【Nieuwste Editie】Wat is de Wet Bescherming Persoonsgegevens? Essentiële basisinformatie die je moet weten, duidelijk uitgelegd

De laatste tijd is er een toenemende maatschappelijke belangstelling voor de omgang met persoonsgegevens en privacy. Echter, de Wet Bescherming Persoonsgegevens en gerelateerde wetgeving bevatten veel bepalingen die men moet kennen, en zijn vaak complex, waardoor het geen gemakkelijke taak is om ze te ordenen. Bovendien wordt de Wet Bescherming Persoonsgegevens regelmatig aangepast om in te spelen op veranderende maatschappelijke omstandigheden, dus het is essentieel om dagelijks op de hoogte te blijven van de nieuwste informatie.

In dit artikel leggen we de basisprincipes van de Wet Bescherming Persoonsgegevens uit, zoals die zijn bijgewerkt met de laatste wijzigingen die in 2022 (Reiwa 4) in Japan zijn doorgevoerd. We richten ons op wat iedereen die persoonsgegevens verwerkt, minimaal zou moeten weten (dit artikel is gebaseerd op wetgeving en informatie zoals die geldt in januari 2025).

Het Doel en de Achtergrond van de Herzieningen van de Japanse Wet Bescherming Persoonsgegevens

In de digitale samenleving neemt het belang van het voorkomen van schade door onrechtmatig gebruik van persoonsgegevens steeds verder toe, en de Japanse Wet Bescherming Persoonsgegevens is meerdere keren herzien. Hier bespreken we het doel van de Wet Bescherming Persoonsgegevens en de achtergrond van deze herzieningen.

Het Doel van de Wet Bescherming Persoonsgegevens

De Wet Bescherming Persoonsgegevens is een wet die voornamelijk de regels voor de juiste behandeling van persoonsgegevens en dergelijke vaststelt.

Diensten die gebruikmaken van persoonsgegevens en data zijn nu een vanzelfsprekend onderdeel van ons leven geworden. Terwijl persoonsgegevens worden gebruikt voor het verbeteren van bedrijfsprocessen en digitalisering (DX) binnen bedrijven, neemt het aantal incidenten met datalekken toe en stijgt het risico op misbruik.

Het doel van de Wet Bescherming Persoonsgegevens kan kortweg worden omschreven als het ‘rekening houden met de bruikbaarheid van persoonsgegevens’ terwijl tegelijkertijd ‘de rechten en belangen van individuen worden beschermd’ (Artikel 1). Bij het bestuderen van de Wet Bescherming Persoonsgegevens is het zeer belangrijk om een balans te vinden tussen deze twee aspecten.

Deze wet is vastgesteld in het licht van de aanzienlijke uitbreiding van het gebruik van persoonsgegevens als gevolg van de vooruitgang van de digitale samenleving, en bepaalt de basisprincipes en de basisrichtlijnen van de overheid voor de juiste behandeling van persoonsgegevens, evenals de basis voor maatregelen ter bescherming van persoonsgegevens, verduidelijkt de verantwoordelijkheden van de nationale en lokale overheden, en stelt de verplichtingen vast die bedrijven en administratieve instanties die persoonsgegevens verwerken moeten naleven, afhankelijk van hun kenmerken, en door het oprichten van de Persoonsgegevens Beschermingscommissie, streeft het naar een juiste en soepele uitvoering van administratieve en zakelijke activiteiten, en tegelijkertijd, terwijl het rekening houdt met de bruikbaarheid van persoonsgegevens, beschermt het de rechten en belangen van individuen.

Citaat: Wet Bescherming Persoonsgegevens Artikel 1

Let wel, de Wet Bescherming Persoonsgegevens stelt niet alle regels vast met betrekking tot de behandeling van persoonsgegevens; gedetailleerde regels zijn vastgelegd in verordeningen en regels.

Daarnaast zijn er diverse richtlijnen en Q&A’s vastgesteld door de Persoonsgegevens Beschermingscommissie met betrekking tot de concrete juridische interpretatie en aandachtspunten van de uitvoering van de Wet Bescherming Persoonsgegevens. Hoewel deze op zichzelf geen juridische bindende kracht hebben, vormen ze in de praktijk de norm en worden ze door veel bedrijven als referentie gebruikt.

Referentie: Persoonsgegevens Beschermingscommissie | Wetgeving & Richtlijnen[ja]

De Achtergrond van de Herzieningen

De Wet Bescherming Persoonsgegevens is voor het eerst in werking getreden in het jaar Heisei 17 (2005).

Sindsdien heeft de ontwikkeling van informatietechnologie en globalisering geleid tot een toename van het gebruik van persoonsgegevens die niet voorzien waren ten tijde van de oprichting. Met deze veranderingen in de maatschappij in gedachten, is de Wet Bescherming Persoonsgegevens in het jaar Heisei 27 (2015) ingrijpend herzien en opnieuw in het jaar Reiwa 2 (2020).

Verder heeft de Persoonsgegevens Beschermingscommissie, in overeenstemming met de ‘Grote Richtlijnen voor de Herziening van het Systeem van de Wet Bescherming Persoonsgegevens, zogenaamde driejaarlijkse herziening[ja]‘, de herziening van de Wet Bescherming Persoonsgegevens elke drie jaar voortgezet.

Volgens de grote richtlijnen voor de herziening zijn punten zoals ‘bescherming van de rechten en belangen van individuen’, ‘balans tussen bescherming en gebruik’, ‘afstemming met internationale trends’, ‘aanpassing aan risicoveranderingen door buitenlandse bedrijven’, en ‘aanpassing aan het tijdperk van AI en big data’ opgenomen.

De huidige, meest recente herziening van de wet, namelijk de herziening van Reiwa 2 (2020), is in april 2022 in werking getreden, maar volgens het herzieningsplan van de Persoonsgegevens Beschermingscommissie kan er na drie jaar, in 2023 (of mogelijk 2024), opnieuw een herziening van de wet worden overwogen.

Hieronder zullen we een overzicht geven van de definities en classificaties van de artikelen van de Wet Bescherming Persoonsgegevens op basis van de herziening van Reiwa 2, evenals de belangrijkste bepalingen.

Definities en Classificaties onder de Japanse Wet Bescherming Persoonsgegevens

Om de bepalingen van de Japanse Wet Bescherming Persoonsgegevens te begrijpen, is het eerste obstakel de unieke terminologie. In tegenstelling tot de woorden die we dagelijks gebruiken, zijn er veel regels gebaseerd op juridische definities, dus het is belangrijk om eerst de betekenis van de termen te begrijpen.

In dit artikel zullen we de volgende termen toelichten:

• Persoonsinformatie
• Persoonsgegevens
• In bezit zijnde persoonsgegevens

Hoewel sommige termen vergelijkbaar kunnen lijken, hebben ze onder de Japanse Wet Bescherming Persoonsgegevens duidelijke verschillen en zijn er verschillende bepalingen voor elke definitie. Onthoud dat de verplichtingen toenemen in de volgorde van ‘Persoonsinformatie’ → ‘Persoonsgegevens’ → ‘In bezit zijnde persoonsgegevens’.

Persoonsgegevens onder Japans recht

Persoonsgegevens zijn ‘informatie over een levend persoon’ die ‘een specifiek individu kan identificeren’ of ‘een persoonlijk identificatienummer bevat’ (Artikel 2, Paragraaf 1, Onderdeel 1 en 2).

Overleden personen of fictieve karakters vallen niet onder ‘levende personen’, en informatie over rechtspersonen of statistische gegevens worden niet beschouwd als ‘informatie over een individu’.

‘Informatie die een specifiek individu kan identificeren’ omvat typisch naam, telefoonnummer, adres, geboortedatum en foto’s, maar informatie die gekoppeld is aan een specifiek individu wordt in zijn geheel beschouwd als persoonsgegevens. Dit betekent dat informatie die op zichzelf geen individu kan identificeren (zoals ID’s of aankoopgeschiedenis) persoonsgegevens worden wanneer ze gekoppeld worden aan naam of telefoonnummer, waardoor ‘een specifiek individu geïdentificeerd kan worden’.

Verder valt onder ‘persoonlijk identificatienummer (Artikel 2, Paragraaf 2)’ typisch een uniek overheidsnummer zoals My Number, rijbewijsnummer, paspoortnummer of verzekeringsnummer (Onderdeel 2). Ook gegevens die zijn omgezet van biometrische informatie van mensen, zoals vingerafdrukken of DNA, worden beschouwd als persoonlijke identificatienummers (Onderdeel 1).

Bovendien omvat de vereiste om ‘een specifiek individu te kunnen identificeren’ ook ‘informatie die gemakkelijk kan worden vergeleken met andere informatie, waardoor een specifiek individu kan worden geïdentificeerd’ (= ‘gemakkelijke vergelijkbaarheid’).

Bijvoorbeeld, zelfs als een browsegeschiedenisdatabase gebruikers-ID’s en browse-informatie bevat, kan degene die het bekijkt geen specifiek individu identificeren. Echter, als een gebruikersbeheerdatabase (een andere database) dezelfde gebruikers-ID’s en informatie zoals naam en adres bevat, kan een specifiek individu worden geïdentificeerd door de overeenkomende gebruikers-ID’s te vergelijken. Daarom wordt in dit geval de browse-informatie, hoewel het op zichzelf geen specifiek individu kan identificeren, door ‘gemakkelijke vergelijkbaarheid’ beschouwd als onderdeel van de persoonsgegevens. Met andere woorden, afhankelijk van de werkelijke behandeling van informatie door een bedrijf, kan bepaalde informatie als ‘persoonsgegevens’ worden beschouwd, dus voorzichtigheid is geboden.

Artikel 2 In deze wet wordt onder ‘persoonsgegevens’ verstaan informatie over een levend individu die voldoet aan een van de volgende criteria:

1. Informatie die een specifiek individu kan identificeren door middel van naam, geboortedatum of andere beschrijvingen etc. (inclusief informatie die gemakkelijk kan worden vergeleken met andere informatie, waardoor een specifiek individu kan worden geïdentificeerd).

2. Informatie die een persoonlijk identificatienummer bevat

Japanse Wet Bescherming Persoonsgegevens Artikel 2, Paragraaf 1, Onderdeel 1 en 2

Persoonsgegevens

Een verzameling van persoonsinformatie die is gedigitaliseerd of doorzoekbaar gemaakt, wordt aangeduid als ‘persoonsinformatiedatabase, etc.’ (Artikel 16, lid 1, onderdelen 1 en 2 van de wet).

Bijvoorbeeld, de informatie van een individu op een visitekaartje wordt beschouwd als ‘persoonsinformatie’, maar wanneer deze informatie systematisch georganiseerd en doorzoekbaar wordt gemaakt in een bestand gesorteerd op het Japanse kana-systeem of gedigitaliseerd in een Excel-database, wordt het beschouwd als een ‘persoonsinformatiedatabase, etc.’, waardoor specifieke persoonsinformatie doorzoekbaar wordt.

De individuele stukken persoonsinformatie die deel uitmaken van die ‘persoonsinformatiedatabase, etc.’ worden ‘persoonsgegevens’ genoemd (Artikel 16, lid 3 van de wet). Wanneer informatie als persoonsgegevens wordt beschouwd, zijn er extra regelgevingen van toepassing in vergelijking met ‘persoonsinformatie’, zoals regels over het verstrekken aan derden en verplichtingen voor veiligheidsmanagement (meer details volgen later).

De reden hiervoor is dat persoonsgegevens, wanneer ze worden gedigitaliseerd in een database, een hoger risico op massale datalekken hebben en gemakkelijker gekoppeld kunnen worden aan andere methoden, wat de rechten van de betrokken personen ernstig kan schenden.

Bezit van Persoonsgegevens

Onder ‘bezit van persoonsgegevens’ verstaan we de persoonlijke informatie die een ondernemer beheert en die hij moet openbaren wanneer een betrokkene daarom vraagt, conform artikel 16, lid 4 van de Japanse Wet Bescherming Persoonsgegevens.

Typisch gaat het hier om klantgegevens of werknemersinformatie die direct in de bedrijfsvoering is verzameld. Informatie daarentegen die bijvoorbeeld in het kader van een opdracht van derden is ontvangen en waarover geen openbaarmakingsbevoegdheid bestaat, valt niet onder het bezit van persoonsgegevens.

Wanneer gegevens onder het bezit van persoonsgegevens vallen, moet men zonder vertraging voldoen aan de vereisten voor publicatie van bepaalde zaken, antwoorden op vragen van de betrokkene, en verzoeken om openbaarmaking, correctie of verwijdering (meer details volgen later).

Volgens de Japanse Wet Bescherming Persoonsgegevens is ‘persoonlijke informatie’ het breedste concept, en worden ‘persoonsgegevens’ en ‘bezit van persoonsgegevens’ steeds specifieker gedefinieerd, waarbij aanvullende regelgeving van toepassing wordt. Het is belangrijk om aandacht te besteden aan de verschillende regels die van toepassing zijn op elk van deze definities. Laten we dit verder bekijken in de onderstaande figuur.

Verschillende regels van toepassing afhankelijk van de classificatie van informatie

Zoals de onderstaande afbeelding laat zien, zijn de belangrijkste bepalingen van de Japanse Wet Bescherming Persoonsgegevens (‘persoonsgegevens’, ‘persoonsdata’ en ‘in bezit zijnde persoonsdata’) vastgesteld in overeenstemming met deze onderscheidingen.

Bron: Japanse Persoonsgegevensbeschermingscommissie ‘Basis van de Wet Bescherming Persoonsgegevens’ pagina 25

Hieronder volgt een overzicht van:

• De specificatie en kennisgeving van het doel van het gebruik van persoonsgegevens
• Veiligheidsmaatregelen voor persoonsdata, en het beheer van uitbestede diensten
• De verstrekking van persoonsdata aan derden en de uitzonderingen hierop
• De afhandeling van verzoeken om openbaarmaking van in bezit zijnde persoonsdata

Deze zullen we nader toelichten.

Specifieke Doeleinden en Kennisgeving van Persoonsgegevens Onder Japans Recht

Volgens de Japanse Wet Bescherming Persoonsgegevens moet men, bij het verkrijgen van persoonsgegevens, het doel van het gebruik zo specifiek mogelijk vaststellen (Artikel 17, lid 1 van de wet) en mag men de persoonsgegevens niet verwerken buiten de noodzakelijke reikwijdte om het vastgestelde doel te bereiken (Artikel 18, lid 1 van de wet).

Wanneer het doel van het gebruik wordt gewijzigd, mag dit niet gebeuren buiten de grenzen van wat redelijkerwijs gerelateerd is aan en voorzienbaar is van het oorspronkelijke doel (Artikel 17, lid 2 van de wet).

Bovendien moet men het vastgestelde doel van het gebruik aan de betrokkene meedelen of openbaar maken (Artikel 21, lid 1 van de wet).

Hoewel de Japanse Wet Bescherming Persoonsgegevens geen specifieke methode voorschrijft voor kennisgeving of openbaarmaking, is het gebruikelijk om dit te doen in de vorm van een ‘Privacybeleid’ of ‘Beleid inzake de bescherming van persoonsgegevens’.

De richtlijnen van de Japanse Persoonsgegevens Beschermingscommissie stellen het volgende vast:

Het doel van het gebruik moet niet alleen abstract en algemeen worden vastgesteld, maar het moet voor de betrokkene algemeen en redelijkerwijs voorzienbaar zijn hoe de persoonsgegevens uiteindelijk zullen worden gebruikt in de bedrijfsvoering van de verwerker en voor welk doel de persoonsgegevens zullen worden gebruikt.

Persoonsgegevens Beschermingscommissie ‘Richtlijnen Algemene Bepalingen[ja]‘ 3-1-1

Dezelfde richtlijnen geven ook voorbeelden van wat als een specifieke doelstelling kan worden beschouwd.

Met andere woorden, het is noodzakelijk dat de betrokkene begrijpt hoe de persoonsgegevens concreet worden gebruikt in welke bedrijfsactiviteiten en voor welke doeleinden.

Daarnaast, wanneer persoonsgegevens direct worden verkregen via een document (inclusief elektronische gegevens), moet het doel van het gebruik vooraf expliciet worden gemaakt aan de betrokkene (Artikel 21, lid 2 van de wet).

Beheer van veiligheidsmaatregelen voor persoonsgegevens en beheer van uitbestede partijen onder Japans recht

Bedrijven die persoonsgegevens verwerken, zijn verplicht om noodzakelijke en passende maatregelen te nemen om lekken, verlies of beschadiging van persoonsgegevens te voorkomen en om de veiligheid van deze gegevens te waarborgen (Artikel 23 van de wet).

Daarnaast moeten de veiligheidsmaatregelen die zijn genomen voor de bescherming van persoonsgegevens in een ‘voor de betrokkene kenbare staat’ worden gehouden, wat inhoudt dat er onverwijld moet worden gereageerd op verzoeken van de betrokkene (Artikel 32, lid 1, punt 4 van de wet en Artikel 10, lid 1 van de Uitvoeringsverordening van de Wet Bescherming Persoonsgegevens).
Concrete voorbeelden van de te nemen veiligheidsmaatregelen zijn te vinden in de richtlijnen[ja].

10-1 Ontwikkeling van een basisbeleid

10-2 Vaststellen van regels voor de verwerking van persoonsgegevens

10-3 Organisatorische veiligheidsmaatregelen

10-4 Personeelsveiligheidsmaatregelen

10-5 Fysieke veiligheidsmaatregelen

10-6 Technische veiligheidsmaatregelen

10-7 Inzicht in de externe omgeving

Bron: Persoonsgegevensbeschermingscommissie ‘Algemene Richtlijnen[ja]‘ 10

De veiligheidsmaatregelen vereisen echter niet dat alle bedrijven dezelfde maatregelen op dezelfde standaarden nemen. Bijvoorbeeld, een groot IT-bedrijf dat miljoenen persoonsgegevens verwerkt, zal andere maatregelen moeten nemen dan een klein of middelgroot bedrijf dat slechts een beperkte hoeveelheid persoonsgegevens verwerkt. De veiligheidsmaatregelen moeten worden afgestemd op de omvang en aard van de onderneming, de aard en hoeveelheid van de verwerkte persoonsgegevens, en de verwachte risico’s, en moeten dienovereenkomstig passend zijn.

Naast het bovenstaande hebben bedrijven de plicht om hun werknemers en uitbestede partijen adequaat te superviseren om de veiligheid van persoonsgegevens te waarborgen (Artikel 24 en 25 van de wet).

Het verstrekken van persoonsgegevens aan derden en de uitzonderingen daarop

Wanneer persoonsgegevens aan derden worden verstrekt, is het in principe vereist om toestemming van de betrokkene te verkrijgen, zoals bepaald in artikel 27, lid 1 van de wet.

Afhankelijk van de specifieke situatie kan bijvoorbeeld toestemming van de betrokkene worden verkregen als de voorwaarden voor het verstrekken aan derden duidelijk zijn opgenomen in de gebruiksvoorwaarden, contractuele bepalingen of het privacybeleid.

Echter, er zijn uitzonderlijke gevallen waarin toestemming van de betrokkene niet nodig is voor het verstrekken aan derden, bijvoorbeeld om openbare redenen, zoals bepaald in de verschillende onderdelen van artikel 27, lid 1 van de wet.

Artikel 27 – Behoudens de volgende gevallen, mag een onderneming die persoonsgegevens verwerkt niet zonder voorafgaande toestemming van de betrokkene persoonsgegevens aan derden verstrekken.

1. In gevallen op basis van wetgeving

2. Wanneer het noodzakelijk is voor de bescherming van het leven, het lichaam of het eigendom van een persoon en het moeilijk is om toestemming van de betrokkene te verkrijgen.

3. Wanneer het bijzonder noodzakelijk is voor de verbetering van de volksgezondheid of de bevordering van een gezonde ontwikkeling van kinderen en het moeilijk is om toestemming van de betrokkene te verkrijgen.

4. Wanneer het noodzakelijk is om samen te werken met een nationale instelling of lokale overheidsorganisatie, of een entiteit die hun opdracht heeft ontvangen, bij het uitvoeren van taken bepaald door wetgeving, en waarbij het verkrijgen van toestemming van de betrokkene de uitvoering van die taken zou kunnen hinderen.

5 tot 7 (gedeeltelijke uitsluiting)

Citaat: Artikel 27 van de Japanse Wet Bescherming Persoonsgegevens

Verder zal ik hieronder een overzicht geven van de situaties waarin persoonsgegevens aan een derde partij in het buitenland worden verstrekt.

In principe, wanneer persoonsgegevens aan een derde partij in het buitenland worden verstrekt (inclusief uitbesteding en gezamenlijk gebruik), is naast de bovengenoemde regelgeving met betrekking tot het verstrekken van persoonsgegevens aan derden, ook toestemming vereist voor het verstrekken aan ‘een derde partij in het buitenland’ (Artikel 28 van de wet). Bovendien is het noodzakelijk om de volgende informatie te verstrekken voordat toestemming wordt verkregen (Artikel 17, lid 2 van de regelgeving).

1. De naam van het betreffende buitenland

2. Informatie over het systeem voor de bescherming van persoonsgegevens in het betreffende buitenland, verkregen op een geschikte en redelijke manier

3. Informatie over de maatregelen die de betreffende derde partij neemt voor de bescherming van persoonsgegevens

Voor een gedetailleerde beschrijving van de methode kunt u de Richtlijnen voor de Wet Bescherming Persoonsgegevens (Editie: Verstrekking aan derden in het buitenland)[ja] 5-2 van de Japanse Persoonsgegevens Beschermingscommissie raadplegen.

Er zijn echter twee uitzonderingen op het bovenstaande.

Als de derde partij aan wie de gegevens worden verstrekt zich in een land bevindt dat door de Japanse Persoonsgegevens Beschermingscommissie wordt erkend als een land met een persoonsgegevensbeschermingssysteem dat gelijkwaardig is aan dat van Japan (een systeem dat voldoet aan de normen, in november 2023 zijn dit de EER-lidstaten en het Verenigd Koninkrijk), wordt deze derde partij niet als ‘buitenland’ beschouwd. Met andere woorden, de regelgeving voor grensoverschrijdende overdrachten is niet van toepassing en de verstrekking wordt op dezelfde manier behandeld als verstrekking aan een binnenlandse onderneming.

De volgende uitzondering betreft grensoverschrijdende overdrachten op basis van het bovengenoemde systeem dat voldoet aan de normen. Dat wil zeggen, als ① ‘de nodige maatregelen worden genomen om de voortdurende implementatie van passende maatregelen te waarborgen’ en ② ‘informatie over de benodigde maatregelen’ wordt verstrekt aan de betrokkene op diens verzoek, is het niet nodig om toestemming te verkrijgen (Artikel 28, lid 1 en 3 van de wet).

Wat betreft bovenstaande ①, dit wordt bepaald in Artikel 18, lid 1 van de regelgeving.

Artikel 18: De maatregelen die nodig zijn om de voortdurende uitvoering van passende maatregelen door een derde partij in het buitenland te waarborgen, zoals voorgeschreven door Artikel 28, Lid 3 (inclusief gevallen waarin dit wordt toegepast door middel van een lezing van Artikel 31, Lid 2), worden als volgt vastgesteld:

1. Regelmatig en op een geschikte en redelijke manier de uitvoeringsstatus van de passende maatregelen door de betreffende derde partij controleren, evenals de aanwezigheid en inhoud van systemen in het betreffende buitenland die de uitvoering van de passende maatregelen kunnen beïnvloeden.

2. Indien er problemen ontstaan met de uitvoering van de passende maatregelen door de betreffende derde partij, de nodige en geschikte maatregelen nemen en, indien het waarborgen van de voortdurende uitvoering van de passende maatregelen moeilijk wordt, de verstrekking van persoonsgegevens (of persoonsgerelateerde informatie in gevallen waarin Artikel 31, Lid 2 van toepassing is) aan de betreffende derde partij stopzetten.

Citaat: Uitvoeringsregeling van de Wet Bescherming Persoonsgegevens, Artikel 18, Lid 1

Volgens de richtlijnen betekent “regelmatig controleren” zoals vermeld in punt 1, dat dit ten minste eenmaal per jaar of vaker moet gebeuren.

Daarnaast is het niet nodig om voorafgaande kennisgevingen aan de Commissie voor de Bescherming van Persoonsgegevens te doen over de implementatie van de benodigde systemen.

Meer details over het bovenstaande punt 2 zijn te vinden in Artikel 18, Lid 3 van de wet.

Bedrijven die persoonsgegevens verwerken, moeten volgens artikel 28, lid 3 van de Japanse Wet Bescherming Persoonsgegevens (平成15年(2003)) onverwijld informatie verstrekken aan de betrokkene wanneer hierom wordt gevraagd. Dit omvat de volgende punten:

1. De wijze waarop de derde partij een systeem heeft opgezet conform artikel 28, lid 1 van de wet.

2. Een overzicht van de passende maatregelen die de derde partij neemt.

3. De frequentie en methode van verificatie zoals voorgeschreven in artikel 1, punt 1.

4. De naam van het betreffende buitenland.

5. De aan- of afwezigheid en een overzicht van het buitenlandse systeem dat de uitvoering van de passende maatregelen door de derde partij kan beïnvloeden.

6. De aan- of afwezigheid en een overzicht van eventuele belemmeringen voor de uitvoering van de passende maatregelen door de derde partij.

7. Een overzicht van de maatregelen die de verwerker van persoonsgegevens neemt met betrekking tot de belemmeringen genoemd in het vorige punt, zoals voorgeschreven in artikel 1, punt 2.

Citaat: Uitvoeringsregeling van de Japanse Wet Bescherming Persoonsgegevens, artikel 18, lid 3

Wanneer persoonsgegevens worden overgedragen over de grens op basis van een systeem dat voldoet aan de normen, is het noodzakelijk om achteraf (op verzoek) informatie te verstrekken aan de betrokkene.

Reactie op Verzoeken tot Openbaarmaking van Persoonsgegevens onder Japans Recht

Artikel 33 van de Japanse Wet Bescherming Persoonsgegevens stelt dat gebruikers het recht hebben om van een persoonsgegevens verwerkende onderneming de openbaarmaking te eisen van persoonsgegevens die hen identificeren.

Deze ondernemingen moeten procedures en kosten voor het behandelen van dergelijke verzoeken tot openbaarmaking beschikbaar stellen op een manier die voor de betrokkene kenbaar is (inclusief een onmiddellijke reactie op verzoeken van de betrokkene), zoals bepaald in artikel 32, lid 1 van de wet.

Met andere woorden, ondernemingen kunnen specifieke procedures vaststellen voor het indienen van een verzoek tot openbaarmaking, zoals het adres waar het verzoek moet worden ingediend, het format van het aanvraagformulier, de methode voor identiteitsverificatie van de aanvrager, en de hoogte en wijze van inning van de kosten. De aanvrager moet deze procedures vervolgens volgen om een verzoek in te dienen.

Bijvoorbeeld, door het telefoonnummer, e-mailadres of postadres van de onderneming in het privacybeleid op te nemen, kan de onderneming ervoor kiezen om alleen verzoeken tot openbaarmaking te accepteren die via telefoon, e-mail of post worden ingediend.

Naast verzoeken tot openbaarmaking kunnen gebruikers ook verzoeken indienen tot correctie, toevoeging of verwijdering van gegevens (correcties en dergelijke) onder artikel 34, of tot stopzetting van gebruik of verwijdering van gegevens (stopzetting van gebruik en dergelijke) onder artikel 35 van de Japanse Wet Bescherming Persoonsgegevens.

Samenvatting: Raadpleeg een expert voor de verwerking van persoonsgegevens

In dit artikel hebben we de basisprincipes van de Wet Bescherming Persoonsgegevens in Japan uiteengezet die u moet kennen. Naast de punten die in het artikel zijn genoemd, verschilt de specifieke situatie van de verwerking van persoonsgegevens per bedrijf, dus het is noodzakelijk om de relevante wetten en richtlijnen te raadplegen en de juiste maatregelen te overwegen.

De Wet Bescherming Persoonsgegevens vereist van ondernemers die persoonsgegevens verwerken dat zij deze informatie op een juiste manier behandelen en de nodige en passende maatregelen nemen voor veiligheidsbeheer. Het is een essentiële wet waar bijna alle bedrijven niet omheen kunnen.

Als u zich zorgen maakt over de verwerking van persoonsgegevens of over de maatregelen die uw bedrijf moet nemen, is het raadzaam om een advocaat te raadplegen.

Gerelateerd artikel: Wat zijn de kernpunten van de herziene Wet Bescherming Persoonsgegevens in Reiwa 6 (2024)? Uitleg over belangrijke wijzigingen en hoe hierop te reageren[ja]

Introductie van Onze Maatregelen

Monolith Advocatenkantoor is een juridische firma met een hoge mate van specialisatie in IT, en in het bijzonder internetrecht. In de huidige samenleving is er een groeiende maatschappelijke interesse in persoonlijke informatie en privacy. Bijvoorbeeld, als persoonlijke informatie die door een bedrijf wordt bewaard, gelekt wordt, kan dit een fatale impact hebben op de bedrijfsvoering. Ons kantoor beschikt over gespecialiseerde kennis in de omgang met de Japanse Wet Bescherming Persoonsgegevens. De details worden beschreven in het onderstaande artikel.

Expertisegebieden van Monolith Advocatenkantoor: Juridische diensten gerelateerd aan de Japanse Wet Bescherming Persoonsgegevens[ja]