KOMISJA EUROPEJSKA
Bruksela, dnia 3.4.2023
COM(2023) 275 final
SPRAWOZDANIE KOMISJI DLA PARLAMENTU EUROPEJSKIEGO I RADY
dotyczące pierwszego przeglądu funkcjonowania decyzji stwierdzającej odpowiedni stopień ochrony w Japonii
{SWD(2023) 75 final}
KOMISJA EUROPEJSKA
Bruksela, dnia 3.4.2023
COM(2023) 275 final
SPRAWOZDANIE KOMISJI DLA PARLAMENTU EUROPEJSKIEGO I RADY
dotyczące pierwszego przeglądu funkcjonowania decyzji stwierdzającej odpowiedni stopień ochrony w Japonii
{SWD(2023) 75 final}
SPRAWOZDANIE KOMISJI DLA PARLAMENTU EUROPEJSKIEGO I RADY
dotyczące pierwszego przeglądu funkcjonowania decyzji stwierdzającej odpowiedni stopień ochrony w Japonii
1.PIERWSZY PRZEGLĄD – KONTEKST, PRZYGOTOWANIE I PRZEBIEG
23 stycznia 2019 r. na podstawie art. 45 rozporządzenia (UE) 2016/679 (RODO) 1 Komisja Europejska przyjęła decyzję, w której stwierdziła, że Japonia zapewnia odpowiedni stopień ochrony danych osobowych przekazywanych z Unii Europejskiej przedsiębiorstwom przetwarzającym informacje osobowe 2 w Japonii 3 . W rezultacie dane z UE można przekazywać podmiotom prywatnym w Japonii bez konieczności spełnienia dodatkowych wymogów 4 .
Przyjęta przez Komisję decyzja stwierdzająca odpowiedni stopień ochrony obejmuje japońską ustawę o ochronie informacji osobowych, wraz z przepisami uzupełniającymi wprowadzonymi w celu zatarcia określonych istotnych różnic między ustawą o ochronie informacji osobowych a RODO 5 . W ramach tych dodatkowych zabezpieczeń na przykład zwiększono ochronę danych wrażliwych (przez rozszerzenie kategorii informacji osobowych uznawanych za dane wrażliwe), wzmocniono egzekwowanie praw indywidualnych (przez wyjaśnienie, że prawa indywidualne można również egzekwować w odniesieniu do danych osobowych zatrzymanych przez okres krótszy niż sześć miesięcy, czego w tamtym czasie nie przewidziano w ustawie o ochronie informacji osobowych) 6 oraz umocniono warunki, na których dane UE można dalej przekazywać z Japonii do innego państwa trzeciego 7 . Przepisy uzupełniające są wiążące dla podmiotów japońskich i mogą być egzekwowane przez niezależny organ ochrony danych – Komisję ds. Ochrony Informacji Osobowych – lub bezpośrednio przez obywateli UE przed japońskimi sądami 8 .
Rząd Japonii przekazał ponadto Komisji oficjalne oświadczenia, zapewnienia i zobowiązania dotyczące ograniczeń i zabezpieczeń w odniesieniu do dostępu japońskich organów publicznych do danych osobowych do celów ścigania przestępstw i do celów dotyczących bezpieczeństwa narodowego oraz wykorzystania danych osobowych do takich celów przez japońskie organy publiczne, zawierające wyjaśnienie, że każde tego typu przetwarzanie danych będzie ograniczone do tego, co jest konieczne i proporcjonalne, oraz będzie objęte niezależnym nadzorem i skutecznymi mechanizmami dochodzenia roszczeń 9 . W tym przypadku mechanizmy dochodzenia roszczeń obejmują szczególną procedurę rozstrzygania sporów – zarządzaną i nadzorowaną przez Komisję ds. Ochrony Informacji Osobowych – opracowaną dla osób fizycznych z UE, których dane osobowe są przekazywane na podstawie decyzji stwierdzającej odpowiedni stopień ochrony 10 .
W czasie przyjęcia przez Komisję decyzji stwierdzającej odpowiedni stopień ochrony Japonia przyjęła równoważną decyzję dotyczącą przekazywania danych do UE, co skutkowało utworzeniem największego na świecie obszaru bezpiecznego przepływu danych opartego na wysokim poziomie ochrony danych 11 . Te wzajemne decyzje stwierdzające odpowiedni stopień ochrony uzupełniają i zwiększają korzyści wynikające z umowy o partnerstwie gospodarczym między UE a Japonią (umowa o partnerstwie gospodarczym), która weszła w życie w lutym 2019 r. 12 , i umowy o partnerstwie strategicznym 13 wynegocjowanej wraz z umową o partnerstwie gospodarczym. Przedsiębiorstwa obu stron korzystają z synergii między wzajemnymi decyzjami stwierdzającymi odpowiedni stopień ochrony a umową o partnerstwie gospodarczym, ponieważ możliwość swobodnego przepływu danych między UE a Japonią jeszcze bardziej ułatwia prowadzenie wymiany handlowej i przyczynia się do powstawania znaczących możliwości rynkowych dzięki uprzywilejowanemu dostępowi do rynku drugiej strony. W ten sposób ustanowiono również istotny precedens przez wyraźne wskazanie, że w epoce cyfrowej ułatwianie handlu międzynarodowego musi iść w parze z promowaniem wysokich norm ochrony prywatności.
Od czasu przyjęcia decyzji stwierdzających odpowiedni stopień ochrony UE i Japonia, jako podobnie myślący partnerzy, jeszcze bardziej uściśliły współpracę w ogólnym zakresie kwestii cyfrowych, a w szczególności w zakresie przepływu danych. Na poziomie dwustronnym wyrazem tej ściślejszej współpracy jest w szczególności zawarcie partnerstwa cyfrowego w maju 2022 r. 14 i rozpoczęcie negocjacji w październiku 2022 r. w sprawie uwzględnienia zasad dotyczących transgranicznego przepływu danych w umowie o partnerstwie gospodarczym 15 , co spowoduje dalsze zwiększenie synergii z ustaleniami w zakresie wzajemnego stwierdzenia odpowiedniego stopnia ochrony danych. Na poziomie wielostronnym UE i Japonia podejmują wspólne działania na rzecz promowania, umocnienia i skutecznego stosowania koncepcji „swobodnego przepływu danych opartego na zaufaniu” (której realizację rozpoczął zmarły premier Shinzo Abe), obejmujące między innymi ścisłą współpracę na forum grupy G-7, Światowej Organizacji Handlu (w kontekście wspólnego oświadczenia w sprawie handlu elektronicznego) i Organizacji Współpracy Gospodarczej i Rozwoju (OECD). Na szczeblu OECD intensywna współpraca między UE a Japonią w tych kwestiach w szczególności odegrała podstawową rolę w przyjęciu – po raz pierwszy w historii na szczeblu międzynarodowym – wspólnych zasad dotyczących dostępu rządowego do danych osobowych znajdujących się w posiadaniu sektora prywatnego 16 . W ramach wszystkich tych różnych prac w mniejszym lub większym stopniu kierowano się wspólnymi wartościami i wymogami leżącymi u podstaw ustaleń UE i Japonii w zakresie wzajemnego stwierdzenia odpowiedniego stopnia ochrony danych.
Aby regularnie sprawdzać, czy ustalenia zawarte w decyzji stwierdzającej odpowiedni stopień ochrony są nadal faktycznie i prawnie uzasadnione, Komisja jest zobowiązana do przeprowadzania okresowego przeglądu i zgłaszania jego wyniku Parlamentowi Europejskiemu i Radzie 17 . Niniejsze sprawozdanie, w którym uwzględniono wszystkie aspekty funkcjonowania decyzji, stanowi podsumowanie pierwszego przeglądu okresowego. Po stronie japońskiej w przeglądzie tym udział wzięli przedstawiciele Komisji ds. Ochrony Informacji Osobowych, Ministerstwa Spraw Wewnętrznych i Komunikacji, Ministerstwa Sprawiedliwości, Ministerstwa Obrony i Agencji Policji Krajowej. Delegacja UE składała się z trzech przedstawicieli wyznaczonych przez EROD oraz członków Komisji Europejskiej.
26 października 2021 r. odbyło się spotkanie przeglądowe z udziałem obu delegacji, przy czym zarówno przed tym spotkaniem, jak i po jego zakończeniu przeprowadzono szereg wymian informacji. W szczególności w celu przygotowania przeglądu Komisja zgromadziła informacje pochodzące od japońskich władz na temat funkcjonowania decyzji, a zwłaszcza wdrożenia przepisów uzupełniających. Komisja gromadziła również pochodzące ze źródeł publicznych i od lokalnych ekspertów informacje na temat funkcjonowania decyzji i istotnych zmian w japońskich przepisach i praktykach, zarówno jeżeli chodzi o przepisy o ochronie danych mające zastosowanie do podmiotów prywatnych, jak i w zakresie dostępu rządowego. Po spotkaniu przeglądowym Komisja i Komisja ds. Ochrony Informacji Osobowych odbyły szereg wymian informacji z myślą o działaniach następczych w związku z kwestiami omówionymi na takim spotkaniu, a w szczególności w celu rozwiązania kwestii, które pojawiły się w wyniku uwzględnienia w ustawie o ochronie informacji osobowych przepisów dotyczących pseudonimicznych informacji osobowych.
2.NAJWAŻNIEJSZE USTALENIA
Szczegółowe ustalenia dotyczące funkcjonowania wszystkich aspektów decyzji stwierdzającej odpowiedni stopień ochrony przedstawiono w dokumencie roboczym służb Komisji (SWD(2023) 75) załączonym do niniejszego sprawozdania.
W wyniku pierwszego przeglądu wykazano w szczególności, że od czasu przyjęcia wzajemnych decyzji stwierdzających odpowiedni stopień ochrony nastąpiło dalsze ujednolicenie unijnych i japońskich ram ochrony danych. Ustawę o ochronie informacji osobowych zmieniono dwukrotnie: 5 czerwca 2020 r. w drodze ustawy z 2020 r. zmieniającej ustawę o ochronie informacji osobowych (zmiana ustawy o ochronie informacji osobowych w 2020 r.), która weszła w życie 1 kwietnia 2022 r. 18 ; oraz 12 maja 2021 r. w drodze ustawy o dostosowaniu powiązanych ustaw na potrzeby stworzenia społeczeństwa cyfrowego (zmiana ustawy o ochronie informacji osobowych w 2021 r.) 19 . W porozumieniu z Komisją przepisy uzupełniające dostosowano w celu odzwierciedlenia tych zmian.
Zmiany te skutkowały dalszym zbliżeniem systemów UE i Japonii, zwłaszcza dzięki zaostrzeniu obowiązków w zakresie bezpieczeństwa danych (przez wprowadzenie obowiązku powiadamiania o przypadkach naruszenia ochrony danych), umocnieniu praw osób, których dane dotyczą (w szczególności prawa dostępu i prawa do sprzeciwu) oraz zwiększeniu zabezpieczeń przysługujących w przypadku przekazywania danych (za sprawą dodatkowych wymogów w zakresie informowania i monitorowania, w tym informowania o możliwym ryzyku związanym z dostępem rządowym w kraju przeznaczenia). W tym kontekście szczególnie warto podkreślić, że niektóre dodatkowe zabezpieczenia przewidziane w przepisach uzupełniających w zakresie danych osobowych pochodzących z UE, tj. zabezpieczenia dotyczące zatrzymywania danych i warunki udzielania świadomej zgody na transgraniczne przekazywanie danych, wprowadzono w ustawie o ochronie informacji osobowych, dzięki czemu mają one ogólne zastosowanie do wszystkich danych osobowych niezależnie od miejsca ich pochodzenia lub chwili gromadzenia 20 .
Komisja z zadowoleniem przyjmuje również kolejną istotną zmianę, tj. przekształcenie ustawy o ochronie informacji osobowych w kompleksowe ramy ochrony danych obejmujące zarówno sektor prywatny, jak i sektor publiczny, podlegające wyłącznemu nadzorowi Komisji ds. Ochrony Informacji Osobowych 21 . To dalsze umocnienie japońskich ram ochrony danych i zwiększenie uprawnień Komisji ds. Ochrony Informacji Osobowych może stanowić krok w kierunku rozszerzenia zakresu stosowania decyzji stwierdzającej odpowiedni stopień ochrony tak, aby wykraczała ona poza wymianę handlową i obejmowała również przekazywanie danych obecnie wykraczające poza jej zakres stosowania, w tym przekazywanie danych w obszarze współpracy regulacyjnej i badań naukowych.
W ramach tego pierwszego przeglądu skoncentrowano się również na nowych przepisach dotyczących tworzenia i wykorzystywania „pseudonimicznych informacji osobowych”, wprowadzonych w drodze zmiany ustawy o ochronie informacji osobowych w 2020 r. 22 Zasadniczo celem tych nowych przepisów jest ułatwienie (wewnętrznego) wykorzystania informacji osobowych przez przedsiębiorstwa przetwarzające informacje osobowe głównie do celów statystycznych (np. aby identyfikować tendencje i wzory na potrzeby dalszej działalności, w tym badań). Podczas spotkania przeglądowego i w ramach późniejszych wymian informacji między Komisją a Komisją ds. Ochrony Informacji Osobowych udało się wyjaśnić interpretację i stosowanie tych nowych przepisów. W wyniku przeprowadzonych dyskusji, aby wyraźniej odzwierciedlić zamierzone stosowanie tych nowych przepisów i tym samym zapewnić pewność prawa i przejrzystość, 15 marca 2023 r. zmieniono przepisy uzupełniające na dwa sposoby 23 . Po pierwsze, przepisy uzupełniające stanowią, że takie informacje można wykorzystywać wyłącznie do celów statystycznych – zdefiniowanych jako przetwarzanie badań statystycznych lub opracowywanie wyników statystycznych – tak, aby uzyskać dane zagregowane, oraz że wyniki takiego przetwarzania nie będą wykorzystywane na potrzeby przyjmowania środków lub decyzji w odniesieniu do konkretnych osób fizycznych. Po drugie, w przepisach tych wyraźnie wyjaśniono, że pseudonimiczne informacje osobowe pierwotnie otrzymane z UE zawsze będą traktowane jako „informacje osobowe” na podstawie ustawy o ochronie informacji osobowych, aby uniknąć przerwania ciągłości ochrony danych uznawanych za dane osobowe na podstawie RODO w przypadku, gdy dane te są przekazywane na podstawie decyzji stwierdzającej odpowiedni stopień ochrony 24 .
Jeżeli chodzi o wprowadzenie zabezpieczeń w zakresie ochrony danych w praktyce, Komisja z zadowoleniem przyjmuje różne działania podjęte przez Komisję ds. Ochrony Informacji Osobowych. Do takich działań należy między innymi przyjęcie zaktualizowanych wytycznych, w tym wytycznych dotyczących międzynarodowego przekazywania danych. Komisja odnotowuje, że wytyczne można by wyjaśnić przez dodatkowe uwzględnienie w nich mających zastosowanie zgodnie z przepisami uzupełniającymi konkretnych wymogów dotyczących dalszego przekazywania z Japonii danych osobowych otrzymanych z Unii, w tym – jak określono w sekcji 4 przepisów uzupełniających i wyjaśniono w decyzji stwierdzającej odpowiedni stopień ochrony 25 – przez uwzględnienie wyłączenia dalszego przekazywania danych na podstawie certyfikacyjnego systemu transgranicznych zasad ochrony prywatności APEC (CBPR). Co więcej, chociaż Komisja ds. Ochrony Informacji Osobowych wyjaśniła, że w celu dalszego przekazywania danych pierwotnie otrzymanych z UE podmioty gospodarcze przetwarzające informacje osobowe „zawierają umowy, na podstawie których odbiorca danych jest prawnie zobowiązany do przestrzegania środków zapewniających ciągłość ochrony”, Komisja ds. Ochrony Informacji Osobowych obecnie nie zapewnia wytycznych dotyczących zalecanej treści (w zakresie zabezpieczeń) „równoważnych środków” stosowanych w odniesieniu do międzynarodowego przekazywania danych, czy to w formie wytycznych, czy też wzoru umów o ochronie danych. Takie dodatkowe wyjaśnienia, które mogłyby opierać się w szczególności na wymianie informacji i najlepszych praktyk między Komisją ds. Ochrony Informacji Osobowych a Komisją, mogłyby być szczególnie przydatne, gdyż dotyczą one kwestii o istotnym znaczeniu z punktu widzenia przedsiębiorstw prowadzących działalność w obu jurysdykcjach.
Jeżeli chodzi o nadzór i egzekwowanie przepisów, Komisja zauważa, że odkąd przyjęto decyzję stwierdzającą odpowiedni stopień ochrony, Komisja ds. Ochrony Informacji Osobowych w większym stopniu korzysta z uprawnień nieobejmujących środków przymusu, tj. wydaje wytyczne i porady (art. 147 ustawy o ochronie informacji osobowych), niż z uprawnień obejmujących środki przymusu (np. uprawnień do nakładania wiążących zarządzeń, art. 148 ustawy o ochronie informacji osobowych). Komisja ds. Ochrony Informacji Osobowych stwierdziła również, że jak dotąd nie wpłynęły żadne skargi dotyczące przestrzegania przepisów uzupełniających, a ponadto że nie prowadziła ona z urzędu żadnych dochodzeń dotyczących takich kwestii. Na spotkaniu przeglądowym Komisja ds. Ochrony Informacji Osobowych ogłosiła jednak, że w celu zapewnienia przestrzegania przepisów uzupełniających rozważa prowadzenie z urzędu kontroli wyrywkowych. Komisja z zadowoleniem przyjęła to ogłoszenie, ponieważ uważa, że takie kontrole wyrywkowe miałyby istotne znaczenie w kontekście zapewnienia, aby zapobiegano (ewentualnym) naruszeniom przepisów uzupełniających, wykrywano takie naruszenia i je eliminowano, dzięki czemu zagwarantowano by skuteczne przestrzeganie tych przepisów. Ponieważ w ramach zmian ustawy o ochronie informacji osobowych w latach 2020 i 2021 zwiększono uprawnienia nadzorcze Komisji ds. Ochrony Informacji Osobowych, takie kontrole wyrywkowe mogą stanowić element ogólnych działań służących większemu korzystaniu z tych uprawnień.
Co więcej, Komisja z wielkim zadowoleniem przyjęła ustanowienie specjalnych punktów kontaktowych dla osób fizycznych z UE, które mają pytania i obawy co do przetwarzania ich danych osobowych w Japonii, czy to przez podmioty handlowe (linia dotycząca zapytań, „Inquiry Line”) czy też organy publiczne (linia dotycząca mediacji w sprawie skarg, „Complaint Mediation Line”). Jednocześnie zauważa, że na stronie internetowej linii dotyczącej zapytań stwierdzono, że jest ona dostępna „jedynie w języku japońskim”, co prawdopodobnie zniechęca osoby fizyczne z UE do korzystania z tego narzędzia, mimo że – jak wyjaśniła Komisja ds. Ochrony Informacji Osobowych – pomoc w języku angielskim zasadniczo jest dostępna. Komisja rozumie, że Komisja ds. Ochrony Informacji Osobowych będzie pracować nad zwiększeniem dostępności takich punktów kontaktowych dla Europejczyków, w tym poprzez wyjaśnienie tej kwestii.
3.WNIOSKI
Na podstawie ogólnych ustaleń poczynionych w ramach tego pierwszego przeglądu Komisja stwierdza, że Japonia nadal zapewnia odpowiedni stopień ochrony danych osobowych przekazywanych z Unii Europejskiej podmiotom gospodarczym przetwarzającym informacje osobowe w Japonii z zastrzeżeniem ustawy o ochronie informacji osobowych wraz z przepisami uzupełniającymi oraz oficjalnymi oświadczeniami, zapewnieniami i zobowiązaniami zawartymi w załączniku II do decyzji. W tym kontekście służby Komisji uznają i zdecydowanie doceniają doskonałą współpracę na etapie prowadzenia przeglądu ze strony władz japońskich, z zwłaszcza ze strony Komisji ds. Ochrony Informacji Osobowych.
W świetle wyników przeglądu i zgodnie z motywem 181 decyzji stwierdzającej odpowiedni stopień ochrony Komisja uznaje, że w odniesieniu do przyszłych przeglądów nie jest konieczne utrzymanie dwuletniego cyklu i tym samym można przejść na stosowanie cyklu czteroletniego zgodnie z art. 45 ust. 3 RODO. Komisja przeprowadzi stosowne konsultacje w tej kwestii z komitetem powołanym na podstawie art. 93 ust. 1 RODO 26 .
Jednocześnie umocnienie niektórych aspektów japońskich ram może przyczynić się do dalszego zwiększenia zabezpieczeń określonych w ustawie o ochronie informacji osobowych i przepisach uzupełniających. W tym celu Komisja przedstawia następujące zalecenia:
1.Komisja z zadowoleniem przyjmuje plany prowadzenia przez Komisję ds. Ochrony Informacji Osobowych kontroli wyrywkowych w celu zapewnienia przestrzegania przepisów uzupełniających. Uważa, że takie kontrole wyrywkowe miałyby istotne znaczenie w kontekście zapewnienia, aby wykrywano i eliminowano (ewentualne) naruszenia przepisów uzupełniających, dzięki czemu zagwarantowano by skuteczne przestrzeganie tych przepisów.
2.Komisja z zadowoleniem przyjmuje fakt, iż Komisja ds. Ochrony Informacji Osobowych opublikowała zaktualizowane wytyczne dotyczące międzynarodowego przekazywania danych, gdyż sprawią one, że przepisy ustawy o ochronie informacji osobowych dotyczące tej kwestii będą bardziej dostępne i przyjazne dla użytkowników. W tych (lub innych) wytycznych należy również w razie potrzeby wyjaśnić konkretne wymogi wynikające z przepisów uzupełniających, w tym wyłączenie certyfikacyjnego systemu CBPR APEC w zakresie dalszego przekazywania danych osobowych pierwotnie otrzymanych z UE.
3.W toku przeglądu omówiono, w jaki sposób można zwiększyć dostępność dla cudzoziemców zapewnionej przez Komisję ds. Ochrony Informacji Osobowych linii dotyczącej zapytań/mediacji, za pomocą której osoby fizyczne mogą zgłaszać pytania i skargi. W tym kontekście na stronie internetowej poświęconej tej linii należy wyjaśnić, że zasadniczo dostępna jest pomoc w języku angielskim.
W toku przeglądu zdołano również zidentyfikować obszary, w których w przyszłości można by podjąć współpracę. Jak już wskazano, Komisja ds. Ochrony Informacji Osobowych obecnie nie zapewnia wytycznych dotyczących zalecanej treści (w zakresie zabezpieczeń) „równoważnych środków” stosowanych w odniesieniu do międzynarodowego przekazywania danych, czy to w formie wytycznych, czy też wzoru umów o ochronie danych. Ze względu na rosnące znaczenie klauzul wzorcowych i ich możliwe wykorzystanie jako globalnego narzędzia do przekazywania danych – co przyznano na przykład na forum grupy G-7 27 i OECD 28 – Komisja wyraziła zainteresowanie przyszłą współpracą z Japonią w celu opracowania takich klauzul. Kolejnym obszarem, który Komisja chciałaby rozważyć we współpracy z Komisją ds. Ochrony Informacji Osobowych, jest rozszerzenie zakresu stosowania decyzji stwierdzającej odpowiedni stopień ochrony tak, aby wykraczała ona poza przekazywanie danych między podmiotami handlowymi.
Komisja nadal będzie ściśle monitorować japońskie ramy ochrony danych i rzeczywiste praktyki. W tym zakresie Komisja oczekuje dalszej wymiany informacji z władzami japońskimi w kwestii zmian istotnych w kontekście decyzji 29 , a także dalszego zacieśnienia współpracy na szczeblu międzynarodowym w czasie, w którym istnieje coraz większe zapotrzebowanie na światowe normy dotyczące prywatności i przepływu danych.
W międzyczasie w ramach zmiany ustawy o ochronie informacji osobowych w 2020 r. zmieniono definicję „danych osobowych znajdujących się w posiadaniu przedsiębiorstwa” i uwzględniono w niej wcześniej wykluczone dane osobowe „które mają zostać usunięte” w okresie sześciu miesięcy (art. 16 ust. 4 zmienionej ustawy o ochronie informacji osobowych). W wersji ustawy o ochronie informacji osobowych obowiązującej w czasie przyjęcia decyzji stwierdzającej odpowiedni stopień ochrony w odniesieniu do tego pojęcia stosowano określenie „zatrzymane dane osobowe”.
Zmienione przepisy uzupełniające zostały przyjęte przez Komisję ds. Ochrony Informacji Osobowych 15 marca 2023 r. i weszły w życie 1 kwietnia 2023 r.
Zob. motyw 79 decyzji.