MONOLITH LAW OFFICE+81-3-6262-3248Weekdagen 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Uitleg over aandachtspunten met betrekking tot de 'Verantwoordelijkheden van de ondernemer' onder de gewijzigde Japanse Wet op de Bescherming van Persoonsgegevens (Reiwa 4 jaar, 2022)

General Corporate

Uitleg over aandachtspunten met betrekking tot de 'Verantwoordelijkheden van de ondernemer' onder de gewijzigde Japanse Wet op de Bescherming van Persoonsgegevens (Reiwa 4 jaar, 2022)

Vanaf april 2022 (Gregoriaanse kalender) is de gewijzigde Japanse Wet Bescherming Persoonsgegevens in werking getreden. De Wet Bescherming Persoonsgegevens streeft ernaar om de juiste behandeling van persoonlijke informatie te waarborgen, terwijl het rekening houdt met de bruikbaarheid van persoonlijke informatie en tegelijkertijd de rechten en belangen van individuen beschermt. Maar wat verandert er precies met de invoering van de gewijzigde Wet Bescherming Persoonsgegevens? In dit artikel zullen we de rechten van individuen en de verplichtingen van bedrijven onder de loep nemen.

Wijziging en achtergrond van de Japanse Wet op de Bescherming van Persoonsgegevens

De Japanse Wet op de Bescherming van Persoonsgegevens, die in 2003 werd aangenomen en in 2005 volledig in werking trad, werd in 2015, tien jaar na de inwerkingtreding, gewijzigd omdat “door de ontwikkeling van informatie- en communicatietechnologie, het gebruik van persoonlijke gegevens op manieren die niet voorzien waren op het moment van de oprichting mogelijk is geworden”. De gewijzigde wet werd volledig in werking gesteld in 2017.

In deze gewijzigde wet van 2017 is een “driejaarlijkse herzieningsclausule” opgenomen, die stelt dat “rekening houdend met internationale trends, de vooruitgang van informatietechnologie, en de situatie van de creatie en ontwikkeling van nieuwe industrieën, een herziening zal worden uitgevoerd om de inhoud in overeenstemming te brengen met de werkelijkheid om de drie jaar na de inwerkingtreding”.

Bepalingen in verband met de herziene Japanse Wet op de Bescherming van Persoonsgegevens van 2017 (uittreksel)

Artikel 12 (Overweging)

(Omitted)

2 De regering zal, met het oog op de effectieve uitvoering van de basisrichtlijnen voor de bescherming van persoonlijke gegevens en de bevordering daarvan, alsmede andere taken die onder de bevoegdheid van de Persoonlijke Informatie Beschermingscommissie vallen, na drie jaar na de inwerkingtreding van deze wet, rekening houden met de situatie van de nodige maatregelen voor de opbouw van een personeelssysteem, de zekerstelling van financiële middelen en andere maatregelen, en zal overwegen om verbeteringen aan te brengen, en indien nodig, zal zij de nodige maatregelen nemen op basis van de resultaten van deze overweging.

3 Naast de zaken die in het vorige lid zijn bepaald, zal de regering, met het oog op de internationale trends op het gebied van de bescherming van persoonlijke gegevens, de vooruitgang van de informatie- en communicatietechnologie, en de situatie van de creatie en ontwikkeling van nieuwe industrieën die gebruik maken van persoonlijke gegevens, na drie jaar na de inwerkingtreding van deze wet, overwegen om de situatie van de inwerkingtreding van de nieuwe Wet op de Bescherming van Persoonsgegevens te onderzoeken, en indien nodig, zal zij de nodige maatregelen nemen op basis van de resultaten van deze overweging.

4, 5 (Omitted)

6 De regering zal, rekening houdend met de situatie van de inwerkingtreding van de nieuwe Wet op de Bescherming van Persoonsgegevens, de situatie van de uitvoering van de maatregelen van het eerste lid en andere omstandigheden, overwegen om de bepalingen inzake de bescherming van persoonlijke gegevens en persoonlijke gegevens in het bezit van overheidsinstanties, zoals bepaald in artikel 2, lid 1, van de nieuwe Wet op de Bescherming van Persoonsgegevens, te consolideren en integraal te regelen, en zal overwegen om de vorm van de wetgeving inzake de bescherming van persoonlijke gegevens te onderzoeken.

De herziene Japanse Wet op de Bescherming van Persoonsgegevens van Reiwa 4 (2022) is de eerste wetswijziging op basis van deze “driejaarlijkse herzieningsclausule”.

Gerelateerd artikel: Wat is de Wet op de Bescherming van Persoonsgegevens en persoonlijke informatie? Een uitleg door een advocaat[ja]

Overzicht van de wijzigingen in de Japanse Wet op de Bescherming van Persoonsgegevens (2022) (Reiwa 4 jaar)

De wijzigingen in de Japanse Wet op de Bescherming van Persoonsgegevens in 2022 betreffen de volgende zes punten:

  1. De aard van individuele rechten
  2. De aard van de verplichtingen die bedrijven moeten nakomen
  3. De aard van het systeem dat bedrijven aanmoedigt om vrijwillige maatregelen te nemen
  4. De aard van het gebruik van gegevens
  5. De aard van de straffen
  6. De toepassing van de wet buiten de grenzen en de aard van de grensoverschrijdende overdracht

In dit artikel zullen we de eerste twee wijzigingspunten bespreken.

Gerelateerd artikel: Uitleg over de ‘straffen’ in de gewijzigde Japanse Wet op de Bescherming van Persoonsgegevens (2022) (Reiwa 4 jaar)[ja]

De aard van individuele rechten

Er zijn vijf wijzigingen aangebracht met betrekking tot de aard van individuele rechten.

Uitbreiding van het individuele recht om gebruik te stoppen en te wissen (Artikel 30 van de Japanse Wet op de Bescherming van Persoonsgegevens)

Onder de huidige wetgeving was het individuele recht om het gebruik te stoppen en te wissen beperkt tot gevallen van wettelijke overtredingen, zoals “wanneer persoonlijke informatie wordt gebruikt voor andere doeleinden” of “wanneer deze is verkregen door onrechtmatige middelen”. Echter, onder de gewijzigde wet, is het nu ook mogelijk om het stopzetten van het gebruik, het wissen en het stopzetten van de verstrekking aan derden te eisen in gevallen waarin “er geen noodzaak meer is voor de zakelijke operator om de persoonlijke gegevens te gebruiken”, “er een lek is opgetreden”, of “er een risico bestaat dat de rechten of legitieme belangen van de persoon worden geschaad”.

Manier van openbaarmaking van persoonlijke gegevens (Artikel 28 van de Japanse Wet op de Bescherming van Persoonsgegevens)

Als je de persoon zelf bent, kun je de zakelijke operator die met persoonlijke informatie omgaat, vragen om je persoonlijke gegevens te openbaren. Bij ontvangst van een dergelijk verzoek moet de zakelijke operator in principe de persoonlijke gegevens openbaar maken. Onder de huidige wetgeving werd de openbaarmaking van persoonlijke gegevens in principe schriftelijk gedaan. Echter, er zijn situaties waarin het niet geschikt is om schriftelijk te leveren wanneer de hoeveelheid informatie enorm is, en bovendien zijn er gegevens, zoals video- en audiogegevens, die niet geschikt zijn voor schriftelijke levering. Daarom is het onder de gewijzigde wet mogelijk geworden voor de persoon om te vragen om openbaarmaking “op de door de persoon aangegeven manier”, zoals door het verstrekken van elektronische records. De zakelijke operator die met persoonlijke informatie omgaat, is verplicht om openbaar te maken op de door de persoon gevraagde manier.

Bedrijven die met persoonlijke informatie omgaan, worden gevraagd om zo snel mogelijk een systeem op te zetten om te reageren op verzoeken om openbaarmaking van digitale gegevens.

Verzoek om openbaarmaking van derdenverstrekkingsrecords door de persoon (Artikel 28, lid 5, van de Japanse Wet op de Bescherming van Persoonsgegevens)

Zakelijke operators die met persoonlijke informatie omgaan, moeten wettelijk voorgeschreven records maken wanneer ze persoonlijke gegevens aan derden verstrekken, en degenen die de verstrekking van derden ontvangen, moeten ook wettelijk voorgeschreven records maken. Deze records met betrekking tot de verstrekking van persoonlijke gegevens aan derden en de records van de bevestiging bij het ontvangen van de verstrekking van persoonlijke gegevens aan derden worden samen “derdenverstrekkingsrecords” genoemd.

Onder de huidige wetgeving kon de persoon geen openbaarmaking van de door de zakelijke operator gemaakte derdenverstrekkingsrecords eisen, maar onder de gewijzigde wetgeving kan de persoon nu de openbaarmaking van de derdenverstrekkingsrecords eisen, rekening houdend met de mogelijkheid van tracking door de persoon.

Inclusie van kortetermijnopslaggegevens in persoonlijke gegevens (Artikel 2, lid 7, van de Japanse Wet op de Bescherming van Persoonsgegevens)

Onder de huidige wetgeving worden persoonlijke gegevens gedefinieerd als “persoonlijke gegevens waarover de zakelijke operator die met persoonlijke informatie omgaat, de bevoegdheid heeft om openbaarmaking, correctie, toevoeging of verwijdering van de inhoud, stopzetting van het gebruik, verwijdering en stopzetting van de verstrekking aan derden uit te voeren”, “die welke door een kabinetsorder worden bepaald als zijnde schadelijk voor het algemeen belang of andere belangen door het bekend worden van het bestaan ervan”, of “die welke binnen een door een kabinetsorder bepaalde periode van één jaar moeten worden verwijderd”, met uitzondering van “die welke binnen een door een kabinetsorder bepaalde periode van één jaar moeten worden verwijderd”, die werd vastgesteld op zes maanden.

Echter, zelfs als ze op korte termijn worden verwijderd, is er een mogelijkheid dat er lekken en dergelijke kunnen optreden tijdens de periode tot de verwijdering, dus onder de gewijzigde wetgeving zijn kortetermijnopslaggegevens die binnen zes maanden worden verwijderd ook opgenomen in “persoonlijke gegevens”.

Beperking van het bereik van de opt-out bepaling (Artikel 23, lid 2, van de Japanse Wet op de Bescherming van Persoonsgegevens)

De opt-out bepaling is een systeem waarbij “persoonlijke gegevens kunnen worden verstrekt aan derden zonder de toestemming van de persoon, op voorwaarde dat de verstrekking wordt gestopt als de persoon erom vraagt, nadat de items van de te verstrekken persoonlijke gegevens en dergelijke openbaar zijn gemaakt”, maar onder de huidige wetgeving waren alleen gevoelige persoonlijke gegevens uitgesloten.

Onder de gewijzigde wetgeving is het bereik van de persoonlijke gegevens die aan derden kunnen worden verstrekt beperkt, en zijn ook “onrechtmatig verkregen persoonlijke gegevens” en “persoonlijke gegevens die zijn verstrekt onder de opt-out bepaling” uitgesloten.

De verantwoordelijkheden van ondernemers die moeten worden beschermd

Er zijn twee wijzigingen aangebracht in de verantwoordelijkheden die ondernemers moeten beschermen.

Verplichting tot melden van lekken (Artikel 22, lid 2, Japanse Wet Bescherming Persoonsgegevens)

Onder de huidige wetgeving is het melden van lekken geen wettelijke verplichting, waardoor sommige ondernemers niet proactief handelen. Als een ondernemer niet openbaar maakt, kan de Japanse Commissie voor de Bescherming van Persoonsgegevens mogelijk niet adequaat reageren zonder kennis van de zaak. Onder de gewijzigde wet is het verplicht om te melden aan de Commissie voor de Bescherming van Persoonsgegevens en de betrokkene te informeren als er een lek optreedt en er een groot risico is dat de rechten en belangen van individuen worden geschaad.

De gevallen die onder de verplichting tot melding van lekken vallen, omvatten “lekken van persoonlijke informatie die speciale aandacht vereist”, “lekken door ongeautoriseerde toegang”, “lekken waarbij er een risico op financiële schade is”, ongeacht het aantal gevallen, en “grootschalige lekken” die meer dan 1000 gevallen overschrijden.

Verbod op gebruik door ongepaste methoden (Artikel 16, lid 2, Japanse Wet Bescherming Persoonsgegevens)

Met de snelle verbetering van data-analysetechnologieën, zijn er vormen van gebruik van persoonlijke informatie die mogelijk inbreuk maken op de rechten en belangen van individuen, wat tot toenemende bezorgdheid bij consumenten leidt. In reactie hierop heeft de gewijzigde wet duidelijk gemaakt dat persoonlijke informatie niet mag worden gebruikt door ongepaste methoden die illegale of oneerlijke activiteiten bevorderen.

“Ongepaste methoden die illegale of oneerlijke activiteiten bevorderen” omvatten “het verstrekken van persoonlijke informatie aan derden die illegale activiteiten uitvoeren” en “het verzamelen en databaseren van persoonlijke informatie die verspreid is gepubliceerd door aankondigingen van rechtbanken, enz., ondanks het feit dat het redelijkerwijs kan worden voorzien dat dit discriminatie kan veroorzaken, en het publiceren ervan op het internet”. Dergelijke aanzienlijk kwaadaardige gevallen worden verondersteld.

Samenvatting

In dit artikel hebben we de eerste en tweede wijziging besproken. De derde, vierde, vijfde en zesde wijziging zullen in een ander artikel worden besproken.

Gerelateerd artikel: Uitleg over de ‘Penalty’ in de gewijzigde Japanse Wet op de Bescherming van Persoonsgegevens in het jaar Reiwa 4 (2022)[ja]

Informatie over de maatregelen van ons kantoor

Monolith Law Office is een advocatenkantoor met hoge expertise in IT, met name internet en recht. De recent gewijzigde ‘Japanse Wet op Persoonsgegevens’ trekt veel aandacht en de noodzaak van juridische controles neemt steeds meer toe. Ons kantoor biedt oplossingen met betrekking tot intellectueel eigendom. Details worden beschreven in het onderstaande artikel.

https://monolith.law/practices/corporate[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Terug naar boven