EUROPSKA KOMISIJA

Bruxelles, 3.4.2023.

COM(2023) 275 final

IZVJEŠĆE KOMISIJE EUROPSKOM PARLAMENTU I VIJEĆU

o prvom preispitivanju funkcioniranja odluke o primjerenosti za Japan

{SWD(2023) 75 final}

IZVJEŠĆE KOMISIJE EUROPSKOM PARLAMENTU I VIJEĆU

o prvom preispitivanju funkcioniranja odluke o primjerenosti za Japan

1.PRVO PREISPITIVANJE – KONTEKST, PRIPREMA I POSTUPAK

Europska komisija donijela je 23. siječnja 2019. odluku u skladu s člankom 45. Uredbe (EU) 2016/679 (Opća uredba o zaštiti podataka) 1 u kojoj je utvrdila da Japan osigurava primjerenu razinu zaštite osobnih podataka koji se iz Europske unije prenose poduzećima koja postupaju s osobnim informacijama 2 u Japanu 3 . To znači da za prijenose podataka iz EU-a privatnim subjektima u Japanu nisu potrebni dodatni zahtjevi 4 .

Odluka Komisije o primjerenosti obuhvaća japanski Zakon o zaštiti osobnih informacija (Act on the Protection of Personal Information, APPI) kako je dopunjen Dopunskim pravilima koja su uspostavljena da bi se premostile određene bitne razlike između APPI-ja i Opće uredbe o zaštiti podataka 5 . Tim se dodatnim zaštitnim mjerama jamče, primjerice, bolja zaštita osjetljivih podataka (tako što se proširuju kategorije osobnih informacija koje se smatraju osjetljivim podacima), lakše ostvarivanje prava pojedinaca (tako što se pojašnjava da pojedinci mogu ostvariti prava i za osobne podatke koji se čuvaju kraće od šest mjeseci, što se u to vrijeme nije moglo na temelju APPI-ja) 6 i bolji uvjeti pod kojima se podaci iz EU-a mogu dalje prenositi iz Japana u drugu treću zemlju 7 . Dopunska pravila obvezujuća su za japanske subjekte, a može ih provoditi neovisno tijelo za zaštitu podataka, odnosno Povjerenstvo za zaštitu osobnih informacija (PPC), ili izravno pojedinci iz EU-a na japanskim sudovima 8 .

Nadalje, japanska je vlada Komisiji dostavila službene izjave, jamstva i obveze u pogledu ograničenja i zaštitnih mjera koje se odnose na pristup i uporabu osobnih podataka među japanskim javnim tijelima za potrebe kaznenog progona i nacionalne sigurnosti, a pritom je pojasnila da je takva obrada ograničena na ono što je nužno i razmjerno te da podliježe mehanizmima neovisnog nadzora i djelotvorne pravne zaštite 9 . Mehanizmi pravne zaštite u tom području uključuju poseban postupak rješavanja sporova koji vodi i nadzire PPC, a koji je uspostavljen za osobe iz EU-a čiji se osobni podaci prenose na temelju odluke o primjerenosti 10 .

U trenutku donošenja odluke Komisije o primjerenosti Japan je donio istovjetnu odluku o prijenosima podataka u EU i tako je nastalo najveće područje slobodnog protoka podataka na svijetu koje se temelji na visokoj razini zaštite podataka 11 . Tim odlukama o uzajamnoj primjerenosti dopunjuju se i povećavaju koristi Sporazuma o gospodarskom partnerstvu između EU-a i Japana, koji je stupio na snagu u veljači 2019. 12 , i Sporazuma o strateškom partnerstvu 13 , koji je dogovoren uz Sporazum o gospodarskom partnerstvu. Poduzeća s obje strane imaju koristi od sinergije između odluka o uzajamnoj primjerenosti i Sporazuma o gospodarskom partnerstvu jer se zbog mogućnosti slobodnog protoka podataka između EU-a i Japana dodatno olakšava poslovna razmjena i stvaraju velike poslovne prilike s obzirom na to da te zemlje imaju povlašten pristup međusobnim tržištima. Riječ je i o važnom presedanu jer se jasno pokazuje da u digitalnom dobu promicanje visokih standarda privatnosti može i mora ići ruku pod ruku s olakšavanjem međunarodne trgovine.

Od donošenja odluka o primjerenosti EU i Japan, kao partneri sa sličnim stajalištima, dodatno su pojačali suradnju u digitalnim pitanjima općenito, a posebno u protoku podataka. Na bilateralnoj razini to je posebno vidljivo u sklapanju digitalnog partnerstva u svibnju 2022. 14 i pokretanju pregovora o uvrštavanju pravila o prekograničnom protoku podataka u Sporazum o gospodarskom partnerstvu u listopadu 2022. 15 , čime će se dodatno povećati sinergija s dogovorom o uzajamnoj primjerenosti. Na multilateralnoj razini EU i Japan zajedno rade na promicanju, jačanju i provedbi koncepta „slobodnog protoka podataka uz puno povjerenje”, koji je uveo pokojni premijer Shinzo Abe, među ostalim tako što blisko surađuju u okviru skupine G7, Svjetske trgovinske organizacije (u kontekstu inicijative za zajedničku izjavu o e-trgovini) i Organizacije za gospodarsku suradnju i razvoj (OECD). U okviru OECD-a intenzivna suradnja između EU-a i Japana u tim pitanjima posebno je pridonijela donošenju prvih međunarodnih zajedničkih načela o pristupu vlada osobnim podacima u posjedu privatnog sektora 16 . Sva ta područja djelovanja uglavnom su se zasnivala na zajedničkim vrijednostima i zahtjevima na kojima se temelji dogovor o uzajamnoj primjerenosti između EU-a i Japana.

Kako bi se redovito provjeravalo jesu li nalazi iz odluke o primjerenosti i dalje činjenično i pravno opravdani, Komisija je dužna provoditi periodično preispitivanje i izvješćivati Europski parlament i Vijeće o ishodu 17 . Ovim izvješćem, koje obuhvaća sve aspekte funkcioniranja odluke, zaključuje se prvo periodično preispitivanje. Na strani Japana u preispitivanju su sudjelovali predstavnici PPC-a, Ministarstva unutarnjih poslova i komunikacija, Ministarstva pravosuđa, Ministarstva obrane i Nacionalne policijske agencije. Delegacija EU-a sastojala se od triju predstavnika koje je imenovao Europski odbor za zaštitu podataka (EDPB) i članova Europske komisije.

Te dvije delegacije održale su sastanak u svrhu preispitivanja 26. listopada 2021., a prije i nakon njega mnogo su puta komunicirale. Konkretno, kako bi pripremila preispitivanje, Komisija je od japanskih tijela prikupila informacije o funkcioniranju odluke, posebno o provedbi Dopunskih pravila. Komisija je iz javnih izvora i od lokalnih stručnjaka zatražila i informacije o funkcioniranju odluke i relevantnim promjenama japanskog prava i prakse u području pravila o zaštiti podataka koja se primjenjuju na privatne subjekte i u pogledu pristupa vlade podacima. Nakon sastanka u svrhu preispitivanja Komisija i PPC u više su navrata komunicirali o pitanjima o kojima se raspravljalo na tom sastanku, a posebno su se osvrnuli na pitanja nastala uvrštavanjem pravila o pseudonimiziranim osobnim informacijama u APPI.

2.GLAVNI NALAZI

Detaljni nalazi o funkcioniranju svih aspekata odluke o primjerenosti izneseni su u Radnom dokumentu službi Komisije (SWD(2023) 75) priloženom ovom izvješću.

Konkretno, prvo preispitivanje pokazalo je da su se okviri EU-a i Japana za zaštitu podataka dodatno uskladili nakon donošenja odluka o uzajamnoj primjerenosti. APPI je izmijenjen u dva navrata: 5. lipnja 2020. Zakonom o izmjeni Zakona o zaštiti osobnih informacija iz 2020. (Amendment Act of the Act on the Protection of Personal Information of 2020) (izmjena APPI-ja iz 2020.), koji je stupio na snagu 1. travnja 2022. 18 te 12. svibnja 2021. Zakonom o dogovoru o povezanim zakonima za stvaranje digitalnog društva (Act on the Arrangement of Related Acts for the Formation of a Digital Society) (izmjena APPI-ja iz 2021.) 19 . Uz savjetovanje s Komisijom Dopunska pravila prilagođena su kako bi se te izmjene uzele u obzir.

Zahvaljujući tim izmjenama sustavi EU-a i Japana još su se više približili, posebno jer su postrožene obveze u pogledu sigurnosti podataka (uvođenjem obveze obavješćivanja o povredama podataka), povećana prava ispitanika (konkretno, pravo na pristup i pravo na prigovor) i ojačana zaštita koja se pruža u slučaju prijenosa podataka (u obliku dodatnih zahtjeva za informacije i praćenje, uključujući informacije o mogućim rizicima povezanima s pristupom vlade u zemlji odredišta). U tom kontekstu posebno je važno napomenuti da su u APPI uvrštene neke dodatne zaštitne mjere predviđene Dopunskim pravilima za osobne podatke koji potječu iz EU-a, odnosno zaštitne mjere u pogledu zadržavanja podataka i uvjeta za informirani pristanak za prekogranične prijenose, čime su postale općenito primjenjive na sve osobne podatke neovisno o njihovu podrijetlu i mjestu prikupljanja 20 .

Još jedna ključna promjena koju Komisija pozdravlja pretvaranje je APPI-ja u sveobuhvatni okvir za zaštitu podataka koji obuhvaća i privatni i javni sektor te je pod isključivim nadzorom PPC-a 21 . Takvim daljnjim jačanjem japanskog okvira za zaštitu podataka i ovlasti PPC-a mogao bi se pripremiti teren za proširenje odluke o primjerenosti izvan opsega poslovnih razmjena kako bi se obuhvatili prijenosi koji su trenutačno izuzeti iz njezina područja primjene, primjerice u području regulatorne suradnje i istraživanja.

Prvo preispitivanje bilo je usmjereno i na nova pravila o stvaranju i uporabi „pseudonimiziranih osobnih informacija”, koja su uvedena izmjenom APPI-ja iz 2020. 22 Cilj je tih novih pravila ponajprije olakšati (internu) uporabu osobnih informacija među poduzećima koja postupaju s osobnim informacijama uglavnom u statističke svrhe (npr. za utvrđivanje trendova i obrazaca kako bi se pridonijelo daljnjim aktivnostima, uključujući istraživanja). Na sastanku u svrhu preispitivanja i u okviru naknadne komunikacije između Komisije i PPC-a pojašnjeni su tumačenje i primjena tih novih odredbi. Na temelju tih rasprava, kako bi se jasnije obuhvatila predviđena primjena novih odredbi i tako zajamčile pravna sigurnost i transparentnost, Dopunska pravila izmijenjena su 15. ožujka 2023. na dva načina 23 . Prvo, Dopunskim pravilima propisano je da se takve informacije mogu upotrebljavati samo u statističke svrhe, koje su definirane kao obrada za potrebe statističkih istraživanja ili izrade statističkih rezultata, kako bi se dobili agregirani podaci i da se rezultat obrade neće iskoristiti za potrebe mjera ili odluka usmjerenih ni na jednu osobu. Drugo, u njima se jasno navodi da će se pseudonimizirane obrađene informacije izvorno primljene iz EU-a u skladu s APPI-jem uvijek smatrati „osobnim informacijama” kako se pri prijenosu na temelju odluke o primjerenosti ne bi ugrozio kontinuitet zaštite podataka koji se na temelju Opće uredbe o zaštiti podataka smatraju osobnim podacima 24 .

Kad je riječ o provedbi mjera za zaštitu podataka u praksi, Komisija pozdravlja korake koje poduzima PPC. To uključuje donošenje ažuriranih smjernica, među ostalim o međunarodnim prijenosima podataka. Komisija napominje da bi se te smjernice mogle pojasniti kako bi se obuhvatili i posebni zahtjevi koji se na temelju Dopunskih pravila primjenjuju na daljnje prijenose iz Japana osobnih podataka primljenih iz Unije, uključujući, kako proizlazi iz Dopunskog pravila 4 i kako je objašnjeno u odluci o primjerenosti 25 , izuzeće daljnjih prijenosa na temelju programa certifikacije pravila zaštite privatnosti pri prekograničnom prijenosu podataka (CBPR) u okviru Azijsko-pacifičke gospodarske suradnje (APEC). Usto, premda je PPC pojasnio da PIHBO-i utvrđuju okvir za svoje daljnje prijenose podataka koje su izvorno primili iz EU-a „tako što sklapaju ugovor kojim se primatelja obvezuje na provedbu mjera za osiguravanje kontinuiteta zaštite”, PPC trenutačno ne daje smjernice o preporučenom sadržaju (u smislu zaštitnih mjera) za „istovjetne mjere” usmjerene na međunarodne prijenose podataka, bilo u obliku smjernica ili predložaka ugovora o zaštiti podataka. Ta dodatna pojašnjenja koja bi se ponajprije mogla temeljiti na razmjeni informacija i najboljih primjera iz prakse između PPC-a i Komisije mogla bi biti posebno korisna jer se odnose na aspekte koji su osobito važni za poduzeća koja posluju u obje jurisdikcije.

Kad je riječ o nadzoru i provedbi, Komisija napominje da je PPC nakon donošenja odluke o primjerenosti češće poduzimao neprisilne mjere, npr. usmjeravanje i savjetovanje (članak 147. APPI-ja), nego mjere prisile, npr. izdavanje obvezujućih naloga (članak 148. APPI-ja). PPC je izvijestio i o tome da do danas nije primljena nijedna pritužba o usklađenosti s Dopunskim pravilima i da o takvim pitanjima nije provedena nijedna istraga koju je pokrenuo sam PPC. Međutim, na sastanku u svrhu preispitivanja PPC je najavio da na svoju inicijativu namjerava provoditi nasumične provjere kako bi se osigurala usklađenost s Dopunskim pravilima. Komisija pozdravlja tu najavu jer smatra da bi takve nasumične provjere bile vrlo korisne za sprječavanje, otkrivanje i otklanjanje (mogućih) povreda Dopunskih pravila, čime bi se zajamčila djelotvorna usklađenost s tim pravilima. Budući da su izmjenama APPI-ja iz 2020. i 2021. ojačane nadzorne ovlasti PPC-a, te nasumične provjere mogle bi se uklopiti u cjelokupno nastojanje da se takve ovlasti češće primjenjuju.

Konačno, Komisija toplo pozdravlja uspostavu posebnih kontaktnih točaka za osobe iz EU-a koje imaju pitanja ili nedoumice povezane s obradom svojih osobnih podataka u Japanu, bilo da je provode poslovni subjekti (telefonska linija za upite) ili javna tijela (telefonska linija za posredovanje u pritužbama). Napominje i da se na internetskoj stranici s informacijama o telefonskoj liniji za upite navodi da je dostupna „samo na japanskom jeziku”, što bi osobe iz EU-a moglo odvratiti od uporabe tog alata, premda je PPC pojasnio da je načelno dostupna pomoć na engleskom jeziku. Komisija zaključuje da će PPC razmotriti načine da te kontaktne točke učini pristupačnijima za Europljane, među ostalim tako što će dodatno pojasniti njihovu namjenu.

3.ZAKLJUČAK

Na temelju svih nalaza ovog prvog preispitivanja Komisija zaključuje da Japan i dalje nastoji osigurati odgovarajuću razinu zaštite osobnih podataka iz Europske unije za poslovne subjekte koji postupaju s osobnim informacijama u Japanu i koji podliježu APPI-ju kako je dopunjen Dopunskim pravilima, zajedno sa službenim izjavama, jamstvima i obvezama iz Priloga II. odluci. U tom kontekstu službe Komisije prepoznaju i iznimno cijene izvrsnu suradnju s japanskim tijelima, a posebno s PPC-om, u provedbi preispitivanja.

S obzirom na ovakav ishod preispitivanja i u skladu s uvodnom izjavom 181. odluke o primjerenosti Komisija smatra da buduća preispitivanja više nije potrebno provoditi svake dvije godine i da ih je stoga odsad primjereno provoditi svake četiri godine u skladu s člankom 45. stavkom 3. Opće uredbe o zaštiti podataka. O tom će se pitanju na odgovarajući način posavjetovati s Odborom osnovanim na temelju članka 93. stavka 1. Opće uredbe o zaštiti podataka 26 .

Jačanjem određenih aspekata japanskog okvira mogle bi se dodatno poboljšati i zaštitne mjere utvrđene u APPI-ju i Dopunskim pravilima. U tu svrhu Komisija daje sljedeće preporuke:

1.Komisija pozdravlja i dodatno potiče predviđene nasumične provjere koje će provoditi PPC kako bi osigurao usklađenost s Dopunskim pravilima. Komisija smatra da će takve nasumične provjere biti vrlo važne za otkrivanje i otklanjanje (mogućih) povreda Dopunskih pravila, čime bi se zajamčila djelotvorna usklađenost s tim pravilima;

2.Komisija pozdravlja činjenicu da je PPC objavio ažurirane smjernice o međunarodnim prijenosima jer će tako pravila iz APPI-ja o toj temi postati dostupnija i pristupačnija korisnicima. U tim bi se smjernicama (ili drugim sličnim materijalima) prema potrebi trebali objasniti i posebni zahtjevi koji proizlaze iz Dopunskih pravila, među ostalim u pogledu izuzeća APEC-ova programa certifikacije sustava CBPR za daljnje prijenose osobnih podataka koji su izvorno primljeni iz EU-a;

3.u okviru preispitivanja raspravljalo se o tome kako PPC-ove telefonske linije za upite i posredovanje, na kojima osobe mogu uputiti pitanja i uložiti pritužbe, učiniti pristupačnijima za strance. U tom bi kontekstu na posebnim internetskim stranicama bilo važno pojasniti da je pomoć na engleskom jeziku načelno dostupna.

Zahvaljujući preispitivanju utvrđena su i područja moguće suradnje u budućnosti. Kao što je navedeno, PPC trenutačno ne daje smjernice o preporučenom sadržaju (u smislu zaštitnih mjera) za „istovjetne mjere” usmjerene na međunarodne prijenose podataka, bilo u obliku smjernica ili predložaka ugovora o zaštiti podataka. S obzirom na sve veću važnost i potencijal oglednih klauzula kao globalnog alata za prijenose podataka, koje su među ostalima prepoznali skupina G7 27 i OECD 28 , Komisija je izrazila interes za buduću suradnju s Japanom u izradi takvih klauzula. Proširenje područja primjene odluke o primjerenosti izvan opsega prijenosa među poslovnim subjektima još je jedna tema koju Komisija namjerava istražiti zajedno s PPC-om.

Komisija će nastaviti pomno pratiti japanski okvir za zaštitu podataka i konkretnu praksu. U tom smislu sa zanimanjem iščekuje buduću komunikaciju s japanskim tijelima o promjenama relevantnima za odluku 29 i daljnje jačanje suradnje na međunarodnoj razini u vrijeme kad je potražnja za globalnim standardima privatnosti i protoka podataka sve veća.

(1)      SL L 119, 4.5.2016., str. 1. (Opća uredba o zaštiti podataka).

(2)      U verziji Zakona o zaštiti osobnih informacija (APPI) koja se primjenjivala u trenutku donošenja odluke o primjerenosti taj se pojam nazivao „poslovni subjekt koji postupa s osobnim informacijama” (PIHBO). U članku 16. stavku 2. izmijenjenog APPI-ja poduzeće koje postupa s osobnim informacijama definirano je kao „osoba koja upotrebljava bazu podataka s osobnim informacijama ili istovjetnu bazu za poslovanje” osim vlade i upravnih agencija na središnjoj i lokalnoj razini. Pojam „poslovanje” u okviru APPI-ja vrlo je širok i uključuje profitne, ali i neprofitne djelatnosti svih vrsta organizacija i pojedinaca. Usto, „uporaba za poslovanje” obuhvaća i osobne informacije koje se ne upotrebljavaju u (vanjskim) poslovnim odnosima subjekta, već interno, primjerice pri obradi podataka o zaposlenicima. Vidjeti uvodne izjave od 32. do 34. odluke.

(3)      Provedbena odluka Komisije (EU) 2019/419 оd 23. siječnja 2019. u skladu s Uredbom (EU) 2016/679 Europskog parlamenta i Vijeća o primjerenosti zaštite osobnih podataka u Japanu na temelju Zakona o zaštiti osobnih informacija, SL L 76, 19.3.2019., str. 1.

(4)      Vidjeti članak 45. Opće uredbe o zaštiti podataka i uvodnu izjavu 5. odluke.

(5)      Vidjeti Prilog I. odluci.

(6)

     U međuvremenu je izmjenom APPI-ja iz 2020. revidirana definicija „osobnih podataka u posjedu poduzeća”, pa tako više nisu izuzeti osobni podaci koje „treba izbrisati” u roku od šest mjeseci (članak 16. stavak 4. izmijenjenog APPI-ja). U verziji APPI-ja koja se primjenjivala u trenutku donošenja odluke o primjerenosti taj se pojam nazivao „pohranjeni osobni podaci”.

(7)      Uvodne izjave 26., 31., 43., od 49. do 51., 63., 68., 71., od 76. do 79. i 101. odluke.

(8)      Uvodna izjava 15. odluke.

(9)      Uvodne izjave od 113. do 170. i Prilog II. odluci.

(10)      Uvodne izjave od 141. do 144., 149. i 169. odluke.

(11) Vidjeti priopćenje za medije objavljeno nakon završetka tih pregovora, dostupno na: https://ec.europa.eu/commission/presscorner/detail/hr/IP_18_4501 .

(12)      Odluka Vijeća (EU) 2018/1907 od 20. prosinca 2018. o sklapanju Sporazuma o gospodarskom partnerstvu između Europske unije i Japana, SL L 330, 27.12.2018., str. 1.–2. Zahvaljujući Sporazumu o gospodarskom partnerstvu europska se poduzeća pri izvozu u Japan suočavaju s manje trgovinskih prepreka pa mogu biti konkurentnija na tom tržištu.

(13)      Sporazum o strateškom partnerstvu između Europske unije i njezinih država članica, s jedne strane, i Japana, s druge strane, SL L 216, 24.8.2018., str. 4.–22. (SPA). Sporazumom o strateškom partnerstvu predviđa se pravni okvir za daljnji razvoj dugogodišnjeg čvrstog partnerstva između Unije, njezinih država članica i Japana u velikom broju područja, uključujući politički dijalog, energetiku, promet, ljudska prava, obrazovanje, znanost i tehnologiju, pravosuđe, azil i migracije.

(14)      Dostupno na: https://www.consilium.europa.eu/media/56091/%E6%9C%80%E7%B5%82%E7%89%88-jp-eu-digital-partnership-clean-final-docx.pdf . Digitalnim partnerstvom uspostavlja se forum koji će politički usmjeriti i potaknuti zajednički rad na digitalnim tehnologijama u područjima kao što su sigurnost tehnologije 5G, nadilaženje tehnologije 5G/6G, sigurne i etične primjene umjetne inteligencije i otpornost globalnih lanaca opskrbe u industriji poluvodiča.

(15)      Vidjeti npr. https://policy.trade.ec.europa.eu/news/eu-and-japan-start-negotiations-include-rules-cross-border-data-flows-their-economic-partnership-2022-10-07_en .

(16)      Izjava OECD-a o pristupu vlada osobnim podacima u posjedu subjekata iz privatnog sektora od 14. prosinca 2022.

(17)      Uvodne izjave od 180. do 183. i članak 3. stavak 4. odluke.

(18)      Prijevod na engleski jezik dostupan je na: https://www.ppc.go.jp/files/pdf/APPI_english.pdf .

(19)      Prijevod na engleski jezik dostupan je na: https://www.japaneselawtranslation.go.jp/ja/laws/view/4241 .

(20)    Članak 16. stavak 4. i članak 28. stavak 2. izmijenjenog APPI-ja.

(21)      Konkretno, izmjenom APPI-ja iz 2021. APPI, Zakon o zaštiti osobnih informacija u posjedu upravnih organa (Act on the Protection of Personal Information Held by Administrative Organs) i Zakon o zaštiti osobnih informacija u posjedu uključenih upravnih agencija itd. (Act on the Protection of Personal Information Held by incorporated Administrative Agencies, etc.) konsolidiraju se u jedinstveni zakon o zaštiti podataka koji se primjenjuje i na privatne subjekte i na javna tijela, a ujedno se u skladu s tim proširuje nadležnost PPC-a. Ta je izmjena stupila na snagu 1. travnja 2023., nakon što su neki njezini dijelovi na snagu stupili 1. rujna 2021. i 1. travnja 2022.

(22)      Pseudonimizirane osobne informacije u izmijenjenom su APPI-ju definirane kao „informacije o određenoj osobi koje se mogu pripremiti tako da se ta osoba ne može identificirati bez usporedbe s drugim informacijama”, i to poduzimanjem mjera utvrđenih u Zakonu i navedenih u Pravilima provedbe. Vidjeti članak 16. stavak 5. i članak 41. izmijenjenog APPI-ja.

(23)

     Revidirana Dopunska pravila donio je PPC 15. ožujka 2023., a na snagu su stupila 1. travnja 2023.

(24)      Iz toga je izuzeta primjena članka 42. izmijenjenog APPI-ja, kojim se zadržava samo ograničen broj zaštitnih mjera za pseudonimizirane osobne informacije koje se ne smatraju osobnim informacijama.

(25)

   Vidjeti uvodnu izjavu 79. odluke.

(26)      Vidjeti uvodnu izjavu 181. odluke.

(27)      Vidjeti Prilog 1. Ministarskoj izjavi sa sastanka ministara nadležnih za digitalna pitanja iz država skupine G7 održanog 11. svibnja 2022. (Akcijski plan skupine G7 za promicanje slobodnog protoka podataka uz puno povjerenje (G7 Action Plan Promoting Data Free Flow with Trust)), u kojem se u odjeljku „Djelovanje na temelju zajedničkih točaka radi poticanja buduće interoperabilnosti” upućuje na „sve češću zajedničku praksu kao što su standardne ugovorne klauzule”.

(28)      Vidjeti OECD-ov priručnik za prelazak na digitalne sustave „Interoperabilnost okvira za privatnost i zaštitu podataka” (Interoperability of privacy and data protection frameworks) (dostupno na: https://goingdigital.oecd.org/data/notes/No21_ToolkitNote_PrivacyDataInteroperability.pdf ), str. 18.

(29)      Vidjeti uvodnu izjavu 177. odluke, u skladu s kojom se od japanskih tijela očekuje da obavijeste Komisiju o svim značajnim promjenama koje su relevantne za tu odluku, i kad je riječ o obradi osobnih podatka koju vrše poslovni subjekti i o ograničenjima i zaštitnim mjerama primjenjivima na pristup javnih tijela osobnim podacima.