(1)

Uredba (EU) 2016/679 določa pravila o prenosu osebnih podatkov od upravljavcev ali obdelovalcev v Evropski uniji v tretje države in mednarodne organizacije, če taki prenosi spadajo na področje uporabe navedene uredbe. Pravila o mednarodnih prenosih osebnih podatkov so določena v poglavju V navedene uredbe, natančneje v členih 44 do 50. Pretok osebnih podatkov v države zunaj Evropske unije in iz njih je potreben za širitev mednarodnega sodelovanja in mednarodne trgovine, hkrati pa je treba zagotoviti, da raven varstva osebnih podatkov, ki se zagotavlja v Evropski uniji, ni ogrožena.

(2)

V skladu s členom 45(3) Uredbe (EU) 2016/679 lahko Komisija z izvedbenim aktom odloči, da tretja država, ozemlje ali en ali več določenih sektorjev v zadevni tretji državi ali mednarodna organizacija zagotavlja ustrezno raven varstva. Pod tem pogojem se lahko osebni podatki prenašajo v navedeno tretjo državo, na ozemlje, sektor ali v mednarodno organizacijo brez nadaljnjega dovoljenja, kot je določeno v členu 45(1) in navedeno v uvodni izjavi 103 Uredbe.

(3)

Kot je navedeno v členu 45(2) Uredbe (EU) 2016/679, mora sprejetje sklepa o ustreznosti temeljiti na celoviti analizi pravnega reda tretje države, in sicer v zvezi s pravili, ki se uporabljajo glede uvoznikov podatkov, ter omejitvami in zaščitnimi ukrepi glede dostopa javnih organov do osebnih podatkov. V oceni je treba opredeliti, ali zadevna tretja država zagotavlja raven varstva, ki je „v osnovi enakovredna“ tisti, zagotovljeni v Evropski uniji (uvodna izjava 104 Uredbe (EU) 2016/679). Kot je pojasnilo Sodišče Evropske unije, to ne zahteva povsem enake ravni varstva (2). To zlasti pomeni, da se lahko sredstva, ki jih zadevna tretja država uporablja, razlikujejo od tistih, ki jih uporablja Evropska unija, če se v praksi izkaže, da so učinkovita pri zagotavljanju ustrezne ravni varstva (3). Standard ustreznosti torej ne zahteva dobesednega prepisa pravil Unije. Bolj kot to preizkus temelji na proučitvi, ali tuji sistem kot celota prek vsebine pravic do zasebnosti ter njihovega učinkovitega izvajanja, nadzora in izvrševanja zagotavlja zahtevano raven varstva (4).

(4)

Komisija je skrbno proučila japonsko zakonodajo in prakso. Na podlagi ugotovitev iz uvodnih izjav 6 do 175 Komisija ugotavlja, da Japonska zagotavlja ustrezno raven varstva osebnih podatkov, ki se prenašajo organizacijam, ki spadajo na področje uporabe zakona o varstvu osebnih informacij (5), ob upoštevanju dodatnih pogojev iz tega sklepa. Ti pogoji so navedeni v dopolnilnih pravilih (Priloga I), ki jih je sprejela komisija za varstvo osebnih informacij (PPC) (6), ter v uradnih navedbah, zagotovilih in zavezah japonske vlade Evropski komisiji (Priloga II).

(5)

Učinek tega sklepa je, da za prenose od upravljavca ali obdelovalca v Evropskem gospodarskem prostoru (EGP) (7) v navedene organizacije na Japonskem ni potrebno nobeno nadaljnje dovoljenje. Ta sklep ne vpliva na neposredno uporabo Uredbe (EU) 2016/679 za take organizacije, kadar so izpolnjeni pogoji iz njenega člena 3.

(6)

Pravni sistem, ki na Japonskem ureja varstvo zasebnosti in podatkov, temelji na ustavi iz leta 1946.

(7)

Člen 13 ustave določa:

„Vsi ljudje so spoštovani kot posamezniki. Njihova pravica do življenja, svobode in prizadevanja za srečo je poglavitni cilj zakonodaje in drugih vladnih zadev, kolikor ne posega v javno dobrobit.“

(8)

Na podlagi navedenega člena je vrhovno sodišče Japonske pojasnilo pravice posameznikov glede varstva osebnih informacij. V odločbi z leta 1969 je priznalo pravico do zasebnosti in varstva podatkov kot ustavno pravico (8). Sodišče je zlasti odločilo, da „vsak posameznik lahko svobodno ščiti svoje osebne informacije pred razkritjem tretji osebi ali javnosti, če za tako razkritje ni dobrega razloga“. Poleg tega je vrhovno sodišče v odločbi z dne 6. marca 2008 (Juki-Net) (9) odločilo, da „se svoboda državljanov v zasebnem življenju ščiti pred izvrševanjem javnih pooblastil, sklepati pa je mogoče tudi, da lahko vsak posameznik kot eno od svojih svoboščin v okviru zasebnega življenja svobodno ščiti svoje osebne informacije pred razkritjem tretji osebi ali javnostjo, če za tako razkritje ni dobrega razloga“ (10).

(9)

Japonska je 30. maja 2003 sprejela več zakonov na področju varstva podatkov:

(10)

Slednja zakona (spremenjena leta 2016) vsebujeta določbe, ki se nanašajo na varstvo osebnih informacij s strani subjektov javnega sektorja. Obdelava podatkov, ki spada na področje uporabe navedenih zakonov, ni predmet ugotavljanja ustreznosti v tem sklepu, ki se omejuje na varstvo osebnih informacij s strani „poslovnih subjektov, ki obravnavajo osebne informacije“ v smislu japonskega zakona o varstvu osebnih informacij.

(11)

Navedeni zakon je bil nedavno spremenjen. Spremenjeni zakon o varstvu osebnih informacij je bil razglašen 9. septembra 2015 in začel veljati 30. maja 2017. S spremembo je bilo uvedenih več novih zaščitnih ukrepov, okrepljeni pa so bili tudi obstoječi, s čimer se je japonski sistem varstva podatkov bolj približal evropskemu. To na primer zajema več izvršljivih pravic posameznikov in vzpostavitev neodvisnega nadzornega organa (komisije za varstvo osebnih informacij), ki nadzoruje in izvaja zakon o varstvu osebnih informacij.

(12)

Za obdelavo osebnih informacij, ki spadajo na področje uporabe tega sklepa, se poleg zakona o varstvu osebnih informacij uporabljajo tudi izvedbeni predpisi, izdani na njegovi podlagi. To zajema spremembo vladne odredbe o izvajanju zakona o varstvu osebnih informacij z dne 5. oktobra 2016 in tako imenovani pravilnik o izvajanju zakona o varstvu osebnih informacij, ki ga je sprejela komisija za varstvo osebnih informacij (11). Oba sklopa pravil sta pravno zavezujoča in izvršljiva, veljati pa sta začela hkrati s spremenjenim zakonom o varstvu osebnih informacij.

(13)

Poleg tega je japonska vlada (ki jo sestavljajo predsednik vlade in ministri) 28. oktobra 2016 izdala „osnovno politiko“ za „celovito in skladno spodbujanje ukrepov v zvezi z varstvom osebnih informacij“. V skladu s členom 7 zakona o varstvu osebnih informacij se „osnovna politika“ izda v obliki vladne odločbe ter zajema usmeritve politike glede izvajanja zakona o varstvu osebnih informacij, namenjena pa je osrednji vladi in lokalnim vladam.

(14)

Japonska vlada je pred kratkim, 12. junija 2018, s sprejetjem sklepa vlade spremenila osnovno politiko. Zaradi olajšanja mednarodnega prenosa podatkov se komisiji za varstvo osebnih informacij, ki ima nalogo upravljanja in izvajanja zakona o varstvu osebnih informacij, z navedenim sklepom vlade„na podlagi člena 6 zakona“ podeljuje „pooblastilo za sprejetje potrebnih ukrepov za premoščanje razlik med japonskim sistemom in njegovim delovanjem ter sistemi zadevnih tujih držav in njihovim delovanjem, da se tako zagotovi ustrezna obravnava osebnih informacij, prejetih od take države“. V sklepu vlade je navedeno, da to zajema pristojnost za vzpostavitev izboljšanega varstva, tako da komisija za varstvo osebnih informacij sprejme strožja pravila, ki dopolnjujejo in presegajo tista iz zakona o varstvu osebnih informacij in vladne odredbe. Na podlagi navedenega sklepa so ta strožja pravila za japonske poslovne subjekte zavezujoča in izvršljiva.

(15)

Komisija za varstvo osebnih informacij je 15. junija 2018 na podlagi člena 6 zakona o varstvu osebnih informacij in navedenega sklepa vlade sprejela „dopolnilna pravila na podlagi zakona o varstvu osebnih informacij glede obravnave prenosa osebnih podatkov iz EU na podlagi sklepa o ustreznosti“ (v nadaljnjem besedilu: dopolnilna pravila), da se izboljša varstvo osebnih informacij, ki se prenašajo iz Evropske unije na Japonsko na podlagi tega sklepa o ustreznosti. Navedena dopolnilna pravila so pravno zavezujoča za japonske poslovne subjekte, izvršujejo pa jih komisija za varstvo osebnih informacij in sodišča na enak način kot določbe zakona o varstvu osebnih informacij, ki jih ta pravila nadomeščajo s strožjimi in/ali podrobnejšimi pravili (12). Ker bodo japonski poslovni subjekti, ki prejemajo in/ali nadalje obdelujejo osebne podatke iz Evropske unije, pravno zavezani k spoštovanju dopolnilnih pravil, bodo morali (npr. s tehničnim („označevanjem“) ali organizacijskimi rešitvami (shranjevanje v namensko podatkovno zbirko)) zagotoviti, da lahko te osebne podatke prepoznajo v celotnem njihovem „življenjskem ciklu“ (13). V naslednjih oddelkih je vsebina vsakega dopolnilnega pravila analizirana kot del presoje členov zakona o varstvu osebnih informacij, ki jih dopolnjujejo.

(16)

Komisija za varstvo osebnih informacij je na podlagi zakona o varstvu osebnih informacij pristojna za sprejetje „smernic“„za zagotavljanje ustreznega in učinkovitega izvajanja ukrepov poslovnih subjektov“ v skladu s pravili o varstvu podatkov, za razliko od ureditve pred spremembo iz leta 2015, ko so bila za navedeno pristojna različna japonska ministrstva po posameznih sektorjih. Komisija za varstvo osebnih informacij v svojih smernicah zagotavlja verodostojno razlago teh pravil, zlasti zakona o varstvu osebnih informacij. Na podlagi informacij, prejetih od komisije za varstvo osebnih informacij, so navedene smernice sestavni del pravnega okvira ter jih je treba upoštevati v povezavi z besedilom zakona o varstvu osebnih informacij, vladne odredbe, pravilnika komisije za varstvo osebnih informacij ter vprašanj in odgovorov (14), ki jih je pripravila komisija za varstvo osebnih informacij. Zato so „zavezujoče za poslovne subjekte“. Kadar smernice določajo, da poslovni subjekt „mora“ ali „ne sme“ ravnati na določen način, komisija za varstvo osebnih informacij odloči, da neskladnost z zadevnimi določbami pomeni kršitev zakona (15).

(17)

Področje uporabe zakona o varstvu osebnih informacij je določeno z opredelitvijo pojmov osebna informacija, osebni podatek in poslovni subjekt, ki obravnava osebne informacije. Hkrati so v zakonu o varstvu osebnih informacij navedene nekatere pomembne izključitve z njegovega področja uporabe, predvsem glede anonimno obdelanih osebnih podatkov in posebnih vrst obdelave s strani določenih subjektov. Čeprav zakon o varstvu osebnih informacij ne uporablja izraza „obdelava“, se opira na enakovreden pojem „obravnava“, ki po informacijah, prejetih od komisije za varstvo osebnih informacij, zajema „kakršno koli ravnanje z osebnimi podatki“, vključno s pridobitvijo, vnosom, zbiranjem, organizacijo, shranjevanjem, urejanjem/obdelavo, obnavljanjem, izbrisom, iznosom, uporabo ali zagotavljanjem osebnih informacij.

(18)

Najprej je treba navesti, da zakon o varstvu osebnih informacij glede materialnega področja uporabe razlikuje med osebnimi informacijami in osebnimi podatki, pri čemer se za prvo kategorijo uporabljajo samo določene določbe zakona. V skladu s členom 2(1) zakona o varstvu osebnih informacij pojem osebne informacije zajema vse informacije, ki se nanašajo na živega posameznika in omogočajo njegovo identifikacijo. Opredelitev razlikuje med dvema kategorijama osebnih informacij: (i) individualna identifikacijska koda in (ii) druge osebne informacije, na podlagi katerih je mogoče identificirati posameznika. Slednja kategorija zajema tudi informacije, ki same po sebi ne omogočajo identifikacije, lahko pa, če so „ustrezno združene“ z drugimi informacijami, omogočajo identifikacijo posameznika. Na podlagi smernic komisije za varstvo osebnih informacij (16) velja, da se to, ali je informacije mogoče šteti za „ustrezno združene“, presoja v vsakem primeru posebej, pri čemer se upošteva dejanska situacija („razmere“) poslovnega subjekta. To se domneva, če tako združevanje opravlja (ali lahko opravlja) povprečni („običajni“) poslovni subjekt z uporabo sredstev, ki so mu na voljo. Informacije se na primer ne štejejo za „ustrezno združene“ z drugimi informacijami, če si mora poslovni subjekt za to prizadevati v neobičajni meri ali storiti nezakonita dejanja, da pridobi informacije, ki se zbirajo, od enega ali več drugih poslovnih subjektov.

(19)

Na podlagi zakona o varstvu osebnih informacij samo nekatere oblike osebnih informacij spadajo v okvir pojma „osebni podatek“. „Osebni podatek“ je opredeljen kot „osebna informacija, ki pomeni podatkovno zbirko osebnih informacij“, torej „združene informacije“, ki jih sestavljajo osebne informacije, „sistematično organizirane tako, da je mogoče z računalnikom iskati posamezno osebno informacijo“ (17), ali „ki so bile na podlagi vladne odredbe opredeljene kot sistematično organizirane tako, da je brez težav mogoče poiskati posamezno osebno informacijo“ – vendar „z izjemo tistih, ki so bile na podlagi vladne odredbe opredeljene kot take, pri katerih je glede na metodo njihove uporabe malo verjetnosti za povzročanje škode posameznikovim pravicam in interesom“ (18).

(20)

Ta izjema je podrobneje določena v členu 3(1) vladne odredbe, v skladu s katerim morajo biti izpolnjeni vsi trije naslednji pogoji: (i) združene informacije so morale biti „izdane za namen prodaje velikemu številu nedoločenih oseb, njihova izdaja pa ni bila izvedena v nasprotju z določbami zakona ali odredbe, ki temelji na njem“; (ii) lahko jih „kadar koli kupi veliko število nedoločenih oseb“ in (iii) osebni podatki, ki jih vsebujejo, morajo biti „zagotovljeni za njihov prvotni namen, ne da bi se jim dodale druge informacije v zvezi z živim posameznikom“. Po pojasnilih komisije za varstvo osebnih informacij je bila ta ozka izjema uvedena z namenom izključitve telefonskih ali podobnih imenikov.

(21)

Glede podatkov, zbranih na Japonskem, je to razlikovanje med „osebno informacijo“ in „osebnim podatkom“ pomembno, saj navedene informacije morda niso vedno del „podatkovne zbirke osebnih informacij“ (npr. posamezen nabor podatkov, ki se zbira in obdeluje ročno), zato se določbe zakona o varstvu osebnih informacij, ki se nanašajo samo na osebne podatke, zanje ne uporabljajo (19).

(22)

Nasprotno pa to razlikovanje ne bo pomembno glede osebnih podatkov, ki se iz Evropske unije uvažajo na Japonsko na podlagi sklepa o ustreznosti. Ker se taki podatki običajno prenašajo z elektronskimi sredstvi (saj je v digitalni dobi to običajen način za izmenjavo podatkov, zlasti na daljavo, kakor je to med EU in Japonsko), s čimer postanejo del elektronskega sistema arhiviranja uvoznika podatkov, podatki EU vedno spadajo v okvir „osebnih podatkov“ v smislu zakona o varstvu osebnih informacij. Če bi se osebni podatki iz EU izjemoma prenesli z drugimi sredstvi (npr. v papirni obliki), bi bili še vedno zajeti z zakonom o varstvu osebnih informacij, če bi po prenosu postali potekal del „združenih informacij“, ki so sistematično organizirane tako, da omogočajo enostavno iskanje posameznih informacij (člen 2(4)(ii) zakona o varstvu osebnih informacij). V skladu s členom 3(2) vladne odredbe do takega primera pride, kadar so informacije urejene „po določenem pravilu“, zbirka podatkov pa vsebuje orodja, kot je na primer kazalo ali navedba vsebine, za lažje iskanje. To ustreza opredelitvi „zbirke“ v smislu člena 2(1) splošne uredbe o varstvu podatkov.

(23)

Nekatere določbe zakona o varstvu osebnih informacij, zlasti členi 27 do 30, ki se nanašajo na pravice posameznikov, se nanašajo le na nekatere kategorije osebnih podatkov, in sicer na „hranjene osebne podatke“. Ti so v členu 2(7) zakona o varstvu osebnih informacij opredeljeni kot osebni podatki, razen tistih, ki so bodisi (i) „na podlagi vladne odredbe opredeljeni kot podatki, pri katerih je verjetno, da bodo škodili javnim ali drugim interesom, če se izve za njihov obstoj ali neobstoj“ bodisi (ii) „na podlagi vladne odredbe predvideni za izbris v roku največ enega leta“.

(24)

Prva od navedenih dveh kategorij je pojasnjena v členu 4 vladne odredbe in zajema štiri različne vrste izjem (20). Navedene izjeme imajo podoben cilj kot tiste, navedene v členu 23(1) Uredbe (EU) 2016/679, predvsem varstvo posameznika, na katerega se nanašajo osebni podatki (ki je v zakonu o varstvu osebnih informacij poimenovan „principal“), in svoboščine drugih, nacionalna varnost, javna varnost, preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj, ali drugi pomembni cilji splošnega javnega interesa. Poleg tega iz besedila člena 4(1)(i) do (iv) vladne odredbe izhaja, da njihova uporaba vedno predpostavlja posebno tveganje za enega od zaščitenih pomembnih interesov (21).

(25)

Druga kategorija je podrobneje navedena v členu 5 vladne odredbe. V povezavi s členom 2(7) zakona o varstvu osebnih informacij so iz pojma hranjenih osebnih podatkov, in s tem s področja pravic posameznikov na podlagi zakona o varstvu osebnih informacij, izvzeti osebni podatki, ki so „predvideni za izbris“ v šestih mesecih. Komisija za varstvo osebnih informacij je pojasnila, da je cilj te določbe spodbuditi poslovne subjekte k hrambi in obdelavi podatkov v najkrajšem možnem času. Vendar pa bi to pomenilo, da posamezniki iz EU, na katere se nanašajo osebni podatki, ne bi mogli izvrševati pomembnih pravic iz enega samega razloga, in sicer trajanja obdobja, v katerem zadevni poslovni subjekt hrani njihove podatke.

(26)

Zato dopolnilno pravilo 2 zahteva, da se osebni podatki, preneseni iz Evropske unije, „obravnavajo kot hranjeni osebni podatki v smislu člena 2(7) zakona, ne glede na predvideni rok njihovega izbrisa“. To pomeni, da obdobje hrambe ne bo imelo nobenega vpliva na pravice, ki jih uživajo posamezniki iz EU, na katere se nanašajo osebni podatki.

(27)

Zahteve, ki se uporabljajo za anonimno obdelane osebne informacije, kot so opredeljene v členu 2(9) zakona o varstvu osebnih informacij, so določene v oddelku 2 poglavja 4 zakona („Obveznosti poslovnega subjekta, ki obravnava anonimno obdelane informacije“). Vendar pa za te informacije ne vejajo določbe oddelka 1 poglavja IV zakona o varstvu osebnih informacij, ki vsebuje člene o zaščitnih ukrepih za varstvo podatkov in pravicah, ki se uporabljajo v zvezi z obdelavo osebnih podatkov na podlagi zakona. Posledično velja, da čeprav „anonimno obdelane osebne informacije“ niso predmet „običajnih“ pravil o varstvu podatkov (navedenih v oddelku 1 poglavja IV in v členu 42 zakona o varstvu osebnih informacij), vseeno spadajo na področje uporabe zakona o varstvu osebnih informacij, predvsem členov 36–39.

(28)

V skladu s členom 2(9) zakona o varstvu osebnih informacij so „anonimno obdelane osebne informacije“ tiste, ki se nanašajo na posameznika in so „nastale z obdelavo osebnih informacij“ z ukrepi, opisanimi v zakonu o varstvu osebnih informacij (člen 36(1)) in podrobneje opredeljenimi v pravilniku komisije za varstvo osebnih informacij (člen 19), tako da ni več mogoče identificirati posameznika ali obnoviti osebnih informacij.

(29)

Iz navedenih določb izhaja, kot potrjuje tudi komisija za varstvo osebnih informacij, da ni nujno, da je postopek „anonimizacije“ tehnično nepovraten. V skladu s členom 36(2) zakona o varstvu osebnih informacij morajo poslovni subjekti, ki obravnavajo „anonimno obdelane osebne informacije“, zgolj preprečiti ponovno identifikacijo tako, da sprejmejo ukrepe za zagotovitev varnosti „opisov itd. in individualnih identifikacijskih kod, izbrisanih iz osebnih informacij, s čimer so nastale anonimno obdelane informacije, ter informacij, ki se nanašajo na uporabljeno metodo obdelave“.

(30)

Ker „anonimno obdelane osebne informacije“, kot so opredeljene v zakonu o varstvu osebnih informacij, zajemajo podatke, pri katerih je ponovna identifikacija posameznika še mogoča, to lahko pomeni, da bi osebni podatki, preneseni iz Evropske unije, lahko izgubili del varstva s postopkom, ki bi na podlagi Uredbe (EU) 2016/679 pomenil obliko „psevdonimizacije“ in ne „anonimizacije“ (s tem pa se ne bi spremenila njihova narava osebnih podatkov).

(31)

Zato dopolnilna pravila določajo dodatne zahteve, ki se uporabljajo le za osebne podatke, prenesene iz Evropske unije na podlagi tega sklepa. V skladu s pravilom 5 dopolnilnih pravil se take osebne informacije štejejo za „anonimno obdelane osebne informacije“ v smislu zakona o varstvu osebnih informacij le, „če poslovni subjekt, ki obravnava osebne informacije, sprejme ukrepe, na podlagi katerih ponovne identifikacije posameznika ne more nihče več opraviti, vključno z izbrisom informacij, ki se nanašajo na metodo obdelave itd.“. Slednje je v dopolnilnih pravilih opredeljeno kot informacije, ki se nanašajo na opise in individualne identifikacijske kode, izbrisane iz osebnih informacij, s katerimi so nastale „anonimno obdelane osebne informacije“, ter informacije, ki se nanašajo na uporabljeno metodo obdelave pri izbrisu navedenih opisov in individualnih identifikacijskih kod. Z drugimi besedami, dopolnilna pravila zahtevajo, da poslovni subjekti, ki pripravljajo anonimno obdelane osebne informacije, uničijo „ključ“, ki omogoča ponovno identifikacijo podatkov. To pomeni, da osebni podatki iz Evropske unije spadajo na področje določb zakona o varstvu osebnih informacij glede „anonimno obdelanih osebnih informacij“ le v primerih, ko bi se šteli za anonimne informacije tudi na podlagi Uredbe (EU) 2016/679 (22).

(32)

Zakon o varstvu osebnih informacij se glede osebnega področja uporabe uporablja samo za poslovne subjekte, ki obravnavajo osebne informacije. Poslovni subjekt, ki obravnava osebne informacije, je opredeljen v členu 2(5) zakona o varstvu osebnih informacij kot „oseba, ki zagotavlja podatkovno zbirko osebnih informacij itd. za uporabo v poslovanju“, pri čemer so izvzete vlada in upravne agencije na osrednji in lokalni ravni.

(33)

V skladu s smernicami komisije za varstvo osebnih informacij „poslovanje“ pomeni vsako „ravnanje, katerega cilj je ponavljajoče in stalno vodenje družbeno priznanega podjetja za posamezni namen, ne glede na to, ali gre za pridobitno ali nepridobitno dejavnost“. Organizacije brez pravne osebnosti (kot so de facto združenja) ali posamezniki se štejejo za poslovne subjekte, ki obravnavajo osebne informacije, če zagotavljajo (uporabljajo) podatkovno zbirko osebnih informacij itd. za svoje poslovanje (23). Pojem „poslovanja“ v smislu zakona o varstvu osebnih informacij je torej zelo širok, saj zajema pridobitne in nepridobitne dejavnosti, ki jih izvajajo organizacije vseh vrst in posamezniki. Poleg tega „za uporabo v poslovanju“ vključuje tudi osebne informacije, ki se ne uporabljajo v (zunanjih) poslovnih odnosih subjekta, ampak interno, na primer za obdelavo podatkov o zaposlenih.

(34)

Glede upravičencev do varstva iz zakona o varstvu osebnih informacij zakon med njimi ne razlikuje na podlagi posameznikovega državljanstva, prebivališča ali lokacije. Enako velja za posameznikovo možnost zahtevati pravno varstvo pri komisiji za varstvo osebnih informacij ali pred sodišči.

(35)

Zakon o varstvu osebnih informacij ne razlikuje med obveznostmi, naloženimi upravljavcem in obdelovalcem. Odsotnost tega razlikovanja ne vpliva na raven varstva, saj se vse določbe zakona uporabljajo za vse poslovne subjekte, ki obravnavajo osebne informacije. Poslovni subjekt, ki obravnava osebne informacije, ki obdelavo osebnih podatkov zaupa skrbniku (enakovreden obdelovalcu po Splošni uredbi o varstvu podatkov), mora v zvezi s podatki, ki jih je zaupal, še naprej izpolnjevati obveznosti iz zakona o varstvu osebnih informacij in dopolnilnih pravil. Poleg tega mora v skladu s členom 22 zakona o varstvu osebnih informacij „opravljati potreben in ustrezen nadzor“ nad skrbnikom. Kot je potrdila komisija za varstvo osebnih informacij, skrbnika po drugi strani zavezujejo vse obveznosti iz zakona o varstvu osebnih informacij in dopolnilnih pravil.

(36)

Člen 76 zakona o varstvu osebnih informacij izvzema nekatere vrste obdelave podatkov iz uporabe poglavja IV zakona, ki vsebuje osrednje določbe o varstvu podatkov (osnovna načela, obveznosti poslovnih subjektov, pravice posameznikov, nadzor s strani komisije za varstvo osebnih informacij). Obdelava, ki je zajeta v sektorski izjemi iz člena 76, je na podlagi člena 43(2) zakona o varstvu osebnih informacij (24) izvzeta tudi iz pristojnosti komisije za varstvo osebnih informacij.

(37)

Zadevne kategorije za sektorske izjeme iz člena 76 zakona o varstvu osebnih informacij so opredeljene z uporabo dvojnega merila na podlagi vrste poslovnega subjekta, ki obravnava osebne informacije, in namena obdelave. Podrobneje, izjema se nanaša na: (i) institucije za radiodifuzijo, časopisni založniki, agencije za komuniciranje ali druge medijske organizacije (vključno z vsemi posamezniki, ki opravljajo dejavnost obveščanja javnosti kot svojo dejavnost), če obdelujejo osebne informacije za namene obveščanja javnosti; (ii) osebe, ki se poklicno ukvarjajo s pisanjem, če to zajema osebne informacije; (iii) univerze in vse druge organizacije ali skupine, namenjene akademskemu študiju, ali vse osebe, ki pripadajo taki organizaciji, če obdelujejo osebne informacije za namene akademskega študija; (iv) verski subjekti, če obdelujejo osebne informacije za namene verskih dejavnosti (vključno z vsemi povezanimi dejavnostmi) in (v) politični subjekti, če obdelujejo osebne informacije za namene svoje politične dejavnosti (vključno z vsemi povezanimi dejavnostmi). Določbe poglavja IV se še naprej uporabljajo za obdelavo osebnih informacij za enega od namenov iz člena 76, če jo opravljajo druge vrste poslovnih subjektov, ki obravnavajo osebne informacije, ter za obdelavo osebnih informacij, ki jo za druge namene opravlja eden od navedenih poslovnih subjektov, ki obravnavajo osebne informacije, na primer v okviru zaposlovanja.

(38)

Ta sklep se nanaša samo na obdelavo osebnih informacij, ki spadajo na področje uporabe poglavja IV zakona o varstvu osebnih informacij (tj. ki jo izvaja poslovni subjekt, ki obravnava osebne informacije, če primer obdelave ne ustreza eni od sektorskih izjem), da se zagotovi ustrezna raven varstva osebnih podatkov, ki se iz Evropske unije prenašajo poslovnim subjektom na Japonskem. Njegovo področje uporabe bi bilo zato treba uskladiti s področjem uporabe zakona o varstvu osebnih informacij. Po informacijah komisije za varstvo osebnih informacij bi se, kadar bi poslovni subjekt, ki obravnava osebne informacije in je zajet s tem sklepom, naknadno spremenil namen uporabe (v dovoljenem obsegu) ter bi bil nato zajet s sektorskimi izjemami iz člena 76 zakona o varstvu osebnih informacij, to štelo za mednarodni prenos (saj osebni podatki v takem primeru ne bi bili več zajeti s poglavjem IV zakona o varstvu osebnih informacij in bi tako izpadli iz njegovega področja uporabe). Isto velja, kadar poslovni subjekt, ki obravnava osebne informacije, zagotovi osebne informacije subjektu, zajetemu s členom 76 zakona o varstvu osebnih informacij, za enega od namenov obdelave iz navedene določbe. Kar zadeva osebne podatke, ki se prenesejo iz Evropske unije, bi to pomenilo nadaljnji prenos, za katerega veljajo ustrezni zaščitni ukrepi (zlasti tisti iz člena 24 zakona o varstvu osebnih informacij in dopolnilnega pravila (4)). Kadar se poslovni subjekt, ki obravnava osebne informacije, opira na privolitev posameznika, na katerega se nanašajo osebni podatki (25), bi mu moral zagotoviti vse potrebne informacije, vključno s tem, da osebna informacija ne bo več zaščitena z zakonom o varstvu osebnih informacij.

(39)

Osebni podatki bi se morali obdelovati za določen namen in se nato uporabljati samo, če to ni nezdružljivo z namenom obdelave. To načelo varstva podatkov je zagotovljeno v členih 15 in 16 zakona o varstvu osebnih informacij.

(40)

Zakon o varstvu osebnih informacij se nanaša na načelo, da mora poslovni subjekt opredeliti namen uporabe „kolikor je mogoče natančno“ (člen 15(1)), nato pa ga tako navedeni namen zavezuje pri obdelavi podatkov.

(41)

V tem smislu člen 15(2) zakona o varstvu osebnih informacij določa, da poslovni subjekt, ki obravnava osebne informacije, ne sme spremeniti prvotnega namena „bolj, kot bi bilo mogoče priznati za razumno utemeljeno glede na namen uporabe pred spremembo“, kar je v smernicah komisije za varstvo osebnih informacij razumljeno kot tisto, kar lahko posameznik, na katerega se nanašajo osebni podatki, objektivno pričakuje na podlagi „običajnih družbenih norm“ (26).

(42)

Poleg tega poslovni subjekti, ki obravnavajo osebne informacije, na podlagi člena 16(1) zakona o varstvu osebnih informacij ne smejo obravnavati osebnih informacij v obsegu, ki presega, „kar je potrebno, da se doseže namen uporabe“, kot je opredeljeno v členu 15, brez pridobitve vnaprejšnje privolitve posameznika, na katerega se nanašajo osebni podatki, razen če se uporablja ena od izjem iz člena 16(3) (27).

(43)

Poslovni subjekt, ki obravnava osebne informacije, lahko glede osebnih informacij, ki jih pridobi od drugega poslovnega subjekta, načeloma svobodno določi nov namen uporabe (28). Da se zagotovi, da prejemnika v primeru prenosa iz Evropske unije zavezuje namen, za katerega so bili podatki preneseni, dopolnilno pravilo 3 zahteva, da mora v primerih, „ko [poslovni subjekt, ki obravnava osebne informacije,] prejme osebne podatke iz EU na podlagi sklepa o ustreznosti“, ali če tak subjekt „prejme osebne podatke, ki so bili predhodno preneseni iz EU na podlagi sklepa o ustreznosti, od drugega [poslovnega subjekta, ki obravnava osebne informacije,]“ (nadaljnja izmenjava), prejemnik „opredeliti namen uporabe navedenih osebnih podatkov v okviru, za katerega so bili podatki prvotno ali naknadno prejeti“. Z drugimi besedami, pravilo zagotavlja, da v okviru prenosa namen, opredeljen na podlagi Uredbe (EU) 2016/679, še naprej opredeljuje obdelavo in da je za spremembo navedenega namena v kateri koli fazi obdelave na Japonskem potrebna privolitev posameznika iz EU, na katerega se nanašajo osebni podatki. Za pridobitev soglasja mora sicer poslovni subjekt, ki obravnava osebne informacije, stopiti v stik s posameznikom, na katerega se nanašajo osebni podatki, kadar to ni mogoče, pa je treba zgolj ohraniti prvotni namen.

(44)

Dodatno varstvo iz uvodne izjave 43 je še pomembnejše, saj japonski sistem na podlagi načela omejitve namena tudi zagotavlja, da se osebni podatki obdelujejo zakonito in pošteno.

(45)

V skladu z zakonom o varstvu osebnih informacij mora poslovni subjekt, ki obravnava osebne informacije, med zbiranjem osebnih informacij natančno opredeliti namen njihove uporabe (29) in takoj obvestiti posameznika, na katerega se nanašajo osebni podatki, o takem namenu uporabe (ali namen razkriti javnosti) (30). Poleg tega člen 17 zakona o varstvu osebnih informacij določa, da poslovni subjekt, ki obravnava osebne informacije, ne sme pridobiti osebnih informacij na podlagi prevare ali na druge neprimerne načine. Glede nekaterih kategorij podatkov, kot so osebne informacije, ki zahtevajo posebno pozornost, velja, da je za njihovo pridobitev potrebna privolitev posameznika, na katerega se nanašajo osebni podatki (člen 17(2) zakona o varstvu osebnih informacij).

(46)

Nadalje, kot je pojasnjeno v uvodnih izjavah 41 in 42, poslovni subjekt, ki obravnava osebne informacije, teh ne sme obdelovati za druge namene, razen če posameznik, na katerega se nanašajo osebni podatki, v to privoli ali če se uporablja ena od izjem iz člena 16(3) zakona o varstvu osebnih informacij.

(47)

Nazadnje, glede nadaljnjega zagotavljanja osebnih informacij tretjim osebam (31), člen 23(1) zakona o varstvu osebnih informacij omejuje tako razkritje na posebne primere, pri čemer velja splošno načelo, da je potrebna predhodna privolitev posameznika, na katerega se nanašajo osebni podatki (32). V členu 23(2), (3) in (4) zakona o varstvu osebnih informacij so navedene izjeme od zahteve za pridobitev privolitve. Vendar se te izjeme uporabljajo le za podatke, ki niso občutljivi, ter zahtevajo, da poslovni subjekt zadevne posameznike vnaprej obvesti o nameri razkriti njihove osebne informacije tretji osebi in o možnosti, da vsakršnemu naknadnemu razkritju ugovarjajo (33).

(48)

Glede prenosov iz Evropske unije je neizogibno, da bodo osebni podatki najprej zbrani in obdelani v EU v skladu z Uredbo (EU) 2016/679. To bo po eni strani vedno zajemalo zbiranje in obdelavo, tudi za prenos iz Evropske unije na Japonsko, na podlagi ene od pravnih podlag iz člena 6(1) Uredbe, po drugi strani pa zbiranje za določen, izrecen in zakonit namen ter prepoved nadaljnje obdelave, tudi prek prenosa, na način, ki ni združljiv s tem namenom, kot je določeno v členu 5(1)(b) in členu 6(4) Uredbe.

(49)

V skladu z dopolnilnim pravilom 3 bo moral po prenosu poslovni subjekt, ki obravnava osebne informacije in ki prejme podatke, „potrditi“ posebne namene, ki so podlaga za prenos (tj. namen, opredeljen na podlagi Uredbe (EU) 2016/679), in navedene podatke nadalje obdelovati v skladu s takimi nameni (34). To pomeni, da nameni, opredeljeni na podlagi Uredbe, zavezujejo prvotnega prejemnika osebnih podatkov na Japonskem in tudi vse naknadne prejemnike (vključno z skrbnikom).

(50)

Poleg tega v skladu s členom 16(1) zakona o varstvu osebnih informacij velja, da bi moral poslovni subjekt, ki obravnava osebne informacije, če želi spremeniti namen, kot je prvotno opredeljen na podlagi Uredbe (EU) 2016/679, načeloma pridobiti privolitev posameznika, na katerega se nanašajo osebni podatki. Brez take privolitve bi vsaka obdelava podatkov, ki bi presegala, kar je potrebno za doseganje navedenega namena uporabe, pomenila kršitev člena 16(1), ki bi jo lahko obravnavali komisija za varstvo osebnih informacij in sodišča.

(51)

Ker sta na podlagi Uredbe (EU) 2016/679 za prenos potrebna veljavna pravna podlaga in določen namen, ki se izražata v namenu uporabe, ki se „potrdi“ na podlagi zakona o varstvu osebnih informacij, torej kombinacija ustreznih določb zakona o varstvu osebnih informacij in dopolnilnega pravila 3 zagotavlja nadaljnjo zakonitost obdelave podatkov iz EU na Japonskem.

(52)

Podatki bi morali biti točni in po potrebi posodobljeni. Podatki bi morali biti tudi ustrezni, relevantni in ne bi smeli presegati namenov, za katere se obdelujejo.

(53)

Ta načela se v japonskem pravu zagotavljajo v členu 16(1) zakona o varstvu osebnih informacij, ki prepoveduje obravnavo osebnih informacij, ki bi presegala, „kar je potrebno za doseganje namena uporabe“. Kot je pojasnila komisija za varstvo osebnih informacij, to izključuje neustrezno in čezmerno uporabo podatkov (ki presega, kar je potrebno za doseganje namena uporabe) poleg tega pa tudi prepoveduje obravnavo podatkov, ki niso relevantni za doseganje namena uporabe.

(54)

Glede obveznosti zagotavljanja točnosti in posodobljenosti podatkov člen 19 zakona o varstvu osebnih informacij določa, da si mora poslovni subjekt, ki obravnava osebne informacije, „prizadevati za zagotavljanje točnosti in posodobljenosti osebnih podatkov, kolikor je to potrebno za doseganje namena uporabe“. Navedeno določbo bi bilo treba razumeti v povezavi s členom 16(1) zakona o varstvu osebnih informacij: na podlagi pojasnil komisije za varstvo osebnih informacij se šteje, da obdelava osebnih informacij ne dosega namena uporabe, če poslovni subjekt, ki obravnava osebne informacije, ne dosega predpisanih standardov točnosti, zato v takem primeru njihova obravnava postane nezakonita na podlagi člena 16(1).

(55)

Osebni podatki se načeloma ne bi smeli hraniti dlje, kot je potrebno za namene, za katere se obdelujejo.

(56)

V skladu s členom 19 zakona o varstvu osebnih informacij si morajo poslovni subjekti, ki obravnavajo osebne informacije, „prizadevati […] za izbris osebnih podatkov brez odlašanja, ko taka uporaba ni več potrebna“. Navedeno določbo je treba razumeti v povezavi s členom 16(1) zakona o varstvu osebnih informacij, ki prepoveduje obravnavo osebnih informacij, ki bi presegala, „kar je potrebno za doseganje namena uporabe“. Ko je dosežen namen uporabe, obdelava osebnih informacij ni več potrebna, zato se ne more nadaljevati (razen če poslovni subjekt, ki obravnava osebne informacije, pridobi privolitev posameznika, na katerega se nanašajo osebni podatki).

(57)

Osebni podatki bi se morali obdelovati tako, da se zagotavlja njihovo varovanje, kar zajema tudi zaščito pred nepooblaščeno ali nezakonito obdelavo in pred nenamerno izgubo, uničenjem ali poškodovanjem. Zato bi morali poslovni subjekti sprejeti ustrezne tehnične ali organizacijske ukrepe za varovanje osebnih podatkov pred morebitnimi grožnjami. Navedene ukrepe bi bilo treba presojati glede na najsodobnejšo tehnologijo in zadevne stroške.

(58)

To načelo je v japonskem pravu izvedeno v členu 20 zakona o varstvu osebnih informacij, ki določa, da poslovni subjekt, ki obravnava osebne informacije, „sprejme potrebne in ustrezne ukrepe za varnostni nadzor osebnih podatkov, kar vključuje preprečevanje uhajanja, izgube ali poškodovanja osebnih podatkov, ki jih obravnava“. V smernicah komisije za varstvo osebnih informacij so pojasnjeni ukrepi, ki se sprejmejo, vključno z metodami za opredelitev osnovnih politik, pravila glede obravnave podatkov in različni „nadzorni ukrepi“ (glede organizacijske varnosti ter glede človeške, fizične in tehnološke varnosti) (35). Poleg tega smernice komisije za varstvo osebnih informacij in zadevno obvestilo (Dodatek 8 o „Vsebini ukrepov za upravljanje varnosti, ki jih je treba sprejeti“), ki ju je objavila komisija za varstvo osebnih informacij, vsebujejo več informacij o ukrepih glede varnostnih incidentov, ki vključujejo na primer uhajanje osebnih informacij, kot del ukrepov za upravljanje varnosti, ki jih mora sprejeti poslovni subjekt, ki obravnava osebne informacije (36).

(59)

Nadalje, za namene nadzora varnosti mora biti na podlagi členov 20 in 21 zakona o varstvu osebnih informacij zagotovljen „potreben in ustrezen nadzor“ vedno, ko zaposleni ali podizvajalci obravnavajo osebne informacije. Nazadnje, v skladu s členom 83 zakona o varstvu osebnih informacij se namerno uhajanje ali kraja osebnih informacij kaznuje s kaznijo do enega leta zapora.

(60)

Posamezniki, na katere se nanašajo osebni podatki, bi morali biti obveščeni o glavnih značilnostih obdelave njihovih osebnih podatkov.

(61)

Poslovni subjekt, ki obravnava osebne informacije, mora na podlagi člena 18(1) zakona o varstvu osebnih informacij posamezniku, na katerega se nanašajo osebni podatki, dati na voljo informacije o namenu uporabe pridobljenih osebnih informacij, razen v „primerih, ko je bil namen uporabe vnaprej javno razkrit“. Enaka obveznost velja v primeru dovoljene spremembe namena (člen 18(3)). S tem je tudi zagotovljeno, da je posameznik, na katerega se nanašajo osebni podatki, obveščen o tem, da se njegovi podatki zbirajo. Čeprav zakon o varstvu osebnih informacij od poslovnega subjekta, ki obravnava osebne informacije, na splošno ne zahteva obveščanja posameznika, na katerega se nanašajo osebni podatki, o predvidenih prejemnikih osebnih informacij pri zbiranju, so take informacije nujni pogoj za vsako nadaljnje razkritje informacij tretji osebi (prejemniku) na podlagi člena 23(2), torej kadar se to opravi brez predhodne privolitve posameznika, na katerega se nanašajo osebni podatki.

(62)

Glede „hranjenih osebnih podatkov“ člen 27 zakona o varstvu osebnih informacij določa, da poslovni subjekt, ki obravnava osebne informacije, posameznika, na katerega se nanašajo osebni podatki, obvesti o svoji identiteti (kontaktni podatki), namenu uporabe in postopkih za odgovor na zahtevo glede pravic posameznika, na katerega se nanašajo osebni podatki, na podlagi členov 28, 29 in 30 zakona o varstvu osebnih informacij.

(63)

Ker se na podlagi dopolnilnih pravil osebni podatki, preneseni iz Evropske unije, štejejo za „hranjene osebne podatke“ ne glede na trajanje njihove hrambe (razen če zanje veljajo izjeme), se zanje vedno uporabljajo zahteve glede preglednosti na podlagi obeh zgoraj navedenih določb.

(64)

Za zahteve iz člena 18 in obveznost obveščanja o namenu uporabe iz člena 27 zakona o varstvu osebnih informacij veljajo enake izjeme, ki večinoma temeljijo na pomislekih glede javnega interesa ter zaščite pravic in interesov posameznika, na katerega se nanašajo osebni podatki, tretjih oseb in upravljavca (37). V skladu z razlago iz smernic komisije za varstvo osebnih informacij se navedene izjeme uporabljajo v zelo posebnih primerih, ko bi na primer informacije o namenu uporabe lahko ovirale zakonite ukrepe, ki jih poslovni subjekt izvaja za zaščito nekaterih interesov (npr. boj zoper goljufije, gospodarsko vohunjenje, sabotaže).

(65)

Glede obdelave „posebnih kategorij“ podatkov bi morali obstajati posebni zaščitni ukrepi.

(66)

„Osebne informacije, ki zahtevajo posebno skrb“, so opredeljene v členu 2(3) zakona o varstvu osebnih informacij. Navedena določba se nanaša na „osebne informacije o principalovi rasi, nazoru, družbenem položaju, zdravstveni anamnezi, kazenski evidenci, dejstvu, ali je kdaj utrpel škodo zaradi kaznivega dejanja, ali druge opise itd., ki so na podlagi vladne odredbe opredeljeni kot tisti, katerih obravnava zahteva posebno skrb, da principal ne utrpi nepoštene diskriminacije, predsodkov ali da ni drugače prikrajšan“. Te kategorije v veliki meri ustrezajo seznamu občutljivih podatkov iz členov 9 in 10 Uredbe (EU) 2016/679. Zlasti „zdravstvena anamneza“ ustreza podatkom o zdravstvenem stanju, „kazenska evidenca in dejstvo, ali je kdaj utrpel škodo zaradi kaznivega dejanja“ pa sta v bistvenem enaka kot kategorije iz člena 10 Uredbe (EU) 2016/679. Kategorije iz člena 2(3) zakona o varstvu osebnih informacij so nadalje razložene v vladni odredbi in smernicah komisije za varstvo osebnih informacij. V skladu s točko 8 oddelka 2.3 smernic komisije za varstvo osebnih informacij podkategorije „zdravstvene anamneze“ iz člena 2(ii) in (iii) vladne odredbe zajemajo genske in biometrične podatke. Čeprav seznam ne zajema izrecno pojmov, kot sta „etnično poreklo“ in „politično mnenje“, pa se sklicuje na „raso“ in „nazor“. Kot je pojasnjeno v točkah 1 in 2 oddelka 2.3 smernic komisije za varstvo osebnih informacij, sklic na „raso“ zajema „etnične vezi ali vezi z določenim delom sveta“, pojem „nazor“ pa zajema verska in politična prepričanja.

(67)

Kot izhaja iz besedila določbe, seznam ni izčrpen, saj je mogoče dodati nadaljnje kategorije podatkov, če je z njihovo obdelavo povezano tveganje „nepoštene diskriminacije, predsodkov ali drugačne prikrajšanosti principala“.

(68)

Čeprav je pojem „občutljivega“ podatka v bistvu družbeni konstrukt, saj temelji na kulturnih in pravnih tradicijah, moralnih pomislekih, izbirah politike itd. posamezne družbe, je Evropska komisija glede na pomen zagotavljanja ustreznih zaščitnih ukrepov za občutljive podatke pri njihovem prenosu poslovnim subjektom na Japonskem pridobila informacijo, da posebno varstvo „osebnih informacij, ki zahtevajo posebno skrb“, v okviru japonskega prava zajema vse kategorije „občutljivih podatkov“ iz Uredbe (EU) 2016/679. Zato dopolnilno pravilo 1 določa, da poslovni subjekti, ki obravnavajo osebne informacije, obdelajo podatke o posameznikovem spolnem življenju, spolni usmerjenosti ali članstvu v sindikatu, prenesene iz Evropske unije, „na enak način kot osebne informacije, ki zahtevajo posebno skrb, v smislu člena 2(3) [zakona o varstvu osebnih informacij]“.

(69)

Glede dodatnih materialnih zaščitnih ukrepov, ki se uporabljajo za osebne informacije, ki zahtevajo posebno skrb, poslovni subjekti, ki obravnavajo osebne informacije, v skladu s členom 17(2) zakona o varstvu osebnih informacij ne smejo pridobivati takih podatkov brez predhodne privolitve zadevnega posameznika, za kar veljajo le omejene izjeme (38). Nadalje, te kategorije osebnih informacij ni mogoče razkriti tretjim osebam na podlagi postopka iz člena 23(2) zakona o varstvu osebnih informacij (ki omogoča prenos podatkov tretjim osebam brez predhodne privolitve zadevnega posameznika).

(70)

V skladu z načelom odgovornosti morajo subjekti, ki obdelujejo podatke, sprejeti ustrezne tehnične in organizacijske ukrepe, da lahko uspešno izpolnjujejo svoje obveznosti glede varstva podatkov in dokažejo tako skladnost, predvsem pristojnim nadzornim organom.

(71)

Kot je navedeno v sprotni opombi 34 (uvodna izjava 49), morajo poslovni subjekti, ki obravnavajo osebne informacije, v skladu s členom 26(1) zakona o varstvu osebnih informacij preveriti identiteto tretje osebe, ki jim zagotavlja osebne podatke, in „okoliščine“, v katerih je tretja oseba pridobila podatke (v primeru osebnih podatkov, ki jih zajema ta sklep, navedene okoliščine v skladu z zakonom o varstvu osebnih informacij in dopolnilnim pravilom 3 vključujejo dejstvo, da podatki izvirajo iz Evropske unije, ter namen izvirnega prenosa podatkov). Cilj navedenega ukrepa je med drugim zagotoviti zakonitost obdelave podatkov v celotni verigi poslovnih subjektov, ki obravnavajo osebne informacije. Nadalje, poslovni subjekti, ki obravnavajo osebne informacije, morajo na podlagi člena 26(3) zakona o varstvu osebnih informacij voditi evidenco datuma prejema in (obveznih) informacij, ki jih prejmejo od tretje osebe na podlagi odstavka 1, ter ime zadevnega posameznika (na katerega se nanašajo osebni podatki), kategorije podatkov, ki se obdelujejo, in kolikor je ustrezno, dejstvo, da je posameznik, na katerega se nanašajo osebni podatki, privolil v izmenjavo svojih osebnih podatkov. V skladu s členom 18 pravilnika komisije za varstvo osebnih informacij se morajo navedene evidence hraniti za obdobje najmanj enega do treh let, odvisno od okoliščin. Komisija za varstvo osebnih informacij lahko pri izvrševanju svojih nalog zahteva predložitev takih evidenc (39).

(72)

Poslovni subjekti, ki obravnavajo osebne informacije, morajo hitro in ustrezno obravnavati pritožbe zadevnih posameznikov glede obdelave njihovih osebnih informacij. Za lajšanje obravnave pritožb vzpostavijo „sistem, ki je potreben za doseganje [tega] namena“, kar pomeni, da morajo v svoji organizaciji vzpostaviti ustrezne postopke (npr. opredeliti odgovornost ali zagotoviti kontaktno točko).

(73)

Nazadnje, zakon o varstvu osebnih informacij je okvir za sodelovanje sektorskih organizacij na področju industrije pri zagotavljanju visoke stopnje skladnosti (glej poglavje IV, oddelek 4). Vloga takih akreditiranih organizacij za varstvo osebnih informacij (40) je spodbujati varstvo osebnih informacij s podporo podjetjem prek njihovega strokovnega znanja, pa tudi s prispevkom k izvajanju zaščitnih ukrepov, predvsem z obravnavo pritožb posameznikov in pomočjo pri reševanju s tem povezanih sporov. V ta namen lahko od sodelujočih poslovnih subjektov, ki obravnavajo osebne informacije, po potrebi zahtevajo sprejetje potrebnih ukrepov (41). Poleg tega poslovni subjekti, ki obravnavajo osebne informacije, v primeru kršitve varnosti podatkov ali drugih varnostnih incidentov načeloma obvestijo komisijo za varstvo osebnih informacij in posameznika, na katerega se nanašajo osebni podatki, (ali javnost) ter sprejmejo potrebne ukrepe, vključno z ukrepi za zmanjšanje kakršne koli škode in preprečitev ponovitve podobnih incidentov (42). Čeprav so navedeno prostovoljne sheme, je imela 10. avgusta 2017 komisija za varstvo osebnih informacij na seznamu 44 organizacij, od katerih ima samo največja, japonski center za obdelavo informacij in razvoj, 15 436 sodelujočih poslovnih subjektov (43). Akreditirane sheme vključujejo sektorska združenja, kot so na primer japonsko združenje posrednikov pri prodaji vrednostnih papirjev, japonsko združenje šol vožnje ali združenje ženitnih posrednikov (44).

(74)

Akreditirane organizacije za varstvo osebnih informacij predložijo letna poročila o svojem delovanju. Iz „Pregleda stanja izvajanja zakona o varstvu osebnih informacij v poslovnem letu 2015“, ki ga je objavila komisija za varstvo osebnih informacij, so akreditirane organizacije za varstvo osebnih informacij skupaj prejele 442 pritožb, od poslovnih subjektov v okviru svoje pristojnosti zahtevale 123 pojasnil, od navedenih poslovnih subjektov zahtevale dokumente v 41 zadevah, izdale 181 navodil in dve priporočili (45).

(75)

Raven varstva, ki se zagotavlja osebnim podatkom, prenesenim iz Evropske unije poslovnim subjektom na Japonskem, se ne sme poslabšati z nadaljnjim prenosom takih podatkov prejemnikom v tretji državi zunaj Japonske. Taki „nadaljnji prenosi“ podatkov, ki z vidika japonskega poslovnega subjekta pomenijo mednarodni prenos z Japonske, bi morali biti dovoljeni le, kadar tudi za nadaljnjega prejemnika zunaj Japonske veljajo pravila, ki zagotavljajo podobno raven varstva, kot je zagotovljena v okviru japonskega pravnega reda.

(76)

Prvo varstvo vsebuje člen 24 zakona o varstvu osebnih informacij, ki na splošno prepoveduje prenos osebnih podatkov tretji osebi zunaj ozemlja Japonske brez predhodne privolitve zadevnega posameznika. Dopolnilno pravilo 4 zagotavlja, da je v primeru prenosa podatkov iz Evropske unije taka privolitev res dobro premišljena, saj se zahteva, da se zadevnemu posamezniku „zagotovijo informacije o okoliščinah prenosa, ki principalu omogočajo sprejetje odločitve o svoji privolitvi“. Na tej podlagi bo posameznik, na katerega se nanašajo osebni podatki, obveščen o tem, da bodo podatki preneseni v tujino (zunaj področja uporabe zakona o varstvu osebnih informacij) in o specifični namembni državi. To mu bo omogočilo, da oceni tveganje za zasebnost, ki je povezano s prenosom. Kot je mogoče sklepati iz člena 23 zakona o varstvu osebnih informacij (glej uvodno izjavo 47), bi morale poleg tega informacije, predložene principalu, zajemati obvezne postavke iz odstavka 2 tega člena, in sicer kategorije osebnih podatkov, ki se zagotavljajo tretji osebi, in metodo razkritja.

(77)

Člen 24 zakona o varstvu osebnih informacij v povezavi s členom 11-2 pravilnika komisije za varstvo osebnih informacij določa več izjem k temu pravilu na podlagi privolitve. Nadalje, v skladu s členom 24 se tudi za mednarodne prenose podatkov uporabljajo enake izjeme kot na podlagi člena 23(1) zakona o varstvu osebnih informacij (46).

(78)

Dopolnilno pravilo 4 krepi raven varstva pri nadaljnjih prenosih takih podatkov od poslovnega subjekta, ki obravnava osebne informacije, do prejemnika v tretji državi, da se zagotovi stalnost varstva v primeru prenosa osebnih podatkov iz Evropske unije na Japonsko na podlagi tega sklepa. To doseže z omejevanjem in uokvirjanjem podlag za mednarodne prenose, ki jih poslovni subjekt, ki obravnava osebne informacije, lahko uporabi kot alternativo privolitvi. Podrobneje in brez poseganja v izjeme iz člena 23(1) zakona o varstvu osebnih informacij je mogoče osebne podatke, ki se prenašajo na podlagi tega sklepa, brez privolitve nadalje prenesti le v dveh primerih: (i) če se podatki pošiljajo v tretjo državo, za katero je komisija za varstvo osebnih informacij na podlagi člena 24 zakona o varstvu osebnih informacij ugotovila, da zagotavlja enakovredno raven varstva, kot se zagotavlja na Japonskem (47); ali (ii) če sta poslovni subjekt, ki obravnava osebne informacije, in prejemnik kot tretja oseba na podlagi pogodbe, druge vrste zavezujočega sporazuma ali zavezujočega dogovora znotraj skupine podjetij skupaj sprejela ukrepe, ki zagotavljajo raven varstva, enakovredno tisti na podlagi zakona o varstvu osebnih informacij v povezavi z dopolnilnimi pravili. Druga kategorija ustreza instrumentom na podlagi Uredbe (EU) 2016/679 za zagotavljanje ustreznih zaščitnih ukrepov (zlasti pogodbena določila in zavezujoča poslovna pravila). Poleg tega, kot je potrdila komisija za varstvo osebnih informacij, tudi v teh primerih za prenos še vedno veljajo splošna pravila, ki veljajo za kakršno koli zagotavljanje osebnih podatkov tretji osebi v skladu z zakonom o varstvu osebnih informacij (tj. zahteva po pridobitvi privolitve iz člena 23(1) ali, alternativno, zahteva po informacijah z možnostjo zavrnitve iz člena 23(2) zakona o varstvu osebnih informacij). Če s posameznikom, na katerega se nanašajo osebni podatki, ni mogoče stopiti v stik niti s prošnjo za privolitev niti za posredovanje zahtevanih predhodnih informacij v skladu s členom 23(2) zakona o varstvu osebnih informacij, se prenos ne sme opraviti.

(79)

Poleg primerov, v katerih je komisija za varstvo osebnih informacij ugotovila, da zadevna tretja država zagotavlja raven varstva, enakovredno tisti, ki jo zagotavlja zakon o varstvu osebnih informacij (48), zahteve iz dopolnilnega pravila 4 izključujejo uporabo instrumentov prenosa, ki ne vzpostavljajo zavezujočega odnosa med japonskim izvoznikom podatkov in uvoznikom podatkov iz tretje države ter ne zagotavljajo zahtevane ravni varstva. To velja na primer za sistem skupine APEC za pravila o varovanju zasebnosti pri čezmejnem prenosu podatkov (CBPR), v katerem je Japonska eno od sodelujočih gospodarstev (49), saj v navedenem sistemu varstvo ne izhaja iz zavezujočega dogovora med izvoznikom in uvoznikom v smislu njunega dvostranskega odnosa ter je očitno nižje ravni od tiste, ki se zagotavlja s kombinacijo zakona o varstvu osebnih informacij in dopolnilnih pravil (50).

(80)

Nazadnje, nadaljnji zaščitni ukrep v primeru (nadaljnjega) prenosa izhaja iz členov 20 in 22 zakona o varstvu osebnih informacij. V skladu s temi določbami mora poslovni subjekt, ki obravnava osebne informacije (izvoznik podatkov), zagotoviti nadzor nad subjektom iz tretje države (uvoznikom podatkov), ki deluje v imenu prvega kot obdelovalec ali podrejeni obdelovalec, glede varnosti obdelave podatkov.

(81)

Zakon o varstvu osebnih informacij tako kot pravo EU o varstvu podatkov posameznikom podeljuje več izvršljivih pravic. To vključuje pravico do dostopa („razkritja“), popravka in izbrisa ter pravico do ugovora („prenehanja uporabe“).

(82)

Najprej, posameznik, na katerega se nanašajo osebni podatki, ima na podlagi člena 28(1) in (2) zakona o varstvu osebnih informacij pravico od poslovnega subjekta, ki obravnava osebne informacije, zahtevati „razkritje hranjenih osebnih podatkov, na podlagi katerih ga je mogoče identificirati“, navedeni poslovni subjekt pa po prejemu take zahteve „razkrije hranjene osebne podatke“ navedenemu posamezniku. Člen 29 (pravica do popravka) in člen 30 (pravica do prenehanja uporabe) imata enako strukturo kot člen 28.

(83)

Člen 9 vladne odredbe opredeljuje, da se razkritje osebnih informacij, kot je navedeno v členu 28(2) zakona o varstvu osebnih informacij, opravi pisno, razen če se poslovni subjekt, ki obravnava osebne informacije, in posameznik, na katerega se nanašajo osebni podatki, ne dogovorita drugače.

(84)

Za navedene pravice veljajo tri vrste omejitev, ki se nanašajo na pravice in interese posameznika ali tretje osebe (51), resne posege v poslovanje subjekta, ki obravnava osebne informacije (52), ter primere, v katerih bi razkritje pomenilo kršitev drugih zakonov ali predpisov (53). Primeri, v katerih bi se navedene omejitve uporabljale, so podobne nekaterim izjemam iz člena 23(1) Uredbe (EU) 2016/679, ki omogoča omejitve pravic posameznikov iz razlogov, ki se nanašajo na „varstvo posameznikov, na katere se nanašajo osebni podatki, ali pravice in svoboščine drugih“ ali „druge pomembne cilje v splošnem javnem interesu“. Čeprav se zdi kategorija primerov, v katerih bi razkritje pomenilo kršitev „drugih zakonov ali predpisov“, široka, morajo zakoni in predpisi, ki v tem smislu določajo omejitve, upoštevati ustavno pravico do zasebnosti, zato se lahko omejitve uvajajo le, če bi uveljavljanje te pravice pomenilo „poseg v javno dobrobit“ (54). To zahteva presojo nasprotnih si interesov.

(85)

Člen 28(3) zakona o varstvu osebnih informacij določa, da če zahtevani podatki ne obstajajo ali če se zadevni poslovni subjekt, ki obravnava osebne informacije, odloči zavrniti dostop do hranjenih podatkov, mora o tem takoj obvestiti posameznika.

(86)

Drugič, posameznik, na katerega se nanašajo osebni podatki, ima na podlagi člena 29(1) in (2) zakona o varstvu osebnih informacij pravico zahtevati popravek, dodatek ali izbris svojih hranjenih osebnih podatkov, če so podatki netočni. Poslovni subjekt, ki obravnava osebne informacije, ob prejemu take zahteve „izvede potrebno preiskavo“ in na njeni podlagi „opravi popravek itd. vsebine hranjenih podatkov“.

(87)

Tretjič, posameznik, na katerega se nanašajo osebni podatki, ima na podlagi člena 30(1) in (2) zakona o varstvu osebnih informacij pravico od poslovnega subjekta, ki obravnava osebne informacije, zahtevati prenehanje uporabe osebnih informacij ali njihov izbris, če se te obravnavajo v nasprotju s členom 16 (glede omejitve namena) ali če so bile neustrezno pridobljene v nasprotju s členom 17 zakona o varstvu osebnih informacij (glede pridobitve na podlagi prevare, na druge neustrezne načine ali, v primeru občutljivih podatkov, brez privolitve). Prav tako ima posameznik na podlagi člena 30(3) in (4) zakona o varstvu osebnih informacij pravico od poslovnega subjekta, ki obravnava osebne informacije, zahtevati, da ta neha zagotavljati informacije tretji osebi, če se s tem kršijo določbe člena 23(1) ali člena 24 zakona o varstvu osebnih informacij (glede zagotavljanja tretjim osebam, vključno z mednarodnimi prenosi).

(88)

Če je zahteva utemeljena, poslovni subjekt, ki obravnava osebne informacije, brez odlašanja neha uporabljati podatke ali jih neha zagotavljati tretji osebi, če je to potrebno, da se odpravi kršitev ali (če za navedeni primer velja izjema, predvsem če bi prenehanje uporabe povzročilo posebno visoke stroške) (55) da se izvedejo potrebni alternativni ukrepi za zaščito pravic in interesov zadevnega posameznika.

(89)

Za razliko od prava EU zakon o varstvu osebnih informacij in zadevna podzakonska pravila ne vsebujejo pravnih določb, ki bi se posebej nanašale na možnost nasprotovanja obdelavi za namene neposrednega trženja. Vendar bo takšna obdelava v okviru področja uporabe tega sklepa vedno potekala v okviru prenosa osebnih podatkov, ki so bili predhodno zbrani v Evropski uniji. Na podlagi člena 21(2) Uredbe (EU) 2016/679 ima posameznik, na katerega se nanašajo osebni podatki, vedno možnost nasprotovati prenosu podatkov za namen obdelave za neposredno trženje. Poleg tega, kot je pojasnjeno v uvodni izjavi 43, mora poslovni subjekt, ki obravnava osebne informacije, na podlagi dopolnilnega pravila 3 podatke, prejete na podlagi tega sklepa, obdelati za isti namen, kot so bili preneseni iz Evropske unije, razen če posameznik, na katerega se nanašajo osebni podatki, privoli v spremembo namena uporabe. Če je bil torej prenos izveden za kateri koli drug namen razen neposrednega trženja, poslovni subjekt, ki obravnava osebne informacije, na Japonskem ne bo smel obdelovati podatkov za neposredno trženje brez privolitve posameznika iz EU, na katerega se nanašajo osebni podatki.

(90)

V vseh primerih iz členov 28 in 29 zakona o varstvu osebnih informacij mora poslovni subjekt, ki obravnava osebne informacije, posameznika brez odlašanja obvestiti o rezultatu njegove zahteve in obrazložiti vsako (delno) zavrnitev na podlagi zakonskih izjem iz členov 27–30 (člen 31 zakona o varstvu osebnih informacij).

(91)

Glede pogojev za vložitev zahteve člen 32 zakona o varstvu osebnih informacij (v povezavi z vladno odredbo) omogoča poslovnemu subjektu, ki obravnava osebne informacije, da opredeli razumne postopke, vključno z določbami o informacijah, ki so potrebne za identifikacijo hranjenih osebnih podatkov. Vendar v skladu z odstavkom 4 tega člena poslovni subjekti, ki obravnavajo osebne informacije, ne smejo „principalu“ naložiti „pretiranega bremena“. V nekaterih primerih lahko poslovni subjekt, ki obravnava osebne informacije, zahteva tudi plačilo pristojbine, če njen znesek „ne presega tistega, kar je razumno glede na dejanske stroške“ (člen 33 zakona o varstvu osebnih informacij).

(92)

Nazadnje, posameznik lahko nasprotuje zagotavljanju svojih osebnih informacij tretji osebi na podlagi člena 23(2) zakona o varstvu osebnih informacij ali odreče privolitev na podlagi člena 23(1) (s čimer prepreči razkritje, če ni na voljo druge pravne podlage). Podobno lahko posameznik ustavi obdelavo podatkov za drug namen z zavrnitvijo privolitve na podlagi člena 16(1) zakona o varstvu osebnih informacij.

(93)

Za razliko od prava EU zakon o varstvu osebnih informacij in zadevna podzakonska pravila ne vsebujejo splošnih določb, ki bi se nanašale na odločitve, ki vplivajo na posameznika, na katerega se nanašajo osebni podatki, in ki temeljijo le na samodejni obdelavi osebnih podatkov. Vendar je to vprašanje obravnavano v nekaterih sektorskih pravilih, ki se uporabljajo na Japonskem in ki so še zlasti upoštevna za to vrsto obdelave. To zajema sektorje, v katerih družbe najverjetneje uporabljajo samodejno obdelavo osebnih podatkov za sprejemanje odločitev, ki vplivajo na posameznike (npr. finančni sektor). „Celovite smernice za nadzor nad večjimi bankami“, revidirane junija 2017, na primer zahtevajo, da se zadevnemu posamezniku zagotovijo podrobna pojasnila o razlogih za zavrnitev zahteve za sklenitev posojilne pogodbe. Navedena pravila torej zagotavljajo varstvo v najverjetneje omejenem številu primerov, v katerih samodejno odločitev sprejme sam „uvozni“ japonski poslovni subjekt (in ne „izvozni“ upravljavec podatkov iz EU).

(94)

Vsekakor pa glede osebnih podatkov, zbranih v Evropski uniji, velja, da vse odločitve, ki temeljijo na samodejni obdelavi, po navadi sprejme upravljavec podatkov v Uniji (ki je v neposrednem razmerju z zadevnim posameznikom, na katerega se nanašajo osebni podatki), zato se zanj uporablja Uredba (EU) 2016/679 (56). To zajema tudi primere prenosa, v katerih obdelavo izvede tuji (npr. japonski) poslovni subjekt, ki deluje kot zastopnik (obdelovalec) v imenu upravljavca podatkov iz EU (ali kot podrejeni obdelovalec, ki deluje v imenu obdelovalca iz EU, ki je podatke prejel od upravljavca podatkov iz EU, ki jih je zbral) in ki na tej podlagi sprejme odločitev. Dejstvo, da zakon o varstvu osebnih informacij ne vsebuje posebnih pravil o samodejnem odločanju, torej najverjetneje ne bo vplivalo na raven varstva osebnih podatkov, ki se prenašajo na podlagi tega sklepa.

(95)

Vzpostaviti bi bilo treba neodvisen nadzorni organ s pristojnostjo spremljanja in zagotavljanja skladnosti s pravili o varstvu podatkov, da se tudi v praksi zagotovi ustrezna raven varstva podatkov. Pri izvajanju svojih obveznosti in pooblastil bi moral ta organ ravnati popolnoma neodvisno in nepristransko.

(96)

Na Japonskem je organ, pristojen za spremljanje in izvajanje zakona o varstvu osebnih informacij, komisija za varstvo osebnih informacij. Sestavljajo jo predsednik in osem članov, ki jih imenuje predsednik vlade ob soglasju obeh domov parlamenta. Mandat predsednika in vsakega člana traja pet let, z možnostjo ponovnega imenovanja (člen 64 zakona o varstvu osebnih informacij). Člane je mogoče razrešiti le iz utemeljenih razlogov, na podlagi omejenega števila izjemnih okoliščin (57); član prav tako ne sme biti dejavno vključen v politične dejavnosti. Poleg tega člani v skladu z zakonom o varstvu osebnih informacij ne smejo opravljati nobenih drugih plačanih dejavnosti ali poslovnih dejavnosti. Za vse člane veljajo tudi notranja pravila, ki jim preprečujejo sodelovanje v razpravah v primeru morebitnega navzkrižja interesov. Komisiji za varstvo osebnih informacij pomaga sekretariat, ki ga vodi generalni sekretar in ki je bil ustanovljen z namenom izvajanja nalog, dodeljenih komisiji za varstvo osebnih informacij (člen 70 zakona o varstvu osebnih informacij). Člane in vse uradnike v sekretariatu zavezujejo stroga pravila molčečnosti (člen 72 in 82 zakona o varstvu osebnih informacij).

(97)

Pristojnosti komisije za varstvo osebnih informacij, ki jih izvaja popolnoma samostojno (58), so večinoma določene v členih 40, 41 in 42 zakona o varstvu osebnih informacij. Komisija za varstvo osebnih informacij lahko na podlagi člena 40 od poslovnega subjekta, ki obravnava osebne informacije, zahteva poročilo ali predložitev dokumentov o dejanjih obdelave, lahko pa izvede tudi inšpekcijski pregled na lokaciji ali pregled evidenc in drugih dokumentov. Komisija za varstvo osebnih informacij lahko poslovnim subjektom, ki obravnavajo osebne informacije, zagotovi tudi smernice ali nasvete glede obravnave osebnih informacij, če je to potrebno za izvajanje zakona o varstvu osebnih informacij. Komisija za varstvo osebnih informacij je to pristojnost na podlagi člena 41 zakona o varstvu osebnih informacij že uporabila pri izdaji smernic podjetju Facebook po razkritjih v primeru Facebook/Cambridge Analytica.

(98)

Komisija za varstvo osebnih informacij ima v posameznih primerih predvsem pristojnost izdaje priporočil in odredb (na podlagi pritožbe ali svoje pobude), s ciljem izvrševanja zakona o varstvu osebnih informacij in drugih zavezujočih pravil (vključno z dopolnilnimi pravili). Navedena pristojnost je navedena v členu 42 zakona o varstvu osebnih informacij. Čeprav odstavka 1 in 2 navedenega člena določata dvostopenjski mehanizem, na podlagi katerega lahko komisija za varstvo osebnih informacij izda odredbo (le) po izdaji predhodnega priporočila, odstavek 3 omogoča neposredno sprejetje odredbe v nujnih primerih.

(99)

Čeprav v členu 42(1) (kjer je opredeljeno tudi področje uporabe člena 42(2)) niso navedene vse določbe poglavja IV, oddelka 1 zakona o varstvu osebnih informacij, je to mogoče razložiti z dejstvom, da se nekatere od navedenih določb ne nanašajo na obveznosti poslovnih subjektov, ki obravnavajo osebne informacije (59), in da je vse bistveno varstvo že zagotovljeno z drugimi določbami, vključenimi na navedeni seznam. Primer je člen 15 (ki zahteva, da poslovni subjekt, ki obravnava osebne informacije, opredeli namen uporabe in zadevne osebne informacije obdeluje izključno v navedenem okviru): čeprav ni naveden, se lahko na podlagi njegovega neupoštevanja izda priporočilo na podlagi kršitve člena 16(1) (prepoved poslovnemu subjektu, ki obravnava osebne informacije, obdelovati osebne informacije zunaj okvira, potrebnega za doseganje namena uporabe, razen na podlagi privolitve posameznika, na katerega se nanašajo osebni podatki) (60). Druga določba, ki ni navedena v členu 42(1), je člen 19 zakona o varstvu osebnih informacij o točnosti in hrambi podatkov. Neskladnost z navedeno določbo je mogoče obravnavati kot kršitev člena 16(1) ali kršitev člena 29(2), če zadevni posameznik zahteva popravek ali izbris napačnih ali odvečnih podatkov, poslovni subjekt, ki obravnava osebne informacije, pa zahtevo zavrne. Glede pravic posameznika, na katerega se nanašajo osebni podatki, na podlagi členov 28(1), 29(1) in 30(1) je nadzor komisije za varstvo osebnih informacij zagotovljen s podelitvijo pristojnosti komisiji za varstvo osebnih informacij glede ustreznih obveznosti poslovnih subjektov, ki obravnavajo osebne informacije, iz navedenih členov.

(100)

V skladu s členom 42(1) zakona o varstvu osebnih informacij lahko komisija za varstvo osebnih informacij, če meni, da „je treba zaščititi pravice in interese posameznika, kadar [poslovni subjekt, ki obravnava osebne informacije,] krši“ posamezne določbe zakona o varstvu osebnih informacij, izda priporočilo o „prenehanju kršitve ali drugih potrebnih ukrepih za odpravo kršitve“. Tako priporočilo ni zavezujoče, omogoča pa izdajo zavezujoče odredbe na podlagi člena 42(2) zakona o varstvu osebnih informacij. Na podlagi te določbe lahko komisija za varstvo osebnih informacij, če priporočilo „brez utemeljenega razloga“ ni upoštevano ter sama „meni, da je resna kršitev pravic in interesov posameznika neizogibna“, odredi poslovnemu subjektu, ki obravnava osebne informacije, naj ukrepa v skladu s priporočilom.

(101)

Dopolnilna pravila nadalje pojasnjujejo in krepijo pristojnosti izvajanja komisije za varstvo osebnih informacij. Podrobneje, če poslovni subjekt, ki obravnava osebne informacije, v primerih uvoza podatkov iz Evropske unije brez zakonitega razloga ne ukrepa v skladu s priporočilom komisije za varstvo osebnih informacij na podlagi člena 42(1) zakona o varstvu osebnih informacij, komisija za varstvo osebnih informacij to vedno šteje za resno in takojšnjo kršitev posameznikovih pravic in interesov v smislu člena 42(2), kar je podlaga za izdajo zavezujoče odredbe. Poleg tega komisija za varstvo osebnih informacij kot „zakoniti razlog“ za neupoštevanje priporočila sprejme samo „izredni dogodek, na katerega [poslovni subjekt, ki obravnava osebne informacije,] nima vpliva, ga ne more razumno predvideti (npr. primer naravne nesreče) in ki [mu onemogoča upoštevanje priporočila]“, ali primere, v katerih ni več potrebe po ukrepanju na podlagi priporočila, „saj je [poslovni subjekt, ki obravnava osebne informacije,] sprejel alternativne ukrepe, ki povsem odpravljajo kršitev“.

(102)

V skladu s členom 84 zakona o varstvu osebnih informacij se neupoštevanje odredbe komisije za varstvo osebnih informacij šteje za kaznivo dejanje in poslovni subjekt, ki obravnava osebne informacije in je spoznan za krivega, se lahko kaznuje z zaporno kaznijo s prisilnim delom do največ šest mesecev ali z globo v višini do 300 000 jenov. Nadalje, v skladu s členom 85(i) zakona o varstvu osebnih informacij se nesodelovanje s komisijo za varstvo osebnih informacij ali oviranje njene preiskave kaznuje z globo do največ 300 000 jenov. Te kazenske sankcije se uporabljajo poleg sankcij, ki se lahko naložijo za materialne kršitve zakona o varstvu osebnih informacij (glej uvodno izjavo 108).

(103)

Posameznik, na katerega se nanašajo osebni podatki, mora imeti na voljo učinkovito upravno in sodno varstvo, vključno z odškodnino za škodo, da se zagotovi ustrezno varstvo in zlasti izvajanje pravic posameznika.

(104)

Posameznik se lahko odloči, da bo pred vložitvijo zahteve za upravno ali sodno varstvo oziroma namesto take zahteve vložil pritožbo glede obdelave svojih osebnih podatkov pri samem upravljavcu. Poslovni subjekt, ki obravnava osebne informacije, si v skladu s členom 35 zakona o varstvu osebnih informacij prizadeva take pritožbe obravnavati „ustrezno in hitro“ ter v ta namen ustanovi notranje sisteme obravnave pritožb. Poleg tega je v skladu s členom 61(ii) zakona o varstvu osebnih informacij komisija za varstvo osebnih informacij odgovorna za „potrebno mediacijo glede vložene pritožbe in sodelovanje s poslovnim subjektom, ki obravnava pritožbo“, kar v obeh primerih vključuje pritožbe, ki jih vložijo tujci. V zvezi s tem je japonski zakonodajalec osrednji vladi podelil tudi nalogo sprejetja „potrebnih ukrepov“, da se poslovnim subjektom, ki obravnavajo osebne informacije, omogoči in olajša obravnava pritožb (člen 9), lokalne vlade pa si morajo v takem primeru prizadevati za zagotovitev mediacije (člen 13). Posamezniki lahko torej vložijo pritožbo pri enem od več kot 1 700 centrov za pomoč potrošnikom, ki so jih ustanovile lokalne vlade na podlagi zakona o varstvu potrošnikov (61), poleg tega pa lahko pritožbo vložijo tudi pri nacionalnem japonskem centru za zadeve potrošnikov. Take pritožbe se lahko vložijo tudi glede kršitev zakona o varstvu osebnih informacij. Na podlagi člena 19 splošnega zakona o potrošnikih (62) si lokalne vlade v primerih pritožb prizadevajo za izvedbo mediacije in strankam zagotovijo potrebno strokovno znanje. Navedeni mehanizmi reševanja sporov so se izkazali za zelo učinkovite, saj je bilo v letu 2015 od 75 000 primerov pritožb uspešno rešenih 91,2 %.

(105)

Če poslovni subjekt, ki obravnava osebne informacije, krši določbe zakona o varstvu osebnih informacij, je to lahko podlaga za civilno tožbo, pa tudi za uvedbo kazenskega postopka in izrek sankcije. Najprej, če posameznik meni, da so bile njegove pravice na podlagi členov 28, 29 in 30 zakona o varstvu osebnih informacij kršene, lahko zahteva sodno odredbo tako, da od sodišča zahteva, naj poslovnemu subjektu, ki obravnava osebne informacije, odredi izpolnitev njegove zahteve na podlagi ene od navedenih določb, tj. razkrije hranjene osebne podatke (člen 28), popravi netočne hranjene osebne podatke (člen 29) ali preneha z nezakonito obdelavo oziroma zagotavljanjem podatkov tretji osebi (člen 30). Tako tožbo je mogoče vložiti brez sklicevanja na člen 709 civilnega zakonika (63) ali brez drugačnega sklicevanja na odškodninsko pravo (64). To zlasti pomeni, da posamezniku ni treba dokazati škode.

(106)

Drugič, če se domnevna kršitev ne nanaša na pravice posameznika iz členov 28, 29 in 30, ampak na splošna načela in obveznosti poslovnega subjekta, ki obravnava osebne informacije, glede varstva podatkov, lahko zadevni posameznik vloži civilno tožbo zoper poslovni subjekt na podlagi odškodninskih določb japonskega civilnega zakonika, zlasti člena 709. V okviru tožbe na podlagi člena 709 je treba poleg krivde (naklepa ali malomarnosti) dokazati tudi škodo, v skladu s členom 710 civilnega zakonika pa je lahko taka škoda materialna ali nematerialna. Višina nadomestila ni omejena.

(107)

Glede razpoložljivih nadomestil se člen 709 japonskega civilnega zakonika nanaša na denarno odškodnino. Vendar se ta člen v japonski sodni praksi razlaga tudi tako, da zagotavlja pravico do pridobitve odredbe (65). Če posameznik, na katerega se nanašajo osebni podatki, vloži tožbo na podlagi člena 709 civilnega zakonika in trdi, da so njegove pravice ali interesi utrpeli škodo zaradi kršitve določbe zakona o varstvu osebnih informacij s strani toženca, lahko navedeni zahtevek poleg nadomestila za škodo zajema tudi zahtevo za izdajo sodne odredbe o prepovedi kakršne koli nezakonite obdelave.

(108)

Tretjič, poleg pravnih sredstev na podlagi civilnega (odškodninskega prava) lahko posameznik, na katerega se nanašajo osebni podatki, vloži pritožbo pri državnem tožilcu ali uradniku pravosodne policije glede kršitev zakona o varstvu osebnih informacij, ki lahko imajo za posledico kazensko sankcijo. Poglavje VII zakona o varstvu osebnih informacij vsebuje več kazenskih določb. Najpomembnejša (člen 84) se nanaša na neupoštevanje odredb komisije za varstvo osebnih informacij v skladu s členom 42(2) in (3) s strani poslovnega subjekta, ki obravnava osebne informacije. Če poslovni subjekt ne upošteva odredbe, ki jo izda komisija za varstvo osebnih informacij, lahko predsednik navedene komisije (ali kateri koli drug vladni uradnik) (66) zadevo preda državnemu tožilcu ali uradniku pravosodne policije in s tem začne kazenski postopek. Za kršitev odredbe komisije za varstvo osebnih informacij je zagrožena zaporna kazen s prisilnim delom do največ šest mesecev ali globa do največ 300 000 jenov. Druge določbe zakona o varstvu osebnih informacij, ki določajo sankcije v primeru kršitev navedenega zakona in se nanašajo na pravice in interese posameznikov, na katere se nanašajo osebni podatki, zajemajo člen 83 zakona o varstvu osebnih informacij (glede „tajne uporabe ali zagotavljanja“ podatkovne zbirke osebnih informacij „z namenom nezakonitega pridobivanja […] dobička“) in člen 88(i) zakona o varstvu osebnih informacij (če tretja oseba ustrezno ne obvesti poslovnega subjekta, ki obravnava osebne informacije, ko ta prejme osebne podatke v skladu s členom 26(1) zakona o varstvu osebnih informacij, zlasti o podrobnostih predhodne pridobitve takih podatkov s strani tretje osebe). Za navedene kršitve zakona o varstvu osebnih informacij so zagrožene naslednje kazni: zaporna kazen s prisilnim delom do največ enega leta ali globa do največ 500 000 jenov (v primeru člena 83) oziroma upravna globa do največ 100 000 jenov (v primeru člena 88(i)). Medtem bo imela že grožnja kazenske sankcije verjetno močan odvračilni učinek na poslovodne organe, ki upravljajo postopke obdelave pri poslovnem subjektu, ki obravnava osebne informacije, ter na posameznike, ki obravnavajo podatke, člen 87 zakona o varstvu osebnih informacij pojasnjuje, da se, kadar zastopnik, zaposleni ali drugi delavec podjetja krši člene 83 do 85 zakona o varstvu osebnih informacij, „storilec kaznuje, navedeni pravni osebi pa se naloži denarna kazen, kakor je določena v ustreznih členih“. V tem primeru se lahko tako zaposlenemu kot podjetju naložijo sankcije do višine celotnega najvišjega zneska.

(109)

Nazadnje, posamezniki lahko zahtevajo pravno varstvo tudi zoper dejanja ali neukrepanje komisije za varstvo osebnih informacij. V tem smislu japonsko pravo omogoča več načinov upravnega in sodnega varstva.

(110)

Če posameznik ni zadovoljen z ukrepanjem komisije za varstvo osebnih informacij, lahko na podlagi zakona o upravnih pravnih sredstvih vloži upravno pritožbo (67). Nasprotno, če posameznik meni, da bi komisija za varstvo osebnih informacij morala ukrepati, vendar ni, lahko posameznik na podlagi člena 36-3 navedenega zakona od komisije za varstvo osebnih informacij zahteva ukrepanje ali izdajo upravnih smernic, če meni, da „ukrepi ali upravne smernice, potrebni za odpravo kršitve, niso bili sprejeti ali izdani“.

(111)

Glede sodnega varstva velja, da lahko na podlagi zakona o upravnem sporu posameznik, ki ni zadovoljen z upravnim ukrepanjem komisije za varstvo osebnih informacij, vloži tožbo mandamus (68) in od sodišča zahteva, naj komisiji za varstvo osebnih informacij odredi nadaljnje ukrepe (69). V nekaterih primerih lahko sodišče izda tudi začasno odredbo mandamus, da se prepreči nepopravljiva škoda (70). Nadalje, na podlagi istega zakona lahko posameznik zahteva razveljavitev odločbe komisije za varstvo osebnih informacij (71).

(112)

Nazadnje, posameznik lahko na podlagi člena 1(1) zakona o nadomestilih države s tožbo zoper komisijo za varstvo osebnih informacij zahteva tudi nadomestilo države, če je navedeni posameznik utrpel škodo zaradi nezakonite odredbe, ki jo je komisija za varstvo osebnih informacij izdala poslovnemu subjektu, ali ker navedena komisija ni izvršila svojih pooblastil.

(113)

Evropska komisija je proučila tudi omejitve in zaščitne ukrepe, vključno z nadzorom in posameznimi mehanizmi pravnih sredstev, ki so na voljo v japonskem pravu glede zbiranja in naknadne uporabe osebnih podatkov, ki jih v javnem interesu (zlasti za namene preprečevanja, odkrivanja in preiskovanja kaznivih dejanj in nacionalne varnosti („vladni dostop“)) poslovnim subjektom na Japonskem prenašajo javni organi. V tem smislu je japonska vlada Evropski komisiji predložila uradne navedbe, zagotovila in zaveze, podpisane na najvišji ministrski in agencijski ravni, ki jih vsebuje Priloga II k temu sklepu.

(114)

V okviru izvajanja javnih pooblastil mora biti vladni dostop na Japonskem izveden ob popolnem upoštevanju zakona (načelo zakonitosti). V tem smislu japonska ustava vsebuje določbe, ki omejujejo in uokvirjajo zbiranje osebnih podatkov s strani javnih organov. Kot je bilo že navedeno glede obdelave s strani poslovnih subjektov, je vrhovno sodišče Japonske s sklicevanjem na člen 13 ustave, ki med drugim ščiti pravico do svobode, priznalo pravico do zasebnosti in varstva podatkov (72). Eden od pomembnih vidikov navedene pravice je svoboda preprečiti razkritje osebnih informacij tretji osebi brez privolitve (73). Iz tega izhaja pravica do učinkovitega varstva osebnih podatkov zoper zlorabo in (zlasti) nezakonit dostop. Dodatno varstvo zagotavlja člen 35 ustave o pravici vseh oseb do zaščite v njihovem domu, do zaščite dokumentov in osebnih predmetov, ki od javnih organov zahteva pridobitev sodnega naloga na podlagi „ustreznega razloga“ (74) v vseh primerih „iskanja in zasega“. Vrhovno sodišče je v sodbi z dne 15. marca 2017 (zadeva GPS) pojasnilo, da se zahteva glede navedenega naloga uporablja, kadar koli vlada poseže („vstopi“) v zasebno sfero na način, ki prevlada nad voljo posameznika, in sicer z „obvezno preiskavo“. Sodnik lahko tak nalog izda le na podlagi konkretnega suma kaznivega dejanja, tj. na podlagi listinskih dokazov, iz katerih je mogoče sklepati, da je oseba, na katero se nanaša preiskava, storila kaznivo dejanje (75). Japonski organi torej nimajo pravne podlage za zbiranje osebnih informacij z obveznimi sredstvi v primerih, ko pravo še ni bilo kršeno (76), na primer za preprečitev kaznivega dejanja ali druge varnostne grožnje (kot na primer v primerih preiskav na podlagi nacionalne varnosti).

(115)

Na podlagi načela zakonske podlage mora imeti vsako zbiranje podatkov kot del prisilne preiskave posebno pooblastilo v zakonu (kot je to izraženo na primer v členu 197(1) zakonika o kazenskem postopku (ZKP) glede obveznega zbiranja informacij za kazensko preiskavo). Ta zahteva se nanaša tudi na dostop do elektronskih informacij.

(116)

Pomembno je, da člen 21(2) ustave zagotavlja tajnost vseh komunikacijskih sredstev, omejitve tega pa so mogoče samo z zakonodajo na podlagi javnega interesa. Ta zahteva zaupnosti je na ravni zakona izvedena v členu 4 zakona o telekomunikacijskih podjetjih, ki prepoveduje kršenje tajnosti telekomunikacij, ki jih upravlja izvajalec telekomunikacijskih storitev. To se razlaga kot prepoved razkritja komunikacijskih informacij, razen ob privolitvi uporabnikov ali na podlagi ene od izrecnih izjem od kazenske odgovornosti na podlagi kazenskega zakonika (77).

(117)

Ustava zagotavlja tudi pravico do sodnega varstva (člen 32) in pravico do vložitve odškodninske tožbe zoper državo, če je posameznik utrpel škodo zaradi nezakonitega dejanja javnega uslužbenca (člen 17).

(118)

Posebno glede pravice do varstva podatkov so v poglavju III, oddelkih 1, 2 in 3 zakona o varstvu osebnih informacij opredeljena osnovna načela, ki zajemajo vse sektorje, vključno z javnim sektorjem. Natančneje, člen 3 zakona o varstvu osebnih informacij določa, da je treba vse osebne informacije obravnavati v skladu z načelom spoštovanja osebnosti posameznikov. Ko javni organi zberejo („pridobijo“) osebne informacije, tudi kot del elektronske evidence (78), njihovo obravnavo ureja zakon o varstvu osebnih informacij, ki jih hranijo upravni organi (79). To načeloma vključuje (80) tudi obdelavo osebnih informacij za namene preprečevanja, odkrivanja in preiskovanja kaznivih dejanj ali nacionalne varnosti. Zakon o varstvu osebnih informacij, ki jih hranijo upravni organi, med drugim določa, da javni organi: (i) lahko hranijo osebne informacije le, kolikor je to potrebno za izvajanje njihovih dolžnosti; (ii) ne smejo takih informacij uporabiti za „nepravičen“ namen ali jih neutemeljeno razkriti tretji osebi; (iii) morajo opredeliti namen in ga ne smejo spreminjati bolj, kot je razumno ustrezno glede na izvirni namen (omejitev namena); (iv) načeloma ne smejo uporabiti ali tretji osebi predložiti hranjenih osebnih informacij za druge namene in morajo določiti omejitve glede namena ali metode uporabe pri tretjih osebah, če se jim to zdi potrebno; (v) si prizadevajo zagotoviti točnost informacij (kakovost podatkov); (vi) sprejmejo potrebne ukrepe za ustrezno upravljanje informacij in preprečevanje uhajanj, izgube ali škode (varnost podatkov) ter (vii) si prizadevajo za ustrezno in hitro obravnavo vseh pritožb glede obdelave informacij (81).

(119)

Japonsko pravo vsebuje več omejitev dostopa in uporabe osebnih podatkov za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj, ob tem pa tudi mehanizme nadzora in pravnih sredstev, ki zagotavljajo zadostne zaščitne ukrepe za učinkovito varstvo navedenih podatkov zoper nezakonito vmešavanje in tveganje zlorabe.

(120)

V japonskem pravnem okviru je zbiranje elektronskih informacij za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj dovoljeno na podlagi naloga (obvezno zbiranje) ali prošnje za prostovoljno razkritje.

(121)

Kot je navedeno v uvodni izjavi 115, je za vsako zbiranje podatkov kot del prisilne preiskave potrebno posebno pooblastilo v zakonu, izvesti pa ga je mogoče le na podlagi sodnega naloga, ki se „izda na podlagi ustreznega razloga“ (člen 35 ustave). Glede preiskave kaznivih dejanj je ta zahteva izražena v določbah zakonika o kazenskem postopku. V skladu s členom 197(1) zakonika o kazenskem postopku se obvezni ukrepi „ne uporabljajo, razen če ta zakonik vsebuje posebne določbe“. Glede zbiranja elektronskih informacij sta edini upoštevni (82) pravni podlagi v tem smislu člen 218 zakonika o kazenskem postopku (iskanje in zaseg) ter člen 222-2 zakonika o kazenskem postopku, v skladu s katerim se obvezni ukrepi za prestrezanje elektronskih komunikacij brez privolitve katere koli stranke izvedejo na podlagi drugih aktov, predvsem zakona o prisluškovanju telefonskim pogovorom za potrebe kazenske preiskave (zakon o prisluškovanju telefonskim pogovorom). V obeh primerih je potrebna izdaja naloga.

(122)

Natančneje, na podlagi člena 218(1) zakonika o kazenskem postopku lahko državni tožilec, njegov pomočnik ali uradnik pravosodne policije izvede iskanje ali zaseg (vključno z naročilom evidenc) na podlagi naloga, ki ga vnaprej izda sodnik (83), če je to potrebno za preiskavo kaznivega dejanja. Tak nalog med drugim vsebuje ime osumljenca ali obtoženca, očitano kaznivo dejanje (84), elektromagnetne evidence, ki jih je treba zaseči, in „kraj ali predmete“, ki jih je treba pregledati (člen 219(1) zakonika o kazenskem postopku).

(123)

Glede prestrezanja komunikacij člen 3 zakona o prisluškovanju telefonskim pogovorom take ukrepe omogoča le na podlagi strogih zahtev. Javni organi morajo zlasti predhodno pridobiti sodni nalog, ki se lahko izda le za preiskavo nekaterih hudih kaznivih dejanj (navedenih v prilogi k zakonu) (85) in ko je „izredno težko identificirati storilca ali pojasniti okoliščine/podrobnosti storitve na drug način“ (86). V skladu s členom 5 zakona o prisluškovanju telefonskim pogovorom se nalog izda za omejeno obdobje, sodnik pa lahko določi dodatne pogoje. Poleg tega zakon o prisluškovanju telefonskim pogovorom zagotavlja številna dodatna jamstva, kot so na primer potrebna navzočnost prič (člena 12 in 20), prepoved prisluškovanja telefonskim pogovorom nekaterih privilegiranih skupin (npr. zdravnikov, odvetnikov) (člen 15), obveznost prenehanja prisluškovanja telefonskim pogovorom, če ni več upravičeno, in sicer tudi v obdobju veljavnosti naloga (člen 18), ali splošna zahteva po obvestilu zadevnega posameznika in omogočanju dostopa do evidenc v tridesetih dneh po prenehanju prisluškovanja telefonskim pogovorom (člena 23 in 24).

(124)

Za namene vseh obveznih ukrepov, ki temeljijo na nalogu, se lahko izvaja le preiskava, „ki je potrebna za doseganje njenega cilja“ – tj. da ciljev preiskave ni mogoče doseči drugače (člen 197(1) zakonika o kazenskem postopku). Čeprav merila za opredeljevanje tega, kar je potrebno, v zakonodaji niso nadalje določena, je vrhovno sodišče Japonske razsodilo, da mora sodnik, ki izdaja nalog, opraviti splošno presojo in upoštevati zlasti (i) težo kaznivega dejanja in način storitve; (ii) vrednost in pomen gradiva, ki se zasega kot dokazno sredstvo; (iii) verjetnost (tveganje) prikritja ali uničenja dokazov; in (iv) v kolikšni meri bi zaseg lahko imel posledice za zadevnega posameznika (87).

(125)

Javni organi lahko v okviru svojih pooblastil elektronske informacije zbirajo tudi na podlagi prošenj za prostovoljno razkritje. To se nanaša na neobvezno obliko sodelovanja, pri kateri upoštevanje zahteve ni izvršljivo (88), zaradi česar javnim organom ni treba pridobiti sodnega naloga.

(126)

Če je taka zahteva naslovljena na poslovni subjekt in se nanaša na osebne informacije, mora poslovni subjekt izpolniti zahteve zakona o varstvu osebnih informacij. V skladu s členom 23(1) zakona o varstvu osebnih informacij lahko poslovni subjekti osebne informacije razkrijejo tretjim osebam brez privolitve zadevnega posameznika le v nekaterih primerih, kar obsega tudi primere, v katerih razkritje „temelji na zakonih in predpisih“ (89). Na področju preprečevanja, odkrivanja in preiskovanja kaznivih dejanj je pravna podlaga za take zahteve navedena v členu 197(2) zakonika o kazenskem postopku, v skladu s katerim „se lahko od zasebnih organizacij zahteva poročanje o potrebnih vprašanjih glede preiskave“. Ker je „list za poizvedbo“ dovoljen le kot del kazenske preiskave, je zanj vedno potreben konkreten sum že storjenega kaznivega dejanja (90). Poleg tega velja, da ker take preiskave po navadi izvaja prefekturna policija, se uporabljajo omejitve iz člena 2(2) zakona o policiji (91). V skladu z navedeno določbo so dejavnosti policije „strogo omejene“ na izpolnjevanje obveznosti in dolžnosti (torej preprečevanja, zatiranja in preiskovanja kaznivih dejanj). Poleg tega policija pri opravljanju svojih dolžnosti deluje nepristransko, brez predsodkov in pošteno ter ne sme nikoli zlorabiti svojih pooblastil „tako, da bi posegala v pravice in svoboščine posameznika, ki jih zagotavlja japonska ustava“ (ki vključujejo, kot je navedeno, pravico do zasebnosti in do varstva podatkov) (92).

(127)

Zlasti glede člena 197(2) zakonika o kazenskem postopku je nacionalna policijska agencija (kot zvezni organ, med drugim pristojen za vse zadeve, ki se nanašajo na kriminalistično policijo) izdala navodila prefekturni policiji (93) o „ustrezni uporabi pisnih poizvedb v preiskovalnih zadevah“. V skladu z navedenim obvestilom je treba zahteve vložiti na vnaprej pripravljenem obrazcu („obrazec št. 49“ ali tako imenovani „list za poizvedbo“) (94), nanašati se morajo na evidence „v zvezi s posamezno preiskavo“, zahtevane informacije pa morajo biti „potrebne za [navedeno] preiskavo“. V vsakem primeru vodja preiskave „v celoti prouči potrebnost, vsebino itd. posamezne poizvedbe“ in mora prejeti notranjo odobritev visokega uradnika.

(128)

Poleg tega je vrhovno sodišče Japonske v dveh sodbah iz leta 1969 in leta 2008 (95) opredelilo omejitve glede neobveznih ukrepov, ki posegajo v pravico do zasebnosti (96). Sodišče je zlasti navedlo, da morajo biti taki ukrepi „razumni“ in v okviru „splošno dovoljenih omejitev“, to pomeni, da morajo biti potrebni za preiskavo osumljenca (zbiranje dokazov) in izvedeni „z ustreznimi metodami za doseganje namena preiskave“ (97). Iz sodb izhaja, da je za to potreben preskus sorazmernosti in upoštevanje vseh okoliščin zadeve (npr. stopnja poseganja v pravico do zasebnosti, vključno s pričakovano zasebnostjo, teža kaznivega dejanja, verjetnost pridobitve uporabnih dokazov, pomen takih dokazov, morebitni drugi načini preiskave itd.) (98).

(129)

Poleg teh omejitev izvajanja javnih pooblastil morajo tudi poslovni subjekti sami preveriti („potrditi“) potrebnost in „racionalnost“ zagotavljanja tretji osebi (99). To zajema tudi vprašanje, ali jim sodelovanje preprečuje zakon. Take nasprotujoče si pravne obveznosti lahko izhajajo zlasti iz obveznosti varovanja zaupnosti, kot je člen 134 kazenskega zakonika (glede odnosa med zdravnikom, odvetnikom, duhovnikom itd. in njegovo stranko). Poleg tega „vsaka oseba, ki se ukvarja s poslovanjem na področju telekomunikacij, v času opravljanja svojih nalog ohranja skrivnosti drugih, za katere je izvedela iz komunikacij, ki jih obravnava izvajalec telekomunikacijskih storitev“ (člen 4(2) zakona o poslovanju na področju telekomunikacij). To obveznost potrjuje sankcija iz člena 179 zakona o poslovanju na področju telekomunikacij, v skladu s katerim vsaka oseba, ki prekrši tajnost komunikacij, ki jih obravnava izvajalec telekomunikacijskih storitev, stori kaznivo dejanje, za katero je zagrožena zaporna kazen s prisilnim delom do dveh let ali globa največ milijon jenov (100). Čeprav ta zahteva ni absolutna in omogoča zlasti ukrepe, s katerimi se krši tajnost komunikacij, če jih je mogoče opredeliti kot „upravičena dejanja“ v smislu člena 35 kazenskega zakonika (101), pa navedena izjema ne zajema odgovorov na neobvezne zahteve javnih organov za razkritje elektronskih informacij na podlagi člena 197(2) zakonika o kazenskem postopku.

(130)

Ko japonski javni organi zberejo osebne informacije, se zanje začne uporabljati zakon o varstvu osebnih informacij, ki jih hranijo upravni organi. Navedeni zakon ureja obravnavo (obdelavo) „hranjenih osebnih informacij“ ter uvaja več omejitev in zaščitnih ukrepov (glej uvodno izjavo 118) (102). Poleg tega dejstvo, da upravni organ lahko hrani osebne informacije „samo, če je hramba potrebna za opravljanje zadev v njegovi pristojnosti, kot jih določajo zakoni in predpisi“ (člen 3(1) zakona o varstvu osebnih informacij, ki jih hranijo upravni organi), prav tako uvaja omejitev (vsaj posredno) prvotnega zbiranja.

(131)

Na Japonskem zbiranje elektronskih informacij na področju preprečevanja, odkrivanja in preiskovanja kaznivih dejanj spada predvsem (103) v okvir odgovornosti prefekturne policije (104), ki je glede tega podvržena več ravnem nadzora.

(132)

Prvič, v vseh primerih zbiranja elektronskih informacij z obveznimi sredstvi (iskanje in zaseg) si mora policija predhodno zagotoviti sodni nalog (glej uvodno izjavo 121). Zato zbiranje v navedenih primerih vnaprej preveri sodnik na podlagi strogega standarda „ustreznega razloga“.

(133)

Čeprav v primeru prošenj za prostovoljno razkritje ni predhodnega preverjanja sodnika, lahko poslovni subjekti, na katere so take zahteve naslovljene, ugovarjajo brez negativnih posledic (in morajo upoštevati vpliv razkritja na zasebnost). Poleg tega člen 192(1) zakonika o kazenskem postopku določa, da policisti vedno sodelujejo z državnim tožilcem (in s prefekturno komisijo za javno varnost) in z njim usklajujejo svoje ukrepe (105). Državni tožilec lahko v zameno zagotovi potrebna splošna navodila ter opredeli standarde poštene preiskave in/ali izda posebne odredbe v zvezi s posameznimi preiskavami (člen 193 zakonika o kazenskem postopku). Če se taka navodila in/ali odredbe ne upoštevajo, lahko tožilstvo zahteva disciplinske ukrepe (člen 194 zakonika o kazenskem postopku). Prefekturna policija torej deluje pod nadzorom državnega tožilca.

(134)

Drugič, v skladu s členom 62 ustave lahko vsak dom japonskega parlamenta (Diet) izvaja preiskave, ki se nanašajo na vlado, tudi o zakonitosti zbiranja informacij s strani policije. V ta namen lahko zahteva navzočnost in pričanje prič in/ali predložitev evidenc. Navedena pooblastila so nadalje določena v zakonu o parlamentu, zlasti v poglavju XII. Natančneje, člen 104 zakona o parlamentu določa, da morajo ministri in predsednik vlade, javne agencije in drugi deli vlade „upoštevati zahteve doma parlamenta ali katerega koli njegovega odbora glede predložitve poročil in evidenc, potrebnih za izvedbo preiskave“. Vlada lahko zahtevo zavrne le, če navede verjeten razlog, ki ga parlament sprejme, ali na podlagi izdaje uradne izjave, da bi predložitev poročil ali evidenc „močno škodovala nacionalnim interesom“ (106). Poleg tega lahko člani parlamenta ministrom in predsedniku vlade predložijo pisna vprašanja (člena 74 in 75 zakona o parlamentu); v preteklosti so se take „pisne poizvedbe“ že nanašale na obravnavo osebnih informacij s strani upravnih organov (107). Vlogo parlamenta pri nadzoru izvršilne veje oblasti podpira tudi obveznost poročanja, na primer na podlagi člena 29 zakona o prisluškovanju telefonskim pogovorom.

(135)

Tretjič, tudi v okviru izvršilne veje oblasti je prefekturna policija podvržena neodvisnemu nadzoru. Ta obsega zlasti prefekturne komisije za javno varnost, ustanovljene na ravni prefekture, da se zagotovi demokratično upravljanje in politična nevtralnost policije (108). Navedene komisije sestavljajo člani, ki jih imenuje guverner prefekture na podlagi soglasja parlamenta prefekture (izbira med državljani, ki v predhodnih petih letih niso bili javni uslužbenci pri policiji) in ki imajo zagotovljen mandat (razrešitev je mogoča samo iz utemeljenih razlogov) (109). V skladu s prejetimi informacijami niso zavezani upoštevati navodil, zato se lahko štejejo za popolnoma neodvisne (110). V zvezi z nalogami in pooblastili prefekturnih komisij za javno varnost člen 38(3) v povezavi s členom 2 in členom 36(2) zakona o policiji določa, so te pristojne za „varstvo pravic in svoboščin posameznika“. V ta namen so pooblaščene za „nadzor“ (111) vseh preiskovalnih dejavnosti prefekturne policije, vključno z zbiranjem osebnih podatkov. Zlasti lahko komisije „po potrebi podrobno usmerjajo prefekturno policijo ali jo usmerjajo v posameznem primeru preiskave neprimernega ravnanja osebja policije“ (112). Ko vodja prefekturne policije (113) prejme tako navodilo ali ko sam zazna morebiten primer neprimernega ravnanja (vključno s kršitvami zakonodaje ali druge vrste zanemarjanja dolžnosti), mora zadevo takoj preiskati in o rezultatih poročati prefekturni komisiji za javno varnost (člen 56(3) zakona o policiji). Če ta meni, da je potrebno, lahko tudi imenuje enega od svojih članov, ki preveri stanje izvajanja. Postopek se nadaljuje, dokler se prefekturna komisija za javno varnost ne prepriča, da je bil dogodek ustrezno obravnavan.

(136)

Poleg tega ima pristojni minister ali vodja agencije (npr. generalni komisar nacionalne policijske agencije) glede pravilnega izvajanja zakona o varstvu osebnih informacij, ki jih hranijo upravni organi, izvršilna pooblastila, nadzor pa izvaja ministrstvo za notranje zadeve in komunikacije. V skladu s členom 49 zakona o varstvu osebnih informacij, ki jih hranijo upravni organi, lahko ministrstvo za notranje zadeve in komunikacije „zbira poročila stanju izvajanju tega zakona“ od vodij upravnih organov (ministrov). Nadzorna funkcija je podprta prek 51 „celovitih informacijskih centrov“ ministrstva za notranje zadeve in komunikacije (en v vsaki prefekturi na Japonskem), ki vsako leto obravnavajo tisoče poizvedb posameznikov (114) (iz katerih se lahko razkrijejo morebitne kršitve zakona). Ministrstvo za notranje zadeve in komunikacije lahko zahteva predložitev pojasnil in gradiv ter izdaja mnenja o tem, kako zadevni upravni organi obravnavajo osebne informacije, če meni, da je to potrebno za zagotavljanje skladnosti z zakonom (člena 50 in 51 zakona o varstvu osebnih informacij, ki jih hranijo upravni organi).

(137)

Poleg uradnega nadzora imajo posamezniki na voljo tudi več pravnih sredstev, ki jih lahko vložijo pri neodvisnih organih (kot so na primer prefekturne komisije za javno varnost ali komisija za varstvo osebnih informacij) ali pri japonskih sodiščih.

(138)

Prvič, glede osebnih informacij, ki jih zbirajo upravni organi, si morajo slednji „prizadevati za ustrezno in hitro obravnavo vsake pritožbe“ v zvezi z nadaljnjo obdelavo (člen 48 zakona o varstvu osebnih informacij, ki jih hranijo upravni organi). Čeprav se poglavje IV zakona o varstvu osebnih informacij, ki jih hranijo upravni organi, o pravicah posameznikov ne uporablja v zvezi z osebnimi informacijami, ki jih vsebujejo „dokumenti, ki se nanašajo na sojenja in zasežene predmete“ (člen 53-2(2) zakonika o kazenskem postopku) in ki zajemajo osebne informacije, zbrane v okviru kazenske preiskave, lahko posamezniki vložijo pritožbo na podlagi splošnih načel varstva podatkov, kot je na primer obveznost, da se osebne informacije hranijo samo, „če je hramba potrebna za [preprečevanje, odkrivanje in preiskovanje kaznivih dejanj]“ (člen 3(1) zakona o varstvu osebnih informacij, ki jih hranijo upravni organi).

(139)

Poleg tega člen 79 zakona o policiji posameznikom, ki imajo pomisleke glede „izvrševanja dolžnosti“ policijskega osebja, zagotavlja pravico do vložitve pritožbe pri (pristojni) neodvisni prefekturni komisiji za javno varnost. Komisija „natančno“ obravnava take pritožbe v skladu z zakoni in lokalnimi odloki ter o rezultatu pisno obvesti pritožnika. Na podlagi svoje pristojnosti nadzora nad prefekturno policijo in njenega „usmerjanja“ glede „neprimernega ravnanja osebja“ (člena 38(3) in 43-2(1) zakona o policiji) lahko od prefekturne policije zahteva preiskavo dejanskega stanja, sprejetje ustreznih ukrepov na podlagi rezultatov navedene preiskave in poročanje o rezultatih. Če meni, da preiskava policije ni ustrezna, lahko komisija tudi da navodila o obravnavi pritožbe.

(140)

Nacionalna policijska agencija je izdala „obvestilo“ policiji in prefekturni komisiji za javno varnost o ustrezni obravnavi pritožb v zvezi z izvrševanjem dolžnosti policistov, da se olajša obravnava pritožb. V navedenem dokumentu nacionalna policijska agencija navaja standarde za razlago in izvajanje člena 79 zakona o policiji. Med drugim od prefekturne policije zahteva vzpostavitev „sistema za obravnavo pritožb“ ter „takojšnjo“ obravnavo vseh pritožb, vloženih pri pristojni prefekturni komisiji za javno varnost, in poročanje o njih. Obvestilo opredeljuje pritožbe kot zahtevke za popravek „zaradi kakršne koli posebne prikrajšanosti, ki je bila povzročena zaradi nezakonitega ali neprimernega vedenja“ (115), ali „opustitve potrebnih ukrepov s strani policista pri opravljanju nalog“ (116) ter morebitne „očitke/nezadovoljstvo v zvezi z neustreznim načinom opravljanja nalog s strani policista“. Tako je materialno področje uporabe pritožbe široko opredeljeno, saj zajema vsako zatrjevanje nezakonitega zbiranja podatkov, pritožniku pa ni treba dokazati, da mu je zaradi delovanja policista nastala kakršna koli škoda. Pomembno je, da to obvestilo določa, da se tujcem (med drugim) zagotovi pomoč pri oblikovanju pritožbe. Prefekturne komisije za javno varnost morajo na podlagi pritožbe zagotoviti, da prefekturna policija prouči dejansko stanje, izvede ukrepe „v skladu z rezultati preiskave“ in poroča o rezultatih. Če komisija meni, da preiskava ni bila zadostna, izda navodilo o obravnavi pritožbe, ki ga mora prefekturna policija upoštevati. Na podlagi prejetih poročil in sprejetih ukrepov komisija obvesti posameznika ter med drugim navede sprejete ukrepe za obravnavo pritožbe. V obvestilu nacionalne policijske agencije je poudarjeno, da je treba pritožbe obravnavati „iskreno“ ter da je treba rezultat sporočiti „v ustreznem roku […] glede na družbene norme in zdrav razum“.

(141)

Drugič, glede na to, da bo običajno treba pravno sredstvo vložiti v tujini, v okviru tujega sistema in v tujem jeziku, je japonska vlada uporabila svoja pooblastila in ustvarila poseben mehanizem, ki ga vodi in nadzoruje komisija za varstvo osebnih informacij, za obravnavo in reševanje pritožb na tem področju, da se olajša uporaba pravnih sredstev posameznikom iz EU, katerih osebni podatki se prenašajo poslovnim subjektom na Japonskem, nato pa imajo do njih dostop javni organi. Navedeni mehanizem temelji na obveznosti sodelovanja, ki jo imajo japonski javni organi na podlagi zakona o varstvu osebnih informacij in posebne vloge komisije za varstvo osebnih informacij v zvezi z mednarodnimi prenosi podatkov iz tretjih držav na podlagi člena 6 zakona o varstvu osebnih informacij in osnovne politike (kot je opredelila japonska vlada na podlagi vladne odredbe). Podrobnosti tega mehanizma so opredeljene v uradnih navedbah, zagotovilih in zavezah, prejetih od japonske vlade, in so temu sklepu priložene kot Priloga II. Za mehanizem ni potrebno nobeno procesno upravičenje, odprt pa je za vse posameznike, ne glede na to, ali so osumljeni ali obtoženi kaznivega dejanja.

(142)

Na podlagi navedenega mehanizma lahko posameznik, ki sumi, da je javni organ na Japonskem (vključno s tistimi, odgovornimi za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj) zbiral ali uporabil njegove podatke, ki so bili preneseni iz Evropske unije, v nasprotju s pravili, ki se uporabljajo, vloži pritožbo na komisijo za varstvo osebnih informacij (samostojno ali prek svojega organa za varstvo podatkov v smislu člena 51 Splošne uredbe o varstvu podatkov). Komisija za varstvo osebnih informacij mora pritožbo obravnavati in o njej najprej obvestiti pristojne javne organe, vključno z ustreznimi nadzornimi organi. Navedeni organi morajo sodelovati s komisijo za varstvo osebnih informacij, „tudi z zagotavljanjem potrebnih informacij in ustreznega gradiva, da lahko navedena komisija presodi, ali je bilo zbiranje oziroma nadaljnja uporaba osebnih informacij v skladu s pravili, ki se uporabljajo“ (117). Ta obveznost, ki izhaja iz člena 80 zakona o varstvu osebnih informacij (in od japonskih javnih organov zahteva sodelovanje s komisijo za varstvo osebnih informacij), je splošno veljavna in tako zajema nadzor nad vsemi ukrepi takih organov, ki so se poleg tega k takemu sodelovanju zavezali s pisnimi zagotovili pristojnih ministrov in vodij agencij, kot je razvidno iz Priloge II.

(143)

Če se v okviru presoje izkaže, da so bila kršena pravila, ki se uporabljajo, „sodelovanje zadevnih javnih organov s komisijo za varstvo osebnih informacij zajema obveznost odprave kršitve“, kar v primeru nezakonitega zbiranja osebnih informacij vključuje izbris takih podatkov. Pomembno je, da se ta obveznost izvaja pod nadzorom komisije za varstvo osebnih informacij, ki „pred zaključkom presoje potrdi, da je kršitev v celoti odpravljena“.

(144)

Po zaključku presoje komisija za varstvo osebnih informacij posameznika v razumnem roku obvesti o rezultatu presoje in o morebitnih popravnih ukrepih, če je ustrezno. Hkrati obvesti posameznika o možnosti zahtevati potrditev rezultata od pristojnega javnega organa in navede organ, pri katerem se vloži taka zahteva za potrditev. Možnost prejema take potrditve, vključno z razlogi za odločitev pristojnega organa, je lahko posamezniku v pomoč pri nadaljnjih korakih, tudi pri uveljavljanju sodnega varstva. Podrobne informacije o rezultatu presoje se lahko omejijo, če obstajajo utemeljeni razlogi, da bi lahko razkritje takih informacij pomenilo tveganje za potekajočo preiskavo.

(145)

Tretjič, posameznik, ki se ne strinja s sodnikovo odločbo o zasegu (nalogom) (118), ki se nanaša na njegove osebne podatke, ali z ukrepi policije oziroma tožilstva, ki izvršuje tako odločbo, lahko vloži zahtevo, da se taka odločba ali ukrepi razveljavijo ali spremenijo (člen 429(1) ter člen 430(1) in (2) zakonika o kazenskem postopku ter člen 26 zakona o prisluškovanju telefonskim pogovorom) (119). Če pritožbeno sodišče meni, da je nalog nezakonit ali da je nezakonito njegovo izvrševanje („postopek zasega“), odobri zahtevo in odredi vrnitev zaseženih predmetov (120).

(146)

Četrtič, posameznik, ki meni, da je bilo zbiranje njegovih osebnih informacij kot del kazenske preiskave nezakonito, se lahko kot bolj posredno obliko sodnega varstva v okviru svojega kazenskega sodnega postopka sklicuje na to nezakonitost. Če se sodišče z njim strinja, se dokazi izločijo kot nedopustni.

(147)

Nazadnje, sodišče lahko na podlagi člena 1(1) zakona o nadomestilih države odobri odškodnino, če je javni uslužbenec z javnimi pooblastili države pri izvajanju svojih dolžnosti nezakonito in krivdno (naklepno ali iz malomarnosti) povzročil škodo zadevnemu posamezniku. V skladu s členom 4 zakona o nadomestilih države odškodninska odgovornost države temelji na določbah civilnega zakonika. S tem v zvezi člen 710 civilnega zakonika določa, da odgovornost vključuje tudi drugo škodo, ne samo škodo na premoženju, torej tudi nematerialno škodo (npr. v obliki „duševnih bolečin“). To zajema primere kršitev zasebnosti posameznikov z nezakonitim opazovanjem in/ali zbiranjem njegovih osebnih informacij (npr. nezakonita izvršitev naloga) (121).

(148)

Poleg denarnega nadomestila se lahko posameznikom pod nekaterimi pogoji izda tudi sodna odredba (npr. o izbrisu osebnih podatkov, ki jih je zbral javni organ) na podlagi njegovih pravic do zasebnosti iz člena 13 ustave (122).

(149)

Glede vseh navedenih pravnih sredstev mehanizem reševanja sporov, ki ga je oblikovala japonska vlada, omogoča posamezniku, ki še vedno ni zadovoljen z rezultatom postopka, da se obrne na komisijo za varstvo osebnih informacij, „ki posameznika obvesti o različnih možnostih in podrobnih postopkih v zvezi s pravnimi sredstvi na podlagi japonskega prava in predpisov“. Poleg tega komisija za varstvo osebnih informacij „posamezniku zagotovi podporo, kar vključuje tudi svetovanje in pomoč pri vložitvi nadaljnjih vlog zadevnim upravnim ali pravosodnim organom“.

(150)

To zajema uporabo procesnih pravic na podlagi zakonika o kazenskem postopku. Na primer, „kadar se v okviru presoje izkaže, da je posameznik osumljenec v kazenski zadevi, komisija za varstvo osebnih informacij o tem obvesti posameznika“ (123), pa tudi o možnosti na podlagi člena 259 zakonika o kazenskem postopku, v skladu s katerim se lahko od tožilstva zahteva obvestilo, če se tožilstvo odloči, da ne bo uvedlo kazenskega postopka. Poleg tega velja, da če se v okviru presoje izkaže, da je bila zadeva v zvezi z osebnimi informacijami posameznika obravnavana in zaključena, komisija za varstvo osebnih informacij obvesti posameznika, da lahko vpogleda v spis zadeve na podlagi člena 53 zakonika o kazenskem postopku (in člena 4 zakona o spisih pravnomočnih kazenskih zadev). Za posameznika je dostop do spisa svoje zadeve pomemben, saj lahko tako bolje razume opravljeno preiskavo zoper sebe in se pripravi na morebitni sodni postopek (npr. odškodninski zahtevek), če meni, da so bili njegovi podatki nezakonito zbrani ali uporabljeni.

(151)

V skladu z navedbami japonskih organov na Japonskem ne obstaja zakon, ki bi omogočal obvezne zahteve po informacijah ali „upravno prisluškovanje telefonskim pogovorom“ zunaj kazenskih preiskav. Informacije se na podlagi nacionalne varnosti torej lahko pridobivajo le od virov, do katerih ima vsakdo prost dostop, ali na podlagi prostovoljnega razkritja. Poslovni subjekti, ki prejmejo prošnjo za prostovoljno sodelovanje (v obliki razkritja elektronskih informacij) niso z ničemer pravno zavezani k zagotavljanju takih informacij (124).

(152)

Poleg tega so na podlagi prejetih informacij samo štirje vladni subjekti pooblaščeni za zbiranje elektronskih informacij, ki jih hranijo japonski poslovni subjekti, na podlagi nacionalne varnosti, in sicer: (i) urad vlade za obveščevalno dejavnost in raziskave; (ii) ministrstvo za obrambo; (iii) policija (nacionalna policijska agencija (125) in prefekturna policija) ter (iv) obveščevalna agencija za javno varnost. Vendar pa urad vlade za obveščevalno dejavnost in raziskave informacij nikoli ne zbira neposredno od poslovnih subjektov, niti s sredstvi za prestrezanje komunikacij. Kadar prejme informacije od drugih vladnih organov, da bi opravil analizo za vlado, morajo ti drugi organi ravnati v skladu z zakonom, vključno z omejitvami in zaščitnimi ukrepi, analiziranimi v tem sklepu. Njegove dejavnosti torej niso relevantne v smislu prenosa.

(153)

V skladu s prejetimi podatki ministrstvo za obrambo zbira (elektronske) informacije na podlagi zakona o ustanovitvi ministrstva za obrambo. V skladu s členom 3 navedenega zakona je cilj ministrstva za obrambo vodenje in delovanje vojaških sil ter „opravljanje dejavnosti, ki so s tem povezane, da se zagotovi nacionalni mir in neodvisnost ter varnost naroda“. Člen 4(4) določa, da je ministrstvo za obrambo pristojno za „obrambo in varovanje“, za dejanja sil za samoobrambo ter za napotitev vojaških sil, vključno z zbiranjem informacij, potrebnih za opravljanje navedenih nalog. Ministrstvo je pristojno samo za zbiranje (elektronskih) informacij od poslovnih subjektov na podlagi prostovoljnega sodelovanja.

(154)

Odgovornosti in dolžnosti prefekturne policije pa vključujejo „vzdrževanje javne varnosti in reda“ (člen 35(2) v povezavi s členom 2(1) zakona o policiji). Policija lahko v okviru teh pristojnosti zbira informacije, vendar le na prostovoljni podlagi brez pravne obveznosti. Dejavnosti policije so tudi „strogo omejene“ na tisto, kar je potrebno za opravljanje njenih nalog. Poleg tega policija ravna „nepristransko, neopredeljeno, brez predsodkov in pošteno“ in nikoli ne zlorablja svojih pooblastil „na noben način, ki bi posegal v pravice in svoboščine posameznika, kot so zagotovljene v ustavi Japonske“ (člen 2 zakona o policiji).

(155)

Nazadnje, obveščevalna agencija za javno varnost lahko izvaja preiskave na podlagi zakona o preprečevanju subverzivnih dejavnosti in zakona o nadzoru organizacij, ki so zagrešile dejanja vsesplošnega množičnega umora, kadar so take preiskave potrebne za pripravo na sprejetje nadzornih ukrepov zoper nekatere organizacije (126). Na podlagi obeh zakonov lahko komisija za proučevanje javne varnosti na zahtevo generalnega direktorja obveščevalne agencije za javno varnost odredi nekatere „ukrepe“ (v primeru zakona o nadzoru organizacij, ki so zagrešile dejanja vsesplošnega množičnega umora, je to opazovanje oziroma prepoved (127), v primeru zakona o preprečevanju subverzivnih dejavnosti pa razpustitev oziroma prepoved (128)), v okviru tega pa lahko obveščevalna agencija za javno varnost opravi preiskavo (129). Iz prejetih informacij izhaja, da se navedene preiskave vedno izvajajo na prostovoljni podlagi, kar pomeni, da obveščevalna agencija za javno varnost ne sme prisiliti lastnika osebnih informacij k njihovi predložitvi (130). V vsakem primeru velja, da se nadzor in preiskava opravi samo v najmanjšem potrebnem obsegu, da se doseže namen nadzora, v nobenem primeru pa se ne izvaja tako, da bi „neupravičeno“ omejevala pravice in svoboščine, ki jih zagotavlja ustava Japonske (člen 3(1) zakona o preprečevanju subverzivnih dejavnosti oziroma zakona o nadzoru organizacij, ki so zagrešile dejanja vsesplošnega množičnega umora). Poleg tega v skladu s členom 3(2) zakona o preprečevanju subverzivnih dejavnosti oziroma zakona o nadzoru organizacij, ki so zagrešile dejanja vsesplošnega množičnega umora, velja, da obveščevalna agencija za javno varnost v nobenem primeru ne sme zlorabiti takega nadzora ali preiskave, ki se izvaja za pripravo na tak nadzor. Če uslužbenec obveščevalne agencije za javno varnost zlorabi svoja pooblastila na podlagi zadevnega zakona, tako da osebo prisili k nečemu, kar ni zavezana storiti, ali če posega v uveljavljanje pravic osebe, se mu lahko izreče kazenska sankcija na podlagi člena 45 zakona o preprečevanju subverzivnih dejavnosti ali člena 42 zakona o nadzoru organizacij, ki so zagrešile dejanja vsesplošnega množičnega umora. Nazadnje, oba zakona izrecno določata, da se njune določbe, vključno s podeljenimi pooblastili, „v nobenem primeru ne smejo razširjeno razlagati“ (člen 2 zakona o preprečevanju subverzivnih dejavnosti oziroma zakona o nadzoru organizacij, ki so zagrešile dejanja vsesplošnega množičnega umora).

(156)

V vseh primerih vladnega dostopa na podlagi nacionalne varnosti, opisanih v tem oddelku, se uporabljajo omejitve, ki jih je navedlo japonsko vrhovno sodišče glede prostovoljnih preiskav, kar pomeni, da mora biti zbiranje (elektronskih) informacij skladno z načeli potrebnosti in sorazmernosti („ustrezna metoda“) (131). Kot so izrecno potrdili japonski organi, „zbiranje in obdelava informacij potekata le v obsegu, ki je potreben za izvajanje specifičnih nalog pristojnega javnega organa, in na podlagi specifičnih groženj“. Tako „to izključuje množično in neselektivno zbiranje osebnih podatkov ali dostop do njih iz razlogov nacionalne varnosti“ (132).

(157)

Poleg tega velja, da vse osebne informacije, ki jih hranijo javni organi za namen nacionalne varnosti, ko so enkrat zbrane, spadajo v okvir zakona o varstvu osebnih informacij, ki jih hranijo upravni organi, zato morajo biti deležne ustreznega varstva pri njihovi nadaljnji hrambi, uporabi in razkritju (glej uvodno izjavo 118).

(158)

Zbiranje osebnih informacij za namene nacionalne varnosti je podvrženo več ravnem nadzora treh vej oblasti.

(159)

Prvič, japonski parlament lahko prek svojih posebnih odborov prouči zakonitost preiskav na podlagi svojih pooblastil parlamentarnega nadzora (člen 62 ustave, člen 104 zakona o parlamentu; glej uvodno izjavo 134). To funkcijo nadzora podpirajo posebne obveznosti poročanja o dejavnostih, izvedenih na podlagi nekaterih zgoraj navedenih pravnih podlag (133).

(160)

Drugič, več nadzornih mehanizmov je vzpostavljenih v okviru izvršilne veje oblasti.

(161)

Glede ministrstva za obrambo nadzor izvaja urad generalnega inšpektorja za pravno skladnost (134), ustanovljen na podlagi člena 29 zakona o ustanovitvi ministrstva za obrambo kot urad znotraj ministrstva za obrambo in pod nadzorom ministra za obrambo (ki mu tudi poroča), vendar neodvisen od operativnih oddelkov ministrstva. Urad generalnega inšpektorja za pravno skladnost ima nalogo zagotoviti skladnost z zakoni in predpisi ter ustrezno izvajanje dolžnosti uslužbencev ministrstva za obrambo. Med drugim ima pooblastilo za izvajanje tako imenovanih „obrambnih inšpekcijskih pregledov“, in sicer periodičnih („redni obrambni inšpekcijski pregledi“) in v posameznih primerih („posebni obrambni inšpekcijski pregledi“), ki so v preteklosti obsegali tudi ustrezno obravnavo osebnih informacij (135). Urad generalnega inšpektorja za pravno skladnost lahko v okviru takih inšpekcijskih pregledov vstopi v prostore (pisarne) in zahteva predložitev dokumentov ali informacij, vključno s pojasnili namestnika pomočnika ministra za obrambo. Inšpekcijski pregled se zaključi s poročilom ministru za obrambo, v katerem se navedejo ugotovitve in ukrepi za izboljšanje (njihovo izvajanje je mogoče preveriti v okviru nadaljnjih inšpekcijskih pregledov). Poročilo je nato podlaga za izdajo navodil ministra za obrambo glede izvajanja ukrepov, potrebnih za obravnavo primera; pooblastilo za izvajanje takih ukrepov ima namestnik pomočnika ministra, ki mora o tem tudi poročati.

(162)

Nadzor prefekturne policije zagotavljajo neodvisne prefekturne komisije za javno varnost, kot je pojasnjeno v uvodni izjavi 135 glede preprečevanja, odkrivanja in preiskovanja kaznivih dejanj.

(163)

Nazadnje, kot je bilo navedeno, lahko obveščevalna agencija za javno varnost izvaja preiskave le, kolikor je to potrebno v zvezi s sprejetjem prepovedi, razpustitve ali opazovanja na podlagi zakona o preprečevanju subverzivnih dejavnosti oziroma zakona o nadzoru organizacij, ki so zagrešile dejanja vsesplošnega množičnega umora, in v zvezi s temi ukrepi neodvisna (136) komisija za proučevanje javne varnosti izvaja vnaprejšnji nadzor. Poleg tega posebej imenovani inšpektorji opravljajo redne oziroma periodične inšpekcijske preglede (ki celovito preverijo delovanje obveščevalne agencije za javno varnost) (137) in posebne notranje inšpekcijske preglede (138) dejavnosti posameznih oddelkov oziroma uradov itd.; na njihovi podlagi pa se lahko izdajo navodila vodjem zadevnih oddelkov itd. glede popravnih ukrepov ali ukrepov za izboljšanje.

(164)

Ti nadzorni mehanizmi, ki jih nadalje krepi možnost posameznikov zahtevati poseg komisije za varstvo osebnih informacij kot neodvisnega nadzornega organa (glej v nadaljevanju oddelek 168), zagotavljajo ustrezno varstvo pred tveganji, da bi japonski organi zlorabili svoja pooblastila na področju nacionalne varnosti, in pred kakršnim koli nezakonitim zbiranjem elektronskih informacij.

(165)

V zvezi s pravnimi sredstvi posameznikov velja, da si morajo upravni organi glede osebnih informacij, ki jih zbirajo in s tem „hranijo“, „prizadevati za ustrezno in hitro obravnavo vsake pritožbe“ v zvezi s tako obdelavo (člen 48 zakona o varstvu osebnih informacij, ki jih hranijo upravni organi).

(166)

Poleg tega za razliko od kazenskih preiskav velja, da imajo posamezniki (vključno s tujimi državljani, ki živijo v tujini) na podlagi zakona o varstvu osebnih informacij, ki jih hranijo upravni organi, načeloma pravico do razkritja (139), popravka (vključno z izbrisom) in začasnega prenehanja uporabe/posredovanja. Ob tem pa velja, da lahko vodja upravnega organa zavrne razkritje informacij, „v zvezi s katerimi obstajajo utemeljeni razlogi […] za domnevo, da bi razkritje lahko škodovalo nacionalni varnosti“ (člen 14(iv) zakona o varstvu osebnih informacij, ki jih hranijo upravni organi); to lahko stori tudi tako, da ne razkrije niti obstoja takih informacij (člen 17 zakona o varstvu osebnih informacij, ki jih hranijo upravni organi). Podobno velja, da čeprav lahko posameznik zahteva začasno prenehanje uporabe ali izbris na podlagi člena 36(1)(i) zakona o varstvu osebnih informacij, ki jih hranijo upravni organi, če je upravni organ informacije pridobil nezakonito ali če jih hrani oziroma uporablja zunaj okvira, ki je potreben za doseganje posameznega namena, lahko organ zavrne zahtevo, če ugotovi, da bi začasno prenehanje uporabe „lahko oviralo ustrezno izvajanje nalog, ki se nanašajo na namen uporabe hranjenih osebnih informacij, zaradi narave takih nalog“ (člen 38 zakona o varstvu osebnih informacij, ki jih hranijo upravni organi). Kljub temu velja, da če je mogoče brez težav ločiti in izločiti dele, za katere velja izjema, morajo upravni organi odobriti vsaj delo razkritje (glej na primer člen 15(1) zakona o varstvu osebnih informacij, ki jih hranijo upravni organi) (140).

(167)

V vsakem primeru mora upravni organ v določenem roku sprejeti pisno odločbo (30 dni; ta rok se pod nekaterimi pogoji lahko podaljša še za 30 dni). Če je zahteva zavrnjena ali ji je ugodeno le delno ali pa posameznik iz drugih razlogov meni, da je ravnanje upravnega organa „nezakonito ali nepravično“, lahko posameznik zahteva upravno presojo na podlagi zakona o upravnih pravnih sredstvih (141). V takem primeru se vodja upravnega organa, ki odloča o pritožbi, posvetuje z nadzornim odborom za razkritje informacij in varstvo osebnih informacij (člena 42 in 43 zakona o varstvu osebnih informacij, ki jih hranijo upravni organi), ki je specializiran neodvisen odbor, katerega člane imenuje predsednik vlade ob soglasju obeh domov parlamenta. Iz prejetih informacij izhaja, da lahko nadzorni odbor izvede preiskavo (142) in s tem v zvezi od upravnega organa zahteva predložitev hranjenih osebnih informacij, vključno z morebitnimi tajnimi vsebinami, ter nadaljnjih informacij in dokumentov. Čeprav končno poročilo, ki se pošlje pritožniku in upravnemu organu ter razkrije javnosti, ni pravno zavezujoče, se v skoraj vseh primerih upošteva (143). Poleg tega ima posameznik možnost pred sodiščem izpodbijati odločitev o pritožbi, na podlagi zakona o upravnem sporu. To omogoča sodni nadzor nad uporabo izjem iz razloga nacionalne varnosti, vključno s tem, ali je bila taka izjema zlorabljena oziroma ali je še upravičena.

(168)

Ministrstvo za notranje zadeve in komunikacije je z namenom olajšati uveljavljanja zgoraj navedenih pravic na podlagi zakona o varstvu osebnih informacij, ki jih hranijo upravni organi, ustanovilo 51 „celovitih informacijskih centrov“, ki zagotavljajo celovite informacije o navedenih pravicah, postopkih, ki se uporabljajo za vložitev zahteve, in morebitnih pravnih sredstvih (144). Upravni organi pa morajo zagotoviti „informacije, ki pripomorejo k opredelitvi hranjenih osebnih informacij“ (145), in sprejeti „druge ustrezne ukrepe, ki so v korist osebi, ki namerava vložiti zahtevo“ (člen 47(1) zakona o varstvu osebnih informacij, ki jih hranijo upravni organi).

(169)

Tako kot v primeru preiskav na področju preprečevanja, odkrivanja in preiskovanja kaznivih dejanj lahko posamezniki tudi na področju nacionalne varnosti izkoristijo pravno varstvo tako, da se neposredno obrnejo na komisijo za varstvo osebnih informacij. S tem se začne poseben postopek reševanja sporov, ki ga je vzpostavila japonska vlada za posameznike iz EU, katerih osebni podatki se prenašajo na podlagi tega sklepa (glej podrobno pojasnilo v uvodnih izjavah 141–144 in v uvodni izjavi 149).

(170)

Poleg tega lahko posamezniki zahtevajo sodno varstvo v obliki odškodninske tožbe na podlagi zakona o nadomestilih države, ki vključuje tudi nematerialno škodo in pod nekaterimi pogoji tudi izbris zbranih podatkov (glej uvodno izjavo 147).

(171)

Evropska komisija meni, da zakon o varstvu osebnih informacij in dopolnilna pravila iz Priloge I ter uradne navedbe, zagotovila in zaveze iz Priloge II zagotavljajo raven varstva osebnih podatkov, ki se prenašajo iz Evropske unije, ki je v osnovi enakovredna tisti, ki jo zagotavlja Uredba (EU) 2016/679.

(172)

Poleg tega Evropska komisija meni, da gledano v celoti nadzorni mehanizmi in pravna sredstva v japonskem pravu v praksi omogočajo ugotavljanje in kaznovanje kršitev, ki jih storijo poslovni subjekti, ki obravnavajo osebne informacije in ki take informacije prejmejo, ter da posameznikom, na katere se nanašajo osebni podatki, zagotavljajo pravna sredstva, s katerimi lahko pridobijo dostop do osebnih podatkov, ki se nanašajo nanj, in po potrebi zagotovijo popravek ali izbris takih podatkov.

(173)

Nazadnje, Evropska komisija na podlagi razpoložljivih informacij o japonskem pravnem redu, vključno z navedbami, zagotovili in zavezami japonske vlade iz Priloge II, meni, da so vsi posegi v temeljne pravice posameznikov, katerih osebne podatke iz Evropske unije na Japonsko prenašajo japonski javni organi v imenu javnega interesa, zlasti preprečevanja, odkrivanja in preiskovanja kaznivih dejanj in nacionalne varnosti, omejeni na to, kar je nujno potrebno za doseganje zadevnega zakonitega cilja, ter da obstaja učinkovita pravna zaščita zoper take posege.

(174)

Zato Evropska komisija glede na ugotovitve iz tega sklepa meni, da Japonska zagotavlja ustrezno raven varstva osebnih podatkov, ki se iz Evropske unije prenašajo poslovnim subjektom, ki obravnavajo osebne informacije na Japonskem in za katere se uporablja zakon o varstvu osebnih informacij, razen v primerih, ko prejemnik spada v eno od kategorij iz člena 76(1) zakona o varstvu osebnih informacij in vsi nameni obdelave ali njihov del ustrezajo enemu od namenov iz navedene določbe.

(175)

Na tej podlagi Evropska komisija ugotavlja, da je standard ustreznosti iz člena 45 Uredbe (EU) 2016/679, razlagan v smislu Listine Evropske unije o temeljnih pravicah, zlasti ob upoštevanju sodbe v zadevi Schrems (146), izpolnjen.

(176)

V skladu s sodno prakso Sodišča (147) in kot je navedeno v členu 45(4) Uredbe (EU) 2016/679, bi morala Evropska komisija po sprejetju sklepa o ustreznosti redno spremljati razvoj dogodkov v tretji državi, da se presodi, ali Japonska še zagotavlja v osnovi enakovredno raven varstva. Tako preverjanje se v vsakem primeru zahteva, kadar Evropska komisija prejme kakršne koli informacije, ki zbujajo upravičen dvom o tem.

(177)

Evropska komisija bi zato morala stalno spremljati razmere glede pravnega okvira in dejanske prakse obdelave osebnih podatkov, kot je ovrednoteno v tem sklepu, vključno z zagotavljanjem skladnosti japonskih organov z navedbami, zagotovili in zavezami iz Priloge II. Za olajšanje tega postopka bi morali japonski organi Evropsko komisijo obveščati o razvoju dogodkov, bistvenih za ta sklep, in sicer glede obdelave osebnih podatkov s strani poslovnih subjektov ter glede omejitev in zaščitnih ukrepov, ki se uporabljajo v zvezi z dostopom javnih organov do osebnih podatkov. To bi moralo vključevati vse odločitve, ki jih komisija za varstvo osebnih informacij sprejme na podlagi člena 24 zakona o varstvu osebnih informacij in s katerimi se prizna, da tretja država zagotavlja raven varstva, ki je enakovredna tisti, ki jo zagotavlja Japonska.

(178)

Poleg tega bi morale države članice Evropsko komisijo obveščati o vseh pomembnih ukrepih nacionalnih organov za varstvo podatkov, zlasti glede poizvedb ali pritožb posameznikov iz EU, na katere se nanašajo osebni podatki, glede prenosa osebnih podatkov iz Evropske unije poslovnim subjektom na Japonskem, da se Evropski komisiji omogoči učinkovito izvajanje njene funkcije spremljanja. Evropska komisija bi morala biti obveščena tudi o vseh indicih, da ukrepi japonskih javnih organov, odgovornih za preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj oziroma za nacionalno varnost, vključno z vsemi nadzornimi organi, ne zagotavljajo zahtevane ravni varnosti.

(179)

Države članice in njihovi organi morajo sprejeti ukrepe, potrebne za zagotavljanje skladnosti z akti institucij Unije, saj se domneva, da so ti zakoniti in imajo pravne učinke, dokler niso umaknjeni, razveljavljeni na podlagi izpodbojne tožbe ali razglašeni za neveljavne na podlagi predloga za sprejetje predhodne odločbe ali sklicevanja na nezakonitost. Zato je sklep Evropske komisije o ustreznosti varstva, sprejet na podlagi člena 45(3) Uredbe (EU) 2016/679, zavezujoč za vse organe držav članic, na katere je naslovljen, vključno z njihovimi neodvisnimi nadzornimi organi. Hkrati pa velja, kot je bilo pojasnjeno v sodbi Sodišča (148) v zadevi Schrems in priznano v členu 58(5) Uredbe, da če organ za varstvo podatkov prejme pritožbo, ki zbuja dvom o skladnosti sklepa Evropske komisije o ustreznosti varstva s temeljnimi pravicami posameznika do zasebnosti in varstva podatkov, ter meni, da so predloženi očitki dobro utemeljeni, mu mora nacionalna zakonodaja zagotavljati pravno sredstvo za predložitev teh očitkov nacionalnemu sodišču, ki mora v primeru dvomov prekiniti postopek in Sodišču predložiti predlog za sprejetje predhodne odločbe (149).

(180)

Evropska komisija bi morala po sprejetju tega sklepa, na podlagi člena 45(3) Uredbe (EU) 2016/679 (150) in glede na dejstvo, da se raven varstva, ki ga zagotavlja japonski pravni red, lahko spremeni, redno preverjati, ali so ugotovitve, ki se nanašajo na ustreznost ravni varnosti, ki jo zagotavlja Japonska, še vedno dejansko in pravno upravičene.

(181)

V ta namen bi bilo treba ta sklep prvič pregledati v dveh letih po njegovem začetku veljavnosti. Komisija v tesnem posvetovanju z odborom, ustanovljenim v skladu s členom 93(1) Splošne uredbe o varstvu podatkov, po tem prvem pregledu in glede na njegove rezultate odloči, ali je treba ohraniti dveletni cikel. V vsakem primeru morajo nadaljnji pregledi potekati vsaj vsaka štiri leta (151). Pregled bi moral obsegati vse vidike učinkovanja tega sklepa, zlasti uporabo dopolnilnih pravil (pri čemer je treba posebno pozornost nameniti varstvu, ki se zagotavlja v primeru nadaljnjih prenosov), uporabo pravil o privolitvi, tudi v primeru umika, učinkovitost uveljavljanja pravic posameznikov ter omejitve in zaščitne ukrepe glede vladnega dostopa, vključno z mehanizmom pravnih sredstev, kot je navedeno v Prilogi II k temu sklepu. Prav tako bi moral zajemati učinkovitost nadzora in izvrševanja v zvezi s pravili, ki se uporabljajo za poslovne subjekte, ki obravnavajo osebne informacije, ter na področju preprečevanja, odkrivanja in preiskovanja kaznivih dejanj in nacionalne varnosti.

(182)

Evropska komisija bi se morala pri izvajanju pregleda srečati s komisijo za varstvo osebnih informacij, ki bi jo po potrebi spremljali drugi japonski organi, odgovorni za vladni dostop, vključno z zadevnimi nadzornimi organi. Možnost sodelovanja na takem sestanku bi morali imeti tudi predstavniki članov Evropskega odbora za varstvo podatkov. Evropska komisija bi morala v okviru skupnega pregleda od komisije za varstvo osebnih informacij zahtevati predložitev celovitih informacij o vseh vidikih, pomembnih za ugotavljanje ustreznosti, tudi o omejitvah in zaščitnih ukrepih v zvezi z vladnim dostopom (152). Evropska komisija bi morala tudi zahtevati pojasnila o vseh prejetih informacijah, pomembnih za ta sklep, vključno z javnimi poročili japonskih organov ali drugih deležnikov na Japonskem, Evropskega odbora za varstvo podatkov, posameznih organov za varstvo podatkov, skupin civilne družbe, poročil medijev ali katerih koli drugih razpoložljivih virov informacij.

(183)

Evropska komisija bi morala na podlagi skupnega pregleda pripraviti javno poročilo, ki se predloži Evropskemu parlamentu in Svetu.

(184)

Če Evropska komisija na podlagi rednih in občasnih preverjanj ali na podlagi katerih koli drugih razpoložljivih informacij ugotovi, da ravni varstva, ki ga zagotavlja japonski pravni red, ni mogoče več šteti kot v osnovi enakovredno tisti v Evropski uniji, bi morala o tem obvestiti pristojne japonske organe ter zahtevati sprejetje ustreznih ukrepov v določenem razumnem roku. To vključuje pravila, ki se nanašajo na poslovne subjekte in japonske javne organe, odgovorne za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj ali za nacionalno varnost. Tak postopek bi se na primer sprožil v primerih, ko se nadaljnji prenosi, tudi na podlagi odločitev, ki jih komisija za varstvo osebnih informacij sprejme na podlagi člena 24 zakona o varstvu osebnih informacij in s katerimi se prizna, da tretja država zagotavlja raven varstva, ki je enakovredna tisti, ki jo zagotavlja Japonska, ne bodo več opravljali ob upoštevanju zaščitnih ukrepov, ki zagotavljajo stalnost varstva v smislu člena 44 Splošne uredbe o varstvu podatkov.

(185)

Če v določenem obdobju pristojni japonski organi ne dokažejo, da ta sklep še temelji na ustrezni ravni varnosti, bi morala Evropska komisija na podlagi člena 45(5) Uredbe (EU) 2016/679 začeti postopek za začasno zadržanje izvajanje dela ali celotnega tega sklepa oziroma za njegovo razveljavitev. Druga možnost je, da bi Evropska komisija začela postopek za spremembo tega sklepa, zlasti z uvedbo dodatnih pogojev za prenos podatkov ali omejitvijo področja uporabe ugotovitve o ustreznosti varstva samo na prenose podatkov, za katere je zagotovljena stalnost varstva v smislu člena 44 Splošne uredbe o varstvu podatkov.

(186)

Evropska komisija bi morala zlasti začeti postopek za začasno zadržanje izvajanja ali razveljavitev v primeru indicev, da poslovni subjekti, ki prejemajo osebne podatke na podlagi tega sklepa, ne upoštevajo dopolnilnih pravil iz Priloge I in/ali da se ta pravila ne izvršujejo učinkovito, ali da japonski organi ne upoštevajo navedb, zagotovil in zavez iz Priloge II k temu sklepu.

(187)

Evropska komisija bi morala o začetku postopka za spremembo, začasno zadržanje izvajanja ali razveljavitev tega sklepa presoditi tudi, če v okviru skupnega pregleda ali na drug način japonski organi ne zagotovijo informacij ali pojasnil, potrebnih za oceno ravni varstva, ki se zagotavlja glede osebnih podatkov, prenesenih iz Evropske unije na Japonsko, ali skladnosti s tem sklepom. V tem smislu bi morala Evropska komisija upoštevati, v kolikšni meri je mogoče zadevne informacije pridobiti iz drugih virov.

(188)

Evropska komisija bi morala na podlagi ustrezno utemeljenih razlogov nujnosti, kot je tveganje resne kršitve pravic posameznikov, na katere se nanašajo osebni podatki, preučiti možnost sprejetja sklepa o začasnem zadržanju izvajanja ali razveljavitvi tega sklepa, ki bi se začel takoj uporabljati, na podlagi člena 93(3) Uredbe (EU) 2016/679 v povezavi s členom 8 Uredbe št. 182/2011 Evropskega parlamenta in Sveta (153).

(189)

Evropski odbor za varstvo podatkov je objavil svoje mnenje (154), ki je bilo upoštevano pri pripravi tega sklepa.

(190)

Evropski parlament je sprejel resolucijo o digitalni trgovinski strategiji, ki Evropsko komisijo poziva, naj pod pogoji iz Uredbe (EU) 2016/679 nameni prednost sprejemanju sklepov o ustreznosti s pomembnimi trgovinskimi partnerji in ga pospeši, saj je to pomemben mehanizem za zaščito prenosa osebnih podatkov iz Evropske unije (155). Evropski parlament je sprejel tudi resolucijo o ustreznosti varstva osebnih podatkov, ki ga zagotavlja Japonska (156).

(191)

Ukrepi v tem sklepu so v skladu z mnenjem odbora, ustanovljenega na podlagi člena 93(1) Direktive Splošne uredbe o varstvu podatkov –