【Остання версія】Що таке закон про захист персональних даних? Основні знання, які вам обов'язково потрібно знати, пояснені простою мовою

Останнім часом суспільна увага до обробки персональних даних та приватності значно зросла. Однак, законодавство про захист персональних даних та супутні нормативні акти містять багато положень, які необхідно знати, і часто є складними, тому їх систематизація не є простим завданням. Крім того, закон про захист персональних даних часто зазнає змін у відповідь на змінювані суспільні умови, тому важливо щодня оновлювати інформацію.

У цій статті ми просто та зрозуміло пояснимо основні знання про захист персональних даних, які кожна особа, що обробляє персональні дані, повинна знати на основі останніх змін до закону про захист персональних даних, які були введені в дію у 2022 році (стаття написана на основі законодавства та інформації станом на січень 2025 року).

Мета Закону про захист персональних даних та причини його змін в Японії

У цифровому суспільстві важливість запобігання зловживанню персональними даними та відповідним шкодам постійно зростає, тому Закон про захист персональних даних в Японії був змінений неодноразово. У цій статті ми розглянемо мету Закону про захист персональних даних та контекст цих змін.

Мета Закону про захист персональних даних

Закон про захист персональних даних в Японії в основному встановлює правила належного поводження з персональними даними.

Сьогодні послуги, що використовують персональні дані та інформацію, стали для нас звичним явищем. З одного боку, персональні дані використовуються для підвищення ефективності роботи компаній та цифрової трансформації (DX), з іншого – зростає кількість випадків витоку персональних даних та ризик їх зловживання.

Якщо коротко висловити мету Закону про захист персональних даних, то вона полягає у «врахуванні корисності персональних даних» та одночасному «захисті прав та інтересів осіб» (стаття 1). При вивченні Закону про захист персональних даних дуже важливо звертати увагу на баланс між цими двома аспектами.

Цей закон враховує значне розширення використання персональних даних у зв’язку з розвитком цифрового суспільства, встановлює основні принципи та базові політики уряду щодо належного поводження з персональними даними, а також інші основні питання, що стосуються захисту персональних даних, уточнює обов’язки держави та місцевих органів влади, визначає обов’язки, яким повинні дотримуватися підприємства та адміністративні органи, що обробляють персональні дані, відповідно до їхніх особливостей, а також передбачає створення Комісії з захисту персональних даних для забезпечення належного та ефективного управління справами адміністративних органів та бізнесу, а також для того, щоб належне та ефективне використання персональних даних сприяло створенню нових галузей промисловості, динамічному економічному суспільству та збагаченню життя громадян, водночас забезпечуючи захист прав та інтересів осіб.

Цитата: Закон про захист персональних даних, стаття 1

Варто зазначити, що Закон про захист персональних даних не встановлює всі правила поводження з персональними даними, а детальні правила визначені у відповідних урядових постановах та правилах.

Крім того, конкретне тлумачення Закону про захист персональних даних та важливі аспекти його застосування визначаються у різноманітних настановах та Q&A, які розробляє Комісія з захисту персональних даних. Хоча ці документи самі по собі не мають юридичної сили, вони фактично стають стандартами та використовуються багатьма компаніями як довідник.

Джерело: Комісія з захисту персональних даних | Законодавство та настанови[ja]

Причини змін

Закон про захист персональних даних був вперше прийнятий у Японії у 2005 році (Хейсей 17).

З того часу, у зв’язку з розвитком інформаційно-комунікаційних технологій та глобалізацією, з’явилися нові способи використання персональних даних, які не були передбачені на момент створення закону. Враховуючи ці зміни в суспільстві, Закон про захист персональних даних зазнав значних змін у 2015 році (Хейсей 27) та був знову змінений у 2020 році (Рейва 2).

Крім того, Комісія з захисту персональних даних, дотримуючись «Основних напрямків змін Закону про захист персональних даних, так званого перегляду кожні три роки[ja]», продовжує періодично переглядати Закон про захист персональних даних кожні три роки.

Згідно з основними напрямками змін, в документі вказані такі аспекти, як «захист прав та інтересів осіб», «баланс між захистом та використанням», «узгодження з міжнародними тенденціями», «реагування на зміни ризиків від іноземних підприємств», «адаптація до епохи штучного інтелекту та великих даних».

Останні зміни, які були внесені у 2020 році (Рейва 2), набули чинності у квітні 2022 року. Згідно з планом перегляду Комісії з захисту персональних даних, через три роки після 2020 року, у 2023 році (або можливо у 2024 році), може бути розглянуто нові зміни до Закону про захист персональних даних.

Далі ми надамо огляд визначень та класифікацій статей Закону про захист персональних даних на основі змін 2020 року, а також основних положень цього закону.

Визначення та класифікація персональних даних за Законом про захист персональних даних в Японії

Для розуміння положень (правил) Закону про захист персональних даних в Японії першим бар’єром є унікальна термінологія. Відмінно від слів, які ми використовуємо щодня, багато положень базуються на юридичних визначеннях, тому важливо спочатку зрозуміти значення (сенс, смисл) термінів.

У цій статті ми розглянемо наступні терміни:

• Персональні дані
• Персональні дані (дані особи)
• Зберігані персональні дані

Можливо, деякі терміни здаються схожими за значенням, але в рамках Закону про захист персональних даних в Японії між ними існує чітка різниця, і для кожного визначення встановлені різні положення. Запам’ятайте, що з “Персональних даних” до “Зберіганих персональних даних” зростає кількість обов’язків, пов’язаних з їх обробкою.

Особиста інформація в Японії

Особиста інформація за японським законодавством визначається як інформація, що стосується “живої особи” та може “ідентифікувати конкретну особу” або містить “ідентифікаційні коди особи” (згідно з пунктом 1 статті 2 та пунктом 2 того ж розділу).

Інформація про померлих або вигаданих персонажів не вважається “інформацією про живу особу”, а інформація про юридичні особи чи статистичні дані не відносяться до “інформації про особу”.

“Інформація, що дозволяє ідентифікувати конкретну особу”, зазвичай включає ім’я, номер телефону, адресу, дату народження, фотографії обличчя тощо, але інформація, пов’язана з конкретною особою, в цілому вважається особистою інформацією. Це означає, що інформація, яка сама по собі не дозволяє ідентифікувати особу (наприклад, ID або історія покупок), може стати “ідентифікуючою конкретну особу”, коли вона поєднується з ім’ям, номером телефону тощо, і тому вважається особистою інформацією.

Також “ідентифікаційний код особи (згідно з пунктом 2 статті 2)” зазвичай включає унікальні офіційні номери, такі як Мій Номер (японська система соціального страхування та податків), номер водійських прав, номер паспорта, номер страхового полісу тощо (згідно з пунктом 2). Крім того, дані, отримані в результаті перетворення біологічної інформації людини, такі як відбитки пальців або ДНК, також вважаються ідентифікаційними кодами особи (згідно з пунктом 1).

Крім того, вимога “можливості ідентифікації конкретної особи” включає “інформацію, яка може бути легко порівняна з іншою інформацією, що дозволяє ідентифікувати конкретну особу” (це називається “легкістю порівняння”).

Наприклад, навіть якщо база даних історії переглядів містить ідентифікатор користувача та інформацію про перегляди, людина, яка це бачить, не може ідентифікувати конкретну особу. Однак, якщо в базі даних управління користувачами (іншій базі даних) є той самий ідентифікатор користувача та інформація, така як ім’я та адреса, то порівняння спільних ідентифікаторів користувачів дозволяє ідентифікувати конкретну особу. Тому в цьому випадку інформація про перегляди, навіть якщо сама по собі не дозволяє ідентифікувати конкретну особу, включається до особистої інформації через “легкість порівняння”. Тобто, залежно від реальної практики обробки в компанії, певна інформація може вважатися “особистою інформацією”, тому необхідно бути уважним.

Стаття 2. У цьому законі “особиста інформація” означає інформацію, що стосується живої особи, яка відповідає будь-якому з наступних пунктів:

1. Інформація, що містить ім’я, дату народження та інші описи тощо (включаючи записи, створені електромагнітним способом, які не можуть бути сприйняті людськими відчуттями, та інші методи, що включають ідентифікаційні коди особи), які дозволяють ідентифікувати конкретну особу (включаючи інформацію, яка може бути легко порівняна з іншою інформацією, що дозволяє ідентифікувати конкретну особу).

2. Інформація, що містить ідентифікаційні коди особи

Закон про захист особистої інформації, стаття 2, пункти 1 і 2

Персональні дані

Збір персональної інформації у базу даних або створення з неї пошукової системи називається “базою персональних даних тощо” згідно зі статтею 16, пункт 1, підпункт 1 та підпункт 2 японського законодавства (Закону про захист персональних даних).

Наприклад, інформація про особу, записана на візитній картці, є “персональною інформацією”, але якщо ви зберігаєте інформацію з декількох візитних карток у файлі з індексом у вигляді японської абетки або організовуєте її у базу даних за допомогою Excel, так що можна систематично шукати конкретну персональну інформацію, це стає “базою персональних даних тощо”.

Також, кожна окрема персональна інформація, що входить до складу “бази персональних даних тощо”, називається “персональними даними” згідно зі статтею 16, пункт 3 японського законодавства. У випадку, коли інформація вважається “персональними даними”, на її обробку накладаються додаткові регуляції порівняно з “персональною інформацією”, такі як обмеження на передачу третім особам та обов’язки щодо заходів безпеки (детальніше буде описано нижче).

Причиною цього є те, що “персональні дані”, коли персональна інформація стає частиною бази даних, мають вищий ризик масового витоку, легше асоціюються з іншими методами та збільшують ризик порушення прав особи.

Зберігані персональні дані

Термін “зберігані персональні дані” використовується для опису персональних даних, які контролюються бізнес-оператором і які він має право розкривати, наприклад, коли особа запитує їх розкриття (згідно з статтею 16, пункт 4 Японського закону про захист персональних даних).

Типовими прикладами є інформація про клієнтів та співробітників, яку бізнес збирає безпосередньо. Водночас, інформація, яка була отримана від третіх сторін, наприклад, через аутсорсинг, не вважається зберіганими персональними даними, оскільки бізнес-оператор не має права їх розкривати.

Якщо дані відповідають критеріям зберіганих персональних даних, бізнес-оператор зобов’язаний без зволікань публікувати визначені відомості, відповідати на запити осіб, а також виконувати запити на розкриття, виправлення чи видалення таких даних (детальніше буде описано нижче).

Згідно з Японським законом про захист персональних даних, “персональна інформація” є найширшим поняттям, а “персональні дані” та “зберігані персональні дані” мають більш вузькі визначення, до яких застосовуються додаткові регуляції. Оскільки регуляції, що застосовуються до кожного з цих визначень, відрізняються, необхідно звертати увагу. Давайте розглянемо це детальніше на діаграмі нижче.

Правила, що застосовуються в залежності від типу інформації

Як показано на нижченаведеній схемі, основні положення Закону про захист персональних даних у Японії (Japanese Personal Information Protection Law) визначені відповідно до розрізнення між «персональною інформацією», «персональними даними» та «даними, що зберігаються».

Цитата: Комісія з захисту персональних даних «Основи Закону про захист персональних даних», сторінка 25

Нижче ми надаємо огляд:

• Визначення та повідомлення про цілі використання персональної інформації
• Заходи безпеки для персональних даних, управління суб’єктами, яким доручено обробку
• Передача персональних даних третім особам та винятки з цього правила
• Відповідь на запити щодо розкриття збережених персональних даних

для більш детального розуміння.

Визначення та повідомлення про цілі використання особистої інформації в Японії

Перш за все, згідно з Японським законом про захист особистих даних, при отриманні особистої інформації необхідно якомога точніше визначити цілі її використання (стаття 17, пункт 1), і не дозволяється обробляти особисту інформацію поза межами, необхідними для досягнення цих цілей (стаття 18, пункт 1).

У разі зміни цілей використання, зміни можуть бути здійснені лише в межах, які розумно вважаються пов’язаними з попередніми цілями і передбачуваними (стаття 17, пункт 2).

Крім того, визначені цілі використання повинні бути повідомлені особі або опубліковані (стаття 21, пункт 1).

У Японському законі про захист особистих даних не вказано конкретних методів повідомлення чи публікації, але загальноприйнятим є опублікування у формі “Політики конфіденційності” або “Політики захисту особистих даних”.

У рекомендаціях Комісії з захисту особистих даних Японії зазначено наступне:

Цілі використання не повинні визначатися лише у загальних та абстрактних термінах, але також і конкретно, наскільки це можливо, щоб особа могла розумно та логічно передбачити, яким чином її особиста інформація буде використовуватися в діяльності компанії.

Комісія з захисту особистих даних Японії, «Загальні рекомендації[ja]» 3-1-1

Також у цих рекомендаціях наведені приклади, які конкретно визначають цілі використання.

Тобто, необхідно конкретно визначити, як і з якою метою особиста інформація буде використовуватися в діяльності компанії, щоб особа могла це зрозуміти.

Крім того, при отриманні особистої інформації безпосередньо у письмовій формі (включаючи електронні записи), необхідно заздалегідь ясно вказати особі цілі використання (стаття 21, пункт 2).

Заходи безпеки управління персональними даними та контроль за суб’єктами, яким ці дані доручаються

Згідно з японським законодавством, оператори, які обробляють персональні дані, повинні вживати необхідні та відповідні заходи для запобігання витоку, втрати або пошкодження персональних даних, а також для інших аспектів безпеки управління персональними даними (стаття 23 закону).

Крім того, заходи безпеки, вжиті щодо збереження персональних даних, повинні бути доступними для ознайомлення особою, якої ці дані стосуються, “у стані, який дозволяє особі дізнатися про них (включаючи випадки, коли відповідь надається без зволікання на запит особи)” (пункт 4 частини 1 статті 32 закону, пункт 1 статті 10 Положення про виконання Закону про захист персональних даних).
Конкретні приклади заходів безпеки, які слід вжити, наведені в настановах[ja].

10-1 Розробка основної політики

10-2 Встановлення дисципліни у сфері обробки персональних даних

10-3 Організаційні заходи безпеки управління

10-4 Персональні заходи безпеки управління

10-5 Фізичні заходи безпеки управління

10-6 Технічні заходи безпеки управління

10-7 Врахування зовнішнього середовища

Цитата: Комісія з захисту персональних даних, “Загальні настанови[ja]” 10

Однак, заходи безпеки не вимагають, щоб усі оператори дотримувалися однакових стандартів та вживали однакові заходи. Наприклад, великі компанії, які розгортають масштабні ІТ-проекти та обробляють персональні дані мільйонів чи навіть десятків мільйонів людей, та малі та середні підприємства, які обробляють обмежену кількість персональних даних, мають різні рівні вимог до заходів безпеки. Заходи безпеки повинні враховувати такі фактори, як масштаб та характер бізнесу, природа та обсяг оброблюваних персональних даних, передбачувані ризики тощо, та бути відповідно адаптованими до цих умов.

Крім вищезазначеного, для забезпечення безпеки управління персональними даними, оператори зобов’язані належним чином контролювати своїх працівників та суб’єктів, яким доручено обробку цих даних (статті 24 та 25 закону).

Передача особистих даних третім особам та її винятки в Японії

При передачі особистих даних третім особам, як правило, необхідно отримати згоду суб’єкта даних (стаття 27, пункт 1 Закону).

Залежно від конкретного випадку, можна стверджувати, що згода на передачу даних третім особам була отримана належним чином, якщо суб’єкт даних погодився з умовами використання, договором або політикою конфіденційності, де зазначено про передачу даних третім особам.

Однак, існують винятки, коли згода суб’єкта даних на передачу його особистих даних третім особам не вимагається з публічних причин (стаття 27, пункт 1, кожний підпункт Закону).

Стаття 27. Оператори, що займаються обробкою персональних даних, не можуть передавати персональні дані третім особам без попередньої згоди суб’єкта даних, за винятком наступних випадків:

1. У випадках, передбачених законодавством.

2. Коли це необхідно для захисту життя, тіла або майна особи і важко отримати згоду суб’єкта даних.

3. Коли це особливо необхідно для поліпшення громадського здоров’я або для сприяння здоровому вихованню дітей і важко отримати згоду суб’єкта даних.

4. Коли необхідно співпрацювати з державними органами або місцевими органами влади, або особами, які отримали від них доручення, для виконання завдань, передбачених законодавством, і отримання згоди суб’єкта даних може перешкоджати виконанню цих завдань.

5-7 (вибірково опущено)

Цитата: Закон про захист персональних даних, стаття 27

Також нижче ми розглянемо передачу персональних даних третім особам, які знаходяться за кордоном.

Як правило, при передачі персональних даних третім особам, які знаходяться за кордоном (включаючи доручення та спільне використання), крім вищезазначених правил щодо передачі персональних даних третім особам, необхідно отримати згоду на передачу даних «третім особам, які знаходяться за кордоном» (стаття 28 Закону). Крім того, перед отриманням згоди необхідно надати наступну інформацію (пункт 2 статті 17 Правил).

1. Назва відповідної країни.

2. Інформація про систему захисту персональних даних у відповідній країні, отримана за допомогою відповідних та розумних методів.

3. Інформація про заходи щодо захисту персональних даних, які вживає відповідна третя сторона.

Детальніше про методи запису можна дізнатися з Настанов щодо Закону про захист персональних даних (розділ про передачу даних третім особам, які знаходяться за кордоном)[ja] 5-2, які розроблені Комісією з захисту персональних даних.

Однак, існують два винятки з вищезазначеного.

Якщо третя сторона, якій передаються дані, знаходиться в країні, яку Комісія з захисту персональних даних визнає як таку, що має систему захисту персональних даних на рівні, еквівалентному японському (система відповідності стандартам, станом на листопад 2023 року, це країни ЄЕЗ та Великобританія), то така третя сторона не вважається «закордонною». Тобто, до передачі даних за кордон не застосовуються відповідні правила, і вона розглядається так само, як передача даних внутрішнім третім особам.

Далі, якщо передача даних за кордон відбувається на підставі вищезазначеної системи відповідності стандартам, тобто, якщо ① «вживаються необхідні заходи для забезпечення постійного виконання відповідних заходів» і ② «інформація про ці необхідні заходи надається суб’єкту даних за його запитом», то не потрібно отримувати згоду (пункт 1 статті 28, пункт 3 статті 28 Закону).

Деталі щодо вищезазначеного пункту ① визначені в пункті 1 статті 18 Правил.

Стаття 18. За положеннями статті 28, пункт 3 (включаючи випадки, коли це застосовується зі змінами відповідно до статті 31, пункт 2) Закону про захист персональних даних, необхідні заходи для забезпечення постійного виконання відповідних дій третьою стороною, що знаходиться за кордоном, визначаються наступним чином:

1. Регулярна перевірка стану виконання відповідних дій третьою стороною та наявності та змісту системи в зазначеній іноземній країні, яка може вплинути на виконання цих дій, здійснювана адекватним та розумним способом.

2. У разі виникнення перешкод для виконання відповідних дій третьою стороною, необхідно вжити необхідні та відповідні заходи, а у випадку, коли забезпечення постійного виконання цих дій стає складним, слід припинити передачу персональних даних (у випадках, передбачених статтею 31, пункт 2, це стосується інформації, пов’язаної з особою) цій третій стороні.

Цитата: Пункт 1 Статті 18 Правил виконання Закону про захист персональних даних

Згідно з настановами, “регулярна перевірка”, зазначена в пункті 1, означає перевірку, яка проводиться приблизно один раз на рік або частіше.

Крім того, для забезпечення необхідної системи не потрібно подавати попередні повідомлення чи інші подібні дії до Комісії з захисту персональних даних.

Детальніше про вищезазначений пункт 2 визначено у статті 18, пункт 3 Закону.

3. Оператори, що займаються обробкою персональних даних, повинні надавати інформацію особі без зволікань про наступні пункти, коли отримують запит відповідно до статті 28, пункт 3 Японського Закону про захист персональних даних. Однак, якщо надання такої інформації може суттєво перешкодити належному виконанню роботи оператора, що обробляє персональні дані, можна не надавати всю або частину інформації.

1. Методи організації системи, передбаченої статтею 28, пунктом 1.

2. Загальний опис заходів, які вживає третя сторона.

3. Частота та методи перевірки, передбачені пунктом 1, підпунктом 1.

4. Назва відповідної іноземної країни.

5. Наявність та загальний опис системи відповідної іноземної країни, яка може вплинути на вжиття заходів третьою стороною.

6. Наявність та загальний опис перешкод для вжиття заходів третьою стороною.

7. Загальний опис заходів, які оператор, що обробляє персональні дані, вживає у відповідності до пункту 1, підпункту 2, щодо зазначених перешкод.

Цитата: Пункт 18, підпункт 3 Правил виконання Закону про захист персональних даних Японії

У випадку перетину кордонів на основі системи відповідності стандартам, необхідно надавати інформацію особі після факту (за запитом).

Відповідь на запити щодо розкриття особистих даних, які утримуються

Стаття 33 Закону про захист персональних даних Японії дозволяє користувачам вимагати від бізнес-операторів, які обробляють персональні дані, розкриття особистих даних, які дозволяють ідентифікувати особу.

Оператори, які обробляють персональні дані, повинні забезпечити, щоб процедури відповіді на запити про розкриття та розмір зборів за такі запити були доступні для відома особи (включаючи негайну відповідь на запити особи), згідно зі статтею 32, пункт 1 Закону про захист персональних даних Японії.

Це означає, що оператори можуть встановлювати конкретні процедури для подання запитів на розкриття, включаючи адресу для подання запитів, форму запиту, методи ідентифікації особи, яка подає запит, розмір та методи стягнення зборів. Запитувачі повинні дотримуватися цих процедур при поданні запитів на розкриття.

Наприклад, включення до політики конфіденційності номера телефону, електронної адреси або поштової адреси оператора дозволяє приймати запити на розкриття тільки через телефон, електронну пошту або поштові відправлення.

Користувачі також можуть подавати запити не тільки на розкриття, але й на виправлення, додавання або видалення даних (виправлення тощо) згідно зі статтею 34, а також на припинення використання або видалення даних (припинення використання тощо) згідно зі статтею 35 Закону про захист персональних даних Японії.

Підсумок: Консультуйтеся з фахівцями щодо обробки персональних даних

У цій статті ми надали огляд основних знань про Закон про захист персональних даних в Японії, які вам варто знати. Окрім згаданих у статті аспектів, конкретні умови обробки персональних даних можуть відрізнятися для кожної компанії, тому необхідно звертатися до відповідних законів та настанов і розглядати відповідні дії.

Закон про захист персональних даних в Японії вимагає від бізнесу, що обробляє персональні дані, забезпечувати їх належну обробку та вживати необхідні та відповідні заходи для їх безпеки, що робить його важливим законом, якого не можна уникнути для майже всіх компаній.

Якщо у вас є сумніви щодо обробки персональних даних або заходів, які ваша компанія повинна вжити, рекомендуємо звернутися за консультацією до адвоката.

Пов’язані статті: Які ключові моменти змін у Законі про захист персональних даних у Рейва 6 (2024 рік)? Огляд важливих змін та стратегій реагування[ja]

Заходи, що пропонує наша юридична фірма

Юридична фірма “Моноліт” спеціалізується на IT, зокрема на інтернет-праві та юридичних аспектах, що стосуються Японії. У сучасному світі особисті дані та приватність привертають значну суспільну увагу. Наприклад, у випадку витоку особистих даних, які зберігає компанія, це може мати катастрофічні наслідки для бізнесу. Наша фірма має фахові знання у сфері захисту особистих даних згідно з японським законодавством. Детальніше про це читайте у статті нижче.

Сфери діяльності юридичної фірми “Моноліт”: Правові питання, пов’язані з захистом особистих даних у Японії[ja]