MONOLITH LAW OFFICE+81-3-6262-3248Všední dny 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Co je zákon o ochraně osobních údajů a osobní údaje? Vysvětluje právník

General Corporate

Co je zákon o ochraně osobních údajů a osobní údaje? Vysvětluje právník

Zákon o ochraně osobních údajů, který byl revidován v roce 2015 (a vstoupil v platnost od roku 2017), je důležitým právním předpisem při zvažování problémů s osobními údaji v podnikatelské činnosti a jasně vymezuje právní povinnosti subjektů zpracovávajících osobní údaje. Do roku 2015 (roku 27 éry Heisei) byli subjekty zpracovávající osobní údaje omezeny na ty, které měly více než 5000 osobních údajů, takže existovalo mnoho firem, které nebyly subjekty zpracovávající osobní údaje, jako jsou malé podniky. Avšak po revizi v roce 2015 tato podmínka zmizela, takže téměř všechny firmy se staly subjekty zpracovávající osobní údaje, což se stalo nevyhnutelným zákonem i pro majitele malých podniků. Pro potřeby jako je internetový obchod, e-mailové zpravodaje, vydávání přímé pošty nebo karty s body pro fyzické obchody, je nutné zpracovávat osobní údaje zákazníků, jako jsou jména a e-mailové adresy, takže je důležité mít základní znalosti o zákoně o ochraně osobních údajů.

Účel a definice zákona o ochraně osobních údajů (Japonský zákon o ochraně osobních údajů)

Vysvětlíme obecný přehled a definice zákona o ochraně osobních údajů.

Jaký je konkrétně zákon o ochraně osobních údajů? Podívejme se na jeho přehled. Nejprve článek 1 jasně uvádí účel tohoto zákona.

Článek 1 zákona o ochraně osobních údajů
Tento zákon má za cíl chránit práva a zájmy jednotlivců, zatímco bere v úvahu užitečnost osobních údajů, stanovuje základní principy a vládní politiku týkající se správného zacházení s osobními údaji a jasně definuje povinnosti státu a místních veřejných subjektů, stejně jako povinnosti podnikatelů, kteří zpracovávají osobní údaje, s cílem přispět k vytváření nových průmyslových odvětví a dynamické ekonomiky a bohatého života občanů prostřednictvím správného a efektivního využití osobních údajů v důsledku výrazného rozšíření využití osobních údajů v důsledku pokroku v informační a komunikační společnosti.

To je uvedeno.

Článek 2 definuje osobní informace, osobní data a držená osobní data (odstavce 1, 4 a 5 článku 2).
“Osobní informace” podle zákona o ochraně osobních údajů jsou “informace o existujících jednotlivcích”, které “mohou identifikovat konkrétní jednotlivce” “podle jména, data narození a dalších popisů obsažených v těchto informacích (včetně těch, které mohou být identifikovány porovnáním s jinými informacemi). “Osobní data” jsou databázové informace o jednotlivcích vytvořené počítačem, a z nichž ty, které podnikatel drží déle než šest měsíců, jsou “držená osobní data”.

Potřeba ochrany osobních údajů se výrazně liší v závislosti na tom, zda jsou databázovány. Osobní data jsou databázové a systematicky strukturované osobní informace, které lze snadno vyhledávat atd., a protože je pravděpodobnost porušení práv vyšší, je jim poskytnuta silnější ochrana než obecným osobním informacím.

Ještě silnější ochrana je poskytnuta drženým osobním datům, která jsou osobní data, na která má subjekt zpracování osobních údajů právo na zveřejnění, opravu, přidání nebo odstranění obsahu, zastavení použití, vymazání a zastavení poskytování třetím stranám (odstavec 7 článku 2), a pro držená osobní data je uznána žádost o zveřejnění, opravu, zastavení použití atd., s ohledem na požadavek, aby subjekt mohl řádně zapojit své informace (bude popsáno níže).

Pravidla pro zacházení s osobními údaji

Aby se zabránilo nesprávnému využití osobních údajů, je nutné stanovit pravidla pro jejich správné zacházení. Musíme jasně specifikovat účel, pro který budou osobní údaje využity, a omezit jejich zpracování pouze na rozsah nezbytný pro dosažení tohoto účelu.

Proto, subjekty zpracovávající osobní údaje musí:

  • Při zpracování osobních údajů co nejvíce specifikovat účel jejich využití (článek 15 odstavec 1)
  • Nezpracovávat osobní údaje nad rámec nezbytný pro dosažení stanoveného účelu (článek 16 odstavec 1)
  • Nezískávat osobní údaje podvodem nebo jinými nekalými prostředky (článek 17 odstavec 1)
  • Pokud byly osobní údaje získány, musí být účel jejich využití oznámen nebo zveřejněn (článek 18)

Toto jsou požadavky zákona o ochraně osobních údajů. Vyžaduje, aby podniky využívaly osobní údaje, které mají k dispozici, v souladu s předem specifikovaným a zveřejněným účelem. Jinými slovy, je nutné “specifikovat a zveřejnit účel, pro který mohou být osobní údaje využity”. Například, není nezákonné “využívat osobní údaje pro zobrazování reklam odpovídajících profilu uživatele”, ale je nutné předem zveřejnit tento účel. Způsob zveřejnění není specificky stanoven, ale obvykle se to děje formou “Zásad ochrany soukromí” nebo “Politiky ochrany osobních údajů”.

Na druhou stranu, takzvané citlivé informace, neboli osobní údaje vyžadující zvláštní zřetel, jsou chráněny přísnějšími pravidly než běžné osobní údaje. Zásadně je zakázáno je získávat bez souhlasu dotčené osoby (článek 17 odstavec 2).

Osobní údaje vyžadující zvláštní zřetel jsou definovány jako:

Článek 2 odstavec 3
V tomto zákoně se pod “osobními údaji vyžadujícími zvláštní zřetel” rozumí informace, které obsahují údaje o rase, víře, sociálním postavení, zdravotní anamnéze, trestní minulosti, skutečnosti, že osoba byla poškozena trestným činem, a další údaje, jejichž zpracování vyžaduje zvláštní zřetel, aby nedošlo k nespravedlivé diskriminaci, předsudkům nebo jiným nevýhodám pro dotčenou osobu, jak je stanoveno vládním nařízením.

Toto zahrnuje také výsledky zdravotních prohlídek, lékařské rady, léčbu, lékovou terapii, skutečnost, že bylo zahájeno trestní řízení, nebo že bylo zahájeno řízení týkající se ochrany mládeže.

Striktní regulace, která zakazuje “získávání” osobních údajů vyžadujících zvláštní zřetel bez souhlasu dotčené osoby, pokud neexistuje konkrétní výjimka, je zavedena proto, že se předpokládá, že tyto informace mohou vést k diskriminaci nebo předsudkům, pokud jsou získány a zpracovány i v případech, kdy se nepředpokládá, že by bylo jejich získání nezbytné.

Pravidla pro správu a dohled


Je stanoveno, že je nutné provádět nezbytný a vhodný dohled nad zaměstnanci, aby bylo zajištěno bezpečné řízení osobních údajů.

Mnoho lidí se obává a cítí se nepohodlně, když dojde k úniku nebo pozměnění osobních údajů. Zvláště u databázových osobních údajů, kde dochází k mnoha situacím, které vedou k sociálním problémům, jako je hromadný únik informací o zákaznících. Proto jsou subjekty zpracovávající osobní údaje povinny přijmout nezbytná a vhodná opatření (bezpečnostní opatření) pro bezpečné řízení osobních údajů (článek 20).

Porušení povinnosti bezpečné správy

Ve skutečnosti, v případech, kdy došlo k úniku nebo odtoku osobních údajů na internetu atd., je často uznáváno porušení povinnosti bezpečné správy, a obsah bezpečnostních opatření, který bere v úvahu charakteristiky malých a středních podniků, je jasně uveden v “Pokynu k zákonu o ochraně osobních údajů (obecná část)” (Komise pro ochranu osobních údajů), takže je důležité dodržovat tento pokyn, nejen pro dodržování článku 20 zákona o ochraně osobních údajů, ale také pro předcházení situacím, kdy je zodpovědnost za nezákonné jednání založená na porušení soukromí způsobené únikem informací na internetu atd.

Avšak, bez ohledu na to, jak dobře jsou systémy a zařízení nastaveny, jejich správné provozování je nakonec svěřeno lidem, takže “subjekty zpracovávající osobní údaje jsou povinny provádět nezbytný a vhodný dohled nad svými zaměstnanci, aby bylo zajištěno bezpečné řízení osobních údajů, když je svěřují se zpracováním osobních údajů” (článek 21).

https://monolith.law/corporate/trends-in-personal-information-leakage-and-loss-accidents-in-2019[ja]

Je třeba poznamenat, že prodej nebo odnášení zákaznických dat zaměstnancem může vést nejen k tomu, že zaměstnanec sám nese odpovědnost za nezákonné jednání (článek 709 občanského zákoníku), ale také k tomu, že subjekt zpracovávající osobní údaje může nést odpovědnost za uživatele (článek 715 občanského zákoníku), takže je třeba být opatrný.

“Poskytování třetím stranám” a “pověření”

Zákon o ochraně osobních údajů zakazuje poskytování osobních údajů zákazníků “třetím stranám”, i když je to pro účely, které byly předem oznámeny, pokud neexistuje souhlas. Avšak, pokud tento pravidlo dále rozvíjíme, “umístění databáze s informacemi o zákaznících na pronajatém serveru by také bylo nezákonné”. To proto, že pronajatý server je pro podnikatele “třetí strana”.

Avšak, “poskytování třetím stranám” je výjimečně povoleno v případě “pověření”, a je povoleno, pokud je “pověření” poskytnuto osobě, která informace nevyužívá. Například, pronajatý server pouze uchovává informace a nevyužívá je. Takové pověření třetí strany k zpracování osobních údajů je často prováděno, ale aby se předešlo situacím, kdy pověřená strana zpracovává informace nevhodně, nebo když se odpovědnost stává nejasnou v důsledku opakovaného hierarchického pověření, “subjekty zpracovávající osobní údaje jsou povinny provádět nezbytný a vhodný dohled nad osobou, které bylo pověření přijato, aby bylo zajištěno bezpečné řízení osobních údajů, které byly pověřeny k zpracování” (článek 22).

Zajištění správného zacházení s osobními údaji prostřednictvím zapojení subjektu údajů


Zákon o ochraně osobních údajů je jedním z nejdůležitějších právních předpisů, které je třeba zvážit při řešení otázek týkajících se osobních údajů a soukromí.

Zákon o ochraně osobních údajů (japonský Zákon o ochraně osobních údajů) umožňuje subjektu údajů, za určitých podmínek, požadovat od správce osobních údajů zveřejnění (článek 28), opravu, doplnění nebo vymazání (článek 29) a zastavení použití (článek 30) jeho osobních údajů. Je jasně stanoveno, že tato zapojení subjektu údajů jsou práva na náhradu škody v občanském právu, a pokud správce osobních údajů na tuto žádost nereaguje, může subjekt údajů uplatnit svá práva prostřednictvím soudního řízení.

Pokud subjekt údajů požaduje, správce osobních údajů musí zveřejnit jeho osobní údaje, pokud jsou tyto údaje nesprávné, musí je opravit, a pokud je zacházení s údaji v rozporu s právními povinnostmi, jako je použití mimo stanovený účel, nevhodné získávání údajů nebo poskytování údajů třetím stranám bez souhlasu subjektu údajů, musí zastavit použití těchto údajů. Jak již bylo uvedeno, Zákon o ochraně osobních údajů je zákonem, který se snaží chránit práva občanů tím, že ukládá různé povinnosti správcům osobních údajů.

Tresty za únik osobních údajů

Ve “japonském zákoně o ochraně osobních údajů” jsou stanoveny tresty pro případ, kdy podnikatel neopatrně umožní únik osobních údajů.

Pokud podnikatel poruší “japonský zákon o ochraně osobních údajů” a dojde k úniku informací, nejprve dostane od státu “doporučení k přijetí nezbytných opatření k nápravě porušení a zastavení nelegálního jednání” (článek 42). Pokud dojde k porušení tohoto doporučení, zaměstnanec, který porušení spáchal, může být potrestán “vězením na dobu nejvýše šesti měsíců nebo pokutou do výše 300 000 jenů” (článek 84), a také společnost, která tohoto zaměstnance zaměstnává, může být potrestána “pokutou do výše 300 000 jenů” (článek 85). Pokud byly informace poskytnuty nebo ukradeny za účelem získání neoprávněného zisku, může být uložen trest “vězení na dobu nejvýše jednoho roku nebo pokuta do výše 500 000 jenů” (článek 83), a to i bez předchozího doporučení.

https://monolith.law/corporate/risk-of-company-personal-information-leak-compensation-for-damages[ja]

Shrnutí

Zákon o ochraně osobních údajů (Japonský zákon o ochraně osobních údajů) je zákon, který požaduje od subjektů zpracovávajících osobní údaje, aby tyto údaje správně zpracovávali a přijímali nezbytná a vhodná opatření pro jejich bezpečné řízení. Tento zákon je nezbytný a důležitý pro téměř všechny podniky.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Zpět na začátek