Uitleg over de 'Penalty' in de gewijzigde Wet op de Bescherming van Persoonsgegevens (Japanese Personal Information Protection Act) in het 4e jaar van Reiwa (2022)
Vanaf april 2022 (Gregoriaanse kalenderjaar) is de gewijzigde Japanse Wet Bescherming Persoonsgegevens in werking getreden. Na de uitleg over de aandachtspunten met betrekking tot de ‘verantwoordelijkheden van de ondernemer’ in de gewijzigde Japanse Wet Bescherming Persoonsgegevens van 2022, zullen we deze keer uitleg geven over de manier waarop gegevens worden gebruikt en de bijbehorende straffen.
Overzicht van de wijzigingen in de Japanse Wet op de Bescherming van Persoonsgegevens (2022) in het vierde jaar van Reiwa (2022)
De wijzigingen in de Japanse Wet op de Bescherming van Persoonsgegevens in 2022 betreffen de volgende zes punten:
- De aard van individuele rechten
- De aard van de verplichtingen die bedrijven moeten nakomen
- De aard van de systemen die bedrijven aanmoedigen om vrijwillige maatregelen te nemen
- De aard van het gebruik van data
- De aard van de straffen
- De toepassing van de wet buiten de grenzen en de aard van grensoverschrijdende overdrachten
In ‘Uitleg over de aandachtspunten met betrekking tot de ‘verplichtingen van bedrijven’ in de gewijzigde Wet op de Bescherming van Persoonsgegevens in 2022[ja]‘ hebben we de wijzigingen (1) en (2) uitgelegd. Hier zullen we de wijzigingen (3), (4), (5) en (6) uitleggen.
Gerelateerd artikel: Wat zijn de Japanse Wet op de Bescherming van Persoonsgegevens en persoonsgegevens? Een advocaat legt uit[ja]
De rol van systemen die zelfregulering door bedrijven bevorderen
Met de diversificatie van bedrijfsactiviteiten en de vooruitgang in IT-technologie, neemt het belang toe van particuliere organisaties die zelfregulerende regels opstellen voor de behandeling van persoonsgegevens in specifieke sectoren en die actief begeleiding en dergelijke bieden aan de betrokken bedrijven.
In de Japanse Wet op de Bescherming van Persoonsgegevens (Wet Bescherming Persoonsgegevens), naast de Persoonlijke Informatie Beschermingscommissie, wordt er gestreefd naar informatiebescherming door middel van particuliere organisaties, en is er een systeem van geaccrediteerde organisaties opgezet. Organisaties zoals bedrijven die klachten over de behandeling van persoonlijke informatie verwerken en informatie verstrekken over de juiste behandeling van persoonlijke informatie aan bedrijven, kunnen een “Geaccrediteerde Organisatie voor de Bescherming van Persoonsgegevens” worden na accreditatie door de Persoonlijke Informatie Beschermingscommissie. In de gewijzigde wet is het nu mogelijk om organisaties die zich richten op specifieke bedrijfssectoren (afdelingen) te accrediteren als geaccrediteerde organisaties (Artikel 47, lid 2). Door de accreditatie van organisaties op bedrijfsniveau toe te staan, is dit een inspanning om het gebruik van geaccrediteerde organisaties verder te bevorderen en de bescherming van persoonsgegevens te bevorderen door organisaties die actief zijn in specifieke bedrijfssectoren, gebruikmakend van hun expertise.
De manier van data benutting
Er zijn twee wijzigingen aangebracht in de manier waarop data wordt benut.
Creëren van ‘Pseudoniem Verwerkte Informatie’ en versoepeling van verplichtingen (Artikel 2, Paragraaf 9)
Onder de huidige wetgeving wordt informatie die eenvoudigweg is gepseudonimiseerd nog steeds beschouwd als ‘persoonlijke informatie’, en bedrijven zijn verplicht om verschillende verplichtingen na te komen met betrekking tot de behandeling van persoonlijke informatie. Echter, er is een groeiende behoefte om deze ‘gepseudonimiseerde persoonlijke informatie’ te benutten, door de bruikbaarheid van de data te behouden op een niveau dat vergelijkbaar is met de persoonlijke informatie voor de verwerking, terwijl een bepaald niveau van veiligheid wordt gewaarborgd, en om meer gedetailleerde analyses uit te voeren met relatief eenvoudige verwerkingsmethoden dan anonieme verwerkte informatie.
In reactie hierop heeft de gewijzigde wet ‘Pseudoniem Verwerkte Informatie’ gecreëerd door namen en dergelijke te verwijderen, met het oog op het bevorderen van innovatie, en heeft het de verplichtingen met betrekking tot het reageren op verzoeken om openbaarmaking en stopzetting van het gebruik, enz., versoepeld onder voorwaarden zoals beperking tot interne analyse.
De gecreëerde Pseudoniem Verwerkte Informatie verwijst naar ‘informatie over een individu die is verkregen door persoonlijke informatie te verwerken op een manier die het onmogelijk maakt om een specifiek individu te identificeren, tenzij het wordt vergeleken met andere informatie’. Bijvoorbeeld, ‘naam, leeftijd, datum, tijd, bedrag, winkel’ wordt verwerkt tot ‘tijdelijke ID, leeftijd, datum, tijd, bedrag, winkel’. Verwachte toepassingen zijn ‘interne analyse voor doeleinden die niet oorspronkelijk bedoeld waren of voor nieuwe doeleinden waarvan het moeilijk is om te bepalen of ze van toepassing zijn’ (zoals onderzoek in de medische en farmaceutische sector, en het leren van machine learning modellen voor fraude detectie en verkoopvoorspelling), en ‘het verwerken en opslaan van persoonlijke informatie die het doel van het gebruik heeft bereikt als Pseudoniem Verwerkte Informatie, omdat er een mogelijkheid is dat het in de toekomst zal worden gebruikt voor statistische analyse’.
Wat betreft de methode om Pseudoniem Verwerkte Informatie te creëren, wordt er als minimale discipline gevraagd om de volgende maatregelen te nemen:
- Verwijder (inclusief vervanging, hetzelfde hieronder) alle of een deel van de beschrijvingen, enz. die een specifiek individu kunnen identificeren (bijv. naam)
- Verwijder alle persoonlijke identificatiecodes
- Verwijder beschrijvingen, enz. die het risico lopen op financiële schade als ze onrechtmatig worden gebruikt (bijv. creditcardnummers)
wordt gevraagd.
Verplichting om informatie te controleren die naar verwachting persoonlijke gegevens zal worden bij de ontvanger (Artikel 26, Paragraaf 2)
Onder de huidige wetgeving, zelfs als het wordt verwacht dat informatie die geen persoonlijke gegevens is bij de verstrekker, persoonlijke gegevens wordt bij de ontvanger, valt het niet onder de regelgeving. Echter, de gewijzigde wet verplicht de verstrekker om te controleren of de toestemming van de betrokkene is verkregen, enz., voor de verstrekking aan derden van informatie die naar verwachting persoonlijke gegevens zal worden bij de ontvanger, hoewel het geen persoonlijke gegevens is bij de verstrekker.
Door de ontwikkeling en verspreiding van technologie die grote hoeveelheden gebruikersgegevens verzamelt en deze onmiddellijk combineert tot persoonlijke gegevens, is er een toenemend aantal schema’s die de geest van de Wet Bescherming Persoonsgegevens omzeilen door informatie die naar verwachting persoonlijke gegevens zal worden bij de ontvanger, te verstrekken aan derden als niet-persoonlijke informatie, terwijl men van tevoren weet dat dit het geval zal zijn. Dit is omdat er bezorgdheid bestaat dat methoden voor het verzamelen van persoonlijke informatie zonder betrokkenheid van de betrokkene zich zullen verspreiden.
Over Sancties
Er zijn twee belangrijke wijzigingen aangebracht in de manier waarop sancties worden opgelegd.
Verhoging van de wettelijke straf voor overtreding van bevelen door de commissie en valse rapportage aan de commissie (Artikel 83, Artikel 87, enz.)
Terwijl het aantal gevallen van wetsovertredingen toeneemt, neemt ook het aantal gevallen waarin rapporten worden verzameld en inspecties worden uitgevoerd toe. Het is noodzakelijk om de effectiviteit van deze rapportage en inspecties, die de basis vormen voor het begrijpen van de werkelijke situatie van bedrijven, te verhogen. Daarom is in de gewijzigde wet de wettelijke straf verhoogd.
Onder de huidige wet was de straf voor “overtreding van bevelen van de Japanse Persoonlijke Informatie Beschermingscommissie” een gevangenisstraf van maximaal zes maanden of een boete van maximaal 300.000 yen, maar onder de gewijzigde wet is dit verhoogd naar een gevangenisstraf van maximaal een jaar of een boete van maximaal 1 miljoen yen. De straf voor “onrechtmatige verstrekking van persoonlijke informatie databases, enz.” blijft een gevangenisstraf van maximaal een jaar of een boete van maximaal 500.000 yen, maar de straf voor “valse rapportage aan de Japanse Persoonlijke Informatie Beschermingscommissie” is verhoogd van een boete van maximaal 300.000 yen onder de huidige wet naar een boete van maximaal 500.000 yen onder de gewijzigde wet.
Verhoging van de boete voor rechtspersonen (Artikel 84, Artikel 85, enz.)
Onder de huidige wet was de boete voor rechtspersonen hetzelfde als de wettelijke straf voor de dader. Echter, rekening houdend met het verschil in financiële middelen tussen rechtspersonen en individuen, is in de gewijzigde wet de maximale boete voor rechtspersonen verhoogd (zwaardere straf voor rechtspersonen) voor overtredingen zoals het overtreden van bevelen. Het oordeel is dat zelfs als een boete van hetzelfde bedrag als de dader aan een rechtspersoon wordt opgelegd, er niet voldoende afschrikkende werking van de straf kan worden verwacht.
Onder de huidige wet was de boete voor “overtreding van bevelen van de Japanse Persoonlijke Informatie Beschermingscommissie” door een rechtspersoon hetzelfde bedrag als de dader, namelijk maximaal 300.000 yen, maar onder de gewijzigde wet is dit verhoogd naar een boete van maximaal 100 miljoen yen. De boete voor “onrechtmatige verstrekking van persoonlijke informatie databases, enz.” was onder de huidige wet hetzelfde bedrag als de dader, namelijk maximaal 500.000 yen, maar onder de gewijzigde wet is dit verhoogd naar een boete van maximaal 100 miljoen yen. Echter, de boete voor “valse rapportage aan de Japanse Persoonlijke Informatie Beschermingscommissie” blijft hetzelfde bedrag als de dader, namelijk maximaal 500.000 yen, onder zowel de huidige als de gewijzigde wet.
Toepassing van de wet buiten de grenzen en de manier van grensoverschrijdende overdracht
Met betrekking tot de toepassing van de wet buiten de grenzen en de manier van grensoverschrijdende overdracht, zijn de volgende twee punten gewijzigd.
Versterking van de toepassing buiten de grenzen (Artikel 75 van de Japanse Wet op de Bescherming van Persoonsgegevens)
Onder de huidige wetgeving waren de bevoegdheden die konden worden uitgeoefend op buitenlandse bedrijven die onder de toepassing van de wet buiten de grenzen vallen, beperkt tot niet-dwingende bevoegdheden zoals begeleiding, advies en aanbevelingen. Er was echter bezorgdheid dat de commissie mogelijk niet adequaat zou kunnen reageren op incidenten zoals lekken in het buitenland. Daarom is in de gewijzigde wet bepaald dat buitenlandse bedrijven die persoonlijke informatie en dergelijke behandelen in verband met de levering van goederen of medische diensten aan personen in Japan, onderworpen zullen zijn aan rapportage en bevelen die worden gewaarborgd door strafsancties, waardoor de uitoefening van de bevoegdheden van de Persoonlijke Informatie Beschermingscommissie wordt versterkt.
Verbetering van de informatievoorziening aan de betrokkene over de behandeling van persoonsgegevens door de ontvangende onderneming (Artikel 78 van de Japanse Wet op de Bescherming van Persoonsgegevens)
In sommige landen zijn er tekenen van staatsregulering, en naarmate de mogelijkheden voor grensoverschrijdende overdracht van persoonsgegevens toenemen, maken verschillen in systemen tussen landen en regio’s de voorspelbaarheid voor individuen en bedrijven die met gegevens omgaan onstabiel, wat leidt tot bezorgdheid vanuit het oogpunt van de bescherming van de rechten en belangen van individuen.
In reactie hierop is bepaald dat er een verbetering moet komen in de informatievoorziening aan de betrokkene over de behandeling van persoonsgegevens door de ontvangende onderneming op het moment van het verstrekken van persoonsgegevens aan een derde partij in het buitenland. Als voorwaarde voor het kunnen verstrekken van persoonsgegevens aan een derde partij in het buitenland, is de eis die onder de huidige wetgeving “toestemming van de betrokkene” was, gewijzigd in de verplichting om “informatie te verstrekken aan de betrokkene op het moment van het verkrijgen van toestemming, over de naam van het ontvangende land, de aanwezigheid of afwezigheid van een systeem voor de bescherming van persoonsgegevens in het ontvangende land, enz.”. De eis die “een bedrijf dat een systeem heeft dat voldoet aan de normen” was, is gewijzigd in de verplichting om “regelmatig te controleren op de behandelingssituatie van de ontvangende onderneming, enz. + het verstrekken van gerelateerde informatie op verzoek van de betrokkene”.
Samenvatting
De herziening van de Japanse Wet op de Bescherming van Persoonsgegevens in 2022, de eerste wetswijziging op basis van de ‘driejaarlijkse herzieningsclausule’, heeft geleid tot de uitbreiding van stopzetting en verwijdering van gebruik, het verbod op oneigenlijk gebruik, de verbetering van informatievoorziening met betrekking tot grensoverschrijdende overdrachten, en de oprichting van ‘gepseudonimiseerde informatie’. Dit heeft bijgedragen aan de versterking van de bescherming en het gebruik van individuele rechten en belangen, de aanpak van nieuwe risico’s in verband met de toename van grensoverschrijdende gegevensstromen, en de aanpassing aan het tijdperk van AI en big data.
Informatie over onze maatregelen
Monolis Law Firm is een advocatenkantoor met hoge expertise in IT, met name internet en recht. De recent gewijzigde ‘Japanse Wet op Persoonsgegevens’ trekt veel aandacht en de noodzaak van juridische controles neemt steeds meer toe. Ons kantoor biedt oplossingen met betrekking tot intellectueel eigendom. Details worden beschreven in het onderstaande artikel.