MONOLITH LAW OFFICE+81-3-6262-3248Vardagar 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Att skapa en GDPR-anpassad integritetspolicy: Viktiga punkter att förstå

General Corporate

Att skapa en GDPR-anpassad integritetspolicy: Viktiga punkter att förstå

När man hanterar personuppgifter för användare inom EU måste man följa Japanese General Data Protection Regulation (GDPR) och skapa en integritetspolicy som är anpassad till GDPR. Det är dock många som inte har en detaljerad förståelse för GDPR och undrar om deras egen webbplats behöver anpassas och i så fall hur man ska gå tillväga.

I den här artikeln kommer vi att förklara grunderna i GDPR och ge tips om hur man skapar en integritetspolicy som är i linje med GDPR. Vi kommer även att presentera hur Japan anpassar sig till dessa regler och ge exempel från kända företag, så ta gärna en titt för inspiration.

Om GDPR och integritetspolicy

Om GDPR och integritetspolicy

Vad innebär en integritetspolicy som är anpassad till GDPR? Här förklarar vi översiktligt vad GDPR är och vilka skyldigheter som finns i samband med GDPR:s integritetspolicy.

GDPR och integritetspolicy

GDPR är en förordning som EU har fastställt för att detaljerat reglera skyddet och hanteringen av personuppgifter. GDPR tillämpas inom Europeiska ekonomiska samarbetsområdet (EES: EU-medlemsländer samt Island, Liechtenstein och Norge, med undantag för Schweiz). Japanska företag kan också omfattas av GDPR i följande fall:

  • De erbjuder varor eller tjänster till dataämnen inom EU.
  • De övervakar beteendet hos dataämnen som befinner sig inom EU.

Med dataämne avses en identifierad eller identifierbar fysisk person, det vill säga den individ som personuppgifterna rör.

Företag som faller under ovanstående kriterier måste se över och eventuellt revidera sin integritetspolicy (eller integritetsmeddelande). Om de bryter mot GDPR kan de bli skyldiga att betala böter på upp till 20 miljoner euro eller motsvarande 4 % av den globala årsomsättningen.

Referens: Japan External Trade Organization | “EU:s allmänna dataskyddsförordning (GDPR)”[ja]

För att tryggt kunna bedriva handel med länder inom EU är det essentiellt att kontrollera integritetspolicyn.

Information som ska tillhandahållas vid insamling av personuppgifter enligt GDPR

Enligt GDPR måste den som samlar in personuppgifter tillhandahålla viss information till dataämnet. Artikel 12.1 i GDPR beskriver hur denna information ska tillhandahållas.

Informationen ska vara:

  • Koncis, transparent, förståelig och lättillgänglig.
  • Formulerad i klart och enkelt språk.
  • Anpassad när det gäller information till barn, så att lämpliga åtgärder vidtas.
  • Tillhandahållen skriftligen eller, där det är lämpligt, genom elektroniska medel eller andra metoder.
  • Tillgänglig att tillhandahållas muntligt om dataämnet begär det.

Artikel 12.5 i GDPR anger även att tillhandahållandet av informationen ska vara kostnadsfritt. Kontrollera att er integritetspolicy uppfyller dessa krav och revidera den vid behov.

Viktiga punkter vid revidering av en GDPR-anpassad integritetspolicy

Viktiga punkter vid revidering av en GDPR-anpassad integritetspolicy

Enligt GDPR måste en personuppgiftsansvarig, när personuppgifter samlas in direkt från den registrerade (enligt GDPR artikel 13) eller från någon annan än den registrerade (enligt GDPR artikel 14), tydligt ange flera punkter för den registrerade.

De punkter som den personuppgiftsansvarige ska klargöra inkluderar följande:

  • Den personuppgiftsansvariges identitet och kontaktuppgifter
  • Om det finns en representant, representantens identitet och kontaktuppgifter
  • Den registrerades rättigheter till åtkomst, rättelse, radering, begränsning, dataportabilitet och att invända
  • Ändamålen med och den rättsliga grunden för behandlingen av personuppgifter
  • Den period under vilken personuppgifterna kommer att lagras, eller kriterierna för att fastställa denna period
  • De typer av personuppgifter som är relevanta

Det finns punkter som måste klargöras i en GDPR-anpassad integritetspolicy som inte fanns i den japanska integritetspolicyn, så dessa bör vara i fokus när man gör revideringar. För en integritetspolicy som tar hänsyn till den japanska lagen om skydd av personuppgifter (Japanese Personal Information Protection Act), se följande artikel.

Relaterad artikel: Vad är viktigt att tänka på när man skapar en integritetspolicy som tar hänsyn till lagen om skydd av personuppgifter?[ja]

Här förklarar vi de viktiga punkterna för revidering, med fokus på de aspekter som inte fanns i en integritetspolicy baserad på den japanska lagen om skydd av personuppgifter.

Grunden för laglighet i databehandling

I GDPR (General Data Protection Regulation) krävs det att man uttryckligen anger “grunden för laglighet i databehandling”, vilket inte var ett krav enligt den tidigare personuppgiftslagen. Det finns sex grunder som gör behandlingen av personuppgifter laglig enligt artikel 6 i GDPR:

  • Den registrerades samtycke
  • Fullgörande av avtal
  • Rättslig förpliktelse
  • Intressen som rör skydd av liv
  • Uppgifter av allmänt intresse
  • Legitima intressen

Om någon av dessa sex grunder är tillämpliga, kan behandlingen anses vara laglig. Det är därför viktigt att tydligt ange detta i sekretesspolicyn. För personer som för första gången lämnar ut sina uppgifter kan man hantera detta genom att få deras samtycke via en ny sekretesspolicy.

Det man dock måste vara uppmärksam på är hanteringen av användare som redan har gett sitt samtycke. För personer som har gett sitt samtycke före revideringen av sekretesspolicyn kan det bli nödvändigt att be om samtycke på nytt.

I dessa fall kan man ange en av de sex lagliga grunderna i sekretesspolicyn och på så sätt be om samtycke för revideringen.

Informationens kategorier och användningsändamål

I traditionella sekretesspolicyer tenderar man att på samma sida ange vilken information som samlas in och i vilket syfte, samt användarvillkoren, och sedan få ett samlat godkännande. Dock kräver GDPR (General Data Protection Regulation) att det ska vara tydligt för användarna vad de ger sitt samtycke till, och att objektet för detta samtycke ska specificeras.

Det är bra att ange användningsändamålet för varje kategori av insamlad information och att använda en displaymetod som erhåller samtycke för var och en separat.

Tydliggörande av användningsändamål

Enligt GDPR måste man tydligt ange ändamålet med användningen av insamlad information. Till exempel kan ett ändamål som “för att förbättra tjänsten” anses vara för vagt och därmed olämpligt.

Det är också viktigt att notera att ytterligare behandling som inte överensstämmer med det ursprungliga ändamålet inte är tillåten, så se till att uppdatera er integritetspolicy med detta i åtanke.

Rätten till radering och dataportabilitet

Många företag har tidigare inkluderat rättigheter som åtkomsträtt och rätt till rättelse i sina sekretesspolicyer. Men enligt GDPR (General Data Protection Regulation) krävs det även att man inkluderar ‘rätten till radering och dataportabilitet’.

Rätten till radering innebär att en användare har rätt att få sina personuppgifter raderade av den ansvariga administratören. Dataportabilitet innebär rätten att överföra personuppgifter till en annan tjänsteleverantör.

Till exempel kan det innebära att överföra en abonnents data och användningshistorik från mobiloperatör A till mobiloperatör B. För att vara i linje med GDPR måste sekretesspolicyn inkludera information om dessa rättigheter.

Tydliggörande av lagringstid för data

Enligt GDPR (General Data Protection Regulation) är det nödvändigt att tydligt ange “lagringstiden för personuppgifter”, vilket inte var ett krav i tidigare sekretesspolicyer. Om det inte är möjligt att fastställa en specifik period, är det tillåtet att istället ange kriterierna för hur lagringstiden bestäms.

Japanska företags efterlevnad av GDPR

Japanska företags efterlevnad av GDPR

Vi presenterar undersökningsinformation från “Företags IT-användningsundersökning 2021” (detaljerad version) som genomförts av Japan Information Economy Society Promotion Association och ITR Corporation. Länk till undersökningen[ja].

Företags IT-användningsundersökning 2021

Enligt undersökningsresultaten är det få företag som är fullt kompatibla med GDPR, och det största antalet företag, 26,1 %, är fortfarande i processen att anpassa sig (under övervägande). Vid tidpunkten för sammanställningen 2021 var det också en trend att många företag inte hade någon överföring av personuppgifter till EU.

Undersökningsresultaten om utbyte av personuppgifter med EU är som följer:

Företags IT-användningsundersökning 2021

Enligt diagrammet ovan svarade 44,4 % av företagen att de “för närvarande inte har något utbyte och inte planerar något i framtiden”, vilket var den största gruppen. 12 % av företagen svarade att de “hade utbyte tidigare, men efter GDPR:s införande hanterar de nu data separat i EU och Japan”.

25,9 % svarade att de “för närvarande inte har något utbyte men planerar att ha det i framtiden”, och 17,6 % svarade att de “för närvarande har ett utbyte”. Detta visar att även om det finns en möjlighet att fler företag kommer att ha utbyte med EU i framtiden, var antalet företag som hade det vid tidpunkten för undersökningen 2021 fortfarande lågt.

Källa: JIPDEC/ITR ‘Företags IT-användningsundersökning 2021′[ja]

Kända företags anpassning till GDPR

Kända företags anpassning till GDPR

Många är osäkra på hur de ska uppdatera sin sekretesspolicy för att följa GDPR. Här kommer vi att detaljerat förklara hur välkända företag som Google och Facebook har anpassat sig till GDPR som exempel på företags åtgärder för att uppfylla dessa krav.

Googles anpassning till GDPR

Google har meddelat följande åtgärder för att anpassa sig till GDPR:

  • Förbättrad transparens för användarna
  • Förbättrade möjligheter för användarna att hantera sina egna data
  • Förbättrad dataportabilitet
  • Verktygsförbättringar för vårdnadshavares samtycke och barns lämpliga användning av internet
  • Stöd till affärsanvändare och partners
  • Förstärkning av programmet för integritetsöverensstämmelse

Här förklarar vi detaljerna.

Referens: Google “Om Googles förberedelser för EU:s allmänna dataskyddsförordning (GDPR)”

Förbättrad transparens gentemot användare

För att göra det enklare att förstå vilken information Google samlar in och varför, förbättrar och uppdaterar vi vår sekretesspolicy för att göra informationen mer tillgänglig. Andra nämnda uppdateringar inkluderar:

  • Tillägg av detaljerad information om hantering, export och radering av data
  • Läggning till av videor och diagram utöver text

Dessutom har vi ändrat inställningarna för att göra det lättare att öppna sidan för sekretessinställningar.

Förbättrad användarhantering

För att efterleva GDPR (General Data Protection Regulation) har vi förbättrat hur vi hanterar användardata. Följande förändringar har genomförts:

  • Möjlighet att visa och radera data i “Min aktivitet”
  • En funktion som tillåter sökning efter ämne, datum och produkt
  • Möjlighet att granska personliga integritetsinställningar som passar dig
  • Kontroll och möjlighet att dölja visade annonser
  • Översikt över data i Google Dashboard

Dessutom har användarinformation och annonshantering blivit lättare att hantera än före GDPR:s införande.

Förbättrad dataportabilitet

Google erbjuder en mängd olika tjänster såsom Google Foto, Drive, Kalender och Gmail. Nedan följer de åtgärder som Google har vidtagit för att förbättra dataportabiliteten i enlighet med GDPR:

  • Utökning av tjänster och administrativa funktioner som stödjer nedladdning av data
  • Tillägg av funktioner för att schemalägga regelbundna nedladdningar

Förbättring av verktyg för barns lämpliga användning av internet med vårdnadshavares samtycke

Google erbjuder Family Link-appen för att underlätta lämplig användning av internet för både vårdnadshavare och barn. Genom att använda Family Link kan vårdnadshavare skapa konton för sina barn.

I appen finns funktioner som “hantering av användningstid” och “tillfällig paus av enheten”, vilket gör det möjligt för familjer att ställa in och hantera regler hemma.

Stöd för affärsanvändare och partners

För att efterleva GDPR har vi uppdaterat vår policy som berör hur Google-partners (såsom annonsörer och webbplatsoperatörer) begär samtycke från användare på sina webbplatser och i sina appar. Andra nämnvärda uppdateringar inkluderar:

  • Tillhandahållande av verktyg som stödjer efterlevnad av GDPR
  • Förstärkning av certifieringsprocessen för företag som använder Googles annonstjänster
  • Uppdatering av villkoren för databehandling
  • Tillhandahållande av detaljerad information om dataportabilitet och notifiering av dataincidenter

Stärkning av programmet för integritetsöverensstämmelse

För att uppfylla kraven i GDPR (General Data Protection Regulation) förstärker vi vårt program för integritetsöverensstämmelse. Programmet inkluderar följande punkter:

  • Förbättringar av integritetsprogrammet
  • Stärkning av produktgranskningsprocessen

Vi dokumenterar även datahanteringsprocesserna på ett mer omfattande sätt.

Facebooks anpassning till GDPR

Facebook har meddelat följande åtgärder som en anpassning till GDPR:

  • Verifiering av informationssamling från visade annonser
  • Val av profilinformation
  • Verifiering av ansiktsigenkänningsteknik (EU & Kanada)
  • Uppdaterade användarvillkor & samtycke till datahantering
  • Införande av funktioner som underlättar åtkomst, radering och nedladdning av information
  • Information till yngre användare

Här förklarar vi detaljerna.

Referens: Facebook “Efterlevnad av allmänna dataskyddsförordningen (GDPR) och tillhandahållande av nya integritetsskydd[ja]

Verifiering av informationssamling från visade annonser

Facebooks partner använder information som samlats in genom klick på “Gilla”-knappen och verktyg som tillhandahålls av Facebook för att visa annonser. Användarna tillhandahålls information om annonserna och kan välja om de tillåter att information från partner används för att visa annonser.

Val av profilinformation

På Facebooks profiler finns information om politiska åsikter, religion/tro och relationer som är offentliga. Användarna kan välja om de vill fortsätta att offentliggöra denna information och om den får användas i annonser.

Profilinformationen kan alltid väljas fritt och om användaren så önskar kan den enkelt tas bort.

Verifiering av ansiktsigenkänningsteknik (EU & Kanada)

Facebook ger användare i EU-länder och Kanada möjlighet att välja om de vill använda ansiktsigenkänningsteknik. Även användare i andra regioner har friheten att välja detta.

Uppdaterade användarvillkor & samtycke till datahantering

Användarna kommer att se en uppmaning att godkänna “Användarvillkor” och “Datapolicy” som innehåller detaljerad information om hur tjänsten fungerar.

Införande av funktioner som underlättar åtkomst, radering och nedladdning av information

Med hjälp av “Verktyg för hantering av personuppgifter” kan användare granska och radera sina egna data. Dessutom har det gjorts enkelt att ladda ner och exportera data.

Loggfunktionen för aktiviteter på mobila enheter har uppdaterats för att göra det enklare för användare att se vilken information de har delat tidigare.

Information till yngre användare

Facebook har redan infört restriktioner specifikt för tonårsanvändare. Dessa inkluderar:

  • Begränsningar av annonskategorier
  • Förbud mot användning av ansiktsigenkänning (under 18 år)
  • Begränsningar av vem som kan se och söka efter information som tonåringar delar

Dessutom är standardinställningarna utformade så att information inte blir offentlig.

För att anpassa sig till GDPR har Facebook också infört särskilda regler. För användare i EU-länder krävs föräldrars tillstånd för att visa annonser och offentliggöra profilinformation (såsom religion/tro, politiska åsikter). I andra regioner kan användarna välja om de tillåter att data som samlats in av partner används för att visa annonser och om de vill offentliggöra personlig information i sina profiler.

Sammanfattning: GDPR har ett bredare omfång för personuppgifter än japansk lag och kräver åtgärder

GDPR

I GDPR finns olika bestämmelser såsom “tydliggörande av användningsändamål för varje insamlad information”, “explicita rättigheter till radering och dataportabilitet” och “explicit angivande av lagringstid”, vilket utvidgar användarnas rättigheter jämfört med traditionell japansk lagstiftning.

Om man bryter mot GDPR kan det leda till att man måste betala höga sanktionsavgifter, och företag som hanterar personuppgifter inom EU måste anpassa sig till GDPR. Företag som driver verksamhet inom EU eller som överväger att etablera sig där bör skapa en integritetspolicy som är i linje med GDPR.

Information om åtgärder från vår byrå

Monoliths juristbyrå har omfattande erfarenhet inom IT, särskilt internet och juridik. I takt med att den globala affärsverksamheten expanderar, ökar behovet av juridisk granskning av experter. Vår byrå erbjuder lösningar inom internationell juridik.

Monoliths juristbyrås expertisområden: Internationell juridik och utlandsverksamhet[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Tillbaka till toppen