Wat is de 'Japanse Wet op de Bescherming van Persoonsgegevens' en persoonlijke informatie? Een advocaat legt uit
De Wet Bescherming Persoonsgegevens (officieel de ‘Wet op de Bescherming van Persoonsgegevens’), die in 2015 is gewijzigd en vanaf 2017 in werking is getreden, is een belangrijke wetgeving bij het overwegen van kwesties met betrekking tot persoonlijke informatie in bedrijfsactiviteiten. Het verduidelijkt de wettelijke verplichtingen die de verwerkers van persoonlijke informatie moeten naleven. Tot 2015 (Heisei 27 in de Japanse kalender) waren alleen bedrijven die persoonlijke informatie van meer dan 5000 mensen bezaten, verplicht om deze wet na te leven. Dit betekende dat veel kleine bedrijven, die niet als verwerkers van persoonlijke informatie werden beschouwd, niet onder deze wet vielen. Echter, na de wijziging in 2015, is deze beperking opgeheven en zijn vrijwel alle bedrijven nu verwerkers van persoonlijke informatie, waardoor deze wet onvermijdelijk is geworden voor kleine bedrijfseigenaren. Omdat het noodzakelijk is om persoonlijke informatie zoals namen en e-mailadressen van klanten te verwerken voor zaken zoals mailorder, nieuwsbrieven, direct mail en puntkaarten voor fysieke winkels, is het essentieel om de basis van de Wet Bescherming Persoonsgegevens te begrijpen.
Doel en Definitie van de Japanse Wet op de Bescherming van Persoonsgegevens
Wat is de Japanse Wet op de Bescherming van Persoonsgegevens precies? Laten we eens kijken naar het overzicht. Allereerst wordt het doel van deze wet duidelijk gemaakt in Artikel 1.
Artikel 1 van de Japanse Wet op de Bescherming van Persoonsgegevens
Deze wet heeft tot doel de rechten en belangen van individuen te beschermen, terwijl rekening wordt gehouden met het nut van persoonlijke informatie, door de basisprincipes en het basisbeleid van de overheid voor de juiste behandeling van persoonlijke informatie en andere maatregelen ter bescherming van persoonlijke informatie vast te stellen, de verantwoordelijkheden van de nationale en lokale overheden te verduidelijken, en de verplichtingen die bedrijven die persoonlijke informatie verwerken moeten naleven, vast te stellen, in het licht van het feit dat het gebruik van persoonlijke informatie aanzienlijk is toegenomen met de vooruitgang van de geavanceerde informatiemaatschappij, en dat het juiste en effectieve gebruik van persoonlijke informatie bijdraagt aan de creatie van nieuwe industrieën en de realisatie van een levendige economische samenleving en een rijk leven voor de burgers.
Zo staat het er.
In Artikel 2 worden persoonlijke informatie, persoonlijke gegevens en bewaarde persoonlijke gegevens gedefinieerd (Artikel 2, paragraaf 1, 4 en 5).
In de Japanse Wet op de Bescherming van Persoonsgegevens betekent “persoonlijke informatie” “informatie over een levend individu” die “een specifiek individu kan identificeren door de naam, geboortedatum en andere beschrijvingen die in die informatie zijn opgenomen (inclusief informatie die gemakkelijk kan worden vergeleken met andere informatie, waardoor een specifiek individu kan worden geïdentificeerd.)”. “Persoonlijke gegevens” zijn deze persoonlijke informatie die is gedatabankiseerd door een computer, en degenen die door een bedrijf voor meer dan zes maanden worden bewaard, zijn “bewaarde persoonlijke gegevens”.
De noodzaak van bescherming van persoonlijke informatie varieert sterk afhankelijk van het feit of deze is gedatabankiseerd. Persoonlijke gegevens zijn gedatabankiseerde persoonlijke informatie die systematisch is georganiseerd zodat deze gemakkelijk kan worden doorzocht, en omdat de mogelijkheid van inbreuk op rechten hoog is, wordt er een sterkere bescherming geboden dan voor algemene persoonlijke informatie.
Nog sterker beschermd zijn de bewaarde persoonlijke gegevens, die persoonlijke gegevens zijn waarover de verwerker van persoonlijke informatie het recht heeft om openbaarmaking, correctie, toevoeging of verwijdering, stopzetting van gebruik, verwijdering en stopzetting van verstrekking aan derden uit te voeren (Artikel 2, paragraaf 7), en voor bewaarde persoonlijke gegevens wordt de aanvraag voor openbaarmaking, correctie, stopzetting van gebruik, enz., die rekening houdt met de eis dat de persoon op een passende manier betrokken kan zijn bij zijn/haar eigen informatie, erkend (zoals later besproken).
Regels voor de behandeling van persoonlijke informatie
Om te voorkomen dat persoonlijke informatie willekeurig wordt gebruikt, moeten we duidelijk specificeren voor welk doel we de informatie gebruiken en de behandeling ervan beperken tot het bereik dat nodig is om dat doel te bereiken, volgens de regels voor de juiste behandeling van persoonlijke informatie.
Daarom moeten bedrijven die persoonlijke informatie verwerken:
- Het doel van het gebruik van persoonlijke informatie zo specifiek mogelijk maken (Artikel 15, lid 1 van de Japanse Wet op de Bescherming van Persoonsgegevens)
- Persoonlijke informatie mag niet worden verwerkt buiten het bereik dat nodig is om het doel van het gebruik te bereiken (Artikel 16, lid 1)
- Persoonlijke informatie mag niet worden verkregen door middel van bedrog of andere oneerlijke middelen (Artikel 17, lid 1)
- Als persoonlijke informatie wordt verkregen, moet het doel van het gebruik aan de persoon worden meegedeeld of openbaar worden gemaakt (Artikel 18)
De Japanse Wet op de Bescherming van Persoonsgegevens vereist dat bedrijven persoonlijke informatie gebruiken in overeenstemming met het doel dat vooraf is gespecificeerd en openbaar gemaakt. Met andere woorden, het is noodzakelijk om “te specificeren en bekend te maken hoe persoonlijke informatie wordt gebruikt”. Bijvoorbeeld, het is niet illegaal om “persoonlijke informatie te gebruiken om advertenties weer te geven die zijn afgestemd op de kenmerken van de gebruiker”, maar het doel van het gebruik moet van tevoren worden bekendgemaakt. Er zijn geen specifieke vereisten voor de manier van openbaarmaking, maar het is gebruikelijk om dit te doen in de vorm van een “privacybeleid” of “beleid voor de bescherming van persoonlijke informatie”.
Aan de andere kant, voor zogenaamde gevoelige informatie, die wordt beschouwd als persoonlijke informatie die speciale zorg vereist, is het in principe verboden om deze te verkrijgen zonder de toestemming van de persoon (Artikel 17, lid 2).
Persoonlijke informatie die speciale zorg vereist, is:
Artikel 2, lid 3
In deze wet wordt onder “persoonlijke informatie die speciale zorg vereist” verstaan informatie die beschrijvingen bevat die bij wet zijn vastgesteld om speciale zorg te vereisen in de behandeling ervan om te voorkomen dat de persoon ongerechtvaardigde discriminatie, vooroordelen of andere nadelen ondervindt, zoals ras, geloof, sociale status, medische geschiedenis, strafrechtelijke achtergrond, feiten van schade door een misdrijf, enz.
Het omvat ook zaken als handicaps, resultaten van gezondheidsonderzoeken, begeleiding, medische behandeling, voorschrijven door artsen, enz., het feit dat strafrechtelijke procedures zijn uitgevoerd, en het feit dat procedures met betrekking tot jeugdbeschermingszaken zijn uitgevoerd.
De strenge regelgeving die stelt dat, tenzij er bepaalde uitzonderingen zijn, gevoelige persoonlijke informatie niet eens kan worden “verkregen” zonder de toestemming van de persoon, wordt geacht te zijn omdat dergelijke informatie, zelfs als het niet waarschijnlijk is dat er een noodzaak is om deze te verkrijgen, kan leiden tot discriminatie en vooroordelen als deze wordt verkregen en verwerkt.
Regels voor beheer en toezicht
Veel mensen maken zich zorgen en voelen zich ongemakkelijk bij het idee dat persoonlijke informatie kan lekken of worden gewijzigd. Dit geldt des te meer voor gedigitaliseerde persoonlijke gegevens, aangezien er veel gevallen zijn waarin grote hoeveelheden klantinformatie lekken, wat leidt tot maatschappelijke problemen. Daarom zijn bedrijven die persoonlijke informatie verwerken verplicht om noodzakelijke en passende maatregelen (veiligheidsbeheermaatregelen) te nemen voor het veilig beheer van persoonlijke gegevens (Artikel 20 van de Japanse Wet op de Bescherming van Persoonsgegevens).
Overtreding van de veiligheidsbeheerplicht
In feite wordt in veel gevallen waarin persoonlijke informatie online en dergelijke is gelekt, een overtreding van de veiligheidsbeheerplicht erkend. Gezien het feit dat de inhoud van de veiligheidsbeheermaatregelen, rekening houdend met de kenmerken van kleine en middelgrote bedrijven, expliciet is vermeld in de “Richtlijnen voor de Wet op de Bescherming van Persoonsgegevens (Algemene Editie)” (Persoonlijke Informatie Beschermingscommissie), is het belangrijk om te voldoen aan deze richtlijnen, niet alleen om te voldoen aan Artikel 20 van de Wet op de Bescherming van Persoonsgegevens, maar ook om situaties te vermijden waarin men aansprakelijk kan worden gesteld voor onrechtmatige daden op basis van inbreuken op de privacy door lekken, inclusief op het internet.
Echter, hoe goed het systeem of de regeling ook is opgezet, de juiste werking ervan is uiteindelijk afhankelijk van mensen. Daarom wordt gesteld dat “bedrijven die persoonlijke informatie verwerken, bij het laten verwerken van persoonlijke gegevens door hun werknemers, noodzakelijk en passend toezicht moeten uitoefenen op deze werknemers om de veilige beheer van deze persoonlijke gegevens te waarborgen” (Artikel 21 van de Japanse Wet op de Bescherming van Persoonsgegevens).
https://monolith.law/corporate/trends-in-personal-information-leakage-and-loss-accidents-in-2019[ja]
Let op, de verkoop of het meenemen van klantgegevens door werknemers kan niet alleen leiden tot aansprakelijkheid voor onrechtmatige daden door de werknemers zelf (Artikel 709 van het Japanse Burgerlijk Wetboek), maar ook tot aansprakelijkheid van de werkgever (Artikel 715 van het Japanse Burgerlijk Wetboek).
“Derde partij verstrekking” en “Uitbesteding”
Onder de Japanse Wet op de Bescherming van Persoonsgegevens is het in principe verboden om persoonlijke informatie van klanten aan “derden” te verstrekken, zelfs als dit voor een vooraf aangekondigd doel is, tenzij er toestemming is gegeven. Echter, als we deze regel tot het uiterste doortrekken, zou het ook illegaal zijn om “databases met klantinformatie op een gehuurde server te plaatsen”. Dit komt omdat de gehuurde server voor de ondernemer een “derde partij” is.
Echter, “uitbesteding” is uitzonderlijk toegestaan binnen “derde partij verstrekking”, en het is toegestaan om informatie te “uitbesteden” aan mensen die deze niet gebruiken. Bijvoorbeeld, een gehuurde server slaat alleen informatie op en gebruikt deze niet. Dit soort uitbesteding van de verwerking van persoonlijke informatie aan derden komt vaak voor, maar om situaties te voorkomen waarin de verantwoordelijkheid onduidelijk wordt door herhaalde gelaagde uitbesteding of ongepaste behandeling door de uitbestedingspartij, wordt gesteld dat “bedrijven die persoonlijke informatie verwerken, bij het uitbesteden van de gehele of een deel van de verwerking van persoonlijke gegevens, noodzakelijk en passend toezicht moeten uitoefenen op de uitbestedingspartij om de veilige beheer van de uitbestede persoonlijke gegevens te waarborgen” (Artikel 22 van de Japanse Wet op de Bescherming van Persoonsgegevens).
De juiste behandeling van persoonlijke informatie door betrokkenheid van de persoon zelf
De Japanse Wet op de Bescherming van Persoonsgegevens stelt dat, om de juiste behandeling van persoonlijke informatie door betrokkenheid van de persoon zelf te waarborgen, de persoon onder bepaalde voorwaarden het recht heeft om van de persoonlijke informatiebeheerder openbaarmaking (artikel 28), correctie, toevoeging, verwijdering (artikel 29), en stopzetting van gebruik (artikel 30) van zijn of haar persoonlijke gegevens te eisen. Het is duidelijk vastgesteld dat deze betrokkenheid van de persoon zelf een privaatrechtelijke vordering is, en als de persoonlijke informatiebeheerder niet voldoet aan deze eis, kan de persoon zijn of haar rechten realiseren via een rechtszaak.
Als de persoonlijke informatiebeheerder een verzoek ontvangt van de persoon zelf, moet hij of zij de persoonlijke gegevens openbaar maken. Als er fouten in de informatie zijn, moet hij of zij deze corrigeren. Als de behandeling van de informatie in strijd is met wettelijke verplichtingen, zoals ongepast gebruik, ongepaste verkrijgingsmethoden, of het verstrekken van informatie aan derden zonder de toestemming van de persoon, moet hij of zij het gebruik van de informatie stopzetten. Zoals hierboven vermeld, probeert de Japanse Wet op de Bescherming van Persoonsgegevens de rechten van de burgers te beschermen door verschillende verplichtingen op te leggen aan de beheerders van persoonlijke informatie.
Straffen voor het lekken van persoonlijke informatie
De Japanse Wet op de Bescherming van Persoonsgegevens (Persoonsgegevensbeschermingswet) bepaalt de straffen voor bedrijven die persoonlijke informatie lekken.
Als een bedrijf de Wet op de Bescherming van Persoonsgegevens overtreedt en informatie lekt, wordt het eerst door de overheid geadviseerd om “de nodige maatregelen te nemen om de overtreding te corrigeren en te stoppen” (Artikel 42). Als dit advies ook wordt overtreden, kan de overtredende werknemer een “gevangenisstraf van maximaal 6 maanden of een boete van maximaal 300.000 yen” krijgen (Artikel 84), en het bedrijf dat deze werknemer in dienst heeft, kan ook een “boete van maximaal 300.000 yen” krijgen (Artikel 85). Bovendien, als de informatie wordt verstrekt of gestolen met het doel om onrechtmatig voordeel te behalen, kan men zonder waarschuwing worden gestraft met “een gevangenisstraf van maximaal 1 jaar of een boete van maximaal 500.000 yen” (Artikel 83).
Samenvatting
De Japanse Wet Bescherming Persoonsgegevens is een wet die van bedrijven die persoonlijke informatie verwerken eist dat zij deze informatie op een passende manier behandelen en de nodige en passende maatregelen nemen voor veiligheidsbeheer. Het is een belangrijke wet die bijna alle bedrijven niet kunnen negeren.