Что такое Закон о защите персональных данных и персональные данные? Объяснение адвоката

Закон о защите персональных данных, который был изменен в 2015 году (и вступил в силу с 2017 года), является важным законодательным актом при рассмотрении вопросов персональных данных в бизнес-деятельности. Он ясно определяет обязанности операторов обработки персональных данных по закону. До 2015 года (27 года эры Хэйсей) операторами обработки персональных данных считались только те, кто обрабатывал данные более 5000 человек, поэтому многие компании, особенно малые предприятия, не попадали под это определение. Однако после изменений в 2015 году (27 года эры Хэйсей) этот критерий был отменен, и теперь практически все компании являются операторами обработки персональных данных, что делает этот закон неизбежным для владельцев малого бизнеса. Для таких вещей, как почтовые заказы, электронные рассылки, выпуск прямых почтовых сообщений и карты лояльности для реальных магазинов, необходимо обрабатывать персональные данные клиентов, такие как имена и адреса электронной почты, поэтому важно знать основы Закона о защите персональных данных (Японский Закон о защите персональных данных).

Цель и определения Закона о защите персональных данных

Что конкретно представляет собой Закон о защите персональных данных? Давайте рассмотрим его общие положения. В первой статье ясно указана цель этого закона.

Статья 1 Закона о защите персональных данных
Этот закон предназначен для защиты прав и интересов людей, учитывая полезность персональных данных, в то время как обеспечивается правильное и эффективное использование персональных данных, что способствует созданию новых отраслей и реализации динамичного экономического общества и богатой жизни граждан, устанавливая основные принципы и основные политики правительства и другие основные меры по защите персональных данных, а также уточняя обязанности государства и местных общественных организаций, а также обязанности операторов, обрабатывающих персональные данные, которые они должны соблюдать, учитывая значительное расширение использования персональных данных в связи с прогрессом в обществе высоких информационных технологий.

Так гласит закон.

В статье 2 определяются персональные данные, персональные данные в базе данных и хранимые персональные данные (пункты 1, 4 и 5 статьи 2).
В Законе о защите персональных данных под “персональными данными” понимаются “информация о живущем человеке”, которая “может идентифицировать конкретного человека по имени, дате рождения и другим описаниям, содержащимся в этой информации (включая информацию, которую можно легко сопоставить с другой информацией и которая может идентифицировать конкретного человека)”. “Персональные данные в базе данных” – это персональные данные, которые были оцифрованы с помощью компьютера, и среди них те, которые оператор обрабатывает более 6 месяцев, являются “хранящимися персональными данными”.

Необходимость защиты персональных данных значительно отличается в зависимости от того, находятся ли они в базе данных. Персональные данные в базе данных – это персональные данные, которые систематизированы для легкого поиска и т.д., и вероятность нарушения прав выше, поэтому они получают более сильную защиту, чем обычные персональные данные.

Еще более сильная защита предоставляется хранимым персональным данным, которые являются персональными данными, с которыми оператор обработки персональных данных может осуществлять раскрытие, корректировку содержания, добавление или удаление, прекращение использования, удаление и прекращение предоставления третьим лицам (пункт 7 статьи 2), и по отношению к хранимым персональным данным признаются требования на раскрытие, корректировку, прекращение использования и т.д., учитывая требование, чтобы субъект данных мог адекватно участвовать в обработке своих данных (будет обсуждаться далее).

Правила обработки персональных данных

Для того чтобы персональные данные не были использованы неправомерно, необходимо четко определить цели их использования и ограничить обработку данных в рамках этих целей.

Таким образом, операторы обработки персональных данных должны:

• При обработке персональных данных, цель их использования должна быть определена настолько точно, насколько это возможно (статья 15, пункт 1)
• Персональные данные не должны обрабатываться сверх того, что необходимо для достижения цели их использования (статья 16, пункт 1)
• Персональные данные не должны быть получены путем обмана или других незаконных средств (статья 17, пункт 1)
• Если персональные данные были получены, цель их использования должна быть уведомлена или опубликована субъекту данных (статья 18)

Закон о защите персональных данных требует, чтобы бизнес-операторы использовали персональные данные, которыми они обладают, в соответствии с заранее определенной и опубликованной целью. Другими словами, “можно использовать персональные данные как угодно, но необходимо заранее определить и опубликовать цель”. Например, использование персональных данных “для отображения рекламы, соответствующей характеристикам пользователя” само по себе не является незаконным, но цель этого использования должна быть заранее опубликована. Методы публикации не указаны, но обычно это делается в форме “Политики конфиденциальности” или “Политики защиты персональных данных”.

С другой стороны, так называемая чувствительная информация, или персональные данные, требующие особого внимания, подлежат более строгому регулированию, чем обычные персональные данные, и их получение без согласия субъекта данных в принципе запрещено (статья 17, пункт 2).

Персональные данные, требующие особого внимания, определены как:

Статья 2, пункт 3
В этом законе под “персональными данными, требующими особого внимания”, понимаются персональные данные, которые содержат информацию, определенную в указе, требующую особого внимания при обработке, чтобы предотвратить недобросовестную дискриминацию, предвзятость и другие неблагоприятные последствия для субъекта данных, такие как раса, вероисповедание, социальный статус, медицинская история, уголовное прошлое, факт причинения вреда преступлением и другие.

Кроме того, включаются результаты медицинских осмотров, инструкции и лечение врачами, процедуры по уголовным делам, процедуры по делам о защите несовершеннолетних и т.д.

Строгие ограничения, которые не позволяют даже “получать” персональные данные, требующие особого внимания, без согласия субъекта данных, если нет определенных исключительных обстоятельств, установлены потому, что считается, что такие данные могут вызвать дискриминацию и предвзятость, даже если их получение и обработка не представляются необходимыми.

Дисциплина управления и контроля

Многие люди беспокоятся и чувствуют тревогу о ситуациях, когда персональная информация утекает или подвергается изменениям. В отношении персональных данных, которые были введены в базу данных, существует множество случаев, когда происходит массовое утечка информации о клиентах и другие социальные проблемы, что усиливает это беспокойство. Поэтому операторы, обрабатывающие персональную информацию, обязаны принимать необходимые и адекватные меры (меры безопасного управления) для безопасного управления персональными данными (статья 20).

Нарушение обязанности безопасного управления

На практике, в случаях утечки или распространения персональной информации в Интернете и т.д., часто признается нарушение обязанности безопасного управления, и содержание мер безопасного управления, учитывающее особенности малых и средних предприятий, указано в “Руководстве по закону о защите персональной информации (общие положения)” (Комиссия по защите персональной информации). Следование этому руководству не только помогает соблюдать статью 20 Закона о защите персональной информации, но также важно для предотвращения ситуаций, когда вас могут обвинить в незаконных действиях из-за нарушения конфиденциальности, включая утечки информации в Интернете.

Однако, независимо от того, насколько хорошо организованы системы и процедуры, их правильное применение в конечном итоге зависит от людей. Поэтому “операторы, обрабатывающие персональную информацию, должны осуществлять необходимый и адекватный контроль над своими работниками при обработке персональных данных, чтобы обеспечить безопасное управление этими данными” (статья 21).

Кроме того, продажа или вынос данных клиентов работниками может привести не только к ответственности за незаконные действия работника (статья 709 Гражданского кодекса), но и к ответственности оператора, обрабатывающего персональную информацию, в качестве работодателя (статья 715 Гражданского кодекса), поэтому необходима осторожность.

“Предоставление третьим лицам” и “поручение”

В Законе о защите персональной информации, даже если это сделано для заранее объявленных целей, предоставление персональной информации клиентов “третьим лицам” запрещено в принципе, если нет согласия. Однако, если мы продолжим следовать этому правилу, “размещение базы данных о клиентах на арендованном сервере также станет незаконным”. Это потому, что арендованный сервер является “третьим лицом” для оператора.

Однако, “предоставление третьим лицам” допускается в качестве исключения в случае “поручения”, и “поручение” информации людям, которые не используют эту информацию, разрешено. Например, арендованный сервер просто хранит информацию и не использует ее. Такое поручение обработки персональной информации третьим лицам часто происходит, но чтобы предотвратить ситуации, когда неправильное обращение с информацией со стороны контрагента или повторное поручение делает неясной ответственность, “операторы, обрабатывающие персональную информацию, должны осуществлять необходимый и адекватный контроль над лицами, которым поручена обработка персональных данных, чтобы обеспечить безопасное управление этими данными” (статья 22).

Нормализация обработки персональных данных с участием субъекта данных

Японский Закон о защите персональных данных позволяет субъекту данных, при определенных условиях, требовать от оператора обработки персональных данных раскрытия информации, касающейся его собственных персональных данных (статья 28), их исправления, дополнения или удаления (статья 29), а также прекращения их использования (статья 30). Эти права субъекта данных явно определены как гражданские права на требование, и если оператор обработки персональных данных не отвечает на такое требование, субъект данных может реализовать свои права через суд.

Операторы обработки персональных данных обязаны раскрывать персональные данные по требованию субъекта данных, исправлять их, если они неверны, и прекращать их использование в случае нарушения законодательных обязательств, таких как использование данных вне установленных целей, неправильные методы сбора данных или предоставление данных третьим лицам без согласия субъекта данных. Таким образом, Японский Закон о защите персональных данных защищает права граждан, устанавливая различные обязательства для операторов обработки персональных данных.

Штрафные санкции за утечку персональных данных

В Японском законе о защите персональных данных (Japanese Personal Information Protection Law) предусмотрены штрафные санкции для бизнес-субъектов, допустивших утечку персональных данных.

Если бизнес-субъект нарушает закон о защите персональных данных и допускает утечку информации, в первую очередь, государство выдает рекомендацию о прекращении нарушительской деятельности и принятии необходимых мер для исправления нарушения (статья 42). Если это нарушение продолжается, то нарушившему сотруднику может быть назначено наказание в виде тюремного заключения на срок до 6 месяцев или штрафа до 300 тысяч иен (статья 84), а компания, которая наняла этого сотрудника, также может быть оштрафована на сумму до 300 тысяч иен (статья 85). Кроме того, если персональные данные были предоставлены или украдены с целью получения незаконной выгоды, то может быть назначено наказание в виде тюремного заключения на срок до 1 года или штрафа до 500 тысяч иен без предварительной рекомендации (статья 83).

https://monolith.law/corporate/risk-of-company-personal-information-leak-compensation-for-damages[ja]

Заключение

Японский закон о защите персональных данных требует от бизнес-субъектов, обрабатывающих персональные данные, принятия необходимых и соответствующих мер для их надлежащего обращения и обеспечения безопасности. Этот закон является важным и неизбежным для практически всех компаний.