Müşteri Bilgilerini Satın Almak Yasal mı? Japon Kişisel Bilgi Koruma Yasası'nı Açıklıyoruz

2017 yılında (30 Mayıs 2017) ‘Japon Kişisel Bilgi Koruma Yasası’nın tamamen yürürlüğe girmesiyle, kişisel bilgileri işleyen tüm işletmeler ‘Kişisel Bilgi İşleyen İşletmeler’ olarak Kişisel Bilgi Koruma Yasası’na tabi hale gelmiştir.

Bu, kişisel bilgileri, örneğin bir liste satın alarak elde eden şirketlere de uygulanır. Bu nedenle, müşteri bilgilerinin satın alınmasını düşünen yetkililerin, kişisel bilgi alım satımı ve kullanımı ile ilgili prosedürler, yükümlülükler ve yasaklar hakkında bilgi sahibi olmaları gerekmektedir.

Bu nedenle, bu sefer, müşteri bilgilerinin satın alınmasından kullanılmasına kadar olan süreçte, Kişisel Bilgi Koruma Yasası’nın hükümleri ve dikkat edilmesi gereken hususlar hakkında ayrıntılı bir açıklama yapacağız.

Kişisel Bilgi Koruma Yasası Nedir?

Kişisel Bilgi Koruma Yasası’nın resmi adı “Kişisel Bilgilerin Korunması Hakkında Kanun”dur. 2003 yılında (Gregorian takvimine göre) yürürlüğe girdi ve bilgi teknolojisinin dijitalleşmesi gibi çağın değişimlerine uyum sağlamak için birkaç kez değiştirildi.

Bu yasa, kişisel bilgilerin kullanımını sınırlamak yerine, “koruma” ve “uygun kullanım”ı ana hedef olarak belirler.

Kişisel Bilgi Koruma Yasası’nın Amacı

• Kişinin hak ve çıkarlarını korumak ve kişisel bilgilerin uygun kullanım kurallarını belirlemek
• Kişisel bilgi işleyen işletmelerin yükümlülüklerini ve cezalarını belirlemek

Kişisel Bilgi Tanımı

Kişisel Bilgi Koruma Yasası’na göre “kişisel bilgi”, yaşayan bir birey hakkında olan ve aşağıdakilerden herhangi birine uyan bilgileri ifade eder:

1. Ad, doğum tarihi ve diğer açıklamalar dahil olmak üzere bilgilerde belirli bir kişiyi tanımlayabilen bilgiler
2. Kişisel tanımlama kodu içeren bilgiler

Kişisel Tanımlama Kodu Nedir?

Kişisel tanımlama kodu, belirli bir kişiyi tanımlayabilen karakterler, numaralar, semboller ve diğer kodlar arasında, aşağıdakilerden herhangi birine uyan ve hükümet düzenlemeleri ve kuralları ile ayrı ayrı belirlenen bir koddur:

• Bir bilgisayar için bir vücut parçasının özelliklerini dönüştüren kodlar (DNA, yüz, iris, ses izi, yürüyüş biçimi, parmak damarları, parmak izleri, avuç içi izleri vb.)
• Hizmet kullanımı veya belgelerde her hedef kişiye atanmış kodlar (pasaport numarası, temel emeklilik numarası, ehliyet numarası, nüfus kayıt kodu, “My Number” (Japon Sosyal Güvenlik ve Vergi Numarası), çeşitli sigorta belgeleri vb.)

Kişisel Bilgi Koruma Yasası hakkında daha fazla bilgi almak isteyenler, aşağıdaki bağlantıda detaylı bir şekilde açıklanmıştır. Lütfen bu makale ile birlikte inceleyin.

İlgili Makale: Kişisel Bilgi Koruma Yasası ve Kişisel Bilgiler Nedir? Avukat Açıklıyor[ja]

Müşteri Bilgilerinin Satışı Yasal mı?

Devlet kurumları ve kamu kuruluşları dışında kalan genel işletmeler, Kişisel Bilgi Koruma Yasası’na (Japon Kişisel Bilgi Koruma Yasası) uydukları sürece müşteri bilgilerinin satışı yasadışı değildir.

Kişisel Bilgileri Üçüncü Tarafa Sağlarken İzlenecek Prosedür

İşletmeler, kişisel bilgi veritabanını vb. üçüncü bir tarafa sağladıklarında, aşağıdaki prosedürler zorunlu kılınmıştır.

İlkelerine Göre Önceden Kişinin Rızasını Almak

Ancak, aşağıdaki durumlar istisnadır.

① Yasalara dayandığı durumlar
② Kişinin rızasını almanın zor olduğu ve insanların yaşamı, bedeni, mülkiyetinin korunması veya halk sağlığı ve çocukların sağlıklı gelişimi için
③ Devlet veya yerel kamu kuruluşlarına yardımcı olma durumları

Üçüncü Tarafa Sağlama İşlemi İçin Opt-Out Prosedürü

İşletme, üçüncü tarafa sağladığı kişisel bilgiler hakkında, kişinin talebi üzerine üçüncü tarafa sağlamayı durdurmayı (opt-out) kabul ettiği durumlarda, aşağıdaki prosedürlerle kişinin rızası olmadan üçüncü tarafa sağlama mümkün olabilir.

Aşağıdaki ①〜⑤’i önceden kişiye bildirin veya web sayfası vb. üzerinde kişinin kolayca bilgi alabileceği bir durum yaratın ve Kişisel Bilgi Koruma Komisyonu’na (Japon Kişisel Bilgi Koruma Komisyonu) bildirin.

① Üçüncü tarafa sağlamayı kullanım amacı olarak belirtmek.
② Üçüncü tarafa sağlanacak kişisel veri öğeleri
③ Üçüncü tarafa sağlama yöntemi
④ Kişinin talebi üzerine kişisel verinin üçüncü tarafa sağlanmasını durdurmak.
⑤ Kişinin talebini kabul etme yöntemi

Dikkat edilmesi gereken nokta, ırk, inanç, sosyal statü, tıbbi geçmiş, sabıka kaydı gibi başkaları tarafından bilindiğinde haksız ayrımcılık veya önyargıya maruz kalma olasılığı olan “hassas kişisel bilgiler” için, kişinin önceden rızası üçüncü tarafa sağlamanın ilkesi olacaktır.

Müşteri Bilgilerini Satın Alırken Uyulması Gerekenler

Yasalarla Belirlenen Yükümlülükler

Müşteri bilgilerini satın aldığınızda, siz de bir “Kişisel Bilgi İşlem İşletmecisi” olacağınız için, liste sağlayıcıları gibi üçüncü taraflardan kişisel bilgiler alırken yasalarla aşağıdaki yükümlülükler getirilmiştir.

Müşteri bilgilerini satın alırken, aşağıdaki iki noktayı kontrol etmek zorundasınız:

• Liste sağlayıcının adı, adresi, temsilcisi
• Liste sağlayıcının kişisel bilgileri nasıl elde ettiği

Müşteri bilgilerini satın alırken, aşağıdaki maddeleri kaydetmek ve 3 yıl boyunca saklamak zorundasınız:

• Kişisel bilgilerin sağlandığı tarih
• Liste sağlayıcının adı, adresi, temsilcisi
• Liste sağlayıcının kişisel bilgileri nasıl elde ettiği
• İlgili kişisel bilgilerle tanımlanan kişinin adı ve diğer kişiyi belirlemek için yeterli bilgiler
• İlgili kişisel bilgilerin maddeleri
• Üçüncü taraflara sağlama durumunda, Kişisel Bilgi Koruma Komisyonu (Japon Kişisel Bilgi Koruma Komisyonu) tarafından gerekli maddelerin yayınlandığı.

※Opt-out prosedürlerinin bildirimi Kişisel Bilgi Koruma Komisyonu’nun web sayfasında[ja] kontrol edilebilir.

Müşteri Bilgilerinin Elde Edilmesi Hakkında Kontrol

Müşteri bilgilerini satın alırken, liste sağlayıcılarının bilgi toplama yöntemlerini de kontrol etmeniz gerekmektedir. Müşteri bilgilerini yasal olarak satın alsanız bile, bilgi toplama yöntemi yasadışıysa, kullanıcıların tazminat talepleriyle karşılaşma olasılığı vardır.

Liste sağlayıcılarının müşteri bilgilerini yanıltıcı veya hileli yöntemlerle toplaması yasalarla yasaklanmıştır, ancak bunun dışında da toplama sırasında aşağıdaki yükümlülükler vardır, bu yüzden satın almadan önce mutlaka kontrol edin.

• Kullanım amacını belirgin bir şekilde belirledi mi?
• Belirlenen kullanım amacını yayınlıyor mu veya kişiye bildiriyor mu?
• Topladığı kişisel bilgileri başka bir amaçla kullanıyorsa, kişinin rızasını alıyor mu?
• Üçüncü bir taraftan kişisel bilgi sağlandığında, sağlayıcının adı, adresi vb. yanı sıra, kişisel bilgilerin nasıl elde edildiğini kontrol ediyor mu, alınan tarih, kontrol edilen maddeler vb. kaydediyor mu ve 3 yıl boyunca saklıyor mu?
• Kişinin rızasının mutlaka gerektiği “Dikkate Alınması Gereken Kişisel Bilgiler” dahil edilmiş mi?

Kişisel bilgi sızıntıları ve tazminat hakkında daha fazla bilgi almak isteyenler, aşağıdaki detayları inceleyebilirler, bu makale ile birlikte göz atın.

İlgili Makale: Şirketlerin Kişisel Bilgi Sızıntıları ve Tazminat Riski[ja]

Müşteri Bilgilerini Kullanırken Uyulması Gerekenler

Kullanım Amacının Sınırlarını Aşmamak

Adres listesi sağlayıcıları gibi firmaların, müşteri bilgilerini, kişinin rızası alınan kullanım amacının ötesinde kullanması yasalarla yasaklanmıştır. Eğer farklı bir amaçla kullanmayı düşünüyorsanız, tekrar kişinin rızasını almanız gerekmektedir.

Satış Telefonları İçin Kullanım

Telefonla arayarak ürün teklif etme ve satış sözleşmesi yapma amacıyla “telefonla satış” yaparken, Japon Özel Ticaret Hukuku’nda belirlenen aşağıdaki düzenlemelere uymak zorunludur.

Teklif etmeden önce tüketicilere aşağıdaki bilgileri vermek zorundasınız

• Firmanın adı
• Sorumlu kişi (teklif eden kişi) adı
• Satmayı düşündüğünüz ürün (haklar, hizmetler) türü
• Sözleşme yapmayı teklif etme amacınız olduğunu belirtmek

Yasaklanan Davranışlar

• Bir kez reddedilen bir kişiye tekrar teklifte bulunmak
• Gerçeğe aykırı açıklamalar yapmak
• Bilerek gerçeği söylememek
• Karşı tarafı tehdit etmek ve karışıklığa sebep olmak

E-posta Gönderimi İçin Kullanım

Reklam veya tanıtım amacıyla e-posta gönderirken, Japon Özel Elektronik Posta Yasası’na göre, genel olarak, gönderenin ① özel elektronik posta gönderimini istediğini veya ② gönderim yapmayı kabul ettiğini bildiren kişilere dışında gönderim yapması yasaktır.

Adres listesi sağlayıcıları gibi firmaların yukarıdaki ① ve ② bildirimlerini almış olmalarına rağmen, adres listesini satın alanların yeniden ① ve ② bildirimlerini alması gerektiği için e-posta kullanımı zor olabilir.

Güvenlik Yönetimi Tedbirleri Yükümlülüğü

Müşteri bilgilerini elde ettiğinizde, bir kişisel bilgi işleyici olarak, kişisel bilgilerin sızdırılması, kaybolması veya zarar görmesi gibi durumları önlemek için gerekli tedbirleri almanız gerekmektedir.

Ayrıca, gerçekte kişisel bilgileri işleyen çalışanlara, bu kişisel bilgilerin güvenli yönetimini sağlamak için gerekli ve uygun denetimi yapmanız gerekmektedir.

Özet

Bu sefer, müşteri bilgilerinin satın alınması ve Kişisel Bilgi Koruma Yasası (Japon Kişisel Bilgi Koruma Yasası) ile ilişkisi hakkında aşağıdaki 4 maddeye ayrılarak açıklama yaptık.

1. Kişisel Bilgi Koruma Yasası nedir?
2. Müşteri bilgilerinin alım satımı yasal mı?
3. Müşteri bilgileri satın alırken uyulması gerekenler
4. Müşteri bilgilerini kullanırken uyulması gerekenler

Ancak, internet vb. aracılığıyla yurtdışındaki tüketicilerle işlem yaparken, sadece yerel yasalar değil, her ülkenin yasalarını da kontrol etmek zorundasınız.

Dolayısıyla, gerçekten müşteri bilgilerinin satın alınması ve kullanılması düşünülüyorsa, kendi başınıza karar vermek yerine, uzman bilgi ve deneyime sahip bir avukata önceden danışmanız ve tavsiye almanızı öneririz.

Büromuz Tarafından Alınan Önlemler

Monolith Hukuk Bürosu, özellikle IT ve hukuk alanlarında yüksek uzmanlığa sahip bir hukuk bürosudur. Son yıllarda, ‘Japon Kişisel Bilgi Koruma Yasası’ büyük ilgi görmekte ve hukuki kontrol ihtiyacı giderek artmaktadır. Ayrıntıları aşağıdaki makalede belirttik.

https://monolith.law/practices/corporate[ja]