MONOLITH LAW OFFICE+81-3-6262-3248Weekdays 10:00-18:00 JST

MONOLITH LAW MAGAZINE

General Corporate

Mis on olulised punktid privaatsuspoliitika loomisel, võttes arvesse isikuandmete kaitse seadust (Jaapani Isikuandmete Kaitse Seadus)?

General Corporate

Mis on olulised punktid privaatsuspoliitika loomisel, võttes arvesse isikuandmete kaitse seadust (Jaapani Isikuandmete Kaitse Seadus)?

Viimasel ajal on ühiskondlik huvi isikuandmete kaitse vastu suurenenud. Võib öelda, et peaaegu polegi ettevõtjaid, kes ei tegeleks isikuandmetega, mistõttu on isikuandmete käsitlemine paljude ettevõtete ja füüsilisest isikust ettevõtjate jaoks väga oluline küsimus. Arvatakse, et paljudel veebisaidiga ettevõtetel on oma saidil privaatsuspoliitika. Privaatsuspoliitika on dokument, milles avaldatakse ettevõtja isikuandmete käsitlemise juhised vastavalt isikuandmete kaitse seadusele (Jaapani isikuandmete kaitse seadus). Isikuandmete kaitse seaduse mõistmine on privaatsuspoliitika nõuetekohaseks koostamiseks hädavajalik. Seetõttu selgitame privaatsuspoliitika koostamisel kontrollpunkte. Isikuandmete kaitse seadust muudeti 2015. aastal (2015. aasta Gregooriuse kalendri aasta) ja muudetud seadus jõustus 2017. aasta 30. mail (2017. aasta Gregooriuse kalendri aasta). Eriti oluline muudatus oli seotud isikuandmete edastamisega kolmandatele isikutele, seega selgitame ka seda punkti. Isikuandmete kaitse seaduse muudatuste kohta leiate üksikasjalikku teavet allpool olevast artiklist.

Mis on privaatsuspoliitika?

Privaatsuspoliitika on ka vahend, mille abil avalikustatakse isikuandmete kaitse seadusega (Jaapani isikuandmete kaitse seadus) nõutavad asjad.

Ettevõtte veebisaidil on enamasti välja toodud privaatsuspoliitika. See võib olla ka nimetatud “isikuandmete kaitse põhimõtteks”, kuid põhimõtteliselt on need enamasti sama asi. Privaatsuspoliitika näitab ettevõtte põhiolemust seoses isikuandmete käsitlemisega ning on ka vahend, mille abil avalikustatakse isikuandmete kaitse seadusega (Jaapani isikuandmete kaitse seadus) nõutavad asjad. Seega on vähemalt järgmiste asjade hõlmamine hädavajalik.

  • Isikuandmete kasutamise eesmärk
  • Isikuandmete käsitleja nimi või nimetus
  • Protseduurid, mida järgida, kui isik soovib teavet kasutamise eesmärgi, avalikustamise, parandamise, kasutamise peatamise jne kohta
  • Kaebuste esitamise koht

Lisaks on seadusega ette nähtud erilised nõuded, kui tegemist on isikuandmete ühiskasutusega grupiettevõtete vahel või kui käsitletakse anonüümseid töödeldud andmeid, mida selgitatakse hiljem.

Seotud artikkel: Mis on isikuandmete kaitse seadus ja isikuandmed? Advokaat selgitab[ja]

Ettevõtjad, kes peaksid looma privaatsuspoliitika

Enne 2017. aastal (Gregooriuse kalendri järgi) jõustunud muudatuste seadust oli isikuandmete kaitse seaduse (Jaapani isikuandmete kaitse seadus) kohaldamisala piiratud ettevõtjatega, kes haldasid rohkem kui 5000 isikuandmete kirjet. Seetõttu oli mõõdukalt ettevõtteid, eriti väikeseid ettevõtteid ja B2B-äri põhitegevusega ettevõtteid, kellel ei olnud vaja luua privaatsuspoliitikat. Kuid 2017. aasta muudatuste seadusega laienes isikuandmete kaitse seaduse kohaldamisala kõigile ettevõtjatele, olenemata isikuandmete hoidmise arvust. Selle tulemusena on tõenäoline, et kõik ettevõtted peavad põhimõtteliselt looma privaatsuspoliitika. Märgime, et isegi kui privaatsuspoliitikat ei ole loodud, võib selle asendada meetodiga, mis teavitab isikut iga kord, kui isikuandmeid kogutakse, sellistest asjadest nagu isikuandmete kasutamise eesmärk, mida nõutakse avalikustamiseks isikuandmete kaitse seaduse alusel. Kuid see on tüütu, seega tavaliselt luuakse privaatsuspoliitika.

Privaatsuspoliitika kontrollpunktid

Allpool selgitame, mida tuleks privaatsuspoliitika koostamisel silmas pidada.

Isikuandmete määratlus

§ 0
Isikuandmed on teave, mis puudutab elavat isikut ja mille abil saab kindlaks teha konkreetse isiku, sealhulgas nimi, sünniaeg ja muu selline teave (kaasa arvatud teave, mida saab hõlpsasti võrrelda teiste andmetega ja mille abil saab kindlaks teha konkreetse isiku).

Isikuandmete määratluse osas piisab, kui järgida Jaapani isikuandmete kaitse seaduse (Japanese Personal Information Protection Act) sätteid. Tüüpiliselt hõlmab see nime, sünniaega ja muud sellist teavet, kuid isikuandmeteks võivad olla ka vanus, sugu, aadress, telefoninumber, perekonnaseis, hobid, eelistused, e-posti aadress, ID, IP-aadress ja ajatempel, töökoht, kuuluvus, töökoha aadress, töökoha telefoninumber, krediitkaardi number, pangakonto number, külastatud veebilehe teave, kaebused, nõustamised või päringute teave. Seetõttu võib olla hea mõte lisada need andmed, mida on tõenäoliselt kõige rohkem võimalik saada oma klientidelt, ettevõtte privaatsuspoliitika isikuandmete määratlusse.

Isikuandmete kasutamise eesmärk

Artikkel 0
1. Meie ettevõte kasutab kogutud isikuandmeid järgmistel eesmärkidel. Kui meie veebisaidil on isikuandmete kasutamise eesmärk eraldi määratletud, eelistame seda kasutamise eesmärki.
(1) Et meie ettevõte saaks vastata teie päringutele päringuvormi kaudu
(2) Et pakkuda meie poolt pakutavaid veebiteenuseid või rakendusi või muid teenuseid (edaspidi “käesolev teenus”) ning tutvustada käesolevat teenust või meie poolt pakutavaid uusi teenuseid
(3) Et aidata kaasa käesoleva teenuse parandamisele või uute teenuste arendamisele
(4) Muudel eesmärkidel, mis on seotud eelnevate punktidega
2. Lisaks eespool määratletud eesmärkidele võib meie ettevõte koguda isikuandmeid klientidelt, teha nendest statistilist informatsiooni, mis ei võimalda isikut tuvastada või kindlaks teha, ning kasutada seda viitena.

Kasutamise eesmärk

Isikuandmete kaitse seaduse kohaselt (Jaapani “個人情報保護法”) on vaja avaldada kogutud isikuandmete kasutamise eesmärk. Ülaltoodud artikli esimene lõik vastab sellele nõudele. Oluline on märkida, et kasutamise eesmärgi määratlemisel ei piisa abstraktsest ja üldisest kirjeldusest, vaid tuleb kirjeldada konkreetsemalt, kuidas isik saab oma isikuandmeid kasutada. Seega, privaatsuspoliitika loomisel võib kasutamise eesmärgi kirjeldus erineda sõltuvalt ettevõtjast. Lisaks, kui on olemas kirjeldamata jäänud eesmärgid, ei saa isikuandmeid kasutada nende eesmärkide saavutamiseks, seega veenduge, et te ei jäta midagi välja.

Anonüümne töödeldud teave

Artikli teine lõik on anonüümse töödeldud teabe määrus. Anonüümne töödeldud teave on isikuandmed, mis on töödeldud nii, et isikut ei saa tuvastada, ja mida ei saa taastada. See on mõeldud nn suurandmete kasutamiseks.
Kui tegelete anonüümse töödeldud teabega, peate avaldama privaatsuspoliitikas või muus vormis anonüümse töödeldud teabe sisaldava isikuandmete elemendid. Artikli teine lõik määrab, et “isikuandmete määratluses” kirjeldatud isikuandmeid kasutatakse anonüümse töödeldud teabena. Kui kolmandatele isikutele antakse anonüümset töödeldud teavet, on lisaks vaja avaldada ka pakkumise meetod.

Isikuandmete kasutamine väljaspool ettenähtud eesmärki

Artikkel 〇
Meie firma käitleb kogutud isikuandmeid ainult ulatuses, mis on vajalik eelmises artiklis määratletud kasutuseesmärgi saavutamiseks. Kui isikuandmeid kasutatakse väljaspool ettenähtud eesmärki, saame selleks eelnevalt kliendi nõusoleku. Siiski ei kehti see järgmistel juhtudel:
(1) kui see on seadusega ette nähtud
(2) kui see on vajalik inimese elu, keha või vara kaitsmiseks ja kliendi nõusoleku saamine on keeruline
(3) kui see on eriti vajalik rahvatervise parandamiseks või laste tervisliku arengu edendamiseks ja kliendi nõusoleku saamine on keeruline
(4) kui riigi asutusel või kohalikul omavalitsusel või nende volitatud isikul on vaja koostööd teha seadusega ettenähtud ülesannete täitmisel ja kliendi nõusoleku saamine võib takistada ülesande täitmist

Isikuandmeid ei tohi põhimõtteliselt kasutada väljaspool ettenähtud eesmärki. Siiski on isikuandmete kaitse seaduse kohaselt lubatud kasutada isikuandmeid väljaspool ettenähtud eesmärki, kui see vastab ülaltoodud punktidele (1) kuni (4). Punktid (2) ja (3) kehtivad juhtudel, kui on suur vajadus isikuandmete kasutamiseks, kuid on keeruline saada kiiret nõusolekut isikult. Punktid (1) ja (4) viitavad isikuandmete kasutamisele, mis põhineb riigi või kohaliku omavalitsuse taotlusel. Näiteks võib see hõlmata kuritegude uurimist. See sätte kasutamine väljaspool ettenähtud eesmärki on peaaegu kõigis ettevõtetes standardne ja see ei muutu tavaliselt sõltuvalt äritegevuse sisust.

Isikuandmete kolmandatele isikutele edastamine


Isikuandmete edastamisel kolmandatele isikutele on põhimõtteliselt vajalik saada nõusolek isikult endalt.

Paragrahv 〇
Meie ettevõte ei edasta teie isikuandmeid põhimõtteliselt kolmandatele isikutele ilma teie nõusolekuta. Erandjuhtudel edastame andmeid kolmandatele isikutele ainult siis, kui oleme kindlaks määranud andmete saaja ja sisu ning saanud teie nõusoleku. Siiski ei kehti see järgmistel juhtudel:
(1) Kui see on seadusega ette nähtud
(2) Kui see on vajalik inimese elu, keha või vara kaitsmiseks ja on raske saada teie nõusolekut
(3) Kui see on eriti vajalik rahvatervise parandamiseks või laste tervisliku kasvatamise edendamiseks ja on raske saada teie nõusolekut
(4) Kui on vaja koostööd teha riigi asutuse või kohaliku omavalitsuse või nende volitatud isikuga seadusega ette nähtud ülesannete täitmisel ja teie nõusoleku saamine võib takistada ülesande täitmist
(5) Kui on vaja edastada isikuandmeid meie ettevõtte ja konfidentsiaalsuslepingu sõlminud teenuseosutajale vastavalt kasutuseesmärgile

Erandid, kui isikuandmeid saab edastada kolmandatele isikutele

Selle sätte eesmärk on käsitleda olukordi, kus ettevõte edastab kogutud isikuandmeid kolmandatele isikutele. Isikuandmete kaitse seaduse kohaselt on isikuandmete edastamisel kolmandatele isikutele vaja saada isiku nõusolek. Siiski on seadusega ette nähtud, et isikuandmeid saab edastada kolmandatele isikutele ilma isiku nõusolekuta, kui see on sätestatud erandina punktides (1) kuni (5). Seega, nagu sätetes, mis käsitlevad isikuandmete kasutamist väljaspool ettenähtud eesmärki, on ka kolmandatele isikutele edastamise kohta peaaegu kõigil ettevõtetel standardne klausel. Praktikas kasutatakse kõige sagedamini punkti (5), mis käsitleb isikuandmete edastamist teenuseosutajale. Siiski, isegi kui olete teenuse osutamiseks delegeerinud, peab isikuandmeid kogunud ettevõte jälgima teenuseosutajat. Seetõttu tuleb olla ettevaatlik, sest kui isikuandmed lekivad teenuseosutajalt, võib ettevõtet, kes andmed delegeeris, vastutusele võtta. Seetõttu tuleks teenuseosutaja valimisel ja järelvalvel olla ettevaatlik. Benesse’i isikuandmete lekke juhtumit, kus isikuandmed lekkisid teenuseosutajalt, on üksikasjalikult kirjeldatud allpool toodud artiklis.

Seotud artikkel: Ettevõtte isikuandmete lekke ja kahjude hüvitamise risk[ja]

Seadusemuudatuse tõttu on opt-out keeruline

Isikuandmete edastamise kohta kolmandatele isikutele oli enne 2017. aastal jõustunud muudatust võimalik isikuandmeid edastada kolmandatele isikutele ilma isiku eelneva nõusolekuta tingimusel, et “peatatakse isikuandmete edastamine kolmandatele isikutele isiku nõudmisel”. Seda nimetatakse opt-out’iks. Kuid 2017. aastal jõustunud muudatusega muutus reegel rangemaks ja isikuandmete edastamine kolmandatele isikutele opt-out’i kaudu on võimalik ainult siis, kui on tehtud eelnev teade Isikuandmete Kaitse Komisjonile.
Võib tunduda, et piisab, kui teha teade Isikuandmete Kaitse Komisjonile, kuid see teatamissüsteem on mõeldud peamiselt isikuandmete töötlejatele, nagu nimekirjade koostajad, ja teatamise tegijad avaldatakse, seega pole tegelikult palju ettevõtteid, kes on teate teinud. Seetõttu on isiku nõusolekuta isikuandmete edastamine kolmandatele isikutele praktiliselt keeruline, välja arvatud juhul, kui see on lubatud erandina, nagu teenuse osutamine.

Isikuandmete avalikustamine, parandamine jne

Jaapani isikuandmete kaitse seaduse (Japanese Personal Information Protection Act) kohaselt on vaja avaldada protseduurid, mis vastavad isiku taotlustele teavitada kasutamise eesmärkidest, avalikustada, parandada, peatada kasutamine jne. Seega, privaatsuspoliitika koostamisel tuleb neid punkte ka määratleda. Siiski on need klauslid enamikus ettevõtetes standardse sõnastusega. Üks kaalutluskoht on see, kas määrata kindlaks teenustasu, kui vastatakse isiku avalikustamise jne taotlustele. Üks viis töö viivituste vältimiseks kuritarvitavate taotluste tõttu on määrata sobiva suurusega teenustasu. Kui teenustasu on vajalik, tuleb selle sisu määrata privaatsuspoliitikas ja sellele tuleb tähelepanu pöörata.

Kokkuvõte

Isikuandmete kaitsega seotud küsimustes on ühiskondlik huvi suurenenud ning seadusandlus muutub järk-järgult rangemaks. Loomulikult on oluline, et ettevõtte sees oleks info haldamine turvaline, et vältida isikuandmete lekkimist, kuid samal ajal on oluline ka koostada privaatsuspoliitikaid ja ettevõtte sisekorraeeskirju vastavalt seadusandlusele. Isikuandmete kaitse seadust (Jaapani Isikuandmete Kaitse Seadus) muudetakse regulaarselt iga kolme aasta tagant. Iga kord, kui isikuandmete käitlemise reeglid muutuvad, võib tekkida vajadus mitte ainult muuta ettevõtte süsteeme, vaid ka üle vaadata äritegevuse meetodid. Selles mõttes võib isikuandmete kaitse seadust pidada seaduseks, mis puudutab äritegevuse tuumikosa, seega on eriti oluline, et ettevõtted, kes käitlevad palju isikuandmeid, oleksid alati kursis seadusemuudatustega.

Meie büroo poolt lepingute koostamise ja ülevaatamise teenuste tutvustus

Monolis õigusbüroo on IT, interneti ja äriõiguse valdkonnas tugevaid külgi omav õigusbüroo, mis pakub klientidele ja nõustatavatele ettevõtetele mitmesuguseid teenuseid, sealhulgas erinevate lepingute koostamist ja ülevaatamist, lisaks privaatsuspoliitikale.

Kui olete huvitatud, vaadake kindlasti allpool toodud üksikasju.

https://monolith.law/contractcreation[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Return to Top