Was sind die Schlüsselpunkte bei der Erstellung einer Datenschutzrichtlinie unter Berücksichtigung des japanischen 'Personenbezogenen Datenschutzgesetzes'?
In jüngster Zeit wächst das gesellschaftliche Interesse am Schutz persönlicher Daten. Es ist fair zu sagen, dass es kaum Unternehmen gibt, die keine persönlichen Daten verarbeiten, und für viele Unternehmen und Einzelunternehmer ist der Umgang mit persönlichen Daten ein sehr präsentes Problem. Es wird angenommen, dass viele Unternehmen, die eine Website besitzen, eine Datenschutzrichtlinie auf ihrer Website veröffentlichen. Eine Datenschutzrichtlinie ist eine Veröffentlichung der Richtlinien für den Umgang mit persönlichen Daten durch das betreffende Unternehmen gemäß dem japanischen Gesetz zum Schutz persönlicher Daten. Um eine Datenschutzrichtlinie angemessen zu formulieren, ist ein Verständnis des japanischen Gesetzes zum Schutz persönlicher Daten unerlässlich. Daher werden wir die Checkpunkte bei der Erstellung einer Datenschutzrichtlinie erläutern. Es sei darauf hingewiesen, dass das japanische Gesetz zum Schutz persönlicher Daten im Jahr 2015 (Gregorianischer Kalender) geändert wurde und die geänderte Gesetzgebung am 30. Mai 2017 in Kraft getreten ist. Insbesondere gab es wichtige Änderungen in Bezug auf die Weitergabe persönlicher Daten an Dritte, und wir werden auch diesen Punkt erklären. Details zur Änderung des japanischen Gesetzes zum Schutz persönlicher Daten finden Sie im folgenden Artikel.
Was ist eine Datenschutzrichtlinie?
Auf den Webseiten der meisten Unternehmen finden Sie eine Datenschutzrichtlinie. Sie kann auch unter dem Namen “Datenschutzpolitik” bekannt sein, aber im Grunde handelt es sich oft um dasselbe. Eine Datenschutzrichtlinie zeigt die grundsätzliche Haltung des Unternehmens zum Umgang mit personenbezogenen Daten und dient gleichzeitig dazu, die in der japanischen Datenschutzgesetzgebung (Personenbezogene Datenschutzgesetz) geforderten Veröffentlichungen anzuzeigen. Daher ist es zumindest notwendig, die folgenden in der Datenschutzgesetzgebung geforderten Punkte abzudecken:
- Zweck der Verwendung personenbezogener Daten
- Name oder Bezeichnung des Verantwortlichen für die Verarbeitung personenbezogener Daten
- Verfahren zur Beantwortung von Anfragen zur Benachrichtigung, Offenlegung, Berichtigung, Einstellung der Nutzung usw. durch die betroffene Person
- Anlaufstelle für Beschwerden
Darüber hinaus gibt es in Fällen, in denen personenbezogene Daten innerhalb einer Unternehmensgruppe gemeinsam genutzt werden, was als gemeinsame Nutzung bezeichnet wird, oder in Fällen, in denen anonymisierte Informationen verarbeitet werden, wie wir später erklären werden, gesetzlich festgelegte Anforderungen für jede dieser spezifischen Operationen.
Verwandter Artikel: Was sind das japanische Datenschutzgesetz und personenbezogene Daten? Ein Anwalt erklärt[ja]
Unternehmen, die eine Datenschutzrichtlinie erstellen sollten
Vor der Gesetzesänderung im Jahr 2017 (Heisei 29) war das japanische Gesetz zum Schutz personenbezogener Daten nur auf Unternehmen anwendbar, die mehr als 5000 personenbezogene Datensätze besaßen. Daher gab es eine beträchtliche Anzahl von Kleinunternehmen und Unternehmen, die hauptsächlich B2B-Geschäfte betreiben, die keine Datenschutzrichtlinie erstellen mussten. Mit der Gesetzesänderung im Jahr 2017 wurde jedoch das japanische Gesetz zum Schutz personenbezogener Daten auf alle Unternehmen angewendet, unabhängig von der Anzahl der gehaltenen personenbezogenen Daten. Als Ergebnis wird erwartet, dass grundsätzlich alle Unternehmen eine Datenschutzrichtlinie erstellen. Es ist zu beachten, dass selbst wenn keine Datenschutzrichtlinie erstellt wurde, es möglich ist, dies durch die Benachrichtigung des Einzelnen über die Zwecke der Verwendung personenbezogener Daten und andere Angelegenheiten, die durch das japanische Gesetz zum Schutz personenbezogener Daten veröffentlicht werden müssen, bei jeder Erhebung personenbezogener Daten zu ersetzen. Allerdings ist dies in der Regel umständlich, daher wird normalerweise eine Datenschutzrichtlinie erstellt.
Kontrollpunkte der Datenschutzrichtlinie
Definition von persönlichen Informationen
Artikel X
Persönliche Informationen sind Informationen über eine lebende Person, die durch den in diesen Informationen enthaltenen Namen, Geburtsdatum und andere Beschreibungen eine bestimmte Person identifizieren können (einschließlich Informationen, die leicht mit anderen Informationen abgeglichen werden können und dadurch eine bestimmte Person identifiziert werden können).
Die Definition von persönlichen Informationen kann wie im japanischen Datenschutzgesetz (Japanisches Datenschutzgesetz) festgelegt beschrieben werden. Typischerweise handelt es sich um Informationen wie Namen und Geburtsdaten, wie im Artikelbeispiel, aber auch Alter, Geschlecht, Adresse, Telefonnummer, Familienstruktur, Hobbys, Vorlieben, E-Mail-Adresse, ID, IP-Adresse und Zeitstempel, Arbeitsplatz, Zugehörigkeit, Arbeitsadresse, Arbeitstelefonnummer, Kreditkartennummer, Bankkontonummer, Informationen über besuchte Webseiten, Beschwerden, Beratungen oder Anfragen können als persönliche Informationen gelten. Daher könnte es sinnvoll sein, insbesondere solche Informationen, die wahrscheinlich von Ihren Kunden usw. erhoben werden, im Voraus in der Definition von persönlichen Informationen in Ihrer Datenschutzrichtlinie aufzuführen.
Zweck der Verwendung persönlicher Informationen
Artikel X
1. Wir verwenden die von uns gesammelten persönlichen Informationen für die folgenden Zwecke. Wenn wir auf unserer Website den Zweck der Verwendung persönlicher Informationen separat festlegen, hat diese Beschreibung Vorrang.
(1) Um auf Anfragen zu antworten, die uns über unser Kontaktformular erreichen
(2) Um unsere Webdienste oder Anwendungen und andere Dienstleistungen (im Folgenden “diese Dienstleistungen” genannt) bereitzustellen und Sie über diese Dienstleistungen oder neue Dienstleistungen, die wir anbieten, zu informieren
(3) Um diese Dienstleistungen zu verbessern und bei der Entwicklung neuer Dienstleistungen zu helfen
(4) Für andere Zwecke, die mit den vorherigen Punkten zusammenhängen
2. Zusätzlich zu den in Absatz 1 genannten Zwecken können wir die von Ihnen bereitgestellten persönlichen Informationen in einer Weise und in einem Umfang verwenden, die es uns nicht ermöglichen, Sie zu identifizieren oder zu spezifizieren, und sie als statistische Informationen für Referenzzwecke sammeln.
Zweck der Verwendung
Das japanische Gesetz zum Schutz persönlicher Informationen verlangt, dass der Zweck der Verwendung gesammelter persönlicher Informationen veröffentlicht wird. Absatz 1 des obigen Artikelbeispiels entspricht diesem Anforderung. Wichtig bei der Festlegung des Verwendungszwecks ist, dass eine abstrakte oder allgemeine Beschreibung nicht ausreicht und dass die betroffene Person in der Lage sein muss zu verstehen, wie ihre persönlichen Informationen verwendet werden. Daher kann der Inhalt der Beschreibung des Verwendungszwecks je nach Unternehmen, das die Datenschutzrichtlinie erstellt, variieren. Beachten Sie auch, dass wenn Informationen fehlen, die persönlichen Informationen nicht für den betreffenden Zweck verwendet werden können. Stellen Sie daher sicher, dass keine Informationen fehlen.
Anonymisierte Informationen
Absatz 2 des Artikelbeispiels bezieht sich auf die Bestimmungen für anonymisierte Informationen. Anonymisierte Informationen sind Informationen, die so verarbeitet wurden, dass die betroffene Person nicht identifiziert werden kann und die nicht wiederhergestellt werden können. Dies ist im Hinblick auf die Nutzung von Big Data gedacht.
Wenn Sie anonymisierte Informationen verarbeiten, müssen Sie die Elemente der persönlichen Informationen, die in den anonymisierten Informationen enthalten sind, in Ihrer Datenschutzrichtlinie oder ähnlichem veröffentlichen. Absatz 2 des Artikelbeispiels legt fest, dass die in der “Definition persönlicher Informationen” aufgeführten persönlichen Informationen als anonymisierte Informationen verwendet werden. Beachten Sie, dass wenn Sie anonymisierte Informationen an Dritte weitergeben, Sie zusätzlich die Methode der Weitergabe veröffentlichen müssen.
Nutzung von persönlichen Informationen außerhalb des vorgesehenen Zwecks
Artikel X
Unser Unternehmen wird die erfassten persönlichen Informationen nur im Rahmen des in der vorherigen Klausel festgelegten Nutzungszwecks behandeln. Sollten persönliche Informationen außerhalb dieses Rahmens genutzt werden, wird dies nur mit vorheriger Zustimmung des Kunden erfolgen. Allerdings gelten folgende Ausnahmen:
(1) Wenn es aufgrund von Gesetzen erforderlich ist
(2) Wenn es zum Schutz des Lebens, des Körpers oder des Eigentums einer Person notwendig ist und es schwierig ist, die Zustimmung des Kunden zu erhalten
(3) Wenn es besonders notwendig ist, um die öffentliche Gesundheit zu verbessern oder die gesunde Entwicklung von Kindern zu fördern und es schwierig ist, die Zustimmung des Kunden zu erhalten
(4) Wenn es notwendig ist, mit nationalen Institutionen oder lokalen öffentlichen Körperschaften oder deren Beauftragten bei der Durchführung von gesetzlich festgelegten Aufgaben zu kooperieren und die Zustimmung des Kunden die Durchführung dieser Aufgaben behindern könnte
Grundsätzlich dürfen persönliche Informationen nicht außerhalb des vorgesehenen Nutzungszwecks verwendet werden. Allerdings erlaubt das japanische Datenschutzgesetz (Japanisches Datenschutzgesetz) die Nutzung außerhalb des vorgesehenen Zwecks in den oben genannten Fällen (1) bis (4). Die Punkte (2) und (3) gelten für Fälle, in denen es schwierig ist, eine schnelle Zustimmung von der betroffenen Person zu erhalten, obwohl die Notwendigkeit zur Nutzung der persönlichen Informationen hoch ist. Die Punkte (1) und (4) beziehen sich auf die Nutzung von persönlichen Informationen aufgrund der Absichten von nationalen oder lokalen öffentlichen Körperschaften, wie zum Beispiel bei Kriminalermittlungen. Diese Klausel zur Nutzung außerhalb des vorgesehenen Zwecks ist bei fast allen Unternehmen standardisiert und ändert sich in der Regel nicht je nach Geschäftstätigkeit.
Weitergabe von persönlichen Informationen an Dritte
Artikel X
Unser Unternehmen gibt grundsätzlich keine persönlichen Informationen unserer Kunden an Dritte weiter, ohne die Zustimmung des Kunden selbst eingeholt zu haben. Ausnahmsweise werden persönliche Informationen an Dritte weitergegeben, wenn der Empfänger und der Inhalt der Weitergabe spezifiziert sind und die Zustimmung des Kunden eingeholt wurde. Dies gilt jedoch nicht in den folgenden Fällen:
(1) Wenn es aufgrund von Gesetzen erforderlich ist
(2) Wenn es zum Schutz des Lebens, des Körpers oder des Eigentums einer Person notwendig ist und es schwierig ist, die Zustimmung des Kunden einzuholen
(3) Wenn es besonders notwendig ist, um die öffentliche Gesundheit zu verbessern oder die gesunde Entwicklung von Kindern zu fördern und es schwierig ist, die Zustimmung des Kunden einzuholen
(4) Wenn es notwendig ist, mit einer nationalen Institution oder einer lokalen öffentlichen Körperschaft oder einer Person, die einen Auftrag von diesen erhalten hat, bei der Durchführung von gesetzlich festgelegten Aufgaben zu kooperieren und die Durchführung dieser Aufgaben durch das Einholen der Zustimmung des Kunden behindert werden könnte
(5) Wenn es notwendig ist, persönliche Informationen an einen Auftragnehmer weiterzugeben, mit dem unser Unternehmen einen Vertrag zur Wahrung der Vertraulichkeit abgeschlossen hat
Ausnahmen für die Weitergabe von persönlichen Informationen an Dritte
Diese Klausel bezieht sich auf Situationen, in denen ein Unternehmen persönliche Informationen, die es erworben hat, an Dritte weitergibt. Nach dem japanischen Datenschutzgesetz ist es notwendig, die Zustimmung der betroffenen Person einzuholen, wenn persönliche Informationen an Dritte weitergegeben werden. Es gibt jedoch Ausnahmen, die in den Klauseln (1) bis (5) festgelegt sind, in denen persönliche Informationen ohne Zustimmung der betroffenen Person an Dritte weitergegeben werden können. Daher werden die Klauseln zur Weitergabe an Dritte, ähnlich wie die Klauseln zur Nutzung von persönlichen Informationen für andere Zwecke, in der Regel standardisiert. In der Praxis wird häufig die Klausel (5) verwendet, die die Weitergabe von persönlichen Informationen an Auftragnehmer vorsieht. Beachten Sie jedoch, dass das Unternehmen, das die persönlichen Informationen erworben hat, auch dann eine Aufsichtspflicht gegenüber dem Auftragnehmer hat, wenn es einen Auftrag erteilt hat. Daher ist Vorsicht geboten, da das Unternehmen, das den Auftrag erteilt hat, zur Verantwortung gezogen werden kann, wenn persönliche Informationen vom Auftragnehmer durchgesickert sind. Daher sollte die Auswahl des Auftragnehmers und die Überwachung nach der Auftragsvergabe sorgfältig durchgeführt werden. Einzelheiten zum Vorfall des Datenlecks von Benesse, bei dem persönliche Informationen vom Auftragnehmer durchgesickert sind, finden Sie im folgenden Artikel.
Verwandter Artikel: Das Risiko von Datenlecks in Unternehmen und Schadensersatzforderungen[ja]
Änderungen im Gesetz machen Opt-Out schwieriger
Bezüglich der Weitergabe von persönlichen Informationen an Dritte war es vor der im Jahr 2017 (Heisei 29) in Kraft getretenen Gesetzesänderung möglich, persönliche Informationen ohne vorherige Zustimmung des Betroffenen an Dritte weiterzugeben, sofern die Weitergabe von persönlichen Informationen an Dritte auf Anfrage des Betroffenen eingestellt wird. Dies wird als Opt-Out bezeichnet. Mit der Gesetzesänderung von 2017 (Heisei 29) wurde jedoch festgelegt, dass die Weitergabe von persönlichen Informationen an Dritte durch Opt-Out nur möglich ist, wenn eine vorherige Anmeldung bei der japanischen Datenschutzbehörde erfolgt ist, wodurch die Regeln verschärft wurden. Es mag so aussehen, als ob es ausreichen würde, einfach eine Anmeldung bei der Datenschutzbehörde einzureichen, aber diese Anmeldungsregelung zielt hauptsächlich auf Unternehmen ab, die persönliche Informationen als Geschäftsgrundlage behandeln, wie z.B. Adressbuchhändler, und die Anmelder werden veröffentlicht, so dass es noch nicht viele Unternehmen gibt, die tatsächlich eine Anmeldung eingereicht haben. Daher ist es in der Praxis schwierig geworden, persönliche Informationen ohne Zustimmung des Betroffenen an Dritte weiterzugeben, es sei denn, es handelt sich um Ausnahmen wie die Auftragsvergabe.
Offenlegung, Korrektur usw. von persönlichen Informationen
Im japanischen Datenschutzgesetz (Personenbezogene Datenschutzgesetz) ist vorgesehen, dass Verfahren zur Beantwortung von Anfragen zur Benachrichtigung des Verwendungszwecks, Offenlegung, Korrektur, Nutzungseinstellung usw. von der betroffenen Person veröffentlicht werden müssen. Daher ist es notwendig, diese Punkte auch bei der Erstellung einer Datenschutzrichtlinie festzulegen. Die meisten Unternehmen verwenden jedoch standardisierte Formulierungen für diese Klauseln. Eine zu berücksichtigende Frage ist, ob eine Gebühr für die Bearbeitung von Anfragen zur Offenlegung usw. von der betroffenen Person festgelegt werden sollte. Eine Möglichkeit, Verzögerungen in den Geschäftsabläufen durch missbräuchliche Anfragen zu verhindern, besteht darin, eine angemessene Bearbeitungsgebühr festzulegen. Wenn eine Bearbeitungsgebühr erforderlich ist, ist es wichtig zu beachten, dass deren Inhalt in der Datenschutzrichtlinie festgelegt werden muss.
Zusammenfassung
Im Bereich des Datenschutzes tendieren die gesetzlichen Vorschriften dazu, sich allmählich zu verschärfen, um dem wachsenden gesellschaftlichen Interesse gerecht zu werden. Es ist natürlich notwendig, die Informationen innerhalb des Unternehmens sicher zu verwalten, um Datenlecks zu vermeiden. Gleichzeitig ist es jedoch auch wichtig, Datenschutzrichtlinien und interne Vorschriften zu erstellen, die den gesetzlichen Vorschriften entsprechen. Das japanische Datenschutzgesetz (Japanisches Datenschutzgesetz) wird voraussichtlich weiterhin alle drei Jahre regelmäßig geändert. Jedes Mal, wenn sich die Regeln für den Umgang mit personenbezogenen Daten ändern, besteht nicht nur die Notwendigkeit, interne Systeme zu ändern, sondern es kann auch notwendig sein, die Geschäftsmethoden selbst zu überdenken. In diesem Sinne kann das Datenschutzgesetz als ein Gesetz angesehen werden, das das Herzstück des Geschäfts betrifft. Daher ist es besonders wichtig für Unternehmen, die viele personenbezogene Daten verarbeiten, stets auf dem Laufenden über die Änderungen zu bleiben.
Informationen zur Vertragserstellung und -prüfung durch unsere Kanzlei
Die Monolith Rechtsanwaltskanzlei, als eine Kanzlei mit Stärken in IT, Internet und Geschäft, bietet nicht nur Dienstleistungen im Bereich der Datenschutzrichtlinien, sondern auch die Erstellung und Überprüfung verschiedener Verträge für unsere Mandanten und Kundenunternehmen.
Wenn Sie interessiert sind, finden Sie bitte weitere Details unten.