Vad är poängen vid skapandet av en sekretesspolicy med hänsyn till den japanska 'Personuppgiftslagen'?
På senare tid har samhällets intresse för skydd av personuppgifter ökat. Det är säkert att säga att det knappast finns några företag som inte hanterar personuppgifter, och för många företag och enskilda företagare är hanteringen av personuppgifter en mycket närliggande fråga. Det är vanligt att företag med en webbplats har en sekretesspolicy på sin webbplats. En sekretesspolicy är en offentliggörande av riktlinjer för hantering av personuppgifter hos den berörda operatören i enlighet med den japanska lagen om skydd av personuppgifter. För att utforma en lämplig sekretesspolicy är det nödvändigt att förstå den japanska lagen om skydd av personuppgifter. Därför kommer jag att förklara kontrollpunkterna när du skapar en sekretesspolicy. För övrigt ändrades den japanska lagen om skydd av personuppgifter 2015, och den reviderade lagen trädde i kraft den 30 maj 2017 (Gregorianska kalenderåret). Särskilt fanns det viktiga ändringar angående tillhandahållande av personuppgifter till tredje part, så jag kommer också att förklara det. För mer information om ändringarna i den japanska lagen om skydd av personuppgifter, se artikeln nedan.
Vad är en sekretesspolicy?
De flesta företagswebbplatser har en sekretesspolicy. Det kan också kallas “Policy för skydd av personuppgifter”, men i grunden är det ofta samma sak. En sekretesspolicy visar företagets grundläggande inställning till hantering av personuppgifter, och är också ett verktyg för att visa information som krävs att offentliggöras enligt den japanska lagen om skydd av personuppgifter. Därför är det absolut nödvändigt att täcka följande punkter som krävs att offentliggöras enligt den japanska lagen om skydd av personuppgifter.
- Syftet med att använda personuppgifter
- Namnet eller företagsnamnet på den som hanterar personuppgifter
- Proceduren för att svara på begäran om meddelande, offentliggörande, korrigering, upphörande av användning etc. från den berörda personen
- Var man kan lämna in klagomål
Dessutom, i fall som gemensam användning av personuppgifter inom en koncern, känd som gemensam användning, och hantering av anonymiserad information, som kommer att förklaras senare, finns det bestämmelser om vad som måste offentliggöras för varje specifik drift som är lagstadgad.
Relaterad artikel: Vad är den japanska lagen om skydd av personuppgifter och personuppgifter? En advokat förklarar[ja]
Företag som bör skapa en sekretesspolicy
Före ändringslagen trädde i kraft 2017, var det endast företag som innehar mer än 5000 personuppgifter som omfattades av den japanska lagen om skydd av personuppgifter. Därför fanns det en del mindre företag och företag som huvudsakligen bedriver B2B-verksamhet som inte behövde skapa en sekretesspolicy. Men med ändringslagen som trädde i kraft 2017, tillämpas den japanska lagen om skydd av personuppgifter nu på alla företag, oavsett antalet personuppgifter de innehar. Som ett resultat av detta, förväntas det att alla företag i princip kommer att behöva skapa en sekretesspolicy. Det bör noteras att även om ett företag inte har skapat en sekretesspolicy, kan det ersätta detta genom att varje gång det samlar in personuppgifter, meddela individen om ändamålet med användningen av personuppgifterna och andra frågor som krävs att offentliggöras enligt den japanska lagen om skydd av personuppgifter. Men detta är besvärligt, så vanligtvis skapas en sekretesspolicy.
Kontrollpunkter för sekretesspolicy
Definition av personuppgifter
Paragraf 〇
Personuppgifter är information om en levande individ som kan identifiera en specifik individ genom namn, födelsedatum och andra beskrivningar som ingår i denna information (detta inkluderar information som kan jämföras lätt med annan information och därigenom kan identifiera en specifik individ).
Definitionen av personuppgifter kan beskrivas enligt vad som anges i den japanska lagen om skydd av personuppgifter. Typiskt sett är det information som namn och födelsedatum, men det kan också inkludera ålder, kön, adress, telefonnummer, familjestruktur, hobbyer, preferenser, e-postadress, ID, IP-adress och tidsstämpel, arbetsplats, tillhörighet, arbetsplatsadress, arbetsplats telefonnummer, kreditkortsnummer, bankkontonummer, information om besökta webbsidor, klagomål, konsultationer eller förfrågningsinformation. Därför kan det vara bra att i förväg inkludera i definitionen av personuppgifter i sekretesspolicyn de punkter som är mest sannolika att erhållas från företagets kunder och liknande.
Ändamål med användning av personuppgifter
Artikel X
1. Vi använder de personuppgifter vi samlar in för följande ändamål. Om vi på vår webbplats anger ett annat ändamål för användning av personuppgifter, har den beskrivningen företräde.
(1) För att vi ska kunna svara på förfrågningar som kommer in via vårt kontaktformulär
(2) För att tillhandahålla och informera om vår webbtjänst eller applikation och andra tjänster (härefter kallade “denna tjänst”) samt nya tjänster vi erbjuder
(3) För att förbättra denna tjänst och utveckla nya tjänster
(4) För andra ändamål som är relaterade till ovanstående punkter
2. Utöver de ändamål som anges i föregående stycke kan vi sammanställa personuppgifter vi samlar in från kunder till statistisk information på ett sätt och i en omfattning som inte gör det möjligt att identifiera eller särskilja individer, och använda den som referens.
Ändamål med användning
Enligt den japanska lagen om skydd av personuppgifter (Japanese Personal Information Protection Act) krävs det att vi offentliggör ändamålet med användningen av de personuppgifter vi samlar in. Första stycket i exemplet ovan motsvarar detta krav. Det är viktigt att notera att det inte räcker med en abstrakt eller omfattande beskrivning i definitionen av ändamålet med användningen. Det måste vara tillräckligt specifikt för att individen ska kunna förstå hur hans eller hennes personuppgifter kommer att användas. Därför kan innehållet i beskrivningen av ändamålet med användningen variera beroende på företaget som skapar sekretesspolicyn. Dessutom, om det finns några utelämnanden, kommer du inte att kunna använda personuppgifterna för det ändamålet, så se till att du noggrant överväger om det finns några utelämnanden.
Anonymiserad information
Andra stycket i exemplet ovan är en bestämmelse om anonymiserad information. Anonymiserad information är information som har bearbetats så att det inte går att identifiera individen och som inte kan återställas. Det är tänkt att användas för att utnyttja så kallad stordata.
Om du hanterar anonymiserad information måste du offentliggöra uppgifter om personuppgifter som ingår i den anonymiserade informationen i din sekretesspolicy. Andra stycket i exemplet ovan fastställer att vi kommer att använda personuppgifter som definieras i “Definition av personuppgifter” som anonymiserad information. Dessutom, om du tillhandahåller anonymiserad information till tredje part, måste du också offentliggöra hur du tillhandahåller den.
Användning av personuppgifter utanför syftet
Paragraf 〇
Vi kommer att hantera de personuppgifter vi har samlat in inom ramen för det syfte som anges i föregående paragraf. Om vi ska använda personuppgifterna utanför detta syfte, kommer vi att göra det endast efter att ha fått samtycke från den berörda personen i förväg. Dock gäller detta inte i följande fall:
(1) När det krävs enligt lag
(2) När det är nödvändigt för att skydda en persons liv, kropp eller egendom och det är svårt att få samtycke från den berörda personen
(3) När det är särskilt nödvändigt för att främja folkhälsan eller främja sund uppfostran av barn och det är svårt att få samtycke från den berörda personen
(4) När det är nödvändigt att samarbeta med en statlig institution eller en lokal offentlig organisation, eller någon som har fått uppdrag från dem, för att utföra de uppgifter som föreskrivs i lag, och att få samtycke kan hindra utförandet av dessa uppgifter
Principen är att personuppgifter inte får användas utanför det angivna syftet. Dock tillåter den japanska lagen om skydd av personuppgifter användning utanför det angivna syftet i de fall som anges i punkterna (1) till (4) ovan.
Punkterna (2) och (3) gäller fall där det är svårt att snabbt få samtycke från den berörda personen trots ett starkt behov av att använda personuppgifterna. Punkterna (1) och (4) gäller användning av personuppgifter baserat på önskemål från staten eller lokala offentliga organisationer, till exempel i brottsutredningar. Bestämmelserna om användning utanför det angivna syftet är i stort sett standardiserade för alla företag och varierar sällan beroende på verksamhetens art.
Utlämning av personuppgifter till tredje part
Paragraf 〇
Vårt företag lämnar i princip inte ut kundens personuppgifter till tredje part utan kundens samtycke. Som ett undantag, vi lämnar ut till tredje part endast när vi har identifierat mottagaren och innehållet i informationen och erhållit kundens samtycke. Dock gäller detta inte i följande fall:
(1) När det krävs enligt lag
(2) När det är nödvändigt för att skydda en persons liv, kropp eller egendom och det är svårt att få kundens samtycke
(3) När det är särskilt nödvändigt för att förbättra folkhälsan eller främja sund uppfostran av barn och det är svårt att få kundens samtycke
(4) När det är nödvändigt att samarbeta med en statlig institution, en lokal offentlig organisation eller en person som har fått uppdraget att utföra arbete enligt lag, och att få kundens samtycke kan hindra utförandet av arbetet
(5) När det är nödvändigt att lämna ut personuppgifter till en affärspartner som har ingått ett sekretessavtal med oss för det ändamål som används
Undantag för utlämning av personuppgifter till tredje part
Detta klausulexempel gäller situationer där företag lämnar ut personuppgifter de har samlat in till tredje part. Enligt den japanska lagen om skydd av personuppgifter (Japanese Personal Information Protection Law) krävs samtycke från individen för att lämna ut personuppgifter till tredje part. Men det finns undantag som är lagstadgade, som anges i klausulexemplen (1) till (5), där personuppgifter kan lämnas ut till tredje part utan samtycke från individen. Därför, precis som klausulen om användning av personuppgifter utanför det avsedda syftet, blir klausulen om utlämning till tredje part i princip standard för alla företag. I praktiken är det relativt vanligt att personuppgifter lämnas ut till affärspartner enligt punkt (5). Men även om du har delegerat arbete, kommer företaget som samlade in personuppgifterna att ha tillsynsansvar över affärspartnern. Därför, om personuppgifter läcker från affärspartnern, kan företaget som delegerade arbetet också hållas ansvarigt. Därför bör valet av affärspartner och tillsyn efter delegering göras noggrant. Vi har en detaljerad förklaring om Benesse-läckan av personuppgifter från affärspartner i artikeln nedan.
Relaterad artikel: Risk för läckage av företags personuppgifter och skadestånd[ja]
Ändringar i lagen gör det svårare att välja bort
När det gäller utlämning av personuppgifter till tredje part, före ändringen av lagen som trädde i kraft 2017 (2017), kunde personuppgifter lämnas ut till tredje part utan individens förhandssamtycke, förutsatt att “utlämningen av personuppgifter till tredje part stoppas på begäran av individen”. Detta kallas att välja bort. Men med ändringen av lagen som trädde i kraft 2017, har reglerna blivit strängare och det är inte längre möjligt att lämna ut personuppgifter till tredje part genom att välja bort utan att först anmäla det till den japanska kommissionen för skydd av personuppgifter (Japanese Personal Information Protection Commission).
Det kan tyckas att det bara är att anmäla till kommissionen för skydd av personuppgifter, men denna anmälningsordning är huvudsakligen avsedd för företag som hanterar personuppgifter som en handelsvara, som registerföretag, och de som anmäler kommer att offentliggöras, så det finns fortfarande inte många företag som faktiskt har anmält. Därför, i praktiken, har det blivit svårt att lämna ut personuppgifter till tredje part utan individens samtycke, förutom i undantagsfall som när arbete delegeras.
Offentliggörande, korrigering etc. av personuppgifter
Enligt den japanska lagen om skydd av personuppgifter (Japanese Personal Information Protection Act) krävs det att förfaranden för att svara på begäran om meddelande om syftet med användning, offentliggörande, korrigering och upphörande av användning från den berörda personen offentliggörs. Därför, när du skapar en sekretesspolicy, måste du också fastställa dessa frågor. Dock har de klausuler som fastställer dessa blivit standardformuleringar hos många företag. En punkt att överväga är om du ska fastställa en avgift för att svara på begäran om offentliggörande etc. från den berörda personen. Att fastställa en lämplig avgift kan vara ett sätt att förhindra att verksamheten försenas på grund av missbrukande begäran. Om en avgift krävs, bör du vara medveten om att du behöver fastställa dess innehåll i sekretesspolicyn.
Sammanfattning
Med ökande samhällsintresse för skydd av personuppgifter, blir lagstiftningen gradvis strängare. Det är naturligtvis nödvändigt att säkert hantera information inom företaget för att förhindra läckage av personuppgifter, men det är också viktigt att utforma integritetspolicyer och interna regler i enlighet med lagstiftningen. Lagen om skydd av personuppgifter (Japanska lagen om skydd av personuppgifter) kommer att ändras regelbundet vart tredje år framöver. Varje gång reglerna för hantering av personuppgifter ändras, kan det inte bara bli nödvändigt att ändra företagets interna system, utan det kan också uppstå ett behov av att ompröva affärsmetoderna i sig. I det avseendet kan lagen om skydd av personuppgifter sägas vara en lag som påverkar kärnan i verksamheten, så det är särskilt viktigt för företag som hanterar mycket personuppgifter att ständigt hålla sig uppdaterade om ändringar i lagen.
Information om kontraktsskapande och granskning av vår byrå
På Monolis juridiska byrå, som en advokatbyrå med styrkor inom IT, internet och affärer, erbjuder vi tjänster som att skapa och granska olika kontrakt, inte bara om sekretesspolicy, till våra rådgivande företag och klientföretag.
Om du är intresserad, vänligen se detaljerna nedan.