Förklaring av viktiga punkter om 'Företagets skyldigheter' enligt den reviderade 'Japanska lagen om skydd av personuppgifter' i Reiwa 4 (2022)
Från och med april 2022 (2022年4月) har den reviderade japanska lagen om skydd av personuppgifter (改正個人情報保護法) trätt i kraft. Denna lag syftar till att säkerställa korrekt hantering av personuppgifter, samtidigt som den tar hänsyn till nyttan med personuppgifter och skyddar individens rättigheter och intressen. Men vilka specifika förändringar medför genomförandet av den reviderade japanska lagen om skydd av personuppgifter? I denna artikel kommer vi att förklara hur individens rättigheter och företagens skyldigheter har förändrats.
Ändringar och bakgrund till lagen om skydd av personuppgifter
Lagen om skydd av personuppgifter, som antogs 2003 och trädde i kraft 2005, ändrades 2015, tio år efter att den trätt i kraft, med motiveringen att “utvecklingen av informationsteknik har gjort det möjligt att använda personuppgifter på ett sätt som inte förutsågs vid tidpunkten för lagens införande”. Denna ändring trädde i kraft 2017.
I denna ändring från 2017 infördes en “regel om översyn vart tredje år”, som innebär att “innehållet ska ses över vart tredje år med hänsyn till internationella trender, framsteg inom informationsteknik och situationen för skapandet och utvecklingen av nya industrier”.
Relevanta bestämmelser i tillägget till den ändrade japanska lagen om skydd av personuppgifter 2017 (utdrag)
(Övervägande) Artikel 12
(Utelämnat)
2 Regeringen ska, med sikte på tre år efter lagens ikraftträdande, överväga förbättringar med hänsyn till situationen för personalresurser som behövs för att effektivt genomföra den grundläggande politiken för skydd av personuppgifter och främjandet av andra uppgifter som faller under jurisdiktionen av den japanska dataskyddsmyndigheten, samt säkerställandet av finansiella resurser och andra åtgärder, och vid behov vidta nödvändiga åtgärder baserat på resultaten av denna övervägning.
3 Utöver de frågor som anges i föregående stycke ska regeringen, med sikte på tre år efter lagens ikraftträdande, överväga situationen för genomförandet av den nya japanska lagen om skydd av personuppgifter, med hänsyn till internationella trender inom skydd av personuppgifter, framsteg inom informationsteknik och situationen för skapandet och utvecklingen av nya industrier som använder personuppgifter, och vid behov vidta nödvändiga åtgärder baserat på resultaten av denna övervägning.
4, 5 (Utelämnat)
6 Regeringen ska, med hänsyn till situationen för genomförandet av den nya japanska lagen om skydd av personuppgifter, genomförandet av åtgärderna i första stycket och andra omständigheter, överväga hur lagstiftningen om skydd av personuppgifter ska vara, inklusive att sammanfatta bestämmelserna om skydd av personuppgifter och personuppgifter som innehas av administrativa organ och andra i enlighet med artikel 2.1 i den nya japanska lagen om skydd av personuppgifter.
Ändringen av den japanska lagen om skydd av personuppgifter 2022 (Reiwa 4) är den första lagändringen baserad på denna “regel om översyn vart tredje år”.
Relaterad artikel: Vad är lagen om skydd av personuppgifter och personuppgifter? En advokat förklarar[ja]
Översikt över ändringarna i den japanska personuppgiftslagen (Reiwa 4 år, 2022)
Ändringarna i den japanska personuppgiftslagen 2022 omfattar följande sex punkter:
- Individens rättigheter
- Företagens skyldigheter att skydda
- System för att uppmuntra företag att ta egna initiativ
- Användning av data
- Bestraffningar
- Tillämpning av lagen utanför dess jurisdiktion och gränsöverskridande överföringar
I denna artikel kommer vi att diskutera punkterna 1 och 2.
Relaterad artikel: Förklaring av ‘straff’ i ändringarna av den japanska personuppgiftslagen (Reiwa 4 år, 2022)[ja]
Individens rättigheter
Följande fem punkter om individens rättigheter har ändrats.
Utökning av individens rätt att begära upphörande av användning och radering (Artikel 30 i den japanska personuppgiftslagen)
Enligt den nuvarande lagen var individens rätt att begära upphörande av användning och radering begränsad till fall där “personuppgifter användes för andra ändamål” eller “skaffades genom olagliga medel”. Men enligt den ändrade lagen kan man nu också begära upphörande av användning, radering och upphörande av tredjepartsleveranser när “det inte längre finns något behov för företaget att använda de personuppgifter som det innehar”, “det har skett ett läckage” eller “det finns en risk att individens rättigheter eller legitima intressen skadas”.
Metod för att avslöja personuppgifter som innehas (Artikel 28 i den japanska personuppgiftslagen)
Om du är den berörda personen kan du begära att företaget som hanterar dina personuppgifter avslöjar de personuppgifter som det innehar. När en sådan begäran tas emot måste företaget i princip avslöja de personuppgifter som det innehar. Enligt den nuvarande lagen skedde avslöjandet av personuppgifter i princip skriftligen. Men det finns situationer där det inte är lämpligt att leverera på papper när det finns en stor mängd information, och dessutom finns det data som inte är lämpligt att leverera på papper, som video- och ljuddata. Därför kan du enligt den ändrade lagen begära att “avslöjandet sker på det sätt som du anger”, till exempel genom att tillhandahålla elektroniska register. Företaget som hanterar personuppgifter är skyldigt att avslöja på det sätt som den berörda personen har begärt.
Företag som hanterar personuppgifter uppmanas att snabbt bygga upp ett system för att hantera begäranden om avslöjande av digital data.
Begäran om avslöjande av tredjepartsleveransregister av den berörda personen (Artikel 28, paragraf 5 i den japanska personuppgiftslagen)
Företag som hanterar personuppgifter måste skapa ett register som fastställts i lag när de tillhandahåller personuppgifter till en tredje part, och de som tar emot tredjepartsleveranser måste också skapa ett register som fastställts i lag. Dessa register för tredjepartsleveranser av personuppgifter och register för bekräftelse vid mottagande av tredjepartsleveranser av personuppgifter kallas tillsammans “tredjepartsleveransregister”.
Enligt den nuvarande lagen kunde den berörda personen inte begära att företaget avslöjar det tredjepartsleveransregister som det hade skapat, men enligt den ändrade lagen kan den berörda personen nu begära att tredjepartsleveransregistret avslöjas, vilket tar hänsyn till möjligheten att den berörda personen kan spåra det.
Inkludering av korttidslagrade data i personuppgifter som innehas (Artikel 2, paragraf 7 i den japanska personuppgiftslagen)
Enligt den nuvarande lagen definieras personuppgifter som innehas som “personuppgifter som företaget som hanterar personuppgifter har befogenhet att avslöja, korrigera, lägga till eller radera innehållet i, upphöra med användningen av, radera och upphöra med att tillhandahålla till en tredje part”, “de som skadar allmänheten eller andra intressen genom att deras existens blir känd”, eller “de som ska raderas inom en period som fastställts i en förordning inom ett år”, med undantag för “en period som fastställts i en förordning inom ett år”, vilket var sex månader.
Men även om de raderas inom en kort tid kan det uppstå läckage under tiden fram till radering, så i den ändrade lagen inkluderas även korttidslagrade data som raderas inom sex månader i “personuppgifter som innehas”.
Begränsning av omfattningen av opt-out-bestämmelsen (Artikel 23, paragraf 2 i den japanska personuppgiftslagen)
Opt-out-bestämmelsen är ett system där “personuppgifter kan tillhandahållas till en tredje part utan den berörda personens samtycke, förutsatt att tillhandahållandet upphör om den berörda personen begär det, efter att ha offentliggjort objektet för personuppgifterna som ska tillhandahållas”, men enligt den nuvarande lagen var endast känsliga personuppgifter undantagna.
Enligt den ändrade lagen begränsas omfattningen av personuppgifter som kan tillhandahållas till en tredje part, och “personuppgifter som har skaffats olagligt” och “personuppgifter som har tillhandahållits genom opt-out-bestämmelsen” är också undantagna.
Skyldigheter som företag bör uppfylla
Det har skett två ändringar gällande skyldigheter som företag bör uppfylla.
Skyldighet att rapportera läckor (Artikel 22, paragraf 2)
Enligt den nuvarande lagen finns det ingen lagstadgad skyldighet att rapportera läckor, vilket har lett till att vissa företag inte har agerat proaktivt. Om ett företag inte offentliggör en incident kan den japanska personuppgiftsmyndigheten (Japanese Personal Information Protection Commission) förbli omedveten om situationen och kanske inte kunna agera på lämpligt sätt. Enligt den reviderade lagen är det nu obligatoriskt att rapportera till personuppgiftsmyndigheten och meddela den berörda individen om det finns en stor risk att en läcka skadar individens rättigheter och intressen.
Incidenter som omfattas av skyldigheten att rapportera läckor inkluderar “läckor av känslig personlig information”, “läckor orsakade av obehörig åtkomst” och “läckor som kan leda till ekonomisk skada”, oavsett antalet fall, samt “stora läckor” som överstiger 1 000 fall.
Förbud mot användning genom olämpliga metoder (Artikel 16, paragraf 2)
Med den snabba utvecklingen av dataanalysteknik har det blivit möjligt att använda personuppgifter på sätt som potentiellt kan kränka individens rättigheter och intressen, vilket har ökat konsumenternas oro. Som svar på detta har den reviderade lagen klargjort att personuppgifter inte får användas på olämpliga sätt som främjar olagliga eller orättvisa handlingar.
“Olämpliga metoder som främjar olagliga eller orättvisa handlingar” inkluderar “att tillhandahålla personuppgifter till tredje part som bedriver olaglig verksamhet” och “att samla och databasera personuppgifter som har spridits genom domstolsmeddelanden etc., trots att det är fullt möjligt att förutse att detta kan leda till diskriminering, och att offentliggöra detta på internet”. Detta antyder att ganska allvarliga fall är tänkta att omfattas.
Sammanfattning
I denna artikel har vi diskuterat ändringspunkterna 1 och 2. Ändringspunkterna 3, 4, 5 och 6 kommer att diskuteras i en separat artikel.
Relaterad artikel: Förklaring av ‘straff’ i den reviderade japanska personuppgiftslagen år 2022 (Reiwa 4 år)[ja]
Information om åtgärder från vår byrå
Monolis juridiska byrå är en advokatbyrå med hög expertis inom IT, särskilt internet och lag. Den nyligen reviderade ‘Japanese Personal Information Protection Law’ (Japans lag om skydd av personuppgifter) har fått mycket uppmärksamhet, och behovet av juridisk granskning ökar allt mer. Vår byrå erbjuder lösningar relaterade till immateriella rättigheter. Mer information finns i artikeln nedan.