Förklaring av 'straff' enligt den reviderade personuppgiftslagen i Reiwa 4 år (2022)
Från och med april 2022 har den reviderade japanska lagen om skydd av personuppgifter (2022 års reviderade lag om skydd av personuppgifter) trätt i kraft. Efter att ha förklarat viktiga punkter om ‘företagets skyldigheter’ enligt den reviderade lagen om skydd av personuppgifter 2022, kommer vi denna gång att förklara hur data kan användas och vilka påföljder som kan tillkomma.
Översikt över ändringarna i den japanska lagen om skydd av personuppgifter (Reiwa 4 (2022))
Ändringarna i den japanska lagen om skydd av personuppgifter 2022 kommer att genomföras med avseende på följande sex punkter:
- Individens rättigheter
- Företagens skyldigheter att skydda
- System för att uppmuntra företag att ta egna initiativ
- Användning av data
- Bestraffningar
- Tillämpning av lagen utanför dess jurisdiktion och gränsöverskridande överföringar
I “Förklaring av viktiga punkter om ‘företagens skyldigheter’ i ändringarna av den japanska lagen om skydd av personuppgifter 2022[ja]“, förklarade vi punkterna (1) och (2). Här kommer vi att förklara punkterna (3), (4), (5) och (6).
Relaterad artikel: Vad är den japanska lagen om skydd av personuppgifter och personuppgifter? En advokat förklarar[ja]
Metoder för att främja företags självständiga initiativ
Med tanke på metoder för att främja företags självständiga initiativ, har betydelsen av att privata organisationer utformar egna regler för hantering av personuppgifter inom specifika områden och aktivt ger vägledning till berörda företag ökat i takt med diversifieringen av affärsverksamhet och framstegen inom IT-teknik.
I den japanska lagen om skydd av personuppgifter (Japanese Personal Information Protection Law), förutom Personuppgiftsskyddskommissionen, strävar man efter att skydda information genom att använda privata organisationer, och ett system för ackrediterade organisationer har inrättats. Organisationer som hanterar klagomål om hantering av personuppgifter och tillhandahåller information om korrekt hantering av personuppgifter till företag kan bli “ackrediterade organisationer för skydd av personuppgifter” genom att få godkännande från Personuppgiftsskyddskommissionen. I ändringslagen kan organisationer som riktar sig mot specifika områden (avdelningar) inom företag nu bli ackrediterade som ackrediterade organisationer (Artikel 47, stycke 2). Detta är ett initiativ för att främja användningen av ackrediterade organisationer och främja skyddet av personuppgifter genom organisationer som är aktiva inom specifika verksamheter, genom att utnyttja deras expertis.
Användning av data
Det har skett två ändringar gällande användning av data.
Skapandet av “pseudonymiserad information” och lättnader i skyldigheter (Artikel 2, paragraf 9)
Enligt gällande lag betraktas information som enbart pseudonymiserats som “personuppgifter”, och företag är skyldiga att hantera dessa uppgifter. Det finns dock ett ökande behov av att använda denna “pseudonymiserade personliga information” för att genomföra mer detaljerade analyser med relativt enkla bearbetningsmetoder, samtidigt som man säkerställer en viss säkerhetsnivå och behåller datans användbarhet på samma nivå som innan bearbetningen.
Med detta i åtanke har ändringarna i lagen skapat “pseudonymiserad information” genom att ta bort namn och liknande, och lättnader i skyldigheter som att svara på begäran om upphörande av användning och avslöjande har införts, under förutsättning att det begränsas till intern analys.
Den skapade pseudonymiserade informationen är “information om individer som har bearbetats så att det inte är möjligt att identifiera en specifik individ utan att matcha med annan information”. Till exempel, “namn, ålder, datum, tid, belopp, butik” har bearbetats till “temporärt ID, ålder, datum, tid, belopp, butik”. Möjliga användningsfall inkluderar “intern analys för ändamål som inte ursprungligen var avsedda eller för nya ändamål som är svåra att bedöma” (t.ex. forskning inom medicin och läkemedel, bedrägeridetektering, försäljningsprognoser, maskininlärning) och “bearbetning till pseudonymiserad information och lagring för framtida statistisk analys av personuppgifter som har uppnått sitt användningsändamål”.
Angående skapandet av pseudonymiserad information, är det som minst krävs att:
- Alla eller delar av beskrivningar som kan identifiera en specifik individ (t.ex. namn) tas bort (inklusive ersättning).
- Alla personidentifieringskoder tas bort.
- Beskrivningar som kan leda till ekonomisk skada om de missbrukas (t.ex. kreditkortsnummer) tas bort.
Dessa åtgärder krävs.
Införande av skyldighet att kontrollera information som förväntas bli personuppgifter hos mottagaren (Artikel 26, paragraf 2)
Enligt gällande lag, om informationen inte är personuppgifter hos leverantören, är den inte reglerad även om den förväntas bli personuppgifter hos mottagaren. Men med ändringarna i lagen har det blivit obligatoriskt att kontrollera att samtycke har erhållits etc. för tredjepartsleverans av information som inte är personuppgifter hos leverantören, men som förväntas bli personuppgifter hos mottagaren.
Tekniken att samla in stora mängder användardata och omedelbart kombinera den till personuppgifter har utvecklats och spridits, och det finns en ökande trend att leverera icke-personlig information till tredje part som personuppgifter hos mottagaren, trots att man vet detta i förväg. Detta är i strid med syftet med lagen om skydd av personuppgifter. Det finns en oro för att denna metod för insamling av personuppgifter utan individens medverkan kommer att spridas.
Om påföljder
Det har skett två ändringar gällande påföljder.
Höjning av lagstadgade straff för överträdelser av order från kommittén och falska rapporter till kommittén (Artikel 83, Artikel 87, etc.)
Med en ökning av fall som bryter mot lagen, har det blivit fler fall där rapportinsamling och inspektioner genomförs. För att förbättra effektiviteten av dessa insamlingar och inspektioner, som är startpunkten för att förstå företagens verklighet, har de lagstadgade straffen höjts i den reviderade lagen.
Enligt den nuvarande lagen var straffet för “överträdelse av order från den japanska personuppgiftsskyddskommittén” fängelse i högst sex månader eller en böter på högst 300 000 yen, men enligt den reviderade lagen är det fängelse i högst ett år eller en böter på högst 1 miljon yen. “Otillbörlig tillhandahållande av personuppgiftsdatabaser, etc.” förblir oförändrat med fängelse i högst ett år eller en böter på högst 500 000 yen, men “falska rapporter till den japanska personuppgiftsskyddskommittén” har höjts från en böter på högst 300 000 yen till en böter på högst 500 000 yen enligt den reviderade lagen.
Höjning av böter för juridiska personer (Artikel 84, Artikel 85, etc.)
Enligt den nuvarande lagen var böterna för juridiska personer samma som för individer, men med hänsyn till skillnaden i ekonomiska resurser mellan juridiska personer och individer, har den reviderade lagen höjt det maximala beloppet för böter (högre straff för juridiska personer) för överträdelser av order, etc. Detta är baserat på bedömningen att det inte kan förväntas tillräcklig avskräckande effekt från straffet om samma böter tillämpas på juridiska personer som på individer.
Enligt den nuvarande lagen var böterna för “överträdelser av order från den japanska personuppgiftsskyddskommittén” av juridiska personer samma som för individer, dvs. högst 300 000 yen, men enligt den reviderade lagen är det högst 100 miljoner yen. “Otillbörlig tillhandahållande av personuppgiftsdatabaser, etc.” var enligt den nuvarande lagen samma som för individer, dvs. högst 500 000 yen, men enligt den reviderade lagen är det högst 100 miljoner yen. Dock är “falska rapporter till den japanska personuppgiftsskyddskommittén” fortfarande samma som för individer, dvs. högst 500 000 yen enligt den reviderade lagen.
Tillämpning av lagar utanför territoriet och gränsöverskridande överföringar
Följande två punkter har ändrats när det gäller tillämpning av lagar utanför territoriet och gränsöverskridande överföringar.
Förstärkning av tillämpning utanför territoriet (Artikel 75 i den japanska personuppgiftslagen)
Enligt den nuvarande lagen var de befogenheter som kunde utövas mot utländska operatörer, som är föremål för tillämpning utanför territoriet, begränsade till rådgivning och rekommendationer utan tvingande kraft. Det fanns en risk att den japanska personuppgiftskommissionen inte skulle kunna hantera läckage och andra incidenter i utlandet på ett lämpligt sätt. Därför har den reviderade lagen utvidgat målgruppen för rapportinsamling och order, som är säkrade genom straff, till utländska operatörer som hanterar personuppgifter och liknande i samband med tillhandahållande av varor eller medicinska tjänster till personer i Japan, vilket stärker kommissionens befogenheter.
Förbättring av informationstillhandahållande till individer om hantering av personuppgifter hos mottagande operatörer (Artikel 78 i den japanska personuppgiftslagen)
I vissa länder har det börjat införas statliga regleringar, och medan möjligheterna till gränsöverskridande överföring av personuppgifter ökar, skapar skillnader i system mellan länder och regioner osäkerhet för individer och operatörer som hanterar data, vilket ger upphov till oro ur ett skyddsperspektiv för individens rättigheter och intressen.
För att bemöta detta, har det beslutats att kräva förbättringar i informationstillhandahållandet till individer om hantering av personuppgifter hos mottagande operatörer vid överföring av personuppgifter till tredje part i utlandet. Som ett krav för att kunna tillhandahålla personuppgifter till en tredje part i utlandet, har det införts en skyldighet att “informera individen om namnet på mottagarlandet, om det finns ett system för skydd av personuppgifter i mottagarlandet, etc. vid inhämtning av samtycke”, och “regelbunden kontroll av mottagande operatörs hanteringssituation + tillhandahållande av relaterad information på begäran av individen” har lagts till som ett krav för “operatörer som har etablerat ett system som uppfyller standarderna”.
Sammanfattning
Den första lagändringen baserad på “regeln om översyn vart tredje år” är 2022 års ändring av den japanska personuppgiftslagen. Denna innefattar utökning av användningsstopp och radering, förbud mot olämplig användning, förbättring av informationsförsörjning relaterad till gränsöverskridande överföringar, och införandet av “pseudonymiserad information”. Detta har lett till att skyddet och stärkandet av individens rättigheter och intressen, hanteringen av nya risker i samband med ökningen av gränsöverskridande dataflöden, samt anpassningen till AI- och Big Data-eran har främjats.
Information om åtgärder från vår byrå
Monolis juridiska byrå är en advokatbyrå med hög expertis inom IT, särskilt internet och lag. Den nyligen reviderade ‘Japanese Personal Information Protection Law’ (Japans lag om skydd av personuppgifter) har fått mycket uppmärksamhet, och behovet av juridisk granskning ökar allt mer. Vår byrå erbjuder lösningar relaterade till immateriella rättigheter. Mer information finns i artikeln nedan.
Related Articles
Är det olagligt att rekrytera personal utan licens? När behövs tillstånd för betald yrkesrekomme.
General Corporate
Vilka företagsanställningsregler bör ses över när man godkänner ett system för extrajobb?
General Corporate
Vad innebär rabatter enligt den japanska 'Premiums and Representations Act'? Exempel och förklar.
General Corporate
Vad är nyckelpunkterna i den reviderade lagen om skydd av personuppgifter i Reiwa 6 (2024)? En f.
General Corporate
