Які основні моменти при створенні політики конфіденційності, враховуючи Японський закон про захист персональних даних?

Останнім часом суспільний інтерес до захисту персональних даних зростає. Можна сказати, що майже не існує підприємців, які не працюють з персональними даними, тому питання їх обробки є дуже актуальним для багатьох компаній та індивідуальних підприємців. Вважається, що багато компаній, які мають веб-сайт, розміщують на ньому політику конфіденційності. Політика конфіденційності – це документ, який публічно визначає принципи обробки персональних даних підприємством відповідно до Закону про захист персональних даних (Japanese Personal Information Protection Law). Для належного формування політики конфіденційності необхідне розуміння Закону про захист персональних даних. Тому ми пояснимо ключові моменти, на які слід звернути увагу при створенні політики конфіденційності. Зазначимо, що Закон про захист персональних даних був змінений у 2015 році, а змінений закон набув чинності 30 травня 2017 року. Особливо важливі зміни були внесені щодо передачі персональних даних третім особам, тому ми також пояснимо цей пункт. Детальніше про зміни в Законі про захист персональних даних ви можете прочитати в статті нижче.

Що таке Політика конфіденційності

Більшість корпоративних веб-сайтів мають Політику конфіденційності. Іноді вона може називатися “Політика захисту персональних даних”, але в основному це одне й те ж. Політика конфіденційності демонструє основну позицію компанії щодо обробки персональних даних, а також використовується для відображення питань, що вимагаються до публікації в рамках Закону про захист персональних даних (Японський ~). Тому, як мінімум, необхідно включити наступні пункти, які вимагаються для публікації Законом про захист персональних даних:

• Мета використання персональних даних
• Ім’я або назва суб’єкта, що обробляє персональні дані
• Процедура відповіді на запити від особи щодо повідомлення про мету використання, розкриття, виправлення, припинення використання тощо
• Місце подання скарг

Крім того, у випадках спільного використання персональних даних в межах групи компаній, випадках обробки анонімізованої інформації, які будуть пояснені пізніше, та інших випадках специфічного використання, визначеного законодавством, вимагається публікація відповідних питань.

Пов’язана стаття: Що таке Закон про захист персональних даних та персональні дані? Пояснення адвоката[ja]

Суб’єкти господарювання, які повинні створити Політику конфіденційності

До внесення змін у закон у 2017 році (за Григоріанським календарем), застосування Японського закону про захист персональних даних обмежувалося суб’єктами господарювання, які мали більше 5000 записів персональних даних. Тому серед малих підприємств та суб’єктів господарювання, які здійснюють переважно BtoB бізнес, були ті, яким не потрібно було створювати Політику конфіденційності. Однак, згідно зі змінами до закону, які набули чинності у 2017 році, Японський закон про захист персональних даних тепер застосовується до всіх суб’єктів господарювання, незалежно від кількості персональних даних, які вони мають. В результаті, вважається, що всі суб’єкти господарювання в основному повинні створити Політику конфіденційності. Зазначимо, що навіть якщо Політика конфіденційності не створена, можна замінити її повідомленням особі при кожному отриманні персональних даних про мету використання таких даних та інші питання, що вимагаються до оприлюднення за Японським законом про захист персональних даних. Однак, це зазвичай важливо, тому зазвичай створюється Політика конфіденційності.

Контрольні пункти політики конфіденційності

Визначення персональних даних

Стаття 0
Персональні дані – це інформація, що стосується живої особи, яку можна ідентифікувати за допомогою імені, дати народження та інших даних, що містяться в цій інформації (включаючи дані, які можна легко порівняти з іншою інформацією, що дозволяє ідентифікувати конкретну особу).

Визначення персональних даних можна взяти з Закону про захист персональних даних. Зазвичай це інформація, як-от ім’я та дата народження, але до персональних даних також можуть відноситися вік, стать, адреса, телефонний номер, склад сім’ї, хобі, смаки, електронна адреса, ID, IP-адреса та часова мітка, місце роботи, посада, адреса роботи, телефонний номер роботи, номер кредитної картки, номер банківського рахунку, інформація про відвідувані веб-сторінки, скарги, консультації або інформація про запити. Тому може бути корисним заздалегідь включити в визначення персональних даних в політиці конфіденційності ті пункти, які найімовірніше будуть отримані від ваших клієнтів та інших сторін.

Мета використання персональних даних

Стаття 0
1. Наша компанія використовує отримані персональні дані для наступних цілей. Проте, якщо на веб-сайті нашої компанії встановлено окремі цілі використання персональних даних, ми надаємо перевагу опису цих цілей.
(1) Для того, щоб наша компанія могла відповісти на ваші запити через форму зворотного зв’язку
(2) Для надання веб-сервісів або додатків, які ми пропонуємо, а також інших сервісів (далі “цей сервіс”), та для інформування вас про цей сервіс або нові сервіси, які ми пропонуємо
(3) Для покращення цього сервісу та розробки нових сервісів
(4) Для інших цілей, пов’язаних з вищезазначеними пунктами
2. Наша компанія може використовувати персональні дані, отримані від вас, для інших цілей, а також у вигляді статистичної інформації, яка не дозволяє ідентифікувати або визначити особу.

Мета використання

Згідно з Японським законом про захист персональних даних, необхідно оголосити мету використання отриманих персональних даних. Пункт 1 вищезазначеної статті відповідає цьому вимогу. Важливо зазначити, що при визначенні мети використання не достатньо абстрактного та загального опису, особа повинна мати змогу зрозуміти, як її персональні дані будуть використовуватися. Тому, зміст опису мети використання може варіюватися в залежності від компанії, яка створює політику конфіденційності. Крім того, якщо є пропуски в описі, ви не зможете використовувати персональні дані для цієї мети, тому переконайтеся, що ви ретельно розглянули це.

Анонімна інформація

Пункт 2 вищезазначеної статті стосується положень про анонімну інформацію. Анонімна інформація – це інформація, яка була оброблена таким чином, що не дозволяє ідентифікувати особу, і не може бути відновлена. Це передбачає використання так званих великих даних.
Якщо ви обробляєте анонімну інформацію, вам потрібно оголосити елементи персональних даних, що містяться в анонімній інформації, в політиці конфіденційності та ін. Пункт 2 вищезазначеної статті встановлює, що персональні дані, зазначені в “визначенні персональних даних”, використовуються як анонімна інформація. Крім того, якщо ви надаєте анонімну інформацію третім особам, вам також потрібно оголосити спосіб надання.

Використання персональних даних не за призначенням

Стаття 0
Наша компанія поводиться з отриманою персональною інформацією в межах, необхідних для досягнення цілей використання, вказаних у попередній статті. У випадку використання персональних даних не за призначенням, ми зобов’язуємося отримати попередню згоду від клієнта. Однак, це не стосується наступних випадків:
(1)Якщо це передбачено законодавством
(2)Якщо це необхідно для захисту життя, тіла або майна людини, і важко отримати згоду від клієнта
(3)Якщо це особливо необхідно для покращення громадського здоров’я або для сприяння здоровому вихованню дітей, і важко отримати згоду від клієнта
(4)Якщо є необхідність співпрацювати з державними установами або місцевими органами влади або особами, які виконують завдання, передбачені законодавством, і отримання згоди від клієнта може завадити виконанню цих завдань

Як правило, персональні дані не можуть бути використані не за призначенням. Однак, Закон про захист персональних даних дозволяє використання даних не за призначенням у випадках, вказаних у пунктах (1) – (4) вище.
Пункти (2) і (3) стосуються випадків, коли необхідно використати персональні дані, але важко швидко отримати згоду від особи. Пункти (1) і (4) стосуються використання персональних даних на основі інтенцій держави або місцевих органів влади. Наприклад, це може стосуватися розслідування злочинів. Ці положення про використання даних не за призначенням є стандартними для всіх компаній, і вони рідко змінюються в залежності від виду діяльності.

Передача особистих даних третім особам

Стаття №
Наша компанія, як правило, не передає особисті дані клієнтів третім особам без отримання згоди від самого клієнта. Винятково, ми можемо передати дані третім особам, якщо ми визначили отримувача та зміст передачі, і отримали згоду від клієнта. Однак, це не стосується наступних випадків:
(1)Якщо це передбачено законодавством
(2)Якщо це необхідно для захисту життя, здоров’я або майна людини, і важко отримати згоду від клієнта
(3)Якщо це особливо необхідно для підвищення громадського здоров’я або для сприяння здоровому вихованню дітей, і важко отримати згоду від клієнта
(4)Якщо державний орган або місцева влада або особа, якій вони доручили виконання певних обов’язків відповідно до закону, потребують співпраці, і отримання згоди від клієнта може завадити виконанню цих обов’язків
(5)Якщо необхідно передати особисті дані підряднику, з яким ми уклали договір про збереження конфіденційності, для виконання цілей використання

Винятки, коли можлива передача особистих даних третім особам

Цей пункт стосується ситуацій, коли бізнес-оператор передає особисті дані, які він отримав, третім особам. Згідно з Законом про захист особистих даних, перед передачею особистих даних третім особам необхідно отримати згоду від суб’єкта даних. Однак, законодавство передбачає винятки, коли можна передати особисті дані третім особам без згоди суб’єкта даних, як вказано в пунктах (1) до (5). Таким чином, як і в пункті про використання особистих даних поза межами визначених цілей, пункт про передачу третім особам також стає стандартним для більшості компаній. На практиці, найчастіше використовується пункт (5) про передачу особистих даних підряднику. Однак, навіть якщо було укладено договір про підряд, бізнес-оператор, який отримав особисті дані, несе відповідальність за контроль над підрядником. Тому, якщо особисті дані витікають від підрядника, бізнес-оператору, який доручив роботу, також можуть бути пред’явлені вимоги про відповідальність. Тому, вибір підрядника та контроль за ним після доручення повинні проводитися обережно. Детальніше про витік особистих даних від підрядника Benesse описано в наступній статті.

Пов’язана стаття: Ризик витоку особистих даних компанії та відшкодування збитків[ja]

Зміни в законодавстві ускладнюють опт-аут

Щодо передачі особистих даних третім особам, до внесення змін до закону в 2017 році, було дозволено передавати особисті дані третім особам без попередньої згоди суб’єкта даних, за умови, що “вони припиняють передачу особистих даних третім особам за вимогою суб’єкта даних”. Це називається опт-аут. Однак, згідно зі змінами до закону, які набрали чинності в 2017 році, передача особистих даних третім особам за принципом опт-аут стала неможливою без попереднього повідомлення Комісії з захисту особистих даних, і правила стали більш строгими.
Може здатися, що достатньо просто подати повідомлення до Комісії з захисту особистих даних, але ця система повідомлень, в основному, призначена для операторів, які використовують особисті дані як товар, і ті, хто подає повідомлення, будуть опубліковані, тому насправді небагато компаній, які подають такі повідомлення. Тому, на практиці, передача особистих даних третім особам без згоди суб’єкта даних стала важкою, за винятком випадків, коли це дозволено як виняток, наприклад, при дорученні роботи.

Розкриття та виправлення персональних даних

Згідно з Японським законом про захист персональних даних, вимагається оприлюднення процедур, які відповідають на вимоги суб’єкта даних щодо повідомлення про мету використання, розкриття, виправлення, припинення використання тощо. Тому при створенні політики конфіденційності необхідно визначити ці питання. Втім, багато компаній використовують стандартні формулювання для цих положень. Одним з питань, яке варто розглянути, є встановлення плати за обробку відповідей на запити про розкриття тощо від суб’єкта даних. Встановлення відповідної плати за обробку може бути одним зі способів запобігання затримкам у роботі через надмірні запити. Якщо вам потрібно стягувати плату за обробку, вам потрібно визначити це в політиці конфіденційності, і вам слід звернути увагу на це.

Підсумки

Щодо захисту персональних даних, законодавчі обмеження поступово посилюються у відповідь на зростання суспільного інтересу. Звичайно, важливо безпечно керувати інформацією в компанії, щоб уникнути витоку персональних даних, але водночас важливо розробляти політику конфіденційності та внутрішні правила відповідно до законодавства. Закон про захист персональних даних (Японський ~) планується регулярно змінювати кожні три роки. Кожен раз, коли змінюються правила обробки персональних даних, може виникнути необхідність не тільки змінювати внутрішню систему компанії, але й переглядати самі методи бізнесу. В цьому сенсі, Закон про захист персональних даних можна вважати законом, що стосується основ бізнесу, тому особливо важливо для підприємців, які обробляють багато персональних даних, постійно слідкувати за змінами в законодавстві.

Інформація про створення та перегляд договорів нашим бюро

Юридичне бюро “Monolith” як фірма, що спеціалізується на IT, інтернеті та бізнесі, надає послуги зі створення та перегляду різноманітних договорів, включаючи політику конфіденційності, для наших корпоративних клієнтів та компаній-клієнтів.

Якщо вас цікавить, будь ласка, ознайомтеся з деталями нижче.

https://monolith.law/contractcreation[ja]