EUROOPAN KOMISSIO
Bryssel 3.4.2023
COM(2023) 275 final
KOMISSION KERTOMUS EUROOPAN PARLAMENTILLE JA NEUVOSTOLLE
Japanin tietosuojan riittävyyttä koskevan päätöksen toimivuuden ensimmäinen tarkastelu
{SWD(2023) 75 final}
EUROOPAN KOMISSIO
Bryssel 3.4.2023
COM(2023) 275 final
KOMISSION KERTOMUS EUROOPAN PARLAMENTILLE JA NEUVOSTOLLE
Japanin tietosuojan riittävyyttä koskevan päätöksen toimivuuden ensimmäinen tarkastelu
{SWD(2023) 75 final}
KOMISSION KERTOMUS EUROOPAN PARLAMENTILLE JA NEUVOSTOLLE
Japanin tietosuojan riittävyyttä koskevan päätöksen toimivuuden ensimmäinen tarkastelu
1.ENSIMMÄINEN TARKASTELU – TAUSTA, VALMISTELU JA PROSESSI
Euroopan komissio teki 23. tammikuuta 2019 asetuksen (EU) 2016/679 1 45 artiklan mukaisen päätöksen 2 , jossa se totesi, että Japani takaa riittävän tietosuojan tason henkilötiedoille, jotka siirretään Euroopan unionista Japanissa toimiville henkilötietoja käsitteleville yrityksille 3 . Näin ollen tiedonsiirrot EU:sta Japanissa sijaitseville yksityisille toimijoille voidaan toteuttaa ilman lisävaatimuksia 4 .
Tietosuojan riittävyyttä koskeva komission päätös kattaa henkilökohtaisten tietojen suojasta annetun Japanin lain, sellaisena kuin se on täydennettynä täydentävillä säännöillä, jotka otettiin käyttöön tiettyjen merkittävien erojen tasoittamiseksi henkilökohtaisten tietojen suojasta annetun lain ja yleisen tietosuoja-asetuksen välillä. 5 Näillä lisätakeilla vahvistetaan esimerkiksi arkaluonteisten tietojen suojaa (laajentamalla arkaluonteisiksi tiedoiksi luokiteltavien henkilökohtaisten tietojen ryhmiä), yksilöllisten oikeuksien käyttöä (selventämällä, että yksilöllisiä oikeuksia voidaan käyttää myös alle kuusi kuukautta hallussa pidettävien henkilötietojen osalta, mikä ei ollut mahdollista henkilökohtaisten tietojen suojasta annetun lain nojalla) 6 ja EU:n tietojen siirtämiseen Japanista edelleen johonkin toiseen kolmanteen maahan sovellettavia ehtoja 7 . Täydentävät säännöt sitovat japanilaisia toimijoita, ja niiden täytäntöönpanoa voivat vaatia riippumaton tietosuojaviranomainen eli Japanin henkilötietosuojalautakunta tai suoraan EU:n kansalaiset Japanin tuomioistuimissa 8 .
Lisäksi Japanin hallitus antoi komissiolle virallisia lausuntoja, vakuutuksia ja sitoumuksia rajoituksista ja suojatoimista, jotka koskevat Japanin viranomaisten pääsyä henkilötietoihin ja niiden käyttöä rikoslain täytäntöönpanoon ja kansalliseen turvallisuuteen liittyviin tarkoituksiin. Niissä selvennettiin, että tällainen käsittely rajataan siihen, mikä on välttämätöntä ja oikeasuhteista, ja siihen sovelletaan riippumatonta valvontaa ja asianmukaisia oikeussuojamekanismeja. 9 Oikeussuojamekanismeihin tällä alalla kuuluu erityinen riitojenratkaisumenettely, jonka hallinnoinnista ja valvonnasta vastaa henkilötietosuojalautakunta. Menettely perustettiin niitä EU:n kansalaisia varten, joiden henkilötietoja siirretään tietosuojan riittävyyttä koskevan päätöksen perusteella. 10
Japani teki tietosuojan riittävyyttä koskevan komission päätöksen antamisen aikaan vastaavan päätöksen, joka koskee EU:hun siirrettäviä tietoja. Näin luotiin maailman suurin tietojen vapaan liikkuvuuden alue, joka perustuu tietosuojan korkeaan tasoon. 11 Nämä tietosuojan riittävyyttä koskevat vastavuoroiset päätökset täydentävät ja vahvistavat helmikuussa 2019 voimaan tulleen EU:n ja Japanin välisen talouskumppanuussopimuksen 12 ja sen rinnalla neuvotellun strategisen kumppanuussopimuksen 13 hyötyjä. Molempien osapuolten yritykset hyötyvät tietosuojan riittävyyttä koskevien vastavuoroisten päätösten ja talouskumppanuussopimuksen välisistä synergioista, sillä tietojen vapaa liikkuvuus EU:n ja Japanin välillä helpottaa entisestään kauppavaihtoa ja luo merkittäviä liiketoimintamahdollisuuksia tarjoamalla osapuolille etuoikeutetun pääsyn toistensa markkinoille. Kyseessä on myös tärkeä ennakkotapaus, joka osoittaa selvästi sen, että digiaikana yksityisyyden suojan korkea taso ja kansainvälisen kaupan helpottaminen voivat kulkea ja niiden on kuljettava käsi kädessä.
Tietosuojan riittävyyttä koskevien päätösten hyväksymisen jälkeen EU ja Japani ovat samanmielisinä kumppaneina tehostaneet edelleen yhteistyötään yleisesti digiasioissa ja erityisesti tietovirtojen osalta. Kahdenvälisellä tasolla osoituksena tästä on erityisesti digitaalisen kumppanuuden solmiminen toukokuussa 2022 14 ja neuvottelujen käynnistäminen lokakuussa 2022 rajat ylittäviä tietovirtoja koskevien sääntöjen sisällyttämisestä talouskumppanuussopimukseen 15 , mikä lisää edelleen synergioita tietosuojan riittävyyttä koskevan vastavuoroisen järjestelyn kanssa. Monenvälisellä tasolla EU ja Japani ovat pyrkineet yhdessä edistämään, vahvistamaan ja toteuttamaan edesmenneen pääministerin Shinzo Aben alulle panemaa ”Data Free Flow with Trust” ‑käsitettä muun muassa tekemällä tiivistä yhteistyötä G7-ryhmän, Maailman kauppajärjestön (yhteistä julkilausumaa sähköisestä kaupankäynnistä koskevan aloitteen yhteydessä) ja Taloudellisen yhteistyön ja kehityksen järjestön (OECD) puitteissa. EU:n ja Japanin näissä asioissa OECD:ssä tekemä tiivis yhteistyö oli erityisen tärkeää, kun kansainvälisellä tasolla otettiin ensimmäistä kertaa käyttöön yhteiset periaatteet viranomaisten pääsystä yksityisen sektorin hallussa oleviin henkilötietoihin. 16 Kaikki nämä eri toimintalinjat perustuivat enemmän tai vähemmän niihin yhteisiin arvoihin ja vaatimuksiin, jotka muodostavat EU:n ja Japanin välisen, tietosuojan riittävyyttä koskevan vastavuoroisen järjestelyn perustan.
Komission on toteutettava säännöllinen tarkastelu ja raportoitava sen tuloksista Euroopan parlamentille ja neuvostolle, jotta varmistetaan säännöllisesti, että tietosuojan riittävyyttä koskevassa päätöksessä esitetyt havainnot ovat edelleen tosiasiallisesti ja oikeudellisesti perusteltuja. 17 Tässä kertomuksessa, joka kattaa kaikki päätöksen toimivuuteen liittyvät näkökohdat, esitetään ensimmäisen säännöllisen tarkastelun päätelmät. Tarkasteluun osallistuivat Japanin puolelta henkilötietosuojalautakunnan, sisäasiain- ja viestintäministeriön, oikeusministeriön, puolustusministeriön ja kansallisen poliisiviraston edustajat. EU:n valtuuskuntaan kuului kolme Euroopan tietosuojaneuvoston nimeämää edustajaa sekä Euroopan komission jäseniä.
Kummankin osapuolen valtuuskuntien välinen tarkastelukokous järjestettiin 26. lokakuuta 2021. Sitä ennen ja sen jälkeen vaihdettiin tietoja useaan otteeseen. Komissio keräsi tarkastelun valmistelemista varten Japanin viranomaisilta tietoja päätöksen toimivuudesta ja erityisesti täydentävien sääntöjen täytäntöönpanosta. Komissio hankki myös julkisista lähteistä ja paikallisilta asiantuntijoilta tietoja päätöksen toimivuudesta ja Japanin lainsäädännön ja käytäntöjen asiaan liittyvästä kehityksestä sekä yksityisiin toimijoihin sovellettavien tietosuojasääntöjen että valtion pääsyn osalta. Tarkastelukokouksen jälkeen komissio ja henkilötietosuojalautakunta vaihtoivat useaan otteeseen tietoja kokouksessa keskustelluista asioista ja käsittelivät erityisesti kysymyksiä, jotka liittyivät pseudonymisoituja henkilötietoja koskevien sääntöjen sisällyttämiseen henkilökohtaisten tietojen suojasta annettuun lakiin.
2.TÄRKEIMMÄT HAVAINNOT
Yksityiskohtaiset havainnot tietosuojan riittävyyttä koskevan päätöksen kaikkien näkökohtien toimivuudesta esitetään tämän kertomuksen liitteenä olevassa komission yksiköiden valmisteluasiakirjassa (SWD(2023) 75).
Ensimmäinen tarkastelu osoitti erityisesti sen, että EU:n ja Japanin tietosuojakehykset ovat lähentyneet entisestään tietosuojan riittävyyttä koskevien vastavuoroisten päätösten tekemisen jälkeen. Henkilökohtaisten tietojen suojasta annettua lakia muutettiin kahteen otteeseen: 5. kesäkuuta 2020 vuoden 2020 lailla henkilökohtaisten tietojen suojasta annetun lain muuttamisesta (henkilökohtaisten tietojen suojasta annetun lain vuoden 2020 muutos), joka tuli voimaan 1. huhtikuuta 2022 18 ; ja 12. toukokuuta 2021 lailla asiaan liittyvien lakien järjestelystä digitaalisen yhteiskunnan luomiseksi (henkilökohtaisten tietojen suojasta annetun lain vuoden 2021 muutos) 19 . Täydentävät säännöt mukautettiin vastaamaan näitä muutoksia komissiota kuullen.
Nämä muutokset ovat lähentäneet entisestään EU:n ja Japanin järjestelmiä erityisesti vahvistamalla tietoturvavelvoitteita (kun käyttöön otettiin velvollisuus ilmoittaa tietoturvaloukkauksista), rekisteröityjen oikeuksia (erityisesti tiedonsaantioikeus ja oikeus vastustaa henkilötietojen käsittelyä) ja tiedonsiirtoja koskevia suojatoimia (lisätiedot ja seurantavaatimukset, mukaan lukien tiedot mahdollisista viranomaisten pääsyyn liittyvistä riskeistä kohdemaassa). Tässä yhteydessä erityisen huomionarvoista on se, että jotkin täydentävien sääntöjen mukaiset EU:sta peräisin olevia henkilötietoja koskevat lisätakeet, jotka koskevat tietojen säilyttämistä ja tietoista suostumusta koskevia ehtoja rajat ylittäviä tiedonsiirtoja varten, on sisällytetty henkilökohtaisten tietojen suojasta annettuun lakiin, joten niitä voidaan soveltaa yleisesti kaikkiin henkilötietoihin niiden alkuperästä tai keräyspaikasta riippumatta. 20
Toinen komission myönteisenä pitämä keskeinen edistysaskel on henkilökohtaisten tietojen suojasta annetun lain muuttaminen kattavaksi tietosuojakehykseksi, jota sovelletaan sekä yksityiseen että julkiseen sektoriin ja jota valvoo yksinomaan henkilötietosuojalautakunta. 21 Tämä Japanin tietosuojakehyksen ja henkilötietosuojalautakunnan toimivaltuuksien vahvistaminen edelleen voi tasoittaa tietä tietosuojan riittävyyttä koskevan päätöksen laajentamiselle kaupallisten tietojen vaihtoa pidemmälle siten, että se kattaisi nykyisin päätöksen soveltamisalan ulkopuolelle jäävät siirrot esimerkiksi sääntely-yhteistyön ja tutkimuksen alalla.
Ensimmäisessä tarkastelussa keskityttiin myös ”pseudonymisoitujen henkilötietojen” luomista ja käyttöä koskeviin uusiin sääntöihin, jotka otettiin käyttöön henkilökohtaisten tietojen suojasta annetun lain vuoden 2020 muutoksella 22 . Näiden uusien sääntöjen tavoitteena on ennen kaikkea helpottaa henkilökohtaisten tietojen (sisäistä) käyttöä yrityksissä, jotka käsittelevät henkilökohtaisia tietoja pääasiassa tilastollisiin tarkoituksiin (esim. trendien ja mallien määrittäminen muita toimia, kuten tutkimusta, varten). Tarkastelukokouksessa ja myöhemmässä komission ja henkilötietosuojalautakunnan välisessä tietojenvaihdossa selvennettiin näiden uusien säännösten tulkintaa ja soveltamista. Näiden keskustelujen tuloksena täydentäviä sääntöjä muutettiin 15. maaliskuuta 2023 kahdella tavalla, jotta ne vastaisivat selkeämmin uusien säännösten käyttötarkoitusta ja jotta varmistettaisiin oikeusvarmuus ja läpinäkyvyys. 23 Ensinnäkin tällaisia tietoja voidaan täydentävien sääntöjen mukaan käyttää ainoastaan tilastollisiin tarkoituksiin – jotka on määritelty tilastollisiin tutkimuksiin liittyväksi käsittelyksi tai tilastotietojen tuottamiseksi – aggregoitujen tietojen tuottamista varten eikä käsittelyn tuloksia voida käyttää yksittäisiä henkilöitä koskevien toimenpiteiden tai päätösten tukena. Toiseksi niissä tehdään selväksi, että alun perin EU:sta vastaanotetut pseudonymisoidut tiedot luokitellaan aina ”henkilökohtaisiksi tiedoiksi” henkilökohtaisten tietojen suojasta annetun lain nojalla sen varmistamiseksi, että yleisen tietosuoja-asetuksen mukaan henkilötiedoiksi luokiteltujen tietojen suojan jatkuvuus ei vaarannu, kun tietoja siirretään tietosuojan riittävyyttä koskevan päätöksen perusteella. 24
Komissio suhtautuu myönteisesti henkilötietosuojalautakunnan toteuttamiin eri toimiin, jotka liittyvät tietosuojatakeiden täytäntöönpanoon käytännössä. Niihin sisältyy päivitettyjen ohjeiden antaminen, myös kansainvälisten tiedonsiirtojen osalta. Komissio huomauttaa, että ohjeita voitaisiin selkeyttää siten, että niissä otettaisiin huomioon myös erityisvaatimukset, joita sovelletaan täydentävien sääntöjen nojalla unionista vastaanotettujen henkilötietojen siirtämiseen edelleen Japanista, mukaan lukien – kuten todetaan täydentävässä säännössä nro 4 ja selitetään tietosuojan riittävyyttä koskevassa päätöksessä 25 – APEC:n rajat ylittävien yksityisyyden suojaa koskevien sääntöjen (CBPR) sertifiointijärjestelmään perustuvan edelleen siirtämisen poissulkeminen. Lisäksi, vaikka henkilötietosuojalautakunta on kertonut henkilökohtaisia tietoja käsittelevien toiminnanharjoittajien rajaavan EU:sta alun perin vastaanotettujen tietojen edelleen siirtämistä ”tekemällä sopimuksen, joka velvoittaa vastaanottajan toteuttamaan suojan jatkumisen varmistavia toimenpiteitä”, henkilötietosuojalautakunta ei anna tällä hetkellä ohjeita kansainvälisissä tiedonsiirroissa käytettävien ”vastaavien toimenpiteiden” suositellusta sisällöstä (takeiden osalta), olipa kyse ohjeista tai tietosuojasopimusten malleista. Nämä lisäselvennykset, jotka voisivat perustua erityisesti henkilötietosuojalautakunnan ja komission väliseen tietojen ja parhaiden käytäntöjen vaihtoon, voisivat olla erityisen hyödyllisiä, koska ne koskevat näkökohtia, jotka ovat erityisen merkityksellisiä molemmilla lainkäyttöalueilla toimiville yrityksille.
Valvonnan ja täytäntöönpanon osalta komissio toteaa, että henkilötietosuojalautakunta on käyttänyt tietosuojan riittävyyttä koskevan päätöksen tekemisen jälkeen enemmän ohjeiden ja neuvojen antamista koskevia, ei-pakottavia valtuuksiaan (henkilökohtaisten tietojen suojasta annetun lain 147 §) kuin pakottavia valtuuksiaan (esim. sitovien määräysten antaminen, henkilökohtaisten tietojen suojasta annetun lain 148 §). Henkilötietosuojalautakunta ilmoitti myös, ettei täydentävien sääntöjen noudattamisesta ole saatu tähän mennessä valituksia eikä henkilötietosuojalautakunta ole tehnyt oma-aloitteisesti tutkimuksia tällaisista kysymyksistä. Tarkastelukokouksessa henkilötietosuojalautakunta ilmoitti kuitenkin harkitsevansa omasta aloitteestaan satunnaistarkastuksia täydentävien sääntöjen noudattamisen varmistamiseksi. Komissio pitää tätä ilmoitusta myönteisenä, koska se katsoo, että tällaiset satunnaistarkastukset olisivat erittäin tärkeitä sen varmistamiseksi, että täydentävien sääntöjen (mahdolliset) rikkomiset estetään ja havaitaan ja että niihin puututaan, millä varmistetaan näiden sääntöjen tehokas noudattaminen. Koska henkilökohtaisten tietojen suojasta annetun lain vuosien 2020 ja 2021 muutokset ovat vahvistaneet henkilötietosuojalautakunnan valvontavaltuuksia, tällaiset satunnaistarkastukset voisivat olla osa yleistä pyrkimystä lisätä kyseisten valtuuksien käyttöä.
Komissio suhtautuu myös erittäin myönteisesti erityisten yhteyspisteiden perustamiseen sellaisia EU:n kansalaisia varten, joilla on henkilötietojensa käsittelyyn Japanissa liittyviä kysymyksiä tai huolenaiheita, olipa kyse sitten kaupallisista toimijoista (tiedusteluyhteys) tai viranomaisista (valitusten sovitteluyhteys). Toisaalta komissio huomauttaa myös, että tiedusteluyhteyden verkkosivuilla todetaan, että palvelu on saatavilla ”vain japaniksi”, mikä todennäköisesti estää EU:n kansalaisia käyttämästä sitä, vaikka henkilötietosuojalautakunta kertoi, että apua on periaatteessa saatavilla englannin kielellä. Komission käsityksen mukaan henkilötietosuojalautakunta harkitsee keinoja yhteyspisteiden käytettävyyden parantamiseksi eurooppalaisten kannalta ja selventää tätä varten muun muassa tämän asian.
3.PÄÄTELMÄT
Ensimmäisessä tarkastelussa tehtyjen yleisten havaintojen perusteella komissio katsoo, että Japani varmistaa edelleen Euroopan unionista henkilökohtaisten tietojen käsittelyä harjoittaville Japanissa toimiville toiminnanharjoittajille siirrettävien henkilötietojen riittävän suojan tason silloin kun kyseisiin toiminnanharjoittajiin sovelletaan henkilökohtaisten tietojen suojasta annettua lakia, sellaisena kuin se on täydennettynä täydentävillä säännöillä, yhdessä päätöksen liitteessä II olevien virallisten lausuntojen, vakuutusten ja sitoumusten kanssa. Tässä yhteydessä komission yksiköt panevat merkille erinomaisen yhteistyön Japanin viranomaisten ja erityisesti henkilötietosuojalautakunnan kanssa tarkastelun suorittamisessa ja arvostavat sitä suuresti.
Tarkastelun tulosten perusteella ja tietosuojan riittävyyttä koskevan päätöksen johdanto-osan 181 kappaleen mukaisesti komissio katsoo, ettei tulevien tarkastelujen osalta ole tarpeen pitää voimassa kahden vuoden jaksoa, vaan sen sijaan on asianmukaista siirtyä neljän vuoden jaksoon yleisen tietosuoja-asetuksen 45 artiklan 3 kohdan mukaisesti. Komissio kuulee tässä asiassa asianmukaisesti yleisen tietosuoja-asetuksen 93 artiklan 1 kohdan mukaisesti perustettua komiteaa. 26
Japanin kehyksen tiettyjen näkökohtien vahvistaminen voisi kuitenkin auttaa tehostamaan edelleen takeita, jotka vahvistetaan henkilökohtaisten tietojen suojasta annetussa laissa ja täydentävissä säännöissä. Tätä varten komissio antaa seuraavat suositukset:
1.Komissio suhtautuu myönteisesti ja kannustavasti siihen, että henkilötietosuojalautakunta aikoo varmistaa täydentävien sääntöjen noudattamisen satunnaistarkastusten avulla. Komissio katsoo, että tällaiset satunnaistarkastukset olisivat erittäin tärkeitä sen varmistamiseksi, että täydentävien sääntöjen (mahdolliset) rikkomiset havaitaan ja että niihin puututaan, millä varmistetaan näiden sääntöjen tehokas noudattaminen.
2.Komissio suhtautuu myönteisesti siihen, että henkilötietosuojalautakunta on julkaissut päivitetyt kansainvälisiä tiedonsiirtoja koskevat ohjeet, koska ne tekevät henkilökohtaisten tietojen suojasta annetun lain tähän liittyvistä säännöistä helpommin lähestyttäviä ja käyttäjäystävällisempiä. Näissä ohjeissa (tai muussa ohjeistuksessa) olisi tarvittaessa myös selitettävä täydentävistä säännöistä johtuvat erityisvaatimukset, mukaan lukien vaatimukset, jotka liittyvät APEC:n CBPR-järjestelmän sertifiointijärjestelmän poissulkemiseen alun perin EU:sta vastaanotettujen henkilötietojen edelleen siirtämisen osalta.
3.Tarkastelun yhteydessä keskusteltiin siitä, miten yksityishenkilöiden esittämiä kysymyksiä ja valituksia varten tarkoitetusta henkilötietosuojalautakunnan tiedustelu-/sovitteluyhteydestä voitaisiin tehdä ulkomaalaisille helpommin saavutettava. Tässä yhteydessä olisi tärkeää selventää asianomaisella verkkosivustolla, että apua on periaatteessa saatavilla englannin kielellä.
Tarkastelun ansiosta voitiin myös määrittää mahdollisia tulevia yhteistyöaloja. Kuten edellä todettiin, henkilötietosuojalautakunta ei anna tällä hetkellä ohjeita kansainvälisten tiedonsiirtojen yhteydessä käytettävien ”vastaavien toimenpiteiden” suositellusta sisällöstä (takeiden osalta), olipa kyse ohjeista tai tietosuojasopimusten malleista. Kun otetaan huomioon mallilausekkeiden kasvava merkitys ja niiden potentiaali maailmanlaajuisena välineenä tiedonsiirtoja varten, kuten esimerkiksi G7-ryhmä 27 ja OECD 28 ovat todenneet, komissio on ilmaissut olevansa kiinnostunut tulevasta yhteistyöstä Japanin kanssa tällaisten lausekkeiden kehittämisessä. Tietosuojan riittävyyttä koskevan päätöksen soveltamisalan laajentaminen kaupallisten toimijoiden välisiä siirtoja pidemmälle on toinen ala, johon komissio aikoo perehtyä henkilötietosuojalautakunnan kanssa.
Komissio jatkaa Japanin tietosuojakehyksen ja varsinaisten käytäntöjen tiivistä seurantaa. Se odottaa tältä osin tulevaa tietojenvaihtoa Japanin viranomaisten kanssa päätöksen kannalta merkityksellisistä tapahtumista 29 sekä yhteistyön vahvistamista edelleen kansainvälisellä tasolla näinä aikoina, jolloin yksityisyyttä ja tietovirtoja koskeville maailmanlaajuisille standardeille on yhä enemmän kysyntää.
Tällä välin vuonna 2020 muutetussa henkilökohtaisten tietojen suojasta annetussa laissa ’yrityksen hallussa olevien henkilötietojen’ määritelmää uudistettiin siten, että sen ulkopuolelle ei enää suljeta henkilötietoja, jotka on ”määrä poistaa” kuuden kuukauden kuluessa (henkilökohtaisten tietojen suojasta annetun muutetun lain 16 §:n 4 momentti). Henkilökohtaisten tietojen suojasta annetun lain versiossa, jota sovellettiin tietosuojan riittävyyttä koskevan päätöksen tekohetkellä, käytettiin käsitettä ’säilytetyt henkilötiedot’.
Henkilötietosuojalautakunta hyväksyi tarkistetut täydentävät säännöt 15. maaliskuuta 2023, ja ne tulivat voimaan 1. huhtikuuta 2023.
Ks. päätöksen johdanto-osan 79 kappale.