MONOLITH LAW OFFICE+81-3-6262-3248Hari kerja 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Apa Poin yang Harus Diperhatikan Saat Membuat Kebijakan Privasi Berdasarkan 'Undang-Undang Perlindungan Informasi Pribadi Jepang'?

General Corporate

Apa Poin yang Harus Diperhatikan Saat Membuat Kebijakan Privasi Berdasarkan 'Undang-Undang Perlindungan Informasi Pribadi Jepang'?

Belakangan ini, minat masyarakat terhadap perlindungan informasi pribadi semakin meningkat. Hampir tidak ada pelaku usaha yang tidak menangani informasi pribadi, dan penanganan informasi pribadi menjadi masalah yang sangat dekat bagi banyak perusahaan dan pengusaha individu. Diperkirakan banyak perusahaan yang memiliki situs web menampilkan kebijakan privasi di dalam situs mereka. Kebijakan privasi adalah publikasi pedoman penanganan informasi pribadi oleh pelaku usaha tersebut sesuai dengan Undang-Undang Perlindungan Informasi Pribadi Jepang. Untuk merumuskan kebijakan privasi dengan tepat, pemahaman tentang Undang-Undang Perlindungan Informasi Pribadi Jepang sangat penting. Oleh karena itu, kami akan menjelaskan poin-poin yang harus diperiksa saat membuat kebijakan privasi. Harap dicatat bahwa Undang-Undang Perlindungan Informasi Pribadi Jepang telah direvisi pada tahun 2015 (2015 Masehi), dan revisi tersebut mulai berlaku pada tanggal 30 Mei 2017 (2017 Masehi). Khususnya, ada revisi penting terkait penyediaan informasi pribadi kepada pihak ketiga, jadi kami juga akan menjelaskan tentang hal tersebut. Untuk detail tentang revisi Undang-Undang Perlindungan Informasi Pribadi Jepang, silakan lihat artikel di bawah ini.

Apa itu Kebijakan Privasi

Kebijakan privasi juga berfungsi untuk menampilkan hal-hal yang diminta untuk diumumkan dalam Undang-Undang Perlindungan Data Pribadi Jepang.

Hampir semua situs web perusahaan memiliki kebijakan privasi. Meskipun terkadang disebut dengan nama “Kebijakan Perlindungan Data Pribadi”, pada dasarnya keduanya adalah hal yang sama. Kebijakan privasi menunjukkan sikap dasar perusahaan terhadap penanganan data pribadi, dan juga berfungsi untuk menampilkan hal-hal yang diminta untuk diumumkan dalam Undang-Undang Perlindungan Data Pribadi Jepang. Oleh karena itu, setidaknya perlu mencakup hal-hal berikut yang diminta untuk diumumkan dalam Undang-Undang Perlindungan Data Pribadi Jepang:

  • Tujuan penggunaan data pribadi
  • Nama atau sebutan dari operator yang menangani data pribadi
  • Prosedur untuk menanggapi permintaan pemberitahuan tujuan penggunaan, pengungkapan, koreksi, penghentian penggunaan, dll. dari individu yang bersangkutan
  • Tempat untuk mengajukan keluhan

Selain itu, dalam kasus penggunaan bersama data pribadi dalam perusahaan grup, yang disebut sebagai penggunaan bersama, dan dalam kasus penanganan informasi yang diproses secara anonim, yang akan dijelaskan nanti, ada hal-hal yang diminta untuk diumumkan untuk setiap operasi tertentu yang ditentukan oleh hukum.

Artikel terkait: Apa itu Undang-Undang Perlindungan Data Pribadi dan Data Pribadi? Penjelasan dari Pengacara[ja]

Pelaku Usaha yang Harus Membuat Kebijakan Privasi

Sebelum perubahan hukum yang diberlakukan pada tahun 2017 (2017 Masehi), Hukum Perlindungan Informasi Pribadi Jepang hanya berlaku bagi pelaku usaha yang memiliki lebih dari 5000 data informasi pribadi. Karena itu, cukup banyak pelaku usaha skala kecil atau yang bergerak di bidang bisnis BtoB yang tidak perlu membuat kebijakan privasi. Namun, dengan diberlakukannya perubahan hukum pada tahun 2017, Hukum Perlindungan Informasi Pribadi Jepang kini berlaku bagi semua pelaku usaha, tanpa memandang jumlah data informasi pribadi yang mereka miliki. Akibatnya, diperkirakan semua pelaku usaha harus membuat kebijakan privasi. Meskipun demikian, jika Anda tidak membuat kebijakan privasi, Anda masih bisa menggantinya dengan memberitahu pihak yang bersangkutan setiap kali Anda mengumpulkan informasi pribadi, tentang tujuan penggunaan dan hal-hal lain yang diwajibkan untuk diumumkan oleh Hukum Perlindungan Informasi Pribadi Jepang. Namun, hal ini cukup merepotkan sehingga biasanya pelaku usaha akan membuat kebijakan privasi.

Poin-Poin Penting dalam Kebijakan Privasi

Berikut ini adalah beberapa poin yang perlu diperhatikan saat membuat Kebijakan Privasi.

Definisi Informasi Pribadi

Pasal 〇
Informasi pribadi adalah informasi yang berkaitan dengan individu yang masih hidup, yang dapat mengidentifikasi individu tertentu berdasarkan nama, tanggal lahir, dan deskripsi lainnya yang termasuk dalam informasi tersebut (termasuk informasi yang dapat dengan mudah dicocokkan dengan informasi lain dan dapat mengidentifikasi individu tertentu).

Untuk definisi informasi pribadi, cukup merujuk pada apa yang ditetapkan dalam ‘Undang-Undang Perlindungan Informasi Pribadi Jepang’. Biasanya, ini mencakup informasi seperti nama dan tanggal lahir, tetapi juga dapat mencakup usia, jenis kelamin, alamat, nomor telepon, struktur keluarga, hobi, preferensi, alamat email, ID, alamat IP dan timestamp, tempat kerja, afiliasi, alamat kantor, nomor telepon kantor, nomor kartu kredit, nomor rekening bank, informasi tentang halaman web yang dikunjungi, keluhan, konsultasi atau informasi pertanyaan. Oleh karena itu, mungkin baik untuk mencantumkan terlebih dahulu dalam definisi informasi pribadi dalam kebijakan privasi Anda, informasi yang kemungkinan besar akan diperoleh dari pelanggan dan pihak lainnya.

Tujuan Penggunaan Informasi Pribadi

Pasal 〇
1. Perusahaan kami akan menggunakan informasi pribadi yang telah diperoleh untuk tujuan berikut. Namun, jika tujuan penggunaan informasi pribadi telah ditentukan secara terpisah di dalam situs web yang dioperasikan oleh perusahaan kami, deskripsi tujuan penggunaan tersebut akan diutamakan.
(1) Untuk memungkinkan perusahaan kami menjawab pertanyaan yang masuk melalui formulir kontak
(2) Untuk menyediakan dan memberikan informasi tentang layanan web atau aplikasi atau layanan lainnya yang disediakan oleh perusahaan kami (selanjutnya disebut “Layanan ini”) dan layanan baru yang disediakan oleh perusahaan kami
(3) Untuk membantu dalam peningkatan Layanan ini dan pengembangan layanan baru
(4) Untuk tujuan lain yang terkait dengan masing-masing item sebelumnya
2. Selain tujuan yang ditentukan dalam ayat sebelumnya, perusahaan kami dapat mengumpulkan informasi pribadi yang diperoleh dari pelanggan dalam bentuk dan cakupan yang tidak dapat mengidentifikasi atau menentukan individu sebagai informasi statistik, dan dapat digunakan sebagai referensi.

Tujuan Penggunaan

Menurut Undang-Undang Perlindungan Informasi Pribadi Jepang, diperlukan untuk mengumumkan tujuan penggunaan informasi pribadi yang telah diperoleh. Ayat 1 dari contoh pasal di atas adalah respons terhadap hal ini. Yang penting dalam menentukan tujuan penggunaan adalah bahwa deskripsi yang abstrak dan komprehensif tidak cukup, dan perlu ditulis secara spesifik sehingga individu dapat memahami bagaimana informasi pribadi mereka digunakan. Oleh karena itu, perlu diperhatikan bahwa isi deskripsi tujuan penggunaan dapat berubah tergantung pada operator yang membuat kebijakan privasi. Selain itu, jika ada kekurangan dalam deskripsi, Anda tidak akan dapat menggunakan informasi pribadi untuk tujuan tersebut, jadi pastikan untuk memeriksa dengan seksama apakah ada kekurangan.

Informasi yang Diproses Secara Anonim

Ayat 2 dari contoh pasal adalah ketentuan tentang informasi yang diproses secara anonim. Informasi yang diproses secara anonim adalah informasi yang telah diproses sehingga tidak dapat mengidentifikasi individu dan tidak dapat dipulihkan. Ini adalah sesuatu yang diantisipasi untuk pemanfaatan data besar.
Jika Anda menangani informasi yang diproses secara anonim, Anda perlu mengumumkan item informasi pribadi yang termasuk dalam informasi yang diproses secara anonim dalam kebijakan privasi dan sejenisnya. Ayat 2 dari contoh pasal adalah ketentuan yang menentukan bahwa informasi pribadi yang dicantumkan dalam “Definisi Informasi Pribadi” akan digunakan sebagai informasi yang diproses secara anonim. Selain itu, jika Anda memberikan informasi yang diproses secara anonim kepada pihak ketiga, Anda juga perlu mengumumkan metode penyediaan.

Penggunaan Informasi Pribadi di Luar Tujuan

Pasal X
Perusahaan kami akan menangani informasi pribadi yang telah diperoleh hanya dalam lingkup yang diperlukan untuk mencapai tujuan penggunaan yang disebutkan dalam pasal sebelumnya. Jika informasi pribadi akan ditangani di luar lingkup tujuan penggunaan, kami akan melakukannya setelah mendapatkan persetujuan dari individu yang bersangkutan. Namun, hal ini tidak berlaku dalam kasus-kasus berikut:
(1) Jika berdasarkan hukum
(2) Jika diperlukan untuk melindungi kehidupan, tubuh, atau harta benda seseorang dan sulit untuk mendapatkan persetujuan dari individu yang bersangkutan
(3) Jika sangat diperlukan untuk meningkatkan kesehatan masyarakat atau mempromosikan perkembangan sehat anak-anak dan sulit untuk mendapatkan persetujuan dari individu yang bersangkutan
(4) Jika ada kebutuhan untuk bekerja sama dengan lembaga negara atau badan publik lokal atau mereka yang telah diberi tugas oleh mereka dalam melaksanakan tugas yang ditentukan oleh hukum, dan ada kemungkinan bahwa pelaksanaan tugas tersebut akan terganggu dengan mendapatkan persetujuan dari individu yang bersangkutan

Sebagai prinsip, informasi pribadi tidak dapat digunakan di luar lingkup tujuan penggunaan. Namun, dalam Undang-Undang Perlindungan Informasi Pribadi, penggunaan di luar tujuan ini diperbolehkan dalam kasus yang sesuai dengan poin (1) hingga (4) yang disebutkan di atas.
Poin (2) dan (3) adalah kasus di mana permintaan untuk menggunakan informasi pribadi tinggi, tetapi sulit untuk mendapatkan persetujuan cepat dari individu yang bersangkutan. Selain itu, poin (1) dan (4) adalah penggunaan informasi pribadi berdasarkan keinginan negara atau badan publik lokal, seperti dalam kasus penyelidikan kejahatan. Klausul tentang penggunaan di luar tujuan ini hampir sama untuk semua bisnis, dan jarang berubah tergantung pada jenis bisnis.

Pemberian Informasi Pribadi kepada Pihak Ketiga


Sebagai prinsip, Anda perlu mendapatkan persetujuan dari individu sebelum memberikan informasi pribadi mereka kepada pihak ketiga.

Pasal X
Perusahaan kami, sebagai prinsip, tidak akan memberikan informasi pribadi pelanggan kepada pihak ketiga tanpa mendapatkan persetujuan dari pelanggan tersebut. Sebagai pengecualian, kami hanya akan memberikan informasi kepada pihak ketiga jika kami telah menentukan penerima dan isi informasi yang akan diberikan dan telah mendapatkan persetujuan dari pelanggan. Namun, hal ini tidak berlaku dalam kasus-kasus berikut:
(1) Jika berdasarkan hukum
(2) Jika diperlukan untuk melindungi kehidupan, tubuh, atau harta benda seseorang dan sulit untuk mendapatkan persetujuan dari pelanggan
(3) Jika sangat diperlukan untuk meningkatkan kesehatan masyarakat atau mempromosikan perkembangan sehat anak-anak dan sulit untuk mendapatkan persetujuan dari pelanggan
(4) Jika perlu untuk bekerja sama dengan lembaga negara atau organisasi publik lokal atau mereka yang telah menerima penugasan dari mereka dalam melaksanakan tugas yang ditentukan oleh hukum dan mendapatkan persetujuan dari pelanggan dapat menghambat pelaksanaan tugas tersebut
(5) Jika perlu untuk memberikan informasi pribadi kepada pihak yang telah menandatangani kontrak kerahasiaan dengan perusahaan kami untuk tujuan penggunaan

Penyediaan Informasi Pribadi kepada Pihak Ketiga: Pengecualian

Klausul ini berkaitan dengan situasi di mana perusahaan memberikan informasi pribadi yang telah diperoleh kepada pihak ketiga. Menurut Undang-Undang Perlindungan Informasi Pribadi Jepang, Anda perlu mendapatkan persetujuan dari individu sebelum memberikan informasi pribadi mereka kepada pihak ketiga. Namun, undang-undang tersebut menetapkan bahwa Anda dapat memberikan informasi pribadi kepada pihak ketiga tanpa persetujuan dari individu dalam kasus yang ditentukan dalam klausul (1) hingga (5). Oleh karena itu, seperti klausul tentang penggunaan informasi pribadi di luar tujuan, klausul tentang pemberian informasi kepada pihak ketiga juga menjadi klausul standar bagi banyak perusahaan. Dalam praktiknya, kasus yang paling sering terjadi adalah memberikan informasi pribadi kepada pihak yang ditugaskan (5). Namun, bahkan jika Anda telah menugaskan tugas, perusahaan yang memperoleh informasi pribadi bertanggung jawab untuk mengawasi pihak yang ditugaskan. Oleh karena itu, perlu diingat bahwa perusahaan yang menugaskan tugas juga dapat diminta bertanggung jawab jika informasi pribadi bocor dari pihak yang ditugaskan. Oleh karena itu, Anda harus berhati-hati dalam memilih pihak yang ditugaskan dan mengawasi mereka setelah penugasan. Kami menjelaskan secara detail tentang insiden kebocoran informasi pribadi Benesse dalam artikel di bawah ini.

Artikel terkait: Risiko Kebocoran Informasi Pribadi oleh Perusahaan dan Ganti Rugi[ja]

Pengetatan Aturan Opt-Out Akibat Perubahan Hukum

Mengenai pemberian informasi pribadi kepada pihak ketiga, sebelum perubahan hukum yang diberlakukan pada tahun 2017 (tahun Heisei 29), Anda dapat memberikan informasi pribadi kepada pihak ketiga tanpa mendapatkan persetujuan sebelumnya dari individu dengan syarat “Anda akan menghentikan pemberian informasi pribadi kepada pihak ketiga atas permintaan individu”. Ini disebut opt-out. Namun, dengan diberlakukannya perubahan hukum pada tahun 2017, aturan telah diperketat sehingga Anda tidak dapat memberikan informasi pribadi kepada pihak ketiga melalui opt-out kecuali Anda telah melaporkannya terlebih dahulu kepada Komisi Perlindungan Informasi Pribadi. Anda mungkin berpikir bahwa Anda hanya perlu melaporkannya kepada Komisi Perlindungan Informasi Pribadi, tetapi sistem pelaporan ini sebenarnya ditujukan terutama untuk perusahaan yang menjual informasi pribadi sebagai produk mereka, dan perusahaan yang melaporkan akan dipublikasikan, sehingga masih belum banyak perusahaan yang melaporkannya. Oleh karena itu, pada kenyataannya, memberikan informasi pribadi kepada pihak ketiga tanpa mendapatkan persetujuan dari individu telah menjadi sulit, kecuali dalam kasus pengecualian seperti penugasan tugas.

Pengungkapan, Koreksi, dan lainnya mengenai Informasi Pribadi

Dalam Undang-Undang Perlindungan Informasi Pribadi Jepang, prosedur untuk memenuhi permintaan pemberitahuan tujuan penggunaan, pengungkapan, koreksi, penghentian penggunaan, dan lainnya dari individu yang bersangkutan juga dituntut. Oleh karena itu, saat membuat kebijakan privasi, Anda juga perlu menentukan hal-hal ini. Namun, banyak perusahaan yang menggunakan kalimat standar untuk klausul yang menentukan hal-hal ini. Salah satu hal yang perlu dipertimbangkan adalah apakah Anda harus menentukan biaya untuk memenuhi permintaan pengungkapan dan lainnya dari individu yang bersangkutan. Menetapkan biaya yang tepat adalah salah satu cara untuk mencegah penundaan pekerjaan akibat permintaan yang disalahgunakan. Jika biaya diperlukan, perlu diperhatikan bahwa Anda perlu menentukan isi biaya tersebut dalam kebijakan privasi Anda.

Kesimpulan

Seiring dengan meningkatnya kepedulian masyarakat terhadap perlindungan informasi pribadi, regulasi hukum juga cenderung menjadi semakin ketat. Tentu saja, penting untuk mengelola informasi dengan aman di dalam perusahaan agar tidak terjadi kebocoran informasi pribadi, tetapi pada saat yang sama, juga penting untuk menetapkan kebijakan privasi dan peraturan internal sesuai dengan regulasi hukum. Undang-Undang Perlindungan Informasi Pribadi Jepang diharapkan akan terus direvisi secara berkala setiap tiga tahun. Setiap kali aturan tentang penanganan informasi pribadi berubah, mungkin diperlukan tidak hanya perubahan dalam sistem internal perusahaan, tetapi juga peninjauan ulang metode bisnis itu sendiri. Dalam hal ini, Undang-Undang Perlindungan Informasi Pribadi Jepang dapat dikatakan sebagai hukum yang berhubungan dengan inti bisnis, sehingga sangat penting bagi perusahaan yang banyak menangani informasi pribadi untuk selalu memahami tren revisi.

Panduan Membuat dan Meninjau Kontrak oleh Kantor Kami

Di Kantor Hukum Monolis, sebagai firma hukum yang memiliki keahlian dalam IT, Internet, dan Bisnis, kami menawarkan berbagai layanan seperti pembuatan dan peninjauan kontrak, tidak hanya tentang kebijakan privasi, kepada perusahaan klien dan perusahaan yang menjadi konsultan kami.

Jika Anda tertarik, silakan lihat detailnya di bawah ini.

https://monolith.law/contractcreation[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Kembali ke atas