Kể từ khi có hiệu lực năm 2005, Luật Bảo vệ thông tin cá nhân (APPI) của Nhật Bản đã được sửa đổi hai lần. Bản sửa đổi đầu tiên được ban hành vào năm 2015 với những thay đổi có hiệu lực vào năm 2017 và Bản sửa đổi mới nhất được giới thiệu vào tháng 6.2020 và dự kiến có hiệu lực muộn nhất vào tháng 6.2022, sẽ đưa ra những quy định siết chặt hơn nhằm tăng cường bảo vệ thông tin cá nhân cũng như đòi hỏi trách nhiệm cao hơn của các chủ doanh nghiệp sử dụng thông tin.
Quyền của chủ thể dữ liệu
Những sửa đổi của dự thảo luật mới đã mở rộng quyền của chủ thể dữ liệu. So với luật hiện hành, chủ thể dữ liệu được trao nhiều quyền hơn nhằm đối phó với nguy cơ bị vi phạm dữ liệu nghiêm trọng. Tuy nhiên, các chuyên gia vẫn chỉ ra một số một số trường hợp ngoại lệ có thể trở thành lỗ hổng khi áp dụng. Chẳng hạn, một yêu cầu có thể bị từ chối nếu nó dẫn đến chi phí lớn hoặc nếu một tổ chức có thể cung cấp các phương tiện thay thế để bảo vệ lợi ích của chủ thể dữ liệu.
Thời gian lưu giữ dữ liệu
Các tổ chức cần lưu ý rằng, dữ liệu ngắn hạn theo dự luật mới sẽ phải tuân theo các yêu cầu truy cập từ các chủ thể dữ liệu. Theo luật hiện hành, bất kỳ dữ liệu nào sẽ bị xóa sau 6 tháng không được coi là “dữ liệu cá nhân được lưu giữ”, do đó không phải tuân theo yêu cầu của chủ thể dữ liệu. Dự luật sửa đổi đã bỏ quy tắc này và các chủ thể dữ liệu có thể thực hiện các quyền của mình bất kể khoảng thời gian lưu giữ.
Nguồn: ITN
Báo cáo vi phạm bắt buộc
Trong khi theo luật hiện hành, các tổ chức chỉ được khuyến khích báo cáo vi phạm cho Ủy ban Thông tin Cá nhân (PPC), và điều này không bắt buộc. Tuy nhiên, theo dự luật sửa đổi, nghĩa vụ báo cáo vi phạm cho PCC và cho các chủ thể dữ liệu của các tổ chức, doanh nghiệp mang tính bắt buộc nếu quyền và lợi ích của các chủ thể bị vi phạm.
Gia tăng hình phạt
Các sửa đổi năm 2020 mang lại một số thay đổi đáng kể đối với các hình phạt. Chẳng hạn mức hình phạt tiền lớn nhất theo quy định hiện hành là 500.000 yen (khoảng 4.600 euro), giờ đây đã được tăng lên 100 triệu yen (khoảng 800.000 euro).
Chuyển dữ liệu qua biên giới
Dự luật mới đưa ra những yêu cầu khắt khe hơn đối với việc chuyển dữ liệu xuyên biên giới. Cụ thể, chủ thể dữ liệu cần được thông báo chi tiết hơn về việc thông tin của họ đang đi đến đâu, đang được xử lý như thế nào và quan trọng nhất là cách nó được bảo vệ. Các tổ chức và doanh nghiệp sử dụng dữ liệu cá nhân cần biết về các biện pháp bảo vệ và bảo mật có liên quan, và phải có được sự đồng ý từ các chủ thể dữ liệu liên quan đến bất kỳ thay đổi nào trong chính sách bảo mật.
