ЕВРОПЕЙСКА КОМИСИЯ

Брюксел, 3.4.2023

COM(2023) 275 final

ДОКЛАД НА КОМИСИЯТА ДО ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И СЪВЕТА

относно първия преглед на функционирането на решението относно адекватното ниво на защита за Япония

{SWD(2023) 75 final}

ДОКЛАД НА КОМИСИЯТА ДО ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И СЪВЕТА

относно първия преглед на функционирането на решението относно адекватното ниво на защита за Япония

1.ПЪРВИЯТ ПРЕГЛЕД — КОНТЕКСТ, ПОДГОТОВКА И ПРОЦЕС

На 23 януари 2019 г. Европейската комисия прие решение съгласно член 45 от Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните) 1 , в което констатира, че Япония гарантира адекватно ниво на защита на личните данни, предавани от Европейския съюз на стопански субекти, третиращи лична информация 2 в Япония 3 . В резултат на това предаването на данни от ЕС към частни оператори в Япония може да се извършва без допълнителни изисквания 4 .

Решението на Комисията относно адекватното ниво на защита обхваща японския Закон за защита на личната информация (ЗЗЛИ), допълнен с Допълнителни правила, въведени с цел преодоляване на някои съществени различия между ЗЗЛИ и ОРЗД 5 . Тези допълнителни гаранции укрепват например защитата на чувствителните данни (чрез разширяване на категориите лична информация, която се счита за чувствителна), упражняването на личните права (чрез изясняване на това, че личните права може да се упражняват и по отношение на лични данни, съхранявани за срок, по-кратък от шест месеца, което по онова време не беше така съгласно ЗЗЛИ) 6 и условията, при които данните от ЕС могат да бъдат допълнително предавани („последващо предаване“) от Япония на друга трета държава 7 . Допълнителните правила са обвързващи за японските стопански субекти и могат да бъдат прилагани от независимия орган за защита на данните — Комисията за защита на личната информация (КЗЛИ), или пряко от физически лица от ЕС в японските съдилища 8 .

Освен това японското правителство предостави на Комисията официални изявления, гаранции и ангажименти по отношение на ограниченията и гаранциите във връзка с достъпа и използването на лични данни от японските публични органи за целите на наказателното правоприлагане и националната сигурност, като поясни, че всяко такова обработване е ограничено до това, което е необходимо и пропорционално, и подлежи на независим надзор и ефективни механизми за правна защита 9 . Механизмите за правна защита в тази област включват специална процедура за разрешаване на спорове, управлявана и контролирана от КЗЛИ, създадена за физическите лица от ЕС, чиито лични данни са предадени въз основа на решението относно адекватното ниво на защита 10 .

Към момента на приемане на решението на Комисията относно адекватното ниво на защита Япония прие равностойно решение за предаването на данни към ЕС, с което се създаде най-голямата зона за свободно движение на данни в света въз основа на високо ниво на защита на данните 11 . Тези решения относно взаимното адекватно ниво на защита допълват и засилват ползите от Споразумението между Европейския съюз и Япония за икономическо партньорство (СИП), което влезе в сила през февруари 2019 г. 12 , и Споразумението за стратегическо партньорство 13 , договорено успоредно със СИП. Дружествата от двете страни се възползват от полезното взаимодействие между решенията относно взаимното адекватно ниво на защита и СИП, тъй като възможността данните да се движат свободно между ЕС и Япония допълнително улеснява търговския обмен и създава значителни възможности за стопанска дейност чрез привилегирован достъп до пазара на другата страна. Това също така създава важен прецедент, като показва ясно, че в цифровата ера насърчаването на високи стандарти за неприкосновеност на личния живот и улесняването на международната търговия могат и трябва да вървят ръка за ръка.

След приемането на решенията относно адекватното ниво на защита ЕС и Япония в качеството си на единомислещи партньори допълнително засилиха сътрудничеството си по въпросите на цифровите технологии като цяло и в частност движението на данни. На двустранно равнище това е отразено най-вече в сключването на цифровото партньорство през май 2022 г. 14 и започването през октомври 2022 г. на преговори за включване в СИП на правила относно трансграничните потоци от данни 15 , което допълнително ще засили синергията с договореността относно взаимното адекватно ниво на защита. На многостранно равнище ЕС и Япония обединиха усилията си за насърчаване, укрепване и привеждане в действие на концепцията за „Свободно движение на данни, основано на доверие“, стартирана от вече покойния министър-председателя Шиндзо Абе, включително чрез тясно сътрудничество в рамките на Г-7, Световната търговска организация (в контекста на инициативата за съвместно изявление относно електронната търговия) и Организацията за икономическо сътрудничество и развитие (ОИСР). В рамките на ОИСР интензивното сътрудничество между ЕС и Япония по тези въпроси допринесе по-специално за приемането за пръв път на международно равнище на общи принципи относно достъпа на правителствата до лични данни, съхранявани от частния сектор 16 . Всички тези различни работни направления се базират в по-голяма или по-малка степен на споделените ценности и изисквания, залегнали в основата на договореността между ЕС и Япония относно взаимното адекватно ниво на защита.

За да проверява редовно дали констатациите в решението относно адекватното ниво на защита продължават да бъдат фактически и правно обосновани, от Комисията се изисква да извършва периодичен преглед и да докладва за резултатите на Европейския парламент и на Съвета 17 . С настоящия доклад, който обхваща всички аспекти на функционирането на решението, приключва първият периодичен преглед. От страна на Япония в прегледа участваха представители на КЗЛИ, Министерството на вътрешните работи и съобщенията, Министерството на правосъдието, Министерството на отбраната и Националната полицейска служба. Делегацията на ЕС включваше трима представители, определени от Европейския комитет по защита на данните, заедно с членове на Европейската комисия.

На 26 октомври 2021 г. се състоя среща за преглед между двете делегации, която беше предшествана и последвана от многократен обмен на мнения. По-специално, за да подготви прегледа, Комисията събра информация от японските органи относно функционирането на решението, по-конкретно относно прилагането на Допълнителните правила. Комисията също така потърси информация от публични източници и местни експерти относно функционирането на решението и съответните промени в японското право и практиката по него както по отношение на правилата за защита на данните, приложими за частните стопански субекти, така и по отношение на достъпа на правителството. След срещата за преглед Комисията и КЗЛИ обмениха неколкократно мнения, за да предприемат последващи действия по точките, които бяха обсъдени на тази среща, и по-специално да разгледат въпросите, повдигнати от въвеждането в ЗЗЛИ на правила относно псевдонимизираната лична информация.

2.ОСНОВНИ КОНСТАТАЦИИ

Подробните констатации относно функционирането на всички аспекти на решението относно адекватното ниво на защита са представени в работния документ на службите на Комисията (SWD(2023) 75), който придружава настоящия доклад.

По-специално първият преглед показа, че рамките за защита на данните на ЕС и Япония са се сближили още повече след приемането на решенията относно взаимното адекватно ниво на защита. ЗЗЛИ е изменян два пъти: на 5 юни 2020 г. с Amendment Act of the Act on the Protection of Personal Information of 2020 [Закон за изменение на Закона за защита на личната информация от 2020 г.] („изменението на ЗЗЛИ от 2020 г.“), който влезе в сила на 1 април 2022 г. 18 ; и на 12 май 2021 г. със Act on the Arrangement of Related Acts for the Formation of a Digital Society [Закон за уреждане на свързаните актове за създаване на цифрово общество] („изменението на ЗЗЛИ от 2021 г.) 19 . След консултации с Комисията Допълнителните правила бяха адаптирани, за да отразят тези изменения.

Тези изменения доведоха до още по-голямо сближаване на системите на ЕС и Япония, по-специално чрез укрепване на задълженията за сигурност на данните (с въвеждането на задължение за уведомяване за нарушения на сигурността на данните), правата на субектите на данни (по-специално правото на достъп и правото на възражение) и защитата, предоставяна в случай на предаване на данни (под формата на изисквания за допълнителна информация и наблюдение, включително информация относно възможните рискове, свързани с достъпа на правителството в държавата на местоназначение). В този контекст е особено важно да се отбележи, че някои от допълнителните гаранции, предвидени в Допълнителните правила за личните данни, идващи от ЕС, т.е. по отношение на съхраняването на данни и условията за информирано съгласие за трансгранично предаване, са включени в ЗЗЛИ, което ги прави общоприложими за всички лични данни независимо от техния произход или място на събиране 20 .

Друга ключова промяна, която Комисията приветства, е превръщането на ЗЗЛИ във всеобхватна рамка за защита на данните, обхващаща както частния, така и публичния сектор, която подлежи на изключителен надзор от страна на КЗЛИ 21 . Това допълнително укрепване на японската рамка за защита на данните и на правомощията на КЗЛИ може да проправи пътя за разширяване на обхвата на решението относно адекватното ниво на защита отвъд търговския обмен така, че да обхване предаванията, които понастоящем са изключени от неговия обхват, като например в областта на регулаторното сътрудничество и научните изследвания.

Първият преглед беше съсредоточен и върху новите правила за създаването и използването на „псевдонимизирана лична информация“, които бяха въведени с изменението на ЗЗЛИ от 2020 г. 22 Целта на тези нови правила е основно да се улесни (вътрешното) използване на лична информация от стопанските субекти, третиращи лична информация главно за статистически цели (например за установяване на тенденции и модели с цел извличане на ползи за по-нататъшни дейности, включително научни изследвания). Срещата за преглед и последвалият обмен на мнения между Комисията и КЗЛИ дадоха възможност да се изясни тълкуването и прилагането на тези нови разпоредби. В резултат на тези обсъждания, за да се отрази по-ясно планираното прилагане на тези нови разпоредби и по този начин да се гарантират правна сигурност и прозрачност, Допълнителните правила бяха изменени на 15 март 2023 г. по два начина 23 . Първо, в Допълнителните правила се предвижда, че такава информация може да се използва само за статистически цели — определени като обработване за статистически изследвания или изготвяне на статистически резултати — за създаване на обобщени данни и че резултатът от обработването няма да се използва в подкрепа на мерки или решения, отнасящи се до конкретно лице. Второ, в тях се пояснява, че псевдонимизираната лична информация, получена първоначално от ЕС, винаги ще се счита за „лична информация“ съгласно ЗЗЛИ, за да се гарантира, че непрекъснатостта на защитата на данните, считани за лични данни съгласно ОРЗД, не е застрашена при предаването им въз основа на решението относно адекватното ниво на защита 24 .

По отношение на прилагането на практика на гаранциите за защита на данните Комисията приветства различните стъпки, предприети от КЗЛИ. Това включва приемането на актуализирани насоки, включително относно международното предаване на данни. Комисията отбелязва, че тези насоки могат да бъдат изяснени така, че да обхванат и специфичните изисквания, приложими съгласно Допълнителните правила за последващи предавания от Япония на лични данни, получени от Съюза, включително — както следва от Допълнително правило 4 и е обяснено в решението относно адекватното ниво на защита 25  — изключването на последващите предавания въз основа на схемата за сертифициране на трансграничните правила за защита на неприкосновеността на личния живот (ТПЗНЛЖ) на държавите от АТИС. Освен това, въпреки че КЗЛИ обясни, че ССТЛИ оформят своите последващи предавания на данни, първоначално получени от ЕС, „чрез сключване на договор, който обвързва получателя с мерки, гарантиращи непрекъснатостта на защитата“, КЗЛИ понастоящем не предоставя насоки относно препоръчителното съдържание (по отношение на гаранциите) на „еквивалентните мерки“, използвани за международни предавания на данни, било то под формата на насоки или примерни договори за защита на данните. Тези допълнителни разяснения, които могат да се основават по-специално на обмена на информация и най-добри практики между КЗЛИ и Комисията, могат да бъдат особено полезни, тъй като засягат аспекти, които са от особено значение за дружествата, извършващи дейност в двете юрисдикции.

Що се отнася до надзора и правоприлагането, Комисията отбелязва, че КЗЛИ е използвала в по-голяма степен своите непринудителни правомощия за насоки и съвети (член 147 от ЗЗЛИ), отколкото своите правомощия за принуда (например да налага задължителни заповеди, член 148 от ЗЗЛИ) в периода след приемането на решението относно адекватното ниво на защита. КЗЛИ също така докладва, че до момента не са получени жалби относно спазването на Допълнителните правила и не са провеждани разследвания по такива въпроси по собствена инициатива на КЗЛИ. По време на срещата за преглед обаче КЗЛИ обяви, че обмисля провеждането по собствена инициатива на проверки на случаен принцип с цел осигуряване на спазването на Допълнителните правила. Комисията приветства това изявление, тъй като счита, че подобни проверки на случаен принцип ще бъдат много важни, за да се гарантира, че (евентуалните) нарушения на Допълнителните правила се предотвратяват, откриват и отстраняват, като по този начин се гарантира ефективното спазване на тези правила. Тъй като с измененията на ЗЗЛИ от 2020 г. и 2021 г. се засилиха правомощията за надзор на КЗЛИ, тези проверки на случаен принцип могат да бъдат част от общите усилия за увеличаване на използването на тези правомощия.

И накрая, Комисията горещо приветства създаването на специални звена за контакт за физически лица от ЕС, които имат въпроси или опасения относно обработването на техните лични данни в Япония, било то от търговски стопански субекти (линия за запитвания) или от публични органи (линия за посредничество при подаване на жалби). В същото време тя отбелязва, че на уебстраницата на линията за запитвания се посочва, че тя е достъпна „само на японски език“, което може да попречи на физическите лица от ЕС да се възползват от тази възможност, въпреки че КЗЛИ обясни, че по принцип е налице помощ на английски език. Комисията разбира, че КЗЛИ ще обмисли начини да улесни достъпността на тези звена за контакт за европейците, включително чрез изясняване на този въпрос.

3.ЗАКЛЮЧЕНИЕ

Въз основа на общите констатации, направени в рамките на този първи преглед, Комисията стига до заключението, че Япония продължава да гарантира адекватно ниво на защита на личните данни от Европейския съюз за стопанските субекти, третиращи лична информация в Япония, за които се прилага ЗЗЛИ, допълнен от Допълнителните правила, заедно с официалните изявления, гаранции и ангажименти, съдържащи се в приложение II към решението. В този контекст службите на Комисията признават и високо оценяват отличното сътрудничество с японските органи, и по-специално с КЗЛИ, при провеждането на прегледа.

С оглед на резултата от прегледа и в съответствие със съображение 181 от решението относно адекватното ниво на защита Комисията счита, че не е необходимо да се запазва двугодишният цикъл за бъдещи прегледи, и поради това счита, че е целесъобразно да се премине към четиригодишен цикъл съгласно член 45, параграф 3 от ОРЗД. Тя ще се консултира по този въпрос с комитета, създаден съгласно член 93, параграф 1 от ОРЗД 26 .

Същевременно укрепването на някои аспекти на японската рамка може да допринесе за по-нататъшното засилване на гаранциите, предвидени в ЗЗЛИ и в Допълнителните правила. За тази цел Комисията отправя следните препоръки:

1.Комисията приветства и насърчава предвиденото използване на проверки на случаен принцип от страна на КЗЛИ с цел гарантиране на спазването на Допълнителните правила. Тя счита, че подобни проверки на случаен принцип ще бъдат от съществено значение, за да се гарантира, че (потенциалните) нарушения на Допълнителните правила се откриват и отстраняват, като по този начин се гарантира ефективното спазване на тези правила.

2.Комисията приветства факта, че КЗЛИ е публикувала актуализирани насоки относно международното предаване, тъй като те ще увеличат достъпността на правилата на ЗЗЛИ по този въпрос и ще направят тези правила по-лесни за прилагане. В тези насоки (или други ръководства) следва също така, когато е уместно, да се обяснят специфичните изисквания, произтичащи от Допълнителните правила, включително по отношение на изключването на схемата за сертифициране на системата за ТПЗНЛЖ на държавите от АТИС за последващо предаване на лични данни, получени първоначално от ЕС.

3.По време на прегледа беше обсъдено как линията на КЗЛИ за запитвания/посредничество за въпроси и жалби от физически лица може да стане по-достъпна за чужденците. В този контекст е важно да се уточни в специалния уебсайт, че по принцип се предоставя помощ на английски език.

Прегледът също така даде възможност да се набележат области за евентуално бъдещо сътрудничество. Както беше посочено, КЗЛИ понастоящем не предоставя насоки относно препоръчителното съдържание (по отношение на гаранциите) на „еквивалентните мерки“, използвани за международни предавания на данни, било то под формата на насоки или примерни договори за защита на данните. Предвид нарастващото значение на примерните клаузи и техния потенциал като глобален инструмент за предаване на данни, признати например от Г-7 27 и ОИСР 28 , Комисията изрази интереса си към бъдещото сътрудничество с Япония при разработването на такива клаузи. Разширяването на обхвата на решението относно адекватното ниво на защита отвъд предаванията между търговските стопански субекти е друга област, която Комисията възнамерява да проучи заедно с КЗЛИ.

Комисията ще продължи да следи отблизо японската рамка за защита на данните и реалната практика. Във връзка с това тя очаква бъдещ обмен на мнения с японските органи относно промените, имащи отношение към решението 29 , както и по-нататъшно укрепване на сътрудничеството на международно равнище в момент, когато нараства търсенето на глобални стандарти относно неприкосновеността на личния живот и движението на данни.

(1)    ОВ L 119, 4.5.2016 г., стр. 1 (ОРЗД).

(2)      Във версията на Закона за защита на личната информация (ЗЗЛИ), която се прилагаше към момента на приемане на решението относно адекватното ниво на защита, това понятие се наричаше „стопански субект, третиращ лична информация“ (ССТЛИ). Стопански субект, третиращ лична информация, е определен в член 16, параграф 2 от изменения ЗЗЛИ като „лице, което използва база данни с лична информация или неин еквивалент за нуждите на дадена дейност“, с изключение на правителството и административните агенции както на централно, така и на местно равнище. Обхватът на понятието „дейност“ съгласно ЗЗЛИ е много широк и включва не само дейности със стопанска цел, но и дейности с нестопанска цел на всякакви видове организации и физически лица. Освен това „използване за нуждите на дадена дейност“ обхваща също така лична информация, която не се използва в търговски отношения на стопанския субект (външни отношения), а вътрешно, като например за обработване на данни на служители. Вж. съображения 32—34 от решението.

(3)    Решение за изпълнение (ЕС) 2019/419 на Комисията от 23 януари 2019 г. съгласно Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета относно адекватното ниво на защита на личните данни от страна на Япония по Закона за защита на личната информация (ОВ L 76, 19.3.2019 г., стр. 1).

(4)      Вж. член 45 от ОРЗД и съображение 5 от решението.

(5)      Вж. приложение I към решението.

(6)

     Междувременно с изменението в ЗЗЛИ от 2020 г. е преразгледано определението за „лични данни, притежавани от стопанския субект“ така, че вече да не се изключват тези лични данни, които „трябва да се заличат“ в срок от шест месеца (член 16, параграф 4 от изменения ЗЗЛИ). Във версията на ЗЗЛИ, приложима към момента на приемане на решението относно адекватното ниво на защита, това понятие се наричаше „запазени лични данни“.

(7)      Съображения 26, 31, 43, 49—51, 63, 68, 71, 76—79, 101 от решението.

(8)      Съображение 15 от решението.

(9)      Съображения 113—170 и приложение II към решението.

(10)      Съображения 141—144, 149, 169 от решението.

(11) Вж. съобщението за медиите, публикувано след приключването на тези дискусии, достъпно на адрес: https://ec.europa.eu/commission/presscorner/detail/bg/IP_18_4501

(12)      Решение (ЕС) 2018/1907 на Съвета от 20 декември 2018 г. за сключване на Споразумението между Европейския съюз и Япония за икономическо партньорство (ОВ L 330, 27.12.2018 г., стр. 1—2). СИП намалява пречките пред търговията, пред които са изправени европейските предприятия при износ за Япония, и им помага да се конкурират по-добре на този пазар.

(13)      Споразумение за стратегическо партньорство между Европейския съюз и неговите държави членки, от една страна, и Япония, от друга страна (ОВ L 216, 24.8.2018 г., стр. 4—22) (ССП). ССП осигурява правната рамка за по-нататъшното развитие на вече дългогодишното и стабилно партньорство между Съюза, неговите държави членки и Япония в широк кръг от области, включително политическия диалог, енергетиката, транспорта, правата на човека, образованието, науката и технологиите, правосъдието, убежището и миграцията.

(14)      На разположение на следния адрес: https://www.consilium.europa.eu/media/56091/%E6%9C%80%E7%B5%82%E7%89%88-jp-eu-digital-partnership-clean-final-docx.pdf . Цифровото партньорство създава форум, който ще даде политически насоки и тласък за съвместна работа по отношение на цифровите технологии в области като сигурните 5G, „отвъд 5G“/6G технологии, безопасните и етични приложения на изкуствения интелект или издръжливостта на световните вериги на доставките в сектора на полупроводниците.

(15)      Вж. например https://policy.trade.ec.europa.eu/news/eu-and-japan-start-negotiations-include-rules-cross-border-data-flows-their-economic-partnership-2022-10-07_bg .

(16)      OECD Declaration on Government Access to Personal Data Held by Private Sector Entities [Декларация на ОИСР относно достъпа на правителствата до лични данни, съхранявани от субекти от частния сектор] от 14 декември 2022 г.

(17)      Съображения 180—183 и член 3, параграф 4 от решението.

(18)      Превод на английски език е на разположение на адрес: https://www.ppc.go.jp/files/pdf/APPI_english.pdf  

(19)      Превод на английски език е на разположение на адрес: https://www.japaneselawtranslation.go.jp/ja/laws/view/4241

(20)    Член 16, параграф 4 и член 28, параграф 2 от изменения ЗЗЛИ.

(21)      По-специално със изменението на ЗЗЛИ от 2021 г. се консолидират ЗЗЛИ, Законът за защита на личната информация, съхранявана от административни органи, Законът за защита на личната информация, съхранявана от учредени административни агенции, и т.н. в един-единствен закон за защита на данните, който се прилага както за частните субекти, така и за публичните органи, като същевременно по съответния начин се разширява компетентността на КЗЛИ. Това изменение влезе в сила на 1 април 2023 г., след като части от него влязоха в сила на 1 септември 2021 г. и на 1 април 2022 г.

(22)    Псевдонимизираните лични данни се определят в изменения ЗЗЛИ като информация, свързана с физическо лице, която може да бъде „изготвена по начин, който не позволява идентифицирането на конкретно лице, освен ако не е съпоставена с друга информация“ чрез мерките, предвидени в Закона и посочени в Правилата за прилагане. Вж. член 16, параграф 5 и член 41 от изменения ЗЗЛИ.

(23)

     Преразгледаните Допълнителни правила бяха приети от КЗЛИ на 15 март 2023 г. и влязоха в сила на 1 април 2023 г.

(24)      Това изключва прилагането на член 42 от изменения ЗЗЛИ, който запазва само ограничен брой гаранции за псевдонимизираната лична информация, която не се счита за лична информация.

(25)

Вж. съображение 79 от решението.

(26)      Вж. съображение 181 от решението.

(27)      Вж. Министерската декларация от срещата на министрите в областта на цифровите технологии от Г-7 от 11 май 2022 г., приложение 1 (G7 Action Plan Promoting Data Free Flow with Trust [План за действие на Г-7 за насърчаване на свободното движение на данни, основано на доверие]), в което под заглавието Building on commonalities in order to foster future interoperability [Надграждане на общите черти с цел насърчаване на бъдещата оперативна съвместимост] се упоменават „все по-често срещаните практики, като например стандартните договорни клаузи“.

(28)      Вж. Going Digital Toolkit [Набор от инструменти за цифровизиране] на ОИСР, Interoperability of privacy and data protection frameworks [Оперативна съвместимост на рамките за неприкосновеност на личния живот и защита на данните] (на разположение на адрес: https://goingdigital.oecd.org/data/notes/No21_ToolkitNote_PrivacyDataInteroperability.pdf ), стр. 18.

(29)      Вж. съображение 177 от решението, съгласно което от японските органи се очаква да информират Комисията за съществените промени, имащи отношение към цитираното решение и свързани с обработването на лични данни от стопанските субекти или с ограниченията и гаранциите, приложими към достъпа до лични данни от страна на публичните органи.