Mik azok a személyes adatok és a személyes adatvédelmi törvény? Ügyvéd magyarázza el
A 2015-ben módosított (és 2017-től hatályba lépett) Személyes Adatok Védelméről szóló törvény (pontosabban a “Személyes Adatok Védelméről szóló törvény”) fontos jogszabály a vállalati tevékenységek során felmerülő személyes adatok kérdésének megvitatásakor, és tisztázza a személyes adatokat kezelő vállalkozások jogi kötelezettségeit. A személyes adatokat kezelő vállalkozásokra vonatkozóan, 2015-ig csak azokra vonatkozott, akiknek több mint 5000 személyes adatuk volt, így sok olyan vállalkozás volt, amely nem volt személyes adatokat kezelő vállalkozás, például kisvállalkozások. Azonban a 2015-ös módosítás után ez a feltétel megszűnt, így szinte minden vállalkozás személyes adatokat kezelő vállalkozássá vált, és ez a törvény elkerülhetetlenné vált a kisvállalkozások számára is. Az online kereskedelem, hírlevél, DM kiadás vagy fizikai üzlet pontkártyák esetében szükséges a vásárlók személyes adatainak, mint például a nevük és e-mail címük kezelése, ezért fontos, hogy tisztában legyünk a Személyes Adatok Védelméről szóló törvény alapjaival.
A személyes adatok védelméről szóló törvény célja és meghatározása
Milyen törvény a személyes adatok védelméről szóló törvény? Nézzük meg az áttekintését. Először is, az 1. cikkben tisztázódik a törvény célja.
A személyes adatok védelméről szóló törvény 1. cikk
Ez a törvény a fejlett információs és kommunikációs társadalom fejlődésével összhangban, figyelembe véve, hogy a személyes adatok használata jelentősen növekszik, meghatározza az alapelveket és a kormány által kialakított alapvető irányelveket a személyes adatok megfelelő kezelésével kapcsolatban, valamint a személyes adatok védelmével kapcsolatos intézkedések alapjait, tisztázza a nemzet és a helyi közösségek felelősségét, és meghatározza a személyes adatokat kezelő vállalkozások kötelezettségeit, hogy a személyes adatok megfelelő és hatékony felhasználása hozzájáruljon az új iparágak létrehozásához, a dinamikus gazdasági társadalomhoz és a gazdag nemzeti élethez, miközben figyelembe veszi a személyes adatok hasznosságát, és védi az egyének jogait és érdekeit.
Ez így van.
A 2. cikkben meghatározásra kerülnek a személyes adatok, a személyes adatok és a megtartott személyes adatok (2. cikk 1. bekezdés, 4. bekezdés, 5. bekezdés).
A személyes adatok védelméről szóló törvény szerint a “személyes adatok” olyan “információk, amelyek egy élő személyre vonatkoznak”, és amelyek “a benne szereplő név, születési dátum és egyéb leírások” alapján “azonosíthatóvá teszik az adott személyt (beleértve azt is, hogy más információkkal könnyen összehasonlítható, és ezáltal az adott személy azonosíthatóvá válik)”. A “személyes adatok” a fent említett személyes adatokat számítógéppel adatbázissá alakítják, és azok közül, amelyeket a vállalkozások több mint 6 hónapig tartanak, a “megtartott személyes adatok”.
A személyes adatok védelmének szükségessége nagymértékben függ attól, hogy azok adatbázisba vannak-e rendezve. A személyes adatok adatbázisba vannak rendezve, és könnyen kereshetők és rendszerezhetők, így a jogok megsértésének lehetősége nagyobb, ezért erősebb védelmet kapnak, mint a személyes adatok általában.
Még erősebb védelmet kapnak a megtartott személyes adatok, amelyek olyan személyes adatok, amelyeket a személyes adatok kezelője nyilvánosságra hozhat, módosíthat, hozzáadhat vagy törölhet, leállíthatja a használatukat, törölheti őket és leállíthatja azok harmadik félnek történő átadását (2. cikk 7. bekezdés), és a megtartott személyes adatok esetében a személynek megfelelően be kell avatkoznia saját információiba, és ezért elismerik a nyilvánosságra hozatal, a módosítás, a használat leállítása stb. kérelmét (lásd alább).
Személyes adatok kezelésére vonatkozó szabályok
A személyes adatok véletlenszerű felhasználásának megakadályozása érdekében szükséges, hogy a személyes adatok kezelésére vonatkozó szabályokat tisztességesen alkalmazzuk. Ezt úgy érhetjük el, hogy a személyes adatok felhasználásának célját egyértelműen meghatározzuk, és a kezelést a cél eléréséhez szükséges mértékben korlátozzuk.
Ezért a személyes adatokat kezelő vállalkozásoknak:
- meg kell határozniuk a személyes adatok felhasználásának célját a lehető legpontosabban (15. cikk (1) bekezdés)
- nem szabad túllépniük a személyes adatok felhasználásának céljának eléréséhez szükséges mértéket (16. cikk (1) bekezdés)
- nem szerezhetnek be személyes adatokat hamis vagy egyéb tisztességtelen módszerekkel (17. cikk (1) bekezdés)
- ha személyes adatokat szereznek, kötelesek közölni vagy közzétenni a felhasználás célját az érintett személlyel (18. cikk)
A Japán Személyes Adatvédelmi Törvény (Japanese Personal Information Protection Act) előírja, hogy a vállalkozásoknak a birtokukban lévő személyes adatokat a előre meghatározott és közzétett cél szerint kell felhasználniuk. Más szóval, a személyes adatokat bármilyen módon fel lehet használni, de a felhasználás célját előre meg kell határozni és közzé kell tenni. Például, nem illegális a személyes adatokat a felhasználók tulajdonságaihoz igazított hirdetések megjelenítésére használni, de a felhasználás célját előre közzé kell tenni. A közzététel módja nincs külön meghatározva, de általában a “Adatvédelmi irányelvek” vagy “Személyes adatvédelmi politika” formájában történik.
Másrészről, az úgynevezett érzékeny információk, azaz a különös figyelmet igénylő személyes adatok esetében, az alapvető személyes adatoknál szigorúbb szabályok vonatkoznak rájuk, és alapvetően tilos azok megszerzése az érintett személy hozzájárulása nélkül (17. cikk (2) bekezdés).
A különös figyelmet igénylő személyes adatok:
2. cikk (3) bekezdés
Az e törvényben “különös figyelmet igénylő személyes adatok” alatt olyan személyes adatokat értünk, amelyek tartalmazzák az érintett személy faját, vallását, társadalmi státuszát, egészségügyi állapotát, bűnügyi előéletét, bűncselekmény által okozott kárt, vagy más, az érintett személyre nézve tisztességtelen diszkriminációt, előítéletet vagy más hátrányt okozó tényeket, amelyek kezelését különös figyelemmel kell végezni, mint azt a kormányrendelet meghatározza.
Ezenkívül ide tartoznak a fogyatékosság, az egészségügyi vizsgálatok eredményei, az orvosok által adott tanácsok, kezelések, gyógyszerelés, a büntetőeljárások, a fiatalkorúak védelmére vonatkozó eljárások is.
Az a szigorú szabály, hogy a különös figyelmet igénylő személyes adatokat az érintett személy hozzájárulása nélkül még “megszerezni” sem szabad, hacsak nincs különleges kivétel, abból adódik, hogy ezek az információk olyanok, amelyeket nem szokás megszerezni, és amelyek kezelése diszkriminációt vagy előítéleteket eredményezhet.
Irányítási és felügyeleti szabályok
Sokan aggódnak és szorongást éreznek a személyes adatok szivárgása vagy manipulálása miatt. A személyes adatok adatbázisba rendezése esetén, mint például a nagy mennyiségű ügyfél adatok kiszivárgása, még inkább fennáll ez a probléma, mivel ezek gyakran társadalmi problémákat okoznak. Ezért a személyes adatokat kezelő vállalkozásoknak kötelesek megfelelő és szükséges intézkedéseket (biztonsági intézkedéseket) tenni az egyéni adatok biztonságos kezelése érdekében (20. cikk).
Biztonsági kötelezettségek megsértése
Valójában, a személyes adatok interneten történő szivárgása vagy kiszivárgása esetén, gyakran elismerik a biztonsági kötelezettségek megsértését, és a kis- és középvállalkozások esetében a biztonsági intézkedések tartalmát a “Japán Személyes Adatvédelmi Törvény Útmutatója (általános rész)” (Japán Személyes Adatvédelmi Bizottság) ismerteti. Ezért fontos, hogy ezen útmutató szerinti intézkedéseket hozzanak, nem csak a Japán Személyes Adatvédelmi Törvény 20. cikkének betartása érdekében, hanem az interneten történő szivárgások miatti személyes adatvédelmi jogsértésekkel kapcsolatos jogi felelősség elkerülése érdekében is.
Az intézmények és rendszerek kialakítása ellenére, a megfelelő működés végül az emberekre van bízva, ezért a “személyes adatokat kezelő vállalkozásoknak, amikor alkalmazottaikat megbízzák személyes adatok kezelésével, biztosítaniuk kell, hogy az alkalmazottak szükséges és megfelelő felügyelet alatt álljanak az egyéni adatok biztonságos kezelése érdekében” (21. cikk).
https://monolith.law/corporate/trends-in-personal-information-leakage-and-loss-accidents-in-2019[ja]
Megjegyzendő, hogy az alkalmazottak által végzett ügyfél adatok értékesítése vagy eltulajdonítása esetén, nem csak az alkalmazottak maguk viselnek jogi felelősséget (a Polgári Törvénykönyv 709. cikke), hanem a személyes adatokat kezelő vállalkozások is viselhetnek felelősséget (a Polgári Törvénykönyv 715. cikke), ezért óvatosság szükséges.
“Harmadik félnek történő átadás” és “megbízás”
A Japán Személyes Adatvédelmi Törvény szerint, még ha a cél előzetesen nyilvánosságra is hozták, az ügyfelek személyes adatainak “harmadik félnek” történő átadása alapvetően tilos, hacsak nincs rájuk hozzájárulás. Ha azonban ezt a szabályt továbbviszik, akkor “a ügyfelekről szóló adatbázisokat bérelt szervereken tárolni is törvénytelen” lenne. A bérelt szerver a vállalkozás számára “harmadik fél”.
Az “átadás” kivételként engedélyezett a “megbízás” esetében, ha az információt nem használó személyeknek történő “megbízás” engedélyezett. Például a bérelt szerverek csak tárolják az információt, nem használják azt. Az ilyen, harmadik félnek történő személyes adatok kezelésének megbízása gyakran előfordul, de a megbízott fél által végzett helytelen kezelés, vagy a hierarchikus megbízások ismétlődése miatt a felelősség helye nem egyértelmű, ezért a “személyes adatokat kezelő vállalkozásoknak, amikor a személyes adatok kezelését teljes egészében vagy részben megbízzák, biztosítaniuk kell, hogy a megbízott személy szükséges és megfelelő felügyelet alatt álljon az egyéni adatok biztonságos kezelése érdekében” (22. cikk).
Személyes adatok kezelésének megfelelővé tétele az érintett bevonásával
A személyes adatok védelméről szóló törvény lehetővé teszi, hogy az érintett bevonásával a személyes adatok kezelése megfelelő legyen. Egy bizonyos feltételrendszer alapján az érintettnek jogában áll, hogy a személyes adatokat kezelő vállalkozástól kérje saját személyes adatainak nyilvánosságra hozatalát (28. cikk), javítását, kiegészítését, törlését (29. cikk), vagy a használatának megszüntetését (30. cikk). Ezek az érintett bevonására vonatkozó jogok egyértelműen polgári jogi igényekként vannak meghatározva, és ha az érintett ilyen igényt nyújt be, de a személyes adatokat kezelő vállalkozás nem tesz eleget neki, akkor a bíróságon keresztül érvényesítheti jogait.
A személyes adatokat kezelő vállalkozásnak, ha az érintettől ilyen kérés érkezik, nyilvánosságra kell hoznia a személyes adatokat, és ha azokban hiba van, akkor javítania kell azt. Ha a vállalkozás jogellenesen, például a célján kívül használja fel az adatokat, vagy nem megfelelő módon szerezte be azokat, vagy harmadik félnek adja át azokat az érintett hozzájárulása nélkül, akkor meg kell szüntetnie az adatok használatát. Mint látható, a személyes adatok védelméről szóló törvény különböző kötelezettségeket ír elő a személyes adatokat kezelő vállalkozások számára, ezzel védelmezve a polgárok jogait.
Szankciók személyes adatok szivárgása esetén
A Japán Személyes Adatvédelmi Törvény (Japanese Personal Information Protection Act) szankciókat határoz meg azokra az üzleti szervezetekre nézve, amelyek személyes adatokat szivárogtatnak.
Ha egy üzleti szervezet megsérti a Személyes Adatvédelmi Törvényt, és információkat szivárogtat, először a kormány “javaslatot tesz a jogsértő magatartás megszüntetésére és más, a jogsértés helyesbítéséhez szükséges intézkedések megtételére” (42. cikk). Ha ezt a javaslatot is megsértik, a jogsértő alkalmazottat “legfeljebb hat hónapig tartó szabadságvesztéssel vagy legfeljebb 300 000 jen bírsággal” sújthatják (84. cikk), és a jogsértő alkalmazottat foglalkoztató cég is “legfeljebb 300 000 jen bírsággal” sújtható (85. cikk). Továbbá, ha valaki jogtalan előnyre törekszik, és adatokat szolgáltat vagy lop, akkor “legfeljebb egy évig tartó szabadságvesztéssel vagy legfeljebb 500 000 jen bírsággal” büntethető, javaslat nélkül (83. cikk).
Összefoglalás
A személyes adatok védelméről szóló törvény (japán: 個人情報保護法) előírja, hogy a személyes adatokat kezelő vállalkozásoknak megfelelően kell kezelniük ezeket az információkat, és szükséges és megfelelő intézkedéseket kell tenniük a biztonságos kezelés érdekében. Ez a törvény szinte minden vállalat számára elkerülhetetlen és fontos jogszabály.