Herziening van de Japanse Wet Bescherming Persoonsgegevens in het 4e jaar van Reiwa (2022): Bevordering van het gebruik van gegevens door de introductie van 'Pseudoniem Verwerkte Informatie' en andere maatregelen

De wetgeving met betrekking tot de behandeling van persoonlijke informatie wordt regelmatig gewijzigd en verandert naargelang de tijd. Het is noodzakelijk dat bedrijven die persoonlijke informatie verwerken, deze wijzigingen snel opvangen en hun interne systemen dienovereenkomstig aanpassen.

Er zijn veel punten die veranderen met de wijziging van de ‘Japanse Wet op de Bescherming van Persoonlijke Informatie’ in 2022, zoals de versterking van individuele rechten, veranderingen met betrekking tot het verstrekken aan derden, inclusief in het buitenland, en de nieuwe invoering van ‘gepseudonimiseerde informatie’ en ‘persoonsgerelateerde informatie’. Bedrijven moeten begrijpen welke wijzigingen er zijn en welke maatregelen ze moeten nemen.

Daarom zullen we de ‘Japanse Wet op de Bescherming van Persoonlijke Informatie’, die op 1 april 2022 (Reiwa 4) is gewijzigd en nieuw ingevoerd, en de controlepunten voor de praktische reactie van bedrijven die persoonlijke informatie verwerken, uitleggen.

Wat is de Wet Bescherming Persoonsgegevens?

De ‘Wet Bescherming Persoonsgegevens’, officieel bekend als de ‘Wet op de Bescherming van Persoonsgegevens’ (Japanse Wet op de Bescherming van Persoonsgegevens), is een wet die de juiste behandeling van persoonlijke informatie (regulering van de methoden voor het verkrijgen, gebruiken, opslaan, beheren, verstrekken, openbaar maken, stopzetten en verwijderen) vaststelt, met als doel een evenwicht te vinden tussen het nut van persoonlijke informatie en de bescherming van de rechten en belangen van individuen.

De ‘Persoonlijke Informatie Beschermingscommissie’ (Japanse Persoonlijke Informatie Beschermingscommissie) heeft de jurisdictie, en er zijn bepalingen vastgesteld voor de verplichtingen die alle overheidsinstanties en particuliere bedrijven die persoonlijke informatiedatabases en dergelijke behandelen, moeten naleven, evenals de sancties voor overtredingen.

De geschiedenis van de wijzigingen in de Japanse Wet op de Bescherming van Persoonsgegevens

De Japanse Wet op de Bescherming van Persoonsgegevens werd op 23 mei 2003 (Heisei 15) aangenomen (Wet nr. 57 van 30 mei 2003, Heisei 15) en de bepalingen, met uitzondering van hoofdstukken 4 tot en met 6 die direct betrekking hebben op algemene bedrijven en strafrechtelijke sancties, werden onmiddellijk van kracht. De wet werd volledig geïmplementeerd op 1 april 2005 (Heisei 17).

In de wijziging van 2015 (Heisei 27) werd, in het licht van de toenemende digitalisering van de samenleving, een evenwicht gezocht tussen de “bescherming van persoonlijke informatie” en het “gebruik van persoonlijke gegevens”. Ook werd er gestreefd naar “harmonisatie met internationale systemen”. Bovendien werd er een bepaling opgenomen om de wet elke drie jaar te herzien.

In de gewijzigde wet die in mei 2017 (Heisei 29) in werking trad, werden nieuwe categorieën van persoonlijke gegevens geïntroduceerd, waaronder “persoonlijke identificatiecodes”, “gevoelige persoonlijke informatie” en “geanonimiseerde informatie”. Daarnaast werden er nieuwe systemen geïntroduceerd voor traceerbaarheid (het waarborgen van de mogelijkheid tot opsporing), het verplicht streven naar het wissen van persoonlijke gegevens, beperkingen op het verstrekken van gegevens aan derden in het buitenland, en de oprichting van de Persoonlijke Informatie Beschermingscommissie. De supervisie werd overgedragen van de bevoegde minister naar de Persoonlijke Informatie Beschermingscommissie, waardoor er een gecentraliseerd toezichtsysteem ontstond.

Op 1 april 2022 (Reiwa 4) werd de gewijzigde Japanse Wet op de Bescherming van Persoonsgegevens van kracht.

Deze wijziging, die op 12 juni 2020 (Reiwa 2) werd afgekondigd, is de grootste wijziging in de “Wet op de Bescherming van Persoonsgegevens” tot nu toe, met als doel de drie bestaande wetten met betrekking tot de bescherming van persoonsgegevens (de Wet op de Bescherming van Persoonsgegevens, de Wet op de Bescherming van Persoonsgegevens door Administratieve Organen, en de Wet op de Bescherming van Persoonsgegevens door Onafhankelijke Administratieve Organen) te integreren en te stroomlijnen.

Naast de uniformering van de definities van persoonlijke informatie tussen de publieke en private sector, werd de wet gewijzigd om rekening te houden met de wereldwijde AI- en big data-tijdperk en de noodzaak om de rechten en belangen van individuen te versterken. De nieuwe wet bevatte verschillende wijzigingen.

Specifieke wijzigingen omvatten de introductie van “gepseudonimiseerde informatie” en “persoonlijk gerelateerde informatie” als nieuwe categorieën van persoonlijke gegevens, en strengere regelgeving en straffen voor de behandeling van persoonlijke gegevens, inclusief die in het buitenland. In geval van een lek (verlies, vernietiging, beschadiging), werd het verplicht om de Persoonlijke Informatie Beschermingscommissie te informeren en de betrokkene op de hoogte te stellen.

Dit betekent dat buitenlandse bedrijven die persoonlijke informatie in Japan behandelen nu ook onderworpen zijn aan administratieve rapportage en bevelen, en dat strafrechtelijke sancties van toepassing zijn. Voor meer informatie over de sancties, zie dit artikel.

Gerelateerd artikel: Uitleg over de ‘straffen’ in de gewijzigde Japanse Wet op de Bescherming van Persoonsgegevens van 2022 (Reiwa 4)[ja]

Op 1 april 2023 (Reiwa 5) zal een gewijzigde wet volledig in werking treden die tot doel heeft de onevenwichtigheden en inconsistenties in het beschermingsniveau als gevolg van verschillen in de bepalingen en toepassing van de verordeningen inzake de bescherming van persoonsgegevens van lokale overheidsorganisaties, de wettelijke regels in de medische sector, en de uitzonderingsbepalingen in de academische sector te corrigeren. De Persoonlijke Informatie Beschermingscommissie zal het systeem centraal beheren met het oog op uniforme regelgeving.

De 6 belangrijkste punten van de herziene Wet Bescherming Persoonsgegevens (Japanse Wet Bescherming Persoonsgegevens) in 2022 (Reiwa 4)

De Wet Bescherming Persoonsgegevens (Japanse Wet Bescherming Persoonsgegevens), die in 2020 (Reiwa 2) nieuw werd ingevoerd en herzien, is herzien met het oog op de volgende vijf punten, rekening houdend met veranderingen in de sociale en economische omstandigheden. Het doel is om een systeem te creëren waarin de resultaten van technologische innovatie met betrekking tot persoonlijke informatie en informatie gerelateerd aan individuen zowel economische groei als de bescherming van de rechten en belangen van individuen bevorderen.

1. Bescherming van de rechten en belangen van individuen
2. Versterking van de bescherming en het gebruik door technologische innovatie
3. Internationale systeemharmonisatie en samenwerking
4. Reageren op risico’s als gevolg van de toename van grensoverschrijdende gegevensstromen
5. Reageren op het tijdperk van AI en Big Data

Bron: Persoonlijke Informatie Beschermingscommissie ‘Vragen over de herziening van de Wet Bescherming Persoonsgegevens in Reiwa 2 | Bevordering van het gebruik en de juiste behandeling van persoonlijke informatie'[ja]

De belangrijkste punten in de herziening van de Wet Bescherming Persoonsgegevens (Japanse Wet Bescherming Persoonsgegevens) in 2022 (Reiwa 4) zijn de volgende zes:

1. Uitbreiding van het recht van de betrokkene om te verzoeken
2. Toevoeging van de plichten van de onderneming
3. Bevordering van vrijwillige inspanningen van bedrijven
4. Bevordering van het gebruik van gegevens
5. Versterking van de straffen
6. Uitbreiding van de toepassing buiten het gebied

Om te voldoen aan de ‘Herziene Wet Bescherming Persoonsgegevens (Japanse Wet Bescherming Persoonsgegevens)’, die in werking is getreden op 1 april 2022 (Reiwa 4), moeten bedrijven die persoonlijke informatie verwerken hun management systemen voor de bescherming van persoonlijke informatie, privacybeleid, interne regels, contractinhoud (zoals gebruiksvoorwaarden) en dergelijke herzien en wijzigen. Raadpleeg de ‘Richtlijnen voor de Wet Bescherming Persoonsgegevens (Japanse Wet Bescherming Persoonsgegevens)’ en trainingsmateriaal van de Persoonlijke Informatie Beschermingscommissie (PPC), die regelmatig worden bijgewerkt, en herzie uw eigen systeem voor het beheer van persoonlijke informatie.

Let op, voor meer details over de toegevoegde verantwoordelijkheden van bedrijven in deze herziening, zie het volgende artikel.

Gerelateerd artikel: Uitleg over de aandachtspunten van de ‘Verantwoordelijkheden van bedrijven’ in de herziene Wet Bescherming Persoonsgegevens (Japanse Wet Bescherming Persoonsgegevens) in 2022 (Reiwa 4)[ja]

De aard van individuele rechten met betrekking tot persoonlijke gegevens

Hier zullen we de rechten met betrekking tot persoonlijke gegevens die zijn uitgebreid in deze herziening uitleggen, en wat voor soort reactie er in de praktijk nodig zal zijn.

 Vereenvoudiging van de vereisten voor het aanvragen van stopzetting van gebruik, verwijdering en stopzetting van verstrekking aan derden

Voor de wijziging was het alleen mogelijk om een verzoek in te dienen voor het stopzetten van het gebruik van persoonlijke informatie, de verwijdering ervan en het stopzetten van de verstrekking aan derden in gevallen van oneigenlijk gebruik of onrechtmatige verkrijging. Echter, onder de gewijzigde wet is het nu ook mogelijk om een verzoek in te dienen als er een risico bestaat dat de rechten of legitieme belangen van een individu worden geschaad. Bovendien is het nu ook mogelijk om dergelijke verzoeken in te dienen als er geen noodzaak meer is om de persoonlijke informatie te gebruiken.

Daarom wordt verwacht dat na de wijziging het aantal van deze verzoeken aan de beheerders van persoonlijke informatie zal toenemen. Aan de kant van de bedrijven zal het noodzakelijk zijn om middelen te reserveren en handleidingen en dergelijke opnieuw te organiseren om aan deze verzoeken te kunnen voldoen.

Bovendien zal er waarschijnlijk een systeem nodig zijn om het doel van het gebruik van elke bewaarde persoonlijke gegevens te kunnen controleren om te bepalen of er nog steeds een noodzaak is om deze te gebruiken.

 Uitbreiding van het recht op inzage door de betrokkene

De reikwijdte van het ‘recht op inzage van persoonlijke gegevens’ door de betrokkene is uitgebreid. Het is nu ook mogelijk om inzage te vragen in de registratie van derden die persoonlijke gegevens hebben ontvangen van bedrijven die persoonlijke gegevens verwerken (Japanse ‘persoonlijke informatie verwerkende bedrijven’).

Daarnaast was het tot nu toe alleen mogelijk om schriftelijk inzage te vragen, maar nu kan de betrokkene ook kiezen voor inzage door middel van elektronische gegevensverstrekking. Dit zal waarschijnlijk leiden tot een toename van online inzageverzoeken aan bedrijven die persoonlijke gegevens verwerken. Vanuit het bedrijf is technische en organisatorische inspanning nodig om deze vorm van gegevensverstrekking mogelijk te maken.

Als een betrokkene vraagt om inzage in zijn of haar persoonlijke gegevens op een door hem of haar gespecificeerde manier, moet het bedrijf dat persoonlijke gegevens verwerkt, deze verstrekken op de manier die de betrokkene heeft gevraagd, tenzij dit moeilijk is.

Het bedrijf dat persoonlijke gegevens verwerkt, kan de bestandsformaten voor elektronische gegevens (zoals PDF, Word, etc.) en de methoden voor het verstrekken van elektronische gegevens (zoals het opslaan van elektronische gegevens op een opslagmedium en dit per post versturen, het bijvoegen van elektronische gegevens in een e-mail, of het laten downloaden van elektronische gegevens van een website) specificeren. Als de door de betrokkene gespecificeerde methode van openbaarmaking moeilijk is, is het voldoende om openbaar te maken op een manier die wel mogelijk is. Echter, vanuit het oogpunt van het verbeteren van het gemak voor de betrokkene, wordt het wenselijk geacht om zoveel mogelijk tegemoet te komen aan de wensen van de betrokkene.

Bron: Persoonlijke Informatie Beschermingscommissie ‘Q&A over de richtlijnen voor de Japanse Wet op de Bescherming van Persoonsgegevens | A9-10′[ja]

Uitbreiding van de reikwijdte van persoonlijke gegevens die onderhevig zijn aan openbaarmaking en dergelijke

Voor de wijziging werden persoonlijke gegevens die binnen zes maanden werden verwijderd, niet beschouwd als ‘bewaarde persoonlijke gegevens’. Echter, volgens de gewijzigde wet, worden ze nu ongeacht de bewaartermijn beschouwd als ‘bewaarde persoonlijke gegevens’.

Daarom moeten bedrijven die persoonlijke informatie verwerken en die voorheen persoonlijke gegevens hadden georganiseerd als niet onderhevig aan verzoeken op basis van korte termijn opslag, hun behandeling herzien.

Versterking van de opt-out regelgeving: toevoeging van meldings-, openbaarmakings- en aangifteverplichtingen

De volgende zaken zijn toegevoegd aan de zaken waarover melding moet worden gedaan aan de betrokkene, openbaar gemaakt moet worden en waarvan aangifte moet worden gedaan bij de Japanse Persoonsgegevens Beschermingscommissie.

• De naam, enz. van de persoonlijke informatiebeheerder die persoonlijke informatie aan derden verstrekt
• De methode voor het verkrijgen van persoonlijke gegevens die aan derden worden verstrekt

Als u de “opt-out methode” gebruikt, was er geen probleem zolang u van tevoren aan de betrokkene duidelijk maakte dat u van plan was “persoonlijke informatie aan derden te verstrekken”, en als de betrokkene dat wenste, kon u “stoppen met het verstrekken aan derden” aankondigen.

Door de wetswijziging van deze keer, als u van plan bent om persoonlijke gegevens aan derden te verstrekken met behulp van de “opt-out methode”, moet u van tevoren aangifte doen bij de Japanse Persoonsgegevens Beschermingscommissie. Bovendien, als u stopt met het verstrekken van opt-out, bent u verplicht om een wijzigingsmelding te doen.

Dus, bedrijven die persoonlijke informatie aan derden verstrekken met behulp van de “opt-out methode” moeten hun privacybeleid, dat meldingen en openbaarmakingen voor dat doel bevat, wijzigen of aanpassen.

Versterking van de opt-out regelgeving: verbod op dubbele opt-out

Persoonsgegevens die niet onder de ‘opt-out methode’ vallen, omvatten naast ‘gevoelige persoonsgegevens’ ook ‘onrechtmatig verkregen persoonsgegevens’ binnen het regelgevingsbereik. Er is ook een nieuwe bepaling ingevoerd die het verbiedt om persoonsgegevens die zijn verkregen via de ‘opt-out methode’ opnieuw aan te bieden via de ‘opt-out methode’, een zogenaamd verbod op dubbele opt-out.

Daarom moeten bedrijven die persoonsgegevens verwerken, verifiëren hoe de persoonsgegevens waarvoor zij derden toegang geven via de ‘opt-out methode’ zijn verkregen of verkregen, en maatregelen nemen om te voldoen aan de gewijzigde wet.

Uitbreiding van datagebruik door de gewijzigde Japanse Wet op de Bescherming van Persoonsgegevens

Nieuwe pseudoniemverwerkte informatie

Bijvoorbeeld, er kunnen gevallen zijn waarin persoonlijke informatie wordt verwerkt tot ‘anoniem verwerkte informatie’ of ‘pseudoniem verwerkte informatie’ voor statistisch gebruik en dergelijke.

Zoals eerder vermeld, is ‘anoniem verwerkte informatie’ persoonlijke gegevens die zijn verwerkt zodat ze niet kunnen worden geïdentificeerd door vergelijking met andere informatie, maar er waren de volgende regels voor anoniem verwerkte informatie:

• Toestemming van de betrokkene is niet nodig voor verstrekking aan derden
• Identificatieacties zijn verboden
• Wanneer anoniem verwerkte informatie wordt gemaakt, worden de items van persoonlijke gegevens in de betreffende anoniem verwerkte informatie gepubliceerd

Aan de andere kant, de ‘pseudoniem verwerkte informatie’ die nieuw is ingesteld in deze wijziging, zijn verwerkte persoonlijke gegevens die kunnen worden geïdentificeerd door vergelijking met andere informatie. De volgende regels zijn vastgesteld voor pseudoniem verwerkte informatie:

• Er zijn geen beperkingen op het wijzigen van het doel van het gebruik, maar het doel van het gebruik na de wijziging moet worden gepubliceerd
• Identificatieacties en contact met de betrokkene zijn verboden
• Er is geen verplichting om te reageren op verzoeken om openbaarmaking of stopzetting van het gebruik van de betrokkene
• Er is geen verplichting om te rapporteren of te melden in geval van lekken
• Verstrekking aan derden is verboden

Echter, als de ontvanger een opdracht, bedrijfsoverdracht, gezamenlijk gebruik (groepsbedrijven, gezamenlijk onderzoek, enz.) is, is het mogelijk om ‘pseudoniem verwerkte informatie’ te verstrekken.

Voor persoonlijke informatiebehandelaars die verwerkingen uitvoeren met behulp van ‘pseudoniem verwerkte informatie’, is het noodzakelijk om het privacybeleid te herzien in verband met het specificeren en publiceren van het doel van het gebruik en de relatie met de verstrekking aan derden.

Regulering van persoonlijke gegevens bij de ontvanger

Hoewel de informatie bij de verstrekker als ‘persoonsgerelateerde informatie’ wordt beschouwd, moet de ontvanger, als het ‘verwacht wordt’ dat deze informatie als ‘persoonsgegevens’ wordt verkregen, bevestigen bij de verstrekker of er toestemming is verkregen van de betrokkene.

Aanbieders van zogenaamde DMP’s (Data Management Platforms) of vergelijkbare diensten zijn onderworpen aan regelgeving die vergelijkbaar is met de verstrekking van ‘persoonsgegevens’ aan derden.

Voorbeeld: In het geval dat een anonieme poster wordt aangeklaagd wegens smaad, wanneer de sitebeheerder die het IP-adres bezit informatie verstrekt aan de internet service provider (zoals NTT, mobiele bedrijven, etc.) via een verzoek om openbaarmaking van de zenderinformatie.

Bepalingen betreffende de versterking van grensoverschrijdende regelgeving en extraterritoriale toepassing

Voordat de wet werd gewijzigd, waren de vereisten voor het verstrekken van persoonlijke gegevens aan derden in het buitenland de “toestemming van de betrokkene”, dat de ontvanger een “onderneming is die een systeem heeft opgezet dat voldoet aan de normen”, en dat het een “land is met een niveau gelijk aan dat van Japan”, zoals de EU of het Verenigd Koninkrijk.

In de gewijzigde wet zijn er extra vereisten toegevoegd aan de eerste twee. Specifiek, bij het verkrijgen van “toestemming van de betrokkene” is het nu verplicht om de volgende informatie te verstrekken:

• De naam van het land waar de ontvanger zich bevindt
• Het systeem voor de bescherming van persoonsgegevens in dat buitenland
• De maatregelen die de ontvanger neemt voor de bescherming van persoonsgegevens
• Andere informatie die nuttig kan zijn voor de betrokkene

Wat betreft de bevestiging dat de ontvanger een “onderneming is die een systeem heeft opgezet dat voldoet aan de normen”, is het nu verplicht voor de partij die de gegevens overdraagt om “de nodige maatregelen voor de bescherming van persoonsgegevens” te nemen en deze informatie te verstrekken op verzoek van de betrokkene.

De noodzakelijke maatregelen die de overdragende partij moet nemen, omvatten specifiek “het beheer van de juiste behandeling en dergelijke bij de ontvanger” en “de reactie in geval van risico’s voor de juiste behandeling bij de ontvanger”.

Naast de bekende EU-regeling voor de bescherming van persoonsgegevens, de GDPR (Algemene Verordening Gegevensbescherming), en de CBPR-systemen van het Verenigd Koninkrijk en de APEC, hebben veel landen hun eigen systemen voor de bescherming van persoonsgegevens. Afhankelijk van de zakelijke situatie, kan het nodig zijn om deze van tevoren te begrijpen en erop te anticiperen.

Als er geen verplichtingen of rechten van de betrokkene bestaan die in overeenstemming zijn met de “8 principes van de privacyrichtlijnen van de OESO (Organisatie voor Economische Samenwerking en Ontwikkeling)”, moet deze informatie aan de betrokkene worden verstrekt. Dit is omdat het de essentiële verschillen aantoont met de Japanse “Wet op de bescherming van persoonsgegevens”.

Er wordt aangenomen dat sommige landen strengere systemen voor de bescherming van persoonsgegevens hebben dan Japan, dus het is belangrijk om deze te onderzoeken en te begrijpen. Voor meer informatie, zie de informatie over internationale relaties van de Personal Information Protection Commission.

In de gewijzigde wet kan de Personal Information Protection Commission nu ook rapporten verzamelen, bevelen uitvaardigen en inspecties uitvoeren tegen buitenlandse bedrijven, ondersteund door sancties, om gelijke voorwaarden met binnenlandse bedrijven te waarborgen.

Om effectief gezag uit te oefenen over binnenlandse en buitenlandse bedrijven en om een eerlijke procedure te waarborgen, zijn er specifieke procedures voor de betekening van documenten (zoals consulaire betekening en openbare betekening). Vanwege de relatie met buitenlandse soevereiniteit, kan de uitoefening van openbaar gezag binnen het grondgebied van een ander land niet plaatsvinden zonder de toestemming van dat land, dus het beleid is om indien nodig samen te werken met buitenlandse autoriteiten (er is geen verplichting om een vertegenwoordiger aan te stellen zoals in de GDPR).

Samenvatting: Neem contact op met een advocaat voor maatregelen tegen de wijziging van de Wet Bescherming Persoonsgegevens

We hebben de belangrijkste punten van de gewijzigde Japanse Wet Bescherming Persoonsgegevens (2022) en de noodzakelijke praktische reacties voor bedrijven uitgelegd. Naast de wijzigingen die hier zijn besproken, zijn er nog veel meer zaken waar bedrijven die persoonlijke informatie verwerken rekening mee moeten houden.

Wereldwijd worden de regelgevingen voor het gebruik van persoonlijke gegevens steeds strenger. Vooral bedrijven die diensten aanbieden op het internet moeten, gezien het feit dat hun websites wereldwijd toegankelijk zijn, voldoen aan deze regelgevingen.

Bedrijven moeten niet alleen aandacht besteden aan de wijzigingen in de Japanse Wet Bescherming Persoonsgegevens, maar ook aan wereldwijde trends, en hun beheersystemen voor persoonlijke informatie herzien. Als u problemen ondervindt bij het aanpassen aan de wijzigingen in de Wet Bescherming Persoonsgegevens, raden wij u aan om een advocaat te raadplegen.

Informatie over onze maatregelen

Monolith Law Office is een advocatenkantoor met hoge expertise in IT, met name internet en recht. Tegenwoordig is het lekken van persoonlijke informatie een groot probleem. In het onwaarschijnlijke geval dat persoonlijke informatie lekt, kan dit een fatale impact hebben op bedrijfsactiviteiten. Ons bedrijf heeft gespecialiseerde kennis over preventie en maatregelen tegen informatie lekken. Details worden beschreven in het onderstaande artikel.

Behandelde gebieden van Monolith Law Office: Wetgeving in verband met de bescherming van persoonlijke informatie[ja]