MONOLITH LAW OFFICE+81-3-6262-3248Hari kerja 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Apa itu Undang-Undang Perlindungan Informasi Pribadi dan Informasi Pribadi? Seorang Pengacara Menjelaskan

General Corporate

Apa itu Undang-Undang Perlindungan Informasi Pribadi dan Informasi Pribadi? Seorang Pengacara Menjelaskan

Undang-Undang Perlindungan Data Pribadi yang diubah pada tahun 2015 (diberlakukan mulai tahun 2017) atau dengan tepatnya “Undang-Undang tentang Perlindungan Data Pribadi” (Japanese: 個人情報の保護に関する法律) merupakan peraturan penting saat mempertimbangkan masalah data pribadi dalam aktivitas bisnis, dan bertujuan untuk menjelaskan kewajiban hukum yang harus dipenuhi oleh pengelola data pribadi. Hingga tahun 2015 (tahun Heisei 27 dalam kalender Jepang), hanya perusahaan yang memiliki data pribadi lebih dari 5000 orang yang dianggap sebagai pengelola data pribadi. Oleh karena itu, banyak perusahaan kecil yang tidak dianggap sebagai pengelola data pribadi. Namun, setelah revisi tahun 2015, batasan ini dihapus, sehingga hampir semua perusahaan menjadi pengelola data pribadi, menjadikan undang-undang ini tidak bisa dihindari bahkan oleh pemilik bisnis kecil. Untuk keperluan penjualan online, buletin email, pengiriman DM, dan kartu poin untuk toko fisik, perlu untuk menangani data pribadi seperti nama dan alamat email pelanggan, sehingga penting untuk memahami dasar-dasar Undang-Undang Perlindungan Data Pribadi.

Tujuan dan Definisi dari Undang-Undang Perlindungan Informasi Pribadi Jepang

Kami akan menjelaskan ringkasan dan definisi dari Undang-Undang Perlindungan Informasi Pribadi Jepang.

Apa sebenarnya Undang-Undang Perlindungan Informasi Pribadi Jepang? Mari kita lihat ringkasannya. Pertama, tujuan dari undang-undang ini dijelaskan dalam Pasal 1.

Pasal 1 Undang-Undang Perlindungan Informasi Pribadi Jepang
Undang-undang ini bertujuan untuk melindungi hak dan kepentingan individu dengan mempertimbangkan kegunaan informasi pribadi, dengan menetapkan hal-hal dasar tentang perlindungan informasi pribadi, termasuk prinsip dasar dan kebijakan dasar pemerintah dan tugas-tugas pemerintah dan badan publik lokal, serta kewajiban yang harus dipatuhi oleh pengusaha yang menangani informasi pribadi, dengan mempertimbangkan bahwa penggunaan yang tepat dan efektif dari informasi pribadi berkontribusi pada penciptaan industri baru dan realisasi masyarakat ekonomi yang dinamis dan kehidupan nasional yang makmur di tengah kemajuan masyarakat komunikasi informasi tingkat tinggi dan peningkatan penggunaan informasi pribadi.

Demikianlah yang tertulis.

Pada Pasal 2, informasi pribadi, data pribadi, dan data pribadi yang dimiliki didefinisikan (Pasal 2 Ayat 1, 4, dan 5).
Dalam Undang-Undang Perlindungan Informasi Pribadi Jepang, “informasi pribadi” adalah “informasi tentang individu yang masih hidup” yang “dapat mengidentifikasi individu tertentu dengan nama, tanggal lahir, dan deskripsi lainnya yang termasuk dalam informasi tersebut (termasuk hal-hal yang dapat mengidentifikasi individu tertentu dengan mudah dicocokkan dengan informasi lainnya).” “Data pribadi” adalah informasi pribadi yang telah diubah menjadi database oleh komputer, dan di antaranya yang telah dimiliki oleh pengusaha selama lebih dari 6 bulan adalah “data pribadi yang dimiliki”.

Perlunya perlindungan informasi pribadi sangat berbeda tergantung pada apakah informasi tersebut telah diubah menjadi database atau tidak. Data pribadi adalah informasi pribadi yang telah diorganisir secara sistematis sehingga mudah dicari, dan karena potensi pelanggaran haknya lebih tinggi, perlindungan yang lebih kuat diberikan dibandingkan dengan informasi pribadi pada umumnya.

Data pribadi yang dimiliki mendapatkan perlindungan yang lebih kuat lagi, yang merupakan data pribadi yang pengusaha yang menangani informasi pribadi memiliki wewenang untuk mengungkapkan, memperbaiki, menambah, atau menghapus konten, menghentikan penggunaan, menghapus, dan menghentikan penyediaan kepada pihak ketiga (Pasal 2 Ayat 7), dan untuk data pribadi yang dimiliki, permintaan untuk pengungkapan, koreksi, penghentian penggunaan, dll. diizinkan dengan mempertimbangkan bahwa individu harus dapat terlibat secara tepat dalam informasi mereka sendiri (akan dijelaskan lebih lanjut).

Aturan Mengenai Penanganan Informasi Pribadi

Untuk mencegah penyalahgunaan informasi pribadi, kita harus menentukan tujuan penggunaannya dan membatasi penanganannya hanya dalam lingkup yang diperlukan untuk mencapai tujuan tersebut.

Oleh karena itu, operator yang menangani informasi pribadi harus:

  • Menentukan tujuan penggunaan informasi pribadi sejelas mungkin (Pasal 15 Ayat 1 dari Undang-Undang Perlindungan Informasi Pribadi Jepang)
  • Tidak boleh menangani informasi pribadi di luar lingkup yang diperlukan untuk mencapai tujuan penggunaan (Pasal 16 Ayat 1)
  • Tidak boleh memperoleh informasi pribadi dengan cara penipuan atau metode ilegal lainnya (Pasal 17 Ayat 1)
  • Jika informasi pribadi diperoleh, tujuan penggunaannya harus diberitahukan atau diumumkan kepada individu yang bersangkutan (Pasal 18)

Undang-Undang Perlindungan Informasi Pribadi Jepang mengharuskan penggunaan informasi pribadi yang dimiliki oleh pengusaha sesuai dengan tujuan yang telah ditentukan dan diumumkan sebelumnya. Dengan kata lain, “Anda dapat menggunakan informasi pribadi dengan cara apa pun, asalkan Anda menentukan dan mengumumkan tujuannya”. Misalnya, “menggunakan informasi pribadi untuk menampilkan iklan yang disesuaikan dengan atribut pengguna” bukanlah ilegal, tetapi Anda harus mengumumkan tujuan penggunaan tersebut sebelumnya. Metode pengumuman tidak ditentukan secara khusus, tetapi biasanya dilakukan dalam bentuk “Kebijakan Privasi” atau “Kebijakan Perlindungan Informasi Pribadi”.

Di sisi lain, pengumpulan informasi pribadi yang sensitif atau yang memerlukan pertimbangan khusus, dilarang tanpa persetujuan individu yang bersangkutan (Pasal 17 Ayat 2).

Informasi pribadi yang memerlukan pertimbangan khusus adalah:

Pasal 2 Ayat 3
Dalam Undang-Undang ini, “Informasi Pribadi yang Memerlukan Pertimbangan Khusus” adalah informasi pribadi yang mencakup deskripsi yang ditentukan oleh peraturan pemerintah sebagai hal yang memerlukan pertimbangan khusus dalam penanganannya agar tidak menimbulkan diskriminasi, prasangka, atau kerugian lainnya terhadap individu, seperti ras, keyakinan, status sosial, riwayat penyakit, riwayat kriminal, fakta bahwa individu telah menderita kerugian akibat kejahatan, dan lainnya.

Ini juga mencakup hasil diagnosis penyakit atau gangguan, petunjuk, perawatan, atau resep oleh dokter, prosedur pidana, dan prosedur terkait kasus perlindungan anak.

Regulasi ketat yang melarang “pengumpulan” informasi pribadi yang memerlukan pertimbangan khusus tanpa persetujuan individu, kecuali dalam kasus-kasus tertentu, diberlakukan karena informasi tersebut dapat menimbulkan diskriminasi atau prasangka jika dikumpulkan dan ditangani, bahkan dalam situasi di mana pengumpulannya tidak dianggap perlu.

Disiplin Mengenai Manajemen dan Pengawasan


Diatur bahwa pengawasan yang diperlukan dan tepat harus dilakukan terhadap pekerja tersebut agar manajemen keamanan data pribadi dapat dijamin.

Banyak orang merasa khawatir dan cemas akan situasi di mana informasi pribadi bocor atau dimanipulasi. Terutama untuk data pribadi yang telah diubah menjadi database, banyak kasus yang menimbulkan masalah sosial, seperti kebocoran informasi pelanggan dalam jumlah besar. Oleh karena itu, operator yang menangani informasi pribadi memiliki kewajiban untuk mengambil langkah-langkah yang diperlukan dan tepat (langkah-langkah manajemen keamanan) untuk manajemen keamanan data pribadi (Pasal 20).

Pelanggaran Kewajiban Manajemen Keamanan

Dalam kenyataannya, dalam kasus di mana informasi pribadi bocor atau mengalir di internet, pelanggaran kewajiban manajemen keamanan sering diakui, dan penting untuk mengambil tindakan yang sesuai dengan pedoman ini, tidak hanya untuk mematuhi Pasal 20 Undang-Undang Perlindungan Informasi Pribadi Jepang, tetapi juga untuk menghindari situasi di mana tanggung jawab atas tindakan ilegal atas dasar pelanggaran privasi akibat kebocoran di internet, termasuk isi langkah-langkah manajemen keamanan yang mempertimbangkan karakteristik bisnis kecil dan menengah, telah ditentukan dalam “Pedoman tentang Undang-Undang Perlindungan Informasi Pribadi (Edisi Umum)” (Komisi Perlindungan Informasi Pribadi).

Namun, tidak peduli seberapa baik sistem dan regulasi disiapkan, operasi yang tepat pada akhirnya harus diserahkan kepada manusia, sehingga “operator yang menangani informasi pribadi harus melakukan pengawasan yang diperlukan dan tepat terhadap pekerja tersebut agar manajemen keamanan data pribadi dapat dijamin ketika membiarkan pekerja tersebut menangani data pribadi” (Pasal 21).

Perlu diperhatikan bahwa penjualan atau pengambilan data pelanggan oleh pekerja tidak hanya membuat pekerja tersebut bertanggung jawab atas tindakan ilegal (Pasal 709 Hukum Sipil), tetapi juga operator yang menangani informasi pribadi mungkin bertanggung jawab sebagai pengguna (Pasal 715 Hukum Sipil).

“Penyediaan kepada Pihak Ketiga” dan “Pengalihan”

Dalam Undang-Undang Perlindungan Informasi Pribadi Jepang, bahkan jika itu untuk tujuan yang telah diumumkan sebelumnya, prinsipnya adalah dilarang untuk memberikan informasi pribadi pelanggan kepada “pihak ketiga” kecuali ada persetujuan. Namun, jika aturan ini diterapkan lebih jauh, “menempatkan database tentang pelanggan di server sewa juga ilegal”. Karena server sewa adalah “pihak ketiga” bagi operator.

Namun, “penyediaan kepada pihak ketiga” dikecualikan dalam “pengalihan”, dan diperbolehkan jika “pengalihan” kepada orang yang tidak menggunakan informasi tersebut. Misalnya, server sewa hanya menyimpan informasi dan tidak menggunakannya. Meskipun pengalihan penanganan informasi pribadi kepada pihak ketiga sering dilakukan, untuk mencegah situasi di mana pengalihan berlapis menyebabkan ketidakjelasan tentang tanggung jawab dan penanganan yang tidak tepat oleh penerima pengalihan, “operator yang menangani informasi pribadi harus melakukan pengawasan yang diperlukan dan tepat terhadap penerima pengalihan agar manajemen keamanan data pribadi yang ditangani dapat dijamin ketika mengalihkan seluruh atau sebagian penanganan data pribadi” (Pasal 22).

Pengaturan yang Tepat atas Penanganan Informasi Pribadi Melalui Keterlibatan Individu


Undang-Undang Perlindungan Data Pribadi Jepang adalah salah satu peraturan hukum yang paling penting dalam mempertimbangkan masalah informasi pribadi dan privasi.

Undang-Undang Perlindungan Data Pribadi Jepang memungkinkan individu untuk meminta pengungkapan (Pasal 28), koreksi, penambahan, penghapusan (Pasal 29), dan penghentian penggunaan (Pasal 30) data pribadi yang dimiliki oleh operator bisnis yang menangani informasi pribadi, dengan syarat tertentu, untuk pengaturan yang tepat atas penanganan informasi pribadi melalui keterlibatan individu. Hak untuk membuat permintaan ini secara jelas ditetapkan sebagai hak klaim dalam hukum perdata, dan jika operator bisnis yang menangani informasi pribadi tidak memenuhi permintaan tersebut, individu dapat mewujudkan hak mereka melalui proses pengadilan.

Operator bisnis yang menangani informasi pribadi harus mengungkapkan data pribadi yang mereka miliki jika ada permintaan dari individu yang bersangkutan, dan jika ada kesalahan dalam konten, mereka harus mematuhi permintaan untuk koreksi dan sebagainya. Jika mereka menangani informasi dengan cara yang melanggar kewajiban hukum seperti penggunaan di luar tujuan, metode pengambilan yang tidak tepat, atau memberikan kepada pihak ketiga tanpa persetujuan individu, mereka harus menghentikan penggunaan informasi tersebut. Dengan demikian, Undang-Undang Perlindungan Data Pribadi Jepang adalah hukum yang bertujuan melindungi hak-hak warga negara dengan memberlakukan berbagai kewajiban kepada operator bisnis yang menangani informasi pribadi.

Hukuman atas Kebocoran Informasi Pribadi

Undang-Undang Perlindungan Informasi Pribadi Jepang (Japanese Personal Information Protection Law) menetapkan hukuman jika perusahaan membocorkan informasi pribadi.

Jika perusahaan melanggar Undang-Undang Perlindungan Informasi Pribadi dan membocorkan informasi, pertama-tama mereka akan mendapatkan “rekomendasi untuk menghentikan pelanggaran dan mengambil langkah-langkah yang diperlukan untuk memperbaiki pelanggaran” dari pemerintah (Pasal 42). Jika mereka juga melanggar ini, karyawan yang melanggar dapat dihukum “penjara selama 6 bulan atau denda hingga 300.000 yen” (Pasal 84), dan perusahaan yang mempekerjakan karyawan tersebut juga dapat dikenakan “denda hingga 300.000 yen” (Pasal 85). Selain itu, jika mereka memberikan atau mencuri informasi dengan tujuan mendapatkan keuntungan yang tidak sah, mereka dapat dihukum “penjara selama 1 tahun atau denda hingga 500.000 yen” tanpa rekomendasi (Pasal 83).

https://monolith.law/corporate/risk-of-company-personal-information-leak-compensation-for-damages[ja]

Kesimpulan

Undang-Undang Perlindungan Informasi Pribadi Jepang adalah hukum yang menuntut para pelaku usaha yang menangani informasi pribadi untuk mengelola informasi tersebut dengan tepat dan mengambil langkah-langkah yang diperlukan dan tepat untuk manajemen keamanan. Ini adalah hukum penting yang hampir tidak bisa dihindari oleh semua perusahaan.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Kembali ke atas