выводы по APPI
Если ваша организация уже соответствует требованиям GDPR, вы не так уж далеки от соответствия требованиям Закона о защите личной информации APPI в Японии, но для этого вам следует пересмотреть свои процессы обеспечения конфиденциальности данных и управления согласием:
• Вы собираете согласие на обработку конфиденциальных данных, включая семейное положение;
• Вы не полагаетесь на "законные интересы" при обработке конфиденциальных данных;
• Вы готовы незамедлительно уведомить субъектов данных после любого нарушения;
• Вы готовы подготовить полный отчет для Комиссии по защите личной информации в течение 30 дней после нарушения.
Автор: pimka21
Еще советуем:
