Vad är personuppgiftslagen och personuppgifter? En advokat förklarar
Den japanska personuppgiftslagen (‘Lagen om skydd av personuppgifter’), som ändrades 2015 (och trädde i kraft 2017), är en viktig lagstiftning att överväga när det gäller frågor om personuppgifter i företagsverksamhet. Den klargör de lagliga skyldigheterna för de företag som hanterar personuppgifter. Fram till 2015 (Heisei 27 i den japanska kalendern, 2015 i västerländsk kalender) var det bara företag som hanterade personuppgifter för mer än 5000 personer som omfattades av lagen. Detta innebar att många mindre företag inte ansågs vara företag som hanterade personuppgifter. Men efter ändringen 2015 togs detta krav bort, vilket innebär att nästan alla företag nu anses vara företag som hanterar personuppgifter. Detta gör lagen oundviklig även för småföretagare. För att kunna hantera kundinformation för e-handel, nyhetsbrev, direktmarknadsföring och lojalitetskort för fysiska butiker, är det nödvändigt att hantera personuppgifter som kundens namn och e-postadress. Därför är det viktigt att ha grundläggande kunskap om den japanska personuppgiftslagen.
Syftet och definitionen av den japanska personuppgiftslagen
Vad är den japanska personuppgiftslagen specifikt? Låt oss ta en titt på dess översikt. Först och främst klargörs syftet med denna lag i artikel 1.
Artikel 1 i den japanska personuppgiftslagen
Med tanke på att användningen av personuppgifter har ökat avsevärt i takt med framstegen inom informationsteknik, syftar denna lag till att skydda individens rättigheter och intressen genom att fastställa grundläggande principer och regeringens grundläggande politik för korrekt hantering av personuppgifter, samt genom att klargöra statens och lokala offentliga organens skyldigheter och fastställa de skyldigheter som företag som hanterar personuppgifter bör följa, samtidigt som man tar hänsyn till nyttan av personuppgifter, så att korrekt och effektiv användning av personuppgifter bidrar till skapandet av nya industrier och en dynamisk ekonomi och ett rikt liv för medborgarna.
Det står så.
I artikel 2 definieras personuppgifter, persondata och innehavda persondata (artikel 2, punkterna 1, 4 och 5).
I den japanska personuppgiftslagen är “personuppgifter” “information om en levande individ” som “kan identifiera en specifik individ genom namn, födelsedatum och annan beskrivning som ingår i den informationen (inklusive information som kan identifiera en specifik individ genom att den lätt kan matchas med annan information). “Persondata” är när ovanstående personuppgifter databaseras med en dator, och de som företaget har innehaft i mer än sex månader är “innehavda persondata”.
Behovet av att skydda personuppgifter varierar mycket beroende på om de är databaserade eller inte. Persondata är personuppgifter som har databaserats och systematiskt organiserats så att de lätt kan sökas, och eftersom risken för kränkning av rättigheter är högre, ges de starkare skydd än generella personuppgifter.
Ännu starkare skydd ges till innehavda persondata, vilket är persondata som personuppgiftshanterande företag har rätt att offentliggöra, korrigera, lägga till eller radera innehållet, stoppa användningen, radera och stoppa tillhandahållandet till tredje part (artikel 2, punkt 7). För innehavda persondata tillåts begäran om offentliggörande, korrigering, användningsstopp etc. med hänsyn till kravet att individen ska kunna delta på lämpligt sätt i sin egen information (som kommer att beskrivas senare).
Regler för hantering av personuppgifter
För att förhindra att personuppgifter används obehörigt, måste de hanteras enligt lämpliga regler. Det innebär att syftet med användningen av personuppgifter måste specificeras tydligt, och att hanteringen av dessa uppgifter måste begränsas till det som är nödvändigt för att uppnå detta syfte.
Enligt detta, måste företag som hanterar personuppgifter:
- Specificera syftet med användningen av personuppgifter så mycket som möjligt (Artikel 15, paragraf 1)
- Inte hantera personuppgifter utöver vad som är nödvändigt för att uppnå det angivna syftet (Artikel 16, paragraf 1)
- Inte skaffa personuppgifter genom bedrägeri eller andra olämpliga metoder (Artikel 17, paragraf 1)
- Om personuppgifter har erhållits, måste syftet med användningen meddelas eller offentliggöras för den berörda personen (Artikel 18)
Den japanska lagen om skydd av personuppgifter kräver att företag använder personuppgifter de innehar i enlighet med det syfte som har specificerats och offentliggjorts i förväg. Med andra ord, det är nödvändigt att “specificera och offentliggöra syftet med användningen av personuppgifter”. Till exempel, det är inte olagligt att “använda personuppgifter för att visa annonser som matchar användarens attribut”, men det är nödvändigt att offentliggöra detta syfte i förväg. Det finns ingen specifik metod för offentliggörande, men det är vanligt att göra detta genom en “sekretesspolicy” eller “policy för skydd av personuppgifter”.
Å andra sidan, för så kallade känsliga uppgifter, eller personuppgifter som kräver särskild hänsyn, är det förbjudet att skaffa dem utan personens samtycke, vilket är en strängare regel än för vanliga personuppgifter (Artikel 17, paragraf 2).
Personuppgifter som kräver särskild hänsyn definieras som:
Artikel 2, paragraf 3
I denna lag avses med “personuppgifter som kräver särskild hänsyn” personuppgifter som innehåller uppgifter som definieras genom förordning som kräver särskild hänsyn vid hantering för att förhindra orättvis diskriminering, fördomar och andra nackdelar mot personen, såsom ras, tro, social status, medicinsk historia, brottslig bakgrund, och det faktum att personen har lidit skada genom brott.
Detta inkluderar också uppgifter om funktionshinder, resultat av hälsokontroller, vägledning, medicinsk behandling, recept från läkare, genomförande av straffrättsliga förfaranden, och genomförande av förfaranden relaterade till ungdomsskydd.
Den stränga regleringen, som inte tillåter att personuppgifter som kräver särskild hänsyn skaffas utan personens samtycke, om det inte finns särskilda undantag, beror på att dessa uppgifter, även om de inte anses nödvändiga att skaffa, kan leda till diskriminering och fördomar om de skaffas och hanteras.
Regler för förvaltning och tillsyn
Många människor är oroliga och känner sig osäkra på situationer där personuppgifter läcker ut eller manipuleras. Särskilt när det gäller databaserade personuppgifter, har det uppstått många situationer som orsakar samhällsproblem, som massutläckage av kundinformation. Därför har företag som hanterar personuppgifter skyldighet att vidta nödvändiga och lämpliga åtgärder (säkerhetshantering) för att säkra hanteringen av personuppgifter (Artikel 20 i den japanska lagen om skydd av personuppgifter).
Brott mot säkerhetshantering
I verkligheten, i fall där personuppgifter har läckt ut på internet, erkänns ofta brott mot säkerhetshantering. Innehållet i säkerhetsåtgärderna, med hänsyn till egenskaperna hos små och medelstora företag, är tydligt angivet i “Riktlinjer för lagen om skydd av personuppgifter (Allmänna regler)” (Personuppgiftsskyddskommittén). Att följa dessa riktlinjer är inte bara viktigt för att följa artikel 20 i lagen om skydd av personuppgifter, utan också för att undvika situationer där man hålls ansvarig för olagliga handlingar på grund av intrång i privatlivet orsakade av läckage på internet.
Men oavsett hur väl system och rutiner är organiserade, är det i slutändan människor som måste hantera dem på rätt sätt. Därför är det fastställt att “företag som hanterar personuppgifter, när de låter sina anställda hantera personuppgifter, måste utöva nödvändig och lämplig tillsyn över dessa anställda för att säkerställa säker hanteringen av personuppgifter” (Artikel 21 i den japanska lagen om skydd av personuppgifter).
https://monolith.law/corporate/trends-in-personal-information-leakage-and-loss-accidents-in-2019[ja]
Observera att försäljning eller borttagning av kunddata av anställda inte bara innebär att den anställde själv bär ansvar för olagliga handlingar (Artikel 709 i den japanska civilkoden), utan att företaget som hanterar personuppgifter också kan bära arbetsgivaransvar (Artikel 715 i den japanska civilkoden).
“Tredjepartsförsörjning” och “Uppdrag”
Enligt den japanska lagen om skydd av personuppgifter är det i princip förbjudet att tillhandahålla kundens personuppgifter till “tredje part”, även om det är för det syfte som har offentliggjorts i förväg, om det inte finns något samtycke. Men om man följer denna regel till punkt och pricka, blir det olagligt att till och med placera en databas med kundinformation på en hyrd server. Detta beror på att hyrda servrar är “tredje part” för företaget.
Men “uppdrag” är ett undantag från “tredjepartsförsörjning”, och det är tillåtet att “uppdraga” information till personer som inte använder den. Till exempel använder inte hyrda servrar informationen, de lagrar den bara. Denna typ av uppdrag av personuppgiftshantering till tredje part sker ofta, men för att förhindra situationer där ansvar blir oklart på grund av upprepade hierarkiska uppdrag eller olämplig hantering av uppdragstagaren, är det fastställt att “företag som hanterar personuppgifter, när de uppdrar hela eller delar av hanteringen av personuppgifter, måste utöva nödvändig och lämplig tillsyn över uppdragstagaren för att säkerställa säker hanteringen av personuppgifter” (Artikel 22 i den japanska lagen om skydd av personuppgifter).
Korrekt hantering av personuppgifter genom individens deltagande
Den japanska lagen om skydd av personuppgifter tillåter individer att, under vissa förutsättningar, begära att företag som hanterar personuppgifter ska avslöja (artikel 28), korrigera, lägga till eller radera (artikel 29) personuppgifter som rör dem själva, samt att upphöra med användningen av sådana uppgifter (artikel 30). Det är tydligt fastställt att dessa rättigheter för individer är civilrättsliga krav, och om ett företag som hanterar personuppgifter inte uppfyller dessa krav, kan individen genomföra sina rättigheter genom domstol.
Företag som hanterar personuppgifter måste, om det finns en begäran från individen, avslöja personuppgifterna de innehar. Om det finns fel i informationen, måste de rätta till det. Om de hanterar uppgifterna på ett sätt som bryter mot lagliga skyldigheter, som att använda dem för andra ändamål, skaffa dem på ett olämpligt sätt, eller dela dem med tredje part utan individens samtycke, måste de upphöra med användningen av informationen. På detta sätt syftar den japanska lagen om skydd av personuppgifter till att skydda medborgarnas rättigheter genom att ställa olika krav på företag som hanterar personuppgifter.
Straff för läckage av personuppgifter
Enligt den japanska lagen om skydd av personuppgifter (Japanese Personal Information Protection Act) finns det straffbestämmelser för när en verksamhetsutövare läcker personuppgifter.
Om en verksamhetsutövare bryter mot lagen om skydd av personuppgifter och läcker information, kommer de först att få en “rekommendation att vidta nödvändiga åtgärder för att rätta till överträdelsen och stoppa överträdande handlingar” från staten (Artikel 42). Om de även bryter mot detta, kan den anställde som begick överträdelsen straffas med “fängelse i högst sex månader eller böter på högst 300 000 yen” (Artikel 84), och det finns också en möjlighet att företaget som anställer den anställde kan straffas med “böter på högst 300 000 yen” (Artikel 85). Dessutom, om de tillhandahåller eller stjäl information i syfte att uppnå olagliga vinster, kan de straffas med “fängelse i högst ett år eller böter på högst 500 000 yen” utan någon rekommendation (Artikel 83).
Sammanfattning
Den japanska lagen om skydd av personuppgifter är en lag som kräver att företag som hanterar personuppgifter gör detta på ett lämpligt sätt och vidtar nödvändiga och lämpliga åtgärder för säkerhetshantering. Det är en viktig lag som nästan alla företag inte kan undvika.