Zagraniczne media informują, że Japonia znowelizowała swoją ustawę o ochronie danych osobowych (Protection of Personal Information Act – APPI), która obowiązuje tam od 2005 r. Analizując wprowadzone zmiany, ciężko oprzeć się wrażeniu, że prawodawstwo japońskie zmierza w stronę wdrożenia podobnych rozwiązań do tych, obowiązujących w Unii Europejskiej. Warto zwrócić uwagę, że Japonia jest jedynym krajem z Azji, który prowadził z UE rozmowy w zakresie adekwatności, próbując tym samym zbliżyć japońskie prawo z zakresu ochrony danych do RODO.
Nowa forma zgłaszania naruszeń
Nowelizacja APPI przewiduje nową formę zgłaszania naruszeń ochrony danych osobowych. Dotychczas administratorzy dokonywali takich zgłoszeń poprzez pocztę lub faksem. Po nowelizacji będą oni musieli wykorzystywać w tym celu specjalny nowoutworzony formularz. Nowe przepisy APPI przewidują również obowiązek informowania o naruszeniu osobę, której dane dotyczą oraz Komisję Ochrony Danych Osobowych (Personal Information Protection Commission – PPC). Nie jest jasne, czy obowiązek zgłoszenia naruszenia ochrony Danych Osobowych dotyczyć będzie wszelkich naruszeń, czyli również tych drobnych. Można jednak założyć, że poważne zdarzenia, które będą godzić w prawa podmiotów danych w znacznym stopniu, będą podlegały takim zgłoszeniom.
Więcej uprawnień dla podmiotów danych
Nowe przepisy japońskiej ustawy o ochronie danych osobowych przewidują wprowadzenie dla osób, których dane dotyczą, prawa dostępu do swoich danych osobowych oraz możliwości żądania ich poprawienia lub usunięcia w przypadku, gdy dane zebrane były w sposób niezgodny z prawem. Co ciekawe, dotychczasowe przepisy uprawniały do skorzystania z poszczególnych uprawnień w zakresie ochrony danych osobowych jedynie w przypadku, gdy były one przechowywane przez administratora przynajmniej przez okres sześciu miesięcy. Nowelizacja przepisów APPI znosi ten wymóg.
Nowe przepisy APPI przewidują również wymóg uzyskania zgody osoby, której dane dotyczą, na przekazanie danych osobowych do podmiotu zewnętrznego. Każda organizacja, która pozyskuje dane osobowe będzie musiała dostosować swoje wewnętrzne procedury do nowych standardów przewidzianych w znowelizowanej ustawie.
Inne zmiany
Znowelizowane przepisy APPI przewidują nowe rozwiązania w zakresie przetwarzania danych osobowych zgromadzonych poprzez m.in. systemy monitorujące umożliwiające rozpoznania twarzy. Administratorzy, którzy będą wykorzystywać takie narzędzia będą zobowiązani niezwłocznie określić cel pozyskania danych osobowych oraz precyzyjnie określić metody i środki ochrony prywatności i danych osobowych w tym zakresie.
Japoński ustawodawca zapowiedział również kolejne zmiany w przepisach o ochronie danych osobowych. Według jego zapewnień, od 2022 r. zaczną obowiązywać przepisy, które wprowadzą ściślejszą kontrolę międzynarodowego przekazywania danych osobowych. Można domniemywać, że rozwiązania te będą inspirowane przepisami RODO.
Nowe standardy karania
Co ciekawe, dotychczasowe przepisy APPI nie przewidywały rozwiązań umożliwiających nakładanie znaczących kar na administratorów, którzy dopuszczają się naruszeń. Nowe przepisy przewidują możliwość nakładania kar pieniężnych w wysokości do 100 milionów jenów (942 000 dolarów). Przekazanie organowi nadzorczemu nieprawdziwych informacji wycenione zostało natomiast przez ustawodawcę na kwotę maksymalnie 500 000 jenów (4708 dolarów). Co ciekawe, potencjalna kara grozi również każdej osobie, która zostanie uznana za odpowiedzialną za naruszenie ochrony danych osobowych. Wysokość tej kary została ustalona na kwotę maksymalnie 1 miliona jenów (9420 dolarów). Takiej osobie grozi również odpowiedzialność karna (rok więzienia).
Lider w Azji
Wydaje się, że Japonia po znowelizowaniu przepisów ustawy o ochronie danych osobowych wysunęła się na czoło krajów azjatyckich w kontekście wdrożenia odpowiednich narzędzi umożliwiających ochronę danych osobowych. Warto zauważyć, że surowe przepisy w tym zakresie posiada również Korea Południowa. Pozostałe kraje z tego obszaru geograficznego dotychczas przykładały mniejszą wagę do tego zagadnienia. Przykładowo, ustawa wietnamska przewiduje niektóre instytucje podobne do tych obowiązujących w Europie, niemniej w pozostałym zakresie czerpie ona inspiracje np. z przepisów chińskich dotyczących cyberbezpieczeństwa.
Źródło: