Onko asiakastiedon ostaminen laillista? Selitämme 'Japanin henkilötietojen suojalakia
30. toukokuuta 2017 (Heisei 29) ‘Muutettu henkilötietolaki’ (Japanin henkilötietolaki) tuli täysimääräisesti voimaan, ja kaikki yritykset, jotka käsittelevät henkilötietoja, soveltuvat nyt ‘henkilötietojen käsittelijöiksi’ henkilötietolain mukaisesti.
Tämä koskee myös yrityksiä, jotka ovat hankkineet henkilötietoja esimerkiksi ostamalla asiakasrekistereitä. Siksi henkilöiden, jotka harkitsevat asiakastietojen ostamista, on tunnettava henkilötietojen myyntiin, ostoon ja käyttöön liittyvät menettelyt, velvollisuudet ja kielletyt toimet.
Tässä yhteydessä selitämme yksityiskohtaisesti henkilötietolain määräykset ja huomioon otettavat seikat asiakastietojen ostamisesta käyttöön.
Mikä on henkilötietojen suojalaki?
Henkilötietojen suojalain virallinen nimi on “Laki henkilötietojen suojasta”. Se on säädetty vuonna 2003 (Heisei 15) ja sitä on muutettu useita kertoja ajan myötä, esimerkiksi digitaalisen datan kehityksen myötä.
Tämä laki ei rajoita henkilötietojen käyttöä, vaan sen päätavoitteena on “suojelu” ja “asianmukainen käyttö”.
Henkilötietojen suojalain tavoitteet
- Yksilön oikeuksien ja etujen suojaaminen sekä henkilötietojen asianmukaisten käyttösääntöjen määrittäminen
- Henkilötietoja käsittelevien yritysten velvollisuuksien ja rangaistusten määrittäminen
Henkilötietojen määritelmä
“Henkilötiedot”, kuten määritelty henkilötietojen suojalaissa, ovat tietoja elävästä yksilöstä, jotka täyttävät seuraavat ehdot:
- Tiedot, jotka sisältävät nimen, syntymäajan tai muita tietoja, joilla voidaan tunnistaa tietty henkilö
- Tiedot, jotka sisältävät henkilökohtaisen tunnistuskoodin
Mitä henkilökohtainen tunnistuskoodi tarkoittaa
Henkilökohtainen tunnistuskoodi on merkki, numero, symboli tai muu koodi, jolla voidaan tunnistaa tietty henkilö, ja joka täyttää seuraavat ehdot ja on erikseen määritelty asetuksissa tai säännöissä:
- Koodit, jotka on muunnettu tietokoneelle kehon osan ominaisuuksista (DNA, kasvot, iirikset, äänijäljet, kävelytapa, sormien suonet, sormenjäljet, kämmenenjäljet jne.)
- Koodit, jotka on jaettu palvelun käyttäjille tai asiakirjoissa (passinumero, peruseläkenumero, ajokortin numero, asukasrekisterikoodi, My Number, erilaiset vakuutuskortit jne.)
Jos haluat tietää lisää henkilötietojen suojalaista, voit lukea lisää alla olevasta linkistä yhdessä tämän artikkelin kanssa.
Liittyvä artikkeli: Mitä henkilötietojen suojalaki ja henkilötiedot tarkoittavat? Asianajaja selittää[ja]
Onko asiakastietojen myynti laillista?
Yleiset yritykset, lukuun ottamatta valtion virastoja ja julkisia organisaatioita, voivat myydä asiakastietoja laillisesti, kunhan noudattavat Japanin henkilötietojen suojalakia (Japanese Personal Information Protection Law).
Menettelyt henkilötietojen luovuttamiseksi kolmansille osapuolille
Kun yritys luovuttaa henkilötietojen tietokantoja tai vastaavia kolmansille osapuolille, seuraavat menettelyt ovat pakollisia:
Periaatteessa henkilön suostumus on hankittava etukäteen
Kuitenkin seuraavat tilanteet ovat poikkeuksia:
① Jos se perustuu lakiin
② Jos henkilön suostumuksen saaminen on vaikeaa ja se on tarpeen ihmisen elämän, terveyden tai omaisuuden suojelemiseksi, tai yleisen terveyden tai lasten terveen kasvun edistämiseksi
③ Jos yhteistyötä tehdään valtion tai paikallisten julkisten organisaatioiden kanssa
Kolmansille osapuolille luovuttaminen opt-out -menettelyn avulla
Jos yritys on määrittänyt, että se voi lopettaa henkilötietojen luovuttamisen kolmansille osapuolille pyynnöstä (opt-out), seuraavat menettelyt mahdollistavat henkilötietojen luovuttamisen kolmansille osapuolille ilman henkilön suostumusta:
Seuraavat kohdat ① – ⑤ on ilmoitettava henkilölle etukäteen tai ne on saatettava henkilön helposti tietoon esimerkiksi verkkosivulla, ja ne on ilmoitettava Japanin henkilötietojen suojelukomitealle (Japanese Personal Information Protection Commission).
① Kolmansille osapuolille luovuttaminen on osa käyttötarkoitusta.
② Kolmansille osapuolille luovutettavien henkilötietojen tiedot
③ Menetelmä kolmansille osapuolille luovuttamiseksi
④ Henkilötietojen luovuttamisen lopettaminen pyynnöstä.
⑤ Menetelmä pyynnön vastaanottamiseksi
On huomattava, että “erityistä huomiota vaativat henkilötiedot”, kuten rotu, uskonto, sosiaalinen asema, sairaushistoria ja rikosrekisteri, joista voi aiheutua epäoikeudenmukaista syrjintää tai ennakkoluuloja, jos ne tulevat muiden tietoon, voidaan luovuttaa kolmansille osapuolille vain henkilön etukäteen antamalla suostumuksella.
Mitä tulee huomioida asiakastietoja ostaessa
Lainsäädännöllä määritellyt velvollisuudet
Asiakastietoja ostaessa ostajasta tulee “henkilötietojen käsittelijä”, joten henkilötietojen vastaanottamisessa kolmansilta osapuolilta, kuten rekisterinpitäjiltä, on noudatettava seuraavia lainsäädännöllisiä velvollisuuksia.
Asiakastietoja ostaessa on varmistettava seuraavat kaksi seikkaa:
- Rekisterinpitäjän nimi, osoite ja edustaja
- Rekisterinpitäjän henkilötietojen hankkimisen tausta
Asiakastietoja ostaessa on kirjattava seuraavat tiedot ja säilytettävä ne kolme vuotta:
- Henkilötietojen vastaanottamisen päivämäärä
- Rekisterinpitäjän nimi, osoite ja edustaja
- Rekisterinpitäjän henkilötietojen hankkimisen tausta
- Tiedot, jotka riittävät henkilön tunnistamiseen kyseisten henkilötietojen perusteella, kuten nimi
- Kyseisten henkilötietojen kohdat
- Jos kyseessä on kolmannen osapuolen tietojen tarjoaminen opt-out -menettelyn kautta, henkilötietojen suojelukomitea (Japanese Personal Information Protection Commission) on julkaissut tarvittavat tiedot.
Opt-out -menettelyn ilmoitukset voidaan tarkistaa Henkilötietojen suojelukomitean verkkosivuilta[ja].
Asiakastietojen hankkimiseen liittyvät tarkistukset
Asiakastietoja ostaessa on myös tärkeää tarkistaa rekisterinpitäjien ja muiden tietojen hankkimismenetelmät. Vaikka asiakastiedot olisi hankittu laillisesti, jos tietojen hankkimismenetelmä on laiton, käyttäjä voi joutua vastaamaan vahingonkorvausvaatimuksiin.
Rekisterinpitäjien ja muiden on laitonta hankkia asiakastietoja epärehellisin keinoin, mutta lisäksi hankinnassa on seuraavat velvollisuudet, jotka on tarkistettava ennen ostamista:
- Onko käyttötarkoitus määritelty konkreettisesti
- Onko määritelty käyttötarkoitus julkaistu tai ilmoitettu henkilölle
- Onko henkilön suostumus saatu, jos hankittuja henkilötietoja käytetään muuhun tarkoitukseen
- Kun henkilötietoja vastaanotetaan kolmannelta osapuolelta, onko tarjoajan nimen ja osoitteen lisäksi tarkistettu henkilötietojen hankkimisen tausta, ja onko vastaanottopäivämäärä, tarkistettavat asiat jne. kirjattu ja säilytetty kolme vuotta
- Ei sisällä “erityistä huomiota vaativia henkilötietoja”, joiden saamiseen tarvitaan aina henkilön suostumus
Jos haluat tietää lisää henkilötietojen vuotoista ja vahingonkorvauksista, katso alla oleva linkki, jossa aiheesta kerrotaan yksityiskohtaisemmin. Suosittelemme lukemaan tämän artikkelin yhdessä sen kanssa.
Liittyvä artikkeli: Yrityksen henkilötietojen vuotojen ja vahingonkorvausten riski[ja]
Asiakastietojen käyttöön liittyvät velvollisuudet
Älä ylitä käyttötarkoituksen rajoja
Luetteloyritysten ja muiden on kiellettyä käyttää asiakastietoja yli sovitun käyttötarkoituksen ilman asianomaisen suostumusta. Jos aiot käyttää tietoja toiseen tarkoitukseen, sinun on hankittava uusi suostumus.
Käyttö myyntipuheluissa
Kun teet “puhelumyyntiä”, jossa tavoitteena on houkutella ihmisiä ostamaan tuotteita tai solmimaan kauppasopimuksia puhelimitse, sinun on noudatettava seuraavia Japanin erityiskauppalain (Japanese Specified Commercial Transactions Law) määräyksiä:
Kerro kuluttajalle seuraavat asiat ennen kuin aloitat myynnin:
- Yrityksen nimi
- Vastuuhenkilön (myyjän) nimi
- Myytävän tuotteen (oikeuden, palvelun) tyyppi
- Tavoite solmia sopimus
Kielletyt toimet
- Yrittää myydä uudelleen henkilölle, joka on jo kieltäytynyt
- Antaa harhaanjohtavia tietoja
- Jättää tahallisesti kertomatta tosiasioita
- Uhkailla tai hämmentää vastapuolta
Käyttö sähköpostimarkkinoinnissa
Erityissähköpostilain (Japanese Specified Electronic Mail Law) mukaan, jos lähetät sähköpostia mainostarkoituksessa, sinun on periaatteessa kiellettyä lähettää viestejä henkilöille, jotka eivät ole ① ilmaisseet haluavansa vastaanottaa tällaisia viestejä tai ② suostuneet niiden lähettämiseen.
Vaikka luetteloyritykset olisivat saaneet edellä mainitut ① ja ② ilmoitukset, luettelon ostajan on hankittava uudet ① ja ② ilmoitukset, joten sähköpostin käyttö voi olla hankalaa.
Turvallisuuden hallintatoimenpiteiden velvollisuus
Kun hankit asiakastietoja, sinusta tulee henkilötietojen käsittelijä, ja sinun on toteutettava tarvittavat toimenpiteet henkilötietojen vuotamisen, häviämisen tai vahingoittumisen estämiseksi.
Lisäksi sinun on valvottava asianmukaisesti työntekijöitä, jotka käsittelevät henkilötietoja, jotta henkilötietojen turvallisuus voidaan taata.
Yhteenveto
Tällä kertaa olemme selittäneet asiakastietojen ostamista ja sen suhdetta Japanin henkilötietosuoja-lakiin (‘Japanese Personal Information Protection Act’) seuraavien neljän kohdan kautta:
- Mikä on henkilötietosuoja-laki?
- Onko asiakastietojen ostaminen ja myyminen laillista?
- Mitä pitää ottaa huomioon ostaessa asiakastietoja
- Mitä pitää ottaa huomioon käytettäessä asiakastietoja
Kuitenkin, kun teet kauppaa ulkomaisten kuluttajien kanssa internetin kautta, sinun on tarkistettava paitsi kotimaan laki, myös kunkin maan lainsäädäntö.
Jos siis harkitset asiakastietojen ostamista tai käyttämistä, suosittelemme, että et tee päätöstä yksin, vaan konsultoit etukäteen asianajajan kanssa, jolla on laaja asiantuntemus ja kokemus, ja pyydät neuvoja.
Esittely toimenpiteistämme toimistossamme
Monolis Lakitoimisto on lakitoimisto, jolla on korkea asiantuntemus IT:stä, erityisesti internetistä ja laista. Viime vuosina, ‘Japanilainen Henkilötietojen suojelulaki’ on herättänyt huomiota, ja oikeudellisen tarkastuksen tarve kasvaa yhä enemmän. Yksityiskohdat on esitetty alla olevassa artikkelissa.