Selitys vuoden 2022 (Reiwa 4) 'Yritysten velvollisuudet' koskien muutoksia 'Japanilaisessa henkilötietojen suojelulaissa

Huhtikuusta 2022 lähtien muutettu Japanilainen Henkilötietolaki on tullut voimaan. Henkilötietolaki pyrkii tasapainottamaan henkilötietojen hyödyllisyyden ja yksilön oikeuksien suojelun, ja sen tavoitteena on varmistaa henkilötietojen asianmukainen käsittely. Mutta mitä konkreettisia muutoksia muutettu Henkilötietolaki tuo mukanaan? Tässä artikkelissa selitämme yksilön oikeuksien ja yritysten velvollisuuksien muutoksia.

Henkilötietojen suojelulain muutokset ja tausta

Henkilötietojen suojelulaki, joka hyväksyttiin vuonna 2003 ja tuli täysimääräisesti voimaan vuonna 2005, muutettiin vuonna 2015 (Heisei 27), kymmenen vuotta sen täytäntöönpanon jälkeen. Muutoksen syynä oli, että “tieto- ja viestintätekniikan kehityksen myötä henkilökohtaisten tietojen käyttö on mahdollista tavalla, jota ei ollut ennakoitu lain säätämisen aikaan”. Laki tuli täysimääräisesti voimaan vuonna 2017 (Heisei 29).

Vuoden 2017 (Heisei 29) muutoksessa otettiin käyttöön “kolmen vuoden tarkistussäännös”, joka tarkoittaa, että “lakia tarkistetaan joka kolmas vuosi ottaen huomioon kansainväliset suuntaukset, tietotekniikan kehitys ja uusien teollisuudenalojen luominen ja kehitys”.

Vuoden 2017 (Heisei 29) henkilötietojen suojelulain muutoksen liitteen määräykset (ote)

(Tarkastelu) 12 artikla

(Lyhennys)

2 Hallituksen on, tämän lain täytäntöönpanon jälkeen kolmen vuoden kuluessa, otettava huomioon henkilötietojen suojelua koskevan peruspolitiikan laatiminen ja edistäminen sekä muut henkilötietojen suojelukomitean tehtävät, jotta ne voidaan toteuttaa tehokkaasti, mukaan lukien tarvittavien henkilöstöresurssien järjestäminen, rahoituksen varmistaminen ja muut toimenpiteet, ja tarvittaessa toteutettava parannustoimenpiteitä.

3 Hallituksen on, edellä mainittujen seikkojen lisäksi, tämän lain täytäntöönpanon jälkeen kolmen vuoden kuluessa, otettava huomioon henkilötietojen suojelua koskevat kansainväliset suuntaukset, tieto- ja viestintätekniikan kehitys, henkilötietojen hyödyntämiseen perustuvien uusien teollisuudenalojen luominen ja kehitys, ja tarvittaessa toteutettava toimenpiteitä tämän lain täytäntöönpanon tilanteen tarkastelun perusteella.

4, 5 (Lyhennys)

6 Hallituksen on, ottaen huomioon uuden henkilötietojen suojelulain täytäntöönpanon tilanne, 1 momentissa tarkoitettujen toimenpiteiden toteuttamisen tilanne ja muut olosuhteet, tarkasteltava henkilötietojen suojelua koskevan lainsäädännön tilaa, mukaan lukien henkilötietojen ja hallinnollisten organisaatioiden hallussa olevien henkilötietojen suojelua koskevien säännösten yhdistäminen ja yhtenäinen sääntely.

Reiwa 4 (2022) vuoden henkilötietojen suojelulain muutos on ensimmäinen lakiuudistus, joka perustuu tähän “kolmen vuoden tarkistussäännökseen”.

Liittyvä artikkeli: Mitä henkilötietojen suojelulaki ja henkilötiedot ovat? Asianajaja selittää[ja]

Yksityisyydensuojalain muutoksen yleiskatsaus vuodelle Reiwa 4 (2022)

Yksityisyydensuojalain muutokset vuonna 2022 koskevat seuraavia kuutta kohtaa:

1. Yksilön oikeuksien luonne
2. Yritysten velvollisuudet
3. Yritysten omatoimisen toiminnan edistämisen mekanismit
4. Tietojen hyödyntämisen luonne
5. Rangaistusten luonne
6. Lain soveltaminen ulkomailla ja tietojen siirto yli rajojen

Tässä artikkelissa käsitellään muutoksen kohtia 1 ja 2.

Liittyvä artikkeli: Yksityisyydensuojalain muutoksen ‘Rangaistukset’ vuodelle Reiwa 4 (2022) selitys[ja]

Yksilön oikeuksien luonne

Yksilön oikeuksien luonteeseen liittyen seuraavat viisi kohtaa on muutettu.

Käytön lopettamisen ja poistamisen pyyntöoikeuden laajentaminen (Japanin laki 30 §)

Voimassa olevan lain mukaan yksilön oikeus pyytää käytön lopettamista tai poistamista rajoittui tapauksiin, joissa “henkilötietoja käytettiin tarkoituksen ulkopuolella” tai “ne hankittiin laittomin keinoin”. Kuitenkin, uudistetun lain mukaan, jos “henkilötietojen käsittelijällä ei ole enää tarvetta käyttää henkilötietoja”, “jos tietovuoto tai vastaava tapahtuu” tai “jos on olemassa vaara, että yksilön oikeudet tai lailliset edut vahingoittuvat”, yksilö voi pyytää käytön lopettamista, poistamista tai kolmannen osapuolen tarjoamisen lopettamista.

Henkilötietojen julkistamisen menetelmä (Japanin laki 28 §)

Henkilö voi pyytää henkilötietojen käsittelijältä omien henkilötietojensa julkistamista. Saatuaan pyynnön, henkilötietojen käsittelijän on periaatteessa julkistettava henkilötiedot. Voimassa olevan lain mukaan henkilötietojen julkistaminen tapahtui pääsääntöisesti kirjallisesti. Kuitenkin, jos tietomäärä on valtava, kirjallinen luovutus ei välttämättä ole sopiva, ja lisäksi, jotkut henkilötiedot, kuten videot tai äänitiedot, eivät sovellu kirjalliseen luovutukseen. Siksi uudistetussa laissa henkilö voi pyytää “julkistamista henkilön määrittelemällä tavalla”, kuten sähköisen tallennuksen tarjoamisen kautta. Henkilötietojen käsittelijän on noudatettava henkilön pyytämää julkistamistapaa.

Yritysten, jotka käsittelevät henkilötietoja, odotetaan rakentavan järjestelmän, joka pystyy vastaamaan digitaalisen datan julkistamispyyntöihin mahdollisimman pian.

Kolmannen osapuolen tarjoamisen kirjauksen julkistamispyyntö henkilöltä (Japanin laki 28 § 5 momentti)

Henkilötietojen käsittelijän on laissa määriteltyjen kirjausten mukaisesti luotava kirjaukset, kun henkilötietoja tarjotaan kolmannelle osapuolelle, ja myös kolmannen osapuolen, joka saa henkilötietoja, on luotava laissa määritellyt kirjaukset. Nämä henkilötietojen kolmannen osapuolen tarjoamista koskevat kirjaukset ja henkilötietojen kolmannen osapuolen tarjoamisen vahvistamiskirjaukset yhdessä kutsutaan “kolmannen osapuolen tarjoamiskirjauksiksi”.

Voimassa olevan lain mukaan henkilö ei voinut pyytää yrityksen luomien kolmannen osapuolen tarjoamiskirjausten julkistamista, mutta uudistetussa laissa henkilö voi pyytää kolmannen osapuolen tarjoamiskirjausten julkistamista, mikä ottaa huomioon henkilön seurantamahdollisuuden.

Sisällytetään lyhytaikaisesti säilytettävät tiedot henkilötietoihin (Japanin laki 2 § 7 momentti)

Voimassa olevan lain mukaan henkilötiedot määriteltiin henkilötietoina, joilla “henkilötietojen käsittelijällä on oikeus suorittaa julkistaminen, sisällön korjaaminen, lisääminen tai poistaminen, käytön lopettaminen, poistaminen ja kolmannen osapuolen tarjoamisen lopettaminen”, “jotka määritellään asetuksessa sellaisiksi, joiden olemassaolon paljastaminen vahingoittaa julkista etua tai muita etuja” tai “jotka on määrätty poistettavaksi asetuksessa määritellyn vuoden sisällä”, lukuun ottamatta “asetuksessa määriteltyä kuuden kuukauden ajanjaksoa”.

Kuitenkin, koska on olemassa mahdollisuus, että tietovuotoja tai vastaavia tapahtuu ennen kuin ne poistetaan, vaikka ne poistetaan lyhyen ajan kuluessa, uudistetussa laissa myös kuuden kuukauden kuluessa poistettavat lyhytaikaisesti säilytettävät tiedot sisällytetään “henkilötietoihin”.

Opt-out -säännöksen rajoittaminen (Japanin laki 23 § 2 momentti)

Opt-out -säännös tarkoittaa “järjestelmää, jossa henkilötietoja voidaan tarjota kolmannelle osapuolelle ilman henkilön suostumusta, edellyttäen, että se voidaan lopettaa jälkikäteen, jos henkilö sitä pyytää, kunhan tarjottavien henkilötietojen tiedot jne. on julkaistu”, mutta voimassa olevan lain mukaan vain erityistä huomiota vaativat henkilötiedot olivat poikkeuksia.

Uudistetussa laissa kolmannelle osapuolelle tarjottavien henkilötietojen laajuus on rajoitettu, ja myös “laittomasti hankitut henkilötiedot” ja “opt-out -säännöksen mukaisesti tarjotut henkilötiedot” on jätetty pois.

Yritysten noudattamien velvollisuuksien luonne

Yritysten noudattamien velvollisuuksien luonteessa on tehty seuraavat kaksi muutosta.

Vuotojen raportointivelvollisuuden pakollisuus (Japanin henkilötietosuojalain 22 artiklan 2 kohta)

Nykyisen lain mukaan vuotojen raportointi ei ole lakisääteinen velvollisuus, joten jotkut yritykset eivät ole aktiivisesti noudattaneet sitä. Jos yritys ei julkaise tietoa vuodosta, Japanin henkilötietosuojakomitea ei välttämättä saa tietää tapauksesta ja voi olla kykenemätön reagoimaan asianmukaisesti. Uudistetun lain mukaan, jos vuoto tapahtuu ja se saattaa merkittävästi vahingoittaa yksilön oikeuksia ja etuja, raportointi henkilötietosuojakomitealle ja ilmoitus asianomaiselle henkilölle on pakollista.

Vuotojen raportointivelvollisuuden kohteena oleviin tapauksiin kuuluvat “erityistä huomiota vaativien henkilötietojen vuodot”, “laittomien pääsyjen aiheuttamat vuodot”, “vuodot, jotka saattavat aiheuttaa taloudellista vahinkoa”, sekä “suuret vuodot”, jotka ylittävät 1000 tapausta, riippumatta niiden määrästä.

Kielto käyttää henkilötietoja sopimattomalla tavalla (Japanin henkilötietosuojalain 16 artiklan 2 kohta)

Nopeasti kehittyvän datan analysointiteknologian taustalla on alkanut näkyä henkilötietojen käyttötapoja, jotka saattavat potentiaalisesti loukata yksilön oikeuksia ja etuja, mikä on lisännyt kuluttajien huolta. Tämän seurauksena uudistetussa laissa on selvennetty, että henkilötietoja ei saa käyttää sopimattomalla tavalla, kuten laittoman tai epäasiallisen toiminnan edistämiseen.

“Laittoman tai epäasiallisen toiminnan edistämiseen tai muulla sopimattomalla tavalla” tarkoitetaan esimerkiksi “henkilötietojen luovuttamista laittomasti toimivalle kolmannelle osapuolelle” tai “henkilötietojen kokoamista ja tietokantaan tallentamista, vaikka on selvää, että se voi johtaa syrjintään, ja niiden julkaisemista internetissä, vaikka tiedot on julkaistu hajautetusti oikeuden päätöksellä”. Tällaisia erittäin vakavia tapauksia on otettu huomioon.

Yhteenveto

Tässä artikkelissa selitimme muutoksen kohdat 1 ja 2. Muutoksen kohdat 3, 4, 5 ja 6 selitetään toisessa artikkelissa.

Liittyvä artikkeli: Selitys vuoden 2022 (Reiwa 4 vuosi) muutoksesta ‘Japanin henkilötietojen suojelulakiin’ ja ‘rangaistuksiin'[ja]

Toimenpiteet, joita tarjoamme toimistossamme

Monolis Lakitoimisto on lakitoimisto, jolla on korkea asiantuntemus IT:stä, erityisesti internetistä ja laista. Äskettäin uudistettu ‘Japanilainen Henkilötietolaki’ on saanut paljon huomiota, ja oikeudellisen tarkastuksen tarve kasvaa yhä enemmän. Tarjoamme ratkaisuja liittyen immateriaalioikeuksiin toimistossamme. Yksityiskohdat on esitetty alla olevassa artikkelissa.