(1)

W rozporządzeniu (UE) 2016/679 określono zasady dotyczące przekazywania danych osobowych przez administratorów danych lub podmioty przetwarzające w Unii Europejskiej do państw trzecich i organizacji międzynarodowych w zakresie, w jakim takie przekazywanie wchodzi w zakres stosowania rozporządzenia. Zasady dotyczące międzynarodowego przekazywania danych osobowych określono w rozdziale V rozporządzenia, w szczególności w art. 44–50. Przepływ danych osobowych do państw spoza Unii Europejskiej i z tych państw jest niezbędnym warunkiem rozwoju współpracy międzynarodowej i handlu międzynarodowego, przy jednoczesnym zapewnieniu, by nie został naruszony stopień ochrony przysługujący danym osobowym w Unii Europejskiej.

(2)

Na podstawie art. 45 ust. 3 rozporządzenia (UE) 2016/679 Komisja może w drodze aktu wykonawczego przyjąć decyzję stwierdzającą, że państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub organizacja międzynarodowa zapewniają odpowiedni stopień ochrony. Jak przewidziano w art. 45 ust. 1 i motywie 103 rozporządzenia, przy spełnieniu tego warunku przekazywanie danych osobowych do tego państwa trzeciego, terytorium, sektora lub tej organizacji międzynarodowej może się odbywać bez potrzeby uzyskania dodatkowego zezwolenia.

(3)

Jak określono w art. 45 ust. 2 rozporządzenia (UE) 2016/679, przy przyjmowaniu decyzji stwierdzającej odpowiedni stopień ochrony należy opierać się na wszechstronnej analizie porządku prawnego państwa trzeciego, zarówno w odniesieniu do jego przepisów obejmujących podmioty odbierające dane, jak i do ograniczeń oraz zabezpieczeń w zakresie dostępu organów publicznych do danych osobowych. Przy ocenie należy ustalić, czy dane państwo trzecie daje gwarancje zapewniające odpowiedni stopień ochrony, „zasadniczo odpowiadający” stopniowi ochrony zapewnianemu w Unii Europejskiej (motyw 104 rozporządzenia (UE) 2016/679). Jak wyjaśnił w swoim orzecznictwie Trybunał Sprawiedliwości Unii Europejskiej, w tym przypadku nie jest wymagany identyczny stopień ochrony (2). W szczególności środki, z jakich korzysta dane państwo trzecie, mogą różnić się od środków wprowadzonych w Unii Europejskiej, o ile w praktyce skutecznie zapewniają wysoki stopień ochrony (3). W związku z powyższym odpowiedni standard ochrony można osiągnąć bez konieczności dokładnego powielenia przepisów unijnych. Przy ustalaniu stopnia ochrony chodzi raczej o stwierdzenie, czy biorąc pod uwagę istotę prawa do prywatności oraz jego skuteczne wprowadzenie w życie, egzekwowanie i nadzór nad jego przestrzeganiem, dany zagraniczny system zapewnia jako całość wymagany stopień ochrony (4).

(4)

Komisja uważnie przeanalizowała prawo i praktykę Japonii. W oparciu o ustalenia przedstawione w motywach 6–175 Komisja stwierdza, że Japonia zapewnia odpowiedni stopień ochrony danych osobowych przekazywanych do organizacji objętych stosowaniem ustawy o ochronie informacji osobowych (5) i podlegających dodatkowym warunkom, o których mowa w niniejszej decyzji. Warunki te zostały określone w przepisach uzupełniających (załącznik I) przyjętych przez Komisję ds. Ochrony Informacji Osobowych (6) oraz w oficjalnych oświadczeniach, zapewnieniach i zobowiązaniach rządu Japonii wobec Komisji Europejskiej (załącznik II).

(5)

Niniejsza decyzja skutkuje tym, że przekazywanie danych od administratora danych lub podmiotu przetwarzającego w Europejskim Obszarze Gospodarczym (EOG) (7) do takich organizacji w Japonii może się odbywać bez potrzeby uzyskania dodatkowego zezwolenia. Niniejsza decyzja nie wpływa na bezpośrednie stosowanie rozporządzenia (UE) 2016/679 w odniesieniu do takich organizacji, jeżeli spełnione są warunki określone w art. 3 tego rozporządzenia.

(6)

System prawny regulujący kwestie prywatności i ochrony danych w Japonii ma swoje źródło w konstytucji ogłoszonej w 1946 r.

(7)

Art. 13 konstytucji stanowi:

„Wszystkich obywateli szanuje się jako jednostki ludzkie. Ich prawa do życia, wolności i dążenia do szczęścia, o ile nie pozostają w sprzeczności z dobrem publicznym, brane są w najwyższym stopniu pod uwagę w działalności ustawodawczej i innych poczynaniach państwa”.

(8)

Z artykułu tego japoński Sąd Najwyższy wywiódł prawa osób fizycznych w zakresie ochrony informacji osobowych. W wyroku z 1969 r. uznał on prawo do prywatności i ochrony danych za konstytucyjne prawo (8). W szczególności Sąd Najwyższy orzekł, że „każda osoba fizyczna ma prawo do ochrony dotyczących jej informacji osobowych przed ich ujawnieniem osobie trzeciej lub podaniem do wiadomości publicznej bez ważnego powodu”. W wyroku z dnia 6 marca 2008 r. („Juki-Net”) (9) Sąd Najwyższy uznał ponadto, że „wolność obywateli w życiu prywatnym jest chroniona przed sprawowaniem władzy publicznej i może być ona postrzegana jako jedna z wolności osoby fizycznej w życiu prywatnym, a każda osoba fizyczna ma prawo do ochrony dotyczących jej informacji osobowych przed ich ujawnieniem osobie trzeciej lub podaniem do wiadomości publicznej bez ważnego powodu” (10).

(9)

W dniu 30 maja 2003 r. Japonia przyjęła szereg ustaw dotyczących ochrony danych, w tym między innymi:

(10)

Dwie ostatnie ustawy (zmienione w 2016 r.) zawierają przepisy mające zastosowanie do ochrony informacji osobowych przez podmioty sektora publicznego. Przetwarzanie danych wchodzące w zakres stosowania tych ustaw nie stanowi przedmiotu stwierdzenia odpowiedniej ochrony danych zawartego w niniejszej decyzji, ograniczonego do ochrony informacji osobowych przez „podmioty gospodarcze przetwarzające informacje osobowe” w rozumieniu ustawy o ochronie informacji osobowych.

(11)

W ostatnich latach ustawę tę znowelizowano. Zmieniona ustawa o ochronie informacji osobowych została ogłoszona w dniu 9 września 2015 r. i weszła w życie w dniu 30 maja 2017 r. W ramach tej nowelizacji wprowadzono szereg nowych zabezpieczeń oraz wzmocniono te istniejące, zbliżając tym samym japoński system ochrony danych do systemu europejskiego. Obejmują one na przykład szereg egzekwowalnych praw indywidualnych lub ustanowienie niezależnego organu nadzorczego (Komisja ds. Ochrony Informacji Osobowych), któremu powierzono działania w zakresie nadzoru i egzekwowania przepisów ustawy o ochronie informacji osobowych.

(12)

Przetwarzanie informacji osobowych objęte zakresem niniejszej decyzji podlega nie tylko ustawie o informacji osobowych, ale również przepisom wykonawczym wydanym na jej podstawie. Obejmują one zmianę zarządzenia Rady Ministrów w sprawie egzekwowania przepisów ustawy o ochronie informacji osobowych z dnia 5 października 2016 r. oraz tzw. przepisy wykonawcze do ustawy o ochronie informacji osobowych, przyjęte przez Komisję ds. Ochrony Informacji Osobowych (11). Oba zbiory przepisów są prawnie wiążące i egzekwowalne oraz weszły w życie w tym samym czasie co zmieniona ustawa o ochronie informacji osobowych.

(13)

Ponadto w dniu 28 października 2016 r. Rada Ministrów Japonii (w skład której wchodzi premier i ministrowie tworzący rząd) wydała „podstawowe zasady polityki”, aby „w sposób kompleksowy i integralny promować środki dotyczące ochrony informacji osobowych”. Zgodnie z art. 7 ustawy o ochronie informacji osobowych „podstawowe zasady polityki” wydawane są w formie decyzji Rady Ministrów, obejmują kierunki polityki dotyczące egzekwowania przepisów tej ustawy oraz skierowane są zarówno do instytucji rządowych na szczeblu centralnym, jak i samorządowych na szczeblu lokalnym.

(14)

Niedawno rząd Japonii zmienił „podstawowe zasady polityki” uchwałą Rady Ministrów przyjętą w dniu 12 czerwca 2018 r. Aby ułatwić międzynarodowe przekazywanie danych, w przedmiotowej uchwale Rady Ministrów przekazano Komisji ds. Ochrony Informacji Osobowych, jako organowi właściwemu w zakresie stosowania i wdrażania ustawy o ochronie informacji osobowych, „prawo do podejmowania działań niezbędnych do zatarcia różnic w systemach oraz działaniach między Japonią a danym państwem obcym na podstawie art. 6 ustawy w celu zapewnienia właściwego przetwarzania informacji osobowych otrzymanych od takiego państwa”. Uchwała Rady Ministrów stanowi, że powyższe obejmuje prawo do ustanowienia wzmożonych zabezpieczeń dzięki przyjęciu przez Komisję ds. Ochrony Informacji Osobowych surowszych przepisów uzupełniających, wykraczających poza przepisy określone w ustawie o ochronie informacji osobowych i zarządzeniu Rady Ministrów. Zgodnie z tą uchwałą te surowsze przepisy uzupełniające są wiążące dla japońskich podmiotów gospodarczych i możliwe do wyegzekwowania wobec nich.

(15)

Na podstawie art. 6 ustawy o ochronie informacji osobowych i uchwały Rady Ministrów Komisja ds. Ochrony Informacji Osobowych przyjęła w dniu 15 czerwca 2018 r.„Przepisy uzupełniające na podstawie ustawy o ochronie informacji osobowych w zakresie przetwarzania danych osobowych przekazywanych z UE na podstawie decyzji stwierdzającej odpowiedni stopień ochrony” („przepisy uzupełniające”) w celu rozszerzenia ochrony informacji osobowych przekazywanych z Unii Europejskiej do Japonii na podstawie niniejszej decyzji stwierdzającej odpowiedni stopień ochrony. Te przepisy uzupełniające są prawnie wiążące dla japońskich podmiotów gospodarczych i możliwe wobec nich do wyegzekwowania, zarówno przez Komisję ds. Ochrony Informacji Osobowych, jak i sądy, w ten sam sposób, co przepisy ustawy o ochronie informacji osobowych, które uzupełniono przepisami surowszymi lub bardziej szczegółowymi (12). Ponieważ japońskie podmioty gospodarcze otrzymujące lub przetwarzające dane osobowe z Unii Europejskiej będą prawnie zobowiązane do przestrzegania przepisów uzupełniających, będą one musiały zapewnić możliwość identyfikowania takich danych osobowych w całym ich „cyklu życia” (np. stosując środki techniczne („tagowanie”) lub środki organizacyjne (przechowywanie w specjalnej bazie danych)) (13). W kolejnych sekcjach przeanalizowano treść poszczególnych przepisów uzupełniających w ramach oceny artykułów ustawy o ochronie informacji osobowych, którą nimi uzupełniono.

(16)

W przeciwieństwie do stanu prawnego sprzed zmiany wprowadzonej w 2015 r., gdy kompetencje w tym zakresie przypadały różnym japońskim ministerstwom w poszczególnych sektorach, ustawa o ochronie informacji osobowych upoważnia Komisję ds. Ochrony Informacji Osobowych do przyjmowania „wytycznych”„w celu zapewnienia właściwego i skutecznego wdrażania działań podejmowanych przez podmioty gospodarcze” w ramach przepisów dotyczących ochrony danych. W swoich wytycznych Komisja ds. Ochrony Informacji Osobowych dokonała wiążącej interpretacji tych przepisów, w szczególności ustawy o ochronie informacji osobowych. Jak wynika z informacji przekazanych przez Komisję ds. Ochrony Informacji Osobowych, wytyczne te stanowią integralną część ram prawnych, które należy interpretować w związku z tekstem ustawy o ochronie informacji osobowych, zarządzenia Rady Ministrów, przepisami przyjętymi przez Komisję ds. Ochrony Informacji Osobowych oraz zestawem pytań i odpowiedzi (14) przygotowanym przez tę komisję. Są one zatem „wiążące dla podmiotów gospodarczych”. W przypadku gdy wytyczne stanowią, że podmiot gospodarczy „ma obowiązek” lub „nie powinien” działać w określony sposób, Komisja ds. Ochrony Informacji Osobowych uznaje nieprzestrzeganie właściwych przepisów za naruszenie prawa (15).

(17)

Zakres stosowania ustawy o ochronie informacji osobowych został określony zdefiniowanymi w niej pojęciami, takimi jak informacje osobowe, dane osobowe i podmiot gospodarczy przetwarzający informacje osobowe. Jednocześnie ustawa przewiduje istotne wyłączenia z zakresu jej stosowania, przede wszystkim w odniesieniu do anonimowo przetwarzanych danych osobowych i określonych rodzajów przetwarzania przez niektóre podmioty. W ustawie o ochronie informacji osobowych nie występuje wprawdzie termin „processing” („przetwarzanie”), stosuje się w niej jednak równoważne pojęcie „handling”, które, zgodnie z informacjami otrzymanymi od Komisji ds. Ochrony Informacji Osobowych, obejmuje „wszelkie operacje na danych osobowych”, w tym nabywanie, wprowadzanie, gromadzenie, organizowanie, przechowywanie, edytowanie/przetwarzanie, aktualizację, usuwanie, niszczenie lub dostarczanie danych osobowych.

(18)

Przede wszystkim, jeżeli chodzi o zakres przedmiotowy, w ustawie o ochronie informacji osobowych dokonano rozróżnienia między informacjami osobowymi a danymi osobowymi, przy czym do informacji osobowych zastosowanie mają jedynie niektóre przepisy ustawy. Zgodnie z art. 2 ust. 1 ustawy o ochronie informacji osobowych pojęcie „informacji osobowych” obejmuje wszelkie informacje związane z żyjącą osobą fizyczną, które umożliwiają identyfikację takiej osoby. W definicji wyróżniono dwie kategorie informacji osobowych: (i) kody identyfikujące osoby fizyczne oraz (ii) pozostałe informacje osobowe umożliwiające identyfikację danej osoby fizycznej. Do drugiej kategorii należą również informacje, które same w sobie nie pozwalają na identyfikację, ale po ich „prostym zestawieniu” z innym informacjami umożliwiają identyfikację danej osoby fizycznej. Zgodnie z wytycznymi Komisji ds. Ochrony Informacji Osobowych (16) to, czy dane informacje można uznać za umożliwiające ich „łatwe zestawienie”, rozstrzyga się w każdym indywidualnym przypadku z uwzględnieniem sytuacji faktycznej („warunków”) podmiotu gospodarczego. Powyższe przyjmuje się, jeżeli takie zestawienie przeprowadza (lub może przeprowadzić) przeciętny („zwykły”) podmiot gospodarczy za pomocą dostępnych mu środków. Na przykład informacje nie umożliwiają ich „łatwego zestawienia” z innymi informacjami, jeżeli podmiot gospodarczy musi podjąć nietypowe starania lub dopuścić się nielegalnych czynów w celu uzyskania informacji do zestawienia od co najmniej jednego podmiotu gospodarczego.

(19)

Zgodnie z ustawą o ochronie informacji osobowych tylko niektóre formy informacji osobowych wchodzą w zakres pojęcia „danych osobowych”. W istocie „dane osobowe” zdefiniowano jako „informacje osobowe stanowiące bazę informacji osobowych”, tj. „zbiór informacji” składający się z informacji osobowych „zorganizowanych w systematyczny sposób w celu umożliwienia wyszukiwania określonych informacji osobowych za pomocą komputera” (17) lub „uznane w zarządzeniu Rady Ministrów za zorganizowane w systematyczny sposób w celu umożliwienia łatwego wyszukiwania określonych informacji osobowych” (ale „wyłączając informacje, w przypadku których w zarządzeniu Rady Ministrów stwierdzono małe prawdopodobieństwo wystąpienia szkody dla praw i interesów jednostki, mając na względzie metodę wykorzystania tych informacji”) (18).

(20)

Wyjątek ten został szczegółowo określony w art. 3 ust. 1 zarządzenia Rady Ministrów. Zgodnie z tym przepisem spełnione muszą być kumulatywnie trzy następujące warunki: (i) zbiór informacji musi być „wydany w celu sprzedaży dużej liczbie nieokreślonych osób, a wydanie to nastąpiło bez naruszenia przepisów prawa lub zarządzenia wydanego na ich podstawie”; (ii) zbiór danych musi dawać się do „sprzedaży w każdym czasie dużej liczbie nieokreślonych osób” oraz (iii) zawarte w nim dane osobowe muszą być „dostarczone zgodnie z ich pierwotnym przeznaczeniem bez dodawania innych informacji odnoszących się do danej osoby żyjącej”. Zgodnie z wyjaśnieniami Komisji ds. Ochrony Informacji Osobowych ów wąski wyjątek wprowadzono w celu wyłączenia z tego zakresu książek telefonicznych lub podobnego rodzaju zbiorów danych.

(21)

W przypadku danych zbieranych w Japonii powyższe rozróżnienie pomiędzy pojęciem „informacje osobowe” a pojęciem „dane osobowe” jest istotne, ponieważ takie informacje nie zawsze stanowią część „bazy informacji osobowych” (np. pojedynczy zbiór danych zbieranych i przetwarzanych ręcznie), w związku z czym zastosowania nie mają przepisy ustawy o ochronie informacji osobowych, które dotyczą wyłącznie danych osobowych (19).

(22)

Rozróżnienie to nie będzie miało jednak znaczenia dla danych osobowych przekazywanych z Unii Europejskiej do Japonii na podstawie decyzji stwierdzającej odpowiedni stopień ochrony. Ponieważ takie dane będą zazwyczaj przekazywane drogą elektroniczną (co w erze cyfrowej jest powszechnym sposobem wymiany danych, zwłaszcza na bardzo dużą odległość, jaka dzieli UE i Japonię), i w związku z tym staną się częścią elektronicznego zbioru danych podmiotu odbierającego, dane te UE będą zaliczane do kategorii „danych osobowych” w rozumieniu ustawy o ochronie informacji osobowych. W sytuacji wyjątkowej, w której dane osobowe byłyby w inny sposób przekazywane z UE (np. w formie papierowej), będą one nadal objęte zakresem ustawy o ochronie informacji osobowych, jeżeli po przekazaniu staną się one częścią usystematyzowanego „zbioru informacji”, umożliwiającego łatwe wyszukiwanie określonych informacji (art. 2 ust. 4 ppkt (ii) ustawy o ochronie informacji osobowych). Zgodnie z art. 3 ust. 2 zarządzenia Rady Ministrów będzie to miało miejsce w przypadku gdy informacje są uporządkowane „według pewnej reguły”, a baza danych zawiera narzędzia takie jak np. spis treści lub indeks ułatwiający wyszukiwanie. Odpowiada to definicji „zbioru danych” w rozumieniu art. 2 ust. 1 RODO.

(23)

Niektóre przepisy ustawy o ochronie informacji osobowych, zwłaszcza art. 27–30 dotyczące praw indywidualnych, mają zastosowanie wyłącznie do określonej kategorii danych osobowych, tj. do „zatrzymanych danych osobowych”. W art. 2 ust. 7 ustawy o ochronie informacji osobowych zdefiniowano je jako dane osobowe inne niż dane, które (i) „w zarządzeniu Rady Ministrów uznano za mogące zaszkodzić interesom publicznym lub innym, jeżeli do wiadomości publicznej zostanie podana informacja o ich występowaniu lub braku” albo (ii) „mają zostać usunięte w terminie nie dłuższym niż jeden rok zgodnie z zarządzeniem Rady Ministrów”.

(24)

Zgodnie z wyjaśnieniem zawartym w art. 4 zarządzenia Rady Ministrów pierwsza z tych dwóch kategorii obejmuje cztery rodzaje wyłączeń (20). Wyłączenia te służą podobnym celom do tych, które wymieniono w art. 23 ust. 1 rozporządzenia (UE) 2016/679, mianowicie ochronie osoby, której dane dotyczą (zgodnie z terminologią stosowaną w ustawie o ochronie informacji osobowych „osoba powierzająca dane” [ang. principal]), i wolności innych osób, bezpieczeństwu narodowemu, bezpieczeństwu publicznemu, ściganiu przestępstw oraz innym ważnym celom leżącym w ogólnym interesie publicznym. Ponadto z brzmienia art. 4 ust. 1 lit. (i)–(iv) zarządzenia Rady Ministrów wynika, że ich stosowanie zawsze zakłada, że zachodzi szczególne ryzyko dla jednego z ważnych chronionych interesów (21).

(25)

Drugą kategorię doprecyzowano w art. 5 zarządzenia Rady Ministrów. W artykule tym, w związku z art. 2 ust. 7 ustawy o ochronie informacji osobowych, z zakresu pojęcia zatrzymanych danych osobowych, a tym samym z praw indywidualnych przewidzianych w ustawie, wyłączono dane osobowe, które „mają zostać usunięte” w terminie sześciu miesięcy. Komisja ds. Ochrony Informacji Osobowych wyjaśniła, że celem tego wyłączenia jest zachęcenie podmiotów gospodarczych do zatrzymywania i przetwarzania danych przez jak najkrótszy okres. Oznaczałoby to jednak, że osoby w UE, których dane dotyczą, nie mogłyby korzystać z ważnych praw z żadnego innego powodu niż okres zatrzymania ich danych przez określony podmiot gospodarczy.

(26)

W celu rozwiązania tej sytuacji w sekcji 2 przepisów uzupełniających określono wymóg, aby dane osobowe przekazywane z UE „traktowano jak zatrzymane dane osobowe w rozumieniu art. 2 ust. 7 ustawy, bez względu na termin, w jakim mają one zostać usunięte”. Okres zatrzymania danych nie będzie miał zatem wpływu na prawa zapewnione osobom w UE, których dane dotyczą.

(27)

Wymogi dotyczące informacji osobowych przetwarzanych anonimowo, zgodnie z definicją zawartą w art. 2 ust. 9 ustawy o ochronie informacji osobowych, określono w rozdziale IV sekcja 2 ustawy („Obowiązki podmiotu gospodarczego przetwarzającego informacje osobowe przetwarzane anonimowo”). Takie informacje nie podlegają natomiast przepisom rozdziału IV sekcja 1 ustawy, w których określono zabezpieczenia i prawa w zakresie ochrony danych mające zastosowanie do przetwarzania danych osobowych na podstawie ustawy. W konsekwencji, chociaż „informacje osobowe przetwarzane anonimowo” nie podlegają „standardowym” przepisom dotyczącym ochrony danych (wymienionym w rozdziale IV sekcja 1 oraz w art. 42 ustawy o ochronie informacji osobowych), wchodzą one w zakres stosowania tej ustawy, mianowicie jej art. 36–39.

(28)

Zgodnie z art. 2 ust. 9 ustawy o ochronie informacji osobowych „informacje osobowe przetwarzane anonimowo” stanowią informacje związane z osobą fizyczną, które zostały „sporządzone w wyniku przetwarzania informacji osobowych” za pomocą środków przewidzianych w tej ustawie (art. 36 ust. 1) i określonych w przepisach przyjętych przez Komisję ds. Ochrony Informacji Osobowych (art. 19) w taki sposób, że niemożliwe jest zidentyfikowanie danej osoby fizycznej ani przywrócenie informacji osobowych.

(29)

Z przepisów tych wynika, co potwierdziła także Komisja ds. Ochrony Informacji Osobowych, że proces nadania informacjom osobowym charakteru „anonimowego” nie musi być technicznie nieodwracalny. Zgodnie z art. 36 ust. 2 ustawy o ochronie informacji osobowych podmioty gospodarcze operujące „informacjami osobowymi przetwarzanymi anonimowo” są jedynie zobowiązane do zapobiegania ponownej identyfikacji przez zastosowanie środków w celu zapewnienia bezpieczeństwa „opisów itp. oraz kodów identyfikujących osoby fizyczne, usuwanych z informacji osobowych wykorzystanych do sporządzenia anonimowo przetwarzanych informacji, oraz informacji związanych ze stosowaną metodą przetwarzania”.

(30)

W związku z tym, że „informacje osobowe przetwarzane anonimowo”, zgodnie z definicją zawartą w ustawie o ochronie informacji osobowych, obejmują dane, w przypadku których ponowna identyfikacja osoby fizycznej jest nadal możliwa, mogłoby to oznaczać, że dane osobowe przekazywane z Unii Europejskiej mogłyby utracić część dostępnych zabezpieczeń w wyniku procesu, który zgodnie z rozporządzeniem (UE) 2016/679 byłby uznawany za rodzaj „pseudonimizacji”, a nie „anonimizacji” (w związku z czym ich charakter jako danych osobowych pozostałby niezmieniony).

(31)

W celu podjęcia tej kwestii w przepisach uzupełniających przewidziano dodatkowe wymogi, które mają zastosowanie wyłącznie do danych osobowych przekazywanych z Unii Europejskiej na podstawie niniejszej decyzji. Zgodnie z sekcją 5 przepisów uzupełniających takie informacje osobowe uznawane są za anonimowo przetwarzane informacje osobowe w rozumieniu ustawy o ochronie informacji osobowych tylko wtedy, „gdy podmiot gospodarczy przetwarzający informacje osobowe stosuje środki umożliwiające nieodwracalną dla kogokolwiek anonimizację osoby fizycznej, w tym dzięki usunięciu informacji o metodzie przetwarzania i tym podobnych powiązanych informacji”. Te ostatnie zostały określone w przepisach uzupełniających jako informacje związane z opisami i kodami identyfikującymi osoby fizyczne, usuwane z informacji osobowych wykorzystanych do „sporządzenia anonimowo przetwarzanych informacji osobowych”, oraz informacje związane z metodą przetwarzania stosowaną przy usuwaniu tych opisów i kodów identyfikujących osoby fizyczne. Innymi słowy, przepisy uzupełniające nakładają na podmiot gospodarczy sporządzający anonimowo przetwarzane informacje osobowe obowiązek zniszczenia „klucza” umożliwiającego ponowną identyfikację danych. Oznacza to, że dane osobowe pochodzące z Unii Europejskiej będą podlegać przepisom ustawy o ochronie informacji osobowych dotyczącym „informacji osobowych przetwarzanych anonimowo” wyłącznie wówczas, gdy na podstawie rozporządzenia (UE) 2016/679 zostałyby również uznane za informacje anonimowe (22).

(32)

Zakres podmiotowy ustawy o ochronie informacji osobowych obejmuje wyłącznie podmioty gospodarcze przetwarzające informacje osobowe. W art. 2 ust. 5 tej ustawy podmiot gospodarczy przetwarzający informacje osobowe zdefiniowano jako „osobę zapewniającą bazę informacji osobowych itp. wykorzystywanych na potrzeby działalności gospodarczej” z wyłączeniem agencji rządowych i administracyjnych, zarówno na szczeblu centralnym, jak i lokalnym.

(33)

Zgodnie z wytycznymi Komisji ds. Ochrony Informacji Osobowych „działalność gospodarcza” oznacza wszelkie „działania zmierzające do prowadzenia, wielokrotnie i w sposób ciągły, społecznie uznawanego przedsiębiorstwa w określonym celu, bez względu na to, czy przynosi ono zysk”. Organizacje nieposiadające osobowości prawnej (takie jak stowarzyszenia zwykłe) lub osoby fizyczne uznaje się za podmioty gospodarcze przetwarzające informacje osobowe, jeżeli zapewniają (wykorzystują) one bazy informacji osobowych itp. w związku z prowadzeniem przez nie działalności gospodarczej (23). W związku z powyższym pojęcie „działalności gospodarczej” zgodnie z ustawą o ochronie informacji osobowych jest bardzo szerokie w tym względzie, że obejmuje zarówno działania ukierunkowane, jak i działania nieukierunkowane na osiąganie zysku, podejmowane przez wszelkiego rodzaju organizacje i osoby fizyczne. Ponadto „wykorzystywanie na potrzeby działalności gospodarczej” obejmuje również informacje osobowe, które nie są wykorzystywane w (zewnętrznych) relacjach handlowych podmiotu, ale do użytku wewnętrznego, na przykład przy przetwarzaniu danych pracowników.

(34)

Jeżeli chodzi o beneficjentów przewidzianych zabezpieczeń, w ustawie o ochronie informacji osobowych nie wprowadzono żadnego rozróżnienia ze względu na przynależność państwową, miejsce zamieszkania lub lokalizację osoby fizycznej. To samo dotyczy możliwości dochodzenia roszczeń przez osoby fizyczne, zarówno przed Komisją ds. Ochrony Informacji Osobowych, jak i w sądach.

(35)

W ustawie o ochronie informacji osobowych nie ma wyraźnego rozróżnienia pomiędzy obowiązkami nałożonymi na administratorów danych i na podmioty przetwarzające. Brak takiego rozróżnienia nie wpływa na stopień ochrony, ponieważ wszystkie podmioty gospodarcze przetwarzające informacje osobowe podlegają wszystkim przepisom ustawy. Podmiot gospodarczy przetwarzający informacje osobowe, który powierza przetwarzanie danych osobowych powiernikowi (któremu w RODO odpowiada podmiot przetwarzający), nadal podlega obowiązkom wynikającym z ustawy o ochronie informacji osobowych oraz przepisom uzupełniającym w zakresie powierzonych przez niego danych. Ponadto zgodnie z art. 22 ustawy o ochronie informacji osobowych ma on obowiązek sprawować „niezbędny i właściwy nadzór” nad powiernikiem. Z kolei, jak potwierdziła Komisja ds. Ochrony Informacji Osobowych, powiernika również wiążą wszystkie obowiązki wynikające z ustawy o ochronie informacji osobowych i przepisów uzupełniających.

(36)

Art. 76 ustawy o ochronie informacji osobowych przewiduje wyłączenie niektórych rodzajów przetwarzania danych z zakresu stosowania rozdziału IV ustawy, który zawiera główne przepisy dotyczące ochrony danych (podstawowe zasady, obowiązki podmiotów gospodarczych, prawa indywidualne, nadzór sprawowany przez Komisję ds. Ochrony Informacji Osobowych). Przetwarzanie objęte wyłączeniem sektorowym określonym w art. 76 jest również wyłączone z uprawnień Komisji ds. Ochrony Informacji Osobowych, zgodnie z art. 43 ust. 2 ustawy o ochronie informacji osobowych (24).

(37)

Odpowiednie kategorie dotyczące wyłączenia sektorowego określonego w art. 76 ustawy o ochronie informacji osobowych zdefiniowano za pomocą podwójnego kryterium opartego na rodzaju podmiotu gospodarczego przetwarzającego informacje osobowe i celu przetwarzania. Ściślej rzecz ujmując, wyłączenie ma zastosowanie do: (i) nadawców radiofonii, wydawców gazet, agencji komunikacji i innych organizacji prasowych (w tym wszelkich osób fizycznych prowadzących działalność prasową będącą działalnością gospodarczą), w zakresie, w jakim przetwarzają informacje osobowe do celów prasowych; (ii) osób zawodowo zajmujących się pisaniem, w zakresie, w jakim wykorzystywane są przy tym informacje osobowe; (iii) szkół wyższych i wszelkich innych organizacji lub grup, których celem jest prowadzenie studiów, lub wszelkich osób należących do takich organizacji, w zakresie, w jakim przetwarzają informacje osobowe do celów studiów; (iv) instytucji kościelnych, w zakresie, w jakim przetwarzają informacje osobowe do celów działalności religijnej (w tym wszelkiej działalności z tym związanej) oraz (v) organów politycznych, w zakresie, w jakim przetwarzają informacje osobowe do celów związanych ze swoją działalnością polityczną (w tym wszelkiej działalności z tym związanej). Przetwarzanie informacji osobowych do jednego z celów wymienionych w art. 76 przez innego rodzaju podmioty gospodarcze przetwarzające informacje osobowe oraz przetwarzanie informacji osobowych przez jeden z wymienionych w tym artykule podmiotów gospodarczych do innych celów, np. w kontekście zatrudnienia, pozostaje objęte przepisami rozdziału IV.

(38)

Aby zapewnić odpowiedni stopień ochrony danych osobowych przekazywanych z Unii Europejskiej do podmiotów gospodarczych w Japonii, niniejszą decyzją należy objąć wyłącznie przetwarzanie informacji osobowych wchodzących w zakres stosowania rozdziału IV ustawy o ochronie informacji osobowych – tj. przetwarzanie przez podmioty gospodarcze przetwarzające informacje osobowe w zakresie, w jakim sytuacja przetwarzania nie odpowiada jednemu z wyłączeń sektorowych. Jej zakres należy zatem dostosować do zakresu ustawy o ochronie informacji osobowych. Zgodnie z informacjami otrzymanymi od Komisji ds. Ochrony Informacji Osobowych, w przypadku gdy podmiot gospodarczy przetwarzający informacje osobowe objęty niniejszą decyzją przekształci dalej cel wykorzystania danych (w takim zakresie, w jakim jest to dopuszczalne) i zostanie wówczas objęty jednym z wyłączeń sektorowych określonych w art. 76 ustawy o ochronie informacji osobowych, będzie to uznane za przekazywanie międzynarodowe (ze względu na to, że w takich przypadkach przetwarzanie danych osobowych nie byłoby już objęte zakresem rozdziału IV tej ustawy i tym samym pozostawałoby poza zakresem jej zastosowania). To samo dotyczyłoby sytuacji, w której podmiot gospodarczy przetwarzający informacje osobowe przekazuje informacje osobowe podmiotowi objętemu zakresem art. 76 ustawy o ochronie informacji osobowych na potrzeby wykorzystania ich do jednego z celów przetwarzania określonych w tym przepisie. Jeżeli chodzi o dane osobowe przekazane z Unii Europejskiej, stanowiłoby to zatem dalsze przekazanie podlegające właściwym zabezpieczeniom (w szczególności tym określonym w art. 24 ustawy o ochronie informacji osobowych oraz w przepisie uzupełniającym 4). Jeżeli podmiot gospodarczy przetwarzający informacje osobowe opiera się na zgodzie podmiotu (25), którego dane dotyczą, byłby obowiązany przekazać mu wszelkie niezbędne informacje, w tym informację o tym, że dane osobowe nie będą już chronione przepisami ustawy o ochronie informacji osobowych.

(39)

Dane osobowe powinny być przetwarzane w określonym celu, a następnie wykorzystywane tylko w takim zakresie, w jakim nie jest to niezgodne z celem przetwarzania. Ta zasada ochrony danych zagwarantowana jest w art. 15 i 16 ustawy o ochronie informacji osobowych.

(40)

Ustawa ta opiera się na zasadzie, że podmiot gospodarczy obowiązany jest określić cel wykorzystania „w możliwie najbardziej wyraźny sposób” (art. 15 ust. 1), a następnie przestrzegać tego celu przy przetwarzaniu danych.

(41)

W tej kwestii w art. 15 ust. 2 ustawy o ochronie informacji osobowych stanowi, że podmiotowi gospodarczemu przetwarzającemu informacje osobowe zakazuje się zmiany początkowego celu, jeżeli zmiana taka „wykraczałaby poza zakres uznawany za racjonalnie istotny dla celu wykorzystania określonego przed zmianą”, interpretowanego w wytycznych Komisji ds. Ochrony Informacji Osobowych jako odpowiadający temu, czego osoba, której dane dotyczą, może obiektywnie oczekiwać na podstawie „przyjętych norm społecznych” (26).

(42)

Ponadto, zgodnie z art. 16 ust. 1 ustawy o ochronie informacji osobowych podmiotom gospodarczym przetwarzającym informacje osobowe zakazuje się przetwarzania tego rodzaju informacji w sposób wykraczający poza „zakres niezbędny do osiągnięcia celu wykorzystania” określonego w art. 15 bez uzyskania wcześniejszej zgody osoby, której dane dotyczą, chyba że zastosowanie mają odstępstwa, o których mowa w art. 16 ust. 3 (27).

(43)

Jeżeli chodzi o informacje osobowe uzyskane od innego podmiotu gospodarczego, podmiot gospodarczy przetwarzający informacje osobowe może co do zasady określić nowy cel ich wykorzystania (28). Aby zapewnić zachowanie przez odbiorcę zgodności z celem, dla którego przekazano dane, zgodnie z sekcją 3 przepisów uzupełniających w odniesieniu do przekazywania danych z Unii Europejskiej wymaga się, aby w przypadku „gdy [podmiot gospodarczy przetwarzający informacje osobowe] otrzymuje dane osobowe z UE na podstawie decyzji stwierdzającej odpowiedni stopień ochrony” lub gdy taki podmiot „otrzymuje od innego [podmiotu gospodarczego przetwarzającego informacje osobowe] dane osobowe, które wcześniej przekazano z UE na podstawie decyzji stwierdzającej odpowiedni stopień ochrony” (dalsze przekazywanie), odbiorca był obowiązany „określić cel wykorzystania danych osobowych, o których mowa, w granicach celu wykorzystania, dla którego dane te zostały pierwotnie lub w późniejszym czasie otrzymane”. Innymi słowy, przepis ten zapewnia, aby w kontekście przekazywania cel wskazany na podstawie rozporządzenia (UE) 2016/679 nadal określał przetwarzanie oraz aby zmiana tego celu na dowolnym etapie łańcucha przetwarzania w Japonii wymagała zgody osoby w UE, której dane dotyczą. Uzyskanie takiej zgody wymaga wprawdzie, aby podmiot gospodarczy przetwarzający informacje osobowe zwrócił się do osoby, której dane dotyczą, jednak jeżeli jest to niemożliwe, skutkować to będzie po prostu koniecznością zachowania pierwotnego celu.

(44)

Dodatkowa ochrona, o której mowa w motywie 43, jest tym bardziej istotna, że przetwarzanie danych osobowych w sposób zgodny z prawem i rzetelny zapewniane jest w japońskim systemie także dzięki zasadzie ograniczenia celu.

(45)

Zgodnie z ustawą o ochronie danych osobowych, w przypadku, gdy podmiot gospodarczy przetwarzający informacje osobowe zbiera tego rodzaju informacje, jest on zobowiązany do szczegółowego określenia celu ich wykorzystania (29) oraz niezwłocznego poinformowania o tym celu osoby, której dane dotyczą (lub podania tego celu do wiadomości publicznej) (30). Co więcej, art. 17 tej ustawy stanowi, że podmiot gospodarczy przetwarzający informacje osobowe nie może pozyskiwać informacji osobowych w wyniku oszustwa ani za pomocą innych niewłaściwych środków. W odniesieniu do niektórych kategorii danych, takich jak informacje osobowe wymagające szczególnej uwagi, do ich uzyskania wymagana jest zgoda osoby, której dane dotyczą (art. 17 ust. 2 ustawy o ochronie informacji osobowych).

(46)

Następnie, jak wyjaśniono w motywach 41 i 42, podmiotowi gospodarczemu przetwarzającemu informacje osobowe zakazuje się przetwarzania informacji osobowych do innych celów, chyba że osoba, której dane dotyczą, wyraziła zgodę na takie przetwarzanie lub gdy zastosowanie ma jedno z odstępstw określonych w art. 16 ust. 3 ustawy o ochronie informacji osobowych.

(47)

Wreszcie, jeżeli chodzi o dalsze przekazywanie informacji osobowych osobie trzeciej (31), w art. 23 ust. 1 ustawy o ochronie informacji osobowych ograniczono takie ujawnianie do określonych przypadków, przy czym co do zasady wymagana jest wcześniejsza zgoda osoby, której dane dotyczą (32). W art. 23 ust. 2, 3 i 4 tej ustawy określono wyjątki od wymogu uzyskania zgody. Wyjątki te mają jednak zastosowanie tylko do danych wrażliwych oraz wymagają od podmiotu gospodarczego, aby z wyprzedzeniem zawiadomił zainteresowane osoby fizyczne o zamiarze ujawnienia ich informacji osobowych osobie trzeciej oraz o możliwości sprzeciwu wobec dalszego ujawniania (33).

(48)

Jeżeli chodzi o przekazanie danych osobowych z Unii Europejskiej, w pierwszej kolejności muszą być one zebrane i przetwarzane w UE zgodnie z rozporządzeniem (UE) 2016/679. Będzie to zawsze obejmowało z jednej strony zbieranie i przetwarzanie, w tym na potrzeby przekazania z Unii Europejskiej do Japonii, w oparciu o podstawy prawne wymienione w art. 6 ust. 1 rozporządzenia, a z drugiej strony zbieranie w szczególnym, wyraźnym i prawnie uzasadnionym celu oraz zakaz dalszego przetwarzania, w tym przez przekazanie, w sposób niezgodny z takim celem, jak określono w art. 5 ust. 1 lit. b) oraz art. 6 ust. 4 rozporządzenia.

(49)

Zgodnie z sekcją 3 przepisów uzupełniających po przekazaniu danych podmiot gospodarczy przetwarzający informacje osobowe i będący ich odbiorcą musi „potwierdzić” szczegółowy cel lub cele stanowiące podstawę przekazania (tzn. cel wskazany na podstawie rozporządzenia (UE) 2016/679) oraz dalej przetwarzać te dane zgodnie z tym celem lub celami (34). Oznacza to, że nie tylko początkowy odbiorca takich danych osobowych w Japonii, lecz także każdy przyszły odbiorca danych (w tym powiernik), jest obowiązany zachować zgodność z celem lub celami wskazanymi na podstawie rozporządzenia.

(50)

Ponadto, gdyby podmiot gospodarczy przetwarzający informacje osobowe chciał zmienić cel wskazany wcześniej na podstawie rozporządzenia (UE) 2016/679, zgodnie z art. 16 ust. 1 ustawy o ochronie informacji osobowych musiałby co do zasady uzyskać zgodę osoby, której dane dotyczą. Bez uzyskania takiej zgody wszelkie przypadki przetwarzania danych wykraczające poza zakres niezbędny do osiągnięcia celu wykorzystania stanowiłyby naruszenie art. 16 ust. 1, którego przestrzeganie mogłoby być egzekwowane przez Komisję ds. Ochrony Informacji Osobowych lub sądy.

(51)

Dlatego też z uwagi na fakt, że zgodnie z rozporządzeniem (UE) 2016/679 do przekazania wymagane są ważna podstawa prawna oraz konkretny cel, których odzwierciedleniem jest cel wykorzystania „potwierdzony” na podstawie ustawy o ochronie informacji osobowych, połączenie właściwych przepisów tej ustawy oraz sekcji 3 przepisów uzupełniających zapewnia ciągłą zgodność przetwarzania unijnych danych w Japonii z prawem.

(52)

Dane powinny być prawidłowe i w razie potrzeby uaktualniane. Powinny być one również adekwatne, stosowne i nienadmierne w stosunku do celów, w których są przetwarzane.

(53)

Przestrzeganie tych zasad w japońskim prawie zapewniono w art. 16 ust. 1 ustawy o ochronie informacji osobowych, w którym zakazano przetwarzania informacji osobowych w stopniu wykraczającym poza „zakres niezbędny do osiągnięcia celu wykorzystania”. Zgodnie z wyjaśnieniami Komisji ds. Ochrony Informacji Osobowych nie tylko wyklucza to wykorzystanie danych, które są nieadekwatne, oraz nadmierne wykorzystanie danych (w stopniu wykraczającym poza zakres niezbędny do osiągnięcia celu wykorzystania), lecz także oznacza zakaz przetwarzania danych, które nie są istotne dla osiągnięcia celu wykorzystania.

(54)

Jeżeli chodzi o obowiązek utrzymania prawidłowości i aktualności danych, zgodnie z art. 19 ustawy o ochronie informacji osobowych podmiot gospodarczy przetwarzający informacje osobowe jest zobowiązany do „dążenia, aby dane osobowe były prawidłowe i aktualne w zakresie niezbędnym do osiągnięcia celu wykorzystania”. Przepis ten należy interpretować w związku z art. 16 ust. 1 ustawy o ochronie informacji osobowych: zgodnie z wyjaśnieniami otrzymanymi od Komisji ds. Ochrony Informacji Osobowych, jeżeli podmiot gospodarczy przetwarzający informacje osobowe nie spełnia określonych norm dotyczących prawidłowości, przetwarzanie informacji osobowych nie jest uznawane za osiągnięcie celu wykorzystania, w związku z czym uznawane jest za niezgodne z prawem na podstawie art. 16 ust. 1.

(55)

Co do zasady dane nie powinny być przechowywane przez okres dłuższy, niż jest to niezbędne do celów, w których te dane osobowe są przetwarzane.

(56)

Zgodnie z art. 19 ustawy o ochronie informacji osobowych podmioty gospodarcze przetwarzające informacje osobowe są zobowiązane do „dążenia […] do niezwłocznego usunięcia danych osobowych, gdy takie wykorzystanie stanie się zbędne”. Powyższy przepis należy interpretować w związku z art. 16 ust. 1 ustawy o ochronie informacji osobowych, w którym zakazano przetwarzania informacji osobowych w stopniu wykraczającym poza „zakres niezbędny do osiągnięcia celu wykorzystania”. Gdy cel wykorzystania został osiągnięty, przetwarzanie informacji osobowych nie może być dalej uznawane za niezbędne, a tym samym kontynuowane (chyba że podmiot gospodarczy przetwarzający informacje osobowe uzyskał na to zgodę osoby, której dane dotyczą).

(57)

Dane osobowe powinny być przetwarzane w sposób zapewniający im bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem. W tym celu podmioty gospodarcze powinny wdrożyć odpowiednie środki techniczne lub organizacyjne, aby chronić dane osobowe przed ewentualnymi zagrożeniami. Środki te należy ocenić, biorąc pod uwagę stan wiedzy technicznej oraz koszty ich wdrożenia.

(58)

Zasadę tę wdrożono w japońskim prawie za pomocą art. 20 ustawy o ochronie informacji osobowych, który stanowi, że podmiot gospodarczy przetwarzający informacje osobowe „podejmuje niezbędne i stosowne działania na rzecz kontroli bezpieczeństwa danych osobowych, w tym działania zapobiegające wyciekowi, utracie lub uszkodzeniu przetwarzanych danych osobowych”. W wytycznych Komisji ds. Ochrony Informacji Osobowych wyjaśniono środki, jakie należy podjąć, w tym metody ustanawiania podstawowych zasad polityki, zasady przetwarzania danych i poszczególne „działania kontrolne” (dotyczące zarówno bezpieczeństwa organizacyjnego, jak i bezpieczeństwa ludzkiego, fizycznego i technologicznego) (35). Ponadto w wytycznych Komisji ds. Ochrony Informacji Osobowych i specjalnym zawiadomieniu (dodatek 8 „Treści środków zarządzania bezpieczeństwem, które należy zastosować”) opublikowanym przez Komisję ds. Ochrony Informacji Osobowych przedstawiono więcej szczegółów na temat środków dotyczących incydentów bezpieczeństwa związanych na przykład z wyciekiem informacji osobowych, zaliczających się do środków zarządzania bezpieczeństwem podejmowanych przez podmioty gospodarcze przetwarzające informacje osobowe (36).

(59)

Ponadto, ilekroć dane osobowe są przetwarzane przez pracowników lub podwykonawców, zgodnie z art. 20 i 21 ustawy o ochronie informacji osobowych wymagane jest zapewnienie „niezbędnego i stosownego nadzoru” do celów kontroli bezpieczeństwa. Wreszcie zgodnie z art. 83 ustawy o ochronie informacji osobowych celowy wyciek lub kradzież informacji osobowych są zagrożone karą do jednego roku pozbawienia wolności.

(60)

Osoby, których dane dotyczą, powinny być informowane o głównych cechach przetwarzania ich danych osobowych.

(61)

Zgodnie z art. 18 ust. 1 ustawy o ochronie informacji osobowych podmioty gospodarcze przetwarzające informacje osobowe są zobowiązane do udostępnienia osobie, której dane dotyczą, informacji o celu wykorzystania pozyskanych danych osobowych, z wyjątkiem „przypadków, w których cel wykorzystania został z wyprzedzeniem podany do wiadomości publicznej”. Ten sam obowiązek stosuje się w przypadku dopuszczalnej zmiany celu (art. 18 ust. 3). Dzięki temu zapewnia się również, że osoba, której dane dotyczą, zostanie poinformowana o fakcie zebrania dotyczących jej danych. Chociaż zgodnie z ustawą o ochronie informacji osobowych podmiot gospodarczy przetwarzający informacje osobowe nie ma co do zasady obowiązku poinformowania osoby, której dane dotyczą, o oczekiwanych odbiorcach informacji osobowych na etapie ich zbierania, zgodnie z art. 23 ust. 2 takie zawiadomienie stanowi warunek niezbędny do jakiegokolwiek dalszego ujawniania informacji osobie trzeciej (odbiorcy), jeżeli następuje ono bez uprzedniej zgody osoby, której dane dotyczą.

(62)

Jeżeli chodzi o „zatrzymane dane osobowe”, art. 27 ustawy o ochronie informacji osobowych stanowi, że podmiot gospodarczy przetwarzający informacje osobowe informuje osobę, której dane dotyczą, o swojej tożsamości (dane kontaktowe), celu wykorzystania i procedurach odpowiadania na wnioski dotyczące praw indywidualnych osoby, której dane dotyczą, na podstawie art. 28, 29 i 30 tej ustawy.

(63)

Zgodnie z przepisami uzupełniającymi dane osobowe przekazywane z Unii Europejskiej będą uznawane za „zatrzymane dane osobowe” bez względu na okres ich zatrzymania (chyba że są objęte wyłączeniami), jak również będą za każdym razem podlegać wymogom przejrzystości przewidzianym w obu wyżej wymienionych przepisach.

(64)

Zarówno wymogi określone w art. 18, jak i obowiązek informowania o celu wykorzystania zgodnie z art. 27 ustawy o ochronie informacji osobowych podlegają temu samemu zestawowi wyłączeń, opartych w głównej mierze na względach interesu publicznego oraz ochronie praw i interesów osoby, której dane dotyczą, osób trzecich oraz administratora (37). Zgodnie z interpretacją zawartą w wytycznych Komisji ds. Ochrony Informacji Osobowych wyłączenia te obowiązują w szczególnych sytuacjach, w których informacje dotyczące celu wykorzystania mogłyby osłabić prawnie uzasadnione środki podejmowane przez podmiot gospodarczy w celu ochrony określonych interesów (np. zwalczanie oszustw, szpiegostwa przemysłowego, sabotażu).

(65)

Jeżeli przetwarzane są „szczególne kategorie” danych, powinny istnieć szczególne zabezpieczenia.

(66)

„Informacje osobowe wymagające szczególnej uwagi” zdefiniowano art. 2 ust. 3 ustawy o ochronie informacji osobowych. Przepis ten odnosi się do „informacji osobowych obejmujących rasę, przekonania, status społeczny, historię medyczną, uprzednią karalność osoby powierzającej dane, fakt bycia ofiarą przestępstwa lub inne opisy itp. wskazane w zarządzeniu Rady Ministrów jako informacje, których przetwarzanie wymaga szczególnej uwagi, aby nie doprowadzić do nieuczciwej dyskryminacji, uprzedzeń lub innych niekorzystnych okoliczności względem osoby powierzającej dane”. Kategorie te odpowiadają w dużym stopniu wykazowi danych wrażliwych określonemu w art. 9 i 10 rozporządzenia (UE) 2016/679. W szczególności „historia medyczna” odpowiada danym dotyczącym zdrowia, natomiast „uprzednia karalność i fakt bycia ofiarą przestępstwa” w znacznym stopniu pokrywają się z kategoriami, o których mowa w art. 10 rozporządzenia (UE) 2016/679. Kategorie, o których mowa w art. 2 ust. 3 ustawy o ochronie informacji osobowych, podlegają dalszej interpretacji przedstawionej w zarządzeniu Rady Ministrów i wytycznych Komisji ds. Ochrony Informacji Osobowych. Zgodnie z interpretacją przedstawioną w sekcji 2.3 pkt 8 wytycznych Komisji ds. Ochrony Informacji Osobowych podkategorie „historii medycznej” wyszczególnione w art. 2 ppkt (ii) oraz (iii) zarządzenia Rady Ministrów obejmują dane genetyczne i biometryczne. Dodatkowo, mimo że wykaz ten nie obejmuje wyraźnie pojęć takich jak „pochodzenie etniczne” i „poglądy polityczne”, zawiera odniesienia do „rasy” i „przekonań”. Jak wyjaśniono w sekcji 2.3 pkt 1 i 2 wytycznych Komisji ds. Ochrony Informacji Osobowych odniesienie do „rasy” obejmuje „więź lub więzi etniczne z określoną częścią świata”, natomiast „przekonania” rozumienie są zarówno jako przekonania religijne, jak i polityczne.

(67)

Jak jasno wynika z brzmienia przytoczonego przepisu, wykaz ten nie jest zamknięty, ponieważ możliwe jest dodanie kolejnych kategorii danych, o ile ich przetwarzanie stwarza ryzyko „nieuczciwej dyskryminacji, uprzedzeń lub innych niekorzystnych okoliczności względem osoby powierzającej dane”.

(68)

Chociaż pojęcie danych „wrażliwych” samo w sobie stanowi konstrukt społeczny w tym względzie, że jest ono zakorzenione w tradycjach kulturowych i prawnych, aspektach moralnych, wyborach politycznych itp. danego społeczeństwa, z uwagi na potrzebę zapewnienia odpowiednich zabezpieczeń w odniesieniu do danych wrażliwych przekazywanych podmiotom gospodarczym w Japonii, Komisja uzyskała zapewnienie, że zgodnie z japońskim prawem szczególne zabezpieczenia przysługujące „informacjom osobowym wymagającym szczególnej uwagi” obejmują również wszystkie kategorie uznawane za „dane wrażliwe” w rozporządzeniu (UE) 2016/679. W tym celu sekcja 1 przepisów uzupełniających stanowi, że podmioty gospodarcze przetwarzający informacje osobowe przetwarzają dane przekazywane z Unii Europejskiej dotyczące seksualności, orientacji seksualnej lub przynależności osoby fizycznej do związków zawodowych „w ten sam sposób, co informacje osobowe wymagające szczególnej uwagi w rozumieniu art. 2 ust. 3 [ustawy o ochronie informacji osobowych]”.

(69)

Jeżeli chodzi o dodatkowe zabezpieczenia materialne dotyczące informacji osobowych wymagających szczególnej uwagi, zgodnie z art. 17 ust. 2 ustawy o ochronie informacji osobowych podmioty gospodarcze przetwarzające informacje osobowe nie mogą pozyskiwać, z nielicznymi wyjątkami, tego rodzaju danych bez uprzedniej zgody zainteresowanej osoby fizycznej (38). Ponadto ta kategoria informacji osobowych jest wyłączona z możliwości ujawnienia osobie trzeciej na podstawie procedury przewidzianej w art. 23 ust. 2 ustawy o ochronie informacji osobowych (umożliwiającej przekazywanie danych osobom trzecim bez uprzedniej zgody zainteresowanej osoby fizycznej).

(70)

Zgodnie z zasadą rozliczalności podmioty przetwarzające dane są zobowiązane do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby skutecznie przestrzegać swoich obowiązków w zakresie ochrony danych oraz być w stanie wykazać taką zgodność, zwłaszcza wobec właściwego organu nadzorczego.

(71)

Jak wspomniano w przypisie 34 (motyw 49), zgodnie z art. 26 ust. 1 ustawy o ochronie informacji osobowych podmioty gospodarcze przetwarzające informacje osobowe są zobowiązane do zweryfikowania tożsamości osoby trzeciej przekazującej im dane osobowe oraz „okoliczności”, w jakich pozyskała ona te dane (jeżeli chodzi o dane osobowe objęte niniejszą decyzją, zgodnie z ustawą o ochronie informacji osobowych oraz sekcją 3 przepisów uzupełniających do tych okoliczności zalicza się fakt, że dane pochodzą z Unii Europejskiej oraz cel pierwotnego przekazania danych). Celem tego środka jest między innymi zapewnienie zgodności przetwarzania danych z prawem w całym łańcuchu, w którym uczestniczą podmioty gospodarcze przetwarzające informacje osobowe. Zgodnie z art. 26 ust. 3 ustawy o ochronie informacji osobowych podmioty gospodarcze przetwarzające informacje osobowe są ponadto obowiązane każdorazowo rejestrować datę otrzymania danych oraz (obowiązkowych) informacji otrzymanych od osoby trzeciej na podstawie ust. 1, jak również imienia i nazwiska zainteresowanej osoby fizycznej (osoby, której dane dotyczą), kategorii przetwarzanych danych oraz – w odpowiednim zakresie – faktu, czy osoba, której dane dotyczą, wyraziła zgodę na udostępnienie jej danych osobowych. Zgodnie z art. 18 przepisów przyjętych przez Komisję ds. Ochrony Informacji Osobowych rejestry te muszą być przechowywane przez okres co najmniej od jednego roku do trzech lat, w zależności od okoliczności. W ramach wykonywania swoich zadań Komisja ds. Ochrony Informacji Osobowych może zażądać przedłożenia takich rejestrów (39).

(72)

Podmioty gospodarcze przetwarzające informacje osobowe mają obowiązek niezwłocznie i we właściwy sposób rozpatrywać skargi zainteresowanych osób fizycznych dotyczące przetwarzania ich informacji osobowych. Aby ułatwić rozpatrywanie skarg, podmioty te wdrażają „system niezbędny do osiągnięcia [tego] celu”, co oznacza, że powinny wdrożyć właściwe procedury w swoich organizacjach (na przykład dokonać podziału obowiązków lub zapewnić punkt kontaktowy).

(73)

Wreszcie w ustawie o ochronie informacji osobowych ustanowiono ramy dotyczące udziału organizacji sektorowych w zapewnianiu wysokiego stopnia zgodności (zob. rozdział IV sekcja 4). Rolą takich akredytowanych organizacji zajmujących się ochroną informacji osobowych (40) jest propagowanie ochrony informacji osobowych przez wspieranie przedsiębiorstw i udostępnianie w tym celu fachowej wiedzy tych organizacji, jak również przyczynianie się do wdrożenia zabezpieczeń, zwłaszcza w drodze rozpatrywania skarg osób fizycznych i udzielania pomocy w rozwiązywaniu związanych z tym konfliktów. W tym celu mogą one zażądać od uczestniczących podmiotów gospodarczych przetwarzających dane osobowe wdrożenia, w stosownych przypadkach, niezbędnych środków (41). Ponadto w przypadku naruszenia ochrony danych lub innych incydentów związanych z bezpieczeństwem podmioty gospodarcze przetwarzające informacje osobowe co do zasady informują o tym fakcie Komisję ds. Ochrony Informacji Osobowych i osobę, której dane dotyczą (lub podają tę informację do wiadomości publicznej), oraz podejmują niezbędne działania, w tym środki mające na celu zmniejszenie ewentualnych szkód i uniknięcie ponownego wystąpienia podobnych incydentów (42). Chociaż w tym przypadku chodzi o dobrowolne programy, w dniu 10 sierpnia 2017 r. Komisja ds. Ochrony Informacji Osobowych przedstawiła wykaz zawierający nazwy 44 organizacje, z których sama tylko największa – Japońskie Centrum Przetwarzania Informacji i Rozwoju (JIPDEC) – zrzeszała 15 436 uczestniczących podmiotów gospodarczych (43). Zatwierdzone programy obejmują stowarzyszenia sektorowe, takie jak np. Japońskie Stowarzyszenie Dealerów Papierów Wartościowych, Japońskie Stowarzyszenie Szkół Nauki Jazdy lub Stowarzyszenie Biur Matrymonialnych (44).

(74)

Co roku zatwierdzone organizacje zajmujące się ochroną informacji osobowych przedkładają sprawozdania ze swojej działalności. Jak wynika z dokumentu pt. „Przegląd stanu wdrożenia ustawy o ochronie informacji osobowych w roku obrachunkowym 2015”, opublikowanego przez Komisję ds. Ochrony Informacji Osobowych, akredytowane organizacje zajmujące się ochroną informacji osobowych otrzymały łącznie 442 skargi, w 123 przypadkach zażądały wyjaśnień od podmiotów gospodarczych podlegających ich jurysdykcji, w 41 przypadkach zażądały od tych podmiotów przedłożenia dokumentów oraz wydały 181 instrukcji i dwa zalecenia (45).

(75)

Stopień ochrony zapewnianej danym osobowym przekazywanym z Unii Europejskiej podmiotom gospodarczym w Japonii nie może zostać osłabiony wskutek dalszego przekazywania takich danych odbiorcom z państw trzecich poza Japonią. Takie „dalsze przekazywanie”, które z perspektywy japońskiego podmiotu gospodarczego stanowi międzynarodowe przekazywanie danych z Japonii, powinno być dozwolone tylko wtedy, gdy kolejny odbiorca spoza Japonii sam podlega przepisom zapewniającym stopień ochrony zbliżony do ochrony gwarantowanej w japońskim porządku prawnym.

(76)

Pierwsze zabezpieczenie przewidziano w art. 24 ustawy o ochronie informacji osobowych, zgodnie z którym co do zasady zakazane jest przekazywanie danych osobowych osobie trzeciej spoza terytorium Japonii bez uprzedniej zgody zainteresowanej osoby fizycznej. W sekcji 4 przepisów uzupełniających zapewniono, aby przy przekazywaniu danych z Unii Europejskiej taka zgoda została wyrażona w szczególnie świadomy sposób, ponieważ wymagane jest, aby zainteresowana osoba fizyczna „otrzymała informacje o okolicznościach związanych z przekazywaniem, które są niezbędne do podjęcia przez osobę powierzającą dane decyzji o wyrażeniu zgody”. Na tej podstawie osobę, której dane dotyczą, informuję się o tym, że jej dane zostaną przekazane za granicę (poza zakres stosowania ustawy o ochronie informacji osobowych) oraz o tym, jaki jest kraj przeznaczenia. Pozwoli jej to na ocenę ryzyka naruszenia prywatności związanego z przekazaniem danych. Ponadto, jak można wywieść z art. 23 ustawy o ochronie informacji osobowych (zob. motyw 47), informacje przekazywane osobie powierzającej dane powinny obejmować elementy obligatoryjne, o których mowa w ust. 2, tj. kategorie danych osobowych przekazywanych osobie trzeciej oraz sposób ujawnienia.

(77)

W art. 24 ustawy o ochronie informacji osobowych, stosowanym w związku z art. 11-2 przepisów przyjętych przez Komisję ds. Ochrony Informacji Osobowych, przewidziano szereg wyjątków od tej zasady dotyczącej uzyskania zgody. Ponadto zgodnie z art. 24 w przypadku międzynarodowego przekazywania danych stosuje się te same odstępstwa co odstępstwa przewidziane w art. 23 ust. 1 ustawy o ochronie informacji osobowych (46).

(78)

Aby zapewnić ciągłość ochrony przy przekazywaniu danych osobowych z Unii Europejskiej do Japonii na podstawie niniejszej decyzji, w sekcji 4 przepisów uzupełniających przewidziano zwiększenie stopnia ochrony na potrzeby dalszego przekazywania takich danych przez podmioty gospodarcze przetwarzające informacje osobowe do odbiorców z państw trzecich. Cel ten jest osiągany przez wprowadzenie ograniczeń i ram dotyczących podstaw międzynarodowego przekazywania danych, które podmiot gospodarczy przetwarzający informacje osobowe może wykorzystać jako alternatywę dla zgody. Ściślej rzecz ujmując i bez uszczerbku dla odstępstw określonych w art. 23 ust. 1 ustawy o ochronie informacji osobowych, dane osobowe przekazywane na podstawie niniejszej decyzji mogą podlegać (dalszemu) przekazywaniu bez zgody wyłącznie w dwóch przypadkach: (i) gdy dane przesyłane są do państwa trzeciego, które zostało wskazane przez Komisję ds. Ochrony Informacji Osobowych na podstawie art. 24 ustawy o ochronie informacji osobowych jako państwo zapewniające ochronę w stopniu równoważnym ochronie gwarantowanej w Japonii (47); lub (ii) gdy podmiot gospodarczy przetwarzający informacje osobowe i osoba trzecia będąca odbiorcą wspólnie wdrożyły środki zapewniające ochronę w stopniu równoważnym ochronie przewidzianej w ustawie o ochronie informacji osobowych, interpretowanej w związku z przepisami uzupełniającymi, a tego rodzaju środki zostały wdrożone na podstawie umowy lub innej formy wiążących porozumień w ramach grupy przedsiębiorstw. Druga kategoria odpowiada instrumentom stosowanym na podstawie rozporządzenia (UE) 2016/679 w celu zapewnienia odpowiednich zabezpieczeń (zwłaszcza klauzul umownych oraz wiążących reguł korporacyjnych). Ponadto, jak potwierdziła Komisja ds. Ochrony Informacji Osobowych, nawet w takich przypadkach przeniesienie nadal podlega zasadom ogólnym właściwym dla każdego przekazania danych osobowych stronie trzeciej w ramach ustawy o ochronie informacji osobowych (tj. obowiązkowi uzyskania zgody na podstawie art. 23 ust. 1 albo obowiązkowi informacyjnemu z możliwością rezygnacji na podstawie z art. 23 ust. 2 tej ustawy). Jeżeli nie można zwrócić się do osoby, której dane dotyczą, z prośbą o wyrażenie zgody lub w celu obowiązkowego poinformowania z wyprzedzeniem na podstawie art. 23 ust. 2 ustawy o ochronie informacji osobowych, przeniesienie nie może nastąpić.

(79)

W związku z powyższym z wyjątkiem sytuacji, w których Komisja ds. Ochrony Informacji Osobowych stwierdziła, że dane państwo trzecie zapewnia ochronę w stopniu równoważnym ochronie gwarantowanej ustawą o ochronie informacji osobowych (48), wymogi określone w sekcji 4 przepisów uzupełniających wykluczają stosowanie instrumentów przekazywania, które nie stwarzają wiążącej relacji między japońskim podmiotem przekazującym dane a podmiotem z państwa trzeciego odbierającym dane oraz nie gwarantują wymaganego stopnia ochrony. Tak będzie na przykład w przypadku systemu transgranicznych zasad ochrony prywatności APEC (CBPR), w którym uczestniczy japońska gospodarka (49), ponieważ zabezpieczenia stosowane w ramach tego systemu nie wynikają z porozumienia wiążącego podmiot przekazujący i podmiot odbierający w kontekście ich relacji dwustronnych, a poziom tych zabezpieczeń jest wyraźnie niższy niż poziom gwarantowany ustawą o ochronie informacji osobowych interpretowaną w związku z przepisami uzupełniającymi (50).

(80)

Wreszcie kolejne zabezpieczenie na wypadek (dalszego) przekazywania danych wynika z art. 20 i 22 ustawy o ochronie informacji osobowych. Zgodnie z tymi przepisami w przypadku gdy podmiot z państwa trzeciego (podmiot odbierający dane) działa w imieniu podmiotu gospodarczego przetwarzającego informacje osobowe (podmiotu przekazującego dane), tzn. jako podmiot przetwarzający (podwykonawca przetwarzania), podmiot gospodarczy przetwarzający informacje osobowe jest zobowiązany do zapewnienia nadzoru nad takim podmiotem w zakresie bezpieczeństwa przetwarzanie danych.

(81)

W ustawie o ochronie informacji osobowych, podobnie jak w unijnych przepisach o ochronie danych, osobom fizycznym zapewniono szereg egzekwowalnych praw. Obejmują one między innymi prawo dostępu („ujawnienia”), prawo do sprostowania i usunięcia danych, a także prawo do sprzeciwu („zaprzestania wykorzystania”).

(82)

Po pierwsze, zgodnie z art. 28 ust. 1 i 2 ustawy o ochronie informacji osobowych osoba, której dane dotyczą, ma prawo zażądać od podmiotu gospodarczego przetwarzającego informacje osobowe „ujawnieni[a] zatrzymanych danych osobowych, na podstawie których można ją zidentyfikować”, a podmiot ten po otrzymaniu takiego żądania „ujawnia […] zatrzymane dane osobowe” osobie, której dane dotyczą. Art. 29 (prawo do korekty) i art. 30 (prawo do zaprzestania wykorzystania) mają tę samą strukturę co art. 28.

(83)

Art. 9 zarządzenia Rady Ministrów stanowi, że ujawnienie informacji osobowych, o którym mowa w art. 28 ust. 2 ustawy o ochronie informacji osobowych, odbywa się na piśmie, chyba że podmiot gospodarczy przetwarzający informacje osobowe i osoba, której dane dotyczą, postanowiły inaczej.

(84)

Prawa te podlegają trojakiego rodzaju ograniczeniom dotyczącym: praw i interesów (51) osoby fizycznej lub osób trzecich, poważnych zakłóceń w działalności gospodarczej podmiotu gospodarczego przetwarzającego informacje osobowe (52) oraz przypadków, w których ujawnienie stanowiłoby naruszenie innych przepisów ustawowych i wykonawczych (53). Sytuacje, w których ograniczenia te znalazłyby zastosowanie, są podobne do niektórych wyjątków przewidzianych w art. 23 ust. 1 rozporządzenia (UE) 2016/679, w którym dopuszcza się ograniczenie praw osób fizycznych z przyczyn zapewniających „ochronę osoby, której dane dotyczą, lub praw i wolności innych osób” lub osiągnięcie „innych ważnych celów leżących w ogólnym interesie publicznym”. Choć kategorie przypadków, w których ujawnienie danych stanowiłoby naruszenie „innych przepisów ustawowych i wykonawczych”, mogą wydawać się szerokie, w przepisach ustawowych i wykonawczych przewidujących ograniczenia w tym zakresie należy zapewnić poszanowanie konstytucyjnego prawa do prywatności oraz można w nich wprowadzić ograniczenia wyłącznie w zakresie, w jakim wykonywanie tego prawa „nie pozostawałoby w sprzeczności z dobrem publicznym” (54). Wymaga to wyważenia istniejących interesów.

(85)

Zgodnie z art. 28 ust. 3 ustawy o ochronie informacji osobowych, jeżeli dane, których dotyczy żądanie, nie istnieją lub w przypadku gdy dany podmiot gospodarczy przetwarzający informacje osobowe zdecyduje się nie udzielać dostępu do zatrzymanych danych, jest on zobowiązany do niezwłocznego poinformowania o tym fakcie osoby fizycznej.

(86)

Po drugie, zgodnie z art. 29 ust. 1 i 2 ustawy o ochronie informacji osobowych osoba, której dane dotyczą, ma prawo zażądać korekty, dodania lub usunięcie dotyczących jej zatrzymywanych danych osobowych, jeżeli są one nieprawidłowe. Po otrzymaniu takiego żądania podmiot gospodarczy przetwarzający informacje osobowe „przeprowadza niezbędne dochodzenie” i na podstawie uzyskanych wyników „dokonuje korekty itd. treści zatrzymywanych danych”.

(87)

Po trzecie, zgodnie z art. 30 ust. 1 i 2 ustawy o ochronie informacji osobowych osoba, której dane dotyczą, ma prawo zażądać od podmiotu gospodarczego przetwarzającego informacje osobowe zaprzestania wykorzystywania informacji osobowych lub usunięcia takich informacji, jeżeli ich przetwarzanie stanowi naruszenie art. 16 (w odniesieniu do ograniczenia celu) lub zostały one niewłaściwie pozyskane z naruszeniem art. 17 ustawy o ochronie informacji osobowych (w odniesieniu do pozyskania w wyniku oszustwa lub za pomocą innych niewłaściwych środków lub, w przypadku danych wrażliwych, bez zgody). Podobnie, zgodnie z art. 30 ust. 3 i 4 ustawy o ochronie informacji osobowych, osoba fizyczna ma prawo zażądać od podmiotu gospodarczego przetwarzającego informacje osobowe zaprzestania przekazywania informacji osobie trzeciej, jeżeli stanowiłoby to naruszenie przepisów art. 23 ust. 1 lub art. 24 tej ustawy (w odniesieniu do przekazywania informacji osobie trzeciej, w tym międzynarodowego przekazywania danych).

(88)

Po otrzymaniu takiego żądania podmiot gospodarczy przetwarzający informacje osobowe niezwłocznie zaprzestaje ich wykorzystania lub przekazywania osobie trzeciej w stopniu niezbędnym do zaradzenia naruszeniu lub, jeżeli dany przypadek podlega wyłączeniu (zwłaszcza w przypadku gdy zaprzestanie wykorzystania wiązałoby się ze szczególnie wysokimi kosztami) (55), wdraża niezbędne alternatywne środki w celu ochrony praw i interesów danej osoby fizycznej.

(89)

W odróżnieniu od prawa UE ustawa o ochronie informacji osobowych i właściwe przepisy podustawowe nie zawierają przepisów prawnych szczegółowo odnoszących się do możliwości wniesienia sprzeciwu wobec przetwarzania do celów marketingu bezpośredniego. Niemniej jednak takie przetwarzanie, na mocy tej decyzji, będzie zawsze odbywać się w kontekście przekazywania danych osobowych, które zostały uprzednio zebrane w Unii Europejskiej. Zgodnie z art. 21 ust. 2 rozporządzenia (UE) 2016/679 osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych na potrzeby marketingu bezpośredniego. Ponadto, jak wyjaśniono w motywie 43, zgodnie z sekcją 3 przepisów uzupełniających, podmiot gospodarczy przetwarzający informacje osobowe jest obowiązany przetwarzać dane otrzymane na podstawie niniejszej decyzji w tym samym celu, w jakim zostały one przekazane z Unii Europejskiej, chyba że osoba, której dane dotyczą, wyraziła zgodę na zmianę celu wykorzystania. Dlatego też, jeżeli dane przekazano w jakimkolwiek celu innym niż marketing bezpośredni, podmiot gospodarczy przetwarzający informacje osobowe w Japonii nie będzie miał możliwości przetwarzania danych do celów marketingu bezpośredniego bez zgody osoby w UE, której dane dotyczą.

(90)

We wszystkich przypadkach, o których mowa w art. 28 i 29 ustawy o ochronie informacji osobowych, podmiot gospodarczy przetwarzający informacje osobowe jest zobowiązany do niezwłocznego poinformowania osoby fizycznej o wyniku jej żądania oraz dodatkowo do wyjaśnienia każdej (częściowej) odmowy w oparciu o wyjątki ustawowe przewidziane w art. 27–30 (art. 31 ustawy o ochronie informacji osobowych).

(91)

Jeżeli chodzi o warunki składania żądania, zgodnie z art. 32 ustawy o ochronie informacji osobowych (w związku z zarządzeniem Rady Ministrów) podmiot gospodarczy przetwarzający informacje osobowe może określić racjonalne procedury, w tym w odniesieniu do informacji niezbędnych do identyfikacji zatrzymanych danych osobowych. Zgodnie jednak z ust. 4 tego artykułu podmioty gospodarcze przetwarzające informacje osobowe nie mogą „nadmiernie obciążać osoby powierzającej”. W niektórych przypadkach podmioty gospodarcze przetwarzające informacje osobowe mogą również nakładać opłaty, o ile ich wysokość pozostaje „w granicach uznawanych za racjonalne przy uwzględnieniu faktycznych kosztów” (art. 33 ustawy o ochronie informacji osobowych).

(92)

Wreszcie osoba fizyczna może wnieść sprzeciw wobec przekazywania dotyczących jej informacji osobowych osobie trzeciej na podstawie art. 23 ust. 2 ustawy o ochronie informacji osobowych lub odmówić wyrażenia zgody na podstawie art. 23 ust. 1 (uniemożliwiając tym samym ujawnienie informacji, jeżeli nie jest dostępna żadna inna podstawa prawna). Podobnie osoba fizyczna może zatrzymać przetwarzanie danych do innych celów, odmawiając wyrażenia zgody na podstawie art. 16 ust. 1 ustawy o ochronie informacji osobowych.

(93)

W odróżnieniu od prawa Unii ustawa o ochronie informacji osobowych i właściwe przepisy podustawowe nie zawierają przepisów ogólnych odnoszących się do kwestii decyzji wpływających na osobę, której dane dotyczą, i opierających się wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych. Kwestia ta została jednak uregulowana w niektórych przepisach sektorowych obowiązujących w Japonii, które są szczególnie istotne dla tego rodzaju przetwarzania. Dotyczy to sektorów, w których przedsiębiorstwa są najbardziej skłonne do korzystania ze zautomatyzowanego przetwarzania danych osobowych przy podejmowaniu decyzji wpływających na osoby fizyczne (np. sektora finansowego). Przykładowo zgodnie z „Kompleksowymi wytycznymi dotyczącymi nadzoru nad głównymi bankami”, zmienionymi w czerwcu 2017 r., zainteresowanej osobie fizycznej należy w szczegółowy sposób wyjaśnić powody będące podstawą odrzucenia wniosku o zawarcie umowy kredytu. Przepisy te zapewniają zatem zabezpieczenia w prawdopodobnej ograniczonej liczbie przypadków, w których sam japoński podmiot gospodarczy odbierający dane podjąłby zautomatyzowane decyzje (zamiast unijnego administratora przekazującego dane).

(94)

Niezależnie od okoliczności, jeżeli chodzi o dane osobowe zebrane w Unii Europejskiej, wszelkie decyzje opierające się na zautomatyzowanym przetwarzaniu podejmowane są zazwyczaj przez administratora danych w Unii (który ma bezpośrednie powiązanie z zainteresowaną osobą, której dane dotyczą) i podlegają tym samym przepisom rozporządzenia (UE) 2016/679 (56). Obejmuje to scenariusze przekazywania, w których za przetwarzanie odpowiada zagraniczny (np. japoński) podmiot gospodarczy działający w charakterze przedstawiciela (podmiotu przetwarzającego) w imieniu unijnego administratora danych (lub działający w charakterze podwykonawcy przetwarzania w imieniu unijnego podmiotu przetwarzającego po otrzymaniu danych od unijnego administratora danych, który je zebrał), który na tej podstawie podejmuje następnie decyzję. Mało prawdopodobne jest zatem, aby fakt, iż ustawa o ochronie informacji osobowych nie zawiera szczegółowych przepisów dotyczących zautomatyzowanego podejmowania decyzji, miał wpływ na stopień ochrony danych osobowych przekazywanych na podstawie niniejszej decyzji.

(95)

Aby zagwarantować również w praktyce odpowiedni stopień ochrony danych, należy ustanowić niezależny organ nadzorczy, uprawniony do monitorowania i egzekwowania zgodności z przepisami dotyczącymi ochrony danych. W ramach wykonywanych obowiązków i realizowanych uprawnień organ ten powinien być całkowicie niezależny i bezstronny.

(96)

W Japonii organem odpowiedzialnym za monitorowanie i egzekwowanie ustawy o ochronie informacji osobowych jest Komisja ds. Ochrony Informacji Osobowych. Składa się ona z przewodniczącego i ośmiu komisarzy powoływanych przez premiera za zgodą obu izb japońskiego parlamentu (Diet). Kadencja przewodniczącego i wszystkich komisarzy trwa pięć lat, przy czym istnieje możliwość ich ponownego powołania (art. 64 ustawy o ochronie informacji osobowych). Komisarze mogą zostać odwołani wyłącznie z ważnego powodu w razie wystąpienia określonych w zamkniętym katalogu okoliczności (57) oraz nie mogą prowadzić aktywnej działalności politycznej. Ponadto zgodnie z ustawą o ochronie informacji osobowych komisarze zatrudnieni w pełnym wymiarze godzin mają obowiązek powstrzymać się od prowadzenia jakiejkolwiek innej działalności zarobkowej lub gospodarczej. Wszyscy komisarze podlegają również przepisom wewnętrznym uniemożliwiającym im uczestnictwo w obradach w razie potencjalnego konfliktu interesów. Wsparcie dla komisji stanowi sekretariat, którym kieruje sekretarz generalny i który utworzono w celu wykonywania zadań powierzonych komisji (art. 70 ustawy o ochronie informacji osobowych). Zarówno komisarzy, jak i wszystkich urzędników sekretariatu obowiązują surowe przepisy dotyczące zachowania tajemnicy (art. 72 i 82 ustawy o ochronie informacji osobowych).

(97)

Uprawnienia Komisji ds. Ochrony Informacji Osobowych, które są wykonywane przy zachowaniu pełnej niezależności (58), przewidziano przede wszystkim w art. 40, 41 i 42 ustawy o ochronie informacji osobowych. Zgodnie z art. 40 Komisja ds. Ochrony Informacji Osobowych może zażądać od podmiotu gospodarczego przetwarzającego informacje osobowe zgłoszenia lub przedłożenia dokumentów dotyczących operacji przetwarzania oraz może również przeprowadzać kontrole, zarówno na miejscu, jak i w zakresie ksiąg i innych dokumentów. Komisja ta może również zapewnić podmiotowi gospodarczemu przetwarzającemu informacje osobowe wytyczne lub doradztwo w kwestii przetwarzania takich informacji, w zakresie wymaganym do wdrożenia ustawy o ochronie informacji osobowych. Komisja ds. Ochrony Informacji Osobowych skorzystała już z tego uprawnienia na mocy art. 41 ustawy o ochronie informacji osobowych, kierując wytyczne do Facebooka po ujawnieniu powiązanej z nim afery Cambridge Analytica.

(98)

Przede wszystkim Komisji ds. Ochrony Informacji Osobowych przysługują uprawnienia w zakresie wydawania – w odpowiedzi na skargę lub z własnej inicjatywy – zaleceń i zarządzeń w celu egzekwowania ustawy o ochronie informacji osobowych i innych wiążących przepisów (w tym przepisów uzupełniających) w poszczególnych przypadkach. Uprawnienia te ustanowiono w art. 42 ustawy o ochronie informacji osobowych. Ust. 1 i 2 przewidują dwuetapowy mechanizm, w ramach którego Komisja ds. Ochrony Informacji Osobowych może wydać zarządzenie (wyłącznie) po wcześniejszym wydaniu zalecenia, natomiast ust. 3 przewiduje możliwość bezpośredniego przyjęcia zarządzenia w sytuacjach nagłych.

(99)

Chociaż nie wszystkie przepisy rozdziału IV sekcja 1 ustawy o ochronie informacji osobowych zostały wymienione w ust. 42 ust. 1 – w którym określono również zakres stosowania art. 42 ust. 2 – wynika to z faktu, że niektóre z tych przepisów nie dotyczą obowiązków podmiotu gospodarczego przetwarzającego informacje osobowe (59), a wszystkie najważniejsze zabezpieczenia zapewniono już w pozostałych wymienionych przepisach. Choć nie wymieniono na przykład art. 15 (zgodnie z którym podmiot gospodarczy przetwarzający informacje osobowe jest zobowiązany do wyznaczenia celu wykorzystania i do przetwarzania odnośnych informacji osobowych wyłącznie w jego zakresie), nieprzestrzeganie zawartego w nim wymogu może stanowić podstawę do wydania zalecenia w związku z naruszeniem art. 16 ust. 1 (w którym podmiotowi gospodarczemu przetwarzającemu informacje osobowe zakazano przetwarzania takich informacji poza zakresem niezbędnym do osiągnięcia celu wykorzystania, chyba że uzyskano zgodę osoby, której dane dotyczą) (60). Kolejnym przepisem, którego nie wymieniono w art. 42 ust. 1 tej ustawy, jest art. 19 dotyczący prawidłowości i zatrzymywania danych. Nieprzestrzeganie tego przepisu może być egzekwowane jako naruszenie art. 16 ust. 1 albo w oparciu o naruszenie art. 29 ust. 2, jeżeli dana osoba fizyczna zażądała dokonania korekty lub usunięcia błędnych lub zbędnych danych, a podmiot gospodarczy przetwarzający informacje osobowe odrzucił takie żądanie. Jeżeli chodzi o prawa osób, których dane dotyczą, zgodnie z art. 28 ust. 1, art. 29 ust. 1 oraz art. 30 ust. 1 nadzór sprawowany przez Komisję ds. Ochrony Informacji Osobowych zapewniony jest dzięki przyznaniu jej uprawnień w zakresie egzekwowania odnośnych obowiązków podmiotu gospodarczego przetwarzającego informacje osobowe, o których to obowiązkach mowa w tych artykułach.

(100)

Zgodnie z art. 42 ust. 1 ustawy o ochronie informacji osobowych Komisja ds. Ochrony Informacji Osobowych może – w przypadku gdy stwierdzi, że istnieje „potrzeba ochrony praw i interesów jednostki w związku z naruszeniem przez [podmiot gospodarczy przetwarzający informacje osobowe]” określonych przepisów tej ustawy – wydać zalecenie w sprawie „zawieszenia działania stanowiącego naruszenie lub podjęcia innych działań niezbędnych do zaradzenia naruszeniu”. Takie zalecenie nie jest wiążące, ale zapewnia możliwość wydania wiążącego zarządzenia na podstawie art. 42 ust. 2 ustawy o ochronie informacji osobowych. Na podstawie tego przepisu, jeżeli zalecenie nie zostanie wykonane „bez prawnie uzasadnionych podstaw”, a Komisja ds. Ochrony Informacji Osobowych „uzna, że istnieje nieuchronne ryzyko poważnego naruszenia praw i interesów jednostki”, może ona nakazać podmiotowi gospodarczemu przetwarzającemu informacje osobowe podjęcie działania zgodnego z zaleceniem.

(101)

W przepisach uzupełniających doprecyzowano i zwiększono uprawnienia Komisji ds. Ochrony Informacji Osobowych w zakresie egzekwowania prawa. Ściślej rzecz ujmując, w przypadkach dotyczących danych odbieranych z Unii Europejskiej Komisja ds. Ochrony Informacji Osobowych zawsze uzna niepodjęcie, bez prawnie uzasadnionych podstaw, przez podmiot gospodarczy przetwarzający informacje osobowe działań zgodnych z zaleceniem wydanym przez komisję na podstawie z art. 42 ust. 1 za bezpośrednie, poważne naruszenie praw i interesów jednostki w rozumieniu art. 42 ust. 2, a zatem za naruszenie uprawniające do wydania wiążącego zarządzenia. Ponadto komisja ta za „prawnie uzasadnione podstawy” niezastosowania się do zalecenia uznaje jedynie „nadzwyczajne zdarzenia [uniemożliwiające zastosowanie się], niezależne od [podmiotu gospodarczego przetwarzającego informacje osobowe], których nie można racjonalnie przewidzieć (na przykład klęski żywiołowe)” lub przypadki, w których konieczność podjęcia działań przewidzianych w zaleceniu „przestała istnieć w związku z podjęciem przez [podmiot gospodarczy przetwarzający informacje osobowe] alternatywnych działań, które pozwoliły w całości zaradzić naruszeniu”.

(102)

Niezastosowanie się do zarządzenia Komisji ds. Ochrony Informacji Osobowych uznawane jest za przestępstwo zgodnie z art. 84 ustawy o ochronie informacji osobowych, a na podmiot gospodarczy przetwarzający informacje osobowe, który zostanie uznany za winny, może zostać nałożona kara pozbawienia wolności w wymiarze do 6 miesięcy z obowiązkiem wykonywania pracy lub kara grzywny w wysokości do 300 000 JPY. Ponadto zgodnie z art. 85 ppkt (i) tej ustawy brak współpracy z Komisją ds. Ochrony Informacji Osobowych lub utrudnianie jej dochodzenia podlega karze grzywny w wysokości do 300 000 JPY. Te sankcje karne stosuje się oprócz sankcji, które mogą być stosowane w przypadkach poważnych naruszeń stawy o ochronie informacji osobowych (zob. motyw 108).

(103)

W celu zapewnienia odpowiedniej ochrony, a zwłaszcza egzekwowania praw indywidualnych, osoba, której dane dotyczą, powinna mieć możliwość skutecznego dochodzenia roszczeń na drodze administracyjnej lub sądowej, w tym odszkodowania za szkody.

(104)

Przed przystąpieniem do dochodzenia roszczeń na drodze administracyjnej lub sądowej lub zamiast takiego dochodzenia osoba fizyczna może zdecydować się złożyć skargę w sprawie przetwarzania dotyczących jej danych osobowych bezpośrednio do administratora. Na podstawie art. 35 ustawy o ochronie informacji osobowych podmioty przetwarzające informacje osobowe dokładają starań, aby takie skargi były rozpatrywane w sposób „odpowiedni i natychmiastowy”, oraz ustanawiają w tym celu wewnętrzne systemy rozpatrywania skarg. Ponadto zgodnie z art. 61 pkt (ii) ustawy o ochronie informacji osobowych Komisja ds. Ochrony Informacji Osobowych jest odpowiedzialna za „przeprowadzenie niezbędnej mediacji w związku ze złożoną skargą i zaproponowanie współpracy podmiotowi gospodarczemu, który rozpatruje tę skargę”, co w obu aspektach obejmuje skargi wniesione przez cudzoziemców. W tym zakresie ustawodawca japoński powierzył instytucjom rządowym na szczeblu centralnym zadanie podejmowania „działań niezbędnych” do umożliwienia i ułatwienia rozpatrywania skarg przez podmioty gospodarcze przetwarzające informacje osobowe (art. 9), natomiast instytucje samorządowe na szczeblu lokalnym dokładają starań, aby zapewnić mediację w takich przypadkach (art. 13). W tej kwestii osoby fizyczne mogą składać skargi do jednego z 1 700 centrów konsumenckich założonych przez instytucje samorządowe na szczeblu lokalnym na podstawie ustawy w sprawie bezpieczeństwa konsumentów (61), a także do Krajowego Centrum Skarg Konsumenckich Japonii. Takie skargi można wnosić w związku z naruszeniem ustawy o ochronie informacji osobowych. Zgodnie z art. 19 podstawowej ustawy konsumenckiej (62) instytucje samorządowa na szczeblu lokalnym dokładają starań, aby uczestniczyć w mediacji w przypadku skarg i zapewniać stronom niezbędną wiedzę fachową. Te mechanizmy rozstrzygania sporów wydają się dość skuteczne – spośród ponad 75 000 skarg złożonych w 2015 r. spory rozstrzygnięto w 91,2 % przypadków.

(105)

Naruszenia przepisów ustawy o ochronie informacji osobowych przez podmiot gospodarczy przetwarzający informacje osobowe mogą stanowić podstawę do wniesienia powództwa cywilnego, wszczęcia postępowania karnego oraz do nałożenia sankcji karnych. Po pierwsze, jeżeli dana osoba fizyczna uzna, że naruszono jej prawa przewidziane w art. 28, 29 i 30 ustawy o ochronie informacji osobowych, może ona zwrócić się do sądu o wydanie nakazu sądowego, w którym podmiot gospodarczy przetwarzający informacje osobowe zostanie zobowiązany do spełnienia żądania tej osoby na podstawie jednego z powyższych przepisów, tj. do ujawnienia zatrzymanych danych osobowych (art. 28), sprostowania zatrzymanych danych osobowych, które są nieprawidłowe (art. 29), lub zaprzestania niezgodnego z prawem przetwarzania lub przekazywania danych osobie trzeciej (art. 30). Takie działanie można podjąć bez konieczności powoływania się na art. 709 kodeksu cywilnego (63) albo w inny sposób na prawo o czynach niedozwolonych (64). Przede wszystkim oznacza to, że na osobie fizycznej nie spoczywa obowiązek udowodnienia powstania szkody.

(106)

Po drugie, w przypadku gdy zarzucane naruszenie nie dotyczy praw indywidualnych przewidzianych w art. 28, 29 i 30, ale ogólnych zasad lub obowiązków podmiotu gospodarczego przetwarzającego informacje osobowe w zakresie ochrony danych, zainteresowana osoba fizyczna może wytoczyć powództwo cywilne przeciwko podmiotowi gospodarczemu na podstawie przepisów o czynach niedozwolonych japońskiego kodeksu cywilnego, zwłaszcza art. 709. W przypadku sprawy sądowej wytoczonej na podstawie art. 709 oprócz przesłanki winy (winy umyślnej lub niedbalstwa) wykazać należy szkodę, przy czym zgodnie z art. 710 kodeksu cywilnego taka szkoda może być zarówno materialna, jak i niematerialna. Nie ma ograniczeń co do kwoty kompensaty.

(107)

W kwestii dostępnych środków ochrony prawnej art. 709 japońskiego kodeksu cywilnego odwołuje się do odszkodowania pieniężnego. W japońskim orzecznictwie artykuł ten jest jednak interpretowany jako przyznający prawo do uzyskania sądowego nakazu powstrzymywania się od działania (65). W związku z powyższym, jeżeli osoba, której dane dotyczą, wnosi sprawę na podstawie art. 709 kodeksu cywilnego oraz twierdzi, że jej prawa lub interesy zostały naruszone w wyniku naruszenia przez pozwanego przepisów ustawy o ochronie informacji osobowych, roszczenie może obejmować, oprócz odszkodowania, żądanie wydania nakazu sądowego, przede wszystkim w celu wstrzymania przetwarzania niezgodnego z prawem.

(108)

Po trzecie, oprócz środków służących ochronie interesu prawnego przewidzianych w prawie cywilnym (przepisach o czynach niedozwolonych) osoba, której dane dotyczą, może złożyć w prokuraturze lub w policji sądowej zawiadomienie w sprawie naruszenia ustawy o ochronie informacji osobowych, na podstawie którego mogą zostać nałożone sankcje karne. W rozdziale VII tej ustawy znajduje się szereg przepisów karnych. Najważniejszy z nich (art. 84) dotyczy niestosowania się przez podmiot gospodarczy przetwarzający informacje osobowe do zarządzeń Komisji ds. Ochrony Informacji Osobowych wydanych na podstawie art. 42 ust. 2 i 3. Jeżeli podmiot gospodarczy nie zastosuje się do zarządzenia wydanego przez komisję, jej przewodniczący (oraz każdy inny urzędnik rządowy) (66) może przekazać sprawę prokuratorowi lub funkcjonariuszowi policji sądowej, doprowadzając tym samym do wszczęcia postępowania karnego. Za naruszenie zarządzenia komisji grozi kara pozbawienia wolności w wymiarze do sześciu miesięcy z obowiązkiem wykonywania pracy lub kara grzywny w wysokości do 300 000 JPY. Do pozostałych przepisów ustawy o ochronie informacji osobowych, które przewidują sankcje za jej naruszenia mające wpływ na prawa i interesy osób, których dane dotyczą, zalicza się art. 83 (dotyczący „ukradkowego zapewniania lub wykorzystywania” bazy informacji osobowych „w celu czerpania […] nielegalnych korzyści”) oraz art. 88 ppkt (i) (dotyczący niedostarczenia przez osobę trzecią właściwych informacji na rzecz podmiotu gospodarczego przetwarzającego informacje osobowe, gdy otrzymuje on dane osobowe zgodnie z art. 26 ust. 1 ustawy o ochronie informacji osobowych, zwłaszcza szczegółowych informacji o własnym, wcześniejszym pozyskaniu takich danych przez osobę trzecią). Kary mające zastosowanie w przypadku takich naruszeń ustawy to, odpowiednio, kara pozbawienia wolności w wymiarze do jednego roku z obowiązkiem wykonywania pracy lub kara grzywny w wysokości do 500 000 JPY (w przypadku art. 83) lub kara grzywny administracyjnej w wysokości do 100 000 JPY (w przypadku art. 88 ppkt (i)). Chociaż już sama groźba sankcji karnej prawdopodobnie będzie mieć duży skutek odstraszający dla zarządu przedsiębiorstwa, który w imieniu podmiotu gospodarczego przetwarzającego informacje osobowe kieruje operacjami przetwarzania, jak również dla osób przetwarzających dane, w art. 87 ustawy o ochronie informacji osobowych doprecyzowano, że w przypadku gdy przedstawiciel, pracownik lub inny zatrudniony w przedsiębiorstwie dopuścił się naruszenia zgodnie z art. 83–85 tej ustawy, „sprawca podlegać będzie odpowiedzialności karnej oraz na tę osobę prawną zostanie nałożona grzywna określona w odpowiednich przepisach”. W takim przypadku sankcje, nawet w wysokości maksymalnej, można nałożyć zarówno na pracownika, jak i na przedsiębiorstwo.

(109)

Wreszcie osoby fizyczne mogą również dochodzić roszczeń z tytułu działań lub zaniechań Komisji ds. Ochrony Informacji Osobowych. Pod tym względem w japońskim prawie przewidziano szereg możliwości dochodzenia roszczeń na drodze administracyjnej i sądowej.

(110)

Jeżeli dana osoba fizyczna jest niezadowolona z przebiegu działań podjętych przez Komisję ds. Ochrony Informacji Osobowych, może ona na podstawie ustawy o skargach administracyjnych złożyć taką skargę (67). Jeżeli dana osoba fizyczna uzna natomiast, że Komisja ds. Ochrony Informacji Osobowych powinna była podjąć działania, ale tego nie uczyniła, może ona zgodnie z art. 36-3 tej ustawy zażądać od komisji wydania zarządzenia lub wytycznych administracyjnych, jeżeli uzna, że „zarządzenie lub wytyczne administracyjne niezbędne do skorygowania naruszenia nie zostały przedstawione lub wydane”.

(111)

Jeżeli chodzi o dochodzenie roszczeń na drodze sądowej, zgodnie z ustawą o sporach administracyjnych osoba fizyczna, która jest niezadowolona z zarządzenia administracyjnego wydanego przez Komisję ds. Ochrony Informacji Osobowych, może wystąpić bezpośrednio do sądu o wydanie nakazu wykonania obowiązku (ang. mandamus) (68) zobowiązującego komisję do podjęcia dalszych działań (69). W niektórych przypadkach sąd może wydać tymczasowy nakaz wykonania określonego obowiązku, aby zapobiec nieodwracalnym szkodom (70). Ponadto na podstawie tej samej ustawy osoba fizyczna może dochodzić stwierdzenia nieważności decyzji Komisji ds. Ochrony Informacji Osobowych (71).

(112)

Wreszcie na podstawie art. 1 ust. 1 ustawy o odszkodowaniu państwowym osoba fizyczna może również wnieść przeciwko Komisji ds. Ochrony Informacji Osobowych powództwo o odszkodowanie wypłacane przez państwo, jeżeli poniosła ona straty w związku z faktem, że zarządzenie wydane przez komisję dla podmiotu gospodarczego było niezgodne z prawem lub komisja nie wykonała swoich uprawnień.

(113)

Komisja dokonała również oceny ograniczeń i zabezpieczeń, w tym mechanizmów nadzoru i indywidualnego dochodzenia roszczeń, które są dostępne w japońskim prawie w odniesieniu do zbierania i późniejszego wykorzystywania danych osobowych przekazywanych przez organy publiczne podmiotom gospodarczym w Japonii w interesie publicznym, zwłaszcza do celów ścigania przestępstw i na potrzeby bezpieczeństwa narodowego („dostęp rządowy”). W tej kwestii rząd Japonii przekazał Komisji oficjalne oświadczenia, zapewnienia i zobowiązania podpisane na najwyższym szczeblu ministerialnym i na poziomie agencji, zawarte w załączniku II do niniejszej decyzji.

(114)

W ramach wykonywania władzy publicznej umożliwienie dostępu rządowego w Japonii musi przebiegać przy pełnym poszanowaniu prawa (zasada legalności). Pod tym względem przepisy japońskiej konstytucji zawierają ograniczenia i ramy dotyczące zbierania danych osobowych przez organy publiczne. Jak już wspomniano w odniesieniu do przetwarzania danych przez podmioty gospodarcze, opierając się na art. 13 konstytucji, który przewiduje między innymi ochronę prawa do wolności, japoński Sąd Najwyższy uznał prawo do prywatności i ochrony danych (72). Jednym z ważnych aspektów tego prawa jest wolność gwarantująca nieujawnianie informacji osobowych osobie trzeciej bez zezwolenia (73). Oznacza to prawo do skutecznej ochrony danych osobowych przed nadużyciami i (przede wszystkim) nielegalnym dostępem. Dodatkową ochronę zapewniono w art. 35 konstytucji dotyczącym prawa wszystkich osób do nienaruszalności domostwa, dokumentów i mienia, chyba że organy publiczne, we wszystkich przypadkach „przeszukania i zajęcia”, uzyskały nakaz sądowy wydany z „uzasadnionych przyczyn” (74). W wyroku z dnia 15 marca 2017 r. (sprawa GPS) Sąd Najwyższy wyjaśnił, że ów wymóg uzyskania nakazu ma zastosowanie każdorazowo w przypadku gdy rząd narusza („wkracza w”) prywatną sferę danej osoby w sposób powstrzymujący jej wolę, posługując się tym samym środkami, które są właściwe dla „obligatoryjnego ścigania”. Sędzia może wydać taki nakaz wyłącznie na podstawie konkretnego podejrzenia popełnienia przestępstwa, tj. po otrzymaniu dokumentacji dowodowej, na podstawie której można uznać, że osoba, której dotyczy dochodzenie, popełniła przestępstwo (75). W związku z powyższym japońskie władze nie mają prawnych kompetencji do zbierania informacji osobowych za pomocą środków przymusowych w sytuacjach, gdy nie doszło jeszcze do naruszenia prawa (76), na przykład aby zapobiec przestępstwu lub innemu zagrożeniu dla bezpieczeństwa (jak w przypadku dochodzenia ze względu na bezpieczeństwo narodowe).

(115)

Z zastrzeżeniem praworządności wszelkie przypadki zbierania danych w ramach obowiązkowego dochodzenia muszą być wyraźnie dopuszczone przez prawo (co odzwierciedlono na przykład w art. 197 ust. 1 kodeksu postępowania karnego dotyczącym przymusowego zbierania informacji na potrzeby dochodzenia). Wymóg ten dotyczy również dostępu do informacji elektronicznych.

(116)

Przede wszystkim w art. 21 ust. 2 konstytucji zagwarantowano poufność wszystkich środków komunikacji, przy czym zgodnie z przepisami ograniczenia dozwolone są tylko ze względów dotyczących interesu publicznego. W art. 4 ustawy o działalności telekomunikacyjnej, zgodnie z którym zabrania się naruszania poufności komunikacji obsługiwanej przez operatora telekomunikacyjnego, ten wymóg zachowania poufności wdrożono na szczeblu ustawowym. Przepis ten interpretuje się jako zakaz ujawniania informacji ze środków komunikacji, chyba że uzyskano zgodę użytkowników lub jeżeli podstawą jest jedno z wyraźnych zwolnień z odpowiedzialności karnej przewidzianych w kodeksie karnym (77).

(117)

W konstytucji zagwarantowano również prawo dostępu do sądów (art. 32) oraz prawo do pozwania państwa w celu dochodzenia roszczeń, jeżeli osoba fizyczna poniosła szkodę wskutek nielegalnego działania funkcjonariusza publicznego (art. 17).

(118)

Jeżeli chodzi w szczególności o prawo do ochrony danych, w rozdziale III sekcje 1, 2 i 3 ustawy o ochronie informacji osobowych zawarto ogólne zasady w tym zakresie obejmujące wszystkie sektory, w tym sektor publiczny. W szczególności art. 3 tej ustawy stanowi, że wszystkie informacje osobowe należy przetwarzać zgodnie z zasadą poszanowania dóbr osobistych osób fizycznych. Po zebraniu („uzyskaniu”) informacji osobowych, w tym na podstawie zapisów elektronicznych, przez organy publiczne (78) kwestia przetwarzania tych informacji regulowana jest przez ustawę o ochronie informacji osobowych znajdujących się w posiadaniu organów administracji (79). Co do zasady dotyczy to (80) również przetwarzania informacji osobowych do celów ścigania przestępstw lub na potrzeby bezpieczeństwa narodowego. Ustawa o ochronie informacji osobowych znajdujących się w posiadaniu organów administracji stanowi między innymi, że organy publiczne: (i) mogą zatrzymywać informacje osobowe wyłącznie w zakresie, w jakim jest to niezbędne do wykonywania ich obowiązków; (ii) nie wykorzystują takich informacji do „bezpodstawnego” celu ani nie ujawniają ich osobie trzeciej bez uzasadnienia; (iii) określają cel i nie zmieniają go poza zakres, jaki można racjonalnie uznać za istotny dla pierwotnego celu (ograniczenie celu); (iv) co do zasady nie wykorzystują zatrzymanych informacji osobowych ani nie przekazują ich osobie trzeciej do innych celów oraz, jeżeli uznają to za stosowne, wprowadzają ograniczenia dotyczące celu lub metody wykorzystania przez osoby trzecie; (v) dążą do zapewnienia poprawności informacji (jakości danych); (vi) podejmują środki niezbędne do właściwego zarządzania informacjami oraz mające na celu zapobieganie wyciekowi, utracie lub uszkodzeniu (bezpieczeństwo danych) oraz (vii) dążą do właściwego i sprawnego rozpatrzenia wszelkich skarg dotyczących przetwarzania informacji (81).

(119)

W japońskim prawie ustanowiono szereg ograniczeń w zakresie dostępu do danych osobowych i korzystania z nich na potrzeby ścigania przestępstw, a także mechanizmy nadzoru i dochodzenia roszczeń, które stanowią wystarczające zabezpieczenia dla skutecznej ochrony danych przed niezgodną z prawem ingerencją i ryzykiem nadużycia.

(120)

Zgodnie z japońskimi ramami prawnymi zbieranie informacji elektronicznych do celów ścigania przestępstw jest dopuszczalne na podstawie nakazu (zbieranie przymusowe) lub wniosku o dobrowolne ujawnienie.

(121)

Jak wskazano w motywie 115, wszelkie przypadki zbierania danych w ramach obligatoryjnego postępowania przygotowawczego muszą być wyraźnie dopuszczane przez prawo i są możliwe wyłącznie na podstawie nakazu sądowego „wydanego z uzasadnionych przyczyn” (art. 35 konstytucji). W odniesieniu do postępowań przygotowawczych dotyczących przestępstw wymóg ten został odzwierciedlony w przepisach kodeksu postępowania karnego. Zgodnie z art. 197 ust. 1 kodeksu postępowania karnego środki przymusowe „nie są stosowane, chyba że w niniejszym kodeksie ustanowiono przepisy szczegółowe”. W kwestii zbierania informacji elektronicznych jedyną odpowiednią (82) podstawę prawną w tym zakresie stanowią art. 218 (przeszukanie i zajęcie) oraz art. 222-2 kodeksu postępowania karnego, zgodnie z którymi środki przymusowe dotyczące przechwytywania wiadomości elektronicznych bez zgody którejkolwiek ze stron podejmowane są na podstawie przepisów innych ustaw, a mianowicie ustawy o zakładaniu podsłuchów na potrzeby postępowań przygotowawczych („ustawa o zakładaniu podsłuchów”). W obu przypadkach wymagany jest nakaz.

(122)

Ściślej rzecz ujmując, zgodnie z art. 218 ust. 1 kodeksu postępowania karnego prokurator, asystent prokuratora lub funkcjonariusz policji sądowej może, jeżeli jest to konieczne do przeprowadzenia postępowania przygotowawczego w sprawie przestępstwa, dokonać przeszukania lub zajęcia (w tym zażądać dokumentacji) po okazaniu nakazu wydanego z wyprzedzeniem przez sędziego (83). Taki nakaz zawiera między innymi imię i nazwisko podejrzanego lub oskarżonego, postawione zarzuty (84), dokumentację utrwaloną elektromagnetycznie podlegającą zajęciu oraz wskazanie dotyczące „miejsca lub rzeczy”, które należy poddać kontroli (art. 219 ust. 1 kodeksu postępowania karnego).

(123)

Jeżeli chodzi o przechwytywanie wiadomości, art. 3 ustawy o zakładaniu podsłuchów stanowi, że takie środki są dopuszczalne tylko wtedy, gdy spełnione są surowe wymogi. W szczególności organy publiczne mają obowiązek z wyprzedzeniem uzyskać nakaz sądowy, który może być wydany jedynie w odniesieniu do postępowań przygotowawczych dotyczących szczególnie poważnych przestępstw (wymienionych w załączniku do ustawy) (85) oraz w przypadku gdy „bardzo trudno jest w inny sposób wskazać przestępcę lub wyjaśnić okoliczności/szczegóły dotyczące przestępstwa” (86). Zgodnie z art. 5 ustawy o zakładaniu podsłuchów nakaz wydaje się na czas oznaczony, przy czym sąd może ustanowić warunki dodatkowe. Ponadto w ustawie o zakładaniu podsłuchów przewidziano szereg dalszych gwarancji, takich jak niezbędna obecność świadków (art. 12 i 20), zakaz przekazywania informacji przez niektóre grupy uprzywilejowane (np. lekarze, prawnicy) (art. 15), obowiązek zaprzestania stosowania podsłuchów, jeżeli nie ma to już uzasadnienia, nawet w okresie ważności nakazu (art. 18), lub ogólny obowiązek powiadamiania danej osoby oraz umożliwienia dostępu do dokumentacji w terminie 30 dni od dnia, w którym zakończono stosowanie podsłuchów (art. 23 i 24).

(124)

W odniesieniu do wszelkich obligatoryjnych środków mających za podstawę wydany nakaz badanie można prowadzić tylko w takim zakresie, w „jakim jest niezbędne do osiągnięcia tego celu”, tzn. jeżeli celów ścigania nie można osiągnąć w żaden inny sposób (art. 197 ust. 1 kodeksu postępowania karnego). Chociaż w ustawie bliżej nie określono kryteriów ustalenia stopnia niezbędności, japoński Sąd Najwyższy orzekł, że sędzia, który wydaje nakaz, powinien dokonać ogólnej oceny, uwzględniając przede wszystkim: (i) ciężar przestępstwa i sposób, w jaki zostało ono popełnione; (ii) wartość i znaczenie materiałów, które zostaną zajęte jako środki dowodowe; (iii) prawdopodobieństwo (ryzyko) ukrycia lub zniszczenia środków dowodowych oraz (iv) stopień, w jakim zajęcie może spowodować szkody dla danej osoby fizycznej (87).

(125)

Organy publiczne, w granicach swoich uprawnień, mogą również zbierać informacje elektroniczne na podstawie wniosku o dobrowolne ujawnienie. Odnosi się to do nieprzymusowej formy współpracy w przypadku gdy nie można wyegzekwować zastosowania się do wniosku (88); jednocześnie można w ten sposób zwolnić organy publiczne z obowiązku uzyskania nakazu sądowego.

(126)

Podmiot gospodarczy musi przestrzegać wymogów ustawy o ochronie informacji osobowych w zakresie, w jakim wniosek jest skierowany do podmiotu gospodarczego i dotyczy informacji osobowych. Zgodnie z art. 23 ust. 1 ustawy o ochronie informacji osobowych podmiot gospodarczy może ujawnić informacje osobowe osobom trzecim bez zgody zainteresowanej osoby fizycznej tylko w określonych sytuacjach, w tym w przypadku gdy dane są ujawniane „na podstawie przepisów ustawowych i wykonawczych” (89). Jeżeli chodzi o ściganie przestępstw, podstawę prawną dla takich wniosków stanowi art. 197 ust. 2 kodeksu postępowania karnego, zgodnie z którym „organizacje prywatne mogą zostać wezwane do zgłoszenia niezbędnych kwestii związanych z dochodzeniem”. Ponieważ zastosowanie „karty z zapytaniem” samo w sobie jest dopuszczalne jedynie w ramach postępowania przygotowawczego, zawsze zakłada ono konkretne podejrzenie już popełnionego przestępstwa (90). Ponadto, z uwagi na fakt, że takie postępowania przygotowawcze prowadzi zazwyczaj policja prefekturalna, zastosowanie mają ograniczenia przewidziane w art. 2 ust. 2 ustawy o policji (91). Zgodnie z tym przepisem działalność policji jest „ściśle ograniczona” do wypełniania jej zadań i obowiązków (tzn. do zapobiegania przestępstwom, ich zwalczania oraz prowadzenia dochodzeń w ich sprawie). Ponadto policja w ramach wykonywania swoich obowiązków obowiązana jest działać w sposób bezstronny, wolny od uprzedzeń i uczciwy oraz nie może w żadnej sytuacji nadużywać swoich uprawnień „w sposób, który ingeruje w prawa i wolności osoby fizycznej zagwarantowane w konstytucji Japonii” (w tym, jak wskazano powyżej, prawo do prywatności i ochrony danych) (92).

(127)

Zwłaszcza w odniesieniu do art. 197 ust. 2 kodeksu postępowania cywilnego Agencja Policji Krajowej – jako organ federalny odpowiadający między innymi za wszystkie kwestie dotyczące policji kryminalnej – wydała instrukcje dla policji prefekturalnej (93) w sprawie „właściwego stosowania zapytań na piśmie w czynnościach dochodzeniowo-śledczych”. Zgodnie z tym zawiadomieniem wnioski można składać, korzystając z ustanowionego wcześniej formularza („formularz nr 49” lub tzw. „karta z zapytaniem”) (94) w sprawie dokumentacji „dotyczącej określonego postępowania przygotowawczego”, z kolei informacje objęte wnioskiem muszą być „niezbędne do przeprowadzenia [danego] postępowania przygotowawczego”. W każdym przypadku osoba kierująca postępowaniem przygotowawczym „w pełni bada konieczność, treść itp. danego zapytania” oraz musi otrzymać wewnętrzne upoważnienie od urzędnika wysokiego szczebla.

(128)

Ponadto w dwóch wyrokach z 1969 r. i 2008 r. (95) japoński Sąd Najwyższy ustanowił ograniczenia w odniesieniu do środków nieprzymusowych, które ingerują w prawo do prywatności (96). Przede wszystkim Sąd Najwyższy uznał, że takie środki muszą być „racjonalne” i mieścić się w „ogólnie dopuszczalnych granicach”, tzn. muszą być one niezbędne do przeprowadzenia postępowania przygotowawczego dotyczącego podejrzanego (gromadzenia środków dowodowych) oraz podejmowane „za pomocą metod właściwych dla osiągnięcia celu postępowania przygotowawczego” (97). Z wyroków wynika, że pociąga to ze sobą konieczność analizy proporcjonalności przy uwzględnieniu wszystkich okoliczności sprawy (np. stopnia ingerencji w prawo do prywatności, włączając w to oczekiwania dotyczące prywatności, ciężar przestępstwa, prawdopodobieństwo uzyskania przydatnych środków dowodowych, znaczenie tych środków, ewentualne środki alternatywne w ramach dochodzenia itd.) (98).

(129)

Oprócz tych ograniczeń w zakresie wykonywania władzy publicznej oczekuje się, że podmioty gospodarcze same będą sprawdzać („potwierdzać”) konieczność i „racjonalność” przekazywania danych osoby trzeciej (99). Dotyczy to kwestii, czy prawo zabrania im podejmowania współpracy. Takie sprzeczne obowiązki prawne mogą wynikać w szczególności z obowiązków zachowania poufności, takich jak przewidzianych w art. 134 kodeksu karnego (dotyczącym relacji między lekarzem, prawnikiem, duchownym itd. a klientem). Ponadto „każda osoba prowadząca działalność telekomunikacyjną jest podczas pełnienia swoich obowiązków zobowiązana do zachowania tajemnic innych osób, o których dowiedziała się w związku z wiadomościami przetwarzanymi przez operatora telekomunikacyjnego” (art. 4 ust. 2 ustawy o działalności telekomunikacyjnej). Obowiązek ten wsparto sankcją przewidzianą w art. 179 ustawy o działalności telekomunikacyjnej, zgodnie z którym każda osoba dopuszczająca się naruszenia tajemnicy wiadomości przetwarzanych przez operatora telekomunikacyjnego jest winna popełnienia przestępstwa i podlega karze pozbawienia wolności w wymiarze do dwóch lat z obowiązkiem wykonywania pracy lub karze grzywny w wysokości do jednego mln jenów (100). Chociaż powyższy wymóg nie jest bezwzględny i w szczególności dopuszczalne są środki naruszające tajemnicę wiadomości, które stanowią „uzasadnione działania” w rozumieniu art. 35 kodeksu karnego, wyjątek ten nie obejmuje odpowiedzi na nieobligatoryjne wnioski organów publicznych w sprawie ujawnienia informacji elektronicznych na podstawie art. 197 ust. 2 kodeksu postępowania karnego (101).

(130)

Zebrane przez japońskie organy publiczne informacje osobowe podlegają ustawie o ochronie informacji osobowych znajdujących się w posiadaniu organów administracji. W ustawie uregulowano kwestię przetwarzania „zatrzymanych informacji osobowych” oraz nałożono jak dotychczas szereg ograniczeń i zabezpieczeń (zob. motyw 118) (102). Ograniczenia – przynajmniej pośrednie – dotyczące wstępnego zbierania informacji wynikają ponadto z tego, że organ administracyjny może zatrzymać informacje osobowe „tylko wtedy, gdy zatrzymanie jest niezbędne do przeprowadzenia czynności podlegających jego jurysdykcji, przewidzianych w przepisach ustawowych i wykonawczych” (art. 3 ust. 1 ustawy o ochronie informacji osobowych znajdujących się w posiadaniu organów administracji).

(131)

W Japonii zbieranie informacji elektronicznych w obszarze ścigania przestępstw wchodzi przede wszystkim (103) w zakres obowiązków policji prefekturalnej (104), która w tej kwestii podlega nadzorowi różnego szczebla.

(132)

Po pierwsze, we wszystkich przypadkach, w których ma miejsce zbieranie informacji za pomocą środków przymusowych, policja musi z wyprzedzeniem uzyskać nakaz sądowy (zob. motyw 121). W związku z powyższym zbieranie informacji w takich przypadkach podlega ocenie ex ante przeprowadzanej przez sędziego w oparciu o ścisłą normę „uzasadnionych przyczyn”.

(133)

Choć w przypadku wniosków o dobrowolne ujawnienie informacji sędzia nie dokonuje oceny ex ante, podmioty gospodarcze, które otrzymują takie wnioski, mogą zgłosić sprzeciw, nie narażając się na jakiekolwiek negatywne skutki (podmioty te muszą uwzględnić wpływ ujawnienia na prywatność). Ponadto zgodnie z art. 192 ust. 1 kodeksu postępowania karnego funkcjonariusze policji mają zawsze obowiązek współpracować z prokuratorem (oraz Prefekturalną Komisją ds. Bezpieczeństwa Publicznego) i koordynować z nimi swoje działania (105). Z kolei prokurator może przekazać niezbędne instrukcje ogólne, w których określone zostaną normy uczciwego prowadzenia postępowań przygotowawczych, lub wydać określone zarządzenia w odniesieniu do danego postępowania przygotowawczego (art. 193 kodeks postępowania karnego). W przypadku nieprzestrzegania tych instrukcji lub zarządzeń prokuratura może wnieść o wszczęcie postępowania dyscyplinarnego (art. 194 kodeksu postępowania karnego). Policja prefekturalna działa zatem pod nadzorem prokuratora.

(134)

Po drugie, zgodnie z art. 62 konstytucji każda z izb japońskiego parlamentu (Diet) może prowadzić postępowania przygotowawcze w sprawach dotyczących kierowania państwem, w tym w zakresie zgodności zbierania informacji przez policję z prawem. W tym celu każda z izb może żądać stawienia się i złożenia zeznań przez świadków lub przedłożenia dokumentów. Te uprawnienia w zakresie zapytań doprecyzowano w ustawie o Diet, w szczególności w rozdziale XII. W szczególności art. 104 ustawy o Diet stanowi, że Rada Ministrów, agencje publiczne i inne organy rządowe „obowiązane są stosować się do wniosków izby i wszelkich jej komitetów w sprawie przedłożenia sprawozdań i dokumentów niezbędnych do celów postępowania przygotowawczego”. Odmowa wykonania jest dopuszczalna tylko wtedy, gdy rząd przedstawi wiarygodne uzasadnienie, które Diet uzna za wystarczające, lub jeżeli wydano oficjalne oświadczenie, że przedłożenie sprawozdań lub dokumentów stanowiłoby „poważną szkodę dla interesu narodowego” (106). Co więcej, członkowie parlamentu mogą składać na piśmie zapytania Radzie Ministrów (art. 74 i 75 ustawy o Diet), a w przeszłości takie „zapytania na piśmie” dotyczyły również przetwarzania informacji osobowych przez organy administracji (107). Funkcję nadzorczą Diet względem władzy wykonawczej wzmacniają obowiązki sprawozdawcze, np. te wynikające z art. 29 ustawy o zakładaniu podsłuchów.

(135)

Po trzecie, w zakresie władzy wykonawczej niezależnemu nadzorowi podlega również policja prefekturalna. Dotyczy to w szczególności Prefekturalnych Komisji ds. Bezpieczeństwa Publicznego ustanowionych na szczeblu prefekturalnym w celu zapewnienia zarządzania demokratycznego i neutralności politycznej w policji (108). W skład tych komisji wchodzą członkowie powoływani przez gubernatora prefektury za zgodą Zgromadzenia Prefekturalnego (spośród obywateli, którzy nie zajmują w ciągu ostatnich pięciu lat stanowiska funkcjonariusza publicznego w policji) na określoną kadencję (w szczególności odwołanie może nastąpić tylko z ważnego powodu) (109). Jeżeli chodzi o uzyskiwanie przez nich informacje, nie podlegają oni instrukcjom i można ich tym samym uznać za całkowicie niezależnych (110). Jeżeli chodzi o zadania i uprawnienia Prefekturalnych Komisji ds. Bezpieczeństwa Publicznego, zgodnie z art. 38 ust. 3 w związku z art. 2 i art. 36 ust. 2 ustawy o policji są one odpowiedzialne za „ochronę praw i wolności jednostki”. W tym celu są one uprawnione do „sprawowania nadzoru” (111) nad wszelkimi czynnościami dochodzeniowo-śledczymi policji prefekturalnej, w tym w zakresie zbierania danych osobowych. W szczególności komisje „w stosownych przypadkach mogą wydawać [p]olicji [p]refekturalnej szczegółowe instrukcje lub w sprawach indywidualnych kontroli w związku z przewinieniami funkcjonariuszy policji” (112). Jeżeli szef policji prefekturalnej (113) otrzymał takie polecenie lub sam dowiedział się o potencjalnym przypadku przewinienia (w tym o naruszeniu przepisów lub zaniedbaniu obowiązków), jest on obowiązany niezwłocznie zbadać sprawę i przekazać wyniki przeprowadzonych w tym zakresie czynności Prefekturalnej Komisji ds. Bezpieczeństwa Publicznego (art. 56 ust. 3 ustawy o policji). Jeżeli komisja uzna to za konieczne, może również wyznaczyć jednego ze swoich członków do przeprowadzenia kontroli stanu wdrożenia. Postępowanie trwa, dopóki komisja nie uzna, że sprawa incydentu została rozwiązana we właściwy sposób.

(136)

Ponadto w odniesieniu do właściwego stosowania ustawy o ochronie informacji osobowych znajdujących się w posiadaniu organów administracji uprawnienia w zakresie egzekwowania prawa posiada właściwy minister lub szef agencji (np. komisarz generalny Agencji Policji Państwowej), z zastrzeżeniem nadzoru Ministerstwa Spraw Wewnętrznych i Komunikacji. Zgodnie z art. 49 tej ustawy Ministerstwo Spraw Wewnętrznych i Komunikacji „może gromadzić sprawozdania na temat stanu wykonania przepisów niniejszej ustawy” pochodzące od dyrektorów organów administracyjnych (ministrów). Tę funkcję nadzorczą wspomagają dane otrzymywane od 51 „centrów informacji ogólnej” Ministerstwa Spraw Wewnętrznych i Komunikacji (po jednym przypadającym na każdą prefekturę w całej Japonii), z czego każde co roku odpowiada na tysiące zapytań od osób fizycznych (114) (co z kolei umożliwia wykrywanie ewentualnych naruszeń prawa). Ministerstwo Spraw Wewnętrznych i Komunikacji może, jeżeli uzna to za niezbędne do zapewnienia zgodności z ustawą, żądać przedłożenia wyjaśnień i materiałów oraz wydawać opinie w sprawie przetwarzania informacji osobowych przez dany organ administracyjny (art. 50 i 51 ustawy o ochronie informacji osobowych znajdujących się w posiadaniu organów administracji).

(137)

Oprócz ochrony wynikającej z nadzoru z urzędu osoby fizyczne mają również szereg możliwości dochodzenia roszczeń, zarówno za pośrednictwem niezależnych organów (takich jak Prefekturalne Komisje ds. Bezpieczeństwa Publicznego lub Komisja ds. Ochrony Informacji Osobowych), jak i przed japońskimi sądami.

(138)

Po pierwsze, w odniesieniu do informacji osobowych zbieranych przez organy administracyjne te ostatnie są zobligowane do „dążenia do właściwego i sprawnego rozpatrywania wszelkich skarg” dotyczących dalszego przetwarzania tych informacji (art. 48 ustawy o ochronie informacji osobowych znajdujących się w posiadaniu organów administracji). Chociaż rozdziału IV przywołanej ustawy dotyczącego praw indywidualnych nie stosuje się do informacji osobowych utrwalonych w „dokumentach związanych z procesami sądowymi i zajętymi rzeczami” (art. 53-2 ust. 2 kodeksu postępowania karnego) – które obejmują informacje osobowe zbierane w ramach postępowań przygotowawczych – osoby fizyczne mogą złożyć skargę w celu powołania się na ogólne zasady ochrony danych, takie jak na przykład obowiązek zatrzymania informacji osobowych tylko wtedy, „gdy zatrzymanie jest niezbędne do pełnienia [funkcji w zakresie egzekwowania prawa]” (art. 3 ust. 1 ustawy o ochronie informacji osobowych znajdujących się w posiadaniu organów administracji).

(139)

Ponadto art. 79 ustawy o policji stanowi, że osobom fizycznym, które są zaniepokojone „wykonywaniem obowiązków” przez personel policji, przysługuje prawo skargi do (właściwej) niezależnej Prefekturalnej Komisji ds. Bezpieczeństwa Publicznego. Komisja „skrupulatnie” rozpatruje takie skargi zgodnie z przepisami ustawowymi i regulacjami lokalnymi oraz zawiadamia na piśmie skarżącego o to, co z jego skargi wynikło. Na podstawie uprawnień w zakresie nadzoru i „wydawania poleceń” dotyczących „przewinień pracowników” (art. 38 ust. 3, art. 43-2 ust. 1 ustawy o policji) komisja może zażądać od policji prefekturalnej zbadania okoliczności faktycznych, zastosowania właściwych środków na podstawie wyników postępowania sprawdzającego i przedłożenia sprawozdania z wyników. Jeżeli komisja uzna, że postępowanie przygotowawcze przeprowadzone przez policję było nieodpowiednie, komisja może również przekazać instrukcje w sprawie rozpatrywania skargi.

(140)

W celu ułatwienia rozpatrywania skarg Agencja Policji Państwowej wydała „zawiadomienie” skierowane do policji i Prefekturalnych Komisji ds. Bezpieczeństwa Publicznego w sprawie właściwego rozpatrywania skarg dotyczących wykonywania obowiązków przez funkcjonariuszy policji. W dokumencie tym Agencja Policji Państwowej określiła normy dotyczące interpretacji i wdrażania art. 79 ustawy o policji. Policję prefekturalną zobowiązano między innymi do ustanowienia „systemu rozpatrywania skarg” oraz rozpatrywania wszystkich skarg i zgłaszania ich „niezwłocznie” właściwej Prefekturalnej Komisji ds. Bezpieczeństwa Publicznego. W zawiadomieniu skargę określa się jako żądanie naprawienia „wszelkich szczególnych niedogodności wyrządzonych bezprawnym lub niewłaściwym postępowaniem” (115) lub „zaniechaniem niezbędnych działań przez funkcjonariusza policji podczas wykonywania obowiązków służbowych” (116), a także każdego rodzaju „ubolewanie/niezadowolenie z powodu niewłaściwego sposobu wykonywania obowiązków służbowych przez funkcjonariusza policji”. Zakres przedmiotowy skargi jest zatem zdefiniowany szeroko i obejmuje wszelkie żądania związane z bezprawnym zbieraniem danych, a skarżącym nie spoczywa obowiązek wykazania jakiejkolwiek szkody doznanej w wyniku działań funkcjonariusza policji. Co istotne, komunikat stanowi, że (m.in.) obcokrajowcom udziela się pomocy przy formułowaniu skargi. Po otrzymaniu skargi Prefekturalne Komisje ds. Bezpieczeństwa Publicznego obowiązane są zapewnić, aby policja prefekturalna zbadała okoliczności faktyczne, wdrożyła środki „zgodnie z wynikami badania” oraz przedłożyła sprawozdanie z wyników. Jeżeli komisja uzna, że badanie było niewystarczające, wydaje ona instrukcję w sprawie rozpatrywania skargi, zgodnie z którą policja prefekturalna ma obowiązek postępować. Na podstawie otrzymanych sprawozdań i zastosowanych środków komisja zawiadamia osobę fizyczną, wskazując między innymi środki, które zastosowano w celu rozpatrzenia skargi. W zawiadomieniu Agencja Policji Państwowej zaznaczyła, że skargi należy rozpatrywać w „uczciwy sposób”, a wyniki należy przekazać „w terminie […] uznawanym w świetle norm społecznych i zdrowego rozsądku za właściwy”.

(141)

Po drugie, z uwagi na fakt, że za granicą z istoty roszczeń trzeba dochodzić w obcym systemie i języku, aby ułatwić dochodzenie roszczeń przez osoby fizyczne z UE, których dane osobowe są przekazywane podmiotom gospodarczym w Japonii, a następnie dostęp do nich mają organy publiczne, rząd Japonii wykorzystał swoje uprawnienia do opracowania szczególnego mechanizmu rozpatrywania i rozstrzygania skarg w powyższym zakresie, którym to systemem zarządza i nad którym nadzór sprawuje Komisja ds. Ochrony Informacji Osobowych. Mechanizm ten opiera się na obowiązku współpracy nałożonym na japońskie organy publiczne zgodnie z ustawą o ochronie informacji osobowych oraz na szczególnej roli Komisji ds. Ochrony Informacji Osobowych w odniesieniu do międzynarodowego przekazywania danych z państw trzecich zgodnie z art. 6 tej ustawy oraz zgodnie z podstawowymi zasadami polityki (ustanowionymi przez rząd Japonii zarządzeniem Rady Ministrów). Mechanizm, o którym mowa, został szczegółowo określony w oficjalnych oświadczeniach, zapewnieniach i zobowiązaniach rządu Japonii, stanowiących załącznik II do niniejszej decyzji. Mechanizm ten jest niezależny od którejkolwiek z przesłanek warunkujących posiadanie legitymacji procesowej. Może z niego skorzystać każda osoba, niezależnie od tego, czy posiada ona status podejrzanej lub oskarżonej o popełnienie przestępstwa.

(142)

W ramach tego mechanizmu osoba fizyczna, która podejrzewa, że dotyczące jej dane przekazywane z Unii Europejskiej zostały zebrane lub wykorzystane przez organy publiczne w Japonii (w tym organy odpowiedzialne za ściganie przestępstw) z naruszeniem obowiązujących przepisów, może złożyć skargę do Komisji ds. Ochrony Informacji Osobowych (indywidualnie lub za pośrednictwem swojego organu nadzorczego w rozumieniu art. 51 RODO). Komisja ds. Ochrony Informacji Osobowych ma obowiązek rozpatrzyć skargi oraz w pierwszej kolejności zawiadomienia o tym fakcie właściwych organów publicznych, w tym właściwych organów nadzorczych. Organy te są obowiązane współpracować z Komisją ds. Ochrony Informacji Osobowych „w tym przez zapewnienie niezbędnych informacji i odpowiednich materiałów, dzięki czemu komisja może ocenić, czy zbieranie i późniejsze wykorzystanie informacji osobowych było zgodne z obowiązującymi przepisami” (117). Obowiązek ten wynikający z art. 80 ustawy o ochronie informacji osobowych (nakazujący japońskim organom publicznym współpracować z Komisją ds. Ochrony Informacji Osobowych) ma charakter ogólny, a zatem obejmuje również kontrolę stosowania przez te organy wszystkich środków służących wyjaśnieniu danej sprawy. Organy te tym bardziej obowiązane są do takiej współpracy na podstawie pisemnych gwarancji szefów właściwych ministerstw i agencji, co znajduje odzwierciedlenie w załączniku II.

(143)

Jeżeli ocena wykaże naruszenie obowiązujących przepisów, „współpraca między danym organem publicznym a Komisją ds. Ochrony Informacji Osobowych obejmuje obowiązek usunięcia naruszenia”, co w przypadku niezgodnego z prawem zbierania informacji osobowych polega na usunięciu takich danych. Co istotne, obowiązek ten jest realizowany pod nadzorem Komisji ds. Ochrony Informacji Osobowych, która „potwierdza, przed zakończeniem oceny, że naruszenie udało się w pełni usunąć”.

(144)

Po zakończeniu oceny Komisja ds. Ochrony Informacji Osobowych zawiadamia w rozsądnym terminie osobę fizyczną o jej wynikach, w tym, w stosownych przypadkach, o podjętych działaniach naprawczych. Jednocześnie Komisja ds. Ochrony Informacji Osobowych informuje osobę fizyczną o możliwości uzyskania potwierdzenia wyniku u właściwego organu publicznego oraz danych o tym organie, do którego należy kierować taki wniosek o potwierdzenie. Możliwość uzyskania takiego potwierdzenia, w tym uzasadnienia decyzji właściwego organu, może pomóc osobie fizycznej w podjęciu dalszych działań, włącznie z dochodzeniem roszczeń na drodze sądowej. Szczegółowe informacje na temat wyniku oceny mogą być ograniczone, jeżeli istnieją uzasadnione przesłanki do stwierdzenia, że przekazanie takiej informacji może stanowić zagrożenie dla trwającego postępowania.

(145)

Po trzecie, osoba fizyczna, która nie zgadza się z decyzją sędziego o zajęciu (nakazem zajęcia) (118) dotyczących jej danych osobowych lub ze środkami podejmowanymi przez policję lub prokuraturę przy wykonywaniu takiej decyzji, może złożyć wniosek o uchylenie lub zmianę decyzji lub takich środków (art. 429 ust. 1, art. 430 ust. 1 i 2 kodeksu postępowania karnego, art. 26 ustawy o zakładaniu podsłuchów) (119). Jeżeli sąd badający sprawę stwierdzi, że nakaz lub jego wykonywanie („procedura zajęcia”) są niezgodne z prawem, uwzględni on wniosek i nakaże zwrot zajętych artykułów (120).

(146)

Po czwarte, w ramach bardziej pośredniej formy kontroli sądowej osoba fizyczna, która stwierdzi, że zbieranie dotyczących jej informacji osobowych w ramach postępowania przygotowawczego było niezgodnie z prawem, może powołać się na ten fakt przed sądem karnym. Jeżeli sąd się zgodzi, środki dowodowe zostaną wykluczone i uznane za niedopuszczalne.

(147)

Wreszcie zgodnie z art. 1 ust. 1 ustawy o odpowiedzialności odszkodowawczej państwa sąd może przyznać odszkodowanie, jeżeli urzędnik publiczny sprawujący władzę publiczną w imieniu państwa w sposób niezgodny z prawem lub zawiniony (umyślnie lub przez niedbalstwo) wyrządził w ramach wykonywania swoich obowiązków danej osobie fizycznej szkodę. Zgodnie z art. 4 ustawy o odpowiedzialności odszkodowawczej państwa odpowiedzialność państwa za szkody opiera się na przepisach kodeksu cywilnego. W tym zakresie zgodnie z art. 710 kodeksu cywilnego odpowiedzialność ta obejmuje również szkody inne niż na majątkowe, a zatem szkody moralne (na przykład w postaci „urazów psychicznych”). Dotyczy to przypadków, w których prywatność osoby fizycznej została naruszona w wyniku niezgodnego z prawem sprawowania nadzoru lub zbierania dotyczących jej informacji osobowych (na przykład nielegalnego wykonania nakazu) (121).

(148)

Oprócz odszkodowania pieniężnego osoby fizyczne mogą w określonych warunkach uzyskać również nakaz sądowy (na przykład w sprawie usunięcia danych osobowych zebranych przez organy publiczne) na podstawie praw do prywatności przewidzianych w art. 13 konstytucji (122).

(149)

W odniesieniu do wszystkich powyższych możliwości dochodzenia roszczeń mechanizm rozstrzygania sporów opracowany przez japoński rząd pozwala osobie fizycznej, która wciąż jest niezadowolona z wyniku postępowania, zgłosić się do Komisji ds. Ochrony Informacji Osobowych, „która informuje osobę fizyczną o różnych możliwościach i szczegółowych procedurach dotyczących uzyskania odszkodowania na podstawie japońskich przepisów ustawowych i wykonawczych”. Ponadto Komisja ds. Ochrony Informacji Osobowych „zapewnia osobie fizycznej wsparcie, w tym doradztwo i pomoc w związku z jakimkolwiek dalszym postępowaniem przed właściwym organem administracyjnym lub sądowym”.

(150)

Dotyczy to korzystania z praw procesowych przewidzianych w kodeksie postępowania karnego. Przykładowo „[j]eżeli ocena wykazała, że osoba fizyczna jest w postępowaniu karnym osobą podejrzaną, Komisja ds. Ochrony Informacji Osobowych zawiadamia ją o tym fakcie” (123) oraz o przewidzianej w art. 259 kodeksu postępowania karnego możliwości zwrócenia się do prokuratury z prośbą o zawiadomienie, gdy ta podejmie decyzję, aby nie wszczynać postępowania karnego. Ponadto, jeżeli ocena wykazała, że wszczęto sprawę dotyczącą informacji osobowych osoby fizycznej i została ona zakończona, Komisja ds. Ochrony Informacji Osobowych informuje taką osobę, że z aktami sprawy można się zapoznać zgodnie z art. 53 kodeksu postępowania karnego (oraz art. 4 ustawy o rejestrze zakończonych spraw karnych). Uzyskanie przez osobę fizyczną dostępu do jej akt sprawy jest ważne, ponieważ pomaga jej lepiej zrozumieć prowadzone przeciwko niej postępowanie przygotowawcze, a tym samym przygotować się na ewentualne postępowanie sądowe (np. roszczenie o odszkodowanie), jeżeli uzna ona, że dotyczące jej dane zebrano lub wykorzystano niezgodnie z prawem.

(151)

Według japońskich władz obligatoryjnego składania wniosków o udzielenie informacji ani „zakładania podsłuchów z polecenia organów administracyjnych” poza postępowaniem przygotowawczym w Japonii nie uregulowano. Zatem ze względów bezpieczeństwa narodowego informacje mogą być uzyskiwane wyłącznie ze źródeł, które są swobodnie dostępne dla wszystkich, lub w drodze dobrowolnego ujawnienia. Podmioty gospodarcze, do których zwrócono się o podjęcie dobrowolnej współpracy (w formie ujawnienia informacji elektronicznych), nie są prawnie zobowiązane do przekazania tych informacji (124).

(152)

Ponadto zgodnie z uzyskanymi informacjami ze względów związanych z bezpieczeństwem narodowym do gromadzenia informacji elektronicznych znajdujących się w posiadaniu japońskich podmiotów gospodarczych uprawnione są tylko cztery instytucje rządowe. Są to: (i) Urząd Wywiadu i Badań Rady Ministrów; (ii) Ministerstwo Obrony; (iii) policja (zarówno Agencja Policji Krajowej (125), jak i policja prefekturalna); oraz (iv) Agencja Bezpieczeństwa Publicznego. Jednak Urząd Wywiadu i Badań Rady Ministrów nigdy nie gromadzi informacji bezpośrednio od podmiotów gospodarczych, w tym nie wykorzystuje środków przechwytywania przekazów telekomunikacyjnych. Co prawda uzyskuje on od innych organów rządowych informacje do celów analizy na potrzeby Rady Ministrów, jednak organy te również muszą przestrzegać przepisów prawa, w tym respektować ograniczenia i zabezpieczenia, o których mowa w niniejszej decyzji. Jego działalność nie jest zatem istotna w kontekście przekazywania danych.

(153)

Według otrzymanych informacji Ministerstwo Obrony gromadzi informacje (elektroniczne) na podstawie ustawy o utworzeniu Ministerstwa Obrony. Zgodnie z art. 3 tej ustawy zadaniem Ministerstwa Obrony jest zarządzanie siłami zbrojnymi i wykorzystywanie ich w celu „prowadzenia spraw wojskowych w celu zapewnienia pokoju w kraju i jego suwerenności, a także bezpieczeństwa narodu”. Zgodnie z art. 4 ust. 4 Ministerstwo Obrony jest właściwe w zakresie „obrony i straży”, w odniesieniu do działań Sił Samoobrony oraz rozmieszczania sił zbrojnych, w tym zbierania informacji niezbędnych do realizacji tych działań. Jest ono uprawnione do gromadzenia informacji (elektronicznych) pochodzących od podmiotów gospodarczych wyłącznie w drodze dobrowolnej współpracy.

(154)

Jeżeli chodzi o policję prefekturalną jej zadania i obowiązki obejmują „utrzymywanie bezpieczeństwa i porządku publicznego” (art. 35 ust. 2 w zw. z art. 2 ust. 1 ustawy o policji). W zakresie swojej właściwości policja może gromadzić informacje, ale wyłącznie w sposób dobrowolny, bez użycia przymusu prawnego. Ponadto działania policji są „ściśle ograniczone” do czynności, które są niezbędne do wykonywania jej obowiązków. Poza tym jest ona obowiązana postępować w sposób „bezstronny, wolny od uprzedzeń i sprawiedliwy” i nigdy nie nadużywać swoich uprawnień „w jakikolwiek sposób, który będzie naruszać prawa i wolności osób fizycznych przewidziane w konstytucji Japonii” (art. 2 ustawy o policji).

(155)

Wreszcie Agencja Bezpieczeństwa Publicznego może prowadzić postępowania przygotowawcze na podstawie ustawy o zapobieganiu działaniom wywrotowym (Subversive Activities Prevention Act – SAPA) oraz ustawy o kontroli organizacji, które dopuściły się zbrodni masowego morderstwa (Act on the Control of Organisations Which Have Committed Acts of Indiscriminate Mass Murder – ACO), jeżeli są one niezbędne do przygotowania wdrożenia środków kontroli wobec określonych organizacji (126). Na podstawie obydwu tych ustaw na wniosek dyrektora generalnego Agencji Bezpieczeństwa Publicznego Komisja ds. Badania Bezpieczeństwa Publicznego może wydawać określone „instrukcje” (nadzorcze/zakazujące w ramach ustawy o kontroli organizacji, które dopuściły się zbrodni masowego morderstwa (127), likwidacyjne/zakazujące w ramach ustawy o zapobieganiu działaniom wywrotowym (128)), a Agencja Bezpieczeństwa Publicznego może prowadzić postępowania przygotowawcze w tym zakresie (129). Według otrzymanych informacji postępowania przygotowawcze zawsze prowadzone są dobrowolnie, co oznacza, że Agencja Bezpieczeństwa Publicznego nie może zmuszać osoby, której dotyczą informacje osobowe, do ich przekazania (130). Każdorazowo kontrole i postępowania przygotowawcze prowadzi się wyłącznie w minimalnym zakresie wymaganym do osiągnięcia celu kontroli i w żadnym razie nie są prowadzone „w sposób nieracjonalnie ograniczający” prawa i wolności przewidziane w konstytucji Japonii (art. 3 ust. 1 ustawy o zapobieganiu działaniom wywrotowym/ustawy o kontroli organizacji, które dopuściły się zbrodni masowego morderstwa). Ponadto zgodnie z art. 3 ust. 2 ustawy o zapobieganiu działaniom wywrotowym/ustawy o kontroli organizacji, które dopuściły się zbrodni masowego morderstwa Agencja Bezpieczeństwa Publicznego nie może w żadnych okolicznościach nadużywać takich środków kontroli ani postępowań prowadzonych w celu przygotowania takich środków. Jeżeli funkcjonariusz Agencji Bezpieczeństwa Publicznego nadużyje swoich uprawnień przewidzianych w odpowiedniej ustawie, zmuszając osobę do czynności, których ta nie ma obowiązku wykonać, lub przeszkadzając w wykonywaniu jej praw, może on podlegać sankcjom karnym zgodnie z art. 45 ustawy o zapobieganiu działaniom wywrotowym lub art. 42 ustawy o kontroli organizacji, które dopuściły się zbrodni masowego morderstwa. Wreszcie w obu tych ustawach wyraźnie wskazano, że ich przepisy, w tym te przyznające uprawnienia, „w żadnych okolicznościach nie podlegają wykładni rozszerzającej” (art. 2 ustawy o zapobieganiu działaniom wywrotowym / ustawy o kontroli organizacji, które dopuściły się zbrodni masowego morderstwa).

(156)

We wszystkich przypadkach dostępu do informacji przez organy rządowe ze względów związanych z bezpieczeństwem narodowym opisanych w niniejszej sekcji zastosowanie znajdują ograniczenia przewidziane przez Sąd Najwyższy Japonii w odniesieniu do dobrowolnego prowadzenia postępowań przygotowawczych, co oznacza, że gromadzenie informacji (elektronicznych) musi odbywać się zgodnie z zasadą konieczności i proporcjonalności („metoda adekwatna”) (131). Jak w sposób wyraźny potwierdziły władze Japonii, „zbieranie i przetwarzanie informacji odbywa się wyłącznie w zakresie niezbędnym do wykonywania szczególnych obowiązków przez właściwy organ publiczny oraz w związku ze szczególnymi zagrożeniami”. W związku z tym „wyklucza to masowe i nieograniczone zbieranie informacji osobowych lub dostęp do nich ze względów bezpieczeństwa narodowego” (132).

(157)

Ponadto wszelkie zgromadzone informacje osobowe zatrzymane przez organy publiczne do celów bezpieczeństwa narodowego zostają objęte zakresem ustawy o ochronie informacji osobowych znajdujących się w posiadaniu organów administracji i tym samym objęte zabezpieczeniami przewidzianymi w tej ustawie w odniesieniu do dalszego przechowywania, wykorzystywania i ujawniania (zob. motyw 118).

(158)

Zbieranie informacji osobowych do celów bezpieczeństwa narodowego objęte jest nadzorem na różnych szczeblach, realizowanym przez organy trzech segmentów władzy.

(159)

Po pierwsze japońskie zgromadzenie narodowe może, za pośrednictwem swoich specjalistycznych komitetów, badać legalność postępowań przygotowawczych zgodnie ze swoimi uprawnieniami kontroli parlamentarnej (art. 62 konstytucji, art. 104 ustawy o zgromadzeniu narodowym; zob. motyw 134). Tę funkcję nadzorczą wspierają szczególne obowiązki sprawozdawcze w zakresie czynności realizowanych w oparciu o niektóre z wymienionych wyżej podstaw prawnych (133).

(160)

Po drugie, w obrębie władzy wykonawczej przewidziano szereg mechanizmów nadzorczych.

(161)

Jeżeli chodzi o Ministerstwo Obrony, nadzór pełni Biuro Inspektora Generalnego ds. Zgodności z Prawem (Inspector General's Office of Legal Compliance – IGO) (134), które utworzono na podstawie art. 29 ustawy o utworzeniu Ministerstwa Obrony jako biuro w ramach tego ministerstwa nadzorowane przez ministra obrony (któremu ono podlega), ale niezależne od departamentów operacyjnych Ministerstwa Obrony. Zadaniem Biura Inspektora Generalnego ds. Zgodności z Prawem jest zapewnianie zgodności z przepisami ustawowymi i wykonawczymi, a także prawidłowego wywiązywania się z obowiązków przez urzędników Ministerstwa Obrony. Do jego uprawnień należy przeprowadzanie tzw. „kontroli obrony”, zarówno w regularnych odstępach czasu („regularne kontrole obrony”), jak i w indywidualnych przypadkach („specjalne kontrole obrony”), które w przeszłości obejmowały również właściwe przetwarzanie informacji osobowych (135). W ramach takich kontroli urzędnicy Biura Inspektora Generalnego ds. Zgodności z Prawem mogą wchodzić na teren (do biur) instytucji i żądać przedłożenia dokumentów lub informacji, w tym wyjaśnień od zastępcy wiceministra obrony. Kontrola kończy się sporządzeniem sprawozdania dla ministra obrony, w którym przedstawia się ustalenia i środki poprawy (których wdrożenie można sprawdzić ponownie w drodze dalszej kontroli). Z kolei sprawozdanie stanowi podstawę do wydania przez ministra obrony instrukcji mających na celu wdrożenie środków koniecznych do naprawy sytuacji; zastępca wiceministra odpowiada za wdrożenie takich środków i ma obowiązek przedstawić sprawozdanie z działań następczych.

(162)

Jeżeli chodzi o policję prefekturalną, nadzór zapewniają niezależne Prefekturalne Komisje ds. Bezpieczeństwa Publicznego, jak wyjaśniono w motywie 135 w odniesieniu do ścigania przestępstw.

(163)

Wreszcie Agencja Bezpieczeństwa Publicznego, jak wskazano powyżej, może prowadzić postępowania przygotowawcze wyłącznie w zakresie koniecznym do wydania instrukcji w sprawie zakazu, likwidacji lub nadzoru na podstawie ustawy o zapobieganiu działaniom wywrotowym/ustawy o kontroli organizacji, które dopuściły się zbrodni masowego morderstwa, a w odniesieniu do tych instrukcji niezależna (136) Komisja ds. Badania Bezpieczeństwa Publicznego prowadzi nadzór ex ante. Ponadto specjalnie wyznaczeni kontrolerzy przeprowadzają regularne/okresowe kontrole (obejmujące kompleksowe badanie działań Agencji Bezpieczeństwa Publicznego) (137), a także specjalne kontrole wewnętrzne (138) związane z działalnością poszczególnych departamentów/biur itd. Kontrole te mogą zakończyć się wydaniem instrukcji dla dyrektorów właściwych departamentów itp. w celu podjęcia działań naprawczych lub ukierunkowanych na poprawę.

(164)

Wymienione mechanizmy nadzoru uzyskują dodatkowe wzmocnienie ze względu na to, że osoby fizyczne mają możliwość spowodowania interwencji Komisji ds. Ochrony Informacji Osobowych jako niezależnego organu nadzorczego (zob. sekcja 168 poniżej). Ponadto zapewniają one odpowiednie zabezpieczenia przed ryzykiem nadużycia przez japońskie władze uprawnień w dziedzinie bezpieczeństwa narodowego, a także przed niezgodnym z prawem zbieraniem informacji elektronicznych.

(165)

W kwestii dochodzenia roszczeń przez osoby fizyczne, w odniesieniu do informacji osobowych gromadzonych i tym samym „zatrzymywanych” przez organy administracyjne, obowiązkiem tych organów jest „dążyć do właściwego i sprawnego rozpatrzenia wszelkich skarg” dotyczących takiego przetwarzania informacji (art. 48 ustawy o ochronie informacji osobowych znajdujących się w posiadaniu organów administracji).

(166)

Ponadto, w odróżnieniu od postępowań przygotowawczych, osobom fizycznym (w tym cudzoziemcom mieszkającym za granicą) zasadniczo przysługuje prawo do ujawnienia (139), korekty (w tym do usunięcia) oraz zawieszenia wykorzystywania/przekazywania informacji na podstawie ustawy o ochronie informacji osobowych znajdujących się w posiadaniu organów administracji. Mając powyższe na uwadze, dyrektor organu administracyjnego może odmówić ujawnienia informacji „w przypadku których istnieją uzasadnione przesłanki […] do stwierdzenia, że ujawnienie może stanowić zagrożenie dla bezpieczeństwa narodowego” (art. 14 ppkt (iv) ustawy o ochronie informacji osobowych znajdujących się w posiadaniu organów administracji) i może tak uczynić bez ujawniania, że takie informacje istnieją (art. 17 ustawy o ochronie informacji osobowych znajdujących się w posiadaniu organów administracji). Podobnie, pomimo że osoba fizyczna może zażądać zawieszenia wykorzystywania lub usunięcia informacji zgodnie z art. 36 ust. 1 ppkt (i) ustawy o ochronie informacji osobowych znajdujących się w posiadaniu organów administracji, jeżeli organ administracyjny uzyskał informacje niezgodnie z prawem albo jeżeli zatrzymuje/wykorzystuje je w sposób wykraczający poza zakres wymagany do osiągnięcia określonego celu, organ może odrzucić to żądanie, jeżeli uzna, że zawieszenie wykorzystania „może utrudnić właściwą realizację czynności służących osiągnięciu celu, w którym zatrzymano informacje osobowe, z uwagi na charakter tych czynności” (art. 38 ustawy o ochronie informacji osobowych znajdujących się w posiadaniu organów administracji). Jednak w przypadkach, w których możliwe jest łatwe oddzielenie i wykluczenie elementów objętych wyjątkiem, organy administracyjne są obowiązane do co najmniej częściowego ujawnienia (zob. art. 15 ust. 1 ustawy o ochronie informacji osobowych znajdujących się w posiadaniu organów administracji) (140).

(167)

W każdym przypadku organ administracyjny ma obowiązek podjąć decyzję na piśmie w określonym terminie (30 dni, przy czym termin ten może zostać przedłużony o dodatkowe 30 dni w określonych okolicznościach). Jeżeli wniosek został odrzucony, uwzględniony tylko częściowo, albo jeżeli dana osoba z innych względów uzna, że postępowanie organu administracyjnego jest „bezprawne lub niesłuszne”, osoba ta może wystąpić o przeprowadzenie kontroli administracyjnej na podstawie ustawy o kontroli skarg administracyjnych (141). W takim przypadku dyrektor organu administracyjnego, który podejmuje decyzję w sprawie odwołania, konsultuje się z Radą ds. Oceny Ujawniania Informacji i Ochrony Informacji Osobowych (art. 42, 43 ustawy o ochronie informacji osobowych znajdujących się w posiadaniu organów administracji), wyspecjalizowanym, niezależnym organem kolegialnym, którego członków powołuje premier za zgodą obu izb Diet. Według otrzymanych informacji Rada ds. Oceny może przeprowadzić badanie (142) i tym kontekście zażądać od organu administracyjnego przekazania zatrzymanych informacji osobowych, w tym wszelkich treści niejawnych, a także dalszych informacji i dokumentów. Podczas gdy ostateczne sprawozdanie, które przesyła się skarżącemu oraz organowi administracyjnemu i podaje do wiadomości publicznej, nie jest prawnie wiążące, niemal we wszystkich przypadkach zastosowano się do jego treści (143). Ponadto osoba fizyczna może na drodze sądowej zakwestionować rozstrzygnięcie w sprawie odwołania zgodnie z ustawą o sporach administracyjnych. Umożliwia to kontrolę sądową stosowania wyjątków w obszarze bezpieczeństwa narodowego, w tym tego, czy doszło do nadużycia w przypadku zastosowania takie wyjątku bądź czy jest on nadal uzasadniony.

(168)

W celu usprawnienia wykonania wymienionych wyżej praw na podstawie ustawy o ochronie informacji osobowych znajdujących się w posiadaniu organów administracji Ministerstwo Spraw Wewnętrznych i Komunikacji ustanowiło 51 „centrów informacji ogólnej”, które zapewniają skonsolidowane informacje na temat tych praw, obowiązujących procedur dotyczących składania wniosków oraz ewentualnych możliwości dochodzenia roszczeń (144). Jeżeli chodzi o organy administracyjne, są obowiązane przekazywać „informacje, które pomagają w określeniu zatrzymanych informacji osobowych” (145) oraz podjąć „pozostałe właściwe działania z uwzględnieniem wygody osoby, która zamierza złożyć wniosek” (art. 47 ust. 1 ustawy o ochronie informacji osobowych znajdujących się w posiadaniu organów administracji).

(169)

Zarówno w przypadku postępowań przygotowawczych w obszarze ścigania przestępstw, jak i w dziedzinie bezpieczeństwa narodowego, osoby fizyczne mogą indywidualnie dochodzić roszczeń, kontaktując się bezpośrednio z Komisją ds. Ochrony Informacji Osobowych. Powoduje to wszczęcie szczególnej procedury rozstrzygania sporów, którą japoński rząd opracował dla osób fizycznych z UE, których dane osobowe są przekazywane na podstawie niniejszej decyzji (zob. szczegółowe wyjaśnienia w motywach 141–144 i 149).

(170)

Ponadto osoba fizyczna może dochodzić roszczeń na drodze sądowej w formie powództwa o odszkodowanie zgodnie z ustawą o odpowiedzialności odszkodowawczej państwa, które obejmuje także szkody moralne oraz, w określonych warunkach, usunięcie zgromadzonych danych (zob. motyw 147).

(171)

Komisja uważa, że ustawa o ochronie informacji osobowych wraz z przepisami uzupełniającymi zawartymi w załączniku I oraz oficjalne oświadczenia, zapewnienia i zobowiązania zawarte w załączniku II, zapewnia stopień ochrony danych osobowych przekazywanych z Unii Europejskiej, który zasadniczo odpowiada ochronie zagwarantowanej na mocy rozporządzenia (UE) 2016/679.

(172)

Ponadto Komisja stwierdza, że mechanizmy nadzoru i możliwości dochodzenia roszczeń przewidziane w prawie japońskim – rozumiane jako całość – zapewniają możliwość identyfikowania przypadków naruszenia przepisów przez podmioty gospodarcze przetwarzające informacje osobowe będące odbiorcami danych i w praktyce nakładania za te naruszania kar oraz oferują osobom, których dane dotyczą, możliwość skorzystania ze środków ochrony prawnej w celu uzyskania dostępu do danych na ich temat, a także – ostatecznie – skorygowania lub usunięcia takich danych.

(173)

Wreszcie, na podstawie dostępnych informacji na temat japońskiego porządku prawnego, w tym oświadczeń, zapewnień i zobowiązań rządu Japonii zawartych w załączniku II, Komisja uważa, że wszelkie naruszenia praw podstawowych osób fizycznych, których dane osobowe są przekazywane z Unii Europejskiej do Japonii, jakich dopuszczają się japońskie organy publiczne do celów interesu publicznego, w szczególności do celów ścigania przestępstw i bezpieczeństwa narodowego, będą ograniczać się do tego, co jest ściśle niezbędne do osiągnięcia tego uzasadnionego celu oraz że ustanowiono skuteczną ochronę prawną przed takimi naruszeniami.

(174)

W związku z powyższym, w świetle ustaleń zawartych w niniejszej decyzji, Komisja uważa, że Japonia zapewnia odpowiedni stopień ochrony danych osobowych przekazywanych z Unii Europejskiej podmiotom gospodarczym przetwarzającym informacje osobowe w Japonii, które podlegają ustawie o ochronie informacji osobowych, z wyjątkiem przypadków, gdy odbiorca zalicza się do jednej z kategorii wymienionych w art. 76 ust. 1 tej ustawy, a cel przetwarzania w całości lub częściowo odpowiada jednemu z celów przewidzianych w tym przepisie.

(175)

Na tej podstawie Komisja stwierdza, że standard ochrony przewidziany w art. 45 rozporządzenia (UE) 2016/679, interpretowany w świetle Karty praw podstawowych Unii Europejskiej, a w szczególności wyroku w sprawie Schrems (146), jest spełniony.

(176)

Zgodnie z orzecznictwem Trybunału Sprawiedliwości (147), a także jak wskazano w art. 45 ust. 4 rozporządzenia (UE) 2016/679, Komisja powinna ciągle monitorować istotne zmiany zachodzące w państwie trzecim po przyjęciu decyzji stwierdzającej odpowiedni stopień ochrony, aby ocenić, czy Japonia nadal zapewnia zasadniczo równoważny stopień ochrony. Taka kontrola jest wymagana w każdym przypadku, gdy Komisja otrzyma informacje budzące uzasadnione wątpliwości w tym względzie.

(177)

W związku z powyższym Komisja powinna na bieżąco monitorować sytuację w zakresie ram prawnych i rzeczywistej praktyki w odniesieniu do przetwarzania danych osobowych, podlegających ocenie w niniejszej decyzji, w tym wywiązywanie się japońskich władz z oświadczeń, zapewnień i zobowiązań zawartych w załączniku II. W celu ułatwienia tego procesu oczekuje się, że władze japońskie będą informować Komisję o zmianach w prawie materialnym, które są istotne dla niniejszej decyzji, zarówno w związku z przetwarzaniem danych osobowych przez podmioty gospodarcze, jak i z ograniczeniami i zabezpieczeniami dotyczącymi dostępu organów publicznych do danych osobowych. Powinno to obejmować wszelkie decyzje Komisji ds. Ochrony Informacji Osobowych wydane na mocy art. 24 ustawy o ochronie informacji osobowych, w których uznaje się dane państwo trzecie za zapewniające poziom ochrony równoważny z poziomem ochrony zagwarantowanym w Japonii.

(178)

Ponadto, aby Komisja mogła skutecznie realizować funkcję monitorowania, państwa członkowskie powinny informować ją o wszelkich istotnych działaniach podejmowanych przez organy ochrony danych państw członkowskich, zwłaszcza w odniesieniu do zapytań lub skarg osób z UE, których dane dotyczą, dotyczących przekazywania danych osobowych z Unii Europejskiej podmiotom gospodarczym w Japonii. Komisja powinna być również informowana o wszelkich sygnałach świadczących o tym, że działania japońskich organów publicznych odpowiedzialnych za zapobieganie przestępczości, prowadzenie postępowań przygotowawczych, wykrywanie lub ściganie przestępstw nie gwarantują wymaganego stopnia ochrony.

(179)

Państwa członkowskie i ich organy mają obowiązek stosować środki niezbędne do zapewnienia zgodności z aktami instytucji unijnych, ponieważ domniemywa się, że akty te są zgodne z prawem, a zatem wywołują skutki prawne do chwili ich uchylenia, stwierdzenia ich nieważności w postępowaniu o stwierdzenie nieważności lub orzeczenia o ich nieważności w następstwie wniosku o wydanie orzeczenia w trybie prejudycjalnym lub zarzutu niezgodności z prawem. Decyzja stwierdzająca odpowiedni stopień ochrony danych osobowych przyjęta przez Komisję na podstawie art. 45 ust. 3 rozporządzenia (UE) 2016/679 jest zatem wiążąca dla wszystkich organów państw członkowskich, do których jest skierowana, w tym ich niezależnych organów nadzorczych. Jednocześnie, jak wyjaśnił Trybunał Sprawiedliwości w wyroku sprawie Schrems (148) i uznano w art. 58 ust. 5 rozporządzenia, jeżeli organ ochrony danych państwa członkowskiego kwestionuje, również na podstawie skargi, zgodność wydanej przez Komisję decyzji stwierdzającej odpowiedni stopień ochrony z podstawowym prawem osoby do prywatności i ochrony danych, należy zapewnić w prawie krajowym drogę prawną umożliwiającą jej podniesienie tych zarzutów przed sądem krajowym, który w razie wątpliwości jest obowiązany zawiesić postępowanie i wystąpić z pytaniem prejudycjalnym do Trybunału Sprawiedliwości (149).

(180)

W zastosowaniu art. 45 ust. 3 rozporządzenia (UE) 2016/679 (150) oraz w świetle tego, że stopień ochrony zapewniany w porządku prawnym Japonii może ulec zmianie, Komisja po przyjęciu niniejszej decyzji powinna okresowo sprawdzać, czy ustalenia odnoszące się do adekwatności stopnia ochrony gwarantowanego przez Japonię są nadal faktycznie i prawnie uzasadnione.

(181)

W tym celu niniejsza decyzja powinna zostać poddana pierwszemu przeglądowi w ciągu dwóch lat od jej wejścia w życie. Po przeprowadzeniu tego pierwszego przeglądu oraz w zależności od jego wyników Komisja, w ścisłym porozumieniu z komitetem powołanym na podstawie art. 93 ust. 1 RODO, podejmie decyzję co do tego, czy dwuletni cykl powinien zostać utrzymany. W każdym przypadku kolejne przeglądy powinny mieć miejsce co najmniej raz na cztery lata (151). Przegląd powinien uwzględniać wszystkie aspekty funkcjonowania niniejszej decyzji, w szczególności stosowanie przepisów uzupełniających (przy czym szczególną uwagę należy poświęcić środków ochronnych w związku z dalszym przekazywaniem danych), stosowanie przepisów dotyczących zgody, w tym w razie wycofania, skuteczność nadzoru korzystania przez osoby fizycznej z ich praw, jak również ograniczenia i zabezpieczenia w odniesieniu do dostępu rządowego, w tym mechanizmy dochodzenia roszczeń wskazane w załączniku II do niniejszej decyzji. Przegląd powinien również uwzględniać skuteczność nadzoru i egzekwowania w odniesieniu do przepisów stosowanych zarówno wobec podmiotów gospodarczych przetwarzających informacje osobowe, jak i w obszarze ścigania przestępstw i bezpieczeństwa narodowego.

(182)

W celu przeprowadzenia przeglądu Komisja powinna odbyć spotkanie z Komisją ds. Ochrony Informacji Osobowych, której będą towarzyszyć, w stosownych przypadkach, inne japońskie organy odpowiedzialne za dostęp rządowy do informacji, w tym właściwe organy nadzorcze. Uczestnictwo w tym spotkaniu powinno być otwarte dla przedstawicieli członków Europejskiej Rady Ochrony Danych (EROD). W ramach wspólnego przeglądu Komisja powinna wystąpić do Komisji ds. Ochrony Informacji Osobowych o przedłożenie wyczerpujących informacji na temat wszystkich kwestii istotnych dla ustaleń dotyczących stwierdzenia odpowiedniego stopnia ochrony, w tym na temat ograniczeń i zabezpieczeń związanych z dostępem rządowym (152). Komisja powinna również zwracać się o wyjaśnienia dotyczące wszelkich otrzymanych informacji istotnych dla niniejszej decyzji, w tym dotyczące publicznych sprawozdań przygotowanych przez japońskie władze lub inne zainteresowane strony z Japonii, EROD, poszczególne organy ochrony danych, ugrupowania społeczeństwa obywatelskiego, doniesień medialnych i innych dostępnych źródeł informacji.

(183)

Na podstawie wspólnego przeglądu Komisja powinna przygotować ogólnodostępne sprawozdanie, które przedłoży Parlamentowi Europejskiemu i Radzie.

(184)

Jeżeli na podstawie regularnych i doraźnych kontroli lub innych dostępnych informacji Komisja stwierdzi, że stopień ochrony zapewniany w porządku prawnym Japonii nie może być dłużej uznawany za zasadniczo równoważny stopniowi ochrony w Unii Europejskiej, powinna ona zawiadomić o tym właściwe organy Japonii oraz wystąpić o zastosowanie właściwych środków w określonym, uzasadnionym terminie. Dotyczy to przepisów mających zastosowanie zarówno do podmiotów gospodarczych, jak i japońskich organów publicznych odpowiedzialnych za ściganie przestępstw lub bezpieczeństwo narodowe. Przykładowo takie postępowanie byłoby uruchamiane w przypadkach, w których dalsze przekazywanie, w tym przekazywanie na podstawie decyzji o uznaniu państwa trzeciego za zapewniające ochronę w stopniu równoważnym ochronie gwarantowanej w Japonii, przyjętych przez Komisję ds. Ochrony Informacji Osobowych na mocy art. 24 ustawy o ochronie informacji osobowych, nie będzie już realizowane w ramach zabezpieczeń zapewniających ciągłość ochrony w rozumieniu art. 44 RODO.

(185)

Jeżeli po upływie określonego terminu właściwy japoński organ nie wykaże w zadowalający sposób, że niniejsza decyzja jest nadal oparta na odpowiednim stopniu ochrony, Komisja powinna, w zastosowaniu art. 45 ust. 5 rozporządzenia (UE) 2016/679, wszcząć postępowanie prowadzące do częściowego lub całkowitego zawieszenia lub uchylenia niniejszej decyzji. Ewentualnie Komisja powinna wszcząć procedurę zmiany niniejszej decyzji, zwłaszcza polegającej na poddaniu przekazywania danych dodatkowym warunkom lub ograniczeniu zakresu stwierdzenia odpowiedniego stopnia ochrony wyłącznie do przekazywania danych, co do których zapewniona jest ciągłość ochrony w rozumieniu art. 44 RODO.

(186)

Komisja powinna w szczególności wszcząć procedurę zawieszenia lub uchylenia w przypadku wystąpienia przesłanek wskazujących, że przepisy uzupełniające zawarte w załączniku I nie są przestrzegane przez podmioty gospodarcze otrzymujące dane osobowe na podstawie niniejszej decyzji lub nie są skutecznie egzekwowane, albo jeżeli władze japońskie nie wywiązują się z oświadczeń, zapewnień i zobowiązań zawartych w załączniku II do niniejszej decyzji.

(187)

Komisja powinna również rozważyć wszczęcie procedury prowadzącej do zmiany, zawieszenia lub uchylenia niniejszej decyzji, jeżeli, w kontekście wspólnego przeglądu lub w inny sposób, właściwe japońskie władze nie przedłożą informacji lub wyjaśnień wymaganych w związku z oceną stopnia ochrony zapewnianego w odniesieniu do danych osobowych przekazywanych z Unii Europejskiej do Japonii albo oceną zgodności z niniejszą decyzją. W tej kwestii Komisja powinna uwzględnić również zakres, w jakim właściwe informacje można uzyskać z innych źródeł.

(188)

W przypadkach należycie uzasadnionej pilnej potrzeby, takiej jak ryzyko poważnego naruszenia praw osób, których dane dotyczą, Komisja powinna rozważyć przyjęcie decyzji o zawieszeniu lub uchyleniu niniejszej decyzji, która powinna obowiązywać ze skutkiem natychmiastowym, zgodnie z art. 93 ust. 3 rozporządzenia (UE) 2016/679 w związku z art. 8 rozporządzenia Parlamentu Europejskiego i Rady 182/2011 (153).

(189)

Europejska Rada Ochrony Danych opublikowała swoją opinię (154), która została uwzględniona podczas przygotowywania niniejszej decyzji.

(190)

Parlament Europejski przyjął rezolucję w sprawie strategii w zakresie handlu elektronicznego, w której wezwano Komisję do uznania za priorytet oraz do przyspieszenia przyjmowania decyzji stwierdzających odpowiedni stopień ochrony w odniesieniu do ważnych partnerów handlowych zgodnie z warunkami określonymi w rozporządzeniu (UE) 2016/679 jako podstawowego mechanizmu zabezpieczania przekazywania danych osobowych z Unii Europejskiej (155). Parlament Europejski przyjął również rezolucję w sprawie adekwatności ochrony danych osobowych zapewnianej przez Japonię (156).

(191)

Środki przewidziane w niniejszej decyzji są zgodne z opinią Komitetu utworzonego na podstawie art. 93 ust. 1 RODO,