जापान एपीपीआई: व्यक्तिगत सूचना सुरक्षा अनुपालन

व्यक्तिगत जानकारी के संरक्षण पर जापान का अधिनियम (एपीपीआई - 個人情報の保護に関する法律) एशिया के सबसे व्यापक डेटा सुरक्षा ढांचे में से एक है। 2022 में महत्वपूर्ण रूप से संशोधित (1 अप्रैल, 2022 से प्रभावी) और अनिवार्य तीन-वर्षीय समीक्षा चक्र के अधीन, एपीपीआई ने विशिष्ट जापानी नियामक दृष्टिकोण को बनाए रखते हुए उत्तरोत्तर वैश्विक डेटा सुरक्षा मानकों के साथ अभिसरण किया है।

2022 के संशोधनों में विलोपन का अनुरोध करने का अधिकार, अनिवार्य सीमा पार हस्तांतरण सूचना प्रकटीकरण, छद्म नाम से संसाधित सूचना नियम, और कॉर्पोरेट उल्लंघनों के लिए ¥100 मिलियन ($660,000 USD) तक के जुर्माने के साथ प्रवर्तन को बढ़ाया गया। जापान का व्यक्तिगत सूचना संरक्षण आयोग (पीपीसी) तेजी से सक्रिय हो गया है, मार्गदर्शन जारी कर रहा है, जांच कर रहा है और प्रमुख घरेलू और विदेशी व्यवसायों के खिलाफ प्रवर्तन कार्रवाई कर रहा है।

मुख्य बातें

• एपीपीआई जापान में व्यक्तिगत जानकारी संभालने वाले व्यवसाय ऑपरेटरों पर लागू होता है; एक्स्ट्राटेरिटोरियल एप्लिकेशन जापान में व्यक्तियों का डेटा एकत्र करने वाले विदेशी ऑपरेटरों को कवर करता है
• व्यक्तिगत जानकारी प्रबंधन नियमों में संग्रह, उपयोग, तृतीय-पक्ष प्रावधान और सुरक्षा प्रबंधन शामिल हैं
• विशेष देखभाल की आवश्यकता वाली व्यक्तिगत जानकारी (संवेदनशील डेटा) को संग्रह के लिए स्पष्ट पूर्व सहमति की आवश्यकता होती है
• सीमा पार स्थानांतरण प्रतिबंधित हैं - समकक्ष सुरक्षा वाले देशों में तीसरे पक्ष को या स्पष्ट व्यक्तिगत सहमति और सूचना प्रकटीकरण के साथ अनुमति दी गई है
• नए 2022 प्रावधान: हटाने/निलंबन का अनुरोध करने का अधिकार, ऑप्ट-आउट द्वारा तीसरे पक्ष के प्रावधान के लिए अनिवार्य ऑप्ट-आउट अधिसूचना, छद्म नाम प्रसंस्करण नियम
• पीपीसी के पास व्यापक जांच शक्तियां हैं और वह व्यवसाय निलंबन आदेश जारी कर सकती है
• जापान और ईयू के बीच पारस्परिक पर्याप्तता निर्णय हैं - एपीपीआई-अनुपालक संस्थाएं सुव्यवस्थित नियमों के तहत ईयू से/में स्थानांतरित हो सकती हैं
• एपीपीआई की हर तीन साल में अनिवार्य समीक्षा होती है - अगला समीक्षा चक्र वैश्विक मानकों के अनुरूप होगा

---

एपीपीआई ढांचा और दायरा

प्रादेशिक अनुप्रयोग

एपीपीआई इस पर लागू होता है:

• जापान में व्यवसाय संचालक व्यक्तिगत जानकारी संभालते हैं
• विदेशी ऑपरेटर सामान या सेवाएं प्रदान करने के संबंध में जापान में व्यक्तियों की व्यक्तिगत जानकारी संभालते हैं (अनुच्छेद 180 - 2022 के संशोधन में अतिरिक्त क्षेत्रीय आवेदन जोड़ा गया)

बाह्यक्षेत्रीय अनुप्रयोग महत्वपूर्ण है: जापानी उपयोगकर्ताओं वाली विदेशी कंपनियां अब जापानी कानूनी इकाई के बिना सीधे एपीपीआई के अधीन हैं। पीपीसी विदेशी ऑपरेटरों को आदेश जारी कर सकती है और विदेशी अधिकारियों को जानकारी प्रदान कर सकती है।

"व्यक्तिगत सूचना प्रबंधन व्यवसाय संचालक" कौन है?

कोई भी व्यक्ति जो व्यावसायिक उद्देश्यों के लिए व्यक्तिगत जानकारी के डेटाबेस का उपयोग करता है। पहले, 5,000 से कम व्यक्तियों का डेटा संभालने वाले ऑपरेटरों को छूट थी - 2015 के संशोधन ने इस छोटे-ऑपरेटर की छूट को समाप्त कर दिया। व्यावसायिक उद्देश्यों के लिए व्यक्तिगत सूचना डेटाबेस का उपयोग करने वाले सभी व्यवसाय अब इसमें शामिल हैं।

मुख्य श्रेणियाँ:

• व्यक्तिगत जानकारी (個人情報): किसी जीवित व्यक्ति के बारे में जानकारी जो उन्हें नाम, जन्म तिथि या अन्य विवरण से पहचान सकती है; विशिष्ट पहचानकर्ता शामिल हैं (मेरा नंबर, पासपोर्ट नंबर, ड्राइवर का लाइसेंस नंबर, बायोमेट्रिक डेटा)
• व्यक्तिगत डेटा (個人データ): व्यक्तिगत जानकारी जिसमें एक डेटाबेस शामिल है
• संधारित व्यक्तिगत डेटा (保有個人データ): व्यक्तिगत डेटा जिस पर ऑपरेटर के पास खुलासा करने, सही करने, जोड़ने, हटाने, उपयोग बंद करने, समाप्त करने या तीसरे पक्ष के प्रावधान को रोकने का अधिकार है

---

कोर एपीपीआई दायित्व

उपयोग के उद्देश्यों की विशिष्टता

अनुच्छेद 17 में व्यवसाय संचालकों को व्यक्तिगत जानकारी के उपयोग के उद्देश्यों को यथासंभव विशेष रूप से निर्दिष्ट करने की आवश्यकता है। व्यक्तिगत जानकारी एकत्रित करते समय, उद्देश्य यह होना चाहिए:

• सार्वजनिक रूप से पहले से खुलासा (गोपनीयता नीति पर)
• या संग्रहण के समय व्यक्ति को स्पष्ट रूप से बताया गया हो
• या यदि सीधे व्यक्ति से लिखित रूप में एकत्र किया गया हो, तो फॉर्म में स्पष्ट रूप से बताया गया हो

उद्देश्य सीमा: व्यक्तिगत जानकारी का उपयोग व्यक्ति की सहमति के बिना निर्दिष्ट उद्देश्यों से परे नहीं किया जाना चाहिए।

संग्रहण प्रतिबंध

व्यक्तिगत जानकारी निष्पक्ष और उचित माध्यम से एकत्र की जानी चाहिए। विशिष्ट प्रतिबंध:

• धोखे या अन्य अनुचित तरीकों से व्यक्तिगत जानकारी हासिल नहीं की जा सकती
• सीधे लिखित संग्रह के लिए, फॉर्म पर उपयोग का उद्देश्य स्पष्ट रूप से बताएं
• निर्दिष्ट उद्देश्य के भीतर उपयोग करें; उद्देश्य परिवर्तन के लिए अधिसूचना या सहमति की आवश्यकता होती है

विशेष देखभाल की आवश्यकता वाली व्यक्तिगत जानकारी (要配慮個人情報): संग्रहण के लिए पूर्व स्पष्ट सहमति की आवश्यकता होती है। इसमें शामिल हैं:

• दौड़
• पंथ (धर्म या धार्मिक विश्वास)
• सामाजिक स्थिति (औपचारिक पारिवारिक रजिस्ट्री भेद जो भेदभाव का कारण बन सकते हैं)
• चिकित्सा इतिहास
• आपराधिक रिकॉर्ड
• अपराध के शिकार के रूप में स्थिति
• शारीरिक या मानसिक विकलांगता
• विकार और चोट चिकित्सा संबंधी जानकारी
• आनुवंशिक रोगों के लिए परीक्षा परिणाम

सुरक्षा प्रबंधन उपाय

अनुच्छेद 23 में व्यवसाय संचालकों को रिसाव, हानि या क्षति को रोकने के लिए व्यक्तिगत डेटा के सुरक्षित प्रबंधन के लिए आवश्यक और उचित उपाय करने की आवश्यकता है। पीपीसी दिशानिर्देश उपायों की चार श्रेणियां निर्दिष्ट करते हैं:

1. संगठनात्मक उपाय: बुनियादी नीतियां स्थापित करना; प्रबंधन प्रणालियों का आयोजन; प्रबंधन की स्थिति को समझना; रिसाव का जवाब
2. कार्मिक उपाय: कर्मचारियों को प्रशिक्षण देना; गोपनीयता समझौतों को क्रियान्वित करना
3. भौतिक उपाय: व्यक्तिगत डेटा प्रबंधन क्षेत्रों में प्रवेश/निकास का प्रबंधन करना; उपकरणों का प्रबंधन; चोरी/नुकसान को रोकना
4. तकनीकी उपाय: अभिगम नियंत्रण; पहुँच प्रमाणीकरण; एंटी-वायरस उपाय; सूचना प्रणाली की निगरानी

तृतीय-पक्ष प्रावधान पर प्रतिबंध

अनुच्छेद 27 व्यक्ति की पूर्व सहमति के बिना तीसरे पक्ष को व्यक्तिगत डेटा के प्रावधान को प्रतिबंधित करता है। अपवाद:

• कानून द्वारा आवश्यक
• जहां सहमति प्राप्त नहीं की जा सकती, वहां मानव जीवन, शरीर या संपत्ति की सुरक्षा
• जहां सहमति प्राप्त नहीं की जा सकती, वहां सार्वजनिक स्वास्थ्य में सुधार करना
• राष्ट्रीय या स्थानीय सरकारी संस्थाओं के साथ सहयोग करना
• ऑप्ट-आउट आधार: यदि ऑपरेटर पीपीसी को सूचित करता है और व्यक्तियों को ऑप्ट-आउट करने का अवसर देता है (महत्वपूर्ण प्रकटीकरण आवश्यकताओं के साथ) तो सहमति के बिना तीसरे पक्ष के प्रावधान की अनुमति है।

विदेशी संस्थाओं के लिए तीसरे पक्ष का प्रावधान: अतिरिक्त आवश्यकताओं के अधीन (सीमा पार स्थानांतरण अनुभाग देखें)।

---

व्यक्तिगत अधिकार

2022 के संशोधनों ने व्यक्तिगत अधिकारों का काफी विस्तार किया:

शिकायत प्रबंधन: व्यवसाय संचालकों को व्यक्तिगत जानकारी प्रबंधन के बारे में शिकायतों को उचित रूप से और तुरंत निपटाने का प्रयास करना चाहिए। पीपीसी द्वारा प्रमाणित तृतीय-पक्ष विवाद समाधान निकाय वैकल्पिक समाधान प्रदान कर सकते हैं।

प्रतिक्रिया आवश्यकताएँ: एपीपीआई एक विशिष्ट कैलेंडर दिन प्रतिक्रिया अवधि निर्धारित नहीं करता है (जीडीपीआर के 30 दिनों के विपरीत)। ऑपरेटरों को "बिना देरी के" जवाब देना होगा - पीपीसी दिशानिर्देशों से संकेत मिलता है कि जटिल अनुरोधों के लिए प्रतिक्रियाएं आम तौर पर अधिकतम 2-3 महीने के भीतर होनी चाहिए।

---

सीमा पार डेटा स्थानांतरण

अनुच्छेद 28 व्यक्तिगत डेटा के विदेशी प्रावधान को प्रतिबंधित करता है। विदेशी प्राप्तकर्ताओं के लिए तृतीय-पक्ष प्रावधान के लिए इनमें से एक की आवश्यकता होती है:

1. व्यक्तिगत सहमति: विदेशी गंतव्य और प्रणाली के बारे में विशिष्ट जानकारी प्रदान करने के बाद, व्यक्ति से पूर्व सहमति
2. समकक्ष सुरक्षा वाला देश: पीपीसी कैबिनेट आदेश द्वारा तुलनीय सुरक्षा स्तर वाले देश में स्थानांतरण (वर्तमान में: जापान-ईयू पर्याप्तता व्यवस्था के तहत ईयू/ईईए देश)
3. समकक्ष सुरक्षा वाला ऑपरेटर: विदेशी प्राप्तकर्ता ने समतुल्य डेटा सुरक्षा उपाय लागू किए हैं (अनुबंध, बाध्यकारी कॉर्पोरेट नियमों या अन्य माध्यमों के माध्यम से प्रलेखित)

सहमति के लिए आवश्यक जानकारी प्रकटीकरण: सहमति-आधारित हस्तांतरण के लिए, ऑपरेटर को व्यक्ति को पहले से ही जानकारी प्रदान करनी होगी:

• विदेश का नाम
• उस देश में व्यक्तिगत सूचना सुरक्षा प्रणाली
• व्यक्तिगत जानकारी को संभालने के लिए तीसरे पक्ष द्वारा किए गए उपाय

पीपीसी देश सूचना पृष्ठ अन्य देशों में सुरक्षा प्रणालियों पर संदर्भ जानकारी प्रदान करता है।

जापान-ईयू पर्याप्तता: जापान और यूरोपीय संघ के बीच पारस्परिक पर्याप्तता व्यवस्था है - जापान के पास यूरोपीय संघ आयोग से पर्याप्तता निर्णय है, और जापान यूरोपीय संघ के सदस्य देशों को समकक्ष सुरक्षा के रूप में मान्यता देता है। यह Japan↔EU डेटा प्रवाह को काफी सरल बनाता है।

विदेशी स्थानांतरण के लिए छद्म नाम से प्रसंस्करण: पीपीसी अधिसूचना और व्यक्तिगत ऑप्ट-आउट अवसर के अधीन, छद्म नाम से संसाधित जानकारी ऑप्ट-आउट आधार पर (सहमति की आवश्यकता के बजाय) विदेशी तृतीय पक्षों को प्रदान की जा सकती है।

---

छद्म नाम प्रसंस्करण जानकारी (仮名加工情報)

2021 के संशोधनों ने छद्मनाम प्रसंस्करण जानकारी (仮名加工情報) पेश की - व्यक्तिगत डेटा और गुमनाम रूप से संसाधित जानकारी के बीच एक नई श्रेणी। आवश्यकताएँ:

निर्माण: पहचान संबंधी जानकारी (नाम, जन्मतिथि, पता) को विशिष्ट कोड या अन्य उपायों से बदलकर व्यक्तिगत जानकारी संसाधित करें, जिससे अन्य जानकारी के बिना व्यक्ति की पहचान करना असंभव हो जाता है।

उपयोग: छद्म नाम से संसाधित जानकारी का उपयोग व्यक्तिगत सहमति के बिना आंतरिक विश्लेषण और अनुसंधान उद्देश्यों के लिए किया जा सकता है - गोपनीयता जोखिम को कम करते हुए डेटा विश्लेषण को सक्षम करना।

प्रतिबंध:

• तीसरे पक्ष को प्रदान नहीं किया जा सकता (विशिष्ट शर्तों के तहत सौंपे गए ऑपरेटरों और कॉर्पोरेट समूहों को छोड़कर)
• व्यक्तियों की पहचान करने के लिए अन्य जानकारी के साथ क्रॉस-रेफ़रेंस नहीं किया जा सकता
• व्यक्तियों से संपर्क करने के लिए उपयोग नहीं किया जा सकता

सुरक्षा: व्यक्तिगत डेटा की तरह ही सुरक्षित रूप से प्रबंधित किया जाना चाहिए।

---

गुमनाम रूप से संसाधित जानकारी (匿名加工情報)

वास्तव में अज्ञात डेटा जिसे अन्य जानकारी के साथ भी दोबारा पहचाना नहीं जा सकता है। आवश्यकताएँ:

• पीपीसी-निर्दिष्ट गुमनामीकरण मानकों का पालन करें (अपरिवर्तनीय प्रतिवर्ती प्रसंस्करण जिसमें शामिल हैं: नाम/पता प्रतिस्थापन, बारीक डेटा का सामान्यीकरण, आउटलेर्स का दमन, लिंकेज जानकारी को हटाना)
• बनाई गई अज्ञात जानकारी की श्रेणियां प्रकाशित करें
• श्रेणियों के प्रकाशन के साथ तीसरे पक्ष को प्रदान किया जा सकता है
• प्राप्तकर्ता जानकारी को दोबारा पहचानने का प्रयास नहीं कर सकते

---

उल्लंघन अधिसूचना (2022 संशोधन)

2022 के संशोधनों ने उल्लंघन अधिसूचना को अनिवार्य बना दिया (पहले दृढ़ता से अनुशंसित)। आवश्यकताएं:

पीपीसी को अधिसूचना (अनुच्छेद 26): यह तब आवश्यक होता है जब कोई रिसाव, हानि, या क्षति होती है जिससे व्यक्तिगत अधिकारों और हितों को नुकसान पहुंचने की संभावना होती है, जिसमें शामिल हैं:

• विशेष देखभाल की आवश्यकता वाली व्यक्तिगत जानकारी का रिसाव
• रिसाव से अवैध उपयोग के माध्यम से संपत्ति को नुकसान होने की संभावना है (वित्तीय/खाता जानकारी)
• अनुचित उद्देश्य (दुर्भावनापूर्ण अंदरूनी सूत्र) के कारण रिसाव
• रिसाव से 1,000 या अधिक व्यक्ति प्रभावित हो रहे हैं

समयरेखा:

• प्रारंभिक रिपोर्ट: जागरूक होने के 3-5 व्यावसायिक दिनों के भीतर
• पूरी रिपोर्ट: 30 दिनों के भीतर (दुर्भावनापूर्ण अंदरूनी उल्लंघनों के लिए 60 दिन)

व्यक्तिगत अधिसूचना: समान योग्यता वाले आयोजनों के लिए आवश्यक - व्यक्तियों को बिना किसी देरी के सूचित किया जाना चाहिए।

अधिसूचना सामग्री (पीपीसी और व्यक्तियों के लिए): -घटना का अवलोकन

• प्रभावित डेटा विषयों और व्यक्तिगत डेटा के प्रकार और संख्या
• कारण और परिस्थितियाँ
• क्या द्वितीयक क्षति का जोखिम है
• उपाय किए गए और योजना बनाई गई

---

पीपीसी प्रवर्तन और दंड

व्यक्तिगत सूचना संरक्षण आयोग (पीपीसी) (個人情報保護委員会) जापान का स्वतंत्र डेटा संरक्षण प्राधिकरण है। 2016 में स्थापित, पीपीसी के पास व्यापक पर्यवेक्षी शक्तियां हैं।

प्रशासनिक शक्तियाँ:

• व्यवसाय संचालकों से रिपोर्ट/जांच अनुरोध (अनुच्छेद 146)
• स्थलीय निरीक्षण
• मार्गदर्शन एवं सलाह (अनुच्छेद 147)
• सिफ़ारिशें (अनुच्छेद 148)
• आदेश (अनुच्छेद 148(2)) - व्यापार संचालकों को अनुपालन करना होगा
• गैर-अनुपालन का प्रकाशन (अनुच्छेद 148(3))

जुर्माना:

• पीपीसी आदेश का उल्लंघन: ¥100 मिलियन तक कॉर्पोरेट जुर्माना + व्यक्तियों के लिए ¥1 मिलियन
• पीपीसी जांच के जवाब में रिपोर्ट करने में विफलता/झूठी रिपोर्ट: ¥500,000 तक
• तृतीय-पक्ष डेटाबेस का अवैध प्रावधान: व्यक्तियों के लिए ¥1 मिलियन + ¥300,000 तक + 1 वर्ष तक कारावास (आपराधिक)
• अवैध लाभ के लिए व्यक्तिगत जानकारी का दुरुपयोग: आपराधिक दंड 1 वर्ष तक कारावास

पीपीसी तेजी से सक्रिय रही है - हाल की कार्रवाइयों में प्रमुख जापानी कंपनियों की जांच, विदेशी व्यापार ऑपरेटर दायित्वों पर मार्गदर्शन और विदेशी डीपीए के साथ सहयोग शामिल है।

---

एपीपीआई अनुपालन चेकलिस्ट

• एपीपीआई प्रयोज्यता की पुष्टि की गई (जापानी परिचालन या जापानी उपयोगकर्ताओं के साथ विदेशी ऑपरेटर)
• उपयोग के सभी उद्देश्यों को निर्दिष्ट करते हुए गोपनीयता नीति प्रकाशित की गई
• प्रत्येक संग्रहण बिंदु पर संग्रहण उद्देश्य स्पष्ट रूप से निर्दिष्ट किया गया है
• विशेष देखभाल की आवश्यकता वाली व्यक्तिगत जानकारी की पहचान की गई - पूर्व स्पष्ट सहमति प्राप्त की गई
• सुरक्षा प्रबंधन उपाय लागू (संगठनात्मक, कार्मिक, भौतिक, तकनीकी)
• तृतीय-पक्ष प्रावधान मूल्यांकन: प्रत्येक साझाकरण के लिए सहमति या अपवाद का दस्तावेजीकरण
• यदि तीसरे पक्ष के प्रावधान के लिए ऑप्ट-आउट आधार का उपयोग किया जाता है तो पीपीसी के पास ऑप्ट-आउट अधिसूचना दायर की जाती है
• सीमा पार स्थानांतरण तंत्र निर्धारित (प्रकटीकरण के साथ सहमति, या समकक्ष सुरक्षा)
• तीसरे पक्ष के प्रावधान के रिकॉर्ड बनाए रखे गए (प्रकटीकरण अनुरोधों के लिए)
• व्यक्तिगत अधिकार प्रतिक्रिया प्रक्रियाएँ प्रलेखित (प्रकटीकरण, सुधार, निलंबन, मिटाना)
• शिकायत निवारण तंत्र स्थापित
• उल्लंघन अधिसूचना प्रक्रिया प्रलेखित (प्रारंभिक 3-5 दिन, पूरे 30 दिन)
• यदि उपयोग किया जाता है तो छद्मनाम/गुमनाम प्रसंस्करण प्रक्रियाएं स्थापित की जाती हैं
• एपीपीआई दायित्वों पर कर्मचारी प्रशिक्षण पूरा हो गया
• यदि लागू हो तो विदेशी ऑपरेटर पदनाम की पुष्टि की गई (पीपीसी अधिसूचना)

---

अक्सर पूछे जाने वाले प्रश्न

क्या एपीपीआई जापानी उपयोगकर्ताओं वाली मेरी विदेशी कंपनी पर लागू होता है?

हां, 2022 के संशोधन के बाद से। एपीपीआई का अनुच्छेद 180 जापान में सामान या सेवाएं प्रदान करने के संबंध में व्यक्तियों की व्यक्तिगत जानकारी संभालने वाले विदेशी व्यवसायों पर एपीपीआई लागू करता है। इसमें जापानी उपयोगकर्ताओं से डेटा एकत्र करने वाली कोई भी विदेशी वेबसाइट, ऐप या सेवा शामिल है। विदेशी ऑपरेटरों को सभी लागू एपीपीआई प्रावधानों का पालन करना होगा और वे पीपीसी निरीक्षण के अधीन होंगे। पीपीसी विदेशी ऑपरेटरों को आदेश जारी कर सकती है और पारस्परिक सहायता व्यवस्था के तहत जापान के विदेशी समकक्षों के साथ जानकारी साझा कर सकती है।

"विशेष देखभाल की आवश्यकता वाली व्यक्तिगत जानकारी" क्या है और यह क्यों मायने रखती है?

विशेष देखभाल की आवश्यकता वाली व्यक्तिगत जानकारी (要配慮個人情報) एपीपीआई के संवेदनशील डेटा के बराबर है - ऐसी जानकारी जिसके संग्रह से अन्यायपूर्ण भेदभाव या पूर्वाग्रह हो सकता है। इसमें जाति, पंथ, सामाजिक स्थिति, चिकित्सा इतिहास, आपराधिक रिकॉर्ड, विकलांगता स्थिति और अपराध पीड़ित के रूप में स्थिति शामिल है। मुख्य दायित्व: इनमें से किसी भी श्रेणी को एकत्र करने से पहले आपको पूर्व स्पष्ट सहमति प्राप्त करनी होगी, भले ही आपके पास उन्हें एकत्र करने के लिए अन्यथा आधार हो। निहित सहमति, ऑप्ट-आउट आधार और अन्य निम्न सहमति मानक विशेष देखभाल-आवश्यक जानकारी पर लागू नहीं होते हैं।

पारस्परिक पर्याप्तता व्यवस्था के तहत जापान-ईयू डेटा प्रवाह कैसे काम करते हैं?

जापान और यूरोपीय संघ ने 2019 में पारस्परिक पर्याप्तता स्थापित की - एक अद्वितीय द्विपक्षीय व्यवस्था। यूरोपीय आयोग ने जापान के लिए एक पर्याप्तता निर्णय अपनाया, और जापान ने यूरोपीय संघ के व्यक्तिगत डेटा को अपने मौजूदा ढांचे (पूरक नियमों के साथ) में शामिल करने के लिए एपीपीआई में संशोधन किया। इसका मतलब है: ईयू→जापान हस्तांतरण को अतिरिक्त तंत्र के बिना अनुमति दी जाती है (ईसी पर्याप्तता निर्णय के तहत); जापान→ईयू हस्तांतरण की अनुमति है क्योंकि जापान यूरोपीय संघ के देशों को समकक्ष सुरक्षा गंतव्यों के रूप में मानता है। दोनों दिशाओं को अभी भी सभी एपीपीआई दायित्वों (जापान→ईयू के लिए) और सभी ईयू जीडीपीआर दायित्वों (ईयू→जापान के लिए) के अनुपालन की आवश्यकता है। जापान में यूरोपीय संघ के व्यक्तिगत डेटा के लिए पूरक नियमों में जीडीपीआर आवश्यकताओं से मेल खाने वाली अतिरिक्त सुरक्षा शामिल है।

एपीपीआई को तृतीय-पक्ष प्रावधान के लिए किन रिकॉर्डों की आवश्यकता होती है?

एपीपीआई को व्यावसायिक ऑपरेटरों को तीसरे पक्ष को व्यक्तिगत डेटा प्रदान करते समय और तीसरे पक्ष से व्यक्तिगत डेटा प्राप्त करते समय रिकॉर्ड बनाने की आवश्यकता होती है। प्रावधान के रिकॉर्ड में शामिल होना चाहिए: प्रावधान की तारीख, तीसरे पक्ष का नाम और अन्य विवरण, प्रदान किए गए व्यक्तिगत डेटा की श्रेणियां, प्रावधान की परिस्थितियां (कानूनी आधार), और तीसरे पक्ष से प्राप्त होने पर व्यक्ति के बारे में जानकारी। इन रिकॉर्ड्स को एक निर्दिष्ट अवधि के लिए बनाए रखा जाना चाहिए (अधिकांश के लिए निर्माण से 3 वर्ष, ऐसे मामलों के लिए 1 वर्ष जहां रिकॉर्ड अनुरोध पर व्यक्तियों के साथ साझा किए जा सकते हैं)। व्यक्ति इन तृतीय-पक्ष प्रावधान रिकॉर्ड के प्रकटीकरण का अनुरोध कर सकते हैं।

एपीपीआई के तहत डीपीआईए या गोपनीयता प्रभाव मूल्यांकन की आवश्यकता कब होती है?

एपीपीआई विशेष रूप से ईयू जीडीपीआर की तरह डेटा सुरक्षा प्रभाव आकलन (डीपीआईए) को अनिवार्य नहीं करता है। हालाँकि, पीपीसी ने उच्च जोखिम वाली प्रसंस्करण गतिविधियों के लिए स्वैच्छिक पीआईए को प्रोत्साहित करने वाले दिशानिर्देश जारी किए हैं, विशेष रूप से: बड़े पैमाने पर व्यक्तिगत डेटा संग्रह, सीमा पार हस्तांतरण परियोजनाएं, संवेदनशील डेटा के नए उपयोग और प्रोफाइलिंग या स्वचालित निर्णय लेने वाली नई प्रणालियाँ या सेवाएँ। पीआईए का संचालन करना पीपीसी द्वारा सर्वोत्तम अभ्यास माना जाता है और संगठनात्मक जवाबदेही का संकेत देता है। एपीपीआई और जीडीपीआर दोनों के अधीन व्यवसायों के लिए, जीडीपीआर की अनिवार्य डीपीआईए आवश्यकताएं ईयू-संबंधित प्रसंस्करण गतिविधियों पर लागू होंगी।

---

अगले चरण

जापान का एपीपीआई अपने अनिवार्य तीन-वर्षीय समीक्षा चक्र के माध्यम से विकसित होना जारी रखता है - 2025 की समीक्षा से एपीपीआई को अंतरराष्ट्रीय मानकों के साथ संरेखित करने की उम्मीद है। एक ऐसे अनुपालन कार्यक्रम का निर्माण करना जो वर्तमान दायित्वों को पूरा करते हुए चल रहे अद्यतनों के प्रति उत्तरदायी हो, तकनीकी विशेषज्ञता और कानूनी जागरूकता दोनों की आवश्यकता होती है।

ECOSIRE की टीम जापान के बाज़ार में प्रवेश और विस्तार वाले व्यवसायों को APPI-अनुरूप डेटा प्रथाओं, जापानी उपयोगकर्ताओं के लिए गोपनीयता नीतियों और सीमा पार डेटा स्थानांतरण तंत्र को लागू करने में मदद करती है।

आरंभ करें: ECOSIRE सेवाएँ

अस्वीकरण: यह मार्गदर्शिका केवल सूचनात्मक उद्देश्यों के लिए है और इसमें कानूनी सलाह शामिल नहीं है। एपीपीआई नियमित समीक्षा और संशोधन के अधीन है। अपने संगठन के लिए विशिष्ट सलाह के लिए योग्य जापानी कानूनी सलाहकार से परामर्श लें।