Dansk English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_da/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Hverdage 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Vigtige punkter ved udarbejdelse af en GDPR-kompatibel privatlivspolitik

Vigtige punkter ved udarbejdelse af en GDPR-kompatibel privatlivspolitik

General Corporate

Vigtige punkter ved udarbejdelse af en GDPR-kompatibel privatlivspolitik

Når man håndterer personoplysninger for brugere inden for EU, er det nødvendigt at overholde GDPR, og man skal udarbejde en privatlivspolitik, der er tilpasset GDPR. Mange er dog usikre på, om deres egen hjemmeside kræver tilpasning, eller hvordan de skal tilpasse sig, fordi de ikke har en dyb forståelse af GDPR.

I denne artikel vil vi forklare hovedpunkterne i GDPR og nøgleelementerne i at skabe en privatlivspolitik, der overholder GDPR. Vi vil også introducere den japanske tilpasningsstatus og eksempler fra kendte virksomheder, så tag et kig og brug det som reference.

Om GDPR og privatlivspolitik

Om GDPR og privatlivspolitik

Hvad indebærer en privatlivspolitik, der overholder GDPR? Her forklarer vi GDPR’s grundlæggende principper og forpligtelserne i henhold til GDPR’s privatlivspolitik.

GDPR og privatlivspolitik

GDPR er en forordning fastsat af EU, som detaljeret regulerer beskyttelse og håndtering af personoplysninger. GDPR gælder i det Europæiske Økonomiske Samarbejdsområde (EØS: EU-medlemslande samt EFTA-landene Island, Liechtenstein og Norge, men ikke Schweiz). Japanske virksomheder kan også være underlagt GDPR i følgende tilfælde:

  • De tilbyder varer eller tjenester til dataemner inden for EU.
  • De overvåger adfærden af dataemner inden for EU.

En dataemne er en identificeret eller identificerbar fysisk person, som persondata relaterer til.

Virksomheder, der falder ind under ovenstående kriterier, skal gennemgå og eventuelt revidere deres privatlivspolitik (privatlivsmeddelelse). Hvis de overtræder GDPR, kan de blive pålagt at betale op til 20 millioner euro eller 4% af den globale omsætning, alt efter hvad der er højst.

Reference: Japan External Trade Organization | “EU General Data Protection Regulation (GDPR)”[ja]

For at handle trygt med lande i EU er det afgørende at sikre, at din privatlivspolitik er på plads.

Informationsforsyning ved indsamling af persondata som fastsat i GDPR

I henhold til GDPR skal en administrator, når persondata indsamles, give visse oplysninger til dataemnet. Artikel 12, stk. 1 i GDPR beskriver, hvordan disse oplysninger skal gives:

  • De skal være præcise, gennemsigtige, forståelige og let tilgængelige.
  • De skal bruge klart og letforståeligt sprog.
  • Der skal træffes passende foranstaltninger, når der gives oplysninger til børn.
  • De skal gives skriftligt eller, hvor det er passende, ved elektroniske midler eller andre metoder.
  • Hvis dataemnet anmoder om det, skal oplysningerne kunne gives mundtligt.

Desuden fastslår GDPR artikel 12, stk. 5, at levering af oplysninger skal være gratis. Kontroller, om din virksomheds privatlivspolitik opfylder ovenstående krav, og revider den om nødvendigt.

Vigtige punkter ved opdatering af GDPR-kompatibel privatlivspolitik

Vigtige punkter ved opdatering af GDPR-kompatibel privatlivspolitik

I henhold til GDPR skal dataansvarlige, når de indsamler personoplysninger direkte fra den registrerede (GDPR artikel 13) eller fra andre end den registrerede (GDPR artikel 14), oplyse den registrerede om flere specifikke punkter.

De punkter, som dataansvarlige skal oplyse om, inkluderer følgende:

  • Dataansvarliges identitet og kontaktoplysninger
  • Hvis der er en repræsentant, repræsentantens identitet og kontaktoplysninger
  • Den registreredes rettigheder til adgang, rettelse, sletning, begrænsning, dataportabilitet og indsigelse
  • Formålet med og det retlige grundlag for behandlingen af personoplysninger
  • Den periode, hvori personoplysningerne vil blive opbevaret, eller de kriterier, der anvendes til at fastlægge denne periode
  • De typer af personoplysninger, der behandles

Der er punkter, som skal oplyses, som ikke findes i japanske privatlivspolitikker, så det vil være vigtigt at fokusere på disse, når man opdaterer politikkerne. For information om privatlivspolitikker baseret på den japanske lov om beskyttelse af personoplysninger, se venligst denne artikel.

Relateret artikel: Hvad er de vigtige punkter ved oprettelse af en privatlivspolitik baseret på den japanske lov om beskyttelse af personoplysninger?[ja]

Her vil vi forklare de vigtige punkter ved opdatering, med særlig fokus på de aspekter, der ikke er dækket af privatlivspolitikker baseret på den japanske lov om beskyttelse af personoplysninger.

Grundlag for lovligheden af databehandling

I henhold til GDPR (General Data Protection Regulation) er det blevet et krav at eksplicit angive ‘grundlaget for lovligheden af databehandling’, hvilket ikke var et krav under den tidligere persondatalovgivning. Der er seks grunde til, at behandling af persondata kan anses for at være lovlig (Artikel 6 i GDPR):

  • Den registreredes samtykke
  • Opfyldelse af en kontrakt
  • En retlig forpligtelse
  • Vital interesse
  • Offentlig interesse
  • Legitime interesser

Hvis blot én af de ovenstående seks grunde er gældende, kan databehandlingen anses for at være lovlig, så det er vigtigt at gøre dette klart i privatlivspolitikken. For personer, som man indsamler oplysninger fra for første gang, kan man opnå samtykke gennem en ny privatlivspolitik.

Det er dog vigtigt at være opmærksom på håndteringen af brugere, som allerede har givet deres samtykke. For personer, der har givet samtykke før ændringerne i privatlivspolitikken, kan det være nødvendigt at indhente nyt samtykke.

I sådanne tilfælde kan man inkludere ét af de seks lovlige grundlag i privatlivspolitikken og bede om samtykke til ændringerne på den måde.

Oplysninger vi indsamler og formålet med brugen

I traditionelle privatlivspolitikker har det været almindeligt at nævne de oplysninger, der indsamles, formålet med brugen og vilkårene for brug på samme side og opnå samtykke i en samlet form. Men under GDPR (General Data Protection Regulation) (2018) er det nødvendigt at gøre det klart, hvad brugerne giver deres samtykke til.

Det er en god idé at angive formålet med brugen for hver type af indsamlede oplysninger og at indhente samtykke for hver enkelt af disse.

Tydeliggørelse af formålet med brugen

I henhold til GDPR skal formålet med brugen af indsamlede oplysninger være klart angivet. For eksempel kan et formål som “for at forbedre tjenesten” være for vagt og derfor betragtes som upassende.

Desuden er det ikke tilladt at behandle oplysningerne på en måde, der ikke stemmer overens med det oprindelige formål, så det er vigtigt at være opmærksom på dette, når du reviderer din privatlivspolitik.

Ret til sletning og dataoverførbarhed

Mange virksomheder har tidligere inkluderet rettigheder som adgangsret og rettelse i deres privatlivspolitikker. Men under GDPR (General Data Protection Regulation) er det også nødvendigt at beskrive ‘ret til sletning og dataoverførbarhed’.

Ret til sletning giver brugere retten til at få deres personlige data slettet af administratoren. Dataoverførbarhedsretten giver dem retten til at overføre deres personlige data til en anden tjeneste.

For eksempel kan det indebære at overføre en kundes data og historik fra mobiltelefonfirma A til mobiltelefonfirma B. For at overholde GDPR skal privatlivspolitikker indeholde information om disse rettigheder.

Angivelse af opbevaringsperiode for data

I henhold til GDPR (General Data Protection Regulation) er det nødvendigt at angive “opbevaringsperioden for personoplysninger”, hvilket ikke tidligere var krævet i den traditionelle privatlivspolitik. Hvis det ikke er muligt at fastsætte en specifik periode, er det tilladt at angive kriterierne for, hvordan opbevaringsperioden bestemmes.

Japanske virksomheders håndtering af GDPR

Japanske virksomheders håndtering af GDPR

Vi præsenterer undersøgelsesinformation fra “Corporate IT Utilization Trend Survey 2021” (detaljeret version) udarbejdet af Japan Information Economy Society Promotion Association og ITR Corporation. Se undersøgelsesresultaterne her[ja].

Corporate IT Utilization Trend Survey 2021

Ifølge undersøgelsesresultaterne er der få virksomheder, der har tilpasset sig GDPR, og det største antal virksomheder, 26,1%, er stadig i gang med at overveje tilpasningen. Pr. 2021 er der også en tendens til, at mange virksomheder ikke overfører persondata til EU.

Undersøgelsesresultaterne vedrørende udveksling af persondata med EU er som følger:

Corporate IT Utilization Trend Survey 2021

Som det ses i figuren ovenfor, svarede 44,4% af virksomhederne, at de “i øjeblikket ikke har nogen udveksling og heller ikke planlægger nogen i fremtiden”, hvilket er det højeste antal. 12% af virksomhederne svarede, at de “havde udveksling tidligere, men siden GDPR’s implementering behandler de data separat i EU og Japan”.

25,9% svarede, at de “i øjeblikket ikke har nogen udveksling, men planlægger at gøre det i fremtiden”, og 17,6% er “i øjeblikket i gang med udveksling”. Selvom der er potentiale for, at flere virksomheder vil udveksle data med EU i fremtiden, viser undersøgelsen fra 2021, at antallet er lavt.

Kilde: JIPDEC/ITR ‘Corporate IT Utilization Trend Survey 2021′[ja]

Kendte virksomheders tilgang til GDPR

Kendte virksomheders tilgang til GDPR

Mange er usikre på, hvad der præcist skal indgå i en privatlivspolitik, der er revideret for at overholde GDPR. Her vil vi detaljeret forklare, hvordan kendte virksomheder som Google og Facebook har tilpasset sig GDPR, som eksempler på virksomheders tilgang til reguleringen.

Googles håndtering af GDPR

Google har annonceret følgende tiltag for at overholde GDPR:

  • Forbedret gennemsigtighed over for brugerne
  • Forbedret brugerkontrol
  • Forbedret dataoverførbarhed
  • Forbedrede værktøjer til forældres samtykke og børns passende brug af internettet
  • Support til forretningsbrugere og partnere
  • Styrkelse af privatlivets fred og compliance-programmer

Her forklarer vi detaljerne.

Reference: Google “Googles forberedelser til EU’s nye databeskyttelseslov (GDPR)[ja]

Forbedret gennemsigtighed over for brugere

For at gøre det lettere at forstå, hvilke oplysninger Google indsamler og hvorfor, forbedrer og opdaterer vi vores privatlivspolitik for at gøre informationen mere tilgængelig. Andre nævnte forbedringer inkluderer:

  • Tilføjelse af detaljer om styring, eksport og sletning af information
  • Indførelse af videoer og diagrammer ud over tekst

Desuden ændrer vi indstillingerne, så det bliver lettere at åbne og tilgå privatlivsindstillingerne.

Forbedring af brugerstyring

For at overholde GDPR har vi forbedret måden, hvorpå brugerne styres. De ændringer, vi har foretaget, er som følger:

  • Mulighed for at se og slette data i “Min aktivitet”
  • En funktion, der tillader søgning efter emne, dato og produkt
  • Mulighed for at tjekke privatlivsindstillinger, der passer til den enkelte
  • Kontrol og mulighed for at skjule de annoncer, der vises
  • Overblik over data i Google Dashboard

Desuden er brugerinformation og annoncer blevet lettere at administrere end før GDPR-trædelsen.

Forbedring af dataoverførbarhed

Google tilbyder forskellige tjenester såsom Google Fotos, Drev, Kalender og Gmail. Nedenfor er de tiltag, som Google har implementeret for at overholde GDPR og forbedre dataoverførbarheden:

  • Udvidelse af tjenester og administrationsmuligheder for at understøtte data download
  • Tilføjelse af funktioner til at planlægge regelmæssige downloads

Forbedring af værktøjer til forældres samtykke og børns passende brug af internettet

Hos Google tilbyder vi Family Link-appen for at støtte forældre og børns passende brug af internettet. Med Family Link kan forældre oprette konti til deres børn.

Appen gør det muligt at indstille og administrere husregler såsom “styring af brugstid” og “midlertidig pause af enheden”.

Support til forretningsbrugere og partnere

For at overholde GDPR har vi opdateret vores politikker, som påvirker Google-partnere (såsom annoncører og webstedsoperatører), når de anmoder om brugernes samtykke på deres websites og i apps. Andre nævneværdige punkter inkluderer:

  • Tilvejebringelse af værktøjer til at understøtte overholdelse af GDPR
  • Stramning af certificeringsprocessen for virksomheder, der bruger Googles annonceringstjenester
  • Opdatering af betingelserne for databehandling
  • Tilvejebringelse af detaljerede oplysninger om dataoverførbarhed og notifikationer vedrørende databrud

Styrkelse af Privacy Compliance Program

For at overholde GDPR styrker vi vores Privacy Compliance Program. Programmet omfatter følgende:

  • Forbedring af vores privatlivsprogram
  • Styrkelse af produktgennemgangsprocessen

Desuden dokumenterer vi vores databehandling mere omfattende.

Facebooks håndtering af GDPR

Facebook har annonceret følgende tiltag som respons på GDPR:

  • Bekræftelse af information indsamlet fra viste annoncer
  • Valg af profilinformation
  • Bekræftelse af ansigtsgenkendelsesteknologi (EU & Canada)
  • Opdaterede servicevilkår & samtykke vedrørende data
  • Implementering af funktioner, der gør det nemt at tilgå, slette og downloade information
  • Information til yngre brugere

Her vil vi forklare detaljerne.

Reference: Facebook “Overholdelse af den generelle databeskyttelsesforordning (GDPR) og tilbydelse af nye privatlivsbeskyttelser[ja]

Bekræftelse af information indsamlet fra viste annoncer

Facebooks partnere bruger information indsamlet fra ‘Synes godt om’-klik og værktøjer leveret af Facebook til at vise annoncer. Brugerne får information om annoncerne og kan vælge, om de tillader partnere at bruge deres information til annoncering.

Valg af profilinformation

Facebooks profiler kan indeholde oplysninger om politiske synspunkter, religion/tro og relationer. Brugerne kan vælge, om de vil fortsætte med at offentliggøre disse oplysninger og om de kan bruges i annoncering.

Profilinformation kan altid frit vælges, og brugerne kan nemt slette dem, hvis de ønsker det.

Bekræftelse af ansigtsgenkendelsesteknologi (EU & Canada)

Facebook giver brugere i EU-medlemslande og Canada mulighed for at vælge, om de vil bruge ansigtsgenkendelsesteknologi. Andre brugere har også friheden til at vælge.

Opdaterede servicevilkår & samtykke vedrørende data

Brugerne vil se en anmodning om at acceptere opdaterede ‘Servicevilkår’ og ‘Datapolitik’, som indeholder detaljerede oplysninger om, hvordan tjenesten fungerer.

Implementering af funktioner, der gør det nemt at tilgå, slette og downloade information

Ved hjælp af ‘Persondatahåndteringsværktøjer’ kan brugerne gennemgå og slette deres data. Desuden er det gjort nemt at downloade og eksportere data.

Logfunktionen for aktiviteter på mobile enheder er blevet opdateret, så brugerne nemmere kan se, hvilke oplysninger de har delt i fortiden.

Information til yngre brugere

Facebook har allerede indført restriktioner specifikt for teenagere. Disse inkluderer:

  • Begrænsninger i annonceringskategorier
  • Ingen brug af ansigtsgenkendelse (under 18 år)
  • Begrænsninger i, hvem der kan se og søge efter informationer delt af teenagere

Desuden er standardindstillingerne designet, så information ikke offentliggøres.

For at overholde GDPR har Facebook indført yderligere regler. For brugere i EU-medlemslande kræves forældres tilladelse til visning af annoncer og offentliggørelse af profiloplysninger (såsom religion/tro, politiske synspunkter). I andre regioner kan brugerne vælge, om de tillader brug af data indsamlet af partnere til annoncering og om de vil offentliggøre personlige oplysninger på deres profil.

Opsummering: GDPR har en bredere definition af persondata end japansk lovgivning og kræver tilpasning

GDPR

Under GDPR er der forskellige bestemmelser såsom ‘klar angivelse af formålet med hver indsamlet information’, ‘eksplicitte rettigheder til sletning og dataportabilitet’ og ‘klar angivelse af opbevaringsperioder’, hvilket udvider rettighederne for brugerne i forhold til traditionel japansk lovgivning.

Hvis en virksomhed overtræder GDPR, kan det medføre betydelige bøder, og virksomheder, der håndterer personlige oplysninger inden for EU, skal overholde GDPR. Virksomheder, der allerede opererer eller overvejer at udvide deres forretning inden for EU, bør udarbejde en privatlivspolitik, der er i overensstemmelse med GDPR.

Vejledning om foranstaltninger fra vores kontor

Monolith Advokatfirma er et advokatfirma med omfattende erfaring inden for IT, især internet og jura. I de senere år er global forretning blevet stadig mere udbredt, og behovet for juridisk kontrol af eksperter er stigende. Vores firma tilbyder løsninger inden for international juridisk service.

Monolith Advokatfirmas ekspertiseområder: International juridisk service og udenlandske forretninger[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Hvad er den gennemsnitlige tid, der kræves for tidsbaserede advokattjenester såsom oprettelse af kontrakter?

Hvad er den gennemsnitlige tid, der kræves for tidsbaserede advokattjenester såsom oprettelse af.

General Corporate

Undgå fejl! “Lovgivning du bør kende til for personlig M&A”

Undgå fejl! “Lovgivning du bør kende til for personlig M&A”

General Corporate

En advokat forklarer den korrekte måde at skrive en agenturaftale og dens typer på

En advokat forklarer den korrekte måde at skrive en agenturaftale og dens typer på

General Corporate

Hvad er kontrolpunkterne i en kontrakt med en internetreklamebureau?

Hvad er kontrolpunkterne i en kontrakt med en internetreklamebureau?

General Corporate

Juridiske problemer, som medieoperatører af affiliate-modeller bør være opmærksomme på

Juridiske problemer, som medieoperatører af affiliate-modeller bør være opmærksomme på

General Corporate

Hvad er proceduren for at udveksle visitkort online? Forklaring af vigtige punkter i den 'japanske Specifikke Elektroniske Mail Lov

Hvad er proceduren for at udveksle visitkort online? Forklaring af vigtige punkter i den 'japans.

General Corporate

Hvad er dobbelt prismærkning? Forklaring af nøglepunkter for at undgå overtrædelse af 'den japanske præmieudstillingslov' og sanktioner

Hvad er dobbelt prismærkning? Forklaring af nøglepunkter for at undgå overtrædelse af 'den japan.

General Corporate

Hvad er tjekpunkterne for kontraktudarbejdelse i forbindelse med DX-supportvirksomhed?

Hvad er tjekpunkterne for kontraktudarbejdelse i forbindelse med DX-supportvirksomhed?

General Corporate

Hvad er forbindelsen mellem at tage erhvervshemmeligheder med sig og den japanske 'Lov om forebyggelse af urimelig konkurrence'?

Hvad er forbindelsen mellem at tage erhvervshemmeligheder med sig og den japanske 'Lov om foreby.

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Tilbage til toppen