Зв'язок між Японським законом про захист персональних даних та порушенням приватності

Інформація, яка захищається як приватна, включає в себе типову особисту інформацію, таку як ім’я та адреса. Наприклад, існує прецедент, коли номер студентського квитка, адреса, ім’я та телефонний номер студента, який взяв участь у лекції, організованій університетом, стали об’єктом юридичного захисту як інформація, що стосується приватності, і дії університету, який без дозволу студента розкрив цю інформацію поліції, були визнані незаконними (Верховний Суд, 12 вересня 2003 року (Григоріанський календар, 2003 рік)).

Щодо права на приватність, він не визначений у японському Законі про захист особистої інформації, але якщо особиста інформація захищається як приватна, то як ми повинні розглядати відносини між незаконними діями, що порушують приватність, та японським Законом про захист особистої інформації?

Зв’язок між порушенням Закону про захист персональних даних та незаконними діями

Щодо зв’язку між порушенням Закону про захист персональних даних (японського Закону про захист персональних даних) та незаконними діями, загальноприйнятою є точка зору, відома як “теорія строгого розмежування”. Навіть якщо обробка персональних даних суб’єктом, що здійснює обробку персональних даних, формально порушує Закон про захист персональних даних, адміністративні заходи, що застосовуються Комітетом з захисту персональних даних, не обов’язково ведуть до визнання вимог про відшкодування збитків на основі незаконних дій та інших підстав. Навпаки, дії, які не порушують Закон про захист персональних даних, наприклад, передача персональних даних третім особам, можуть бути визнані незаконними діями, що порушують приватність.

У випадку визнання незаконної дії через порушення Закону про захист персональних даних (Японії)

Після автомобільної аварії позивач пройшов медичне обстеження в лікарні і, згідно з виписаним рецептом, придбав ліки в аптеці, яку володіє відповідач. Відповідач без дозволу позивача передав страховій компанії автомобільного страхування деталізований рахунок за медичні послуги, на якому були вказані дата народження позивача, назва медичного закладу, в якому він був обстежений, та назва прописаних йому ліків. Позивач вимагав відшкодування збитків за незаконну дію.

Суд спочатку визнав, що відповідач є компанією, яка займається управлінням аптекою, та є оператором обробки персональних даних за Законом про захист персональних даних (Японії). Відповідач стверджував, що “зазвичай аптека відповідає на запити від страхових компаній та надає їм медичну інформацію для забезпечення гладкого виплати грошей потерпілим. Таким чином, позивач не заперечував проти передачі інформації, вказаної в деталізованому рахунку за медичні послуги, страховій компанії”. Однак, суд, посилаючись на пункт 1 статті 23 Закону про захист персональних даних (Японії), який говорить, що “оператор обробки персональних даних не може передавати персональні дані третій стороні без попереднього отримання згоди від особи, крім випадків, передбачених законом”, зазначив:

Оператор обробки персональних даних за Законом про захист персональних даних (Японії) не може передавати персональні дані третій стороні без попереднього отримання згоди від особи, крім випадків, передбачених законом (пункт 1 статті 23 цього Закону). Немає достатніх доказів того, що позивач погодився на передачу деталізованого рахунку за медичні послуги, на якому були вказані назва прописаних йому ліків та інша інформація, страховій компанії відповідачем. Таким чином, дії відповідача є незаконними, оскільки вони порушують Закон про захист персональних даних (Японії), і відповідач має відшкодувати позивачу збитки за незаконну дію.

Рішення Токійського окружного суду від 24 січня 2013 року (2013 рік за Григоріанським календарем)

Хоча “порушення приватності” не було явно вказано, це судове рішення можна вважати визнанням порушення Закону про захист персональних даних (Японії) як незаконної дії.

Випадки, коли порушення Закону про захист персональних даних (Японський Закон про захист персональних даних) не є порушенням приватності

Існує випадок, коли позивач, який використовував копіювальний та факсовий апарат на основі договору оренди в своєму офісі, стверджував, що відповідач Credit Saison надав інформацію про плату за оренду апарату та телефону, яка є персональними даними позивача, відповідачу Ricoh без дозволу позивача. Ricoh використовував цю інформацію, яку надав Credit Saison, і позивач вимагав від відповідачів відшкодування за спільну незаконну дію на основі права на вимогу відшкодування збитків.

Співробітник Ricoh, пан А, прийшов до офісу з продажами, і, оскільки було виявлено незадоволення орендованим копіювальним апаратом, він запропонував свій копіювальний апарат. Коли він запитав позивача про плату за оренду, він дізнався, що це 12 000 єн на місяць, тому пан А записав номер договору, вказаний на наклейці, прикріпленій до копіювального апарату, для перевірки, і зателефонував до Credit Saison. Він дізнався, що сума в 12 000 єн, про яку говорив позивач, була платою за оренду телефону, який позивач також орендував від Credit Saison, а місячна плата за оренду копіювального апарату становила 14 000 єн.

На основі цієї інформації, пан А запропонував копіювальний апарат за плату за оренду в 12 800 єн на місяць, і відповів на зауваження позивача, що це буде більше, ніж зараз, повідомивши, що він зателефонував до Credit Saison і підтвердив, що місячна плата за оренду копіювального апарату становить 14 000 єн. Позивач був обурений тим, що Credit Saison розкрив інформацію про договір між позивачем та компанією Ricoh, вимагав вибачення від обох компаній, і, не бачачи щирості, подав позов, вимагаючи відшкодування збитків.

Закон про захист персональних даних та приватність

Суд, посилаючись на пункт 1 статті 16 Закону про захист персональних даних, який говорить: “Оператори персональних даних не повинні обробляти персональні дані без попередньої згоди особи, що перевищує необхідний обсяг для досягнення мети, визначеної в попередній статті”, зазначив:

Вважається, що дія Credit Saison, який надав Ricoh інформацію про договір щодо копіювального апарату в офісі позивача, є дією, коли оператор персональних даних обробляє персональні дані, що перевищують необхідний обсяг для досягнення визначеної мети, і порушує пункт 1 статті 16 Закону про захист персональних даних, а Ricoh є співучасником незаконної дії, здійсненої Credit Saison. Рішення Токійського окружного суду від 28 жовтня 2015 року (2015 рік за Григоріанським календарем)

Водночас, він визнав, що на момент, коли було запропоновано оновити договір, позивач погодився на розкриття інформації про договір щодо копіювального апарату як персональних даних, якщо це необхідно для цієї мети. Щодо того, що інформація про телефон, крім копіювального апарату, була надана, він визнав, що не можна стверджувати, що позивач погодився на надання інформації, але

Навіть якщо надання інформації про місячну плату за оренду телефону формально порушує пункт 1 статті 16 Закону про захист персональних даних, не можна стверджувати, що це само по собі має незаконність як незаконна дія. Те саме

Таким чином, він відхилив вимогу позивача. Це судовий прецедент, який показує, що порушення Закону про захист персональних даних не обов’язково є незаконною дією, що порушує приватність.

Випадки, коли не порушується Закон про захист персональних даних, але порушується приватність

Існує випадок, коли позивач звернувся до посередницького провайдера з вимогою розкрити інформацію про відправника, стверджуючи, що його право на приватність було порушено, коли номер його мобільного телефону, який він використовував на анонімному форумі в Інтернеті, було опубліковано.

У темі “Обговорення міста ХХ” на “Канто версії” сайту Bakusai.com номер мобільного телефону позивача було опубліковано шість разів. Позивач звернувся з вимогою розкрити цю інформацію, маючи намір звернутися до суду з вимогою про відшкодування за порушення приватності. Однак, посередницький провайдер відмовив, стверджуючи, що “у даному повідомленні не вказано, що цифри є номером мобільного телефону позивача, і звичайний користувач не може легко визначити, що це номер мобільного телефону, який використовує позивач”, і “номер мобільного телефону не відповідає визначенню персональних даних за статтею 2, пункт 1 Закону про захист персональних даних, тому не можна стверджувати, що право на приватність було очевидно порушено”.

Номер мобільного телефону та персональні дані

Суд зазначив, що було опубліковано значну кількість повідомлень, які ображали позивача, відображаючи частину його прізвища, такі як “Ви всі дійсно ненавидите Коуяму”, “Я ненавиджу Коуяму”, “Розпуста Коуяма DQN”, “Компанія без правил… Повсякденне сексуальне та фізичне домагання, а також Коуяма, собака Бульдога”, “Вона вдає розумну, хоча насправді дурна… Дурна жінка”, і разом з місцем роботи було відкрито частину його справжнього імені.

Це повідомлення починається з чисел “090”, розділених довгим знаком, що означає дефіс, і включає номери, починаючи з четвертої цифри, а також коментар, який натякає, що ці числа є номером жінки. Крім того, після цього повідомлення було опубліковано повідомлення, яке розуміло, що числа в цьому повідомленні є номером мобільного телефону. Тому звичайний користувач може визнати, що це повідомлення містить номер мобільного телефону, який використовує жінка.

Рішення Токійського окружного суду від 6 листопада 2015 року (2015)

Суд зазначив, що “через це повідомлення на мобільний телефон позивача надходили численні дзвінки з образами та жартами, і є ризик зловживання цим номером телефону, що може призвести до перешкод у соціальному житті позивача”, і наказав розкрити інформацію про відправника.

Щодо Закону про захист персональних даних, суд зазначив:

Цей закон не має на меті заперечувати, що інтереси в непублікації фактів приватного життя, які не відповідають визначенню персональних даних за статтею 2, пункт 1 цього закону, захищаються як законні інтереси. Тому аргументи відповідача не можуть бути прийняті.

Те саме

Суд визнав аргументи позивача, що дане повідомлення порушує його право на приватність. Хоча номер мобільного телефону сам по собі не є персональними даними, це є судовим рішенням, яке визнає його як об’єкт захисту в рамках приватності.

У випадку порушення Закону про захист персональних даних та порушення приватності

У статті нашого офісу ми вже згадували про випадок, коли медсестра, яка працювала в лікарні, була діагностована як ВІЛ-позитивна на основі результатів аналізу крові в університетській лікарні. Цю інформацію без її згоди передали лікарям та персоналу лікарні, де вона працювала, від лікаря-фрілансера, який працював в університетській лікарні. Це було визнано як порушення приватності, і вона вимагала компенсації за шкоду.

Суд визнав, що стаття 23, пункт 1 Закону про захист персональних даних Японії (Японський Закон про захист персональних даних), яка говорить: “Оператори персональних даних не повинні передавати персональні дані третім особам без попередньої згоди особи, крім випадків, зазначених нижче”, не застосовується до цього випадку, оскільки інформація була передана від лікаря-фрілансера до лікарів та медсестер в лікарні, де вона працювала, і це повинно бути визнано як передача інформації в межах одного оператора.

З іншого боку, щодо пункту 1 статті 16,

Оператори персональних даних повинні, наскільки це можливо, визначити мету обробки персональних даних (пункт 1 статті 15) і не повинні обробляти персональні дані без попередньої згоди особи за межами необхідного для досягнення цієї мети (пункт 1 статті 16). Згідно з положеннями про захист персональних даних, використання персональних даних повинно бути обмежене метою збору даних і виконанням необхідних службових обов’язків (пункт 1 статті 9). Крім того, персональні дані можуть використовуватися для мети, передбаченої в звичайних обов’язках (додаток), а також для мети, зазначеної окремо від звичайних обов’язків (стаття 10). Якщо персональні дані використовуються за межами мети збору даних, потрібна згода відповідального за управління персональними даними або від пацієнта або його представника (пункт 1 статті 11). Крім того, метою збору персональних даних від пацієнтів, користувачів та сторонніх осіб є надання медичної допомоги, медичне страхування, управління палатами, освіта та дослідження (пункт 1 статті 7).

Рішення Куруме Відділення Фукуока Районного Суду від 8 серпня 2014 року (2014 рік за Григоріанським календарем)

Суд визнав, що передача цієї інформації головною медсестрою до голови відділу медсестер та голови адміністративного відділу була з метою запобігання інфекції в лікарні та обговорення політики щодо роботи позивача.

Використання персональних даних не за призначенням

З іншого боку, суд визнав, що

Оскільки інформація була отримана від позивача, коли він прийшов на прийом як пацієнт, метою її використання не було управління персоналом або ведення бізнесу, тому мета її використання повинна бути обмежена наданням медичної допомоги пацієнтам тощо, як зазначено вище. Заява відповідача про те, що персональні дані можуть використовуватися для будь-якої мети, яка була оголошена, незалежно від обставин їх отримання, може призвести до використання персональних даних для мети, яку особа не передбачала, і є недоречною

Те саме

Суд визнав, що це порушення пункту 1 статті 16, який забороняє використання персональних даних не за призначенням. Водночас, суд визнав, що на момент передачі цієї інформації ще існували упередження та дискримінація проти людей, інфікованих ВІЛ, і інформація про те, що людина хвора на ВІЛ, є персональними даними, які людина не хоче розкривати іншим. Тому суд визнав, що порушення приватності відбулося через незаконне використання цієї інформації без згоди особи.

Відповідач стверджував, що “в цьому випадку інформація була поділена лише між шістьма особами, що є менше, ніж мінімум, встановлений в цьому посібнику для строгого управління інформацією”, але в рішенні суду було зазначено, що “навіть якщо кількість осіб, які діляться інформацією, може впливати на ступінь незаконності, навіть якщо ця інформація використовується не за призначенням навіть однією особою, це повинно бути визнано як порушення приватності”. Це можна вважати правильним розумінням Закону про захист персональних даних.

Підсумки

Під “діяльністю” оператора особистих даних входить не лише комерційна діяльність, така як управління компанією або магазином, але й некомерційна діяльність, така як лікарні, школи, волонтерство, охорона навколишнього середовища тощо. Закон про захист особистих даних застосовується до операторів, які повторно проводять будь-яку діяльність та отримують особисті дані для продовження діяльності. Необхідно правильно розуміти Закон про захист особистих даних (Японський Закон про захист особистих даних). У випадку, якщо виникає проблема щодо порушення особистих даних або приватності, рекомендується звернутися за порадою до досвідченого адвоката.