|
13.11.2020 |
LV |
Eiropas Savienības Oficiālais Vēstnesis |
C 388/150 |
P8_TA(2018)0529
Japānas nodrošinātās personas datu aizsardzības pietiekamība
Eiropas Parlamenta 2018. gada 13. decembra rezolūcija par Japānas nodrošinātās personas datu aizsardzības pietiekamību (2018/2979(RSP))
(2020/C 388/16)
Eiropas Parlaments,
|
— |
ņemot vērā Līgumu par Eiropas Savienību, Līgumu par Eiropas Savienības darbību un Eiropas Savienības Pamattiesību hartas 6., 7., 8., 11., 16., 47. un 52. pantu, |
|
— |
ņemot vērā Eiropas Parlamenta un Padomes 2016. gada 27. aprīļa Regulu (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (1), un citus relevantus Eiropas datu aizsardzības acquis tiesību aktus, |
|
— |
ņemot vērā Eiropas Savienības Tiesas 2015. gada 6. oktobra spriedumu lietā C-362/14 Maximillian Schrems pret Data Protection Commissioner (2); |
|
— |
ņemot vērā Eiropas Savienības Tiesas 2016. gada 21. decembra spriedumu apvienotajās lietās C-203/15 Tele2 Sverige AB pret Post- och telestyrelsen un C-698/15 Secretary of State for the Home Department pret Tom Watson u. c. (3), |
|
— |
ņemot vērā 2017. gada 12. decembra rezolūciju par virzību uz digitālās tirdzniecības stratēģiju (4), |
|
— |
ņemot vērā 29. panta darba grupas 2018. gada 6. februāra dokumentu “Adequacy Referential” (5) (“Rokasgrāmata par pietiekamību”), kurā sniegtas norādes Komisijai un Eiropas Datu aizsardzības kolēģijai saskaņā ar Vispārīgo datu aizsardzības regulu attiecībā uz datu aizsardzības līmeņa novērtēšanu trešās valstīs un starptautiskās organizācijās, |
|
— |
ņemot vērā Eiropas Datu aizsardzības kolēģijas 2018. gada 5. decembra atzinumu par ES un Japānas lēmuma projektu par aizsardzības līmeņa pietiekamību, |
|
— |
ņemot vērā projektu Komisijas īstenošanas lēmumam, kas pieņemts saskaņā ar Eiropas Parlamenta un Padomes Regulu (ES) 2016/679 par personas datu aizsardzības pietiekamību Japānā (COM(2018)XXXX), |
|
— |
ņemot vērā secinājumus, kas gūti Pilsoņu brīvību, tieslietu un iekšlietu komitejas ad hoc delegācijas vizītē uz Japānu 2017. gada oktobrī, kura tika rīkota saistībā ar sarunām par pietiekamību, lai tiktos ar attiecīgajām Japānas iestādēm un ieinteresētajām personām saistībā ar būtiskajiem elementiem, kas Komisijai jāņem vērā, pieņemot lēmumu par aizsardzības līmeņa pietiekamību, |
|
— |
ņemot vērā Reglamenta 123. panta 2. punktu, |
|
A. |
tā kā kopš 2018. gada 25. maija ir piemērojama VDAR; tā kā VDAR 45. panta 2. punktā ir noteikti elementi, kas Komisijai jāņem vērā, novērtējot aizsardzības līmeņa pietiekamību trešā valstī vai starptautiskā organizācijā; |
|
B. |
tā kā Komisijai jo īpaši jāņem vērā tiesiskums, cilvēktiesību un pamatbrīvību ievērošana, attiecīgie vispārējie un nozaru tiesību akti, tostarp attiecībā uz sabiedrības drošību, aizsardzību, valsts drošību, krimināltiesībām un valsts iestāžu piekļuvi personas datiem, vienas vai vairāku neatkarīgu uzraudzības iestāžu pastāvēšanu un efektīvu darbību, kā arī starptautiskās saistības, ko uzņēmusies trešā valsts vai starptautiskā organizācija; |
|
C. |
tā kā Eiropas Savienības Tiesa 2015. gada 6. oktobra spriedumā lietā C-362/14 (Maximillian Schrems pret Data Protection Commissioner) precizēja, ka ar pienācīgu aizsardzības līmeni trešā valstī ir jāsaprot “pēc būtības līdzvērtīgs” līmenis tam, kāds saskaņā ar Direktīvu 95/46/EK, to lasot Hartas izpratnē, ir garantēts Eiropas Savienībā; |
|
D. |
tā kā Japāna ir viens no ES viens no būtiskajiem ES tirdzniecības partneriem, ar kuru tā nesen noslēgusi Ekonomisko partnerattiecību nolīgumu (EPN), kurā paredzētas kopīgas vērtības un principi, vienlaikus aizsargājot aspektus, ko abas puses uzskata par sensitīviem; tā kā vispārēja pamattiesību, tostarp tiesību uz privātumu un datu aizsardzību, atzīšana būs nozīmīgs elements saistībā ar lēmuma par aizsardzības līmeņa pietiekamību pieņemšanu, kas savukārt būs juridiskais pamats personas datu nosūtīšanai no Eiropas Savienības uz Japānu; |
|
E. |
tā kā Pilsoņu brīvību, tieslietu un iekšlietu komitejas ad hoc delegācija uz Japānu tika informēta par Japānas iestāžu un ieinteresēto personu interesi ne tikai par jauno VDAR noteikumu piemērošanu, bet arī par robusta un augsta līmeņa personas datu pārsūtīšanas mehānisma izveidi starp ES un Japānu, kas atbilstu ES tiesiskā regulējuma nosacījumiem attiecībā uz aizsardzības līmeni, ko būtībā uzskata par līdzvērtīgu ES datu aizsardzības tiesību aktu noteikumiem; |
|
F. |
tā kā personas datu nosūtīšana starp ES un Japānu komerciāliem mērķiem ir svarīgs ES un Japānas attiecību elements, ņemot vērā aizvien pieaugošo globālās ekonomikas digitalizāciju; tā kā šāda nosūtīšana būtu jāveic, balstoties uz tiesību uz personas datu aizsardzību un tiesību uz privātumu pilnīgu ievērošanu; tā kā viens no ES pamatmērķiem ir Eiropas Savienības Pamattiesību hartā paredzēto pamattiesību aizsardzība; |
|
G. |
tā kā ES un Japāna 2017. gada janvārī sāka diskusijas, lai atvieglotu personas datu nosūtīšanu komerciāliem mērķiem, izmantojot pirmo reizi veikto “savstarpējo atzinumu par aizsardzības līmeņa pietiekamību”; tā kā Parlaments 2017. gada 12. decembra rezolūcijā “Ceļā uz digitālās tirdzniecības stratēģiju” skaidri atzina, “ka lēmumi par aizsardzības līmeņa pietiekamību [..] ir fundamentāls mehānisms, lai nodrošinātu personas datu pārsūtīšanu no ES uz trešo valsti”; |
|
H. |
tā kā lēmums par to personas datu aizsardzības līmeņa pietiekamību, kurus pārsūta uz Japānu, būtu pirmais šāds lēmums, kas pieņemts saskaņā ar jaunajiem un stingrākajiem VDAR noteikumiem; |
|
I. |
tā kā Japāna nesen ir modernizējusi un nostiprinājusi savus datu aizsardzības tiesību aktus, lai tos saskaņotu ar starptautiskajiem standartiem, jo īpaši ar garantijām un individuālajām tiesībām, kas paredzētas jaunajā Eiropas datu aizsardzības tiesiskajā regulējumā; tā kā Japānas datu aizsardzības tiesiskais regulējums sastāv no dažādiem pīlāriem, un galvenais tiesību akts ir Likums par personas datu aizsardzību (APPI); |
|
J. |
tā kā Japānas Ministru kabinets 2018. gada 12. jūnijā pieņēma Ministru kabineta rīkojumu, saskaņā ar kuru personas datu aizsardzības komisijai (PPC) kā iestādei, kas ir kompetenta pārvaldīt un īstenot APPI, deleģē “pilnvaras veikt nepieciešamos pasākumus, lai novērstu Japānas un attiecīgās ārvalsts sistēmu un darbību atšķirības, pamatojoties uz Likuma 6. pantu nolūkā nodrošināt no šādas valsts saņemtās personas informācijas pienācīgu apstrādi”; tā kā šis lēmums paredz, ka tas ietver pilnvaras noteikt pastiprinātu aizsardzību, PPC pieņemot stingrākus noteikumus, kas papildina un pārsniedz prasības, kuras noteiktas APPI un Ministru kabineta rīkojumā; tā kā saskaņā ar šo lēmumu šie stingrākie noteikumi būtu saistoši un piemērojami Japānas uzņēmējiem; |
|
K. |
tā kā projekta Komisijas īstenošanas lēmumam par personas datu pienācīgu aizsardzību Japānā I pielikumā ir pievienoti papildu noteikumi, kurus PPC pieņēma 2018. gada 15. jūnijā, pamatojoties uz APPI 6. pantu, kurā PPC nepārprotami atļauts pieņemt stingrākus noteikumus, tostarp nolūkā atvieglot datu starptautisku nosūtīšanu; tā kā minētie papildu noteikumi vēl nav publiski pieejami; |
|
L. |
tā kā šo papildu noteikumu mērķis būtu risināt būtiskas atšķirības starp Japānas un ES tiesību aktiem datu aizsardzības jomā, lai nodrošinātu, ka tiek pienācīgi apstrādāta personas informācija, kas saņemta no ES, balstoties uz lēmumu par aizsardzības līmeņa pietiekamību, jo īpaši attiecībā uz personas informāciju, kam nepieciešama īpaša uzmanība (“sensitīvi dati”), personas datiem, kurus saglabā, norādot izmantošanas mērķi, izmantošanas ierobežojumiem, kas saistīti ar datu sniegšanu trešām personām ārvalstīs, un anonīmi apstrādātu informāciju; |
|
M. |
tā kā papildu noteikumi būtu juridiski saistoši jebkuram uzņēmējam, kas veic personas informācijas apstrādi un saņem no ES nosūtītos personas datus, pamatojoties uz lēmumu par aizsardzības līmeņa pietiekamību, un tādēļ tiem būtu jāievēro šie noteikumi un visas saistītās tiesības un pienākumi, un to izpildi varētu nodrošināt gan PPC, gan Japānas tiesas; |
|
N. |
tā kā, lai nodrošinātu pēc būtības līdzvērtīgu to personas datu aizsardzības līmeni, kas nosūtīti no ES uz Japānu, papildu noteikumi nosaka papildu aizsardzību, kas jāpiemēro, pamatojoties uz stingrākiem nosacījumiem vai ierobežojumiem attiecībā uz personas datu, kas nosūtīti no ES, apstrādi, piemēram, attiecībā uz personas informāciju, kurai nepieciešama īpaša uzmanība, uz informācijas pārsūtīšanu, anonīmiem datiem un mērķu ierobežojumu; |
|
O. |
tā kā Japānas datu aizsardzības tiesiskajā regulējumā ir nošķirti jēdzieni “personas informācija” un “personas dati”, un dažos gadījumos atsaucas uz īpašu personas datu kategoriju, proti, “saglabātie personas dati”; |
|
P. |
tā kā saskaņā ar APPI 2. panta 1. punktu jēdziens “personas informācija” ietver jebkuru informāciju par dzīvu personu, kas ļauj identificēt šo personu; tā kā definīcijā izšķir divas personas datu kategorijas: i) personas identifikācijas kodi, ii) cita personas informācija, pēc kuras var identificēt konkrētu personu; tā kā otrā kategorija ietver informāciju, kas pati par sevi neļauj identificēt personu, bet kuru “apkopojot” ar citu informāciju, var būt iespējams identificēt konkrētu personu; |
|
Q. |
tā kā saskaņā ar APPI 2. panta 4. punktu “personas dati” ir personas informācija, kas veido personas informācijas datubāzi utt.; tā kā APPI 2. panta 1. punkts paredz, ka informācija šādās datubāzēs ir sistemātiski sakārtota, un šajā ziņā tā līdzinās VDAR 2. panta 1. punktā paredzētajam kartotēkas jēdzienam; tā kā saskaņā ar VDAR 4. panta 1. punktu “personas dati” ir jebkāda informācija, kas attiecas uz identificētu vai identificējamu fizisku personu; tā kā identificējama fiziska persona ir persona, kuru tieši vai netieši var identificēt, jo īpaši, izmantojot tādus identifikatorus kā, piemēram, vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datus, tiešsaistes identifikatoru vai vienu vai vairākus minētajai personai raksturīgus fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktorus; tā kā, lai noteiktu, vai fiziska persona ir identificējama, būtu jāņem vērā visi līdzekļi, ko pārzinis vai kāda cita persona pamatoti varētu izmantot – piemēram, atsevišķa izdalīšana –, lai tieši vai netieši identificētu fizisku personu; |
|
R. |
tā kā saskaņā ar APPI 2. panta 7. punktu “saglabātie personas dati” ir personas dati, kurus uzņēmējs, kas apstrādā informāciju, ir pilnvarots izpaust, labot, papildināt vai dzēst, izbeigt to izmantošanu, izdzēst vai izbeigt to nodrošināšanu trešām personām, un kuri nav dati, kas ar Ministru kabineta rīkojumu atzīti par tādiem, kuri gadījumā, ja to esamība vai neesamība tiek darīta zināma, varētu kaitēt sabiedrības vai citām interesēm, ne dati, kas ir dzēšami Ministru kabineta noteiktajā laikposmā, kas nepārsniedz vienu gadu; tā kā papildu noteikumos jēdziens “saglabātie personas dati” tiek saskaņots ar jēdzienu “personas dati”, lai garantētu, ka uz datiem, ko nosūtīs no ES, nepiemēros dažus ar pirmo no minētajām datu kategorijām saistītajām individuālajām tiesībām saistītos ierobežojumus; |
|
S. |
tā kā Japānas datu aizsardzības tiesību akti, kas ir īstenošanas lēmuma projekta priekšmets, izslēdz no savas darbības jomas vairākas nozares, ja tās apstrādā personas datus konkrētiem nolūkiem; tā kā īstenošanas lēmuma projekts neattiecas uz personas datu pārsūtīšanu no ES tādam saņēmējam, kas atbilst kādam no iepriekš minētajiem Japānas datu aizsardzības tiesību aktos paredzētajiem izņēmumiem; |
|
T. |
tā kā attiecībā uz ES personas datu pārsūtīšanu no Japānas uz trešo valsti īstenošanas lēmuma projekts šādu pārsūtīšanu izslēdz tādu pārsūtīšanas režīmu gadījumā, kas nerada saistošas attiecības starp Japānas datu nosūtītāju un trešās valsts datu saņēmēju un negarantē nepieciešamo aizsardzības līmeni; tā kā šāda situācija rastos, piemēram, saistībā ar Āzijas un Klusā okeāna valstu ekonomiskās sadarbības Pārrobežu privātuma noteikumu (APEC CBPR) sistēmu, kurā Japāna piedalās, jo šajā sistēmā aizsardzības pasākumi neizriet no vienošanās, kas ir saistoša nosūtītājam un saņēmējam to divpusējo attiecību kontekstā, un tie ir nepārprotami vājāki par tiem, ko garantē APPI kopā ar papildu noteikumiem; |
|
U. |
tā kā Eiropas Datu aizsardzības kolēģija savā 2018. gada 5. decembra atzinumā, balstoties uz Komisijas nodrošināto dokumentāciju, izvērtē, vai Japānas datu aizsardzības tiesiskais regulējums sniedz pietiekamas garantijas par fizisku personu datu pienācīgu aizsardzības līmeni; tā kā Eiropas Datu aizsardzības kolēģija atzinīgi vērtē Komisijas un Japānas PPC centienus palielināt Japānas un Eiropas tiesiskā regulējuma konverģenci nolūkā veicināt personas datu nosūtīšanu; tā kā Eiropas Datu aizsardzības kolēģija atzīst, ka papildu noteikumu viestie uzlabojumi nolūkā mazināt daļu no atšķirībām starp abiem regulējumiem ir ļoti svarīgi un atzinīgi vērtējami; tā kā kolēģija norāda, ka joprojām pastāv vairāki bažas rosinoši faktori, piemēram, no ES uz Japānu nosūtīto personas datu aizsardzība visā to aprites ciklā, un iesaka Komisijai sniegt papildu pierādījumus un skaidrojumus par aktualizētajiem jautājumiem, un rūpīgi uzraudzīt, vai minētie noteikumi tiek reāli piemēroti; |
|
V. |
tā kā īstenošanas lēmuma projektam ir pievienota arī tieslietu ministra 2018. gada 14. septembra vēstule, kurā ir atsauce uz Tieslietu ministrijas un vairāku ministriju un aģentūru izstrādāto dokumentu “Japānas valsts iestāžu veiktā personas informācijas vākšana un izmantošana tiesībaizsardzības un valsts drošības nolūkos”, kurā ietverts pārskats par piemērojamo tiesisko regulējumu un Komisijai sniegti oficiāli apliecinājumi, garantijas un apņemšanās ministru un aģentūru augstākajā līmenī, kas pievienota īstenošanas lēmumam kā II pielikums, |
|
1. |
pieņem zināšanai detalizēto analīzi, ko Komisija projektā īstenošanas lēmuma par pietiekamību sniegusi attiecībā uz aizsardzības pasākumiem, tostarp uzraudzības un tiesiskās aizsardzības mehānismiem, kas piemērojami datu apstrādei, ko veic uzņēmēji, kā arī attiecībā uz Japānas valsts iestāžu piekļuvi datiem, jo īpaši tiesībaizsardzības un valsts drošības jomā; |
|
2. |
ņem vērā apstākli, ka Japāna vienlaikus arī sagatavo tādu personas datu aizsardzības līmeņa atzīšanu, kas no Japānas tiek nosūtīti uz ES saskaņā ar APPI 23. pantu, kā rezultātā pasaulē pirmo reizi tiek konstatēts divvirzienu atzinums par aizsardzības līmeņa pietiekamību, kas ļautu izveidot pasaulē lielāko brīvas un drošas datu plūsmas zonu; |
|
3. |
atzinīgi vērtē šo notikumu attīstību kā augstu datu aizsardzības standartu globālas izplatības izpausmi; tomēr norāda, ka tam nekādā gadījumā nevajadzētu novest pie tā, ka uz ES lēmumiem par aizsardzības līmeņa pietiekamību visi partneri sāk atbildēt ar tādiem pašiem pretpasākumiem; atgādina, ka, lai saskaņā ar VDAR pieņemtu lēmumu par aizsardzības līmeņa pietiekamību, Komisijai ir objektīvi jānovērtē juridiskā un praktiskā situācija trešā valstī, teritorijā, nozarē vai starptautiskajā organizācijā; |
|
4. |
norāda, ka Eiropas Savienības tiesa ir nospriedusi, ka “jēdziens “pietiekams aizsardzības līmenis” nenozīmē, ka būtu jāgarantē identisks aizsardzības līmenis tam, kāds tiek garantēts Eiropas Savienībā, bet ir jāsaprot tādējādi, ka trešai valstij, ņemot vērā vietējos tiesību aktus vai starptautiskās saistības, ir jānodrošina tāds pamattiesību un brīvību aizsardzības līmenis, kas ir būtībā līdzvērtīgs tam, kāds tiek garantēts Eiropas Savienībā saskaņā ar VDAR, kas interpretēta atbilstoši Hartai”; |
|
5. |
norāda, ka tiesības uz privātumu un personas datu aizsardzību ir garantētas konstitucionālā līmenī gan Japānā, gan ES, taču ES un Japānas noteikumu pilnīga saskaņošana nebūs iespējama, ņemot vērā konstitūcijas struktūras, kā arī kultūras atšķirības; |
|
6. |
ņem vērā APPI grozījumus, kas stājās spēkā 2017. gada 30. maijā; atzinīgi vērtē būtiskos uzlabojumus; |
|
7. |
norāda, ka no APPI materiālās piemērošanas jomas izslēgtās uzņēmējdarbības un apstrādes darbību kategorijas ir nepārprotami izslēgtas no lēmuma par aizsardzības līmeņa pietiekamību darbības jomas; |
|
8. |
uzskata, ka pēc grozītā APPI un VDAR pieņemšanas 2016. gadā Japānas un ES datu aizsardzības sistēmām ir augsts konverģences līmenis attiecībā uz principiem, garantijām un individuālajām tiesībām, kā arī uzraudzības un izpildes mehānismiem; jo īpaši uzsver to, ka ar APPI grozījumiem ir izveidota neatkarīga uzraudzības iestāde — PPC; |
|
9. |
Tomēr norāda, ka pat PPC uzskata, ka, “neraugoties uz abu sistēmu augstu saskaņotības līmeni, pastāv dažas būtiskas atšķirības”; norāda arī to, ka PPC2018. gada 15. jūnijā pieņēma papildu noteikumus, lai nodrošinātu augstāku no ES nosūtīto personas datu aizsardzības līmeni; |
|
10. |
atzinīgi vērtē virkni svarīgu precizējumu papildu noteikumos, tostarp APPI minētā jēdziena “anonimizēta personas informāciju” saskaņošanu ar VDAR minētā jēdziena “anonīma informācija” definīciju; |
|
11. |
uzskata, ka papildu noteikumos paredzētā papildu aizsardzība attiecas tikai uz lēmumā par aizsardzības līmeņa pietiekamību paredzēto datu nosūtīšanu; atgādina, ka, ņemot vērā lēmuma par aizsardzības līmeņa pietiekamību darbības jomu, dažos gadījumos datu nosūtīšana tiks veikta saskaņā ar šiem citiem pieejamiem mehānismiem; |
|
12. |
atzīst, ka papildu noteikumos paredzētie papildu aizsardzības pasākumi attiecas tikai uz personas datiem, kas nosūtīti no Eiropas, līdz ar to komersantiem, kuriem vajadzēs vienlaikus apstrādāt personas datus no Japānas un no Eiropas, būs pienākums ievērot papildu noteikumus, nodrošinot, piemēram, tehniskos (“marķēšana”) vai organizatoriskos līdzekļus (piem., glabāšana īpaši atvēlētā datu bāzē), lai spētu identificēt šādus personas datus visā to “aprites ciklā”; aicina Komisiju uzraudzīt situāciju nolūkā nepieļaut iespējamās nepilnības, kuras uzņēmēji varētu izmantot, lai izvairītos no papildu noteikumos paredzētajiem pienākumiem, datus nosūtot caur trešām valstīm; |
|
13. |
norāda, ka APPI sniegtā “personas datu” definīcija neietver datus, “kas ar Ministru kabineta rīkojumu atzīti par tādiem, kam ir maza iespējamība kaitēt personas tiesībām un interesēm, ņemot vērā to izmantošanas veidu”; mudina Komisiju novērtēt, vai šāda uz kaitējumu balstīta pieeja ir saderīga ar ES pieeju, saskaņā ar kuru visa personas datu apstrāde ietilpst datu aizsardzības tiesību aktu darbības jomā; tomēr norāda arī, ka šāda situācija rastos ļoti retos gadījumos; |
|
14. |
norāda arī, ka APPI sniegtā jēdziena “personas informācija” definīcija ietver tikai informāciju, “pēc kuras var identificēt konkrētu personu”; norāda arī, ka šī definīcija neietver VDAR sniegto skaidrojumu, ka personas informācija būtu jāuzskata par personas datiem arī tad, ja ar to var tikai “atšķirt” vienu personu no citām, kā to skaidri noteikusi Eiropas Savienības Tiesa; |
|
15. |
pauž bažas par to, ka APPI sniegtā jēdziena “personas dati” šaurākā definīcija (balstoties uz jēdziena “personas informācija” definīciju) varētu neatbilst standartam, kas ir “būtībā līdzvērtīgs” VDAR un Eiropas Kopienu Tiesas judikatūrai; tāpēc apšauba īstenošanas lēmuma projektā izteikto apgalvojumu, ka “ES dati vienmēr ietilps “personas datu” kategorijā saskaņā ar APPI”; aicina Komisiju, kad tā piemēros lēmumu par aizsardzības līmeņa pietiekamību un veiks tā periodisko pārskatīšanu, cieši uzraudzīt minēto dažādo jēdzienu praktisko ietekmi; |
|
16. |
aicina Komisiju sniegt papildu precizējumus no Japānas iestādēm, un, ja vajadzīgs, pieprasīt tām pieņemt jaunus saistošus papildu noteikumus, lai garantētu, ka tiks aizsargāti visi uz Japānu sūtītie dati, kas ir personas dati VDAR nozīmē; |
|
17. |
ar bažām norāda, ka atšķirībā no ES tiesību aktiem ne APPI, ne PPC pamatnostādnēs nav ietvertas juridiskas normas par automatizētu lēmumu pieņemšanu un profilēšanu, un ka šim jautājumam pievēršas tikai daži nozaru noteikumi, bet nav nodrošināts visaptverošs tiesiskais regulējums, kas ietvertu būtisku un stingru aizsardzību pret automatizētu lēmumu pieņemšanu un profilēšanu; aicina Komisiju parādīt, kā šis jautājums tiek risināts Japānas datu aizsardzības sistēmā, lai garantētu līdzvērtīgu aizsardzības līmeni; uzskata, ka tas ir īpaši aktuāli, ņemot vērā nesenās Facebook/Cambridge Analytica ar profilēšanu saistītās lietas; |
|
18. |
uzskata — lai pierādītu Japānas personas datu aizsardzības līmeņa līdzvērtīgumu, ņemot vērā EDAK rokasgrāmatu par pietiekamību, ir nepieciešami papildu izvērsti precizējumi saistībā ar tiešo tirgvedību, ņemot vērā to, ka APPI šajā jomā neparedz konkrētus noteikumus; |
|
19. |
pieņem zināšanai Eiropas Datu aizsardzības kolēģijas atzinumu, kurā minēti vairāki bažas rosinoši faktori, piemēram, no ES uz Japānu nosūtīto personas datu aizsardzība visā to aprites ciklā; aicina Komisiju pienācīgi pievērsties šim jautājumam un īstenošanas lēmumā sniegt papildu pierādījumus un skaidrojumus, kas pierādītu pienācīgu drošības pasākumu esamību; |
|
20. |
aicina Komisiju precizēt, vai attiecībā uz datu tālāku pārsūtīšanu papildu noteikumos paredzētajā risinājumā, kas paredz, ka ir vajadzīga ES datu subjekta iepriekšēja piekrišana datu tālākai pārsūtīšanai trešai personai ārvalstīs, trūkst konkrētu būtiski svarīgu VDAR 13. pantā paredzētu elementu, kas datu subjektiem ļautu formulēt savu piekrišanu, piemēram, trešā valsts, kas ir pārsūtīto datu saņēmēja, jo noteikumos nav skaidri definēts jēdziens “informācija par datu pārsūtīšanas apstākļiem, kas [datu subjektam] nepieciešama, lai pieņemtu lēmumu par savu piekrišanu”; aicina Komisiju arī precizēt, kādas sekas datu subjektam radītu atteikums dot piekrišanu savu personas datu pārsūtīšanai; |
|
21. |
pauž nožēlu par to, ka attiecībā uz efektīvu APPI izpildi, naudas soda apmērs, ko soda iestādes varētu piemērot, ir nepietiekams, lai nodrošinātu likuma reālu ievērošanu, jo tas, šķiet, nav samērīgs, efektīvs un atturošs, ņemot vērā pārkāpuma smagumu; tomēr norāda, ka APPI ir paredzēti arī kriminālsodi, tostarp cietumsods; aicina Komisiju sniegt informāciju par administratīvo naudas sodu un kriminālsodu reālo pielietojumu pagātnē; |
|
22. |
pieņem zināšanai to, ka PPC nav pilnvaru uzraudzīt tiesībaizsardzības iestāžu veiktās datu apstrādes darbības, tomēr pastāv arī citi uzraudzības mehānismi, tostarp uzraudzība, ko veic neatkarīga prefektūras Sabiedriskās drošības komisija; norāda, ka arī Informācijas pārredzamības un personas informācijas aizsardzības pārbaudes padomei ir dažas kompetences šajā jomā, tostarp piekļuves pieprasījumu izskatīšana un atzinumu publicēšana, taču norāda, ka šīs pilnvaras nav juridiski saistošas; atzinīgi vērtē to, ka ES un Japāna ir nolēmušas ieviest īpašu tiesiskās aizsardzības mehānismu, ko pārvalda un uzrauga PPC un kas tiks piemērots personas datu apstrādei tiesībaizsardzības un valsts drošības sektorā; |
|
23. |
norāda, ka saskaņā ar Japānas Likumu par administratīvo struktūru glabātās personas informācijas aizsardzību (APASIHAO) uzņēmēji var arī “brīvprātīgi” nodot datus tiesībaizsardzības iestādēm; norāda, ka šāda iespēja nav paredzēta ne VDAR, ne Policijas direktīvā, un aicina Komisiju novērtēt, vai tā atbilst standartam, proti, vai tā ir vai nav “būtībā līdzvērtīga” VDAR; |
|
24. |
ir informēts par plašsaziņas līdzekļu ziņojumiem par Japānas Sakaru izlūkošanas direktorātu (DFS), “kas nodarbina aptuveni 1700 cilvēku un kuram ir vismaz sešas novērošanas centrāles, kurās visu diennakti tiek uzraudzīti sakari pa tālruni, e-pastu un citiem saziņas līdzekļiem (6); ir nobažījies par to, ka šis neselektīvas masveida novērošanas elements pat nav pieminēts īstenošanas lēmuma projektā; aicina Komisiju sniegt vairāk informācijas par masveida novērošanu Japānā; pauž nopietnas bažas par to, ka šī masveida novērošana neatbildīs Eiropas Savienības Tiesas spriedumā Schrems lietā (Lieta C-362/14) noteiktajiem kritērijiem; |
|
25. |
pauž nožēlu par to, ka dokumentam “Japānas publisko iestāžu veiktās personas informācijas vākšana un izmantošana tiesībaizsardzības īstenošanas un valsts drošības nolūkos”, kas ir daļa no īstenošanas lēmuma projekta II pielikuma, nav tāds pats juridiski saistošs spēks kā papildu noteikumiem; |
Secinājumi
|
26. |
aicina Komisiju sniegt papildu pierādījumus un paskaidrojumus par iepriekš minētajiem jautājumiem, tostarp jautājumiem, kurus Eiropas Datu aizsardzības kolēģija formulēja savā 2018. gada 5. decembra atzinumā, lai pierādītu, ka Japānas datu aizsardzības tiesiskais regulējums nodrošina pietiekamu aizsardzības līmeni, kas būtībā ir līdzvērtīgs Eiropas datu aizsardzības tiesiskajā regulējumā paredzētajam; |
|
27. |
uzskata, ka šis lēmums par aizsardzības līmeņa pietiekamību var turklāt dot spēcīgu signālu valstīm visā pasaulē, ka konverģence ar ES augstajiem datu aizsardzības standartiem sniedz ļoti taustāmus rezultātus; šajā sakarā uzsver, cik svarīgs šis lēmums par aizsardzības līmeņa pietiekamību ir kā precedents turpmākām partnerībām ar citām valstīm, kuras ir pieņēmušas modernus datu aizsardzības tiesību aktus; |
|
28. |
uzdod Pilsoņu brīvību, tieslietu un iekšlietu komitejai turpināt uzraudzīt norises šajā jomā, tostarp Tiesā ierosinātās lietas, kā arī uzraudzīt šajā rezolūcijā sniegto ieteikumu izpildi; |
o
o o
|
29. |
uzdot priekšsēdētājam nosūtīt šo rezolūciju Padomei, Komisijai, dalībvalstu valdībām un parlamentiem, Eiropas Datu aizsardzības kolēģijai, Eiropas Datu aizsardzības uzraudzītājam, komitejai, kas izveidota saskaņā ar VDAR 93. panta 1. punktu, Eiropas Padomei un Japānas valdībai. |
(1) OV L 119, 4.5.2016., 1. lpp.
(2) ECLI:EU:C:2015:650.
(3) ECLI:EU:C:2016:970.
(4) OV C 369, 11.10.2018., 22. lpp.
(5) http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614108; apstiprinājusi Eiropas Datu aizsardzības kolēģija savā pirmajā plenārsēdē.
(6) Ryan Gallagher, “The Untold Story of Japan’s Secret Spy Agency”, “The Intercept”, 2018. gada 19. maijs, https://theintercept.com/2018/05/19/japan-dfs-surveillance-agency/