Hva er 'Personvernloven' og 'personlig informasjon'? En advokat forklarer

Den japanske personvernloven (“Lov om beskyttelse av personopplysninger”), som ble revidert i 2015 (og trådte i kraft i 2017), er en viktig lov å ta hensyn til når man vurderer spørsmål om personopplysninger i bedriftsaktiviteter. Denne loven klargjør de juridiske forpliktelsene som påhviler de som håndterer personopplysninger. Frem til 2015 (Heisei 27 i den japanske kalenderen, 2015 i den gregorianske kalenderen) var det kun de som håndterte personopplysninger for mer enn 5000 personer som ble ansett som håndterere av personopplysninger. Dette betydde at mange bedrifter, som små bedrifter, ikke ble ansett som håndterere av personopplysninger. Men etter revisjonen i 2015 ble denne begrensningen fjernet, noe som betyr at nesten alle bedrifter nå er håndterere av personopplysninger. Dette gjør loven uunngåelig også for små bedriftseiere. For å drive med ting som netthandel, nyhetsbrev, direkte markedsføring og poengkort for fysiske butikker, er det nødvendig å håndtere personopplysninger som kundenes navn og e-postadresser. Derfor er det viktig å ha en grunnleggende forståelse av personvernloven.

Formålet og definisjonen av den japanske personvernloven

Hva er den japanske personvernloven konkret? La oss se på en oversikt. Først og fremst er formålet med denne loven klart definert i artikkel 1.

Artikkel 1 i den japanske personvernloven
Denne loven har som formål å beskytte individets rettigheter og interesser, samtidig som den tar hensyn til nytten av personlig informasjon, ved å fastsette plikter som virksomheter som håndterer personlig informasjon skal overholde, samt klargjøre statens og lokale offentlige enheters ansvar, i lys av den betydelige utvidelsen av bruken av personlig informasjon som følge av fremgangen i informasjons- og kommunikasjonssamfunnet. Dette skal bidra til å realisere en dynamisk økonomi og et rikt liv for borgerne gjennom riktig og effektiv bruk av personlig informasjon, som kan føre til opprettelsen av nye industrier.

Det står i loven.

I artikkel 2 er personlig informasjon, personlige data og beholdte personlige data definert (artikkel 2, avsnitt 1, 4 og 5).
“Personlig informasjon” i den japanske personvernloven er “informasjon om en levende person” som “kan identifisere en bestemt person ved hjelp av navn, fødselsdato og annen beskrivelse inkludert i slik informasjon (inkludert informasjon som kan identifisere en bestemt person ved å lett sammenligne den med annen informasjon).” “Personlige data” er en databasert versjon av den ovennevnte personlige informasjonen, og blant disse er de som virksomheten har beholdt i mer enn seks måneder, “beholdte personlige data”.

Behovet for å beskytte personlig informasjon varierer sterkt avhengig av om den er databasert eller ikke. Personlige data er systematisk strukturert personlig informasjon som er databasert og lett kan søkes, og derfor er det større sannsynlighet for brudd på rettigheter, så det gis sterkere beskyttelse enn generell personlig informasjon.

Enda sterkere beskyttelse gis til beholdte personlige data, som er personlige data som personopplysningsbehandlere har rett til å avsløre, korrigere, legge til eller slette innholdet i, stoppe bruken av, slette og stoppe levering til tredjeparter (artikkel 2, avsnitt 7). For beholdte personlige data er det tillatt å be om avsløring, korrigering, stans i bruk osv., med tanke på kravet om at den enkelte skal kunne delta på en passende måte i sin egen informasjon (som vil bli diskutert senere).

Regler for håndtering av personopplysninger

For å forhindre at personopplysninger blir brukt vilkårlig, er det nødvendig å begrense håndteringen av dem innenfor det området som er nødvendig for å oppnå det spesifiserte formålet, etter å ha klart identifisert formålet med bruken av personopplysninger som en regel for riktig håndtering.

Derfor, de som håndterer personopplysninger, må:

• Spesifisere formålet med bruken så mye som mulig når de håndterer personopplysninger (Artikkel 15, paragraf 1 i den japanske personvernloven)
• Ikke håndtere personopplysninger utover det området som er nødvendig for å oppnå formålet med bruken (Artikkel 16, paragraf 1 i den japanske personvernloven)
• Ikke skaffe personopplysninger ved hjelp av falske eller andre urettferdige metoder (Artikkel 17, paragraf 1 i den japanske personvernloven)
• Når personopplysninger er innhentet, må formålet med bruken varsles eller offentliggjøres til personen det gjelder (Artikkel 18 i den japanske personvernloven)

Personvernloven krever at virksomheter bruker personopplysninger de holder i samsvar med det formålet de har spesifisert og offentliggjort på forhånd. Med andre ord, det er nødvendig å “spesifisere og offentliggjøre formålet, uansett hvordan personopplysninger brukes”. For eksempel, det er ikke ulovlig i seg selv å “bruke personopplysninger for å vise annonser tilpasset brukerens attributter”, men du må offentliggjøre dette formålet på forhånd. Det er ingen spesifikk metode for offentliggjøring, men det er vanlig å gjøre dette i form av en “personvernpolicy” eller “retningslinjer for personvern”.

På den annen side, for såkalte sensitive opplysninger, som er personopplysninger som krever spesiell hensyn, er det forbudt å innhente dem uten samtykke fra personen det gjelder, noe som er en strengere regel enn for vanlige personopplysninger (Artikkel 17, paragraf 2 i den japanske personvernloven).

Personopplysninger som krever spesiell hensyn er definert som:

Artikkel 2, paragraf 3 i den japanske personvernloven
I denne loven betyr “personopplysninger som krever spesiell hensyn” personopplysninger som inneholder beskrivelser som er bestemt ved kongelig forordning som krever spesiell hensyn i håndteringen for å forhindre urettferdig diskriminering, fordommer og andre ulemper mot personen, som fakta om personens rase, tro, sosiale status, medisinsk historie, kriminell historie, og det faktum at personen har blitt skadet av en forbrytelse.

Dette inkluderer også resultater av funksjonshemming og helseundersøkelser, veiledning, medisinsk behandling, og reseptbelagte legemidler av leger, det faktum at straffeprosedyrer har blitt utført, og det faktum at prosedyrer relatert til ungdomsbeskyttelse har blitt utført.

Det er strenge regler som sier at du ikke engang kan “innhente” personopplysninger som krever spesiell hensyn uten samtykke fra personen det gjelder, med mindre det er visse unntak. Dette er fordi det antas at slike opplysninger, selv om det er lite sannsynlig at det er nødvendig å innhente dem, kan føre til diskriminering og fordommer hvis de blir innhentet og håndtert.

Regler for styring og tilsyn

Mange mennesker er bekymret og føler seg usikre på situasjoner der personopplysninger lekker ut eller blir endret. Dette er spesielt tilfelle med databaserte personopplysninger, da det har vært mange tilfeller der store mengder kundeinformasjon har lekket ut, noe som har skapt sosiale problemer. Derfor har virksomheter som håndterer personopplysninger en plikt til å ta nødvendige og passende tiltak (sikkerhetstiltak) for å sikre sikker håndtering av personopplysninger (Artikkel 20).

Brud på sikkerhetsforvaltningsplikten

I virkeligheten, i tilfeller der personopplysninger har lekket ut på nettet, er det ofte anerkjent at det har vært et brudd på sikkerhetsforvaltningsplikten. Innholdet i sikkerhetstiltakene som tar hensyn til egenskapene til små og mellomstore bedrifter er tydelig angitt i “Retningslinjer for personvernloven (generell del)” (Personvernkomiteen). Det er viktig å følge disse retningslinjene, ikke bare for å overholde Artikkel 20 i personvernloven, men også for å unngå å bli holdt ansvarlig for ulovlige handlinger på grunn av brudd på personvernet som følge av lekkasjer på internett.

Men uansett hvor godt systemer og prosedyrer er etablert, er det til syvende og sist opp til mennesker å operere dem på riktig måte. Derfor er det fastsatt at “virksomheter som håndterer personopplysninger, når de lar sine ansatte håndtere personopplysninger, må utføre nødvendig og passende tilsyn med de ansatte for å sikre sikker håndtering av personopplysninger” (Artikkel 21).

https://monolith-law.jp/corporate/trends-in-personal-information-leakage-and-loss-accidents-in-2019[ja]

Det er viktig å merke seg at salg eller fjerning av kundedata av ansatte ikke bare kan føre til at de ansatte selv blir holdt ansvarlig for ulovlige handlinger (Artikkel 709 i sivilloven), men også at virksomheten som håndterer personopplysninger kan bli holdt ansvarlig som arbeidsgiver (Artikkel 715 i sivilloven).

“Tredjepartslevering” og “outsourcing”

I personvernloven er det generelt forbudt å gi kundenes personopplysninger til “tredjeparter”, selv om det er for det formålet som er offentliggjort på forhånd, med mindre det er gitt samtykke. Men hvis vi følger denne regelen til punkt og prikke, vil det også være ulovlig å “lagre databaser med kundeinformasjon på leide servere”. Dette er fordi leide servere er “tredjeparter” for virksomheten.

Men “outsourcing” er unntatt fra “tredjepartslevering”, og det er tillatt å “outsource” til personer som ikke bruker informasjonen. For eksempel bruker leide servere bare informasjonen til lagring, de bruker den ikke. Slike tredjeparts håndtering av personopplysninger er ofte outsourcet, men for å forhindre situasjoner der håndteringen blir upassende av outsourcingpartneren, eller ansvar blir uklart på grunn av gjentatt lagdelt outsourcing, er det fastsatt at “når en virksomhet som håndterer personopplysninger outsourcer hele eller deler av håndteringen av personopplysninger, må den utføre nødvendig og passende tilsyn med outsourcingpartneren for å sikre sikker håndtering av personopplysningene” (Artikkel 22).

Regulering av personlig informasjonshåndtering gjennom individets involvering

Den japanske personvernloven (Personvernloven) tillater individer å be om tilgang til (Artikkel 28), korrigering, tillegg, sletting (Artikkel 29), og opphør av bruk (Artikkel 30) av deres personlige data som holdes av personopplysningsbehandlere, under visse forutsetninger, for å sikre riktig håndtering av personlig informasjon gjennom individets involvering. Det er klart fastslått at disse individuelle rettighetene er juridiske krav i privatretten, og hvis en personopplysningsbehandler ikke etterkommer en slik forespørsel, kan individet håndheve sine rettigheter gjennom rettssystemet.

Personopplysningsbehandlere er pålagt å gi tilgang til personlige data de holder, hvis det er en forespørsel fra individet. Hvis det er feil i informasjonen, må de rette den. Hvis de håndterer informasjonen på en måte som bryter med deres juridiske forpliktelser, som å bruke den til formål utenfor det opprinnelige formålet, skaffe den på en upassende måte, eller gi den til tredjeparter uten individets samtykke, må de opphøre bruken av informasjonen. Som nevnt ovenfor, søker den japanske personvernloven å beskytte borgerens rettigheter ved å pålegge forskjellige forpliktelser på de som håndterer personlig informasjon.

Straff for lekkasje av personopplysninger

I den japanske loven om personvern (Personvernloven) er det fastsatt straffer for virksomheter som lekker personopplysninger.

Hvis en virksomhet bryter den japanske personvernloven og lekker informasjon, vil de først få en “anbefaling om å stoppe bruddet og ta nødvendige tiltak for å rette opp i det” fra staten (Artikkel 42). Hvis de også bryter denne anbefalingen, kan de ansatte som brøt loven bli straffet med “fengsel i opptil 6 måneder eller en bot på opptil 300 000 yen” (Artikkel 84), og det er også en mulighet for at selskapet som ansatte dem kan bli bøtelagt “opptil 300 000 yen” (Artikkel 85). I tillegg, hvis de har levert eller stjålet informasjon med hensikt å oppnå urettmessig fortjeneste, kan de bli straffet med “fengsel i opptil ett år eller en bot på opptil 500 000 yen” uten noen anbefaling (Artikkel 83).

https://monolith-law.jp/corporate/risk-of-company-personal-information-leak-compensation-for-damages[ja]

Oppsummering

Den japanske personvernloven er en lov som krever at virksomheter som håndterer personopplysninger, tar passende og nødvendige tiltak for sikkerhetsstyring. Dette er en viktig lov som nesten alle bedrifter ikke kan unngå.