(1)

Regulamentul (UE) 2016/679 stabilește normele pentru transferul de date cu caracter personal de la operatori sau persoane împuternicite de către operatori din Uniunea Europeană către țări terțe și organizații internaționale, în măsura în care astfel de transferuri intră în domeniul său de aplicare. Normele privind transferurile internaționale de date cu caracter personal sunt prevăzute în capitolul V din regulamentul menționat, mai precis la articolele 44-50. Fluxurile de date cu caracter personal către și dinspre țări situate în afara Uniunii Europene sunt necesare pentru extinderea cooperării internaționale și a comerțului internațional, garantând, în același timp, că nivelul de protecție conferit datelor cu caracter personal din Uniunea Europeană nu este subminat.

(2)

În temeiul articolului 45 alineatul (3) din Regulamentul (UE) 2016/679, Comisia poate decide, prin intermediul unui act de punere în aplicare, că o țară terță, un teritoriu sau unul ori mai multe sectoare specificate dintr-o țară terță sau o organizație internațională asigură un nivel de protecție adecvat. În astfel de condiții, transferurile de date cu caracter personal către țara terță, teritoriul, sectorul sau organizația internațională pot avea loc fără a fi necesar să se obțină autorizări suplimentare, astfel cum se prevede la articolul 45 alineatul (1) și în considerentul 103 din regulament.

(3)

În conformitate cu articolul 45 alineatul (2) din Regulamentul (UE) 2016/679, adoptarea unei decizii privind caracterul adecvat al nivelului de protecție trebuie să se bazeze pe o analiză cuprinzătoare a ordinii juridice a țării terțe, în ceea ce privește atât normele aplicabile importatorilor de date, cât și limitările și garanțiile referitoare la accesul autorităților publice la datele cu caracter personal. Evaluarea trebuie să stabilească dacă țara terță în cauză garantează un nivel de protecție „echivalent în esență” cu cel garantat în cadrul Uniunii Europene [considerentul 104 din Regulamentul (UE) 2016/679]. Conform clarificărilor aduse de Curtea de Justiție a Uniunii Europene, aceasta nu necesită un nivel identic de protecție (2). În special, mijloacele la care țara terță în cauză recurge pot fi diferite de cele utilizate în cadrul Uniunii Europene, cu condiția ca acestea să se dovedească, în practică, eficace pentru asigurarea unui nivel adecvat de protecție (3). Prin urmare, standardul caracterului adecvat nu necesită o reproducere punct cu punct a normelor Uniunii. Mai curând, testul constă în a stabili dacă, prin esența drepturilor la viață privată și punerea în aplicare efectivă, supravegherea și exercitarea acestora, sistemul străin în cauză, în ansamblul său, oferă nivelul de protecție necesar (4).

(4)

Comisia a analizat cu atenție legislația și practica din Japonia. Pe baza constatărilor prezentate în considerentele 6-175, Comisia concluzionează că Japonia asigură un nivel adecvat de protecție pentru datele cu caracter personal transferate către organizații care intră în domeniul de aplicare al Legii privind protecția informațiilor cu caracter personal (5) și sub rezerva condițiilor suplimentare menționate în prezenta decizie. Aceste condiții sunt prevăzute în normele suplimentare (anexa I), adoptate de Comisia pentru protecția informațiilor cu caracter personal (PPC) (6) și în expunerile, asigurările și angajamentele oficiale transmise de guvernul japonez Comisiei Europene (anexa II).

(5)

Prezenta decizie are drept efect faptul că transferurile de la un operator sau de la o persoană împuternicită de către un operator din Spațiul Economic European (SEE) (7) către astfel de organizații din Japonia pot avea loc fără a fi necesar să se obțină autorizări suplimentare. Prezenta decizie nu aduce atingere aplicării directe a Regulamentului (UE) 2016/679 pentru astfel de organizații, atunci când sunt îndeplinite condițiile prevăzute la articolul 3.

(6)

Regimul juridic care reglementează viața privată și protecția datelor în Japonia își are rădăcinile în Constituția promulgată în 1946.

(7)

Articolul 13 din Constituție prevede:

„Toți oamenii sunt respectați în calitate de indivizi. Dreptul la viață, la libertate și la căutarea fericirii, în măsura în care acesta nu aduce atingere bunăstării publice, sunt considerentul suprem în legislație, precum și în alte afaceri guvernamentale.”

(8)

Pe baza acestui articol, Curtea Supremă din Japonia a clarificat drepturile persoanelor fizice în ceea ce privește protecția informațiilor cu caracter personal. Într-o decizie din 1969, aceasta a recunoscut dreptul la protecția vieții private și la protecția datelor ca drept constituțional (8). În special, Curtea a statuat că „orice persoană are libertatea de a-și proteja propriile informații cu caracter personal de la a fi divulgate unei părți terțe sau de la a fi făcute publice fără un motiv întemeiat.” În plus, într-o decizie din 6 martie 2008 („Juki-Net”) (9), Curtea Supremă a statuat că „libertatea cetățenilor în viața lor privată este protejată împotriva exercitării autorității publice și se poate considera că orice persoană are, printre alte libertăți legate de viața privată, libertatea de a-și proteja propriile informații cu caracter personal de la a fi divulgate unei părți terțe sau de la a fi făcute publice fără un motiv întemeiat” (10).

(9)

La 30 mai 2003, Japonia a adoptat o serie de legi în domeniul protecției datelor:

(10)

Ultimele două legi menționate (modificate în 2016) conțin dispoziții aplicabile în materie de protecție a informațiilor cu caracter personal de către entități din sectorul public. Prelucrarea datelor care intră în domeniul de aplicare al acestor legi nu constituie obiectul constatării caracterului adecvat cuprinse în prezenta decizie, care se limitează la protecția informațiilor cu caracter personal de către „operatorii economici care gestionează informații cu caracter personal” în sensul APPI.

(11)

APPI a fost reformată în ultimii ani. APPI modificată a fost promulgată la 9 septembrie 2015 și a intrat în vigoare la 30 mai 2017. Modificarea a introdus o serie de noi garanții și, de asemenea, a consolidat garanțiile existente, sistemul de protecție a datelor din Japonia apropiindu-se astfel de cel european. Printre acestea, se numără, de exemplu, un set de drepturi individuale exercitabile sau instituirea unei autorități de supraveghere independente (PPC), însărcinată cu supravegherea și asigurarea respectării APPI.

(12)

Pe lângă APPI, prelucrarea informațiilor cu caracter personal care se încadrează în domeniul de aplicare al prezentei decizii este supusă normelor de punere în aplicare emise pe baza APPI. Printre acestea se numără un amendament la Ordinul Cabinetului de aplicare a Legii privind protecția informațiilor cu caracter personal din 5 octombrie 2016 și așa-numitele norme de punere în aplicare a Legii privind protecția informațiilor cu caracter personal adoptate de PPC (11). Ambele seturi de norme au caracter juridic obligatoriu și executoriu și au intrat în vigoare în același timp ca APPI modificată.

(13)

În plus, la 28 octombrie 2016, Cabinetul Japoniei (constând din prim-ministru și miniștrii care formează guvernul său) a emis o „politică de bază” de a „promova în mod cuprinzător și integral măsurile privind protecția informațiilor cu caracter personal”. În temeiul articolului 7 din APPI, „politica de bază”, este elaborată sub forma unei decizii a Cabinetului și include orientări de politică referitoare la punerea în aplicare a APPI, care vizează atât administrația centrală, cât și administrațiile locale.

(14)

Recent, prin decizia Cabinetului adoptată la 12 iunie 2018, Guvernul Japoniei a modificat „politica de bază”. Cu scopul de a facilita transferurile internaționale de date, decizia respectivă a Cabinetului conferă PPC, în calitate de autoritate competentă cu administrarea și punerea în aplicare a APPI, „competența de a lua măsurile necesare pentru a remedia diferențele legate de sisteme și operațiuni dintre Japonia și țara străină în cauză pe baza articolului 6 din lege pentru a asigura tratarea corespunzătoare a informațiilor cu caracter personal primite din partea acestei țări”. Decizia Cabinetului prevede că este vorba în special de competența de a stabili o mai bună protecție prin adoptarea de către PPC a unor norme mai stricte care să le completeze și să le depășească pe cele prevăzute în APPI și în Ordinul Cabinetului. În temeiul respectivei decizii, aceste norme mai stricte sunt obligatorii și executorii pentru operatorii economici japonezi.

(15)

Pe baza articolului 6 din APPI și a respectivei decizii a Cabinetului, PPC a adoptat la 15 iunie 2018„Normele suplimentare în conformitate cu Legea privind protecția informațiilor cu caracter personal pentru gestionarea datelor cu caracter personal transferate din UE pe baza unei decizii privind caracterul adecvat al nivelului de protecție” („normele suplimentare”), cu scopul de a spori protecția informațiilor cu caracter personal transferate din Uniunea Europeană în Japonia pe baza prezentei decizii privind caracterul adecvat al nivelului de protecție. Aceste norme suplimentare sunt obligatorii din punct de vedere juridic pentru operatorii economici din Japonia și sunt executorii, atât de către PPC, cât și de către instanțe, la fel ca dispozițiile APPI pe care normele le completează cu norme mai stricte și/sau mai detaliate (12). Întrucât operatorii economici din Japonia care primesc și/sau prelucrează ulterior date cu caracter personal din Uniunea Europeană vor avea obligația legală de a se conforma normelor suplimentare, aceștia vor trebui să se asigure [de exemplu, prin mijloace tehnice („marcare”) sau organizaționale (stocarea într-o bază de date specială)] că pot identifica astfel de date cu caracter personal pe parcursul „ciclului de viață” al acestora (13). În secțiunile următoare, conținutul fiecărei norme suplimentare este analizat ca parte a evaluării articolelor din APPI pe care le completează.

(16)

Spre deosebire de modificarea din 2015, când răspunderea a aparținut diverselor ministere din Japonia din sectoare specifice, APPI împuternicește PPC să adopte „orientări”, „pentru a asigura punerea în aplicare corespunzătoare și eficientă a acțiunilor care trebuie întreprinse de un operator economic” conform normelor de protecție a datelor. Prin intermediul orientărilor sale, PPC oferă o interpretare cu valoare de autoritate a acestor norme, în special a APPI. Conform informațiilor primite din partea PPC, aceste orientări fac parte integrantă din cadrul juridic, trebuie interpretate prin coroborare cu textul APPI, Ordinul Cabinetului, normele PPC și un set de întrebări și răspunsuri (14) elaborat de PPC. Prin urmare, acestea sunt „obligatorii pentru operatorii economici”. În cazul în care orientările prevăd că un operator economic „trebuie” sau „nu ar trebui” să acționeze într-un anumit mod, PPC va considera că nerespectarea dispozițiilor relevante echivalează cu o încălcare a legii (15).

(17)

Domeniul de aplicare al APPI este determinat de conceptele definite: „informații cu caracter personal”, „date cu caracter personal” și „operator economic care gestionează informații cu caracter personal”. În același timp, APPI prevede unele derogări importante de la domeniul său de aplicare, în special pentru datele cu caracter personal prelucrate în mod anonim și pentru tipurile specifice de prelucrare de către anumiți operatori. Deși APPI nu utilizează termenul de „prelucrare”, acesta se bazează pe conceptul echivalent de „gestionare”, care, în conformitate cu informațiile primite de la PPC, include „orice act privind datele cu caracter personal”, inclusiv achiziționarea, introducerea, acumularea, organizarea, stocarea, editarea/prelucrarea, reînnoirea, ștergerea, extragerea, utilizarea sau furnizarea de informații cu caracter personal.

(18)

În primul rând, în ceea ce privește domeniul său de aplicare material, APPI distinge între informațiile cu caracter personal și datele cu caracter personal, doar anumite dispoziții ale legii fiind aplicabile primei categorii. În conformitate cu articolul 2 alineatul (1) din APPI, conceptul de „informație cu caracter personal” include orice informație referitoare la o persoană în viață care permite identificarea persoanei respective. Definiția distinge între două categorii de informații cu caracter personal: (i) coduri individuale de identificare; și (ii) alte informații cu caracter personal prin care poate fi identificată o anumită persoană. Această ultimă categorie include și informații care, în sine, nu permit identificarea, dar care, atunci când sunt „ușor de compilat” cu alte informații, permit identificarea unei anumite persoane. În conformitate cu Orientările PPC (16), se apreciază, de la caz la caz, dacă informațiile pot fi considerate „ușor de compilat”, luând în considerare situația reală („condiția”) a operatorului economic. Se va presupune astfel dacă o astfel de compilare este (sau poate fi) efectuată de un operator economic mediu („normal”), utilizând mijloacele de care dispune operatorul respectiv. De exemplu, informațiile nu sunt „ușor de compilat” cu alte informații în cazul în care un operator economic trebuie să depună eforturi neobișnuite sau să comită acte ilegale pentru a obține informațiile care urmează să fie compilate de la unul sau mai mulți operatori economici.

(19)

Numai anumite forme de informații cu caracter personal intră sub incidența noțiunii de „date cu caracter personal” în conformitate cu APPI. De fapt, „datele cu caracter personal” sunt definite drept „informații cu caracter personal care constituie o bază de date cu informații cu caracter personal”, și anume „un corpus colectiv de informații” care conține informații cu caracter personal „organizate în mod sistematic pentru a permite căutarea de informații cu caracter personal specifice cu ajutorul unui calculator” (17) sau „prevăzute prin ordin al Cabinetului ca fiind organizate sistematic pentru a putea căuta cu ușurință anumite informații cu caracter personal” (dar „cu excepția celor prevăzute prin ordin al Cabinetului ca având puține posibilități de a aduce atingere drepturilor și intereselor unei persoane fizice, având în vedere metoda de utilizare”) (18).

(20)

Această excepție este specificată mai în detaliu la articolul 3 alineatul (1) din Ordinul Cabinetului, conform căruia trebuie să fie îndeplinite următoarele trei condiții cumulative: (i) corpusul colectiv de informații trebuie să fi fost „emis pentru a fi vândut unui număr mare de persoane nespecificate, iar emiterea sa să nu fi fost efectuată prin încălcarea dispozițiilor unei legi sau a unui ordin care se bazează pe acesta”; (ii) corpusul trebuie să poată fi „achiziționat în orice moment de un număr mare de persoane nespecificate”; și (iii) datele cu caracter personal pe care le conține acest corpus trebuie să fie „furnizate în scopul lor inițial fără a adăuga alte informații referitoare la o persoană în viață”. În conformitate cu explicațiile primite din partea PPC, această excepție restrânsă a fost introdusă cu scopul de a exclude cărțile de telefon sau tipurile similare de liste de abonați.

(21)

Pentru datele colectate în Japonia, această distincție între „informațiile cu caracter personal” și „datele cu caracter personal” este relevantă deoarece informațiile respective nu pot face întotdeauna parte dintr-o „bază de date cu informații cu caracter personal” (de exemplu, un set unic de date colectate și prelucrate manual) și, prin urmare, nu se vor aplica acele dispoziții din APPI care se referă exclusiv la datele cu caracter personal (19).

(22)

În schimb, această distincție nu va fi relevantă pentru datele cu caracter personal importate din Uniunea Europeană în Japonia pe baza unei decizii privind caracterul adecvat al nivelului de protecție. Întrucât astfel de date vor fi, de regulă, transferate prin mijloace electronice (având în vedere că în era digitală aceasta este modalitatea obișnuită de a face schimb de date, în special pe o distanță mare, precum între UE și Japonia) și, prin urmare, vor deveni parte a sistemului electronic de înregistrare a datelor deținut de importator, potrivit APPI aceste date ale UE vor intra în categoria „date cu caracter personal”. Dacă datele cu caracter personal ar fi transferate din UE prin alte mijloace (de exemplu, pe suport de hârtie), această situație excepțională va intra în continuare sub incidența APPI în cazul în care, în urma transferului, acestea vor deveni parte a unui „corpus colectiv de informații” organizat sistematic, astfel încât să faciliteze căutarea cu ușurință a unor informații specifice [articolul 2 alineatul (4) punctul (ii) din APPI]. În conformitate cu articolul 3 alineatul (2) din Ordinul Cabinetului, acest lucru se va întâmpla în cazul în care informațiile sunt aranjate „conform unei anumite reguli”, iar baza de date dispune de instrumente, cum ar fi un cuprins sau index, pentru facilitarea căutării. Aceasta corespunde definiției unui „sistem de înregistrare” în sensul articolului 2 alineatul (1) din RGPD.

(23)

Anumite dispoziții ale APPI, în special articolele 27-30 referitoare la drepturile individuale, se aplică doar unei categorii specifice de date cu caracter personal, și anume „datelor cu caracter personal păstrate”. Acestea sunt definite la articolul 2 alineatul (7) din APPI ca date cu caracter personal, altele decât cele care sunt fie: (i) „prevăzute prin ordin al Cabinetului ca fiind de natură să aducă atingere intereselor publice sau de altă natură, în cazul în care prezența sau absența lor este adusă la cunoștință”; fie (ii) „trebuie șterse în termen de maximum un an care este prevăzut prin ordin al Cabinetului”.

(24)

În ceea ce privește prima dintre cele două categorii, aceasta este explicată la articolul 4 din Ordinul Cabinetului și cuprinde patru tipuri de excepții (20). Aceste derogări urmăresc obiective similare celor enumerate la articolul 23 alineatul (1) din Regulamentul (UE) 2016/679, în special protecția persoanei vizate („persoana principală” în terminologia APPI) și libertatea celorlalți, securitatea națională, securitatea publică, aplicarea dreptului penal sau alte obiective importante de interes public general. În plus, din formularea de la articolul 4 alineatul (1) punctele (i)-(iv) din Ordinul Cabinetului rezultă că aplicarea lor presupune întotdeauna un risc specific pentru unul dintre interesele protejate importante (21).

(25)

A doua categorie a fost specificată suplimentar la articolul 5 din Ordinul Cabinetului. Coroborat cu articolul 2 alineatul (7) din APPI, acesta exclude din domeniul de aplicare al noțiunii de date cu caracter personal păstrate și, prin urmare, al drepturilor individuale în conformitate cu APPI, datele cu caracter personal „care urmează să fie șterse” în termen de șase luni. PPC a explicat că această derogare vizează stimularea operatorilor economici să păstreze și să prelucreze datele pentru cea mai scurtă perioadă posibilă. Totuși, acest lucru ar însemna că persoanele vizate din UE nu ar putea beneficia de drepturi importante din alte motive decât durata păstrării datelor lor de către operatorul economic în cauză.

(26)

Pentru a remedia această situație, norma suplimentară (2) prevede că datele cu caracter personal transferate din Uniunea Europeană să fie „prelucrate ca date cu caracter personal păstrate, în sensul articolului 2 alineatul (7) din lege, indiferent de perioada în care se prevede ștergerea acestora”. Prin urmare, perioada de păstrare nu va avea niciun impact asupra drepturilor acordate persoanelor vizate din UE.

(27)

Cerințele aplicabile informațiilor cu caracter personal prelucrate în mod anonim, astfel cum sunt definite la articolul 2 alineatul (9) din APPI, sunt prevăzute în capitolul 4 secțiunea 2 din lege („Obligațiile operatorului economic care gestionează informații prelucrate în mod anonim”). În schimb, aceste informații nu sunt reglementate de dispozițiile capitolului IV secțiunea 1 din APPI, care include articolele ce prevăd garanțiile de protecție a datelor și drepturile care se aplică prelucrării datelor cu caracter personal în temeiul legii respective. În consecință, deși „informațiile cu caracter personal prelucrate în mod anonim” nu fac obiectul normelor „standard” de protecție a datelor (specificate în capitolul IV secțiunea 1 și la articolul 42 din APPI), acestea se încadrează în domeniul de aplicare al APPI, în special articolele 36-39.

(28)

În conformitate cu articolul 2 alineatul (9) din APPI, „informațiile cu caracter personal prelucrate în mod anonim” sunt informațiile referitoare la o persoană care au fost „produse prin prelucrarea informațiilor cu caracter personal” prin intermediul măsurilor prevăzute în APPI [articolul 36 alineatul (1)] și specificate în normele PPC (articolul 19), astfel încât a devenit imposibilă identificarea unei anumite persoane sau restabilirea informațiilor cu caracter personal.

(29)

Din aceste dispoziții, astfel cum a fost confirmat și de către PPC, rezultă că prelucrarea informațiilor cu caracter personal care sunt „anonime” nu trebuie să fie ireversibilă din punct de vedere tehnic. În temeiul articolului 36 alineatul (2) din APPI, operatorii economici care gestionează „informații cu caracter personal prelucrate în mod anonim” au doar obligația de a preveni reidentificarea prin luarea unor măsuri de asigurare a securității „descrierilor etc. și a codurilor individuale de identificare șterse din informațiile cu caracter personal utilizate pentru a obține informații prelucrate în mod anonim, precum și informații referitoare la o metodă de prelucrare aplicată”.

(30)

Având în vedere faptul că „informațiile cu caracter personal prelucrate în mod anonim”, astfel cum sunt definite în APPI, includ date pentru care este încă posibilă reidentificarea persoanei, acest lucru ar putea însemna că datele cu caracter personal transferate din Uniunea Europeană ar putea pierde o parte din măsurile de protecție disponibile prin intermediul unui proces care, în conformitate cu Regulamentul (UE) 2016/679, ar fi considerat mai degrabă o formă de „pseudonimizare” decât de „anonimizare” (prin urmare, fără a li se schimba natura de date cu caracter personal).

(31)

Pentru a remedia această situație, normele suplimentare prevăd cerințe suplimentare aplicabile numai datelor cu caracter personal transferate din Uniunea Europeană în temeiul prezentei decizii. În conformitate cu norma (5) din Normele suplimentare, aceste informații cu caracter personal sunt considerate ca fiind „informații cu caracter personal prelucrate în mod anonim” numai în sensul APPI „în cazul în care operatorul economic care gestionează informații cu caracter personal ia măsuri care fac ca eliminarea datelor de identificare a persoanei să fie ireversibilă pentru oricine, inclusiv prin ștergerea informațiilor legate de metoda de prelucrare etc.” Acestea din urmă au fost specificate în normele suplimentare ca informații referitoare la descrieri și la codurile individuale de identificare care au fost șterse din informațiile cu caracter personal utilizate pentru a produce „informații cu caracter personal prelucrate în mod anonim”, precum și informații referitoare la o metodă de prelucrare aplicată, eliminând în același timp aceste descrieri și coduri de identificare individuale. Cu alte cuvinte, normele suplimentare prevăd obligația operatorului economic care produce „informații cu caracter personal prelucrate în mod anonim” să distrugă „cheia” care permite identificarea din nou a datelor. Acest lucru înseamnă că datele cu caracter personal originare din Uniunea Europeană vor intra sub incidența dispozițiilor APPI cu privire la „informațiile cu caracter personal prelucrate în mod anonim” numai în cazurile în care ar fi, de asemenea, considerate informații anonime în temeiul Regulamentului (UE) 2016/679 (22).

(32)

În ceea ce privește domeniul său de aplicare personal, APPI se aplică numai în cazul operatorilor economici care gestionează informații cu caracter personal. Conform definiției de la articolul 2 alineatul (5) din APPI, un operator economic care gestionează informații cu caracter personal este definit drept „o persoană care furnizează o bază de date cu informații cu caracter personal etc. pentru utilizare în cadrul activității sale”, cu excepția guvernului și a agențiilor administrative, atât la nivel central, cât și la nivel local.

(33)

Conform Orientărilor PPC, „activitate” înseamnă orice „comportament care are ca scop exercitarea, pentru un anumit obiectiv, independent de obținerea sau nu de profit, în mod repetat și continuu, a unei întreprinderi recunoscute din punct de vedere social”. Organizațiile fără personalitate juridică (cum ar fi asociațiile de facto) sau persoanele fizice sunt considerate drept operatori economici care gestionează informații cu caracter personal dacă furnizează (utilizează) o bază de date cu informații cu caracter personal etc. pentru activitățile lor (23). Prin urmare, noțiunea de „activitate” în cadrul APPI este foarte largă, în sensul că include nu numai activități cu scop lucrativ, ci și activități fără scop lucrativ exercitate de toate tipurile de organizații și de persoane fizice. În plus, „utilizarea în cadrul activității” cuprinde, de asemenea, informații cu caracter personal care nu sunt utilizate în relațiile comerciale (externe) ale operatorului, ci intern, de exemplu, pentru prelucrarea datelor angajaților.

(34)

În ceea ce privește beneficiarii măsurilor de protecție prevăzute în APPI, legea nu face nicio distincție în funcție de cetățenia, reședința sau situația geografică a unei persoane. Același lucru este valabil și în ceea ce privește posibilitățile persoanelor fizice de a introduce căi de atac, fie la PPC, fie la o instanță judecătorească.

(35)

În cadrul APPI, nu se face nicio distincție specifică între obligațiile impuse operatorilor și persoanelor împuternicite de către operatori. Absența acestei distincții nu afectează nivelul de protecție, întrucât toți operatorii economici care gestionează informații cu caracter personal intră sub incidența tuturor dispozițiilor legii. Un operator economic care gestionează informații cu caracter personal și care încredințează gestionarea datelor cu caracter personal unui mandatar (echivalentul unei persoane împuternicite de către operator în temeiul RGPD) rămâne supus obligațiilor care îi revin în temeiul APPI și al normelor suplimentare în ceea ce privește datele pe care le-a încredințat. În plus, în conformitate cu articolul 22 din APPI, operatorul respectiv este obligat să „exercite supravegherea necesară și adecvată” asupra mandatarului. La rândul său, astfel cum a confirmat PPC, mandatarul se supune el însuși tuturor obligațiilor prevăzute în APPI și în normele suplimentare.

(36)

Articolul 76 din APPI exclude anumite tipuri de prelucrare a datelor de la aplicarea capitolului IV din lege, care conține principalele dispoziții privind protecția datelor (principii de bază, obligații ale operatorilor economici, drepturi individuale, supravegherea exercitată de PPC). Prelucrarea vizată de excluderea sectorială prevăzută la articolul 76 este exceptată, de asemenea, drept una dintre competențele de executare ale PPC, în temeiul articolului 43 alineatul (2) din APPI (24).

(37)

Categoriile relevante pentru excluziunea sectorială prevăzută la articolul 76 din APPI sunt definite prin utilizarea unui dublu criteriu bazat pe tipul de operator economic care gestionează informații cu caracter personal și prelucrează astfel de informații, precum și pe scopul prelucrării. Mai precis, excluderea se aplică: (i) instituțiilor de radiodifuziune, editorilor de ziare, agențiilor de comunicare sau altor organizații de presă (inclusiv oricărei persoane fizice care desfășoară activități de presă ca activitate profesională), în măsura în care prelucrează informații cu caracter personal în scopuri jurnalistice; (ii) persoanelor implicate într-o activitate profesională legată de scris, în măsura în care activitatea respectivă implică informații cu caracter personal; (iii) universităților și oricăror alte organizații sau grupuri care au drept scop studiile universitare sau oricărei persoane care aparține unei astfel de organizații, în măsura în care prelucrează informații cu caracter personal în scopul studiilor universitare; (iv) instituțiilor religioase în măsura în care prelucrează informații cu caracter personal în scopul desfășurării unei activități religioase (inclusiv a tuturor activităților conexe); și (v) organismelor politice în măsura în care prelucrează informații cu caracter personal în scopul desfășurării activității lor politice (inclusiv a tuturor activităților conexe). Prelucrarea informațiilor cu caracter personal pentru unul dintre scopurile enumerate la articolul 76 de către alte tipuri de operatori economici care gestionează informații cu caracter personal, precum și prelucrarea de informații cu caracter personal de către unul dintre operatorii economici care gestionează astfel de informații în alte scopuri, de exemplu în contextul ocupării forței de muncă, rămân reglementate de dispozițiile capitolului IV.

(38)

Pentru a asigura un nivel adecvat de protecție a datelor cu caracter personal transferate din Uniunea Europeană către operatorii economici din Japonia, sub incidența prezentei decizii ar trebui să intre numai prelucrarea informațiilor cu caracter personal care intră în domeniul de aplicare al capitolului IV din APPI – și anume, de către un operator economic care gestionează informații cu caracter personal în măsura în care situația de prelucrare nu corespunde niciuneia dintre excluderile sectoriale. Prin urmare, domeniul său de aplicare ar trebui aliniat cu cel al APPI. Potrivit informațiilor primite din partea PPC, în cazul în care un operator economic care gestionează informații cu caracter personal și care face obiectul prezentei decizii modifică ulterior scopul utilizării (în măsura în care acest lucru este permis), iar ulterior ar fi vizat de una dintre excluderile sectoriale prevăzute la articolul 76 din APPI, această situație ar fi considerată drept transfer internațional (având în vedere că, în astfel de cazuri, prelucrarea informațiilor cu caracter personal nu ar mai fi reglementată de capitolul IV din APPI și, prin urmare, nu ar intra în domeniul său de aplicare). Același lucru s-ar aplica în cazul în care un operator economic care gestionează informații cu caracter personal oferă astfel de informații unei entități care intră sub incidența articolului 76 din APPI în vederea utilizării pentru unul dintre scopurile de prelucrare indicate în dispoziția respectivă. În ceea ce privește datele cu caracter personal transferate din Uniunea Europeană, acesta ar constitui, prin urmare, un transfer ulterior sub rezerva garanțiilor relevante [în special cele menționate la articolul 24 din APPI și în norma suplimentară (4)]. În cazul în care operatorul economic care gestionează informații cu caracter personal se bazează pe consimțământul persoanei vizate (25), acesta va trebui să îi furnizeze toate informațiile necesare, inclusiv cu privire la faptul că informațiile cu caracter personal nu vor mai fi protejate de APPI.

(39)

Datele cu caracter personal ar trebui să fie prelucrate într-un scop anume și să fie utilizate ulterior numai în măsura în care acest lucru nu este incompatibil cu scopul prelucrării. Acest principiu al protecției datelor este garantat în temeiul articolelor 15 și 16 din APPI.

(40)

APPI se bazează pe principiul care prevede că un operator economic trebuie să specifice scopul utilizării „cât mai explicit posibil” [articolul 15 alineatul (1)] și că, atunci când prelucrează datele, îi revin obligații în acest sens.

(41)

În această privință, articolul 15 alineatul (2) din APPI prevede că scopul inițial nu poate fi modificat de către operatorul economic care gestionează informații cu caracter personal „în afară de domeniul de aplicare recunoscut ca fiind relevant în mod rezonabil în scopul de utilizare premodificat”, care este interpretat în orientările PPC drept echivalent cu ceea ce poate fi anticipat în mod obiectiv de către persoana vizată, pe baza „convențiilor sociale normale” (26).

(42)

În plus, în conformitate cu articolul 16 alineatul (1) din APPI, operatorilor economici care gestionează informații cu caracter personal le este interzis să prelucreze astfel de informații dincolo de „domeniul de aplicare necesar pentru a atinge un scop de utilizare” specificat la articolul 15 fără a obține în prealabil consimțământul persoanei vizate, cu excepția cazului în care se aplică una dintre derogările prevăzute la articolul 16 alineatul (3) (27).

(43)

În ceea ce privește informațiile cu caracter personal obținute de la un alt operator economic, operatorul economic care gestionează informații cu caracter personal este, în principiu, liber să stabilească un nou scop de utilizare (28). Pentru a se asigura că, în cazul unui transfer din Uniunea Europeană, un astfel de destinatar este obligat să respecte scopul în care au fost transferate datele, norma suplimentară (3) impune ca, în cazurile în care un [operator economic care gestionează informații cu caracter personal] primește date cu caracter personal din UE pe baza unei decizii privind caracterul adecvat al nivelului de protecție” sau un astfel de operator „primește de la un alt [operator economic care gestionează informații cu caracter personal] date cu caracter personal transferate anterior din UE pe baza unei decizii privind caracterul adecvat al nivelului de protecție” (transmitere mai departe), destinatarul trebuie „să precizeze scopul utilizării datelor cu caracter personal menționate în sfera scopului de utilizare pentru care datele au fost primite inițial sau ulterior”. Cu alte cuvinte, regula garantează că, în contextul unui transfer, scopul specificat în temeiul Regulamentului (UE) 2016/679 continuă să determine prelucrarea și că o modificare a acestui scop în orice etapă a lanțului de prelucrare din Japonia ar necesita consimțământul persoanei vizate din UE. Deși obținerea acestui consimțământ impune operatorului economic care gestionează informații cu caracter personal să contacteze persoana vizată, în cazul în care acest lucru nu este posibil, rezultă pur și simplu că scopul inițial trebuie să fie menținut.

(44)

Protecția suplimentară menționată în considerentul 43 este cu atât mai relevantă cu cât, cu ajutorul principiului limitării scopului, sistemul japonez garantează, de asemenea, că datele cu caracter personal sunt prelucrate în mod legal și corect.

(45)

În conformitate cu APPI, atunci când un operator economic care gestionează informații cu caracter personal colectează astfel de informații, este necesar să se precizeze în mod detaliat scopul utilizării informațiilor cu caracter personal (29) și să se informeze cu promptitudine persoana vizată cu privire la utilizarea informațiilor cu caracter personal (sau la divulgarea către publicul larg) în acest scop (30). În plus, articolul 17 din APPI prevede că un operator economic care gestionează informații cu caracter personal nu poate achiziționa astfel de informații prin înșelăciune sau prin alte mijloace neadecvate. În ceea ce privește anumite categorii de date, cum ar fi informațiile cu caracter personal care implică o atenție specială, achiziționarea lor necesită consimțământul persoanei vizate [articolul 17 alineatul (2) din APPI].

(46)

În consecință, astfel cum s-a explicat în considerentele 41 și 42, operatorul economic care gestionează informațiile cu caracter personal nu este autorizat să prelucreze astfel de informații în alte scopuri, cu excepția cazului în care persoana vizată își dă consimțământul pentru o astfel de prelucrare sau în cazul în care se aplică una dintre derogările prevăzute la articolul 16 alineatul (3) din APPI.

(47)

În cele din urmă, în ceea ce privește furnizarea suplimentară de informații cu caracter personal unei părți terțe (31), articolul 23 alineatul (1) din APPI limitează divulgarea acestora la cazuri specifice, cu consimțământul prealabil al persoanei vizate, ca regulă generală (32). Articolul 23 alineatele (2), (3) și (4) din APPI prevede excepții de la cerința de obținere a consimțământului. Totuși, aceste excepții se aplică numai în cazul datelor care nu sunt sensibile și necesită ca operatorul economic să informeze în prealabil persoanele vizate cu privire la intenția de a divulga informațiile cu caracter personal ale acestora către o parte terță și cu privire la posibilitatea de a se opune oricărei alte divulgări ulterioare (33).

(48)

În ceea ce privește transferurile din Uniunea Europeană, datele cu caracter personal vor trebui, în mod necesar, să fie mai întâi colectate și prelucrate în UE în conformitate cu Regulamentul (UE) 2016/679. Acest lucru va implica întotdeauna, pe de o parte, colectarea și prelucrarea, inclusiv pentru transferul din Uniunea Europeană în Japonia, pe baza unuia dintre temeiurile juridice enumerate la articolul 6 alineatul (1) din regulament și, pe de altă parte, colectarea într-un scop specific, explicit și legitim, precum și interzicerea prelucrării ulterioare, inclusiv prin transfer, într-un mod incompatibil cu acest scop, astfel cum se prevede la articolul 5 alineatul (1) litera (b) și la articolul 6 alineatul (4) din regulament.

(49)

În urma transferului, conform normei suplimentare (3), operatorul economic care gestionează informații cu caracter personal și care va primi datele va trebui să „confirme” scopul (scopurile) specific(e) care stă (stau) la baza transferului [și anume, scopul specificat în temeiul Regulamentului (UE) 2016/679] și să prelucreze ulterior aceste date în conformitate cu scopul (scopurile) respectiv(e) (34). Aceasta înseamnă nu numai că dobânditorul inițial al acestor date cu caracter personal din Japonia, ci și orice viitor destinatar al datelor (inclusiv un mandatar) trebuie să respecte scopul (scopurile) specificat(e) în regulament.

(50)

În plus, în cazul în care operatorul economic care gestionează informații cu caracter personal ar dori să schimbe scopul specificat anterior în conformitate cu Regulamentul (UE) 2016/679, în temeiul articolului 16 alineatul (1) din APPI acesta ar trebui să obțină, în principiu, consimțământul persoanei vizate. În absența acestui consimțământ, orice prelucrare a datelor care depășește domeniul de aplicare necesar pentru atingerea scopului său de utilizare ar constitui o încălcare a articolului 16 alineatul (1), care ar putea fi invocată de PPC și de instanțele judecătorești.

(51)

Prin urmare, având în vedere faptul că, în conformitate cu Regulamentul (UE) 2016/679, un transfer necesită un temei juridic valabil și un scop specific, care se reflectă în scopul utilizării „confirmat” în conformitate cu APPI, combinația dintre dispozițiile relevante ale APPI și ale normei suplimentare (3) oferă asigurarea că prelucrarea datelor UE în Japonia va continua să fie legală.

(52)

Datele ar trebui să fie exacte și, dacă este necesar, actualizate. De asemenea, ar trebui să fie adecvate, relevante și neexcesive în raport cu scopurile în care sunt prelucrate.

(53)

Aceste principii sunt asigurate în legislația japoneză de articolul 16 alineatul (1) din APPI, care interzice gestionarea informațiilor cu caracter personal dincolo de „domeniul de aplicare necesar pentru a atinge un scop de utilizare”. Astfel cum a explicat PPC, acest lucru nu doar exclude utilizarea datelor care nu sunt exacte și utilizarea excesivă a datelor (dincolo de ceea ce este necesar pentru atingerea scopului de utilizare), ci implică, de asemenea, interdicția de a trata datele care nu sunt relevante pentru realizarea scopului de utilizare.

(54)

În ceea ce privește obligația de a păstra datele exacte și actualizate, articolul 19 din APPI prevede obligația operatorului economic care gestionează informații cu caracter personal de a „depune eforturi pentru a păstra datele cu caracter personal exacte și actualizate în domeniul de aplicare necesar pentru a atinge scopul utilizării”. Această dispoziție ar trebui citită împreună cu articolul 16 alineatul (1) din APPI: conform explicațiilor primite din partea PPC, în cazul în care un operator economic care gestionează informații cu caracter personal nu îndeplinește standardele de acuratețe prevăzute, prelucrarea informațiilor cu caracter personal nu va fi considerată ca îndeplinind scopul de utilizare și, prin urmare, gestionarea acestora va deveni ilegală în temeiul articolului 16 alineatul (1).

(55)

În principiu, datele nu ar trebui să fie păstrate pentru o perioadă mai îndelungată decât este necesar în vederea atingerii scopurilor în care sunt prelucrate datele cu caracter personal.

(56)

În conformitate cu articolul 19 din APPI, operatorii economici care gestionează informații cu caracter personal au obligația de a „depune eforturi […] pentru a șterge fără întârziere datele cu caracter personal atunci când o astfel de utilizare a devenit inutilă”. Această dispoziție trebuie interpretată în coroborare cu articolul 16 alineatul (1) din APPI, care interzice gestionarea informațiilor cu caracter personal dincolo de „domeniul de aplicare necesar pentru a atinge un scop de utilizare”. Odată ce scopul utilizării a fost atins, prelucrarea informațiilor cu caracter personal nu mai poate fi considerată necesară și, prin urmare, nu poate continua (cu excepția cazului în care operatorul economic care gestionează informații cu caracter personal obține în acest sens consimțământul persoanei vizate).

(57)

Datele cu caracter personal ar trebui prelucrate într-un mod care să le asigure securitatea, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale. În acest scop, operatorii economici ar trebui să ia măsurile tehnice sau organizatorice adecvate pentru a proteja datele cu caracter personal împotriva eventualelor amenințări. Aceste măsuri ar trebui să fie evaluate luând în considerare cunoștințele actuale și costurile aferente.

(58)

Acest principiu este pus în aplicare în legislația japoneză prin articolul 20 din APPI, care prevede ca un operator economic ce gestionează informații cu caracter personal „să ia măsurile necesare și adecvate pentru controlul securității datelor cu caracter personal, inclusiv pentru prevenirea scurgerii, pierderii sau deteriorării datelor sale cu caracter personal pe care le gestionează.” Orientările PPC explică măsurile care trebuie luate, inclusiv metodele de stabilire a politicilor de bază, a normelor de gestionare a datelor și a diferitelor „acțiuni de control” (în ceea ce privește siguranța organizațională, precum și securitatea umană, fizică și tehnologică) (35). În plus, orientările PPC și o comunicare specifică (apendicele 8 privind „conținutul măsurilor de gestionare a siguranței care trebuie luate”), publicate de PPC, furnizează mai multe detalii privind măsurile referitoare la incidentele de securitate care implică, de exemplu, scurgerile de informații cu caracter personal, ca parte a măsurilor de gestionare a securității ce urmează să fie luate de către operatorii economici care gestionează informații cu caracter personal (36).

(59)

În plus, ori de câte ori angajații sau subcontractanții gestionează informații cu caracter personal, trebuie să se asigure „supravegherea necesară și corespunzătoare” în conformitate cu articolele 20 și 21 din APPI în ceea ce privește controlul de securitate. În fine, în conformitate cu articolul 83 din APPI, scurgerea intenționată sau furtul de informații cu caracter personal este pasibil de o sancțiune de până la un an de închisoare.

(60)

Persoanele vizate ar trebui să fie informate cu privire la principalele caracteristici ale prelucrării datelor lor cu caracter personal.

(61)

Articolul 18 alineatul (1) din APPI prevede că operatorul economic care gestionează informații cu caracter personal are obligația de a informa persoana vizată cu privire la scopul utilizării informațiilor cu caracter personal disponibile, cu excepția „cazurilor în care un scop de utilizare a fost divulgat în prealabil publicului”. Aceeași obligație se aplică în cazul unei modificări admisibile a scopului [articolul 18 alineatul (3)]. Se garantează astfel că persoana vizată este informată cu privire la faptul că datele sale au fost colectate. Cu toate că APPI nu solicită, în general, operatorului economic care gestionează informații cu caracter personal să informeze persoana vizată cu privire la destinatarii prevăzuți ai informațiilor cu caracter personal în etapa colectării, aceste informații reprezintă o condiție necesară pentru orice divulgare ulterioară de informații către o parte terță (destinatar) în temeiul articolului 23 alineatul (2), prin urmare, în cazul în care acest lucru se realizează fără consimțământul prealabil al persoanei vizate.

(62)

În ceea ce privește „datele cu caracter personal păstrate”, articolul 27 din APPI prevede că operatorul economic care gestionează informații cu caracter personal informează persoana vizată cu privire la identitatea sa (detaliile de contact), la scopul utilizării și la procedurile de răspuns la o cerere privind drepturile individuale ale persoanei vizate în temeiul articolelor 28, 29 și 30 din APPI.

(63)

În conformitate cu normele suplimentare, datele cu caracter personal transferate din Uniunea Europeană vor fi considerate „date cu caracter personal păstrate”, indiferent de perioada lor de păstrare (cu excepția cazului în care acestea fac obiectul unor derogări); acestea vor fi întotdeauna supuse cerințelor de transparență prevăzute în ambele dispoziții menționate anterior.

(64)

Atât cerințele articolului 18, cât și obligația de a informa cu privire la scopul utilizării, în conformitate cu articolul 27 din APPI sunt supuse aceluiași set de derogări, bazate în principal pe considerente de interes public și pe protecția drepturilor și a intereselor persoanei vizate, ale părților terțe și ale operatorului (37). În conformitate cu interpretarea formulată în orientările PPC, aceste excepții se aplică în situații foarte specifice, cum ar fi cazurile în care informațiile privind scopul utilizării ar risca să submineze măsurile legitime luate de operatorul economic pentru a proteja anumite interese (de exemplu, lupta împotriva fraudei, spionajului industrial, sabotajului).

(65)

Ar trebui să existe garanții specifice în cazul în care sunt prelucrate „categorii speciale de date”.

(66)

„Informațiile cu caracter personal care implică o atenție specială” sunt definite la articolul 2 alineatul (3) din APPI. Dispoziția menționată anterior se referă la „informații cu caracter personal care conțin rasa, crezul, statutul social, istoricul medical, cazierul judiciar, prejudiciile suferite în urma unei infracțiuni sau alte descrieri etc. ale persoanei principale, prevăzute în Ordinul Cabinetului ca fiind cele a căror gestionare necesită o atenție specială, pentru a nu cauza discriminare injustă, prejudecăți sau alte dezavantaje pentru persoana principală”. Aceste categorii corespund în mare parte listei de date sensibile în temeiul articolelor 9 și 10 din Regulamentul (UE) 2016/679. În special, „istoricul medical” corespunde datelor medicale, iar „cazierul judiciar și prejudiciile suferite în urma unei infracțiuni” sunt în esență aceleași ca și categoriile menționate la articolul 10 din Regulamentul (UE) 2016/679. Categoriile menționate la articolul 2 alineatul (3) din APPI sunt supuse unei interpretări ulterioare în Ordinul Cabinetului și în orientările PPC. În conformitate cu secțiunea 2.3 punctul (8) din orientările PPC, subcategoriile de „istoric medical” detaliate la articolul 2 punctele (ii) și (iii) din Ordinul Cabinetului sunt interpretate ca incluzând date genetice și biometrice. De asemenea, deși lista nu include în mod expres termenii „origine etnică” și „opinie politică”, aceasta cuprinde trimiteri la „rasă” și „crez”. Astfel cum s-a explicat în secțiunea 2.3 punctele 1 și 2 din orientările PPC, trimiterea la „rasă” include „legăturile etnice sau legăturile cu o anumită parte a lumii”, iar prin „crez” se înțeleg atât opiniile religioase, cât și cele politice.

(67)

Astfel cum reiese în mod clar din formularea dispoziției, aceasta nu este o listă închisă, întrucât alte categorii de date pot fi adăugate în măsura în care prelucrarea lor creează un risc de „discriminare injustă, prejudecăți sau alte dezavantaje pentru persoana principală”.

(68)

Deși conceptul de date „sensibile” este inerent o construcție socială în sensul că se bazează pe tradițiile culturale și juridice, pe considerentele de ordin moral și pe opțiunile de politică etc. ale unei anumite societăți, având în vedere importanța furnizării unor garanții adecvate pentru datele sensibile atunci când sunt transferate către operatorii economici din Japonia, Comisia a obținut ca protecția specială acordată „informațiilor cu caracter personal care necesită o atenție specială” în temeiul dreptului japonez să fie extinsă la toate categoriile recunoscute ca „date sensibile” în Regulamentul (UE) 2016/679. În acest scop, norma suplimentară (1) prevede că datele transferate din Uniunea Europeană privind viața sexuală, orientarea sexuală sau apartenența la un sindicat a unei persoane fizice se prelucrează de către operatorii economici care gestionează informații cu caracter personal „în același mod ca informațiile cu caracter personal care necesită o atenție specială în sensul articolului 2 alineatul (3) din [APPI]”.

(69)

În ceea ce privește garanțiile materiale suplimentare care se aplică în cazul informațiilor cu caracter personal ce necesită o atenție specială, în conformitate cu articolul 17 alineatul (2) din APPI, operatorii economici care gestionează informații cu caracter personal nu sunt autorizați să achiziționeze astfel de date fără consimțământul prealabil al persoanei fizice în cauză, fiind supuși doar unor excepții limitate (38). În plus, această categorie de informații cu caracter personal este exclusă de la posibilitatea unei divulgări către părți terțe pe baza procedurii prevăzute la articolul 23 alineatul (2) din APPI (care permite transmiterea datelor către părți terțe fără consimțământul prealabil al persoanei în cauză).

(70)

Conform principiului responsabilității, entităților care prelucrează date li se solicită să pună în aplicare măsuri tehnice și organizatorice adecvate pentru a-și respecta în mod efectiv obligațiile în materie de protecție a datelor și pentru a putea demonstra această conformitate, în special autorității de supraveghere competente.

(71)

Astfel cum s-a menționat în nota de subsol 34 (considerentul 49), operatorii economici care gestionează informații cu caracter personal sunt obligați, în conformitate cu articolul 26 alineatul (1) din APPI, să verifice identitatea părții terțe care le furnizează date cu caracter personal și „circumstanțele” în care aceste date au fost dobândite de partea terță [în cazul datelor cu caracter personal reglementate de prezenta decizie, în conformitate cu APPI și cu norma suplimentară (3), printre aceste circumstanțe se numără faptul că datele provin din Uniunea Europeană, precum și scopul transferului inițial de date]. Printre altele, această măsură vizează asigurarea legalității prelucrării datelor de-a lungul întregului lanț de gestionare a datelor cu caracter personal de către operatorii economici care gestionează informații cu caracter personal. În plus, în temeiul articolului 26 alineatul (3) din APPI, operatorii economici care gestionează informații cu caracter personal au obligația de a ține o evidență a datei de primire și a informațiilor (obligatorii) primite de la partea terță în temeiul alineatului (1), precum și a numelui persoanei în cauză (al persoanei vizate), a categoriilor de date prelucrate și, în măsura în care este relevant, a faptului că persoana vizată și-a dat consimțământul pentru partajarea datelor sale cu caracter personal. Astfel cum se prevede la articolul 18 din normele PPC, aceste evidențe trebuie păstrate pentru o perioadă de cel puțin unu până la trei ani, în funcție de circumstanțe. În exercitarea atribuțiilor sale, PPC poate solicita prezentarea unor astfel de evidențe (39).

(72)

Operatorii economici care gestionează informații cu caracter personal trebuie să trateze cu promptitudine și în mod corespunzător plângerile primite de la persoanele vizate cu privire la prelucrarea informațiilor lor cu caracter personal. Pentru a facilita tratarea plângerilor, aceștia stabilesc un „sistem necesar pentru atingerea scopului [în cauză]”, ceea ce înseamnă că ar trebui să instituie proceduri adecvate în cadrul organizației lor (de exemplu, să atribuie responsabilități sau să pună la dispoziție un punct de contact).

(73)

În cele din urmă, APPI creează un cadru pentru participarea organizațiilor sectoriale la asigurarea unui nivel ridicat de conformitate (a se vedea capitolul IV secțiunea 4). Rolul unor astfel de organizații acreditate de protecție a informațiilor cu caracter personal (40) este de a promova protecția acestor informații prin sprijinirea întreprinderilor prin expertiza lor, dar și de a contribui la punerea în aplicare a garanțiilor, în special prin tratarea plângerilor individuale și prin contribuția la soluționarea conflictelor legate de acestea. În acest scop, ele pot solicita, după caz, operatorilor economici participanți care gestionează informații cu caracter personal să adopte măsurile necesare (41). În plus, în cazul încălcării securității datelor sau al altor incidente de securitate, operatorii economici care gestionează informații cu caracter personal informează, în principiu, PPC, precum și persoana vizată (sau publicul larg) și iau măsurile necesare, inclusiv măsuri pentru a reduce la minimum orice daune și pentru a preveni repetarea unor incidente similare (42). Deși acestea sunt sisteme voluntare, la 10 august 2017, PPC a întocmit o listă cu 44 de organizații, dintre care cea mai mare, Centrul pentru prelucrarea și dezvoltarea informațiilor din Japonia (Japan Information Processing and Development Center – JIPDEC), reprezintă 15 436 de operatori economici participanți (43). Printre sistemele acreditate se numără asociații sectoriale cum ar fi Asociația japoneză a dealerilor de titluri de valoare, Asociația japoneză a școlilor de șoferi sau Asociația organizatorilor de nunți (44).

(74)

Organizațiile acreditate de protecție a informațiilor cu caracter personal prezintă rapoarte anuale cu privire la operațiunile lor. Conform documentului „Prezentare generală a stadiului punerii în aplicare a APPI în exercițiul financiar 2015”, publicat de PPC, organizațiile acreditate de protecție a informațiilor cu caracter personal au primit în total 442 de plângeri, au solicitat 123 de explicații din partea operatorilor economici aflați în jurisdicția lor, au solicitat documente de la acești operatori în 41 de cazuri, au oferit 181 de instrucțiuni și au formulat două recomandări (45).

(75)

Nivelul de protecție oferit datelor cu caracter personal transferate din Uniunea Europeană către operatorii economici din Japonia nu trebuie să fie subminat de transferul suplimentar al acestor date către destinatari dintr-o altă țară terță decât Japonia. Astfel de „transferuri ulterioare”, care, din perspectiva operatorului economic din Japonia, constituie transferuri internaționale din Japonia, ar trebui să fie permise numai în cazul în care destinatarul suplimentar din afara Japoniei intră el însuși sub incidența unor norme care asigură un nivel de protecție similar cu cel garantat în cadrul ordinii juridice japoneze.

(76)

O primă protecție este consacrată la articolul 24 din APPI, care interzice, în general, transferul de date cu caracter personal către o parte terță din afara teritoriului Japoniei fără acordul prealabil al persoanei în cauză. Norma suplimentară (4) garantează că, în cazul transferurilor de date din Uniunea Europeană, acest consimțământ va fi acordat în plină cunoștință de cauză, întrucât impune ca persoanei în cauză să îi fie „furnizate informații privind circumstanțele transferului necesare astfel încât persoana principală să ia o decizie cu privire la consimțământul său”. Având în vedere aceste elemente, persoana vizată va fi informată cu privire la faptul că datele vor fi transferate în străinătate (în afara domeniului de aplicare a APPI) și cu privire la țara de destinație specifică. Acest lucru îi va permite să evalueze riscul pe care îl implică transferul pentru respectarea vieții private. De asemenea, astfel cum se poate deduce din articolul 23 din APPI (a se vedea considerentul 47), informațiile furnizate persoanei principale ar trebui să cuprindă elementele obligatorii menționate la alineatul (2), și anume categoriile de date cu caracter personal furnizate unei părți terțe și metoda de divulgare.

(77)

Articolul 24 din APPI, aplicat împreună cu articolul 11 alineatul (2) din normele PPC, prevede câteva excepții de la această normă bazată pe consimțământ. În plus, în temeiul articolului 24, aceleași derogări precum cele aplicabile în conformitate cu articolul 23 alineatul (1) din APPI se aplică și transferurilor internaționale de date (46).

(78)

Pentru a asigura continuitatea protecției în cazul datelor cu caracter personal transferate din Uniunea Europeană în Japonia în temeiul prezentei decizii, norma suplimentară (4) sporește nivelul de protecție pentru transferurile ulterioare de astfel de date de către operatorul economic care gestionează informații cu caracter personal către un destinatar din țara terță. Acest lucru se realizează prin limitarea și definirea bazelor pentru transferurile internaționale care pot fi utilizate de către operatorul economic care gestionează informații cu caracter personal ca alternativă la consimțământ. Mai precis și fără a aduce atingere derogărilor prevăzute la articolul 23 alineatul (1) din APPI, datele cu caracter personal transferate în temeiul prezentei decizii nu pot face obiectul transferurilor (ulterioare) fără consimțământ decât în două cazuri: (i) în cazul în care datele sunt transmise unei țări terțe care a fost recunoscută de PPC în temeiul articolului 24 din APPI ca oferind un nivel de protecție echivalent celui garantat în Japonia (47); sau (ii) în cazul în care operatorul economic care gestionează informații cu caracter personal și partea terță destinatară au pus în aplicare împreună măsuri de asigurare a unui nivel de protecție echivalent cu cel prevăzut în APPI, lege coroborată cu normele suplimentare, prin intermediul unui contract, al altor forme de acorduri obligatorii sau al unor acorduri obligatorii în cadrul unui grup de întreprinderi. A doua categorie corespunde instrumentelor utilizate în temeiul Regulamentului (UE) 2016/679 pentru a se asigura garanții adecvate (în special, clauze contractuale și reguli corporatiste obligatorii). În plus, astfel cum a fost confirmat de către PPC, chiar și în aceste cazuri, transferul rămâne sub incidența normelor generale aplicabile oricărei furnizări de date cu caracter personal către o parte terță în conformitate cu APPI [adică sub incidența cerinței de obținere a consimțământului în temeiul articolului 23 alineatul (1) sau, alternativ, sub incidența cerinței privind informațiile, cu posibilitatea de a opta pentru neparticipare în temeiul articolului 23 alineatul (2) din APPI]. În cazul în care nu este posibil ca persoanei vizate să i se transmită o cerere de consimțământ sau o cerere de comunicare a informațiilor prealabile solicitate în conformitate cu articolul 23 alineatul (2) din APPI, transferul nu poate avea loc.

(79)

Prin urmare, în afara cazurilor în care PPC a constatat că țara terță în cauză asigură un nivel de protecție echivalent cu cel garantat de către APPI (48), cerințele prevăzute în norma suplimentară (4) exclud utilizarea unor instrumente de transfer care nu creează o relație obligatorie între exportatorul de date din Japonia și importatorul de date din țara terță și care nu garantează nivelul de protecție cerut. Acesta va fi cazul, de exemplu, al Sistemului de norme transfrontaliere privind protecția vieții private (CBPR) din cadrul APEC, la care Japonia este o economie participantă (49), întrucât, în acest sistem, măsurile de protecție nu rezultă dintr-un acord care obligă exportatorul și importatorul în contextul relației lor bilaterale și sunt, în mod evident, la un nivel mai scăzut decât cel garantat de combinația dintre APPI și normele suplimentare (50).

(80)

În cele din urmă, o garanție suplimentară în cazul transferurilor (ulterioare) rezultă din articolele 20 și 22 din APPI. În conformitate cu aceste dispoziții, în cazul în care un operator dintr-o țară terță (importator de date) acționează în numele operatorului economic care gestionează informații cu caracter personal (exportator de date), și anume în calitate de (subcontractant), acesta din urmă trebuie să asigure supravegherea celui dintâi în ceea ce privește securitatea prelucrării datelor.

(81)

La fel ca legislația UE privind protecția datelor, APPI le acordă persoanelor fizice o serie de drepturi garantate. Printre acestea se numără dreptul de acces („divulgare”), rectificarea și ștergerea, precum și dreptul la opoziție („încetarea utilizării”).

(82)

În primul rând, în temeiul articolului 28 alineatele (1) și (2) din APPI, o persoană vizată are dreptul de a solicita unui operator economic care gestionează informații cu caracter personal să „divulge date cu caracter personal păstrate care îl pot identifica” și, la primirea unei astfel de cereri, operatorul respectiv „comunică datele cu caracter personal păstrate” persoanei vizate. Articolele 29 (dreptul de rectificare) și 30 (dreptul la încetarea utilizării) au aceeași structură ca articolul 28.

(83)

Articolul 9 din Ordinul Cabinetului precizează că divulgarea informațiilor cu caracter personal menționată la articolul 28 alineatul (2) din APPI se face în scris, cu excepția cazului în care operatorul economic care gestionează informații cu caracter personal și persoana vizată au convenit altfel.

(84)

Aceste drepturi fac obiectul a trei tipuri de restricții, referitoare la drepturile și interesele individuale ale persoanei sau ale părților terțe (51), la afectarea gravă a operațiunilor comerciale ale operatorului economic care gestionează informații cu caracter personal (52), precum și la cazurile în care divulgarea ar încălca alte acte cu putere de lege sau norme administrative (53). Situațiile în care s-ar aplica aceste restricții sunt similare cu unele dintre excepțiile aplicabile în temeiul articolului 23 alineatul (1) din Regulamentul (UE) 2016/679, care permite limitarea drepturilor persoanelor din motive legate de „protecția persoanei vizate sau a drepturilor și libertăților altora” sau de „alte obiective importante de interes public general”. Deși categoria de cazuri în care divulgarea ar încălca „alte acte cu putere de lege sau norme administrative” poate părea generală, actele cu putere de lege sau normele administrative care prevăd limitări în această privință trebuie să respecte dreptul constituțional la viață privată și pot impune restricții numai în măsura în care exercitarea acestui drept ar „interfera cu bunăstarea publică” (54). Acest lucru necesită o echilibrare a intereselor în cauză.

(85)

În conformitate cu articolul 28 alineatul (3) din APPI, în cazul în care nu există datele solicitate sau în cazul în care operatorul economic în cauză ce gestionează informații cu caracter personal decide să nu acorde acces la datele păstrate, este necesar ca persoana în cauză să fie informată fără întârziere.

(86)

În al doilea rând, în temeiul articolului 29 alineatele (1) și (2) din APPI, o persoană vizată are dreptul de a solicita rectificarea, adăugarea sau ștergerea datelor sale cu caracter personal păstrate, în cazul în care datele sunt inexacte. La primirea unei astfel de cereri, operatorul economic care gestionează informații cu caracter personal „efectuează […] o investigație necesară” și, pe baza rezultatelor unei astfel de investigații, „face o rectificare etc. privind conținutul datelor păstrate”.

(87)

În al treilea rând, în temeiul articolului 30 alineatele (1) și (2) din APPI, o persoană vizată are dreptul de a solicita unui operator economic care gestionează informații cu caracter personal să întrerupă utilizarea acestui tip de informații sau să șteargă aceste informații, atunci când sunt tratate cu încălcarea articolului 16 (în ceea ce privește limitarea scopului) sau au fost dobândite în mod necorespunzător prin încălcarea articolului 17 din APPI (în ceea ce privește achiziția prin înșelăciune, alte mijloace necorespunzătoare sau, în cazul unor date sensibile, fără consimțământ). De asemenea, în conformitate cu articolul 30 alineatele (3) și (4) din APPI, persoana are dreptul de a solicita operatorului economic care gestionează informații cu caracter personal să înceteze furnizarea de informații unei părți terțe în cazul în care astfel s-ar încălca dispozițiile articolului 23 alineatul (1) sau ale articolului 24 din APPI (în ceea ce privește dispoziția referitoare la părțile terțe, inclusiv la transferurile internaționale).

(88)

Atunci când cererea este întemeiată, operatorul economic care gestionează informații cu caracter personal întrerupe fără întârziere utilizarea datelor sau transmiterea către o parte terță, în măsura necesară pentru a remedia încălcarea sau, în cazul în care situația respectivă face obiectul unei derogări (în special dacă încetarea utilizării ar cauza costuri deosebit de ridicate) (55), pune în aplicare măsurile alternative necesare pentru a proteja drepturile și interesele persoanei în cauză.

(89)

Spre deosebire de legislația UE, APPI și normele juridice de rang inferior relevante nu conțin dispoziții legale care să abordeze în mod specific posibilitatea de a se opune prelucrării în scopuri de marketing direct. Cu toate acestea, o astfel de prelucrare, în temeiul prezentei decizii, va avea loc în contextul unui transfer de date cu caracter personal care au fost colectate anterior în Uniunea Europeană. În conformitate cu articolul 21 alineatul (2) din Regulamentul (UE) 2016/679, persoana vizată are întotdeauna posibilitatea de a se opune unui transfer de date pentru a fi prelucrate în scopuri de marketing direct. În plus, astfel cum se explică în considerentul 43, în temeiul normei suplimentare (3), un operator economic care gestionează informații cu caracter personal este obligat să prelucreze datele primite în temeiul deciziei în același scop precum cel pentru care datele au fost transferate din Uniunea Europeană, cu excepția cazului în care persoana vizată consimte să modifice scopul utilizării. Prin urmare, în cazul în care transferul a fost efectuat în orice alt scop decât cel de marketing direct, unui operator economic din Japonia care gestionează informații cu caracter personal i se va interzice să prelucreze datele în scopul marketingului direct fără consimțământul persoanei vizate din UE.

(90)

În toate cazurile menționate la articolele 28 și 29 din APPI, operatorul economic care gestionează informații cu caracter personal are obligația de a informa persoana cu privire la rezultatul cererii sale fără întârziere și, în plus, trebuie să explice orice refuz (parțial) bazat pe excepțiile statutare prevăzute la articolele 27-30 (articolul 31 din APPI).

(91)

În ceea ce privește condițiile pentru depunerea unei cereri, articolul 32 din APPI (împreună cu Ordinul Cabinetului) permite operatorului economic care gestionează informații cu caracter personal să stabilească proceduri rezonabile, inclusiv în ceea ce privește informațiile necesare pentru identificarea datelor cu caracter personal păstrate. Cu toate acestea, în conformitate cu alineatul (4) din prezentul articol, operatorii economici care gestionează informații cu caracter personal nu trebuie să impună o „sarcină excesivă asupra unei persoane principale”. În anumite cazuri, operatorii respectivi pot impune taxe atât timp cât cuantumul acestora se înscrie „la un nivel considerat rezonabil în raport cu costurile actuale” (articolul 33 din APPI).

(92)

În cele din urmă, persoana poate obiecta față de furnizarea către o parte terță a informațiilor sale cu caracter personal, în conformitate cu articolul 23 alineatul (2) din APPI, sau poate refuza să își dea consimțământul în temeiul articolului 23 alineatul (1) (împiedicând astfel divulgarea în cazul în care nu ar fi disponibil niciun alt temei juridic). De asemenea, persoana în cauză poate opri prelucrarea datelor în alt scop, refuzând să își dea consimțământul în temeiul articolului 16 alineatul (1) din APPI.

(93)

Spre deosebire de legislația UE, APPI și normele juridice de rang inferior relevante nu conțin dispoziții generale care să abordeze chestiunea deciziilor care afectează persoana vizată și care se bazează exclusiv pe prelucrarea automată a datelor cu caracter personal. Cu toate acestea, chestiunea este abordată în anumite norme sectoriale aplicabile în Japonia care sunt deosebit de relevante pentru acest tip de prelucrare. Printre acestea se numără sectoarele în care întreprinderile recurg cel mai probabil la prelucrarea automată a datelor cu caracter personal pentru a lua decizii care afectează persoanele fizice (de exemplu, sectorul financiar). De exemplu, „Orientările generale pentru supravegherea băncilor importante”, astfel cum au fost revizuite în iunie 2017, prevăd ca persoanei în cauză să i se furnizeze explicații specifice privind motivele respingerii unei cereri de încheiere a unui acord de împrumut. Astfel, aceste norme oferă măsuri de protecție în ceea ce privește numărul probabil destul de limitat de cazuri în care deciziile automatizate ar fi luate de însuși operatorul economic „importator” din Japonia (mai degrabă decât de operatorul de date „exportator” din UE).

(94)

În orice caz, în ceea ce privește datele cu caracter personal care au fost colectate în Uniunea Europeană, orice decizie bazată pe prelucrarea automată va fi luată de regulă de către operatorul de date din Uniune (care are o relație directă cu persoana vizată în cauză) și, prin urmare, intră sub incidența Regulamentului (UE) 2016/679 (56). Aceasta include scenarii de transfer în care prelucrarea este efectuată de un operator economic din străinătate (de exemplu, din Japonia) care acționează ca agent (operator) în numele operatorului din UE (sau în calitate de subcontractant care acționează în numele persoanei împuternicite de către operator din UE, care a primit datele de la un operator din UE care le-a colectat), care, pe această bază, ia decizia respectivă. Prin urmare, este puțin probabil ca lipsa din APPI a unor norme specifice privind procesul decizional automatizat să afecteze nivelul de protecție a datelor cu caracter personal transferate în temeiul prezentei decizii.

(95)

Pentru a garanta și în practică un nivel adecvat de protecție a datelor, ar trebui instituită o autoritate de supraveghere independentă care să aibă competența de a monitoriza și de a asigura respectarea normelor de protecție a datelor. Această autoritate ar trebui să acționeze cu deplină independență și imparțialitate în îndeplinirea sarcinilor sale și în exercitarea competențelor sale.

(96)

În Japonia, autoritatea responsabilă cu monitorizarea și aplicarea APPI este PPC, care este compusă dintr-un președinte și opt comisari numiți de prim-ministru, cu acordul ambelor camere ale Dietei. Mandatul președintelui și al fiecăruia dintre comisari este de cinci ani, cu posibilitatea reînnoirii acestuia (articolul 64 din APPI). Comisarii pot fi demiși doar din motive întemeiate, într-o serie limitată de circumstanțe excepționale (57) și nu trebuie să participe în mod activ la activități politice. În plus, în temeiul APPI, comisarii cu normă întreagă trebuie să se abțină de la orice alte activități remunerate sau de la activități economice. De asemenea, toți comisarii fac obiectul normelor interne care îi împiedică să participe la deliberări în cazul unui posibil conflict de interese. PPC este asistată de un secretariat, condus de un secretar general, care a fost înființat în scopul îndeplinirii sarcinilor atribuite PPC (articolul 70 din APPI). Atât comisarii, cât și toți funcționarii secretariatului sunt supuși unor norme stricte de confidențialitate (articolele 72 și 82 din APPI).

(97)

Competențele PPC, pe care autoritatea le exercită în deplină independență (58), sunt prevăzute, în principal, la articolele 40, 41 și 42 din APPI. În temeiul articolului 40, PPC poate solicita operatorilor economici care gestionează informații cu caracter personal să raporteze sau să transmită documente privind operațiunile de prelucrare și, de asemenea, poate să efectueze inspecții, atât la fața locului, cât și la nivelul cărților sau al altor documente. În măsura în care este necesar pentru a pune în aplicare APPI, PPC poate furniza, de asemenea, orientare sau consiliere operatorilor economici care gestionează informații cu caracter personal privind gestionarea acestui tip de informații. PPC a făcut deja uz de această competență în temeiul articolului 41 din APPI, emițând orientări adresate Facebook, în urma dezvăluirilor legate de Facebook/ Cambridge Analytica.

(98)

Cel mai important, PPC are competența – acționând în urma unei plângeri sau din proprie inițiativă – să emită recomandări și ordine pentru a asigura respectarea APPI și a altor norme obligatorii (inclusiv în ceea ce privește normele suplimentare), în cazuri individuale. Aceste competențe sunt prevăzute la articolul 42 din APPI. În timp ce alineatele (1) și (2) prevăd un mecanism în două etape prin care PPC poate emite un ordin (numai) ca urmare a unei recomandări prealabile, alineatul (3) permite adoptarea directă a unui ordin în cazuri de urgență.

(99)

Deși nu toate dispozițiile secțiunii 1 capitolul IV din APPI sunt enumerate la articolul 42 alineatul (1) – care stabilește, de asemenea, domeniul de aplicare al articolului 42 alineatul (2) – acest lucru poate fi explicat prin faptul că unele dintre dispozițiile respective nu se referă la obligațiile operatorului economic care gestionează informații cu caracter personal (59) și că toate măsurile de protecție esențiale sunt deja prevăzute de alte dispoziții care sunt incluse în lista respectivă. De exemplu, deși articolul 15 (care impune operatorului economic ce gestionează informații cu caracter personal să stabilească scopul și procesul de utilizare a informațiilor cu caracter personal relevante exclusiv în domeniul său de aplicare) nu este menționat, nerespectarea acestei cerințe poate constitui un temei pentru formularea unei recomandări bazate pe o încălcare a articolului 16 alineatul (1) (interdicția adresată operatorului economic care gestionează informații cu caracter personal de a prelucra astfel de informații dincolo de ceea ce este necesar pentru a atinge scopul utilizării, cu excepția cazului în care obține consimțământul persoanei vizate) (60). O altă dispoziție care nu este menționată la articolul 42 alineatul (1) este articolul 19 din APPI cu privire la exactitatea și păstrarea datelor. Nerespectarea acestei dispoziții poate fie consta într-o încălcare a articolului 16 alineatul (1), fie decurge dintr-o încălcare a articolului 29 alineatul (2), în cazul în care persoana în cauză solicită rectificarea sau ștergerea unor date eronate sau excesive, iar operatorul economic care gestionează informații cu caracter personal refuză să răspundă solicitării. În ceea ce privește drepturile persoanei vizate în conformitate cu articolul 28 alineatul (1), cu articolul 29 alineatul (1) și cu articolul 30 alineatul (1), supravegherea prin intermediul PPC este asigurată prin conferirea de competențe de executare în ceea ce privește obligațiile corespunzătoare prevăzute la articolele respective ce îi revin operatorului economic care gestionează informații cu caracter personal.

(100)

În temeiul articolului 42 alineatul (1) din APPI, PPC poate, atunci când recunoaște că există o „nevoie de protejare a drepturilor și intereselor unei persoane în cazurile în care un [operator economic care gestionează informații cu caracter personal] a încălcat” anumite dispoziții ale APPI, să emită o recomandare de a „suspenda acțiunea de încălcare sau de a lua alte măsuri necesare rectificării încălcării”. O astfel de recomandare nu este obligatorie, dar deschide calea pentru un ordin cu caracter obligatoriu în temeiul articolului 42 alineatul (2) din APPI. Pe baza acestei dispoziții, în cazul în care recomandarea nu este urmată de formularea „fără motive legitime”, iar PPC „recunoaște că este iminentă o încălcare gravă a drepturilor și intereselor unei persoane”, PPC poate cere operatorului economic care gestionează informații cu caracter personal să ia măsuri în conformitate cu recomandarea.

(101)

Normele suplimentare clarifică și consolidează în continuare competențele PPC de asigurare a respectării legii. Mai precis, în cazurile în care sunt implicate date importate din Uniunea Europeană, PPC va considera întotdeauna faptul că operatorul economic care gestionează informații cu caracter personal nu a adoptat, fără motive legitime, măsuri în vederea aplicării unei recomandări emise în baza APPI [articolul 42 alineatul (1)], ca o încălcare gravă a unui caracter iminent al drepturilor și intereselor unei persoane fizice în sensul articolului 42 alineatul (2) și, prin urmare, ca o încălcare care justifică emiterea unui ordin obligatoriu. În plus, ca un „motiv legitim” pentru nerespectarea unei recomandări, PPC va accepta doar „un eveniment de natură extraordinară [care împiedică asigurarea conformității] în afara controlului [operatorului economic ce gestionează informații cu caracter personal] care nu poate fi prevăzut în mod rezonabil (de exemplu, dezastre naturale)” sau cazurile în care necesitatea de a lua măsuri cu privire la o recomandare „a dispărut deoarece [operatorul economic ce gestionează informații cu caracter personal] a întreprins acțiuni alternative care remediază pe deplin încălcarea”.

(102)

Nerespectarea unui ordin al PPC este considerată infracțiune în temeiul articolului 84 din APPI, iar un operator economic ce gestionează informații cu caracter personal găsit vinovat poate fi pedepsit cu o pedeapsă privativă de libertate în regim de muncă de cel mult șase luni sau cu o amendă de maximum 300 000 de yeni. În plus, în temeiul articolului 85 litera (i) din APPI, lipsa de cooperare cu PPC sau obstrucționarea investigațiilor sale se pedepsește cu amendă de până la 300 000 de yeni. Aceste sancțiuni penale se aplică în plus față de cele care pot fi impuse pentru încălcări de fond ale APPI (a se vedea considerentul 108).

(103)

Pentru a asigura o protecție adecvată și, în special, asigurarea respectării drepturilor individuale, persoanei vizate ar trebui să i se ofere căi de atac administrative și judiciare eficace, inclusiv despăgubiri pentru prejudiciile suferite.

(104)

Înainte sau în loc să urmeze o cale de atac administrativă sau judiciară, o persoană poate decide să înainteze operatorului însuși o plângere cu privire la prelucrarea datelor sale cu caracter personal. Pe baza articolului 35 din APPI, operatorii economici care gestionează informații cu caracter personal depun toate eforturile pentru a soluționa aceste plângeri „în mod adecvat și prompt” și pentru a institui sisteme interne de soluționare a plângerilor în vederea atingerii acestui obiectiv. În plus, în temeiul articolului 61 punctul (ii) din APPI, PPC este responsabilă cu „medierea necesară privind plângerile depuse și cu cooperarea oferită operatorului economic care se ocupă de plângerea respectivă”, în ambele cazuri, fiind incluse plângerile depuse de străini. În acest sens, legiuitorul japonez a încredințat totodată administrației centrale sarcina de a lua „măsurile necesare” pentru a permite și a facilita soluționarea plângerilor de către operatorii economici care gestionează informații cu caracter personal (articolul 9), iar administrațiile locale depun eforturi pentru a asigura medierea în astfel de cazuri (articolul 13). În acest sens, persoanele fizice pot depune o plângere la una dintre cele peste 1 700 de centre de protecție a consumatorilor înființate de administrațiile locale pe baza Legii privind siguranța consumatorilor (61), pe lângă posibilitatea de a depune o plângere la Centrul național pentru probleme de protecție a consumatorilor din Japonia. Astfel de plângeri pot fi, de asemenea, formulate cu privire la o încălcare a APPI. În temeiul articolului 19 din Legea de bază privind protecția consumatorilor (62), autoritățile locale depun eforturi pentru a găsi soluții de mediere în ceea ce privește plângerile și pentru a le furniza părților expertiza necesară. Aceste mecanisme de soluționare a litigiilor par a fi destul de eficace, cu o rată de soluționare de 91,2 % în cazul a peste 75 000 de plângeri în 2015.

(105)

Încălcările dispozițiilor APPI de către un operator economic care gestionează informații cu caracter personal pot da naștere la acțiuni civile, precum și la proceduri și sancțiuni penale. În primul rând, în cazul în care consideră că drepturile sale în temeiul articolelor 28, 29 și 30 din APPI au fost încălcate, o persoană poate solicita instanței să emită o ordonanță președințială în care să solicite unui operator economic care gestionează informații cu caracter personal să răspundă cererii sale în temeiul uneia dintre aceste dispoziții, și anume să comunice datele cu caracter personal păstrate (articolul 28), să rectifice datele cu caracter personal păstrate care sunt incorecte (articolul 29) sau să înceteze prelucrarea ilegală sau furnizarea datelor către o parte terță (articolul 30). O astfel de acțiune poate fi introdusă fără a fi nevoie să se recurgă la articolul 709 din Codul civil (63) sau la dreptul răspunderii civile (64). În special, aceasta înseamnă că persoana nu trebuie să dovedească existența unui prejudiciu.

(106)

În al doilea rând, în cazul în care o presupusă încălcare nu vizează drepturile individuale în temeiul articolelor 28, 29 și 30, ci principiile generale de protecție a datelor sau obligațiile operatorului economic care gestionează informații cu caracter personal, persoana în cauză poate introduce o acțiune civilă împotriva operatorului economic, pe baza dispozițiilor privind răspunderea civilă delictuală prevăzute în Codul civil japonez, în special la articolul 709. În timp ce un proces în conformitate cu articolul 709 impune, pe lângă existența unei culpe (cu intenție sau din neglijență), demonstrarea unui prejudiciu, în conformitate cu articolul 710 din Codul civil, astfel de prejudicii pot fi atât materiale, cât și imateriale. Nu se impune nicio limitare cu privire la cuantumul compensației.

(107)

În ceea ce privește căile de atac disponibile, articolul 709 din Codul civil japonez se referă la compensarea bănească. Cu toate acestea, jurisprudența japoneză a interpretat acest articol ca oferind și dreptul de a obține o ordonanță președințială (65). Prin urmare, în cazul în care o persoană vizată introduce o acțiune în temeiul articolului 709 din Codul civil și susține că drepturile sau interesele sale au fost lezate de o încălcare a unei dispoziții APPI de către persoana chemată în judecată, această cerere poate include, pe lângă despăgubirile pentru prejudiciile cauzate, o cerere de ordonanță președințială, vizând în special încetarea oricărei prelucrări ilegale.

(108)

În al treilea rând, în afară de căile de atac de drept civil (răspunderea civilă), persoana vizată poate adresa o plângere unui procuror sau unui agent al poliției judiciare cu privire la încălcările APPI, plângere care poate duce la sancțiuni penale. Capitolul VII din APPI conține o serie de dispoziții penale. Cea mai importantă dispoziție de acest fel (articolul 84) se referă la nerespectarea de către operatorul economic care gestionează informații cu caracter personal a ordinelor emise de PPC în temeiul articolului 42 alineatele (2) și (3). În cazul în care un operator economic nu respectă un ordin emis de PPC, președintele PPC (precum și orice alt funcționar public) (66) poate transmite cazul către parchet sau către un agent al poliției judiciare și declanșa astfel deschiderea unei proceduri penale. Încălcarea unui ordin al PPC se pedepsește cu pedepse privative de libertate în regim de muncă cu durata de cel mult șase luni sau cu o amendă care se poate ridica la 300 000 de yeni. Printre celelalte dispoziții ale APPI care prevăd sancțiuni în cazul unor încălcări ale APPI care afectează drepturile și interesele persoanelor vizate se numără articolul 83 din APPI (referitor la „furnizarea sau utilizarea deturnată” a unei baze de date cu informații personale „în scopul de a încerca obținerea […] de profituri ilegale”) și articolul 88 litera (i) din APPI [referitor la nerespectarea de către o parte terță a obligației de a informa în mod corect operatorul economic care gestionează informații cu caracter personal atunci când acesta din urmă primește date cu caracter personal în conformitate cu articolul 26 alineatul (1) din APPI, în special cu privire la detaliile achiziționării anterioare de către partea terță a acestor date]. Sancțiunile aplicabile pentru acest tip de încălcări ale APPI sunt, respectiv, pedeapsa cu închisoarea în regim de muncă pentru o perioadă maximă de un an sau o amendă care se poate ridica la 500 000 de yeni (în cazul încălcării articolului 83) sau o amendă administrativă care se poate ridica la 100 000 de yeni [în cazul încălcării articolului 88 litera (i)]. Deși este foarte probabil ca amenințarea cu aplicarea de sancțiuni penale să aibă deja un puternic efect de descurajare atât asupra organelor de conducere ale întreprinderii care coordonează operațiunile de prelucrare ale operatorilor economici care gestionează informații cu caracter personal, cât și asupra persoanelor care gestionează datele, în articolul 87 din APPI se precizează că, atunci când un reprezentant, un angajat sau un alt lucrător al unei persoane juridice a comis o încălcare în temeiul articolelor 83-85 din APPI, „actorul respectiv este pedepsit, iar persoanei juridice în cauză i se impune o amendă prevăzută la articolele respective”. În acest caz, atât angajatului, cât și societății li se pot aplica sancțiuni în limita sumei integrale maxime.

(109)

În cele din urmă, persoanele fizice pot, de asemenea, introduce căi de atac împotriva acțiunilor PPC sau împotriva inacțiunii PPC. În acest sens, legislația japoneză prevede mai multe căi de atac administrative și judiciare.

(110)

În cazul în care o persoană nu este mulțumită de o acțiune întreprinsă de PPC, aceasta poate introduce o cale de atac administrativă în temeiul Legii privind examinarea reclamațiilor administrative (67). Invers, în cazul în care o persoană consideră că PPC ar fi trebuit să acționeze, dar nu a făcut acest lucru, aceasta îi poate solicita PPC, în temeiul articolului 36-3 din legea menționată, să ia o dispoziție sau să furnizeze orientări administrative în cazul în care persoana consideră că „nu a fost luată o dispoziție sau nu au fost impuse orientările administrative necesare pentru corectarea încălcării”.

(111)

În ceea ce privește căile de atac judiciare, în temeiul Legii privind contenciosul administrativ, o persoană care nu este mulțumită de o dispoziție administrativă adoptată de PPC poate introduce în justiție o acțiune mandamus (68), prin care să solicite instanței să impună PPC luarea unor noi măsuri (69). În anumite cazuri, instanța poate, de asemenea, să emită o hotărâre provizorie mandamus pentru a preveni un prejudiciu ireversibil (70). În plus, în temeiul aceleiași legi, o persoană poate solicita revocarea unei decizii a PPC (71).

(112)

În fine, o persoană poate iniția, de asemenea, o acțiune împotriva PPC pentru obținerea unei despăgubiri din partea statului, în temeiul articolului 1 alineatul (1) din Legea privind măsurile reparatorii acordate de stat dacă persoana respectivă a suferit daune din cauza faptului că un ordin emis de PPC și adresat unui operator economic a fost ilegal sau din cauza faptului că PPC nu și-a exercitat autoritatea.

(113)

Comisia a evaluat, de asemenea, limitările și garanțiile, inclusiv supravegherea și mecanismele de reparație individuală, care sunt prevăzute în legislația japoneză în ceea ce privește colectarea și utilizarea ulterioară a datelor cu caracter personal transferate operatorilor economici din Japonia de către autoritățile publice din motive de interes public, în special în scopul asigurării respectării dreptului penal și în scopuri de asigurare a securității naționale („accesul administrației publice”). În acest sens, guvernul japonez a furnizat Comisiei expuneri, asigurări și angajamente oficiale semnate la cel mai înalt nivel ministerial și la nivel de agenții, acestea fiind incluse în anexa II la prezenta decizie.

(114)

Ca exercițiu de autoritate publică, accesul administrației publice japoneze trebuie să se realizeze cu respectarea deplină a legii (principiul legalității). În acest sens, Constituția Japoniei conține dispoziții de limitare și de încadrare a colectării datelor cu caracter personal de către autoritățile publice. După cum s-a menționat deja în ceea ce privește prelucrarea datelor de către operatorii economici, Curtea Supremă a Japoniei, bazându-se pe articolul 13 din Constituție, care protejează, printre altele, dreptul la libertate, a recunoscut dreptul la viață privată și la protecția datelor (72). Un aspect important al acestui drept este libertatea oricărei persoane ca informațiile sale cu caracter personal să nu fie dezvăluite unui terț fără permisiunea persoanei în cauză (73). Acest lucru implică dreptul la protecția efectivă a datelor cu caracter personal împotriva abuzurilor și (mai precis) împotriva accesului ilegal. O protecție suplimentară este asigurată de articolul 35 din Constituție referitor la dreptul tuturor persoanelor de a fi în siguranță la domiciliu, în documentele și în efectele personale, care impune autorităților publice obligația de a obține un mandat din partea unei instanțe, emis pentru o „cauză adecvată” (74), în toate cazurile de „percheziție și punere sub sechestru”. În hotărârea sa din 15 martie 2017 (cauza GPS), Curtea Supremă a clarificat faptul că această cerință privind mandatul de arestare se aplică ori de câte ori guvernul invadează („intră în”) sfera privată într-un mod care suprimă voința persoanei în cauză și, prin urmare, prin intermediul unei „investigații obligatorii”. Un judecător nu poate emite un astfel de mandat decât pe baza unei suspiciuni concrete privind săvârșirea unei infracțiuni, și anume atunci când îi sunt furnizate documente justificative pe baza cărora se poate considera că persoana care face obiectul investigației a comis o infracțiune (75). Prin urmare, autoritățile japoneze nu au competența juridică de a colecta informații cu caracter personal prin mijloace obligatorii în situațiile în care nu a avut loc încă nicio încălcare a legii (76), de exemplu pentru a preveni o infracțiune sau o altă amenințare la adresa securității (ca în cazul investigațiilor efectuate din motive de securitate națională).

(115)

În temeiul principiului rezervei legii, orice colectare de date care se desfășoară în cadrul unei investigații coercitive trebuie să fie autorizată în mod explicit prin lege [astfel cum se reflectă, de exemplu, în articolul 197 alineatul (1) din Codul de procedură penală („CPP”) referitor la colectarea obligatorie de informații în scopul unei anchete penale]. Această cerință se aplică și în cazul accesului la informațiile electronice.

(116)

Este important de notat faptul că articolul 21 alineatul (2) din Constituție garantează confidențialitatea tuturor mijloacelor de comunicare, impunerea de limitări fiind permisă numai pe cale legislativă, din motive de interes public. Articolul 4 din Legea privind activitățile de telecomunicații, conform căruia secretul comunicațiilor gestionate de o societate de telecomunicații nu trebuie să fie încălcat, pune în aplicare această cerință de confidențialitate la nivelul dreptului material. Această dispoziție a fost interpretată ca o interdicție de a divulga informații despre comunicații, cu excepția cazului în care utilizatorii își dau consimțământul sau dacă divulgarea informațiilor se face pe baza uneia dintre derogările explicite de la răspunderea penală prevăzute în Codul penal (77).

(117)

Constituția garantează, de asemenea, dreptul de a avea acces la justiție (articolul 32) și dreptul de a intenta o acțiune în justiție împotriva statului în vederea obținerii de măsuri reparatorii în cazul în care o persoană a suferit prejudicii din cauza unui act ilegal al unui funcționar public (articolul 17).

(118)

În ceea ce privește, în mod specific, dreptul la protecția datelor, în capitolul III secțiunile 1, 2 și 3 din APPI sunt prevăzute principiile generale care reglementează toate sectoarele, inclusiv sectorul public. Mai precis, articolul 3 din APPI prevede că toate informațiile cu caracter personal trebuie să fie gestionate în conformitate cu principiul respectării personalității indivizilor. Odată ce informațiile cu caracter personal au fost colectate („obținute”) de autoritățile publice (78), inclusiv în cadrul înregistrărilor electronice, gestionarea acestora este reglementată prin Legea privind protecția informațiilor cu caracter personal deținute de organele administrative („APPIHAO”) (79). Această lege se referă, în principiu (80), și la prelucrarea informațiilor cu caracter personal în scopul asigurării respectării dreptului penal sau al asigurării securității naționale. APPIHAO prevede, printre altele, că autoritățile publice: (i) pot păstra informațiile cu caracter personal numai în măsura în care acest lucru este necesar pentru îndeplinirea atribuțiilor care le revin; (ii) nu utilizează aceste informații în scopuri „nedrepte”, nici nu le comunică unui terț fără justificare; (iii) specifică scopul și nu schimbă scopul respectiv dincolo de ceea ce poate fi considerat în mod rezonabil ca fiind relevant pentru scopul inițial (limitarea scopului); (iv) în principiu, nu utilizează în alte scopuri informațiile cu caracter personal păstrate, nici nu le furnizează unui terț, iar în cazul în care consideră că acest lucru este necesar, impun restricții în ceea ce privește scopul sau metoda de utilizare de către terți; (v) se străduiesc să asigure corectitudinea informațiilor (calitatea datelor); (vi) iau măsurile necesare pentru gestionarea adecvată a informațiilor și pentru prevenirea scurgerii, pierderii sau deteriorării informațiilor (securitatea datelor); și (vii) depun eforturi pentru a prelucra în mod adecvat și rapid orice plângere referitoare la prelucrarea informațiilor (81).

(119)

Legislația japoneză conține o serie de limitări în ceea ce privește accesul la datele cu caracter personal și utilizarea acestora în scopul asigurării respectării dreptului penal, precum și o serie de mecanisme de supraveghere și de reparație care oferă garanții suficiente că datele respective sunt protejate în mod eficace împotriva ingerințelor ilegale și a riscului de abuz.

(120)

În cadrul juridic japonez, colectarea informațiilor electronice în scopul asigurării respectării dreptului penal este permisă pe baza unui mandat (colectare obligatorie) sau pe baza unei cereri de divulgare voluntară.

(121)

Astfel cum este indicat în considerentul 115, orice colectare de date în cadrul unei investigații coercitive trebuie să fie autorizată în mod specific prin lege și nu poate fi efectuată decât pe baza unui mandat din partea unei instanțe „emis pentru o cauză adecvată” (articolul 35 din Constituție). În ceea ce privește investigarea infracțiunilor, această cerință este reflectată în dispozițiile Codului de procedură penală („CPP”). În conformitate cu articolul 197 alineatul (1) din CPP, măsurile obligatorii „nu se aplică decât dacă au fost prevăzute dispoziții speciale în prezentul cod”. În ceea ce privește colectarea informațiilor electronice, singurele temeiuri juridice relevante (82) în această privință sunt articolul 218 din CPP (percheziția și punerea sub sechestru) și articolul 222-2 din CPP, conform căruia măsurile obligatorii pentru interceptarea comunicațiilor electronice fără consimțământul uneia sau alteia dintre părți se execută pe baza altor acte legislative, și anume pe baza Legii privind interceptarea comunicațiilor pentru investigarea infracțiunilor („Legea privind interceptarea comunicațiilor”). În ambele cazuri se aplică cerința existenței mandatului.

(122)

Mai precis, în temeiul articolului 218 alineatul (1) din CPP, un procuror, un procuror-asistent sau un agent al poliției judiciare poate, dacă acest lucru este necesar pentru investigarea unei infracțiuni, să efectueze o percheziție sau o punere sub sechestru (inclusiv să solicite înregistrări) pe baza unui mandat emis în prealabil de un judecător (83). Printre altele, un astfel de mandat trebuie să conțină numele persoanei suspectate sau acuzate, infracțiunea imputată (84), înregistrările electromagnetice care trebuie să fie puse sub sechestru și „locul sau articolele” care trebuie inspectate [articolul 219 alineatul (1) din CPP].

(123)

În ceea ce privește interceptarea comunicațiilor, articolul 3 din Legea privind interceptarea comunicațiilor autorizează astfel de măsuri numai cu îndeplinirea unor cerințe stricte. Mai precis, autoritățile publice trebuie să obțină un mandat prealabil din partea unei instanțe care poate fi emis numai pentru investigarea unor infracțiuni grave specifice (enumerate în anexa la legea menționată) (85) și atunci când este „extrem de dificil să se identifice infractorul sau să se clarifice situațiile/detaliile săvârșirii infracțiunii prin alte căi” (86). În temeiul articolului 5 din Legea privind interceptarea comunicațiilor, mandatul este emis pentru o perioadă limitată de timp și judecătorul poate impune condiții suplimentare. De asemenea, Legea privind interceptarea comunicațiilor prevede o serie de garanții suplimentare, cum ar fi, de exemplu, necesitatea prezenței martorilor (articolele 12 și 20), interdicția de a intercepta comunicațiile anumitor grupuri privilegiate (de exemplu, medicii, avocații) (articolul 15), obligația de a pune capăt interceptării comunicațiilor dacă aceasta nu mai este justificată, chiar și în cursul perioadei de valabilitate a mandatului (articolul 18) sau cerința generală de a transmite o notificare persoanei în cauză și de a permite accesul la înregistrări în termen de treizeci de zile de la încheierea interceptării (articolele 23 și 24).

(124)

Pentru toate măsurile obligatorii bazate pe un mandat, se poate efectua doar o examinare „limitată la ceea ce este necesar pentru atingerea obiectivului examinării respective”, cu alte cuvinte examinarea se efectuează numai în cazul în care obiectivele urmărite de investigație nu pot fi realizate în alt mod [articolul 197 alineatul (1) din CPP]. Deși criteriile pentru determinarea necesității nu sunt detaliate în dreptul material, Curtea Supremă a Japoniei a hotărât că judecătorul care emite un mandat ar trebui să facă o evaluare globală luând în considerare în special (i) gravitatea infracțiunii și modul în care a fost săvârșită; (ii) valoarea și importanța materialelor care urmează să fie puse sub sechestru ca probe; (iii) probabilitatea (riscul) ca probele să fie ascunse sau distruse; și (iv) măsura în care punerea sub sechestru poate cauza prejudicii persoanei în cauză (87).

(125)

În limitele competenței lor, autoritățile publice pot colecta informații electronice și pe baza cererilor de divulgare voluntară. Este vorba de o formă de cooperare fără caracter obligatoriu în cadrul căreia nu se poate impune formularea unui răspuns la cererea respectivă (88), scutind astfel autoritățile publice de obligația de a obține un mandat din partea unei instanțe.

(126)

În măsura în care o astfel de cerere vizează un operator economic și are ca obiect informații cu caracter personal, operatorul economic trebuie să respecte cerințele prevăzute în APPI. În conformitate cu articolul 23 alineatul (1) din APPI, operatorii economici pot divulga informații cu caracter personal unor terți fără consimțământul persoanei fizice în cauză numai în anumite cazuri, inclusiv în cazul în care divulgarea informațiilor respective se „bazează pe acte cu putere de lege și norme administrative” (89). În domeniul asigurării respectării dreptului penal, temeiul legal pentru aceste cereri îl constituie articolul 197 alineatul (2) din CPP, conform căruia „se poate solicita organizațiilor private să raporteze cu privire la chestiuni necesare pentru investigație”. Întrucât o astfel de „fișă de solicitare de informații” nu este autorizată decât în cadrul unei anchete penale, aceasta presupune întotdeauna existența unei suspiciuni concrete privind o infracțiune care a fost deja comisă (90). În plus, întrucât astfel de investigații sunt, în general, efectuate de către poliția prefectorală, se aplică limitările prevăzute la articolul 2 alineatul (2) din Legea privind poliția (91). Conform acestei dispoziții, activitățile poliției sunt „strict limitate” la îndeplinirea responsabilităților și sarcinilor care îi revin (și anume prevenirea, eliminarea și investigarea infracțiunilor). În plus, în îndeplinirea sarcinilor sale, poliția trebuie să acționeze în mod imparțial, nepărtinitor și echitabil și nu trebuie să abuzeze în nicio circumstanță de competențele sale „într-un mod care să aducă atingere drepturilor și libertăților unei persoane fizice garantate în Constituția Japoniei” (care includ, după cum s-a indicat, dreptul la viață privată și la protecția datelor) (92).

(127)

În mod specific, în ceea ce privește articolul 197 alineatul (2) din CPP, Agenția Națională de Poliție (ANP), în calitate de autoritate federală însărcinată, printre altele, cu toate chestiunile legate de poliția criminală, a emis instrucțiuni adresate poliției prefectorale (93) cu privire la „utilizarea adecvată a solicitărilor de informații scrise în materie de investigații”. În conformitate cu această notificare, solicitările trebuie introduse cu ajutorul unui formular prestabilit („Formularul nr. 49” sau așa numita „fișă de solicitare de informații”) (94), trebuie să se refere la înregistrări „legate de o investigație specifică”, iar informațiile solicitate trebuie să fie „necesare pentru [respectiva] investigație”. În fiecare caz, anchetatorul șef „examinează în mod aprofundat necesitatea, conținutul etc. ale cererii individuale” și trebuie să primească aprobarea internă din partea unui înalt funcționar.

(128)

În plus, în două hotărâri ale Curții Supreme a Japoniei, din 1969 și din 2008 (95), s-au stabilit o serie de limitări cu privire la măsurile neobligatorii care aduc atingere dreptului la viață privată (96). Mai precis, curtea a considerat că acest tip de măsuri trebuie să fie „rezonabile” și să se mențină în „limitele general admise”, adică trebuie să fie necesare pentru investigarea unui suspect (colectarea de probe) și puse în aplicare „prin metode adecvate pentru îndeplinirea scopului investigației” (97). Hotărârile menționate arată că acest lucru presupune un test de proporționalitate, care să ia în considerare toate circumstanțele cazului (de exemplu, măsura în care se aduce atingere dreptului la viață privată, inclusiv așteptarea ca viața privată să fie respectată, gravitatea infracțiunii, probabilitatea de a obține probe utile, importanța probelor respective, posibile căi alternative de investigare etc.) (98).

(129)

În afară de aceste limitări privind exercitarea autorității publice, se așteaptă din partea operatorilor economici ca aceștia să verifice („să confirme”) necesitatea și „raționalitatea” furnizării de date către un terț (99). Aici se încadrează și întrebarea dacă aceștia sunt împiedicați prin lege să coopereze. Astfel de obligații legale contradictorii pot decurge, în special, din obligațiile de confidențialitate, cum ar fi articolul 134 din Codul penal (referitor la relația dintre un medic, un avocat, un preot etc. și clientul său). De asemenea, „orice persoană care desfășoară activități în domeniul telecomunicațiilor păstrează, atât timp cât este în funcție, secretele terților pe care le-a aflat prin intermediul comunicațiilor gestionate de societatea de telecomunicații” [articolul 4 alineatul (2) din Legea privind activitățile de telecomunicații]. Această obligație este completată prin sancțiunea prevăzută la articolul 179 din Legea privind activitățile de telecomunicații, conform căruia orice persoană care a încălcat secretul comunicațiilor care sunt gestionate de o societate de telecomunicații se face vinovată de o infracțiune și este pedepsită cu închisoarea în regim de muncă pentru o perioadă de maxim doi ani sau cu o amendă de cel mult un milion de yeni (100). Deși această cerință nu este absolută și, mai precis, autorizează măsuri prin care se încalcă secretul comunicațiilor, dar care constituie „acte justificabile” în sensul articolului 35 din Codul penal (101), această excepție nu acoperă răspunsul la cererile neobligatorii ale autorităților publice de divulgare a informațiilor electronice în temeiul articolului 197 alineatul (2) al CPP.

(130)

Din momentul în care sunt colectate de către autoritățile publice japoneze, informațiile cu caracter personal intră în domeniul de aplicare al APPIHAO. Această lege reglementează gestionarea (prelucrarea) „informațiilor cu caracter personal păstrate” și impune în acest sens o serie de limitări și de garanții (a se vedea considerentul 118) (102). În plus, faptul că un organ administrativ poate păstra informații cu caracter personal „numai atunci când păstrarea acestor informații este necesară pentru desfășurarea activităților care intră în domeniul său de competență în temeiul actelor cu putere de lege și normelor administrative” [articolul 3 alineatul (1) din APPIHAO] impune, de asemenea, o serie de restricții, cel puțin indirect, în ceea ce privește colectarea inițială.

(131)

În Japonia, colectarea informațiilor electronice în domeniul asigurării respectării dreptului penal este, în principal (103), de responsabilitatea poliției prefectorale (104) care, în această privință, face obiectul mai multor niveluri de supraveghere.

(132)

În primul rând, în toate cazurile în care informațiile electronice sunt colectate prin mijloace obligatorii (percheziție și punere sub sechestru), poliția trebuie să obțină un mandat prealabil din partea unei instanțe (a se vedea considerentul 121). Prin urmare, colectarea informațiilor în acele cazuri va fi verificată ex ante de un judecător, pe baza unui standard strict de „cauză adecvată”.

(133)

Deși în cazul cererilor de divulgare voluntară nu există un control ex ante efectuat de un judecător, operatorii economici cărora li se adresează astfel de cereri se pot opune acestor cereri fără a risca să aibă de suferit consecințe negative (și vor trebui să țină seama de impactul pe care îl poate avea orice divulgare asupra vieții private). În plus, în conformitate cu articolul 192 alineatul (1) din CPP, agenții de poliție trebuie să coopereze întotdeauna cu procurorul (și cu Comisia prefectorală pentru siguranța publică) (105) și să își coordoneze acțiunile cu acesta (aceasta). La rândul său, procurorul poate da instrucțiunile generale necesare pentru stabilirea unor standarde pentru desfășurarea unei investigații corecte și/sau poate emite ordine specifice cu privire la o investigație individuală (articolul 193 din CPP). În cazul în care astfel de instrucțiuni și/sau ordine nu sunt respectate, ministerul public poate introduce o procedură vizând luarea de măsuri disciplinare (articolul 194 din CPP). Așadar, poliția prefectorală își desfășoară activitatea sub supravegherea procurorului.

(134)

În al doilea rând, în conformitate cu articolul 62 din Constituție, fiecare cameră a parlamentului japonez („Dieta Națională a Japoniei”) poate desfășura investigații cu privire la administrația publică, inclusiv în ceea ce privește legalitatea colectării de informații de către poliție. În acest scop, Dieta poate solicita prezența și audierea unor martori și/sau furnizarea de înregistrări. Aceste competențe de anchetă sunt precizate mai detaliat în Regulamentul de procedură al Dietei Naționale, în special la capitolul XII. Mai precis, în conformitate cu articolul 104 din Regulamentul de procedură al Dietei, Cabinetul, agențiile publice și alte părți ale administrației publice „trebuie să răspundă solicitărilor venite din partea unei camere a Dietei sau din partea oricărei comisii a camerei respective de a prezenta rapoartele și înregistrările necesare spre examinare în cadrul unei investigații.” Refuzul de a se conforma solicitării nu este permis decât dacă administrația publică își justifică refuzul oferind un motiv plauzibil, care trebuie să fie considerat acceptabil de către Dietă, ori în cazul în care, printr-o declarație oficială, se arată că furnizarea rapoartelor sau a înregistrărilor respective ar aduce „prejudicii grave interesului național” (106). În plus, membrii Dietei pot adresa întrebări scrise Cabinetului (articolele 74 și 75 din Regulamentul de procedură al Dietei) și, în trecut, unele dintre aceste „întrebări scrise” au abordat și chestiunea gestionării informațiilor cu caracter personal de către administrația publică (107). Rolul exercitat de Dietă în supravegherea puterii executive este susținut printr-o serie de obligații de raportare, de exemplu, în temeiul articolului 29 din Legea privind interceptarea comunicațiilor.

(135)

În al treilea rând, tot în cadrul puterii executive, poliția prefectorală este supusă supravegherii independente. Această supraveghere este exercitată, în special, de comisiile prefectorale pentru siguranța publică instituite la nivel de prefectură pentru a asigura administrarea democratică și neutralitatea politică a poliției (108). Aceste comisii sunt alcătuite din membri numiți de guvernatorul prefectoral, cu consimțământul Adunării Prefectorale (aleși din rândul cetățenilor care nu au ocupat în ultimii cinci ani un post de funcționar public în cadrul poliției), iar mandatul lor este garantat (mai precis, revocarea nu este posibilă decât din motive întemeiate) (109). Potrivit informațiilor primite, comisiile nu primesc instrucțiuni de la nimeni și, prin urmare, pot fi considerate complet independente (110). În ceea ce privește sarcinile și competențele comisiilor prefectorale pentru siguranța publică, în temeiul articolului 38 alineatul (3) coroborat cu articolul 2 și cu articolul 36 alineatul (2) din Legea privind poliția, aceste comisii sunt responsabile cu „protecția drepturilor și a libertății unei persoane”. În acest scop, comisiile respective sunt abilitate să „supervizeze” (111) toate activitățile de investigare ale poliției prefectorale, inclusiv colectarea de date cu caracter personal. În special, acestea „pot da indicații poliției prefectorale în detaliu sau într-un anumit caz individual de inspecție privind abaterile profesionale ale personalului din poliție, dacă este necesar” (112). Atunci când șeful poliției prefectorale (113) primește o astfel de indicație sau ia cunoștință în mod direct de un posibil caz de abatere profesională (inclusiv încălcarea unor legi sau alte tipuri de neglijări ale îndatoririlor), acesta trebuie să inspecteze cu promptitudine cazul respectiv și să raporteze rezultatul inspecției efectuate către Comisia prefectorală pentru siguranța publică [articolul 56 alineatul (3) din Legea privind poliția]. În cazul în care comisia consideră că este necesar, aceasta poate, de asemenea, să-l însărcineze pe unul dintre membrii săi cu examinarea stadiului punerii în aplicare. Procesul continuă până în momentul în care Comisia prefectorală pentru siguranța publică consideră că incidentul a fost soluționat în mod adecvat.

(136)

În plus, în ceea ce privește aplicarea corectă a APPIHAO, ministrul de resort sau directorul agenției cu competențe în domeniu (de exemplu, comisarul general al ANP) are autoritate de aplicare a legii, sub supravegherea Ministerului Afacerilor Interne și al Comunicațiilor (MIC). Conform articolului 49 din APPIHAO, MIC „poate colecta rapoarte cu privire la stadiul aplicării prezentei legi” de la șefii organelor administrative (miniștrii). Această funcție de supraveghere este sprijinită de contribuțiile celor 51 de „centre de informare generală” ale MIC (unul în fiecare prefectură din Japonia), care tratează anual mii de solicitări de la persoane fizice (114) (și care pot, la rândul lor, scoate la iveală posibile încălcări ale legii). În cazul în care consideră că acest lucru este necesar pentru a asigura respectarea legii menționate, MIC poate solicita prezentarea de explicații și materiale și poate emite avize cu privire la gestionarea informațiilor cu caracter personal de către organul administrativ în cauză (articolele 50 și 51 din APPIHAO).

(137)

În plus față de supravegherea din oficiu, persoanele fizice dispun, de asemenea, de mai multe posibilități de a obține măsuri reparatorii individuale, atât prin intermediul unor autorități independente (cum ar fi comisiile prefectorale pentru siguranța publică sau PPC), cât și prin intermediul instanțelor japoneze.

(138)

În primul rând, în ceea ce privește informațiile cu caracter personal colectate de către organele administrative, acestea din urmă au obligația de a „depune eforturi pentru a trata în mod adecvat și cu promptitudine orice plângere” cu privire la prelucrarea ulterioară a acestor informații (articolul 48 din APPIHAO). Deși capitolul IV din APPIHAO privind drepturile individuale nu se aplică în ceea ce privește informațiile cu caracter personal înregistrate în „documente referitoare la procese și la articole puse sub sechestru” [articolul 53-2 alineatul (2) din CPP], care acoperă informațiile cu caracter personal colectate în cadrul anchetelor penale, persoanele fizice pot depune o plângere pentru a invoca principiile generale de protecție a datelor, cum ar fi, de exemplu, obligația de a păstra informațiile cu caracter personal doar „atunci când păstrarea este necesară pentru a îndeplini [funcții de aplicare a legii]” [articolul 3 alineatul (1) din APPIHAO].

(139)

În plus, articolul 79 din Legea privind poliția le garantează persoanelor fizice care au temeri cu privire la „executarea sarcinilor” de către personalul poliției dreptul de a depune o plângere la Comisia prefectorală independentă (competentă) pentru siguranța publică. Această comisie va trata astfel de plângeri „cu loialitate”, cu respectarea legii și a ordonanțelor locale, și va informa în scris reclamantul cu privire la rezultate. Pe baza autorității sale de a supraveghea și „de a da instrucțiuni” poliției prefectorale în ceea ce privește „abaterile profesionale ale personalului” [articolul 38 alineatul (3) și articolul 43-2 alineatul (1) din Legea privind poliția], aceasta poate solicita poliției prefectorale să investigheze faptele, să ia măsurile adecvate pe baza rezultatelor investigației respective și să raporteze rezultatele. În cazul în care consideră că investigația efectuată de poliție nu a fost adecvată, comisia poate furniza, de asemenea, instrucțiuni cu privire la tratarea plângerii.

(140)

Pentru a facilita gestionarea plângerilor, ANP a emis o „comunicare” adresată poliției și comisiilor prefectorale pentru siguranța publică cu privire la tratarea adecvată a plângerilor referitoare la executarea sarcinilor de către agenții de poliție. În acest document, ANP enunță o serie de standarde pentru interpretarea și punerea în aplicare a articolului 79 din Legea privind poliția. Printre altele, aceasta solicită poliției prefectorale să stabilească un „sistem de gestionare a plângerilor” și să trateze și să raporteze „cu promptitudine” toate plângerile către Comisia prefectorală pentru siguranța publică competentă. Comunicarea definește plângerile ca fiind cereri de corectare „pentru orice dezavantaj specific care a fost cauzat în urma unui comportament ilegal sau inadecvat” (115) sau pentru „faptul că un agent de poliție, în executarea sarcinilor care îi revin, nu a întreprins o acțiune necesară” (116), precum și orice „plângere/nemulțumire legată de modul neadecvat de executare a sarcinilor de către un agent de poliție”. Domeniul de aplicare material al unei plângeri este așadar definit în linii mari, acoperind orice afirmație privind colectarea ilegală de date, iar reclamantul nu este obligat să aducă dovezi pentru a demonstra prejudiciul suferit ca urmare a acțiunilor unui agent de poliție. Un aspect important este acela că comunicarea prevede faptul că străinii (printre alții) primesc asistență pentru formularea unei plângeri. În urma unei plângeri, comisiile prefectorale pentru siguranța publică au obligația de a se asigura că poliția prefectorală examinează faptele, pune în aplicare măsurile „în funcție de rezultatul acestei examinări” și raportează rezultatele. În cazul în care comisia consideră că examinarea este insuficientă, aceasta emite instrucțiuni privind tratarea plângerii, pe care poliția prefectorală are obligația de a le urma. Pe baza rapoartelor primite și a măsurilor luate, comisia transmite o notificare persoanei fizice în cauză, precizând, printre altele, măsurile luate pentru soluționarea plângerii. Comunicarea ANP subliniază faptul că plângerile ar trebui tratate în „mod sincer” și că rezultatul ar trebui notificat „într-un termen […] considerat adecvat în lumina normelor sociale și a bunului-simț”.

(141)

În al doilea rând, având în vedere faptul că măsurile reparatorii vor trebui să fie solicitate, în mod normal, în străinătate, adică într-un sistem străin și într-o limbă străină, pentru a facilita obținerea de reparații pentru persoanele fizice din UE ale căror date cu caracter personal sunt transferate către operatori economici din Japonia și, ulterior, accesate de autoritățile publice, guvernul japonez a recurs la competențele sale pentru a crea un mecanism specific, administrat și supravegheat de PPC, care să gestioneze și să soluționeze plângerile din acest domeniu. Acest mecanism se bazează pe obligația de cooperare impusă autorităților publice japoneze în temeiul APPI și pe rolul special al PPC în ceea ce privește transferurile internaționale de date dinspre țări terțe în temeiul articolului 6 din APPI și al politicii de bază (astfel cum a fost stabilit de către administrația japoneză prin ordin al Cabinetului). Detaliile acestui mecanism sunt prezentate în expunerile, asigurările și angajamentele oficiale primite din partea autorităților japoneze și anexate la prezenta decizie ca anexa II. Mecanismul nu este supus niciunei cerințe în vigoare și este deschis tuturor persoanelor, indiferent dacă sunt suspectate sau nu ori acuzate sau nu de înfăptuirea unei infracțiuni.

(142)

În cadrul acestui mecanism, o persoană care are suspiciuni că datele sale transferate din Uniunea Europeană au fost colectate sau utilizate de autoritățile publice din Japonia (inclusiv de autoritățile responsabile de asigurarea respectării dreptului penal) cu încălcarea normelor aplicabile poate depune o plângere la PPC (individual sau prin intermediul autorității pentru protecția datelor din țara sa în sensul articolului 51 din RGPD). PPC va avea obligația de a trata plângerea și, într-o primă etapă, va informa autoritățile publice competente, inclusiv organismele de supraveghere relevante, cu privire la aceasta. Autoritățile menționate au obligația de a coopera cu PPC, „inclusiv prin furnizarea informațiilor necesare și a materialelor relevante, astfel încât PPC să poată evalua dacă colectarea sau utilizarea ulterioară a informațiilor cu caracter personal a avut loc în conformitate cu normele aplicabile” (117). Această obligație, care derivă din articolul 80 din APPI (acesta impunând autorităților publice japoneze obligația de a coopera cu PPC), se aplică în general și deci acoperă și reexaminarea oricărei măsuri de investigare luate de autoritățile respective, care, în plus, s-au angajat să coopereze prin intermediul unor asigurări scrise oferite de ministerele și directorii de agenții care au competențe în domeniul respectiv, astfel cum este indicat în anexa II.

(143)

În cazul în care evaluarea arată că a avut loc o încălcare a normelor aplicabile, „cooperarea autorităților publice în cauză cu PPC include și obligația de a remedia încălcarea respectivă”, ceea ce, în cazul colectării ilegale de informații cu caracter personal, acoperă și ștergerea datelor respective. Este important de remarcat faptul că această obligație este îndeplinită sub supravegherea PPC, care va „confirma, înainte de încheierea evaluării, că încălcarea a fost remediată pe deplin.”

(144)

După încheierea evaluării, PPC îi comunică persoanei fizice într-un termen rezonabil rezultatul evaluării, inclusiv orice măsură corectivă întreprinsă, dacă este cazul. În același timp, PPC informează, de asemenea, persoana fizică cu privire la posibilitatea de a obține o confirmare a rezultatului de la autoritatea publică competentă și îi comunică denumirea autorității căreia trebuie să i se adreseze o astfel de cerere de confirmare. Posibilitatea de a primi o astfel de confirmare, care să includă motivele care stau la baza deciziei autorității competente, este utilă persoanei în cauză în eventualitatea unor demersuri ulterioare, inclusiv atunci când introduce o cale de atac judiciară. Accesul la informații detaliate cu privire la rezultatul evaluării poate fi restricționat, atât timp cât există motive întemeiate de a considera că prin comunicarea acestor informații investigația în curs este expusă unui risc.

(145)

În al treilea rând, o persoană care nu este de acord cu o decizie (un mandat) de punere sub sechestru (118) privind datele sale cu caracter personal luată (emis) de un judecător sau cu măsurile luate de poliție sau de organele de urmărire penală care aplică o astfel de decizie poate solicita anularea sau modificarea deciziei ori măsurilor respective [articolul 429 alineatul (1) și articolul 430 alineatele (1) și (2) din CPP, precum și articolul 26 din Legea privind interceptarea comunicațiilor] (119). În cazul în care instanța de control judiciar consideră că fie mandatul în sine, fie executarea acestuia („procedura de punere sub sechestru”) este ilegal(ă), aceasta va da curs cererii și va dispune returnarea articolelor puse sub sechestru (120).

(146)

În al patrulea rând, ca o formă mai indirectă de control judiciar, o persoană care consideră că colectarea informațiilor sale cu caracter personal în cadrul investigării unei infracțiuni a fost ilegală poate, în faza de judecată a procesului său penal, să invoce această ilegalitate. În cazul în care instanța este de acord, acest lucru va duce la excluderea elementelor de probă pe motiv de inadmisibilitate.

(147)

În fine, în temeiul articolului 1 alineatul (1) din Legea privind măsurile reparatorii acordate de stat, o instanță poate hotărî acordarea unei despăgubiri în cazul în care un funcționar public care exercită autoritatea publică a statului a cauzat persoanei în cauză prejudicii, în cursul exercitării atribuțiilor sale, în mod ilegal și din culpă (intenționat sau din neglijență). În conformitate cu articolul 4 din Legea privind măsurile reparatorii acordate de stat, răspunderea statului pentru daune se întemeiază pe dispozițiile Codului civil. În acest sens, articolul 710 din Codul civil prevede că răspunderea acoperă, de asemenea, și alte daune decât daunele materiale, deci și daunele morale (de exemplu, sub formă de „prejudiciu psihologic”). Aceasta include cazurile în care viața privată a unei persoane a fost invadată de o supraveghere ilicită și/sau de colectarea informațiilor sale cu caracter personal (de exemplu, executarea ilegală a unui mandat) (121).

(148)

În plus față de compensațiile bănești, persoanele pot beneficia, în anumite condiții, și de o ordonanță președințială (de exemplu, ștergerea datelor cu caracter personal colectate de autoritățile publice) pe baza drepturilor lor la viață privată în temeiul articolului 13 din Constituție (122).

(149)

În ceea ce privește toate căile de atac menționate, mecanismul de soluționare a litigiilor creat de guvernul japonez prevede că o persoană care este în continuare nemulțumită de rezultatul procedurii se poate adresa PPC „care informează persoana în cauză cu privire la diferitele posibilități și proceduri detaliate pentru obținerea de reparații în temeiul actelor cu putere de lege și normelor administrative japoneze.” În plus, PPC „va oferi persoanei în cauză sprijin, inclusiv consiliere și asistență în ceea ce privește introducerea unei eventuale căi de atac ulteriore pe lângă instanța administrativă sau judecătorească relevantă.”

(150)

Aceasta include recurgerea la drepturile procedurale prevăzute în Codul de procedură penală. De exemplu, „[î]n cazul în care evaluarea arată că o persoană este suspectată în cadrul unui dosar penal, PPC va informa persoana respectivă în legătură cu acest lucru” (123), precum și în legătură cu posibilitatea pe care o are, în temeiul articolului 259 din CPP, de a solicita ministerului public să o informeze atunci când acesta din urmă ia decizia de a nu iniția o procedură penală. De asemenea, în cazul în care evaluarea arată că informațiile cu caracter personal ale persoanei respective au fost utilizate în cadrul unui caz și că acel caz a fost închis, PPC va informa persoana în cauză că dosarul poate fi consultat în temeiul articolului 53 din CPP (și al articolului 4 din Legea privind dosarele penale închise). Este important ca o persoană să aibă acces la dosarul său, deoarece acest lucru o va ajuta să înțeleagă mai bine investigația efectuată împotriva sa și, astfel, să pregătească o eventuală acțiune în instanță (de exemplu, o acțiune în despăgubiri) în cazul în care consideră că datele sale au fost colectate sau utilizate în mod ilegal.

(151)

Potrivit autorităților japoneze, în Japonia nu există nicio lege care să permită solicitările obligatorii de informații sau „interceptarea administrativă a comunicațiilor” în afara anchetelor penale. Prin urmare, din motive de securitate națională, informațiile pot fi obținute numai de la o sursă de informații care poate fi accesată liber de oricine sau prin divulgare voluntară. Operatorii economici care primesc o cerere de cooperare voluntară (sub formă de divulgare a unor informații electronice) nu au nicio obligație legală de a furniza informațiile respective (124).

(152)

De asemenea, potrivit informațiilor primite, numai patru entități guvernamentale sunt împuternicite să colecteze informații electronice deținute de operatorii economici japonezi din motive de securitate națională, și anume: (i) biroul de informații operative și cercetare al Cabinetului (Cabinet Intelligence & Research Office – CIRO); (ii) Ministerul Apărării; (iii) poliția [atât Agenția Națională de Poliție (ANP) (125), cât și poliția prefectorală]; și (iv) Agenția de Informații pentru Securitate Publică (Public Security Intelligence Agency – PSIA). Cu toate acestea, CIRO nu colectează niciodată informații direct de la operatorii economici, nici prin interceptarea comunicațiilor. În cazul în care primește informații de la alte autorități publice pentru a furniza documente de analiză Cabinetului, aceste autorități, la rândul lor, trebuie să respecte legea, inclusiv limitările și garanțiile analizate în prezenta decizie. Prin urmare, activitățile sale nu sunt relevante în contextul unui transfer.

(153)

Conform informațiilor primite, Ministerul Apărării colectează informații (electronice) pe baza Legii privind instituirea Ministerului Apărării. În temeiul articolului 3 al legii respective, misiunea Ministerului Apărării este de a gestiona și de a comanda forțele militare și „de a desfășura activități legate de acestea în scopul asigurării păcii și independenței naționale, precum și a siguranței națiunii”. Articolul 4 alineatul (4) prevede că Ministerul Apărării are în competența sa „apărarea și protecția”, acțiunile care trebuie întreprinse de Forțele de autoapărare, precum și desfășurarea forțelor militare, inclusiv colectarea informațiilor necesare pentru realizarea acestor activități. Prerogativele deținute permit Ministerului Apărării să colecteze informații (electronice) de la operatorii economici doar prin intermediul cooperării voluntare.

(154)

Ca și în cazul poliției prefectorale, responsabilitățile și îndatoririle acestuia includ „menținerea siguranței și ordinii publice” [articolul 35 alineatul (2) coroborat cu articolul 2 alineatul (1) din Legea privind poliția]. În cadrul acestor competențe, poliția poate colecta informații, dar numai pe bază de voluntariat, fără obligație juridică. În plus, activitățile poliției sunt „strict limitate” la ceea ce este necesar pentru îndeplinirea sarcinilor sale. De asemenea, poliția acționează într-un mod „imparțial, nepărtinitor, obiectiv și echitabil” și nu abuzează niciodată de competențele sale „în niciun mod care să aducă atingere drepturilor și libertăților unei persoane care sunt garantate prin Constituția Japoniei” (articolul 2 din Legea privind poliția).

(155)

În fine, PSIA poate efectua investigații în conformitate cu Legea privind prevenirea activităților subversive („SAPA”) și cu Legea privind controlul organizațiilor care au săvârșit acte de ucidere în masă arbitrare („ACO”) în cazul în care astfel de investigații sunt necesare pentru pregătirea adoptării unor măsuri de control împotriva anumitor organizații (126). În temeiul acestor două legi, la cererea directorului general al PSIA, Comisia de examinare a securității publice poate emite anumite „dispoziții” [supraveghere/interdicții în cazul ACO (127), dizolvare/interdicții în cazul SAPA (128)] și, în acest context, PSIA poate efectua investigații (129). Conform informațiilor primite, aceste investigații sunt întotdeauna efectuate cu titlu voluntar, ceea ce înseamnă că PSIA nu îl poate obliga pe deținătorul informațiilor cu caracter personal să furnizeze informațiile respective (130). De fiecare dată, controalele și investigațiile se limitează la strictul necesar pentru a atinge scopul controlului și, în niciun caz, nu trebuie să fie efectuate pentru a se restrânge „în mod nejustificat” drepturile și libertățile garantate prin Constituția Japoniei [articolul 3 alineatul (1) din SAPA/ACO]. În plus, în conformitate cu articolul 3 alineatul (2) din SAPA/ACO, PSIA nu trebuie în niciun caz să facă abuz de aceste controale sau de investigațiile desfășurate pentru a pregăti aceste controale. În cazul în care un agent al PSIA și-a utilizat în mod abuziv autoritatea pe care i-o conferă legea respectivă obligând o persoană să facă orice lucru pe care persoana respectivă nu este obligată să îl facă sau interferând în exercitarea drepturilor persoanei respective, acesta este pasibil de sancțiuni penale în temeiul articolului 45 din SAPA sau al articolului 42 din ACO. În cele din urmă, cele două legi prevăd în mod explicit că dispozițiile lor, inclusiv competențele pe care le conferă, „nu fac în nicio circumstanță obiectul unei interpretări extinse” (articolul 2 din SAPA/ACO).

(156)

În toate cazurile referitoare la accesul administrației publice din motive de securitate națională descrise în prezenta secțiune, se aplică limitările stabilite de Curtea Supremă a Japoniei pentru investigațiile voluntare, ceea ce înseamnă că colectarea informațiilor (electronice) trebuie să fie conformă cu principiile necesității și proporționalității („metoda adecvată”) (131). Astfel cum s-a confirmat în mod explicit de către autoritățile japoneze, „operațiunea de colectare și prelucrare a informațiilor are loc numai în măsura în care acest lucru este necesar pentru îndeplinirea unor sarcini specifice ale autorității publice competente, precum și pe baza unor amenințări specifice”. Prin urmare, „sunt excluse colectarea în masă și arbitrară sau accesul la informații cu caracter personal din motive de securitate națională” (132).

(157)

De asemenea, odată colectate, informațiile cu caracter personal păstrate de autoritățile publice în scopuri de securitate națională vor intra sub incidența măsurilor de protecție prevăzute de APPIHAO și, prin urmare, vor beneficia de această protecție, care se va aplica în ceea ce privește stocarea, utilizarea și divulgarea ulterioare ale acestora (a se vedea considerentul 118).

(158)

Colectarea de informații cu caracter personal în scopuri de securitate națională face obiectul unei supravegheri pe mai multe niveluri din partea celor trei ramuri ale puterii de stat.

(159)

În primul rând, Dieta Națională a Japoniei, prin intermediul comisiilor sale specializate în domeniu, poate examina legalitatea investigațiilor în baza competențelor sale de control parlamentar (articolul 62 din Constituție, articolul 104 din Regulamentul de procedură al Dietei; a se vedea considerentul 134). Această funcție de supraveghere este sprijinită de obligațiile de raportare specifice privind activitățile desfășurate în baza unora dintre temeiurile juridice menționate mai sus (133).

(160)

În al doilea rând, în cadrul puterii executive există mai multe mecanisme de supraveghere.

(161)

În ceea ce privește Ministerul Apărării, supravegherea este exercitată de Biroul inspectorului general (IGO) de a cărui competență ține conformitatea juridică (134); acest birou a fost înființat în baza articolului 29 din Legea privind instituirea Ministerului Apărării ca birou în cadrul acestui minister, sub supravegherea ministrului apărării (căruia biroul îi raportează), dar care este independent de departamentele operaționale ale ministerului. IGO are sarcina de a asigura atât respectarea actelor cu putere de lege și a normelor administrative, cât și îndeplinirea în mod corespunzător de către funcționarii din cadrul Ministerului Apărării a atribuțiilor care le revin. IGO are, printre altele, autoritatea de a efectua așa-numitele „inspecții în domeniul apărării”, atât la intervale regulate („inspecții regulate în domeniul apărării”), cât și în cazuri individuale („inspecții speciale în domeniul apărării”), care, în trecut, vizau și gestionarea adecvată a informațiilor cu caracter personal (135). În contextul acestor inspecții, IGO poate intra în sedii (birouri) și poate solicita prezentarea de documente sau informații, inclusiv furnizarea de explicații de către viceministrul adjunct al ministrului apărării. Inspecția se încheie cu un raport adresat ministrului apărării, în care se prezintă constatările și măsurile de îmbunătățire (a căror punere în aplicare poate fi verificată din nou prin inspecții suplimentare). Raportul, la rândul său, constituie baza pentru instrucțiunile emise de ministrul apărării în vederea punerii în aplicare a măsurilor necesare pentru soluționarea situației; viceministrul adjunct are sarcina de a pune în aplicare aceste măsuri și trebuie să raporteze cu privire la acțiunile subsecvente.

(162)

În ceea ce privește poliția prefectorală, supravegherea este asigurată de către comisiile prefectorale independente pentru siguranța publică, astfel cum este explicat în considerentul 135 în ceea ce privește asigurarea respectării dreptului penal.

(163)

În cele din urmă, după cum s-a indicat, PSIA poate efectua investigații numai în măsura în care acest lucru este necesar pentru adoptarea unei interdicții, a unei dizolvări sau a unei dispoziții de supraveghere în temeiul SAPA/ACO, iar pentru aceste dispoziții, Comisia de examinare a securității publice, care este independentă (136), exercită o supraveghere ex ante. În plus, se efectuează, de către inspectori desemnați în mod specific, inspecții regulate/periodice (care examinează în mod exhaustiv operațiile PSIA) (137) și inspecții interne speciale (138) cu privire la activitățile anumitor departamente/birouri etc.; aceste inspecții pot conduce la formularea de instrucțiuni adresate șefilor departamentelor relevante etc. de a lua măsuri corective sau măsuri de îmbunătățire.

(164)

Aceste mecanisme de supraveghere, care sunt consolidate și mai mult prin posibilitatea ca persoanele fizice să declanșeze intervenția PPC ca autoritate independentă de supraveghere (a se vedea considerentul 168 de mai jos), oferă garanțiile adecvate împotriva riscului de abuz de putere din partea autorităților japoneze în domeniul securității naționale și împotriva oricărei colectări ilegale de informații electronice.

(165)

În ceea ce privește măsurile reparatorii individuale în legătură cu informațiile cu caracter personal colectate și deci „păstrate” de către organe administrative, acestea din urmă au obligația de a „depune eforturi pentru a trata în mod adecvat și cu promptitudine orice plângere” cu privire la prelucrarea datelor (articolul 48 din APPIHAO).

(166)

În plus, spre deosebire de ceea ce este prevăzut în cazul anchetelor penale, persoanele fizice (inclusiv cetățenii străini care locuiesc în străinătate) au, în principiu, dreptul de divulgare (139), de rectificare (inclusiv de ștergere) și de suspendare a utilizării/furnizării în temeiul APPIHAO. Acestea fiind spuse, șeful organului administrativ poate refuza divulgarea în ceea ce privește informațiile „pentru care există motive întemeiate […] de a considera că divulgarea lor este de natură să dăuneze securității naționale” [articolul 14 punctul (iv) din APPIHAO] și poate chiar refuza divulgarea fără a fi obligat să reveleze existența informațiilor respective (articolul 17 din APPIHAO). De asemenea, cu toate că o persoană fizică poate solicita suspendarea utilizării sau ștergerea în temeiul articolului 36 alineatul (1) litera (i) din APPIHAO în cazul în care organul administrativ a obținut informațiile în cauză în mod ilegal sau le păstrează/utilizează într-un mod care depășește ceea ce este necesar pentru a atinge scopul specificat, autoritatea poate respinge cererea în cazul în care constată că suspendarea utilizării „este susceptibilă să împiedice executarea corespunzătoare a activităților care țin de scopul în care sunt utilizate informațiile cu caracter personal păstrate având în vedere natura activităților respective” (articolul 38 din APPIHAO). Totuși, atunci când este posibil să se separe cu ușurință informațiile și să se excludă acele porțiuni de informații care fac obiectul unei excepții, organele administrative au obligația să acorde cel puțin o divulgare parțială [a se vedea, de exemplu, articolul 15 alineatul (1) din APPIHAO] (140).

(167)

În orice caz, organul administrativ trebuie să emită o decizie scrisă într-un termen dat (30 de zile, care în anumite condiții poate fi prelungit cu încă 30 de zile). În cazul în care cererea este respinsă sau aprobată doar parțial ori în cazul în care persoana în cauză consideră, din alte motive, că organul administrativ a dat dovadă de un comportament „ilegal sau nedrept”, persoana respectivă poate solicita examinarea administrativă pe baza Legii privind examinarea reclamațiilor administrative (141). În acest caz, șeful organului administrativ care are sarcina de a lua o decizie cu privire la calea de atac consultă Comitetul de reexaminare a divulgării informațiilor și a protecției informațiilor cu caracter personal (articolele 42 și 43 din APPIHAO), un comitet specializat și independent, ai cărui membri sunt numiți de primul ministru cu acordul ambelor camere ale Dietei. Potrivit informațiilor primite, Comitetul de reexaminare poate realiza o examinare (142) și, în această privință, poate solicita organului administrativ să furnizeze atât informațiile cu caracter personal păstrate, inclusiv orice conținut clasificat, cât și alte informații și documente. Deși raportul final trimis reclamantului și organului administrativ, care este de asemenea publicat, nu are forță juridică obligatorie, constatările din raportul respectiv sunt urmate în aproape toate cazurile (143). Mai mult, persoana în cauză are posibilitatea de a introduce o cale de atac în instanță împotriva deciziei luate cu privire la contestație, în baza Legii privind contenciosul administrativ. Acest demers deschide calea către exercitarea controlului judiciar asupra utilizării excepției (excepțiilor) din motive de securitate națională, inclusiv pentru a determina dacă excepția respectivă a fost utilizată în mod abuziv sau dacă este în continuare justificată.

(168)

Pentru a facilita exercitarea drepturilor menționate mai sus în temeiul APPIHAO, MIC a înființat 51 de „centre de informare generală” care furnizează informații consolidate cu privire la aceste drepturi, la procedurile aplicabile pentru a adresa o cerere și la căile de atac posibile (144). În ceea ce privește organele administrative, acestea au obligația să furnizeze „informații care să contribuie la precizarea informațiilor cu caracter personal păstrate” (145) și să ia „alte măsuri adecvate, ținând cont de ceea ce este potrivit pentru persoana care intenționează să depună cererea” [articolul 47 alineatul (1) din APPIHAO].

(169)

La fel ca în cazul investigațiilor din domeniul asigurării respectării dreptului penal, și în domeniul securității naționale persoanele fizice pot obține măsuri reparatorii individuale prin contactarea directă a PPC. Acest demers va declanșa procedura specifică de soluționare a litigiilor pe care guvernul japonez a creat-o pentru persoanele fizice din UE ale căror date cu caracter personal sunt transferate în temeiul prezentei decizii (a se vedea explicațiile detaliate din considerentele 141-144 și considerentul 149).

(170)

În plus, persoanele fizice pot recurge la căi de atac judiciare sub forma unei acțiuni în despăgubiri în temeiul Legii privind măsurile reparatorii acordate de stat, care acoperă și prejudiciile morale și, în anumite condiții, ștergerea datelor colectate (a se vedea considerentul 147).

(171)

Comisia consideră că APPI, astfel cum a fost completată prin normele suplimentare cuprinse în anexa I, împreună cu expunerile, asigurările și angajamentele oficiale cuprinse în anexa II, asigură un nivel de protecție a datelor cu caracter personal transferate din Uniunea Europeană care este, în esență, echivalent cu cel garantat prin Regulamentul (UE) 2016/679.

(172)

În plus, Comisia consideră că, în ansamblu, mecanismele de supraveghere și căile de atac prevăzute în legislația japoneză permit detectarea și pedepsirea în practică a încălcărilor comise de operatorii economici care gestionează informații cu caracter personal și pun la dispoziția persoanelor vizate căile de atac juridice necesare pentru a obține accesul la datele cu caracter personal care le privesc și, în cele din urmă, rectificarea sau ștergerea datelor respective.

(173)

În cele din urmă, pe baza informațiilor disponibile cu privire la ordinea juridică japoneză, inclusiv pe baza expunerilor, asigurărilor și angajamentelor formulate de guvernul japonez și cuprinse în anexa II, Comisia consideră atât că orice atingere adusă, în scopuri de interes public, în special în scopul asigurării respectării dreptului penal și în scopul securității naționale, de autoritățile publice japoneze drepturilor fundamentale ale persoanelor fizice ale căror date cu caracter personal sunt transferate din Uniunea Europeană către Japonia se va limita la ceea ce este strict necesar pentru îndeplinirea obiectivului legitim în cauză, cât și că există o protecție juridică eficace împotriva unor astfel de atingeri.

(174)

Prin urmare, având în vedere constatările cuprinse în prezenta decizie, Comisia consideră că Japonia asigură un nivel adecvat de protecție a datelor cu caracter personal transferate din Uniunea Europeană către operatorii economici care gestionează informații cu caracter personal din Japonia și care fac obiectul APPI, cu excepția cazurilor în care destinatarul se încadrează într-una dintre categoriile enumerate la articolul 76 alineatul (1) din APPI, iar scopurile prelucrării corespund, în totalitate sau parțial, unuia dintre scopurile prevăzute în dispoziția respectivă.

(175)

Pe această bază, Comisia concluzionează că se respectă standardul caracterului adecvat prevăzut la articolul 45 din Regulamentul (UE) 2016/679, interpretat în lumina Cartei drepturilor fundamentale a Uniunii Europene, în special în hotărârea din cauza Schrems (146).

(176)

În conformitate cu jurisprudența Curții de Justiție (147) și astfel cum se prevede la articolul 45 alineatul (4) din Regulamentul (UE) 2016/679, Comisia ar trebui să monitorizeze continuu evoluțiile relevante din țara terță după adoptarea unei decizii privind caracterul adecvat al nivelului de protecție, pentru a evalua dacă Japonia continuă să asigure un nivel de protecție echivalent în esență. O astfel de verificare este necesară, în orice caz, atunci când Comisia primește orice informație care dă naștere unor îndoieli justificate în această privință.

(177)

Prin urmare, Comisia ar trebui să monitorizeze în permanență situația în ceea ce privește cadrul juridic și practica propriu-zisă de prelucrare a datelor cu caracter personal, astfel cum sunt evaluate în prezenta decizie, inclusiv respectarea de către autoritățile japoneze a expunerilor, asigurărilor și angajamentelor cuprinse în anexa II. Pentru a facilita acest proces, se așteaptă din partea autorităților japoneze să informeze Comisia cu privire la evoluțiile semnificative relevante pentru prezenta decizie, atât în ceea ce privește prelucrarea datelor cu caracter personal de către operatorii economici, cât și limitările și garanțiile aplicabile accesului autorităților publice la datele cu caracter personal. Aceasta ar trebui să includă orice decizie adoptată de PPC în temeiul articolului 24 din APPI prin care se recunoaște că o țară terță oferă un nivel de protecție echivalent celui garantat în Japonia.

(178)

În plus, pentru a permite Comisiei să își exercite în mod eficace funcția de monitorizare, statele membre ar trebui să informeze Comisia cu privire la orice acțiune relevantă întreprinsă de autoritățile naționale de protecție a datelor („APD”), în special în ceea ce privește solicitările sau plângerile formulate de persoanele vizate din UE cu privire la transferul de date cu caracter personal din Uniunea Europeană către operatori economici din Japonia. De asemenea, Comisia ar trebui să fie informată cu privire la orice indiciu potrivit căruia acțiunile autorităților publice japoneze responsabile cu prevenirea, investigarea, detectarea sau aducerea în fața instanței a infracțiunilor sau cu securitatea națională, inclusiv acțiunile oricărui organism de supraveghere, nu asigură nivelul de protecție necesar.

(179)

Statele membre și organele acestora au obligația de a lua măsurile necesare pentru a se conforma actelor instituțiilor Uniunii, întrucât se presupune că aceste acte sunt legale și, prin urmare, produc efecte juridice atât timp cât nu sunt retrase, anulate în cadrul unei acțiuni în anulare sau declarate nule ca urmare a unei trimiteri preliminare sau a unei excepții de nelegalitate. În consecință, o decizie a Comisiei privind caracterul adecvat al nivelului de protecție, adoptată în temeiul articolului 45 alineatul (3) din Regulamentul (UE) 2016/679, este obligatorie pentru toate organele statelor membre cărora li se adresează, inclusiv pentru autoritățile de supraveghere independente ale acestora. În același timp, astfel cum este explicat de Curtea de Justiție în hotărârea pronunțată în cauza Schrems (148) și astfel cum este prevăzut la articolul 58 alineatul (5) din regulament, în cazul în care o autoritate națională de protecție a datelor pune sub semnul întrebării, inclusiv în urma primirii unei plângeri, compatibilitatea unei decizii a Comisiei privind caracterul adecvat al nivelului de protecție cu dreptul fundamental al unei persoane la viață privată și la protecția datelor, legislația națională trebuie să prevadă o cale de atac pentru a prezenta obiecțiile respective în fața unei instanțe naționale, care, în caz de îndoieli, trebuie să suspende procedurile și să efectueze o trimitere preliminară către Curtea de Justiție (149).

(180)

În conformitate cu articolul 45 alineatul (3) din Regulamentul (UE) 2016/679 (150) și având în vedere faptul că nivelul de protecție asigurat de ordinea juridică japoneză poate suferi modificări, Comisia, în urma adoptării prezentei decizii, ar trebui să verifice periodic dacă constatările referitoare la caracterul adecvat al nivelului de protecție asigurat de Japonia sunt în continuare justificate în fapt și în drept.

(181)

În acest scop, prezenta decizie ar trebui să facă obiectul unei prime revizuiri în termen de doi ani de la intrarea sa în vigoare. În urma acestei prime revizuiri și în funcție de rezultatul acesteia, Comisia va decide, consultându-se îndeaproape cu comitetul instituit în temeiul articolului 93 alineatul (1) din RGPD, dacă ciclul de doi ani trebuie menținut. În orice caz, revizuirile ulterioare ar trebui să aibă loc cel puțin o dată la patru ani (151). Revizuirea ar trebui să se refere la toate aspectele legate de funcționarea prezentei decizii și, în special, la aplicarea normelor suplimentare (acordându-se o atenție deosebită protecției oferite în caz de transferuri ulterioare), la aplicarea normelor privind consimțământul, inclusiv în cazul retragerii, la eficacitatea exercitării drepturilor individuale, precum și la limitările și garanțiile privind accesul administrației publice, inclusiv mecanismul de reparație, astfel cum este prevăzut în anexa II la prezenta decizie. Revizuirea ar trebui să acopere, de asemenea, eficacitatea supravegherii și a asigurării respectării legislației, atât în ceea ce privește normele aplicabile operatorilor economici care gestionează informații cu caracter personal, cât și normele aplicabile în domeniul asigurării respectării dreptului penal și în domeniul securității naționale.

(182)

Pentru a efectua această revizuire, Comisia ar trebui să se reunească cu PPC, însoțit, dacă este cazul, de alte autorități japoneze responsabile cu accesul administrației publice, inclusiv organismele de supraveghere competente. Participarea la această reuniune ar trebui să fie deschisă reprezentanților membrilor Comitetului european pentru protecția datelor (EDPB). În cadrul revizuirii comune, Comisia ar trebui să solicite PPC să furnizeze informații cuprinzătoare cu privire la toate aspectele relevante pentru constatarea referitoare la caracterul adecvat, inclusiv cu privire la limitările și garanțiile referitoare la accesul administrației publice la date (152). Comisia ar trebui, de asemenea, să solicite explicații atât cu privire la orice informație relevantă pentru prezenta decizie pe care a primit-o, inclusiv cu privire la rapoartele publice întocmite de autoritățile japoneze sau de alte părți interesate din Japonia, de Comitetul european pentru protecția datelor, de diferite autorități naționale de protecție a datelor, de grupuri ale societății civile, cât și cu privire la informațiile transmise de mass-media sau de orice altă sursă de informații disponibilă.

(183)

Pe baza revizuirii comune, Comisia ar trebui să pregătească un raport public care trebuie să fie prezentat Parlamentului European și Consiliului.

(184)

În cazul în care, pe baza verificărilor periodice și ad-hoc sau a oricăror alte informații disponibile, Comisia ajunge la concluzia că nivelul de protecție oferit de ordinea juridică japoneză nu mai poate fi considerat echivalent în esență cu nivelul de protecție din Uniunea Europeană, aceasta ar trebui să informeze în acest sens autoritățile competente din Japonia și să solicite luarea măsurilor corespunzătoare într-un interval de timp bine definit și rezonabil. Printre acestea se numără normele aplicabile atât operatorilor economici, cât și autorităților publice japoneze responsabile cu asigurarea respectării dreptului penal sau cu securitatea națională. De exemplu, o astfel de procedură ar fi declanșată în cazurile în care transferurile ulterioare, inclusiv cele efectuate pe baza unor decizii adoptate de PPC în temeiul articolului 24 din APPI prin care se recunoaște că o țară terță oferă un nivel echivalent de protecție celui garantat în Japonia, nu vor mai fi efectuate cu aplicarea unor garanții care să asigure continuitatea protecției în sensul articolului 44 din RGPD.

(185)

În cazul în care, după perioada de timp stabilită, autoritățile competente din Japonia nu demonstrează în mod satisfăcător că prezenta decizie continuă să se bazeze pe un nivel adecvat de protecție, Comisia ar trebui, în temeiul articolului 45 alineatul (5) din Regulamentul (UE) 2016/679, să inițieze procedura care conduce la suspendarea parțială sau totală a prezentei decizii sau la abrogarea acesteia. Ca alternativă, Comisia ar trebui să inițieze procedura de modificare a prezentei decizii, în special prin aplicarea unor condiții suplimentare transferurilor de date sau prin limitarea domeniului de aplicare al constatării referitoare la caracterul adecvat numai la transferurile de date pentru care se asigură continuitatea protecției în sensul articolului 44 din RGPD.

(186)

Mai precis, Comisia ar trebui să inițieze procedura de suspendare sau de abrogare în cazul în care există indicii potrivit cărora normele suplimentare cuprinse în anexa I nu sunt respectate de către operatorii economici care primesc date cu caracter personal în temeiul prezentei decizii și/sau nu sunt aplicate în mod eficace sau că autoritățile japoneze nu respectă expunerile, asigurările și angajamentele cuprinse în anexa II la prezenta decizie.

(187)

De asemenea, Comisia ar trebui să aibă în vedere inițierea procedurii care conduce la modificarea, suspendarea sau abrogarea prezentei decizii în cazul în care, în contextul revizuirii comune sau într-un alt context, autoritățile japoneze competente nu furnizează informațiile sau clarificările necesare pentru evaluarea nivelului de protecție acordat datelor cu caracter personal transferate din Uniunea Europeană către Japonia sau pentru evaluarea respectării prezentei decizii. În această privință, Comisia ar trebui să ia în considerare măsura în care informațiile relevante pot fi obținute din alte surse.

(188)

Din motive de urgență justificate în mod corespunzător, cum ar fi riscul de încălcare gravă a drepturilor persoanelor vizate, Comisia ar trebui să ia în considerare posibilitatea adoptării unei decizii de suspendare sau de abrogare a prezentei decizii cu aplicare imediată, în temeiul articolului 93 alineatul (3) din Regulamentul (UE) 2016/679, coroborat cu articolul 8 din Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului (153).

(189)

Comitetul european pentru protecția datelor și-a publicat avizul (154), care a fost luat în considerare la pregătirea prezentei decizii.

(190)

Parlamentul European a adoptat o rezoluție privind o strategie în domeniul comerțului digital care invită Comisia să acorde prioritate și să accelereze adoptarea deciziilor privind caracterul adecvat al nivelului de protecție cu partenerii comerciali importanți în condițiile prevăzute în Regulamentul (UE) 2016/679, ca mecanism important de protecție a transferurilor de date cu caracter personal din Uniunea Europeană (155). Parlamentul European a adoptat, de asemenea, o rezoluție privind caracterul adecvat al protecției datelor cu caracter personal asigurate de Japonia (156).

(191)

Măsurile prevăzute în prezenta decizie sunt conforme cu avizul comitetului instituit în temeiul articolului 93 alineatul (1) din RGPD,