Kişisel Bilgi Koruma Yasası (Japon Kişisel Bilgi Koruma Yasası) göz önünde bulundurularak oluşturulan gizlilik politikasının oluşturulması sırasında dikkat edilmesi gereken noktalar nelerdir?

Son zamanlarda, kişisel bilgilerin korunması konusunda toplumsal ilgi artmaktadır. Kişisel bilgi işlemeyen işletmelerin neredeyse hiç olmadığını söyleyebiliriz ve birçok şirket veya bireysel işletme için kişisel bilgilerin işlenmesi çok yakın bir sorundur. Web sitesi olan şirketlerde, site içinde bir gizlilik politikası belirtme örneği oldukça yaygındır. Gizlilik politikası, işletmenin kişisel bilgi işleme yönergelerini Japon Kişisel Bilgi Koruma Yasası’na uygun olarak yayınlamasıdır. Gizlilik politikasını uygun bir şekilde oluşturmak için, Japon Kişisel Bilgi Koruma Yasası’nın anlaşılması gereklidir. Bu nedenle, bir gizlilik politikası oluştururken kontrol noktalarını açıklıyoruz. Ayrıca, Japon Kişisel Bilgi Koruma Yasası’nda 2015 yılında bir yasa değişikliği oldu ve değişiklik yasası 30 Mayıs 2017’de (2017) yürürlüğe girdi. Özellikle, kişisel bilgilerin üçüncü taraflara sağlanması konusunda önemli bir değişiklik oldu, bu nedenle bu konuyu da açıklıyoruz. Japon Kişisel Bilgi Koruma Yasası’ndaki değişiklikler hakkında aşağıdaki makalede ayrıntılı olarak açıklanmıştır.

Gizlilik Politikası Nedir?

Şirketlerin WEB sitelerinde genellikle bir gizlilik politikası bulunur. “Kişisel Bilgi Koruma Politikası” adı altında olabilir, ancak temelde aynı şey olduğunu söyleyebiliriz. Gizlilik politikası, işletmenin kişisel bilgilerle ilgili tutumunu gösterirken aynı zamanda Kişisel Bilgi Koruma Yasası’nda (Japon Kişisel Bilgi Koruma Yasası) açıklanması gereken konuları göstermek için de kullanılır. Dolayısıyla, Kişisel Bilgi Koruma Yasası’nda açıklanması gereken aşağıdaki konuları kapsaması en azından gereklidir.

• Kişisel bilgilerin kullanım amacı
• Kişisel bilgi işleyen işletmenin adı veya unvanı
• Kişinin kullanım amacının bildirimi, ifşa, düzeltme, kullanım durdurma vb. taleplerine yanıt verme prosedürü
• Şikayet başvuru yeri

Bunun yanı sıra, grup şirketleri içinde kişisel bilgilerin paylaşıldığı ortak kullanım olarak adlandırılan durumlar veya daha sonra açıklanacak anonimleştirilmiş bilgilerin işlenmesi gibi durumlar, belirli bir işlem yapılması durumunda yasal olarak belirlenen her bir konu için açıklama gerektirir.

İlgili Makale: Kişisel Bilgi Koruma Yasası ve Kişisel Bilgiler Nedir? Avukat Açıklıyor[ja]

Gizlilik Politikası Oluşturması Gereken İşletmeler

2017’de yürürlüğe giren değişiklik öncesi, Kişisel Bilgi Koruma Yasası’nın (Japon Kişisel Bilgi Koruma Yasası) uygulandığı işletmeler, 5000’den fazla kişisel bilgiye sahip olanlarla sınırlıydı. Bu nedenle, küçük ölçekli işletmeler veya BtoB işlerini ana faaliyet olarak yürüten işletmeler arasında, gizlilik politikası oluşturması gerekmeyen işletmeler de vardı. Ancak, 2017’de (Gregorian takvimine göre 2017) yürürlüğe giren değişiklikle, kişisel bilgi sahip olma sayısına bakılmaksızın tüm işletmelere Kişisel Bilgi Koruma Yasası uygulanmaya başlandı. Bu sonuç olarak, temelde tüm işletmelerin bir gizlilik politikası oluşturması gerektiği düşünülmektedir. Ek olarak, bir gizlilik politikası oluşturulmamış olsa bile, kişisel bilgi toplandıkça, Kişisel Bilgi Koruma Yasası’nda açıklanması gereken konuları, kişisel bilgi kullanım amacı gibi, kişiye bildirme yöntemiyle değiştirilebilir. Ancak, bu genellikle zahmetli olduğu için, işletmeler genellikle bir gizlilik politikası oluşturmayı tercih ederler.

Gizlilik Politikası Kontrol Noktaları

Kişisel Bilgilerin Tanımı

Madde 〇
Kişisel bilgiler, yaşayan bir birey hakkında olan ve ad, doğum tarihi ve diğer açıklamalar gibi bilgilerle belirli bir bireyi tanımlayabilen bilgileri (diğer bilgilerle kolayca karşılaştırılabilir ve bu sayede belirli bir bireyi tanımlayabilir hale gelen bilgileri de içerir.) ifade eder.

Kişisel bilgilerin tanımı, Japon Kişisel Bilgi Koruma Yasası’nda belirtildiği gibi ifade edilebilir. Tipik olarak, ad ve doğum tarihi gibi bilgilerdir, ancak ayrıca yaş, cinsiyet, adres, telefon numarası, aile yapısı, hobiler, tercihler, e-posta adresi, ID, IP adresi ve zaman damgası, iş yeri, üyelik, iş adresi, iş telefon numarası, kredi kartı numarası, banka hesap numarası, ziyaret edilen web sayfası bilgileri, şikayetler, danışma veya sorgulama bilgileri gibi bilgiler de kişisel bilgi olarak kabul edilebilir. Bu nedenle, bu maddelerden özellikle kendi müşterilerinizden elde etme olasılığı yüksek olan bilgiler, gizlilik politikanızın kişisel bilgi tanımında önceden belirtilmiş olabilir.

Kişisel Bilgilerin Kullanım Amacı

Madde 〇
1. Şirketimiz, elde ettiği kişisel bilgileri aşağıdaki amaçlar için kullanacaktır. Ancak, şirketimizin işlettiği web sitesinde kişisel bilgilerin kullanım amacını ayrıca belirlediğimiz durumlarda, bu kullanım amacının açıklaması öncelikli olacaktır.
(1) Şirketimizin sizinle iletişim kurabilmesi için iletişim formundan gelen sorularınıza yanıt vermek
(2) Şirketimizin sunduğu web hizmetleri veya uygulamalar ve diğer hizmetlerin (bundan böyle “bu hizmet” olarak anılacaktır.) sunumu ve bu hizmet veya şirketimizin sunduğu yeni hizmetlerin tanıtımını yapmak
(3) Bu hizmetin iyileştirilmesi ve yeni hizmetlerin geliştirilmesi vb. için
(4) Diğer, yukarıdaki maddelerle ilgili amaçlar için
2. Şirketimiz, yukarıda belirtilen amaçların dışında, müşterilerden elde ettiği kişisel bilgileri, kişinin kimliğini belirlemek veya belirlemek mümkün olmayan bir şekilde ve kapsamda istatistiksel bilgiler olarak toplayabilir ve referans olarak kullanabilir.

Kullanım Amacı

Kişisel Bilgi Koruma Yasası’na göre, elde edilen kişisel bilgilerin kullanım amacının açıklanması gerekmektedir. Yukarıdaki madde örneğinin 1. fıkrası bu durumu karşılar. Kullanım amacının belirlenmesinde önemli olan, soyut ve genel ifadelerin yeterli olmaması, kişinin kendi kişisel bilgilerinin nasıl kullanılacağını anlayabileceği kadar somut bir şekilde belirtilmesi gerektiğidir. Bu nedenle, gizlilik politikası oluşturan işletmelerin kullanım amacının içeriği değişebilir, bu nedenle dikkatli olunmalıdır. Ayrıca, bir açıklama eksikliği durumunda, kişisel bilgiler belirtilen amaç için kullanılamaz hale gelir, bu nedenle eksiklik olup olmadığı dikkatlice incelenmelidir.

Anonim İşlem Bilgileri

Madde örneğinin 2. fıkrası, anonim işlem bilgileri hakkındaki hükümleri içerir. Anonim işlem bilgileri, kişisel bilgilerin kişiyi belirleyemeyecek şekilde işlenmiş ve geri yüklenemez hale getirilmiş bilgilerdir. Bu, büyük verinin kullanımını öngören bir durumdur.
Anonim işlem bilgileri kullanılırken, anonim işlem bilgilerinde yer alan kişisel bilgi maddelerinin gizlilik politikası vb. ile açıklanması gerekmektedir. Madde örneğinin 2. fıkrası, “Kişisel Bilgilerin Tanımı”nda belirtilen kişisel bilgilerin anonim işlem bilgileri olarak kullanılacağını belirler. Ayrıca, üçüncü taraflara anonim işlem bilgileri sağlanması durumunda, bunun yanı sıra sağlama yönteminin açıklanması da gereklidir.

Kişisel Bilgilerin Amaç Dışı Kullanımı

Madde X
Şirketimiz, elde ettiği kişisel bilgileri, önceki maddenin kullanım amacının gerçekleştirilmesi için gerekli olan kapsamda işleyecektir. Kişisel bilgilerin kullanım amacının dışında işlenmesi durumunda, önceden müşterinin rızasını alacağız. Ancak, aşağıdaki durumlar bu kuralın dışındadır:
(1) Yasalara dayalı durumlar
(2) Kişinin hayatı, bedeni veya mülkiyetinin korunması gerektiği durumlarda ve müşterinin rızasını almanın zor olduğu durumlar
(3) Toplum sağlığının iyileştirilmesi veya çocukların sağlıklı gelişiminin teşvik edilmesi için özellikle gereken durumlarda ve müşterinin rızasını almanın zor olduğu durumlar
(4) Devlet kurumları veya yerel hükümetler veya bunların görevlendirdiği kişilerin yasalarla belirlenen görevlerini yerine getirmek için işbirliği yapılması gereken durumlarda ve kişinin rızasını almanın, söz konusu görevin yerine getirilmesini engelleyeceği durumlar

Kişisel bilgilerin kullanım amacının dışında kullanılması prensip olarak mümkün değildir. Ancak, Kişisel Bilgi Koruma Yasası’nda (Japon Kişisel Bilgi Koruma Yasası), yukarıdaki madde örneklerinde belirtilen (1) ila (4) maddeleri kapsayan durumlar için amaç dışı kullanım kabul edilmiştir.
(2) ve (3) maddeler, kişisel bilgilerin kullanılması gerektiği talebinin yüksek olduğu ancak kişiden hızlı bir onay almanın zor olduğu durumlardır. Ayrıca, (1) ve (4) maddeler, devlet veya yerel hükümetlerin niyetine dayalı kişisel bilgi kullanımını içerir. Örneğin, suç soruşturmaları bu duruma dahil olabilir. Bu amaç dışı kullanım hükümleri, işletmeye bağlı olarak neredeyse standarttır ve işletme içeriğine göre değişiklik göstermez.

Kişisel Bilgilerin Üçüncü Tarafa Sağlanması

Madde X
Şirketimiz, müşterilerimizin kişisel bilgilerini, genellikle, müşterinin rızası olmadan üçüncü tarafa sağlamaz. Ancak, sağlanacak kişi ve bilgiler belirlendiğinde ve müşterinin rızası alındığında, üçüncü tarafa bilgi sağlanabilir. Ancak, aşağıdaki durumlar bu kuralın dışındadır:
(1) Yasalara dayanılarak
(2) Bir kişinin hayatını, bedenini veya mülkiyetini korumak için gerekli olduğunda ve müşterinin rızası almanın zor olduğu durumlar
(3) Halk sağlığının iyileştirilmesi veya çocukların sağlıklı gelişiminin teşvik edilmesi için özellikle gerekli olduğunda ve müşterinin rızası almanın zor olduğu durumlar
(4) Devlet kurumları veya yerel hükümetler veya bunların görevlendirdiği kişilerin yasalarla belirlenen görevlerini yerine getirmek için işbirliği yapılması gerektiğinde ve müşterinin rızası almanın, bu görevlerin yerine getirilmesini engelleyeceği durumlar
(5) Gizlilik sözleşmesi imzalanan iş ortaklarına kişisel bilgi sağlanması gerektiğinde

Kişisel Bilgilerin Üçüncü Tarafa Sağlanabileceği İstisnalar

Bu madde, işletmelerin elde ettiği kişisel bilgileri üçüncü tarafa sağlama durumlarını ele alır. Japonya’daki Kişisel Bilgi Koruma Yasası’na göre, kişisel bilgilerin üçüncü tarafa sağlanması durumunda, kişinin rızası alınmalıdır. Ancak, madde (1) ila (5) arasında belirtilen durumlar istisna olarak kabul edilir ve kişinin rızası olmadan üçüncü tarafa kişisel bilgi sağlanabilir. Bu nedenle, kişisel bilgilerin amaç dışı kullanımı hakkındaki maddelerle aynı şekilde, üçüncü tarafa sağlama konusunda da şirketler genellikle standart hükümler kullanır. Pratikte, en sık kullanılan durum, madde (5) uyarınca iş ortaklarına kişisel bilgi sağlama durumudur. Ancak, işi başkasına devretmiş olsanız bile, kişisel bilgi toplayan işletme, iş ortağına denetim sorumluluğu taşır. Bu nedenle, iş ortağından kişisel bilgilerin sızması durumunda, işi devreden işletmenin de sorumlu tutulabileceğine dikkat etmek önemlidir. Bu nedenle, iş ortağının seçimi ve işin devredildikten sonraki yönetimi ve denetimi dikkatlice yapılmalıdır. İş ortağından kişisel bilgilerin sızdığı Benesse kişisel bilgi sızıntı olayı hakkında ayrıntılı bir açıklama aşağıdaki makalede bulunabilir.

İlgili Makale: Şirketlerin Kişisel Bilgi Sızıntısı ve Zarar Tazminatı Riski[ja]

Yasa Değişikliği ile Opt-Out Zorlaşıyor

Kişisel bilgilerin üçüncü tarafa sağlanması konusunda, 2017’de (Gregorian takvimine göre) yürürlüğe giren değişiklik öncesi, “kişinin talebi üzerine kişisel bilgilerin üçüncü tarafa sağlanmasını durdurma” koşuluyla, kişinin önceden rızası alınmadan üçüncü tarafa kişisel bilgi sağlanabiliyordu. Buna opt-out denir. Ancak, 2017’de yürürlüğe giren değişiklikle, Kişisel Bilgi Koruma Komisyonu’na önceden bildirimde bulunmadıkça, opt-out ile kişisel bilgilerin üçüncü tarafa sağlanması mümkün olmamış ve kurallar sıkılaştırılmıştır.
Kişisel Bilgi Koruma Komisyonu’na bildirim yapmanın yeterli olacağını düşünebilirsiniz, ancak bu bildirim sistemi, kişisel bilgileri ticari malzeme olarak kullanan işletmeleri, özellikle adres listesi sağlayıcılarını hedef alır ve bildirimde bulunanlar açıklanır, bu yüzden gerçekte bildirimde bulunan şirketler hala çok azdır. Bu nedenle, pratikte, kişinin rızası olmadan kişisel bilgilerin üçüncü tarafa sağlanması, işin devredilmesi gibi istisnalar dışında zorlaşmıştır.

Kişisel Bilgilerin Açıklanması, Düzeltme vb.

Kişisel Bilgi Koruma Yasası (Japon Kişisel Bilgi Koruma Yasası) kapsamında, kişinin kullanım amacının bildirilmesi, açıklanması, düzeltilmesi, kullanımın durdurulması gibi taleplerine yanıt verme sürecini de açıklamak gerekmektedir. Dolayısıyla, bir gizlilik politikası oluştururken bu konuları da belirlemeniz gerekmektedir. Ancak, bu konuları belirleyen maddeler çoğu işletme için standart ifadeler haline gelmiştir. Dikkate alınması gereken bir nokta, kişinin açıklama vb. taleplerine yanıt verirken işlem ücreti belirlenip belirlenmeyeceğidir. İstismarcı taleplerin işleri geciktirmesini önlemek için uygun bir işlem ücreti belirlemek de bir yöntem olabilir. İşlem ücreti gerektiren durumlarda, gizlilik politikasında bu içeriği belirlemeniz gerektiğini unutmamak önemlidir.

Özet

Kişisel bilgi koruması konusunda, toplumsal ilginin artmasıyla birlikte, yasal düzenlemeler de giderek daha sıkı hale gelme eğilimindedir. Kişisel bilgilerin sızdırılmaması için şirket içinde güvenli bilgi yönetimi sağlamak elbette önemlidir, ancak aynı zamanda yasal düzenlemelere uygun olarak gizlilik politikaları ve şirket içi düzenlemeler gibi şeylerin belirlenmesi de önemlidir. Kişisel Bilgi Koruma Yasası (Japanese Personal Information Protection Law) hakkında, gelecekte de her 3 yılda bir düzenli olarak değişiklikler yapılması planlanmaktadır. Kişisel bilgilerin işlenmesi ile ilgili kurallar her değiştiğinde, sadece şirket içi sistemlerin değiştirilmesi gerekmeyecek, aynı zamanda iş yöntemlerinin tamamını gözden geçirme ihtiyacı da ortaya çıkabilir. Bu anlamda, Kişisel Bilgi Koruma Yasası, işletmenin temelini ilgilendiren bir yasa olarak kabul edilebilir, bu yüzden özellikle çok sayıda kişisel bilgi işleyen işletmelerin sürekli olarak değişiklik eğilimlerini takip etmeleri önemlidir.

Bizim Büro Tarafından Sözleşme Hazırlama ve İnceleme Hizmetlerimiz

Monolith Hukuk Bürosu olarak, IT, İnternet ve İş Dünyası konularında uzman bir hukuk bürosu olarak, gizlilik politikaları dışında çeşitli sözleşme hazırlama ve inceleme hizmetlerini danışmanlık yaptığımız şirketlere ve müşteri şirketlerimize sunmaktayız.

İlgilenenler, lütfen aşağıdaki detayları inceleyiniz.

https://monolith.law/contractcreation[ja]