Japońska nowelizacja ustawy APPI

Niedawno pisałem o niejednolitości przepisów dotyczących sztucznej inteligencji. Teraz mamy kolejny dobry przykład, tym razem w zakresie ochrony prywatności – chodzi o proponowane przez Japonię zmiany do ustawy APPI.

Link

7 kwietnia 2026 r. japoński rząd zatwierdził projekt nowelizacji ustawy APPI i przedłożył go parlamentowi. Zmiany mają na celu znalezienie równowagi między szerszym wykorzystaniem danych, w tym na potrzeby rozwoju sztucznej inteligencji, a bardziej rygorystycznymi zabezpieczeniami dotyczącymi śledzenia biometrycznego, nadużywania danych oraz danych dotyczących dzieci.

Foto: freepik

Ma to istotne znaczenie dla globalnych programów ochrony prywatności.

Oczywiście dla wielu organizacji RODO pozostaje złotym standardem. To właśnie ono ukształtowało sposób, w jaki firmy podchodzą do kwestii podstawy prawnej, przejrzystości, praw osób, których dane dotyczą, bezpieczeństwa, odpowiedzialności, przekazywania danych oraz zarządzania ochroną prywatności.

Jeśli jednak firma świadczy usługi na skalę globalną, samo RODO nie wystarczy.

Zmiany w ustawie APPI wprowadzają między innymi:

🔹 nowe wyłączenie z obowiązku uzyskania zgody w przypadku niektórych zastosowań statystycznych, w tym niektórych scenariuszy rozwoju sztucznej inteligencji,

🔹 złagodzone wymogi dotyczące zgody, gdy przetwarzanie jest niezbędne do wykonania umowy lub wyraźnie nie narusza praw osób fizycznych,

🔹 surowsze zasady dotyczące określonych danych osobowych o charakterze biometrycznym, zwłaszcza danych związanych z rozpoznawaniem twarzy,

🔹 silniejszą ochronę dzieci poniżej 16 roku życia, w tym powiadomienia i zgody skierowane do rodziców lub opiekunów,

🔹 nowe ograniczenia dotyczące danych osobowych umożliwiających nawiązanie kontaktu, takich jak adresy e-mail, numery telefonów i identyfikatory plików cookie,

🔹 bardziej rygorystyczną weryfikację niektórych transferów danych do stron trzecich,

🔹 rozszerzone uprawnienia egzekucyjne japońskiej Komisji Ochrony Danych Osobowych, w tym kary administracyjne i nadzwyczajne nakazy naprawcze.

Przewidywana data pełnego wejścia w życie to około kwietnia 2028 r., jednak wiele szczegółów będzie nadal zależało od rozporządzeń Rady Ministrów, przepisów PPC oraz wytycznych. Oznacza to, że firmy nie powinny czekać do ostatniej chwili.

Z punktu widzenia zarządzania ochroną prywatności: programy ochrony prywatności muszą w większym stopniu uwzględniać specyfikę poszczególnych jurysdykcji. Globalne mechanizmy kontroli należy dostosować do lokalnych wymogów.

Najlepsze podejście:

stworzyć solidne globalne podstawy, zidentyfikować lokalne odstępstwa, dostosować mechanizmy kontroli oraz gromadzić dowody potwierdzające, że program działa w praktyce.

Autor: Sebastian Burgemejster