Czy zakup informacji o klientach jest legalny? Wyjaśnienie Japońskiej Ustawy o Ochronie Danych Osobowych
30 maja 2017 roku (w roku 2017 według kalendarza gregoriańskiego) “Nowelizacja Japońskiej Ustawy o Ochronie Danych Osobowych” weszła w pełni w życie, a wszystkie podmioty gospodarcze, które przetwarzają dane osobowe, zostały objęte tą ustawą jako “Podmioty przetwarzające dane osobowe”.
Ustawa ta ma zastosowanie również do firm, które uzyskały dane osobowe poprzez zakup list, dlatego osoby odpowiedzialne za rozważanie zakupu danych klientów muszą znać procedury, obowiązki i zakazy związane z handlem i wykorzystywaniem danych osobowych.
W związku z tym, w tym artykule szczegółowo omówimy przepisy i uwagi dotyczące Japońskiej Ustawy o Ochronie Danych Osobowych, od zakupu do wykorzystania informacji o klientach.
Jakie jest prawo ochrony danych osobowych?
Pełna nazwa prawa ochrony danych osobowych to “Ustawa o ochronie danych osobowych” (japońska: 個人情報の保護に関する法律). Została ustanowiona w 2003 roku (rok 15 Heisei, 2003 w kalendarzu gregoriańskim) i od tego czasu była kilkakrotnie nowelizowana, aby dostosować się do zmian epoki, takich jak cyfryzacja informacji.
Głównym celem tej ustawy nie jest ograniczanie wykorzystania danych osobowych, ale “ochrona” i “odpowiednie wykorzystanie”, jak pokazano poniżej.
Cele prawa ochrony danych osobowych
- Ochrona praw i interesów jednostek oraz ustalenie odpowiednich zasad wykorzystania danych osobowych
- Określenie obowiązków i sankcji dla podmiotów gospodarczych, które przetwarzają dane osobowe
Definicja danych osobowych
Dane osobowe, jak zdefiniowane w prawie o ochronie danych osobowych, dotyczą żyjących osób i obejmują następujące informacje:
- Informacje, które umożliwiają identyfikację konkretnej osoby na podstawie zawartych w nich nazwisk, dat urodzenia i innych opisów
- Informacje zawierające kod identyfikacyjny osoby
Co to jest kod identyfikacyjny osoby
Kod identyfikacyjny osoby to znaki, numery, symbole i inne kody, które umożliwiają identyfikację konkretnej osoby, które spełniają jedno z poniższych kryteriów i są indywidualnie określane przez rozporządzenia i przepisy:
- Kody przekształcone dla komputera na podstawie cech części ciała (DNA, twarz, tęczówka, głos, sposób chodzenia, żyły palców i dłoni, odciski palców i dłoni, itp.)
- Kody przydzielane indywidualnie dla każdego podmiotu w usługach lub dokumentach (numer paszportu, numer podstawowego ubezpieczenia emerytalnego, numer prawa jazdy, kod rejestru mieszkańców, “My Number” (japoński system numerów identyfikacyjnych), różne karty ubezpieczeniowe, itp.)
Jeśli chcesz dowiedzieć się więcej o prawie o ochronie danych osobowych, zapraszamy do zapoznania się z poniższym artykułem wraz z tym artykułem.
Artykuł powiązany: Co to jest prawo o ochronie danych osobowych i dane osobowe? Wyjaśnienie prawnika[ja]
Czy sprzedaż informacji o klientach jest legalna?
Generalni przedsiębiorcy, z wyjątkiem instytucji państwowych i publicznych, mogą sprzedawać informacje o klientach, o ile przestrzegają Japońskiej Ustawy o Ochronie Danych Osobowych. To nie jest nielegalne.
Procedury przy udostępnianiu danych osobowych osobom trzecim
Gdy przedsiębiorca udostępnia bazy danych z danymi osobowymi osobom trzecim, musi przestrzegać następujących procedur:
Zasada uzyskania zgody osoby zainteresowanej z góry
Jednakże, istnieją wyjątki w następujących przypadkach:
① Gdy jest to wymagane przez prawo
② Gdy jest trudno uzyskać zgodę osoby zainteresowanej, ale jest to konieczne dla ochrony życia, ciała lub mienia osoby, lub dla ochrony zdrowia publicznego lub prawidłowego rozwoju dziecka
③ Gdy współpracuje się z państwem lub lokalnymi organami publicznymi
Udostępnianie osobom trzecim poprzez procedurę opt-out
Jeśli przedsiębiorca zdecyduje się na zatrzymanie udostępniania danych osobowych osobom trzecim na żądanie osoby zainteresowanej (opt-out), udostępnianie osobom trzecim jest możliwe nawet bez zgody osoby zainteresowanej, jeśli przestrzegane są następujące procedury:
Osoba zainteresowana musi być powiadomiona o następujących punktach ①〜⑤ z góry, lub muszą one być łatwo dostępne dla osoby zainteresowanej na stronie internetowej itp., a następnie muszą być zgłoszone do Japońskiej Komisji Ochrony Danych Osobowych.
① Udostępnianie osobom trzecim jako cel wykorzystania.
② Elementy danych osobowych, które będą udostępniane osobom trzecim
③ Metoda udostępniania osobom trzecim
④ Zatrzymanie udostępniania danych osobowych osobom trzecim na żądanie osoby zainteresowanej.
⑤ Metoda przyjmowania żądań od osoby zainteresowanej
Ważne jest, aby pamiętać, że “informacje wymagające szczególnej uwagi”, takie jak rasa, przekonania, status społeczny, historia choroby, przeszłość kryminalna, które mogą prowadzić do niesprawiedliwej dyskryminacji lub uprzedzeń, jeśli zostaną ujawnione innym, mogą być udostępniane osobom trzecim tylko za zgodą osoby zainteresowanej.
Co należy przestrzegać przy zakupie informacji o klientach
Obowiązki określone w przepisach prawnych
Przy zakupie informacji o klientach, nabywca staje się “operatorem danych osobowych” (japońskie: 個人情報取扱事業者), dlatego przy otrzymywaniu danych osobowych od osób trzecich, takich jak agencje listowe, obowiązują następujące obowiązki określone w przepisach prawnych.
Przy zakupie informacji o klientach, należy sprawdzić następujące 2 punkty:
- Nazwa, adres i przedstawiciel agencji listowej
- Okoliczności, w jakich agencja listowa uzyskała dane osobowe
Przy zakupie informacji o klientach, należy zarejestrować następujące elementy i przechowywać je przez 3 lata:
- Data otrzymania dostarczenia danych osobowych
- Nazwa, adres i przedstawiciel agencji listowej
- Okoliczności, w jakich agencja listowa uzyskała dane osobowe
- Imię i nazwisko osoby identyfikowanej przez te dane osobowe oraz inne informacje wystarczające do identyfikacji tej osoby
- Elementy tych danych osobowych
- W przypadku udostępniania danych osobowych osobom trzecim za pomocą procedury opt-out, Komisja Ochrony Danych Osobowych (japońskie: 個人情報保護委員会) opublikowała wymagane informacje.
※Można sprawdzić zgłoszenie procedury opt-out na stronie internetowej Komisji Ochrony Danych Osobowych[ja].
Sprawdzanie pozyskiwania informacji o klientach
Przy zakupie informacji o klientach, należy również sprawdzić metody pozyskiwania informacji przez agencje listowe i inne podmioty. Nawet jeśli informacje o klientach są nabyte legalnie, jeśli metoda pozyskiwania informacji jest nielegalna, użytkownik może być narażony na roszczenia o odszkodowanie.
Agencje listowe i inne podmioty są oczywiście prawnie zabronione od pozyskiwania informacji o klientach za pomocą fałszywych lub nieuczciwych metod, ale oprócz tego, przed zakupem należy zawsze sprawdzić, czy spełnione są następujące obowiązki:
- Czy cel użycia jest konkretnie określony
- Czy określony cel użycia jest publikowany lub powiadamiany osobie, której dane dotyczą
- Czy w przypadku użycia pozyskanych danych osobowych do innych celów uzyskano zgodę osoby, której dane dotyczą
- Czy przy otrzymywaniu danych osobowych od osób trzecich, oprócz nazwiska i adresu dostawcy, sprawdzono okoliczności pozyskania danych osobowych, zarejestrowano datę otrzymania, sprawdzone informacje itp. i przechowywano je przez 3 lata
- Czy nie zawierają “informacji osobowych wymagających szczególnej uwagi”, na które zawsze wymagana jest zgoda osoby, której dane dotyczą
Jeśli chcesz dowiedzieć się więcej o wycieku danych osobowych i odszkodowaniach, zapoznaj się z poniższym artykułem wraz z tym artykułem.
Artykuł powiązany: Ryzyko wycieku danych osobowych w firmie i odszkodowania[ja]
Co należy przestrzegać przy korzystaniu z informacji o klientach
Nie przekraczaj zakresu celu użytkowania
Używanie informacji o klientach przez firmy zajmujące się listami mailingowymi i inne, poza zakresem celu, na który uzyskano zgodę od osoby, jest zabronione przez prawo. Dlatego, jeśli chcesz korzystać z tych informacji w innym celu, musisz ponownie uzyskać zgodę od osoby.
W przypadku korzystania do rozmów handlowych
Podczas prowadzenia “sprzedaży przez telefon”, której celem jest namawianie do składania zamówień lub zawierania umów kupna-sprzedaży przez telefon, obowiązują następujące regulacje określone w japońskim Prawie o Specyficznych Transakcjach Handlowych:
Przed rozpoczęciem namawiania, konieczne jest przekazanie konsumentowi następujących informacji:
- nazwa firmy
- imię i nazwisko osoby prowadzącej namawianie
- rodzaj produktu (prawo, usługa), który ma być sprzedany
- cel namawiania do zawarcia umowy
Zakazane działania
- ponowne namawianie osoby, która już raz odmówiła
- podawanie informacji niezgodnych z prawdą
- świadome zatajanie prawdy
- zastraszenie i dezorientowanie drugiej strony
W przypadku korzystania do wysyłki e-maili
W przypadku wysyłania e-maili w celach reklamowych lub promocyjnych, zgodnie z japońskim Prawem o Specyficznych E-mailach, zasada jest taka, że nie wolno wysyłać e-maili do osób, które nie wyraziły ① chęci otrzymywania specyficznych e-maili, lub ② zgody na ich wysyłanie.
Nawet jeśli firmy zajmujące się listami mailingowymi uzyskały powyższe powiadomienia ① i ②, nabywca listy musi uzyskać nowe powiadomienia ① i ②, co sprawia, że korzystanie z e-maili może być trudne.
Obowiązek zabezpieczeń
Po uzyskaniu informacji o klientach, jako podmiot przetwarzający dane osobowe, masz obowiązek podjąć niezbędne środki w celu zapobiegania wyciekom, utracie lub uszkodzeniu danych osobowych.
Ponadto, wobec pracowników faktycznie przetwarzających dane osobowe, musisz prowadzić niezbędne i odpowiednie nadzór w celu zapewnienia bezpieczeństwa tych danych osobowych.
Podsumowanie
W tym artykule omówiliśmy związek między zakupem informacji o klientach a Japońską Ustawą o Ochronie Danych Osobowych, podzielając temat na następujące cztery punkty:
- Jaka jest Japońska Ustawa o Ochronie Danych Osobowych?
- Czy sprzedaż i zakup informacji o klientach jest legalny?
- Co należy przestrzegać przy zakupie informacji o klientach
- Co należy przestrzegać przy korzystaniu z informacji o klientach
Jednakże, gdy prowadzisz transakcje z konsumentami za granicą za pośrednictwem Internetu, musisz sprawdzić nie tylko prawo krajowe, ale także przepisy prawne innych krajów.
Dlatego, jeśli rozważasz zakup lub korzystanie z informacji o klientach, zamiast podejmować decyzje samodzielnie, zalecamy skonsultowanie się i uzyskanie porady od prawnika z bogatą wiedzą i doświadczeniem.
Informacje o środkach podjętych przez naszą kancelarię
Kancelaria prawna Monolis specjalizuje się w IT, a w szczególności w prawie internetowym. W ostatnich latach, japońska ustawa o ochronie danych osobowych (Japanese Personal Information Protection Act) przyciąga coraz więcej uwagi, a potrzeba przeprowadzania kontroli prawnej (legal check) stale rośnie. Szczegóły znajdują się w poniższym artykule.