Hvad er "Cloud-undtagelsen" i personoplysningsbeskyttelsesloven? En forklaring baseret på reelle eksempler på administrativ vejledning modtaget af cloudtjenesteudbydere.
Virksomheder, der håndterer personoplysninger, er underlagt forskellige regler for behandling af disse oplysninger i henhold til den japanske lov om beskyttelse af personoplysninger. Vores personlige oplysninger er dybt forbundet med vores privatliv og inkluderer vigtige oplysninger relateret til fysiske karakteristika og ejendom, så det er kun naturligt, at der er fastsat strenge regler.
Men der er visse undtagelser i denne lov. En af disse er det, der kaldes “cloud-undtagelsen”.
Hvad er så denne “cloud-undtagelse”? I denne artikel vil vi, baseret på et eksempel fra MK System, som modtog administrativ vejledning i Reiwa 6 (2024), klart forklare, hvad “cloud-undtagelsen” dækker, og hvilke betingelser der gælder for dens anvendelse.
Principper og undtagelser ved videregivelse af persondata til tredjeparter under japansk lov
Lad os først bekræfte principperne og undtagelserne for videregivelse af persondata til tredjeparter i henhold til den japanske lov om beskyttelse af personoplysninger.
Principper for beskyttelse af personoplysninger under japansk lov ved videregivelse af persondata til tredjeparter
Når en virksomhed, der håndterer personoplysninger, anvender cloud-tjenester, anses det for at have “uddelegeret hele eller en del af behandlingen af persondata” i henhold til artikel 27, stk. 5, nr. 1 i den japanske lov om beskyttelse af personoplysninger (Heisei (1988) år), og det er et princip, at virksomheden skal udføre nødvendig og passende tilsyn med cloud-tjenesteudbyderen i overensstemmelse med artikel 25 i samme lov.
Hvad er “Cloud Exception” under japansk lov?
Denne undtagelse er den såkaldte “Cloud Exception”.
En “cloudtjenesteudbyder” i denne sammenhæng refererer primært til virksomheder, der leverer IT-infrastruktur såsom lagring og servere (IaaS/PaaS) og tilbyder tjenester, der opbevarer og behandler andre virksomheders data via internettet. Følgende udbydere er eksempler på dette:
- Amazon Web Services (AWS): Leveret af det amerikanske Amazon og bredt anvendt af japanske virksomheder.
- Microsoft Azure: En cloudinfrastrukturtjeneste fra Microsoft med mange implementeringer i offentlige institutioner.
- Google Cloud Platform (GCP): Leveret af Google med styrker inden for AI og big data-behandling.
“Cloud Exception” bliver relevant, når en SaaS-udbyder (Software as a Service), der udvikler systemer på en cloudinfrastruktur (IaaS eller PaaS), håndterer persondata.
I Q&A-sektionen af retningslinjerne for “Protection of Personal Information Law” fra den japanske Personal Information Protection Commission, er følgende noteret under punkt 7-53:
(Når det ikke anses for at være en tredjepart) Q7-53 Hvis en virksomhed, der håndterer personoplysninger, bruger en ekstern udbyder som i en cloudserviceaftale for et informationssystem, der indeholder persondata, er det så nødvendigt at indhente “personens samtykke” (Artikel 27, Afsnit 1) som om persondataene blev givet til en tredjepart? Eller er det nødvendigt at overvåge cloudserviceudbyderen i henhold til Artikel 25, som om “håndteringen af persondata helt eller delvist er blevet outsourcet” (Artikel 27, Afsnit 5, Punkt 1)?
A7-53 Der findes mange forskellige former for cloudtjenester, men om brugen af en cloudtjeneste kræver “personens samtykke” til tredjepartsdeling (Artikel 27, Afsnit 1) eller outsourcing (Artikel 27, Afsnit 5, Punkt 1), afhænger ikke af, om de elektroniske data, der opbevares, indeholder persondata, men om cloudserviceudbyderen faktisk håndterer persondata. Hvis cloudserviceudbyderen ikke håndterer de pågældende persondata, betragtes det ikke som at have givet persondata videre, og derfor er det ikke nødvendigt at indhente “personens samtykke”. I ovennævnte tilfælde, da persondata ikke er blevet givet videre, falder det heller ikke ind under “outsourcing af håndteringen af persondata helt eller delvist… i tilfælde af at det bliver givet videre” (Artikel 27, Afsnit 5, Punkt 1), og der er ingen forpligtelse til at overvåge cloudserviceudbyderen i henhold til Artikel 25. For at opfylde kravet om, at “de pågældende persondata ikke håndteres”, skal følgende to betingelser være opfyldt:
Spørgsmål og svar om „Retningslinjerne vedrørende loven om beskyttelse af personoplysninger“[ja]|Kommissionen for Beskyttelse af Personoplysninger
Med andre ord, når en bruger af cloudtjenester anvender disse tjenester, er det ikke nødvendigt at overvåge cloudserviceudbyderen, hvis undtagelseskravene er opfyldt. For at “Cloud Exception” kan anerkendes, og man ikke behøver at håndtere persondata, er følgende to betingelser nødvendige:
- Kontraktvilkårene skal fastslå, at den eksterne udbyder ikke håndterer persondata, der er gemt på serveren
- Der skal være passende adgangskontrol
Administrativ vejledning til MK System Inc. under japansk lovgivning
Den 25. marts i Reiwa 6 (2024), udstedte den japanske Kommission for Beskyttelse af Personoplysninger vejledning til MK System Inc. i henhold til artikel 147 i loven om beskyttelse af personoplysninger. Denne vejledning blev udstedt som følge af en omfattende lækage af personoplysninger, der berørte omkring 7,5 millioner mennesker. I kølvandet på denne hændelse har Kommissionen for Beskyttelse af Personoplysninger offentliggjort en advarsel vedrørende de punkter, som udbydere af cloud-tjenester skal være opmærksomme på, når de håndterer personoplysninger i henhold til loven om beskyttelse af personoplysninger.
Lad os undersøge sagen om administrativ vejledning til MK System Inc. vedrørende undtagelsen for cloud-tjenester i loven om beskyttelse af personoplysninger.
Sagsresumé
MK System Inc., et japansk selskab, har opbygget et socialforsikrings- og personaleledelsesstøttesystem ved hjælp af servere fra Kinas Tencent Cloud og har leveret tjenester til brugere som kontorer for social- og arbejdsrådgivere.
I juni (Reiwa 5) 2023 blev serveren udsat for uautoriseret adgang, og der opstod en risiko for lækage af personlige data (såsom navne, fødselsdatoer, køn, adresser, grundpensionsnumre, beskæftigelsesforsikringsnumre og My Number-oplysninger) for medarbejdere hos virksomheder og forretningssteder, som er kunder hos social- og arbejdsrådgiverne.
Når man anvender retningslinjerne på forholdet mellem disse tre parter, ser det ud som følger:
| Position ifølge retningslinjerne | Forretningsdrivende | Indhold |
| Udbyder | Brugere såsom social- og arbejdsrådgivere (virksomheder der håndterer personlige oplysninger) | Står for håndtering af kunders (virksomheder og enkeltpersoner) personlige data |
| Underleverandør | MK System Inc. | Leverer et system på cloud-basis, der erstatter og understøtter social- og arbejdsrådgiveropgaver. Behandler personlige data på kundens instrukser |
| Yderligere underleverandør | Tencent Cloud (Kina) | MK System har outsourcet cloud-infrastrukturen. Kan betragtes som overførsel til udlandet |
Den Japanske Kommission for Beskyttelse af Personlige Oplysninger har konkluderet, at der var mangler ved MK Systems tekniske og sikkerhedsmæssige foranstaltninger.
Indholdet af administrativ vejledning under japansk lov
Fra den Japanske Kommission for Beskyttelse af Personoplysninger er der blevet givet administrativ vejledning i henhold til bestemmelserne i artikel 147 i Lov om Beskyttelse af Personoplysninger, samt indsamling af rapporter i henhold til bestemmelserne i artikel 146, stk. 1 i samme lov.
Advarsel fra den Japanske Kommission for Beskyttelse af Personoplysninger
Den Japanske Kommission for Beskyttelse af Personoplysninger har offentliggjort en advarsel “Vigtige overvejelser for udbydere af cloud-tjenester, der håndterer personoplysninger i henhold til loven om beskyttelse af personoplysninger (Advarsel)[ja]“.
Denne advarsel er primært rettet mod brugere af cloud-tjenester for at vurdere, om brugen af cloud-tjenester falder ind under outsourcing af databehandling (Artikel 27, Afsnit 5, Punkt 1 i den japanske lov om personoplysninger), og hvis det er tilfældet, skal den virksomhed, der håndterer personoplysninger og bruger cloud-tjenester, udføre nødvendig og passende tilsyn med deres serviceudbyder.
For MK System er det fastslået, at der ikke er nogen undtagelse for cloud-tjenester, og at de er en virksomhed, der håndterer personoplysninger, hvilket kræver passende tilsyn, baseret på følgende tre punkter:
Vigtige overvejelser for udbydere af cloud-tjenester, der håndterer personoplysninger i henhold til loven om beskyttelse af personoplysninger (Advarsel)|Den Japanske Kommission for Beskyttelse af Personoplysninger[ja]
- I brugsvilkårene er det angivet, at udbyderen af cloud-tjenester kan udføre nødvendige handlinger såsom overvågning, analyse og undersøgelse af data, når det anses for nødvendigt for vedligeholdelse og drift, og at udbyderen, bortset fra i visse tilfælde, ikke må bruge eller afsløre data på systemet uden tilladelse.
- Udbyderen af cloud-tjenester har en vedligeholdelses-ID og er i stand til at få adgang til brugerens personoplysninger, og der er ikke truffet tekniske kontrolforanstaltninger for at forhindre denne adgang.
- Der er faktisk håndteret personoplysninger fra brugere af cloud-tjenester efter at have indgået en bekræftelsesaftale med dem.
Vigtige overvejelser for udbydere af cloudtjenester i Japan
Med udgangspunkt i de juridiske problemer og de administrative vejledninger og advarsler, der er blevet forklaret indtil nu, hvad bør udbydere af cloudtjenester (i det tidligere nævnte eksempel henvises til MK System) være opmærksomme på?
Gennemgå endnu en gang, om kravene til cloud-undtagelsen er opfyldt
Først og fremmest bør du gennemgå, om de tjenester din virksomhed tilbyder, opfylder kravene til cloud-undtagelsen.
Efter den seneste opmærksomhed fra den Japanske Kommission for Beskyttelse af Personlige Oplysninger, kan det forventes, at virksomheder, der bruger cloudtjenester, vil gennemgå, om deres cloudtjenesteudbydere opfylder kravene til cloud-undtagelsen.
Derfor bør udbydere af cloudtjenester også sikre sig, at de opfylder kravene til cloud-undtagelsen ved at gennemgå dem igen.
Hvis kravene til cloud-undtagelsen ikke er opfyldt, skal man håndtere tilsyn fra kunden
Hvis kravene til cloud-undtagelsen ikke er opfyldt, skal du håndtere tilsyn fra brugere af cloudtjenester (i dette tilfælde, de kontorer for socialrådgivning og virksomheder, der bruger tjenesterne leveret af MK System).
Tilsynet fra brugere af cloudtjenester vil omfatte følgende, som er beskrevet i retningslinjerne for beskyttelse af personlige oplysninger (Generelle Bestemmelser) 3-4-4 Tilsyn med underleverandører (relateret til artikel 25 i loven):
- Valg af passende underleverandører: Det er nødvendigt at bekræfte, at underleverandørens sikkerhedsforanstaltninger er ækvivalente med dem, der kræves af den oprindelige kontraktspart i henhold til artikel 23 og disse retningslinjer.
- Indgåelse af underleverandørkontrakt: Det er ønskeligt at indgå en kontrakt, der inkluderer, at den oprindelige kontraktspart kan forstå håndteringen af de overdragne persondata på en rimelig måde.
- Forståelse af håndteringen af persondata hos underleverandøren: Regelmæssigt at evaluere gennem revisioner for at sikre passende håndtering.
Hvis underleverandørens sikkerhedsforanstaltninger er utilstrækkelige, kan kontrakten blive opsagt, og der kan blive krævet, at der træffes nødvendige sikkerhedsforanstaltninger og at man deltager i regelmæssige revisioner.
Konklusion: Rådfør dig med en advokat om beskyttelse af personoplysninger på cloud-tjenester
I denne artikel har vi forklaret risiciene for udbydere af cloud-tjenester, der ikke opfylder cloud-undtagelserne, baseret på vejledning fra den japanske Kommission for Beskyttelse af Personoplysninger offentliggjort i marts 2025 (Reiwa 7).
En hændelse med læk af oplysninger udløste en advarsel fra Kommissionen for Beskyttelse af Personoplysninger til brugere af cloud-tjenester. Advarslen er relevant ikke kun for brugerne, men også for udbyderne af cloud-tjenester, som skal revurdere de tjenester, de tilbyder, og være opmærksomme på de potentielle byrder, der kan opstå.
Med denne vejledning i tankerne, hvis du er usikker på, hvilke risici din virksomhed står over for, eller hvilke foranstaltninger der er nødvendige, anbefales det at konsultere en advokat.
Vejledning i foranstaltninger fra vores advokatfirma
Monolith Advokatfirma er et advokatfirma med omfattende erfaring inden for IT, især internettet og lovgivningen. I en tid, hvor mange IT-virksomheder udvikler deres forretning ved hjælp af cloud-tjenester som AWS, er beskyttelse mod lækage af personlige oplysninger blevet en uundværlig del af risikostyringen i forretningsdriften. Skulle personlige oplysninger lække, kan det i værste fald have en fatal indvirkning på virksomhedens aktiviteter. Vores firma besidder specialiseret viden om forebyggelse af og reaktion på informationssikkerhedsbrud. Yderligere detaljer er beskrevet i nedenstående artikel.
Monolith Advokatfirmas ekspertiseområder: Tjenester relateret til den japanske lov om beskyttelse af personoplysninger[ja]
Category: IT
Tag: ITTerms of Use
