I juni 2020 vedtog den japanske regering en ændring af APPI. Den nye ændrede APPI træder i kraft den 1. april 2022. Ligesom andre databeskyttelseslove på verdensplan har APPI til formål at beskytte japanske borgeres personoplysninger.
Med en anden revision, der fandt sted tidligere i 2015, er det afgørende for organisationer, der bruger personoplysninger i Japan, at revidere deres forståelse og praksis for at sikre fuldstændig overholdelse af den seneste APPI.
Hvad er APPI?
APPI eller loven om beskyttelse af personoplysninger blev første gang vedtaget i 2003. Det var faktisk en af de første databeskyttelsesregler i Asien. I stedet for at erstatte loven, som andre lovgivere valgte at gøre, reviderede Japan loven i september 2015 efter adskillige højt profilerede databrud.
Den nye revision i 2015 introducerede Personal Information Protection Commission (PIPC) – et uafhængigt agentur, der har til opgave at beskytte enkeltpersoners rettigheder og interesser i forbindelse med databeskyttelse. Den tilskynder også til hensigtsmæssig og effektiv anvendelse af personoplysninger.
Ligesom anden databeskyttelseslovgivning, såsom GDPR, gælder APPI for alle virksomheder, der tilbyder varer og tjenesteydelser i Japan, uanset deres sande placering. Dette er kendt som et ekstraterritorialt anvendelsesområde.
2003-versionen af loven var kun gældende for en organisation med mindst 5.000 identificerbare personer i deres database i løbet af de foregående seks måneder. Men de seneste ændringer betyder nu, at loven gælder for alle organisationer, der behandler personlige oplysninger til forretningsformål, uanset antallet af personer.
Hvad er nyt i 2020-ændringen?
Den ændrede APPI fra 2020 træder først i kraft i foråret 2022, men det betyder ikke, at virksomheder ikke skal forberede sig.
Der er fire vigtige ændringer, du skal være opmærksom på:
1. Anmeldelse af brud på datasikkerheden
Organisationer er forpligtet til at informere både kommissionen for beskyttelse af personoplysninger (PIPC) og registrerede om ethvert brud på datasikkerheden, der risikerer at skade de registreredes rettigheder og interesser.
Ifølge ændringen omfatter det:
- Brud på datasikkerheden, der involverer følsomme personoplysninger
- Databrud med risiko for tingsskade
- Databrud begås sandsynligvis for ukorrekt brug, f.eks. et cyberangreb
- Databrud, der involverer mere end 1.000 registrerede
2. Pseudonymiserede data
Her behøver organisationer, der håndterer pseudonymiserede data, ikke at overholde visse forpligtelser, såsom registreredes anmodninger om at ophøre med at bruge personoplysninger.
For at pseudonymisere data må personlige oplysninger ikke indeholde:
- Beskrivelser af specifikke personer, f.eks. navn eller alder
- Individuelle identifikationskoder
- Beskrivelser, der kan forårsage skade på ejendom
3. Levering af data til tredjeparter
Tidligere skal den registrerede underrettes om videregivelse af personoplysninger til tredjemand. I henhold til den ændrede APPI skal organisationer nu bekræfte, at en modtager har modtaget samtykke fra den registrerede forud for overførslen.
Samtykket skal dokumenteres sammen med datoen for leveringen, modtagerens navn og adresse og de kategorier af oplysninger, der er givet. Disse optegnelser skal opbevares i tre år.
4. Internationale overførsler
Før der foretages en grænseoverskridende overførsel til tredjeparter uden for Japan, skal den registrerede informeres. Oplysningerne skal omfatte:
- Navn på det land, hvortil oplysningerne skal overføres
- Bestemmelseslandets system til beskyttelse af personoplysninger
- Databeskyttelsesforanstaltninger, der skal træffes af dataimportøren
Når et foretagende (dataeksportøren) foretager en grænseoverskridende overførsel, bør det:
- Foretage en periodisk bekræftelse af status for personoplysningerne og tilstanden af systemer, der påvirker dataimportørens håndtering af data
- Vurder afhjælpende foranstaltninger, hvis der opstår et problem
- Vurdere de foranstaltninger, der skal træffes for at sikre fortsat korrekt datahåndtering
Hvad er japanske borgeres rettigheder i henhold til APPI?
I APPI er flere borgeres rettigheder med hensyn til deres personoplysninger. Det drejer sig bl.a. om:
- Retten til at anmode en organisation om at ophøre med brugen eller overførslen af deres personoplysninger, hvis organisationen ikke længere har en gyldig grund til at bruge dataene, hvis der er sket et brud på datasikkerheden, eller håndteringen af disse data vil krænke den registreredes rettigheder.
- Retten til at få adgang til personoplysninger, som en organisation ønsker at slette inden for seks måneder.
- Retten til at anmode om adgang til optegnelser vedrørende dataoverførsler til tredjeparter
- Retten til at anmode en organisation om at rette, revidere, ændre eller slette personoplysninger vedrørende den registrerede
- Retten til at anmode om en kopi af alle personlige oplysninger vedrørende den registrerede.
Sanktioner i henhold til APPI
Ifølge APPI kan registrerede kontakte PIPC for at informere dem om en overtrædelse. PIPC vil derefter kontakte organisationen og anmode om, at de retter op på situationen. Undladelse af at gøre det vil resultere i efterfølgende handlinger og sanktioner.
I øjeblikket kan PIPC håndhæve straffe på op til 100.000.000 japanske yen (907.715 dollars) eller en strafferetlig straf på op til 1 års fængsel.
Desuden kan japanske borgere i henhold til den private ret til handling sagsøge organisationer, der krænker deres datarettigheder.
Konklusion
Med en nylig stigning i cyberkriminalitet og en række højt profilerede databrud bringer ændringen af APPI Japan på linje med andre databeskyttelsesregler på verdensplan. For eksempel er sager som “Rikunabi-skandalen”, hvor personoplysninger om 7.893 registrerede studerende blev videregivet til kundevirksomheder uden de studerendes samtykke, ikke længere tilladt.
I stedet straffer de nye strenge retningslinjer hårdt datahåndteringsforseelser og skaber et sæt stive regler, som organisationer skal følge. Disse regler gælder for enhver organisation, der håndterer japanske statsborgeres data, uanset hvor de befinder sig.
Forhåbentlig er du nu opmærksom på de nye krav, hvis du endnu ikke har gjort dig bekendt med den ændrede APPI for 2020. Ændringen kræver slutbrugerens samtykke ved overførsel af personoplysninger til tredjeparter.
For yderligere oplysninger henvises til PIPC’s websted.
Kilder:
https://www.ppc.go.jp/en/
https://iapp.org/news/a/japan-updates-enforcement-rules-for-amended-appi/
https://www.endpointprotector.com/blog/data-protection-in-japan-appi/
https://www.dataguidance.com/notes/japan-data-protection-overview
https://caseguard.com/articles/japan-act-on-the-protection-of-personal-information-appi/