• 8 сентября 2022

    Япония

     

    ЗАКОНОДАТЕЛЬСТВО ЯПОНИИ В СФЕРЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

    Система законодательства 

    APPI вступил в силу 30.03.2003, за исключением глав 4–6 и статей 2–6 дополнительных положений, которые вступили в силу 01.04.2005. В APPI несколько раз вносились изменения, приводящие его в соответствие с текущими тенденциями. Обширные изменения в области конфиденциальности внесены в 2015 году и вступили в силу 30.05.2017, а также в 2020 году (вступили в силу 01.04.2022).

    Предусмотрено, что закон будет пересматриваться и обновляться каждые три года, если это необходимо, чтобы гарантировать, что он продолжает учитывать последние технические разработки.

    В дополнение к APPI Комиссией по защите персональных данных (PPC) выпущены различные Руководящие принципы по защите информации, которые служат для интерпретации APPI применительно к конкретным отраслям и конкретным вопросам:

    • Общие правила.
    • Передача данных третьей стороне за границей.
    • Обязательства по подтверждению и ведению учета для передачи данных третьей стороне.
    • Действия в случае утечки данных.

    В Японии имеется и другое законодательство, касающееся вопросов защиты данных: Закон о телекоммуникационном бизнесе (о конфиденциальности сообщений в указанной сфере); Закон о регулировании передачи специальной электронной почты № 26 от 17.04.2002 (вопросы нежелательного маркетинга по электронной почте); Закон об использовании номеров для идентификации конкретных лиц в административных процедурах № 27 от 31.05.2013 (об использовании присвоенных индивидуальных номеров, об обращении с указанными номерами согласно стандартам, которые отличны от АРРI); отраслевые инструкции различных ведомств (Министерства экономики, торговли и промышленности, Агентства финансовых услуг, Министерства здравоохранения, труда и социального обеспечения и др.).

    Материальная и территориальная сферы действия

    APPI применяется к любой организации, которая обрабатывает информацию о гражданах Японии, независимо от того, где физически находится эта организация. APPI также применяется к неяпонским коммерческим организациям, позволяя им обрабатывать личную информацию японских граждан в другой стране.

    Большинство положений APPI применяется экстерриториально. APPI применяется ко всем компаниям, предлагающим товары и услуги в Японии, независимо от их фактического местонахождения.

    Отметим, что APPI применим не только к предприятиям за пределами Японии, которые собирают личную информацию непосредственно от субъектов, данных в Японии, но косвенно. Так, APPI применим к иностранной фирме, которая обрабатывает персональные данные японских пользователей, полученные через услугу, предоставляемую японским бизнес-оператором японским пользователям; поскольку такая обработка персональных данных будет связана с предоставлением товаров или услуг.

    APPI в редакции последних лет содержит положения, применимые к защите личной информации в частном и государственном секторах. Также APPI применим к обработке данных муниципальными органами власти.

    Существуют исключения – некоторые виды японских предприятий и частных лиц освобождены от APPI (пресса, политические партии, религиозные группы, профессиональные писатели).

    Основные понятия

    Персональные данные. В соответствии с APPI «персональная/личная информация» определяется как информация:

    • относящаяся к живому лицу, которая может быть использована для идентификации конкретного человека по имени, дате рождения или другому описанию, содержащемуся в такой информации, будь то в письменной, записанной или иной форме, выраженная голосом, движением или другими способами в документах, рисунках или электронных записях;
    • содержащая персональный/индивидуальный идентификационный код, то есть информация, которая сама по себе не позволяет установить личность, но которую можно легко связать с другой информацией и, таким образом, использовать для идентификации конкретного лица.

    «Персональный/индивидуальный идентификационный код» определяется как любой символ, буква, цифра, символ или другой код:

    • который преобразован из частичной черты тела конкретного человека, чтобы его можно было использовать с компьютера, который может идентифицировать конкретного человека, например, данные отпечатков пальцев или данные распознавания лиц;
    • который официально присвоен физическому лицу, или который записан в карточках или других документах, выданных физическому лицу, или в электромагнитном формате, и который может идентифицировать физическое лицо посредством присвоения такого кода.

    К персональным данным в Японии также относится информация, которая позволяет оператору идентифицировать физическое лицо посредством простого обращения к другой информации (easy reference to other information) с помощью компьютера. В соответствии с разъяснениями Комиссии по защите персональных данных (PPC) возможность простого обращения к другой информации имеет место, когда оператор может использовать обычные для его деятельности методы. Если оператор нуждается в запросе такой «иной информации» у другого оператора, и это связано со сложностями, такая ситуация не подразумевает «простого обращения к другой информации».

    Конфиденциальная личная информация. APPI в 2022 году ввел новые категории регулируемой информации, одна из которых называется «личной информацией, требующей особой осторожности».

    В соответствии с APPI конфиденциальная личная информация включает в себя любую информацию о расе, вероисповедании, социальном статусе, истории болезни, судимости, истории жертвы преступления или любую другую информацию, которая может привести к социальной дискриминации или иным неблагоприятным последствиям. Определение конфиденциальной личной информации в соответствии с APPI в значительной степени сосредоточено на социальной и этнической информации, которая может привести к дискриминации. Это более узкое определение, чем предусмотрено другими сводными законами о конфиденциальности и защите данных, которые также включают такую ​​информацию, но также включают финансовую информацию, биометрическую и/или информацию о местоположении.

    Компании, подпадающие под действие APPI, не могут собирать или использовать конфиденциальную личную информацию человека без предварительного получения его согласия.

    Информация, связанная с лицом. Согласно APPI, она включает в себя любую информацию, относящуюся к физическому лицу, которая не подпадает под категорию персональной информации, конфиденциальной или псевдоанонимизированной информации (статья 7 APPI).

    Отличие такой информации заключается в том, что она все еще может использоваться для идентификации человека, если связана с дополнительными данными. Файлы cookie и IP-адреса попадают в эту категорию.

    Перед сбором компанией такого вида информации не требуется получения согласия. Вместо этого достаточно уведомления и выбора в форме политики конфиденциальности, которая должным образом учитывает цели сбора личной информации. В случае, если третья сторона в результате передачи сможет использовать информацию, связанную с лицом, для идентификации личности, то прямое согласие потребуется.

    Псевдоанонимизированная информация — это информация, которая относится к физическому лицу, но обрабатывается таким образом, что конкретное физическое лицо нельзя идентифицировать, если только информация не связана с другими данными.

    Методы обработки включают удаление или замену:

    • всех или части описаний, идентифицирующих конкретного человека;
    • всех личных идентификационных номеров;
    • описаний, которые могут нанести экономический ущерб при неправильном использовании (например, номер кредитной карты, идентификатор входа и пароль для веб-сайта с денежными переводами, платежными или расчетными услугами).

    Предприятие, использующее псевдоанонимизированную информацию, освобождено от обязательного уведомления о ее утечке, если при создании такой информации использованы все законные методы, насколько это применимо.

    Псевдоанонимизированная информация может подпадать или не подпадать под определение личной/персональной информации в зависимости от того, владеет ли компания одновременно и «удаленными (изъятыми) описаниями», и методом, с помощью которого она создана.

    Обязательства компаний, обрабатывающих псевдоанонимизированную информацию, различаются в зависимости от того, считается ли обрабатываемая информация персональными данными. Компания должна соблюдать:

    • запрет на передачу третьей стороне, если только не подпадает под исключения (предприятие может передавать псевдоанонимизированную информацию третьей стороне в связи с аутсорсингом, передачей бизнеса и совместным использованием такой информации, а также при наличии законных оснований);
    • обязательство принимать меры безопасности;
    • обязательство контролировать сотрудников;
    • обязательство контролировать аутсорсинговые компании;
    • обязательство прилагать усилия для обеспечения надлежащего
      и беспрепятственного рассмотрения жалоб;
    • запрет сопоставлять такую информацию с другими данными
      с целью идентификации субъектов;
    • запрет на контакт с субъектами данных по телефону, почте или электронной почте с использованием псевдоанонимизированной информации.

    Определение псевдоанонимизированной информации в APPI шире других понятий, часто используемых в сводных законах о конфиденциальности и защите данных, таких как анонимная или обезличенная информация. Эту категорию информации компаниям легче использовать, чем «информацию, обработанную анонимно», так как на компанию возлагается меньше обязательств. Предполагается, что обработанная под псевдонимом информация будет использоваться для анализа клиентов и, в частности, при обработке фармацевтической и медицинской информации.

    Трансграничная передача персональных данных

    Персональные данные могут быть переданы в иностранное государство только в том случае, если:

    • получено конкретное согласие субъекта данных;
    • в стране действует правовая система, эквивалентная японской системе защиты персональных данных;
    • данные передаются третьей стороне, которая принимает адекватные меры предосторожности для защиты персональных данных (Global Privacy and Information Management Handbook).

    Начиная с апреля 2022 года предприятиям, подпадающим под действие APPI, необходимо:

    • получить согласие физического лица на передачу личной информации этого лица за пределы Японии;
    • создать систему защиты личной информации со стороной, получающей персональные данные, в иностранной юрисдикции.

     

    Кроме того, если личная информация, подлежащая трансграничной передаче, также передается третьему лицу в этом иностранном государстве, предприятие должно обеспечить соблюдение третьей стороной гарантий и мер, изложенных в уведомлении для физического лица.

    Например, при передаче личной информации из Японии в США и расположенному в США стороннему обработчику компания должна будет реализовать договорные гарантии того, что третья сторона соблюдает необходимые меры безопасности.  Гарантии, которые должны быть включены в такой договор, должны предусматривать «необходимые меры», обязывающие принимающую сторону обрабатывать личную информацию в соответствии с APPI.

    Перед осуществлением трансграничной передачи третьим лицам за пределами Японии субъект данных должен быть проинформирован. Предоставляемая информация должна включать:

    • название страны, куда передаются данные;
    • система защиты личной информации страны назначения;
    • меры по защите данных, которые должны быть приняты импортером данных.

    Операторам, которые планируют передавать персональные данные в любую из этих стран, рекомендуется обратиться к списку PPC (размещен на официальном сайте, включает 31 страну) и сопроводительным схемам и подготовить пояснительные формулировки.

    Кроме того, в случае передачи оператором персональных данных по основаниям, отличным от согласия субъектов данных (например, передача персональных данных подрядчику для поручения обработки персональных данных), оператор обязан принять следующие меры: гарантировать, что принимающая сторона таких данных постоянно принимает надлежащие меры для обработки данных способом, эквивалентным требованиям APPI:

    • регулярно подтверждать статус реализации мер защиты данных принимающей стороной;
    • учитывать изменения в системе защиты данных в стране получателя, которые могут повлиять на меры защиты данных;
    • проводить мониторинг проблем с мерами защиты данных принимающей стороны, принимать меры для решения таких проблем, а также если получающей стороне трудно постоянно принимать меры по защите данных, прекратить передачу персональных данных принимающей стороне.

    Биометрические данные

    Определения биометрии в APPI не содержится.

    О несовершеннолетних

    В APPI говорится, что если ребенок не может понять последствия, которые могут возникнуть в результате согласия на обработку его личной информации, то бизнес-оператору необходимо получить согласие
    его «представителя», что, по существу, означает согласие родителя или опекуна несовершеннолетнего. Возраст правомочия и условия и содержание согласия в APPI не регламентированы.

    Вместе с тем, в «вопросах и ответах», выпущенных PPC, говорится, что для несовершеннолетних в возрасте от 12 до 15 лет необходимо получить согласие лица, обладающего родительскими правами в отношении несовершеннолетнего, для обработки данных, которая требует согласия субъектов данных (например, предоставление персональных данных для третьих лиц и сбор конфиденциальной информации). Данные об образовании или школе не подлежат особым ограничениям, а только ограничениям APPI в качестве личной информации.

    Оператор и обработчик

    В японском законодательстве не имеется понятий «контролер данных» и «обработчик данных». Используется понятие «бизнес-оператор», которым является физическое/юридическое лицо, использующее для своей деятельности базу данных личной информации, содержащую персональные данные, независимо от количества лиц, чью личную информацию они сохраняют.

    Права субъекта данных

    В соответствии с APPI субъекты данных могут потребовать, чтобы бизнес-оператор раскрыл цель использования их личных данных (ст. 27 ч. 2 APPI), как они могут получить доступ к ним (ст. 27 ч. 1 APPI), исправить или приостановить их обработку.

    Версия APPI 2017 года позволяла субъектам данных запрашивать удаление информации или приостановку ее использования только в ограниченных случаях. Поправки 2020 года расширили эти права, чтобы разрешить запросы в более широком диапазоне вариантов использования, включая потенциальные нарушения прав или законных интересов субъекта данных и передачу третьим лицам, не соответствующим требованиям APPI. Запросы теперь также могут относиться к краткосрочным данным, которые хранятся в течение шести месяцев или меньше.

    Субъекты данных могут запрашивать сведения как в цифровом, так и в печатном формате. Субъекты данных в Японии имеют право подать в суд на бизнес-операторов, которые собрали о них информацию, если операторы не ответят на запросы в соответствии с APPI в течение двух недель.

    Согласие на обработку персональных данных. Законный интерес

    В APPI требований к содержанию согласия на обработку персональных/личных данных не содержится.

    В Японии для передачи данных третьим лицам ранее не требовалось согласие лица, если бизнес-оператор предоставлял информацию PPC и субъект данных не возражал против передачи после того, как был уведомлен об этом.

    Поправки APPI 2020 года ограничили юридических лиц, которые больше не могут передавать персональные данные, собранные обманным или ненадлежащим образом, или продолжать передачу персональных данных на основании действовавшего ранее порядка. Если компания желает продолжить передачу данных, она должна получить прямое согласие субъекта.

    Если передача личной информации отвечает общественным интересам, предварительное согласие не требуется (дела, связанные с национальной безопасностью, юридическими вопросами или проблемами общественного здравоохранения). Под законным основанием также понимается событие чрезвычайного характера, которое находится вне контроля оператора, то есть происшествие, которое невозможно предвидеть (например, стихийные бедствия).

    Внешние поставщики услуг, которые обрабатывают данные от имени бизнес-оператора, не считаются третьими лицами, если они находятся в Японии. Поэтому бизнес-операторы могут передавать им данные по своему усмотрению при условии, что обработка, которую будет проводить третья сторона, подпадает под цель использования, для которой была собрана личная информация.

    Отраслевое регулирование

     Банковская сфера

    Если информация может идентифицировать человека, финансовые данные будут рассматриваться как персональные данные.

     Медицина

    Согласно APPI, сведения о физических и умственных недостатках, результаты медицинских осмотров, записи об оказании медицинской помощи и иные сведения о здоровье и травмах относятся к конфиденциальным персональным данным. Министерством здравоохранения, труда и социального обеспечения изданы инструкции по медицинскому обслуживанию населения и порядке работы с указанными сведениями, чтобы не вызвать несправедливую дискриминацию, предубеждение или другие неудобства для субъекта данных.

    Трудовое законодательство

    Обработка персональных данных в трудовых отношениях не является предметом APPI.

    При этом некоторые аспекты остаются неурегулированными ни общим, ни трудовым законодательством. В частности, это относится к видеонаблюдению за работниками. Предполагается, что работодатель имеет право контролировать общение подчиненного на рабочем месте в связи со служебной необходимостью. Тем не менее, может возникнуть проблема конфиденциальности его частного общения на работе. В таком случае рекомендуется, чтобы работодатели раскрывали работнику информацию о возможности мониторинга.

    Локализация

    В APPI требований о локализации не имеется.

    Ответственность за нарушения, штрафы

    Максимальный штраф, который может быть наложен на организацию, составляет 100 млн иен (примерно 815 000 долларов США), в то время как физическим лицам может грозить тюремное заключение на срок до 1 года или штраф в размере до 1 млн иен (около 8 150 долларов США). Любому, кто подает ложные сообщения в PPC, также грозит штраф в размере до 500 000 иен (около 4 000 долларов США).

    PPC имеет право публиковать имена операторов, не выполняющих их правовые акты об устранении нарушений.

    Физические лица могут обратиться в суд с требованием о возмещении ущерба, связанного с потерей конфиденциальности, что может повлечь самые большие финансовые последствия для компании.

    В Японии также действует отдельный закон о специальных мерах в отношении гражданских судебных разбирательств для коллективного возмещения ущерба, нанесенного имуществу потребителей. Он позволяет пострадавшим подавать коллективные иски. Претензии, разрешенные в соответствии с этим законом, ограничиваются ущербом имуществу и не распространяются на компенсацию ущерба, вызванного нарушением APPI.

    Надзорный орган

    Комиссия по защите личной информации (PPC, Комиссия) – независимое агентство, которому поручено защищать права и интересы отдельных лиц в отношении конфиденциальности данных. Поощряет надлежащее и эффективное использование персональных данных.

    Полномочия Комиссии:

    • определение базовой политики в отношении защиты личной информации;
    • мониторинг и надзор за обработкой информации;
    • предоставление рекомендаций, сбор отчетов/проведение проверок в предприятиях и государственных органах, обрабатывающих личную информацию;
    • делопроизводство, связанное с уполномоченными организациями по защите персональных данных;
    • консультации;
    • рассмотрение обращений;
    • международное сотрудничество;
    • правовое просвещение и другое.

    Организации обязаны незамедлительно информировать как PPC, так и субъектов данных о возникновении и/или потенциальном возникновении любой утечки данных, потери, повреждения или другой аналогичной ситуации, которая представляет «высокий» риск для прав и интересов субъектов данных.

    Уведомление, направляемое в PPC, должно содержать:

    • обзор нарушения;
    • права, на которые повлияло или может повлиять нарушение;
    • количество субъектов данных, затронутых или потенциально затронутых нарушением;
    • причины нарушения;
    • наличие и характер вторичного ущерба или его риски;
    • статус и характер сообщений затрагиваемым субъектам данных;
    • было ли обнародовано нарушение и каким образом;
    • меры принятые для предотвращения повторения;
    • любые дополнительные вопросы, которые могут служить полезным справочным материалом.

    PPC имеет право требовать отчеты и издавать административные распоряжения, в том числе для предприятий, расположенных за пределами Японии. Кроме того, имеется возможность предоставлять соответствующую информацию иностранным правоохранительным органам по защите данных для эффективного обеспечения соблюдения APPI за пределами Японии.

    Урегулирование споров

    Согласно APPI уполномоченные PPC лица рассматривают жалобы на неправомерную обработку личной информации операторами. По состоянию на 2021 год такой статус уполномоченных PPC имели менее 50 лиц.

    Когда физическое лицо обращается уполномоченному с просьбой разрешить жалобу, он незамедлительно информирует оператора и дает необходимые рекомендации разобраться в обстоятельствах инцидента. При необходимости уполномоченный может запросить у оператора в письменной или устной форме объяснения и материалы по предмету обращения. Оператор не имеет права отклонить такой запрос без уважительной причины.

    Обзор отражает авторский взгляд ведущего специалиста по юридическому
    сопровождению А.В. Сидоровой на законодательство Японии

     

    Центр использует файлы cookies с целью управления веб-сайтом и совершенствования своей работы по оказанию правовой помощи гражданам. Вы можете разрешить использование всех файлов cookies или только некоторых из них.