Mis on APPI?

APPI on Jaapani peamine andmekaitseseadus, mida jõustab Isikuandmete Kaitse Komisjon (PPC). See kehtib igale ettevõttele, mis töötleb Jaapanis asuvate isikute isikuandmeid, olenemata ettevõtte asukohast.

2022. aasta muudatused tutvustasid mõistet "isiklikult viidatav teave" - andmed, mis iseenesest ei ole isikuandmed, kuid võivad teiste andmetega kombineerides isikuid tuvastada. See kategooria hõlmab paljusid küpsiste tüüpe ja jälgimisidentifikaatoreid.

Kuidas APPI küpsiseid käsitleb

Algse APPI alusel ei olnud küpsised sõnaselgelt reguleeritud, kuna neid ei peetud "isikuandmeteks", välja arvatud juhul, kui need võisid otse isikut tuvastada. 2022. aasta muudatused muutsid seda olukorda märkimisväärselt.

Küpsised on nüüd kontrolli all, kui neid jagatakse kolmandate osapooltega, kes suudavad need isikuandmetega siduda. Täpsemalt, kui edastate küpsiste andmeid kolmandale osapoolele (nagu reklaamivõrk või analüütika pakkuja), kes suudab need tuvastatavatele isikutele vastavusse viia, peate enne seda ülekannet hankima kasutaja nõusoleku.

See tähendab, et kuigi APPI ei nõua üldist küpsiste nõusolekut nagu GDPR, on nõusolek kohustuslik kolmanda osapoole küpsiste jagamisel paljudes levinud reklaami- ja analüütika stsenaariumites.

Peamised kohustused veebisaitide operaatoritele

• Andmete edastamine kolmandatele osapooltele: Hankige eelnev nõusolek enne küpsiste andmete jagamist kolmandate osapooltega, kes suudavad need isikuandmetega siduda.
• Privaatsuspoliitika avalikustamine: Avalikustage selgelt, milliseid küpsiseid kasutate, nende eesmärgid ja millised kolmandad osapooled andmeid saavad.
• Piiriülesed ülekanded: Kui küpsiste andmed saadetakse Jaapanist väljaspool asuvatesse serveritesse, teavitage kasutajaid sihtriigi andmekaitsestandartidest või hankige sõnaselge nõusolek.
• Andmete rikkumise teavitamine: Teavitage isikuandmeid (sealhulgas küpsistega seotud andmeid) hõlmavatest rikkumistest PPC-d ettenähtud tähtaja jooksul.
• Isikute õigused: Vastake kasutajate päringutele oma isikuandmete avalikustamiseks, parandamiseks või kustutamiseks, sealhulgas küpsistest tuletatud andmed.

APPI vs GDPR: peamised erinevused

Kuigi mõlemad seadused on suunatud isikuandmete kaitsele, erinevad nad ulatuse ja lähenemise poolest:

• Nõusoleku ulatus: GDPR nõuab nõusolekut peaaegu kõigi mitteoluliste küpsiste jaoks. APPI keskendub nõusoleku nõuetele kolmanda osapoole andmete jagamisel, mitte küpsiste paigutamisel endal.
• Õiguslikud alused: GDPR pakub kuut õiguslikku alust töötlemiseks. APPI tugineb peamiselt nõusolekule ja õigustatud ärieesmärgile, vähemate formaalsete kategooriatega.
• Karistused: GDPR-i trahvid võivad ulatuda 4%-ni ülemaailmsest tulust. APPI karistused olid ajalooliselt madalamad, kuid 2022. aasta muudatused tõstsid maksimaalsed trahvid ettevõtetele ¥100 million (ligikaudu $700,000) tasemele.
• Ekstraterritoriaalne ulatus: Mõlemad seadused kehtivad välismaiste ettevõtete kohta, mis töötlevad riigisiseste elanike andmeid, kuid jõustamismehhanismid erinevad oluliselt.

APPI-ga ühilduva küpsiste nõusoleku rakendamine

APPI-le vastavuse tagamiseks hea kasutajakogemust säilitades järgige neid samme:

1. Auditeerige oma küpsised: Tuvastage, millised küpsised koguvad andmeid, mida jagatakse kolmandate osapooltega, eriti reklaamivõrkude ja analüütikaplatvormidega.
2. Klassifitseerige riski järgi: Eraldage küpsised, mis jäävad esimese osapoole omadeks, neist, mis on seotud kolmanda osapoole andmete ülekannetega. Ainult viimased nõuavad APPI alusel sõnaselget nõusolekut.
3. Paigaldage nõusolekubänner: Kasutage CMP-d, mis toetab APPI-spetsiifilisi nõusoleku voogusid. Bänner peaks selgelt selgitama kolmanda osapoole andmete jagamist jaapani keeles.
4. Austage kasutajate valikuid: Blokeerige kolmanda osapoole küpsiste skriptid, kuni nõusolek on antud. Esimese osapoole funktsionaalsed küpsised võivad APPI alusel laadida ilma nõusolekuta.
5. Dokumenteerige kõik: Säilitage nõusoleku kogumise kirjeid, oma küpsiste inventuuri ja kolmanda osapoole andmetöötluse lepinguid.

Piiriülesed andmeülekanded APPI alusel

APPI-l on konkreetsed reeglid isikuandmete edastamiseks Jaapanist välja. Kui teie küpsiste andmed voolavad teiste riikide serveritesse - tavaline globaalsete analüütika- ja reklaamiplatvormide puhul - peate kas:

• Hankima isiku sõnaselge nõusoleku piiriüleseks ülekandeks.
• Kinnitama, et vastuvõtva riigi andmekaitsestandartid on PPC poolt tunnustatud Jaapani omadega samaväärseks.
• Tagama, et vastuvõttev organisatsioon on rakendanud APPI standarditele vastavad andmekaitsemeetmed lepinguliste või muude vahenditega.

PPC tunnustab praegu EL-i ja Ühendkuningriiki piisava andmekaitsega piirkondadena. Muude jurisdiktsioonide puhul vajate tavaliselt kasutaja nõusolekut või lepingulisi tagatisi.

Parimad tavad Jaapani turu vastavuse tagamiseks

• Lokaliseerige oma nõusoleku kasutajaliides: Esitage küpsiste nõusoleku teave jaapani keeles. Masintõlgitud bännerid võivad tekitada vastavuslünki, kui õigusterminid on ebatäpsed.
• Kombineerige APPI GDPR-iga: Kui teenindate nii Jaapani kui ka Euroopa kasutajaid, konfigureerige oma CMP rakendama GDPR-i reegleid EL-is ja APPI reegleid Jaapanis. Ühtne nõusoleku kiht vähendab arenduskoormust.
• Jälgige PPC juhiseid: PPC avaldab regulaarselt uuendatud juhiseid ja küsimuste-vastuste dokumente. Olge kursis jõustamistrendide ja uute tõlgendustega.
• Planeerige muudatusi: Jaapan vaatab APPI üle kolmeaastase tsükliga. Järgmine ülevaatus on oodata 2025-2026. aastaks, mis võib potentsiaalselt tuua rangemad küpsiste regulatsioonid.

Kokkuvõte

APPI ei pruugi nõuda nõusolekut iga küpsise jaoks, kuid selle reeglid kolmanda osapoole andmete jagamise ja piiriüleste ülekannete kohta loovad reaalseid kohustusi igale veebisaidile, mis kasutab reklaami- või analüütikaküpsiseid Jaapani külastajatega. Hästi konfigureeritud CMP, mis eristab esimese ja kolmanda osapoole küpsiseid - ning esitab selged, lokaliseeritud nõusoleku valikud - on kõige praktilisem tee vastavuseni.