Hvad sker der, hvis der er lækage af personlige oplysninger? En forklaring på de administrative tiltag, som virksomheder bør tage

Med internettets udvikling og muligheden for at udveksle information online, er der en stigende tendens til, at virksomheders vigtige information utilsigtet lækker ud i uventede former.

I de senere år er værdien af information steget, og der er tilfælde, hvor en enkelt informationslækage kan blive et stort problem, der skader virksomhedens omdømme. Det er derfor afgørende for virksomheder at reagere hurtigt og passende, hvis en informationslækage skulle opstå.

I det følgende vil vi detaljeret forklare, hvordan virksomheder bør reagere på informationslækager, med særlig fokus på administrative reaktioner.

Også information lækager, der kræver administrativ håndtering

Når vi taler om informationslækager, varierer indholdet og vigtigheden af informationen. Administrativ håndtering er nødvendig, når der er sket en lækage af personlige oplysninger.

Definitionen af personlige oplysninger er fastlagt i følgende paragraf 2, afsnit 1 i den japanske lov om beskyttelse af personlige oplysninger (herefter “Personoplysningernes Beskyttelseslov”).

(Definition)
Artikel 2 I denne lov betyder “personlige oplysninger” oplysninger om en levende person, der falder ind under en af følgende punkter:
1. Oplysninger, der indeholder navn, fødselsdato og andre beskrivelser (dokumenter, tegninger eller elektroniske optegnelser (optegnelser lavet ved hjælp af elektroniske metoder, magnetiske metoder eller andre metoder, der ikke kan genkendes af menneskelig opfattelse. Det samme gælder i næste afsnit, punkt 2.) og som er optaget eller registreret, eller som er udtrykt ved hjælp af lyd, bevægelse eller andre metoder (undtagen personlige identifikationskoder). Det samme gælder nedenfor.) der kan identificere en bestemt person (herunder oplysninger, der let kan sammenlignes med andre oplysninger, og som dermed kan identificere en bestemt person).
2. Oplysninger, der indeholder en personlig identifikationskode

e-GOV｜Personoplysningernes Beskyttelseslov [ja]

Oplysninger, der falder ind under ovenstående definition, vil blive beskyttet som personlige oplysninger i henhold til Personoplysningernes Beskyttelseslov.

Relateret artikel: Hvad er Personoplysningernes Beskyttelseslov og personlige oplysninger? En advokat forklarer [ja]

Derudover kan der i tilfælde af informationslækager være behov for virksomheder at tage skridt som informationsoffentliggørelse ud over administrativ håndtering. Se venligst nedenstående artikel for mere information om dette.

Relateret artikel: Hvad er informationsoffentliggørelse, som virksomheder skal foretage i tilfælde af informationslækager? [ja]

Forpligtelse til at rapportere lækage af personlige oplysninger

Virksomheder, der håndterer personlige oplysninger (Japansk: 個人情報取扱事業者), har en forpligtelse til at rapportere til den Japanske Persondata Beskyttelses Kommission (Japansk: 個人情報保護委員会), når der opstår en situation, hvor personlige oplysninger er blevet lækket, eller der er risiko for lækage.

Indtil den 1. april 2022 (Reiwa 4 år), var det ikke en forpligtelse, men en anbefaling at rapportere til den Japanske Persondata Beskyttelses Kommission, når der opstod en situation med lækage eller risiko for lækage. Med ændringen af den Japanske Lov om Beskyttelse af Personlige Oplysninger (Japansk: 個人情報保護法), er det blevet en forpligtelse at rapportere til den Japanske Persondata Beskyttelses Kommission fra og med den 1. april 2022.

Her refererer “virksomheder, der håndterer personlige oplysninger” til dem, der bruger personlige databaser mv. til erhvervsmæssige formål (Japansk Lov om Beskyttelse af Personlige Oplysninger, artikel 16, stk. 2). Dog inkluderer dette ikke statslige institutioner, lokale offentlige organer, uafhængige administrative juridiske personer mv., og lokale uafhængige administrative juridiske personer.

“Personlige databaser mv.” refererer til samlinger af oplysninger, der indeholder personlige oplysninger, og som opfylder en af de følgende to krav, bortset fra dem, der er fastsat ved regeringsforordning som dem, der er mindre tilbøjelige til at skade en persons rettigheder og interesser fra et anvendelsesperspektiv (Japansk Lov om Beskyttelse af Personlige Oplysninger, artikel 16, stk. 1):

• Dem, der er systematisk organiseret, så specifikke personlige oplysninger kan søges ved hjælp af en computer
• Dem, der er systematisk organiseret, så specifikke personlige oplysninger let kan søges

Virksomheder, der bruger personlige databaser mv. til erhvervsmæssige formål, vil have en forpligtelse til at rapportere til den Japanske Persondata Beskyttelses Kommission.

Relateret artikel: Forklaring af vigtige punkter om “virksomheders ansvar” i den reviderede Japanske Lov om Beskyttelse af Personlige Oplysninger i 2022 [ja]

Fire tilfælde, hvor det er nødvendigt at rapportere til den japanske persondata beskyttelseskommission

Der er fire tilfælde, hvor det er nødvendigt at rapportere til den japanske persondata beskyttelseskommission, når der er sket en lækage af personlige oplysninger. Disse er fastlagt i følgende (i henhold til artikel 7 i forordningen om implementering af den japanske lov om beskyttelse af personlige oplysninger).

1. Når der er sket en lækage af personlige data, der indeholder følsomme personlige oplysninger, eller der er risiko for, at en sådan lækage kan finde sted
2. Når der er sket en lækage af personlige data, der kan medføre økonomisk skade, hvis de misbruges, eller der er risiko for, at en sådan lækage kan finde sted
3. Når der er sket en lækage af personlige data, hvor der er risiko for, at det er sket med en ulovlig hensigt, eller der er risiko for, at en sådan lækage kan finde sted
4. Når der er sket en lækage af personlige data, der involverer mere end 1.000 personer, eller der er risiko for, at en sådan lækage kan finde sted

Nedenfor vil vi forklare disse tilfælde.

Lækage af følsomme personlige oplysninger

“Følsomme personlige oplysninger” er personlige oplysninger, der kræver særlig omhu i håndteringen for at forhindre uretfærdig diskrimination, fordomme og andre ulemper over for personen. Dette inkluderer oplysninger om personens race, tro, social status, medicinske historie, kriminel baggrund og ofre for kriminalitet.

For eksempel, oplysninger om en medarbejders medicinske historie, såsom resultaterne af en sundhedstjek, vil være klassificeret som følsomme personlige oplysninger.

Lækage af personlige oplysninger, der kan medføre økonomisk skade

Her er der tale om tilfælde, hvor personlige data, der kan medføre økonomisk skade, hvis de misbruges, er blevet lækket.

Et konkret eksempel kunne være, hvis en virksomhed lækker kundernes kreditkortoplysninger.

Lækage af personlige oplysninger med ulovlig hensigt

Dette gælder tilfælde, hvor den part, der har forårsaget lækagen af personlige data, har en ulovlig hensigt.

For eksempel, hvis en tredjepart eller en medarbejder i en virksomhed ulovligt får adgang til virksomhedens netværk med det formål at misbruge personlige oplysninger og forårsager en lækage af personlige data.

Stor lækage af personlige oplysninger

Dette gælder tilfælde, hvor der er sket en lækage af personlige data, der involverer mere end 1.000 personer.

Virksomheder, der håndterer store mængder af personlige data, skal være opmærksomme på risikoen for, at en stor lækage af personlige data kan finde sted på én gang.

Rapporteringspunkter til den Japanske Persondata Beskyttelses Kommission ved datalækage

Hvis der opstår en situation, hvor det er nødvendigt at rapportere til den Japanske Persondata Beskyttelses Kommission, skal du rapportere de punkter, der er fastsat i paragraf 1 i artikel 8 i forordningen om gennemførelse af den Japanske Lov om Beskyttelse af Personlige Oplysninger.

(Rapportering til den Japanske Persondata Beskyttelses Kommission)
Artikel 8: Når en persondatahåndteringsvirksomhed skal rapportere i henhold til bestemmelserne i hovedteksten i artikel 26, paragraf 1 i loven, skal den efter at have fået kendskab til de situationer, der er fastsat i hver punkt i den foregående artikel, hurtigt rapportere de følgende punkter vedrørende den pågældende situation (begrænset til dem, der er kendt på det tidspunkt, hvor rapporteringen skal foretages. Det samme gælder i den næste artikel).

e-GOV｜Den Japanske Lov om Beskyttelse af Personlige Oplysninger [ja]

Hvis nogen af de fire tilfælde, hvor ovenstående rapportering er nødvendig, er opfyldt, skal virksomheden hurtigt rapportere følgende punkter til den Japanske Persondata Beskyttelses Kommission:

• Overblik
• Elementer af persondata, hvor der er sket en lækage, eller hvor der er risiko for en lækage
• Antallet af personer, der er berørt af persondata, hvor der er sket en lækage, eller hvor der er risiko for en lækage
• Årsag
• Tilstedeværelsen og indholdet af sekundær skade eller risikoen for det
• Status for håndtering over for den berørte person
• Status for offentliggørelse
• Foranstaltninger til forebyggelse af gentagelse
• Andre relevante punkter

Det er dog kun nødvendigt at rapportere de punkter, der er kendt på tidspunktet for rapporteringen.

Frister for rapportering til Databeskyttelsesmyndigheden ved lækage af oplysninger

Der er fastsat en frist for rapportering til Databeskyttelsesmyndigheden (Japansk: Personlige Oplysningsbeskyttelseskommissionen) (Regler for implementering af loven om beskyttelse af personlige oplysninger, artikel 8, afsnit 2).

Rapportering til Databeskyttelsesmyndigheden skal som hovedregel ske inden for 30 dage fra den dag, hvor lækagen eller lignende blev opdaget. Hvis den enhed, der har forårsaget lækagen af personlige data eller lignende, har en ulovlig hensigt, skal rapporteringen ske inden for 60 dage.

Pligt til at underrette den pågældende person

Hvis der opstår en lækage af personlige oplysninger, er der ud over pligten til at rapportere til den japanske ‘Personlige Informationsbeskyttelseskommission’ også bestemmelser om pligten til at underrette den pågældende person (Artikel 26, afsnit 2 i den japanske ‘Lov om Beskyttelse af Personlige Oplysninger’).

Formålet med at underrette den pågældende person er at forhindre krænkelse af personens rettigheder og interesser ved at sikre, at personen kan reagere på lækagen af personlige oplysninger så hurtigt som muligt. Derfor er det krævet, at virksomheder, der håndterer personlige oplysninger, hurtigt underretter den pågældende person.

Opsummering: Konsulter en advokat for administrativ håndtering af persondata lækager

Vi har her forklaret, hvad virksomheder skal gøre, hvis der sker en lækage af persondata, med fokus på den administrative håndtering.

Det er selvfølgelig vigtigt for virksomheder at etablere systemer, der forhindrer lækage af information, men hvis en sådan lækage skulle finde sted, er det nødvendigt at reagere korrekt.

Da den japanske lov om beskyttelse af personlige oplysninger (‘Japansk Lov om Beskyttelse af Personlige Oplysninger’) ofte ændres og har en kompleks struktur, anbefaler vi at konsultere en advokat med specialviden for at sikre en passende håndtering.

Introduktion til vores tiltag

Monolis Advokatfirma er et advokatfirma med høj ekspertise inden for IT, især internettet og lovgivning. I disse dage er lækage af personlige oplysninger blevet et stort problem. Hvis personlige oplysninger lækkes, kan det i nogle tilfælde have en fatal indvirkning på virksomhedens aktiviteter. Vores firma har specialiseret viden om forebyggelse af informationslækage og modforanstaltninger. Detaljer er angivet i artiklen nedenfor.