Back to EUR-Lex homepage

EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search
You are here

Document 52023DC0275

RAPPORT FRÅN KOMMISSIONEN TILL EUROPAPARLAMENTET OCH RÅDET om den första översynen av tillämpningen av beslutet om Japans adekvata skyddsnivå

COM/2023/275 final

Bryssel den 3.4.2023

COM(2023) 275 final

RAPPORT FRÅN KOMMISSIONEN TILL EUROPAPARLAMENTET OCH RÅDET

om den första översynen av tillämpningen av beslutet om Japans adekvata skyddsnivå

{SWD(2023) 75 final}


RAPPORT FRÅN KOMMISSIONEN TILL EUROPAPARLAMENTET OCH RÅDET

om den första översynen av tillämpningen av beslutet om Japans adekvata skyddsnivå

1.DEN FÖRSTA ÖVERSYNEN – BAKGRUND, FÖRBEREDELSE OCH PROCESS

Den 23 januari 2019 antog Europeiska kommissionen ett beslut i enlighet med artikel 45 i förordning (EU) 2016/679 (dataskyddsförordningen) 1 , där den fann att Japan säkerställer en adekvat skyddsnivå för personuppgifter som överförs från Europeiska unionen till företag som hanterar personlig information 2 i Japan 3 . Till följd av detta kan överföringar från EU till privata aktörer i Japan ske utan ytterligare krav 4 .

Kommissionens beslut om adekvat skyddsnivå omfattar den japanska lagen om skydd av personuppgifter (personuppgiftslagen), kompletterad med tilläggsregler som infördes för att överbrygga vissa relevanta skillnader mellan personuppgiftslagen och dataskyddsförordningen 5 . Dessa kompletterande skyddsåtgärder stärker t.ex. skyddet av känsliga uppgifter (genom att utvidga de kategorier av personlig information som betraktas som känsliga uppgifter), utövandet av individuella rättigheter (genom att klargöra att individuella rättigheter också kan utövas för personuppgifter som innehas under en kortare period än sex månader, vilket vid den tidpunkten inte var fallet enligt personuppgiftslagen) 6 och de villkor enligt vilka uppgifter från EU kan överföras vidare från Japan till ett annat tredjeland 7 . Tilläggsreglerna är bindande för japanska aktörer och kan genomdrivas av den oberoende dataskyddsmyndigheten (nämnden för skydd av personuppgifter) eller direkt av enskilda i EU vid japanska domstolar 8 .

Den japanska regeringen tillhandahöll dessutom officiella framställningar, utfästelser och åtaganden till kommissionen när det gäller begränsningar och skyddsåtgärder avseende tillgång till och användning av personuppgifter vid japanska offentliga myndigheter för ändamål som avser brottsbekämpning eller den nationella säkerheten, och klargjorde att sådan behandling är begränsad till vad som är nödvändigt och proportionerligt och omfattas av oberoende tillsyn och effektiva prövningsmekanismer 9 . I prövningsmekanismerna på detta område ingår ett särskilt tvistlösningsförfarande som administreras och övervakas av nämnden för skydd av personuppgifter och som upprättades för enskilda i EU vars personuppgifter överförs på grundval av beslutet om adekvat skyddsnivå 10 .

Vid tidpunkten för antagandet av kommissionens beslut om adekvat skyddsnivå antog Japan ett likvärdigt beslut om överföring av uppgifter till EU, vilket skapade världens största område med fria dataflöden baserat på en hög dataskyddsnivå 11 . Dessa ömsesidiga beslut om adekvat skyddsnivå kompletterar och förstärker fördelarna med avtalet om ekonomiskt partnerskap mellan EU och Japan, som trädde i kraft i februari 2019 12 , och det strategiska partnerskapsavtal 13 som förhandlades fram tillsammans med avtalet om ekonomiskt partnerskap. Företag i både EU och Japan drar nytta av synergieffekterna mellan de ömsesidiga besluten om adekvat skyddsnivå och avtalet om ekonomiskt partnerskap, eftersom möjligheten till fria dataflöden mellan EU och Japan ytterligare underlättar kommersiella utbyten och skapar betydande affärsmöjligheter genom privilegierat tillträde till respektive marknad. Det skapar också ett viktigt prejudikat genom att tydligt visa att det i den digitala eran kan och måste gå hand i hand att främja en hög skyddsnivå för personuppgifter och underlätta internationell handel.

Sedan besluten om adekvat skyddsnivå antogs har EU och Japan, som likasinnade partner, ytterligare intensifierat samarbetet i digitala frågor i allmänhet och dataflöden i synnerhet. På bilateral nivå återspeglas detta särskilt i ingåendet av det digitala partnerskapet i maj 2022 14 och inledandet i oktober 2022 av förhandlingar om att inkludera discipliner för gränsöverskridande dataflöden i avtalet om ekonomiskt partnerskap 15 , vilket kommer att ytterligare stärka synergin med den ömsesidiga överenskommelsen om adekvat skyddsnivå. På multilateral nivå har EU och Japan anslutit sig till insatserna för att främja, stärka och tillämpa konceptet ”fria dataflöden med förtroende” (”Data Free Flow with Trust”) – som lanserades av den framlidne premiärministern Shinzo Abe – bland annat genom nära samarbete inom ramen för G7, Världshandelsorganisationen (inom ramen för det gemensamma uttalandet om e-handel) och Organisationen för ekonomiskt samarbete och utveckling (OECD). I OECD var det intensiva samarbetet mellan EU och Japan i dessa frågor i synnerhet avgörande för att man för första gången någonsin på internationell nivå antog gemensamma principer om myndigheters tillgång till personuppgifter som innehas av den privata sektorn 16 . Dessa olika arbetsflöden förlitade sig alla mer eller mindre på de gemensamma värderingar och krav som ligger till grund för den ömsesidiga överenskommelsen mellan EU och Japan om adekvat skyddsnivå.

För att regelbundet kontrollera att resultaten av beslutet om adekvat skyddsnivå fortfarande är sakligt och rättsligt motiverade måste kommissionen genomföra en regelbunden översyn och rapportera om resultatet till Europaparlamentet och rådet 17 . Denna rapport, som omfattar alla aspekter av tillämpningen av beslutet, avslutar den första regelbundna översynen. På den japanska sidan deltog företrädare för nämnden för skydd av personuppgifter, inrikes- och kommunikationsministeriet, justitieministeriet, försvarsministeriet och den nationella polismyndigheten i översynen. EU-delegationen bestod av tre företrädare som utsetts av Europeiska dataskyddsstyrelsen samt ledamöter av Europeiska kommissionen.

Ett översynsmöte mellan de två delegationerna ägde rum den 26 oktober 2021, och mötet föregicks och följdes upp av ett stort antal diskussioner. För att förbereda översynen samlade kommissionen särskilt in information från de japanska myndigheterna om tillämpningen av beslutet, i synnerhet genomförandet av tilläggsreglerna. Kommissionen inhämtade också information från offentliga källor och lokala experter om tillämpningen av beslutet och om relevant utveckling av japansk lagstiftning och praxis, både när det gäller de dataskyddsregler som är tillämpliga på privata aktörer och med hänsyn till myndigheternas tillgång till uppgifter. Efter översynsmötet hade kommissionen och nämnden för skydd av personuppgifter flera samtal för att följa upp de punkter som diskuterades vid mötet, särskilt de frågor som togs upp genom införandet av regler om pseudonymiserad personlig information i personuppgiftslagen.

2.HUVUDSAKLIGA RESULTAT

De detaljerade slutsatserna om hur tillämpningen av alla aspekter av beslutet om adekvat skyddsnivå fungerar presenteras i det arbetsdokument från kommissionens avdelningar (SWD(2023) 75) som åtföljer denna rapport.

I synnerhet har den första översynen visat att EU:s och Japans ramar för uppgiftsskydd har konvergerat ytterligare sedan besluten om ömsesidig adekvat skyddsnivå antogs. Personuppgiftslagen ändrades vid två tillfällen: den 5 juni 2020, genom ändringsakten till personuppgiftslagen från 2020 (2020 års ändring av personuppgiftslagen), som trädde i kraft den 1 april 2022 18 ; och den 12 maj 2021 genom lagen om arrangemang av närstående akter för bildandet av ett digitalt samhälle (2021 års ändring av personuppgiftslagen) 19 . Tilläggsreglerna anpassades för att återspegla dessa ändringar i samråd med kommissionen.

Dessa ändringar har fört EU:s och Japans system ännu närmare varandra, särskilt genom att stärka skyldigheterna i fråga om datasäkerhet (genom införandet av en skyldighet att anmäla uppgiftsincidenter), registrerades rättigheter (särskilt rätten till tillgång och rätten att invända) och det skydd som ges vid dataöverföringar (i form av ytterligare informations- och övervakningskrav, inklusive information om eventuella risker med anknytning till myndigheternas tillgång i mottagarlandet). I detta sammanhang är det särskilt värt att notera att vissa av de kompletterande skyddsåtgärder som föreskrivs i tilläggsreglerna för personuppgifter som kommer från EU, dvs. när det gäller lagring av uppgifter och villkoren för informerat samtycke för gränsöverskridande överföringar, har införlivats i personuppgiftslagen, vilket gör dem allmänt tillämpliga på alla personuppgifter, oavsett ursprung eller insamlingsställe 20 .

En annan viktig utveckling som kommissionen välkomnar är omarbetningen av personuppgiftslagen till en omfattande dataskyddsram som omfattar både den privata och den offentliga sektorn, som övervakas av nämnden för skydd av personuppgifters 21 . Denna ytterligare förstärkning av den japanska dataskyddsramen och av befogenheterna för nämnden för skydd av personuppgifter kan bana väg för en utvidgning av beslutet om adekvat skyddsnivå utöver kommersiellt utbyte till att även omfatta överföringar som för närvarande inte omfattas, på områden som regleringssamarbete och forskning.

Den första översynen inriktades också på nya regler för skapande och användning av s.k. pseudonymiserad personlig information vilka infördes genom 2020 års ändring av personuppgiftslagen 22 . Syftet med dessa nya regler är i huvudsak att underlätta (intern) användning av personlig information vid företag som huvudsakligen hanterar personlig information för statistiska ändamål (t.ex. för att identifiera trender och mönster i syfte att främja ytterligare verksamhet, inbegripet forskning). Översynsmötet och senare samtal mellan kommissionen och nämnden för skydd av personuppgifter gjorde det möjligt att klargöra tolkningen och tillämpningen av dessa nya bestämmelser. Som ett resultat av dessa diskussioner ändrades tilläggsreglerna den 15 mars 2023 23 på två sätt, i syfte att tydligare återspegla den avsedda tillämpningen av dessa nya bestämmelser och därmed säkerställa rättssäkerhet och öppenhet. För det första föreskrivs det i tilläggsreglerna att sådan information endast får användas för statistiska ändamål – definierat som bearbetning för statistiska undersökningar eller framställning av statistiska resultat – för att framställa aggregerade uppgifter, och att resultatet av behandlingen inte kommer att användas till stöd för åtgärder eller beslut som rör enskilda. För det andra klargör de att pseudonymiserad personlig information som ursprungligen mottagits från EU alltid kommer att betraktas som ”personlig information” enligt personuppgiftslagen, för att säkerställa att kontinuiteten i skyddet av uppgifter som betraktas som personuppgifter enligt dataskyddsförordningen inte undergrävs när de överförs på grundval av beslutet om adekvat skyddsnivå 24 .

När det gäller genomförandet av dataskyddsgarantier i praktiken välkomnar kommissionen olika åtgärder som vidtagits av nämnden för skydd av personuppgifter. Detta inbegriper antagandet av uppdaterade riktlinjer, bl.a. om internationella dataöverföringar. Kommissionen noterar att dessa riktlinjer kan förtydligas för att även ta upp de särskilda krav som gäller enligt tilläggsreglerna för vidare överföringar från Japan av personuppgifter som erhållits från unionen, inbegripet – enligt tilläggsregel 4 och som förklaras i beslutet om adekvat skyddsnivå 25 – uteslutandet av vidare överföringar på grundval av Apecs certifieringssystem för gränsöverskridande integritetsskyddsregler. Även om nämnden för skydd av personuppgifter har förklarat att näringsidkare som hanterar personlig information utformar vidare överföringar av uppgifter som ursprungligen mottagits från EU ”genom att ingå ett avtal som binder mottagaren till åtgärder som säkerställer kontinuiteten i skyddet”, ger nämnden inte för närvarande vägledning om det rekommenderade innehållet (när det rör skyddsåtgärder) avseende ”motsvarande åtgärder” som används för internationella dataöverföringar, vare sig i form av riktlinjer eller av mallar för dataskyddsavtal. Dessa ytterligare förtydliganden, som framför allt skulle kunna baseras på utbyte av information och bästa praxis mellan nämnden för skydd av personuppgifter och kommissionen, skulle kunna vara särskilt användbara eftersom de rör aspekter som är särskilt relevanta för företag som är verksamma i båda jurisdiktionerna.

När det gäller tillsyn och verkställighet noterar kommissionen att nämnden för skydd av personuppgifter har utnyttjat sina icke-tvingande befogenheter att vägleda och ge råd (artikel 147 i personuppgiftslagen) i högre grad än sina tvingande befogenheter (t.ex. att införa bindande beslut, artikel 148 i personuppgiftslagen) under perioden efter antagandet av beslutet om adekvat skyddsnivå. Nämnden för skydd av personuppgifter rapporterade också att inga klagomål rörande efterlevnaden av tilläggsreglerna hittills har inkommit, och att inga undersökningar av sådana frågor har genomförts på nämndens eget initiativ. Under översynsmötet meddelade dock nämnden att man överväger att på eget initiativ genomföra slumpmässiga kontroller för att säkerställa efterlevnaden av tilläggsreglerna. Kommissionen välkomnar detta tillkännagivande, eftersom den anser att sådana slumpmässiga kontroller skulle vara mycket viktiga för att säkerställa att (möjliga) överträdelser av tilläggsreglerna förhindras, upptäcks och åtgärdas, och därigenom säkerställa en effektiv efterlevnad av dessa regler. Eftersom 2020 och 2021 års ändringar av personuppgiftslagen har stärkt tillsynsbefogenheterna för nämnden för skydd av personuppgifter, kan dessa slumpmässiga kontroller utgöra en del av en övergripande insats för att öka användningen av dessa befogenheter.

Slutligen välkomnar kommissionen varmt inrättandet av särskilda kontaktpunkter för enskilda i EU som har frågor eller farhågor om behandlingen av deras personuppgifter i Japan, oavsett om det rör sig om kommersiella aktörer (frågelinje) eller offentliga myndigheter (medlingslinje ang. klagomål). Samtidigt noterar kommissionen att webbsidan om frågelinjen anger att den är tillgänglig ”endast på japanska”, vilket sannolikt kommer att avskräcka enskilda i EU från att använda denna tjänst, även om nämnden för skydd av personuppgifter har förklarat att det i princip finns stöd på engelska. Kommissionen uppfattar det som att nämnden kommer att överväga olika sätt att underlätta tillgången till sådana kontaktpunkter för européer, bl.a. genom att klargöra den punkten.

3.SLUTSATS

På grundval av de övergripande resultaten av denna första översyn drar kommissionen slutsatsen att Japan fortsättningsvis säkerställer en adekvat skyddsnivå för personuppgifter som överförs från Europeiska unionen till näringsidkare som hanterar personlig information i Japan i enlighet med personuppgiftslagen, kompletterad med tilläggsreglerna, tillsammans med de officiella framställningar, utfästelser och åtaganden som återfinns i bilaga II till beslutet. I detta sammanhang noterar och värdesätter kommissionens avdelningar det utmärkta samarbetet med de japanska myndigheterna och i synnerhet nämnden för skydd av personuppgifter under arbetet med översynen.

Mot bakgrund av detta resultat av översynen och i enlighet med skäl 181 i beslutet om adekvat skyddsnivå anser kommissionen att det inte finns något behov av att bibehålla tvåårscykeln för framtida översyner och anser därför att det är lämpligt att gå över till en fyraårscykel i enlighet med artikel 45.3 i dataskyddsförordningen. Kommissionen kommer därför att samråda om denna punkt med den kommitté som inrättats enligt artikel 93.1 i dataskyddsförordningen 26 .

Samtidigt skulle en förstärkning av vissa aspekter av den japanska ramen kunna bidra till att ytterligare förbättra skyddsåtgärderna i personuppgiftslagen och tilläggsreglerna. Kommissionen avger därför följande rekommendationer:

1.Kommissionen välkomnar och uppmuntrar vidare nämnden för skydd av personuppgifters planerade användning av slumpmässiga kontroller för att säkerställa efterlevnaden av tilläggsreglerna. Kommissionen anser att sådana slumpmässiga kontroller skulle vara mycket viktiga för att säkerställa att (potentiella) överträdelser av tilläggsreglerna upptäcks och åtgärdas, så att en effektiv efterlevnad av dessa regler säkerställs.

2.Kommissionen välkomnar att nämnden har offentliggjort uppdaterade riktlinjer om internationella överföringar, eftersom de kommer att öka tillgängligheten till reglerna i personuppgiftslagen på detta område och göra dessa regler mer användarvänliga. Dessa riktlinjer (eller annat vägledande material) bör också, där så är relevant, förklara de särskilda krav som följer av tilläggsreglerna, inbegripet vad gäller uteslutandet vidare överföring av personuppgifter som ursprungligen erhållits från EU på grundval av Apecs certifieringssystem för gränsöverskridande integritetsskyddsregler.

3.Under översynen diskuterades hur nämndens fråge-/medlingslinje för frågor och klagomål från enskilda personer kunde göras mer tillgänglig för utlänningar. I detta sammanhang skulle det vara viktigt att på den särskilda webbplatsen klargöra att språkstöd på engelska i princip är tillgängligt.

Genom översynen kunde man också identifiera områden för eventuellt framtida samarbete. Nämnden ger för närvarande inte vägledning om det rekommenderade innehållet (när det rör skyddsåtgärder) avseende ”motsvarande åtgärder” som används för internationella dataöverföringar, vare sig i form av riktlinjer eller mallar för dataskyddsavtal. Med tanke på den ökande betydelsen av mallklausuler och deras potential som ett globalt verktyg för dataöverföring, vilket t.ex. konstaterats av G7 27 och OECD 28 , har kommissionen uttryckt ett intresse för framtida samarbete med Japan vid utarbetandet av sådana klausuler. Utvidgningen av tillämpningsområdet för beslutet om adekvat skyddsnivå utöver överföringar mellan kommersiella aktörer är ett annat område som kommissionen har för avsikt att undersöka tillsammans med nämnden.

Kommissionen kommer att fortsätta att noga övervaka den japanska dataskyddsramen och den faktiska praxisen. I detta avseende ser kommissionen fram emot framtida samtal med de japanska myndigheterna om den utveckling som är relevant för beslutet 29 samt ytterligare stärkt samarbete på internationell nivå i en tid då efterfrågan på globala standarder för integritet och dataflöden ökar.

(1)      EUT L 119, 4.5.2016, s. 1.
(2)      I den version av personuppgiftslagen som gällde vid den tidpunkt då beslutet om adekvat skyddsnivå antogs kallades detta begrepp ”näringsidkare som hanterar personlig information”. Ett företag som hanterar personlig information definieras i artikel 16.2 i den ändrade japanska lagen om skydd av personuppgifter som ”en person som använder en databas för personlig information eller motsvarande i näringsverksamhet”, med undantag för statliga myndigheter och förvaltningsorgan på både central och lokal nivå. Begreppet ”näringsverksamhet” i personuppgiftslagen är mycket brett och omfattar inte bara vinstdrivande utan även ideell verksamhet som bedrivs av alla slags organisationer och enskilda. Vidare omfattar ”användning i näringsverksamhet” även personlig information som inte används i näringsidkarens (externa) affärsförbindelser, utan internt, t.ex. i behandlingen av uppgifter om anställda. Se skälen 32–34 i beslutet.
(3)      Kommissionens genomförandebeslut (EU) 2019/419 av den 23 januari 2019 enligt Europaparlamentets och rådets förordning (EU) 2016/679 om Japans adekvata skyddsnivå för personuppgifter enligt lagen om skydd av personuppgifter (EUT L 76, 19.3.2019, s. 1).
(4)      Se artikel 45 i dataskyddsförordningen och skäl 5 i beslutet.
(5)      Se bilaga I till beslutet.
(6)

     Under tiden har 2020 års ändring av personuppgiftslagen reviderat definitionen av ”personuppgifter som företaget innehar” så att definitionen inte längre utesluter de personuppgifter som ”ska raderas” inom en period av sex månader (artikel 16.4 i den ändrade personuppgiftslagen). I den version av personuppgiftslagen som gällde vid den tidpunkt då beslutet om adekvat skyddsnivå antogs kallades detta begrepp ”lagrade personuppgifter”.

(7)      Skälen 26, 31, 43, 49–51, 63, 68, 71, 76–79 och 101 i beslutet.
(8)      Skäl 15 i beslutet.
(9)      Skälen 113–170 och bilaga II till beslutet.
(10)      Skälen 141–144, 149 och 169 i beslutet.
(11)      Se pressmeddelandet som utfärdades efter det att dessa samtal avslutats, som finns på https://ec.europa.eu/commission/presscorner/detail/sv/IP_18_4501 .
(12)      Rådets beslut (EU) 2018/1907 av den 20 december 2018 om ingående av avtalet om ekonomiskt partnerskap mellan Europeiska unionen och Japan (EUT L 330, 27.12.2018, s. 1). Avtalet om ekonomiskt partnerskap minskar de handelshinder som europeiska företag möter när de exporterar till Japan och hjälper dem att konkurrera bättre på denna marknad.
(13)      Strategiskt partnerskapsavtal mellan Europeiska unionen och dess medlemsstater, å ena sidan, och Japan, å andra sidan (EUT L 216, 24.8.2018, s. 4). Det strategiska partnerskapsavtalet tillhandahåller den rättsliga ramen för att vidareutveckla det redan långvariga och starka partnerskapet mellan unionen, dess medlemsstater och Japan på en rad olika områden, däribland politisk dialog, energi, transport, mänskliga rättigheter, utbildning, vetenskap och teknik, rättsliga frågor, asyl och migration.
(14)      Finns på https://www.consilium.europa.eu/media/56091/%E6%9C%80%E7%B5%82%E7%89%88-jp-eu-digital-partnership-clean-final-docx.pdf . Det digitala partnerskapet skapar ett forum som kommer att ge politisk styrning och drivkraft för gemensamt arbete med digital teknik på områden som t.ex. säker 5G-teknik, ”Bortom 5G”-/6G-teknik, säkra och etiska tillämpningar av artificiell intelligens eller de globala leveranskedjornas motståndskraft inom halvledarindustrin.
(15)      Se t.ex. https://policy.trade.ec.europa.eu/news/eu-and-japan-start-negotiations-include-rules-cross-border-data-flows-their-economic-partnership-2022-10-07_en .
(16)      OECD:s förklaring av den 14 december 2022 om myndigheters tillgång till personuppgifter som lagras av enheter i den privata sektorn.
(17)      Skälen 180–183 och artikel 3.4 i beslutet.
(18)      En engelsk översättning finns på https://www.ppc.go.jp/files/pdf/APPI_english.pdf .
(19)      En engelsk översättning finns på https://www.japaneselawtranslation.go.jp/ja/laws/view/4241 .
(20)      Artiklarna 16.4 och 28.2 i den ändrade personuppgiftslagen.
(21)      I synnerhet konsoliderar 2021 års ändring av personuppgiftslagen denna lag, lagen om skydd av personuppgifter som innehas av förvaltningsorgan och lagen om skydd av personuppgifter som innehas av registrerade förvaltningsorgan osv. till en enda dataskyddslag som gäller för både privata enheter och offentliga myndigheter, samtidigt som behörigheten för nämnden för skydd av personuppgifter utvidgas i enlighet med detta. Denna ändring trädde i kraft den 1 april 2023, efter det att delar av den trädde i kraft den 1 september 2021 och den 1 april 2022.
(22)      Pseudonymiserad personlig information definieras i den ändrade personuppgiftslagen som information om en person som kan ”prepareras på ett sätt som gör det omöjligt att identifiera en viss person om informationen inte sammanställs med annan information” genom åtgärder som fastställs i lagen och specificeras i genomförandereglerna. Se artiklarna 16.5 och 41 i den ändrade personuppgiftslagen.
(23)

     De reviderade tilläggsreglerna antogs av nämnden för skydd av personuppgifter den 15 mars 2023 och trädde i kraft den 1 april 2023.

(24)      Detta utesluter tillämpningen av artikel 42 i den ändrade personuppgiftslagen, som endast bevarar ett begränsat antal skyddsåtgärder för pseudonymiserad personlig information som inte betraktas som personlig information.
(25)

Se skäl 79 i beslutet.

(26)      Se skäl 181 i beslutet.
(27)      Se ministerförklaringen från mötet mellan G7-ländernas ministrar med ansvar för digitala frågor den 11 maj 2022, bilaga 1 (G7-handlingsplan för att främja ”fria dataflöden med förtroende” (”Data Free Flow with Trust”)), där det i avsnittet om att bygga vidare på gemensamma beröringspunkter för att främja framtida interoperabilitet (”Building on commonalities in order to foster future interoperability”) hänvisas till ökande gemensam praxis som t.ex. standardavtalsklausuler.
(28)      Se OECD Going Digital Toolkit, Interoperability of privacy and data protection frameworks (finns på https://goingdigital.oecd.org/data/notes/No21_ToolkitNote_PrivacyDataInteroperability.pdf ), s. 18.
(29)      Se skäl 177 i beslutet, enligt vilket de japanska myndigheterna förväntas informera kommissionen om väsentliga förändringar som är relevanta för detta beslut, både avseende näringsidkares behandling av personuppgifter och de begränsningar och säkerheter som gäller offentliga myndigheters tillgång till personuppgifter.
Top