Kişisel Bilgi Koruma Yasası ve Kişisel Bilgiler Nedir? Avukat Açıklıyor
2015 yılında değiştirilen ve 2017 yılından itibaren yürürlüğe giren ‘Kişisel Bilgilerin Korunması Hakkında Kanun’ (Japonca tam adıyla ‘個人情報の保護に関する法律’), işletmelerin kişisel bilgi sorunlarını ele alırken önemli bir yasadır ve kişisel bilgi işleyen işletmelerin yasal yükümlülüklerini açıkça belirler. 2015 yılına kadar, kişisel bilgi işleyen işletmeler, sahip oldukları kişisel bilgilerin 5000 kişiyi aşanlarıyla sınırlıydı. Bu nedenle, küçük ölçekli işletmeler gibi, kişisel bilgi işleyen bir işletme olmayan birçok şirket vardı. Ancak, 2015 yılında yapılan değişiklikten sonra bu koşul kaldırıldı ve hemen hemen tüm şirketler kişisel bilgi işleyen işletmeler haline geldi ve bu da küçük işletme sahipleri için kaçınılmaz bir yasa haline geldi. Posta siparişleri, e-bültenler, direkt pazarlama mesajları ve fiziki mağaza sadakat kartları gibi hizmetler için müşterilerin isimleri ve e-posta adresleri gibi kişisel bilgileri işlemek gerektiğinden, Kişisel Bilgilerin Korunması Hakkında Kanun’un temel prensiplerini anlamak önemlidir.
Kişisel Bilgi Koruma Yasası’nın Amacı ve Tanımı
Kişisel Bilgi Koruma Yasası tam olarak ne tür bir yasadır? Öncelikle, bu yasanın amacı Madde 1’de açıklanmıştır.
Kişisel Bilgi Koruma Yasası Madde 1
Bu yasa, ilerleyen bilgi ve iletişim toplumunda kişisel bilgilerin kullanımının önemli ölçüde genişlediğini göz önünde bulundurarak, kişisel bilgilerin uygun şekilde ele alınması, temel prensipler ve hükümetin temel politikalarının oluşturulması ve diğer kişisel bilgi koruma önlemlerinin temelini belirler. Ayrıca, devlet ve yerel halk kuruluşlarının sorumluluklarını belirler ve kişisel bilgileri ele alan işletmelerin uyması gereken yükümlülükleri belirler. Bu, kişisel bilgilerin uygun ve etkili kullanımının, yeni endüstrilerin oluşturulması, canlı bir ekonomi ve zengin bir ulusal yaşamın gerçekleştirilmesine katkıda bulunurken, kişisel hak ve çıkarların korunmasını amaçlar.
olarak belirtilmiştir.
Madde 2’de, kişisel bilgi, kişisel veri ve sahip olunan kişisel veri tanımlanmıştır (Madde 2, Fıkra 1, 4 ve 5). Kişisel Bilgi Koruma Yasası’nda “kişisel bilgi”, “yaşayan bir kişi hakkında bilgi” olup, “bu bilgide yer alan ad, doğum tarihi ve diğer açıklamalar” ile “belirli bir kişiyi tanımlayabilen bilgi (diğer bilgilerle kolayca karşılaştırılabilir ve bu sayede belirli bir kişiyi tanımlayabilir hale gelir.)” anlamına gelir. “Kişisel veri”, yukarıdaki kişisel bilgilerin bilgisayarla veritabanına dönüştürüldüğü bilgidir ve işletmelerin 6 aydan fazla süreyle sahip olduğu veriler “sahip olunan kişisel veri”dir.
Kişisel bilgilerin veritabanına dönüştürülüp dönüştürülmediği, korunmasının gerekliliğini büyük ölçüde etkiler. Kişisel veriler, veritabanına dönüştürülür ve kolayca arama vb. yapılabilir hale getirilir, bu nedenle hak ihlali olasılığı daha yüksektir ve bu nedenle genel kişisel bilgilerden daha güçlü bir koruma sağlanır.
Daha güçlü bir koruma sağlanan sahip olunan kişisel veriler, kişisel bilgi işleyen işletmelerin ifşa etme, içeriği düzeltme, ekleme veya silme, kullanımı durdurma, silme ve üçüncü taraflara sağlama durdurma yetkisine sahip olduğu kişisel verilerdir (Madde 2, Fıkra 7). Sahip olunan kişisel veriler için, kişinin kendi bilgilerine uygun şekilde dahil olabilmesi için ifşa, düzeltme, kullanım durdurma vb. talepler kabul edilir (aşağıda belirtildiği gibi).
Kişisel Bilgilerin İşlenmesine İlişkin Kurallar
Kişisel bilgilerin keyfi olarak kullanılmaması için, uygun işleme ile ilgili kurallar olarak, kişisel bilgilerin hangi amaçla kullanılacağını belirledikten sonra, işleme bu amacın gerçekleştirilmesi için gerekli olan kapsamla sınırlı olmalıdır.
Bu nedenle, kişisel bilgi işleyen işletmeler,
- Kişisel bilgileri işlerken, kullanım amacını mümkün olduğunca belirlemelidir (Madde 15, Fıkra 1)
- Kullanım amacının gerçekleştirilmesi için gerekli olan kapsamı aşan kişisel bilgileri işleyemez (Madde 16, Fıkra 1)
- Yanıltıcı veya diğer hileli yöntemlerle kişisel bilgi edinemez (Madde 17, Fıkra 1)
- Kişisel bilgi edindiğinde, kullanım amacını kişiye bildirmeli veya açıklamalıdır (Madde 18)
olarak belirtilmiştir. Kişisel Bilgi Koruma Yasası (Japon Kişisel Bilgi Koruma Yasası), işletmelerin sahip olduğu kişisel bilgilerin, önceden belirlenmiş ve açıklanmış bir amaç doğrultusunda kullanılmasını gerektirir. Başka bir deyişle, “kişisel bilgileri nasıl kullanırsanız kullanın, amaç belirlenmeli ve açıklanmalıdır” gereklidir. Örneğin, “Kullanıcıların özelliklerine uygun reklamları göstermek için kişisel bilgileri kullanmak” kendi başına yasadışı değildir, ancak bu kullanım amacını önceden açıklamak gerekmektedir. Açıklama yöntemi özellikle belirtilmemiştir, ancak genellikle “Gizlilik Politikası” veya “Kişisel Bilgi Koruma Politikası” gibi formatlarla bu gerçekleştirilir.
Öte yandan, hassas bilgiler olarak adlandırılan özel dikkat gerektiren kişisel bilgiler, normal kişisel bilgilerden daha ağır bir şekilde, prensip olarak kişinin rızası olmadan edinilmesi yasaktır (Madde 17, Fıkra 2).
Özel dikkat gerektiren kişisel bilgiler,
Madde 2, Fıkra 3
Bu yasada “özel dikkat gerektiren kişisel bilgiler”, kişinin ırkı, inancı, sosyal statüsü, tıbbi geçmişi, suç geçmişi, suç sonucu zarar gördüğü gerçeği ve diğer kişiye karşı haksız ayrımcılık, önyargı ve diğer zararların ortaya çıkmaması için özel dikkat gerektiren işlemi içeren bilgileri ifade eder.
ve ayrıca, engellilik, sağlık muayenesi sonuçları, doktorlar tarafından yapılan yönlendirmeler, tedavi, reçete vb., cezai işlemler, gençlik koruma olaylarına ilişkin işlemler de dahildir.
Belirli bir istisna durumu olmadıkça, öncelikle özel dikkat gerektiren kişisel bilgilerin kişinin rızası olmadan “edinilmesi” bile yasaktır. Bu sıkı düzenlemenin nedeni, özel dikkat gerektiren kişisel bilgilerin, edinilmesi ve işlenmesi gerektiği düşünülmeyen durumlarda bile edinilmesi ve işlenmesi durumunda, ayrımcılık ve önyargı oluşturma riski taşıyan bilgiler olmasıdır.
Yönetim ve Denetim İle İlgili Kurallar
Kişisel verilerin güvenli yönetimi sağlanmalı ve ilgili çalışanlara gerekli ve uygun denetim yapılmalıdır.
Kişisel bilgilerin sızdırılması veya değiştirilmesi durumları, birçok kişi tarafından endişe ve kaygıyla karşılanmaktadır. Veritabanına alınmış kişisel verilerle ilgili olarak, müşteri bilgilerinin büyük ölçüde sızdırılması gibi toplumsal sorunlara yol açan durumlar sıkça yaşanmaktadır. Bu nedenle, kişisel bilgi işlem işletmeleri, kişisel verilerin güvenli yönetimi için gerekli ve uygun önlemleri (güvenli yönetim önlemleri) almakla yükümlüdür (Madde 20).
Güvenli Yönetim Yükümlülüğü İhlali
Gerçekte, kişisel bilgilerin internet üzerinde sızdırılması veya yayılması durumlarında, çoğu durumda güvenli yönetim yükümlülüğü ihlali kabul edilmekte ve küçük ve orta ölçekli işletmeler için de bu özellikler göz önünde bulundurularak güvenli yönetim önlemlerinin içeriği, “Kişisel Bilgi Koruma Yasası Hakkında Kılavuz (Genel Bölüm)” (Kişisel Bilgi Koruma Komisyonu) belirtilmiştir. Bu kılavuza uygun bir yanıt vermek, sadece Kişisel Bilgi Koruma Yasası’nın 20. maddesine uymakla kalmaz, aynı zamanda internet üzerindeki sızıntı durumlarına bağlı olarak gizlilik ihlallerine dayalı haksız fiil sorumluluğunu sorgulama durumunu önlemek anlamında da önemlidir.
Ancak, sistem ve düzenlemeler ne kadar düzgün bir şekilde oluşturulursa oluşturulsun, uygun uygulama sonuçta insanlara bırakılır. Bu nedenle, “kişisel bilgi işlem işletmeleri, çalışanlarına kişisel veri işlemesi için izin verirken, ilgili kişisel verilerin güvenli yönetiminin sağlanması için ilgili çalışanlara gerekli ve uygun denetim yapmalıdır” (Madde 21).
https://monolith.law/corporate/trends-in-personal-information-leakage-and-loss-accidents-in-2019[ja]
Çalışanların müşteri verilerini satması veya çıkarması durumunda, bu çalışanlar sadece haksız fiil sorumluluğu (Medeni Kanun Madde 709) taşımakla kalmaz, kişisel bilgi işlem işletmeleri de işveren sorumluluğu taşıyabilir (Medeni Kanun Madde 715), bu nedenle dikkatli olunmalıdır.
“Üçüncü Taraf Sağlama” ve “Vekalet”
Kişisel Bilgi Koruma Yasası’na göre, önceden ilan edilen bir amaç için bile, müşterinin kişisel bilgilerini “üçüncü bir tarafa” sağlamak, izin olmadıkça genellikle yasaktır. Ancak, bu kuralı ilerletirsek, “müşteri veritabanını kiralık sunucularda tutmak da yasadışı” olur. Çünkü kiralık sunucular işletme için “üçüncü taraf”tır.
Ancak, “üçüncü taraf sağlama” içinde, “vekalet” istisnai olarak kabul edilir ve bilgileri kullanmayan kişilere “vekalet” verilmesi kabul edilir. Örneğin, kiralık sunucular sadece bilgileri saklar, kullanmazlar. Bu tür, üçüncü taraflara kişisel bilgi işleme yetkisi verme durumları sıkça gerçekleşir, ancak vekalet alıcısının uygunsuz işlem yapması veya hiyerarşik vekaletin tekrarlanması sonucu sorumluluğun yerinin belirsizleşmesi gibi durumları önlemek için, “kişisel bilgi işlem işletmeleri, kişisel veri işleme işinin tamamını veya bir kısmını vekalet ettiğinde, vekalet alıcısına gerekli ve uygun denetim yapmalıdır” (Madde 22).
Kişisel Bilgilerin Doğru Bir Şekilde İşlenmesi İçin Bireyin Katılımı
Kişisel Bilgi Koruma Yasası, kişisel bilgi ve gizlilik konularını düşünürken en önemli yasal düzenlemelerden biridir.
Kişisel Bilgi Koruma Yasası (Japon Kişisel Bilgi Koruma Yasası), bireyin katılımıyla kişisel bilgilerin doğru bir şekilde işlenmesi için, belirli koşullar altında, bireyin kişisel bilgi işleyen işletmelere kendi hakkındaki kişisel verilerin açıklanması (Madde 28), düzeltilmesi, ekleme veya silinmesi (Madde 29), kullanımın durdurulması vb. (Madde 30) taleplerini kabul etmektedir. Bu bireyin katılımı, özel hukukta talep hakkı olarak açıkça belirtilmiştir ve talepte bulunulmasına rağmen kişisel bilgi işleyen işletme bunu kabul etmezse, haklarını mahkeme yoluyla gerçekleştirebilir.
Kişisel bilgi işleyen işletmeler, bilginin sahibinden bir talep gelmesi durumunda, kişisel verileri açıklamak, içeriğinde bir hata varsa düzeltme vb. yapmak ve yasal yükümlülüklere aykırı işlemler, uygunsuz edinme yöntemleri, üçüncü taraflara izinsiz sağlama durumunda bilginin kullanımını durdurmak zorundadır. Yukarıda belirtildiği gibi, Kişisel Bilgi Koruma Yasası, kişisel bilgileri işleyen işletmelere çeşitli yükümlülükler getirerek vatandaşların haklarını korumayı amaçlayan bir yasadır.
Kişisel Bilgi Sızıntısının Cezaları
Kişisel Bilgi Koruma Yasası (Japon Kişisel Bilgi Koruma Yasası), işletmelerin kişisel bilgileri sızdırması durumunda uygulanacak cezaları belirler.
Bir işletme, Kişisel Bilgi Koruma Yasasını ihlal edip bilgi sızdırdığında, öncelikle devlet tarafından “ihlal eyleminin durdurulması ve ihlalin düzeltilmesi için gerekli önlemlerin alınması” konusunda bir öneri alır (Madde 42). Bu öneriye de aykırı hareket edilirse, ihlal eden çalışana “6 aydan az hapis veya 300.000 yen (yaklaşık 22.000 Türk Lirası) altında para cezası” verilir (Madde 84), ayrıca bu çalışanı işe alan şirkete de “300.000 yen (yaklaşık 22.000 Türk Lirası) altında para cezası” verilebilir (Madde 85). Ayrıca, haksız kazanç elde etme amacıyla bilgi sağlandığında veya çalındığında, öneri olmaksızın “1 yıldan az hapis veya 500.000 yen (yaklaşık 37.000 Türk Lirası) altında para cezası” verilir (Madde 83).
Özet
Kişisel Bilgi Koruma Yasası (Japon Kişisel Bilgi Koruma Yasası), kişisel bilgileri işleyen işletmelere, bu bilgileri uygun bir şekilde işlemeleri ve güvenlik yönetimi için gerekli ve uygun önlemleri alması gerektiğini belirten bir yasadır. Bu yasa, hemen hemen tüm şirketler için kaçınılmaz ve önemli bir yasadır.
Related Articles
AB'de Yapay Zeka Düzenlemelerinin Mevcut Durumu ve Geleceği: Japon Şirketler Üzerindeki Etkileri.
General Corporate
「Sigorta Seçenekleri」nin Sunumuyla İlgili Sorunları Açıklıyoruz ~ Sigorta İşleri Lisansı Olmadan.
General Corporate
Hastane Randevu Sitesi ve Yolcu Medya Sitesi Yapımında Sipariş Verirken Dikkat Edilmesi Gereken .
General Corporate
Yeni tip Koronanın önleyici etkisini öne süren ürünlerin gösterimine dikkat edilmesi gerekenler .
General Corporate
SaaS Hizmetlerindeki Sohbet ve E-Bülten Özelliklerinin Japon Elektrik İletişim İşleri Yasası ile.
General Corporate
Bağımsız olarak verilen puanlar, Ödeme Hizmetleri Yasası kapsamında ön ödemeli ödeme araçları ka.
General Corporate
