(1)

Asetuksessa (EU) 2016/679 vahvistetaan säännöt, joita sovelletaan henkilötietojen siirtoon Euroopan unioniin sijoittautuneilta rekisterinpitäjiltä tai henkilötietojen käsittelijöiltä kolmansiin maihin ja kansainvälisille järjestöille, siltä osin kuin tällaiset siirrot kuuluvat sen soveltamisalaan. Henkilötietojen kansainvälistä siirtoa koskevat säännöt vahvistetaan asetuksen V luvussa, erityisesti sen 44–50 artiklassa. Kansainvälisen yhteistyön ja kaupan kehittämiseksi on tarpeen siirtää henkilötietoja Euroopan unionin ulkopuolisiin maihin tai niistä unioniin, ja samalla on varmistettava, että henkilötietojen suojan tasoa Euroopan unionissa ei heikennetä.

(2)

Asetuksen (EU) 2016/679 45 artiklan 3 kohdan mukaan komissio voi päättää täytäntöönpanosäädöksellä, että jokin kolmas maa tai kolmannen maan alue tai yksi tai useampi tietty sektori tai kansainvälinen järjestö varmistaa riittävän tietosuojan tason. Tämän edellytyksen täyttyessä henkilötietoja voidaan siirtää kyseiselle kolmannelle maalle, alueelle, sektorille tai kansainväliselle järjestölle ilman erillistä lupaa, kuten asetuksen 45 artiklan 1 kohdassa ja johdanto-osan 103 kappaleessa säädetään.

(3)

Kuten asetuksen (EU) 2016/679 45 artiklan 2 kohdassa säädetään, tietosuojan riittävyyttä koskevan päätöksen tekemisen on perustuttava kattavaan analyysiin kolmannen maan oikeusjärjestyksestä siltä osin kuin on kyse sekä tietojen tuojia koskevista säännöistä että rajoituksista ja suojatoimista, jotka koskevat viranomaisten pääsyä henkilötietoihin. Arvioinnissa on määritettävä, takaako kyseinen kolmas maa suojan tason, joka ”vastaa olennaisilta osin” Euroopan unionissa taattua suojan tasoa (asetuksen (EU) 2016/679 johdanto-osan 104 kappale). Kuten Euroopan unionin tuomioistuin on selventänyt, tämä ei edellytä samanlaista suojelun tasoa (2). Erityisesti keinot, joita kyseisellä kolmannella maalla on käytettävissään, voivat erota Euroopan unionissa käytetyistä menetelmistä, kunhan ne käytännössä varmistavat tehokkaasti suojelun riittävän tason (3). Tietosuojan tason riittävyyttä koskeva vaatimus ei sen vuoksi edellytä unionin sääntöjen kopiointia kohta kohdalta. Sen sijaan tarkastellaan, onko ulkomaisen järjestelmän antama suoja kokonaisuutena vaaditun tason mukainen. Tällöin selvitetään, mikä sisältö yksityisyyteen liittyvillä oikeuksilla on, pannaanko ne täytäntöön ja valvotaanko niiden toteutumista tehokkaasti (4).

(4)

Komissio on analysoinut huolellisesti Japanin lainsäädäntöä ja käytäntöä. Komissio katsoo johdanto-osan 6–175 kappaleessa esitettyjen havaintojen perusteella, että Japanissa varmistetaan riittävä suoja henkilötiedoille, jotka siirretään henkilökohtaisten tietojen suojasta annetun lain (5) soveltamisalaan kuuluville organisaatioille tässä päätöksessä tarkoitettujen lisäedellytysten täyttyessä. Nämä edellytykset vahvistetaan Japanin henkilötietosuojalautakunnan (6) antamissa täydentävissä säännöissä (liite I) ja Japanin hallituksen virallisissa lausunnoissa, vakuutuksissa ja sitoumuksissa Euroopan komissiolle (liite II).

(5)

Tällä päätöksellä mahdollistetaan se, että tiedonsiirrot Euroopan talousalueelle (ETA) (7) sijoittautuneelta rekisterinpitäjältä tai henkilötietojen käsittelijältä voidaan toteuttaa tällaisille Japaniin sijoittautuneille organisaatioille ilman, että tarvitaan enää muita lupia. Tämä päätös ei vaikuta asetuksen (EU) 2016/679 suoraan soveltamiseen tällaisiin organisaatioihin, kun kyseisen asetuksen 3 artiklan edellytykset täyttyvät.

(6)

Japanin yksityisyyden suojaa ja tietosuojaa koskeva säännöstö perustuu vuonna 1946 säädettyyn perustuslakiin.

(7)

Perustuslain 13 §:ssä säädetään seuraavaa:

”Kaikkia ihmisiä on kunnioitettava yksilöinä. Heidän oikeuttaan elämään, vapauteen ja onnen tavoitteluun on pidettävä ensisijaisena tavoitteena lainsäädännössä ja muissa valtiollisissa kysymyksissä siinä määrin kuin se ei haittaa yleistä hyvinvointia.”

(8)

Japanin korkein oikeus on tämän pykälän perusteella selventänyt yksilöiden oikeuksia henkilökohtaisten tietojen suojan osalta. Se totesi vuonna 1969 antamassaan päätöksessä, että oikeus yksityisyyteen ja tietosuojaan on perustuslaillinen oikeus (8). Japanin korkein oikeus katsoi erityisesti, että ”jokaisella yksilöllä on vapaus suojella omia henkilökohtaisia tietojaan, jotta niitä ei luovutettaisi kolmannelle osapuolelle tai julkistettaisi ilman hyvää syytä”. Lisäksi korkein oikeus katsoi asiassa Juki-Net 6 päivänä maaliskuuta 2008 antamassaan päätöksessä (9), että ”kansalaisten vapautta yksityiselämässä on suojeltava julkisen vallan käytöltä ja voidaan katsoa, että jokaisella yksilöllä on vapaus suojella omia henkilökohtaisia tietojaan, jotta niitä ei paljastettaisi kolmannelle osapuolelle tai julkistettaisi ilman hyvää syytä, ja että tämä vapaus on yksi yksityiselämää koskevista yksilön vapauksista” (10).

(9)

Japani antoi 30 päivänä toukokuuta 2003 joukon tietosuojalakeja:

(10)

Kaksi viimeiseksi mainittua säädöstä, joita on muutettu vuonna 2016, sisältävät säännöksiä, joita sovelletaan henkilökohtaisten tietojen suojaan julkisen sektorin yhteisöissä. Tietojen käsittely, joka kuuluu kyseisten säädösten soveltamisalaan, ei ole tässä päätöksessä esitetyn tietosuojan tason riittävyyttä koskevan päätelmän kohteena, vaan tämä päätös rajoittuu henkilökohtaisten tietojen suojasta annetussa laissa tarkoitettuun toiminnanharjoittajien käsittelemien henkilökohtaisten tietojen tietosuojaan.

(11)

Henkilökohtaisten tietojen suojasta annettua lakia on uudistettu viime vuosina. Muutettu laki julkaistiin 9 päivänä syyskuuta 2015, ja se tuli voimaan 30 päivänä toukokuuta 2017. Muutoksella otettiin käyttöön joukko uusia suojatoimia ja lujitettiin nykyisiä suojatoimia ja tuotiin siten Japanin tietosuojajärjestelmä lähemmäs Euroopan tietosuojajärjestelmää. Tällaisia ovat esimerkiksi täytäntöönpanokelpoiset yksilön oikeudet tai henkilökohtaisten tietojen suojasta annetun lain valvonnasta ja täytäntöönpanosta vastaavan riippumattoman valvontaviranomaisen (henkilötietosuojalautakunta) perustaminen.

(12)

Tämän päätöksen soveltamisalaan kuuluvien henkilökohtaisten tietojen käsittelyyn sovelletaan henkilökohtaisten tietojen suojasta annetun lain lisäksi täytäntöönpanosääntöjä, jotka on annettu mainitun lain perusteella. Tähän sisältyvät henkilökohtaisten tietojen suojasta annetun lain täytäntöönpanosta 5 päivänä lokakuuta 2016 annetun hallituksen määräyksen muutos ja henkilötietosuojalautakunnan hyväksymät säännöt henkilökohtaisten tietojen suojasta annetun lain täytäntöönpanosta (11). Molemmat sääntökokonaisuudet ovat oikeudellisesti sitovia ja täytäntöönpanokelpoisia, ja ne tulivat voimaan samaan aikaan kuin muutettu henkilökohtaisten tietojen suojasta annettu laki.

(13)

Lisäksi Japanin hallitus (joka muodostuu pääministeristä ja muista ministereistä) hyväksyi 28 päivänä lokakuuta 2016 perusperiaatteet, joiden puitteissa se voi ”kattavasti ja yhtenäisesti edistää henkilökohtaisten tietojen suojaan liittyviä toimenpiteitä”. Henkilökohtaisten tietojen suojasta annetun lain 7 §:n mukaisesti perusperiaatteet hyväksytään päätöksen muodossa, ja ne sisältävät kyseisen lain täytäntöönpanoa koskevat poliittiset suuntaviivat, jotka on suunnattu sekä keskushallinnolle että paikallishallinnolle.

(14)

Japanin hallitus muutti perusperiaatteita 12 päivänä kesäkuuta 2018 tehdyllä päätöksellään. Kansainvälisten tiedonsiirtojen helpottamiseksi kyseisessä hallituksen päätöksessä delegoidaan henkilötietosuojalautakunnalle, joka on henkilökohtaisten tietojen suojasta annetun lain hallinnoinnista ja täytäntöönpanosta vastaava toimivaltainen viranomainen, ”valtuudet toteuttaa tarvittavat toimet, jotta voidaan kuroa umpeen Japanin ja asianomaisen kolmannen maan järjestelmien ja toimintojen väliset erot lain 6 §:n perusteella ja varmistaa kyseisestä maasta saatujen henkilökohtaisten tietojen asianmukainen käsittely”. Hallituksen päätöksessä säädetään, että tähän sisältyy toimivalta ottaa käyttöön parannetut suojatoimet siten, että henkilötietosuojalautakunta vahvistaa tiukemmat säännöt, jotka täydentävät henkilökohtaisten tietojen suojasta annetussa laissa ja hallituksen määräyksessä vahvistettuja sääntöjä ja menevät niitä pidemmälle. Kyseisen päätöksen nojalla nämä tiukemmat säännöt ovat sitovia ja täytäntöönpanokelpoisia japanilaisten toiminnanharjoittajien osalta.

(15)

Henkilötietosuojalautakunta hyväksyi henkilökohtaisten tietojen suojasta annetun lain 6 §:n ja mainitun hallituksen päätöksen perusteella 15 päivänä kesäkuuta 2018 henkilökohtaisten tietojen suojasta annetun lain nojalla täydentävät säännöt EU:sta tietosuojan riittävyyttä koskevan päätöksen perusteella siirrettyjen henkilökohtaisten tietojen käsittelyä varten, jäljempänä ’täydentävät säännöt’. Tarkoituksena on parantaa niiden henkilökohtaisten tietojen suojaa, jotka siirretään Euroopan unionista Japaniin nykyisen tietosuojan riittävyyttä koskevan päätöksen perusteella. Nämä täydentävät säännöt sitovat japanilaisia toiminnanharjoittajia oikeudellisesti, ja sekä henkilötietosuojalautakunta että tuomioistuimet voivat panna ne täytäntöön samalla tavoin kuin ne henkilökohtaisten tietojen suojasta annetun lain säännökset, joita ne täydentävät tiukemmilla ja/tai yksityiskohtaisemmilla säännöillä (12). Koska Euroopan unionista peräisin olevia henkilötietoja vastaanottavat ja/tai niitä edelleen käsittelevät japanilaiset toiminnanharjoittajat ovat oikeudellisesti velvollisia noudattamaan täydentäviä sääntöjä, niiden on varmistettava esimerkiksi teknisin keinoin (elektronisten tunnisteiden avulla) tai organisatorisin keinoin (säilyttämällä tiedot erityisessä tietokannassa), että ne voivat tunnistaa tällaiset henkilötiedot koko niiden ”elinkaaren” ajan (13). Seuraavissa jaksoissa analysoidaan kunkin täydentävän säännön sisältöä samalla kun arvioidaan sitä henkilökohtaisten tietojen suojasta annetun lain pykälää, jota säännöllä täydennetään.

(16)

Toisin kuin ennen vuoden 2015 muutosta, jolloin tiettyjä aloja koskevien sääntöjen hyväksyminen kuului Japanin eri ministeriöiden toimivallan piiriin, henkilökohtaisten tietojen suojasta annetussa laissa annetaan henkilötietosuojalautakunnalle valta hyväksyä suuntaviivat, joiden ”tarkoituksena on varmistaa, että toiminnanharjoittaja toteuttaa toimia asianmukaisesti ja tehokkaasti” tietosuojasääntöjen mukaisesti. Henkilötietosuojalautakunta tarjoaa omien suuntaviivojensa kautta virallisen tulkinnan kyseisistä säännöistä ja erityisesti henkilökohtaisten tietojen suojasta annetusta laista. Henkilötietosuojalautakunnalta saatujen tietojen mukaan nämä suuntaviivat muodostavat oikeudellisen kehyksen erottamattoman osan ja niitä luetetaan yhdessä henkilökohtaisten tietojen suojasta annetun lain, hallituksen määräyksen, mainitun lautakunnan sääntöjen ja sen laatiman kysymys- ja vastaussarjan (14) kanssa. Siksi ne ”sitovat toiminnanharjoittajia”. Jos suuntaviivoissa todetaan, että toiminnanharjoittajan ”on toimittava” tai että sen ”ei pitäisi toimia” tietyllä tavalla, henkilötietosuojalautakunta katsoo, että asiaa koskevien säännösten noudattamatta jättäminen rikkoo lakia (15).

(17)

Henkilökohtaisten tietojen suojasta annetun lain soveltamisala määräytyy henkilökohtaisia tietoja, henkilötietoja ja henkilökohtaisia tietoja käsittelevää toiminnanharjoittajaa koskevien käsitteiden mukaisesti. Lisäksi kyseisessä laissa säädetään joistakin merkittävistä soveltamisalaa koskevista poikkeuksista, ennen kaikkea anonyymisti käsiteltyjen henkilötietojen ja tiettyjen toiminnanharjoittajien erityisten tietojenkäsittelytyyppien osalta. Henkilökohtaisten tietojen suojasta annetussa laissa ei käytetä käsittelystä englannin kielen ilmaisua ”processing” vastaavaa termiä vaan siinä käytetty termi vastaa englannin kielen käsitettä ”handling”. Henkilötietosuojalautakunnalta saatujen tietojen mukaan kyseinen käsite kattaa ”kaikki toimet, jotka koskevat henkilötietoja”, mukaan lukien henkilökohtaisten tietojen hankinta, syöttäminen, kokoaminen, järjestäminen, säilyttäminen, muokkaaminen/käsittely, uusiminen, poistaminen, tulostaminen, käyttö tai luovuttaminen.

(18)

Ensinnäkin henkilökohtaisten tietojen suojasta annetun lain aineellisen soveltamisalan osalta voidaan todeta, että siinä henkilökohtaiset tiedot erotetaan henkilötiedoista ja että ainoastaan tiettyjä kyseisen lain säännöksiä sovelletaan ensiksi mainittuun tietoryhmään. Kyseisen lain 2 §:n 1 momentin mukaan ”henkilökohtaisten tietojen” käsite sisältää kaikki elävään henkilöön liittyvät tiedot, joiden perusteella henkilö voidaan tunnistaa. Määritelmässä erotetaan toisistaan kaksi henkilökohtaisten tietojen ryhmää: i) yksilölliset tunnistuskoodit ja ii) muut henkilökohtaiset tiedot, joilla henkilö voidaan tunnistaa. Viimeksi mainittuun ryhmään kuuluvat myös tiedot, joiden itsensä perusteella henkilöä ei sinänsä voida tunnistaa mutta jotka ”koottuna helposti yhteen” muiden tietojen kanssa mahdollistavat henkilön tunnistamisen. Henkilötietosuojalautakunnan suuntaviivojen (16) mukaan sitä, voidaanko tietoja pitää ”helposti yhteenkoottavina”, arvioidaan tapauskohtaisesti ottaen huomioon tietoja käsittelevän toiminnanharjoittajan tosiasiallinen tilanne (”olosuhteet”). Näin oletetaan, jos yhteenkokoamisen suorittaa (tai sen voi suorittaa) keskimääräinen (”tavanomainen”) toiminnanharjoittaja käyttäen saatavillaan olevia keinoja. Tiedot eivät ole ”helposti yhteenkoottavia” muiden tietojen kanssa, jos toiminnanharjoittajan on tarpeen toteuttaa epätavallisia tai laittomia toimia saadakseen tiedot, jotka on tarkoitus koota yhdeltä tai useammalta muulta alan toiminnanharjoittajalta.

(19)

Vain tietyt henkilökohtaiset tiedot kuuluvat henkilökohtaisten tietojen suojasta annetun lain mukaiseen ”henkilötietojen” käsitteen piiriin. ”Henkilötiedoilla” tarkoitetaan ”henkilökohtaisia tietoja, jotka muodostavat henkilökohtaisten tietojen tietokannan”. Toisin sanoen kyseessä on ”kollektiivinen kokoelma tietoja”, ja se koostuu sellaisista henkilökohtaisista tiedoista, jotka on ”järjestetty systemaattisesti siten, että tiettyjä henkilökohtaisia tietoja voidaan hakea tietokoneen avulla” (17), tai joiden on ”hallituksen määräyksellä vahvistettu olevan systemaattisesti järjestettyjä siten, että tiettyjä henkilökohtaisia tietoja voidaan hakea helposti”, mutta ”lukuun ei oteta tietoja, joiden on hallituksen määräyksellä vahvistettu olevan sellaisia, että riski yksilön oikeuksien ja etujen vahingoittamisesta on hyvin pieni, kun otetaan huomioon tietojen käyttötapa” (18).

(20)

Tätä poikkeusta täsmennetään hallituksen määräyksen 3 §:n 1 momentissa, jonka mukaan kolmen seuraavan kumulatiivisen edellytyksen on täytyttävä: i) tietojen kollektiivisen kokoelman on oltava sellainen, että se on ”julkaistu tarkoituksena myydä se suurelle joukolle määrittelemättömiä henkilöitä eikä sen julkaiseminen ole lain tai siihen perustuvan määräyksen vastaista”; ii) sen voi ”ostaa milloin tahansa suuri joukko määrittelemättömiä henkilöitä” ja iii) siihen sisältyvät henkilötiedot on ”toimitettava alkuperäiseen tarkoitukseensa ilman, että niihin on lisätty muita elävään henkilöön liittyviä tietoja”. Henkilötietosuojalautakunnalta saatujen selvitysten mukaan tämä kapea-alainen poikkeus otettiin käyttöön tarkoituksena sulkea pois puhelin- tai vastaavat luettelot.

(21)

Japanissa kerättyjen tietojen osalta ”henkilökohtaisten tietojen” ja ”henkilötietojen” välinen ero on merkityksellinen, koska henkilökohtaiset tiedot (esimerkiksi yksi yhtenäinen tietokokonaisuus, joka on kerätty ja käsitelty manuaalisesti) eivät välttämättä aina ole osa ”henkilökohtaisten tietojen tietokantaa”, minkä vuoksi niitä henkilökohtaisten tietojen suojasta annetun lain säännöksiä, jotka koskevat ainoastaan henkilötietoja, ei sovelleta (19).

(22)

Tällä erolla ei sitä vastoin ole merkitystä sellaisten henkilötietojen osalta, jotka tuodaan Euroopan unionista Japaniin tietosuojan riittävyyttä koskevan päätöksen perusteella. Koska tällaiset tiedot siirretään yleensä sähköisesti (ottaen huomioon, että digiaikana tämä on tavallinen tapa vaihtaa tietoja erityisesti silloin, kun etäisyys on suuri, kuten EU:n ja Japanin tapauksessa) ja sen vuoksi niistä tulee osa tietojen tuojan sähköistä rekisterijärjestelmää, tällaiset EU:sta peräisin olevat tiedot kuuluvat henkilökohtaisten tietojen suojasta annetun lain mukaiseen ”henkilötietojen” ryhmään. Sellaisissa poikkeuksellisissa tapauksissa, että henkilötiedot siirretään EU:sta muulla tavalla (esim. paperilla), tiedot kuuluvat edelleen henkilökohtaisten tietojen suojasta annetun lain piiriin, jos tiedoista tulee siirron jälkeen osa ”kollektiivista kokoelmaa tietoja” ja kyseinen kokoelma on järjestetty siten, että yksittäisiä tietoja on helppo hakea (mainitun lain 2 §:n 4 momentin ii alakohta). Hallituksen määräyksen 3 §:n 2 momentin mukaan näin on silloin, kun tiedot on järjestetty ”tietyn säännön mukaisesti” ja tietokantaan sisältyy esimerkiksi sisällysluettelon tai hakemiston kaltaisia välineitä haun helpottamiseksi. Tämä vastaa yleisen tietosuoja-asetuksen 2 artiklan 1 kohdassa tarkoitettua ”rekisterin” määritelmää.

(23)

Tiettyjä henkilökohtaisten tietojen suojasta annetun lain säännöksiä, erityisesti sen 27–30 §:ää, jotka koskevat yksilön oikeuksia, sovelletaan vain tiettyyn henkilötietojen ryhmään eli ”säilytettyihin henkilötietoihin”. Ne määritellään henkilökohtaisten tietojen suojasta annetun lain 2 §:n 7 kohdassa henkilötiedoiksi, jotka ovat muita tietoja kuin ne, jotka i) ”hallituksen määräyksen mukaan voivat vahingoittaa julkisia tai muita etuja, jos niiden olemassaolosta tai puuttumisesta ilmoitetaan”, tai jotka ii) ”on määrä poistaa hallituksen määräyksessä vahvistetun, enintään vuoden pituisen määräajan kuluessa”.

(24)

Näistä ensimmäinen ryhmä on määritelty hallituksen määräyksen 4 §:ssä, ja se kattaa neljä erilaista poikkeusta (20). Näillä poikkeuksilla on samanlaiset tavoitteet kuin ne, jotka on lueteltu asetuksen (EU) 2016/679 23 artiklan 1 kohdassa, kuten rekisteröidyn (”datasubjekti” (principal) henkilökohtaisten tietojen suojasta annetun lain terminologiassa) suoja ja muille kuuluvat vapaudet, kansallinen turvallisuus, yleinen turvallisuus, lainvalvontatarkoitus tai muut yleisen edun mukaiset tärkeät tavoitteet. Lisäksi hallituksen määräyksen 4 §:n 1 momentin i–iv alakohdan sanamuodosta johtuu, että niiden soveltaminen edellyttää aina tiettyä riskiä, joka kohdistuu johonkin tärkeään etuun (21).

(25)

Toinen ryhmä on määritelty tarkemmin hallituksen määräyksen 5 §:ssä. Luettuna yhdessä henkilökohtaisten tietojen suojasta annetun lain 2 §:n 7 momentin kanssa sillä vapautetaan säilytettyjen henkilötietojen käsitteen ja näin ollen kyseisen lain mukaisten yksilön oikeuksien soveltamisalasta sellaiset henkilötiedot, jotka on ”määrä poistaa” kuuden kuukauden kuluessa. Henkilötietosuojalautakunnan mukaan tämän poikkeuksen tarkoituksena on kannustaa toiminnanharjoittajia säilyttämään ja käsittelemään tietoja mahdollisimman lyhyen ajan. Tämä tarkoittaisi kuitenkin sitä, että EU:n rekisteröidyt menettäisivät mahdollisuuden hyötyä tärkeistä oikeuksista vain sen seikan perusteella kuinka kauan asianomainen toiminnanharjoittaja säilyttää heidän tietojaan.

(26)

Tämän ongelman ratkaisemiseksi täydentävässä säännössä 2 edellytetään, että Euroopan unionista siirretyt henkilötiedot ”käsitellään lain 2 §:n 7 momentissa tarkoitettuina säilytettyinä henkilötietoina, riippumatta ajasta, jonka kuluessa tiedot on määrä poistaa”. Tämän vuoksi säilyttämisaika ei vaikuta EU:n rekisteröidyille kuuluviin oikeuksiin.

(27)

Anonyymisti käsiteltyihin henkilökohtaisiin tietoihin, sellaisina kuin ne on määritelty henkilökohtaisten tietojen suojasta annetun lain 2 §:n 9 momentissa, sovellettavista vaatimuksista säädetään lain 4 luvun 2 jaksossa (”Anonyymisti käsiteltyjä tietoja käsittelevän toiminnanharjoittajan tehtävät”). Näihin tietoihin ei kuitenkaan sovelleta mainitun lain IV luvun 1 jakson säännöksiä. Näissä pykälissä säädetään tietosuojaa koskevista suojatoimista ja oikeuksista, joita sovelletaan kyseisen lain nojalla suoritettavaan henkilötietojen käsittelyyn. Vaikka ”anonyymisti käsiteltyihin henkilökohtaisiin tietoihin” ei sovelleta ”tavanomaisia” tietosuojasääntöjä (niitä, jotka on määritelty henkilökohtaisten tietojen suojasta annetun lain IV luvun 1 jaksossa ja 42 §:ssä), ne kuuluvat mainitun lain ja erityisesti sen 36–39 §:n soveltamisalaan.

(28)

Mainitun lain 2 §:n 9 momentin mukaan ”anonyymisti käsitellyt henkilökohtaiset tiedot” ovat tietoja, jotka koskevat yksilöä ja jotka on ”tuotettu henkilökohtaisten tietojen käsittelystä” kyseisessä laissa säädettyjen (36 §:n 1 momentti) ja henkilötietosuojalautakunnan säännöissä (19 kohta) määritettyjen toimenpiteiden avulla niin, että on mahdotonta tunnistaa yksittäistä henkilöä tai palauttaa henkilökohtaisia tietoja.

(29)

Näistä säännöksistä seuraa, kuten myös henkilötietosuojalautakunta on vahvistanut, että henkilökohtaisten tietojen ”anonymisoinnin” ei tarvitse olla teknisesti peruuttamatonta. Henkilökohtaisten tietojen suojasta annetun lain 36 §:n 2 momentin mukaan ”anonyymisti käsiteltyjä henkilökohtaisia tietoja” käsittelevien toiminnanharjoittajan tarvitsee ainoastaan estää uudelleentunnistaminen toteuttamalla toimenpiteitä, joilla varmistetaan ”anonyymisti käsiteltyjen tietojen tuottamisessa käytetyistä henkilökohtaisista tiedoista poistettujen kuvausten ynnä muiden sekä tunnistuskoodien samoin kuin käsittelytapaan liittyvien tietojen” turvallisuus.

(30)

Kun otetaan huomioon, että ”anonyymisti käsitellyt henkilökohtaiset tiedot”, sellaisina kuin ne on määritelty henkilökohtaisten tietojen suojasta annetussa laissa, sisältävät sellaisia tietoja, joiden perusteella yksilön tunnistaminen uudelleen on yhä mahdollista, tämä voisi tarkoittaa, että Euroopan unionista siirretyt henkilötiedot voisivat menettää osan saatavilla olevasta suojasta prosessissa, jota asetuksen (EU) 2016/679 mukaan pidettäisiin pikemminkin ”pseudonymisoinnin” muotona kuin tietojen ”anonymisointina” (eikä sen vuoksi henkilötietojen luonne muuttuisi).

(31)

Tämän tilanteen korjaamiseksi täydentävissä säännöissä on lisävaatimuksia, jotka koskevat ainoastaan Euroopan unionista tämän päätöksen nojalla siirrettyjä henkilötietoja. Täydentävän säännön 5 mukaan tällaisia henkilökohtaisia tietoja voidaan pitää henkilökohtaisten tietojen suojasta annetussa laissa tarkoitettuina ”anonyymisti käsiteltyinä henkilökohtaisina tietoina” ainoastaan, ”jos henkilökohtaisia tietoja käsittelevä toiminnanharjoittaja toteuttaa toimenpiteitä, joiden seurauksena kukaan ei voi tunnistaa kyseessä olevaa henkilöä ja tämä on peruuttamatonta, myös poistamalla käsittelymenetelmää koskevat ja muut siihen liittyvät tiedot”. Täydentävissä säännöissä olevan määritelmän mukaan nämä viimeksi mainitut tiedot liittyvät sellaisiin kuvauksiin ja yksilöllisiin tunnistuskoodeihin, jotka on poistettu ”anonyymisti käsiteltyjen henkilökohtaisten tietojen” tuottamiseen käytetyistä henkilökohtaisista tiedoista. Lisäksi ne liittyvät käsittelymenetelmään, jota on sovellettu mainittujen kuvausten ja yksilöllisten tunnistuskoodien poistamisessa. Toisin sanoen täydentävissä säännöissä edellytetään, että toiminnanharjoittaja, joka tuottaa ”anonyymisti käsiteltyjä henkilökohtaisia tietoja”, tuhoaa ”avaimen”, joka mahdollistaa tietojen tunnistamisen uudelleen. Tämä tarkoittaa, että Euroopan unionista peräisin olevat henkilötiedot kuuluvat ”anonyymisti käsiteltyjä henkilökohtaisia tietoja” koskevien henkilökohtaisten tietojen suojasta annetun lain säännösten soveltamisalaan vain, jos kyseiset tiedot katsottaisiin anonyymeiksi myös asetuksen (EU) 2016/679 nojalla (22).

(32)

Ainoastaan henkilökohtaisia tietoja käsittelevät toiminnanharjoittajat kuuluvat henkilökohtaisten tietojen suojasta annetun lain henkilölliseen soveltamisalaan. Henkilökohtaisia tietoja käsittelevä toiminnanharjoittaja määritellään henkilökohtaisten tietojen suojasta annetun lain 2 §:n 5 momentissa ”henkilöksi, joka tarjoaa muun muassa henkilökohtaisten tietojen tietopankin käytettäväksi liiketoiminnassa”, lukuun ottamatta valtion virastoja ja hallintovirastoja sekä keskus- että paikallistasolla.

(33)

Henkilötietosuojalautakunnan suuntaviivojen mukaan ”liiketoiminnalla” tarkoitetaan kaikkea ”toimintaa, jonka tarkoituksena on harjoittaa toistuvasti ja jatkuvasti, tietyn tavoitteen saavuttamiseksi, sosiaalisesti tunnustetun yrityksen toimintaa, riippumatta siitä, onko kyse voiton tavoittelusta tai ei. Organisaatiot, joilla ei ole oikeushenkilöllisyyttä (kuten de facto -yhdistykset), tai yksityishenkilöt katsotaan henkilökohtaisia tietoja käsitteleväksi toiminnanharjoittajaksi, jos ne tuottavat henkilökohtaisten tietojen tietokannan liiketoimintaansa varten (tai käyttävät sitä liiketoiminnassaan) (23). Tämän vuoksi henkilökohtaisten tietojen suojasta annetun lain mukainen ”liiketoiminnan” käsite on erittäin laaja, sillä siihen sisältyvät kaikentyyppisten organisaatioiden ja yksityishenkilöiden toteuttamat voittoa tavoittelevat ja voittoa tavoittelemattomat toiminnot. Lisäksi ilmaisu ”käytettäväksi liiketoiminnassa” kattaa myös henkilökohtaiset tiedot, joita käytetään vain sisäisesti, ei toiminnanharjoittajan (ulkoisissa) kaupallisissa suhteissa, esimerkiksi kun käsitellään työntekijöiden tietoja.

(34)

Henkilökohtaisten tietojen suojasta annetussa laissa säädettyjen suojatoimien edunsaajien osalta laissa ei tehdä eroa henkilön kansalaisuuden, asuinpaikan tai sijaintipaikan perusteella. Sama koskee myös henkilöiden mahdollisuuksia hakea hyvitystä henkilötietosuojalautakunnalta tai tuomioistuimelta.

(35)

Henkilökohtaisten tietojen suojasta annetussa laissa ei tehdä eroa rekisterinpitäjille ja henkilötietojen käsittelijöille asetettujen velvoitteiden välillä. Tämän eron puuttuminen ei vaikuta tietosuojan tasoon, koska kaikki henkilökohtaisia tietoja käsittelevät toiminnanharjoittajat kuuluvat lain kaikkien säännösten soveltamisalaan. Henkilökohtaisia tietoja käsittelevään toiminnanharjoittajaan, joka siirtää henkilötietojen käsittelyn toimeksisaajalle (joka vastaa yleisen tietosuoja-asetuksen mukaista henkilötietojen käsittelijää), sovelletaan edelleen henkilökohtaisten tietojen suojasta annetun lain ja täydentävien sääntöjen mukaisia velvoitteita sen käsiteltäväksi annettujen tietojen osalta. Lisäksi mainitun lain 22 §:n mukaan toiminnanharjoittajan on ”harjoitettava riittävää ja asianmukaista valvontaa” toimeksisaajan suhteen. Kuten henkilötietosuojalautakunta on vahvistanut, toimeksisaajaa puolestaan sitovat kaikki henkilökohtaisten tietojen suojasta annetun lain ja täydentävien sääntöjen mukaiset velvoitteet.

(36)

Henkilökohtaisten tietojen suojasta annetun lain 76 §:ssä suljetaan tietyntyyppinen tietojenkäsittely lain IV luvun soveltamisalan ulkopuolelle. Tässä luvussa vahvistetaan keskeiset tietosuojasäännökset (perusperiaatteet, toiminnanharjoittajia koskevat velvoitteet, yksilön oikeudet, henkilötietosuojalautakunnan harjoittama valvonta). Henkilökohtaisten tietojen suojasta annetun lain 76 §:n mukaisen alakohtaisen poikkeuksen soveltamisalaan kuuluva käsittely ei myöskään kuulu henkilötietosuojalautakunnan täytäntöönpanovaltuuksien piiriin mainitun lain 43 §:n 2 momentin mukaisesti (24).

(37)

Kyseiset tietojenkäsittelytyypit, joihin sovelletaan henkilökohtaisten tietojen suojasta annetun lain 76 §:n mukaista alakohtaista poikkeusta, määritellään kaksinkertaisella arviointiperusteella, joka perustuu henkilökohtaisia tietoja käsittelevän toiminnanharjoittajan tyyppiin ja käsittelyn tarkoitukseen. Poikkeusta sovelletaan tarkemmin sanottuna seuraaviin: i) yleisradiotoiminnan harjoittajat, sanomalehtien julkaisijat, viestintätoimistot tai muut uutistoimistot (mukaan lukien henkilöt, jotka harjoittavat lehdistötoimintaa liiketoimintanaan) siinä määrin kuin ne käsittelevät henkilökohtaisia tietoja lehdistötarkoituksessa; ii) henkilöt, jotka kirjoittavat ammatikseen, siltä osin kuin tähän liittyy henkilökohtaisia tietoja; iii) yliopistot ja muut akateemisiin tutkimuksiin liittyvät organisaatiot tai ryhmät tai kuka tahansa tällaiseen organisaatioon kuuluva henkilö, siinä määrin kuin ne käsittelevät henkilökohtaisia tietoja akateemisia tutkimuksia varten; iv) uskonnolliset elimet siinä määrin kuin ne käsittelevät henkilökohtaisia tietoja uskonnollisen toiminnan harjoittamista varten (kaikki siihen liittyvät toiminnot mukaan luettuina); ja v) poliittiset elimet siinä määrin kuin ne käsittelevät henkilökohtaisia tietoja poliittisen toiminnan harjoittamista varten (kaikki siihen liittyvät toiminnot mukaan luettuina). Muunlaisten henkilökohtaisia tietoja käsittelevien toiminnanharjoittajien suorittama henkilökohtaisten tietojen käsittely jotain 76 §:ssä lueteltua tarkoitusta varten samoin kuin jonkin luettelossa mainitun henkilökohtaisia tietoja käsittelevän toiminnanharjoittajan suorittama henkilökohtaisten tietojen käsittely muuta, esimerkiksi työhön liittyvää, tarkoitusta varten kuuluu edelleen IV luvun säännösten soveltamisalaan.

(38)

Jotta voidaan varmistaa Euroopan unionista Japanissa sijaitseville toiminnanharjoittajille siirrettyjen henkilötietojen suojan riittävä taso, tämän päätöksen olisi katettava ainoastaan henkilökohtaisten tietojen suojasta annetun lain IV luvun soveltamisalaan kuuluvien henkilökohtaisten tietojen käsittely, toisin sanoen käsittely, jonka suorittaa henkilökohtaisia tietoja käsittelevä toiminnanharjoittaja, siinä määrin kuin käsittelytilanne ei vastaa jotain alakohtaista poikkeusta. Sen soveltamisala olisi sen vuoksi mukautettava henkilökohtaisten tietojen suojasta annetun lain soveltamisalaan. Henkilötietosuojalautakunnalta saatujen tietojen mukaan silloin, kun tämän päätöksen soveltamisalaan kuuluva henkilökohtaisia tietoja käsittelevä toiminnanharjoittaja myöhemmin muuttaisi käyttötarkoitusta (siinä määrin kuin se on sallittua) ja kuuluisi sen vuoksi jonkin henkilökohtaisten tietojen suojasta annetun lain 76 §:n mukaisen alakohtaisen poikkeuksen piiriin, tällainen muutos katsottaisiin kaikissa tapauksissa kansainväliseksi siirroksi (koska kyseisissä tapauksissa henkilökohtaisten tietojen suojasta annetun lain IV luku ei enää kattaisi henkilökohtaisten tietojen käsittelyä vaan kyseiset tapaukset jäisivät sen soveltamisalan ulkopuolelle). Sama pätisi tapauksessa, jossa henkilökohtaisia tietoja käsittelevä toiminnanharjoittaja antaa henkilökohtaisia tietoja mainitun lain 76 §:n soveltamisalaan kuuluvalle yhteisölle käytettäväksi johonkin kyseisessä säännöksessä mainittuun käsittelytarkoitukseen. Euroopan unionista siirrettyjen henkilötietojen osalta kyseessä olisi näin ollen edelleensiirto, johon sovelletaan asiaankuuluvia suojatoimia (erityisesti niitä, jotka mainitaan henkilökohtaisten tietojen suojasta annetun lain 24 §:ssä ja täydentävässä säännössä 4). Jos henkilökohtaisia tietoja käsittelevä toiminnanharjoittaja tukeutuu rekisteröidyn suostumukseen (25), sen olisi annettava tälle kaikki tarvittavat tiedot, mukaan lukien se, että henkilökohtaiset tiedot eivät enää kuulu henkilökohtaisten tietojen suojasta annetun lain piiriin.

(39)

Henkilötietoja olisi käsiteltävä erityistä tarkoitusta varten ja käytettävä myöhemmin vain siltä osin kuin se ei ole ristiriidassa kyseisen tarkoituksen kanssa. Tämä tietosuojaperiaate taataan henkilökohtaisten tietojen suojasta annetun lain 15 ja 16 §:ssä.

(40)

Henkilökohtaisten tietojen suojasta annettu laki perustuu periaatteeseen, jonka mukaan toiminnanharjoittajan on määritettävä käyttötarkoitus ”mahdollisimman tarkkaan” (15 §:n 1 momentti), ja kyseinen tarkoitus sitoo sitä myöhemmin kun se käsittelee tietoja.

(41)

Tältä osin henkilökohtaisten tietojen suojasta annetun lain 15 §:n 2 momentissa säädetään, että henkilökohtaisia tietoja käsittelevä toiminnanharjoittaja ei saa muuttaa alkuperäistä tarkoitusta ”siten, että se ylittää soveltamisalan, jonka todetaan vastaavan kohtuullisesti muutosta edeltänyttä käyttötarkoitusta”, ja kyseisen tarkoituksen on henkilötietosuojalautakunnan suuntaviivoissa tulkittu vastaavan tarkoitusta, jota rekisteröity voi objektiivisesti katsoen odottaa noudatettavan ”tavanomaisten sosiaalisten normien” perusteella (26).

(42)

Lisäksi henkilökohtaisten tietojen suojasta annetun lain 16 §:n 1 momentin mukaan henkilökohtaisia tietoja käsittelevät toiminnanharjoittajat eivät saa käsitellä henkilökohtaisia tietoja siten, että käsittely ylittää 15 §:ssä määritellyn ”käyttötarkoituksen saavuttamiseksi tarvittavan laajuuden”, ilman rekisteröidyn ennakkosuostumusta, ellei kyse ole jostain 16 §:n 3 momentissa säädetystä poikkeuksesta (27).

(43)

Toiselta toiminnanharjoittajalta hankittujen henkilökohtaisten tietojen osalta henkilökohtaisia tietoja käsittelevä toiminnanharjoittaja on periaatteessa vapaa määrittämään uuden käyttötarkoituksen (28). Sen varmistamiseksi, että Euroopan unionista tehdyn siirron yhteydessä tällaista vastaanottajaa sitoo tarkoitus, jota varten tiedot on siirretty, täydentävässä säännössä 3 edellytetään, että tapauksissa, ”joissa [henkilökohtaisia tietoja käsittelevä toiminnanharjoittaja] vastaanottaa EU:sta tietosuojan riittävyyttä koskevan päätöksen nojalla henkilötietoja” tai joissa kyseinen toiminnanharjoittaja ”vastaanottaa toiselta [henkilökohtaisia tietoja käsittelevältä toiminnanharjoittajalta] henkilötietoja, jotka on aiemmin siirretty EU:sta tietosuojan riittävyyttä koskevan päätöksen perusteella” (tietojen jakaminen edelleen), vastaanottajan on ”määriteltävä kyseisten henkilötietojen käyttötarkoitus siten, että se sijoittuu sen käyttötarkoituksen sisälle, jota varten tiedot alun perin tai myöhemmin vastaanotettiin”. Toisin sanoen tällä säännöllä varmistetaan, että siirtotilanteessa asetuksen (EU) 2016/679 mukaisesti ilmoitettua tarkoitusta on edelleen sovellettava tietojen käsittelyssä ja että tarkoituksen muuttaminen missä tahansa Japanissa toteutettavan käsittelyketjun vaiheessa edellyttää EU:n rekisteröidyn suostumusta. Suostumuksen saaminen edellyttää, että henkilökohtaisia tietoja käsittelevä toiminnanharjoittaja ottaa yhteyttä rekisteröityyn, mutta jos tämä ei ole mahdollista, se tarkoittaa yksinkertaisesti sitä, että alkuperäinen tarkoitus on säilytettävä.

(44)

Johdanto-osan 43 kappaleessa tarkoitetulla lisäsuojalla on sitäkin enemmän merkitystä siitä syystä, että Japanin järjestelmässä varmistetaan nimenomaan käyttötarkoituksen rajoittamista koskevalla periaatteella myös henkilötietojen käsittelyn lainmukaisuus ja oikeudenmukaisuus.

(45)

Kun henkilökohtaisia tietoja käsittelevä toiminnanharjoittaja kerää henkilökohtaisia tietoja, sen on henkilökohtaisten tietojen suojasta annetun lain mukaan täsmennettävä yksityiskohtaisesti (29), mihin tarkoitukseen tietoja on käytetään, ja ilmoitettava rekisteröidylle (tai tiedotettava yleisölle) viipymättä käyttötarkoituksesta (30). Lisäksi henkilökohtaisten tietojen suojasta annetun lain 17 §:ssä säädetään, että henkilökohtaisia tietoja käsittelevä toiminnanharjoittaja ei saa hankkia henkilökohtaisia tietoja vilpillisesti tai muulla epäasiallisella tavalla. Tiettyjen tietoryhmien, kuten erityisellä huolella käsiteltävien henkilökohtaisten tietojen, hankinta edellyttää rekisteröidyn suostumusta (henkilökohtaisten tietojen suojasta annetun lain 17 §:n 2 momentti).

(46)

Kuten johdanto-osan 41 ja 42 kappaleessa todetaan, henkilökohtaisia tietoja käsittelevä toiminnanharjoittaja ei saa käsitellä henkilökohtaisia tietoja muihin tarkoituksiin, paitsi jos rekisteröity antaa suostumuksensa tällaiseen käsittelyyn tai jos sovelletaan jotakin henkilökohtaisten tietojen suojasta annetun lain 16 §:n 3 momentin mukaista poikkeusta.

(47)

Kun on kyse henkilökohtaisten tietojen antamisesta edelleen kolmannelle osapuolelle (31), henkilökohtaisten tietojen suojasta annetun lain 23 §:n 1 momentissa rajoitetaan tällainen luovuttaminen erityistapauksiin, jolloin yleensä tarvitaan rekisteröidyn ennakkosuostumus (32). Henkilökohtaisten tietojen suojasta annetun lain 23 §:n 2, 3 ja 4 momentissa säädetään suostumuksen saamista koskevaan vaatimukseen tehtävistä poikkeuksista. Näitä poikkeuksia sovelletaan kuitenkin ainoastaan muihin kuin arkaluonteisiin tietoihin ja edellytyksenä on, että henkilökohtaisia tietoja käsittelevä toiminnanharjoittaja ilmoittaa asianomaisille henkilöille etukäteen aikomuksestaan luovuttaa heidän henkilökohtaisia tietojaan kolmannelle osapuolelle ja mahdollisuudesta vastustaa näiden tietojen luovuttamista (33).

(48)

Euroopan unionista tehtävien siirtojen osalta henkilötiedot on väistämättä ensin kerätty ja käsitelty EU:ssa asetuksen (EU) 2016/679 mukaisesti. Tähän liittyy aina toisaalta keräämistä ja käsittelyä, myös Euroopan unionista Japaniin tehtävien siirtojen osalta, jonkin asetuksen 6 artiklan 1 kohdassa lueteltujen oikeudellisten perusteiden perusteella, ja toisaalta keräämistä tiettyä nimenomaista ja laillista tarkoitusta varten samoin kuin kielto käsitellä tietoja myöhemmin, myös siirron avulla, tavalla, joka on yhteensopimaton kyseisen tarkoituksen kanssa, kuten asetuksen 5 artiklan 1 kohdan b alakohdassa ja 6 artiklan 4 kohdassa säädetään.

(49)

Siirron jälkeen tiedot vastaanottavan toiminnanharjoittajan on täydentävän säännön 3 mukaan ”vahvistettava” siirron tarkoitus (toisin sanoen asetuksen (EU) 2016/679 mukaisesti määritetty tarkoitus) ja käsiteltävä näitä tietoja myöhemmin tämän tarkoituksen mukaisesti (34). Tämä tarkoittaa, että asetuksen mukaisesti määritetty tarkoitus sitoo henkilötietojen alkuperäistä vastaanottajaa Japanissa samoin kuin mitä tahansa kyseisten tietojen myöhempää vastaanottajaa, toimeksisaaja mukaan luettuna.

(50)

Jos henkilökohtaisia tietoja käsittelevä toiminnanharjoittaja haluaisi muuttaa aiemmin asetuksen (EU) 2016/679 mukaisesti määritettyä tarkoitusta, henkilökohtaisten tietojen suojasta annetun lain 16 §:n 1 momentin mukaan sen olisi periaatteessa hankittava tähän rekisteröidyn suostumus. Ilman tätä suostumusta tietojen käsittely, joka ylittää sen, mikä on tarpeen käyttötarkoituksen saavuttamiseksi, olisi 16 §:n 1 momentin vastaista, minkä vuoksi henkilötietosuojalautakunta ja tuomioistuimet voisivat panna kyseisen säännöksen täytäntöön.

(51)

Tämän vuoksi, kun otetaan huomioon, että asetuksen (EU) 2016/679 mukaan siirto edellyttää voimassa olevaa oikeusperustaa ja erityistä tarkoitusta, jotka on otettu huomioon henkilökohtaisten tietojen suojasta annetun lain mukaisesti ”vahvistetussa” käyttötarkoituksessa, henkilökohtaisten tietojen suojasta annetun lain asiaankuuluvien säännösten ja täydentävän säännön 3 yhdistelmällä varmistetaan, että EU:n tietojen käsittely on Japanissa jatkuvasti lainmukaista.

(52)

Tietojen olisi oltava täsmällisiä, ja ne olisi tarvittaessa pidettävä ajan tasalla. Tietojen on oltava myös asianmukaisia ja olennaisia, eivätkä ne saa olla liian laajoja siihen tarkoitukseen nähden, jota varten niitä käsitellään.

(53)

Nämä periaatteet on vahvistettu Japanin lainsäädännössä henkilökohtaisten tietojen suojasta annetun lain 16 §:n 1 momentissa. Siinä kielletään henkilökohtaisten tietojen käsittely, joka ylittää ”käyttötarkoituksen saavuttamiseksi tarvittavan laajuuden”. Kuten henkilötietosuojalautakunta on selittänyt, tämä ei pelkästään sulje pois tietojenkäyttöä, joka ei ole asianmukaista tai joka on liiallista (eli ylittää käyttötarkoituksen saavuttamiseksi tarvittavan laajuuden), vaan siihen sisältyy myös kielto käsitellä tietoja, joilla ei ole merkitystä käyttötarkoituksen saavuttamisen kannalta.

(54)

Henkilökohtaisten tietojen suojasta annetun lain 19 §:ssä edellytetään tietojen täsmällisyyden ja ajan tasalla pitämisen osalta, että henkilökohtaisia tietoja käsittelevä toiminnanharjoittaja ”pyrkii säilyttämään henkilötiedot täsmällisinä ja ajantasaisina siinä määrin kuin se on tarpeen käyttötarkoituksen saavuttamiseksi”. Tämä säännös olisi luettava yhdessä henkilökohtaisten tietojen suojasta annetun lain 16 §:n 1 momentin kanssa: jos henkilökohtaisia tietoja käsittelevä toiminnanharjoittaja ei täytä määrättyjä täsmällisyysvaatimuksia, henkilötietosuojalautakunnalta saatujen selitysten mukaan henkilökohtaisten tietojen käsittelyn ei katsota saavuttavan käyttötarkoitusta, mistä syystä käsittelystä tulee 16 §:n 1 momentin mukaisesti lainvastaista.

(55)

Tiedot olisi periaatteessa säilytettävä ainoastaan niin kauan kuin on tarpeen niiden käsittelytarkoituksen kannalta.

(56)

Henkilökohtaisten tietojen suojasta annetun lain 19 §:n mukaan henkilökohtaisia tietoja käsittelevien toiminnanharjoittajien on ”pyrittävä […] poistamaan henkilötiedot viipymättä silloin, kun tällaisesta käytöstä on tullut tarpeetonta”. Tämä säännös olisi luettava yhdessä mainitun lain 16 §:n 1 momentin kanssa. Siinä kielletään henkilökohtaisten tietojen käsittely, joka ylittää ”käyttötarkoituksen saavuttamiseksi tarvittavan laajuuden”. Kun käyttötarkoitus on saavutettu, henkilökohtaisten tietojen käsittelyä ei voida enää pitää tarpeellisena ja eikä sitä saa enää jatkaa (ellei henkilökohtaisia tietoja käsittelevä toiminnanharjoittaja saa rekisteröidyn suostumusta siihen).

(57)

Henkilötietoja olisi käsiteltävä tavalla, jolla varmistetaan niiden turvallisuus, mukaan lukien suojaaminen luvattomalta tai laittomalta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta. Tätä varten toiminnanharjoittajien olisi toteutettava asianmukaisia teknisiä tai organisatorisia toimenpiteitä henkilötietojen suojaamiseksi mahdollisilta uhkilta. Näitä toimenpiteitä olisi arvioitava ottaen huomioon alan uusin tekniikka ja siihen liittyvät kustannukset.

(58)

Tämä periaate on pantu täytäntöön Japanin lainsäädännössä henkilökohtaisten tietojen suojasta annetun lain 20 §:llä, jossa säädetään, että henkilökohtaisia tietoja käsittelevän toiminnanharjoittajan on ”toteutettava tarpeellisia ja asianmukaisia toimia henkilötietojen turvallisuuden valvomiseksi, mukaan lukien käsittelemiensä henkilötietojen vuotamisen, häviämisen tai vahingoittumisen estäminen”. Henkilötietosuojalautakunnan suuntaviivoissa selitetään toteutettavia toimenpiteitä, mukaan lukien menetelmät toimintaperiaatteiden, tietojen käsittelyä koskevien sääntöjen ja erilaisten ”valvontatoimien” luomiseksi (mukaan lukien organisatorinen turvallisuus samoin kuin fyysinen ja teknologinen turvallisuus sekä ihmisiä koskeva turvallisuus) (35). Lisäksi henkilötietosuojalautakunnan julkaisemissa suuntaviivoissa ja asiaa koskevassa tiedonannossa (Lisäys 8, ”Toteutettavien tietoturvatoimenpiteiden sisältö”) annetaan tarkempia tietoja sellaisia turvallisuushäiriöitä koskevista toimenpiteistä, joihin liittyy esimerkiksi henkilökohtaisten tietojen vuotaminen, osana tietoturvatoimenpiteitä, jotka henkilökohtaisia tietoja käsittelevien toiminnanharjoittajien on toteutettava (36).

(59)

Lisäksi henkilökohtaisten tietojen suojasta annetun lain 20 ja 21 §:n mukaan on varmistettava ”tarvittava ja asianmukainen valvonta” tietoturvasta huolehtimiseksi silloin, kun työntekijät tai alihankkijat käsittelevät henkilökohtaisia tietoja. Henkilökohtaisten tietojen suojasta annetun lain 83 §:ssä säädetään, että tahallisesta henkilökohtaisten tietojen vuotamisesta tai varastamisesta rangaistuksena on enintään yksi vuosi vankeutta.

(60)

Rekisteröidyille olisi ilmoitettava heidän henkilötietojensa käsittelyn pääkohdat.

(61)

Henkilökohtaisten tietojen suojasta annetun lain 18 §:n 1 momentissa edellytetään, että henkilökohtaisia tietoja käsittelevä toiminnanharjoittaja asettaa rekisteröidyn saataville hankittujen henkilökohtaisten tietojen käyttötarkoitusta koskevat tiedot, lukuun ottamatta ”tapauksia, joissa käyttötarkoituksesta on tiedotettu ennakkoon yleisölle”. Sama velvoite koskee tarkoituksen sallittua muuttamista (18 §:n 3 momentti). Näin varmistetaan myös, että rekisteröidylle ilmoitetaan hänen tietojensa keräämisestä. Vaikka henkilökohtaisten tietojen suojasta annetussa laissa ei yleensä edellytetä, että henkilökohtaisia tietoja käsittelevä toiminnanharjoittaja ilmoittaa rekisteröidylle keräysvaiheessa tietojen oletetuista vastaanottajista, kyseinen ilmoitus on välttämätön edellytys tietojen luovuttamiseksi myöhemmin 23 §:n 2 momentin perusteella kolmannelle osapuolelle (vastaanottaja), jos tämä tehdään ilman rekisteröidyn ennakkosuostumusta.

(62)

”Säilytettyjen henkilötietojen” osalta henkilökohtaisten tietojen suojasta annetun lain 27 §:ssä säädetään, että henkilökohtaisia tietoja käsittelevän toiminnanharjoittajan on ilmoitettava rekisteröidylle henkilöllisyytensä (yhteystiedot), tietojen käyttötarkoitus ja menettelyt, joilla vastataan rekisteröidyn yksilön oikeuksia koskevaan pyyntöön henkilökohtaisten tietojen suojasta annetun lain 28, 29 ja 30 §:n mukaisesti.

(63)

Samoin kuin täydentävissä säännöissä Euroopan unionista siirretty henkilötiedot katsotaan ”säilytetyiksi henkilötiedoiksi” riippumatta sen säilytysajasta (jollei niihin sovelleta poikkeuksia), ja niihin sovelletaan aina edellä mainittujen säännösten avoimuutta koskevia vaatimuksia.

(64)

Sekä henkilökohtaisten tietojen suojasta annetun lain 18 §:n vaatimuksiin että velvollisuuteen ilmoittaa kyseisen lain 27 §:n mukaisesti käyttötarkoituksesta sovelletaan samoja poikkeuksia lähinnä yleisen edun sekä rekisteröidyn, kolmansien osapuolten ja rekisterinpitäjän oikeuksien ja etujen suojelemisen perusteella (37). Henkilötietosuojalautakunnan suuntaviivoissa esitetyn tulkinnan mukaan näitä poikkeuksia sovelletaan tietyissä erityistilanteissa, kuten silloin, kun tieto käyttötarkoituksesta uhkaa heikentää toiminnanharjoittajan tiettyjen etujensa turvaamiseksi toteuttamia laillisia toimenpiteitä (esimerkiksi petosten, teollisuusvakoilun ja sabotaasin torjunta).

(65)

”Tiettyjä tietoryhmiä” käsiteltäessä olisi sovellettava erityisiä suojatoimia.

(66)

”Erityisellä huolella käsiteltävät henkilökohtaiset tiedot” on määritelty henkilökohtaisten tietojen suojasta annetun lain 2 §:n 3 momentissa. Kyseisessä säännöksessä viitataan ”henkilökohtaisiin tietoihin, joihin sisältyvät datasubjektin rotu, uskonto, sosiaalinen asema, terveydentila, rikosrekisteri, rikoksen aiheuttamat vahingot tai muut kuvaukset, jotka ovat hallituksen määräyksen mukaan niitä, joiden käsittely edellyttää erityistä huolellisuutta, jotta datasubjektiin ei kohdistu epäoikeudenmukaista syrjintää, vahinkoa tai muuta haittaa”. Nämä ryhmät vastaavat suurelta osin asetuksen (EU) 2016/679 9 ja 10 artiklassa esitettyjä arkaluonteisten tietojen luetteloa. Erityisesti ”terveydentila” vastaa terveystietoja, kun taas ”rikosrekisteri ja rikoksen aiheuttamat vahingot” ovat olennaisilta osin samat kuin asetuksen (EU) 2016/679 10 artiklassa tarkoitetut ryhmät. Lisäksi henkilökohtaisten tietojen suojasta annetun lain 2 §:n 3 momentissa tarkoitetuista ryhmistä on lisätulkintaa hallituksen määräyksessä ja henkilötietosuojalautakunnan suuntaviivoissa. Henkilötietosuojalautakunnan suuntaviivojen 2.3 jakson 8 kohdan mukaan hallituksen määräyksen 2 §:n ii ja iii kohdassa esitettyjä terveydentilaa koskevien tietojen alaryhmiä tulkitaan siten, että ne kattavat geneettiset ja biometriset tiedot. Luettelossa ei ole erityistä mainintaa ”etnisestä alkuperästä” ja ”poliittisesta mielipiteestä”, mutta siinä viitataan ”rotuun” ja ”uskontoon”. Kuten henkilötietosuojalautakunnan suuntaviivojen 2.3 jakson 1 ja 2 kohdassa todetaan, viittaus ”rotuun” kattaa ”etniset siteet tai siteet tiettyyn osaan maailmaa”, kun taas ”uskonto” käsittää sekä uskonnolliset että poliittiset näkemykset.

(67)

Kuten säännöksen sanamuodosta käy selvästi ilmi, kyseessä ei ole tyhjentävä luettelo, koska siihen voidaan lisätä tietoryhmiä, jos niiden käsittely aiheuttaa datasubjektille riskin ”epäoikeudenmukaisesta syrjinnästä, vahingosta tai muista haitoista”.

(68)

Vaikka ”arkaluonteisten” tietojen käsite on luonnostaan sosiaalinen käsite, joka perustuu muun muassa yhteiskunnan kulttuuri- ja oikeusperinteisiin, moraalisiin näkökohtiin ja poliittisiin valintoihin ja kun otetaan huomioon, että on tärkeää varmistaa arkaluonteisten tietojen riittävät suojatoimet, kun tietoja siirretään japanilaisille toiminnanharjoittajille, komissio on varmistanut, että ”erityisellä huolella käsiteltäviä henkilökohtaisia tietoja” koskevat Japanin lainsäädännön erityissuojatoimet laajennetaan koskemaan kaikkia asetuksessa (EU) 2016/679 arkaluonteisiksi tiedoiksi katsottuja tietoryhmiä. Tämän vuoksi täydentävässä säännössä 1 määrätään, että henkilökohtaisia tietoja käsittelevien toiminnanharjoittajien on käsiteltävä Euroopan unionista siirretyt tiedot, jotka koskevat henkilön seksuaalista käyttäytymistä, seksuaalista suuntautumista tai ammattiliittoon kuulumista, ”samalla tavoin kuin [henkilökohtaisten tietojen suojasta annetun lain] 2 §:n 3 momentissa tarkoitetut erityisellä huolella käsiteltävät henkilökohtaiset tiedot”.

(69)

Erityisellä huolella käsiteltäviä henkilökohtaisia tietoja koskevien aineellisten lisäsuojatoimien osalta henkilökohtaisia tietoja käsittelevät toiminnanharjoittajat eivät saa henkilökohtaisten tietojen suojasta annetun lain 17 §:n 2 momentin mukaan hankkia tämäntyyppisiä tietoja ilman asianomaisen henkilön etukäteen antamaa suostumusta, muutamia harvoja poikkeuksia lukuun ottamatta (38). Lisäksi tähän henkilökohtaisten tietojen ryhmään ei sovelleta mahdollisuutta antaa tietoja kolmansille osapuolille henkilökohtaisten tietojen suojasta annetun lain 23 §:n 2 momentin (jossa sallitaan tietojen toimittaminen kolmansille osapuolille ilman asianomaisen henkilön ennakkosuostumusta) mukaisen menettelyn perusteella.

(70)

Vastuuvelvollisuutta koskevan periaatteen mukaisesti tietoja käsittelevien yksiköiden on otettava käyttöön asianmukaiset tekniset ja organisatoriset toimenpiteet, jotta ne voivat tehokkaasti noudattaa tietosuojavelvoitteitaan ja osoittaa erityisesti toimivaltaiselle valvontaviranomaiselle noudattavansa velvoitteita.

(71)

Kuten alaviitteessä 34 (johdanto-osan 49 kappale) todetaan, henkilökohtaisia tietoja käsittelevien toiminnanharjoittajien on henkilökohtaisten tietojen suojasta annetun lain 26 §:n 1 momentin mukaisesti todennettava sellaisen kolmannen osapuolen henkilöllisyys, joka luovuttaa niille henkilötietoja, ja ”olosuhteet”, joissa kolmas osapuoli on hankkinut tällaiset tiedot (tämän päätöksen soveltamisalaan kuuluvien henkilötietojen osalta kyseisiä olosuhteita ovat henkilökohtaisten tietojen suojasta annetun lain ja täydentävän säännön 3 mukaan esimerkiksi se, että tiedot ovat peräisin Euroopan unionista, samoin kuin alkuperäisen tiedonsiirron tarkoitus). Toimenpiteen tavoitteena on muun muassa varmistaa henkilökohtaisia tietoja käsittelevän toiminnanharjoittajan suorittaman tietojen käsittelyn lainmukaisuus koko käsittelyketjussa. Lisäksi saman pykälän 3 momentin mukaan henkilökohtaisia tietoja käsittelevien toiminnanharjoittajien on merkittävä ylös tietojen vastaanottopäivä ja kolmannelta osapuolelta 1 momentin mukaisesti vastaanottamansa (pakolliset) tiedot sekä asianomaisen henkilön nimi (rekisteröity), käsiteltävien tietojen ryhmät ja tarvittaessa tieto siitä, että rekisteröity on antanut suostumuksensa henkilötietojensa jakamiseen. Kuten henkilötietosuojalautakunnan sääntöjen 18 kohdassa määrätään, tällainen aineisto on säilytettävä vähintään 1–3 vuoden ajan olosuhteista riippuen. Tehtäviään hoitaessaan henkilötietosuojalautakunta voi edellyttää tällaisen aineiston toimittamista (39).

(72)

Henkilökohtaisia tietoja käsittelevien toiminnanharjoittajien on käsiteltävä viipymättä ja asianmukaisesti kyseisten henkilöiden esittämien henkilökohtaisten tietojensa käsittelyä koskevat valitukset. Valitusten käsittelyn helpottamiseksi toiminnanharjoittajien on perustettava ”järjestelmä, joka tarvitaan [tämän] tarkoituksen saavuttamiseksi”, mikä tarkoittaa sitä, että niiden olisi otettava käyttöön asianmukaiset menettelyt organisaatiossaan (esimerkiksi jaettava vastuualueet tai nimettävä yhteyspiste).

(73)

Lisäksi henkilökohtaisten tietojen suojasta annetussa laissa luodaan puitteet, jotta alan organisaatiot voivat olla mukana varmistamassa vaatimusten korkeatasoista noudattamista (ks. IV luvun 4 jakso). Tällaisten akkreditoitujen henkilötietojen suojaamisesta vastaavien organisaatioiden (40) tehtävänä on edistää henkilökohtaisten tietojen suojaa tukemalla yrityksiä asiantuntemuksensa avulla ja myös osallistua suojatoimien täytäntöönpanoon erityisesti käsittelemällä yksittäisiä valituksia ja auttamalla ratkaisemaan asiaan liittyviä ristiriitoja. Tätä varten ne voivat pyytää osallistuvia henkilökohtaisia tietoja käsitteleviä toiminnanharjoittajia toteuttamaan tarvittavia toimenpiteitä (41). Lisäksi henkilökohtaisia tietoja käsittelevien toiminnanharjoittajien on periaatteessa ilmoitettava tietoturvaloukkauksista tai muista tietoturvahäiriöistä sekä henkilötietosuojalautakunnalle että rekisteröidylle (tai yleisölle) ja ryhdyttävä tarvittaviin toimenpiteisiin, esimerkiksi minimoitava mahdolliset vahingot ja estettävä vastaavanlaisia häiriöitä toistumasta (42). Nämä ovat vapaaehtoisia järjestelmiä, mutta henkilötietosuojalautakunnan 10 päivänä elokuuta 2017 päivätyssä luettelossa on 44 organisaatiota, joista pelkästään suurimpaan (Japan Information Processing and Development Center (JIPDEC)) osallistui 15 436 toiminnanharjoittajaa (43). Akkreditoituja järjestelmiä pitävät yllä muun muassa toimialajärjestöt, kuten arvopaperivälittäjiä edustava Japan Securities Dealers Association, autokouluja edustava Japan Association of Car Driving Schools tai avioliittotoimistoja edustava Association of Marriage Brokers (44).

(74)

Akkreditoidut henkilökohtaisten tietojen suojaamisesta vastaavat organisaatiot raportoivat toiminnastaan vuosittain. Henkilötietosuojalautakunnan julkaisemassa katsauksessa henkilökohtaisten tietojen suojasta annetun lain täytäntöönpanon tilaan tilikaudella 2015 todettiin, että akkreditoidut henkilökohtaisten tietojen suojaamisesta vastaavat organisaatiot vastaanottivat yhteensä 442 valitusta, pyysivät toimivaltaansa kuuluvilta henkilökohtaisia tietoja käsitteleviltä toiminnanharjoittajilta 123 selvitystä samoin kuin asiakirjoja 41 tapauksessa sekä antoivat 181 ohjeistusta ja kaksi suositusta (45).

(75)

Euroopan unionista japanilaisille toiminnanharjoittajille siirrettyjen henkilötietojen suojan tasoa ei saa heikentää siirtämällä näitä tietoja edelleen Japanin ulkopuolella olevassa kolmannessa maassa sijaitseville vastaanottajille. Tällaiset ”jatkosiirrot”, jotka japanilaisen toiminnanharjoittajan näkökulmasta ovat luonteeltaan Japanista tapahtuvia kansainvälisiä siirtoja, olisi sallittava vain siinä tapauksessa, että kyseiseen Japanin ulkopuolella toimivaan vastaanottajaan sovelletaan sääntöjä, joilla varmistetaan, että suojelun taso vastaa Japanin oikeusjärjestyksessä taattua suojelun tasoa.

(76)

Ensimmäinen suojelutoimi on vahvistettu henkilökohtaisten tietojen suojasta annetun lain 24 §:ssä, jossa yleisesti kielletään henkilötietojen siirto Japanin alueen ulkopuolelle sijoittautuneelle kolmannelle osapuolelle ilman asianomaisen henkilön ennalta antamaa suostumusta. Täydentävällä säännöllä 4 varmistetaan, että kun on kyse Euroopan unionista tapahtuvasta tietojen siirrosta, tällaisesta suostumuksesta tiedotetaan erityisen hyvin, koska säännössä edellytetään, että asianomainen henkilö ”saa siirtoa koskevista olosuhteista tiedot, jotka datasubjekti tarvitsee suostumustaan koskevan päätöksen tekemiseksi”. Tämän perusteella rekisteröidylle on ilmoitettava, että tiedot siirretään ulkomaille (henkilökohtaisten tietojen suojasta annetun lain soveltamisalan ulkopuolella). Samoin hänelle on ilmoitettava määrämaa. Näin rekisteröity voi arvioida siirrosta aiheutuvan yksityisyyteen liittyvän riskin. Kuten henkilökohtaisten tietojen suojasta annetun lain 23 §:stä ilmenee (ks. johdanto-osan 47 kappale), datasubjektille annettavien tietojen olisi katettava mainitun pykälän 2 momentin mukaiset pakolliset tiedot eli kolmannelle osapuolelle toimitetut henkilötietoryhmät ja luovuttamismenetelmä.

(77)

Henkilökohtaisten tietojen suojasta annetun lain 24 §:ssä, jota sovelletaan yhdessä henkilötietosuojalautakunnan sääntöjen 11-2 kohdan kanssa, säädetään useista poikkeuksista tähän suostumukseen perustuvaan sääntöön. Lisäksi kyseisen lain 24 §:n mukaan samoja poikkeuksia, joita sovelletaan 23 §:n 1 momentin nojalla, sovelletaan myös kansainvälisiin tiedonsiirtoihin (46).

(78)

Jotta voidaan varmistaa suojan jatkuvuus kun on kyse tämän päätöksen nojalla Euroopan unionista Japaniin siirretyistä henkilötiedoista, täydentävällä säännöllä 4 parannetaan suojan tasoa, kun henkilökohtaisia tietoja käsittelevä toiminnanharjoittaja siirtää kyseiset tiedot edelleen kolmannessa maassa olevalle vastaanottajalle. Tähän päästään siten, että säännöllä rajoitetaan ja rajataan kansainvälisten siirtojen perusteita, joita henkilökohtaisia tietoja käsittelevä toiminnanharjoittaja voi käyttää vaihtoehtona suostumuksen saamiselle. Rajoittamatta henkilökohtaisten tietojen suojasta annetun lain 23 §:n 1 momentin mukaisten poikkeusten soveltamista tämän päätöksen nojalla siirrettyjä henkilötietoja voidaan tarkemmin sanoen siirtää (edelleen) ilman suostumusta ainoastaan kahdessa tapauksessa: i) jos tiedot lähetetään kolmanteen maahan, jonka henkilötietosuojalautakunta on henkilökohtaisten tietojen suojasta annetun lain 24 §:n mukaisesti tunnustanut tarjoavan Japanin suojatasoa vastaavan suojan (47); tai ii) kun henkilökohtaisia tietoja käsittelevä toiminnanharjoittaja ja tiedot vastaanottava kolmas osapuoli ovat yhdessä toteuttaneet toimenpiteitä, jotka tarjoavat sopimuksen, muiden sitovien sopimusmuotojen tai yritysryhmää sitovien järjestelyjen perusteella henkilökohtaisten tietojen suojasta annettua lakia, luettuna yhdessä täydentävien sääntöjen kanssa, vastaavan suojan tason. Jälkimmäinen ryhmä vastaa asetuksen (EU) 2016/679 nojalla käytettäviä välineitä, joilla varmistetaan asianmukaiset suojatoimet (erityisesti sopimuslausekkeet ja sitovat yhtiösäännöt). Henkilötietosuojalautakunta on vahvistanut, että myös näissä tapauksissa siirtoon sovelletaan yleisiä sääntöjä, joita sovelletaan kaikkeen henkilökohtaisten tietojen suojasta annetun lain mukaiseen henkilötietojen toimittamiseen kolmannelle osapuolelle (eli 23 §:n 1 momentin mukaista suostumuksen hankkimista koskevaa vaatimusta tai vaihtoehtoisesti 23 §:n 2 momentin mukaista ilmoittamisvaatimusta ja tähän liittyvää mahdollisuutta olla suostumatta tietojen toimittamiseen). Siirtoa ei saa toteuttaa, jos rekisteröityyn ei saada yhteyttä suostumusta koskevan pyynnön tekemiseksi tai vaadittujen ennakkotietojen antamiseksi henkilökohtaisten tietojen suojasta annetun lain 23 §:n 2 momentin mukaisesti.

(79)

Sen vuoksi muissa tapauksissa kuin niissä, joissa henkilötietosuojalautakunta on todennut, että kyseinen kolmas maa takaa henkilökohtaisten tietojen suojasta annetussa laissa taattua tasoa vastaavan suojan (48), täydentävän säännön 4 vaatimuksissa suljetaan pois sellaisten siirtoinstrumenttien käyttö, joilla ei luoda sitovaa suhdetta japanilaisen tietojen viejän ja kolmannessa maassa olevan tietojen tuojan välille ja joissa ei taata vaadittua suojan tasoa. Tämä koskee esimerkiksi APEC:n rajat ylittäviä yksityisyyden suojaa koskevia sääntöjä (CBPR), joita Japani soveltaa osallistuvana taloutena (49), sillä kyseisessä järjestelmässä tietosuoja ei perustu viejää ja tuoja sitovaan järjestelyyn niiden kahdenvälisen suhteen puitteissa ja on selvästi alhaisempi kuin taso, joka taataan henkilökohtaisten tietojen suojasta annetun lain ja täydentävien sääntöjen yhdistelmällä (50).

(80)

Lisäksi tietojen edelleen siirtämiseen sovelletaan henkilökohtaisten tietojen suojasta annetun lain 20 ja 22 §:ään perustuvaa suojatoimea. Jos kolmannen maan toiminnanharjoittaja (tietojen tuoja) toimii henkilökohtaisia tietoja käsittelevän toiminnanharjoittajan (tietojen viejä) puolesta eli (alihankkijana toimivana) käsittelijänä, henkilökohtaisia tietoja käsittelevän toiminnanharjoittajan on varmistettava kolmannen maan toiminnanharjoittajan valvonta tietojen käsittelyn turvallisuuden osalta.

(81)

EU:n tietosuojalainsäädännön tavoin henkilökohtaisten tietojen suojasta annetussa laissa myönnetään yksilöille useita täytäntöönpanokelpoisia oikeuksia. Näitä ovat tiedonsaantioikeus (tiedoista ilmoittaminen), oikeus pyytää tietojen oikaisemista tai poistamista sekä oikeus vastustaa tietojen käyttöä (oikeus pyytää tietojen käytön lopettamista).

(82)

Ensinnäkin rekisteröidyllä on henkilökohtaisten tietojen suojasta annetun lain 28 §:n 1 ja 2 momentin nojalla oikeus pyytää henkilökohtaisia tietoja käsittelevää toiminnanharjoittajaa ”ilmoittamaan ne säilytetyt henkilötiedot, joilla hänet voidaan tunnistaa” ja pyynnön saatuaan toiminnanharjoittajan on ”ilmoitettava […] säilytetyt henkilötiedot” rekisteröidylle. Kyseisen lain 29 §:ssä (oikeus pyytää tietojen oikaisemista) ja 30 §:ssä (oikeus pyytää tietojen käytön lopettamista) on sama rakenne kuin 28 §:ssä.

(83)

Hallituksen määräyksen 9 §:ssä säädetään, että henkilökohtaisten tietojen suojasta annetun lain 28 §:n 2 momentissa tarkoitettu henkilökohtaisista tiedoista ilmoittaminen on tehtävä kirjallisesti, jolleivat henkilökohtaisia tietoja käsittelevä toiminnanharjoittaja ja rekisteröity toisin sovi.

(84)

Näihin oikeuksiin sovelletaan kolmentyyppisiä rajoituksia, jotka koskevat yksilön omia tai kolmansien osapuolten oikeuksia ja etuja (51), vakavaa puuttumista henkilökohtaisia tietoja käsittelevän toiminnanharjoittajan liiketoimintaan (52) sekä tapauksia, joissa ilmoittaminen rikkoisi muita lakeja tai määräyksiä (53). Tilanteet, joissa näitä rajoituksia sovellettaisiin, ovat samankaltaisia kuin eräät asetuksen (EU) 2016/679 23 artiklan 1 kohdan nojalla sovellettavat poikkeukset, joiden mukaan henkilöiden oikeuksia voidaan rajoittaa ”rekisteröidyn suojelua tai muille kuuluvia oikeuksia ja vapauksia” tai ”muita […] yleisiin julkisiin etuihin liittyviä tärkeitä tavoitteita” koskevista syistä. Vaikka niiden tapausten ryhmä, joissa ilmoittaminen rikkoisi muita lakeja tai määräyksiä, voi näyttää laajalta, laeissa ja määräyksissä, joissa rajoitukset vahvistetaan tältä osin, on kunnioitettava perustuslaillista oikeutta yksityisyyteen, ja niissä voidaan asettaa rajoituksia vain siinä määrin kuin tämän oikeuden käyttäminen ”haittaisi yleistä hyvinvointia” (54). Tämä edellyttää asianomaisten etujen tasapainottamista.

(85)

Jos pyydettyjä tietoja ei ole olemassa tai jos asianomainen henkilökohtaisia tietoja käsittelevä toiminnanharjoittaja päättää olla myöntämättä oikeutta tutustua säilytettyihin tietoihin, sen on henkilökohtaisten tietojen suojasta annetun lain 28 §:n 3 momentin mukaan ilmoitettava siitä viipymättä asianomaiselle henkilölle.

(86)

Toiseksi rekisteröidyllä on henkilökohtaisten tietojen suojasta annetun lain 29 §:n 1 ja 2 momentin nojalla oikeus pyytää säilytettävien henkilötietojensa oikaisua, täydentämistä tai poistamista siinä tapauksessa, että tiedot ovat virheellisiä. Saatuaan tällaisen pyynnön henkilökohtaisia tietoja käsittelevän toiminnanharjoittajan ”[…] on suoritettava tarvittava tutkimus” ja sen on tällaisen tutkimuksen tulosten perusteella ”tehtävä oikaisu tai muu vastaava säilytettyjen tietojen sisältöön”.

(87)

Kolmanneksi rekisteröidyllä on henkilökohtaisten tietojen suojasta annetun lain 30 §:n 1 ja 2 momentin nojalla oikeus pyytää toiminnanharjoittajaa keskeyttämään henkilökohtaisten tietojen käyttö tai poistamaan kyseiset tiedot silloin, kun niitä on käsitelty 16 §:n vastaisesti (käyttötarkoituksen rajoittaminen) tai kun ne on hankittu epäasianmukaisella tavalla 17 §:n vastaisesti (vilpilliset hankinnat, muut asiattomat keinot tai arkaluonteisten tietojen hankinta ilman suostumusta). Samoin henkilökohtaisten tietojen suojasta annetun lain 30 §:n 3 ja 4 momentissa säädetään, että henkilöllä on oikeus pyytää henkilökohtaisia tietoja käsittelevää toiminnanharjoittajaa lopettamaan tietojen toimittaminen kolmannelle osapuolelle, jos tämä on vastoin kyseisen lain 23 §:n 1 momentin tai 24 §:n (luovuttaminen kolmannelle osapuolelle, kansainväliset siirrot mukaan lukien) säännöksiä.

(88)

Jos pyyntö on perusteltu, henkilökohtaisia tietoja käsittelevän toiminnanharjoittajan on viipymättä lopetettava tietojen käyttö tai luovuttaminen kolmannelle osapuolelle siinä määrin kuin se on tarpeen rikkomuksen korjaamiseksi tai, jos tapaus kuuluu jonkin poikkeuksen piiriin (erityisesti jos käytön lopettaminen aiheuttaisi erityisen suuria kustannuksia) (55), toteutettava tarvittavat vaihtoehtoiset toimenpiteet kyseisen henkilön oikeuksien ja etujen suojelemiseksi.

(89)

Toisin kuin EU:n lainsäädännössä henkilökohtaisten tietojen suojasta annetussa laissa ja asiaankuuluvissa lainsäädännön alapuolelle sijoittuvissa säännöissä ei ole säännöksiä, joissa nimenomaisesti käsiteltäisiin mahdollisuutta vastustaa käsittelyä suoramarkkinointitarkoitusta varten. Tämän päätöksen mukaisesti tällainen käsittely toteutetaan kuitenkin aikaisemmin Euroopan unionissa kerättyjen henkilötietojen siirron yhteydessä. Asetuksen (EU) 2016/679 21 artiklan 2 kohdan mukaan rekisteröidyllä on aina oltava mahdollisuus vastustaa tietojen siirtoa käsiteltäväksi suoramarkkinointia varten. Lisäksi kuten johdanto-osan 43 kappaleessa selitetään, täydentävän säännön 3 mukaan henkilökohtaisia tietoja käsittelevän toiminnanharjoittajan on käsiteltävä päätöksen nojalla vastaanotetut tiedot sitä samaa tarkoitusta varten, jota varten tiedot on siirretty Euroopan unionista, ellei rekisteröity suostu muuttamaan käyttötarkoitusta. Näin ollen, jos siirto on tehty muuhun tarkoitukseen kuin suoramarkkinointiin, Japanissa toimiva henkilökohtaisia tietoja käsittelevä toiminnanharjoittaja ei voi käsitellä tietoja suoramarkkinointitarkoituksiin ilman EU:n rekisteröidyn suostumusta.

(90)

Henkilökohtaisia tietoja käsittelevän toiminnanharjoittajan on kaikissa henkilökohtaisten tietojen suojasta annetun lain 28 ja 29 §:ssä tarkoitetuissa tapauksissa ilmoitettava asianomaiselle henkilölle viipymättä tämän esittämän pyynnön tuloksesta ja lisäksi selitettävä, miksi pyyntö on mahdollisesti (osittain) evätty 27–30 §:ssä säädettyjen lakisääteisten poikkeusten perusteella (henkilökohtaisten tietojen suojasta annetun lain 31 §).

(91)

Pyynnön esittämisedellytysten osalta henkilökohtaisten tietojen suojasta annetun lain 32 §:ssä (yhdessä hallituksen määräyksen kanssa) annetaan henkilökohtaisia tietoja käsittelevälle toiminnanharjoittajalle mahdollisuus määrittää kohtuulliset menettelyt, myös säilytettyjen henkilötietojen tunnistamiseksi tarvittavien tietojen osalta. Tämän pykälän 4 momentin mukaan henkilökohtaisia tietoja käsittelevät toiminnanharjoittajat eivät kuitenkaan saa kohdistaa ”datasubjektiin liiallista rasitusta”. Tietyissä tapauksissa kyseiset toiminnanharjoittajat voi määrätä maksuja, jos niiden määrä säilyy ”kohtuullisena, kun otetaan huomioon todelliset kustannukset” (henkilökohtaisten tietojen suojasta annetun lain 33 §).

(92)

Henkilö voi myös vastustaa henkilökohtaisten tietojensa antamista kolmannelle osapuolelle edellä mainitun lain 23 §:n 2 momentin nojalla tai kieltäytyä antamasta suostumustaan 23 §:n 1 momentin nojalla (eli estää tietojen luovuttamisen, jos käytettävissä ei ole muuta oikeusperustaa). Henkilö voi lisäksi keskeyttää tietojen käsittelyn eri tarkoitusta varten kieltäytymällä antamasta suostumusta 16 §:n 1 momentin mukaisesti.

(93)

Toisin kuin EU:n lainsäädännössä, henkilökohtaisten tietojen suojasta annettu laki ja asiaa koskevat lainsäädännön alapuolelle sijoittuvat säännöt eivät sisällä yleisiä säännöksiä rekisteröityyn vaikuttavista päätöksistä, jotka perustuisivat yksinomaan henkilötietojen automaattiseen käsittelyyn. Tätä kysymystä käsitellään kuitenkin tietyissä Japanissa sovellettavissa alakohtaisissa säännöissä, jotka ovat erityisen olennaisia tällaisen käsittelyn kannalta. Tämä koskee aloja, joilla yritykset todennäköisimmin turvautuvat automatisoituun henkilötietojen käsittelyyn tehdessään yksityishenkilöihin vaikuttavia päätöksiä (kuten rahoitusala). Esimerkiksi kesäkuussa 2017 tarkistetuissa kattavissa suuntaviivoissa suurien pankkien valvonnasta edellytetään, että asianomaiselle henkilölle annetaan yksityiskohtainen selvitys syistä, joiden vuoksi lainasopimuksen tekemistä koskeva pyyntö on hylätty. Nämä säännöt tarjoavat suojan todennäköisesti niissä suhteellisen harvoissa tapauksissa, joissa tietoja ”tuova” japanilainen toiminnanharjoittaja tekisi automatisoidut päätökset itse (tietoja ”vievän” EU:n rekisterinpitäjän sijaan).

(94)

Joka tapauksessa päätöksen, joka tehdään Euroopan unionissa kerättyjen henkilötietojen osalta automatisoidun käsittelyn perusteella, tekee yleensä unionissa toimiva rekisterinpitäjä (jolla on suora suhde kyseiseen rekisteröityyn), ja näin ollen kyseiseen päätökseen sovelletaan asetusta (EU) 2016/679 (56). Tähän kuuluvat siirtotilanteet, joissa tietojen käsittelyn suorittaa ulkomainen (esimerkiksi japanilainen) toiminnanharjoittaja, joka toimii EU:n rekisterinpitäjän edustajana (käsittelijänä) (tai EU:n käsittelijän alihankkijana vastaanotettuaan tiedot ne keränneeltä EU:n rekisterinpitäjältä) ja tekee tämän perusteella automatisoidun päätöksen. Tämän vuoksi on epätodennäköistä, että se, ettei henkilökohtaisten tietojen suojasta annettuun lakiin sisälly säännöksiä automatisoidusta päätöksenteosta, vaikuttaisi tämän päätöksen nojalla siirrettyjen henkilötietojen suojan tasoon.

(95)

Sen varmistamiseksi, että tietosuojan riittävä taso taataan myös käytännössä, olisi oltava riippumaton valvontaviranomainen, jonka tehtävänä on valvoa tietosuojasääntöjen noudattamista ja varmistaa niiden täytäntöönpano. Kyseisen viranomaisen olisi toimittava riippumattomasti ja puolueettomasti tehtäviään suorittaessaan ja toimivaltuuksiaan käyttäessään.

(96)

Japanissa henkilökohtaisten tietojen suojasta annetun lain noudattamisen valvonnasta ja täytäntöönpanosta vastaava viranomainen on henkilötietosuojalautakunta. Se koostuu puheenjohtajasta ja kahdeksasta jäsenestä, jotka pääministeri nimittää parlamentin molempien kamareiden suostumuksella. Puheenjohtajan ja kunkin jäsenen toimikausi on viisi vuotta, ja uudelleennimittäminen on mahdollista (henkilökohtaisten tietojen suojasta annetun lain 64 §). Lautakunnan jäsenet voidaan irtisanoa ainoastaan hyvin perustelluissa poikkeustapauksissa (57), eivätkä he saa osallistua aktiivisesti poliittiseen toimintaan. Lisäksi henkilökohtaisten tietojen suojasta annetussa laissa säädetään, että lautakunnan kokoaikaisten jäsenten on pidättäydyttävä muista palkallisista toimista tai liiketoimista. Kaikkiin lautakunnan jäseniin sovelletaan myös sisäisiä sääntöjä, jotka estävät niitä osallistumasta asioiden käsittelyyn tapauksissa, joissa eturistiriita on mahdollinen. Henkilötietosuojalautakuntaa avustaa sihteeristö, jota johtaa pääsihteeri ja jonka tehtävänä on hoitaa lautakunnalle määrättyjä tehtäviä (henkilökohtaisten tietojen suojasta annetun lain 70 §). Sekä lautakunnan jäseniä että kaikkia sihteeristön virkamiehiä sitovat tiukat salassapitovelvollisuutta koskevat säännöt (henkilökohtaisten tietojen suojasta annetun lain 72 ja 82 §).

(97)

Henkilötietosuojalautakunnan toimivaltuuksista, joita se käyttää täysin itsenäisesti (58), säädetään pääasiassa henkilökohtaisten tietojen suojasta annetun lain 40, 41 ja 42 §:ssä. Kyseisen lain 40 §:n mukaan henkilötietosuojalautakunta voi pyytää henkilökohtaisia tietoja käsitteleviä toiminnanharjoittajia raportoimaan tai toimittamaan asiakirjoja käsittelytoiminnasta ja se voi myös suorittaa sekä paikalla tehtäviä tarkastuksia että kirjanpidon ja muiden asiakirjojen tarkastuksia. Siinä määrin kuin on tarpeen henkilökohtaisten tietojen suojasta annetun lain täytäntöönpanemiseksi, henkilötietosuojalautakunta voi antaa henkilökohtaisia tietoja käsitteleville toiminnanharjoittajille henkilökohtaisten tietojen käsittelyä koskevia ohjeita tai neuvoja. Henkilötietosuojalautakunta on jo käyttänyt näitä henkilökohtaisten tietojen suojasta annetun lain 41 §:n mukaisia valtuuksiaan antamalla ohjeita Facebookille sitä koskeneiden Cambridge Analytica -paljastusten jälkeen.

(98)

Erityisesti on huomattava, että henkilötietosuojalautakunnalla on valtuudet antaa joko valituksen johdosta tai omasta aloitteestaan suosituksia ja määräyksiä henkilökohtaisten tietojen suojasta annetun lain ja muiden sitovien sääntöjen (täydentävät säännöt mukaan luettuina) täytäntöönpanemiseksi yksittäisissä tapauksissa. Näistä valtuuksista säädetään henkilökohtaisten tietojen suojasta annetun lain 42 §:ssä. Vaikka kyseisen pykälän 1 ja 2 momentissa säädetään kaksivaiheisesta mekanismista, jonka puitteissa henkilötietosuojalautakunta voi antaa määräyksen (ainoastaan) aiemmin annetun suosituksen jälkeen, määräys voidaan 3 momentin mukaan antaa kiireellisissä tapauksissa suoraan.

(99)

Vaikka kaikkia henkilökohtaisten tietojen suojasta annetun lain IV luvun 1 jakson säännöksiä ei ole lueteltu 42 §:n 1 momentissa, joka myös määrittää 42 §:n 2 momentin soveltamisalan, tämä voi selittyä sillä, että jotkin näistä säännöksistä eivät koske henkilökohtaisia tietoja käsittelevän toiminnanharjoittajan (59) velvoitteita ja että kaikki olennaiset suojatoimet on jo otettu huomioon muissa kyseiseen luetteloon sisältyvissä säännöksissä. Vaikka esimerkiksi 15 §:ää (jossa vaaditaan, että henkilökohtaisia tietoja käsittelevä toiminnanharjoittaja määrittää käyttötarkoituksen ja käsittelee henkilökohtaiset tiedot yksinomaan käyttötarkoituksen rajoissa) ei ole mainittu, tämän vaatimuksen noudattamatta jättäminen voi olla peruste 16 §:n 1 momentin rikkomisen johdosta annettavalle suositukselle (kyseisessä pykälässä kielletään henkilökohtaisia tietoja käsittelevää toiminnanharjoittajaa käsittelemästä henkilökohtaisia tietoja enemmän kuin on tarpeen käyttötarkoituksen saavuttamiseksi, ellei se saa rekisteröidyn suostumusta) (60). Toinen säännös, jota ei mainita 42 §:n 1 momentissa, on tietojen täsmällisyyttä ja säilyttämistä koskeva 19 §. Tämän säännöksen noudattamatta jättäminen voi johtaa täytäntöönpanotoimiin joko 16 § 1 momentin tai 29 §:n 2 momentin rikkomisen perusteella, jos asianomainen henkilö pyytää virheellisten tai liiallisten tietojen oikaisemista tai poistamista ja henkilökohtaisia tietoja käsittelevä toiminnanharjoittaja kieltäytyy noudattamasta pyyntöä. Kun kyseessä ovat rekisteröidyn 28 §:n 1 momentin, 29 §:n 1 momentin ja 30 §:n 1 momentin mukaiset oikeudet, henkilötietosuojalautakunnan valvonta varmistetaan antamalla sille täytäntöönpanovaltuudet kyseisissä pykälissä säädettyjen henkilökohtaisia tietoja käsittelevän toiminnanharjoittajan vastaavien velvoitteiden suhteen.

(100)

Henkilötietosuojalautakunta voi henkilökohtaisten tietojen suojasta annetun lain 42 §:n 1 momentin nojalla antaa suosituksen ”rikkomisen keskeyttämiseksi tai ryhtyä muihin tarpeellisiin toimiin rikkomisen korjaamiseksi”, jos se katsoo, että ”on tarpeen suojella yksilön oikeuksia ja etuja tapauksissa, joissa [henkilökohtaisia tietoja käsittelevä toiminnanharjoittaja] on rikkonut” tiettyjä mainitun lain säännöksiä. Tällainen suositus ei ole sitova, mutta se mahdollistaa 42 §:n 2 momentin mukaisen sitovan määräyksen antamisen. Henkilötietosuojalautakunta voi tämän säännöksen perusteella määrätä, että henkilökohtaisia tietoja käsittelevän toiminnanharjoittajan on toteutettava suosituksen mukaiset toimet, jos suositusta ei ole noudatettu ”ilman perusteltua syytä” ja jos lautakunta ”katsoo, että yksilön oikeuksiin ja etuihin kohdistuu välitön uhka vakavasta rikkomisesta”.

(101)

Täydentävillä säännöillä selkeytetään ja vahvistetaan henkilötietosuojalautakunnan täytäntöönpanovaltuuksia entisestään. Erityisesti kun on kyse tapauksista, joihin liittyy Euroopan unionista tuotua tietoa, henkilötietosuojalautakunta katsoo aina, että jos henkilökohtaisia tietoja käsittelevä toiminnanharjoittaja on jättänyt toteuttamatta henkilökohtaisten tietojen suojasta annetun lain 42 §:n 1 momentin mukaisesti annettuun suositukseen perustuvia toimia ilman perusteltua syytä, kyseessä on 42 §:n 2 momentissa tarkoitettu yksilön oikeuksien ja etujen välitön ja vakava rikkominen ja näin ollen kyseessä on rikkomus, jonka vuoksi on annettava sitova määräys. Lisäksi henkilötietosuojalautakunta hyväksyy suosituksen noudattamatta jättämisen ”perustelluksi syyksi” ainoastaan ”luonteeltaan poikkeuksellisen tapahtuman [joka estää suosituksen noudattamisen], johon [henkilökohtaisia tietoja käsittelevä toiminnanharjoittaja] ei ole voinut vaikuttaa ja jota ei voida kohtuudella ennakoida (esimerkiksi luonnonkatastrofit)”, tai tapaukset, joissa tarve ryhtyä toimiin suosituksen johdosta ”on hävinnyt, koska [henkilökohtaisia tietoja käsittelevä toiminnanharjoittaja] on toteuttanut vaihtoehtoisia toimia, jotka korjaavat rikkomisen täysimääräisesti”.

(102)

Henkilötietosuojalautakunnan määräyksen noudattamatta jättämistä pidetään henkilökohtaisten tietojen suojasta annetun lain 84 §:ssä tarkoitettuna rikoksena ja syylliseksi todettu henkilökohtaisia tietoja käsittelevä toiminnanharjoittaja voidaan tuomita pakkotyöhön enintään kuudeksi kuukaudeksi tai toiminnanharjoittajalle voidaan määrätä enintään 300 000 jenin sakko. Lisäksi henkilötietosuojalautakunnan kanssa tehtävästä yhteistyöstä kieltäytymisen tai sen tutkinnan estämisen johdosta voidaan henkilökohtaisten tietojen suojasta annetun lain 85 §:n i kohdan mukaisesti määrätä enintään 300 000 jenin sakko. Näitä rikosseuraamuksia sovelletaan niiden seuraamusten lisäksi, joita voidaan määrätä henkilökohtaisten tietojen suojasta annetun lain merkittävistä rikkomisista (ks. johdanto-osan 108 kappale).

(103)

Jotta voidaan varmistaa asianmukainen suojelu ja erityisesti yksilön oikeuksien täytäntöönpano, rekisteröidyllä olisi oltava tehokkaat hallinnolliset ja oikeudelliset muutoksenhakukeinot, mukaan lukien vahingonkorvaus.

(104)

Henkilö voi tehdä rekisterinpitäjälle valituksen henkilötietojensa käsittelystä ennen hallinnollista tai oikeudellista muutoksenhakua tai sen sijasta. Henkilökohtaisten tietojen suojasta annetun lain 35 §:n perusteella henkilökohtaisia tietoja käsittelevän toiminnanharjoittajan on pyrittävä käsittelemään tällaiset valitukset ”asianmukaisesti ja viipymättä” ja otettava käyttöön sisäiset valitusten käsittelyjärjestelmät tämän tavoitteen saavuttamiseksi. Lisäksi henkilökohtaisten tietojen suojasta annetun lain 61 §:n ii kohdassa säädetään, että henkilötietosuojalautakunta vastaa ”tehtyä valitusta koskevasta tarvittavasta sovittelusta ja yhteistyöstä valitusta käsittelevän toiminnanharjoittajan kanssa”; molemmissa tapauksissa valitukset kattavat myös ulkomaalaisten tekemät valitukset. Japanin lainsäätäjä on tältä osin lisäksi antanut valtion keskushallinnon tehtäväksi toteuttaa ”tarvittavat toimet”, jotta henkilökohtaisia tietoja käsittelevät toiminnanharjoittajat voivat ratkaista valitukset ja jotta voidaan helpottaa valitusten ratkaisemista (9 §), kun taas paikallishallinnot pyrkivät varmistamaan sovittelun tällaisissa tapauksissa (13 §). Tältä osin henkilöt voivat tehdä kantelun jollekin niistä yli 1 700 kuluttajakeskuksesta, jotka paikallishallinnot ovat perustaneet kuluttajien turvallisuutta koskevan lain (61) perusteella, minkä lisäksi he voivat tehdä valituksen Japanin kansalliselle kuluttaja-asiain keskukselle. Valituksia voidaan tehdä myös henkilökohtaisten tietojen suojasta annetun lain rikkomisen johdosta. Kuluttajalain (62) 19 §:n mukaan paikallishallintojen on pyrittävä sovittelemaan valituksia ja tarjottava osapuolille tarvittavaa asiantuntemusta. Nämä riitojenratkaisumekanismit vaikuttavat melko tehokkailta, sillä vuonna 2015 käsiteltiin yli 75 000 valitusta ja niistä ratkaistiin 91,2 prosenttia.

(105)

Jos henkilökohtaisia tietoja käsittelevä toiminnanharjoittaja rikkoo henkilökohtaisten tietojen suojasta annetun lain säännöksiä, seurauksena voi olla siviilioikeudellisia toimia sekä rikosoikeudellinen menettely ja rangaistuksia. Jos henkilö katsoo, että hänen henkilökohtaisten tietojen suojasta annetun lain 28, 29 ja 30 §:n mukaisia oikeuksiaan on loukattu, hän voi ensinnäkin hakea kieltomääräystä pyytämällä tuomioistuinta määräämään, että henkilökohtaisia tietoja käsittelevä toiminnanharjoittaja täyttää hänen jonkin edellä mainitun säännöksen mukaisen pyyntönsä, toisin sanoen ilmoittaa säilytetyt henkilötiedot (28 §), oikaisee virheelliset säilytetyt henkilötiedot (29 §) tai lopettaa tietojen lainvastaisen käsittelyn tai niiden luovuttamisen kolmannelle osapuolelle (30 §). Tällainen kanne voidaan panna vireille ilman siviililain 709 §:n (63) tai vahingonkorvausoikeuden soveltamista (64). Tämä tarkoittaa erityisesti sitä, että henkilön ei tarvitse osoittaa minkäänlaisen vahingon aiheutumista.

(106)

Toiseksi siinä tapauksessa, että väitetty rikkominen ei koske 28, 29 ja 30 §:n mukaisia yksilön oikeuksia vaan henkilökohtaisia tietoja käsittelevän toiminnanharjoittajan yleisiä tietosuojaperiaatteita tai -velvollisuuksia, asianomainen henkilö voi nostaa kanteen toiminnanharjoittajaa vastaan Japanin siviililain (erityisesti sen 709 §:n) vahingonkorvaussäännösten perusteella. Vaikka 709 §:n mukainen kanne edellyttää syyksiluettavuuden (tahallisuus tai tuottamuksellisuus) lisäksi selvitystä aiheutuneesta vahingosta, tällainen vahinko voi siviililain 710 §:n mukaan olla sekä aineellinen että aineeton. Korvauksen määrää ei ole rajoitettu.

(107)

Käytettävissä olevista oikeussuojakeinoista voidaan todeta, että Japanin siviililain 709 §:ssä viitataan rahalliseen korvaukseen. Japanin oikeuskäytännössä on kuitenkin tulkittu tätä pykälää niin, että siinä annetaan oikeus hakea myös kieltomääräystä (65). Näin ollen jos rekisteröity saattaa vireille siviililain 709 §:n nojalla kanteen ja väittää, että vastaaja on loukannut hänen oikeuksiaan tai etujaan rikkomalla henkilökohtaisten tietojen suojasta annetun lain säännöstä, kanteeseen voi sisältyä vahingonkorvausvaatimuksen lisäksi kieltomääräystä koskeva pyyntö, jolla pyritään erityisesti lopettamaan laiton käsittely.

(108)

Kolmanneksi siviilioikeudellisten oikeussuojakeinojen käyttämisen lisäksi rekisteröity voi tehdä syyttäjälle tai tutkinta-asioista vastaavalle poliisille valituksen sellaisesta henkilökohtaisten tietojen suojasta annetun lain rikkomisesta, joka voi johtaa rikosoikeudellisiin seuraamuksiin. Henkilökohtaisten tietojen suojasta annetun lain VII luku sisältää useita rikosoikeudellisia säännöksiä. Niistä tärkein (84 §) koskee tapauksia, joissa henkilökohtaisia tietoja käsittelevä toiminnanharjoittaja on jättänyt noudattamatta määräyksiä, jotka henkilötietosuojalautakunta on antanut 42 §:n 2 ja 3 momentin nojalla. Jos toiminnanharjoittaja ei noudata henkilötietosuojalautakunnan antamaa määräystä, lautakunnan puheenjohtaja (samoin kuin joku muu valtion virkamies) (66) voi viedä asian yleiselle syyttäjälle tai tutkinta-asioista vastaavalle poliisille ja tällä tavoin käynnistää rikosoikeudellisen menettelyn. Henkilötietosuojalautakunnan määräyksen rikkomisesta voidaan tuomita pakkotyöhön enintään kuudeksi kuukaudeksi tai maksamaan sakko, joka on enintään 300 000 jeniä. Muita henkilökohtaisten tietojen suojasta annetun lain säännöksiä, joissa säädetään rekisteröityjen oikeuksia ja etuja koskevista kyseisen lain rikkomisesta määrättävistä seuraamuksista, ovat kyseisen lain 83 § (joka koskee henkilökohtaisten tietojen tietokannan ”luovuttamista tai käyttämistä varkain […] laittoman voiton tavoittelemista varten”) ja 88 §:n i kohta (siltä osin kuin kyse on siitä, että silloin kun toiminnanharjoittaja vastaanottaa henkilötietoja mainitun lain 26 §:n 1 momentin mukaisesti, kolmas osapuoli ei ilmoita tälle toiminnanharjoittajalle asianmukaisesti erityisesti sellaisia tietoja, jotka koskevat kyseisten tietojen aiempaa hankintaa kolmannen osapuolen toimesta). Tällaisesta henkilökohtaisten tietojen suojasta annetun lain rikkomisesta voidaan määrätä enintään yhden vuoden mittainen pakkotyörangaistus tai enintään 500 000 jenin sakko (kun kyseessä on 83 §) tai enintään 100 000 jenin hallinnollinen sakko (kun kyseessä on 88 §:n i kohta). Vaikka jo rikosoikeudellisen seuraamuksen uhalla on todennäköisesti vahva pelotevaikutus henkilökohtaisia tietoja käsittelevän toiminnanharjoittajan käsittelytoimintoja johtavaan yritysjohtoon sekä tietoja käsitteleviin henkilöihin, henkilökohtaisten tietojen suojasta annetun lain 87 §:ssä selvennetään, että kun yrityksen edustaja, toimihenkilö tai muu työntekijä on syyllistynyt kyseisen lain 83–85 §:n mukaiseen rikkomukseen, ”kyseistä toimijaa on rangaistava ja kyseiselle yritykselle on määrättävä asianomaisissa pykälissä vahvistettu sakko”. Tässä tapauksessa sekä työntekijälle että yritykselle voidaan määrätä seuraamuksia täyteen enimmäismäärään asti.

(109)

Lisäksi henkilöt voivat hakea hyvitystä henkilötietosuojalautakunnan toimien tai laiminlyöntien vuoksi. Japanin lainsäädännössä säädetään tältä osin erilaisista hallinnollisista ja oikeudellisista muutoksenhakukeinoista.

(110)

Jos henkilö ei ole tyytyväinen henkilötietosuojalautakunnan toteuttamiin toimiin, hän voi tehdä hallinnollista muutoksenhakua koskevan lain (67) mukaisen hallinnollisen valituksen. Jos henkilö sitä vastoin katsoo, että henkilötietosuojalautakunnan olisi pitänyt toimia mutta se jätti toimimatta, kyseinen henkilö voi muutoksenhakulain 36-3 §:n mukaisesti pyytää henkilötietosuojalautakunnalta hallinnollisen määräyksen tai hallinnollisen ohjeistuksen antamista, jos hän katsoo, että ”rikkomisen korjaamiseksi tarvittavaa määräystä tai hallinnollista ohjeistusta ei ole annettu”.

(111)

Siltä osin kuin on kyse oikeussuojakeinoista, oikeudenkäynnistä hallintoasioissa annetun lain mukaan henkilö, joka ei ole tyytyväinen henkilötietosuojalautakunnan antamaan hallinnolliseen määräykseen, voi panna vireille mandamus-kanteen (68) ja pyytää tuomioistuinta määräämään, että lautakunnan on toteutettava lisätoimia (69). Tietyissä tapauksissa tuomioistuin voi myös antaa väliaikaisen mandamus-määräyksen peruuttamattoman vahingon estämiseksi (70). Lisäksi saman lain mukaan henkilö voi hakea myös henkilötietosuojalautakunnan päätöksen kumoamista (71).

(112)

Henkilö voi nostaa henkilötietosuojalautakuntaa vastaan myös kanteen korvauksen saamiseksi valtiolta valtion oikeussuojakeinoja koskevan lain 1 §:n 1 momentin nojalla, jos kyseinen henkilö on kärsinyt vahinkoa sen vuoksi, että lautakunnan toiminnanharjoittajalle antama määräys on lainvastainen tai että lautakunta ei ole käyttänyt toimivaltaansa.

(113)

Komissio on arvioinut myös rajoituksia ja suojatoimia, mukaan lukien Japanin lainsäädännön mukaiset valvonta- ja oikeussuojamekanismit, jotka koskevat sitä, kuinka viranomaiset voivat ottaa haltuunsa ja käyttää japanilaisille toiminnanharjoittajille siirrettyjä henkilötietoja yleisen edun nimissä, erityisesti rikosoikeudellista täytäntöönpanoa ja kansalliseen turvallisuuteen liittyviä tarkoituksia varten (”viranomaisten pääsy tietoihin”). Japanin hallitus on tältä osin antanut komissiolle virallisia vahvistusilmoituksia, vakuutuksia ja sitoumuksia, jotka on allekirjoitettu korkeimmalla ministeri- ja virastotasolla ja jotka sisältyvät tämän päätöksen liitteeseen II.

(114)

Viranomaisten pääsy tietoihin osana julkisen vallan käyttöä Japanissa on toteutettava täysin lain mukaisesti (laillisuusperiaate). Japanin perustuslaki sisältää tältä osin säännöksiä, joilla rajoitetaan ja rajataan viranomaisten suorittamaa henkilötietojen keräämistä. Kuten on jo mainittu toiminnanharjoittajien suorittaman tietojen käsittelyn osalta, Japanin korkein oikeus on tunnustanut perustuslain 13 §:n (jolla muun muassa suojataan oikeutta vapauteen) nojalla oikeuden yksityisyyteen ja tietosuojaan (72). Yksi tämän oikeuden merkittävä näkökohta on vapaus olla sallimatta henkilökohtaisten tietojen luovuttamista kolmannelle osapuolelle ilman lupaa (73). Tämä merkitsee oikeutta henkilötietojen tehokkaaseen suojaan väärinkäyttöä ja (erityisesti) laitonta tietojen haltuunottoa vastaan. Lisäsuoja varmistetaan perustuslain 35 §:ssä, joka koskee kaikkien henkilöiden oikeutta turvallisuuteen kotinsa, asiakirjojensa ja omaisuutensa suhteen, minkä vuoksi viranomaisten on hankittava tuomioistuimen määräys, joka on annettu ”riittävästä syystä” (74) kaikissa tapauksissa, joissa on kyse ”etsinnöistä ja takavarikoista”. Japanin korkein oikeus selvensi 15 päivänä maaliskuuta 2017 asiassa GPS antamassaan tuomiossa, että vaatimusta määräyksestä sovelletaan aina, kun viranomaiset puuttuvat (”tunkeutuvat”) yksityiselämään tavalla, joka tukahduttaa yksilön tahdon ja jossa on kyse ”pakkokeinoin toteutettavasta tutkinnasta”. Tuomari voi antaa tällaisen määräyksen ainoastaan konkreettisen rikosepäilyn perusteella, eli kun on osoitettu asiakirjatodistein, että tutkimuksen kohteena olevan henkilön voidaan katsoa syyllistyneen rikokseen (75). Tästä seuraa, että Japanin viranomaisilla ei ole oikeudellista toimivaltaa kerätä henkilökohtaisia tietoja pakkokeinoin tilanteissa, joissa lakia ei ole vielä rikottu (76), esimerkiksi rikoksen tai muun turvallisuusuhan estämiseksi (kuten on laita kansalliseen turvallisuuteen liittyvistä syistä tehdyissä tutkimuksissa).

(115)

Lakisääteisyyden periaatteen mukaan mahdollisen pakkotutkinnan osana tapahtuvan tietojenkeruun on nimenomaisesti perustuttava lakiin (kuten ilmenee esimerkiksi rikosprosessilain 197 §:n 1 momentista, joka koskee pakkokeinoin tapahtuvaa tietojen keräämistä rikostutkintaa varten). Tämä vaatimus koskee myös pääsyä sähköiseen tietoon.

(116)

Erityisesti on huomattava, että perustuslain 21 §:n 2 momentissa taataan kaikkien viestintävälineiden luottamuksellisuus, ja rajoitukset sallitaan ainoastaan yleistä etua koskevien säännösten nojalla. Televiestintälain 4 §:ssä, jonka mukaan teleoperaattorin käsittelemän viestinnän luottamuksellisuutta ei saa loukata, pannaan tämä luottamuksellisuusvaatimus täytäntöön lainsäädännön tasolla. Tätä on tulkittu siten, että siinä kielletään viestintätietojen luovuttaminen ilman käyttäjien suostumusta tai ilman että olisi kyse on jostain rikoslain mukaisesti rikosoikeudellisesta vastuusta tehtävästä nimenomaisesta poikkeuksesta (77).

(117)

Perustuslaissa taataan myös oikeus vedota tuomioistuimeen (32 §) ja oikeus haastaa valtio oikeuteen korvauksen saamiseksi, jos henkilö on kärsinyt vahinkoa virkamiehen laittoman teon johdosta (17 §).

(118)

Tietosuojaa koskevan oikeuden osalta henkilökohtaisten tietojen suojasta annetun lain III luvun 1, 2 ja 3 jaksossa vahvistetaan yleiset periaatteet, jotka koskevat kaikkia aloja, myös julkista sektoria. Erityisesti henkilökohtaisten tietojen suojasta annetun lain 3 §:ssä säädetään, että kaikkia henkilökohtaisia tietoja on käsiteltävä yksilöiden henkilöllisyyden kunnioittamista koskevan periaatteen mukaisesti. Kun viranomaiset (78) ovat keränneet (”hankkineet”) henkilökohtaisia tietoja, myös sähköisten tiedostojen osana, niiden käsittelyyn sovelletaan hallintoelinten hallussa olevien henkilökohtaisten tietojen suojasta annettua lakia (79). Tähän sisältyy periaatteessa (80) myös henkilökohtaisten tietojen käsittely rikosalan lainvalvontatarkoituksessa tai kansallisen turvallisuuden vuoksi. Hallintoelinten hallussa olevien henkilökohtaisten tietojen suojasta annetussa laissa säädetään muun muassa, että i) viranomaiset saavat säilyttää henkilökohtaisia tietoja vain siinä määrin kuin se on tarpeen niiden tehtävien suorittamiseksi; ii) viranomaiset eivät saa käyttää näitä tietoja ”perusteetonta” tarkoitusta varten tai luovuttaa niitä kolmannelle osapuolelle ilman perusteltua syytä; iii) viranomaisten on määritettävä tietojen käyttötarkoitus eivätkä ne saa muuttaa tätä tarkoitusta niin, että se olisi laajempi kuin voidaan kohtuullisesti katsoa olevan asianmukaista alkuperäisen tarkoituksen kannalta (käyttötarkoituksen rajoittaminen); iv) viranomaiset eivät saa periaatteessa käyttää tai toimittaa kolmannelle osapuolelle säilytettyjä henkilökohtaisia tietoja muihin tarkoituksiin, ja jos ne katsovat tämän tarpeelliseksi, niiden on asetettava rajoituksia kolmansien osapuolten soveltamalle käyttötarkoitukselle tai -menetelmälle; v) viranomaisten on pyrittävä varmistamaan tietojen oikeellisuus (tietojen laatu); vi) viranomaisten on toteutettava tarvittavat toimenpiteet tietojen asianmukaiseksi hoitamiseksi ja tietovuotojen, tietojen häviämisen tai tietojen vahingoittumisen estämiseksi (tietoturva); ja vii) viranomaisten on pyrittävä käsittelemään kaikki tietojen käsittelyä koskevat valitukset asianmukaisesti ja nopeasti (81).

(119)

Japanin lainsäädännössä on useita rajoituksia, jotka koskevat henkilötietoihin pääsyä ja niiden käyttöä rikosalan lainvalvontatarkoituksessa, sekä valvonta- ja oikaisumekanismeja, jotka tarjoavat riittävät takeet siitä, että tiedot suojataan tehokkaasti laittomilta teoilta ja väärinkäytön riskiltä.

(120)

Japanin oikeudellisessa kehyksessä sähköisen tiedon kerääminen rikosalan lainvalvontatarkoituksessa on sallittua määräyksen (pakkokeinoin toteutettava keruu) tai vapaaehtoista tietojen luovuttamista koskevan pyynnön perusteella.

(121)

Kuten johdanto-osan 115 kappaleessa todetaan, pakkokeinoin toteutettavan tutkinnan yhteydessä tapahtuvan tietojen keräämisen on perustuttava nimenomaiseen lain säännökseen, ja se voidaan toteuttaa ainoastaan ”riittävästä syystä annetun” tuomioistuimen määräyksen perusteella (perustuslain 35 §). Rikosasioiden tutkinnan osalta tämä vaatimus on otettu huomioon rikosprosessilain säännöksissä. Kyseisen lain 197 §:n 1 momentin mukaan pakkotoimenpiteitä ”ei sovelleta, ellei tässä laissa ole vahvistettu sitä koskevia erityisiä säännöksiä”. Sähköisen tiedon keruun osalta tältä osin ainoat asiaankuuluvat (82) oikeusperustat ovat rikosprosessilain 218 § (etsintä ja takavarikko) ja 222-2 §, jonka mukaan sähköisen viestinnän kuunteluun ilman toisen osapuolen suostumusta liittyvät pakkotoimenpiteet toteutetaan muiden säädösten, nimittäin salakuuntelusta rikostutkintaa varten annetun lain, jäljempänä ’salakuuntelulaki’, nojalla. Kummassakin tapauksessa sovelletaan määräystä koskevaa vaatimusta.

(122)

Rikosprosessilain 218 §:n 1 momentin mukaan yleinen syyttäjä, yleisen syyttäjän avustaja tai tutkinta-asioista vastaava poliisi voi toteuttaa tuomarin etukäteen antaman määräyksen perusteella etsinnän tai takavarikon (mukaan lukien asiakirjatiedostojen tilaaminen), jos tämä on tarpeen rikoksen tutkintaa varten (83). Tällaisessa määräyksessä voidaan esittää muun muassa epäillyn tai syytetyn nimi, rikosnimike (84), takavarikoitavat sähkömagneettiset tiedostot ja ”tarkastettava paikka tai tarkastettavat esineet” (rikosprosessilain 219 §:n 1 momentti).

(123)

Telekuuntelun osalta salakuuntelulain 3 §:ssä sallitaan tällaiset toimenpiteet vain tiukoin edellytyksin. Viranomaisten on erityisesti saatava tuomioistuimen ennakolta antama määräys, joka voidaan antaa ainoastaan tiettyjen vakavien rikosten (jotka luetellaan lain liitteessä) (85) tutkimista varten ja silloin kun on ”erittäin vaikeaa tunnistaa rikollista tai selvittää rikokseen liittyviä tilanteita/yksityiskohtia jollain muulla tavalla” (86). Salakuuntelulain 5 §:n mukaan määräys annetaan rajoitetuksi ajaksi ja tuomari voi asettaa lisäehtoja. Lisäksi kyseisessä laissa säädetään useista muista suojatoimista, joita ovat esimerkiksi todistajien pakollinen osallistuminen (12 ja 20 §), kielto salakuunnella tiettyjen erityisasemassa olevien ryhmien (esimerkiksi lääkärit ja asianajajat) viestintää (15 §), velvollisuus lopettaa salakuuntelu, jos se ei ole enää perusteltua, myös määräyksen voimassaoloaikana (18 §) tai yleinen vaatimus ilmoittaa asiasta kyseiselle henkilölle ja antaa pääsy tiedostoihin kolmenkymmenen päivän kuluessa salakuuntelun lopettamisesta (23 ja 24 §).

(124)

Kaikkien tuomioistuimen määräykseen perustuvien pakkotoimenpiteiden osalta tällainen tutkimus voidaan suorittaa ainoastaan ”sellaisena kuin on tarpeen sen tavoitteen saavuttamiseksi” eli silloin, kun tutkinnan tavoitteita ei voida saavuttaa muulla tavoin (rikosprosessilain 197 §:n 1 momentti). Vaikka tarpeellisuuden määrittämisen perusteita ei ole tarkemmin täsmennetty laissa, Japanin korkein oikeus on todennut, että määräyksen antaneen tuomarin olisi tehtävä yleisarviointi, jossa otetaan huomioon erityisesti seuraavat seikat: i) rikoksen vakavuus ja sen toteuttamistapa; ii) takavarikoitujen materiaalien arvo ja merkitys todistusaineistona; iii) todennäköisyys (vaara), että todiste voidaan kätkeä tai tuhota; ja iv) missä määrin takavarikko voi aiheuttaa vahinkoa asianomaiselle henkilölle (87).

(125)

Viranomaiset voivat toimivaltansa rajoissa kerätä myös sähköistä tietoa, joka perustuu tietojen vapaaehtoista luovuttamista koskeviin pyyntöihin. Tällä tarkoitetaan ei-pakollista yhteistyön muotoa silloin, kun pyynnön noudattamiseksi ei voida ryhtyä pakkotoimenpiteisiin (88), jolloin viranomaisten ei tarvitse hankkia tuomioistuimen määräystä.

(126)

Siinä määrin kuin pyyntö on osoitettu toiminnanharjoittajalle ja koskee henkilökohtaisia tietoja, toiminnanharjoittajan on noudatettava henkilökohtaisten tietojen suojasta annetun lain vaatimuksia. Henkilökohtaisten tietojen suojasta annetun lain 23 §:n 1 momentin mukaan toiminnanharjoittajat voivat luovuttaa henkilökohtaisia tietoja kolmansille osapuolille ilman asianomaisen henkilön suostumusta vain tietyissä tapauksissa, esimerkiksi silloin, kun luovuttaminen tapahtuu ”lakien ja määräysten perusteella” (89). Rikosalan lainvalvonnassa tällaisten pyyntöjen oikeusperusta on rikosprosessilain 197 §:n 2 momentti, jonka mukaan ”yksityisiä organisaatioita voidaan pyytää raportoimaan tutkintaan liittyvistä tarpeellisista asioista”. ”Tutkintalomakkeen” käyttö edellyttää aina konkreettista epäilyä rikokseen syyllistymisestä, joten sitä voidaan käyttää vain osana rikoksen tutkintaa (90). Koska tällaisen tutkinnan suorittaa yleensä prefektuurin poliisi, sovelletaan poliisilain (91) 2 §:n 2 momentin mukaisia rajoituksia. Kyseisen säännöksen mukaan poliisin toiminta on ”tiukasti rajoitettu” poliisin velvollisuuksien ja tehtävien täyttämiseen (toisin sanoen rikosten ehkäisemiseen, torjumiseen ja tutkintaan). Lisäksi poliisin on tehtäviään hoitaessaan toimittava puolueettomalla, ennakkoluulottomalla ja oikeudenmukaisella tavalla eikä hän saa koskaan käyttää väärin toimivaltaansa ”tavalla, joka haittaa Japanin perustuslaissa taattuja yksilön oikeuksia ja vapauksia” (johon sisältyvät, kuten edellä on esitetty, oikeus yksityisyyteen ja tietosuojaan) (92).

(127)

Erityisesti rikosprosessilain 197 §:n 2 momentin osalta kansallinen poliisivirasto, joka on liittovaltion viranomaisena vastuussa muun muassa kaikista rikospoliisia koskevista asioista, on antanut prefektuurin poliisille (93) ohjeet ”tutkinta-asioihin liittyvien kirjallisten selvitysten asianmukaisesta käytöstä”. Kyseisen ilmoituksen mukaan pyynnöt on tehtävä käyttäen esitäytettyä lomaketta (”lomake nro 49” tai niin sanottu ”tutkintalomake”) (94), pyyntöjen on koskettava ”tiettyyn tutkintaan” liittyviä asiakirjoja ja pyydettyjen tietojen on oltava ”[kyseisen] tutkimuksen kannalta tarpeellisia”. Kussakin tapauksessa päätutkijan on ”tarkasteltava perusteellisesti muun muassa kunkin pyynnön tarpeellisuutta ja sisältöä” ja saatava pyynnölle korkea-arvoisen virkamiehen sisäinen hyväksyntä.

(128)

Lisäksi Japanin korkein oikeus on kahdessa vuosina 1969 ja 2008 antamassaan tuomiossa (95) asettanut rajoituksia sellaisten ei-pakollisten toimenpiteiden osalta, jotka haittaavat oikeutta yksityisyyteen (96). Tuomioistuin on katsonut, että tällaisten toimenpiteiden on oltava ”kohtuullisia” ja niiden on pysyttävä yleisesti sallituissa rajoissa, toisin sanoen niiden on oltava tarpeellisia epäillyn tutkimiseksi (todisteiden kerääminen) ja ne on suoritettava ”tutkinnan tarkoituksen täyttävin asianmukaisin menetelmin” (97). Tuomiot osoittavat, että tähän liittyy oikeasuhteisuutta koskeva testi, jossa otetaan huomioon kaikki asiaan liittyvät olosuhteet (esimerkiksi se, missä määrin yksityisyyttä koskevaan oikeuteen puututaan, mukaan lukien oletus yksityisyydestä, rikoksen vakavuus, todennäköisyys käyttökelpoisten todisteiden löytymisestä, todisteiden merkitys ja mahdolliset vaihtoehtoiset tutkintakeinot) (98).

(129)

Näiden julkisen vallan käyttöä koskevien rajoitusten lisäksi toiminnanharjoittajien odotetaan itse tarkistavan (”vahvistavan”), että tietojen luovuttaminen kolmannelle osapuolelle on ”tarpeellista” ja ”järkevää” (99). Tähän sisältyy kysymys siitä, estääkö laki yhteistyön tekemisen. Tällaiset ristiriitaiset oikeudelliset velvoitteet voivat johtua erityisesti salassapitovelvoitteista, kuten rikoslain 134 §:stä (joka koskee esimerkiksi lääkärin, asianajajan tai papin suhdetta asiakkaaseensa). Lisäksi ”kaikkien televiestintäalalla toimivien henkilöiden on toimessaan pidettävä luottamuksellisina muiden henkilöiden tiedot, jotka he ovat saaneet tietoonsa teleoperaattorin käsittelemän viestinnän osalta” (televiestintäliiketoimintaa koskevan lain 4 §:n 2 momentti). Tämä velvoite perustuu televiestintäliiketoimintaa koskevan lain 179 §:ssä säädettyyn seuraamukseen, jonka mukaan kuka tahansa, joka on rikkonut teleoperaattorin käsittelemän viestinnän luottamuksellisuutta, on syyllistynyt rikokseen, josta määrätään pakkotyörangaistus, jonka kesto on enintään kaksi vuotta, tai enintään yhden miljoonan jenin sakko (100). Tämä vaatimus ei ole ehdoton, ja erityisesti sellaiset viestintäsalaisuutta rikkovat toimenpiteet, jotka katsotaan rikoslain 35 §:n mukaisiksi ”perustelluiksi toimiksi”, ovat tämän vaatimuksen osalta sallittuja. Tämä poikkeus ei kuitenkaan koske vastauksia ei-pakollisiin viranomaisten pyyntöihin, jotka liittyvät sähköisen tiedon luovuttamiseen rikosprosessilain 197 §:n 2 momentin mukaisesti (101).

(130)

Kun Japanin viranomaiset ovat keränneet henkilökohtaiset tiedot, ne kuuluvat hallintoelinten hallussa olevien henkilökohtaisten tietojen suojasta annetun lain soveltamisalaan. Kyseisellä lailla säännellään ”säilytettyjen henkilökohtaisten tietojen” käsittelyä, ja siinä säädetään useista rajoituksista ja suojatoimista (ks. johdanto-osan 118 kappale) (102). Lisäksi se, että hallintoelin voi säilyttää henkilökohtaisia tietoja ”vain silloin, kun säilyttäminen on välttämätöntä sen toimivaltaan kuuluvien asioiden hoitamiseksi lakien ja määräysten mukaisesti” (hallintoelinten hallussa olevien henkilökohtaisten tietojen suojasta annetun lain 3 §:n 1 momentti), rajoittaa myös – ainakin välillisesti – jo alun perinkin tietojen keräämistä.

(131)

Japanissa sähköisen tiedon keräämisestä lainvalvonnan alalla (103) vastaa ennen kaikkea prefektuurin poliisi (104), johon tässä suhteessa sovelletaan monentasoista valvontaa.

(132)

Ensinnäkin kaikissa tapauksissa, joissa sähköinen tieto kerätään pakkokeinoin (etsintä ja takavarikko), poliisin on hankittava tuomioistuimen ennakkomääräys (ks. johdanto-osan 121 kappale). Sen vuoksi tuomari tarkastaa näissä tapauksissa etukäteen tietojen keräämisen asianmukaisuuden ja soveltaa tällöin tiukasti ns. ”riittävien syiden” sääntöä.

(133)

Kun kyseessä on pyyntö luovuttaa tietoja vapaaehtoisesti, tuomari ei suorita ennakkotarkastusta, mutta toiminnanharjoittajat, joille pyynnöt on osoitettu, voivat vastustaa niitä ilman kielteisiä seurauksia (ja niiden on otettava huomioon tietojen luovuttamisen vaikutukset yksityisyyden suojaan). Lisäksi rikosprosessilain 192 §:n 1 momentin mukaan poliisiviranomaiset tekevät aina yhteistyötä ja koordinoivat toimiaan yleisen syyttäjän (ja prefektuurin yleisen turvallisuuden komitean) kanssa (105). Yleinen syyttäjä voi puolestaan antaa tarpeelliset yleisohjeet oikeudenmukaista tutkimusta varten ja/tai antaa erityismääräyksiä yksittäisen tutkimuksen osalta (rikosprosessilain 193 §). Jos ohjeita ja/tai määräyksiä ei noudateta, syyttäjä voi esittää kurinpitotoimia (rikosprosessilain 194 §). Prefektuurin poliisi toimii siten yleisen syyttäjän valvonnassa.

(134)

Toiseksi perustuslain 62 §:n mukaan Japanin parlamentin kummatkin kamarit voivat suorittaa valtioneuvoston suhteen tutkimuksia muun muassa poliisin suorittaman tiedonkeruun laillisuudesta. Kamari voi sen vuoksi vaatia todistajien läsnäoloa ja todistajanlausuntoja ja/tai asiakirjojen esittämistä. Tutkintavaltuuksia tarkennetaan parlamenttia koskevassa laissa ja erityisesti sen XII luvussa. Erityisesti parlamenttia koskevan lain 104 §:ssä määrätään, että hallituksen, julkisten virastojen ja muiden valtioneuvoston osien on ”noudatettava kamarin tai sen komiteoiden pyyntöjä luovuttaa tutkimuksen kannalta välttämättömiä raportteja ja asiakirjoja.” Pyynnöstä voi kieltäytyä vain, jos valtioneuvosto esittää perustellun syyn, jonka parlamentti hyväksyy, tai jos annetaan virallinen ilmoitus siitä, että raporttien ja asiakirjojen luovuttamisesta on ”vakavaa haittaa kansallisille eduille” (106). Parlamentin jäsenet voivat lisäksi esittää kirjallisia kysymyksiä hallitukselle (parlamenttia koskevan lain 74 ja 75 §). Aiemmin tällaiset ”kirjalliset kyselyt” ovat koskeneet myös viranomaisten suorittamaa henkilökohtaisten tietojen käsittelyä (107). Esimerkiksi salakuuntelulain 29 §:n mukainen raportointivelvollisuus tukee parlamentin roolia toimeenpanoelimen valvojana.

(135)

Kolmanneksi prefektuurin poliisiin sovelletaan riippumatonta valvontaa myös toimeenpanohaaran sisällä. Valvontaa harjoittavat erityisesti prefektuurin yleisen turvallisuuden komiteat, jotka on perustettu prefektuurin tasolla varmistamaan poliisin demokraattinen hallinto ja poliittinen puolueettomuus (108). Kyseiset komiteat koostuvat prefektuurin kuvernöörin nimittämistä jäsenistä, jotka hyväksytään prefektuurin yleiskokouksessa (koostuu kansalaisista, joilla ei viitenä edeltävänä vuotena ole ollut julkista virkaa poliisitoimessa). Jäsenillä on turvattu toimikausi (irtisanominen vain hyvästä syystä) (109). Saatujen tietojen mukaan niille ei voida antaa ohjeita ja ne ovat siten täysin riippumattomia (110). Poliisilain 38 §:n 3 momentin sekä kyseisen lain 2 §:n ja 36 §:n 2 momentin mukaisesti prefektuurin yleisen turvallisuuden komiteoiden tehtäviin ja toimivaltuuksiin kuuluu ”suojella yksilön oikeuksia ja vapauksia”. Tämän vuoksi niillä on valtuudet ”valvoa” (111) prefektuurin poliisin kaikkia tutkintatoimia, myös henkilötietojen keräämistä. Erityisesti komiteat ”voivat tarvittaessa ohjata prefektuurin poliisia yksityiskohtaisesti tai erityisissä yksittäistapauksissa, jotka koskevat poliisin henkilöstön väärinkäytöksiä.” (112) Kun prefektuurin poliisin päällikkö (113) saa kyseistä ohjausta tai saa itse tietoonsa mahdollisen väärinkäytöksen (mukaan lukien lakien rikkominen tai muu velvollisuuksien laiminlyönti), päällikön on välittömästi tutkittava tapaus ja raportoitava tutkimuksensa tuloksista prefektuurin yleisen turvallisuuden komitealle (poliisilain 56 §:n 3 momentti). Yleisen turvallisuuden komitea voi myös nimetä yhden jäsenistään tarkastelemaan täytäntöönpanon tilaa, jos se pitää tätä tarpeellisena. Prosessia jatketaan siihen asti kunnes prefektuurin yleisen turvallisuuden komitea on vakuuttunut siitä, että tilanteeseen on puututtu asianmukaisesti.

(136)

Lisäksi toimivaltaisella ministerillä tai viraston päälliköllä (kuten kansallisen poliisiviraston ylijohtajalla) on hallintoelinten hallussa olevien henkilötietojen suojasta annetun lain asianmukaisen soveltamisen osalta täytäntöönpanovalta, jota valvoo sisä- ja viestintäministeriö. Hallintoelinten hallussa olevien henkilötietojen suojasta annetun lain 49 §:n mukaisesti sisä- ja viestintäministeriö ”voi kerätä tämän lain täytäntöönpanon tilaa koskevia raportteja” hallintoelimien päälliköiltä (ministereiltä). Valvonnan tukena ovat myös sisä- ja viestintäministeriön 51 ”kattavaa tietokeskusta” (yksi Japanin kussakin prefektuurissa), jotka käsittelevät vuosittain tuhansia tiedusteluja (114) (jotka puolestaan voivat paljastaa mahdollisia lain rikkomisia). Sisä- ja viestintäministeriö voi pyytää selityksiä ja todistusaineistoja, jos se katsoo tämän olevan tarpeen sen varmistamiseksi, että lakia noudatetaan, ja antaa lausuntoja, jotka koskevat asianomaisen hallintoelimen suorittamaa henkilökohtaisten tietojen käsittelyä (hallintoelinten hallussa olevien henkilökohtaisten tietojen suojasta annetun lain 50 ja 51 §).

(137)

Sen lisäksi, että valvontaa harjoitetaan viran puolesta, henkilöillä on myös useita mahdollisuuksia saada yksilöllistä hyvitystä sekä riippumattomilta viranomaisilta (kuten prefektuurin yleisen turvallisuuden komiteat tai henkilötietosuojalautakunta) että Japanin tuomioistuimilta.

(138)

Ensinnäkin hallintoelimillä on keräämiensä henkilökohtaisten tietojen osalta velvollisuus ”pyrkiä käsittelemään asianmukaisesti ja nopeasti kaikki valitukset”, jotka koskevat niiden suorittamaa myöhempää henkilökohtaisten tietojen käsittelyä (hallintoelinten hallussa olevien henkilökohtaisten tietojen suojasta annetun lain 48 §). Vaikka hallintoelinten hallussa olevien henkilökohtaisten tietojen suojasta annetun lain IV lukua henkilöiden oikeuksista ei sovelleta henkilökohtaisiin tietoihin, jotka on kirjattu ”oikeudenkäyntejä ja takavarikoituja tavaroita koskeviin asiakirjoihin” (rikosprosessilain 53 §:n 2 momentin 2 kohta) (kattaa osana rikostutkintaa kerätyt henkilökohtaiset tiedot), henkilöt voivat tehdä valituksen vetoamalla yleisiin tietosuojaperiaatteisiin kuten velvollisuuteen säilyttää henkilökohtaiset tiedot ainoastaan ”silloin, kun säilyttäminen on tarpeen [lainvalvontaan liittyvien tehtävien] suorittamiseksi” (hallintoelinten hallussa olevien henkilökohtaisten tietojen suojasta annetun lain 3 §:n 1 momentti).

(139)

Lisäksi poliisilain 79 §:ssä taataan, että henkilöillä, jotka ovat huolissaan siitä, miten poliisihenkilöstö ”suorittaa tehtäviään”, on oikeus tehdä valitus (toimivaltaiselle) riippumattomalle prefektuurin yleisen turvallisuuden komitealle. Yleisen turvallisuuden komitea käsittelee tällaiset valitukset ”tarkoin” lakien ja paikallisten määräysten mukaisesti ja ilmoittaa tuloksista valituksen tekijälle kirjallisesti. Yleisen turvallisuuden komitea voi pyytää prefektuurin poliisia tutkimaan tosiseikkoja, toteuttamaan asianmukaisia toimenpiteitä tämän tutkimuksen tulosten perusteella ja raportoimaan tuloksista. Tämä perustuu toimivaltaan, joka komitealla on prefektuurin poliisin valvomiseksi ja ohjaamiseksi ”henkilöstön väärinkäytösten” osalta (poliisilain 38 §:n 3 momentti ja 43 §:n 2 momentin 1 kohta). Jos se katsoo, että poliisin toteuttama tutkimus ei ole ollut asianmukainen, yleisen turvallisuuden komitea voi myös antaa ohjeita valituksen käsittelystä.

(140)

Valitusten käsittelyn helpottamiseksi kansallinen poliisivirasto antoi poliisille ja prefektuurien yleisen turvallisuuden komiteoille ”tiedonannon” siitä, miten käsitellä asianmukaisesti poliisityöhön liittyviä valituksia. Kyseisessä asiakirjassa kansallinen poliisivirasto määrittää normit poliisilain 79 §:n tulkinnalle ja täytäntöönpanolle. Siinä edellytetään muun muassa, että prefektuurin poliisi perustaa ”valitusten käsittelyjärjestelmän” ja käsittelee kaikki valitukset sekä raportoi niistä ”nopeasti” toimivaltaiselle prefektuurin yleisen turvallisuuden komitealle. Tiedonannossa valitukset määritellään vaatimuksiksi, joilla haetaan oikaisua ”sellaisen erityisen haitan johdosta, joka on aiheutunut laittoman tai epäasianmukaisen käytöksen vuoksi” (115), tai ”sen vuoksi, että poliisiviranomainen ei ole ryhtynyt tarvittaviin toimiin hoitaessaan tehtäviään” (116), tai ”sellaisten valituksen- tai tyytymättömyydenaiheiden vuoksi, jotka liittyvät poliisiviranomaisen epäasianmukaiseen tapaan hoitaa tehtäviään”. Valituksen aineellinen soveltamisala on siten määritelty laajasti, ja se kattaa kaikki lainvastaista tietojenkeruuta koskevat vaatimukset. Valituksen tekijän ei tarvitse osoittaa kärsineensä vahinkoa poliisiviranomaisen toimesta. Tiedonannossa todetaan erityisesti, että ulkomaalaisille (ja muille) on annettava apua valituksen laatimisessa. Valituksen vastaanottamisen jälkeen prefektuurin yleisen turvallisuuden komiteoiden on varmistettava, että prefektuurin poliisi tutkii tosiseikat, toteuttaa toimenpiteitä ”tutkimuksen tulosten mukaisesti” ja raportoi tuloksista. Jos yleisen turvallisuuden komitea katsoo, että tutkimus on riittämätön, sen on annettava valituksen käsittelyä koskeva ohjeistus, jota prefektuurin poliisin on noudatettava. Saatujen raporttien ja toteutettujen toimenpiteiden perusteella yleisen turvallisuuden komitea ilmoittaa asianomaiselle muun muassa valituksen johdosta toteutetuista toimenpiteistä. Kansallisen poliisiviraston tiedonannossa korostetaan, että valituksia olisi käsiteltävä ”vilpittömästi” ja että tuloksista olisi ilmoitettava ”sen ajan kuluessa […], joka katsotaan asianmukaiseksi sosiaalisten normien ja arkipäättelyn perusteella.”

(141)

Koska oikeussuojaa on luonnollisesti haettava ulkomaisesta järjestelmästä ja vieraalla kielellä, Japanin hallitus on käyttänyt valtuuksiaan ja luonut tämän alan valitusten käsittelyä ja ratkaisemista varten erityisjärjestelmän, jota henkilötietosuojalautakunta hallinnoi ja valvoo. Näin voidaan helpottaa sellaisten EU:n kansalaisten oikeussuojan saantia, joiden henkilötietoja siirretään Japanissa toimiville toiminnanharjoittajille ja sen jälkeen viranomaisten tarkasteltaviksi. Järjestelmä perustuu henkilökohtaisten tietojen suojasta annetussa laissa Japanin viranomaisille määrättyyn yhteistyövelvoitteeseen ja henkilötietosuojalautakunnan erityisrooliin siltä osin, kun on kyse henkilökohtaisten tietojen suojasta annetun lain 6 §:n mukaisista kansainvälisistä tiedonsiirroista kolmansista maista ja peruspolitiikasta (sellaisena kuin Japanin hallitus on sen vahvistanut määräyksellään). Tämän järjestelmän yksityiskohdat esitetään Japanin valtioneuvostolta saaduissa virallisissa lausunnoissa, vakuutuksissa ja sitoumuksissa, jotka ovat tämän päätöksen liitteenä II. Järjestelmään ei sovelleta mitään pysyvää vaatimusta, ja siihen voi liittyä kuka tahansa riippumatta siitä, epäilläänkö tai syytetäänkö häntä rikoksesta.

(142)

Järjestelyn mukaisesti henkilö, joka epäilee, että Japanin viranomaiset (mukaan lukien rikoslain valvonnasta vastaavat viranomaiset) ovat keränneet tai käyttäneet hänen Euroopan unionista siirrettyjä tietojaan sääntöjen vastaisesti, voivat jättää valituksen henkilötietosuojalautakunnalle (henkilökohtaisesti tai yleisen tietosuoja-asetuksen 51 artiklassa tarkoitetun tietosuojaviranomaisensa kautta). Henkilötietosuojalautakunnalla on velvollisuus käsitellä valitus ja ilmoittaa siitä ensimmäisessä vaiheessa toimivaltaisille viranomaisille, mukaan lukien asiaankuuluvat valvontaelimet. Kyseisten viranomaisten on toimittava yhteistyössä henkilötietosuojalautakunnan kanssa ”muun muassa toimittamalla tarvittavat tiedot ja asiaankuuluvan aineiston, jotta henkilötietosuojalautakunta voi arvioida, onko henkilökohtaisten tietojen keruu tai myöhempi käyttö tapahtunut sääntöjen mukaisesti.” (117) Tämä velvoite johtuu henkilökohtaisten tietojen suojasta annetun lain 80 §:stä, jossa Japanin viranomaiset velvoitetaan toimimaan yhteistyössä henkilötietosuojalautakunnan kanssa. Sitä sovelletaan yleisesti, ja se koskee siten kaikkien kyseisten viranomaisten suorittamien tutkintatoimien tarkastelua. Viranomaiset ovat lisäksi sitoutuneet yhteistyöhön toimivaltaisten ministeriöiden ja virastojen päälliköiden kirjallisilla vakuutuksilla, kuten liitteessä II esitetään.

(143)

Jos arvioinnista käy ilmi, että sovellettavia sääntöjä on rikottu, ”viranomaisten yhteistyö henkilötietosuojalautakunnan kanssa sisältää velvollisuuden korjata rikkomus”, mikä henkilökohtaisten tietojen laittoman keruun tapauksessa kattaa kyseisten tietojen poistamisen. Tämä velvoite toteutetaan henkilötietosuojalautakunnan valvonnassa, ja lautakunta ”vahvistaa ennen arvioinnin päätökseen saattamista, että rikkominen on täysin korjattu”.

(144)

Kun arviointi on saatu päätökseen, henkilötietosuojalautakunta ilmoittaa asianomaiselle henkilölle kohtuullisen ajan kuluessa arvioinnin tuloksesta ja tarvittaessa korjaavista toimista. Samaan aikaan henkilötietosuojalautakunta ilmoittaa asianomaiselle myös mahdollisuudesta saada vahvistus tuloksesta toimivaltaiselta viranomaiselta ja ilmoittaa, mille viranomaiselle tällainen vahvistuspyyntö on esitettävä. Mahdollisuus saada tällainen vahvistus, mukaan lukien toimivaltaisen viranomaisen päätöksen taustalla olevat perustelut, voi auttaa asianomaista, kun hän ryhtyy esimerkiksi hakemaan oikeussuojaa. Arvioinnin tuloksia koskevien yksityiskohtaisten tietojen luovuttamista voidaan rajoittaa niin kauan kuin on perusteltua syytä katsoa, että tällaisten tietojen antaminen todennäköisesti aiheuttaa riskin käynnissä olevalle tutkimukselle.

(145)

Kolmanneksi henkilö, joka vastustaa tuomarin antamaa päätöstä takavarikoida (takavarikkomääräys) (118) hänen henkilötietojaan, tai poliisin tai syyttäjälaitoksen toimenpiteitä kyseistä päätöstä täytäntöönpantaessa, voi esittää pyynnön kumota tai muuttaa kyseisen päätöksen tai kyseiset toimenpiteet (rikosprosessilain 429 §:n 1 momentti, 430 §:n 1 ja 2 momentti ja salakuuntelulain 26 §) (119). Jos muutoksenhakutuomioistuin katsoo, että joko takavarikkomääräys tai sen täytäntöönpano (”takavarikkomenettely”) on laiton, se hyväksyy pyynnön ja määrää takavarikoinnin kohteen palautettavaksi (120).

(146)

Neljänneksi välillisempi oikeudellisen valvonnan muoto on se, että henkilö, joka katsoo, että hänen henkilökohtaisten tietojensa kerääminen osana rikostutkintaa oli lainvastaista, voi rikosoikeudenkäyntinsä aikana vedota tähän lainvastaisuuteen. Jos tuomioistuin hyväksyy tämän, se voi johtaa näytön hylkäämiseen.

(147)

Lopuksi valtion oikeussuojakeinoja koskevan lain 1 §:n 1 momentin mukaisesti tuomioistuin voi myöntää korvausta, jos valtion viranomainen on tehtävissään lainvastaisesti ja virheellisesti (tahallisesti tai tuottamuksellisesti) aiheuttanut asianomaiselle vahinkoa. Valtion oikeussuojakeinoja koskevan lain 4 §:n mukaisesti valtion vahingonkorvausvastuu perustuu siviililain säännöksiin. Siviililain 710 §:ssä säädetään tältä osin, että vastuu kattaa myös muut kuin omaisuuteen liittyvät vahingot eli näin ollen myös henkiset vahingot (esimerkiksi ”henkinen kärsimys”). Tähän sisältyvät tapaukset, joissa henkilön yksityisyyteen on puututtu laittoman valvonnan kautta ja/tai keräämällä hänen henkilökohtaisia tietojaan (esim. tuomioistuimen määräyksen lainvastainen täytäntöönpano) (121).

(148)

Rahallisten korvausten lisäksi yksityishenkilöt voivat tietyin edellytyksin esittää kieltovaatimuksia (esim. viranomaisten keräämien henkilötietojen poistaminen) perustuslain 13 §:n mukaisten yksityisyydensuojaoikeuksiensa nojalla (122).

(149)

Ottaen huomioon kaikki mainitut oikeussuojakeinot henkilö, joka on yhä tyytymätön menettelyn tulokseen, voi Japanin valtioneuvoston perustaman riitojenratkaisumekanismin mukaisesti ilmoittaa asiasta henkilötietosuojalautakunnalle, joka ”antaa asianomaiselle tietoja eri mahdollisuuksista ja yksityiskohtaisista menettelyistä oikeussuojakeinojen hakemiseksi Japanin lakien ja määräysten mukaisesti.” Lisäksi ”henkilötietosuojalautakunta tukee asianomaista, mukaan lukien neuvomalla ja avustamalla asian saattamisessa asiaankuuluvan hallinnollisen tai oikeudellisen elimen jatkokäsittelyyn.”

(150)

Tähän kuuluu prosessuaalisten oikeuksien hyödyntäminen rikosprosessilain mukaisesti. Esimerkiksi ”jos arvioinnissa ilmenee, että henkilö on rikoksesta epäilty, henkilötietosuojalautakunta ilmoittaa hänelle tästä asiasta” (123) sekä rikosprosessilain 259 §:n mukaisesta mahdollisuudesta pyytää, että syyttäjä ilmoittaa hänelle, kun se on päättänyt olla aloittamatta rikosoikeudenkäyntiä. Jos arviointi osoittaa myös, että asianomaisen henkilökohtaisia tietoja sisältävän asian käsittely on aloitettu ja saatettu päätökseen, henkilötietosuojalautakunta ilmoittaa asianomaiselle, että asiaa koskevia asiakirjoja voi tarkastella rikosprosessilain 53 §:n mukaisesti (ja lopullisia rikostapauksia koskevista rekistereistä annetun lain 4 §:n mukaisesti). Pääsy omaa tapausta koskeviin asiakirjoihin on tärkeää, sillä se auttaa asianomaista ymmärtämään paremmin häntä vastaan aloitettua tutkintaa ja valmistelemaan häntä näin mahdollisen kanteen (esim. vahingonkorvauskanteen) esittämiseen, jos asianomainen katsoo, että hänen tietojaan on kerätty tai käytetty lainvastaisesti.

(151)

Japanin viranomaisten mukaan Japanissa ei ole lainsäädäntöä, joka sallisi pakolliset tietopyynnöt tai ”hallinnollisen salakuuntelun” muualla kuin rikostutkinnassa. Kansalliseen turvallisuuteen liittyvistä syistä tietoja voidaan siten hankkia vain tietolähteestä, joka on kaikkien vapaasti käytettävissä, tai vapaaehtoisella ilmoituksella. Toiminnanharjoittajat, jotka vastaanottavat vapaaehtoista yhteistyötä koskevan pyynnön (sähköisessä muodossa annettavista tiedoista) eivät lain mukaan ole velvollisia antamaan kyseisiä tietoja (124).

(152)

Lisäksi saatujen tietojen mukaan kansallisista turvallisuussyistä vain seuraavalla neljällä valtion laitoksella on valtuudet kerätä Japanin toiminnanharjoittajien hallussa olevia sähköisiä tietoja: i) hallituksen tieto- ja tutkimusvirasto; ii) puolustusministeriö; iii) poliisiviranomaiset (sekä kansallinen poliisivirasto (125) että prefektuurin poliisi); ja iv) yleisten turvallisuus- ja tiedusteluasioiden virasto. Hallituksen tieto- ja tutkimusvirasto ei kuitenkaan koskaan kerää tietoja toiminnanharjoittajilta suoraan esimerkiksi viestintätietoja kuuntelemalla. Kun se saa tietoja muilta viranomaisilta, jotta se voi tehdä hallitukselle toimitettavan analyysin, kyseisten muiden viranomaisten on puolestaan noudatettava lakia ja myös tässä päätöksessä tarkasteltuja rajoituksia ja suojatoimia. Sen toiminnalla ei siis ole merkitystä siirron yhteydessä.

(153)

Saatujen tietojen mukaan puolustusministeriö kerää (sähköisiä) tietoja puolustusministeriön perustamisesta annetun lain nojalla. Lain 3 §:n mukaan puolustusministeriön tehtävä on hallinnoida ja johtaa asevoimia ja ”suorittaa siihen liittyviä tehtäviä kansallisen rauhan ja maan itsenäisyyden sekä kansakunnan turvallisuuden takaamiseksi.” Lain 4 §:n 4 momentissa säädetään, että puolustusministeriöllä on toimivalta ”puolustuksen ja suojelun osalta” sekä itsepuolustusvoimien toteuttamien toimien ja asevoimien käytön suhteen, mukaan lukien kyseisten toimien toteuttamiseksi tarvittavien tietojen kerääminen. Sillä on valtuudet kerätä ainoastaan (sähköisiä) tietoja toiminnanharjoittajilta vapaaehtoisen yhteistyön kautta.

(154)

Prefektuurin poliisin velvollisuuksiin ja tehtäviin kuuluu ”yleisen turvallisuuden ja järjestyksen ylläpitäminen” (poliisilain 35 §:n 2 momentti yhdessä 2 §:n 1 momentin kanssa). Toimivallan rajoissa poliisi voi kerätä tietoja ainoastaan vapaaehtoisuuden pohjalta ilman pakkokeinoja. Lisäksi poliisin toiminta on ”tiukasti rajattu” siihen, mikä on tarpeen sen tehtävien hoitamiseksi. Poliisin toiminnan on myös oltava ”puolueetonta, oikeudenmukaista ja siihen ei saa liittyä ennakkoasenteita”. Poliisi ei saa koskaan käyttää valtaansa väärin ”tavalla, joka on ristiriidassa Japanin perustuslaissa taattujen yksilön oikeuksien ja vapauksien kanssa” (poliisilain 2 §).

(155)

Lisäksi yleisten turvallisuus- ja tiedusteluasioiden virasto voi suorittaa tutkintaa kumouksellisen toiminnan ehkäisemisestä annetun lain ja joukkomurhia toteuttaneiden järjestöjen valvonnasta annetun lain nojalla, jos tutkinta on välttämätöntä valvontatoimien valmistelemiseksi tiettyjä järjestöjä vastaan (126). Yleisten turvallisuus- ja tiedusteluasioiden viraston pääjohtajan pyynnöstä yleistä turvallisuutta käsittelevä tutkintakomissio voi molempien lakien nojalla antaa tiettyjä ”määräyksiä” (jotka koskevat valvontaa/kieltoja joukkomurhia toteuttaneiden järjestöjen valvonnasta annetun lain nojalla (127) ja lakkauttamisia/kieltoja kumouksellisen toiminnan ehkäisemisestä annetun lain nojalla (128)). Tässä yhteydessä yleisten turvallisuus- ja tiedusteluasioiden virasto voi suorittaa tutkimuksia (129). Saatujen tietojen mukaan kyseiset tutkimukset suoritetaan aina vapaaehtoisesti, mikä tarkoittaa sitä, että yleisten turvallisuus- ja tiedusteluasioiden virasto ei saa pakottaa henkilökohtaisten tietojen haltijaa antamaan tällaisia tietoja (130). Kaikki valvonta- ja tutkimustoimet rajoitetaan vain välttämättömimpään valvonnan tavoitteen saavuttamiseksi. Niillä ei missään olosuhteissa rajoiteta ”perusteettomasti” Japanin perustuslaissa taattuja oikeuksia ja vapauksia (kumouksellisen toiminnan ehkäisemisestä annetun lain / joukkomurhia toteuttaneiden järjestöjen valvonnasta annetun lain 3 §:n 1 momentti). Lisäksi kumouksellisen toiminnan ehkäisemisestä annetun lain / joukkomurhia toteuttaneiden järjestöjen valvonnasta annetun lain 3 §:n 2 momentin mukaisesti yleisten turvallisuus- ja tiedusteluasioiden virasto ei saa missään olosuhteissa käyttää väärin tällaista valvontaa tai tällaisen valvonnan valmistelua koskevia tutkimuksia. Jos yleisiä turvallisuus- ja tiedusteluasioita käsittelevä viranomainen on käyttänyt asianomaisen lain nojalla hänelle annettua valtaa väärin ja pakottanut henkilön tekemään jotain, mitä hänen ei edellytetä tekevän, tai on puuttunut henkilön oikeuksiin, kyseiselle viranomaiselle voidaan määrätä rikosoikeudellisia seuraamuksia kumouksellisen toiminnan ehkäisemisestä annetun lain 45 §:n tai joukkomurhia toteuttaneiden järjestöjen valvonnasta annetun lain 42 §:n nojalla. Lisäksi molemmissa laeissa nimenomaisesti säädetään, että niiden määräyksiin ja niissä myönnettyihin valtuuksiin ”ei saa missään olosuhteissa soveltaa laajentavaa tulkintaa” (kumouksellisen toiminnan ehkäisemisestä annetun lain / joukkomurhia toteuttaneiden järjestöjen valvonnasta annetun lain 2 §).

(156)

Kaikissa tapauksissa, jotka koskevat valtion pääsyä tietoihin tässä jaksossa kuvatuista kansallisista turvallisuuteen liittyvistä syistä, sovelletaan Japanin korkeimman oikeuden määräämiä vapaaehtoisia tutkimuksia koskevia rajoituksia. Tämä tarkoittaa sitä, että (sähköisten) tietojen keruun on oltava välttämättömyyden ja suhteellisuuden periaatteiden mukaisia (”asianmukainen menetelmä”) (131). Kuten Japanin viranomaiset ovat nimenomaisesti vahvistaneet, ”tietoja kerätään ja käsitellään vain siinä määrin kuin on tarpeen toimivaltaisen viranomaisen erityisten tehtävien hoitamiseksi sekä erityisten uhkien perusteella”. Sen vuoksi ”henkilökohtaisia tietoja ei kerätä eikä niihin ole pääsyä laajamittaisesti eikä kohdentamattomasti sellaisista syistä, jotka liittyvät kansalliseen turvallisuuteen” (132).

(157)

Viranomaisten kansalliseen turvallisuuteen liittyvistä syistä keräämät henkilökohtaiset tiedot suojataan hallintoelinten hallussa olevien henkilökohtaisten tietojen suojasta annetun lain mukaisesti niiden säilytyksen, käytön ja luovuttamisen osalta (ks. johdanto-osan 118 kappale).

(158)

Kansalliseen turvallisuuteen liittyvistä syistä tapahtuvaan henkilökohtaisten tietojen keräämiseen sovelletaan monenlaista valvontaa kolmella hallinnonhaaralla.

(159)

Ensinnäkin Japanin parlamentti voi erityiskomiteoidensa kautta tarkastella tutkimusten lainmukaisuutta parlamentaarista valvontaa koskevien valtuuksiensa perusteella (perustuslain 62 § ja parlamenttia koskevan lain 104 §; ks. johdanto-osan 134 kappale). Tätä valvontatehtävää tuetaan erityisillä raportointivelvoitteilla, jotka koskevat joidenkin edellä mainittujen oikeusperustojen mukaisesti toteutettuja toimia (133).

(160)

Toiseksi toimeenpanohaarassa on olemassa useita valvontamekanismeja.

(161)

Puolustusministeriön osalta valvontaa harjoittaa ministeriön tarkastusyksikkö (134). Tämä puolustusministeriön organisaatioon kuuluva yksikkö perustettiin puolustusministeriön perustamisesta annetun lain 29 §:n nojalla, ja sitä valvoo puolustusministeri (jolle se raportoi). Yksikkö on riippumaton puolustusministeriön operatiivisista yksiköistä. Tarkastusyksikön tehtävänä on varmistaa lakien ja määräysten noudattaminen sekä se, että puolustusministeriön virkamiehet hoitavat tehtävänsä asianmukaisesti. Sen valtuuksiin kuuluu ns. ”puolustustarkastusten” tekeminen sekä säännöllisin väliajoin (”säännölliset puolustustarkastukset”) että yksittäisissä tapauksissa (”erityiset puolustustarkastukset”). Tarkastukset ovat aiemmin kattaneet myös henkilökohtaisten tietojen käsittelyn (135). Tällaisten tarkastusten yhteydessä tarkastusyksikön virkamiehet voivat tulla paikan päälle (toimistoihin) ja pyytää toimittamaan asiakirjoja tai tietoja sekä myös selvityksiä puolustusministeriön apulaisvaraministeriltä. Tarkastuksesta tehdään puolustusministerille osoitettu raportti, jossa esitetään päätelmät ja parannustoimenpiteet (joiden täytäntöönpano voidaan varmistaa uusilla tarkastuksilla). Raportti muodostaa puolestaan perustan puolustusministerin ohjeille panna täytäntöön toimenpiteitä tilanteen korjaamiseksi. Apulaisvaraministeri vastaa kyseisten toimenpiteiden toteuttamisesta ja hänen on raportoitava jatkotoimista.

(162)

Prefektuurin poliisin osalta valvonnasta vastaavat riippumattomat prefektuurin yleisen turvallisuuden komiteat, kuten rikoslain valvontaa koskevassa johdanto-osan 135 kappaleessa selitetään.

(163)

Kuten on todettu, yleisten turvallisuus- ja tiedusteluasioiden virasto voi suorittaa tutkimuksia vain siinä määrin kuin se on tarpeen kieltoa, lakkauttamista tai seurantaa koskevan määräyksen hyväksymiseksi kumouksellisen toiminnan ehkäisemisestä annetun lain / joukkomurhia toteuttaneiden järjestöjen valvonnasta annetun lain nojalla. Näiden määräysten osalta riippumaton (136) yleistä turvallisuutta käsittelevä tutkintakomissio suorittaa ennakkovalvontaa. Lisäksi erityisesti nimetyt tarkastajat suorittavat säännöllisesti/määräajoin tarkastuksia (joissa tarkastellaan kattavasti yleisten turvallisuus- ja tiedusteluasioiden viraston toimintaa) (137) ja erityisiä sisäisiä tarkastuksia (138) yksittäisten osastojen tai toimistojen toiminnan osalta. Tarkastusten perusteella voidaan asianomaisten osastojen päälliköille antaa ohjeita korjaavien tai parannustoimenpiteiden toteuttamiseksi.

(164)

Näitä valvontamekanismeja tehostaa vielä se, että henkilöillä on mahdollisuus käynnistää riippumattomana valvontaviranomaisena toimivan henkilötietosuojalautakunnan väliintulo (ks. jäljempänä 168 kohta). Valvontamekanismit antavat riittävät takeet sen varalta, että Japanin viranomaiset käyttävät väärin toimivaltuuksiaan kansallisen turvallisuuden alalla, ja kaikenlaisen lainvastaisen sähköisten tietojen keräämisen varalta.

(165)

Yksilöllisten oikeussuojakeinojen osalta sovelletaan sääntöä, jonka mukaan hallintoelimillä on keräämiensä ja ”säilyttämiensä” henkilökohtaisten tietojen osalta velvollisuus ”pyrkiä käsittelemään asianmukaisesti ja nopeasti kaikki henkilökohtaisten tietojen käsittelyä koskevat valitukset” (hallintoelinten hallussa olevien henkilökohtaisten tietojen suojasta annetun lain 48 §).

(166)

Toisin kuin rikostutkinnassa, henkilöt (ulkomailla asuvat ulkomaalaiset mukaan lukien) ovat periaatteessa oikeutettuja tutustumaan itseään koskeviin tietoihin (139) sekä korjaamaan (myös poistamaan) henkilökohtaisia tietoja ja keskeyttämään niiden käytön/toimittamisen hallintoelinten hallussa olevien henkilökohtaisten tietojen suojasta annetun lain nojalla. Hallintoelimen päällikkö voi kuitenkin kieltäytyä luovuttamasta tietoja, ”joiden osalta on olemassa perusteltuja syitä olettaa, että niiden luovuttaminen todennäköisesti vaarantaa kansallisen turvallisuuden” (hallintoelinten hallussa olevien henkilökohtaisten tietojen suojasta annetun lain 14 §:n iv momentti). Hallintoelimen päällikkö voi jopa tehdä niin paljastamatta kyseisen tiedon olemassaoloa (hallintoelinten hallussa olevien henkilökohtaisten tietojen suojasta annetun lain 17 §). Vaikka henkilö voi pyytää tietojen käytön keskeyttämistä tai tietojen poistamista hallintoelinten hallussa olevien henkilökohtaisten tietojen suojasta annetun lain 36 §:n 1 momentin i kohdan mukaisesti, jos hallintoelin on saanut tiedot lainvastaisesti tai säilyttää/käyttää niitä suuremmassa määrin kuin on tarpeen määritellyn tavoitteen saavuttamiseksi, viranomainen voi hylätä pyynnön, jos sen mielestä käytön keskeyttäminen ”on omiaan estämään niiden toimien asianmukaisen toteuttamisen, jotka luonteensa vuoksi liittyvät säilytettyjen henkilökohtaisten tietojen käyttötarkoitukseen” (hallintoelinten hallussa olevien henkilökohtaisten tietojen suojasta annetun lain 38 §). Jos on mahdollista helposti erottaa ja jättää pois osat, joihin sovelletaan poikkeusta, hallintoelimien on kuitenkin sallittava ainakin tietojen osittainen luovuttaminen (ks. esim. hallintoelinten hallussa olevien henkilökohtaisten tietojen suojasta annetun lain 15 §:n 1 momentti) (140).

(167)

Hallintoelimen on joka tapauksessa tehtävä kirjallinen päätös tietyn ajan kuluessa (30 päivää, jota tietyin edellytyksin voidaan jatkaa vielä 30 päivällä). Jos pyyntö hylätään, myönnetään vain osittain tai jos henkilö muista syistä pitää hallintoelimen toimintaa ”lainvastaisena tai epäoikeudenmukaisena”, henkilö voi pyytää asiansa uudelleentarkastelua hallinnollista muutoksenhakua koskevan lain perusteella (141). Siinä tapauksessa muutoksenhausta päättävän hallintoelimen päällikön on kuultava tietojen luovuttamisesta ja henkilökohtaisten tietojen suojasta vastaavaa tarkastuslautakuntaa (hallintoelinten hallussa olevien henkilökohtaisten tietojen suojasta annetun lain 42 ja 43 §). Kyseinen tarkastuslautakunta on erityinen riippumaton lautakunta, jonka jäsenet nimittää pääministeri parlamentin molempien kamareiden suostumuksella. Saatujen tietojen perusteella tarkastuslautakunta voi suorittaa tarkastuksen (142) ja pyytää tältä osin hallintoelintä antamaan säilytetyt henkilökohtaiset tiedot, mukaan lukien turvallisuusluokitellun sisällön, sekä lisätietoja ja -asiakirjoja. Vaikka kantelijalle sekä hallintoelimelle lähetetty lopullinen raportti, joka julkaistaan, ei ole oikeudellisesti sitova, sitä noudatetaan melkein kaikissa tapauksissa (143). Henkilöllä on lisäksi mahdollisuus riitauttaa muutoksenhakua koskeva päätös tuomioistuimessa oikeudenkäynnistä hallintoasioissa annetun lain perusteella. Näin kansalliseen turvallisuuteen liittyvien poikkeuksien käyttö saadaan tuomioistuinvalvonnan piiriin, myös sen osalta, onko tällaista poikkeusta käytetty väärin tai onko se vielä perusteltavissa.

(168)

Jotta edellä mainittujen, hallintoelinten hallussa olevien henkilökohtaisten tietojen suojasta annetun lain mukaisten oikeuksien toteuttamista voidaan helpottaa, sisä- ja viestintäministeriö on perustanut 51 ”kattavaa tietokeskusta”, jotka tarjoavat koonnettuja tietoja näistä oikeuksista, sovellettavista menettelyistä pyynnön tekemiseksi ja mahdollisista oikeussuojakeinoista (144). Hallintoelinten on toimitettava ”tietoja, jotka osaltaan täsmentävät säilytettäviä henkilökohtaisia tietoja” (145), ja toteutettava ”muita riittäviä toimenpiteitä pyynnön tekevän henkilön työn helpottamiseksi” (hallintoelinten hallussa olevien henkilökohtaisten tietojen suojasta annetun lain 47 §:n 1 momentti).

(169)

Samoin kuin rikoslain valvonnan alalla suoritettujen tutkimusten osalta myös kansallisen turvallisuuden alalla henkilöt voivat käyttää yksilöllisiä oikeussuojakeinoja ottamalla yhteyttä suoraan henkilötietosuojalautakuntaan. Tämä käynnistää erityisen riitojenratkaisumenettelyn, jonka Japanin hallitus on perustanut niille EU:n kansalaisille, joiden henkilötietoja siirretään tämän päätöksen mukaisesti (ks. yksityiskohtaiset selitykset johdanto-osan 141–144 ja 149 kappaleessa).

(170)

Lisäksi henkilöt voivat hakea tuomioistuimelta muutosta vahingonkorvauksen muodossa valtion oikeussuojakeinoja koskevan lain mukaisesti. Laki kattaa myös henkiset vahingot ja tietyin edellytyksin kerättyjen tietojen poistamisen (ks. johdanto-osan 147 kappale).

(171)

Komissio katsoo, että henkilökohtaisten tietojen suojasta annettu laki sellaisena kuin se on täydennettynä liitteessä I olevilla täydentävillä säännöillä, yhdessä liitteessä II olevien virallisten lausuntojen, vakuutusten ja sitoumusten kanssa varmistaa Euroopan unionista siirrettyjen henkilötietojen suojan tason, joka vastaa olennaisilta osiltaan asetuksessa (EU) 2016/679 taattua suojan tasoa.

(172)

Lisäksi komissio katsoo, että Japanin lainsäädäntöön sisältyvät valvontamekanismit ja oikeussuojakeinot kokonaisuutena mahdollistavat sen, että henkilökohtaisia tietoja käsittelevän toiminnanharjoittajan tekemät rikkomukset voidaan tunnistaa ja niistä voidaan käytännössä antaa rangaistus. Ne tarjoavat myös rekisteröidylle oikeussuojakeinoja, jotta hän voi tutustua itseään koskeviin henkilötietoihin ja korjata tai poistaa kyseiset tiedot.

(173)

Japanin oikeusjärjestystä koskevien käytettävissä olevien tietojen perusteella, mukaan lukien liitteessä II esitetyt Japanin valtioneuvoston lausunnot, vakuutukset ja sitoumukset, komissio katsoo, että Japanin viranomaisten puuttuminen erityisesti rikoslain valvontaan ja kansalliseen turvallisuuteen liittyvissä tarkoituksissa niiden yksilöiden perusoikeuksiin, joiden henkilötietoja siirretään Euroopan unionista Japaniin, tulee rajatuksi siihen, mikä on ehdottoman välttämätöntä kyseessä olevan lainmukaisen tavoitteen saavuttamiseksi, ja että tällaista puuttumista vastaan on olemassa tehokas oikeussuoja.

(174)

Sen vuoksi komissio katsoo tämän päätöksen päätelmien perusteella, että Japani takaa riittävän tietosuojan tason henkilötiedoille, jotka siirretään Euroopan unionista Japanissa toimiville, henkilökohtaisten tietojen suojasta annetun lain soveltamisalaan kuuluville henkilötietoja käsitteleville toiminnanharjoittajille, lukuun ottamatta tapauksia, joissa vastaanottaja kuuluu johonkin henkilökohtaisten tietojen suojasta annetun lain 76 §:n 1 momentissa lueteltuun luokkaan ja käsittelyn tarkoitus kokonaisuudessaan tai osittain vastaa yhtä kyseisessä säännöksessä määriteltyä tarkoitusta.

(175)

Tämän perusteella komissio katsoo, että asetuksen (EU) 2016/679 45 artiklan mukaiset tietosuojan riittävyyttä koskevat vaatimukset, tulkittuna Euroopan unionin perusoikeuskirjan ja erityisesti asiassa Schrems annetun tuomion (146) mukaisesti, täyttyvät.

(176)

Tuomioistuimen oikeuskäytännön (147) mukaisesti ja kuten asetuksen (EU) 2016/679 45 artiklan 4 kohdassa todetaan, komission olisi tietosuojan riittävyyttä koskevan päätöksen hyväksymisen jälkeen jatkuvasti seurattava merkityksellistä kehitystä kolmannessa maassa. Näin komissio voi arvioida sitä, takaako Japani edelleen olennaisesti vastaavan suojan tason. Tällainen tarkastelu on joka tapauksessa tehtävä, kun komissio saa tietoja, jotka aiheuttavat perusteltuja epäilyksiä tältä osin.

(177)

Komission olisi sen vuoksi valvottava jatkuvasti sitä, kuinka henkilötietojen käsittelyä koskeva lainsäädäntökehys ja käytännön toiminta, joita tässä päätöksessä arvioidaan, kehittyvät, sekä sitä noudattavatko Japanin viranomaiset liitteeseen II sisältyviä lausuntoja, vakuutuksia ja sitoumuksia. Prosessin helpottamiseksi Japanin viranomaisten odotetaan ilmoittavan komissiolle kehityksestä, jolla on merkitystä tämän päätöksen kannalta ja joka koskee sitä, miten toiminnanharjoittajat käsittelevät henkilötietoja, ja sitä, mitä rajoituksia ja varotoimia on asetettu viranomaisten pääsylle tietoihin. Tämän olisi katettava kaikki päätökset, jotka henkilötietosuojalautakunta tekee henkilökohtaisten tietojen suojasta annetun lain 24 §:n mukaisesti ja joissa todetaan, että kolmas maa tarjoaa vastaavantasoisen suojan kuin Japani.

(178)

Jotta komissio voisi harjoittaa tehokkaasti valvontatehtäväänsä, jäsenvaltioiden olisi lisäksi ilmoitettava komissiolle kaikista kansallisten tietosuojaviranomaisten toteuttamista asiaankuuluvista toimista, varsinkin siinä tapauksessa, että ne liittyvät EU:n rekisteröityjen esittämiin kysymyksiin tai valituksiin, jotka koskevat henkilötietojen siirtoa Euroopan unionista Japanissa toimiville toiminnanharjoittajille. Komissiolle olisi myös ilmoitettava havainnoista, joiden mukaan rikosten ehkäisystä, tutkinnasta, havaitsemisesta tai rikoksiin liittyvistä syytetoimista tai kansallisesta turvallisuudesta vastaavat Japanin viranomaiset, mukaan lukien valvontaelimet, eivät varmista vaadittua suojan tasoa.

(179)

Jäsenvaltioiden ja niiden elinten on toteutettava tarvittavat toimenpiteet unionin toimielinten säädösten noudattamiseksi, sillä säädösten oletetaan olevan lainmukaisia ja niillä on näin ollen oikeusvaikutuksia siihen saakka, kunnes ne perutaan, kumotaan kumoamiskanteen johdosta tai julistetaan pätemättömiksi ennakkoratkaisupyynnön tai lainvastaisuusväitteen perusteella. Näin ollen asetuksen (EU) 2016/679 45 artiklan 3 kohdan mukainen tietosuojan riittävyyttä koskeva komission päätös sitoo kaikkia elimiä jäsenvaltioissa, joille se on osoitettu, mukaan lukien niiden riippumattomat valvontaviranomaiset. Kuten unionin tuomioistuimen asiassa Schrems antamassa tuomiossa (148) selostetaan ja asetuksen 58 artiklan 5 kohdassa tunnustetaan, jos tietosuojaviranomainen esimerkiksi valituksen käsittelyn yhteydessä asettaa kyseenalaiseksi sen, onko tietosuojan riittävyyttä koskeva komission päätös yksityisyyden suojaa ja tietosuojaa koskevan perusoikeuden mukainen, kansallisessa lainsäädännössä on säädettävä oikeussuojakeinoista, joiden avulla viranomainen voi esittää väitteensä kansallisessa tuomioistuimessa, ja jos asiasta on epäilyksiä, tuomioistuimen on lykättävä asian käsittelyä ja pyydettävä unionin tuomioistuimelta ennakkoratkaisua (149).

(180)

Asetuksen (EU) 2016/679 45 artiklan 3 kohdan mukaisesti (150) ja ottaen huomioon sen, että Japanin oikeusjärjestyksen tarjoaman suojan taso voi muuttua, komission olisi tämän päätöksen hyväksymisen jälkeen säännöllisin väliajoin tarkistettava, ovatko Japanin takaaman suojan tason riittävyyttä koskevat päätelmät edelleen asiasisällöltään ja oikeudellisesti perusteltuja.

(181)

Sen vuoksi tätä päätöstä koskeva tarkastelu olisi tehtävä ensimmäisen kerran kahden vuoden kuluessa sen voimaantulosta. Ensimmäisen tarkastelun jälkeen ja sen tuloksista riippuen komissio päättää tiiviissä yhteistyössä yleisen tietosuoja-asetuksen 93 artiklan 1 kohdan nojalla perustetun komitean kanssa siitä, onko kahden vuoden jakso pidettävä voimassa. Myöhemmät tarkastelut olisi joka tapauksessa suoritettava vähintään joka neljäs vuosi (151). Tarkastelun olisi katettava kaikki tämän päätöksen toimivuuteen liittyvät näkökohdat ja erityisesti täydentävien sääntöjen soveltaminen (erityistä huomiota olisi kiinnitettävä suojatoimiin edelleen siirtämisen yhteydessä), suostumusta koskevien sääntöjen soveltaminen, mukaan lukien suostumuksen peruuttamisen yhteydessä, yksilöllisten oikeuksien käytön tehokkuus sekä viranomaisten pääsyä tietoihin koskevat rajoitukset ja suojatoimet, mukaan lukien tämän päätöksen liitteessä II esitetty oikeussuojamekanismi. Sen olisi katettava myös valvonnan ja täytäntöönpanon tehokkuus sekä henkilökohtaisia tietoja käsitteleviin toiminnanharjoittajiin sovellettavien sääntöjen että rikosoikeuden ja kansallisen turvallisuuden alalla sovellettavien sääntöjen osalta.

(182)

Tarkastelun suorittamiseksi komission olisi järjestettävä henkilötietosuojalautakunnan kanssa kokous, johon osallistuisivat tarvittaessa viranomaisten pääsystä tietoihin vastaavat muut Japanin viranomaiset sekä asiaankuuluvat valvontaelimet. Euroopan tietosuojaneuvoston jäsenten edustajien olisi voitava osallistua kokoukseen. Yhteisen tarkastelun yhteydessä komission olisi pyydettävä henkilötietosuojalautakuntaa antamaan kattavat tiedot kaikista tietosuojan riittävyyttä koskevan päätelmän kannalta merkityksellisistä seikoista, mukaan lukien rajoituksista ja suojatoimista, jotka koskevat viranomaisten pääsyä tietoihin (152). Komission olisi myös pyydettävä selvityksiä kaikista saamistaan tämän päätöksen kannalta merkityksellisistä tiedoista, mukaan lukien Japanin viranomaisten tai muiden Japanissa olevien sidosryhmien, tietosuojaneuvoston, yksittäisten tietosuojaviranomaisten, kansalaisyhteiskunnan ryhmien, tiedotusvälineiden tai muiden saatavilla olevien tietolähteiden julkiset raportit.

(183)

Komission olisi laadittava yhteisen tarkastelun perusteella julkinen raportti, joka toimitetaan Euroopan parlamentille ja neuvostolle.

(184)

Jos komissio toteaa säännöllisten ja tilapäisten tarkastusten tai muiden käytettävissä olevien tietojen perusteella, että Japanin oikeusjärjestyksen tarjoaman suojan tason ei voida enää katsoa olennaisilta osin vastaavan Euroopan unionin tasoa, sen olisi ilmoitettava asiasta Japanin toimivaltaisille viranomaisille ja pyydettävä, että asianmukaiset toimenpiteet toteutetaan tietyn kohtuullisen määräajan puitteissa. Tämä koskee sekä toiminnanharjoittajiin että lainvalvonnasta tai kansallisesta turvallisuudesta vastaaviin Japanin viranomaisiin sovellettavia sääntöjä. Menettely käynnistettäisiin esimerkiksi sellaisissa tapauksissa, joissa edelleen siirtämisissä ei enää sovelleta yleisen tietosuoja-asetuksen 44 artiklassa tarkoitettuja suojan jatkuvuutta varmistavia suojatoimia. Tämä koskee myös siirtämisiä niiden päätösten perusteella, jotka henkilötietosuojalautakunta tekee henkilökohtaisten tietojen suojasta annetun lain 24 §:n mukaisesti ja joissa todetaan, että kolmas maa tarjoaa vastaavantasoisen suojan kuin Japani.

(185)

Jos Japanin toimivaltaiset viranomaiset eivät kyseisen määräajan kuluessa ole osoittaneet tyydyttävästi, että tämän päätöksen perustana on edelleen riittävä suojan taso, komission olisi asetuksen (EU) 2016/679 45 artiklan 5 kohdan mukaisesti aloitettava menettely tämän päätöksen soveltamisen keskeyttämiseksi tai sen kumoamiseksi osittain tai kokonaan. Vaihtoehtoisesti komission olisi aloitettava menettely tämän päätöksen muuttamiseksi erityisesti soveltamalla tiedonsiirtoihin lisäehtoja tai rajoittamalla tietosuojan riittävyyttä koskevan päätelmän soveltamisala vain sellaisiin tiedonsiirtoihin, joiden osalta yleisen tietosuoja-asetuksen 44 artiklassa tarkoitettu suojan jatkuvuus on varmistettu.

(186)

Komission olisi erityisesti aloitettava keskeyttämis- tai kumoamismenettely, jos on viitteitä siitä, että tämän päätöksen nojalla henkilötietoja saavat toiminnanharjoittajat eivät noudata liitteessä I esitettyjä täydentäviä sääntöjä ja/tai että niitä ei ole pantu tehokkaasti täytäntöön tai että Japanin viranomaiset eivät noudata tämän päätöksen liitteessä II olevia lausuntoja, vakuutuksia ja sitoumuksia.

(187)

Komission olisi myös harkittava menettelyn aloittamista tämän päätöksen muuttamiseksi, sen soveltamisen keskeyttämiseksi tai sen kumoamiseksi, jos toimivaltaiset Japanin viranomaiset eivät yhteisen tarkastelun yhteydessä tai muutoin toimita tietoja tai selvityksiä, joita tarvitaan arvioitaessa Euroopan unionista Japaniin siirrettyjen henkilötietojen suojan tasoa tai tämän päätöksen noudattamista. Tässä suhteessa komission olisi otettava huomioon se, missä määrin asiaa koskevia tietoja voidaan saada muista lähteistä.

(188)

Asianmukaisesti perustelluissa kiireellisissä tapauksissa, kuten jos on olemassa riski rekisteröityjen oikeuksien vakavasta rikkomisesta, komission olisi harkittava päätöstä tämän päätöksen soveltamisen keskeyttämisestä tai sen kumoamisesta ja sitä olisi sovellettava välittömästi asetuksen (EU) 2016/679 93 artiklan 3 kohdan mukaisesti yhdessä Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 182/2011 (153) 8 artiklan kanssa.

(189)

Euroopan tietosuojaneuvosto on julkaissut lausuntonsa (154), joka on otettu huomioon tätä päätöstä valmisteltaessa.

(190)

Euroopan parlamentti on hyväksynyt päätöslauselman digitaalisesta kauppastrategiasta, jossa komissiota kehotetaan asettamaan etusijalle tietosuojan riittävyyttä koskevien päätösten tekeminen tärkeiden kauppakumppaneiden kanssa ja nopeuttamaan sitä asetuksessa (EU) 2016/679 säädetyin edellytyksin. Päätösten hyväksyminen on tärkeä mekanismi Euroopan unionista tapahtuvan henkilötietojen siirron suojaamiseksi (155). Euroopan parlamentti on myös hyväksynyt päätöslauselman Japanin tarjoaman henkilötietojen suojan riittävyydestä (156).

(191)

Tässä päätöksessä säädetyt toimenpiteet ovat yleisen tietosuoja-asetuksen 93 artiklan 1 kohdassa perustetun komitean lausunnon mukaiset,