Hvad er 'Persondataforordningen' og personlige oplysninger? En advokat forklarer
Den japanske lov om beskyttelse af personlige oplysninger (præcist “Lov om beskyttelse af personlige oplysninger”), som blev revideret i 2015 (og trådte i kraft i 2017), er en vigtig lovgivning, når man overvejer spørgsmål om personlige oplysninger i virksomhedsaktiviteter. Denne lov præciserer de juridiske forpligtelser, som virksomheder, der håndterer personlige oplysninger, skal overholde. Indtil 2015 (Heisei 27 i den japanske kalender, 2015 i den gregorianske kalender) var det kun virksomheder, der håndterede personlige oplysninger for mere end 5000 personer, der blev betragtet som sådanne. Derfor var der mange virksomheder, især mindre virksomheder, der ikke blev betragtet som virksomheder, der håndterer personlige oplysninger. Efter revisionen i 2015 blev denne betingelse ophævet, og næsten alle virksomheder er nu betragtet som virksomheder, der håndterer personlige oplysninger. Dette gør loven uundgåelig, selv for ejere af små virksomheder. Da det er nødvendigt at håndtere personlige oplysninger som kundens navn og e-mail-adresse for ting som postordre, nyhedsbreve, direkte mail og pointkort til fysiske butikker, er det vigtigt at have en grundlæggende forståelse af den japanske lov om beskyttelse af personlige oplysninger.
Formål og definition af den japanske lov om beskyttelse af personoplysninger (Japanese Personal Information Protection Act)
Hvad er den japanske lov om beskyttelse af personoplysninger konkret? Lad os se på en oversigt. Først og fremmest er formålet med denne lov klart angivet i artikel 1.
Artikel 1 i den japanske lov om beskyttelse af personoplysninger
Denne lov har til formål at beskytte individets rettigheder og interesser, samtidig med at man tager hensyn til nytten af personoplysninger, ved at fastlægge grundlæggende principper og regeringens grundlæggende politikker samt andre grundlæggende foranstaltninger til beskyttelse af personoplysninger, klarlægge statens og lokale offentlige enheders ansvar, og fastlægge de forpligtelser, som virksomheder, der håndterer personoplysninger, skal overholde. Dette vil bidrage til en passende og effektiv brug af personoplysninger, som vil fremme skabelsen af nye industrier og en dynamisk økonomi og samfund samt et rigt liv for borgerne.
Sådan står der.
I artikel 2 defineres personoplysninger, persondata og opbevarede persondata (artikel 2, afsnit 1, 4 og 5).
I den japanske lov om beskyttelse af personoplysninger er “personoplysninger” defineret som “information om en levende person”, som “kan identificere en bestemt person ved hjælp af navn, fødselsdato og andre beskrivelser indeholdt i sådanne oplysninger (herunder oplysninger, der kan identificere en bestemt person ved let at sammenligne dem med andre oplysninger)”. “Persondata” er en databaseret version af ovenstående personoplysninger, og blandt dem er dem, som virksomheden har opbevaret i mere end seks måneder, “opbevarede persondata”.
Behovet for at beskytte personoplysninger varierer stort afhængigt af, om de er databaserede eller ej. Persondata er systematisk strukturerede personoplysninger, der er databaserede og let kan søges, og derfor er risikoen for krænkelse af rettigheder højere, så de får stærkere beskyttelse end generelle personoplysninger.
Endnu stærkere beskyttelse gives til opbevarede persondata, som er persondata, der kan håndteres af personoplysningsselskaber, såsom offentliggørelse, rettelse af indhold, tilføjelse eller sletning, ophør af brug, sletning og ophør af levering til tredjepart (artikel 2, afsnit 7). For opbevarede persondata er anmodninger om offentliggørelse, rettelse, ophør af brug osv., baseret på kravet om, at den enkelte skal kunne deltage passende i hans eller hendes egne oplysninger, anerkendt (som vil blive nævnt senere).
Regler for håndtering af personlige oplysninger
For at forhindre misbrug af personlige oplysninger, er det nødvendigt at begrænse deres håndtering inden for det område, der er nødvendigt for at opnå det formål, der er klart specificeret som en regel for korrekt håndtering.
Derfor skal virksomheder, der håndterer personlige oplysninger:
- Specificere formålet med brugen af personlige oplysninger så meget som muligt, når de håndteres (Artikel 15, afsnit 1 i den japanske lov om beskyttelse af personlige oplysninger)
- Ikke håndtere personlige oplysninger ud over det område, der er nødvendigt for at opnå formålet med brugen (Artikel 16, afsnit 1)
- Ikke erhverve personlige oplysninger ved falske eller andre uretmæssige midler (Artikel 17, afsnit 1)
- Meddele eller offentliggøre formålet med brugen til den person, hvis oplysninger er erhvervet (Artikel 18)
Den japanske lov om beskyttelse af personlige oplysninger kræver, at virksomheder bruger de personlige oplysninger, de besidder, i overensstemmelse med det formål, de har specificeret og offentliggjort på forhånd. Med andre ord, det er nødvendigt at “specificere og offentliggøre formålet, uanset hvordan personlige oplysninger bruges”. For eksempel er det ikke ulovligt at “bruge personlige oplysninger for at vise annoncer, der passer til brugerens attributter”, men det er nødvendigt at offentliggøre dette formål på forhånd. Der er ingen specifikke krav til offentliggørelsesmetoden, men det er almindeligt at gøre dette i form af en “privatlivspolitik” eller “politik for beskyttelse af personlige oplysninger”.
På den anden side er erhvervelse af såkaldte følsomme oplysninger, der kræver særlig hensyn, forbudt uden samtykke fra den pågældende person, hvilket er en strengere regel end for almindelige personlige oplysninger (Artikel 17, afsnit 2).
Følsomme oplysninger er defineret som:
Artikel 2, afsnit 3
I denne lov betyder “følsomme oplysninger” personlige oplysninger, der indeholder beskrivelser, der er fastlagt ved forordning, for at sikre, at der ikke opstår uretfærdig diskrimination, fordomme eller andre ulemper over for den pågældende person, såsom race, tro, social status, medicinsk historie, kriminel historie, og det faktum, at personen har lidt skade som følge af en forbrydelse.
Dette inkluderer også resultater af handicap- og helbredstjek, vejledning, behandling og recepter fra læger, det faktum, at der er foretaget strafferetlige procedurer, og det faktum, at der er foretaget procedurer i forbindelse med ungdomsbeskyttelsessager.
Det er strengt reguleret, at følsomme oplysninger ikke kan “erhverves” uden samtykke fra den pågældende person, medmindre der er visse undtagelsesgrunde. Dette skyldes, at det antages, at følsomme oplysninger, selvom de sjældent anses for nødvendige at erhverve, kan føre til diskrimination og fordomme, hvis de erhverves og håndteres.
Regler for styring og tilsyn
Det er fastlagt, at der skal udføres nødvendig og passende tilsyn med den pågældende medarbejder for at sikre sikker håndtering af personlige data.
Mange mennesker er bekymrede og føler sig usikre, når personlige oplysninger lækker eller bliver ændret. Især med databaserede personlige data, er der mange tilfælde, hvor store mængder kundeinformation lækker, hvilket skaber sociale problemer. Derfor er det pålagt virksomheder, der håndterer personlige oplysninger, at træffe nødvendige og passende foranstaltninger (sikkerhedsforanstaltninger) for at sikre sikker håndtering af personlige data (Artikel 20 i den japanske lov om beskyttelse af personlige oplysninger).
Overtrædelse af sikkerhedsforpligtelser
I virkeligheden, i tilfælde hvor personlige oplysninger er blevet lækket eller spredt på internettet, er der ofte konstateret overtrædelser af sikkerhedsforpligtelserne. Selv for små og mellemstore virksomheder er indholdet af sikkerhedsforanstaltningerne, der tager højde for deres karakteristika, klart angivet i “Retningslinjer for loven om beskyttelse af personlige oplysninger (Generelle regler)” (Personlige oplysninger beskyttelseskommissionen). Det er derfor vigtigt at følge disse retningslinjer, ikke kun for at overholde artikel 20 i loven om beskyttelse af personlige oplysninger, men også for at undgå at blive holdt ansvarlig for ulovlige handlinger på grund af krænkelser af privatlivets fred forårsaget af lækager på internettet.
Men uanset hvor godt systemer og procedurer er etableret, er det i sidste ende op til mennesker at sikre deres korrekte anvendelse. Derfor er det fastlagt, at “virksomheder, der håndterer personlige oplysninger, skal udføre nødvendig og passende tilsyn med deres medarbejdere for at sikre sikker håndtering af personlige data, når de lader deres medarbejdere håndtere personlige data” (Artikel 21 i den japanske lov om beskyttelse af personlige oplysninger).
https://monolith.law/corporate/trends-in-personal-information-leakage-and-loss-accidents-in-2019[ja]
Desuden er det vigtigt at bemærke, at hvis en medarbejder sælger eller tager kundeinformation med sig, kan det ikke kun medføre, at medarbejderen selv bliver holdt ansvarlig for ulovlige handlinger (Artikel 709 i den japanske civillov), men også at virksomheden, der håndterer personlige oplysninger, kan blive holdt ansvarlig som bruger (Artikel 715 i den japanske civillov).
“Tredjepartslevering” og “outsourcing”
I henhold til den japanske lov om beskyttelse af personlige oplysninger er det generelt forbudt at give kunders personlige oplysninger til “tredjeparter”, selv for formål, der er offentliggjort på forhånd, medmindre der er givet samtykke. Men hvis denne regel blev fulgt til punkt og prikke, ville det også være ulovligt at “placere databaser med kundeoplysninger på lejede servere”. Dette skyldes, at lejede servere er “tredjeparter” for virksomheden.
Men “outsourcing” er undtaget fra “tredjepartslevering”, og det er tilladt at “outsource” til personer, der ikke bruger oplysningerne. For eksempel bruger lejede servere kun oplysningerne til opbevaring, ikke til brug. Selvom det er almindeligt at outsource håndteringen af personlige oplysninger til tredjeparter, er det fastlagt, at “virksomheder, der håndterer personlige oplysninger, skal udføre nødvendig og passende tilsyn med dem, der har modtaget outsourcingen, for at sikre sikker håndtering af de personlige data, der er blevet outsourcet, når de outsourcer hele eller en del af håndteringen af personlige data” (Artikel 22 i den japanske lov om beskyttelse af personlige oplysninger).
Regulering af persondatahåndtering gennem individets involvering
Den japanske lov om beskyttelse af personoplysninger er en af de vigtigste love at overveje, når det kommer til spørgsmål om persondata og privatliv.
Den japanske lov om beskyttelse af personoplysninger tillader, for at sikre korrekt håndtering af persondata gennem individets involvering, at en person under visse betingelser kan anmode en virksomhed, der håndterer persondata, om at afsløre (artikel 28), rette, tilføje eller slette (artikel 29) og stoppe brugen af (artikel 30) persondata relateret til dem selv. Det er klart fastslået, at disse rettigheder til individets involvering er rettigheder i henhold til civilretten, og hvis en virksomhed, der håndterer persondata, ikke overholder en anmodning, kan rettighederne håndhæves gennem retssystemet.
En virksomhed, der håndterer persondata, skal afsløre persondata, de har, hvis der er en anmodning fra personen, de vedrører. Hvis der er fejl i indholdet, skal de rette det, og hvis de håndterer dataene på en måde, der overtræder deres juridiske forpligtelser, såsom brug uden for det tilsigtede formål, upassende indsamling metoder, eller levering til tredjeparter uden individets samtykke, skal de stoppe brugen af dataene. Som det fremgår, forsøger den japanske lov om beskyttelse af personoplysninger at beskytte borgerens rettigheder ved at pålægge forskellige forpligtelser på virksomheder, der håndterer persondata.
Straffe for lækage af personlige oplysninger
I den japanske ‘Personlige Oplysningsbeskyttelseslov’ er der fastsat straffe for virksomheder, der lækker personlige oplysninger.
Hvis en virksomhed overtræder den japanske ‘Personlige Oplysningsbeskyttelseslov’ og lækker oplysninger, vil den først få en anbefaling fra staten om at “ophøre med overtrædelsen og tage de nødvendige foranstaltninger for at rette op på overtrædelsen” (Artikel 42). Hvis denne anbefaling også overtrædes, kan den ansatte, der har overtrådt loven, blive straffet med “fængsel i op til 6 måneder eller en bøde på op til 300.000 yen” (Artikel 84), og virksomheden, der ansætter den ansatte, kan også blive straffet med “en bøde på op til 300.000 yen” (Artikel 85). Desuden, hvis personlige oplysninger er blevet leveret eller stjålet med det formål at opnå uretmæssig fortjeneste, kan straffen være “fængsel i op til et år eller en bøde på op til 500.000 yen” uden forudgående anbefaling (Artikel 83).
Opsummering
Den japanske lov om beskyttelse af personlige oplysninger er en lov, der kræver, at virksomheder, der håndterer personlige oplysninger, gør dette på en passende måde og træffer nødvendige og passende foranstaltninger for sikkerhedsstyring. Det er en vigtig lov, som næsten alle virksomheder ikke kan undgå.
Related Articles
Lær om 'Varemærkekrænkelse' standarder og straffe (fængsel og bøder) gennem eksempler
General Corporate
Den japanske 'Digital Services Act' (DSA) og dens indflydelse på Japan: En forklaring på de juri.
General Corporate
Mulighed for virtuelle kun aktionærmøder: En forklaring på det nye system for 'aktionærmøder ude.
General Corporate
Hvad er misligholdelse af gæld forårsaget af den nye coronavirus og klausuler om uimodståelig kr.
General Corporate
De amerikanske love - hvordan adskiller de sig fra de japanske? Vigtige punkter at kende før eta.
General Corporate
Hvad skal man være opmærksom på ved medarbejderes brug af SNS? Forklaring af fastlæggelsen af SN.
General Corporate
