Bruxelles, den 3.4.2023

COM(2023) 275 final

RAPPORT FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET

om den første revision af, hvordan afgørelsen om Japans tilstrækkelige beskyttelsesniveau fungerer

{SWD(2023) 75 final}


RAPPORT FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET

om den første revision af, hvordan afgørelsen om Japans tilstrækkelige beskyttelsesniveau fungerer

1.DEN FØRSTE REVISION — BAGGRUND, FORBEREDELSE OG PROCES

Den 23. januar 2019 vedtog Kommissionen en afgørelse i henhold til artikel 45 i forordning (EU) 2016/679 (GDPR) 1 , hvori den fastslog, at Japan har et tilstrækkeligt beskyttelsesniveau for personoplysninger, der overføres fra Den Europæiske Union til virksomheder, der håndterer personoplysninger 2 i Japan 3 . Som følge heraf kan dataoverførsler fra EU til private virksomheder i Japan finde sted uden yderligere krav 4 .

Kommissionens afgørelse om tilstrækkeligheden af beskyttelsesniveauet omfatter den japanske lov om beskyttelse af personoplysninger (APPI) som suppleret med yderligere regler, der blev indført for at bygge bro over visse relevante forskelle mellem APPI og GDPR 5 . Disse yderligere garantier styrker f.eks. beskyttelsen af følsomme oplysninger (ved at udvide kategorierne af personoplysninger, der betragtes som følsomme oplysninger), udøvelsen af individuelle rettigheder (ved at præcisere, at individuelle rettigheder også kan udøves for personoplysninger, der opbevares i en kortere periode end seks måneder, hvilket på daværende tidspunkt ikke var tilfældet i henhold til APPI) 6 , og betingelserne for yderligere overførsel ("videregivelse") af EU-oplysninger fra Japan til et andet tredjeland 7 . De supplerende regler er bindende for japanske erhvervsdrivende og kan håndhæves af den uafhængige databeskyttelsesmyndighed — kommissionen for beskyttelse af personoplysninger (PPC) eller direkte af enkeltpersoner i EU ved de japanske domstole 8 .

Den japanske regering gav endvidere Kommissionen officielle redegørelser, forsikringer og tilsagn vedrørende begrænsningerne og garantierne med hensyn til de japanske offentlige myndigheders adgang til og anvendelse af personoplysninger med henblik på strafferetlig håndhævelse og national sikkerhed, idet den præciserede, at en sådan behandling er begrænset til, hvad der er nødvendigt og rimeligt og underlagt uafhængigt tilsyn og effektive klagemekanismer 9 . Klagemekanismerne på dette område omfatter en specifik tvistbilæggelsesprocedure, der forvaltes og overvåges af PPC, og som blev oprettet for EU-borgere, hvis personoplysninger overføres på grundlag af afgørelsen om tilstrækkeligheden af beskyttelsesniveauet 10 .

På tidspunktet for vedtagelsen af Kommissionens afgørelse om tilstrækkeligheden af beskyttelsesniveauet vedtog Japan en afgørelse om ækvivalens vedrørende dataoverførsler til EU, som skabte verdens største område med frie datastrømme baseret på et højt databeskyttelsesniveau 11 . Disse gensidige afgørelser om tilstrækkeligheden af beskyttelsesniveauet supplerer og forstærker fordelene ved den økonomiske partnerskabsaftale (ØPA) mellem EU og Japan, der trådte i kraft i februar 2019 12 , og den strategiske partnerskabsaftale 13 , der blev forhandlet sammen med ØPA'en. Virksomheder på begge sider drager fordel af synergien mellem de gensidige afgørelser om tilstrækkeligheden af beskyttelsesniveauet og ØPA'en, da muligheden for, at data kan strømme frit mellem EU og Japan, letter udveksling af oplysninger i kommercielle henseender yderligere og skaber betydelige forretningsmuligheder gennem privilegeret adgang til hinandens marked. Den skaber også en vigtig præcedens ved klart at vise, at fremme af høje standarder for privatlivets fred og fremme af international handel i den digitale tidsalder kan og skal gå hånd i hånd.

Siden vedtagelsen af afgørelserne om tilstrækkeligheden af beskyttelsesniveauet har EU og Japan som ligesindede partnere yderligere intensiveret deres samarbejde om digitale spørgsmål generelt og datastrømme i særdeleshed. På bilateralt plan afspejles dette navnlig i indgåelsen af det digitale partnerskab i maj 2022 14 og indledningen i oktober 2022 af forhandlinger om at medtage bestemmelser om grænseoverskridende datastrømme i ØPA'en 15 , hvilket yderligere vil øge synergien med den gensidige tilstrækkelighedsordning. På multilateralt plan har EU og Japan gjort en fælles indsats for at fremme, styrke og operationalisere begrebet "Data Free Flow with Trust", der blev lanceret af den afdøde premierminister Shinzo Abe, herunder gennem et tæt samarbejde inden for rammerne af G7, Verdenshandelsorganisationen (inden for rammerne af initiativet om den fælles erklæring om e-handel) og Organisationen for Økonomisk Samarbejde og Udvikling (OECD). I OECD var det intensive samarbejde mellem EU og Japan om disse spørgsmål navnlig medvirkende til, at der for første gang nogensinde på internationalt plan blev vedtaget fælles principper for offentlig adgang til personoplysninger, som den private sektor er i besiddelse af 16 . Disse forskellige arbejdsgange byggede alle, i større eller mindre grad, på de fælles værdier og krav, der ligger til grund for den gensidige tilstrækkelighedsordning mellem EU og Japan.

For regelmæssigt at kontrollere, at konklusionerne i afgørelsen om tilstrækkeligheden af beskyttelsesniveauet fortsat er faktuelt og juridisk begrundede, er Kommissionen forpligtet til regelmæssigt at foretage en revision og aflægge rapport om resultatet til Europa-Parlamentet og Rådet 17 . Denne rapport, som dækker alle aspekter af, hvordan afgørelsen fungerer, afslutter den første periodiske revision. Fra japansk side deltog repræsentanter for PPC, ministeriet for indre anliggender og kommunikation, justitsministeriet, forsvarsministeriet og det nationale politiagentur i revisionen. EU-delegationen omfattede tre repræsentanter udpeget af Databeskyttelsesrådet sammen med medlemmer af Kommissionen.

Der blev afholdt et revisionsmøde mellem de to delegationer den 26. oktober 2021, og der fandt adskillige udvekslinger sted både inden og efterfølgende. For at forberede revisionen indsamlede Kommissionen navnlig oplysninger fra de japanske myndigheder om, hvordan afgørelsen fungerede, navnlig om gennemførelsen af de supplerende regler. Kommissionen indhentede også oplysninger fra offentlige kilder og lokale eksperter om, hvordan afgørelsen fungerede, og om den relevante udvikling i japansk lovgivning og praksis, både med hensyn til de databeskyttelsesregler, der gælder for private erhvervsdrivende, og med hensyn til statslig adgang. Efter revisionsmødet havde Kommissionen og PPC flere udvekslinger for at følge op på punkter, der blev drøftet på mødet, og navnlig behandle de spørgsmål, der blev rejst i forbindelse med indførelsen i APPI af regler om pseudonymiserede personoplysninger.

2.VIGTIGSTE RESULTATER

De detaljerede resultater vedrørende, hvordan alle aspekter af afgørelsen om tilstrækkeligheden af beskyttelsesniveauet fungerer, findes i arbejdsdokumentet fra Kommissionens tjenestegrene (SWD(2023) 75), som ledsager denne rapport.

Den første revision har navnlig vist, at EU's og Japans databeskyttelsesrammer har nærmet sig hinanden yderligere siden vedtagelsen af de gensidige afgørelser om tilstrækkeligheden af beskyttelsesniveauet. APPI'en er blevet ændret to gange: den 5. juni 2020 ved loven om ændring af loven om beskyttelse af personlige oplysninger 2020 (APPI-ændring 2020), der trådte i kraft den 1. april 2022 18 og den 12. maj 2021 gennem loven om ordningen for relaterede retsakter til fremme af et digitalt samfund (APPI-ændring 2021) 19 . De supplerende regler blev tilpasset for at afspejle disse ændringer i samråd med Kommissionen.

Disse ændringer har bragt EU's og Japans systemer endnu tættere, navnlig ved at styrke datasikkerhedsforpligtelserne (gennem indførelse af en pligt til at anmelde brud på datasikkerheden), registreredes rettigheder (navnlig retten til indsigt og retten til indsigelse) og den beskyttelse, der ydes i forbindelse med dataoverførsler (i form af yderligere krav om oplysninger og overvågning, herunder oplysninger om mulige risici i forbindelse med statslig adgang i bestemmelseslandet). I denne forbindelse er det særlig værd at bemærke, at nogle af de yderligere garantier, der er fastsat i de supplerende regler for personoplysninger fra EU, dvs. med hensyn til lagring af data og betingelserne for informeret samtykke i forbindelse med grænseoverskridende overførsler, er blevet indarbejdet i APPI, hvilket betyder, at de finder generel anvendelse på alle personoplysninger, uanset deres oprindelse eller indsamlingssted 20 .

En anden vigtig udvikling, som Kommissionen glæder sig over, er omdannelsen af APPI til en omfattende databeskyttelsesramme, der omfatter både den private og den offentlige sektor, og som er underlagt PPC's eneretlige tilsyn 21 . Denne yderligere styrkelse af den japanske databeskyttelsesramme og PPC's beføjelser kan bane vejen for en udvidelse af afgørelsen om tilstrækkeligheden af beskyttelsesniveauet ud over udveksling af oplysninger til kommercielle formål til også at omfatte overførsler, der i øjeblikket ikke er omfattet af dens anvendelsesområde, f.eks. inden for reguleringssamarbejde og forskning.

I den første revision blev der også fokuseret på nye regler om oprettelse og anvendelse af "pseudonymiserede personoplysninger", som blev indført med APPI-ændringen i 2020 22 . Formålet med disse nye regler er hovedsagelig at gøre det lettere at anvende personoplysninger (internt) for virksomheder, der primært håndterer personoplysninger til statistiske formål (f.eks. for at kortlægge tendenser og mønstre til gavn for yderligere aktiviteter, herunder forskning). Revisionsmødet og de efterfølgende udvekslinger mellem Kommissionen og PPC gjorde det muligt at præcisere fortolkningen og anvendelsen af disse nye bestemmelser. Som følge af disse drøftelser blev de supplerende regler den 15. marts 2023 ændret på to måder med henblik på mere klart at afspejle den påtænkte anvendelse af disse nye bestemmelser og dermed sikre retssikkerhed og gennemsigtighed 23 . For det første bestemmer de supplerende regler, at sådanne oplysninger kun må anvendes til statistiske formål — defineret som behandling til statistiske undersøgelser eller udarbejdelse af statistiske resultater — til at udarbejde aggregerede data, og at resultatet af behandlingen ikke vil blive anvendt til støtte for foranstaltninger eller beslutninger vedrørende en bestemt person. For det andet gør de det klart, at pseudonymiserede personoplysninger, der oprindeligt blev modtaget fra EU, altid vil blive betragtet som "personoplysninger" i henhold til APPI for at sikre, at kontinuiteten i beskyttelsen af data, der betragtes som personoplysninger i henhold til GDPR, ikke undergraves, når de overføres på grundlag af afgørelsen om tilstrækkeligheden af beskyttelsesniveauet 24 .

Med hensyn til gennemførelsen af databeskyttelsesgarantier i praksis glæder Kommissionen sig over de forskellige skridt, som PPC har taget. Dette omfatter vedtagelse af ajourførte retningslinjer, herunder om internationale dataoverførsler. Kommissionen bemærker, at disse retningslinjer kan præciseres for også at tage højde for de specifikke krav, der gælder i henhold til de supplerende regler for videreoverførsel fra Japan af personoplysninger modtaget fra Unionen, herunder — som det fremgår af supplerende regel (4) og forklaret i afgørelsen om tilstrækkeligheden af beskyttelsesniveauet 25 — udelukkelsen af videreoverførsler baseret på APEC's certificeringsordning for grænseoverskridende databeskyttelsesregler. Herudover skal det bemærkes, at selv om PPC har forklaret, at erhvervsdrivende, der håndterer personoplysninger (PIHBO'er) tilrettelægger deres videregivelse af oplysninger, der oprindeligt var modtaget fra EU, "ved at indgå en kontrakt, der forpligter modtageren til foranstaltninger, der sikrer kontinuiteten i beskyttelsen", giver PPC i øjeblikket ingen vejledning om det anbefalede indhold (med hensyn til garantier) af "tilsvarende foranstaltninger", der anvendes til internationale dataoverførsler, det være sig i form af retningslinjer eller standardkontrakter om databeskyttelse. Disse yderligere præciseringer, som navnlig kunne baseres på udveksling af oplysninger og bedste praksis mellem PPC og Kommissionen, kunne være særligt nyttige, da de vedrører aspekter, som er særligt relevante for virksomheder, der opererer i begge jurisdiktioner.

Med hensyn til tilsyn og håndhævelse bemærker Kommissionen, at PPC har gjort mere brug af sine ikketvangsmæssige beføjelser til vejledning og rådgivning (artikel 147 i APPI) end sine tvangsbeføjelser (f.eks. til at pålægge bindende påbud, artikel 148 i APPI) i perioden efter vedtagelsen af afgørelsen om tilstrækkeligheden af beskyttelsesniveauet. PPC rapporterede også, at der til dato ikke er modtaget nogen klager vedrørende overholdelsen af de supplerende regler, og at der ikke er foretaget undersøgelser af sådanne spørgsmål på PPC's eget initiativ. På revisionsmødet meddelte PPC imidlertid, at den overvejer på eget initiativ at foretage stikprøvekontrol for at sikre, at de supplerende regler overholdes. Kommissionen glæder sig over denne meddelelse, da den mener, at en sådan stikprøvekontrol vil være meget vigtig for at sikre, at (mulige) overtrædelser af de supplerende regler forebygges, afsløres og afhjælpes, hvorved den effektive overholdelse af disse regler sikres. Da ændringerne af APPI i 2020 og 2021 har styrket PPC's tilsynsbeføjelser, kan disse stikprøvekontroller indgå i en samlet indsats for at øge anvendelsen af sådanne beføjelser.

Endelig glæder Kommissionen sig meget over oprettelsen af særlige kontaktpunkter for EU-borgere, der har spørgsmål eller bekymringer vedrørende behandlingen af deres personoplysninger i Japan, hvad enten det er af erhvervsdrivende (forespørgselskontaktpunkt) eller offentlige myndigheder (klagekontaktpunkt). Den bemærker dog samtidig, at websiden for forespørgselskontaktpunktet angiver, at den er tilgængelig på "japansk", hvilket sandsynligvis vil afskrække EU-borgere fra at gøre brug af denne facilitet, selv om PPC forklarede, at engelsk bistand i princippet er tilgængelig. Kommissionen forstår, at PPC vil overveje, hvordan det kan gøres lettere at få adgang til sådanne kontaktpunkter for europæerne, herunder ved at præcisere dette punkt.

3.KONKLUSION

På grundlag af de overordnede konklusioner, der blev draget som led i denne første revision, konkluderer Kommissionen, at Japan fortsat sikrer et tilstrækkeligt beskyttelsesniveau for personoplysninger fra Den Europæiske Union til erhvervsdrivende, der håndterer personoplysninger i Japan, og som er omfattet af APPI som suppleret af de supplerende regler sammen med de officielle redegørelser, forsikringer og tilsagn i bilag II til afgørelsen. I denne forbindelse anerkender og værdsætter Kommissionens tjenestegrene i høj grad det fremragende samarbejde med de japanske myndigheder og navnlig PPC i forbindelse med revisionen.

I lyset af dette resultat af revisionen og i overensstemmelse med betragtning 181 i afgørelsen om tilstrækkeligheden af beskyttelsesniveauet finder Kommissionen, at der ikke er behov for at opretholde den toårige cyklus for fremtidige revisioner, og mener derfor, at det er hensigtsmæssigt at gå over til en fireårig cyklus i henhold til artikel 45, stk. 3, i GDPR. Den vil derfor høre det udvalg, der er nedsat i henhold til artikel 93, stk. 1, i GDPR 26 .

Samtidig kan styrkelsen af visse aspekter af den japanske ramme bidrage til yderligere at forbedre de garantier, der er fastsat i APPI og de supplerende regler. Med henblik herpå fremsætter Kommissionen følgende anbefalinger:

1.Kommissionen glæder sig over og tilskynder PPC til fortsat at anvende stikprøvekontroller for at sikre, at de supplerende regler overholdes. Udvalget mener, at en sådan stikprøvekontrol vil være meget vigtig for at sikre, at (potentielle) overtrædelser af de supplerende regler afsløres og tackles, hvorved der sikres en effektiv overholdelse af disse regler.

2.Kommissionen glæder sig over, at PPC har offentliggjort ajourførte retningslinjer for internationale overførsler, da dette vil øge tilgængeligheden af APPI-reglerne på dette område og gøre reglerne mere brugervenlige. Disse retningslinjer (eller andet vejledende materiale) bør også, hvor det er relevant, forklare de specifikke krav, der følger af de supplerende regler, herunder med hensyn til udelukkelsen af APEC's certificeringsordning for grænseoverskridende databeskyttelsesregler for videregivelse af personoplysninger, der oprindeligt er modtaget fra EU.

3.Under revisionen blev det drøftet, hvordan PPC's forespørgsels-/klagekontaktpunkter for spørgsmål og klager fra enkeltpersoner kunne gøres mere tilgængelig for udlændinge. I den forbindelse vil det være vigtigt at præcisere på det særlige websted, at engelsk bistand i princippet er tilgængelig.

Gennemgangen gav også mulighed for at udpege områder, hvor der kan være mulighed for fremtidigt samarbejde. Som anført giver PPC i øjeblikket ikke vejledning om det anbefalede indhold (med hensyn til garantier) af "tilsvarende foranstaltninger", der anvendes i forbindelse med internationale dataoverførsler, hverken i form af retningslinjer eller standardkontrakter om databeskyttelse. I betragtning af den voksende betydning af modelklausuler og deres potentiale som et globalt redskab til dataoverførsel, som f.eks. G7 27 og OECD 28 har anerkendt, har Kommissionen tilkendegivet sin interesse i et fremtidigt samarbejde med Japan i udviklingen af sådanne klausuler. Udvidelsen af tilstrækkelighedsafgørelsen ud over overførsler mellem erhvervsdrivende er et andet område, som Kommissionen har til hensigt at undersøge sammen med PPC.

Kommissionen vil fortsat nøje overvåge den japanske databeskyttelsesramme og den faktiske praksis. I den forbindelse ser den frem til fremtidige drøftelser med de japanske myndigheder om den udvikling, der er relevant for afgørelsen 29 , samt til en yderligere styrkelse af samarbejdet på internationalt plan i en tid, hvor der er en stigende efterspørgsel efter globale standarder for privatlivets fred og datastrømme.

(1)    EUT L 119 af 4.5.2016, s. 1 (GDPR).
(2)    I den version af APPI, der fandt anvendelse på tidspunktet for vedtagelsen af afgørelsen om tilstrækkeligheden af beskyttelsesniveauet, blev dette begreb omtalt som "erhvervsdrivende, der håndterer personoplysninger" (PIHBO). En virksomhed, der håndterer personoplysninger, defineres i artikel 16, stk. 2, i den ændrede APPI som "en person, der anvender en database med personlige oplysninger eller tilsvarende til erhvervsmæssig brug", med undtagelse af staten og administrative organer på både centralt og lokalt plan. Begrebet "erhvervsmæssig brug" i APPI er meget bredt og omfatter ikke blot profitorienterede, men også almennyttige aktiviteter, der udøves af alle former for organisationer og enkeltpersoner. Desuden omfatter "erhvervsmæssig brug" også personoplysninger, der ikke anvendes i den erhvervsdrivendes (eksterne) forretningsforbindelser, men internt, f.eks. behandling af medarbejderdata. Jf. betragtning 32-34 i afgørelsen.
(3)    Kommissionens gennemførelsesafgørelse (EU) 2019/419 af 23. januar 2019 i henhold til Europa-Parlamentets og Rådets forordning (EU) 2016/679 om tilstrækkeligheden af beskyttelsesniveauet for personoplysninger i Japan i henhold til loven om beskyttelse af personoplysninger (EUT L 76 af 19.3.2019, s. 1).
(4)    Jf. artikel 45 i GDPR og betragtning 5 i afgørelsen.
(5)    Jf. bilag I til afgørelsen.
(6)

   I mellemtiden har APPI-ændringen fra 2020 revideret definitionen af "personoplysninger, som virksomheden er i besiddelse af", således at den ikke længere udelukker de personoplysninger, der "forventes slettet" inden for en periode på seks måneder (artikel 16, stk. 4, i den ændrede APPI). I den version af APPI, der fandt anvendelse på tidspunktet for vedtagelsen af afgørelsen om tilstrækkeligheden af beskyttelsesniveauet, blev dette begreb omtalt som "opbevarede personoplysninger".

(7)    Jf. betragtning 26, 31, 43, 49-51, 63, 68, 71, 76-79 og 101 i afgørelsen.
(8)    Jf. betragtning 15 i afgørelsen.
(9)    Jf. betragtning 113-170 og bilag II til afgørelsen.
(10)    Jf. betragtning 141-144, 149 og 169 i afgørelsen.
(11)    Jf. pressemeddelelsen, der blev udsendt efter afslutningen af disse forhandlinger, og som findes på: https://ec.europa.eu/commission/presscorner/detail/da/IP_18_4501 .
(12)    Rådets afgørelse (EU) 2018/1907 af 20. december 2018 om indgåelse af aftalen mellem Den Europæiske Union og Japan om et økonomisk partnerskab (EUT L 330 af 27.12.2018, s. 1). ØPA'en mindsker de handelshindringer, som europæiske virksomheder står over for, når de eksporterer til Japan, og hjælper dem med at konkurrere bedre på dette marked.
(13)    Strategisk partnerskabsaftale mellem Den Europæiske Union og dens medlemsstater på den ene side og Japan på den anden side (EUT L 216 af 24.8.2018, s. 4 (SPA)). Den strategiske partnerskabsaftale udgør den retlige ramme for videreudvikling af det allerede mangeårige og stærke partnerskab mellem Unionen, dens medlemsstater og Japan på en lang række områder, herunder politisk dialog, energi, transport, menneskerettigheder, uddannelse, videnskab og teknologi, retlige anliggender, asyl og migration.
(14)    Findes på: https://www.consilium.europa.eu/media/56091/%E6%9C%80%E7%B5%82%E7%89%88-jp-eu-digital-partnership-clean-final-docx.pdf . Det digitale partnerskab skaber et forum, der vil give politisk styring og fremdrift til det fælles arbejde med digitale teknologier på områder som sikker 5G, "Beyond 5G"/6G-teknologier, sikre og etiske anvendelser af kunstig intelligens og modstandsdygtigheden i de globale forsyningskæder i halvlederindustrien.
(15)    Se f.eks. https://policy.trade.ec.europa.eu/news/eu-and-japan-start-negotiations-include-rules-cross-border-data-flows-their-economic-partnership-2022-10-07_en .
(16)    OECD's erklæring af 14. december 2022 om offentlig adgang til personoplysninger, der opbevares af enheder i den private sektor.
(17)    Jf. betragtning 180-183 og artikel 3, stk. 4, i afgørelsen.
(18)    En engelsk oversættelse findes på: https://www.ppc.go.jp/files/pdf/APPI_english.pdf .
(19)    En engelsk oversættelse findes på: https://www.japaneselawtranslation.go.jp/ja/laws/view/4241 .
(20)    Artikel 16, stk. 4, og artikel 28, stk. 2, i den ændrede APPI.
(21)    APPI-ændringen fra 2021 konsoliderer navnlig APPI, loven om beskyttelse af personoplysninger, som opbevares af administrative organer, og loven om beskyttelse af personoplysninger, som opbevares af administrative organer, der er anmeldt som juridisk person, osv. under én databeskyttelseslov, der finder anvendelse på både private enheder og offentlige myndigheder, samtidig med at PPC's jurisdiktion udvides i overensstemmelse hermed. Denne ændring trådte i kraft den 1. april 2023, efter at dele af den trådte i kraft den 1. september 2021 og den 1. april 2022.
(22)    Pseudonymiserede personoplysninger defineres i den ændrede APPI som oplysninger om en person, der kan "udarbejdes på en sådan måde, at det ikke er muligt at identificere en bestemt person, medmindre de sammenholdes med andre oplysninger" ved hjælp af foranstaltninger, der er fastsat i loven og specificeret i håndhævelsesreglerne. Jf. artikel 16, stk. 5, og artikel 41 i den ændrede APPI.
(23)

     De reviderede supplerende regler blev vedtaget af PPC den 15. marts 2023 og trådte i kraft den 1. april 2023.

(24)    Dette gælder ikke for anvendelsen af artikel 42 i den ændrede APPI, som kun bevarer et begrænset antal garantier for pseudonymiserede personoplysninger, der ikke betragtes som personoplysninger.
(25)

   Jf. betragtning 79 i afgørelsen.

(26)    Jf. betragtning 181 i afgørelsen.
(27)    Jf. ministererklæringen fra G7-ministrenes møde den 11. maj 2022, bilag 1 (G7 Action Plan Promoting Data Free Flow with Trust), der under overskriften "Building on commonalities in order to foster future interoperability" henviser til de stadig mere udbredte praksisser såsom standardkontraktbestemmelser.
(28)    Jf. OECD Going Digital Toolkit, "Interoperability of privacy and data protection frameworks" (der kan findes på: https://goingdigital.oecd.org/data/notes/No21_ToolkitNote_PrivacyDataInteroperability.pdf ), p. 18.
(29)    Jf. betragtning 177 i afgørelsen, ifølge hvilken de japanske myndigheder forventes at underrette Kommissionen om den væsentlige udvikling, der er relevant for denne afgørelse, både med hensyn til virksomhedslederes behandling af personoplysninger og de begrænsninger og garantier, der gælder for offentlige myndigheders adgang til personoplysninger.