Apa itu Undang-Undang Perlindungan Maklumat Peribadi dan Maklumat Peribadi? Peguam Jepun menjelaskan
Undang-undang Perlindungan Data Peribadi yang dipinda pada tahun 2015 (dilaksanakan pada tahun 2017) atau dengan tepatnya ‘Undang-undang mengenai Perlindungan Data Peribadi’ (Japanese Personal Information Protection Law) adalah undang-undang penting yang perlu dipertimbangkan apabila berhadapan dengan isu data peribadi dalam aktiviti perniagaan. Undang-undang ini menjelaskan tanggungjawab undang-undang yang perlu dipikul oleh pengendali data peribadi. Sehingga tahun 2015 (tahun 27 Heisei dalam kalendar Jepun), hanya pengendali data peribadi yang memiliki data lebih dari 5000 individu sahaja yang terikat dengan undang-undang ini, oleh itu banyak syarikat, terutamanya perniagaan berskala kecil, yang tidak dianggap sebagai pengendali data peribadi. Namun, selepas pindaan pada tahun 2015, syarat ini telah dihapuskan dan hampir semua syarikat kini dianggap sebagai pengendali data peribadi, menjadikan undang-undang ini tidak dapat dielakkan oleh pemilik perniagaan kecil. Untuk tujuan seperti jualan langsung, e-mel pemasaran, pengeluaran DM, dan kad mata ganjaran untuk kedai fizikal, adalah penting untuk mengendalikan data peribadi seperti nama dan alamat e-mel pelanggan, oleh itu adalah penting untuk memahami asas Undang-undang Perlindungan Data Peribadi.
Tujuan dan Definisi Undang-Undang Perlindungan Data Peribadi Jepun
Undang-Undang Perlindungan Data Peribadi Jepun adalah undang-undang jenis apa? Mari kita lihat ringkasannya. Pertama, tujuan undang-undang ini dinyatakan dalam Artikel 1.
Artikel 1 Undang-Undang Perlindungan Data Peribadi Jepun
Undang-undang ini bertujuan untuk melindungi hak dan kepentingan individu dengan mempertimbangkan kegunaan data peribadi, dengan menetapkan perkara-perkara asas bagi langkah-langkah perlindungan data peribadi termasuk prinsip asas dan dasar asas kerajaan, dan menjelaskan tanggungjawab kerajaan dan badan awam tempatan, serta menetapkan kewajipan yang harus dipatuhi oleh pengendali data peribadi, dalam menghadapi peningkatan penggunaan data peribadi yang ketara seiring dengan kemajuan masyarakat komunikasi maklumat yang maju. Penggunaan data peribadi yang tepat dan berkesan adalah untuk mencipta industri baru dan mewujudkan masyarakat ekonomi yang dinamik dan kehidupan rakyat yang kaya.
Sebagaimana yang dinyatakan.
Artikel 2 mendefinisikan data peribadi, data peribadi, dan data peribadi yang dipegang (Artikel 2(1), (4), dan (5)).
“Data peribadi” dalam Undang-Undang Perlindungan Data Peribadi Jepun adalah “maklumat mengenai individu yang masih hidup” yang “boleh mengenal pasti individu tertentu melalui nama, tarikh lahir dan butiran lain yang terkandung dalam maklumat tersebut (termasuk yang boleh mengenal pasti individu tertentu dengan mudah disandingkan dengan maklumat lain)”. “Data peribadi” adalah data peribadi yang telah dijadikan pangkalan data oleh komputer, dan data yang dipegang oleh pengendali selama lebih dari 6 bulan adalah “data peribadi yang dipegang”.
Perlindungan data peribadi sangat bergantung pada sama ada ia telah dijadikan pangkalan data atau tidak. Data peribadi adalah data peribadi yang telah dijadikan pangkalan data dan disusun secara sistematik untuk memudahkan pencarian dan sebagainya, dan kemungkinan pelanggaran haknya adalah tinggi, oleh itu perlindungan yang lebih kuat diberikan berbanding dengan data peribadi secara umum.
Data peribadi yang dipegang diberikan perlindungan yang lebih kuat, dan ini adalah data peribadi yang pengendali data peribadi mempunyai kuasa untuk mendedahkan, membetulkan, menambah atau memadam kandungan, menghentikan penggunaan, memadam dan menghentikan penyediaan kepada pihak ketiga (Artikel 2(7)), dan permintaan untuk mendedahkan, membetulkan, menghentikan penggunaan dan sebagainya berdasarkan permintaan agar individu dapat terlibat dengan betul dalam maklumat mereka sendiri diterima untuk data peribadi yang dipegang (akan diterangkan kemudian).
Peraturan Mengenai Pengendalian Maklumat Peribadi
Untuk memastikan maklumat peribadi tidak disalahgunakan, perlu ada peraturan yang tepat mengenai pengendalian maklumat tersebut. Tujuan penggunaan maklumat peribadi harus dikenal pasti dengan jelas dan pengendalian maklumat tersebut harus terhad dalam lingkungan yang diperlukan untuk mencapai tujuan tersebut.
Oleh itu, pengendali perniagaan maklumat peribadi perlu:
- Menentukan tujuan penggunaan maklumat peribadi sejauh mungkin semasa mengendalikan maklumat tersebut (Pasal 15(1))
- Tidak boleh mengendalikan maklumat peribadi melebihi lingkungan yang diperlukan untuk mencapai tujuan penggunaan (Pasal 16(1))
- Tidak boleh mendapatkan maklumat peribadi dengan cara penipuan atau cara yang tidak adil (Pasal 17(1))
- Apabila mendapatkan maklumat peribadi, tujuan penggunaan harus diberitahu atau diumumkan kepada individu tersebut (Pasal 18)
Undang-undang Perlindungan Maklumat Peribadi Jepun memerlukan penggunaan maklumat peribadi yang dimiliki oleh pemilik perniagaan mengikut tujuan yang telah ditentukan dan diumumkan sebelumnya. Dengan kata lain, “boleh menggunakan maklumat peribadi dengan cara apa pun, tetapi perlu menentukan tujuan dan membuat pengumuman” adalah perlu. Sebagai contoh, “menggunakan maklumat peribadi untuk menampilkan iklan yang sesuai dengan atribut pengguna” bukanlah ilegal, tetapi tujuan penggunaan tersebut harus diumumkan sebelumnya. Cara pengumuman tidak ditentukan secara khusus, tetapi biasanya dilakukan dalam bentuk “Dasar Privasi” atau “Dasar Perlindungan Maklumat Peribadi”.
Sebaliknya, maklumat peribadi yang sensitif, atau maklumat peribadi yang memerlukan pertimbangan khusus, dilarang mendapatkannya tanpa persetujuan individu tersebut, yang merupakan prinsip yang lebih berat daripada maklumat peribadi biasa (Pasal 17(2)).
Maklumat peribadi yang memerlukan pertimbangan khusus adalah:
Pasal 2(3)
Dalam undang-undang ini, “maklumat peribadi yang memerlukan pertimbangan khusus” merujuk kepada maklumat peribadi yang mengandungi deskripsi yang ditentukan oleh perintah kerajaan sebagai memerlukan pertimbangan khusus dalam pengendaliannya untuk mengelakkan diskriminasi yang tidak adil, prasangka, atau kerugian lain terhadap individu tersebut, termasuk fakta tentang ras, kepercayaan, status sosial, sejarah penyakit, sejarah jenayah, fakta yang menderita kerugian akibat jenayah, dan lain-lain.
Ini juga termasuk hasil diagnosis kecacatan, arahan oleh doktor dan lain-lain, prosedur jenayah, dan prosedur berkaitan dengan kes perlindungan remaja.
Peraturan ketat yang tidak membolehkan “mendapatkan” maklumat peribadi yang memerlukan pertimbangan khusus tanpa persetujuan individu tersebut, kecuali ada sebab tertentu, adalah kerana maklumat tersebut, walaupun tidak dianggap perlu untuk mendapatkannya, boleh mendatangkan diskriminasi dan prasangka jika diperoleh dan dikendalikan.
Disiplin Mengenai Pengurusan dan Pengawasan
Banyak orang bimbang dan risau tentang situasi di mana maklumat peribadi bocor atau dipalsukan. Terutamanya, berkenaan dengan data peribadi yang telah dikebaskan dalam pangkalan data, terdapat banyak situasi yang menimbulkan masalah sosial seperti kebocoran besar-besaran maklumat pelanggan. Oleh itu, pengendali maklumat peribadi mempunyai kewajipan untuk mengambil langkah-langkah yang perlu dan sesuai (langkah-langkah pengurusan keselamatan) untuk pengurusan keselamatan data peribadi (Perkara 20).
Pelanggaran Kewajipan Pengurusan Keselamatan
Sebenarnya, dalam kes di mana maklumat peribadi telah bocor atau tersebar di internet, pelanggaran kewajipan pengurusan keselamatan sering diakui, dan kandungan langkah-langkah pengurusan keselamatan yang mempertimbangkan ciri-ciri perniagaan berskala kecil dan sederhana dinyatakan dalam “Panduan mengenai Undang-Undang Perlindungan Maklumat Peribadi (Edisi Umum)” (Suruhanjaya Perlindungan Maklumat Peribadi). Oleh itu, penting untuk mengambil tindakan yang mematuhi panduan ini, bukan sahaja untuk mematuhi Perkara 20 Undang-Undang Perlindungan Maklumat Peribadi, tetapi juga untuk mengelakkan situasi di mana tanggungjawab tindakan haram atas dasar pelanggaran privasi disebabkan oleh kebocoran termasuk di internet.
Walau bagaimanapun, tidak kira sejauh mana sistem dan sistem disusun, pengendalian yang betul pada akhirnya harus diserahkan kepada manusia, jadi “Pengendali maklumat peribadi harus, apabila membenarkan pekerja mereka mengendalikan data peribadi, melakukan pengawasan yang perlu dan sesuai terhadap pekerja tersebut untuk memastikan pengurusan keselamatan data peribadi tersebut” (Perkara 21).
https://monolith.law/corporate/trends-in-personal-information-leakage-and-loss-accidents-in-2019[ja]
Selain itu, penjualan atau pengeluaran data pelanggan oleh pekerja bukan sahaja membawa tanggungjawab tindakan haram (Perkara 709 Undang-Undang Sivil) kepada pekerja itu sendiri, tetapi juga mungkin membawa tanggungjawab pengguna kepada pengendali maklumat peribadi itu sendiri (Perkara 715 Undang-Undang Sivil), jadi berhati-hati adalah penting.
“Penyediaan kepada Pihak Ketiga” dan “Pengendalian”
Dalam Undang-Undang Perlindungan Maklumat Peribadi, penyediaan maklumat peribadi pelanggan kepada “pihak ketiga” adalah prinsipnya dilarang, walaupun untuk tujuan yang telah diumumkan sebelumnya, kecuali dengan persetujuan. Walau bagaimanapun, jika anda meneruskan peraturan ini, “menyimpan pangkalan data tentang pelanggan di server sewa juga adalah haram”. Ini kerana server sewa adalah “pihak ketiga” bagi perniagaan.
Walau bagaimanapun, dalam “penyediaan kepada pihak ketiga”, “pengendalian” adalah pengecualian dan dibenarkan, dan “pengendalian” kepada orang yang tidak menggunakan maklumat tersebut dibenarkan. Sebagai contoh, server sewa hanya menyimpan maklumat dan tidak menggunakannya. Pengendalian maklumat peribadi kepada pihak ketiga seperti ini sering dilakukan, tetapi untuk mengelakkan situasi di mana pengendalian tidak sesuai oleh penerima pengendalian atau tanggungjawab menjadi tidak jelas kerana pengendalian berlapis dilakukan berulang kali, “Pengendali maklumat peribadi harus, apabila mengendalikan semua atau sebahagian daripada pengendalian data peribadi, melakukan pengawasan yang perlu dan sesuai terhadap orang yang menerima pengendalian tersebut untuk memastikan pengurusan keselamatan data peribadi yang dikendalikan” (Perkara 22).
Pengoptimuman Pengendalian Maklumat Peribadi Melalui Penglibatan Individu
Akta Perlindungan Maklumat Peribadi (Japanese Personal Information Protection Act) membenarkan individu untuk meminta penzahiran (Perkara 28), pembetulan, penambahan, penghapusan (Perkara 29), dan penghentian penggunaan (Perkara 30) data peribadi yang dipegang oleh pengendali maklumat peribadi di bawah syarat-syarat tertentu untuk pengoptimuman pengendalian maklumat peribadi melalui penglibatan individu. Hak-hak ini secara jelas ditetapkan sebagai hak untuk membuat tuntutan di bawah undang-undang peribadi, dan jika pengendali maklumat peribadi tidak mematuhi permintaan ini, individu dapat menegakkan hak mereka melalui proses pengadilan.
Pengendali maklumat peribadi mesti menzahirkan data peribadi yang dipegang jika ada permintaan dari individu tersebut, dan jika terdapat kesilapan dalam kandungan, mereka mesti mematuhi permintaan untuk pembetulan dan sebagainya. Jika mereka melanggar kewajipan undang-undang seperti penggunaan yang tidak sesuai dengan tujuan, kaedah pengumpulan yang tidak sesuai, atau memberikan kepada pihak ketiga tanpa persetujuan individu, mereka mesti menghentikan penggunaan maklumat tersebut. Seperti yang dinyatakan di atas, Akta Perlindungan Maklumat Peribadi adalah undang-undang yang bertujuan melindungi hak rakyat dengan mengenakan pelbagai kewajipan kepada pengendali maklumat peribadi.
Hukuman bagi Kebocoran Maklumat Peribadi
Akta Perlindungan Maklumat Peribadi Jepun (Japanese Personal Information Protection Act) telah menetapkan hukuman bagi kes-kes di mana perniagaan telah membocorkan maklumat peribadi.
Jika perniagaan melanggar Akta Perlindungan Maklumat Peribadi dan membocorkan maklumat, pertama-tama, mereka akan disarankan oleh kerajaan untuk ‘menghentikan pelanggaran dan mengambil langkah-langkah yang diperlukan untuk membetulkan pelanggaran’ (Perkara 42). Jika mereka melanggar nasihat ini, pekerja yang melanggar akan dikenakan ‘hukuman penjara selama 6 bulan atau kurang, atau denda sebanyak 300,000 yen atau kurang’ (Perkara 84), dan syarikat yang menggaji pekerja tersebut juga boleh dikenakan ‘denda sebanyak 300,000 yen atau kurang’ (Perkara 85). Selain itu, jika maklumat disediakan atau dicuri dengan niat untuk mendapatkan keuntungan yang tidak adil, mereka akan dikenakan ‘hukuman penjara selama 1 tahun atau kurang, atau denda sebanyak 500,000 yen atau kurang’ tanpa nasihat (Perkara 83).
Rumusan
Undang-Undang Perlindungan Maklumat Peribadi Jepun (Japanese Personal Information Protection Act) adalah undang-undang yang menuntut pengendali perniagaan yang mengendalikan maklumat peribadi untuk mengambil langkah-langkah yang perlu dan sesuai untuk pengurusan keselamatan. Ini adalah undang-undang penting yang tidak boleh dielakkan oleh hampir semua syarikat.