(1)

Määruses (EL) 2016/679 on kehtestatud eeskirjad isikuandmete edastamiseks Euroopa Liidus asuvatelt vastutavatelt või volitatud töötlejatelt kolmandatesse riikidesse ja rahvusvahelistele organisatsioonidele määral, mil see edastamine kuulub määruse kohaldamisalasse. Isikuandmete rahvusvahelise edastamise eeskirjad on sätestatud selle määruse V peatükis, täpsemalt artiklites 44–50. Isikuandmete liikumine Euroopa Liidust väljaspool asuvatesse riikidesse ja neist riikidest on vajalik rahvusvahelise koostöö ja kaubanduse laiendamiseks, samas tagades, et ei alandata Euroopa Liidus isikuandmetele pakutava kaitse taset.

(2)

Määruse (EL) 2016/679 artikli 45 lõike 3 alusel võib komisjon võtta rakendusaktiga vastu otsuse, et kolmas riik või kolmanda riigi territoorium või kolmanda riigi üks või mitu kindlaksmääratud sektorit või rahvusvaheline organisatsioon tagab isikuandmete kaitse piisava taseme. Sellisel juhul võib edastada isikuandmeid sellesse kolmandasse riiki või sellele kolmanda riigi territooriumile või sektorile või rahvusvahelisele organisatsioonile ilma täiendava loata, nagu on sätestatud määruse artikli 45 lõikes 1 ja põhjenduses 103.

(3)

Nagu on märgitud määruse (EL) 2016/679 artikli 45 lõikes 2, tuleb kaitse piisavuse otsuse vastuvõtmisel tugineda kolmanda riigi õiguskorra põhjalikule analüüsile, mis hõlmab nii andmete importijate suhtes kohaldatavaid eeskirju kui ka isikuandmetele juurdepääsul avaliku sektori asutustele kehtestatud piiranguid ja seotud tagatisi. Hinnanguga tuleb määrata kindlaks, kas kõnealune kolmas riik tagab kaitsetaseme, mis „sisuliselt vastab“ Euroopa Liidus tagatud kaitsetasemele (määruse (EL) 2016/679 põhjendus 104). Nagu Euroopa Liidu Kohus on selgitanud, ei eelda see identset kaitsetaset (2). Eelkõige võivad vahendid, mida asjaomane kolmas riik kasutab, erineda nendest, mida Euroopa Liidus rakendatakse, kuivõrd need osutuvad praktikas piisava kaitsetaseme tagamisel tulemuslikuks (3). Piisavuse nõue ei eelda seega liidu eeskirjade punkthaaval kordamist. Küsimus on pigem selles, kas ELi-väline süsteem tervikuna tagab privaatsusõiguste sisu, nende tõhusa rakendamise, järelevalve ja teostamise kaudu nõutava isikuandmete kaitse taseme (4).

(4)

Komisjon on hoolikalt analüüsinud Jaapani õigust ja tavasid. Komisjon teeb põhjendustes 6–175 esitatud tulemustele tuginedes järelduse, et Jaapan tagab isikuteabe kaitse seaduse (5) kohaldamisalasse kuuluvatele organisatsioonidele edastatavate isikuandmete piisava kaitsetaseme, järgides ka käesolevas otsuses osutatud lisatingimusi. Need tingimused on ette nähtud isikuteabe kaitse komisjoni poolt vastu võetud lisaeeskirjades (I lisa) (6) ning Jaapani valitsuse poolt Euroopa Komisjonile esitatud ametlikes seisukohtades, kinnitustes ja kohustustes (II lisa).

(5)

Käesoleva otsuse kohaselt võib edastada andmeid Euroopa Majanduspiirkonnas (EMP) (7) asuvalt vastutavalt või volitatud töötlejalt sellistele organisatsioonidele Jaapanis ilma, et oleks vaja taotleda lisaluba. Otsus ei mõjuta selliste organisatsioonide suhtes määruse (EL) 2016/679 otsest kohaldamist, kui selle artikli 3 tingimused on täidetud.

(6)

Jaapanis privaatsust ja andmekaitset reguleeriv õigussüsteem toetub 1946. aastal välja kuulutatud põhiseadusele.

(7)

Põhiseaduse artiklis 13 on sätestatud:

„Kõiki inimesi austatakse kui üksikisikuid. Nende õigus elule, vabadusele ja õnnelikkusele on määral, mil see ei riiva üldsuse heaolu, ülim kaalutlus õigusaktides ja muudes valitsuse toimingutes.“

(8)

Selle artikli alusel on Jaapani ülemkohus selgitanud üksikisikute õiguseid seoses isikuteabe kaitsega. 1969. aasta otsuses tunnustas ta õigust privaatsusele ja andmekaitsele kui põhiseaduslikku õigust (8). Eelkõige leidis kohus, et „igal isikul on vabadus kaitsta oma isikuteavet kolmandale isikule avaldamise või põhjenduseta avalikustamise eest“. Peale selle leidis ülemkohus 6. märtsi 2008. aasta otsuses (9) (Juki-Net), et „kodanike eraelulist vabadust kaitstakse avaliku võimu teostamise eest ning seda saab tõlgendada selliselt, et üksikisiku eraeluline vabadus hõlmab iga isiku vabadust kaitsta oma isikuteavet kolmandale isikule avaldamise või põhjenduseta avalikustamise eest“ (10).

(9)

30. mail 2003 kehtestas Jaapan andmekaitse valdkonnas mitu seadust:

(10)

Kaks viimasena nimetatud õigusakti (muudetud 2016. aastal) sisaldavad isikuteabe kaitse suhtes avaliku sektori asutuste kohaldatavaid sätteid. Nende õigusaktide kohaldamisalasse kuuluv andmetöötlus ei ole käesolevas otsuses järeldatud piisavuse objekt; see järeldus piirdub isikuteabe kaitsega „isikuteavet käitlevate ettevõtjate“ poolt APPI tähenduses.

(11)

APPIt on viimastel aastatel reformitud. Muudetud APPI kuulutati välja 9. septembril 2015 ja see jõustus 30. mail 2017. Muudetud õigusaktiga kehtestati mitu uut kaitsemeedet ja tugevdati ka kehtivaid kaitsemeetmeid, lähendades seega Jaapani andmekaitsesüsteemi Euroopa süsteemile. See hõlmab näiteks täitmisele pööratavaid individuaalseid õiguseid või sellise sõltumatu järelevalveasutuse (isikuteabe kaitse komisjoni) asutamist, kellele tehakse ülesandeks APPI järelevalve ja täitmise tagamine.

(12)

Lisaks APPI-le kohaldatakse käesoleva otsuse kohaldamisalasse kuuluva isikuteabe töötlemise suhtes APPI alusel välja antud rakenduseeskirju. Muu hulgas võib nimetada valitsuse määruse muudatust, et tagada 5. oktoobri 2016. aasta isikuteabe kaitse seaduse täitmine, ja isikuteabe kaitse seaduse täitmise tagamise eeskirju, mille on vastu võtnud isikuteabe kaitse komisjon (11). Mõlemad regulatsioonid on õiguslikult siduvad ja täitmisele pööratavad ning jõustusid samal ajal kui muudetud APPI.

(13)

Peale selle andis Jaapani valitsus (mis koosneb peaministrist ja tema valitsuse moodustavatest ministritest) 28. oktoobril 2016 välja „aluspoliitika“, et „edendada põhjalikult ja terviklikult isikuteabe kaitse alaseid meetmeid“. Kooskõlas APPI artikliga 7 antakse aluspoliitika välja valitsuse otsusena ning see hõlmab APPI täitmise tagamise poliitilisi suuniseid, mis on suunatud nii keskvalitsusele kui ka kohalikele omavalitsustele.

(14)

Jaapani valitsus muutis aluspoliitikat hiljuti 12. juunil 2018 vastu võetud valitsuse otsusega. Eesmärgiga hõlbustada rahvusvahelist andmete edastamist delegeeritakse nimetatud valitsuse otsusega isikuteabe kaitse komisjonile kui ametiasutusele, mis on pädev haldama ja rakendama APPIt, „õigus võtta vajalikke meetmeid, et vähendada süsteemide ja toimingute erinevusi Jaapani ja asjaomase välisriigi vahel seaduse artikli 6 alusel, pidades silmas sellelt riigilt saadud isikuteabe asjakohast käitlemist“. Valitsuse otsuses sätestatakse, et see hõlmab õigust kehtestada ulatuslikum kaitse seeläbi, et isikuteabe kaitse komisjon võtab vastu rangemad eeskirjad, mis täiendavad APPIt ja valitsuse määrust või on neist ulatuslikumad. Otsuse kohaselt on need rangemad eeskirjad Jaapani ettevõtjate jaoks siduvad ja täitmisele pööratavad.

(15)

Isikuteabe kaitse komisjon võttis APPI artikli 6 ja nimetatud valitsuse otsuse alusel 15. juunil 2018 vastu „isikuteabe kaitse seaduse kohased lisaeeskirjad kaitse piisavuse otsuse alusel EList edastatud isikuandmete käitlemise kohta“ (edaspidi „lisaeeskirjad“) eesmärgiga täiustada Euroopa Liidust Jaapanisse edastatud isikuteabe kaitset, tuginedes praegusele kaitse piisavuse otsusele. Need lisaeeskirjad on Jaapani ettevõtjate suhtes õiguslikult siduvad ja täitmisele pööratavad nii isikuteabe kaitse komisjoni kui ka kohtute poolt samamoodi nagu APPI sätted, mida eeskirjad täiendavad rangemate ja/või üksikasjalikumate eeskirjadega (12). Kuna Euroopa Liidust isikuandmeid saavatele ja/või neid töötlevatele Jaapani ettevõtjatele pannakse õiguslik kohustus lisaeeskirju järgida, peavad nad tagama (nt tehniliselt („sildistades“) või korralduslikult (spetsiaalses andmebaasis talletades)), et nad saavad selliseid isikuandmeid nende olelusringi kestel tuvastada (13). Järgmistes punktides on analüüsitud iga lisaeeskirja sisu nende APPI artiklite hindamise osana, mida need täiendavad.

(16)

Erinevalt olukorrast enne 2015. aasta muudatust, kui see kuulus konkreetsetes sektorites Jaapani ministeeriumide pädevusse, lubatakse APPIga isikuteabe kaitse komisjonil võtta vastu „suunised“, et andmekaitse-eeskirjade raames „tagada ettevõtja võetavate meetmete nõuetekohane ja tõhus rakendamine“. Isikuteabe kaitse komisjoni suunised toimivad nende eeskirjade autoriteetse tõlgendusena, eriti APPI puhul. Isikuteabe kaitse komisjonilt saadud teabe kohaselt moodustavad need suunised õigusraamistiku lahutamatu osa ning neid tuleb tõlgendada koos APPIga, valitsuse määrusega, isikuteabe kaitse komisjoni eeskirjadega ning isikuteabe kaitse komisjoni koostatud küsimuste ja vastustega (14). Need on seega „ettevõtjate jaoks siduvad“. Kui suunistes märgitakse, et ettevõtja „peab“ tegutsema või „ei tohiks“ tegutseda konkreetsel viisil, käsitab isikuteabe kaitse komisjon asjaomastele sätetele mittevastavust seaduse rikkumisena (15).

(17)

APPI kohaldamisala on kindlaks määratud isikuteabe, isikuandmete ja isikuteavet käitleva ettevõtja määratletud mõistetega. Samal ajal on APPIga sätestatud mõned olulised välistused selle kohaldamisalast, eelkõige anonüümselt töödeldud isikuandmete ja teatavate ettevõtjate poolse töötlemise konkreetsete liikide puhul. Kuigi APPIs ei kasutata mõistet „töötlemine“, on selles olulisel kohal samaväärne mõiste „käitlemine“, mis isikuteabe kaitse komisjonilt saadud teabe kohaselt hõlmab „igasugust isikuandmetega ümberkäimist“, sealhulgas isikuandmete hankimist, sisestamist, kogumist, korraldamist, säilitamist, toimetamist/töötlemist, uuendamist, kustutamist, väljastamist, kasutamist või esitamist.

(18)

APPI materiaalse kohaldamisala puhul on APPIs eristatud isikuteavet ja isikuandmeid ning isikuteabe suhtes kohaldatakse seejuures üksnes teatavaid seaduse sätteid. APPI artikli 2 lõike 1 kohaselt kuulub isikuteabe mõiste alla igasugune teave, mis on seotud elava isikuga ja võimaldab seda isikut tuvastada. Määratluses eristatakse kaht liiki isikuteavet: i) isikukoodid ja ii) muu isikuteave, mille järgi saab konkreetse isiku tuvastada. Teise liigi alla kuulub teave, millest ei piisa isiku tuvastamiseks, kuid mida muu teabega „lihtsasti kõrvutades“ on võimalik konkreetne isik tuvastada. Isikuteabe kaitse komisjoni suuniste (16) kohaselt hinnatakse seda, kas teavet saab käsitada „lihtsasti kõrvutatavana“, iga juhtumi korral eraldi, võttes arvesse ettevõtja tegelikku olukorda („seisundit“). Seda eeldatakse, kui selline kõrvutamine on (või võib olla) jõukohane keskmisele (ehk tavalisele) ettevõtjale, kasutades talle kättesaadavaid vahendeid. Näiteks ei ole teave muu teabega „lihtsasti kõrvutatav“, kui ettevõtja peab tegema tavatuid jõupingutusi või panema toime ebaseaduslikke tegusid, et saada ühelt või mitmelt ettevõtjalt kõrvutatavat teavet.

(19)

APPI kohaselt kuulub isikuandmete mõiste alla üksnes teatavat laadi isikuteave. Tegelikult on „isikuandmed“ määratletud kui „isikuteave, mis moodustab isikuteabe andmebaasi“ ehk „ühise teabekogu“, mis sisaldab isikuteavet, mis on „süsteemselt organiseeritud selliselt, et arvutit kasutades saaks otsida konkreetset isikuteavet“ (17) või „mille puhul on valitsuse määrusega ette nähtud, et see peab olema süsteemselt organiseeritud selliselt, et oleks võimalik lihtsasti otsida konkreetset isikuteavet“, aga „jättes välja valitsuse määrusega ette nähtud teabe, mille puhul on üksikisiku õiguste ja huvide kahjustamine ebatõenäoline, võttes arvesse selle kasutusmeetodit“ (18).

(20)

Seda erandit on täpsustatud valitsuse määruse artikli 3 lõikes 1, mille kohaselt peavad olema täidetud kolm järgmist kumulatiivset tingimust: i) ühine teabekogu peab olema „komplekteeritud suurele hulgale määramata isikutele müümiseks ja komplekteerimisega ei ole rikutud seadust ega seadusel alusel antud määrust“, ii) seda peab olema võimalik „osta mis tahes ajal suure arvu määratlemata isikute poolt“ ja iii) selles sisalduvad isikuandmed tuleb „esitada nende algsel eesmärgil, lisamata muud elava isikuga seotud teavet“. Isikuteabe kaitse komisjoni selgituste kohaselt kehtestati selline kitsalt määratletud erand selleks, et jätta välja telefoniraamatud ja muud samalaadsed kataloogid.

(21)

Jaapanis kogutud andmete puhul on „isikuteabe“ ja „isikuandmete“ eristamine oluline, sest selline teave ei pruugi alati olla osa „isikuteabe andmebaasist“ (näiteks käsitsi kogutud ja töödeldud üksik andmekogum) ning seega ei kohaldata APPI sätteid, mis on seotud üksnes isikuandmetega (19).

(22)

Ent kaitse piisavuse otsusele tuginedes Euroopa Liidust Jaapanisse imporditud isikuandmete puhul ei ole selline eristamine oluline. Kuna selliseid andmeid edastatakse tavaliselt elektrooniliste vahendite kaudu (arvestades, et digitaalajastul vahetatakse andmeid harilikult sel viisil, eriti kui vahemaad on nii suured nagu ELi ja Jaapani vahel) ja need muutuvad seega importija elektroonilise andmete kogumi osaks, liigitatakse ELi andmed APPI alusel alati „isikuandmeteks“. Erandjuhul, mil isikuandmeid edastataks EList muul viisil (nt paberkandjal), kuuluksid need sellegipoolest APPI kohaldamisalasse, kui need pärast edastamist integreeritakse „ühisesse teabekogusse“, mis on süstemaatiliselt korraldatud selliselt, et konkreetset teavet on lihtne otsida (APPI artikli 2 lõike 4 punkt ii). Valitsuse määruse artikli 3 lõike 2 kohaselt on see nii juhul, kui teave on korraldatud „teatava eeskirja kohaselt“ ja andmebaas sisaldab otsingu hõlbustamiseks selliseid tööriistu nagu sisukord või indeks. See vastab andmete kogumi määratlusele isikuandmete kaitse üldmääruse artikli 2 lõike 1 tähenduses.

(23)

Teatavaid APPI sätteid, eelkõige artikleid 27–30, mis on seotud individuaalsete õigustega, kohaldatakse üksnes isikuandmete eriliigi, nimelt säilitatavate isikuandmete suhtes. Need on APPI artikli 2 lõikes 7 määratletud kui muud isikuandmed peale andmete, mis on kas i) „valitsuse määruse kohaselt andmed, mis tõenäoliselt kahjustavad avalikke või muid huve, kui tehakse teatavaks nende olemasolu või puudumine“ või ii) „andmed, mis tuleb kustutada valitsuse määrusega ette nähtud kuni üheaastase ajavahemiku jooksul“.

(24)

Neist liikidest esimest on selgitatud valitsuse määruse artiklis 4 ja see hõlmab nelja laadi erandeid (20). Nende eranditega soovitakse saavutada sarnased eesmärgid nagu on loetletud määruse (EL) 2016/679 artikli 23 lõikes 1, nimelt andmesubjekti (APPI terminoloogia järgi „volitaja“) kaitse ja teiste isikute vabaduse kaitse, riigi julgeolek, avalik julgeolek, kriminaalõiguse täitmise tagamine või muud olulised üldist avalikku huvi pakkuvad eesmärgid. Lisaks tuleneb valitsuse määruse artikli 4 lõike 1 punktide i–iv sõnastusest nende kohaldamisel alati eeldus, et mõne olulise kaitstud huvi puhul esineb konkreetne risk (21).

(25)

Teist liiki on täpsustatud ka valitsuse määruse artiklis 5. Koostoimes APPI artikli 2 lõikega 7 jäetakse säilitatavate isikuandmete mõiste puhul kohaldamisalast ja seega APPI kohaste individuaalsete õiguste alt välja isikuandmed, „mis tuleb kustutada“ kuue kuu jooksul. Isikuteabe kaitse komisjon on selgitanud, et selle erandi eesmärk on motiveerida ettevõtjaid säilitama ja töötlema andmeid võimalikult lühikese ajavahemiku jooksul. Samas tähendaks see, et ELi andmesubjektid ei saaks kasutada olulisi õiguseid üksnes asjaomase ettevõtja poolt nende andmete säilitamise kestuse tõttu.

(26)

Selle olukorra lahendamiseks on lisaeeskirjas 2 nõutud, et Euroopa Liidust edastatavaid isikuandmeid „tuleks käsitada säilitatavate isikuandmetena seaduse artikli 2 lõike 7 tähenduses, olenemata ajavahemikust, mille jooksul need tuleb kustutada“. Seega ei mõjuta säilitamisperiood ELi andmesubjektidele antud õigusi.

(27)

Anonüümselt töödeldava isikuteabe suhtes kohaldatavad nõuded, nagu on määratletud APPI artikli 2 lõikes 9, on sätestatud seaduse IV peatüki 2. jaos (anonüümselt töödeldavat teavet käitleva ettevõtja kohustused). Seevastu ei reguleeri sellist teavet APPI IV peatüki 1. jao sätted, sealhulgas artiklid, millega on sätestatud andmekaitsega seotud kaitsemeetmed ja õigused, mida kohaldatakse selle seaduse alusel isikuandmete töötlemisel. Seega ehkki „anonüümselt töödeldava isikuteabe“ suhtes ei kehti „tavapärased“ andmekaitse-eeskirjad (mis on sätestatud APPI IV peatüki 1. jaos ja artiklis 42), kuuluvad need APPI ja eelkõige artiklite 36–39 kohaldamisalasse.

(28)

Kooskõlas APPI artikli 2 lõikega 9 on „anonüümselt töödeldav isikuteave“ üksikisikuga seotud teave, mis on „saadud isikuteabe töötlemisel“ kooskõlas APPIs (artikli 36 lõige 1) ette nähtud ja isikuteabe kaitse komisjoni eeskirjades (artikkel 19) täpsustatud meetmetega selliselt, et ei ole võimalik tuvastada konkreetset üksikisikut ega taastada isikuteavet.

(29)

Nagu kinnitab ka isikuteabe kaitse komisjon, nähtub nendest sätetest, et isikuteabe „anonüümseks“ muutmise protsess ei pea olema tehniliselt pöördumatu. Kooskõlas APPI artikli 36 lõikega 2 peavad ettevõtjad, kes käitlevad „anonüümselt töödeldavat isikuteavet“ üksnes ennetama uuesti tuvastamist, võttes meetmeid, millega on tagatud selliste „kirjelduste vms ja isikukoodide, mis kustutatakse anonüümselt töödeldava teabe loomiseks kasutatava isikuteabe seast, ning kasutatud töötlemismeetodi alase teabe“ turvalisus.

(30)

Kuna APPIs määratletud „anonüümselt töödeldav isikuteave“ hõlmab andmeid, mille puhul on isiku uuesti tuvastamine endiselt võimalik, võib see tähendada, et Euroopa Liidust edastatud isikuandmed võivad kaotada osa võimalikust kaitsest protsessis, mida peetakse määruse (EL) 2016/679 alusel pigem „pseudonümiseerimise“ kui „anonümiseerimise“ vormiks (seega ei muutu nende kui isikuandmete laad).

(31)

Selle olukorra lahendamiseks on lisaeeskirjades ette nähtud lisanõuded, mida kohaldatakse üksnes selle otsuse alusel Euroopa Liidust edastatud isikuandmete suhtes. Lisaeeskirjade eeskirja 5 kohaselt käsitatakse sellist isikuteavet APPI tähenduses „anonüümselt töödeldava isikuteabena“ üksnes juhul, „kui isikuteavet käitlev ettevõtja võtab meetmeid, mis muudavad isiku uuesti tuvastamise igaühe jaoks võimatuks, sealhulgas kustutades töötlemismeetodi jms teabe“. Viimasena nimetatud teave on lisaeeskirjades määratletud kui teave, mis on seotud kirjelduste ja isikukoodidega, mis kustutati isikuteabest, et luua anonüümselt töödeldav isikuteave, samuti teave, mis on seotud töötlemismeetodiga, mida kasutati nende kirjelduste ja isikukoodide kustutamisel. Teisisõnu nõutakse lisaeeskirjadega, et ettevõtja, kes loob anonüümselt töödeldavat isikuteavet, peab hävitama „võtme“, mis võimaldab andmeid uuesti isikuga siduda. See tähendab, et Euroopa Liidust pärit isikuandmete puhul kehtivad APPI sätted, millega reguleeritakse „anonüümselt töödeldavat isikuteavet“, üksnes juhtudel, mil neid käsitataks samamoodi anonüümse teabena määruse (EL) 2016/679 (22) alusel.

(32)

Isikulise kohaldamisala poolest kohaldatakse APPI üksnes isikuteavet käitlevate ettevõtjate suhtes. Isikuteavet käitlev ettevõtja on APPI artikli 2 lõikes 5 määratletud kui „isik, kes esitab isikuteabe andmebaasi vms äritegevuses kasutamiseks“, välja arvatud valitsus- ja haldusasutused nii kesk- kui ka kohalikul tasandil.

(33)

Isikuteabe kaitse komisjoni suuniste kohaselt tähendab „äritegevus“ igasugust „tegevust, mille eesmärk on korduvalt ja pidevalt käitada teataval eesmärgil tulunduslikku või mittetulunduslikku sotsiaalselt tunnustatud ettevõtet“. Organisatsioone, mis ei ole juriidilised isikud (näiteks de facto ühingud), või üksikisikuid käsitatakse isikuteavet käitleva ettevõtjana, kui nad tagavad (kasutavad) isikuteabe andmebaasi jne oma äritegevuses (23). Seega on „äritegevuse“ mõiste APPI alusel väga lai, kuna see hõlmab igat liiki organisatsioonide ja üksikisikute tulunduslikku ja mittetulunduslikku tegevust. Peale selle hõlmab „äritegevuses kasutamine“ ka isikuteavet, mida ei kasutata ettevõtja (välistes) kaubandussuhetes, vaid asutusesiseselt, näiteks töötajate andmete töötlemiseks.

(34)

Mis puutub APPIs sätestatud kaitset saavatesse isikutesse, ei tehta seaduses isikutel vahet nende kodakondsuse, elukoha või asukoha järgi. Sama kehtib üksikisikute võimalusega pöörduda õiguskaitse saamiseks isikuteabe kaitse komisjoni või kohtu poole.

(35)

APPI alusel ei eristata selgelt vastutavatele ja volitatud töötlejatele pandud kohustusi. Selle eristamise puudumine ei mõjuta kaitsetaset, sest kõik isikuteavet käitlevad ettevõtjad peavad täitma kõiki seaduse sätteid. Isikuteavet käitlev ettevõtja, kes usaldab isikuandmete käitlemise usaldusisikule (vastab isikuandmete kaitse üldmääruse kohasele volitatud töötlejale), on endiselt kohustatud usaldatud andmete suhtes täitma talle APPI ja lisaeeskirjadega pandud kohustusi. Lisaks peab ta APPI artikli 22 kohaselt „tegema vajalikku ja asjakohast järelevalvet“ usaldusisiku üle. Nagu isikuteabe kaitse komisjon on kinnitanud, on samas ka usaldusisik seotud APPI ja lisaeeskirjade kõigi kohustustega.

(36)

APPI artikliga 76 on teatavat liiki andmetöötlus välistatud seaduse IV peatüki kohaldamisalast, mis sisaldab keskseid andmekaitsesätteid (aluspõhimõtted, ettevõtjate kohustused, individuaalsed õigused, isikuteabe kaitse komisjoni tehtav järelevalve). Artiklis 76 sätestatud valdkonnapõhise välistamisega hõlmatud töötlemine on samuti vabastatud isikuteabe kaitse komisjoni täitmise tagamise volitustest kooskõlas APPI artikli 43 lõikega 2 (24).

(37)

APPI artiklis 76 sätestatud valdkonnapõhise välistamisel asjaomaste liikide määratlemisel on kasutatud topeltkriteeriumi, mis põhineb isikuteavet käitleva ettevõtja liigil ja töötlemise eesmärgil. Täpsemalt kohaldatakse erandit järgmiste isikute suhtes: i) ringhäälinguasutused, ajalehtede kirjastused, kommunikatsiooniagentuurid või muud pressiorganisatsioonid (sealhulgas üksikisikud, kes tegelevad oma äritegevuses pressitegevusega) määral, mil nad töötlevad ajakirjanduse eesmärgil isikuteavet; ii) isikud, kes tegelevad kutselise kirjutamisega määral, mil see hõlmab isikuteavet; iii) ülikoolid ja muud akadeemilistele õpingutele suunatud organisatsioonid või grupid või sellisesse organisatsiooni kuuluvad isikud määral, mil nad töötlevad akadeemiliste õpingute eesmärgil isikuteavet; iv) usulised organid määral, mil nad töötlevad isikuteavet usulise tegevuse eesmärgil (sealhulgas kõik seotud tegevused); ja (v) poliitilised organid määral, mil nad töötlevad isikuteavet oma poliitilise tegevuse eesmärgil (sealhulgas kõik seotud tegevused). Isikuteabe töötlemine ühel artiklis 76 loetletud eesmärkidest teist liiki isikuteavet käitlevate ettevõtjate poolt, samuti isikuandmete töötlemine teisel eesmärgil mõne loetletud isikuteavet käitleva ettevõtja poolt, näiteks tööhõive kontekstis, on endiselt hõlmatud IV peatüki sätetega.

(38)

Selleks et tagada Euroopa Liidust Jaapani ettevõtjatele edastatud isikuandmete piisav kaitsetase, tuleks käesoleva otsusega hõlmata üksnes selline isikuteabe töötlemine, mis kuulub APPI IV peatüki kohaldamisalasse – st isikuteavet käitleva ettevõtja poolt määral, mil töötlemisolukord ei vasta ühele valdkondlikule välistustest. Selle kohaldamisala tuleks seega ühtlustada APPI kohaldamisalaga. Isikuteabe kaitse komisjonilt saadud teabe kohaselt käsitatakse olukorda, kui isikuteavet käitlev ettevõtja, kelle suhtes kohaldatakse käesolevat otsust, hiljem kasutuseesmärki (lubatud ulatuses) muudab ja kelle suhtes seejärel kohaldataks APPI artiklis 76 sätestatud valdkonnapõhise välistamise juhtu, rahvusvahelise edastamisena (arvestades, et sellisel juhul ei oleks isikuandmete töötlemine enam hõlmatud APPI IV peatükiga ja jääks seega kohaldamisalast välja). Sama kehtiks juhul, kui isikuteavet käitlev ettevõtja esitab isikuandmeid APPI artikliga 76 hõlmatud üksusele selles sättes osutatud töötlemise eesmärgil kasutamiseks. Euroopa Liidust edastatavate isikuandmete puhul tähendaks see, et tegemist on edasisaatmisega, mille suhtes kehtivad vastavad kaitsemeetmed (eelkõige need, mis on sätestatud APPI artiklis 24 ja lisaeeskirjas 4). Kui isikuteavet käitleval ettevõtjal on vaja saada andmesubjekti nõusolek (25), peaks ettevõtja talle esitama kogu vajaliku teabe, sealhulgas teabe selle kohta, et isikuandmetele ei kehtiks enam APPI kohane kaitse.

(39)

Isikuandmeid tuleks töödelda konkreetsel eesmärgil ja kasutada seejärel üksnes määral, mil see on kooskõlas töötlemise eesmärgiga. See andmekaitsepõhimõte on tagatud APPI artiklitega 15 ja 16.

(40)

APPIs on lähtutud põhimõttest, et ettevõtja peab määratlema kasutamise eesmärgi „nii selgelt kui võimalik“ (artikli 15 lõige 1) ning on seejärel kohustatud andmeid töödeldes seda eesmärki järgima.

(41)

Selles suhtes on APPI artikli 15 lõikes 2 sätestatud, et isikuteavet käitlev ettevõtja ei või esialgset eesmärki muuta „rohkem kui ulatuses, mis on tunnistatud võrdlemisi asjakohaseks eelnevalt muudetud kasutuseesmärgi puhul“, tõlgendatuna isikuteabe kaitse komisjoni suunistes selliselt, et see vastab sellele, mida andmesubjekt saab objektiivselt eeldada, tuginedes „tavapärastele ühiskondlikele tavadele“ (26).

(42)

Peale selle on APPI artikli 16 lõike 1 kohaselt isikuteavet käitlevatel ettevõtjatel keelatud eelnevat andmesubjekti nõusolekut küsimata ületada isikuteabe käitlemisel artiklis 15 määratletud „kasutuseesmärgi saavutamiseks vajalikku ulatust“, välja arvatud juhul, kui kohaldatakse üht artikli 16 lõike 3 eranditest (27).

(43)

Mis puutub teiselt ettevõtjalt saadud isikuteabesse, siis võib isikuteavet käitlev ettevõtja põhimõtteliselt määrata uue kasutuseesmärgi (28). Selleks et tagada, et Euroopa Liidust edastamise korral on see saaja kohustatud järgima eesmärki, milleks andmeid edastati, on lisaeeskirjaga 3 nõutud, et juhtudel, mil „[isikuteavet käitlev ettevõtja] saab kaitse piisavuse otsuse alusel isikuandmeid EList“ või see ettevõtja „saab teiselt [isikuteavet käitlevalt ettevõtjalt] isikuandmeid, mis on varem kaitse piisavuse otsuse alusel edastatud EList“ (jagamiseks edasisaatmine), peab saaja „märkima nimetatud isikuandmete kasutamise eesmärgi selle kasutuseesmärgi ulatuses, milleks andmed esialgselt või hiljem saadi“. Teisisõnu tagab see eeskiri, et edastamise kontekstis määrab määruse (EL) 2016/679 kohaselt kindlaks määratud eesmärk jätkuvalt töötlemise ning selle eesmärgi muutmine töötlemise mis tahes etapis Jaapanis nõuaks ELi andmesubjekti nõusolekut. Isikuteavet käitlev ettevõtja peab selle nõusoleku saamiseks andmesubjektiga ühendust võtma ja kui see ei ole võimalik, tuleb säilitada algne eesmärk.

(44)

Põhjenduses 43 viidatud lisakaitse on seda asjakohasem, et eesmärgi piirangu põhimõtte kaudu tagab Jaapani süsteem ka selle, et isikuandmeid töödeldakse õiguspäraselt ja õiglaselt.

(45)

APPIs on sätestatud, et kui isikuteavet käitlev ettevõtja kogub isikuteavet, peab ta märkima isikuteabe kasutamise eesmärgi üksikasjalikult (29) ning teavitama kohe andmesubjekti sellest kasutuseesmärgist (või avalikustama selle üldsusele) (30). Lisaks on APPI artiklis 17 sätestatud, et isikuteavet käitlev ettevõtja ei hangi isikuandmeid pettuse teel ega muude sobimatute vahendite kaudu. Mis puutub teatavaid andmeliike nagu eritähelepanu nõudev isikuteave, siis tuleb nende omandamiseks saada andmesubjekti nõusolek (APPI artikli 17 lõige 2).

(46)

Seega nagu on selgitatud põhjendustes 41 ja 42, on isikuteavet käitleval ettevõtjal keelatud töödelda isikuandmeid muudel eesmärkidel, välja arvatud juhul, kui andmesubjekt on sellise töötlemisega nõus või kui kohaldatakse mõnda APPI artikli 16 lõike 3 eranditest.

(47)

Lisaks mis puutub isikuteabe edasisse edastamisse kolmandale isikule, (31) lubatakse APPI artikli 23 lõikega 1 sellist edastamist üksnes erijuhtumitel, mil üldiselt on nõutav andmesubjekti eelnev nõusolek (32). APPI artikli 23 lõigetes 2, 3 ja 4 on sätestatud nõusoleku saamise nõude erandid. Samas on sellised erandid kohaldatavad üksnes mittetundlike andmete puhul ning eeldusel, et ettevõtja eelnevalt teavitab asjaomaseid üksikisikuid kavatsusest avaldada nende isikuteavet kolmandale isikule ja võimalusest esitada sellele avaldamisele vastuväiteid (33).

(48)

Mis puutub Euroopa Liidust edastamisse, siis peavad isikuandmed olema kõigepealt kogutud ja töödeldud ELis kooskõlas määrusega (EL) 2016/679. See tähendab alati ühelt poolt kogumist ja töötlemist, sealhulgas edastamist Euroopa Liidust Jaapanisse, tuginedes ühele määruse artikli 6 lõikes 1 loetletud õiguslikest alustest, ning teiselt poolt kogumist konkreetsel, selgel ja õiguspärasel eesmärgil ning edasise töötlemise keeldu, sealhulgas edastamise kaudu, viisil, mis ei ole määruse artikli 5 lõike 1 punktis b ja artikli 6 lõikes 4 sätestatud eesmärgiga kooskõlas.

(49)

Pärast edastamist peab lisaeeskirja 3 kohaselt isikuteavet käitlev ettevõtja, kes saab andmeid, „kinnitama“ edastamise erieesmärki/erieesmärke (st eesmärk, mis on määratletud kooskõlas määrusega (EL) 2016/679) ning töötlema neid andmeid edaspidi kooskõlas selle eesmärgiga või nende eesmärkidega (34). See tähendab, et määruse alusel kindlaks määratud eesmärki või eesmärke peab lisaks isikuandmete esialgsele saajale Jaapanis järgima ka nende andmete edasine saaja, sh usaldusisik.

(50)

Pealegi kui isikuteavet käitlev ettevõtja sooviks seda eesmärki muuta, nagu on varem määratletud määruses (EL) 2016/679, peaks ta kooskõlas APPI artikli 16 lõikega 1 saama põhimõtteliselt andmesubjekti nõusoleku. Ilma selle nõusolekuta oleks kasutuseesmärgi saavutamiseks vajalikust ulatuslikum andmete töötlemine artikli 16 lõike 1 rikkumine ja seega isikuteabe kaitse komisjoni ja kohtute poolt täitmisele pööratav.

(51)

Seega arvestades, et määruse (EL) 2016/679 alusel on edastamiseks vaja kehtivat õiguslikku alust ja konkreetset eesmärki ning need vastavad APPI kohasele „kinnitatud“ kasutuseesmärgile, tagavad APPI ja lisaeeskirja 3 asjaomased sätted ELi andmete Jaapanis töötlemise jätkuva õiguspärasuse.

(52)

Andmed peavad olema õiged ja vajaduse korral ka ajakohastatud. Need peavad olema ka piisavad, asjakohased ja mitte ülemäärased seoses eesmärgiga, mille tarvis neid töödeldakse.

(53)

Need põhimõtted tagatakse Jaapani õiguses APPI artikli 16 lõikega 1, mille kohaselt on keelatud isikuteabe käitlemisel ületada „kasutuseesmärgi saavutamiseks vajalikku ulatust“. Nagu isikuteabe kaitse komisjon on selgitanud, siis see mitte üksnes ei välista ebapiisavate andmete kasutamist ja andmete ülemäärast kasutamist (suuremas ulatuses, kui kasutuseesmärgi saavutamiseks vaja), vaid hõlmab ka selliste andmete käitlemise keeldu, mis ei ole kasutuseesmärgi saavutamiseks asjakohased.

(54)

Mis puutub kohustusse tagada andmete õigsus ja ajakohasus, siis on APPI artikliga 19 nõutud, et isikuteavet käitlev ettevõtja „üritaks tagada isikuandmete õigsus ja ajakohus kasutuseesmärgi saavutamiseks vajalikus ulatuses“. Seda sätet tuleks tõlgendada koos APPI artikli 16 lõikega 1: kui isikuteavet käitlev ettevõtja ei järgi täpsuse suhtes ette nähtud nõudeid, siis isikuteabe kaitse komisjonilt saadud selgituste kohaselt ei loeta isikuteabe töötlemist kasutuseesmärki saavutatuks ning seega muutub selle käitlemine artikli 16 lõike 1 alusel ebaseaduslikuks.

(55)

Andmeid ei tohiks põhimõtteliselt säilitada kauem kui see on vajalik isikuandmete töötlemise eesmärgi täitmiseks.

(56)

APPI artikli 19 kohaselt peavad isikuteavet käitlevad ettevõtjad „püüdma […] kustutada isikuandmed viivitamata, kui nende kasutamine on muutunud ebavajalikuks“. Seda sätet tuleb tõlgendada koostoimes APPI artikli 16 lõikega 1, millega keelatakse isikuteabe käitlemisel ületada „kasutuseesmärgi saavutamiseks vajalikku ulatust“. Kui kasutuseesmärk on saavutatud, ei saa isikuteabe töötlemist enam vajalikuks pidada ning seega ei saa see jätkuda (välja arvatud juhul, kui isikuteavet käitlev ettevõtja saab selleks andmesubjekti nõusoleku).

(57)

Isikuandmeid tuleks töödelda viisil, mis tagab nende turvalisuse, sealhulgas kaitse loata või ebaseadusliku töötlemise ning juhusliku kaotsimineku, hävimise või kahju eest. Sel eesmärgil peaks ettevõtjad võtma asjakohaseid tehnilisi ja korralduslikke meetmeid, et kaitsta isikuandmeid võimalike ohtude eest. Neid meetmeid tuleks hinnata, võttes arvesse tehnika taset ja seonduvaid kulusid.

(58)

Seda põhimõtet rakendatakse Jaapani õiguses APPI artikliga 20, milles on sätestatud, et isikuteavet käitlev ettevõtja „peab võtma vajalikke ja asjakohaseid meetmeid isikuandmete turvakontrolliks, sealhulgas tema käideldavate isikuandmete lekke, kaotsimineku või kahju ärahoidmiseks“. Isikuteabe kaitse komisjoni suunistes selgitatakse võetavaid meetmeid, sealhulgas aluspoliitika, andmete käitlemise eeskirjade ja mitmesuguste „kontrollmeetmete“ kehtestamise meetodeid (organisatsioonilise ohutuse ning inimeste, füüsilise ja tehnoloogilise turvalisuse vallas) (35). Lisaks on isikuteabe kaitse komisjoni avaldatud suunistes ja spetsiaalses teates (lisa 8 võetavate ohutusjuhtimise meetmete sisu kohta) ette nähtud täiendavad üksikasjad meetmete kohta, mis on seotud turvaintsidentidega (nt isikuteabe leke) isikuteavet käitlevate ettevõtjate võetavate turvalisuse juhtimise meetmete osana (36).

(59)

Peale selle tuleb alati, kui isikuteavet käitlevad töötajad või alltöövõtjad, tagada turvakontrolli eesmärgil „vajalik ja asjakohane järelevalve“ APPI artiklite 20 ja 21 alusel. Samuti on isikuteabe tahtliku lekitamise või varguse eest APPI artikliga 83 karistusena ette nähtud kuni üheaastane vangistus.

(60)

Andmesubjekte tuleks teavitada nende isikuandmete töötlemise põhiomadustest.

(61)

APPI artikli 18 lõikega 1 nõutakse, et isikuteavet käitlevad ettevõtjad teevad andmesubjektile kättesaadavaks teabe saadud isikuteabe kasutamise eesmärgi kohta, välja arvatud „juhtudel, mil kasutuseesmärk on eelnevalt üldsusele avalikustatud“. Sama kohustus kehtib eesmärgi lubatava muutmise korral (artikli 18 lõige 3). Sellega tagatakse ühtlasi, et andmesubjektile antakse tema andmete kogumise asjaolust teada. Ehkki APPIga ei nõuta üldiselt, et isikuteavet käitlev ettevõtja teavitaks kogumise etapis andmesubjekti isikuteabe eeldatavatest saajatest, on selline teavitamine eeltingimus, et hiljem teavet ükskõik millisel viisil edastada kolmandale isikule (saajale) artikli 23 lõike 2 alusel, st juhul, kui selleks ei olnud andmesubjekti eelnevat nõusolekut.

(62)

Mis puutub „säilitatavatesse isikuandmetesse“, siis on APPI artiklis 27 sätestatud, et isikuteavet käitlev ettevõtja teavitab andmesubjekti oma identiteedist (kontaktandmed), kasutuseesmärgist ja andmesubjekti individuaalseid õiguseid puudutavale taotlusele vastamise korrast APPI artiklite 28, 29 ja 30 alusel.

(63)

Kuna lisaeeskirjade alusel käsitatakse Euroopa Liidust edastatud isikuandmeid „säilitatavate isikuandemetena“ nende säilitamisperioodist sõltumata (välja arvatud juhul, kui need on hõlmatud eranditega), kehtivad nende suhtes mõlema ülalnimetatud sätte alusel alati läbipaistvusnõuded.

(64)

Nii artikli 18 nõuete puhul kui ka kohustuse puhul teavitada kasutuseesmärgist APPI artikli 27 alusel kehtivad samad erandid, mis põhinevad peamiselt avaliku huvi kaalutlustel ning andmesubjekti, kolmandate isikute ja vastutava töötleja õiguste ja huvide kaitsel (37). Isikuteabe kaitse komisjoni suunistes esitatud tõlgenduse kohaselt kohaldatakse neid erandeid väga konkreetsetes olukordades, näiteks juhul, kui kasutuseesmärki puudutav teave võib seada ohtu ettevõtja poolt teatavate huvide kaitsmiseks võetavad õiguspärased meetmed (näiteks pettusevastane võitlus, tööstusspionaaž, sabotaaž).

(65)

„Eriliiki“ andmete töötlemisel tuleks kohaldada konkreetseid kaitsemeetmeid.

(66)

„Eritähelepanu nõudev isikuteave“ on määratletud APPI artikli 2 lõikes 3. See säte viitab „isikuteabele, mis hõlmab volitaja rassi, usutunnistust, sotsiaalset seisundit, haiguslugusid, karistusregistri andmeid, asjaolu, et ta on olnud kuriteos kannatanu, või muid kirjeldusi jne, mis on valitsuse määrusega ette nähtud kui kirjeldused, mille käitlemine nõuab erihoolt, et ära hoida volitaja ebaõiglane diskrimineerimine, tema kahjustamine või muud tema jaoks ebasoodsad asjaolud“. Need liigid vastavad suurel määral määruse (EL) 2016/679 artiklites 9 ja 10 esitatud tundlike andmete loetelule. Eelkõige vastab termin „haiguslood“ terviseandmetele ning väljend „karistusregistri andmeid ja asjaolu, et ta on olnud kuriteos kannatanu“ on sisuliselt sama nagu määruse (EL) 2016/679 artiklis 10 viidatud liigid. APPI artikli 2 lõikes 3 viidatud liike on täiendavalt tõlgendatud valitsuse määruses ja isikuteabe kaitse komisjoni suunistes. Isikuteabe kaitse komisjoni suuniste jao 2.3 punkti 8 kohaselt tõlgendatakse valitsuse määruse artikli 2 punktides ii ja iii täpsustatud „haiguslugusid“ geneetilisi ja biomeetrilisi andmeid hõlmavana. Samuti ehkki loetelu ei sisalda termineid „etniline päritolu“ või „poliitilised vaated“, sisaldab see viiteid „rassile“ ja „usutunnistusele“. Nagu on selgitatud isikuteabe kaitse komisjoni suuniste jao 2.3 punktides 1 ja 2, hõlmab viide „rassile“„etnilisi sidemeid või sidemeid teatava maailmajaoga“ ning terminit „usutunnistus“ mõistetakse nii usulisi kui ka poliitilisi vaateid hõlmavana.

(67)

Nagu on selge sätte sõnastusest, ei ole see ammendav loetelu ning sellele võib lisada muid andmete liike määral, mil nende töötlemine tekitab „volitaja ebaõiglase diskrimineerimise, tema kahjustamise või muude tema jaoks ebasoodsate asjaolude“ ohu.

(68)

Ehkki „tundlike“ andmete mõiste on iseenesest sotsiaalne mõiste, sest see põhineb asjaomase ühiskonna kultuurilistel ja õiguslikel tavadel, moraalsetel kaalutlustel, poliitilistel valikutel jne, võttes arvesse tundlikele andmetele piisavate kaitsemeetmete tagamise tähtsust, kui neid andmeid edastatakse Jaapanis asuvatele ettevõtjatele, on komisjon leidnud, et Jaapani õiguse alusel „eritähelepanu nõudvale isikuteabele“ tagatud erikaitse laieneb kõikidele määruse (EL) 2016/679 kohastele „tundlikele andmetele“. Sel eesmärgil on lisaeeskirjaga 1 ette nähtud, et Euroopa Liidust edastatud andmed, mis puudutavad üksikisiku seksuaalelu, seksuaalset sättumust või ametiühingutes osalust, töötleb isikuteavet käitlev ettevõtja „samal viisil nagu eritähelepanu nõudvat isikuteavet [APPI] artikli 2 lõike 3 tähenduses“.

(69)

Mis puutub täiendavatesse sisulistesse kaitsemeetmetesse, mida kohaldatakse eritähelepanu nõudva isikuteabe suhtes, ei ole kooskõlas APPI artikli 17 lõikega 2 isikuteavet käitlevate ettevõtjatel lubatud omandada seda liiki andmeid ilma asjaomase isiku eelneva nõusolekuta, v.a üksikud erandid (38). Peale selle on välistatud seda liiki isikuteabe avaldamine kolmandale isikule APPI artikli 23 lõikes 2 sätestatud menetluse (andmete kolmandatele isikutele ilma asjaomase isiku eelneva nõusolekuta edastamise lubamine) alusel.

(70)

Vastutuse põhimõtte kohaselt peavad andmeid töötlevad üksused kehtestama asjakohased tehnilised ja korralduslikud meetmed, et täita tõhusalt oma andmekaitse kohustusi ja suuta tõendada sellist vastavust, eriti pädevale järelevalveasutusele.

(71)

Nagu on märgitud joonealune märkuses 34 (põhjendus 49), peavad isikuteavet käitlevad ettevõtjad APPI artikli 26 lõike 1 alusel kontrollima neile isikuandmeid esitava kolmanda isiku identiteeti ja „asjaolusid“, mille alusel kolmas isik on need andmed omandanud (käesoleva otsusega hõlmatud isikuandmete korral hõlmavad need asjaolud kooskõlas APPI ja lisaeeskirjaga 3 asjaolu, et andmed on pärit Euroopa Liidust, samuti andmete algset edastamise eesmärki). Muu hulgas on selle meetme eesmärk tagada andmetöötluse õiguspärasus kogu isikuteavet käitlevate ettevõtjate isikuandmete töötlemise ahelas. Peale selle on APPI artikli 26 lõikes 3 nõutud, et isikuteavet käitlevad ettevõtjad peaksid registrit, milles kajastatakse saamise kuupäev ja kolmandalt isikult lõike 1 alusel saadud (kohustuslik) teave, samuti asjaomase üksikisiku (andmesubjekti) nimi, töödeldavate andmete liigid ja vajaduse korral asjaolu, et andmesubjekt on andnud nõusoleku oma isikuandmete jagamiseks. Nagu on märgitud isikuteabe kaitse komisjoni eeskirjade artiklis 18, tuleb neid registreid hoida olenevalt asjaoludest alles vähemalt üks kuni kolm aastat. Isikuteabe kaitse komisjon võib oma ülesannete täitmisel nõuda selliste registrite esitamist (39).

(72)

Isikuteavet käitlevad ettevõtjad peavad kiiresti ja asjakohaselt lahendama asjaomaste isikute kaebused nende isikuteabe töötlemise kohta. Kaebuste lahendamise hõlbustamiseks kehtestavad nad „[selle] eesmärgi saavutamiseks vajaliku süsteemi“, mis tähendab, et nad peavad kehtestama asjakohased menetlused oma organisatsioonis (näiteks määrama vastutusalad või nägema ette kontaktisiku).

(73)

Lisaks luuakse APPIga raamistik, mille alusel saavad valdkondlikud organisatsioonid osaleda kõrge vastavustaseme tagamisel (vt IV peatüki 4. jagu). Selliste spetsiaalsete isikuteabe kaitse organisatsioonide (40) roll on tugevdada isikuteabe kaitset, toetades selleks ettevõtjaid oma ekspertteadmistega, aga ka aidata rakendada kaitsemeetmeid, eelkõige lahendades üksikisikute kaebuseid ja aidates lahendada seotud konflikte. Nad võivad sel eesmärgil nõuda, et isikuteavet käitlevad ettevõtjad võtavad vajaduse korral vajalikke meetmeid (41). Peale selle teavitavad isikuteavet käitlevad ettevõtjad andmetega seotud rikkumiste või muude turvaintsidentide korral isikuteabe kaitse komisjoni ja andmesubjekti (või üldsust) ning võtavad vajalikke meetmeid, sealhulgas meetmeid, et vähendada kahju ja ära hoida sarnaste intsidentide kordumine (42). Ehkki need on vabatahtlikud skeemid, loetles isikuteabe kaitse komisjon 10. augustil 2017. aastal 44 organisatsiooni, millest suurim on Jaapani infotöötlus- ja -arenduskeskus (JIPDEC), millel ainuüksi on 15 436 osalevat ettevõtjat (43). Akrediteeritud skeemide seas võib nimetada valdkondlikke ühinguid, nagu Jaapani väärtpaberimaaklerite ühing, Jaapani sõidukoolide ühing või abielusõlmijate ühing (44).

(74)

Akrediteeritud isikuteabe kaitse organisatsioonid esitavad oma tegevuse kohta aastaaruandeid. Kooskõlas isikuteabe kaitse komisjoni avaldatud dokumendiga „APPI rakendamise seisu ülevaade 2015. eelarveaastal“ said akrediteeritud isikuteabe kaitse organisatsioonid kokku 442 kaebust, nõudsid oma pädevuse alla kuuluvatelt ettevõtjatelt selgitusi 123 korral, nõudsid nendelt ettevõtjatelt dokumente 41 korral, andsid 181 juhist ja esitasid kaks soovitust (45).

(75)

Euroopa Liidust Jaapanis asuvatele ettevõtjatele edastatavatele isikuandmetele pakutavat kaitsetaset ei tohi vähendada selliste andmete edasisaatmine kolmandasse riiki Jaapanist väljaspool. Selline „edasisaatmine“, mis tähendab Jaapani ettevõtja seisukohast rahvusvahelist edastamist Jaapanist, tuleks lubada üksnes juhul, kui järgmine saaja väljapool Jaapanit järgib ise eeskirju, mis tagavad sarnase kaitse, nagu on tagatud Jaapani õiguskorraga.

(76)

Esmane kaitse on ette nähtud APPI artikliga 24, mis üldiselt keelab isikuandmete edastamise kolmandale isikule väljaspool Jaapani territooriumit ilma asjaomase isiku eelneva nõusolekuta. Lisaeeskirjaga 4 tagatakse, et andmete edastamisel Euroopa Liidust on see nõusolek eriti teadlik, sest see nõuab, et asjaomastele üksikisikutele „antakse teavet asjaolude kohta, mis puudutavad edastamist ja mille alusel saab volitaja teha otsuse oma nõusoleku kohta“. Sellest lähtudes teavitatakse andmesubjekti asjaolust, et andmed edastatakse välisriiki (mis ei kuulu APPI kohaldamisalasse), ja nimetatakse konkreetne sihtriik. See võimaldab isikul hinnata edastamisega seotud riski eraelu puutumatusele. Nagu saab järeldada APPI artiklist 23 (vt põhjendus 47), peaks volitajale esitatav teave hõlmama kõnealuse artikli lõike 2 kohaseid kohustuslikke andmeid, nimelt kolmandale isikule edastatud isikuandmete liike ja avaldamise meetodit.

(77)

APPI artiklis 24, mida kohaldatakse koos isikuteabe kaitse komisjoni eeskirjade artikliga 11-2, on sätestatud sellele nõusolekupõhisele eeskirjale mitu erandit. Peale selle kohaldatakse artikli 24 alusel samu erandeid, mis on kohaldatavad APPI artikli 23 lõike 1 alusel, ka rahvusvahelise andmete edastamise suhtes (46).

(78)

Et tagada selle otsuse alusel jätkuv kaitse Euroopa Liidust Jaapanisse edastatavate isikuandmete korral, tugevdatakse lisaeeskirjaga 4 kaitset selliste andmete edasisaatmisel isikuteavet käitlevate ettevõtjate poolt kolmandas riigis asuvale saajale. Kaitset tugevdatakse seeläbi, et piiritletakse ja raamistatakse rahvusvahelise edastamise alused, mida isikuteavet käitlev ettevõtja võib nõusoleku asemel kasutada. Täpsemalt ja ilma et see piiraks APPI artikli 23 lõikes 1 sätestatud erandite kohaldamist, tähendab see seda, et selle otsuse alusel edastatavaid isikuandmeid võib ilma nõusolekuta (edasi) saata üksnes kahel juhul: i) kui andmed saadetakse kolmandasse riiki, mida isikuteabe kaitse komisjon on APPI artikli 24 alusel tunnustanud kui riiki, mis tagab Jaapani tagatava kaitsetasemega samaväärse kaitsetaseme (47); või ii) kui isikuteavet käitlev ettevõtja või kolmandast isikust saaja on koos rakendanud meetmeid, mis tagavad APPIga (koostoimes lisaeeskirjadega) samaväärse kaitsetaseme kas lepingu, muude siduvate kokkulepete või ettevõtjate kontsernis sõlmitud siduvate kokkulepete kaudu. Teine kategooria vastab instrumentidele, mida kasutatakse määruse (EL) 2016/679 alusel asjakohaste kaitsemeetmete tagamiseks (eelkõige lepingu tüüptingimused ja siduvad kontsernisisesed eeskirjad). Nagu isikuteabe kaitse komisjon on kinnitanud, kohaldatakse ka sellistel juhtudel kolmandale isikule edastamise suhtes APPI raames isikuandmete jagamisel kehtivaid üldeeskirju (st artikli 23 lõike 1 kohase nõusoleku saamise nõue või alternatiivina APPI artikli 23 lõike 2 kohase loobumisklausli kasutamise võimalus). Kui andmesubjekt ei ole nõusoleku küsimiseks või APPI artikli 23 lõike 2 kohaselt nõutava eelteabe esitamiseks kättesaadav, ei ole edastamine lubatud.

(79)

Seega välja arvatud juhtudel, mil isikuteabe kaitse komisjon on leidnud, et kõnealune kolmas riik tagab APPI garanteeritava kaitsetasemega samaväärse kaitsetaseme (48), välistatakse lisaeeskirjas 4 sätestatud nõuetega selliste edastamisinstrumentide kasutamine, millega ei looda siduvat suhet Jaapani andmeeksportija ja kolmanda riigi andmeimportija vahel ning mis ei taga nõutavat kaitsetaset. Sellega on tegu näiteks APECi piiriüleste privaatsuseeskirjade (CBPR) süsteemi puhul, mille osalisriik Jaapan on (49), sest selle süsteemi alusel ei tulene kaitse eksportija ja importija suhtes siduvast kokkuleppest nende kahepoolse suhte kontekstis ning see tagab selgelt madalama taseme, kui on garanteeritud APPIt ja lisaeeskirju koos kohaldades (50).

(80)

Lisaks tuleneb täiendav kaitsemeede (edasi)saatmise korral APPI artiklitest 20 ja 22. Nendes on sätestatud, et kui kolmanda riigi ettevõtja (andmete importija) tegutseb isikuteavet käitleva ettevõtja (andmete eksportija) nimel, peab isikuteavet käitlev ettevõtja tagama kolmanda riigi ettevõtja üle järelevalve seoses andmetöötluse turvalisusega.

(81)

Nagu ELi andmekaitseõiguses, antakse APPIga üksikisikutele mitu täitmisele pööratavat õigust. See hõlmab juurdepääsuõigust („avaldamine“), andmete parandamise ja kustutamise õigust ning õigust esitada vastuväiteid („kasutamise lõpetamine“).

(82)

Esiteks on andmesubjektil kooskõlas APPI artikli 28 lõigetega 1 ja 2 õigus taotleda isikuteavet käitlevalt ettevõtjalt „selliste säilitatavate isikuandmete avaldamist, millega saab teda tuvastada“ ning sellise taotluse saamisel peab isikuteavet käitlev ettevõtja „[…] avaldama säilitatavad isikuandmed“ andmesubjektile. Artiklitel 29 (parandamisõigus) ja 30 (kasutamise lõpetamise taotlemise õigus) on sama struktuur nagu artiklil 28.

(83)

Valitsuse määruse artiklis 9 sätestatakse, et isikuteabe avaldamine, nagu on viidatud APPI artikli 28 lõikes 2, toimub kirjalikult, välja arvatud juhul, kui isikuteavet käitlev ettevõtja ja andmesubjekt on teisiti kokku leppinud.

(84)

Nende õiguste suhtes kohaldatakse kolme liiki piiranguid, mis on seotud üksikisiku enda või kolmandate isikute õiguste ja huvidega (51), isikuteavet käitleva ettevõtja äritegevuse raske riivamisega (52) ning juhtumitega, mille puhul avaldamine rikuks muid õigusnorme (53). Olukorrad, kus neid piiranguid kohaldatakse, on sarnased määruse (EL) 2016/679 artikli 23 lõike 1 alusel kohaldatavate eranditega, mis võimaldavad piirata üksikisikute õiguseid põhjustel, mis on seotud „andmesubjekti kaitsega või teiste isikute õiguste ja vabaduste kaitsega“ või „muude üldist avalikku huvi pakkuvate oluliste eesmärkidega“. Ehkki selliste juhtude kategooria, mille puhul avaldamine rikuks „muid õigusnorme“, võib näida lai, peavad sellega seotud piiranguid sätestavad õigusnormid olema vastavuses põhiseadusliku õigusega privaatsusele ning nendega võidakse kehtestada piiranguid üksnes määral, mil selle õiguse kasutamine „riivaks üldsuse heaolu“ (54). See nõuab asjaomaste huvide tasakaalustamist.

(85)

APPI artikli 28 lõikes 3 on sätestatud, et kui nõutavaid andmeid ei eksisteeri või asjaomane isikuteavet käitlev ettevõtja otsustab mitte anda juurdepääsu säilitatavatele andmetele, tuleb üksikisikut viivitamata teavitada.

(86)

Teiseks on APPI artikli 29 lõigete 1 ja 2 alusel andmesubjektil õigus taotleda oma säilitatavate isikuandmete parandamist, täiendamist või kustutamist juhul, kui andmed on ebatäpsed. Sellise taotluse saamisel viib isikuteavet käitlev ettevõtja „[…] läbi vajaliku uurimise“ ning teeb selle uurimise tulemuste alusel „säilitatavate andmete sisus parandusi jne“.

(87)

Kolmandaks on APPI artikli 30 lõigete 1 ja 2 alusel andmesubjektil õigus taotleda, et isikuteavet käitlev ettevõtja lõpetaks isikuteabe käitlemise või kustutaks selle teabe, kui seda käideldakse artiklit 16 (eesmärgi piirangu kohta) rikkudes või see on saadud mittenõuetekohaselt APPI artiklit 17 (pettuse teel omandamise, muude mittenõuetekohaste vahendite või nõusolekuta tundlike andmete edastamise kohta) rikkudes. Samamoodi on isikul APPI artikli 30 lõigete 3 ja 4 alusel õigus nõuda, et isikuteavet käitlev ettevõtja lõpetab teabe edastamise kolmandale isikule, kui see rikub APPI artikli 23 lõiget 1 või artiklit 24 (kolmandale isikule andmete edastamise, sealhulgas rahvusvahelise edastamise kohta).

(88)

Kui taotlus on põhjendatud, lõpetab isikuteavet käitlev ettevõtja viivitamata andmete kasutamise või kolmandale isikule esitamise määral, mil see on vajalik rikkumise kõrvaldamiseks, või kui see juhtum on hõlmatud erandiga (eelkõige juhul, kui kasutamise peatamine põhjustaks eriti suuri kulusid), (55) rakendab ta vajalikke alternatiivseid meetmeid, et kaitsta asjaomase üksikisiku õiguseid ja huve.

(89)

Erinevalt liidu õigusest ei sisalda APPI ja asjaomased eeskirjad õiguslikke erisätteid otseturunduseesmärgil töötlemise vaidlustamise võimaluse kohta. Siiski toimub selline töötlemine käesoleva otsuse raames alati eelnevalt Euroopa Liidus kogutud isikuandmete edastamise kontekstis. Määruse (EL) 2016/679 artikli 21 lõike 2 alusel on andmesubjektil alati võimalus esitada vastuväide andmete edastamisele nende otseturunduse eesmärgil töötlemiseks. Nagu on selgitatud põhjenduses 43, peab isikuteavet käitlev ettevõtja lisaeeskirja 3 alusel töötlema otsuse alusel saadud andmeid samal eesmärgil, milleks andmed on Euroopa Liidust edastatud, välja arvatud juhul, kui andmesubjekt nõustub kasutuseesmärgi muutmisega. Seega kui andmed on edastatud muul eesmärgil kui otseturundus, ei lubata isikuteavet käitleval ettevõtjal Jaapanis töödelda andmeid otseturunduse eesmärgil, kui selleks ei ole ELi andmesubjekti nõusolekut.

(90)

Kõikidel APPI artiklites 28 ja 29 viidatud juhtudel peab isikuteavet käitlev ettevõtja teavitama üksikisikut tema taotluse tulemusest viivitamata ning selgitama võimalikku (osalist) keeldumist artiklites 27–30 (APPI artikkel 31) sätestatud seadusjärgsete erandite alusel.

(91)

Seoses taotluse esitamise tingimustega võimaldab APPI artikkel 32 (koos valitsuse määrusega) isikuteavet käitleval ettevõtjal määrata kindlaks mõistlik menetlus, sealhulgas seoses teabega, mida on vaja säilitatavate isikuandmete kindlakstegemiseks. Kõnealuse artikli lõike 4 kohaselt ei tohi isikuteavet käitlevad ettevõtjad siiski kehtestada „volitajale ülemäärast koormust“. Teatavatel juhtudel võivad isikuteavet käitlevad ettevõtjad kehtestada ka tasusid, eeldusel et nende summa jääb „vahemikku, mida peetakse tegelikke kulusid arvesse võttes mõistlikuks“ (APPI artikkel 33).

(92)

Lisaks võib üksikisik esitada vastuväite oma isikuteabe kolmandale isikule esitamisele APPI artikli 23 lõike 2 alusel või keelduda andmast nõusolekut artikli 23 lõike 1 alusel (seega hoides ära avaldamist juhul, kui ükski muu õiguslik alus ei ole kättesaadav). Samamoodi võib üksikisik peatada isikuandmete töötlemise muul eesmärgil, keeldudes andmast nõusolekut APPI artikli 16 lõike 1 alusel.

(93)

Erinevalt ELi õigusest ei sisalda APPI ja asjaomased eeskirjad üldsätteid selliste otsuste kohta, mis mõjutavad andmesubjekti ja põhinevad isikuandmete automatiseeritud töötlemisel. Seda küsimust on siiski reguleeritud teatavate Jaapanis kohaldatavate valdkondlike eeskirjadega, mis on seda liiki töötlemise jaoks eriti olulised. See hõlmab sektoreid, kus äriühingud kõige suurema tõenäosusega tuginevad isikuandmete automatiseeritud töötlemisele, et teha üksikisikuid mõjutavaid otsuseid (nt finantssektor). Näiteks dokumendiga „Suuremate pankade põhjalikud järelevalvesuunised“ (muudetud juunis 2017) nõutakse, et asjaomasele üksikisikule esitatakse konkreetsed selgitused põhjuste kohta, miks tema laenulepingu sõlmimise taotlus on tagasi lükatud. Nimetatud eeskirjad tagavad seega kaitse nendel tõenäoliselt üsna piiratud arvul juhtudel, kui automatiseeritud otsused on teeb Jaapani „importiv“ ettevõtja ise (ja mitte „eksportiv“ ELi vastutav töötleja).

(94)

Igal juhul teeb Euroopa Liidus kogutud isikuandmete puhul kõik automatiseeritud töötlemisel põhinevad otsused tavaliselt liidu vastutav töötleja (kellel on otsene suhe asjaomase andmesubjektiga) ja nende suhtes kohaldatakse seega määrust (EL) 2016/679 (56). See kehtib ka edastamisolukordades, mille puhul töötleja on välisriigi (nt Jaapani) ettevõtja, kes esindab ELi vastutavat töötlejat (volitatud töötlejana) (või ELi volitatud töötleja nimel tegutseva alamtöötlejana, kes on saanud andmed need kogunud ELi vastutavalt töötlejalt) ja teeb selle põhjal otsuse. Seepärast tõenäoliselt ei mõjuta automatiseeritud otsuste tegemise konkreetsete eeskirjade puudumine APPIs käesoleva otsuse alusel edastatud isikuandmete kaitsetaset.

(95)

Et tagada andmekaitse piisav tase ka praktikas, peaks olema loodud sõltumatu järelevalveasutus, millele on antud volitused jälgida andmekaitse-eeskirjadele vastavust ja tagada nende täitmine. See asutus peaks tegutsema oma ülesandeid täites ja volitusi kasutades täiesti sõltumatult ja erapooletult.

(96)

Jaapanis teeb APPI üle järelevalvet ja tagab APPI täitmise isikuteabe kaitse komisjon. See koosneb esimehest ja kaheksast liikmest, kelle on nimetanud peaminister parlamendi (Diet) mõlema koja nõusolekul. Esimehe ja iga liikme ametiaeg on viis aastat uuesti ametisse nimetamise võimalusega (APPI artikkel 64). Liikmed võib ametist vabastada üksnes põhjendatud juhul piiratud arvul erandlikel asjaoludel (57) ja nad ei või aktiivselt osaleda poliitilises tegevuses. APPI kohaselt peavad täistööajaga volinikud lisaks hoiduma mis tahes muust tasustatavast tegevusest või äritegevusest. Samuti kohaldatakse kõikide volinike suhtes sise-eeskirju, millega neil keelatakse võimaliku huvide konflikti korral aruteludes osaleda. Isikuteabe kaitse komisjoni abistab sekretariaat, mida juhib peasekretär ja mis on asutatud isikuteabe kaitse komisjonile antud ülesannete täitmise eesmärgil (APPI artikkel 70). Nii komisjoni liikmed kui ka kõik sekretariaadi ametnikud peavad järgima rangeid salajasuse eeskirju (APPI artiklid 72 ja 82).

(97)

Täiesti sõltumatult tegutseva (58) isikuteabe kaitse komisjoni volitused on sätestatud peamiselt APPI artiklites 40, 41 ja 42. Artikli 40 kohaselt võib isikuteabe kaitse komisjon nõuda isikuteavet käitlevatelt ettevõtjatelt töötlemistoimingute kohta teabe või dokumentide esitamist ning teha samas ka nii kohapealseid kontrolle kui ka raamatupidamise ja muude dokumentide kontrolli. APPI täitmise tagamiseks vajalikul määral võib isikuteabe kaitse komisjon anda isikuteavet käitlevatele ettevõtjatele ka suuniseid või nõuandeid isikuteabe käitlemise kohta. Isikuteabe kaitse komisjon on seda õigust juba APPI artikli 41 kohaselt kasutanud ja esitanud Cambridge Analytica paljastuste järel Facebookile suunised.

(98)

Veelgi olulisem on see, et isikuteabe kaitse komisjonil on õigus – tegutsedes kaebuse alusel või omal algatusel – anda soovitusi ja korraldusi, et tagada APPI ja muude siduvate eeskirjade (sealhulgas lisaeeskirjade) täitmine eri juhtumite korral. Need õigused on sätestatud APPI artiklis 42. Ehkki selle artikli lõigetes 1 ja 2 on sätestatud kaheetapiline mehhanism, mille alusel isikuteabe kaitse komisjon võib välja anda määruse (üksnes) siis, kui sellele on eelnenud soovitus, on lõike 3 kohaselt lubatud kiireloomulistel juhtudel võtta korraldus vastu kohe.

(99)

Ehkki kõik APPI IV peatüki 1. jao sätted ei ole artikli 42 lõikes 1 loetletud – mis määrab kindlaks ka artikli 42 lõike 2 kohaldamisala – võib seda selgitada asjaoluga, et teatavad sätted neist ei puuduta isikuteavet käitlevate ettevõtjate kohustusi (59) ning et kõiki vajalikke kaitsemeetmeid juba pakutakse teiste sätetega, mida ei ole selles loetelus. Näiteks ehkki artiklit 15 (millega nõutakse, et isikuteavet käitlev ettevõtja kehtestab kasutuseesmärgi ja töötleb isikuteavet üksnes selle ulatuses) ei mainita, võib selle nõude järgimata jätmine olla aluseks soovitusele, mis põhineb artikli 16 lõike 1 rikkumisel (millega keelatakse isikuteavet käitleval ettevõtjal isikuteabe töötlemine suuremas ulatuses, kui on vajalik kasutuseesmärgi saavutamiseks, välja arvatud juhul, kui ta saab andmesubjekti nõusoleku) (60). Teine säte, mida ei ole artikli 42 lõikes 1 loetletud, on APPI artikkel 19 (andmete täpsuse ja säilitamise kohta). Kui seda sätet ei järgita, saab tagada selle sätte täitmise kas artikli 16 lõike 1 rikkumisena või artikli 29 lõike 2 rikkumisele tuginedes, kui asjaomane isik palub vigased või ülemäärased andmed parandada või kustutada ning isikuteavet käitlev ettevõtja keeldub seda taotlust rahuldamast. Mis puutub andmesubjekti õigustesse kooskõlas artikli 28 lõikega 1, artikli 29 lõikega 1 ja artikli 30 lõikega 1, tagatakse isikuteabe kaitse komisjoni tehtav järelevalve, andes talle täitmise tagamise volitused seoses isikuteavet käitleva ettevõtja vastavate kohustustega.

(100)

APPI artikli 42 lõike 1 alusel võib isikuteabe kaitse komisjon, kui ta tuvastab, et esineb „vajadus kaitsta üksikisiku õiguseid ja huve juhtudel, mil [isikuteavet käitlev ettevõtja] on rikkunud“ konkreetseid APPI sätteid, anda soovituse „peatada rikkumine või võtta muid vajalikke meetmeid rikkumise parandamiseks“. See soovitus ei ole siduv, vaid võimaldab APPI artikli 42 lõike 2 alusel välja anda siduva määruse. Kui soovitus ei põhine „õiguspärastel alustel“ ja isikuteabe kaitse komisjon „tunnistab, et üksikisiku õiguste ja huvide tõsine rikkumine on vältimatu“, võib ta lasta isikuteavet käitleval ettevõtjal võtta meetmeid kooskõlas soovitusega.

(101)

Lisaeeskirjades on isikuteabe kaitse komisjoni täitmise tagamise volitusi täpsustatud ja tugevdatud. Täpsemalt juhtudel, mis hõlmavad Euroopa Liidust imporditud andmeid, käsitab isikuteabe kaitse komisjon juhtumit, mil isikuteavet käitlev ettevõtja ei ole võtnud meetmeid kooskõlas soovitusega, mis on antud APPIga vastavalt artikli 42 lõikega 1 ilma õiguspärase aluseta, alati vahetult rikkumisega, mille laadiks on üksikisiku õiguste ja huvide raske rikkumine artikli 42 lõike 2 tähenduses, ning seega rikkumisena, mis tagab siduva korralduse väljaandmise. Peale selle aktsepteerib isikuteabe kaitse komisjon soovituse mittejärgimise „õiguspärase alusena“ üksnes „erakorralist laadi sündmust [mis takistab vastavust] väljaspool [isikuteavet käitleva ettevõtja] kontrolli, mida ei saa mõistlikult ette näha (näiteks loodusõnnetused)“ või juhtudel, mil soovitustest tulenev vajadus meetmete võtmiseks „on kadunud, sest [isikuteavet käitlev ettevõtja] on võtnud alternatiivseid meetmeid, mis kõrvaldavad täielikult rikkumise“.

(102)

Isikuteabe kaitse komisjoni määrusele mittevastavust käsitatakse APPI artikli 84 alusel kuriteona ning süüdi tunnistatud isikuteavet käitlevat ettevõtjat võidakse karistada kuni kuulekuulise vangistusega, mis sisaldab töökohustust, või kuni 300 000 jeeni suuruse rahatrahviga. Peale selle on APPI artikli 85 punkti i kohaselt isikuteabe kaitse komisjoniga koostööga mittetegemine või tema uurimise takistamine karistatav trahviga kuni 300 000 jeeni. Kõnealuseid kriminaalkaristusi kohaldatakse APPI oluliste rikkumiste eest määratavate võimalike karistuste kõrval (vt põhjendus 108).

(103)

Piisava kaitse tagamiseks ja eelkõige üksikisiku õiguste täitmise tagamiseks tuleks andmesubjektile tagada tõhus haldus- ja õiguskaitse, sealhulgas kahju hüvitamine.

(104)

Enne haldus- või õiguskaitse kasutamist või selle asemel võib üksikisik otsustada esitada kaebuse oma isikuandmete töötlemise kohta vastutavale töötlejale otse. APPI artikli 35 alusel püüavad isikuteavet käitlevad ettevõtjad lahendada selliseid kaebused „asjakohaselt ja kiiresti“ ning kehtestavad sisemised kaebuste lahendamise süsteemid selle eesmärgi saavutamiseks. Lisaks on isikuteabe kaitse komisjon APPI artikli 61 punkti ii kohaselt vastutav „esitatud kaebuse puhul vajaliku vahendamise ja kaebusega tegelevale ettevõtjale pakutava koostöö eest“, mis mõlemal juhul kehtib ka välismaalaste esitatud kaebuste puhul. Sellega seoses on Jaapani seadusandja teinud keskvalitsusele ülesandeks võtta „vajalikke meetmeid“, et võimaldada ja hõlbustada isikuteavet käitlevate ettevõtjate kaebuste lahendamist (artikkel 9), samal ajal kui kohalikud omavalitsused püüavad tagada nendel juhtudel lepituse (artikkel 13). Sellel otstarbel võivad üksikisikud lisaks võimalusele esitada kaebus Jaapani riiklikule tarbijaküsimuste keskusele, esitada kaebuse rohkem kui 1 700 tarbijakeskuses, mille kohalikud omavalitsused on tarbijaohutuse seaduse (61) alusel rajanud. Need kaebused võib esitada ka APPI rikkumise korral. Põhitarbijaõiguste seaduse (62) artikli 19 alusel püüavad kohalikud omavalitsused asuda kaebuste lahendamiseks lepitusmenetlusse ja pakkuda pooltele vajalikke ekspertteadmisi. Need vaidluste lahendamise mehhanismid on osutunud üsna tõhusaks – vaidluste lahendamise määr oli 2015. aastal rohkem kui 75 000 kaebuse juures 91,2 %.

(105)

Kui isikuteavet käitlev ettevõtja rikub APPI sätteid, võib see anda aluse tsiviilhagile, samuti kriminaalmenetlusele ja sanktsioonidele. Esiteks kui üksikisik leiab, et tema APPI artiklite 28, 29 ja 30 kohaseid õiguseid on rikutud, võib ta taotleda esialgset õiguskaitset, paludes kohtul välja anda isikuteavet käitlevale ettevõtjale määrus rahuldada tema taotlus neist ühe sätte alusel, st avaldada säilitatavaid isikuandmeid (artikkel 28), parandada säilitatavaid isikuandmeid, mis on valed (artikkel 29), või peatada ebaseaduslik töötlemine või andmete kolmandale isikule edastamine (artikkel 30). Sellise hagi võib esitada ilma vajaduseta tugineda tsiviilseadustiku (63) artiklile 709 või muule kahju õigusvastase tekitamise õiguse sättele (64). Eelkõige tähendab see seda, et üksikisikul ei ole vaja kahju tõestada.

(106)

Teiseks juhul, kui väidetav rikkumine ei ole seotud individuaalsete õigustega artiklite 28, 29 ja 30 alusel, vaid isikuteavet käitleva ettevõtja üldiste andmekaitsepõhimõtetega, võib asjaomane isik esitada tsiviilhagi ettevõtja vastu, tuginedes Jaapani tsiviilseadustiku kahju õigusvastase tekitamise sätetele ja eelkõige artiklile 709. Ehkki artikli 709 kohase kohtuasja puhul on lisaks süüle (tahtlus või hooletus) nõutav kahju tõendamine, võib tsiviilseadusitku artikli 710 kohaselt olla see kahju nii materiaalne kui ka mittemateriaalne. Hüvitise suurust ei ole piiratud.

(107)

Mis puutub kättesaadavatesse õiguskaitsevahenditesse, siis viitab Jaapani tsiviilseadustiku artikkel 709 rahalisele hüvitisele. Samas on Jaapani kohtupraktikas tõlgendatud seda artiklit selliselt, et sellest tuleneb kohtumääruse saamise õigus (65). Seega kui andmesubjekt esitab tsiviilseadustiku artikli 709 alusel hagi ning väidab, et tema õiguseid või huve on rikutud sellega, et kostja on rikkunud APPI sätet, võib see nõue/hagi lisaks kahjutasu nõudele sisaldada esialgse õiguskaitse taotlust, mille eesmärk on eelkõige ebaseadusliku töötlemise peatamine.

(108)

Kolmandaks võib andmesubjekt lisaks tsiviilõiguslikele (kahju õigusvastase tekitamisega seotud) õiguskaitsevahenditele esitada kaebuse prokurörile või kohtupolitsei ametnikule, kui tegemist on APPI rikkumistega, mis võivad kaasa tuua kriminaalkaristused. APPI VII peatükk sisaldab mitut karistussätet. Kõige olulisem (artikkel 84) on seotud sellega, et isikuteavet käitlev ettevõtja ei järgi isikuteabe kaitse komisjoni määruseid vastavalt artikli 42 lõigetele 2 ja 3. Kui ettevõtja ei täida isikuteabe kaitse komisjoni välja antud korraldust, võib isikuteabe kaitse komisjoni esimees (samuti muu valitsusametnik) (66) edastada juhtumi prokurörile või kohtupolitsei ametnikule ning sel viisil algatada kriminaalmenetluse algatamise. Karistus isikuteabe kaitse komisjoni korralduse rikkumise eest on kuni kuuekuuline töökohustusega vangistus või kuni 300 000 jeeni suurune rahatrahv. Muud APPI sätted, millega on sätestatud andmesubjektide õiguseid ja huve mõjutavad sanktsioonid APPI rikkumise korral, on näiteks APPI artikkel 83 (seoses isikuteabe andmebaasi „salaja esitamise või kasutamisega“ selleks, et saada […] ebaseaduslikku kasu“) ja APPI artikli 88 punkt i (seoses sellega, et kolmas isik ei teavita õigesti isikuteavet käitlevat ettevõtjat, kui see ettevõtja saab isikuandmeid kooskõlas APPI artikli 26 lõikega 1, eelkõige seoses eelnevalt kolmanda isiku poolt selliste andmete omandamise üksikasjadega). APPI selliste rikkumiste eest kohaldatavad karistused on vastavalt kuni üheaastane vangistus koos tööga või kuni 500 000 jeeni suurune trahv (artikli 83 korral) või kuni 100 000 jeeni suurune haldustrahv (artikli 88 punkti i korral). Kuigi kriminaalkaristuse võimalus juba tõenäoliselt avaldab tugevat heidutavat mõju nii isikuteavet käitleva ettevõtja töötlemistoiminguid suunavale juhtkonnale kui ka andmeid käitlevatele üksikisikutele, on APPI artiklis 87 täpsustatud, et kui juriidilise isiku esindaja, alluv või muu töötaja on pannud toime APPI artiklite 83–85 kohase rikkumise, siis „karistatakse rikkujat ja kõnealusele juriidilisele isikule määratakse kõnealustes artiklites ette nähtud trahv“. Sellisel juhul saab maksimaalse karistuse määrata nii töötajale kui ka ettevõtjale.

(109)

Lisaks võivad üksikisikud taotleda kaitset ka isikuteabe kaitse komisjoni tegevuse või tegevusetuse eest. Selleks nähakse Jaapani õiguses ette mitmed haldus- ja õiguskaitse võimalused.

(110)

Kui üksikisik ei ole rahul isikuteabe kaitse komisjoni toimingutega, võib ta esitada halduskaebuse halduskaebuste läbivaatamise seaduse (67) alusel. Seevastu juhul, kui üksikisik leiab, et isikuteabe kaitse komisjon oleks pidanud tegutsema, aga ei teinud seda, võib üksikisik taotleda isikuteabe kaitse komisjonilt kooskõlas selle seaduse artikliga 36-3, et kehtestataks säte või esitataks haldussuunised, kui ta leiab, et „rikkumise kõrvaldamiseks vajalikku sätet või haldussuunist ei oleks antud või kehtestatud“.

(111)

Mis puutub õiguskaitsesse, siis halduskohtumenetluse seaduse alusel võib isik, kes ei ole rahul isikuteabe kaitse komisjoni kehtestatud haldussättega, esitada mandamus kohtuasja, (68) milles palutakse kohtul anda välja määrus, et isikuteabe kaitse komisjon võtab lisameetmeid (69). Teatavatel juhtudel võib kohus välja anda ka esialgse mandamus määruse, et ära hoida pöördumatut kahju (70). Peale selle võib üksikisik sama seaduse alusel taotleda isikuteabe kaitse komisjoni otsuse kehtetuks tunnistamist (71).

(112)

Lisaks võib üksikisik esitada hagi ka selleks, et saada riigilt hüvitist isikuteabe kaitse komisjoni vastu riigivastutuse seaduse artikli 1 lõike 1 alusel, kui ta on kannatanud kahju tingituna asjaolust, et isikuteabe kaitse komisjoni poolt ettevõtjale antud määrus on ebaseaduslik või isikuteabe kaitse komisjon ei ole kasutanud oma volitusi.

(113)

Komisjon on hinnanud ka piiranguid ja kaitsemeetmeid, sealhulgas Jaapani õiguses kättesaadavaid järelevalve- ja individuaalse kaitse mehhanisme seoses selliste isikuandmete kogumise ja järgneva edastamisega, mida edastatakse Jaapanis asuvatele ettevõtjatele avaliku sektori asutuste poolt avalikus huvis, eelkõige kriminaalõiguse täitmise tagamise ja riikliku julgeoleku eesmärgil (edaspidi „valitsuse juurdepääs“). Seoses sellega on Jaapani valitsus esitanud komisjonile ametlikud seisukohad, kinnitused ja kohustused, mis on allkirjastatud kõrgeimal ministrite ja ametite tasandil ning on esitatud käesoleva otsuse II lisas.

(114)

Avaliku sektori volituste kasutamisega peab valitsuse juurdepääs toimuma täielikult õiguspäraselt (õiguspärasuse põhimõte). Seoses sellega sisaldab Jaapani põhiseadus sätteid, mis piiravad ja raamistavad isikuandmete kogumise avaliku sektori asutuste poolt. Nagu juba ettevõtjate poolt töötlemise kohta märgitud, on Jaapani ülemkohus, tuginedes põhiseaduse artiklile 13, mis muu hulga kaitseb õigust vabadusele, tunnustanud õigust privaatsusele ja andmekaitsele (72). Selle õiguse üks oluline aspekt on vabadus mitte lasta avaldada oma isikuteavet kolmandale isikule ilma loata (73). Sellest tuleneb õigus isikuandmete tõhusale kaitsele kuritarvitamise ja (eelkõige) ebaseadusliku juurdepääsu eest. Lisakaitse on tagatud põhiseaduse artikliga 35, milles on sätestatud kõikide isikute õigus kaitsta oma kodu, dokumente ja vara, ning nõutud, et avaliku sektori asutused taotleksid kõikidel „läbiotsimise ja arestimise“ juhtudel „piisava põhjuse“ (74) alusel kohtumääruse. Oma 15. märtsi 2017. aasta otsuses (GPSi juhtum) on ülemkohus selgitanud, et kõnealuse määruse nõue kehtib alati, kui valitsus tungib („siseneb“) isiklikku ruumi viisil, mille käigus eiratakse üksikisiku tahet ja seega toimub „sunduslik uurimine“. Kohtunik võib anda välja sellise määruse üksnes konkreetsele kuriteokahtlusele tuginedes, st kui esitatakse dokumentaalsed tõendid, mille põhjal uurimisega mõjutatud isikut saab käsitada kuriteo toime pannuna (75). Järelikult ei ole Jaapani ametiasutustel õiguslikku alust koguda isikuteavet sunduslike vahenditega olukordades, kus seaduse rikkumine ei ole veel toimunud, (76) näiteks selleks, et ära hoida kuritegu või muu turvalisuse ohu korral (nt uurimised riigi julgeoleku kaalutlustel).

(115)

Seadusreservatsiooni põhimõtte kohaselt peab sunnimeetmete abil toimuva uurimise raames toimuv andmete kogumine olema alati konkreetselt seadusega lubatud (vt näiteks kriminaalmenetluse seadustiku artikli 197 lõige 1 kriminaaluurimise eesmärgil teabe sunduslike vahendite abil kogumise kohta). Seda nõuet kohaldatakse elektroonilisele teabele juurdepääsu suhtes.

(116)

Oluline on see, et põhiseaduse artikli 21 lõikega 2 on tagatud kõikide teabevahendite salajasus ning piirangud on lubatud üksnes avalikes huvides vastuvõetavate õigusaktidega. Telekommunikatsiooniseaduse artikliga 4, mille kohaselt on telekommunikatsiooniettevõtja kohustatud hoidma sõnumisaladust, rakendatakse see konfidentsiaalsusnõue riigi seaduse tasandil. Seda on tõlgendatud kui kommunikatsiooniteabe avaldamise keelamist, välja arvatud juhul, kui selleks on kasutajate nõusolek või kui see põhineb kriminaalvastutuse sõnaselgetel eranditel karistusseadustiku (77) alusel.

(117)

Põhiseadusega on tagatud ka õiguskaitse kättesaadavus (artikkel 32) ning õigus kaevata riik kohtusse kaitse saamiseks juhul, kui üksikisik on kannatanud kahju riigiametniku ebaseadusliku teo tõttu (artikkel 17).

(118)

Mis puutub konkreetselt andmekaitse õigusse, siis on APPI III peatüki 1., 2. ja 3. jaos sätestatud üldpõhimõtted, mis hõlmavad kõiki sektoreid, sealhulgas avalikku sektorit. Eelkõige APPI artiklis 3 on sätestatud, et igasugust isikuteavet tuleb käidelda kooskõlas üksikisiku isikuõiguste austamise põhimõttega. Kui isikuteave, sealhulgas elektrooniliste dokumentide osana, on kogutud („omandatud“) avaliku sektorite asutuste (78) poolt, siis reguleerib selle käitlemist haldusorganite hoitava isikuteabe kaitse seadus (APPIHAO) (79). Põhimõtteliselt (80) kuulub selle alla ka isikuteabe töötlemine kriminaalõiguse täitmise tagamise või riikliku julgeoleku eesmärgil. Muu hulgas on APPIHAOs sätestatud, et avaliku sektori asutused: i) võivad säilitada isikuteavet üksnes määral, mil see on vajalik nende ülesannete täitmiseks; ii) ei kasuta seda teavet „ebaõiglasel“ eesmärgil ega avalda seda kolmandale isikule ilma põhjenduseta; iii) määratlevad eesmärgi ning ei muuda seda eesmärki rohkem kui nii, nagu võib põhjendatult pidada esialgse eesmärgi puhul asjakohaseks (eesmärgi piiramine); iv) põhimõtteliselt ei kasuta ega esita kolmandale isikule säilitatud isikuteavet muudel eesmärkidel ning, kui nad peavad seda vajalikuks, kehtestavad piirangud kolmandate isikute poolt kasutamise eesmärgile või meetodile; v) üritavad tagada teabe õigsuse (andmete kvaliteedi); vi) võtavad vajalikke meetmeid nõuetekohaseks teabehalduseks või selleks, et ära hoida leket, kadumist või kahju (andmete turvalisus); ning vii) üritavad nõuetekohaselt ja kiiresti töödelda kõiki teabe töötlemise kohta esitatud kaebusi (81).

(119)

Jaapani õigus sisaldab mitmeid piiranguid isikuandmetele juurdepääsule ja isikuandmete kasutamisele kriminaalõiguse täitmise tagamise eesmärgil ning ka järelevalve- ja õiguskaitsemehhanisme, mis piisaval määral tagavad nende andmete tõhusa kaitse ebaseadusliku riive ja kuritarvitamise riski eest.

(120)

Jaapani õigusraamistikus on elektroonilise teabe kogumine kriminaalõiguse täitmise tagamise eesmärkidel lubatud määruse (sunduslike vahendite abil kogumine) või vabatahtliku avaldamise taotluse alusel.

(121)

Nagu on märgitud põhjenduses 115, peab igasugune andmete kogumine sundkorras uurimise osana olema seaduses konkreetselt lubatud ning seda võib teha üksnes kohtumääruse alusel, mis on „väljastatud piisavuse põhjusel“ (põhiseaduse artikkel 35). Seoses kuritegude uurimisega kajastatakse seda nõuet kriminaalmenetluse seadustiku sätetes. Kooskõlas CCP artikli 197 lõikega 1 „kohaldatakse sunduslikke meetmeid üksnes juhul, kui selle seadustikuga on kehtestatud erisätted“. Mis puutub elektroonilise teabe kogumisse, siis ainus seotud (82) õiguslik alus on CCP artikkel 218 (läbiotsimine ja arestimine) ja CCP artikkel 222-2, mille kohaselt kohaldatakse sunduslikke meetmeid elektroonilise teabevahetuse pealtkuulamiseks kummagi poole nõusolekuta muude seaduste, nimelt kriminaaluurimise eesmärgil telefonikõne pealtkuulamise seaduse (edaspidi „telefonikõne pealtkuulamise seadus“) alusel. Mõlemal juhul kehtib nõue välja anda määrus.

(122)

Täpsemalt võib öelda, et kooskõlas CCP artikli 218 lõikega 1 võib prokurör, prokuröri abi või kohtupolitsei ametnik, kui see on õigusrikkumise uurimise jaoks vajalik, korraldada kohtu eelnevalt väljaantud määruse alusel läbiotsimise või arestimise (sealhulgas dokumentide väljanõudmiseks) (83). Muu hulgas sisaldab see määrus kahtlustatava või süüdistatava nime, süüks pandavat õigusrikkumist, (84) arestitavaid elektromagnetilisi andmekandjaid ja kontrollitavaid „kohti või esemeid“ (CCP artikli 219 lõige 1).

(123)

Mis puutub telefonikõne pealtkuulamisse, siis on telefonikõne pealtkuulamise seaduse artikli 3 kohaselt sellised meetmed lubatud üksnes rangete nõuete alusel. Eelkõige peavad avaliku sektori asutused hankima eelneva kohtumääruse, mille võib välja anda üksnes konkreetsete raskete kuritegude uurimiseks (loetletud seaduse lisas) (85) ning juhul, kui on „erakordselt raske teha kindlaks kurjategijat või selgitada toimepanemise olukorda/üksikasju mingil muul viisil“ (86). Telefonikõne pealtkuulamise seaduse artiklis 5 on ette nähtud, et väljaantav määrus on ajaliselt piiratud ja kohtunik võib kehtestada lisatingimusi. Lisaks on telefonikõne pealtkuulamise seaduses sätestatud mitmed lisagarantiid, näiteks tunnistajate osalemise nõue (artiklid 12 ja 20), pealtkuulamise keeld privilegeeritud rühmade (nt arstid, juristid) puhul (artikkel 15), kohustus pealkuulamine lõpetada, kui pealkuulamine ei ole enam põhjendatud (ka enne määruse aegumist) (artikkel 18), samuti üldnõude, et asjaomast isikut tuleb teavitada ja anda talle andmetele juurdepääs 30 päeva jooksul alates pealkuulamise lõpetamisest (artiklid 23 ja 24).

(124)

Määruse alusel võetavate sunduslike meetmete puhul võib läbi viia üksnes sellist kontrolli, „mis on vajalik selle eesmärgi saavutamiseks“ – see tähendab, kui uurimise eesmärke ei saa muul viisil saavutada (CCP artikli 197 lõige 1). Ehkki vajaduse kindlaksmääramise kriteeriumeid ei ole seadusandlusega täpsemalt määratletud, on Jaapani ülemkohus teinud otsuse, et määrust välja andev kohtunik peaks andma üldise hinnangu, võttes arvesse eelkõige i) õigusrikkumise tõsidust ja selle toimepaneku viisi; ii) tõendina arestitavate materjalide väärtust ja olulisust; iii) (sellise riski) tõenäosust, et tõendeid võidakse varjata või need võidakse hävitada; ning iv) ulatust, milles arestimine võib põhjustada asjaomasele isikule kahju (87).

(125)

Avaliku sektori asutused võivad oma pädevuse piires samuti koguda elektroonilist teavet, tuginedes vabatahtliku avaldamise taotlustele. See viitab mittesunduslikule koostöövormile, mille puhul ei saa taotluse täitmiseks kohustada, (88) vabastades seega avaliku sektori asutused kohtumääruse taotlemise kohustusest.

(126)

Määral, mil see taotlus on suunatud ettevõtjale ja puudutab isikuteavet, peab ettevõtja järgima APPI nõudeid. APPI artikli 23 lõike 1 kohaselt võivad ettevõtjad avaldada isikuteavet kolmandatele isikutele asjaomase isiku nõusolekuta üksnes teatavatel juhtudel, sealhulgas juhul, kui avaldamine „põhineb õigusnormidel“ (89). Kriminaalõiguse täitmise tagamise valdkonnas on selliste taotluste õiguslik alus sätestatud CCP artikli 197 lõikes 2, mille kohaselt „võidakse eraõiguslikel organisatsioonidel lasta teada anda vajalikest küsimustest seoses uurimisega“. Kuna selline „päringuvorm“ on lubatud üksnes kriminaaluurimise osana, eeldab see alati juba toime pandud kuriteo konkreetset kahtlust (90). Kuna sellist uurimist korraldab tavaliselt prefektuuri politseiamet, kehtivad lisaks politseiseaduse (91) artikli 2 lõike 2 kohased piirangud. Selle sätte kohaselt on politsei tegevus „rangelt piiratud“ nende ülesannete ja kohustuste täitmisega (see tähendab kuritegude ennetamise, peatamise ja uurimisega). Lisaks tegutseb politsei oma ülesandeid täites erapooletult, eelarvamustevabalt ja õiglaselt ning ei või kunagi kuritarvitada oma volitusi „selliselt, et see riivab Jaapani põhiseadusega tagatud üksikisiku õigusi ja vabadusi“ (sealhulgas, nagu märgitud, õigust privaatsusele ja andmekaitsele) (92).

(127)

Riiklik politseiamet kui föderaalne ametiasutus, mis vastutab muu hulgas kõikide kriminaalpolitseiga seotud küsimuste eest, on eelkõige CCP artikli 197 lõikest 2 lähtuvalt prefektuuride politseiametitele välja andnud suunised (93)„uurimistel kirjalike päringute nõuetekohase kasutamise kohta“. Selle teate kohaselt tuleb taotlused esitada eelnevalt kindlaks määratud vormis („vorm nr 49“ ehk nn „päringuvorm“), (94) mis puudutab „konkreetse uurimise“ protokolle, ning nõutav teave peab olema „[selle] uurimise jaoks vajalik“. Iga juhtumi korral peab peauurija „täielikult kontrollima konkreetse päringu vajadust, sisu jne“ ning saama kõrge tasandi ametnikult asutusesisese heakskiidu.

(128)

Peale selle on Jaapani ülemkohtu kahes otsuses aastatest 1969 ja 2008 (95) ette nähtud õigust privaatsusele riivavate mittesunduslike meetmete piirangud (96). Eelkõige leidis kohus, et need meetmed peavad olema „mõistlikud“ ja jääma „üldiselt lubatud piiridesse“, see tähendab, et need peavad olema vajalikud kahtlusaluse uurimise jaoks (tõendite kogumiseks) ning neid tuleb kasutada „uurimise eesmärgi saavutamiseks asjakohaste meetodite abil“ (97). Kohtuotsused näitavad, et see tähendab proportsionaalsuse kontrollimist, võttes arvesse kõiki juhtumi asjaolusid (näiteks privaatsuse õiguse riivamise tase, sealhulgas privaatsuse eeldust, kuriteo tõsidust, kasulike tõendite saamise tõenäosust, selle tõendi olulisust, võimalikke muid uurimise vahendeid jne) (98).

(129)

Lisaks neile piirangutele avaliku sektori asutuse tegevuses peavad ettevõtjad ise kontrollima („kinnitama“) kolmandale isikule teabe avaldamise vajadust ja „põhjendatust“ (99). See hõlmab küsimust, kas seadus takistab neid koostööd tegemast. Sellised vastuolulised õiguslikud kohustused võivad eelkõige tuleneda konfidentsiaalsuse kohustustest, näiteks karistusseadustiku artiklist 134 (arsti, juristi, preestri jne ja tema kliendi vahelise suhte kohta). Samuti „peab iga isik, kes töötab telekommunikatsioonivaldkonnas, hoidma oma töökohustusi täites teiste isikute saladusi, mis on saanud teatavaks telekommunikatsiooniettevõtja käideldava teabevahetuse käigus“ (telekommunikatsiooniseaduse artikli 4 lõige 2). Seda kohustust toetab telekommunikatsiooniseaduse artiklis 179 sätestatud sanktsioon, mille kohaselt on iga isik, kes on rikkunud telekommunikatsiooniettevõtja käideldavas teabevahetuses sõnumisaladust, süüdi kuriteos ning teda karistatakse kuni kaheaastase vangistusega, mis sisaldab töökohustust, või kuni ühe miljoni jeeni suuruse trahviga (100). Ehkki see nõue ei ole absoluutne ning lubab eelkõige meetmeid, mis rikuvad sõnumisaladust, kui see on „põhjendatud tegevus“ karistusseadustiku artikli 35 tähenduses, ei hõlma see erand avaliku sektori asutuste vastuseid mittesunduslikele taotlustele elektroonilise teabe avaldamiseks CCP artikli 197 lõike 2 (101) kohaselt.

(130)

Isikuteave, mida Jaapani avaliku sektori asutused koguvad, kuulub APPIHAO kohaldamisalasse. See seadus reguleerib „säilitatava isikuteabe“ käitlemist (töötlemist) ning kehtestab praegu mitu piirangut ja kaitsemeedet (vt põhjendus 118) (102). Pealegi asjaolu, et haldusorgan võib säilitada isikuteavet „üksnes juhul, kui säilitamine on vajalik tema õigusnormidega sätestatud pädevusse kuuluvate küsimuste lahendamiseks“ (APPIHAO artikli 3 lõige 1), kehtestab piirangud – vähemalt kaudselt – ka esialgsele kogumisele.

(131)

Jaapanis on elektroonilise teabe kogumine kriminaalõiguse täitmise tagamise valdkonnas usaldatud eelkõige (103) prefektuuri politseiametile (104), kelle suhtes kohaldatakse selles osas mitmetasandilist järelevalvet.

(132)

Esiteks kõikidel juhtudel, mil elektroonilist teavet kogutakse sunduslike vahendite abil (läbiotsimine ja arestimine), peab politsei saama eelneva kohtumääruse (vt põhjendus 121). Seepärast peab kohtunik nendel juhtudel teabe kogumist eelnevalt kontrollima, tuginedes rangele „piisava põhjuse“ nõudele.

(133)

Kuna vabatahtliku teabe avaldamise taotluste korral puudub kohtuniku eelnev kontroll, võivad ettevõtjad, kellele sellised taotlused esitatakse, esitada neile vastuväite, riskimata negatiivsete tagajärgedega (ning nad peavad võtma arvesse igasuguse avaldamise mõju privaatsusele). Peale selle teevad politseiametnikud CCP artikli 192 lõike 1 kohaselt alati koostööd ja kooskõlastavad oma tegevuse prokuröriga (ja avaliku turvalisuse prefektuurikomisjoniga) (105). Prokurör võib omakorda anda vajalikke üldjuhiseid, et kehtestada õiglase uurimise reeglid ja/või anda üksikuurimise raames konkreetseid korraldusi (CCP artikkel 193). Kui neid juhiseid ja/või korraldusi ei järgita, võib prokuratuur esitada süüdistuse distsiplinaarmenetluses (CCP artikkel 194). Seega tegutseb prefektuuri politseiamet prokuröri järelevalve all.

(134)

Seega võib põhiseaduse artikli 62 kohaselt Jaapani parlamendi kumbki koda viia läbi uurimise seoses valitsusega, sealhulgas seoses politsei teabekogumise õiguspärasusega. Sel eesmärgil võib ta nõuda tunnistajate kohalolekut ja ütlusi ja/või protokollide koostamist. Neid uurimisvolitusi on täiendavalt kirjeldatud parlamendiseaduses ja eelkõige selle XII peatükis. Konkreetselt on parlamendiseaduse artiklis 104 sätestatud, et valitsus, riigi ametiasutused ja muud valitsuse osad „peavad täitma parlamendi ja tema komisjonide taotluseid esitada uurimise jaoks vajalikke aruandeid ja protokolle“. Täitmisest keeldumine on lubatud üksnes juhul, kui valitsus esitab rahuldava põhjenduse, mida parlament aktsepteerib, või kui väljastatakse ametlik deklaratsioon, et aruannete või protokollide esitamine „kahjustab tõsiselt riigi huvi“ (106). Lisaks võivad parlamendiliikmed esitada valitsusele kirjalikke küsimusi (parlamendiseaduse artiklid 74 ja 75) ning varem on sellised „kirjalikud päringud“ puudutanud ka valitsuse poolt isikuteabe käitlemist (107). Parlamendi rolli täitevvõimu järelevalvel toetavad aruandekohustused, näiteks telefonikõne pealtkuulamise seaduse artikli 29 alusel.

(135)

Kolmandaks peab ka prefektuuri politseiameti kui täidesaatva haru üle toimuma sõltumatu järelevalve. See hõlmab eelkõige avaliku turvalisuse prefektuurikomisjone, mis on asutatud prefektuuride tasandil, et tagada politsei demokraatlik juhtimine ja poliitiline neutraalsus (108). Nendesse komisjonidesse kuuluvad prefektuuri kuberneri poolt prefektuuri täiskogu nõusolekul nimetatud liikmed (kes on valitud selliste kodanike seast, kes ei ole ega ole olnud viiel eelneval aastal avalikus teenistuses), kelle ametisolek on kindlustatud (st kes eelkõige vabastatakse ametist üksnes põhjendatud juhul) (109). Kooskõlas saadud teabega ei anta neile juhiseid ja seetõttu saab neid pidada täiesti sõltumatuks (110). Avaliku turvalisuse prefektuurikomisjonidele antud ülesannetest ja volitustest tuleneb, et nad vastutavad politseiseaduse artikli 38 lõike 3 kohaselt ja koostoimes artikliga 2 ja artikli 36 lõikega 2 „üksikisiku õiguste ja vabaduse kaitse“ eest. Selleks on neile antud õigus teha prefektuuri politseiameti uurimistegevuse üle „järelevalvet“, (111) sh isikuandmete kogumise suhtes. Eelkõige võivad komisjonid „juhendada prefektuuri politseiametit üksikasjalikult või konkreetsetel üksikjuhtumitel politseitöötajate väärkäitumise kontrollimisel, kui see on vajalik“ (112). Kui prefektuuri politseiameti juht (113) saab sellise korralduse või temani jõuab teave võimalikust väärkäitumisest (sealhulgas seaduste rikkumisest või muust hooletusest ametiülesannete täitmisel) muul moel, peab ta asja kohe kontrollima ja teatama kontrolli tulemusest avaliku turvalisuse prefektuurikomisjonile (politseiseaduse artikli 56 lõige 3). Kui see komisjon peab seda vajalikuks, võib ta nimetada ka ühe oma liikmetest rakendamise seisundit läbi vaatama. Protsess jätkub seni, kuni avaliku turvalisuse prefektuurikomisjon on teinud kindlaks, et juhtum on nõuetekohaselt lahendatud.

(136)

Lisaks on APPIHAO nõuetekohaseks kohaldamiseks antud pädevale ministrile või ameti juhile (nt riikliku politseiameti peadirektorile) täitmise tagamise volitused ja järelevalve on usaldatud siseasjade ja teabevahetuse ministeeriumile. APPIHAO artikli 49 kohaselt võib siseasjade ja teabevahetuse ministeerium „koguda aruandeid selle seaduse täitmise seisundi kohta“ haldusorganite juhtidelt (minister). Seda järelevalvefunktsiooni toetavad ka siseasjade ja teabevahetuse ministeeriumi 51 „koondteabekeskust“ (üks igas prefektuuris üle Jaapani), mis käitlevad igal aastal tuhaneid üksikisikute päringuid (114) (mis omakorda võib paljastada võimalikke seaduse rikkumisi). Kui siseasjade ja teabevahetuse ministeerium peab seda vajalikuks, et tagada seaduse täitmine, võib ta lasta esitada selgitusi ja materjale ning avaldada arvamusi seoses asjaomase haldusorgani poolt isikuteabe käitlemisega (APPIHAO artiklid 50 ja 51).

(137)

Lisaks ex officio järelevalvele on üksikisikutel mitu võimalust saada ka üksikisiku õiguskaitset nii sõltumatute ametiasutuste (nagu avaliku turvalisuse prefektuurikomisjonid või isikuteabe kaitse komisjon) kui ka Jaapani kohtute kaudu.

(138)

Esiteks on haldusorganite kogutud isikuteabe puhul neil organitel kohustus edasisel töötlemisel „teha jõupingutusi, et vaadata kaebused läbi nõuetekohaselt ja kiiresti“ (APPIHAO artikkel 48). Ehkki APPIHAO IV peatükki individuaalsete õiguste kohta ei kohaldata sellise isikuteabe puhul, mis sisaldub „dokumentides, mis on seotud kohtuprotsesside ja arestitud esemetega“ (CCP artikli 53–2 lõige 2) – mis hõlmab kriminaaluurimise osana kogutud isikuteavet –, võivad üksikisikud esitada kaebuse, et tugineda üldistele andmekaitse põhimõtetele, nagu kohustus säilitada isikuteavet „üksnes juhul, kui säilitamine on vajalik [õiguskaitsefunktsioonide] täitmiseks“ (APPIHAO artikli 3 lõige 1).

(139)

Lisaks garanteeritakse politseiseaduse artikliga 79 üksikisikutele, kes ei ole rahul politseiametnike „tööülesannete täitmisega“, õigus esitada kaebus (pädevale) sõltumatule avaliku turvalisuse prefektuurikomisjonile. Komisjon tegeleb selliste kaebustega „usaldusväärselt“ kooskõlas seaduste ja kohalike määrustega ning teavitab kaebuse esitajat tulemustest kirjalikult. Tuginedes komisjoni pädevusele teha prefektuuri politseiameti üle järelevalvet ja anda „töötajate väärkäitumise“ korral „juhiseid“ (politseiseaduse artikli 38 lõige 3, artikli 43–2 lõige 1), võib ta nõuda, et prefektuuri politseiamet uuriks asjaolusid, võtaks selle uurimise tulemusest lähtudes meetmeid ja annaks tulemustest teada. Kui komisjon leiab, et politsei läbi viidud uurimine ei ole olnud piisav, võib ta anda ka juhiseid kaebuse menetlemise kohta.

(140)

Selleks et hõlbustada kaebuste menetlemist, on riiklik politseiamet välja andnud „teatise“ politseile ja avaliku turvalisuse prefektuurikomisjonidele politseiametnike töökohustuste täitmise suhtes esitatud kaebuste nõuetekohase menetlemise kohta. Selles dokumendis sätestab riiklik politseiamet politseiseaduse artikli 79 tõlgendamise ja rakendamise reeglid. Muu hulgas nõutakse selles, et prefektuuri politseiamet looks „kaebuste menetlemise süsteemi“ ning menetleks kõiki pädevale avaliku turvalisuse prefektuurikomisjonile esitatud kaebuseid „kiiresti“ ja samas teataks neist. Teatises on kaebused määratletud nõuetena, millega taotletakse „ebaseadusliku või sobimatu käitumisega konkreetsel juhul tekitatud ebasoodsa olukorra“ (115) või „politseiniku poolt ametiülesannete täitmisel vajaliku meetme võtmata jätmise“ (116) parandamist, samuti igasuguse „etteheitena/rahulolematusena seoses viisiga, kuidas politseinik oma tööülesandeid täitis“. Kaebuse sisulise kohaldamisala määratlus on seega lai, hõlmates igasuguseid andmete ebaseadusliku kogumise juhtumeid, ja kaebuse esitaja ei pea tõendama, et politseiniku tegevuse tulemusel on tekkinud kahju. Oluline on see, et teatises on ette nähtud, et kaebuse koostamisel abistatakse (muu hulgas ka) välismaalasi. Kaebuse esitamise järel peavad avaliku turvalisuse prefektuurikomisjonid tagama, et prefektuuri politseiamet kontrollib fakte, rakendab meetmeid „kooskõlas kontrollimise tulemusega“ ja annab tulemustest teada. Kui komisjon leiab, et kontrollimine on ebapiisav, annab ta kaebuse menetlemiseks juhise, mida prefektuuri politseiamet peab järgima. Saadud aruannetele ja võetud meetmetele tuginedes teavitab komisjon üksikisikut, märkides muu hulgas meetmed, mida on võetud kaebuse lahendamiseks. Riikliku politseiameti teatises rõhutatakse, et kaebuseid tuleks menetleda „siiralt“ ning tulemusest tuleks teatada „sellise aja jooksul, […] mida peetakse sotsiaalseid norme ja mõistlikkust arvestades asjakohaseks“.

(141)

Teiseks arvestades, et õiguskaitset tuleb loogiliselt taotleda välisriigis välisriigi süsteemi alusel ja võõrkeeles, siis selleks, et hõlbustada õiguskaitse saamist ELi üksikisikute jaoks, kelle isikuandmed on edastatud Jaapanis asuvatele ettevõtjatele ja kelle isikuandmetele on seejärel avaliku sektori asutused juurde pääsenud, on Jaapani valitsus kasutanud oma volitusi luua konkreetne mehhanism, mida haldab ja mille üle teeb järelevalvet isikuteabe kaitse komisjon, selles valdkonnas kaebuste menetlemiseks ja lahendamiseks. See mehhanism tugineb Jaapani avaliku sektori asutustele APPI alusel pandud koostöökohustusele ja isikuteabe kaitse komisjoni erirollile seoses kolmandatest riikidest rahvusvahelise andmete edastamisega APPI artikli 6 ja aluspoliitika alusel (mille on kehtestanud Jaapani valitsus valitsuse määrusega). Selle mehhanismi üksikasjad on esitatud Jaapani valitsuselt saadud ametlikes seisukohtades, kinnitustes ja kohustustes, mis lisatud käesolevale otsusele II lisana. Mehhanismi suhtes ei kohaldata põhjendatud huvi nõuet ja seda võivad taotleda kõik isikud olenemata sellest, kas isikut ennast kahtlustatakse või süüdistatakse kuriteos või mitte.

(142)

Selle mehhanismiga on ette nähtud, et isik, kes kahtlustab, et Jaapani avaliku sektori asutus (sealhulgas kriminaalõiguse täitmise tagamise eest vastutav asutus) on kogunud või kasutanud tema Euroopa Liidust edastatud andmeid ja seejuures rikkunud kohaldatavaid eeskirju, võib esitada kaebuse isikuteabe kaitse komisjonile (isiklikult või oma andmekaitseasutuse kaudu isikuandmete kaitse üldmääruse artikli 51 tähenduses). Isikuteabe kaitse komisjonil on kohustus menetleda kaebust ja teavitada sellest esimese sammuna pädevaid avaliku sektori asutusi, sealhulgas asjaomaseid järelevalveasutusi. Need ametiasutused peavad tegema isikuteabe kaitse komisjoniga koostööd, „sealhulgas esitades vajalikku teavet ja asjakohaseid materjale, mille alusel isikuteabe kaitse komisjon saaks hinnata, kas isikuteabe kogumine või järgnev kasutamine on toimunud kooskõlas kohaldatavate eeskirjadega“ (117). APPI artiklist 80 (millega nõutakse Jaapani avaliku sektori asutustelt isikuteabe kaitse komisjoniga koostöö tegemist) tulenev kõnealune kohustus on üldkohaldatav, laienedes seega kõnealuste avaliku sektori asutuste igasugustele uurimistoimingutele, kusjuures need asutused on sellise koostöö tahet kinnitanud asjaomaste ministeeriumide ja ametite juhtide kirjalike avaldustega, nagu on osutatud II lisas.

(143)

Kui hinnang näitab, et kohaldatavaid eeskirju on rikutud, „hõlmab asjaomaste avaliku sektori asutuste koostöö isikuteabe kaitse komisjoniga ka kohustust rikkumine kõrvaldada“, mis isikuteabe ebaseadusliku kogumise korral hõlmab ka nende andmete kustutamist. Oluline on see, et kohustust täidetakse isikuteabe kaitse komisjoni järelevalve all, kes „kinnitab enne hindamise lõpuleviimist, et rikkumine on täielikult kõrvaldatud“.

(144)

Kui hindamine on lõpetatud, teavitab isikuteabe kaitse komisjon üksikisikut mõistliku aja jooksul hindamise tulemustest, sealhulgas võetud parandusmeetmetest (vajaduse korral). Samal ajal teavitab isikuteabe kaitse komisjon üksikisikut võimalusest küsida pädevalt avaliku sektori asutuselt tulemuse kinnitust ja sellest, millise ametiasutuse poole tuleb tulemuse kinnituse saamiseks pöörduda. Sellise kinnituse, sealhulgas pädeva asutuse otsuse põhjenduste saamise võimalus võib aidata üksikisikul astuda edasisi samme, sealhulgas taotleda õiguskaitset. Hindamise tulemuse kohta ei tule esitada kõiki üksikasju, kui on põhjendatud alus arvata, et sellise teabe edastamine seab tõenäoliselt ohtu käimasoleva uurimise.

(145)

Kolmandaks, üksikisik, kes ei ole nõus tema isikuandmete saamiseks kohtuniku tehtud arestimisotsusega (määrusega) (118) või politsei või prokuratuuri meetmetega selle otsuse täitmisel, võib ta esitada taotluse, et otsus või need meetmed tühistataks või neid muudetaks (CCP artikli 429 lõige 1, artikli 430 lõiked 1 ja 2, telefonikõne pealtkuulamise seaduse artikkel 26) (119). Juhul kui asja läbi vaatav kohus leiab, et määrus ise või selle täitmine („arestimismenetlus“) on ebaseaduslik, rahuldab ta taotluse ja annab korralduse arestitud esemed tagastada (120).

(146)

Neljandaks võib kaudsema kohtuliku kontrolli vormis üksikisik, kes leiab, et tema isikuteabe kogumine kriminaaluurimise osana tema kriminaalprotsessis oli ebaseaduslik, tugineda sellele ebaseaduslikkusele. Kui kohus nõustub, toob see kaasa tõendite välistamise nende vastuvõetamatuse tõttu.

(147)

Viimasena tuleks märkida, et riigivastutuse seaduse artikli 1 lõike 1 alusel võib kohus määrata hüvitise, kui riigi ametiisik, kes täidab riigi avalikke volitusi, on oma ametikohustusi täites ebaseaduslikult ja süüliselt (tahtlikult või hooletusest) tekitanud asjaomasele isikule kahju. Riigivastutuse seaduse artikli 4 kohaselt põhineb riigi vastutus kahju eest tsiviilseadustiku sätetel. Selle kohta on tsiviilseadustiku artiklis 710 sätestatud, et vastutus hõlmab ka muud kahju kui varale tekitatud kahju, hõlmates seega moraalset kahju (näiteks „psüühiliste kannatuste“ vormis). Näiteks võib tuua juhud, mil üksikisiku privaatsust on tema isikuteabe ebaseadusliku järelevalve ja/või kogumisega rikutud (nt määruse ebaseaduslik täitmine) (121).

(148)

Lisaks rahalisele hüvitisele võivad üksikisikud saada teatavatel juhtudel ka esialgset õiguskaitset (nt avaliku sektori asutuste kogutud isikuandmete kustutamine), tuginedes oma privaatsusõigustele põhiseaduse artikli 13 (122) alusel.

(149)

Kõikide nende õiguskaitsevõimaluste osas tagab Jaapani valitsuse loodud vaidluste lahendamise mehhanism, et üksikisik, kes ei ole endiselt rahul menetluse tulemusega, võib pöörduda isikuteabe kaitse komisjoni poole, „kes teavitab üksikisikut Jaapani õigusnormide alusel õiguskaitse saamise eri võimalustest ja üksikasjalikest menetlustest“. Lisaks isikuteabe kaitse komisjon „toetab üksikisikut, sealhulgas asjaomase haldus- või kohtuorgani poole pöördumisel nõu ja abi pakkumisega“.

(150)

See hõlmab kriminaalmenetluse seadustiku kohaste menetlusõiguste kasutamist. Näiteks „kui hindamisel selgub, et üksikisik on kriminaalõiguslikus asjas kahtlustatav, teavitab isikuteabe kaitse komisjon üksikisikut sellest asjaolust“ (123), samuti CCP artikli 259 kohasest võimalusest lasta prokuratuuri teavitada, kui ta on otsustanud kriminaalmenetlust mitte algatada. Kui hindamisel selgub, et on algatatud üksikisiku isikuteabega seotud uurimine ja see uurimine on lõpetatud, teavitab isikuteabe kaitse komisjon üksikisikut, et uurimistoimikuga saab tutvuda kooskõlas CCP artikliga 53 (ja lõplike kriminaaltoimikute seaduse artikliga 4). Oma toimikule juurdepääsu saamine on oluline, sest see aitab üksikisikul paremini mõista tema suhtes läbi viidud uurimist ning seega valmistada ette lõplik hagi (nt kahjutasude nõudeks), juhul kui ta leiab, et tema andmeid koguti või kasutati ebaseaduslikult.

(151)

Jaapani ametiasutuste kinnitusel ei ole Jaapanis seadust, mis lubaks sunduslikke teabetaotlusi või „halduslikku telefonikõne pealtkuulamist“ muidu kui kriminaaluurimiste puhul. Seega võib riigi julgeoleku kaalutlustel saada teavet üksnes teabeallikast, millele on igaühel vaba juurdepääs, või vabatahtliku teabe avaldamise kaudu. Ettevõtjad, kes saavad taotluse vabatahtlikuks koostööks (elektroonilise teabe avaldamise vormis), ei ole seaduse järgi kohustatud sellist teavet esitama (124).

(152)

Lisaks on saadud teabe kohaselt ainult neljal valitsusasutusel õigus koguda Jaapani ettevõtjate hoitavat elektroonilist teavet riigi julgeoleku kaalutlustel, nimelt: i) valitsuse luure- ja uurimisametil (CIRO); ii) kaitseministeeriumil (MOD); iii) politseil (nii riiklikul politseiametil (125) kui ka prefektuuri politseiametil); ja iv) riigi julgeoleku luureagentuuril (PSIA). Samas ei kogu CIRO kunagi teavet otse ettevõtjatelt, sealhulgas teabevahetuse pealtkuulamise teel. Kui teistest valitsusasutuselt saadakse valitsuse jaoks analüüsi koostamiseks teavet, peavad kõnealused teised ametiasutused omakorda järgima seadust, sealhulgas käesolevas otsuses analüüsitud piiranguid ja kaitsemeetmeid. Tema tegevus ei ole seega andmete edastamise kontekstis oluline.

(153)

Saadud teabe alusel kogub kaitseministeerium (elektroonilist) teavet kaitseministeeriumi asutamise seaduse alusel. Kooskõlas selle artikliga 3 on kaitseministeeriumi ülesanne juhtida ja opereerida sõjaväge ning „teha sellega seotud toiminguid, et tagada riigis rahu ja riigi sõltumatus ning rahva ohutus“. Artikli 4 lõikes 4 on sätestatud, et kaitseministeeriumil on pädevus „kaitse ja valve“, omakaitsejõudude tegevuse ja sõjaväe kasutamise üle, sealhulgas sellise tegevuse jaoks vajaliku teabe kogumiseks. Tal on õigus koguda ettevõtjatelt (elektroonilist) teavet üksnes nende vabatahtliku koostöö raames.

(154)

Prefektuuri politseiameti kohustused ja ülesanded hõlmavad „avaliku turvalisuse ja korra säilitamist“ (politseiseaduse artikli 35 lõige 2 koostoimes artikli 2 lõikega 1). Politsei võib oma pädevusalas koguda teavet, aga üksnes vabatahtlikult ja ilma seaduse sunnita. Peale selle peab politsei tegevus „piirduma rangelt“ tema ülesannete täitmiseks vajalikuga. Samuti peab ta tegutsema „erapooletult, sõltumatult, eelarvamustevabalt ja õiglaselt“ ja ei või kunagi kuritarvitada oma volitusi „selliselt, et see riivab Jaapani põhiseadusega tagatud üksikisiku õigusi ja vabadusi“ (vt politseiseaduse artikkel 2).

(155)

PSIA võib oma uurimisi läbi viia õõnestustegevuse ärahoidmise seaduse (Subversive Activities Prevention Act, edaspidi „SAPA“) ning valimatult massimõrvu toimepannud organisatsioonide kontrolli seaduse (Act on the Control of Organisations Which Have Committed Acts of Indiscriminate Mass Murder, edaspidi „ACO“) alusel, kui sellised uurimised on vajalikud kontrollimeetmete võtmiseks teatavate organisatsioonide suhtes (126). Mõlema seaduse alusel võib avaliku julgeoleku kontrolli komisjon PSIA direktori taotlusel välja anda teatavaid „korraldusi“ (järelevalve/keelud ACO korral (127), peatamised/keelud SAPA (128) korral) ning PSIA võib selle raames läbi viia uurimisi (129). Kooskõlas saadud teabega viiakse need uurimised alati läbi vabatahtlikult, mis tähendab, et PSIA ei või sundida isikuteabe omanikku sellist teavet esitama (130). Iga kord viiakse kontroll ja uurimine läbi üksnes kontrolli eesmärgi saavutamiseks vähimal vajalikul vähimal määral ning neid ei viida ühelgi juhul läbi selleks, et piirata „põhjendamatult“ õiguseid ja vabadusi, mis on tagatud Jaapani põhiseadusega (SAPA/ACO artikli 3 lõige 1). Peale selle ei või SAPA/ACO artikli 3 lõike 2 alusel PSIA mingil juhul kuritarvitada sellist kontrolli ega viia läbi uurimisi sellise kontrolli ettevalmistamiseks. Kui riigi julgeoleku luureametnik on talle asjaomase seadusega antud volitusi kuritarvitades sundinud isikut tegema midagi, mida isik ei pea tegema, või takistanud isiku õiguste kasutamist, võidakse tema suhtes kohaldada kriminaalkaristusi SAPA artikli 45 või ACO artikli 42 alusel. Lisaks on mõlemas seaduses sõnaselgelt ette nähtud, et nende sätteid, sealhulgas nendega antud volitusi ei „või mingil juhul laiemalt tõlgendada“ (SAPA/ACO artikkel 2).

(156)

Kõikidel juhtudel, mil valitsusel on riigi julgeoleku kaalutlustel andmetele juurdepääs ja mida on kirjeldatud selles punktis, kohaldatakse vabatahtlike uurimiste suhtes Jaapani ülemkohtu poolt ette nähtud piiranguid, mis tähendab, et (elektroonilise) teabe kogumine peab vastama vajalikkuse ja proportsionaalsuse põhimõtetele („asjakohane meetod“) (131). Jaapani ametiasutused on sõnaselgelt kinnitanud, et „teabe kogumine ja töötlemine toimub üksnes ulatuses, mis on vajalik pädeva avaliku sektori asutuse konkreetsete ülesannete täitmiseks, samuti konkreetsetest ohtudest lähtudes“. Seetõttu „on välja jäetud riikliku julgeoleku huvides isikuteabe massiline ja valimatu kogumine või sellele juurdepääs“ (132).

(157)

Samuti kuulub kogutud isikuteave, mida säilitavad avaliku sektori asutused riikliku julgeoleku eesmärgil, APPIHAO kohaldamisalasse ning seega kohaldatakse selle suhtes APPIHAO kohaseid kaitsemeetmeid, mis puutub nende järgnevasse hoidmisse, kasutamisse ja avaldamisse (vt põhjendus 118).

(158)

Isikuteabe kogumisel riikliku julgeoleku eesmärgil toimub mitmetasandiline järelevalve valitsuse kolme haru poolt.

(159)

Esiteks võib Jaapani parlamendi oma erikomisjonide kaudu kontrollida uurimiste õiguspärasust, tuginedes oma parlamentaarsetele uurimisvolitustele (põhiseaduse artikkel 62, parlamendiseaduse artikkel 104; vt põhjendus 134). Seda järelevalvefunktsiooni toetavad konkreetsed aruandekohustused ülalnimetatud õiguslikul alusel elluviidava tegevuse kohta (133).

(160)

Teiseks on täidesaatvas harus mitu järelevalvemehhanismi.

(161)

Kaitseministeeriumi järelevalvet teeb õigusliku vastavuse peainspektsioon (IGO) (134) – kaitseministeeriumi asutamise seaduse artikli 29 alusel asutatud amet, mis kuulub kaitseministeeriumi järelevalve alla (ja annab kaitseministeeriumile oma tegevusest aru), kuid on kaitseministeeriumi operatsioonilistest osakondadest sõltumatu. Õigusliku vastavuse peainspektsiooni ülesanne on tagada vastavus õigusnormidele, samuti kaitseministeeriumi ametnike kohustuste nõuetekohane täitmine. Ta on muu hulgas volitatud tegema nn kaitsekontrolle nii korrapäraselt („korralised kaitsekontrollid“) kui ka üksikjuhtudel („erakorralised kaitsekontrollid“), mis on varem hõlmanud ka isikuteabe nõuetekohast käitlemist (135). Selliste kontrollide kontekstis võib IGO siseneda tegevuskohtadesse (kontoritesse) ja nõuda dokumentide või teabe esitamist, sealhulgas selgitusi kaitseministeeriumi aseministri asetäitjalt. Kontroll viiakse lõpule kaitseministrile esitatava aruandega, milles esitatakse järeldused ja parendusmeetmed (mille rakendamist võib kontrollida edasiste kontrollide käigus). Aruanne alusel annab kaitseminister omakorda juhiseid olukorra lahendamiseks vajalike meetmete rakendamiseks; aseministri asetäitja ülesanne on neid meetmeid ellu viia ja järelmeetmetest aru anda.

(162)

Mis puutub prefektuuri politseiametisse, siis on järelevalve tagatud sõltumatute avaliku turvalisuse prefektuurikomisjonide kaudu, nagu on selgitatud põhjenduses 135 kriminaalõiguse täitmise tagamise kohta.

(163)

Lisaks, nagu on märgitud, võib PSIA viia läbi uurimisi üksnes määral, mil see on vajalik, et võtta vastu SAPA/ACO kohaseid keelu, peatamis- või järelevalvekorraldusi, ning nende korralduste puhul teeb eelnevat järelevalvet sõltumatu (136) avaliku julgeoleku kontrolli komisjon. Lisaks teevad spetsiaalselt nimetatud inspektorid eri osakondade/ametite jne korralisi/perioodilisi kontrolle (mille käigus vaadatakse põhjalikult PSIA tegevust) (137) ja erakorralisi sisekontrolle (138), mille järel võidakse anda juhiseid asjaomaste osakondade juhtidele jne parandus- või parendusmeetmete võtmiseks.

(164)

Need järelevalvemehhanismid, mida tugevdab üksikisikute võimalus algatada isikuteabe kaitse komisjoni kui sõltumatu järelevalveasutuse sekkumine (vt punkt 168), näevad ette piisavad garantiid selle vastu, et Jaapani ametiasutused võivad kuritarvitada oma volitusi riigi julgeoleku valdkonnas, ning elektroonilise teabe ebaseadusliku kogumise vastu.

(165)

Mis puutub üksikisikute õiguskaitsesse, siis on haldusorganite kogutava ja seega ka „säilitatava“ isikuteabe puhul nendel organitel kohustus sellisel töötlemisel „teha jõupingutusi, et vaadata kaebusi läbi nõuetekohaselt ja kiiresti“ (APPIHAO artikkel 48).

(166)

Pealegi erinevalt kriminaaluurimistest on üksikisikutel (sealhulgas välisriigis elavatel välisriigi kodanikel) põhimõtteliselt õigus andmete avaldamisele (139), parandamisele (sealhulgas kustutamisele) ning kasutamise/esitamise peatamisele APPIHAO alusel. Seda arvestades võib haldusorgani juht keelduda avaldamast andmeid seoses teabega, „mille puhul on põhjendatud alus […] otsustada, et avaldamine tõenäoliselt kahjustab riigi julgeolekut“ (APPIHAO artikli 14 punkt iv) ning ta võib seda teha isegi sellise teabe olemasolu paljastamata (APPIHAO artikkel 17). Samamoodi kehtib säte, et ehkki üksikisik võib taotleda andmete kasutamise peatamist või andmete kustutamist kooskõlas APPIHAO artikli 36 lõike 1 punktiga i juhul, kui haldusorgan on saanud teabe ebaseaduslikult või säilitab/kasutab seda ulatuslikumal määral kui konkreetse eesmärgi saavutamiseks vaja, võib ametiasutus keelduda taotlusest, kui ta leiab, et kasutamise peatamine „võib tõenäoliselt takistada säilitatud isikuteabe kasutamise eesmärki puutuvate toimingute nõuetekohast täitmist tingituna nimetatud toimingute laadist“ (APPIHAO artikkel 38). Samas kui on võimalik lihtsasti eraldada ja välistada need osad, mille suhtes see erand kehtib, peavad haldusorganid võimaldama vähemalt osalist avaldamist (vt APPIHAO artikli 15 lõige 1) (140).

(167)

Igal juhul peab haldusorgan tegema kirjaliku otsuse teatava ajavahemiku jooksul (30 päeva, mida saab teatavatel tingimustel pikendada veel 30 päeva). Kui taotlus lükatakse tagasi, rahuldatakse üksnes osaliselt või üksikisik leiab, et haldusorgani käitumine oli muul põhjusel „ebaseaduslik või ebaõiglane“, võib ta taotleda halduslikku läbivaatamist halduskaebuste läbivaatamise seaduse alusel (141). Sel juhul peab kaebust lahendava haldusorgani juht konsulteerima teabe avaldamise ja isikuteabe kaitse läbivaatamise nõukoguga (APPIHAO artiklid 42 ja 43), mis on sõltumatu erinõukogu, mille liikmed nimetab ametisse peaminister parlamendi mõlema koja nõusolekul. Läbivaatamisnõukogu võib kooskõlas saadud teabega viia läbi kontrollimise (142) ning lasta selle konkreetse taotlusega haldusorganil esitada säilitatavat isikuteavet, sealhulgas võimalikku salastatud sisu, samuti lisateavet ja -dokumente. Ehkki kaebuse esitajale ja haldusorganile saadetav ja avalikustatav lõpparuanne ei ole õiguslikult siduv, siis peaaegu kõikidel juhtudel seda järgitakse (143). Peale selle on üksikisikul võimalus vaidlustada edasikaebeotsus kohtus, tuginedes halduskohtumenetluse seadusele. See võimaldab teha riigi julgeoleku erandi(te) kasutamise õiguslikku kontrolli, sealhulgas kontrollida, kas seda erandit on kuritarvitatud või kas see on endiselt põhjendatud.

(168)

Selleks et aidata kaasa ülalnimetatud õiguste kasutamisele APPIHAO alusel, on siseasjade ja teabevahetuse ministeerium loonud 51 „koondteabekeskust“, mis annavad konsolideeritud teavet nende õiguste, taotluse esitamiseks kohaldatava menetluse ja võimalike õiguskaitsevõimaluste kohta (144). Mis puutub haldusorganitesse, siis peavad nad esitama „teavet, mis aitab täpsustada säilitatavat isikuteavet“ (145) ning võtma „muid piisavaid meetmeid, võttes arvesse selle isiku mugavust, kes kavatseb taotluse esitada“ (APPIHAO artikli 47 lõige 1).

(169)

Nagu kriminaalõiguse täitmise tagamise valdkonnas läbi viidud uurimiste korral, võivad ka riigi julgeoleku valdkonnas üksikisikud saada võimaluse õiguskaitseks, võttes otse ühendust isikuteabe kaitse komisjoniga. Seeläbi algatatakse spetsiaalne vaidluste lahendamise menetlus, mille Jaapani valitsus on loonud ELi kodanikele, kelle isikuandmeid edastatakse käesoleva otsuse alusel (vt üksikasjalikud selgitused põhjendustest 141–144 ja 149).

(170)

Lisaks võivad üksikisikud taotleda õiguskaitset kahju hüvitamise hagiga riigivastutuse seaduse alusel, mis hõlmab ka moraalset kahju ja teatavatel tingimustel kogutud andmete kustutamist (vt põhjendus 147).

(171)

Komisjon leiab, et APPI, mida täiendavad I lisas esitatud lisaeeskirjad, koos II lisas esitatud ametlike seisukohtade, kinnituste ja kohustustega tagavad Euroopa Liidust edastavate isikuandmete kaitsetaseme, mis on põhimõtteliselt samaväärne määruse (EL) 2016/679 kohaselt tagatud kaitsetasemega.

(172)

Lisaks leiab komisjon, et Jaapani õiguses ettenähtud järelevalvemehhanismid ja õiguskaitse võimalused võimaldavad praktikas tuvastada isikuteavet käitlevate ettevõtjate rikkumisi ja nende eest karistada ning pakuvad andmesubjektile õiguskaitsevahendeid temaga seotud isikuandmetele juurdepääsu saamiseks ning vajaduse korral nende parandamiseks või kustutamiseks.

(173)

Lisaks leiab komisjon Jaapani õigussüsteemi kohta kättesaadava teabe, sealhulgas II lisas esitatud Jaapani valitsuse seisukohtade, kinnituste ja kohustuste põhjal, et selliste üksikisikute põhiõiguste riivamine Jaapani avaliku sektori asutuste poolt avaliku julgeoleku eesmärgil ning eriti kriminaalõiguse täitmise tagamise ja riikliku julgeoleku eesmärgil, kelle isikuandmeid edastatakse Euroopa Liidust Jaapanisse, piirdub asjaomase seadusliku eesmärgi saavutamiseks rangelt vajalikuga ning tagatud on tõhus õiguskaitse selliste riivete vastu.

(174)

Seega arvestades käesoleva otsuse järeldusi, leiab komisjon, et Jaapan tagab Euroopa Liidust Jaapanis asuvatele isikuteavet käitlevatele ettevõtjatele, kelle suhtes kehtib APPI, edastatavate isikuandmete piisava kaitsetaseme, välja arvatud juhtudel, kui saaja kuulu ühte APPI artikli 76 lõikes 1 loetletud kategooriatest ning kõik töötlemise eesmärgid või osad neist vastavad ühele selles sättes ette nähtud eesmärkidest.

(175)

Selle põhjal järeldab komisjon, et määruse (EL) 2016/679 artikli 45 kohane piisavuse nõue, tõlgendatuna Euroopa Liidu põhiõiguste hartat ja eelkõige Schremsi kohtuotsust (146) arvesse võttes, on täidetud.

(176)

Euroopa Kohtu kohtupraktika kohaselt (147) ja nagu on tunnustatud määruse (EL) 2016/679 artikli 45 lõikes 4, peaks komisjon pidevalt jälgima asjaomaseid muutuseid kolmandas riigis pärast kaitse piisavuse otsuse vastuvõtmist, et hinnata, kas Jaapan tagab endiselt sisuliselt samaväärse kaitsetaseme. Niisugune kontrollimine on igal juhul nõutav, kui komisjonile laekunud teave tekitab kõnealuse küsimuse suhtes põhjendatud kahtluse.

(177)

Seepärast peaks komisjon pidevalt jälgima käesolevas otsuses hinnatud olukorda nii isikuandmete töötlemise õigusraamistiku kui ka tegelike tavade osas, sealhulgas seda, kas Jaapani ametiasutused järgivad II lisas esitatud seisukohti, kinnitusi ja kohustusi. Selle protsessi hõlbustamiseks peaksid Jaapani ametiasutused teavitama komisjoni käesoleva otsuse jaoks olulistest muudatustest nii isikuandmete ettevõtjate poolsel töötlemisel kui ka isikuandmetele juurdepääsul avaliku sektori asutustele kehtestatud piirangute ja seotud tagatistega. See peaks hõlmama kõiki isikuteabe kaitse komisjoni poolt APPI artikli 24 alusel vastu võetud otsuseid, millega tunnistatakse kolmanda riigi tagatav kaitsetase Jaapani tagatava kaitsetasemega samaväärseks.

(178)

Pealegi selleks, et komisjonil oleks võimalik tõhusalt täita oma järelevalvefunktsiooni, peaksid liikmesriigid teavitama komisjoni kõikidest asjakohastest meetmetest, mida riigi andmekaitseasutused võtavad, eelkõige seoses ELi andmesubjektide päringute või kaebustega, mis puudutavad isikuandmete edastamist Euroopa Liidust Jaapanis asuvatele ettevõtjatele. Komisjoni tuleks teavitada ka võimalikest märkidest, et kuritegude ennetamise, uurimise, avastamise või nende eest süüdimõistmise või riigi julgeoleku eest vastutavate Jaapani avaliku sektori asutuste tegevus, samuti järelevalveasutuste tegevus ei taga nõutavat kaitsetaset.

(179)

Liikmesriigid ja nende organid peavad võtma liidu institutsioonide aktid järgimiseks vajalikud meetmed, kuna eeldatakse nende õiguspärasust ja need tekitavad seega õiguslikke tagajärgi seni, kuni neid ei ole tagasi võetud, tühistamishagi menetlemise tulemusena tühistatud ega eelotsusemenetluse tulemusel või õigusvastasuse väite alusel kehtetuks tunnistatud. Seega on määruse (EL) 2016/679 artikli 45 lõike 3 alusel komisjoni vastu võetud kaitse piisavuse otsus siduv kõikide otsuse adressaadiks olevate liikmesriikide organitele, sealhulgas sõltumatutele järelevalveasutustele. Nagu Euroopa Kohus on selgitanud Schremsi kohtuotsuses (148) ja on tunnustatud määruse artikli 58 lõikes 5, peab samas olema liikmesriigi õigusega juhuks, kui andmekaitseasutus kahtleb (sh laekunud kaebuse põhjal) komisjoni piisavusotsuse kooskõlas üksikisiku põhiõigustega eraelu puutumatusele ja andmekaitsele, ette nähtud õiguskaitsevahend, mis võimaldab tal edastada need vastuväited siseriiklikule kohtule, kes kahtluste korral peab menetluse peatama ja esitama Euroopa Kohtule eelotsusetaotluse (149).

(180)

Kohaldades määruse (EL) 2016/679 artikli 45 lõiget 3 (150) ja pidades silmas asjaolu, et Jaapani õiguskorrast tulenev kaitsetase võib muutuda, kontrollib komisjon pärast käesoleva otsuse vastuvõtmist korrapäraselt, kas järeldused Jaapani tagatava kaitse piisava taseme kohta on endiselt faktiliselt ja õiguslikult põhjendatud.

(181)

Sel eesmärgil tuleks otsus esimest korda läbi vaadata kaks aastat pärast selle jõustumist. Pärast esimest läbivaatamist otsustab komisjon olenevalt tehtud järeldustest ja tihedas koostöös isikuandmete kaitse üldmääruse artikli 93 lõike 1 alusel asutatud komiteega, kas jätkata läbivaatamist iga kahe aasta tagant. Igal juhul peaksid edasised läbivaatamised toimuma vähemalt iga nelja aasta tagant (151). Läbivaatamine peaks hõlmama käesoleva otsuse toimimise kõiki aspekte ning eelkõige lisaeeskirjade kohaldamist (pöörates eritähelepanu edasisaatmisel tagatavale kaitsele), nõusolekueeskirjade kohaldamist, sealhulgas loobumise korral, üksikisiku õiguste kasutamise tulemuslikkust, samuti valitsuse juurdepääsu suhtes kehtestatud piiranguid ja kaitsemeetmeid, sealhulgas käesoleva otsuse II lisas sätestatud õiguskaitsemehhanismi. Samuti peaks see hõlmama järelevalve ja täitmise tagamise tulemuslikkust nii isikuteavet käitlevate ettevõtjate suhtes kohaldatavate kui ka kriminaalõiguse täitmise tagamise ja riigi julgeoleku valdkonna eeskirjade puhul.

(182)

Läbivaatamise tegemiseks peaks komisjon kohtuma isikuteabe kaitse komisjoniga ning, kui see on asjakohane, siis teiste Jaapani ametiasutustega, kes vastutavad valitsuse juurdepääsu eest, sealhulgas asjaomaste järelevalveasutustega. Sellel kohtumisel peaks olema lubatud osaleda ka Euroopa Andmekaitsenõukogu liikmete esindajatel. Ühise läbivaatamise raamistikus peaks komisjon laskma isikuteabe kaitse komisjonil esitada põhjalikku teavet piisavuse jaoks oluliste aspektide, sealhulgas valitsuse juurdepääsu suhtes kehtestatud piirangute ja kaitsemeetmete kohta (152). Komisjon peaks küsima ka selgitusi igasuguse teabe kohta, mis on käesoleva otsuse puhul oluline ja mida ta on saanud, sealhulgas Jaapani ametiasutuste või muude sidusrühmade, Euroopa Andmekaitsenõukogu, eri andmekaitseasutuste, kodanikuühiskonna rühmade avalike aruannete, meediakajastuste või muude kättesaadavate teabeallikate kohta.

(183)

Ühise läbivaatamise alusel peab komisjon koostama avaliku aruande, mis esitatakse Euroopa Parlamendile ja nõukogule.

(184)

Kui komisjon teeb korrapäraste ja erikontrollide või muu kättesaadava teabe alusel järelduse, et Jaapani õigussüsteemi tagatavat kaitsetaset ei saa enam pidada Euroopa Liidu kaitsetasemega olulisel määral samaväärseks, peab ta teavitama sellest Jaapani pädevaid asutusi ning nõudma, et kindlaksmääratud mõistliku tähtaja jooksul võetakse asjakohaseid meetmeid. See hõlmab eeskirju, mida kohaldatakse nii ettevõtjate kui ka nende Jaapani avaliku sektori asutuste suhtes, kes vastutavad kriminaalõiguse täitmise tagamise või riigi julgeoleku eest. Näiteks algatataks selline menetlus juhtudel, kui (edasi)saatmisel, sh selliste isikuteabe kaitse komisjoni poolt APPI artikli 24 alusel vastu võetud otsuste alusel, millega tunnistatakse kolmanda riigi tagatav kaitsetase Jaapani tagatava kaitsetasemega samaväärseks, ei kasutata enam kaitse jätkumist tagavaid kaitsemeetmeid isikuandmete kaitse üldmääruse artikli 44 tähenduses.

(185)

Kui Jaapani pädevad asutused ei ole kindlaksmääratud ajavahemiku jooksul rahuldavalt tõendanud, et käesolev otsus põhineb endiselt piisaval kaitsetasemel, peab komisjon, kohaldades määruse (EL) 2016/679 artikli 45 lõiget 5 algatama menetluse käesoleva otsuse osaliseks või täielikuks peatamiseks või kehtetuks tunnistamiseks. Alternatiivina peaks komisjon algatama menetluse käesoleva otsuse muutmiseks, et eelkõige kehtestada andmete edastamise lisatingimused või piirata kaitse piisavuse otsuse kohaldamisala selliselt, et selle alla kuuluks üksnes andmeedastus, mille puhul on tagatud kaitse jätkumine isikuandmete kaitse üldmääruse artikli 44 tähenduses.

(186)

Eelkõige peaks komisjon peaks algatama peatamis- või kehtetuks tunnistamise menetluse siis, kui esineb märke selle kohta, et käesoleva otsuse alusel isikuandmeid saavad ettevõtjad ei täida I lisas esitatud lisaeeskirju ja/või nende lisaeeskirjade täitmine ei ole tulemuslikult tagatud või Jaapani ametiasutused ei järgi käesoleva otsuse II lisas esitatud seisukohti, kinnitusi ja kohustusi.

(187)

Komisjon peab kaaluma ka menetluse algatamist käesoleva otsuse muutmiseks, peatamiseks või kehtetuks tunnistamiseks, kui ühist läbivaatamist või muid asjaolusid silmas pidades ei esita Jaapani pädevad asutused teavet või selgitusi, mida on vaja Euroopa Liidust Jaapanisse edastatud isikuandmetele võimaldatava kaitsetaseme hindamiseks või käesoleva otsuse täitmiseks. Sellega seoses peab komisjon võtma arvesse võimalusi saada asjakohast teavet muudest allikatest.

(188)

Komisjon peaks kaaluma käesoleva otsuse peatamiseks või kehtetuks tunnistamiseks kooskõlas määruse (EL) 2016/679 artikli 93 lõikega 3 ja koostoimes Euroopa Parlamendi ja nõukogu määruse (EL) nr 182/2011 (153) artikliga 8 viivitamata kohaldatava otsuse vastuvõtmist üksnes nõuetekohaselt põhjendatud kiireloomulistel juhtudel, näiteks andmesubjekti õiguste raske rikkumise ohu korral.

(189)

Euroopa Andmekaitsenõukogu avaldas arvamuse (154), mida on käesoleva otsuse koostamisel arvesse võetud.

(190)

Euroopa Parlament on vastu võtnud resolutsiooni digitaalkaubanduse strateegia loomise kohta, kutsudes komisjoni üles seadma kaitse piisavuse otsuste vastuvõtmine prioriteediks ja seda kiirendama oluliste kaubanduspartnerite puhul kooskõlas määruses (EL) 2016/679 sätestatud tingimustega, kui olulise mehhanismi Euroopa Liidust isikuandmete edastamise kaitsmiseks (155). Euroopa Parlament on ka vastu võtnud resolutsiooni Jaapani pakutava isikuandmete kaitse piisavuse kohta (156).

(191)

Käesoleva otsusega sätestatud meetmed on kooskõlas isikuandmete kaitse üldmääruse artikli 93 lõike 1 alusel loodud komitee arvamusega.