Jakie są kluczowe punkty przy tworzeniu polityki prywatności z uwzględnieniem Japońskiej Ustawy o Ochronie Danych Osobowych?
W ostatnim czasie społeczne zainteresowanie ochroną danych osobowych znacznie wzrosło. Można śmiało powiedzieć, że prawie nie ma przedsiębiorców, którzy nie przetwarzają danych osobowych, co sprawia, że kwestia ta jest niezwykle istotna dla wielu firm i osób prowadzących działalność gospodarczą. W przypadku firm posiadających strony internetowe, często można zauważyć, że na ich stronach zamieszczane są polityki prywatności. Polityka prywatności to dokument, który zgodnie z japońską Ustawą o ochronie danych osobowych (Japanese Personal Information Protection Act) publikuje wytyczne dotyczące przetwarzania danych osobowych przez danego przedsiębiorcę. Aby prawidłowo opracować politykę prywatności, niezbędne jest zrozumienie Ustawy o ochronie danych osobowych. W związku z tym, poniżej przedstawiamy kluczowe punkty do sprawdzenia podczas tworzenia polityki prywatności. Warto zauważyć, że Ustawa o ochronie danych osobowych została zmieniona w 2015 roku (2015 w kalendarzu gregoriańskim), a zmienione przepisy weszły w życie 30 maja 2017 roku (2017 w kalendarzu gregoriańskim). Szczególnie istotne zmiany dotyczyły udostępniania danych osobowych osobom trzecim, co również zostanie omówione poniżej. Szczegółowe informacje na temat zmian w Ustawie o ochronie danych osobowych można znaleźć w poniższym artykule.
Co to jest Polityka Prywatności?
Na stronach internetowych firm zazwyczaj umieszczane są polityki prywatności. Czasami nazywane są “Polityką ochrony danych osobowych”, ale zasadniczo są to te same dokumenty. Polityka prywatności pokazuje podstawowe podejście firmy do obsługi danych osobowych, a jednocześnie służy do prezentowania informacji, które są wymagane do publikacji na mocy japońskiej Ustawy o ochronie danych osobowych. Dlatego też, co najmniej powinna zawierać następujące informacje, które są wymagane do publikacji na mocy tej ustawy:
- Cel wykorzystania danych osobowych
- Nazwisko lub nazwa podmiotu przetwarzającego dane osobowe
- Procedury odpowiedzi na żądania od osoby, której dane dotyczą, takie jak powiadomienie o celu wykorzystania, ujawnienie, poprawa, zaprzestanie wykorzystania itp.
- Miejsce składania skarg
Poza tym, w przypadku specyficznych operacji określonych prawnie, takich jak wspólne wykorzystanie danych osobowych w ramach grupy firm, czy obsługa tzw. anonimowych informacji przetworzonych, które omówimy później, określone są również informacje, które muszą być opublikowane dla każdego z tych przypadków.
Artykuł powiązany: Co to jest japońska Ustawa o ochronie danych osobowych i dane osobowe? Wyjaśnienie prawnika[ja]
Podmioty, które powinny stworzyć Politykę Prywatności
Przed wprowadzeniem poprawek do prawa w 2017 roku (2017 w kalendarzu gregoriańskim), stosowanie Japońskiej Ustawy o Ochronie Danych Osobowych było ograniczone do podmiotów, które posiadały ponad 5000 rekordów danych osobowych. W związku z tym, niektóre małe firmy oraz podmioty prowadzące głównie biznes B2B nie musiały tworzyć Polityki Prywatności. Jednakże, poprawki do prawa wprowadzone w 2017 roku rozszerzyły stosowanie Japońskiej Ustawy o Ochronie Danych Osobowych na wszystkie podmioty, niezależnie od liczby przechowywanych danych osobowych. W rezultacie, można przypuszczać, że teraz wszystkie podmioty powinny stworzyć Politykę Prywatności. Warto zauważyć, że nawet jeśli podmiot nie stworzył Polityki Prywatności, może zastąpić to poprzez powiadamianie osoby, od której zbiera dane osobowe, o celu ich wykorzystania i innych kwestiach wymaganych do publikacji przez Japońską Ustawę o Ochronie Danych Osobowych za każdym razem, gdy takie dane są zbierane. Niemniej jednak, ze względu na kłopotliwość tego procesu, zazwyczaj podmioty decydują się na stworzenie Polityki Prywatności.
Kluczowe punkty polityki prywatności
Definicja danych osobowych
Artykuł 〇
Dane osobowe to informacje dotyczące żyjącej osoby, które umożliwiają identyfikację konkretnej osoby na podstawie zawartych w nich informacji, takich jak imię i nazwisko, data urodzenia i inne opisy (w tym informacje, które można łatwo porównać z innymi informacjami, co umożliwia identyfikację konkretnej osoby).
Definicja danych osobowych jest zgodna z tym, co jest określone w japońskiej Ustawie o Ochronie Danych Osobowych. Typowo, obejmuje to informacje takie jak imię i nazwisko, data urodzenia, ale także wiek, płeć, adres, numer telefonu, skład rodziny, zainteresowania, preferencje, adres e-mail, ID, adres IP i znacznik czasu, miejsce pracy, przynależność, adres miejsca pracy, numer telefonu w miejscu pracy, numer karty kredytowej, numer konta bankowego, informacje o odwiedzanych stronach internetowych, skargi, konsultacje lub informacje o zapytaniach mogą również być uważane za dane osobowe. Dlatego warto wcześniej uwzględnić w definicji danych osobowych w Polityce Prywatności te informacje, które są najbardziej prawdopodobne do uzyskania od naszych klientów i innych osób.
Cel wykorzystania danych osobowych
Artykuł 〇
1. Nasza firma wykorzystuje zebrane dane osobowe do następujących celów. Jeżeli na naszej stronie internetowej określiliśmy inny cel wykorzystania danych osobowych, to ma on pierwszeństwo.
(1) Aby odpowiedzieć na zapytania otrzymane za pośrednictwem formularza kontaktowego
(2) Aby dostarczyć i informować o naszych usługach internetowych, aplikacjach i innych usługach (zwanych dalej “naszymi usługami”) oraz o nowych usługach oferowanych przez naszą firmę
(3) Aby ulepszyć nasze usługi i rozwijać nowe
(4) Dla innych celów związanych z powyższymi
2. Poza celami określonymi powyżej, nasza firma może wykorzystywać dane osobowe zebrane od klientów w formie i zakresie, które nie umożliwiają identyfikacji lub określenia osoby, jako informacje statystyczne do celów referencyjnych.
Cel wykorzystania
Na mocy japońskiej Ustawy o Ochronie Danych Osobowych, wymagane jest ogłoszenie celu wykorzystania zebranych danych osobowych. Pierwszy punkt powyższego artykułu odpowiada temu wymogowi. Ważne jest, aby cel wykorzystania nie był opisany w sposób abstrakcyjny lub ogólny, ale konkretny, tak aby osoba, której dane dotyczą, mogła zrozumieć, jak będą one wykorzystywane. Dlatego treść opisu celu wykorzystania może się różnić w zależności od podmiotu tworzącego politykę prywatności. Ponadto, jeżeli cel wykorzystania nie jest w pełni opisany, nie będzie można wykorzystać danych osobowych do tego celu, dlatego należy dokładnie sprawdzić, czy nie ma żadnych pominięć.
Informacje anonimowe
Drugi punkt powyższego artykułu dotyczy przepisów na temat informacji anonimowych. Informacje anonimowe to takie, które zostały przetworzone w taki sposób, że nie można na ich podstawie zidentyfikować osoby, ani przywrócić oryginalnych danych. Jest to zgodne z założeniami dotyczącymi wykorzystania tzw. dużych danych (big data).
Jeżeli firma przetwarza informacje anonimowe, musi opublikować w swojej polityce prywatności informacje na temat kategorii danych osobowych zawartych w informacjach anonimowych. Drugi punkt powyższego artykułu określa, że dane osobowe opisane w “Definicji danych osobowych” będą wykorzystywane jako informacje anonimowe. Ponadto, jeżeli informacje anonimowe są udostępniane osobom trzecim, wymagane jest również opublikowanie informacji na temat metody udostępniania.
Wykorzystanie danych osobowych poza celami określonymi
Artykuł X
Nasza firma przetwarza zebrane dane osobowe tylko w zakresie niezbędnym do osiągnięcia celów określonych w poprzednim artykule. W przypadku przetwarzania danych osobowych poza tym zakresem, wymagana jest uprzednia zgoda osoby, której dane dotyczą. Jednakże, nie dotyczy to następujących przypadków:
(1) Gdy jest to wymagane przez prawo
(2) Gdy jest to konieczne do ochrony życia, ciała lub mienia osoby, a uzyskanie zgody jest trudne
(3) Gdy jest to szczególnie konieczne do poprawy zdrowia publicznego lub promowania zdrowego rozwoju dzieci, a uzyskanie zgody jest trudne
(4) Gdy jest konieczne współpraca z instytucją państwową, lokalnym organem publicznym lub osobą, która otrzymała od nich zlecenie, w celu wykonania zadań określonych przez prawo, a uzyskanie zgody może zakłócić wykonanie tych zadań
Dane osobowe zasadniczo nie mogą być wykorzystywane poza zakresem określonym w celach ich przetwarzania. Jednakże, w ustawie o ochronie danych osobowych, wykorzystanie danych poza określonymi celami jest dozwolone w przypadkach określonych w punktach (1) do (4) powyżej.
Punkty (2) i (3) dotyczą sytuacji, w których konieczne jest wykorzystanie danych osobowych, ale trudno jest szybko uzyskać zgodę od osoby, której dane dotyczą. Punkty (1) i (4) dotyczą wykorzystania danych osobowych na podstawie intencji państwa lub lokalnych organów publicznych, na przykład w przypadku śledztw kryminalnych. Klauzule dotyczące wykorzystania danych poza określonymi celami są praktycznie standardowe dla wszystkich przedsiębiorców i rzadko ulegają zmianie w zależności od charakteru działalności.
Udostępnianie danych osobowych stronie trzeciej
Artykuł X
Nasza firma zasadniczo nie udostępnia danych osobowych klientów stronom trzecim bez uzyskania zgody klienta. Wyjątkowo, udostępniamy dane osobowe stronom trzecim tylko wtedy, gdy określimy odbiorcę i zakres udostępniania i uzyskamy zgodę klienta. Jednakże, nie dotyczy to następujących przypadków:
(1) Gdy jest to wymagane przez prawo
(2) Gdy jest to konieczne do ochrony życia, ciała lub mienia osoby i jest trudno uzyskać zgodę klienta
(3) Gdy jest to szczególnie konieczne do poprawy zdrowia publicznego lub promowania zdrowego rozwoju dzieci i jest trudno uzyskać zgodę klienta
(4) Gdy jest konieczne współpraca z instytucją państwową lub samorządu terytorialnego lub osobą, która otrzymała zlecenie na wykonanie zadań określonych w prawie, a uzyskanie zgody klienta może zakłócić wykonanie tych zadań
(5) Gdy jest konieczne udostępnienie danych osobowych podmiotowi, z którym nasza firma zawarła umowę o zachowaniu poufności, w celu realizacji celu wykorzystania
Wyjątki, kiedy można udostępnić dane osobowe stronie trzeciej
Ten artykuł dotyczy sytuacji, w których operator udostępnia zebrane dane osobowe stronie trzeciej. Zgodnie z japońską Ustawą o ochronie danych osobowych, zasada jest taka, że potrzebna jest zgoda osoby, której dane dotyczą, aby udostępnić dane osobowe stronie trzeciej. Jednakże, prawo przewiduje wyjątki, w których można udostępnić dane osobowe stronie trzeciej bez zgody osoby, której dane dotyczą, jak określono w punktach (1) do (5). Dlatego, podobnie jak w przypadku postanowień dotyczących wykorzystania danych osobowych poza celami, postanowienia dotyczące udostępniania danych osobowych stronie trzeciej są zazwyczaj standardowe dla każdej firmy. W praktyce, najczęściej wykorzystywany jest punkt (5), który dotyczy udostępniania danych osobowych podmiotowi, który otrzymał zlecenie. Jednakże, nawet jeśli zlecono wykonanie zadania, operator, który zebrał dane osobowe, ma obowiązek nadzoru nad podmiotem, który otrzymał zlecenie. Dlatego, jeśli dane osobowe zostaną wycieknięte przez podmiot, który otrzymał zlecenie, operator, który zlecił zadanie, może również zostać pociągnięty do odpowiedzialności. Dlatego, wybór podmiotu, który otrzymał zlecenie, i nadzór po zleceniu powinny być przeprowadzane z należytą starannością. Szczegółowe omówienie incydentu wycieku danych osobowych z Benesse, w którym dane osobowe wyciekły od podmiotu, który otrzymał zlecenie, znajduje się w poniższym artykule.
Artykuł powiązany: Ryzyko wycieku danych osobowych przez firmę i odszkodowanie za szkody[ja]
Trudności z opt-outem po zmianie prawa
W przypadku udostępniania danych osobowych stronie trzeciej, przed wprowadzeniem zmienionego prawa w 2017 roku (rok 29 Heisei), możliwe było udostępnianie danych osobowych stronie trzeciej bez uzyskania zgody osoby, której dane dotyczą, pod warunkiem, że “zatrzyma się udostępnianie danych osobowych stronie trzeciej na żądanie osoby, której dane dotyczą”. To nazywa się opt-out. Jednakże, zgodnie z poprawką wprowadzoną w 2017 roku, udostępnianie danych osobowych stronie trzeciej na zasadzie opt-out jest możliwe tylko po wcześniejszym zgłoszeniu do Komisji Ochrony Danych Osobowych, co zaostrzyło zasady. Można by pomyśleć, że wystarczy zgłosić to do Komisji Ochrony Danych Osobowych, ale ten system zgłoszeń jest głównie przeznaczony dla operatorów, którzy traktują dane osobowe jako towar, a zgłaszający są publikowani, więc w rzeczywistości niewiele firm to zgłasza. Dlatego, w praktyce, udostępnianie danych osobowych stronie trzeciej bez zgody osoby, której dane dotyczą, jest trudne, z wyjątkiem przypadków, w których jest to dozwolone jako wyjątek, takich jak zlecenie.
Ujawnianie, korekta i inne kwestie dotyczące danych osobowych
W ramach Japońskiej Ustawy o Ochronie Danych Osobowych, wymaga się również, aby procedury reagowania na żądania od osoby, której dane dotyczą, takie jak powiadomienie o celu użytkowania, ujawnienie, korekta, zaprzestanie użytkowania itp., były publicznie dostępne. W związku z tym, przy tworzeniu polityki prywatności, konieczne jest uwzględnienie tych kwestii. Wiele firm stosuje jednak standardowe sformułowania w tych klauzulach. Jednym z aspektów, które warto rozważyć, jest ustalenie, czy powinna być pobierana opłata za obsługę żądań ujawnienia itp. od osoby, której dane dotyczą. Ustalenie odpowiedniej opłaty może być jednym ze sposobów na zapobieganie opóźnieniom w pracy spowodowanym nadużywaniem takich żądań. Jeżeli opłata jest wymagana, konieczne jest określenie jej szczegółów w polityce prywatności.
Podsumowanie
W kwestii ochrony danych osobowych, zgodnie z rosnącym społecznym zainteresowaniem, regulacje prawne stają się stopniowo bardziej rygorystyczne. Oczywiście, ważne jest bezpieczne zarządzanie informacjami w firmie, aby nie doszło do wycieku danych osobowych, ale równocześnie ważne jest również opracowanie polityki prywatności i wewnętrznych przepisów zgodnie z regulacjami prawnymi. Co do Japońskiej Ustawy o Ochronie Danych Osobowych, planowane są regularne zmiany co trzy lata. Za każdym razem, gdy zmieniają się zasady dotyczące przetwarzania danych osobowych, może być konieczne nie tylko wprowadzenie zmian w systemie wewnętrznym, ale także przegląd samego sposobu prowadzenia działalności. W tym sensie, Japońska Ustawa o Ochronie Danych Osobowych może być uważana za prawo dotyczące podstaw działalności, dlatego szczególnie dla podmiotów, które przetwarzają dużo danych osobowych, ważne jest, aby na bieżąco śledzić zmiany w prawie.
Informacje o tworzeniu i przeglądaniu umów przez naszą kancelarię
W kancelarii prawnej Monolis, jako prawnicy specjalizujący się w IT, internecie i biznesie, oferujemy naszym klientom i firmom doradczym nie tylko usługi związane z polityką prywatności, ale także tworzenie i przeglądanie różnych umów.
Jeśli jesteś zainteresowany, zapraszamy do zapoznania się ze szczegółami poniżej.