Mikä on 'Japanin henkilötietosuoja-asetus' ja henkilötiedot? Asianajaja selittää

Vuonna 2015 muutettu (ja vuodesta 2017 lähtien voimaan tullut) henkilötietojen suojaa koskeva laki (tarkemmin sanottuna “Laki henkilötietojen suojasta”) on tärkeä säädös, kun pohditaan henkilötietojen kysymyksiä yritystoiminnassa. Se selkeyttää henkilötietojen käsittelijöiden laillisia velvollisuuksia. Henkilötietojen käsittelijöiden osalta, vuoteen 2015 (Heisei 27) asti, vain ne, jotka hallitsivat yli 5000 henkilön tietoja, olivat mukana. Tämän vuoksi monet pienyritykset, jotka eivät olleet henkilötietojen käsittelijöitä, olivat yleisiä. Kuitenkin vuoden 2015 muutoksen jälkeen tämä ehto poistettiin, joten lähes kaikki yritykset ovat nyt henkilötietojen käsittelijöitä, mikä tekee laista välttämättömän myös pienyritysten omistajille. Koska asiakkaiden nimien ja sähköpostiosoitteiden kaltaisia henkilötietoja on käsiteltävä esimerkiksi verkkokaupan, sähköpostimarkkinoinnin, suoramarkkinoinnin ja kanta-asiakaskorttien vuoksi, on tärkeää ymmärtää henkilötietojen suojaa koskevan lain perusteet.

Henkilötietojen suojalain (Japanin henkilötietojen suojalaki) tarkoitus ja määritelmät

Mikä henkilötietojen suojalaki tarkalleen ottaen on? Katsotaanpa sen yleiskatsausta. Ensimmäisessä pykälässä määritellään lain tarkoitus.

Henkilötietojen suojalain 1 §
Tämän lain tarkoituksena on, ottaen huomioon henkilötietojen käytön merkittävän laajenemisen korkean tason tietoliikenteen yhteiskunnan kehityksen myötä, määritellä perusperiaatteet ja hallituksen peruspolitiikka sekä muut henkilötietojen suojelua koskevat toimenpiteet, selventää valtion ja paikallisten julkisyhteisöjen velvollisuudet, sekä määritellä henkilötietoja käsittelevien yritysten noudatettavat velvollisuudet. Tämä kaikki tehdään, jotta henkilötietojen asianmukainen ja tehokas käyttö edistäisi uusien teollisuudenalojen luomista sekä dynaamisen taloudellisen yhteiskunnan ja rikkaan kansalaiselämän toteutumista, samalla kun otetaan huomioon henkilötietojen hyödyllisyys ja suojellaan yksilön oikeuksia ja etuja.

Näin siinä sanotaan.

Toisessa pykälässä määritellään henkilötiedot, henkilökohtaiset tiedot ja säilytettävät henkilötiedot (2 §:n 1 momentti, 4 momentti, 5 momentti).
Henkilötietojen suojalain mukaan “henkilötiedot” ovat “elävää henkilöä koskevia tietoja”, jotka “sisältävät nimen, syntymäajan ja muut tiedot”, joiden avulla “voidaan tunnistaa tietty henkilö (mukaan lukien tiedot, jotka voidaan helposti yhdistää muihin tietoihin, jolloin voidaan tunnistaa tietty henkilö)”. “Henkilökohtaiset tiedot” ovat tietokoneella tietokantaan tallennettuja henkilötietoja, ja niistä tiedoista, joita yritys on säilyttänyt yli kuusi kuukautta, tulee “säilytettävät henkilötiedot”.

Henkilötietojen suojelun tarve vaihtelee suuresti sen mukaan, onko tiedot tietokantaan tallennettu vai ei. Henkilökohtaiset tiedot ovat tietokantaan tallennettuja ja helposti haettavissa olevia henkilötietoja, joiden oikeuksien loukkaamisen mahdollisuus on suurempi, joten niille annetaan vahvempi suojelu kuin yleisille henkilötiedoille.

Viela vahvempi suojelu on säilytettävillä henkilötiedoilla, jotka ovat henkilötietojen käsittelijän hallussa olevia henkilötietoja, joilla on oikeus pyytää tietojen luovuttamista, korjaamista, lisäämistä tai poistamista, käytön lopettamista, poistamista ja kolmansille osapuolille luovuttamisen lopettamista (2 §:n 7 momentti). Säilytettävien henkilötietojen osalta on sallittu pyynnöt tietojen luovuttamisesta, korjaamisesta, käytön lopettamisesta jne., jotta henkilö voisi asianmukaisesti osallistua omien tietojensa käsittelyyn (kuten jäljempänä selitetään).

Henkilötietojen käsittelyä koskevat säännöt

Jotta henkilötietoja ei käytettäisi holtittomasti, on tärkeää määritellä selkeät säännöt niiden asianmukaiselle käsittelylle. Henkilötietoja saa käyttää vain tiettyyn, etukäteen määriteltyyn tarkoitukseen, ja niiden käsittely tulee rajoittaa vain tähän tarkoitukseen tarvittavaan laajuuteen.

Näin ollen, henkilötietojen käsittelijän on:

• Määriteltävä henkilötietojen käyttötarkoitus mahdollisimman tarkasti (Japanin henkilötietosuojalaki, 15 §:n 1 momentti)
• Ei saa käsitellä henkilötietoja yli määritellyn käyttötarkoituksen tarpeellisen laajuuden (Japanin henkilötietosuojalaki, 16 §:n 1 momentti)
• Ei saa hankkia henkilötietoja petollisin tai muin epärehellisin keinoin (Japanin henkilötietosuojalaki, 17 §:n 1 momentti)
• Jos henkilötietoja on hankittu, käyttötarkoitus on ilmoitettava tai julkaistava henkilölle (Japanin henkilötietosuojalaki, 18 §)

Henkilötietosuojalaki vaatii, että yritykset käyttävät hallussaan olevia henkilötietoja vain etukäteen määriteltyyn ja julkistettuun tarkoitukseen. Toisin sanoen, “henkilötietoja voidaan käyttää miten tahansa, kunhan käyttötarkoitus on määritelty ja julkistettu”. Esimerkiksi “henkilötietojen käyttö mainosten näyttämiseen käyttäjän ominaisuuksien mukaan” ei itsessään ole laitonta, mutta käyttötarkoitus on julkistettava etukäteen. Julkistamistapa ei ole erityisesti määritelty, mutta yleisesti tämä tehdään “tietosuojakäytännön” tai “henkilötietosuojapolitiikan” muodossa.

Toisaalta, niin sanottuja arkaluonteisia tietoja, eli erityistä huomiota vaativia henkilötietoja, koskee normaaleja henkilötietoja tiukempi sääntely: niiden hankkiminen ilman henkilön suostumusta on periaatteessa kielletty (Japanin henkilötietosuojalaki, 17 §:n 2 momentti).

Erityistä huomiota vaativat henkilötiedot määritellään seuraavasti:

2 §:n 3 momentti
Tässä laissa “erityistä huomiota vaativat henkilötiedot” tarkoittavat henkilötietoja, jotka sisältävät tietoja henkilön rodusta, uskonnosta, sosiaalisesta asemasta, sairaushistoriasta, rikoshistoriasta, rikoksen uhriksi joutumisesta tai muista seikoista, jotka voivat johtaa epäoikeudenmukaiseen syrjintään, ennakkoluuloihin tai muihin haittoihin henkilöä kohtaan, ja jotka vaativat erityistä huomiota käsittelyssä asetuksen mukaan.

Tämä sisältää myös tiedot vammoista, terveystarkastusten tuloksista, lääkärin tai muun terveydenhuollon ammattilaisen antamista ohjeista, hoidosta tai lääkemääräyksistä, rikosoikeudellisista menettelyistä ja nuorisosuojelutoimenpiteistä.

Ellei tiettyjä poikkeuksia ole, erityistä huomiota vaativia henkilötietoja ei saa edes “hankkia” ilman henkilön suostumusta. Tämä tiukka sääntely johtuu siitä, että erityistä huomiota vaativat henkilötiedot voivat johtaa syrjintään tai ennakkoluuloihin, vaikka niiden hankkimiselle ei olisi tarvetta.

Johtamista ja valvontaa koskevat säännöt

Monet ihmiset ovat huolissaan ja pelkäävät tilannetta, jossa henkilötietoja vuotaa tai niitä muunnellaan. Tietokantaan tallennettujen henkilötietojen osalta on syntynyt useita yhteiskunnallisia ongelmia, kuten asiakastietojen massiivisia vuotoja. Siksi henkilötietojen käsittelijöillä on velvollisuus toteuttaa tarpeellisia ja asianmukaisia toimenpiteitä (turvallisuuden hallintatoimenpiteitä) henkilötietojen turvallisen hallinnan varmistamiseksi (20 §).

Turvallisuuden hallintavelvollisuuden rikkominen

Käytännössä, tapauksissa, joissa henkilötietoja on vuotanut tai vuodatettu internetissä, turvallisuuden hallintavelvollisuuden rikkominen on usein tunnustettu. Pienille ja keskisuurille yrityksille on määritelty turvallisuuden hallintatoimenpiteet, jotka otetaan huomioon niiden erityispiirteet, ‘Henkilötietojen suojelua koskevissa ohjeissa (yleiset säännöt)’ (Henkilötietojen suojelukomissio). Noudattamalla näitä ohjeita ei ainoastaan noudateta henkilötietojen suojelulain 20 §:ää, vaan se on myös tärkeää välttääkseen tilanteita, joissa yksityisyyden loukkaamista internetissä tapahtuvien vuotojen perusteella pidetään laittomana toimintana.

Kuitenkin, riippumatta siitä, kuinka järjestelmät ja järjestelyt ovat, niiden asianmukainen käyttö on lopulta jätettävä ihmisten tehtäväksi. Siksi on määrätty, että ‘henkilötietojen käsittelijän on valvottava työntekijöitään tarpeellisella ja asianmukaisella tavalla varmistaakseen henkilötietojen turvallisen hallinnan, kun he antavat työntekijöiden käsitellä henkilötietoja’ (21 §).

https://monolith.law/corporate/trends-in-personal-information-leakage-and-loss-accidents-in-2019[ja]

Huomaa, että työntekijöiden asiakastietojen myynti tai vieminen ei ainoastaan aiheuta työntekijälle laittoman toiminnan vastuuta (siviililaki 709 §), vaan henkilötietojen käsittelijä itse voi myös olla vastuussa työnantajana (siviililaki 715 §), joten varovaisuus on tarpeen.

‘Kolmansille osapuolille tarjoaminen’ ja ‘ulkoistaminen’

Henkilötietojen suojelulain mukaan asiakkaan henkilötietojen ‘tarjoaminen kolmansille osapuolille’ on periaatteessa kielletty, vaikka se olisi tehty etukäteen ilmoitetun tarkoituksen mukaisesti, ellei asiakkaan suostumusta ole. Kuitenkin, jos tätä sääntöä noudatetaan tiukasti, ‘asiakastietokannan sijoittaminen vuokrapalvelimelle tai vastaavalle olisi laitonta’. Vuokrapalvelin on yritykselle ‘kolmas osapuoli’.

Kuitenkin, ‘kolmansille osapuolille tarjoamisen’ yhteydessä, ‘ulkoistaminen’ on sallittu poikkeuksellisesti, ja se on sallittu, jos se on ‘ulkoistettu’ henkilölle, joka ei käytä tietoja. Esimerkiksi, vuokrapalvelin säilyttää vain tietoja, eikä käytä niitä. Tällainen henkilötietojen käsittelyn ulkoistaminen kolmansille osapuolille on yleistä, mutta välttääkseen tilanteita, joissa ulkoistamisen vastaanottaja käsittelee tietoja sopimattomasti tai vastuun paikka muuttuu epäselväksi toistuvan ulkoistamisen seurauksena, on määrätty, että ‘henkilötietojen käsittelijän on valvottava ulkoistamisen vastaanottajaa tarpeellisella ja asianmukaisella tavalla varmistaakseen henkilötietojen turvallisen hallinnan, kun he ulkoistavat kaiken tai osan henkilötietojen käsittelystä’ (22 §).

Henkilötietojen käsittelyn asianmukaistaminen henkilön osallistumisen avulla

Japanilainen henkilötietojen suojalaki mahdollistaa henkilön osallistumisen henkilötietojen käsittelyn asianmukaistamiseen. Lain mukaan henkilöllä on tietyin edellytyksin oikeus vaatia henkilötietojen käsittelijältä omien henkilötietojensa luovuttamista (28 §), korjaamista, lisäämistä tai poistamista (29 §) sekä käytön lopettamista (30 §). Nämä oikeudet on selkeästi määritelty yksityisoikeudellisiksi vaatimuksiksi, ja jos henkilötietojen käsittelijä ei vastaa näihin vaatimuksiin, henkilö voi toteuttaa oikeutensa oikeudenkäynnin kautta.

Henkilötietojen käsittelijän on luovutettava henkilötiedot, jos tietojen omistaja sitä vaatii. Jos tiedoissa on virheitä, käsittelijän on korjattava ne. Jos käsittelijä rikkoo lakia, esimerkiksi käyttämällä tietoja muuhun tarkoitukseen, hankkimalla tiedot sopimattomalla tavalla tai luovuttamalla tiedot kolmannelle osapuolelle ilman henkilön suostumusta, käsittelijän on lopetettava tietojen käyttö. Kuten edellä on esitetty, Japanilainen henkilötietojen suojalaki suojaa kansalaisten oikeuksia asettamalla erilaisia velvollisuuksia henkilötietoja käsitteleville yrityksille.

Henkilötietojen vuotamisen rangaistukset

Japanilaisessa henkilötietojen suojelulaissa (Personal Information Protection Act) on määritelty rangaistukset, jos yritys vuotaa henkilötietoja.

Jos yritys rikkoo henkilötietojen suojelulakia ja vuotaa tietoja, ensimmäinen toimenpide on yleensä suositus valtiolta “lopettaa rikkomus ja toteuttaa tarvittavat toimenpiteet rikkomuksen korjaamiseksi” (Artikla 42). Jos tämä suositus rikotaan, rikkomukseen syyllistynyt työntekijä voi saada “enintään kuuden kuukauden vankeusrangaistuksen tai enintään 300 000 jenin sakon” (Artikla 84), ja myös työntekijän työnantajayritys voi saada “enintään 300 000 jenin sakon” (Artikla 85). Lisäksi, jos henkilötietoja on tarjottu tai varastettu epärehellisen hyödyn tavoittelun tarkoituksessa, voidaan rangaistukseksi määrätä “enintään yhden vuoden vankeusrangaistus tai enintään 500 000 jenin sakko” ilman edellä mainittua suositusta (Artikla 83).

https://monolith.law/corporate/risk-of-company-personal-information-leak-compensation-for-damages[ja]

Yhteenveto

Henkilötietojen suojalaki (Japanin henkilötietojen suojalaki) on laki, joka vaatii yrityksiä, jotka käsittelevät henkilötietoja, ottamaan käyttöön asianmukaisia ja tarpeellisia toimenpiteitä tietojen turvalliseen hallintaan. Tämä laki on välttämätön ja merkittävä lähes kaikille yrityksille.