EVROPSKA KOMISIJA

Bruselj, 3.4.2023

COM(2023) 275 final

POROČILO KOMISIJE EVROPSKEMU PARLAMENTU IN SVETU

o prvem pregledu izvajanja sklepa o ustreznosti za Japonsko

{SWD(2023) 75 final}

POROČILO KOMISIJE EVROPSKEMU PARLAMENTU IN SVETU

o prvem pregledu izvajanja sklepa o ustreznosti za Japonsko

1.PRVI PREGLED – OZADJE, PRIPRAVA IN POSTOPEK

Evropska komisija je 23. januarja 2019 sprejela sklep v skladu s členom 45 Uredbe (EU) 2016/679 (splošna uredba o varstvu podatkov, v nadaljnjem besedilu: GDPR) 1 , v katerem je izrazila, da Japonska zagotavlja ustrezno raven varstva osebnih podatkov, ki se iz Evropske unije prenašajo podjetjem, ki obdelujejo osebne informacije 2 na Japonskem 3 . Zato lahko prenos podatkov iz EU zasebnim subjektom na Japonskem poteka brez dodatnih zahtev 4 .

Sklep Komisije o ustreznosti zajema japonski zakon o varstvu osebnih informacij, kot ga dopolnjujejo dopolnilna pravila, ki so bila uvedena za premostitev nekaterih pomembnih razlik med zakonom o varstvu osebnih informacij in GDPR 5 . Ti dodatni zaščitni ukrepi na primer krepijo varstvo občutljivih podatkov (z razširitvijo kategorij osebnih informacij, ki se štejejo za občutljive), uveljavljanje pravic posameznikov (s pojasnilom, da se lahko pravice posameznikov uveljavljajo tudi za osebne podatke, ki se hranijo manj kot šest mesecev, kar v skladu z zakonom o varstvu osebnih informacij takrat ni veljalo) 6 in pogoje, pod katerimi se lahko podatki iz EU nadalje prenašajo z Japonske v drugo tretjo državo 7 . Dopolnilna pravila so zavezujoča za japonske subjekte, izvršuje pa jih lahko neodvisen organ za varstvo podatkov – bodisi komisija za varstvo osebnih informacij ali neposredno posamezniki iz EU na japonskih sodiščih 8 .

Poleg tega je japonska vlada Komisiji predložila uradne navedbe, zagotovila in zaveze v zvezi z omejitvami in zaščitnimi ukrepi v zvezi z dostopom japonskih javnih organov do osebnih podatkov in njihovo uporabo za namene preprečevanja, odkrivanja in preiskovanja kaznivih dejanj in nacionalne varnosti, pri čemer je pojasnila, da je vsaka taka obdelava podatkov omejena na to, kar je potrebno in sorazmerno, poteka pod neodvisnim nadzorom in so zanjo na voljo učinkoviti mehanizmi pravnega varstva 9 . Mehanizmi pravnega varstva na tem področju vključujejo poseben postopek reševanja sporov, ki ga vodi in nadzoruje komisija za varstvo osebnih informacij in je bil vzpostavljen za posameznike iz EU, katerih osebni podatki se prenašajo na podlagi sklepa o ustreznosti 10 .

Ko je Komisija sprejela sklep o ustreznosti, je Japonska sprejela enakovreden sklep za prenos podatkov v EU, s katerim je bilo ustvarjeno največje območje prostega pretoka podatkov na svetu, ki temelji na visoki ravni varstva podatkov 11 . Ta medsebojna sklepa o ustreznosti dopolnjujeta in povečujeta koristi Sporazuma o gospodarskem partnerstvu med EU in Japonsko, ki je začel veljati februarja 2019 12 , in Sporazuma o strateškem partnerstvu 13 , ki je bil dogovorjen skupaj s sporazumom o gospodarskem partnerstvu. Podjetja na obeh straneh imajo koristi od sinergije med vzajemnima sklepoma o ustreznosti in Sporazumom o gospodarskem partnerstvu med EU in Japonsko, saj možnost prostega pretoka podatkov med EU in Japonsko dodatno olajšuje trgovinske izmenjave in ustvarja znatne poslovne priložnosti prek privilegiranega dostopa do obeh trgov. Predstavlja tudi pomemben precedens, saj jasno kaže, da v digitalni dobi spodbujanje visokih standardov zasebnosti in olajševanje mednarodne trgovine lahko in morata potekati vzajemno.

Od datuma sprejetja sklepov o ustreznosti sta EU in Japonska kot podobno misleči partnerici dodatno okrepili sodelovanje na področju digitalnih zadev, zlasti pretoka podatkov. Na dvostranski ravni se to odraža zlasti v sklenitvi digitalnega partnerstva maja 2022 14 in začetku pogajanj za vključitev pravil o čezmejnem pretoku podatkov v Sporazum o gospodarskem partnerstvu med EU in Japonsko 15 oktobra 2022, kar bo dodatno okrepilo sinergijo z ureditvijo o vzajemni ustreznosti. Na večstranski ravni sta EU in Japonska združili prizadevanja za spodbujanje, krepitev in operacionalizacijo koncepta „prostega pretoka podatkov na podlagi zaupanja“, ki ga je uvedel pokojni predsednik vlade Šinzo Abe, prek tesnega sodelovanja v okviru skupine G7, Svetovne trgovinske organizacije (v okviru pobude za skupno izjavo o e-trgovanju) in Organizacije za gospodarsko sodelovanje in razvoj (OECD). V OECD je bilo tesno sodelovanje med EU in Japonsko na tem področju zlasti ključnega pomena za sprejetje – prvič doslej na mednarodni ravni – skupnih načel o vladnem dostopu do osebnih podatkov, ki jih hrani zasebni sektor 16 . Ta različna delovna področja so se v večji ali manjši meri opirala na skupne vrednote in zahteve, na katerih temelji ureditev o vzajemni ustreznosti med EU in Japonsko.

Da bi Komisija redno preverjala, ali so ugotovitve iz sklepa o ustreznosti še naprej dejansko in pravno upravičene, mora opravljati redne preglede ter o ugotovitvah poročati Evropskemu parlamentu in Svetu 17 . S tem poročilom, ki zajema vse vidike delovanja sklepa, je zaključen prvi redni pregled. Na japonski strani so pri pregledu sodelovali predstavniki komisije za varstvo osebnih informacij, ministrstva za notranje zadeve in komunikacije, ministrstva za pravosodje, ministrstva za obrambo in nacionalne policijske agencije. Delegacijo EU so sestavljali trije predstavniki, ki jih je imenoval Evropski odbor za varstvo podatkov, in člani Evropske komisije.

Delegaciji sta se 26. oktobra 2021 srečali na sestanku, namenjenemu pregledu, pred sestankom in po njem pa so se zvrstile številne razprave. Komisija je za pripravo pregleda od japonskih organov zbrala informacije o delovanju sklepa, zlasti o izvajanju dopolnilnih pravil. Komisija je želela tudi od javnih virov in lokalnih strokovnjakov pridobiti informacije o delovanju sklepa ter o relevantnih spremembah japonske zakonodaje in prakse, tako v zvezi s pravili o varstvu podatkov, ki se uporabljajo za zasebne subjekte, kot tudi v zvezi z vladnim dostopom. Po sestanku, namenjenemu pregledu, sta imeli Komisija in komisija za varstvo osebnih informacij več razprav z namenom, da bi nadaljevali pogovore o točkah, obravnavanih na seji, ter obravnavali pomisleke glede uvedbe pravil o psevdonimiziranih osebnih podatkih v zakon o varstvu osebnih informacij.

2.GLAVNE UGOTOVITVE

Podrobne ugotovitve o delovanju vseh vidikov sklepa o ustreznosti so predstavljene v delovnem dokumentu služb Komisije (SWD(2023)75), ki je priložen temu poročilu.

Prvi pregled je pokazal zlasti, da sta se evropski in japonski okvir za varstvo podatkov po sprejetju vzajemnih sklepov o ustreznosti še bolj zbližala. Zakon o varstvu osebnih informacij je bil spremenjen dvakrat: 5. junija 2020 z zakonom o spremembi zakona o varstvu osebnih informacij iz leta 2020, ki je začel veljati 1. aprila 2022 18 ; in 12. maja 2021 z zakonom o ureditvi povezanih zakonov za oblikovanje digitalne družbe (v nadaljnjem besedilu: sprememba zakona o varstvu osebnih informacij iz leta 2021) 19 . Dopolnilna pravila so bila v posvetovanju s Komisijo prilagojena, da bi odražala te spremembe.

Te spremembe so še bolj zbližale sistema EU in Japonske, zlasti s krepitvijo obveznosti glede varnosti podatkov (z uvedbo dolžnosti predložitve uradnega obvestila o kršitvah varstva podatkov), pravic posameznikov, na katere se nanašajo osebni podatki (zlasti pravice do dostopa in pravice do ugovora) in varstva v primeru prenosa podatkov (v obliki dodatnih zahtev glede informacij in spremljanja, vključno z informacijami o morebitnih tveganjih, povezanih z vladnim dostopom v namembni državi). V zvezi s tem je treba posebej omeniti, da so bili nekateri dodatni zaščitni ukrepi iz dopolnilnih pravil za osebne podatke, ki prihajajo iz EU, in sicer tisti v zvezi s hrambo podatkov in pogoji za informirano privolitev za čezmejne prenose, vključeni v zakon o varstvu osebnih informacij, zato se splošno uporabljajo za vse osebne podatke, ne glede na njihov izvor ali mesto zbiranja 20 .

Še en pomemben korak, ki ga Komisija pozdravlja, je preoblikovanje zakona o varstvu osebnih informacij v celovit okvir za varstvo podatkov, ki zajema tako zasebni kot javni sektor in je pod izključnim nadzorom komisije za varstvo osebnih informacij 21 . Ta nadaljnja krepitev japonskega okvira za varstvo podatkov in pooblastil komisije za varstvo osebnih informacij lahko utre pot razširitvi področja uporabe sklepa o ustreznosti preko trgovinske izmenjave, s čimer bi bili vključeni prenosi, ki so trenutno izključeni iz njegovega področja uporabe, na primer na področju regulativnega sodelovanja in raziskav.

Prvi pregled je zajel tudi na nova pravila o ustvarjanju in uporabi „psevdonimiziranih osebnih podatkov“, ki so bila uvedena s spremembo zakona o varstvu osebnih informacij iz leta 2020 22 . Cilj teh novih pravil je predvsem olajšati (notranjo) uporabo osebnih informacij s strani podjetij, ki obdelujejo osebne informacije predvsem za statistične namene (npr. za odkrivanje trendov in vzorcev v korist nadaljnjim dejavnostim, vključno z raziskavami). Sestanek, namenjen pregledu, in poznejše razprave med Komisijo in komisijo za varstvo osebnih informacij so omogočile pojasnitev razlage in uporabe teh novih določb. Na podlagi teh razprav so bila dopolnilna pravila 15. marca 2023 spremenjena na dva načina, da bi jasneje odražala nameravano uporabo teh novih določb ter tako zagotovila pravno varnost in preglednost 23 . Prvič – dopolnilna pravila določajo, da se take informacije lahko uporabljajo zgolj za statistične namene – opredeljene kot obdelava za statistično raziskovanje ali pripravo statističnih rezultatov – za pripravo zbirnih podatkov, in da se rezultati obdelave ne bodo uporabljali v podporo ukrepom ali odločitvam v zvezi z določenim posameznikom. Drugič – pojasnjujejo, da se bodo psevdonimizirani osebni podatki, ki so bili prvotno prejeti iz EU, vedno šteli za „osebne informacije“ v skladu z zakonom o varstvu osebnih informacij, da bi zagotovili, da stalnost varstva podatkov, ki se v skladu GDPR štejejo za osebne podatke, ni ogroženo, kadar se ti podatki prenašajo na podlagi sklepa o ustreznosti 24 .

Kar zadeva izvajanje zaščitnih ukrepov za varstvo podatkov v praksi, Komisija pozdravlja različne ukrepe, ki jih je sprejela komisija za varstvo osebnih informacij. To vključuje sprejetje posodobljenih smernic, vključno s smernicami o mednarodnih prenosih podatkov. Komisija meni, da bi lahko te smernice vključevale dodatna pojasnila, tudi v zvezi z obravnavo posebnih zahtev, ki se v skladu z dopolnilnimi pravili uporabljajo za nadaljnje prenose osebnih podatkov, ki jih Japonska prejme iz Unije, vključno z – kot izhaja iz dopolnilnega pravila 4 in kot je pojasnjeno v sklepu o ustreznosti 25 – izključitvijo nadaljnjih prenosov na podlagi certifikacijske sheme APEC za pravila o varovanju zasebnosti pri čezmejnem prenosu podatkov (CBPR). Čeprav je komisija za varstvo osebnih informacij pojasnila, da poslovni subjekti, ki obravnavajo osebne informacije, določijo okvir za nadaljnje prenose podatkov, ki so jih prvotno prejeli od EU, „s sklenitvijo pogodbe, ki prejemnika zavezuje k ukrepom, ki zagotavljajo stalnost varstva“, komisija za varstvo osebnih informacij trenutno ne zagotavlja smernic o priporočeni vsebini (v smislu zaščitnih ukrepov) „enakovrednih ukrepov“, ki se uporabljajo za mednarodne prenose podatkov, bodisi v obliki smernic ali vzorčnih pogodb o varstvu podatkov. Ta dodatna pojasnila, ki bi lahko temeljila zlasti na izmenjavi informacij in najboljših praks med komisijo za varstvo osebnih informacij in Komisijo, bi lahko bila še posebej koristna, saj se nanašajo na vidike, ki so posebej pomembni za podjetja, ki poslujejo v obeh jurisdikcijah.

Glede nadzora in izvrševanja Komisija ugotavlja, da je komisija za varstvo osebnih informacij v obdobju po sprejetju sklepa o ustreznosti v večji meri uporabljala svoja neprisilna pooblastila za usmerjanje in svetovanje (člen 147 zakona o varstvu osebnih informacij) kot svoja prisilna pooblastila (npr. za nalaganje zavezujočih odredb, člen 148 zakona o varstvu osebnih informacij). Komisija za varstvo osebnih informacij je poročala tudi, da doslej ni prejela nobenih pritožb v zvezi s skladnostjo z dopolnilnimi pravili in da na lastno pobudo ni izvedla nobenih preiskav v zvezi s takšnimi zadevami. Vendar je komisija za varstvo osebnih informacij med sestankom, namenjenem pregledu, napovedala, da namerava na lastno pobudo izvajati naključna preverjanja za zagotovitev skladnosti z dopolnilnimi pravili. Komisija pozdravlja to napoved, saj meni, da bi bila takšna naključna preverjanja zelo pomembna, da se zagotovi preprečevanje, odkrivanje in obravnava (morebitnih) kršitev dopolnilnih pravil, s čimer se zagotovi dejansko spoštovanje teh pravil. Ker sta spremembi zakona o varstvu osebnih informacij iz let 2020 in 2021 okrepili nadzorna pooblastila komisije za varstvo osebnih informacij, bi bila lahko ta naključna preverjanja del splošnih prizadevanj za povečanje uporabe takšnih pooblastil.

Nazadnje Komisija toplo pozdravlja vzpostavitev namenskih kontaktnih točk za posameznike iz EU, ki imajo vprašanja ali pomisleke glede obdelave njihovih osebnih podatkov na Japonskem, namenjenih gospodarskim subjektom (kontaktna številka vprašanja) ali javnim organom (kontaktna številka za posredovanje pritožbe). Hkrati ugotavlja, da je na spletni strani za vprašanja navedeno, da je na voljo v „samo v japonščini“, kar bo verjetno odvrnilo posameznike iz EU od uporabe tega instrumenta, čeprav je komisija za varstvo osebnih informacij pojasnila, da je pomoč v angleškem jeziku načeloma na voljo. Komisija meni, da bo komisija za varstvo osebnih informacij preučila načine za olajšanje dostopnosti takšnih kontaktnih točk za Evropejce, vključno s pojasnitvijo te zadeve.

3.ZAKLJUČEK

Na podlagi celovitih ugotovitev iz tega prvega pregleda Komisija ugotavlja, da Japonska še naprej zagotavlja ustrezno raven varstva osebnih podatkov, ki se iz Evropske unije prenašajo poslovnim subjektom, ki obravnavajo osebne informacije na Japonskem in za katere se uporablja zakon o varstvu osebnih informacij, kot ga dopolnjujejo dopolnilna pravila ter uradne navedbe, zagotovila in zaveze iz Priloge II. V zvezi s tem službe Komisije priznavajo in zelo cenijo odlično sodelovanje z japonskimi organi in zlasti komisijo za varstvo osebnih informacij pri izvedbi pregleda.

Glede na ta izid pregleda in v skladu z uvodno izjavo 181 sklepa o ustreznosti Komisija meni, da dveletnega cikla za prihodnje preglede ni treba ohraniti, zato meni, da je primerno preiti na štiriletni cikel v skladu s členom 45(3) GDPR. O tej točki se bo posvetovala z odborom, ustanovljenim na podlagi člena 93(1) GDPR 26 .

Hkrati bi lahko krepitev nekaterih vidikov japonskega okvira prispevala k nadaljnjem izboljšanju zaščitnih ukrepov iz zakona o varstvu osebnih informacij in dopolnilnih pravil. Komisija v ta namen podaja naslednja priporočila:

1.Komisija pozdravlja in nadalje spodbuja predvideno uporabo naključnih preverjanja s strani komisije za varstvo osebnih informacij, da se zagotovi skladnost z dopolnilnimi pravili. Meni, da bi bila takšna naključna preverjanja zelo pomembna za zagotovitev, da se odkrijejo in obravnavajo (morebitne) kršitve dopolnilnih pravil, s čimer bi zagotovili dejansko spoštovanje teh pravil.

2.Komisija pozdravlja dejstvo, da je komisija za varstvo osebnih informacij objavila posodobljene smernice o mednarodnih prenosih, saj bodo povečale dostopnost pravil zakona o varstvu osebnih informacij v zvezi s tem področjem in zagotovile, da bodo ta pravila uporabnikom prijaznejša. V teh (ali drugih) smernicah bi bilo treba, kjer je ustrezno, pojasniti tudi posebne zahteve, ki izhajajo iz dopolnilnih pravil, tudi v zvezi z izključitvijo certifikacijske sheme sistema skupine APEC za pravila o varovanju zasebnosti pri čezmejnem prenosu podatkov za nadaljnje prenose osebnih podatkov, ki so bili prvotno prejeti iz EU.

3.Med pregledom je potekala razprava o tem, kako bi lahko bili kontaktni številki za vprašanja in pritožbe komisije za varstvo osebnih informacij dostopnejši tujcem. V zvezi s tem bi bilo pomembno na namenski spletni strani pojasniti, da je pomoč v angleškem jeziku načeloma na voljo.

Pregled je omogočil tudi opredelitev področij za morebitno prihodnje sodelovanje. Kot je navedeno, komisija za varstvo osebnih informacij trenutno ne zagotavlja smernic o priporočeni vsebini (npr. v smislu zaščitnih ukrepov) „enakovrednih ukrepov“, ki se uporabljajo za mednarodne prenose podatkov, bodisi v obliki smernic ali vzorčnih pogodb o varstvu podatkov. Glede na vse večji pomen vzorčnih klavzul in njihov potencial kot globalno orodje za prenos podatkov, s čimer se strinjata skupina G7 27 in OECD 28 , je Komisija izrazila zanimanje za prihodnje sodelovanje z Japonsko pri razvoju takšnih klavzul. Razširitev področja uporabe sklepa o ustreznosti preko prenosov med gospodarskimi subjekti je še eno področje, ki ga namerava Komisija preučiti skupaj s komisijo za varstvo osebnih informacij.

Komisija bo še naprej pozorno spremljala japonski okvir za varstvo podatkov in dejansko prakso. V zvezi s tem z zanimanjem pričakuje prihodnje razprave z japonskimi organi o razvoju dogodkov v zvezi s sklepom 29 , ter nadaljnjo krepitev sodelovanja na mednarodni ravni v času, ko se povečuje povpraševanje po svetovnih standardih glede zasebnosti in pretoka podatkov.

(1)    UL L 119, 4.5.2016, str. 1 (GDPR).

(2)    V različici zakona o varstvu osebnih informacij, ki se je uporabljala ob sprejetju sklepa o ustreznosti, se je ta pojem imenoval „poslovni subjekt, ki obravnava osebne informacije“. Poslovni subjekt, ki obravnava osebne informacije, je opredeljen v členu 16(2) spremenjenega zakona o varstvu osebnih informacij kot „oseba, ki uporablja podatkovno zbirko osebnih informacij ali enakovredno zbirko za poslovanje“, pri čemer so izvzete vlada in upravne agencije na osrednji in lokalni ravni. Pojem „poslovanja“ v smislu zakona o varstvu osebnih informacij je zelo širok, saj zajema pridobitne in nepridobitne dejavnosti, ki jih izvajajo organizacije vseh vrst in posamezniki. Poleg tega „uporaba za poslovanje“ vključuje tudi osebne informacije, ki se ne uporabljajo v (zunanjih) poslovnih odnosih subjekta, ampak interno, na primer za obdelavo podatkov o zaposlenih. Glej uvodne izjave od 32 do 34 sklepa.

(3)      Izvedbeni sklep Komisije (EU) 2019/419 z dne 23. januarja 2019 v skladu z Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta o ustreznem varstvu osebnih podatkov na Japonskem na podlagi zakona o varstvu osebnih informacij (UL L 76, 19.3.2019, str. 1).

(4)      Glej člen 45 GDPR in uvodno izjavo 5 sklepa.

(5)      Glej Prilogo I k sklepu.

(6)

     Medtem je bila s spremembo zakona o varstvu osebnih informacij iz leta 2020 spremenjena opredelitev „osebnih podatkov, s katerimi podjetje razpolaga“ tako, da ne izključuje več tistih osebnih podatkov, ki so „predvideni za izbris“ v šestih mesecih (člen 16(4) spremenjenega zakona o varstvu osebnih informacij). V različici zakona o varstvu osebnih informacij, ki se je uporabljala ob sprejetju sklepa o ustreznosti, se je ta pojem imenoval „hranjeni osebni podatki“.

(7)      Uvodne izjave 26, 31, 43, od 49 do 51, 63, 68, 71, od 76 do 79 in 101 sklepa.

(8)      Uvodna izjava 15 sklepa.

(9)      Uvodne izjave od 113 do 170 in Priloga II k sklepu.

(10)      Uvodne izjave od 141 do 144, 149 in 169 sklepa.

(11) Glej sporočilo za javnost, objavljeno po zaključku teh pogajanj, ki je na voljo na: https://ec.europa.eu/commission/presscorner/detail/sl/IP_18_4501

(12)      Sklep Sveta (EU) 2018/1907 z dne 20. decembra 2018 o sklenitvi Sporazuma o gospodarskem partnerstvu med Evropsko unijo in Japonsko, UL L 330, 27.12.2018, str. 1–2. Sporazum o gospodarskem partnerstvu med EU in Japonsko zmanjšuje trgovinske ovire, s katerimi se srečujejo evropska podjetja pri izvozu na Japonsko, in jim pomaga, da bolje konkurirajo na njihovem trgu.

(13)      Sporazum o strateškem partnerstvu med Evropsko unijo in njenimi državami članicami na eni strani ter Japonsko na drugi strani, UL L 216, 24.8.2018, str. 4–22). Sporazum o strateškem partnerstvu zagotavlja pravni okvir za nadaljnji razvoj že dolgoletnega in trdnega partnerstva med Unijo in njenimi državami članicami ter Japonsko na najrazličnejših področjih, kot so politični dialog, energetika, promet, človekove pravice, izobraževanje, znanost in tehnologija, pravosodje, azil in migracije.

(14)      Na voljo na spletnem naslovu: https://www.consilium.europa.eu/media/56091/%E6%9C%80%E7%B5%82%E7%89%88-jp-eu-digital-partnership-clean-final-docx.pdf . Digitalno partnerstvo vzpostavlja forum, ki bo politično usmerjal in spodbujal skupno delo na področju digitalnih tehnologij na področjih, kot so varne tehnologije 5G, „nad 5G“ in 6G, varna in etična uporaba umetne inteligence ali odpornost svetovnih dobavnih verig v industriji polprevodnikov.

(15)      Glej npr. https://policy.trade.ec.europa.eu/news/eu-and-japan-start-negotiations-include-rules-cross-border-data-flows-their-economic-partnership-2022-10-07_en .

(16)      Deklaracija OECD o vladnem dostopu do podatkov, ki jih hranijo subjekti zasebnega sektorja z dne 14. decembra 2022.

(17)      Uvodne izjave od 180 do 183 in člen 3(4) sklepa.

(18)      Angleški prevod je na voljo na spletnem naslovu: https://www.ppc.go.jp/files/pdf/APPI_english.pdf  

(19)      Angleški prevod je na voljo na spletnem naslovu: https://www.japaneselawtranslation.go.jp/ja/laws/view/4241

(20)      Člena 16(4) in 28(2) spremenjenega zakona o varstvu osebnih informacij.

(21)      Natančneje, sprememba zakona o varstvu osebnih informacij iz leta 2021 združuje zakon o varstvu osebnih informacij, ki jih hranijo upravni organi, in zakon o varstvu osebnih informacij, ki jih hranijo neodvisne upravne agencije itd., v en sam zakon o varstvu podatkov, ki se uporablja tako za zasebne subjekte kot javne organe, pri čemer ustrezno razširja pristojnost komisije za varstvo osebnih informacij. Ta sprememba zakona je začela veljati 1. aprila 2023, potem ko so deli spremembe začeli veljati 1. septembra 2021 in 1. aprila 2022.

(22)      Psevdonimizirani osebni podatki so v spremenjenem zakonu o varstvu osebnih informacij opredeljeni kot informacije v zvezi s posameznikom, ki jih je mogoče „pripraviti na način, da je identifikacija posameznika onemogočena, razen če so združene z drugimi informacijami“, prek ukrepov, določenih v zakonu in natančneje opredeljenih v pravilniku o izvajanju. Glej člen 16(5) in člen 41 spremenjenega zakona o varstvu osebnih informacij.

(23)

     Komisija za varstvo osebnih informacij je revidirana dopolnilna pravila sprejela 15. marca 2023, veljati pa so začela 1. aprila 2023.

(24)      To izključuje uporabo člena 42 spremenjenega zakona o varstvu osebnih informacij, ki ohranja le omejeno število zaščitnih ukrepov za psevdonimizirane osebne podatke, ki se ne štejejo za osebne informacije.

(25)

Glej uvodno izjavo 79 sklepa.

(26)      Glej uvodno izjavo 181 sklepa.

(27)      Glej ministrsko izjavo s srečanja ministrov in ministric za digitalno področje v okviru skupine G7 11. maja 2022, Prilogo 1 (Akcijski načrt skupine G7 za spodbujanje prostega pretoka podatkov z zaupanjem), ki pod naslovom „Gradimo na skupnih značilnostih za spodbujanje prihodnje interoperabilnosti“ navaja „vedno bolj razširjene prakse, kot so standardne pogodbene klavzule“.

(28)     Glej zbirko digitalnih orodij OECD (OECD Going Digital Toolkit), „Interoperabilnost okvirov za varstvo zasebnosti in podatkov“ (Interoperability of privacy and data protection frameworks) (na voljo na: https://goingdigital.oecd.org/data/notes/No21_ToolkitNote_PrivacyDataInteroperability.pdf ), str. 18.

(29)      Glej uvodno izjavo 177 sklepa, v skladu s katero bi morali japonski organi Evropsko komisijo obveščati o razvoju dogodkov, bistvenih za ta sklep, in sicer glede obdelave osebnih podatkov s strani poslovnih subjektov ter glede omejitev in zaščitnih ukrepov, ki se uporabljajo v zvezi z dostopom javnih organov do osebnih podatkov.