Mis on isikuandmete kaitse seadus ja isikuandmed? Advokaat selgitab

2015. aastal muudetud (jõustus 2017. aastal) isikuandmete kaitse seadus (täpsemalt “Isikuandmete kaitse seadus”) on oluline õigusakt, kui mõtleme ettevõtlustegevuses isikuandmete küsimusele. See selgitab selgelt isikuandmete töötlejate õiguslikke kohustusi. Kuni 2015. aastani (Heisei 27. aasta) olid isikuandmete töötlejad need, kellel oli rohkem kui 5000 isiku andmeid. Seetõttu oli palju ettevõtteid, nagu väikeettevõtted, kes ei olnud isikuandmete töötlejad. Kuid pärast 2015. aasta muudatusi pole see tingimus enam kehtiv, mistõttu on peaaegu kõik ettevõtted isikuandmete töötlejad ja see on seadus, mida väikeettevõtete omanikud ei saa vältida. Kliendi nime, e-posti aadressi ja muid isikuandmeid tuleb käsitleda, näiteks e-kaubanduse, uudiskirjade, otsepostituse ja füüsiliste poodide punktikaartide jaoks. Seetõttu on vaja mõista isikuandmete kaitse seaduse põhitõdesid.

Isikuandmete kaitse seaduse eesmärk ja määratlus

Mis on isikuandmete kaitse seadus? Vaatame selle ülevaadet. Esiteks on seaduse eesmärk selgelt määratletud esimeses paragrahvis.

Isikuandmete kaitse seaduse paragrahv 1
See seadus on loodud arvestades, et isikuandmete kasutamine on infotehnoloogia ühiskonna arenguga märkimisväärselt laienenud. Seadus sätestab põhimõtted ja valitsuse poolt loodud põhipoliitika ning muud isikuandmete kaitse meetmed. Samuti määratleb see riigi ja kohalike omavalitsuste kohustused ning äriühingute kohustused, mis peavad isikuandmeid käsitlema. Eesmärk on kaitsta isikute õigusi ja huve, võttes arvesse isikuandmete kasulikkust, ning tagada isikuandmete õige ja tõhus kasutamine, mis aitab kaasa uute tööstusharude loomisele, elujõulisele majandusele ja rikkale kodanike elule.

Nii on kirjas.

Teises paragrahvis on määratletud isikuandmed, isikuandmete kogum ja isikuandmete hoidmine (paragrahvid 2.1, 2.4, 2.5).
Isikuandmete kaitse seaduse mõistes on “isikuandmed” “teave elava isiku kohta”, mis “sisaldab nime, sünnikuupäeva ja muid kirjeldusi” ning “võimaldab tuvastada konkreetset isikut (kaasa arvatud juhul, kui seda saab hõlpsasti võrrelda teiste andmetega ja selle tulemusena saab tuvastada konkreetse isiku)”. “Isikuandmete kogum” on arvuti abil andmebaasi teisendatud isikuandmed ja neist, mida ettevõte on hoidnud rohkem kui kuus kuud, on “isikuandmete hoidmine”.

Isikuandmete kaitse vajadus erineb suuresti sõltuvalt sellest, kas need on andmebaasi teisendatud. Isikuandmete kogum on süstemaatiliselt struktureeritud isikuandmed, mis on andmebaasi teisendatud ja mida saab hõlpsasti otsida, seega on õiguste rikkumise võimalus suurem ja seetõttu on neile antud tugevam kaitse kui üldistele isikuandmetele.

Veelgi tugevam kaitse on antud isikuandmete hoidmisele, mis on isikuandmete käsitlemise ettevõtjatele antud õigus avaldada, parandada, lisada või kustutada sisu, peatada kasutamine, kustutada ja peatada kolmandatele isikutele andmete edastamine (paragrahv 2.7). Isikuandmete hoidmise korral on lubatud taotlused avalikustamiseks, parandamiseks, kasutamise peatamiseks jne, võttes arvesse nõuet, et isik peaks saama oma teabega asjakohaselt seotud olla (allpool toodud).

Isikuandmete käitlemise eeskirjad

Selleks, et isikuandmeid ei kasutataks meelevaldselt, peab nende nõuetekohase käitlemise reeglina selgelt määratlema, millistel eesmärkidel isikuandmeid kasutatakse, ning piirama nende käitlemise ainult nende eesmärkide saavutamiseks vajaliku ulatuseni.

Seega peavad isikuandmete käitlejad:

• Isikuandmete käitlemisel peavad nad võimalikult täpselt määratlema kasutamise eesmärgi (Jaapani isikuandmete kaitse seaduse artikkel 15, lõige 1)
• Nad ei tohi isikuandmeid käidelda rohkem, kui on vajalik kasutamise eesmärgi saavutamiseks (Jaapani isikuandmete kaitse seaduse artikkel 16, lõige 1)
• Nad ei tohi isikuandmeid omandada pettuse või muu ebaausa vahendi abil (Jaapani isikuandmete kaitse seaduse artikkel 17, lõige 1)
• Kui nad on isikuandmeid omandanud, peavad nad teavitama või avalikustama kasutamise eesmärgi isikule (Jaapani isikuandmete kaitse seaduse artikkel 18)

Isikuandmete kaitse seadus nõuab, et ettevõtjad kasutaksid isikuandmeid ainult eelnevalt määratletud ja avalikustatud eesmärkidel. Teisisõnu, “isikuandmeid võib kasutada mis tahes viisil, kuid eesmärk tuleb määratleda ja avalikustada”. Näiteks “isikuandmete kasutamine kasutajate omadustele vastavate reklaamide kuvamiseks” ei ole iseenesest ebaseaduslik, kuid selle kasutamise eesmärk tuleb eelnevalt avalikustada. Avalikustamise viis ei ole eriti määratletud, kuid seda tehakse tavaliselt “privaatsuspoliitika” või “isikuandmete kaitse põhimõtete” vormis.

Teiselt poolt on nn tundlikud andmed, mida nimetatakse erilise tähelepanu all olevateks isikuandmeteks, tavalistest isikuandmetest rangemalt kaitstud ja nende omandamine ilma isiku nõusolekuta on põhimõtteliselt keelatud (Jaapani isikuandmete kaitse seaduse artikkel 17, lõige 2).

Erilise tähelepanu all olevateks isikuandmeteks on:

Artikkel 2, lõige 3
Jaapani isikuandmete kaitse seaduses tähendab “erilise tähelepanu all olevad isikuandmed” isikuandmeid, mis sisaldavad teavet, mis on määratletud määrusega kui selline, mille käitlemisel tuleb erilist tähelepanu pöörata, et vältida ebaõiglast diskrimineerimist, eelarvamusi või muid kahjusid isikule, nagu rass, usutunnistus, sotsiaalne staatus, haiguslugu, kuritegelik taust, kuriteo ohvriks langemise fakt jne.

See hõlmab ka puude, tervisekontrollide tulemusi, arstide juhiseid, ravi, retsepti jne, kriminaalmenetluse läbiviimist, alaealiste kaitsemenetluse läbiviimist jne.

Kui pole erandeid, on erilise tähelepanu all olevate isikuandmete “omandamine” ilma isiku nõusolekuta isegi keelatud. See range regulatsioon on kehtestatud, sest erilise tähelepanu all olevate isikuandmete omandamist ja käitlemist, isegi kui selleks pole vajadust, võib pidada diskrimineerivaks või eelarvamusi tekitavaks.

Juhtimise ja järelevalve eeskirjad

Paljud inimesed tunnevad muret ja ebakindlust, kui isikuandmed lekivad või neid muudetakse. Andmebaasidesse salvestatud isikuandmete puhul on suur hulk juhtumeid, kus klientide andmed on massiliselt lekkinud, põhjustades ühiskondlikke probleeme. Seetõttu peavad isikuandmete töötlejad võtma vajalikke ja asjakohaseid meetmeid (turvameetmeid) isikuandmete turvaliseks haldamiseks (artikkel 20).

Turvalisuse haldamise kohustuse rikkumine

Tegelikult on juhtudel, kus isikuandmed on internetis lekkinud, sageli tunnistatud turvalisuse haldamise kohustuse rikkumist. Väikeste ja keskmise suurusega ettevõtete puhul on turvameetmete sisu, arvestades nende omadusi, selgelt märgitud “Isikuandmete kaitse seaduse (Jaapani Isikuandmete Kaitse Komisjon) juhendis (üldosa)”. Juhendi järgimine ei ole oluline mitte ainult isikuandmete kaitse seaduse artikli 20 järgimiseks, vaid ka internetis toimuvate lekete tõttu privaatsuse rikkumise eest vastutuse vältimiseks.

Kuid olenemata sellest, kui hästi süsteemid ja protsessid on korraldatud, on nende nõuetekohane rakendamine lõpuks inimeste kätes. Seetõttu on sätestatud, et “isikuandmete töötlejad peavad oma töötajatele isikuandmete töötlemiseks teostama vajalikku ja asjakohast järelevalvet, et tagada isikuandmete turvaline haldamine” (artikkel 21).

https://monolith.law/corporate/trends-in-personal-information-leakage-and-loss-accidents-in-2019[ja]

Lisaks võib töötajate poolt kliendiandmete müügi või eemaldamise korral töötaja enda vastutus (Tsiviilseadustiku artikkel 709) kaasa tuua ka isikuandmete töötleja enda vastutuse (Tsiviilseadustiku artikkel 715), nii et ettevaatlikkus on vajalik.

“Kolmandatele isikutele edastamine” ja “delegeerimine”

Isikuandmete kaitse seaduses on sätestatud, et isegi kui see on ette nähtud avaldatud eesmärgil, on klientide isikuandmete “kolmandatele isikutele” edastamine põhimõtteliselt keelatud ilma nõusolekuta. Kuid kui seda reeglit järgida, muutub “kliendiandmebaasi hoidmine rendiserveris ebaseaduslikuks”. Rendiserver on ettevõtjate jaoks “kolmas isik”.

Kuid “kolmandatele isikutele edastamise” korral on “delegeerimine” erandlikult lubatud, kui see on “delegeerimine” isikutele, kes ei kasuta seda teavet. Näiteks rendiserver hoiab lihtsalt teavet, kuid ei kasuta seda. Sellist isikuandmete töötlemise delegeerimist kolmandatele isikutele tehakse sageli, kuid et vältida olukordi, kus delegeerimise vastuvõtja käitleb teavet ebasobivalt või kui vastutus muutub ebaselgeks mitmetasandilise delegeerimise tõttu, on sätestatud, et “isikuandmete töötlejad peavad isikuandmete töötlemise täielikult või osaliselt delegeerima, et tagada delegeeritud isikuandmete turvaline haldamine, teostades delegeerimise vastuvõtjale vajalikku ja asjakohast järelevalvet” (artikkel 22).

Isiku kaasamise kaudu isikuandmete käsitlemise korraldamine

Isikuandmete kaitse seadus võimaldab isikul, teatud tingimustel, nõuda isikuandmete töötlejalt enda kohta käivate isikuandmete avalikustamist (paragrahv 28), parandamist, täiendamist või kustutamist (paragrahv 29) ning kasutamise lõpetamist (paragrahv 30), et tagada isikuandmete käsitlemise korraldamine isiku kaasamise kaudu. Need isiku kaasamise õigused on selgelt määratletud eraõiguslike nõudmiste õigustena ja kui isikuandmete töötleja ei vasta nõudmisele, on võimalik õigusi kohtu kaudu realiseerida.

Kui isikuandmete töötlejalt nõutakse andmete avalikustamist, peab ta seda tegema. Kui andmetes on vigu, peab ta need parandama. Kui ta rikub seadusest tulenevaid kohustusi, nagu andmete kasutamine väljaspool ettenähtud eesmärki, ebaõigete andmete kogumine või andmete edastamine kolmandatele isikutele ilma isiku nõusolekuta, peab ta andmete kasutamise lõpetama. Nagu näha, kohustab isikuandmete kaitse seadus isikuandmete töötlejaid täitma mitmesuguseid kohustusi, et kaitsta kodanike õigusi.

Isikliku teabe lekke karistused

Isikuandmete kaitse seaduses (Jaapani isikuandmete kaitse seadus) on sätestatud karistused juhul, kui ettevõtja lekitab isiklikku teavet.

Kui ettevõtja rikub isikuandmete kaitse seadust ja lekitab teavet, soovitab riik esmalt “võtta meetmeid, mis on vajalikud rikkumise peatamiseks ja parandamiseks” (artikkel 42). Kui seda soovitust rikutakse, võib rikkumise toime pannud töötajale määrata “kuni kuue kuu pikkuse vangistuse või kuni 300 000 jeeni suuruse trahvi” (artikkel 84) ja samuti võib trahvi määrata ka ettevõttele, kes seda töötajat töötab, “kuni 300 000 jeeni” (artikkel 85). Lisaks, kui isiklikku teavet pakutakse või varastatakse ebaseadusliku kasu saamise eesmärgil, võib karistuseks olla “kuni ühe aasta pikkune vangistus või kuni 500 000 jeeni suurune trahv” (artikkel 83), ilma et oleks vaja soovitust.

https://monolith.law/corporate/risk-of-company-personal-information-leak-compensation-for-damages[ja]

Kokkuvõte

Isikuandmete kaitse seadus (Jaapani Isikuandmete Kaitse Seadus) on seadus, mis nõuab äriühingutelt, kes tegelevad isikuandmetega, nende nõuetekohast käsitlemist ja vajalike ning sobivate meetmete võtmist turvalisuse tagamiseks. See on peaaegu kõigi ettevõtete jaoks vältimatu ja oluline seadus.