Apa poin yang perlu diperhatikan ketika membuat Polisi Privasi berdasarkan 'Undang-Undang Perlindungan Data Peribadi Jepun'?
Dewasa ini, minat masyarakat terhadap perlindungan maklumat peribadi semakin meningkat. Hampir tidak ada pengusaha yang tidak mengendalikan maklumat peribadi, dan pengendalian maklumat peribadi adalah masalah yang sangat dekat dengan banyak syarikat dan usahawan individu. Dalam syarikat yang mempunyai laman web, banyak contoh di mana polisi privasi dipaparkan di dalam laman web. Polisi privasi adalah pengumuman garis panduan pengendalian maklumat peribadi oleh pengusaha tersebut mengikut Akta Perlindungan Maklumat Peribadi Jepun. Untuk merumuskan polisi privasi dengan tepat, pemahaman tentang Akta Perlindungan Maklumat Peribadi Jepun adalah penting. Oleh itu, kami akan menjelaskan titik semak ketika membuat polisi privasi. Selain itu, Akta Perlindungan Maklumat Peribadi Jepun telah dipinda pada tahun 2015, dan pindaan tersebut telah dikuatkuasakan pada 30 Mei 2017 (tahun 2017 dalam kalendar Gregorian). Khususnya, terdapat pindaan penting mengenai penyediaan maklumat peribadi kepada pihak ketiga, jadi kami juga akan menjelaskan tentang perkara itu. Untuk pindaan Akta Perlindungan Maklumat Peribadi Jepun, sila lihat artikel di bawah untuk penjelasan lebih terperinci.
Apa itu Dasar Privasi
Hampir semua laman web syarikat memaparkan Dasar Privasi. Walaupun kadangkala dikenali sebagai “Dasar Perlindungan Maklumat Peribadi”, ia pada dasarnya merujuk kepada perkara yang sama. Dasar Privasi menunjukkan pendirian asas pengendali data terhadap pengendalian maklumat peribadi, dan juga merupakan alat untuk menunjukkan perkara yang dituntut untuk diumumkan dalam Akta Perlindungan Maklumat Peribadi Jepun. Oleh itu, adalah penting untuk memastikan bahawa Dasar Privasi mencakupi sekurang-kurangnya perkara berikut yang dituntut oleh Akta Perlindungan Maklumat Peribadi Jepun:
- Tujuan penggunaan maklumat peribadi
- Nama atau nama pengendali data
- Prosedur untuk mematuhi permintaan dari subjek data untuk pemberitahuan tujuan penggunaan, pendedahan, pembetulan, penghentian penggunaan, dan lain-lain
- Tempat untuk membuat aduan
Selain itu, dalam kes penggunaan bersama maklumat peribadi dalam syarikat kumpulan, yang dikenali sebagai penggunaan bersama, dan dalam kes pengendalian maklumat yang diproses secara anonim, yang akan diterangkan kemudian, terdapat perkara yang dituntut untuk diumumkan oleh undang-undang untuk setiap operasi tertentu.
Artikel berkaitan: Apa itu Akta Perlindungan Maklumat Peribadi dan Maklumat Peribadi? Penjelasan oleh Peguam[ja]
Perniagaan Yang Perlu Membuat Dasar Privasi
Sebelum pindaan undang-undang yang dikuatkuasakan pada tahun 2017 (Tahun Heisei 29), Akta Perlindungan Maklumat Peribadi Jepun hanya terpakai kepada perniagaan yang memegang lebih daripada 5000 rekod maklumat peribadi. Oleh itu, terdapat beberapa perniagaan berskala kecil dan perniagaan yang berfokus pada BtoB yang tidak perlu membuat dasar privasi. Walau bagaimanapun, dengan pindaan undang-undang yang dikuatkuasakan pada tahun 2017, Akta Perlindungan Maklumat Peribadi Jepun kini terpakai kepada semua perniagaan tanpa mengira jumlah rekod maklumat peribadi yang dipegang. Akibatnya, dijangka semua perniagaan perlu membuat dasar privasi. Walaupun begitu, jika anda tidak membuat dasar privasi, anda masih boleh menggantikannya dengan memberitahu tujuan penggunaan maklumat peribadi dan lain-lain maklumat yang diperlukan untuk diumumkan menurut Akta Perlindungan Maklumat Peribadi Jepun setiap kali anda mengumpul maklumat peribadi. Namun, ini adalah proses yang menyusahkan, jadi biasanya perniagaan akan membuat dasar privasi.
Titik Semak Dasar Privasi
Definisi Maklumat Peribadi
Perkara 0
Maklumat peribadi merujuk kepada maklumat mengenai individu yang masih hidup, yang dapat mengenal pasti individu tertentu melalui nama, tarikh lahir dan butiran lain yang terkandung dalam maklumat tersebut (termasuk juga maklumat yang boleh dipadankan dengan mudah dengan maklumat lain dan dengan itu membolehkan pengenalan individu tertentu).
Definisi maklumat peribadi boleh ditulis mengikut apa yang ditetapkan dalam ‘Akta Perlindungan Maklumat Peribadi Jepun’. Biasanya, ini merujuk kepada butiran seperti nama dan tarikh lahir, tetapi juga boleh merangkumi umur, jantina, alamat, nombor telefon, struktur keluarga, hobi, kegemaran, alamat e-mel, ID, alamat IP dan cap waktu, tempat kerja, keahlian, alamat tempat kerja, nombor telefon tempat kerja, nombor kad kredit, nombor akaun bank, maklumat laman web yang dilawati, aduan, pertanyaan atau maklumat pertanyaan. Oleh itu, adalah baik untuk mencatat terlebih dahulu dalam definisi maklumat peribadi dalam polisi privasi mengenai butiran-butiran ini yang kemungkinan besar diperoleh dari pelanggan dan lain-lain.
Tujuan Penggunaan Maklumat Peribadi
Perkara ke-0
1. Syarikat kami akan menggunakan maklumat peribadi yang diperolehi untuk tujuan berikut. Walau bagaimanapun, jika tujuan penggunaan maklumat peribadi ditentukan secara berasingan di dalam laman web yang dikendalikan oleh syarikat kami, deskripsi tujuan penggunaan tersebut akan diutamakan.
(1) Untuk membolehkan syarikat kami menjawab pertanyaan yang diterima melalui borang pertanyaan
(2) Untuk menyediakan dan memperkenalkan perkhidmatan web atau aplikasi atau perkhidmatan lain yang disediakan oleh syarikat kami (selanjutnya disebut sebagai “Perkhidmatan ini”)
(3) Untuk membantu dalam peningkatan Perkhidmatan ini dan pembangunan perkhidmatan baru
(4) Untuk tujuan lain yang berkaitan dengan perkara-perkara yang dinyatakan sebelum ini
2. Selain tujuan yang ditentukan dalam perenggan sebelum ini, syarikat kami mungkin mengumpulkan maklumat peribadi yang diperolehi dari pelanggan dalam bentuk dan lingkungan yang tidak dapat mengenal pasti atau menentukan individu, dan menggunakannya sebagai maklumat statistik untuk rujukan.
Tujuan Penggunaan
Di bawah Akta Perlindungan Maklumat Peribadi Jepun, syarikat dikehendaki untuk mengumumkan tujuan penggunaan maklumat peribadi yang diperolehi. Perenggan pertama dalam contoh klausa di atas adalah untuk memenuhi keperluan ini. Penting untuk dinyatakan bahawa dalam menentukan tujuan penggunaan, penjelasan abstrak dan menyeluruh tidak mencukupi, dan perlu dinyatakan secara spesifik sehingga individu dapat memahami bagaimana maklumat peribadi mereka digunakan. Oleh itu, perlu diingat bahawa kandungan penjelasan tujuan penggunaan boleh berubah bergantung kepada syarikat yang membuat dasar privasi. Selain itu, jika ada kekurangan dalam penjelasan, anda tidak akan dapat menggunakan maklumat peribadi untuk tujuan tersebut, jadi pastikan anda memeriksa dengan teliti untuk memastikan tidak ada yang terlepas pandang.
Maklumat yang Diproses Secara Anonim
Perenggan kedua dalam contoh klausa adalah peraturan mengenai maklumat yang diproses secara anonim. Maklumat yang diproses secara anonim adalah maklumat yang telah diproses sehingga individu tidak dapat dikenal pasti dan tidak dapat dipulihkan. Ini adalah sesuatu yang dianggap untuk penggunaan data besar.
Jika anda mengendalikan maklumat yang diproses secara anonim, anda perlu mengumumkan item maklumat peribadi yang terkandung dalam maklumat yang diproses secara anonim dalam dasar privasi dan sebagainya. Perenggan kedua dalam contoh klausa ini menentukan bahawa maklumat peribadi yang dinyatakan dalam “definisi maklumat peribadi” akan digunakan sebagai maklumat yang diproses secara anonim. Selain itu, jika anda memberikan maklumat yang diproses secara anonim kepada pihak ketiga, anda juga perlu mengumumkan cara penyediaan tersebut.
Penggunaan Maklumat Peribadi di Luar Tujuan
Perkara 0
Kami akan mengendalikan maklumat peribadi yang diperoleh dalam lingkungan yang diperlukan untuk mencapai tujuan penggunaan yang dinyatakan dalam artikel sebelumnya. Jika kami mengendalikan maklumat peribadi di luar lingkungan tujuan penggunaan, kami akan mendapatkan persetujuan dari anda terlebih dahulu. Walau bagaimanapun, ini tidak berlaku dalam kes berikut:
(1) Jika berdasarkan undang-undang
(2) Jika perlu untuk melindungi nyawa, badan atau harta benda seseorang dan sukar untuk mendapatkan persetujuan dari anda
(3) Jika sangat perlu untuk meningkatkan kesihatan awam atau mempromosikan perkembangan sihat kanak-kanak dan sukar untuk mendapatkan persetujuan dari anda
(4) Jika perlu untuk bekerjasama dengan agensi kerajaan atau badan awam tempatan atau orang yang diberi tugas oleh mereka dalam menjalankan tugas yang ditetapkan oleh undang-undang, dan ada kemungkinan bahawa pelaksanaan tugas tersebut akan terganggu jika mendapatkan persetujuan dari anda
Sebagai prinsip, maklumat peribadi tidak boleh digunakan di luar lingkungan tujuan penggunaan. Walau bagaimanapun, dalam Akta Perlindungan Maklumat Peribadi, penggunaan di luar tujuan dibenarkan dalam kes yang sesuai dengan perkara (1) hingga (4) yang dinyatakan di atas.
Perkara (2) dan (3) adalah kes di mana permintaan untuk menggunakan maklumat peribadi adalah tinggi tetapi sukar untuk mendapatkan persetujuan cepat dari individu tersebut. Selain itu, perkara (1) dan (4) adalah penggunaan maklumat peribadi berdasarkan kehendak kerajaan atau badan awam tempatan, seperti penyiasatan jenayah. Klausul mengenai penggunaan di luar tujuan ini adalah standard bagi hampir semua perniagaan, dan jarang berubah mengikut jenis perniagaan.
Pemberian Maklumat Peribadi kepada Pihak Ketiga
Perkara 〇
Kami, sebagai prinsip, tidak akan memberikan maklumat peribadi pelanggan kepada pihak ketiga tanpa mendapatkan persetujuan dari pelanggan itu sendiri. Sebagai pengecualian, kami hanya akan memberikan maklumat kepada pihak ketiga apabila kami telah menentukan penerima dan kandungan maklumat yang akan diberikan dan telah mendapatkan persetujuan dari pelanggan. Walau bagaimanapun, ini tidak berlaku dalam situasi berikut:
(1) Apabila diperlukan oleh undang-undang
(2) Apabila diperlukan untuk melindungi nyawa, badan atau harta benda seseorang dan sukar untuk mendapatkan persetujuan dari pelanggan
(3) Apabila diperlukan untuk meningkatkan kesihatan awam atau mempromosikan perkembangan sihat kanak-kanak dan sukar untuk mendapatkan persetujuan dari pelanggan
(4) Apabila diperlukan untuk bekerjasama dengan agensi kerajaan atau badan awam tempatan atau mereka yang telah diberi tugas oleh mereka untuk menjalankan tugas yang ditetapkan oleh undang-undang dan mendapatkan persetujuan dari pelanggan boleh mengganggu pelaksanaan tugas tersebut
(5) Apabila perlu untuk memberikan maklumat peribadi kepada pihak yang telah menandatangani kontrak kerahsiaan dengan kami untuk tujuan penggunaan
Contoh Pengecualian di mana Maklumat Peribadi Boleh Diberikan kepada Pihak Ketiga
Peruntukan ini berkaitan dengan situasi di mana perniagaan memberikan maklumat peribadi yang telah diperoleh kepada pihak ketiga. Menurut Undang-Undang Perlindungan Maklumat Peribadi Jepun, anda perlu mendapatkan persetujuan dari individu sebelum memberikan maklumat peribadi mereka kepada pihak ketiga. Walau bagaimanapun, undang-undang telah menetapkan bahawa maklumat peribadi boleh diberikan kepada pihak ketiga tanpa persetujuan dari individu dalam kes yang ditentukan dalam peruntukan (1) hingga (5). Oleh itu, seperti peruntukan penggunaan maklumat peribadi di luar tujuan, peruntukan pemberian kepada pihak ketiga juga menjadi peruntukan standard bagi kebanyakan syarikat. Dalam amalan, yang paling biasa digunakan adalah memberikan maklumat peribadi kepada pihak yang diberi tugas. Walau bagaimanapun, walaupun tugas telah diberikan, perniagaan yang memperoleh maklumat peribadi bertanggungjawab untuk mengawasi pihak yang diberi tugas. Oleh itu, perlu berhati-hati kerana perniagaan yang memberikan tugas juga boleh dipertanggungjawabkan jika maklumat peribadi bocor dari pihak yang diberi tugas. Oleh itu, pemilihan dan pengawasan pihak yang diberi tugas selepas tugas diberikan harus dilakukan dengan teliti. Kami telah menjelaskan secara terperinci tentang insiden kebocoran maklumat peribadi Benesse dalam artikel di bawah.
Artikel Berkaitan: Risiko Kebocoran Maklumat Peribadi Syarikat dan Pampasan Kerugian[ja]
Pengetatan Opt-Out Akibat Pindaan Undang-Undang
Mengenai pemberian maklumat peribadi kepada pihak ketiga, sebelum pindaan undang-undang yang dikuatkuasakan pada tahun 2017, syarikat boleh memberikan maklumat peribadi kepada pihak ketiga tanpa mendapatkan persetujuan terlebih dahulu dari individu, asalkan mereka “menghentikan pemberian maklumat peribadi kepada pihak ketiga atas permintaan individu”. Ini dikenali sebagai opt-out. Walau bagaimanapun, dengan pindaan undang-undang yang dikuatkuasakan pada tahun 2017, peraturan telah diperketatkan sehingga syarikat tidak boleh memberikan maklumat peribadi kepada pihak ketiga melalui opt-out kecuali mereka membuat pemberitahuan awal kepada Suruhanjaya Perlindungan Maklumat Peribadi. Anda mungkin berfikir bahawa cukup dengan membuat pemberitahuan kepada Suruhanjaya Perlindungan Maklumat Peribadi, tetapi sistem pemberitahuan ini pada dasarnya ditujukan kepada perniagaan seperti penjual senarai yang menjual maklumat peribadi sebagai produk utama dan mereka yang membuat pemberitahuan akan dipaparkan, jadi sebenarnya tidak banyak syarikat yang membuat pemberitahuan. Oleh itu, pada dasarnya, pemberian maklumat peribadi kepada pihak ketiga tanpa mendapatkan persetujuan dari individu menjadi sukar kecuali dalam kes-kes yang dikecualikan seperti pemberian tugas.
Pendedahan, Pembetulan, dan lain-lain Maklumat Peribadi
Dalam Akta Perlindungan Maklumat Peribadi Jepun, prosedur untuk memenuhi permintaan dari individu berkenaan pemberitahuan tujuan penggunaan, pendedahan, pembetulan, penghentian penggunaan, dan lain-lain juga dituntut untuk diumumkan. Oleh itu, apabila anda membuat dasar privasi, anda juga perlu menentukan perkara-perkara ini. Walau bagaimanapun, klausa yang menentukan perkara ini biasanya mempunyai bahasa yang standard di kebanyakan syarikat. Satu perkara yang perlu dipertimbangkan adalah sama ada untuk menetapkan bayaran bagi permintaan pendedahan dan lain-lain dari individu. Menetapkan bayaran yang sesuai adalah satu cara untuk mengelakkan kelewatan kerja akibat permintaan yang disalahgunakan. Jika bayaran diperlukan, perlu diingat bahawa anda perlu menentukan kandungan ini dalam dasar privasi anda.
Rumusan
Mengenai perlindungan maklumat peribadi, peraturan undang-undang semakin ketat seiring dengan peningkatan kepedulian masyarakat. Tentunya penting untuk mengurus maklumat dengan selamat di dalam syarikat agar tidak ada kebocoran maklumat peribadi, tetapi pada masa yang sama, juga penting untuk menetapkan polisi privasi dan peraturan dalaman yang selaras dengan peraturan undang-undang. Undang-undang Perlindungan Maklumat Peribadi (Japanese Personal Information Protection Law) dijangka akan dipinda setiap tiga tahun. Setiap kali peraturan mengenai pengendalian maklumat peribadi berubah, bukan sahaja perubahan sistem dalaman syarikat yang diperlukan, tetapi juga mungkin perlu untuk meninjau semula cara perniagaan itu sendiri. Dalam erti kata ini, Undang-undang Perlindungan Maklumat Peribadi boleh dikatakan sebagai undang-undang yang berkaitan dengan teras perniagaan, jadi adalah penting bagi pengendali yang banyak mengendalikan maklumat peribadi untuk sentiasa memahami trend pindaan.
Panduan Mengenai Penyediaan dan Ulasan Kontrak oleh Firma Kami
Di Firma Guaman Monolis, sebagai firma guaman yang mempunyai kelebihan dalam IT, Internet dan perniagaan, kami menawarkan perkhidmatan seperti penyediaan dan ulasan kontrak yang pelbagai, bukan sahaja mengenai polisi privasi, kepada syarikat klien dan syarikat yang menjadi penasihat kami.
Sesiapa yang berminat, sila lihat butiran lanjut di bawah.