—

võttes arvesse Euroopa Liidu lepingut, Euroopa Liidu toimimise lepingut ning Euroopa Liidu põhiõiguste harta artikleid 6, 7, 8, 11, 16, 47 ja 52,

—

võttes arvesse Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrust (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (1) ning muud asjakohast andmekaitsealast Euroopa Liidu õigustikku,

—

võttes arvesse Euroopa Kohtu 6. oktoobri 2015. aasta otsust kohtuasjas C-362/14, Maximillian Schrems vs. andmekaitsevolinik (2),

—

võttes arvesse Euroopa Kohtu 21. detsembri 2016. aasta otsust liidetud kohtuasjades C-203/15, Tele2 Sverige AB vs. Post- och telestyrelsen, ning C-698/15, Secretary of State for the Home Department (Suurbritannia ja Põhja-Iiri Ühendkuningriigi siseminister) vs. Tom Watson jt (3),

—

võttes arvesse oma 12. detsembri 2017. aasta resolutsiooni digitaalkaubanduse strateegia loomise kohta (4),

—

võttes arvesse artikli 29 töörühma 6. veebruari 2018. aasta dokumenti „Adequacy Referential“ (5) (Kaitse piisavuse viitedokument), milles antakse isikuandmete kaitse üldmääruse raames komisjonile ja Euroopa Andmekaitsenõukogule suuniseid kolmandate riikide ja rahvusvaheliste organisatsioonide andmekaitse taseme hindamiseks,

—

võttes arvesse Euroopa Andmekaitsenõukogu 5. detsembri 2018. aasta arvamust ELi ja Jaapani vahelise kaitse piisavuse otsuse eelnõu kohta,

—

võttes arvesse Euroopa Parlamendi ja nõukogu määrusest (EL) 2016/679 tuleneva komisjoni rakendusotsuse eelnõu Jaapani pakutava isikuandmete kaitse piisavuse kohta (COM(2018)XXXX),

—

võttes arvesse kodanikuvabaduste, justiits- ja siseasjade komisjoni ajutise delegatsiooni 2017. aasta oktoobris Jaapanisse toimunud lähetuse tulemusi (lähetus korraldati kaitse piisavust käsitlevate läbirääkimiste raames asjaomaste Jaapani ametiasutuste ja sidusrühmadega kohtumiseks, et käsitleda olulisi küsimusi, millega komisjonil tuleb kaitse piisavuse otsuse vastuvõtmisel arvestada),

—

võttes arvesse kodukorra artikli 123 lõiget 2,

A.

arvestades, et isikuandmete kaitse üldmäärust hakati kohaldama 25. maist 2018; arvestades, et isikuandmete kaitse üldmääruse artikli 45 lõikes 2 on sätestatud asjaolud, mida komisjon peab võtma arvesse kolmanda riigi või rahvusvahelise organisatsiooni pakutava kaitse taseme piisavuse hindamisel;

B.

arvestades, et komisjon peab eelkõige võtma arvesse õigusriigi põhimõtet, inimõiguste ja põhivabaduste austamist, nii üldiseid kui ka valdkondlikke asjakohaseid õigusakte, sealhulgas neid, mis käsitlevad avalikku julgeolekut, kaitset, riiklikku julgeolekut, karistusõigust ja riigiasutuste juurdepääsu isikuandmetele, ühe või mitme sõltumatu järelevalveasutuse olemasolu ja tulemuslikku toimimist ning asjaomase kolmanda riigi või rahvusvahelise organisatsiooni võetud rahvusvahelisi kohustusi;

C.

arvestades, et Euroopa Kohtu 6. oktoobri 2015. aasta otsuses kohtuasjas C-362/14, Maximillian Schrems vs. andmekaitsevolinik, selgitati, et kolmanda riigi pakutava kaitse piisavat taset tuleb mõista nii, et see on „sisuliselt samaväärne“ sellega, mis on liidus tagatud vastavalt direktiivile 95/46/EÜ koostoimes hartaga;

D.

arvestades, et Jaapan on üks ELi suuremaid kaubanduspartnereid, kellega hiljaaegu sõlmiti majanduspartnerlusleping, milles sätestatakse ühised väärtused ja põhimõtted, käsitledes samas ettevaatlikult mõlema partneri tundlikke teemasid; arvestades, et põhiõiguste, sealhulgas eraelu puutumatuse ja andmekaitse ühine tunnustamine moodustab olulise aluse kaitse piisavuse otsusele, mis annab õigusliku aluse isikuandmete edastamiseks EList Jaapanisse;

E.

arvestades, et kodanikuvabaduste, justiits- ja siseasjade komisjoni Jaapanit külastanud ajutisele delegatsioonile selgitati, et Jaapani ametiasutusi ja sidusrühmi huvitab mitte üksnes uue isikuandmete kaitse üldmääruse reeglite endi kohaldamine, vaid ka ELi ja Jaapani vahelise sellise kindla ja kõrgetasemelise isikuandmete edastamise mehhanismi väljatöötamine, mis vastaks ELi õigusraamistikus kehtivatele tingimustele kaitsetaseme osas, mis loetakse sisuliselt samaväärseks ELi andmekaitsealaste õigusaktidega tagatud tasemega;

F.

arvestades, et maailmamajanduse üha ulatuslikuma digiteerimise tõttu on ärieesmärkidel isikuandmete edastamine ELi ja Jaapani vahel nende suhete oluline osa; arvestades, et sellisel andmete edastamisel tuleks täielikult austada õigust isikuandmete kaitsele ja eraelu puutumatusele; arvestades, et üks ELi peaeesmärke on Euroopa Liidu põhiõiguste hartas sätestatud põhiõiguste kaitse;

G.

arvestades, et EL ja Jaapan alustasid 2017. aasta jaanuaris kõnelusi, et hõlbustada ärieesmärkidel isikuandmete edastamist kõigi aegade esimese nn vastastikuse kaitse piisavuse otsuse abil; arvestades, et oma 12. detsembri 2017. aasta resolutsioonis digitaalkaubanduse strateegia loomise kohta tunnistas Euroopa Parlament selgelt, et „kaitse piisavuse otsused […] on põhimehhanismid isikuandmete edastamise kaitsmiseks nende edastamise korral ELilt kolmandale riigile“;

H.

arvestades, et kaitse piisavuse otsus isikuandmete Jaapanile edastamiseks oleks esimene selline isikuandmete kaitse üldmääruse uute ja rangemate reeglite kohaselt tehtud otsus;

I.

arvestades, et Jaapan on hiljuti ajakohastanud ja tugevdanud oma andmekaitset käsitlevaid õigusakte, et viia need vastavusse rahvusvaheliste standarditega, eelkõige nende kaitsemeetmete ja üksikisikute õigustega, mis on sätestatud uues Euroopa andmekaitsealases õigusraamistikus; arvestades, et Jaapani andmekaitse õigusraamistik koosneb mitmest sambast ja selle keskne õigusakt on personaalse teabe kaitse seadus (Act on Protection of Personal Information, edaspidi „APPI“);

J.

arvestades, et Jaapani valitsus võttis 12. juunil 2018 vastu valitsuse korralduse, millega antakse personaalse teabe kaitse komisjonile kui APPI haldamise ja rakendamise eest vastutavale asutusele õigus võtta selle seaduse artikli 6 alusel vajalikke meetmeid, et vähendada Jaapani ja asjaomase kolmanda riigi süsteemide ja toimingute erinevusi, eesmärgiga tagada sellest riigist saadud personaalse teabe nõuetekohane käitlemine; arvestades, et otsuses sätestatu kohaselt hõlmab see õigust võtta rangemaid kaitsemeetmeid, milleks personaalse teabe kaitse komisjon võib kehtestada rangemad eeskirjad, mis täiendavad APPI-t ja valitsuse korraldust ja lähevad neist kaugemale; arvestades, et otsuse kohaselt on sellised rangemad eeskirjad siduvad ja Jaapani ettevõtjate suhtes õiguslikult jõustatavad;

K.

arvestades, et komisjoni rakendusotsuse eelnõule Jaapani pakutava isikuandmete kaitse piisavuse kohta on I lisana lisatud personaalse teabe kaitse komisjoni poolt 15. juunil 2018 APPI artikli 6 alusel vastu võetud lisaeeskirjad, millega personaalse teabe kaitse komisjonil sõnaselgelt lubatakse kehtestada rangemad eeskirjad, muu hulgas rahvusvahelise andmeedastuse hõlbustamiseks; arvestades, et lisaeeskirjad ei ole veel avalikult kättesaadavad;

L.

arvestades, et nimetatud lisaeeskirjade eesmärk oleks käsitleda Jaapani ja ELi andmekaitsealaste õigusaktide asjakohaseid erinevusi, et tagada kaitse piisavuse otsuse alusel EList saadud personaalse teabe nõuetekohane käitlemine, mis puudutab eelkõige erilist hoolikust nõudvat personaalset teavet (tundlikud andmed), säilitatavaid isikuandmeid, kasutuseesmärgi täpsustamist, kasutuseesmärgist tingitud piiranguid, välisriigis asuvale kolmandale osapoolele edastamise piiranguid ning anonüümselt töödeldavat teavet;

M.

arvestades, et lisaeeskirjad oleksid õiguslikult siduvad kõigi personaalset teavet käitlevate ettevõtjate jaoks, kes saavad EList kaitse piisavuse otsuse alusel edastatud isikuandmeid ning kes seetõttu peavad neid eeskirju järgima ja kelle suhtes kehtivad kõik nendega seotud õigused ja kohustused, ning neid saaksid jõustada nii personaalse teabe kaitse komisjon kui ka Jaapani kohtud;

N.

arvestades, et EList Jaapanisse edastatavatele isikuandmetele sisuliselt samaväärse kaitsetaseme tagamiseks nähakse lisaeeskirjadega ette täiendavad kaitsemeetmed, mida kohaldatakse EList edastatavate isikuandmete töötlemisele rangemate tingimuste või piirangute kehtestamisega, näiteks erilist hoolikust nõudva personaalse teabe, andmete edasisaatmise, anonüümsete andmete ja kasutusotstarbe piirangute korral;

O.

arvestades, et Jaapani andmekaitse õigusraamistikus eristatakse „personaalset teavet“ ja „isikuandmeid“ ning mõnel juhul viidatakse isikuandmete eriliigina ka „säilitatavatele isikuandmetele“;

P.

arvestades, et APPI artikli 2 lõike 1 kohaselt kuulub personaalse teabe mõiste alla igasugune elavat inimest puudutav teave, mille põhjal saab tema isiku tuvastada; arvestades, et selle mõiste all eristatakse kaht liiki personaalset teavet, nimelt i) isikukoode ja ii) muud personaalset teavet, mille põhjal saab isikut tuvastada; arvestades, et viimatinimetatu hõlmab teavet, mis iseenesest ei võimalda isikut tuvastada, kuid võimaldab seda teha juhul, kui see on muu teabega „hõlpsasti kõrvutatav“;

Q.

arvestades, et APPI artikli 2 lõike 4 kohaselt tähendavad „isikuandmed“ personaalset teavet personaalse teabe andmebaasi vms kujul; arvestades, et APPI artikli 2 lõikes 1 on sätestatud, et sellistes andmebaasides sisalduv teave on süstemaatiliselt korraldatud, sarnaselt isikuandmete kaitse üldmääruse artikli 2 lõike 1 kohasele andmete kogumile; arvestades, et isikuandmete kaitse üldmääruse artikli 4 punkti 1 kohaselt on „isikuandmed“ igasugune teave tuvastatud või tuvastatava füüsilise isiku kohta; arvestades, et tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal; arvestades, et füüsilise isiku tuvastatavuse kindlakstegemisel tuleks arvesse võtta kõiki vahendeid, mida vastutav töötleja või keegi muu võib füüsilise isiku otseseks või kaudseks tuvastamiseks mõistliku tõenäosusega kasutada, näiteks teiste hulgast esiletoomist;

R.

arvestades, et APPI artikli 2 lõike 7 kohaselt tähendavad „säilitatavad isikuandmed“ selliseid isikuandmeid, mida teavet käitleval ettevõtjal on lubatud avalikustada või parandada; mille sisu ta võib välja jätta või sellele lisandusi teha; mida ta võib lakata kasutamast; mille ta võib kustutada; mille edastamise kolmandale isikule ta võib lõpetada; ning mida ei loeta valitsuse korraldusega andmeteks, mille olemasolu või puudumise teatavaks tegemine võib avalikke või muid huve kahjustada, ega andmeteks, mis tuleb valitsuse korraldusega määratud vähem kui aasta pikkuse tähtaja möödumisel kustutada; arvestades, et lisaeeskirjadega ühtlustatakse mõiste „säilitatavad isikuandmed“ mõistega „isikuandmed“, et tagada, et esimesena nimetatud mõistega seonduvaid teatavaid piiranguid üksikisiku õigustele ei kohaldata EList edastatavate andmete suhtes;

S.

arvestades, et rakendusotsuse eelnõu objektiks oleva Jaapani andmekaitseseaduse kohaldamisalast on välja jäetud mitmed sektorid, kui nad töötlevad isikuandmeid erieesmärkidel; arvestades, et rakendusotsuse eelnõu ei kohaldataks isikuandmete edastamisel EList saajale, kes kuulub Jaapani andmekaitseseaduses sätestatud eelnimetatud erandite alla;

T.

arvestades, et ELi isikuandmete edasisaatmisel Jaapanist kolmandasse riiki välistatakse rakendusotsuse eelnõu kohaselt selliste edastamisvahendite kasutamine, mis ei tekita Jaapani andmeeksportija ja kolmanda riigi andmeimportija vahel siduvaid suhteid ega taga nõutavat kaitsetaset; arvestades, et see kehtiks näiteks Aasia ja Vaikse ookeani piirkonna riikide majanduskoostöö piiriüleste eraelu puutumatuse eeskirjade süsteemi (milles Jaapan osaleb) suhtes, kuna selles süsteemis ei tulene kaitsemeetmed eksportijat ja importijat nende kahepoolsete suhete kontekstis siduvast korrast ning nende meetmete pakutav kaitsetase on APPI ja lisaeeskirjadega tagatud tasemest selgelt madalam;

U.

arvestades, et oma 5. detsembri 2018. aasta arvamuses hindab Euroopa Andmekaitsenõukogu komisjoni poolt kättesaadavaks tehtud dokumentide alusel, kas Jaapani andmekaitse õigusraamistik annab piisavad tagatised üksikisikute andmete kaitse piisava taseme kohta; arvestades, et Euroopa Andmekaitsenõukogu väljendab heameelt komisjoni ja Jaapani personaalse teabe kaitse komisjoni tehtud jõupingutuste üle Jaapani ja Euroopa õigusraamistiku lähendamiseks, et hõlbustada isikuandmete edastamist; arvestades, et Euroopa Andmekaitsenõukogu tunnistab, et lisaeeskirjadega tehtud täiustused kahe raamistiku vaheliste teatavate erinevuste vähendamiseks on väga olulised ja hästi vastu võetud; arvestades, et andmekaitsenõukogu märgib, et mitmed mureküsimused on endiselt lahendamata, näiteks EList Jaapanisse edastatavate isikuandmete kaitse kogu nende olelusringi jooksul, ning soovitab, et komisjon esitaks tõstatatud küsimuste kohta lisatõendeid ja selgitusi ning jälgiks hoolikalt eeskirjade tulemuslikku kohaldamist;

V.

arvestades, et rakendusotsuse eelnõu II lisas on toodud justiitsministri 14. septembri 2018. aasta kiri, milles viidatakse justiitsministeeriumi ja mitme teise ministeeriumi ja asutuse koostatud dokumendile „Personaalse teabe kogumine ja kasutamine Jaapani ametivõimude poolt kriminaalõiguse jõustamise ja riikliku julgeoleku eesmärkidel“, milles antakse ülevaade kohaldatavast õigusraamistikust ja esitatakse komisjonile ministeeriumite ja asutuste kõrgeimal tasandil allkirjastatud ametlikud seisukohad, kinnitused ja võetud kohustused;

1.

2.

3.

4.

5.

6.

7.

8.

9.

10.

11.

12.

13.

14.

15.

16.

17.

18.

19.

20.

21.

22.

23.

24.

25.

26.

27.

28.

29.