MONOLITH LAW OFFICE+81-3-6262-3248Vardagar 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Är det lagligt att köpa kundinformation? En förklaring av den japanska lagen om skydd av personuppgifter

General Corporate

Är det lagligt att köpa kundinformation? En förklaring av den japanska lagen om skydd av personuppgifter

Den 30 maj 2017 (Heisei 29) trädde den “reviderade japanska lagen om skydd av personuppgifter” i kraft i sin helhet, vilket innebär att alla företag som hanterar personuppgifter nu omfattas av denna lag som “personuppgiftsansvariga”.

Denna lag gäller även för företag som har erhållit personuppgifter genom att till exempel köpa register, vilket innebär att alla som överväger att köpa kundinformation måste vara medvetna om de förfaranden, skyldigheter och förbud som gäller för köp och användning av personuppgifter.

I den här artikeln kommer vi att gå igenom detaljerna och viktiga punkter i den japanska lagen om skydd av personuppgifter, från inköp till användning av kundinformation.

Vad är lagen om skydd av personuppgifter?

Vad är lagen om skydd av personuppgifter?

Det formella namnet på lagen om skydd av personuppgifter är “Lagen om skydd av personuppgifter” (Japanska: 個人情報の保護に関する法律). Sedan den infördes 2003 (Gregorianska kalendern: 2003), har den ändrats flera gånger för att anpassa sig till förändringar i tiden, såsom digitaliseringen av information.

Denna lag syftar inte till att begränsa användningen av personuppgifter, utan dess huvudsyfte är att “skydda” och “korrekt använda” personuppgifter, som följande:

Syftet med lagen om skydd av personuppgifter

  • Att skydda individens rättigheter och intressen samt fastställa korrekta regler för användning av personuppgifter
  • Att fastställa skyldigheter och straff för företag som hanterar personuppgifter

Definitionen av personuppgifter

Enligt lagen om skydd av personuppgifter, är “personuppgifter” information som gäller en levande individ och som uppfyller något av följande kriterier:

  1. Information som kan identifiera en specifik individ genom namn, födelsedatum och andra beskrivningar som ingår i informationen
  2. Information som innehåller en personlig identifieringskod

Vad är en personlig identifieringskod?

En personlig identifieringskod är en kod som kan identifiera en specifik individ och som består av tecken, nummer, symboler eller andra koder som uppfyller något av följande kriterier och som specificeras individuellt genom förordningar och regler:

  • Koder som omvandlar egenskaper hos en del av kroppen för en dator (DNA, ansikte, iris, röstavtryck, gångstil, fingerådror, fingeravtryck, handflataavtryck etc.)
  • Koder som tilldelas varje individ för användning av tjänster eller i dokument (passnummer, grundpensionsnummer, körkortsnummer, bostadsregistreringskod, “My Number” (ett japanskt personnummer), olika försäkringskort etc.)

Om du vill veta mer om lagen om skydd av personuppgifter, vänligen se den detaljerade beskrivningen nedan tillsammans med denna artikel.

Relaterad artikel: Vad är lagen om skydd av personuppgifter och personuppgifter? En advokat förklarar[ja]

Är köp och försäljning av kundinformation lagligt?

För allmänna företag, med undantag för statliga institutioner och offentliga organisationer, är köp och försäljning av kundinformation inte olagligt så länge de följer den japanska lagen om skydd av personuppgifter (Japanese Personal Information Protection Law).

Procedurer vid tillhandahållande av personuppgifter till tredje part

När ett företag tillhandahåller en databas med personuppgifter till en tredje part, är följande procedurer obligatoriska.

Principen om att få samtycke i förväg

Det finns dock undantag i följande fall:

① När det är baserat på lag
② När det är svårt att få samtycke och det är nödvändigt för att skydda människors liv, kropp och egendom, eller för att främja folkhälsan och barns sunda uppfostran
③ När det är nödvändigt att samarbeta med staten eller lokala offentliga organisationer

Tillhandahållande till tredje part genom opt-out-proceduren

När ett företag tillhandahåller personuppgifter till en tredje part och det finns en begäran från personen att stoppa tillhandahållandet till tredje part (opt-out), kan tillhandahållandet till tredje part bli möjligt även utan personens samtycke genom följande procedurer.

Informera personen i förväg om följande ① till ⑤, eller se till att personen lätt kan få reda på det, till exempel på en webbsida, och rapportera det till den japanska kommissionen för skydd av personuppgifter (Japanese Personal Information Protection Commission).

① Att tillhandahållandet till tredje part är syftet med användningen.
② Vilka personuppgifter som kommer att tillhandahållas till tredje part
③ Metoden för tillhandahållande till tredje part
④ Att tillhandahållandet av personuppgifter till tredje part kommer att stoppas på begäran av personen.
⑤ Hur man tar emot begäran från personen

Det är viktigt att notera att för “känslig personlig information”, såsom ras, tro, social status, medicinsk historia och brottsregister, som kan leda till orättvis diskriminering eller fördomar om de blir kända för andra, är principen att endast samtycke i förväg gäller för tillhandahållande till tredje part.

Vad man bör tänka på när man köper kundinformation

Vad man bör tänka på när man köper kundinformation

Skyldigheter enligt lag

När du köper kundinformation blir du också en “personuppgiftsansvarig”, vilket innebär att du har vissa skyldigheter enligt lag när du tar emot personuppgifter från tredje part, som till exempel registerförare.

När du köper kundinformation måste du kontrollera följande två punkter:

  • Registerförarens namn, adress och representant
  • Hur registerföraren har erhållit personuppgifterna

När du köper kundinformation måste du registrera följande punkter och bevara dem i tre år:

  • Datumet då du mottog personuppgifterna
  • Registerförarens namn, adress och representant
  • Hur registerföraren har erhållit personuppgifterna
  • Den identifierande informationen för den person som identifieras av personuppgifterna, inklusive namn och andra relevanta detaljer
  • Typen av personuppgifter
  • I fall där tredje part tillhandahåller information genom en opt-out-procedur, bör det noteras att nödvändig information har offentliggjorts av den japanska personuppgiftsskyddskommittén (Japanese Personal Information Protection Commission).

※ Du kan kontrollera opt-out-proceduren på den japanska personuppgiftsskyddskommitténs webbsida[ja].

Kontroll av insamling av kundinformation

När du köper kundinformation bör du också kontrollera hur registerföraren har samlat in informationen. Även om du köper kundinformation lagligt, om insamlingsmetoden var olaglig, kan du bli utsatt för skadeståndskrav.

Det är naturligtvis olagligt för registerförare att samla in kundinformation genom bedrägeri eller andra olagliga metoder, men det finns också andra skyldigheter att uppfylla vid insamling, så se till att du kontrollerar följande innan du köper:

  • Har de specificerat syftet med användningen på ett konkret sätt?
  • Har de offentliggjort det specificerade syftet, eller har de meddelat det till personen i fråga?
  • Om de använder den insamlade personliga informationen för ett annat syfte, har de fått personens samtycke?
  • När de tar emot personuppgifter från en tredje part, har de förutom att kontrollera givarens namn och adress, också kontrollerat hur personuppgifterna erhölls, och har de registrerat mottagningsdatumet, kontrollpunkterna etc. och bevarat dem i tre år?
  • Innehåller det någon “känslig personinformation” för vilken personens samtycke alltid krävs?

Om du vill veta mer om läckage av personuppgifter och skadestånd, se den detaljerade beskrivningen nedan tillsammans med denna artikel.

Relaterad artikel: Riskerna med läckage av personuppgifter och skadestånd för företag[ja]

Det du bör följa när du använder kundinformation

Överskrid inte användningsomfånget

Det är olagligt för listföretag och liknande att använda kundinformation utöver det omfång som de har fått samtycke till. Om du vill använda informationen för ett annat syfte måste du få samtycke på nytt.

När du använder det för försäljningssamtal

När du gör “telefonförsäljning”, det vill säga, ringer upp för att föreslå produkter eller tjänster och syftar till att sluta ett köp- eller försäljningsavtal, finns det följande regleringar enligt den japanska lagen om specifik handel (Japanese Act on Specified Commercial Transactions).

Informera konsumenten om följande innan du föreslår

  • Företagsnamn
  • Namnet på den person som gör förslaget
  • Typen av produkt (rättigheter, tjänster) du vill sälja
  • Att syftet är att föreslå att sluta ett avtal

Förbjudna handlingar

  • Att föreslå igen till någon som redan har avvisat
  • Att ge en förklaring som skiljer sig från sanningen
  • Att medvetet undanhålla sanningen
  • Att skrämma eller förvirra den andra parten

När du använder det för e-postdistribution

Enligt den japanska lagen om specifik elektronisk post (Japanese Act on Regulation of Transmission of Specified Electronic Mail), är det i princip förbjudet att skicka e-post för reklam eller marknadsföring till någon annan än de som har meddelat att de önskar att få sådan e-post, eller de som har samtyckt till att få den.

Även om listföretag och liknande har fått ovanstående meddelande eller samtycke, kan det vara svårt att använda e-post eftersom köparen av listan måste få ett nytt meddelande eller samtycke.

Skyldighet att vidta säkerhetsåtgärder

När du samlar in kundinformation blir du en personuppgiftsansvarig och är skyldig att vidta de åtgärder som krävs för att förhindra läckage, förlust eller skada på personuppgifter.

Du måste också övervaka de anställda som faktiskt hanterar personuppgifter på ett lämpligt och nödvändigt sätt för att säkerställa säker hantering av sådan information.

Sammanfattning

Är det lagligt att köpa kundinformation?

Den här gången har vi förklarat förhållandet mellan köp av kundinformation och den japanska lagen om skydd av personuppgifter (Personuppgiftsskyddslagen) i fyra delar:

  1. Vad är den japanska lagen om skydd av personuppgifter?
  2. Är det lagligt att köpa och sälja kundinformation?
  3. Vad man bör tänka på när man köper kundinformation
  4. Vad man bör tänka på när man använder kundinformation

Men när du handlar med konsumenter utomlands via internet och liknande, måste du inte bara kontrollera japansk lag, utan också lagstiftningen i varje land.

Därför, om du faktiskt överväger att köpa eller använda kundinformation, rekommenderar vi att du inte gör det på egen hand, utan konsulterar en advokat med omfattande kunskap och erfarenhet i förväg och tar emot råd.

Introduktion till våra åtgärder på vår byrå

Monolis Juridiska Byrå är en advokatbyrå med hög expertis inom IT, särskilt internet och lag. På senare år har “Japanska personuppgiftslagen” fått mycket uppmärksamhet, och behovet av juridisk granskning ökar allt mer. Vi beskriver detaljerna i artikeln nedan.

https://monolith.law/practices/corporate[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Tillbaka till toppen