(1)

Az (EU) 2016/679 rendelet meghatározza a személyes adatoknak az uniós adatkezelők vagy adatfeldolgozók által a harmadik országokba és a nemzetközi szervezeteknek történő továbbítására vonatkozó szabályokat, amennyiben az ilyen adattovábbítás a hatálya alá tartozik. A személyes adatok nemzetközi továbbítására vonatkozó szabályokat az említett rendelet V. fejezete, konkrétabban a 44–50. cikke tartalmazza. A nemzetközi együttműködés fokozásához és a nemzetközi kereskedelem bővüléséhez szükség van a személyes adatok Unión kívüli országokba és országokból való áramlására, ugyanakkor garantálni kell, hogy a személyes adatok uniós védelmi szintje ne csökkenjen.

(2)

Az (EU) 2016/679 rendelet 45. cikkének (3) bekezdése értelmében a Bizottság végrehajtási jogi aktusok útján határozhat arról, hogy a harmadik ország, a harmadik ország valamely területe, illetve egy vagy több meghatározott ágazata, illetve valamely nemzetközi szervezet biztosítja a megfelelő védelmi szintet. E feltétel mellett a személyes adatoknak az ilyen harmadik ország, a harmadik ország valamely területe, ágazata, illetve valamely nemzetközi szervezet részére történő továbbításához nem szükséges külön engedély a rendelet 45. cikke (1) bekezdésének és a rendelet (103) preambulumbekezdésének megfelelően.

(3)

Ahogy az (EU) 2016/679 rendelet 45. cikkének (2) bekezdése meghatározza, a megfelelőségi határozat elfogadásának a harmadik ország jogrendjére vonatkozó átfogó elemzésen kell alapulnia az adatátvevőre vonatkozó szabályok, valamint a személyes adatokhoz való, közigazgatási szervek általi hozzáférést illető korlátozások és biztosítékok tekintetében egyaránt. Az értékelés során meg kell határozni, hogy az érintett harmadik ország olyan szintű védelmet biztosít-e, amely „lényegében megegyezik” az Európai Unión belül biztosított védelem szintjével (az (EU) 2016/679 rendelet (104) preambulumbekezdése). Az Európai Unió Bíróságának pontosítása szerint ez nem feltétlenül jelent azonos szintű védelmet (2). Azok az eszközök, amelyeket a harmadik ország igénybe vesz, különbözhetnek az Európai Unióban alkalmazott eszközöktől, amíg – a gyakorlatban – hatékonyan biztosítanak megfelelő szintű védelmet (3). A megfelelőségre vonatkozó előírás ezért nem követeli meg az uniós szabályok pontról pontra történő leképezését. A vizsgálat ehelyett arra irányul, hogy a magánélet tiszteletben tartásához való jog tartalmát, hatékony végrehajtását, felügyeletét és érvényesítését tekintve az érintett harmadik ország rendszere összességében véve biztosítja-e az elvárt fokú védelmet (4).

(4)

A Bizottság alaposan elemezte a japán jogot és gyakorlatot. A (6)–(175) preambulumbekezdésben kifejtett megállapítások alapján a Bizottság megállapítja, hogy Japán biztosítja a személyes információk védelméről szóló törvény (5) hatálya, illetve az ebben a határozatban említett további feltételek alkalmazási területe alá tartozó szervezeteknek továbbított személyes adatok megfelelő szintű védelmét. Ezeket a feltételeket a személyes információk védelmével foglalkozó bizottság (6) által elfogadott kiegészítő szabályok (I. melléklet), illetve a japán kormány által az Európai Bizottságnak címzett hivatalos nyilatkozatok, biztosítékok és kötelezettségvállalások (II. melléklet) tartalmazzák.

(5)

Ez a határozat azzal a joghatással jár, hogy az Európai Gazdasági Térségen (7) (EGT) belüli adatkezelő vagy adatfeldolgozó által az ilyen japán szervezetek részére történő adattovábbítás esetében nincs szükség külön engedélyre. Ez a határozat nem érinti az (EU) 2016/679 rendelet közvetlen alkalmazását olyan szervezetek esetében, amelyek megfelelnek az annak 3. cikkében szereplő feltételeknek.

(6)

A magánélet és az adatok védelmére vonatkozó japán jogrendszer gyökerei az 1946-ban kihirdetett Alkotmányra nyúlnak vissza.

(7)

Az Alkotmány 13. cikke kimondja, hogy

„Minden személyt egyénként kell tisztelni. Az élethez, szabadsághoz és a boldogság kereséséhez való joga, amennyiben nem sérti a közjólétet, a legfontosabb szempont a jogalkotás és más kormányzati ügyek során.”

(8)

E cikk alapján a japán Legfelsőbb Bíróság pontosította az egyének jogait a személyes információk védelme tekintetében. Egy 1969. évi határozatában alkotmányos jogként ismerte el a magánélet tiszteletben tartásához és az adatvédelemhez való jogot (8). A Bíróság kimondta, hogy „minden egyénnek joga van megvédeni a személyes információit, valamint megakadályozni, hogy azokat megalapozott ok nélkül harmadik félnek továbbítsák vagy nyilvánosságra hozzák.” Továbbá a 2008. március 6-i („Juki-Net”) határozatában (9) a Legfelsőbb Bíróság kimondta, hogy „a polgárok magánéleti szabadságát meg kell védeni a közhatalom gyakorlásával szemben, és megállapítható, hogy az egyéni magánéleti szabadságok részeként minden egyénnek joga van megvédeni a személyes információit, valamint megakadályozni, hogy azokat megalapozott ok nélkül harmadik félnek továbbítsák vagy nyilvánosságra hozzák.” (10)

(9)

Japán 2003. május 30-án számos törvényt hozott az adatvédelem terén:

(10)

Az utolsó két (2016-ban módosított) törvény rendelkezéseket tartalmaz a személyes információk közszférabeli gazdálkodó szervezetek általi védelméről. Az említett törvények alkalmazási körébe eső adatkezelés nem tárgya az ebben a határozatban szereplő megfelelőségi megállapításnak, mert az a személyes információknak a személyes információk védelméről szóló törvény értelmében vett „személyes információkat kezelő gazdasági szereplők” általi védelmére korlátozódik.

(11)

A közelmúltban sor került a személyes információk védelméről szóló törvény reformjára. A személyes információk védelméről szóló módosított törvény 2015. szeptember 9-én került kihirdetésre, és 2017. május 30-án lépett hatályba. A módosítás több új biztosítékot vezetett be, emellett megerősített meglévő biztosítékokat, így közelítve a japán adatvédelmi rendszert az európaihoz. Idetartozik többek között számos érvényesíthető, személyhez fűződő jog, illetve a személyes információk védelméről szóló törvény felügyeletével és végrehajtásával megbízott független felügyeleti hatóság (a személyes információk védelmével foglalkozó bizottság) létrehozása.

(12)

A személyes információk védelméről szóló törvény mellett a jelen határozat hatálya alá tartozó személyes információk kezelésére a személyes információk védelméről szóló törvény alapján hozott végrehajtási szabályok is vonatkoznak. Idetartozik a személyes információk védelméről szóló törvény végrehajtásáról szóló kabinethatározat módosítása (2016. október 5.), és a személyes információk védelmével foglalkozó bizottság által elfogadott, az úgynevezett személyes információk védelméről szóló törvény végrehajtására vonatkozó szabályok (11). Mindkét szabályrendszer jogilag kötelező erejű és végrehajtható, és a személyes információk védelméről szóló módosított törvénnyel egyidejűleg lépett hatályba.

(13)

Továbbá 2016. október 28-án a japán kabinet (a miniszterelnök és a kormányát alkotó miniszterek) közzétette „alappolitikáját”, hogy „átfogóan és integráltan előmozdítsa a személyes információk védelmével kapcsolatos intézkedéseket”. A személyes információk védelméről szóló törvény 7. cikke értelmében az „alappolitika” közzétételére kabinethatározat formájában került sor, és tartalmazza a személyes információk védelméről szóló törvény végrehajtásával kapcsolatos szakpolitikai irányvonalakat mind a központi kormányzat, mind az önkormányzatok vonatkozásában.

(14)

A japán kormány a közelmúltban, a 2018. június 12-én elfogadott kabinethatározatával módosította az „alappolitikát”. A nemzetközi adattovábbítás elősegítése érdekében ez a kabinethatározat a személyes információk védelmével foglalkozó bizottságra mint a személyes információk védelméről szóló törvény végrehajtásáért felelős hatóságra ruházza „azt a hatáskört, hogy meghozza a szükséges intézkedéseket a Japánban illetve az érintett külföldi országban irányadó szabályozást és gyakorlatokat érintő különbségek áthidalására a törvény 6. cikke alapján az érintett országból származó személyes információk megfelelő kezelésének biztosítása érdekében”. A kabinethatározat előírja, hogy ez magában foglalja a fokozott védelem biztosítására vonatkozó hatáskört azáltal, hogy a személyes információk védelmével foglalkozó bizottság a személyes információk védelméről szóló törvényben és a kabinethatározatban megfogalmazott szabályokat kiegészítő és azokon túlmutató szigorúbb szabályokat fogad el. E határozat értelmében ezek a szigorúbb szabályok kötelező erejűek és érvényesíthetők japán gazdasági szereplők vonatkozásában.

(15)

A személyes információk védelméről szóló törvény 6. cikke és az említett kabinethatározat alapján a személyes információk védelmével foglalkozó bizottság 2018. június 15-én elfogadta a személyes információk védelméről szóló törvény értelmében vett, az EU-ból megfelelőségi határozat alapján továbbított személyes adatok kezelésére vonatkozó kiegészítő szabályokat (a továbbiakban: kiegészítő szabályok) a jelenlegi megfelelőségi határozat alapján az Európai Unióból Japánba továbbított személyes információk fokozott védelme érdekében. Ezek a kiegészítő szabályok jogilag kötelező erejűek a japán gazdasági szereplőkre nézve, és érvényesíthetők mind a személyes információk védelmével foglalkozó bizottság, mind a bíróságok által, ugyanúgy, mint annak a személyes információk védelméről szóló törvénynek a rendelkezései, amelyeket szigorúbb és/vagy részletesebb szabályokkal egészítenek ki a szabályok (12). Mivel az Európai Unióból származó személyes adatokat átvevő és/vagy tovább kezelő japán gazdasági szereplők kötelesek lesznek megfelelni ezeknek a kiegészítő szabályoknak, gondoskodniuk kell arról (például technikai („címkézés”) vagy szervezeti eszközökkel (külön adatbázisban történő tárolás)), hogy teljes „életciklusuk” során azonosítani tudják ezeket a személyes adatokat (13). A személyes információk védelméről szóló kiegészített törvény cikkeire vonatkozó értékelés részeként az alábbi szakaszokban olvasható az egyes kiegészítő szabályok tartalmának elemzése.

(16)

Eltérően a 2015. évi módosítást megelőző időszaktól, amikor ez adott ágazatokban különböző japán minisztériumok illetékessége alá tartozott, a személyes információk védelméről szóló törvény felhatalmazza a személyes információk védelmével foglalkozó bizottságot, hogy „iránymutatást” fogadjon el az adatvédelmi szabályok alapján „a gazdasági szereplő által meghozandó intézkedések megfelelő és hatékony végrehajtásának biztosítása érdekében”. A személyes információk védelmével foglalkozó bizottság iránymutatása révén az említett szabályok, különösen a személyes információk védelméről szóló törvény hivatalos értelmezését biztosítja. A személyes információk védelmével foglalkozó bizottságtól származó információk alapján ez az iránymutatás a jogi keret szerves részét képezi, és együtt értelmezendő a személyes információk védelméről szóló törvénnyel, a kabinethatározattal, a személyes információk védelmével foglalkozó bizottságra vonatkozó szabályokkal, valamint a személyes információk védelmével foglalkozó bizottság által készített, kérdéseket és válaszokat tartalmazó dokumentummal (14). Tehát „jogilag kötelező a gazdasági szereplőkre nézve”. Abban az esetben, ha az iránymutatás szerint a gazdasági szereplőnek adott módon „kell” eljárnia, illetve „nem szabad” adott módon eljárnia, a személyes információk védelmével foglalkozó bizottság megítélése szerint a vonatkozó intézkedéseknek való meg nem felelés a törvény megsértésének minősül (15).

(17)

A személyes információk védelméről szóló törvény hatályát a személyes információ, a személyes adat és a személyes információkat kezelő gazdasági szereplő fogalommeghatározása határozza meg. A személyes információk védelméről szóló törvény ugyanakkor rendelkezik a hatálya alóli néhány fontos kivételről, legfőképpen az anonimizált személyes adatok, illetve a meghatározott típusú, bizonyos szereplők általi kezelés vonatkozásában. Jóllehet a személyes információk védelméről szóló törvényben nem szerepel a kezelés („processing”) kifejezés, a törvény azzal egyenértékű fogalmat alkalmaz („handling”), amely a személyes információk védelmével foglalkozó bizottság szerint kiterjed „a személyes adatokra vonatkozó bármely cselekményre”, beleértve a személyes információk megszerzését, bevitelét, felhalmozását, szervezését, tárolását, szerkesztését/kezelését, megújítását, törlését, kibocsátását, felhasználását vagy rendelkezésre bocsátását.

(18)

Először is, tárgyi hatálya tekintetében a személyes információk védelméről szóló törvény különbséget tesz a személyes információk és a személyes adatok között, és az előbbi kategóriára csak a törvény egyes rendelkezései vonatkoznak. A személyes információk védelméről szóló törvény 2. cikkének (1) bekezdése szerint a „személyes információ” fogalmába tartozik minden olyan információ, amely valamely élő személyre vonatkozik, és lehetővé teszi az adott személy azonosítását. A fogalommeghatározás a személyes információk két kategóriáját különbözteti meg: i. egyéni azonosító kódok, és ii. egyéb olyan személyes információk, amelyek alapján egy adott személy azonosítható. Az utóbbi kategória olyan információkat is tartalmaz, amelyek önmagukban nem, de más információkkal „könnyen összevetve” lehetővé teszik egy adott személy azonosítását. A személyes információk védelmével foglalkozó bizottság iránymutatása (16) szerint eseti alapon, a gazdasági szereplő mindenkori helyzetének („feltételek”) figyelembevételével kell elbírálni, hogy az információ „könnyen összevethető-e”. Feltételezhetően ez történik, ha az ilyen összevetést átlagos („szokásos”) gazdasági szereplő végzi (vagy végezheti) a rendelkezésére álló eszközökkel. Például az információ nem „könnyen vethető össze” más információkkal, ha a gazdasági szereplőnek szokatlan erőfeszítéseket vagy jogellenes lépéseket kell tennie az összehasonlítandó információ egy vagy több más gazdasági szereplőtől való megszerzése érdekében.

(19)

A személyes információk védelméről szóló törvény értelmében csak bizonyos formájú személyes információk tartoznak a „személyes adatok” fogalmába. A „személyes adat”„személyes információs adatbázist alkotó személyes információ”, vagyis olyan „információgyűjtemény”, amely „következetesen rendszerezett” személyes információkból áll, hogy „lehetővé tegye adott személyes információk számítógéppel történő keresését” (17), vagy amely „kabinethatározat értelmében következetesen rendszerezett információkból áll, hogy könnyen lehetővé tegye adott személyes információk keresését”, de „nem tartoznak ide azok a kabinethatározat által meghatározott személyes információk, amelyek a felhasználás módját tekintve nagy valószínűséggel nem sértik az egyén jogait és érdekeit” (18).

(20)

Ezt a kivételt tovább pontosítja a kabinethatározat 3. cikkének (1) bekezdése, amely szerint a következő három kumulatív feltételnek kell teljesülnie: i. szükséges, hogy az információgyűjteményt „nagyszámú meg nem határozott személy számára történő értékesítés céljából adják ki, és annak kibocsátása ne az alapul szolgáló törvény vagy határozat rendelkezéseinek megsértésével történjen”; ii. alkalmasnak kell lennie arra, hogy „nagyszámú meg nem határozott személy bármikor megvásárolja”, valamint szükséges, hogy iii. az abban szereplő személyes adatokat „eredeti céljuknak megfelelően, az élő személyre vonatkozó egyéb információ hozzáadása nélkül bocsássák rendelkezésre”. A személyes információk védelmével foglalkozó bizottságtól kapott magyarázatok szerint ezt a szűk kivételt a telefonkönyvek és hasonló címtárak kizárása érdekében vezették be.

(21)

A Japánban gyűjtött adatok esetében ez a „személyes információk” és „személyes adatok” közötti megkülönböztetés fontos, mert elképzelhető, hogy az ilyen információk nem mindig részei egy „személyes információs adatbázisnak” (például egyetlen, manuálisan gyűjtött és kezelt adatkészlet), ezért a személyes információk védelméről szóló törvénynek a kizárólag a személyes adatokra vonatkozó rendelkezései nem alkalmazandók (19).

(22)

Ezzel szemben a megfelelőségi határozat alapján az Európai Unióból Japánba továbbított személyes adatok esetében nem lényeges ez a megkülönböztetés. Mivel az ilyen adatok továbbítása elektronikus úton történik (ugyanis a digitális korszakban ez az adatok cseréjének szokásos módja, különösen az EU és Japán közötti nagy távolságot áthidaló adatcsere esetén), és így az ilyen adatok az adatátvevő elektronikus nyilvántartási rendszerébe kerülnek, az uniós adatok a személyes információk védelméről szóló törvény értelmében vett „személyes adatok” kategóriájába fognak tartozni. Abban a kivételes esetben, ha más eszközökkel (pl. papíralapú formában) továbbítják az EU-ból a személyes adatokat, azok továbbra is a személyes információk védelméről szóló törvény hatálya alá fog tartozni, ha a konkrét információk egyszerű keresésének lehetővé tétele érdekében rendszeresen „információgyűjteményekbe” szervezik azokat (a személyes információk védelméről szóló törvény 2. cikke (4) bekezdésének ii) pontja). A kabinethatározat 3. cikkének (2) bekezdése szerint ez az eset áll fenn akkor, ha az információt „bizonyos szabály szerint” rendezték és az adatbázis eszközöket, például tartalomjegyzéket vagy tárgymutatót tartalmaz a keresés megkönnyítése érdekében. Ez megfelel az általános adatvédelmi rendelet 2. cikkének (1) bekezdése értelmében vett „nyilvántartási rendszer” fogalommeghatározásának.

(23)

A személyes információk védelméről szóló törvény egyes rendelkezései, mindenekelőtt a személyhez fűződő jogokkal foglalkozó 27–30. cikke, csak a személyes adatok egy konkrét kategóriájára, az úgynevezett „megőrzött személyes adatokra” vonatkoznak. Ezek a személyes információk védelméről szóló törvény 2. cikkének (7) bekezdése értelmében az olyan személyes adatokon kívüli személyes adatok, amelyek i. „valamely kabinethatározat szerint valószínűleg sértik a közérdeket vagy egyéb érdeket, amennyiben meglétük vagy hiányuk ismertté válik” vagy ii. „legfeljebb egyéves, kabinethatározat által meghatározott időtartamon belül törlendők”.

(24)

E két kategória közül az elsőt a kabinethatározat 4. cikke ismerteti, és a mentességek négy típusára (20) vonatkozik. E kivételek hasonló célt követnek, mint az (EU) 2016/679 rendelet 23. cikkének (1) bekezdésében felsorolt célok, mindenekelőtt az alábbiak: az érintett védelme és a mások szabadságainak védelme, nemzetbiztonság, közbiztonság, a büntetőjog érvényesítése vagy egyéb fontos, általános közérdekű célkitűzések. Ezenfelül a kabinethatározat 4. cikke (1) bekezdése i)–iv) pontjának megfogalmazásából következik, hogy azok alkalmazása minden esetben valamelyik fontos védett érdekre vonatkozó konkrét kockázatot előfeltételez (21).

(25)

A kabinethatározat 5. cikke részletesebben ismerteti a második kategóriát. A személyes információk védelméről szóló törvény 2. cikkének (7) bekezdésével együtt értelmezve nem tartoznak a személyes információk védelméről szóló törvény értelmében vett megőrzött személyes adatok fogalmába és így a személyhez fűződő jogok nem terjednek ki azokra a személyes adatokra, amelyek hat hónapon belül „törlendők”. A személyes információk védelmével foglalkozó bizottság kifejtette, hogy ez a kivétel arra kívánja ösztönözni a gazdasági szereplőket, hogy a lehető legrövidebb ideig őrizzék meg és kezeljék az adatokat. Ugyanakkor ez azt jelentené, hogy az uniós érintettek csak az adataik érintett gazdasági szereplő általi megőrzésének időtartamából kifolyólag élvezhetnének fontos jogokat.

(26)

E helyzet kezelése érdekében a második kiegészítő szabály előírja, hogy az Európai Unióból továbbított személyes adatok „a törvény 2. cikkének (7) bekezdése értelmében vett megőrzött személyes adatként kezelendők, függetlenül attól az időszaktól, amelyen belül törlendők”. A megőrzési időszak így nem befolyásolja az uniós érintettek jogait.

(27)

Az anonimizáltan kezelt – a személyes információk védelméről szóló törvény 2. cikkének (9) bekezdésében meghatározott – személyes információkra vonatkozó követelményeket a törvény 4. fejezetének 2. szakasza („Az anonimizált információkat kezelő gazdasági szereplők feladatai”) írja elő. Ezzel szemben az ilyen információkra nem vonatkoznak a személyes információk védelméről szóló törvény IV. fejezete 1. szakaszának rendelkezései, és ebben a szakaszban szerepelnek az említett törvény értelmében a személyes adatok kezelésére vonatkozó adatvédelmi biztosítékokat és jogokat előíró cikkek. Ebből következik, hogy „az anonimizált személyes információk” nem tartoznak a „szokásos” adatvédelmi szabályok (a személyes információk védelméről szóló törvény IV. fejezetének 1. szakaszában és a 42. cikkében meghatározott szabályok) hatálya alá, viszont a személyes információk védelméről szóló törvény, nevezetesen a 36–39. cikk hatálya alá tartoznak.

(28)

A személyes információk védelméről szóló törvény 2. cikkének (9) bekezdése szerint „az anonimizáltan kezelt személyes információ” olyan, egyénekre vonatkozó információ, amely „személyes információk kezeléséből származik” a személyes információk védelméről szóló törvényben előírt (a 36. cikk (1) bekezdése), illetve a személyes információk védelmével foglalkozó bizottság szabályzatában meghatározott (19. cikk) intézkedések révén, és ennek eredményeképpen nem azonosíthatók a konkrét személyek, valamint nem állíthatók helyre a személyes információk.

(29)

Ezekből a rendelkezésekből következik – és a személyes információk védelmével foglalkozó bizottság is megerősíti –, hogy a személyes információk „anonimizálásának” nem kell technikailag visszafordíthatatlannak lennie. A személyes információk védelméről szóló törvény 36. cikkének (2) bekezdése értelmében az „anonimizáltan kezelt személyes információkat” kezelő gazdasági szereplőknek csupán meg kell akadályozniuk az újbóli azonosítást olyan intézkedésekkel, amelyek biztosítják „az anonimizált információkhoz felhasznált személyes információkból törölt leírások stb. és egyéni azonosító kódok, valamint a kezelési móddal kapcsolatos információk” biztonságát.

(30)

Mivel a személyes információk védelméről szóló törvény értelmében vett „anonimizáltan kezelt személyes információk” tartalmaznak olyan adatokat, amelyek vonatkozásában továbbra is lehetséges az egyén újbóli azonosítása, ez azt jelentheti, hogy az Európai Unióból továbbított személyes adatok részben elveszthetik az elérhető védelmet egy olyan folyamat keretében, amely – az (EU) 2016/679 rendelet értelmében – inkább „álnevesítésnek”, semmint „anonimizálásnak” minősülne (nem változtatva ezáltal a személyes adat jellegen).

(31)

E helyzet kezelése érdekében a kiegészítő szabályok további olyan követelményekről rendelkeznek, amelyek csak az e határozat értelmében az Európai Unióból továbbított személyes adatokra vonatkoznak. Az ötödik kiegészítő szabály szerint az ilyen személyes információ csak akkor tekinthető a személyes információk védelméről szóló törvény értelmében „anonimizáltan kezelt személyes információnak”, „ha a személyes információkat kezelő gazdasági szereplő olyan intézkedéseket hoz, amelyek bárki számára visszafordíthatatlanná teszik az egyén anonimizálását, többek között a kezelés módjával stb. kapcsolatos információk törlésével”. A kiegészítő szabályok szerint ez utóbbiak az „anonimizáltan kezelt személyes információkhoz” felhasznált személyes információk közül törölt leírásokkal és egyéni azonosító kódokkal kapcsolatos információk, illetve az ilyen leírások és egyéni azonosító kódok törlése során alkalmazott kezelési módszerekkel kapcsolatos információk. Más szóval a kiegészítő szabályok előírják, hogy az „anonimizáltan kezelt személyes információkat” előállító gazdasági szereplőnek meg kell semmisítenie az adatok újbóli azonosítását lehetővé tevő „kulcsot”. Ez azt jelenti, hogy az Európai Unióból származó személyes adatokra csak abban az esetben vonatkoznak a személyes információk védelméről szóló törvénynek „az anonimizáltan kezelt személyes információkra” vonatkozó rendelkezései, ha az (EU) 2016/679 rendelet (22) értelmében véve is hasonlóképpen anonim információnak minősülnének.

(32)

Személyi hatályát tekintve a személyes információk védelméről szóló törvény kizárólag a személyes információkat kezelő gazdasági szereplőkre vonatkozik. A személyes információk védelméről szóló törvény 2. cikkének (5) bekezdése szerint a személyes információkat kezelő gazdasági szereplő „olyan személy, aki személyes információkat tartalmazó adatbázist stb. kínál üzleti felhasználás céljából”, de nem tartoznak ide sem a központi, sem a helyi szintű kormányzati, illetve közigazgatási hivatalok.

(33)

A személyes információk védelmével foglalkozó bizottság iránymutatása szerint az „üzleti tevékenység”„egy társadalmilag elismert vállalkozás meghatározott célból ismételt és folyamatos vezetésére irányuló magatartás, függetlenül attól, hogy nyereségszerzésre irányul-e”. A jogi személyiséggel nem rendelkező szervezetek (például a de facto szövetségek) vagy az egyének akkor minősülnek személyes információkat kezelő gazdasági szereplőnek, ha személyes információkat tartalmazó adatbázist stb. kínálnak (használnak) üzleti célra (23). A személyes információk védelméről szóló törvény értelmében vett „üzleti tevékenység” fogalma így nagyon tág, mert nemcsak a különféle szervezetek és egyének profitszerző tevékenységeit, hanem a nonprofit tevékenységeit is magában foglalja. Továbbá, az „üzleti felhasználás” az olyan személyes információkra is kiterjed, amelyek felhasználása nem a gazdasági szereplő (külső) kereskedelmi kapcsolatai során, hanem a szervezeten belül, például a munkavállalói adatok kezelése során történik.

(34)

A személyes információk védelméről szóló törvényben szereplő védelmi rendelkezések kezdeményezettjeit illetően a törvény nem tesz különbséget az egyén állampolgársága, lakóhelye vagy tartózkodási helye alapján. Ugyanez vonatkozik az azzal kapcsolatos lehetőségekre, hogy az egyének jogorvoslatért folyamodjanak akár a személyes információk védelmével foglalkozó bizottsághoz, akár a bíróságokhoz.

(35)

A személyes információk védelméről szóló törvény értelmében nincs konkrét különbség az adatkezelőkre és adatfeldolgozókra rótt kötelezettségek között. E különbség hiánya nem befolyásolja a védelem szintjét, mert a törvény valamennyi rendelkezése valamennyi személyes információkat kezelő gazdasági szereplőre vonatkozik. Az a személyes információkat kezelő gazdasági szereplő, amely (az általános adatvédelmi rendelet szerinti adatfeldolgozóval egyenértékű) megbízottat bíz meg a személyes adatok kezelésével, továbbra is a személyes információk védelméről szóló törvény és a kiegészítő szabályok szerinti kötelezettségek hatálya alá tarozik a megbízás tárgyát képező adatok tekintetében. Ezen túlmenően a személyes információk védelméről szóló törvény 22. cikke értelmében köteles „szükséges és megfelelő felügyeletet gyakorolni” a megbízott felett. Ezzel szemben – amint a személyes információk védelmével foglalkozó bizottság megerősítette – a személyes információk védelméről szóló törvény és a kiegészítő szabályok szerinti valamennyi kötelezettség kötelező vonatkozik magára a megbízottra is.

(36)

A személyes információk védelméről szóló törvény 76. cikke kizárja az adatkezelés bizonyos típusait a törvény központi adatvédelmi rendelkezéseket (alapelvek, gazdasági szereplők kötelezettségei, személyhez fűződő jogok, a személyes információk védelmével foglalkozó bizottság által gyakorolt felügyelet) tartalmazó IV. fejezetének alkalmazásából. A 76. cikkben szereplő ágazati kivételek hatálya alá tartozó adatkezelés a személyes információk védelméről szóló törvény 43. cikkének (2) bekezdése értelmében szintén nem tartozik a személyes információk védelmével foglalkozó bizottság végrehajtási jogkörébe (24).

(37)

A személyes információk védelméről szóló törvény 76. cikkében szereplő ágazati kizárás releváns kategóriáinak meghatározása kettős kritérium alapján, a személyes információkat kezelő gazdasági szereplő típusa és a kezelés célja alapján történik. Konkrétabban a kivételek az alábbiakra vonatkoznak: i. műsorszórók, lapkiadók, kommunikációs ügynökségek vagy egyéb sajtóügynökségek (beleértve a sajtótevékenységeket végző magánszemélyeket), amennyiben sajtócélokra kezelnek személyes információkat; ii. hivatásos írók, amennyiben tevékenységük személyes információkat érint; iii. egyetemek és egyéb, felsőfokú tanulmányokkal kapcsolatos szervezetek vagy csoportok, vagy ilyen szervezetekhez tartozó személyek, amennyiben a felsőfokú tanulmányok céljából személyes információkat kezelnek; iv. vallási szervezetek, amennyiben vallási tevékenységek (beleértve valamennyi kapcsolódó tevékenységet) céljából személyes információkat kezelnek; és v. politikai szervezetek, amennyiben politikai tevékenységük (beleértve valamennyi kapcsolódó tevékenységet) céljából személyes információkat kezelnek. A IV. fejezet rendelkezései továbbra is vonatkoznak a személyes információknak a személyes információkat kezelő egyéb típusú gazdasági szereplők általi, a 76. cikkben felsorolt célokból történő kezelésére, valamint a személyes információknak a személyes információkat kezelő felsorolt gazdasági szereplők által egyéb célokból történő kezelésére.

(38)

Az Európai Unióból a japán gazdasági szereplőknek továbbított személyes adatok megfelelő szintű védelmének biztosítása érdekében ez a határozat csak az olyan személyes információk kezelésére vonatkozik, amelyek a személyes információk védelméről szóló törvény IV. fejezetének hatálya alá tartoznak, vagyis a személyes információkat kezelő gazdasági szereplők által kezelt személyes információkra, amennyiben a kezelés nem tartozik az ágazati kivételek hatálya alá. Ezért a hatályát hozzá kell igazítani a személyes információk védelméről szóló törvényéhez. A személyes információk védelmével foglalkozó bizottságtól kapott információk szerint, ha egy, e határozat hatálya alá tartozó, személyes információkat kezelő gazdasági szereplő a későbbiekben módosítaná a felhasználás célját (amennyiben ez megengedett) és azután a személyes információk védelméről szóló törvény 76. cikkében szereplő valamelyik ágazati kivétel hatálya alá tartozna, ez nemzetközi adattovábbításnak minősülne (mivel ilyen esetekben a személyes információk kezelésére már nem terjedne ki a személyes információk védelméről szóló törvény IV. fejezete, és így az kikerülne annak hatálya alól). Ugyanez vonatkozik arra az esetre, amikor egy személyes információkat kezelő gazdasági szereplő személyes információkat nyújt a személyes információk védelméről szóló törvény 76. cikkének hatálya alá tartozó jogalany számára az abban a rendelkezésben szereplő egyik adatkezelési célra történő felhasználás érdekében. Ami az Európai Unióból továbbított személyes adatokat illeti, ez tehát releváns (nevezetesen a személyes információk védelméről szóló törvény 24. cikkébe és a negyedik kiegészítő szabályba foglalt) biztosítékok melletti újbóli adattovábbításnak minősülne. Amennyiben a személyes információkat kezelő gazdasági szereplő az érintett hozzájárulására támaszkodik (25), meg kell adnia számára az összes szükséges információt, azt is ideértve, hogy a személyes információk védelméről szóló törvény már nem védené a személyes információkat.

(39)

A személyes adatokat konkrét célból kell kezelni, és később csak olyan mértékben használhatók, amely nem mond ellent az adatkezelés céljának. Ezt az adatvédelmi elvet a személyes információk védelméről szóló törvény 15. és 16. cikke garantálja.

(40)

A személyes információk védelméről szóló törvény azon az elven alapul, hogy a gazdasági szereplőnek „a lehető legkonkrétabban” meg kell határoznia a felhasználás célját (a 15. cikk (1) bekezdése), majd az adatkezelés során köteles e cél szerint eljárni.

(41)

Ebben a vonatkozásban a személyes információk védelméről szóló törvény 15. cikkének (2) bekezdése előírja, hogy a személyes információkat kezelő gazdasági szereplő nem módosíthatja az eredeti célt „az eredeti felhasználási cél szempontjából észszerűen elismert mértéket meghaladóan”, ami a személyes információk védelmével foglalkozó bizottság iránymutatása szerint megfelel annak, amit az érintett „a szokásos társadalmi konvenciók” alapján tárgyilagosan elvárhat (26).

(42)

Továbbá a személyes információk védelméről szóló törvény 16. cikkének (1) bekezdése értelmében a személyes információkat kezelő gazdasági szereplők nem kezelhetnek személyes információkat a 15. cikkben meghatározott, „a felhasználás céljának eléréséhez szükséges mértéket” meghaladó mértékben az érintett előzetes hozzájárulása nélkül, kivéve a 16. cikk (3) bekezdésében szereplő eltérések valamelyike alkalmazandó (27).

(43)

A más gazdasági szereplőktől származó személyes információk esetében a személyes információkat kezelő gazdasági szereplő főszabály szerint szabadon új felhasználási célt határozhat meg (28). Az Európai Unióból való adattovábbítás esetében annak biztosítása érdekében, hogy az adatátvevő ne térjen el az adattovábbítás céljától, a harmadik kiegészítő szabály előírja, hogy azokban az esetekben, „amikor [a személyes információkat kezelő gazdasági szereplő] megfelelőségi határozat alapján személyes adatokat kap az EU-ból” vagy az ilyen gazdasági szereplő „egy személyes információkat kezelő másik gazdasági szereplőtől a korábban az EU-ból megfelelőségi határozat alapján továbbított személyes adatokat vesz át” (újbóli megosztás), a kedvezményezettnek „meg kell határoznia az említett személyes adatok felhasználásának célját azon felhasználási cél hatálya alatt, amely célból az adat eredetileg vagy később átvételre került”. Más szóval a szabály biztosítja, hogy az adattovábbítás összefüggésében az adatkezelés továbbra is az (EU) 2016/679 rendelet értelmében meghatározott cél szerint történjen, és hogy e célnak a japán adatkezelési lánc bármely pontján történő módosításához az uniós érintett hozzájárulása szükséges. E hozzájárulás szükségessé teszi, hogy a személyes információkat kezelő gazdasági szereplő felvegye a kapcsolatot az érintettel, így amennyiben ez nem lehetséges, annak egyszerűen az a következménye, hogy fent kell tartani az eredeti célt.

(44)

A (43) preambulumbekezdésben említett további védelem annál is inkább lényeges, mert a japán rendszer a célhoz kötöttség elve alapján biztosítja a személyes adatok jogszerű és tisztességes kezelését is.

(45)

A személyes információk védelméről szóló törvény értelmében, amikor egy személyes információkat kezelő gazdasági szereplő személyes információkat gyűjt, részletesen meg kell határoznia a személyes információk felhasználásának célját (29), és haladéktalanul tájékoztatnia kell az érintettet a felhasználás céljáról (vagy nyilvánosságra kell hoznia azt) (30). Ezen túlmenően a személyes információk védelméről szóló törvény 17. cikke előírja, hogy a személyes információkat kezelő gazdasági szereplők nem szerezhetnek személyes információkat csalással vagy más nem megfelelő módon. Az adatok bizonyos kategóriáit, például a különleges gondosságot igénylő személyes információkat illetően az adatok megszerzése az érintett hozzájárulásához kötött (a személyes információk védelméről szóló törvény 17. cikkének (2) bekezdése).

(46)

Ezt követően, ahogy azt a (41) és (42) preambulumbekezdés kifejti, a személyes információkat kezelő gazdasági szereplő nem kezelheti a személyes információkat más célokra, kivéve az érintett hozzájárulásával vagy a személyes információk védelméről szóló törvény 16. cikkének (3) bekezdése értelmében vett egyik eltérés esetében.

(47)

Végezetül, a személyes információk harmadik félnek való további átadását (31) a személyes információk védelméről szóló törvény 23. cikkének (1) bekezdése különleges esetekre korlátozza, és főszabály szerint az érintett előzetes hozzájárulásához köti (32). A személyes információk védelméről szóló törvény 23. cikkének (2), (3) és (4) bekezdése kivételeket határoz meg a hozzájárulás megszerzésére vonatkozó követelmény alól. Ugyanakkor ezek a kivételek csak nem érzékeny adatokra alkalmazandók, és szükségessé teszik, hogy a gazdasági szereplő előzetesen tájékoztassa az érintett személyeket arról a szándékáról, hogy személyes információkat ad át harmadik félnek, illetve arról a lehetőségről, hogy az érintett kifogást emelhet a további adattovábbítás ellen (33).

(48)

Az Európai Unióból történő adattovábbítás esetében a személyes adatokat először az EU-ban kell összegyűjteni és kezelni az (EU) 2016/679 rendeletnek megfelelően. Ez mindig az adatoknak a rendelet 6. cikkének (1) bekezdésében felsorolt valamely jogi indok alapján történő összegyűjtését és kezelését jelenti, beleértve az Európai Unióból Japánba történő adattovábbítás esetében, másrészt a meghatározott, egyértelmű és törvényes célokból történő adatgyűjtést, illetve a további kezelés tilalmát, többek között adattovábbítás által, a rendelet 5. cikke (1) bekezdésének b) pontjában és 6. cikke (4) bekezdésében meghatározott céloknak nem megfelelő módon.

(49)

Az adattovábbítást követően a harmadik kiegészítő szabály szerint annak a személyes információkat kezelő gazdasági szereplőnek, amely átveszi az adatokat, „meg kell erősítenie” az adattovábbítás okát vagy okait (vagyis az (EU) 2016/679 rendeletnek megfelelően meghatározott célt), és az ilyen célnak vagy céloknak megfelelően kell tovább kezelnie az adatokat (34). Ez azt jelenti, hogy a rendeletben meghatározott egy vagy több cél nemcsak az ilyen személyes adatok kezdeti japán átvevőjére (így a megbízottra), hanem az adatok későbbi átvevőire is vonatkozik.

(50)

Továbbá, ha a személyes információkat kezelő gazdasági szereplő szeretné megváltoztatni az (EU) 2016/679 rendeletben korábban meghatározott célt, a személyes információk védelméről szóló törvény 16. cikkének (1) bekezdése értelmében – főszabály szerint – meg kell szereznie az érintett hozzájárulását. Hozzájárulás nélkül a kezelés céljának eléréséhez szükséges mértéket meghaladó mértékű adatkezelés sértené a 16. cikk (1) bekezdését, amely végrehajtható lenne a személyes információk védelmével foglalkozó bizottság és a bíróságok által.

(51)

Tehát, mivel az (EU) 2016/679 rendelet értelmében az adattovábbításhoz érvényes jogalap és meghatározott cél szükséges, amely tükröződik a személyes információk védelméről szóló törvény értelmében „megerősített” felhasználási célban, a személyes információk védelméről szóló törvény és a harmadik kiegészítő szabály vonatkozó intézkedései együttesen biztosítják az uniós adatok Japánban történő kezelésének további törvényességét.

(52)

Az adatoknak pontosnak és – szükség esetén – naprakésznek kell lenniük. Az adatoknak az adatkezelési célokhoz képest megfelelőnek és jelentősnek kell lenniük, valamint azokkal arányban kell állniuk.

(53)

Ezeket az alapelveket a japán jogban a személyes információk védelméről szóló törvény 16. cikkének (1) bekezdése biztosítja, amely tiltja a személyes információk kezelését „a felhasználási cél eléréséhez szükséges mértéket” meghaladó mértékben. Ahogy a személyes információk védelmével foglalkozó bizottság kifejtette, ez nemcsak a nem megfelelő adatok használatát és a túlzott (a felhasználási cél eléréséhez szükséges mértéket meghaladó mértékű) adatfelhasználást zárja ki, hanem a felhasználási cél elérése szempontjából nem lényeges adatok kezelését is tiltja.

(54)

Az adatok pontosságára és naprakészségére vonatkozó kötelezettséget illetően a személyes információk védelméről szóló törvény 19. cikke előírja, hogy a személyes információkat kezelő gazdasági szereplőnek „törekednie kell arra, hogy a személyes adatok a felhasználási cél eléréshez szükséges mértéket nem meghaladó mértékben pontosak és naprakészek legyenek”. Ez a rendelkezés a személyes információk védelméről szóló törvény 16. cikkének (1) bekezdésével együtt értelmezendő: a személyes információk védelmével foglalkozó bizottságtól kapott magyarázat szerint, ha a személyes információkat kezelő gazdasági szereplő nem tesz eleget a pontossággal kapcsolatos előírásoknak, úgy kell tekinteni, hogy a személyes információk kezelése nem felel meg a felhasználási célnak, és így a 16. cikk (1) bekezdése értelmében jogellenessé válik a kezelésük.

(55)

Főszabály szerint az adatok csak az adatkezelés céljai érdekében szükséges ideig őrizhetők meg.

(56)

A személyes információk védelméről szóló törvény 19. cikke szerint a személyes információkat kezelő gazdasági szereplőknek „törekedniük kell arra, hogy […] haladéktalanul töröljék a személyes adatokat, amint nincs szükség a felhasználásukra”. Ez a rendelkezés továbbá a személyes információk védelméről szóló törvény 16. cikkének (1) bekezdésével együtt kell értelmezni, amely tiltja a személyes információk kezelését „a felhasználási cél eléréséhez szükséges mértéket” meghaladó mértékben. A felhasználási cél elérését követően a személyes információk kezelése a továbbiakban nem tekinthető szükségesnek, így nem folytatható (kivéve, ha a személyes információkat kezelő gazdasági szereplő megszerzi ehhez az érintett hozzájárulását).

(57)

A személyes adatokat olyan módon kell kezelni, amely biztosítja a biztonságukat, többek között a jogosulatlan vagy jogellenes kezelés elleni védelmüket, illetve az adatok véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmüket. A gazdasági szereplőknek ebből a célból megfelelő technikai vagy szervezeti intézkedéseket kell hozniuk, hogy megvédjék a személyes adatokat a lehetséges veszélyektől. Ezeket az intézkedéseket a csúcstechnológia és a kapcsolódó költségek figyelembevételével kell értékelni.

(58)

Ezt az alapelvet a japán jogban a személyes információk védelméről szóló törvény 20. cikke hajtja végre, amely előírja, hogy a személyes információkat kezelő gazdasági szereplőknek „meg kell tenniük a szükséges és megfelelő intézkedést a személyes adatok biztonsági ellenőrzése érdekében, beleértve az általuk kezelt személyes adatok kiszivárgásának, elvesztésének vagy károsodásának megakadályozását”. A személyes információk védelmével foglalkozó bizottság iránymutatása ismerteti a meghozandó intézkedéseket, beleértve az alapvető szakpolitikák, az adatkezelési szabályok és a különböző „ellenőrzési intézkedések” kidolgozásának módjait (a szervezeti biztonság, illetve az emberi, fizikai és technológiai biztonság vonatkozásában) (35). Ezen túlmenően a személyes információk védelmével foglalkozó bizottság iránymutatása és egy külön közleménye (8. függelék, A meghozandó biztonsági intézkedések tartalma) további részleteket tartalmaz a biztonsági eseményekkel kapcsolatos intézkedések tekintetében, beleértve például a személyes információk kiszivárgását, a személyes információkat kezelő gazdasági szereplő által meghozandó biztonsági intézkedések részeként (36).

(59)

Továbbá, a személyes információk munkavállalók vagy alvállalkozók általi kezelése esetében a személyes információk védelméről szóló törvény 20. és 21. cikke értelmében biztonsági ellenőrzési célokból biztosítani kell a „szükséges és megfelelő felügyeletet”. Végezetül, a személyes információk védelméről szóló törvény 83. cikke értelmében a személyes információk szándékos kiszivárogtatása vagy eltulajdonítása egy évig terjedő szabadságvesztéssel büntetendő.

(60)

Az érintetteket tájékoztatni kell személyes adataik kezelésének főbb jellemzőiről.

(61)

A személyes információk védelméről szóló törvény 18. cikkének (1) bekezdése előírja, hogy a személyes információkat kezelő gazdasági szereplőnek tájékoztatnia kell az érintettet a megszerzett személyes információk felhasználási céljáról, kivéve „azokban az esetekben, amikor előzetesen sor került a felhasználási cél közzétételére”. Ugyanez a kötelezettség vonatkozik a cél megengedett módosítására (a 18. cikk (3) bekezdése). Ez biztosítja továbbá, hogy az érintettet tájékoztatják arról, hogy az adatai összegyűjtésre kerültek. Habár a személyes információk védelméről szóló törvény általában véve nem írja elő, hogy a személyes információkat kezelő gazdasági szereplőnek az adatgyűjtés szakaszában tájékoztatnia kell az érintettet a személyes információk várt átvevőiről, ez az információ az információ harmadik fél (átvevő) felé történő későbbi továbbításának szükséges feltétele a 23. cikk (2) bekezdése alapján, így akkor, amikor erre az érintett előzetes hozzájárulása nélkül kerül sor.

(62)

A „megőrzött személyes adatok” vonatkozásában a személyes információk védelméről szóló törvény 27. cikke előírja, hogy a személyes információkat kezelő gazdasági szereplőnek tájékoztatnia kell az érintettet a személyazonosságáról (elérhetőségi adatok), a felhasználási célról és a személyhez fűződő jogaival kapcsolatos kérelem megválaszolásával kapcsolatos eljárásról a személyes információk védelméről szóló törvény 28., 29. és 30. cikke értelmében.

(63)

Mivel a kiegészítő szabályok értelmében az Európai Unióból továbbított személyes adatok a megőrzés idejétől függetlenül (kivéve mentesség esetén) „megőrzött személyes adatnak” minősülnek, mindkét fent említett rendelkezés értelmében mindig az átláthatósági követelmények hatálya alá tartoznak.

(64)

A 18. cikkben előírt követelményekre és a személyes információk védelméről szóló törvény 27. cikke értelmében véve a felhasználási céllal kapcsolatos tájékoztatási kötelezettségre is ugyanazok a kivételek vonatkoznak, főként a közérdeket figyelembe vevő megfontolások, valamint az érintett, a harmadik felek és az adatkezelő jogainak és érdekeinek védelme alapján (37). A személyes információk védelmével foglalkozó bizottság iránymutatásában szereplő értelmezés szerint ezek a kivételek nagyon különleges helyzetekben alkalmazandók, például akkor, amikor a felhasználási céllal kapcsolatos információk veszélyeztetnék a gazdasági szereplő által bizonyos érdekek védelme (pl. a csalás, ipari kémkedés és szabotázs elleni küzdelem) érdekében hozott jogos intézkedéseket.

(65)

Különleges adatkategóriák kezelése esetén külön biztosítékokat kell bevezetni.

(66)

A „különleges gondosságot igénylő személyes információk” fogalmát a személyes információk védelméről szóló törvény 2. cikkének (3) bekezdése határozza meg. E rendelkezés tárgya „az érintett esetében a fajra, hitre, társadalmi státuszra, kórtörténetre, a bűnügyi nyilvántartásban való szereplésre, bűncselekményben való károsultságra vagy egyéb, kabinethatározatban előírt jellemzőkre stb. vonatkozó személyes információk, amelyek kezelése különleges gondosságot igényel a méltánytalan megkülönböztetés, az előítéletek vagy az érintettet sújtó egyéb hátrányok elkerülése érdekében”. Ezek a kategóriák nagyrészt megfelelnek az (EU) 2016/679 rendelet 9. és 10. cikkében szereplő különleges adatoknak. A „kórtörténet” az egészségügyi adatoknak, „a bűnügyi nyilvántartásban való szereplés és a bűncselekményben való károsultság” pedig alapjában véve az (EU) 2016/679 rendelet 10. cikkében szereplő kategóriáknak felel meg. A személyes információk védelméről szóló törvény 2. cikkének (3) bekezdésében szereplő kategóriák a kabinethatározat és a személyes információk védelmével foglalkozó bizottság további értelmezésétől függenek. A személyes információk védelmével foglalkozó bizottság iránymutatása 2.3. szakaszának 8. pontja szerint a kabinethatározat 2. cikkének ii. és iii. pontjában részletezett „kórtörténet” alkategóriái genetikai és biometrikus adatokra vonatkoznak. Továbbá a felsorolás nem tartalmazza kifejezetten az „etnikai hovatartozás” és a „politikai beállítottság” kifejezéseket, de utal a „fajra” és „hitre”. Ahogy a személyes információk védelmével foglalkozó bizottság iránymutatása 2.3. szakaszának 1. és 2. pontja kifejti, a „faj” az „etnikai kapcsolatokra vagy a világ adott részéhez fűződő kapcsolatokra” utal, míg a „hit” vallási és politikai meggyőződésként is értelmezendő.

(67)

A rendelkezés megfogalmazásából egyértelműen kiderül, hogy a felsorolás nem végleges, mert további adatkategóriákkal bővülhet, amennyiben azok kezelése esetében fennáll „a méltánytalan megkülönböztetés, az előítéletek vagy az érintettet sújtó egyéb hátrányok” kockázata.

(68)

A „különleges” adatok fogalma eleve társadalmi vonatkozású, mert egy adott társadalom kulturális és jogi hagyományaiban, erkölcsi megfontolásaiban, politikai döntéseiben stb. gyökerezik, és tekintettel a japán gazdasági szereplőknek továbbított különleges adatok esetében nyújtandó megfelelő biztosítékok fontosságára, a Bizottság elérte, hogy a japán törvények értelmében a „különleges gondosságot igénylő személyes információk” esetében nyújtott különleges védelem az (EU) 2016/679 rendeletben „különleges adatként” elismert valamennyi kategóriára kiterjedjen. Ezért az első kiegészítő szabály előírja, hogy az Európai Unióból továbbított, az egyén szexuális életére, szexuális irányultságára vagy szakszervezeti tagságára vonatkozó adatokat a személyes információkat kezelő gazdasági szereplőknek „ugyanolyan módon kell kezelniük, mint a különleges gondosságot igénylő személyes információkat a személyes információk védelmével foglalkozó törvény 2. cikkének (3) bekezdése értelmében”.

(69)

A különleges gondosságot igénylő személyes információkra vonatkozó további érdemi biztosítékokat illetően a személyes információk védelmével foglalkozó törvény 17. cikkének (2) bekezdése szerint a személyes információkat kezelő gazdasági szereplő nem szerezhet meg ilyen adatokat az érintett személy előzetes hozzájárulása nélkül, s ez alól csak néhány kivétel létezik (38). A személyes információk ezen kategóriájára továbbá nem vonatkozik a személyes információk védelmével foglalkozó törvény 23. cikkének (2) bekezdése értelmében vett eljárásnak megfelelő, harmadik fél általi közzétételi lehetőség (ez a bekezdés lehetővé teszi az adatok harmadik félnek való továbbítását az érintett személy előzetes hozzájárulása nélkül).

(70)

Az elszámoltathatóság elve értelmében az adatkezelőknek megfelelő technikai és szervezeti intézkedéseket kell hozniuk, hogy hatékonyan feleljenek meg adatvédelmi kötelezettségeiknek, és bizonyítani tudják ezt a megfelelést, különösen az illetékes felügyeleti hatóság felé.

(71)

Ahogy a 34. lábjegyzetben (a (49) preambulumbekezdésben) szerepel, a személyes információkat kezelő gazdasági szereplőknek a személyes információk védelméről szóló törvény 26. cikkének (1) bekezdése értelmében ellenőrizniük kell a számukra személyes adatokat szolgáltató harmadik felek személyazonosságát és az ilyen adatok harmadik fél általi megszerzésének „körülményeit” (a jelen határozat hatálya alá tartozó személyes adatok esetében a személyes információk védelméről szóló törvény és a harmadik kiegészítő szabály szerint ezeknek a körülményeknek tartalmazniuk kell azt a tényt, hogy az adatok az Európai Unióból származnak, továbbá az eredeti adattovábbítás célját). Ez az intézkedés többek között biztosítani kívánja az adatkezelés törvényességét a személyes információkat kezelő gazdasági szereplők láncában. Ezenfelül a személyes információk védelméről szóló törvény 26. cikkének (3) bekezdése értelmében a személyes információkat kezelő gazdasági szereplőknek nyilvántartást kell vezetniük az átvétel dátumáról és harmadik féltől a (1) bekezdés értelmében átvett (kötelező) információkról, továbbá a szóban forgó személy (az érintett) nevéről, a kezelt adatok kategóriáiról és a szükséges mértékben arról, hogy az érintett hozzájárult a személyes adatai megosztásához. Ahogy a személyes információk védelmével foglalkozó bizottság szabályzatának 18. cikkében szerepel, az ilyen nyilvántartásokat a körülményektől függően legalább 1–3 évig meg kell őrizni. A feladatai ellátása során a személyes információk védelmével foglalkozó bizottság előírhatja az ilyen nyilvántartások benyújtását (39).

(72)

A személyes információkat kezelő gazdasági szereplőknek haladéktalanul és megfelelően foglalkozniuk kell az érintett személyek személyes információk kezelésére vonatkozó panaszaival. A panaszkezelés elősegítése érdekében létre kell hozniuk „a cél eléréséhez szükséges rendszert”, ami azt jelenti, hogy megfelelő eljárások bevezetésére van szükség a szervezetükön belül (például a feladatok kiosztása vagy kapcsolattartó pont kijelölése).

(73)

Végezetül, a személyes információk védelméről szóló törvény létrehozza az ágazati ipari szervezeteknek a magas szintű megfelelőség biztosításában való részvételének keretét (lásd a IV. fejezet 4. szakaszát). A személyes információk védelmével foglalkozó ilyen akkreditált szervezeteknek (40) az a feladatuk, hogy a vállalkozásokat a szakértelmükkel támogatva elősegítsék a személyes információk védelmét, illetve hozzájáruljanak a biztosítékok végrehajtásához, mindenekelőtt az egyéni panaszok kezelésével és a kapcsolódó konfliktusok megoldásának elősegítésével. Ezért adott esetben szükséges intézkedések elfogadását kérhetik a személyes információkat kezelő részt vevő gazdasági szereplőktől (41). Továbbá, adatvédelmi incidensek és egyéb biztonsági incidensek esetén a személyes információkat kezelő gazdasági szereplőknek főszabály szerint tájékoztatniuk kell a személyes információk védelmével foglalkozó bizottságot és az érintettet (vagy a nyilvánosságot), és meg kell tenniük a szükséges intézkedéseket, beleértve a károk minimalizálására és a hasonló incidensek újbóli előfordulásának megakadályozására szolgáló intézkedéseket (42). Ezek önkéntes rendszerek, és 2017. augusztus 10-én a személyes információk védelmével foglalkozó bizottság 44 szervezetet sorolt fel, s ezek közül a legnagyobb, a Japán Információfeldolgozási és Fejlesztési Központ (JIPDEC) egyedül 15 436 gazdasági szereplőt számlált (43). Az akkreditált rendszerek olyan ágazati szövetségeket foglalnak magukban, mint például a Japán Értékpapír-kereskedők Szövetsége, a Japán Autósiskolák Szövetsége vagy a Házasságközvetítők Szövetsége (44).

(74)

A személyes információk védelmével foglalkozó akkreditált szervezetek éves jelentést nyújtanak be a működésükről. A személyes információk védelmével foglalkozó bizottság által közzétett, „Áttekintés a személyes adatok védelméről szóló törvény 2015. évi végrehajtásáról” című dokumentum szerint a személyes információk védelmével foglalkozó akkreditált szervezetekhez összesen 442 panasz érkezett, 123 esetben kértek magyarázatot az illetékességi körükbe tartozó gazdasági szereplőktől, 41 esetben kértek be dokumentumokat ezektől a gazdasági szereplőktől, 181 utasítást adtak, és két ajánlást tettek (45).

(75)

Az Európai Unióból a japán gazdasági szereplőknek továbbított személyes adatok védelmének szintjét nem veszélyeztetheti az ilyen adatok Japánon kívüli harmadik országokban található adatátvevők részére történő újbóli továbbítása. Az ilyen „újbóli adattovábbítás”, amely a japán gazdasági szereplők szemszögéből Japánból történő nemzetközi adattovábbításnak számít, csak abban az esetben engedélyezett, ha a Japánon kívüli újabb adatátvevőre olyan szabályok vonatkoznak, amelyek biztosítják a japán jogrend szerint biztosított védelem szintjéhez hasonló szintű védelmet.

(76)

Az első védelmet a személyes információk védelméről szóló törvény 24. cikke tartalmazza, amely általában véve tiltja a személyes adatok Japánon kívüli harmadik felek részére történő továbbítását az érintett személy előzetes hozzájárulása nélkül. A negyedik kiegészítő szabály biztosítja, hogy az Európai Unióból történő adattovábbítás esetén az ilyen hozzájárulás különösen megfelelő tájékoztatáson alapuljon, mert előírja, hogy az érintett személyt „tájékoztatni kell az adattovábbítás olyan körülményeiről, amelyek szükségesek ahhoz, hogy az érintett döntést hozzon a hozzájárulásról”. Ennek alapján az érintettet tájékoztatni kell arról, hogy az adatok külföldre (a személyes információk védelméről szóló törvény hatályán kívül) és a meghatározott rendeltetési országban kerülnek továbbításra. Ez lehetővé teszi számára, hogy értékelje a továbbítással járó magánéleti kockázatot. Hasonlóképpen, amint az a személyes információk védelméről szóló törvény 23. cikkéből (lásd a (47) preambulumbekezdést) is kikövetkeztethető, az érintettnek nyújtott tájékoztatásnak ki kell terjednie az említett rendelkezés (2) bekezdése szerinti kötelező elemekre, nevezetesen a harmadik félnek átadott személyes adatok kategóriáira és a közlés módjára.

(77)

A személyes információk védelméről szóló törvény 24. cikke a személyes információk védelmével foglalkozó bizottság szabályzatának 11-2. cikkével együttesen alkalmazva számos kivételről rendelkezik e hozzájáruláson alapuló szabály alól. Továbbá – a 24. cikk értelmében – ugyanazok az eltérések vonatkoznak a nemzetközi adattovábbításra is, mint a személyes információk védelméről szóló törvény 23. cikkének (1) bekezdése értelmében (46).

(78)

Az Európai Unióból e határozat értelmében Japánba továbbított személyes adatok folytatólagos védelmének biztosítása érdekében a negyedik kiegészítő szabály nagyobb védelmet biztosít abban az esetben, amikor a személyes információkat kezelő gazdasági szereplők ilyen adatokat továbbítanak újból harmadik országbeli átvevők felé. Erre olyan korlátozásokkal és alapok kidolgozásával kerül sor, amelyek segítségével a személyes információkat kezelő gazdasági szereplők a hozzájárulás alternatívájaként nemzetközi adattovábbítást végezhetnek. Konkrétabban, illetve a személyes információk védelméről szóló törvény 23. cikkének (1) bekezdésében meghatározott eltérések sérelme nélkül az e határozat értelmében továbbított személyes adatok csupán két esetben továbbíthatók (újból) hozzájárulás nélkül: i. amikor az adatok olyan harmadik országba kerülnek továbbításra, amelyet a személyes információk védelmével foglalkozó bizottság a személyes információk védelméről szóló törvény 24. cikke értelmében elismer a japán védelemmel egyenértékű védelmet biztosító országként (47); vagy ii. amikor a személyes információkat kezelő gazdasági szereplő és a harmadik országbeli adatátvevő együttesen olyan intézkedéseket hajtott végre, amelyek a személyes információk védelméről szóló törvényben biztosított védelemmel egyenértékű védelmet biztosítanak, a kiegészítő szabályokkal együtt értelmezve, szerződés, egyéb kötelező érvényű megállapodás vagy egy vállalatcsoporton belüli kötelező megállapodások formájában. A második kategória megfelel az (EU) 2016/679 rendelet értelmében a megfelelő biztosítékok biztosítása érdekében használt eszközöknek (különösen szerződéses kikötések, valamint kötelező erejű vállalati szabályok). Ezenfelül – amint azt a személyes információk védelmével foglalkozó bizottság is megerősítette – a harmadik fél részére történő továbbítás még ezekben az esetekben is a személyes információk védelméről szóló törvény szerinti bármely, harmadik fél részére történő személyesadat-továbbításra alkalmazandó általános szabályok (vagyis a személyes információk védelméről szóló törvény 23. cikkének (1) bekezdése szerinti, a hozzájárulás beszerzésére vonatkozó követelmény, vagy a törvény 23. cikkének (2) bekezdése szerinti, a kívülmaradási lehetőség biztosítása melletti tájékoztatási követelmény) hatálya alatt marad. Abban az esetben, ha hozzájárulás iránti kérelem nem juttatható el az érintetthez annak érdekében, hogy megadja a személyes információk védelméről szóló törvény 23. cikkének (2) bekezdése szerint szükséges előzetes információkat, akkor a továbbításra nem kerülhet sor.

(79)

Ezért azokon az eseteken kívül, amikor a személyes információk védelmével foglalkozó bizottság megállapította, hogy az érintett harmadik ország biztosítja a személyes információk védelméről szóló törvénynek megfelelő szintű védelmet (48), a negyedik kiegészítő szabályban meghatározott követelmények kizárják az olyan továbbítási eszközök alkalmazását, amelyek nem hoznak létre kötelező erővel bíró kapcsolatot a japán adatátadó és a harmadik országbeli adatátvevő között, és nem biztosítják a szükséges szintű védelmet. Ez történik majd például az APEC határokon átnyúló adatvédelmi szabályrendszere (CBPR) esetében, amelyhez Japán is csatlakozott (49), mert ebben a rendszerben a védelem nem olyan megállapodás eredménye, amely kötelező erejű az adatátadóra és az adatátvevőre nézve a kétoldalú kapcsolatuk összefüggésében, illetve a védelem szintje egyértelműen alacsonyabb mint a személyes információk védelméről szóló törvény és a kiegészítő szabályok által együttesen biztosított védelem szintje (50).

(80)

Végezetül, az (újbóli) adattovábbítás esetében egy további biztosíték a személyes információk védelméről szóló törvény 20. és 22. cikkéből származik. E rendelkezéseknek megfelelően, amikor egy harmadik országbeli szereplő (adatátvevő) a személyes információkat kezelő gazdasági szereplő (adatátadó) nevében, vagyis (al-)feldolgozóként jár el, az utóbbinak biztosítania kell az előző felügyeletét az adatkezelés biztonsága tekintetében.

(81)

Az uniós adatvédelmi joghoz hasonlóan a személyes információk védelméről szóló törvény is érvényesíthető jogokat biztosít az egyének számára. Idetartozik a hozzáférés joga („nyilvánosságra hozatal”), a helyesbítési jog, a törlési jog, valamint a kifogásolási jog („a felhasználás megszüntetése”).

(82)

Először is, a személyes információk védelméről szóló törvény 28. cikkének (1) és (2) bekezdése értelmében az érintettnek joga van kérni a személyes információkat kezelő gazdasági szereplőtől „az olyan megőrzött személyes adatok nyilvánosságra hozatalát, amely alapján azonosítható”, és az ilyen kérelem kézhezvételekor a személyes információkat kezelő gazdasági szereplő az érintett „tudomására hozza a megőrzött személyes adatokat”. A 29. cikk (helyesbítési jog) és a 30. cikk (a felhasználás megszűnésének joga) ugyanazt a szerkezetet követi, mint a 28. cikk.

(83)

A kabinethatározat 9. cikke meghatározza, hogy a személyes információknak a személyes információk védelméről szóló törvény 28. cikke (2) bekezdésének megfelelő közzétételére írásban kerül sor, kivéve, ha a személyes információkat kezelő gazdasági szereplő és az érintett másképp egyezik meg.

(84)

Ezekre a jogokra háromféle korlátozás vonatkozik az egyén vagy a harmadik felek jogai és érdekei (51), a személyes információkat kezelő gazdasági szereplő üzleti tevékenységeibe való súlyos beavatkozás (52), valamint az olyan esetek tekintetében, amikor a közzététel sértene más törvényeket vagy rendeleteket (53). A helyzetek, amelyekben ezek a korlátozások alkalmazandók, hasonlítanak az (EU) 2016/679 rendelet 23. cikke (1) bekezdésének értelmében alkalmazandó néhány kivételhez, és ez a bekezdés lehetővé teszi az egyének jogainak korlátozását „az érintettek védelmével vagy mások jogaival és szabadságaival” vagy „egyéb fontos, általános közérdekű célkitűzésekkel” kapcsolatos okokból. Tágnak tűnhet az olyan esetek kategóriája, amelyekben a közzététel sértene „más törvényeket vagy rendeleteket”, de az ebben a tekintetben korlátozásokat tartalmazó törvényeknek és rendeleteknek tiszteletben kell tartaniuk a magánélet szabadságához való alkotmányos jogot, és csak akkor tartalmazhatnak korlátozásokat, ha ennek a jognak a gyakorlása „ellentmondana a közjólétnek” (54). Ehhez a szóban forgó érdekek egyensúlyozására van szükség.

(85)

A személyes információk védelméről szóló törvény 28. cikkének (3) bekezdése szerint, ha a kért adat nem létezik vagy a személyes információkat kezelő érintett gazdasági szereplő úgy határoz, hogy nem biztosít hozzáférést a megőrzött adatokhoz, erről haladéktalanul tájékoztatnia kell az érintett személyt.

(86)

Másodszor, a személyes információk védelméről szóló törvény 29. cikkének (1) és (2) bekezdése értelmében az érintett az adatok pontatlansága esetén kérheti a megőrzött személyes adatai helyesbítését, bővítését vagy törlését. Ilyen kérelem esetén a személyes információkat kezelő gazdasági szereplő „[…] elvégzi a szükséges vizsgálatot” és a vizsgálat eredménye alapján „helyesbíti stb. a megőrzött adatokat”.

(87)

Harmadszor, a személyes információk védelméről szóló törvény 30. cikkének (1) és (2) bekezdése értelmében az érintett kérheti a személyes információkat kezelő gazdasági szereplőtől a személyes információi tovább használatának mellőzését vagy az ilyen adatok törlését, ha azok kezelése sérti a 16. cikket (célhoz kötöttség) vagy a személyes információk védelméről szóló törvény 17. cikkének megsértésével, nem megfelelő módon került sor a megszerzésükre (csalással, egyéb nem megfelelő módon vagy különleges adatok esetében hozzájárulás nélkül megszerzett adatok). Hasonlóképpen, a személyes információk védelméről szóló törvény 30. cikkének (3) és (4) bekezdése értelmében az egyén kérheti a személyes információkat kezelő gazdasági szereplőtől, hogy a továbbiakban ne továbbítsa az információkat harmadik feleknek, ha az sértené a személyes információk védelméről szóló törvény 23. cikkének (1) bekezdésében vagy 24. cikkében szereplő rendelkezéseket (a harmadik feleknek való adattovábbítás, beleértve a nemzetközi adattovábbítást).

(88)

Amennyiben a kérés megalapozott, a személyes információkat kezelő gazdasági szereplőnek haladéktalanul fel kell hagynia az adatok felhasználásával vagy harmadik feleknek való továbbításával a jogsértés orvoslásához szükséges mértékben, vagy ha az eset valamely kivétel tárgyát képezi (mindenekelőtt, ha a felhasználás megszüntetése különösen magas költségekkel járna) (55), végre kell hajtania a szükséges alternatív intézkedéseket, hogy megvédje az érintett személy jogait és érdekeit.

(89)

Az EU jogtól eltérően a személyes információk védelméről szóló törvény és a vonatkozó nem jogszabályokban előírt szabályok nem tartalmaznak olyan jogszabályi rendelkezéseket, amelyek kifejezetten a közvetlen üzletszerzés céljára való adatkezelés kifogásolásának lehetőségével foglalkoznak. Ugyanakkor e határozat alapján a korábban az Európai Unióban gyűjtött személyes adatok továbbításával összefüggésében fog sor kerülni ilyen adatkezelésre. Az (EU) 2016/679 rendelet 21. cikke (2) bekezdésének értelmében az érintettnek mindig lehetősége van kifogásolni a közvetlen üzletszerzési célra való kezelés céljából történő adattovábbítást. Ezenfelül, ahogy a (43) preambulumbekezdésben szerepel, a harmadik kiegészítő szabály értelmében a személyes információkat kezelő gazdasági szereplő köteles ugyanabból a célból kezelni a határozat értelmében kapott adatokat, amilyen célból az adatok továbbításra kerültek az Európai Unióból, kivéve, ha az érintett beleegyezik a felhasználás céljának módosításába. Tehát, ha az adattovábbításra nem közvetlen üzletszerzés céljából került sor, a személyes információkat kezelő japán gazdasági szereplő az uniós érintett hozzájárulása nélkül nem kezelheti közvetlen üzletszerzés céljából az adatokat.

(90)

A személyes információk védelméről szóló törvény 28. és 29. cikkében említett valamennyi esetben a személyes információkat kezelő gazdasági szereplő köteles haladéktalanul értesíteni az érintett személyt a kérése eredményéről, tovább köteles magyarázattal szolgálni a kérés (részleges) elutasítását illetően a 27–30. cikkben szereplő jogszabályi kivételek alapján (a személyes információk védelméről szóló törvény 31. cikke).

(91)

A kérés feltételei tekintetében a személyes információk védelméről szóló törvény 32. cikke (a kabinethatározattal együtt) lehetővé teszi a személyes információkat kezelő gazdasági szereplő számára észszerű eljárások meghatározását, többek között a megőrzött személyes adatok azonosításához szükséges információk tekintetében. E cikk (4) bekezdése értelmében azonban a személyes információkat kezelő gazdasági szereplők nem róhatnak „túlzott terhet az érintettre”. Bizonyos esetekben a személyes információkat kezelő gazdasági szereplők is bírságot szabhatnak ki, amíg annak összege „a tényleges költségek figyelembevételével észszerű keretek között” marad (a személyes információk védelméről szóló törvény 33. cikke).

(92)

Végezetül, az érintett személy kifogásolhatja a személyes információi harmadik feleknek történő átadását a személyes információk védelméről szóló törvény 23. cikkének (2) bekezdése értelmében, vagy megtagadhatja hozzájárulását a 23. cikk (1) bekezdése értelmében (és ezzel megakadályozza a közzétételt, amennyiben nincs más elérhető jogalap). Hasonlóképpen az érintett személy leállíthatja az adatok más célból való kezelését a hozzájárulása megtagadásával a személyes információk védelméről szóló törvény 16. cikkének (1) bekezdése értelmében.

(93)

Az uniós jogtól eltérően a személyes információk védelméről szóló törvény és a vonatkozó nem jogszabályi rendelkezések nem tartalmaznak olyan általános rendelkezéseket, amelyek kifejezetten az érintettet érintő döntésekkel foglalkoznak és kizárólag a személyes adatok automatizált kezelésén alapulnak. Ugyanakkor bizonyos Japánban alkalmazandó, az ilyen típusú adatkezelés esetében különösen lényeges ágazati szabályok kitérnek ezekre a kérdésekre. Ez magában foglal olyan ágazatokat, amelyekben a vállalatok nagy valószínűség szerint a személyes adatok automatizált kezeléséhez folyamodnak az érintett személyeket érintő döntések meghozatala során (például a pénzügyi szektor). Például a 2017 júniusában átdolgozott, „A nagyobb bankok felügyeletére vonatkozó átfogó iránymutatás” című dokumentum előírja, hogy az érintett személy részére konkrét magyarázatot kell nyújtani egy hitelmegállapodási kérelem visszautasításának okaival kapcsolatban. Ezek a szabályok így védelmet nyújtanak azokban a meglehetősen ritka esetekben, amikor az „adatátvevő” japán gazdasági szereplők (semmint az „adatátadó” uniós adatkezelők) maguk hoznak automatizált döntéseket.

(94)

Mindenesetre az Európai Unióban összegyűjtött személyes adatok vonatkozásában minden automatizált kezelésen alapuló döntést általában az uniós adatkezelő (amely közvetlen kapcsolatban van az érintettel) fog meghozni, és így az (EU) 2016/679 rendelet hatálya alá tartozik (56). Idetartoznak olyan adattovábbítási forgatókönyvek, amelyek szerint az adatkezelést külföldi (például japán) gazdasági szereplő végzi, aki az uniós adatkezelő nevében ügynökként (adatfeldolgozóként) jár el (vagy alfeldolgozóként az uniós adatfeldolgozó nevében, amely megkapta az adatokat az adatokat összegyűjtő uniós adatkezelőtől), amely azután ennek alapján hozza meg a döntést. Ezért az a tény, hogy a személyes információk védelméről szóló törvény nem tartalmaz az automatizált döntéshozatalra vonatkozó különleges szabályokat, valószínűleg nem érinti az e határozat értelmében továbbított személyes adatok védelmének szintjét.

(95)

Az adatvédelem megfelelő szintjének gyakorlati biztosítása érdekében létre kell hozni egy független felügyeleti hatóságot, amely hatáskörrel rendelkezik az adatvédelmi szabályoknak való megfelelés nyomon követésére és a nyomon követés érvényesítésére. Ennek a hatóságnak teljes egészében függetlenül és pártatlanul kell eljárnia feladatai ellátása és hatásköre gyakorlása során.

(96)

A személyes információk védelméről szóló törvény nyomon követéséért és érvényesítéséért felelős hatóság Japánban a személyes információk védelmével foglalkozó bizottság. Ez a bizottság az országgyűlés mindkét házának hozzájárulásával a miniszterelnök által kinevezett elnökből és nyolc biztosból áll. Az elnök és a biztosok hivatali ideje öt év, ami meghosszabbítható (a személyes információk védelméről szóló törvény 64. cikke). A biztosok csak korlátozott számú kivételes körülmény (57) esetén és megalapozott indokkal meneszthetők, és nem vehetnek aktívan részt a politikai tevékenységekben. Ezenkívül a személyes információk védelméről szóló törvény értelmében a teljes munkaidőben foglalkoztatott biztosoknak tartózkodniuk kell minden egyéb, díjazás ellenében végzett vagy üzleti tevékenységtől. Olyan belső szabályok is vonatkoznak valamennyi biztosra, amelyek megakadályozzák őket abban, hogy esetleges összeférhetetlenség esetén részt vegyenek a tanácskozásokon. A személyes információk védelmével foglalkozó bizottságot segíti a Főtitkár által vezetett Titkárság, amely a személyes információk védelmével foglalkozó bizottságra ruházott feladatok elvégzése céljából jött létre (a személyes információk védelméről szóló törvény 70. cikke). A biztosokra és a Titkárság valamennyi munkatársára is szigorú titoktartási kötelezettség vonatkozik (a személyes információk védelméről szóló törvény 72. és 82. cikke).

(97)

A személyes információk védelmével foglalkozó bizottság – teljes mértékben függetlenül gyakorolt (58) – hatásköréről főként a személyes információk védelméről szóló törvény 40., 41. és 42. cikke rendelkezik. A 40. cikk értelmében a személyes információk védelmével foglalkozó bizottság kérheti, hogy a személyes információkat kezelő gazdasági szereplő nyújtson be jelentést vagy dokumentumokat a kezelési műveletekről, továbbá vizsgálatokat is végezhet, mind a helyszínen, mind a könyvelés és egyéb dokumentumok vonatkozásában. A személyes információk védelméről szóló törvény érvényesítéséhez szükséges mértékben a személyes információk védelmével foglalkozó bizottság emellett iránymutatást vagy tanácsot nyújthat a személyes információkat kezelő gazdasági szereplőknek a személyes információk kezelését illetően. A személyes információk védelmével foglalkozó bizottság már élt a személyes információk védelméről szóló törvény 41. cikkén alapuló, említett hatáskörével, amikor a Facebook és a Cambridge Analytica körüli leleplezéseket követően iránymutatást intézett az Facebookhoz.

(98)

Ami a legfontosabb, hogy a személyes információk védelmével foglalkozó bizottság – panaszra reagálva vagy saját kezdeményezésre – ajánlásokat tehet és határozatot hozhat a személyes információk védelméről szóló törvény és egyéb kötelező érvényű szabályok (többek között a kiegészítő szabályok) egyéni esetekben való érvényesítése érdekében. Erről a hatáskörről a személyes információk védelméről szóló törvény 42. cikke rendelkezik. Míg e cikk (1) és (2) bekezdése olyan kétlépcsős mechanizmusról rendelkezik, amely révén a személyes információk védelmével foglalkozó bizottság (csak) előzetes ajánlást követően hozhat határozatot, a (3) bekezdés sürgős esetekben lehetővé teszi a határozatok közvetlen elfogadását.

(99)

Habár a személyes információk védelméről szóló törvény IV. fejezete 1. szakaszának nem minden rendelkezése szerepel a 42. cikk (1) bekezdésében – amely a 42. cikk (2) bekezdésének hatályát is meghatározza –, ez megmagyarázható azzal, hogy egyes ilyen rendelkezések nem érintik a személyes információkat kezelő gazdasági szereplő kötelezettségeit (59), és a felsorolásban szereplő egyéb rendelkezések már biztosítják a teljes körű alapvető védelmet. Például noha a 15. cikk (amely kötelezi a személyes információkat kezelő gazdasági szereplőt a felhasználás céljának meghatározására és a kapcsolódó személyes információk kizárólag ilyen célból történő kezelésére) nem kerül említésre, e követelmény betartásának elmulasztása indokul szolgálhat egy ajánlásra a 16. cikk (1) bekezdésének (a személyes információkat kezelő gazdasági szereplő csak az érintett hozzájárulásával kezelheti a személyes információkat a felhasználási cél eléréséhez szükséges szinten túl) megsértése alapján (60). A 42. cikk (1) bekezdésében nem szereplő további intézkedések közé tartozik a személyes információk védelméről szóló törvény 19. cikke az adatok pontosságáról és megőrzéséről. E rendelkezésnek való meg nem felelés a 16. cikk (1) bekezdése megsértésének vagy a 29. cikk (2) bekezdése megsértésének minősülhet, ha az érintett személy kéri a téves vagy túlzott mennyiségű adatok helyesbítését vagy törlését, és a személyes információkat kezelő gazdasági szereplő nem tesz eleget ennek a kérésnek. Az érintettnek a 28. cikk (1) bekezdése, a 29. cikk (1) bekezdése és a 30. cikk (1) bekezdése értelmében vett jogait tekintve a személyes információk védelmével foglalkozó bizottság általi felügyeletet biztosítja, hogy a bizottság végrehajtási hatáskört kap a személyes információkat kezelő gazdasági szereplőknek az említett cikkekben meghatározott kapcsolódó kötelezettségei vonatkozásában.

(100)

A személyes információk védelméről szóló törvény 42. cikkének (1) bekezdése értelmében a személyes információk védelmével foglalkozó bizottság, ha felismeri, hogy „meg kell védeni az egyén jogait és érdekeit, ha [a személyes információkat kezelő gazdasági szereplő] megsértette” a személyes információk védelméről szóló törvény adott rendelkezéseit, ajánlást tesz „a jogsértés megszüntetése vagy a jogsértés orvoslására szolgáló egyéb szükséges intézkedés meghozatala érdekében”. Az ilyen ajánlás nem kötelező érvényű, de lehetőséget nyújt kötelező érvényű határozatra a személyes információk védelméről szóló törvény 42. cikkének (2) bekezdése értelmében. E rendelkezés alapján, ha „jogos indokok nélkül” nem kerül sor az ajánlásnak megfelelő eljárásra, és a személyes információk védelmével foglalkozó bizottság „elismeri, hogy hamarosan sor kerül az egyén jogainak és érdekeinek súlyos megsértésére”, utasíthatja a személyes információkat kezelő gazdasági szereplőt, hogy az ajánlásnak megfelelően járjon el.

(101)

A kiegészítő szabályok tovább pontosítják és megerősítik a személyes információk védelmével foglalkozó bizottság végrehajtási jogkörét. Konkrétabban, az Európai Unióból átvett adatokat érintő esetekben, ha a személyes információkat kezelő gazdasági szereplő elmulasztott – jogos indok nélkül – a személyes információk védelméről szóló törvény 42. cikke (1) bekezdésének értelmében tett ajánlásnak megfelelően intézkedni, a személyes információk védelmével foglalkozó bizottság ezt mindig az egyén jogának és érdekének súlyos, közvetlenül bekövetkezhető megsértésének fogja tekinteni a 42. cikk (2) bekezdésének értelmében, így azt kötelező érvényű határozat kiadásához vezető jogsértésnek tekinti. Továbbá az ajánlás figyelmen kívül hagyásának „jogos indokaként” a személyes információk védelmével foglalkozó bizottság csak olyan „[a megfelelést megakadályozó] rendkívüli eseményt” fogad el, amelyre „[a személyes információkat kezelő gazdasági szereplőnek] nincs ráhatása, és amely nem látható észszerűen előre (például természeti katasztrófák)” vagy olyan esetet fogad el, amikor egy ajánlással kapcsolatos intézkedés szükségessége már „nem áll fenn, mert [a személyes információkat kezelő gazdasági szereplő] olyan alternatív intézkedést hozott, amely teljes mértékben orvosolja a jogsértést”.

(102)

A személyes információk védelmével foglalkozó bizottság határozatának figyelmen kívül hagyása a személyes információk védelméről szóló törvény 84. cikke értelmében vett bűncselekménynek minősül, és a bűnösnek talált, személyes információkat kezelő gazdasági szereplő, hat hónapig terjedő, munkavégzéssel járó szabadságvesztéssel vagy legfeljebb 300 000 jen összegig terjedő bírsággal sújtható. Továbbá a személyes információk védelméről szóló törvény 85. cikkének i. pontja értelmében a személyes információk védelmével foglalkozó bizottsággal való együttműködés hiánya vagy a bizottság által végzett vizsgálat akadályozása legfeljebb 300 000 jen összegű bírsággal sújtható. Ezek a büntetőjogi szankciók a személyes információk védelméről szóló törvény lényeges megsértéséért kiszabható büntetéseken felül alkalmazandók (lásd a (108) preambulumbekezdést).

(103)

A megfelelő védelem biztosítása és különösen a személyhez fűződő jogok érvényesítésének biztosítása érdekében az érintettet hatékony igazgatási és bírósági jogorvoslatban kell részesíteni, beleértve a kártalanítást.

(104)

Az igazgatási vagy bírósági jogorvoslatot megelőzően vagy ahelyett az érintett személy úgy dönthet, hogy magának az adatkezelőnek nyújt be panaszt személyes adatai kezelésével kapcsolatban. A személyes információk védelméről szóló törvény 35. cikke alapján a személyes információkat kezelő gazdasági szereplőknek törekedniük kell az ilyen panaszok „megfelelő és haladéktalan” kezelésére, és belső panaszkezelési rendszereket kell létrehozniuk e célkitűzés elérésére. Ezen túlmenően a személyes információk védelméről szóló törvény 61. cikkének ii) pontja értelmében a személyes információk védelmével foglalkozó bizottság felelős a „benyújtott panasszal kapcsolatosan szükséges közvetítésért és a panasszal foglalkozó gazdasági szereplő számára kínált együttműködéséért”, ami mindkét esetben magában foglalja a külföldiek által benyújtott panaszokat is. E tekintetben a japán jogalkotó szintén megbízta a központi kormányzatot azzal a feladattal, hogy tegye meg „a szükséges lépéseket” annak érdekében, hogy lehetővé tegye és elősegítse a panaszok személyes információkat kezelő gazdasági szereplők általi kezelését (9. cikk), míg az önkormányzatoknak törekedniük kell a közvetítésre ilyen esetekben (13. cikk). Ebből a szempontból az érintett személy panaszt nyújthat be az önkormányzatok által a fogyasztói biztonságról szóló törvény (61) értelmében létrehozott több mint 1 700 fogyasztói központ egyikénél, s emellett lehetősége van panaszt benyújtani a japán Nemzeti Fogyasztóvédelmi Központhoz. Ilyen panaszok a személyes információk védelméről szóló törvény megsértése tekintetében is benyújthatók. A fogyasztókról szóló alaptörvény (62) 19. cikke értelmében az önkormányzatoknak törekedniük kell a panaszokkal kapcsolatos közvetítésben való részvételre, és biztosítaniuk kell a szükséges szakértelmet a felek számára. Az ilyen vitarendezési mechanizmusok meglehetősen hatékonynak tűnnek, és 2015-ben több mint 75 000 benyújtott panasz alapján 91,2 %-os volt a vitarendezési arány.

(105)

Ha a személyes információkat kezelő gazdasági szereplő megsérti a személyes információk védelméről szóló törvény rendelkezéseit, az polgári eljárást, valamint büntetőeljárást és szankciókat vonhat maga után. Először is, ha az érintett személy úgy véli, hogy sérültek a személyes információk védelméről szóló törvény 28., 29. és 30. cikke értelmében vett jogai, kérheti a jogsértés megszüntetését azáltal, hogy kérelmezi a bíróságnál annak elrendelését, hogy a személyes információkat kezelő gazdasági szereplő tegyen eleget a kérésének az egyik ilyen rendelkezés értelmében, vagyis tegye közzé a megőrzött személyes adatokat (28. cikk), helyesbítse a helytelen megőrzött személyes adatokat (29. cikk) vagy szüntess meg a jogellenes adatkezelést vagy a harmadik fél számára történő jogellenes adatszolgáltatást (30. cikk). Az ilyen kereset benyújtható úgy, hogy nem kell a Polgári Törvénykönyv 709. cikkére (63) vagy más módon a deliktuális felelősségi jogra (64) hivatkozni. Ez különösen azt jelenti, hogy az érintett személynek nem kell bizonyítania a kárt.

(106)

Másodszor, abban az esetben, amikor az állítólagos jogsértés nem a 28., 29. és 30. cikk értelmében vett személyhez fűződő jogokat, hanem az általános adatvédelmi elveket vagy a személyes információkat kezelő gazdasági szereplő kötelezettségeit érinti, az érintett személy polgári eljárást indíthat a gazdasági szereplő ellen a japán Polgári Törvénykönyv deliktuális felelősségi jogi intézkedései, különösen a 709. cikk alapján. Míg egy 709. cikk értelmében vett ügy esetében a vétkességen (szándékosság vagy gondatlanság) túl a kárt is bizonyítani kell, a Polgári Törvénykönyv 710. cikke értelmében az ilyen kár anyagi és nem anyagi természetű is lehet. A kártérítés összegére nem vonatkozik korlátozás.

(107)

A rendelkezésre álló jogorvoslati lehetőségeket tekintve a japán Polgári Törvénykönyv 709. cikke utal a pénzügyi kártérítésre. Ugyanakkor a japán ítélkezési gyakorlat ezt a cikket úgy értelmezte, mint amely ezen túlmenően biztosítja bírósági meghagyáshoz való jogot (65). Ezért, ha az érintett keresetet nyújt be a Polgári Törvénykönyv 709. cikke értelmében, és azt állítja, hogy a jogai vagy érdekei sérültek, mert az alperes megsértette a személyes információk védelméről szóló törvény valamely rendelkezését, a kereset – a kártérítésen túl – tartalmazhatja a jogsértés megszüntetésre irányuló határozat iránti kérelmet is, mindenekelőtt a jogellenes adatkezelés megszüntetése céljából.

(108)

Harmadszor, a polgári jogi (deliktuális felelősségi jogi) jogorvoslat mellett az érintett panaszt nyújthat be az ügyészhez vagy az igazságügyi rendészeti tisztviselőhöz a személyes információk védelméről szóló törvény megsértése miatt, ami büntetőjogi szankciókhoz vezethet. A személyes információk védelméről szóló törvény VII. fejezete több büntető rendelkezést tartalmaz. A legfontosabb rendelkezés (84. cikk) ahhoz kapcsolódik, hogy a személyes információkat kezelő gazdasági szereplő nem tesz eleget a személyes információk védelmével foglalkozó bizottság határozatainak a 42. cikk (2) és (3) bekezdése értelmében. Ha a gazdasági szereplő nem tesz eleget a személyes információk védelmével foglalkozó bizottság határozatának, a bizottság elnöke (valamint bármely kormánytisztviselő) (66) az ügyész vagy igazságügyi rendészeti tisztviselő elé utalhatja az ügyet, és így büntetőjogi eljárás indul. A személyes információk védelmével foglalkozó bizottság határozatainak megsértése hat hónapig terjedő, munkavégzéssel járó szabadságvesztéssel vagy legfeljebb 300 000 jen összegű bírsággal sújtható. A személyes információk védelméről szóló törvény egyéb olyan rendelkezései közé tartozik a 83. cikk (a személyes információkat tartalmazó adatbázisok „biztosítása vagy eltulajdonítást követő használata”„[…] jogellenes nyereségszerzés céljából”) és a 88. cikk i) pontja (a harmadik fél nem tájékoztatja megfelelően a személyes információkat kezelő gazdasági szereplőt, amikor az személyes adatokat vesz át a személyes információk védelméről szóló törvény 26. cikke (1) bekezdésének megfelelően, különösen a harmadik fél saját, korábbi adatszerzésének részleteiről), amely a törvénynek az érintettek jogait és érdekeit érintő megsértése esetében szankciókról rendelkezik. A személyes információk védelméről szóló törvény ilyen megsértése esetén kirótt szankciók a munkavégzéssel járó, egy évig terjedő szabadságvesztés vagy a legfeljebb 500 000 jen összegű bírság (a 83. cikk esetében), illetve a legfeljebb 100 000 jen összegű közigazgatási bírság (a 88. cikk i) pontja esetében). Bár a büntetőjogi szankciók kilátásba helyezése már valószínűsíthetően erőteljes visszatartó hatást gyakorol majd a személyes információkat kezelő gazdasági szereplők adatkezelési műveleteit irányító üzleti menedzsmentre, valamint az adatokat kezelő egyénekre, a személyes információk védelméről szóló törvény 87. cikke egyértelművé teszi, hogy amennyiben egy vállalat képviselője, alkalmazottja vagy más munkavállalója a személyes információk védelméről szóló törvény 83–85. cikke szerinti jogsértést követett el, „az elkövetőt meg kell büntetni, és az említett vállalatra a megfelelő cikkben szereplő bírságot kell kiszabni”. Ebben az esetben a munkavállalót és a vállalatot is szankciókkal lehet súlytani a teljes maximális összeg erejéig.

(109)

Végezetül, az érintett személyek jogorvoslatot kérhetnek a személyes információk védelmével foglalkozó bizottság intézkedéseivel vagy azok meghozatalának elmulasztásával kapcsolatban is. Ebben a vonatkozásban a japán jog számos közigazgatási és bírósági jogorvoslati lehetőséget kínál.

(110)

Ha az érintett személy nem elégedett a személyes információk védelmével foglalkozó bizottság által hozott intézkedéssel, közigazgatási fellebbezést nyújthat be a közigazgatási panaszok felülvizsgálatáról szóló törvény értelmében (67). Ezzel szemben, amikor az érintett személy úgy véli, hogy a személyes információk védelmével foglalkozó bizottság elmulasztott cselekedni, az említett törvény 36-3. cikke értelmében kérheti, hogy a bizottság hozzon intézkedést vagy nyújtson igazgatási iránymutatást, ha az érintett személy úgy ítéli meg, hogy „a jogsértés orvoslásához szükséges intézkedésre vagy igazgatási iránymutatásra nem került sor”.

(111)

A bírósági jogorvoslat tekintetében – a közigazgatási peres ügyekről szóló törvény értelmében – az a személy, aki elégedetlen a személyes információk védelmével foglalkozó bizottság által hozott igazgatási intézkedéssel, mandamus pert (68) indíthat, és kérheti, hogy a bíróság rendelje el a személyes információk védelmével foglalkozó bizottság általi további intézkedéseket (69). Bizonyos esetekben a bíróság ideiglenes mandamus végzést is hozhat, hogy megakadályozza a visszafordíthatatlan kárt (70). Továbbá, ugyanezen törvény értelmében, az érintett személy kérheti a személyes információk védelmével foglalkozó bizottság határozatának megsemmisítését (71).

(112)

Végezetül, az érintett személy emellett állami kártalanítás iránti keresetet nyújthat be a személyes információk védelmével foglalkozó bizottság ellen az állami jogorvoslatról szóló törvény 1. cikkének (1) bekezdése értelmében, ha kárt szenvedett amiatt, mert a bizottság által egy gazdasági szereplő vonatkozásában hozott határozat jogellenes volt vagy a bizottság nem gyakorolta a hatáskörét.

(113)

A Bizottság emellett értékelte a korlátozásokat és biztosítékokat, beleértve a japán jog szerint elérhető felügyeleti és egyéni jogorvoslati mechanizmusokat a japán gazdasági szereplőknek továbbított személyes adatoknak a közigazgatási szervek által közérdekből, különösen a bűnüldözés és a nemzetbiztonság céljából történő összegyűjtése és későbbi felhasználása vonatkozásában („kormányzati hozzáférés”). Ebben a tekintetben a japán kormány a legmagasabb miniszteri és hivatali szinten aláírt, a jelen határozat II. mellékletében található hivatalos nyilatkozatokat, biztosítékokat és kötelezettségvállalásokat tett a Bizottság felé.

(114)

A közhatalom gyakorlásaként Japánban a kormányzati hozzáférés a jog maradéktalan tiszteletben tartása mellett történik (a jogszerűség elve). Ebben a tekintetben a japán Alkotmány olyan rendelkezéseket tartalmaz, amelyek korlátozzák a személyes adatok közigazgatási szervek általi gyűjtését, illetve biztosítják annak kereteit. Ahogy már a gazdasági szereplők általi adatkezelés tekintetében említésre került, az Alkotmány 13. cikke alapján, amely többek között védi a szabadsághoz való jogot, a japán Legfelsőbb Bíróság elismerte a magánélet szabadságához való jogot és az adatvédelmet (72). E jog egyik fontos eleme, hogy engedély nélkül nem kerülhet sor a személyes információk harmadik félnek való átadására (73). Ez azt jelenti, hogy az egyénnek joga van a személyes adatok hatékony védelméhez az adatokkal való visszaélés és (különösen) az adatokhoz való jogellenes hozzáférés vonatkozásában. További védelmet biztosít az Alkotmány 35. cikke, amely szerint minden embernek joga van biztonságban lenni az otthonában, illetve joga van az iratai és más személyes tulajdona biztonságához, így a közigazgatási szerveknek minden „házkutatás és lefoglalás” esetében „megfelelő indok” (74) alapján bírói engedélyt kell szerezniük. A 2017. március 15-i ítéletében (GPS-ügy) a Legfelsőbb Bíróság pontosította, hogy minden olyan esetben, amikor a kormány oly módon avatkozik be („lép be”) a magánszférába, amely elnyomja az egyén akaratát, tehát arra „kötelező vizsgálat” útján kerül sor, alkalmazandó a bírói engedély beszerzésének követelménye. A bíró csak bűncselekmény konkrét gyanúja esetén adhat ki ilyen engedélyt, vagyis akkor, ha van olyan írásos bizonyíték, amely alapján úgy tekinthető, hogy a vizsgálatban érintett személy bűncselekményt követett el (75). Ebből következően a japán hatóságok nem rendelkeznek joghatósággal arra, hogy személyes információkat gyűjtsenek össze kötelező eszközökkel olyan helyzetekben, amikor még nem került sor a törvény megsértésére (76), például egy bűncselekmény vagy egyéb biztonsági fenyegetés megakadályozása érdekében (ahogy az a nemzetbiztonsági nyomozások esetében történik).

(115)

A jog fenntartásának alapelve értelmében a nyomozáshoz kapcsolódó kényszerintézkedések részeként gyűjtött adatok esetében kifejezetten szükség van a jogszabályok szerinti jóváhagyásra (ahogy az például a büntetőeljárási törvénynek a bűnügyi nyomozás céljára történő kötelező információgyűjtésről szóló 197. cikke (1) bekezdésében tükröződik). Ez a követelmény az elektronikus információkhoz való hozzáférésre is vonatkozik.

(116)

Fontos, hogy az Alkotmány 21. cikkének (2) bekezdése biztosítja a kommunikáció valamennyi formájának titkosságát, amely csak közérdekből korlátozható. A távközlési törvény 4. cikke, amely szerint nem sérthető meg a távközlési adatátviteli szolgáltató által kezelt kommunikáció bizalmas jellege, jogszabályi szinten hajtja végre ezt a titoktartási követelményt. Ez úgy értelmezendő, hogy tilos a kommunikációs információk közzététele, kivéve a felhasználó hozzájárulása vagy a Büntető Törvénykönyv értelmében a büntetőjogi felelősség alóli kifejezett mentesség esetében (77).

(117)

Az Alkotmány emellett garantálja az igazságszolgáltatáshoz való jogot (32. cikk) és az állam beperlésének jogát jogorvoslat céljából abban az esetben, ha az egyén kárt szenvedett valamely állami tisztviselő jogellenes tevékenysége miatt (17. cikk).

(118)

Kifejezetten az adatvédelmi jog vonatkozásában a személyes információk védelméről szóló törvény III. fejezetének 1., 2. és 3. szakasza meghatározza a valamennyi ágazatra, köztük a közszférára vonatkozó általános alapelveket. A személyes információk védelméről szóló törvény 3. cikke kimondja, hogy valamennyi személyes információt az egyének személyiségének tiszteletben tartására vonatkozó elv szerint kell kezelni. Miután a közigazgatási szervek (78) személyes információkat gyűjtöttek („szereztek”) – többek között elektronikus nyilvántartások részeként –, azok kezelésére a közigazgatási szervek birtokában lévő személyes információk védelméről szóló törvény vonatkozik (79). Főszabály szerint (80) ez a személyes információk bűnüldözési vagy nemzetbiztonsági okokból történő kezelését is magában foglalja. A közigazgatási szervek birtokában lévő személyes információk védelméről szóló törvény többek között kimondja, hogy a közigazgatási szervek: i. csak annyiban őrizhetnek meg személyes információkat, amennyiben az a feladataik elvégzéséhez szükséges; ii. nem használhatják fel az ilyen információkat „igazságtalan” célokra, és indokolás nélkül nem adhatják át őket harmadik feleknek; iii. meg kell határozniuk a célt, és azt nem módosíthatják annál nagyobb mértékben, mint ami észszerűen az eredeti cél szempontjából lényegesnek tekinthető (célhoz kötöttség); iv) főszabály szerint nem használhatják a megőrzött személyes információkat, és nem adhatják át őket harmadik feleknek más célokra, és amennyiben szükségesnek ítélik meg, korlátozhatják a harmadik felek általi felhasználás célját vagy módját; v. törekedniük kell az információk helyességének biztosítására (adatminőség); vi. meg kell tenniük az információk megfelelő kezeléséhez és az ahhoz szükséges intézkedéseket, hogy megakadályozzák az információk kiszivárgását, elvesztését vagy károsodását (adatbiztonság); és vii. törekedniük kell az információk kezelésével kapcsolatos panaszok megfelelő és gyors kezelésére (81).

(119)

A japán jog több korlátozást tartalmaz a személyes adatokhoz való, a bűnüldözés céljából való hozzáférés és az ilyen adatok felhasználása tekintetében, valamint olyan felügyeleti és jogorvoslati mechanizmusokat foglal magában, amelyek elegendő biztosítékokat szolgáltatnak arra, hogy az említett adatok hatékony védelemben részesüljenek a jogellenes beavatkozással és a visszaélés kockázatával szemben.

(120)

A japán jogi keretben az elektronikus információk bűnüldözés céljából történő gyűjtése bírói engedély (kötelező adatgyűjtés) vagy önkéntes közzététel iránti megkeresés alapján engedélyezett.

(121)

Ahogy a (115) preambulumbekezdésben szerepel, a nyomozással kapcsolatos kényszerintézkedések részeként megvalósuló adatgyűjtés esetében kifejezetten szükség van törvényi felhatalmazásra, és csak „megfelelő indokkal” hozott bírói engedély alapján kerülhet rá sor (az Alkotmány 35. cikke). A bűncselekményekkel kapcsolatos nyomozás tekintetében ez a követelmény tükröződik a büntetőeljárási törvény rendelkezéseiben. A büntetőeljárási törvény 197. cikkének (1) bekezdése értelmében a kötelező intézkedések „csak az ebben a törvényben meghatározott külön rendelkezések esetén alkalmazandók”. Az elektronikus információk összegyűjtése tekintetében csak a büntetőeljárási törvény 218. cikke (házkutatás és lefoglalás) és a 222-2. cikke a releváns (82) jogalap, amely szerint az elektronikus kommunikációnak a felek hozzájárulása nélküli lehallgatására vonatkozó kötelező intézkedéseket más törvények, konkrétan a bűnügyi nyomozások keretében történő telefonlehallgatásról szóló törvény („telefonlehallgatásról szóló törvény”) alapján kell meghozni. Mindkét esetben érvényben van a bírói engedély beszerzésére vonatkozó követelmény.

(122)

Konkrétabban, a büntetőeljárási törvény 218. cikkének (1) bekezdése értelmében a főügyész, a főügyészhelyettes vagy az igazságügyi rendészet tisztviselői, amennyiben a bűncselekmény vonatkozásában végzett nyomozáshoz szükséges, házkutatást végezhet vagy lefoglalást hajthat végre (beleértve felvételek készítésének elrendelését) előzetes bírói engedély alapján (83). Az ilyen engedélynek többek között tartalmaznia kell a gyanúsított vagy vádlott nevét, a vád tárgyává tett bűncselekményt (84), a lefoglalandó elektromágneses felvételeket, valamint a megvizsgálandó „helyet vagy tárgyakat” (a büntetőeljárási törvény 219. cikkének (1) bekezdése).

(123)

A kommunikáció lehallgatása tekintetében a telefonlehallgatásról szóló törvény 3. cikke csak szigorú követelményekhez kötötten hagyja jóvá az ilyen intézkedéseket. A közigazgatási szerveknek mindenekelőtt előzetes bírói engedélyt kell beszerezniük, amely csak konkrét súlyos (a törvény mellékletében felsorolt) (85) bűncselekmények esetében végzett nyomozásra vonatkozhat, és akkor, ha „rendkívül nehéz más módon azonosítani az elkövetőt vagy tisztázni a helyzetet/az elkövetés részleteit” (86). A telefonlehallgatásról szóló törvény 5. cikke értelmében a bírói engedélyt korlátozott időtartamra adják ki, és a bíróság további feltételeket írhat elő. Ezen túlmenően a telefonlehallgatásról szóló törvény számos garanciáról rendelkezik, ilyen például a tanúk szükséges jelenléte (12., 20. cikk), egyes kiváltságos csoportok (pl. orvosok, ügyvédek) kommunikációjára vonatkozó lehallgatási tilalom (15. cikk), a lehallgatás megszüntetésére vonatkozó kötelezettség, ha az már nem indokolt, akár a bírói engedély érvényességi ideje alatt (18. cikk), vagy az az általános követelmény, hogy értesíteni kell az érintett személyt, és a lehallgatás megszüntetését követő harminc napon belül lehetővé kell tenni a felvételekhez való hozzáférést (a 23. és 24. cikk).

(124)

Valamennyi, bírói engedélyen alapuló kötelező intézkedés esetében csak olyan vizsgálat folytatható, amely „a célkitűzés eléréséhez szükséges”, vagyis amikor a nyomozás célja más módon nem valósítható meg (a büntetőeljárási törvény 197. cikkének (1) bekezdése). Habár a jogszabályok nem pontosítják a szükségesség meghatározására vonatkozó kritériumokat, a japán Legfelsőbb Bíróság elrendelte, hogy az engedélyt kiadó bíró átfogó értékelést végezzen, figyelembe véve különösen i. a bűncselekmény súlyosságát és elkövetésének módját; ii. a bizonyítékként lefoglalandó tárgyak értékét és fontosságát; iii. annak valószínűségét (kockázatát), hogy a bizonyíték eltussolásra kerül vagy megsemmisül; és iv) annak mértékét, hogy a lefoglalás mennyire kelt előítéletet az érintett személlyel szemben (87).

(125)

A közigazgatási szervek az illetékességükön belül önkéntes közzététel iránti megkeresés alapján is gyűjthetnek elektronikus információkat. Ez az együttműködés olyan nem kötelező formája, amikor a megkeresés teljesítése nem kényszeríthető ki (88), így a közigazgatási szerveknek nem kell bírói engedélyt szerezniük.

(126)

Amennyiben a gazdasági szereplőhöz ilyen megkeresés érkezik, és az személyes információkra vonatkozik, a gazdasági szereplőnek eleget kell tennie a személyes információk védelméről szóló törvény követelményeinek. A személyes információk védelméről szóló törvény 23. cikkének (1) bekezdése szerint a gazdasági szereplők csak bizonyos esetekben adhatnak át harmadik feleknek személyes információkat az érintett személy hozzájárulása nélkül, többek között akkor, amikor a közzététel „törvényeken és rendeleteken alapul” (89). A bűnüldözés terén az ilyen megkeresések jogalapja a büntetőeljárási törvény 197. cikkének (2) bekezdése, amely szerint „a magánszervezetek kérhetők, hogy számoljanak be a nyomozással kapcsolatban felmerülő szükséges kérdésekről”. Mivel ilyen „kérőlap” használata csak bűnügyi nyomozás során engedélyezett, ezért mindig eleve feltételezi egy már elkövetett bűncselekmény konkrét gyanúját (90). Továbbá, mivel az ilyen nyomozásokat általában a prefekturális rendőrség végzi, a rendőrségi törvény (91) 2. cikkének (2) bekezdésében meghatározott korlátozások érvényesek. E rendelkezés szerint a rendőrség tevékenységei „szigorúan” a feladataik ellátására „korlátozódnak” (vagyis a bűncselekmények megelőzésére, megakadályozására és kivizsgálására). Továbbá, feladatai végrehajtása során a rendőrségnek pártatlanul, előítéletek nélkül és tisztességesen kell eljárnia, és soha nem élhet vissza a hatalmával „oly módon, amely akadályozná a japán Alkotmány által az egyéneknek biztosított jogok és szabadságok gyakorlását” (a korábban említettek szerint idetartozik a magánélet szabadságához és az adatvédelemhez való jog) (92).

(127)

Különösen tekintettel a büntetőeljárási törvény 197. cikkének (2) bekezdésére, a Nemzeti Rendőrhivatal – a többek között minden, a bűnügyi rendőrséget érintő kérdésben hatáskörrel rendelkező szövetségi hatóságként – utasításokat adott a prefekturális rendőrségnek (93)„az írásbeli kérések megfelelő használatáról nyomozati ügyekben”. Az utasítás szerint a kéréseket űrlapon kell feltenni (a 49. számú űrlap, vagyis az úgynevezett „kérőlap”) (94), a megkeresések „konkrét nyomozásokkal” kapcsolatos információkra vonatkoznak, és a kért információknak „a nyomozáshoz szükséges” információknak kell lenniük. A nyomozás vezetőjének minden esetben „maradéktalanul meg kell vizsgálnia az egyes kérések szükségességét, tartalmát stb.”, és szükség van egy magas rangú tisztviselő belső jóváhagyására.

(128)

Ezen túlmenően – egy 1969. és egy 2008. évi ítéletben (95) – a japán Legfelsőbb Bíróság korlátozásokat határozott meg a magánélet szabadságához való joggal ütköző nem kötelező intézkedések vonatkozásában (96). A bíróság mindenekelőtt úgy ítélte meg, hogy az ilyen intézkedéseknek „észszerűnek” kell lenniük, és „az általánosan megengedett határokon” belül kell maradniuk, vagyis szükségesnek kell lenniük egy gyanúsított esetében folytatott nyomozáshoz (bizonyítékgyűjtés) és „a nyomozati cél elérése érdekében megfelelő módszereket” kell alkalmazni (97). Az ítéletek arról tanúskodnak, hogy ennek része az arányossági vizsgálat az ügy valamennyi körülményének figyelembevételével (például a magánélet szabadságához való joggal való ütközés mértéke, beleértve a magánéletre vonatkozó elvárást, a bűncselekmény súlyossága, a hasznos bizonyítékok megszerzésének valószínűsége, az ilyen bizonyíték fontossága, a lehetséges alternatív nyomozati módszerek stb.) (98).

(129)

A közhatalom gyakorlására vonatkozó ilyen korlátozásokon túl a gazdasági szereplőkkel szemben elvárás a harmadik félnek való adattovábbítás szükségességének és „észszerűségének” ellenőrzése („megerősítése”) (99). Idetartozik az a kérdés, hogy vajon a jogszabályok akadályozzák-e az együttműködésüket. Az ilyen egymásnak ellentmondó jogi kötelezettségek különösen olyan titoktartási kötelezettségekből származhatnak, mint amely például a Büntető Törvénykönyv 134. cikkében szerepel (amely az orvos, ügyvéd, pap stb. és a beteg/ügyfél/hívő közötti kapcsolatra vonatkozik. Emellett „a távközlésben részt vevő bármely személy a munkája során megőrzi mások titkait, amelyek a távközlési adatkezelési szolgáltató által kezelt kommunikáció összefüggésében jutottak tudomására” (a távközlési törvény 4. cikkének (2) bekezdése). Ezt a kötelezettséget támogatja a távközlési törvény 179. cikkében előírt szankció, amely cikk szerint az, aki a távközlési adatkezelési szolgáltató által kezelt kommunikáció során megsértette a titoktartást, bűncselekményt követett el, és munkavégzéssel járó, két évig terjedő szabadságvesztéssel vagy legfeljebb 1 000 000 jen összegű bírsággal sújtható (100). Ez nem abszolút követelmény, illetve mindenekelőtt lehetővé teszi a kommunikációs titoktartást megsértő intézkedéseket, amelyek a Büntető Törvénykönyv 35. cikke értelmében „igazolható cselekményeknek” minősülnek, de ez a kivétel nem vonatkozik a közigazgatási szervek elektronikus információk átadására vonatkozó, a büntetőeljárási törvény 197. cikkének (2) bekezdése szerinti nem kötelező megkeresésére adott válaszra (101).

(130)

A japán közigazgatási szervek általi összegyűjtést követően a személyes információk a közigazgatási szervek birtokában lévő személyes információk védelméről szóló törvény hatálya alá tartoznak. Ez a törvény szabályozza „a megőrzött személyes információk” kezelését (feldolgozását), és rendelkezik több korlátozásról és biztosítékról (lásd a (118) preambulumbekezdést) (102). Továbbá, az a tény, hogy egy közigazgatási szerv „csak akkor” őrizhet meg személyes információkat, „amikor szükség van a megőrzésre a törvények és rendeletek által meghatározott joghatósága alá tartozó feladatok elvégzéséhez” (a közigazgatási szervek birtokában lévő személyes információk védelméről szóló törvény 3. cikkének (1) bekezdése), szintén korlátozza – legalább közvetve – a kezdeti adatgyűjtést.

(131)

Japánban az elektronikus információk összegyűjtése a bűnüldözés terén elsősorban (103) a prefekturális rendőrség (104) feladata, és a prefekturális rendőrség ebben a tekintetben többszintű felügyelet alatt áll.

(132)

Először is, minden olyan esetben, amikor az elektronikus információ gyűjtésére kötelező eszközökkel (házkutatás és lefoglalás) kerül sor, a rendőrségnek előzetes bírói engedélyt kell beszereznie (lásd a (121) preambulumbekezdést). Ezért egy bíró a „megfelelő indokra” vonatkozó szigorú előírás alapján előzetesen ellenőrzi az információgyűjtést ezekben az esetekben.

(133)

Az önkéntes információátadás iránti megkeresések esetében nem kerül sor előzetes bírói ellenőrzésre, de azok a gazdasági szereplők, akik ilyen megkeresések címzettjei, kifogást emelhetnek ellenük, és nem kell negatív következményekre számítaniuk (és figyelembe kell venniük az információátadás hatását a magánéletre). Továbbá, a büntetőeljárási törvény 192. cikkének (1) bekezdése szerint a rendőröknek mindig együtt kell működniük a főügyésszel (és a prefekturális közbiztonsági bizottsággal), és koordinálniuk kell a tevékenységüket (105). A főügyész szükséges általános utasításokat adhat, amelyek meghatározzák a tisztességes nyomozásra vonatkozó előírásokat, és/vagy konkrét határozatokat hozhat egy-egy nyomozással kapcsolatban (a büntetőeljárási törvény 193. cikke). Az ilyen utasítások és/vagy határozatok figyelmen kívül hagyása esetén az ügyészség vádat emelhet fegyelemsértésért (a büntetőeljárási törvény 194. cikke). A prefekturális rendőrség ezért a főügyész felügyelete alatt működik.

(134)

Másodszor, az Alkotmány 62. cikke szerint a japán parlament mindkét háza folytathat vizsgálatot a kormánnyal kapcsolatban, többek között a rendőrségi információgyűjtés jogszerűségét illetően. E célból kérheti a tanúk jelenlétét és vallomását és/vagy felvételek készítését. A kihallgatási hatáskört az országgyűlési törvény, különösen annak XII. fejezete részletezi. Különösen az országgyűlési törvény 104. cikke szerint a kabinetnek, az állami szerveknek és a kormányzat egyéb elemeinek „eleget kell tenniük az országgyűlés valamely háza vagy bizottsága megkereséseinek a vizsgálat szempontjából szükséges jelentések és felvételek elkészítésére vonatkozóan”. Az ilyen megkeresés csak akkor utasítható el, ha a kormány hihető, az országgyűlés által elfogadható indokot ad, illetve olyan hivatalos nyilatkozat kiadása esetén, amely szerint a jelentések vagy felvételek elkészítése „súlyosan káros lenne a nemzeti érdekek szempontjából” (106). Emellett az országgyűlés tagjai írásbeli kérdéseket tehetnek fel a kabinetnek (az országgyűlési törvény 74. és 75. cikke), és korábban az ilyen „írásbeli kérdések” a személyes információk közigazgatási kezelésére is kitértek (107). A beszámolási kötelezettségek támogatják az országgyűlés szerepét a végrehajtás felügyeletében, például a telefonlehallgatási törvény 29. cikke értelmében.

(135)

Harmadszor, szintén a végrehajtási ág részeként, a prefekturális rendőrség független felügyelet tárgyát képezi. Idetartoznak különösen a prefekturális közbiztonsági bizottságok, amelyek prefekturális szinten jöttek létre a rendőrség demokratikus igazgatásának és politikai semlegességének biztosítása érdekében (108). Ezek a bizottságok a prefektúrák kormányzói által kijelölt, a prefekturális közgyűlés által jóváhagyott tagokból állnak (akik olyan polgárok közül kerülnek ki, akik a megelőző öt évben nem töltöttek be köztisztviselői pozíciót a rendőrségnél), és biztos a hivatali idejük (csak megfelelő indokkal bocsáthatók el) (109). A kapott információk szerint nem utasíthatók, így teljes mértékben függetlennek tekinthetők (110). Ami a prefekturális közbiztonsági bizottságok feladat- és jogkörét illeti, a rendőrségi törvény 2. cikkével és 36. cikkének (2) bekezdésével összefüggésben értelmezett 38. cikkének (3) bekezdése értelmében ezek felelősek „[az] egyének jogainak és szabadságának védelméért”. E célból jogosultak a prefekturális rendőrség valamennyi nyomozati tevékenységének „felügyeletére” (111), a személyes adatok gyűjtését is beleértve. Nevezetesen a bizottságok „szükség esetén részletes utasításokat adhatnak a prefekturális rendőrségnek, illetve utasításokat adhatnak olyan konkrét nyomozásokban, amelyek a rendőrök hivatali visszaélésével foglalkoznak” (112). Amikor a prefekturális rendőrség vezetője (113) ilyen utasítást kap vagy maga szerez tudomást egy lehetséges hivatali visszaélésről (beleértve a jog megsértését vagy a feladatok egyéb módon történő elhanyagolását), haladéktalanul kivizsgálja az ügyet, és jelenti a vizsgálat eredményeit a prefekturális közbiztonsági bizottságnak (a rendőrségi törvény 56. cikkének (3) bekezdése). Amennyiben az utóbbi szükségesnek ítéli, kinevezheti továbbá az egyik tagját a végrehajtás állapotának felülvizsgálatára. Az eljárás addig folytatódik, amíg a prefekturális közbiztonsági bizottság meggyőződik az ügy megfelelő kezeléséről.

(136)

Emellett a közigazgatási szervek birtokában lévő személyes információk védelméről szóló törvény megfelelő alkalmazása tekintetében az illetékes miniszter vagy szerv vezetője (pl.: a Nemzeti Rendőrhivatal főbiztosa) végrehajtó hatalommal bír a Belügyi- és Kommunikációs Minisztérium felügyelete alatt. A közigazgatási szervek birtokában lévő személyes információk védelméről szóló törvény 49. cikke szerint a Belügyi- és Kommunikációs Minisztérium „jelentéseket gyűjthet e törvény érvényesítésének állapotáról” a közigazgatási szervek vezetőitől (a miniszterektől). A felügyeleti funkció ellátását segítik elő azok az információk, amelyek a Belügyi- és Kommunikációs Minisztérium alá tartozó 51 olyan „átfogó információs központból” származnak (minden japán prefektúrában egy-egy ilyen központ található), amely évente több ezer, magánszemélyek által benyújtott kérelemmel foglalkozik (114) (lehetséges törvénysértésekről számolhatnak be). Abban az esetben, ha a törvénynek való megfelelés érdekében szükségesnek ítéli, a Belügyi- és Kommunikációs Minisztérium magyarázatokat és anyagokat kérhet, illetve véleményt adhat ki a személyes információk érintett közigazgatási szerv általi kezelésével kapcsolatban (a közigazgatási szervek birtokában lévő személyes információk védelméről szóló törvény 50. és 51. cikke).

(137)

A hivatalból történő felügyelet mellett a magánszemélyeknek több lehetőségük is van egyéni jogorvoslatra mind a független hatóságoknál (például a prefekturális közbiztonsági bizottságoknál vagy a személyes információk védelmével foglalkozó bizottságnál), mind a japán bíróságokon.

(138)

Először is, a közigazgatási szervek által gyűjtött személyes információk tekintetében az utóbbi köteles „törekedni a panaszok megfelelő és gyors kezelésére” a személyes információk későbbi kezelését illetően (a közigazgatási szervek birtokában lévő személyes információk védelméről szóló törvény 48. cikke). A közigazgatási szervek birtokában lévő személyes információk védelméről szóló törvénynek a személyhez fűződő jogokról szóló IV. fejezete nem alkalmazandó „a perekhez és lefoglalt tárgyakhoz kapcsolódó dokumentumokban” szereplő személyes információk esetében (a büntetőeljárási törvény 53-2. cikkének (2) bekezdése) (amely a bűnügyi nyomozások során gyűjtött személyes információkra vonatkozik), de a magánszemélyek panaszt emelhetnek az általános adatvédelmi elvre hivatkozva, például azon kötelezettség vonatkozásában, hogy csak akkor őrizhetők meg személyes információk, „ha a megőrzés szükséges a bűnüldözési feladatok ellátásához” (a közigazgatási szervek birtokában lévő személyes információk védelméről szóló törvény 3. cikkének (1) bekezdése).

(139)

Emellett a rendőrségi törvény 79. cikke biztosítja, hogy azok a magánszemélyek, akiknek aggályai vannak a rendőrség „feladatainak elvégzése” tekintetében, panaszt tehessenek a(z) (illetékes) független prefekturális közbiztonsági bizottságnál. A bizottság „hűen” kezeli ezeket a panaszokat a törvényeknek és a helyi rendeleteknek megfelelően, és írásban értesítenie kell a panaszost az eredményekről. A „személyzet hivatali visszaélése” tekintetében a prefekturális rendőrség felügyeletére és „irányítására” vonatkozó hatásköre alapján (a rendőrségi törvény 38. cikkének (3) bekezdése és 43-2. cikkének (1) bekezdése) a bizottság kérheti, hogy a prefekturális rendőrség vizsgálja meg a tényeket, a vizsgálat eredménye alapján hozzon megfelelő intézkedéseket, és számoljon be az eredményekről. Amennyiben úgy ítéli meg, hogy a rendőrségi vizsgálat nem volt megfelelő, a bizottság utasításokat is adhat a panasz kezelésére vonatkozóan.

(140)

A panaszkezelés elősegítése érdekében a Nemzeti Rendőrhivatal „közleményt” adott ki a rendőrség és a prefekturális közbiztonsági bizottságok részére a rendőri feladatok ellátásával kapcsolatos panaszok megfelelő kezeléséről. Ebben a dokumentumban a Nemzeti Rendőrhivatal előírásokat fogalmaz meg a rendőrségi törvény 79. cikkének értelmezésére és végrehajtására vonatkozóan. Többek között előírja, hogy a prefekturális rendőrség hozzon létre „panaszkezelési rendszert”, és valamennyi panaszt „haladéktalanul” kezelje és jelentse be az illetékes prefekturális közbiztonsági bizottságnál. A közlemény úgy határozza meg a panaszt, mint a „jogellenes vagy nem megfelelő magatartás következtében bekövetkezett bármely hátrány” (115) vagy „a szolgálatteljesítés során a szükséges intézkedés rendőrtiszt általi meghozatalának elmulasztása” (116) révén okozott konkrét hátrány, valamint „a rendőrtiszt nem megfelelő szolgálatteljesítési módjával kapcsolatos sérelem/elégedetlenség” orvoslása iránti igényt. Tágan határozták meg a panasz tárgyi hatályát, amely így kiterjed a jogellenes adatgyűjtéssel kapcsolatos valamennyi igényre, továbbá a panaszosnak nem kell bizonyítania, hogy a rendőrtiszt intézkedése következtében kárt szenvedett. Fontos, hogy a közlemény előírása szerint a külföldieknek (többek között) segítséget kell nyújtani a panasz megfogalmazásához. Panaszt követően a prefekturális közbiztonsági bizottságok kötelesek annak biztosítására, hogy a prefekturális rendőrség vizsgálja meg a tényeket, hajtson végre intézkedéseket „a vizsgálat eredménye alapján”, és jelentse az eredményeket. Abban az esetben, ha a bizottság elégtelennek találja a vizsgálatot, utasítást kell adnia a panasz kezelésére, és a prefekturális rendőrség köteles követni ezt az utasítást. A beérkezett jelentések és a meghozott intézkedések alapján a bizottság értesíti a magánszemélyeket, többek között a panaszkezelés érdekében hozott intézkedésekről. A Nemzeti Rendőrhivatal közleménye kiemeli, hogy a panaszokat „őszintén” kell kezelni, és „a társadalmi normák és a józan ész alapján megfelelőnek tartott […] határidőn belül” értesítést kell küldeni az eredményről.

(141)

Másodszor, mivel a jogorvoslatot természetesen külföldön, egy idegen országban és idegen nyelven kell keresni, annak érdekében, hogy elősegítsék a jogorvoslatot az olyan uniós személyek számára, akik személyes adatai japán gazdasági szereplőkhöz kerülnek továbbításra, majd a közigazgatási szervek általi hozzáférésre, a japán kormány a hatáskörénél fogva létrehozott egy, a személyes információk védelmével foglalkozó bizottság igazgatása és felügyelete alatt álló külön mechanizmust az ezen a téren benyújtott panaszok kezelésére és megoldására. E mechanizmus alapja a személyes információk védelméről szóló törvény értelmében a japán közigazgatási szervekre rótt együttműködési kötelezettség és a személyes információk védelmével foglalkozó bizottság különleges szerepe a harmadik országokból származó, a személyes információk védelméről szóló törvény 6. cikke és a(z) (japán kormány kabinethatározatával létrehozott) alappolitika értelmében történő nemzetközi adattovábbítás tekintetében. E mechanizmus részleteit a japán kormánytól érkezett hivatalos nyilatkozatok, biztosítékok és kötelezettségvállalások tartalmazzák, amelyek e határozat II. mellékletét képezik. A mechanizmusra nem vonatkozik semmiféle hatályos követelmény, és az bármely személy előtt nyitott, függetlenül attól, hogy bűncselekmény gyanúsítottja vagy vádlottja-e.

(142)

E mechanizmus keretében azok a magánszemélyek, akik azt gyanítják, hogy az Európai Unióból továbbított adataikat a japán közigazgatási szervek (beleértve a bűnüldözésért felelős szerveket) a vonatkozó szabályok megsértésével gyűjtötték össze vagy használták fel, panaszt nyújthatnak be a személyes információk védelmével foglalkozó bizottságnak (egyénileg vagy az általános adatvédelmi rendelet 51. cikke szerinti adatvédelmi hatóságukon keresztül). A személyes információk védelmével foglalkozó bizottság köteles kezelni a panaszt, és első lépésként tájékoztatnia kell róla az illetékes közigazgatási szerveket, beleértve a vonatkozó felügyeleti szerveket. Ezeknek a szerveknek együtt kell működniük a személyes információk védelmével foglalkozó bizottsággal „többek között a szükséges információk és kapcsolódó anyagok biztosításával, hogy a személyes információk védelmével foglalkozó bizottság értékelhesse, hogy a személyes információk összegyűjtése vagy későbbi felhasználása az alkalmazandó szabályoknak megfelelően történt-e” (117). Ez a személyes információk védelméről szóló törvény 80. cikkéből származó követelmény (amely előírja a japán hatóságoknak, hogy működjenek együtt a személyes információk védelmével foglalkozó bizottsággal) általánosan alkalmazandó, és így kiterjed az ilyen hatóságok által hozott nyomozati intézkedések felülvizsgálatára. Ezenfelül az említett hatóságok az illetékes minisztériumok és hivatalok vezetőinek írásbeli biztosítékai útján kötelezettséget vállaltak az ilyen együttműködésre, amint az a II. mellékletben is tükröződik.

(143)

Ha az értékelés szerint sor került az alkalmazandó szabályok megsértésére, „az érintett közigazgatási szervek és a személyes információk védelmével foglalkozó bizottság együttműködése magában foglalja a jogorvoslati kötelezettséget”, amely a személyes információk jogellenes gyűjtése esetében az ilyen adatok törlésére is vonatkozik. Fontos, hogy e kötelezettség teljesítése a személyes információk védelmével foglalkozó bizottság felügyelete alatt történik, és a bizottság „az értékelés lezárását megelőzően megerősíti, hogy maradéktalanul sor került a jogorvoslatra”.

(144)

Az értékelés lezárultával a személyes információk védelmével foglalkozó bizottságnak – észszerű határidőn belül – értesítenie kell az érintett személyt az értékelés eredményéről, beleértve adott esetben a korrekciós intézkedéseket. Ugyanakkor a személyes információk védelmével foglalkozó bizottságnak arról a lehetőségről is tájékoztatnia kell az érintett személyt, hogy kérheti az eredmény megerősítését az illetékes közigazgatási szervtől, valamint annak a hatóságnak a kilétéről, amelyhez be kell nyújtania az ilyen megerősítés iránti kérelmet. Az ilyen megerősítés lehetősége, beleértve az illetékes hatóság határozatát alátámasztó okokat, az érintett személy segítségére lehet a további lépések meghozatalában, beleértve ha a jogorvoslatot igényel. Az értékelés eredményével kapcsolatos részletes információk elérhetősége korlátozható, ha észszerű okból feltételezhető, hogy az ilyen információk közzététele valószínűleg kockázatot jelent a folyamatban lévő nyomozás szempontjából.

(145)

Harmadszor, az a személy, aki nem ért egyet a személyes adatait érintő, bíró által hozott lefoglalási határozattal (engedéllyel) (118) vagy az ilyen határozatot végrehajtó rendőrség vagy ügyészség intézkedéseivel, kérelmet nyújthat be az ilyen határozat vagy intézkedések visszavonása vagy módosítása iránt (a büntetőeljárási törvény 429. cikkének (1) bekezdése, valamint 430. cikkének (1) és (2) bekezdése, a lehallgatásról szóló törvény 26. cikke) (119). Amennyiben a felülvizsgálatot végző bíróság szerint az engedély vagy annak végrehajtása („lefoglalási eljárás”) jogellenes, helyt ad a kérelemnek, és elrendeli a lefoglalt tárgyak visszaszolgáltatását (120).

(146)

Negyedszer, a bírósági ellenőrzés közvetettebb formájaként az a személy, aki úgy véli, hogy a személyes információinak egy bűnügyi nyomozás során történő összegyűjtése jogellenes, a bűnügyi tárgyalásán hivatkozhat erre. Ha a bíróság egyetért, a bizonyíték nem lesz elfogadható, és kizárásra kerül.

(147)

Végezetül, az állami jogorvoslatról szóló törvény 1. cikkének (1) bekezdése értelmében a bíróság kártérítést ítélhet meg, ha az állami közhatalmat gyakorló köztisztviselő a feladatai ellátása során jogellenesen és saját hibájából (szándékosan vagy gondatlanságból) kárt okozott az érintett személynek. Az állami jogorvoslatról szóló törvény 4. cikkének megfelelően az állam kártérítési felelőssége a Polgári Törvénykönyv rendelkezésein alapul. Ebben a vonatkozásban a Polgári Törvénykönyv 710. cikke kimondja, hogy a felelősség nemcsak a vagyoni károkra vonatkozik, így kiterjed a(z) (például „mentális zavar” formájában elszenvedett) erkölcsi kárra is. Ide tartoznak azok az esetek is, amikor a jogellenes megfigyelés és/vagy a személyes információk gyűjtése (például valamilyen engedély jogellenes végrehajtása) beavatkozást jelentett az érintett személy magánéletébe (121).

(148)

A pénzügyi kártalanítás mellett az érintett személyek bizonyos feltételek mellett a jogsértés megszüntetésére vonatkozó határozatot is szerezhetnek (például a közigazgatási szervek által összegyűjtött személyes adatok törlésére vonatkozóan) az Alkotmány 13. cikke értelmében a magánélet szabadságához való joguk alapján (122).

(149)

Minden említett jogorvoslati megoldás vonatkozásában a japán kormány által kidolgozott vitarendezési mechanizmus előírja, hogy az eljárás eredményével továbbra is elégedetlen személy a személyes információk védelmével foglalkozó bizottsághoz fordulhat, „amely tájékoztatja az egyént a japán törvények és rendeletek szerinti jogorvoslat különböző lehetőségeiről és részletes eljárásairól”. Továbbá, a személyes információk védelmével foglalkozó bizottság „támogatást biztosít az érintett személynek, többek között tanácsadást és segítséget nyújt a vonatkozó közigazgatási vagy bírósági szerv felé benyújtott további keresetekkel kapcsolatban”.

(150)

Ez magában foglalja a büntetőeljárási törvény szerint eljárási jogok gyakorlását. Például, „ha az értékelés fényt derít arra, hogy az érintett személy egy bűnügy gyanúsítottja, a személyes információk védelmével foglalkozó bizottság tájékoztatja erről az egyént” (123), valamint tájékoztatja arról a büntetőeljárási törvény 259. cikke szerinti lehetőségről, hogy ügyészségi értesítést kérhet arról, hogy az ügyészség úgy határozott, nem indít büntetőeljárást. Emellett, ha az értékelés során kiderül, hogy az érintett személy személyes információit érintő ügyet nyitottak, majd zártak le, a személyes információk védelmével foglalkozó bizottság tájékoztatja az érintett személyt az ügyiratok megtekinthetőségéről a büntetőeljárási törvény 53. cikke (és a bűnügyeket lezáró aktákról szóló törvény 4. cikke) értelmében. Az ügyiratokhoz való hozzáférés fontos, mert segít abban, hogy az érintett személy jobban megértse az ellene folytatott vizsgálatot és így felkészüljön a bírósági keresetre (például kártérítési keresetre), amennyiben úgy véli, hogy az adatai összegyűjtésére vagy felhasználására jogellenesen került sor.

(151)

A japán hatóságok szerint nincs olyan japán törvény, amely a bűnügyi nyomozásokon kívül lehetővé tenné a kötelező erővel bíró tájékoztatási vagy „adminisztratív telefonlehallgatási” megkereséseket. Ezért nemzetbiztonsági okokból információ csak olyan információforrásból szerezhető, amely bárki számára szabadon vagy önkéntes információátadás révén hozzáférhető. Az önkéntes (elektronikus információk közzététele formájában történő) együttműködés iránti megkeresést kapó gazdasági szereplők esetében nem áll fenn jogi kötelezettség az ilyen információk átadására (124).

(152)

Emellett – a kapott tájékoztatás szerint – mindössze az alábbi négy kormányzati szerv rendelkezik felhatalmazással arra, hogy nemzetbiztonsági okokból a japán gazdasági szereplők birtokában lévő elektronikus információkat gyűjtsön: i. a kabinet hírszerzési és kutatási hivatala; ii. a Honvédelmi Minisztérium; iii. a rendőrség (a Nemzeti Rendőrhivatal (125) és a prefekturális rendőrség egyaránt); és iv) a Közbiztonsági Hírszerzési Ügynökség. Ugyanakkor a kabinet hírszerzési és kutatási hivatala soha nem gyűjt információkat közvetlenül a gazdasági szereplőktől, ideértve a kommunikáció lehallgatását. Ha a kabinet számára benyújtandó elemzéshez információt kap más kormányzati hatóságoktól, e hatóságoknak is be kell tartaniuk a törvényt, beleértve az e határozatban elemzett korlátozásokat és biztosítékokat. Az adattovábbítás összefüggésében ezért nem relevánsak a tevékenységei.

(153)

A kapott információk alapján a Honvédelmi Minisztérium a Honvédelmi Minisztérium létrehozásáról szóló törvény alapján (elektronikus) információkat gyűjt. E törvény 3. cikke szerint a Honvédelmi Minisztérium feladata a haderő irányítása és működtetése, illetve „az ezzel kapcsolatos feladatok ellátása a nemzet békéjének és függetlenségének, valamint a nemzet biztonságának biztosítása érdekében”. A 4. cikk (4) bekezdése értelmében a Honvédelmi Minisztérium joghatósággal rendelkezik a „védelem és őrzés” terén, az önvédelmi erők tevékenységei felett, valamint a haderő alkalmazása felett, beleértve az ilyen feladatai ellátásához szükséges információk összegyűjtését. Csak önkéntes együttműködés révén gyűjthet (elektronikus) információkat a gazdasági szereplőktől.

(154)

A prefekturális rendőrség feladatai közé tartozik „a közbiztonság és közrend fenntartása” (a rendőrségi törvény 35. cikkének (2) bekezdése a 2. cikk (1) bekezdésével összefüggésben). Joghatóságán belül a rendőrség gyűjthet ugyan információkat, de kizárólag önkéntes alapon, jogi kötőerő nélkül. Továbbá, a rendőrség tevékenységeinek „szigorúan” a feladatai ellátásához szükséges mértékre kell „korlátozódniuk”. Ezenfelül „pártatlanul, pártérdektől függetlenül, előítéletektől mentesen és tisztességesen” kell eljárnia, és soha nem élhet vissza a hatalmával „úgy, hogy azzal megsértse az egyéneknek a japán Alkotmányban biztosított jogait és szabadságait” (a rendőrségi törvény 2. cikke).

(155)

Végezetül, a Közbiztonsági Hírszerzési Ügynökség a felforgató tevékenységek megelőzéséről szóló törvény és a megkülönböztetés nélküli tömeggyilkosságot elkövető szervezetek ellenőrzéséről szóló törvény értelmében folytathat nyomozást, amennyiben az ilyen nyomozás szükséges a bizonyos szervezetek elleni ellenőrzési intézkedések elfogadásának előkészítéséhez (126). Mindkét törvény értelmében a Közbiztonsági Hírszerzési Ügynökség főigazgatójának megkeresésére a közbiztonsági vizsgálatokat folytató bizottság bizonyos „rendelkezéseket” hozhat (megfigyelés/tilalom a megkülönböztetés nélküli tömeggyilkosságot elkövető szervezetek ellenőrzéséről szóló törvény (127) értelmében, megszűnés/tilalom a felforgató tevékenységek megelőzéséről szóló törvény (128) értelmében), és a Közbiztonsági Hírszerzési Ügynökség/rendőrség nyomozást folytathat ebben a tekintetben (129). A kapott információk alapján az ilyen nyomozásra mindig önkéntes alapon kerül sor, ami azt jelenti, hogy a Közbiztonsági Hírszerzési Ügynökség nem kényszerítheti a személyes információ birtokosát az ilyen információ átadására (130). Az ellenőrzést és nyomozást minden alkalommal csak az ellenőrzési cél eléréséhez szükséges minimális mértékben kell lefolytatni, és az ellenőrzések és nyomozások semmilyen körülmények között nem korlátozhatják „észszerűtlenül” a japán Alkotmány által biztosított jogokat és szabadságokat (a felforgató tevékenységek megelőzéséről szóló törvény/a megkülönböztetés nélküli tömeggyilkosságot elkövető szervezetek ellenőrzéséről szóló törvény 3. cikkének (1) bekezdése). Továbbá, a felforgató tevékenységek megelőzéséről szóló törvény/a megkülönböztetés nélküli tömeggyilkosságot elkövető szervezetek ellenőrzéséről szóló törvény 3. cikkének (2) bekezdése szerint a Közbiztonsági Hírszerzési Ügynökség semmilyen körülmények között nem élhet vissza az ilyen ellenőrzésekkel vagy az ilyen ellenőrzések előkészítése érdekében folytatott nyomozásokkal. Ha a Közbiztonsági Hírszerzési Ügynökség munkatársa visszaélt hatalmával a vonatkozó törvény értelmében, és olyasmire kényszerített egy személyt, amit az a személy nem köteles megtenni, vagy akadályozta a személy jogainak gyakorlását, bűnügyi szankciókkal sújtható a felforgató tevékenységek megelőzéséről szóló törvény 45. cikke vagy a megkülönböztetés nélküli tömeggyilkosságot elkövető szervezetek ellenőrzéséről szóló törvény 42. cikke alapján. Végezetül, mindkét törvény egyértelműen előírja, hogy rendelkezései, beleértve az azokban biztosított hatáskört, „semmilyen körülmények között nem képezik bővített értelmezés tárgyát” (a felforgató tevékenységek megelőzéséről szóló törvény/a megkülönböztetés nélküli tömeggyilkosságot elkövető szervezetek ellenőrzéséről szóló törvény 2. cikke).

(156)

Az ebben a szakaszban ismertetett, nemzetbiztonsági okokból történő kormányzati hozzáférést illetően minden esetben a japán Legfelsőbb Bíróság által az önkéntes vizsgálatok tekintetében meghatározott korlátozások érvényesek, ami azt jelenti, hogy az (elektronikus) információgyűjtésnek meg kell felelnie a szükségesség és arányosság elvének („megfelelő módszer”) (131). Amint azt a japán hatóságok kifejezetten megerősítették: „információgyűjtés és -kezelés csak az illetékes hatóság konkrét feladatainak ellátásához szükséges mértékben, valamint konkrét fenyegetések alapján történik”. Tehát „ez kizárja a személyes információk nemzetbiztonsági okokból történő tömeges és válogatás nélküli gyűjtését vagy az azokhoz történő ilyen hozzáférést” (132).

(157)

Emellett a közigazgatási szervek által nemzetbiztonsági célokból megőrzött személyes információk az összegyűjtésüket követően a közigazgatási szervek birtokában lévő személyes információk védelméről szóló törvény hatálya alá tartoznak, és ezáltal az e törvény által biztosított védelmet élvezik az ilyen információk későbbi tárolása, felhasználása és közzététele tekintetében (lásd a (118) preambulumbekezdést).

(158)

A személyes információk nemzetbiztonsági okokból való gyűjtése a három kormányzati ág számos felügyeleti szintjének hatálya alá tartozik.

(159)

Először is, a japán országgyűlés a parlamenti vizsgálati hatásköre alapján a szakbizottságain keresztül megvizsgálhatja a nyomozások jogszerűségét (az Alkotmány 62. cikke, az országgyűlésről szóló törvény 104. cikke; lásd a (134) preambulumbekezdést). Ezt a felügyeleti funkciót a néhány fent említett jogalapnak megfelelően végzett tevékenységekkel kapcsolatos konkrét jelentéstételi kötelezettségek támogatta (133).

(160)

Másodszor, számos felügyeleti mechanizmus létezik a végrehajtási ágban.

(161)

A Honvédelmi Minisztérium felügyeletét a jogi megfeleléssel foglalkozó főfelügyelő hivatala (134) gyakorolja, amely a Honvédelmi Minisztériumot létrehozó törvény 29. cikke alapján jött létre a Honvédelmi Minisztériumon belüli hivatalként a honvédelmi miniszter felügyelete alatt (a honvédelmi miniszternek jelent), de a Honvédelmi Minisztérium többi működési osztályától függetlenül. A jogi megfeleléssel foglalkozó főfelügyelő hivatalának feladata, hogy biztosítsa a törvényeknek és rendeleteknek való megfelelést, illetve a feladatoknak a Honvédelmi Minisztérium tisztviselői általi megfelelő végrehajtását. Hatáskörébe tartozik az úgynevezett „védelmi vizsgálatok” lefolytatása rendszeres időközönként („rendszeres védelmi vizsgálat”) és egyéni esetekben („különleges védelmi vizsgálat”) egyaránt, amely korábban a személyes információk megfelelő kezelésére is kiterjedt (135). Az ilyen vizsgálatok összefüggésében a jogi megfeleléssel foglalkozó főfelügyelő hivatala felkereshet helyszíneket (irodákat), és kérheti dokumentumok vagy információk benyújtását, beleértve a honvédelmi miniszterhelyettes helyettese általi magyarázatokat is. A vizsgálatot a Honvédelmi Minisztériumnak küldött jelentés zárja le, amely tartalmazza a megállapításokat és a fejlesztési intézkedéseket (amelyek végrehajtása további vizsgálatokkal ismét ellenőrizhető). A jelentés a honvédelmi miniszter utasításainak alapját képezi a helyzet kezeléséhez szükséges intézkedések végrehajtása érdekében; a miniszterhelyettes helyettesének feladata az ilyen intézkedések végrehajtása, majd utánkövetési jelentést kell készítenie.

(162)

A prefekturális rendőrség vonatkozásában a független prefekturális közbiztonsági bizottságok látják el a felügyeletet, ahogy azt a (135) preambulumbekezdés említette a bűnüldözés vonatkozásában.

(163)

Végezetül, a korábban említetteknek megfelelően a Közbiztonsági Hírszerzési Ügynökség csak olyan mértékben folytathat nyomozásokat, amely az a felforgató tevékenységek megelőzéséről szóló törvény/a megkülönböztetés nélküli tömeggyilkosságot elkövető szervezetek ellenőrzéséről szóló törvény értelmében a tiltó, megszüntetési vagy megfigyelési rendelkezések elfogadásához szükséges, és a közbiztonsági vizsgálatokkal foglalkozó független (136) bizottság előzetes felügyeletet gyakorol az ilyen rendelkezések vonatkozásában. Emellett a rendszeres/időszakos vizsgálatokat (amelyek átfogóan megvizsgálják a Közbiztonsági Hírszerzési Ügynökség tevékenységét) (137) és az egyes osztályok/hivatalok tevékenységével kapcsolatos különleges belső vizsgálatokat (138) kifejezetten az erre a célra kijelölt felügyelők folytatják le, és ennek eredményeképpen utasíthatják az érintett osztályok stb. vezetőit korrekciós vagy javító intézkedések meghozatalára.

(164)

Ezek a felügyeleti mechanizmusok, amelyeket tovább erősít az a lehetőség, hogy az érintett személyek kiválthatják a személyes információk védelmével foglalkozó bizottság mint független felügyeleti hatóság beavatkozását (lásd lent a 168. szakaszt), megfelelő biztosítékot nyújtanak egyrészt annak kockázata ellen, hogy a japán hatóságok visszaéljenek hatalmukkal a nemzetbiztonság terén, másrészt az elektronikus információk jogellenes gyűjtése vonatkozásában.

(165)

Egyéni jogorvoslat esetében a közigazgatási szervek által gyűjtött és így „megőrzött” személyes információk tekintetében a közigazgatási szervek kötelesek „törekedni” a személyes információk kezelésére vonatkozó „panaszok megfelelő és gyors kezelésére” (a közigazgatási szervek birtokában lévő személyes információk védelméről szóló törvény 48. cikke) ilyen eljárások tekintetében.

(166)

Továbbá – a bűnügyi nyomozásoktól eltérően –, az érintett személyeknek (beleértve a külföldön élő külföldi állampolgárokat) a közigazgatási szervek birtokában lévő személyes információk védelméről szóló törvény értelmében főszabály szerint joguk van a közzétételhez (139), a helyesbítéshez (beleértve a törlést) és a használat/rendelkezésre bocsátás felfüggesztéséhez. A közigazgatási szerv vezetője elutasíthatja a közzétételt olyan információkat illetően, „amelyek esetében észszerűen […] feltételezhető, hogy a közzététel valószínűleg sérti a nemzetbiztonságot” (a közigazgatási szervek birtokában lévő személyes információk védelméről szóló törvény 14. cikkének iv) pontja), és ezt az ilyen információk meglétének nyilvánosságra hozatala nélkül is megteheti (a közigazgatási szervek birtokában lévő személyes információk védelméről szóló törvény 17. cikke). Hasonlóképpen, az érintett személy kérheti ugyan az információk felhasználásának felfüggesztését vagy törlését a közigazgatási szervek birtokában lévő személyes információk védelméről szóló törvény 36. cikke (1) bekezdése i) pontjának megfelelően, abban az esetben, ha a közigazgatási szerv jogellenesen szerezte meg az információt vagy azt nem a meghatározott cél eléréséhez szükséges mértékben őrzi meg/használja fel, de a hatóság elutasíthatja a megkeresést, ha úgy ítéli meg, hogy az információk használatának felfüggesztése „valószínűleg akadályozza a megőrzött személyes információk felhasználási céljával kapcsolatos feladatok megfelelő végrehajtását az említett feladatok jellege miatt” (a közigazgatási szervek birtokában lévő személyes információk védelméről szóló törvény 38. cikke). Amikor a kivételek hatálya alá tartozó információk könnyen kiválogathatók és kizárhatók, a közigazgatási szervek ugyanakkor kötelesek legalább részben közzétenni az információkat (lásd például a közigazgatási szervek birtokában lévő személyes információk védelméről szóló törvény 15. cikkének (1) bekezdését) (140).

(167)

Mindenesetre a közigazgatási szervnek egy bizonyos időszakon belül (30 nap, ami bizonyos feltételek mellett további 30 nappal meghosszabbítható) írásbeli határozatot kell hoznia. A kérelem visszautasítása, vagy részleges visszautasítása esetén, vagy ha az érintett személy egyéb okokból „jogellenesnek vagy megalapozatlannak” tekinti a közigazgatási szerv eljárását, az adott személy közigazgatási panaszt tehet a közigazgatási panaszok felülvizsgálatáról szóló törvény alapján (141). Ilyen esetben a fellebbezés tárgyában határozatot hozó közigazgatási szerv vezetőjének konzultálnia kell az információk közzétételének és a személyes információk védelmének felülvizsgálatával foglalkozó testülettel (a közigazgatási szervek birtokában lévő személyes információk védelméről szóló törvény 42. és 43. cikke), egy független testülettel, amelynek tagjait a miniszterelnök nevezi ki a parlament mindkét házának a hozzájárulásával. A kapott információk alapján a felülvizsgálati testület vizsgálatot végezhet (142), és ebben a tekintetben kérheti a közigazgatási szervtől a megőrzött személyes információk közzétételét, beleértve a titkosított információkat, valamint további információk és dokumentumok rendelkezésre bocsátását. Habár a panaszosnak és a közigazgatási szervnek elküldött és közzétett végleges jelentés jogilag nem kötelező érvényű, szinte minden esetben sor kerül az abban foglaltak követésére (143). Továbbá, az érintett személynek a közigazgatási peres ügyekről szóló törvény alapján lehetősége van a bíróságon fellebbezni a fellebbezési határozat ellen. Ez lehetővé teszi a nemzetbiztonsági kivétel(ek) használata feletti igazságügyi ellenőrzést, beleértve azt, hogy történt-e visszaélés az ilyen kivételekkel kapcsolatban, illetve továbbra is indokoltak-e.

(168)

A közigazgatási szervek birtokában lévő személyes információk védelméről szóló törvény értelmében vett fenti jogok gyakorlásának elősegítése érdekében a Belügyi- és Kommunikációs Minisztérium 51 „átfogó információs központot” hozott létre, amely konszolidált információkat nyújt ezekről a jogokról, a kérések esetén alkalmazandó eljárásokról és a lehetséges jogorvoslati megoldásokról (144). Ami közigazgatási szerveket illeti, azok kötelesek rendelkezésre bocsátani „az olyan információkat, amelyek hozzájárulnak a megőrzött személyes információk meghatározásához” (145) és kötelesek megtenni „egyéb megfelelő intézkedéseket annak a személynek a támogatása érdekében, aki be kívánja nyújtani a kérést” (a közigazgatási szervek birtokában lévő személyes információk védelméről szóló törvény 47. cikkének (1) bekezdése).

(169)

A bűnüldözési nyomozáshoz hasonlóan az érintett személyek a nemzetbiztonsági nyomozásokat illetően is részesülhetnek egyéni jogorvoslatban, ha közvetlenül felveszik a kapcsolatot a személyes információk védelmével foglalkozó bizottsággal. Ez különleges vitarendezési eljáráshoz vezet, amelyet a japán kormány olyan uniós személyek vonatkozásában dolgozott ki, akiknek személyes adatai e határozat értelmében kerülnek továbbításra (lásd a részletes magyarázatot a (141)–(144) és a (149) preambulumbekezdésben).

(170)

Ezen túlmenően az érintett személyek bírósági jogorvoslatot kérhetnek kártérítési kereset formájában az állami jogorvoslatról szóló törvény értelmében, amely az erkölcsi kárra, illetve bizonyos feltételek mellett az összegyűjtött adatok törlésére is kiterjed (lásd a (147) preambulumbekezdést).

(171)

A Bizottság úgy véli, hogy a személyes információk védelméről szóló, az I. mellékletben található kiegészítő szabályokkal kiegészített törvény és a II. mellékletben található hivatalos nyilatkozatok, biztosítékok és kötelezettségvállalások lényegében az (EU) 2016/679 rendeletben garantált védelemmel megegyező mértékben biztosítják az Európai Unióból továbbított személyes adatok védelmét.

(172)

A Bizottság ezenfelül úgy ítéli meg, hogy a japán jogban létező felügyeleti mechanizmusok és jogorvoslati megoldások összességében véve lehetővé teszik, hogy a gyakorlatban azonosítsák és szankcionálják, ha a személyes információkat kezelő gazdasági szereplők jogsértést követnek el, továbbá jogorvoslatot biztosítanak az érintetteknek, hogy betekinthessenek a rájuk vonatkozó személyes adatokba, és esetleg helyesbíttessék vagy töröltessék ezeket az adatokat.

(173)

Végezetül, a japán jogrenddel kapcsolatban elérhető információk alapján, beleértve a II. mellékletben található, a japán kormánytól származó hivatalos nyilatkozatokat, biztosítékokat és kötelezettségvállalásokat, a Bizottság úgy ítéli meg, hogy az olyan egyének alapvető jogaiba való beavatkozás, akiknek személyes adatait a japán közigazgatási szervek közérdekű, különösen bűnüldözési és nemzetbiztonsági célokból az Európai Unióból Japánba továbbítják, szigorúan a szóban forgó jogszerű célkitűzés eléréséhez szükséges mértékre korlátozódik, és hatékony jogvédelem áll rendelkezésre ilyen beavatkozás esetén.

(174)

Ezért e határozat megállapításai alapján a Bizottság úgy ítéli meg, hogy Japán megfelelő szintű védelmet biztosít az Európai Unióból a személyes információkat kezelő japán, a személyes információk védelméről szóló törvény hatálya alá tartozó gazdasági szereplőknek továbbított személyes adatok esetében, kivéve azokat az eseteket, amikor az adatátvevő a személyes információk védelméről szóló törvény 76. cikkének (1) bekezdésében felsorolt egyik kategóriába esik vagy az adatkezelés valamennyi célja vagy egyes céljai megfelel(nek) az abban a rendelkezésben ismertetett valamely célnak.

(175)

Ennek alapján a Bizottság megállapítja, hogy teljesül az (EU) 2016/679 rendelet 45. cikkében szereplő, az Európai Unió alapjogi chartája alapján, különösen a Schrems-ügyben (146) hozott ítéletben értelmezett megfelelőségi előírás.

(176)

A Bíróság ítélkezési gyakorlata (147) alapján és az (EU) 2016/679 rendelet 45. cikkének (4) bekezdésében elismerteknek megfelelően a Bizottság folyamatosan figyelemmel kíséri a harmadik országokban egy megfelelőségi határozat elfogadását követő kapcsolódó fejleményeket, hogy értékelje, hogy Japán továbbra is biztosítja-e a védelem lényegében megegyező szintjét. Ezen vizsgálat mindenképpen szükséges azokban az esetekben, amikor a Bizottság által kapott információk alapján indokolt kétségek merülhetnek fel e tekintetben.

(177)

A Bizottság ezért folyamatosan nyomon követi a helyzetet az ebben a határozatban értékelt adatkezelés jogi keretének és mindenkori gyakorlatának vonatkozásában, beleértve a japán hatóságok általi, a II. mellékletben szereplő nyilatkozatoknak, biztosítékoknak és kötelezettségvállalásoknak való megfelelést. E folyamat elősegítése érdekében a japán hatóságok felé elvárás, hogy tájékoztassák a Bizottságot az ezzel a határozattal kapcsolatos érdemi fejleményekről mind a személyes adatok gazdasági szereplők általi kezelését, mind a közigazgatási szervek személyes adatokhoz való hozzáférésének korlátozásait és biztosítékait illetően. Ennek ki kell terjednie a személyes információk védelmével foglalkozó bizottság azon határozataira, amelyek a személyes információk védelméről szóló törvény 24. cikke értelmében valamely harmadik országot a japán védelemmel egyenértékű védelmet biztosító országként ismernek el.

(178)

Továbbá, annak lehetővé tétele érdekében, hogy a Bizottság hatékonyan lássa el nyomonkövetési feladatát, a tagállamoknak tájékoztatniuk kell a Bizottságot a nemzeti adatvédelmi hatóságok minden vonatkozó lépéséről, különösen az uniós érintetteknek az Európai Unióból a japán gazdasági szereplők felé történő adattovábbítással kapcsolatos kérései vagy panaszai tekintetében. A Bizottságot továbbá tájékoztatni kell minden arra utaló információról, hogy a bűnügyek megelőzéséért, nyomozásáért, felderítéséért vagy a vádemelésért, illetve a nemzetbiztonságért felelős japán közigazgatási szervek intézkedései nem biztosítják a megfelelő szintű védelmet.

(179)

A tagállamok és szerveik kötelesek megtenni az ahhoz szükséges intézkedéseket, hogy teljesítsék az uniós intézmények jogi aktusait, mivel az utóbbiak vélelmezhetően jogszerűek, és ennélfogva mindaddig joghatásokat váltanak ki, amíg azokat vissza nem vonják, megsemmisítés iránti kereset alapján meg nem semmisítik, illetve előzetes döntéshozatal iránti kérelem vagy jogellenességi kifogás következtében nem nyilvánítják érvénytelennek. Következésképpen a Bizottságnak az (EU) 2016/679 rendelet 45. cikkének (3) bekezdése alapján elfogadott megfelelőségi határozata kötelező a címzett tagállamok valamennyi szervére, így a független felügyeleti hatóságokra nézve is. Ugyanakkor, ahogy a Bíróság a Schrems-ügyben hozott ítéletében (148) kifejtette, és azt a rendelet 58. cikkének (5) bekezdése elismeri, ha az adatvédelmi hatóság többek között egy panasz alapján kétségbe vonja a Bizottság megfelelőségi határozatának a magánélet szabadságához és az adatvédelemhez fűződő alapvető joggal való összhangját, a nemzeti jognak jogorvoslatot kell biztosítania ahhoz, hogy e kifogásokat a nemzeti bíróság elé terjesszék, amelynek kétség esetén fel kell függesztenie az eljárást és előzetes döntéshozatal iránti kérelemmel kell fordulnia a Bírósághoz (149).

(180)

Az (EU) 2016/679 rendelet 45. cikke (3) bekezdésének (150) alkalmazásában, valamint tekintettel arra, hogy a japán jogrend által biztosított védelem szintje megváltozhat, a Bizottság e határozat elfogadását követően rendszeresen ellenőrzi, hogy a Japán által biztosított védelem szintjének megfelelőségére vonatkozó megállapítások továbbra is ténybeliek és jogilag indokoltak-e.

(181)

Ebből a célból ezt a határozatot először a hatálybalépését követő két éven belül kell felülvizsgálni. Az első felülvizsgálatot követően és annak eredményétől függően a Bizottság az általános adatvédelmi rendelet 93. cikkének (1) bekezdése alapján létrehozott bizottsággal szorosan egyeztetve dönt arról, hogy fenn kell-e tartani a kétéves ciklust. A későbbi felülvizsgálatokat azonban legalább négyévente el kell végezni (151). A felülvizsgálat kiterjed e határozat működésének valamennyi szempontjára, különösen a kiegészítő szabályok alkalmazására (különös tekintettel az újbóli adattovábbítás esetében biztosított védelemre), a hozzájárulási szabály alkalmazására, beleértve a visszavonás esetét, a személyhez fűződő jogok érvényesítésének hatékonyságára, valamint a kormányzati hozzáféréssel kapcsolatos korlátozásokra és biztosítékokra, beleértve az e határozat II. mellékletében meghatározott jogorvoslati mechanizmust. Ki kell terjednie továbbá a felügyelet és a jogérvényesítés hatékonyságára a személyes információkat kezelő mindkét gazdasági szereplőre vonatkozó szabályok tekintetében, valamint a büntetőjogi jogérvényesítés és a nemzetbiztonság terén.

(182)

A felülvizsgálat elvégzéséhez a Bizottság találkozik a személyes információk védelmével foglalkozó bizottsággal, adott esetben a kormányzati hozzáférésért felelős egyéb japán hatóságokkal együtt, beleértve az érintett felügyeleti szerveket. E találkozón részt vehetnek az Európai Adatvédelmi Testület tagjainak képviselői. A közös felülvizsgálat keretében a Bizottságnak fel kell kérnie a személyes információk védelmével foglalkozó bizottságot, hogy nyújtson átfogó tájékoztatást a megfelelőség megállapításának valamennyi lényeges szempontjával kapcsolatban, beleértve a kormányzati hozzáférésre vonatkozó korlátozásokat és biztosítékokat (152). A Bizottságnak emellett magyarázatot kell keresnie az e határozat vonatkozásában kapott releváns információkkal kapcsolatban, beleértve a japán hatóságok vagy egyéb japán érdekeltek, az Európai Adatvédelmi Testület, az egyes adatvédelmi hatóságok és a civil társadalmi csoportok általi nyilvános jelentéseket, a médiajelentéseket vagy egyéb elérhető információforrásokat.

(183)

A közös felülvizsgálat alapján a Bizottság az Európai Parlamentnek és a Tanácsnak benyújtandó nyilvános jelentést készít.

(184)

Azokban az esetekben, amikor a rendszeres és ad hoc ellenőrzések és egyéb elérhető információk alapján a Bizottság megállapítja, hogy a japán jogrend által biztosított védelem szintje már nem tekinthető lényegében az Európai Unióban biztosított védelem szintjével megegyezőnek, a Bizottság tájékoztatja erről az illetékes japán hatóságokat, és kéri a megfelelő intézkedések meghatározott, észszerű határidőn belüli meghozatalát. Egyaránt idetartoznak a gazdasági szereplőkre és a bűnüldözéssel vagy nemzetbiztonsággal foglalkozó japán közigazgatási szervekre vonatkozó szabályok. Ilyen eljárást lehetne indítani például azokban az esetekben, amikor a védelem folyamatosságát szavatoló biztosítékok mellett már nem végezhető újbóli adattovábbítás, beleértve a személyes információk védelmével foglalkozó bizottság azon határozatain alapuló továbbításokat is, amelyek a személyes információk védelméről szóló törvény 24. cikke értelmében valamely harmadik országot az általános adatvédelmi rendelet 44. cikke értelmében a japán védelemmel egyenértékű védelmet biztosító országként ismernek el.

(185)

Ha a meghatározott időszak lejártát követően az illetékes japán hatóságok nem bizonyítják kielégítő módon, hogy ez a határozat továbbra is a megfelelő szintű védelmen alapul, a Bizottság az (EU) 2016/679 rendelet 45. cikkének (5) bekezdése alkalmazásában eljárást kezdeményez, amely e határozat részleges vagy teljes felfüggesztéséhez vagy visszavonásához vezet. Ennek alternatívájaként a Bizottságnak kezdeményeznie kell az e határozat különösen oly módon történő módosítására irányuló eljárás, hogy a megfelelőség megállapításának hatályát csupán a további feltételeknek megfelelő adattovábbításra vagy azokra az adattovábbításokra korlátozza, amelyek esetében biztosított az általános adatvédelmi rendelet 44. cikke értelmében vett védelem folyamatossága.

(186)

A Bizottság kezdeményezi a felfüggesztési vagy visszavonási eljárást különösen arra utaló körülmények esetében, hogy az e határozat értelmében személyes adatokat átvevő gazdasági szereplők nem tartják be az I. mellékletben szereplő kiegészítő szabályokat és/vagy nem hajtják végre hatékonyan azokat, vagy a japán hatóságok nem tesznek eleget az e határozat II. mellékletében szereplő nyilatkozatoknak, biztosítékoknak és kötelezettségvállalásoknak.

(187)

A Bizottságnak emellett meg kell vizsgálnia az olyan eljárás kezdeményezésének lehetőségét, amely e határozat módosításához, felfüggesztéséhez vagy visszavonásához vezet, ha a közös felülvizsgálat összefüggésében vagy más módon az illetékes japán hatóságok nem adják át az Európai Unióból Japánba továbbított személyes adatok védelmének szintje vagy az e határozatnak való megfelelés értékeléséhez szükséges információkat vagy nem adnak erre vonatkozó magyarázatokat. Ebben a tekintetben a Bizottságnak figyelembe kell vennie, hogy milyen mértékben szerezhető be más forrásokból a vonatkozó információ.

(188)

Kellően indokolt sürgős esetekben, mint amilyen például az érintettek jogai súlyos megsértésének kockázata, a Bizottság olyan határozat elfogadását mérlegelheti az (EU) 2016/679 rendelet 93. cikkének a 182/2011/EU európai parlamenti és tanácsi rendelet (153) 8. cikkével együtt értelmezett (3) bekezdése értelmében, amely felfüggeszti vagy visszavonja ezt a határozatot.

(189)

Az Európai Adatvédelmi Testület közzétette véleményét (154), amely e határozat kidolgozásakor figyelembevételre került.

(190)

Az Európai Parlament a digitális kereskedelmi stratégiáról szóló állásfoglalást fogadott el, amely felszólítja a Bizottságot a megfelelőségi határozatok fontos kereskedelmi partnerekkel való elfogadásának előre sorolására és felgyorsítására az (EU) 2016/679 rendeletben meghatározott feltételeknek megfelelően, ami az Európai Unióból származó személyes adatok továbbításának biztosítására szolgáló fontos mechanizmus (155). Az Európai Parlament állásfoglalást fogadott el a személyes adatok Japán által biztosított védelmének megfelelőségéről is (156).

(191)

Az e határozatban előírt intézkedések összhangban állnak az általános adatvédelmi rendelet 93. cikkének (1) bekezdése alapján létrehozott bizottság véleményével.