(1)

Reglamente (ES) 2016/679 nustatytos asmens duomenų perdavimo iš Europos Sąjungoje įsikūrusių duomenų valdytojų arba duomenų tvarkytojų į trečiąsias valstybes ir tarptautinėms organizacijoms taisyklės, susijusios su tomis duomenų perdavimo operacijoms, kurioms taikomas minėtas reglamentas. Tarptautinio asmens duomenų perdavimo taisyklės yra nustatytos to reglamento V skyriuje, konkrečiai – 44–55 straipsniuose. Asmens duomenų judėjimas į Europos Sąjungai nepriklausančias valstybes ir iš jų reikalingas tarptautinio bendradarbiavimo ir tarptautinės prekybos plėtrai, tuo pačiu metu užtikrinant, kad asmens duomenų apsaugos lygis Europos Sąjungoje nebus sumažintas.

(2)

Pagal Reglamento (ES) 2016/679 45 straipsnio 3 dalį Komisija, priimdama įgyvendinimo aktą, gali nuspręsti, kad trečioji valstybė, teritorija arba vienas ar daugiau nurodytų sektorių toje trečiojoje valstybėje, arba tarptautinė organizacija užtikrina tinkamo lygio apsaugą. Jei ši sąlyga tenkinama, asmens duomenys į tokią trečiąją valstybę, teritoriją, sektorių, arba tarptautinei organizacijai gali būti perduodami be papildomo leidimo, kaip nustatyta Reglamento 45 straipsnio 1 dalyje ir 103 konstatuojamojoje dalyje.

(3)

Kaip nurodyta Reglamento (ES) 2016/679 45 straipsnio 2 dalyje, priimant sprendimą dėl tinkamumo turi būti remiamasi išsamia trečiosios valstybės teisinės sistemos analize, susijusia ir su duomenų importuotojams taikomomis taisyklėmis, ir su apribojimais bei apsaugos priemonėmis, taikomais valdžios institucijų galimybei susipažinti su asmens duomenimis. Vertinimo metu turi būti nustatyta, ar atitinkama valstybė garantuoja tokio lygio apsaugą, kuri yra „iš esmės lygiavertė“ Europos Sąjungoje užtikrinamai apsaugai (Reglamento (ES) 2016/679 104 konstatuojamoji dalis). Kaip išaiškino Europos Sąjungos Teisingumo Teismas, šia nuostata nėra reikalaujama, kad apsauga būtų tokio paties lygio (2). Visų pirma, priemonės, kurių gali imtis atitinkama trečioji valstybė, gali skirtis nuo Europos Sąjungoje taikomų priemonių, jeigu praktiškai šios priemonės yra veiksmingos, kad būtų užtikrinta tinkamo lygio apsauga (3). Todėl tinkamumo standartu nereikalaujama papunkčiui atkartoti ES taisykles. Veikiau turi būti patikrinama, ar visoje užsienio sistemoje užtikrinamas reikiamas apsaugos lygis – teisių į privatumą esmė, veiksmingas jų įgyvendinimas, priežiūra ir įgyvendinimo užtikrinimas (4).

(4)

Komisija atidžiai išanalizavo Japonijos teisės aktus ir praktiką. Remdamasi 6 ir 175 konstatuojamosiose dalyse išdėstytomis išvadomis Komisija daro išvadą, kad Japonija užtikrina tinkamo lygio asmens duomenų, perduodamų organizacijoms, kurioms taikomas Asmeninės informacijos apsaugos įstatymas (5) ir papildomos šiame sprendime nurodytos sąlygos, apsaugą. Šios sąlygos yra išdėstytos Asmeninės informacijos apsaugos komisijos (6) (toliau – AIAK) priimtose Papildomose taisyklėse (I priedas) ir Japonijos vyriausybės oficialiuose pareiškimuose, garantijose ir įsipareigojimuose, adresuotuose Europos Komisijai (II priedas).

(5)

Pagal šį sprendimą duomenų valdytojas arba duomenų tvarkytojas Europos ekonominėje erdvėje (toliau – EEA) (7) gali perduoti duomenis tokioms organizacijoms Japonijoje be papildomo leidimo. Sprendimas neturi įtakos Reglamento (ES) 2016/679 tiesioginiam taikymui tokioms organizacijoms, kai tenkinamos jo 3 straipsnio sąlygos.

(6)

Teisinė sistema, kuria Japonijoje reglamentuojama privatumo ir duomenų apsauga, siejama su 1946 m. paskelbta Konstitucija.

(7)

Konstitucijos 13 straipsnyje nustatyta:

„Visi žmonės turi būti gerbiami kaip asmenys. Leidžiant teisės aktus ir kituose valdžios reikaluose jų teisei į gyvybę, laisvę ir teisei siekti laimės turi būti skiriamas pagrindinis dėmesys, jei ši teisė netrukdo visuomenės gerovei.“

(8)

Remdamasis šiuo straipsniu Japonijos Aukščiausiasis Teismas išaiškino asmenų teises, susijusias su asmens duomenų apsauga. 1969 m. sprendime teisę į privatumą ir duomenų apsaugą jis pripažino konstitucine teise (8). Visų pirma Teismas pareiškė, kad „kiekvienas asmuo yra laisvas apsaugoti savo asmeninę informaciją, kad be pateisinamos priežasties ji nebūtų atskleista trečiajai šaliai arba paskelbta viešai“. Be to, 2008 m. kovo 6 d. sprendime (toliau – Juki-Net) (9) Aukščiausias Teismas pareiškė, kad „piliečių privataus gyvenimo laisvė turi būti apsaugota nuo viešosios valdžios funkcijų vykdymo ir galima daryti išvadą, kad viena iš asmens privataus gyvenimo laisvių yra kiekvieno asmens laisvė apsaugoti savo asmeninę informaciją, kad ji be pateisinamos priežasties nebūtų atskleista trečiajai šaliai arba paskelbta viešai“ (10).

(9)

2003 m. gegužės 30 d. Japonija priėmė keletą duomenų apsaugos srities įstatymų:

(10)

Dviejuose pastaruosiuose įstatymuose (iš dalies pakeistuose 2016 m.) yra nuostatų, taikomų viešojo sektoriaus subjektų vykdomai asmeninės informacijos apsaugai. Duomenų tvarkymo veikla, kuriai taikomi šie įstatymai, nėra šiame sprendime pateiktos tinkamumo išvados objektas. Šis sprendimas taikomas tik „asmeninę informaciją tvarkančių verslo subjektų“ (toliau – AITVS), kaip nustatyta AIAĮ, vykdomai asmeninės informacijos apsaugai.

(11)

Pastaraisiais metais AIAĮ buvo pertvarkytas. Iš dalies pakeistas AIAĮ buvo paskelbtas 2015 m. rugsėjo 9 d., o įsigaliojo 2017 m. gegužės 30 d. Pakeitimu buvo įvesta daug naujų apsaugos priemonių ir sustiprintos esamos apsaugos priemonės, ir taip Japonijos duomenų apsaugos sistema priartinta prie europinės. Pavyzdžiui, prie šių priemonių priskiriamos tam tikros įgyvendinamos asmenų teisės arba nepriklausomos priežiūros institucijos (AIAK), kuriai paskirta AIAĮ priežiūra ir vykdymo užtikrinimas, įkūrimas.

(12)

Be AIAĮ tvarkant asmeninę informaciją, kuriai taikomas šis sprendimas, taikomos pagal AIAĮ priimtos įgyvendinimo taisyklės. Prie jų priskiriamas Ministrų kabineto įsakymo dėl Asmeninės informacijos apsaugos įstatymo įgyvendinimo 2016 m spalio 5 d. pakeitimas ir AIAK priimtos Asmeninės informacijos apsaugos įstatymo vykdymo užtikrinimo taisyklės (11). Abu taisyklių rinkiniai yra teisiškai privalomi bei vykdytini ir įsigaliojo tuo pačiu metu, kaip ir pakeistas AIAĮ.

(13)

Be to, 2018 m. spalio 28 d. Japonijos Ministrų Kabinetas (sudarytas iš Ministro Pirmininko ir jo vyriausybę sudarančių ministrų) priėmė „Pagrindinę politiką“, skirtą „visapusiškai ir vientisai skatinti asmeninės informacijos apsaugos priemones“. Pagal AIAĮ 7 straipsnį „Pagrindinė politika“ priimama kaip Ministrų Kabineto sprendimas, o joje pateikiamos AIAĮ vykdymo užtikrinimo politikos gairės, skirtos ir centrinei valdžiai, ir vietos valdžios institucijoms.

(14)

Neseniai Japonijos vyriausybė 2018 m. birželio 12 d. priimtu Ministrų kabineto Sprendimu pakeitė „Pagrindinę politiką“. Siekiant palengvinti tarptautinį duomenų perdavimą, Ministrų kabineto sprendimu AIAK, kaip institucijai, kompetentingai administruoti ir įgyvendinti AIAĮ, suteikiami „įgaliojimai pagal Įstatymo 6 straipsnį imtis reikiamų veiksmų, kad būtų įveikti Japonijos ir atitinkamos užsienio valstybės sistemų ir operacijų skirtumai siekiant užtikrinti, kad iš tokios valstybės gauta asmeninė informacija būtų tvarkoma tinkamai“. Ministrų Kabineto sprendime nustatyta, kad tai apima įgaliojimus nustatyti sustiprintas apsaugos priemones, AIAK priimant griežtesnes taisykles, papildančias AIAĮ ir Ministrų Kabineto įsakyme numatytas taisykles ir už jas išsamesnes. Pagal tą sprendimą tos griežtesnės taisyklės Japonijos verslo subjektams yra privalomos ir vykdytinos jų atžvilgiu.

(15)

Remdamasi AIAĮ 6 straipsniu ir tuo Ministrų Kabineto sprendimu, 2018 m. birželio 15 d. AIAK priėmė „Papildomas taisykles pagal Asmeninės informacijos apsaugos įstatymą dėl asmens duomenų, perduodamų iš ES pagal sprendimą dėl tinkamumo, tvarkymo“ (toliau – Papildomos taisyklės), skirtas sustiprinti asmeninės informacijos, perduodamos iš Europos Sąjungos į Japoniją pagal esamą sprendimą dėl tinkamumo, apsaugą. Šios Papildomos taisyklės yra teisiškai privalomos Japonijos verslo subjektams, o jų vykdymą taip pat, kaip AIAĮ nuostatų, kurias šios taisyklės papildo nustatydamos griežtesnes ir (arba) išsamesnes taisykles, užtikrina AIAK ir teismai (12). Kadangi Japonijos verslo subjektai, gaunantys ir (arba) toliau tvarkantys asmens duomenis iš Europos Sąjungos, bus teisiškai įpareigoti laikytis Papildomų taisyklių, jie turės užtikrinti (pavyzdžiui, naudodami technines („žymėjimas“) arba organizacines priemones (saugojimas skirtojoje duomenų bazėje)), kad galės atpažinti tokius asmens duomenis per visą jų „gyvavimo ciklą“ (13). Tolesniuose skirsniuose kiekvienos papildomos taisyklės turinys analizuojamas vertinant AIAĮ straipsnius, kuriuos jos papildo.

(16)

Priešingai nei iki 2015 m. pakeitimo, kai ši sritis priklausė įvairių Japonijos atitinkamų sektorių ministerijų kompetencijai, AIAĮ AIAK suteikiami įgaliojimai priimti duomenų apsaugos taisyklėmis grindžiamas Gaires „siekiant, kad būtų tinkamai ir veiksmingai įgyvendinti veiksmai, kurių turi imtis verslo subjektas“. Savo Gairėse AIAK pateikia autoritetingą šių taisyklių, visų pirma AIAĮ, aiškinimą. Remiantis AIAK pateikta informacija, šios gairės laikomos neatskiriama teisinės sistemos dalimi ir turi būti skaitomos kartu su AIAĮ, Ministrų kabineto įsakymu, AIAK taisyklėmis ir AIAK parengtu klausimų ir atsakymų rinkiniu (14). Todėl jos „verslo subjektams privalomos“. Jei Gairėse nurodyta, kad verslo subjektas „privalo“ arba „neturėtų“ elgtis taip, kaip nurodyta, AIAK laikysis nuomonės, kad atitinkamų nuostatų nesilaikymas yra teisės pažeidimas (15).

(17)

AIAĮ taikymo sritis nustatoma pagal apibrėžtas asmeninės informacijos, asmens duomenų ir asmeninę informaciją tvarkančio verslo subjekto sąvokas. Kartu AIAĮ nustatytos kelios svarbios taikymo išimtys, visų pirma, dėl anonimiškai apdorotų asmens duomenų ir konkrečių rūšių duomenų tvarkymo, vykdomo tam tikrų subjektų. Nors AIAĮ nėra vartojamas terminas „duomenų tvarkymas“, jame remiamasi lygiaverte sąvoka „tvarkymas“, kuri, remiantis AIAK pateikta informacija, apima „bet kokius veiksmus su asmens duomenimis“, įskaitant asmeninės informacijos gavimą, įvedimą, kaupimą, organizavimą, saugojimą, redagavimą / apdorojimą, atnaujinimą, ištrynimą, išvedimą, sunaikinimą arba teikimą.

(18)

Visų pirma, kalbant apie AIAĮ materialinę taikymo sritį, šiame įstatyme asmeninė informacija atskiriama nuo asmens duomenų, o pastarajai kategorijai taikomos tik kai kurios įstatymo nuostatos. Pagal AIAĮ 2 straipsnio 1 dalį asmeninės informacijos sąvoka apima bet kokią su gyvu asmeniu susijusią informaciją, kuria remiantis galima nustatyti to asmens tapatybę. Apibrėžime išskiriamos dvi asmeninės informacijos kategorijos: i) asmeniniai atpažinimo kodai ir ii) kita asmeninė informacija, kuria remiantis galima nustatyti konkretaus asmens tapatybę. Pastarajai kategorijai taip pat priskiriama informacija, kuria remiantis savaime negalima nustatyti tapatybės, tačiau ją „lengvai sugretinus“ su kita informacija, galima nustatyti konkretaus asmens tapatybę. Atsižvelgiant į AIAK gaires (16), ar informacija gali būti laikoma „lengvai sugretinama“ turi būti sprendžiama kiekvienu konkrečiu atveju atskirai, atsižvelgiant į faktinę verslo subjekto situaciją („padėtį“). Bus laikoma, kad informacija yra „lengvai sugretinama“, jei tokį sugretinimą atlieka (arba gali atlikti) vidutinis („įprastas“) verslo subjektas, naudodamas jam prieinamas priemones. Pavyzdžiui, informacija nėra „lengvai sugretinama“ su kita informacija, jei verslo subjektas turi dėti neįprastai dideles pastangas arba atlikti neteisėtus veiksmus, kad iš vieno arba daugiau kitų verslo subjektų gautų informaciją, kurią reikia sugretinti.

(19)

Pagal AIAĮ asmens duomenų sąvoka taikoma tik tam tikrų rūšių asmeninei informacijai. Iš tikrųjų, asmens duomenys apibrėžiami kaip „asmeninė informacija, sudaranti asmeninės informacijos duomenų bazę“, t. y. „bendras informacijos rinkinys“, apimantis asmeninę informaciją, kuri yra „susisteminta taip, kad būtų galima ieškoti konkrečios asmeninės informacijos naudojant kompiuterį“ (17) arba „Ministrų Kabineto įsakymu pripažinta susisteminta taip, kad būtų galima lengvai ieškoti konkrečios asmeninės informacijos“, tačiau „neįtraukiant tos informacijos, kuri Ministrų Kabineto įsakymu buvo pripažinta kaip turinti mažai galimybių pažeisti asmens teises ir interesus atsižvelgiant į jos naudojimo būdą“ (18).

(20)

Ši išimtis išsamiau apibrėžta Ministrų Kabineto įsakymo 3 straipsnio 1 dalyje, kurioje nustatyta, kad turi būti įvykdomos visos šios trys sąlygos: i) bendras informacijos rinkinys turi būti „išleistas siekiant jį parduoti dideliam skaičiui nenustatytų asmenų, o jį išleidžiant nebuvo pažeistos teisės aktų nuostatos ar jose nustatyta tvarka“; ii) šį rinkinį turi būti įmanoma „bet kuriuo metu įsigyti dideliam skaičiui nenustatytų asmenų“ ir iii) jame esantys asmens duomenys turi būti „teikiami jų pradiniu tikslu nepridedant kitos su gyvu asmeniu susijusios informacijos“. Atsižvelgiant į AIAK pateiktus paaiškinimus ši siaura išimtis buvo nustatyta tam, kad nebūtų įtrauktos telefonų knygos ar panašių rūšių registrai.

(21)

Kalbant apie Japonijoje renkamus duomenis šis skirtumas tarp asmeninės informacijos ir asmens duomenų yra svarbus, nes tokia informacija gali nepriklausyti „asmeninės informacijos duomenų bazei“ (pavyzdžiui, atskiras duomenų rinkinys, surinktas ir tvarkomas rankiniu būdu), todėl tos AIAĮ nuostatos, susijusios tik su asmens duomenimis, nebus taikomos (19).

(22)

Tačiau toks skirstymas nebus taikomas asmens duomenims, kurie iš Europos Sąjungos buvo importuoti į Japoniją pagal sprendimą dėl tinkamumo. Kadangi tokie duomenys paprastai bus perduodami elektroninėmis priemonėmis (nes skaitmeniniame amžiuje tai yra įprastas keitimosi duomenimis būdas, ypač keičiantis duomenimis dideliu atstumu (pvz., tarp ES ir Japonijos)) taigi, taps duomenų importuotojo elektroninio susisteminto rinkinio dalimi, tokie ES duomenys priklausys „asmens duomenų“ kategorijai pagal AIAĮ. Išimtiniu atveju, kai asmens duomenys iš ES bus perduodami kitomis priemonėmis (pvz., popierine forma), jiems vis tiek bus taikomas AIAĮ, jei perdavus šiuos duomenis jie taps „bendro informacijos rinkinio“, susisteminto taip, kad būtų galima lengvai ieškoti konkrečios informacijos (AIAĮ 2 straipsnio 4 dalies ii punktas), dalimi. Pagal Ministrų Kabineto įsakymo 3 straipsnio 2 dalį taip bus tuo atveju, kai informacija yra išdėstyta „atsižvelgiant į tam tikrą taisyklę“, o duomenų bazėje yra tokių priemonių kaip, pavyzdžiui, turinys ar rodyklė, skirta paieškai palengvinti. Tai atitinka „susisteminto rinkinio“, kaip nustatyta BDAR 2 straipsnio 1 dalyje, apibrėžimą.

(23)

Tam tikros AIAĮ nuostatos, visų pirma, 27–30 straipsniai, susiję su asmens teisėmis, taikomi tik specialios kategorijos asmens duomenims, būtent „saugomiems asmens duomenims“. AIAĮ 2 straipsnio 7 dalyje jie apibrėžti kaip asmens duomenys, kurie nepriklauso nė vienai iš šių kategorijų: i) „Ministrų Kabineto įsakymu pripažinti galinčiais padaryti žalos visuomenei ar kitiems interesams, jei būtų pranešta apie jų buvimą arba nebuvimą“; ii) „kuriuos numatoma ištrinti per ne ilgesnį nei vienų metų laikotarpį, nustatomą Ministrų Kabineto įsakymu“.

(24)

Pirmoji iš šių dviejų kategorijų yra paaiškinta Ministrų Kabineto įsakymo 4 straipsnyje ir taikoma pagal keturių rūšių išimtis (20). Nustatant šias išimtis siekiama tikslų, panašių į tuos, kurie nustatyti Reglamento (ES) 2016/679 23 straipsnio 1 dalyje, visų pirma, duomenų subjekto (pagal AIAĮ terminologiją – subjekto) ir kitų asmenų laisvių apsaugos, nacionalinio saugumo, visuomenės saugumo, baudžiamosios teisėsaugos ar kitų svarbių bendro viešojo intereso tikslų. Be to, iš Ministrų kabineto įsakymo 4 straipsnio 1 dalies i–iv punktų formuluotės išplaukia, kad bet kuriuo atveju jos taikomos tik tais atvejais, kai vienam iš saugomų svarbių interesų gali kilti konkretus pavojus (21).

(25)

Antroji kategorija dar patikslinama Ministrų kabineto įsakymo 5 straipsnyje. Šiame straipsnyje, skaitant jį kartu su AIAĮ 2 straipsnio 7 dalimi, saugomų asmens duomenų sąvokos taikymo sričiai nepriskiriami (taigi, jiems netaikomos ir asmens teisės pagal AIAĮ) asmens duomenys, „kuriuos numatoma ištrinti“ per šešių mėnesių laikotarpį. AIAK paaiškino, kad šios išimties tikslas – paskatinti verslo subjektus duomenis tvarkyti ir saugoti kuo trumpesnį laikotarpį. Tačiau tai reikštų, kad ES duomenų subjektai negalėtų naudotis svarbiomis teisėmis tik dėl to, kad atitinkamas verslo subjektas jų duomenis saugo nustatytą laikotarpį.

(26)

Siekiant spręsti šią situaciją pagal 2 papildomą taisyklę reikalaujama, kad iš Europos Sąjungos perduoti asmens duomenys „būtų tvarkomi kaip saugomi asmens duomenys, kaip nustatyta Įstatymo 2 straipsnio 7 dalyje, neatsižvelgiant į laikotarpį, per kurį šiuos duomenis numatyta ištrinti“. Todėl saugojimo laikotarpis neturės įtakos ES duomenų subjektams suteiktoms teisėms.

(27)

Anonimiškai apdorotai asmeninei informacijai, kaip apibrėžta AIAĮ 2 straipsnio 9 dalyje, taikomi reikalavimai yra nustatyti Įstatymo 4 skyriaus 2 skirsnyje („Anonimiškai apdorotą informaciją tvarkančio ūkio subjekto pareigos“). Priešingai, tokiai informacijai nėra taikomos AIAĮ IV skyriaus 1 skirsnio straipsnių, kuriais nustatomos duomenų apsaugos priemonės ir teisės, taikomos tvarkant asmens duomenis pagal šį įstatymą, nuostatos. Todėl, nors „anonimiškai apdorotai asmeninei informacijai“ nėra taikomos „įprastos“ duomenų apsaugos taisyklės (nustatytos AIAĮ IV skyriaus 1 skirsnyje ir 42 straipsnyje), tačiau ji patenka į AIAĮ, visų pirma, 36–39 straipsnių, taikymo sritį.

(28)

Pagal AIAĮ 2 straipsnio 9 dalį „anonimiškai apdorota asmeninė informacija“ yra su asmeniu susijusi informacija, kuri „buvo sukurta tvarkant asmeninę informaciją“ AIAĮ (36 straipsnio 1 dalyje) nustatytomis ir AIAK taisyklėse (19 straipsnyje) tiksliai apibrėžtomis priemonėmis, todėl nebėra galimybės nustatyti konkretaus asmens tapatybę arba asmeninę informaciją atkurti.

(29)

Iš šių nuostatų išplaukia, kaip patvirtino ir AIAK, kad asmeninės informacijos pavertimas „anonimine“ neprivalo būti technine prasme negrįžtamasis procesas. Pagal AIAĮ 36 straipsnio 2 dalį verslo subjektų, tvarkančių „anonimiškai apdorotą asmeninę informaciją“, reikalaujama tik užkirsti kelią pakartotinai nustatyti tapatybę imantis priemonių, skirtų užtikrinti „aprašymų ir pan. bei asmenų identifikavimo kodų, ištrintų iš asmeninės informacijos siekiant sukurti anonimiškai apdorotą informaciją, bei informacijos, susijusios su taikytu apdorojimo metodu“ apsaugą.

(30)

Atsižvelgiant į tai, kad „anonimiškai apdorota asmeninė informacija“, kaip apibrėžta AIAĮ, apima duomenis, iš kurių vis tiek įmanoma pakartotinai nustatyti asmens tapatybę, tai gali reikšti, kad iš Europos Sąjungos perduoti asmens duomenys proceso, kuris pagal Reglamentą Nr. (ES) 2016/679 būtų laikomas „pseudonimų suteikimo“ forma, o ne „pavertimu anoniminiais“ (todėl jų, kaip asmens duomenų, pobūdis nepasikeistų), metu gali prarasti dalį nustatytų apsaugos priemonių.

(31)

Siekiant išspręsti šią situaciją Papildomose taisyklėse nustatyti papildomi reikalavimai, taikomi tik asmens duomenims, perduotiems iš Europos Sąjungos pagal šį sprendimą. Pagal Papildomų taisyklių 5 taisyklę tokia asmeninė informacija bus laikoma anonimiškai apdorota asmenine informacija, kaip apibrėžta AIAĮ, tik tada, jei „asmeninę informaciją tvarkantis verslo subjektas imsis priemonių, dėl kurių informacijos, iš kurios galima nustatyti asmens tapatybę, pašalinimas visiems taptų negrįžtamas, įskaitant su apdorojimo metodu ir pan. susijusios informacijos ištrynimą“. Papildomose taisyklėse pastaroji informacija apibrėžta kaip informacija, susijusi su aprašymais ir asmenų identifikavimo kodais, kurie buvo ištrinti iš „asmeninės informacijos, panaudotos anonimiškai apdorotai informacijai sukurti“, taip pat informacija, susijusi su apdorojimo metodu, taikytu trinant šiuos aprašymus ir asmens atpažinimo kodus. Kitaip tariant, Papildomose taisyklėse verslo subjekto, kuriančio anonimiškai apdorotą asmeninę informaciją, reikalaujama sunaikinti „raktą“, leidžiantį iš duomenų pakartotinai nustatyti asmens tapatybę. Tai reiškia, kad Europos Sąjungos kilmės asmens duomenims AIAĮ nuostatos dėl „anonimiškai apdorotos asmeninės informacijos“ bus taikomos tik tada, kai jie taip pat būtų laikomi anonimine informacija pagal Reglamentą (ES) 2016/679 (22).

(32)

Kalbant apie AIAĮ taikymą asmenų atžvilgiu, jis taikomas tik AITVS. AITVS AIAĮ 2 straipsnio 5 dalyje yra apibrėžtas kaip „asmuo, teikiantis asmeninės informacijos duomenų bazę ir pan., skirtą naudoti versle“, išskyrus valdžios ir administravimo įstaigas (ir centrinio, ir vietos lygmens).

(33)

Pagal AIAK gaires „verslas“ reiškia bet kokį „elgesį, kuriuo siekiama pakartotinai ir nuolat vykdyti visuomenėje pripažįstamą verslo veiklą siekiant tam tikro tikslo (nepriklausomai nuo to, ar siekiama pelno)“. Organizacijos, neturinčios juridinio asmens statuso (pavyzdžiui, de facto asociacijos) ar asmenys yra laikomi AITVS, jei jie savo verslui teikia (jame naudoja) asmeninės informacijos duomenų bazę ir pan. (23). Todėl AIAĮ nustatyta „verslo“ sąvoka yra labai plati, nes ji apima ne tik veiklą, kuria siekiama pelno, bet ir įvairių organizacijų bei asmenų vykdomą veiklą, kuria pelno nesiekiama. Be to, „naudojimas versle“ taip pat apima asmeninę informaciją, kuri naudojama ne subjekto (išoriniuose) komerciniuose santykiuose, bet viduje, pavyzdžiui, tvarkant darbuotojų duomenis.

(34)

Asmenys, kuriems taikomos AIAĮ nustatytos apsaugos priemonės, įstatyme nėra diferencijuojami pagal pilietybę, gyvenamąją vietą ar buvimo vietą. Tas pats taikoma asmenų galimybėms kreiptis į AIAK arba teismus dėl teisių gynimo.

(35)

Pagal AIAĮ nėra jokių konkrečių skirtumų tarp duomenų valdytojams ir duomenų tvarkytojams nustatytų prievolių. Tokio skirtumo nebuvimas neturi įtakos apsaugos lygiui, nes visiems AITVS taikomos visos įstatymo nuostatos. AITVS, kuris asmens duomenis patiki tvarkyti patikėtiniui (duomenų tvarkytojo pagal BDAR atitikmuo), dėl patikėtų duomenų turi toliau laikytis AIAĮ ir Papildomose taisyklėse nustatytų prievolių. Be to, pagal AIAĮ 22 straipsnį jis yra įpareigotas „vykdyti reikalingą ir tinkamą priežiūrą“ patikėtinio atžvilgiu. Todėl, kaip patvirtino AIAK, patikėtinis pats yra saistomas AIAĮ ir Papildomose taisyklėse nustatytų prievolių.

(36)

Pagal AIAĮ 76 straipsnį tam tikrų rūšių duomenų tvarkymui netaikomas įstatymo IV skyrius, kuriame pateiktos pagrindinės duomenų apsaugos nuostatos (pagrindiniai principai, verslo subjektų prievolės, asmens teisės, AIAK vykdoma priežiūra). Duomenų tvarkymui, kuriam taikomos 76 straipsnyje nustatytos sektorių išimtys, pagal AIAĮ 43 straipsnio 2 dalį taip pat netaikomi AIAK vykdymo užtikrinimo įgaliojimai (24).

(37)

Atitinkamos 76 straipsnyje nustatytų sektorių išimčių kategorijos apibrėžiamos naudojant dvigubą kriterijų atsižvelgiant į AITVS, tvarkančio asmeninę informaciją, rūšį ir tvarkymo tikslą. Kalbant konkrečiau išimtis taikoma: i) transliavimo organizacijoms, laikraščių leidėjams, komunikacijos agentūroms ar kitoms žiniasklaidos organizacijoms (įskaitant visus asmenis, kurie žiniasklaidos veikla užsiima kaip savo verslu), jei jie asmeninę informaciją tvarko žiniasklaidos tikslais; ii) profesionaliems rašytojams, jei jų veikla susijusi su asmenine informacija; iii) universitetams ir bet kokioms kitoms organizacijoms ar grupėms, kurių tikslas yra akademinės studijos, arba bet kokiam tokiai organizacijai priklausančiam asmeniui, jei jie asmeninę informaciją tvarko akademinių studijų tikslais; iv) religinėms įstaigoms, jei jos asmeninę informaciją tvarko religinės veiklos (įskaitant visą susijusią veiklą) tikslais, ir v) politinėms organizacijoms, jei jos asmeninę informaciją tvarko politinės veiklos (įskaitant visą susijusią veiklą) tikslais. Kitų rūšių AITVS tvarkant asmeninę informaciją vienu iš 76 straipsnyje nurodytų tikslų bei kuriam nors iš nurodytų AITVS tvarkant asmeninę informaciją kitais tikslais, pavyzdžiui, su darbo santykiais susijusiame kontekste, toliau taikomos IV skyriaus nuostatos.

(38)

Siekiant užtikrinti tinkamą asmeninės informacijos, iš Europos Sąjungos perduodamos verslo subjektams Japonijoje, apsaugą, šis sprendimas turėtų būti taikomas tik asmeninės informacijos tvarkymui, patenkančiam į AIAĮ IV skyriaus taikymo sritį, t. y. kai informaciją tvarko AITVS, jei tuo atveju netaikoma viena iš sektorių išimčių. Todėl jo taikymo sritis turėtų būti suderinta su APPI taikymo sritimi. Atsižvelgiant į AIAK pateiktą informaciją, jei subjektas, kuriam taikomas šis sprendimas, vėliau pakeičia naudojimo tikslą (tiek, kiek tai leistina) į vieną iš toje nuostatoje nurodytų duomenų tvarkymo tikslų, ir dėl to jam būtų taikoma viena iš APPI 76 straipsnyje numatytų sektorių išimčių, tai būtų vertinama kaip tarptautinis perdavimas (kadangi asmeninė informacija nebepatektų į AIAĮ taikymo sritį). Tas pats būtų taikoma tuo atveju, kai AITVS AIAĮ 76 straipsnyje nurodytam subjektui teiktų asmeninę informaciją naudoti vienu iš toje nuostatoje nurodytų duomenų tvarkymo tikslų. Dėl asmens duomenų, perduotų iš Europos Sąjungos, tai būtų laikoma tolesniu perdavimu, kuriam taikomos atitinkamos apsaugos priemonės (visų pirma priemonės, nurodytos AIAĮ 24 straipsnyje ir 4 papildomoje taisyklėje). Kai AITVS remiasi duomenų subjekto sutikimu (25), jis šiam asmeniui turėtų suteikti visą reikalingą informaciją, įskaitant informaciją apie tai, kad asmeninė informacija nebebus apsaugota AIAK.

(39)

Asmens duomenys turėtų būti tvarkomi konkrečiu tikslu ir vėliau naudojami tik tuo atveju, jei tai nėra nesuderinama su jų tvarkymo tikslu. Šis duomenų apsaugos principas užtikrinamas pagal AIAĮ 15 ir 16 straipsnius.

(40)

AIAĮ remiamasi principu, kad verslo subjektas turi „kiek įmanoma aiškiau“ nurodyti naudojimo tikslą (15 straipsnio 1 dalis), o tvarkydamas duomenis yra saistomas tokio tikslo.

(41)

Todėl AIAĮ 15 straipsnio 2 dalyje nustatyta, kad AITVS negali keisti pradinio tikslo „viršydamas tai, kas pripažįstama pagrįstai susiję su naudojimo tikslu iki pakeitimo“, o AIAK gairėse aiškinama, kad tai atitinka tai, ko duomenų subjektais objektyviai gali tikėtis remdamasis „įprastomis socialinėmis normomis“ (26).

(42)

Be to, pagal AIAĮ 16 straipsnio 1 dalį, be išankstinio duomenų subjekto sutikimo AITVS draudžiama tvarkyti asmeninę informaciją viršijant „tai, kas būtina naudojimo tikslui pasiekti“, kaip nurodyta 15 straipsnyje, nebent taikoma viena iš 16 straipsnio 3 dalyje nurodytų išimčių (27).

(43)

AITVS iš esmės gali laisvai nustatyti naują asmeninės informacijos, gautos iš kito verslo subjekto, naudojimo tikslą (28). Siekiant užtikrinti, kad informacijos perdavimo iš Europos Sąjungos atveju, toks duomenų gavėjas būtų saistomas tikslo, kuriuo buvo perduoti duomenys, 3 papildomoje taisyklėje reikalaujama, kad tais atvejais, „kai [AITVS] iš ES gauna asmens duomenis pagal sprendimą dėl tinkamumo“ arba kai toks subjektas „iš kito [AITVS] gauna asmens duomenis, kurie anksčiau buvo perduoti iš ES remiantis sprendimu dėl tinkamumo“ (tolesnis perdavimas), gavėjas turi „nurodyti atitinkamų asmens duomenų naudojimo tikslą, patenkantį į naudojimo tikslo, kuriuo duomenys iš pradžių arba vėliau buvo gauti, taikymo sritį“. Kitaip tariant, taisykle užtikrinama, kad perdavimo atveju duomenys ir toliau bus tvarkomi atsižvelgiant į pagal Reglamentą (ES) 2016/679 nurodytą tikslą, ir kad bet kokioje duomenų tvarkymo Japonijoje stadijoje norint pakeisti tą tikslą būtų reikalingas ES duomenų subjekto sutikimas. Nors norėdamas gauti šį sutikimą AITVS turi susisiekti su duomenų subjektu, kai tai neįmanoma, tiesiog turės būti išlaikytas pradinis tikslas.

(44)

43 konstatuojamojoje dalyje nurodyta papildoma apsauga yra svarbi ir dėl to, kad taikant tikslo ribojimo principą Japonijos sistemoje taip pat užtikrinama, kad asmens duomenys būtų tvarkomi teisėtai ir sąžiningai.

(45)

Pagal AIAĮ, kai AITVS renka asmeninę informaciją, jis privalo išsamiai nurodyti asmeninės informacijos naudojimo tikslą (29) ir apie jį nedelsdamas informuoti duomenų subjektą (arba atskleisti šį tikslą visuomenei) (30). Be to, AIAĮ 17 straipsnyje nustatyta, kad AITVS draudžiama asmeninę informaciją gauti apgaule ar kitais netinkamais būdais. Norint gauti tam tikrų kategorijų duomenis, pavyzdžiui, asmeninę informaciją, kuriai reikalinga speciali priežiūra, reikalingas duomenų subjekto sutikimas (AIAĮ 17 straipsnio 2 dalis).

(46)

Todėl, kaip paaiškinta 41 ir 42 konstatuojamosiose dalyse, AITVS draudžiama asmeninę informaciją tvarkyti kitais tikslais, išskyrus atvejus, kai duomenų subjektas sutinka su tokiu tvarkymu arba kai taikoma viena iš AIAĮ 16 straipsnio 3 dalyje numatytų išimčių.

(47)

Galiausiai pagal AIAĮ 23 straipsnio 1 dalį toliau teikti asmeninę informaciją trečiosioms šalims (31) galima tik konkrečiais atvejais ir paprastai iš anksto gavus duomenų subjekto sutikimą (32). AIAĮ 23 straipsnio 2, 3 ir 4 dalyse nustatytos reikalavimo gauti sutikimą išimtys, taikomos tik duomenims. Tačiau tokios išimtys taikomos tik duomenims, kurie nėra neskelbtini, ir tik tada, kai verslo subjektas iš anksto informuoja atitinkamus asmenis apie ketinimą atskleisti jų asmeninę informaciją trečiajai šaliai ir galimybę nesutikti, kad ji būtų toliau atskleista (33).

(48)

Iš Europos Sąjungos perduodami asmens duomenys iš pradžių visada bus renkami ir tvarkomi ES laikantis Reglamento (ES) 2016/679 reikalavimų. Tai reiškia, kad, viena vertus, asmens duomenys visada bus renkami ir tvarkomi (įskaitant perduodant iš Europos Sąjungos į Japoniją) remiantis vienu iš Reglamento 6 straipsnio 1 dalyje nurodytų teisinių pagrindų, o, kita vertus, asmens duomenys visada bus renkami nurodytais, aiškiais ir teisėtais tikslais, taip pat draudžiant toliau tvarkyti duomenis (pvz., perduodant) tokiu būdu, kuris yra nesuderinamas su Reglamento 5 straipsnio 1 dalies b punkte ir 6 straipsnio 4 dalyje nustatytais tikslais.

(49)

Atsižvelgiant į 3 papildomą taisyklę, po perdavimo AITVS, kuris gaus duomenis, turės „patvirtinti“ konkretų (-čius) tikslą (-us), dėl kurių duomenys buvo perduoti (t. y. pagal Reglamentą (ES) 2016/679 nurodytą tikslą), ir toliau juos tvarkyti atsižvelgdamas į šį (-iuos) tikslą (-us) (34). Tai reiškia, kad ne tik pradinis tokių asmens duomenų įgijėjas Japonijoje, bet ir bet koks būsimas duomenų gavėjas, įskaitant patikėtinį, yra saistomas Reglamente nurodyto (-ų) tikslo (-ų).

(50)

Be to, jei AITVS norėtų pakeisti tikslą, kuris anksčiau buvo nurodytas pagal Reglamentą (ES) 2016/679, pagal AIAĮ 16 straipsnio 1 dalį jis iš esmės turėtų gauti duomenų subjekto sutikimą. Be tokio sutikimo bet koks duomenų tvarkymas viršijant tai, kas būtina naudojimo tikslui pasiekti, būtų laikomas 16 straipsnio 1 dalies (kurios vykdymą užtikrintų AIAK ir teismai) pažeidimu.

(51)

Todėl atsižvelgiant į tai, kad pagal Reglamentą (ES) 2016/679 duomenys gali būti perduodami tik esant tinkamam teisiniam pagrindui ir konkrečiam tikslui, kurie atitinka pagal AIAĮ „patvirtintą“ naudojimo principą, atitinkamos AIAĮ ir 3 papildomos taisyklės nuostatos užtikrina, kad ES duomenys Japonijoje toliau bus tvarkomi teisėtai.

(52)

Duomenys turėtų būti tikslūs ir, jei reikia, atnaujinami. Duomenys taip pat privalo būti tinkami, susiję ir nepertekliniai atsižvelgiant į tikslus, kuriais jie tvarkomi.

(53)

Šie principai Japonijos teisėje užtikrinami AIAĮ 16 straipsnio 1 dalimi, kurioje draudžiama tvarkyti asmeninę informaciją viršijant tai, „kas būtina naudojimo tikslui pasiekti“. Kaip paaiškino AIAK, šia nuostata ne tik užkertamas kelias netinkamam ir neproporcingam duomenų naudojimui (viršijant tai, kas būtina naudojimo tikslui pasiekti), tačiau ja draudžiama tvarkyti duomenis, kurie nėra svarbūs naudojimo tikslui pasiekti.

(54)

Kalbant apie prievolę užtikrinti, kad duomenys būtų tikslūs ir atnaujinami, pagal AIAĮ 19 straipsnį AITVS privalo „stengtis užtikrinti, kad asmens duomenys būtų tikslūs ir atnaujinti tiek, kiek būtina naudojimo tikslui pasiekti“. Šią nuostatą reikėtų skaityti kartu su AIAĮ 16 straipsnio 1 dalimi: atsižvelgiant į AIAK pateiktus paaiškinimus, jei AITVS nesilaiko nustatytų tikslumo standartų, nebus laikoma, kad tvarkant asmeninę informaciją yra siekiama naudojimo tikslo, todėl tokios informacijos tvarkymas pagal 16 straipsnio 1 dalį bus laikomas neteisėtu.

(55)

Iš esmės duomenys turėtų būti saugomi ne ilgiau, nei reikia tikslams, dėl kurių asmens duomenys tvarkomi, pasiekti.

(56)

Pagal AIAĮ 19 straipsnį AITVS privalo „stengtis <…> nedelsiant ištrinti asmens duomenis, kai juos naudoti nebėra būtina“. Ši nuostata taip pat turėtų būti skaitoma kartu su AIAĮ 16 straipsnio 1 dalimi, kurioje draudžiama tvarkyti asmeninę informaciją viršijant tai, „kas būtina naudojimo tikslui pasiekti“. Pasiekus naudojimo tikslą asmeninės informacijos tvarkymas nebegali būti laikomas būtinu, todėl jo tęsti nebegalima (nebent AITVS gauna duomenų subjekto sutikimą tai daryti).

(57)

Asmens duomenys turėtų būti tvarkomi taip, kad būtų užtikrintas jų saugumas, įskaitant apsaugą nuo neleistino ar neteisėto tvarkymo ir netyčinio praradimo, sunaikinimo ar sugadinimo. Todėl verslo subjektai turėtų imtis tinkamų techninių ir organizacinių priemonių, kad asmens duomenis apsaugotų nuo galimų grėsmių. Tokios priemonės turėtų būti įvertintos atsižvelgiant į techninių galimybių išsivystymo lygį ir susijusias sąnaudas.

(58)

Šis principas Japonijos teisėje įgyvendintas AIAĮ 20 straipsnyje, kuriame nustatyta, kad AITVS „turėtų imtis reikalingų ir tinkamų asmens duomenų saugumo kontrolės veiksmų, įskaitant užkirsti kelią tvarkomų duomenų atskleidimui, praradimui ar sugadinimui.“ AIAK gairėse paaiškinta, kokių priemonių reikia imtis, įskaitant pagrindinės politikos, duomenų tvarkymo taisyklių ir įvairių „kontrolės veiksmų“ (susijusių ir su organizacijos sauga, ir su žmogaus, fiziniu bei technologiniu saugumu) nustatymo būdus (35). Be to, AIAK gairėse ir specialiame Pranešime (8 priedas „Saugumo valdymo priemonių, kurių turi būti imtasi, turinys“) pateikta daugiau informacijos apie priemones dėl saugumo incidentų, pavyzdžiui, susijusių su asmeninės informacijos atskleidimu, kurios priskiriamos prie saugumo valdymo priemonių, kurių turi imtis AITVS (36).

(59)

Be to, visais atvejais, kai asmeninę informaciją tvarko darbuotojai ar subrangovai, pagal AIAĮ 20 ir 21 straipsnius saugumo kontrolės tikslais turi būti užtikrinama „reikalinga ir tinkama priežiūra“. Galiausiai pagal AIAĮ 83 straipsnį už tyčinį asmeninės informacijos atskleidimą arba jos vagystę numatyta iki vienerių metų laisvės atėmimo bausmė.

(60)

Duomenų subjektai turėtų būti informuoti apie pagrindinius jų asmens duomenų tvarkymo elementus.

(61)

Pagal AIAĮ 18 straipsnio 1 dalį AITVS privalo duomenų subjektui sudaryti galimybę susipažinti su informacija apie gautos asmeninės informacijos naudojimo tikslą, išskyrus „atvejus, kai naudojimo tikslas iš anksto buvo atskleistas visuomenei“. Tas pats reikalavimas taikomas ir leidžiamo tikslo keitimo atveju (18 straipsnio 3 dalis). Kartu taip užtikrinama, kad duomenų subjektas būtų informuotas apie tai, kad buvo surinkti jo duomenys. Nors AIAĮ iš esmės nereikalaujama, kad asmeninės informacijos surinkimo etapu AITVS informuotų duomenų subjektą apie numatomus šios informacijos gavėjus, toks informavimas yra būtina bet kokio paskesnio informacijos atskleidimo trečiajai šaliai (gavėjui) remiantis 23 straipsnio 2 dalimi (taigi, kai tai daroma be išankstinio duomenų subjekto sutikimo) sąlyga.

(62)

Kalbant apie „saugomus asmens duomenis“, AIAĮ 27 straipsnyje nustatyta, kad AITVS privalo duomenų subjektą informuoti apie jo tapatybę (kontaktiniai duomenys), naudojimo tikslą ir prašymo, susijusio su duomenų subjekto asmens teisėmis, numatytomis AIAĮ 28, 29 ir 30 straipsniuose, nagrinėjimo procedūras.

(63)

Kaip ir pagal Papildomas taisykles, pagal abi pirmiau nurodytas nuostatas asmens duomenys, perduoti iš Europos Sąjungos bus laikomi „saugomais asmens duomenimis“ nepriklausomai nuo jų saugojimo laikotarpio (nebent taikomos išimtys) ir jiems visada bus taikomi skaidrumo reikalavimai.

(64)

Ir AIAĮ 18 straipsnio reikalavimams, ir AIAĮ 27 straipsnyje numatytai prievolei informuoti apie naudojimo tikslą, taikomos tos pačios išimtys, daugiausia grindžiamos viešuoju interesu ir duomenų subjekto, trečiųjų šalių ir duomenų valdytojo teisių ir interesų apsauga (37). Atsižvelgiant į AIAK gairėse pateiktą aiškinimą, šios išimtys taikomos labai konkrečiais atvejais, pavyzdžiui, kai pateikiant informaciją apie naudojimo tikslą kiltų pavojus teisėtoms priemonėms, kurių verslo subjektas imasi tam tikriems interesams apsaugoti (pavyzdžiui, kovai su sukčiavimu, pramoniniu šnipinėjimu, sabotažu).

(65)

Tais atvejais, kai tvarkomi „specialių kategorijų“ duomenys, turėtų būti taikomos konkrečios apsaugos priemonės.

(66)

AIAĮ 2 straipsnio 3 dalyje apibrėžta „asmeninė informacija, kuriai reikalinga speciali priežiūra“. Šioje nuostatoje kalbama apie „asmeninę informaciją, apimančią informaciją apie subjekto rasę, tikėjimą, socialinę padėtį, sveikatos istoriją, teistumą, tai, kad asmuo patyrė žalą dėl nusikaltimo, arba kitus apibūdinimus, kuriuos tvarkant pagal Ministrų kabineto įsakymą yra reikalinga speciali priežiūra, kad subjektas nepatirtų neteisingos diskriminacijos, nusistatymo ar kitų neigiamų pasekmių“. Dauguma šių kategorijų atitinka Reglamento (ES) 2016/679 9 ir 10 straipsniuose pateiktą neskelbtinų duomenų sąrašą. Konkrečiai, „sveikatos istorija“ atitinka duomenis apie sveikatą, o „informacija apie teistumą ir tai, kad asmuo patyrė žalą dėl nusikaltimo“ iš esmės atitinka Reglamento (ES) 2016/679 10 straipsnyje nurodytas kategorijas. AIAĮ 2 straipsnio 3 dalyje nurodytos kategorijos toliau aiškinamos Ministrų Kabineto įsakyme ir AIAK gairėse. Pagal AIAK gairių 2.3 skirsnio 8 punktą „sveikatos istorijos“ pakategorės, detalizuotos Ministrų Kabineto įsakymo 2 straipsnio ii ir iii punktuose, aiškinamos taip, kad apimtų genetinius ir biometrinius duomenis. Be to, nors į sąrašą nėra tiesiogiai įtraukti terminai „etninė kilmė“ ir „politinės pažiūros“, jame yra nuorodų į „rasę“ ir „įsitikinimus“. Kaip paaiškinta AIAK gairių 2.3 skirsnio 1 ir 2 punktuose, nuoroda į „rasę“ apima „etninius ryšius arba ryšius su tam tikra pasaulio dalimi“, o „įsitikinimai“ suvokiami kaip religinės ir politinės pažiūros.

(67)

Kaip matyti iš nuostatos formuluotės, šis sąrašas nėra baigtinis, nes į jį gali būti įtraukta kitų duomenų kategorijų, jei tvarkant šiuos duomenis kyla pavojus, kad „subjektas patirs neteisingą diskriminaciją, nusistatymą ar kitų neigiamų pasekmių“.

(68)

Nors „neskelbtinų“ duomenų sąvoka savaime yra socialinis konstruktas, nes ji grindžiama atitinkamos visuomenės kultūrinėmis ir teisinėmis tradicijomis, moraliniais argumentais, politikos kryptimis ir pan., atsižvelgiant į tai, kaip svarbu užtikrinti tinkamas neskelbtinų duomenų, perduodamų verslo subjektams Japonijoje, apsaugos priemones, Komisija pasiekė, kad specialios apsaugos priemonės, numatytos „asmeninei informacijai, kuriai reikalinga speciali priežiūra“, būtų taikomos visoms kategorijoms, Reglamente (ES) 2016/679 pripažintoms „neskelbtinais duomenimis“. Todėl 1 papildomoje taisyklėje nustatyta, kad iš Europos Sąjungos perduotus duomenis apie asmens seksualinį gyvenimą, seksualinę orientacinę ar priklausymą profesinei sąjungai AITVS tvarkys „taip pat, kaip asmeninę informaciją, kuriai reikalinga speciali priežiūra, kaip nustatyta [AIAĮ] 2 straipsnio 3 dalyje“.

(69)

Kalbant apie papildomas materialines apsaugos priemones, taikomas asmeninei informacijai, kuriai reikalinga speciali priežiūra, pagal AIAĮ 17 straipsnio 2 dalį AITVS nėra leidžiama gauti tokios rūšies duomenų be išankstinio atitinkamo asmens sutikimo, taikant tik ribotas išimtis (38). Be to, panaikinama galimybė, kad šios kategorijos asmeninė informacija bus atskleista trečiajai šaliai pagal AIAĮ 23 straipsnio 2 dalyje numatytą procedūrą (pagal kurią leidžiama perduoti duomenis trečiosioms šalims be atitinkamo asmens išankstinio sutikimo).

(70)

Pagal atskaitomybės principą duomenis tvarkantys subjektai privalo nustatyti tinkamas technines ir organizacines priemones, kad veiksmingai laikytųsi savo duomenų apsaugos prievolių ir galėtų įrodyti (visų pirma kompetentingai priežiūros institucijai), kad jų laikosi.

(71)

Kaip nurodyta 34 išnašoje (49 konstatuojamojoje dalyje), pagal AIAĮ 26 straipsnio 1 dalį AITVS privalo patikrinti trečiosios šalies, kuri teikia jiems asmens duomenis, tapatybę, ir „aplinkybes“, kuriomis trečioji šalis šiuos duomenis gavo (asmens duomenų, kuriems taikomas šis sprendimas, atveju pagal AIAĮ ir 3 papildomą taisyklę prie šių aplinkybių priskiriama informacija apie tai, kad duomenys buvo gauti iš Europos Sąjungos, bei pirminio duomenų perdavimo tikslas). Be kita ko, šia priemone siekiama užtikrinti duomenų tvarkymo teisėtumą visoje AITVS, tvarkančių asmens duomenis, grandinėje. Be to, pagal AIAĮ 26 straipsnio 3 dalį AITVS privalo registruoti gavimo datą ir (privalomą) informaciją, gautą iš trečiosios šalies pagal 1 dalį, taip pat atitinkamo asmens (duomenų subjekto) vardą ir pavardę, tvarkomų duomenų kategorijas ir (jei taikoma) aplinkybę, kad asmuo davė sutikimą dalytis jo asmens duomenimis. Kaip nurodyta AIAK taisyklių 18 straipsnyje, priklausomai nuo aplinkybių šie įrašai turi būti saugojami bent nuo vienų iki trejų metų. AIAK, vykdydama savo užduotis, gali paprašyti pateikti tokius įrašus (39).

(72)

AITVS turi greitai ir tinkamai išnagrinėti asmenų skundus dėl jų asmeninės informacijos tvarkymo. Siekiant palengvinti skundų nagrinėjimą, jie turėtų sukurti „[šiam] tikslui pasiekti reikalingą sistemą“, o tai reiškia, kad jie turėtų savo organizacijoje nustatyti tinkamas procedūras (pavyzdžiui, paskirstyti atsakomybę ar nurodyti kontaktinius asmenis).

(73)

Galiausiai AIAĮ sukuriama pramonės sektorių organizacijų dalyvavimo siekiant užtikrinti aukštą reikalavimų laikymosi lygį, sistema (žr. IV skyriaus 4 skirsnį). Tokių akredituotų asmeninės informacijos apsaugos organizacijų funkcija (40) – skatinti asmeninės informacijos apsaugą padedant įmonėms savo žiniomis ir prisidėti prie apsaugos priemonių įgyvendinimo, visų pirma, nagrinėjant individualius skundus ir padedant spręsti susijusius nesutarimus. Todėl dalyvaujančių AITVS jos gali prašyti (jei reikia) priimti reikiamas priemones (41). Be to, įvykus duomenų saugumo pažeidimams ar kitokiems saugumo incidentams AIAK iš principo turėtų informuoti AIAK bei duomenų subjektą (arba visuomenę) ir imtis reikiamų veiksmų, įskaitant priemones, skirtas sumažinti bet kokią žalą ir užtikrinti, kad panašūs pažeidimai nepasikartotų (42). Nors šios sistemos yra savanoriškos, 2017 m. rugpjūčio 10 d. AIAK buvo nurodžiusi 44 organizacijas, o vien didžiausioje iš jų, Japonijos informacijos tvarkymo ir plėtros centre (angl. Japan Information Processing and Development Center, JIPDEC), dalyvavo 15 436 verslo subjektai (43). Prie akredituotų organizacijų priskiriamos sektorių asociacijos, pavyzdžiui, Japonijos vertybinių popierių maklerių asociacija, Japonijos automobilių vairavimo mokyklų asociacija arba Santuokos tarpininkų asociacija (44).

(74)

Akredituotos asmeninės informacijos apsaugos organizacijos teikia metines savo veiklos ataskaitas. Remiantis AIAK paskelbta „AIAĮ įgyvendinimo padėties 2015 m. finansiniais metais apžvalga“, akredituotos asmeninės informacijos apsaugos organizacijos gavo 442 skundus, jų jurisdikcijai priklausančių verslo subjektų prašė pateikti 123 paaiškinimus, šių subjektų prašė pateikti dokumentus 41 byloje, pateikė 181 nurodymą ir dvi rekomendacijas (45).

(75)

Asmens duomenims, perduodamiems iš Europos Sąjungos verslo subjektams Japonijoje, užtikrinamas apsaugos lygis neturėtų sumažėti tokius duomenis toliau perduodant gavėjams trečiojoje valstybėje už Japonijos ribų. Toks „tolesnis perdavimas“, kuris Japonijos verslo subjekto požiūriu laikomas tarptautiniu perdavimu iš Japonijos, turėtų būti leidžiamas tik tada, kai tolesniam gavėjui, esančiam už Japonijos ribų, taikomos taisyklės, kuriomis užtikrinama panašaus lygio apsauga kaip Japonijos teisinėje sistemoje.

(76)

Pirmoji apsaugos priemonė įtvirtinta AIAĮ 24 straipsnyje, kuriame iš esmės draudžiama perduoti asmens duomenis trečiajai šaliai už Japonijos teritorijos ribų be išankstinio atitinkamo asmens sutikimo. 4 papildoma taisykle užtikrinama, kad perduodant duomenis iš Europos Sąjungos toks sutikimas bus duotas itin gerai informuoto asmens, nes pagal šią taisyklę atitinkamiems asmenims „turi būti pateikta būtina informacija apie aplinkybes, susijusias su perdavimu, kad subjektas galėtų priimti sprendimą dėl savo sutikimo“. Atsižvelgiant į tai, duomenų subjektas bus informuotas apie aplinkybę, kad duomenys bus perduoti į užsienį (todėl nebus taikomas AIAĮ), ir apie konkrečią paskirties šalį. Todėl duomenų subjektas galės įvertinti dėl perdavimo kylantį pavojų privatumui. Be to, kaip galima spręsti iš AIAĮ 23 straipsnio (žr. 47 konstatuojamąją dalį), subjektui teikiama informacija turėtų apimti jo 2 straipsnyje nurodytus privalomus elementus, visų pirma, informaciją apie trečiajai šaliai teikiamų asmens duomenų kategorijas ir atskleidimo būdą.

(77)

AIAĮ 24 straipsnyje, taikomame kartu su AIAK taisyklių 11-2 straipsniu, numatytos kelios šios sutikimu grindžiamos taisyklės išimtys. Be to, pagal 24 straipsnį tarptautiniam duomenų perdavimui taikomos tos pačios išimtys, kaip ir tos, kurios taikomos pagal AIAĮ 23 straipsnio 1 dalį (46).

(78)

Siekiant užtikrinti asmens duomenų, perduodamų iš Europos Sąjungos į Japoniją pagal šį sprendimą, apsaugos tęstinumą 4 papildomoje taisyklėje sustiprinamas apsaugos, taikomos AITVS perduodant tokius duomenis trečiosios valstybės gavėjui, lygis. Tai daroma ribojant ir nustatant tarptautinio perdavimo pagrindus, kuriais AITVS gali remtis vietoje sutikimo. Konkrečiau ir nepažeidžiant AIAĮ 23 straipsnio 1 dalyje nustatytų išimčių pagal šį sprendimą perduoti asmens duomenys be sutikimo gali būti (toliau) perduodami tik dviem atvejais: i) kai duomenys siunčiami į trečiąją valstybę, kuri, kaip pagal AIAĮ 24 straipsnį pripažino AIAK, suteikia tokio paties lygio apsaugą, kokia užtikrinama Japonijoje (47), arba ii) kai AITVS ir trečiosios šalies gavėjas sudarydami sutartį, kitokios formos privalomus susitarimus ar privalomus susitarimus įmonių grupėje kartu įgyvendino priemones, kuriomis suteikiama tokio paties lygio apsauga, kaip pagal AIAĮ, skaitant jį kartu su Papildomomis taisyklėmis. Antroji kategorija atitinka priemones, pagal Reglamentą (ES) 2016/679 taikomas siekiant užtikrinti tinkamas apsaugos priemones (visų pirma, sutarčių sąlygas ir įmonei privalomas taisykles). Be to, kaip patvirtino AIAK, net ir tais atvejais perdavimui taikomos bendrosios taisyklės, taikomos bet kokiam asmens duomenų teikimui trečiajai šaliai pagal AIAĮ (t. y., 23 straipsnio 1 dalyje nustatytas reikalavimas gauti sutikimą arba AIAĮ 23 straipsnio 2 dalyje nustatytas reikalavimas su galimybe pasinaudoti išimtimi). Jeigu į duomenų subjektą neįmanoma kreiptis dėl sutikimo arba siekiant pateikti reikalaujamą išankstinę informaciją pagal AIAĮ 23 straipsnio 2 dalį, perdavimo atlikti negalima.

(79)

Todėl, išskyrus atvejus, kai AIAK nustato, kad atitinkama trečioji valstybė užtikrina tokio paties lygio apsaugą, kaip ir ta, kuri užtikrinama AIAĮ (48), 4 papildomoje taisyklėje nustatytais reikalavimais draudžiama naudoti perdavimo priemones, kuriomis tarp Japonijos duomenų eksportuotojo ir trečiosios valstybės duomenų importuotojo nesukuriami įpareigojantys ryšiai ir kuriomis neužtikrinama reikiamo lygio apsauga. Pavyzdžiui, taip bus APEC tarpvalstybinių privatumo taisyklių (toliau – TPT) sistemos, kurioje Japonija dalyvauja (49), atveju, nes šioje sistemoje apsaugą lemia ne susitarimas, įpareigojantis eksportuotoją ir importuotoją jų dvišaliuose santykiuose, ir ji yra aiškiai žemesnio lygio, nei apsauga, užtikrinama AIAĮ ir Papildomose taisyklėse (50).

(80)

Galiausiai tolesnė apsaugos priemonė (tolesnio) perdavimo atveju išplaukia iš AIAĮ 20 ir 22 straipsnių. Pagal šias nuostatas, kai trečiosios valstybės subjektas (duomenų importuotojas) veikia AITVS (duomenų eksportuotojo) vardu, t. y. kaip (pagalbinis) duomenų tvarkytojas, pastarasis turi užtikrinti duomenų importuotojo priežiūrą dėl duomenų tvarkymo saugumo.

(81)

Kaip ir ES duomenų apsaugos teisės aktuose, AIAĮ asmenims užtikrinama įvairių teisiškai įgyvendinamų teisių. Prie jų priskiriama teisė susipažinti („atskleisti“), reikalauti ištaisyti bei ištrinti, taip pat teisė nesutikti („nustoti naudoti“).

(82)

Pirma, pagal AIAĮ 28 straipsnio 1 ir 2 dalis duomenų subjektas turi teisę reikalauti AITVS „atskleisti saugomus asmens duomenis, iš kurių galima nustatyti jo tapatybę“, o gavęs tokį prašymą AITVS duomenų subjektui „privalo <…> atskleisti saugomus asmens duomenis“. 29 straipsnio (teisė reikalauti ištaisyti duomenis) ir 30 straipsnio (teisė reikalauti nutraukti duomenų naudojimą) konstrukcija yra tokia pati kaip 28 straipsnio.

(83)

Ministrų Kabineto įsakymo 9 straipsnyje nurodyta, kad atskleidžiant asmeninę informaciją, kaip nurodyta AIAĮ 28 straipsnio 2 dalyje, tai turi būti daroma raštu, nebent AITVS ir duomenų subjektas susitarė kitaip.

(84)

Šioms teisėms taikomi trijų rūšių apribojimai, susiję su paties asmens ar trečiųjų šalių teisėmis ir interesais (51), rimtu kišimusi į AITVS verslo veiklą (52) bei atvejais, kai atskleidus šiuos duomenis būtų pažeisti kiti įstatymai ar taisyklės (53). Situacijos, kuriomis būtų taikomi šie apribojimai, yra panašios į kai kurias išimtis, taikomas pagal Reglamento (ES) 2016/679 23 straipsnio 1 dalį, kuriame leidžiama riboti asmenų teises dėl priežasčių, susijusių su „duomenų subjekto apsauga arba kitų asmenų teisių ir laisvių apsauga“ arba „kitais svarbiais tikslais, susijusiais su bendrais viešaisiais interesais“. Nors atvejų, kuriais atskleidus duomenis būtų pažeisti „kiti įstatymai ar taisyklės“ kategorija gali atrodyti plati, įstatymuose ir taisyklėse, kuriuose numatomi tokie apribojimai, turi būti atsižvelgta į konstitucinę teisę į privatumą, o apribojimai gali būti nustatomi tik tada, jei šios teisės įgyvendinimas „trukdytų visuomenės gerovei“ (54). Todėl reikia suderinti atitinkamus interesus.

(85)

Pagal AIAĮ 28 straipsnio 3 dalį, jei prašomų duomenų nėra, arba jei atitinkamas AITVS nusprendžia neleisti susipažinti su saugomais duomenimis, privaloma apie tai nedelsiant informuoti asmenį.

(86)

Antra, pagal AIAĮ 29 straipsnio 1 ir 2 dalis duomenų subjektas turi teisę prašyti ištaisyti, papildyti arba ištrinti saugomus jo asmens duomenis, jei šie duomenys yra netikslūs. Gavęs tokį prašymą AITVS „privalo <…> atlikti reikalingą tyrimą“ ir remdamasis šio tyrimo rezultatais „pataisyti ir pan. saugomų duomenų turinį“.

(87)

Trečia, pagal AIAĮ 30 straipsnio 1 ir 2 dalis duomenų subjektas turi teisę reikalauti, kad AITVS nebenaudotų asmeninės informacijos arba ją ištrintų, kai ši informacija tvarkoma pažeidžiant AIAĮ 16 straipsnį (dėl tikslo ribojimo) arba ji buvo neteisėtai gauta pažeidžiant AIAĮ 17 straipsnį (dėl gavimo apgaule, kitais netinkamais būdais arba, neskelbtinų duomenų atveju – be sutikimo). Taip pat pagal AIAĮ 30 straipsnio 3 ir 4 dalis asmuo turi teisę reikalauti, kad AITVS neteiktų informacijos trečiajai šaliai, jei tai pažeistų AIAĮ 23 straipsnio 1 dalį arba 24 straipsnį (dėl informacijos teikimo trečiajai šaliai, įskaitant tarptautinį perdavimą).

(88)

Jei prašymas yra pagrįstas, AITVS privalo nedelsiant nustoti naudoti duomenis arba juos teikti trečiajai šaliai, jei tai būtina pažeidimui pašalinti, arba, jei taikoma išimtis (visų pirma, jei nutraukus naudojimą būtų patirta itin didelių išlaidų) (55), įgyvendinti reikiamas alternatyvias priemones, skirtas apsaugoti atitinkamo asmens teises ir interesus.

(89)

Kitaip nei ES teisės aktuose, AIAĮ ir atitinkamose poįstatyminėse taisyklėse nėra teisės nuostatų, konkrečiai skirtų klausimui dėl galimybės nesutikti su duomenų tvarkymu tiesioginės rinkodaros tikslais. Tačiau pagal šį sprendimą toks duomenų tvarkymas bus atliekamas perduodant anksčiau Europos Sąjungoje surinktus asmens duomenis. Pagal Reglamento (ES) 2016/679 21 straipsnio 2 dalį duomenų subjektas visada turi galimybę nesutikti su duomenų perdavimu, kad jie būtų tvarkomi tiesioginės rinkodaros tikslais. Be to, kaip paaiškinta 43 konstatuojamojoje dalyje, pagal 3 papildomą taisyklę pagal Sprendimą gautus duomenis AITVS privalo tvarkyti tuo pačiu tikslu, kuriuo duomenys buvo perduoti iš Europos Sąjungos, nebent duomenų subjektas sutinka pakeisti naudojimo tikslą. Todėl, jei duomenys buvo perduoti ne tiesioginės rinkodaros, o kokiu nors kitu tikslu, AITVS Japonijoje bus uždrausta tvarkyti duomenis tiesioginės rinkodaros tikslais be ES duomenų subjekto sutikimo.

(90)

Visais AIAĮ 28 ir 29 straipsniuose nurodytais atvejais AITVS privalo nedelsdamas pranešti asmeniui apie jo prašymo nagrinėjimo rezultatą ir paaiškinti bet kokį (dalinį) atsisakymą, grindžiamą AIAĮ 27–30 straipsniuose numatytomis išimtimis (AIAĮ 31 straipsnis).

(91)

Kalbant apie prašymo pateikimo sąlygas, AIAĮ 23 straipsnyje (kartu su Ministrų Kabineto įsakymu) AITVS leidžiama nustatyti pagrįstas procedūras, įskaitant dėl informacijos, reikalingos saugomiems asmens duomenims nustatyti. Tačiau, atsižvelgiant į šio straipsnio 4 pastraipą, AITVS negali „užkrauti subjektui pernelyg didelės naštos“. Tam tikrais atvejais AITVS taip pat gali nustatyti mokesčius, jei jų dydis yra „laikytinas pagrįstu atsižvelgiant į faktines išlaidas“ (AIAĮ 33 straipsnis).

(92)

Galiausiai, asmuo gali nesutikti, kad jo asmens duomenys būtų teikiami trečiajai šaliai pagal AIAĮ 23 straipsnio 2 dalį arba atsisakyti duoti sutikimą pagal 23 straipsnio 1 dalį (todėl užkertamas kelias atskleisti duomenis, jei nebūtų kitų teisinių pagrindų). Taip pat asmuo gali sustabdyti duomenų tvarkymą kitu tikslu atsisakydamas duoti sutikimą pagal AIAĮ 16 straipsnio 1 dalį.

(93)

Kitaip nei ES teisės aktuose, AIAĮ ir atitinkamose poįstatyminėse taisyklėse nėra bendrų nuostatų, skirtų klausimui dėl sprendimų, turinčių pasekmių duomenų subjektui ir grindžiamų tik automatizuotu asmens duomenų tvarkymu. Tačiau šis klausimas išspręstas tam tikromis Japonijoje taikomomis sektorinėmis taisyklėmis, kurios ir kurios yra ypač aktualios tokio duomenų tvarkymo požiūriu. Tai apima sektorius, kuriuose labiausiai tikėtina, kad bendrovės naudos automatizuoto asmens duomenų tvarkymo priemones, kad priimtų asmeniui pasekmių turinčius sprendimus (pvz., finansų sektoriuje). Pavyzdžiui, 2017 m. birželio mėn. pataisytose „Išsamiose pagrindinių bankų priežiūros gairėse“ reikalaujama, kad atitinkamam asmeniui būtų pateikti konkretūs paaiškinimai dėl prašymo sudaryti paskolos sutartį atmetimo priežasčių. Todėl šiomis taisyklėmis apsauga teikiama greičiausiai tik nedaugeliu atvejų, kai automatizuotus sprendimus priimtų pats „importuojantis“ Japonijos verslo subjektas (o ne „eksportuojantis“ ES duomenų valdytojas).

(94)

Bet kuriuo atveju, dėl asmens duomenų, surinktų Europos Sąjungoje, bet kokį automatizuotu duomenų tvarkymo grindžiamą sprendimą paprastai priims duomenų valdytojas Sąjungoje (kuris turi tiesioginį ryšį su atitinkamu duomenų subjektu), kuriam taikomas Reglamentas (ES) 2016/679 (56). Tai apima perdavimo atvejus, kai duomenis tvarko užsienio (pvz., Japonijos) verslo subjektas, veikiantis kaip atstovas (duomenų tvarkytojas) ES duomenų valdytojo (arba kaip pagalbinis duomenų tvarkytojas, veikiantis ES duomenų tvarkytojo, gavusio duomenis iš ES duomenų valdytojo, kuris juos surinko, vardu) ir jų pagrindu priimančio sprendimą, vardu. Todėl mažai tikėtina, kad tai, jog AIAĮ nėra konkrečių automatizuotų sprendimų priėmimo taisyklių, turės įtakos pagal sprendimą perduotų asmens duomenų apsaugos lygiui.

(95)

Siekiant užtikrinti, kad tinkamas duomenų apsaugos lygis būtų užtikrinamas ir praktiškai, reikalinga nepriklausoma priežiūros institucija, kuriai suteikti įgaliojimai stebėti, kaip laikomasi duomenų apsaugos taisyklių, ir užtikrinti, kad jų būtų laikomasi. Atlikdama savo pareigas ir naudodamasi savo įgaliojimais ši institucija turėtų veikti visiškai nepriklausomai ir nešališkai.

(96)

Japonijoje už AIAĮ laikymosi stebėseną ir jo vykdymo užtikrinimą atsakinga institucija yra AIAK. Ją sudaro pirmininkas ir aštuoni komisijos nariai, paskirti Ministro Pirmininko su abiejų Parlamento rūmų sutikimu. Pirmininko ir kiekvieno komisijos nario kadencija yra penkeri metai su galimybe būti paskirtam kitai kadencijai (AIAĮ 64 straipsnis). Komisijos nariai gali būti atleisti iš pareigų tik dėl rimtos priežasties esant ribotoms išskirtinėms aplinkybėms (57) ir negali aktyviai užsiimti politine veikla. Be to, pagal AIAĮ visą darbo laiką dirbantys Komisijos nariai negali užsiimti jokia kita atlygintina veikla arba verslo veikla. Komisijos nariams taip pat taikomos vidaus taisyklės, draudžiančios dalyvauti svarstant bylą galimo interesų konflikto atveju. AIAK padeda sekretoriatas, įkurtas AIAK paskirtoms užduotims atlikti, kuriam vadovauja Generalinis sekretorius (AIAĮ 70 straipsnis). Ir Komisijos nariams, ir visiems Sekretoriato pareigūnams taikomos griežtos slaptumo taisyklės (AIAĮ 72 ir 82 straipsniai).

(97)

AIAK įgaliojimai, kuriuos ji vykdo visiškai nepriklausomai (58), iš esmės numatyti AIAĮ 40, 41 ir 42 straipsniuose. Pagal 40 straipsnį AIAK gali prašyti AITVS pranešti apie duomenų tvarkymo operacijas arba pateikti su tuo susijusius dokumentus, ir taip pat gali atlikti patikrinimus vietoje ir knygų bei kitų dokumentų patikrinimus. Jei tai būtina siekiant užtikrinti AIAĮ vykdymą, AIAK taip pat gali teikti AITVS konsultacijas ar patarimus dėl asmeninės informacijos tvarkymo. AIAK jau pasinaudojo šia teise pagal AIAĮ 41 straipsnį, parengusi „Facebook“ gaires, paskelbtas atskleidus informaciją apie „Facebook“ ir „Cambridge Analytica“.

(98)

Svarbiausia, AIAK turi įgaliojimus (veikdama pagal skundą arba savo iniciatyva) teikti rekomendacijas ir nurodymus, skirtus atskirais atvejais užtikrinti AIAĮ ir kitų privalomų taisyklių (įskaitant Papildomas taisykles) vykdymą. Šie įgaliojimai yra išdėstyti AIAĮ 42 straipsnyje. Nors šio straipsnio 1 ir 2 dalyse numatytas dviejų etapų mechanizmas, pagal kurį AIAK gali priimti nurodymą (tik) po anksčiau pateiktos rekomendacijos, pagal 3 dalį skubos atvejais nurodymą leidžiama priimti tiesiogiai.

(99)

Nors AIAĮ 42 straipsnio 1 dalyje (kuris taip pat lemia 42 straipsnio 2 dalies taikymo sritį) nurodytos ne visos AIAĮ IV skyriaus 1 skirsnio nuostatos, tai galima paaiškinti tuo, kad kai kurios iš šių nuostatų nėra susijusios su AITVS prievolėmis (59) ir kad visos būtinos apsaugos priemonės jau yra numatytos kitose į tą sąrašą įtrauktose nuostatose. Pavyzdžiui, nors 15 straipsnis (pagal kurį AITVS privalo nustatyti naudojimo tikslą, o atitinkamą asmeninę informaciją tvarkyti tik šiuo tikslu) nenurodytas, nesilaikant šio reikalavimo gali būti teikiama rekomendacija, grindžiama 16 straipsnio 1 dalies (kuriame AITVS draudžiama tvarkyti asmeninę informaciją viršijant tai, kas būtina naudojimo tikslui pasiekti, nebent AITVS gauna duomenų subjekto sutikimą) (60) pažeidimu. Kita AIAĮ 42 straipsnio 1 dalyje nenurodyta nuostata – AIAĮ 19 straipsnis dėl duomenų tikslumo ir saugojimo. Nesilaikant šios nuostatos jos vykdymas gali būti užtikrinamas nustatant 16 straipsnio 1 dalies pažeidimą arba 29 straipsnio 2 dalies pažeidimą, jei atitinkamas asmuo prašo ištaisyti arba ištrinti klaidingus arba perteklinius duomenis, o AITVS atsisako tenkinti šį prašymą. Kalbant apie duomenų subjekto teises, numatytas 28 straipsnio 1 dalyje, 29 straipsnio 1 dalyje ir 30 straipsnio 1 dalyje, AIAK priežiūra užtikrinama suteikiant jai vykdymo užtikrinimo įgaliojimus šiuose straipsniuose nustatytų atitinkamų AITVS prievolių atžvilgiu.

(100)

Pagal AIAĮ 42 straipsnio 1 dalį AIAK, nustačiusi, kad „reikia apsaugoti asmens teises ir interesus tais atvejais, kai [AITVS] pažeidė“ konkrečias AIAĮ nuostatas, gali priimti rekomendaciją „sustabdyti pažeidimo veiksmą arba imtis kitų reikalingų veiksmų pažeidimui ištaisyti“. Tokia rekomendacija nėra privaloma, tačiau sudaro galimybę priimti privalomą nurodymą pagal AIAĮ 42 straipsnio 2 dalį. Remiantis šia nuostata, jei rekomendacija nevykdoma „be teisėto pagrindo“, o AIAK „pripažįsta, kad rimtas asmens teisių ir interesų pažeidimas yra neišvengiamas“, ji gali nurodyti AITVS imtis veiksmų pagal rekomendaciją.

(101)

Papildomose taisyklėse išsamiau paaiškinami ir sustiprinami AIAK vykdymo užtikrinimo įgaliojimai. Be to, tais atvejais, kai duomenys importuojami iš Europos Sąjungos, tai, kad AITVS be teisėto pagrindo nesiima veiksmų pagal rekomendaciją, kurią AIAK priėmė pagal 42 straipsnio 1 dalį, AIAK visada vertins kaip rimtą neišvengiamą asmens teisių ir interesų pažeidimą, kaip numatyta 42 straipsnio 2 dalyje, taigi pažeidimą, dėl kurio galima priimti privalomą nurodymą. Be to, rekomendacijos nesilaikymo „teisėtų pagrindu“ AIAK pripažins tik „išskirtinį įvykį, [užkertantį kelią laikytis reikalavimų], nepriklausantį nuo [AITVS], kurio negalima pagrįstai numatyti (pavyzdžiui, gaivalinę nelaimę)“ arba atvejus, kai būtinybė imtis veiksmų dėl rekomendacijos „išnyko, nes [AITVS] ėmėsi alternatyvių veiksmų, kuriais visiškai ištaisytas pažeidimas“.

(102)

AIAK nurodymo nevykdymas pagal AIAĮ 84 straipsnį laikomas baudžiamąją veika, o kaltu pripažintas AITVS gali būti baudžiamas laisvės atėmimo bausme iki šešerių mėnesių atliekant darbus arba bauda iki 300 000 jenų. Be to, pagal AIAĮ 85 straipsnio i punktą už nepakankamą bendradarbiavimą su AIAK arba trukdymą jos atliekama tyrimui baudžiama iki 300 000 jenų bauda. Šios baudžiamosios sankcijos taikomos papildomai prie sankcijų, kurios gali būti taikomos dėl sunkių AIAĮ pažeidimų (žr. 108 konstatuojamąją dalį).

(103)

Siekiant užtikrinti tinkamą apsaugą ir, visų pirma, individualių teisių įgyvendinimą, duomenų subjektui turėtų būti suteikta veiksmingų administracinių ir teisminių teisių gynimo priemonių, įskaitant kompensaciją už patirtą žalą.

(104)

Prieš imdamasis administracinių arba teisminių teisių gynimo priemonių arba vietoj to asmuo gali nuspręsti pačiam duomenų valdytojui pateikti skundą dėl jo asmens duomenų tvarkymo. Remiantis AIAĮ 35 straipsniu, AITVS turi stengtis „tinkamai ir nedelsiant“ išnagrinėti tokius skundus ir sukurti vidines skundų nagrinėjimo sistemas, skirtas šiam tikslui pasiekti. Be to, pagal AIAĮ 61 straipsnio ii punktą AIAK yra atsakinga už „reikiamą tarpininkavimą dėl pateikto skundo ir bendradarbiavimą su skundą nagrinėjančiu verslo subjektu“, o tai abiem atvejais apima užsieniečių pateiktus skundus. Atsižvelgdamas į tai, Japonijos įstatymų leidėjas vietos valdžiai taip pat patikėjo užduotį imtis „reikiamų veiksmų“, skirtų sudaryti sąlygas AITVS išnagrinėti skundus ir šį procesą palengvinti (9 straipsnis), o vietos valdžios institucijos tokiais atvejais turi stengtis užtikrinti tarpininkavimą. Todėl asmenys gali pateikti skundą vienam iš daugiau nei 1 700 vartotojų centrų, įkurtų vietos valdžios institucijų remiantis Vartotojų saugos įstatymu (61), bei turi galimybę pateikti skundą Japonijos nacionaliniam vartotojų reikalų centrui. Tokius skundus galima teikti ir dėl AIAĮ pažeidimo. Pagal Pagrindinio vartotojų įstatymo 19 straipsnį (62) vietos valdžios institucijos turi stengtis tarpininkauti dėl skundų ir suteikti šalims reikalingų žinių. Atrodo, kad šie ginčų sprendimo mechanizmai yra gana veiksmingi, nes 2015 m. buvo išspręsta 91,2 proc. iš daugiau nei 75 000 bylų dėl skundų.

(105)

AITVS pažeidus AIAĮ nuostatas gali būti pareikšti civiliniai ieškiniai, taip pat pradedamas baudžiamasis procesas ir skiriamos sankcijos. Pirma, jei asmuo mano, kad buvo pažeistos jo teisės, numatytos AIAĮ 28, 29 ir 30 straipsniuose, jis gali siekti teismo įpareigojimo, prašydamas teismo nurodyti AITVS tenkinti jo prašymą pagal vieną iš šių nuostatų, t. y. atskleisti saugomus asmens duomenis (28 straipsnis), ištaisyti saugomus asmens duomenis, kurie yra klaidingi (29 straipsnis) arba nustoti neteisėtai tvarkyti duomenis arba juos teikti trečiajai šaliai (30 straipsnis). Tokį ieškinį galima pareikšti nesiremiant Civilinio kodekso 709 straipsniu (63) ar deliktų teise (64). Visų pirma tai reiškia, kad asmuo neturės įrodyti, jog buvo padaryta kokia nors žala.

(106)

Antra, kai tariamas pažeidimas yra susijęs ne su asmens teisėmis, numatytomis 28, 29 ir 30 straipsniuose, o su bendraisiais duomenų apsaugos principais arba AITVS prievolėmis, atitinkamas asmuo gali verslo subjektui pareikšti civilinį ieškinį remdamasis Japonijos civilinio kodekso nuostatomis dėl deliktų, visų pirma 709 straipsniu. Nors norint pareikšti ieškinį pagal 709 straipsnį be kaltės (tyčios arba aplaidumo) reikia įrodyti žalos buvimą, pagal Civilinio kodekso 710 straipsnį tokia žala gali būti ir turtinė, ir neturtinė. Nėra nustatyta jokių kompensacijos dydžio apribojimų.

(107)

Kalbant apie galimas teisių gynimo priemones, Japonijos civilinio kodekso 709 straipsnyje nurodoma piniginė kompensacija. Tačiau Japonijos teismų praktikoje šis straipsnis aiškinamas taip, kad jame numatyta teisė taikyti teismo įpareigojimą (65). Todėl, jei duomenų subjektas pareiškia ieškinį pagal Civilinio kodekso 709 straipsnį ir pareiškia, kad jo teisės arba interesai buvo pažeisti dėl atsakovo padaryto AIAĮ nuostatos pažeidimo, jis gali reikalauti ne tik atlyginti žalą, bet ir prašyti teismo įpareigojimo, visų pirma, skirto sustabdyti bet kokį neteisėtą duomenų tvarkymą.

(108)

Trečia, be civilinės teisės (deliktų) teisių gynimo priemonių duomenų subjektas gali prokurorui arba teismines funkcijas atliekančiam policijos pareigūnui pateikti skundą dėl AIAĮ pažeidimų, dėl kurio gali būti taikomos baudžiamosios sankcijos. AIAĮ VII skyriuje nurodyta keletas baudžiamųjų nuostatų. Svarbiausia iš jų (84 straipsnis) taikoma tada, kai AITVS nesilaiko pagal 42 straipsnio 2 ir 3 dalis priimtų AIAK nurodymų. Jei verslo subjektas nevykdo AIAK priimto nurodymo, AIAK pirmininkas (taip pat bet koks kitas vyriausybės pareigūnas) (66) gali perduoti bylą prokurorui arba teismines funkcijas atliekančiam policijos pareigūnui ir taip pradėti baudžiamąjį procesą. Už AIAK nurodymo pažeidimą gali būti skiriama laisvės atėmimo bausmė iki šešių mėnesių atliekant darbus arba bauda iki 300 000 jenų. Kitos AIAĮ nuostatos, kuriose numatytos sankcijos už AIAĮ pažeidimus, turinčius poveikį duomenų subjektų teisėms ir interesams: AIAĮ 83 straipsnis (dėl asmeninės informacijos duomenų bazės „slapto pateikimo arba naudojimo“„siekiant <…> neteisėtai gauti pelno“) ir AIAĮ 88 straipsnio i punktas (dėl trečiosios šalies nesugebėjimo tinkamai informuoti AITVS, kai šis gauna asmens duomenis pagal AIAĮ 26 straipsnio 1 dalį, visų pirma, apie tai, kaip pati trečioji šalis prieš tai gavo tokius duomenis). Už tokius AIAĮ pažeidimus taikomos nuobaudos: atitinkamai, laisvės atėmimas atliekant darbus iki vienerių metų arba bauda iki 500 000 jenų (pagal 83 straipsnį) arba administracinė nuobauda iki 100 000 jenų (pagal 88 straipsnio 1 punktą). Nors gresianti baudžiamoji sankcija greičiausiai jau turi stiprų atgrasomąjį poveikį verslo vadovams, kurie kontroliuoja AITVS duomenų tvarkymo veiksmus, bei duomenis tvarkantiems asmenims, AIAĮ 87 straipsnyje paaiškinta, kad, kai juridinio asmens atstovas, samdomas ar kitas darbuotojas pažeidžia AIAĮ 83–85 straipsnius, „subjektas bus nubaustas, o atitinkamuose straipsniuose nustatyta bauda bus skirta minėtam juridiniam asmeniui“. Šiuo atveju tiek darbuotojui, tiek bendrovei gali būti taikomos maksimalios sankcijos.

(109)

Galiausiai, asmenys gali kreiptis dėl teisių gynimo priemonių dėl AIAK veiksmų ar neveikimo. Šiuo atžvilgiu Japonijos teisės aktuose numatyti keli būdai pasinaudoti administracinėmis ir teisminėmis teisių gynimo priemonėmis.

(110)

Kai asmuo nesutinka su veiksmais, kurių ėmėsi AIAK, jis gali pateikti administracinį skundą pagal Administracinių skundų nagrinėjimo įstatymą (67) Priešingai, jei asmuo mano, kad AIAK turėjo imtis veiksmų, tačiau to nepadarė, jis gali pagal to Įstatymo 36-3 straipsnį prašyti, kad AIAK pareikštų valią arba pateiktų konsultaciją administraciniais klausimais, jei mano, kad „nebuvo padarytas ar nustatytas valios pareiškimas arba konsultacija administraciniais klausimais, reikalingi pažeidimui ištaisyti“.

(111)

Kalbant apie teismines teisių gynimo priemones, pagal Administracinių bylų nagrinėjimo įstatymą asmuo, nesutinkantis su AIAK padarytu administraciniu pareiškimu, gali pareikšti mandamus ieškinį (68), prašydamas teismo nurodyti AIAK imtis papildomų veiksmų (69). Tam tikrais atvejais teismas taip pat gali priimti laikinąją mandamus nutartį, kad būtų išvengta nepataisomos žalos (70). Be to, pagal tą patį Įstatymą asmuo gali prašyti panaikinti AIAK sprendimą (71).

(112)

Galiausiai, asmuo gali pagal Valstybės žalos atlyginimo įstatymo 1 straipsnio 1 dalį pareikšti AIAK ieškinį dėl valstybinės kompensacijos, jei asmuo patyrė žalos dėl to, kad AIAK priimtas verslo subjektui skirtas nurodymas yra neteisėtas arba dėl to, kad AIAK neįgyvendino savo įgaliojimų.

(113)

Komisija taip pat įvertino apribojimus ir apsaugos priemones, įskaitant pagal Japonijos teisės aktus galimus priežiūros ir individualių teisių gynimo priemonių mechanizmus valdžios institucijoms renkant ir vėliau naudojant asmens duomenis, perduotus verslo subjektams Japonijoje, viešojo intereso, visų pirma, teisėsaugos ir nacionalinio saugumo tikslais („vyriausybės prieiga“). Atsižvelgiant į tai, Japonijos Vyriausybė Komisijai pateikė aukščiausiu ministrų ir įstaigų lygmeniu pasirašytus oficialius pareiškimus, garantijas ir įsipareigojimus, kurie pateikiami šio sprendimo II priede.

(114)

Vyriausybės prieiga, kaip valdžios funkcijų vykdymas, turi būti įgyvendinama visapusiškai laikantis teisės aktų (teisėtumo principas). Šiuo atžvilgiu Japonijos Konstitucijoje yra nuostatų, kuriose nustatyta, kaip valdžios institucijos renka asmens duomenis, ir ši veikla ribojama. Kaip minėta kalbant apie verslo subjektų atliekamą duomenų tvarkymą, Japonijos Aukščiausiasis teismas, remdamasis Konstitucijos 13 straipsniu, kuriuo, be kita ko, saugoma teisė į laisvę, pripažino teisę į privatumą ir duomenų apsaugą (72). Vienas svarbus šios teisės aspektas yra asmens laisvė, kad jo asmeninė informacija be leidimo nebūtų atskleista trečiajai šaliai (73). Tai reiškia teisę į veiksmingą asmens duomenų apsaugą nuo piktnaudžiavimo ir (visų pirma) neteisėtos prieigos. Papildoma apsauga užtikrinama Konstitucijos 35 straipsniu dėl visų asmens teisės saugiai jaustis savo namuose, dėl savo dokumentų ir daiktų, pagal kurį visais atvejais atliekant „kratas ir poėmius“ valdžios institucijos privalo gauti dėl „tinkamos priežasties“ (74) priimtą teismo orderį. Aukščiausiasis Teismas savo 2017 m. kovo 15 d. sprendime (GPS byla) išaiškino, kad šis reikalavimas turėti orderį taikomas visada, kai vyriausybė įsikiša į privačią sritį tokiu būdu, kuriuo neatsižvelgiama į asmens valią, kaip antai vykdant „privalomą tyrimą“. Teisėjas tokį orderį gali priimti tik remdamasis konkrečiu įtarimu dėl nusikaltimų, t. y. kai pateikiami dokumentiniai įrodymai, kuriais remiantis asmuo, dėl kurio atliekamas tyrimas, gali būti laikomas padariusiu nusikalstamą veiką (75). Todėl Japonijos institucijos neturi teisinių įgaliojimų privalomomis priemonėmis rinkti asmeninę informaciją tais atvejais, kai joks teisės pažeidimas dar nėra įvykęs (76), pavyzdžiui, siekiant užkirsti kelią nusikaltimui ar kitokiai grėsmei saugumui (kaip yra nacionalinio saugumo sumetimais atliekamų tyrimų atveju).

(115)

Pagal teisėtumo principą bet koks duomenų rinkimas priverstinio tyrimo metu turi būti konkrečiai leidžiamas įstatyme (kaip nurodyta, pavyzdžiui, Baudžiamojo proceso kodekso (BPK) 197 straipsnio 1 dalyje dėl privalomo informacijos rinkimo nusikalstamos veikos tyrimo tikslais). Šis reikalavimas taip pat taikomas galimybei susipažinti su elektronine informacija.

(116)

Pažymėtina, kad Konstitucijos 21 straipsnio 2 dalyje garantuojamas visų ryšio priemonių slaptumas, o ši nuostata gali būti ribojama tik teisės aktais dėl viešojo intereso. Telekomunikacijų verslo įstatymo 4 straipsniu, pagal kurį draudžiama pažeisti telekomunikacijų operatoriaus tvarkomų ryšių slaptumą, šis konfidencialumo reikalavimas įgyvendinamas statutinės teisės lygmeniu. Jis aiškinamas kaip draudimas atskleisti ryšių informaciją, nebent gautas naudotojų leidimas arba taikomas vienas iš aiškiai nustatytų atleidimo nuo baudžiamosios atsakomybės pagrindų pagal Baudžiamąjį kodeksą (77).

(117)

Konstitucijoje taip pat garantuojama teisė kreiptis į teismą (32 straipsnis) ir teisė iškelti valstybei bylą dėl žalos atlyginimo, jei asmuo dėl neteisėtų valstybės pareigūno veiksmų patyrė žalos (17 straipsnis).

(118)

Kalbant apie būtent teisę į duomenų apsaugą, AIAĮ 3 skyriaus 1, 2 ir 3 skirsniuose nustatyti bendrieji principai, taikomi visuose sektoriuose, įskaitant viešąjį sektorių. Visų pirma AIAĮ 3 straipsnyje nustatyta, kad visa asmeninė informacija turi būti tvarkoma atsižvelgiant į pagarbos asmenybei principą. Valdžios institucijoms surinkus („gavus“) asmeninę informaciją (įskaitant kaip elektroninius įrašus) (78), jos tvarkymą reglamentuoja Administravimo organų turimos asmeninės informacijos apsaugos įstatymas (toliau – AOTAIAĮ) (79). Jis iš esmės taikomas (80) ir tvarkant asmeninę informaciją baudžiamosios teisėsaugos ar nacionalinio saugumo tikslais. Be kita ko, AOTAIAĮ nustatyta, kad valdžios institucijos: i) gali saugoti asmeninę informaciją, tik jei tai būtina jų pareigoms vykdyti; ii) tokios informacijos negali naudoti „neteisėtu“ tikslu arba nepagrįstai ją atskleisti trečiajam asmeniui; iii) turi nurodyti tikslą ir negali jo pakeisti daugiau, nei tai gali būti pagrįstai laikoma susiję su pradiniu tikslu (tikslo ribojimas); iv) saugomos asmeninės informacijos iš esmės negali naudoti ar teikti trečiajam asmeniui kitais tikslais, o, jei mano, kad tai reikalinga, gali nustatyti trečiųjų šalių naudojimo tikslo arba būdo ribojimus; v) turi stengtis užtikrinti informacijos teisingumą (duomenų kokybė); vi) turi imtis reikalingų priemonių siekiant tinkamai tvarkyti informaciją ir išvengti jos atskleidimo, praradimo ar sugadinimo (duomenų saugumas) ir vii) turi stengtis tinkamai ir greitai išnagrinėti bet kokius skundus dėl informacijos tvarkymo (81).

(119)

Japonijos teisės aktuose numatyta keletas apribojimų dėl susipažinimo su asmens duomenimis ir jų naudojimo baudžiamosios teisėsaugos tikslais, taip pat priežiūros ir teisių gynimo priemonių mechanizmai, numatantys pakankamas apsaugos priemones, kad šie duomenys būtų veiksmingai apsaugoti nuo neteisėtų veiksmų ir piktnaudžiavimo.

(120)

Japonijos teisinėje sistemoje rinkti elektroninę informaciją baudžiamosios teisėsaugos tikslais leidžiama pagal orderį (privalomas rinkimas) arba prašymą dėl savanoriško atskleidimo.

(121)

Kaip nurodyta 115 konstatuojamojoje dalyje, bet koks duomenų rinkimas priverstinio tyrimo metu turi būti konkrečiai leidžiamas teisės aktuose ir gali būti vykdomas tik pagal teismo orderį, „priimtą dėl tinkamos priežasties“ (Konstitucijos 35 straipsnis). Nusikalstamų veikų tyrimo atveju šis reikalavimas nurodytas Baudžiamojo proceso kodekso (toliau – BPK nuostatose). Pagal BPK 197 straipsnio 1 dalį privalomos priemonės „negali būti taikomos, išskyrus tada, jei šiame kodekse yra nustatytos specialios nuostatos“. Kalbant apie elektroninės informacijos rinkimą (82) vieninteliai šiuo atžvilgiu aktualūs teisiniai pagrindai yra BPK 218 straipsnis (krata ir poėmis) ir BPK 222-2 straipsnis, pagal kuriuos privalomos elektroninių ryšių perėmimo priemonės be kurios nors iš šalių sutikimo turi būti vykdomos remiantis kitais įstatymais, visų pirma Įstatymu dėl pokalbių klausymosi atliekant nusikalstamos veikos tyrimą (toliau – Pokalbių klausymosi įstatymas). Abiem atvejais taikomas reikalavimas dėl orderio.

(122)

Tiksliau, pagal BPK 213 straipsnio 1 dalį prokuroras, prokuroro padėjėjas ar kriminalinės policijos pareigūnas, gali, jei būtina atliekant nusikalstamos veikos tyrimą, kratą arba poėmį atlikti (įskaitant nurodyti pateikti įrašus) pagal teisėjo iš anksto priimtą orderį (83). Be kita ko, tokiame orderyje turi būti nurodytas įtariamojo arba kaltinamojo vardas ir pavardė, nusikalstama veika, kurios padarymu kaltinamas asmuo (84), elektromagnetiniai įrašai, kuriuos reikia paimti, ir „vietos bei daiktai“, kuriuos reikia patikrinti (BPK 219 straipsnio 1 dalis).

(123)

Pagal Pokalbių klausymosi įstatymo 3 straipsnį taikyti ryšių perėmimo priemones leidžiama tik laikantis griežtų reikalavimų. Visų pirma valdžios institucijos privalo iš anksto gauti teismo orderį, kuris gali būti išduodamas tik atliekant konkrečių sunkių nusikaltimų (nurodytų Įstatymo Priede) tyrimą (85) ir kai „itin sudėtinga kokiais nors kitais būdais atpažinti nusikaltėlį ar išsiaiškinti nusikaltimo įvykdymo aplinkybes arba detales“ (86). Pagal Pokalbių klausymosi įstatymo 5 straipsnį orderis išduodamas ribotam laikui, o teisėjas gali nustatyti papildomų sąlygų. Be to, Pokalbių klausymosi įstatyme numatytos kelios papildomos garantijos, pavyzdžiui, būtinas liudytojų dalyvavimas (12 ir 20 straipsniai), draudimas klausytis tam tikrų privilegijuotų grupių (pvz., gydytojų, teisininkų) pokalbių (15 straipsnis), prievolė nutraukti pokalbių pasiklausymą, jeigu tai nebėra pagrįsta, net jei orderio galiojimas nesibaigęs (18 straipsnis), arba bendras reikalavimas pranešti apie atitinkamą asmenį ir galimybė per trisdešimt dienų nuo pokalbių pasiklausymo gauti informaciją (23 ir 24 straipsniai).

(124)

Taikant visas orderiu grindžiamas privalomąsias priemones, gali būti atliekamas tik toks tyrimas, „kokio reikia jo tikslui pasiekti“, t. y. kai tyrimo tikslų negalima pasiekti kitaip (BPK 197 straipsnio 1 dalis). Nors teisės aktuose nėra tiksliau apibrėžti kriterijai, kuriais remiantis galima nustatyti reikalingumą, Japonijos Aukščiausiasis Teismas nurodė, kad orderį išduodantis teisėjas turėtų atlikti bendrą vertinimą, visų pirma atsižvelgdamas į šias aplinkybes: i) nusikalstamos veikos sunkumą ir jos padarymo būdą; ii) duomenų, kuriuos ketinama paimti kaip įrodymus, vertę ir reikšmę; iii) tikimybę (pavojų), kad įrodymai gali būti paslėpti arba sunaikinti, ir iv) neigiamo poveikio, kurį dėl poėmio gali patirti atitinkamas asmuo, mastą (87).

(125)

Neviršydamos savo įgaliojimų valdžios institucijos taip pat gali rinkti elektroninę informaciją remdamosi prašymais savanoriškai atskleisti duomenis. Tai reiškia neprivalomą bendradarbiavimo būdą, kai prašymo vykdymo negalima užtikrinti (88), todėl valdžios institucijos atleidžiamos nuo pareigos gauti teismo orderį.

(126)

Jei toks prašymas skirtas verslo subjektui ir yra susijęs su asmenine informacija, verslo subjektas turi laikyti AIAĮ reikalavimų. Pagal AIAĮ 23 straipsnio 1 dalį atskleisti asmeninę informaciją trečiosioms šalims be atitinkamo asmens sutikimo verslo subjektai gali tik tam tikrais atvejais, įskaitant tada, kai atskleidimas „grindžiamas „įstatymais ir taisyklėmis“ (89). Baudžiamosios teisėsaugos srityje tokių prašymų teisinis pagrindas yra numatytas BPK 197 straipsnio 2 dalyje, kurioje nustatyta, kad „privačių organizacijų gali būti prašoma teikti informaciją reikalingais su tyrimu susijusiais klausimais“. Kadangi tokią „tyrimo suvestinę“ leidžiama naudoti tik atliekant nusikalstamos veikos tyrimą, ji visada suponuoja konkretų įtarimą apie jau padarytą nusikaltimą (90). Be to, kadangi tokius tyrimus paprastai atlieka prefektūrų policija, taikomi apribojimai pagal Policijos įstatymo 2 straipsnio 2 dalį (91). Pagal šią nuostatą policijos veikla yra „griežtai ribojama“ jos funkcijų ir pareigų (t. y. nusikaltimų prevencija, tyrimu ir kova su jais) vykdymu. Be to, policija, vykdydama savo pareigas, privalo veikti nešališkai, objektyviai bei sąžiningai ir niekada nepiktnaudžiauti savo įgaliojimais „taip, kad būtų pažeidžiamos Japonijos Konstitucijoje garantuojamos asmens teisės ir laisvės“ (kurios, kaip nurodyta, apima teisę į privatumą ir duomenų apsaugą) (92).

(127)

Konkrečiai dėl BPK 197 straipsnio 2 dalies Nacionalinė policijos agentūra (toliau – NPA), federalinė institucija, be kita ko, atsakinga visais su kriminaline policija susijusiais klausimais, išleido nurodymus prefektūrų policijai (93) dėl „tinkamo rašytinių paklausimų tyrimo klausimais naudojimo“. Pagal šį pranešimą prašymai turi būti pateikiami naudojant iš anksto sukurtą formą („forma Nr. 49“ arba tyrimo suvestinė) (94), juose turi būti prašoma duomenų, „susijusių su konkrečiu tyrimu“, o prašoma informacija turi būti „reikalinga [tam] tyrimui“. Kiekvienu atveju vyriausiasis tyrėjas turi „visapusiškai įvertinti atskiro paklausimo reikalingumą, turinį ir pan.“ ir gauti savo įstaigos aukšto rango pareigūno patvirtinimą.

(128)

Be to, Japonijos Aukščiausiasis Teismas dviejuose 1969 m. ir 2008 m. sprendimuose (95) nurodė neprivalomų priemonių, kuriomis pažeidžiama teisė į privatumą, apribojimus (96). Visų pirma teismas nurodė, kad tokios priemonės turi būti „pagrįstos“ ir taikomos neperžengiant „paprastai leidžiamų ribų“, t. y. jos turi būti reikalingos tyrimui dėl įtariamojo atlikti (įrodymams surinkti) ir vykdomos „tyrimo tikslui pasiekti tinkamais būdais“ (97). Iš sprendimų matyti, kad tai apima proporcingumo vertinimą atsižvelgiant į visas bylos aplinkybes (pvz., kišimosi į privatumo teisę, įskaitant lūkesčius dėl privatumo, lygį, nusikaltimo sunkumą, tikimybę gauti naudingų įrodymų, šių įrodymų svarbą, galimus alternatyvius tyrimo būdus ir pan.) (98).

(129)

Be šių valdžios funkcijų vykdymo apribojimų verslo subjektai patys turi patikrinti („patvirtinti“) duomenų teikimo trečiajai šaliai reikalingumą ir „pagrįstumą“ (99). Tai apima ir klausimą, ar teisės aktais jiems draudžiama bendradarbiauti. Tokios prieštaringos juridinės prievolės visų pirma gali kilti iš konfidencialumo prievolių, pavyzdžiui, Baudžiamojo kodekso 134 straipsnio (dėl santykio tarp gydytojo, advokato, kunigo ir pan. ir jo kliento). Be to, „bet koks asmuo, užsiimantis telekomunikacijų verslu, eidamas savo pareigas privalo saugoti kitų asmenų paslaptis, kurias sužinojo dėl telekomunikacijų operatoriaus tvarkomos informacijos“ (Telekomunikacijų verslo įstatymo 4 straipsnio 2 dalis). Ši prievolė papildoma sankcija, nustatyta Telekomunikacijų verslo įstatymo 179 straipsnyje, pagal kurį bet koks asmuo, pažeidęs telekomunikacijų operatoriaus tvarkomų ryšių slaptumą, yra laikomas padariusiu nusikalstamą veiką ir baudžiamas laisvės atėmimu atliekant darbą iki dviejų metų arba bauda iki vieno milijono jenų (100). Nors šis reikalavimas nėra absoliutus ir visų pirma sudaro galimybę taikyti ryšių slaptumą pažeidžiančias priemones, kurios laikomos „pateisinamais veiksmais“, kaip numatyta Baudžiamojo kodekso 35 straipsnyje, ši išimtis netaikoma valdžios institucijų neprivalomiems prašymams atskleisti elektroninę informaciją pagal BPK 197 straipsnio 2 dalį (101).

(130)

Japonijos valdžios institucijoms surinkus asmeninę informaciją, ji priklauso AOTAIAĮ taikymo sričiai. Įstatymu reglamentuojamas „saugomos asmeninės informacijos“ tvarkymas ir nustatoma keletas su tuo susijusių apribojimų ir apsaugos priemonių (žr. 118 konstatuojamąją dalį)) (102). Be to, kadangi administravimo organas asmeninę informaciją gali saugoti „tik tada, kai ją saugoti būtina siekiant spręsti klausimus, įstatymais ir taisyklėmis paskirtus jo kompetencijai“ (AOTAIAĮ 3 straipsnio 1 dalis), taip bent jau netiesiogiai nustatomi pradinio rinkimo apribojimai.

(131)

Japonijoje rinkti elektroninę informaciją baudžiamosios teisėsaugos srityje (103) priskiriama prefektūrų policijos kompetencijai (104), kuriai dėl to taikoma įvairaus lygmens priežiūra.

(132)

Pirma, visais atvejais, kai elektroninė informacija renkama privalomomis priemonėmis (atliekant kratą ir poėmį), policija turi gauti išankstinį teismo orderį (žr. 121 konstatuojamąją dalį)). Todėl tokiais atvejais duomenų rinkimą ex ante patikrins teisėjas, remdamasis griežtu „pakankamos priežasties“ standartu.

(133)

Nors dėl prašymų savanoriškai atskleisti informaciją teisėjas neatlieka ex-ante patikrinimo, verslo subjektas, kuriam tokie prašymai adresuojami, gali su jais nesutikti, o dėl to nepatirs jokių neigiamų padarinių (ir turės atsižvelgti į bet kokio atskleidimo poveikį privatumui). Be to, pagal BPK 192 straipsnio 1 dalį policijos pareigūnai visada privalo bendradarbiauti su prokuroru (ir Prefektūrų viešojo saugumo komisija) ir derinti su juo savo veiksmus (105). Prokuroras savo ruožtu gali duoti reikiamus bendruosius nurodymus, kuriuose būtų nustatyti sąžiningo tyrimo standartai, ir (arba) priimti su konkrečiu tyrimu susijusius įsakymus (BPK 193 straipsnis). Jei tokių nurodymų ir (arba) įsakymų nesilaikoma, prokuratūra gali pareikšti kaltinimus, kad būtų taikoma drausminė priemonė (BPK 194 straipsnis). Taigi prefektūrų policija veikia prižiūrima prokuroro.

(134)

Antra, pagal Konstitucijos 62 straipsnį abu Japonijos Parlamento rūmai gali atlikti tyrimus dėl valdžios institucijų, įskaitant dėl policijos atliekamo informacijos rinkimo teisėtumo. Todėl jie gali reikalauti, kad atvyktų liudytojai ir duotų parodymus, ir (arba) reikalauti pateikti įrašus. Šie tyrimo galiojimai yra išsamiau nurodyti Parlamento įstatyme, visų pirma jo XII skyriuje. Parlamento įstatymo 104 straipsnyje nustatyta, kad ministrų kabinetas, viešosios įstaigos ir kiti vyriausybės organai „privalo vykdyti Rūmų ar bet kurių jų Komitetų prašymus pateikti ataskaitas ir įrašus, reikalingus tyrimui įvertinti“. Atsisakyti vykdyti prašymą leidžiama tik tada, jei vyriausybė nurodo įtikinamą priežastį, kurią Parlamentas pripažįsta pagrįsta, arba jei priimamas oficialus pareiškimas, kad pateikus ataskaitas ar įrašus būtų „smarkiai pakenkta nacionaliniam interesui“ (106). Be to, Parlamento nariai gali Ministrų kabinetui pateikti rašytinius klausimus (Parlamento įstatymo 74, 75 straipsniai), o anksčiau buvo pateikta tokių „rašytinių paklausimų“, susijusių ir su tuo, kaip administracija tvarko asmeninę informaciją (107). Parlamento vaidmuo prižiūrint vykdomąją valdžią yra sustiprintas nustatant pranešimų teikimo prievoles, pavyzdžiui, pagal Pokalbių klausymosi įstatymo 29 straipsnį.

(135)

Trečia, prefektūrų policijai taikoma nepriklausoma vykdomosios valdžios priežiūra. Visų pirma, tai apima prefektūrų viešojo saugumo komisijas, įsteigtas prefektūrų lygiu siekiant užtikrinti policijos demokratišką administravimą ir politinį neutralumą (108). Šios Komisijos sudarytos iš Prefektūros valdytojo su Prefektūros sutikimu paskirtų narių (kuriais gali būti piliečiai, nėję valstybės tarnautojo pareigų policijoje pastaruosius penkerius metus), kurių kadencija yra užtikrinta (visų pirma numatant galimybę atleisti iš pareigų tik dėl rimtos priežasties) (109). Remiantis gauta informacija, jie neturi vykdyti nurodymų, todėl gali būti laikomi visiškai nepriklausomais (110). Pagal Policijos įstatymo 38 straipsnio 3 dalį kartu su 2 straipsniu ir 36 straipsnio 2 dalimi prefektūrų viešojo saugumo komisijos yra atsakingos už „asmens teisių ir laisvės apsaugą“ Šiuo tikslu jie yra įgalioti prižiūrėti (111) visą tyrimo veiklą, kurią vykdo prefektūros policija, įskaitant asmens duomenų rinkimą. Jie prižiūri Prefektūrų policiją ir todėl „prireikus gali Prefektūrų policijai teikti išsamius nurodymus arba nurodymus konkrečioje atskiroje byloje dėl policijos darbuotojo nusižengimo“ (112). Kai Prefektūrų policijos viršininkas (113) gauna tokį nurodymą arba pats sužino apie galimą nusižengimą (įskaitant įstatymų pažeidimą ar kitokį pareigų nevykdymą), jis privalo nedelsdamas ištirti šį atvejį ir pranešti tyrimo rezultatus Prefektūrų viešojo saugumo komisijai (Policijos įstatymo 56 straipsnio 3 dalis). Jei komisija mano, kad tai reikalinga, ji gali paskirti vieną iš savo narių, kad šis peržiūrėtų įgyvendinimo būklę. Procesas tęsiamas tol, kol Prefektūrų viešojo saugumo komisija įsitikina, kad pažeidimas buvo tinkamai išspręstas.

(136)

Be to, įgaliojimus užtikrinti tinkamą AOTAIAĮ taikymą turi kompetentingas ministras arba agentūros vadovas (pvz., NPA generalinis komisaras), prižiūrimas Vidaus reikalų ir ryšių ministerijos (toliau – VRRM). Pagal AOTAIAĮ 49 straipsnį VRRM iš administravimo organų (ministro) „gali gauti šio įstatymo vykdymo būklės ataskaitas“. Ši priežiūros funkcija papildoma penkiasdešimt vieno VRRM „išsamios informacijos centro“ (po centrą visose Japonijos prefektūrose), kuris kiekvienais metais išnagrinėja tūkstančius asmenų paklausimų (114) (iš kurių galima nustatyti galimus teisės pažeidimus), pateiktais duomenimis. Jei VRRM mano, kad to reikia Įstatymo laikymuisi užtikrinti, ji gali prašyti pateikti paaiškinimus bei dokumentus ir pareikšti nuomonę dėl to, kaip atitinkamas Administravimo organas tvarko asmeninę informaciją (AOTAIAĮ 50, 51 straipsniai).

(137)

Be ex officio priežiūros asmenys taip pat turi keletą galimybių kreiptis dėl individualaus teisių gynimo – ir į nepriklausomas institucijas (pavyzdžiui, Prefektūrų viešojo saugumo komisiją arba AIAK), ir į Japonijos teismus.

(138)

Pirma, Administravimo organai turi „stengtis tinkamai ir greitai išnagrinėti bet kokius skundus“ dėl vėlesnio jų surinktos asmeninės informacijos tvarkymo (AOTAIAĮ 48 straipsnis). Nors AOTAIAĮ IV skyrius dėl individualių teisių netaikomas asmeninei informacijai, užfiksuotai „su teismo procesais ir paimtais daiktais susijusiuose dokumentuose“ (BPK 53-2 straipsnio 2 dalis), kuri apima asmeninę informaciją, surinktą nusikalstamos veikos tyrimo metu, asmenys gali pareikšti skundą dėl bendrųjų duomenų apsaugos principų, pavyzdžiui, prievolės asmeninę informaciją saugoti tik tada, „kai saugoti būtina siekiant vykdyti [teisėsaugos funkcijas]“ (AOTAIAĮ 3 straipsnio 1 dalis), taikymo.

(139)

Be to, Policijos įstatymo 79 straipsniu asmenims, kuriems kyla abejonių dėl policijos darbuotojų „pareigų vykdymo“, užtikrinama teisė pateikti skundą (kompetentingai) nepriklausomai Prefektūros viešojo saugumo komisijai. Komisija „sąžiningai“ išnagrinės tokius skundus vadovaudamasi įstatymais bei vietos potvarkiais ir apie rezultatus raštu informuos skundą pateikusį asmenį. Remdamasi savo įgaliojimais prižiūrėti prefektūrų policiją ir teikti jai nurodymus dėl „darbuotojų nusižengimų“ (Policijos įstatymo 38 straipsnio 3 dalis, 43-2 straipsnio 1 dalis), ji gali prefektūrų policijos prašyti ištirti aplinkybes, imtis tinkamų priemonių atsižvelgiant į šio tyrimo baigtį ir pranešti apie rezultatus. Jei komisija mano, kad Policija tyrimą atlikto netinkamai, ji taip pat gali teikti nurodymus dėl skundo nagrinėjimo.

(140)

Siekdama palengvinti skundų nagrinėjimą NPA policijai ir prefektūros viešojo saugumo komisijoms pateikė „Pranešimą“ dėl tinkamo skundų, susijusių su policijos pareigūnų pareigų vykdymu, nagrinėjimo. Šiame dokumente NPA nurodo Policijos įstatymo 79 straipsnio aiškinimo ir įgyvendinimo standartus. Šiuo pranešimu, be kita ko, reikalaujama, kad prefektūros policija sukurtų „skundų nagrinėjimo sistemą“ ir „nedelsdama“ išnagrinėtų visus skundus ir apie juos praneštų kompetentingai prefektūrų viešojo saugumo komisijai. Pranešime skundai apibrėžiami kaip ieškiniai, kuriais siekiama ištaisyti padėtį „dėl bet kokių konkrečių sunkumų, kuriuos asmuo patyrė dėl neteisėto ar netinkamo elgesio“ (115) arba „jeigu policijos pareigūnas vykdydamas savo pareigas nesiėmė reikiamų veiksmų“ (116), taip pat dėl bet kokio „skundo/nepasitenkinimo dėl netinkamo policijos pareigūno darbo“. Taigi, skundo materialinė taikymo sritis yra apibrėžta plačiai ir apima bet kokius reikalavimus dėl neteisėto duomenų rinkimo, o skundo pateikėjas neturi įrodyti jokios žalos, patirtos dėl policijos pareigūno veiksmų. Pažymėtina, kad Pranešime nustatyta, jog užsieniečiams (be kitų asmenų) turi būti suteikta pagalba surašant skundą. Gavęs skundą, prefektūrų viešojo saugumo komisijos privalo užtikrinti, kad prefektūrų policija ištirtų faktus, „atsižvelgdama į tyrimo rezultatus“ įgyvendintų priemones ir praneštų apie rezultatus. Jei Komisija mano, kad tyrimas yra nepakankamas, ji turi pateikti nurodymus dėl skundo nagrinėjimo, kurių prefektūros policijai nurodoma laikytis. Komisija, atsižvelgdama į gautus pranešimus ir priemones, kurių buvo imtasi, pateikia asmeniui pranešimą, kuriame nurodoma, be kita ko, kokių priemonių buvo imtasi nagrinėjant skundus. NPA pranešime pažymima, kad skundai turėtų būti nagrinėjami „sąžiningai“, o apie rezultatą turėtų būti pranešama „per laikotarpį <…>, kuris laikytinas pagrįstu atsižvelgiant į socialines normas ir protingumo principą“.

(141)

Antra, kadangi dėl teisių gynimo reikės kreiptis užsienio sistemoje ir užsienio kalba, siekiant palengvinti ES piliečių, kurių asmens duomenys perduodami verslo subjektams, o su šiais duomenimis susipažįsta valdžios institucijos, teisių gynimą, Japonijos Vyriausybė naudodamasi savo įgaliojimais sukūrė konkretų AIAK administruojamą ir prižiūrimą šios srities skundų nagrinėjimo ir sprendimo mechanizmą. Šis mechanizmas grindžiamas pagal AIAK nustatyta Japonijos valdžios institucijų prievole bendradarbiauti ir specialiu AIAK vaidmeniu tarptautinio duomenų perdavimo iš trečiųjų valstybių pagal AIAĮ 6 straipsnį ir Pagrindinę politiką atveju (kaip Ministrų kabineto įsakymu nustatė Japonijos vyriausybė). Išsami informacija apie šį mechanizmą oficialiame Japonijos vyriausybės pateiktame pareiškime, kuris pateikiamas šio sprendimo II priede. Mechanizmui netaikomi jokie statuso reikalavimai – juo gali naudotis bet kuris asmuo, nesvarbu, ar jis įtariamas ar kaltinamas padaręs nusikalstamą veiką, ar ne.

(142)

Pagal mechanizmą asmuo, įtariantis, kad iš Europos Sąjungos perduotus jo duomenis rinko arba naudojo valdžios institucijos Japonijoje (įskaitant baudžiamosios teisėsaugos institucijas), pažeisdamos taikomas taisykles, gali pateikti skundą AIAK (asmeniškai arba per duomenų apsaugos instituciją, kaip nustatyta BDAR 51 straipsnyje). AIAK bus taikoma prievolė išnagrinėti skundą ir visų pirma apie jį pranešti kompetentingoms valdžios institucijoms, įskaitant atitinkamas priežiūros įstaigas. Šios institucijos privalo bendradarbiauti su AIAK, „įskaitant teikti reikalingą informaciją ir susijusius dokumentus, kad AIAK galėtų įvertinti, ar renkant asmeninę informaciją arba vėliau ją naudojant buvo laikomasi taikomų taisyklių“ (117). Ši prievolė, išplaukianti iš AIAĮ 80 straipsnio (pagal kurį Japonijos valdžios institucijos privalo bendradarbiauti su AIAK), taikoma bendrąja tvarka ir apima bet kokių šių institucijų taikomų tyrimo priemonių peržiūrą; be to, tokiu būdu bendradarbiauti jos yra įsipareigojusios kompetentingų ministrų arba agentūros vadovų raštiškais pareiškimais, kaip nurodyta II priede.

(143)

Jei vertinimo metu nustatoma, kad buvo pažeistos taikomos taisyklės, „atitinkamos valdžios institucijos, bendradarbiaudamos su AIAK, taip pat yra įpareigotos pašalinti pažeidimą“, o neteisėto asmeninės informacijos rinkimo atveju tai apima ir duomenų ištrynimą. Svarbu tai, kad ši prievolė vykdoma prižiūrint AIAK, kuri, „prieš baigdama vertinimą, patikrins, ar pažeidimas buvo visiškai ištaisytas“.

(144)

AIAK, atlikusi vertinimą, per pagrįstą laikotarpį turi pranešti asmeniui jo rezultatus, įskaitant bet kokius taisomuosius veiksmus, kurių buvo imtasi (jei taikoma). AIAK taip pat privalo informuoti asmenį apie galimybę prašyti, kad rezultatą patvirtintų kompetentinga valdžios institucija, ir nurodyti instituciją, kuriai reikėtų pateikti tokį prašymą. Galimybė gauti tokį patvirtinimą, įskaitant sužinoti priežastis, kuriomis grindžiamas kompetentingos institucijos sprendimas, gali praversti asmeniui imantis tolesnių veiksmų, įskaitant kreipiantis dėl teisių gynimo. Išsami informacija apie vertinimo rezultatą gali būti ribojama, jei yra pagrįstų priežasčių manyti, kad perdavus tokią informaciją gali kilti pavojus vykstančiam tyrimui.

(145)

Trečia, asmuo, nesutinkantis su teisėjo sprendimu (orderiu) (118) dėl jo asmens duomenų poėmio, arba su tokį sprendimą vykdančios policijos arba prokuratūros taikomomis priemonėmis, gali pateikti prašymą tą sprendimą arba tokias priemones atšaukti arba pakeisti (BPK 429 straipsnio 1 dalis, 430 straipsnio 1 ir 2 dalys, Pokalbių klausymosi įstatymo 26 straipsnis) (119). Jei peržiūrą vykdantis teismas nuspręs, kad orderis yra neteisėtas arba vykdomas („poėmio procedūra“) neteisėtai, jis prašymą tenkins ir nurodys grąžinti paimtus daiktus (120).

(146)

Ketvirta, asmuo, manantis, kad nusikalstamos veikos tyrimo metu jo asmeninė informacija buvo renkama neteisėtai, gali tuo remtis savo baudžiamojoje byloje (netiesioginė teisminės kontrolės forma). Jei teismas sutinka, įrodymai bus pašalinti kaip nepriimtini.

(147)

Galiausiai, pagal Valstybinės žalos atlyginimo įstatymo 1 straipsnio 1 dalį teismas gali skirti kompensaciją, jei valstybės pareigūnas, vykdantis viešosios valdžios funkcijas valstybės vardu, atlikdamas savo pareigas neteisėtai ir dėl savo kaltės (tyčia arba dėl aplaidumo) atitinkam asmeniui padarė žalos. Pagal Valstybės žalos atlyginimo įstatymo 4 straipsnį valstybės atsakomybė už žalą grindžiama Civilinio kodekso nuostatomis. Šiuo atžvilgiu Civilinio kodekso 710 straipsnyje nurodyta, kad atsakomybė taikoma ne tik už žalą, padarytą nuosavybei, t. y. ir už neturtinę žalą (pavyzdžiui, „moralinių kančių“ forma). Tai apima atvejus, kai neteisėtu stebėjimu ir (arba) neteisėtai renkant asmens asmeninę informaciją (pvz., neteisėtai vykdant orderį) buvo pasikėsinta į jo privatumą (121).

(148)

Be piniginės kompensacijos tam tikromis aplinkybėmis asmenys taip pat gali prašyti taikyti teismo įpareigojimą (pvz., ištrinti valdžios institucijų surinktus asmens duomenis), grindžiamą jų teisėmis į privatumą pagal Konstitucijos 13 straipsnį (122).

(149)

Šių teisių gynimo būdų atžvilgiu pagal Japonijos vyriausybės sukurtą ginčų sprendimo mechanizmą numatyta, kad asmuo, kurio procedūros rezultatas vis tiek netenkina, gali kreiptis į AIAK, „kuri turi asmenį informuoti apie įvairias galimybes kreiptis dėl teisių gynimo ir išsamias tokio kreipimosi procedūras pagal Japonijos įstatymus ir taisykles“. Be to, AIAK „teiks asmeniui paramą, įskaitant konsultavimą ir pagalbą, toliau kreipiantis į atitinkamą administravimo arba teisminę instituciją“.

(150)

Tai apima naudojimąsi procesinėmis teisėmis pagal Baudžiamojo proceso kodeksą. Pavyzdžiui, „jei vertinimo metu nustatoma, kad asmuo yra įtariamasis baudžiamojoje byloje, AIAK informuos asmenį apie šią aplinkybę“ (123) ir apie galimybę pagal BPK 259 straipsnį prašyti, kad prokuratūra, priėmusi sprendimą nepradėti baudžiamojo proceso, apie tai jį informuotų. Be to, jei vertinimo metu paaiškėtų, kad buvo pradėta byla, susijusi su asmens asmenine informacija, ir dėl šios bylos yra priimtas sprendimas, AIAK informuos asmenį, kad pagal BPK 53 straipsnį (ir Įstatymo dėl galutinės baudžiamosios bylos medžiagos 4 straipsnį) galima susipažinti su bylos medžiaga. Gauti galimybę susipažinti su savo bylos medžiaga yra svarbu, nes tai padės asmeniui geriau suprasti jo atžvilgiu atliktą tyrimą ir parengti būsimą ieškinį teismui (pvz., ieškinį dėl žalos atlyginimo), jei asmuo mano, kad jo duomenys buvo surinkti arba naudojami neteisėtai.

(151)

Pasak Japonijos institucijų, Japonijoje nėra jokio įstatymo, kuriuo būtų leidžiama teikti privalomus prašymus teikti informaciją arba „administravimo institucijoms klausytis pokalbių“ ne nusikalstamos veikos tyrimo metu. Todėl nacionalinio saugumo pagrindais informacija gali būti gaunama tik iš tokio informacijos šaltinio, su kuriuo visi gali susipažinti, arba gaunama ją atskleidus savanoriškai. Verslo subjektai, gavę prašymą dėl savanoriško bendradarbiavimo (atskleidžiant elektroninę informaciją) nėra teisiškai įpareigoti teikti tokią informaciją (124).

(152)

Be to, remiantis gautais duomenimis, tik keturi valdžios subjektai turi įgaliojimus rinkti Japonijos verslo subjektų turimą elektroninę informaciją nacionalinio saugumo sumetimais, būtent: i) Kabineto žvalgybos ir tyrimų biuras (toliau – KŽTB); ii) Gynybos ministerija (toliau – GM); iii) policija (Nacionalinė policijos agentūra (toliau – NPA) (125) ir prefektūrų policija); iv) Viešojo saugumo žvalgybos agentūra (toliau – VSŽA). Tačiau KŽTB niekada nerenka informacijos (taip pat ir ryšių perėmimo priemonėmis) tiesiogiai iš verslo subjektų. Kai KŽTB gauna informaciją iš kitų vyriausybės institucijų, kad pateiktų analizę Ministrų Kabinetui, atitinkamai šios kitos institucijos turi laikytis teisės aktų, įskaitant šiame sprendime analizuojamus apribojimus ir apsaugos priemones. Todėl jos veikla nėra susijusi su duomenų perdavimu.

(153)

Remiantis gauta informacija, GM renka (elektroninę) informaciją remdamasi GM įsteigimo įstatymu. Pagal šio įstatymo 3 straipsnį GM paskirtis yra administruoti ir valdyti karines pajėgas ir „spręsti su tuo susijusius klausimus, kad būtų užtikrinta taika valstybėje ir valstybės nepriklausomybė bei tautos saugumas“. 4 straipsnio 4 dalyje nustatyta, kad GM turi kompetenciją „gynybos ir apsaugos klausimais“, dėl veiksmų, kurių imasi Savigynos pajėgos, bei dėl karinių pajėgų dislokavimo, įskaitant informacijos, reikalingos šiems klausimams spręsti, rinkimą. Ji turi įgaliojimus rinkti (elektroninę) informaciją iš verslo subjektų tik jiems savanoriškai bendradarbiaujant.

(154)

Prefektūrų policijos funkcijos ir pareigos apima „viešojo saugumo ir tvarkos palaikymą“ (35 straipsnio 2 dalis kartu su Policijos įstatymo 2 straipsnio 1 dalimi). Neperžengdama savo kompetencijos policija gali rinkti informaciją, tačiau tik savanorišku pagrindu, neturinčiu teisinės galios. Be to, policijos veikla yra „griežtai ribojama“ tiek, kiek būtina jos pareigoms atlikti. Be to, ji turi veikti „nešališkai, objektyviai ir sąžiningai“ ir niekada nepiktnaudžiauti savo įgaliojimais „taip, kad būtų pažeidžiamos asmens teisės ir laisvės, užtikrinamos Japonijos Konstitucijoje“ (Policijos įstatymo 2 straipsnis).

(155)

Galiausiai VSŽA gali atlikti tyrimus pagal Ardomosios veiklos prevencijos įstatymą (toliau – AVPĮ) ir Įstatymą dėl organizacijų, kurios nesirinktinai vykdė masinių žudynių veiksmus, kontrolės (toliau – ĮOK), kai tokie tyrimai yra reikalingi siekiant pasirengti priimti tam tikrų organizacijų kontrolės priemones (126). Pagal abu įstatymus, VSŽA generalinio direktoriaus prašymu Viešojo saugumo vertinimo komisija gali priimti tam tikrus „sprendimus“ (pagal ĮOK – dėl sekimo ar draudimų (127), pagal AVPĮ – dėl panaikinimo arba draudimų (128)), o šiomis aplinkybėmis VSŽA gali atlikti tyrimus (129). Remiantis gauta informacija, šie tyrimai visada atliekami savanoriškai, o tai reiškia, kad VSŽA negali priversti asmeninės informacijos savininko tokią informaciją pateikti (130). Kiekvieną kartą kontrolė ar tyrimai gali būti atliekami tik tokiu mastu, koks reikalingas kontrolės tikslui pasiekti, ir jų jokiomis aplinkybėmis negalima vykdyti siekiant „nepagrįstai“ riboti pagal Japonijos Konstituciją užtikrintas teises ir laisves (AVPĮ ir ĮOK 3 straipsnio 1 dalis). Be to, pagal AVPĮ ir ĮOK 3 straipsnio 2 dalį VSŽA jokiomis aplinkybėmis negali piktnaudžiauti tokiomis kontrolės priemonėmis arba tyrimais, kurie atliekami siekiant nustatyti tokias kontrolės priemones. Jei viešojo saugumo žvalgybos pareigūnas piktnaudžiauja savo įgaliojimais pagal atitinkamą įstatymą versdamas asmenį daryti tai, ko šis daryti neprivalo, arba trukdydamas asmeniui pasinaudoti savo teisėmis, jam gali būti taikomos AVPĮ 45 straipsnyje arba ĮOK 42 straipsnyje numatytos baudžiamosios sankcijos. Galiausiai abiejuose įstatymuose nustatyta, kad jų nuostatos, įskaitant įstatymais suteiktus įgaliojimus, „jokiomis aplinkybėmis negali būti aiškinami plečiamai“ (AVPĮ ir ĮOK 2 straipsnis).

(156)

Visais šiame skirsnyje aprašytais vyriausybės galimybės susipažinti su informacija nacionalinio saugumo pagrindais atvejais taikomi Japonijos Aukščiausiojo Teismo nurodyti savanoriškų tyrimų apribojimai, o tai reiškia, kad renkant (elektroninę) informaciją turi būti laikomasi reikalingumo ir proporcingumo principų („tinkamas būdas“) (131). Kaip aiškiai patvirtino Japonijos valdžios institucijos, „informacija renkama ir tvarkoma tik tiek, kiek tai būtina konkrečioms kompetentingos valdžios institucijos pareigoms atlikti ir atsižvelgiant į konkrečias grėsmes.“ Todėl „tai neapima masinio ir visuotinio duomenų rinkimo ar prieigos prie asmeninės informacijos nacionalinio saugumo tikslais“ (132).

(157)

Be to, bet kokia surinkta ir valdžios institucijų nacionalinio saugumo tikslais saugoma asmeninė informacija pateks į AOTAIAĮ taikymo sritį, todėl vėliau šią informaciją saugant, naudojant ir atskleidžiant jai bus taikomos apsaugos priemonės pagal AOTAIAĮ (žr. 118 konstatuojamąją dalį).

(158)

Asmeninės informacijos rinkimui nacionalinio saugumo tikslais taikoma kelių lygių priežiūra, kurią vykdo trys valdžios šakos.

(159)

Pirma, Japonijos Parlamentas, remdamasis savo parlamentinio tikrinimo įgaliojimais (Konstitucijos 62 straipsnis, Parlamento įstatymo 104 straipsnis; žr. 134 konstatuojamąją dalį), per specializuotus komitetus gali tikrinti tyrimų Žr. 134 konstatuojamąją dalį. Šią priežiūros funkciją palengvina konkrečios pareigos pranešti apie veiksmus, atliekamus pagal kai kuriuos iš pirmiau nurodytų teisinių pagrindų (133).

(160)

Antra, yra keletas vykdomosios valdžios priežiūros mechanizmų.

(161)

GM priežiūrą vykdo Generalinio inspektoriaus teisinės atitikties biuras (toliau – GIB) (134), remiantis GM įsteigimo įstatymo 29 straipsniu įkurtas kaip GM biuras, prižiūrimas gynybos ministro (kuriam atsiskaito), tačiau nepriklausomas nuo GM veiklos departamentų. GIB pavesta užduotis užtikrinti, kad GM pareigūnai laikytųsi įstatymų bei taisyklių ir tinkamai vykdytų savo pareigas. Biuras turi įgaliojimus reguliariai („reguliarūs gynybos patikrinimai“) ir atskirais atvejais („specialūs gynybos patikrinimai“) atlikti gynybos patikrinimus, kurių metu praeityje buvo tikrinama ir tai, ar tinkamai tvarkoma asmeninė informacija (135). Atlikdamas šiuos patikrinimus GIB gali patekti į patalpas (biurus) ir prašyti pateikti dokumentus arba informaciją, įskaitant GM viceministro pavaduotojo paaiškinimus. Patikrinimas baigiamas gynybos ministrui pateikiant ataskaitą, kurioje išdėstomi nustatyti faktai ir tobulinimo priemonės (jų įgyvendinimą galima vėl patikrinti atliekant papildomus patikrinimus). Ataskaita savo ruožtu grindžiami gynybos ministro nurodymai įgyvendinti priemones, reikalingas padėčiai ištaisyti. Viceministro pavaduotoju pavesta įgyvendinti tokias priemones ir pranešti, kaip jos buvo įgyvendintos.

(162)

Prefektūrų policijos priežiūrą užtikrina nepriklausomos prefektūrų viešojo saugumo komisijos, kaip paaiškinta 135 konstatuojamojoje dalyje dėl baudžiamosios teisėsaugos.

(163)

Galiausiai, kaip nurodyta, VSŽA gali atlikti tik tokio masto tyrimus, kokio reikia siekiant priimti sprendimą dėl draudimo, panaikinimo ar sekimo pagal AVPĮ arba ĮOK, o nepriklausoma (136) Viešojo saugumo tyrimo komisija vykdo šių sprendimų ex ante priežiūrą. Be to, reguliarius / periodinius patikrinimus (kurių metu visapusiškai vertinama VSŽA veikla) (137) ir specialius vidinius patikrinimus (138) dėl atskirų skyrių / biurų ir pan. veiklos atlieka specialiai paskirti inspektoriai, o juos atlikus atitinkamų skyrių ir pan. vadovams gali būti teikiami nurodymai imtis taisomųjų ar tobulinimo priemonių.

(164)

Šie priežiūros mechanizmai, toliau sustiprinti asmenų galimybe inicijuoti AIAK, kaip nepriklausomos priežiūros institucijos, įsikišimą (žr. 168 skirsnį), suteikia tinkamų garantijų, apsaugančių nuo Japonijos institucijų piktnaudžiavimo savo įgaliojimais nacionalinio saugumo srityje pavojaus ir nuo bet kokio neteisėtų elektroninės informacijos rinkimo.

(165)

Kalbant apie individualias teisių gynimo priemones, Administravimo organai yra įpareigoti „stengtis tinkamai ir greitai išnagrinėti bet kokius skundus“ dėl vėlesnio jų surinktos ir todėl „saugomos“ asmeninės informacijos tvarkymo (AOTAIAĮ 48 straipsnis).

(166)

Be to, kitaip nei nusikalstamos veikos tyrimo atveju, pagal AOTAIAĮ asmenys (įskaitant kitoje valstybėje gyvenančius užsieniečius) iš esmės turi teisę į informacijos atskleidimą (139), ištaisymą (įskaitant ištrynimą) bei jos naudojimo arba teikimo sustabdymą. Vis dėlto, administravimo organo vadovas gali atsisakyti atskleisti informaciją, „jei yra pagrįstų priežasčių manyti, kad atskleidus šią informaciją greičiausiai bus pakenkta nacionaliniam saugumui“ (AOTAIAŠ 14 straipsnio iv punktas), o taip gali atsitikti net neatskleidus, kad tokia informacija egzistuoja (AOTAIAĮ 17 straipsnis). Taip pat, nors asmuo pagal AOTAIAĮ 36 straipsnio 1 dalies i punktą gali prašyti sustabdyti informacijos naudojimą arba ją ištrinti, jei administravimo organas ją gavo neteisėtai arba saugo / naudoja viršydamas tai, kas būtina nurodytam tikslui pasiekti, institucija prašymą gali atmesti, jei nustato, kad sustabdžius informacijos naudojimą „gali būti sukliudyta tinkamai spręsti reikalus, susijusius su saugomos asmeninės informacijos naudojimo tikslu, atsižvelgiant į šių reikalų pobūdį“ (AOTAIAĮ 38 straipsnis). Vis dėlto, jei įmanoma lengvai atskirti ir pašalinti informacijos dalį, kuriai taikoma išimtis, administravimo organai privalo leisti susipažinti bent su dalimi informacijos (žr., pvz., AOTAIAĮ 15 straipsnio 1 dalį) (140).

(167)

Bet kuriuo atveju administravimo organas per tam tikrą laikotarpį (30 dienų, kurį tam tikromis sąlygomis galima pratęsti dar 30 dienų) turi priimti rašytinį sprendimą. Jei prašymas atmetamas, patenkinamas tik iš dalies arba jei asmuo dėl kitų priežasčių mano, kad administracinės institucijos veiksmai yra neteisėti ar neteisingi, asmuo gali prašyti atlikti administracinę peržiūrą, pagrįstą Administracinių skundų nagrinėjimo peržiūros įstatymu (141). Tokiu atveju administracinės institucijos vadovas, priimdamas sprendimą dėl apeliacinio skundo, konsultuojasi su Informacijos atskleidimo ir asmens duomenų apsaugos peržiūros taryba (42 ir 43 straipsniai) – specializuota, nepriklausoma taryba, kurios narius skiria ministras pirmininkas, gavęs abiejų parlamento rūmų sutikimą. Remiantis gauta informacija, Peržiūros taryba gali atlikti tyrimą (142) ir dėl šio tyrimo prašyti administravimo organo pateikti saugomą asmeninę informaciją, įskaitant bet kokį įslaptintą turinį, taip pat papildomą informaciją ir dokumentus. Nors galutinė ataskaita, siunčiama skundą pateikusiam asmeniui bei administravimo organui ir paskelbiama viešai, nėra teisiškai privaloma, į ją atsižvelgiama beveik visais atvejais (143). Be to, asmuo, remdamasis Administracinių bylų nagrinėjimo įstatymu, turi teisę ginčyti sprendimą dėl skundo teisme. Taip sudaroma galimybė atlikti teisminę nacionalinio saugumo išimties (-čių) taikymo kontrolę, įskaitant dėl to, ar tokia išimti buvo piktnaudžiaujama, ar ji vis dar yra pagrįsta.

(168)

Kad būtų lengviau pasinaudoti pirmiau nurodytomis teisėmis pagal AOTAIAĮ, VRRM įsteigė penkiasdešimt vieną „išsamios informacijos centrą“, kuriuose teikiama suvestinė informacija apie šias teises, taikomas prašymų teikimo procedūras ir galimas teisių gynimo priemones (144). Administravimo organai privalo teikti informaciją „kuri padeda tiksliai apibūdinti saugomą asmeninę informaciją“ (145) ir imtis „kitų tinkamų priemonių asmens, kuris ketina pateikti prašymą, patogumui“ (AOTAIAĮ 47 straipsnio 1 dalis).

(169)

Kaip ir baudžiamosios teisėsaugos srityje atliekamų tyrimų srityje, nacionalinio saugumo srityje asmenys gali prašyti taikyti individualias teisių gynimo priemones tiesiogiai kreipdamiesi į AIAK. Dėl to bus pradėta konkreti ginčų sprendimo procedūra, kurią Japonijos vyriausybė sukūrė ES asmenims, kurių asmens duomenys perduodami pagal šį sprendimą (žr. išsamius paaiškinimus 141, 144 ir 149 konstatuojamosiose dalyse).

(170)

Be to, asmenys gali kreiptis dėl teisminių teisių gynimo priemonių pateikdami ieškinį atlyginti žalą pagal Valstybės žalos atlyginimo įstatymą, kuriame taip pat numatyta galimybė atlyginti neturtinę žalą, ir, tam tikromis sąlygomis – ištrinti asmens duomenis (žr. 147 konstatuojamąją dalį).

(171)

Komisija mano, kad AIAĮ, kuris papildomas I priede pateiktomis Papildomomis taisyklėmis, kartu su II priede pateiktais oficialiais pareiškimais, garantijomis ir įsipareigojimais užtikrinama atitinkamo lygio iš Europos Sąjungos perduotų asmens duomenų apsauga, iš esmės lygiavertė Reglamentui (ES) 2016/679 garantuojamai apsaugai.

(172)

Be to, Komisija mano, kad pagal Japonijos teisę numatyti priežiūros mechanizmai ir teisių gynimo galimybės, vertinant juos kaip visumą, sudaro galimybę praktiškai nustatyti gavėjų AITVS padarytus pažeidimus ir už juos bausti, ir suteikia duomenų subjektui teisių gynimo priemonių, kad jis galėtų susipažinti su savo asmens duomenimis ir vėliau pasiekti, kad šie duomenys būtų ištaisyti arba ištrinti.

(173)

Galiausiai Komisija, remdamasi turima informacija apie Japonijos teisinė tvarką, įskaitant Japonijos vyriausybės pareiškimus, garantijas ir įsipareigojimus, pateiktus II priede, mano, kad bet koks Japonijos valdžios institucijų kišimasis į asmenų, kurių asmens duomenys iš Europos Sąjungos perduodami į Japoniją, pagrindines teises viešojo intereso tikslais, visų pirma baudžiamosios teisėsaugos ir nacionalinio saugumo tikslais, bus griežtai apribojamas tokia apimtimi, kuri būtina atitinkamam teisėtam tikslui pasiekti, ir kad egzistuoja veiksminga teisinė apsauga nuo tokio kišimosi.

(174)

Todėl Komisija, atsižvelgdama į šiame sprendime nustatytus faktus, mano, kad Japonija užtikrina tinkamo lygio asmens duomenų, iš Europos Sąjungos perduotų AITVS Japonijoje, kuriems taikomas AIAĮ, apsaugą, išskyrus atvejus, kai gavėjas priklauso vienai iš AIAĮ 76 straipsnio 1 dalyje nurodytų kategorijų ir visi arba dalis duomenų tvarkymo tikslų atitinka vieną iš šioje nuostatoje nurodytų tikslų.

(175)

Atsižvelgdama į tai, Komisija daro išvadą, kad Reglamento (ES) 2016/679 45 straipsnyje nurodytas tinkamumo standartas, aiškinamas atsižvelgiant į Europos Sąjungos pagrindinių teisių chartiją, visų pirma į sprendimą Schrems (146), yra užtikrintas.

(176)

Remiantis Teisingumo Teismo praktika (147), ir, kaip pripažįstama Reglamento (ES) 2016/679 45 straipsnio 4 dalyje, Komisija turėtų nuolat stebėti atitinkamus pokyčius trečiojoje valstybėje po sprendimo dėl tinkamumo priėmimo, kad įvertintų, ar Japonija vis dar užtikrina iš esmės lygiavertį apsaugos lygį. Toks patikrinimas turi būti atliekamas visais atvejais, kai Komisija gauna informacijos, dėl kurios jai šiuo atžvilgiu kyla pagrįstų abejonių.

(177)

Todėl Komisija turėtų nuolat stebėti teisinės sistemos ir esamos asmens duomenų tvarkymo praktikos, kaip įvertinta šiame sprendime, situaciją, įskaitant tai, kaip Japonijos institucijos laikosi II priede pateiktų pareiškimų, garantijų ir įsipareigojimų. Kad šis procesas vyktų lengviau, Japonijos institucijos turėtų informuoti Komisiją apie esminius su šiuo sprendimu susijusius pokyčius dėl verslo subjektų atliekamo asmens duomenų tvarkymo ir apribojimų bei apsaugos priemonių, taikomų valdžios institucijų galimybei susipažinti su asmens duomenimis. Tai turėtų apimti bet kokius AIAK pagal AIAĮ 24 straipsnį priimtus sprendimus, kuriais pripažįstama, kad trečioji valstybė suteikia tokio paties lygio apsaugą, kokia užtikrinama Japonijoje,

(178)

Be to, kad Komisija galėtų veiksmingai vykdyti stebėsenos funkciją, valstybės narės turėtų Komisijai pranešti apie bet kokius susijusius veiksmus, kurių ėmėsi nacionalinės duomenų apsaugos institucijos (toliau – DAI), visų pirma dėl ES duomenų subjektų klausimų ar skundų, susijusių su asmens duomenų perdavimu iš Europos Sąjungos verslo subjektams Japonijoje. Komisijai taip pat reikėtų pranešti apie bet kokius požymius, kad Japonijos valdžios institucijų, atsakingų už nusikalstamų veikų prevenciją, tyrimą, atskleidimą ar persekiojimą už jas, arba atsakingų už nacionalinį saugumą, įskaitant bet kokias priežiūros įstaigas, veiksmais nėra užtikrinama reikiamo lygio apsauga.

(179)

Valstybės narės ir jų institucijos privalo imtis priemonių, kurios yra būtinos siekiant užtikrinti atitiktį Sąjungos institucijų aktams, nes preziumuojama, kad Sąjungos institucijų teisės aktai yra teisėti, todėl sukelia teisinių pasekmių, kol nėra pripažinti netekusiais galios, panaikinti patenkinus ieškinį dėl panaikinimo, paskelbti negaliojančiais išnagrinėjus prašymą priimti prejudicinį sprendimą arba neteisėtumu grindžiamą prieštaravimą. Todėl Komisijos sprendimas dėl tinkamumo, kurį ji priėmė pagal Reglamento (ES) 2016/679 45 straipsnio 3 dalį, yra privalomas visoms valstybių narių, kurioms jis skirtas, institucijoms, įskaitant šių valstybių narių nepriklausomas priežiūros institucijas. Taip pat, kaip paaiškinta Teisingumo Teismo sprendime Schrems (148) ir pripažįstama Reglamento 58 straipsnio 5 dalyje, kai DAI gauna skundą, kuriame ginčijamas Komisijos sprendimo dėl tinkamumo suderinamumas su pagrindinėmis asmens teisėmis į privatumą ir duomenų apsaugą, ir mano, kad pateikti prieštaravimai yra pagrįsti, nacionalinėje teisėje turi būti numatytos teisių gynimo priemonės, kad šie prieštaravimai būtų perduoti nacionaliniam teismui, kuris, kilus abejonėms, privalo sustabdyti bylą ir Teisingumo Teismui pateikti prašymą priimti prejudicinį sprendimą (149).

(180)

Komisija, taikydama Reglamento (ES) 2016/679 45 straipsnio 3 dalį (150) ir atsižvelgdama į tai, kad pagal Japonijos teisinę tvarką suteikiamas apsaugos lygis gali pasikeisti, po šio sprendimo priėmimo turėtų periodiškai tikrinti, ar išvados dėl Japonijos užtikrinamos apsaugos lygio tinkamumo vis dar yra faktiškai ir teisiškai pagrįstos.

(181)

Todėl šis sprendimas pirmą kartą turėtų būti peržiūrimas per dvejus metus po jo įsigaliojimo, o vėliau – kas ketverius metus. Po šios pirmosios peržiūros ir atsižvelgdama į jos rezultatus, Komisija, glaudžiai konsultuodamasi su komitetu, įsteigtu pagal BDAR 93 straipsnio 1 dalį, nuspręs, ar reikėtų išlaikyti dvejų metų ciklą. Bet kuriuo atveju vėlesnės peržiūros turėtų būti atliekamos ne rečiau kaip kas ketverius metus (151). Peržiūra turėtų apimti visus šio sprendimo veikimo aspektus, visų pirma Papildomų taisyklių taikymą (ypatingą dėmesį skiriant apsaugai, suteikiamai tolesnio perdavimo atveju), taisyklių dėl sutikimo taikymą, įskaitant atšaukimo atveju, asmens teisių įgyvendinimo veiksmingumą, taip pat su vyriausybės galimybe susipažinti su informacija susijusius apribojimus ir apsaugos priemones, įskaitant teisių gynimo mechanizmą, kaip nustatyta šio sprendimo II priede. Ji taip pat turėtų apimti priežiūros ir vykdymo užtikrinimo veiksmingumą, tiek AITVS taikomų taisyklių, tiek baudžiamosios teisės vykdymo užtikrinimo bei nacionalinio saugumo taisyklių požiūriu.

(182)

Komisija, atlikdama šią peržiūrą, turėtų susitikti su AIAK, kurią lydėtų (jei reikia) kitos už vyriausybės galimybę susipažinti su informacija atsakingos Japonijos institucijos, įskaitant atitinkamas priežiūros institucijas. Turėtų būti sudarytos galimybės šiame susitikime dalyvauti Europos duomenų apsaugos valdybos (toliau – EDAV) atstovams. Atlikdama bendrą peržiūrą Komisija turėtų AIAK prašyti pateikti išsamią informaciją apie visus su sprendimu dėl tinkamumo susijusius aspektus, įskaitant ribojimus ir apsaugos priemones dėl galimybės susipažinti su duomenimis (152). Komisija taip pat turėtų prašyti pateikti paaiškinimus dėl bet kokios gautos informacijos, susijusios su šiuo sprendimu, įskaitant viešas Japonijos institucijų ar kitų suinteresuotųjų subjektų Japonijoje, EDAV, atskirų DAI, pilietinės visuomenės grupių, žiniasklaidos ataskaitas ar bet kokius kitus informacijos šaltinius.

(183)

remdamasi bendra peržiūra, Komisija turėtų parengti viešą ataskaitą, kuri bus teikiama Europos Parlamentui ir Tarybai;

(184)

Jei, remdamasi reguliariais ir ad hoc patikrinimais ar bet kokia kita turima informacija, Komisija nustatytų, kad pagal Japonijos teisinę tvarką suteikiamos apsaugos lygis nebegali būti laikomas iš esmės lygiaverčiu Europos Sąjungoje suteikiamos apsaugos lygiui, ji turėtų apie tai informuoti kompetentingas Japonijos institucijas ir prašyti per nurodytą pagrįstą laikotarpį imtis tinkamų priemonių. Tai apima verslo subjektams ir Japonijos valdžios institucijoms, atsakingoms už baudžiamąją teisėsaugą arba nacionalinį saugumą, taikomas taisykles. Pavyzdžiui, tokia procedūra būtų inicijuota tais atvejais, kai tolesnis perdavimas, įskaitant perdavimą pagal AIAK sprendimus, priimtus pagal AIAĮ 24 straipsnį, kuriais pripažįstama, kad trečioji valstybė suteikia tokio paties lygio apsaugą, kokia užtikrinama Japonijoje, nebebus vykdomas taikant apsaugos priemones, kuriomis užtikrinamas apsaugos tęstinumas, kaip nustatyta BDAR 44 straipsnyje.

(185)

Jei po nurodyto laikotarpio kompetentingos Japonijos institucijos tinkamai neįrodo, kad šis sprendimas toliau grindžiamas tinkamo lygio apsauga, Komisija turėtų, taikydama Reglamento (ES) 2016/679 45 straipsnio 5 dalį, inicijuoti procedūrą dėl dalies ar viso šio sprendimo sustabdymo arba panaikinimo. Kitu atveju Komisija turėtų pradėti procedūrą, kuria iš dalies keičiamas šis sprendimas, visų pirma nustatydama, kad duomenų perdavimui taikomos papildomos sąlygos, arba apribodama išvados dėl tinkamumo aprėptį taip, kad į ją patektų tik toks duomenų perdavimas, kurį vykdant užtikrinamas apsaugos tęstinumas, kaip apibrėžta Bendrojo duomenų apsaugos reglamento 44 straipsnyje.

(186)

Komisija sustabdymo arba panaikinimo procedūrą visų pirma turėtų inicijuoti tuo atveju, kai yra požymių, kad verslo subjektai, gaunantys asmens duomenis pagal šį sprendimą, nesilaiko I priede pateiktų Papildomų taisyklių ir (arba) ne iki galo užtikrinamas jų vykdymas, arba kad Japonijos institucijos nesilaiko pareiškimų, garantijų ir įsipareigojimų, pateiktų šio sprendimo II priede.

(187)

Komisija taip pat turėtų apsvarstyti galimybę pradėti procedūrą dėl šio sprendimo pakeitimo, sustabdymo arba panaikinimo, jeigu atliekant bendrą peržiūrą arba kitu metu kompetentingos Japonijos institucijos nepateikia informacijos nepateikia informacijos arba paaiškinimų, kurie yra būtini norint įvertinti iš Europos Sąjungos į Japoniją perduodamų asmens duomenims užtikrinamą apsaugos lygį arba tai, kaip laikomasi šio sprendimo. Šiuo atžvilgiu Komisija turėtų atsižvelgti į tai, kiek atitinkamos informacijos ji gali gauti iš kitų šaltinių.

(188)

Tinkamai pagrįstais skubiais atvejais, pavyzdžiui, kilus pavojus, kad bus rimtai pažeistos duomenų subjektų teisės, Komisija pagal Reglamento (ES) 2016/679 93 straipsnio 3 dalį, taikant ją kartu su Europos Parlamento ir Tarybos reglamento Nr. 182/2011 (153) 8 straipsniu, turėtų būti įgaliota priimti sprendimą dėl šio sprendimo sustabdymo arba panaikinimo, kuris turėtų būti taikomas iš karto.

(189)

Europos duomenų apsaugos valdyba paskelbė savo nuomonę (154), į kurią buvo atsižvelgta rengiant šį sprendimą.

(190)

Europos Parlamentas priėmė sprendimą dėl skaitmeninės prekybos strategijos, kuriuo Komisija raginama skirti prioritetą sprendimų dėl tinkamumo su svarbiais prekybos partneriais priėmimui Reglamente (ES) 2016/679 nurodytomis sąlygomis ir jį pagreitinti, nes tai yra svarbus mechanizmas, skirtas apsaugoti iš Europos Sąjungos perduodamus duomenis (155). Europos Parlamentas taip pat priėmė rezoliuciją dėl Japonijoje nustatytos asmens duomenų apsaugos tinkamumo (156).

(191)

šiame sprendime nustatytos priemonės atitinka BDAR 93 straipsnio 1 dalimi įsteigto komiteto nuomonę,