Brüssel,3.4.2023

COM(2023) 275 final

KOMISJONI ARUANNE EUROOPA PARLAMENDILE JA NÕUKOGULE

Jaapani pakutava kaitse piisavuse otsuse toimimise esimese läbivaatamise kohta

{SWD(2023) 75 final}


KOMISJONI ARUANNE EUROOPA PARLAMENDILE JA NÕUKOGULE

Jaapani pakutava kaitse piisavuse otsuse toimimise esimese läbivaatamise kohta

1.ESIMENE LÄBIVAATAMINE – TAUST, ETTEVALMISTUS JA PROTSESS

23. jaanuaril 2019 võttis Euroopa Komisjon vastavalt määruse (EL) 2016/679 (isikuandmete kaitse üldmäärus) 1 artiklile 45 vastu otsuse, milles ta leidis, et Jaapan tagab selliste isikuandmete kaitse piisava taseme, mis edastatakse Euroopa Liidust isikuteavet käitlevatele ettevõtjatele 2 Jaapanis 3 . Selle tulemusena võib andmeid edastada EList Jaapani eraettevõtjatele ilma, et selleks tuleks täita lisanõudeid 4 .

Komisjoni otsus kaitse piisavuse kohta hõlmab Jaapani isikuteabe kaitse seadust (APPI), mida täiendavad lisasätted, mis kehtestati APPI ja isikuandmete kaitse üldmääruse vahel teatavate oluliste erinevuste ületamiseks 5 . Need täiendavad kaitsemeetmed tugevdavad näiteks tundlike andmete kaitset (laiendades nende isikuandmete kategooriaid, mida peetakse tundlikeks andmeteks), üksikisiku õiguste kasutamist (selgitades, et üksikisiku õigusi võib kasutada ka isikuandmete puhul, mida säilitatakse lühema aja jooksul kui kuus kuud, mis sel ajal APPI alusel nii ei olnud) 6 ja tingimusi, mille alusel võib ELi andmeid Jaapanist kolmandasse riiki edasi saata 7 . Lisasätted on Jaapani ettevõtjatele siduvad ja nende täitmist saab nõuda sõltumatu andmekaitseasutus – isikuteabe kaitse komisjon (PPC) – või ELi üksikisikud otse Jaapani kohtutes 8 .

Lisaks esitas Jaapani valitsus komisjonile ametlikud seisukohad, kinnitused ja kohustused seoses piirangute ja kaitsemeetmetega, mis on seotud Jaapani ametiasutuste juurdepääsuga isikuandmetele ja nende kasutamisega kriminaalõiguse rakendamiseks ja riikliku julgeoleku eesmärkidel, selgitades, et selline töötlemine piirdub vajalikuga, on proportsionaalne ja selle üle toimub sõltumatu järelevalve ning et kehtestatud on mõjusad õiguskaitsemehhanismid. 9 . Selle valdkonna õiguskaitsemehhanismid sisaldavad spetsiaalset vaidluste lahendamise menetlust, mida haldab ja mille üle teeb järelevalvet isikuteabe kaitse komisjon, mis loodi ELi üksikisikute jaoks, kelle isikuandmeid edastatakse kaitse piisavuse otsuse alusel 10 .

Komisjoni kaitse piisavuse otsuse vastuvõtmisega samal ajal võttis Jaapan vastu samaväärse otsuse andmete edastamise kohta ELi, millega loodi maailma suurim ja kõrgetasemelise kaitsega andmete vaba liikumise piirkond 11 . Need vastastikused kaitse piisavuse otsused täiendavad ja võimendavad 2019. aasta veebruaris jõustunud ELi ja Jaapani majanduspartnerluslepingu 12 ning samal ajal läbiräägitud strateegilise partnerluse lepingu 13 eeliseid. Mõlema poole äriühingud saavad kasu vastastikuste kaitse piisavuse otsuste ja majanduspartnerluslepingu vahelisest sünergiast, kuna andmete vaba liikumine ELi ja Jaapani vahel hõlbustab veelgi kaubavahetust ja loob märkimisväärseid ärivõimalusi läbi eelisjuurdepääsu üksteise turule. Sellega luuakse ka oluline pretsedent, näidates selgelt, et digiajastul tuleb ja saab rahvusvahelist kaubandust edendada nii, et tagatud on range isikuandmete kaitse.

Pärast kaitse piisavuse otsuste vastuvõtmist on EL ja Jaapan sarnaselt meelestatud partneritena veelgi tõhustanud oma koostööd digiküsimustes üldiselt ja eelkõige andmevoogude valdkonnas. Kahepoolsel tasandil kajastub see eelkõige digipartnerluse sõlmimises 2022. aasta mais 14 ja läbirääkimiste alustamises 2022. aasta oktoobris, et lisada majanduspartnerluslepingusse piiriüleseid andmevooge käsitlevad põhimõtted 15 , mis suurendavad veelgi koostoimet vastastikuste piisavusotsustega. Mitmepoolsel tasandil on EL ja Jaapan teinud ühiseid jõupingutusi, et muu hulgas G7, Maailma Kaubandusorganisatsiooni (e-kaubandust käsitleva ühisavalduse algatuse raames) ning Majanduskoostöö ja Arengu Organisatsiooni (OECD) raames tehtava tiheda koostöö kaudu edendada, tugevdada ja rakendada usaldusväärse andmete vaba liikumise algatuse „Data Free Flow with Trust“ kontseptsiooni, mille käis välja endine peaminister Shinzo Abe. OECDs oli ELi ja Jaapani tihe koostöö nendes küsimustes eriti oluline selleks, et esimest korda rahvusvahelisel tasandil vastu võtta ühised põhimõtted valitsuse juurdepääsu kohta erasektori valduses olevatele isikuandmetele 16 . Need erinevad töösuunad tuginesid suuremal või vähemal määral ELi-Jaapani vastastikuste kaitse piisavuse otsuste aluseks olevatele ühistele väärtustele ja nõuetele.

Et regulaarselt kontrollida, kas kaitse piisavuse otsuses esitatud järeldused on jätkuvalt faktiliselt ja õiguslikult põhjendatud, peab komisjon tegema korrapärase läbivaatamise ja esitama tulemuste kohta aruande Euroopa Parlamendile ja nõukogule 17 . Käesoleva aruandega, milles käsitletakse kõiki otsuse toimimise aspekte, viiakse lõpule esimene korrapärane läbivaatamine. Jaapani poolelt osalesid läbivaatamises isikuteabe kaitse komisjoni, sise- ja kommunikatsiooniministeeriumi, justiitsministeeriumi, kaitseministeeriumi ja riikliku politseiameti esindajad. ELi delegatsiooni kuulus lisaks Euroopa Komisjoni liikmetele kolm Euroopa Andmekaitsenõukogu määratud esindajat.

26. oktoobril 2021 toimus kahe delegatsiooni vaheline läbivaatamiskoosolek, millele eelnesid ja järgnesid arvukad mõttevahetused. Läbivaatamise ettevalmistamiseks kogus komisjon Jaapani ametiasutustelt teavet otsuse toimimise, eelkõige lisasätete rakendamise kohta. Komisjon taotles ka avalikest allikatest ja kohalikelt ekspertidelt teavet otsuse toimimise ning Jaapani õiguse ja tavade asjakohaste arengute kohta nii seoses eraettevõtjate suhtes kohaldatavate andmekaitse-eeskirjadega kui ka seoses valitsuse juurdepääsuga. Pärast läbivaatamiskoosolekut pidasid komisjon ja isikuteabe kaitse komisjon mitu mõttevahetust, et võtta järelmeetmeid koosolekul arutatud küsimustes ning eelkõige käsitleda küsimusi, mis tekkisid pseudonüümitud isikuandmeid käsitlevate sätete lisamisel APPIsse.

2.PEAMISED JÄRELDUSED

Üksikasjalikud järeldused kaitse piisavuse otsuse kõigi aspektide toimimise kohta on esitatud käesolevale aruandele lisatud komisjoni talituste töödokumendis (SWD(2023) 75).

Eelkõige näitas esimene läbivaatamine, et ELi ja Jaapani andmekaitseraamistikke on pärast vastastikuste kaitse piisavuse otsuste vastuvõtmist veelgi ühtlustatud. APPIt on muudetud kahel korral: 5. juunil 2020 Isikuteabe kaitse seaduse muutmise seadusega (APPI 2020. aasta muudatus), mis jõustus 1. aprillil 2022 18 ; ning 12. mail 2021 Digiühiskonna loomisega seotud õigusaktide korraldamise seadusega (APPI 2021. aasta muudatus) 19 . Komisjoniga konsulteerides kohandati lisasätteid nende muudatuste kajastamiseks.

Need muudatused on ELi ja Jaapani süsteeme veelgi lähendanud, eelkõige seetõttu, et nendega karmistati andmeturbega seotud kohustusi (andmealastest rikkumistest teatamise kohustuse kehtestamise kaudu) ning tugevdati andmesubjektide õigusi (eelkõige andmetega tutvumise õigust ja vastuväidete esitamise õigust) ja andmete edasisaatmise korral pakutavat kaitset (lisateabe ja järelevalvenõuete kujul, sealhulgas teave võimalike ohtude kohta, mis on seotud valitsuse juurdepääsuga sihtriigis). Sellega seoses on eriti oluline, et APPIsse on lisatud mõned täiendavad kaitsemeetmed, mis on sätestatud lisasätetes EList tulevate isikuandmete kohta, st seoses andmete säilitamisega ja tingimustega teadliku nõusoleku kohta piiriüleseks edastamiseks, muutes need üldiselt kohaldatavaks kõigi isikuandmete suhtes, olenemata nende päritolust või kogumise kohast 20 .

Teine oluline muudatus, mille üle komisjon heameelt väljendab, on APPI muutmine terviklikuks andmekaitseraamistikuks, mis hõlmab nii era- kui ka avalikku sektorit ning mis on isikuteabe kaitse komisjoni ainukontrolli all 21 . Jaapani andmekaitseraamistiku ja isikuteabe kaitse komisjoni volituste edasine tugevdamine võib sillutada teed kaitse piisavuse otsuse laiendamisele, et lisaks kaubavahetusele hõlmata praegu selle kohaldamisalast välja jäetud andmeedastusi, näiteks regulatiivse koostöö ja teadusuuringute valdkonnas.

Esimeses läbivaatamises keskenduti ka uutele sätetele pseudonüümitud isikuandmete loomise ja kasutamise kohta, mis kehtestati APPI 2020. aasta muudatusega 22 . Nende uute sätete peamine eesmärk on hõlbustada isikuandmete (sisemist) kasutamist ettevõtetes, kes töötlevad isikuandmeid peamiselt statistilistel eesmärkidel (nt suundumuste ja seaduspära väljaselgitamiseks, et tuua kasu edasisele tegevusele, sealhulgas teadusuuringutele). Läbivaatamiskoosolek ja sellele järgnenud teabevahetus komisjoni ja isikuteabe kaitse komisjoni vahel võimaldas selgitada nende uute sätete tõlgendamist ja kohaldamist. Nende arutelude tulemusena tehti 15. märtsil 2023 lisasätetes kaks muudatust, et kajastada selgemalt nende uute sätete kavandatavat kohaldamist ja seega tagada õiguskindlus ja läbipaistvus 23 . Esiteks on lisasätetega ette nähtud, et sellist teavet võib kasutada üksnes statistilistel eesmärkidel – mis on määratletud kui töötlemine statistiliste vaatluste või statistiliste tulemuste koostamiseks – koondandmete saamiseks, ning et töötlemise tulemusi ei kasutata ühegi konkreetse isikuga seotud meetmete või otsuste toetamiseks. Teiseks selgitatakse neis, et algselt EList saadud pseudonüümitud isikuandmeid käsitatakse APPI kohaselt alati „isikuteabena“, tagamaks, et isikuandmete kaitse üldmääruse kohaselt isikuandmetena käsitatavate andmete kaitse järjepidevust ei kahjustata, kui neid edastatakse kaitse piisavuse otsuse alusel 24 .

Seoses andmekaitsemeetmete rakendamisega praktikas tervitab komisjon isikuteabe kaitse komisjoni võetud mitmesuguseid meetmeid. See hõlmab ajakohastatud suuniste vastuvõtmist, sealhulgas rahvusvahelise andmeedastuse kohta. Komisjon märgib, et neid suuniseid võiks selgemaks muuta, et käsitleda ka liidust saadud isikuandmete Jaapanist edasisaatmise suhtes lisasätete alusel kohaldatavaid erinõudeid, sealhulgas – nagu nähtub lisasättest 4 ja nagu on selgitatud kaitse piisavuse otsuses 25 – andmete edasisaatmise välistamist APECi piiriüleste privaatsuseeskirjade sertifitseerimissüsteemi alusel. Lisaks, kuigi isikuteabe kaitse komisjon on selgitanud, et isikuandmeid käitlevad ettevõtjad piiritlevad algselt EList saadud andmete edasisaatmist, „sõlmides lepingu, mis kohustab vastuvõtjat võtma meetmeid, mis tagavad kaitse järjepidevuse“, ei anna isikuteabe kaitse komisjon praegu suuniseid rahvusvahelise andmeedastuse puhul kasutatavate samaväärsete meetmete soovitatava sisu kohta (kaitsemeetmete osas), olgu siis suuniste või andmekaitse näidislepingute kujul. Need täiendavad selgitused, mis võiksid eelkõige põhineda teabe ja parimate tavade vahetamisel isikuteabe kaitse komisjoni ja komisjoni vahel, võiksid olla eriti kasulikud, kuna need puudutavad aspekte, mis on eriti olulised mõlemas jurisdiktsioonis tegutsevatele äriühingutele.

Järelevalve ja täitmise tagamise kohta märgib komisjon, et isikuteabe kaitse komisjon on kaitse piisavuse otsuse vastuvõtmisele järgneval perioodil kasutanud mittesundivaid suuniste andmise ja nõustamisvolitusi (APPI artikkel 147) rohkem kui sunnimeetmete rakendamise õigust (nt siduvate korralduste kehtestamine, APPI artikkel 148). Isikuteabe kaitse komisjon teatas ka, et seni ei ole saadud kaebusi lisasätete järgimise kohta ning isikuteabe kaitse komisjon ei ole selliseid küsimusi omal algatusel uurinud. Siiski teatas isikuteabe kaitse komisjon läbivaatamiskoosolekul, et ta kaalub omal algatusel pisteliste kontrollide tegemist, et tagada vastavus lisasätetele. Komisjon peab seda kavatsust tervitatavaks, kuna leiab, et sellised pistelised kontrollid oleksid väga olulised, et tagada lisasätete (võimalike) rikkumiste ennetamine, avastamine ja kõrvaldamine ning tagada nii tegelik vastavus kõnealustele sätetele. Kuna APPI 2020. ja 2021. aasta muudatused on tugevdanud isikuteabe kaitse komisjoni järelevalvevolitusi, võivad need pistelised kontrollid olla osa üldisest jõupingutusest suurendada nende volituste kasutamist.

Lõpetuseks väljendab komisjon suurt heameelt selle üle, et luuakse spetsiaalsed kontaktpunktid ELi üksikisikutele, kellel on küsimusi või kahtlusi seoses oma isikuandmete töötlemisega Jaapanis, olgu siis tegemist ettevõtjate (päringuliin) või avaliku sektori asutustega (kaebuste vahendamise liin). Samal ajal märgib komisjon, et päringuliini veebilehel on märgitud, et see on kättesaadav ainult Jaapani keeles, mis tõenäoliselt heidutab ELi üksikisikuid seda võimalust kasutamast, kuigi isikuteabe kaitse komisjon selgitas, et ingliskeelne abi on põhimõtteliselt kättesaadav. Komisjon mõistab, et isikuteabe kaitse komisjon kaalub võimalusi, kuidas muuta sellised kontaktpunktid eurooplastele hõlpsamini juurdepääsetavaks, sealhulgas seda punkti täpsustades.

3.KOKKUVÕTE

Tuginedes käesoleva esimese läbivaatamise käigus tehtud üldistele järeldustele, järeldab komisjon, et Jaapan tagab jätkuvalt Euroopa Liidust pärinevate isikuandmete piisava kaitse taseme selliste Jaapanis tegutsevate isikuandmeid käitlevate ettevõtjate puhul, kelle suhtes kohaldatakse APPIt, mida täiendavad lisasätted ning otsuse II lisas esitatud ametlikud seisukohad, kinnitused ja kohustused. Sellega seoses tunnustavad komisjoni talitused läbivaatamise käigus tehtud suurepärast koostööd Jaapani ametiasutustega ja eelkõige isikuteabe kaitse komisjoniga ning hindavad seda väga kõrgelt.

Läbivaatamise tulemusi arvesse võttes ja kooskõlas kaitse piisavuse otsuse põhjendusega 181 leiab komisjon, et edaspidi ei ole vaja jätkata läbivaatamist iga kahe aasta tagant, ning leiab seetõttu, et on asjakohane minna üle nelja-aastasele tsüklile kooskõlas isikuandmete kaitse üldmääruse artikli 45 lõikega 3. Komisjon konsulteerib selles küsimuses isikuandmete kaitse üldmääruse artikli 93 lõike 1 alusel asutatud komiteega 26 .

Samal ajal võib Jaapani raamistiku teatavate aspektide tugevdamine aidata veelgi tõhustada APPIs ja lisasätetes ette nähtud kaitsemeetmeid. Sel eesmärgil esitab komisjon järgmised soovitused:

1.Komisjon peab tervitatavaks isikuteabe kaitse komisjoni kavandatud pistelisi kontrolle ja innustab neid rohkem kasutama, et tagada vastavus lisasätetele. Komisjon leiab, et sellised pistelised kontrollid oleksid väga olulised, et tagada lisasätete (võimalike) rikkumiste avastamine ja kõrvaldamine ning tagada nii tegelik vastavus kõnealustele sätetele.

2.Komisjon tervitab asjaolu, et isikuteabe kaitse komisjon on avaldanud ajakohastatud suunised rahvusvahelise andmeedastuse kohta, kuna need suurendavad selles valdkonnas APPI eeskirjade kättesaadavust ja muudavad need eeskirjad kasutajasõbralikumaks. Nendes suunistes (või muudes juhendmaterjalides) tuleks vajaduse korral selgitada ka lisasätetest tulenevaid erinõudeid, sealhulgas algselt EList saadud isikuandmete edasisaatmisel APECi piiriüleste privaatsuseeskirjade sertifitseerimissüsteemi välistamist.

3.Läbivaatamise käigus arutati, kuidas isikuteabe kaitse komisjoni päringu- ja vahendusliini üksikisikutelt saadud küsimuste ja kaebuste jaoks saaks muuta välismaalastele kättesaadavamaks. Sellega seoses oleks oluline täpsustada spetsiaalsel veebisaidil, et ingliskeelne abi on põhimõtteliselt kättesaadav.

Läbivaatamine võimaldas kindlaks teha ka valdkonnad, kus võiks tulevikus koostööd teha. Nagu märgitud, ei anna isikuteabe kaitse komisjon praegu suuniseid rahvusvahelise andmeedastuse puhul kasutatavate samaväärsete meetmete soovitatava sisu kohta (kaitsemeetmete osas), olgu siis suuniste või andmekaitse näidislepingute kujul. Võttes arvesse näidistingimuste kasvavat tähtsust ja nende potentsiaali ülemaailmses andmeedastuses, nagu on tunnistanud näiteks G7 27 ja OECD 28 , on komisjon näidanud üles huvi teha Jaapaniga tulevikus koostööd selliste tingimuste väljatöötamiseks. Kaitse piisavuse otsuse praegu andmete edastamisega ettevõtjate vahel piirduva kohaldamisala laiendamine on veel üks valdkond, mida komisjon kavatseb koos isikuteabe kaitse komisjoniga uurida.

Komisjon jätkab Jaapani andmekaitseraamistiku ja tegelike tavade tähelepanelikku jälgimist. Sellega seoses jääb nõukogu ootama tulevast infovahetust Jaapani ametiasutustega otsuse seisukohast oluliste muudatuste kohta 29 ning koostöö edasist tugevdamist rahvusvahelisel tasandil ajal, mil kasvab nõudlus eraelu puutumatust ja andmevooge käsitlevate ülemaailmsete standardite järele.

(1)      ELT L 119, 4.5.2016, lk 1.
(2)      Kaitse piisavuse otsuse vastuvõtmise ajal kehtinud isikuteabe kaitse seaduse (APPI) versioonis viidati sellele mõistele kui „isikuteavet käitlevatele ettevõtjatele“. Isikuteavet käitlev ettevõtja on muudetud APPI artikli 16 lõikes 2 määratletud kui „isik, kes kasutab isikuteabe andmebaasi või sellega võrdväärset vahendit äritegevuses“, välja arvatud valitsus ja haldusasutused nii keskvalitsuse kui ka kohalikul tasandil. „Äritegevuse“ mõiste on isikuteabe kaitse seaduse alusel väga lai ning hõlmab igat liiki organisatsioonide ja üksikisikute tulunduslikku ja mittetulunduslikku tegevust. Peale selle hõlmab „äritegevuses kasutamine“ ka isikuteavet, mida ei kasutata ettevõtja (välistes) kaubandussuhetes, vaid asutusesiseselt, näiteks töötajate andmete töötlemiseks. Vt otsuse põhjendused 32–34.
(3)    Komisjoni 23. jaanuari 2019. aasta rakendusotsus (EL) 2019/419 isikuteabe kaitse seaduse raames Jaapani pakutava isikuandmete kaitse piisavuse kohta vastavalt Euroopa Parlamendi ja nõukogu määrusele (EL) 2016/679 (ELT L 76, 19.3.2019, lk 1).
(4)    Vt isikuandmete kaitse üldmääruse artikkel 45 ja otsuse põhjendus 5.
(5)    Vt otsuse I lisa.
(6)

   Vahepeal vaadati APPI 2020. aasta muudatusega läbi mõiste „ettevõtja valduses olevad isikuandmed“ määratlus, nii et sellest ei jäeta enam välja neid isikuandmeid, mis „tuleb kustutada“ kuue kuu jooksul (muudetud APPI artikli 16 lõige 4). Kaitse piisavuse otsuse vastuvõtmise ajal kehtinud APPI versioonis viidati sellele mõistele kui „säilitatavatele isikuandmetele“.

(7)    Otsuse põhjendused 26, 31, 43, 49–51, 63, 68, 71, 76–79 ja 101.
(8)    Otsuse põhjendus 15.
(9)    Otsuse põhjendused 113–170 ja II lisa.
(10)    Otsuse põhjendused 141–144, 149 ja 169.
(11)    Vt pärast kõneluste lõppu avaldatud pressiteade, mis on kättesaadav aadressil: https://ec.europa.eu/commission/presscorner/detail/et/IP_18_4501
(12)    Nõukogu 20. detsembri 2018. aasta otsus (EL) 2018/1907 Euroopa Liidu ja Jaapani vahelise majanduspartnerluslepingu sõlmimise kohta (ELT L 330, 27.12.2018, lk 1–2). Majanduspartnerlusleping vähendab kaubandustõkkeid, millega Euroopa ettevõtted Jaapanisse eksportimisel kokku puutuvad, ning aitab neil sellel turul paremini konkureerida.
(13)      Ühelt poolt Euroopa Liidu ja selle liikmesriikide ning teiselt poolt Jaapani vaheline strateegilise partnerluse leping (ELT L 216, 24.8.2018, lk 4–22). Strateegilise partnerluse leping moodustab õigusliku raamistiku ELi ja Jaapani juba pikaajalise ja tugeva partnerluse edasiseks arenguks väga erinevates valdkondades, sealhulgas poliitilise dialoogi, kaubanduse, energeetika, transpordi, inimõiguste, hariduse, teaduse ja tehnoloogia, õiguse, asüüli ja sisserände valdkonnas.
(14)    Kättesaadav aadressil: https://www.consilium.europa.eu/media/56091/%E6%9C%80%E7%B5%82%E7%89%88-jp-eu-digital-partnership-clean-final-docx.pdf . Digipartnerlusega luuakse foorum, mis annab poliitilise suuna ja tõuke ühisele digitehnoloogia alasele tööle sellistes valdkondades nagu turvaline 5G, 5G-järgne ja 6G-tehnoloogia, tehisintellekti ohutud ja eetilised rakendused või pooljuhtide tööstuse ülemaailmsete tarneahelate vastupidavus.
(15)      Vt nt https://policy.trade.ec.europa.eu/news/eu-and-japan-start-negotiations-include-rules-cross-border-data-flows-their-economic-partnership-2022-10-07_en .
(16)    OECD 14. detsembri 2022. aasta deklaratsioon valitsuse juurdepääsu kohta erasektori üksuste valduses olevatele isikuandmetele.
(17)    Otsuse põhjendused 180–183 ja artikli 3 lõige 4.
(18)    Tõlge inglise keelde on kättesaadav aadressil https://www.ppc.go.jp/files/pdf/APPI_english.pdf  
(19)    Tõlge inglise keelde on kättesaadav aadressil https://www.japaneselawtranslation.go.jp/ja/laws/view/4241 .
(20)    Muudetud APPI artikli 16 lõige 4 ja artikli 28 lõige 2.
(21)    Eelkõige konsolideeritakse APPI 2021. aasta muudatusega APPI, haldusorganite valduses oleva isikuteabe kaitse seadus ja haldusametite valduses oleva isikuteabe kaitse seadus üheks andmekaitseseaduseks, mida kohaldatakse nii eraõiguslike üksuste kui ka avaliku sektori asutuste suhtes, ning samal ajal laiendatakse vastavalt isikuteabe kaitse komisjoni pädevust. Muudatus jõustus tervikuna 1. aprillil 2023 pärast seda, kui selle osad jõustusid 1. septembril 2021 ja 1. aprillil 2022.
(22)    Muudetud APPIs on pseudonüümitud isikuandmed määratletud kui üksikisikuga seotud teave, mida saab seaduses sätestatud ja täitmise tagamise eeskirjades täpsustatud meetmete abil „ette valmistada nii, et ei ole võimalik tuvastada konkreetset isikut, välja arvatud juhul, kui seda kõrvutatakse muu teabega“. Vt muudetud APPI artikli 16 lõige 5 ja artikkel 41.
(23)

     Isikuteabe kaitse komisjon võttis muudetud lisasätted vastu 15. märtsil 2023 ja need jõustusid 1. aprillil 2023.

(24)    See välistab muudetud APPI artikli 42 kohaldamise, millega säilitatakse ainult piiratud arv kaitsemeetmeid pseudonüümitud isikuandmete suhtes, mida ei käsitata isikuandmetena.
(25)

     Vt otsuse põhjendus 79.

(26)      Vt otsuse põhjendus 181.
(27)    Vt G7 digivaldkonna ministrite 11. mai 2022. aasta kohtumise ministrite deklaratsiooni 1. lisa (G7 tegevuskava usaldusväärse andmete vaba liikumise edendamiseks), milles pealkirja „Ühisuste loomine tulevase koostalitlusvõime edendamiseks“ all viidatakse „üha laiemalt levinud tavadele, nagu lepingu tüüptingimused“.
(28)    Vt OECD digiülemineku töövahend „Eraelu puutumatuse ja andmekaitse raamistike koostalitlusvõime“ (kättesaadav aadressil: https://goingdigital.oecd.org/data/notes/No21_ToolkitNote_PrivacyDataInteroperability.pdf ), lk 18.
(29)    Vt otsuse põhjendus 177, mille kohaselt peaksid Jaapani ametiasutused teavitama komisjoni otsuse jaoks olulistest muudatustest nii isikuandmete ettevõtjate poolsel töötlemisel kui ka isikuandmetele juurdepääsul avaliku sektori asutustele kehtestatud piirangute ja seotud tagatistega.