Co to jest ustawa o ochronie danych osobowych i dane osobowe? Wyjaśnienie prawnika
Ustawa o ochronie danych osobowych, która została zmieniona w 2015 roku (wprowadzona w życie od 2017 roku), dokładniej “Ustawa o ochronie danych osobowych” (japońska “Ustawa o ochronie danych osobowych”), jest kluczowym aktem prawnym do rozważenia podczas rozważania problemów z danymi osobowymi w działalności biznesowej. Ustawa ta jasno określa obowiązki prawne, które muszą spełniać podmioty przetwarzające dane osobowe. Do roku 2015 (rok 27 ery Heisei, 2015 w kalendarzu gregoriańskim), podmioty przetwarzające dane osobowe były ograniczone do tych, które posiadały dane osobowe więcej niż 5000 osób, więc było wiele firm, które nie były podmiotami przetwarzającymi dane osobowe, takie jak małe firmy. Jednak po zmianie w 2015 roku, ten warunek został usunięty, więc prawie wszystkie firmy stały się podmiotami przetwarzającymi dane osobowe, stając się prawem, którego nie można uniknąć nawet dla właścicieli małych firm. Dla celów takich jak sprzedaż wysyłkowa, newslettery, wysyłanie DM, karty punktowe dla sklepów stacjonarnych, itp., konieczne jest przetwarzanie danych osobowych, takich jak imię i nazwisko klienta oraz adres e-mail, dlatego konieczne jest zrozumienie podstaw Ustawy o ochronie danych osobowych.
Cel i definicja Japońskiej Ustawy o Ochronie Danych Osobowych
Jaka jest konkretna treść Japońskiej Ustawy o Ochronie Danych Osobowych? Przyjrzyjmy się jej ogólnemu zarysowi. Na początku, w artykule 1, cel tej ustawy jest jasno określony.
Artykuł 1 Japońskiej Ustawy o Ochronie Danych Osobowych
W obliczu znacznego rozszerzenia wykorzystania danych osobowych wraz z postępem społeczeństwa informacyjnego, ta ustawa ma na celu określenie podstawowych zasad i polityki rządu dotyczących właściwego postępowania z danymi osobowymi, a także określenie obowiązków i obowiązków rządu i lokalnych organów publicznych. W ten sposób, poprzez właściwe i skuteczne wykorzystanie danych osobowych, przyczynia się do tworzenia nowych gałęzi przemysłu, dynamicznego społeczeństwa gospodarczego i bogatego życia obywateli, biorąc pod uwagę użyteczność danych osobowych, a jednocześnie chroniąc prawa i korzyści jednostek.
Jak to jest napisane.
W artykule 2, dane osobowe, dane osobowe i dane osobowe są zdefiniowane (artykuł 2, punkty 1, 4 i 5).
W Japońskiej Ustawie o Ochronie Danych Osobowych, “dane osobowe” to “informacje dotyczące żyjącej osoby”, które “mogą zidentyfikować konkretną osobę” za pomocą “nazwiska, daty urodzenia i innych opisów” zawartych w tych informacjach (w tym informacje, które mogą być łatwo skojarzone z innymi informacjami, umożliwiając identyfikację konkretnej osoby). “Dane osobowe” to dane osobowe, które zostały zinformatyzowane za pomocą komputera, a te, które są przechowywane przez przedsiębiorcę przez okres dłuższy niż 6 miesięcy, są “danymi osobowymi”.
W zależności od tego, czy dane osobowe są zinformatyzowane, konieczność ich ochrony znacznie się różni. Dane osobowe są zinformatyzowane i łatwo można je wyszukać, co zwiększa prawdopodobieństwo naruszenia praw, dlatego otrzymują silniejszą ochronę niż ogólne dane osobowe.
Jeszcze silniejszą ochronę otrzymują dane osobowe, które są przechowywane przez przedsiębiorcę, który ma prawo do ujawniania, korekty, dodawania lub usuwania treści, zatrzymania użytkowania, usuwania i zatrzymania dostarczania do osób trzecich (artykuł 2, punkt 7). W przypadku danych osobowych, które są przechowywane, osoba, której dotyczą, ma prawo do odpowiedniego udziału w swoich informacjach, co jest uwzględniane w uznaniu prawa do ujawniania, korekty, zatrzymania użytkowania itp. (opisane poniżej).
Zasady dotyczące przetwarzania danych osobowych
Aby zapobiec nieodpowiedniemu wykorzystaniu danych osobowych, muszą one być przetwarzane zgodnie z określonymi zasadami. Przede wszystkim, musi być jasno określone, do jakiego celu będą wykorzystywane dane osobowe, a ich przetwarzanie musi być ograniczone do zakresu niezbędnego do osiągnięcia tego celu.
Podmioty przetwarzające dane osobowe muszą:
- Określić cel przetwarzania danych osobowych jak najbardziej precyzyjnie (art. 15 ust. 1 Japońskiej Ustawy o Ochronie Danych Osobowych)
- Nie przetwarzać danych osobowych poza zakresem niezbędnym do osiągnięcia celu (art. 16 ust. 1)
- Nie pozyskiwać danych osobowych za pomocą oszustwa lub innych nieuczciwych metod (art. 17 ust. 1)
- W przypadku pozyskania danych osobowych, poinformować osobę, której dane dotyczą, o celu ich przetwarzania lub ogłosić ten cel publicznie (art. 18)
Japońska Ustawa o Ochronie Danych Osobowych wymaga, aby podmioty przetwarzające dane osobowe wykorzystywały je zgodnie z celami, które zostały wcześniej określone i ogłoszone publicznie. Innymi słowy, można wykorzystywać dane osobowe w dowolny sposób, pod warunkiem, że cel ich wykorzystania jest jasno określony i ogłoszony. Na przykład, nie jest nielegalne wykorzystywanie danych osobowych do wyświetlania reklam dostosowanych do preferencji użytkownika, ale cel ten musi być wcześniej ogłoszony. Metoda ogłoszenia nie jest ściśle określona, ale zazwyczaj jest to realizowane poprzez “Politykę Prywatności” lub “Politykę Ochrony Danych Osobowych”.
Z drugiej strony, tzw. wrażliwe dane osobowe, które wymagają szczególnej uwagi, są chronione w większym stopniu niż zwykłe dane osobowe. Zasada jest taka, że ich pozyskanie bez zgody osoby, której dane dotyczą, jest zabronione (art. 17 ust. 2).
Wrażliwe dane osobowe to:
Art. 2 ust. 3
W tej ustawie, “wrażliwe dane osobowe” oznaczają dane osobowe, które zawierają informacje określone przez rozporządzenie, takie jak rasa, przekonania, status społeczny, historia chorób, przeszłość kryminalna, fakt, że osoba doznała szkody w wyniku przestępstwa, oraz inne informacje, które mogą prowadzić do niesprawiedliwej dyskryminacji, uprzedzeń lub innych szkód dla osoby, której dane dotyczą, i które wymagają szczególnej uwagi podczas ich przetwarzania.
Wrażliwe dane osobowe obejmują również informacje o niepełnosprawnościach, wyniki badań zdrowotnych, porady, leczenie, recepty udzielane przez lekarzy, przeprowadzenie postępowania karnego, przeprowadzenie postępowania dotyczącego ochrony młodzieży.
Jeżeli nie ma określonych wyjątków, surowe regulacje zabraniają nawet “pozyskiwanie” wrażliwych danych osobowych bez zgody osoby, której dane dotyczą. Jest to spowodowane tym, że wrażliwe dane osobowe mogą prowadzić do dyskryminacji i uprzedzeń, nawet jeśli nie ma konieczności ich pozyskiwania i przetwarzania.
Dyscyplina dotycząca zarządzania i nadzoru
Wielu ludzi obawia się i czuje niepokój, że dane osobowe mogą zostać wycieknięte lub zmienione. Szczególnie dotyczy to zdigitalizowanych danych osobowych, które często prowadzą do poważnych problemów społecznych, takich jak masowe wycieki informacji o klientach. Dlatego operatorzy zajmujący się danymi osobowymi mają obowiązek podjąć niezbędne i odpowiednie środki (środki zarządzania bezpieczeństwem) w celu zapewnienia bezpiecznego zarządzania danymi osobowymi (art. 20 Japońskiej Ustawy o Ochronie Danych Osobowych).
Naruszenie obowiązku zarządzania bezpieczeństwem
W rzeczywistości, w przypadkach, gdy dane osobowe są wyciekane lub ujawniane w Internecie, często stwierdza się naruszenie obowiązku zarządzania bezpieczeństwem. Zawartość środków zarządzania bezpieczeństwem, uwzględniająca specyfikę małych i średnich przedsiębiorstw, jest wyraźnie określona w “Wytycznych dotyczących Japońskiej Ustawy o Ochronie Danych Osobowych (Ogólne)” (Komisja Ochrony Danych Osobowych). Dlatego przestrzeganie tych wytycznych, nie tylko w celu przestrzegania art. 20 Japońskiej Ustawy o Ochronie Danych Osobowych, ale także w celu uniknięcia odpowiedzialności za naruszenie prywatności spowodowane wyciekiem danych w Internecie, jest bardzo ważne.
Jednakże, bez względu na to, jak dobrze zorganizowany jest system lub procedury, prawidłowe ich funkcjonowanie w końcu zależy od ludzi. Dlatego “operatorzy zajmujący się danymi osobowymi muszą przeprowadzać niezbędny i odpowiedni nadzór nad swoimi pracownikami, aby zapewnić bezpieczne zarządzanie danymi osobowymi, które są przez nich przetwarzane” (art. 21 Japońskiej Ustawy o Ochronie Danych Osobowych).
https://monolith.law/corporate/trends-in-personal-information-leakage-and-loss-accidents-in-2019[ja]
Należy zauważyć, że sprzedaż lub wywożenie danych klientów przez pracowników, nie tylko zobowiązuje pracownika do odpowiedzialności za czyny niedozwolone (art. 709 Japońskiego Kodeksu Cywilnego), ale także może zobowiązać operatora danych osobowych do odpowiedzialności za czyny pracowników (art. 715 Japońskiego Kodeksu Cywilnego), dlatego należy zachować ostrożność.
“Udostępnianie osobom trzecim” i “zlecenie”
Według Japońskiej Ustawy o Ochronie Danych Osobowych, nawet jeśli jest to dla celów wcześniej ogłoszonych, udostępnianie danych osobowych klientów “osobom trzecim” jest zasadniczo zabronione, chyba że istnieje zgoda. Jednak jeśli pójdziemy dalej z tą zasadą, “umieszczanie bazy danych o klientach na serwerze wynajmowanym byłoby nielegalne”. Wynajmowany serwer jest dla operatora “osobą trzecią”.
Jednakże, “zlecenie” jest wyjątkowo dozwolone w ramach “udostępniania osobom trzecim”, i jest dozwolone, jeśli jest to “zlecenie” na korzyść osoby, która nie korzysta z tych informacji. Na przykład, serwer wynajmowany przechowuje tylko informacje i z niego nie korzysta. Takie zlecenie przetwarzania danych osobowych osobom trzecim jest często praktykowane, ale w celu zapobiegania sytuacjom, w których nieodpowiednie przetwarzanie przez zleceniobiorcę lub powtarzające się zlecenia na różnych poziomach powodują niejasność co do miejsca odpowiedzialności, “operatorzy zajmujący się danymi osobowymi muszą przeprowadzać niezbędny i odpowiedni nadzór nad osobą, której zlecono przetwarzanie danych osobowych, aby zapewnić bezpieczne zarządzanie danymi osobowymi, które są przez nią przetwarzane” (art. 22 Japońskiej Ustawy o Ochronie Danych Osobowych).
Uzyskanie prawidłowego przetwarzania danych osobowych za pomocą udziału osoby, której dane dotyczą
Prawo o ochronie danych osobowych (japońskie: 個人情報保護法) umożliwia osobie, której dane dotyczą, poprawne przetwarzanie swoich danych osobowych. Na podstawie określonych wymagań, osoba ta może żądać od podmiotu przetwarzającego dane osobowe ujawnienia danych dotyczących jej osoby (art. 28), poprawienia, dodania lub usunięcia (art. 29), a także zaprzestania korzystania z nich (art. 30). Prawo to jest jasno określone jako prawo do wniesienia roszczenia w prawie cywilnym, a jeśli podmiot przetwarzający dane osobowe nie zastosuje się do wniosku, pomimo jego złożenia, osoba ta może dochodzić swoich praw za pośrednictwem sądu.
Podmiot przetwarzający dane osobowe musi ujawnić dane osobowe na żądanie osoby, której dane dotyczą. Jeśli informacje są nieprawidłowe, musi zastosować się do poprawek itp. W przypadku naruszenia obowiązków prawnych, takich jak wykorzystywanie danych w celach innych niż te, dla których zostały zebrane, niewłaściwe metody pozyskiwania danych lub udostępnianie danych osobowych osobom trzecim bez zgody osoby, której dane dotyczą, musi zaprzestać korzystania z tych informacji. Jak widać, Prawo o ochronie danych osobowych jest prawem, które ma na celu ochronę praw obywateli poprzez nałożenie różnych obowiązków na podmioty przetwarzające dane osobowe.
Kary za naruszenie ochrony danych osobowych
W japońskim prawie o ochronie danych osobowych (Japanese Personal Information Protection Act) określone są kary za naruszenie ochrony danych osobowych przez przedsiębiorców.
Jeżeli przedsiębiorca naruszy prawo o ochronie danych osobowych i dojdzie do wycieku informacji, najpierw otrzymuje od państwa “zalecenie o zaprzestaniu naruszeń i podjęciu niezbędnych działań w celu ich naprawy” (art. 42). Jeżeli to zalecenie zostanie zignorowane, pracownik, który naruszył prawo, może zostać ukarany “kara pozbawienia wolności do 6 miesięcy lub grzywną do 300 000 jenów” (art. 84), a firma, która go zatrudnia, może również zostać ukarana “grzywną do 300 000 jenów” (art. 85). Ponadto, jeżeli informacje zostały udostępnione lub skradzione w celu uzyskania nielegalnych korzyści, można nałożyć karę “pozbawienia wolności do 1 roku lub grzywny do 500 000 jenów” bez wcześniejszego zalecenia (art. 83).
Podsumowanie
Prawo o ochronie danych osobowych (Japońskie Prawo o Ochronie Danych Osobowych) to prawo, które wymaga od podmiotów gospodarczych, które przetwarzają dane osobowe, aby odpowiednio je przetwarzały i podejmowały niezbędne i odpowiednie środki w celu ich bezpieczeństwa. Jest to istotne prawo, którego niemal wszystkie firmy nie mogą uniknąć.