Japońscy i polscy przedsiębiorcy nie muszą martwić się już o to czy danymi swoich klientów lub pracowników wymieniają się zgodnie z prawem. Od 23 stycznia 2019 r. zaczęła bowiem obowiązywać decyzja Komisji Europejskiej stwierdzająca adekwatny stopień ochrony danych osobowych w Japonii do systemu obowiązującego w państwa należących do Europejskiego Obszaru Gospodarczego.
Made in Japan
Japońskie przedsiębiorstwa z sukcesem podbiły rodzimy rynek motoryzacyjny, lotniczy, elektroniczny czy artykułów przemysłowych i od wielu lat odgrywają ważną rolę jako polski główny azjatycki partner handlowy. Około 300 japońskich firm, głównie z sektora produkcyjnego, sprzedaje w Polsce swoje produkty i zatrudnia pracowników, co wiąże się z przetwarzaniem tysięcy danych osobowych polskich obywateli, które są następnie transferowane do japońskich spółek matek leżących poza obszarem bezpiecznego przetwarzania danych w rozumieniu Ogólnego Rozporządzenia o Ochronie Danych Osobowych (dalej „RODO”).
W najbliższej przyszłości transfer danych będzie jeszcze częstszy pomiędzy krajem Kwitnącej Wiśni, a państwami UE ponieważ od 1 lutego 2019 r. zaczęła obowiązywać umowa o partnerstwie i współpracy gospodarczej pomiędzy tymi dwoma obszarami. Wejście w życie tej umowy spowodowało powstanie ogromnej strefy wolnego handlu, w której bezcłowy obrót towarami i usługami ma przyciągnąć i zadowolić 127 mln konsumentów.
Odpowiedni stopień ochrony danych
Fakt, że do niedawna niektóre kraje europejskie były uznawane za bardziej bezpieczne jeśli chodzi o ochronę danych osobowych niż Japonia może wydawać się zaskakujący. Unijny ustawodawca doskonale zdawał sobie sprawę z tego, że stworzenie bezcłowego obszaru gospodarczego będzie wiązało się ze wzmożonym przepływem danych osobowych zatem również w tej materii należy zapewnić maksymalny poziom swobody. Wejście w życie decyzji stwierdzającej adekwatny stopień ochrony daje bowiem przedsiębiorcom swobodę w przesyłaniu danych bez konieczności podpisywania standardowych klauzul umownych, przyjmowania wiążących klauzul korporacyjnych czy stosowania innych instrumentów legalizujących transfer danych poza EOG. Ze swobody przesyłania danych do i z krajów Unii na podstawie decyzji KE stwierdzającej adekwatny stopień ochrony do tej pory mogły korzystać przede wszystkim Stany Zjednoczone, Kanada, Szwajcaria, Nowa Zelandia, Andora, Izrael, Urugwaj czy Argentyna, natomiast Japonia będzie pierwszym krajem azjatyckim, który skorzysta z tego przywileju.
W lipcu ubiegłego roku zakończono negocjacje dotyczące zarówno umowy o partnerstwie gospodarczym i strategicznym, jak również sprawdzanie reżimów prawnych w zakresie ochrony danych osobowych. Decyzja KE o stwierdzeniu adekwatności ochrony danych jest uzupełnieniem ww. umowy, a procedura jej przyjęcia rozpoczęła się już w 2017 r. i trwała ok. 2 lata. Jak się okazało japoński system ochrony danych osobowych jest oparty na długiej tradycji ochrony prywatności, a jego korzeni można doszukiwać się już w początkach XX w.
Badanie i ocena
Pomimo, że system japoński ma dość długie tradycje związane z ochroną danych KE musiała przeprowadzić całą procedurę potwierdzenia odpowiedniego stopnia ochrony na podstawie art. 45 RODO. W ramach procedury Komisja Europejska ocenia czy w kraju trzecim przestrzegana jest praworządność, podstawowe prawa człowieka oraz odpowiednie ustawodawstwo w zakresie bezpieczeństwa publicznego, obrony, bezpieczeństwa narodowego, prawa karnego oraz dostępu do organów władzy publicznej czuwającymi na przestrzeganiem powyższych przepisów. Ponadto Komisja bada czy w państwie przestrzegane są, równoważne do wyrażonych w RODO, zasady ochrony danych osobowych, odpowiednie techniczne i organizacyjne środki bezpieczeństwa, jak również czy obywatelom przysługują, podobne do przewidzianych w RODO, prawa i wolności. Brane jest również pod uwagę czy istnieje organ nadzorczy, przed którym będzie można dochodzić praw i czy jest on niezależny. Komisja Europejska po dokonaniu przeglądu wydaje decyzję, w której stwierdza adekwatny do europejskiego poziom ochrony oraz określa jak często w przyszłości będzie dokonywała przeglądu tego systemu na wypadek niekorzystnych zmian. Decyzja taka jest następnie opiniowana przez Europejską Radę Ochrony Danych, komitet przedstawicieli państw członkowskich, Komisją Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych przy Parlamencie Europejskim oraz jest zatwierdzana przez kolegium komisarzy.
Ochrona danych w Japonii
Komisja Europejska uznała, że można przyjąć decyzję stwierdzającą odpowiedni stopień ochrony, gdyż okazało się iż system japoński i europejski są bardzo zbliżone. Podstaw ochrony prawa do prywatności możemy szukać w art. 13 Konstytucji japońskiej. Na mocy tego przepisu w 1969 r. Japoński Sąd Najwyższy wydał pierwszy wyrok chroniący dobro osobiste jakim jest prawo do ochrony prywatnych informacji jej dotyczących przed ujawnieniem ich podmiotom trzecim lub upublicznieniem bez ważnego powodu. Na początku XXI w. tj. w maju 2003 r. Japonia przyjęła trzy ustawy dotyczące ochrony danych osobowych:
- ustawę o ochronie danych osobowych, której przepisy są wiążące dla podmiotów prywatnych przetwarzających dane osobowe, przede wszystkim przedsiębiorców,
oraz dwie ustawy dla sektora publicznego:
- ustawę o ochronie danych osobowych przetwarzanych przez organy administracji publicznej oraz
- ustawę o ochronie danych osobowych przetwarzanych przez agencje rządowe.
Z punktu widzenia europejskich przedsiębiorców zasadnicze znaczenie ma pierwsza regulacja. Została ona znowelizowana w 2017 r. w taki sposób aby wprowadzić nowe zabezpieczenia danych oraz zaostrzyć istniejące wymagania. W ramach nowelizacji powołano również niezależny organ nadzorczy, który ma stać na straży praw i obowiązków zapisanych w ustawie. W 2015 r. japoński organ nadzorczy wydał przewodnik dla przedsiębiorców z różnych sektorów gospodarczych, który obowiązuje do tej pory.
Ponadto w 2016 r. zostały przyjęte akty wykonawcze, na mocy których przepisy ww. ustawy są egzekwowane. W tym samym roku Rada Ministrów wydała zarządzenie: „podstawowa polityka”, w którym przyznano japońskiemu organowi nadzorczemu uprawnienia do wydania przepisów regulujących transfer danych do innych państw, których systemy ochrony danych różnią się od japońskiego. Kolejnym krokiem do zalegalizowania transferu danych do państw należących do UE było wydanie w 2018 r. przepisów uzupełniających do ustawy o ochronie danych osobowych dotyczących przekazywania danych do Unii na podstawie decyzji stwierdzającej równoważny stopień ochrony.
Informacje osobowe, dane osobowe, szczególne kategorie danych
Pomimo, że japoński system ochrony danych osobowych jest bardzo podobny do europejskiego i tylko w pewnych aspektach różni się od unijnego choćby w sposobie definiowania danych osobowych. Japońska ustawa o ochronie danych osobowych rozróżnia informacje osobowe oraz dane osobowe.
Zgodnie z japońską definicją informacjami osobowymi są informacje o żyjącej osobie fizycznej i pozwalające zidentyfikować tę osobę na podstawie jakiegokolwiek numeru (kodu) lub innych szczególnych informacji. Takimi informacjami, zgodnie z przewodnikiem organu nadzorczego, mogą być inne informacje o osobie, w których posiadaniu pozostaje przedsiębiorca, przy czym należy pamiętać, że informacje te powinny zostać „łatwo zebrane”, czyli bez ponoszenia nadmiernych kosztów czy wysiłku. Powyższa definicja bardzo przypomina definicję danych osobowych obowiązującą na gruncie polskiej ustawy o ochronie danych osobowych z 1997 r. Przy okazji należy zaznaczyć, że chodzi tu o dane, które są przetwarzane w formie papierowej w rozumieniu RODO.
Natomiast w myśl przepisów japońskiej ustawy o ochronie danych osobowych danymi osobowymi są informacje osobowe, które tworzą bazę danych tzn. zbiór informacji osobowych usystematyzowanych w sposób pozwalający na odnalezienie konkretnej osoby przetwarzanych w sposób zautomatyzowany. Zatem należy uznać, że w myśl prawa japońskiego dane osobowe są to informacje osobowe przetwarzane w systemie informatycznym, co w rozumieniu RODO oznacza przetwarzanie danych w sposób zautomatyzowany. Jednak na mocy decyzji stwierdzającej adekwatny stopień ochrony to rozróżnienie nie będzie miało wpływu na przetwarzanie danych przekazywanych z państw UE do Japonii.
Ustawa japońska wspomina również o szczególnych kategoriach danych, które można uznać za tożsame z danymi szczególnej kategorii na gruncie RODO, do których należą: rasa, wyznanie, status społeczny, historia medyczna, dane o skazaniu czy innych naruszeniach prawa.
Nieznaną na gruncie RODO kategorią danych są dane zanonimizowane zgodnie z brzmieniem japońskiej ustawy. W myśl RODO dane zanonimizowane należy traktować tak jakby zostały usunięte i nie podlegają reżimowi rozporządzenia. Przepisy japońskie natomiast mówią wprost o przetwarzaniu danych zanonimizowanych jednak wydaje się, że chodzi tu o przetwarzanie danych spseudonimizowanych, a tę kwestię doprecyzowały przepisy uzupełniające do ustawy o ochronie danych osobowych, zgodnie z którymi dane przekazane z UE będą podlegały przepisom o danych anonimowych tylko wtedy, gdy nie będzie można ich odszyfrować za pomocą klucza służącego do odwrócenia pseudonimizacji.
Podobieństwa
Zauważyć można liczne podobieństwa do europejskiego sytemu ochrony danych, chociażby analogiczne zasady: ograniczenia celu, zgodności z prawem, rzetelności i przejrzystości, proporcjonalności i minimalizacji danych, ograniczenia przechowywania danych, zapewnienia bezpieczeństwo danych oraz zasadę rozliczalności danych.
Ponadto przepisy japońskie przewidują możliwość skorzystania przez osobę, której dane dotyczą z tych samych praw, które przewiduje RODO tzn.: prawa dostępu do danych, sprostowania danych czy usunięcia danych.
Należy również wspomnieć, że ww. ustawa przewiduje pewne restrykcje w przekazywaniu danych z Europy do państw trzecich przez japońskich przedsiębiorców. Otóż dane przekazane z Europy do Japonii mogą zostać przekazane dalej tylko pod trzema warunkami tj. po wyrażeniu świadomej zgody przez osobę, której dane dotyczą na taki transfer, jeżeli w państwie, do którego przekazywane są dane został ustalony równoważny poziom ochrony danych osobowych oraz jeżeli pomiędzy przedsiębiorcami, którzy przekazują sobie dane została zawarta odpowiednia umowa, przyjęto standardowe klauzule korporacyjne, wiążące reguły korporacyjne lub poczyniono inne odpowiednie ustalenia w ramach grupy kapitałowej.
Konkludując należy uznać, że japoński system ochrony danych jest bardzo podobny do europejskiego, dlatego też ani europejscy przedsiębiorcy ani konsumenci nie muszą się obawiać, że przekazanie danych do Japonii może spowodować negatywne konsekwencje dla ich prawa do prywatność czy naruszyć prawo do ochrony danych osobowych.
Autor: Marta Mojsiej