Čo je APPI?

APPI je hlavný japonský zákon o ochrane údajov, presadzovaný Komisiou na ochranu osobných údajov (PPC). Vzťahuje sa na každý podnik, ktorý spracováva osobné údaje osôb v Japonsku, bez ohľadu na to, kde sa podnik nachádza.

Novela z roku 2022 zaviedla koncept „“ — údajov, ktoré samy osebe nie sú osobnými údajmi, ale môžu identifikovať jednotlivcov v kombinácii s inými údajmi. Táto kategória zachytáva mnohé typy cookies a sledovacích identifikátorov.

Ako APPI zaobchádza s cookies

Podľa pôvodného APPI cookies neboli výslovne regulované, pretože neboli považované za „“, pokiaľ nemohli priamo identifikovať jednotlivca. Novela z roku 2022 tento stav výrazne zmenila.

Cookies teraz podliehajú kontrole, keď sú zdieľané s tretími stranami, ktoré ich môžu prepojiť s osobnými údajmi. Konkrétne, ak odovzdávate údaje z cookies tretej strane (ako je reklamná sieť alebo poskytovateľ analytiky), ktorá ich môže priradiť k identifikovateľným osobám, musíte pred týmto prenosom získať súhlas používateľa.

To znamená, že hoci APPI nevyžaduje plošný súhlas s cookies ako GDPR, súhlas je povinný pri zdieľaní cookies s tretími stranami v mnohých bežných reklamných a analytických scenároch.

Kľúčové povinnosti prevádzkovateľov webových stránok

• Poskytovanie údajov tretím stranám: Získajte opt-in súhlas pred zdieľaním údajov z cookies s tretími stranami, ktoré ich môžu prepojiť s osobnými údajmi.
• Zverejnenie zásad ochrany osobných údajov: Jasne zverejnite, aké cookies používate, ich účely a ktoré tretie strany údaje prijímajú.
• Cezhraničné prenosy: Ak sú údaje z cookies odosielané na servery mimo Japonska, informujte používateľov o štandardoch ochrany údajov cieľovej krajiny alebo získajte výslovný súhlas.
• Oznámenie o porušení údajov: Nahláste porušenia týkajúce sa osobných údajov (vrátane údajov prepojených s cookies) komisii PPC v stanovenom časovom rámci.
• Práva jednotlivcov: Reagujte na žiadosti používateľov o sprístupnenie, opravu alebo vymazanie ich osobných údajov vrátane údajov odvodených z cookies.

APPI vs. GDPR: kľúčové rozdiely

Hoci oba zákony majú za cieľ chrániť osobné údaje, líšia sa rozsahom a prístupom:

• Rozsah súhlasu: GDPR vyžaduje súhlas pre takmer všetky nepodstatné cookies. APPI zameriava požiadavky na súhlas na zdieľanie údajov s tretími stranami namiesto samotného umiestnenia cookies.
• Právne základy: GDPR ponúka šesť právnych základov spracovávania. APPI sa opiera predovšetkým o súhlas a oprávnený obchodný účel s menej formálnymi kategóriami.
• Sankcie: Pokuty GDPR môžu dosiahnuť 4 % globálnych príjmov. Sankcie APPI boli historicky nižšie, ale novela z roku 2022 zvýšila maximálne pokuty na ¥100 million (približne $700,000) pre korporácie.
• Extrateritoriálny dosah: Oba zákony sa vzťahujú na zahraničné podniky spracovávajúce údaje domácich rezidentov, ale mechanizmy presadzovania sa výrazne líšia.

Implementácia súhlasu s cookies v súlade s APPI

Na dosiahnutie súladu s APPI pri zachovaní dobrého používateľského zážitku postupujte podľa týchto krokov:

1. Vykonajte audit cookies: Identifikujte, ktoré cookies zhromažďujú údaje zdieľané s tretími stranami, najmä reklamnými sieťami a analytickými platformami.
2. Klasifikujte podľa rizika: Oddeľte cookies, ktoré zostávajú prvostranové, od tých, ktoré sú zapojené do prenosov údajov tretím stranám. Len tie druhé vyžadujú výslovný súhlas APPI.
3. Nasaďte banner súhlasu: Použite CMP, ktorá podporuje toky súhlasu špecifické pre APPI. Banner by mal jasne vysvetliť zdieľanie údajov s tretími stranami v japončine.
4. Rešpektujte voľby používateľov: Blokujte skripty cookies tretích strán, kým nie je udelený súhlas. Funkčné prvostranové cookies sa môžu načítať bez súhlasu podľa APPI.
5. Dokumentujte všetko: Udržiavajte záznamy o zhromažďovaní súhlasu, inventár cookies a dohody o spracovaní údajov s tretími stranami.

Cezhraničné prenosy údajov podľa APPI

APPI má špecifické pravidlá pre prenos osobných údajov mimo Japonska. Ak vaše údaje z cookies smerujú na servery v iných krajinách — čo je bežné pri globálnych analytických a reklamných platformách — musíte buď:

• Získať výslovný súhlas jednotlivca s cezhraničným prenosom.
• Potvrdiť, že prijímajúca krajina má štandardy ochrany údajov uznané komisiou PPC ako rovnocenné s japonskými.
• Zabezpečiť, aby prijímajúca organizácia implementovala opatrenia na ochranu údajov spĺňajúce štandardy APPI prostredníctvom zmluvných alebo iných prostriedkov.

PPC v súčasnosti uznáva EÚ a Spojené kráľovstvo ako krajiny s primeranou ochranou údajov. Pre ostatné jurisdikcie budete zvyčajne potrebovať súhlas používateľa alebo zmluvné záruky.

Osvedčené postupy pre súlad na japonskom trhu

• Lokalizujte rozhranie súhlasu: Prezentujte informácie o súhlase s cookies v japončine. Strojovo preložené bannery môžu vytvoriť medzery v súlade, ak sú právne termíny nepresné.
• Kombinujte APPI s GDPR: Ak obsluhujete japonských aj európskych používateľov, nakonfigurujte CMP na uplatňovanie pravidiel GDPR v EÚ a pravidiel APPI v Japonsku. Jednotná vrstva súhlasu znižuje náklady na vývoj.
• Monitorujte usmernenia PPC: PPC pravidelne zverejňuje aktualizované usmernenia a dokumenty otázok a odpovedí. Sledujte trendy v presadzovaní a nové interpretácie.
• Plánujte zmeny: Japonsko reviduje APPI v trojročnom cykle. Ďalšia revízia sa očakáva do roku 2025–2026, potenciálne so zavedením prísnejších pravidiel pre cookies.

Záver

APPI možno nevyžaduje súhlas pre každý cookie, ale jeho pravidlá o zdieľaní údajov s tretími stranami a cezhraničných prenosoch vytvárajú skutočné povinnosti pre akúkoľvek webovú stránku používajúcu reklamné alebo analytické cookies s japonskými návštevníkmi. Dobre nakonfigurovaná CMP, ktorá rozlišuje medzi prvostranými a treťostranými cookies — a ktorá prezentuje jasné, lokalizované možnosti súhlasu — je najpraktickejšou cestou k súladu.