ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ

Βρυξέλλες, 3.4.2023

COM(2023) 275 final

ΕΚΘΕΣΗ ΤΗΣ ΕΠΙΤΡΟΠΗΣ ΠΡΟΣ ΤΟ ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ ΚΑΙ ΤΟ ΣΥΜΒΟΥΛΙΟ

για την πρώτη επανεξέταση της λειτουργίας της απόφασης επάρκειας για την Ιαπωνία

{SWD(2023) 75 final}

ΕΚΘΕΣΗ ΤΗΣ ΕΠΙΤΡΟΠΗΣ ΠΡΟΣ ΤΟ ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ ΚΑΙ ΤΟ ΣΥΜΒΟΥΛΙΟ

για την πρώτη επανεξέταση της λειτουργίας της απόφασης επάρκειας για την Ιαπωνία

1.Η ΠΡΩΤΗ ΕΠΑΝΕΞΕΤΑΣΗ-ΠΛΑΙΣΙΟ, ΠΡΟΕΤΟΙΜΑΣΙΑ ΚΑΙ ΔΙΑΔΙΚΑΣΙΑ

Στις 23 Ιανουαρίου 2019 η Ευρωπαϊκή Επιτροπή εξέδωσε απόφαση σύμφωνα με το άρθρο 45 του κανονισμού (ΕΕ) 2016/679 (ΓΚΠΔ) 1 , με την οποία διαπίστωσε ότι η Ιαπωνία διασφαλίζει επαρκές επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται από την Ευρωπαϊκή Ένωση σε επιχειρήσεις που χειρίζονται πληροφορίες προσωπικού χαρακτήρα 2 στην Ιαπωνία 3 . Ως εκ τούτου, οι διαβιβάσεις δεδομένων από την ΕΕ σε ιδιωτικούς φορείς στην Ιαπωνία μπορούν να πραγματοποιούνται χωρίς πρόσθετες απαιτήσεις 4 .

Η απόφαση επάρκειας της Επιτροπής καλύπτει τον ιαπωνικό Νόμο περί Προστασίας Προσωπικών Πληροφοριών (ΝΠΠΠ), όπως συμπληρώνεται από Συμπληρωματικούς Κανόνες που θεσπίστηκαν με σκοπό τη γεφύρωση ορισμένων σχετικών διαφορών μεταξύ του ΝΠΠΠ και του ΓΚΠΔ 5 . Οι εν λόγω πρόσθετες εγγυήσεις ενισχύουν, για παράδειγμα, την προστασία ευαίσθητων δεδομένων (με τη διεύρυνση των κατηγοριών προσωπικών πληροφοριών που θεωρούνται ευαίσθητα δεδομένα), την άσκηση των ατομικών δικαιωμάτων (με τη διευκρίνιση ότι τα ατομικά δικαιώματα μπορούν επίσης να ασκούνται για δεδομένα προσωπικού χαρακτήρα που διατηρούνται για χρονικό διάστημα μικρότερο των έξι μηνών, κάτι που δεν ίσχυε εκείνη τη χρονική στιγμή βάσει του ΝΠΠΠ) 6 και τις προϋποθέσεις υπό τις οποίες τα δεδομένα της ΕΕ μπορούν να διαβιβάζονται περαιτέρω από την Ιαπωνία σε άλλη τρίτη χώρα 7 . Οι Συμπληρωματικοί Κανόνες είναι δεσμευτικοί για τους επιχειρηματικούς φορείς της Ιαπωνίας και μπορούν να επιβληθούν από την ανεξάρτητη αρχή προστασίας δεδομένων —την Επιτροπή Προστασίας Προσωπικών Πληροφοριών (ΕΠΠ)— ή, απευθείας από πολίτες της ΕΕ, στα ιαπωνικά δικαστήρια 8 .

Επιπλέον, η ιαπωνική κυβέρνηση προέβη σε επίσημες δηλώσεις, διαβεβαιώσεις και δεσμεύσεις προς την Επιτροπή όσον αφορά τους περιορισμούς και τις εγγυήσεις ως προς την πρόσβαση και τη χρήση δεδομένων προσωπικού χαρακτήρα από τις ιαπωνικές δημόσιες αρχές για σκοπούς επιβολής του ποινικού δικαίου και εθνικής ασφάλειας, διευκρινίζοντας ότι κάθε τέτοιου είδους επεξεργασία περιορίζεται σε ό,τι είναι αναγκαίο και αναλογικό και υπόκειται σε ανεξάρτητη εποπτεία και αποτελεσματικούς μηχανισμούς προσφυγής 9 . Οι μηχανισμοί προσφυγής σε αυτόν τον τομέα περιλαμβάνουν ειδική διαδικασία επίλυσης διαφορών την οποία διαχειρίζεται και εποπτεύει η ΕΠΠ και η οποία δημιουργήθηκε για πολίτες της ΕΕ των οποίων τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται βάσει της απόφασης επάρκειας 10 .

Κατά τον χρόνο έκδοσης της απόφασης επάρκειας της Επιτροπής, η Ιαπωνία εξέδωσε ισοδύναμη απόφαση για τις διαβιβάσεις δεδομένων στην ΕΕ, η οποία δημιούργησε τον μεγαλύτερο χώρο ελεύθερων ροών δεδομένων παγκοσμίως βάσει υψηλού επιπέδου προστασίας των δεδομένων 11 . Οι εν λόγω αμοιβαίες αποφάσεις επάρκειας συμπληρώνουν και ενισχύουν τα οφέλη της συμφωνίας οικονομικής εταιρικής σχέσης (στο εξής: ΣΟΕΣ) ΕΕ-Ιαπωνίας, η οποία άρχισε να ισχύει τον Φεβρουάριο του 2019 12 , και της συμφωνίας στρατηγικής εταιρικής σχέσης 13 που αποτέλεσε αντικείμενο διαπραγμάτευσης παράλληλα με τη ΣΟΕΣ. Οι εταιρείες και των δύο μερών επωφελούνται από τη συνέργεια μεταξύ των αμοιβαίων αποφάσεων επάρκειας και της ΣΟΕΣ, καθώς η δυνατότητα ελεύθερης ροής δεδομένων μεταξύ της ΕΕ και της Ιαπωνίας διευκολύνει περαιτέρω τις εμπορικές ανταλλαγές και δημιουργεί σημαντικές επιχειρηματικές ευκαιρίες μέσω της προνομιακής πρόσβασης στην αγορά κάθε μέρους. Δημιουργεί επίσης σημαντικό προηγούμενο, αποδεικνύοντας ξεκάθαρα ότι στην ψηφιακή εποχή η προώθηση υψηλών προτύπων προστασίας της ιδιωτικής ζωής και η διευκόλυνση του διεθνούς εμπορίου μπορούν και πρέπει να συμβαδίζουν.

Μετά την έκδοση των αποφάσεων επάρκειας, η ΕΕ και η Ιαπωνία, ως ομοϊδεάτες εταίροι, έχουν εντείνει περαιτέρω τη συνεργασία τους σε ψηφιακά θέματα, γενικά, και στις ροές δεδομένων, ειδικότερα. Σε διμερές επίπεδο, αυτό αντικατοπτρίζεται ιδίως στη σύναψη της ψηφιακής εταιρικής σχέσης τον Μάιο του 2022 14 και στην έναρξη, τον Οκτώβριο του 2022, διαπραγματεύσεων για τη συμπερίληψη κανόνων σχετικά με τις διασυνοριακές ροές δεδομένων στη ΣΟΕΣ 15 , οι οποίες θα ενισχύσουν περαιτέρω τη συνέργεια με τη ρύθμιση αμοιβαίας επάρκειας. Σε πολυμερές επίπεδο, η ΕΕ και η Ιαπωνία έχουν κάνει κοινές προσπάθειες για την προώθηση, την ενίσχυση και την επιχειρησιακή εφαρμογή της έννοιας της «ελεύθερης ροής δεδομένων με εμπιστοσύνη», που δρομολογήθηκε από τον εκλιπόντα πρωθυπουργό Shinzo Abe —μεταξύ άλλων μέσω στενής συνεργασίας στο πλαίσιο της G7, του Παγκόσμιου Οργανισμού Εμπορίου (στο πλαίσιο της πρωτοβουλίας κοινής δήλωσης σχετικά με το ηλεκτρονικό εμπόριο) και του Οργανισμού Οικονομικής Συνεργασίας και Ανάπτυξης (ΟΟΣΑ). Στο πλαίσιο του ΟΟΣΑ, η εντατική συνεργασία μεταξύ της ΕΕ και της Ιαπωνίας σε αυτά τα θέματα ήταν, ειδικότερα, καθοριστικής σημασίας για τη θέσπιση, για πρώτη φορά σε διεθνές επίπεδο, κοινών αρχών σχετικά με την κρατική πρόσβαση σε δεδομένα προσωπικού χαρακτήρα που διατηρεί ο ιδιωτικός τομέας 16 . Οι διάφοροι αυτοί άξονες εργασίας βασίστηκαν στο σύνολό τους, σε μεγαλύτερο ή μικρότερο βαθμό, στις κοινές αξίες και απαιτήσεις στις οποίες βασίζεται η συμφωνία αμοιβαίας επάρκειας ΕΕ-Ιαπωνίας.

Η Επιτροπή, για να επαληθεύει τακτικά ότι τα πορίσματα της απόφασης επάρκειας εξακολουθούν να είναι αντικειμενικά και νομικά αιτιολογημένα, υποχρεούται να διενεργεί περιοδική επανεξέταση και να υποβάλει εκθέσεις σχετικά με το αποτέλεσμα στο Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο 17 . Με την παρούσα έκθεση, η οποία καλύπτει όλες τις πτυχές της λειτουργίας της απόφασης, ολοκληρώνεται η πρώτη περιοδική επανεξέταση. Από την πλευρά της Ιαπωνίας, στην επανεξέταση συμμετείχαν εκπρόσωποι της ΕΠΠ, του Υπουργείου Εσωτερικών και Επικοινωνιών, του Υπουργείου Δικαιοσύνης, του Υπουργείου Άμυνας και της Εθνικής Αστυνομικής Υπηρεσίας. Η αντιπροσωπεία της ΕΕ περιλάμβανε τρεις εκπροσώπους που ορίστηκαν από το ΕΣΠΔ, μαζί με μέλη της Ευρωπαϊκής Επιτροπής.

Στις 26 Οκτωβρίου 2021 πραγματοποιήθηκε συνεδρίαση επανεξέτασης μεταξύ των δύο αντιπροσωπειών, πριν από την οποία και μετά την οποία έγιναν πολυάριθμες ανταλλαγές απόψεων. Πιο συγκεκριμένα, για την προετοιμασία της επανεξέτασης, η Επιτροπή συγκέντρωσε πληροφορίες από τις ιαπωνικές αρχές σχετικά με τη λειτουργία της απόφασης, ειδικότερα όσον αφορά την εφαρμογή των Συμπληρωματικών Κανόνων. Η Επιτροπή ζήτησε επίσης πληροφορίες από δημόσιες πηγές και τοπικούς εμπειρογνώμονες σχετικά με τη λειτουργία της απόφασης και τις σχετικές εξελίξεις στην ιαπωνική νομοθεσία και πρακτική, όσον αφορά τόσο τους κανόνες προστασίας των δεδομένων που ισχύουν για τους ιδιωτικούς φορείς όσο και την κρατική πρόσβαση σε αυτά τα δεδομένα. Μετά τη συνεδρίαση επανεξέτασης, η Επιτροπή και η ΕΠΠ αντάλλαξαν διάφορες απόψεις για να εστιάσουν περαιτέρω στα σημεία που συζητήθηκαν κατά τη συνεδρίαση αυτήν και, ειδικότερα, για να εξετάσουν τα ζητήματα που τέθηκαν με την εισαγωγή στον ΝΠΠΠ κανόνων για τις ψευδωνυμοποιημένες προσωπικές πληροφορίες.

2.ΚΥΡΙΑ ΠΟΡΙΣΜΑΤΑ

Τα λεπτομερή πορίσματα σχετικά με τη λειτουργία όλων των πτυχών της απόφασης επάρκειας παρουσιάζονται στο έγγραφο εργασίας των υπηρεσιών της Επιτροπής [SWD(2023) 75] που συνοδεύει την παρούσα έκθεση.

Ειδικότερα, η πρώτη επανεξέταση έχει καταδείξει ότι τα πλαίσια προστασίας δεδομένων της ΕΕ και της Ιαπωνίας έχουν παρουσιάσει περαιτέρω σύγκλιση μετά την έκδοση των αποφάσεων αμοιβαίας επάρκειας. Ο ΝΠΠΠ τροποποιήθηκε δύο φορές: στις 5 Ιουνίου 2020 μέσω της τροποποίησης του 2020 του Νόμου περί Προστασίας Προσωπικών Πληροφοριών (τροποποίηση του 2020 του ΝΠΠΠ) που άρχισε να ισχύει την 1η Απριλίου 2022 18 · και στις 12 Μαΐου 2021 μέσω του Νόμου για τη Ρύθμιση Συναφών Πράξεων για τη Σύσταση μιας Ψηφιακής Κοινωνίας (τροποποίηση του 2021 του ΝΠΠΠ) 19 . Οι Συμπληρωματικοί Κανόνες προσαρμόστηκαν ώστε να αποτυπώσουν τις εν λόγω τροποποιήσεις, σε διαβούλευση με την Επιτροπή.

Οι εν λόγω τροποποιήσεις έχουν φέρει τα συστήματα της ΕΕ και της Ιαπωνίας ακόμα πιο κοντά, ειδικότερα με την ενίσχυση των υποχρεώσεων ασφάλειας των δεδομένων (μέσω της θέσπισης υποχρέωσης για κοινοποίηση παραβιάσεων δεδομένων), των δικαιωμάτων των υποκειμένων των δεδομένων (ειδικότερα του δικαιώματος πρόσβασης και του δικαιώματος εναντίωσης) και της προστασίας που παρέχεται σε περίπτωση διαβίβασης δεδομένων (με τη μορφή πρόσθετων πληροφοριών και απαιτήσεων παρακολούθησης, συμπεριλαμβανομένων πληροφοριών σχετικά με πιθανούς κινδύνους που σχετίζονται με την κρατική πρόσβαση στη χώρα προορισμού). Στο πλαίσιο αυτό, αξίζει να σημειωθεί ότι ορισμένες από τις πρόσθετες εγγυήσεις που προβλέπονται στους Συμπληρωματικούς Κανόνες για τα δεδομένα προσωπικού χαρακτήρα που προέρχονται από την ΕΕ, δηλαδή όσον αφορά τη διατήρηση των δεδομένων και τις προϋποθέσεις για τη συγκατάθεση έπειτα από ενημέρωση για διασυνοριακές διαβιβάσεις, έχουν ενσωματωθεί στον ΝΠΠΠ, με αποτέλεσμα να εφαρμόζονται γενικά στο σύνολο των δεδομένων προσωπικού χαρακτήρα, ανεξάρτητα από την προέλευση ή το σημείο απ’ όπου συλλέχθηκαν 20 .

Μια άλλη βασική εξέλιξη για την οποία η Επιτροπή εκφράζει την ικανοποίησή της είναι η μετατροπή του ΝΠΠΠ σε ένα ολοκληρωμένο πλαίσιο προστασίας των δεδομένων που καλύπτει τόσο τον ιδιωτικό όσο και τον δημόσιο τομέα, υπό την αποκλειστική εποπτεία της ΕΠΠ 21 . Αυτή η περαιτέρω ενίσχυση του ιαπωνικού πλαισίου προστασίας των δεδομένων και των εξουσιών της ΕΠΠ μπορεί να προετοιμάσει το έδαφος για την επέκταση της απόφασης επάρκειας πέραν των εμπορικών ανταλλαγών, ώστε να καλύπτει διαβιβάσεις που επί του παρόντος εξαιρούνται από το πεδίο εφαρμογής της, όπως στον τομέα της κανονιστικής συνεργασίας και της έρευνας.

Η πρώτη επανεξέταση επικεντρώθηκε επίσης στους νέους κανόνες σχετικά με τη δημιουργία και τη χρήση «ψευδωνυμοποιημένων προσωπικών πληροφοριών», οι οποίοι θεσπίστηκαν με την τροποποίηση του 2020 του ΝΠΠΠ 22 . Στόχος των εν λόγω νέων κανόνων είναι ουσιαστικά να διευκολύνουν την (εσωτερική) χρήση προσωπικών πληροφοριών από τις επιχειρήσεις που χειρίζονται προσωπικές πληροφορίες κυρίως για στατιστικούς σκοπούς (π.χ. για τον εντοπισμό τάσεων και μοτίβων με σκοπό να ωφελήσουν περαιτέρω δραστηριότητες, συμπεριλαμβανομένης της έρευνας). Η συνεδρίαση επανεξέτασης και οι επακόλουθες ανταλλαγές απόψεων μεταξύ της Επιτροπής και της ΕΠΠ έδωσαν τη δυνατότητα να αποσαφηνιστεί η ερμηνεία και η εφαρμογή των εν λόγω νέων διατάξεων. Ως αποτέλεσμα των συζητήσεων αυτών, προκειμένου να αποτυπωθεί σαφέστερα η προβλεπόμενη εφαρμογή των εν λόγω νέων διατάξεων και, κατά συνέπεια, να διασφαλιστεί ασφάλεια δικαίου και διαφάνεια, οι Συμπληρωματικοί Κανόνες τροποποιήθηκαν στις 15 Μαρτίου 2023 με δύο τρόπους 23 . Πρώτον, στους Συμπληρωματικούς Κανόνες ορίζεται ότι οι πληροφορίες αυτές μπορούν να χρησιμοποιηθούν μόνο για στατιστικούς σκοπούς —η οποία χρήση ορίζεται ως επεξεργασία για στατιστικές έρευνες ή παραγωγή στατιστικών αποτελεσμάτων— με σκοπό την παραγωγή συγκεντρωτικών στοιχείων, και ότι το αποτέλεσμα της επεξεργασίας δεν θα χρησιμοποιηθεί για την υποστήριξη μέτρων ή αποφάσεων που αφορούν οποιοδήποτε συγκεκριμένο πρόσωπο. Δεύτερον, καθίσταται σαφές ότι οι ψευδωνυμοποιημένες προσωπικές πληροφορίες που υποβλήθηκαν σε επεξεργασία οι οποίες ελήφθησαν αρχικά από την ΕΕ θα θεωρούνται πάντοτε «προσωπικές πληροφορίες» δυνάμει του ΝΠΠΠ, με σκοπό να διασφαλίζεται ότι η συνέχεια της προστασίας των δεδομένων που θεωρούνται δεδομένα προσωπικού χαρακτήρα βάσει του ΓΚΠΔ δεν υπονομεύεται κατά τη διαβίβασή τους βάσει της απόφασης επάρκειας 24 .

Όσον αφορά την εφαρμογή των εγγυήσεων για την προστασία των δεδομένων στην πράξη, η Επιτροπή εκφράζει την ικανοποίησή της για τα διάφορα μέτρα που έλαβε η ΕΠΠ. Σε αυτά περιλαμβάνονται η έκδοση επικαιροποιημένων κατευθυντήριων γραμμών, μεταξύ άλλων όσον αφορά τις διεθνείς διαβιβάσεις δεδομένων. Η Επιτροπή επισημαίνει ότι οι εν λόγω κατευθυντήριες γραμμές θα μπορούσαν να αποσαφηνιστούν ώστε να καλύπτουν επίσης τις ειδικές απαιτήσεις που ισχύουν βάσει των Συμπληρωματικών Κανόνων για τις περαιτέρω διαβιβάσεις από την Ιαπωνία δεδομένων προσωπικού χαρακτήρα που λαμβάνονται από την Ένωση, συμπεριλαμβανομένου —όπως προκύπτει από τον Συμπληρωματικό Κανόνα 4 και επεξηγείται στην απόφαση επάρκειας 25 — του αποκλεισμού περαιτέρω διαβιβάσεων με βάση το σύστημα πιστοποίησης διασυνοριακών κανόνων για την ιδιωτικότητα (ΔΚΙ) της ΟΣΑΕ. Επιπλέον, μολονότι η ΕΠΠ έχει εξηγήσει ότι οι ΕΦΧΠΠ πλαισιώνουν τις περαιτέρω διαβιβάσεις δεδομένων που λαμβάνονται αρχικά από την ΕΕ «συνάπτοντας σύμβαση που δεσμεύει τον αποδέκτη με μέτρα που διασφαλίζουν τη συνέχεια της προστασίας», επί του παρόντος η ΕΠΠ δεν παρέχει καθοδήγηση σχετικά με το συνιστώμενο περιεχόμενο (όσον αφορά τις εγγυήσεις) των «ισοδύναμων μέτρων» που χρησιμοποιούνται για διεθνείς διαβιβάσεις δεδομένων, είτε με τη μορφή κατευθυντήριων γραμμών είτε με τη μορφή υποδειγμάτων συμβάσεων για την προστασία δεδομένων. Οι περαιτέρω αυτές διευκρινίσεις, οι οποίες θα μπορούσαν να βασίζονται κυρίως στην ανταλλαγή πληροφοριών και βέλτιστων πρακτικών μεταξύ της ΕΠΠ και της Επιτροπής, θα μπορούσαν να είναι ιδιαίτερα χρήσιμες, καθώς αφορούν πτυχές που είναι ιδιαίτερα σημαντικές για εταιρείες που δραστηριοποιούνται και στις δύο δικαιοδοσίες.

Όσον αφορά την εποπτεία και την επιβολή, η Επιτροπή επισημαίνει ότι η ΕΠΠ έχει χρησιμοποιήσει περισσότερο τις οικείες μη καταναγκαστικές εξουσίες καθοδήγησης και παροχής συμβουλών (άρθρο 147 του ΝΠΠΠ) παρά τις εξουσίες καταναγκασμού που διαθέτει (π.χ. να επιβάλει δεσμευτικές εντολές, άρθρο 148 του ΝΠΠΠ) κατά την περίοδο που ακολούθησε της έκδοσης της απόφασης επάρκειας. Η ΕΠΠ ανέφερε επίσης ότι μέχρι σήμερα δεν έχουν υποβληθεί καταγγελίες σχετικά με τη συμμόρφωση προς τους Συμπληρωματικούς Κανόνες και δεν έχουν διεξαχθεί έρευνες για τέτοιου είδους ζητήματα με δική της πρωτοβουλία. Ωστόσο, κατά τη συνεδρίαση επανεξέτασης, η ΕΠΠ ανακοίνωσε ότι εξετάζει το ενδεχόμενο να διενεργήσει, με δική της πρωτοβουλία, δειγματοληπτικούς ελέγχους με σκοπό τη διασφάλιση της συμμόρφωσης με τους Συμπληρωματικούς Κανόνες. Η Επιτροπή εκφράζει την ικανοποίησή της για την ανακοίνωση αυτήν, καθώς θεωρεί ότι οι εν λόγω δειγματοληπτικοί έλεγχοι θα συμβάλλουν σημαντικά στη διασφάλιση της πρόληψης, του εντοπισμού και της αντιμετώπισης (πιθανών) παραβιάσεων των Συμπληρωματικών Κανόνων, διασφαλίζοντας έτσι την αποτελεσματική συμμόρφωση με τους εν λόγω κανόνες. Καθώς οι τροποποιήσεις του 2020 και του 2021 του ΝΠΠΠ έχουν ενισχύσει τις εποπτικές εξουσίες της ΕΠΠ, οι εν λόγω δειγματοληπτικοί έλεγχοι θα μπορούσαν να αποτελέσουν μέρος μιας συνολικής προσπάθειας για την αύξηση της χρήσης των εν λόγω εξουσιών.

Τέλος, η Επιτροπή επικροτεί ιδιαίτερα τη δημιουργία ειδικών σημείων επαφής για τους πολίτες της ΕΕ που έχουν ερωτήσεις ή ανησυχίες σχετικά με την επεξεργασία των προσωπικών τους δεδομένων στην Ιαπωνία, είτε από εμπορικούς φορείς (γραμμή ερωτήσεων) είτε από δημόσιες αρχές (γραμμή διαμεσολάβησης για καταγγελίες). Ταυτόχρονα, επισημαίνει ότι στην ιστοσελίδα της γραμμής ερωτήσεων αναφέρεται ότι είναι «διαθέσιμη μόνο στην ιαπωνική γλώσσα», κάτι που ενδέχεται να αποτρέψει τους πολίτες της ΕΕ από το να χρησιμοποιήσουν την παροχή αυτήν, παρόλο που η ΕΠΠ διευκρίνισε ότι είναι καταρχήν διαθέσιμη η γλωσσική υποστήριξη στην αγγλική γλώσσα. Η Επιτροπή κατανοεί ότι η ΕΠΠ θα εξετάσει τρόπους ώστε να διευκολύνει την προσβασιμότητα των εν λόγω σημείων επαφής για τους Ευρωπαίους, διασαφηνίζοντας, μεταξύ άλλων, το σημείο αυτό.

3.ΣΥΜΠΕΡΑΣΜΑ

Με βάση τα συνολικά πορίσματα που προέκυψαν στο πλαίσιο της παρούσας πρώτης επανεξέτασης, η Επιτροπή καταλήγει στο συμπέρασμα ότι η Ιαπωνία εξακολουθεί να διασφαλίζει επαρκές επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα που προέρχονται από την Ευρωπαϊκή Ένωση και διαβιβάζονται στους επιχειρηματικούς φορείς που χειρίζονται προσωπικές πληροφορίες στην Ιαπωνία, οι οποίοι υπόκεινται στον ΝΠΠΠ, όπως συμπληρώνεται από τους Συμπληρωματικούς Κανόνες, μαζί με τις επίσημες δηλώσεις, διαβεβαιώσεις και δεσμεύσεις που περιλαμβάνονται στο παράρτημα ΙΙ της απόφασης. Στο πλαίσιο αυτό, οι υπηρεσίες της Επιτροπής αναγνωρίζουν και εκτιμούν ιδιαίτερα την εξαιρετική συνεργασία, κατά τη διεξαγωγή της επανεξέτασης, με τις ιαπωνικές αρχές και, ειδικότερα, με την ΕΠΠ.

Με βάση το εν λόγω αποτέλεσμα της επανεξέτασης και σύμφωνα με την αιτιολογική σκέψη 181 της απόφασης επάρκειας, η Επιτροπή θεωρεί ότι δεν είναι αναγκαίο να διατηρηθεί ο κύκλος των δύο ετών για μελλοντικές επανεξετάσεις και, ως εκ τούτου, ότι είναι σκόπιμη η μετάβαση σε τετραετή κύκλο σύμφωνα με το άρθρο 45 παράγραφος 3 του ΓΚΠΔ. Συνεπώς, θα ζητήσει τη γνώμη της επιτροπής που έχει συσταθεί βάσει του άρθρου 93 παράγραφος 1 του ΓΚΠΔ 26 .

Ταυτόχρονα, η ενίσχυση ορισμένων πτυχών του ιαπωνικού πλαισίου θα μπορούσε να συμβάλει στην περαιτέρω ενίσχυση των διασφαλίσεων που προβλέπονται στον ΝΠΠΠ και στους Συμπληρωματικούς Κανόνες. Για τον σκοπό αυτόν, η Επιτροπή προβαίνει στις ακόλουθες συστάσεις:

1.Η Επιτροπή επικροτεί και ενθαρρύνει περαιτέρω την προβλεπόμενη αξιοποίηση από την ΕΠΠ δειγματοληπτικών ελέγχων με σκοπό τη διασφάλιση της συμμόρφωσης με τους Συμπληρωματικούς Κανόνες. Θεωρεί ότι οι εν λόγω δειγματοληπτικοί έλεγχοι θα συμβάλλουν σημαντικά στη διασφάλιση του εντοπισμού και της αντιμετώπισης (πιθανών) παραβιάσεων των Συμπληρωματικών Κανόνων, διασφαλίζοντας έτσι την αποτελεσματική συμμόρφωση με τους εν λόγω κανόνες.

2.Η Επιτροπή εκφράζει την ικανοποίησή της για το γεγονός ότι η ΕΠΠ έχει δημοσιεύσει επικαιροποιημένες κατευθυντήριες γραμμές για τις διεθνείς διαβιβάσεις, καθώς αυτές θα αυξήσουν την προσβασιμότητα των κανόνων του ΝΠΠΠ σχετικά με το θέμα αυτό και θα καταστήσουν τους εν λόγω κανόνες πιο φιλικούς προς τον χρήστη. Στις εν λόγω κατευθυντήριες γραμμές (ή σε άλλο υλικό καθοδήγησης) θα πρέπει επίσης, κατά περίπτωση, να διασαφηνίζονται οι ειδικές απαιτήσεις που απορρέουν από τους Συμπληρωματικούς Κανόνες, μεταξύ άλλων όσον αφορά τον αποκλεισμό του συστήματος πιστοποίησης ΔΚΙ της ΟΣΑΕ περαιτέρω διαβιβάσεων δεδομένων προσωπικού χαρακτήρα τα οποία λαμβάνονται αρχικά από την ΕΕ.

3.Κατά τη διάρκεια της επανεξέτασης συζητήθηκε ο τρόπος με τον οποίο οι γραμμές ερωτήσεων/διαμεσολάβησης για καταγγελίες της ΕΠΠ που αφορούν ερωτήσεις και καταγγελίες πολιτών θα μπορούσαν να καταστούν πιο προσβάσιμες στους αλλοδαπούς. Στο πλαίσιο αυτό, διευκρινίζεται ότι στον ειδικό ιστότοπο η γλωσσική υποστήριξη στην αγγλική γλώσσα είναι καταρχήν διαθέσιμη.

Η επανεξέταση κατέστησε επίσης δυνατό τον εντοπισμό τομέων για πιθανή μελλοντική συνεργασία. Όπως αναφέρθηκε, η ΕΠΠ δεν παρέχει επί του παρόντος καθοδήγηση σχετικά με το συνιστώμενο περιεχόμενο (όσον αφορά τις εγγυήσεις) των «ισοδύναμων μέτρων» που χρησιμοποιούνται για τις διεθνείς διαβιβάσεις δεδομένων, είτε με τη μορφή κατευθυντήριων γραμμών είτε με τη μορφή υποδειγμάτων συμβάσεων για την προστασία δεδομένων. Δεδομένης της ολοένα και αυξανόμενης σημασίας των πρότυπων ρητρών και των δυνατοτήτων τους ως παγκόσμιου εργαλείου για τις διαβιβάσεις δεδομένων, όπως αναγνωρίζουν, για παράδειγμα, η G7 27 και ο ΟΟΣΑ 28 , η Επιτροπή έχει εκδηλώσει ενδιαφέρον για μελλοντική συνεργασία με την Ιαπωνία για την ανάπτυξη τέτοιου είδους ρητρών. Η επέκταση του πεδίου εφαρμογής της απόφασης επάρκειας πέραν των διαβιβάσεων μεταξύ εμπορικών επιχειρηματικών φορέων αποτελεί έναν ακόμα τομέα τον οποίο η Επιτροπή προτίθεται να διερευνήσει σε συνεργασία με την ΕΠΠ.

Η Επιτροπή θα συνεχίσει να παρακολουθεί στενά το ιαπωνικό πλαίσιο προστασίας δεδομένων και τις πραγματικές πρακτικές. Στο πλαίσιο αυτό, προσβλέπει σε μελλοντικές ανταλλαγές με τις ιαπωνικές αρχές όσον αφορά τις εξελίξεις που σχετίζονται με την απόφαση 29 , καθώς και στην περαιτέρω ενίσχυση της συνεργασίας σε διεθνές επίπεδο σε μια εποχή κατά την οποία υπάρχει αυξανόμενη ζήτηση για παγκόσμια πρότυπα σχετικά με την ιδιωτικότητα και τις ροές δεδομένων.

(1)      ΕΕ L 119 της 4.5.2016, σ. 1 (ΓΚΠΔ).

(2)      Στην έκδοση του ΝΠΠΠ που ίσχυε κατά τον χρόνο έκδοσης της απόφασης επάρκειας, η έννοια αυτή αναφερόταν ως «επιχειρηματικός φορέας που χειρίζεται προσωπικές πληροφορίες» (ΕΦΧΠΠ). Η επιχείρηση που χειρίζεται προσωπικές πληροφορίες ορίζεται στο άρθρο 16 παράγραφος 2 του τροποποιημένου ΝΠΠΠ ως «πρόσωπο που χρησιμοποιεί βάση δεδομένων προσωπικών πληροφοριών ή ισοδύναμη βάση δεδομένων στο πλαίσιο επιχειρηματικής δραστηριότητας», με εξαίρεση την κυβέρνηση και τις διοικητικές υπηρεσίες τόσο σε κεντρικό όσο και σε τοπικό επίπεδο. Η έννοια της «επιχειρηματικής δραστηριότητας» βάσει του ΝΠΠΠ είναι πολύ ευρεία και εμπεριέχει όχι μόνο κερδοσκοπικές αλλά και μη κερδοσκοπικές δραστηριότητες από κάθε είδους φορείς και πρόσωπα. Επιπρόσθετα, η έννοια της «χρήσης στο πλαίσιο επιχειρηματικής δραστηριότητας» καλύπτει τις προσωπικές πληροφορίες που δεν χρησιμοποιούνται στις (εξωτερικές) εμπορικές σχέσεις του επιχειρηματικού φορέα, αλλά εσωτερικά, για παράδειγμα για την επεξεργασία των δεδομένων των υπαλλήλων. Βλ. αιτιολογικές σκέψεις 32 έως 34 της απόφασης.

(3)    Εκτελεστική απόφαση (ΕΕ) 2019/419 της Επιτροπής, της 23ης Ιανουαρίου 2019, σύμφωνα με τον κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, σχετικά με την επαρκή προστασία των δεδομένων προσωπικού χαρακτήρα από την Ιαπωνία βάσει του Νόμου περί Προστασίας Προσωπικών Πληροφοριών (ΕΕ L 76 της 19.3.2019, σ. 1).

(4)      Βλ. άρθρο 45 του ΓΚΠΔ και αιτιολογική σκέψη 5 της απόφασης.

(5)      Βλ. παράρτημα I της απόφασης.

(6)

     Στο μεταξύ, με την τροποποίηση του 2020 του ΝΠΠΠ έχει αναθεωρηθεί ο ορισμός των «δεδομένων προσωπικού χαρακτήρα που κατέχει η επιχείρηση», ώστε να μην αποκλείονται πλέον τα δεδομένα προσωπικού χαρακτήρα που «προορίζονται να διαγραφούν» εντός περιόδου έξι μηνών (άρθρο 16 παράγραφος 4 του τροποποιημένου ΝΠΠΠ). Στην έκδοση του ΝΠΠΠ που ίσχυε κατά τον χρόνο έκδοσης της απόφασης επάρκειας, η έννοια αυτή αναφερόταν ως «διατηρούμενα δεδομένα προσωπικού χαρακτήρα».

(7)      Αιτιολογικές σκέψεις 26, 31, 43, 49 έως 51, 63, 68, 71, 76 έως 79, 101 της απόφασης.

(8)      Αιτιολογική σκέψη 15 της απόφασης.

(9)      Αιτιολογικές σκέψεις 113 έως 170 και παράρτημα II της απόφασης.

(10)      Αιτιολογικές σκέψεις 141 έως 144, 149, 169 της απόφασης.

(11) Βλ. το δελτίο Τύπου που εκδόθηκε μετά την ολοκλήρωση των συνομιλιών αυτών, το οποίο διατίθεται στη διεύθυνση: https://ec.europa.eu/commission/presscorner/detail/el/IP_18_4501 .

(12)      Απόφαση (ΕΕ) 2018/1907 του Συμβουλίου, της 20ής Δεκεμβρίου 2018, για τη σύναψη της συμφωνίας οικονομικής εταιρικής σχέσης μεταξύ της Ευρωπαϊκής Ένωσης και της Ιαπωνίας (ΕΕ L 330 της 27.12.2018, σ. 1). Η ΣΟΕΣ μειώνει τους εμπορικούς φραγμούς που αντιμετωπίζουν οι ευρωπαϊκές επιχειρήσεις όταν πραγματοποιούν εξαγωγές στην Ιαπωνία και συμβάλλει στη βελτίωση του ανταγωνισμού τους στην αγορά αυτήν.

(13)      Συμφωνία στρατηγικής εταιρικής σχέσης μεταξύ της Ευρωπαϊκής Ένωσης και των κρατών μελών της, αφενός, και της Ιαπωνίας, αφετέρου (ΕΕ L 216 της 24.8.2018, σ. 4) (συμφωνία στρατηγικής εταιρικής σχέσης). Η συμφωνία στρατηγικής εταιρικής σχέσης παρέχει το νομικό πλαίσιο για την περαιτέρω ανάπτυξη της ήδη μακροχρόνιας και ισχυρής εταιρικής σχέσης μεταξύ της Ένωσης, των κρατών μελών της και της Ιαπωνίας, σε ευρύ φάσμα τομέων, όπως είναι ο πολιτικός διάλογος, η ενέργεια, οι μεταφορές, τα ανθρώπινα δικαιώματα, η εκπαίδευση, η επιστήμη και η τεχνολογία, η δικαιοσύνη, το άσυλο και η μετανάστευση.

(14)      Διατίθεται στη διεύθυνση: https://www.consilium.europa.eu/media/56091/%E6%9C%80%E7%B5%82%E7%89%88-jp-eu-digital-partnership-clean-final-docx.pdf . Στο πλαίσιο της ψηφιακής εταιρικής σχέσης δημιουργείται ένα φόρουμ που θα παράσχει πολιτική καθοδήγηση και ώθηση για κοινές εργασίες σχετικά με τις ψηφιακές τεχνολογίες σε τομείς όπως τα ασφαλή δίκτυα 5G, οι τεχνολογίες «πέραν του 5G»/6G, οι ασφαλείς και δεοντολογικές εφαρμογές της τεχνητής νοημοσύνης και η ανθεκτικότητα των παγκόσμιων αλυσίδων εφοδιασμού στη βιομηχανία ημιαγωγών.

(15)      Βλ. π.χ. https://policy.trade.ec.europa.eu/news/eu-and-japan-start-negotiations-include-rules-cross-border-data-flows-their-economic-partnership-2022-10-07_en .

(16)      Δήλωση του ΟΟΣΑ, της 14ης Δεκεμβρίου 2022, σχετικά με την κυβερνητική πρόσβαση σε δεδομένα προσωπικού χαρακτήρα που κατέχουν οντότητες του ιδιωτικού τομέα.

(17)      Αιτιολογικές σκέψεις 180 έως 183 και άρθρο 3 παράγραφος 4 της απόφασης.

(18)      Αγγλική μετάφραση διατίθεται στη διεύθυνση: https://www.ppc.go.jp/files/pdf/APPI_english.pdf .

(19)      Αγγλική μετάφραση διατίθεται στη διεύθυνση: https://www.japaneselawtranslation.go.jp/ja/laws/view/4241 .

(20)      Άρθρο 16 παράγραφος 4 και άρθρο 28 παράγραφος 2 του τροποποιημένου ΝΠΠΠ.

(21)      Ειδικότερα, η τροποποίηση του 2021 του ΝΠΠΠ ενοποιεί τον ΝΠΠΠ, τον Νόμο περί Προστασίας Προσωπικών Πληροφοριών που Τηρούνται από Διοικητικά Όργανα, και τον Νόμο περί Προστασίας Προσωπικών Πληροφοριών που Τηρούνται από Ανεξάρτητους Διοικητικούς Φορείς κ.λπ. σε έναν ενιαίο νόμο για την προστασία των δεδομένων, ο οποίος εφαρμόζεται τόσο στους ιδιωτικούς φορείς όσο και στις δημόσιες αρχές, επεκτείνοντας παράλληλα με ανάλογο τρόπο τη δικαιοδοσία της ΕΠΠ. Η τροποποίηση αυτή άρχισε να ισχύει την 1η Απριλίου 2023, μετά την έναρξη ισχύος τμημάτων της την 1η Σεπτεμβρίου 2021 και την 1η Απριλίου 2022.

(22)      Οι ψευδωνυμοποιημένες προσωπικές πληροφορίες ορίζονται στον τροποποιημένο ΝΠΠΠ ως πληροφορίες που αφορούν ένα πρόσωπο και μπορούν να «υποβάλλονται σε επεξεργασία κατά τρόπο που δεν επιτρέπει την ταυτοποίηση συγκεκριμένου προσώπου, εκτός εάν συνδυάζονται με άλλες πληροφορίες» μέσω μέτρων που προβλέπονται στον Νόμο και προσδιορίζονται στους Κανόνες Επιβολής. Βλ. άρθρο 16 παράγραφος 5 και άρθρο 41 του τροποποιημένου ΝΠΠΠ.

(23)

     Οι αναθεωρημένοι Συμπληρωματικοί Κανόνες εγκρίθηκαν από την ΕΠΠ στις 15 Μαρτίου 2023 και άρχισαν να ισχύουν την 1η Απριλίου 2023.

(24)      Αυτό αποκλείει την εφαρμογή του άρθρου 42 του τροποποιημένου ΝΠΠΠ, στο οποίο προβλέπεται περιορισμένος αριθμός διασφαλίσεων για ψευδωνυμοποιημένες προσωπικές πληροφορίες που δεν θεωρούνται προσωπικές πληροφορίες.

(25)

Βλ. αιτιολογική σκέψη 79 της απόφασης.

(26)      Βλ. αιτιολογική σκέψη 181 της απόφασης.

(27)      Βλ. την υπουργική δήλωση της συνόδου των υπουργών Ψηφιακής της G7, της 11ης Μαΐου 2022, παράρτημα 1 [G7 Action Plan Promoting Data Free Flow with Trust (Σχέδιο δράσης της G7 για την προώθηση της ελεύθερης ροής δεδομένων με εμπιστοσύνη)], η οποία, στο τμήμα με τίτλο «Οικοδόμηση κοινών στοιχείων για την προώθηση της μελλοντικής διαλειτουργικότητας» αναφέρεται σε «ολοένα αυξανόμενες κοινές πρακτικές, όπως οι τυποποιημένες συμβατικές ρήτρες».

(28)      Βλ. OECD Going Digital Toolkit, «Interoperability of privacy and data protection frameworks» (Διαλειτουργικότητα των πλαισίων προστασίας της ιδιωτικής ζωής και των δεδομένων) (διατίθεται στη διεύθυνση: https://goingdigital.oecd.org/data/notes/No21_ToolkitNote_PrivacyDataInteroperability.pdf , σ. 18.

(29)      Βλ. αιτιολογική σκέψη 177 της απόφασης, σύμφωνα με την οποία οι ιαπωνικές αρχές οφείλουν να ενημερώνουν την Επιτροπή για ουσιώδεις εξελίξεις σε σχέση με την εν λόγω απόφαση, τόσο όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα από επιχειρηματικούς φορείς όσο και σε σχέση με τους περιορισμούς και τις διασφαλίσεις που ισχύουν για την πρόσβαση στα δεδομένα προσωπικού χαρακτήρα από τις δημόσιες αρχές.