Jaké jsou klíčové body při tvorbě zásad ochrany soukromí s ohledem na japonský 'Zákon o ochraně osobních údajů'?
V poslední době se zvyšuje společenský zájem o ochranu osobních údajů. Můžeme říci, že téměř neexistují podnikatelé, kteří nezpracovávají osobní údaje, a pro mnoho firem a samostatných podnikatelů je zacházení s osobními údaji velmi aktuální problém. U firem, které mají webové stránky, se často setkáváme s tím, že na svých stránkách zveřejňují zásady ochrany soukromí. Zásady ochrany soukromí jsou veřejné prohlášení o zásadách zacházení s osobními údaji podle zákona o ochraně osobních údajů. Pro správné vytvoření zásad ochrany soukromí je nezbytné porozumění zákonu o ochraně osobních údajů. Proto vám vysvětlíme klíčové body, na které je třeba se zaměřit při vytváření zásad ochrany soukromí. Zákon o ochraně osobních údajů byl novelizován v roce 2015 (Gregoriánský kalendář) a novela byla zavedena 30. května 2017. Byla provedena důležitá změna týkající se poskytování osobních údajů třetím stranám, což také vysvětlíme. Podrobnosti o změně zákona o ochraně osobních údajů jsou vysvětleny v následujícím článku.
Co je to zásady ochrany osobních údajů
Většina firemních webových stránek má zveřejněné zásady ochrany osobních údajů. Někdy se mohou nazývat “Politika ochrany osobních údajů”, ale v zásadě se jedná o to samé. Zásady ochrany osobních údajů ukazují základní postoj podniku k zacházení s osobními údaji a zároveň slouží k zobrazení informací, které jsou vyžadovány k zveřejnění podle japonského zákona o ochraně osobních údajů. Proto je nezbytné, aby zásady ochrany osobních údajů pokrývaly alespoň následující body, které jsou vyžadovány k zveřejnění podle tohoto zákona:
- Účel zpracování osobních údajů
- Jméno nebo název subjektu zpracovávajícího osobní údaje
- Postup při vyřizování požadavků na oznámení, zveřejnění, opravu, zastavení použití atd. od dotčené osoby
- Místo podání stížnosti
Kromě toho, v případě specifických operací stanovených zákonem, jako je sdílení osobních údajů v rámci skupiny společností, což se nazývá společné využití, nebo zpracování anonymizovaných informací, které budou vysvětleny později, jsou stanoveny informace, které musí být zveřejněny pro každý případ.
Související článek: Co je japonský zákon o ochraně osobních údajů a osobní údaje? Vysvětluje právník[ja]
Podnikatelé, kteří by měli vytvořit zásady ochrany osobních údajů
Před novelizací zákona, která vstoupila v platnost v roce 2017 (japonský zákon o ochraně osobních údajů), se tento zákon vztahoval pouze na podnikatele, kteří vlastnili více než 5000 záznamů osobních údajů. Z tohoto důvodu nebylo nutné pro některé malé podnikatele nebo podnikatele zaměřené na B2B obchod vytvářet zásady ochrany osobních údajů. Avšak novelizací zákona v roce 2017 se japonský zákon o ochraně osobních údajů začal vztahovat na všechny podnikatele bez ohledu na počet držených záznamů osobních údajů. V důsledku toho se očekává, že všechny podniky budou v zásadě vytvářet zásady ochrany osobních údajů. I když nevytvoříte zásady ochrany osobních údajů, můžete je nahradit tím, že každou dobu, kdy získáváte osobní údaje, oznámíte subjektu údajů účely použití a další záležitosti, které jsou vyžadovány k zveřejnění podle japonského zákona o ochraně osobních údajů. Nicméně, toto je obtížné, takže obvykle budete vytvářet zásady ochrany osobních údajů.
Kontrolní body zásad ochrany osobních údajů
Definice osobních údajů
Článek 〇
Osobní údaje jsou informace týkající se žijící osoby, které umožňují identifikaci konkrétní osoby na základě jména, data narození a dalších údajů obsažených v těchto informacích (včetně informací, které lze snadno porovnat s jinými informacemi a umožňují identifikaci konkrétní osoby).
Definice osobních údajů lze popsat tak, jak je stanoveno v japonském zákoně o ochraně osobních údajů. Typicky se jedná o informace, jako je jméno a datum narození, ale mohou to být také věk, pohlaví, adresa, telefonní číslo, složení rodiny, koníčky, preference, e-mailová adresa, ID, IP adresa a časová značka, pracoviště, příslušnost, adresa pracoviště, telefonní číslo pracoviště, číslo kreditní karty, číslo bankovního účtu, informace o navštívených webových stránkách, stížnosti, konzultace nebo informace o dotazech. Proto může být vhodné předem uvést v definici osobních údajů v zásadách ochrany osobních údajů tyto položky, které je pravděpodobné, že budou získány zejména od našich zákazníků a podobně.
Účel zpracování osobních údajů
Článek 0
1. Naše společnost používá získané osobní údaje pro následující účely. Pokud je na našem webovém místě stanoven jiný účel zpracování osobních údajů, má přednost tento účel.
(1) Abychom mohli odpovědět na dotazy z našeho kontaktního formuláře
(2) Pro poskytování našich webových služeb nebo aplikací a dalších služeb (dále jen “tato služba”) a pro informování o této službě nebo o nových službách, které naše společnost poskytuje
(3) Pro zlepšení této služby a pro vývoj nových služeb
(4) Pro jiné účely související s výše uvedenými body
2. Naše společnost může používat osobní údaje získané od zákazníků pro jiné účely než ty uvedené výše, a to ve formě statistických informací, které neumožňují identifikaci nebo specifikaci jednotlivce.
Účel zpracování
Podle japonského zákona o ochraně osobních údajů (Japanese Personal Information Protection Act) je třeba zveřejnit účel zpracování získaných osobních údajů. První odstavec výše uvedeného článku odpovídá tomuto požadavku. Důležité je, že účel zpracování by neměl být popsán abstraktně nebo obecně, ale měl by být konkrétní, aby jednotlivec mohl pochopit, jak budou jeho osobní údaje použity. Proto se obsah popisu účelu zpracování může lišit v závislosti na subjektu, který vytváří zásady ochrany osobních údajů. Pokud je něco vynecháno, nebude možné osobní údaje použít pro daný účel, takže je důležité pečlivě zvážit, zda nebylo něco vynecháno.
Anonymizované informace
Druhý odstavec výše uvedeného článku se týká anonymizovaných informací. Anonymizované informace jsou informace, které byly zpracovány tak, aby nebylo možné identifikovat jednotlivce, a které nelze obnovit. Jsou to takzvané velké datové soubory. Pokud se zabýváte anonymizovanými informacemi, je třeba zveřejnit položky osobních údajů obsažených v anonymizovaných informacích v zásadách ochrany osobních údajů atd. Druhý odstavec výše uvedeného článku stanovuje, že osobní údaje uvedené v “Definici osobních údajů” budou použity jako anonymizované informace. Pokud poskytujete anonymizované informace třetím stranám, je také třeba zveřejnit způsob poskytování.
Použití osobních údajů mimo účel
Článek X
Naše společnost bude zacházet s získanými osobními údaji v rámci rozsahu nezbytného pro dosažení účelu uvedeného v předchozím článku. Pokud budeme osobní údaje zpracovávat mimo tento účel, učiníme tak pouze se souhlasem dotyčné osoby. Avšak, toto neplatí v následujících případech:
(1) Pokud to vyžaduje zákon
(2) Pokud je to nezbytné pro ochranu života, těla nebo majetku osoby a je obtížné získat souhlas dotyčné osoby
(3) Pokud je to zvláště nezbytné pro zlepšení veřejného zdraví nebo podporu zdravého vývoje dětí a je obtížné získat souhlas dotyčné osoby
(4) Pokud je nezbytné spolupracovat s orgány státu nebo místními veřejnými organizacemi nebo osobami, které jim byly pověřeny, při plnění úkolů stanovených zákonem, a pokud by získání souhlasu dotyčné osoby mohlo ohrozit plnění těchto úkolů
Osobní údaje nelze v zásadě používat mimo stanovený účel. Avšak, v zákoně o ochraně osobních údajů jsou povoleny výjimky pro případy uvedené v bodě (1) až (4) výše.
Bod (2) a (3) se týkají případů, kdy je naléhavě potřeba použít osobní údaje, ale je obtížné rychle získat souhlas dotyčné osoby. Bod (1) a (4) se týkají použití osobních údajů na základě pokynů státu nebo místních veřejných organizací. Příkladem může být trestní vyšetřování. Tato ustanovení o použití mimo účel jsou téměř standardní pro všechny podniky a jejich obsah se obvykle nemění v závislosti na typu podnikání.
Poskytování osobních údajů třetím stranám
Článek X
Naše společnost, jako zásadu, neposkytuje osobní údaje našich klientů třetím stranám bez souhlasu klienta. Výjimečně, poskytneme osobní údaje třetím stranám pouze pokud jsme specifikovali příjemce a obsah poskytnutí a získali souhlas klienta. Avšak, toto neplatí v následujících případech:
(1) Pokud to vyžaduje zákon
(2) Pokud je to nutné pro ochranu života, těla nebo majetku osoby a je obtížné získat souhlas klienta
(3) Pokud je to zvláště nutné pro zlepšení veřejného zdraví nebo podporu zdravého vývoje dětí a je obtížné získat souhlas klienta
(4) Pokud je nutné spolupracovat s vládními institucemi nebo místními veřejnými organizacemi nebo osobami, které jim byly pověřeny, při provádění úkolů stanovených zákonem a získání souhlasu klienta by mohlo narušit plnění těchto úkolů
(5) Pokud je nutné poskytnout osobní údaje subjektu, který má s naší společností uzavřenou smlouvu o mlčenlivosti, pro účely uvedené v účelu použití
Výjimky, kdy je možné poskytnout osobní údaje třetím stranám
Tato klauzule se týká situací, kdy podnikatel poskytuje získané osobní údaje třetím stranám. Podle japonského zákona o ochraně osobních údajů je nutné získat souhlas subjektu údajů při poskytování osobních údajů třetím stranám. Avšak, existují výjimky stanovené v klauzulích (1) až (5), kdy je možné poskytnout osobní údaje třetím stranám bez souhlasu subjektu údajů. Proto, podobně jako u klauzulí týkajících se použití osobních údajů mimo účel, se klauzule týkající se poskytování třetím stranám stávají standardními pro většinu společností. V praxi se nejčastěji využívá klauzule (5), která se týká poskytování osobních údajů subjektům, kterým byly svěřeny úkoly. I když byly úkoly svěřeny, podnikatel, který získal osobní údaje, má povinnost dohlížet na subjekt, kterému byly úkoly svěřeny. Proto je nutné být opatrný, protože pokud dojde k úniku osobních údajů ze strany subjektu, kterému byly úkoly svěřeny, může být odpovědnost vyžadována i od podnikatele, který údaje získal. Proto by měl být výběr subjektu, kterému jsou úkoly svěřeny, a dohled po svěření pečlivě proveden. Podrobněji o úniku osobních údajů ze strany subjektu, kterému byly úkoly svěřeny, v případě úniku osobních údajů společnosti Benesse, se dočtete v následujícím článku.
Související článek: Riziko úniku osobních údajů v podnicích a náhrada škody[ja]
Ztížení opt-outu díky legislativním změnám
Co se týče poskytování osobních údajů třetím stranám, před novelizací zákona, která byla provedena v roce 2017 (Gregoriánský kalendář), bylo možné poskytnout osobní údaje třetím stranám bez předchozího souhlasu subjektu údajů za podmínky, že “na žádost subjektu údajů se zastaví poskytování osobních údajů třetím stranám”. Toto se nazývá opt-out. Avšak, novelizací zákona v roce 2017 se pravidla zpřísnila a nyní je možné poskytnout osobní údaje třetím stranám bez souhlasu subjektu údajů pouze pokud bylo podáno předchozí oznámení Komisi pro ochranu osobních údajů. Možná si myslíte, že stačí podat oznámení Komisi pro ochranu osobních údajů, ale tento systém oznámení je primárně určen pro podnikatele, kteří obchodují s osobními údaji jako takovými, jako jsou například seznamovací agentury, a podnikatelé, kteří podají oznámení, jsou zveřejněni, takže v praxi ještě není mnoho podnikatelů, kteří by podali oznámení. Proto se v praxi stává obtížným poskytnout osobní údaje třetím stranám bez souhlasu subjektu údajů, s výjimkou případů, kdy je to povoleno jako výjimka, jako je například svěření úkolů.
Odhalení, oprava a další záležitosti týkající se osobních údajů
V rámci japonského zákona o ochraně osobních údajů (Zákon o ochraně osobních údajů) je vyžadováno, aby byly zveřejněny postupy pro vyhovění požadavkům na oznámení účelu použití, odhalení, opravu, zastavení použití atd. od subjektu údajů. Proto je třeba, aby byly tyto záležitosti stanoveny při vytváření zásad ochrany osobních údajů. Nicméně, ustanovení týkající se těchto záležitostí se často stávají standardní formulací u mnoha podnikatelů. Jednou z věcí, které by měly být zváženy, je, zda stanovit poplatek za vyřízení v případě vyhovění požadavkům na odhalení atd. od subjektu údajů. Stanovení přiměřeného poplatku za vyřízení může být jedním ze způsobů, jak zabránit zpoždění v práci způsobenému zneužitím požadavků. Je třeba dát pozor na to, že pokud je vyžadován poplatek za vyřízení, je třeba jeho obsah stanovit v rámci zásad ochrany osobních údajů.
Shrnutí
V oblasti ochrany osobních údajů se právní předpisy postupně zpřísňují v reakci na rostoucí společenský zájem. Je samozřejmě nezbytné zajišťovat bezpečné správu informací ve společnosti, aby nedošlo k úniku osobních údajů, ale je také důležité vytvářet zásady ochrany soukromí a interní předpisy v souladu s právními předpisy. Zákon o ochraně osobních údajů (japonský Zákon o ochraně osobních údajů) bude nadále pravidelně revidován každé tři roky. Při každé změně pravidel pro zacházení s osobními údaji může být nutné nejen měnit interní systémy, ale také přehodnotit samotné metody podnikání. V tomto smyslu lze říci, že zákon o ochraně osobních údajů se týká základů podnikání, takže je důležité, aby zejména podnikatelé, kteří zpracovávají mnoho osobních údajů, neustále sledovali trendy v jeho změnách.
Informace o tvorbě a revizi smluv naší kanceláří
V právnické kanceláři Monolis, která se specializuje na IT, internet a obchod, poskytujeme našim klientům a poradenským společnostem širokou škálu služeb, včetně tvorby a revize různých smluv, nejen v oblasti zásad ochrany osobních údajů.
Pokud máte zájem, podívejte se prosím na podrobnosti níže.