MONOLITH LAW OFFICE+81-3-6262-3248Weekdagen 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Wat zijn de aandachtspunten bij het opstellen van een privacybeleid met inachtneming van de Japanse 'Wet op de Bescherming van Persoonsgegevens'?

General Corporate

Wat zijn de aandachtspunten bij het opstellen van een privacybeleid met inachtneming van de Japanse 'Wet op de Bescherming van Persoonsgegevens'?

De laatste tijd is er een groeiende maatschappelijke interesse in de bescherming van persoonlijke gegevens. Het is veilig om te zeggen dat er nauwelijks bedrijven zijn die geen persoonlijke gegevens verwerken, en voor veel bedrijven en zelfstandige ondernemers is de omgang met persoonlijke gegevens een zeer relevant probleem. Het is gebruikelijk dat bedrijven met een website een privacybeleid op hun site hebben. Een privacybeleid is een document waarin de richtlijnen voor de omgang met persoonlijke gegevens door het betreffende bedrijf worden gepubliceerd, in overeenstemming met de Japanse Wet Bescherming Persoonsgegevens. Om een adequaat privacybeleid op te stellen, is het essentieel om de Japanse Wet Bescherming Persoonsgegevens te begrijpen. Daarom zal ik uitleggen wat de aandachtspunten zijn bij het opstellen van een privacybeleid. De Japanse Wet Bescherming Persoonsgegevens is in 2015 (Heisei 27) gewijzigd en de gewijzigde wet is op 30 mei 2017 (Heisei 29) in werking getreden. Er was met name een belangrijke wijziging met betrekking tot het verstrekken van persoonlijke gegevens aan derden, dus ik zal dat punt ook uitleggen. Voor meer informatie over de wijzigingen in de Japanse Wet Bescherming Persoonsgegevens, zie het onderstaande artikel.

Wat is een privacybeleid?

Een privacybeleid is ook bedoeld om de zaken te tonen die openbaar moeten worden gemaakt volgens de Japanse Wet op de Bescherming van Persoonsgegevens.

Op de websites van bedrijven wordt bijna altijd een privacybeleid gepubliceerd. Het kan ook bekend staan onder de naam ‘beleid voor de bescherming van persoonlijke informatie’, maar in principe zijn het vaak dezelfde dingen. Een privacybeleid toont de basis houding van de ondernemer ten opzichte van de behandeling van persoonlijke informatie, en is ook bedoeld om de zaken te tonen die openbaar moeten worden gemaakt volgens de Japanse Wet op de Bescherming van Persoonsgegevens. Daarom is het minimaal noodzakelijk om de volgende zaken te omvatten die openbaar moeten worden gemaakt volgens de Wet op de Bescherming van Persoonsgegevens.

  • Doel van het gebruik van persoonlijke informatie
  • Naam of aanduiding van de persoonlijke informatiebeheerder
  • Procedure om te reageren op verzoeken van de betrokkene voor kennisgeving van het doel van gebruik, openbaarmaking, correctie, stopzetting van gebruik, enz.
  • Contactpunt voor klachten

Daarnaast zijn er specifieke publicatievereisten vastgesteld voor bepaalde operaties die wettelijk zijn vastgesteld, zoals gevallen waarin persoonlijke informatie wordt gedeeld binnen groepsbedrijven, wat gezamenlijk gebruik wordt genoemd, en gevallen waarin anoniem verwerkte informatie wordt behandeld, die later zullen worden uitgelegd.

Gerelateerd artikel: Wat zijn de Wet op de Bescherming van Persoonsgegevens en persoonlijke informatie? Een advocaat legt uit [ja]

Ondernemers die een privacybeleid moeten opstellen

Voor de herziene wet die in 2017 (Heisei 29) in werking is getreden, was de Japanse Wet op de Bescherming van Persoonsgegevens alleen van toepassing op ondernemers die meer dan 5000 persoonsgegevens bezaten. Daarom waren er redelijk wat kleine ondernemers en ondernemers die zich voornamelijk bezighouden met B2B-zaken die geen privacybeleid hoefden op te stellen. Echter, door de herziene wet die in 2017 in werking is getreden, is de Japanse Wet op de Bescherming van Persoonsgegevens nu van toepassing op alle ondernemers, ongeacht het aantal persoonsgegevens dat ze bezitten. Als gevolg hiervan wordt verwacht dat in principe alle ondernemers een privacybeleid zullen opstellen. Zelfs als er geen privacybeleid is opgesteld, kan dit worden vervangen door de betrokkene bij elke gelegenheid van het verzamelen van persoonsgegevens op de hoogte te stellen van zaken die openbaar moeten worden gemaakt onder de Japanse Wet op de Bescherming van Persoonsgegevens, zoals het doel van het gebruik van persoonsgegevens. Echter, dit is meestal lastig, dus normaal gesproken wordt er een privacybeleid opgesteld.

Controlepunten voor het privacybeleid

Hieronder leggen we uit waar u op moet letten bij het opstellen van een privacybeleid.

Definitie van Persoonlijke Informatie

Artikel 0
Persoonlijke informatie is informatie over een levend individu die het mogelijk maakt om een specifiek individu te identificeren op basis van de naam, geboortedatum en andere beschrijvingen in die informatie (inclusief informatie die gemakkelijk kan worden vergeleken met andere informatie, waardoor het mogelijk wordt om een specifiek individu te identificeren).

Wat betreft de definitie van persoonlijke informatie, het is voldoende om deze te beschrijven zoals bepaald in de Japanse Wet op de Bescherming van Persoonsgegevens. Typisch gaat het om informatie zoals naam en geboortedatum, zoals in het voorbeeld van de clausule, maar ook leeftijd, geslacht, adres, telefoonnummer, gezinssamenstelling, hobby’s, voorkeuren, e-mailadres, ID, IP-adres en tijdstempel, werkplek, affiliatie, werkadres, werktelefoonnummer, creditcardnummer, bankrekeningnummer, informatie over bezochte webpagina’s, klachten, consultaties of vragen kunnen als persoonlijke informatie worden beschouwd. Daarom kan het goed zijn om van tevoren in de definitie van persoonlijke informatie in het privacybeleid te vermelden welke van deze items waarschijnlijk zullen worden verkregen van uw eigen klanten en dergelijke.

Doel van het gebruik van persoonlijke informatie

Artikel X
1. Ons bedrijf gebruikt de verzamelde persoonlijke informatie voor de volgende doeleinden. Als we op onze website een ander doel voor het gebruik van persoonlijke informatie hebben vastgesteld, heeft die beschrijving voorrang.
(1) Om ons bedrijf in staat te stellen te reageren op vragen die via het contactformulier zijn gesteld
(2) Om onze webdiensten of applicaties en andere diensten (hierna “deze dienst” genoemd) te leveren en u te informeren over deze dienst of nieuwe diensten die ons bedrijf aanbiedt
(3) Om deze dienst te verbeteren en te helpen bij de ontwikkeling van nieuwe diensten
(4) Voor andere doeleinden die verband houden met de bovenstaande punten
2. Naast de doeleinden die in het vorige lid zijn vastgesteld, kan ons bedrijf de persoonlijke informatie die we van klanten hebben verzameld, verzamelen als statistische informatie in een vorm die de identificatie of specificatie van individuen niet mogelijk maakt, en deze als referentie gebruiken.

Doel van het gebruik

Onder de Japanse Wet op de Bescherming van Persoonsgegevens (Japanse Wet op de Bescherming van Persoonsgegevens) is het vereist om het doel van het gebruik van verzamelde persoonlijke informatie openbaar te maken. Het eerste lid van het bovenstaande artikelvoorbeeld komt hieraan tegemoet. Het is belangrijk om te begrijpen dat het niet voldoende is om het doel van het gebruik op een abstracte of alomvattende manier te beschrijven; het moet specifiek genoeg zijn zodat de persoon kan begrijpen hoe zijn of haar persoonlijke informatie zal worden gebruikt. Daarom kan de beschrijving van het doel van het gebruik variëren afhankelijk van de onderneming die het privacybeleid opstelt. Let er ook op dat als er iets ontbreekt in de beschrijving, u de persoonlijke informatie niet voor dat doel kunt gebruiken, dus zorg ervoor dat u dit zorgvuldig overweegt.

Anonieme verwerkte informatie

Het tweede lid van het artikelvoorbeeld betreft de bepalingen voor anoniem verwerkte informatie. Anoniem verwerkte informatie is informatie die is verwerkt zodat de persoon niet kan worden geïdentificeerd en niet kan worden hersteld. Dit is bedoeld voor het gebruik van zogenaamde big data.
Als u anoniem verwerkte informatie behandelt, moet u de items van persoonlijke informatie die in de anoniem verwerkte informatie zijn opgenomen, openbaar maken in uw privacybeleid, enz. Het tweede lid van het artikelvoorbeeld bepaalt dat de persoonlijke informatie die in de “definitie van persoonlijke informatie” is beschreven, wordt gebruikt als anoniem verwerkte informatie. Let op, als u anoniem verwerkte informatie aan derden verstrekt, moet u ook de methode van verstrekking openbaar maken.

Gebruik van persoonlijke informatie buiten het beoogde doel

Artikel X
Ons bedrijf zal de verkregen persoonlijke informatie behandelen binnen het bereik dat nodig is om het doel van het vorige artikel te bereiken. In het geval dat persoonlijke informatie buiten het bereik van het beoogde gebruik wordt behandeld, zal dit gebeuren met voorafgaande toestemming van de klant zelf. Echter, dit is niet van toepassing in de volgende gevallen:
(1) Wanneer het gebaseerd is op wetgeving
(2) Wanneer het noodzakelijk is voor de bescherming van het leven, lichaam of eigendom van een persoon en het moeilijk is om de toestemming van de klant zelf te verkrijgen
(3) Wanneer het bijzonder noodzakelijk is voor de verbetering van de volksgezondheid of de bevordering van de gezonde opvoeding van kinderen en het moeilijk is om de toestemming van de klant zelf te verkrijgen
(4) Wanneer het noodzakelijk is om samen te werken met een nationale instelling of lokale overheidsorganisatie of een persoon die een opdracht van hen heeft ontvangen om een wettelijke taak uit te voeren, en er is een risico dat het verkrijgen van de toestemming van de klant de uitvoering van de taak zou belemmeren

Het gebruik van persoonlijke informatie buiten het beoogde doel is in principe niet toegestaan. Echter, in de Japanse Wet op de Bescherming van Persoonsgegevens, is het gebruik buiten het beoogde doel toegestaan in de gevallen die worden genoemd in de bovenstaande clausules (1) tot en met (4).
Clausules (2) en (3) zijn gevallen waarin het moeilijk is om snel toestemming te verkrijgen van de persoon zelf, ondanks de hoge vraag naar het gebruik van persoonlijke informatie. Clausules (1) en (4) betreffen het gebruik van persoonlijke informatie op basis van de intenties van de nationale of lokale overheid, zoals bijvoorbeeld bij een strafrechtelijk onderzoek. Deze clausule over het gebruik buiten het beoogde doel is vrijwel standaard voor alle bedrijven en verandert niet veel afhankelijk van de aard van het bedrijf.

Verstrekking van persoonlijke informatie aan derden


Over het algemeen is het noodzakelijk om toestemming te verkrijgen van de betrokkene bij het verstrekken van persoonlijke informatie aan derden.

Artikel X
Ons bedrijf verstrekt in principe geen persoonlijke informatie van klanten aan derden zonder de toestemming van de klant zelf. Uitzonderlijk wordt persoonlijke informatie verstrekt aan derden, mits de ontvanger en de inhoud van de informatie zijn gespecificeerd en de toestemming van de klant zelf is verkregen. Echter, dit is niet van toepassing in de volgende gevallen:
(1) Wanneer het gebaseerd is op wetgeving
(2) Wanneer het noodzakelijk is voor de bescherming van het leven, lichaam of eigendom van een persoon en het moeilijk is om de toestemming van de klant zelf te verkrijgen
(3) Wanneer het bijzonder noodzakelijk is voor de verbetering van de volksgezondheid of de bevordering van de gezonde opvoeding van kinderen en het moeilijk is om de toestemming van de klant zelf te verkrijgen
(4) Wanneer er een noodzaak is om samen te werken met een nationale instelling of lokale overheidsorganisatie of een persoon die een opdracht van hen heeft ontvangen om een wettelijke taak uit te voeren, en het verkrijgen van de toestemming van de klant zelf zou de uitvoering van de taak kunnen belemmeren
(5) Wanneer het noodzakelijk is om persoonlijke informatie te verstrekken aan een bedrijf waarmee ons bedrijf een geheimhoudingsovereenkomst heeft gesloten voor het doel van gebruik

Voorbeelden van uitzonderingen waarbij persoonlijke informatie aan derden kan worden verstrekt

Deze clausule heeft betrekking op situaties waarin een bedrijf persoonlijke informatie die het heeft verzameld, verstrekt aan derden. Volgens de Japanse Wet op de Bescherming van Persoonsgegevens (Persoonsgegevensbeschermingswet) is het noodzakelijk om toestemming te verkrijgen van de betrokkene bij het verstrekken van persoonlijke informatie aan derden. Echter, het is wettelijk bepaald dat persoonlijke informatie aan derden kan worden verstrekt zonder toestemming van de betrokkene in de gevallen die zijn vastgelegd in clausules (1) tot en met (5). Daarom, net als bij de clausule over het gebruik van persoonlijke informatie buiten het beoogde doel, wordt de clausule over het verstrekken aan derden in de meeste bedrijven een standaardclausule. In de praktijk wordt clausule (5), het verstrekken van persoonlijke informatie aan een bedrijf waaraan werk is uitbesteed, relatief vaak gebruikt. Echter, zelfs als werk is uitbesteed, heeft het bedrijf dat de persoonlijke informatie heeft verzameld de verantwoordelijkheid om toezicht te houden op het bedrijf waaraan het werk is uitbesteed. Daarom is het belangrijk om op te merken dat als persoonlijke informatie lekt van het bedrijf waaraan het werk is uitbesteed, het bedrijf dat het werk heeft uitbesteed ook aansprakelijk kan worden gesteld. Daarom moet de selectie van het bedrijf waaraan het werk wordt uitbesteed en het toezicht na de uitbesteding zorgvuldig worden uitgevoerd. Voor meer informatie over het lekken van persoonlijke informatie van het bedrijf waaraan het werk is uitbesteed, zie het volgende artikel.

Gerelateerd artikel: Het risico van het lekken van persoonlijke informatie door bedrijven en de schadevergoeding [ja]

Opt-out wordt moeilijker door wetswijziging

Voor de verstrekking van persoonlijke informatie aan derden was het voor de herziening van de wet, die in 2017 (Heisei 29) in werking trad, mogelijk om persoonlijke informatie aan derden te verstrekken zonder voorafgaande toestemming van de betrokkene, op voorwaarde dat “de verstrekking van persoonlijke informatie aan derden wordt gestopt op verzoek van de betrokkene”. Dit wordt opt-out genoemd. Echter, door de herziening van de wet die in 2017 in werking trad, is het niet meer mogelijk om persoonlijke informatie aan derden te verstrekken door middel van opt-out, tenzij er vooraf een melding wordt gedaan aan de Persoonlijke Informatie Beschermingscommissie, waardoor de regels strenger zijn geworden.
Het lijkt misschien eenvoudig om gewoon een melding te doen aan de Persoonlijke Informatie Beschermingscommissie, maar dit meldingssysteem is voornamelijk bedoeld voor bedrijven die persoonlijke informatie als hun belangrijkste product behandelen, zoals lijstbedrijven, en de melders worden openbaar gemaakt, dus er zijn nog niet veel bedrijven die daadwerkelijk een melding hebben gedaan. Daarom is het in de praktijk moeilijk geworden om persoonlijke informatie aan derden te verstrekken zonder de toestemming van de betrokkene, behalve in gevallen die als uitzondering zijn toegestaan, zoals het uitbesteden van werk.

Openbaarmaking, Correctie, enz. van Persoonlijke Informatie

Onder de Japanse Wet op de Bescherming van Persoonsgegevens (Wet Bescherming Persoonsgegevens) wordt ook vereist dat procedures voor het voldoen aan verzoeken van de betrokkene voor kennisgeving van het doel van het gebruik, openbaarmaking, correctie, stopzetting van het gebruik, enz. worden gepubliceerd. Daarom is het noodzakelijk om deze zaken ook te bepalen bij het opstellen van een privacybeleid. Echter, de clausules die deze zaken bepalen zijn vaak gestandaardiseerd bij veel bedrijven. Een punt om te overwegen is of er al dan niet een vergoeding moet worden vastgesteld voor het voldoen aan verzoeken van de betrokkene voor openbaarmaking, enz. Het vaststellen van een passende vergoeding kan een manier zijn om te voorkomen dat de bedrijfsvoering wordt vertraagd door misbruik van verzoeken. Als er een vergoeding nodig is, is het belangrijk om op te merken dat de details daarvan moeten worden vastgesteld in het privacybeleid.

Samenvatting

Met betrekking tot de bescherming van persoonlijke gegevens, worden de wettelijke voorschriften geleidelijk strenger in reactie op de toenemende maatschappelijke belangstelling. Het is natuurlijk noodzakelijk om informatie veilig te beheren binnen het bedrijf om lekken van persoonlijke informatie te voorkomen, maar het is ook belangrijk om privacybeleid en interne regels op te stellen in overeenstemming met de wettelijke voorschriften. De Japanse Wet op de Bescherming van Persoonsgegevens zal naar verwachting elke drie jaar regelmatig worden herzien. Elke keer dat de regels voor het omgaan met persoonlijke informatie veranderen, kan het nodig zijn om niet alleen wijzigingen in het interne systeem aan te brengen, maar ook om de bedrijfsmethoden zelf te herzien. In die zin kan de Wet op de Bescherming van Persoonsgegevens worden beschouwd als een wet die de kern van het bedrijf raakt, dus het is vooral belangrijk voor bedrijven die veel persoonlijke informatie verwerken om altijd op de hoogte te blijven van de herzieningen.

Informatie over contractcreatie en -beoordeling door ons kantoor

Monolith Law Office, als een advocatenkantoor met expertise in IT, internet en bedrijfsleven, biedt diensten zoals het opstellen en beoordelen van verschillende contracten, naast privacybeleid, aan onze klanten en cliëntbedrijven.

Als u geïnteresseerd bent, bekijk dan zeker de details hieronder.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Terug naar boven