EUROOPAN KOMISSIO

Bryssel 3.4.2023

COM(2023) 275 final

KOMISSION KERTOMUS EUROOPAN PARLAMENTILLE JA NEUVOSTOLLE

Japanin tietosuojan riittävyyttä koskevan päätöksen toimivuuden ensimmäinen tarkastelu

{SWD(2023) 75 final}

KOMISSION KERTOMUS EUROOPAN PARLAMENTILLE JA NEUVOSTOLLE

Japanin tietosuojan riittävyyttä koskevan päätöksen toimivuuden ensimmäinen tarkastelu

1.ENSIMMÄINEN TARKASTELU – TAUSTA, VALMISTELU JA PROSESSI

Euroopan komissio teki 23. tammikuuta 2019 asetuksen (EU) 2016/679 1 45 artiklan mukaisen päätöksen 2 , jossa se totesi, että Japani takaa riittävän tietosuojan tason henkilötiedoille, jotka siirretään Euroopan unionista Japanissa toimiville henkilötietoja käsitteleville yrityksille 3 . Näin ollen tiedonsiirrot EU:sta Japanissa sijaitseville yksityisille toimijoille voidaan toteuttaa ilman lisävaatimuksia 4 .

Tietosuojan riittävyyttä koskeva komission päätös kattaa henkilökohtaisten tietojen suojasta annetun Japanin lain, sellaisena kuin se on täydennettynä täydentävillä säännöillä, jotka otettiin käyttöön tiettyjen merkittävien erojen tasoittamiseksi henkilökohtaisten tietojen suojasta annetun lain ja yleisen tietosuoja-asetuksen välillä. 5 Näillä lisätakeilla vahvistetaan esimerkiksi arkaluonteisten tietojen suojaa (laajentamalla arkaluonteisiksi tiedoiksi luokiteltavien henkilökohtaisten tietojen ryhmiä), yksilöllisten oikeuksien käyttöä (selventämällä, että yksilöllisiä oikeuksia voidaan käyttää myös alle kuusi kuukautta hallussa pidettävien henkilötietojen osalta, mikä ei ollut mahdollista henkilökohtaisten tietojen suojasta annetun lain nojalla) 6 ja EU:n tietojen siirtämiseen Japanista edelleen johonkin toiseen kolmanteen maahan sovellettavia ehtoja 7 . Täydentävät säännöt sitovat japanilaisia toimijoita, ja niiden täytäntöönpanoa voivat vaatia riippumaton tietosuojaviranomainen eli Japanin henkilötietosuojalautakunta tai suoraan EU:n kansalaiset Japanin tuomioistuimissa 8 .

Lisäksi Japanin hallitus antoi komissiolle virallisia lausuntoja, vakuutuksia ja sitoumuksia rajoituksista ja suojatoimista, jotka koskevat Japanin viranomaisten pääsyä henkilötietoihin ja niiden käyttöä rikoslain täytäntöönpanoon ja kansalliseen turvallisuuteen liittyviin tarkoituksiin. Niissä selvennettiin, että tällainen käsittely rajataan siihen, mikä on välttämätöntä ja oikeasuhteista, ja siihen sovelletaan riippumatonta valvontaa ja asianmukaisia oikeussuojamekanismeja. 9  Oikeussuojamekanismeihin tällä alalla kuuluu erityinen riitojenratkaisumenettely, jonka hallinnoinnista ja valvonnasta vastaa henkilötietosuojalautakunta. Menettely perustettiin niitä EU:n kansalaisia varten, joiden henkilötietoja siirretään tietosuojan riittävyyttä koskevan päätöksen perusteella. 10  

Japani teki tietosuojan riittävyyttä koskevan komission päätöksen antamisen aikaan vastaavan päätöksen, joka koskee EU:hun siirrettäviä tietoja. Näin luotiin maailman suurin tietojen vapaan liikkuvuuden alue, joka perustuu tietosuojan korkeaan tasoon. 11 Nämä tietosuojan riittävyyttä koskevat vastavuoroiset päätökset täydentävät ja vahvistavat helmikuussa 2019 voimaan tulleen EU:n ja Japanin välisen talouskumppanuussopimuksen 12 ja sen rinnalla neuvotellun strategisen kumppanuussopimuksen 13 hyötyjä. Molempien osapuolten yritykset hyötyvät tietosuojan riittävyyttä koskevien vastavuoroisten päätösten ja talouskumppanuussopimuksen välisistä synergioista, sillä tietojen vapaa liikkuvuus EU:n ja Japanin välillä helpottaa entisestään kauppavaihtoa ja luo merkittäviä liiketoimintamahdollisuuksia tarjoamalla osapuolille etuoikeutetun pääsyn toistensa markkinoille. Kyseessä on myös tärkeä ennakkotapaus, joka osoittaa selvästi sen, että digiaikana yksityisyyden suojan korkea taso ja kansainvälisen kaupan helpottaminen voivat kulkea ja niiden on kuljettava käsi kädessä.

Tietosuojan riittävyyttä koskevien päätösten hyväksymisen jälkeen EU ja Japani ovat samanmielisinä kumppaneina tehostaneet edelleen yhteistyötään yleisesti digiasioissa ja erityisesti tietovirtojen osalta. Kahdenvälisellä tasolla osoituksena tästä on erityisesti digitaalisen kumppanuuden solmiminen toukokuussa 2022 14 ja neuvottelujen käynnistäminen lokakuussa 2022 rajat ylittäviä tietovirtoja koskevien sääntöjen sisällyttämisestä talouskumppanuussopimukseen 15 , mikä lisää edelleen synergioita tietosuojan riittävyyttä koskevan vastavuoroisen järjestelyn kanssa. Monenvälisellä tasolla EU ja Japani ovat pyrkineet yhdessä edistämään, vahvistamaan ja toteuttamaan edesmenneen pääministerin Shinzo Aben alulle panemaa ”Data Free Flow with Trust” ‑käsitettä muun muassa tekemällä tiivistä yhteistyötä G7-ryhmän, Maailman kauppajärjestön (yhteistä julkilausumaa sähköisestä kaupankäynnistä koskevan aloitteen yhteydessä) ja Taloudellisen yhteistyön ja kehityksen järjestön (OECD) puitteissa. EU:n ja Japanin näissä asioissa OECD:ssä tekemä tiivis yhteistyö oli erityisen tärkeää, kun kansainvälisellä tasolla otettiin ensimmäistä kertaa käyttöön yhteiset periaatteet viranomaisten pääsystä yksityisen sektorin hallussa oleviin henkilötietoihin. 16 Kaikki nämä eri toimintalinjat perustuivat enemmän tai vähemmän niihin yhteisiin arvoihin ja vaatimuksiin, jotka muodostavat EU:n ja Japanin välisen, tietosuojan riittävyyttä koskevan vastavuoroisen järjestelyn perustan.

Komission on toteutettava säännöllinen tarkastelu ja raportoitava sen tuloksista Euroopan parlamentille ja neuvostolle, jotta varmistetaan säännöllisesti, että tietosuojan riittävyyttä koskevassa päätöksessä esitetyt havainnot ovat edelleen tosiasiallisesti ja oikeudellisesti perusteltuja. 17 Tässä kertomuksessa, joka kattaa kaikki päätöksen toimivuuteen liittyvät näkökohdat, esitetään ensimmäisen säännöllisen tarkastelun päätelmät. Tarkasteluun osallistuivat Japanin puolelta henkilötietosuojalautakunnan, sisäasiain- ja viestintäministeriön, oikeusministeriön, puolustusministeriön ja kansallisen poliisiviraston edustajat. EU:n valtuuskuntaan kuului kolme Euroopan tietosuojaneuvoston nimeämää edustajaa sekä Euroopan komission jäseniä.

Kummankin osapuolen valtuuskuntien välinen tarkastelukokous järjestettiin 26. lokakuuta 2021. Sitä ennen ja sen jälkeen vaihdettiin tietoja useaan otteeseen. Komissio keräsi tarkastelun valmistelemista varten Japanin viranomaisilta tietoja päätöksen toimivuudesta ja erityisesti täydentävien sääntöjen täytäntöönpanosta. Komissio hankki myös julkisista lähteistä ja paikallisilta asiantuntijoilta tietoja päätöksen toimivuudesta ja Japanin lainsäädännön ja käytäntöjen asiaan liittyvästä kehityksestä sekä yksityisiin toimijoihin sovellettavien tietosuojasääntöjen että valtion pääsyn osalta. Tarkastelukokouksen jälkeen komissio ja henkilötietosuojalautakunta vaihtoivat useaan otteeseen tietoja kokouksessa keskustelluista asioista ja käsittelivät erityisesti kysymyksiä, jotka liittyivät pseudonymisoituja henkilötietoja koskevien sääntöjen sisällyttämiseen henkilökohtaisten tietojen suojasta annettuun lakiin.

2.TÄRKEIMMÄT HAVAINNOT

Yksityiskohtaiset havainnot tietosuojan riittävyyttä koskevan päätöksen kaikkien näkökohtien toimivuudesta esitetään tämän kertomuksen liitteenä olevassa komission yksiköiden valmisteluasiakirjassa (SWD(2023) 75).

Ensimmäinen tarkastelu osoitti erityisesti sen, että EU:n ja Japanin tietosuojakehykset ovat lähentyneet entisestään tietosuojan riittävyyttä koskevien vastavuoroisten päätösten tekemisen jälkeen. Henkilökohtaisten tietojen suojasta annettua lakia muutettiin kahteen otteeseen: 5. kesäkuuta 2020 vuoden 2020 lailla henkilökohtaisten tietojen suojasta annetun lain muuttamisesta (henkilökohtaisten tietojen suojasta annetun lain vuoden 2020 muutos), joka tuli voimaan 1. huhtikuuta 2022 18 ; ja 12. toukokuuta 2021 lailla asiaan liittyvien lakien järjestelystä digitaalisen yhteiskunnan luomiseksi (henkilökohtaisten tietojen suojasta annetun lain vuoden 2021 muutos) 19 . Täydentävät säännöt mukautettiin vastaamaan näitä muutoksia komissiota kuullen.

Nämä muutokset ovat lähentäneet entisestään EU:n ja Japanin järjestelmiä erityisesti vahvistamalla tietoturvavelvoitteita (kun käyttöön otettiin velvollisuus ilmoittaa tietoturvaloukkauksista), rekisteröityjen oikeuksia (erityisesti tiedonsaantioikeus ja oikeus vastustaa henkilötietojen käsittelyä) ja tiedonsiirtoja koskevia suojatoimia (lisätiedot ja seurantavaatimukset, mukaan lukien tiedot mahdollisista viranomaisten pääsyyn liittyvistä riskeistä kohdemaassa). Tässä yhteydessä erityisen huomionarvoista on se, että jotkin täydentävien sääntöjen mukaiset EU:sta peräisin olevia henkilötietoja koskevat lisätakeet, jotka koskevat tietojen säilyttämistä ja tietoista suostumusta koskevia ehtoja rajat ylittäviä tiedonsiirtoja varten, on sisällytetty henkilökohtaisten tietojen suojasta annettuun lakiin, joten niitä voidaan soveltaa yleisesti kaikkiin henkilötietoihin niiden alkuperästä tai keräyspaikasta riippumatta. 20  

Toinen komission myönteisenä pitämä keskeinen edistysaskel on henkilökohtaisten tietojen suojasta annetun lain muuttaminen kattavaksi tietosuojakehykseksi, jota sovelletaan sekä yksityiseen että julkiseen sektoriin ja jota valvoo yksinomaan henkilötietosuojalautakunta. 21 Tämä Japanin tietosuojakehyksen ja henkilötietosuojalautakunnan toimivaltuuksien vahvistaminen edelleen voi tasoittaa tietä tietosuojan riittävyyttä koskevan päätöksen laajentamiselle kaupallisten tietojen vaihtoa pidemmälle siten, että se kattaisi nykyisin päätöksen soveltamisalan ulkopuolelle jäävät siirrot esimerkiksi sääntely-yhteistyön ja tutkimuksen alalla.

Ensimmäisessä tarkastelussa keskityttiin myös ”pseudonymisoitujen henkilötietojen” luomista ja käyttöä koskeviin uusiin sääntöihin, jotka otettiin käyttöön henkilökohtaisten tietojen suojasta annetun lain vuoden 2020 muutoksella 22 . Näiden uusien sääntöjen tavoitteena on ennen kaikkea helpottaa henkilökohtaisten tietojen (sisäistä) käyttöä yrityksissä, jotka käsittelevät henkilökohtaisia tietoja pääasiassa tilastollisiin tarkoituksiin (esim. trendien ja mallien määrittäminen muita toimia, kuten tutkimusta, varten). Tarkastelukokouksessa ja myöhemmässä komission ja henkilötietosuojalautakunnan välisessä tietojenvaihdossa selvennettiin näiden uusien säännösten tulkintaa ja soveltamista. Näiden keskustelujen tuloksena täydentäviä sääntöjä muutettiin 15. maaliskuuta 2023 kahdella tavalla, jotta ne vastaisivat selkeämmin uusien säännösten käyttötarkoitusta ja jotta varmistettaisiin oikeusvarmuus ja läpinäkyvyys. 23 Ensinnäkin tällaisia tietoja voidaan täydentävien sääntöjen mukaan käyttää ainoastaan tilastollisiin tarkoituksiin – jotka on määritelty tilastollisiin tutkimuksiin liittyväksi käsittelyksi tai tilastotietojen tuottamiseksi – aggregoitujen tietojen tuottamista varten eikä käsittelyn tuloksia voida käyttää yksittäisiä henkilöitä koskevien toimenpiteiden tai päätösten tukena. Toiseksi niissä tehdään selväksi, että alun perin EU:sta vastaanotetut pseudonymisoidut tiedot luokitellaan aina ”henkilökohtaisiksi tiedoiksi” henkilökohtaisten tietojen suojasta annetun lain nojalla sen varmistamiseksi, että yleisen tietosuoja-asetuksen mukaan henkilötiedoiksi luokiteltujen tietojen suojan jatkuvuus ei vaarannu, kun tietoja siirretään tietosuojan riittävyyttä koskevan päätöksen perusteella. 24  

Komissio suhtautuu myönteisesti henkilötietosuojalautakunnan toteuttamiin eri toimiin, jotka liittyvät tietosuojatakeiden täytäntöönpanoon käytännössä. Niihin sisältyy päivitettyjen ohjeiden antaminen, myös kansainvälisten tiedonsiirtojen osalta. Komissio huomauttaa, että ohjeita voitaisiin selkeyttää siten, että niissä otettaisiin huomioon myös erityisvaatimukset, joita sovelletaan täydentävien sääntöjen nojalla unionista vastaanotettujen henkilötietojen siirtämiseen edelleen Japanista, mukaan lukien – kuten todetaan täydentävässä säännössä nro 4 ja selitetään tietosuojan riittävyyttä koskevassa päätöksessä 25 – APEC:n rajat ylittävien yksityisyyden suojaa koskevien sääntöjen (CBPR) sertifiointijärjestelmään perustuvan edelleen siirtämisen poissulkeminen. Lisäksi, vaikka henkilötietosuojalautakunta on kertonut henkilökohtaisia tietoja käsittelevien toiminnanharjoittajien rajaavan EU:sta alun perin vastaanotettujen tietojen edelleen siirtämistä ”tekemällä sopimuksen, joka velvoittaa vastaanottajan toteuttamaan suojan jatkumisen varmistavia toimenpiteitä”, henkilötietosuojalautakunta ei anna tällä hetkellä ohjeita kansainvälisissä tiedonsiirroissa käytettävien ”vastaavien toimenpiteiden” suositellusta sisällöstä (takeiden osalta), olipa kyse ohjeista tai tietosuojasopimusten malleista. Nämä lisäselvennykset, jotka voisivat perustua erityisesti henkilötietosuojalautakunnan ja komission väliseen tietojen ja parhaiden käytäntöjen vaihtoon, voisivat olla erityisen hyödyllisiä, koska ne koskevat näkökohtia, jotka ovat erityisen merkityksellisiä molemmilla lainkäyttöalueilla toimiville yrityksille.

Valvonnan ja täytäntöönpanon osalta komissio toteaa, että henkilötietosuojalautakunta on käyttänyt tietosuojan riittävyyttä koskevan päätöksen tekemisen jälkeen enemmän ohjeiden ja neuvojen antamista koskevia, ei-pakottavia valtuuksiaan (henkilökohtaisten tietojen suojasta annetun lain 147 §) kuin pakottavia valtuuksiaan (esim. sitovien määräysten antaminen, henkilökohtaisten tietojen suojasta annetun lain 148 §). Henkilötietosuojalautakunta ilmoitti myös, ettei täydentävien sääntöjen noudattamisesta ole saatu tähän mennessä valituksia eikä henkilötietosuojalautakunta ole tehnyt oma-aloitteisesti tutkimuksia tällaisista kysymyksistä. Tarkastelukokouksessa henkilötietosuojalautakunta ilmoitti kuitenkin harkitsevansa omasta aloitteestaan satunnaistarkastuksia täydentävien sääntöjen noudattamisen varmistamiseksi. Komissio pitää tätä ilmoitusta myönteisenä, koska se katsoo, että tällaiset satunnaistarkastukset olisivat erittäin tärkeitä sen varmistamiseksi, että täydentävien sääntöjen (mahdolliset) rikkomiset estetään ja havaitaan ja että niihin puututaan, millä varmistetaan näiden sääntöjen tehokas noudattaminen. Koska henkilökohtaisten tietojen suojasta annetun lain vuosien 2020 ja 2021 muutokset ovat vahvistaneet henkilötietosuojalautakunnan valvontavaltuuksia, tällaiset satunnaistarkastukset voisivat olla osa yleistä pyrkimystä lisätä kyseisten valtuuksien käyttöä.

Komissio suhtautuu myös erittäin myönteisesti erityisten yhteyspisteiden perustamiseen sellaisia EU:n kansalaisia varten, joilla on henkilötietojensa käsittelyyn Japanissa liittyviä kysymyksiä tai huolenaiheita, olipa kyse sitten kaupallisista toimijoista (tiedusteluyhteys) tai viranomaisista (valitusten sovitteluyhteys). Toisaalta komissio huomauttaa myös, että tiedusteluyhteyden verkkosivuilla todetaan, että palvelu on saatavilla ”vain japaniksi”, mikä todennäköisesti estää EU:n kansalaisia käyttämästä sitä, vaikka henkilötietosuojalautakunta kertoi, että apua on periaatteessa saatavilla englannin kielellä. Komission käsityksen mukaan henkilötietosuojalautakunta harkitsee keinoja yhteyspisteiden käytettävyyden parantamiseksi eurooppalaisten kannalta ja selventää tätä varten muun muassa tämän asian.

3.PÄÄTELMÄT

Ensimmäisessä tarkastelussa tehtyjen yleisten havaintojen perusteella komissio katsoo, että Japani varmistaa edelleen Euroopan unionista henkilökohtaisten tietojen käsittelyä harjoittaville Japanissa toimiville toiminnanharjoittajille siirrettävien henkilötietojen riittävän suojan tason silloin kun kyseisiin toiminnanharjoittajiin sovelletaan henkilökohtaisten tietojen suojasta annettua lakia, sellaisena kuin se on täydennettynä täydentävillä säännöillä, yhdessä päätöksen liitteessä II olevien virallisten lausuntojen, vakuutusten ja sitoumusten kanssa. Tässä yhteydessä komission yksiköt panevat merkille erinomaisen yhteistyön Japanin viranomaisten ja erityisesti henkilötietosuojalautakunnan kanssa tarkastelun suorittamisessa ja arvostavat sitä suuresti.

Tarkastelun tulosten perusteella ja tietosuojan riittävyyttä koskevan päätöksen johdanto-osan 181 kappaleen mukaisesti komissio katsoo, ettei tulevien tarkastelujen osalta ole tarpeen pitää voimassa kahden vuoden jaksoa, vaan sen sijaan on asianmukaista siirtyä neljän vuoden jaksoon yleisen tietosuoja-asetuksen 45 artiklan 3 kohdan mukaisesti. Komissio kuulee tässä asiassa asianmukaisesti yleisen tietosuoja-asetuksen 93 artiklan 1 kohdan mukaisesti perustettua komiteaa. 26

Japanin kehyksen tiettyjen näkökohtien vahvistaminen voisi kuitenkin auttaa tehostamaan edelleen takeita, jotka vahvistetaan henkilökohtaisten tietojen suojasta annetussa laissa ja täydentävissä säännöissä. Tätä varten komissio antaa seuraavat suositukset:

1.Komissio suhtautuu myönteisesti ja kannustavasti siihen, että henkilötietosuojalautakunta aikoo varmistaa täydentävien sääntöjen noudattamisen satunnaistarkastusten avulla. Komissio katsoo, että tällaiset satunnaistarkastukset olisivat erittäin tärkeitä sen varmistamiseksi, että täydentävien sääntöjen (mahdolliset) rikkomiset havaitaan ja että niihin puututaan, millä varmistetaan näiden sääntöjen tehokas noudattaminen.

2.Komissio suhtautuu myönteisesti siihen, että henkilötietosuojalautakunta on julkaissut päivitetyt kansainvälisiä tiedonsiirtoja koskevat ohjeet, koska ne tekevät henkilökohtaisten tietojen suojasta annetun lain tähän liittyvistä säännöistä helpommin lähestyttäviä ja käyttäjäystävällisempiä. Näissä ohjeissa (tai muussa ohjeistuksessa) olisi tarvittaessa myös selitettävä täydentävistä säännöistä johtuvat erityisvaatimukset, mukaan lukien vaatimukset, jotka liittyvät APEC:n CBPR-järjestelmän sertifiointijärjestelmän poissulkemiseen alun perin EU:sta vastaanotettujen henkilötietojen edelleen siirtämisen osalta.

3.Tarkastelun yhteydessä keskusteltiin siitä, miten yksityishenkilöiden esittämiä kysymyksiä ja valituksia varten tarkoitetusta henkilötietosuojalautakunnan tiedustelu-/sovitteluyhteydestä voitaisiin tehdä ulkomaalaisille helpommin saavutettava. Tässä yhteydessä olisi tärkeää selventää asianomaisella verkkosivustolla, että apua on periaatteessa saatavilla englannin kielellä.

Tarkastelun ansiosta voitiin myös määrittää mahdollisia tulevia yhteistyöaloja. Kuten edellä todettiin, henkilötietosuojalautakunta ei anna tällä hetkellä ohjeita kansainvälisten tiedonsiirtojen yhteydessä käytettävien ”vastaavien toimenpiteiden” suositellusta sisällöstä (takeiden osalta), olipa kyse ohjeista tai tietosuojasopimusten malleista. Kun otetaan huomioon mallilausekkeiden kasvava merkitys ja niiden potentiaali maailmanlaajuisena välineenä tiedonsiirtoja varten, kuten esimerkiksi G7-ryhmä 27 ja OECD 28 ovat todenneet, komissio on ilmaissut olevansa kiinnostunut tulevasta yhteistyöstä Japanin kanssa tällaisten lausekkeiden kehittämisessä. Tietosuojan riittävyyttä koskevan päätöksen soveltamisalan laajentaminen kaupallisten toimijoiden välisiä siirtoja pidemmälle on toinen ala, johon komissio aikoo perehtyä henkilötietosuojalautakunnan kanssa.

Komissio jatkaa Japanin tietosuojakehyksen ja varsinaisten käytäntöjen tiivistä seurantaa. Se odottaa tältä osin tulevaa tietojenvaihtoa Japanin viranomaisten kanssa päätöksen kannalta merkityksellisistä tapahtumista 29 sekä yhteistyön vahvistamista edelleen kansainvälisellä tasolla näinä aikoina, jolloin yksityisyyttä ja tietovirtoja koskeville maailmanlaajuisille standardeille on yhä enemmän kysyntää.

(1)    EUVL L 119, 4.5.2016, s. 1.

(2)    Komission täytäntöönpanopäätös (EU) 2019/419, annettu 23 päivänä tammikuuta 2019, Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 nojalla henkilökohtaisten tietojen suojasta annetun lain mukaisen henkilökohtaisten tietojen suojan riittävästä tasosta Japanissa (EUVL L 76, 19.3.2019, s. 1).

(3)    Henkilökohtaisten tietojen suojasta annetun lain versiossa, jota sovellettiin tietosuojan riittävyyttä koskevan päätöksen tekohetkellä, käytettiin käsitettä ’henkilökohtaisia tietoja käsittelevä toiminnanharjoittaja’. ’Henkilökohtaisia tietoja käsittelevällä toiminnanharjoittajalla’ tarkoitetaan henkilökohtaisten tietojen suojasta annetun muutetun lain 16 §:n 2 momentissa esitetyn määritelmän mukaan ”henkilöä, joka käyttää henkilökohtaisten tietojen tietokantaa tai muuta vastaavaa tietokantaa liiketoiminnassa”, lukuun ottamatta valtion virastoja ja hallintovirastoja sekä keskus- että paikallistasolla. Henkilökohtaisten tietojen suojasta annetun lain mukainen ’liiketoiminnan’ käsite on erittäin laaja, ja siihen sisältyvät kaiken tyyppisten organisaatioiden ja yksityishenkilöiden toteuttamat voittoa tavoittelevat ja voittoa tavoittelemattomat toiminnot. Lisäksi ilmaisu ’käytettäväksi liiketoiminnassa’ kattaa myös henkilökohtaiset tiedot, joita käytetään vain sisäisesti, ei toiminnanharjoittajan (ulkoisissa) kaupallisissa suhteissa, esimerkiksi kun käsitellään työntekijöiden tietoja. Ks. päätöksen johdanto-osan 32–34 kappale.

(4)    Ks. yleisen tietosuoja-asetuksen 45 artikla ja päätöksen johdanto-osan 5 kappale.

(5)    Ks. päätöksen liite I.

(6)

   Tällä välin vuonna 2020 muutetussa henkilökohtaisten tietojen suojasta annetussa laissa ’yrityksen hallussa olevien henkilötietojen’ määritelmää uudistettiin siten, että sen ulkopuolelle ei enää suljeta henkilötietoja, jotka on ”määrä poistaa” kuuden kuukauden kuluessa (henkilökohtaisten tietojen suojasta annetun muutetun lain 16 §:n 4 momentti). Henkilökohtaisten tietojen suojasta annetun lain versiossa, jota sovellettiin tietosuojan riittävyyttä koskevan päätöksen tekohetkellä, käytettiin käsitettä ’säilytetyt henkilötiedot’.

(7)    Päätöksen johdanto-osan 26, 31, 43, 49–51, 63, 68, 71, 76–79 ja 101 kappale.

(8)    Päätöksen johdanto-osan 15 kappale.

(9)    Päätöksen johdanto-osan 113–170 kappale ja liite II.

(10)    Päätöksen johdanto-osan 141–144, 149 ja 169 kappale.

(11)    Ks. näiden neuvottelujen jälkeen julkaistu lehdistötiedote, joka on saatavilla osoitteessa https://ec.europa.eu/commission/presscorner/detail/fi/IP_18_4501

(12)    Neuvoston päätös (EU) 2018/1907, annettu 20 päivänä joulukuuta 2018, Euroopan unionin ja Japanin välisen talouskumppanuussopimuksen tekemisestä (EUVL L 330, 27.12.2018, s. 1–2). Talouskumppanuussopimus vähentää kaupan esteitä, joita eurooppalaiset yritykset kohtaavat Japaniin viennin yhteydessä, ja se auttaa näitä yrityksiä kilpailemaan paremmin kyseisillä markkinoilla.

(13)    Euroopan unionin ja sen jäsenvaltioiden sekä Japanin välinen strateginen kumppanuussopimus (EUVL L 216, 24.8.2018, s. 4–22). Strateginen kumppanuussopimus tarjoaa oikeudellisen kehyksen unionin ja sen jäsenvaltioiden sekä Japanin jo ennestään pitkäaikaisen ja vahvan kumppanuuden kehittämiselle monilla eri aloilla, kuten poliittisen vuoropuhelun sekä energian, liikenteen, ihmisoikeuksien, koulutuksen, tieteen ja teknologian, oikeuden, turvapaikka-asioiden ja muuttoliikkeen aloilla.

(14)    Saatavilla osoitteessa      https://www.consilium.europa.eu/media/56091/%E6%9C%80%E7%B5%82%E7%89%88-jp-eu-digital-partnership-clean-final-docx.pdf . Digitaalinen kumppanuus luo foorumin, joka antaa poliittista ohjausta ja pontta digitaaliteknologioita koskeville yhteisille toimille esimerkiksi turvallisen 5G-teknologian, 5G:n jälkeisen teknologian / 6G-teknologian, tekoälyn turvallisten ja eettisten käyttökohteiden ja puolijohdeteollisuuden globaalien toimitusketjujen häiriönsietokyvyn alalla.

(15)    Ks. esim. https://policy.trade.ec.europa.eu/news/eu-and-japan-start-negotiations-include-rules-cross-border-data-flows-their-economic-partnership-2022-10-07_en  

(16)    OECD:n 14. joulukuuta 2022 antama julistus viranomaisten pääsystä yksityisen sektorin toimijoiden hallussa oleviin henkilötietoihin.

(17)    Päätöksen johdanto-osan 180–183 kappale ja 3 artiklan 4 kohta.

(18)    Englanninkielinen käännös on saatavilla osoitteessa https://www.ppc.go.jp/files/pdf/APPI_english.pdf  

(19)    Englanninkielinen käännös on saatavilla osoitteessa https://www.japaneselawtranslation.go.jp/ja/laws/view/4241

(20)    Henkilökohtaisten tietojen suojasta annetun muutetun lain 16 §:n 4 momentti ja 28 §:n 2 momentti.

(21)    Erityisesti henkilökohtaisten tietojen suojasta annetun lain vuoden 2021 muutoksella yhdistetään henkilökohtaisten tietojen suojasta annettu laki, hallintoelinten hallussa olevien henkilökohtaisten tietojen suojasta annettu laki ja autonomisten hallintovirastojen hallussa olevien henkilökohtaisten tietojen suojasta annettu laki jne. yhdeksi tietosuojalaiksi, jota sovelletaan sekä yksityisiin toimijoihin että viranomaisiin, samalla kun henkilötietosuojalautakunnan toimivaltaa laajennetaan vastaavalla tavalla. Muutos tuli voimaan kokonaisuudessaan 1. huhtikuuta 2023, mutta sen eri osat olivat tulleet voimaan jo 1. syyskuuta 2021 ja 1. huhtikuuta 2022.

(22)    Pseudonymisoidut henkilökohtaiset tiedot määritellään henkilökohtaisten tietojen suojasta annetussa muutetussa laissa yksittäiseen henkilöön liittyviksi tiedoiksi, jotka voidaan ”valmistella siten, ettei yksittäisen henkilön tunnistaminen ole mahdollista, jollei tietoja koota yhteen muiden tietojen kanssa”, laissa ja määritellyissä täytäntöönpanosäännöissä vahvistettujen toimenpiteiden avulla. Ks. henkilökohtaisten tietojen suojasta annetun muutetun lain 16 §:n 5 momentti ja 41 §.

(23)

   Henkilötietosuojalautakunta hyväksyi tarkistetut täydentävät säännöt 15. maaliskuuta 2023, ja ne tulivat voimaan 1. huhtikuuta 2023.

(24)    Tämän perusteella ei voida soveltaa henkilökohtaisten tietojen suojasta annetun muutetun lain 42 §:ää, jossa säilytetään vain rajallinen määrä suojatoimia sellaisia pseudonymisoituja henkilökohtaisia tietoja varten, joita ei katsota henkilökohtaisiksi tiedoiksi.

(25)

   Ks. päätöksen johdanto-osan 79 kappale.

(26)    Ks. päätöksen johdanto-osan 181 kappale.

(27)    Ks. 11. toukokuuta 2022 annetun G7-ryhmän digiasioista vastaavien ministereiden kokouksen julkilausuman liite 1 (”G7 Action Plan Promoting Data Free Flow with Trust”), jonka kohdassa ”Building on commonalities in order to foster future interoperability” viitataan vakiomuotoisten sopimuslausekkeiden kaltaisten käytäntöjen yleistymiseen.

(28)    Ks. OECD Going Digital Toolkit, ”Interoperability of privacy and data protection frameworks” (saatavilla osoitteessa https://goingdigital.oecd.org/data/notes/No21_ToolkitNote_PrivacyDataInteroperability.pdf ), s. 18.

(29)    Ks. päätöksen johdanto-osan 177 kappale, jonka mukaan prosessin helpottamiseksi Japanin viranomaisten odotetaan ilmoittavan komissiolle kehityksestä, jolla on merkitystä tämän päätöksen kannalta ja joka koskee sitä, miten toiminnanharjoittajat käsittelevät henkilötietoja, ja sitä, mitä rajoituksia ja varotoimia on asetettu viranomaisten pääsylle tietoihin.