Kas ir APPI?

APPI ir Japānas galvenais datu aizsardzības likums, ko īsteno Personas informācijas aizsardzības komisija (PPC). Tas attiecas uz jebkuru uzņēmumu, kas apstrādā Japānā esošu personu personas informāciju, neatkarīgi no uzņēmuma atrašanās vietas.

2022. gada grozījumi ieviesa jēdzienu "personiski saistāma informācija" — dati, kas, lai gan paši par sevi nav personas informācija, var identificēt personas, ja tos apvieno ar citiem datiem. Šī kategorija ietver daudzus sīkdatņu un izsekošanas identifikatoru veidus.

Kā APPI izturas pret sīkdatnēm

Saskaņā ar sākotnējo APPI sīkdatnes nebija tieši regulētas, jo tās netika uzskatītas par "personas informāciju", ja vien tās nevarēja tieši identificēt personu. 2022. gada grozījumi būtiski mainīja šo situāciju.

Sīkdatnes tagad tiek pārbaudītas, kad tās tiek kopīgotas ar trešajām pusēm, kas var tās saistīt ar personas informāciju. Konkrēti, ja jūs nododat sīkdatņu datus trešajai pusei (piemēram, reklāmas tīklam vai analītikas nodrošinātājam), kas var tos sasaistīt ar identificējamām personām, pirms šīs nodošanas jums jāiegūst lietotāja piekrišana.

Tas nozīmē, ka, lai gan APPI neprasa vispārēju sīkdatņu piekrišanu kā GDPR, piekrišana ir obligāta trešo pušu sīkdatņu kopīgošanai daudzos izplatītos reklāmas un analītikas scenārijos.

Galvenās tīmekļa vietņu operatoru saistības

• Datu sniegšana trešajām pusēm: Iegūstiet aktīvu piekrišanu pirms sīkdatņu datu kopīgošanas ar trešajām pusēm, kas var tos saistīt ar personas informāciju.
• Privātuma politikas atklāšana: Skaidri norādiet, kādas sīkdatnes izmantojat, to mērķus un kuras trešās puses saņem datus.
• Pārrobežu nodošana: Ja sīkdatņu dati tiek nosūtīti uz serveriem ārpus Japānas, informējiet lietotājus par galamērķa valsts datu aizsardzības standartiem vai iegūstiet tiešu piekrišanu.
• Paziņošana par datu pārkāpumu: Ziņojiet par pārkāpumiem, kas saistīti ar personas datiem (tostarp ar sīkdatnēm saistītiem datiem), PPC noteiktā termiņā.
• Individuālās tiesības: Atbildiet uz lietotāju pieprasījumiem atklāt, labot vai dzēst viņu personas datus, tostarp no sīkdatnēm iegūtos datus.

APPI pret GDPR: galvenās atšķirības

Lai gan abi likumi ir vērsti uz personas datu aizsardzību, tie atšķiras pēc tvēruma un pieejas:

• Piekrišanas tvērums: GDPR prasa piekrišanu gandrīz visām nebūtiskajām sīkdatnēm. APPI piekrišanas prasības fokusē uz trešo pušu datu kopīgošanu, nevis pašu sīkdatņu izvietošanu.
• Juridiskie pamati: GDPR piedāvā sešus juridiskos pamatus apstrādei. APPI galvenokārt balstās uz piekrišanu un likumīgu uzņēmējdarbības mērķi, ar mazāk formālām kategorijām.
• Sodi: GDPR sodi var sasniegt 4% no globālajiem ieņēmumiem. APPI sodi vēsturiski bija zemāki, taču 2022. gada grozījumi palielināja maksimālos sodus līdz ¥100 million (aptuveni $700,000) korporācijām.
• Eksteritoriālā piemērošana: Abi likumi attiecas uz ārvalstu uzņēmumiem, kas apstrādā vietējo iedzīvotāju datus, taču izpildes mehānismi būtiski atšķiras.

APPI atbilstošas sīkdatņu piekrišanas ieviešana

Lai nodrošinātu atbilstību APPI, vienlaikus saglabājot labu lietotāja pieredzi, izpildiet šos soļus:

1. Pārbaudiet savas sīkdatnes: Identificējiet, kuras sīkdatnes vāc datus, kas tiek kopīgoti ar trešajām pusēm, īpaši reklāmas tīkliem un analītikas platformām.
2. Klasificējiet pēc riska: Atdaliet sīkdatnes, kas paliek pirmās puses, no tām, kas ir iesaistītas trešo pušu datu nodošanā. Tikai pēdējām nepieciešama tieša APPI piekrišana.
3. Izvietojiet piekrišanas banneri: Izmantojiet CMP, kas atbalsta APPI specifiskas piekrišanas plūsmas. Bannerim skaidri jāpaskaidro trešo pušu datu kopīgošana japāņu valodā.
4. Respektējiet lietotāju izvēles: Bloķējiet trešo pušu sīkdatņu skriptus, līdz tiek piešķirta piekrišana. Pirmās puses funkcionālās sīkdatnes var ielādēt bez piekrišanas saskaņā ar APPI.
5. Dokumentējiet visu: Uzturiet piekrišanas vākšanas ierakstus, sīkdatņu uzskaiti un trešo pušu datu apstrādes līgumus.

Pārrobežu datu nodošana saskaņā ar APPI

APPI ir specifiski noteikumi personas datu nodošanai ārpus Japānas. Ja jūsu sīkdatņu dati plūst uz serveriem citās valstīs — kas ir izplatīti ar globālajām analītikas un reklāmas platformām — jums jāveic viena no šīm darbībām:

• Jāiegūst personas tieša piekrišana pārrobežu nodošanai.
• Jāapstiprina, ka saņēmēja valstij ir PPC atzīti datu aizsardzības standarti, kas ir līdzvērtīgi Japānas standartiem.
• Jānodrošina, ka saņēmēja organizācija ir ieviesusi datu aizsardzības pasākumus, kas atbilst APPI standartiem, izmantojot līgumiskus vai citus līdzekļus.

PPC pašlaik atzīst ES un Apvienoto Karalisti kā valstis ar atbilstošu datu aizsardzību. Citām jurisdikcijām parasti būs nepieciešama lietotāja piekrišana vai līgumiski aizsardzības pasākumi.

Labākā prakse Japānas tirgus atbilstībai

• Lokalizējiet piekrišanas saskarni: Sniedziet sīkdatņu piekrišanas informāciju japāņu valodā. Mašīntulkoti banneri var radīt atbilstības nepilnības, ja juridiskie termini ir neprecīzi.
• Apvienojiet APPI ar GDPR: Ja apkalpojat gan Japānas, gan Eiropas lietotājus, konfigurējiet savu CMP, lai piemērotu GDPR noteikumus ES un APPI noteikumus Japānā. Vienots piekrišanas slānis samazina izstrādes izmaksas.
• Sekojiet PPC vadlīnijām: PPC regulāri publicē atjauninātas vadlīnijas un jautājumu-atbilžu dokumentus. Sekojiet līdzi izpildes tendencēm un jaunām interpretācijām.
• Plānojiet grozījumiem: Japāna pārskata APPI trīs gadu ciklā. Nākamā pārskatīšana ir gaidāma 2025.–2026. gadā, potenciāli ieviešot stingrākus sīkdatņu noteikumus.

Secinājums

APPI var neprasīt piekrišanu katrai sīkdatnei, taču tā noteikumi par trešo pušu datu kopīgošanu un pārrobežu nodošanu rada reālas saistības jebkurai tīmekļa vietnei, kas izmanto reklāmas vai analītikas sīkdatnes ar Japānas apmeklētājiem. Labi konfigurēts CMP, kas atšķir pirmās puses un trešo pušu sīkdatnes — un kas piedāvā skaidras, lokalizētas piekrišanas iespējas — ir praktiskākais ceļš uz atbilstību.