Što je APPI?

APPI je primarni japanski zakon o zaštiti podataka, koji provodi Komisija za zaštitu osobnih podataka (PPC). Primjenjuje se na svako poduzeće koje obrađuje osobne podatke pojedinaca u Japanu, bez obzira na to gdje se poduzeće nalazi.

Izmjene iz 2022. uvele su koncept "osobno referentnih informacija" — podataka koji, iako sami po sebi nisu osobni podaci, mogu identificirati pojedince kada se kombiniraju s drugim podacima. Ova kategorija obuhvaća mnoge vrste kolačića i identifikatora praćenja.

Kako APPI tretira kolačiće

Prema izvornom APPI-ju, kolačići nisu bili izričito regulirani jer se nisu smatrali "osobnim podacima" osim ako nisu mogli izravno identificirati pojedinca. Izmjene iz 2022. značajno su promijenile ovo okruženje.

Kolačići sada podliježu provjeri kada se dijele s trećim stranama koje ih mogu povezati s osobnim podacima. Konkretno, ako prosljeđujete podatke kolačića trećoj strani (kao što je oglašivačka mreža ili pružatelj analitike) koja ih može usporediti s identificiranim pojedincima, morate dobiti privolu korisnika prije tog prijenosa.

To znači da iako APPI ne zahtijeva opću privolu za kolačiće poput GDPR-a, privola je obvezna za dijeljenje kolačića s trećim stranama u mnogim uobičajenim scenarijima oglašavanja i analitike.

Ključne obveze za operatere web stranica

• Pružanje podataka trećim stranama: Pribavite unaprijednu privolu prije dijeljenja podataka kolačića s trećim stranama koje ih mogu povezati s osobnim podacima.
• Objava politike privatnosti: Jasno objavite koje kolačiće koristite, njihove svrhe i koje treće strane primaju podatke.
• Prekogranični prijenosi: Ako se podaci kolačića šalju na poslužitelje izvan Japana, obavijestite korisnike o standardima zaštite podataka odredišne zemlje ili pribavite izričitu privolu.
• Obavijest o povredi podataka: Prijavite povrede koje uključuju osobne podatke (uključujući podatke povezane s kolačićima) PPC-u u propisanom roku.
• Prava pojedinca: Odgovorite na zahtjeve korisnika za otkrivanje, ispravak ili brisanje njihovih osobnih podataka, uključujući podatke izvedene iz kolačića.

APPI naspram GDPR-a: Ključne razlike

Iako oba zakona imaju za cilj zaštitu osobnih podataka, razlikuju se u opsegu i pristupu:

• Opseg privole: GDPR zahtijeva privolu za gotovo sve nebitne kolačiće. APPI usmjerava zahtjeve za privolu na dijeljenje podataka s trećim stranama, a ne na samo postavljanje kolačića.
• Pravne osnove: GDPR nudi šest pravnih osnova za obradu. APPI se primarno oslanja na privolu i legitimnu poslovnu svrhu, s manje formalnih kategorija.
• Kazne: Kazne prema GDPR-u mogu doseći 4% globalnog prihoda. Kazne prema APPI-ju bile su povijesno niže, ali izmjene iz 2022. povećale su maksimalne kazne na ¥100 million (otprilike $700,000) za korporacije.
• Ekstrateritorijalni doseg: Oba zakona primjenjuju se na strana poduzeća koja obrađuju podatke domaćih stanovnika, ali mehanizmi provedbe značajno se razlikuju.

Implementacija privole za kolačiće usklađene s APPI-jem

Za usklađenost s APPI-jem uz održavanje dobrog korisničkog iskustva, slijedite ove korake:

1. Revidirajte svoje kolačiće: Identificirajte koji kolačići prikupljaju podatke koji se dijele s trećim stranama, posebno oglašivačkim mrežama i analitičkim platformama.
2. Klasificirajte prema riziku: Odvojite kolačiće koji ostaju vlastiti od onih uključenih u prijenose podataka trećim stranama. Samo potonji zahtijevaju izričitu APPI privolu.
3. Postavite banner za privolu: Koristite CMP koji podržava tokove privole specifične za APPI. Banner treba jasno objasniti dijeljenje podataka s trećim stranama na japanskom jeziku.
4. Poštujte izbore korisnika: Blokirajte skripte kolačića trećih strana dok se ne da privola. Funkcionalni vlastiti kolačići mogu se učitati bez privole prema APPI-ju.
5. Dokumentirajte sve: Vodite evidenciju o prikupljanju privola, svom inventaru kolačića i ugovorima o obradi podataka s trećim stranama.

Prekogranični prijenosi podataka prema APPI-ju

APPI ima specifična pravila za prijenos osobnih podataka izvan Japana. Ako vaši podaci kolačića teku na poslužitelje u drugim zemljama — što je uobičajeno s globalnim analitičkim i oglašivačkim platformama — morate ili:

• Pribaviti izričitu privolu pojedinca za prekogranični prijenos.
• Potvrditi da zemlja primateljica ima standarde zaštite podataka koje PPC priznaje kao ekvivalentne japanskim.
• Osigurati da je organizacija primateljica implementirala mjere zaštite podataka koje zadovoljavaju standarde APPI-ja putem ugovora ili drugih sredstava.

PPC trenutno priznaje EU i UK kao jurisdikcije s odgovarajućom zaštitom podataka. Za ostale jurisdikcije, obično ćete trebati privolu korisnika ili ugovorne zaštitne mjere.

Najbolje prakse za usklađenost na japanskom tržištu

• Lokalizirajte svoje sučelje za privolu: Predstavite informacije o privoli za kolačiće na japanskom jeziku. Strojno prevedeni banneri mogu stvoriti praznine u usklađenosti ako su pravni termini netočni.
• Kombinirajte APPI s GDPR-om: Ako opslužujete i japanske i europske korisnike, konfigurirajte svoj CMP za primjenu GDPR pravila u EU-u i APPI pravila u Japanu. Objedinjeni sloj privole smanjuje razvojne troškove.
• Pratite smjernice PPC-a: PPC redovito objavljuje ažurirane smjernice i dokumente s pitanjima i odgovorima. Budite u toku s trendovima provedbe i novim tumačenjima.
• Planirajte izmjene: Japan revidira APPI u trogodišnjem ciklusu. Sljedeća revizija očekuje se do 2025.–2026., potencijalno uvodeći strože propise o kolačićima.

Zaključak

APPI možda ne zahtijeva privolu za svaki kolačić, ali njegova pravila o dijeljenju podataka s trećim stranama i prekograničnim prijenosima stvaraju stvarne obveze za svaku web stranicu koja koristi oglašivačke ili analitičke kolačiće s japanskim posjetiteljima. Dobro konfigurirani CMP koji razlikuje vlastite kolačiće od kolačića trećih strana — i koji predstavlja jasne, lokalizirane opcije privole — najpraktičniji je put do usklađenosti.