Hvad er APPI – Japans databeskyttelseslov?

Table of Contents

I juni 2020 vedtog den japanske regering en ændring af APPI. Den nye ændrede APPI træder i kraft den 1. april 2022. Ligesom andre databeskyttelseslove på verdensplan har APPI til formål at beskytte japanske borgeres personoplysninger.

Med en anden revision, der fandt sted tidligere i 2015, er det afgørende for organisationer, der bruger personoplysninger i Japan, at revidere deres forståelse og praksis for at sikre fuldstændig overholdelse af den seneste APPI.

Hvad er APPI?

APPI eller loven om beskyttelse af personoplysninger blev første gang vedtaget i 2003. Det var faktisk en af de første databeskyttelsesregler i Asien. I stedet for at erstatte loven, som andre lovgivere valgte at gøre, reviderede Japan loven i september 2015 efter adskillige højt profilerede databrud.

Den nye revision i 2015 introducerede Personal Information Protection Commission (PIPC) – et uafhængigt agentur, der har til opgave at beskytte enkeltpersoners rettigheder og interesser i forbindelse med databeskyttelse. Den tilskynder også til hensigtsmæssig og effektiv anvendelse af personoplysninger.

Ligesom anden databeskyttelseslovgivning, såsom GDPR, gælder APPI for alle virksomheder, der tilbyder varer og tjenesteydelser i Japan, uanset deres sande placering. Dette er kendt som et ekstraterritorialt anvendelsesområde.

2003-versionen af loven var kun gældende for en organisation med mindst 5.000 identificerbare personer i deres database i løbet af de foregående seks måneder. Men de seneste ændringer betyder nu, at loven gælder for alle organisationer, der behandler personlige oplysninger til forretningsformål, uanset antallet af personer.

It’s easy to be compliant with CookieHub

Sign up today and create a custom cookie banner for your website

Hvad er nyt i 2020-ændringen?

Den ændrede APPI fra 2020 træder først i kraft i foråret 2022, men det betyder ikke, at virksomheder ikke skal forberede sig.

Der er fire vigtige ændringer, du skal være opmærksom på:

1. Anmeldelse af brud på datasikkerheden

Organisationer er forpligtet til at informere både kommissionen for beskyttelse af personoplysninger (PIPC) og registrerede om ethvert brud på datasikkerheden, der risikerer at skade de registreredes rettigheder og interesser.

Ifølge ændringen omfatter det:

2. Pseudonymiserede data

Her behøver organisationer, der håndterer pseudonymiserede data, ikke at overholde visse forpligtelser, såsom registreredes anmodninger om at ophøre med at bruge personoplysninger.

For at pseudonymisere data må personlige oplysninger ikke indeholde:

3. Levering af data til tredjeparter

Tidligere skal den registrerede underrettes om videregivelse af personoplysninger til tredjemand. I henhold til den ændrede APPI skal organisationer nu bekræfte, at en modtager har modtaget samtykke fra den registrerede forud for overførslen.

Samtykket skal dokumenteres sammen med datoen for leveringen, modtagerens navn og adresse og de kategorier af oplysninger, der er givet. Disse optegnelser skal opbevares i tre år.

4. Internationale overførsler

Før der foretages en grænseoverskridende overførsel til tredjeparter uden for Japan, skal den registrerede informeres. Oplysningerne skal omfatte:

Når et foretagende (dataeksportøren) foretager en grænseoverskridende overførsel, bør det:

Hvad er japanske borgeres rettigheder i henhold til APPI?

I APPI er flere borgeres rettigheder med hensyn til deres personoplysninger. Det drejer sig bl.a. om:

Sanktioner i henhold til APPI

Ifølge APPI kan registrerede kontakte PIPC for at informere dem om en overtrædelse. PIPC vil derefter kontakte organisationen og anmode om, at de retter op på situationen. Undladelse af at gøre det vil resultere i efterfølgende handlinger og sanktioner.

I øjeblikket kan PIPC håndhæve straffe på op til 100.000.000 japanske yen (907.715 dollars) eller en strafferetlig straf på op til 1 års fængsel.

Desuden kan japanske borgere i henhold til den private ret til handling sagsøge organisationer, der krænker deres datarettigheder.

Konklusion

Med en nylig stigning i cyberkriminalitet og en række højt profilerede databrud bringer ændringen af APPI Japan på linje med andre databeskyttelsesregler på verdensplan. For eksempel er sager som “Rikunabi-skandalen”, hvor personoplysninger om 7.893 registrerede studerende blev videregivet til kundevirksomheder uden de studerendes samtykke, ikke længere tilladt.

I stedet straffer de nye strenge retningslinjer hårdt datahåndteringsforseelser og skaber et sæt stive regler, som organisationer skal følge. Disse regler gælder for enhver organisation, der håndterer japanske statsborgeres data, uanset hvor de befinder sig.

Forhåbentlig er du nu opmærksom på de nye krav, hvis du endnu ikke har gjort dig bekendt med den ændrede APPI for 2020. Ændringen kræver slutbrugerens samtykke ved overførsel af personoplysninger til tredjeparter.

For yderligere oplysninger henvises til PIPC’s websted.

Kilder:

Are you compliant?

CookieHub automatically scans your website to detect cookies, ensuring all cookies are easily managed.

Sales & Support