Kaj je APPI?

APPI je primarni japonski zakon o varstvu podatkov, ki ga izvaja Komisija za varstvo osebnih podatkov (PPC). Velja za vsako podjetje, ki obdeluje osebne podatke posameznikov na Japonskem, ne glede na to, kje se podjetje nahaja.

Spremembe iz leta 2022 so uvedle koncept tako imenovanih osebno povezljivih informacij — podatkov, ki sami po sebi niso osebni podatki, vendar lahko identificirajo posameznike v kombinaciji z drugimi podatki. Ta kategorija zajema številne vrste piškotkov in identifikatorjev sledenja.

Kako APPI obravnava piškotke

V okviru prvotnega APPI piškotki niso bili izrecno urejeni, ker niso bili obravnavani kot osebni podatki, razen če so lahko neposredno identificirali posameznika. Spremembe iz leta 2022 so to pokrajino bistveno spremenile.

Piškotki so zdaj pod nadzorom, kadar se delijo s tretjimi osebami, ki jih lahko povežejo z osebnimi podatki. Natančneje, če posredujete podatke piškotkov tretji osebi (kot je oglasno omrežje ali ponudnik analitike), ki jih lahko poveže z določljivimi posamezniki, morate pred tem prenosom pridobiti uporabnikovo privolitev.

To pomeni, da čeprav APPI ne zahteva splošne privolitve za piškotke kot GDPR, je privolitev obvezna za deljenje piškotkov s tretjimi osebami v številnih pogostih oglaševalskih in analitičnih scenarijih.

Ključne obveznosti upravljavcev spletnih strani

• Posredovanje podatkov tretjim osebam: Pridobite privolitev opt-in pred deljenjem podatkov piškotkov s tretjimi osebami, ki jih lahko povežejo z osebnimi podatki.
• Razkritje politike zasebnosti: Jasno razkrijte, katere piškotke uporabljate, njihove namene in katere tretje osebe prejemajo podatke.
• Čezmejni prenosi: Če se podatki piškotkov pošiljajo na strežnike zunaj Japonske, obvestite uporabnike o standardih varstva podatkov ciljne države ali pridobite izrecno privolitev.
• Obvestilo o kršitvi podatkov: Prijavite kršitve, ki vključujejo osebne podatke (vključno s podatki, povezanimi s piškotki), komisiji PPC v predpisanem roku.
• Pravice posameznikov: Odgovorite na zahteve uporabnikov za razkritje, popravek ali izbris njihovih osebnih podatkov, vključno s podatki, pridobljenimi iz piškotkov.

APPI proti GDPR: ključne razlike

Čeprav oba zakona želita zaščititi osebne podatke, se razlikujeta v obsegu in pristopu:

• Obseg privolitve: GDPR zahteva privolitev za skoraj vse nebistvene piškotke. APPI usmerja zahteve glede privolitve na deljenje podatkov s tretjimi osebami in ne na samo namestitev piškotkov.
• Pravne podlage: GDPR ponuja šest pravnih podlag za obdelavo. APPI se opira predvsem na privolitev in zakonit poslovni namen z manj formalnimi kategorijami.
• Kazni: Globe GDPR lahko dosežejo 4 % globalnih prihodkov. Kazni APPI so bile zgodovinsko nižje, vendar so spremembe iz leta 2022 zvišale najvišje globe na ¥100 million (približno $700,000) za podjetja.
• Ekstrateritorialni doseg: Oba zakona se nanašata na tuja podjetja, ki obdelujejo podatke domačih prebivalcev, vendar se mehanizmi izvrševanja bistveno razlikujejo.

Implementacija privolitve za piškotke v skladu z APPI

Za skladnost z APPI ob ohranjanju dobre uporabniške izkušnje sledite tem korakom:

1. Preglejte svoje piškotke: Ugotovite, kateri piškotki zbirajo podatke, ki se delijo s tretjimi osebami, zlasti oglasnimi omrežji in analitičnimi platformami.
2. Razvrstite po tveganju: Ločite piškotke, ki ostanejo lastni, od tistih, ki so vključeni v prenose podatkov tretjim osebam. Samo slednji zahtevajo izrecno privolitev APPI.
3. Namestite pasico privolitve: Uporabite CMP, ki podpira tokove privolitve, specifične za APPI. Pasica naj jasno pojasni deljenje podatkov s tretjimi osebami v japonščini.
4. Spoštujte izbire uporabnikov: Blokirajte skripte piškotkov tretjih oseb, dokler ni podeljena privolitev. Funkcionalni lastni piškotki se lahko naložijo brez privolitve v okviru APPI.
5. Dokumentirajte vse: Vzdržujte evidence zbiranja privolitev, inventar piškotkov in sporazume o obdelavi podatkov s tretjimi osebami.

Čezmejni prenosi podatkov v okviru APPI

APPI ima posebna pravila za prenos osebnih podatkov zunaj Japonske. Če vaši podatki piškotkov tečejo na strežnike v drugih državah — kar je pogosto pri globalnih analitičnih in oglasnih platformah — morate bodisi:

• Pridobiti izrecno privolitev posameznika za čezmejni prenos.
• Potrditi, da ima država prejemnica standarde varstva podatkov, ki jih PPC priznava kot enakovredne japonskim.
• Zagotoviti, da je organizacija prejemnica izvedla ukrepe za varstvo podatkov, ki izpolnjujejo standarde APPI, prek pogodbenih ali drugih sredstev.

PPC trenutno priznava EU in Združeno kraljestvo kot državi z ustreznim varstvom podatkov. Za druge jurisdikcije boste običajno potrebovali privolitev uporabnika ali pogodbena jamstva.

Najboljše prakse za skladnost na japonskem trgu

• Lokalizirajte vmesnik privolitve: Predstavite informacije o privolitvi za piškotke v japonščini. Strojno prevedene pasice lahko ustvarijo vrzeli v skladnosti, če so pravni izrazi netočni.
• Združite APPI z GDPR: Če služite tako japonskim kot evropskim uporabnikom, konfigurirajte CMP za uporabo pravil GDPR v EU in pravil APPI na Japonskem. Poenotena plast privolitve zmanjša razvojne stroške.
• Spremljajte smernice PPC: PPC redno objavlja posodobljene smernice in dokumente z vprašanji in odgovori. Ostanite na tekočem s trendi izvrševanja in novimi interpretacijami.
• Načrtujte spremembe: Japonska pregleduje APPI v triletnem ciklu. Naslednji pregled se pričakuje do leta 2025–2026, potencialno z uvedbo strožjih predpisov o piškotkih.

Zaključek

APPI morda ne zahteva privolitve za vsak piškotek, vendar njegova pravila o deljenju podatkov s tretjimi osebami in čezmejnih prenosih ustvarjajo dejanske obveznosti za vsako spletno stran, ki uporablja oglaševalske ali analitične piškotke z japonskimi obiskovalci. Dobro konfiguriran CMP, ki razlikuje med lastnimi in piškotki tretjih oseb — ter ki predstavlja jasne, lokalizirane možnosti privolitve — je najpraktičnejša pot do skladnosti.