Ключевые моменты при создании политики конфиденциальности, учитывая Японский закон о защите персональных данных?

В последнее время общественное внимание к защите персональных данных значительно возросло. Можно сказать, что почти нет предпринимателей, которые не обрабатывают персональные данные, и для многих компаний и индивидуальных предпринимателей обработка персональных данных является очень актуальной проблемой. Предполагается, что многие компании, имеющие веб-сайт, размещают на нем политику конфиденциальности. Политика конфиденциальности – это публикация принципов обработки персональных данных предпринимателем в соответствии с Законом о защите персональных данных. Для правильного формирования политики конфиденциальности необходимо понимание Закона о защите персональных данных. Поэтому мы объясним ключевые моменты при создании политики конфиденциальности. Отметим, что Закон о защите персональных данных был изменен в 2015 году (2015 год по григорианскому календарю), а измененный закон вступил в силу 30 мая 2017 года (2017 год по григорианскому календарю). В частности, были важные изменения в отношении предоставления персональных данных третьим лицам, поэтому мы также объясним этот момент. Подробное объяснение изменений в Законе о защите персональных данных приведено в статье ниже.

Что такое Политика конфиденциальности

На веб-сайтах компаний часто размещается Политика конфиденциальности. Она может называться также “Политикой защиты персональных данных”, но в основном это одно и то же. Политика конфиденциальности демонстрирует основную позицию компании в отношении обработки персональных данных, а также служит для отображения вопросов, требующих публикации в соответствии с японским Законом о защите персональных данных. Следовательно, как минимум необходимо охватить следующие вопросы, требующие публикации в соответствии с этим законом:

• Цель использования персональных данных
• Имя или наименование оператора обработки персональных данных
• Процедуры для ответа на запросы от субъекта данных о уведомлении, раскрытии, корректировке, прекращении использования и т.д.
• Место подачи жалоб

Кроме того, в случае определенных операций, установленных законом, таких как совместное использование персональных данных внутри группы компаний или обработка анонимизированных данных, которые будут объяснены позже, требуется публикация по каждому из этих вопросов.

Связанные статьи: Что такое Закон о защите персональных данных и персональные данные? Объяснение адвоката[ja]

Операторы, которым следует создать политику конфиденциальности

До внесения изменений в закон в 2017 году (Год Хейсей 29), применение Японского закона о защите личных данных ограничивалось операторами, обладающими более чем 5000 записями личной информации. Поэтому среди малых предприятий и операторов, основным направлением деятельности которых является B2B-бизнес, было немало тех, кому не требовалось создавать политику конфиденциальности. Однако, с внесением изменений в закон в 2017 году, Японский закон о защите личных данных стал применяться ко всем операторам, независимо от количества хранимой личной информации. В результате этого, предполагается, что все операторы в основном должны создать политику конфиденциальности. Отметим, что даже если политика конфиденциальности не создана, можно заменить ее уведомлением субъекту данных о целях использования личной информации и других вопросах, требующих публикации в соответствии с Японским законом о защите личных данных, при каждом получении личной информации. Однако, это обычно сложно, поэтому обычно создается политика конфиденциальности.

Ключевые моменты Политики конфиденциальности

Определение персональных данных

Статья 0
Под персональными данными понимается информация, относящаяся к живущему индивиду, которую можно идентифицировать по имени, дате рождения и другим данным, содержащимся в этой информации (включая информацию, которую можно легко сопоставить с другой информацией и по которой можно идентифицировать конкретного индивидуа).

Определение персональных данных можно оставить таким, как оно прописано в Японском законе о защите персональных данных. Типичными примерами являются имя, дата рождения и другая информация, указанная в примере статьи. Кроме того, возраст, пол, адрес, номер телефона, состав семьи, увлечения, предпочтения, адрес электронной почты, ID, IP-адрес и временная метка, место работы, должность, адрес работы, номер телефона на работе, номер кредитной карты, номер банковского счета, информация о посещенных веб-сайтах, жалобы, консультации или информация о запросах также могут быть персональными данными. Поэтому может быть полезно заранее указать в определении персональных данных в политике конфиденциальности те пункты, которые вероятно будут собираться от ваших клиентов и т.д.

Цели использования персональных данных

Статья 〇
1. Наша компания использует полученную персональную информацию для следующих целей. Если на нашем веб-сайте указаны отдельные цели использования персональной информации, то приоритет отдается этим целям.
(1) Для ответа на ваши вопросы, отправленные через форму обратной связи
(2) Для предоставления и информирования о наших веб-услугах или приложениях и других услугах (далее «эти услуги») и новых услугах, предоставляемых нашей компанией
(3) Для улучшения этих услуг и разработки новых услуг
(4) Для других целей, связанных с вышеуказанными пунктами
2. Наша компания может использовать персональную информацию, полученную от вас, в качестве статистической информации, которая не позволяет идентифицировать или определить личность, и использовать ее в качестве справочной информации.

Цели использования

В соответствии с Законом о защите персональных данных, требуется объявить цели использования полученной персональной информации. Пункт 1 приведенного выше примера статьи соответствует этому требованию. Важно не только абстрактно и обобщенно указывать цели использования, но и конкретно описывать их так, чтобы субъект мог понять, как его персональные данные будут использоваться. Следовательно, содержание описания целей использования может меняться в зависимости от компании, создающей политику конфиденциальности. Кроме того, если есть пропуски в описании, вы не сможете использовать персональные данные для этих целей, поэтому важно тщательно проверить, нет ли пропусков.

Анонимизированная информация

Пункт 2 приведенного выше примера статьи относится к положениям об анонимизированной информации. Анонимизированная информация – это информация, которая была обработана таким образом, чтобы невозможно было идентифицировать личность, и которую невозможно восстановить. Это предполагает использование так называемых больших данных.
При обработке анонимизированной информации необходимо объявить элементы персональной информации, содержащиеся в анонимизированной информации, в политике конфиденциальности и т.д. Пункт 2 приведенного выше примера статьи определяет использование персональной информации, указанной в «определении персональной информации», в качестве анонимизированной информации. Кроме того, при предоставлении анонимизированной информации третьим лицам, помимо этого, необходимо также объявить метод предоставления.

Использование персональных данных вне целей

Статья 〇
Наша компания обрабатывает полученную персональную информацию в пределах, необходимых для достижения целей использования, указанных в предыдущей статье. В случае обработки персональной информации вне этих целей, мы получим предварительное согласие клиента. Однако, это не применяется в следующих случаях:
(1) Если это основано на законе
(2) Если это необходимо для защиты жизни, тела или имущества человека, и трудно получить согласие клиента
(3) Если это особенно необходимо для улучшения общественного здоровья или продвижения здорового воспитания детей, и трудно получить согласие клиента
(4) Если необходимо сотрудничать с государственными учреждениями или местными общественными организациями или лицами, которые получили от них поручение, в выполнении дел, предусмотренных законом, и получение согласия клиента может помешать выполнению этих дел

В принципе, персональные данные не могут быть использованы вне целей использования. Однако, в Законе о защите персональных данных (Японский Закон о защите персональных данных) допускается использование вне целей в случаях, соответствующих пунктам (1) – (4), указанным выше.
Пункты (2) и (3) относятся к случаям, когда требуется использовать персональные данные, но трудно быстро получить согласие от субъекта данных. Пункты (1) и (4) относятся к использованию персональных данных на основании намерений государства или местных общественных организаций. Например, это может быть применимо к расследованию преступлений. Эти положения об использовании вне целей в основном стандартны для всех операторов и редко меняются в зависимости от характера бизнеса.

Предоставление персональных данных третьим лицам

Статья №
Наша компания, в принципе, не предоставляет персональные данные клиентов третьим лицам без получения согласия от самих клиентов. В исключительных случаях, мы предоставляем данные третьим лицам только после определения получателя и содержания предоставляемой информации и получения согласия от клиента. Однако, это не применимо в следующих случаях:
(1) Если это требуется по закону
(2) Если это необходимо для защиты жизни, тела или имущества человека, и трудно получить согласие клиента
(3) Если это особенно необходимо для улучшения общественного здоровья или продвижения здорового воспитания детей, и трудно получить согласие клиента
(4) Если необходимо сотрудничать с государственными органами или местными общественными организациями или лицами, которые получили от них поручение, для выполнения дел, предусмотренных законом, и получение согласия клиента может помешать выполнению этих дел
(5) Если необходимо предоставить персональные данные контрагенту, с которым наша компания заключила договор о неразглашении, для достижения целей использования

Исключения, когда можно предоставить персональные данные третьим лицам

Этот пункт касается ситуаций, когда бизнес-оператор предоставляет полученные персональные данные третьим лицам. В соответствии с Законом о защите персональных данных (Японский ~), необходимо получить согласие от субъекта перед предоставлением его персональных данных третьим лицам. Однако, закон предусматривает исключения, когда можно предоставить персональные данные третьим лицам без согласия субъекта, как указано в пунктах (1) – (5). Поэтому, как и в случае с использованием персональных данных вне целей использования, предоставление данных третьим лицам также становится стандартным пунктом для большинства компаний. На практике, наиболее часто используется пункт (5), когда персональные данные предоставляются контрагенту. Однако, даже если бизнес-оператор поручил работу, он несет ответственность за контроль над контрагентом, который получил персональные данные. Поэтому, необходимо быть осторожным, так как бизнес-оператор, который поручил работу, может быть привлечен к ответственности в случае утечки персональных данных от контрагента. Следовательно, выбор контрагента и контроль над ним после поручения работы должны проводиться с особой осторожностью. Подробнее о случае утечки персональных данных от контрагента, Benesse, описано в статье ниже.

Связанная статья: Риск утечки персональных данных компании и компенсация ущерба[ja]

Ужесточение правил по отказу от получения информации из-за изменений в законодательстве

В отношении предоставления персональных данных третьим лицам, до внесения изменений в закон в 2017 году (Японский ~), было разрешено предоставлять персональные данные третьим лицам без получения предварительного согласия от субъекта, при условии, что “предоставление персональных данных третьим лицам будет прекращено по требованию субъекта”. Это называется “отказ от получения информации” или “opt-out”. Однако, с внесением изменений в закон в 2017 году, предоставление персональных данных третьим лицам по принципу “opt-out” стало возможным только после предварительного уведомления Комиссии по защите персональных данных (Японский ~), что ужесточило правила.
Может показаться, что достаточно просто подать уведомление в Комиссию по защите персональных данных, но этот механизм уведомления предназначен в основном для операторов, которые используют персональные данные как товар, и те, кто подает уведомление, будут опубликованы, поэтому на самом деле немного компаний это делают. Следовательно, на практике, предоставление персональных данных третьим лицам без согласия субъекта становится сложным, за исключением случаев, когда это разрешено в качестве исключения, таких как поручение работы.

Раскрытие, корректировка и прочее персональной информации

В соответствии с Японским законом о защите персональных данных (Japanese Personal Information Protection Law), требуется обнародовать процедуры, которые следуют при обращении субъекта данных с запросами о раскрытии, корректировке, прекращении использования и прочих действий, связанных с его персональной информацией. Следовательно, при создании политики конфиденциальности необходимо учесть и эти аспекты. Впрочем, большинство компаний используют стандартные формулировки для этих положений. Одним из вопросов, который стоит рассмотреть, является вопрос о том, следует ли устанавливать плату за обработку запросов на раскрытие и прочие действия, исходящих от субъекта данных. Установление разумной платы за обработку может быть одним из способов предотвращения злоупотреблений, которые могут замедлить работу. Если вы решите взимать плату за обработку, важно помнить, что вам нужно будет указать это в политике конфиденциальности.

Вывод

В связи с растущим общественным интересом к защите персональных данных, законодательство в этой области также постепенно ужесточается. Конечно, важно обеспечивать безопасное управление информацией внутри компании, чтобы предотвратить утечку персональных данных, но в то же время важно разрабатывать политику конфиденциальности и внутренние правила в соответствии с законодательством. Закон о защите персональных данных (Японский Закон о защите персональных данных) планируется пересматривать регулярно каждые три года. Каждый раз, когда меняются правила обработки персональных данных, может потребоваться не только изменение внутренней системы, но и пересмотр самого метода ведения бизнеса. В этом смысле, Закон о защите персональных данных можно считать законом, затрагивающим основы бизнеса, поэтому особенно важно для компаний, которые обрабатывают большое количество персональных данных, постоянно следить за изменениями в законодательстве.

Информация о создании и рассмотрении договоров нашим юридическим бюро

В юридическом бюро Monolis, специализирующемся на IT, интернете и бизнесе, мы предлагаем услуги по созданию и рассмотрению различных договоров, включая политику конфиденциальности, для наших корпоративных клиентов и клиентов-консультантов.

Если вас это интересует, пожалуйста, ознакомьтесь с подробностями ниже.

https://monolith.law/contractcreation[ja]