【Uusin versio】Mikä on henkilötietojen suojalaki? Selkeä selitys perustiedoista, jotka sinun tulee tietää

Nykyään yhteiskunnallinen kiinnostus henkilötietojen käsittelyä ja yksityisyyttä kohtaan on kasvussa. Henkilötietojen suojaa koskeva laki ja siihen liittyvät säädökset sisältävät kuitenkin monia tärkeitä säännöksiä, jotka usein ovat monimutkaisia ja vaikeita järjestää. Lisäksi henkilötietojen suojalakia muutetaan säännöllisesti vastaamaan yhteiskunnan muuttuvia olosuhteita, joten on tärkeää pysyä ajan tasalla päivittäin.

Tässä artikkelissa selitämme selkeästi henkilötietojen käsittelijöiden vähintään tietämään tarvitsemat perustiedot henkilötietojen suojalain perusteista, jotka perustuvat vuonna 2022 voimaan tulleeseen uusimpaan henkilötietojen suojalain muutokseen (tämä artikkeli on kirjoitettu tammikuussa 2025 voimassa olevien lakien ja tietojen perusteella).

Henkilötietojen suojalain tarkoitus ja uudistuksen tausta Japanissa

Digitaalisessa yhteiskunnassa henkilötietojen väärinkäytön aiheuttamien vahinkojen estämisen merkitys on kasvanut, ja henkilötietojen suojalakia on uudistettu useita kertoja. Tässä selitämme henkilötietojen suojalain tarkoituksen ja näiden uudistusten taustat.

Henkilötietojen suojalain tarkoitus

Henkilötietojen suojalaki on laki, joka pääasiassa määrittelee henkilötietojen ja muiden vastaavien tietojen asianmukaisen käsittelyn säännöt.

Henkilötietojen ja datan hyödyntäminen palveluissa on nykyään meille itsestäänselvyys. Yritykset käyttävät henkilötietoja liiketoiminnan tehostamiseen ja digitaaliseen transformaatioon (DX), mutta samalla henkilötietojen vuototapaukset ovat lisääntyneet ja väärinkäytön riskit ovat kasvaneet.

Henkilötietojen suojalain tarkoitus voidaan tiivistää seuraavasti: “henkilötietojen hyödyllisyyttä kunnioittaen” ja “yksilön oikeuksien ja etujen suojelua” edistäen (laki 1 artikla). Henkilötietojen suojalain opiskelussa on erittäin tärkeää ymmärtää näiden kahden näkökulman välinen tasapaino.

Tämä laki on säädetty ottaen huomioon, että henkilötietojen käyttö on merkittävästi laajentunut digitaalisen yhteiskunnan kehityksen myötä. Laki määrittelee henkilötietojen asianmukaisen käsittelyn perusperiaatteet ja hallituksen peruspolitiikan luomisen sekä muut henkilötietojen suojelun perustana olevat asiat. Lisäksi se selventää valtion ja paikallishallinnon velvollisuuksia ja määrittelee henkilötietoja käsitteleville yrityksille ja hallinnollisille elimille noudatettavat velvoitteet niiden ominaisuuksien mukaisesti. Henkilötietojen suojelukomission perustamisen kautta pyritään varmistamaan hallinnollisten toimintojen ja liiketoiminnan asianmukainen ja sujuva hoito sekä henkilötietojen asianmukainen ja tehokas hyödyntäminen, mikä edistää uusien teollisuudenalojen luomista sekä elinvoimaisen talousyhteiskunnan ja rikkaan kansalaiselämän toteutumista, samalla kun kunnioitetaan henkilötietojen hyödyllisyyttä ja suojellaan yksilön oikeuksia ja etuja.

Lainaus: Henkilötietojen suojalaki 1 artikla

On huomattava, että henkilötietojen suojalaki ei määrittele kaikkia sääntöjä henkilötietojen käsittelyyn liittyen, vaan yksityiskohtaisemmat säännöt on vahvistettu asetuksissa ja määräyksissä.

Lisäksi henkilötietojen suojalain soveltamiseen liittyvät konkreettiset lain tulkinnat ja huomioon otettavat seikat on määritelty henkilötietojen suojelukomission laatimissa erilaisissa ohjeissa ja Q&A:ssa. Vaikka nämä eivät itsessään ole laillisesti sitovia, ne toimivat käytännön standardeina ja monia yrityksiä käyttävät niitä viitekehyksenään.

Viite: Henkilötietojen suojelukomissio｜Lait & Ohjeet[ja]

Uudistuksen tausta

Henkilötietojen suojalaki astui voimaan ensimmäistä kertaa Heisei 17 vuonna (2005).

Sen jälkeen tieto- ja viestintätekniikan kehityksen ja globalisaation myötä henkilötietojen hyödyntäminen on lisääntynyt tavalla, jota ei ollut ennakoitu lain säätämisen aikaan. Tällaiset yhteiskunnalliset muutokset huomioon ottaen henkilötietojen suojalakia uudistettiin merkittävästi Heisei 27 vuonna (2015) ja uudelleen Reiwa 2 vuonna (2020).

Lisäksi henkilötietojen suojelukomissio on edennyt henkilötietojen suojalain tarkistamisessa kolmen vuoden välein, kuten on määritelty “Henkilötietojen suojalain niin sanotussa kolmen vuoden tarkistuksessa järjestelmän uudistuksen pääkohdat[ja]” -asiakirjassa.

Uudistuksen pääkohdissa mainitaan näkökulmia, kuten “yksilön oikeuksien ja etujen suojelu”, “suojelun ja hyödyntämisen tasapaino”, “kansainvälisten virtausten kanssa harmonisointi”, “ulkomaisten yritysten riskimuutoksiin vastaaminen” ja “AI:n ja big datan aikakauden haasteisiin vastaaminen”.

Nykyisin voimassa oleva uusin uudistuslaki, eli Reiwa 2 vuoden (2020) uudistuslaki, astui voimaan huhtikuussa 2022, mutta henkilötietojen suojelukomission tarkistussuunnitelman mukaan vuonna 2020 kolme vuotta täyttäneen lain uudistusta saatetaan harkita uudelleen vuonna 2023 (tai 2024).

Alla selitämme Reiwa 2 vuoden uudistuslain perusteella henkilötietojen suojalain artiklojen määritelmät ja luokittelut sekä tärkeimmät säännökset yleiskatsauksena.

Henkilötietojen suojaa koskevan lain määritelmät ja luokittelut Japanissa

Henkilötietojen suojaa koskevan lain säännökset (säännöt) ovat ensimmäinen este, kun halutaan ymmärtää lainalaisuuksia. Lain erityiset termit eroavat arkikielessä käytetyistä sanoista, sillä ne on määritelty oikeudellisesti ja niille on asetettu monia säännöksiä. Siksi on tärkeää ensin ymmärtää termien määritelmät (merkitykset, tarkoitukset).

Tässä artikkelissa käsittelemme seuraavia termejä:

• Henkilötiedot
• Henkilödata
• Omistetut henkilödatat

Joitakin termejä saatetaan pitää samankaltaisina, mutta Japanin henkilötietojen suojaa koskevassa laissa niillä on selkeät erot, ja kullekin määritelmälle on asetettu erilaisia säännöksiä. On hyvä muistaa, että “henkilötiedot” → “henkilödata” → “omistetut henkilödatat” -järjestyksessä velvoitteet kasvavat käsiteltäessä tietoja.

Henkilötiedot Japanissa

Henkilötiedot määritellään Japanin lainsäädännössä “elossa olevaa” “yksilöön liittyväksi tiedoksi”, joka voi “identifioida tietyn henkilön” tai sisältää “henkilökohtaisia tunnisteita” (Henkilötietolaki, 2 artiklan 1 momentin 1 kohta ja 2 kohta).

Edesmenneet henkilöt tai kuvitteelliset hahmot eivät kuulu “elossa olevien” piiriin, eikä yritystieto tai tilastotieto ole “yksilöön liittyvää tietoa”.

“Tietyn henkilön identifioimiseen kykenevä tieto” tarkoittaa tyypillisesti nimeä, puhelinnumeroa, osoitetta, syntymäaikaa, kasvokuvaa ja muita vastaavia, mutta yksilöön liitetty tieto kokonaisuudessaan muodostaa henkilötiedot. Toisin sanoen, sellaiset tiedot, jotka eivät yksinään mahdollista henkilön tunnistamista (esimerkiksi käyttäjä-ID tai ostohistoria), muuttuvat henkilötiedoiksi, kun ne yhdistetään nimeen tai puhelinnumeroon ja mahdollistavat siten “tietyn henkilön identifioimisen”.

Lisäksi “henkilökohtaiset tunnisteet (Henkilötietolaki, 2 artiklan 2 momentti)” viittaavat tyypillisesti yksilöllisiin julkisiin numeroihin, kuten henkilötunnukseen, ajokorttiin, passin numeroon tai vakuutuskortin numeroon (sama 2 kohta). Myös sormenjäljet tai DNA, jotka on muunnettu tiedoiksi, kuuluvat henkilökohtaisiin tunnisteisiin (sama 1 kohta).

Lisäksi “tietyn henkilön identifioimiseen kykenevän tiedon” vaatimukseen sisältyy, että “tieto voidaan helposti yhdistää muihin tietoihin, jolloin tietyn henkilön tunnistaminen on mahdollista” (tätä kutsutaan “helpoksi yhdistettävyydeksi”).

Esimerkiksi, vaikka käyttäjän selaushistoriatietokanta sisältäisi käyttäjä-ID:n ja selaustiedot, sitä tarkasteleva henkilö ei voi tunnistaa tiettyä yksilöä. Mutta jos käyttäjähallintatietokanta (toinen tietokanta) sisältää saman käyttäjä-ID:n sekä nimen ja osoitteen, voidaan yhteistä käyttäjä-ID:tä yhdistämällä tunnistaa tietty henkilö. Täten tässä tapauksessa selaustiedotkin, vaikka ne eivät yksinään mahdollista tietyn henkilön tunnistamista, sisältyvät “helposti yhdistettävyyden” ansiosta kokonaisuudessaan henkilötietoihin. Toisin sanoen, yrityksen tiedonkäsittelyn todellisuus voi määrittää, katsotaanko tieto “henkilötiedoksi” vai ei, joten tarkkaavaisuus on tarpeen.

2 artikla Tässä laissa “henkilötiedot” tarkoittavat elossa olevaan yksilöön liittyvää tietoa, joka täyttää seuraavista kohdista jonkin.

1. Tieto, joka sisältää nimen, syntymäajan tai muun kuvauksen, joka on kirjoitettu tai tallennettu dokumentteihin, piirroksiin tai sähköisiin tallenteisiin (sähköiset tallenteet viittaavat tallenteisiin, jotka on luotu sähköisesti, magneettisesti tai muulla tavalla, joka ei ole ihmisen havaittavissa. Seuraavassa momentissa sama.), tai joka on esitetty äänen, liikkeen tai muun menetelmän avulla (pois lukien henkilökohtaiset tunnisteet), ja joka mahdollistaa tietyn henkilön tunnistamisen (mukaan lukien tiedot, jotka voidaan helposti yhdistää muihin tietoihin, jolloin tietyn henkilön tunnistaminen on mahdollista).

2. Tieto, joka sisältää henkilökohtaisia tunnisteita

Henkilötietolaki 2 artiklan 1 momentin 1 kohta ja 2 kohta

Henkilötiedot

Henkilötietojen tietokantaan tallentamista tai hakukelpoiseen muotoon järjestämistä kutsutaan “henkilötietojen tietokannaksi” Japanin laissa (lain 16. pykälän 1 momentin 1 kohta sekä 2 kohta).

Esimerkiksi yksittäisen käyntikortin tiedot ovat “henkilötietoja”, mutta kun nämä tiedot tallennetaan 50 äänen mukaiseen indeksoituun tiedostoon tai järjestetään hakukelpoiseen muotoon käyttäen Exceliä tai vastaavaa, ne muodostavat “henkilötietojen tietokannan”, joka on järjestetty systemaattisesti tiettyjen henkilötietojen hakemista varten.

Tämän “henkilötietojen tietokannan” muodostavia yksittäisiä henkilötietoja kutsutaan “henkilödataksi” (lain 16. pykälän 3 momentti). Kun tiedot luokitellaan henkilödataksi, niiden käsittelyyn sovelletaan lisäsääntelyjä verrattuna tavallisiin “henkilötietoihin”, kuten kolmansille osapuolille luovuttamista koskevat rajoitukset ja turvallisuuden hallintatoimenpiteet (tarkemmin sanottuna myöhemmin).

Syy tähän on, että henkilödata muuttuu riskialttiimmaksi massiivisille tietovuodoille, kun henkilötiedot tietokantaan tallennetaan, ja niiden yhdistäminen muihin menetelmiin on helpompaa, mikä voi lisätä riskiä henkilön oikeuksien loukkaamiselle.

Hallussa olevat henkilötiedot

Kun liiketoiminnan harjoittaja hallinnoi henkilötietoja ja henkilö pyytää niiden paljastamista, niitä henkilötietoja, joita harjoittaja voi paljastaa tai käsitellä, kutsutaan “hallussa oleviksi henkilötiedoiksi” (lain 16 artiklan 4 momentti).

Yleensä tähän ryhmään kuuluvat suoraan liiketoiminnan kautta kerätyt asiakastiedot ja työntekijätiedot. Toisaalta esimerkiksi ulkoistetun työn kautta saadut tiedot eivät kuulu hallussa oleviin henkilötietoihin, koska niiden paljastamiseen tai käsittelyyn ei ole oikeutta.

Kun kyseessä ovat hallussa olevat henkilötiedot, on vastattava viipymättä julkaisemalla määrätyt tiedot ja vastaamalla henkilön tiedusteluihin sekä käsiteltävä pyynnöt tiedon paljastamisesta, korjaamisesta tai poistamisesta (tarkemmin sanottuna myöhemmin).

Japanin henkilötietolain mukaan “henkilötiedot” ovat laajin käsite, ja “henkilödata” sekä “hallussa olevat henkilötiedot” määritellään yhä kapeammin, jolloin sääntely tiukkenee. Näiden määritelmien mukaisesti sovellettava sääntely muuttuu, joten tarkkaavaisuus on tarpeen. Tarkastellaan näitä eroja alla olevassa kuvassa.

Tiedon luokittelun mukaan sovellettavat säännöt vaihtelevat

Kuten alla olevasta kaaviosta näkyy, Japanin henkilötietolain (Personal Information Protection Act) keskeiset säännökset on määritelty vastaamaan ‘henkilötiedon’, ‘henkilödatan’ ja ‘hallussa olevan henkilödatan’ erottelua.

Lähde: Japanin henkilötietosuojakomitea (Personal Information Protection Commission) ‘Henkilötietolain perusteet’ sivu 25

Seuraavaksi käsittelemme lyhyesti:

• Henkilötietojen käyttötarkoituksen määrittelyä ja ilmoittamista
• Henkilödatan turvallisuuden hallintatoimenpiteitä ja alihankkijoiden hallintaa
• Henkilödatan luovuttamista kolmansille osapuolille ja siihen liittyviä poikkeuksia
• Hallussa olevan henkilödatan tietopyyntöihin vastaamista

Japanin lainsäädännön näkökulmasta.

Henkilötietojen käyttötarkoituksen määrittely ja ilmoittaminen Japanissa

Ensinnäkin Japanin henkilötietolain mukaan henkilötietojen hankkimisen yhteydessä on tarpeen määritellä käyttötarkoitus mahdollisimman tarkasti (lain 17 pykälän 1 momentti), eikä henkilötietoja saa käsitellä määritellyn käyttötarkoituksen saavuttamiseksi tarpeellisen laajuuden ulkopuolella (lain 18 pykälän 1 momentti).

Kun käyttötarkoitusta muutetaan, sitä ei saa tehdä yli sen laajuuden, joka on kohtuudella pidettävä yhteydessä alkuperäiseen käyttötarkoitukseen ja ennakoitavissa (lain 17 pykälän 2 momentti).

Lisäksi määritellystä käyttötarkoituksesta on ilmoitettava henkilölle tai se on julkaistava (lain 21 pykälän 1 momentti).

Henkilötietolain mukaan ilmoitus- ja julkaisutapaa ei ole erityisesti määritelty, mutta yleisesti käytetään muotoja kuten “tietosuojakäytäntö” tai “henkilötietojen suojaperiaatteet”.

Henkilötietojen suojaa koskevan komitean ohjeistuksessa määritellään seuraavasti:

Käyttötarkoituksen tulisi olla määritelty ei vain abstraktisti tai yleisesti, vaan niin, että henkilötietojen käsittelijä voi ymmärtää, mihin liiketoiminnan tarkoitukseen ja millä perusteella henkilötietoja lopulta käytetään, ja että tämä on henkilölle yleisesti ja kohtuudella ennakoitavissa.

Henkilötietojen suojaa koskeva komitea ‘Yleiset ohjeet[ja]‘ 3-1-1

Lisäksi samassa ohjeistuksessa on esimerkkejä siitä, mitä pidetään käyttötarkoituksen konkreettisena määrittelynä.

Toisin sanoen, henkilötietojen tulee olla määritelty niin, että henkilö ymmärtää, miten tietoja käytetään konkreettisesti missä liiketoiminnassa ja mihin tarkoitukseen.

Lisäksi, kun henkilötietoja hankitaan suoraan kirjallisesta (sähköisiä tallenteita mukaan lukien) asiakirjasta, on ennalta ilmoitettava käyttötarkoitus henkilölle (lain 21 pykälän 2 momentti).

Henkilötietojen turvallisuuden hallintatoimenpiteet ja alihankkijoiden hallinta Japanissa

Henkilötietojen käsittelijöiden on Japanissa otettava käyttöön tarpeellisia ja asianmukaisia toimenpiteitä henkilötietojen vuotamisen, häviämisen tai vahingoittumisen estämiseksi sekä muiden henkilötietojen turvallisuuden hallintatoimenpiteiden varmistamiseksi (lain 23 §).

Lisäksi, hallussa oleviin henkilötietoihin liittyvät turvallisuuden hallintatoimenpiteet on pidettävä sellaisessa tilassa, että rekisteröity henkilö voi saada niistä tietoa (“henkilön tietoon saatettavissa olevassa tilassa”, mukaan lukien vastaaminen henkilön pyyntöön viivytyksettä) (lain 32 § 1 momentin 4 kohta, Henkilötietojen suojaa koskeva lain täytäntöönpanoasetuksen 10 § 1 momentti).
Turvallisuuden hallintatoimenpiteiden konkreettisia esimerkkejä on kuvattu ohjeistuksessa[ja].

10-1 Peruspolitiikan laatiminen

10-2 Henkilötietojen käsittelyyn liittyvän kurinpidon kehittäminen

10-3 Organisatoriset turvallisuuden hallintatoimenpiteet

10-4 Henkilöstön turvallisuuden hallintatoimenpiteet

10-5 Fyysiset turvallisuuden hallintatoimenpiteet

10-6 Tekniset turvallisuuden hallintatoimenpiteet

10-7 Ulkoisen ympäristön ymmärtäminen

Lähde: Henkilötietojen suojasta vastaava komitea ‘Ohjeistuksen yleiset periaatteet[ja]‘ 10

Kuitenkin turvallisuuden hallintatoimenpiteissä ei vaadita, että kaikki yritykset noudattavat samoja standardeja tai toteuttavat samat toimenpiteet. Esimerkiksi suurten IT-yritysten, jotka käsittelevät miljoonien ihmisten henkilötietoja, ja pienempien yritysten, jotka käsittelevät rajoitettua määrää henkilötietoja, vaadittavien toimenpiteiden taso vaihtelee. Turvallisuuden hallintatoimenpiteiden on oltava yrityksen kokoon, luonteeseen, käsiteltävien henkilötietojen laatuun ja määrään sekä odotettavissa oleviin riskeihin sopivia, ja niiden on perustuttava näiden tekijöiden kokonaisvaltaiseen arviointiin.

Edellä mainittujen lisäksi yrityksillä on velvollisuus valvoa asianmukaisesti työntekijöitään ja alihankkijoitaan henkilötietojen turvallisuuden varmistamiseksi (lain 24 § ja 25 §).

Henkilötietojen luovuttaminen kolmansille osapuolille ja sen poikkeukset Japanissa

Henkilötietojen luovuttamisessa kolmansille osapuolille on Japanin lain mukaan lähtökohtaisesti saatava henkilön suostumus (lain 27 artiklan 1 momentti).

Tapauskohtaisesti, esimerkiksi käyttöehtoihin, sopimusehtoihin tai tietosuojakäytäntöihin liittyvän kolmannen osapuolen tietojen luovutusta koskevan maininnan osalta voidaan katsoa, että suostumus on asianmukaisesti saatu, jos henkilö on hyväksynyt nämä ehdot.

Kuitenkin tietyissä tilanteissa, kuten julkisen edun vuoksi, on olemassa poikkeuksia, jolloin henkilön suostumusta ei tarvita tietojen luovuttamiseen kolmansille osapuolille (lain 27 artiklan 1 momentin kohdat).

27. pykälä: Henkilötietojen käsittelijänä toimivan yrityksen on, lukuun ottamatta seuraavassa lueteltuja tapauksia, saatava etukäteen henkilön suostumus ennen kuin se luovuttaa henkilötietoja kolmannelle osapuolelle.

1. Lain määräyksestä johtuva tapaus

2. Tapaus, jossa on tarpeen suojella henkilön elämää, terveyttä tai omaisuutta ja jossa henkilön suostumuksen saaminen on vaikeaa.

3. Tapaus, jossa on erityisen tarpeellista edistää kansanterveyttä tai lasten terveellistä kasvatusta ja jossa henkilön suostumuksen saaminen on vaikeaa.

4. Tapaus, jossa valtion viranomainen tai paikallishallinnon yksikkö tai niiden valtuuttama taho tarvitsee yhteistyötä lain määräämän tehtävän suorittamiseksi ja jossa henkilön suostumuksen saaminen saattaisi haitata kyseisen tehtävän suorittamista.

5–7 (osittainen poisto)

Lainaus: Henkilötietojen suojaa koskeva laki (Japanin laki), 27. pykälä

Lisäksi seuraavassa käsitellään henkilötietojen luovuttamista ulkomailla sijaitsevalle kolmannelle osapuolelle.

Periaatteessa, kun henkilötietoja luovutetaan ulkomailla sijaitsevalle kolmannelle osapuolelle (mukaan lukien alihankinta ja yhteiskäyttö), edellä mainittujen henkilötietojen kolmannelle osapuolelle luovuttamista koskevien sääntöjen lisäksi tarvitaan suostumus “ulkomailla sijaitsevalle kolmannelle osapuolelle” luovuttamiseen (laki 28. pykälä). Lisäksi ennen suostumuksen saamista on tarpeen antaa seuraavat tiedot (sääntö 17. pykälän 2. momentti kohdat).

1. Kyseisen ulkomaan nimi

2. Tiedot kyseisen ulkomaan henkilötietojen suojajärjestelmästä, jotka on saatu asianmukaisella ja järkevällä tavalla

3. Tiedot toimenpiteistä, joita kyseinen kolmas osapuoli toteuttaa henkilötietojen suojaamiseksi

Yksityiskohtaiset kirjausmenetelmät löytyvät Henkilötietojen suojaa koskevan lain ohjeistuksesta (ulkomailla sijaitsevalle kolmannelle osapuolelle luovuttamista koskeva osa)[ja] 5-2, jonka on laatinut Henkilötietojen suojaa koskeva komitea.

Kuitenkin, yllä mainituissa on kaksi poikkeusta.

Kun luovutuksen kohde on kolmas osapuoli, joka sijaitsee maassa, jonka henkilötietojen suojajärjestelmän Henkilötietojen suojaa koskeva komitea katsoo olevan samalla tasolla kuin Japanissa (standardien mukaisuusjärjestelmä, marraskuussa 2023 EEA:n jäsenmaat ja Iso-Britannia), kyseistä kolmatta osapuolta ei katsota “ulkomaalaiseksi”. Toisin sanoen, rajat ylittävää siirtoa koskevia sääntöjä ei sovelleta, ja se kohdellaan samalla tavalla kuin kotimaista toimijaa kolmannelle osapuolelle luovuttamisessa.

Seuraavaksi, kun rajat ylittävä siirto suoritetaan edellä mainitun standardien mukaisuusjärjestelmän perusteella. Toisin sanoen, jos ① “tarvittavien toimenpiteiden jatkuvan toteuttamisen varmistamiseksi tarvittavat toimenpiteet toteutetaan” ja ② henkilö pyytää “tarvittavien toimenpiteiden tietoja”, suostumuksen saamista ei tarvita (laki 28. pykälän 1. momentti, 3. momentti).

Edellä mainittu ① on määritelty säännössä 18. pykälän 1. momentissa.

Artikla 18 – Toimenpiteet, jotka ovat tarpeen varmistamaan jatkuvan asianmukaisen toiminnan toteuttamisen ulkomailla sijaitsevan kolmannen osapuolen toimesta Japanin henkilötietolain (平成17年法律第57号, 2005) 28 artiklan 3 momentin mukaisesti (mukaan lukien tapaukset, joissa sitä sovelletaan muutettuna 31 artiklan 2 momentin mukaisesti), määritellään seuraavasti:

1. Asianmukaisen toiminnan toteutuksen tilan sekä kyseisen toiminnan toteuttamiseen mahdollisesti vaikuttavien ulkomaisen maan järjestelmien olemassaolon ja sisällön säännöllinen, asianmukainen ja järkevä tarkistaminen.

2. Jos asianmukaisen toiminnan toteuttamisessa ilmenee esteitä, ryhdytään tarvittaviin ja asianmukaisiin toimenpiteisiin, ja jos jatkuvan asianmukaisen toiminnan varmistaminen muuttuu vaikeaksi, keskeytetään henkilötietojen (tapauksissa, joissa sovelletaan muutettuna 31 artiklan 2 momentin mukaisesti, henkilöön liittyvien tietojen) luovuttaminen kyseiselle kolmannelle osapuolelle.

Lähde: Japanin henkilötietojen suojaa koskevan lain täytäntöönpanosäännöstön artikla 18, kohta 1

Ohjeistuksen mukaan “säännöllinen tarkistaminen”, josta mainitaan kohdassa 1, tarkoittaa tarkistusta vähintään kerran vuodessa tai useammin.

Lisäksi on huomattava, että tarvittavan järjestelmän ylläpitämiseksi ei vaadita ennakkoilmoitusta henkilötietojen suojasta vastaavalle komissiolle.

Edellä mainittu kohta 2 on yksityiskohtaisesti määritelty Japanin henkilötietolain artiklan 18, 3 momentissa.

3. Henkilötietojen käsittelijän on, kun häneltä pyydetään tietoja Japanin henkilötietolain (平成15年2003) 28 artiklan 3 momentin mukaisesti, annettava asianomaiselle henkilölle viipymättä tietoa seuraavista asioista. Kuitenkin, jos tiedon antaminen aiheuttaisi merkittävää haittaa kyseisen henkilötietojen käsittelijän liiketoiminnan asianmukaiselle toteuttamiselle, hänellä on oikeus olla antamatta tietoja kokonaan tai osittain.

1. Menetelmät, joilla kyseinen kolmas osapuoli on järjestänyt järjestelmänsä Japanin henkilötietolain 28 artiklan 1 momentissa määritellyn mukaisesti

2. Toimenpiteiden yleiskuvaus, joita kyseinen kolmas osapuoli toteuttaa

3. Tarkastusten tiheys ja menetelmät, jotka perustuvat 1 momentin 1 kohdan määräyksiin

4. Kyseisen ulkomaisen valtion nimi

5. Olemassa olevat järjestelmät kyseisessä ulkomaisessa valtiossa, jotka voivat vaikuttaa kyseisen kolmannen osapuolen toimenpiteiden toteuttamiseen, sekä niiden yleiskuvaus

6. Mahdolliset esteet, jotka liittyvät kyseisen kolmannen osapuolen toimenpiteiden toteuttamiseen, sekä niiden yleiskuvaus

7. Toimenpiteiden yleiskuvaus, jotka henkilötietojen käsittelijä toteuttaa edellä mainittujen esteiden osalta, perustuen 1 momentin 2 kohdan määräyksiin

Lähde: Japanin henkilötietojen suojaa koskevan lain täytäntöönpanosäännön 18 artiklan 3 momentti

Kun henkilötietoja siirretään rajat ylittävästi perustuen standardien mukaisuusjärjestelmään, on tarpeen antaa tietoja asianomaiselle henkilölle jälkikäteen (pyynnöstä).

Henkilötietojen omistajan tietojen paljastamispyyntöihin vastaaminen Japanissa

Japanin henkilötietojen suojalain (Personal Information Protection Act) 33 pykälän mukaan käyttäjät voivat pyytää henkilötietojen käsittelijöitä paljastamaan heitä itseään koskevat henkilötiedot.

Henkilötietojen käsittelijöiden on asetettava menettelyt ja palkkiot, jotka koskevat henkilötietojen paljastamispyyntöjä, sellaiseen tilaan, että asianomainen henkilö voi saada niistä tiedon (mukaan lukien vastaus viipymättä, kun henkilö sitä pyytää) henkilötietojen suojalain 32 pykälän 1 momentin mukaisesti.

Toisin sanoen, käsittelijät voivat määritellä tarkat menettelyt, kuten paljastamispyynnön vastaanottopaikan, pyyntölomakkeen mallin, pyytäjän henkilöllisyyden varmistamisen menetelmän, palkkioiden määrän ja perimistavan, jotka koskevat paljastamispyyntöjen tekemistä. Pyytäjien on noudatettava näitä menettelyjä tehdessään paljastamispyyntöjä.

Esimerkiksi yksityisyydensuojakäytännöissä voidaan ilmoittaa yrityksen puhelinnumero, sähköpostiosoite tai osoite, jolloin paljastamispyyntöjä voidaan vastaanottaa vain puhelimitse, sähköpostitse tai postitse.

Käyttäjät voivat pyytää paitsi tietojen paljastamista myös tietojen korjaamista, lisäämistä tai poistamista (korjauksia) henkilötietojen suojalain 34 pykälän mukaisesti sekä käytön keskeyttämistä tai tietojen poistamista (käytön keskeytystä) 35 pykälän mukaisesti.

Yhteenveto: Konsultoi asiantuntijaa henkilötietojen käsittelyssä

Tässä artikkelissa olemme käsitelleet henkilötietojen suojaa koskevan lain perustietoja, joista jokaisen tulisi olla tietoinen. Mainittujen seikkojen lisäksi jokaisen yrityksen tilanne on erilainen, joten on tärkeää viitata asiaankuuluviin lakeihin ja ohjeistuksiin sekä harkita toimenpiteitä niiden mukaisesti.

Henkilötietojen suojalaki on laki, joka edellyttää henkilötietoja käsitteleviltä yrityksiltä asianmukaista henkilötietojen käsittelyä ja tarvittavien sekä sopivien toimenpiteiden toteuttamista turvallisuuden hallinnan varmistamiseksi. Se on lähes kaikille yrityksille välttämätön ja tärkeä laki.

Jos olet epävarma henkilötietojen käsittelystä tai yrityksesi tulisi toteuttaa toimenpiteitä, suosittelemme konsultoimaan asianajajaa.

Liittyvä artikkeli: Mitä tulee tietää Reiwa 6 (2024) vuoden henkilötietojen suojalain muutoksista? Selitämme tärkeät muutokset ja toimenpiteet, jotka sinun tulisi tietää[ja]

Esittelyssä toimistomme tarjoamat ratkaisut

Monolith Lakitoimisto yhdistää IT-alan ja oikeudellisen asiantuntemuksen tarjotakseen ainutlaatuisia ja tehokkaita oikeudellisia palveluita. Henkilötietojen ja yksityisyyden suoja ovat nykyään yhteiskunnallisesti suuren huomion kohteena. Esimerkiksi, jos yrityksen hallussa olevat henkilötiedot vuotavat julkisuuteen, se voi aiheuttaa yritystoiminnalle kohtalokkaita seurauksia. Toimistomme omaa erikoisosaamista Japanin (Reiwa (2023)) henkilötietojen suojaa koskevan lainsäädännön alalla. Lisätietoja on saatavilla alla olevassa artikkelissa.

Monolith Lakitoimiston palvelualueet: Japanin henkilötietojen suojalainsäädäntöön liittyvät oikeudelliset palvelut[ja]