Svenska English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_sv/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Vardagar 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Vad är GDPR? En jämförelse med den japanska 'Personuppgiftslagen' och viktiga punkter som japanska företag bör vara medvetna om

Vad är GDPR? En jämförelse med den japanska 'Personuppgiftslagen' och viktiga punkter som japanska företag bör vara medvetna om

General Corporate

Vad är GDPR? En jämförelse med den japanska 'Personuppgiftslagen' och viktiga punkter som japanska företag bör vara medvetna om

När man planerar att expandera verksamheten inom EU måste man ha en omfattande förståelse för GDPR (General Data Protection Regulation). GDPR kan även tillämpas på japanska företag som inte har någon närvaro inom EU. Skaffa grundläggande kunskaper om GDPR och den japanska lagen om skydd av personuppgifter, och se till att hantera data på ett korrekt sätt.

I den här artikeln förklarar vi GDPR i jämförelse med den japanska lagen om skydd av personuppgifter och vilka punkter japanska företag bör vara uppmärksamma på. Om du är en juridiskt ansvarig som överväger om det finns ett behov av att ändra reglerna för dataskydd eller vill veta vilka lagar som bör åtgärdas för att expandera verksamheten till EU, använd denna artikel som en referens.

Vad är GDPR (EU:s allmänna dataskyddsförordning)?

Smarttelefon låsskärm

“GDPR (General Data Protection Regulation)” är en förordning som antagits av Europeiska unionen (EU) och är även känd som “den allmänna dataskyddsförordningen” i Japan. Den reglerar hanteringen av personuppgifter (dataskydd) inom EU.

GDPR syftar till att sätta strikta standarder för hantering av personuppgifter inom EU och att stärka skyddet av individens privatliv.

Från ett dataskyddsperspektiv tillhandahåller den riktlinjer för hur företag och organisationer bör hantera data och hur individer kan skydda sin egen information.

Referens: Japanska personuppgiftskyddskommissionen | “Den allmänna dataskyddsförordningen (GDPR) preliminär japansk översättning[ja]

GDPR:s grundläggande principer är som följer:

  • Laglighet, rättvisa och transparens
  • Begränsning av syften
  • Minimering av data
  • Korrekthet
  • Begränsning av lagringstid
  • Integritet och konfidentialitet

För var och en av de grundläggande principerna följer en förklaring nedan.

Laglighet, Rättvisa och Transparens

De grundläggande principerna för GDPR som ofta nämns först är laglighet, rättvisa och transparens.

När en verksamhetsutövare samlar in och behandlar personuppgifter, måste det finnas en laglig grund för detta, och det är nödvändigt att på ett klart och tydligt sätt kommunicera till berörda parter hur denna behandling sker.

Dessutom är det av stor vikt att verksamhetsutövaren tydligt tillhandahåller information om integritet och ser till att berörda parter förstår och kan kontrollera hur deras data hanteras, för att upprätthålla transparens.

Begränsning av användningsändamål

Begränsning av användningsändamål innebär att insamling och behandling av data bör ske för ett specifikt och tydligt definierat syfte.

Verksamheter som samlar in personuppgifter måste tydligt och konkret ange dessa syften för de berörda parterna och erhålla deras uttryckliga samtycke. Därefter är det verksamhetens ansvar att begränsa användningen av insamlade data till endast de ändamål som samtycke har givits för och att strikt kontrollera hanteringen av dessa data.

Minimering av personuppgifter

Insamlingen av personuppgifter bör begränsas till det som är nödvändigt för att uppnå det angivna syftet (minimering). Samla endast in personuppgifter inom ramen för det som är lämpligt för det efterfrågade syftet och undvik att samla in överflödig personlig information.

Detta bidrar till att mängden personuppgifter som behålls blir minimal och skyddar individens integritet.

Exakthet

Enligt de grundläggande principerna för GDPR (General Data Protection Regulation) måste personuppgifter vara korrekta. Felaktiga personuppgifter ska rättas, och åtgärder bör vidtas för att upprätthålla uppdaterad och korrekt information.

Detta skyddar individens rättigheter och intressen och säkerställer att behandlingen av personuppgifter baseras på exakt information.

Begränsningar för lagring av uppgifter

En av de grundläggande principerna i GDPR är konceptet med begränsningar för lagring av uppgifter. Personuppgifter som inte längre behövs efter att deras syfte har uppnåtts bör raderas omgående.

Genom att inte lagra onödiga personuppgifter kan vi säkerställa en korrekt hantering av personuppgifter och skydd av privatlivet.

Integritet & Konfidentialitet

Personuppgifter måste vara kompletta och deras konfidentialitet måste skyddas. Personuppgifter ska skyddas mot manipulation och förlust, och lämpliga åtgärder bör vidtas för att skydda dem från obehörig åtkomst.

Detta bidrar till att öka tillförlitligheten hos personuppgifterna.

Gäller GDPR bara för företag inom EU? Omfattningen av GDPR

Informationshantering

GDPR är inte bara tillämplig på företag inom EU. Japanska företag kan också omfattas av GDPR. Vi förklarar nedan vilka typer av företag som GDPR gäller för.

Typ av företag som GDPR gäller förÖversikt
Företag med verksamhet inom EU | “Datakontrollant”En organisation som bestämmer syftet med och medlen för databehandling och som har äganderätt till datan kallas för datakontrollant.
Exempelvis företag med huvudkontor eller filialer inom EU omfattas.
Datakontrollanten har ansvar för att säkerställa laglig och transparent databehandling.
Företag som behandlar personuppgifter på uppdrag av EU-företag | “Databehandlare”När ett företag inom EU anlitar ett annat företag för databehandling, blir det anlitade företaget en “databehandlare” och omfattas av GDPR.
Databehandlaren har också ansvar för att säkerställa datans säkerhet och lagliga behandling.
Företag som erbjuder varor eller tjänster till personer inom EUFöretag som erbjuder onlinebutiker eller webbtjänster omfattas.
Behandlingen av data relaterad till de erbjudna varorna eller tjänsterna måste följa GDPR:s standarder.
Företag som övervakar individer inom EUMed övervakning avses långsiktig spårning av en specifik individs beteende eller tillstånd.
Exempelvis företag som använder övervakningskameror eller spårar beteenden online omfattas, och laglig hantering av data krävs.

Företag som omfattas av GDPR krävs att säkerställa laglig och transparent databehandling, säkerheten av datan, samt att följa GDPR:s standarder.

Relaterad artikel: Vad händer när GDPR tillämpas utanför EU? Vi förklarar hur man hanterar det[ja]

Hantering av personuppgifter enligt GDPR

Hantering av personuppgifter

GDPR tillhandahåller ett ramverk för skydd av privatlivet och för hantering av personuppgifter.

Regelverkets syfte och principer är att säkerställa skyddet av grundläggande rättigheter och friheter, särskilt att respektera privatlivet och främja fri rörlighet av personuppgifter (GDPR artikel 4).

GDPR skyddar kontrollen och respekten för personuppgifter samtidigt som det främjar datadelning och säkerställer tillförlitlighet genom lämplig hantering.

För detta är transparens i datahanteringen och företagens ansvarskänsla avgörande, och företag krävs att hantera data på ett lämpligt sätt enligt reglerna.

GDPR innehåller även följande bestämmelser:

När ett företag som omfattas av GDPR hanterar personuppgifter, krävs i princip individens samtycke (GDPR artikel 6.1(a)).
Den ansvarige måste kunna bevisa att den registrerade har gett sitt samtycke till behandlingen av personuppgifter (GDPR artikel 7.1).
Dessutom har den registrerade rätt att när som helst dra tillbaka sitt samtycke till behandlingen av personuppgifter (GDPR artikel 7.3).

Det finns dock fall då hantering av personuppgifter är tillåten även utan individens samtycke. Några konkreta exempel är:

  • När det är nödvändigt för att fullgöra ett avtal där den registrerade är part.
  • När det är nödvändigt för att vidta åtgärder på den registrerades begäran innan ett avtal ingås.
  • När det är nödvändigt för att den ansvarige ska kunna uppfylla en rättslig skyldighet.
  • När det är nödvändigt för att skydda den registrerades eller annan persons vitala intressen.
  • När det är nödvändigt för att utföra en uppgift av allmänt intresse eller som en del av utövandet av offentlig myndighet.
  • När det är nödvändigt för ändamål som rör den ansvariges eller en tredje parts berättigade intressen, förutsatt att detta inte går emot den registrerades rättigheter och friheter (en avvägning krävs).

De främsta rättigheterna relaterade till personuppgifter enligt GDPR

Rättigheter för personuppgifter

Enligt GDPR har individer huvudsakligen följande rättigheter när det gäller deras personuppgifter:

  • Rätten att få tillgång till sina personuppgifter
  • Rätten att begära rättelse eller radering av sina personuppgifter
  • Rätten att begära begränsning av användningen av sina personuppgifter
  • Rätten att invända mot behandlingen av sina personuppgifter

Individer har rätt att förstå hur deras information används av den som tillhandahåller den. Om de känner att informationen är inkorrekt eller används på ett olämpligt sätt, kan de begära att den rättas eller raderas. De kan också begära ett tillfälligt stopp för användningen eller framföra invändningar mot behandlingen.

Huvudsakliga ansvar gällande personuppgifter enligt GDPR

Ansvar för personuppgifter

Medan individer har vissa rättigheter gällande sina personuppgifter, har företag som samlar in och behandlar dessa uppgifter huvudsakligen följande ansvar:

  • Att etablera system och personalstrukturer för hantering av personuppgifter i enlighet med GDPR
  • Att dokumentera hanteringen av personuppgifter
  • Att hantera incidenter där personuppgifter har komprometterats

För att personuppgifter ska skyddas på ett adekvat sätt är det viktigt att företag uppfyller dessa ansvar.

Dessutom är det avgörande att alla aktiviteter som rör behandling av personuppgifter dokumenteras korrekt, så att de kan granskas vid behov.

Om en överträdelse av personuppgifter inträffar, är det företagets ansvar att vidta lämpliga åtgärder och informera berörda parter.

Vid överträdelse av GDPR

Man som får en varning

Om en administratör eller behandlare bryter mot GDPR och därigenom orsakar skada för den registrerade, kan det leda till krav på skadestånd (GDPR artikel 82.1).

Dessutom kan överträdelser av GDPR leda till stränga konsekvenser. Till exempel kan EU utfärda sanktionsavgifter mot överträdelsehandlingar enligt artikel 83 i GDPR (GDPR artikel 83).

Skillnaden mellan GDPR och den japanska lagen om skydd av personuppgifter

Man som undersöker

Skillnaderna mellan GDPR och den japanska lagen om skydd av personuppgifter är huvudsakligen följande:

  • Skyddsobjekt
  • Åtgärder vid intrång i personuppgifter
  • Inställning av ombud
  • Sanktioner vid överträdelser

Nedan förklarar vi detta mer i detalj.

Skyddsobjekt

GDPR och den japanska lagen om skydd av personuppgifter skiljer sig åt när det gäller vilka data som skyddas. GDPR skyddar personuppgifter som behandlas inom EU i stor utsträckning. Detta gäller inte bara företag som har sin bas inom EU, utan även företag som erbjuder varor eller tjänster till personer inom EU.

Å andra sidan varierar skyddsobjekten i den japanska lagen om skydd av personuppgifter beroende på land eller region.

Till exempel riktar sig den japanska lagen om skydd av personuppgifter till personuppgifter som behandlas inom landet, och skyddet är i huvudsak begränsat till inom landets gränser.

Åtgärder vid intrång i personuppgifter

Det finns skillnader i hur GDPR och den japanska lagen om skydd av personuppgifter hanterar intrång i personuppgifter.

Enligt GDPR har företag en skyldighet att rapportera till tillsynsmyndigheten inom 72 timmar om det sker ett dataintrång. Dessutom har de ansvar att snabbt och tydligt informera den berörda personen.

I den japanska lagen om skydd av personuppgifter krävs det också att man snabbt meddelar om ett dataintrång, men tidsfristen för rapportering och innehållet i meddelandet varierar beroende på land eller region.

Inställning av ombud

Reglerna för att ställa in ett ombud skiljer sig mellan GDPR och den japanska lagen om skydd av personuppgifter.

Enligt GDPR krävs samtycke från föräldrar eller lagliga ombud när det gäller behandling av barns personuppgifter. Dessutom krävs föräldrarnas samtycke när företag som erbjuder onlinetjänster hanterar personuppgifter för barn under 16 år.

Den japanska lagen om skydd av personuppgifter kräver också samtycke från lagliga ombud för att hantera barns personuppgifter, men åldersgränser och metoder för att få samtycke varierar beroende på lagstiftning.

Sanktioner vid överträdelser

En annan skillnad mellan GDPR och den japanska lagen om skydd av personuppgifter är sanktionerna vid överträdelser.

Enligt GDPR kan överträdelser leda till sanktionsavgifter på upp till 4% av företagets totala årliga globala omsättning eller 20 miljoner euro, beroende på vilket som är högst.

Sanktionerna i den japanska lagen om skydd av personuppgifter varierar beroende på land eller region, men innefattar vanligtvis böter eller juridiskt ansvar. Bötesbeloppet varierar beroende på överträdelsens natur och allvarlighetsgrad.

Viktiga åtgärdspunkter för japanska företag gällande GDPR

Kvinna som pratar i telefon

Följande företag behöver vidta åtgärder för GDPR:

  • Företag med dotterbolag, filialer eller affärsställen inom EU
  • Företag som erbjuder varor eller tjänster till EU från Japan
  • Företag som har fått uppdrag att behandla personuppgifter från företag inom EU

Som konkreta exempel på åtgärder för företag rekommenderas kryptering som en form av dataskyddsteknik i artikel 32 och i skälen (83) i GDPR.

Därför är det nödvändigt att kryptera personuppgifter på klientdatorer, hårddiskar, USB-minnen och andra lagringsmedier, samt i delade mappar.

Utöver detta behöver företag även uppdatera sin integritetspolicy så att den överensstämmer med GDPR. För en detaljerad förklaring av en GDPR-anpassad integritetspolicy, se följande artikel.

Relaterad artikel: Förklaring av viktiga punkter när man skapar en integritetspolicy anpassad för GDPR[ja]

Sammanfattning: Konsultera en expert för GDPR-åtgärder

Advokat som läser Roppo Zensho

GDPR skyddar personuppgifter som behandlas inom EU i stor utsträckning och kräver laglig och transparent behandling av data samt säkerställande av säkerheten. Skillnaderna mellan GDPR och den japanska lagen om skydd av personuppgifter inkluderar skyddsobjekt, hantering av personuppgiftsincidenter, inställning av ombud och sanktioner vid överträdelser.

Företag som huvudsakligen har verksamhet inom EU, företag som erbjuder varor eller tjänster till personer inom EU, och företag som har fått uppdrag att behandla personuppgifter från företag inom EU, är bland de som omfattas av GDPR. Om du bryter mot GDPR kan du bli föremål för skadeståndskrav och sanktionsavgifter, så det är viktigt att vara uppmärksam.

Om du behöver ändra ditt företags regler för dataskydd för att de ska överensstämma med GDPR, rekommenderar vi att du konsulterar en expert.

Information om åtgärder från vår byrå

Monolith Advokatbyrå har en omfattande erfarenhet inom IT, och särskilt inom internet och juridik. I takt med att den globala affärsverksamheten expanderar, ökar också behovet av juridisk granskning av experter. Vår byrå erbjuder lösningar inom internationell juridik.

Monolith Advokatbyrås expertisområden: Internationell juridik och utlandsverksamhet[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Vad är internationell juridik som krävs för att expandera utomlands? En förklaring av nödvändiga färdigheter och arbetsuppgifter

Vad är internationell juridik som krävs för att expandera utomlands? En förklaring av nödvändiga.

General Corporate

Vad är metoderna för kapitalanskaffning för aktiebolag? En omfattande förklaring som inkluderar mer än bara tredjepartsallokering av ökade aktier

Vad är metoderna för kapitalanskaffning för aktiebolag? En omfattande förklaring som inkluderar .

General Corporate

Förklaring av 'semi-offentliga personers' som företagsledare, läkare, professorer, etc. rätt till privatliv

Förklaring av 'semi-offentliga personers' som företagsledare, läkare, professorer, etc. rätt til.

General Corporate

Utvidgningen av 'e-sportsektorn', vad bör man vara uppmärksam på vid ingående av anställningsavtal?

Utvidgningen av 'e-sportsektorn', vad bör man vara uppmärksam på vid ingående av anställningsavt.

General Corporate

Finns det upphovsrätt i massproducerade industriprodukter? Förklaring av relationen med den japanska 'Designlagen' också

Finns det upphovsrätt i massproducerade industriprodukter? Förklaring av relationen med den japa.

General Corporate

Grundläggande kunskaper och förfaranden för företagsförvärv som du bör känna till

Grundläggande kunskaper och förfaranden för företagsförvärv som du bör känna till

General Corporate

Från 'Japanese Provider Responsibility Limitation Law' till 'Japanese Information Distribution Platform Measures Law (Joho Pura-ho)': En genomgång av ändringspunkterna

Från 'Japanese Provider Responsibility Limitation Law' till 'Japanese Information Distribution P.

General Corporate

Den juridiska kraften av ett grundläggande avtal i M&A-kontrakt

Den juridiska kraften av ett grundläggande avtal i M&A-kontrakt

General Corporate

Spel och lagar (del 1): Upphovsrättslag, Japanska 'Prisvisningslagen' och Japanska 'Lagen om betalningstjänster

Spel och lagar (del 1): Upphovsrättslag, Japanska 'Prisvisningslagen' och Japanska 'Lagen om bet.

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Tillbaka till toppen