Vad är GDPR? En jämförelse med den japanska 'Personuppgiftslagen' och viktiga punkter som japanska företag bör vara medvetna om
När man planerar att expandera verksamheten inom EU måste man ha en omfattande förståelse för GDPR (General Data Protection Regulation). GDPR kan även tillämpas på japanska företag som inte har någon närvaro inom EU. Skaffa grundläggande kunskaper om GDPR och den japanska lagen om skydd av personuppgifter, och se till att hantera data på ett korrekt sätt.
I den här artikeln förklarar vi GDPR i jämförelse med den japanska lagen om skydd av personuppgifter och vilka punkter japanska företag bör vara uppmärksamma på. Om du är en juridiskt ansvarig som överväger om det finns ett behov av att ändra reglerna för dataskydd eller vill veta vilka lagar som bör åtgärdas för att expandera verksamheten till EU, använd denna artikel som en referens.
Vad är GDPR (EU:s allmänna dataskyddsförordning)?
“GDPR (General Data Protection Regulation)” är en förordning som antagits av Europeiska unionen (EU) och är även känd som “den allmänna dataskyddsförordningen” i Japan. Den reglerar hanteringen av personuppgifter (dataskydd) inom EU.
GDPR syftar till att sätta strikta standarder för hantering av personuppgifter inom EU och att stärka skyddet av individens privatliv.
Från ett dataskyddsperspektiv tillhandahåller den riktlinjer för hur företag och organisationer bör hantera data och hur individer kan skydda sin egen information.
Referens: Japanska personuppgiftskyddskommissionen | “Den allmänna dataskyddsförordningen (GDPR) preliminär japansk översättning[ja]“
GDPR:s grundläggande principer är som följer:
- Laglighet, rättvisa och transparens
- Begränsning av syften
- Minimering av data
- Korrekthet
- Begränsning av lagringstid
- Integritet och konfidentialitet
För var och en av de grundläggande principerna följer en förklaring nedan.
Laglighet, Rättvisa och Transparens
De grundläggande principerna för GDPR som ofta nämns först är laglighet, rättvisa och transparens.
När en verksamhetsutövare samlar in och behandlar personuppgifter, måste det finnas en laglig grund för detta, och det är nödvändigt att på ett klart och tydligt sätt kommunicera till berörda parter hur denna behandling sker.
Dessutom är det av stor vikt att verksamhetsutövaren tydligt tillhandahåller information om integritet och ser till att berörda parter förstår och kan kontrollera hur deras data hanteras, för att upprätthålla transparens.
Begränsning av användningsändamål
Begränsning av användningsändamål innebär att insamling och behandling av data bör ske för ett specifikt och tydligt definierat syfte.
Verksamheter som samlar in personuppgifter måste tydligt och konkret ange dessa syften för de berörda parterna och erhålla deras uttryckliga samtycke. Därefter är det verksamhetens ansvar att begränsa användningen av insamlade data till endast de ändamål som samtycke har givits för och att strikt kontrollera hanteringen av dessa data.
Minimering av personuppgifter
Insamlingen av personuppgifter bör begränsas till det som är nödvändigt för att uppnå det angivna syftet (minimering). Samla endast in personuppgifter inom ramen för det som är lämpligt för det efterfrågade syftet och undvik att samla in överflödig personlig information.
Detta bidrar till att mängden personuppgifter som behålls blir minimal och skyddar individens integritet.
Exakthet
Enligt de grundläggande principerna för GDPR (General Data Protection Regulation) måste personuppgifter vara korrekta. Felaktiga personuppgifter ska rättas, och åtgärder bör vidtas för att upprätthålla uppdaterad och korrekt information.
Detta skyddar individens rättigheter och intressen och säkerställer att behandlingen av personuppgifter baseras på exakt information.
Begränsningar för lagring av uppgifter
En av de grundläggande principerna i GDPR är konceptet med begränsningar för lagring av uppgifter. Personuppgifter som inte längre behövs efter att deras syfte har uppnåtts bör raderas omgående.
Genom att inte lagra onödiga personuppgifter kan vi säkerställa en korrekt hantering av personuppgifter och skydd av privatlivet.
Integritet & Konfidentialitet
Personuppgifter måste vara kompletta och deras konfidentialitet måste skyddas. Personuppgifter ska skyddas mot manipulation och förlust, och lämpliga åtgärder bör vidtas för att skydda dem från obehörig åtkomst.
Detta bidrar till att öka tillförlitligheten hos personuppgifterna.
Gäller GDPR bara för företag inom EU? Omfattningen av GDPR
GDPR är inte bara tillämplig på företag inom EU. Japanska företag kan också omfattas av GDPR. Vi förklarar nedan vilka typer av företag som GDPR gäller för.
Typ av företag som GDPR gäller för | Översikt |
Företag med verksamhet inom EU | “Datakontrollant” | En organisation som bestämmer syftet med och medlen för databehandling och som har äganderätt till datan kallas för datakontrollant. Exempelvis företag med huvudkontor eller filialer inom EU omfattas. Datakontrollanten har ansvar för att säkerställa laglig och transparent databehandling. |
Företag som behandlar personuppgifter på uppdrag av EU-företag | “Databehandlare” | När ett företag inom EU anlitar ett annat företag för databehandling, blir det anlitade företaget en “databehandlare” och omfattas av GDPR. Databehandlaren har också ansvar för att säkerställa datans säkerhet och lagliga behandling. |
Företag som erbjuder varor eller tjänster till personer inom EU | Företag som erbjuder onlinebutiker eller webbtjänster omfattas. Behandlingen av data relaterad till de erbjudna varorna eller tjänsterna måste följa GDPR:s standarder. |
Företag som övervakar individer inom EU | Med övervakning avses långsiktig spårning av en specifik individs beteende eller tillstånd. Exempelvis företag som använder övervakningskameror eller spårar beteenden online omfattas, och laglig hantering av data krävs. |
Företag som omfattas av GDPR krävs att säkerställa laglig och transparent databehandling, säkerheten av datan, samt att följa GDPR:s standarder.
Relaterad artikel: Vad händer när GDPR tillämpas utanför EU? Vi förklarar hur man hanterar det[ja]
Hantering av personuppgifter enligt GDPR
GDPR tillhandahåller ett ramverk för skydd av privatlivet och för hantering av personuppgifter.
Regelverkets syfte och principer är att säkerställa skyddet av grundläggande rättigheter och friheter, särskilt att respektera privatlivet och främja fri rörlighet av personuppgifter (GDPR artikel 4). |
GDPR skyddar kontrollen och respekten för personuppgifter samtidigt som det främjar datadelning och säkerställer tillförlitlighet genom lämplig hantering.
För detta är transparens i datahanteringen och företagens ansvarskänsla avgörande, och företag krävs att hantera data på ett lämpligt sätt enligt reglerna.
GDPR innehåller även följande bestämmelser:
När ett företag som omfattas av GDPR hanterar personuppgifter, krävs i princip individens samtycke (GDPR artikel 6.1(a)). |
Den ansvarige måste kunna bevisa att den registrerade har gett sitt samtycke till behandlingen av personuppgifter (GDPR artikel 7.1). |
Dessutom har den registrerade rätt att när som helst dra tillbaka sitt samtycke till behandlingen av personuppgifter (GDPR artikel 7.3). |
Det finns dock fall då hantering av personuppgifter är tillåten även utan individens samtycke. Några konkreta exempel är:
- När det är nödvändigt för att fullgöra ett avtal där den registrerade är part.
- När det är nödvändigt för att vidta åtgärder på den registrerades begäran innan ett avtal ingås.
- När det är nödvändigt för att den ansvarige ska kunna uppfylla en rättslig skyldighet.
- När det är nödvändigt för att skydda den registrerades eller annan persons vitala intressen.
- När det är nödvändigt för att utföra en uppgift av allmänt intresse eller som en del av utövandet av offentlig myndighet.
- När det är nödvändigt för ändamål som rör den ansvariges eller en tredje parts berättigade intressen, förutsatt att detta inte går emot den registrerades rättigheter och friheter (en avvägning krävs).
De främsta rättigheterna relaterade till personuppgifter enligt GDPR
Enligt GDPR har individer huvudsakligen följande rättigheter när det gäller deras personuppgifter:
- Rätten att få tillgång till sina personuppgifter
- Rätten att begära rättelse eller radering av sina personuppgifter
- Rätten att begära begränsning av användningen av sina personuppgifter
- Rätten att invända mot behandlingen av sina personuppgifter
Individer har rätt att förstå hur deras information används av den som tillhandahåller den. Om de känner att informationen är inkorrekt eller används på ett olämpligt sätt, kan de begära att den rättas eller raderas. De kan också begära ett tillfälligt stopp för användningen eller framföra invändningar mot behandlingen.
Huvudsakliga ansvar gällande personuppgifter enligt GDPR
Medan individer har vissa rättigheter gällande sina personuppgifter, har företag som samlar in och behandlar dessa uppgifter huvudsakligen följande ansvar:
- Att etablera system och personalstrukturer för hantering av personuppgifter i enlighet med GDPR
- Att dokumentera hanteringen av personuppgifter
- Att hantera incidenter där personuppgifter har komprometterats
För att personuppgifter ska skyddas på ett adekvat sätt är det viktigt att företag uppfyller dessa ansvar.
Dessutom är det avgörande att alla aktiviteter som rör behandling av personuppgifter dokumenteras korrekt, så att de kan granskas vid behov.
Om en överträdelse av personuppgifter inträffar, är det företagets ansvar att vidta lämpliga åtgärder och informera berörda parter.
Vid överträdelse av GDPR
Om en administratör eller behandlare bryter mot GDPR och därigenom orsakar skada för den registrerade, kan det leda till krav på skadestånd (GDPR artikel 82.1).
Dessutom kan överträdelser av GDPR leda till stränga konsekvenser. Till exempel kan EU utfärda sanktionsavgifter mot överträdelsehandlingar enligt artikel 83 i GDPR (GDPR artikel 83).
Skillnaden mellan GDPR och den japanska lagen om skydd av personuppgifter
Skillnaderna mellan GDPR och den japanska lagen om skydd av personuppgifter är huvudsakligen följande:
- Skyddsobjekt
- Åtgärder vid intrång i personuppgifter
- Inställning av ombud
- Sanktioner vid överträdelser
Nedan förklarar vi detta mer i detalj.
Skyddsobjekt
GDPR och den japanska lagen om skydd av personuppgifter skiljer sig åt när det gäller vilka data som skyddas. GDPR skyddar personuppgifter som behandlas inom EU i stor utsträckning. Detta gäller inte bara företag som har sin bas inom EU, utan även företag som erbjuder varor eller tjänster till personer inom EU.
Å andra sidan varierar skyddsobjekten i den japanska lagen om skydd av personuppgifter beroende på land eller region.
Till exempel riktar sig den japanska lagen om skydd av personuppgifter till personuppgifter som behandlas inom landet, och skyddet är i huvudsak begränsat till inom landets gränser.
Åtgärder vid intrång i personuppgifter
Det finns skillnader i hur GDPR och den japanska lagen om skydd av personuppgifter hanterar intrång i personuppgifter.
Enligt GDPR har företag en skyldighet att rapportera till tillsynsmyndigheten inom 72 timmar om det sker ett dataintrång. Dessutom har de ansvar att snabbt och tydligt informera den berörda personen.
I den japanska lagen om skydd av personuppgifter krävs det också att man snabbt meddelar om ett dataintrång, men tidsfristen för rapportering och innehållet i meddelandet varierar beroende på land eller region.
Inställning av ombud
Reglerna för att ställa in ett ombud skiljer sig mellan GDPR och den japanska lagen om skydd av personuppgifter.
Enligt GDPR krävs samtycke från föräldrar eller lagliga ombud när det gäller behandling av barns personuppgifter. Dessutom krävs föräldrarnas samtycke när företag som erbjuder onlinetjänster hanterar personuppgifter för barn under 16 år.
Den japanska lagen om skydd av personuppgifter kräver också samtycke från lagliga ombud för att hantera barns personuppgifter, men åldersgränser och metoder för att få samtycke varierar beroende på lagstiftning.
Sanktioner vid överträdelser
En annan skillnad mellan GDPR och den japanska lagen om skydd av personuppgifter är sanktionerna vid överträdelser.
Enligt GDPR kan överträdelser leda till sanktionsavgifter på upp till 4% av företagets totala årliga globala omsättning eller 20 miljoner euro, beroende på vilket som är högst.
Sanktionerna i den japanska lagen om skydd av personuppgifter varierar beroende på land eller region, men innefattar vanligtvis böter eller juridiskt ansvar. Bötesbeloppet varierar beroende på överträdelsens natur och allvarlighetsgrad.
Viktiga åtgärdspunkter för japanska företag gällande GDPR
Följande företag behöver vidta åtgärder för GDPR:
- Företag med dotterbolag, filialer eller affärsställen inom EU
- Företag som erbjuder varor eller tjänster till EU från Japan
- Företag som har fått uppdrag att behandla personuppgifter från företag inom EU
Som konkreta exempel på åtgärder för företag rekommenderas kryptering som en form av dataskyddsteknik i artikel 32 och i skälen (83) i GDPR.
Därför är det nödvändigt att kryptera personuppgifter på klientdatorer, hårddiskar, USB-minnen och andra lagringsmedier, samt i delade mappar.
Utöver detta behöver företag även uppdatera sin integritetspolicy så att den överensstämmer med GDPR. För en detaljerad förklaring av en GDPR-anpassad integritetspolicy, se följande artikel.
Relaterad artikel: Förklaring av viktiga punkter när man skapar en integritetspolicy anpassad för GDPR[ja]
Sammanfattning: Konsultera en expert för GDPR-åtgärder
GDPR skyddar personuppgifter som behandlas inom EU i stor utsträckning och kräver laglig och transparent behandling av data samt säkerställande av säkerheten. Skillnaderna mellan GDPR och den japanska lagen om skydd av personuppgifter inkluderar skyddsobjekt, hantering av personuppgiftsincidenter, inställning av ombud och sanktioner vid överträdelser.
Företag som huvudsakligen har verksamhet inom EU, företag som erbjuder varor eller tjänster till personer inom EU, och företag som har fått uppdrag att behandla personuppgifter från företag inom EU, är bland de som omfattas av GDPR. Om du bryter mot GDPR kan du bli föremål för skadeståndskrav och sanktionsavgifter, så det är viktigt att vara uppmärksam.
Om du behöver ändra ditt företags regler för dataskydd för att de ska överensstämma med GDPR, rekommenderar vi att du konsulterar en expert.
Information om åtgärder från vår byrå
Monolith Advokatbyrå har en omfattande erfarenhet inom IT, och särskilt inom internet och juridik. I takt med att den globala affärsverksamheten expanderar, ökar också behovet av juridisk granskning av experter. Vår byrå erbjuder lösningar inom internationell juridik.
Monolith Advokatbyrås expertisområden: Internationell juridik och utlandsverksamhet[ja]