Selitys 'Rangaistuksista' Reiwa 4 vuoden (2022) muutetussa 'Japanilaisessa Henkilötietojen Suojelulaissa

Muutettu henkilötietojen suojalaki (Japanese Personal Information Protection Act) astui voimaan huhtikuussa 2022. Jatkaen selitystämme vuoden 2022 muutetun henkilötietojen suojalain “liiketoiminnanharjoittajan velvollisuuksista”, tällä kertaa käsittelemme tietojen hyödyntämistä ja rangaistuksia.

Yksityisyyden suojaa koskevan lain muutoksen yleiskatsaus vuonna Reiwa 4 (2022)

Yksityisyyden suojaa koskevan lain muutokset vuonna 2022 koskevat seuraavia kuutta kohtaa:

1. Yksilön oikeuksien luonne
2. Yritysten noudattamien velvollisuuksien luonne
3. Yritysten omatoimisen toiminnan edistämisen mekanismin luonne
4. Datan hyödyntämisen luonne
5. Rangaistusten luonne
6. Lain ulkomailla soveltamisen ja rajat ylittävän siirron luonne

Artikkelissa “Yksityisyyden suojaa koskevan lain muutoksen yleiskatsaus vuonna 2022 – Huomioita yritysten velvollisuuksista[ja]” olemme käsitelleet muutoksen kohtia (1) ja (2). Tässä artikkelissa käsittelemme muutoksen kohtia (3), (4), (5) ja (6).

Liittyvä artikkeli: Mitä yksityisyyden suojaa koskeva laki ja henkilötiedot ovat? Asianajaja selittää[ja]

Yritysten omatoimisen toiminnan edistämisen mekanismit

Yritysten omatoimisen toiminnan edistämisen mekanismeja tarkasteltaessa on huomattava, että yksityisten organisaatioiden rooli on kasvanut merkittävästi. Tämä johtuu liiketoiminnan monimuotoisuuden ja IT-teknologian kehityksen myötä. Yksityiset organisaatiot laativat omia sääntöjä henkilötietojen käsittelystä tietyillä aloilla ja ohjaavat aktiivisesti kohdeyrityksiä.

Japanin henkilötietojen suojelulaki (Japanese Personal Information Protection Act) ei turvaudu ainoastaan henkilötietojen suojelukomiteaan, vaan hyödyntää myös yksityisiä organisaatioita tiedonsuojan toteuttamisessa. Tätä varten on perustettu sertifioitujen organisaatioiden järjestelmä. Organisaatiot, jotka käsittelevät henkilötietoihin liittyviä valituksia ja tarjoavat tietoa henkilötietojen asianmukaisesta käsittelystä yrityksille, voivat saada henkilötietojen suojelukomitean sertifikaatin ja tulla “sertifioiduksi henkilötietojen suojelujärjestöksi”. Uudistetussa laissa sertifioitujen organisaatioiden järjestelmää on muutettu siten, että yritysten tiettyjä osastoja voidaan pitää sertifioituina organisaatioina (47 artiklan 2 kohta). Tämä on yrityskohtaisten sertifioitujen organisaatioiden hyväksymisen myötä pyrkimys edistää sertifioitujen organisaatioiden käyttöä ja erityisesti tiettyjen toimintojen parissa toimivien organisaatioiden asiantuntemuksen hyödyntämistä henkilötietojen suojelussa.

Tietojen hyödyntämisen luonne

Tietojen hyödyntämisen luonteeseen liittyen seuraavat kaksi kohtaa on muutettu.

‘Pseudonymisoitujen tietojen’ luominen ja velvollisuuksien lieventäminen (Japanin ‘Henkilötietolaki’ artikla 2, kohta 9)

Nykyisen lain mukaan, pelkästään pseudonymisoituja tietoja pidetään edelleen ‘henkilötietoina’, ja yritysten on sitouduttava noudattamaan erilaisia velvollisuuksia henkilötietojen käsittelyssä. Kuitenkin, näiden ‘pseudonymisoitujen henkilötietojen’ osalta, tarve hyödyntää niitä on kasvanut, sillä ne mahdollistavat yksityiskohtaisemman analyysin suhteellisen yksinkertaisella käsittelyllä, kunhan tietty turvallisuustaso säilytetään ja tietojen hyödyllisyys säilyy samalla tasolla kuin ennen käsittelyä.

Tämän seurauksena, uudistetussa laissa on luotu ‘pseudonymisoitujen tietojen’ käsite, jossa henkilön nimi ja muut tiedot on poistettu. Tämä on tehty edistämään innovaatiota ja lieventämään yritysten velvollisuuksia, kuten vastaamista tietojen paljastamista tai käytön lopettamista koskeviin pyyntöihin, kunhan tietojen käyttö rajoittuu sisäiseen analyysiin.

Pseudonymisoitujen tietojen määritelmä on ‘tietoja, jotka on saatu käsittelemällä henkilötietoja siten, että tiettyä henkilöä ei voida tunnistaa ilman, että tietoja verrataan muihin tietoihin’. Esimerkiksi, ‘nimi, ikä, päivämäärä, aika, summa, myymälä’ voidaan muuttaa muotoon ‘väliaikainen ID, ikä, päivämäärä, aika, summa, myymälä’. Mahdollisia käyttötapauksia ovat esimerkiksi ‘sisäinen analyysi uusista tavoitteista, jotka eivät liity alkuperäiseen käyttötarkoitukseen tai joiden soveltuvuus on vaikea arvioida’ (kuten tutkimus lääketieteen ja lääketeollisuuden alalla, petosten havaitseminen, myynnin ennustaminen jne. koneoppimismallien opettamiseksi), tai ‘henkilötietojen säilyttäminen pseudonymisoituna tulevaa tilastollista analyysiä varten, kun alkuperäinen käyttötarkoitus on saavutettu’.

Pseudonymisoitujen tietojen luomiseen liittyen, vähimmäisvaatimuksena on:

• Poistaa kaikki tai osa tiedoista, jotka voivat tunnistaa tietyn henkilön (esim. nimi)
• Poistaa kaikki henkilökohtaiset tunnisteet
• Poistaa tiedot, jotka voivat aiheuttaa taloudellista vahinkoa, jos niitä käytetään väärin (esim. luottokortin numero)

Nämä toimenpiteet ovat välttämättömiä.

Velvollisuus tarkistaa tiedot, jotka voivat muuttua henkilötiedoiksi vastaanottajalla (Japanin ‘Henkilötietolaki’ artikla 26, kohta 2)

Nykyisen lain mukaan, jos tieto ei ole henkilötietoa lähettäjällä, sitä ei säännellä, vaikka se voisi muuttua henkilötiedoksi vastaanottajalla. Uudistetussa laissa, jos tieto ei ole henkilötietoa lähettäjällä, mutta sen odotetaan muuttuvan henkilötiedoksi vastaanottajalla, lähettäjän on varmistettava, että henkilön suostumus on saatu ennen tietojen luovuttamista kolmannelle osapuolelle.

Teknologian kehittyessä ja yleistyessä, joka mahdollistaa suurten määrien käyttäjätietojen keräämisen ja yhdistämisen henkilötiedoiksi, on yhä yleisempää, että tietoja luovutetaan kolmansille osapuolille ei-henkilötietoina, vaikka tiedetään etukäteen, että ne voivat muuttua henkilötiedoiksi vastaanottajalla. Tämä kiertää Japanin ‘Henkilötietolain’ tarkoituksen. Tämä on huolestuttavaa, koska se mahdollistaa henkilötietojen keräämisen ilman henkilön osallistumista.

Sakot

Sakkojen määrittelyyn on tehty seuraavat kaksi muutosta.

Komitean määräysten rikkomisesta ja komitealle tehtävistä vääristä ilmoituksista seuraavien lakisääteisten rangaistusten korottaminen (Artiklat 83, 87 jne.)

Lakia rikkovien tapausten lisääntyessä, raporttien keräämisen ja tarkastusten määrä on kasvanut. Tämä on johtanut tarpeeseen tehostaa raporttien keräämistä ja tarkastuksia, jotka ovat ensimmäinen askel yritysten todellisen tilanteen ymmärtämisessä. Tämän seurauksena lakisääteisiä rangaistuksia on korotettu uudistetussa laissa.

‘Henkilötietojen suojelukomitean määräysten rikkominen’ johti aiemman lain mukaan enintään kuuden kuukauden vankeusrangaistukseen tai enintään 300 000 jenin sakkoon, mutta uudistetun lain mukaan rangaistus on enintään vuoden vankeus tai enintään miljoonan jenin sakko. ‘Henkilötietokantojen jne. luvaton tarjoaminen’ johtaa edelleen enintään vuoden vankeusrangaistukseen tai enintään 500 000 jenin sakkoon, mutta ‘väärien tietojen antaminen henkilötietojen suojelukomitealle’ johti aiemman lain mukaan enintään 300 000 jenin sakkoon, mutta uudistetun lain mukaan sakko on enintään 500 000 jeniä.

Sakkojen korottaminen yrityksiä vastaan (Artiklat 84, 85 jne.)

Aiemman lain mukaan yrityksiä vastaan määrättävien sakkojen määrä oli sama kuin rikoksentekijöitä vastaan määrättävien sakkojen määrä. Uudistetussa laissa otetaan kuitenkin huomioon yritysten ja yksityishenkilöiden varallisuuden eriarvoisuus ja määrätään, että yrityksiä vastaan määrättävien sakkojen enimmäismäärä on suurempi kuin rikoksentekijöitä vastaan määrättävien sakkojen enimmäismäärä. Tämä johtuu siitä, että yrityksiä vastaan määrättävien sakkojen ei katsota olevan riittävän tehokkaita rangaistuksia, jos ne ovat samansuuruisia kuin rikoksentekijöitä vastaan määrättävät sakot.

‘Henkilötietojen suojelukomitean määräysten rikkominen’ yrityksen toimesta johti aiemman lain mukaan enintään 300 000 jenin sakkoon, joka oli sama kuin rikoksentekijöitä vastaan määrätty sakko, mutta uudistetun lain mukaan sakko on enintään 100 miljoonaa jeniä. ‘Henkilötietokantojen jne. luvaton tarjoaminen’ johti aiemman lain mukaan enintään 500 000 jenin sakkoon, joka oli sama kuin rikoksentekijöitä vastaan määrätty sakko, mutta uudistetun lain mukaan sakko on enintään 100 miljoonaa jeniä. Kuitenkin, ‘väärien tietojen antaminen henkilötietojen suojelukomitealle’ johti aiemman lain mukaan enintään 300 000 jenin sakkoon, joka oli sama kuin rikoksentekijöitä vastaan määrätty sakko, mutta uudistetun lain mukaan sakko on edelleen enintään 500 000 jeniä.

Lain ulkomailla soveltaminen ja rajat ylittävä siirto

Lain ulkomailla soveltamista ja rajat ylittävää siirtoa koskevat seuraavat kaksi kohtaa on muutettu.

Ulkomailla soveltamisen vahvistaminen (75. pykälä)

Nykyisen lain mukaan ulkomailla toimiville yrityksille voidaan antaa vain ohjeita ja neuvoja sekä suosituksia, jotka eivät sisällä pakottavaa voimaa. Koska on olemassa riski, että komissio ei pysty asianmukaisesti käsittelemään ulkomailla tapahtuvia tietovuotoja ja muita tapauksia, uudistetussa laissa ulkomailla toimivat yritykset, jotka käsittelevät henkilötietoja ja muita tietoja, jotka liittyvät tuotteiden tai lääkkeiden tarjoamiseen Japanissa, on asetettu rangaistusten takaamien raportointi- ja määräysvelvollisuuksien kohteeksi. Tämä vahvistaa Japanin henkilötietojen suojelukomission toimivaltaa.

Henkilötietojen käsittelyä koskevan tiedon tarjoaminen henkilölle siirron kohteena olevassa yrityksessä (78. pykälä)

Joissakin maissa on havaittavissa valtionhallinnollista sääntelyä, ja henkilötietojen rajat ylittävien siirtojen mahdollisuudet kasvavat. Eri maiden ja alueiden järjestelmien erot tekevät yksilöiden ja tietoja käsittelevien yritysten ennakoitavuudesta epävarmaa, mikä herättää huolta yksilöiden oikeuksien ja etujen suojelun näkökulmasta.

Tähän vastauksena vaaditaan, että kun henkilötietoja luovutetaan ulkomailla olevalle kolmannelle osapuolelle, siirron kohteena olevassa yrityksessä on parannettava henkilötietojen käsittelyä koskevan tiedon tarjoamista henkilölle. Nykyisen lain mukaan henkilötietojen luovuttamisen edellytyksenä on “henkilön suostumus”. Uudistetussa laissa tämä edellytys sisältää “tiedon tarjoamisen henkilölle suostumuksen saamisen yhteydessä siirron kohteena olevan maan nimestä, henkilötietojen suojelua koskevan järjestelmän olemassaolosta tai puuttumisesta siirron kohteena olevassa maassa”. Lisäksi edellytyksenä on, että “järjestelmä, joka noudattaa standardeja, on perustettu yrityksessä”, johon on lisätty “säännöllinen tarkistus siirron kohteena olevan yrityksen käsittelytilanteesta ja tietojen tarjoaminen pyynnöstä”.

Yhteenveto

Ensimmäinen lakiuudistus, joka perustuu “kolmen vuoden tarkistussäännökseen”, on vuoden 2022 (Reiwa 4) Japanin henkilötietojen suojelulain uudistus. Tämä sisältää laajennuksia käytön lopettamiseen ja poistamiseen, kieltoon käyttää tietoja sopimattomasti, parannuksiin tietojen tarjoamisessa rajat ylittävissä siirroissa, sekä “nimettömien tietojen” luomiseen. Tämä mahdollistaa yksilöiden oikeuksien ja etujen suojelun ja hyödyntämisen vahvistamisen, uusien riskien hallinnan rajat ylittävän datan kasvavan liikenteen myötä, sekä valmistautumisen AI:n ja big datan aikakauteen.

Esittelyssä toimistomme tarjoamat ratkaisut

Monolis Lakitoimisto on erikoistunut IT-alan, erityisesti internetin ja lakiasioihin. Äskettäin uudistettu ‘Japanilainen Henkilötietolaki’ on herättänyt paljon huomiota, ja oikeudellisen tarkastuksen tarve kasvaa jatkuvasti. Tarjoamme ratkaisuja liittyen immateriaalioikeuksiin. Lisätietoja on alla olevassa artikkelissa.