EURÓPSKA KOMISIA
V Bruseli3. 4. 2023
COM(2023) 275 final
SPRÁVA KOMISIE EURÓPSKEMU PARLAMENTU A RADE
o prvom preskúmaní fungovania rozhodnutia o primeranosti pre Japonsko
{SWD(2023) 75 final}
EURÓPSKA KOMISIA
V Bruseli3. 4. 2023
COM(2023) 275 final
SPRÁVA KOMISIE EURÓPSKEMU PARLAMENTU A RADE
o prvom preskúmaní fungovania rozhodnutia o primeranosti pre Japonsko
{SWD(2023) 75 final}
SPRÁVA KOMISIE EURÓPSKEMU PARLAMENTU A RADE
o prvom preskúmaní fungovania rozhodnutia o primeranosti pre Japonsko
1.PRVÉ PRESKÚMANIE – SÚVISLOSTI, PRÍPRAVA A POSTUP
Európska komisia prijala 23. januára 2019 rozhodnutie na základe článku 45 nariadenia (EÚ) 2016/679 (všeobecné nariadenie o ochrane údajov) 1 , v ktorom dospela k záveru, že Japonsko zabezpečuje primeranú úroveň ochrany osobných údajov prenášaných z Európskej únie hospodárskym subjektom nakladajúcim s osobnými informáciami 2 v Japonsku 3 . Prenosy údajov z EÚ súkromným hospodárskym subjektom v Japonsku sa preto môžu uskutočňovať bez ukladania doplňujúcich požiadaviek 4 .
Rozhodnutie Komisie o primeranosti sa vzťahuje na japonský zákon o ochrane osobných informácií (APPI) doplnený doplňujúcimi pravidlami, ktoré boli zavedené na preklenutie určitých relevantných rozdielov medzi zákonom APPI a všeobecným nariadením o ochrane údajov 5 . Tieto dodatočné záruky posilňujú napríklad ochranu citlivých údajov (rozšírením kategórií osobných informácií považovaných za citlivé údaje), uplatňovanie individuálnych práv (objasnením, že individuálne práva možno uplatňovať aj v prípade osobných údajov uchovávaných počas obdobia kratšieho ako šesť mesiacov, čo v tom čase na základe zákona APPI neplatilo) 6 a podmienky, na základe ktorých možno údaje z EÚ prenášať ďalej („následne“) z Japonska do inej tretej krajiny 7 . Doplňujúce pravidlá sú pre japonské hospodárske subjekty záväzné a na japonských súdoch ich môže presadzovať nezávislý orgán pre ochranu osobných údajov – Komisia pre ochranu osobných informácií – alebo priamo fyzické osoby z EÚ 8 .
Japonská vláda okrem toho poskytla Komisii oficiálne vyhlásenia, uistenia a záväzky v súvislosti s obmedzeniami a zárukami týkajúcimi sa prístupu k osobným údajom a ich využívania zo strany japonských orgánov verejnej moci na účely presadzovania práva v trestných veciach a na účely národnej bezpečnosti, pričom objasnila, že každé takéto spracúvanie sa obmedzuje na to, čo je nevyhnutné a primerané a čo podlieha nezávislému dozoru a účinným mechanizmom nápravy 9 . Mechanizmy nápravy v tejto oblasti zahŕňajú osobitný postup riešenia sporov, ktorý spravuje a nad ktorým dohliada Komisia pre ochranu osobných informácií a ktorý bol vytvorený pre fyzické osoby z EÚ, ktorých osobné údaje sa prenášajú na základe rozhodnutia o primeranosti 10 .
V čase prijatia rozhodnutia Komisie o primeranosti prijalo Japonsko rovnocenné rozhodnutie týkajúce sa prenosov údajov do EÚ, čím vznikla najväčšia svetová zóna voľných tokov údajov založená na vysokej úrovni ochrany 11 . Tieto rozhodnutia o vzájomnej primeranosti dopĺňajú a posilňujú prínosy Dohody medzi Európskou úniou a Japonskom o hospodárskom partnerstve (ďalej len „dohoda EPA“), ktorá nadobudla platnosť vo februári 2019 12 , a dohody o strategickom partnerstve 13 , o ktorej sa rokovalo spoločne s dohodou EPA. Spoločnosti na oboch stranách využívajú synergiu medzi rozhodnutiami o vzájomnej primeranosti a dohodou EPA, keďže možnosť voľného toku údajov medzi EÚ a Japonskom ďalej uľahčuje obchodnú výmenu a vytvára významné podnikateľské príležitosti prostredníctvom privilegovaného prístupu na trh druhej strany. Zároveň to predstavuje dôležitý precedens, pretože jednoznačne ukazuje, že podpora prísnych noriem v oblasti súkromia a uľahčovanie medzinárodného obchodu môžu a musia ísť ruka v ruke.
Od prijatia rozhodnutí o primeranosti EÚ a Japonsko ako podobne zmýšľajúci partneri ďalej zintenzívnili svoju spoluprácu v súvislosti s digitálnymi záležitosťami vo všeobecnosti, a najmä v oblasti tokov údajov. Na bilaterálnej úrovni sa to odráža najmä na uzatvorení digitálneho partnerstva v máji 2022 14 a na začatí rokovaní v októbri 2022 s cieľom zahrnúť do dohody EPA pravidlá týkajúce sa cezhraničných tokov údajov 15 , čo ešte viac posilní synergiu s dohodou o vzájomnej primeranosti. Na mnohostrannej úrovni sa EÚ a Japonsko spojili v úsilí podporiť, posilniť a sfunkčniť koncepciu „spoľahlivého voľného toku údajov“, ktorú začal bývalý predseda vlády, Shinzo Abe – a to aj prostredníctvom úzkej spolupráce v rámci G7, Svetovej obchodnej organizácie (v kontexte iniciatívy spoločného vyhlásenia o elektronickom obchode) a Organizácie pre hospodársku spoluprácu a rozvoj (ďalej len „OECD“). V rámci OECD bola intenzívna spolupráca medzi EÚ a Japonskom v týchto veciach dôležitá predovšetkým v súvislosti s tým, že sa po prvýkrát na medzinárodnej úrovni prijali spoločné zásady prístupu vlády k osobným údajom uchovávaným súkromným sektorom 16 . Všetky tieto rôzne oblasti činnosti vo väčšej či menšej miere vychádzali zo spoločných hodnôt a požiadaviek, na ktorých je založená dohoda medzi EÚ a Japonskom o vzájomnej primeranosti.
Na pravidelné overovanie toho, či sú zistenia rozhodnutia o primeranosti naďalej fakticky aj právne odôvodnené, sa od Komisie požaduje, aby vykonávala pravidelné preskúmavania a podávala o ich výsledkoch správy Európskemu parlamentu a Rade 17 . Táto správa, ktorá sa vzťahuje na všetky aspekty fungovania rozhodnutia, je záverom prvého pravidelného preskúmavania. Na strane Japonska sa na preskúmavaní zúčastnili zástupcovia Komisie pre ochranu osobných informácií, ministerstva vnútra a komunikácií, ministerstva spravodlivosti, ministerstva obrany a Národnej policajnej agentúry. Delegáciu EÚ tvorili traja zástupcovia určení výborom EDPB a členovia Európskej komisie.
Stretnutie zamerané na preskúmanie medzi dvoma delegáciami sa uskutočnilo 26. októbra 2021, pričom pred ním aj po ňom sa viedli viaceré výmeny názorov. Na pripravenie preskúmania Komisia konkrétne zhromaždila informácie od japonských orgánov o fungovaní rozhodnutia, najmä o vykonávaní doplňujúcich pravidiel. Komisia takisto získala z verejných zdrojov a od miestnych odborníkov informácie o fungovaní rozhodnutia a príslušnom vývoji v japonskom práve a praxi, pokiaľ ide o pravidlá v oblasti ochrany údajov uplatňované na súkromné subjekty a na prístup vlády. Okrem stretnutia zameraného na preskúmanie medzi Komisiou a Komisiou pre ochranu osobných informácií sa uskutočnilo viacero výmen názorov v nadväznosti na body, o ktorých sa na tomto stretnutí diskutovalo, a predovšetkým s cieľom riešiť otázky vyplývajúce zo zavedenia pravidiel týkajúcich sa pseudonymizovaných osobných informácií v zákone APPI.
2.HLAVNÉ ZISTENIA
Podrobné zistenia týkajúce sa fungovania všetkých aspektov rozhodnutia o primeranosti sú uvedené v pracovnom dokumente útvarov Komisie [SWD(2023) 75], ktorý je sprievodným dokumentom k tejto správe.
Na základe prvého preskúmania sa zistilo najmä to, že rámce EÚ a Japonska v oblasti ochrany údajov sa od prijatia rozhodnutí o vzájomnej primeranosti ďalej zbližujú. Zákon APPI bol dvakrát novelizovaný: dňa 5. júna 2020 prostredníctvom novely zákona o ochrane osobných informácií z roku 2020 (novela zákona APPI z roku 2020), ktorá nadobudla účinnosť 1. apríla 2022 18 a 12. mája 2021 prostredníctvom zákona o dohode o súvisiacich zákonoch na vytvorenie digitálnej spoločnosti (novela zákona APPI z roku 2021) 19 . Doplňujúce pravidlá sa na základe konzultácie s Komisiou prispôsobili tak, aby tieto zmeny zohľadňovali.
Tieto novely ešte viac zblížili systémy EÚ a Japonska, najmä posilnením povinností v oblasti bezpečnosti údajov (zavedením povinnosti oznamovať porušenia ochrany údajov), práv dotknutých osôb (konkrétne práva prístupu a práva namietať) a ochrany poskytovanej v prípade prenosu údajov (vo forme doplňujúcich informácií a požiadaviek na monitorovanie vrátane informácií o možných rizikách týkajúcich sa prístupu vlády v krajine učenia). V tomto kontexte stojí osobitne za pozornosť, že niektoré dodatočné záruky poskytnuté na základe doplňujúcich pravidiel v súvislosti s osobnými údajmi prichádzajúcimi z EÚ, t. j. v súvislosti s uchovávaním údajov a podmienkami udelenia informovaného súhlasu v prípade cezhraničného prenosu, boli začlenené do zákona APPI, čím sa stali všeobecne uplatniteľnými na všetky osobné údaje, bez ohľadu na ich pôvod alebo miesto zberu 20 .
Ďalším kľúčovým vývojom, ktorý Komisia víta, je transformácia zákona APPI na komplexný rámec v oblasti ochrany údajov, ktorý sa vzťahuje na súkromný aj verejný sektor na základe výlučného dohľadu zo strany Komisie pre ochranu osobných informácií 21 . Toto ďalšie posilňovanie japonského rámca v oblasti ochrany údajov a právomocí Komisie pre ochranu osobných informácií môže vytvoriť priestor na rozšírenie rozhodnutia o primeranosti nad rámec obchodných výmen tak, aby sa vzťahoval aj na prenosy údajov, ktoré sú v súčasnosti vylúčené z rozsahu jeho pôsobnosti, napr. v oblasti regulačnej spolupráce a výskumu.
Prvé preskúmanie sa sústredilo aj na nové pravidlá týkajúce sa vytvárania a používania „pseudonymizovaných osobných informácií“, ktoré boli zavedené v novele zákona APPI z roku 2020 22 . Cieľom týchto nových pravidiel je v podstate uľahčiť (vnútorné) používanie osobných informácií podnikmi, ktoré nakladajú s osobnými informáciami v zásade na štatistické účely (napr. na identifikovanie trendov a vzorcov s cieľom získať prínos pre ďalšie činnosti vrátane výskumu). Stretnutie zamerané na preskúmanie a následné výmeny názorov medzi Komisiou a Komisiou pre ochranu osobných informácií umožnili objasnenie výkladu a uplatňovania týchto nových ustanovení. Na základe týchto rozhovorov sa s cieľom jasnejšie zohľadniť zamýšľané uplatňovanie týchto nových ustanovení, a tak zabezpečiť právnu istotu a transparentnosť, 15. marca 2023 zmenili doplňujúce pravidlá dvojakým spôsobom 23 . Po prvé v doplňujúcich pravidlách sa stanovuje, že takéto informácie možno používať len na štatistické účely – vymedzené ako spracúvanie na štatistické zisťovania alebo vytváranie štatistických výsledkov – na vytváranie súhrnných údajov, pričom výsledok spracúvania sa nepoužije na podporu opatrení ani rozhodnutí týkajúcich sa konkrétnej fyzickej osoby. Po druhé sa v nich jasne stanovuje, že pseudonymizované osobné informácie pôvodne prijaté z EÚ sa vždy budú považovať za „osobné informácie“ na základe zákona APPI, aby sa zabezpečilo, že nepretržitá ochrana údajov považovaných za osobné údaje podľa všeobecného nariadenia o ochrane údajov sa nenaruší prenosom údajov na základe rozhodnutia o primeranosti 24 .
Pokiaľ ide o vykonávanie zavedených záruk v oblasti ochrany údajov, Komisia víta rozličné kroky vykonané zo strany Komisie pre ochranu osobných informácií, medzi ktoré patrí prijatie aktualizovaných usmernení vrátane usmernení týkajúcich sa medzinárodného prenosu údajov. Komisia poznamenáva, že tieto usmernenia by bolo možné objasniť tak, aby sa zaoberali aj osobitnými požiadavkami, ktoré sa na základe doplňujúcich pravidiel uplatňujú na následné prenosy osobných údajov z Japonska prijatých z EÚ vrátane vylúčenia následných prenosov na základe systému certifikácie pravidiel cezhraničnej ochrany súkromia v rámci Ázijsko-tichomorskej hospodárskej spolupráce, ako vyplýva z doplňujúceho pravidla 4 a ako sa vysvetľuje v rozhodnutí o primeranosti 25 . Okrem toho, hoci Komisia pre ochranu osobných informácií vysvetlila, že zúčastnené hospodárske subjekty nakladajúce s osobnými informáciami svoje následné prenosy údajov pôvodne prijaté z EÚ formalizujú „uzatvorením zmluvy, ktorá príjemcu zaväzuje k prijatiu opatrení zabezpečujúcich nepretržitú ochranu“, Komisia pre ochranu osobných informácií v súčasnosti neposkytuje žiadne pokyny týkajúce sa odporúčaného obsahu (z hľadiska záruk) „rovnocenných opatrení“ používaných na medzinárodné prenosy údajov, či už vo forme usmernení, alebo vzorových zmlúv o ochrane údajov. Tieto ďalšie objasnenia, ktoré by mohli byť založené najmä na výmene informácií a najlepších postupov medzi Komisiou pre ochranu osobných informácií a Komisiou, by mohli byť osobitne dôležité, keďže sa týkajú aspektov, ktoré sú mimoriadne relevantné pre spoločnosti vykonávajúce svoju činnosť v oboch jurisdikciách.
Pokiaľ ide o dozor a presadzovanie, Komisia konštatuje, že Komisia pre ochranu osobných informácií v období po prijatí rozhodnutia o primeranosti viac využívala svoje nedonucovacie právomoci spočívajúce v poskytovaní usmernení a poradenstva (článok 147 zákona APPI) ako donucovacie právomoci (spočívajúce napr. v ukladaní záväzných príkazov, článok 148 APPI). Komisia pre ochranu osobných informácií takisto oznámila, že do dnešného dňa neboli doručené žiadne sťažnosti týkajúce sa dodržiavania doplňujúcich pravidiel a z vlastnej iniciatívy Komisie pre ochranu osobných informácií sa neuskutočnili žiadne vyšetrovania týkajúce sa týchto otázok. Komisia pre ochranu osobných informácií však počas stretnutia zameraného na preskúmanie oznámila, že zamýšľa z vlastnej iniciatívy uskutočňovať náhodné kontroly, aby zabezpečila dodržiavanie doplňujúcich pravidiel. Komisia toto oznámenie víta, keďže sa domnieva, že takéto náhodné kontroly by boli veľmi dôležité na zabezpečenie toho, aby sa predišlo (prípadným) porušeniam doplňujúcich pravidiel, aby sa takéto porušenia zistili a aby sa riešili, čím sa zaistí účinný súlad s týmito pravidlami. Keďže novelami zákona APPI z rokov 2020 a 2021 sa posilnili právomoci Komisie pre ochranu osobných informácií v oblasti dozoru, tieto náhodné kontroly by mohli byť súčasťou celkového úsilia zintenzívniť využívanie takýchto právomocí.
Komisia napokon veľmi víta zriadenie špecializovaných kontaktných miest pre fyzické osoby z EÚ, ktoré majú otázky alebo obavy v súvislosti so spracúvaním ich osobných údajov v Japonsku, či už sú to obchodné hospodárske subjekty (informačná linka), alebo orgány verejnej moci (linka pre vybavovanie sťažností). Zároveň upozorňuje, že na webovej stránke informačnej linky sa uvádza, že je dostupná „len v japončine“, čo pravdepodobne odradí fyzické osoby z EÚ od jej využívania, aj keď Komisia pre ochranu osobných informácií vysvetlila, že v zásade je dostupná aj pomoc v anglickom jazyku. Komisia berie na vedomie, že Komisia pre ochranu osobných informácií musí zvážiť spôsoby, ako takéto kontaktné miesta lepšie sprístupniť Európanom, a to okrem iného objasnením uvedenej skutočnosti.
3.ZÁVER
Komisia na základe celkových zistení v rámci tohto prvého preskúmania dospela k záveru, že Japonsko naďalej zabezpečuje primeranú úroveň ochrany osobných údajov, ktoré smerujú z Európskej únie k japonským hospodárskym subjektom nakladajúcim s osobnými informáciami, na ktoré sa vzťahuje zákon APPI a jeho doplňujúce pravidlá a oficiálne vyhlásenia, uistenia a záväzky uvedené v prílohe II k rozhodnutiu. Útvary Komisie v tomto kontexte uznávajú a veľmi oceňujú vynikajúcu spoluprácu s japonskými orgánmi, najmä s Komisiou pre ochranu osobných informácií, pri vykonávaní preskúmania.
Vzhľadom na tento výsledok preskúmania a v súlade s odôvodnením 181 rozhodnutia o primeranosti sa Komisia domnieva, že v prípade budúcich preskúmaní nie je potrebné zachovať dvojročný cyklus, a usudzuje, že je na základe článku 45 ods. 3 všeobecného nariadenia o ochrane údajov vhodné prejsť na štvorročný cyklus. Tento bod náležite prediskutuje s výborom zriadeným podľa článku 93 ods. 1 všeobecného nariadenia o ochrane údajov 26 .
Posilnenie určitých aspektov japonského rámca by zároveň mohlo prispieť k ďalšiemu zintenzívneniu záruk stanovených v zákone APPI a doplňujúcich pravidlách. Komisia na tento účel vydáva tieto odporúčania:
1.Komisia víta a ďalej podporuje zamýšľané využívanie náhodných kontrol zo strany Komisie pre ochranu osobných informácií na účely zabezpečenia súladu s doplňujúcimi pravidlami. Domnieva sa, že takéto náhodné kontroly by boli veľmi dôležité na zabezpečenie toho, aby sa predišlo (prípadným) porušeniam doplňujúcich pravidiel a aby sa takéto porušenia riešili, čím sa zaistí skutočný súlad s týmito pravidlami.
2.Komisia víta skutočnosť, že Komisia pre ochranu osobných informácií zverejnila aktualizované usmernenia v súvislosti s medzinárodným prenosom údajov, keďže tieto usmernenia zvýšia dostupnosť pravidiel stanovených v zákone APPI pre túto oblasť a prispejú k tomu, aby tieto pravidlá boli používateľsky ústretovejšie. V týchto usmerneniach (alebo inom usmerňovacom materiáli) by sa zároveň v prípade potreby mali vysvetliť osobitné požiadavky vyplývajúce z doplňujúcich pravidiel vrátane požiadaviek týkajúcich sa vylúčenia systému certifikácie cezhraničných pravidiel ochrany súkromia v rámci Ázijsko-tichomorskej hospodárskej spolupráce v prípade následných prenosov osobných údajov prijatých z EÚ.
3.Počas preskúmania sa diskutovalo o tom, ako by bolo možné informačnú linku či linku pre vybavovanie sťažností, ktoré prevádzkuje Komisia pre ochranu osobných informácií, lepšie sprístupniť, aby sa na ne so svojimi otázkami či sťažnosťami mohli obracať aj cudzinci. V tomto kontexte je dôležité, aby špecializované webové sídlo obsahovalo upozornenie, že pomoc je k dispozícii aj v anglickom jazyku.
Preskúmanie takisto umožnilo identifikovať oblasti možnej budúcej spolupráce. Ako už bolo uvedené, Komisia pre ochranu osobných informácií v súčasnosti neposkytuje žiadne pokyny týkajúce sa odporúčaného obsahu (z hľadiska záruk) „rovnocenných opatrení“ používaných na medzinárodné prenosy údajov, či už vo forme usmernení, alebo vzorových zmlúv o ochrane údajov. Vzhľadom na narastajúci význam vzorových doložiek a ich potenciálu ako celosvetového nástroja na prenosy údajov, čo uznali napríklad G7 27 a OECD 28 , Komisia uviedla, že má záujem v budúcnosti spolupracovať s Japonskom na vypracovaní takýchto doložiek. Ďalšou oblasťou, ktorú Komisia zamýšľa preskúmať spolu s Komisiou pre ochranu osobných informácií, je rozšírenie rozsahu pôsobnosti rozhodnutia o primeranosti nad rámec prenosov údajov medzi obchodnými hospodárskymi subjektmi.
Komisia bude naďalej pozorne monitorovať japonský rámec na ochranu údajov a skutočnú prax. V tejto súvislosti, a s prihliadnutím na to, že v súčasnosti narastá dopyt po celosvetových normách v oblasti ochrany súkromia a tokov údajov, očakáva budúcu výmenu informácií s japonskými orgánmi v súvislosti s vývojom relevantným pre toto rozhodnutie 29 , ako aj ďalšie posilnenie spolupráce na medzinárodnej úrovni.
V novele zákona APPI z roku 2020 sa medzičasom prehodnotilo vymedzenie pojmu „osobné údaje, ktoré podnik uchováva“, tak, aby z neho už neboli vylúčené osobné údaje, ktoré „sa majú vymazať“ v lehote do šiestich mesiacov (článok 16 ods. 4 zmeneného zákona APPI). V znení zákona APPI platnom v čase prijatia rozhodnutia o primeranosti sa tento pojem označoval ako „uchovávané osobné údaje“.
Revidované doplňujúce pravidlá boli prijaté Komisiou pre ochranu osobných informácií 15. marca 2023 a nadobudli účinnosť 1. apríla 2023.
Pozri odôvodnenie 79 rozhodnutia.