Komentarz do japońskiej ustawy o ochronie danych osobowych - ebook
Wydawnictwo:
Data wydania:
Maj 2020
Format ebooka:
EPUB
Format
EPUB
czytaj
na czytniku
czytaj
na tablecie
czytaj
na smartfonie
Jeden z najpopularniejszych formatów e-booków na świecie.
Niezwykle wygodny i przyjazny czytelnikom - w przeciwieństwie do formatu
PDF umożliwia skalowanie czcionki, dzięki czemu możliwe jest dopasowanie
jej wielkości do kroju i rozmiarów ekranu. Więcej informacji znajdziesz
w dziale Pomoc.
czytaj
na tablecie
Aby odczytywać e-booki na swoim tablecie musisz zainstalować specjalną
aplikację. W zależności od formatu e-booka oraz systemu operacyjnego,
który jest zainstalowany na Twoim urządzeniu może to być np. Bluefire
dla EPUBa lub aplikacja Kindle dla formatu MOBI.
Informacje na temat zabezpieczenia e-booka znajdziesz na karcie produktu
w "Szczegółach na temat e-booka". Więcej informacji znajdziesz w dziale
Pomoc.
czytaj
na czytniku
Czytanie na e-czytniku z ekranem e-ink jest bardzo wygodne i nie męczy
wzroku. Pliki przystosowane do odczytywania na czytnikach to przede
wszystkim EPUB (ten format możesz odczytać m.in. na czytnikach
PocketBook) i MOBI (ten fromat możesz odczytać m.in. na czytnikach Kindle).
Informacje na temat zabezpieczenia e-booka znajdziesz na karcie produktu
w "Szczegółach na temat e-booka". Więcej informacji znajdziesz w dziale
Pomoc.
czytaj
na smartfonie
Aby odczytywać e-booki na swoim smartfonie musisz zainstalować specjalną
aplikację. W zależności od formatu e-booka oraz systemu operacyjnego,
który jest zainstalowany na Twoim urządzeniu może to być np. iBooks dla
EPUBa lub aplikacja Kindle dla formatu MOBI.
Informacje na temat zabezpieczenia e-booka znajdziesz na karcie produktu
w "Szczegółach na temat e-booka". Więcej informacji znajdziesz w dziale
Pomoc.
Czytaj fragment
Pobierz fragment
Pobierz fragment w jednym z dostępnych formatów
Produkt niedostępny.
Może zainteresuje Cię
![]()
Komentarz do japońskiej ustawy o ochronie danych osobowych - ebook
Publikacja odnosi się do japońskiej ustawy o ochronie danych osobowych dedykowanej przedsiębiorcom prowadzącym działalność gospodarczą na terytorium Kraju Kwitnącej Wiśni. Publikacja przybliża czytelnikowi japoński system ochrony danych osobowych nierzadko dokonując porównań do rozwiązań europejskich, w tym polskich.
| Kategoria: | Poradniki |
| Zabezpieczenie: |
Watermark
|
| ISBN: | 978-83-8221-050-7 |
| Rozmiar pliku: | 1,1 MB |
FRAGMENT KSIĄŻKI
Wykaz skrótów
AOODO — Akredytowana organizacja ochrony danych osobowych (podmiot, który uzyskał akredytację w rozumieniu Ustawy)
BADO — Biznesowy Administrator Danych Osobowych (zamiennie będzie używane pojęcie „administrator”)
Decyzja wykonawcza — Decyzja wykonawcza Komisji (UE) 2019/419 z dnia 23 stycznia 2019 r. na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, stwierdzająca odpowiedni stopień ochrony danych osobowych przez Japonię na mocy ustawy o ochronie informacji osobowych (Dz. U. UE, 19.3.2019, L 76)
Komisarz — członek Komisji
Komisja — Komisja Ochrony Danych Osobowych (japoński organ nadzorczy)
Kp — ustawa z dnia 26 czerwca 1974 r. Kodeks pracy (t.j. Dz. U. z 2019 r. poz. 1040 ze zm.)
Podmiot objęty opieką — BADO zrzeszony pod daną AOODO
Przewodniczący — Przewodniczący Komisji
RM — japońska Rada Ministrów
Rozporządzenie — Amendment to the Cabinet Order to Enforce the Act on the Protection of Personal Information
RODO — Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
Sekretariat — sekretariat Komisji (urząd Komisji)
UE — Unia Europejska
ODOU — (polska) ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000 ze zm.)
SN — (japoński) Sąd Najwyższy
Ustawa — japońska ustawa o ochronie danych osobowych
UODO — (polski) Urząd Ochrony Danych Osobowych
UOIN — (polska) ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (t.j. Dz. U. z 2019 r. poz. 742)
Wytyczne — Wytyczne ustanawiane przez AOODO
Zasady wykonawcze — Enforcement Rules for the Act on the Protection of Personal Information, December 2016 (jest to akt prawny wydany przez Komisję)Słowo wstępne
Pomimo tego, że Kraj Kwitnącej Wiśni nie znajduje się na terenie Unii Europejskiej, to kwestia danych osobowych i ich ochrony jest w nim tak samo znana, jak bezwzględnie wymagana.
Dlaczego spośród wszystkich państw na Świecie niniejsza publikacja poświęcona będzie zagadnieniom danych osobowych w wydaniu japońskim?
Złożyło się na to kilka czynników.
Część z nich opiera się o prywatną fascynację autora tym krajem, jego historią, kulturą oraz zmianami społecznymi, które w tym kraju nastąpiły zwłaszcza po II wojnie światowej.
Pozostałe czynniki to następstwa doświadczeń, które autor nabył w ramach współpracy handlowej z przedstawicielami japońskich firm w Polsce, jak również z firmami japońskimi w Japonii.
Tematyka ochrony danych osobowych w państwach Dalekiego Wschodu nie stała się, do tej pory, przedmiotem szczególnego zainteresowania, a przynajmniej nie ze strony polskich autorów.
Moją nieśmiałą ambicją jest to, aby spróbować to zmienić.
Komentowana ustawa jest jednym z kilku aktów normatywnych poświęconych ochronie danych osobowych, które funkcjonują w Japonii. Osobne uregulowania dotyczą chociażby ochrony danych osobowych przez japońskie organy administracji publicznej.
Ta tematyka zostanie omówiona w kolejnym opracowaniu.
Niniejszy komentarz dotyczy przepisów ustawy pod nazwą „Act on the Protection of Personal Information” (i odnosi się do przetwarzania danych osobowych przez przedsiębiorców w związku z prowadzoną przez nich działalnością gospodarczą).
Publikacja nie aspiruje do miana publikacji naukowej, czy też stanowiącej jakikolwiek punkt odniesienia w zakresie interpretowania pojęć funkcjonujących w świecie danych osobowych (zwłaszcza na polu europejskim).
Jej celem jest, przede wszystkim, przybliżenie czytelnikowi zasad japońskiego systemu ochrony danych osobowych oraz, o ile się uda, wskazanie uderzających podobieństw, czy też zauważalnych różnic pomiędzy rozwiązaniami japońskimi, a europejskimi czy polskimi.
Pobocznym celem jest, jak wspomniano, chęć rozszerzenia publicznej dyskusji na temat obowiązujących modeli ochrony danych osobowych nie tylko w Europie, ale także w tak odległych od nas zakątkach jak państwa Dalekiego Wschodu.
Mam nadzieję, że oba te cele uda się zrealizować.
Zbędnie nie przedłużając życzę miłej lektury.
Tomasz ŁodzianaJapoński akt prawny o ochronie danych osobowych
Tak jak wspomniano we wstępie, japońska ustawa o ochronie danych osobowych, będąca przedmiotem niniejszego komentarza, odnosi się do administratorów danych osobowych, którzy są przedsiębiorcami. Nie oznacza to, że w jej treści nie zostały zawarte inne przepisy, w tym dotyczące japońskiego organu nadzorczego (Komisja), czy rozdzielenia ról odnoszących się do sprawowania pieczy nad przetwarzaniem danych osobowych w Japonii.
Przepisy w niej zawarte stanowią kompleksowe uregulowanie problematyki danych osobowych „w biznesie” i wraz z przepisami wykonawczymi oraz szeregiem wytycznych Komisji (tak o charakterze ogólnym, jak i indywidualnym) są drogowskazem dla każdego przedsiębiorcy, który prowadzi swoją działalność w Japonii.
Ustawa składa się z 88 artykułów zgromadzonych w siedmiu rozdziałach.
Struktura Ustawy przedstawia się następująco:
Rozdział I Przepisy ogólne (art. 1—3)
Rozdział II Obowiązki władz krajowych i lokalnych (art. 4—6)
Rozdział III Środki ochrony danych osobowych (art. 7—14)
Rozdział IV Obowiązki przedsiębiorców przetwarzających dane osobowe (art. 15—58)
Rozdział V Komisja ochrony danych osobowych (art. 59—74)
Rozdział VI Przepisy różne (art. 75—81)
Rozdział VII Przepisy karne (art. 82—88).
Opisane powyżej jednostki redakcyjne, a konkretnie Rozdział III i Rozdział IV dodatkowo podzielone są na sekcje.
Omówienie zawartości poszczególnych części Ustawy nastąpi z zachowaniem jej oryginalnej struktury i zmaterializuje się w poniższych rozdziałach odpowiadających oryginałowi nazwą.
Zastrzeżenie, jakie należy poczynić już na wstępie jest takie, że treść komentarza będzie miała dosyć niespotykaną (jak na tego typu opracowanie) formę. Treść normatywna bowiem zostanie przywołana w wersji angielskojęzycznej, którą Komisja udostępniła na swojej stronie internetowej.
Pamiętać przy tym należy, że referencyjną wersją przepisów każdego prawa krajowego jest wersja sporządzona w obowiązującym w nim języku urzędowym (a do tego promulgowana w oficjalnym publikatorze).
Zastrzeżenie, jakie należy poczynić już na wstępie jest takie, że treść komentarza będzie miała dosyć niespotykaną (jak na tego typu opracowanie) formę. Treść normatywna bowiem zostanie przywołana w wersji angielskojęzycznej, którą Komisja udostępniła na swojej stronie internetowej. Pamiętać przy tym należy, że referencyjną wersją przepisów każdego prawa krajowego jest wersja sporządzona w obowiązującym w nim języku urzędowym (a do tego promulgowana w oficjalnym publikatorze).
Skomentowanie tych przepisów nastąpi natomiast w języku polskim.
Przyjęta konstrukcja, choć może dziwić, jest oparta o racjonale podstawy. Mając bowiem na uwadze to, że dodatkowe ich tłumaczenie mogłoby spotęgować potencjalne niejasności postanowiono pozostawić czytelnikowi swobodę w dokonaniu własnego tłumaczenia (i własnej interpretacji), która może, ale przecież nie musi być zgodna z uwagami poczynionymi przez autora.
Stan taki, jak sądzę, przyczyni się do zrealizowania pobocznego celu komentarza, o którym była mowa we wstępie.W tym miejscu należy wskazać, że anglojęzyczne tłumaczenie Ustawy na oficjalnej stronie japońskiego regulatora nie jest do końca „fortunne”. Regulator, pomimo prezentowania przetłumaczonego tekstu na oficjalnej witrynie sam zaznacza, że tłumaczenie to może być niedokładne. W otwartych źródłach spotkać można inne tłumaczenia (tak lepsze, jak i gorsze). Mając na uwadze to, że mimo wszystko japoński organ nadzorczy „posłużył się” wspomnianym tłumaczeniem uznano, że to ono powinno być przywołane w niniejszym komentarzu.Rozdział I Przepisy ogólne
Article 1 This Act aims to protect the rights and interests of individuals while ensuring due consideration that proper and effective use of personal information contributes to the creation of new industries and the realization of a vibrant economic society and an enriched quality of life for the people of Japan among other useful applications; by setting forth basic principles for the proper handling of personal information, creating government’s basic policy with regard to this, and establishing other particulars to serve as a basis for measures to protect personal information, as well as by clarifying the responsibilities, etc. of the national and local governments and establishing the obligations, etc. that business operators handling personal information are required to fulfill, in light of the significantly expanded uses to which personal information is being put as our advanced information- and communicationbased society evolves.
Ten przepis ma charakter ogólny i wskazuje cel obowiązywania Ustawy (ratio legis ustawy).
Jest nim, co oczywiste, ochrona praw i interesów osób, których dane dotyczą.
W japońskim systemie prawnym dane osobowe (a w zasadze wiążące się z nim prawo do prywatności” stanowi dobro objęte ochroną konstytucyjną. Zadanie to jest osadzone w kontekście „prorozwojowym” co oznacza, że ochrona wspomnianych wartości musi uwzględniać utylitaryzm danych osobowych. Ustawa wprost odwołuje się do aspektów związanych z rozwojem gospodarczym, społecznym i ekonomicznym, aczkolwiek ograniczonym jedynie do „dobrostanu” obywateli Japonii, czy nawet węziej, do Japończyków.
Zgodnie z art. 1 Ustawa (chociaż adresowana jest do administratorów danych osobowych o charakterze biznesowym) reguluje również status określonych organów władzy publicznej ma zastosowanie zarówno wobec organów władzy publicznej (w tym do organów administracji rządowej, jak i samorządowej).
Określając brzmienie tego przepisu Ustawodawca postanowił również zwrócić uwagę na aspekty związane z rozwojem społeczeństwa informacyjnego, a także podkreślił rolę danych osobowych w procesach związanych z komunikacją międzyludzką, co odnosi się głównie do komunikacji za pomocą nowych technologii.
Article 2
(1) „Personal information” in this Act means that information relating to a living individual which falls under any of each following item:
(i) those containing a name, date of birth, or other descriptions etc. (meaning any and all matters (excluding an individual identification code) stated, recorded or otherwise expressed using voice, movement or other methods in a document, drawing or electromagnetic record (meaning a record kept in an electromagnetic form (meaning an electronic, magnetic or other forms that cannot be recognized through the human senses; the same shall apply in the succeeding paragraph, item (ii)); the same shall apply in Article 18, paragraph (2)); hereinafter the same) whereby a specific individual can be identified (including those which can be readily collated with other information and thereby identify a specific individual)
(ii) those containing an individual identification code
(2) An “individual identification code” in this Act means those prescribed by cabinet order which are any character, letter, number, symbol or other codes falling under any of each following item.
(i) those able to identify a specific individual that are a character, letter, number, symbol or other codes into which a bodily partial feature of the specific individual has been converted in order to be provided for use by computers
(ii) those character, letter, number, symbol or other codes which are assigned in regard to the use of services provided to an individual or to the purchase of goods sold to an individual, or which are stated or electromagnetically recorded in a card or other document issued to an individual so as to be able to identify a specific user or purchaser, or recipient of issuance by having made the said codes differently assigned or, stated or recoded for the said user or purchaser, or recipient of issuance
(3) “Special care-required personal information” in this Act means personal information comprising a principal’s race, creed, social status, medical history, criminal record, fact of having suffered damage by a crime, or other descriptions etc. prescribed by cabinet order as those of which the handling requires special care so as not to cause unfair discrimination, prejudice or other disadvantages to the principal.
(4) A “personal information database etc.” in this Act means those set forth in the following which are a collective body of information comprising personal information (excluding those prescribed by cabinet order as having little possibility of harming an individual’s rights and interests considering their utilization method).
(i) those systematically organized so as to be able to search for particular personal information using a computer;
(ii) besides those set forth in the preceding item, those prescribed by cabinet order as having been systematically organized so as to be able to easily search for particular personal information.
(5) A „personal information handling business operator” in this Act means a person providing a personal information database etc. for use in business; however, excluding a person set forth in the following;
(i) a central government organization;
(ii) a local government;
(iii) an incorporated administrative agency etc. (meaning an independent administrative agency etc. prescribed in Article 2, paragraph (1) of the Act on the Protection of Personal Information Held by Incorporated Administrative Agencies (Act No. 59 of 2003); hereinafter the same);
(iv) a local incorporated administrative agency (meaning a local incorporated administrative agency prescribed in Article 2, paragraph (1) of the Local Incorporated Administrative Agencies Act (Act No. 118 of 2003); hereinafter the same);
(6) “Personal data” in this Act means personal information constituting a personal information database etc.
(7) “Retained personal data” in this Act means personal data which a personal information handling business operator has the authority to disclose, correct, add or delete the contents of, cease the utilization of, erase, and cease the third-party provision of, and which shall be neither those prescribed by cabinet order as likely to harm the public or other interests if their presence or absence is made known nor those set to be deleted within a period of no longer than one year that is prescribed by cabinet order.
(8) A “principal” in relation to personal information in this Act means a specific individual identifiable by personal information.
(9) “Anonymously processed information” in this Act means information relating to an individual that can be produced from processing personal information so as neither to be able to identify a specific individual by taking action prescribed in each following item in accordance with the devisions of personal information set forth in each said item nor to be able to restore the personal information.
(i) personal information falling under paragraph (1), idem (i);
Deleting a part of descriptions etc. contained in the said personal information (including replacing the said part of descriptions etc. with other descriptions etc. using a method with no regularity that can restore the said part of descriptions etc.)
(ii) personal information falling under paragraph (1), item (ii);
Deleting all individual identification codes contained in the said personal information (including replacing the said individual identification codes with other descriptions etc. using a method with no regularity that can restore the said personal identification codes)
(10) An “anonymously processed information handling business operator” in this Act means a person who provides for use in business a collective body of information comprising anonymously processed information which has been systematically organized so as to be able to search using a computer for specific anonymously processed information or similar others prescribed by cabinet order as systematically organized so as to be able to search easily for specific anonymously processed information (referred to as an “anonymously processed information database etc.” in Article 36, paragraph (1)). However, a person set forth in each item of paragraph (5) is excluded.
Ten przepis zawiera słowniczek używanych w tekście wyrażeń. Poniżej nastąpi prezentacja znaczeń zwrotów definiowanych przez omawianą Ustawę.
Dane osobowe (personal information) w rozumieniu Ustawy to informacje dotyczące życia osoby fizycznej, które obejmują imię i nazwisko, datę urodzenia lub inny opis osoby, utrwalone, nagrane lub wyrażone w jakikolwiek inny sposób, w tym za pomocą głosu, poprzez sposób poruszania się lub za pomocą innych metod utrwalania ich w dokumencie, na rysunku czy nośniku elektromagnetycznym, na podstawie których osoba może zostać zidentyfikowana.
Danymi osobowymi w rozumieniu Ustawy są także dane, których wzajemne zestawienie może prowadzić do zidentyfikowania osoby.
Dane osobowe są zatem informacjami, które mają ten walor, że w oparciu o ich posiadanie konkretna osoba może zostać zidentyfikowana (czyli możliwe będzie potwierdzenie, że dana osoba to „ta osoba”).
Ustawa odnosi się m.in. do kwestii „głosu” osoby lub „sposobu poruszania się”. Niewątpliwie tego typu dane mogą służyć identyfikacji. Identyfikacja, w oparciu o takie parametry, może mieć przy tym charakter grupowy (np. na podstawie głosu można wskazać, że dana osoba należy do grupy osób mówiących basem, barytonem, sopranem, itp.), ale także określić ją co do tożsamości. Taka sytuacja będzie miała miejsce wówczas, kiedy — kontekstowo — głos danej osoby będzie odznaczał się cechami ją indywidualizującymi w taki sposób, że możliwe będzie wykluczyć to, że może chodzić o inną osobę (przykładowo, osoba będzie posiadała wyjątkowo rzadką deformację jakiejś części aparatu mowy powodującą charakterystyczne — dla niej — dźwięki towarzyszące artykułowaniu np. samogłosek). Podobnie sytuacja ma się w relacji do sposobu poruszania się. Przecież określone osoby mogą cierpieć na dane schorzenia, czy też należeć do określonej kultury, której reguły wymagałyby określonego sposobu np. chodu. Warto mieć na uwadze, że ichnogram stanowi ten rodzaj informacji, na podstawie której nawet w toku postępowania karnego możliwe jest zidentyfikowanie sprawcy (co ma zastosowanie chociażby w ramach czynności okazania osoby w celu rozpoznania na podstawie tzw. „cech dynamicznych” czy też „cech motorycznych”).
Porównując te kategorie danych osobowych do regulacji wskazanych w art. 4 ust. 1 RODO wskazać należy, że ich europejskim „odpowiednikiem” są czynniki fizyczne i fizjologiczne (i fizjonomiczne) określające tożsamość danej osoby.
Danymi osobowymi są również indywidualne kody identyfikacyjne.
Indywidualny kod identyfikacyjny to każda forma oznaczenia konkretnej osoby wskazana w Rozporządzeniu, na podstawie której dana osoba może zostać zidentyfikowana. W poczet indywidualnych kodów identyfikacyjnych Ustawa włącza m.in. znaki, litery, cyfry, symbole lub inne kody takie jak:
a) znaki, litery, cyfry, symbole lub inne kody odnoszące się do części ciała osoby, której dane dotyczą, które mogą być przetworzona w celu przetwarzania jej za pomocą komputera
b) te symbole, litery, cyfry, oznaczenia czy inne kody, które zostały nadane (przypisane) danej osobie w celach dokonywanych przez nią zakupów towarów lub usług, jak również te, które są określone lub zapisane na elektromagnetycznych nośnikach danych (np. karcie) lub innym dokumencie wydanym osobie, na podstawie którego osoba ta może być zidentyfikowana jako użytkownik, nabywca lub odbiorca (w domyśle towarów lub usługi).
Rozwinięcie omawianego pojęcia nastąpiło w art. 1 Rozporządzenia.
W tym akcie prawnym wskazano, że za indywidualne kody identyfikacyjne należy uznać:
a) te znaki, litery, numery, symbole lub inne kody wytworzone w wyniku przekształcenia cech cielesnych człowieka w sposób pozwalający na ich przetwarzanie w systemach komputerowych (teleinformatycznych), a które to informacje pozwoliłyby na identyfikację osoby. Do wspomnianych cielesnych człowieka Rozporządzenie zalicza:
— kod DNA;
— wygląd twarzy uwarunkowany strukturą kostną czaszki i kolorem skóry, położeniem i kształtem oczu, nosa ust lub innych elementów twarzy;
— liniowy wzór tęczówki;
— drgania strun głosowych, ruch zamykający głośni, kształt (barwa głosu) i zmiany głosu podczas jego wypowiadania;
— postawa ciała, ruchy obu ramion, wielkość kroku, jak również inne właściwości ciała człowieka towarzyszące zjawisku jego chodu;
— kształt żył na zewnętrznej i wewnętrznej stronie dłoni i palców;
— odciski (i odbitki) palców i dłoni;
b) numer paszportu;
c) numery emerytalno/rentowe (czyli numery, pod którymi występują osoby otrzymujące tego typu świadczenia);
d) numer prawa jazdy;
e) kod rejestru mieszkańców (kod podstawowego miejsca zamieszkania);
f) znaki, litery, numery, symbole lub inne kody, które zostały wydane jako „imienne”, w tym dokumentacja ubezpieczeń społecznych (Rozporządzenie szczegółowo wskazuje na kategorie tych dokumentów);
g) wszelkie inne znaki, litery, numery, symbole lub inne kody określone przez Komisję jako odpowiedniki tych, które wymieniono powyżej.
W kontekście powyższego warto przywołać znanego piosenkarza, który posługiwał się scenicznym pseudonimem „Prince”. Po jakimś czasie pseudonim ten został przez niego zamieniony na graficzny symbol, pod którym był nadal rozpoznawany jako piosenkarz Prince Rogers Nelson. Oznaczenie graficzne, którym się posługiwał, wypełniało jednoznacznie definicję danych osobowych, w tym w rozumieniu przepisów japońskich.
Odnosząc się do określonych oznaczeń związanych z osobą fizyczną traktowaną jako konsument wskazać należy, że danymi osobowymi będą — w rozumieniu przepisów Ustawy — wszelkie „formy danych” pozwalające na identyfikację tej osoby jako np. uczestnika programu lojalnościowego japońskiej sieci sklepów, czy stacji benzynowych. Utrwalona (np. na karcie lojalnościowej) informacja będzie identyfikowała daną osobę w chwili użycia tej karty (której autoryzacja poprzez wprowadzenie np. numeru PIN pozwoli na przyjęcie z najwyższą dozą uprawdopodobnienia, że osoba posługująca się kartą jest tym konkretnym konsumentem, którego dane osobowe przetwarza określony przedsiębiorca).
Dane osobowe wymagające szczególnego traktowania w japońskim rozumieniu to dane wymagające specjalnego przetwarzania, co jest spowodowane tym, że mogą one stanowić podstawę do niedopuszczalnej dyskryminacji osoby fizycznej, nabierania do niej uprzedzeń, lub innych niekorzystnych dla tej osoby dolegliwości spowodowanych jej rasą, wyznaniem, statusem społecznym, danymi medycznymi (czyli danymi o stanie zdrowia), danymi o karalności lub posiadania statusu pokrzywdzonego przestępstwem.
Japońskie podejście do danych szczególniej kategorii nie różni się znacząco od standardu europejskiego. Niemniej wymienione w Ustawie kategorie tych danych osobowych jak „status społeczny” pokazuje na subtelne różnice kulturowe. Co ciekawe Ustawa nie wymienia wprost (chociaż trzeba mieć na uwadze to, że przywołane wylistowanie ma charakter przykładowy) danych dotyczących orientacji seksualnej. Może to wskazywać na to, że w Japonii problematyka seksualności danej osoby (a szczególnie te jej formy, które nie stanowią „wzorca biologicznego”) nie są na tyle istotnym zagadnieniem społecznym, że nie musiały być zaakcentowane w przepisach o ochronie danych osobowych.
Rodzaje tej kategorii danych osobowych zostały wymienione w art. 2 Rozporządzenia. Zgodnie z tym przepisem dane osobowe wymagające szczególnego traktowania to:
a) informacje potwierdzające niepełnosprawność (fizyczną, intelektualną, umysłową, rozwojową) lub inne niepełnosprawności o powyższym charakterze, które określi Komisja;
b) wyniki badań medycznych (okresowych) lub innych badań, w tym o charakterze profilaktycznym przeprowadzane przez lekarza lub inną osobę związaną ze sferą medyczną (a więc m.in. technik stomatologiczny, pielęgniarka, itp.);
c) informacje o tym, że określone zalecenia zostały dane osobie wskazane w wyniku przeprowadzonych badań medycznych lub z powodu istniejących urazów lub innych zmian fizycznych i psychicznych;
d) informacje o tym, że określona osoba jest podejrzanym w sprawie karnej;
e) informacje o tym, że czynności procesowe, obserwacja, ochrona, przesłuchanie lub zastosowanie określonego środka zostało zastosowane przeciwko nieletniemu w związku z prowadzoną przeciwko niemu sprawą o charakterze karnym (stosownie do japońskich przepisów o postępowaniu w sprawach nieletnich).
To, co nasuwa się na myśl po analizie japońskich danych osobowych „szczególnej kategorii” i tych danych w rozumieniu RODO to uwaga, że katalogi te nie pokrywają się.
W art. 9 RODO próżno bowiem szukać takich danych szczególnej kategorii jak dane o karalności (to reguluje art. 10 RODO), natomiast wśród tych danych w ujęciu japońskich nie znajdują się (poza wspomnianymi wcześniej danymi związanymi z seksualnością człowieka) takich informacji jak dane ujawniające pochodzenie rasowe, etniczne, poglądy polityczne, przekonania religijne a nawet dane biometryczne czy genetyczne.
Różnice te mają zdecydowanie uwarunkowania kulturowe, ze wskazaniem na „wygranego” — w starciu na liberalizm — po stronie japońskiej. Pomimo hermetycznego (przez wieki) charakteru państwa oraz jego jednolitości rasowej dane, które w Europie uchodzą za „wrażliwe”, w Japonii stanowią dane osobowe w wersji „podstawowej”. Wskazuje to, jak należy rozumieć, na daleko bardziej idącą otwartość społeczną Japończyków na coś, co można byłoby określić „odstępstwem od kulturowego i etnicznego wzorca”, jak również na ich otwartość i brak „strachu” przed powszechną informatyzacją.
Zbiór danych osobowych to dane osobowe zgromadzone w bazie danych. Podkreślić należy, że zbiorem danych, w rozumieniu Ustawy, nie będzie taka baza informacji o osobach, w stosunku do których — z uwagi na sposób ich przetwarzania — ryzyko naruszenia praw i interesów tych osób będzie niewielkie.
Za dane osobowe, których przetwarzanie w bazie danych powoduje, że baza ta nie będzie uznawana za zbiór danych osobowych uznaje się:
a) dane, które zostały przekazane administratorowi w celu ich sprzedaży nieokreślonej liczbie osób, a których pozyskanie nie nastąpiło z naruszeniem przepisów prawa;
b) te dane, które mogą lub mogły być nabyte (zakupione) przez nieokreśloną liczbę osób;
c) dane, które są dostarczane (a więc następuje to w ramach procesu ciągłego, procesu w toku) zgodnie z ich pierwotnie określonym celem przetwarzania pod warunkiem, że dane te nie będą uzupełniane innymi danymi osobowymi dotyczącymi konkretnej osoby.
To, co bazę danych czyni zbiorem danych osobowych, poza kwestią tego, jakiego charakteru dane są w niej przetwarzane, to kwestia funkcjonalności, jakimi baza danych się odznacza. Ustawa wymaga, aby tego typu baza spełniała dwa atrybuty:
a) możliwości wyszukiwania danych (czyli istnienia określonej funkcji);
b) szybkości wyszukiwania danych.
W odniesieniu do atrybutu możliwości wyszukiwania określonej informacji podkreśla się, że baza danych powinna posiadać wewnętrzną strukturę zawierającą na przykład:
a) spis treści;
b) indeks;
c) inny podobny instrument,
ułatwiający wyszukiwanie danych osobowych, systemowo zorganizowanych i uporządkowanych.
Ma to wpływać na możliwość wyszukania żądanej informacji, oczywiście przy zastosowaniu odpowiedniego „klucza” czy reguły wyszukiwania (np. możliwość ustawienia parametrów wyszukiwania informacji).
Niezbędnym aspektem wpływającym na ukonstytuowanie się bazy danych jako Zbioru danych osobowych jest również łatwość jej obsługi.
Biznesowy administrator danych osobowych (BADO) to odpowiednik znanego z przepisów unijnych administratora danych osobowych z tym zastrzeżeniem, że przepisy komentowanego aktu prawnego (w tym zakresie) regulują aspekty związane z przetwarzaniem danych przez administratorów posiadających status przedsiębiorców (zarówno korporacyjnych, jak i niekorporacyjnych). Oznacza to, że pod omawianym pojęciem będzie się krył wyłącznie podmiot gospodarczy, który prowadzi działalność gospodarczą. Dodatkowym dookreśleniem administratora w japońskim rozumieniu jest to, że będzie nim taki podmiot, który będzie przetwarzał dane osobowe zgromadzone w zbiorze (zbiorze danych osobowych).
Ustawa expresis verbis wyłącza spod swojego reżimu organy władzy centralnej (rządowej), samorządy, inkorporowane agencje administracyjne (o charakterze rządowym oraz samorządowym).
Nie oznacza to, że powyżej wskazane kategorie podmiotów nie są, w rozumieniu japońskich przepisów, uznane za administratorów danych osobowych. Przeciwnie, w stosunku to tych kategorii administratorów japońskie ustawodawstwo stworzyło osobne przepisy rangi ustawowej.
Na uwagę zasługuje także to, że o ile w przypadku art. 4 pkt 7 RODO administratorem są podmioty wymienione w tym przepisie które samodzielnie lub wspólnie z innymi administratorami (tzw. współadministrowanie) określa cele i sposoby przetwarzania tych danych osobowych, to przepisy japońskie nie akcentują tego elementu. Przyjąć zatem można, że podejście takie oznacza, że cele przetwarzania danych osobowych nie mogą być „określane” w tym sensie, że nie mogą odbiegać od typowego przeznaczenia danych osobowych przetwarzanych w danym kontekście, w danym zakresie i przez administratora o określonym profilu prowadzonej działalności gospodarczej, a rolą administratora jest ich wskazanie (co dla ułatwienia zrozumienia niniejszego komentarza — z powyższym zastrzeżeniem — będzie nazywane jako „określanie”).
Podsumowując, za administratora w rozumieniu Ustawy nie będzie można uznać podmiotu, który nawet przetwarzałby dane osobowe, ale nie w zbiorze danych osobowych (w tym zbiorze zanonimizowanych danych osobowych).
Dane personalne (personal data) — to pojęcie odnosi się do danych osobowych tworzących zbiór danych osobowych (przetwarzanych w Zbiorze danych osobowych).
Retencyjne dane osobowe (retained personal data, zatrzymane dane osobowe) — dane osobowe przetwarzane przez BADO posiadającego prawo do ich: ujawniania, korekty, dodawania, usuwania, zaprzestania przetwarzania, usuwania, zaprzestania przekazywania stronie trzeciej, za wyjątkiem tych, które:
a) na mocy Rozporządzenia zostałyby uznane za dane zagrażające interesowi publicznemu lub innemu interesowi,
b) danych, co do których istnieje prawny obowiązek usunięcia z upływem określonego czasu od ich pozyskania.
Jeżeli chodzi o pierwszą z wymienionych kategorii danych osobowych, to zalicza się do nich dane, których ujawnienie (lub ich nieujawnienie):
— spowodowałoby szkodę w interesie osoby, które by dotyczyły lub w interesie osoby trzeciej;
— mogłoby zachęcić określone osoby do podjęcia działań niezgodnych z prawem lub działań niesprawiedliwych;
— zagroziłoby bezpieczeństwu narodowemu, zniszczyłoby relacje z obcym państwem (nadużyłoby zaufanie tego państwa wobec Japonii), lub spowodowałoby, że Japonia znalazłaby się w niekorzystnej sytuacji negocjacyjnej z takim państwem lub organizacją międzynarodową;
— utrudniłoby utrzymanie bezpieczeństwa i porządku publicznego (m.in. zapobieganie i zwalczanie przestępczości).
Analiza przywołanych kategorii informacji nasuwa słuszne skojarzenia z przepisami zawartymi w UOIN, która określa kategorie informacji niejawnych (ściśle tajnych, tajnych, poufnych, zastrzeżonych), których nieuprawnione ujawnienie mogłoby spowodować (w zależności od klauzuli tajności) analogiczne skutki do tych, które zostały opisane powyżej.
W kontekście wspomnianej cezury czasowej, to Rozporządzenie w art. 5 wskazało na kategorie danych, które nie mogą być z tej przyczyny uznane za „zatrzymane”. Danymi takimi nie mogą być dane osobowe, których możliwość przetwarzania wynosi maksymalnie 6 miesięcy od ich pozyskania. Rozporządzenie nie wymienia kategorii tego typu danych pozostawiając to innym regulacjom ustawowym. Nie jest to zabieg, który byłby nieznany w Polsce. Przepis, który wskazuje na maksymalny okres przetwarzania danych osobowych zawarty jest chociażby w art. art. 22² §3 Kp, zgodnie z którym górna granica czasowa przetwarzania danych osobowych utrwalonych za pośrednictwem monitoringu wizyjnego nie może przekraczać 3 miesięcy.
Osoba, której dane dotyczą w japońskich przepisach określona jest jako „principal”. Jest to ta osoba, która na podstawie danych jej dotyczących (danych osobowych) jest identyfikowalna. Pod pojęciem „identyfikowalna” należy rozumieć zarówno osobę zidentyfikowaną, jak i możliwą do zidentyfikowania.
Zanonimizowane dane osobowe stanowią swoisty odpowiednik pseudonimizacji w rozumieniu art. 4 ust. 5 RODO. W rozumieniu japońskim, zanonimizowane dane osobowe to te informacje o osobie, które można uzyskać z przetwarzania danych osobowych w taki sposób, aby na ich podstawie osoba fizyczna nie mogła być zidentyfikowana. Zapewnienie anonimizacji, jak stanowi Ustawa, może polegać na:
a) usunięciu części opisu dotyczącego osoby fizycznej (w tym poprzez jego zamianę), opisywaniu osoby przy użyciu innych metod (zapewniających anonimowość) przy jednoczesnym braku opierania tego działania o określone parametry, na podstawie których możliwe byłoby przywrócenie możliwości zidentyfikowania osoby (np. poprzez jej indywidualny kod identyfikacyjny);
b) usunięciu wszystkich indywidualnych kodów identyfikacyjnych (w tym zastąpienie ich inną formą opisu) przy jednoczesnym braku wprowadzenia parametrów, na podstawie których możliwość zidentyfikowania osoby mogłaby zostać przywrócona.
Immanentną cechą anonimizacji danych osobowych jest atrybut trwałej niemożliwości przywrócenia stanu pierwotnego, czyli przywróceniu stanu, w którym w oparciu o te dane osoba byłaby identyfikowalna. Brak tego atrybutu powoduje, że dane osobowe nie mogą zostać uznane za poddane anonimizacji.
Biznesowy administrator danych osobowych przetwarzający zanonimizowane dane osobowe to upraszczając, BADO przetwarzający zanonimizowane dane osobowe w zbiorze takich danych, który określany jest jako „zbiór zanonimizowanych danych osobowych”.
Determinantami zbioru zanonimizowanych danych osobowych są:
a) posiadanie spisu treści;
b) posiadanie indeksu;
c)posiadanie innego podobnego instrumentu,
mającego na celu ułatwienie wyszukiwania zanonimizowanych danych osobowych, systemowo zorganizowanych i uporządkowanych, które można łatwo wyszukać.
Article 3 Personal information, considering it should be carefully handled under the vision of respecting the personality of an individual, shall be made subject to proper handling.
Przepis wskazuje na to, że postępowanie z danymi osobowymi musi następować z należytą ostrożnością oraz w oparciu o filozofię poszanowania jednostki. Jest to norma postulatywna o charakterze ogólnym, akcentującym jednak doniosłość konkretnej osoby fizycznej i jej prawa do prywatności.Por. SN w wyroku z dnia 6 marca 2008 r., Minshu, T. 62, nr 3, s. 665, cyt. za Decyzja wykonawcza, s. 2.
Wskazuje na to zwrot „people of Japan”.
Ścieżka chodu.
Co w kontekście japońskiego alfabetu ma niebagatelne znaczenie.
Mowa jest ogólnie o systemach teleinformatycznych.
Pomimo niefortunnego tłumaczenia należy je zachować i doprecyzować, że ta kategoria odnosi się do odległości pomiędzy śladami stóp pozostawianymi na podłożu.
Kontekstowo dopuścić należy, do tej kategorii, także właściwości ciała danej osoby indywidualizujące ją w trakcie wykonywania innych czynności o charakterze motorycznym (np. biegu, skakania, itp.).
Jest to kategoria indywidualnych kodów identyfikacyjnych pozwalających na identyfikowanie obywateli Japonii występujących w postępowaniach administracyjnych).
A więc przypisane do konkretnej osoby.
Stanowią odpowiednik danych szczególnej kategorii w rozumieniu RODO. Dla ułatwienia zrozumienia japońskich przepisów w dalszej części pracy ilekroć będzie mowa o tej kategorii danych, będą one nazywane „danymi szczególnej kategorii” lub „sensytywnymi danymi osobowymi”.
Z uwag i na formułę przepisu przyjmuje się, że katalog tych danych jest, co do istoty, otwarty i ewentualne kwalifikowanie informacji do tej kategorii powinno następować przez pryzmat oceny skutków ich oddziaływania na osobę.
A więc gdy cel był jasno określony.
A więc możliwe do powszechnej dystrybucji.
Por. art. 3 Rozporządzenia.
Japonii.
Identifiable.
W tekście używane będzie to pojęcie, lub pojęcie „administratora” — w zależności od kontekstu.Rozdział II Obowiązki władz krajowych i lokalnych
Article 4 The central government shall have the responsibilities for comprehensively developing and implementing necessary measures to ensure the proper handling of personal information in conformity with the purport of this Act.
Article 5 The local governments shall have the responsibilities for developing and implementing necessary measures to ensure the proper handling of personal information based on the characteristics of their local area in conformity with the purport of this Act.
Article 6 The government shall, considering the nature and utilization method of personal information, take necessary legislative and other action so as to be able to take discreet action for protecting personal information that especially requires ensuring the strict implementation of its proper handling in order to seek enhanced protection of an individual’s rights and interests, and shall take necessary action in collaboration with the governments in other countries to construct an internationally conformable system concerning personal information through fostering cooperation with an international organization and other international framework.
Przepisy zawarte w Rozdziale II Ustawy nakładają na władze krajowe oraz samorządowe określone obowiązki.
Obowiązki te są określone w sposób ogólny i mają charakter generalny wytycznych.
Organom władzy przypisano odpowiedzialność za określanie i wdrażanie środków zapewniających właściwe postępowanie z danymi osobowymi. Przy wypracowywaniu tychże środków powinno się uwzględniać cele niniejszej ustawy. Jak należy przyjąć ogniskuje się to zwłaszcza wokół takiego zorganizowania „warunków przetwarzania” tego rodzaju informacji, które uwzględniałyby wskazane w ust. 1 cele Ustawy.
Na organach samorządowych ciąży natomiast obowiązek określania i wdrażania środków właściwego postępowania z danymi osobowymi, które byłyby adekwatne z punktu widzenia charakterystyki regionalnej, podlegającej pod zarząd określonej władzy samorządowej.
Uwzględnianie specyfiki danych regionów (także w kontekście danych osobowych) jest aspektem, który powinien zostać oceniony pozytywnie. Bez „szkody” dla obowiązujących rozwiązań na szczeblu krajowym dopuszczalne jest przecież występowanie określonych różnic w wymiarze lokalnym. Różnice te mogą być związane czy to ze stopniem zurbanizowania, zinformatyzowania czy odsetkiem osób odznaczających się określonym stopniem wykształcenia. To może natomiast wpływać chociażby na świadomość lokalnych społeczności w odniesieniu do praw, jakie im przysługują w związku z przetwarzaniem danych osobowych. Wydaje się, że w kontekście obowiązków władz lokalnych zwłaszcza aspekt edukacyjno-informacyjny ich działalności powinien być tym, który w sposób szczególny powinien uwzględniać miejscowe „odmienności”.
W art. 6 Ustawy zawarto normę ogólną nakazującą japońskiemu rządowi podejmowanie niezbędnych działań prawodawczych, których celem powinno być stworzenie specjalnych środków ochrony danych osobowych, zwłaszcza w kontekście tych danych osobowych, „szczególnej kategorii”.
Niezależnie od wypracowywania rozwiązań normatywnych organy rządowe powinny podejmować określone inne działania, których cele byłyby zbieżne z tymi, jakie postawiono sferze prawodawczej. Ustawa celowo nie wymienia konkretnych rodzajów aktywności uzależniając ich dobór od zastanych okoliczności faktycznych.
Ponadto Ustawa nałożyła na rząd Japonii obowiązek podjęcia stosownych działań, we współpracy z rządami innych państw, do stworzenia systemu (na poziomie ponadnarodowym), który pozwalałby na międzynarodową współpracę w zakresie ochrony (i przetwarzania) danych osobowych.
W tym miejscu należy podkreślić, że w kontekście relacji Japonii z UE, to UE uznała, że Japonia gwarantuje odpowiedni stopień ochrony danych osobowych. Kwestię tę reguluje Decyzja wykonawcza Komisji (UE) 2019/419 z dnia 23 stycznia 2019 r. na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, stwierdzająca odpowiedni stopień ochrony danych osobowych przez Japonię na mocy ustawy o ochronie informacji osobowych.Rozdział IV Obowiązki podmiotów gospodarczych przetwarzających dane osobowe
Obowiązki biznesowych administratorów danych osobowych przetwarzających dane osobowe
Article 15
(1) A personal information handling business operator shall, in handling personal information, specify the purpose of utilizing the personal information (hereinafter referred to as a “utilization purpose”) as explicitly as possible.
(2) A personal information handling business operator shall, in case of altering a utilization purpose, not do so beyond the scope recognized reasonably relevant to the pre-altered utilization purpose.
W art. 15 ust. 1 Ustawy została ustanowiona tzw. zasada celowości.
Każdy administrator funkcjonujący na terenie Japonii zobowiązany jest to tego, aby w związku z przetwarzaniem tego rodzaju informacji określić (wskazać) cel (bądź cele) ich przetwarzania.
Pod pojęciem „celu przetwarzania” należy rozumieć wskazanie rezultatu związanego z ich przetwarzaniem, który może, ale nie musi być tożsamy z celem wyłącznie osoby, której dane dotyczą.
W kontekście wskazania celu przetwarzania danych osobowych ustawodawstwo japońskie wymaga analogicznych działań, jakie zostały wskazane w art. 5 ust. 1 lit. b RODO. Administratorzy muszą zatem określić wspomniane cele „z najwyższą precyzją”, co jest odpowiednikiem wskazanego w przywołanym przepisie RODO atrybutu „wyraźności” celu.
Taka formuła określania celu przetwarzania ma na celu zapewnienie tego, aby osoba, która zdecyduje się na udostępnienie administratorowi danych osobowych miała świadomość tego, po co te dane osobowe administrator przetwarza (czy będzie przetwarzał).
Cel określony „z najwyższą precyzją” to cel skonkretyzowany (np. realizacja umowy polegającej na cotygodniowym dostarczaniu wody mineralnej do miejsca zamieszkania konsumenta — oczywiście o ile dana umowa tego dotyczy).
Skonkretyzowanie celu jest jednocześnie niczym innym jak wskazaniem na to, że dane osobowe powinny być przetwarzane w sposób przejrzysty, co — podobnie jak w ujęciu wskazanym w art. 5 ust. 1 lit. a RODO — stanowi kanon przetwarzania danych osobowych także w Japonii.
W ust. 2 Ustawa statuuje zasadę względnej niezmienności pierwotnego celu przetwarzania danych osobowych. Zasada ta (stanowiąca odpowiednik rozwiązań zawartych w motywie 50 RODO oraz w art. 6 ust. 4) wskazuje na to, że japoński administrator może przetwarzać posiadane dane osobowe w innym celu, aniżeli cel, dla którego dane te pierwotnie uzyskał pod tym jednak warunkiem, że nowy cel pozostaje w zgodności z celem pierwotnym.
Ani Ustawa, ani Rozporządzenie ani nawet Zasady wykonawcze nie rozwijają tego zagadnienia.
Za właściwe należałoby przyjąć, że na administratorach znajdujących się w obliczu takiej sytuacji ciążyłby obowiązek przeprowadzenia „testu zgodności teleologicznej” (testu paralelności celów).
Takowy test byłby niczym innym jak porównawczym zestawieniem tego, czy cel pierwotny i cel nowo wytyczony są ze sobą powiązane przynajmniej następującymi więzami:
a) legalności (czy podstawa przetwarzania danych osobowych wobec obu celów może być taka sama i czy jest nią podstawa, w oparciu o którą pozyskano dane osobowe)
b) przedmiotowymi (rozumianymi jako tożsamość rezultatu przetwarzania danych osobowych).
c) adekwatności (czy przetwarzane dane osobowe w ramach nowego celu są adekwatne z punktu widzenia możliwości jego osiągnięcia);
d) czasowości (czy określone dane mogą być przetwarzane na tyle długo, aby nowy cel mógł zostać osiągnięty);
e) nienadmiarowości (czy przetwarzane dane w ramach nowego celu nie są nadmiarowe z punktu widzenia jego osiągania);
f) innych, adekwatnych do zastanego kontekstu.
Article 16
(1) A personal information handling business operator shall not handle personal information without obtaining in advance a principal’s consent beyond the necessary scope to achieve a utilization purpose specified pursuant to the provisions under the preceding Article.
(2) A personal information handling business operator shall, in case of having acquired personal information accompanied with succeeding a business from another personal information handling business operator because of a merger or other reason, not handle the personal information without obtaining in advance a principal’s consent beyond the necessary scope to achieve the pre-succession utilization purpose of the said personal information.
(3) The provisions under the preceding two paragraphs shall not apply to those cases set forth in the following.
(i) cases based on laws and regulations
(ii) cases in which there is a need to protect a human life, body or fortune, and when it is difficult to obtain a principal’s consent
(iii) cases in which there is a special need to enhance public hygiene or promote fostering healthy children, and when it is difficult to obtain a principal’s consent
(iv) cases in which there is a need to cooperate in regard to a central government organization or a local government, or a person entrusted by them performing affairs prescribed by laws and regulations, and when there is a possibility that obtaining a principal’s consent would interfere with the performance of the said affairs
Jedną z najbardziej rozpowszechnionych (i rozpoznawalnych) podstaw prawnych przetwarzania danych osobowych (jest to standard — można powiedzieć — światowy) jest zgoda osoby, której dane dotyczą.
Te podstawę statuuje art. 16 ust. 1, który ponadto wskazuje na to, że zakres tej zgody musi korespondować z celem przetwarzania danych osobowych (tzn. zgoda na przetwarzanie danych osobowych obejmuje zezwolenie udzielone administratorowi na ich przetwarzanie w danym celu).
W odniesieniu do warunków wyrażenia zgody Ustawa ogranicza się do wskazania wyłącznie tego, BADO powinien ją uzyskać „uprzednio”. Mówiąc inaczej, zgoda osoby, której dane dotyczą musi mieć charakter aprioryczny, czyli wyrażony zanim administrator zacząłby jej dane przetwarzać.
Co do ewentualnych dodatkowych warunków, którymi warunki uzyskania zgody mogłyby się charakteryzować japońskie przepisy milczą.
Skoro jednak Ustawa wskazuje na aspekt uprzedniości jej „uzyskania” to przyjąć można, że wymagane jest w tym zakresie świadome działanie osoby, która złożyłaby oświadczenie woli w tym zakresie. W tym kontekście zgoda powinna być rozpatrywana w kontekście cywilistycznej konwencji jej wyrażania z zachowaniem „wolnej woli”. Za zgodę w rozumieniu przepisów o ochronie danych osobowych nie powinno się uznawać np. zgody wyrażonej pod przymusem, czy w wyniku działania w błędzie.
Ponadto w odniesieniu do określonego kontekstu pozyskiwania danych osobowych, w obliczu braku wyraźnego ustawowego zakazu, dopuszczalnym powinno być także uznanie, że w japońskich realiach także występuje zjawisko tak zwanej „zgody dorozumianej”. Ten instrument prawny, a w zasadzie taka interpretacja przepisu, dopuszczalna byłaby przy uwzględnieniu „utylitaryzmu” danych osobowych i wyłącznie w takich sytuacjach, w których zgoda dorozumiana dotyczyłaby przetwarzania takich danych osobowych, z przetwarzaniem których nie wiązałoby się — w zasadzie — jakiekolwiek ryzyko dla osoby, której dane dotyczą.
Z prawnego (ale i managerskiego) punktu widzenia interesująca jest norma zakodowana w art. 16 ust. 2. Przepis ten dotyczy sytuacji związanych z przekształceniami przedsiębiorstw (łączenie się, podział), czyli z sukcesją danych osobowych.
AOODO — Akredytowana organizacja ochrony danych osobowych (podmiot, który uzyskał akredytację w rozumieniu Ustawy)
BADO — Biznesowy Administrator Danych Osobowych (zamiennie będzie używane pojęcie „administrator”)
Decyzja wykonawcza — Decyzja wykonawcza Komisji (UE) 2019/419 z dnia 23 stycznia 2019 r. na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, stwierdzająca odpowiedni stopień ochrony danych osobowych przez Japonię na mocy ustawy o ochronie informacji osobowych (Dz. U. UE, 19.3.2019, L 76)
Komisarz — członek Komisji
Komisja — Komisja Ochrony Danych Osobowych (japoński organ nadzorczy)
Kp — ustawa z dnia 26 czerwca 1974 r. Kodeks pracy (t.j. Dz. U. z 2019 r. poz. 1040 ze zm.)
Podmiot objęty opieką — BADO zrzeszony pod daną AOODO
Przewodniczący — Przewodniczący Komisji
RM — japońska Rada Ministrów
Rozporządzenie — Amendment to the Cabinet Order to Enforce the Act on the Protection of Personal Information
RODO — Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
Sekretariat — sekretariat Komisji (urząd Komisji)
UE — Unia Europejska
ODOU — (polska) ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000 ze zm.)
SN — (japoński) Sąd Najwyższy
Ustawa — japońska ustawa o ochronie danych osobowych
UODO — (polski) Urząd Ochrony Danych Osobowych
UOIN — (polska) ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (t.j. Dz. U. z 2019 r. poz. 742)
Wytyczne — Wytyczne ustanawiane przez AOODO
Zasady wykonawcze — Enforcement Rules for the Act on the Protection of Personal Information, December 2016 (jest to akt prawny wydany przez Komisję)Słowo wstępne
Pomimo tego, że Kraj Kwitnącej Wiśni nie znajduje się na terenie Unii Europejskiej, to kwestia danych osobowych i ich ochrony jest w nim tak samo znana, jak bezwzględnie wymagana.
Dlaczego spośród wszystkich państw na Świecie niniejsza publikacja poświęcona będzie zagadnieniom danych osobowych w wydaniu japońskim?
Złożyło się na to kilka czynników.
Część z nich opiera się o prywatną fascynację autora tym krajem, jego historią, kulturą oraz zmianami społecznymi, które w tym kraju nastąpiły zwłaszcza po II wojnie światowej.
Pozostałe czynniki to następstwa doświadczeń, które autor nabył w ramach współpracy handlowej z przedstawicielami japońskich firm w Polsce, jak również z firmami japońskimi w Japonii.
Tematyka ochrony danych osobowych w państwach Dalekiego Wschodu nie stała się, do tej pory, przedmiotem szczególnego zainteresowania, a przynajmniej nie ze strony polskich autorów.
Moją nieśmiałą ambicją jest to, aby spróbować to zmienić.
Komentowana ustawa jest jednym z kilku aktów normatywnych poświęconych ochronie danych osobowych, które funkcjonują w Japonii. Osobne uregulowania dotyczą chociażby ochrony danych osobowych przez japońskie organy administracji publicznej.
Ta tematyka zostanie omówiona w kolejnym opracowaniu.
Niniejszy komentarz dotyczy przepisów ustawy pod nazwą „Act on the Protection of Personal Information” (i odnosi się do przetwarzania danych osobowych przez przedsiębiorców w związku z prowadzoną przez nich działalnością gospodarczą).
Publikacja nie aspiruje do miana publikacji naukowej, czy też stanowiącej jakikolwiek punkt odniesienia w zakresie interpretowania pojęć funkcjonujących w świecie danych osobowych (zwłaszcza na polu europejskim).
Jej celem jest, przede wszystkim, przybliżenie czytelnikowi zasad japońskiego systemu ochrony danych osobowych oraz, o ile się uda, wskazanie uderzających podobieństw, czy też zauważalnych różnic pomiędzy rozwiązaniami japońskimi, a europejskimi czy polskimi.
Pobocznym celem jest, jak wspomniano, chęć rozszerzenia publicznej dyskusji na temat obowiązujących modeli ochrony danych osobowych nie tylko w Europie, ale także w tak odległych od nas zakątkach jak państwa Dalekiego Wschodu.
Mam nadzieję, że oba te cele uda się zrealizować.
Zbędnie nie przedłużając życzę miłej lektury.
Tomasz ŁodzianaJapoński akt prawny o ochronie danych osobowych
Tak jak wspomniano we wstępie, japońska ustawa o ochronie danych osobowych, będąca przedmiotem niniejszego komentarza, odnosi się do administratorów danych osobowych, którzy są przedsiębiorcami. Nie oznacza to, że w jej treści nie zostały zawarte inne przepisy, w tym dotyczące japońskiego organu nadzorczego (Komisja), czy rozdzielenia ról odnoszących się do sprawowania pieczy nad przetwarzaniem danych osobowych w Japonii.
Przepisy w niej zawarte stanowią kompleksowe uregulowanie problematyki danych osobowych „w biznesie” i wraz z przepisami wykonawczymi oraz szeregiem wytycznych Komisji (tak o charakterze ogólnym, jak i indywidualnym) są drogowskazem dla każdego przedsiębiorcy, który prowadzi swoją działalność w Japonii.
Ustawa składa się z 88 artykułów zgromadzonych w siedmiu rozdziałach.
Struktura Ustawy przedstawia się następująco:
Rozdział I Przepisy ogólne (art. 1—3)
Rozdział II Obowiązki władz krajowych i lokalnych (art. 4—6)
Rozdział III Środki ochrony danych osobowych (art. 7—14)
Rozdział IV Obowiązki przedsiębiorców przetwarzających dane osobowe (art. 15—58)
Rozdział V Komisja ochrony danych osobowych (art. 59—74)
Rozdział VI Przepisy różne (art. 75—81)
Rozdział VII Przepisy karne (art. 82—88).
Opisane powyżej jednostki redakcyjne, a konkretnie Rozdział III i Rozdział IV dodatkowo podzielone są na sekcje.
Omówienie zawartości poszczególnych części Ustawy nastąpi z zachowaniem jej oryginalnej struktury i zmaterializuje się w poniższych rozdziałach odpowiadających oryginałowi nazwą.
Zastrzeżenie, jakie należy poczynić już na wstępie jest takie, że treść komentarza będzie miała dosyć niespotykaną (jak na tego typu opracowanie) formę. Treść normatywna bowiem zostanie przywołana w wersji angielskojęzycznej, którą Komisja udostępniła na swojej stronie internetowej.
Pamiętać przy tym należy, że referencyjną wersją przepisów każdego prawa krajowego jest wersja sporządzona w obowiązującym w nim języku urzędowym (a do tego promulgowana w oficjalnym publikatorze).
Zastrzeżenie, jakie należy poczynić już na wstępie jest takie, że treść komentarza będzie miała dosyć niespotykaną (jak na tego typu opracowanie) formę. Treść normatywna bowiem zostanie przywołana w wersji angielskojęzycznej, którą Komisja udostępniła na swojej stronie internetowej. Pamiętać przy tym należy, że referencyjną wersją przepisów każdego prawa krajowego jest wersja sporządzona w obowiązującym w nim języku urzędowym (a do tego promulgowana w oficjalnym publikatorze).
Skomentowanie tych przepisów nastąpi natomiast w języku polskim.
Przyjęta konstrukcja, choć może dziwić, jest oparta o racjonale podstawy. Mając bowiem na uwadze to, że dodatkowe ich tłumaczenie mogłoby spotęgować potencjalne niejasności postanowiono pozostawić czytelnikowi swobodę w dokonaniu własnego tłumaczenia (i własnej interpretacji), która może, ale przecież nie musi być zgodna z uwagami poczynionymi przez autora.
Stan taki, jak sądzę, przyczyni się do zrealizowania pobocznego celu komentarza, o którym była mowa we wstępie.W tym miejscu należy wskazać, że anglojęzyczne tłumaczenie Ustawy na oficjalnej stronie japońskiego regulatora nie jest do końca „fortunne”. Regulator, pomimo prezentowania przetłumaczonego tekstu na oficjalnej witrynie sam zaznacza, że tłumaczenie to może być niedokładne. W otwartych źródłach spotkać można inne tłumaczenia (tak lepsze, jak i gorsze). Mając na uwadze to, że mimo wszystko japoński organ nadzorczy „posłużył się” wspomnianym tłumaczeniem uznano, że to ono powinno być przywołane w niniejszym komentarzu.Rozdział I Przepisy ogólne
Article 1 This Act aims to protect the rights and interests of individuals while ensuring due consideration that proper and effective use of personal information contributes to the creation of new industries and the realization of a vibrant economic society and an enriched quality of life for the people of Japan among other useful applications; by setting forth basic principles for the proper handling of personal information, creating government’s basic policy with regard to this, and establishing other particulars to serve as a basis for measures to protect personal information, as well as by clarifying the responsibilities, etc. of the national and local governments and establishing the obligations, etc. that business operators handling personal information are required to fulfill, in light of the significantly expanded uses to which personal information is being put as our advanced information- and communicationbased society evolves.
Ten przepis ma charakter ogólny i wskazuje cel obowiązywania Ustawy (ratio legis ustawy).
Jest nim, co oczywiste, ochrona praw i interesów osób, których dane dotyczą.
W japońskim systemie prawnym dane osobowe (a w zasadze wiążące się z nim prawo do prywatności” stanowi dobro objęte ochroną konstytucyjną. Zadanie to jest osadzone w kontekście „prorozwojowym” co oznacza, że ochrona wspomnianych wartości musi uwzględniać utylitaryzm danych osobowych. Ustawa wprost odwołuje się do aspektów związanych z rozwojem gospodarczym, społecznym i ekonomicznym, aczkolwiek ograniczonym jedynie do „dobrostanu” obywateli Japonii, czy nawet węziej, do Japończyków.
Zgodnie z art. 1 Ustawa (chociaż adresowana jest do administratorów danych osobowych o charakterze biznesowym) reguluje również status określonych organów władzy publicznej ma zastosowanie zarówno wobec organów władzy publicznej (w tym do organów administracji rządowej, jak i samorządowej).
Określając brzmienie tego przepisu Ustawodawca postanowił również zwrócić uwagę na aspekty związane z rozwojem społeczeństwa informacyjnego, a także podkreślił rolę danych osobowych w procesach związanych z komunikacją międzyludzką, co odnosi się głównie do komunikacji za pomocą nowych technologii.
Article 2
(1) „Personal information” in this Act means that information relating to a living individual which falls under any of each following item:
(i) those containing a name, date of birth, or other descriptions etc. (meaning any and all matters (excluding an individual identification code) stated, recorded or otherwise expressed using voice, movement or other methods in a document, drawing or electromagnetic record (meaning a record kept in an electromagnetic form (meaning an electronic, magnetic or other forms that cannot be recognized through the human senses; the same shall apply in the succeeding paragraph, item (ii)); the same shall apply in Article 18, paragraph (2)); hereinafter the same) whereby a specific individual can be identified (including those which can be readily collated with other information and thereby identify a specific individual)
(ii) those containing an individual identification code
(2) An “individual identification code” in this Act means those prescribed by cabinet order which are any character, letter, number, symbol or other codes falling under any of each following item.
(i) those able to identify a specific individual that are a character, letter, number, symbol or other codes into which a bodily partial feature of the specific individual has been converted in order to be provided for use by computers
(ii) those character, letter, number, symbol or other codes which are assigned in regard to the use of services provided to an individual or to the purchase of goods sold to an individual, or which are stated or electromagnetically recorded in a card or other document issued to an individual so as to be able to identify a specific user or purchaser, or recipient of issuance by having made the said codes differently assigned or, stated or recoded for the said user or purchaser, or recipient of issuance
(3) “Special care-required personal information” in this Act means personal information comprising a principal’s race, creed, social status, medical history, criminal record, fact of having suffered damage by a crime, or other descriptions etc. prescribed by cabinet order as those of which the handling requires special care so as not to cause unfair discrimination, prejudice or other disadvantages to the principal.
(4) A “personal information database etc.” in this Act means those set forth in the following which are a collective body of information comprising personal information (excluding those prescribed by cabinet order as having little possibility of harming an individual’s rights and interests considering their utilization method).
(i) those systematically organized so as to be able to search for particular personal information using a computer;
(ii) besides those set forth in the preceding item, those prescribed by cabinet order as having been systematically organized so as to be able to easily search for particular personal information.
(5) A „personal information handling business operator” in this Act means a person providing a personal information database etc. for use in business; however, excluding a person set forth in the following;
(i) a central government organization;
(ii) a local government;
(iii) an incorporated administrative agency etc. (meaning an independent administrative agency etc. prescribed in Article 2, paragraph (1) of the Act on the Protection of Personal Information Held by Incorporated Administrative Agencies (Act No. 59 of 2003); hereinafter the same);
(iv) a local incorporated administrative agency (meaning a local incorporated administrative agency prescribed in Article 2, paragraph (1) of the Local Incorporated Administrative Agencies Act (Act No. 118 of 2003); hereinafter the same);
(6) “Personal data” in this Act means personal information constituting a personal information database etc.
(7) “Retained personal data” in this Act means personal data which a personal information handling business operator has the authority to disclose, correct, add or delete the contents of, cease the utilization of, erase, and cease the third-party provision of, and which shall be neither those prescribed by cabinet order as likely to harm the public or other interests if their presence or absence is made known nor those set to be deleted within a period of no longer than one year that is prescribed by cabinet order.
(8) A “principal” in relation to personal information in this Act means a specific individual identifiable by personal information.
(9) “Anonymously processed information” in this Act means information relating to an individual that can be produced from processing personal information so as neither to be able to identify a specific individual by taking action prescribed in each following item in accordance with the devisions of personal information set forth in each said item nor to be able to restore the personal information.
(i) personal information falling under paragraph (1), idem (i);
Deleting a part of descriptions etc. contained in the said personal information (including replacing the said part of descriptions etc. with other descriptions etc. using a method with no regularity that can restore the said part of descriptions etc.)
(ii) personal information falling under paragraph (1), item (ii);
Deleting all individual identification codes contained in the said personal information (including replacing the said individual identification codes with other descriptions etc. using a method with no regularity that can restore the said personal identification codes)
(10) An “anonymously processed information handling business operator” in this Act means a person who provides for use in business a collective body of information comprising anonymously processed information which has been systematically organized so as to be able to search using a computer for specific anonymously processed information or similar others prescribed by cabinet order as systematically organized so as to be able to search easily for specific anonymously processed information (referred to as an “anonymously processed information database etc.” in Article 36, paragraph (1)). However, a person set forth in each item of paragraph (5) is excluded.
Ten przepis zawiera słowniczek używanych w tekście wyrażeń. Poniżej nastąpi prezentacja znaczeń zwrotów definiowanych przez omawianą Ustawę.
Dane osobowe (personal information) w rozumieniu Ustawy to informacje dotyczące życia osoby fizycznej, które obejmują imię i nazwisko, datę urodzenia lub inny opis osoby, utrwalone, nagrane lub wyrażone w jakikolwiek inny sposób, w tym za pomocą głosu, poprzez sposób poruszania się lub za pomocą innych metod utrwalania ich w dokumencie, na rysunku czy nośniku elektromagnetycznym, na podstawie których osoba może zostać zidentyfikowana.
Danymi osobowymi w rozumieniu Ustawy są także dane, których wzajemne zestawienie może prowadzić do zidentyfikowania osoby.
Dane osobowe są zatem informacjami, które mają ten walor, że w oparciu o ich posiadanie konkretna osoba może zostać zidentyfikowana (czyli możliwe będzie potwierdzenie, że dana osoba to „ta osoba”).
Ustawa odnosi się m.in. do kwestii „głosu” osoby lub „sposobu poruszania się”. Niewątpliwie tego typu dane mogą służyć identyfikacji. Identyfikacja, w oparciu o takie parametry, może mieć przy tym charakter grupowy (np. na podstawie głosu można wskazać, że dana osoba należy do grupy osób mówiących basem, barytonem, sopranem, itp.), ale także określić ją co do tożsamości. Taka sytuacja będzie miała miejsce wówczas, kiedy — kontekstowo — głos danej osoby będzie odznaczał się cechami ją indywidualizującymi w taki sposób, że możliwe będzie wykluczyć to, że może chodzić o inną osobę (przykładowo, osoba będzie posiadała wyjątkowo rzadką deformację jakiejś części aparatu mowy powodującą charakterystyczne — dla niej — dźwięki towarzyszące artykułowaniu np. samogłosek). Podobnie sytuacja ma się w relacji do sposobu poruszania się. Przecież określone osoby mogą cierpieć na dane schorzenia, czy też należeć do określonej kultury, której reguły wymagałyby określonego sposobu np. chodu. Warto mieć na uwadze, że ichnogram stanowi ten rodzaj informacji, na podstawie której nawet w toku postępowania karnego możliwe jest zidentyfikowanie sprawcy (co ma zastosowanie chociażby w ramach czynności okazania osoby w celu rozpoznania na podstawie tzw. „cech dynamicznych” czy też „cech motorycznych”).
Porównując te kategorie danych osobowych do regulacji wskazanych w art. 4 ust. 1 RODO wskazać należy, że ich europejskim „odpowiednikiem” są czynniki fizyczne i fizjologiczne (i fizjonomiczne) określające tożsamość danej osoby.
Danymi osobowymi są również indywidualne kody identyfikacyjne.
Indywidualny kod identyfikacyjny to każda forma oznaczenia konkretnej osoby wskazana w Rozporządzeniu, na podstawie której dana osoba może zostać zidentyfikowana. W poczet indywidualnych kodów identyfikacyjnych Ustawa włącza m.in. znaki, litery, cyfry, symbole lub inne kody takie jak:
a) znaki, litery, cyfry, symbole lub inne kody odnoszące się do części ciała osoby, której dane dotyczą, które mogą być przetworzona w celu przetwarzania jej za pomocą komputera
b) te symbole, litery, cyfry, oznaczenia czy inne kody, które zostały nadane (przypisane) danej osobie w celach dokonywanych przez nią zakupów towarów lub usług, jak również te, które są określone lub zapisane na elektromagnetycznych nośnikach danych (np. karcie) lub innym dokumencie wydanym osobie, na podstawie którego osoba ta może być zidentyfikowana jako użytkownik, nabywca lub odbiorca (w domyśle towarów lub usługi).
Rozwinięcie omawianego pojęcia nastąpiło w art. 1 Rozporządzenia.
W tym akcie prawnym wskazano, że za indywidualne kody identyfikacyjne należy uznać:
a) te znaki, litery, numery, symbole lub inne kody wytworzone w wyniku przekształcenia cech cielesnych człowieka w sposób pozwalający na ich przetwarzanie w systemach komputerowych (teleinformatycznych), a które to informacje pozwoliłyby na identyfikację osoby. Do wspomnianych cielesnych człowieka Rozporządzenie zalicza:
— kod DNA;
— wygląd twarzy uwarunkowany strukturą kostną czaszki i kolorem skóry, położeniem i kształtem oczu, nosa ust lub innych elementów twarzy;
— liniowy wzór tęczówki;
— drgania strun głosowych, ruch zamykający głośni, kształt (barwa głosu) i zmiany głosu podczas jego wypowiadania;
— postawa ciała, ruchy obu ramion, wielkość kroku, jak również inne właściwości ciała człowieka towarzyszące zjawisku jego chodu;
— kształt żył na zewnętrznej i wewnętrznej stronie dłoni i palców;
— odciski (i odbitki) palców i dłoni;
b) numer paszportu;
c) numery emerytalno/rentowe (czyli numery, pod którymi występują osoby otrzymujące tego typu świadczenia);
d) numer prawa jazdy;
e) kod rejestru mieszkańców (kod podstawowego miejsca zamieszkania);
f) znaki, litery, numery, symbole lub inne kody, które zostały wydane jako „imienne”, w tym dokumentacja ubezpieczeń społecznych (Rozporządzenie szczegółowo wskazuje na kategorie tych dokumentów);
g) wszelkie inne znaki, litery, numery, symbole lub inne kody określone przez Komisję jako odpowiedniki tych, które wymieniono powyżej.
W kontekście powyższego warto przywołać znanego piosenkarza, który posługiwał się scenicznym pseudonimem „Prince”. Po jakimś czasie pseudonim ten został przez niego zamieniony na graficzny symbol, pod którym był nadal rozpoznawany jako piosenkarz Prince Rogers Nelson. Oznaczenie graficzne, którym się posługiwał, wypełniało jednoznacznie definicję danych osobowych, w tym w rozumieniu przepisów japońskich.
Odnosząc się do określonych oznaczeń związanych z osobą fizyczną traktowaną jako konsument wskazać należy, że danymi osobowymi będą — w rozumieniu przepisów Ustawy — wszelkie „formy danych” pozwalające na identyfikację tej osoby jako np. uczestnika programu lojalnościowego japońskiej sieci sklepów, czy stacji benzynowych. Utrwalona (np. na karcie lojalnościowej) informacja będzie identyfikowała daną osobę w chwili użycia tej karty (której autoryzacja poprzez wprowadzenie np. numeru PIN pozwoli na przyjęcie z najwyższą dozą uprawdopodobnienia, że osoba posługująca się kartą jest tym konkretnym konsumentem, którego dane osobowe przetwarza określony przedsiębiorca).
Dane osobowe wymagające szczególnego traktowania w japońskim rozumieniu to dane wymagające specjalnego przetwarzania, co jest spowodowane tym, że mogą one stanowić podstawę do niedopuszczalnej dyskryminacji osoby fizycznej, nabierania do niej uprzedzeń, lub innych niekorzystnych dla tej osoby dolegliwości spowodowanych jej rasą, wyznaniem, statusem społecznym, danymi medycznymi (czyli danymi o stanie zdrowia), danymi o karalności lub posiadania statusu pokrzywdzonego przestępstwem.
Japońskie podejście do danych szczególniej kategorii nie różni się znacząco od standardu europejskiego. Niemniej wymienione w Ustawie kategorie tych danych osobowych jak „status społeczny” pokazuje na subtelne różnice kulturowe. Co ciekawe Ustawa nie wymienia wprost (chociaż trzeba mieć na uwadze to, że przywołane wylistowanie ma charakter przykładowy) danych dotyczących orientacji seksualnej. Może to wskazywać na to, że w Japonii problematyka seksualności danej osoby (a szczególnie te jej formy, które nie stanowią „wzorca biologicznego”) nie są na tyle istotnym zagadnieniem społecznym, że nie musiały być zaakcentowane w przepisach o ochronie danych osobowych.
Rodzaje tej kategorii danych osobowych zostały wymienione w art. 2 Rozporządzenia. Zgodnie z tym przepisem dane osobowe wymagające szczególnego traktowania to:
a) informacje potwierdzające niepełnosprawność (fizyczną, intelektualną, umysłową, rozwojową) lub inne niepełnosprawności o powyższym charakterze, które określi Komisja;
b) wyniki badań medycznych (okresowych) lub innych badań, w tym o charakterze profilaktycznym przeprowadzane przez lekarza lub inną osobę związaną ze sferą medyczną (a więc m.in. technik stomatologiczny, pielęgniarka, itp.);
c) informacje o tym, że określone zalecenia zostały dane osobie wskazane w wyniku przeprowadzonych badań medycznych lub z powodu istniejących urazów lub innych zmian fizycznych i psychicznych;
d) informacje o tym, że określona osoba jest podejrzanym w sprawie karnej;
e) informacje o tym, że czynności procesowe, obserwacja, ochrona, przesłuchanie lub zastosowanie określonego środka zostało zastosowane przeciwko nieletniemu w związku z prowadzoną przeciwko niemu sprawą o charakterze karnym (stosownie do japońskich przepisów o postępowaniu w sprawach nieletnich).
To, co nasuwa się na myśl po analizie japońskich danych osobowych „szczególnej kategorii” i tych danych w rozumieniu RODO to uwaga, że katalogi te nie pokrywają się.
W art. 9 RODO próżno bowiem szukać takich danych szczególnej kategorii jak dane o karalności (to reguluje art. 10 RODO), natomiast wśród tych danych w ujęciu japońskich nie znajdują się (poza wspomnianymi wcześniej danymi związanymi z seksualnością człowieka) takich informacji jak dane ujawniające pochodzenie rasowe, etniczne, poglądy polityczne, przekonania religijne a nawet dane biometryczne czy genetyczne.
Różnice te mają zdecydowanie uwarunkowania kulturowe, ze wskazaniem na „wygranego” — w starciu na liberalizm — po stronie japońskiej. Pomimo hermetycznego (przez wieki) charakteru państwa oraz jego jednolitości rasowej dane, które w Europie uchodzą za „wrażliwe”, w Japonii stanowią dane osobowe w wersji „podstawowej”. Wskazuje to, jak należy rozumieć, na daleko bardziej idącą otwartość społeczną Japończyków na coś, co można byłoby określić „odstępstwem od kulturowego i etnicznego wzorca”, jak również na ich otwartość i brak „strachu” przed powszechną informatyzacją.
Zbiór danych osobowych to dane osobowe zgromadzone w bazie danych. Podkreślić należy, że zbiorem danych, w rozumieniu Ustawy, nie będzie taka baza informacji o osobach, w stosunku do których — z uwagi na sposób ich przetwarzania — ryzyko naruszenia praw i interesów tych osób będzie niewielkie.
Za dane osobowe, których przetwarzanie w bazie danych powoduje, że baza ta nie będzie uznawana za zbiór danych osobowych uznaje się:
a) dane, które zostały przekazane administratorowi w celu ich sprzedaży nieokreślonej liczbie osób, a których pozyskanie nie nastąpiło z naruszeniem przepisów prawa;
b) te dane, które mogą lub mogły być nabyte (zakupione) przez nieokreśloną liczbę osób;
c) dane, które są dostarczane (a więc następuje to w ramach procesu ciągłego, procesu w toku) zgodnie z ich pierwotnie określonym celem przetwarzania pod warunkiem, że dane te nie będą uzupełniane innymi danymi osobowymi dotyczącymi konkretnej osoby.
To, co bazę danych czyni zbiorem danych osobowych, poza kwestią tego, jakiego charakteru dane są w niej przetwarzane, to kwestia funkcjonalności, jakimi baza danych się odznacza. Ustawa wymaga, aby tego typu baza spełniała dwa atrybuty:
a) możliwości wyszukiwania danych (czyli istnienia określonej funkcji);
b) szybkości wyszukiwania danych.
W odniesieniu do atrybutu możliwości wyszukiwania określonej informacji podkreśla się, że baza danych powinna posiadać wewnętrzną strukturę zawierającą na przykład:
a) spis treści;
b) indeks;
c) inny podobny instrument,
ułatwiający wyszukiwanie danych osobowych, systemowo zorganizowanych i uporządkowanych.
Ma to wpływać na możliwość wyszukania żądanej informacji, oczywiście przy zastosowaniu odpowiedniego „klucza” czy reguły wyszukiwania (np. możliwość ustawienia parametrów wyszukiwania informacji).
Niezbędnym aspektem wpływającym na ukonstytuowanie się bazy danych jako Zbioru danych osobowych jest również łatwość jej obsługi.
Biznesowy administrator danych osobowych (BADO) to odpowiednik znanego z przepisów unijnych administratora danych osobowych z tym zastrzeżeniem, że przepisy komentowanego aktu prawnego (w tym zakresie) regulują aspekty związane z przetwarzaniem danych przez administratorów posiadających status przedsiębiorców (zarówno korporacyjnych, jak i niekorporacyjnych). Oznacza to, że pod omawianym pojęciem będzie się krył wyłącznie podmiot gospodarczy, który prowadzi działalność gospodarczą. Dodatkowym dookreśleniem administratora w japońskim rozumieniu jest to, że będzie nim taki podmiot, który będzie przetwarzał dane osobowe zgromadzone w zbiorze (zbiorze danych osobowych).
Ustawa expresis verbis wyłącza spod swojego reżimu organy władzy centralnej (rządowej), samorządy, inkorporowane agencje administracyjne (o charakterze rządowym oraz samorządowym).
Nie oznacza to, że powyżej wskazane kategorie podmiotów nie są, w rozumieniu japońskich przepisów, uznane za administratorów danych osobowych. Przeciwnie, w stosunku to tych kategorii administratorów japońskie ustawodawstwo stworzyło osobne przepisy rangi ustawowej.
Na uwagę zasługuje także to, że o ile w przypadku art. 4 pkt 7 RODO administratorem są podmioty wymienione w tym przepisie które samodzielnie lub wspólnie z innymi administratorami (tzw. współadministrowanie) określa cele i sposoby przetwarzania tych danych osobowych, to przepisy japońskie nie akcentują tego elementu. Przyjąć zatem można, że podejście takie oznacza, że cele przetwarzania danych osobowych nie mogą być „określane” w tym sensie, że nie mogą odbiegać od typowego przeznaczenia danych osobowych przetwarzanych w danym kontekście, w danym zakresie i przez administratora o określonym profilu prowadzonej działalności gospodarczej, a rolą administratora jest ich wskazanie (co dla ułatwienia zrozumienia niniejszego komentarza — z powyższym zastrzeżeniem — będzie nazywane jako „określanie”).
Podsumowując, za administratora w rozumieniu Ustawy nie będzie można uznać podmiotu, który nawet przetwarzałby dane osobowe, ale nie w zbiorze danych osobowych (w tym zbiorze zanonimizowanych danych osobowych).
Dane personalne (personal data) — to pojęcie odnosi się do danych osobowych tworzących zbiór danych osobowych (przetwarzanych w Zbiorze danych osobowych).
Retencyjne dane osobowe (retained personal data, zatrzymane dane osobowe) — dane osobowe przetwarzane przez BADO posiadającego prawo do ich: ujawniania, korekty, dodawania, usuwania, zaprzestania przetwarzania, usuwania, zaprzestania przekazywania stronie trzeciej, za wyjątkiem tych, które:
a) na mocy Rozporządzenia zostałyby uznane za dane zagrażające interesowi publicznemu lub innemu interesowi,
b) danych, co do których istnieje prawny obowiązek usunięcia z upływem określonego czasu od ich pozyskania.
Jeżeli chodzi o pierwszą z wymienionych kategorii danych osobowych, to zalicza się do nich dane, których ujawnienie (lub ich nieujawnienie):
— spowodowałoby szkodę w interesie osoby, które by dotyczyły lub w interesie osoby trzeciej;
— mogłoby zachęcić określone osoby do podjęcia działań niezgodnych z prawem lub działań niesprawiedliwych;
— zagroziłoby bezpieczeństwu narodowemu, zniszczyłoby relacje z obcym państwem (nadużyłoby zaufanie tego państwa wobec Japonii), lub spowodowałoby, że Japonia znalazłaby się w niekorzystnej sytuacji negocjacyjnej z takim państwem lub organizacją międzynarodową;
— utrudniłoby utrzymanie bezpieczeństwa i porządku publicznego (m.in. zapobieganie i zwalczanie przestępczości).
Analiza przywołanych kategorii informacji nasuwa słuszne skojarzenia z przepisami zawartymi w UOIN, która określa kategorie informacji niejawnych (ściśle tajnych, tajnych, poufnych, zastrzeżonych), których nieuprawnione ujawnienie mogłoby spowodować (w zależności od klauzuli tajności) analogiczne skutki do tych, które zostały opisane powyżej.
W kontekście wspomnianej cezury czasowej, to Rozporządzenie w art. 5 wskazało na kategorie danych, które nie mogą być z tej przyczyny uznane za „zatrzymane”. Danymi takimi nie mogą być dane osobowe, których możliwość przetwarzania wynosi maksymalnie 6 miesięcy od ich pozyskania. Rozporządzenie nie wymienia kategorii tego typu danych pozostawiając to innym regulacjom ustawowym. Nie jest to zabieg, który byłby nieznany w Polsce. Przepis, który wskazuje na maksymalny okres przetwarzania danych osobowych zawarty jest chociażby w art. art. 22² §3 Kp, zgodnie z którym górna granica czasowa przetwarzania danych osobowych utrwalonych za pośrednictwem monitoringu wizyjnego nie może przekraczać 3 miesięcy.
Osoba, której dane dotyczą w japońskich przepisach określona jest jako „principal”. Jest to ta osoba, która na podstawie danych jej dotyczących (danych osobowych) jest identyfikowalna. Pod pojęciem „identyfikowalna” należy rozumieć zarówno osobę zidentyfikowaną, jak i możliwą do zidentyfikowania.
Zanonimizowane dane osobowe stanowią swoisty odpowiednik pseudonimizacji w rozumieniu art. 4 ust. 5 RODO. W rozumieniu japońskim, zanonimizowane dane osobowe to te informacje o osobie, które można uzyskać z przetwarzania danych osobowych w taki sposób, aby na ich podstawie osoba fizyczna nie mogła być zidentyfikowana. Zapewnienie anonimizacji, jak stanowi Ustawa, może polegać na:
a) usunięciu części opisu dotyczącego osoby fizycznej (w tym poprzez jego zamianę), opisywaniu osoby przy użyciu innych metod (zapewniających anonimowość) przy jednoczesnym braku opierania tego działania o określone parametry, na podstawie których możliwe byłoby przywrócenie możliwości zidentyfikowania osoby (np. poprzez jej indywidualny kod identyfikacyjny);
b) usunięciu wszystkich indywidualnych kodów identyfikacyjnych (w tym zastąpienie ich inną formą opisu) przy jednoczesnym braku wprowadzenia parametrów, na podstawie których możliwość zidentyfikowania osoby mogłaby zostać przywrócona.
Immanentną cechą anonimizacji danych osobowych jest atrybut trwałej niemożliwości przywrócenia stanu pierwotnego, czyli przywróceniu stanu, w którym w oparciu o te dane osoba byłaby identyfikowalna. Brak tego atrybutu powoduje, że dane osobowe nie mogą zostać uznane za poddane anonimizacji.
Biznesowy administrator danych osobowych przetwarzający zanonimizowane dane osobowe to upraszczając, BADO przetwarzający zanonimizowane dane osobowe w zbiorze takich danych, który określany jest jako „zbiór zanonimizowanych danych osobowych”.
Determinantami zbioru zanonimizowanych danych osobowych są:
a) posiadanie spisu treści;
b) posiadanie indeksu;
c)posiadanie innego podobnego instrumentu,
mającego na celu ułatwienie wyszukiwania zanonimizowanych danych osobowych, systemowo zorganizowanych i uporządkowanych, które można łatwo wyszukać.
Article 3 Personal information, considering it should be carefully handled under the vision of respecting the personality of an individual, shall be made subject to proper handling.
Przepis wskazuje na to, że postępowanie z danymi osobowymi musi następować z należytą ostrożnością oraz w oparciu o filozofię poszanowania jednostki. Jest to norma postulatywna o charakterze ogólnym, akcentującym jednak doniosłość konkretnej osoby fizycznej i jej prawa do prywatności.Por. SN w wyroku z dnia 6 marca 2008 r., Minshu, T. 62, nr 3, s. 665, cyt. za Decyzja wykonawcza, s. 2.
Wskazuje na to zwrot „people of Japan”.
Ścieżka chodu.
Co w kontekście japońskiego alfabetu ma niebagatelne znaczenie.
Mowa jest ogólnie o systemach teleinformatycznych.
Pomimo niefortunnego tłumaczenia należy je zachować i doprecyzować, że ta kategoria odnosi się do odległości pomiędzy śladami stóp pozostawianymi na podłożu.
Kontekstowo dopuścić należy, do tej kategorii, także właściwości ciała danej osoby indywidualizujące ją w trakcie wykonywania innych czynności o charakterze motorycznym (np. biegu, skakania, itp.).
Jest to kategoria indywidualnych kodów identyfikacyjnych pozwalających na identyfikowanie obywateli Japonii występujących w postępowaniach administracyjnych).
A więc przypisane do konkretnej osoby.
Stanowią odpowiednik danych szczególnej kategorii w rozumieniu RODO. Dla ułatwienia zrozumienia japońskich przepisów w dalszej części pracy ilekroć będzie mowa o tej kategorii danych, będą one nazywane „danymi szczególnej kategorii” lub „sensytywnymi danymi osobowymi”.
Z uwag i na formułę przepisu przyjmuje się, że katalog tych danych jest, co do istoty, otwarty i ewentualne kwalifikowanie informacji do tej kategorii powinno następować przez pryzmat oceny skutków ich oddziaływania na osobę.
A więc gdy cel był jasno określony.
A więc możliwe do powszechnej dystrybucji.
Por. art. 3 Rozporządzenia.
Japonii.
Identifiable.
W tekście używane będzie to pojęcie, lub pojęcie „administratora” — w zależności od kontekstu.Rozdział II Obowiązki władz krajowych i lokalnych
Article 4 The central government shall have the responsibilities for comprehensively developing and implementing necessary measures to ensure the proper handling of personal information in conformity with the purport of this Act.
Article 5 The local governments shall have the responsibilities for developing and implementing necessary measures to ensure the proper handling of personal information based on the characteristics of their local area in conformity with the purport of this Act.
Article 6 The government shall, considering the nature and utilization method of personal information, take necessary legislative and other action so as to be able to take discreet action for protecting personal information that especially requires ensuring the strict implementation of its proper handling in order to seek enhanced protection of an individual’s rights and interests, and shall take necessary action in collaboration with the governments in other countries to construct an internationally conformable system concerning personal information through fostering cooperation with an international organization and other international framework.
Przepisy zawarte w Rozdziale II Ustawy nakładają na władze krajowe oraz samorządowe określone obowiązki.
Obowiązki te są określone w sposób ogólny i mają charakter generalny wytycznych.
Organom władzy przypisano odpowiedzialność za określanie i wdrażanie środków zapewniających właściwe postępowanie z danymi osobowymi. Przy wypracowywaniu tychże środków powinno się uwzględniać cele niniejszej ustawy. Jak należy przyjąć ogniskuje się to zwłaszcza wokół takiego zorganizowania „warunków przetwarzania” tego rodzaju informacji, które uwzględniałyby wskazane w ust. 1 cele Ustawy.
Na organach samorządowych ciąży natomiast obowiązek określania i wdrażania środków właściwego postępowania z danymi osobowymi, które byłyby adekwatne z punktu widzenia charakterystyki regionalnej, podlegającej pod zarząd określonej władzy samorządowej.
Uwzględnianie specyfiki danych regionów (także w kontekście danych osobowych) jest aspektem, który powinien zostać oceniony pozytywnie. Bez „szkody” dla obowiązujących rozwiązań na szczeblu krajowym dopuszczalne jest przecież występowanie określonych różnic w wymiarze lokalnym. Różnice te mogą być związane czy to ze stopniem zurbanizowania, zinformatyzowania czy odsetkiem osób odznaczających się określonym stopniem wykształcenia. To może natomiast wpływać chociażby na świadomość lokalnych społeczności w odniesieniu do praw, jakie im przysługują w związku z przetwarzaniem danych osobowych. Wydaje się, że w kontekście obowiązków władz lokalnych zwłaszcza aspekt edukacyjno-informacyjny ich działalności powinien być tym, który w sposób szczególny powinien uwzględniać miejscowe „odmienności”.
W art. 6 Ustawy zawarto normę ogólną nakazującą japońskiemu rządowi podejmowanie niezbędnych działań prawodawczych, których celem powinno być stworzenie specjalnych środków ochrony danych osobowych, zwłaszcza w kontekście tych danych osobowych, „szczególnej kategorii”.
Niezależnie od wypracowywania rozwiązań normatywnych organy rządowe powinny podejmować określone inne działania, których cele byłyby zbieżne z tymi, jakie postawiono sferze prawodawczej. Ustawa celowo nie wymienia konkretnych rodzajów aktywności uzależniając ich dobór od zastanych okoliczności faktycznych.
Ponadto Ustawa nałożyła na rząd Japonii obowiązek podjęcia stosownych działań, we współpracy z rządami innych państw, do stworzenia systemu (na poziomie ponadnarodowym), który pozwalałby na międzynarodową współpracę w zakresie ochrony (i przetwarzania) danych osobowych.
W tym miejscu należy podkreślić, że w kontekście relacji Japonii z UE, to UE uznała, że Japonia gwarantuje odpowiedni stopień ochrony danych osobowych. Kwestię tę reguluje Decyzja wykonawcza Komisji (UE) 2019/419 z dnia 23 stycznia 2019 r. na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, stwierdzająca odpowiedni stopień ochrony danych osobowych przez Japonię na mocy ustawy o ochronie informacji osobowych.Rozdział IV Obowiązki podmiotów gospodarczych przetwarzających dane osobowe
Obowiązki biznesowych administratorów danych osobowych przetwarzających dane osobowe
Article 15
(1) A personal information handling business operator shall, in handling personal information, specify the purpose of utilizing the personal information (hereinafter referred to as a “utilization purpose”) as explicitly as possible.
(2) A personal information handling business operator shall, in case of altering a utilization purpose, not do so beyond the scope recognized reasonably relevant to the pre-altered utilization purpose.
W art. 15 ust. 1 Ustawy została ustanowiona tzw. zasada celowości.
Każdy administrator funkcjonujący na terenie Japonii zobowiązany jest to tego, aby w związku z przetwarzaniem tego rodzaju informacji określić (wskazać) cel (bądź cele) ich przetwarzania.
Pod pojęciem „celu przetwarzania” należy rozumieć wskazanie rezultatu związanego z ich przetwarzaniem, który może, ale nie musi być tożsamy z celem wyłącznie osoby, której dane dotyczą.
W kontekście wskazania celu przetwarzania danych osobowych ustawodawstwo japońskie wymaga analogicznych działań, jakie zostały wskazane w art. 5 ust. 1 lit. b RODO. Administratorzy muszą zatem określić wspomniane cele „z najwyższą precyzją”, co jest odpowiednikiem wskazanego w przywołanym przepisie RODO atrybutu „wyraźności” celu.
Taka formuła określania celu przetwarzania ma na celu zapewnienie tego, aby osoba, która zdecyduje się na udostępnienie administratorowi danych osobowych miała świadomość tego, po co te dane osobowe administrator przetwarza (czy będzie przetwarzał).
Cel określony „z najwyższą precyzją” to cel skonkretyzowany (np. realizacja umowy polegającej na cotygodniowym dostarczaniu wody mineralnej do miejsca zamieszkania konsumenta — oczywiście o ile dana umowa tego dotyczy).
Skonkretyzowanie celu jest jednocześnie niczym innym jak wskazaniem na to, że dane osobowe powinny być przetwarzane w sposób przejrzysty, co — podobnie jak w ujęciu wskazanym w art. 5 ust. 1 lit. a RODO — stanowi kanon przetwarzania danych osobowych także w Japonii.
W ust. 2 Ustawa statuuje zasadę względnej niezmienności pierwotnego celu przetwarzania danych osobowych. Zasada ta (stanowiąca odpowiednik rozwiązań zawartych w motywie 50 RODO oraz w art. 6 ust. 4) wskazuje na to, że japoński administrator może przetwarzać posiadane dane osobowe w innym celu, aniżeli cel, dla którego dane te pierwotnie uzyskał pod tym jednak warunkiem, że nowy cel pozostaje w zgodności z celem pierwotnym.
Ani Ustawa, ani Rozporządzenie ani nawet Zasady wykonawcze nie rozwijają tego zagadnienia.
Za właściwe należałoby przyjąć, że na administratorach znajdujących się w obliczu takiej sytuacji ciążyłby obowiązek przeprowadzenia „testu zgodności teleologicznej” (testu paralelności celów).
Takowy test byłby niczym innym jak porównawczym zestawieniem tego, czy cel pierwotny i cel nowo wytyczony są ze sobą powiązane przynajmniej następującymi więzami:
a) legalności (czy podstawa przetwarzania danych osobowych wobec obu celów może być taka sama i czy jest nią podstawa, w oparciu o którą pozyskano dane osobowe)
b) przedmiotowymi (rozumianymi jako tożsamość rezultatu przetwarzania danych osobowych).
c) adekwatności (czy przetwarzane dane osobowe w ramach nowego celu są adekwatne z punktu widzenia możliwości jego osiągnięcia);
d) czasowości (czy określone dane mogą być przetwarzane na tyle długo, aby nowy cel mógł zostać osiągnięty);
e) nienadmiarowości (czy przetwarzane dane w ramach nowego celu nie są nadmiarowe z punktu widzenia jego osiągania);
f) innych, adekwatnych do zastanego kontekstu.
Article 16
(1) A personal information handling business operator shall not handle personal information without obtaining in advance a principal’s consent beyond the necessary scope to achieve a utilization purpose specified pursuant to the provisions under the preceding Article.
(2) A personal information handling business operator shall, in case of having acquired personal information accompanied with succeeding a business from another personal information handling business operator because of a merger or other reason, not handle the personal information without obtaining in advance a principal’s consent beyond the necessary scope to achieve the pre-succession utilization purpose of the said personal information.
(3) The provisions under the preceding two paragraphs shall not apply to those cases set forth in the following.
(i) cases based on laws and regulations
(ii) cases in which there is a need to protect a human life, body or fortune, and when it is difficult to obtain a principal’s consent
(iii) cases in which there is a special need to enhance public hygiene or promote fostering healthy children, and when it is difficult to obtain a principal’s consent
(iv) cases in which there is a need to cooperate in regard to a central government organization or a local government, or a person entrusted by them performing affairs prescribed by laws and regulations, and when there is a possibility that obtaining a principal’s consent would interfere with the performance of the said affairs
Jedną z najbardziej rozpowszechnionych (i rozpoznawalnych) podstaw prawnych przetwarzania danych osobowych (jest to standard — można powiedzieć — światowy) jest zgoda osoby, której dane dotyczą.
Te podstawę statuuje art. 16 ust. 1, który ponadto wskazuje na to, że zakres tej zgody musi korespondować z celem przetwarzania danych osobowych (tzn. zgoda na przetwarzanie danych osobowych obejmuje zezwolenie udzielone administratorowi na ich przetwarzanie w danym celu).
W odniesieniu do warunków wyrażenia zgody Ustawa ogranicza się do wskazania wyłącznie tego, BADO powinien ją uzyskać „uprzednio”. Mówiąc inaczej, zgoda osoby, której dane dotyczą musi mieć charakter aprioryczny, czyli wyrażony zanim administrator zacząłby jej dane przetwarzać.
Co do ewentualnych dodatkowych warunków, którymi warunki uzyskania zgody mogłyby się charakteryzować japońskie przepisy milczą.
Skoro jednak Ustawa wskazuje na aspekt uprzedniości jej „uzyskania” to przyjąć można, że wymagane jest w tym zakresie świadome działanie osoby, która złożyłaby oświadczenie woli w tym zakresie. W tym kontekście zgoda powinna być rozpatrywana w kontekście cywilistycznej konwencji jej wyrażania z zachowaniem „wolnej woli”. Za zgodę w rozumieniu przepisów o ochronie danych osobowych nie powinno się uznawać np. zgody wyrażonej pod przymusem, czy w wyniku działania w błędzie.
Ponadto w odniesieniu do określonego kontekstu pozyskiwania danych osobowych, w obliczu braku wyraźnego ustawowego zakazu, dopuszczalnym powinno być także uznanie, że w japońskich realiach także występuje zjawisko tak zwanej „zgody dorozumianej”. Ten instrument prawny, a w zasadzie taka interpretacja przepisu, dopuszczalna byłaby przy uwzględnieniu „utylitaryzmu” danych osobowych i wyłącznie w takich sytuacjach, w których zgoda dorozumiana dotyczyłaby przetwarzania takich danych osobowych, z przetwarzaniem których nie wiązałoby się — w zasadzie — jakiekolwiek ryzyko dla osoby, której dane dotyczą.
Z prawnego (ale i managerskiego) punktu widzenia interesująca jest norma zakodowana w art. 16 ust. 2. Przepis ten dotyczy sytuacji związanych z przekształceniami przedsiębiorstw (łączenie się, podział), czyli z sukcesją danych osobowych.
więcej..
