Τι είναι ο Νόμος Προστασίας Προσωπικών Δεδομένων και τα Προσωπικά Δεδομένα; Εξηγεί ένας δικηγόρος

Ο αναθεωρημένος νόμος προστασίας προσωπικών δεδομένων του 2015 (που τέθηκε σε ισχύ το 2017), ο οποίος ακριβέστερα ονομάζεται “Νόμος περί Προστασίας Προσωπικών Δεδομένων”, αποτελεί σημαντική νομοθεσία όταν σκεφτόμαστε τα ζητήματα προσωπικών δεδομένων στις επιχειρηματικές δραστηριότητες και διευκρινίζει τις νομικές υποχρεώσεις των επιχειρήσεων που χειρίζονται προσωπικά δεδομένα. Μέχρι το έτος Heisei 27 (2015), οι υπεύθυνοι για τη διαχείριση προσωπικών δεδομένων περιορίζονταν σε εκείνους που διατηρούσαν πληροφορίες για περισσότερα από 5000 άτομα, γεγονός που σήμαινε ότι πολλές μικρομεσαίες επιχειρήσεις δεν ήταν υπόχρεες. Ωστόσο, μετά την αναθεώρηση του 2015, αυτός ο περιορισμός καταργήθηκε, και σχεδόν όλες οι επιχειρήσεις έγιναν υπεύθυνες για τη διαχείριση προσωπικών δεδομένων, καθιστώντας τον νόμο απαραίτητο ακόμη και για τους ιδιοκτήτες μικρών επιχειρήσεων. Η διαχείριση προσωπικών δεδομένων, όπως ονόματα πελατών και διευθύνσεις email, είναι απαραίτητη για δραστηριότητες όπως η ταχυδρομική πώληση, τα ενημερωτικά δελτία, η αποστολή διαφημιστικού υλικού ή η χρήση καρτών πόντων σε φυσικά καταστήματα, επομένως είναι απαραίτητο να κατανοούμε τις βασικές αρχές του νόμου προστασίας προσωπικών δεδομένων.

Σκοπός και Ορισμός του Νόμου για την Προστασία Προσωπικών Δεδομένων

Τι ακριβώς είναι ο Νόμος για την Προστασία Προσωπικών Δεδομένων; Ας εξετάσουμε την επισκόπησή του. Καταρχάς, στο άρθρο 1 καθορίζεται ο σκοπός αυτού του νόμου.

Άρθρο 1 του Νόμου για την Προστασία Προσωπικών Δεδομένων
Ο παρών νόμος έχει ως σκοπό, λαμβάνοντας υπόψη την σημαντική επέκταση της χρήσης προσωπικών δεδομένων που συνοδεύει την πρόοδο της κοινωνίας υψηλής πληροφορικής, να καθορίσει τα θέματα που αποτελούν τη βάση για την προστασία προσωπικών δεδομένων, όπως η δημιουργία βασικών αρχών και βασικών πολιτικών από την κυβέρνηση, καθώς και άλλες στρατηγικές προστασίας, να διασαφηνίσει τις ευθύνες του κράτους και των τοπικών δημόσιων οργανισμών, και να καθορίσει τις υποχρεώσεις που πρέπει να τηρούν οι επιχειρήσεις που χειρίζονται προσωπικά δεδομένα, ώστε η σωστή και αποτελεσματική χρήση των προσωπικών δεδομένων να συμβάλλει στη δημιουργία νέων βιομηχανιών, σε μια ζωντανή οικονομική κοινωνία και στην επίτευξη ενός πλούσιου εθνικού βίου, λαμβάνοντας υπόψη τη χρησιμότητα των προσωπικών δεδομένων, ενώ παράλληλα προστατεύει τα δικαιώματα και τα συμφέροντα των ατόμων.

Αυτό αναφέρεται.

Στο άρθρο 2, ορίζονται οι όροι προσωπικά δεδομένα, προσωπικό δεδομένο και δεδομένα προσωπικής κατοχής (παράγραφοι 1, 4 και 5 του άρθρου 2). Σύμφωνα με τον Νόμο για την Προστασία Προσωπικών Δεδομένων, τα “προσωπικά δεδομένα” είναι “πληροφορίες που αφορούν ένα ζωντανό άτομο” και περιλαμβάνουν “το όνομα, την ημερομηνία γέννησης ή άλλες περιγραφές” που επιτρέπουν “την αναγνώριση ενός συγκεκριμένου ατόμου (συμπεριλαμβανομένων των πληροφοριών που μπορούν εύκολα να συσχετιστούν με άλλες πληροφορίες, καθιστώντας δυνατή την αναγνώριση ενός συγκεκριμένου ατόμου).” Το “προσωπικό δεδομένο” είναι ένα προσωπικό δεδομένο που έχει οργανωθεί σε βάση δεδομένων με τη χρήση υπολογιστή, και τα δεδομένα που κατέχει μια επιχείρηση για περισσότερο από έξι μήνες ονομάζονται “δεδομένα προσωπικής κατοχής”.

Η ανάγκη προστασίας των προσωπικών δεδομένων διαφέρει σημαντικά ανάλογα με το αν τα δεδομένα έχουν οργανωθεί σε βάση δεδομένων ή όχι. Τα προσωπικά δεδομένα, όταν οργανωθούν σε βάση δεδομένων, γίνονται εύκολα αναζητήσιμα και συστηματικά διαρθρωμένα, αυξάνοντας την πιθανότητα παραβίασης των δικαιωμάτων, και γι’ αυτό παρέχεται ισχυρότερη προστασία σε σύγκριση με τα γενικά προσωπικά δεδομένα.

Ακόμη ισχυρότερη προστασία παρέχεται στα δεδομένα προσωπικής κατοχής, τα οποία είναι δεδομένα που οι επιχειρήσεις που τα χειρίζονται έχουν την εξουσία να αποκαλύπτουν, να διορθώνουν, να προσθέτουν ή να διαγράφουν, να διακόπτουν τη χρήση τους, να τα εξαφανίζουν και να σταματούν την παροχή τους σε τρίτους (παράγραφος 7 του άρθρου 2). Στα δεδομένα προσωπικής κατοχής, επιτρέπεται η υποβολή αιτημάτων για αποκάλυψη, διόρθωση, διακοπή χρήσης κ.λπ., λαμβάνοντας υπόψη την ανάγκη του ατόμου να συμμετέχει ενεργά στις πληροφορίες που το αφορούν (θα αναφερθούμε περαιτέρω).

Κανονισμοί Σχετικά με την Επεξεργασία Προσωπικών Δεδομένων

Για να αποφευχθεί η ανεξέλεγκτη χρήση των προσωπικών δεδομένων, είναι απαραίτητο να καθορίσουμε σαφώς τους κανόνες για την κατάλληλη επεξεργασία τους, προσδιορίζοντας τον σκοπό χρήσης τους και περιορίζοντας την επεξεργασία τους μόνο στο εύρος που είναι απαραίτητο για την επίτευξη αυτού του σκοπού.

Επομένως, οι επιχειρήσεις που επεξεργάζονται προσωπικά δεδομένα πρέπει:

• Να προσδιορίζουν τον σκοπό χρήσης των προσωπικών δεδομένων όσο το δυνατόν πιο συγκεκριμένα (Άρθρο 15, Παράγραφος 1)
• Να μην επεξεργάζονται προσωπικά δεδομένα πέρα από το εύρος που είναι απαραίτητο για την επίτευξη του σκοπού χρήσης (Άρθρο 16, Παράγραφος 1)
• Να μην αποκτούν προσωπικά δεδομένα με ψευδείς ή άλλες αθέμιτες μεθόδους (Άρθρο 17, Παράγραφος 1)
• Σε περίπτωση απόκτησης προσωπικών δεδομένων, πρέπει να ενημερώνουν τον ιδιοκτήτη για τον σκοπό χρήσης ή να τον δημοσιοποιούν (Άρθρο 18)

Ο Νόμος για την Προστασία Προσωπικών Δεδομένων απαιτεί από τους εργοδότες να χρησιμοποιούν τα προσωπικά δεδομένα που κατέχουν σύμφωνα με τους σκοπούς που έχουν προκαθοριστεί και δημοσιοποιηθεί εκ των προτέρων. Με άλλα λόγια, είναι απαραίτητο να «χρησιμοποιούμε τα προσωπικά δεδομένα όπως επιθυμούμε, αλλά να έχουμε προσδιορίσει και δημοσιοποιήσει τον σκοπό χρήσης τους». Για παράδειγμα, δεν είναι παράνομο να χρησιμοποιούμε προσωπικά δεδομένα για να εμφανίζουμε διαφημίσεις που ταιριάζουν στα χαρακτηριστικά των χρηστών, αλλά πρέπει να έχουμε δημοσιοποιήσει τον σκοπό χρήσης τους εκ των προτέρων.
Η μέθοδος δημοσιοποίησης δεν είναι ειδικά καθορισμένη, αλλά είναι συνήθως μέσω «Πολιτικής Απορρήτου» ή «Πολιτικής Προστασίας Προσωπικών Δεδομένων».

Από την άλλη πλευρά, για τα λεγόμενα ευαίσθητα δεδομένα ή δεδομένα που απαιτούν ειδική προσοχή, ισχύουν αυστηρότεροι κανόνες και η απόκτησή τους χωρίς τη συγκατάθεση του ιδιοκτήτη είναι απαγορευμένη (Άρθρο 17, Παράγραφος 2).

Τα δεδομένα που απαιτούν ειδική προσοχή περιλαμβάνουν:

Άρθρο 2, Παράγραφος 3
Στον παρόντα νόμο, τα «δεδομένα που απαιτούν ειδική προσοχή» είναι προσωπικά δεδομένα που περιλαμβάνουν πληροφορίες όπως η φυλή, η θρησκεία, η κοινωνική τάξη, η ιατρική ιστορία, το ποινικό μητρώο, τα γεγονότα που έχουν προκαλέσει ζημιά λόγω εγκλημάτων ή άλλες πληροφορίες που θα μπορούσαν να οδηγήσουν σε άδικη διάκριση, προκατάληψη ή άλλες μορφές αδικίας κατά του ιδιοκτήτη, όπως ορίζεται από τον κανονισμό.

Επίσης, περιλαμβάνονται πληροφορίες όπως αποτελέσματα από ιατρικές εξετάσεις, οδηγίες από γιατρούς, θεραπείες, συνταγογραφήσεις, καθώς και πληροφορίες σχετικά με ποινικές διαδικασίες ή διαδικασίες προστασίας ανηλίκων.

Εκτός από ορισμένες εξαιρέσεις, η απόκτηση δεδομένων που απαιτούν ειδική προσοχή χωρίς τη συγκατάθεση του ιδιοκτήτη είναι αυστηρά ρυθμισμένη, καθώς αυτά τα δεδομένα μπορεί να αποκτηθούν και να επεξεργαστούν με τρόπο που να δημιουργήσει διακρίσεις ή προκαταλήψεις.

Πειθαρχία στη Διαχείριση και Εποπτεία

Πολλοί ανησυχούν και αισθάνονται αβεβαιότητα για τη διαρροή ή την παραποίηση προσωπικών πληροφοριών. Η κατάσταση είναι ακόμη πιο ανησυχητική όταν πρόκειται για βάσεις δεδομένων προσωπικών δεδομένων, όπου έχουν συμβεί πολλά περιστατικά μαζικής διαρροής πληροφοριών πελατών, προκαλώντας κοινωνικά προβλήματα. Για αυτόν τον λόγο, οι επιχειρήσεις που χειρίζονται προσωπικά δεδομένα έχουν την υποχρέωση να λαμβάνουν τα απαραίτητα και κατάλληλα μέτρα (μέτρα ασφαλούς διαχείρισης) για την ασφαλή διαχείριση των προσωπικών δεδομένων (άρθρο 20).

Παραβίαση της Υποχρέωσης Ασφαλούς Διαχείρισης

Στην πραγματικότητα, σε περιπτώσεις διαρροής προσωπικών πληροφοριών στο διαδίκτυο, συχνά αναγνωρίζεται παραβίαση της υποχρέωσης ασφαλούς διαχείρισης. Ακόμη και για τις μικρομεσαίες επιχειρήσεις, το περιεχόμενο των μέτρων ασφαλούς διαχείρισης που λαμβάνουν υπόψη τα χαρακτηριστικά τους, έχει καταγραφεί στις Οδηγίες για τον Νόμο Προστασίας Προσωπικών Δεδομένων (Γενική Έκδοση) (Επιτροπή Προστασίας Προσωπικών Δεδομένων), επομένως η συμμόρφωση με αυτές τις οδηγίες είναι σημαντική όχι μόνο για την τήρηση του άρθρου 20 του Νόμου Προστασίας Προσωπικών Δεδομένων, αλλά και για την αποφυγή ευθύνης για παράνομες πράξεις που βασίζονται σε παραβιάσεις της ιδιωτικότητας λόγω διαρροών πληροφοριών στο διαδίκτυο.

Ωστόσο, ανεξάρτητα από το πόσο καλά οργανωμένα είναι τα συστήματα και οι διαδικασίες, η σωστή λειτουργία τους εξαρτάται τελικά από τους ανθρώπους. Γι’ αυτό, «οι επιχειρήσεις που χειρίζονται προσωπικά δεδομένα πρέπει, κατά την ανάθεση της διαχείρισης προσωπικών δεδομένων στους εργαζόμενους, να διεξάγουν την απαραίτητη και κατάλληλη εποπτεία για να εξασφαλίσουν την ασφαλή διαχείριση των δεδομένων» (άρθρο 21).

https://monolith.law/corporate/trends-in-personal-information-leakage-and-loss-accidents-in-2019[ja]

Επιπλέον, η πώληση ή η αφαίρεση δεδομένων πελατών από εργαζόμενους δεν επιφέρει μόνο ευθύνη για παράνομες πράξεις στον εργαζόμενο (άρθρο 709 του Αστικού Κώδικα), αλλά μπορεί επίσης να επιφέρει ευθύνη στον εργοδότη (άρθρο 715 του Αστικού Κώδικα), οπότε απαιτείται προσοχή.

«Παροχή σε Τρίτους» και «Ανάθεση»

Σύμφωνα με τον Νόμο Προστασίας Προσωπικών Δεδομένων, η παροχή προσωπικών δεδομένων πελατών σε «τρίτους», ακόμη και για προκαθορισμένους σκοπούς, απαγορεύεται εκ των προτέρων χωρίς συγκατάθεση. Ωστόσο, αν ακολουθήσουμε αυτόν τον κανόνα στο έπακρο, τότε ακόμη και η αποθήκευση βάσεων δεδομένων πελατών σε ενοικιαζόμενους servers θα ήταν παράνομη, καθώς οι servers θεωρούνται «τρίτοι».

Παρ’ όλα αυτά, η «ανάθεση» είναι μια εξαίρεση που επιτρέπεται στην «παροχή σε τρίτους». Εάν η ανάθεση γίνεται σε κάποιον που δεν θα χρησιμοποιήσει τις πληροφορίες, τότε είναι επιτρεπτή. Για παράδειγμα, οι ενοικιαζόμενοι servers απλώς αποθηκεύουν πληροφορίες χωρίς να τις χρησιμοποιούν. Η ανάθεση της διαχείρισης προσωπικών δεδομένων σε τρίτους είναι μια συχνή πρακτική, αλλά για να αποφευχθούν καταστάσεις όπου ο ανάδοχος χειρίζεται τα δεδομένα ακατάλληλα ή όπου η επαναλαμβανόμενη υπο-ανάθεση καθιστά ασαφή την ευθύνη, «οι επιχειρήσεις που χειρίζονται προσωπικά δεδομένα πρέπει, κατά την ανάθεση της διαχείρισης των προσωπικών δεδομένων, είτε εν μέρει είτε εξ ολοκλήρου, να διεξάγουν την απαραίτητη και κατάλληλη εποπτεία στον ανάδοχο για να εξασφαλίσουν την ασφαλή διαχείριση των δεδομένων» (άρθρο 22).

Εξασφάλιση της Ορθής Διαχείρισης Προσωπικών Δεδομένων μέσω της Συμμετοχής του Υποκειμένου

Ο Νόμος για την Προστασία Προσωπικών Δεδομένων επιτρέπει στο υποκείμενο να εμπλέκεται στη διαχείριση των προσωπικών του δεδομένων για την εξασφάλιση της ορθής τους χρήσης, καθιστώντας δυνατή την αίτηση προς τους επιχειρηματίες που διαχειρίζονται προσωπικά δεδομένα για αποκάλυψη (άρθρο 28), διόρθωση, προσθήκη ή διαγραφή (άρθρο 29), καθώς και διακοπή της χρήσης και άλλες ενέργειες (άρθρο 30) των δεδομένων που τον αφορούν. Αυτές οι διαδικασίες συμμετοχής του υποκειμένου έχουν καθοριστεί σαφώς ως δικαιώματα στο πλαίσιο του ιδιωτικού δικαίου, και εάν ο επιχειρηματίας που διαχειρίζεται τα προσωπικά δεδομένα δεν ανταποκριθεί σε μια τέτοια αίτηση, το υποκείμενο μπορεί να επιδιώξει την επιβολή των δικαιωμάτων του μέσω της δικαστικής διαδικασίας.

Οι επιχειρηματίες που διαχειρίζονται προσωπικά δεδομένα οφείλουν να αποκαλύπτουν τα δεδομένα που διατηρούν όταν το υποκείμενο το αιτείται, να ανταποκρίνονται σε αιτήματα διόρθωσης εάν υπάρχουν λάθη, και να διακόπτουν τη χρήση των δεδομένων σε περίπτωση που παραβιάζουν τις νομικές υποχρεώσεις, όπως η χρήση εκτός του σκοπού για τον οποίο συλλέχθηκαν, η ανάρμοστη απόκτηση, ή η παροχή σε τρίτους χωρίς τη συγκατάθεση του υποκειμένου. Με αυτόν τον τρόπο, ο Νόμος για την Προστασία Προσωπικών Δεδομένων επιβάλλει διάφορες υποχρεώσεις στους επιχειρηματίες που διαχειρίζονται προσωπικά δεδομένα, με στόχο την προστασία των δικαιωμάτων των πολιτών.

Ποινές για Διαρροή Προσωπικών Δεδομένων

Στον Ιαπωνικό Νόμο Προστασίας Προσωπικών Δεδομένων (Japanese Personal Information Protection Law) ορίζονται οι ποινές για τους επιχειρηματίες που διαρρέουν προσωπικά δεδομένα.

Όταν ένας επιχειρηματίας παραβιάσει τον Ιαπωνικό Νόμο Προστασίας Προσωπικών Δεδομένων και προκύψει διαρροή πληροφοριών, αρχικά θα λάβει από το κράτος μια «σύσταση για τη διακοπή της παράνομης πράξης και τη λήψη των απαραίτητων μέτρων για τη διόρθωση της παράβασης» (Άρθρο 42). Εάν παραβιαστεί και αυτή η σύσταση, τότε στον υπάλληλο που διέπραξε την παράβαση μπορεί να επιβληθεί «κάθειρξη έως έξι μήνες ή πρόστιμο έως 300.000 γιεν» (Άρθρο 84), ενώ στην εταιρεία που τον απασχολεί μπορεί επίσης να επιβληθεί «πρόστιμο έως 300.000 γιεν» (Άρθρο 85). Επιπλέον, όταν κάποιος παρέχει ή χρησιμοποιεί παράνομα τα δεδομένα με σκοπό το παράνομο κέρδος, μπορεί να τιμωρηθεί «χωρίς προηγούμενη σύσταση με κάθειρξη έως ένα έτος ή πρόστιμο έως 500.000 γιεν» (Άρθρο 83).

https://monolith.law/corporate/risk-of-company-personal-information-leak-compensation-for-damages[ja]

Σύνοψη

Ο Νόμος για την Προστασία Προσωπικών Δεδομένων απαιτεί από τις επιχειρήσεις που χειρίζονται προσωπικά δεδομένα να τα διαχειρίζονται με κατάλληλο τρόπο και να λαμβάνουν τα απαραίτητα και κατάλληλα μέτρα για την ασφαλή διαχείριση. Είναι ένας νόμος που δεν μπορεί να αγνοηθεί από σχεδόν καμία επιχείρηση και αποτελεί ένα σημαντικό νομικό πλαίσιο.