Artikelen bij COM(2023)275 - Eerste evaluatie van de werking van het adequaatheidsbesluit voor Japan - Hoofdinhoud
Dit is een beperkte versie
U kijkt naar een beperkte versie van dit dossier in de EU Monitor.
dossier | COM(2023)275 - Eerste evaluatie van de werking van het adequaatheidsbesluit voor Japan. |
---|---|
document | COM(2023)275 |
datum | 3 april 2023 |
VERSLAG VAN DE COMMISSIE AAN HET EUROPEES PARLEMENT EN DE RAAD
over de eerste evaluatie van de werking van het adequaatheidsbesluit voor Japan
1. DE EERSTE EVALUATIE — ACHTERGROND, VOORBEREIDING EN PROCES
Op 23 januari 2019 heeft de Europese Commissie een besluit vastgesteld overeenkomstig artikel 45 van Verordening (EU) 2016/679 (AVG)1 waarin zij concludeert dat Japan een passend beschermingsniveau waarborgt voor persoonsgegevens die vanuit de Europese Unie worden doorgegeven aan ondernemingen die persoonsinformatie behandelen2 in Japan3. Als gevolg hiervan kan de doorgifte van gegevens vanuit de EU aan particuliere exploitanten in Japan zonder aanvullende vereisten plaatsvinden4.
Het adequaatheidsbesluit van de Commissie heeft betrekking op de Japanse Wet bescherming persoonsinformatie (Act on the Protection of Personal Information — APPI), zoals aangevuld met de aanvullende voorschriften die werden vastgesteld om bepaalde relevante verschillen tussen de APPI en de AVG te overbruggen5. Met deze aanvullende waarborgen wordt bijvoorbeeld de bescherming van gevoelige gegevens versterkt (door de categorieën persoonsinformatie die als gevoelige gegevens worden beschouwd, te verbreden), evenals de uitoefening van individuele rechten (door te verduidelijken dat individuele rechten ook kunnen worden uitgeoefend in verband met persoonsgegevens die voor een periode korter dan zes maanden worden bewaard, wat op dat moment niet het geval was in het kader van de APPI)6 en de voorwaarden waaronder EU-gegevens verder kunnen worden doorgegeven vanuit Japan naar een ander derde land7. De aanvullende voorschriften zijn bindend voor Japanse exploitanten en kunnen voor de Japanse rechter worden afgedwongen door de onafhankelijke gegevensbeschermingsautoriteit — de Commissie Bescherming Persoonsinformatie (PPC — Personal Information Protection Commission) — of rechtstreeks door EU-burgers8.
De Japanse regering heeft bovendien officiële verklaringen, garanties en toezeggingen aan de Commissie verstrekt met betrekking tot de beperkingen en waarborgen in verband met de toegang tot en het gebruik van persoonsgegevens door de Japanse overheidsinstanties met het oog op handhaving van het strafrecht en de nationale veiligheid, waarin zij verduidelijkt dat een dergelijke verwerking beperkt is tot wat noodzakelijk en evenredig is, dat hierop onafhankelijk toezicht wordt uitgeoefend en dat sprake is van doeltreffende verhaalmechanismen9. De verhaalmechanismen op dit gebied omvatten een specifieke procedure voor geschillenbeslechting die door de PPC wordt beheerd en gecontroleerd en die is gecreëerd voor personen uit de EU wier persoonsgegevens op basis van het adequaatheidsbesluit worden doorgegeven10.
Op het moment dat de Commissie het adequaatheidsbesluit goedkeurde, stelde Japan een gelijkwaardig besluit voor gegevensoverdrachten naar de EU vast, waarmee ‘s werelds grootste zone voor vrij gegevensverkeer werd gecreëerd, op basis van een hoog niveau van gegevensbescherming11. Deze wederzijdse adequaatheidsbesluiten vormen een aanvulling op de voordelen van de economische partnerschapsovereenkomst EU-Japan (EPA), die in februari 2019 in werking trad12, en de strategische partnerschapsovereenkomst13, die naast de EPA werd overeengekomen, en versterken deze voordelen. Bedrijven aan beide kanten profiteren van de synergie tussen de wederzijdse adequaatheidsbesluiten en de EPA, aangezien het mogelijke vrije verkeer van gegevens tussen de EU en Japan commerciële uitwisselingen verder vergemakkelijkt en leidt tot aanzienlijke zakelijke kansen als gevolg van een geprivilegieerde toegang tot elkaars markt. Hiermee wordt ook een belangrijk precedent geschapen door duidelijk aan te tonen dat het bevorderen van hoge normen voor de privacy en het faciliteren van de internationale handel in het digitale tijdperk hand in hand kunnen en moeten gaan.
Sinds de goedkeuring van de adequaatheidsbesluiten hebben de EU en Japan, als gelijkgestemde partners, hun samenwerking op het gebied van digitale zaken in het algemeen en gegevensverkeer in het bijzonder verder geïntensiveerd. Op bilateraal niveau komt dit met name tot uiting in het sluiten van het digitale partnerschap in mei 202214 en de start van de onderhandelingen om disciplines betreffende grensoverschrijdend gegevensverkeer op te nemen in de EPA in oktober 202215, waarmee de synergie met de regeling inzake wederzijdse adequaatheid verder zal worden versterkt. Op multilateraal niveau hebben de EU en Japan de handen ineengeslagen om het concept van “Data Free Flow with Trust” (vrij gegevensverkeer op basis van vertrouwen) — dat werd geïntroduceerd door wijlen eerste minister Shinzo Abe — te bevorderen, te versterken en in de praktijk te brengen, ook door middel van nauwe samenwerking in het kader van de G7, de Wereldhandelsorganisatie (in het kader van het initiatief voor een gezamenlijke verklaring over e-handel) en de Organisatie voor Economische Samenwerking en Ontwikkeling (OESO). Binnen de OESO was de intensieve samenwerking tussen de EU en Japan op deze gebieden met name cruciaal voor de allereerste goedkeuring op internationaal niveau ooit van gemeenschappelijke beginselen voor de toegang van de overheid tot persoonsgegevens die in het bezit zijn van de particuliere sector16. Ten aanzien van deze verschillende werkstromen werd, in meer of mindere mate, vertrouwd op de gedeelde waarden en vereisten die de basis vormen van de regeling inzake wederzijdse adequaatheid tussen de EU en Japan.
Om regelmatig te controleren of de vaststellingen van het adequaatheidsbesluit nog steeds feitelijk en rechtens gerechtvaardigd zijn, moet de Commissie een periodieke evaluatie verrichten en aan het Europees Parlement en de Raad verslag uitbrengen over de resultaten hiervan17. Dit verslag, waarin alle aspecten van de werking van het besluit worden behandeld, vormt de afsluiting van de eerste periodieke evaluatie. Aan de Japanse kant hebben vertegenwoordigers van de PPC, het ministerie van Binnenlandse Zaken en Communicatie, het ministerie van Justitie, het ministerie van Defensie en de nationale politiedienst meegewerkt aan de evaluatie. Naast de leden van de Europese Commissie maakten drie door het Europees Comité voor gegevensbescherming aangewezen vertegenwoordigers deel uit van de EU-delegatie.
Op 26 oktober 2021 vond een evaluatievergadering tussen de twee delegaties plaats, die werd voorafgegaan en werd opgevolgd door talrijke uitwisselingen. In het bijzonder heeft de Commissie ter voorbereiding van de evaluatie informatie van de Japanse autoriteiten verzameld over de werking van het besluit, en met name over de uitvoering van de aanvullende voorschriften. De Commissie heeft ook informatie vergaard uit openbare bronnen en van lokale deskundigen over de werking van het besluit en relevante ontwikkelingen in de Japanse wetgeving en praktijk, zowel wat betreft de regels inzake gegevensbescherming die gelden voor particuliere exploitanten als met betrekking tot de toegang van de overheid. In het verlengde van de evaluatievergadering vonden verschillende uitwisselingen tussen de Commissie en de PPC plaats om punten op te volgen die tijdens deze vergadering waren besproken en met name om de vragen te behandelen die waren gerezen als gevolg van de invoering van regels inzake gepseudonimiseerde persoonsinformatie in de APPI.
2. BELANGRIJKSTE BEVINDINGEN
De gedetailleerde bevindingen met betrekking tot de werking van alle aspecten van het adequaatheidsbesluit worden gepresenteerd in het werkdocument van de diensten van de Commissie (SWD(2023) 75) dat bij het onderhavige verslag is gevoegd.
Uit de eerste evaluatie is met name gebleken dat de kaders voor gegevensbescherming van de EU en Japan sinds de goedkeuring van de wederzijdse adequaatheidsbesluiten verder zijn geconvergeerd. De APPI werd twee keer gewijzigd: op 5 juni 2020, bij de Wet tot wijziging van de Wet bescherming persoonsinformatie van 2020 (APPI-wijziging van 2020), die op 1 april 2022 in werking trad18; en op 12 mei 2021, bij de Wet inzake de ordening van gerelateerde wetten voor de totstandkoming van een digitale samenleving (APPI-wijziging van 2021)19. De aanvullende voorschriften werden, in overleg met de Commissie, aangepast om deze wijzigingen te weerspiegelen.
Met deze wijzigingen zijn de systemen van de EU en Japan nog verder met elkaar in overeenstemming gebracht, met name door de verplichtingen op het gebied van gegevensbeveiliging te versterken (door middel van de invoering van een plicht om inbreuken in verband met gegevens te melden), evenals de rechten van betrokkenen (met name het recht op toegang en het recht om bezwaar te maken) en de bescherming die wordt geboden in het geval van gegevensoverdrachten (in de vorm van aanvullende vereisten inzake informatieverstrekking en monitoring, met inbegrip van informatie over mogelijke risico’s in verband met de toegang van de overheid in het land van bestemming). In deze context is het bijzonder vermeldenswaard dat sommige van de aanvullende waarborgen uit hoofde van de aanvullende voorschriften voor persoonsgegevens uit de EU, dat wil zeggen met betrekking tot de bewaring van gegevens en de voorwaarden voor geïnformeerde toestemming voor grensoverschrijdende overdrachten, in de APPI zijn opgenomen, waardoor zij algemeen van toepassing zijn geworden op alle persoonsgegevens, ongeacht de herkomst of de plek van verzameling ervan20.
Een andere belangrijke ontwikkeling waar de Commissie verheugd over is, is de omvorming van de APPI tot een uitgebreid kader voor gegevensbescherming voor zowel de particuliere als openbare sector, waarop de PPC exclusief toezicht uitoefent21. Deze verdere versterking van het Japanse kader voor gegevensbescherming en van de bevoegdheden van de PPC kan de weg vrijmaken voor een uitbreiding van het adequaatheidsbesluit tot meer dan alleen commerciële uitwisselingen en voor het opnemen van overdrachten die momenteel buiten het toepassingsgebied hiervan vallen, zoals in verband met samenwerking op het gebied van regelgeving en onderzoek.
De eerste evaluatie is ook gericht op nieuwe regels inzake het creëren en gebruiken van “gepseudonimiseerde persoonsinformatie” die werden ingevoerd bij de APPI-wijziging van 202022. Het doel van deze nieuwe regels is in wezen het vergemakkelijken van het (interne) gebruik van persoonsinformatie door ondernemingen die persoonsinformatie behandelen voor hoofdzakelijk statistische doeleinden (bv. om trends en patronen te identificeren met het oog op verdere activiteiten, met inbegrip van onderzoek). Dankzij de evaluatievergadering en daaropvolgende uitwisselingen tussen de Commissie en de PPC konden de uitlegging en toepassing van deze nieuwe bepalingen worden verduidelijkt. Als gevolg van deze besprekingen werden de aanvullende voorschriften op 15 maart 2023 op twee manieren gewijzigd om de beoogde toepassing van deze nieuwe bepalingen duidelijker te weerspiegelen en aldus de rechtszekerheid en transparantie te waarborgen23. Ten eerste is in de aanvullende voorschriften bepaald dat dergelijke informatie slechts voor statistische doeleinden mag worden gebruikt — die worden gedefinieerd als verwerking voor statistische onderzoeken of het produceren van statistische resultaten — om geaggregeerde gegevens te produceren, en dat de resultaten van de verwerking niet zullen worden gebruikt ter ondersteuning van maatregelen of besluiten met betrekking tot een specifieke persoon. Ten tweede wordt hierin duidelijk gemaakt dat gepseudonimiseerde persoonsinformatie die oorspronkelijk van de EU is ontvangen, altijd als “persoonsinformatie” in het kader van de APPI zal worden beschouwd, teneinde te waarborgen dat de continuïteit van de bescherming van gegevens die uit hoofde van de AVG als persoonsgegevens worden beschouwd, niet wordt ondermijnd wanneer deze worden overgedragen op basis van het adequaatheidsbesluit24.
Met betrekking tot de uitvoering van waarborgen voor de gegevensbescherming in de praktijk is de Commissie verheugd over de verschillende stappen die de PPC heeft ondernomen. Dit omvat de goedkeuring van bijgewerkte richtsnoeren, ook met betrekking tot internationale gegevensoverdrachten. De Commissie merkt op dat deze richtsnoeren zouden kunnen worden verduidelijkt om ook de specifieke vereisten te behandelen die op grond van de aanvullende voorschriften van toepassing zijn op verdere doorgiften aan derden vanuit Japan van persoonsgegevens uit de Unie, met inbegrip van — zoals volgt uit aanvullend voorschrift 4 en zoals uitgelegd in het adequaatheidsbesluit25 — het uitsluiten van verdere doorgiften aan derden op basis van het APEC-certificeringssysteem van grensoverschrijdende privacyregels (CBPR — Cross Border Privacy Rules). Daarnaast voorziet de PPC, hoewel zij heeft uitgelegd dat PHIBO’s hun verdere doorgiften aan derden van gegevens die oorspronkelijk afkomstig zijn uit de EU, omkaderen door een contract te sluiten dat de ontvanger bindt aan maatregelen ter waarborging van de continuïteit van de bescherming, momenteel niet in richtsnoeren over de aanbevolen inhoud (in termen van waarborgen) van “gelijkwaardige maatregelen” die worden gebruikt voor internationale gegevensoverdrachten, of dit nu is in de vorm van richtsnoeren of modelcontracten voor gegevensbescherming. Deze nadere verduidelijkingen, die met name zouden kunnen worden gebaseerd op de uitwisseling van informatie en beste praktijken tussen de PPC en de Commissie, zouden zeer nuttig kunnen zijn, aangezien zij betrekking hebben op aspecten die bijzonder relevant zijn voor bedrijven die binnen beide rechtsgebieden actief zijn.
Wat betreft toezicht en handhaving merkt de Commissie op dat de PPC in de periode na de goedkeuring van het adequaatheidsbesluit meer gebruik heeft gemaakt van haar niet-dwingende middelen van richtsnoeren en advies (artikel 147 van de APPI) dan van haar dwingende middelen (bv. het opleggen van bindende bevelen, artikel 148 APPI). De PPC heeft ook gemeld dat zij tot nu toe geen klachten heeft ontvangen over de naleving van de aanvullende voorschriften en dat geen onderzoeken naar dergelijke kwesties zijn uitgevoerd op eigen initiatief van de PPC. Tijdens de evaluatievergadering kondigde de PPC echter aan dat zij overweegt op eigen initiatief steekproefcontroles uit te voeren om de naleving van de aanvullende voorschriften te waarborgen. De Commissie is verheugd over deze aankondiging, aangezien zij van mening is dat dergelijke steekproefcontroles zeer belangrijk zijn om (mogelijke) inbreuken op de aanvullende voorschriften te voorkomen, op te sporen en aan te pakken en zo een doeltreffende naleving van deze voorschriften te waarborgen. Aangezien de toezichtsbevoegdheden van de PPC met de APPI-wijzigingen van 2020 en 2021 zijn versterkt, zouden deze steekproefcontroles deel kunnen uitmaken van een algemene inspanning om het gebruik van dergelijke bevoegdheden uit te breiden.
Tot slot is de Commissie zeer verheugd over de oprichting van speciale contactpunten voor personen uit de EU die vragen of zorgen hebben met betrekking tot de verwerking van hun persoonsgegevens in Japan, of dit nu door commerciële exploitanten (onderzoekstraject) of overheidsinstanties (traject voor bemiddeling na klachten) gebeurt. Zij merkt tegelijkertijd op dat op de webpagina over het onderzoekstraject is vermeld dat deze “alleen in het Japans” beschikbaar is, wat personen uit de EU er waarschijnlijk van zal weerhouden hiervan gebruik te maken, ondanks het feit dat de PPC heeft uitgelegd dat in principe ondersteuning in het Engels beschikbaar is. De Commissie heeft begrepen dat de PPC zal nadenken over manieren om de toegankelijkheid van dergelijke contactpunten voor Europeanen te vereenvoudigen, onder meer door dit punt te verduidelijken.
3. CONCLUSIE
De Commissie concludeert op basis van de algemene bevindingen als onderdeel van deze eerste evaluatie dat Japan nog steeds een adequaat niveau van bescherming waarborgt voor persoonsgegevens uit de Europese Unie die worden verzonden aan exploitanten die persoonsinformatie behandelen in Japan, op grond van de APPI, zoals aangevuld met de aanvullende voorschriften, en de officiële verklaringen, garanties en toezeggingen van bijlage II bij het besluit. In deze context erkennen de diensten van de Commissie de uitstekende samenwerking met de Japanse autoriteiten, en met de PPC in het bijzonder, bij het uitvoeren van de evaluatie, wat zij zeer op prijs stellen.
In het licht van deze resultaten van de evaluatie en in overeenstemming met overweging 181 van het adequaatheidsbesluit is de Commissie van mening dat het niet nodig is om de cyclus van twee jaar voor toekomstige evaluaties te handhaven en acht zij het derhalve passend om, overeenkomstig artikel 45, lid 3, AVG, over te gaan op een cyclus van vier jaar. Zij zal dienovereenkomstig overleg voeren met het comité dat is ingesteld bij artikel 93, lid 1, AVG26.
De versterking van bepaalde aspecten van het Japanse kader zou tegelijkertijd kunnen bijdragen tot een verdere versterking van de waarborgen die zijn uiteengezet in de APPI en de aanvullende voorschriften. Daartoe doet de Commissie de navolgende aanbevelingen.
1. De Commissie is verheugd over het beoogde gebruik van steekproefcontroles door de PPC om de naleving van de aanvullende voorschriften te waarborgen en moedigt dit gebruik verder aan. Zij is van mening dat dergelijke steekproefcontroles zeer belangrijk zijn om (mogelijke) inbreuken op de aanvullende voorschriften op te sporen en aan te pakken en zo een doeltreffende naleving van deze voorschriften te waarborgen.
2. De Commissie is verheugd over het feit dat de PPC bijgewerkte richtsnoeren over internationale doorgiften heeft gepubliceerd, aangezien deze de toegankelijkheid van de APPI-regels met betrekking tot dit onderwerp zullen verbeteren en deze regels gebruiksvriendelijker zullen maken. In deze richtsnoeren (of ander begeleidend materiaal) moeten, waar relevant, ook de specifieke vereisten worden uitgelegd die voortvloeien uit de aanvullende voorschriften, ook met betrekking tot de uitsluiting van de certificeringsregeling van het APEC-CBPR-systeem voor verdere doorgiften aan derden van persoonsgegevens die oorspronkelijk uit de EU zijn ontvangen.
3. Tijdens de evaluatie werd besproken hoe de trajecten van de PPC voor onderzoek/bemiddeling voor vragen en klachten van personen toegankelijker kunnen worden gemaakt voor buitenlanders. In deze context zou het belangrijk zijn om op de speciale website te verduidelijken dat in principe ondersteuning in het Engels beschikbaar is.
In het kader van de evaluatie werden ook gebieden geïdentificeerd waarop in de toekomst mogelijk kan worden samengewerkt. Zoals opgemerkt voorziet de PPC momenteel niet in richtsnoeren over de aanbevolen inhoud (in termen van waarborgen) van “gelijkwaardige maatregelen” die worden gebruikt voor internationale gegevensoverdrachten, of dit nu in de vorm van richtsnoeren of modelcontracten voor gegevensbescherming is. Gezien het toenemende belang van modelbepalingen en het potentieel hiervan als mondiaal instrument voor gegevensoverdrachten, zoals bijvoorbeeld erkend door de G727 en de OESO28, heeft de Commissie aangegeven interesse te hebben in een toekomstige samenwerking met Japan bij de ontwikkeling van dergelijke bepalingen. De uitbreiding van het toepassingsgebied van het adequaatheidsbesluit tot meer dan alleen overdrachten tussen commerciële exploitanten is een ander gebied dat de Commissie samen met de PPC wil verkennen.
De Commissie zal het Japanse kader voor gegevensbescherming en de dagelijkse praktijk nauwlettend in de gaten blijven houden. In dit verband kijkt zij uit naar toekomstige uitwisselingen met de Japanse autoriteiten over ontwikkelingen die voor het besluit van belang zijn29, alsook naar een verdere versterking van de samenwerking op internationaal niveau in een tijd waarin de vraag naar mondiale normen inzake privacy en gegevensverkeer toeneemt.
1 PB L 119 van 4.5.2016, blz. 1 (AVG).
2 In de versie van de APPI die op het moment van goedkeuring van het adequaatheidsbesluit van kracht was, werd dit begrip omschreven als “exploitant die persoonsinformatie behandelt” (PIHBO — personal information handling business operator). Een onderneming die persoonsinformatie behandelt, wordt in artikel 16, lid 2, van de APPI gedefinieerd als “een persoon die gebruikmaakt van een gegevensbank van persoonsinformatie of het equivalent hiervan voor zakelijk gebruik”; overheids- en bestuursinstanties op centraal en lokaal niveau zijn van de definitie uitgesloten. Het begrip “zakelijk” in de zin van de APPI is zeer breed en betreft activiteiten van allerlei soorten organisaties en natuurlijke personen, al dan niet met winstoogmerk. “Zakelijk gebruik” omvat bovendien ook het gebruik van persoonsinformatie buiten het verband van (externe) zakenrelaties, maar binnen de organisatie, bijvoorbeeld het verwerken van personeelsgegevens. Zie overwegingen 32-34 van het besluit.
3 Uitvoeringsbesluit van de Commissie (EU) 2019/419 van 23 januari 2019 overeenkomstig Verordening (EU) 2016/679 van het Europees Parlement en de Raad over de passende bescherming van persoonsgegevens door Japan krachtens de Wet bescherming persoonsinformatie (PB L 76 van 19.3.2019, blz. 1).
4Zie artikel 45, AVG en overweging 5 van het besluit.
5 Zie bijlage I bij het besluit.
6 In de tussentijd is de definitie van “persoonsgegevens in het bezit van de onderneming” met de wijziging van de APPI van 2020 aangepast, zodat persoonsgegevens die binnen een termijn van zes maanden “moeten worden gewist” (artikel 16, lid 4, van de gewijzigde APPI) niet langer worden uitgesloten. In de versie van de APPI die op het moment van goedkeuring van het adequaatheidsbesluit van kracht was, werd dit begrip omschreven als “te bewaren persoonsgegevens”.
7 Overwegingen 26, 31, 43, 49-51, 63, 68, 71, 76-79, 101 van het besluit.
8 Overweging 15 van het besluit.
9 Overwegingen 113-170 van en bijlage II bij het besluit.
10 Overwegingen 141-144, 149, 169 van het besluit.
11 Zie het persbericht dat na de afronding van deze onderhandelingen werd gepubliceerd en dat beschikbaar is op: https://ec.europa.eu/commission/presscorner/detail/nl/IP_18_4501
12 Besluit (EU) 2018/1907 van de Raad van 20 december 2018 betreffende de sluiting van de Overeenkomst tussen de Europese Unie en Japan betreffende een economisch partnerschap (PB L 330 van 27.12.2018, blz. 1). Met de EPA worden de handelsbelemmeringen beperkt waarmee Europese bedrijven te maken krijgen wanneer zij naar Japan exporteren en worden deze bedrijven geholpen om beter op deze markt te kunnen concurreren.
13 Strategische partnerschapsovereenkomst tussen de Europese Unie en haar lidstaten, enerzijds, en Japan, anderzijds (PB L 216 van 24.8.2018, blz. 4). De strategische partnerschapsovereenkomst biedt het rechtskader voor verdere ontwikkeling van het reeds langdurige en sterke partnerschap tussen de Unie en haar lidstaten, enerzijds, en Japan, anderzijds, op vele gebieden, waaronder de politieke dialoog, energie, vervoer, de mensenrechten, onderwijs, wetenschap en technologie, justitie, asiel en migratie.
14 Beschikbaar op: https://www.consilium.europa.eu/media/56091/%E6%9C%80%E7%B5%82%E7%89%88-jp-eu-digital-partnership-clean-final-docx.pdf. In het kader van het digitale partnerschap wordt een forum gecreëerd dat zal voorzien in politieke sturing en stimulansen voor gezamenlijke werkzaamheden ten aanzien van digitale technologieën op gebieden zoals een veilig 5G, technologieën die verder gaan dan 5G/voor 6G, veilige en ethische toepassingen van artificiële intelligentie of de weerbaarheid van mondiale toeleveringsketens in de sector voor halfgeleiders.
15 Zie bv. https://policy.trade.ec.europa.eu/news/eu-and-japan-start-negotiations-include-rules-cross-border-data-flows-their-economic-partnership-2022-10-07_en
16 OESO, Declaration on Government Access to Personal Data Held by Private Sector Entities, 14 december 2022.
17 Overwegingen 180-183 en artikel 3, lid 4, van het besluit.
18 Een Engelse vertaling is beschikbaar op: https://www.ppc.go.jp/files/pdf/APPI_english.pdf
19 Een Engelse vertaling is beschikbaar op: https://www.japaneselawtranslation.go.jp/ja/laws/view/4241
20 Artikel 16, lid 4, en artikel 28, lid 2, van de APPI, zoals gewijzigd.
21 In het bijzonder zijn de APPI, de Wet bescherming persoonsinformatie die bij bestuursorganen berust, en de Wet bescherming persoonsinformatie die bij geregistreerde bestuursagentschappen berust, enz. bij de APPI-wijziging van 2021 geconsolideerd in één enkele wet inzake gegevensbescherming die van toepassing is op zowel particuliere entiteiten als overheidsinstanties, terwijl de bevoegdheid van de PPC dienovereenkomstig is uitgebreid. Deze wijziging trad op 1 april 2023 in werking, nadat delen ervan op 1 september 2021 en op 1 april 2022 van kracht werden.
22 Gepseudonimiseerde persoonsinformatie wordt in de gewijzigde APPI gedefinieerd als informatie in verband met een persoon die “op zodanige wijze kan worden bewerkt dat het onmogelijk wordt gemaakt om een specifieke persoon te identificeren, tenzij deze informatie wordt gebundeld met andere informatie” aan de hand van in de wet uiteengezette en in de handhavingsregels gespecificeerde maatregelen. Zie artikel 16, lid 5, en artikel 41 van de APPI, zoals gewijzigd.
23 De herziene aanvullende voorschriften werden op 15 maart 2023 door de PPC goedgekeurd en traden op 1 april 2023 in werking.
24 Hiermee wordt de toepassing uitgesloten van artikel 42 van de gewijzigde APPI, waarbij slechts een beperkt aantal waarborgen voor gepseudonimiseerde persoonsinformatie die niet als persoonsinformatie wordt beschouwd, in stand wordt gehouden.
25 Zie overweging 79 van het besluit.
26 Zie overweging 181 van het besluit.
27 Zie de ministeriële verklaring van de ministers van Digitale Zaken van de G7 van de vergadering van 11 mei 2022, bijlage 1 (G7 Action Plan Promoting Data Free Flow with Trust), waarin onder het kopje “Building on commonalities in order to foster future interoperability” wordt verwezen naar de steeds vaker gebruikte praktijken zoals modelcontractbepalingen.
28 Zie OESO, Going Digital Toolkit, “Interoperability of privacy and data protection frameworks” (beschikbaar op: https://goingdigital.oecd.org/data/notes/No21_ToolkitNote_PrivacyDataInteroperability.pdf), blz. 18.
29 Zie overweging 177 van het besluit, volgens welke van de Japanse autoriteiten wordt verwacht dat zij de Commissie informeren over materiële ontwikkelingen die voor het besluit van belang zijn, zowel wat de verwerking van persoonsgegevens door bedrijfsexploitanten als de beperkingen en waarborgen die gelden voor de toegang tot persoonsgegevens door overheidsinstanties betreft.
NL NL