Hva er GDPR? En sammenligning med 'Japanese Personal Information Protection Law' og viktige punkter japanske bedrifter bør være oppmerksomme på
Når man utvider virksomheten til EU-området, er det nødvendig å ha en omfattende forståelse av GDPR (General Data Protection Regulation). GDPR kan også gjelde for japanske selskaper som ikke har etablert seg i EU. Skaff deg grunnleggende kunnskap om GDPR og den japanske personvernloven, og sørg for riktig databehandling.
I denne artikkelen vil vi forklare GDPR i sammenligning med den japanske personvernloven og hvilke punkter japanske selskaper bør være oppmerksomme på. Hvis du er en juridisk ansvarlig som vurderer om det er nødvendig å endre reglene for databeskyttelse, eller ønsker å kjenne til lovene som må tas hensyn til for å utvide virksomheten til EU, bør du definitivt ta en titt på denne artikkelen.
Hva er GDPR (EU’s generelle databeskyttelsesforordning)?
“GDPR (General Data Protection Regulation)” er en regel fastsatt av Den europeiske union (EU) som også er kjent som “Generell databeskyttelsesforordning” i Japan, og den omhandler håndtering av personopplysninger (personvern).
Den setter strenge standarder for håndtering av personopplysninger innenfor EU og har som mål å styrke beskyttelsen av personvern.
Ut fra et personvernperspektiv gir den retningslinjer for hvordan bedrifter og organisasjoner bør håndtere data, og hvordan enkeltpersoner kan beskytte sin egen informasjon.
Referanse: Personvernkomiteen | “Generell databeskyttelsesforordning (GDPR) foreløpig japansk oversettelse“
Grunnprinsippene i GDPR er som følger:
- Lovlighet, rettferdighet og gjennomsiktighet
- Begrensning av formål
- Data-minimering
- Nøyaktighet
- Begrensning av lagring
- Integritet og konfidensialitet
Vi vil forklare hvert av de grunnleggende prinsippene nedenfor.
Lovlighet, rettferdighet og gjennomsiktighet
Blant de grunnleggende prinsippene i GDPR står lovlighet, rettferdighet og gjennomsiktighet øverst.
Når en virksomhet samler inn og behandler personopplysninger, må det være basert på et lovlig og legitimt grunnlag, og det er nødvendig å kommunisere klart til de berørte hvordan deres data blir behandlet.
I tillegg må virksomheter eksplisitt gi informasjon om personvern og sikre gjennomsiktighet slik at de berørte kan forstå og kontrollere hvordan deres data håndteres.
Begrensning av bruksformål
Begrensning av bruksformål innebærer at innsamling og behandling av data skal skje kun for spesifikke og klart definerte formål.
Virksomheter som samler inn personopplysninger må tydelig og konkret informere de berørte om formålet, og sikre seg deres uttrykkelige samtykke. Videre er det et krav at virksomheten begrenser bruken av innsamlede data til kun de formålene som det er innhentet samtykke for, og at de håndterer dataene med streng kontroll.
Minimering av personopplysninger
Innsamling av personopplysninger bør begrenses til det som er nødvendig for å oppnå det angitte formålet (minimering). Samle kun inn personopplysninger som er passende for det forespurte formålet, og unngå å samle inn overflødig informasjon.
Dette bidrar til å holde mengden av lagrede personopplysninger på et minimum og beskytter individets personvern.
Nøyaktighet
I henhold til GDPRs grunnleggende prinsipper, må personopplysninger være nøyaktige. Ukorrekte personopplysninger skal korrigeres, og det skal treffes tiltak for å opprettholde oppdatert og korrekt informasjon.
Dette sikrer at individets rettigheter og interesser beskyttes, og at behandlingen av personopplysninger er basert på nøyaktig informasjon.
Begrensninger i lagring av opplysninger
Et av de grunnleggende prinsippene i GDPR (General Data Protection Regulation) er konseptet om begrensninger i lagring av opplysninger. Personopplysninger som ikke lenger er nødvendige etter at formålet er oppnådd, bør slettes umiddelbart.
Ved å unngå lagring av unødvendige personopplysninger, sikrer vi riktig håndtering av personopplysninger og beskyttelse av personvernet.
Integritet og konfidensialitet
Personopplysninger må være komplette og konfidensialiteten må opprettholdes. Personopplysninger skal beskyttes mot forfalskning og tap, og det bør iverksettes passende tiltak for å beskytte mot uautorisert tilgang.
Dette vil på sin side forbedre påliteligheten til personopplysningene.
Gjelder GDPR kun for bedrifter innenfor EU?
GDPR gjelder ikke bare for bedrifter innenfor EU. Japanske bedrifter kan også være underlagt GDPR. Vi vil forklare de fire hovedkategoriene av bedrifter som GDPR gjelder for.
Bedrifter som GDPR gjelder for | Oversikt |
Bedrifter med etablissementer i EU | “Behandlingsansvarlig” | En organisasjon som bestemmer formålet med og midlene for databehandling, og som har eierskap til dataene, kalles en behandlingsansvarlig. For eksempel, bedrifter med hovedkontor eller filialer i EU faller inn under denne kategorien. Behandlingsansvarlige har ansvar for å sikre lovlig og transparent databehandling. |
Bedrifter som behandler personopplysninger på vegne av EU-bedrifter | “Databehandler” | Når en bedrift innenfor EU outsourcer databehandling til en annen bedrift, blir den sistnevnte en “databehandler” og dermed underlagt GDPR. Databehandlere har også ansvar for å sikre datasikkerhet og lovlig behandling. |
Bedrifter som tilbyr varer eller tjenester til personer i EU | Bedrifter som tilbyr nettbutikker eller nettjenester faller inn under denne kategorien. Behandlingen av data relatert til de tilbudte varene eller tjenestene må overholde GDPR-standardene. |
Bedrifter som overvåker personer i EU | Overvåking refererer til langvarig sporing av enkeltpersoners atferd eller tilstand. For eksempel, bedrifter som driver med overvåkingskameraer eller sporing av online atferd faller inn under denne kategorien, og det kreves lovlig håndtering av data. |
Bedrifter som er underlagt GDPR, kreves å sikre lovlig og transparent databehandling, datasikkerhet, og å overholde GDPR-standardene.
Relatert artikkel: Hva skjer når GDPR gjelder utenfor EU? Vi forklarer hvordan du kan håndtere det[ja]
Håndtering av personopplysninger i henhold til GDPR
GDPR gir et rammeverk for beskyttelse av personvern og for fri flyt av data når det gjelder håndtering av personopplysninger.
Formålet og prinsippene for denne forordningen er å sikre beskyttelsen av grunnleggende rettigheter og friheter, spesielt respekten for privatlivets fred, og å fremme fri flyt av personopplysninger (GDPR artikkel 4). |
GDPR beskytter kontroll og respekt for personopplysninger samtidig som den fremmer dataflyt og sikrer pålitelighet gjennom passende forvaltning.
For dette er det viktig med transparens i databehandlingen og et ansvarsbevisst næringsliv, og bedrifter er pålagt å håndtere data på en passende måte i henhold til regelverket.
GDPR inneholder også følgende bestemmelser:
Når en virksomhet som er underlagt GDPR håndterer personopplysninger, kreves det i utgangspunktet samtykke fra den registrerte (GDPR artikkel 6(1)(a)). |
Behandlingsansvarlig må kunne bevise at den registrerte har samtykket til behandlingen av personopplysningene (GDPR artikkel 7(1)). |
I tillegg kan den registrerte når som helst trekke tilbake sitt samtykke til behandlingen av personopplysninger (GDPR artikkel 7(3)). |
Det finnes imidlertid tilfeller der håndtering av personopplysninger er tillatt selv uten den registrertes samtykke. Konkrete eksempler er som følger:
- Når det er nødvendig for å oppfylle en kontrakt der den registrerte er part.
- Når det er nødvendig for å treffe tiltak på den registrertes forespørsel før inngåelse av en kontrakt.
- Når det er nødvendig for at behandlingsansvarlig skal kunne overholde en rettslig forpliktelse.
- Når det er nødvendig for å beskytte den registrertes eller en annen persons vitale interesser.
- Når det er nødvendig av hensyn til offentlig interesse eller for å utføre en oppgave i offentlig myndighets interesse.
- Når det er nødvendig for formål knyttet til legitime interesser forfulgt av behandlingsansvarlig eller en tredjepart, forutsatt at dette ikke går på bekostning av den registrertes rettigheter, interesser og friheter (en avveining er nødvendig).
De viktigste rettighetene knyttet til personopplysninger i henhold til GDPR
I henhold til GDPR har subjektet for personopplysninger hovedsakelig følgende rettigheter:
- Rett til å få tilgang til egne personopplysninger
- Rett til å kreve retting eller sletting av egne personopplysninger
- Rett til å kreve begrensning av bruken av egne personopplysninger
- Rett til å protestere mot behandlingen av egne personopplysninger
Subjektet for personopplysninger har rett til å forstå hvordan deres informasjon blir brukt av tilbyderen. Hvis de føler at informasjonen er unøyaktig eller blir brukt på en upassende måte, kan de kreve at den blir rettet eller slettet, i tillegg til å kunne be om en midlertidig stans i bruken eller å fremme en innvending.
Hovedansvar for personopplysninger i henhold til GDPR
Mens individer har visse rettigheter når det gjelder deres personopplysninger, har bedrifter som samler inn og behandler disse opplysningene hovedsakelig følgende ansvar:
- Å etablere systemer og personellstrukturer som er i samsvar med GDPR for håndtering av personopplysninger
- Å føre registreringer av behandlingen av personopplysninger
- Å håndtere situasjoner der det forekommer brudd på personopplysninger
For at personopplysninger skal være tilstrekkelig beskyttet, er det viktig at bedrifter påtar seg disse ansvarsområdene.
I tillegg er det avgjørende at alle aktiviteter knyttet til databehandling blir nøye registrert, slik at de kan gjennomgås ved behov.
Hvis det oppstår et brudd på personopplysninger, har bedriften ansvar for å iverksette passende tiltak og informere de berørte partene.
Ved brudd på GDPR
Hvis en forvalter eller behandler bryter GDPR og påfører en datasubjekt skade, kan det føre til krav om erstatning (GDPR artikkel 82, avsnitt 1).
I tillegg kan brudd på GDPR føre til strenge konsekvenser. For eksempel kan det ilegges bøter fra EU som en reaksjon på overtredelsen, i henhold til GDPR artikkel 83 (GDPR artikkel 83).
Forskjellen mellom GDPR og den japanske personvernloven
Forskjellene mellom GDPR og den japanske personvernloven er hovedsakelig som følger:
- Beskyttelsesobjekter
- Respons ved brudd på personopplysninger
- Regler for oppnevning av representanter
- Sanksjoner ved overtredelse
Nedenfor vil vi forklare dette mer detaljert.
Beskyttelsesobjekter
GDPR og den japanske personvernloven varierer når det gjelder hvilke data som er beskyttet. GDPR beskytter personopplysninger som behandles innenfor EU i stor skala. Dette gjelder ikke bare bedrifter som er basert i EU, men også de som tilbyr varer eller tjenester til personer innenfor EU.
På den annen side varierer beskyttelsesobjektene i den japanske personvernloven fra land til land og region til region.
For eksempel er den japanske personvernloven rettet mot beskyttelse av personopplysninger som behandles innenlands, og beskyttelsen er i hovedsak begrenset til innenfor landets grenser.
Respons ved brudd på personopplysninger
Det er forskjeller mellom GDPR og den japanske personvernloven når det gjelder respons ved brudd på personopplysninger.
Under GDPR har bedrifter en plikt til å rapportere til tilsynsmyndigheten innen 72 timer etter at et datainnbrudd har funnet sted. De har også et ansvar for å informere den berørte personen raskt og tydelig.
I den japanske personvernloven kreves det også at man raskt varsler ved datainnbrudd, men fristen for rapporteringsplikten og innholdet i varselet varierer fra land til land og region til region.
Regler for oppnevning av representanter
GDPR og den japanske personvernloven har forskjellige regler for oppnevning av representanter.
Under GDPR kreves det samtykke fra foreldre eller lovlige representanter for behandling av barns personopplysninger. Når bedrifter som tilbyr nettjenester behandler personopplysninger til barn under 16 år, kreves det også foreldres samtykke.
Den japanske personvernloven krever også foreldres eller lovlige representanters samtykke for håndtering av barns personopplysninger, men aldersgrensen og metoden for å innhente samtykke varierer etter lovgivning.
Sanksjoner ved overtredelse
En annen forskjell mellom GDPR og den japanske personvernloven er sanksjonene som pålegges ved overtredelse.
Under GDPR kan overtredelser føre til bøter på opptil 4% av bedriftens totale årlige omsetning eller 20 millioner euro, avhengig av hva som er høyest.
Sanksjonene i den japanske personvernloven varierer fra land til land og region til region, men generelt karakteriseres de ved bøter eller juridisk ansvar. Størrelsen på bøtene varierer avhengig av overtredelsens natur og alvorlighetsgrad.
Punkter japanske bedrifter bør ta hensyn til i forhold til GDPR
Følgende bedrifter trenger å iverksette tiltak for GDPR:
- Bedrifter som har datterselskaper, filialer eller salgskontorer innenfor EU
- Bedrifter som tilbyr varer eller tjenester fra Japan til EU
- Bedrifter som behandler personopplysninger på vegne av bedrifter i EU
Som et eksempel på konkrete tiltak i bedrifter, anbefales kryptering som en form for databeskyttelsesteknologi i henhold til Artikkel 32 og preambel (83) i GDPR.
Derfor er det nødvendig å kryptere personopplysninger på klient-PCer, harddisker, USB-minnepinner, delte mapper og andre lagringsmedier.
I tillegg må personvernerklæringen endres for å være i samsvar med GDPR. For mer informasjon om GDPR-kompatible personvernerklæringer, se følgende artikkel.
Relatert artikkel: Hvordan lage en personvernerklæring som er i samsvar med GDPR[ja]
Oppsummering: Søk råd fra eksperter for GDPR-tiltak
GDPR beskytter personopplysninger som behandles innenfor EU i stor skala og krever lovlig og transparent behandling av data, samt sikring av datasikkerheten. Forskjellene mellom GDPR og den japanske loven om beskyttelse av personopplysninger inkluderer beskyttelsesomfang, håndtering av persondatainnbrudd, oppnevning av representanter og straff for overtredelser.
GDPR gjelder hovedsakelig for bedrifter som har etablert seg innenfor EU, bedrifter som tilbyr varer eller tjenester til personer i EU, og bedrifter som behandler personopplysninger på vegne av andre bedrifter i EU. Hvis du bryter GDPR, kan du risikere krav om erstatning og bøter, så det er viktig å være oppmerksom.
Det anbefales å konsultere en ekspert for å avgjøre om det er nødvendig å endre bedriftens regler for databeskyttelse for å overholde GDPR.
Veiledning om tiltak fra vår advokatfirma
Monolith Advokatfirma har rik erfaring med IT, og spesielt internett og jus. I de senere årene har global business vokst stadig mer, og behovet for juridisk sjekk av eksperter har økt tilsvarende. Vårt firma tilbyr løsninger relatert til internasjonal juridisk service.
Monolith Advokatfirmas tjenesteområder: Internasjonal juridisk service og utenlandske forretninger[ja]