19.3.2019 |
NL |
Publicatieblad van de Europese Unie |
L 76/1 |
UITVOERINGSBESLUIT VAN DE COMMISSIE (EU) 2019/419
van 23 januari 2019
overeenkomstig Verordening (EU) 2016/679 van het Europees Parlement en de Raad over de passende bescherming van persoonsgegevens door Japan krachtens de Wet bescherming persoonsinformatie
(Kennisgeving geschied onder nummer C(2019) 304)
(Voor de EER relevante tekst)
DE EUROPESE COMMISSIE,
Gezien het Verdrag betreffende de werking van de Europese Unie,
Gezien Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (1) („AVG”), en met name artikel 45, lid 3,
Na raadpleging van de Europese Toezichthouder voor gegevensbescherming,
1. INLEIDING
(1) |
Bij Verordening (EU) 2016/679 zijn de voorschriften vastgesteld voor de doorgifte van persoonsgegevens door verwerkingsverantwoordelijken of verwerkers in de Europese Unie aan derde landen en internationale organisaties, voor zover die doorgiften onder het toepassingsgebied ervan vallen. De voorschriften inzake internationale doorgiften van persoonsgegevens zijn vastgelegd in hoofdstuk V van die verordening, en met name in de artikelen 44 tot en met 50. Het verkeer van persoonsgegevens naar en vanuit landen buiten de Europese Unie is noodzakelijk voor de uitbreiding van het internationale handelsverkeer en de internationale samenwerking, terwijl zij tegelijkertijd waarborgen dat het niveau van de bescherming van persoonsgegevens in de Europese Unie niet wordt ondermijnd. |
(2) |
Op grond van artikel 45, lid 3, van Verordening (EU) 2016/679 kan de Commissie door middel van een uitvoeringshandeling besluiten dat een derde land, een gebied of één of meerdere nader bepaalde sectoren in een derde land, of een internationale organisatie een passend beschermingsniveau waarborgt. Onder deze voorwaarde kan de doorgifte van persoonsgegevens aan dat derde land of gebied of die sector of internationale organisatie plaatsvinden zonder dat verdere toestemming noodzakelijk is, zoals bepaald in artikel 45, lid 1, en overweging 103 van de verordening. |
(3) |
Zoals bepaald in artikel 45, lid 2, van Verordening (EU) 2016/679 moet de vaststelling van een adequaatheidsbesluit berusten op een grondige analyse van de rechtsorde van het derde land, zowel wat betreft de voorschriften die gelden voor de importeurs van gegevens en de beperkingen en waarborgen, als wat betreft de toegang van overheidsinstanties tot persoonsgegevens. Bij de beoordeling moet worden nagegaan of het betrokken derde land een beschermingsniveau waarborgt dat „in feite overeenkomt” met het niveau dat in de Europese Unie wordt verzekerd (overweging 104 van Verordening (EU) 2016/679). Zoals het Hof van Justitie van de Europese Unie heeft verklaard, is hiervoor niet noodzakelijk dat hetzelfde beschermingsniveau wordt geboden (2). Met name mogen de middelen die het derde land in kwestie tot zijn beschikking heeft, anders zijn dan de middelen die binnen de Europese Unie worden ingezet, zolang zij in de praktijk doeltreffend genoeg blijken om een adequaat beschermingsniveau te bieden (3). De adequaatheidsnorm vereist daarom niet dat de voorschriften van de Unie integraal worden overgenomen. Het gaat er veeleer om of het betreffende buitenlandse systeem als geheel het vereiste beschermingsniveau biedt, door de invulling van het recht op privacy, de doeltreffende toepassing en afdwingbaarheid daarvan en het toezicht dat wordt uitgeoefend (4). |
(4) |
De Commissie heeft het Japanse recht en de Japanse rechtspraktijk zorgvuldig geanalyseerd. Op basis van de bevindingen in de overwegingen 6 tot en met 175 concludeert de Commissie dat Japan een passend beschermingsniveau waarborgt voor persoonsgegevens die worden doorgegeven aan organisaties die onder het toepassingsgebied van de Wet bescherming persoonsinformatie (5) vallen en onderworpen zijn aan de aanvullende voorwaarden waarnaar in dit besluit wordt verwezen. Deze voorwaarden zijn vastgelegd in de aanvullende voorschriften die zijn vastgesteld door de Commissie Bescherming persoonsinformatie (Personal Information Protection Commission, hierna „PPC” genoemd) (6) (zie bijlage I) en de officiële verklaring die de Japanse regering tot de Europese Commissie heeft gericht (zie bijlage II). |
(5) |
Dit besluit heeft tot gevolg dat doorgiften van een verwerkingsverantwoordelijke of verwerker in de Europese Economische Ruimte (EER) (7) aan soortgelijke organisaties in Japan kunnen plaatsvinden zonder dat verdere toestemming noodzakelijk is. Dit besluit heeft geen gevolgen voor de rechtstreekse toepassing van Verordening (EU) 2016/679 op dergelijke organisaties, indien aan de voorwaarden van artikel 3 van die verordening wordt voldaan. |
2. VOORSCHRIFTEN DIE VAN TOEPASSING ZIJN OP DE VERWERKING VAN GEGEVENS DOOR BEDRIJFSEXPLOITANTEN
2.1. Het Japanse kader voor gegevensbescherming
(6) |
Het Japanse rechtsstelsel inzake privacy en gegevensbescherming heeft zijn wortels in de grondwet van 1946. |
(7) |
Artikel 13 van de grondwet luidt: „Alle mensen genieten respect als individu. Het recht op leven, vrijheid en het nastreven van geluk, voor zover dit niet in de weg staat aan het openbare welzijn, heeft de hoogste aandacht in wetgeving en in andere overheidsaangelegenheden.”. |
(8) |
Op grond van dat artikel heeft het Japanse Hooggerechtshof de rechten van het individu wat betreft de bescherming van persoonsinformatie verduidelijkt. Het heeft het recht op privacy en gegevensbescherming in een uitspraak uit 1969 als een grondwettelijk recht erkend (8). Met name oordeelde het Hooggerechtshof dat het eenieder vrij staat zijn persoonsinformatie te beschermen tegen bekendmaking aan derden of openbaarmaking ervan zonder gegronde reden. In een uitspraak van 6 maart 2008 („Juki-Net”) (9) heeft het Hooggerechtshof bovendien geoordeeld dat de vrijheid die burgers genieten in hun persoonlijke levenssfeer moet worden beschermd tegen de uitoefening van het overheidsgezag en dat de opvatting gerechtvaardigd is dat een van de vrijheden die eenieder geniet, het recht inhoudt om de eigen persoonsinformatie te beschermen tegen verstrekking aan derden of openbaarmaking ervan zonder gegronde reden (10). |
(9) |
Op 30 mei 2003 werd in Japan een aantal wetten op het gebied van gegevensbescherming uitgevaardigd:
|
(10) |
De twee laatstgenoemde wetten (in 2016 gewijzigd) bevatten bepalingen voor de bescherming van persoonsinformatie door publiekrechtelijke lichamen. De gegevens waarop die wetten van toepassing zijn, zijn niet onderworpen aan de beoordeling van de adequaatheid in het kader van dit besluit, die beperkt is tot de bescherming van persoonsinformatie door „bedrijfsexploitanten die persoonsinformatie behandelen” (PIHBO's) in de zin van de APPI. |
(11) |
De APPI is recentelijk herzien. De gewijzigde APPI is op 9 september 2015 vastgesteld en op 30 mei 2017 van kracht geworden. De wijzigingen omvatten de invoering van een aantal nieuwe waarborgen en tevens de versterking van bestaande waarborgen waardoor het Japanse gegevensbeschermingsstelsel dichter bij het Europese komt. Onder meer gaat het om een aantal afdwingbare individuele rechten en de oprichting van een onafhankelijke toezichthoudende autoriteit (PPC) die belast is met het toezicht op en de handhaving van de APPI. |
(12) |
Behalve aan de APPI is de verwerking van persoonsinformatie die onder het toepassingsgebied van dit besluit valt, onderworpen aan uitvoeringsbepalingen op basis van de APPI. Dit betreft onder andere een wijziging van het kabinetsdecreet van 5 oktober 2016 betreffende de uitvoering van de Wet bescherming persoonsinformatie en de door de PPC vastgestelde zogenoemde uitvoeringsbepalingen voor de Wet bescherming persoonsinformatie (11). Beide reeksen voorschriften zijn juridisch bindend en afdwingbaar en zijn van kracht geworden op hetzelfde tijdstip als de gewijzigde APPI. |
(13) |
Daarnaast heeft het Japanse kabinet (bestaande uit de premier en de ministers die tot zijn regering behoren) op 28 oktober 2016 een „basisbeleid” uitgevaardigd waarbij maatregelen inzake de bescherming van persoonsinformatie alomvattend en integraal worden bevorderd. Overeenkomstig artikel 7 van de APPI wordt het basisbeleid uitgevaardigd bij kabinetsbesluit en omvat het beleidsrichtsnoeren voor de handhaving van de APPI, gericht tot zowel de nationale overheid als de lokale overheden. |
(14) |
Onlangs heeft de Japanse regering het basisbeleid gewijzigd bij kabinetsbesluit van 12 juni 2018. Om de internationale doorgifte van gegevens te vergemakkelijken, delegeert het kabinetsbesluit aan de PPC — de bevoegde autoriteit voor het beheer en de uitvoering van de APPI — de bevoegdheid om de nodige maatregelen te nemen voor het overbruggen van de verschillen tussen de systemen en operaties van Japan en het betrokken vreemde land, overeenkomstig artikel 6 van de APPI, om te waarborgen dat uit dat land ontvangen persoonsinformatie correct wordt behandeld. Volgens het kabinetsbesluit betreft dit tevens de bevoegdheid om de bescherming te verbeteren door middel van vaststelling door de PPC van strengere voorschriften die een aanvulling en uitbreiding vormen van de voorschriften die in de APPI en het kabinetsdecreet zijn opgenomen. Overeenkomstig het kabinetsbesluit zijn de strengere voorschriften bindend en afdwingbaar jegens Japanse bedrijfsexploitanten. |
(15) |
Op grond van artikel 6 van de APPI en het genoemde kabinetsbesluit heeft de PPC op 15 juni 2018 krachtens de Wet bescherming persoonsinformatie aanvullende voorschriften vastgesteld voor de behandeling van persoonsgegevens die op grond van een adequaatheidsbesluit uit de EU zijn doorgegeven (hierna „aanvullende voorschriften” genoemd), teneinde de bescherming te verbeteren van persoonsinformatie die op grond van dit adequaatheidsbesluit vanuit de Europese Unie naar Japan wordt doorgegeven. Deze aanvullende voorschriften zijn juridisch bindend voor Japanse bedrijfsexploitanten en kunnen op dezelfde wijze als de APPI-bepalingen, waarop de voorschriften een striktere en/of meer gedetailleerde aanvulling vormen, zowel door de PPC als door de rechter worden gehandhaafd (12). Aangezien Japanse bedrijfsexploitanten die persoonsgegevens uit de Europese Unie ontvangen en verder verwerken wettelijk verplicht zullen zijn om aan de aanvullende voorschriften te voldoen, moeten zij garanderen — bijvoorbeeld technisch (door middel van „tagging”) of organisatorisch (door middel van opslag in een aparte gegevensbank) — dat zij deze persoonsgegevens tijdens hun hele levenscyclus kunnen identificeren (13). In de volgende onderdelen wordt de inhoud van elk aanvullend voorschrift geanalyseerd in het kader van de beoordeling van de artikelen van de APPI waarop het een aanvulling vormt. |
(16) |
Voor de vaststelling van richtsnoeren om te waarborgen dat de door een bedrijfsexploitant te nemen maatregelen daadwerkelijk correct worden uitgevoerd, was eerst een aantal Japanse ministeries in specifieke sectoren bevoegd, maar sinds de wijziging van de APPI in 2015 berust die bevoegdheid op grond van de gegevensbeschermingsvoorschriften bij de PPC. Door middel van richtsnoeren verschaft de PPC een gezaghebbende uitlegging van deze voorschriften, met name de APPI. Volgens de van de PPC ontvangen informatie vormen deze richtsnoeren een integrerend onderdeel van het rechtskader, samen met de tekst van de APPI, het kabinetsdecreet, de PPC-voorschriften en een aantal door de PPC opgestelde vragen en antwoorden (14). Zij zijn daarom bindend voor bedrijfsexploitanten. Indien in de richtsnoeren wordt vermeld dat een bedrijfsexploitant op een bepaalde manier „moet” of „niet mag” handelen, beschouwt de PPC niet-naleving van de desbetreffende bepalingen als overtreding van de wet (15). |
2.2. Materieel en personeel toepassingsgebied
(17) |
Het toepassingsgebied van de APPI wordt bepaald door de erin gedefinieerde begrippen „persoonsinformatie”, „persoonsgegevens” en „bedrijfsexploitant die persoonsinformatie behandelt”. De APPI voorziet echter ook in een aantal belangrijke uitzonderingen op het toepassingsgebied, met name voor anoniem verwerkte persoonsgegevens en specifieke typen verwerking door bepaalde exploitanten. De APPI gebruikt niet de term „verwerking” (processing), maar het gelijkwaardige begrip „behandeling” (handling), dat op grond van de informatie die is ontvangen van de PPC „elke handeling betreffende persoonsgegevens” omvat, met inbegrip van verwerving, input, accumulatie, organisatie, opslag, bewerking/verwerking, vernieuwing, schrapping, productie, gebruik, of verstrekking van persoonsinformatie. |
2.2.1. Definitie van persoonsinformatie
(18) |
Wat het materiële toepassingsgebied betreft, maakt de APPI in de eerste plaats een onderscheid tussen persoonsinformatie en persoonsgegevens, met dien verstande dat slechts enkele van de bepalingen van de wet van toepassing zijn op de eerstgenoemde categorie. Op grond van artikel 2, lid 1, van de APPI omvat het begrip „persoonsinformatie” alle informatie met betrekking tot een levend individu aan de hand waarvan dat individu kan worden geïdentificeerd. In de definitie worden twee categorieën persoonsinformatie onderscheiden: i) individuele identificatiecodes en ii) andere persoonsinformatie aan de hand waarvan een individu kan worden geïdentificeerd. Laatstgenoemde categorie omvat ook gegevens die op zichzelf geen identificatie toelaten, maar die, indien eenvoudig samengevoegd met andere informatie, identificatie van een specifiek individu mogelijk maken. Volgens de richtsnoeren (16) van de PPC moet per geval worden beoordeeld of informatie als „eenvoudig samengevoegd” kan worden beschouwd, waarbij rekening moet worden gehouden met de feitelijke situatie van de bedrijfsexploitant. Er wordt van uitgegaan dat daarvan sprake is wanneer de samenvoeging wordt (of kan worden) verricht door een gemiddelde („normale”) bedrijfsexploitant met behulp van de middelen waarover deze beschikt. Er is bijvoorbeeld geen sprake van „eenvoudige samenvoeging” met andere informatie als de bedrijfsexploitant ongebruikelijke inspanningen of onwettige handelingen moet verrichten om de samen te voegen informatie van een of meer andere bedrijfsexploitanten te verkrijgen. |
2.2.2. Definitie van persoonsgegevens
(19) |
Slechts enkele vormen van persoonsinformatie vallen op grond van de APPI onder de categorie persoonsgegevens. „Persoonsgegevens” worden namelijk gedefinieerd als „persoonsinformatie die deel uitmaakt van een gegevensbank van persoonsinformatie”, dat wil zeggen een „collectief corpus van informatie” dat persoonsinformatie bevat die „systematisch zodanig is georganiseerd dat met behulp van een computer naar een specifiek persoonsgegeven kan worden gezocht” (17), dan wel „op grond van een kabinetsdecreet systematisch zodanig moet zijn georganiseerd dat eenvoudig naar een specifiek persoonsgegeven kan worden gezocht” — maar met uitzondering van gegevens waarvoor op grond van een kabinetsdecreet slechts een gering risico bestaat op schending van de rechten en belangen van een persoon, de gebruikswijze ervan in aanmerking genomen (18). |
(20) |
Deze uitzondering wordt verder gespecificeerd in artikel 3, lid 1, van het kabinetsdecreet op grond waarvan aan de drie volgende cumulatieve voorwaarden moet worden voldaan: i) het collectieve corpus van informatie moet zijn afgegeven met het oog op de verkoop aan een groot aantal niet nader bepaalde personen, waarbij de afgifte niet is verricht in strijd met de bepalingen van een wet of een daarop gebaseerd besluit; ii) het moet op elk moment kunnen worden aangekocht door een groot aantal niet nader bepaalde personen en iii) de daarin opgenomen persoonsgegevens moeten zijn verschaft voor hun oorspronkelijke doel, zonder toevoeging van andere gegevens met betrekking tot een levende natuurlijke persoon. Volgens de verklaringen van de PPC is deze beperkte uitzondering ingevoerd om telefoongidsen en soortgelijke bestanden uit te sluiten. |
(21) |
Voor gegevens die in Japan zijn verzameld, is dit onderscheid tussen „persoonsinformatie” en „persoonsgegevens” relevant omdat dergelijke informatie niet altijd is opgenomen in een „gegevensbank met persoonsinformatie” (bijvoorbeeld een afzonderlijke gegevensreeks die manueel is verzameld en verwerkt), en omdat daarom de APPI-bepalingen die uitsluitend voor persoonsgegevens gelden, niet van toepassing zijn (19). |
(22) |
Dit onderscheid is daarentegen niet relevant voor persoonsgegevens die op grond van een adequaatheidsbesluit vanuit de Europese Unie in Japan zijn geïmporteerd. Aangezien deze gegevens doorgaans elektronisch worden doorgegeven (aangezien dit in het digitale tijdperk de gebruikelijke wijze is om gegevens uit te wisselen, vooral over een grote afstand zoals tussen de EU en Japan), en daardoor worden opgenomen in het elektronische bestand van de gegevensimporteur, vallen dergelijke EU-gegevens op grond van de APPI altijd onder de categorie „persoonsgegevens”. In het uitzonderlijke geval waarin persoonsgegevens met andere middelen worden doorgegeven vanuit de EU (bijvoorbeeld op papier), vallen zij nog altijd onder de APPI indien zij na de doorgifte onderdeel worden van een „collectief corpus van informatie” dat systematisch is georganiseerd om gemakkelijk zoeken naar specifieke informatie mogelijk te maken (artikel 2, lid 4, onder ii), van de APPI). Op grond van artikel 3, lid 2, van het kabinetsdecreet zal dit het geval zijn wanneer de informatie is ingedeeld „volgens een bepaalde regel” en de gegevensbank ook instrumenten zoals een inhoudsopgave of een index bevat, om zoeken te vergemakkelijken. Dit stemt overeen met de definitie van „bestand” in de zin van artikel 2, lid 1, van de algemene verordening gegevensbescherming. |
2.2.3. Definitie van te bewaren persoonsgegevens
(23) |
Een aantal bepalingen van de APPI, met name de artikelen 27 tot en met 30 over individuele rechten, zijn slechts van toepassing op een specifieke categorie persoonsgegevens, namelijk „te bewaren persoonsgegevens”. Deze categorie wordt in artikel 2, lid 7, van de APPI gedefinieerd als persoonsgegevens, andere dan die welke hetzij i) volgens een kabinetsdecreet het algemeen belang of andere belangen kunnen schaden indien hun aanwezigheid of afwezigheid bekend wordt gemaakt, hetzij ii) op grond van een kabinetsdecreet binnen een termijn van ten hoogste één jaar moeten worden gewist. |
(24) |
De eerste van deze twee categorieën wordt in artikel 4 van het kabinetsdecreet gedefinieerd en omvat vier typen uitzonderingen (20). Deze uitzonderingen hebben dezelfde bedoeling als die in artikel 23, lid 1, van Verordening (EU) 2016/679, namelijk de bescherming van de betrokkene, de vrijheid van anderen, de nationale veiligheid, de openbare veiligheid, de handhaving van het strafrecht en andere belangrijke doeleinden van algemeen belang. Bovendien blijkt uit de bewoordingen van artikel 4, lid 1, onder i)-iv), van het kabinetsdecreet dat de toepassing ervan altijd een specifiek risico impliceert voor een van de beschermde aanmerkelijke belangen (21). |
(25) |
De tweede categorie is nader gespecificeerd in artikel 5 van het kabinetsdecreet. Gelezen in samenhang met artikel 2, lid 7, van de APPI houdt dit type uitzondering in dat persoonsgegevens die binnen een termijn van zes maanden moeten worden vernietigd, buiten het begrip te bewaren persoonsgegevens vallen en dat de individuele rechten waarin de APPI voorziet niet van toepassing zijn. De PPC heeft uiteengezet dat deze uitzonderingsbepaling moet bevorderen dat bedrijfsexploitanten gegevens zo kort mogelijk bewaren en verwerken. Dit betekent echter dat betrokkenen in de EU bepaalde rechten niet zouden kunnen genieten met als enige reden de duur van de bewaring van hun gegevens door de betrokken bedrijfsexploitant. |
(26) |
Om dit probleem op te lossen, wordt in aanvullend voorschrift nr. 2 bepaald dat persoonsgegevens die vanuit de Europese Unie zijn doorgegeven, worden behandeld als te bewaren persoonsgegevens in de zin van artikel 2, lid 7, van de wet, ongeacht de termijn waarbinnen zij zullen worden gewist. De bewaringstermijn is daarom niet meer van invloed op de rechten die betrokkenen in de EU genieten. |
2.2.4. Definitie van anoniem verwerkte persoonsinformatie
(27) |
De vereisten inzake anoniem verwerkte persoonsinformatie, zoals gedefinieerd in artikel 2, lid 9, van de APPI, zijn vastgelegd in hoofdstuk 4, afdeling 2, van die wet (Verplichtingen van bedrijfsexploitanten die anoniem verwerkte persoonsinformatie behandelen). Daarentegen is deze informatie niet onderworpen aan de bepalingen van hoofdstuk IV, afdeling 1, van de APPI, waarin de bepalingen zijn opgenomen die voorzien in de gegevensbeschermingswaarborgen en -rechten die van toepassing zijn op de verwerking van persoonsgegevens in het kader van de APPI. Daarom is „anoniem verwerkte persoonsinformatie” niet onderworpen aan de standaard gegevensbeschermingvoorschriften (opgenomen in hoofdstuk IV, afdeling 1, en in artikel 42 van de APPI), maar valt deze wel onder het toepassingsgebied van de APPI en met name de artikelen 36 tot en met 39. |
(28) |
Volgens de definitie in artikel 2, lid 9, van de APPI is „anoniem verwerkte persoonsinformatie” informatie over een natuurlijke persoon die is geproduceerd door de verwerking van persoonsinformatie, met behulp van maatregelen die zijn voorgeschreven in de APPI (artikel 36, lid 1) en gespecificeerd in de PPC-voorschriften (artikel 19), met als resultaat dat het onmogelijk is geworden een specifiek individu te identificeren of de persoonsinformatie te herstellen. |
(29) |
Uit deze bepalingen volgt (wat ook door de PPC is bevestigd) dat het proces van anonimisering van de gegevens niet technisch onomkeerbaar hoeft te zijn. Op grond van artikel 36, lid 2, van de APPI zijn bedrijfsexploitanten die met „anoniem verwerkte persoonsinformatie” omgaan, slechts verplicht om re-identificatie te voorkomen door maatregelen te nemen om de beveiliging te waarborgen van „de beschrijvingen enz. en individuele identificatiecodes die verwijderd zijn uit de persoonsinformatie die aan de anoniem verwerkte informatie ten grondslag ligt, alsmede van de informatie over de toegepaste verwerkingsmethode”. |
(30) |
Aangezien „anoniem verwerkte persoonsinformatie” zoals gedefinieerd in de APPI ook gegevens omvat die re-identificatie van de betrokkene nog steeds mogelijk maken, kan dit ertoe leiden dat vanuit de Europese Unie doorgegeven persoonsgegevens ten dele hun bescherming verliezen, door een proces dat volgens Verordening (EU) 2016/679 kan worden beschouwd als een vorm van „pseudonimisering” en niet als „anonimisering” (waardoor hun karakter van persoonsgegevens niet verandert). |
(31) |
Om dit probleem aan te pakken, wordt in de aanvullende voorschriften voorzien in aanvullende vereisten die uitsluitend van toepassing zijn op persoonsgegevens die op grond van dit besluit vanuit de Europese Unie worden doorgegeven. Op grond van aanvullend voorschrift nr. 5 mag dergelijke persoonsinformatie slechts als anoniem verwerkte persoonsinformatie in de zin van de APPI worden beschouwd indien de bedrijfsexploitant die persoonsinformatie verwerkt maatregelen neemt die het niet-identificeerbaar maken van de betrokkene onomkeerbaar maakt, onder meer door de informatie over de verwerkingsmethode enz. te verwijderen. De laatstgenoemde informatie wordt in de aanvullende voorschriften gedefinieerd als informatie over omschrijvingen en individuele identificatiecodes die verwijderd zijn uit de persoonsinformatie die wordt gebruikt om anoniem verwerkte persoonsinformatie te produceren, alsmede informatie over een verwerkingsmethode die is toegepast om die omschrijvingen en individuele identificatiecodes te verwijderen. Met andere woorden: op grond van de aanvullende voorschriften is de bedrijfsexploitant die anoniem verwerkte persoonsinformatie produceert, verplicht om de „sleutel” die re-identificatie van de gegevens mogelijk maakt, te vernietigen. Dit houdt in dat persoonsgegevens van oorsprong uit de Europese Unie uitsluitend onder de APPI-bepalingen inzake „anoniem verwerkte persoonsinformatie” vallen indien zij worden beschouwd als anonieme gegevens in de zin van Verordening (EU) 2016/679 (22). |
2.2.5. Definitie van bedrijfsexploitant die persoonsinformatie verwerkt („PIHBO”)
(32) |
De APPI is uitsluitend van toepassing op PIHBO's. Een PIHBO wordt in artikel 2, lid 5, van de APPI gedefinieerd als „een persoon die een gegevensbank van persoonsinformatie enz. aanbiedt voor zakelijk gebruik”; overheids- en bestuursinstanties op centraal en lokaal niveau zijn van de definitie uitgesloten. |
(33) |
Volgens de PPC-richtsnoeren wordt met de term „zakelijk” gedoeld op elk „gedrag dat gericht is op de herhaalde en voortdurende uitoefening van een maatschappelijk erkend bedrijf voor een bepaald doel, al dan niet met winstoogmerk”. Organisaties zonder rechtspersoonlijkheid, zoals feitelijke verenigingen, en natuurlijke personen worden als PIHBO beschouwd indien zij voor zakelijke doeleinden een gegevensbank van persoonsinformatie aanbieden of gebruiken (23). Het begrip „zakelijk” in de zin van de APPI is dus zeer breed, aangezien het activiteiten van allerlei soorten organisaties en natuurlijke personen betreft, al dan niet met winstoogmerk. „Zakelijk gebruik” omvat bovendien ook het gebruik van persoonsinformatie buiten het verband van (externe) zakenrelaties, maar binnen de organisatie, bijvoorbeeld het verwerken van personeelsgegevens. |
(34) |
Voor de bescherming die de APPI biedt, is de nationaliteit, woonplaats of verblijfplaats van een natuurlijke persoon niet relevant. Hetzelfde geldt voor de verhaalsmogelijkheden waarop natuurlijke personen een beroep kunnen doen, zowel bij de PPC als bij de rechter. |
2.2.6. Begrippen verwerkingsverantwoordelijke en verwerker
(35) |
De APPI maakt geen specifiek onderscheid tussen de verplichtingen voor verwerkingsverantwoordelijken en voor verwerkers. De afwezigheid van dit onderscheid doet geen afbreuk aan het beschermingsniveau, aangezien alle bepalingen van de wet van toepassing zijn op alle PIHBO's. Een PIHBO die de behandeling van persoonsgegevens toevertrouwt aan een trustee (het equivalent van een verwerker uit hoofde van de algemene verordening gegevensbescherming) blijft onderworpen aan de verplichtingen op grond van de APPI en aanvullende bepalingen met betrekking tot de gegevens die hem zijn toevertrouwd. Voorts is hij ingevolge artikel 22 van de APPI gehouden om noodzakelijk en passend toezicht op de trustee uit te oefenen. Op zijn beurt is de trustee — zoals door de PPC is bevestigd — gebonden aan alle verplichtingen die voortvloeien uit de APPI en de aanvullende voorschriften. |
2.2.7. Sectorale uitsluitingsgronden
(36) |
Artikel 76 van de APPI sluit bepaalde typen gegevensverwerking uit van de toepasselijkheid van hoofdstuk IV van de APPI, waarin de kernbepalingen over gegevensbescherming zijn opgenomen (basisbeginselen, verplichtingen van bedrijfsexploitanten, individuele rechten, toezicht door de PPC). Verwerking waarop de sectorale uitsluitingsgronden van artikel 76 van toepassing zijn, valt op grond van artikel 43, lid 2, van de APPI ook niet onder de handhavingsbevoegdheden van de PPC (24). |
(37) |
De desbetreffende categorieën voor de sectorale uitsluiting in artikel 76 van de APPI worden gedefinieerd aan de hand van twee criteria: het type PIHBO dat de persoonsinformatie verwerkt en het doel van de verwerking. Meer bepaald zijn uitgesloten: i) omroeporganisaties, uitgevers van dagbladen, communicatieagentschappen en andere persorganisaties (met inbegrip van natuurlijke personen die zich zakelijk met persactiviteiten bezighouden), voor zover zij persoonsinformatie verwerken voor persdoeleinden; ii) personen die zich beroepshalve met tekstschrijven bezighouden, voor zover zij daarbij met persoonsinformatie werken; iii) universiteiten en andere organisaties of groepen die gericht zijn op academische studies, alsmede personen die tot een dergelijke organisatie behoren, voor zover zij persoonsinformatie verwerken met het oog op academische studies; iv) religieuze instanties, voor zover zij persoonsinformatie verwerken voor religieuze activiteiten (inclusief alle aanverwante activiteiten), en v) politieke organisaties, voor zover zij persoonsinformatie verwerken voor hun politieke activiteiten (inclusief alle aanverwante activiteiten). De bepalingen van hoofdstuk IV zijn wel van toepassing op de verwerking van persoonsinformatie voor een van de in artikel 76 opgesomde doeleinden door andere typen PIHBO’s, alsmede de verwerking van persoonsinformatie door een van de bovengenoemde PIHBO's voor andere doeleinden, bijvoorbeeld in verband met het personeelsbeheer. |
(38) |
Teneinde een passend beschermingsniveau te garanderen voor persoonsgegevens die vanuit de Europese Unie worden doorgegeven aan bedrijfsexploitanten in Japan, moet dit besluit slechts betrekking hebben op de verwerking van persoonsinformatie die onder hoofdstuk IV van de APPI valt, dat wil zeggen verwerking door een PIHBO voor zover deze verwerking niet onder een van de sectorale uitsluitingsgronden valt. Het toepassingsgebied moet daarom in overeenstemming worden gebracht met dat van de APPI. Volgens de informatie van de PPC zou — indien PIHBO die onder dit besluit valt vervolgens het gebruiksdoel wijzigt (voor zover dit mogelijk is) en dan onder een van de sectorale uitsluitingen in artikel 76 van de APPI zou vallen — dit als een internationale doorgifte worden beschouwd (aangezien in zulke gevallen de verwerking van de persoonlijke gegevens niet meer onder hoofdstuk IV van de APPI, en daarmee buiten het toepassingsgebied van de APPI zou vallen). Hetzelfde zou gelden indien een PIHBO persoonlijke informatie verschaft aan een entiteit die valt onder artikel 76 van de APPI voor gebruik voor één van de in die bepaling genoemde verwerkingsdoelen. Wat de vanuit de Europese Unie doorgegeven persoonsgegevens betreft, zou dit daarom een verdere doorgifte vormen, die is onderworpen aan de toepasselijke waarborgen (met name die welke in artikel 24 van het APPI en aanvullend voorschrift 4 worden genoemd). Wanneer de PIHBO afhankelijk is van de toestemming (25) van de betrokkene, moet hij deze betrokkene alle nodige informatie verschaffen, met inbegrip van de persoonsgegevens niet langer worden beschermd door de APPI. |
2.3. Waarborgen, rechten en verplichtingen
2.3.1. Doelbinding
(39) |
Persoonsgegevens moeten worden verwerkt voor een specifiek doel en mogen vervolgens uitsluitend worden gebruikt voor doeleinden die niet onverenigbaar zijn met het doel van de verwerking. Dit beginsel van gegevensverwerking wordt gewaarborgd door de artikelen 15 en 16 van de APPI. |
(40) |
De APPI gaat uit van het beginsel dat een bedrijfsexploitant het gebruiksdoel zo specifiek mogelijk moet specificeren (artikel 15, lid 1), waarna hij bij de verwerking van de gegevens gebonden is aan het gespecificeerde doel. |
(41) |
Ten aanzien hiervan wordt in artikel 15, lid 2, van de APPI bepaald dat het oorspronkelijke doel door de PIHBO niet ingrijpender mag worden gewijzigd dan wat redelijkerwijs relevant wordt geacht voor het doel dat voorafgaand aan de wijziging is vastgesteld; dit wordt door de PPC-richtsnoeren uitgelegd als overeenstemmend met wat de betrokkene op basis van de normale maatschappelijke conventies objectief kan verwachten (26). |
(42) |
Bovendien is het op grond van artikel 16, lid 1, van de APPI aan PIHBO’s niet toegestaan om zonder voorafgaande toestemming van de betrokkene persoonsinformatie te verwerken die verder gaat dat wat nodig is om een gebruiksdoel te bereiken, zoals bepaald in artikel 15, tenzij een van de uitzonderingsbepalingen van artikel 16, lid 3, van toepassing is (27). |
(43) |
Indien persoonsinformatie is verkregen van een andere bedrijfsexploitant, staat het de PIHBO in beginsel vrij om een nieuw gebruiksdoel vast te stellen (28). Om te waarborgen dat bij een doorgifte vanuit de Europese Unie de ontvanger van de gegevens gebonden is door het doel waarvoor de gegevens zijn doorgegeven, wordt in aanvullend voorschrift nr. 3 bepaald dat indien een PIHBO vanuit de EU persoonsgegevens ontvangt op grond van een adequaatheidsbesluit of indien een dergelijk bedrijf van een andere PIHBO persoonsgegevens ontvangt die eerder op grond van een adequaatheidsbesluit vanuit de EU zijn doorgegeven (verdere uitwisseling), de ontvanger melding moet maken van het doel van het gebruik van de ontvangen persoonsgegevens in termen van het gebruiksdoel waarvoor de gegevens oorspronkelijk werden doorgegeven of vervolgens werden ontvangen. Met andere woorden: in een doorgiftecontext waarborgt dit voorschrift dat het overeenkomstig Verordening (EU) 2016/679 vastgestelde doel bepalend blijft voor de verwerking, en dat voor wijziging van het doel in elke fase van de verwerking in Japan de toestemming van de betrokkene in de EU vereist is. Voor de verkrijging van deze toestemming is het nodig dat de PIHBO contact opneemt met de betrokkene, maar indien dit niet mogelijk is, is het gevolg slechts dat het oorspronkelijke doel moet worden gehandhaafd. |
2.3.2. Rechtmatigheid en behoorlijkheid van de verwerking
(44) |
De in overweging 43 bedoelde aanvullende bescherming is des te relevanter omdat het Japanse stelsel het doelbindingsprincipe ook toepast om te waarborgen dat persoonsgegevens rechtmatig en behoorlijk worden verwerkt. |
(45) |
Wanneer een PIHBO persoonsinformatie verwerkt, is hij op grond van de APPI verplicht het doel van het gebruik van die persoonsinformatie uitvoerig te specificeren (29) en de betrokkene (of het publiek) onmiddellijk in kennis te stellen van dat doel (30). Bovendien wordt in artikel 17 van de APPI bepaald dat een PIHBO geen persoonsinformatie mag verzamelen door middel van bedrog of met andere ongepaste methoden. Voor de verwerving van gegevens die tot bepaalde gegevenscategorieën behoren, zoals persoonsinformatie die bijzondere zorg vereist, is de toestemming van de betrokkene noodzakelijk (artikel 17, lid 2, van de APPI). |
(46) |
Zoals uiteengezet in de overwegingen 41 en 42, mag de PIHBO vervolgens persoonsinformatie niet verwerken voor andere doeleinden, tenzij de betrokkene toestemming heeft gegeven voor die verwerking of een van de uitzonderingsbepalingen van artikel 16, lid 3, van de APPI van toepassing is. |
(47) |
De verdere bekendmaking van persoonsinformatie aan derden (31) wordt door artikel 23, lid 1, van de APPI beperkt tot specifieke gevallen, waarvoor de algemene regel geldt dat daarvoor de toestemming van de betrokkene vereist is (32). In artikel 23, leden 2, 3 en 4, van de APPI wordt voorzien in uitzonderingen op het toestemmingsvereiste. Deze uitzonderingen zijn echter alleen van toepassing op niet-gevoelige gegevens en vereisen dat de bedrijfsexploitant de betrokken personen van tevoren in kennis stelt van zijn voornemen om hun persoonsinformatie aan een derde te verstrekken en van de mogelijkheid om bezwaar te maken tegen elke verdere verstrekking (33). |
(48) |
Wat betreft doorgiften vanuit de Europese Unie moeten de persoonsgegevens allereerst in de EU zijn verzameld en verwerkt overeenkomstig Verordening (EU) 2016/679. Dit houdt enerzijds altijd in dat de gegevens moeten zijn verzameld en verwerkt, ook met het oog op de doorgifte ervan vanuit de Europese Unie naar Japan, op basis van een van de in artikel 6, lid 1, van de verordening genoemde rechtmatigheidsgronden en anderzijds dat de gegevens worden verzameld voor een specifiek, uitdrukkelijk omschreven en gerechtvaardigd doel en dat het verboden is de gegevens verder te verwerken, ook door middel van doorgifte, op een met een dergelijk doel onverenigbare wijze, zoals bepaald in artikel 5, lid 1, onder b), en artikel 6, lid 4, van de verordening. |
(49) |
Volgend op de doorgifte moet op grond van aanvullend voorschrift nr. 3 de PIHBO die de gegevens ontvangt het welbepaalde doel dat aan de doorgifte ten grondslag ligt (d.w.z. het doel dat overeenkomstig Verordening (EU) 2016/679 is vastgesteld), bevestigen en de gegevens verder verwerken in overeenstemming met dat doel (34). Dit houdt in dat niet alleen de eerste ontvanger van die persoonsgegevens in Japan, maar ook alle toekomstige ontvangers van de gegevens, met inbegrip van een trustee, gebonden zijn aan het doel dat of de doelen die overeenkomstig de verordening zijn vastgesteld. |
(50) |
Indien de PIHBO het doel, zoals dat in eerste instantie overeenkomstig Verordening (EU) 2016/679 is vastgesteld, wenst te wijzigen overeenkomstig artikel 16, lid 1, van de APPI, moet bovendien in beginsel de toestemming van de betrokkene worden verkregen. Zonder die toestemming wordt elke gegevensverwerking die verder gaat dan voor het bereiken van het vastgestelde gebruiksdoel noodzakelijk is, beschouwd als een schending van artikel 16, lid 1, waartegen de PPC en de rechter kunnen optreden. |
(51) |
Aangezien overeenkomstig Verordening (EU) 2016/679 voor doorgifte een geldige rechtsgrondslag en een specifiek doel vereist zijn, hetgeen wordt weerspiegeld in de overeenkomstig de APPI vereiste „bevestiging” van het gebruiksdoel, waarborgt de combinatie van de relevante bepalingen van de APPI en aanvullend voorschrift nr. 3 dat de verwerking van EU-gegevens in Japan op rechtmatige wijze blijft geschieden. |
2.3.3. Juistheid van de gegevens en minimale gegevensverwerking
(52) |
De gegevens moeten juist zijn en zo nodig worden geactualiseerd. Zij moeten ook toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. |
(53) |
Deze beginselen worden in het Japanse recht gewaarborgd door artikel 16, lid 1, van de APPI, dat verbiedt dat persoonsinformatie wordt verwerkt op een wijze die verder gaat dan wat noodzakelijk is om het gebruiksdoel te bereiken. Zoals de PPC heeft uiteengezet, sluit dit niet alleen het gebruik van niet-toereikende gegevens en het excessieve gebruik van gegevens uit (dat verder gaat dan wat noodzakelijk is om het gebruiksdoel te bereiken), maar verbiedt het ook het gebruik van gegevens die niet relevant zijn om het gebruiksdoel te bereiken. |
(54) |
Wat betreft de verplichting om de juistheid van de gegevens te waarborgen en ze zo nodig te actualiseren, moet de PIHBO op grond van artikel 19 van de APPI ernaar streven de juistheid en de actualiteit van de gegevens te behouden, met inachtneming van hetgeen noodzakelijk is om het gebruiksdoel te bereiken. Die bepaling moet worden gelezen in samenhang met artikel 16, lid 1, van de APPI: volgens de uitleg van de PPC is het zo dat wanneer een PIHBO zich niet houdt aan de voorgeschreven juistheidsnormen, de verwerking van de persoonsinformatie geacht wordt niet tot het bereiken van het gebruiksdoel bij te dragen, waardoor de verwerking onwettig wordt op grond van artikel 16, lid 1. |
2.3.4. Opslagbeperking
(55) |
Gegevens mogen in beginsel niet langer worden bewaard dan noodzakelijk is voor de doeleinden waarvoor de persoonsgegevens worden verwerkt. |
(56) |
Overeenkomstig artikel 19 van de APPI moeten PIHBO’s ernaar streven persoonsgegevens onverwijld te wissen zodra het gebruik ervan niet langer noodzakelijk is. Deze bepaling moet eveneens worden gelezen in samenhang met artikel 16, lid 1, van de APPI, dat verbiedt dat persoonsinformatie wordt verwerkt op een wijze die verder gaat dan wat noodzakelijk is om een gebruiksdoel te bereiken. Zodra het gebruiksdoel is bereikt, kan de verwerking van de persoonsinformatie niet langer als noodzakelijk worden beschouwd en moet deze worden stopgezet (tenzij de PIHBO de toestemming van de betrokkene verkrijgt om de verwerking voort te zetten). |
2.3.5. Beveiliging van gegevens
(57) |
Persoonsgegevens moeten op een dusdanige manier worden verwerkt dat de beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. Daartoe moeten bedrijfsexploitanten passende technische of organisatorische maatregelen treffen om de persoonsgegevens te beschermen tegen mogelijke bedreigingen. Bij de beoordeling van die maatregelen moet rekening worden gehouden met de stand van de techniek en de ermee gemoeide kosten. |
(58) |
Dit beginsel wordt in het Japanse recht gewaarborgd door artikel 20 van de APPI, waarin wordt bepaald dat een PIHBO de noodzakelijke en passende maatregelen moet treffen om te voorzien in de beveiliging van de persoonsgegevens, met inbegrip van maatregelen ter voorkoming van lekken, verlies of beschadiging van de persoonsgegevens die hij verwerkt. De PPC-richtsnoeren geven een overzicht van de te nemen maatregelen, waaronder de methoden voor het vaststellen van het basisbeleid, voorschriften voor behandeling van gegevens en onderscheiden „controlemaatregelen” (die betrekking hebben op de organisatorische veiligheid en de personele, fysieke en technologische beveiliging) (35). Daarnaast zijn in de PPC-richtsnoeren en in een door de PPC gepubliceerde specifieke notitie (aanhangsel 8 betreffende de inhoud van de te treffen maatregelen op het gebied van veiligheidsbeheer) meer details opgenomen over de maatregelen inzake beveiligingsincidenten waarbij bijvoorbeeld persoonsinformatie is gelekt, als onderdeel van de veiligheidsbeheersmaatregelen die PIHBO's moeten nemen (36). |
(59) |
Wanneer persoonsinformatie door werknemers of subcontractanten wordt behandeld, moet overeenkomstig de artikelen 20 en 21 van de APPI worden voorzien in het nodige passende toezicht met het oog op veiligheidscontrole. Tot slot staat op grond van artikel 83 van de APPI op het opzettelijk lekken of op diefstal van persoonsinformatie een sanctie van ten hoogste één jaar gevangenisstraf. |
2.3.6. Transparantie
(60) |
Betrokkenen moeten worden ingelicht over de belangrijkste kenmerken van de verwerking van hun persoonsgegevens. |
(61) |
In artikel 18, lid 1, van de APPI wordt bepaald dat de PIHBO informatie over het gebruiksdoel van de verkregen persoonsinformatie beschikbaar moet stellen aan de betrokkene, tenzij het gebruiksdoel reeds openbaar is gemaakt. Dezelfde verplichting geldt in geval van een toegestane wijziging van het gebruiksdoel (artikel 18, lid 3). Hierbij wordt ook gegarandeerd dat de betrokkene wordt ingelicht over het feit dat zijn gegevens zijn verzameld. Hoewel de APPI de PIHBO niet in algemene termen verplicht om betrokkenen in te lichten over de ontvangers van persoonsinformatie in het stadium van verzameling, zijn inlichtingen daarover een noodzakelijke voorwaarde voor de latere bekendmaking van informatie aan een derde (ontvanger) op basis van artikel 23, lid 2, dat wil zeggen wanneer dit gebeurt zonder de voorafgaande toestemming van de betrokkene. |
(62) |
Ten aanzien van te bewaren persoonsgegevens wordt in artikel 27 van de APPI bepaald dat de PIHBO de betrokkene moet inlichten over zijn identiteit (contactgegevens), het gebruiksdoel en de procedures voor het beantwoorden van een verzoek met betrekking tot de individuele rechten van de betrokkene op grond van de artikelen 28, 29 of 30 van de APPI. |
(63) |
Aangezien vanuit de Europese Unie doorgegeven persoonsgegevens overeenkomstig de aanvullende voorschriften als „te bewaren persoonsgegevens” worden beschouwd, ongeacht de geldende bewaringstermijn (tenzij er uitzonderingen van toepassing zijn), zullen zij altijd onderworpen zijn aan de transparantievereisten van beide genoemde bepalingen. |
(64) |
Ten aanzien van de vereisten van artikel 18 en de in artikel 27 van de APPI vervatte verplichting om de betrokkene over het gebruiksdoel in te lichten, gelden dezelfde uitzonderingsbepalingen, die grotendeels gebaseerd zijn op overwegingen van algemeen belang en de bescherming van de rechten en belangen van de betrokkene, van derden en van de verwerkingsverantwoordelijke (37). Volgens de interpretatie die in de PPC-richtsnoeren is uitgewerkt, zijn deze uitzonderingsbepalingen van toepassing in zeer specifieke situaties, zoals wanneer er een risico bestaat dat informatie over het gebruiksdoel afbreuk doet aan legitieme maatregelen die de bedrijfsexploitant neemt ter bescherming van bepaalde belangen (bv. de bestrijding van fraude, industriële spionage of sabotage). |
2.3.7. Bijzondere categorieën gegevens
(65) |
Wanneer bijzondere categorieën gegevens worden verwerkt, moet worden voorzien in bijzondere waarborgen. |
(66) |
In artikel 2, lid 3, van de APPI wordt een definitie gegeven van „persoonsinformatie die bijzondere zorg vereist”. In die bepaling is sprake van persoonsinformatie over ras, geloof, sociale status, medische geschiedenis, strafregister, geleden schade als gevolg van een misdrijf of andere informatie, bij de verwerking waarvan op grond van het kabinetsdecreet bijzondere zorg vereist is, teneinde onrechtmatige discriminatie, vooroordelen of andere nadelen voor de betrokken te voorkomen. De bedoelde categorieën stemmen grotendeels overeen met de in de artikelen 9 en 10 van Verordening (EU) 2016/679 genoemde gevoelige gegevens. Met name stemt „medische geschiedenis” overeen met gegevens over gezondheid, terwijl „strafregister” en „schade geleden als gevolg van een misdrijf” in wezen dezelfde categorieën betreffen als die genoemd in artikel 10 van Verordening (EU) 2016/679. De in artikel 2, lid 3, van de APPI genoemde categorieën worden nader uitgelegd in het kabinetsdecreet en de PPC-richtsnoeren. In afdeling 2.3, punt 8, van de PPC-richtsnoeren wordt ten aanzien van de in artikel 2, onder ii) en iii), van het kabinetsdecreet vermelde subcategorieën van „medische geschiedenis” aangegeven dat deze betrekking hebben op genetische en biometrische gegevens. Welswaar komen de termen „etnische afkomst” en „politieke opvattingen” niet expliciet in de lijst voor, maar de begrippen „ras” en „geloof” worden wel genoemd. Zoals in afdeling 2.3, punten 1 en 2, van de PPC-richtsnoeren wordt uitgelegd, wordt met „ras” gedoeld op „etnische banden of banden met een bepaald deel van de wereld”, terwijl onder „geloof” zowel religieuze overtuigingen als politieke opvattingen worden verstaan. |
(67) |
Gezien de formulering van deze bepaling betreft het hier geen limitatieve opsomming; er kunnen andere gegevenscategorieën aan worden toegevoegd voor zover de verwerking daarvan het risico van onrechtmatige discriminatie, vooroordelen of andere nadelen voor de betrokkene met zich meebrengt. |
(68) |
Hoewel het begrip „gevoelige” gegevens per definitie een sociale constructie is, aangezien deze berust op culturele en juridische tradities, morele overwegingen, beleidskeuzes enz. van een bepaalde samenleving, en gezien het belang van adequate waarborgen voor gevoelige gegevens die worden doorgegeven aan bedrijfsexploitanten in Japan, heeft de Commissie verkregen dat de speciale bescherming die op grond van de Japanse wetgeving wordt geboden aan „persoonsinformatie die bijzondere zorg vereist” wordt uitgebreid tot alle categorieën die in Verordening (EU) 2016/679 als „gevoelige gegevens” worden aangemerkt. Daartoe wordt in aanvullend voorschrift (1) bepaald dat vanuit de Europese Unie doorgegeven gegevens over iemands seksleven, seksuele geaardheid of lidmaatschap van een vakvereniging door PIHBO's wordt verwerkt „als persoonsinformatie die bijzondere zorg vereist in de zin van artikel 2, lid 3), van de [APPI]”. |
(69) |
Met betrekking tot de aanvullende materiële waarborgen die gelden voor de persoonsinformatie die bijzondere zorg vereist, mogen PIHBO's op grond van artikel 17, lid 2, van de APPI, geen van dit type gegevens verwerven zonder voorafgaande instemming van de betrokkene, behoudens beperkte uitzonderingen (38). Bovendien is deze categorie persoonsgegevens uitgesloten van de mogelijkheid van bekendmaking aan derden op basis van de procedure van artikel 23, lid 2, van de APPI (waarin de doorgifte van gegevens aan derden zonder voorafgaande toestemming van de betrokkene wordt toegestaan). |
2.3.8. Verantwoordingsplicht
(70) |
Volgens het beginsel van de verantwoordingsplicht moeten entiteiten die gegevens verwerken passende technische en organisatorische maatregelen nemen om doeltreffend aan hun verplichtingen inzake gegevensbescherming te voldoen, en moeten zij die naleving kunnen aantonen, in het bijzonder ten overstaan van de bevoegde toezichthoudende autoriteit. |
(71) |
Zoals vermeld in voetnoot 34 (overweging 49) moeten PIHBO's op grond van artikel 26, lid 1, van de APPI een controle verrichten van de identiteit van een derde partij die aan hen persoonsgegevens verschaft, en van de „omstandigheden” waaronder deze gegevens zijn verkregen door de derde partij; in het geval van persoonsgegevens die onder dit besluit vallen, omvatten deze omstandigheden op grond van de APPI en aanvullend voorschrift 3 onder meer het feit dat de gegevens afkomstig zijn van de Europese Unie, alsmede het doel van de oorspronkelijke doorgifte van gegevens. Onder andere moet die maatregel de rechtmatigheid garanderen van de gegevensverwerking in de hele keten van PIHBO's die de persoonsgegevens verwerken. Voorts moeten PIHBO's krachtens artikel 26, lid 3, een dossier bijhouden met de datum van ontvangst en de (verplichte) informatie die is ontvangen van de derde partij overeenkomstig lid 1, alsmede de naam van de betrokkene, de categorieën van verwerkte gegevens en — voor zover relevant — het feit dat de betrokkene toestemming heeft gegeven voor het delen van zijn/haar persoonsgegevens. Zoals voorgeschreven in artikel 18 van de PPC-voorschriften moeten die dossiers worden bewaard gedurende een periode van ten minste één tot drie jaar, afhankelijk van de omstandigheden. Bij het verrichten van zijn taken kan de PPC eisen dat deze dossiers worden ingediend (39). |
(72) |
PIHBO's moeten klachten van betrokkenen over de verwerking van hun persoonsgegevens onverwijld en adequaat behandelen. Om de behandeling van klachten te vergemakkelijken, moeten de partijen een systeem voor het bereiken van dit doel opzetten, hetgeen met zich meebrengt dat zij moeten voorzien in passende procedures binnen hun organisatie (bijvoorbeeld verantwoordelijkheden toewijzen of een contactpunt verschaffen). |
(73) |
Ten slotte creëert de APPI een kader voor de deelname van sectorale brancheorganisaties door een hoog niveau van naleving te garanderen (zie hoofdstuk IV, punt 4). De taak van dergelijke erkende persoonsinformatiebeschermingsorganisaties (40) is het bevorderen van de bescherming van persoonsinformatie door ondernemingen door middel van hun deskundigheid te ondersteunen, maar ook het bijdragen aan de uitvoering van waarborgen, met name door individuele klachten te behandelen en te helpen bij het oplossen van daarmee samenhangende conflicten. Te dien einde kunnen zij — indien nodig — PIHBO's verzoeken om bij te dragen aan het vaststellen van de noodzakelijke maatregelen (41). Bovendien moeten PHIBO's bij inbreuken in verband met gegevens of andere veiligheidsincidenten in beginsel de PPR en de betrokkene (of het publiek) inlichten en de nodige maatregelen nemen, met inbegrip van maatregelen om eventuele schade tot een minimum te beperken en herhaling van dergelijke incidenten te voorkomen (42). Terwijl dit vrijwillige regelingen zijn, had de PPC op 10 augustus 2017 44 organisaties in een lijst opgenomen, waarvan alleen al de grootste, het Japan Information Processing and Development Center (JIPDEC), 15 436 deelnemende bedrijfsexploitanten telt (43). Hiertoe behoren brancheorganisaties zoals de Japanse vereniging van effectenhandelaars, de Japanse vereniging van autorijscholen en de Japanse vereniging van huwelijksbureaus (44). |
(74) |
Erkende persoonsinformatiebeschermingsorganisaties dienen jaarlijkse verslagen over hun activiteiten in. Volgens het overzicht van de stand van de uitvoering van de APPI in begrotingsjaar 2015, bekendgemaakt door de PPC, hebben de erkende persoonsinformatiebeschermingsorganisaties in totaal 442 klachten ontvangen, hebben zij 123 keer aan de onder hun bevoegdheid vallende bedrijfsexploitanten om opheldering gevraagd, hebben zij in 41 gevallen documenten van deze exploitanten opgevraagd, hebben zij 181 instructies gegeven en twee aanbevelingen gedaan (45). |
2.3.9. Beperkingen op verdere doorgifte
(75) |
Het beschermingsniveau dat wordt geboden aan persoonsgegevens die worden doorgegeven vanuit de Europese Unie naar bedrijfsexploitanten in Japan mag niet worden ondermijnd door de verdere doorgifte van dergelijke gegevens aan ontvangers in een derde land buiten Japan. Dergelijke „verdere doorgiften”, die uit het oogpunt van de Japanse begrijfsexploitant internationale doorgiften vanuit Japan vormen, mogen slechts worden toegestaan wanneer de verdere ontvanger buiten Japan zelf is onderworpen aan voorschriften die zorgen voor een vergelijkbaar beschermingsniveau zoals wordt gegarandeerd binnen de Japanse rechtsorde. |
(76) |
Een eerste bescherming is vastgelegd in artikel 24 van de APPI dat een algemeen verbod inhoudt op de doorgifte van persoonsgegevens aan een derde partij buiten het grondgebied van Japan zonder de voorafgaande toestemming van de betrokkene. Aanvullend voorschrift 4) waarborgt dat deze toestemming in geval van doorgifte van gegevens vanuit de Europese Unie zeer welbewust wordt gegeven, aangezien dit voorschrift vereist dat de betrokken persoon wordt voorzien van de informatie over de omstandigheden rond de doorgifte die de betrokkene nodig heeft om over zijn/haar toestemming te beslissen. Op die basis moet de betrokkene in kennis worden gesteld van het feit dat de gegevens naar het buitenland worden doorgegeven (buiten het toepassingsgebied van de APPI) en van het specifieke land van bestemming. Dit stelt hem/haar in staat het risico voor de persoonlijke levenssfeer als gevolg van de doorgifte te beoordelen. Ook moet, zoals is af te leiden uit artikel 23 van het APPI (zie overweging 47), de informatie aan de aangever betrekking hebben op de verplichte posten in lid 2, namelijk de categorieën van persoonsgegevens die aan een derde worden verschaft, en de methode van openbaarmaking. |
(77) |
Artikel 24 van de APPI, toegepast in combinatie met artikel 11-2 van de PPC-voorschriften, voorziet in een aantal uitzonderingen op deze op toestemming gebaseerde regel. Bovendien zijn op grond van artikel 24 dezelfde afwijkingen als die welke gelden op grond van artikel 23, lid 1, van de APPI ook van toepassing op internationale gegevensdoorgiften (46). |
(78) |
Om te zorgen voor de continuïteit van de bescherming van persoonsgegevens die worden doorgegeven vanuit de Europese Unie naar Japan uit hoofde van dit besluit, verbetert aanvullend voorschrift 4) het beschermingsniveau voor verdere doorgiften van dergelijke gegevens door de PIHBO naar een ontvanger in een derde land. Dit gebeurt door het beperken en inkaderen van de bases voor internationale doorgiften die door de PIHBO kunnen worden gebruikt als alternatief voor instemming. Meer in het bijzonder, en onverminderd de afwijkingen die worden vermeld in artikel 23, lid 1, van de APPI, kunnen persoonsgegevens die uit hoofde van deze beschikking worden doorgegeven, slechts in twee gevallen worden onderworpen aan (verdere) doorgifte zonder toestemming: i) waar de gegevens worden verzonden naar een derde land waarvan de PPC krachtens artikel 24 van de APPI heeft erkend dat het beschermingsniveau gelijkwaardig is aan dat in Japan (47), of (ii) waar de PIHBO en de derde-ontvanger samen maatregelen hebben uitgevoerd met die een beschermingsniveau verschaffen dat gelijkwaardig aan de APPI, gelezen in samenhang met de aanvullende voorschriften, door middel van een contract, andere vormen van bindende overeenkomsten of bindende afspraken binnen een concern. De tweede categorie stemt overeen met de instrumenten die worden gebruikt in het kader van Verordening (EU) 2016/679 om te zorgen voor passende waarborgen (met name contractclausules en bindende bedrijfsvoorschriften). Bovendien blijft, zoals bevestigd door de PPC, zelfs in die gevallen de doorgifte onderworpen aan de algemene voorschriften die van toepassing zijn op de verschaffing van persoonsgegevens aan een derde in het kader van de APPI (d.w.z. de eis om toestemming te verkrijgen op grond van artikel 23, lid 1, of — subsidiair — de vereisten van artikel 23, lid 2, van de APPI). Indien de betrokkene niet kan worden bereikt met een verzoek om toestemming of teneinde de vereiste voorafgaande informatie op grond van artikel 23, lid 2, van de APPI te verschaffen, is het mogelijk dat de doorgifte niet plaatsvindt. |
(79) |
Daarom verbieden de voorschriften van aanvullend voorschrift 4) het gebruik van doorgifte-instrumenten die niet tot een bindende relatie tussen de Japanse gegevensexporteur en gegevensimporteur van het derde land leiden en die niet het vereiste beschermingsniveau garanderen — buiten de gevallen waarin de PPC heeft vastgesteld dat het betrokken derde land een beschermingsniveau garandeert dat gelijkwaardig is aan het niveau dat door de APPI (48) wordt gewaarborgd. Dit geldt bijvoorbeeld voor het APEC-systeem van grensoverschrijdende privacyregels (APEC Cross Border Privacy Rules — CBPR), waarvan de Japanse economie deel uitmaakt (49), aangezien in dat systeem de bescherming niet voortvloeit uit een overeenkomst tussen de exporteur en de importeur in het kader van hun bilaterale betrekkingen, en deze bescherming duidelijk van een lager niveau is dan de bescherming die wordt geboden door de combinatie van de APPI en de aanvullende voorschriften (50). |
(80) |
Tot slot wordt nog een extra waarborg in geval van (verdere) doorgifte geboden door de artikelen 20 en 22 van het APPI. Op grond van deze bepalingen moet een exploitant uit een derde land (gegevensimporteur) die handelt namens de PIHBO (gegevensexporteur) — dat wil zeggen als (sub-)verwerker — zorgen voor toezicht op de eerstgenoemde wat de beveiliging van de gegevensverwerking betreft. |
2.3.10. Individuele rechten
(81) |
Net als de gegevensbeschermingswetgeving van de EU verleent de APPI individuen een aantal afdwingbare rechten. Deze omvatten het recht op toegang („bekendmaking”), het recht om de gegevens te laten corrigeren of wissen, en het recht om bezwaar te maken („beëindiging van gebruik”). |
(82) |
In de eerste plaats heeft een betrokkene op grond van artikel 28, lid 1, en 2, van de APPI, het recht om een PIHBO te verzoeken om bekendmaking van te bewaren persoonsgegevens die hem of haar kunnen identificeren en na ontvangst van een dergelijk verzoek moet de PIHBO de te bewaren persoonsgegevens bekendmaken aan de betrokkene. Artikel 29 (recht op correctie) en 30 (recht op beëindiging van gebruik) hebben dezelfde structuur als artikel 28. |
(83) |
In artikel 9 van het kabinetsdecreet wordt bepaald dat de bekendmaking van persoonlijke informatie, zoals bedoeld in artikel 28, lid 2, van de APPI, schriftelijk moet worden uitgevoerd, tenzij de PIHBO en de betrokkene anders zijn overeengekomen. |
(84) |
Deze rechten zijn onderworpen aan drie soorten beperkingen, betreffende de persoon of de rechten en belangen van derden (51), ernstige inmenging in de bedrijfsactiviteiten van de PIHBO (52) alsook gevallen waarin de bekendmaking in strijd zou zijn met andere wettelijke of bestuursrechtelijke voorschriften (53). De situaties waarin deze beperkingen zouden gelden, zijn vergelijkbaar met sommige van de uitzonderingen op grond van artikel 23, lid 1, van Verordening (EU) 2016/679, die beperkingen mogelijk maken van de rechten van personen om redenen die verband houden met de „bescherming van de betrokkene of van de rechten en vrijheden van anderen” of „andere belangrijke doelstellingen van algemeen belang”. Hoewel de categorie van gevallen waarin de bekendmaking in strijd zou zijn met „andere wettelijke en bestuursrechtelijke bepalingen” ruim kan lijken, moeten wetten en bestuursrechtelijke bepalingen die voorzien in beperkingen op dit gebied in overeenstemming zijn met het grondwettelijke recht op privacy en kunnen zij uitsluitend beperkingen opleggen voor zover de uitoefening van dit recht het openbare welzijn zou verstoren (54). Hiervoor is een afweging van de betrokken belangen noodzakelijk. |
(85) |
Artikel 28, lid 3, van de APPI bepaalt dat indien de gevraagde gegevens niet bestaan, of wanneer de betrokken PIHBO besluit geen toegang te verlenen tot de bewaarde gegevens, hij verplicht is de aanvrager onverwijld in kennis te stellen. |
(86) |
In de tweede plaats heeft een betrokkene op grond van artikel 29, leden 1 en 2, van de APPI het recht te verzoeken om correctie, toevoeging of schrapping van zijn/haar te bewaren persoonsgegevens wanneer die gegevens onjuist zijn. Na ontvangst van een dergelijk verzoek moet de PIHBO een noodzakelijk onderzoek verrichten en op basis van de uitkomsten van een dergelijk onderzoek de inhoud van de bewaarde gegevens corrigeren. |
(87) |
In de derde plaats heeft een betrokkene overeenkomstig artikel 30, leden 1 en 2, van de APPI recht om een PIHBO te verzoeken het gebruik van persoonsinformatie te beëindigen of te wissen, wanneer deze wordt gehanteerd in strijd met artikel 16 (inzake de doelbinding) of ten onrechte is verkregen in strijd met artikel 17 van de APPI (inzake de verkrijging door bedrog, andere onrechtmatige middelen of, in het geval van gevoelige gegevens, zonder toestemming). Eveneens heeft een individu op grond van artikel 30, leden 3 en 4, van de APPI het recht om de PIHBO te verzoeken te stoppen met het verstrekken van de informatie aan een derde, indien dit in strijd is met de bepalingen van artikel 23, lid 1, of artikel 24 van de APPI (inzake de verstrekking aan derden partijen, inclusief internationale doorgiften). |
(88) |
Wanneer het verzoek gegrond is, moet de PIHBO onverwijld het gebruik van de gegevens de verstrekking aan een derde partij stoppen, voor zover dit noodzakelijk is om een einde te maken aan de inbreuk of — indien een zaak onder een uitzondering valt (met name indien het stopzetten van het gebruik bijzonder hoge kosten zou veroorzaken) (55) — alternatieve maatregelen toepassen om het recht en de belangen van de persoon in kwestie te waarborgen. |
(89) |
Anders dan de EU-wetgeving bevatten de APPI en de toepasselijke uitvoeringsvoorschriften geen specifieke wettelijke bepalingen om bezwaar te kunnen maken tegen verwerking ten behoeve van direct marketing. Niettemin zal deze verwerking, op grond van dit besluit, plaatsvinden in de context van een doorgifte van persoonsgegevens die eerder waren verzameld in de Europese Unie. Op grond van artikel 21, lid 2, van Verordening (EU) 2016/679, moet de betrokkene altijd de mogelijkheid hebben om bezwaar te maken tegen een doorgifte van gegevens met het oog op verwerking voor direct marketing. Bovendien moet, zoals uiteengezet in overweging 43, een PIHBO het gebruiksdoel op grond van aanvullend voorschrift 3 de gegevens verwerken die hij op grond van het besluit heeft ontvangen voor hetzelfde doel waarvoor de gegevens zijn doorgegeven vanuit de Europese Unie, tenzij de betrokkene ermee instemt dat het gebruiksdoel wordt gewijzigd.Indien de doorgifte is gebeurd voor andere doeleinden dan direct marketing, wordt een PIHBO in Japan uitgesloten van verwerking van de gegevens met het oog op rechtstreekse marketing zonder toestemming van de betrokkene in de EU. |
(90) |
In alle gevallen als bedoeld in de artikelen 28 en 29 van de APPI moet de PIHBO de betrokkene onverwijld in kennis stellen van de uitkomst van zijn/haar verzoek en bovendien een verklaring geven voor een eventuele (gedeeltelijke) weigering op basis van de statutaire uitzonderingen als bedoeld in de artikelen 27 tot en met 30 (artikel 31 van de APPI). |
(91) |
Wat betreft de voorwaarden om een verzoek in te dienen, staat artikel 32 van de APPI (samen met het kabinetsdecreet) de PIHBO toe redelijke procedures vast te stellen, ook wat betreft de informatie die nodig is om de te bewaren persoonsgegevens te identificeren. Op grond van lid 4 van dat artikel mag een PIHBO echter geen buitensporige last aan een betrokkene opleggen. In bepaalde gevallen mag de PIHBO ook een vergoeding opleggen zolang het bedrag is aan te merken als redelijk in verhouding tot de werkelijke kosten (artikel 33 van de APPI). |
(92) |
Tot slot mag de betrokkene op grond van artikel 23, lid 2, van de APPI bezwaar maken tegen de verschaffing van zijn/haar persoonsinformatie aan een derde partij, of op grond van artikel 23, lid 1, toestemming weigeren (en aldus bekendmaking voorkomen indien er geen andere rechtsgrondslag is). Eveneens kan de betrokkene een einde maken aan de verwerking van gegevens voor een ander doel door toestemming te weigeren op grond van artikel 16, lid 1, van de APPI. |
(93) |
Anders dan het recht van de Unie bevatten de APPI en de toepasselijke wettelijke voorschriften geen algemene voorzieningen die zijn gericht op de kwestie van besluiten die de betrokkene betreffen en die alleen zijn gebaseerd op de geautomatiseerde verwerking van persoonsgegevens. Die kwestie komt echter aan de orde in bepaalde in Japan toepasselijke sectorale voorschriften die bijzonder relevant zijn voor dit type van verwerking. Dit omvat de sectoren waarin het aannemelijk is dat ondernemingen een beroep doen op de geautomatiseerde verwerking van persoonsgegevens om beslissingen te nemen die individuen raken (bv. de financiële sector). Zo vereisen de „Globale richtsnoeren voor het toezicht op grote banken”, als herzien in juni 2017, dat het betrokken individu specifieke toelichting krijgt over de redenen voor de afwijzing van een verzoek om sluiting van een kredietovereenkomst. Op deze wijze bieden deze voorschriften bescherming in het waarschijnlijk beperkte aantal zaken waar automatische beslissingen zouden worden genomen door de „importerende” Japanse bedrijfsexploitant zelf (en niet door de „exporterende” gegevensverwerkingsverantwoordelijke in de EU). |
(94) |
In elk geval wordt — wat betreft de persoonsgegevens die in de Europese Unie zijn verzameld — elk besluit dat is gebaseerd op geautomatiseerde verwerking, doorgaans genomen door de verwerkingsverantwoordelijke in de Unie (die een directe relatie met de betrokkene heeft) en is daarom onderworpen aan Verordening (EU) 2016/679 (56). Dit omvat doorgiftescenario's waarin de verwerking wordt uitgevoerd door een buitenlandse (bijvoorbeeld Japanse) bedrijfsexploitant die handelt als verwerker namens de verwerkingsverantwoordelijke in de EU (of als sub-verwerker die handelt namens de verwerker in de EU, die de gegevens heeft ontvangen van een EU-verwerkingsverantwoordelijke die deze verzameld heeft) die op deze basis de beslissing neemt. Daarom is het waarschijnlijk dat het ontbreken van specifieke voorschriften voor geautomatiseerde besluitvorming in de APPI een weerslag heeft op het niveau van de bescherming van persoonsgegevens die in het kader van dit besluit worden doorgegeven. |
2.4. Toezicht en handhaving
2.4.1. Onafhankelijk toezicht
(95) |
Om ervoor te zorgen dat ook in de praktijk een passend niveau van bescherming van persoonsgegevens wordt gewaarborgd, moet er worden voorzien in een onafhankelijke toezichthoudende autoriteit met bevoegdheden tot monitoring en handhaving van de naleving van de gegevensbeschermingsvoorschriften. Deze autoriteit moet volledig onafhankelijk en onpartijdig handelen bij de uitvoering van zijn taken en de uitoefening van zijn bevoegdheden. |
(96) |
In Japan is de PPC de autoriteit die is belast met de monitoring en handhaving van de APPI. Die commissie bestaat uit een voorzitter en acht commissarissen die door de premier worden benoemd met instemming van beide kamers van het parlement. De ambtstermijn van de voorzitter en elk van de commissarissen is vijf jaar, met de mogelijkheid van herbenoeming (artikel 64 van de APPI). Commissarissen mogen alleen worden ontslagen om goede redenen in een beperkt aantal uitzonderlijke omstandigheden (57), zij mogen niet actief betrokken zijn bij politieke activiteiten. Bovendien moeten voltijdse commissarissen zich op grond van de APPI onthouden van andere bezoldigde activiteiten of bedrijfsactiviteiten. Alle commissarissen zijn ook onderworpen aan interne voorschriften waardoor zij niet kunnen deelnemen aan overleg in geval van mogelijke belangenconflicten. Zij wordt bijgestaan door een secretariaat, onder leiding van een secretaris-generaal, die is opgericht ter uitvoering van de taken van de PPC (artikel 70 van de APPI). Zowel de Commissieleden als alle ambtenaren van het secretariaat zijn gebonden aan strikte geheimhoudingsvoorschriften (artikelen 72 en 82 van de APPI). |
(97) |
De bevoegdheden van de PPC, die zij uitoefent in volledige onafhankelijkheid (58), zijn voornamelijk vastgelegd in de artikelen 40, 41 en 42 van de APPI. Krachtens artikel 40 kan de PPC PIHBO's verzoeken om verslagen of documenten over verwerkingsoperaties in te dienen en kan ook inspecties verrichten, zowel ter plaatse als in de boekhouding of andere documenten. Voor zover dir voor de handhaving van de APPI noodzakelijk is, mag de PPC de PIHBO's ook richtsnoeren en adviesgeven over de behandeling van persoonsgegevens. De PPC heeft al gebruikgemaakt van zijn bevoegdheden op grond van artikel 41 APPI door richtsnoeren te verschaffen aan Facebook, naar aanleiding van de onthullingen rond Facebook en Cambridge Analytica. |
(98) |
Het belangrijkste is dat de PPC de bevoegdheid heeft om in individuele gevallen — naar aanleiding van een klacht of op eigen initiatief — aanbevelingen en decreten uit te vaardigen ter wille van de handhaving van de APPI en andere bindende voorschriften (met inbegrip van de aanvullende voorschriften). Deze bevoegdheden zijn vastgelegd in artikel 42 van de APPI. Terwijl de leden 1 en 2 voorzien in een tweestappenmechnisme waarbij de PPC alleen een decreet kan uitvaardigen naar aanleiding van een voorafgaande aanbeveling, voorziet lid 3 in de rechtstreekse vaststelling van een decreet in spoedeisende gevallen. |
(99) |
Hoewel niet alle bepalingen van hoofdstuk IV, afdeling 1, van de APPI zijn opgenomen in artikel 42, lid 1, — waarin ook het toepassingsgebied van artikel 42, lid 2, wordt bepaald — kan dit worden verklaard door het feit dat sommige van die bepalingen geen betrekking hebben op verplichtingen van de PIHBO (59), en dat alle essentiële bescherming reeds wordt geboden door andere bepalingen in die lijst. Een voorbeeld: hoewel artikel 15 (waarin de PIHBO wordt verplicht om het gebruiksdoel vast te stellen en de relevante persoonsinformatie uitsluitend in overeenstemming daarmee te verwerken) niet wordt genoemd, kan het niet voldoen aan dit vereiste aanleiding geven voor een aanbeveling op basis van een schending van artikel 16, lid 1 (waarin de PIHBO wordt verboden persoonsinformatie verder te verwerken dan noodzakelijk is om het gebruiksdoel te bereiken, tenzij met toestemming van de betrokkene) (60). Een andere bepaling die niet in artikel 42, lid 1, wordt opgenoemd is artikel 19 van de APPI betreffende nauwkeurigheid en bewaring van gegevens. De niet-naleving van die bepaling kan worden gehandhaafd hetzij als een schending van artikel 16, lid 1, hetzij op basis van een schending van artikel 29, lid 2, indien de betrokkene verzoekt om rectificatie of verwijdering van en de onjuiste of overbodige gegevens en de PIHBO weigert te voldoen aan het verzoek. Wat betreft de rechten van de betrokkene op grond van de artikelen 28, lid 1, 29, lid 1, en 30, lid 1, wordt toezicht door de PPC gewaarborgd door haar handhavingsbevoegdheden met betrekking tot de overeenkomstige verplichtingen van de PIHBO die in die artikelen zijn vastgelegd. |
(100) |
Op grond van artikel 42, lid 1, van de APPI kan de PPC, indien zij erkent dat er behoefte is aan bescherming van de rechten en belangen van een individu in zaken waarin een PIHBO specifieke APPI-bepalingen heeft geschonden, een aanbeveling doen tot stopzetting van de schending of andere noodzakelijke maatregelen nemen om de schending teniet te doen. Een dergelijke aanbeveling is niet bindend, maar opent de weg voor een bindend decreet krachtens artikel 42, lid 2, van de APPI. Op basis van deze bepaling kan de PPC, indien de aanbeveling „zonder geldige reden” niet wordt opgevolgd en zij onderkent dat een ernstige schending van de rechten en belangen van een individu dreigt te ontstaan, de PIHBO bevelen om actie te ondernemen in overeenstemming met de aanbeveling. |
(101) |
De aanvullende voorschriften vormen een nadere verduidelijking en versterking van de handhavingsbevoegdheden van de PPC. Meer bepaald zal de PPC in gevallen waarin sprake is van uit de Europese Unie ingevoerde gegevens, het nalaten van een PIHBO om — zonder legitieme reden — actie te ondernemen in overeenstemming met een aanbeveling van de APPI overeenkomstig artikel 42, lid 1, aanmerken als een ernstige schending van onmiddellijke aard van de rechten en belangen van een individu in de zin van artikel 42, lid 2, en derhalve als een inbreuk die aanleiding geeft tot de uitvaardiging van een bindend decreet. Bovendien aanvaardt de PPC als „legitieme reden” voor het niet voldoen aan een aanbeveling alleen een gebeurtenis van bijzondere aard waarbij het niet-voldoen buiten de macht van de PIHBO valt, die redelijkerwijs niet kan worden voorzien (bijvoorbeeld, natuurrampen) of gevallen waarin de noodzaak om actie met betrekking tot de aanbeveling te ondernemen is vervallen omdat de PIHBO alternatieve maatregelen heeft genomen, waarmee de schending volledig wordt opgeheven. |
(102) |
Niet-nakoming van een PPC-decreet wordt aangemerkt als een strafbaar feit op grond van artikel 84 van de APPI, en een PIHBO die schuldig wordt bevonden, kan worden bestraft met gevangenisstraf met arbeid tot zes maanden, of met een geldboete tot 300 000 yen. Bovendien kan op grond van artikel 85, onder i), van de APPI niet-samenwerking met de PPC of obstructie van het onderzoek worden bestraft met een geldboete van maximaal 300 000 yen. Deze strafrechtelijke sancties zijn van toepassing naast de sancties die kunnen worden opgelegd voor wezenlijke schendingen van de APPI (zie overweging 108). |
2.4.2. Gerechtelijk beroep
(103) |
Om een adequate rechtsbescherming en vooral handhaving van individuele rechten te garanderen, moeten aan de betrokkene doeltreffende administratieve en gerechtelijke rechtsmiddelen worden toegekend, met inbegrip van een recht op schadeloosstelling. |
(104) |
Alvorens administratief beroep of beroep in rechte in te stellen, of in plaats daarvan, kan een individu besluiten een klacht in te dienen over de verwerking van zijn/haar persoonsgegevens bij de voor de verwerking verantwoordelijke zelf. Op basis van artikel 35 van de PIHBO's APPI streeft ernaar dergelijke klachten „op passende wijze en prompt” te behandelen en interne klachtenafhandelingsprocedures vast te stellen om deze doelstelling te bereiken. Bovendien is de PPC op grond van artikel 61, onder ii), van de APPI verantwoordelijk voor de nodige bemiddeling naar aanleiding van een ingediende klacht en samenwerking die is aangeboden aan een exploitant van een bedrijf die de klacht behandelt; in beide gevallen omvat dit ook klachten van buitenlanders. In dit opzicht heeft de Japanse wetgever de centrale overheid ook belast met de taak om de nodige maatregelen te nemen om de afwikkeling van klachten door PIHBO's mogelijk te maken en te vergemakkelijken (artikel 9), terwijl de lokale overheden moeten trachten te bemiddelen in dergelijke gevallen (artikel 13). In dat verband mogen natuurlijke personen een klacht indienen bij een van de meer dan 1 700 consumentencentra die door lokale overheden zijn opgericht op basis van de Wet betreffende de veiligheid van de consumenten (61), in aanvulling op de mogelijkheid om een klacht in te dienen bij het Nationaal Centrum voor Consumentenzaken van Japan. Dergelijke klachten kunnen ook worden ingediend met betrekking tot een schending van de APPI. Op grond van artikel 19 van de Organieke wet op consumentenbescherming (62) moeten lokale overheden ernaar streven te bemiddelen bij klachten en de partijen van de nodige deskundigheid te voorzien. Deze geschillenbeslechtingsmechanismen blijken doeltreffend te zijn, aangezien in 2015 91,2 % van de meer dan 75 000 klachten is opgelost. |
(105) |
Schendingen van de bepalingen van de APPI door een PIHBO kunnen aanleiding geven tot civiele procedures en tot strafzaken en sancties. In de eerste plaats kan een natuurlijke persoon die van mening is dat zijn/haar rechten op grond van de artikelen 28, 29 en 30 van de APPI zijn geschonden, vragen om een dwangmiddel tot rechtsherstel door de rechter te verzoeken een PIHBO te gelasten om te voldoen aan zijn/haar verzoek uit hoofde van een van deze bepalingen, dat wil zeggen bewaarde persoonsgegevens bekend te maken (artikel 28), onjuiste bewaarde persoonsgegevens te corrigeren (artikel 29) of onrechtmatige verwerking of verstrekking aan derde partijen stop te zetten (artikel 30). Een dergelijke vordering kan worden ingesteld zonder dat beroep wordt gedaan op artikel 709 van het burgerlijk wetboek (63) of andere wetgeving inzake onrechtmatige daad (64). Dit betekent in het bijzonder dat de betrokkene geen geleden schade behoeft aan te tonen. |
(106) |
Ten tweede, in het geval een vermeende inbreuk geen betrekking hebben op individuele rechten op grond van de artikelen 28, 29 en 30, maar de algemene beginselen inzake gegevensbescherming, of de verplichtingen van de PIHBO de betrokken persoon kan een civiele procedure instellen tegen de exploitant gebaseerd op de bepalingen inzake onrechtmatige daad van de Japanse burgerlijk wetboek, met name artikel 709. Voor een rechtsvordering krachtens artikel 709 is, afgezien van schuld (opzet of nalatigheid), een bewijs van schade nodig, en overeenkomstig artikel 710 van het Burgerlijk Wetboek kan een dergelijke schade zowel materieel als immaterieel zijn. Er geldt geen beperking ten aanzien van de hoogte van de schadevergoeding. |
(107) |
Wat de beschikbare rechtsmiddelen betreft, is in artikel 709 van de Japanse burgerlijk wetboek sprake van financiële compensatie. In de Japanse jurisprudentie is dit artikel echter aldus uitgelegd dat het ook het recht verleent om een gerechtelijk bevel te verkrijgen (65). Indien een betrokkene een beroep op grond van artikel 709 van het Burgerlijk Wetboek instelt en betoogt dat zijn/haar rechten of belangen zijn geschaad door schending van een APPI-bepaling door de verweerder, kan de vordering daarom, afgezien van schadevergoeding, bestaan uit een verzoek om een dwangmaatregel, met name gericht op het stoppen van onrechtmatige verwerking. |
(108) |
Ten derde kan de betrokkene, naast de middelen van burgerlijk recht (onrechtmatige daad), ten aanzien van een overtreding van de APPI bij een openbare aanklager of een functionaris van de gerechtelijke politie een klacht indienen die tot strafrechtelijke sancties kan leiden. Hoofdstuk VII van de APPI bevat een aantal strafrechtelijke bepalingen. De belangrijkste (artikel 84) heeft betrekking op de niet-naleving door de PIHBO van een bevel van de PPC overeenkomstig artikel 42, leden 2 en 3. Indien een bedrijfsexploitant een bevel van de PPC niet naleeft, kan de voorzitter van de PPC (en elke andere overheidsambtenaar) (66) de zaak doorverwijzen naar de openbare aanklager of de functionaris van de gerechtelijke politie en op die manier een strafrechtelijke procedure in gang zetten. De straf voor overtreding van een bevel van de PPC is gevangenisstraf met dwangarbeid van ten hoogste zes maanden of een geldboete van ten hoogste 300 000 yen. Andere bepalingen van de APPI die voorzien in sancties bij overtredingen van de APPI waardoor de rechten en belangen van betrokkenen in het gedrang komen, zijn artikel 83 (over het „heimelijk verstrekken of gebruiken” van een databank met persoonsinformatie „uit illegaal winstbejag”) en artikel 88, onder i) (over het verzuim van een derde om de PIHBO naar behoren in kennis te stellen wanneer laatstgenoemde persoonsgegevens ontvangt overeenkomstig artikel 26, lid 1, van de APPI, met name over de details van de eerdere verwerving van dergelijke gegevens door deze derde). De straffen voor dergelijke overtredingen van de APPI zijn respectievelijk gevangenisstraf met dwangarbeid van ten hoogste één jaar of een boete van ten hoogste 500 000 yen (in geval van artikel 83) of een administratieve boete van ten hoogste 100 000 yen (in geval van artikel 88, onder i)). Terwijl de dreiging van een strafrechtelijke sanctie waarschijnlijk reeds een sterk afschrikkend effect heeft op het management dat leiding geeft aan de verwerkingsactiviteiten van de PIHBO en op de personen die de gegevens behandelen, verduidelijkt artikel 87 van de APPI dat wanneer een vertegenwoordiger, werknemer of ander personeelslid van een onderneming de artikelen 83 tot en met 85 van de APPI heeft geschonden, „hij wordt bestraft en aan de betrokken onderneming de in de respectieve artikelen bepaalde geldboete wordt opgelegd”. In dit geval kunnen zowel aan de werknemer als aan de onderneming sancties worden opgelegd die tot het volledige maximumbedrag kunnen gaan. |
(109) |
Ten slotte kunnen ook particulieren rechtsmiddelen instellen tegen het handelen of niet-handelen van de PPC. Het Japanse recht biedt diverse mogelijkheden om administratieve en gerechtelijke rechtsmiddelen in te stellen. |
(110) |
Als iemand niet tevreden is met de handelswijze van de PPC, kan hij of zij administratief beroep instellen krachtens de Wet toetsing administratieve klachten (67). Wanneer iemand van mening is dat de PPC ten onrechte niet in actie is gekomen, kan hij of zij de PPC overeenkomstig artikel 36-3 van die wet verzoeken een beslissing te nemen of administratieve instructie te geven als hij of zij van mening is dat „een beslissing of administratieve instructie die nodig is om de overtreding te corrigeren, niet is genomen of opgelegd”. |
(111) |
Wat gerechtelijk beroep betreft, kan een particulier die niet tevreden is met een administratieve beslissing van de PPC, krachtens de Wet administratieve procesvoering een beroep (68) instellen waarbij de rechter wordt verzocht om de PPC te bevelen verdere actie te ondernemen (69). In sommige gevallen mag de rechter ook een voorlopig bevelschrift uitvaardigen om onherstelbare schade te voorkomen (70). Voorts mag een particulier krachtens dezelfde wet om herroeping van een beslissing van de PPC verzoeken (71). |
(112) |
Ten slotte kan een particulier krachtens artikel 1, lid 1, van de Wet schadevergoedingen van de staat ook een zaak tegen de PPC aanspannen en om schadevergoeding van de staat verzoeken als hij of zij schade heeft geleden als gevolg van het feit dat een door de PPC aan een bedrijfsexploitant gegeven bevel onwettig was of de PPC haar gezag niet heeft uitgeoefend. |
3. TOEGANG TOT EN GEBRUIK VAN DOOR UIT DE EUROPESE UNIE DOORGEGEVEN PERSOONSGEGEVENS DOOR OVERHEIDSINSTANTIES IN JAPAN
(113) |
De Commissie heeft ook de beperkingen en waarborgen beoordeeld, inclusief de mechanismen voor toezicht en individueel verhaal in het Japanse recht met betrekking tot de verzameling en het daaropvolgende gebruik van persoonsgegevens die door overheidsinstanties in het openbaar belang, met name handhaving van het strafrecht en nationale veiligheid, worden doorgegeven aan bedrijfsexploitanten in Japan („overheidstoegang”). In dit verband heeft de Japanse regering de Commissie op het hoogste niveau van ministeries en andere overheidsinstanties ondertekende officiële verklaringen, garanties en toezeggingen verstrekt die in bijlage II bij dit besluit zijn opgenomen. |
3.1. Algemeen rechtskader
(114) |
Als uitoefening van openbaar gezag moet de overheidstoegang in Japan met volledige eerbiediging van het recht geschieden (legaliteitsbeginsel). De Japanse Grondwet bevat bepalingen die het verzamelen van persoonsgegevens door overheidsinstanties aan beperkingen en regels onderwerpen. Zoals al vermeld in verband met de verwerking door bedrijfsexploitanten, heeft het Japanse Hooggerechtshof het recht op privacy en gegevensbescherming erkend op basis van artikel 13 van de Grondwet, dat onder meer het recht op vrijheid beschermt (72). Een belangrijk aspect van dat recht is de vrijheid dat persoonsinformatie niet zonder toestemming aan een derde mag worden bekendgemaakt (73). Dit impliceert een recht op doeltreffende bescherming van persoonsgegevens tegen misbruik en (met name) illegale toegang. Verdere bescherming wordt geboden door artikel 35 van de Grondwet, inzake het recht van alle personen op veiligheid van hun woning, documenten en eigendommen, waardoor overheidsinstanties in alle gevallen van „huiszoeking en inbeslagneming” op „toereikende grond” (74) een rechterlijk bevel moeten verkrijgen. In zijn arrest van 15 maart 2017 (zaak GPS) heeft het Hooggerechtshof verduidelijkt dat dit vereiste van een rechterlijk bevel altijd geldt wanneer de overheid zich in de privésfeer mengt („binnentreedt”) op een wijze die de wil van het individu negeert en dus door middel van een „verplicht onderzoek”. Een rechter mag een dergelijk bevel alleen afgeven op grond van een concrete verdenking van strafbare feiten, d.w.z. als hem bewijsstukken worden verstrekt waaruit blijkt dat degene tegen wie het onderzoek is ingesteld, een strafbaar feit heeft gepleegd (75). De Japanse autoriteiten hebben dus geen wettelijke bevoegdheid om op een verplichte manier persoonsinformatie te verzamelen wanneer nog geen wetsovertreding heeft plaatsgevonden (76), bijvoorbeeld om een misdrijf of andere bedreiging van de veiligheid te voorkomen (zoals het geval is voor onderzoeken op grond van nationale veiligheid). |
(115) |
Volgens het legaliteitsbeginsel moet elke verzameling van gegevens in het kader van een gedwongen onderzoek specifiek door de wet worden toegestaan (zoals bijvoorbeeld ook is aangegeven in artikel 197, lid 1, van het Wetboek van strafvordering met betrekking tot de verplichte verzameling van informatie voor een strafrechtelijk onderzoek). Dit vereiste is ook van toepassing op toegang tot elektronische informatie. |
(116) |
Belangrijk is dat artikel 21, lid 2, van de Grondwet het geheim van alle communicatiemiddelen garandeert, waarbij beperkingen alleen toegestaan zijn door wetgeving op gronden van algemeen belang. Artikel 4 van de Wet op het telecommunicatiebedrijf, volgens welk de geheimhouding van door een telecommunicatie-exploitant verwerkte communicatie niet mag worden geschonden, vormt de uitwerking van dit vertrouwelijkheidsvereiste op het niveau van de wetgeving. Dit is zo uitgelegd dat de openbaarmaking van communicatie-informatie verboden is, behalve met toestemming van de gebruikers of op grond van een van de uitdrukkelijke uitzonderingen op de strafrechtelijke aansprakelijkheid in het Wetboek van strafrecht (77). |
(117) |
De Grondwet waarborgt ook het recht op toegang tot de rechter (artikel 32) en het recht om de staat aansprakelijk te stellen wanneer iemand schade heeft geleden door een onwettige handeling van een overheidsfunctionaris (artikel 17). |
(118) |
Wat specifiek het recht op gegevensbescherming betreft, zijn in hoofdstuk III, afdelingen 1, 2 en 3 van de APPI algemene beginselen vastgesteld voor alle sectoren, inclusief de overheidssector. Met name bepaalt artikel 3 van de APPI dat alle persoonsinformatie in overeenstemming met het beginsel van de eerbiediging van de persoonlijkheid van particulieren moet worden behandeld. Zodra persoonsinformatie, ook in elektronische vorm, door overheidsinstanties (78) is verzameld („verkregen”), valt de verwerking ervan onder de Wet inzake de bescherming van persoonsinformatie die bij bestuursorganen berusten (APPIHAO) (79). Hieronder valt in beginsel (80) ook de verwerking van persoonsinformatie met het oog op strafrechtshandhaving of nationale veiligheid. De APPIHAO bepaalt onder meer dat overheidsinstanties: i) persoonsinformatie alleen mogen bewaren voor zover dat noodzakelijk is voor de uitvoering van hun taken; ii) dergelijke gegevens niet voor een ongerechtvaardigd doel mogen gebruiken of zonder rechtvaardiging aan een derde mogen meedelen; iii) het doel moeten specificeren en dat doel niet mogen wijzigen ten opzichte van wat redelijkerwijs als relevant kan worden beschouwd voor het oorspronkelijke doel (doelbinding); iv) in beginsel geen gebruik mogen maken van of geen derde in kennis mogen stellen van de bewaarde persoonsinformatie voor andere doeleinden en, indien zij dit noodzakelijk achten, beperkingen moeten opleggen ten aanzien van de door derden gehanteerde doelstelling of gebruikswijze; v) ernaar moeten streven de juistheid van de gegevens te waarborgen (gegevenskwaliteit); vi) de nodige maatregelen moeten treffen voor een goed beheer van de gegevens en om lekken, diefstal of schade te voorkomen (gegevensbeveiliging), en vii) ernaar moeten streven klachten over de verwerking van de gegevens correct en snel te behandelen (81). |
3.2. Toegang van en gebruik door de Japanse overheidsdiensten met het oog op strafrechtshandhaving
(119) |
De Japanse wetgeving bevat een aantal beperkingen met betrekking tot de toegang tot en het gebruik van persoonsgegevens met het oog op strafrechtshandhaving, alsook toezicht- en verhaalmechanismen die voldoende waarborgen bieden om die gegevens doeltreffend te beschermen tegen onrechtmatige inmenging en het risico van misbruik. |
3.2.1. Rechtsgrondslag en toepasselijke beperkingen/waarborgen
(120) |
Naar Japans recht is het verzamelen van elektronische informatie voor strafrechtshandhavingsdoeleinden toegestaan op basis van een bevel (verplichte verzameling) of een verzoek om vrijwillige verstrekking van gegevens. |
3.2.1.1.
(121) |
Zoals in overweging 115 is gezegd, moet het verzamelen van gegevens in het kader van een gedwongen onderzoek specifiek worden toegestaan door de wet, en kan dit alleen geschieden op basis van een „op toereikende grond” uitgevaardigd rechterlijk bevel (artikel 35 van de Grondwet). Wat het onderzoek naar strafbare feiten betreft, wordt dit vereiste weerspiegeld in de bepalingen van het Wetboek van strafvordering. Volgens artikel 197, lid 1, van het Wetboek van strafvordering worden verplichte maatregelen „niet toegepast tenzij in dit wetboek specifieke bepalingen zijn vastgesteld”. Wat het verzamelen van elektronische informatie betreft, zijn de enige relevante (82) rechtsgrondslagen artikel 218 (huiszoeking en inbeslagneming) en artikel 222-2 van het Wetboek van strafvordering; volgens deze artikelen moeten verplichte maatregelen voor het onderscheppen van elektronische communicatie zonder toestemming van de partijen worden uitgevoerd op basis van een andere wet, namelijk de Wet op het aftappen voor strafrechtelijk onderzoek (aftapwet). In beide gevallen is een rechterlijk bevel vereist. |
(122) |
Meer in het bijzonder mag een openbaar aanklager, assistent-openbaar aanklager of functionaris van de gerechtelijke politie krachtens artikel 218, lid 1, van het Wetboek van strafvordering, indien dit voor het onderzoek van een strafbaar feit noodzakelijk is, een doorzoeking of inbeslagneming verrichten (inclusief van gegevens) op grond van een van tevoren door een rechter uitgevaardigd bevel (83). Een dergelijk bevel moet onder meer de naam van de verdachte of beklaagde, het ten laste gelegde feit (84), de in beslag te nemen elektromagnetische gegevens en de te inspecteren „plaats of artikelen” bevatten (artikel 219, lid 1, van het Wetboek van strafvordering). |
(123) |
Wat de onderschepping van communicatie betreft: artikel 3 van de aftapwet staat dergelijke maatregelen slechts onder strikte voorwaarden toe. De overheidsinstanties moeten met name een voorafgaand rechterlijk doorzoekingsbevel verkrijgen dat alleen mag worden uitgevaardigd voor het onderzoek van specifieke ernstige strafbare feiten (die vermeld zijn in de bijlage bij die wet) (85) en wanneer het „uiterst moeilijk is om op andere wijze de crimineel te identificeren of de omstandigheden/details van de overtreding op te helderen” (86). Krachtens artikel 5 van de aftapwet wordt het bevel uitgevaardigd voor een beperkte tijd en kan de rechter bijkomende voorwaarden stellen. Verder voorziet de aftapwet in nog een aantal waarborgen, zoals de vereiste aanwezigheid van getuigen (artikelen 12 en 20), het verbod op het afluisteren van de communicatie van bepaalde bevoorrechte groepen (bv. artsen, advocaten) (artikel 15), de verplichting het aftappen te beëindigen wanneer het niet meer gerechtvaardigd is, zelfs binnen de geldigheidsduur van het bevel (artikel 18), of de algemene verplichting om de betrokkene op de hoogte te brengen en binnen dertig dagen nadat het aftappen is beëindigd toegang te verschaffen tot de bestanden (artikelen 23 en 24). |
(124) |
Voor alle verplichte maatregelen op basis van een rechterlijk bevel mag slechts een onderzoek worden uitgevoerd „dat noodzakelijk is om de doelstelling ervan te bereiken” — dat wil zeggen wanneer de met het onderzoek nagestreefde doelstellingen niet op andere wijze kunnen worden bereikt (artikel 197, lid 1, van het Wetboek van strafvordering). Hoewel de criteria voor het bepalen van de noodzaak niet nader zijn uitgewerkt in de wetgeving, heeft het Japanse Hooggerechtshof geoordeeld dat de rechter die een doorzoekingsbevel uitvaardigt, een algemene beoordeling moet maken waarin met name rekening wordt gehouden met i) de ernst van het strafbare feit en de wijze waarop het is gepleegd; ii) de waarde en het belang van het als bewijs in beslag te nemen materiaal; iii) de kans (het risico) dat bewijs wordt verborgen of vernietigd, en iv) de mate waarin de inbeslagneming de betrokkene schade kan toebrengen (87). |
3.2.1.2.
(125) |
Binnen de grenzen van hun bevoegdheden mogen overheidsinstanties ook elektronische informatie verzamelen op basis van verzoeken om vrijwillige bekendmaking. Dit is een niet-verplichte vorm van medewerking waarbij naleving van het verzoek niet kan worden afgedwongen (88), zodat de overheidsinstanties niet de verplichting hebben om een rechterlijk bevel te verkrijgen. |
(126) |
Voor zover een dergelijk verzoek tot een bedrijfsexploitant gericht is en persoonsinformatie betreft, moet de bedrijfsexploitant zich houden aan de vereisten van de APPI. Volgens artikel 23, lid 1, van de APPI mogen bedrijfsexploitanten persoonsinformatie slechts in bepaalde gevallen, waaronder „op grond van wet- en regelgeving”, zonder toestemming van de betrokkene aan derden bekendmaken (89). Op het gebied van strafrechtshandhaving vormt artikel 197, lid 2, van het Wetboek van strafvordering, volgens welk „particuliere organisaties kan worden gevraagd inlichtingen te verstrekken over noodzakelijke kwesties in verband met het onderzoek”, de rechtsgrondslag voor dergelijke verzoeken. Aangezien een dergelijk „inlichtingenformulier” alleen in het kader van een strafrechtelijk onderzoek toegestaan is, is altijd sprake van een concreet vermoeden van een reeds gepleegd strafbaar feit (90). Bovendien zijn de beperkingen van artikel 2, lid 2, van de politiewet (91) van toepassing, aangezien dergelijke onderzoeken doorgaans door de prefectuurpolitie worden uitgevoerd. Volgens die bepaling zijn de activiteiten van de politie „strikt beperkt” tot de uitoefening van hun verantwoordelijkheden en taken (dat wil zeggen het voorkomen, bestrijden en onderzoeken van misdrijven). Bovendien moet de politie bij de uitoefening van haar taken op onpartijdige, onbevooroordeelde en eerlijke wijze te werk gaan en mag zij nooit misbruik maken van haar macht „op een wijze die botst met de door de Grondwet van Japan gegarandeerde rechten en vrijheden van personen” (die zoals gezegd het recht op privacy en gegevensbescherming omvatten) (92). |
(127) |
Specifiek met betrekking tot artikel 197, lid 2, van het Wetboek van strafvordering heeft de nationale politiedienst — als de federale instantie die bevoegd is voor onder meer alle zaken in verband met de gerechtelijke politie — aan de prefectuurpolitie instructies gegeven (93) over het „correcte gebruik van schriftelijke verzoeken om inlichtingen in onderzoeken”. Volgens deze kennisgeving moeten verzoeken worden gedaan met gebruikmaking van een standaardformulier (formulier nr. 49, ofwel het zogenoemde „inlichtingenformulier”) (94), betrekking hebben op gegevens „in verband met een specifiek onderzoek”, en moet de gevraagde informatie „noodzakelijk zijn voor [dat] onderzoek”. In elk geval moet de hoofdonderzoeker „de noodzaak, inhoud enz. van [het] individuele verzoek om informatie ten volle onderzoeken” en interne goedkeuring krijgen van een hoge functionaris. |
(128) |
Bovendien heeft het Japanse Hooggerechtshof in twee arresten uit 1969 en 2008 (95) beperkingen opgelegd ten aanzien van niet-verplichte maatregelen die botsen met het recht op privacy (96). Het Hooggerechtshof was met name van oordeel dat dergelijke maatregelen „redelijk” moeten zijn en binnen „algemeen toegestane grenzen” moeten blijven, dat wil zeggen dat zij noodzakelijk moeten zijn voor het onderzoek van een verdachte (verzamelen van bewijs) en worden uitgevoerd „met passende methoden om het doel van [het] onderzoek te bereiken” (97). Uit de arresten blijkt dat dit een evenredigheidstoetsing meebrengt waarbij rekening wordt gehouden met alle omstandigheden van de zaak (bv. de mate waarin inbreuk wordt gemaakt op het recht op privacy, inclusief de verwachting van privacy, de ernst van het strafbare feit, de waarschijnlijkheid om nuttig bewijsmateriaal te verkrijgen, het belang van dat bewijsmateriaal, mogelijke alternatieve onderzoeksmethoden, enz.) (98). |
(129) |
Naast deze beperkingen voor de uitoefening van het openbaar gezag, worden de bedrijfsexploitanten zelf geacht de noodzaak en de „redelijkheid” van de verstrekking aan een derde te controleren („bevestigen”) (99). Hieronder valt ook de vraag of de wet verbiedt dat zij meewerken. Dergelijke conflicterende wettelijke verplichtingen kunnen met name voortvloeien uit verplichtingen zoals artikel 134 van het Wetboek van strafrecht (over de relatie tussen een dokter, advocaat, priester enz. en zijn/haar cliënt). Ook moet „iedereen die in de telecommunicatiesector werkt, tijdens zijn of haar dienstverband de geheimen van anderen bewaren die hem of haar bekend zijn geworden met betrekking tot via de telecommunicatieonderneming verlopende communicatie” (artikel 4, lid 2, van de Wet op het telecommunicatiebedrijf). Deze verplichting wordt ondersteund door de in artikel 179 van de Wet op het telecommunicatiebedrijf vastgelegde sanctie dat iemand die het geheim van via een telecommunicatieonderneming verlopende communicatie heeft geschonden, schuldig is aan een strafbaar feit en wordt bestraft met een gevangenisstraf met dwangarbeid van ten hoogste twee jaar of een geldboete van ten hoogste een miljoen yen (100). Hoewel dit vereiste niet absoluut is en met name maatregelen toegestaan zijn die weliswaar inbreuk maken op het geheim van communicatie, maar „gerechtvaardigde handelingen” vormen in de zin van artikel 35 van het Wetboek van strafrecht, valt het antwoord op niet-verplichte verzoeken van overheidsinstanties om openbaarmaking van elektronische informatie overeenkomstig artikel 197, lid 2, van het Wetboek van strafvordering niet onder deze uitzondering (101). |
3.2.1.3.
(130) |
Nadat persoonsinformatie door de Japanse overheidsinstanties is verzameld, valt zij binnen het toepassingsgebied van de APPIHAO. Deze wet regelt de behandeling (verwerking) van „bewaarde persoonsinformatie” en legt daarbij een aantal beperkingen en waarborgen op (zie overweging 118) (102). Bovendien brengt het feit dat een bestuursorgaan persoonsinformatie alleen mag bewaren „wanneer dit noodzakelijk is voor de afhandeling van de krachtens wet- en regelgeving onder zijn bevoegdheid vallende zaken” (artikel 3, lid 1, van de APPIHAO) ook — ten minste indirect — beperkingen mee voor het verzamelen ervan. |
3.2.2. Onafhankelijk toezicht
(131) |
Het verzamelen van elektronische informatie op het gebied van strafrechtshandhaving behoort in Japan in de eerste plaats (103) tot de bevoegdheden van de prefectuurpolitie (104), die in dit verband aan verschillende lagen van toezicht onderworpen is. |
(132) |
Ten eerste moet de politie, in alle gevallen waarin op verplichte wijze (doorzoeking en inbeslagneming) elektronische informatie wordt verzameld, een voorafgaand rechterlijk doorzoekingsbevel verkrijgen (zie overweging 121). In die gevallen wordt het verzamelen van tevoren door een rechter getoetst aan de hand van een strikte norm inzake „toereikende grond”. |
(133) |
Hoewel in geval van verzoeken om vrijwillige bekendmaking geen voorafgaande toetsing door een rechter plaatsvindt, kunnen bedrijfsexploitanten tot wie dergelijke verzoeken worden gericht, er bezwaar tegen maken zonder dat zij negatieve gevolgen riskeren (zij zullen rekening moeten houden met de privacygevolgen van bekendmaking). Bovendien moeten politiefunctionarissen volgens artikel 192, lid 1, van het Wetboek van strafvordering altijd samenwerken en hun acties coördineren met de openbaar aanklager (en de prefectuurcommissie openbare veiligheid) (105). De openbaar aanklager mag de nodige algemene instructies geven met normen voor een eerlijk onderzoek en/of specifieke bevelen geven met betrekking tot een individueel onderzoek (artikel 193 van het Wetboek van strafvordering). Wanneer dergelijke instructies en/of bevelen niet worden opgevolgd, mag de openbaar aanklager tuchtrechtelijke maatregelen nemen (artikel 194 van het Wetboek van strafvordering). De prefectuurpolitie opereert dus onder toezicht van de openbaar aanklager. |
(134) |
Ten tweede mag elke kamer van het Japanse parlement volgens artikel 62 van de Grondwet onderzoeken met betrekking tot de regering uitvoeren, inclusief over de rechtmatigheid van het verzamelen van informatie door de politie. Daartoe mag het getuigen oproepen en horen en/of de overlegging van gegevens eisen. Deze onderzoeksbevoegdheden zijn nader uitgewerkt in de parlementswet, met name hoofdstuk XII. In artikel 104 van de parlementswet is met name bepaald dat het kabinet, overheidsagentschappen en andere onderdelen van de overheid „gehoor moeten geven aan de verzoeken van een kamer van het parlement of haar commissies om verslagen en gegevens over te leggen die nodig zijn om na te gaan of een onderzoek moet worden ingesteld”. Weigering om hieraan gehoor te geven is alleen toegestaan als de regering een plausibele reden geeft die door het parlement aanvaardbaar wordt geacht, of nadat zij formeel verklaart dat overlegging van de verslagen of gegevens „het nationale belang ernstig zou schaden” (106). Voorts mogen parlementsleden schriftelijke vragen stellen aan het kabinet (artikelen 74 en 75 van de parlementswet), en in het verleden kwam in dergelijke schriftelijke vragen ook de verwerking van persoonsinformatie door de overheid aan de orde (107). De rol van het parlement bij het toezicht op de uitvoerende macht wordt ondersteund door rapportageverplichtingen, bijvoorbeeld op grond van artikel 29 van de aftapwet. |
(135) |
Ten derde is, ook binnen de uitvoerende macht, de prefectuurpolitie aan onafhankelijk toezicht onderworpen. Hiervoor zorgen met name de prefectuurcommissies openbare veiligheid, die zijn ingesteld om te zorgen voor democratisch bestuur en politieke neutraliteit van de politie (108). Deze commissies bestaan uit leden die door de gouverneur van de prefectuur met toestemming van de prefecturale assemblee worden benoemd (uit burgers die de voorgaande vijf jaar niet als ambtenaar bij de politie hebben gewerkt) voor een vaste ambtstermijn (zij kunnen met name alleen om gegronde redenen worden ontslagen) (109). Volgens de ontvangen informatie mogen zij geen instructies ontvangen, zodat zij als volledig onafhankelijk kunnen worden beschouwd (110). Wat de taken en bevoegdheden van de prefectuurcommissies openbare veiligheid betreft, zijn deze overeenkomstig artikel 38, lid 3, juncto artikel 2 en artikel 36, lid 2, van de politiewet verantwoordelijk voor „de bescherming van de rechten en vrijheden van personen”. Met het oog daarop zijn zij gemachtigd „toezicht te houden” (111) op alle onderzoeksactiviteiten van de prefectuurpolitie, met inbegrip van het verzamelen van persoonsgegevens. De commissies kunnen met name „de prefectuurpolitie zo nodig in detail of in een specifiek individueel geval van onderzoek van wangedrag van politiepersoneel instrueren” (112). Wanneer het hoofd van de prefectuurpolitie (113) dergelijke instructies ontvangt of zelf kennis krijgt van een mogelijk geval van wangedrag (inclusief wetsovertreding of andere vormen van plichtsverzuim), moet hij of zij de zaak onmiddellijk onderzoeken en het onderzoeksresultaat meedelen aan de prefectuurcommissie openbare veiligheid (artikel 56, lid 3, van de politiewet). Indien laatstgenoemde dit nodig acht, kan zij ook een van haar leden aanwijzen om de stand van zaken te volgen. Dit proces gaat door totdat de prefectuurcommissie openbare veiligheid ervan overtuigd is dat het incident op passende wijze is afgehandeld. |
(136) |
Voorts hebben de bevoegde minister of hoofden van agentschappen (bijvoorbeeld de commissaris-generaal van de nationale politiedienst) met betrekking tot de juiste toepassing van de APPIHAO handhavingsgezag, onder toezicht van het ministerie van Binnenlandse Zaken en Communicatie (BZC). Volgens artikel 49 van de APPIHAO mag het ministerie van BZC „verslagen over de stand van de uitvoering van deze wet opvragen” bij de hoofden van bestuursorganen (minister). Die toezichthoudende functie steunt op input van de 51 „algemene informatiecentra” (één in elke prefectuur in Japan) van het ministerie van BZC, die elk jaar duizenden vragen van particulieren (114) behandelen (waarbij mogelijke wetsovertredingen aan het licht kunnen komen). Wanneer het dit noodzakelijk acht om naleving van de wet te waarborgen, mag het ministerie van BZC om het indienen van toelichtingen en materiaal verzoeken, alsook advies uitbrengen, met betrekking tot de verwerking van persoonsinformatie door het betrokken bestuursorgaan (artikelen 50 en 51 van de APPIHAO). |
3.2.3. Individueel verhaal
(137) |
Naast het toezicht ambtshalve hebben mensen ook verschillende mogelijkheden om individueel verhaal te verkrijgen, zowel via onafhankelijke instanties (zoals de prefectuurcommissies openbare veiligheid of de PPC) als via de Japanse rechtbanken. |
(138) |
Ten eerste hebben bestuursorganen ten aanzien van de door hen verzamelde persoonsinformatie de plicht „ernaar te streven klachten [over de latere verwerking ervan] correct en snel te behandelen” (artikel 48 van de APPIHAO). Hoewel hoofdstuk IV van de APPIHAO inzake individuele rechten niet van toepassing is op persoonsinformatie in „documenten met betrekking tot rechtszaken en in beslag genomen voorwerpen” (artikel 53-2, lid 2, van het Wetboek van strafvordering) — hieronder valt ook in het kader van strafrechtelijke onderzoeken verzamelde persoonsinformatie — mogen mensen een klacht indienen met een beroep op de algemene gegevensbeschermingsbeginselen, zoals de verplichting om persoonsinformatie alleen te bewaren „wanneer dit noodzakelijk is voor de uitoefening [van rechtshandhavingstaken]” (artikel 3, lid 1, van de APPIHAO). |
(139) |
Voorts geeft artikel 79 van de politiewet particulieren die bedenkingen hebben ten aanzien van de „uitoefening van taken” door politiefunctionarissen, het recht om een klacht in te dienen bij de (bevoegde) onafhankelijke prefectuurcommissie openbare veiligheid. De commissie zal dergelijke klachten „zorgvuldig” behandelen overeenkomstig de wetten en plaatselijke verordeningen en de klager schriftelijk in kennis stellen van de resultaten. Op basis van haar gezag als toezichthoudende en instruerende instantie voor de prefectuurpolitie met betrekking tot „wangedrag van personeel” (artikel 38, lid 3, en artikel 43-2, lid 1, van de politiewet) mag de commissie de prefectuurpolitie verzoeken de feiten te onderzoeken, op basis van de resultaten van dit onderzoek passende maatregelen te nemen en verslag uit te brengen over de resultaten. Indien zij van oordeel is dat het door de politie uitgevoerde onderzoek niet adequaat was, mag de commissie ook instructies geven over de behandeling van de klacht. |
(140) |
Om de behandeling van klachten te vergemakkelijken, heeft de nationale politiedienst aan de politie en de prefectuurcommissies openbare veiligheid een mededeling doen toekomen over de correcte behandeling van klachten inzake de uitoefening van taken door politiefunctionarissen. In dit document legt de nationale politiedienst normen vast voor de uitlegging en toepassing van artikel 79 van de politiewet. De prefectuurpolitie moet onder meer een „systeem voor de behandeling van klachten” invoeren en alle klachten „onmiddellijk” behandelen en melden aan de bevoegde prefectuurcommissie openbare veiligheid. De mededeling omschrijft klachten als vorderingen tot correctie „van enige specifiek nadeel dat is berokkend als gevolg van een onrechtmatig of ongepast gedrag” (115) of „het verzuim van een politiefunctionaris om bij de uitoefening van zijn functie een noodzakelijke maatregel te nemen” (116), dan wel als elke „grief/ontevredenheid over het op ongepaste wijze uitoefenen van zijn functie door een politiefunctionaris”. De materiële werkingssfeer van een klacht is dus ruim gedefinieerd en omvat elk geval waarin wordt gesteld dat gegevens onrechtmatig zijn verzameld, en de klager hoeft niet aan te tonen dat hij als gevolg van het optreden van een politiefunctionaris schade heeft geleden. Belangrijk is dat de mededeling bepaalt dat (onder meer) voor buitenlanders wordt voorzien in bijstand bij het formuleren van een klacht. Na een klacht moeten de prefectuurcommissies openbare veiligheid ervoor zorgen dat de prefectuurpolitie de feiten onderzoekt, „overeenkomstig het resultaat van het onderzoek” maatregelen neemt en verslag uitbrengt over de resultaten. Wanneer de commissie van oordeel is dat het onderzoek onvoldoende is, geeft zij een instructie over de behandeling van de klacht, die de prefectuurpolitie moet opvolgen. Op basis van de ontvangen verslagen en de genomen maatregelen stelt de commissie de klager onder meer in kennis van de maatregelen die naar aanleiding van de klacht zijn genomen. De mededeling van de nationale politiedienst benadrukt dat klachten „op eerlijke wijze” moeten worden behandeld en dat het resultaat moet worden meegedeeld „binnen een tijdsbestek […] dat passend wordt geacht in het licht van de sociale normen en het gezond verstand”. |
(141) |
Ten tweede heeft de Japanse regering, om het verkrijgen van verhaal te vergemakkelijken voor EU-onderdanen wier persoonsgegevens aan bedrijfsexploitanten in Japan zijn doorgegeven en vervolgens door overheidsdiensten zijn ingezien — zij moeten dit immers in een buitenlands systeem en een vreemde taal doen — gebruikgemaakt van haar bevoegdheid om een specifiek mechanisme voor het behandelen en oplossen van klachten op dit gebied te creëren, dat wordt beheerd door en onder toezicht staat van de PPC. Dat mechanisme bouwt voort op de samenwerkingsverplichting die de APPI de Japanse overheidsdiensten oplegt en de speciale rol van de PPC met betrekking tot internationale gegevensdoorgiften uit derde landen krachtens artikel 6 van de APPI en het basisbeleid (zoals bij kabinetsbesluit door de Japanse regering vastgesteld). De details van dit mechanisme worden uiteengezet in de van de Japanse regering ontvangen officiële verklaringen, garanties en toezeggingen die als bijlage II aan dit besluit zijn gehecht. Het mechanisme stelt geen eisen inzake procesbevoegdheid en staat open voor elke particulier, ongeacht of hij van een strafbaar feit verdacht of beschuldigd wordt. |
(142) |
Volgens het mechanisme kan iemand die vermoedt dat zijn/haar uit de Europese Unie doorgegeven gegevens in strijd met de geldende regels door overheidsinstanties in Japan (inclusief die welke bevoegd zijn voor handhaving van het strafrecht) zijn verzameld of gebruikt, een klacht indienen bij de PPC (rechtstreeks of via zijn/haar gegevensbeschermingsautoriteit in de zin van artikel 51 van de algemene verordening gegevensbescherming). De PPC is verplicht de klacht te behandelen en als eerste stap de bevoegde overheidsinstanties, waaronder de toezichthoudende instanties, ervan in kennis te stellen. Die instanties moeten met de PPC samenwerken, „onder meer door de nodige informatie en relevant materiaal te verstrekken, zodat de PPC kan beoordelen of het verzamelen of later gebruiken van persoonsinformatie in overeenstemming met de geldende regels heeft plaatsgevonden” (117). Deze verplichting, die voortvloeit uit artikel 80 van de APPI (dat voorschrijft dat Japanse overheidsinstanties moeten samenwerken met de PPC), heeft algemene gelding en strekt zich dus uit tot de toetsing van elke onderzoeksmaatregel van die instanties, die zich bovendien tot die samenwerking hebben verbonden door schriftelijke garanties van de bevoegde ministeries en hoofden van agentschappen, zoals weergegeven in bijlage II. |
(143) |
Indien uit de beoordeling blijkt dat inbreuk is gemaakt op de geldende regels, „houdt de samenwerking van de betrokken overheidsinstanties met de PPC onder meer in dat de inbreuk moet worden verholpen”, wat bij onrechtmatig verzamelde persoonsinformatie het wissen van dergelijke gegevens inhoudt. Het is belangrijk dat deze verplichting wordt uitgevoerd onder toezicht van de PPC, die „vóór de afronding van de beoordeling bevestigt dat de inbreuk volledig is verholpen”. |
(144) |
Zodra de beoordeling is afgerond, stelt de PPC de betrokkene binnen een redelijke termijn in kennis van het resultaat van de evaluatie, inclusief eventuele corrigerende maatregelen. Tegelijkertijd licht de PPC de betrokkene ook in over de mogelijkheid om van de bevoegde overheidsinstantie een bevestiging van het resultaat te krijgen en deelt zij mee bij welke instantie een dergelijk verzoek om bevestiging moet worden ingediend. De mogelijkheid om een dergelijke bevestiging te krijgen, inclusief de redenen die ten grondslag liggen aan het besluit van de bevoegde instantie, kunnen de betrokkene helpen bij het nemen van verdere stappen, waaronder een gang naar de rechter. De verspreiding van gedetailleerde informatie over het resultaat van de beoordeling kan worden beperkt zolang er redelijke gronden zijn om aan te nemen dat de bekendmaking van dergelijke informatie een risico kan vormen voor het lopende onderzoek. |
(145) |
Ten derde mag iemand die het niet eens is met een rechterlijk besluit tot inbeslagneming (doorzoekingsbevel) (118) met betrekking tot zijn/haar persoonsgegevens, of met de maatregelen van de politie of de openbaar aanklager tot uitvoering van een dergelijk besluit, een verzoek indienen om dat besluit of die maatregelen in te trekken of te wijzigen (artikel 429, lid 1, en artikel 430, leden 1 en 2, van het Wetboek van strafvordering, artikel 26 van de aftapwet) (119). Wanneer de toetsende rechter van oordeel is dat het doorzoekingsbevel zelf of de uitvoering ervan („procedure voor inbeslagneming”) onrechtmatig is, zal hij het verzoek inwilligen en bevel geven de in beslag genomen voorwerpen terug te geven (120). |
(146) |
Ten vierde mag, als meer indirecte vorm van rechterlijke controle, iemand die van mening is dat het verzamelen van zijn/haar persoonsinformatie in het kader van een strafrechtelijk onderzoek onrechtmatig was, dit tijdens zijn/haar strafproces aanvoeren. Indien de rechter het hiermee eens is, zal het bewijsmateriaal als ontoelaatbaar worden uitgesloten. |
(147) |
Ten slotte mag een rechter krachtens artikel 1, lid 1, van de Wet schadevergoedingen van de staat een schadevergoeding toekennen wanneer een overheidsfunctionaris die het gezag van de staat uitoefent, tijdens de uitoefening van zijn of haar taken op onrechtmatige en verwijtbare wijze (opzettelijk of uit nalatigheid) schade heeft berokkend aan de betrokkene. Volgens artikel 4 van de Wet schadevergoedingen van de staat berust de aansprakelijkheid van de staat voor schade op de bepalingen van het Burgerlijk Wetboek. In dit verband bepaalt artikel 710 van het Burgerlijk Wetboek dat de aansprakelijkheid ook geldt voor andere schade dan die aan eigendommen, en dus ook voor morele schade (bijvoorbeeld in de vorm van „geestelijk leed”). Hieronder vallen ook gevallen waarin inbreuk is gemaakt op iemands persoonlijke levenssfeer door middel van onrechtmatige observatie en/of het verzamelen van zijn/haar persoonsinformatie (bv. de onrechtmatige uitvoering van een bevel) (121). |
(148) |
Naast een geldelijke vergoeding kunnen mensen onder bepaalde voorwaarden ook gedwongen rechtsherstel verkrijgen (bv. het wissen van door overheidsinstanties verzamelde persoonsgegevens) op grond van hun privacyrechten krachtens artikel 13 van de Grondwet (122). |
(149) |
Ten aanzien van al deze manieren om rechtsherstel te verkrijgen, bepaalt het door de Japanse regering ingevoerde geschillenbeslechtingsmechanisme dat iemand die niet tevreden is met het resultaat van de procedure, zich kan wenden tot de PPC, „die de betrokkene zal wijzen op de diverse mogelijkheden en procedures om rechtsherstel te verkrijgen die de Japanse wet- en regelgeving biedt”. Bovendien zal de PPC „de betrokkene met raad en daad bijstaan wanneer hij of zij beroep wil instellen bij de bevoegde administratieve of rechterlijke instantie”. |
(150) |
Hierbij kan ook gebruik worden gemaakt van procedurele rechten krachtens het Wetboek van strafvordering. Wanneer bijvoorbeeld „uit de beoordeling blijkt dat iemand verdachte in een strafzaak is, zal de PPC de betrokkene in kennis stellen van dit feit” (123) en van de mogelijkheid overeenkomstig artikel 259 van het Wetboek van strafvordering om de openbaar aanklager te verzoeken in kennis te worden gesteld wanneer laatstgenoemde heeft besloten geen strafvervolging in te stellen. Wanneer uit de beoordeling blijkt dat een zaak in verband met de persoonsinformatie van de betrokkene is geopend die vervolgens is gesloten, informeert de PPC de betrokkene ook dat het dossier kan worden ingezien overeenkomstig artikel 53 van het Wetboek van strafvordering (en artikel 4 van de Wet inzake einddossiers in strafzaken). Het verkrijgen van inzage in het dossier is belangrijk, aangezien het de betrokkene zal helpen het tegen hem/haar uitgevoerde onderzoek beter te begrijpen en een latere rechtszaak (bijvoorbeeld een vordering tot schadevergoeding) voor te bereiden wanneer hij of zij van mening is dat zijn/haar gegevens op onrechtmatige wijze zijn verzameld of gebruikt. |
3.3. Toegang van en gebruik door de Japanse overheidsdiensten ten behoeve van de nationale veiligheid
(151) |
Volgens de Japanse autoriteiten is er in Japan geen wet die verplichte verzoeken om informatie of „aftappen door overheden” buiten strafrechtelijke onderzoeken om toestaat. Om nationale veiligheidsredenen mag dan ook alleen informatie worden verkregen uit bronnen die vrij toegankelijk zijn voor iedereen of door vrijwillige verstrekking. Bedrijfsexploitanten die een verzoek om vrijwillige medewerking ontvangen (in de vorm van bekendmaking van elektronische informatie) hebben dus geen wettelijke verplichting om deze informatie te verstrekken (124). |
(152) |
Voorts zijn volgens de ontvangen informatie slechts vier overheidsentiteiten bevoegd om met het oog op de nationale veiligheid elektronische gegevens te verzamelen die bij Japanse bedrijfsexploitanten berusten, namelijk: i) het inlichtingen- en onderzoeksbureau van het kabinet; ii) het ministerie van Defensie; iii) de politie (zowel de nationale politiedienst (125) als de prefectuurpolitie), en iv) de inlichtingendienst openbare veiligheid. Het inlichtingen- en onderzoeksbureau van het kabinet verzamelt echter nooit rechtstreeks informatie van bedrijfsexploitanten, ook niet door middel van onderschepping van communicatie. Wanneer het van andere overheidsdiensten informatie ontvangt om het kabinet zijn analyse daarvan te kunnen meedelen, moeten die andere diensten op hun beurt de wetgeving in acht nemen, inclusief de beperkingen en waarborgen die in het onderhavige besluit worden onderzocht. Zijn activiteiten zijn dus in een doorgiftecontext niet relevant. |
3.3.1. Rechtsgrondslag en toepasselijke beperkingen/waarborgen
(153) |
Volgens de ontvangen informatie verzamelt het ministerie van Defensie (elektronische) informatie op basis van de Wet tot oprichting van het ministerie van Defensie. Volgens artikel 3 heeft het ministerie van Defensie als taak de strijdkrachten te beheren en te leiden en „de daarmee verband houdende aangelegenheden te behandelen om de nationale vrede en onafhankelijkheid alsook de veiligheid van de natie te waarborgen”. Artikel 4, lid 4, bepaalt dat het ministerie van Defensie bevoegd is voor „defensie en grensbewaking”, voor de acties van de zelfverdedigingstroepen en voor het inzetten van de strijdkrachten, inclusief het verzamelen van de gegevens die nodig zijn om die aangelegenheden te behandelen. Het ministerie mag bij bedrijfsexploitanten alleen (elektronische) gegevens verzamelen door middel van vrijwillige medewerking. |
(154) |
De verantwoordelijkheden en taken van de prefectuurpolitie omvatten de „handhaving van de openbare veiligheid en de openbare orde” (artikel 35, lid 2, juncto artikel 2, lid 1, van de politiewet). Binnen deze bevoegdheidssfeer kan de politie informatie verzamelen, maar alleen op vrijwillige basis en niet juridisch afdwingbaar. Bovendien zijn de activiteiten van de politie „strikt beperkt” tot wat nodig is om haar taken uit te voeren. Verder gaat zij op „neutrale, onpartijdige, onbevooroordeelde en eerlijke wijze” te werk en maakt zij nooit misbruik van haar bevoegdheden „op een wijze die botst met de door de Grondwet van Japan gegarandeerde rechten en vrijheden van personen” (artikel 2 van de politiewet). |
(155) |
Ten slotte kan de inlichtingendienst openbare veiligheid (PSIA) onderzoeken verrichten uit hoofde van de Wet voorkoming van subversieve activiteiten („SAPA”) en de Wet toezicht op organisaties die willekeurige massamoorden hebben begaan („ACO”), wanneer dergelijke onderzoeken nodig zijn ter voorbereiding van de vaststelling van maatregelen tegen bepaalde organisaties (126). Op grond van beide wetten kan de Commissie onderzoek openbare veiligheid op verzoek van de directeur-generaal van de PSIA bepaalde „maatregelen” treffen (bewaking/verboden in het geval van de ACO (127), ontbinding/verboden in het geval van de SAPA (128)) en in dit verband kan de PSIA onderzoeken verrichten (129). Volgens de ontvangen informatie worden die onderzoeken altijd op vrijwillige basis verricht, hetgeen betekent dat de PSIA een eigenaar van persoonsinformatie niet kan dwingen om die informatie te verstrekken (130). Controles en onderzoeken mogen telkens slechts plaatsvinden voor zover zij noodzakelijk zijn om het doel van de controle te bereiken, en zij mogen in geen geval aldus worden uitgevoerd dat zij de door de Japanse Grondwet gegarandeerde rechten en vrijheden „onredelijk” beperken (artikel 3, lid 1, van SAPA/ACO). Bovendien bepaalt artikel 3, lid 2, van de ACO/SAPA dat de PSIA in geen geval misbruik mag maken van dergelijke controles of onderzoeken ter voorbereiding van dergelijke controles. Indien een lid van de inlichtingendienst openbare veiligheid misbruik heeft gemaakt van zijn/haar autoriteit uit hoofde van de desbetreffende wet door een persoon te dwingen iets te doen waartoe hij niet verplicht is, of door in te grijpen in de uitoefening van de rechten van een persoon, kunnen hem/haar overeenkomstig artikel 45 SAPA of artikel 42 ACO strafrechtelijke sancties worden opgelegd. Ten slotte bepalen beide wetten uitdrukkelijk dat de bepalingen ervan, met inbegrip van de daarin verleende bevoegdheden, „in geen geval extensief mogen worden uitgelegd” (artikel 2 van SAPA/ACO). |
(156) |
In alle in dit punt omschreven gevallen waarin de overheid om redenen van nationale veiligheid toegang heeft, gelden de beperkingen die het Japanse Hooggerechtshof voor vrijwillige onderzoeken heeft geformuleerd, wat betekent dat de verzameling van (elektronische) informatie moet voldoen aan de beginselen van noodzakelijkheid en evenredigheid („passende methode”) (131). De Japanse autoriteiten hebben uitdrukkelijk bevestigd dat „het verzamelen en verwerken van gegevens slechts plaatsvindt voor zover dat noodzakelijk is voor de uitvoering van specifieke taken van de bevoegde overheidsinstantie dan wel wegens specifieke bedreigingen”. Derhalve „sluit dit de massale en ongedifferentieerde verzameling of toegang tot persoonsgegevens om redenen van nationale veiligheid uit” (132). |
(157) |
Zodra zij is verzameld valt eventuele persoonsinformatie die door overheidsdiensten wordt bewaard ten behoeve van de nationale veiligheid onder en profiteert zij bijgevolg van de bescherming uit hoofde van de APPIHAO wat de opslag, het gebruik en de openbaarmaking ervan betreft (zie overweging 118). |
3.3.2. Onafhankelijk toezicht
(158) |
Het verzamelen van persoonsinformatie voor doeleinden van nationale veiligheid is onderworpen aan meerdere lagen van toezicht door de drie takken van de overheid. |
(159) |
In de eerste plaats kunnen de gespecialiseerde commissies van het Japanse parlement de rechtmatigheid van onderzoeken nagaan op basis van de parlementaire controlebevoegdheid (artikel 62 van de Grondwet, artikel 104 van de parlementswet; zie overweging 134). Deze toezichthoudende functie wordt vergemakkelijkt door specifieke verplichtingen tot rapportage over activiteiten die worden verricht krachtens sommige van de bovengenoemde rechtsgrondslagen (133). |
(160) |
In de tweede plaats bestaan er verschillende toezichtsmechanismen binnen de uitvoerende macht. |
(161) |
Wat het ministerie van Defensie betreft, wordt toezicht uitgeoefend door het bureau van de inspecteur-generaal voor naleving van de regelgeving (IGO) (134) dat op basis van artikel 29 van de Wet tot oprichting van het ministerie van Defensie is ingesteld als bureau binnen het ministerie onder toezicht van de minister van Defensie (waaraan het rapporteert), maar onafhankelijk van de operationele diensten van het ministerie. Het IGO heeft tot taak de naleving van wet- en regelgeving, alsook de goede uitvoering van de taken van de ambtenaren van het ministerie van Defensie te garanderen. Een van zijn bevoegdheden is het uitvoeren van zogenoemde „defensie-inspecties”, die zowel met regelmatige tussenpozen („periodieke defensie-inspecties”) als in individuele gevallen („bijzondere defensie-inspecties”) kunnen plaatsvinden, en die in het verleden ook betrekking hebben gehad op de correcte behandeling van persoonsinformatie (135). In het kader van die inspecties kan het IGO locaties (kantoren) betreden en verzoeken om overlegging van documenten of informatie, met inbegrip van toelichtingen door de adjunct-viceminister van het ministerie van Defensie. De inspectie wordt beëindigd door een verslag aan de minister van Defensie, waarin de bevindingen en maatregelen voor verbetering worden genoemd (waarvan de uitvoering op haar beurt kan worden gecontroleerd door verdere inspecties). Het verslag vormt de basis voor instructies van de minister van Defensie tot uitvoering van de nodige maatregelen om de situatie te verhelpen; de adjunct-viceminister is belast met de uitvoering van die maatregelen en moet verslag uitbrengen over de follow-up. |
(162) |
Wat de prefectuurpolitie betreft, wordt het toezicht gewaarborgd door de onafhankelijke prefectuurcommissies openbare veiligheid, zoals met betrekking tot de handhaving van het strafrecht is toegelicht in overweging 135. |
(163) |
Ten slotte kan de PSIA zoals gezegd alleen onderzoeken uitvoeren voor zover dit noodzakelijk is voor de vaststelling van een verbods-, ontbindings- of bewakingsmaatregel op grond van de SAPA/ACO, en op die maatregelen oefent de onafhankelijke (136) Commissie onderzoek openbare veiligheid voorafgaand toezicht uit. Bovendien worden door speciaal aangewezen inspecteurs regelmatige/periodieke inspecties (waarbij de werkzaamheden van de PSIA op een alomvattende manier worden bekeken) (137) en bijzondere interne inspecties (138) uitgevoerd met betrekking tot de activiteiten van individuele afdelingen/diensten enz., welke kunnen leiden tot instructies aan de hoofden van de betrokken diensten enz. om maatregelen ter correctie of verbetering te treffen. |
(164) |
Deze toezichtsmechanismen, die nog worden versterkt door de mogelijkheid dat particulieren de interventie van de PPC als onafhankelijke toezichthoudende autoriteit uitlokken (zie overweging 168), bieden voldoende garanties tegen het risico van misbruik door de Japanse autoriteiten van hun bevoegdheden op het gebied van de nationale veiligheid, en tegen elke onrechtmatige verzameling van elektronische informatie. |
3.3.3. Individueel verhaal
(165) |
Wat individueel verhaal betreft, hebben bestuursorganen ten aanzien van de door hen verzamelde en dus „bewaarde” persoonsinformatie de plicht „ernaar te streven klachten [over de verwerking ervan] correct en snel te behandelen” (artikel 48 APPIHAO). |
(166) |
Anders dan bij strafrechtelijke onderzoeken hebben particulieren (inclusief buitenlandse onderdanen die in het buitenland wonen) bovendien op grond van de APPIHAO in principe een recht op informatie (139), correctie (inclusief schrapping) en opschorting van het gebruik/de verstrekking. Het hoofd van het bestuursorgaan kan echter weigeren informatie bekend te maken „waarvan op redelijke gronden […] kan worden aangenomen dat openbaarmaking de nationale veiligheid kan schaden” (artikel 14, onder iv), APPIHAO) en kan dat zelfs doen zonder het bestaan van die informatie te onthullen (artikel 17 APPIHAO). Hoewel een particulier overeenkomstig artikel 36, lid 1, onder i), APPIHAO kan verzoeken om opschorting van het gebruik of om verwijdering indien het bestuursorgaan op onrechtmatige wijze informatie heeft verkregen of verder behoudt/gebruikt dan nodig is voor het bereiken van het genoemde doel, kan de autoriteit het verzoek ook afwijzen indien zij vaststelt dat de opschorting van het gebruik „naar alle waarschijnlijkheid een hinderpaal vormt voor de correcte uitvoering van de zaken met betrekking tot het gebruiksdoel van de bewaarde persoonsinformatie wegens de aard van die zaken” (artikel 38 APPIHAO). Wanneer delen waarvoor een uitzondering kan gelden, gemakkelijk kunnen worden onderscheiden en uitgesloten, moeten de bestuursorganen echter ten minste gedeeltelijke toegang verlenen (zie bv. artikel 15, lid 1, APPIHAO) (140). |
(167) |
Het bestuursorgaan moet hoe dan ook een schriftelijke beslissing nemen binnen een bepaalde termijn (30 dagen, die onder bepaalde voorwaarden met nog 30 dagen kan worden verlengd). Als het verzoek wordt afgewezen, slechts gedeeltelijk wordt ingewilligd, of de particulier het gedrag van het bestuursorgaan om andere redenen „onwettig of onrechtvaardig” acht, kan de particulier krachtens de Wet toetsing administratieve klachten om administratieve toetsing verzoeken (141). In dat geval moet het hoofd van het bestuursorgaan dat uitspraak doet op het beroep, de beoordelingscommissie openbaarmaking van informatie en bescherming van persoonsinformatie raadplegen (artikelen 42 en 43 APPIHAO), een gespecialiseerd, onafhankelijk orgaan waarvan de leden door de premier worden benoemd met instemming van beide kamers van het parlement. Volgens de ontvangen informatie kan de beoordelingscommissie een onderzoek verrichten (142) en het bestuursorgaan in dit verband verzoeken om overlegging van de bewaarde persoonsinformatie, inclusief enige gerubriceerde inhoud, en van verdere informatie en documenten. Hoewel het uiteindelijke rapport dat zowel aan de klager als aan het bestuursorgaan wordt toegezonden en openbaar gemaakt, juridisch niet bindend is, wordt het in bijna alle gevallen gevolgd (143). Bovendien kan de betrokkene de beslissing in beroep in rechte aanvechten op grond van de Wet administratieve procesvoering. Dit opent de weg voor rechterlijke controle op het gebruik van de uitzondering(en) betreffende de nationale veiligheid, met inbegrip van de vraag of een dergelijke uitzondering is misbruikt of nog steeds gerechtvaardigd is. |
(168) |
Om de uitoefening van de bovengenoemde rechten uit hoofde van de APPIHAO te vergemakkelijken, heeft het ministerie van BZC 51 „algemene informatiecentra” opgericht, die geconsolideerde informatie verstrekken over deze rechten, de procedures om een verzoek in te dienen en de mogelijkheden voor verhaal (144). De bestuursorganen moeten informatie verstrekken „die ertoe bijdraagt te verduidelijken welke persoonsinformatie wordt bewaard” (145) en „andere adequate maatregelen nemen voor het gemak van de persoon die voornemens is om het verzoek in te dienen” (artikel 47, lid 1, APPIHAO). |
(169) |
Zoals bij onderzoeken op het gebied van de handhaving van het strafrecht, kunnen particulieren ook op het gebied van de nationale veiligheid individueel verhaal zoeken door rechtstreeks contact op te nemen met de PPC. Dit zet de specifieke procedure voor geschillenbeslechting in gang die de Japanse regering heeft gecreëerd voor personen uit de EU wier persoonsgegevens in het kader van dit besluit worden doorgegeven (zie gedetailleerde uitleg in de overwegingen 141 tot en met 144 en 149). |
(170) |
Verder kunnen particulieren gerechtelijke stappen nemen in de vorm van een schadevordering uit hoofde van de Wet schadevergoedingen van de staat, die ook morele schade en onder bepaalde voorwaarden de schrapping van de verzamelde gegevens bestrijkt (zie overweging 147). |
4. CONCLUSIE: PASSEND BESCHERMINGSNIVEAU VOOR VANUIT DE EUROPESE UNIE AAN BEDRIJFSEXPLOITANTEN IN JAPAN DOORGEGEVEN PERSOONSGEGEVENS
(171) |
Volgens de Commissie waarborgt de APPI, zoals aangevuld met de aanvullende voorschriften in bijlage I, tezamen met de officiële verklaringen, garanties en toezeggingen in bijlage II, een niveau van bescherming van vanuit de Europese Unie doorgegeven persoonsgegevens dat in wezen gelijkwaardig is aan dat van Verordening (EU) 2016/679. |
(172) |
Bovendien is de Commissie van oordeel dat, als geheel genomen, de toezichtsmechanismen en de verhaalmogelijkheden waarin het Japanse recht voorziet, het mogelijk maken om inbreuken door ontvangende PIHBOs in de praktijk vast te stellen en te bestraffen, en de betrokkene rechtsmiddelen bieden om toegang te krijgen tot de hem/haar betreffende persoonsgegevens en, uiteindelijk, om deze gegevens te laten corrigeren of wissen. |
(173) |
Ten slotte is de Commissie op grond van de beschikbare informatie over de Japanse rechtsorde, met inbegrip van de verklaringen, garanties en toezeggingen van de Japanse regering in bijlage II, van mening dat elke inmenging in de grondrechten van particulieren van wie persoonsgegevens van de Europese Unie naar Japan worden doorgegeven door Japanse overheidsinstanties voor doeleinden van openbaar belang, meer in het bijzonder handhaving van het strafrecht en nationale veiligheid, beperkt is tot hetgeen strikt noodzakelijk is om de betrokken legitieme doelstelling te bereiken, en dat tegen dergelijke inmenging doeltreffende rechtsbescherming voorhanden is. |
(174) |
Daarom is de Commissie in het licht van de bevindingen van dit besluit van oordeel dat Japan een passend beschermingsniveau waarborgt voor persoonsgegevens die vanuit de Europese Unie worden doorgegeven aan PIHBOs in Japan waarop de APPI van toepassing is, behalve in gevallen waarin de ontvanger valt onder een van de in artikel 76, lid 1, APPI vermelde categorieën en alle of sommige van de doeleinden van de verwerking overeenkomen met een van de in die bepaling bedoelde doeleinden. |
(175) |
Op basis hiervan concludeert de Commissie dat is voldaan aan het adequaatheidscriterium van artikel 45 van Verordening (EU) 2016/679, geïnterpreteerd in het licht van het Handvest van de grondrechten van de Europese Unie, en in het bijzonder het arrest Schrems (146). |
5. MAATREGELEN VAN GEGEVENSBESCHERMINGSAUTORITEITEN EN INFORMATIE AAN DE COMMISSIE
(176) |
Volgens de rechtspraak van het Hof van Justitie (147), en zoals is erkend in artikel 45, lid 4, van Verordening (EU) 2016/679, moet de Commissie na de vaststelling van een adequaatheidsbesluit doorlopend toezicht houden op relevante ontwikkelingen in het derde land, teneinde te beoordelen of Japan een in wezen gelijkwaardig beschermingsniveau blijft waarborgen. Een dergelijke controle is hoe dan ook vereist wanneer de Commissie informatie ontvangt die aanleiding geeft tot gerechtvaardigde twijfel dienaangaande. |
(177) |
Derhalve moet de Commissie voortdurend volgen wat de situatie is met betrekking tot het rechtskader en de dagelijkse praktijk aangaande de verwerking van persoonsgegevens die in dit besluit zijn beoordeeld, inclusief de naleving door de Japanse autoriteiten van de verklaringen, garanties en toezeggingen in bijlage II. Om dit proces te vergemakkelijken, wordt van de Japanse autoriteiten verwacht dat zij de Commissie informeren over materiële ontwikkelingen die voor dit besluit van belang zijn, zowel wat de verwerking van persoonsgegevens door bedrijfsexploitanten als de beperkingen en waarborgen die gelden voor de toegang tot persoonsgegevens door overheidsinstanties betreft. Dit moet mede eventuele besluiten van de PPC krachtens artikel 24 van de APPI omvatten waarbij wordt erkend dat een derde land een gelijkwaardig beschermingsniveau biedt als dat in Japan. |
(178) |
Teneinde de Commissie in staat te stellen haar toezichthoudende taak doeltreffend uit te voeren, moeten de lidstaten de Commissie bovendien op de hoogte brengen van desbetreffende maatregelen van de nationale gegevensbeschermingsautoriteiten, met name inzake vragen of klachten van betrokkenen uit de EU betreffende de doorgifte van persoonsgegevens van de Europese Unie aan bedrijfsexploitanten in Japan. Voorts moet de Commissie geïnformeerd worden over eventuele aanwijzingen dat de maatregelen van de Japanse overheidsinstanties die verantwoordelijk zijn voor de preventie, het onderzoek, de opsporing of de vervolging van strafbare feiten, of voor de nationale veiligheid, met inbegrip van toezichthoudende instanties, niet het vereiste beschermingsniveau waarborgen. |
(179) |
De lidstaten en hun organen moeten de maatregelen nemen die noodzakelijk zijn om te voldoen aan de handelingen van de instellingen van de Unie, aangezien deze laatste vermoed worden rechtsgeldig te zijn en bijgevolg rechtsgevolgen in het leven roepen zolang zij niet zijn ingetrokken, nietig verklaard in een beroep tot nietigverklaring of ongeldig verklaard na een prejudiciële verwijzing of op een exceptie van onwettigheid. Daarom is een krachtens artikel 45, lid 3, van Verordening (EU) 2016/679 vastgesteld adequaatheidsbesluit van de Commissie bindend voor alle organen van de lidstaten waaraan het is gericht, met inbegrip van hun onafhankelijke toezichthoudende autoriteiten. Zoals het Hof van Justitie in het arrest Schrems (148) heeft overwogen en is erkend in artikel 58, lid 5, van de Verordening, moet het nationale recht, indien een gegevensbeschermingsautoriteit (mede op basis van een klacht) twijfelt over de conformiteit van een adequaatheidsbesluit van de Commissie met de bescherming van het grondrecht van een particulier op privacy en gegevensbescherming, voorzien in een rechtsmiddel om deze grieven aan een nationale rechter voor te leggen die, bij twijfel, de behandeling moet schorsen en bij prejudiciële verwijzing het Hof van Justitie om beoordeling van de geldigheid moet verzoeken (149). |
6. PERIODIEKE EVALUATIE VAN DE VASTSTELLING VAN DE ADEQUAATHEID
(180) |
Ingevolge artikel 45, lid 3, van Verordening (EU) 2016/679 (150), en in het licht van het feit dat het door de Japanse rechtsorde geboden beschermingsniveau kan veranderen, moet de Commissie na de vaststelling van dit besluit periodiek controleren of de vaststellingen met betrekking tot de adequaatheid van het door Japan geboden beschermingsniveau nog steeds feitelijk en rechtens gerechtvaardigd zijn. |
(181) |
Te dien einde moet dit besluit binnen twee jaar na de inwerkingtreding ervan een eerste keer worden getoetst. Na die eerste toetsing, en afhankelijk van het resultaat daarvan, zal de Commissie in nauw overleg met het comité dat is ingesteld bij artikel 93, lid 1, van de algemene verordening gegevensbescherming besluiten of de cyclus van twee jaar moet worden gehandhaafd. De daaropvolgende toetsingen moeten hoe dan ook ten minste om de vier jaar plaatsvinden (151). De toetsing moet betrekking hebben op alle aspecten van de werking van dit besluit, en met name de toepassing van de aanvullende voorschriften (met bijzondere aandacht voor bescherming in geval van verdere doorgifte), de toepassing van de regels inzake toestemming, inclusief het geval van intrekking daarvan, de doeltreffendheid van de uitoefening van individuele rechten, en de beperkingen en waarborgen met betrekking tot de toegang van de overheid, met inbegrip van het verhaalmechanisme in bijlage II bij dit besluit. Ze moet ook betrekking hebben op de doeltreffendheid van het toezicht en de handhaving met betrekking tot de voorschriften die van toepassing zijn op zowel PIHBOs als op het gebied van de handhaving van het strafrecht en de nationale veiligheid. |
(182) |
Voor het verrichten van de toetsing moet de Commissie samenkomen met de PPC, in voorkomend geval samen met andere Japanse autoriteiten die verantwoordelijk zijn voor de toegang van de overheid, met inbegrip van relevante toezichtsorganen. Aan die bijeenkomst moet kunnen worden deelgenomen door vertegenwoordigers van de leden van het Europees Comité voor gegevensbescherming (EDPB). In het kader van de gezamenlijke toetsing moet de Commissie de PPC verzoeken om uitvoerige informatie over alle aspecten die relevant zijn voor de vaststelling van adequaatheid, onder meer over de beperkingen en waarborgen met betrekking tot de overheidstoegang (152). De Commissie moet ook uitleg vragen over alle door haar ontvangen informatie die relevant is voor dit besluit, waaronder openbare rapporten van de Japanse autoriteiten of andere belanghebbenden in Japan, het EDPB, afzonderlijke gegevensbeschermingsautoriteiten, maatschappelijke groeperingen, berichten in de media of alle andere beschikbare informatiebronnen. |
(183) |
Op basis van de gezamenlijke toetsing moet de Commissie een openbaar verslag opstellen dat bij het Europees Parlement en de Raad moet worden ingediend. |
7. SCHORSING VAN HET ADEQUAATHEIDSBESLUIT
(184) |
Wanneer de Commissie op basis van de regelmatige en ad-hoccontroles of andere beschikbare informatie concludeert dat het door de Japanse rechtsorde geboden beschermingsniveau niet langer kan worden beschouwd als in wezen gelijkwaardig aan dat in de Europese Unie, moet zij de bevoegde Japanse autoriteiten daarvan in kennis stellen en vragen dat binnen een bepaalde, redelijke termijn passende maatregelen worden genomen. Dit omvat de regels die van toepassing zijn op zowel bedrijfsexploitanten als de Japanse overheidsinstanties die verantwoordelijk zijn voor de handhaving van het strafrecht of voor de nationale veiligheid. Een dergelijke procedure zou bijvoorbeeld worden ingeleid in gevallen waarin verdere doorgiften, onder meer op basis van besluiten die de PPC krachtens artikel 24 van de APPI heeft vastgesteld en waarbij wordt erkend dat een derde land een gelijkwaardig beschermingsniveau waarborgt als dat van Japan, niet langer plaatsvinden overeenkomstig de waarborgen van de continuïteit van de bescherming in de zin van artikel 44 van de algemene verordening gegevensbescherming. |
(185) |
Indien de bevoegde Japanse autoriteiten na die termijn niet afdoende kunnen aantonen dat dit besluit gebaseerd blijft op een adequaat beschermingsniveau, moet de Commissie met toepassing van artikel 45, lid 5, van Verordening (EU) 2016/679 de procedure tot gedeeltelijke of volledige schorsing of intrekking van dit besluit inleiden. Als alternatief moet de Commissie de procedure tot wijziging van dit besluit inleiden, met name door voor gegevensdoorgiften aanvullende voorwaarden te stellen of door de reikwijdte van de vaststelling van adequaatheid te beperken tot gegevensdoorgiften waarbij de continuïteit van de bescherming in de zin van artikel 44 van de algemene verordening gegevensbescherming is gewaarborgd. |
(186) |
De Commissie moet de procedure tot schorsing of intrekking met name inleiden als er aanwijzingen zijn dat de aanvullende voorschriften in bijlage I niet worden nageleefd door de bedrijfsexploitanten die persoonsgegevens ontvangen op grond van dit besluit en/of niet daadwerkelijk ten uitvoer worden gelegd, of dat de Japanse autoriteiten de verklaringen, garanties en toezeggingen in bijlage II bij dit besluit niet naleven. |
(187) |
De Commissie moet tevens de inleiding van de procedure tot wijziging, schorsing of intrekking van dit besluit overwegen indien, in de context van de gezamenlijke toetsing of anderszins, de bevoegde Japanse autoriteiten niet de informatie of verduidelijking verstrekken die nodig is voor de beoordeling van het niveau van de bescherming van persoonsgegevens die worden doorgegeven van de Europese Unie aan Japan of van de naleving van dit besluit. In dit verband moet de Commissie rekening houden met de mate waarin relevante informatie kan worden verkregen uit andere bronnen. |
(188) |
In geval van naar behoren gerechtvaardigde urgente redenen, zoals het risico van een ernstige schending van de rechten van de betrokkenen, moet de Commissie een besluit tot schorsing of intrekking van dit besluit in overweging nemen, dat onmiddellijk van toepassing moet zijn, overeenkomstig artikel 93, lid 3, van Verordening (EU) 2016/679 juncto artikel 8 van Verordening 182/2011 van het Europees Parlement en de Raad (153). |
8. SLOTOVERWEGINGEN
(189) |
Het Europees Comité voor gegevensbescherming heeft zijn advies gepubliceerd, waarmee bij het opstellen van dit besluit rekening is gehouden (154). |
(190) |
Het Europees Parlement heeft een resolutie over een strategie voor digitale handel aangenomen, die de Commissie verzoekt prioriteit te geven aan en vaart te zetten achter de vaststelling van adequaatheidsbesluiten met belangrijke handelspartners onder de voorwaarden van Verordening (EU) 2016/679, als een belangrijk mechanisme om de doorgifte van persoonlijke gegevens vanuit de Europese Unie te beveiligen (155). Het Europees Parlement heeft ook een resolutie over de gepastheid van de door Japan geboden bescherming van persoonsgegevens goedgekeurd (156). |
(191) |
De in dit besluit vervatte maatregelen zijn in overeenstemming met het advies van het Comité dat is ingesteld bij artikel 93, lid 1, van de algemene verordening gegevensbescherming, |
HEEFT HET VOLGENDE BESLUIT VASTGESTELD:
Artikel 1
1. Voor de toepassing van artikel 45 van Verordening (EU) 2016/679 waarborgt Japan een passend beschermingsniveau voor persoonsgegevens die van de Europese Unie worden doorgegeven aan bedrijfsexploitanten die in Japan persoonsinformatie behandelen overeenkomstig de Wet inzake de bescherming van persoonsinformatie, zoals aangevuld met de aanvullende voorschriften vermeld in bijlage I, tezamen met de officiële verklaringen, garanties en toezeggingen die zijn opgenomen in bijlage II.
2. Dit besluit heeft geen betrekking op persoonsgegevens die worden doorgegeven aan ontvangers die behoren tot een van de volgende categorieën, voor zover alle of sommige van de doeleinden van de verwerking van de persoonsgegevens beantwoorden aan één van de genoemde doeleinden, respectievelijk:
a) |
omroeporganisaties, uitgevers van dagbladen, persbureaus en andere persorganisaties (met inbegrip van natuurlijke personen die zich zakelijk met persactiviteiten bezighouden), voor zover zij persoonsgegevens verwerken voor persdoeleinden; |
b) |
natuurlijke personen die zich beroepshalve met tekstschrijven bezighouden, voor zover zij daarbij persoonsgegevens verwerken; |
c) |
universiteiten en andere organisaties of groeperingen die gericht zijn op academische studies, alsmede personen die deel uitmaken van dergelijke organisaties of groeperingen, voor zover zij persoonsgegevens verwerken met het oog op academische studies; |
d) |
religieuze organisaties, voor zover zij persoonsgegevens verwerken voor hun religieuze activiteiten (inclusief alle aanverwante activiteiten), en |
e) |
politieke organisaties, voor zover zij persoonsgegevens verwerken voor hun politieke activiteiten (inclusief alle aanverwante activiteiten). |
Artikel 2
Wanneer de bevoegde autoriteiten in de lidstaten, met het oog op de bescherming van particulieren in verband met de verwerking van hun persoonsgegevens, hun bevoegdheden uit hoofde van artikel 58 van Verordening (EU) 2016/679 uitoefenen en gegevensstromen naar een bepaalde binnen de werkingssfeer van artikel 1 vallende bedrijfsexploitant in Japan worden opgeschort of definitief worden verboden, stelt de betrokken lidstaat de Commissie daarvan onverwijld in kennis.
Artikel 3
1. De Commissie houdt voortdurend toezicht op de toepassing van het rechtskader waarop dit besluit is gebaseerd, met inbegrip van de voorwaarden voor verdere doorgifte, teneinde te beoordelen of Japan een passend beschermingsniveau in de zin van artikel 1 blijft waarborgen.
2. De lidstaten en de Commissie stellen elkaar in kennis van gevallen waarin de Commissie Bescherming Persoonsinformatie of enige andere bevoegde Japanse autoriteit niet garandeert dat het rechtskader waarop dit besluit is gebaseerd wordt geëerbiedigd.
3. De lidstaten en de Commissie stellen elkaar in kennis van eventuele aanwijzingen dat ingrepen van de Japanse overheidsdiensten in het recht van natuurlijke personen op de bescherming van hun persoonsgegevens verder gaan dan hetgeen strikt noodzakelijk is, of dat er geen doeltreffende rechtsbescherming tegen dergelijke ingrepen is.
4. Binnen twee jaar na de datum van kennisgeving van dit besluit aan de lidstaten en daarna ten minste om de vier jaar, zal de Commissie de vaststelling in artikel 1, lid 1, evalueren op basis van alle beschikbare informatie, met inbegrip van de informatie die in het kader van de met de betrokken Japanse autoriteiten uitgevoerde gezamenlijke toetsing is ontvangen.
5. Wanneer de Commissie aanwijzingen heeft dat een passend beschermingsniveau niet langer wordt gewaarborgd, stelt zij de bevoegde Japanse autoriteiten daarvan in kennis. Indien noodzakelijk, kan zij besluiten dit besluit te schorsen, te wijzigen of in te trekken, of de werkingssfeer ervan te beperken, met name wanneer er aanwijzingen zijn dat:
a) |
bedrijfsexploitanten in Japan die uit hoofde van dit besluit persoonsgegevens uit de Europese Unie hebben ontvangen, de aanvullende waarborgen in de aanvullende voorschriften in bijlage I bij dit besluit niet naleven, of er dienaangaande onvoldoende toezicht en handhaving is; |
b) |
de Japanse overheidsinstanties de verklaringen, garanties en toezeggingen die zijn opgenomen in bijlage II bij dit besluit niet naleven, onder meer wat betreft de voorwaarden voor en de beperkingen van het verzamelen van en de toegang tot uit hoofde van dit besluit doorgegeven persoonsgegevens voor Japanse overheidsinstanties met het oog op de handhaving van het strafrecht of de nationale veiligheid. |
De Commissie kan dergelijke ontwerpmaatregelen ook voorstellen indien zij door het gebrek aan medewerking van de Japanse regering niet kan bepalen of de bevinding in artikel 1, lid 1, van dit besluit wordt beïnvloed.
Artikel 4
Dit besluit is gericht tot de lidstaten.
Gedaan te Brussel, 23 januari 2019.
Voor de Commissie
Věra JOUROVÁ
Lid van de Commissie
(1) PB L 119 van 4.5.2016, blz. 1.
(2) Zaak C-362/14, Schrems/Data Protection Commissioner, ECLI:EU:C:2015:650 (hierna „Schrems-arrest” genoemd), punt 73.
(3) Schrems-arrest, punt 74.
(4) Zie de mededeling van de Commissie aan het Europees Parlement en de Raad „Uitwisseling en bescherming van persoonsgegevens in een geglobaliseerde wereld” (COM(2017)7 final van 10.1.2017, punt 3.1., blz. 6-7).
(5) Wet bescherming persoonsinformatie (Wet nr. 57 van 2003).
(6) Voor meer informatie over de PPC, zie: https://www.ppc.go.jp/en/ (met inbegrip van contactgegevens voor vragen en klachten: https://www.ppc.go.jp/en/contactus/access/).
(7) Dit besluit geldt voor de EER. De Overeenkomst betreffende de Europese Economische Ruimte (EER-overeenkomst) voorziet in de uitbreiding van de interne markt van de Europese Unie met de drie EER-staten IJsland, Liechtenstein en Noorwegen. Het besluit van het Gemengd Comité van de EER waarbij Verordening (EU) 2016/679 in bijlage XI bij de EER-overeenkomst wordt opgenomen, is vastgesteld door het Gemengd Comité van de EER op 6 juli 2018 en in werking getreden op 20 juli 2018. De verordening valt derhalve onder die overeenkomst.
(8) Hooggerechtshof, arrest van de Grote Kamer van 24 December 1969, Keishu deel 23, nr. 12, blz. 1625.
(9) Hooggerechtshof, arrest van 6 maart 2008, Minshu deel 62 nr. 3, blz. 665.
(10) Hooggerechtshof, arrest van 6 maart 2008, Minshu deel 62 nr. 3, blz. 665.
(11) Zie https://www.ppc.go.jp/files/pdf/PPC_rules.pdf
(12) Zie de aanvullende voorschriften, (Inleiding).
(13) Hieraan wordt geen afbreuk gedaan door het algemene vereiste om (slechts) gedurende een bepaalde periode gegevens bij te houden. Ook al maakt de oorsprong van de gegevens deel uit van de informatie die de verkrijgende PIHBO moet bevestigen op grond van artikel 26, lid 1, van de APPI, de verplichting op grond van artikel 26, lid 4, van de APPI in samenhang met artikel 18 van de PPC-voorschriften betreft slechts een bijzondere vorm van gegevens (zie artikel 16 van de PPC- voorschriften) en dit belet een PIHBO niet om voor een langere periode voor de identificatie van de gegevens te zorgen. Dit is bevestigd door de PPC, die heeft verklaard dat de informatie over de oorsprong van de gegevens door de PIHBO moet worden bewaard zolang als nodig is om aan de aanvullende voorschriften te voldoen.
(14) PPC, Vragen en antwoorden, 16 februari 2017 (gewijzigd op 30 mei 2017), beschikbaar op: https://www.ppc.go.jp/files/pdf/kojouhouQA.pdf. In de vragen en antwoorden komt een aantal vraagstukken aan de orde die in de richtsnoeren worden behandeld, met praktische voorbeelden als de criteria voor gevoelige persoonsgegevens, de uitlegging van individuele toestemming, doorgiften aan derden in de context van cloud computing, of de verplichting om gegevens bij te houden bij grensoverschrijdende doorgiften. De vragen en antwoorden zijn uitsluitend in het Japans beschikbaar.
(15) In antwoord op een specifieke vraag heeft de PPC aan de EDPB meegedeeld dat de Japanse gerechtelijke instanties hun uitlegging baseren op de richtsnoeren bij de toepassing van de APPI/PPC-voorschriften in individuele zaken die aan hen worden voorgelegd, en dat zij aldus in hun vonnissen rechtstreeks naar de tekst van de PPC-richtsnoeren hebben verwezen. Daarom zijn ook uit dit oogpunt de PPC-richtsnoeren bindend voor bedrijfsexploitanten. Voor zover bij de PPC bekend, is het Hof nooit afgeweken van de richtsnoeren. In dit verband heeft de PPC de Commissie ook gewezen op een arrest op het gebied van gegevensbescherming waarbij de rechter zijn bevindingen uitdrukkelijk op de richtsnoeren heeft gebaseerd (zie Osaka District Court, beslissing van 19 mei 2006, Hanrei Jiho, deel 1948, blz. 122; de rechter oordeelde dat de bedrijfsexploitant op grond van de richtsnoeren verplicht was om veiligheidscontrolemaatregelen te nemen).
(16) PPC-richtsnoeren (editie algemene voorschriften), blz. 6.
(17) Dit omvat alle vormen van elektronische bestanden. De PPC-richtsnoeren (algemene editie, blz. 17) verschaffen specifieke voorbeelden in dit opzicht, bijvoorbeeld een in de e-mail-client-software opgeslagen lijst van mailadressen.
(18) Artikel 2, leden 4 en 6, van de APPI.
(19) Zoals artikel 23 van de APPI, waarin de voorwaarden voor het delen van persoonsgegevens met derden zijn opgenomen.
(20) Het gaat hier om persoonsgegevens i) waarbij de mogelijkheid bestaat dat indien bekend wordt gemaakt dat de genoemde persoonsgegevens wel of niet voorhanden zijn, dit het leven, de gezondheid of het vermogen van de betrokkene of van een derde in gevaar brengt; ii) waarbij de mogelijkheid bestaat dat indien bekend wordt gemaakt dat de genoemde persoonsgegevens wel of niet voorhanden zijn, dit een onwettige of onrechtvaardige handeling kan aanmoedigen of uitlokken; iii) waarbij de mogelijkheid bestaat dat indien bekend wordt gemaakt dat de genoemde persoonsgegevens wel of niet voorhanden zijn, dit de nationale veiligheid in gevaar kan brengen, een vertrouwensrelatie met een ander land of een internationale organisatie teniet kan doen of tot een nadelige onderhandelingspositie ten aanzien van een ander land of internationale organisatie kan leiden, of iv) waarbij de mogelijkheid bestaat dat indien bekend wordt gemaakt dat de genoemde persoonsgegevens wel of niet voorhanden zijn, dit een belemmering kan vormen voor de handhaving van de openbare veiligheid of de openbare orde, zoals de preventie, de bestrijding of het onderzoek van een misdrijf.
(21) In deze omstandigheden is een kennisgeving aan de betrokkenen niet vereist. Dit stemt overeen met artikel 23, lid 2, onder h, van de algemene verordening gegevensbescherming, op grond waarvan de betrokkene niet van de beperking op de hoogte moet worden gesteld indien „dit een belemmering is voor het doel van de beperking”.
(22) Zie Verordening (EU) 2016/679, overweging 26.
(23) PPC-richtsnoeren (editie algemene voorschriften), blz. 18.
(24) Wat andere exploitanten betreft, mag de PPC hen bij de uitoefening van haar onderzoeks- en handhavingsbevoegdheden nooit verhinderen om gebruik te maken van hun recht op vrijheid van meningsuiting, de academische vrijheid, de godsdienstvrijheid en de vrijheid van politieke activiteiten (artikel 43, lid 1, van de APPI).
(25) Zoals de PPC heeft uiteengezet, wordt toestemming in de PPC-richtsnoeren uitgelegd als een „uitdrukking van de intentie van de betrokkene dat hij/zij accepteert dat zijn/haar persoonlijke informatie kan worden verwerkt met een methode die wordt aangegeven door een onderneming die persoonlijke gegevens verwerkt”. De PPC-richtlijnen (editie algemene voorschriften, blz. 24) geven een overzicht van de wijzen van toestemming geven die worden aangemerkt als „gebruikelijke handelspraktijken in Japan”, zoals een mondelinge overeenkomst, een invulformulier of ander document, overeenkomst via e-mail, een vakje aanvinken op een website, op een startpagina klikken, een toestemmingsknop gebruiken, een aanraakscherm aantikken enz. Al deze methoden vormen een uitdrukkelijke vorm van toestemming.
(26) In de door de PPC opgestelde vragen en antwoorden wordt een aantal voorbeelden gegeven ter illustratie van dit begrip. Voorbeelden van situaties waarin de wijziging beperkt blijft tot wat redelijkerwijs relevant is, omvatten bijvoorbeeld het gebruik van persoonsinformatie die in de context van een handelstransactie van kopers van goederen en diensten zijn verkregen, om die kopers te informeren over de beschikbaarheid van andere relevante goederen of diensten (zoals een exploitant van een fitnessclub die e-mailadressen van leden registreert om hen in te lichten over cursussen en programma's). In de vragen en antwoorden wordt echter ook een voorbeeld gegeven van een situatie waarin de wijziging van het gebruiksdoel niet is toegestaan, namelijk wanneer een bedrijf informatie over de aangeboden goederen en diensten zendt aan e-mailadressen die het bedrijf heeft verzameld om te waarschuwen voor fraude of diefstal van lidmaatschapskaarten.
(27) Deze uitzonderingsbepalingen kunnen het gevolg zijn van andere wet- en regelgeving of betrekking hebben op situaties waarin de verwerking van persoonsinformatie noodzakelijk is voor i) de bescherming van het leven, de lichamelijke integriteit of de eigendommen van een persoon, ii) de verbetering van de volksgezondheid of de bevordering van de groei van gezonde kinderen, of iii) de samenwerking met overheidsinstanties of -organen of vertegenwoordigers daarvan bij de uitvoering van hun wettelijke taken. De categorieën i) en ii) zijn bovendien slechts van toepassing indien het moeilijk is om de toestemming van de betrokkene te verkrijgen, en categorie iii) geldt slechts indien het risico bestaat dat de verkrijging van de toestemming van de betrokkene de uitvoering van de bedoelde taken zou hinderen.
(28) Ongeacht het voorgaande is op grond van artikel 23, lid 1, van de APPI in principe de toestemming van de betrokkene vereist voor het beschikbaar stellen van de gegevens aan een derde. De betrokkene kan zo enigszins controle uitoefenen op het gebruik van zijn gegevens door een andere bedrijfsexploitant.
(29) Op grond van artikel 15, lid 1, van de APPI moet de specificatie „zo uitdrukkelijk mogelijk” zijn.
(30) Artikel 18, lid 1, van de APPI.
(31) Hoewel trustees voor de toepassing van artikel 23 zijn uitgesloten van het begrip „derde” (zie punt 5), is deze uitsluiting slechts van toepassing voor zover de trustee persoonsgegevens behandelt binnen de grenzen van het toewijzingsbesluit („binnen hetgeen noodzakelijk is om een gebruiksdoel te bereiken”), d.w.z. dat hij als verwerker optreedt.
(32) De overige (uitzonderings)gronden zijn: i) verstrekking van persoonsinformatie op grond van de wet- en regelgeving; ii) gevallen waarin de noodzaak bestaat het leven, de lichamelijke integriteit of het eigendom van een persoon te beschermen en de toestemming van de betrokkene moeilijk te verkrijgen is; iii) gevallen waarin er een bijzondere noodzaak bestaat de openbare reinheid te verbeteren of de groei van gezonde kinderen te bevorderen en de toestemming van de betrokkene moeilijk te verkrijgen is, en iv) gevallen waarin de noodzaak bestaat van samenwerking met een centrale overheidsorganisatie of een lokale overheid, dan wel een persoon die door deze overheden is belast met wettelijk voorgeschreven taken, en de mogelijkheid bestaat dat het verkrijgen van de toestemming van de betrokkene de uitvoering van die taken zou hinderen.
(33) De te verstrekken informatie omvat met name de categorieën persoonsgegevens die met een derde zullen worden gedeeld en de methode van doorgifte. De PIHBO moet de betrokkene bovendien inlichten over de mogelijkheid zich tegen de doorgifte te verzetten en de wijze waarop een verzoek daartoe kan worden ingediend.
(34) In artikel 26, lid 1, onder ii), van de APPI wordt bepaald dat een PIHBO, bij de ontvangst van door een derde aangeleverde persoonsgegevens, de details betreffende de verwerving van de persoonsgegevens door de derde, inclusief het doel van die verwerving, moet verifiëren. In artikel 26 wordt niet uitdrukkelijk bepaald dat de PIHBO dat doel moet volgen, maar dat wordt wel uitdrukkelijk verplicht gesteld in aanvullend voorschrift nr. 3.
(35) PPC-richtsnoeren (editie algemene voorschriften), blz. 41 en 86 t/m 98.
(36) In geval van een lek, schade of verlies moet de PIHBO overeenkomstig afdeling 3-3-2 van de PPC-richtsnoeren de noodzakelijke onderzoeken uitvoeren en met name de omvang van de schending van de rechten en belangen van de betrokken persoon alsmede de aard en omvang van de betrokken persoonsinformatie beoordelen.
(37) Dit betreft i) gevallen waarin de mogelijkheid bestaat dat het inlichten van de betrokkene over of het openbaar maken van het gebruiksdoel schade zou toebrengen aan het leven, de lichamelijke integriteit, het vermogen of andere rechten en belangen van de betrokkene of een derde, dan wel de rechten of gerechtvaardigde belangen van de […] PIHBO; ii) gevallen waarin de noodzaak bestaat van samenwerking met een centrale overheidsorganisatie of een lokale overheid bij de uitvoering van hun wettelijke taken, en informatie of bekendmaking van het gebruiksdoel daaraan afbreuk zou doen; iii) gevallen waarin het gebruiksdoel duidelijk is, gezien de situatie waarin de gegevens zijn verkregen.
(38) Het gaat om de volgende uitzonderingen: i) gevallen gebaseerd op wettelijke en bestuursrechtelijke bepalingen; ii) gevallen waarin de noodzaak bestaat het leven, de lichamelijke integriteit of het eigendom van een persoon te beschermen en de toestemming van de betrokkene moeilijk te verkrijgen is; iii) gevallen waarin er een bijzondere noodzaak bestaat de volksgezondheid te verbeteren of de groei van gezonde kinderen te bevorderen en de toestemming van de betrokkene moeilijk te verkrijgen is, en iv) gevallen waarin de noodzaak bestaat van samenwerking met een centrale overheidsorganisatie of een lokale overheid, dan wel een persoon die door deze overheden is belast met wettelijk voorgeschreven taken, en de mogelijkheid bestaat dat het verkrijgen van de toestemming van de betrokkene de uitvoering van die taken zou hinderen, en v) gevallen waarin de genoemde persoonsinformatie die bijzondere zorg vereist aan het publiek wordt bekendgemaakt door een betrokkene, een overheidsorganisatie, een lokale overheid, een persoon die onder een van de categorieën van artikel 76, lid 1, valt, of andere personen zoals voorgeschreven in de voorschriften van de PPC. Een andere categorie heeft betrekking op andere gevallen die bij kabinetsdecreet zijn aangemerkt als gelijkwaardig met die gevallen die zijn vastgesteld in elk van de voorgaand punten en die op grond van het onderhavige kabinetsdecreet met name betrekking heeft op opvallende kenmerken (bv. een zichtbare gezondheidstoestand), indien de gevoelige gegevens (onbedoeld) zijn verkregen door het visueel observeren, filmen of fotograferen van de betrokkene, bijvoorbeeld door CCTV-camera's.
(39) Volgens artikel 40, lid 1, van de APPI kan de PPC, voor zover nodig voor de uitvoering van de desbetreffende bepalingen van de APPI, van een PIHBO eisen dat deze de nodige gegevens of het nodige materiaal met betrekking tot de behandeling van persoonlijke informatie indient.
(40) De APPI voorziet onder andere in voorschriften over de erkenning van die organisaties; zie de artikelen 47-50 van de APPI.
(41) Artikel 52 van de APPI.
(42) PPC-kennisgeving nr. 1/2017 betreffende de maatregelen die moeten worden genomen in gevallen waarin een inbreuk in verband met persoonsgegevens of een ander incident heeft plaatsgevonden.
(43) Volgens de cijfers die zijn gepubliceerd op de PrivacyMark-website van JIPDEC d.d. 2 oktober 2017.
(44) PPC, lijst van erkende organisaties ter bescherming van persoonsinformatie, beschikbaar op het volgende internetadres: https://www.ppc.go.jp/personal/nintei/list/ or https://www.ppc.go.jp/files/pdf/nintei_list.pdf
(45) PPC, Overzicht stand van de uitvoering van de APPI in begrotingsjaar 2015 (oktober 2016), beschikbaar (alleen in het Japans) op het volgende internetadres: https://www.ppc.go.jp/files/pdf/personal_sekougaiyou_27ppc.pdf
(46) Zie voetnoot 32.
(47) Volgens artikel 11 van de PPC-voorschriften vereist dit niet alleen materiële normen die gelijkwaardig zijn aan de APPI en die daadwerkelijk onder toezicht van een onafhankelijke autoriteit staan, maar ook dat de uitvoering van de relevante voorschriften van het derde land wordt gewaarborgd.
(48) Tot dusverre heeft de PPC nog geen besluit krachtens artikel 24 van de APPI vastgesteld waarbij wordt erkend dat een derde land een gelijkwaardig beschermingsniveau biedt als dat in Japan. Het enige besluit dat zij overweegt vast te stellen, betreft de EER. Wat mogelijke andere besluiten in de toekomst betreft, zal de Commissie de situatie van nabij volgen en zo nodig passende maatregelen nemen om eventuele nadelige gevolgen voor de continuïteit van de bescherming te beperken (zie overwegingen 176, 177, 184 en artikel 3, lid 1).
(49) Hoewel slechts twee Japanse ondernemingen zijn gecertificeerd in het kader van het APEC-CBPR-systeem (zie https://english.jipdec.or.jp/sp/protection_org/cbpr/list.html). Buiten Japan zijn de enige andere bedrijven die in het kader van dit systeem die zijn gecertificeerd een klein aantal (23) bedrijven in de VS (zie https://www.trustarc.com/consumer-resources/trusted-directory/#apec-list).
(50) Bijvoorbeeld geen definitie en specifieke bescherming voor gevoelige gegevens, geen verplichting tot beperkte bewaring van gegevens. Zie ook advies 02/2014 van de Artikel 29-werkgroep over een referentie voor vereisten voor bindende bedrijfsvoorschriften, ingediend bij de nationale gegevensbeschermingsautoriteiten in de EU en grensoverschrijdende privacyregels, ingediend bij de verantwoordingsplichtgemachtigden („Accountability Agents”) van APEC-CBPR, 6 maart 2014.
(51) Volgens de PPC kan een beperking alleen worden gerechtvaardigd door belangen die een wettelijke bescherming rechtvaardigen. Deze beoordeling moet worden verricht van geval tot geval, waarbij rekening wordt gehouden met de interferentie met het fundamentele recht op privacy, met inbegrip van gegevensbescherming zoals erkend door de grondwet en gerechtelijke precedenten. De beschermde belangen kunnen onder meer bestaan uit bedrijfs- en andere commerciële geheimen.
(52) Het begrip „ernstig verstoren van de goede bedrijfsvoering van de onderneming van de exploitant” wordt in de PPC-richtsnoeren geïllustreerd met verschillende voorbeelden, zoals herhaalde en identieke complexe verzoeken van dezelfde persoon, wanneer deze verzoeken een aanzienlijke last voor een bedrijfsexploitant vormen, die afbreuk zou doen aan zijn vermogen om aan andere verzoeken te voldoen (PPC-richtsnoeren (editie algemene voorschriften) blz. 62). Meer in het algemeen heeft de PPC heeft bevestigd dat deze categorie is beperkt tot uitzonderlijke gevallen waarin sprake is van meer dan louter ongemak. Met name kan een PIHBO openbaarmaking niet weigeren enkel en alleen omdat om een grote hoeveelheid gegevens is verzocht.
(53) Zoals bevestigd door de PPC, moeten die wetten het recht op privacy eerbiedigen, zoals dat wordt gewaarborgd in de grondwet, en aldus een noodzakelijke en redelijke beperking inhouden.
(54) Artikel 13 van de Grondwet is door het Hooggerechtshof aldus uitgelegd dat dit voorziet in een recht op persoonlijke levenssfeer (zie de overwegingen 7 en 8). Hoewel dit recht kan worden beperkt in gevallen waarin dit recht het openbare welzijn kan verstoren, heeft het Hooggerechtshof in zijn arrest van 6 maart 2008 (zie overweging 8) verklaard dat elke beperking (die in dit geval een openbare autoriteit in staat stelt om persoonsgegevens te verzamelen en verwerken) moet worden afgewogen tegen het recht op privacy, rekening houdend met factoren zoals de aard van de desbetreffende gegevens, de risico's die de verwerking van deze gegevens voor particulieren met zich meebrengt, de toepasselijke waarborgen en de voordelen van de verwerking voor het algemeen belang. Dit komt nauw overeen met de op grond van het EU-recht vereiste afweging, op basis van de beginselen van noodzakelijkheid en evenredigheid, voor het toestaan van beperkingen van rechten en waarborgen op het gebied van gegevensbescherming.
(55) Zie voor nadere uitleg over deze uitzonderingen de tekst van Professor Katsuya Uga: Artikelsgewijs commentaar op de herziene Wet bescherming persoonsgegevens, 2015, blz. 217. Een voorbeeld van een verzoek dat hoge kosten veroorzaakt is het geval waarin slechts enkele namen op een lange lijst (bijvoorbeeld in een telefoonboek) zijn verwerkt in strijd met het beginsel van doelbinding en het telefoonboek is reeds in de handel, met als gevolg dat het terugnemen van deze exemplaren en de vervanging ervan met nieuwe, zeer kostbaar zou zijn. In het zou bijvoorbeeld, zou het, wanneer exemplaren van het telefoonboek reeds aan veel mensen zijn verkocht en het onmogelijk is deze alle weer in te zamelen, zeer moeilijk zijn het gebruik te laten ophouden. In deze gevallen zou een noodzakelijke alternatieve maatregelen kunnen bestaan uit het bekendmaken of verspreiden van een corrigendum. Een dergelijke maatregel sluit niet uit dat er andere vormen van (gerechtelijke) maatregelen worden genomen, hetzij wegens inbreuk op de persoonlijke levenssfeer, wegens reputatieschade (smaad) die wordt veroorzaakt door de bekendmaking of wegens schending van andere belangen.
(56) In het uitzonderlijke omgekeerde geval, waarin de Japanse exploitant een directe relatie met de betrokkene in de EU heeft, komt dit doorgaans doordat hij zich rechtstreeks tot het individu in de Europese Unie heeft gericht door goederen of diensten aan te bieden of zijn gedrag te volgen. In dit scenario valt de Japanse exploitant zelf binnen de werkingssfeer van Verordening (EU) 2016/679 (artikel 3, lid 2) en moet hij dus rechtstreeks voldoen aan de gegevensbeschermingswetgeving van de EU.
(57) Volgens artikel 65 van de APPI is ontslag tegen de wil van de betrokken commissaris alleen mogelijk op een van de volgende gronden: i) inleiding van een faillissementsprocedure; ii) veroordeling wegens schending van de APPI, of van Wet gebruik persoonsnummers; iii) veroordeling tot een gevangenisstraf zonder arbeid of een ernstiger straf; iv) ongeschiktheid om de taken te vervullen wegens een geestelijke of lichamelijke aandoening of wangedrag.
(58) Zie artikel 62 van de APPI.
(59) Zo betreffen sommige bepalingen PIHBO-maatregelen die facultatief zijn (artikelen 32 en 33 van de APPI), of inspanningsverplichtingen die op zichzelf niet afdwingbaar zijn (artikelen 31,35, 36, lid 6, en 39 van de APPI). Sommige bepalingen zijn niet gericht tot de PIHBO maar tot andere actoren. Dit geldt bijvoorbeeld voor artikel 23, lid 4, artikel 26, lid 2, en artikel 34 van de APPI. Niettemin wordt de handhaving van artikel 26, lid 2, van de APPI verzekerd door de mogelijkheid van strafrechtelijke sancties op grond van artikel 88, onder i, van de APPI.
(60) Bovendien wordt, zoals uiteengezet in overweging 48, in een doorgiftecontext het „gebruiksdoel” vermeld door de gegevens exporteur in de EU, die in dit verband is gehouden aan de verplichting van artikel 5, lid 1, onder b), van Verordening (EU) 2016/697. Die verplichting is afdwingbaar door de bevoegde gegevensbeschermingsautoriteit in de Europese Unie.
(61) Wet nr. 50 van 5 juni 2009.
(62) Wet nr. 60 van 22 augustus 2012.
(63) Artikel 709 van het burgerlijk wetboek is de belangrijkste grond voor civiele rechtszaken tot schadevergoeding. Volgens deze bepaling „een persoon die opzettelijk of uit onachtzaamheid inbreuk hebben gemaakt op het recht van anderen, of juridisch beschermd belang van anderen, schadeloos moeten stellen met schadevergoedingen als gevolg”.
(64) Hooggerechtshof van Tokio, arrest van 20 mei 2015 (niet gepubliceerd); Districtsrechtbank van Tokyo, Japan, arrest van 8 september 2014, Westlaw Japan 2014WLJPCA09088002. Zie artikel 34, lid 1, onder 3, van de APPI.
(65) Zie Hoge Raad, arrest van 24 september 2002 (Hanrei Times, deel 1106, blz. 72).
(66) Artikel 239, lid 2, Wetboek van strafvordering.
(67) Wet nr. 160 van 2014.
(68) Artikel 37-2 van de Wet administratieve procesvoering.
(69) Volgens artikel 3, lid 6, van de Wet administratieve procesvoering gaat het bij dit beroep om een verzoek aan de rechter om een administratieve instantie te bevelen een administratieve beslissing te nemen die zij „had moeten” nemen, maar niet heeft genomen.
(70) Artikel 37-5 van de Wet administratieve procesvoering.
(71) Hoofdstuk II, afdeling 1, van de Wet administratieve procesvoering.
(72) Zie bijvoorbeeld het arrest van het Hooggerechtshof van 12 september 2003 in zaak nr. 1656 (2002 (Ju)). Het Hooggerechtshof was met name van oordeel dat „iedereen de vrijheid heeft om zijn of haar eigen persoonsinformatie te beschermen tegen bekendmaking aan derden of openbaarmaking zonder goede reden”.
(73) Hooggerechtshof, arrest van 6 maart 2008 (Juki-net).
(74) Van een „toereikende grond” is alleen sprake als de betrokkene (verdachte, beschuldigde) wordt geacht een strafbaar feit te hebben gepleegd en de huiszoeking en inbeslagneming nodig zijn voor het strafrechtelijk onderzoek. Zie het arrest van het Hooggerechtshof van 18 maart 1969 in zaak nr. 100 (1968 (Shi)).
(75) Zie artikel 156, lid 1, Reglement van strafvordering.
(76) Er zij echter op gewezen dat bij de Wet bestraffing van georganiseerde criminaliteit en controle over opbrengsten van misdrijven van 15 juni 2017 een nieuw strafbaar feit is ingevoerd, namelijk de voorbereiding van daden van terrorisme en bepaalde andere vormen van georganiseerde criminaliteit. Onderzoeken mogen alleen worden ingesteld in geval van concrete verdenking, op basis van bewijsmateriaal, dat aan alle drie noodzakelijke voorwaarden voor het strafbare feit (betrokkenheid van een georganiseerde criminele groep, „daad van planning” en „daad van voorbereiding van uitvoering” van het misdrijf) is voldaan. Zie bv. ook de artikelen 38-40 van de Wet voorkoming van subversieve activiteiten (wet nr. 240 van 21 juli 1952).
(77) Artikel 15, lid 8, van de Richtsnoeren inzake de bescherming van persoonsinformatie in de telecommunicatiesector.
(78) Bestuursorganen in de zin van artikel 2, lid 1, van de APPIHAO. Volgens de door de Japanse regering verstrekte informatie vallen alle overheidsinstanties behalve de prefectuurpolitie onder de definitie van „bestuursorganen”. Tegelijkertijd opereert de prefectuurpolitie binnen het juridische kader dat wordt bepaald door de prefectuurbesluiten inzake de bescherming van persoonsinformatie (zie artikel 11 van de APPI en het basisbeleid), die aan de APPIHAO gelijkwaardige bepalingen ter bescherming van persoonsinformatie bevatten. Zie bijlage II, afdeling I.B. De PPC heeft verduidelijkt dat die besluiten volgens het „basisbeleid” moeten worden vastgesteld op basis van de inhoud van de APPIHAO en dat het ministerie van BZC kennisgevingen publiceert om de lokale overheden dienaangaande de nodige aanwijzingen te geven. De PPC beklemtoont dat „binnen deze grenzen het besluit inzake de bescherming van persoonsinformatie in elke prefectuur moet worden vastgesteld […] op grond van het basisbeleid en de inhoud van de kennisgevingen”.
(79) Persoonsinformatie die door functionarissen van een bestuursorgaan bij de uitoefening van hun taken wordt verkregen en die door dat bestuursorgaan voor eigen gebruik wordt bewaard, valt onder de definitie van „bewaarde persoonsinformatie” in de zin van artikel 2, lid 3, van de APPIHAO, zolang zij onder „administratieve documenten” wordt geregistreerd. Het gaat hierbij ook om door dergelijke organen verzamelde en vervolgens verder verwerkte elektronische informatie, aangezien de definitie van „administratieve documenten” in artikel 2, lid 2, van de Wet op de toegang tot informatie die in handen is van administratieve organen (wet nr. 42 van 1999) elektromagnetische bestanden omvat.
(80) Volgens artikel 53-2 van het Wetboek van strafvordering is hoofdstuk IV van de APPIHAO echter niet van toepassing op „documenten in verband met rechtszaken”, waaronder volgens de ontvangen informatie ook elektronische informatie valt die is verkregen op basis van een bevel of een verzoek om vrijwillige medewerking in het kader van een strafrechtelijk onderzoek. Ook wat op het gebied van nationale veiligheid verzamelde informatie betreft, kunnen personen geen beroep doen op hun rechten uit hoofde van de APPIHAO indien het hoofd van de overheidsinstantie „gegronde redenen” heeft om aan te nemen dat openbaarmaking „de nationale veiligheid kan schaden” (zie artikel 14, onder iv)). Overheidsinstanties zijn echter verplicht om waar mogelijk ten minste gedeeltelijk openheid van zaken te geven (artikel 15).
(81) Zie de specifieke verwijzingen naar de APPIHAO in bijlage II, afdeling II.A.1)(b)(2).
(82) Hoewel artikel 220 van het Wetboek van strafvordering een huiszoeking en inbeslagneming ter plaatse zonder rechterlijk bevel toestaat wanneer een openbaar aanklager, assistent-openbaar aanklager of functionaris van de gerechtelijke politie een verdachte/flagrante overtreder arresteert, is dit niet relevant in een doorgiftecontext en dus ook niet voor de toepassing van dit besluit.
(83) Volgens artikel 222, lid 1, juncto artikel 110 van het Wetboek van strafvordering moet het bevel tot doorzoeking/inbeslagneming van gegevens worden getoond aan degene tegen wie de maatregel is gericht.
(84) Zie ook artikel 189, lid 2, van het Wetboek van strafvordering, volgens welk een functionaris van de gerechtelijke politie de overtreder en het bewijs onderzoekt „wanneer hij of zij van mening is dat een strafbaar feit is gepleegd”. Evenzo vereist artikel 155, lid 1, van het Reglement van strafvordering dat een schriftelijk verzoek om een doorzoekingsbevel onder meer het „ten laste gelegde feit” en een „samenvatting van de omstandigheden van het misdrijf” bevat.
(85) In de bijlage worden 9 soorten misdrijven genoemd, bijvoorbeeld misdrijven in verband met drugs en vuurwapens, mensenhandel en georganiseerde moord. Er zij op gewezen dat het pas ingevoerde nieuwe strafbare feit van „voorbereiding van terroristische daden en andere georganiseerde misdrijven” (zie voetnoot 76) niet is opgenomen in deze beperkte lijst.
(86) Bovendien moet de onderzoekende instantie volgens artikel 23 van de aftapwet degene wiens communicatie is onderschept (en dus in de onderscheppingsgegevens is opgenomen) hiervan schriftelijk in kennis stellen.
(87) Zie bijlage II, afdeling II.A.1)(b)(1).
(88) Volgens de ontvangen informatie hebben bedrijfsexploitanten die niet meewerken, op grond van geen enkele wet negatieve gevolgen (inclusief sancties) te vrezen. Zie bijlage II, afdeling II.A.2)(a).
(89) Volgens de PPC-richtsnoeren (uitgave algemene regels) vormt artikel 23, lid 1, onder i), de basis voor de bekendmaking van persoonsinformatie in reactie op zowel een doorzoekingsbevel (artikel 218 van het Wetboek van strafvordering) als een inlichtingenformulier (artikel 197, lid 2, van het Wetboek van strafvordering).
(90) Dit betekent dat het „inlichtingenformulier” alleen mag worden gebruikt om informatie te verzamelen in individuele gevallen, en niet voor een grootschalige verzameling van persoonsgegevens. Zie ook bijlage II, afdeling I.A.2)(b)(1).
(91) Evenals de voorschriften van de prefectuurcommissie openbare veiligheid, zie artikel 189, lid 1, van het Wetboek van strafvordering.
(92) Zie ook artikel 3 van de politiewet, volgens hetwelk de door alle politiefunctionarissen afgelegde ambtseed is „om trouw te zijn aan de verplichting de Grondwet en de wetten van Japan te verdedigen en te handhaven, en hun taken op onpartijdige, rechtvaardige, eerlijke en onbevooroordeelde wijze te vervullen”.
(93) Overeenkomstig artikel 30, lid 1, en artikel 31, lid 2, van de politiewet „leidt en superviseert” de directeur-generaal van de regionale politiebureaus (lokale afdelingen van de NPA) de prefectuurpolitie.
(94) Op het inlichtingenformulier moeten ook de contactgegevens van de „behandelende persoon” („naam van de afdeling [functie], naam van de behandelende persoon, telefoonnummer van het kantoor, doorkiesnummer enz.”) worden vermeld.
(95) Hooggerechtshof, arrest van 24 december 1969 (1965(A) 1187); arrest van 15 april 2008 (2007(A) 839).
(96) Hoewel deze arresten geen betrekking hadden op het verzamelen van elektronische informatie, heeft de Japanse regering verduidelijkt dat de toepassing van de door het Hooggerechtshof ontwikkelde criteria zich uitstrekt tot elke inmenging van overheidsinstanties in het recht op privacy, inclusief alle „vrijwillige onderzoeken”, en dat die criteria dus ook bindend zijn voor de Japanse autoriteiten bij verzoeken om vrijwillige bekendmaking van informatie. Zie bijlage II, afdeling II.A.2)(b)(1).
(97) Volgens de ontvangen informatie moeten deze factoren „overeenkomstig sociaal aanvaardbare normen redelijk” worden geacht. Zie bijlage II, afdeling II.A.2)(b)(1).
(98) Zie voor soortgelijke overwegingen in het kader van verplichte onderzoeken (aftappen) ook het arrest van het Hooggerechtshof van 16 december 1999, 1997 (A) 636.
(99) In dit verband hebben de Japanse autoriteiten gewezen op de PPC-richtsnoeren (uitgave algemene regels) en punt 5/14 van de door de PPC opgestelde „vragen en antwoorden” over de toepassing van de APPI. Volgens de Japanse autoriteiten „reageren bedrijfsexploitanten steeds terughoudender op dergelijke verzoeken, aangezien mensen zich steeds beter bewust zijn van hun rechten op het gebied van privacy en dergelijke verzoeken veel werk vergen”. Zie bijlage II, afdeling II.A.2, ook met betrekking tot de kennisgeving van de nationale politiedienst van 1999. Volgens de ontvangen informatie zijn er inderdaad gevallen geweest waarin bedrijfsexploitanten weigerden mee te werken. In haar transparantieverslag van 2017 verklaart LINE (de producent van de populairste berichtenapp in Japan) bijvoorbeeld: „Nadat wij verzoeken van onderzoeksinstanties enz. ontvangen, verifiëren wij de correctheid uit het oogpunt van wettigheid, gebruikersbescherming enz. Bij deze verificatie wijzen wij het verzoek af als er sprake is van een juridische tekortkoming. Als de reikwijdte van het verzoek te ruim is voor het doel van het onderzoek, vragen wij de onderzoeksinstantie om uitleg. Als die uitleg onbevredigend is, gaan wij niet op het verzoek in.”. Beschikbaar op internet op het adres: https://linecorp.com/en/security/transparency/top
(100) De straffen zijn een gevangenisstraf met dwangarbeid van drie jaar of een boete van ten hoogste twee miljoen yen voor personen die „in de telecommunicatiesector werkzaam zijn”.
(101) „Gerechtvaardigde handelingen” volgens het Wetboek van strafrecht zijn met name die handelingen van een telecommunicatieonderneming waarmee zij voldoet aan maatregelen van de staat die rechtskracht hebben (verplichte maatregelen), bijvoorbeeld wanneer onderzoeksautoriteiten maatregelen nemen op basis van een bevel van een rechter. Zie bijlage II, afdeling II.A.2)(b)(2), met betrekking tot de richtsnoeren inzake de bescherming van persoonsinformatie in de telecommunicatiesector.
(102) Wat de rechten van de betrokken personen betreft, zie punt 3.1.
(103) In beginsel mag een openbaar aanklager — of een assistent-openbaar aanklager onder gezag van een openbaar aanklager — indien hij of zij dit nodig acht, een strafbaar feit onderzoeken (artikel 191, lid 1, van het Wetboek van strafvordering).
(104) Volgens de ontvangen informatie voert de nationale politiedienst geen individuele strafrechtelijke onderzoeken uit. Zie bijlage II, afdeling II.A.1)(a).
(105) Zie ook artikel 246 van het Wetboek van strafvordering, volgens hetwelk de gerechtelijke politie verplicht is het dossier van de zaak aan de openbaar aanklager toe te zenden zodra zij het onderzoek van een strafbaar feit heeft uitgevoerd („beginsel van toezending in alle gevallen”).
(106) Als alternatief mag het parlement verzoeken dat de Raad van toezicht en evaluatie van speciaal aangewezen geheimen een onderzoek instelt naar de weigering om gehoor te geven. Zie artikel 104-II van de parlementswet.
(107) Zie bijlage II, afdeling II.B.4).
(108) Bovendien is de lokale assemblee volgens artikel 100 van de Wet op de lokale autonomie bevoegd om een onderzoek in te stellen naar de activiteiten van wetshandhavingsinstanties op het niveau van de prefectuur, met inbegrip van de prefectuurpolitie.
(109) Zie de artikelen 39 tot en met 41 van de politiewet. Zie wat politieke neutraliteit betreft ook artikel 42 van de politiewet.
(110) Zie bijlage II, afdeling II.B.3) („systeem onafhankelijke raad”).
(111) Zie artikel 5, lid 3, en artikel 38, lid 3, van de politiewet.
(112) Zie artikel 38, lid 3, en artikel 43-2, lid 1, van de politiewet. Wanneer zij „een instructie geeft” in de zin van artikel 43-2, lid 1, mag de prefectuurcommissie openbare veiligheid een door haar benoemd comité opdracht geven om toezicht te houden op de uitvoering ervan (lid 2). Ook mag de prefectuurcommissie tuchtrechtelijke maatregelen tegen of ontslag van het hoofd van de prefectuurpolitie (artikel 50, lid 2) en andere politiefunctionarissen (artikel 55, lid 4, van de politiewet) aanbevelen.
(113) Hetzelfde geldt voor de hoofdcommissaris van de hoofdstedelijke politie in Tokyo (zie artikel 48, lid 1, van de politiewet).
(114) Volgens de ontvangen informatie zijn in het verslagjaar 2017 (april 2017 tot en met maart 2018) door de „algemene informatiecentra” in totaal 5 186 vragen van particulieren behandeld.
(115) De voorwaarde van een „specifiek nadeel” betekent alleen dat de klager door het optreden van de politie (of het uitblijven daarvan) individueel moet worden geraakt, niet dat hij schade dient aan te tonen.
(116) Naleving van de wet, met inbegrip van de wettelijke voorschriften voor het verzamelen en gebruiken van persoonsgegevens, is een onderdeel van die functie. Zie artikel 2, lid 2, en artikel 3 van de politiewet.
(117) Bij de uitvoering van deze beoordeling werkt de PPC samen met het ministerie van BZC, dat, zoals uiteengezet in overweging 136, om het indienen van toelichtingen en materiaal mag verzoeken, alsook advies mag uitbrengen, met betrekking tot de verwerking van persoonsinformatie door het betrokken bestuursorgaan (artikelen 50 en 51 van de APPIHAO).
(118) Dit geldt ook voor een machtiging tot aftappen, waarvoor de aftapwet in een specifieke kennisgevingsverplichting voorziet (artikel 23). Volgens deze bepaling moet de onderzoekende instantie degenen wier communicatie is onderschept (en dus in de onderscheppingsgegevens is opgenomen) hiervan schriftelijk in kennis stellen. Een ander voorbeeld is artikel 100, lid 3, van het Wetboek van strafvordering, volgens hetwelk de rechter, wanneer hij naar of door de verdachte verzonden poststukken of telegrammen in beslag heeft laten nemen, de afzender of ontvanger hiervan in kennis stelt, tenzij het gevaar bestaat dat deze kennisgeving de rechtsgang zou belemmeren. Artikel 222, lid 1, van het Wetboek van strafvordering bevat een kruisverwijzing naar deze bepaling voor doorzoekingen en inbeslagnemingen die door een onderzoeksinstantie worden uitgevoerd.
(119) Hoewel een dergelijk verzoek niet automatisch opschortende werking heeft voor de uitvoering van het besluit tot inbeslagneming, mag de toetsende rechter bevel geven tot opschorting totdat hij een beslissing ten gronde heeft genomen. Zie artikel 429, lid 2, en artikel 432 juncto artikel 424 van het Wetboek van strafvordering.
(120) Zie bijlage II, afdeling II.C.1).
(121) Zie bijlage II, afdeling II.C.2).
(122) Zie bijvoorbeeld districtsrechtbank van Tokyo, vonnis van 24 maart 1988 (nr. 2925); districtsrechtbank van Osaka, vonnis van 26 april 2007 (nr. 2925). Volgens de districtsrechtbank van Osaka moet een aantal factoren tegen elkaar worden afgewogen, zoals: i) de aard en de inhoud van de persoonsinformatie in kwestie; ii) de wijze waarop zij zijn verzameld; iii) de nadelen voor de betrokkene wanneer de gegevens niet worden gewist, en iv) het openbaar belang, inclusief de nadelen voor de overheidsinstantie wanneer de gegevens worden gewist.
(123) In ieder geval krijgt de verdachte na de inleiding van de strafprocedure van het openbaar ministerie de mogelijkheid om die bewijsstukken in te zien (zie de artikelen 298 en 299 van het Wetboek van strafvordering). Zie wat de slachtoffers van misdrijven betreft de artikelen 316-333 van het Wetboek van strafvordering.
(124) Het staat bedrijfsexploitanten dus vrij om niet mee te werken, zonder enig risico op sancties of andere negatieve gevolgen. Zie bijlage II, afdeling III.A.1).
(125) Volgens de ontvangen informatie is de belangrijkste taak van de nationale politiedienst het coördineren van onderzoeken van de verschillende prefectuurpolitiediensten en het uitwisselen van informatie met buitenlandse autoriteiten. Zelfs in deze rol staat de NPA onder toezicht van de nationale commissie openbare veiligheid, die onder andere verantwoordelijk is voor de bescherming van de rechten en vrijheden van natuurlijke personen (artikel 5, lid 1, van de politiewet).
(126) Zie bijlage II, afdeling III.A.1)(3). De respectieve werkingssfeer van deze twee wetten is beperkt, voor SAPA tot „terroristische subversieve activiteiten” en voor ACO tot „willekeurige massamoorden” (d.w.z. een „terroristische subversieve activiteit” in de zin van SAPA „waarbij een groot aantal personen willekeurig wordt vermoord”).
(127) Zie de artikelen 5 en 8 ACO. Een bewakingsmaatregel houdt ook een rapportageverplichting in jegens de organisatie waarop de maatregel betrekking heeft. Zie voor de procedurele waarborgen, in het bijzonder de transparantievereisten en de voorafgaande toestemming door de Commissie onderzoek openbare veiligheid, de artikelen 12, 13, 15-27 ACO.
(128) Zie de artikelen 5 en 7 SAPA. Zie voor de procedurele waarborgen, in het bijzonder de transparantievereisten en de voorafgaande toestemming door de Commissie onderzoek openbare veiligheid, de artikelen 11-25 SAPA.
(129) Zie artikel 27 SAPA en artikelen 29 en 30 ACO.
(130) Zie bijlage II, afdeling III.A.1)(3).
(131) Zie bijlage II, afdeling III.A.2)(b): „Uit de rechtspraak van het Hooggerechtshof volgt dat een verzoek om vrijwillige medewerking slechts tot een bedrijfsexploitant kan worden gericht als dat verzoek noodzakelijk is voor het onderzoek naar een vermoedelijk strafbaar feit en redelijk is om het doel van het onderzoek te bereiken. Hoewel onderzoeken door onderzoeksinstanties op het gebied van de nationale veiligheid verschillen van onderzoeken door onderzoeksinstanties op het gebied van de rechtshandhaving, zowel wat hun rechtsgrondslag als hun doel betreft, gelden de centrale beginselen van „noodzakelijkheid voor het onderzoek” en „geschiktheid van de methode” ook op het gebied van de nationale veiligheid en moet daaraan worden voldaan, rekening houdend met de specifieke omstandigheden van elk geval.”.
(132) Zie bijlage II, afdeling III.A.2)(b).
(133) Zie bv. artikel 36 SAPA/artikel 31 ACO (voor de PSIA).
(134) Het hoofd van het IGO is een voormalig openbaar aanklager. Zie bijlage II, afdeling III.B.3).
(135) Zie bijlage II, afdeling III.B.3). Volgens het verstrekte voorbeeld omvatte de periodieke defensie-inspectie van 2016 met betrekking tot „Bewustzijn/paraatheid voor naleving van de wetgeving” onder meer de „status van de bescherming van persoonsinformatie” (beheer, opslag, enz.). Het daaruit voortvloeiende verslag maakte melding van gevallen van ongepast gegevensbeheer en pleitte voor verbeteringen dienaangaande. Het ministerie van Defensie heeft het verslag gepubliceerd op zijn website.
(136) Volgens de Wet tot oprichting van de Commissie onderzoek openbare veiligheid oefenen de voorzitter en de leden van de Commissie hun taken onafhankelijk uit (artikel 3). Zij worden met instemming van beide kamers van het parlement benoemd door de premier en kunnen alleen „om gewichtige redenen” (bv. gevangenisstraf, wangedrag, geestelijke of lichamelijke stoornis, opening van een faillissementsprocedure) worden ontslagen.
(137) Regeling van de periodieke inspectie van de inlichtingendienst openbare veiligheid (directeur-generaal van de PSIA, instructie nr. 4, 1986).
(138) Regeling van de bijzondere inspectie van de inlichtingendienst openbare veiligheid (directeur-generaal van de PSIA, instructie nr. 11, 2008). Bijzondere inspecties worden uitgevoerd als de directeur-generaal van de PSIA dit nodig acht.
(139) Dit betreft het recht om een kopie van de „bewaarde persoonsinformatie” te ontvangen.
(140) Zie ook de mogelijkheid van „discretionaire openbaarmaking”, zelfs in een geval waarin „niet-openbaargemaakte informatie” deel uitmaakt van de „bewaarde persoonsinformatie” waarvan om openbaarmaking wordt verzocht (artikel 16 APPIHAO).
(141) Wet toetsing administratieve klachten (Wet nr. 160 van 2014), met name artikel 1, lid 1.
(142) Zie artikel 9 van de Wet tot oprichting van de beoordelingscommissie openbaarmaking van informatie en bescherming van persoonsinformatie (wet nr. 60 van 2003).
(143) Volgens de ontvangen informatie heeft het bestuursorgaan in de 13 jaar sinds 2005 (toen de APPIHAO in werking is getreden), in slechts twee van de meer dan 2000 zaken het rapport niet gevolgd, ondanks het feit dat administratieve besluiten in een aantal gevallen door de beoordelingscommissie zijn afgekeurd. Wanneer het bestuursorgaan een besluit neemt dat afwijkt van de bevindingen in het rapport, moet het bovendien duidelijk de redenen daarvoor vermelden. Zie bijlage II, afdeling III.C, betreffende artikel 50, lid 1, punt iv, van de Wet toetsing administratieve klachten.
(144) De algemene informatiecentra — één in elke prefectuur — geven burgers uitleg over persoonsinformatie die is verzameld door overheidsinstanties (bv. bestaande databanken) en de toepasselijke regels inzake gegevensbescherming (APPIHAO), met inbegrip van de wijze van uitoefening van het recht op informatie, correctie of opschorting van het gebruik. Tegelijkertijd dienen die centra als contactpunt voor vragen/klachten van burgers. Zie bijlage II, afdeling II.C.4)(a).
(145) Zie ook de artikelen 10 en 11 APPIAHO inzake het „Register dossiers persoonsinformatie”, die echter ruime uitzonderingen bevatten met betrekking tot „dossiers persoonsinformatie” die zijn opgesteld of verkregen voor strafrechtelijke onderzoeken of die materiaal betreffende de veiligheid en andere gewichtige belangen van de staat bevatten (zie artikel 10, lid 2, punten i) en ii), van de APPIHAO).
(146) Zie voetnoot 3.
(147) Arrest Schrems, punt 76.
(148) Arrest Schrems, punt 65.
(149) Arrest Schrems, punt 65: „In dat verband staat het aan de nationale wetgever om in beroepsgangen te voorzien waarmee bedoelde autoriteit de grieven die zij gegrond acht aan de nationale rechter kan voorleggen, zodat die laatste, wanneer hij de twijfel ten aanzien van de geldigheid van de beschikking van de Commissie deelt, de vraag naar de geldigheid van die beschikking prejudicieel kan verwijzen.”.
(150) Artikel 45, lid 3, van Verordening (EU) 2016/679 bepaalt: „De uitvoeringshandeling voorziet in een mechanisme voor periodieke toetsing, minstens om de vier jaar, waarbij alle relevante ontwikkelingen in het derde land of de internationale organisatie in aanmerking worden genomen.”.
(151) Artikel 45, lid 3, van Verordening (EU) 2016/679 bepaalt dat minstens om de vier jaar een periodieke toetsing moet plaatsvinden. Zie ook EDPB, Adequacy Referential, WP 254 rev. 01.
(152) Zie ook bijlage II, afdeling IV: „In het kader van de periodieke toetsing van het adequaatheidsbesluit wisselen de PPC en de Europese Commissie informatie uit over de verwerking van gegevens onder de voorwaarden van de vaststelling van adequaatheid, met inbegrip van die welke zijn opgenomen in deze verklaring.”.
(153) Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren (PB L 55 van 28.2.2011, blz. 13).
(154) Advies 28/2018 over het ontwerp van uitvoeringsbesluit van de Europese Commissie over de passende bescherming van persoonsgegevens in Japan, goedgekeurd op 5 december 2018.
(155) Resolutie van het Europees Parlement van 12 december 2017, „Naar een digitale handelsstrategie” (2017/2065 (INI)). Zie met name punt 8 („… herinnert eraan dat, wanneer aan de thans en in de toekomst in […] hoofdstuk V van Verordening (EU) 2016/679 vastgelegde eisen wordt voldaan, persoonsgegevens naar derde landen kunnen worden doorgegeven zonder gebruik te maken van algemene regelingen in handelsovereenkomsten; erkent dat adequaatheidsbesluiten, waaronder gedeeltelijke en sectorspecifieke adequaatheidsbesluiten, fundamentele mechanismen zijn voor het waarborgen van een veilige doorgifte van persoonsgegevens van de EU naar een derde land; merkt op dat de EU alleen adequaatheidsbesluiten heeft vastgesteld ten aanzien van vier van haar twintig grootste handelspartners …”) en punt 9 („verzoekt de Commissie prioriteit te geven aan en vaart te zetten achter de vaststelling van adequaatheidsbesluiten, mits derde landen, uit hoofde van hun nationale wetgeving of hun internationale verbintenissen, voor een beschermingsniveau zorgen dat „wezenlijk gelijkwaardig” is aan het in de EU gegarandeerde niveau …”).
(156) Resolutie van het Europees Parlement van 13 december 2018, „Gepastheid van de door Japan geboden bescherming van persoonsgegevens” (2018/2979 (RSP)).
BIJLAGE 1
AANVULLENDE VOORSCHRIFTEN UIT HOOFDE VAN DE WET BESCHERMING PERSOONSINFORMATIE VOOR DE BEHANDELING VAN PERSOONSGEGEVENS DIE OP GROND VAN EEN ADEQUAATHEIDSBESLUIT UIT DE EU ZIJN DOORGEGEVEN
Inhoudsopgave
1) |
Persoonsinformatie die bijzondere zorg vereist (artikel 2, lid 3, van de Wet) | 38 |
2) |
Bewaarde persoonsgegevens (artikel 2, lid 7, van de Wet) | 39 |
3) |
Specificering van een gebruiksdoel, beperking ten gevolge van een gebruiksdoel (artikel 15, lid 1, artikel 16, lid 1, en artikel 26, leden 1 en 3, van de Wet) | 40 |
4) |
Beperking van de verstrekking aan een derde partij in een ander land (artikel 24 van de Wet; artikel 11, lid 2, van de voorschriften) | 41 |
5) |
Anoniem verwerkte informatie (artikel 2, lid 9, en artikel 36, leden 1 en 2, van de Wet) | 41 |
[Terminologie]
„Wet” |
De Wet bescherming persoonsinformatie (Wet nr. 57, 2003) |
„Kabinetsdecreet” |
Kabinetsdecreet betreffende de uitvoering van de Wet bescherming persoonsinformatie (Kabinetsdecreet nr. 507, 2003) |
„Voorschriften” |
Handhavingsvoorschriften voor de Wet bescherming persoonsinformatie (voorschriften van de Commissie Bescherming Persoonsinformatie nr. 3, 2016) |
„Richtsnoeren algemene voorschriften” |
Richtsnoeren voor de Wet bescherming persoonsinformatie (deel inzake de algemene voorschriften) (kennisgeving nr. 65 van de Commissie Bescherming Persoonsinformatie, 2015). |
„EU” |
Europese Unie, met inbegrip van haar lidstaten, en, in het licht van de EER-overeenkomst, IJsland, Liechtenstein en Noorwegen |
„AVG” |
Verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) |
„Adequaatheidsbesluit” |
Het besluit van de Europese Commissie dat een derde land of een gebied binnen dat derde land, enz., een passend niveau van bescherming van persoonsgegevens biedt overeenkomstig artikel 45 AVG. |
De Commissie bescherming persoonsinformatie heeft met het oog op een soepele doorgifte van persoonsgegevens over en weer tussen Japan en de EU, de EU aangewezen als een ander land met een systeem voor de bescherming van persoonsinformatie dat vergelijkbare normen als Japan kent voor de bescherming van de rechten en belangen van individuen overeenkomstig artikel 24 van de Wet en de Europese Commissie heeft tegelijkertijd besloten dat Japan een passend niveau van bescherming van persoonsgegevens waarborgt overeenkomstig artikel 45 AVG.
Daardoor zal de doorgifte van persoonsgegevens tussen Japan en de EU over en weer soepel verlopen, op een wijze die een hoog niveau van bescherming van de rechten en belangen van individuen waarborgt. Om een hoog niveau van bescherming te verzekeren van op grond van een adequaatheidsbesluit uit de EU ontvangen persoonsinformatie en in het licht van het feit dat er ondanks een hoge mate van convergentie tussen de twee systemen een aantal relevante verschillen bestaan, heeft de Commissie bescherming persoonsinformatie deze aanvullende voorschriften vastgesteld, die zijn gebaseerd op de bepalingen van de Wet inzake de uitvoering enz. van samenwerking met de regeringen in andere landen, met het oog op het waarborgen van een passende behandeling van persoonsgegevens die op grond van een adequaatheidsbesluit uit de EU zijn ontvangen door een bedrijfsexploitant die persoonsinformatie behandelt en van de juiste en doeltreffende uitvoering van de in dergelijke voorschriften neergelegde verplichtingen (1).
Met name voorziet artikel 6 van de Wet in de bevoegdheid de nodige wetgevende en andere maatregelen te nemen om te zorgen voor een betere bescherming van persoonsinformatie en om een internationaal flexibel systeem inzake persoonsinformatie tot stand te brengen via strengere voorschriften die de in de Wet en het kabinetsdecreet vastgelegde voorschriften aanvullen of uitbreiden. De Commissie bescherming persoonsinformatie, als de voor het algemene beheer van de Wet bevoegde autoriteit, heeft de bevoegdheid om uit hoofde van artikel 6 van de Wet strengere voorschriften vast te stelen door het vaststellen van de onderhavige aanvullende voorschriften, die een hoger niveau van bescherming bieden van de rechten en belangen van individuen met betrekking tot de behandeling van op grond van een adequaatheidsbesluit uit de EU doorgegeven persoonsgegevens, onder meer met betrekking tot de definitie van persoonsinformatie die bijzondere zorg vereist overeenkomstig artikel 2, lid 3, van de Wet, en bewaarde persoonsgegevens overeenkomstig artikel 2, lid 7, van de Wet (onder andere met betrekking tot de relevante bewaringstermijn).
Op die basis zijn de aanvullende voorschriften bindend voor een bedrijfsexploitant die persoonsinformatie behandelt en die op grond van een adequaatheidsbesluit uit de EU doorgegeven persoonsgegevens ontvangt en derhalve verplicht is die voorschriften na te leven. Aangezien het bij de rechten en plichten om juridisch bindende voorschriften gaat, kan de Commissie bescherming persoonsinformatie deze op dezelfde wijze handhaven of doen naleven als de bepalingen van de Wet die zij met strengere of meer gedetailleerde voorschriften aanvullen. In geval van inbreuk op de uit de aanvullende voorschriften voortvloeiende rechten en plichten kunnen individuen ook op dezelfde wijze beroep instellen bij de rechter als het geval is bij de bepalingen van de Wet die zij met strengere en/of meer gedetailleerde voorschriften aanvullen.
Waar het gaat om de handhaving door de Commissie bescherming persoonsinformatie heeft deze Commissie overeenkomstig artikel 42 van de Wet de bevoegdheid om maatregelen vast te stellen wanneer een bedrijfsexploitant die persoonsinformatie behandelt een of meerdere verplichtingen uit hoofde van de aanvullende voorschriften niet in acht neemt. Wat betreft algemene persoonsinformatie die op basis van een adequaatheidsbesluit uit de EU wordt ontvangen, wordt het verzuim zonder legitieme reden (2) door een bedrijfsexploitant die persoonsinformatie behandelt om overeenkomstig een ingevolge artikel 42, lid 1, van de Wet ontvangen aanbeveling maatregelen te nemen, beschouwd als een inbreuk van onmiddellijke aard op de rechten en belangen van een individu in de zin van artikel 42, lid 2, van de Wet.
1) Persoonsinformatie die bijzondere zorg vereist (artikel 2, lid 3, van de Wet)
Artikel 2, lid 3, van de Wet
|
Artikel 2 van het kabinetsdecreet Deze, uit hoofde van artikel 2, lid 3, van de wet door het kabinetsdecreet enz. voorgeschreven beschrijvingen betreffen de beschrijvingen enz. die een van de hierna vermelde elementen bevatten (met uitzondering van die welke onderdeel uitmaken van het medisch dossier of strafblad van een betrokkene)
|
Artikel 5 van de voorschriften Onder fysieke en geestelijke functionele handicaps als bedoeld in de voorschriften van de Commissie bescherming persoonsinformatie uit hoofde van artikel 2, onder i), van het decreet, worden de hierna volgende handicaps verstaan.
|
Wanneer de op grond van een adequaatheidsbesluit uit de EU ontvangen persoonsgegevens gegevens omvatten over het seksuele gedrag of de seksuele oriëntatie of het lidmaatschap van een vakbond van een individu en die gegevens krachtens de AVG als speciale categorieën persoonsgegevens zijn gedefinieerd, zijn de bedrijfsexploitanten die persoonsinformatie behandelen, verplicht die persoonsgegevens net zo te behandelen als persoonsinformatie die bijzondere zorg vereist in de zin van artikel 2, lid 3, van de Wet.
2) Bewaarde persoonsgegevens (artikel 2, lid 7, van de Wet)
Artikel 2, lid 7, van de Wet
|
Artikel 4 van het kabinetsdecreet Bij de gegevens die zijn vastgesteld bij kabinetsdecreet uit hoofde van artikel 2, lid 7, gaat het om de hieronder vermelde persoonsgegevens.
|
Artikel 5 van het kabinetsdecreet Een bij kabinetsdecreet uit hoofde van artikel 2, lid 7, voorgeschreven termijn bedraagt zes maanden. |
Persoonsgegevens die vanuit de Europese Unie zijn ontvangen op basis van een adequaatheidsbesluit dienen te worden behandeld als bewaarde persoonsgegevens in de zin van artikel 2, lid 7, van de Wet, ongeacht de termijn waarbinnen zij moeten worden gewist.
Wanneer uit de EU op basis van een adequaatheidsbesluit ontvangen persoonsgegevens binnen de reikwijdte vallen van persoonsgegevens die volgens een kabinetsdecreet „het algemeen belang of andere belangen kunnen schaden indien hun aanwezigheid of afwezigheid bekend wordt gemaakt”, hoeven deze gegevens niet als bewaarde gegevens te worden behandeld (zie artikel 4 van het kabinetsdecreet; Richtsnoeren algemene regels, „2-7. Bewaarde persoonsgegevens”).
3) Specificering van een gebruiksdoel, beperking ten gevolge van een gebruiksdoel (artikel 15, lid 1, artikel 16, lid 1, en artikel 26, leden 1 en 3, van de Wet)
Artikel 15, lid 1, van de Wet
|
Artikel 16, lid 1, van de Wet
|
Artikel 26, leden 1 en 3, van de Wet
|
Wanneer bedrijfsexploitanten die persoonsinformatie behandelen, persoonsinformatie behandelen die verder gaat dan wat nodig is om een uit hoofde van artikel 15, lid 1, van de Wet gespecificeerd gebruiksdoel te bereiken, dienen zij voorafgaande toestemming van de desbetreffende betrokkene te verkrijgen (artikel 16, lid 1, van de Wet). Bedrijfsexploitanten die persoonsinformatie behandelen, moeten wanneer zij persoonsgegevens ontvangen van een derde, ingevolge de voorschriften elementen bevestigen als de omstandigheden waaronder de desbetreffende gegevens door de desbetreffende derde werden verkregen en deze elementen registreren (artikel 26, leden 1 en 3, van de Wet).
Wanneer een bedrijfsexploitant die persoonsinformatie behandelt persoonsgegevens uit de EU ontvangt op basis van een adequaatheidsbesluit, omvatten de overeenkomstig artikel 26, leden 1 en 3 te bevestigen en te registreren omstandigheden inzake de verwerving van de desbetreffende persoonsgegevens, het gebruiksdoel waarvoor deze uit de EU werden ontvangen.
Zo ook omvatten, wanneer een bedrijfsexploitant die persoonsinformatie behandelt van een andere bedrijfsexploitant die persoonsgegevens behandelt persoonsgegevens ontvangt die eerder uit de EU op basis van een adequaatheidsbesluit werden doorgegeven, de overeenkomstig artikel 26, leden 1 en 3 te bevestigen en te registreren omstandigheden inzake de verwerving van de desbetreffende persoonsgegevens, het gebruiksdoel waarvoor deze werden ontvangen.
In de bovengenoemde gevallen is de bedrijfsexploitant die persoonsinformatie behandelt verplicht melding te maken van het doel van het gebruik van de ontvangen persoonsgegevens binnen de reikwijdte van het gebruiksdoel waarvoor de gegevens oorspronkelijk of naderhand werden ontvangen, zoals bevestigd en vastgelegd ingevolge artikel 26, leden 1 en 3, en die gegevens binnen de genoemde reikwijdte te gebruiken (zoals voorgeschreven door de artikel 15, lid 1, en artikel 16, lid 1, van de Wet).
4) Beperking van de verstrekking aan een derde partij in een ander land (artikel 24 van de Wet; artikel 11, lid 2, van de voorschriften)
Artikel 24 van de Wet Behalve in de gevallen die zijn vermeld in elk van de punten van lid 1 van het vorige artikel dient een bedrijfsexploitant die persoonsinformatie behandelt, wanneer persoonsgegevens worden verstrekt aan een derde (tenzij het gaat om een persoon die een systeem invoert dat voldoet aan de normen die volgens de voorschriften van de Commissie bescherming persoonsinformatie in acht moeten worden genomen als noodzakelijk voor permanente maatregelen en gelijkwaardig is aan het systeem dat een bedrijfsexploitant die persoonsinformatie behandelt, dient in te voeren voor de behandeling van persoonsgegevens overeenkomstig de bepalingen van dit deel; (hierna in aangegeven zin gebruikt) in een vreemd land (dat wil zeggen een land of regio buiten het grondgebied van Japan; hierna in aangegeven zin gebruikt) (met uitzondering van die landen die in de voorschriften van de Commissie bescherming persoonsinformatie zijn aangemerkt als een ander land met een systeem voor de bescherming van persoonsgegevens waarvan wordt erkend dat het normen inzake de bescherming van de rechten en belangen van een individu hanteert die gelijkwaardig aan de Japanse normen zijn; hierna in dit artikel in aangegeven zin gebruikt), vooraf de instemming te verkrijgen van de betrokkene met de verstrekking aan een derde in een ander land. In dat geval zijn de bepalingen van het vorige artikel niet van toepassing. |
Artikel 11, lid 2, van de voorschriften De normen die in acht moeten worden genomen volgens de voorschriften van de Commissie bescherming persoonsinformatie overeenkomstig artikel 24 van de wet moeten onder een van de volgen de punten vallen.
|
Wanneer een bedrijfsexploitant die persoonsinformatie behandelt een derde in een ander land persoonsgegevens verstrekt die hij op grond van een adequaatheidsbesluit uit de EU heeft ontvangen, dient hij overeenkomstig artikel 24 van de Wet de instemming te verkrijgen van de betrokkene met de verstrekking van de desbetreffende gegevens aan een derde in een ander land, nadat de betrokkene de informatie omtrent de achtergrond van de doorgifte heeft ontvangen die hij nodig heeft om zijn besluit over instemming te nemen, tenzij er sprake is van een van de volgende gevallen onder i) tot en met iii).
(i) |
wanneer de derde in een land woonachtig is dat volgens de voorschriften is erkend als een ander land met een systeem voor de bescherming van persoonsinformatie waarvan de normen met betrekking tot de bescherming van de rechten en belangen van individuen gelijkwaardig zijn aan de Japanse normen |
(ii) |
wanneer een bedrijfsexploitant die persoonsinformatie behandelt en de derde die persoonsgegevens ontvangt, samen met betrekking tot de behandeling van persoonsgegevens door de derde partij, op passende en redelijke wijze (te weten door middel van een contract, andere vormen van bindende overeenkomsten of bindende afspraken binnen een concern) maatregelen hebben genomen die een beschermingsniveau bieden dat gelijkwaardig is aan dat van de Wet, gelezen in samenhang met de onderhavige voorschriften. |
(iii) |
in gevallen die onder een van de punten van artikel 23, lid 1, van de Wet vallen |
5) Anoniem verwerkte informatie (artikel 2, lid 9, en artikel 36, leden 1 en 2, van de Wet)
Artikel 2, lid 9, van de Wet
|
Artikel 36, lid 1, van de Wet
|
Artikel 19 van de voorschriften De normen die in acht moeten worden genomen volgens de voorschriften van de Commissie bescherming persoonsinformatie uit hoofde van artikel 36, lid 1, van de Wet zijn als volgt:
|
Artikel 36, lid 2, van de Wet
|
Artikel 20 van de voorschriften De normen die in acht moeten worden genomen volgens de voorschriften van de Commissie bescherming persoonsinformatie uit hoofde van artikel 36, lid 2, van de Wet zijn als volgt:
|
Uit de EU op grond van een adequaatheidsbesluit ontvangen persoonsinformatie wordt alleen als anoniem verwerkte informatie in de zin van artikel 2, lid 9, van de Wet beschouwd, wanneer de bedrijfsexploitant die persoonsinformatie verwerkt maatregelen neemt die het niet-identificeerbaar maken van het individu voor iedereen onomkeerbaar maken, onder meer door het wissen van met de verwerkingsmethode enz. samenhangende informatie (d.w.z. informatie inzake de beschrijvingen enz. en individuele identificatiecodes die zijn verwijderd uit de persoonlijke informatie die werd gebruikt voor het produceren van anoniem verwerkte informatie en informatie inzake een verwerkingsmethode die werd uitgevoerd overeenkomstig artikel 36, lid 1, van de Wet (beperkt tot die informatie aan de hand waarvan persoonsinformatie kan worden gereconstrueerd)).
(1) Artikel 4, artikel 6, artikel 8, artikel 24, artikel 60 en artikel 78 van de Wet en artikel 11 van de voorschriften.
(2) Legitieme grond moet worden opgevat als een gebeurtenis van bijzondere aard buiten de macht van de bedrijfsexploitant die persoonsinformatie behandelt, welke redelijkerwijs niet kan worden voorzien (bijvoorbeeld, natuurrampen) of een geval waarin de noodzaak om actie met betrekking tot een door de Commissie bescherming persoonsinformatie ingevolge artikel 42, lid 1, van de Wet uitgebrachte aanbeveling te ondernemen, is vervallen omdat de bedrijfsexploitant die persoonsinformatie behandelt alternatieve maatregelen heeft genomen, waarmee de schending volledig wordt opgeheven.
BIJLAGE 2
Hare excellentie Věra Jourová, Commissaris voor Justitie, Consumentenrechten en Gendergelijkheid van de Europese Commissie
Excellentie,
Ik verheug mij over de constructieve besprekingen tussen Japan en de Europese Commissie om een kader tot stand te brengen voor de wederzijdse doorgifte van persoonsgegevens tussen Japen en de EU.
Overeenkomstig het verzoek van de Europese Commissie aan de Japanse regering stuur ik u hierbij een overzicht van het juridische kader inzake de toegang tot informatie door de Japanse regering.
Dit document betreft talrijke ministeries en agentschappen van de Japanse regering (secretariaat van het kabinet, Nationale Politiedienst, Commissie Bescherming Persoonsinformatie, Ministerie van Binnenlandse Zaken en Communicatie, Ministerie van Justitie, Inlichtingendienst openbare veiligheid, Ministerie van Defensie) en deze zijn verantwoordelijk voor de inhoud van de passages die onder hun respectieve bevoegdheden vallen. Hieronder vindt u een lijst van de desbetreffende ministeries en agentschappen en degenen die bevoegd zijn tot ondertekening.
Vragen over dit document kunnen worden gericht tot de Commissie Bescherming Persoonsinformatie, die zal zorgen voor de coördinatie van de antwoorden tussen de betrokken ministeries en agentschappen.
Ik hoop dat document nuttig is voor de besluitvorming binnen de Europese Commissie.
Ik waardeer uw grote bijdrage op dit vlak tot nu toe.
Hoogachtend,
Yoko Kamikawa
Minister van Justitie
Dit document is opgesteld door het Ministerie van Justitie en de volgende ministeries en agentschappen.
Koichi Hamano
Adviseur, secretariaat van het kabinet
Schunichi Kuryu
Commissaris-generaal, Nationale Politiedienst
Mari Sonoda
Secretaris-generaal, Commissie Bescherming Persoonsinformatie
Mitsuru Yasuda
Viceminister, Ministerie van Binnenlandse Zaken en Communicatie
Seimei Nakagawa
Inlichtingendienst openbare veiligheid
Kenichi Takahashi
Administratieve viceminister van Defensie
14 september 2018
Verzameling en gebruik van persoonsgegevens door de Japanse overheid met het oog op de handhaving van het strafrecht en de nationale veiligheid
Dit document bevat een overzicht van het juridische kader voor de verzameling en het gebruik van (elektronische) persoonsgegevens door de Japanse overheid met het oog op de handhaving van het strafrecht en de nationale veiligheid (hierna „overheidstoegang” genoemd), met name wat betreft de geldende rechtsgrondslag, toepasselijke voorwaarden (beperkingen) en waarborgen, met inbegrip van onafhankelijk toezicht en individuele verhaalmogelijkheden. Dit overzicht is opgesteld ten behoeve van de Europese Commissie in verband met de toezegging en de waarborgen dat de overheidstoegang tot vanuit de EU naar Japan doorgegeven persoonsinformatie beperkt blijft tot wat noodzakelijk en evenredig is, dat hierop onafhankelijk toezicht wordt uitgeoefend en dat betrokkenen verhaal kunnen halen bij eventuele schending van hun grondrecht op privacy en gegevensbescherming. Er wordt ook voorzien in de instelling van een nieuw verhaalmechanisme, dat zal worden beheerd door de Commissie Bescherming persoonsinformatie (Personal Information Protection Commission — PPC), voor de behandeling van klachten van EU-burgers over de overheidstoegang tot hun vanuit de EU naar Japan doorgegeven persoonsgegevens.
I. Algemene beginselen inzake overheidstoegang
Als uitoefening van openbaar gezag moet de overheidstoegang met volledige eerbiediging van het recht geschieden (legaliteitsbeginsel). In Japan wordt persoonsinformatie zowel in de particuliere als in de publieke sector beschermd in meerdere lagen.
A. Grondwettelijk kader en legaliteitsbeginsel
In artikel 13 van de grondwet en in de jurisprudentie wordt het recht op privacy erkend als grondwettelijk recht. In dit verband heeft het Hooggerechtshof geoordeeld dat het normaal is dat burgers niet willen dat anderen zonder goede reden beschikken over hun persoonsinformatie en dat deze verwachting moet worden beschermd (1). Nadere beschermingsbepalingen zijn opgenomen in artikel 21, lid 2, van de grondwet, waarin het communicatiegeheim wordt gewaarborgd, en in artikel 35 van de grondwet, waarin het recht wordt gewaarborgd om niet zonder bevel te worden onderworpen aan huiszoeking en inbeslagneming, wat betekent dat voor verplichte verzameling van persoonsinformatie, alsmede de toegang daartoe, altijd een gerechtelijk bevel nodig is. Een dergelijk bevel mag alleen worden afgegeven voor het onderzoek naar een reeds gepleegd strafbaar feit. Volgens de Japanse wet is verplichte verzameling van informatie met het oog op de nationale veiligheid (en niet voor een strafrechtelijk onderzoek) niet toegestaan.
Bovendien moet volgens het legaliteitsbeginsel verplichte verzameling van gegevens specifiek door de wet worden toegestaan. In geval van niet-verplichte/vrijwillige verzameling wordt informatie verkregen uit een bron die vrij toegankelijk is of wordt informatie verstrekt op basis van een verzoek tot vrijwillige verstrekking, dat wil zeggen een verzoek dat niet kan worden afgedwongen bij de natuurlijke persoon of de rechtspersoon die de gegevens bezit. Dit is evenwel alleen toegestaan wanneer de overheidsinstantie bevoegd is om het onderzoek uit te voeren. Iedere overheidsinstantie mag immers alleen optreden binnen haar eigen administratieve bevoegdheid zoals wettelijk vastgesteld (ongeacht of haar activiteiten interfereren met de rechten en vrijheden van individuen). Dit beginsel is van invloed op de mogelijkheden van de instantie om persoonsinformatie te verzamelen.
B. Specifieke regels inzake de bescherming van persoonsinformatie
De Wet bescherming persoonsinformatie (Act on the Protection of Personal Information - APPI) en de Wet bescherming persoonsinformatie die bij bestuursorganen berust (Act on the Protection of Personal Information Held by Administrative Organs — APPIHAO) vormen een nadere uitwerking van de grondwettelijke bepalingen en waarborgen het recht op persoonsinformatie, in zowel de particuliere als de publieke sector.
Op grond van artikel 7 van de APPI moet de PPC het basisbeleid inzake de bescherming van persoonsgegevens vaststellen (hierna „het basisbeleid” genoemd). Het basisbeleid wordt vastgesteld bij besluit van het Japanse kabinet (premier en ministers) als centraal orgaan van de Japanse regering en geeft richting aan de bescherming van persoonsinformatie in Japan. Op die manier vervult de PPC als onafhankelijke toezichthoudende autoriteit de rol van „commandocentrum” in het systeem voor de bescherming van persoonsinformatie.
Wanneer bestuursorganen persoonsinformatie verzamelen, al dan niet op verplichte wijze, moeten zij in beginsel (2) voldoen aan de vereisten van de APPIHAO. De APPIHAO is als algemene wet van toepassing op de verwerking van „bewaarde persoonsinformatie” (3) door „bestuursorganen” (zoals gedefinieerd in artikel 2, lid 1, van de APPIHAO). Dit omvat derhalve ook gegevensverwerking op het gebied van de handhaving van het strafrecht en de nationale veiligheid. Voor de implementatie van de overheidstoegang zijn alle autoriteiten, met uitzondering van de prefectuurpolitie, nationale overheidsinstanties die vallen onder de definitie van „bestuursorganen”. Op de verwerking van persoonsinformatie door de prefectuurpolitie zijn prefectuurbesluiten (4) van toepassing, die beginselen voor de bescherming van persoonsinformatie, rechten en plichten bevatten die overeenkomen met de APPIHAO.
II. Overheidstoegang met het oog op handhaving van het strafrecht
A) Rechtsgrondslagen en beperkingen
1) Verplichte verzameling van persoonsinformatie
a) Rechtsgrondslagen
Op grond van artikel 35 van de grondwet mag het recht van eenieder om in zijn huis, documenten en bezittingen te worden gevrijwaard tegen huiszoekingen en inbeslagnemingen, niet worden geschonden, tenzij „op toereikende grond” een gerechtelijk bevel is afgegeven waarin expliciet is beschreven waar moet worden gezocht en wat in beslag moet worden genomen. Verplichte verzameling van elektronische informatie door overheidsinstanties in het kader van een strafrechtelijk onderzoek kan daarom alleen geschieden op basis van een bevel. Dit geldt voor zowel de verzameling van elektronische bestanden die (persoons)informatie bevatten als voor de realtime-onderschepping van communicatie (aftappen). De enige uitzondering op deze regel, die evenwel niet relevant is in de context van elektronische doorgifte van persoonsgegevens vanuit het buitenland), is artikel 220, lid 1, van het Wetboek van strafvordering (5), op grond waarvan een openbaar aanklager, een assistent-openbaar aanklager of functionaris van de gerechtelijke politie die een verdachte/flagrante overtreder arresteert, een huiszoeking en inbeslagneming „ter plaatse” kan uitvoeren zonder gerechtelijk bevel.
Volgens artikel 197, lid 1, van het Wetboek van strafvordering worden verplichte onderzoeksmaatregelen „niet toegepast tenzij in dit wetboek specifieke bepalingen zijn vastgesteld”. Wat verplichte verzameling van elektronische informatie betreft, zijn de relevante rechtsgrondslagen artikel 218, lid 1, van het Wetboek van strafvordering (op grond waarvan een openbaar aanklager, een assistent-openbaar aanklager of functionaris van de gerechtelijke politie een huiszoeking, inbeslagneming of inspectie kan uitvoeren zonder gerechtelijk bevel als dat noodzakelijk is voor het onderzoek), alsmede artikel 222, lid 2 van het Wetboek van strafvordering (op grond waarvan verplichte maatregelen voor het onderscheppen van elektronische communicatie zonder toestemming van de partijen kunnen worden uitgevoerd op basis van andere wetten). Dit laatste verwijst naar de Wet op het aftappen voor strafrechtelijk onderzoek (aftapwet), waarin in artikel 3, lid 1, is bepaald op welke voorwaarden communicatie met betrekking tot bepaalde ernstige strafbare feiten mag worden afgetapt op basis van een gerechtelijk aftapbevel (6).
Wat betreft de politie ligt de onderzoeksbevoegdheid ten allen tijde bij de prefectuurpolitie; de Nationale Politiedienst (NPA) voert geen strafrechtelijke onderzoeken uit overeenkomstig het Wetboek van strafvordering.
b) Beperkingen
De verplichte verzameling van elektronische informatie wordt beperkt door de grondwet en bevoegdheidswetten, zoals uitgelegd in de jurisprudentie, die specifieke criteria bevatten die rechtbanken moeten toepassen wanneer zij een bevel uitvaardigen. Daarnaast legt de APPIHAO een aantal beperkingen op aan zowel de verzameling als de verwerking van informatie (in de lokale prefectuurbesluiten zijn vrijwel identieke criteria opgenomen).
(1) Beperkingen op grond van de grondwet en de bevoegdheidswet
Volgens artikel 197, lid 1, van het Wetboek van strafvordering worden verplichte maatregelen niet toegepast tenzij in dit wetboek specifieke bepalingen zijn vastgesteld. Volgens artikel 218, lid 1, van het Wetboek van strafvordering mag een inbeslagneming e.d. worden uitgevoerd op basis van een gerechtelijk bevel „als dat noodzakelijk is voor het onderzoek”. Hoewel de criteria voor het bepalen van de noodzaak niet nader zijn uitgewerkt in de wetgeving, heeft het Japanse Hooggerechtshof geoordeeld (7) dat de rechter een algemene beoordeling moet maken waarin met name rekening wordt gehouden met de volgende elementen:
a) |
de ernst van het strafbare feit en de wijze waarop het is gepleegd; |
b) |
de waarde en het belang van het als bewijs in beslag te nemen materiaal; |
c) |
de kans dat het in beslag te nemen materiaal wordt verdonkeremaand of vernietigd; |
d) |
omvang van de nadelen die worden veroorzaakte door de inbeslagneming; |
e) |
andere relevante omstandigheden. |
Er volgen ook beperkingen uit de vereiste van artikel 35 van de grondwet dat „toereikende grond” moet worden aangetoond. Volgens dit criterium kan een bevel worden afgegeven: [1] indien een strafrechtelijk onderzoek noodzakelijk is (zie het bovengenoemde arrest van het Hooggerechtshof van 18 maart 1969 (1968 (Shi), zaak nr. 100)), [2] indien de verdachte (beschuldigde) wordt geacht een strafbaar feit te hebben gepleegd (artikel 156, lid 1, van het Reglement van strafvordering) (8). [3] Voor het lichaam, de eigendommen, de woning of een andere plaats van een andere persoon dan de beschuldigde mag alleen een onderzoeksbevel worden afgegeven wanneer redelijkerwijze kan worden aangenomen dat de in beslag te nemen goederen daadwerkelijk aanwezig zijn (artikel 102, lid 2, van het Wetboek van strafvordering). Wanneer een rechter van mening is dat het door de onderzoeksinstanties ingediende bewijsstukken onvoldoende grond bevatten om het vermoeden van een strafbaar feit te rechtvaardigen, moet hij/zij het verzoek om een bevel afwijzen. Bij de Wet bestraffing van georganiseerde criminaliteit en controle over opbrengsten van misdrijven is „de voorbereiding van daden” (bijvoorbeeld het regelen van geld voor het plegen van een terroristisch misdrijf) ook aangewezen als strafbaar feit, waarvoor dus een verplicht onderzoek op basis van een bevel kan worden uitgevoerd.
Ten slotte mag voor het lichaam, de eigendommen, de woning of een andere plaats van een andere persoon dan de beschuldigde alleen een onderzoeksbevel worden afgegeven wanneer redelijkerwijze kan worden aangenomen dat de in beslag te nemen goederen daadwerkelijk aanwezig zijn (artikel 102, lid 2, en artikel 222, lid 1, van het Wetboek van strafvordering).
Wat specifiek de onderschepping van communicatie ten behoeve van een strafrechtelijk onderzoek betreft, mag dit op basis van de aftapwet alleen worden uitgevoerd wanneer is voldaan aan de strikte voorwaarden van artikel 3, lid 1, van die wet. Volgens die bepaling is voor onderschepping altijd een voorafgaand gerechtelijk bevel vereist, dat slechts in beperkte gevallen mag worden afgegeven (9).
(2) Beperkingen op grond van de APPIHAO
Wat betreft het verzamelen (10) en verder verwerken (met inbegrip van met name het bewaren, beheren en gebruiken) van persoonsinformatie door bestuursorganen, voorziet de APPIHAO met de name in de volgende beperkingen:
a) |
Volgens artikel 3, lid 1, van de APPIHAO mag een bestuursorgaan persoonsinformatie alleen bewaren wanneer dit noodzakelijk is voor de afhandeling van de krachtens wet- en regelgeving onder zijn bevoegdheid vallende taken. Ook moet (zo veel mogelijk) het beoogde gebruiksdoel van de bewaarde persoonsgegevens worden gespecificeerd. Volgens artikel 3, leden 2 en 3, van de APPIHAO mag een bestuursorgaan geen persoonsinformatie bewaren dan voor zover noodzakelijk is om het gespecificeerde gebruiksdoel te bereiken en mag het gespecificeerde gebruiksdoel niet worden gewijzigd ten opzichte van wat redelijkerwijs als relevant kan worden beschouwd voor het oorspronkelijke doel. |
b) |
Volgens artikel 5 van de APPIHAO moet het hoofd van een bestuursorgaan ernaar streven de bewaarde informatie accuraat en actueel te houden, waarbij niet verder wordt gegaan dan noodzakelijk is om het gebruiksdoel te bereiken. |
c) |
Volgens artikel 6, lid 1, van de APPIHAO moet het hoofd van een bestuursorgaan de noodzakelijke maatregelen nemen om lekken, verlies of beschadiging van de bewaarde persoonsinformatie te voorkomen en de informatie goed te beheren. |
d) |
Volgens artikel 7 van de APPIHAO mogen personeelsleden (met inbegrip van voormalige personeelsleden) de verkregen persoonsinformatie niet meedelen aan derden zonder gerechtvaardigde reden of deze voor een ongerechtvaardigd doel gebruiken. |
e) |
Volgens artikel 8, lid 1, van de APPIHAO mag het hoofd van een bestuursorgaan bewaarde persoonsinformatie niet gebruiken of aan een derde verstrekken voor andere doeleinden dan het gespecificeerde gebruiksdoel, tenzij anders is bepaald in wet- en regelgeving. Artikel 8, lid 2, bevat uitzonderingen op deze regel in specifieke situaties, maar deze zijn alleen van toepassing als dergelijke uitzonderlijke verstrekking geen „ongerechtvaardigde” schade toebrengt aan de rechten en belangen van de betrokkene of een derde. |
f) |
Wanneer bewaarde persoonsinformatie aan een derde wordt verstrekt moet het hoofd van een bestuursorgaan volgens artikel 9 van de APPIHAO indien nodig beperkingen opleggen ten aanzien van het gebruiksdoel of de gebruikswijze, of andere noodzakelijke beperkingen. De ontvanger kan ook worden verzocht de noodzakelijke maatregelen te nemen om lekken van de informatie te voorkomen en de informatie goed te beheren. |
g) |
Volgens artikel 48 van de APPIHAO moet het hoofd van een bestuursorgaan klachten over de verwerking van persoonsinformatie correct en snel afhandelen. |
2) Verzameling van persoonsinformatie via verzoeken om vrijwillige samenwerking (vrijwillig onderzoek)
a) Rechtsgrondslag
Naast verplichte verzameling kan persoonsinformatie worden verkregen uit een bron die vrij toegankelijk is of op basis van vrijwillige verstrekking, bijvoorbeeld door bedrijfsexploitanten die dergelijke gegevens bezitten.
Wat dit laatste betreft, hebben het openbaar ministerie en de gerechtelijke politie op grond van artikel 197, lid 2, van het Wetboek van strafvordering de mogelijkheid om „schriftelijke verzoeken om inlichtingen in onderzoeken” in te dienen (de zogeheten „inlichtingenformulieren”). Volgens het Wetboek van strafvordering wordt de geadresseerde verzocht inlichtingen te verstrekken aan onderzoeksinstanties. De overheidsdienst, de particulier en/of de particuliere organisatie waaraan het verzoek is gericht, kan echter niet gedwongen worden de inlichtingen te verstrekken. Als zij de gevraagde inlichtingen niet verstrekken, kan daarvoor geen strafrechtelijke of andere sanctie worden opgelegd. Als de onderzoeksinstantie de gevraagde informatie onontbeerlijk acht, moet zij deze verkrijgen door middel van huiszoeking en inbeslagneming op basis van een gerechtelijk bevel.
Bedrijfsexploitanten reageren steeds terughoudender op dergelijke verzoeken, aangezien mensen zich steeds beter bewust zijn van hun rechten op het gebied van privacy en dergelijke verzoeken veel werk vergen (11). Bij het besluit om al dan niet mee te werken houden bedrijfsexploitanten met name rekening met de aard van de gevraagde informatie, hun relatie met degene op wie de informatie betrekking heeft, eventuele reputatieschade, de kans op een rechtszaak, enz.
b) Beperkingen
Wat betreft de verplichte verzameling van elektronische informatie wordt het vrijwillige onderzoek beperkt door de grondwet, zoals uitgelegd in de jurisprudentie, en de bevoegdheidswet. Daarnaast is het bedrijfsexploitanten in bepaalde situatie wettelijk niet toegestaan om informatie te verstrekken. Ten slotte legt de APPIHAO een aantal beperkingen op aan zowel de verzameling als de verwerking van informatie (in de lokale prefectuurbesluiten zijn vrijwel identieke criteria opgenomen).
1) Beperkingen op grond van de grondwet en de bevoegdheidswet
Op grond van het doel van artikel 13 van de grondwet heeft het Hooggerechtshof in twee arresten (van 24 december 1969 (1965 (A) nr. 1187) en 15 april 2008 (2007 (A) nr. 839)) grenzen gesteld aan vrijwillige onderzoeken door onderzoeksinstanties. Hoewel deze arresten betrekking hadden op zaken waarin persoonsinformatie (in de vorm van beelden) werd verzameld door middel van fotografie/filmopnamen, zijn de conclusies relevant voor vrijwillige (niet-verplichte) onderzoeken waarbij de privacy van een individu in het algemeen in het geding is. Deze arresten zijn derhalve van toepassing en moeten worden nageleefd bij de verzameling van persoonsinformatie door middel van een vrijwillig onderzoek, waarbij rekening moet worden gehouden met de specifieke omstandigheden van elke zaak.
Volgens deze besluiten hangt de wettelijkheid van een vrijwillig onderzoek af van drie criteria:
— |
„verdenking van een strafbaar feit” (er moet worden vastgesteld dat een strafbaar feit is gepleegd); |
— |
„noodzaak van het onderzoek” (er moet worden nagegaan of het verzoek is aan te merken als noodzakelijk om het doel van het onderzoek te bereiken), en |
— |
„passendheid van de methoden” (er moet worden nagegaan of het vrijwillige onderzoek „passend” of redelijk is om het doel van het onderzoek te bereiken) (12). |
In het algemeen wordt de wettelijkheid van een vrijwillig onderzoek op basis van de drie genoemde criteria beoordeeld vanuit de vraag of het onderzoek overeenkomstig sociaal aanvaardbare normen redelijk kan worden geacht.
Dat het onderzoek „noodzakelijk” moet zijn, vloeit eveneens rechtstreeks voort uit artikel 197 van het Wetboek van strafvordering, en is bevestigd in de instructies van de Nationale Politiedienst (NPA) aan de prefectuurpolitie met betrekking tot het gebruik van „inlichtingenformulieren”. De nota van de NPA van 7 december 1999 omvat een aantal procedurele beperkingen, waaronder de verplichting om alleen gebruik te maken van „inlichtingenformulieren” als dat noodzakelijk is voor het onderzoek. Artikel 197, lid 1, van het Wetboek van strafvordering is daarenboven beperkt tot strafrechtelijke onderzoeken en kan dus alleen worden toegepast wanneer er sprake is van een concrete verdenking van een reeds gepleegd strafbaar feit. Daarentegen kan deze rechtsgrondslag niet worden ingeroepen voor het verzamelen en gebruiken van persoonsinformatie wanneer nog geen wetsovertreding heeft plaatsgevonden.
(2) Beperkingen met betrekking tot bepaalde bedrijfsexploitanten
Op bepaalde gebieden gelden bijkomende beperkingen op basis van bescherming door andere wetten.
In de eerste plaats hebben onderzoeksinstanties en telecommunicatiebedrijven die persoonsinformatie bezitten, de plicht tot eerbiediging van de geheimhouding van communicatie, zoals gegarandeerd door artikel 21, lid 2, van de Grondwet (13). Daarnaast hebben telecommunicatiebedrijven dezelfde plicht krachtens artikel 4 van de Wet op het telecommunicatiebedrijf (14). Volgens de richtsnoeren inzake de bescherming van persoonsinformatie in de telecommunicatiesector, die afgegeven zijn door het Ministerie van Binnenlandse Zaken en Communicatie (MIC) op basis van de Grondwet en de Wet op het telecommunicatiebedrijf, mogen telecommunicatieondernemingen in gevallen waarin de geheimhouding van communicatie op het spel staat, geen persoonsinformatie betreffende de geheimhouding van communicatie meedelen aan derden, behalve wanneer zij daarvoor de toestemming van de betrokkene hebben verkregen of indien zij zich kunnen beroepen op een van de „gerechtvaardigde redenen” voor niet-naleving daarvan in de zin van het Wetboek van strafrecht. Dit laatste heeft betrekking op „gerechtvaardigde handelingen” (artikel 35 van het Wetboek van strafrecht), „zelfverdediging” (artikel 36 van het Wetboek van strafrecht) en „afwending van onmiddellijk gevaar” (artikel 37 van het Wetboek van strafrecht). „Gerechtvaardigde handelingen” volgens het Wetboek van strafrecht zijn alleen de handelingen van een telecommunicatieonderneming waarbij deze voldoet aan verplichte maatregelen van de Staat, hetgeen vrijwillig onderzoek uitsluit. Indien de onderzoeksinstanties persoonsinformatie opvragen op basis van een „inlichtingenformulier” (artikel 197, lid 2, van het Wetboek van strafvordering), heeft de telecommunicatieonderneming dan ook het verbod de gegevens mee te delen.
In de tweede plaats moeten ondernemingen verzoeken om vrijwillige samenwerking afwijzen wanneer het krachtens de wet verboden is persoonsinformatie openbaar te maken. Daartoe behoren gevallen waarin de exploitant verplicht is de geheimhouding van de informatie te eerbiedigen, bijvoorbeeld overeenkomstig artikel 134 van het Wetboek van strafrecht (15).
(3) Beperkingen op basis van de APPIHAO
Wat het verzamelen en verder verwerken van persoonsinformatie door administratieve organen betreft, voorziet de APPIHAO in beperkingen zoals uitgelegd in deel II.A.1) b) (2) hierboven. Equivalente beperkingen volgen uit de prefectorale verordeningen die van toepassing zijn op de prefectuurpolitie.
B) Toezicht
1) Gerechtelijk toezicht
Het verzamelen van persoonsinformatie door middel van dwangmaatregelen moet gebaseerd zijn op een bevel (16) en is dus onderworpen aan voorafgaand onderzoek door de rechter. Indien het onderzoek onrechtmatig was, kan de rechter dit bewijsmateriaal uitsluiten in de daarop volgende strafrechtelijke behandeling van de zaak. Een persoon kan met de bewering dat het onderzoek onrechtmatig was, om uitsluiting daarvan verzoeken in zijn/haar strafzaak.
2) Toezicht op basis van de APPIHAO
In Japan heeft de minister of het hoofd van elke ministerie of agentschap de bevoegdheid om toezicht en handhaving uit te oefenen op basis van de APPIHAO, terwijl de minister van Binnenlandse Zaken en Communicatie de handhaving van de APPIHAO door alle ander ministeries aan een onderzoek kan onderwerpen.
Indien de minister van Binnenlandse Zaken en Communicatie — bijvoorbeeld op basis van het onderzoek van de status van de handhaving van de APPIHAO (17), bij de behandeling van klachten of onderzoeken gericht tegen een van haar algemene informatiecentra — dit noodzakelijk acht om de doelstellingen van de APPIHAO te bereiken, kan hij/zij het hoofd van een administratief orgaan verzoeken gegevens of toelichting te verschaffen betreffende de verwerking van persoonsinformatie door het betrokken administratief orgaan op basis van artikel 50 van de APPIHAO. De minister kan het hoofd van het administratief orgaan adviezen verstrekken betreffende de verwerking van persoonsinformatie in het administratief orgaan wanneer hij of zij dit noodzakelijk acht om de doelstellingen van deze wet te bereiken. Daarnaast kan de minister bijvoorbeeld om herziening van de maatregelen verzoeken en overeenkomstig de artikelen 50 en 51 van de wet stappen ondernemen wanneer het vermoeden bestaat dat er sprake is van een schending of onjuiste toepassing van de wet. Dit draagt bij tot het waarborgen van de uniforme toepassing en tot de naleving van de APPIHAO.
3) Toezicht door de commissies voor openbare veiligheid wat de politie betreft
Wat de politieadministratie betreft, is het Nationaal Politieagentschap (NPA) onderworpen aan toezicht door de nationale commissie voor openbare veiligheid terwijl het toezicht op de prefectuurpolitie wordt uitgeoefend door een van de prefectorale commissies voor openbare veiligheid die in elke prefectuur gevestigd zijn. Elk van deze toezichthoudende instanties verzekert het democratisch beheer en de politieke neutraliteit van de politieadministratie.
De Nationale Commissie voor openbare veiligheid is belast met de aangelegenheden die tot haar bevoegdheden behoren krachtens de politiewet en andere wetten. Hiertoe behoren de benoeming van de commissaris-generaal van het NPA en de plaatselijke leidinggevende politiefunctionarissen alsmede de invoering van een algemeen beleid waarmee de hoofdlijnen of -maatregelen met betrekking tot het bestuur van het NPA worden uitgestippeld.
De prefectorale commissies voor openbare veiligheid bestaan uit vertegenwoordigers van de bevolking in de respectieve prefectuur op grond van de politiewet en beheren de prefectuurpolitie in de vorm van een onafhankelijke raad. De leden worden door de gouverneur van de prefectuur en met instemming van de prefectorale assemblee benoemd op basis van artikel 39 van de politiewet. De ambtstermijn bedraagt drie jaar en zij kunnen alleen tot ontslag worden verplicht om specifieke bij wet bepaalde redenen (zoals onbekwaamheid om hun functie te vervullen, schending van plichten, wangedrag, enz.), zodat hun onafhankelijkheid wordt gegarandeerd (zie artikelen 40 en 41 van de politiewet). Krachtens artikel 42 van de politiewet is het een lid van de commissie ter waarborging van zijn politieke neutraliteit verboden tegelijkertijd zitting te nemen als lid van een wetgevend orgaan, op te treden als bestuurslid van een politieke partij of een andere politieke instantie of actief deel te nemen aan politieke bewegingen. Hoewel elke commissie onder de bevoegdheid van de respectieve gouverneur van de prefectuur valt, betekent dit niet dat de gouverneur bevoegd is om instructies uit te vaardigen aangaande de uitoefening van haar taken.
Overeenkomstig artikel 38, lid 3, juncto artikel 2 en artikel 36, lid 2, van de politiewet zijn de prefectorale commissies voor openbare veiligheid verantwoordelijk voor „de bescherming van de rechten en vrijheden van personen”. Daartoe ontvangen zij verslagen van het hoofd van de prefectuurpolitie betreffende de activiteiten die binnen hun bevoegdheden vallen, onder meer op regelmatige vergaderingen die drie tot vier keer per maand plaatsvinden. De commissies verstrekken richtsnoeren over deze aangelegenheden door middel van algemene beleidslijnen.
Als onderdeel van hun toezichthoudende taak kunnen de prefectorale commissies voor openbare veiligheid de prefectuurpolitie voorts richtlijnen verstrekken in concrete, individuele gevallen waarin zij dit noodzakelijk achten in het kader van een onderzoek naar de activiteiten van de prefectuurpolitie of het wangedrag van haar personeelsleden. Ook kunnen de commissies, wanneer zij dit noodzakelijk achten, een commissielid aanwijzen om de stand van uitvoering van de gegeven richtlijn te onderzoeken (artikel 43-2 van de politiewet).
4) Toezicht door het Parlement
Het Parlement kan onderzoeken verrichten met betrekking tot de activiteiten van overheidsinstanties en kan met dat doel verzoeken om overlegging van documenten en verklaringen van getuigen (artikel 62 van de Grondwet). In dit kader kan de bevoegde commissie van het Parlement onderzoeken of de activiteiten die de politie ontplooid heeft om informatie te verzamelen, op correcte wijze zijn verlopen.
Deze bevoegdheden zijn nader omschreven in de parlementswet. Krachtens artikel 104 van deze wet kan het Parlement de regering en overheidsinstanties verzoeken om verslagen en documenten die noodzakelijk zijn om zijn onderzoek te verrichten. Voorts kunnen de leden van het Parlement „schriftelijke vragen” indienen krachtens artikel 74 van de parlementswet. Deze vragen moeten door de voorzitter van de kamer worden goedgekeurd en moeten in principe schriftelijk door de regering worden beantwoord binnen een termijn van zeven dagen (wanneer het onmogelijk is binnen deze termijn te antwoorden, is een rechtvaardiging daarvoor vereist en wordt een nieuwe termijn bepaald). In het verleden waren er schriftelijke vragen van het parlement die betrekking hadden op de verwerking van persoonsinformatie door de administratie (18).
C) Individueel verhaal
Krachtens artikel 32 van de Grondwet van Japan mag niemand het recht op toegang tot de rechter worden ontzegd. Daarnaast garandeert artikel 17 van de Grondwet elke persoon het recht de Staat of een overheidsinstantie voor de rechter te dagen voor verhaal (zoals bij wet bepaald) ingeval hij/zij schade heeft geleden door een onrechtmatige handeling van een overheidsambtenaar.
1) Gerechtelijk beroep tegen verplichte verzameling van informatie op basis van een bevel (artikel 430 van het Wetboek van strafvordering)
Volgens artikel 430, lid 2, van het Wetboek van strafvordering kan een persoon die geen voldoening kan vinden in maatregelen van een politieambtenaar met betrekking tot de inbeslagname van voorwerpen (ook wanneer deze persoonsinformatie bevatten) op basis van een bevel, bij de bevoegde rechter een verzoek (een zogenoemde „quasi-klacht”) indienen om deze maatregelen in te trekken of te wijzigen.
Dit beroep kan worden ingediend zonder dat de persoon hoeft te wachten tot de zaak is afgehandeld. Indien de rechter vaststelt dat de inbeslagname niet noodzakelijk was of dat er andere redenen zijn om de inbeslagname onrechtmatig te achten, kan hij bevelen deze maatregelen in te trekken of te wijzigen.
2) Gerechtelijk beroep krachtens het Wetboek van burgerlijke rechtsvordering en de Wet schadevergoedingen van de staat
Indien een persoon van mening is dat zijn recht op privacy overeenkomstig artikel 13 van de Grondwet is geschonden, kan hij een civiele rechtsvordering instellen met het verzoek de door middel van een strafonderzoek verzamelde persoonsinformatie te wissen.
Voorts kan een persoon een rechtsvordering tot schadevergoeding instellen op basis van de Wet schadevergoedingen van de staat in combinatie met toepasselijke artikelen van het Burgerlijk Wetboek, indien hij/zij van mening is dat zijn/haar recht op privacy is geschonden en hij/zij nadeel heeft ondervonden ten gevolge van de verzameling van zijn/haar persoonsinformatie of bewaking (19). Aangezien de „schade” waarop de vordering betrekking heeft, niet beperkt is tot schade aan eigendom (artikel 710 van het Burgerlijk Wetboek), kan ook „mentaal leed” hieronder vallen. Het bedrag van de vergoeding voor de morele schade wordt door de rechter beoordeeld op basis van een vrije schatting rekening houdend met de verschillende elementen van elke zaak (20).
Krachtens artikel 1, lid 1, van de Wet schadevergoedingen van de staat wordt een schadevergoeding toegekend wanneer (i) de overheidsfunctionaris die het gezag van de staat of van een publiekrechtelijke entiteit uitoefent, (ii) tijdens de uitoefening van zijn of haar taken (iii) opzettelijk of uit nalatigheid (iv) onrechtmatig (v) schade heeft berokkend aan een andere persoon.
De persoon moet de vordering instellen in overeenstemming met het Wetboek van burgerlijke rechtsvordering. Volgens de toepasselijke regels moet hij de vordering instellen bij de rechterlijke instantie die bevoegdheid heeft voor de plaats waar de onrechtmatige daad is begaan.
3) Individueel verhaal tegen onrechtmatige/ongepaste onderzoeken door de politie: klacht bij de prefectorale commissie voor openbare veiligheid (artikel 79 van de Politiewet)
Volgens artikel 79 van de Politiewet (21), zoals nader toegelicht in een instructie van het hoofd van het NPA aan de prefectuurpolitie en de prefectorale commissies voor openbare veiligheid (22), kunnen personen bij de bevoegde commissie voor openbare veiligheid en schriftelijke klacht (23) indienen tegen elk onrechtmatig of onjuist gedrag van een politieambtenaar bij de uitoefening van zijn/haar taken; dit omvat taken die betrekking hebben op het verzamelen en het gebruiken van persoonsinformatie. De commissie behandelt deze klachten zorgvuldig overeenkomstig de wetten en plaatselijke verordeningen en stelt de klager schriftelijk in kennis van de resultaten van het onderzoek.
Op basis van haar toezichthoudende bevoegdheid overeenkomstig artikel 38, lid 3, van de Politiewet geeft de prefectorale commissie voor openbare veiligheid een instructie aan de prefectuurpolitie om de feiten te onderzoeken, de nodige maatregelen te nemen overeenkomstig de uitkomst van het onderzoek en de resultaten mee te delen aan de commissie. Wanneer zij dit nodig acht, kan de commissie ook een instructie geven over de behandeling van de klacht, bijvoorbeeld wanneer zij het door de politie verrichte onderzoek ontoereikend acht. De manier waarop dit wordt uitgevoerd, is beschreven in de mededeling van de NPA aan de hoofden van de prefectorale politie.
De uitkomst van het onderzoek wordt aan de klager ook meegedeeld in het licht van de verslagen van de politie over het onderzoek en de maatregelen die genomen zijn op verzoek van de commissie.
4) Individueel beroep krachtens de APPIHAO en het Wetboek van strafvordering
a) APPIHAO
Krachtens artikel 48 van de APPIHAO moeten bestuursorganen ernaar streven klachten over de verwerking van persoonsinformatie correct en snel af te handelen. Als middel om geconsolideerde informatie te verstrekken aan personen (bijvoorbeeld over de ter beschikking staande rechten inzake openbaarmaking, correctie en opschorting van gebruik krachtens de APPIHAO) en als contactpunt voor vragen heeft de MIC op grond van artikel 47, lid 2, van de APPPIHAO in elke prefectuur algemene informatiecentra over openbaarmaking van informatie/bescherming van persoonsinformatie opgericht. Ook kunnen vragen worden gesteld door niet-ingezetenen. In FY2017 (april 2017 tot en met maart 2018) bijvoorbeeld bedroeg het totale aantal gevallen waarin algemene informatiecentra antwoordden op vragen, enz., 5186.
De artikelen 12 en 27 van de APPIHAO verlenen personen het recht te verzoeken om openbaarmaking en correctie van bewaarde persoonsinformatie. Voorts kunnen personen krachtens artikel 36 van de APPIHAO verzoeken om opschorting van gebruik of wissing van hun bewaarde persoonsinformatie wanneer het administratief orgaan de bewaarde persoonsinformatie niet op rechtmatige wijze heeft verkregen of deze informatie in strijd met de wet bewaart of gebruikt.
Persoonsinformatie echter die verzameld wordt (op basis van een bevel of door middel van een „inlichtingenformulier”) en bewaard wordt voor strafrechtelijke onderzoeken (24), valt over het algemeen onder de categorie van „persoonsinformatie in documenten met betrekking tot rechtszaken en in beslag genomen voorwerpen”. Deze persoonsinformatie is daarom uitgesloten van het toepassingsgebied van de individuele rechten van hoofdstuk 4 van de APPIHAO overeenkomstig artikel 53-2, van het Wetboek van strafvordering (25). De verwerking van deze persoonsinformatie en de rechten van de persoon op toegang en correctie vallen daarentegen onder de speciale regels krachtens het Wetboek van strafvordering en de Wet inzake einddossiers in strafzaken (zie hieronder) (26). Deze uitsluiting wordt gerechtvaardigd door een aantal factoren zoals de bescherming van de privacy van de betrokken personen, de geheimhouding van het onderzoek en het goede verloop van de strafprocedure. De bepalingen van hoofdstuk 2 van de APPIHAO met de beginselen voor de verwerking van dergelijke informatie blijven derhalve van toepassing.
b) Wetboek van Strafvordering
Volgens het Wetboek van strafvordering zijn de mogelijkheden van toegang tot persoonsinformatie die verzameld is voor de doeleinden van een strafrechtelijk onderzoek, afhankelijk van het stadium waarin de procedure zich bevindt, en de rol van de persoon in het onderzoek (verdachte, beklaagde, slachtoffer, enz.).
Als uitzondering op de regel in artikel 47 van het Wetboek van Strafvordering dat documenten met betrekking tot de strafprocedure niet openbaar worden gemaakt voor de aanvang van het proces (aangezien dit de eer en/of de privacy van de betrokken personen zou kunnen schenden en het onderzoek/proces zou kunnen hinderen), geldt dat inzage in deze informatie door het slachtoffer van een misdrijf in beginsel toegestaan is in de mate dat dit redelijk wordt geacht rekening houdend met de doelstelling van het bepaalde in artikel 47 van het Wetboek van Strafvordering (27).
Verdachten daarentegen zullen het feit dat tegen hen een strafonderzoek loopt, doorgaans vernemen bij de ondervraging door de gerechtelijke politie of de openbare aanklager. Indien de openbare aanklager vervolgens besluit geen vervolging in te stellen, zal hij/zij de verdachte op verzoek onmiddellijk daarvan in kennis stellen (artikel 259 van het Wetboek van strafvordering).
Daarnaast zal de openbare aanklager, nadat de vervolging is ingesteld, de beklaagde of zijn/haar raadsman de gelegenheid bieden het bewijsmateriaal vooraf in te zien voordat de zaak door de rechter wordt onderzocht (artikel 299 van het Wetboek van strafvordering). Zo krijgt de beklaagde de mogelijkheid zijn/haar persoonsinformatie te controleren die door middel van het strafonderzoek is verzameld.
Ten slotte wordt de bescherming van persoonsinformatie die verzameld is in het kader van een strafonderzoek, zowel ten aanzien van de beklaagde of enig andere persoon (bv. het slachtoffer van een misdrijf), gewaarborgd door de geheimhoudingsplicht (artikel 100 van de Wet op de nationale overheidsdiensten) en de mogelijkheid om sancties op te leggen in geval van lekken van confidentiële informatie die verwerkt wordt bij de uitoefening van overheidstaken (artikel 109 (xii) van de Wet op de nationale overheidsdiensten).
5) Individueel verhaal tegen onrechtmatige/ongepaste onderzoeken door overheidsinstanties: klacht bij de PPC
Overeenkomstig artikel 6 van de APPI onderneemt de regering in samenwerking met de regeringen van derde landen de nodige actie om een internationaal conform systeem inzake persoonsinformatie op te zetten door middel van bevordering van samenwerking met internationale organisaties en andere internationale raamwerken. Op grond van deze bepaling delegeert het basisbeleid inzake de bescherming van persoonsinformatie (vastgesteld bij kabinetsbesluit) aan de PPC — de bevoegde autoriteit voor het beheer van de APPI — de bevoegdheid om de nodige maatregelen te nemen voor het overbruggen van de verschillen tussen de systemen en operaties van Japan en het betrokken vreemde land, om te waarborgen dat uit dat land ontvangen persoonsinformatie correct wordt behandeld.
Bovendien is de PPC overeenkomstig artikel 61, punten (i) en (ii), van de APPI belast met het bepalen en bevorderen van een basisbeleid, alsook met de bemiddeling bij klachten tegen bedrijfsexploitanten. Tot slot bepaalt artikel 80 van het APPI dat administratieve organen nauw met elkaar communiceren en samenwerken.
Op basis van deze bepalingen behandelt de PPC klachten van personen als volgt:
a) |
Een persoon die vermoedt dat zijn/haar gegevens die zijn doorgegeven vanuit de EU, in strijd met de toepasselijke regels, met inbegrip van die waarop deze „verklaring” betrekking heeft, zijn verzameld of gebruikt door overheidsinstanties in Japan, met inbegrip van de instanties die verantwoordelijk zijn voor de activiteiten als bedoeld in hoofdstuk II en hoofdstuk III van deze „verklaring”, kan (individueel of via zijn/haar gegevensbeschermingsautoriteit) een klacht indienen bij de PPC. |
b) |
De PPC behandelt de klacht, onder meer door gebruik te maken van haar bevoegdheden uit hoofde van artikel 6, artikel 61, (ii), en artikel 80 van de APPI, en stelt de bevoegde overheidsinstanties, waaronder de toezichtsorganen, in kennis van de klacht. Die instanties moeten krachtens artikel 80 van de APPI met de PPC samenwerken, onder meer door de nodige informatie en relevant materiaal te verstrekken, zodat de PPC kan beoordelen of het verzamelen of later gebruiken van persoonsinformatie in overeenstemming met de geldende regels heeft plaatsgevonden. De PPC werkt voor haar beoordeling samen met het ministerie van BZC. |
c) |
Indien uit de beoordeling blijkt dat inbreuk is gemaakt op de geldende regels, houdt de samenwerking van de betrokken overheidsinstanties met de PPC onder meer in dat de inbreuk moet worden verholpen. In geval van het onrechtmatig verzamelen van persoonsinformatie volgens de toepasselijke regels, omvat dit het wissen van de onrechtmatig verzamelde gegevens. In geval van een inbreuk op de toepasselijke regels, dient de PPC vóór de afronding van de beoordeling te bevestigen dat de inbreuk volledig is verholpen. |
d) |
Zodra de beoordeling is afgerond, stelt de PPC de betrokkene binnen een redelijke termijn in kennis van het resultaat van de evaluatie, inclusief eventuele corrigerende maatregelen. Met deze kennisgeving licht de PPC de betrokkene ook in over de mogelijkheid om van de bevoegde overheidsinstantie een bevestiging van het resultaat te krijgen en deelt zij mee bij welke instantie een dergelijk verzoek om bevestiging moet worden ingediend. De verspreiding van gedetailleerde informatie over het resultaat van de beoordeling kan worden beperkt zolang er redelijke gronden zijn om aan te nemen dat de bekendmaking van dergelijke informatie een risico kan vormen voor het lopende onderzoek. Wanneer de klacht het verzamelen of gebruiken van persoonsgegevens in het kader van de handhaving van het strafrecht betreft, stelt de PPC, indien uit de beoordeling blijkt dat een zaak in verband met de persoonsinformatie van de betrokkene is geopend die vervolgens is gesloten, de betrokkene ook ervan in kennis dat het dossier kan worden ingezien overeenkomstig artikel 53 van het Wetboek van strafvordering en artikel 4 van de Wet inzake einddossiers in strafzaken. Indien uit de beoordeling blijkt dat een persoon verdachte is in een strafzaak, licht de PPC de betrokken persoon in over dat feit en over de mogelijkheid om een verzoek uit hoofde van artikel 259 van het Wetboek van strafvordering in te dienen. |
e) |
Indien een persoon nog steeds ontevreden is met de uitkomst van deze procedure, kan hij/zij zich tot de PPC wenden, die de betrokkene zal wijzen op de diverse mogelijkheden en procedures om rechtsherstel te verkrijgen die de Japanse wet- en regelgeving biedt. De PPC zal de betrokkene met raad en daad bijstaan wanneer hij of zij beroep wil instellen bij de bevoegde administratieve of rechterlijke instantie. |
III. Toegang door de overheid ten behoeve van de nationale veiligheid
A. Rechtsgrondslagen en beperkingen voor het verzamelen van persoonsinformatie
1) Rechtsgrondslagen voor het verzamelen van informatie door betrokken ministeries/agentschappen
Zoals hierboven aangegeven, moet het verzamelen van persoonsinformatie door administratieve organen ten behoeve van de nationale veiligheid plaatsvinden binnen de grenzen van hun administratieve bevoegdheden.
Japan heeft geen wet die toestaat dat informatie uitsluitend ten behoeve van de nationale veiligheid via dwangmiddelen wordt verzameld. Krachtens artikel 35 van de grondwet kan persoonsinformatie alleen gedwongen worden verzameld op basis van een bevel van een rechter in het kader van een onderzoek van een strafbaar feit. Een dergelijk bevel kan dus alleen worden afgegeven in het kader van een strafrechtelijk onderzoek. In het Japanse rechtsstelsel is het verzamelen van/verkrijgen van toegang tot persoonsinformatie via dwangmiddelen om redenen van nationale veiligheid dus niet toegestaan. Op het gebied van de nationale veiligheid kunnen de betrokken ministeries of agentschappen slechts informatie inwinnen uit vrij toegankelijke bronnen of verkrijgen van bedrijfsexploitanten of individuele personen die deze vrijwillig verstrekken. Bedrijfsexploitanten die een verzoek ontvangen om vrijwillig mee te werken, zijn niet wettelijk verplicht de gevraagde informatie te verstrekken en riskeren bijgevolg geen negatieve gevolgen als zij weigeren mee te werken.
De verantwoordelijkheden op het gebied van de nationale veiligheid zijn verdeeld over een aantal ministeries en agentschappen.
(1) Het secretariaat van het kabinet
Het secretariaat van het kabinet verzamelt informatie en verricht onderzoek betreffende belangrijk beleid van het kabinet (28) overeenkomst artikel 12-2 van de wet inzake het kabinet (29). Het secretariaat van het kabinet is echter niet bevoegd om persoonsinformatie rechtstreeks te verzamelen bij bedrijfsexploitanten. Het verzamelt, verwerkt, analyseert en beoordeelt informatie uit open bronnen, van andere overheidsinstanties, enz.
(2) NPA/Prefectuurpolitie
In elke prefectuur is de prefectuurpolitie bevoegd om binnen de grenzen van haar bevoegdheid uit hoofde van artikel 2 van de Politiewet informatie te verzamelen. In sommige gevallen verzamelt de NPA rechtstreeks informatie binnen het kader van haar bevoegdheid uit hoofde van de politiewet. Het betreft in het bijzonder de activiteiten van het Veiligheidsbureau van de NPA en de afdeling Buitenlandse aangelegenheden en Inlichtingen. Op grond van artikel 24 van de Politiewet is het Veiligheidsbureau bevoegd voor aangelegenheden betreffende de veiligheidspolitie (30) en de afdeling Buitenlandse aangelegenheden en Inlichtingen voor aangelegenheden betreffende buitenlandse onderdanen en Japanse onderdanen die hun activiteitsbasis in het buitenland hebben.
(3) Inlichtingendienst openbare veiligheid (PSIA)
De Inlichtingendienst openbare veiligheid (PSIA) is hoofdzakelijk bevoegd voor de toepassing van de Wet voorkoming van subversieve activiteiten („SAPA”) en de Wet toezicht op organisaties die willekeurige massamoorden hebben begaan („ACO”). Deze dienst valt onder het ministerie van Justitie.
De SAPA- en ACO-wetten bepalen dat binnen het grondwettelijk kader onder strikte voorwaarden administratieve maatregelen (d.w.z. maatregelen waarbij de activiteiten van dergelijke organisaties aan banden worden gelegd, de ontbinding ervan, enz.) kunnen worden genomen tegen organisaties die bepaalde ernstige feiten plegen („terroristische subversieve activiteiten” of „willekeurige massamoorden”) en de „openbare veiligheid” of „het maatschappelijk bestel” ondermijnen. De „terroristische subversieve activiteiten” vallen binnen de werkingssfeer van de SAPA (zie artikel 4, betreffende activiteiten zoals oproer, aanzetten tot buitenlandse agressie, politieke moorden, enz.) en „willekeurige massamoorden” binnen die van de ACO (zie artikel 4 ervan). Alleen tegen nauwkeurig omschreven organisaties die een specifieke binnenlandse of externe bedreiging voor de openbare veiligheid vormen, kunnen maatregelen krachtens de SAPA of de ACO worden uitgevaardigd.
Met het oog daarop voorzien de SAPA en de ACO in een wettelijke onderzoeksbevoegdheid. De fundamentele onderzoeksbevoegdheden van de functionarissen van de PSIA (PSIO) zijn vastgelegd in artikel 27 van SAPA en artikel 29 van de ACO. De PSIA verricht onderzoeken op grond van deze bepalingen voor zover zij noodzakelijk zijn vanuit het oogpunt van het aan banden leggen van de bovenbedoelde organisaties (bv. extreemlinkse groeperingen, de Aum Shinrikyo-sekte en bepaalde binnenlandse groepen die nauwe banden hebben met Noord-Korea, zijn in het verleden voorwerp van onderzoek geweest). Voor deze onderzoeken kunnen echter geen dwangmiddelen worden gebruikt en een organisatie die in het bezit is van persoonsinformatie kan niet worden verplicht om deze informatie mee te delen.
Het verzamelen en gebruiken van informatie die vrijwillig is meegedeeld aan de PSIA, is onderworpen aan de waarborgen en beperkingen waarin de wet voorziet, onder andere de grondwettelijk gewaarborgde vertrouwelijkheid van communicaties en de regels voor de verwerking van persoonsinformatie in het kader van de APPIHAO.
(4) Ministerie van Defensie (MOD)
Het ministerie van Defensie (MOD) verzamelt informatie op basis van de artikelen 3 en 4 van de wet houdende oprichting van het MOD, voor zover zulks nodig is voor de uitoefening van haar administratieve bevoegdheden, onder meer voor defensie en grensbewaking, voor de acties van de zelfverdedigingstroepen en voor het inzetten van de landstrijdkrachten, de marine en de luchtmacht. Het MOD kan alleen gegevens voor deze doeleinden verzamelen op basis van vrijwillige medewerking en uit vrij toegankelijke bronnen. Het verzamelt geen informatie over de burgers in het algemeen.
2) Beperkingen en waarborgen
a) Wettelijke beperkingen
(1) Algemene beperkingen op basis van de APPIHAO
De APPIHAO is een algemene wet die van toepassing is op het verzamelen en verwerken van persoonsinformatie door administratieve organen op elk gebied waarop deze organen actief zijn. De beperkingen en waarborgen als bedoeld in afdeling II.A.1), b), (2), gelden derhalve ook wat betreft de bewaring, de opslag, het gebruik, enz., van persoonsinformatie op het gebied van nationale veiligheid.
(2) Specifieke beperkingen voor de politie (zowel NPA als prefectuurpolitie)
Zoals eerder gezegd in het gedeelte over het verzamelen van informatie voor rechtshandhavingsdoeleinden, kan de politie alleen gegevens verzamelen binnen de grenzen van haar bevoegdheid en overeenkomstig artikel 2, lid 2, van de Politiewet inzake de politietaken, uitsluitend voor zover zulks strikt noodzakelijk is voor de uitvoering van haar taken, en gaat zij te werk op een op „neutrale, onpartijdige, onbevooroordeelde en eerlijke wijze”. Bovendien maakt zij nooit misbruik van haar bevoegdheden „op een wijze die botst met de door de grondwet van Japan gegarandeerde rechten en vrijheden van personen”.
(3) Specifieke beperkingen voor de PSIA
Artikel 3 van de SAPA en artikel 3 van de ACO bepalen dat onderzoeken op grond daarvan slechts mogen plaatsvinden voor zover zij noodzakelijk zijn om het doel van het onderzoek te bereiken, en in geen geval aldus mogen worden uitgevoerd dat zij de door de Japanse grondwet gegarandeerde rechten en vrijheden onredelijk beperken. Bovendien bepalen artikel 45 van de SAPA en artikel 42 van de ACO dat wanneer een functionaris van de PSIA zijn/haar autoriteit misbruikt, dit een misdrijf vormt waarop zwaardere strafrechtelijke sancties staan dan op machtsmisbruik „in het algemeen” op andere terreinen van de publieke sector.
(4) Specifieke beperkingen voor het MOD
Wat betreft het verzamelen/verwerken van informatie door het ministerie van Defensie in de zin van artikel 4 van de wet houdende oprichting van het MOD, is de activiteit van het ministerie beperkt tot wat „nodig” is voor de uitvoering van zijn taken op het gebied van (1) defensie en grensbewaking, (2) acties van de zelfverdedigingstroepen en (3) organisatie, getalsterkte, structuur, uitrusting en het inzetten van de landstrijdkrachten, de marine en de luchtmacht.
b) Andere beperkingen
Zoals eerder gezegd in afdeling II.A.2), b), (1), betreffende strafrechtelijke onderzoeken, volgt uit de rechtspraak van het Hooggerechtshof dat een verzoek om vrijwillige medewerking slechts tot een bedrijfsexploitant kan worden gericht als dat verzoek noodzakelijk is voor het onderzoek naar een vermoedelijk strafbaar feit en redelijk is om het doel van het onderzoek te bereiken.
Hoewel onderzoeken door onderzoeksinstanties op het gebied van de nationale veiligheid verschillen van onderzoeken door onderzoeksinstanties op het gebied van de rechtshandhaving, zowel wat hun rechtsgrondslag als hun doel betreft, gelden de centrale beginselen van „noodzakelijkheid voor het onderzoek” en „geschiktheid van de methode” ook op het gebied van de nationale veiligheid en moet daaraan worden voldaan, rekening houdend met de specifieke omstandigheden van elk geval.
Alle bovenstaande beperkingen samen waarborgen dat het verzamelen en verwerken van gegevens slechts plaatsvindt voor zover dat noodzakelijk is voor de uitvoering van specifieke taken van de bevoegde overheidsinstantie dan wel wegens specifieke bedreigingen. Dit sluit het massaal en ongedifferentieerd verzamelen of zich toegang verschaffen tot persoonsinformatie om redenen van nationale veiligheid uit.
B) Toezicht
1) Toezicht op basis van de APPIHAO
Zoals eerder gezegd in afdeling II.B.2), is in de Japanse publieke sector de minister of het hoofd van een ministerie of agentschap bevoegd voor het toezicht op en de handhaving van de APPIHAO in zijn/haar ministerie of agentschap. Bovendien kan de minister van Binnenlandse Zaken en Communicatie onderzoeken in welke mate de hand wordt gehouden aan de wet, elke minister vragen informatie en toelichting te verstrekken op basis van de artikelen 49 en 50 van de wet en adviezen aan de ministers richten op basis van artikel 51 van de wet. Zo kan hij/zij verzoeken om de maatregelen te herzien door middel van acties overeenkomstig de artikelen 50 en 51 van de wet.
2) Toezicht op de politie door de commissies voor openbare veiligheid
Zoals eerder gezegd in afdeling „II. Verzameling van gegevens met het oog op de handhaving van het strafrecht”, houden de onafhankelijke prefectuurcommissies voor openbare veiligheid toezicht op de activiteiten van de prefectuurpolitie.
Wat de Nationale Politiedienst (NPA) betreft, worden de toezichthoudende taken uitgeoefend door de Nationale Commissie voor openbare veiligheid. Krachtens artikel 5 van de politiewet is deze commissie in het bijzonder verantwoordelijk voor „de bescherming van de rechten en vrijheden van personen”. Met het oog daarop bepaalt zij met name een globaal beleid dat voorschriften omvat voor het omgaan met zaken als bedoeld in artikel 5, lid 4, van de politiewet en stelt zij andere fundamentele richtsnoeren of maatregelen vast die bij de uitvoering van de genoemde activiteiten in acht moeten worden genomen. De Nationale Commissie voor openbare veiligheid (NPSC) heeft dezelfde mate van onafhankelijkheid als de prefectuurcommissies voor openbare veiligheid (PPSC’s).
3) Toezicht op het MOD door het bureau van de inspecteur-generaal voor naleving van de regelgeving
Het bureau van de inspecteur-generaal voor naleving van de regelgeving (IGO) is een onafhankelijk orgaan binnen het ministerie van defensie (MOD) dat onder rechtstreeks toezicht van de minister van Defensie staat op grond van artikel 29 van de wet houdende oprichting van het ministerie van Defensie. Het IGO kan inspecties uitvoeren op de naleving van wet- en regelgeving door ambtenaren van het ministerie van Defensie, de zogenoemde „defensie-inspecties”.
Het IGO gaat daarbij te werk als een onafhankelijke dienst, teneinde de naleving van de wettelijke voorschriften overal in het ministerie, met inbegrip van de zelfverdedigingstroepen (SDF) te waarborgen. Het vervult zijn taken onafhankelijk van de operationele diensten van het MOD. Na afloop van een inspectie brengt het IGO onverwijld verslag uit van zijn bevindingen, eventueel vergezeld van de nodige verbeteringen, rechtstreeks aan de minister van Defensie. Op basis van het verslag van de IGO kan de minister van Defensie opdracht geven om de nodige remediërende maatregelen te treffen. De adjunct-viceminister is verantwoordelijk voor de uitvoering van deze maatregelen en moet verslag uitbrengen aan de minister van Defensie over de stand van de uitvoering ervan.
Bij wijze van vrijwillige transparantiemaatregel worden de bevindingen van defensie-inspecties thans openbaar gemaakt op de website van het ministerie van Defensie (er is geen wettelijke verplichting).
Er zijn drie categorieën van defensie-inspecties:
(i) |
reguliere defensie-inspecties, die op gezette tijden worden uitgevoerd (31); |
(ii) |
verificatie-inspecties, die tot doel hebben na te gaan of de verbeteringen daadwerkelijk zijn uitgevoerd, en |
(iii) |
bijzondere defensie-inspecties, die in opdracht van de minister van Defensie worden uitgevoerd met betrekking tot specifieke aangelegenheden. |
Bij dergelijke inspecties kan de inspecteur-generaal aan de betrokken dienst vragen verslagen of documenten over te leggen, zich toegang verschaffen tot gebouwen, de adjunct-viceminister om toelichting vragen, enz. Vanwege de aard van de inspectietaken van het IGO wordt het bureau geleid door zeer ervaren juridisch deskundigen (voormalig hoofdaanklagers).
4) Toezicht door de PSIA
De PSIA verricht zowel reguliere als bijzondere inspecties van de activiteiten van zijn afzonderlijke diensten (Inlichtingendienst openbare veiligheid, bureaus en onderafdelingen daarvan, enz.). Voor reguliere inspecties wordt/worden een adjunct-directeur-generaal en/of een directeur aangewezen als inspecteur (s). Deze controles hebben ook betrekking op het beheer van persoonsinformatie.
5) Toezicht door het parlement
Zoals voor het verzamelen van informatie voor wetshandhavingsdoeleinden, kan de bevoegde commissie van de Diet de rechtmatigheid van het verzamelen van informatie ten behoeve van de nationale veiligheid controleren. De onderzoeksbevoegdheden van de Diet zijn gebaseerd op artikel 62 van de grondwet en de artikelen 74 en 104 van de wet op de Diet.
C) Individueel verhaal
Individueel verhaal kan via dezelfde middelen worden gezocht als in het kader van de handhaving van het strafrecht. Dit omvat ook het nieuwe, door de PPC beheerde en gecontroleerde verhaalmechanisme voor de behandeling en afwikkeling van klachten van personen uit de EU. Zie in dit verband de relevante passages van afdeling II.C.
Daarnaast staan er specifieke, individuele verhaalsmogelijkheden ter beschikking op het gebied van de nationale veiligheid.
Op persoonsinformatie die door een bestuursorgaan wordt verzameld ten behoeve van de nationale veiligheid zijn de bepalingen van hoofdstuk 4 van de APPIHAO van toepassing. Dit omvat het recht van personen om te verzoeken om openbaarmaking (artikel 12) en correctie (met inbegrip van toevoeging of schrapping) (artikel 27) van de bewaarde persoonsinformatie, alsook het recht om te verzoeken om opschorting van het gebruik van de persoonsinformatie indien deze onrechtmatig door het administratieve orgaan is verkregen (artikel 36). Hierbij dient te worden aangetekend dat op het gebied van de nationale veiligheid de uitoefening van deze rechten aan sommige beperkingen onderhevig is: verzoeken om openbaarmaking, correctie of opschorting worden niet ingewilligd als zij betrekking hebben op „informatie waarvan het hoofd van een bestuursorgaan op redelijke gronden kan aannemen dat openbaarmaking de nationale veiligheid kan schaden, schade zou kunnen toebrengen aan de relatie van wederzijds vertrouwen met een ander land of een internationale organisatie of een nadeel zou kunnen opleveren in onderhandelingen met een ander land of een internationale organisatie” (artikel 14, onder (iv)). Niet elke verzameling van informatie ten behoeve van de nationale veiligheid valt met andere woorden onder deze uitzondering, aangezien deze laatste altijd een feitelijke afweging van de risico’s van openbaarmaking vereist.
Bovendien, indien het verzoek van de betrokkene is afgewezen op grond dat de betrokken informatie niet geschikt is voor openbaarmaking in de zin van artikel 14, onder (iv), kan de betrokkene administratief beroep aantekenen tot herziening van dat besluit, bijvoorbeeld met het argument dat in een dergelijk geval de voorwaarden van artikel 14, onder iv), niet vervuld zijn. In dat geval raadpleegt het hoofd van het betrokken bestuursorgaan alvorens een besluit te nemen de Beoordelingscommissie openbaarmaking van informatie en bescherming van persoonsinformatie. Deze commissie beoordeelt het beroep vanuit een onafhankelijk oogpunt. De commissie is een zeer gespecialiseerd en onafhankelijk orgaan waarvan de leden met instemming van beide kamers van het parlement door de premier worden gekozen uit personen met een grote deskundigheid (32). De commissie heeft verregaande onderzoeksbevoegdheden, met inbegrip van de mogelijkheid om documenten en de verstrekking van de persoonsinformatie in kwestie te vragen, beraadslagingen achter gesloten deuren te houden en de „Vaughn Index”-procedure toe te passen (33). De commissie stelt vervolgens een schriftelijk verslag op dat wordt meegedeeld aan de betrokkene (34). De bevindingen in het verslag worden openbaar gemaakt. Hoewel het verslag formeel gezien niet juridisch bindend is, worden bijna alle verslagen door de betrokken bestuursorganen opgevolgd (35).
Tot slot kan de betrokkene op grond van artikel 3, lid 3, van de Wet administratieve procesvoering beroep in rechte aantekenen strekkende tot intrekking van het besluit van het administratief orgaan om de persoonsinformatie niet openbaar te maken.
IV. Periodieke toetsing
In het kader van de periodieke toetsing van het adequaatheidsbesluit wisselen de PPC en de Europese Commissie informatie uit over de verwerking van gegevens onder de voorwaarden van de vaststelling van adequaatheid, met inbegrip van die welke zijn opgenomen in deze verklaring.
(1) Hooggerechtshof, arrest van 12 september 2003 (2002 (Ju) nr. 1656).
(2) Voor uitzonderingen met betrekking tot hoofdstuk 4 van de APPIHAO, zie blz. 16.
(3) „Bewaarde persoonsinformatie” als bedoeld in artikel 2, lid 5, van de APPIHAO is persoonsinformatie die is opgesteld of verkregen door functionarissen van een bestuursorgaan bij de uitoefening van hun taken en die door dat bestuursorgaan voor eigen gebruik wordt bewaard.
(4) Elke prefectuur heeft haar eigen „prefectuurbesluit” dat van toepassing is op de bescherming van persoonsinformatie door de prefectuurpolitie. Er zijn geen Engelse vertalingen van deze prefectuurbesluiten.
(5) Volgens artikel 220, lid 1, van het Wetboek van strafvordering kan een openbaar aanklager, een assistent-openbaar aanklager of functionaris van de gerechtelijke politie die een verdachte/flagrante overtreder arresteert, de volgende maatregelen treffen: a) betreden van de woning van een derde in de zoektocht naar de verdachte; b) huiszoeking, inbeslagneming of inspectie ter plaatse tijdens de arrestatie.
(6) Meer specifiek schrijft deze bepaling voor dat in de volgende gevallen: wanneer er voldoende reden is om aan te nemen dat de communicatie betrekking heeft op het plannen of voorbereiden van een strafbaar feit, handelingen nadat het strafbare feit is gepleegd, zoals het wegwerken van bewijsmateriaal e.d., instructies of andere communicatie met betrekking tot het strafbare feit (in het tweede en derde punt „een reeks strafbare feiten” genoemd), alsmede communicatie over aangelegenheden in verband met het strafbare feit (hierna „criminaliteitsgerelateerde communicatie” genoemd), en wanneer het extreem moeilijk is om de dader te identificeren of de situatie/details van het strafbare feit op een andere manier op te helderen - de openbaar aanklager of de gerechtelijke politie criminaliteitsgerelateerde communicatie mag aftappen op basis van een gerechtelijk aftapbevel inzake een communicatiemiddel, gespecificeerd in de vorm van een telefoonnummer of andere nummers/codes om beller en opgebelde te identificeren, dat door de verdachte wordt gebruikt op basis van een contract met een telecommaatschappij (behalve wanneer er geen verdenking is dat het communicatiemiddel wordt gebruikt voor criminaliteitsgerelateerde communicatie), of wanneer er redenen zijn om aan te nemen dat het communicatiemiddel wordt gebruikt voor criminaliteitsgerelateerde communicatie.
(7) Arrest van 18 maart 1969 in zaak nr. 100 (1968 (Shi), zaak nr. 100).
(8) Artikel 156, lid 1, van het Reglement van strafvordering luidt: „Bij het indienen van het in lid 1 van het vorige artikel bedoelde verzoek moet de indiener aannemelijk maken dat de verdachte of beschuldigde een strafbaar feit heeft gepleegd.”.
(9) Zie voetnoot 6.
(10) Op grond van artikel 3, leden 1 en 2, van de APPIHAO gelden beperkingen op het bewaren, en daarmee ook op het verzamelen, van persoonsinformatie.
(11) Zie ook de kennisgeving van de Nationale Politiedienst van 7 december 1999 (zie blz. 9).
(12) De ernst van het strafbare feit en de urgentie zijn ook relevante factoren bij de beoordeling van de „passendheid van de methoden”.
(13) Artikel 21, lid 2, van de Grondwet luidt: „Er wordt geen censuur toegepast en de geheimhouding van welke vorm van communicatie dan ook wordt niet geschonden.”.
(14) Artikel 4 van de Wet op het telecommunicatiebedrijf bepaalt: „(1) De geheimhouding van door een telecommunicatie-exploitant verwerkte communicatie wordt niet geschonden. (2) Een persoon die in de telecommunicatiesector werkt, maakt geheimen die hem tijdens zijn dienstverband ter kennis zijn gekomen met betrekking tot door de telecommunicatieonderneming verwerkte communicatie, niet openbaar. Dit is ook van toepassing nadat hij zijn functie heeft verlaten.”.
(15) Artikel 134 van het Wetboek van strafrecht bepaalt: „(1) Wanneer een arts, apotheker, distributeur van farmaceutische producten, verloskundige, advocaat, raadsman, notaris of enig andere persoon die een dergelijk beroep voorheen heeft uitgeoefend, zonder gerechtvaardigde redenen vertrouwelijke informatie van een andere persoon openbaar maakt die hem ter kennis is gekomen bij de uitoefening van dit beroep, wordt hij gestraft met dwangarbeid van ten hoogste zes maanden of een geldboete van niet meer dan 100 000 yen. (2) Hetzelfde geldt voor gevallen waarin een persoon die een religieuze functie vervult of heeft vervuld, zonder rechtvaardigingsgronden vertrouwelijke informatie van een andere persoon openbaar maakt die hem ter kennis is gekomen bij de uitoefening van deze religieuze activiteiten.”.
(16) Wat de uitzondering op deze regel betreft, zie voetnoot 5.
(17) Om transparantie te verzekeren en het toezicht door het MIC te vergemakkelijken, moet het hoofd van een administratief orgaan overeenkomstig artikel 11 van de APPIHAO elk gegeven bepaald in artikel 10, lid 1, van de APPIHAO, zoals de naam van het administratief orgaan dat het dossier bezit, het gebruiksdoel van het dossier, de wijze van verzamelen van de persoonsinformatie, enz. (het zogenoemde „register dossiers persoonsinformatie”) registreren. Dossiers met persoonsinformatie waarop artikel 102, lid 2, van de APPIHAO van toepassing is, die onder meer opgesteld of verkregen zijn in het kader van een strafrechtelijk onderzoek of betrekking hebben op aangelegenheden die van belang voor de nationale veiligheid, zijn echter vrijgesteld van de verplichting om deze aan het MIC mee te delen en in het openbaar register op te nemen. Krachtens artikel 7 van de wet op het beheer van openbare stukken en archieven dient het hoofd van een administratief orgaan altijd de classificatie, de titel, de termijn van bewaring en de plaats van opslag enzovoort van administratieve stukken te registreren („register voor dossierbeheer van administratieve stukken”). De indexinformatie voor beide registers wordt op het internet gepubliceerd en personen kunnen nagaan welk soort persoonsinformatie het dossier inhoudt en welk administratief orgaan de informatie in zijn bezit heeft.
(18) Zie bijvoorbeeld schriftelijke vraag nr. 92 van 27 maart 2009 van de Kamer van raadsleden (hogerhuis) met betrekking tot de verwerking van gegevens verzameld in het kader van strafonderzoeken, onder meer met schending van geheimhoudingsverplichtingen door politie- en vervolgingsautoriteiten.
(19) Een voorbeeld van een dergelijke vordering is de „zaak van de lijst van het Defensieagentschap” (rechtbank van het district Niigata, beslissing van 11 mei 2006 (2002(Wa) No.514)). In deze zaak had een ambtenaar van het Defensieagentschap een lijst opgesteld, bewaard en verspreid van de personen die een verzoek om openbaarmaking van administratieve documenten hadden ingediend bij het Defensieagentschap. De lijst bevatte beschrijvingen van persoonsinformatie van de indieners. Met het argument dat zijn privacy en zijn recht op informatie, enzovoort waren geschonden, eiste verzoeker van de gedaagde een vergoeding voor de schade in de zin van artikel 1, lid 1, van de Wet schadevergoedingen van de staat. Deze eis werd door de rechter gedeeltelijk toegewezen en de verzoeker verkreeg een gedeeltelijke vergoeding.
(20) Hooggerechtshof, arrest van 5 april 1910 1910 (1910(O) No.71).
(21) Artikel 79 van de Politiewet (uittreksel):
1. |
Wie wenst te klagen over de uitoefening van taken door het personeel van de prefectuurpolitie, kan bij de prefectorale commissie voor openbare veiligheid een schriftelijke klacht indienen via de procedure die beschreven is in de verordening inzake de Nationale Commissie voor openbare veiligheid. |
2. |
De prefectorale commissie voor openbare veiligheid die de in het vorige lid bedoelde klacht heeft ontvangen, behandelt deze zorgvuldig in overeenstemming met de wet en de plaatselijke verordeningen en deelt het resultaat daarvan schriftelijk mee aan de klager, uitgezonderd in de volgende gevallen:
|
(22) Nationaal Politieagentschap, Mededeling over de correcte behandeling van klachten over de uitoefening van taken door politiefunctionarissen, 13 april 2001, met aanhangsel 1 „Normen inzake de interpretatie/uitvoering van artikel 79 van de Politiewet”.
(23) Volgens de mededeling van het Politieagentschap (zie vorige voetnoot) wordt bijstand verleend aan personen die moeilijkheden ondervinden bij het formuleren van een schriftelijke klacht. Dit is uitdrukkelijk het geval voor buitenlanders.
(24) Anderzijds zouden er documenten zijn die niet aangemerkt worden als „documenten met betrekking tot rechtszaken”, aangezien het op zich niet gaat om informatie die verkregen is door middel van een bevel of een schriftelijke vraag over onderzoekskwesties maar die gecreëerd is op basis van deze documenten. Dit zou het geval zijn wanneer privé-informatie niet onder artikel 45, lid 1, van de APPIHAO valt, en deze informatie zou daarom niet uitgesloten zijn van de toepassing van hoofdstuk 4 van de APPIHAO.
(25) Volgens artikel 53-2, lid 2, van het Wetboek van strafvordering zijn de bepalingen van hoofdstuk IV van de APPIHAO niet van toepassing op de persoonsinformatie in documenten met betrekking tot rechtszaken en in beslag genomen voorwerpen.
(26) Krachtens het Wetboek van strafvordering en de Wet inzake einddossiers in strafzaken vallen toegang tot en correctie van in beslag genomen voorwerpen en documenten/persoonsinformatie betreffende strafrechtelijke procedures onder een uniek en onderscheiden stelsel van regels dat de bescherming van de privacy van de betrokken personen tot doel heeft alsook de geheimhouding van het onderzoek en het goede verloop van de strafprocedure, enzovoort.
(27) Meer bepaald is inzage in informatie met betrekking tot objectieve bewijzen in beginsel toegestaan voor slachtoffers van misdrijven wat de niet op de vervolging betrekking hebbende stukken betreft, in de gevallen waarin het slachtoffer deelneemt, zoals bepaald in artikel 316-33 van het Wetboek van strafvordering teneinde slachtoffers van misdrijven een meer bevredigende bescherming te verlenen.
(28) Dit wordt gedaan door het inlichtingen- en onderzoeksbureau van het kabinet op grond van artikel 4 van het decreet betreffende de inrichting van het secretariaat van het kabinet.
(29) Dit omvat „het verzamelen en onderzoeken van informatie betreffende belangrijk beleid van het kabinet”.
(30) De veiligheidspolitie is verantwoordelijk voor misdaadbestrijding vanuit het oogpunt van de openbare veiligheid en het staatsbelang. Haar activiteiten omvatten misdaadbestrijding en het verzamelen van inlichtingen over illegale activiteiten van extreemlinkse en -rechtse groeperingen en activiteiten tegen de Japanse staat.
(31) Als voorbeeld van een voor de aangelegenheden van deze verklaring relevante inspectie kan de in 2016 gehouden reguliere defensie-inspectie inzake bewustzijn van/voorbereiding op de naleving van de wetgeving worden vermeld, aangezien de bescherming van persoonsinformatie één van de aandachtspunten van de inspectie was. De inspectie was meer specifiek gericht op de situatie met betrekking tot het beheer, de opslag enz. van persoonsinformatie. In zijn verslag wees het IGO op verschillende tekortkomingen in het beheer van persoonsinformatie die moeten worden verbeterd, zoals het verzuim om de gegevens te beveiligen met een wachtwoord. Het verslag kan worden geraadpleegd op de website van het MOD.
(32) Zie artikel 4 van de Wet tot oprichting van de Beoordelingscommissie openbaarmaking van informatie en bescherming van persoonsinformatie.
(33) Zie artikel 9 van de Wet tot oprichting van de Beoordelingscommissie openbaarmaking van informatie en bescherming van persoonsinformatie.
(34) Zie artikel 16 van de Wet tot oprichting van de Beoordelingscommissie openbaarmaking van informatie en bescherming van persoonsinformatie.
(35) In de laatste 3 jaar is er geen enkel geval geweest waarin het betrokken bestuursorgaan een besluit nam dat afweek van de conclusies van de commissie. En daarvoor zijn er uiterst weinig gevallen waarin dat wel is gebeurd: slechts twee gevallen van de in totaal 2 000 gevallen tussen nu en 2005 (het jaar waarin de APPIHAO in werking trad). Wanneer het bestuursorgaan een oordeel/besluit velt dat afwijkt van de conclusies van de commissie, geeft het overeenkomstig artikel 50, lid 1, punt 4, van de Wet toetsing administratieve klachten, zoals toegepast ingevolge de vervanging van artikel 42, lid 2, van de APPIHAO, duidelijk de redenen daarvoor aan.