GDPR vs APPI: EU- en Japanse privacywetten vergeleken
De Japanse APPI (Act on the Protection of Personal Information) werd aanzienlijk versterkt door wijzigingen in 2022. Japan heeft een wederzijds GDPR-adequaatheidsbesluit met de EU, wat vrije gegevensstromen tussen de twee regio's mogelijk maakt. Hoewel beide wetten persoonlijke gegevens beschermen, verschillen ze in hun benadering van toestemming, melding van datalekken en de behandeling van gepseudonimiseerde gegevens. De Personal Information Protection Commission (PPC) handhaaft de APPI.
| Kenmerk | GDPR | APPI |
|---|---|---|
| Geografisch bereik | Europese Unie en EER-lidstaten | Japan (van toepassing op bedrijfsexploitanten die persoonlijke gegevens verwerken) |
| Op wie van toepassing | Elke organisatie die gegevens van EU-ingezetenen verwerkt, ongeacht locatie | Bedrijfsexploitanten die persoonlijke gegevens van personen in Japan verwerken |
| Toestemmingsvereisten | Opt-in toestemming als een van zes rechtsgrondslagen voor verwerking | Toestemming vereist voor verstrekking aan derden; andere verwerking vereist mogelijk geen toestemming |
| Cookie- en trackingregels | Niet-essentiële cookies vereisen uitdrukkelijke voorafgaande toestemming onder de ePrivacy-richtlijn | Geen specifieke cookietoestemmingswet; wijzigingen van 2022 reguleren 'individueel herleidbare informatie' van cookies |
| Individuele rechten | Toegang, rectificatie, verwijdering, overdraagbaarheid, beperking, bezwaar | Toegang, correctie, stopzetting van gebruik, openbaarmaking van overdrachten aan derden, verwijdering (uitgebreid 2022) |
| Maximale boetes | Tot EUR 20 miljoen of 4% van de jaarlijkse wereldwijde omzet | Tot JPY 100 miljoen voor bedrijven; strafrechtelijke sancties waaronder gevangenisstraf voor individuen |
| Handhavingsinstantie | Nationale gegevensbeschermingsautoriteiten in elke EU-lidstaat | Personal Information Protection Commission (PPC) |
Belangrijkste verschillen
Japan en de EU hebben een wederzijdse adequaatheidsregeling, wat betekent dat persoonlijke gegevens vrij tussen hen kunnen stromen zonder aanvullende waarborgen. Dit is belangrijk voor internationaal zakendoen en was gebaseerd op aanvullende regels die Japanse bedrijven moeten volgen bij het verwerken van persoonlijke gegevens uit de EU, waardoor APPI-beschermingen dichter bij GDPR-normen komen voor dergelijke gegevens.
De APPI vereist toestemming specifiek voor het verstrekken van persoonlijke gegevens aan derden, wat op dit enge vlak strenger is dan de GDPR. Onder de GDPR kunnen overdrachten aan derden steunen op een van de zes rechtsgrondslagen. De GDPR wordt echter over het algemeen als strenger beschouwd, met name wat betreft cookietoestemmingsvereisten, een bredere definitie van persoonlijke gegevens en uitgebreidere rechten van betrokkenen.
De APPI-wijzigingen van 2022 introduceerden verschillende belangrijke veranderingen: verplichte melding van datalekken aan de PPC en getroffen personen, verhoogde boetes voor overtredingen, nieuwe individuele rechten waaronder het recht om stopzetting van gebruik te verzoeken, en strengere regels voor grensoverschrijdende gegevensoverdrachten. Deze veranderingen verkleinden de kloof tussen de APPI en de GDPR aanzienlijk, hoewel er nog verschillen bestaan op gebieden zoals cookieregulering en de reikwijdte van individuele rechten.
Hoe Pryvii helpt
Pryvii scant uw website op zowel GDPR- als APPI-vereisten, controleert toestemmingsmechanismen, vermeldingen over het delen van gegevens met derden en de inhoud van privacymededelingen. Het identificeert waar uw nalevingspraktijken voldoen aan de ene wet maar mogelijk tekortschieten bij de andere, en helpt bedrijven die actief zijn op zowel de EU- als de Japanse markt.
Veelgestelde vragen
Wat betekent het EU-Japan adequaatheidsbesluit voor mijn bedrijf?
Het wederzijdse adequaatheidsbesluit betekent dat persoonlijke gegevens vrij kunnen stromen tussen de EU en Japan zonder standaard contractbepalingen of andere overdrachtsmechanismen. Japanse bedrijven moeten aanvullende regels volgen bij het verwerken van EU-gegevens. Dit vereenvoudigt de naleving voor bedrijven die op beide markten actief zijn, hoewel u nog steeds aan de specifieke vereisten van elke wet moet voldoen.
Hoe hebben de APPI-wijzigingen van 2022 de nalevingsvereisten veranderd?
De wijzigingen van 2022 introduceerden verplichte melding van datalekken, verhoogden de bedrijfsboetes tot JPY 100 miljoen, breidden individuele rechten uit met stopzetting van gebruik en verwijdering, verscherpten de regels voor grensoverschrijdende overdrachten en introduceerden regulering van 'individueel herleidbare informatie' van cookies en online identificatoren. Deze veranderingen versterkten de APPI aanzienlijk.
Vereist Japan cookietoestemming zoals de GDPR?
Japan heeft geen direct equivalent van de cookietoestemmingsvereiste van de ePrivacy-richtlijn. De APPI-wijzigingen van 2022 introduceerden echter het concept van 'individueel herleidbare informatie', dat cookiegegevens kan omvatten wanneer deze worden gekoppeld aan persoonlijke gegevens. Als cookies worden gebruikt om gegevens te verzamelen die bij de ontvanger worden gecombineerd met persoonlijke gegevens, is voorafgaande toestemming vereist voor die overdracht.
Gerelateerde vergelijkingen
Controleer uw naleving
Scan uw website tegen meerdere regelgevingen in enkele minuten.