MONOLITH LAW OFFICE+81-3-6262-3248Arkisin 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

GDPR – mikä se on? Vertailu Japanin henkilötietolain kanssa ja kohdat, joita japanilaisyritysten tulisi huomioida

General Corporate

GDPR – mikä se on? Vertailu Japanin henkilötietolain kanssa ja kohdat, joita japanilaisyritysten tulisi huomioida

Kun suunnittelet liiketoiminnan laajentamista EU-alueelle, on tärkeää, että tunnet kattavasti GDPR:n (yleinen tietosuoja-asetus). GDPR voi soveltua myös niihin japanilaisiin yrityksiin, joilla ei ole toimipistettä EU:n alueella. Hanki perustiedot GDPR:stä ja Japanin henkilötietolainsäädännöstä, ja varmista asianmukainen tietojen hallinta.

Tässä artikkelissa selitämme GDPR:ää, vertaamme sitä Japanin henkilötietolainsäädäntöön ja kerromme, mitä seikkoja japanilaisyritysten tulisi ottaa huomioon. Jos olet lakiosaston henkilö, joka pohtii, onko tietosuojasäännöksiä tarpeen muuttaa, tai haluat tietää, mitä lakeja tulisi noudattaa liiketoimintaa laajentaessasi EU:hun, käytä tätä artikkelia hyväksesi.

Mikä on GDPR (EU:n yleinen tietosuoja-asetus)?

Älypuhelimen lukitusnäyttö

“GDPR (General Data Protection Regulation)” eli suomeksi “yleinen tietosuoja-asetus” on Euroopan unionin (EU) säätämä säännöstö, joka koskee henkilötietojen käsittelyä (henkilötietojen suojaa).

Se asettaa tiukat standardit henkilötietojen käsittelylle EU:n alueella ja pyrkii vahvistamaan yksilöiden yksityisyyden suojaa.

Henkilötietojen suojan näkökulmasta se tarjoaa standardeja siitä, miten yritysten ja organisaatioiden tulisi käsitellä tietoja ja miten yksilöt voivat suojata omia tietojaan.

Viite: Japanin henkilötietojen suojaa käsittelevä komissio | “Yleisen tietosuoja-asetuksen (GDPR) alustava japaninkielinen käännös[ja]

GDPR:n perusperiaatteet ovat seuraavat:

  • Laillisuus, oikeudenmukaisuus ja läpinäkyvyys
  • Tarkoituksen rajoittaminen
  • Tietojen minimointi
  • Tarkkuus
  • Säilytysajan rajoittaminen
  • Eheys ja luottamuksellisuus

Kukin perusperiaate selitetään alla.

Lainmukaisuus, oikeudenmukaisuus ja läpinäkyvyys

GDPR:n perusperiaatteiden kärjessä mainitaan lainmukaisuus, oikeudenmukaisuus ja läpinäkyvyys.

Kun yritykset keräävät ja käsittelevät henkilötietoja, on toiminnan oltava laillisesti perusteltua, ja osapuolille on selkeästi kommunikoitava, miten heidän tietojaan käsitellään.

Lisäksi yritysten on tarjottava selkeästi tietoa yksityisyydensuojasta ja varmistettava, että osapuolet ymmärtävät, miten heidän tietojaan käsitellään, ja että he voivat hallita tietojensa käsittelyä, mikä korostaa läpinäkyvyyden merkitystä.

Käyttötarkoituksen rajoittaminen

Käyttötarkoituksen rajoittaminen tarkoittaa, että tietojen keräämisen ja käsittelyn tulisi tapahtua vain tietylle, selkeästi määritellylle tarkoitukselle.

Henkilötietoja keräävän yrityksen on esitettävä keräyksen tarkoitus tarkasti ja yksityiskohtaisesti asianosaisille ja saatava heidän selkeä suostumuksensa. Lisäksi yrityksen on rajoitettava kerättyjen tietojen käyttöä vain siihen tarkoitukseen, johon on saatu tietojen omistajan suostumus, ja hallinnoitava tietoja tiukasti.

Henkilötietojen minimointi

Henkilötietojen keräämisen tulisi rajoittua vain siihen laajuuteen, mikä on tarpeen tavoitteen saavuttamiseksi (minimointi). Kerää henkilötietoja ainoastaan siinä määrin kuin on tarpeen pyydetyn tarkoituksen kannalta, ja vältä tarpeettoman henkilökohtaisen tiedon keräämistä.

Tämän seurauksena säilytettävän henkilötiedon määrä pysyy mahdollisimman pienenä, ja yksilön yksityisyys säilyy suojattuna.

Tarkkuus

Henkilötietojen käsittelyn perusperiaatteena GDPR:ssä (General Data Protection Regulation) on, että henkilötiedot on oltava tarkkoja. Epätarkat henkilötiedot on korjattava, ja on toteutettava toimenpiteitä varmistaakseen, että tiedot pysyvät ajan tasalla ja tarkkoina.

Tämän ansiosta henkilöiden oikeudet ja edut suojataan, ja henkilötietojen käsittely perustuu tarkkaan tietoon.

Tietojen säilyttämisen rajoitukset

GDPR:n (General Data Protection Regulation) perusperiaatteisiin kuuluu tietojen säilyttämisen rajoitusten käsite. Kun tietty tarkoitus on saavutettu ja henkilötiedot ovat muuttuneet tarpeettomiksi, ne tulisi poistaa viipymättä.

Tarpeettomaksi muuttuneiden henkilötietojen säilyttämättä jättäminen mahdollistaa henkilötietojen asianmukaisen hallinnan ja yksityisyyden suojan toteutumisen.

Eheys ja luottamuksellisuus

Henkilötiedot tulee olla eheitä ja niiden luottamuksellisuus on turvattava. Henkilötietoja on suojeltava väärentämiseltä ja katoamiselta, ja niitä on varjeltava asianmukaisin toimenpitein luvattomalta pääsyltä.

Näin ollen henkilötietojen luotettavuus paranee.

Eikö vain EU-alueen yrityksiä? GDPR:n soveltamisala

Tietojen hallinta

GDPR ei koske ainoastaan EU-alueen yrityksiä. Myös japanilaiset yritykset voivat kuulua sen soveltamisalaan. Selitämme seuraavassa neljä eri tilannetta, joissa yritykset ovat GDPR:n piirissä.

GDPR:n soveltamisalaan kuuluvat yrityksetYleiskatsaus
EU-alueella toimipisteen omaavat yritykset | “Rekisterinpitäjä”Rekisterinpitäjäksi kutsutaan organisaatiota, joka määrittelee tietojen käsittelyn tarkoitukset ja keinot ja omistaa tiedot.
Esimerkiksi yritykset, joilla on pääkonttori tai sivuliike EU:ssa, kuuluvat tähän.
Rekisterinpitäjällä on vastuu varmistaa tietojen laillinen ja läpinäkyvä käsittely.
Henkilötietojen käsittelyn EU-yrityksiltä ulkoistaneet yritykset | “Tietojenkäsittelijä”Kun EU-alueen yritys ulkoistaa tietojen käsittelyn toiselle yritykselle, kyseinen yritys toimii “tietojenkäsittelijänä” ja kuuluu GDPR:n piiriin.
Tietojenkäsittelijän on myös kannettava vastuu tietojen turvallisuudesta ja laillisesta käsittelystä.
EU-alueen henkilöille tuotteita tai palveluita tarjoavat yrityksetVerkkokaupat ja web-palveluita tarjoavat yritykset kuuluvat tähän ryhmään.
Tarjottavien tuotteiden tai palveluiden yhteydessä käsiteltävien tietojen on noudatettava GDPR:n standardeja.
EU-alueen henkilöitä valvovat yrityksetValvonta tarkoittaa tietyn henkilön toiminnan tai tilan pitkäaikaista seurantaa.
Esimerkiksi valvontakameroita käyttävät yritykset tai verkossa käyttäytymistä seuraavat yritykset kuuluvat tähän, ja niiltä vaaditaan tietojen laillista käsittelyä.

GDPR:n soveltamisalaan kuuluvilta yrityksiltä vaaditaan tietojen laillista ja läpinäkyvää käsittelyä, turvallisuuden varmistamista sekä GDPR:n standardien noudattamista.

Liittyvä artikkeli: Milloin GDPR sovelletaan alueen ulkopuolella? Selitämme vastaamiskeinot[ja]

Henkilötietojen käsittely GDPR:n mukaisesti

Henkilötietojen käsittely

GDPR tarjoaa viitekehyksen henkilötietojen käsittelylle, suojaten yksityisyyttä ja edistäen tietojen liikkuvuutta.

Tämän säännöstön tavoitteena ja periaatteena on varmistaa perusoikeuksien ja vapauksien suojeleminen, erityisesti kunnioittaa yksilön yksityisyyttä ja edistää henkilötietojen vapaata liikkuvuutta (GDPR artikla 4).

GDPR suojaa henkilötietojen hallintaa ja kunnioitusta samalla kun se edistää tietojen liikkuvuutta ja varmistaa luotettavuuden asianmukaisella hallinnolla.

Tätä varten on tärkeää, että tietojenkäsittely on läpinäkyvää ja että yritykset ovat vastuullisia, ja niiden on käsiteltävä tietoja sääntöjen mukaisesti.

GDPR sisältää myös seuraavanlaisia säännöksiä:

Kun GDPR:n alaiset yritykset käsittelevät henkilötietoja, he tarvitsevat pääsääntöisesti henkilön suostumuksen (GDPR artikla 6 kohta 1(a)).
Rekisterinpitäjän on kyettävä todistamaan, että henkilö on antanut suostumuksensa henkilötietojen käsittelyyn (GDPR artikla 7 kohta 1).
Lisäksi henkilöllä on oikeus peruuttaa suostumuksensa henkilötietojen käsittelyyn milloin tahansa (GDPR artikla 7 kohta 3).

On kuitenkin tilanteita, joissa henkilötietojen käsittely on sallittua ilman henkilön suostumusta. Esimerkkejä tällaisista tilanteista ovat:

  • Kun käsittely on tarpeen henkilön osapuolena olevan sopimuksen täytäntöönpanemiseksi
  • Kun käsittely on tarpeen ennen sopimuksen tekemistä henkilön pyynnöstä toteutettavien toimenpiteiden suorittamiseksi
  • Kun käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi
  • Kun käsittely on tarpeen henkilön tai toisen henkilön elintärkeiden etujen suojelemiseksi
  • Kun käsittely on tarpeen yleisen edun vuoksi tai rekisterinpitäjän julkisen vallan käyttämiseksi
  • Kun käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi (vaatii henkilön oikeuksien, etujen ja vapauksien punnintaa)

GDPR:n mukaiset henkilötietojen pääasialliset oikeudet

Henkilötietojen oikeudet

GDPR tunnustaa henkilötietojen subjekteille pääasiassa seuraavat oikeudet:

  • Oikeus päästä käsiksi omiin henkilötietoihin
  • Oikeus vaatia henkilötietojen korjaamista tai poistamista
  • Oikeus vaatia henkilötietojen käsittelyn rajoittamista
  • Oikeus esittää vastalauseita henkilötietojen käsittelylle

Henkilötietojen subjekteilla on oikeus ymmärtää, miten heidän tietojaan käytetään. Jos he kokevat tietojensa olevan virheellisiä tai niitä käytetään sopimattomasti, heillä on oikeus pyytää tietojen korjaamista tai poistamista, vaatia käsittelyn väliaikaista keskeyttämistä tai esittää vastalauseita.

GDPR:n mukaiset päävastuut henkilötietojen käsittelyssä

Henkilötietojen vastuu

Samalla kun henkilötietojen subjekteille on myönnetty edellä mainitut oikeudet, henkilötietoja keräävillä ja käsittelevillä yrityksillä on pääasiassa seuraavat vastuut:

  • GDPR:n mukaisen henkilötietojen käsittelyjärjestelmän ja henkilöstörakenteen kehittämisvastuu
  • Vastuu henkilötietojen käsittelyä koskevien tietueiden ylläpidosta
  • Vastuu henkilötietojen loukkaustilanteissa toimimisesta

Yritysten kantamat nämä vastuut ovat tärkeitä henkilötietojen asianmukaisen suojelun varmistamiseksi.

Lisäksi on välttämätöntä, että kaikki henkilötietojen käsittelytoimet kirjataan asianmukaisesti, jotta tarvittaessa voidaan suorittaa tarkasteluja.

Mikäli henkilötietojen loukkaus tapahtuu, yrityksellä on vastuu ryhtyä asianmukaisiin toimenpiteisiin ja ilmoittaa asiasta asianosaisille.

GDPR:n rikkomisen seuraukset

Keltaista korttia näyttävä mies

Mikäli rekisterinpitäjä tai käsittelijä rikkoo GDPR:ää ja aiheuttaa vahinkoa rekisteröidylle, he voivat joutua korvausvelvollisiksi vahingoista (GDPR:n 82 artiklan 1 kohta).

Lisäksi GDPR:n rikkominen voi johtaa vakaviin seurauksiin. Esimerkiksi rikkomuksesta voidaan määrätä EU:n sakkoja GDPR:n 83 artiklan mukaisesti (GDPR:n 83 artikla).

GDPR:n ja henkilötietolain erot

Tutkimustyötä tekevä mies

GDPR:n ja henkilötietolain väliset erot ovat pääasiassa seuraavat:

  • Suojelun kohteet
  • Toimenpiteet henkilötietojen loukkaantumisen yhteydessä
  • Edustajan määrittely
  • Rangaistukset rikkomustapauksissa

Alla selitämme näitä eroja tarkemmin.

Suojelun kohteet

GDPR ja henkilötietolaki eroavat siinä, mitä tietoja ne suojelevat. GDPR suojaa laajasti henkilötietoja, jotka käsitellään EU:n alueella. Se koskee paitsi EU:n alueella toimivia yrityksiä, myös niitä yrityksiä, jotka tarjoavat tuotteita tai palveluita EU:n alueen henkilöille.

Toisaalta henkilötietolain suojelun kohteet vaihtelevat maittain ja alueittain.

Esimerkiksi Japanin henkilötietolaki (Japanese Personal Information Protection Act) kohdistuu maan sisällä käsiteltäviin henkilötietoihin, ja suojelu rajoittuu pääasiassa kotimaahan.

Toimenpiteet henkilötietojen loukkaantumisen yhteydessä

GDPR:ssä ja henkilötietolaissa on eroja siinä, miten toimitaan, kun henkilötietoja on loukattu.

GDPR:n mukaan, jos tietovuoto tapahtuu, yrityksellä on velvollisuus ilmoittaa siitä valvontaviranomaiselle 72 tunnin kuluessa. Lisäksi yrityksen on ilmoitettava asiasta nopeasti ja selkeästi tietojen subjektille.

Henkilötietolain mukaan myös tietovuodon sattuessa on ilmoitettava asiasta pikaisesti, mutta ilmoitusvelvollisuuden määräajat ja ilmoituksen sisältö vaihtelevat maittain ja alueittain.

Edustajan määrittely

GDPR:ssä ja henkilötietolaissa on eroja edustajan määrittelyssä.

GDPR vaatii, että lapsen henkilötietojen käsittelyssä on saatava vanhemman tai laillisen edustajan suostumus. Lisäksi, kun yritys tarjoaa online-palveluita ja käsittelee alle 16-vuotiaiden lasten henkilötietoja, vaaditaan vanhemman suostumus.

Henkilötietolaki vaatii myös laillisen edustajan suostumuksen lapsen henkilötietojen käsittelyyn, mutta ikäraja ja suostumuksen hankkimisen menetelmät vaihtelevat lainsäädännön mukaan.

Rangaistukset rikkomustapauksissa

GDPR:n ja henkilötietolain välillä on eroja myös rikkomustapauksissa määrättävissä rangaistuksissa.

GDPR:ssä rikkomuksista voidaan määrätä sanktioita, jotka ovat enimmillään joko yrityksen koko vuotuisen liikevaihdon 4% tai 20 miljoonaa euroa.

Henkilötietolain rangaistukset vaihtelevat maittain ja alueittain, mutta yleensä ne sisältävät sakkoja tai oikeudellisia seuraamuksia. Sakkojen suuruus riippuu rikkomuksen luonteesta ja vakavuudesta.

GDPR:n vaatimat toimenpiteet japanilaisille yrityksille

Puhelimeen puhuva nainen

Seuraavat yritykset tarvitsevat toimenpiteitä GDPR:n noudattamiseksi:

  • EU-alueella tytäryhtiöitä, sivukonttoreita tai toimistoja pitävät yritykset
  • Japanista EU-alueelle tuotteita tai palveluita tarjoavat yritykset
  • EU-alueen yrityksiltä henkilötietojen käsittelyä ulkoistettuna saaneet yritykset

Yritysten konkreettisina toimenpiteinä GDPR:n artikla 32 ja johdanto-osan kappale (83) suosittelevat muun muassa salausmenetelmiä datan suojausteknologiana.

Tämän vuoksi on tarpeen salata henkilötietoja sisältävät tiedot, kuten asiakaspäätteiden PC:t, kovalevyt, USB-muistitikut ja jaetut kansiot.

Lisäksi on tarpeen päivittää yksityisyydensuojakäytäntö GDPR:n vaatimusten mukaiseksi. GDPR:n mukaisesta yksityisyydensuojakäytännöstä on lisätietoja seuraavassa artikkelissa.

Liittyvä artikkeli: Selitys GDPR:n mukaisen yksityisyydensuojakäytännön luomisen pääkohdista[ja]

Yhteenveto: GDPR-toimenpiteisiin kannattaa konsultoida asiantuntijaa

Lakikirjoja lukeva asianajaja

GDPR eli EU:n yleinen tietosuoja-asetus suojaa laajasti henkilötietoja, jotka käsitellään EU:n alueella, ja edellyttää tietojen laillista sekä läpinäkyvää käsittelyä ja turvallisuuden varmistamista. GDPR:n ja Japanin henkilötietojen suojalain välisiä eroja ovat muun muassa suojattavien tietojen laajuus, henkilötietojen loukkausten käsittely, edustajan määrääminen ja rikkomuksista seuraavat sanktiot.

GDPR koskee pääasiassa yrityksiä, joilla on toimipaikkoja EU:n alueella, yrityksiä, jotka tarjoavat tuotteita tai palveluita EU:n alueella oleville henkilöille, sekä yrityksiä, jotka käsittelevät henkilötietoja EU:n alueella toimivien yritysten toimeksiannosta. GDPR:n rikkomisesta voi seurata vahingonkorvausvaatimuksia ja sanktiomaksuja, joten on tärkeää olla tarkkana.

Suosittelemme konsultoimaan asiantuntijaa, jos yrityksesi tietosuojakäytäntöjä on tarpeen muuttaa GDPR:n vaatimusten mukaisiksi.

Toimenpiteemme esittely

Monolith Lakitoimisto yhdistää IT-alan ja oikeudellisen asiantuntemuksen tarjotakseen ainutlaatuisia ja tehokkaita oikeudellisia palveluita. Erityisesti internetin ja oikeuden alueilla meillä on runsaasti kokemusta. Globalisaation myötä kansainvälinen liiketoiminta laajenee jatkuvasti, ja asiantuntijoiden suorittaman oikeudellisen tarkastuksen tarve kasvaa entisestään. Tarjoamme ratkaisuja kansainvälisiin oikeudellisiin kysymyksiin.

Monolith Lakitoimiston palvelualueet: Kansainväliset oikeudelliset palvelut ja ulkomaantoiminta[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

TOPへ戻る