Wat is de GDPR? Een vergelijking met de Japanse Wet Bescherming Persoonsgegevens en punten waar Japanse bedrijven zich bewust van moeten zijn
Wanneer u uw bedrijf uitbreidt naar de EU-regio, is het essentieel om een uitgebreide kennis te hebben van de GDPR (Algemene Verordening Gegevensbescherming). Ook voor Japanse bedrijven die geen vestiging hebben binnen de EU kan de GDPR van toepassing zijn. Verwerf basiskennis over de GDPR en de Japanse Wet Bescherming Persoonsgegevens, en zorg voor een correcte gegevensbeheer.
In dit artikel bespreken we de GDPR, vergelijken we deze met de Japanse Wet Bescherming Persoonsgegevens, en leggen we uit waar Japanse bedrijven op moeten letten. Als u verantwoordelijk bent voor juridische zaken en overweegt of het nodig is om de regels inzake gegevensbescherming te wijzigen, of als u wilt weten welke wetten u moet naleven bij het uitbreiden van uw activiteiten naar de EU, dan is dit artikel zeker iets voor u.
Wat is de GDPR (Algemene Verordening Gegevensbescherming)?
De “GDPR (General Data Protection Regulation)”, in Japan bekend als de “Algemene Verordening Gegevensbescherming”, is een regelgeving vastgesteld door de Europese Unie (EU) met betrekking tot de verwerking van persoonsgegevens (bescherming van persoonlijke informatie).
De GDPR stelt strikte normen voor de verwerking van persoonsgegevens binnen de EU en heeft als doel de bescherming van de privacy van individuen te versterken.
Vanuit het perspectief van de bescherming van persoonsgegevens biedt het normen voor hoe bedrijven en organisaties gegevens moeten verwerken en hoe individuen hun eigen informatie kunnen beschermen.
Referentie: Persoonsgegevensbeschermingscommissie | “Algemene Verordening Gegevensbescherming (GDPR) Voorlopige Japanse Vertaling[ja]“
De basisprincipes van de GDPR zijn als volgt:
- Rechtmatigheid, eerlijkheid en transparantie
- Beperking van doeleinden
- Minimalisering van gegevens
- Nauwkeurigheid
- Beperking van opslag
- Integriteit en vertrouwelijkheid
Hieronder volgt een uitleg van elk van de basisprincipes.
Rechtmatigheid, Billijkheid en Transparantie
De kernprincipes van de Algemene Verordening Gegevensbescherming (AVG) zijn rechtmatigheid, billijkheid en transparantie.
Wanneer ondernemingen persoonsgegevens verzamelen en verwerken, moeten zij dit doen op basis van een wettelijk geldige grondslag en moeten zij aan de betrokkenen duidelijk communiceren hoe deze verwerking plaatsvindt.
Bovendien wordt van ondernemingen verwacht dat zij expliciet informatie over privacy verstrekken, zodat betrokkenen begrijpen hoe hun gegevens worden behandeld en zij hier controle over kunnen uitoefenen, waarbij transparantie van groot belang is.
Beperking van het Gebruiksdoel
Beperking van het gebruiksdoel betekent dat het verzamelen en verwerken van gegevens voor een specifiek en duidelijk gedefinieerd doel moet plaatsvinden.
Ondernemingen die persoonsgegevens verkrijgen, moeten hun doel nauwkeurig en concreet aan de betrokkenen communiceren en duidelijke toestemming verkrijgen. Vervolgens is het aan de onderneming om het gebruik van de verzamelde gegevens te beperken tot de doeleinden waarvoor toestemming is verkregen van de gegevenssubjecten en deze strikt te beheren.
Minimalisatie van persoonsgegevens
Het verzamelen van persoonsgegevens dient beperkt te blijven tot de omvang die noodzakelijk is om het beoogde doel te bereiken (minimalisatie). Verzamel alleen persoonsgegevens die geschikt zijn voor het gevraagde doel en vermijd het verzamelen van overbodige persoonlijke informatie.
Hierdoor blijft de hoeveelheid persoonsgegevens die bewaard wordt tot een minimum beperkt en wordt de privacy van individuen beschermd.
Nauwkeurigheid
Als een fundamenteel principe van de Algemene Verordening Gegevensbescherming (AVG) moeten persoonsgegevens nauwkeurig zijn. Onnauwkeurige persoonsgegevens dienen gecorrigeerd te worden, en er moeten maatregelen genomen worden om de informatie up-to-date en correct te houden.
Dit waarborgt de bescherming van individuele rechten en belangen, en zorgt ervoor dat de verwerking van persoonsgegevens op nauwkeurige informatie gebaseerd is.
Beperkingen op het bewaren van gegevens
Een van de basisprincipes van de Algemene Verordening Gegevensbescherming (AVG) is het concept van beperkingen op het bewaren van gegevens. Persoonsgegevens die niet langer nodig zijn omdat het doel is bereikt, moeten snel worden verwijderd.
Door het niet bewaren van onnodige persoonsgegevens, zorgen we voor een adequate beheer van persoonsgegevens en de bescherming van privacy.
Volledigheid & Vertrouwelijkheid
Persoonsgegevens moeten volledig en vertrouwelijk zijn. Ze moeten beschermd worden tegen vervalsing en verlies, en er moeten passende maatregelen genomen worden om ze te beschermen tegen ongeautoriseerde toegang.
Dit zal de betrouwbaarheid van de persoonsgegevens verhogen.
Niet alleen voor bedrijven binnen de EU? Het toepassingsgebied van de GDPR
De GDPR is niet alleen van toepassing op bedrijven binnen de EU. Ook Japanse bedrijven kunnen onder het toepassingsgebied vallen. Hieronder leg ik de vier categorieën uit van bedrijven waarop de GDPR van toepassing is.
Doelgroepen voor de GDPR | Overzicht |
Bedrijven met een vestiging binnen de EU | ‘Verwerkingsverantwoordelijke’ | Organisaties die het doel en de middelen voor gegevensverwerking bepalen en eigenaar zijn van de gegevens, worden verwerkingsverantwoordelijken genoemd. Bijvoorbeeld, bedrijven met een hoofdkantoor of filiaal binnen de EU vallen hieronder. Verwerkingsverantwoordelijken zijn verantwoordelijk voor het waarborgen van een rechtmatige en transparante verwerking van gegevens. |
Bedrijven die persoonsgegevens verwerken in opdracht van EU-bedrijven | ‘Verwerker’ | Wanneer een bedrijf binnen de EU gegevensverwerking uitbesteedt aan een ander bedrijf, wordt het bedrijf dat de opdracht ontvangt een ‘verwerker’ en valt het onder de GDPR. Verwerkers zijn ook verantwoordelijk voor het waarborgen van de veiligheid en rechtmatige verwerking van gegevens. |
Bedrijven die goederen of diensten aanbieden aan personen binnen de EU | Bedrijven die een online winkel of webdiensten aanbieden, vallen hieronder. De verwerking van gegevens gerelateerd aan de aangeboden goederen of diensten moet voldoen aan de normen van de GDPR. |
Bedrijven die personen binnen de EU monitoren | Met monitoren wordt bedoeld het op lange termijn volgen van het gedrag of de status van specifieke personen. Bijvoorbeeld, bedrijven die bewakingscamera’s gebruiken of online gedrag tracken, vallen hieronder en moeten zorgen voor een rechtmatige verwerking van gegevens. |
Bedrijven waarop de GDPR van toepassing is, worden verplicht om gegevens rechtmatig en transparant te verwerken, de veiligheid te waarborgen en te voldoen aan de normen van de GDPR.
Gerelateerd artikel: Wat als de GDPR extraterritoriaal wordt toegepast? Uitleg over hoe te reageren[ja]
De omgang met persoonsgegevens onder de GDPR
De GDPR biedt een kader voor de bescherming van privacy en de regulering van gegevensverkeer als het gaat om de omgang met persoonsgegevens.
Het doel en de principes van deze verordening zijn erop gericht om fundamentele rechten en vrijheden te beschermen, in het bijzonder het respecteren van de privacy van individuen en het bevorderen van het vrije verkeer van persoonsgegevens (Artikel 4 van de GDPR). |
De GDPR beschermt de controle en het respect voor persoonsgegevens, terwijl het tegelijkertijd de gegevensstroom bevordert en betrouwbaarheid waarborgt door middel van adequaat beheer.
Hiervoor is transparantie in gegevensverwerking en een verantwoordelijkheidsgevoel van bedrijven van groot belang, en wordt van bedrijven verwacht dat zij gegevens op een passende manier behandelen, in overeenstemming met de regelgeving.
De GDPR bevat ook de volgende bepalingen:
Bedrijven die onder de GDPR vallen, moeten in principe de toestemming van de betrokkene hebben wanneer zij persoonsgegevens ‘verwerken’ (Artikel 6, lid 1, onder a, van de GDPR). |
De verwerkingsverantwoordelijke moet kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van persoonsgegevens (Artikel 7, lid 1, van de GDPR). |
Bovendien kan de betrokkene op elk moment zijn toestemming voor de verwerking van persoonsgegevens intrekken (Artikel 7, lid 3, van de GDPR). |
Er zijn echter gevallen waarin de ‘verwerking’ van persoonsgegevens is toegestaan zonder de toestemming van de betrokkene. Enkele concrete voorbeelden zijn:
- Wanneer het noodzakelijk is voor de uitvoering van een contract waarbij de betrokkene partij is
- Wanneer het noodzakelijk is om op verzoek van de betrokkene voorafgaand aan het sluiten van een contract maatregelen te nemen
- Wanneer het noodzakelijk is om een wettelijke verplichting na te komen waaraan de verwerkingsverantwoordelijke onderworpen is
- Wanneer het noodzakelijk is om vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen
- Wanneer het noodzakelijk is voor het vervullen van een taak van algemeen belang of een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen
- Wanneer het noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, mits de belangen of de fundamentele rechten en vrijheden van de betrokkene niet zwaarder wegen (een afweging is noodzakelijk)
De voornaamste rechten met betrekking tot persoonsgegevens onder de GDPR
Onder de GDPR worden de volgende hoofdrechten toegekend aan de betrokkenen van persoonsgegevens:
- Het recht om toegang te krijgen tot persoonsgegevens
- Het recht om correctie of verwijdering van persoonsgegevens te verzoeken
- Het recht om beperking van het gebruik van persoonsgegevens te verzoeken
- Het recht om bezwaar te maken tegen de verwerking van persoonsgegevens
Betrokkenen hebben het recht om te begrijpen hoe hun informatie door de verstrekker wordt gebruikt. Als zij het gevoel hebben dat de informatie onjuist of ongepast gebruikt wordt, kunnen zij correctie of verwijdering aanvragen, evenals een tijdelijke stopzetting van het gebruik of het indienen van een bezwaar.
De voornaamste verantwoordelijkheden met betrekking tot persoonsgegevens onder de GDPR
Terwijl individuen bepaalde rechten hebben met betrekking tot hun persoonsgegevens, dragen bedrijven die persoonsgegevens verzamelen en verwerken voornamelijk de volgende verantwoordelijkheden:
- De verantwoordelijkheid om een systeem en personeelsbeleid te ontwikkelen voor de verwerking van persoonsgegevens in overeenstemming met de GDPR
- De verantwoordelijkheid om een administratie bij te houden van de verwerking van persoonsgegevens
- De verantwoordelijkheid om te reageren op inbreuken op persoonsgegevens
Om ervoor te zorgen dat persoonsgegevens adequaat beschermd worden, zijn deze verantwoordelijkheden die bedrijven dragen van groot belang.
Bovendien is het essentieel dat alle activiteiten met betrekking tot de verwerking van persoonsgegevens adequaat worden gedocumenteerd, zodat deze indien nodig kunnen worden herzien.
In het geval van een inbreuk op persoonsgegevens, is het de verantwoordelijkheid van het bedrijf om passende maatregelen te nemen en de betrokkenen te informeren.
In geval van een GDPR-overtreding
Wanneer een beheerder of verwerker de GDPR overtreedt en daarmee schade toebrengt aan de betrokkene, kan deze laatste aanspraak maken op schadevergoeding (Artikel 82, lid 1 van de GDPR).
Daarnaast kunnen overtredingen van de GDPR ernstige gevolgen hebben. Zo kunnen er bijvoorbeeld boetes vanuit de EU worden opgelegd als maatregel volgens Artikel 83 van de GDPR voor de gepleegde inbreuken (Artikel 83 van de GDPR).
Het verschil tussen de GDPR en de Japanse Wet Bescherming Persoonsgegevens
De belangrijkste verschillen tussen de GDPR en de Japanse Wet Bescherming Persoonsgegevens zijn als volgt:
- Beschermde gegevens
- Reactie bij inbreuk op persoonsgegevens
- Instellen van een vertegenwoordiger
- Sancties bij overtreding
Hieronder volgt een gedetailleerde uitleg.
Beschermde gegevens
De GDPR en de Japanse Wet Bescherming Persoonsgegevens verschillen in de gegevens die zij beschermen. De GDPR beschermt persoonsgegevens die binnen de EU worden verwerkt op een uitgebreide manier. Dit geldt niet alleen voor bedrijven die in de EU gevestigd zijn, maar ook voor bedrijven die goederen of diensten aanbieden aan personen binnen de EU.
De beschermde gegevens onder de Japanse Wet Bescherming Persoonsgegevens variëren echter per land of regio.
Bijvoorbeeld, de Japanse Wet Bescherming Persoonsgegevens richt zich op persoonsgegevens die binnen Japan worden verwerkt en de bescherming is in principe beperkt tot binnenlands gebruik.
Reactie bij inbreuk op persoonsgegevens
Er is een verschil in de reactie op een inbreuk op persoonsgegevens tussen de GDPR en de Japanse Wet Bescherming Persoonsgegevens.
Onder de GDPR hebben bedrijven de plicht om binnen 72 uur na een datalek dit te melden bij de toezichthoudende autoriteit. Daarnaast zijn zij verantwoordelijk om de betrokken personen snel en duidelijk te informeren.
Ook onder de Japanse Wet Bescherming Persoonsgegevens wordt verwacht dat men snel melding maakt van een datalek, maar de termijnen voor rapportage en de inhoud van de kennisgeving kunnen per land of regio verschillen.
Instellen van een vertegenwoordiger
De regels met betrekking tot het instellen van een vertegenwoordiger verschillen tussen de GDPR en de Japanse Wet Bescherming Persoonsgegevens.
Onder de GDPR is de toestemming van een ouder of wettelijke vertegenwoordiger vereist bij de verwerking van persoonsgegevens van kinderen. Bedrijven die online diensten aanbieden en persoonsgegevens van kinderen onder de 16 jaar verwerken, hebben ook de toestemming van de ouders nodig.
De Japanse Wet Bescherming Persoonsgegevens vereist eveneens de toestemming van een wettelijke vertegenwoordiger bij het verwerken van persoonsgegevens van kinderen, maar de leeftijdsgrens en de methode voor het verkrijgen van toestemming kunnen verschillen per wetgeving.
Sancties bij overtreding
Een ander verschil tussen de GDPR en de Japanse Wet Bescherming Persoonsgegevens zijn de sancties bij overtreding.
Onder de GDPR kunnen bedrijven voor overtredingen een boete krijgen die kan oplopen tot 4% van de totale wereldwijde jaaromzet van het bedrijf of 20 miljoen euro, afhankelijk van wat hoger is.
De sancties onder de Japanse Wet Bescherming Persoonsgegevens variëren per land of regio, maar kenmerken zich over het algemeen door boetes of juridische aansprakelijkheid. De hoogte van de boetes varieert afhankelijk van de aard en de ernst van de overtreding.
Punten waarop Japanse bedrijven maatregelen moeten nemen met betrekking tot de GDPR
De volgende bedrijven moeten maatregelen nemen met betrekking tot de GDPR:
- Bedrijven met dochterondernemingen, filialen of verkoopkantoren binnen de EU
- Bedrijven die vanuit Japan goederen of diensten leveren aan de EU
- Bedrijven die opdrachten voor de verwerking van persoonsgegevens hebben ontvangen van bedrijven binnen de EU
Als specifiek voorbeeld van maatregelen die bedrijven kunnen nemen, wordt in Artikel 32 en overweging (83) van de GDPR het gebruik van encryptietechnologieën als een vorm van gegevensbescherming aanbevolen.
Daarom is het noodzakelijk om persoonsgegevens te versleutelen op opslagmedia zoals client-pc’s, HDD’s, USB-sticks en in gedeelde mappen.
Daarnaast is het noodzakelijk om het privacybeleid aan te passen zodat het voldoet aan de GDPR. Voor meer informatie over het opstellen van een GDPR-conform privacybeleid, zie het volgende artikel:
Gerelateerd artikel: Uitleg over de belangrijkste punten bij het opstellen van een GDPR-conform privacybeleid[ja]
Samenvatting: Raadpleeg specialisten voor GDPR-maatregelen
De GDPR beschermt persoonsgegevens die binnen de EU worden verwerkt op een uitgebreide manier en vereist legale en transparante verwerking van data en het waarborgen van veiligheid. Verschillen tussen de GDPR en de Japanse Wet op de Bescherming van Persoonsgegevens omvatten de beschermde gegevens, de reactie op inbreuken op persoonsgegevens, de aanstelling van vertegenwoordigers en de sancties bij overtredingen.
Voornamelijk bedrijven met een basis in de EU, bedrijven die goederen of diensten aanbieden aan personen in de EU, en bedrijven die opdrachten voor de verwerking van persoonsgegevens ontvangen van bedrijven binnen de EU, vallen onder de toepassing van de GDPR. Overtreding van de GDPR kan leiden tot schadeclaims en boetes, dus het is belangrijk om voorzichtig te zijn.
Het is aan te raden om een specialist te raadplegen over of het nodig is om uw bedrijfsregels met betrekking tot gegevensbescherming aan te passen om aan de GDPR te voldoen.
Maatregelen van ons kantoor
Monolith Advocatenkantoor is een juridische firma met uitgebreide ervaring in IT, en in het bijzonder op het gebied van internet en recht. In de recente jaren is het globale bedrijfsleven steeds verder uitgebreid, en de noodzaak voor juridische controle door experts neemt toe. Ons kantoor biedt oplossingen op het gebied van internationaal juridische zaken.
Expertisegebieden van Monolith Advocatenkantoor: Internationaal recht en buitenlandse zaken[ja]