Що таке Закон про захист персональних даних та персональна інформація? Пояснення адвоката

Закон про захист персональних даних, який був змінений у 2015 році (і набув чинності з 2017 року), точніше “Закон про захист персональних даних” (японський Закон про захист персональних даних), є важливим законодавчим актом при розгляді питань персональних даних у діяльності компаній. Він чітко визначає юридичні обов’язки суб’єктів, які обробляють персональні дані. До 2015 року (27 рік ери Хейсей) це обмежувалося лише тими, хто мав персональні дані більше ніж 5000 осіб, тому багато компаній, які не є суб’єктами обробки персональних даних, наприклад малі підприємства, були винятком. Однак після змін у 2015 році ця умова була скасована, тому майже всі компанії стали суб’єктами обробки персональних даних, і цей закон став неминучим для власників малих підприємств. Для таких речей, як поштові замовлення, електронні бюлетені, відправлення рекламних повідомлень, картки лояльності для реальних магазинів, необхідно обробляти персональні дані клієнтів, такі як імена та електронні адреси, тому важливо знати основи Закону про захист персональних даних.

Мета та визначення Закону Японії про захист персональних даних

Що конкретно передбачає Закон Японії про захист персональних даних? Давайте розглянемо його основні положення. Спочатку, в статті 1 визначається мета цього закону.

Стаття 1 Закону Японії про захист персональних даних
Цей закон має на меті встановити основні принципи та політику уряду щодо захисту персональних даних, враховуючи значне розширення використання персональних даних у суспільстві високих інформаційних технологій, а також визначити обов’язки держави, місцевих органів влади та суб’єктів, які обробляють персональні дані. Це сприятиме правильному та ефективному використанню персональних даних, що в свою чергу сприятиме створенню нових галузей промисловості, динамічному економічному суспільству та збагаченню життя громадян, враховуючи корисність персональних даних, при цьому захищаючи права та інтереси особи.

Таким чином, визначено.

У статті 2 визначено поняття персональних даних, персональних даних у базі даних та збережених персональних даних (пункти 1, 4, 5 статті 2).
Згідно з Законом Японії про захист персональних даних, “персональні дані” – це “інформація про живу особу”, яка “може ідентифікувати конкретну особу за допомогою імені, дати народження та інших описів, що містяться в цій інформації (включаючи випадки, коли можна легко порівняти з іншою інформацією та ідентифікувати конкретну особу). “Персональні дані в базі даних” – це персональні дані, які були збережені в базі даних за допомогою комп’ютера, а з тих, які суб’єкт зберігає протягом 6 місяців або більше, стають “збереженими персональними даними”.

Необхідність захисту персональних даних значно відрізняється в залежності від того, чи вони зберігаються в базі даних. Персональні дані в базі даних – це персональні дані, які систематизовано організовані для легкого пошуку та іншого використання, тому вони мають вищий рівень захисту, ніж загальні персональні дані, через високу ймовірність порушення прав.

Навіть більший захист надається збереженим персональним даним, які є персональними даними, щодо яких суб’єкт обробки персональних даних має право на розкриття, виправлення, додавання або видалення вмісту, припинення використання, видалення та припинення передачі третім особам (пункт 7 статті 2). Щодо збережених персональних даних, дозволено подавати запити на розкриття, виправлення, припинення використання тощо, враховуючи вимогу, щоб особа могла належним чином взаємодіяти зі своєю інформацією (див. нижче).

Правила обробки персональних даних

Щоб запобігти недбалому використанню персональних даних, необхідно чітко визначити мету їх використання та обмежити обробку цих даних лише до необхідного для досягнення цієї мети.

Таким чином, оператори обробки персональних даних повинні:

• Максимально конкретизувати мету обробки персональних даних при їх обробці (стаття 15, пункт 1)
• Не обробляти персональні дані більше, ніж це необхідно для досягнення мети обробки (стаття 16, пункт 1)
• Не отримувати персональні дані шляхом обману або інших незаконних засобів (стаття 17, пункт 1)
• При отриманні персональних даних, повідомити особу або зробити публічне оголошення про мету їх використання (стаття 18)

Японський закон про захист персональних даних вимагає, щоб бізнес-оператори використовували персональні дані, які вони зберігають, відповідно до мети, яку вони попередньо визначили та оголосили. Іншими словами, необхідно “визначити та оголосити мету використання персональних даних”. Наприклад, використання персональних даних для відображення реклами, що відповідає характеристикам користувача, само по собі не є незаконним, але мету такого використання необхідно попередньо оголосити. Методи оголошення не визначені, але зазвичай це робиться у формі “Політики конфіденційності” або “Політики захисту персональних даних”.

З іншого боку, щодо так званих чутливих даних, які вимагають особливої уваги, заборонено отримувати їх без згоди особи, як правило, це більш строге обмеження, ніж для звичайних персональних даних (стаття 17, пункт 2).

Чутливі дані, які вимагають особливої уваги, визначаються як:

Стаття 2, пункт 3
У цьому законі “чутливі дані, які вимагають особливої уваги”, означає персональні дані, які містять інформацію, визначену урядовими регулятивними актами, як таку, що вимагає особливої уваги при їх обробці, щоб запобігти несправедливій дискримінації, упередженості або іншим негативним наслідкам для особи, такі як раса, віросповідання, соціальний статус, медична історія, кримінальний запис, факт постраждання від злочину та інше.

Це також включає в себе результати медичного обстеження, рекомендації від лікарів, лікування, виписку ліків, проведення кримінального процесу, проведення процедур щодо захисту неповнолітніх.

Строгі обмеження, які забороняють навіть “отримання” чутливих даних без згоди особи, якщо немає певних виняткових обставин, встановлені тому, що вважається, що такі дані можуть викликати дискримінацію або упередженість, навіть якщо вони отримані та оброблені в ситуаціях, коли їх отримання зазвичай не вважається необхідним.

Дисципліна управління та нагляду

Багато людей стурбовані та незадоволені можливістю витоку або зміни персональної інформації. Щодо персональних даних, що зберігаються в базах даних, ситуація ще більш серйозна, оскільки відбувається багато випадків масового витоку інформації клієнтів, що призводить до соціальних проблем. Тому, оператори персональних даних зобов’язані вживати необхідних та відповідних заходів (заходів безпечного управління) для безпечного управління персональними даними (стаття 20).

Порушення обов’язків безпечного управління

На практиці, у багатьох випадках витоку або розголошення персональної інформації в Інтернеті визнається порушенням обов’язків безпечного управління. Враховуючи особливості малого та середнього бізнесу, вміст заходів безпечного управління вказаний у “Керівництві щодо Закону про захист персональних даних (загальні положення)” (Комісія з захисту персональних даних). Дотримання цього керівництва не тільки допомагає дотримуватися статті 20 Закону про захист персональних даних, але також важливе для уникнення відповідальності за незаконні дії, пов’язані з порушенням приватності через витоки інформації в Інтернеті.

Однак, незалежно від того, наскільки добре організовані системи та процедури, їх правильне використання в кінцевому рахунку залежить від людей. Тому, “оператори персональних даних повинні забезпечити необхідний та відповідний нагляд за своїми працівниками, щоб забезпечити безпечне управління персональними даними” (стаття 21).

Зверніть увагу, що продаж або вивезення даних клієнтів працівниками може призвести не тільки до відповідальності працівника за незаконні дії (стаття 709 Цивільного кодексу), але також до відповідальності оператора персональних даних за дії своїх працівників (стаття 715 Цивільного кодексу).

“Послуги третім особам” та “Доручення”

Згідно з Законом про захист персональних даних, навіть якщо це відбувається з метою, яка була попередньо оголошена, передача персональної інформації клієнтів “третім особам” заборонена за винятком випадків, коли є згода. Однак, якщо продовжувати цей принцип, “розміщення бази даних про клієнтів на орендованому сервері також буде незаконним”. Орендований сервер є “третьою стороною” для оператора.

Однак, “послуги третім особам” допускаються як виняток у випадку “доручення”, якщо інформація не використовується людьми, яким вона була доручена. Наприклад, орендований сервер просто зберігає інформацію і не використовує її. Це часто відбувається, коли персональні дані доручаються третім особам, але для запобігання таким ситуаціям, як неналежне поводження з дорученими даними або невизначеність відповідальності через багаторазове доручення, “оператори персональних даних повинні забезпечити необхідний та відповідний нагляд за особами, яким доручено обробку персональних даних, щоб забезпечити безпечне управління цими даними” (стаття 22).

Належне поводження з персональними даними за участю суб’єкта

Закон про захист персональних даних дозволяє суб’єкту, за певними умовами, вимагати від оператора персональних даних розкриття (стаття 28), виправлення, доповнення, видалення (стаття 29), припинення використання (стаття 30) даних, що стосуються його особи. Ці права суб’єкта чітко визначені як цивільні права на вимогу, і якщо оператор персональних даних не відповідає на таку вимогу, суб’єкт може реалізувати свої права через суд.

Оператор персональних даних зобов’язаний розкрити персональні дані на вимогу суб’єкта, виправляти їх, якщо вони помилкові, і припиняти використання, якщо вони використовуються не за призначенням, отримані неналежним способом або передані третім особам без згоди суб’єкта. Таким чином, Закон про захист персональних даних накладає різноманітні обов’язки на операторів персональних даних з метою захисту прав громадян.

Штрафи за витік особистих даних

У Японському законі про захист особистих даних встановлені штрафи для бізнесу, якщо він допустив витік особистих даних.

Якщо бізнес порушує Японський закон про захист особистих даних і допускає витік інформації, спочатку він отримує “рекомендацію від держави про припинення порушення та вжиття необхідних заходів для його виправлення” (стаття 42). Якщо це порушення не виправлено, працівник, який порушив закон, може бути покараний “тюремним ув’язненням до 6 місяців або штрафом до 300 000 єн” (стаття 84), а компанія, яка найняла цього працівника, також може бути оштрафована на суму “до 300 000 єн” (стаття 85). Крім того, якщо особисті дані були надані або викрадені з метою отримання незаконної вигоди, може бути винесено вирок “до одного року ув’язнення або штраф до 500 000 єн” без попередньої рекомендації (стаття 83).

https://monolith.law/corporate/risk-of-company-personal-information-leak-compensation-for-damages[ja]

Підсумки

Японський Закон про захист персональних даних вимагає від суб’єктів господарювання, які обробляють персональні дані, належно обробляти ці дані та вживати необхідних та відповідних заходів для їх безпечного управління. Цей закон є важливим і неможливим для уникнення для майже всіх компаній.