Hvað er APPI?

APPI eru aðalgagnaverndarlög Japans, framfylgt af nefndinni um vernd persónuupplýsinga (PPC). Þau gilda um hvaða fyrirtæki sem er sem meðhöndlar persónuupplýsingar einstaklinga í Japan, óháð því hvar fyrirtækið er staðsett.

Breytingarnar 2022 kynntu hugtakið "persónutilvísanlegar upplýsingar" - gögn sem, þó þau séu ekki persónuupplýsingar ein og sér, geta auðkennt einstaklinga þegar þeim er blandað saman við önnur gögn. Þessi flokkur nær yfir margar tegundir vafrakökur og rakningarauðkenna.

Hvernig APPI meðhöndlar vafrakökur

Samkvæmt upprunalegu APPI voru vafrakökur ekki sérstaklega settar reglur vegna þess að þær voru ekki taldar "persónuupplýsingar" nema þær gætu beint auðkennt einstakling. Breytingarnar 2022 breyttu þessu landslagi verulega.

Vafrakökur eru nú skoðaðar þegar þeim er deilt með þriðja aðila sem getur tengt þær við persónuupplýsingar. Nánar tiltekið, ef þú sendir vafrakökugögn til þriðja aðila (eins og auglýsinganets eða greiningarveitanda) sem getur passað þau við auðkennanlega einstaklinga, verður þú að fá samþykki notandans áður en sú sending fer fram.

Þetta þýðir að þó APPI krefjist ekki altækts samþykkis vafrakökur eins og GDPR, er samþykki skylt fyrir deilingu vafrakökur þriðja aðila í mörgum algengum auglýsinga- og greiningaraðstæðum.

Lykilskyldur vefsíðurekenda

• Gagnaveitingar þriðja aðila: Fáðu samþykki áður en þú deilir vafrakökugögnum með þriðja aðila sem getur tengt þau við persónuupplýsingar.
• Upplýsingagjöf persónuverndarstefnu: Upplýstu skýrt hvaða vafrakökur þú notar, tilgang þeirra og hvaða þriðju aðilar fá gögnin.
• Flutningur þvert á landamæri: Ef vafrakökugögn eru send til þjóna utan Japans, upplýstu notendur um gagnaverndarstaðla viðtökulandsins eða fáðu skýrt samþykki.
• Tilkynning um gagnabrot: Tilkynntu brot sem fela í sér persónuupplýsingar (þar á meðal gögn tengd vafrakökum) til PPC innan tilskilins tímaramma.
• Réttindi einstaklinga: Svaraðu beiðnum notenda um að birta, leiðrétta eða eyða persónuupplýsingum þeirra, þar á meðal gögnum sem aflað er úr vafrakökum.

APPI á móti GDPR: Lykilmunur

Þó bæði lögin miði að verndun persónuupplýsinga eru þau ólík í umfangi og nálgun:

• Umfang samþykkis: GDPR krefst samþykkis fyrir nánast allar ónauðsynlegar vafrakökur. APPI einbeitir kröfum um samþykki að deilingu gagna þriðja aðila frekar en sjálfri staðsetningu vafrakökur.
• Lagalegar undirstöður: GDPR býður upp á sex lagalegar undirstöður fyrir vinnslu. APPI byggir aðallega á samþykki og lögmætum viðskiptatilgangi, með færri formlegum flokkum.
• Viðurlög: GDPR sektir geta náð 4% af alþjóðlegum tekjum. APPI viðurlög voru sögulega lægri en breytingarnar 2022 hækkuðu hámarkssektir í ¥100 million (u.þ.b. $700,000) fyrir fyrirtæki.
• Framfylgni þvert á landamæri: Bæði lögin gilda um erlend fyrirtæki sem meðhöndla gögn innlendra íbúa, en framfylgdaaðferðir eru verulega ólíkar.

Innleiðing á APPI-samhæfðu samþykki vafrakökur

Til að uppfylla APPI á meðan þú viðheldur góðri notendaupplifun, fylgdu þessum skrefum:

1. Endurskoðaðu vafrakökurnar þínar: Auðkenndu hvaða vafrakökur safna gögnum sem er deilt með þriðja aðila, sérstaklega auglýsinganetum og greiningarkerfum.
2. Flokkaðu eftir áhættu: Aðskildu vafrakökur sem haldast fyrsta aðila frá þeim sem taka þátt í gagnaflutningum þriðja aðila. Aðeins þær síðarnefndu krefjast skýrs APPI samþykkis.
3. Settu upp samþykkisborða: Notaðu CMP sem styður APPI-sértæk samþykkisflæði. Borðinn ætti skýrt að útskýra deilingu gagna þriðja aðila á japönsku.
4. Virtu val notenda: Lokaðu á skriftur vafrakökur þriðja aðila þar til samþykki er veitt. Vafrakökur fyrsta aðila til virkni geta hlaðist án samþykkis samkvæmt APPI.
5. Skrásettu allt: Haltu skrá yfir söfnun samþykkis, vafrakökuskrá þína og vinnslusamninga þriðja aðila.

Gagnaflutningar þvert á landamæri samkvæmt APPI

APPI hefur sérstakar reglur um flutning persónuupplýsinga út fyrir Japan. Ef vafrakökugögn þín streyma til þjóna í öðrum löndum - algengt með alþjóðlegum greiningar- og auglýsingakerfum - verður þú annað hvort að:

• Fá skýrt samþykki einstaklingsins fyrir flutningnum þvert á landamæri.
• Staðfesta að viðtökulandið hafi gagnaverndarstaðla sem PPC viðurkennir sem jafngildi Japans.
• Tryggja að viðtökustofnunin hafi innleitt gagnaverndarráðstafanir sem uppfylla APPI staðla með samningsbundnum eða öðrum hætti.

PPC viðurkennir nú ESB og Bretland sem hafi fullnægjandi gagnavernd. Fyrir önnur lögsagnarumdæmi þarftu yfirleitt samþykki notenda eða samningsbundnar verndarráðstafanir.

Bestu starfsvenjur fyrir reglufylgni á japönskum markaði

• Staðfærðu samþykkisviðmótið þitt: Birtu upplýsingar um samþykki vafrakökur á japönsku. Vélþýddir borðar geta skapað reglufylgnigalla ef lagaleg hugtök eru ónákvæm.
• Sameinaðu APPI og GDPR: Ef þú þjónar bæði japönskum og evrópskum notendum, stilltu CMP til að beita GDPR reglum í ESB og APPI reglum í Japan. Sameinað samþykkislag dregur úr þróunarkostnaði.
• Fylgstu með leiðbeiningum PPC: PPC gefur reglulega út uppfærðar leiðbeiningar og spurningar-og-svör-skjöl. Vertu uppfærður um framfylgdaþróun og nýjar túlkanir.
• Skipuleggðu fyrir breytingar: Japan endurskoðar APPI á þriggja ára fresti. Næsta endurskoðun er væntanleg 2025-2026, sem gæti leitt til strangari reglna um vafrakökur.

Niðurstaða

APPI krefst ef til vill ekki samþykkis fyrir hverja vafraköku, en reglur þess um deilingu gagna þriðja aðila og flutning þvert á landamæri skapa raunverulegar skyldur fyrir hvaða vefsíðu sem er sem notar auglýsinga- eða greiningarvafrakökur með japönskum gestum. Vel stillt CMP sem greinir á milli fyrsta aðila og þriðja aðila vafrakökur - og sem sýnir skýra, staðfærða samþykkismöguleika - er hagnýtasta leiðin til reglufylgni.