(1)

Regulā (ES) 2016/679 ir izklāstīti noteikumi par personas datu nosūtīšanu no pārziņiem vai apstrādātājiem Eiropas Savienībā uz trešām valstīm un starptautiskām organizācijām, ciktāl uz šādu nosūtīšanu attiecas regulas darbības joma. Noteikumi par personas datu starptautisku nosūtīšanu ir paredzēti minētās regulas V nodaļā, konkrēti 44.–50. pantā. Personas datu plūsma uz un no valstīm ārpus Eiropas Savienības ir nepieciešama starptautiskās sadarbības un starptautiskās tirdzniecības paplašināšanai, vienlaikus garantējot, ka netiek ietekmēts personas datu aizsardzības līmenis Eiropas Savienībā.

(2)

Atbilstoši Regulas (ES) 2016/679 45. panta 3. punktam Komisija pēc aizsardzības līmeņa pietiekamības izvērtēšanas ar īstenošanas aktu var nolemt, ka trešā valsts, trešās valsts teritorija vai viens vai vairāki konkrēti sektori, vai starptautiska organizācija nodrošina pietiekamu aizsardzības līmeni. Šādos apstākļos personas datus uz minēto trešo valsti, teritoriju, sektoru vai starptautisko organizāciju var nosūtīt bez nepieciešamības saņemt jebkādu turpmāku atļauju, kā paredzēts regulas 45. panta 1. punktā un 103. apsvērumā.

(3)

Kā norādīts Regulas (ES) 2016/679 45. panta 2. punktā, lēmumu par aizsardzības līmeņa pietiekamību pieņem, pamatojoties uz visaptverošu analīzi par trešās valsts tiesisko kārtību, gan attiecībā uz noteikumiem, kas piemērojami datu importētājiem, gan attiecībā uz ierobežojumiem un garantijām saistībā ar publisko iestāžu piekļuvi personas datiem. Novērtējumā jānosaka, vai attiecīgā trešā valsts garantē aizsardzības līmeni, kas “pēc būtības ir līdzvērtīgs” Eiropas Savienībā nodrošinātajam (Regulas (ES) 2016/679 104. apsvērums). Kā ir precizējusi Eiropas Savienības Tiesa, tas nenozīmē, ka ir vajadzīgs identisks aizsardzības līmenis (2). Jo īpaši attiecīgās trešās valsts izmantotie līdzekļi var atšķirties no Eiropas Savienībā izmantotajiem, kamēr vien tie praksē efektīvi nodrošina pietiekamu aizsardzības līmeni (3). Tāpēc aizsardzības līmeņa pietiekamības standarts neparedz Savienības noteikumu precīzu replicēšanu. Pārbaude drīzāk atklāj, vai valsts tiesību sistēma spēj nodrošināt nepieciešamo aizsardzības līmeni, ņemot vērā tiesību uz privātumu būtību un to efektīvu īstenošanu, uzraudzību un izpildi (4).

(4)

Komisija ir rūpīgi izanalizējusi Japānas tiesību aktus un praksi. Pamatojoties uz 6.–175. apsvērumā izklāstītajiem konstatējumiem, Komisija secina, ka Japāna nodrošina pietiekamu aizsardzības līmeni attiecībā uz personas datiem, ko nosūta organizācijām, uz kurām attiecas Likuma par personas informācijas aizsardzību (5) darbības joma un kurām piemēro šajā lēmumā minētos papildu nosacījumus. Šie nosacījumi ir noteikti Papildu noteikumos (I pielikums), ko pieņēmusi Personas informācijas aizsardzības komisija (PPC) (6), un oficiālajos apliecinājumos, garantijās un saistībās, ko Japānas valdība ir sniegusi Eiropas Komisijai (II pielikums).

(5)

Šā lēmuma rezultātā pārzinis vai apstrādātājs Eiropas Ekonomikas zonā (EEZ) (7) var nosūtīt datus šādām organizācijām Japānā bez nepieciešamības saņemt jebkādu turpmāku atļauju. Šis lēmums neskar Regulas (ES) 2016/679 tiešu piemērošanu šādām organizācijām, ja ir izpildīti tās 3. panta nosacījumi.

(6)

Tiesību sistēmas, kas reglamentē privātumu un datu aizsardzību Japānā, pamatā ir 1946. gadā izsludinātā Konstitūcija.

(7)

Konstitūcijas 13. pantā ir noteikts:

“Visus cilvēkus ciena kā personības. Gan tiesību aktos, gan citās valdības lietās viņu tiesībām dzīvot un būt laimīgiem tiek piešķirta visaugstākā vērtība, ciktāl tas netraucē sabiedrības labklājībai.”

(8)

Pamatojoties uz minēto pantu, Japānas Augstākā tiesa ir precizējusi personu tiesības attiecībā uz personas informācijas aizsardzību. Lēmumā, kas pieņemts 1969. gadā, tā atzina tiesības uz privātumu un datu aizsardzību par konstitucionālām tiesībām (8). Proti, Tiesa nosprieda, ka “ikvienai personai ir brīvība aizsargāt savu personas informāciju pret tās izpaušanu trešām personām vai publiskošanu, ja tai nav pamatota iemesla.” Turklāt 2008. gada 6. marta lēmumā (Juki-Net) (9) Augstākā tiesa nosprieda, ka “pilsoņu brīvību privātajā dzīvē aizsargā no valsts varas īstenošanas, un to var interpretēt tādējādi, ka ikvienai personai viena no viņas brīvībām privātajā dzīvē ir brīvība aizsargāt savu personas informāciju pret tās izpaušanu trešām personām vai publiskošanu, ja tam nav pamatota iemesla (10).”

(9)

Japāna 2003. gada 30. maijā ieviesa vairākus likumus datu aizsardzības jomā:

(10)

Abos pēdējos minētajos likumos (grozīti 2016. gadā) ir ietverti konkrēti noteikumi, kas piemērojami personas informācijas aizsardzībai, kuru nodrošina publiskā sektora struktūras. Datu apstrāde, uz ko attiecas minēto likumu piemērošanas joma, nav šajā lēmumā ietvertā konstatējuma par aizsardzības līmeņa pietiekamību priekšmets – šis lēmums attiecas tikai uz personas informācijas aizsardzību, ko nodrošina uzņēmēji, kuri izmanto personas informāciju (PIHBO), APPI nozīmē.

(11)

Pēdējos gados ir veikta APPI reforma. Grozītais APPI tika izsludināts 2015. gada 9. septembrī un stājās spēkā 2017. gada 30. maijā. Ar grozījumiem tika ieviestas vairākas jaunas garantijas, kā arī nostiprinātas esošās garantijas, tādējādi Japānas datu aizsardzības sistēmu pietuvinot Eiropas sistēmai. Tas ietver, piemēram, īstenojamu individuālu tiesību kopumu vai tādas neatkarīgas uzraudzības iestādes (PPC) izveidi, kam uzticēta APPI pārraudzība un izpilde.

(12)

Papildus APPI uz personas informācijas apstrādi, kura ietilpst šā lēmuma darbības jomā, attiecas īstenošanas noteikumi, kas pieņemti, pamatojoties uz APPI. To starpā ir grozījumi Ministru kabineta 2016. gada 5. oktobra rīkojumā, ar kuru uzdod izpildīt Likumu par personas informācijas aizsardzību, un PPC pieņemtie t.s. Likuma par personas informācijas aizsardzību izpildes noteikumi (11). Abi šie noteikumu kopumi ir juridiski saistoši un izpildāmi un stājās spēkā vienlaikus ar grozīto APPI.

(13)

Turklāt 2016. gada 28. oktobrī Japānas Ministru kabinets (kura sastāvā ir premjerministrs un šo valdību veidojošie ministri) pieņēma “pamatpolitiku”, kuras mērķis ir “visaptveroši un integrēti veicināt pasākumus attiecībā uz personas informācijas aizsardzību”. Atbilstoši APPI 7. pantam pamatpolitiku pieņem kā Ministru kabineta lēmumu, un tajā iekļauj politikas norādījumus par APPI izpildi, kas adresēti gan centrālajai valdībai, gan vietējām valdībām.

(14)

Nesen Japānas valdība ar Ministru kabineta lēmumu, kas pieņemts 2018. gada 12. jūnijā, grozīja pamatpolitiku. Lai atvieglotu starptautisko datu nosūtīšanu, ar minēto Ministru kabineta lēmumu PPC kā kompetentajai iestādei attiecībā uz APPI pārvaldību un īstenošanu tiek deleģētas “pilnvaras veikt nepieciešamos pasākumus, lai mazinātu sistēmu un darbību atšķirības starp Japānu un attiecīgo ārvalsti, pamatojoties uz likuma 6. pantu, nolūkā nodrošināt no šādas valsts saņemtas personas informācijas pienācīgu izmantošanu”. Ministru kabineta lēmumā ir noteikts, ka tas ietver pilnvaras noteikt pastiprinātus aizsardzības pasākumus, PPC pieņemot stingrākus noteikumus, kas papildina un pārsniedz APPI un Ministru kabineta rīkojumā paredzētos. Atbilstoši minētajam lēmumam šādi stingrāki noteikumi ir saistoši Japānas uzņēmējiem, kuriem tie ir jāizpilda.

(15)

Pamatojoties uz APPI 6. pantu un minēto Ministru kabineta lēmumu, PPC2018. gada 15. jūnijā pieņēma Papildu noteikumus saskaņā ar Likumu par personas informācijas aizsardzību no ES nosūtīto personas datu izmantošanai, pamatojoties uz lēmumu par aizsardzības līmeņa pietiekamību (“Papildu noteikumi”), lai pastiprinātu no Eiropas Savienības uz Japānu nosūtītās personas informācijas aizsardzību, pamatojoties uz šo lēmumu par aizsardzības līmeņa pietiekamību. Minētie Papildu noteikumi ir juridiski saistoši Japānas uzņēmējiem, un gan PPC, gan tiesām tie ir jāīsteno tāpat kā APPI normas, kuras noteikumi papildina ar stingrākiem un/vai sīkāk izstrādātiem noteikumiem (12). Tā kā Japānas uzņēmējiem, kuri no Eiropas Savienības saņem un/vai turpmāk apstrādā personas datus, būs juridisks pienākums ievērot papildu noteikumus, viņiem ir jānodrošina (piem., ar tehniskiem līdzekļiem (“marķēšanu”) vai organizatoriskiem līdzekļiem (uzglabājot īpašā datubāzē)), ka viņi var identificēt šādus personas datus visā to “aprites ciklā” (13). Turpmākajās iedaļās ir analizēts katra Papildu noteikuma saturs kā daļa no to APPI pantu novērtējuma, kurus tas papildina.

(16)

Atšķirībā no laikposma pirms 2015. gada grozījumiem, kad šis jautājums bija dažādu Japānas ministriju kompetencē konkrētās nozarēs, APPI pilnvaro PPC pieņemt “pamatnostādnes”, “lai nodrošinātu uzņēmēju veicamo darbību pienācīgu un efektīvu īstenošanu” atbilstīgi datu aizsardzības noteikumiem. Ar pamatnostādnēm PPC nodrošina minēto noteikumu, jo īpaši APPI autoritatīvu interpretāciju. Kā liecina no PPC saņemtā informācija, minētās pamatnostādnes ir daļa no tiesiskā regulējuma un ir lasāmas kontekstā ar APPI, Ministru kabineta rīkojuma, PPC noteikumu tekstu un PPC sagatavoto jautājumu un atbilžu kopumu (14). Tādēļ pamatnostādnes ir “saistošas uzņēmējiem”. Ja pamatnostādnēs ir noteikts, ka uzņēmējam “ir” jārīkojas vai tam “nevajadzētu” rīkoties noteiktā veidā, PPC uzskatīs, ka neatbilstība attiecīgajiem noteikumiem ir likuma pārkāpums (15).

(17)

APPI piemērošanas jomu nosaka definētie jēdzieni “personas informācija”, “personas dati” un “uzņēmējs, kas izmanto personas informāciju”. Tajā pašā laikā APPI paredz dažus būtiskus tā piemērošanas jomas izņēmumus, jo īpaši attiecībā uz anonīmi apstrādātiem personas datiem un īpašiem apstrādes veidiem, ko īsteno konkrēti uzņēmēji. Lai arī APPI nav lietots jēdziens “apstrāde” (processing), tajā ir lietots līdzvērtīgs jēdziens “rīkošanās” (handling), kas saskaņā ar informāciju, kura saņemta no PPC, aptver “jebkuru darbību saistībā ar personas datiem”, tai skaitā ieguvi, ievadi, apkopošanu, organizēšanu, glabāšanu, rediģēšanu/apstrādi, atjaunošanu, dzēšanu, izvadi, izmantošanu, vai personas informācijas sniegšanu.

(18)

Vispirms, runājot par APPI materiālo piemērošanas jomu, APPI tiek nošķirta personas informācija no personas datiem, un tikai konkrēti šā likuma noteikumi ir piemērojami attiecībā uz pirmo minēto kategoriju. Saskaņā ar APPI 2. panta 1. punktu jēdziens “personas informācija” ietver jebkuru informāciju, kas attiecas uz dzīvu personu un kas ļauj identificēt attiecīgo personu. Pēc definīcijas izšķir divas personas informācijas kategorijas: i) individuālie identifikācijas kodi un ii) cita personas informācija, pēc kuras var identificēt konkrētu personu. Pēdējā minētā kategorija arī ietver informāciju, kas pati par sevi nenodrošina identificēšanu, bet ļauj identificēt konkrētu personu, kad tā tiek “vienkārši salīdzināta” ar citu informāciju. Saskaņā ar PPC pamatnostādnēm (16) par to, vai informāciju var uzskatīt par viegli salīdzināmu, spriež katrā atsevišķā gadījumā, ņemot vērā uzņēmēja faktisko situāciju (“stāvokli”). Pieņem, ka informācija ir viegli salīdzināma, ja šādu salīdzināšanu veic (vai var veikt) vidusmēra (“parasts”) uzņēmējs, izmantojot tam pieejamos līdzekļus. Piemēram, informācija nav “viegli salīdzināma” ar citu informāciju, ja uzņēmējam ir jāpieliek neierastas pūles vai jāiesaistās nelikumīgās darbībās, lai iegūtu salīdzināmo informāciju no viena vai vairākiem citiem uzņēmējiem.

(19)

Tikai uz konkrētu veidu personas informāciju var attiecināt jēdzienu “personas dati” saskaņā ar APPI. “Personas datus” faktiski definē kā “personas informāciju, kas veido personas informācijas datubāzi”, t. i., “kopēju informācijas kopumu”, kas ietver personas informāciju, kuru “sistemātiski organizē tā, lai varētu meklēt konkrētu personas informāciju, izmantojot datoru” (17) vai kas ar Ministru kabineta rīkojumu noteikta kā “sistemātiski organizēta tā, lai varētu viegli meklēt konkrētu personas informāciju”, tomēr “izņemot informāciju, kas ar Ministru kabineta rīkojumu noteikta par tādu, kam ir maza iespējamība kaitēt personas tiesībām un interesēm, ņemot vērā tās izmantošanas metodi” (18).

(20)

Šis izņēmums ir precizēts Ministru kabineta rīkojuma 3. panta 1. punktā, saskaņā ar kuru jābūt izpildītiem šādiem trim kumulatīviem nosacījumiem: i) kopējam informācijas kopumam jābūt “izveidotam ar nolūku to pārdot lielam skaitam nenoteiktu personu, un tā izveide nav veikta, pārkāpjot kāda likuma vai rīkojuma noteikumus tās pamatā”; ii) kopumam jābūt tādam, ka to “jebkurā laikā var iegādāties liels skaits nenoteiktu personu” un iii) tajā iekļautajiem personas datiem jābūt tādiem, kas “sniegti to sākotnējam nolūkam, nepievienojot citu informāciju, kas saistīta ar dzīvu personu”. Saskaņā ar paskaidrojumiem, kas saņemti no PPC, šis ierobežotais izņēmums tika ieviests ar mērķi izslēgt tālruņu grāmatas vai līdzīgus abonentu sarakstus.

(21)

Attiecībā uz datiem, kas savākti Japānā, ir svarīgs nošķīrums starp “personas informāciju” un “personas dati”, jo šāda informācija ne vienmēr var būt daļa no “personas informācijas datubāzes” (piemēram, vienota datu kopa, kas savākta un apstrādāta manuāli), un tāpēc APPI noteikumi, kas attiecas tikai uz personas datiem, nebūs piemērojami (19).

(22)

Turpretī šim nošķīrumam nav nozīmes attiecībā uz personas datiem, ko nosūta no Eiropas Savienības uz Japānu, pamatojoties uz lēmumu par aizsardzības līmeņa pietiekamību. Tā kā šādus datus parasti nosūtīs elektroniski (ņemot vērā to, ka digitālajā laikmetā tas ir parastais datu apmaiņas veids, jo īpaši lielos attālumos kā starp ES un Japānu), un tādējādi tie kļūst par daļu no datu saņēmēja elektroniskās reģistrācijas sistēmas, šādi ES dati atbilstoši APPI vienmēr būs iekļaujami “personas datu” kategorijā. Izņēmuma gadījumā, kad personas dati no ES tiktu pārsūtīti, izmantojot citus līdzekļus (piem., papīra formā), uz tiem joprojām attieksies APPI, ja pēc pārsūtīšanas tie kļūs par daļu no “kopēja informācijas kopuma”, kas sistemātiski organizēts tā, lai dotu iespēju viegli meklēt konkrētu informāciju (APPI 2. panta 4. punkta ii) apakšpunkts). Saskaņā ar Ministru kabineta rīkojuma 3. panta 2. punktu tas attiecas uz gadījumiem, kad informācija ir izkārtota “saskaņā ar konkrētu noteikumu” un datubāzē ir rīki, piemēram, satura rādītājs vai alfabētiskais rādītājs, kas atvieglo meklēšanu. Tas atbilst “kartotēkas” definīcijai VDAR 2. panta 1. punktā.

(23)

Konkrēti APPI noteikumi, jo īpaši 27.–30. pants, kas attiecas uz individuālām tiesībām, ir piemērojami tikai attiecībā uz konkrētu personas datu kategoriju, proti, “saglabātiem personas datiem”. Šādi dati APPI 2. panta 7. punktā ir definēti kā personas dati, kas nav dati, kuri i) “ar Ministru kabineta rīkojumu noteikti par tādiem, kas var kaitēt sabiedrības vai citām interesēm, ja tiek darīta zināma to esība vai neesība” vai ii) kurus “paredzēts dzēst laikposmā, kas nepārsniedz vienu gadu un kas noteikts ar Ministru kabineta rīkojumu”.

(24)

Pirmā no šīm abām kategorijām ir izskaidrota Ministru kabineta rīkojuma 4. pantā un aptver četru veidu izņēmumus (20). Šiem izņēmumiem ir līdzīgi mērķi kā tiem, kas uzskaitīti Regulas (ES) 2016/679 23. panta 1. punktā, proti, aizsargāt datu subjektu (APPI lietotais termins – “principālu”) un citu personu brīvību, valsts drošību, sabiedrības drošību, krimināltiesību izpildi, un citi svarīgi mērķi, kas ir sabiedrības vispārējās interesēs. Turklāt no Ministru kabineta rīkojuma 4. panta 1. punkta i) līdz iv) apakšpunkta formulējuma izriet, ka to piemērošana vienmēr pieņem kā priekšnoteikumu to, ka pastāv konkrēts risks attiecībā uz vienu no aizsargājamajām būtiskajām interesēm (21).

(25)

Otra kategorija ir sīkāk precizēta Ministru kabineta rīkojuma 5. pantā. Saskaņā ar minēto pantu, to lasot saistībā ar APPI 2. panta 7. punktu, jēdziens “saglabāti personas dati” un tādējādi arī individuālās tiesības, kas noteiktas APPI, nav attiecināmi uz tiem personas datiem, ko “paredzēts dzēst” sešu mēnešu laikā. PPC ir paskaidrojusi, ka šā izņēmuma mērķis ir stimulēt uzņēmējus saglabāt un apstrādāt datus pēc iespējas īsāku laiku. Tomēr tas nozīmētu, ka ES datu subjekti nevar izmantot svarīgas tiesības, un vienīgais iemesls tam ir termiņš, kurā attiecīgajam uzņēmējam ir jāsaglabā to dati.

(26)

Lai novērstu šo situāciju, 2. papildu noteikums paredz, ka personas dati, ko nosūta no Eiropas Savienības, “ir izmantojami kā saglabāti personas dati likuma 2. panta 7. punkta nozīmē neatkarīgi no tā, cik ilgā laikā tos paredzēts dzēst”. Tādējādi saglabāšanas laikposmam nav ietekmes uz ES datu subjektiem piešķirtajām tiesībām.

(27)

Prasības, kas piemērojamas anonīmi apstrādātai personas informācijai, kā definēts APPI 2. panta 9. punktā, ir noteiktas likuma 4. nodaļas 2. iedaļā (“Tāda uzņēmēja pienākumi, kurš izmanto anonīmi apstrādātu informāciju”). Turpretī šādu informāciju nereglamentē noteikumi, kas izklāstīti APPI IV nodaļas 1. iedaļā, kurā ir panti, kas nosaka datu aizsardzības garantijas un tiesības, kuras attiecināmas uz personas datu apstrādi atbilstoši likumam. Tādējādi, lai gan uz “anonīmi apstrādātu personas informāciju” neattiecas standarta datu aizsardzības noteikumi (kas paredzēti IV nodaļas 1. iedaļā un APPI 42. pantā), tie tomēr ietilpst APPI un konkrēti tā 36.–39. panta piemērošanas jomā.

(28)

Saskaņā ar APPI 2. panta 9. punktu “anonīmi apstrādāta personas informācija” ir informācija, kas attiecas uz personu un kas ir “iegūta, apstrādājot personas informāciju”, izmantojot APPI (36. panta 1. punkts) un PPC (19. pants) noteikumos paredzētos pasākumus, kā rezultātā ir kļuvis neiespējami identificēt konkrētu personu vai atjaunot personas informāciju.

(29)

No minētajiem noteikumiem izriet (kā to apstiprina arī PPC), ka personas informācijas “anonimizēšanas” procesam nav jābūt tehniski neatgriezeniskam. Saskaņā ar APPI 36. panta 2. punktu uzņēmējiem, kas izmanto “anonīmi apstrādātu personas informāciju,” ir tikai jānovērš atkārtota identifikācija, veicot pasākumus, lai aizsargātu “aprakstus utt., un individuālos identifikācijas kodus, kas dzēsti no personas informācijas, kura izmantota anonīmi apstrādātas informācijas iegūšanai, un informāciju, kas attiecas uz izmantoto apstrādes metodi”.

(30)

Ņemot vērā, ka “anonīmi apstrādāta personas informācija”, kā definēts APPI, ietver datus, pēc kuriem joprojām ir iespējama atkārtota personas identifikācija, tas var nozīmēt, ka personas dati, ko nosūta no Eiropas Savienības, varētu zaudēt daļu no pieejamās aizsardzības procesā, kas atbilstoši Regulai (ES) 2016/679 tiktu uzskatīts par sava veida “pseidonimizāciju”, nevis “anonimizāciju” (tādējādi nemainot to kā personas datu raksturu).

(31)

Lai novērstu šo situāciju, Papildu noteikumos ir paredzētas papildu prasības, kas ir attiecināmas tikai uz personas datiem, kurus nosūta no Eiropas Savienības atbilstoši šim lēmumam. Saskaņā ar 5. papildu noteikumu šādu personas informāciju uzskata par “anonīmi apstrādātu personas informāciju”APPI nozīmē tikai tad, “ja uzņēmējs, kas izmanto personas informāciju, veic pasākumus, lai personas atkārtotu identifikāciju padarītu neatgriezenisku ikvienam, tostarp dzēšot apstrādes metodi un citu saistītu informāciju”. Pēdējā minētā informācija Papildu noteikumos ir noteikta kā informācija, kas attiecas uz aprakstiem un individuāliem identifikācijas kodiem, kuri dzēsti no personas informācijas, kas izmantota “anonīmi apstrādātas personas informācijas” iegūšanai, kā arī informācija, kura attiecas uz apstrādes metodi, kas izmantota, dzēšot šādus aprakstus un individuālos identifikācijas kodus. Proti, saskaņā ar Papildu noteikumiem uzņēmējam, kas iegūst anonīmi apstrādātu personas informāciju, ir jāiznīcina “atslēga”, kas ļauj atkārtoti identificēt datus. Tas nozīmē, ka uz personas datiem, kuru izcelsme ir Eiropas Savienībā, APPI noteikumi par “anonīmi apstrādātu personas informāciju” attiecas tikai gadījumos, kad tos tāpat uzskatītu par anonīmu informāciju atbilstoši Regulai (ES) 2016/679 (22).

(32)

Atbilstoši APPI piemērošanas jomai attiecībā uz personām, APPI piemēro tikai PIHBO. PIHBO ir definēts APPI 2. panta 5. punktā kā “persona, kas nodrošina personas informācijas datubāzi utt. izmantošanai darījumdarbībā”, izņemot valdības aģentūras un administratīvas aģentūras gan centrālā, gan vietējā līmenī.

(33)

Saskaņā ar PPC pamatnostādnēm “darījumdarbība” ir jebkura “darbība, kas tiek īstenota ar konkrētu mērķi, lai uzturētu sociāli atzītu uzņēmumu neatkarīgi no tā, vai tas tiek darīts peļņas vai bezpeļņas nolūkos”. Organizācijas, kam nav juridiskas personas statusa (piemēram, de facto apvienības) vai privātpersonas uzskata par PIHBO, ja tās nodrošina (izmanto) personas informācijas datubāzi utt. savai darījumdarbībai (23). Tāpēc jēdziens “darījumdarbība” atbilstoši APPI ir ļoti plašs tādā ziņā, ka tas ietver ne tikai peļņas, bet arī bezpeļņas darbības, ko īsteno visu veidu organizācijas un privātpersonas. Turklāt “izmantošana darījumdarbībā” attiecas arī uz personas informāciju, ko neizmanto uzņēmēja (ārējās) komercattiecībās, bet izmanto iekšēji, piemēram, darbinieku datu apstrādei.

(34)

Attiecībā uz APPI noteikto aizsardzības pasākumu labuma guvējiem – tie likumā netiek nošķirti, pamatojoties uz personas valstspiederību, dzīvesvietu vai atrašanās vietu. Tas pats attiecas uz personu iespējām prasīt tiesiskās aizsardzības līdzekļus gan no PPC, gan no tiesām.

(35)

Saskaņā ar APPI netiek īpaši nošķirti pārziņiem un apstrādātājiem noteiktie pienākumi. Tas, ka šāda nošķīruma nav, neietekmē aizsardzības līmeni, jo uz visiem PIHBO attiecas visi likuma noteikumi. PIHBO, kas uztic personas datu apstrādi pilnvarotajam (atbilst apstrādātājam saskaņā ar VDAR), attiecībā uz minētajiem datiem joprojām ir jāpilda APPI un Papildu noteikumos ietvertie pienākumi. Turklāt atbilstoši APPI 22. pantam “tam ir pienākums nodrošināt nepieciešamo un atbilstošo pilnvarotā pārraudzību”. Savukārt pilnvarotajam, kā to ir apliecinājusi PPC, ir saistoši visi pienākumi, kas noteikti APPI un Papildu noteikumos.

(36)

APPI 76. pantā ir noteikti konkrēti datu apstrādes veidi, kam nepiemēro likuma IV nodaļu, kurā ietverti galvenie datu aizsardzības noteikumi (pamatprincipi, uzņēmēju pienākumi, individuālās tiesības, PPC īstenotā uzraudzība). Apstrādei, kas ietilpst 76. pantā noteiktajos izņēmumos attiecībā uz konkrētām nozarēm, nepiemēro arī PPC izpildes pilnvaras atbilstoši APPI 43. panta 2. punktam (24).

(37)

Attiecīgās kategorijas, kurām piemēro APPI 76. panta izņēmumus attiecībā uz konkrētām nozarēm, definē, izmantojot dubultu kritēriju, pamatojoties uz tā PIHBO veidu, kurš apstrādā personas informāciju, un apstrādes nolūku. Konkrēti šis izņēmums attiecas uz: i) raidsabiedrībām, laikrakstu izdevējiem, komunikāciju aģentūrām vai citām preses organizācijām (tostarp privātpersonām, kuru darījumdarbība ir saistīta ar presi), ciktāl tie apstrādā personas informāciju preses vajadzībām; ii) personām, kuras ir profesionāli nodarbojas ar rakstniecību, ciktāl tas ietver personas informāciju; iii) universitātēm un jebkurām citām organizācijām vai grupām, kuru mērķis ir nodrošināt akadēmiskās studijas, vai jebkurai personai, kas pieder pie šādas organizācijas, ciktāl tās apstrādā personas informāciju akadēmisko studiju mērķiem; iv) reliģiskām struktūrām, ciktāl tās apstrādā personas informāciju reliģiskas darbības mērķiem (tostarp visām saistītajām darbībām), un v) politiskām struktūrām, ciktāl tās apstrādā personas informāciju savas politiskās darbības mērķiem (tostarp visām saistītajām darbībām). Uz personas informācijas apstrādi kādā no nolūkiem, kas uzskaitīti 76. pantā, kuru veic citu veidu PIHBO, kā arī personas informācijas apstrādi, ko veic kāds no uzskaitītajiem PIHBO citos nolūkos, piemēram, saistībā ar nodarbinātību, joprojām attiecas IV nodaļas noteikumi.

(38)

Lai nodrošinātu to personas datu pietiekamu aizsardzības līmeni, kurus nosūta no Eiropas Savienības uzņēmējiem Japānā, šis lēmums būtu jāattiecina tikai uz tās personas informācijas apstrādi, uz kuru attiecas APPI IV nodaļa, t. i., apstrādi, ko veic PIHBO, ciktāl šādai apstrādes situācijai nepiemēro nevienu no izņēmumiem attiecībā uz konkrētām nozarēm. Lēmuma piemērošanas joma būtu jāsaskaņo ar APPI piemērošanas jomu. Saskaņā ar PPC sniegto informāciju gadījums, kad kāds PIHBO, uz kuru attiecas šis lēmums, veic turpmākas izmaiņas attiecībā uz izmantošanas mērķi (ciktāl tas ir pieļaujams), un uz kuru tad attiektos viens no APPI 76. panta izņēmumiem attiecībā uz konkrētām nozarēm, tiktu uzskatīts par starptautisku pārsūtīšanu (ņemot vērā to, ka šādos gadījumos uz personas informācijas apstrādi vairs neattiektos APPI IV nodaļa un apstrāde vairs neietilptu tās piemērošanas jomā). Tas pats attiecas uz gadījumu, kad PIHBO sniedz personas informāciju subjektam, uz ko attiecas APPI 76. pants, izmantošanai vienam no minētajā noteikumā norādītajiem apstrādes mērķiem. Tādējādi attiecībā uz personas datiem, kas pārsūtīti no Eiropas Savienības, tā būtu tālāka nosūtīšana, uz kuru attiecas attiecīgie aizsardzības pasākumi (jo īpaši tie, kas minēti APPI 24. pantā un 4. papildu noteikumā). Gadījumos, kad PIHBO ir nepieciešama datu subjekta piekrišana (25), uzņēmējam būtu jāsniedz subjektam visa nepieciešamā informācija, tai skaitā jānorāda, ka personas informāciju vairs neaizsargātu APPI.

(39)

Personas dati būtu jāapstrādā noteiktā nolūkā, un pēc tam tos var izmantot, ciktāl tas nav pretrunā apstrādes nolūkam. Šis datu aizsardzības princips ir garantēts APPI 15. un 16. pantā.

(40)

APPI paļaujas uz principu, ka uzņēmējam ir jānorāda izmantošanas nolūks “tik skaidri, cik vien iespējams” (15. panta 1. punkts), un tad jāievēro šis nolūks datu apstrādē.

(41)

Šajā saistībā APPI 15. panta 2. punktā ir paredzēts, ka PIHBO nedrīkst mainīt sākotnējo nolūku, “pārsniedzot apmēru, kas atzīts par pamatoti atbilstošu izmantošanas nolūkam pirms tā mainīšanas” un kas interpretēts PPC pamatnostādnēs kā atbilstošs tam, ko datu subjekts var objektīvi gaidīt, pamatojoties uz “sociālajām paražām” (26).

(42)

Turklāt atbilstoši APPI 16. panta 1. punktam PIHBO ir aizliegts izmantot personas informāciju, pārsniedzot “apmēru, kas ir nepieciešams, lai sasniegtu izmantošanas nolūku”, kurš norādīts 15. pantā, pirms tam nesaņemot datu subjekta piekrišanu, ja vien nav piemērojama kāda no 16. panta 3. punktā noteiktajām atkāpēm (27).

(43)

Attiecībā uz personas informāciju, kas saņemta no cita uzņēmēja, PIHBO principā var brīvi noteikt jaunu izmantošanas nolūku (28). Lai nodrošinātu, ka gadījumā, kad dati tiek nosūtīti no Eiropas Savienības, to saņēmējam ir saistošs nolūks, kādā dati nosūtīti, 3. papildu noteikums paredz, ka gadījumos, “kad [PIHBO] saņem personas datus no ES, pamatojoties uz lēmumu par aizsardzības līmeņa pietiekamību”, vai šāds uzņēmējs “saņem no cita [PIHBO] personas datus, kas iepriekš nosūtīti no ES, pamatojoties uz lēmumu par aizsardzības līmeņa pietiekamību” (turpmāka apmainīšanās), saņēmējam ir “jānorāda minēto personas datu izmantošanas nolūks atbilstoši tā izmantošanas nolūka apmēram, kādam dati tika sākotnēji vai vēlāk saņemti”. Citiem vārdiem sakot, šis noteikums nodrošina, ka nosūtīšanas kontekstā nolūks, kas noteikts atbilstoši Regulai (ES) 2016/679, joprojām nosaka apstrādi un ka nolūka maiņai jebkurā apstrādes ķēdes posmā Japānā ir vajadzīga ES datu subjekta piekrišana. Kaut arī piekrišanas saņemšanai PIHBO nepieciešams sazināties ar datu subjektu, gadījumos, kad tas nav iespējams, ir jānodrošina sākotnējā izmantošanas nolūka saglabāšana.

(44)

Papildu aizsardzība, kas minēta 43. apsvērumā, ir vēl jo svarīgāka tāpēc, ka tieši ar nolūka ierobežojuma principu Japānas sistēma arī nodrošina, ka dati tiek apstrādāti likumīgi un godīgi.

(45)

Saskaņā ar APPI, kad PIHBO vāc personas informāciju, tam ir sīki jānorāda personas informācijas izmantošanas nolūks (29), kas nekavējoties jāpaziņo datu subjektam (vai jāpaziņo publiski) (30). Turklāt APPI 17. pants nosaka, ka PIHBO nedrīkst iegūt personas informāciju ar viltu vai izmantojot citus neatbilstošus līdzekļus. Attiecībā uz konkrētām datu kategorijām, piemēram, īpaši aizsargājamu personas informāciju, šādu datu iegūšanai ir vajadzīga datu subjekta piekrišana (APPI 17. panta 2. punkts).

(46)

Kā paskaidrots 41. un 42. apsvērumā, pēc tam PIHBO ir aizliegts apstrādāt personas datus citiem nolūkiem, izņemot, ja datu subjekts piekrīt šādai apstrādei vai ja ir piemērojama kāda no atkāpēm atbilstoši APPI 16. panta 3. punktam.

(47)

Visbeidzot, attiecībā uz personas informācijas tālāku sniegšanu trešai personai (31) – APPI 23. panta 1. punkts atļauj šādu nodošanu tikai īpašos gadījumos, parasti ar datu subjekta iepriekšēju piekrišanu (32). APPI 23. panta 2., 3. un 4. punktā ir paredzēti izņēmumi attiecībā uz prasību saņemt piekrišanu. Tomēr šādi izņēmumi ir piemērojami tikai nesensitīviem datiem, un tiek prasīts, ka uzņēmējam ir iepriekš jāinformē attiecīgās personas par nodomu izpaust viņu personas informāciju trešai personai un par iespēju iebilst pret jebkādu turpmāku informācijas nodošanu (33).

(48)

Attiecībā uz nosūtīšanu no Eiropas Savienības – personas datiem obligāti jābūt vispirms savāktiem un apstrādātiem ES, ievērojot Regulu (ES) 2016/679. Tas vienmēr ietvers datu vākšanu un apstrādi, arī nosūtīšanai no Eiropas Savienības uz Japānu, pamatojoties uz regulas 6. panta 1. punktā uzskaitītajiem juridiskajiem pamatiem, no vienas puses, un vākšanu konkrētos, skaidros un leģitīmos nolūkos, kā arī aizliegumu veikt datu turpmāku apstrādi, arī tos nosūtot, tādā veidā, kas ir pretrunā regulas 5. panta 1. punkta b) apakšpunktā un 6. panta 4. punktā noteiktajiem nolūkiem, no otras puses.

(49)

Saskaņā ar 3. papildu noteikumu pēc nosūtīšanas PIHBO, kas saņem datus, ir “jāapstiprina” nosūtīšanas pamatā esošais(-ie) īpašais(-ie) nolūks(-i) (t. i., nolūks, kas norādīts atbilstoši Regulai (ES) 2016/679) un jāveic datu turpmāka apstrāde atbilstoši šādam(-iem) nolūkam(-iem) (34). Tas nozīmē, ka ne tikai sākotnējam šādu personas datu saņēmējam Japānā, bet arī katram nākamajam datu saņēmējam (ieskaitot pilnvaroto) ir saistošs(-i) regulā noteiktais(-ie) nolūks(-i).

(50)

Turklāt, ja PIHBO vēlas mainīt nolūku, kas iepriekš noteikts atbilstoši Regulai (ES) 2016/679, saskaņā ar APPI 16. panta 1. punktu tam principā ir jāsaņem datu subjekta piekrišana. Ja minētā piekrišana nav saņemta, tad, veicot jebkādu datu apstrādi, kas pārsniedz apmēru, kurš ir nepieciešams izmantošanas nolūka sasniegšanai, tiek pārkāpts 16. panta 1. punkts, kura izpilde jānodrošina PPC un tiesām.

(51)

Tātad, ņemot vērā, ka saskaņā ar Regulu (ES) 2016/679 datu nosūtīšanai ir vajadzīgs juridisks pamats un īpašs nolūks, kas tiek atspoguļoti izmantošanas nolūkā, kuru apstiprina saskaņā ar APPI, attiecīgie APPI noteikumi apvienojumā ar 3. papildu noteikumu nodrošina Japānā notiekošās ES datu apstrādes pastāvīgu likumīgumu.

(52)

Datiem vajadzētu būt precīziem un nepieciešamības gadījumā atjauninātiem. Tiem arī vajadzētu būt adekvātiem, atbilstīgiem, un tiem būtu jāietver tikai tas, kas nepieciešams tiem nolūkiem, kādos tie tiek apstrādāti.

(53)

Šie principi Japānas tiesību aktos tiek nodrošināti ar APPI 16. panta 1. punktu, kas aizliedz izmantot personas informāciju, pārsniedzot “apmēru, kas ir nepieciešams, lai sasniegtu izmantošanas nolūku”. Kā paskaidrojusi PPC, tas ne tikai izslēdz datu izmantošanu, kas nav atbilstoša, un pārmērīgu datu izmantošanu (pārsniedzot to, kas ir nepieciešams izmantošanas nolūka sasniegšanai), bet arī ietver aizliegumu izmantot datus, kas nav būtiski izmantošanas nolūka sasniegšanai.

(54)

Attiecībā uz pienākumu nodrošināt datu precizitāti un atjaunināšanu APPI 19. pantā ir noteikts, ka PIHBO“cenšas nodrošināt personas datu precizitāti un atjaunināšanu tādā apmērā, kas nepieciešams izmantošanas nolūka sasniegšanai”. Minētais noteikums būtu jālasa saistībā ar APPI 16. panta 1. punktu – saskaņā ar skaidrojumiem, kas saņemti no PPC, ja PIHBO neievēro noteiktos precizitātes standartus, tiks uzskatīts, ka personas informācijas apstrādē netiek sasniegts izmantošanas nolūks, un tādējādi informācijas izmantošana tiks uzskatīta par nelikumīgu saskaņā ar 16. panta 1. punktu.

(55)

Dati principā būtu jāglabā ne ilgāk, kā nepieciešams nolūkiem, kādos attiecīgos personas datus apstrādā.

(56)

Saskaņā ar APPI 19. pantu PIHBO ir “jācenšas (…) nekavējoties dzēst personas datus, kad šāda izmantošana ir kļuvusi lieka”. Minēto noteikumu nepieciešams lasīt saistībā ar APPI 16. panta 1. punktu, kas aizliedz izmantot personas informāciju, pārsniedzot “apmēru, kas ir nepieciešams, lai sasniegtu izmantošanas nolūku”. Tiklīdz izmantošanas nolūks ir sasniegts, personas informācijas apstrādi vairs nevar uzskatīt par nepieciešamu, un tāpēc to nevar turpināt (izņemot, ja PIHBO saņem datu subjekta piekrišanu, lai to darītu).

(57)

Personas dati būtu jāapstrādā tā, ka tiek nodrošināta to drošība, kas ietver aizsardzību pret neatļautu vai nelikumīgu apstrādi un pret nejaušu nozaudēšanu, iznīcināšanu vai sabojāšanu. Tālab uzņēmējiem būtu jāveic atbilstoši tehniski vai organizatoriski pasākumi, lai aizsargātu personas datus no iespējamiem apdraudējumiem. Šie pasākumi būtu jānovērtē, ņemot vērā faktisko situāciju un saistītās izmaksas.

(58)

Šis princips Japānas tiesību aktos ir ieviests ar APPI 20. pantu, kas nosaka, ka PIHBO“veic nepieciešamos un atbilstošos pasākumus, lai nodrošinātu personas datu drošības kontroli, tostarp novērstu personas datu, ko tas izmanto, noplūšanu, nozaudēšanu vai sabojāšanu”. PPC pamatnostādnēs ir izskaidroti veicamie pasākumi, tostarp pamatpolitikas noteikšanas metodes, datu izmantošanas noteikumi un dažādas “kontroles darbības” (attiecībā uz organizatorisko drošību, kā arī cilvēku, fizisko un tehnoloģisko drošību) (35). Turklāt PPC pamatnostādnēs un īpašā paziņojumā (8. pielikums “Veicamo drošības pārvaldības pasākumu saturs”), ko publicējusi PPC, ir ietverta sīkāka informācija par pasākumiem saistībā ar drošības incidentiem, kas ietver, piemēram, personas informācijas noplūšanu, PIHBO veicamo drošības pārvaldības pasākumu ietvaros (36).

(59)

Turklāt ikreiz, kad personas informāciju izmanto darbinieki vai apakšuzņēmēji, jānodrošina “nepieciešamā un atbilstošā uzraudzība” saskaņā ar APPI 20. un 21. pantu drošības kontroles nolūkos. Visbeidzot, saskaņā ar APPI 83. pantu par personas informācijas tīšu nopludināšanu vai zādzību ir paredzēts brīvības atņemšanas sods līdz vienam gadam.

(60)

Datu subjektiem vajadzētu būt informētiem par viņu personas datu apstrādes galvenajām iezīmēm.

(61)

APPI 18. panta 1. punkts nosaka, ka PIHBO informācija par saņemtās personas informācijas izmantošanas nolūku ir jādara zināma datu subjektam, izņemot “gadījumus, kad izmantošanas nolūks ir iepriekš publiski paziņots”. Tas pats attiecas uz gadījumu, kad ir atļauts mainīt nolūku (18. panta 3. punkts). Tādējādi tiek nodrošināts datu subjekts ir informēts par to, ka tiek vākti viņa dati. Lai gan APPI neparedz vispārēju prasību, ka PIHBO ir jāinformē datu subjekts par paredzamajiem personas informācijas saņēmējiem informācijas vākšanas posmā, šāda informēšana ir nepieciešams priekšnosacījums, lai varētu veikt jebkādu turpmāku informācijas nodošanu trešai personai (saņēmējam), pamatojoties uz 23. panta 2. punktu, tātad, ja tas tiek darīts bez datu subjekta iepriekšējas piekrišanas.

(62)

Attiecībā uz saglabātiem personas datiem APPI 27. pants nosaka, ka PIHBO informē datu subjektu par savu identitāti, izmantošanas nolūku un kārtību atbildes sniegšanai uz pieprasījumu par datu subjekta individuālajām tiesībām atbilstoši APPI 28., 29. un 30. pantam.

(63)

Tā kā saskaņā ar Papildu noteikumiem personas dati, ko nosūta no Eiropas Savienības, tiks uzskatīti par “saglabātiem personas datiem” neatkarīgi no to glabāšanas ilguma (ja vien nepiemēro izņēmumus), uz tiem vienmēr attiecinās pārredzamības prasības atbilstoši abiem iepriekšminētajiem noteikumiem.

(64)

Gan 18. panta prasībām, gan pienākumam informēt par izmantošanas nolūku atbilstoši APPI 27. pantam piemēro vienu un to pašu izņēmumu kopumu, kas galvenokārt balstīts uz sabiedrības interešu apsvērumiem un datu subjekta, trešo personu un pārziņa tiesību un interešu aizsardzību (37). Saskaņā ar PPC pamatnostādnēs sniegto interpretāciju minētie izņēmumi ir piemērojami ļoti īpašās situācijās, piemēram, ja informēšana par izmantošanas nolūku varētu kaitēti leģitīmajiem pasākumiem, ko veic uzņēmējs, lai aizsargātu konkrētas intereses (piemēram, cīņa pret krāpšanu, rūpniecisko spiegošanu, sabotāžu).

(65)

Būtu vajadzīgas īpašas garantijas gadījumos, kad tiek apstrādāti “īpašu kategoriju” dati.

(66)

“Īpaši aizsargājama personas informācija” ir definēta APPI 2. panta 3. punktā. Minētajā noteikumā ir atsauce uz “personas informāciju, kas ietver principāla rasi, pārliecību, sociālo stāvokli, slimības vēsturi, sodāmību, faktus par nozieguma rezultātā nodarītu kaitējumu citu informāciju, kas ar Ministru kabineta rīkojumu noteikta par tādu, kuras izmantošanā jāievēro īpaša rūpība, lai neradītu negodīgu diskrimināciju, kaitējumu vai citas neizdevīgas situācijas principālam”. Šīs kategorijas atbilst lielai daļai sensitīvo datu, kas uzskaitīti Regulas (ES) 2016/679 9. un 10. pantā. Jo īpaši “slimības vēsture” atbilst veselības datiem, savukārt “sodāmība un fakti par nozieguma rezultātā nodarītu kaitējumu” pēc būtības atbilst kategorijām, kas minētas Regulas (ES) 2016/679 10. pantā. APPI 2. panta 3. punktā minētās kategorijas ir plašāk interpretētas Ministru kabineta rīkojumā un PPC pamatnostādnēs. Saskaņā ar PPC pamatnostādņu 2.3. iedaļas 8. punktu “slimības vēstures” apakškategorijas, kas sīkāk aprakstītas Ministru kabineta rīkojuma 2. panta ii) un iii) punktā, interpretē kā tādas, kuras ietver ģenētiskos un biometriskos datus. Tāpat arī, lai gan uzskaitījumā nav skaidri ietverti jēdzieni “etniskā izcelsme” un “politiskie uzskati”, tajā tomēr ir atsauces uz “rasi” un “pārliecību”. Kā paskaidrots PPC pamatnostādņu 2.3. iedaļas 1. un 2. punktā, atsauce uz “rasi” ietver arī “etniskās saites vai saikni ar konkrētu pasaules daļu”, savukārt ar “pārliecību” saprot gan reliģisko pārliecību, gan politiskos uzskatus.

(67)

Kā ir saprotams no šā noteikuma formulējuma, uzskaitījums nav izsmeļošs, jo to var papildināt ar citām datu kategorijām, ciktāl to apstrāde rada “negodīgas diskriminācijas, kaitējumu vai citas neizdevīgas situācijas risku principālam”.

(68)

Lai gan “sensitīvu” datu jēdziens ir sociāls konstrukts tādā ziņā, ka tas sakņojas konkrētas sabiedrības kultūras un tiesību tradīcijās, morāles apsvērumos, politikas izvēlēs utt., ņemot vērā, cik svarīgi ir nodrošināt atbilstošas garantijas attiecībā uz sensitīviem datiem, kad tos nosūta uzņēmējiem Japānā, Komisija ir panākusi, ka īpašie aizsardzības pasākumi, kas Japānas tiesību aktos ir paredzēti “īpaši aizsargājamai personas informācijai”, ir attiecināmi uz visām kategorijām, kas Regulā (ES) 2016/679 atzītas par “sensitīviem datiem”. Šajā nolūkā 1. papildu noteikums paredz, ka datus, ko nosūta no Eiropas Savienības un kas attiecas uz personas seksuālo dzīvi, seksuālo orientāciju vai dalību arodbiedrībās, PIHBO apstrādā “tāpat kā īpaši aizsargājamu personas informāciju [APPI] 2. panta 3. punkta nozīmē”.

(69)

Attiecībā uz būtiskajām papildu garantijām, kas piemērojamas īpaši aizsargājamai personas informācijai, saskaņā ar APPI 17. panta 2. punktu PIHBO nav atļauts iegūt šādus datus bez attiecīgās personas iepriekšējas piekrišanas, ar ierobežotiem izņēmumiem (38). Turklāt attiecībā uz šo personas informācijas kategoriju ir izslēgta iespēja izpaust šādu informāciju trešām personām, pamatojoties uz procedūru, kas paredzēta APPI 23. panta 2. punktu (kas ļauj nosūtīt datus trešām personām bez attiecīgās personas iepriekšējas piekrišanas).

(70)

Saskaņā ar pārskatatbildības principu vienībām, kas apstrādā datus, ir jāievieš atbilstoši tehniskie un organizatoriskie pasākumi, lai tās efektīvi izpildītu savus datu aizsardzības pienākumus, un jāspēj pierādīt šādu izpildi, jo īpaši kompetentajai uzraudzības iestādei.

(71)

Kā minēts 34. zemsvītras piezīmē (49. apsvērums), PIHBO saskaņā ar APPI 26. panta 1. punktu ir jāpārbauda tās trešās personas identitāte, kura tiem sniedz personas datus, un “apstākļi”, kādos trešā persona ieguvusi šādus datus (tādu personas datu gadījumā, uz kuriem attiecas šis lēmums, saskaņā ar APPI un 3. papildu noteikumu minētie apstākļi ietver faktu, ka datu izcelsme ir Eiropas Savienībā, kā arī datu nosūtīšanas sākotnējo nolūku). Cita starpā šā pasākuma mērķis ir nodrošināt datu apstrādes likumību visā to PIHBO ķēdē, kuri izmanto personas datus. Turklāt saskaņā ar APPI 26. panta 3. punktu PIHBO ir jāreģistrē saņemšanas datums un (obligātā) informācija, kas saņemta no trešās personas atbilstoši 1. punktam, kā arī attiecīgās personas (datu subjekta) vārds, apstrādāto datu kategorijas un – ciktāl piemērojams – fakts, ka datu subjekts ir devis piekrišanu savu personas datu apmaiņai. Kā norādīts PPC noteikumu 18. pantā, šī reģistrētā informācija ir jāglabā vismaz vienu līdz trīs gadus atkarībā no apstākļiem. PPC savu uzdevumu izpildē var prasīt šādas reģistrētās informācijas iesniegšanu (39).

(72)

PIHBO ir nekavējoties un pienācīgi jāizskata attiecīgo personu sūdzības par viņu personas informācijas apstrādi. Lai veicinātu sūdzību izskatīšanu, PIHBO izveido “sistēmu, kas nepieciešama [šā] mērķa sasniegšanai”, kas nozīmē, ka tiem būtu jāievieš savā organizācijā atbilstošas procedūras (piemēram, jāsadala pienākumi vai jānorāda kontaktpersona).

(73)

Visbeidzot, APPI rada satvaru nozaru organizāciju līdzdalībai augsta izpildes līmeņa nodrošināšanā (sk. IV nodaļas 4. iedaļu). Šādu akreditētu personas informācijas aizsardzības organizāciju (40) uzdevums ir veicināt personas informācijas aizsardzību, atbalstot uzņēmumus ar savas zinātības starpniecību, kā arī sekmēt garantiju ieviešanu, jo īpaši izskatot personu sūdzības un palīdzot risināt saistītus konfliktus. Šajā nolūkā tās var prasīt, lai iesaistītie PIHBO attiecīga gadījumā pieņem nepieciešamos pasākumus (41). Turklāt datu aizsardzības pārkāpumu vai citu drošības incidentu gadījumā PIHBO principā informē PPC, kā arī datu subjektu (vai sabiedrību) un īsteno nepieciešamās darbības, tostarp pasākumus, lai mazinātu jebkādu kaitējumu un novērstu līdzīgu incidentu atkārtošanos (42). Lai gan tās ir brīvprātīgas shēmas, PPC2017. gada 10. augustā iekļāva sarakstā 44 organizācijas, vislielākajai no kurām, proti, Japānas Informācijas apstrādes un attīstības centram (JIPDEC), vien ir 15 436 iesaistītu uzņēmēju (43). Akreditētajās shēmās ir nozaru asociācijas, piemēram, Japānas Vērtspapīru tirgotāju asociācija, Japānas Autoskolu asociācija vai Kāzu rīkotāju asociācija (44).

(74)

Akreditētās personas informācijas aizsardzības organizācijas iesniedz gada ziņojumus par savu darbību. Saskaņā ar Pārskatu par situāciju APPI īstenošanas jomā 2015. finanšu gadā, ko publicējusi PPC, akreditētās personas informācijas aizsardzības organizācijas saņēma kopumā 442 sūdzības, pieprasīja 123 paskaidrojumus no uzņēmējiem, kas bija to piekritības jomā, 41 gadījumā pieprasīja dokumentus no minētajiem uzņēmējiem un sniedza 181 norādījumu un 2 ieteikumus (45).

(75)

Aizsardzības līmeni, kāds piešķirts personas datiem, kurus nosūta no Eiropas Savienības uzņēmējiem Japānā, nedrīkst ietekmēt šādu datu tālāka nosūtīšana saņēmējiem trešā valstī ārpus Japānas. Šāda tālāka nosūtīšana, kas no Japānas uzņēmēja skatpunkta ir starptautiska nosūtīšana no Japānas, būtu jāatļauj tikai tad, ja uz nākamo saņēmēju ārpus Japānas attiecina noteikumus, kuri nodrošina aizsardzības līmeni, kas ir līdzīgs Japānas tiesiskajā kārtībā garantētajam.

(76)

Pirmais aizsardzības pasākums ir noteikts APPI 24. pantā, kas vispārēji aizliedz nosūtīt personas datus trešai personai ārpus Japānas teritorijas bez attiecīgās personas iepriekšējas piekrišanas. Savukārt 4. papildu noteikums nodrošina, ka gadījumā, kad datus nosūta no Eiropas Savienības, šāda piekrišana ir īpaši labi pārdomāta, jo tā paredz, ka attiecīgajai personai “tiek sniegta tā informācija par nosūtīšanas apstākļiem, kura principālam vajadzīga, lai pieņemtu lēmumu par savu piekrišanu”. Pamatojoties uz to, datu subjekts tiek informēts par faktu, ka dati tiks nosūtīti uz ārzemēm (ārpus APPI piemērošanas jomas), un par konkrēto galamērķa valsti. Tas ļaus subjektam izvērtēt ar datu nosūtīšanu saistītos draudus privātumam. Tāpat no APPI 23. panta var secināt (sk. 47. apsvērumu), ka principālam sniegtajā informācijā būtu jāietver 2. punktā minētie obligātie elementi, proti, trešai personai sniegto personas datu kategorijas un datu izpaušanas metode.

(77)

APPI 24. pants, to piemērojot apvienojumā ar PPC noteikumu 11-2. pantu, paredz vairākus izņēmumus attiecībā uz šo noteikumu, kas balstīts uz piekrišanu. Turklāt atbilstoši 24. pantam atkāpes, kas piemērojamas atbilstoši APPI 23. panta 1. punktam, ir piemērojamas arī attiecībā uz datu starptautisko nosūtīšanu (46).

(78)

Lai nodrošinātu aizsardzības nepārtrauktību gadījumā, kad personas datus nosūta no Eiropas Savienības uz Japānu saskaņā ar šo lēmumu, 4. papildu noteikums paaugstina aizsardzības līmeni šādu datu tālākai nosūtīšanai, ko veic PIHBO, saņēmējam trešā valstī. Tas nosaka ierobežojumus un ietvarus starptautiskās nosūtīšanas pamatiem, ko PIHBO var izmantot kā alternatīvu piekrišanai. Konkrēti un neskarot APPI 23. panta 1. punktā noteiktās atkāpes, personas datus saskaņā ar šo lēmumu var nosūtīt (tālāk) bez piekrišanas tikai divos gadījumos, proti, i) kad datus nosūta uz trešo valsti, kuru PPC saskaņā ar APPI 24. pantu atzinusi par tādu, kas nodrošina Japānā garantētajam aizsardzības līmenim līdzvērtīgu aizsardzības līmeni (47), vai ii) kad PIHBO un saņēmējs, kas ir trešā persona, ir kopīgi īstenojuši pasākumus, kas nodrošina tādu pašu aizsardzības līmeni kā APPI, to lasot kontekstā ar Papildu noteikumiem, pamatojoties uz līgumu, citu veidu saistošiem nolīgumiem vai saistošiem nolīgumiem uzņēmumu grupā. Otrā kategorija ir instrumenti, ko izmanto atbilstoši Regulai (ES) 2016/679, lai nodrošinātu atbilstošas garantijas (jo īpaši līguma klauzulas un saistošus uzņēmuma noteikumus). Taču pat minētajos gadījumos uz datu nosūtīšana trešai personai attiecas vispārējie noteikumi, kas piemērojami jebkādai datu sniegšanai trešai personai saskaņā ar APPI (t. i., prasība par piekrišanas saņemšanu saskaņā ar APPI 23. panta 1. punktu vai alternatīvi – informācijas prasība ar iespēju nepiekrist saskaņā ar APPI 23. panta 2. punktu. Gadījumos, kad ar datu subjektu nevar sazināties, lai tam iesniegtu piekrišanas pieprasījumu vai lai sniegtu nepieciešamo iepriekšējo informāciju saskaņā ar APPI 23. panta 2. punktu, datus nedrīkst nosūtīt.

(79)

Tāpēc, izņemot gadījumus, kad PPC ir konstatējusi, ka attiecīgā trešā valsts nodrošina aizsardzības līmeni, kas ir līdzvērtīgs ar APPI garantētajam (48), 4. papildu noteikumā paredzētās prasības izslēdz tādu nosūtīšanas instrumentu izmantošanu, kuri nerada saistošas attiecības starp datu nosūtītāju Japānā un datu saņēmēju trešā valstī un kuri negarantē vajadzīgo aizsardzības līmeni. Kā piemēru var minēt APEC Pārrobežu privātuma noteikumu (CBPR) sistēmu, kurā Japāna ir iesaistītā tautsaimniecība (49), jo šajā sistēmā aizsardzība neizriet no vienošanās, kas saista datu nosūtītāju un saņēmēju to divpusējo attiecību kontekstā, un tās līmenis ir acīmredzami zemāks nekā tas, ko garantē APPI apvienojumā ar Papildu noteikumiem (50).

(80)

Visbeidzot, papildu garantija (tālākas) nosūtīšanas gadījumā izriet no APPI 20. un 22. panta. Saskaņā ar šiem noteikumiem, ja uzņēmējs trešā valstī (datu saņēmējs) rīkojas PIHBO (datu nosūtītāja) vārdā, proti, kā (apakš-)apstrādātājs, tad PIHBO ir jānodrošina šāda uzņēmēja uzraudzība attiecībā uz datu apstrādes drošību.

(81)

APPI tāpat kā ES datu aizsardzības tiesību akti piešķir personām vairākas īstenojamas tiesības. Tas ietver tiesības piekļūt datiem (“izpaušana”), tos labot un dzēst, kā arī tiesības iebilst (“izmantošanas izbeigšana”).

(82)

Pirmkārt, atbilstoši APPI 28. panta 1. un 2. punktam datu subjektam ir tiesības pieprasīt PIHBO, lai tas/tie “izpauž glabātus personas datus, pēc kuriem viņu var identificēt”, un PIHBO, saņemot šādu pieprasījumu, “(…) izpauž glabātus personas datus” datu subjektam. APPI 29. pantam (labošanas tiesības) un 30. pantam (izmantošanas izbeigšanas tiesības) ir tāda pati struktūra kā 28. pantam.

(83)

Ministru kabineta rīkojuma 9. pantā ir precizēts, ka personas informācijas izpaušana, kā minēts APPI 28. panta 2. punktā, notiek rakstiski, ja vien PIHBO un datu subjekts nav vienojušies citādi.

(84)

Šīm tiesībām piemēro trīs veidu ierobežojumus, kas attiecas uz personas vai trešo personu tiesībām un interesēm (51), būtiskiem traucējumiem PIHBO darījumdarbībai (52), kā arī gadījumiem, kad izpaušana būtu citu normatīvo aktu pārkāpums (53). Situācijas, kurās šos ierobežojumus piemēro, ir līdzīgas dažiem no izņēmumiem, kuri piemērojami saskaņā ar Regulas (ES) 2016/679 23. panta 1. punktu, kas ļauj ierobežot personu tiesības tādu iemeslu dēļ, kuri saistīti ar “datu subjekta aizsardzību vai citu personu tiesību un brīvību aizsardzību” vai “citiem svarīgiem vispārējo sabiedrības interešu mērķiem”. Lai gan to gadījumu kategorija, kuros izpaušana būtu “citu normatīvo aktu” pārkāpums, var šķist plaša, normatīvajos aktos, kas paredz ierobežojumus šajā saistībā, jābūt ievērotām konstitucionālajām tiesībām uz privātumu, un tie var noteikt ierobežojumus tikai tiktāl, ciktāl šo tiesību īstenošana “traucētu sabiedrības labklājībai” (54). Šim nolūkam ir nepieciešams līdzsvarot attiecīgās intereses.

(85)

Saskaņā ar APPI 28. panta 3. punktu, ja prasītie dati nepastāv vai ja attiecīgais PIHBO izlemj nepiešķirt piekļuvi glabātajiem datiem, tam ir nekavējoties jāinformē attiecīgā persona.

(86)

Otrkārt, atbilstoši APPI 29. panta 1. un 2. punktam datu subjektam ir tiesības pieprasīt viņa personas datu labošanu, papildināšanu vai dzēšanu, ja dati ir neprecīzi. Saņemot šādu pieprasījumu, PIHBO“veic (…) nepieciešamo izmeklēšanu” un, pamatojoties uz tās rezultātiem, “veic labojumu glabāto datu saturā”.

(87)

Treškārt, atbilstoši APPI 30. panta 1. un 2. punktam datu subjektam ir tiesības pieprasīt PIHBO, lai tas pārtrauc izmantot personas informāciju vai dzēš šādu informāciju, ja tā tiek izmantota, pārkāpjot 16. pantu (attiecībā uz nolūka ierobežojumu), vai ir nepienācīgi iegūta, pārkāpjot APPI 17. pantu (attiecībā uz iegūšanu ar viltu, izmantojot citus neatbilstošu līdzekļus, vai gadījumā, kad sensitīvi dati iegūti bez piekrišanas). Tāpat saskaņā ar APPI 30. panta 3. un 4. punktu personai ir tiesības pieprasīt PIHBO, lai tas pārtrauc informācijas sniegšanu trešai personai, ja tādējādi tiek pārkāpti APPI 23. panta 1. punkta vai 24. panta noteikumi (attiecībā uz sniegšanu trešām personām, ieskaitot starptautisku datu nosūtīšanu).

(88)

Ja šāds pieprasījums ir pamatots, PIHBO nekavējoties pārtrauc datu izmantošanu vai to sniegšanu trešai personai, ciktāl tas nepieciešams, lai novērstu pārkāpumu vai – ja uz konkrēto gadījumu attiecas izņēmums (proti, ja izmantošanas pārtraukšana izraisītu īpaši lielas izmaksas) (55) – īstenotu nepieciešamos alternatīvos pasākumus nolūkā aizsargāt attiecīgās personas tiesības un intereses.

(89)

Atšķirībā no ES tiesību aktiem APPI un attiecīgajos pakārtotajos noteikumos nav tiesību normu, kas konkrēti attiektos uz iespēju iebilst pret apstrādi tiešās tirgvedības vajadzībām. Tomēr šāda apstrāde saskaņā ar šo lēmumu notiek iepriekš Eiropas Savienībā savāktu personas datu nosūtīšanas kontekstā. Saskaņā ar Regulas (ES) 2016/679 21. panta 2. punktu datu subjektam vienmēr ir iespēja iebilst pret datu nosūtīšanu to apstrādei tiešās tirgvedības vajadzībām. Turklāt, kā paskaidrots 43. apsvērumā, saskaņā ar 3. papildu noteikumu PIHBO dati, ko tas saņēmis atbilstoši lēmumam, ir jāapstrādā tādam pašam nolūkam, kādam tie nosūtīti no Eiropas Savienības, izņemot, ja datu subjekts piekrīt izmantošanas nolūka maiņai. Tāpēc, ja dati nosūtīti jebkādam nolūkam, kas nav tiešā tirgvedība, PIHBO Japānā būs aizliegts apstrādāt datus tiešās tirgvedības vajadzībām bez ES datu subjekta piekrišanas.

(90)

Visos gadījumos, kas minēti APPI 28. un 29. pantā, PIHBO ir nekavējoties jāinformē attiecīgā persona par tās pieprasījuma rezultātu un turklāt ir jāpaskaidro katrs (daļējais) atteikums, pamatojoties uz 27.–30. pantā paredzētajiem likumiskajiem izņēmumiem (APPI 31. pants).

(91)

Attiecībā uz nosacījumiem šāda pieprasījuma iesniegšanai APPI 32. pants (apvienojumā ar Ministru kabineta rīkojumu) ļauj PIHBO noteikt pamatotas procedūras, tostarp attiecībā uz informāciju, kas vajadzīga, lai identificētu glabātos personas datus. Tomēr saskaņā ar šā panta 4. punktu PIHBO nedrīkst uzlikt “pārmērīgu slogu principālam”. Konkrētos gadījumos PIHBO var arī piemērot maksu, kamēr vien tās summa atbilst “apjomam, kas uzskatāms par pamatotu, ņemot vērā faktiskās izmaksas” (APPI 33. pants).

(92)

Visbeidzot, persona var iebilst pret savas personas informācijas sniegšanu trešai personai atbilstoši APPI 23. panta 2. punktam vai atteikt piekrišanu atbilstoši 23. panta 1. punktam (tādējādi novēršot izpaušanu gadījumā, kad nav pieejams neviens cits juridiskais pamats). Tāpat persona var apturēt datu apstrādi, kas tiek veikta citam nolūkam, atsakoties sniegt piekrišanu atbilstoši APPI 16. panta 1. punktam.

(93)

Atšķirībā no ES tiesību aktiem APPI un attiecīgajos pakārtotajos noteikumos nav ietverti vispārēji noteikumi, kas konkrēti attiektos uz lēmumiem, kuri skar datu subjektu un ir balstīti vienīgi uz personas datu automatizētu apstrādi. Tomēr šis jautājums ir aplūkots konkrētos nozaru noteikumos, kas piemērojami Japānā un ir īpaši būtiski attiecībā uz šā veida apstrādi. Tas ietver nozares, kurās uzņēmumi visbiežāk izmanto personas datu automatizētu apstrādi, lai pieņemtu lēmumus, kas skar konkrētas personas (piem., finanšu nozare). Piemēram, Vispārējās pamatnostādnēs par lielo banku uzraudzību, kas pārskatītas 2017. gada jūnijā, ir noteikts pienākums sniegt attiecīgajai personai paskaidrojumus par iemesliem, kādēļ ir noraidīts pieprasījums par aizdevuma līguma noslēgšanu. Minētie noteikumi tādējādi nodrošina aizsardzību tajos (visdrīzāk nedaudzajos) gadījumos, kad automātiskus lēmumus pieņemtu pats datus saņemošais Japānas uzņēmējs (nevis nosūtošais ES datu pārzinis).

(94)

Jebkurā gadījumā attiecībā uz personas datiem, kas vākti Eiropas Savienībā, ikvienu lēmumu, pamatojoties uz automatizētu apstrādi, parasti pieņems datu pārzinis Savienībā (kam ir tieša saistība ar attiecīgo datu subjektu), un tam attiecīgi piemēro Regulu (ES) 2016/679 (56). Tas ietver nosūtīšanas scenārijus, kuros apstrādi veic ārvalstu (piem., Japānas) uzņēmējs, kas rīkojas kā pārstāvis (apstrādātājs) ES pārziņa vārdā (vai kā apakšapstrādātājs, kas rīkojas ES apstrādātāja vārdā, kurš ir saņēmis datus no ES pārziņa, kas tos savācis), kurš uz šī pamata pieņem lēmumu. Tāpēc tas, ka APPI nav īpašu noteikumu par automatizētu lēmumu pieņemšanu, visticamāk, neietekmēs saskaņā ar šo lēmumu nosūtīto personas datu aizsardzības līmeni.

(95)

Lai nodrošinātu, ka arī praksē tiek garantēts pietiekams datu aizsardzības līmenis, vajadzētu būt izveidotai neatkarīgai uzraudzības iestādei, kurai uzticētas pilnvaras uzraudzīt un nodrošināt datu aizsardzības noteikumu izpildi. Šai iestādei tās uzdevumi būtu jāveic un pilnvaras jāīsteno pilnīgi neatkarīgi un objektīvi.

(96)

Japānā par APPI uzraudzību un izpildi atbildīgā iestāde ir PPC. Tās sastāvā ir priekšsēdētājs un astoņi komisāri, kurus iecēlis premjerministrs ar abu Parlamenta palātu piekrišanu. Priekšsēdētāja un visu komisāru pilnvaru termiņš ir pieci gadi, un ir iespēja viņus iecelt atkārtoti (APPI 64. pants). Komisārus var atlaist tikai pamatota iemesla dēļ ierobežotos izņēmuma apstākļos (57), un viņi nedrīkst aktīvi iesaistīties politiskās darbībās. Vēl vairāk – saskaņā ar APPI pilnas slodzes komisāriem jāatturas no jebkādām citām darbībām, par kurām saņem atlīdzību, vai darījumdarbības. Uz visiem komisāriem attiecas arī iekšējie noteikumi, kas viņiem liedz piedalīties apspriedēs iespējama interešu konflikta gadījumā. PPC palīdz sekretariāts, ko vada ģenerālsekretārs un kas izveidots, lai veiktu uzdevumus, kuri uzticēti PPC (APPI 70. pants). Gan komisāriem, gan visām sekretariāta amatpersonām ir saistoši stingri konfidencialitātes noteikumi (APPI 72., 82. pants).

(97)

PPC pilnvaras, ko tā īsteno pilnīgi neatkarīgi (58), ir paredzētas galvenokārt APPI 40., 41. un 42. pantā. Saskaņā ar 40. pantu PPC var prasīt PIHBO, lai tas ziņo vai iesniedz dokumentus par apstrādes darbībām, un PPC var arī veikt gan pārbaudes uz vietas, gan uzskaites un citu dokumentu pārbaudes. Ciktāl tas nepieciešams APPI izpildes nodrošināšanai, PPC var arī sniegt PIHBO norādījumus vai padomus par personas informācijas izmantošanu. PPC jau ir izmantojusi šīs pilnvaras saskaņā ar APPI 41. pantu, sniedzot norādījumus Facebook pēc tam, kad tika atklāti fakti Facebook un Cambridge Analytica lietā.

(98)

Bet vissvarīgākais ir tas, ka PPC ir pilnvaras, pamatojoties uz sūdzību vai pēc savas iniciatīvas, individuālos gadījumos izdot ieteikumus un rīkojumus, lai nodrošinātu APPI un citu saistošu noteikumu (tostarp Papildu noteikumu) izpildi. Minētās pilnvaras ir noteiktas APPI 42. pantā. Lai gan minētā panta 1. un 2. punktā ir paredzēts divposmu mehānisms, kuru izmantojot, PPC var izdot rīkojumu (tikai) pēc iepriekšēja ieteikuma, 3. punkts ļauj tieši pieņemt rīkojumu steidzamības gadījumos.

(99)

Lai arī ne visi APPI IV nodaļas 1. iedaļas noteikumi ir uzskaitīti 42. panta 1. punktā, kas nosaka arī 42. panta 2. punkta piemērošanas jomu, – tas ir skaidrojams ar faktu, ka daži no minētajiem noteikumiem neattiecas uz PIHBO (59) pienākumiem un ka visus būtiskos aizsardzības pasākumus jau nodrošina citi noteikumi, kuri ir iekļauti minētajā sarakstā. Piemēram, lai gan nav minēts 15. pants (kas paredz, ka PIHBO ir jānosaka izmantošanas nolūks un jāapstrādā attiecīgā personas informācija tikai tās apmērā), šīs prasības neievērošana var būt iemesls, lai izdotu ieteikumu, pamatojoties uz to, ka ir pārkāpts 16. panta 1. punkts (kas aizliedz PIHBO apstrādāt personas informāciju, pārsniedzot to, kas ir nepieciešams, lai sasniegtu izmantošanas nolūku, izņemot, ja tas saņem datu subjekta piekrišanu) (60). Vēl viens noteikums, kas nav iekļauts 42. panta 1. punktā, ir APPI 19. pants par datu precizitāti un glabāšanu. Šā noteikuma neievērošanas gadījumā var tikt piemēroti izpildes pasākumi par 16. panta 1. punkta pārkāpumu vai pamatojoties uz 29. panta 2. punkta pārkāpumu, ja attiecīgā persona prasa labot vai dzēst kļūdainus vai pārmērīga apjoma datus un PIHBO atsakās izpildīt šo prasību. Attiecībā uz datu subjekta tiesībām saskaņā ar 28. panta 1. punktu, 29. panta 1. punktu un 30. panta 1. punktu pārraudzība, kas jāveic PPC, tiek nodrošināta, piešķirot tai izpildes pilnvaras attiecībā uz konkrētajiem PIHBO pienākumiem, kuri noteikti minētajos pantos.

(100)

Atbilstoši APPI 42. panta 1. punktam, ja PPC atzīst, ka ir “vajadzība aizsargāt personas tiesības un intereses gadījumos, kad [PIHBO] ir pārkāpis” konkrētus APPI noteikumus, tā var izdot ieteikumu “izbeigt pārkāpumu vai veikt nepieciešamos pasākumus, lai izlabotu pārkāpumu”. Šāds ieteikums nav saistošs, bet paver iespēju izdot saistošu rīkojumu atbilstoši APPI 42. panta 2. punktam. Pamatojoties uz šo noteikumu, ja ieteikums netiek izpildīts “bez likumīga pamata” un PPC“atzīst, ka pastāv nenovēršams būtisks personas tiesību un interešu pārkāpums”, PPC var uzdot PIHBO rīkoties atbilstoši ieteikumam.

(101)

Papildu noteikumos ir sīkāk precizētas un pamatotas PPC izpildes pilnvaras. Konkrētāk, gadījumos, kas saistīti ar datiem, kuri nosūtīti no Eiropas Savienības, PPC vienmēr uzskatīs PIHBO nerīkošanos bez likumīga pamata atbilstoši ieteikumam, kas izdots saskaņā ar APPI 42. panta 1. punktu, par nenovēršamu un būtisku personas tiesību un interešu pārkāpumu 42. panta 2. punkta nozīmē un attiecīgi arī par pārkāpumu, kas pamato saistoša rīkojuma izdošanu. Turklāt par ieteikuma neizpildes “likumīgu pamatu”PPC atzīst tikai “ārkārtas gadījumu [kas liedz īstenot izpildi], kas ir ārpus [PIHBO] kontroles un ko nevar pamatoti prognozēt (piemēram, dabas katastrofas)”, vai gadījumus, kad nepieciešamība rīkoties saistībā ar ieteikumu ir zudusi, jo [PIHBO] ir īstenojis alternatīvu rīcību, pilnībā novēršot pārkāpumu.

(102)

PPC rīkojuma neizpildi uzskata par noziedzīgu nodarījumu APPI 84. panta nozīmē, un, ja PIHBO ir atzīts par vainīgu, tam var piespriest brīvības atņemšanu ar piespiedu darbu uz termiņu līdz sešiem mēnešiem vai naudas sodu līdz 300 000 jenu. Turklāt atbilstoši APPI 85. panta i) punktam par nesadarbošanos ar PPC vai traucēšanu tās izmeklēšanā var piemērot naudas sodu līdz 300 000 jenu. Šos kriminālsodus piemēro papildus tiem sodiem, ko var piemērot par būtiskiem APPI pārkāpumiem (skatīt 108. apvērumu).

(103)

Lai nodrošinātu pietiekamu aizsardzību un jo īpaši individuālo tiesību īstenošanu, datu subjektam vajadzētu būt pieejamiem efektīviem administratīvās un tiesiskās aizsardzības līdzekļiem, tostarp kompensācijai par kaitējumu.

(104)

Pirms administratīvās vai tiesiskās aizsardzības līdzekļu izmantošanas vai to izmantošanas vietā persona var nolemt iesniegt pārzinim sūdzību par savu personas datu apstrādi. Pamatojoties uz APPI 35. pantu, PIHBO cenšas pienācīgi un nekavējoties izskatīt šādas sūdzības un izveidot iekšējās sūdzību izskatīšanas sistēmas, lai sasniegtu šo mērķi. Turklāt saskaņā ar APPI 61. panta ii) punktu PPC ir atbildīga par “nepieciešamo mediāciju iesniegtas sūdzības gadījumā un sadarbību, ko piedāvā uzņēmējam, kurš izskata sūdzību”, un abos gadījumos tas ietver ārvalstnieku iesniegtas sūdzības. Šajā sakarā Japānas likumdevējs ir arī uzticējis centrālajai valdībai pienākumu veikt “nepieciešamās darbības”, lai nodrošinātu un veicinātu sūdzību izskatīšanu, ko veic PIHBO (9. pants), savukārt vietējām valdībām jāpieliek pūles, lai šādos gadījumos nodrošinātu mediāciju (13. pants). Šajā saistībā personas papildus iespējai iesniegt sūdzību Japānas Valsts patērētāju lietu centrā var arī iesniegt sūdzību kādā no vairāk nekā 1 700 patērētāju tiesību aizsardzības centriem, ko izveidojušas vietējās valdības, pamatojoties uz Patērētāju drošības likumu (61). Šādas sūdzības var iesniegt arī par APPI pārkāpumiem. Saskaņā ar Patērētāju pamatlikuma (62) 19. pantu vietējās valdības cenšas iesaistīties mediācijā attiecībā uz sūdzībām un sniegt iesaistītajām pusēm nepieciešamo zinātību. Šādi strīdu izšķiršanas mehānismi ir diezgan efektīvi – 2015. gadā tika atrisināti vairāk nekā 75 000 sūdzību gadījumu, kas ir 91,2 %.

(105)

Ja PIHBO pārkāpj APPI noteikumus, par to var ierosināt gan civillietu, gan arī krimināllietu un piespriestas sankcijas. Pirmkārt, ja persona uzskata, ka ir pārkāptas viņas tiesības, kā noteikts APPI 28., 29. un 30. pantā, viņa var pieprasīt tiesas priekšrakstu, lūdzot, lai tiesa izdod rīkojumu, kas uzliek PIHBO pienākumu izpildīt personas prasību atbilstoši vienam no šiem noteikumiem, t. i., izpaust glabātus personas datus (28. pants), labot nepareizus glabātus personas datus (29. pants) vai izbeigt datu nelikumīgu apstrādi vai sniegšanu trešai personai (30. pants). Šādu lietu var ierosināt bez nepieciešamības atsaukties uz Civilkodeksa 709. pantu (63) vai uz saistību tiesībām (64). Tas jo īpaši nozīmē, ka attiecīgajai personai nav jāpierāda kaitējums.

(106)

Otrkārt, gadījumā, kad varbūtējs pārkāpums neattiecas uz individuālām tiesībām atbilstoši 28., 29. un 30. pantam, bet attiecas uz vispārīgiem datu aizsardzības principiem vai PIHBO pienākumiem, attiecīgā persona var ierosināt civillietu pret uzņēmēju, pamatojoties uz Japānas Civilkodeksa saistību tiesību noteikumiem, jo īpaši 709. pantu. Lai gan viens no priekšnosacījumiem prasības ierosināšanai saskaņā ar 709. pantu papildus vainai (tīšai rīcībai vai nolaidībai) ir arī pierādījums par kaitējumu, saskaņā ar Civilkodeksa 710. pantu šāds kaitējums var būt gan materiāls, gan nemateriāls. Attiecībā uz kompensācijas apmēru nav noteikti nekādi ierobežojumi.

(107)

Attiecībā uz pieejamiem tiesiskās aizsardzības līdzekļiem Japānas Civilkodeksa 709. pantā ir minēta naudas kompensācija. Tomēr Japānas judikatūrā šis pants ir interpretēts arī kā tāds, kas nosaka tiesības prasīt tiesas priekšrakstu (65). Tāpēc, ja datu subjekts ceļ prasību atbilstoši Civilkodeksa 709. pantam un apgalvo, ka atbildētājs, pārkāpjot APPI noteikumu, ir nodarījis kaitējumu viņa interesēm, prasībā papildus kaitējuma kompensācijai var pieprasīt arī tiesas priekšrakstu, jo īpaši lai apturētu jebkādu nelikumīgu apstrādi.

(108)

Treškārt, papildus civiltiesiskās (saistību tiesību) aizsardzības līdzekļiem datu subjekts var iesniegt prokuroram vai kriminālpolicijai sūdzību par APPI pārkāpumiem, par kuriem var piemērot kriminālsodu. APPI VII nodaļā ir vairāki noteikumi par sodiem. Vissvarīgākais (84. pants) attiecas uz gadījumiem, kad PIHBO neizpilda PPC rīkojumus atbilstoši 42. panta 2. un 3. punktam. Ja uzņēmējs neizpilda PPC izdotu rīkojumu, PPC priekšsēdētājs (kā arī jebkura cita valsts amatpersona) (66) var pārsūtīt lietu prokuroram vai kriminālpolicijai, tādējādi uzsākot kriminālprocesu. Sods par PPC rīkojuma neizpildi ir brīvības atņemšana līdz sešiem mēnešiem ar piespiedu darbu vai naudas sods līdz 300 000 jenu. Citi APPI noteikumi, kas paredz sodus tādu APPI pārkāpumu gadījumā, kas skar datu subjektu tiesības un intereses, ir APPI 83. pants (attiecībā uz personas informācijas datubāzes “nemanāmu nodrošināšanu vai izmantošanu”“nolūkā gūt (…) nelikumīgu peļņu”) un APPI 88. panta i) punkts (attiecībā uz gadījumu, kad trešā persona korekti neinformē PIHBO, kad tas saņem personas datus saskaņā ar APPI 26. panta 1. punktu, jo īpaši nesniedzot sīku informāciju par to, kā trešā persona pati iepriekš ieguvusi šādus datus). Piemērojamie sodi par šādiem APPI pārkāpumiem ir attiecīgi brīvības atņemšana ar piespiedu darbu līdz vienam gadam vai naudas sods līdz 500 000 jenu (83. panta gadījumā), vai administratīvs naudas sods līdz 100 000 jenu (88. panta i) punkta gadījumā). Lai arī kriminālsoda draudiem vien varētu būt spēcīga atturoša ietekme uz uzņēmuma vadību, kas vada PIHBO datu apstrādes operācijas, kā arī uz personām, kuras apstrādā datus, APPI 87. pantā ir paskaidrots, ka gadījumā, ja kādas juridiskas personas pārstāvis, darbinieks vai cits darba ņēmējs veicis pārkāpumus saskaņā ar APPI 83. līdz 85. pantu, “nodarītāju soda un minētajai juridiskajai personai piemēro naudas sodu, kas noteikts attiecīgajos pantos”. Šajā gadījumā gan darbiniekam, gan uzņēmumam var piemērot sodu pat maksimālajā apmērā.

(109)

Visbeidzot, personas var arī prasīt tiesiskās aizsardzības līdzekļus saistībā ar PPC darbībām vai bezdarbību. Šajā saistībā Japānas tiesību akti paredz vairākas administratīvās un tiesiskās aizsardzības līdzekļu iespējas.

(110)

Ja persona nav apmierināta ar PPC rīcību, viņa var iesniegt pārsūdzību administratīvā kārtā saskaņā ar Administratīvo sūdzību pārskatīšanas likumu (67). Turpretī, ja persona uzskata, ka PPC vajadzēja rīkoties, bet tā nav rīkojusies, persona var prasīt, lai PPC saskaņā ar minētā likuma 36-3. pantu dod rīkojumu vai sniedz administratīvus norādījumus, ja persona uzskata, ka nav “ticis pieņemts vai piemērots rīkojums vai administratīvi norādījumi, kas nepieciešami, lai izlabotu pārkāpumu”.

(111)

Attiecībā uz tiesiskās aizsardzības līdzekļiem – saskaņā ar Administratīvo lietu iztiesāšanas likumu persona, kura nav apmierināta ar PPC doto administratīvo rīkojumu, var iesniegt mandamus prasību (68) tiesai, lūdzot, lai tā uzdod PPC īstenot turpmāku rīcību (69). Konkrētos gadījumos tiesa var arī izdot pagaidu mandamus rīkojumu, lai novērstu neatgriezenisku kaitējumu (70). Turklāt saskaņā ar minēto Likumu persona var prasīt PPC lēmuma atcelšanu (71).

(112)

Visbeidzot, persona var arī iesniegt prasību pret PPC par valsts kompensāciju atbilstoši Valsts tiesiskās aizsardzības līdzekļu likuma 1. panta 1. punktam, ja personai ir nodarīts kaitējums tāpēc, ka PPC izdotais rīkojums uzņēmējam ir bijis nelikumīgs vai PPC nav īstenojusi savas pilnvaras.

(113)

Komisija ir arī novērtējusi ierobežojumus un garantijas, tostarp pārraudzības un individuālās tiesiskās aizsardzības mehānismus, kas pieejami atbilstoši Japānas tiesību aktiem saistībā ar tādu personas datu vākšanu un vēlāku izmantošanu, kurus publiskās iestādes nosūta uzņēmējiem Japānā sabiedrības interesēs, jo īpaši krimināltiesību aizsardzības un valsts drošības nolūkos (“valdības piekļuve”). Šajā saistībā Japānas valdība ir iesniegusi Komisijai oficiālus apliecinājumus, garantijas un saistības, kas parakstītas augstākajā ministriju un aģentūru līmenī un ietvertas šā lēmuma II pielikumā.

(114)

Valsts varas īstenošanas ietvaros Japānas valdībai, piekļūstot personas datiem, ir pilnībā jāievēro tiesību akti (likumības princips). Šajā saistībā Japānas Konstitūcijā ir ietverti noteikumi, kas nosaka ierobežojumus un satvaru personas datu vākšanai, kuru veic publiskās iestādes. Kā jau minēts attiecībā uz apstrādi, ko veic uzņēmēji, Japānas Augstākā tiesa, pamatojoties uz Konstitūcijas 13. pantu, kas cita starpā aizsargā tiesības uz brīvību, ir atzinusi tiesības uz privātumu un datu aizsardzību (72). Viens no būtiskiem šādu tiesību aspektiem ir brīvība neatļaut savas personas informācijas izpaušanu trešai personai bez atļaujas (73). Tas ietver tiesības uz efektīvu aizsardzību pret personas datu ļaunprātīgu izmantošanu un (jo īpaši) nelikumīgu piekļuvi tiem. Papildu aizsardzību nodrošina Konstitūcijas 35. pants par visu personu tiesībām sava mājokļa, personas un datu neaizskaramību, kas nozīmē, ka publiskām iestādēm visos “pārmeklēšanas un konfiskācijas” gadījumos ir jāsaņem tiesas orderis, kurš izdots ar “pienācīgu pamatojumu” (74). Augstākā tiesa savā 2017. gada 15. marta spriedumā (GPS lieta) precizēja, ka šī prasība par orderi ir piemērojama ikreiz, kad valdības aizskar (“iejaucas”) privātumā veidā, kas apspiež personas gribu, un veicot “obligātu izmeklēšanu”. Tiesnesis var izdot šādu orderi tikai tad, ja ir konkrētas aizdomas par noziegumu, t. i., ja ir iesniegti dokumentēti pierādījumi, uz kuru pamata var uzskatīt, ka persona, pret kuru vērsta izmeklēšana, ir izdarījusi noziedzīgu nodarījumu (75). Attiecīgi Japānas iestādēm nav likumīgu pilnvaru vākt personas informāciju piespiedu kārtā situācijās, kad tiesību akta pārkāpums vēl nav noticis (76), piemēram, lai novērstu noziegumu vai citus draudus drošībai (kā tas ir gadījumā, kad izmeklēšanu veic, pamatojoties uz valsts drošības apsvērumiem).

(115)

Saskaņā ar tiesību atrunas principu jebkurai datu vākšanai, ko veic piespiedu izmeklēšanā, jābūt īpaši atļautai ar likumu (kā atspoguļots, piemēram, Kriminālprocesa kodeksa (“CCP”) 197. panta 1. punktā, kas attiecas uz obligātu informācijas vākšanu kriminālizmeklēšanas nolūkos). Šī prasība attiecas arī uz piekļuvi elektroniskai informācijai.

(116)

Būtiski ir tas, ka Konstitūcijas 21. panta 2. punkts garantē visu saziņas līdzekļu slepenību, un izņēmumi ir atļauti tikai ar tiesību aktiem un sabiedrības interesēs. Ar Telesakaru darījumdarbības likuma 4. pantu, kas nosaka, ka telesakaru operators nedrīkst pārkāpt apstrādāto sakaru slepenību, šī konfidencialitātes prasība tiek īstenota vispārējo tiesību līmenī. Šī prasība ir interpretēta kā aizliegums izpaust sakaru informāciju, izņemot, ja tas notiek ar lietotāju piekrišanu vai pamatojoties uz kādu no Sodu kodeksā skaidri noteiktajiem atbrīvojumiem no kriminālatbildības (77).

(117)

Konstitūcija arī garantē tiesības uz piekļuvi tiesām (32. pants) un tiesības iesūdzēt valsti, lai saņemtu tiesiskās aizsardzības līdzekļus gadījumos, kad personai ir nodarīts kaitējums valsts amatpersonas prettiesiskas darbības dēļ (17. pants).

(118)

Konkrēti attiecībā uz tiesībām uz datu aizsardzību APPI III nodaļas 1., 2. un 3. iedaļā ir noteikti vispārēji principi, kas attiecas uz visām nozarēm, tostarp publisko sektoru. Jo īpaši APPI 3. pants paredz, ka visa personas informācija jāizmanto saskaņā ar personas privātuma ievērošanas principu. Kad publiskās iestādes (78) ir savākušas (“ieguvušas”) personas informāciju, tostarp kā daļu no elektroniskiem ierakstiem, tās izmantošanu reglamentē Likums par administratīvo struktūru rīcībā esošās personas informācijas aizsardzību (“APPIHAO”) (79). Principā tas ietver (80) arī personas informācijas apstrādi krimināltiesību aizsardzības vai valsts drošības nolūkos. APPIHAO cita starpā paredz, ka publiskās iestādes i) var glabāt personas informāciju tikai tādā apmērā, kādā tas ir nepieciešams to pienākumu pildīšanai; ii) neizmanto šādu informāciju negodīgam nolūkam un “nepamatoti” neizpauž to trešai personai; iii) norāda nolūku un to nemaina tādējādi, ka tiek pārsniegts tas, ko var pamatoti uzskatīt par atbilstošu sākotnējam nolūkam (nolūka ierobežojums); iv) principā neizmanto un nesniedz trešai personai glabātu personas informāciju citos nolūkos un, ja to uzskata par nepieciešamu, piemēro trešām personām nolūka vai izmantošanas metodes ierobežojumus; v) cenšas nodrošināt informācijas pareizību (datu kvalitāte); vi) veic nepieciešamos pasākumus pienācīgai informācijas pārvaldībai un nopludināšanas, nozaudēšanas vai sabojāšanas novēršanai (datu drošība), un vii) cenšas pienācīgi un nekavējoties izskatīt visas sūdzības par informācijas apstrādi (81).

(119)

Japānas tiesību aktos ir noteikti vairāki ierobežojumi attiecībā uz piekļuvi personas datiem un to izmantošanu krimināltiesību aizsardzības nolūkos, kā arī pārraudzības un tiesiskās aizsardzības mehānismi, kas nodrošina pietiekamas garantijas, lai šos datus varētu efektīvi pasargāt pret nelikumīgu iejaukšanos un ļaunprātīgas izmantošanas risku.

(120)

Japānas tiesiskajā regulējumā elektroniskās informācijas vākšana krimināltiesību aizsardzības nolūkos ir pieļaujama, pamatojoties uz orderi (piespiedu vākšana) vai brīvprātīgas izpaušanas pieprasījumu.

(121)

Kā norādīts 115. apsvērumā, jebkurai datu vākšanai, ko veic piespiedu izmeklēšanā, jābūt īpaši atļautai ar likumu, un to drīkst veikt tikai, pamatojoties uz tiesas orderi, kurš “izdots ar pienācīgu pamatojumu” (Konstitūcijas 35. pants). Attiecībā uz noziedzīgu nodarījumu izmeklēšanu šī prasība ir atspoguļota Kriminālprocesa kodeksa (CCP) noteikumos. Saskaņā ar CCP 197. panta 1. punktu piespiedu pasākumus “nepiemēro, ja vien šajā kodeksā nav noteikti īpaši noteikumi”. Attiecībā uz elektroniskās informācijas vākšanu vienīgie atbilstošie (82) juridiskie pamati šajā saistībā ir CCP 218. pants (pārmeklēšana un konfiskācija) un CCP 222-2. pants, saskaņā ar kuriem piespiedu pasākumus elektronisko sakaru pārtveršanai bez jebkuras puses piekrišanas veic, pamatojoties uz citiem likumiem, proti, Likumu par sarunu noklausīšanos kriminālizmeklēšanas nolūkos (“Sarunu noklausīšanās likums”). Abos gadījumos ir piemērojama prasība par orderi.

(122)

Konkrēti, atbilstoši CCP 218. panta 1. punktam, ja tas nepieciešams nodarījuma izmeklēšanai, prokurors, prokurora palīgs vai kriminālpolicijas darbinieks var veikt pārmeklēšanu vai konfiskāciju (tostarp ierakstu pieprasīšanu), pamatojoties uz tiesneša iepriekš izdotu orderi (83). Šādā orderī cita starpā norāda aizdomās turētā vai apsūdzētā vārdu, nodarījumu, kurā viņš tiek apsūdzēts (84), konfiscējamos elektromagnētiskos ierakstus un “vietu vai priekšmetus”, kuri jāpārbauda (CCP 219. panta 1. punkts).

(123)

Attiecībā uz sakaru pārtveršanu ar Sarunu noklausīšanās likuma 3. pantu šādi pasākumi ir atļauti tikai, ievērojot stingras prasības. Konkrēti, publiskajām iestādēm ir jāsaņem iepriekšējs tiesas orderis, ko var izdot tikai konkrētu smagu noziegumu (uzskaitīti likuma pielikumā) izmeklēšanai (85) un gadījumos, kad ir “ļoti sarežģīti jebkādos citos veidos noskaidrot nozieguma izdarītāju vai nozieguma izdarīšanas situāciju/apstākļus” (86). Saskaņā ar Sarunu noklausīšanās likuma 5. pantu orderi izdod uz noteiktu laikposmu un tiesnesis var noteikt papildu nosacījumus. Turklāt Sarunu noklausīšanās likumā ir noteikta virkne papildu garantiju, piemēram, liecinieku dalības nepieciešamība (12., 20. pants), aizliegums noklausīties konkrētu priviliģētu personu grupu sarunas (piem., ārstu, juristu) (15. pants), pienākums izbeigt sarunu noklausīšanos, ja tā vairs nav pamatota, pat tad, ja orderis joprojām vēl ir spēkā (18. pants), vai vispārīga prasība informēt iesaistīto personu un atļaut piekļuvi sarunu ierakstiem trīsdesmit dienu laikā pēc noklausīšanās izbeigšanas (23., 24. pants).

(124)

Visus piespiedu pasākumus uz ordera pamata var veikt tikai kā tādu pārbaudi, “kas ir nepieciešama tās mērķa sasniegšanai”, proti, ja izmeklēšanas mērķus nevar sasniegt citādi (CCP 197. panta 1. punkts). Lai gan vispārējās tiesībās kritēriji nepieciešamības noteikšanai nav precizēti sīkāk, Japānas Augstākā tiesa ir nospriedusi, ka tiesnesim, kurš izdod orderi, būtu jāveic vispārējs novērtējums, jo īpaši ņemot vērā i) nodarījuma smagumu un to, kā tas izdarīts; ii) materiālu, kas ir konfiscējami kā pierādījumi, vērtību un nozīmīgumu; iii) varbūtību (risku), ka pierādījumi var tikt slēpti vai iznīcināti, un iv) to, kādā mērā konfiskācija var radīt kaitējumu attiecīgajai personai (87).

(125)

Publiskās iestādes savas kompetences robežās var arī vākt elektronisku informāciju, pamatojoties uz pieprasījumiem par brīvprātīgu informācijas izpaušanu. Tas attiecas uz neobligātu sadarbības veidu, ja nav iespējams izpildīt informācijas sniegšanas pieprasījumu (88), tādējādi atbrīvojot publiskās iestādes no pienākuma iegūt tiesas orderi.

(126)

Ciktāl šāds pieprasījums ir adresēts uzņēmējam un attiecas uz personas informāciju, uzņēmējam ir jāizpilda APPI prasības. Saskaņā ar APPI 23. panta 1. punktu uzņēmēji var izpaust personas informāciju trešām personām bez attiecīgās personas piekrišanas tikai konkrētos gadījumos, tostarp kad izpaušana ir “balstīta uz normatīvajiem aktiem” (89). Krimināltiesību aizsardzības jomā šādu pieprasījumu juridiskais pamats ir noteikts CCP 197. panta 2. punktā, saskaņā ar kuru “privātām organizācijām var prasīt, lai tās ziņo par nepieciešamajiem jautājumiem saistībā ar izmeklēšanu”. Tā kā šāds pierādījumu vākšanas dokuments ir pieļaujams tikai kā daļa no kriminālizmeklēšanas, lai to izmantotu, ir jābūt konkrētām aizdomām par jau izdarītu noziegumu (90). Turklāt, tā kā šādu izmeklēšanu parasti veic prefektūras policija, piemēro Policijas likuma 2. panta 2. punktā noteiktos ierobežojumus (91). Saskaņā ar minēto noteikumu policijas darbības ir stingri ierobežotas ar tās uzdevumu un pienākumu izpildi (proti, noziegumu novēršanai, izskaušanai un izmeklēšanai). Turklāt, pildot savus pienākumus, policija rīkojas objektīvi, bez aizspriedumiem un godīgi, un tā nekad nedrīkst ļaunprātīgi izmantot savas pilnvaras tādā veidā, kas kaitē personas tiesībām un brīvībām, kuras garantētas Japānas Konstitūcijā (kuras, kā norādīts, ietver tiesības uz privātumu un datu aizsardzību) (92).

(127)

Konkrēti attiecībā uz CCP 197. panta 2. punktu Valsts policijas aģentūra (NPA) kā federālā iestāde, kas cita starpā atbild par visiem jautājumiem, kuri saistīti ar kriminālpoliciju, ir izdevusi norādījumus prefektūras policijai (93) par “rakstiskas pierādījumu gūšanas pienācīgu izmantošanu izmeklēšanas lietās”. Saskaņā ar šo paziņojumu pieprasījumi jāiesniedz, izmantojot iepriekš noteiktu veidlapu (veidlapa Nr. 49 jeb tā dēvētais “pierādījumu vākšanas dokuments”) (94), tiem jābūt saistītiem ar ierakstiem, kas “attiecas uz konkrētu izmeklēšanu”, un prasītajai informācijai jābūt “nepieciešamai [minētās] izmeklēšanas vajadzībām”. Katrā gadījumā galvenais izmeklētājs “pilnībā izvērtē individuāla[-ā]s pierādījumu gūšanas nepieciešamību, saturu utt.”, un viņam ir jāsaņem iekšējs apstiprinājums no augstāka līmeņa amatpersonas.

(128)

Turklāt divos spriedumos, kuri pieņemti 1969. un 2008. gadā (95), Japānas Augstākā tiesa ir noteikusi ierobežojumus attiecībā uz neobligātajiem pasākumiem, kas skar tiesības uz privātumu (96). Tiesa jo īpaši uzskatīja, ka šādiem pasākumiem jābūt “saprātīgiem” un tie nedrīkst pārsniegt “vispārīgi pieļaujamās robežas”, proti, tiem jābūt nepieciešamiem izmeklēšanai, kas attiecas uz aizdomās turēto (pierādījumu vākšana), un jābūt īstenotiem, “izmantojot atbilstošas metodes izmeklēšanas mērķa sasniegšanai” (97). Minētie spriedumi apliecina, ka tas ietver samērības novērtējumu, ņemot vērā visus lietas apstākļus (piem., to, kādā pakāpē ir notikusi iejaukšanās tiesībās uz privātumu, tai skaitā gaidās uz privātuma ievērošanu, kā arī nozieguma smagumu, noderīgu pierādījumu iegūšanas iespējamību, šādu pierādījumu nozīmīgumu, iespējamos alternatīvos izmeklēšanas veidus u. c.) (98).

(129)

Papildus šiem valsts varas īstenošanas ierobežojumiem no pašiem uzņēmējiem tiek gaidīts, ka tie pārbaudīs (“apstiprinās”) informācijas sniegšanas trešai personai nepieciešamību un “racionalitāti” (99). Tas ietver arī jautājumu par to, vai likums neliedz uzņēmējiem sadarboties. Šādas juridisku pienākumu pretrunas var jo īpaši izrietēt no konfidencialitātes pienākumiem, piemēram, Sodu kodeksa 134. panta (par attiecībām starp ārstu, juristu, priesteri utt. un viņu klientiem). Tāpat arī “ikviena telesakaru darījumdarbībā iesaistīta persona, pildot amata pienākumus, ievēro citu personu noslēpumus, kuri tai kļuvuši zināmi saistībā ar telesakariem, kuru apstrādi veic telesakaru operators” (Telesakaru darījumdarbības likuma 4. panta 2. punkts). Par šā pienākuma neizpildi ir paredzēts sods, kas noteikts Telesakaru darījumdarbības likuma 179. pantā, saskaņā ar kuru ikviena persona, kas pārkāpusi pienākumu par telesakaru operatora apstrādāto telesakaru slepenību, tiek atzīta par vainīgu noziedzīgā nodarījumā un sodīta, piespriežot brīvības atņemšanu ar piespiedu darbu līdz diviem gadiem vai naudas sodu, kurš nepārsniedz vienu miljonu jenu (100). Lai gan šī prasība nav absolūta un it īpaši pieļauj pasākumus, ar kuriem pārkāpj telesakaru slepenību un kuri uzskatāmi par “attaisnojošām darbībām” Sodu kodeksa 35. panta (101) nozīmē, šis izņēmums neattiecas uz atbildi uz publisko iestāžu neobligātajiem pieprasījumiem izpaust elektronisko informāciju saskaņā ar CCP 197. panta 2. punktu.

(130)

Uz personas informāciju, ko savākušas Japānas publiskās iestādes, attiecas APPIHAO piemērošanas joma. Minētais likums reglamentē “glabātas personas informācijas” izmantošanu (apstrādi) un šajā sakarā nosaka vairākus ierobežojumus un garantijas (sk. 118. apsvērumu) (102). Turklāt fakts, ka administratīva struktūra var glabāt personas informāciju tikai tad, ja glabāšana ir nepieciešama, lai īstenotu tās piekritībā esošās lietas, kā to paredz normatīvie akti (APPIHAO 3. panta 1. punkts), arī nosaka ierobežojumus – vismaz netieši – informācijas sākotnējai vākšanai.

(131)

Japānā elektroniskās informācijas vākšana krimināltiesību aizsardzības jomā galvenokārt (103) ietilpst prefektūras policijas (104) pienākumos, kam šajā sakarā piemēro dažādu slāņu pārraudzību.

(132)

Pirmkārt, visos gadījumos, kad elektronisko informāciju vāc piespiedu līdzekļiem (veicot pārmeklēšanu un konfiskāciju), policijai ir jāsaņem iepriekšējs tiesas orderis (sk. 121. apsvērumu). Tāpēc minētajos gadījumos datu vākšanu ex ante pārbauda tiesnesis, pamatojoties uz stingru “pienācīga pamatojuma” standartu.

(133)

Lai gan tiesnesis neveic ex ante pārbaudi brīvprātīgās izpaušanas pieprasījumu gadījumā, uzņēmēji, kam adresē šādus pieprasījumus, var iebilst pret tiem, neriskējot, ka tas radīs viņiem negatīvas sekas (ņemot vērā arī jebkuras izpaušanas ietekmi uz privātumu). Turklāt saskaņā ar CCP 192. panta 1. punktu policijas darbinieki vienmēr sadarbojas un koordinē savas darbības ar prokuroru (un prefektūras sabiedriskās drošības komisiju) (105). Savukārt prokurors var sniegt nepieciešamos vispārējos norādījumus, kuros nosaka godīgas izmeklēšanas standartus, un/vai izdot īpašus rīkojumus attiecībā uz individuālu izmeklēšanu (CCP 193. pants). Ja šādus norādījumus un/vai rīkojumus neizpilda, prokuratūra var izvirzīt apsūdzības disciplinārlietas ierosināšanai (CCP 194. pants). Tādējādi prefektūras policija darbojas prokurora uzraudzībā.

(134)

Otrkārt, saskaņā ar Konstitūcijas 62. pantu katra Japānas Parlamenta palāta var veikt izmeklēšanu attiecībā uz valdību, tostarp par policijas veiktās informācijas vākšanas likumību. Šajā nolūkā tā var pieprasīt liecinieku klātbūtni un liecināšanu un/vai ierakstu uzrādīšanu. Minētās pierādījumu iegūšanas pilnvaras ir plašāk izklāstītas Parlamenta likumā, jo īpaši XII nodaļā. It īpaši Parlamenta likuma 104. pants paredz, ka Ministru kabinetam, publiskajām aģentūrām un citām valdības struktūrām ir jāizpilda Parlamenta vai jebkuras tā komitejas pieprasījumi uzrādīt ziņojumus un ierakstus, kurus nepieciešams izskatīt izmeklēšanas vajadzībām.” Atteikšanās izpildīt šo prasību ir pieļaujama tikai tad, ja valdība norāda ticamu iemeslu, ko Parlaments atzīst par pieņemamu, vai ja tiek izdota formāla deklarācija, ka ziņojumu vai ierakstu uzrādīšana “būtiski kaitētu valsts interesēm” (106). Turklāt Parlamenta locekļi var uzdot rakstiskus jautājumus Ministru kabinetam (Parlamenta likuma 74., 75. pants), un iepriekš šāda “rakstiska pierādījumu iegūšana” ir veikta arī par personas informācijas izmantošanu valsts pārvaldē (107). Parlamenta lomu izpildvaras uzraudzībā nostiprina ziņošanas pienākumi, piemēram, atbilstoši Sarunu noklausīšanās likuma 29. pantam.

(135)

Treškārt, arī izpildvaras jomā prefektūras policija ir pakļauta neatkarīgai pārraudzībai. Minētais jo īpaši ietver prefektūru sabiedriskās drošības komisijas, kas izveidotas prefektūru līmenī, lai nodrošinātu policijas demokrātisku pārvaldību un politisko neitralitāti (108). Šo komisiju sastāvā ir locekļi, kurus ieceļ prefektūras gubernators ar prefektūras asamblejas piekrišanu (no tādu iedzīvotāju vidus, kuri iepriekšējos piecos gados nav ieņēmuši ierēdņa amatu policijā) un uz noteiktu pilnvaru termiņu (ar iespēju atlaist tikai tad, ja ir pamatos iemesls) (109). Kā liecina saņemtā informācija, komisiju locekļiem nav saistoši norādījumi, un tādējādi viņus var uzskatīt par pilnīgi neatkarīgiem (110). Kas attiecas uz prefektūru sabiedriskās drošības komisiju uzdevumiem un pilnvarām, tad saskaņā ar 38. panta 3. punktu saistībā ar Policijas likuma 2. pantu un 36. panta 2. punktu tās ir atbildīgas par “personas tiesību un brīvības aizsardzību”. Šim nolūkam tās ir pilnvarotas “uzraudzīt” (111) visas prefektūras policijas veiktās izmeklēšanas darbības, ieskaitot personas datu vākšanu. Jo īpaši komisijas “vajadzības gadījumā var sniegt sīkus norādījumus prefektūras policijai vai norādījumus īpašā individuālā gadījumā, kad tiek pārbaudīti policijas darbinieku amatpārkāpumi.” (112) Kad prefektūras policijas priekšnieks (113) saņem šādu norādījumu vai pats uzzina par iespējamu amatpārkāpuma gadījumu (tostarp par tiesību akta pārkāpumu vai citu pienākumu neizpildi), viņam ir nekavējoties jāpārbauda konkrētais gadījums un par pārbaudes rezultātu jāziņo prefektūras sabiedriskās drošības komisijai (Policijas likuma 56. panta 3. punkts). Ja minētā komisija to uzskata par nepieciešamu, tā var arī iecelt vienu no saviem locekļiem īstenošanas statusa izvērtēšanai. Šis process turpinās, līdz prefektūras sabiedriskās drošības komisija ir pārliecinājusies, ka attiecīgais incidents ir pienācīgi atrisināts.

(136)

Turklāt attiecībā uz APPIHAO pareizu piemērošanu kompetentajam ministram vai aģentūras vadītājam (piem., NPA ģenerālkomisāram) ir izpildes pilnvaras ar nosacījumu, ka tiek piemērota Iekšlietu un komunikācijas lietu ministrijas (MIC) uzraudzība. Saskaņā ar APPIHAO 49. pantu MIC“var saņemt ziņojumus par šā likuma piemērošanas statusu” no administratīvo struktūru vadītājiem (ministriem). Minēto pārraudzības funkciju papildina ieguldījums, ko sniedz MIC 51 “vispārējās informācijas centrs” (viens centrs katrā prefektūrā visā Japānā), kuri katru gadu izskata tūkstošiem personu sūdzību (114) (kas, savukārt, var atklāt iespējamus tiesību aktu pārkāpumus). Ja MIC uzskata, ka tas ir nepieciešams minētā likuma izpildes nodrošināšanai, tā var prasīt paskaidrojumu un materiālu iesniegšanu un atzinumu sniegšanu par personas informācijas izmantošanu attiecīgajā administratīvajā struktūrā (APPIHAO 50., 51. pants).

(137)

Papildus ex officio pārraudzībai personām ir arī vairākas iespējas saņemt individuālu tiesisko aizsardzību gan ar neatkarīgu iestāžu (piemēram, prefektūras sabiedriskās drošības komisijas vai PPC), gan Japānas tiesu starpniecību.

(138)

Pirmkārt, attiecībā uz personas informāciju, ko vāc administratīvas struktūras, šīm struktūrām ir pienākums “censties pienācīgi un nekavējoties apstrādāt visas sūdzības”, kuras attiecas uz informācijas turpmāku apstrādi (APPIHAO 48. pants). Lai gan APPIHAO IV nodaļa par individuālām tiesībām nav piemērojama attiecībā uz personas informāciju, kas reģistrēta “dokumentos, kuri attiecas uz tiesas prāvām un konfiscētiem priekšmetiem” (CCP 53-2. panta 2. punkts), un tā attiecas uz kriminālizmeklēšanā savāktu personas informāciju, personas var iesniegt sūdzību, atsaucoties uz vispārējiem datu aizsardzības principiem, piemēram, pienākumu glabāt personas informāciju tikai tad, “ja glabāšana ir nepieciešama [tiesībaizsardzības funkciju] izpildei” (APPIHAO 3. panta 1. punkts).

(139)

Turklāt Policijas likuma 79. pants garantē personām, kam ir bažas par policijas darbinieku “pienākumu izpildi”, tiesības iesniegt sūdzību (kompetentajai) neatkarīgajai prefektūras sabiedriskās drošības komisijai. Komisija “godprātīgi” izskata šādas sūdzības saskaņā ar tiesību aktiem un vietējiem rīkojumiem un rakstiski informē sūdzības iesniedzēju par rezultātiem. Pamatojoties uz savām pilnvarām uzraudzīt un vadīt prefektūras policiju attiecībā uz “personāla amatpārkāpumiem” (Policijas likuma 38. panta 3. punkts un 43-2. panta 1. punkts), tā var prasīt, lai prefektūras policija izmeklē faktus, veic atbilstošus pasākumus, pamatojoties uz šīs izmeklēšanas rezultātu, un ziņo par rezultātiem. Ja komisija uzskata, ka policijas veiktā izmeklēšana nav pietiekama, tā var arī sniegt norādījumus par sūdzības izskatīšanu.

(140)

Lai veicinātu sūdzību izskatīšanu, NPA ir izdevusi “paziņojumu” policijai un prefektūru sabiedriskās drošības komisijām par to, kā pienācīgi izskatīt sūdzības attiecībā uz policijas ierēdņu pienākumu izpildi. Šajā dokumentā NPA nosaka Policijas likuma 79. panta interpretācijas un īstenošanas standartus. Tas cita starpā nosaka, ka prefektūras policijai ir jāizveido “sūdzību izskatīšanas sistēma” un “nekavējoties” jāizskata un jāpaziņo visas sūdzības kompetentajai prefektūras sabiedriskās drošības komisijai. Paziņojumā sūdzības ir definētas kā prasījumi novērst “jebkuru konkrētu kaitējumu, kas radies nelikumīgas vai neatbilstošas rīcības rezultātā” (115) vai labot situāciju, kad “policists, pildot savus pienākumus, nav veicis kādu nepieciešamu darbību” (116), kā arī situāciju, kad ir “iesniegta sūdzība vai izteikta neapmierinātība par to, ka policists neatbilstīgi pildījis savus pienākumus”. Tādējādi sūdzības materiālā piemērošanas joma ir plaši definēta, aptverot arī jebkuru sūdzību par datu nelikumīgu vākšanu, un sūdzības iesniedzējam nav jāpierāda, ka tam nodarīts kaitējums policista darbības rezultātā. Svarīgi, ka paziņojumā ir noteikts, ka (cita starpā) sūdzības sagatavošanai ir jāsniedz palīdzība ārvalstniekiem. Izskatot sūdzību, prefektūru sabiedriskās drošības komisijām ir jānodrošina, ka prefektūras policija pārbauda faktus, īsteno pasākumus “atbilstoši pārbaudes rezultātam” un ziņo par rezultātiem. Ja komisija uzskata, ka pārbaude ir bijusi nepietiekama, tā sniedz norādījumu par sūdzības izskatīšanu, kas prefektūras policijai ir jāievēro. Pamatojoties uz saņemtajiem ziņojumiem un veiktajiem pasākumiem, komisija informē attiecīgo personu, citā starpā norādot pasākumus, kas veikti, lai izvērtētu sūdzību. NPA paziņojumā uzsver, ka sūdzības būtu jāizskata “godīgi” un ka rezultāts būtu jāpaziņo “termiņā (…), ko uzskata par atbilstošu, ņemot vērā sociālās normas un veselo saprātu”.

(141)

Otrkārt, ņemot vērā to, ka tiesiskā aizsardzība parasti būs jāprasa citas valsts tiesību sistēmā un svešvalodā, nolūkā atvieglot tiesiskās aizsardzības iespējas ES iedzīvotājiem, kuru personas datus nosūta uzņēmējiem Japānā un tad tiem piekļūst publiskās iestādes, Japānas valdība ir izmantojusi savas pilnvaras izveidot tādu īpašu mehānismu sūdzību izskatīšanai un atrisināšanai šajā jomā, ko pārvalda un uzrauga PPC. Minētā mehānisma pamatā ir sadarbošanās pienākums, kas Japānas publiskajām iestādēm noteikts ar APPI, un PPC īpašā loma attiecībā uz datu starptautisku nosūtīšanu no trešām valstīm atbilstoši APPI 6. pantam un pamatpolitikai (kā Japānas valdība noteikusi ar Ministru kabineta rīkojumu). Šis mehānisms sīkāk ir aprakstīts oficiālajā oficiālajos apliecinājumos, garantijās un saistībās, kas saņemtas no Japānas valdības un pievienots šim lēmumam kā II pielikums. Uz mehānismu neattiecas nekādas locus standi prasības, un to var izmantot ikviena persona neatkarīgi no tā, vai viņa tiek turēta aizdomās vai apsūdzēta par noziedzīga nodarījuma izdarīšanu.

(142)

Saskaņā ar mehānismu, ja personai ir aizdomas, ka viņas personas datus, kas nosūtīti no Eiropas Savienības, ir vākušas vai izmantojušas publiskās iestādes Japānā (tostarp iestādes, kuras atbild par krimināltiesību aizsardzību), pārkāpjot piemērojamos noteikumus, šāda persona var iesniegt sūdzību PPC (individuāli vai ar savas datu aizsardzības iestādes Vispārīgās datu aizsardzības regulas (VDAR) 51. panta nozīmē starpniecību). PPC ir pienākums izskatīt sūdzību un vispirms informēt par to kompetentās publiskās iestādes, tostarp attiecīgās pārraudzības struktūras. Minētajām iestādēm ir jāsadarbojas ar PPC, “cita starpā sniedzot nepieciešamo informāciju un iesniedzot nepieciešamos materiālus, lai PPC varētu izvērtēt, vai personas informācijas vākšana un vēlāka izmantošana ir notikusi atbilstoši piemērojamiem noteikumiem” (117). Šo pienākumu, kas atvasināts no APPI 80. panta (kurā iekļauta prasība Japānas publiskajām iestādēm sadarboties ar PPC), piemēro vispārīgi un tādējādi plašāk attiecina uz visām šādu iestāžu veiktām izmeklēšanas darbībām, turklāt šīs iestādes ir apņēmušās šādi sadarboties, kompetento ministriju un aģentūru vadītājiem sniedzot rakstisku apliecinājumu, kā tas atspoguļots II pielikumā.

(143)

Ja izvērtējums liecina, ka ir noticis piemērojamo noteikumu pārkāpums, tad “attiecīgo publisko iestāžu sadarbība ar PPC ietver pienākumu novērst pārkāpumu”, un personas informācijas nelikumīgas vākšanas gadījumā tas ietver arī šādu datu dzēšanu. Svarīgi ir tas, ka šā pienākuma izpildi uzrauga PPC, kas “pirms izvērtējuma noslēgšanas apstiprina, ka pārkāpums ir pilnībā novērsts”.

(144)

Kad izvērtējums ir noslēgts, PPC saprātīgā termiņā informē attiecīgo personu par izvērtējuma rezultātu, attiecīgā gadījumā norādot arī visus veiktos korektīvos pasākumus. Tajā pašā laikā PPC arī informē personu par iespēju prasīt, lai kompetentā publiskā iestāde apstiprina rezultātu, un tās iestādes identitāti, kurai būtu jāiesniedz šāds apstiprināšanas pieprasījums. Iespēja saņemt šādu apstiprinājumu, tostarp informāciju par kompetentās iestādes lēmuma pamatā esošajiem apsvērumiem, var būt noderīga attiecīgajai personai jebkādu turpmāku darbību veikšanā, tostarp tiesiskās aizsardzības pieprasīšanas gadījumā. Sīkas informācijas sniegšana par izvērtējuma rezultātu var būt ierobežota, kamēr vien ir pamatoti iemesli uzskatīt, ka šādas informācijas paziņošana varētu apdraudēt notiekošo izmeklēšanu.

(145)

Treškārt, ja persona nepiekrīt tiesneša pieņemtajam konfiskācijas lēmumam (orderim) (118) attiecībā uz viņas personas datiem vai policijas vai prokuratūras pasākumiem šāda lēmuma izpildei, viņa var iesniegt prasību par šāda lēmuma vai pasākumu atcelšanu vai mainīšanu (CCP 429. panta 1. punkts un 430. panta 1., 2. punkts, Sarunu noklausīšanās likuma 26. pants) (119). Ja tiesa, kas veic pārskatīšanu, uzskata, ka orderis vai tā izpilde (“konfiskācijas procedūra”) ir nelikumīgi, tā apmierina prasību un liek atgriezt konfiscētos priekšmetus (120).

(146)

Ceturtkārt, ir mazāk tiešs tiesas īstenotas pārskatīšanas veids, proti, ja persona uzskata, ka viņas personas informācijas vākšana kriminālizmeklēšanā ir bijusi nelikumīga, viņa krimināltiesas prāvā var atsaukties uz šo nelikumību. Ja tiesa piekrīt, pierādījumi tiek noraidīti kā nepieņemami.

(147)

Visbeidzot, saskaņā ar Valsts tiesiskās aizsardzības līdzekļu likuma 1. panta 1. punktu tiesa var apstiprināt kompensācijas piešķiršanu, ja valsts amatpersona, kura īsteno valsts varu, savu pienākumu izpildē ir nelikumīgi (tīši vai nolaidības pēc) izraisījusi kaitējumu attiecīgajai personai. Saskaņā ar Valsts tiesiskās aizsardzības līdzekļu likuma 4. pantu valsts atbildība par kaitējumu ir balstīta uz Civilkodeksa noteikumiem. Šajā saistībā Civilkodeksa 710. pants paredz, ka atbildība attiecas arī uz citu kaitējumu, kas nav saistīts ar īpašumu, tātad arī uz morālu kaitējumu (piemēram, kaitējumu “garīgu ciešanu” veidā). Tas ietver gadījumus, kad ir notikusi personas privātuma aizskaršana, nelikumīgi uzraugot un/vai vācot personas informāciju (piem., ordera nelikumīga izpilde) (121).

(148)

Papildus naudas kompensācijai personas konkrētos apstākļos var arī saņemt tiesas priekšrakstu (piem., par publisku iestāžu savākto personas datu dzēšanu), pamatojoties uz savām tiesībām uz privātumu atbilstoši Konstitūcijas 13. pantam (122).

(149)

Ievērojot visas minētās tiesiskās aizsardzības iespējas, Japānas valdības izveidotais strīdu izšķiršanas mehānisms nosaka, ka persona, kura joprojām nav apmierināta ar procedūras iznākumu, var vērsties pie PPC, “kas informē personu par dažādajām iespējām un precīzu kārtību tiesiskās aizsardzības līdzekļu izmantošanai atbilstoši Japānas normatīvajiem aktiem”. Turklāt PPC“sniedz personai atbalstu, kas ietver arī konsultācijas un palīdzību jebkādu turpmāku prasību celšanā attiecīgajai administratīvajai vai tiesu iestādei”.

(150)

Tas ietver procesuālo tiesību izmantošanu atbilstoši Kriminālprocesa kodeksam. Piemēram, “[j]a izvērtēšanā tiek konstatēts, ka attiecīgā persona ir aizdomās turētā persona krimināllietā, PPC informē personu par šo faktu” (123), kā arī par iespēju atbilstoši CCP 259. pantam prasīt, lai prokuratūra viņu informē, kad tā ir nolēmusi nesākt kriminālprocesu. Arī tad, ja izvērtējumā tiek konstatēts, ka ir ierosināta lieta saistībā ar attiecīgās personas informāciju un ka tā ir slēgta, PPC informē attiecīgo personu, ka lietas materiālus var izskatīt atbilstoši CCP 53. pantam (un Likuma par galīgo krimināllietu uzskaiti 4. pantam). Personas iespēja piekļūt savai lietai ir svarīga, jo tā palīdz personai labāk izprast pret viņu vērsto izmeklēšanu un tādējādi sagatavoties iespējamai tiesas prāvai (piem., prasībai par zaudējumu atlīdzināšanu) gadījumā, kad persona uzskata, ka viņas dati ir savākti vai izmantoti nelikumīgi.

(151)

Kā norādījušas Japānas iestādes, Japānā nav tiesību aktu, kas atļauj pieprasīt informācijas sniegšanu piespiedu kārtā vai “administratīvu sarunu noklausīšanos” ārpus kriminālizmeklēšanas. Tādējādi, pamatojoties uz valsts drošības apsvērumiem, informāciju var iegūt tikai no informācijas avota, kas ir brīvi pieejams ikvienam, vai ja informācija tiek izpausta brīvprātīgi. Uzņēmējiem, kas saņem pieprasījumu brīvprātīgi sadarboties (izpaužot elektronisku informāciju), nav juridiska pienākuma sniegt šādu informāciju (124).

(152)

Tāpat saskaņā ar saņemto informāciju tikai četras valdības struktūras ir pilnvarotas vākt Japānas uzņēmēju rīcībā esošu elektronisku informāciju, pamatojoties uz valsts drošības apsvērumiem, un tās ir i) Ministru kabineta Izlūkošanas un izpētes birojs (CIRO); ii) Aizsardzības ministrija (MOD); iii) policija (Valsts policijas aģentūra (NPA) (125) un prefektūras policija), un iv) Sabiedriskās drošības izlūkošanas aģentūra (PSIA). Tomēr CIRO nekad nevāc informāciju tieši no uzņēmējiem, arī ne pārtverot sakarus. Gadījumos, kad birojs saņem informāciju no citām valdības iestādēm, lai sniegtu analīzi Ministru kabinetam, šīm citām iestādēm savukārt ir jāievēro tiesību akti, tai skaitā šajā lēmumā analizētie ierobežojumi un aizsardzības pasākumi. Tādējādi biroja darbībām nav nozīmes datu nosūtīšanas kontekstā.

(153)

Kā liecina saņemtā informācija, MOD vāc (elektronisku) informāciju, pamatojoties uz MOD dibināšanas likumu. Atbilstoši tā 3. pantam MOD uzdevums ir pārvaldīt un vadīt militāros spēkus un “vadīt ar to saistītās lietas, lai nodrošinātu mieru valstī un tās neatkarību un visas tautas drošību”. Likuma 4. panta 4. punkts nosaka, ka MOD ir piekritība attiecībā uz “aizsardzību un apsardzi”, pašaizsardzības spēku veicamajām darbībām, kā arī militāro spēku izvietošanu, tostarp šo lietu vadīšanai nepieciešamās informācijas vākšanu. MOD ir pilnvaras vākt (elektronisku) informāciju no uzņēmējiem tikai tad, ja sadarbība ir brīvprātīga.

(154)

Attiecībā uz prefektūras policiju – tās pienākumos un uzdevumos ietilpst “sabiedriskās drošības un kārtības uzturēšana” (35. panta 2. punkts saistībā ar Policijas likuma 2. panta 1. punktu). Šajā piekritības jomā policija var vākt informāciju, bet tikai tad, ja tā tiek sniegta brīvprātīgi, neizmantojot tiesisku spēka. Turklāt policijas darbības ir “stingri ierobežotas” tādā apmērā, kāds ir nepieciešams tās pienākumu pildīšanai. Turklāt tā rīkojas “objektīvi, neatkarīgi, bez aizspriedumiem un godīgi” un nekad ļaunprātīgi neizmanto savas pilnvaras, “kaitējot Japānas Konstitūcijā garantētajām personas tiesībām un brīvībām” (Policijas likuma 2. pants).

(155)

Visbeidzot, PSIA var veikt izmeklēšanu saskaņā ar Kaitniecisku darbību novēršanas likumu (“SAPA”) un Likumu par to organizāciju kontroli, kuras veikušas neselektīvas masu slepkavības (“ACO”), ja šāda izmeklēšana ir nepieciešama, lai sagatavotos kontroles pasākumu pieņemšanai pret konkrētām organizācijām (126). Saskaņā ar abiem minētajiem likumiem pēc PSIA ģenerāldirektora pieprasījuma Sabiedriskās drošības izvērtēšanas komisija var izdot konkrētus “rīkojumus” (uzraudzība/aizliegumi ACO gadījumā (127), likvidācija/aizliegumi SAPA gadījumā (128)), un šajā saistībā PSIA var veikt izmeklēšanu (129). Saskaņā ar saņemto informāciju šādu izmeklēšanu vienmēr veic brīvprātīgi, kas nozīmē, ka PSIA nedrīkst piespiest personas informācijas īpašnieku sniegt šādu informāciju (130). Visas kontroles un izmeklēšanas vienmēr veic tikai tādā apjomā, kāds nepieciešams, lai sasniegtu kontroles mērķi, un to nekādos apstākļos neveic, lai “nepamatoti” ierobežotu ar Japānas Konstitūciju garantētās tiesības un brīvības (SAPA/ACO 3. panta 1. punkts). Turklāt saskaņā ar SAPA/ACO 3. panta 2. punktu PSIA nekādos apstākļos nedrīkst ļaunprātīgi izmantot šādu kontroli vai izmeklēšanu, ko īsteno, lai sagatavotos šādai kontrolei. Ja Sabiedriskās drošības izlūkošanas aģentūras darbinieks ļaunprātīgi izmanto savas pilnvaras, kuras tam nodrošina attiecīgais likums, liekot personai darīt ko tādu, ko tai nav pienākums darīt, vai iejaucoties personas tiesību īstenošanā, attiecīgajam darbiniekam var piemērot kriminālsodu atbilstoši SAPA 45. pantam vai ACO 42. un 43. pantam. Visbeidzot, abi likumi skaidri paredz, ka to noteikumi, tostarp ar tiem piešķirtās pilnvaras, nekādā gadījumā nav interpretējami plaši (SAPA/ACO 2. pants).

(156)

Visos gadījumos, kad valdība piekļūst informācijai, pamatojoties uz valsts drošības apsvērumiem, kā aprakstīts šajā iedaļā, ir piemērojami Japānas Augstākās tiesas noteiktie ierobežojumi attiecībā uz brīvprātīgu izmeklēšanu, kas nozīmē, ka (elektroniskās) informācijas vākšanai jānotiek atbilstoši nepieciešamības un samērīguma principiem (“atbilstoša metode”) (131). Japānas iestādes ir skaidri apliecinājušas, ka “informācijas vākšana un apstrāde notiek tikai tādā apmērā, kāds nepieciešams kompetentās publiskās iestādes konkrēto uzdevumu veikšanai, kā arī konkrētu draudu gadījumā”. Tādējādi “netiek pieļauta persona informācijas masveida un nediferencēta vākšana vai šāda piekļuve tai valsts drošības apsvērumu dēļ” (132).

(157)

Turklāt pēc tās savākšanas uz jebkuru personas informāciju, ko glabā publiskās iestādes valsts drošības nolūkos, attiecas APPIHAO un tajā paredzētie aizsardzības līdzekļi, ciktāl runa ir par šādas informācijas turpmāku glabāšanu, izmantošanu un izpaušanu (sk. 118. apsvērumu).

(158)

Personas informācijas vākšanai valsts drošības nolūkos piemēro vairāklīmeņu pārraudzību, ko īsteno trīs valdības struktūras.

(159)

Pirmkārt, Japānas Parlaments ar savu specializēto komiteju starpniecību var izvērtēt izmeklēšanas likumību, pamatojoties uz savām parlamentārās uzraudzības pilnvarām (Konstitūcijas 62. pants, Parlamenta likuma 104. pants; sk. 134. apsvērumu). Šīs pārraudzības funkcijas papildina īpaši pienākumi ziņot par darbībām, kas tiek īstenotas, pamatojoties uz kādu no iepriekš minētajiem juridiskajiem pamatiem (133).

(160)

Otrkārt, pastāv vairāki pārraudzības mehānismi izpildvaras jomā.

(161)

Attiecībā uz MOD pārraudzību īsteno Juridiskās atbilstības ģenerālinspektora birojs (IGO) (134), kas, pamatojoties uz MOD dibināšanas likuma 29. pantu, izveidots kā MOD birojs aizsardzības ministra (kuram tas ziņo) pārraudzībā, bet ir neatkarīgs no MOD operatīvajiem departamentiem. IGO uzdevums ir nodrošināt atbilstību normatīvajiem aktiem, kā arī MOD amatpersonu pienākumu pienācīgu izpildi. Tā pilnvarās ietilpst tā dēvēto aizsardzības pārbaužu veikšana gan ar regulāriem intervāliem (“regulārās aizsardzības pārbaudes”), gan individuālos gadījumos (“īpašās aizsardzības pārbaudes”), kas līdz šim ir attiecinātas arī uz personas informācijas pienācīgu izmantošanu (135). Veicot šādas pārbaudes, IGO var iekļūt telpās (birojos) un prasīt, lai tiek sniegti dokumenti vai informācija, tostarp MOD ministra vietnieka paskaidrojumi. Pārbaudi noslēdz ar ziņojumu aizsardzības ministram, kurā izklāsta konstatējumus un pasākumus uzlabojumu veikšanai (kuru īstenošanu, savukārt, var pārbaudīt turpmākās pārbaudēs). Ziņojums savukārt ir pamats aizsardzības ministra rīkojumiem īstenot pasākumus, kas nepieciešami situācijas risināšanai; ministra vietniekam ir uzticēta šādu pasākumu īstenošana, un viņam ir jāziņo par turpmākajiem pasākumiem.

(162)

Runājot par prefektūras policiju – pārraudzību nodrošina neatkarīgās prefektūru sabiedriskās drošības komisijas, kā paskaidrots 135. apsvērumā attiecībā uz krimināltiesību aizsardzību.

(163)

Visbeidzot, kā norādīts, PSIA var veikt izmeklēšanu tikai tādā apmērā, kādā tas ir nepieciešams attiecībā uz aizlieguma, likvidācijas vai uzraudzības rīkojuma pieņemšanu saskaņā ar SAPA/ACO, un attiecībā uz šiem rīkojumiem neatkarīgā (136) Sabiedriskās drošības izvērtēšanas komisija īsteno ex ante pārraudzību. Turklāt regulāras/periodiskas pārbaudes (kurās vispusīgi izvērtē PSIA darbības) (137) un īpašas iekšējās pārbaudes (138) par individuālu departamentu/darbinieku darbībām utt. veic īpaši norīkoti inspektori, un, pamatojoties uz šādām pārbaudēm, var tikt sniegti norādījumi attiecīgo departamentu u. c. vadītājiem korektīvu pasākumu vai uzlabojumu veikšanai.

(164)

Šie pārraudzības mehānismi, kurus papildina personām pieejamā iespēja prasīt PPC kā neatkarīgas uzraudzības iestādes iejaukšanos (sk. 168. apsvērumu turpmāk), sniedz pietiekamas garantijas pret Japānas iestāžu pilnvaru ļaunprātīgu izmantošanu valsts drošības jomā un pret jebkādu personas informācijas nelikumīgu vākšanu.

(165)

Kas attiecas uz individuālu tiesisko aizsardzību – attiecībā uz personas informāciju, ko vāc un “glabā” administratīvas struktūras, šīm struktūrām ir pienākums “censties pienācīgi un nekavējoties apstrādāt visas sūdzības”, kuras attiecas uz apstrādi (APPIHAO 48. pants).

(166)

Turklāt – atšķirībā no kriminālizmeklēšanas – personām (tostarp ārvalstniekiem, kuri dzīvo citās valstīs) principā ir tiesības prasīt to informācijas izpaušanu (139), labošanu (arī dzēšanu) un izmantošanas/sniegšanas pārtraukšanu atbilstoši APPIHAO. Šajā saistībā administratīvās struktūras vadītājs var atteikties izpaust informāciju, “attiecībā uz kuru ir pamatoti iemesli (…) secināt, ka izpaušana varētu radīt kaitējumu valsts drošībai” (APPIHAO 14. panta iv) punkts), un viņš var atteikties izpaust informāciju, pat neatklājot šādas informācijas esību (APPIHAO 17. pants). Tāpat, lai gan persona var pieprasīt informācijas izmantošanas pārtraukšanu vai dzēšanu atbilstoši APPIHAO 36. panta 1. punkta i) apakšpunktam gadījumā, kad administratīvā struktūra ir nelikumīgi ieguvusi informāciju vai to glabā/izmanto, pārsniedzot to, kas ir nepieciešams konkrētā mērķa sasniegšanai, iestāde var noraidīt pieprasījumu, ja tā konstatē, ka izmantošanas pārtraukšana var traucēt pienācīgi īstenot lietas, kas saistītas ar glabātās personas informācijas izmantošanas nolūku, ņemot vērā minēto lietu raksturu (APPIHAO 38. pants). Tomēr, ja ir iespējams viegli nošķirt un izslēgt daļas, kam piemēro izņēmumu, administratīvajām struktūrām ir pienākums atļaut vismaz daļēju izpaušanu (sk., piem., APPIHAO 15. panta 1. punktu) (140).

(167)

Jebkurā gadījumā administratīvajai struktūrai ir jāpieņem rakstisks lēmums noteiktā termiņā (30 dienās, ko konkrētos apstākļos var pagarināt vēl par 30 dienām). Ja pieprasījums tiek noraidīts vai apmierināts tikai daļēji, vai ja persona citu iemeslu dēļ uzskata administratīvās struktūras darbību par “nelikumīgu vai nepamatotu”, persona var prasīt administratīvu pārskatīšanu, pamatojoties uz Administratīvās pārsūdzības likumu (141). Šādā gadījumā administratīvās struktūras vadītājs, lemjot par pārsūdzību, apspriežas ar Informācijas izpaušanas un personas informācijas aizsardzības izvērtēšanas padomi (APPIHAO 42. un 43. pants), kas ir specializēta neatkarīga padome, kuras locekļus ieceļ premjerministrs ar abu Parlamenta palātu piekrišanu. Kā liecina saņemtā informācija, Izvērtēšanas padome var veikt pārbaudi (142) un šajā saistībā prasīt, lai administratīvā struktūra sniedz glabāto personas informāciju, tostarp jebkādu klasificētu saturu, kā arī iesniedz papildu informāciju un dokumentus. Lai gan galīgais ziņojums, ko nosūta sūdzības iesniedzējam un arī administratīvajai struktūrai un ko publisko, nav juridiski saistošs, to gandrīz visos gadījumos ņem vērā turpmākā rīcībā (143). Turklāt attiecīgajai personai ir iespēja apstrīdēt pārsūdzības lēmumu tiesā, pamatojoties uz Administratīvo lietu iztiesāšanas likumu. Tādējādi ir iespējama tiesas kontrole pār to, kā tiek piemērots(-ti) izņēmums(-i) attiecībā uz valsts drošību, un arī pār to, vai šāda izņēmuma izmantošana ir bijusi ļaunprātīga vai pamatota.

(168)

Lai veicinātu iepriekš minēto tiesību īstenošanu atbilstoši APPIHAO, MIC ir izveidojusi 51 “vispārējās informācijas centru”, kas sniedz apkopotu informāciju par šīm tiesībām, piemērojamām procedūrām prasības iesniegšanai un iespējām izmantot tiesiskās aizsardzības līdzekļus (144). Attiecībā uz administratīvajām struktūrām – tām ir pienākums sniegt “informāciju, kas palīdz identificēt glabāto personas informāciju, kura ir turējumā” (145), un veikt “citus atbilstošus pasākumus, ņemot vērā tās personas ērtības, kura plāno iesniegt pieprasījumu” (APPIHAO 47. panta 1. punkts).

(169)

Tāpat kā tas ir attiecībā uz izmeklēšanu krimināltiesību aizsardzības jomā, arī valsts drošības jomā personas var saņemt individuālu tiesisko aizsardzību, tieši sazinoties ar PPC. Tādējādi tiek ierosināta īpašā strīdu izšķiršanas procedūra, ko Japānas valdība izveidojusi ES personām, kuru personas dati tiek nosūtīti atbilstoši šim lēmumam (sīkākus skaidrojumus skatīt 141.–144. un 149. apsvērumā).

(170)

Turklāt personas var prasīt tiesisko aizsardzību, iesniedzot prasību par zaudējumu atlīdzināšanu atbilstoši Valsts tiesiskās aizsardzības līdzekļu likumam, kas attiecas arī uz morālu kaitējumu un konkrētos gadījumos uz savākto datu dzēšanu (sk. 147. apsvērumu).

(171)

Komisija uzskata, ka APPI, ko papildina I pielikumā ietvertie Papildu noteikumi, kopā ar II pielikumā ietvertajiem oficiālajiem apliecinājumiem, garantijām un saistībām nodrošina no Eiropas Savienības nosūtīto personas datu aizsardzības līmeni, kas pēc būtības ir līdzvērtīgs tam, kādu garantē Regula (ES) 2016/679.

(172)

Komisija arī uzskata, ka kopumā pārraudzības mehānismi un tiesiskās aizsardzības iespējas, kas paredzētas Japānas tiesību aktos, ļauj apzināt saņēmēju PIHBO pārkāpumus un piemērot praksē attiecīgus sodus, kā arī sniedz datu subjektam tiesisko aizsardzību, ļaujot piekļūt viņa personas datiem un visbeidzot – šādu datu labošanu vai dzēšanu.

(173)

Visbeidzot, pamatojoties uz pieejamo informāciju par Japānas tiesisko kārtību, tostarp II pielikumā ietvertajiem Japānas valdības apliecinājumiem, garantijām un saistībām, Komisija uzskata, ka jebkāda iejaukšanās to personu pamattiesībās, kuru personas datus Japānas publiskās iestādes sabiedrisko interešu nolūkos un jo īpaši krimināltiesību aizsardzības un valsts drošības nolūkos nosūta no Eiropas Savienības uz Japānu, tiks ierobežota tādā apmērā, kāds ir absolūti nepieciešams attiecīgā leģitīmā mērķa sasniegšanai, un ka pastāv efektīva tiesiskā aizsardzība pret šādu iejaukšanos.

(174)

Tāpēc, ņemot vērā šajā lēmumā izdarītos konstatējumus, Komisija uzskata, ka Japāna nodrošina to personas datu pietiekamu aizsardzības līmeni, kurus nosūta no Eiropas Savienības PIHBO Japānā, kam piemēro APPI, izņemot gadījumus, kad saņēmējs pieder pie vienas no APPI 76. panta 1. punktā uzskaitītajām kategorijām un ja visi apstrādes nolūki vai kāda to daļa atbilst kādam no minētajā noteikumā paredzētajiem nolūkiem.

(175)

Ņemot vērā iepriekš izklāstīto, Komisija secina, ka ir izpildīts aizsardzības līmeņa pietiekamības standarts, kas noteikts Regulas (ES) 2016/679 45. pantā, to interpretējot atbilstoši Eiropas Savienības Pamattiesību hartai jo īpaši spriedumā Schrems lietā (146).

(176)

Saskaņā ar Eiropas Savienības Tiesas judikatūru (147) un kā atzīts Regulas (ES) 2016/679 45. panta 4. punktā, Komisijai pēc lēmuma par aizsardzības līmeņa pietiekamību pieņemšanas būtu pastāvīgi jāuzrauga norises attiecīgajā trešā valstī, lai novērtētu, vai Japāna joprojām nodrošina pēc būtības līdzvērtīgu aizsardzības līmeni. Vajadzība pēc šāda vērtējuma katrā ziņā rodas, ja Komisija saņem informāciju, kura rada šaubas par to.

(177)

Tāpēc Komisijai būtu pastāvīgi jāuzrauga situācija attiecībā uz personas datu apstrādes tiesisko regulējumu un faktisko praksi, kas novērtēta šajā lēmumā, tostarp tas, kā Japānas iestādes izpilda II pielikumā ietvertos apliecinājumus, garantijas un saistības. Lai atvieglotu šo procesu, no Japānas iestādēm tiek gaidīts, ka tās informēs Komisiju par būtiskām norisēm saistībā ar šo lēmumu – gan attiecībā uz personas datu apstrādi, ko veic uzņēmēji, gan attiecībā uz ierobežojumiem un garantijām, kuras piemērojamas, kad publiskās iestādes piekļūst personas datiem. Tam vajadzētu ietvert visus lēmumus, kurus PPC ir pieņēmusi saskaņā ar APPI 24. pantu, atzīstot trešo valsti par tādu, kas nodrošina Japānā garantētajam aizsardzības līmenim līdzvērtīgu aizsardzības līmeni.

(178)

Turklāt, lai Komisija varētu efektīvi pildīt savu uzraudzības funkciju, dalībvalstīm būtu jāinformē Komisija par visām būtiskajām darbībām, ko veikušas valstu datu aizsardzības iestādes (“DPA”), jo īpaši attiecībā uz ES datu subjektu vaicājumiem un sūdzībām par personas datu nosūtīšanu no Eiropas Savienības uzņēmējiem Japānā. Komisiju vajadzētu informēt arī par visām pazīmēm, kas liecina, ka darbības, kuras veic Japānas publiskās iestādes, kas atbild par noziedzīgu nodarījumu novēršanu, izmeklēšanu, atklāšanu vai kriminālvajāšanu vai par valsts drošību, tostarp jebkādas pārraudzības struktūras, nenodrošina vajadzīgo aizsardzības līmeni.

(179)

Dalībvalstīm un to struktūrām ir pienākums veikt nepieciešamos pasākumus, lai izpildītu Savienības iestāžu tiesību aktus, jo tie tiek uzskatīti par likumīgiem un attiecīgi paredz tiesiskās sekas līdz brīdim, kad tiek atcelti, anulēti saskaņā ar prasību atcelt tiesību aktu vai pasludināti par spēkā neesošiem pēc lūguma sniegt prejudiciālu nolēmumu vai iebildes par prettiesiskumu. Tādējādi lēmums par aizsardzības līmeņa pietiekamību, ko Komisija pieņēmusi saskaņā ar Regulas (ES) 2016/679 45. panta 3. punktu, ir saistošs visām dalībvalstu struktūrām, kurām tas adresēts, tostarp to neatkarīgajām uzraudzības iestādēm. Tajā pašā laikā, kā Eiropas Savienības Tiesa paskaidrojusi spriedumā Schrems lietā (148) un kā atzīts minētās regulas 58. panta 5. punktā, ja DPA, tai skaitā pamatojoties uz iesniegtu sūdzību, apšauba Komisijas pieņemtā lēmuma par aizsardzības līmeņa pietiekamību saderība ar personas pamattiesībām uz privātumu un datu aizsardzību, valsts tiesībās ir jābūt paredzētai tiesiskajai aizsardzībai, lai DPA šos iebildumus varētu virzītu izskatīšanai valsts tiesā, kas šaubu gadījumā var apturēt tiesvedību un vērsties Eiropas Savienības Tiesā ar lūgumu sniegt prejudiciālu nolēmumu (149).

(180)

Piemērojot Regulas (ES) 2016/679 45. panta 3. punktu (150) un ņemot vērā faktu, ka ar Japānas tiesību sistēmu nodrošinātais aizsardzības līmenis var mainīties, Komisijai pēc šā lēmuma pieņemšanas būtu periodiski jāpārbauda, vai konstatējumi par Japānas nodrošinātā aizsardzības līmeņa pietiekamību joprojām ir faktiski un juridiski pamatoti.

(181)

Tālab šis lēmums būtu pirmo reizi jāpārskata divu gadu laikā pēc tā stāšanās spēkā. Pēc pirmās pārskatīšanas un atkarībā no tās rezultātiem Komisija ciešā sadarbībā ar komiteju, kas izveidota saskaņā ar VDAR 93. panta 1. punktu, pieņems lēmumu par to, vai būtu jāsaglabā divu gadu cikls. Jebkurā gadījumā turpmākās pārskatīšanas būtu jāveic vismaz reizi četros gados (151). Pārskatīšanā būtu jāiekļauj visi šā lēmuma darbības aspekti un jo īpaši Papildu noteikumu piemērošana (īpašu uzmanību pievēršot pieejamiem aizsardzības pasākumiem datu tālākas nosūtīšanas gadījumā), noteikumu par piekrišanu piemērošana, ieskaitot piekrišanas atsaukšanu, personas tiesību īstenošanas efektivitāte, kā arī ierobežojumi un garantijas attiecībā uz valdības piekļuvi, tostarp šā lēmuma II pielikumā izklāstītais tiesiskās aizsardzības mehānisms. Tajā būtu arī jāapskata, cik efektīvi tiek pārraudzīti un izpildīti noteikumi, kas piemērojami gan PIHBO, gan krimināltiesību aizsardzības un valsts drošības jomā.

(182)

Lai veiktu pārskatīšanu, Komisijai būtu jātiekas ar PPC un vajadzības gadījumā arī ar citām Japānas iestādēm, kas atbild par valdības piekļuvi datiem, tostarp ar attiecīgām pārraudzības struktūrām. Būtu jānodrošina iespēja arī Eiropas Datu aizsardzības kolēģijas (EDPB) pārstāvjiem apmeklēt šādas sanāksmes. Kopīgas pārskatīšanas ietvaros Komisijai būtu jāprasa, lai PPC sniedz vispusīgu informāciju par visiem aspektiem, kas ir būtiski konstatējumam par aizsardzības lēmuma pietiekamību, tostarp par ierobežojumiem un garantijām attiecībā uz valdības piekļuvi datiem (152). Komisijai arī būtu jāprasa paskaidrojumi par jebkuru informāciju, kas ir būtiska šim lēmumam un ko tā saņēmusi, tostarp publiskiem ziņojumiem no Japānas iestādēm vai citām ieinteresētajām personām Japānā, EDPB, individuālām DPA, pilsoniskās sabiedrības grupām, plašsaziņas līdzekļu ziņojumiem vai jebkuru citu pieejamu informācijas avotu.

(183)

Pamatojoties uz kopīgu pārskatīšanu, Komisijai būtu jāsagatavo publisks ziņojums, kas jāiesniedz Eiropas Parlamentam un Padomei.

(184)

Ja, pamatojoties uz regulārajām un ad hoc pārbaudēm vai jebkādu citu pieejamo informāciju, Komisija secina, ka Japānas tiesiskās kārtības nodrošināto aizsardzības līmeni vairs nevar uzskatīt par tādu, kas ir pēc būtības līdzvērtīgs Eiropas Savienībā nodrošinātajam, tai būtu jāinformē kompetentās Japānas iestādes par to un jāprasa, lai noteiktā, pamatotā termiņā tiek veikti atbilstoši pasākumi. Tas ietver noteikumus, kas piemērojami gan uzņēmējiem, gan Japānas iestādēm, kuras atbild par krimināltiesību aizsardzību vai valsts drošību. Piemēram, šāda procedūra tiktu sākta gadījumos, kad tālāka nosūtīšana, ieskaitot to, kura veikta, pamatojoties uz PPC pieņemtajiem lēmumiem saskaņā ar APPI 24. pantu par trešās valsts atzīšanu par tādu, kas nodrošina Japānā garantētajam aizsardzības līmenim līdzvērtīgu aizsardzības līmeni, vairs netiks veikta saskaņā ar aizsardzības pasākumiem, kuri nodrošina aizsardzības nepārtrauktību VDAR 44. panta nozīmē.

(185)

Ja pēc noteiktā termiņa Japānas kompetentās iestādes nevar apmierinoši pierādīt, ka šā lēmuma pamatā joprojām ir pietiekams aizsardzības līmenis, Komisijai, piemērojot Regulas (ES) 2016/679 45. panta 5. punktu, būtu jāsāk procedūra šā lēmuma daļējai vai pilnīgai apturēšanai vai atcelšanai. Alternatīvi Komisijai būtu jāsāk procedūra šā lēmuma grozīšanai, jo īpaši datu nosūtīšanai piemērojot piemēro papildu nosacījumus vai ierobežojot konstatējuma par aizsardzības līmeņa pietiekamību tvērumu tikai attiecībā uz tādu datu nosūtīšanu, kurai tiek nodrošināta aizsardzības nepārtrauktību VDAR 44. panta nozīmē.

(186)

Komisijai būtu jāsāk apturēšanas vai atcelšanas procedūra jo īpaši gadījumā, kad ir pazīmes, ka uzņēmēji, kas saņem personas datus atbilstoši šim lēmumam, neievēro I pielikumā ietvertos Papildu noteikumus un/vai ka netiek nenodrošināta to efektīva izpilde, vai ka Japānas iestādes neievēro šā lēmuma II pielikumā ietvertos apliecinājumus, garantijas un saistības.

(187)

Komisijai būtu jāapsver šā lēmuma grozīšanas, apturēšanas vai atcelšanas procedūras sākšana arī gadījumā, ja kopīgās pārskatīšanas kontekstā vai citādi Japānas kompetentās iestādes nesniedz informāciju vai paskaidrojumus, kas nepieciešami, lai novērtētu no Eiropas Savienības uz Japānu nosūtīto personas datu aizsardzības līmeni vai atbilstību šim lēmumam. Šajā saistībā Komisijai būtu jāņem vērā tas, kādā apmērā attiecīgo informāciju var iegūt no citiem avotiem.

(188)

Pienācīgi pamatotos steidzamības gadījumos, piemēram, ja pastāv būtiska datu subjektu tiesību pārkāpuma risks, Komisijai apsvērt iespēju pieņemt lēmumu par šā lēmuma apturēšanu vai atcelšanu nekavējoties, ievērojot Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (153) 93. panta 3. punktu saistībā ar Regulas (ES) Nr. 182/2011 8. pantu.

(189)

Eiropas Datu aizsardzības kolēģija ir publiskojusi savu atzinumu (154), un tas tika ņemts vērā, sagatavojot šo lēmumu.

(190)

Eiropas Parlaments ir pieņēmis rezolūciju par digitālās tirdzniecības stratēģiju, kurā tas aicina Komisiju noteikt par prioritāti un paātrināt lēmumu pieņemšanu par aizsardzības līmeņa pietiekamību kopā ar tirdzniecības partneriem, ievērojot nosacījumus, kas noteikti Regulā (ES) 2016/679, jo tas ir būtisks mehānisms, kurš aizsargā personas datu nosūtīšanu no Eiropas Savienības (155). Arī Eiropas Parlaments ir arī pieņēmis rezolūciju par Japānas nodrošinātās personas datu aizsardzības pietiekamību (156).

(191)

Šajā lēmumā paredzētie pasākumi atbilst atzinumam, ko sniegusi komiteja, kura izveidota saskaņā ar VDAR 93. panta 1. punktu,