(1)

Uredbom (EU) 2016/679 utvrđuju se pravila za prijenos osobnih podataka od voditelja obrade ili izvršitelja obrade u Europskoj uniji trećim zemljama i međunarodnim organizacijama, u mjeri u kojoj je takav prijenos obuhvaćen njezinim područjem primjene. Pravila o međunarodnom prijenosu osobnih podataka utvrđena su u poglavlju V. te Uredbe, točnije u člancima od 44. do 50. Protok osobnih podataka u zemlje izvan Europske unije i iz njih potreban je za proširenje međunarodne suradnje i međunarodne trgovine, a pritom se ne smije ugroziti postojeća razina zaštite osobnih podataka u Europskoj uniji.

(2)

U skladu s člankom 45. stavkom 3. Uredbe (EU) 2016/679 Komisija može putem provedbenog akta odlučiti da treća zemlja, područje, ili jedan ili više određenih sektora unutar treće zemlje, ili međunarodna organizacija osigurava primjerenu razinu zaštite. Pod tim se uvjetom prijenos osobnih podataka toj trećoj zemlji, području, sektoru ili međunarodnoj organizaciji može obavljati bez potrebe za daljnjim odobrenjima, kako je predviđeno člankom 45. stavkom 1. i uvodnom izjavom 103. Uredbe.

(3)

Prema članku 45. stavku 2. Uredbe (EU) 2016/679 donošenje odluke o primjerenosti mora se temeljiti na sveobuhvatnoj analizi pravnog poretka treće zemlje, i kad je riječ o pravilima koja se primjenjuju na uvoznike podataka i o ograničenjima i zaštitnim mjerama u pogledu pristupa javnih tijela osobnim podacima. Procjenom se mora utvrditi jamči li predmetna treća zemlja razinu zaštite koja je „u načelu istovjetna” onoj koja je osigurana u Europskoj uniji (uvodna izjava 104. Uredbe (EU) 2016/679). Prema objašnjenju Suda Europske unije, to ne zahtijeva istovjetnu razinu zaštite (2). Konkretno, pravna sredstva kojima se koristi predmetna treća zemlja mogu se razlikovati od onih koja se primjenjuju u Europskoj uniji, pod uvjetom da se u praksi pokažu djelotvornima za osiguranje primjerene razine zaštite (3). Prema tome, standard primjerenosti ne podrazumijeva doslovno ponavljanje pravila EU-a. Umjesto toga ispituje se pruža li dotični strani sustav kao cjelina potrebnu razinu zaštite podataka sadržajem prava na privatnost i njihovom djelotvornom provedbom, nadzorom i ostvarivanjem (4).

(4)

Komisija je pomno proučila japansko pravo i praksu. Na temelju nalaza iznesenih u uvodnim izjavama od 6. do 175. Komisija zaključuje da Japan osigurava primjerenu razinu zaštite osobnih podataka koji se prenose organizacijama koje su obuhvaćene područjem primjene Zakona o zaštiti osobnih informacija (5) i podliježu dodatnim uvjetima navedenima u ovoj Odluci. Ti su uvjeti navedeni u Dopunskim pravilima (Prilog I.) koja je donijelo Povjerenstvo za zaštitu osobnih informacija (Personal Information Protection Commission, PPC) (6) i u službenim izjavama, jamstvima i obvezama koje je japanska vlada uputila Europskoj komisiji (Prilog II.).

(5)

Ova Odluka znači da za prijenos od voditelja obrade ili izvršitelja obrade u Europskom gospodarskom prostoru (EGP) (7) takvim organizacijama u Japanu nisu potrebna daljnja odobrenja. Ova Odluka ne utječe na izravnu primjenu Uredbe (EU) 2016/679 na takve organizacije ako su ispunjeni uvjeti iz njezina članka 3.

(6)

Pravni sustav kojim se uređuje privatnost i zaštita podataka u Japanu počiva na Ustavu proglašenom 1946.

(7)

U članku 13. Ustava navedeno je sljedeće:

„Svi ljudi moraju se poštovati kao pojedinci. Njihovo pravo na život, slobodu i težnju sreći, sve dok se ne kosi s javnom dobrobiti, najviša je vrednota zakonodavstva i drugih državnih poslova.”

(8)

Na temelju tog članka japanski Vrhovni sud pojasnio je prava pojedinaca u pogledu zaštite osobnih informacija. Odlukom iz 1969. priznao je pravo na privatnost i zaštitu podataka kao ustavno pravo (8). Naime, Sud je utvrdio da „svaki pojedinac ima slobodu zaštititi svoje osobne informacije od otkrivanja trećoj strani ili objavljivanja bez opravdanog razloga”. Štoviše, u odluci od 6. ožujka 2008. („Juki-Net”) (9) Vrhovni je sud utvrdio da se „građanska sloboda u privatnom životu štiti od izvršavanja javnih ovlasti te se može tumačiti da, kao jednu od sloboda pojedinca u privatnom životu, svaki pojedinac ima slobodu štititi svoje osobne informacije od otkrivanja trećoj strani ili objavljivanja bez opravdanog razloga” (10).

(9)

Japan je 30. svibnja 2003. donio niz zakona u području zaštite podataka:

(10)

Zadnja dva navedena zakona (izmijenjena 2016.) sadržavaju odredbe koje se primjenjuju na zaštitu osobnih informacija koju osiguravaju subjekti iz javnog sektora. Obrada podataka koja je obuhvaćena područjem primjene tih zakona nije predmet zaključka o primjerenosti u ovoj Odluci, koja je ograničena na zaštitu osobnih informacija koju osiguravaju „poslovni subjekti koji postupaju s osobnim informacijama” (PIHBO-i) u smislu APPI-ja.

(11)

U zadnjih nekoliko godina APPI je revidiran. Izmijenjeni APPI objavljen je 9. rujna 2015., a na snagu je stupio 30. svibnja 2017. Uveden je niz novih zaštitnih mjera te su ojačane postojeće, čime se japanski sustav zaštite podataka približio europskome. Među njima su, primjerice, niz ostvarivih prava pojedinaca ili osnivanje neovisnog nadzornog tijela (PPC-a), kojem su povjereni nadzor i osiguravanje provedbe APPI-ja.

(12)

Na obradu osobnih informacija obuhvaćenih područjem primjene ove Odluke osim APPI-ja primjenjuju se i provedbena pravila izdana na temelju APPI-ja. To uključuje izmjenu Naloga Kabineta za provedbu Zakona o zaštiti osobnih informacija od 5. listopada 2016. i tzv. pravila provedbe Zakona o zaštiti osobnih informacija koja je donio PPC (11). Oba skupa pravila pravno su obvezujuća i provediva te su stupila na snagu u isto vrijeme kada i izmijenjeni APPI.

(13)

Nadalje, 28. listopada 2016. Japanski kabinet (sastavljen od premijera i ministara njegove vlade) objavio je „osnovnu politiku” za „sveobuhvatno i cjelovito promicanje mjera za zaštitu osobnih informacija”. Prema članku 7. APPI-ja „osnovna politika” izdaje se u obliku Odluke Kabineta i uključuje političke smjernice za provedbu APPI-ja, usmjerene i na središnju i lokalnu vlast.

(14)

Nedavno je Odlukom Kabineta donesenom 12. lipnja 2018. japanska vlada izmijenila „osnovnu politiku”. S ciljem olakšavanja međunarodnog prijenosa podataka tom se Odlukom Kabineta PPC-u, kao tijelu nadležnom za upravljanje APPI-jem i njegovu provedbu, delegira „ovlast za poduzimanje potrebnih mjera za premošćivanje razlika između sustava i operacija Japana i predmetne strane zemlje na temelju članka 6. tog zakona kako bi se osiguralo primjereno postupanje s osobnim informacijama primljenima od te zemlje”. Prema Odluci Kabineta to uključuje ovlast PPC-a za uspostavu pojačane zaštite donošenjem strožih pravila koja dopunjuju i proširuju pravila iz APPI-ja i Naloga Kabineta. U skladu s tom odlukom ta su stroža pravila obvezujuća i provediva za japanske poslovne subjekte.

(15)

Na temelju članka 6. APPI-ja i te Odluke Kabineta PPC je 15. lipnja 2018. donio „Dopunska pravila u okviru Zakona o zaštiti osobnih informacija za postupanje s osobnim podacima koji se prenose iz EU-a na temelju odluke o primjerenosti” („Dopunska pravila”) kako bi se poboljšala zaštita osobnih informacija koje se prenose iz Europske unije u Japan na temelju ove odluke o primjerenosti. Ta su Dopunska pravila pravno obvezujuća za japanske poslovne subjekte, a njihovu provedbu mogu osigurati i PPC i sudovi, jednako kao i kad je riječ o odredbama APPI-ja, koje ta pravila dopunjuju strožim i/ili detaljnijim pravilima (12). Budući da će japanski poslovni subjekti koji primaju i/ili dalje obrađuju osobne podatke iz Europske unije imati zakonsku obvezu pridržavati se Dopunskih pravila, morat će osigurati (npr. tehničkim sredstvima („označivanjem”) ili organizaciskim sredstvima (pohranom u posebnoj bazi podataka)) da mogu identificirati takve osobne podatke tijekom cijelog njihova „životnog ciklusa” (13). U sljedećim se odjeljcima analizira sadržaj svakog Dopunskog pravila u okviru procjene članaka APPI-ja koje dopunjuje.

(16)

Prije izmjene 2015. to je bilo u nadležnosti različitih japanskih ministarstava u određenim sektorima, a sada je na temelju APPI-ja PPC ovlašten za donošenje „Smjernica” kako bi se „osigurala pravilna i djelotvorna provedba mjera koje treba poduzeti poslovni subjekt” u skladu s pravilima o zaštiti podataka. U svojim smjernicama PPC uvijek vjerodostojno tumači ta pravila, posebno APPI. Prema informacijama dobivenima od PPC-a te su Smjernice sastavni dio pravnog okvira i treba ih tumačiti zajedno s tekstom APPI-ja, Nalogom Kabineta, pravilima PPC-a te zbirkom pitanja i odgovora (14) koju je priredio PPC. Stoga su oni „obvezujući za poslovne subjekte”. Ako se u Smjernicama navodi da poslovni subjekt „mora” ili „ne smije” djelovati na određeni način, PPC će smatrati da nepoštovanje relevantnih odredaba predstavlja kršenje zakona (15).

(17)

Područje primjene APPI-ja određuje se prema utvrđenim pojmovima osobnih informacija, osobnih podataka i poslovnog subjekta koji postupa s osobnim informacijama. U APPI-ju su ujedno predviđena neka važna izuzeća iz njegova područja primjene, prije svega za anonimno obrađene osobne podatke i za posebne vrste obrade koju obavljaju određeni subjekti. U APPI-ju se ne koristi pojam „obrada”, nego istovjetan pojam „postupanje”, koji, prema informacijama primljenima od PPC-a, obuhvaća „sve radnje u pogledu osobnih podataka”, uključujući pribavljanje, unos, prikupljanje, organizaciju, pohranu, uređivanje/obradu, obnavljanje, brisanje, izdavanje, korištenje ili prosljeđivanje osobnih informacija.

(18)

Prije svega, kad je riječ o materijalnom području primjene, u APPI-ju se razlikuju osobne informacije od osobnih podataka te se samo određene odredbe tog zakona primjenjuju na prvu od tih dviju kategorija. U skladu s člankom 2. stavkom 1. APPI-ja pojam „osobne informacije” obuhvaća sve informacije o živoj osobi koje omogućuju njezinu identifikaciju. U definiciji se razlikuju dvije kategorije osobnih informacija: i. identifikacijske oznake pojedinaca i ii. druge osobne informacije na temelju kojih se može identificirati određena osoba. Druga kategorija obuhvaća i informacije koje same po sebi ne omogućuju identifikaciju, ali s kojima je, ako su „lako povezive” s drugim informacijama, moguće identificirati određenu osobu. Prema Smjernicama PPC-a (16) za svaki se slučaj zasebno procjenjuje mogu li se informacije smatrati „lako povezivima”, a pritom se uzima u obzir stvarna situacija („stanje”) poslovnog subjekta. Pretpostavit će se da je tako ako prosječan („običan”) poslovni subjekt tako povezuje (ili može povezati) informacije koristeći se sredstvima koja su mu dostupna. Primjerice, informacije nisu „lako povezive” s drugim informacijama ako se poslovni subjekt mora iznimno potruditi ili počiniti nezakonite radnje kako bi od jednog ili više drugih poslovnih subjekata dobio informacije koje bi povezivao.

(19)

U APPI-ju su samo određeni oblici osobnih informacija obuhvaćeni pojmom „osobni podaci”. „Osobni podaci” se konkretno definiraju kao „osobne informacije koje čine bazu podataka s osobnim informacijama”, tj. „kolektivni skup informacija” koji sadržava osobne informacije „sustavno organizirane tako da se pomoću računala mogu tražiti pojedinačne osobne informacije” (17) ili „propisane Nalogom Kabineta kao sustavno organizirane tako da se mogu jednostavno tražiti pojedinačne osobne informacije”, ali „isključujući one za koje je prema Nalogu Kabineta mala mogućnost da će, s obzirom na metodu njihova korištenja, nanijeti štetu pravima i interesima pojedinca” (18).

(20)

Ta je iznimka pobliže opisana u članku 3. stavku 1. Naloga Kabineta, prema kojemu moraju biti ispunjena sva tri sljedeća uvjeta: i. kolektivni skup informacija mora biti „izdan u svrhu prodaje velikom broju neimenovanih osoba, a njegovo izdavanje nije provedeno u suprotnosti sa zakonskim odredbama ili nalogom na temelju njih”; ii. mora ga „u svakom trenutku moći kupiti velik broj neimenovanih osoba” i iii. osobni podaci koje sadržava moraju biti „proslijeđeni u svoju prvotnu svrhu, bez dodavanja drugih informacija o živoj osobi”. Prema objašnjenjima PPC-a ta vrlo ograničena iznimka uvedena je kako bi se isključili telefonski imenici ili slične vrste popisa.

(21)

Za podatke prikupljene u Japanu to razlikovanje „osobnih informacija” i „osobnih podataka” relevantno je jer takve informacije nisu nužno dio „baze podataka s osobnim informacijama” (npr. samo jedan skup podataka koji se ručno prikuplja i obrađuje) te se stoga odredbe APPI-ja koje se odnose samo na osobne podatke neće primjenjivati (19).

(22)

No ta razlika neće biti relevantna za osobne podatke uvezene iz Europske unije u Japan na temelju odluke o primjerenosti. Budući da će se takvi podaci u pravilu prenositi elektronički (što je u digitalno doba uobičajen način razmjene podataka, pogotovo na tako velikoj udaljenosti kao između EU-a i Japana) te stoga postaju dijelom elektroničkog sustava pohrane uvoznika podataka, takvi će podaci iz EU-a prema APPI-ju biti obuhvaćeni kategorijom „osobni podaci”. U iznimnom slučaju da se osobni podaci iz EU-a prenose na druge načine (npr. u papirnatom obliku), oni će i dalje biti obuhvaćeni APPI-jem ako nakon prijenosa postaju dijelom „kolektivnog skupa informacija” sustavno organiziranog tako da se omogući lako pretraživanje određenih informacija (članak 2. stavak 4. točka ii. APPI-ja). Prema članku 3. stavku 2. Naloga Kabineta to će biti slučaj u kojem su informacije uređene „prema određenom pravilu” te baza podataka uključuje popis poput sadržaja ili kazala koji olakšava pretraživanje. To odgovara definiciji „sustava pohrane” u smislu članka 2. stavka 1. Opće uredbe o zaštiti podataka.

(23)

Određene odredbe APPI-ja, posebno članci od 27. do 30. o pravima pojedinaca, primjenjuju se samo na određenu kategoriju osobnih podataka, i to na „pohranjene osobne podatke”. Oni su definirani u članku 2. stavku 7. APPI-ja kao osobni podaci za koje nije i. „Nalogom Kabineta utvrđeno da bi mogli nanijeti štetu javnim ili drugim interesima ako se sazna za njihovo postojanje ili nepostojanje” ili ii. „Nalogom Kabineta određeno da se brišu u roku od najviše jedne godine”.

(24)

Prva od tih dviju kategorija objašnjena je u članku 4. Naloga Kabineta i obuhvaća četiri vrste izuzeća (20). Tim izuzećima nastoje se ostvariti ciljevi slični onima iz članka 23. stavka 1. Uredbe (EU) 2016/679, posebno zaštita ispitanika („principal” u terminologiji APPI-ja) i sloboda drugih, nacionalna sigurnost, javna sigurnost, kazneni progon ili drugi važni ciljevi od općeg javnog interesa. Osim toga, iz teksta članka 4. stavka 1. točaka od i. do iv. Naloga Kabineta proizlazi da njihova primjena uvijek podrazumijeva određeni rizik za jedan od zaštićenih važnih interesa (21).

(25)

Druga kategorija pobliže je opisana u članku 5. Naloga Kabineta. Kad se tumači zajedno člankom 2. stavkom 7. APPI-ja, iz područja primjene pojma pohranjenih osobnih podataka, a time i iz prava pojedinaca u skladu s APPI-jem, izuzimaju se osobni podaci koje „treba izbrisati” u roku od šest mjeseci. PPC je objasnio je da se tim izuzećem poslovne subjekte želi potaknuti da podatke pohranjuju i obrađuju što kraće. Međutim, to bi značilo da ispitanici iz EU-a ne bi mogli ostvarivati važna prava samo zbog trajanja razdoblja u kojem predmetni poslovni subjekt zadržava njihove podatke.

(26)

Kako bi se ta situacija riješila, prema Dopunskom pravilu 2. s osobnim podacima koji se prenose iz Europske unije mora se „postupati kao sa pohranjenim osobnim podacima u smislu članka 2. stavka 7. Zakona, bez obzira na rok u kojem ih treba izbrisati”. Dakle, razdoblje zadržavanja neće utjecati na prava koja uživaju ispitanici iz EU-a.

(27)

Zahtjevi koji se primjenjuju na anonimno obrađene osobne informacije, kako je definirano u članku 2. stavku 9. APPI-ja, propisani su u odjeljku 2. poglavlja 4. Zakona („Dužnosti poslovnog subjekta koji postupa s anonimno obrađenim informacijama”). Za razliku od toga, takve informacije nisu uređene odredbama iz odjeljka 1. poglavlja IV. APPI-ja, koji uključuje članke o mjerama za zaštitu podataka i pravima koja se primjenjuju na obradu osobnih podataka na temelju tog Zakona. Prema tome, iako „anonimno obrađene osobne informacije” ne podliježu „standardnim” pravilima o zaštiti podataka (onima iz odjeljka 1. poglavlja IV. i članka 42. APPI-ja), obuhvaćene su područjem primjene APPI-ja, posebno članaka od 36. do 39.

(28)

U skladu s člankom 2. stavkom 9. APPI-ja „anonimno obrađene osobne informacije” su informacije o pojedincu „nastale obradom osobnih informacija” pomoću mjera propisanih u APPI-ju (članak 36. stavak 1.) i pobliže određenih u pravilima PPC-a (članak 19.), zbog čega je nemoguće identificirati određenog pojedinca ili vratiti osobne informacije u prvotni oblik.

(29)

Iz tih odredaba proizlazi, kako je potvrdio i PPC, da postupak „anonimizacije” osobnih informacija ne mora biti tehnički nepovratan. Na temelju članka 36. stavka 2. APPI-ja poslovni subjekti koji postupaju s „anonimno obrađenim osobnim informacijama” dužni su samo spriječiti ponovnu identifikaciju tako da poduzmu mjere za sigurnost „opisa itd. te identifikacijskih oznaka pojedinaca izbrisanih iz osobnih informacija kako bi se dobile anonimno obrađene informacije te informacija o provedenoj metodi obrade”.

(30)

S obzirom na to da „anonimno obrađene osobne informacije”, kako su definirane u APPI-ju, uključuju podatke s kojima je ponovna identifikacija osobe još uvijek moguća, to bi moglo značiti da bi osobni podaci koji se prenose iz Europske unije mogli izgubiti dio dostupne zaštite u postupku koji bi se, u skladu s Uredbom (EU) 2016/679, prije smatrao oblikom „pseudonimizacije” nego „anonimizacije” (čime se njihova priroda kao osobnih podataka ne mijenja).

(31)

Da bi se ta situacija riješila, u Dopunskim pravilima predviđeni su dodatni zahtjevi koji se primjenjuju samo na osobne podatke prenesene iz Europske unije na temelju ove Odluke. U skladu s pravilom 5. iz Dopunskih pravila takve se osobne informacije smatraju „anonimno obrađenim osobnim informacijama” u smislu APPI-ja samo „ako poslovni subjekt koji postupa s osobnim informacijama poduzme mjere kojima bi onemogućio ponovnu identifikaciju pojedinca, među ostalim brisanjem informacija o metodi obrade itd.”. Potonje informacije opisane su u Dopunskim pravilima kao informacije koje se odnose na opise i identifikacijske oznake pojedinaca izbrisane iz osobnih informacija da bi se dobile „anonimno obrađene osobne informacije”, kao i informacije povezane s metodom obrade primijenjenom pri brisanju tih opisa i identifikacijskih oznaka pojedinaca. Drugim riječima, prema Dopunskim pravilima poslovni subjekt koji proizvodi anonimno obrađene osobne informacije dužan je uništiti „ključ” koji bi omogućio ponovnu identifikaciju podataka. To znači da će osobni podaci podrijetlom iz Europske unije biti obuhvaćeni odredbama APPI-ja o „anonimno obrađenim osobnim informacijama” samo u slučajevima u kojima bi se smatrali anonimnim informacijama i u skladu s Uredbom (EU) 2016/679 (22).

(32)

U osobnom području primjene APPI se primjenjuje samo na PIHBO-e. PIHBO je definiran u članku 2. stavku 5. APPI-ja kao „osoba koja priređuje bazu podataka s osobnim informacijama itd. za uporabu u poslovanju”, s iznimkom vlade i upravnih agencija na središnjoj i lokalnoj razini.

(33)

Prema Smjernicama PPC-a „poslovanje” znači svako „postupanje usmjereno na višestruko i kontinuirano obavljanje društveno priznate djelatnosti s određenim ciljem, neovisno o tome ostvaruje li se time dobit”. Organizacije bez pravne osobnosti (npr. neformalne udruge) ili pojedinci smatraju se PIHBO-om ako priređuju (upotrebljavaju) bazu podataka s osobnim informacijama itd. za svoje poslovanje (23). Stoga je pojam „poslovanje” u okviru APPI-ja vrlo širok jer uključuje ne samo profitne, već i neprofitne djelatnosti svih vrsta organizacija i pojedinaca. Osim toga, „uporaba u poslovanju” obuhvaća i osobne informacije koje se ne upotrebljavaju u (vanjskim) poslovnim odnosima subjekta, već interno, primjerice pri obradi podataka o zaposlenicima.

(34)

Kad je riječ o osobama koje imaju pravo na zaštitu u okviru APPI-ja, u njemu to ne ovisi o državljanstvu, boravištu ili lokaciji pojedinca. Isto vrijedi i za mogućnosti pojedinaca da zatraže pravnu zaštitu, bilo pred PPC-om ili sudovima.

(35)

U okviru APPI-ja nema posebne razlike između obveza voditelja obrade i izvršitelja obrade. Nepostojanje te razlike ne utječe na razinu zaštite jer svi PIHBO-i podliježu svim odredbama Zakona. PIHBO koji postupanje s osobnim podacima povjerava skrbniku (ekvivalent izvršitelja obrade iz Opće uredbe o zaštiti podataka), u pogledu povjerenih podataka i dalje podliježe obvezama na temelju APPI-ja i Dopunskih pravila. Osim toga, u skladu s člankom 22. APPI-ja, on je dužan „provoditi potreban i primjeren nadzor” nad skrbnikom. Sam skrbnik, kao što je PPC potvrdio, podliježe svim obvezama na temelju APPI-ja i Dopunskih pravila.

(36)

Članak 76. APPI-ja izuzima određene vrste obrade podataka iz primjene poglavlja IV. tog zakona, koje sadržava temeljne odredbe o zaštiti podataka (osnovna načela, obveze poslovnih subjekata, prava pojedinaca, nadzor PPC-a). Obrada obuhvaćena sektorskim izuzećem iz članka 76. također je izuzeta od ovlasti prisilne provedbe PPC-a, u skladu s člankom 43. stavkom 2. APPI-ja (24).

(37)

Relevantne kategorije za sektorsko izuzeće iz članka 76. APPI-ja određuju se prema dvostrukom kriteriju na temelju vrste PIHBO-a koji obrađuje osobne informacije i svrhe obrade. Točnije, izuzeće se primjenjuje na sljedeće: i. ustanove za radiodifuziju, novinske nakladnike, komunikacijske agencije i druge medijske organizacije (uključujući osobe koje se bave medijskim aktivnostima kao svojom djelatnošću) u mjeri u kojoj obrađuju osobne informacije u medijske svrhe; ii. osobe koje se profesionalno bave pisanjem, u mjeri u kojoj to uključuje osobne informacije; iii. sveučilišta i druge organizacije ili skupine usmjerene na akademski studij, ili osobe koje pripadaju takvoj organizaciji, u mjeri u kojoj obrađuju osobne informacije za potrebe akademskih studija; iv. vjerske zajednice, u mjeri u kojoj obrađuju osobne informacije u svrhe vjerske djelatnosti (uključujući sve s tim povezane aktivnosti); i v. politička tijela u mjeri u kojoj obrađuju osobne informacije za potrebe svoje političke aktivnosti (uključujući sve s tim povezane aktivnosti). Obrada osobnih informacija za jednu od svrha iz članka 76. koju vrše druge vrste PIHBO-a i obrada osobnih informacija koju vrši jedan od navedenih PIHBO-a u druge svrhe, primjerice u kontekstu zapošljavanja, i dalje su obuhvaćene odredbama iz poglavlja IV.

(38)

Kako bi se osigurala odgovarajuća razina zaštite osobnih podataka koji se iz Europske unije prenose poslovnim subjektima u Japanu, ova bi se Odluka trebala primjenjivati samo na obradu osobnih informacija koje su obuhvaćene područjem primjene poglavlja IV. APPI-ja, tj. onu koju vrši PIHBO u mjeri u kojoj okolnosti obrade ne odgovaraju jednom od sektorskih izuzeća. Njezino područje primjene trebalo bi stoga biti usklađeno s područjem primjene APPI-ja. Prema informacijama primljenima od PPC-a, ako PIHBO obuhvaćen ovom Odlukom naknadno promijeni svrhu korištenja (u mjeri u kojoj je to dopustivo) te bi potom bio obuhvaćen jednim od sektorskih izuzeća iz članka 76. APPI-ja, to bi se smatralo međunarodnim prijenosom (s obzirom na to da u takvim slučajevima obrada osobnih informacija više ne bi bila obuhvaćena Poglavljem IV. APPI-ja, pa tako ni njegovim područjem primjene). Isto bi vrijedilo u slučaju da PIHBO proslijedi osobne informacije subjektu koji je obuhvaćen člankom 76. APPI-ja za uporabu u jednu od svrha obrade navedenih u toj odredbi. Kad je riječ o osobnim podacima koji se prenose iz Europske unije, to bi stoga predstavljalo daljnji prijenos podložan odgovarajućim zaštitnim mjerama (posebno onima iz članka 24. APPI-ja i Dodatnog pravila 4.). Ako se PIHBO oslanja na privolu ispitanika (25), morao bi mu pružiti sve potrebne informacije, među ostalim i o tome da osobne informacije više nisu zaštićene APPI-jem.

(39)

Osobni podaci trebali bi se obrađivati u određenu svrhu i zatim se upotrebljavati samo ako to nije protivno svrsi obrade. To načelo zaštite podataka zajamčeno je člancima 15. i 16. APPI-ja.

(40)

APPI se oslanja na načelo prema kojemu poslovni subjekt mora „što preciznije” navesti svrhu korištenja (članak 15. stavak 1.), a potom je pri obradi podataka obvezan tom svrhom.

(41)

U tom se pogledu člankom 15. stavkom 2. APPI-ja propisuje da PIHBO ne smije mijenjati prvotnu svrhu „više nego što se može u razumnoj mjeri povezati sa svrhom korištenja prije izmjene”, što prema tumačenju u Smjernicama PPC-a odgovara onome što ispitanik može objektivno predvidjeti na temelju „uobičajenih društvenih konvencija” (26).

(42)

Nadalje, prema članku 16. stavku 1. APPI-ja PIHBO-i ne smiju postupati s osobnim informacijama „više nego što je nužno za postizanje svrhe korištenja” u skladu s člankom 15. bez prethodne privole ispitanika, osim ako se primjenjuje jedno od odstupanja iz članka 16. stavka 3 (27).

(43)

Kad je riječ o osobnim informacijama dobivenima od drugog poslovnog subjekta, PIHBO u načelu smije odrediti novu svrhu korištenja (28). Kako bi se osiguralo da, u slučaju prijenosa iz Europske unije, takav primatelj bude obvezan svrhom za koju su podaci preneseni, u skladu s Dopunskim pravilom 3. u slučajevima „u kojima [PIHBO] primi osobne podatke iz EU-a na temelju odluke o primjerenosti”, ili takav subjekt „od drugog [PIHBO-a] primi osobne podatke koji su prethodno preneseni iz EU-a na temelju odluke o primjerenosti” (daljnje dijeljenje), mora „svrhu korištenja navedenih osobnih podataka navesti u okviru svrhe korištenja za koju su podaci prvotno ili naknadno primljeni”. Drugim riječima, tim se pravilom osigurava da u kontekstu prijenosa svrha koja je određena u skladu s Uredbom (EU) 2016/679 i dalje određuje obradu i da bi promjena te svrhe u bilo kojoj fazi lanca obrade u Japanu zahtijevala privolu ispitanika iz EU-a. Budući da za dobivanje te privole PIHBO mora stupiti u kontakt s ispitanikom, ako to nije moguće, jednostavno se mora zadržati prvotna svrha.

(44)

Dodatna zaštita iz uvodne izjave 43. utoliko je važnija jer japanski sustav upravo načelom ograničenja svrhe osigurava da se osobni podaci obrađuju zakonito i pošteno.

(45)

U skladu s APPI-jem PIHBO koji prikuplja osobne informacije mora detaljno navesti svrhu njihova korištenja (29) i odmah obavijestiti ispitanika o toj svrsi korištenja (ili je javno objaviti) (30). Osim toga prema članku 17. APPI-ja PIHBO ne smije pribavljati osobne informacije prijevarom ili drugim nepropisnim sredstvima. Kad je riječ o određenim kategorijama podataka, kao što su osobne informacije koje zahtijevaju posebnu pozornost, za njihovo je pribavljanje potrebna privola ispitanika (članak 17. stavak 2. APPI-ja).

(46)

Prema tome, kako je objašnjeno u uvodnim izjavama 41. i 42., PIHBO ne smije obrađivati osobne podatke u druge svrhe osim ako ispitanik pristaje na takvu obradu ili ako se primjenjuje jedno od odstupanja iz članka 16. stavka 3. APPI-ja.

(47)

Konačno, kad je riječ o prosljeđivanju osobnih informacija trećoj strani (31), člankom 23. stavkom 1. APPI-ja takvo se otkrivanje ograničava na posebne slučajeve, pri čemu je u pravilu potrebna prethodna privola ispitanika (32). Člankom 23. stavcima 2., 3. i 4. APPI-ja predviđene su iznimke od obveze dobivanja privole. Međutim, te iznimke primjenjuju se samo na podatke koji nisu osjetljivi i pod uvjetom da poslovni subjekt unaprijed obavijesti dotične osobe o namjeri otkrivanja njihovih osobnih informacija trećoj strani i o mogućnosti prigovora na svako daljnje otkrivanje (33).

(48)

Kad je riječ o prijenosu iz Europske unije, osobni podaci morat će najprije biti prikupljeni i obrađeni u EU-u u skladu s Uredbom (EU) 2016/679. To će s jedne strane uvijek uključivati prikupljanje i obradu, među ostalim za prijenos iz Europske unije u Japan, na temelju jedne od pravnih osnova navedenih u članku 6. stavku 1. Uredbe, a s druge strane prikupljanje za posebnu, izričitu i zakonitu svrhu te zabranu daljnje obrade, među ostalim i prijenosom, na način koji nije u skladu s takvom svrhom, kako je utvrđeno u članku 5. stavku 1. točki (b) i članku 6. stavku 4. Uredbe.

(49)

Nakon prijenosa, u skladu s Dopunskim pravilom 3., PIHBO koji primi podatke morat će „potvrditi” posebnu svrhu/svrhe prijenosa (tj. svrhu određenu u skladu s Uredbom (EU) 2016/679) i te podatke dalje obrađivati u skladu s takvom svrhom/svrhama (34). To znači da je i prvotni pribavitelj takvih osobnih podataka u Japanu, ali i svaki budući primatelj tih podataka (uključujući skrbnika) obvezan svrhom/svrhama navedenima u Uredbi.

(50)

Nadalje, u slučaju da PIHBO želi promijeniti svrhu kako je prethodno navedena u Uredbi (EU) 2016/679, u skladu s člankom 16. stavkom 1. APPI-ja u načelu bi morao dobiti privolu ispitanika. Bez te privole svaka obrada podataka koja prelazi ono što je nužno za postizanje te svrhe korištenja značila bi kršenje članka 16. stavka 1. koju PPC i sudovi mogu sankcionirati.

(51)

Prema tome, budući da je u skladu s Uredbom (EU) 2016/679 za prijenos potrebna valjana pravna osnova i posebna svrha, što se odražava u svrsi korištenja „potvrđenoj” u skladu s APPI-jem, kombinacijom odgovarajućih odredaba APPI-ja i Dopunskog pravila 3. osigurava se daljnja zakonitost obrade podataka iz EU-a u Japanu.

(52)

Podaci bi trebali biti točni i prema potrebi ažurirani. Trebali bi biti i primjereni, bitni i ograničeni na ono što je nužno za svrhe u koje se obrađuju.

(53)

Ta su načela u japanskom pravu zajamčena člankom 16. stavkom 1. APPI-ja, kojim se zabranjuje postupanje s osobnim podacima koje bi prelazilo „ono što je nužno za postizanje svrhe korištenja”. Kako je objasnio PPC, to ne isključuje samo neprimjerenu i pretjeranu uporabu podataka (koja prelazi ono što je nužno za postizanje svrhe korištenja), nego uključuje i zabranu postupanja s podacima koji nisu bitni za postizanje svrhe korištenja.

(54)

Kad je riječ o obvezi u pogledu točnosti i ažuriranosti podataka, prema članku 19. APPI-ja PIHBO mora „nastojati da osobni podaci budu točni i ažurirani onoliko koliko je nužno za postizanje svrhe korištenja”. Ta bi se odredba trebala tumačiti zajedno s člankom 16. stavkom 1. APPI-ja: prema objašnjenjima PPC-a, ako PIHBO ne ispunjava propisane standarde točnosti, neće se smatrati da se obradom osobnih informacija postiže svrha korištenja te će postupanje s njima postati nezakonito u skladu s člankom 16. stavkom 1.

(55)

Podaci se u načelu ne bi trebali čuvati duže nego što je nužno za svrhe u koje se osobni podaci obrađuju.

(56)

U skladu s člankom 19. APPI-ja PIHBO-i moraju „nastojati […] bez odgode izbrisati osobne podatke kad takvo korištenje više nije nužno”. Tu odredbu treba tumačiti zajedno s člankom 16. stavkom 1. APPI-ja, kojim se zabranjuje postupanje s osobnim informacijama koje prelazi „ono što je nužno za postizanje svrhe korištenja”. Kad se svrha korištenja postigne, obrada osobnih informacija više se ne može smatrati nužnom te se stoga ne može nastaviti (osim ako PIHBO za to dobije privolu ispitanika).

(57)

Osobni podaci trebali bi se obrađivati tako da se jamči njihova sigurnost, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja. Zato bi poslovni subjekti trebali poduzeti odgovarajuće tehničke ili organizacijske mjere za zaštitu osobnih podataka od mogućih prijetnji. Te bi mjere trebalo procijeniti uzimajući u obzir najsuvremeniju tehnologiju i povezane troškove.

(58)

To je načelo ugrađeno u japansko pravo člankom 20. APPI-ja, prema kojemu PIHBO „poduzima potrebne i primjerene mjere za sigurnosnu kontrolu osobnih podataka, uključujući sprečavanje neovlaštenog odavanja, gubitka ili oštećenja osobnih podataka s kojima postupa.” U Smjernicama PPC-a objašnjavaju se mjere koje treba poduzeti, uključujući metode za uspostavu osnovnih politika, pravila za postupanje s podacima i razne „kontrolne mjere” (u pogledu organizacijske sigurnosti te ljudske, fizičke i tehnološke sigurnosti) (35). Osim toga, u Smjernicama PPC-a i posebnoj Obavijesti (Dodatak 8. „Sadržaj mjera za upravljanje sigurnošću koje se moraju poduzeti”) koju je objavio PPC navodi se više pojedinosti o mjerama koje se odnose na sigurnosne incidente, uključujući, na primjer, neovlašteno odavanje osobnih informacija, kao dio mjera za upravljanje sigurnošću koje trebaju poduzeti PIHBO-i (36).

(59)

Nadalje, kad s osobnim informacijama postupaju zaposlenici ili podugovaratelji, u skladu s člancima 20. i 21. APPI-ja mora se osigurati „potreban i primjeren nadzor” u svrhe sigurnosne kontrole. Konačno, u skladu s člankom 83. APPI-ja, namjerno neovlašteno odavanje ili krađa osobnih informacija kažnjivi su kaznom zatvora do jedne godine.

(60)

Ispitanici bi trebali biti obaviješteni o glavnim aspektima obrade njihovih osobnih podataka.

(61)

Prema članku 18. stavku 1. APPI-ja PIHBO mora informacije o svrsi korištenja pribavljenih osobnih informacija staviti na raspolaganje ispitaniku, osim u „slučajevima u kojima je svrha korištenja bila unaprijed javno objavljena”. Ista obveza vrijedi i u slučaju dopustive promjene svrhe (članak 18. stavak 3.). Time se osigurava i da je ispitanik obaviješten o činjenici da se njegovi podaci prikupljaju. Iako prema APPI-ju PIHBO u pravilu ne mora obavijestiti ispitanika o očekivanim primateljima osobnih informacija u fazi prikupljanja, takve su informacije nužan uvjet za svako naknadno otkrivanje informacija trećoj strani (primatelju) na temelju članka 23. stavka 2., odnosno kad se to čini bez prethodne privole ispitanika.

(62)

Kad je riječ o „pohranjenim osobnim podacima”, prema članku 27. APPI-ja PIHBO mora obavijestiti ispitanika o svojem identitetu (podacima za kontakt), svrsi korištenja i postupcima odgovaranja na zahtjev u vezi s pravima ispitanika u skladu s člancima 28., 29. i 30. APPI-ja.

(63)

Budući da će se prema Dopunskim pravilima osobni podaci koji se prenose iz Europske unije smatrati „pohranjenim osobnim podacima” bez obzira na razdoblje njihove pohrane (osim ako su obuhvaćeni izuzećima), na njih će se uvijek primjenjivati zahtjevi u pogledu transparentnosti na temelju obje navedene odredbe.

(64)

Zahtjevi iz članka 18. i obveza obavješćivanja o svrsi korištenja u skladu s člankom 27. APPI-ja podliježu istom skupu iznimki, koje se uglavnom temelje na razmatranju javnog interesa i zaštiti prava i interesa ispitanika, treće strane i voditelja obrade (37). Prema tumačenju iz Smjernica PPC-a te se iznimke primjenjuju u vrlo specifičnim situacijama, primjerice u situaciji kad bi informacije o svrsi korištenja mogle ugroziti zakonite mjere koje poslovni subjekt poduzima radi zaštite određenih interesa (npr. borba protiv prijevara, industrijske špijunaže, sabotaže).

(65)

Trebale bi postojati posebne zaštitne mjere ako se obrađuju „posebne kategorije” podataka.

(66)

„Osobne informacije koje zahtijevaju posebnu pozornost” definirane su u članku 2. stavku 3. APPI-ja. Ta se odredba odnosi na „osobne informacije principala koje obuhvaćaju njegovu rasu, uvjerenje, socijalni status, povijest bolesti, kaznenu evidenciju, činjenicu da je pretrpio štetu zbog kaznenog djela, ili druge opise itd. za koje je Nalogom Kabineta propisano da se s njima mora postupati s posebnom pozornošću kako se ne bi prouzročila nepoštena diskriminacija, predrasude ili druge negativne posljedice za principala”. Te kategorije velikim dijelom odgovaraju popisu osjetljivih podataka iz članaka 9. i 10. Uredbe (EU) 2016/679. Konkretno, „povijest bolesti” odgovara podacima koji se odnose na zdravlje, a „kaznena evidencija i činjenica da je osobi nanesena šteta kaznenim djelom” u osnovi su jednake kategorijama iz članka 10. Uredbe (EU) 2016/679. Kategorije iz članka 2. stavka 3. APPI-ja podložne su daljnjem tumačenju u Nalogu Kabineta i Smjernicama PPC-a. U skladu s odjeljkom 2.3. točkom 8. Smjernica PPC-a potkategorije „povijesti bolesti” opisane u članku 2. točkama ii. i iii. Naloga Kabineta tumače se tako da obuhvaćaju genetske i biometrijske podatke. Iako se na popisu izrijekom ne navode pojmovi „etničko podrijetlo” i „političko mišljenje”, upućuje se na „rasu” i „uvjerenje”. Kako je objašnjeno u odjeljku 2.3. točkama 1. i 2. Smjernica PPC-a, upućivanje na „rasu” obuhvaća i „etničke veze ili veze s određenim dijelom svijeta”, a „uvjerenje” uključuje i vjerska i politička stajališta.

(67)

Kao što je jasno iz teksta te odredbe, to nije iscrpan popis jer se može dodati još kategorija podataka u mjeri u kojoj njihova obrada stvara rizik od „nepravedne diskriminacije, predrasuda ili druge štete za principala”.

(68)

Iako je koncept „osjetljivih” podataka sam po sebi društveni konstrukt jer se temelji na kulturnim i pravnim tradicijama, moralnim razmatranjima, političkom odabiru itd. određenog društva, s obzirom na važnost osiguravanja primjerenih zaštitnih mjera za osjetljive podatke koji se prenose poslovnim subjektima u Japanu, Komisija je postigla da se posebna zaštita koja se prema japanskom pravu pruža „osobnim informacijama koje zahtijevaju posebnu pozornost” proširi na sve kategorije koje su u Uredbi (EU) 2016/679 priznate kao „osjetljivi podaci”. U tu je svrhu u Dopunskom pravilu 1. predviđeno da podatke prenesene iz Europske unije o seksualnom životu, seksualnoj orijentaciji ili članstvu u sindikatu PIHBO obrađuje „na isti način kao i osobne informacije koje zahtijevaju posebnu pozornost u smislu članka 2. stavka 3. [APPI-ja]”.

(69)

U pogledu dodatnih materijalnih zaštitnih mjera koje se primjenjuju na osobne informacije koje zahtijevaju posebnu pozornost, u skladu s člankom 17. stavkom 2. APPI-ja PIHBO-i ne smiju pribavljati takvu vrstu podataka bez prethodne privole dotičnog pojedinca, osim u malobrojnim iznimkama (38). Nadalje, ta kategorija osobnih informacija isključena je iz mogućnosti otkrivanja trećoj strani na temelju postupka predviđenog člankom 23. stavkom 2. APPI-ja (koji omogućuje prijenos podataka trećoj strani bez prethodne privole dotične osobe).

(70)

U skladu s načelom odgovornosti subjekti koji obrađuju podatke moraju uspostaviti odgovarajuće tehničke i organizacijske mjere kako bi djelotvorno ispunili svoje obveze u pogledu zaštite podataka te mogli dokazati da su ispunjene, prije svega nadležnom nadzornom tijelu.

(71)

Kako je navedeno u bilješci 34. (uvodna izjava 49.), PIHBO-i su u skladu s člankom 26. stavkom 1. APPI-ja dužni provjeriti identitet treće strane koja im dostavlja osobne podatke i „okolnosti” u kojima ih je pribavila (u slučaju osobnih podataka obuhvaćenih ovom Odlukom, te okolnosti prema APPI-ju i Dopunskom pravilu 3. uključuju činjenicu da podaci potječu iz Europske unije te svrhu prvotnog prijenosa podataka). Cilj te mjere je, među ostalim, osigurati zakonitost obrade podataka u cijelom lancu PIHBO-a koji postupaju s osobnim podacima. Nadalje, u skladu s člankom 26. stavkom 3. APPI-ja PIHBO-i moraju voditi evidenciju o datumu primitka i (obveznim) informacijama primljenima od treće strane na temelju stavka 1., o imenu dotičnog pojedinca (ispitanika), kategorijama obrađenih podataka te, u mjeri u kojoj je to relevantno, činjenici da je ispitanik dao privolu za dijeljenje svojih osobnih podataka. Kako je navedeno u članku 18. Pravila PPC-a, ta se evidencija mora čuvati u razdoblju od najmanje jedne do tri godine, ovisno o okolnostima. U obavljanju svojih zadaća PPC može zahtijevati uvid u takvu evidenciju (39).

(72)

PIHBO-i moraju odmah i na primjeren način rješavati pritužbe dotičnih pojedinaca na obradu njihovih osobnih informacija. Radi lakšeg rješavanja pritužbi oni moraju uspostaviti „sustav potreban za postizanje [te] svrhe”, što znači da bi trebali uspostaviti odgovarajuće postupke unutar svoje organizacije (npr. dodijeliti odgovornosti ili odrediti kontaktnu točku).

(73)

Naposljetku, APPI stvara okvir za sudjelovanje organizacija sektorske industrije u osiguravanju visoke razine usklađenosti (vidjeti poglavlje IV., odjeljak 4.). Uloga takvih akreditiranih organizacija za zaštitu osobnih informacija (40) jest promicati zaštitu osobnih informacija pružanjem podrške poduzećima svojim stručnim znanjem, ali i pridonijeti provedbi zaštitnih mjera, posebice rješavanjem pritužbi pojedinaca i pomaganjem u rješavanju s njima povezanih sporova. U tu svrhu oni mogu od PIHBO-a koji sudjeluju zatražiti da, prema potrebi, poduzmu potrebne mjere (41). Osim toga, u slučaju povrede podataka ili drugih sigurnosnih incidenata PIHBO-i u načelu obavješćuju PPC i ispitanika (ili javnost) te poduzimaju potrebne mjere, uključujući mjere za smanjivanje eventualne štete i sprečavanje ponavljanja sličnih incidenata (42). Iako su to dobrovoljni programi, PPC je 10. kolovoza 2017. na popis uvrstio 44 organizacije, od kojih samo najvećoj, Japan Information Processing and Development Center (JIPDEC), pripada 15 436 poslovnih subjekata (43). Među akreditiranim programima su sektorska udruženja kao Japan Securities Dealers Association, Japan Association of Car Driving Schools ili Association of Marriage Brokers (44) .

(74)

Akreditirane organizacije za zaštitu osobnih informacija dostavljaju godišnja izvješća o svojim aktivnostima. Prema „Pregledu statusa provedbe APPI-ja u financijskoj godini 2015.”, koji je objavio PPC, akreditirane organizacije za zaštitu osobnih informacija primile su ukupno 442 pritužbe, zatražile 123 obrazloženja od poslovnih subjekata u svojoj nadležnosti, u 41 slučaju zatražile dokumente od tih subjekata, izdale 181 uputu i dvije preporuke (45).

(75)

Razina zaštite osobnih podataka koji se prenose iz Europske unije poslovnim subjektima u Japanu ne smije se ugroziti daljnjim prijenosom takvih podataka primateljima u trećim zemljama izvan Japana. Takav „daljnji prijenos”, koji je sa stajališta japanskog poslovnog subjekta međunarodni prijenos iz Japana, trebao bi biti dopušten samo ako se na daljnje primatelje izvan Japana primjenjuju pravila koja osiguravaju sličnu razinu zaštite onoj koja je zajamčena u okviru japanskog pravnog poretka.

(76)

Prva zaštita sadržana je u članku 24. APPI-ja, kojim se općenito zabranjuje prijenos osobnih podataka trećoj strani izvan državnog područja Japana bez prethodne privole dotične osobe. Dopunskim pravilom 4. osigurava se da u slučaju prijenosa podataka iz Europske unije osoba koja daje privolu bude posebno dobro informirana time što se zahtijeva da se toj osobi „dostave informacije o okolnostima prijenosa koje su potrebne da bi principal mogao donijeti odluku o privoli”. Na temelju toga ispitanika se obavještava o činjenici da će podaci biti preneseni u inozemstvo (izvan područja primjene APPI-ja) i o zemlji odredišta. To će mu omogućiti da procijeni rizik prijenosa za privatnost. Isto tako, kako se može zaključiti iz članka 23. APPI-ja (vidjeti uvodnu izjavu 47.), informacije koje se dostavljaju principalu trebale bi obuhvaćati obvezne stavke iz njegova stavka 2., odnosno kategorije osobnih podataka dostavljene trećoj strani i način otkrivanja.

(77)

U članku 24. APPI-ja, primijenjenom zajedno s člankom 11-2. Pravila PPC-a, utvrđeno je nekoliko iznimaka od tog pravila koje se temelji na privoli. Nadalje, u skladu s člankom 24. ista se odstupanja kao što su ona koja se primjenjuju u skladu s člankom 23. stavkom 1. APPI-ja primjenjuju i na međunarodni prijenos podataka (46).

(78)

Kako bi se osigurao kontinuitet zaštite u slučaju osobnih podataka prenesenih iz Europske unije u Japan u skladu s ovom Odlukom, Dopunsko pravilo 4. povisuje razinu zaštite za daljnji prijenos takvih podataka od PIHBO-a primatelju u trećoj zemlji. To postiže ograničavanjem i utvrđivanjem osnova za međunarodni prijenos koje PIHBO-i mogu upotrijebiti kao alternativu privoli. Točnije, ne dovodeći u pitanje odstupanja iz članka 23. stavka 1. APPI-ja, osobni podaci preneseni na temelju ove Odluke mogu biti podložni (daljnjem) prijenosu bez privole samo u dva slučaja: i. kad se podaci šalju u treću zemlju za koju je PPC u skladu s člankom 24. APPI-ja utvrdio da pruža istovjetnu razinu zaštite onoj koja je zajamčena u Japanu (47); ili ii. ako su PIHBO i treća strana primatelj zajedno proveli mjere koje osiguravaju razinu zaštite istovjetnu APPI-ju, kad se tumači zajedno s Dopunskim pravilima, na temelju ugovora, drugih oblika obvezujućih sporazuma ili obvezujućih dogovora unutar grupacije. Druga kategorija odgovara instrumentima koji se upotrebljavaju u skladu s Uredbom (EU) 2016/679 kako bi se osigurale odgovarajuće zaštitne mjere (posebno ugovorne klauzule i obvezujuća korporativna pravila). Osim toga, kako je potvrdio PPC, čak i u tim slučajevima prijenos trećoj strani i dalje podliježe općim pravilima koja se primjenjuju na svako prosljeđivanje osobnih podataka u okviru APPI-ja (tj. zahtjevu za dobivanje privole u skladu s člankom 23. stavkom 1. ili, alternativno, zahtjevima za informacije s mogućnošću odbijanja prijenosa iz članka 23. stavka 2. APPI-ja). Ako ispitanik nije dostupan da odgovori na zahtjev za privolu ili pruži potrebne prethodne informacije u skladu s člankom 23. stavkom 2. APPI-ja, prijenos se ne smije izvršiti.

(79)

Stoga, osim u slučajevima u kojima je PPC utvrdio da predmetna treća zemlja osigurava razinu zaštite istovjetnu onoj koja je zajamčena APPI-jem (48), zahtjevi iz Dopunskog pravila 4. isključuju uporabu instrumenata za prijenos koji ne stvaraju obvezujući odnos između japanskog izvoznika podataka i uvoznika podataka iz treće zemlje te ne jamče zahtijevanu razinu zaštite. To je, primjerice, slučaj APEC-ova sustava pravila zaštite privatnosti pri prekograničnom prijenosu podataka (Cross Border Privacy Rules, CBPR), u kojem sudjeluje i Japan (49), jer u tom sustavu zaštita ne proizlazi iz dogovora koji obvezuje izvoznika i uvoznika u kontekstu njihova bilateralnog odnosa te je očito niža od razine zajamčene kombinacijom APPI-ja i Dopunskih pravila (50).

(80)

Naposljetku, još jedna zaštitna mjera u slučaju (daljnjeg) prijenosa proizlazi iz članaka 20. i 22. APPI-ja. U skladu s tim odredbama, ako subjekt iz treće zemlje (uvoznik podataka) djeluje u ime PIHBO-a (izvoznika podataka), tj. kao (pod)izvršitelj obrade, PIHBO mora osigurati nadzor nad tim subjektom u pogledu sigurnosti obrade podataka.

(81)

Kao i pravo EU-a o zaštiti podataka, APPI pojedincima jamči niz ostvarivih prava. To uključuje pravo na pristup („otkrivanje”), ispravak i brisanje te pravo na prigovor („prestanak korištenja”).

(82)

Prvo, u skladu s člankom 28. stavcima 1. i 2. APPI-ja ispitanik ima pravo od PIHBO-a zatražiti da „otkrije pohranjene osobne podatke na temelju kojih ga je moguće identificirati”, a nakon primitka takvog zahtjeva PIHBO „mora […] otkriti pohranjene osobne podatke” ispitaniku. Članak 29. (pravo na ispravak) i 30. (pravo na prestanak korištenja) imaju istu strukturu kao članak 28.

(83)

U članku 9. Naloga Kabineta navedeno je da se otkrivanje osobnih informacija, kako je navedeno u članku 28. stavku 2. APPI-ja, provodi u pisanom obliku, osim ako su se PIHBO i ispitanik dogovorili drukčije.

(84)

Ta prava podliježu trima vrstama ograničenja, koja se odnose na prava i interese samih pojedinaca ili treće strane (51), ozbiljno zadiranje u poslovne aktivnosti PIHBO-a (52) te slučajeve u kojima bi se otkrivanjem prekršili drugi zakoni ili propisi (53). Situacije u kojima bi se ta ograničenja primjenjivala slične su nekima od iznimaka iz članka 23. stavka 1. Uredbe (EU) 2016/679, kojim se omogućuje ograničavanje prava pojedinaca zbog razloga povezanih sa „zaštitom ispitanika ili pravima i slobodama drugih” ili „drugim važnim ciljevima od općeg javnog interesa”. Iako je kategorija slučajeva u kojima bi se otkrivanjem prekršili „drugi zakoni ili propisi” naizgled široka, zakonima i propisima kojima se u tom pogledu predviđaju ograničenja mora se poštovati ustavno pravo na privatnost te se mogu uvoditi ograničenja samo u mjeri u kojoj bi ostvarivanje tog prava „narušavalo javnu dobrobit” (54). To zahtijeva uravnoteženje interesa koji su u pitanju.

(85)

U skladu s člankom 28. stavkom 3. APPI-ja, ako traženi podaci ne postoje, ili ako dotični PIHBO odluči ne odobriti pristup pohranjenim podacima, o tome mora bez odgode obavijestiti pojedinca.

(86)

Drugo, u skladu s člankom 29. stavcima 1. i 2. APPI-ja ispitanik ima pravo zatražiti ispravak, dopunu ili brisanje svojih pohranjenih osobnih podataka ako su ti podaci netočni. Kad primi takav zahtjev, PIHBO „mora […] provesti potrebnu istragu” i, na temelju rezultata takve istrage, „ispraviti itd. sadržaj pohranjenih podataka”.

(87)

Treće, u skladu s člankom 30. stavcima 1. i 2. APPI-ja ispitanik ima pravo od PIHBO-a zatražiti da prekine s uporabom osobnih informacija ili ih izbriše ako se pri postupanju s njima krši članak 16. (ograničenje svrhe) ili su nepropisno pribavljeni te se krši članak 17. APPI-ja (pribavljanje prijevarom, drugim nepropisnim sredstvima ili, u slučaju osjetljivih podataka, bez privole). Isto tako, u skladu s člankom 30. stavcima 3. i 4. APPI-ja pojedinac ima pravo od PIHBO-a zatražiti da prestane prosljeđivati informacije trećoj strani ako bi se time kršile odredbe članka 23. stavka 1. ili članka 24. APPI-ja (prosljeđivanje trećoj strani, uključujući međunarodni prijenos).

(88)

Ako je zahtjev utemeljen, PIHBO mora bez odgode prekinuti s uporabom podataka ili njihovim prosljeđivanjem trećoj strani, u mjeri u kojoj je to potrebno za otklanjanje povrede ili, ako je predmet obuhvaćen iznimkom (prije svega ako bi prestanak korištenja prouzročio posebno visoke troškove) (55), provesti potrebne alternativne mjere za zaštitu prava i interesa dotičnih pojedinaca.

(89)

Za razliku od prava EU-a, APPI i relevantna podzakonska pravila ne sadržavaju pravne odredbe koje bi se posebno odnosile na mogućnost protivljenja obradi u svrhu izravnog marketinga. Međutim, takva će se obrada, u skladu s ovom Odlukom, odvijati u kontekstu prijenosa osobnih podataka koji su prethodno prikupljeni u Europskoj uniji. Na temelju članka 21. stavka 2. Uredbe (EU) 2016/679 ispitanik uvijek ima mogućnost usprotiviti se prijenosu podataka u svrhu obrade za izravni marketing. Osim toga, kako je objašnjeno u uvodnoj izjavi 43., u skladu s Dopunskim pravilom 3. PIHBO je dužan obrađivati podatke primljene na temelju Odluke za istu svrhu za koju su preneseni iz Europske unije, osim ako ispitanik pristane na promjenu svrhe korištenja. Prema tome, ako su podaci preneseni u bilo koju drugu svrhu osim izravnog marketinga, PIHBO-i u Japanu neće smjeti obrađivati podatke u svrhu izravnog marketinga bez privole ispitanika iz EU-a.

(90)

U svim slučajevima iz članaka 28. i 29. APPI-ja PIHBO mora bez odgode obavijestiti pojedinca o ishodu njegova zahtjeva, a uz to i obrazložiti (djelomično) odbijanje na temelju zakonskih iznimki iz članaka od 27. do 30. (članak 31. APPI-ja).

(91)

Kad je riječ o uvjetima za podnošenje zahtjeva, člankom 32. APPI-ja (zajedno s Nalogom Kabineta) PIHBO-u se omogućuje da odredi razumne postupke, među ostalim u pogledu informacija potrebnih za identifikaciju pohranjenih osobnih podataka. Međutim, prema stavku 4. tog članka, PIHBO-i ne smiju „prekomjerno opteretiti principala”. U određenim slučajevima PIHBO-i mogu i naplaćivati naknade uz uvjet da njihov iznos „ne prelazi ono što se smatra razumnim s obzirom na stvarne troškove” (članak 33. APPI-ja).

(92)

Konačno, pojedinac se može usprotiviti prosljeđivanju njegovih osobnih podataka trećoj strani na temelju članka 23. stavka 2. APPI-ja ili uskratiti privolu na temelju članka 23. stavka 1. (i time spriječiti otkrivanje u slučaju da nije dostupna druga pravna osnova). Isto tako, pojedinac može zaustaviti obradu podataka u drukčiju svrhu tako da odbije dati privolu u skladu s člankom 16. stavkom 1. APPI-ja.

(93)

Za razliku od prava Unije, APPI i relevantna podzakonska pravila ne sadržavaju opće odredbe koje bi se odnosile na pitanje odluka koje utječu na ispitanika i koje se isključivo temelje na automatiziranoj obradi osobnih podataka. Međutim, to je pitanje obuhvaćeno određenim sektorskim pravilima koja su primjenjiva u Japanu, a koja su posebno relevantna za tu vrstu obrade. To uključuje sektore u kojima će se društva najvjerojatnije poslužiti automatiziranom obradom osobnih podataka za donošenje odluka koje utječu na pojedince (npr. financijski sektor). Na primjer, prema „Sveobuhvatnim smjernicama za nadzor nad velikim bankama”, revidiranima u lipnju 2017., dotičnom se pojedincu moraju konkretno obrazložiti razlozi za odbijanje zahtjeva za sklapanje ugovora o zajmu. Ta pravila stoga pružaju zaštitu u vjerojatno manjem broju slučajeva u kojima bi automatizirane odluke donosio japanski poslovni subjekt kao „uvoznik” (a ne EU-ov voditelj obrade podataka kao „izvoznik”).

(94)

U svakom slučaju, kad je riječ o osobnim podacima koji su prikupljeni u Europskoj uniji, svaku odluku koja se temelji na automatiziranoj obradi obično donosi voditelj obrade podataka u Uniji (koji ima izravan odnos s dotičnim ispitanikom) te ona stoga podliježe Uredbi (EU) 2016/679 (56). To uključuje scenarije prijenosa u kojima obradu vrši strani (npr. japanski) poslovni subjekt koji djeluje kao posrednik (izvršitelj obrade) u ime voditelja obrade u EU-u (ili kao podobrađivač koji djeluje u ime izvršitelja obrade iz EU-a nakon što je podatke dobio od voditelja obrade u EU-u koji ih je prikupio) koji onda na temelju toga donosi odluku. Stoga nije vjerojatno da će nepostojanje posebnih pravila za automatizirano donošenje odluka u APPI-ju utjecati na razinu zaštite osobnih podataka koji se prenose na temelju ove Odluke.

(95)

Kako bi se i u praksi osigurala odgovarajuća razina zaštite podataka, trebalo bi uspostaviti neovisno nadzorno tijelo s ovlastima za praćenje i osiguravanje usklađenosti s pravilima o zaštiti podataka. To bi tijelo pri obavljanju svojih dužnosti i izvršavanju svojih ovlasti trebalo djelovati potpuno neovisno i nepristrano.

(96)

U Japanu je tijelo nadležno za praćenje i izvršavanje APPI-ja PPC. Sastoji se od predsjednika i osam povjerenika koje imenuje premijer uz suglasnost obaju domova japanskog parlamenta. Mandat predsjednika i svakog povjerenika traje pet godina, s mogućnošću ponovnog imenovanja (članak 64. APPI-ja). Povjerenike je moguće razriješiti dužnosti samo iz dobro utemeljenog razloga u ograničenom broju iznimnih okolnosti (57) i oni ne smiju aktivno sudjelovati u političkim aktivnostima. Nadalje, prema APPI-ju se povjerenici koji rade u punom radnom vremenu moraju suzdržati od bilo kakvih drugih plaćenih aktivnosti ili poslovnih djelatnosti. Na sve povjerenike primjenjuju se i unutarnja pravila prema kojima ne smiju sudjelovati u raspravama u slučaju mogućeg sukoba interesa. PPC-u pomaže tajništvo pod vodstvom glavnog tajnika, osnovano u svrhu obavljanja zadaća dodijeljenih PPC-u (članak 70. APPI-ja). Povjerenici i svi dužnosnici u tajništvu obvezani su strogim pravilima o čuvanju tajne (članci 72. i 82. APPI-ja).

(97)

Ovlasti PPC-a, koje on izvršava potpuno neovisno (58), uglavnom su utvrđene u člancima 40., 41. i 42. APPI-ja. U skladu s člankom 40. PPC može zatražiti od PIHBO-a da ga izvijesti ili dostavi dokumente o postupcima obrade te može provoditi inspekcijske preglede na licu mjesta ili preglede evidencije ili drugih dokumenata. U mjeri u kojoj je to potrebno za izvršavanje APPI-ja PPC može PIHBO-ima dati i smjernice ili ih savjetovati o postupanju s osobnim informacijama. PPC je već iskoristio tu ovlast u skladu s člankom 41. APPI-ja uputivši smjernice Facebooku nakon nedavnog slučaja Facebook/Cambridge Analytica.

(98)

Valja naglasiti da PPC u pojedinačnim slučajevima (pri poduzimanju mjera na temelju pritužbe ili na vlastitu inicijativu) ima ovlasti za izdavanje preporuka i naloga radi izvršavanja APPI-ja i obvezujućih pravila (uključujući Dopunska pravila). Te su ovlasti utvrđene u članku 42. APPI-ja. Iako se u njegovim stavcima 1. i 2. predviđa dvofazni mehanizam kojim PPC može izdati nalog (tek) kad mu prethodi preporuka, stavkom 3. omogućuje se izravno izdavanje naloga u hitnim slučajevima.

(99)

Iako nisu sve odredbe poglavlja IV. odjeljka 1. APPI-ja uvrštene u popis u članku 42. stavku 1., kojim se određuje i područje primjene članka 42. stavka 2., to se može objasniti činjenicom da se neke od tih odredaba ne odnose na obveze PIHBO-a (59) i da je sva bitna zaštita već osigurana drugim odredbama s tog popisa. Primjerice, iako se članak 15. (kojim se od PIHBO-a zahtijeva da odredi svrhu korištenja te da relevantne osobne informacije obrađuje isključivo unutar njezina opsega) ne spominje, neispunjavanje tog zahtjeva može biti osnova za preporuku zbog povrede članka 16. stavka 1. (kojim se PIHBO-u zabranjuje obrada osobnih informacija koja prelazi ono što je potrebno za postizanje svrhe korištenja, osim ako dobije privolu ispitanika) (60). Sljedeća odredba koja nije na popisu u članku 42. stavku 1. jest članak 19. APPI-ja o točnosti i zadržavanju podataka. U slučaju nepoštovanja te odredbe ona se može prisilno provesti bilo na temelju kršenja članka 16. stavka 1. ili kršenja članka 29. stavka 2. ako dotična osoba zatraži ispravak ili brisanje pogrešnih ili nerazmjerno opsežnih podataka, a PIHBO odbije ispuniti taj zahtjev. Kad je riječ o pravima ispitanika u skladu s člankom 28. stavkom 1., člankom 29. stavkom 1. i člankom 30. stavkom 1., nadzor PPC-a osiguran je time što su mu dodijeljene ovlasti prisilne provedbe odgovarajućih obveza PIHBO-a iz tih članaka.

(100)

U skladu s člankom 42. stavkom 1. APPI-ja PPC može, ako uviđa da postoji „potreba za zaštitom prava i interesa pojedinca u slučajevima u kojima je [PIHBO] prekršio” posebne odredbe APPI-ja, izdati preporuku da se „zaustavi kršenje ili poduzmu druge potrebne mjere za ispravljanje povrede”. Takva preporuka nije obvezujuća, ali otvara put obvezujućem nalogu na temelju članka 42. stavka 2. APPI-ja. Na temelju te odredbe, ako se preporuka ne poštuje „bez opravdanih razloga”, a PPC „uvidi da je ozbiljna povreda prava i interesa pojedinca neposredna”, može PIHBO-u naložiti da poduzme mjere u skladu s preporukom.

(101)

Dopunska pravila pobliže objašnjavaju i potkrepljuju ovlasti prisilne provedbe PPC-a. Točnije, u slučajevima koji uključuju podatke uvezene iz Europske unije, ako PIHBO bez opravdanog razloga ne poduzme mjere u skladu s preporukom PPC-a na temelju članka 42. stavka 1. APPI-ja, PPC će to uvijek smatrati ozbiljnom i neposrednom povredom prava i interesa pojedinca u smislu članka 42. stavka 2., a time i povredom koja zahtijeva izdavanje obvezujućeg naloga. Nadalje, kao „opravdan razlog” za nepridržavanje preporuke PPC prihvaća samo „izvanredni događaj [koji sprečava pridržavanje] izvan kontrole [PIHBO-a] koji se ne može razumno predvidjeti (npr. prirodne katastrofe)” ili slučajeve u kojima poduzimanje mjera u skladu s preporukom „više nije potrebno jer je [PIHBO] poduzeo alternativne mjere kojima je povreda u potpunosti ispravljena.”

(102)

Nepoštovanje naloga PPC-a smatra se kaznenim djelom na temelju članka 84. APPI-ja te PIHBO koji je proglašen krivim može biti osuđen na kaznu do šest mjeseci zatvora uz mogućnost rada ili dobiti novčanu kaznu u iznosu do 300 000 jena. Nadalje, u skladu s člankom 85. točkom i. APPI-ja nesuradnja s PPC-om ili ometanje njegove istrage kažnjivo je novčanom kaznom od najviše 300 000 jena. Te kaznene sankcije primjenjuju se uz one koje se mogu odrediti za bitna kršenja APPI-ja (vidjeti uvodnu izjavu 108.).

(103)

Kako bi se osigurala odgovarajuća zaštita, a posebno ostvarivanje prava pojedinca, ispitaniku bi trebalo pružiti djelotvornu upravnu i sudsku zaštitu, uključujući naknadu štete.

(104)

Prije ili umjesto traženja upravne ili sudske zaštite pojedinac može odlučiti podnijeti pritužbu na obradu svojih osobnih podataka samom voditelju obrade. Na temelju članka 35. APPI-ja PIHBO-i nastoje takve pritužbe rješavati „na primjeren način i bez odlaganja” te uspostaviti interne sustave rješavanja pritužbi radi postizanja tog cilja. Osim toga, na temelju članka 61. točke ii. APPI-ja PPC je odgovoran za „potrebno posredovanje u podnesenoj pritužbi i suradnju ponuđenu poslovnom subjektu koji rješava pritužbu”, koja u oba slučaja obuhvaća pritužbe koje su podnijeli stranci. U tom pogledu japanski je zakonodavac i središnjoj vlasti povjerio poduzimanje „potrebnih mjera” kako bi se PIHBO-ima omogućilo i olakšalo rješavanje pritužbi (članak 9.), a lokalne vlasti nastoje osigurati mirenje u takvim slučajevima (članak 13.). S obzirom na to pojedincima je za podnošenje pritužbe na raspolaganju više od 1 700 potrošačkih centara koje su uspostavile lokalne vlasti na temelju Zakona o sigurnosti potrošača (Consumer Safety Act) (61), uz mogućnost podnošenja pritužbe Nacionalnom centru za pitanja potrošača (National Consumer Affairs Centre) u Japanu. Takve se pritužbe mogu podnijeti i u vezi s kršenjem APPI-ja. U skladu s člankom 19. Temeljnog zakona o potrošačima (Basic Consumer Act) (62) lokalne vlasti moraju se nastojati uključiti u postupak mirenja u vezi s pritužbama te strankama pružiti potrebno stručno znanje. Čini se da su ti mehanizmi za rješavanje sporova prilično djelotvorni jer je 2015. u više od 75 000 pritužbi stopa rješavanja bila 91,2 %.

(105)

Ako PIHBO prekrši odredbe APPI-ja, to može dovesti do pokretanja građanskih ili kaznenih postupaka sa sankcijama. Prvo, ako pojedinac smatra da su povrijeđena njegova prava iz članaka 28., 29. i 30. APPI-ja, može zatražiti privremenu mjeru tražeći od suda da PIHBO-u naloži da ispuni njegov zahtjev u skladu s tim odredbama, tj. da otkrije pohranjene osobne podatke (članak 28.), da ispravi pohranjene osobne podatke koji su netočni (članak 29.) ili da prestane s nezakonitom obradom ili prosljeđivanjem podataka trećoj strani (članak 30.). Takve se mjere mogu poduzeti bez pozivanja na članak 709. Građanskog zakonika (63) ili općenito na odštetno pravo (64). To konkretno znači da osoba ne mora dokazati da je pretrpjela štetu.

(106)

Drugo, u slučaju kad se navodna povreda ne odnosi na prava pojedinca iz članaka 28., 29. i 30., nego na opća načela zaštite podataka ili obveze PIHBO-a, dotična osoba može pokrenuti parnični postupak protiv poslovnog subjekta na temelju odredaba o građanskoj odgovornosti iz japanskog Građanskog zakonika, a posebno članka 709. Iako je za pokretanje postupka u skladu s člankom 709. osim krivnje (namjere ili nemara) potrebno dokazati štetu, prema članku 710. Građanskog zakonika takva šteta može biti i materijalna i nematerijalna. Nema ograničenja za visinu iznosa naknade.

(107)

Kad je riječ o dostupnim naknadama, članak 709. japanskog Građanskog zakonika upućuje na novčanu naknadu. Međutim, prema tumačenju u japanskoj sudskoj praksi taj članak omogućuje i dobivanje sudskog naloga (65). Stoga, ako ispitanik pokrene postupak na temelju članka 709. Građanskog zakonika i tvrdi da su njegova prava ili interesi oštećeni zbog povrede odredbe APPI-ja koju je počinio tuženik, osim naknade štete, tim se zahtjevom može tražiti izdavanje privremene mjere, posebno za obustavu nezakonite obrade.

(108)

Treće, osim pravnih lijekova iz građanskog (odštetnog) prava, ispitanik može podnijeti pritužbu javnom tužitelju ili službeniku pravosudne policije zbog kršenja APPI-ja koja mogu dovesti do kaznenih sankcija. Poglavlje VII. APPI-ja sadržava niz kaznenih odredaba. Najvažnija (članak 84.) odnosi se na PIHBO-ovo neispunjavanje naloga PPC-a u skladu s člankom 42. stavcima 2. i 3. Ako poslovni subjekt ne ispuni nalog koji je izdao PPC, predsjednik PPC-a (kao i bilo koji drugi državni službenik) (66) može uputiti predmet javnom tužitelju ili službeniku pravosudne policije te na taj način pokrenuti kazneni postupak. Za kršenje naloga PPC-a propisana je kazna zatvora uz mogućnost rada od najviše šest mjeseci ili novčana kazna od najviše 300 000 jena. Ostale odredbe APPI-ja koje određuju sankcije u slučaju kršenja APPI-ja koja utječu na prava i interese ispitanika uključuju članak 83. APPI-ja (u vezi s „prikrivenim pružanjem ili uporabom” baze podataka s osobnim informacijama „s ciljem ostvarivanja […] nezakonite dobiti”) i članak 88. točku i. APPI-ja (u vezi s neispunjavanjem obveze treće strane da PIHBO-a točno obavijesti kad on prima osobne podatke u skladu s člankom 26. stavkom 1. APPI-ja, posebno o pojedinostima o njezinu vlastitu prethodnom pribavljanju takvih podataka). Za takva je kršenja APPI-ja propisana kazna zatvora uz mogućnost rada do godine dana ili novčana kazna od najviše 500 000 jena (u slučaju članka 83.) ili administrativna novčana kazna od najviše 100 000 jena (u slučaju članka 88. točke i.). Iako će već i sama prijetnja kaznenim sankcijama vjerojatno imati snažan odvraćajući učinak na rukovodeća tijela koja upravljaju postupcima obrade PIHBO-a i na pojedince koji postupaju s podacima, u članku 87. APPI-ja pojašnjava se da se u slučaju da predstavnik, zaposlenik ili drugi radnik poduzeća ne postupi u skladu s člancima od 83. do 85. APPI-ja „počinitelj kažnjava, a predmetno društvo snosi novčanu kaznu navedenu u odgovarajućim člancima”. U tom se slučaju i zaposleniku i društvu mogu odrediti sankcije do maksimalnog iznosa.

(109)

Konačno, pojedinci mogu zatražiti i pravnu zaštitu od radnji ili propusta PPC-a. U tom pogledu japansko pravo pruža razne mogućnosti upravne i sudske zaštite.

(110)

Ako pojedinac nije zadovoljan djelovanjem PPC-a, može podnijeti upravnu žalbu na temelju Zakona o preispitivanju odluka upravnih tijela (Administrative Complaint Review Act) (67). S druge strane, ako pojedinac smatra da je PPC propustio postupati, može u skladu s člankom 36-3. tog Zakona od PPC-a zatražiti da poduzme radnje ili pruži administrativne smjernice ako smatra da „odluka ili administrativne smjernice potrebne za ispravak povrede nisu izdane ili provedene”.

(111)

Kad je riječ o sudskoj zaštiti, na temelju Zakona o upravnim sporovima Administrative Case Litigation Act), osoba koja nije zadovoljna s upravnim postupanjem PPC-a može od suda zatražiti da PPC-u izda mandamus (68) i naloži mu da poduzme daljnje mjere (69). U određenim slučajevima sud može izdati i privremeni nalog mandamus kako bi spriječio nepopravljivu štetu (70). Nadalje, na temelju istog Zakona pojedinac može zatražiti opoziv odluke PPC-a (71).

(112)

Konačno, pojedinac može na temelju članka 1. stavka 1. Zakona o naknadi štete od države (State Redress Act) podnijeti tužbu za naknadu štete od države protiv PPC-a u slučaju da je pretrpio štetu zbog činjenice da je nalog koji je PPC izdao poslovnom subjektu bio nezakonit ili da PPC nije izvršavao svoje ovlasti.

(113)

Komisija je ocijenila i ograničenja i zaštitne mjere, uključujući mehanizme za nadzor i pravnu zaštitu pojedinaca dostupne u japanskom pravu kad je riječ o prikupljanju i naknadnoj uporabi osobnih podataka koje javna tijela prenose poslovnim subjektima u Japanu zbog javnog interesa, posebno za potrebe kaznenog progona i nacionalne sigurnosti („pristup vlade”). U tom je pogledu japanska vlada Komisiji dostavila službene izjave, jamstva i obveze potpisane na najvišoj ministarskoj razini i razini agencija, koje sadržava Prilog II. ovoj Odluci.

(114)

Kao oblik izvršavanja javnih ovlasti pristup vlade u Japanu mora se provoditi potpuno u skladu sa zakonom (načelo zakonitosti). U tom pogledu japanski ustav sadržava odredbe kojima se prikupljanje osobnih podataka od strane javnih tijela ograničava i utvrđuje. Kako je već spomenuto u pogledu obrade koju provode poslovni subjekti, na temelju članka 13. Ustava koji, među ostalim, štiti pravo na slobodu, Vrhovni sud Japana priznao je pravo na privatnost i zaštitu podataka (72). Važan je aspekt tog prava sloboda da se osobne informacije ne otkrivaju trećoj strani bez dopuštenja dotične osobe (73). To podrazumijeva pravo na djelotvornu zaštitu osobnih podataka od zlouporabe i (posebno) nezakonitog pristupa. Dodatna zaštita osigurava se člankom 35. Ustava o pravu svih osoba na sigurnost vlastitog doma, dokumenata i imovine, kojim se od javnih tijela zahtijeva da za svaki slučaj „pretraga i zapljena” ishode sudski nalog izdan iz „primjerenog razloga” (74). U svojoj presudi od 15. ožujka 2017. (predmet GPS) Vrhovni sud pojasnio je da se zahtjev u pogledu sudskog naloga primjenjuje kad god se vlada upliće („ulazi”) u privatnu sferu na način koji je protiv volje pojedinca, i to provedbom „obvezne istrage”. Sudac takav nalog može izdati samo na temelju konkretne sumnje o počinjenju kaznenog djela, tj. kad mu se dostavi dokazna dokumentacija na temelju koje se može smatrati da je osoba na koju se istraga odnosi počinila kazneno djelo (75). Prema tome, japanska nadležna tijela nemaju pravne ovlasti prikupljati osobne informacije prisilnim sredstvima u situacijama u kojima još nije došlo do kršenja zakona (76), na primjer radi sprečavanja kaznenog djela ili druge sigurnosne prijetnje (kao u slučaju istraga zbog nacionalne sigurnosti).

(115)

U skladu s načelom postupanja na temelju zakona svako se prikupljanje podataka kao dio prisilne istrage mora posebno odobriti u skladu sa zakonom (kao što je navedeno, na primjer, u članku 197. stavku 1. Zakona o kaznenom postupku (Code of Criminal Procedure, CCP) u vezi s prisilnim prikupljanjem informacija za potrebe kaznene istrage). Taj se zahtjev primjenjuje i na pristup elektroničkim informacijama.

(116)

Važno je napomenuti da se člankom 21. stavkom 2. Ustava jamči tajnost svih sredstava komunikacije, a ograničenja se dopuštaju samo zakonima iz razloga javnog interesa. Člankom 4. Zakona o telekomunikacijama (Telecommunications Business Act), prema kojem se tajnost komunikacija s kojima postupa telekomunikacijski operater ne smije prekršiti, taj se zahtjev povjerljivosti provodi na razini zakona. To se tumači kao zabrana otkrivanja informacija iz komunikacija, osim u slučaju privole korisnika ili na temelju izričitog oslobođenja od kaznene odgovornosti prema Kaznenom zakonu (77).

(117)

Ustavom se jamči i pravo na pristup sudovima (članak 32.) te pravo da se državu tuži za naknadu štete u slučaju da je pojedinac pretrpio štetu zbog protuzakonitog postupanja javnog službenika (članak 17.).

(118)

Kad je riječ konkretno o pravu na zaštitu podataka, u poglavlju III. odjeljcima 1., 2. i 3. APPI-ja utvrđuju se opća načela koja obuhvaćaju sve sektore, uključujući javni sektor. Točnije, člankom 3. APPI-ja propisuje se da se s osobnim informacijama mora postupati u skladu s načelom poštovanja osobnosti pojedinaca. Nakon što javna tijela prikupe („pribave”) osobne informacije, među ostalim kao dio elektroničke evidencije (78), postupanje s njima uređeno je Zakonom o zaštiti osobnih informacija u posjedu upravnih organa (Act on the Protection of Personal Information held by Administrative Organs, APPIHAO) (79). To u načelu uključuje (80) i obradu osobnih informacija u svrhu kaznenog progona ili za potrebe nacionalne sigurnosti. APPIHAO-om je, među ostalim, predviđeno da javna tijela: i. pohranjuju osobne podatke samo u mjeri u kojoj je to potrebno za izvršavanje njihovih dužnosti; ii. ne upotrebljavaju takve informacije u „nepoštene” svrhe niti ih otkrivaju trećoj strani bez opravdanja; iii. navode svrhu i ne mijenjaju je više od onoga što se razumno može smatrati relevantnim za prvotnu svrhu (ograničenje svrhe); iv. pohranjene osobne informacije u načelu ne upotrebljavaju niti pružaju trećoj strani za druge svrhe, a ako to smatraju potrebnim, za treću stranu određuju ograničenja svrhe ili metode uporabe; v. nastoje osigurati točnost informacija (kvaliteta podataka); vi. poduzimaju potrebne mjere za pravilno upravljanje informacijama i sprečavaju neovlašteno odavanje, gubitak ili oštećenje (sigurnost podataka); i vii. nastoje pravilno i brzo obraditi sve pritužbe u vezi s obradom informacija (81).

(119)

Japanski zakon sadržava niz ograničenja pristupa i uporabe osobnih podataka u svrhu kaznenog progona, kao i mehanizme za nadzor i pravnu zaštitu koji su dovoljno jamstvo da će podaci biti djelotvorno zaštićeni od nezakonitog zadiranja i rizika od zlouporabe.

(120)

U japanskom pravnom okviru prikupljanje elektroničkih informacija u svrhu kaznenog progona dopušteno je na temelju sudskog naloga (prisilno prikupljanje) ili zahtjeva za dobrovoljno otkrivanje.

(121)

Kao što je navedeno u uvodnoj izjavi 115., svako prikupljanje podataka u okviru prisilne istrage mora se posebno zakonski odobriti i može se provoditi samo na temelju sudskog naloga „izdanog iz primjerenog razloga” (članak 35. Ustava). Kad je riječ o istrazi kaznenih djela, taj se zahtjev odražava u odredbama Zakona o kaznenom postupku (CCP). Prema članku 197. stavku 1. CCP-a obvezne mjere „ne primjenjuju se osim ako su u ovom Zakonu utvrđene posebne odredbe”. Jedina su relevantna (82) pravna osnova za prikupljanje elektroničkih informacija članak 218. CCP-a (pretraga i zapljena) i članak 222-2. CCP-a, prema kojemu se obvezne mjere za presretanje elektroničkih komunikacija bez privole jedne od strana provode na temelju drugih zakona, odnosno Zakona o prisluškivanju za kaznene istrage (Act on Wiretapping for Criminal Investigation, dalje u tekstu „Zakon o prisluškivanju”). U oba slučaja potreban je sudski nalog.

(122)

Konkretno, u skladu s člankom 218. stavkom 1. CCP-a javni tužitelj, pomoćnik javnog tužitelja ili službenik pravosudne policije mogu, ako je to potrebno za istragu kaznenog djela, provesti pretragu ili zapljenu (među ostalim i zapisa) uz prethodni nalog suca (83). Taj nalog među ostalim sadržava ime osumnjičenika ili optuženika, kazneno djelo za koje se optužuje (84), elektromagnetne zapise koje treba zaplijeniti i „mjesto ili predmete” koje je potrebno pregledati (članak 219. stavak 1. CCP-a).

(123)

Kad je riječ o presretanju komunikacija, člankom 3. Zakona o prisluškivanju takve se mjere odobravaju samo pod strogim uvjetima. Konkretno, javna tijela moraju ishoditi prethodni sudski nalog koji se može izdati samo za istragu određenih teških kaznenih djela (navedeni u Prilogu tom Zakonu) (85) i kad je „iznimno teško na drugi način utvrditi identitet počinitelja ili pojasniti okolnosti/pojedinosti počinjenja” (86). Prema članku 5. Zakona o prisluškivanju nalog se izdaje na ograničeno vrijeme, a sudac može odrediti dodatne uvjete. Osim toga, Zakonom o prisluškivanju predviđen je niz dodatnih jamstava kao što su, primjerice, nužna prisutnost svjedoka (članci 12. i 20.), zabrana prisluškivanja komunikacije određenih povlaštenih skupina (npr. liječnika, odvjetnika) (članak 15.), obveza prekida prisluškivanja ako više nije opravdano, čak i ako je nalog još valjan (članak 18.), ili opći zahtjev obavješćivanja dotičnog pojedinca i davanja pristupa evidenciji u roku od trideset dana od završetka prisluškivanja (članci 23. i 24.).

(124)

U svim obveznim mjerama na temelju sudskog naloga smije se provoditi samo ona istražna radnja „koja je nužna za ostvarivanje cilja”, odnosno ako se ciljevi koji se žele postići istragom ne mogu postići na drugi način (članak 197. stavak 1. CCP-a). Iako kriteriji za određivanje nužnosti nisu detaljnije utvrđeni zakonom, Vrhovni sud Japana odlučio je da bi sudac koji izdaje nalog trebao provesti sveukupnu procjenu, uzimajući u obzir posebno i. težinu kaznenog djela i način na koji je počinjeno; ii. vrijednost i važnost materijala koji će se zaplijeniti kao dokaz; iii. vjerojatnost (rizik) prikrivanja ili uništenja dokaza; i iv. opseg u kojem zapljena može nanijeti štetu dotičnoj osobi (87).

(125)

Javna tijela mogu u granicama svoje nadležnosti prikupljati elektroničke informacije i na temelju zahtjeva za dobrovoljno otkrivanje. To se odnosi na neobvezujući oblik suradnje kad ispunjavanje zahtjeva nije moguće prisilno provesti (88) te su stoga javna tijela oslobođena obveze ishođenja sudskog naloga.

(126)

Ako je takav zahtjev upućen poslovnom subjektu i odnosi se na osobne informacije, poslovni subjekt mora ispunjavati zahtjeve iz APPI-ja. U skladu s člankom 23. stavkom 1. APPI-ja poslovni subjekti mogu otkriti osobne informacije trećoj strani bez privole dotične osobe samo u određenim slučajevima, među ostalim i ako se otkrivanje „temelji na zakonima i propisima” (89). U području kaznenog progona pravnu osnovu za takve zahtjeve pruža članak 197. stavak 2. CCP-a, prema kojemu se „od privatnih organizacija može zatražiti da izvještavaju o pitanjima bitnima za istragu”. Budući da je takav „istražni obrazac” dopušten samo u okviru kaznene istrage, preduvjet je konkretna sumnja na već počinjeno kazneno djelo (90). Štoviše, s obzirom na to da takve istrage obično provodi prefekturalna policija, primjenjuju se ograničenja u skladu s člankom 2. stavkom 2. Zakona o policiji (91). U skladu s tom odredbom aktivnosti policije su „strogo ograničene” na ispunjenje njihovih odgovornosti i dužnosti (tj. sprečavanje, suzbijanje i istragu kaznenih djela). Osim toga, u obavljanju svojih dužnosti policija djeluje nepristrano, bez predrasuda i pošteno te nikad ne smije zloupotrebljavati svoje ovlasti „na način kojim bi zadirala u prava i slobode pojedinaca zajamčena Ustavom Japana” (što uključuje, kako je navedeno, pravo na privatnost i zaštitu podataka) (92).

(127)

Posebno s obzirom na članak 197. stavak 2. CCP-a Nacionalna policijska agencija (NPA), kao federalno tijelo nadležno, među ostalim, za sva pitanja povezana s kriminalističkom policijom, izdala je upute prefekturalnoj policiji (93) o „pravilnoj uporabi pisanih upita u istražnim stvarima”. Prema toj obavijesti zahtjevi se moraju podnijeti u prethodno utvrđenom obrascu („Obrazac br. 49” ili tzv. „istražni obrazac”) (94), odnose se na evidenciju „o određenoj istrazi” i zatražene informacije moraju biti „nužne za [tu] istragu”. U svakom slučaju glavni istražitelj mora „u potpunosti ispitati nužnost, sadržaj itd. pojedinačnog upita” te se mora dobiti interno odobrenje od visokog dužnosnika.

(128)

Osim toga, u dvije presude od 1969. i 2008. (95). Vrhovni sud Japana predvidio je ograničenja u pogledu neobveznih mjera koje zadiru u pravo na privatnost (96). Točnije, sud je smatrao da takve mjere moraju biti „razumne” i u „općenito dopustivim granicama”, odnosno da moraju biti nužne za istragu osumnjičenika (prikupljanje dokaza) i provedene „primjerenim metodama za postizanje svrhe [te] istrage” (97). Iz presuda proizlazi da to uključuje test proporcionalnosti uzimajući o obzir sve okolnosti slučaja (npr. razinu zadiranja u pravo na privatnost, uključujući očekivanja u pogledu privatnosti, ozbiljnost kaznenog djela, vjerojatnost pribavljanja korisnih dokaza, važnost tih dokaza, moguća alternativna sredstva istrage itd.) (98).

(129)

Osim tih ograničenja za izvršavanje javnih ovlasti, i od poslovnih subjekata očekuje se da provjere („potvrde”) nužnost i „racionalnost” prosljeđivanja trećoj strani (99). To uključuje pitanje jesu li zakonski spriječeni surađivati. Takve proturječne pravne obveze mogu prije svega proizlaziti iz obveze povjerljivosti kao što je članak 134. Kaznenog zakona (o odnosu liječnika, odvjetnika, svećenika itd. i njegova klijenta). Osim toga, „svaka osoba koja se bavi telekomunikacijskom djelatnošću mora, dok obavlja svoju dužnost, čuvati tajne drugih za koje se saznalo iz komunikacija kojima upravlja telekomunikacijski operater” (članak 4. stavak 2. Zakona o telekomunikacijama). Ta je obveza povezana sa sankcijama propisanima člankom 179. Zakona o telekomunikacijama, prema kojem je osoba koja povrijedi tajnost komunikacija kojima upravlja telekomunikacijski operater kriva za kazneno djelo te će biti kažnjena kaznom zatvora uz mogućnost rada u trajanju do dvije godine ili novčanom kaznom od najviše milijun jena (100). Iako taj zahtjev nije apsolutan te konkretno dopušta mjere kojima se povređuje tajnost komunikacija, a koje su „opravdane radnje” u smislu članka 35. Kaznenog zakona, ta iznimka ne obuhvaća odgovor na neobvezne zahtjeve javnih tijela za otkrivanje elektroničkih informacija u skladu s člankom 197. stavkom 2. CCP-a (101).

(130)

Kad ih prikupe japanska javna tijela, osobne informacije ulaze u područje primjene APPIHAO-a. Tim se Zakonom uređuje postupanje (obrada) „pohranjenih osobnih informacija” te se nameću brojna ograničenja i zaštitne mjere (vidjeti uvodnu izjavu 118.) (102). Štoviše, činjenica da upravni organ može pohraniti osobne informacije „samo ako je pohrana nužna za obavljanje poslova u njegovoj nadležnosti koji su predviđeni zakonima i propisima” (članak 3. stavak 1. APPIHAO-a) također ograničava, barem neizravno, prvotno prikupljanje.

(131)

U Japanu je prikupljanje elektroničkih informacija u području kaznenog progona prije svega (103) u nadležnosti prefekturalne policije (104), koja u tom pogledu podliježe različitim razinama nadzora.

(132)

Prvo, u svim slučajevima kad se elektroničke informacije prikupljaju prisilnim sredstvima (pretragom i zapljenom), policija mora ishoditi prethodni sudski nalog (vidjeti uvodnu izjavu 121.). Stoga će prikupljanje u tim slučajevima ex ante provjeriti sudac, na temelju strogog standarda „primjerenog razloga”.

(133)

Iako u slučaju zahtjeva za dobrovoljno otkrivanje sudac ne provodi ex ante provjeru, poslovni subjekti kojima su ti zahtjevi upućeni mogu ih odbiti bez rizika od bilo kakvih negativnih posljedica (i morat će uzeti u obzir učinak bilo kakvog otkrivanja na privatnost). Nadalje, u skladu s člankom 192. stavkom 1. CCP-a policijski službenici uvijek surađuju i koordiniraju svoje aktivnosti s javnim tužiteljem (i Prefekturalnim povjerenstvom za javnu sigurnost) (105). S druge strane, javni tužitelj može dati potrebne opće upute kojima se utvrđuju standardi za poštenu istragu i/ili izdati posebne naloge s obzirom na pojedinačnu istragu (članak 193. CCP-a). Ako se ne postupa u skladu s takvim uputama i/ili nalozima, tužiteljstvo može podnijeti zahtjev za stegovne mjere (članak 194. CCP-a). Stoga prefekturalna policija djeluje pod nadzorom javnog tužitelja.

(134)

Drugo, u skladu s člankom 62. Ustava, svaki dom japanskog parlamenta može provoditi istrage povezane s vladom, među ostalim u pogledu zakonitosti prikupljanja informacija koje provodi policija. U tu svrhu može zahtijevati prisutnost i iskaz svjedoka i/ili uvid u zapise. Te su istražne ovlasti pobliže uređene Zakonom o parlamentu (Diet Law), posebno poglavljem XII. Konkretno, člankom 104. Zakona o parlamentu propisano je da Kabinet, javne agencije i drugi dijelovi vlade „moraju ispunjavati zahtjeve doma ili bilo kojeg od njegovih odbora u pogledu davanja uvida u izvješća i zapise koji su nužni za provođenje istrage”. Odbijanje suradnje dopušteno je samo ako vlada navede uvjerljiv razlog koji je parlamentu prihvatljiv ili ako izda službenu izjavu da bi davanje izvješća ili zapisa na uvid „ozbiljno ugrozilo nacionalne interese” (106). Osim toga, zastupnici u parlamentu mogu pisanim putem postavljati pitanja Kabinetu (članci 74. i 75. Zakona o parlamentu), a dosad su se takvi „pisani upiti” odnosili i na postupanje uprave s osobnim informacijama (107). Uloga parlamenta u nadzoru izvršne vlasti ojačana je obvezama izvješćivanja, primjerice u skladu s člankom 29. Zakona o prisluškivanju.

(135)

Treće, i unutar izvršne vlasti prefekturalna policija podliježe neovisnom nadzoru. To posebno uključuje Prefekturalna povjerenstva za javnu sigurnost uspostavljena na razini prefektura kako bi se osigurala demokratska uprava i politička neutralnost policije (108). Ta su povjerenstva sastavljena od članova koje imenuje guverner prefekture uz suglasnost prefekturalne skupštine (sastavljene od građana koji nisu bili državni službenici u policiji u proteklih pet godina) i koji imaju siguran mandat (može ih se razriješiti samo iz dobro utemeljenog razloga) (109). Prema primljenim informacijama oni ne podliježu uputama te se stoga mogu smatrati potpuno neovisnima (110). Kad je riječ o zadaćama i ovlastima Prefekturalnih povjerenstava za javnu sigurnost, na temelju članka 38. stavka 3. u vezi s člankom 2. i člankom 36. stavkom 2. Zakona o policiji ona su odgovorna za „zaštitu prava i slobode pojedinca”. U tu svrhu ona su ovlaštena za „nadzor” (111) nad svim istražnim radnjama prefekturalne policije, uključujući prikupljanje osobnih podataka. Naime, povjerenstva „mogu prefekturalnu policiju uputiti u pojedinosti ili je u određenom pojedinačnom slučaju uputiti da istraži povredu dužnosti policijskog službenika, ako je potrebno” (112). Kad načelnik prefekturalne policije (113) primi takvu uputu ili sam posumnja u povredu dužnosti (uključujući kršenje zakona ili drugo zanemarivanje dužnosti), mora odmah istražiti slučaj te o rezultatu provjere izvijestiti Prefekturalno povjerenstvo za javnu sigurnost (članak 56. stavak 3. Zakona o policiji). Ako Povjerenstvo to smatra potrebnim, može i zadužiti jednog od svojih članova za preispitivanje statusa provedbe. Taj se proces nastavlja sve dok se Povjerenstvo ne uvjeri da je incident na odgovarajući način riješen.

(136)

Osim toga, u vezi s pravilnom primjenom APPIHAO-a nadležni ministar ili čelnik agencije (npr. glavni povjerenik NPA-a) ima ovlasti osiguranja provedbe, a za nadzor je zaduženo Ministarstvo unutarnjih poslova i komunikacija (Ministry of Internal Affairs and Communications, MIC). U skladu s člankom 49. APPIHAO-a MIC „može prikupljati izvješća o statusu provedbe ovoga Zakona” od čelnika upravnih organa (ministara). Tu nadzornu funkciju MIC vrši uz potporu svojeg 51 „sveobuhvatnog informativnog centra” (po jedan u svakoj japanskoj prefekturi), koji svake godine obrađuju tisuće upita pojedinaca (114) (pri čemu se pak mogu otkriti moguća kršenja zakona). Kad to smatra potrebnim kako bi se osiguralo poštovanje tog Zakona, MIC može zatražiti podnošenje objašnjenja i materijala te davati mišljenja o postupanju dotičnih upravnih organa s osobnim informacijama (članci 50. i 51. APPIHAO-a).

(137)

Osim nadzora po službenoj dužnosti pojedinci imaju i nekoliko mogućnosti za dobivanje pravne zaštite, i putem neovisnih tijela (kao što su Prefekturalna povjerenstva za javnu sigurnost ili PPC) i putem japanskih sudova.

(138)

Prvo, kad je riječ o osobnim informacijama koje prikupljaju upravni organi, ti su organi dužni „nastojati pravilno i brzo obraditi sve pritužbe” s obzirom na njihovu kasniju obradu (članak 48. APPIHAO-a). Iako se poglavlje IV. APPIHAO-a o pravima pojedinaca ne primjenjuje na osobne informacije zabilježene u „dokumentima koji se odnose na suđenja i zaplijenjene predmete” (članak 53-2. stavak 2. CCP-a), što obuhvaća osobne informacije prikupljene u okviru kaznenih istraga, pojedinci mogu podnijeti pritužbu pozivajući se na opća načela zaštite podataka, kao što je npr. obveza da se osobne informacije pohranjuju samo „kad je pohrana nužna za obavljanje [funkcija kaznenog progona]” (članak 3. stavak 1. APPIHAO-a).

(139)

Osim toga, člankom 79. Zakona o policiji pojedincima koji imaju problem s „izvršavanjem dužnosti” policijskih službenika jamči se pravo na podnošenje pritužbe (nadležnom) neovisnom Prefekturalnom povjerenstvu za javnu sigurnost. Povjerenstvo će „savjesno” rješavati takve pritužbe u skladu sa zakonima i lokalnim propisima te će podnositelja pritužbe pisanim putem obavijestiti o rezultatima. Na temelju svoje ovlasti da nadzire i „izdaje upute” prefekturalnoj policiji u pogledu „povrede dužnosti osoblja” (članak 38. stavak 3. i članak 43-2. stavak 1. Zakona o policiji), može od nje zahtijevati da istraži činjenice, poduzme odgovarajuće mjere na temelju rezultata te istrage i izvijesti o rezultatima. Ako smatra da istraga koju je provela policija nije bila primjerena, Povjerenstvo može dati i upute o rješavanju pritužbe.

(140)

Da bi se olakšalo rješavanje pritužbi, NPA je policiji i Prefekturalnom povjerenstvu za javnu sigurnost izdala „Obavijest” o pravilnom rješavanju pritužbi na izvršavanje dužnosti policijskih službenika. U tom dokumentu NPA određuje standarde za tumačenje i provedbu članka 79. Zakona o policiji. Među ostalim, od prefekturalne policije zahtijeva da uspostavi „sustav za rješavanje pritužbi” i da sve pritužbe rješava i o njima izvještava nadležno Prefekturalno povjerenstvo za javnu sigurnost „bez odgode”. U Obavijesti se pritužbe definiraju kao zahtjevi za ispravljanje „svake konkretne negativne posljedice uzrokovane nezakonitim ili neprimjerenim ponašanjem” (115) ili „propusta policijskog službenika da u izvršavanju svojih dužnosti poduzme potrebne radnje” (116), kao i svake „pritužbe/nezadovoljstva zbog neprimjerenog načina na koji policijski službenik izvršava svoje dužnosti”. Prema tome, definicija materijalnog područja primjene pritužbe široka je te obuhvaća svaku tvrdnju o nezakonitom prikupljanju podataka, a podnositelj ne mora dokazati da je pretrpio štetu zbog radnji policijskog službenika. Važno je napomenuti da se u Obavijesti navodi da će se strancima (među ostalim) pomoći u sastavljanju pritužbe. U slučaju pritužbe Prefekturalna povjerenstva za javnu sigurnost moraju osigurati da prefekturalna policija ispita činjenice, provede mjere „u skladu s rezultatima ispitivanja” te izvijesti o rezultatima. Ako Povjerenstvo smatra ispitivanje nedostatnim, izdaje uputu o rješavanju pritužbe koje se prefekturalna policija mora pridržavati. Na temelju primljenih izvješća i poduzetih mjera Povjerenstvo obavješćuje pojedinca navodeći, među ostalim, mjere poduzete za rješavanje pritužbe. U svojoj Obavijesti NPA naglašava da bi se pritužbe trebale „časno” rješavati i da o rezultatima treba obavijestiti „u razdoblju […] koje se smatra prikladnim u smislu društvenih normi i zdravorazumskog pristupa.”

(141)

Drugo, s obzirom na to da će se pravna zaštita obično morati tražiti u stranom sustavu i na stranom jeziku, kako bi se olakšala pravna zaštita pojedinaca iz EU-a čiji se osobni podaci prenose poslovnim subjektima u Japanu, nakon čega im imaju pristup javna tijela, japanska vlada iskoristila je svoje ovlasti za stvaranje posebnog mehanizma, kojim upravlja i koji nadzire PPC, za obradu i rješavanje pritužbi u tom području. Taj se mehanizam temelji na obvezi suradnje koju japanska javna tijela imaju na temelju APPI-ja i posebnoj ulozi PPC-a u pogledu međunarodnog prijenosa podataka iz trećih zemalja u skladu s člankom 6. APPI-ja i osnovne politike (kako ju je utvrdila japanska vlada Nalogom Kabineta). Pojedinosti o tom mehanizmu iznesene su u službenim izjavama, jamstvima i obvezama primljenima od japanske vlade i priložene ovoj Odluci kao Prilog II. Mehanizam ne podliježe ni jednom zahtjevu i na raspolaganju je svakom pojedincu, bez obzira na to je li osumnjičen ili optužen za kazneno djelo.

(142)

U okviru tog mehanizma pojedinac koji sumnja da su pri prikupljanju ili uporabi njegovih podataka prenesenih iz Europske unije javna tijela u Japanu (uključujući tijela nadležna za kazneni progon) prekršila primjenjiva pravila, može podnijeti pritužbu PPC-u (samostalno ili preko svojeg tijela za zaštitu podataka u smislu članka 51. Opće uredbe o zaštiti podataka). PPC je dužan riješiti pritužbu te u prvom koraku o tome obavijestiti nadležna javna tijela, uključujući odgovarajuća nadzorna tijela. Ta su tijela dužna surađivati s PPC-om, „među ostalim pružanjem potrebnih informacija i relevantnih materijala kako bi PPC mogao ocijeniti jesu li prikupljanje ili naknadna uporaba osobnih informacija izvršeni u skladu s primjenjivim pravilima” (117). Ta obveza, proizišla iz članka 80. APPI-ja (prema kojem japanska javna tijela moraju surađivati s PPC-om), općenito se primjenjuje pa se stoga odnosi i na preispitivanje istražnih mjera koje provedu takva tijela, koja su se na takvu suradnju obvezala i pisanim jamstvima nadležnih ministarstava i čelnika agencija, kako je navedeno u Prilogu II.

(143)

Ako se evaluacijom utvrdi da je došlo do povrede primjenjivih pravila, „suradnja predmetnih javnih tijela s PPC-om uključuje obvezu ispravljanja povrede”, koja u slučaju nezakonitog prikupljanja osobnih informacija obuhvaća brisanje takvih podataka. Važno je napomenuti da se ta obveza provodi pod nadzorom PPC-a, koji će „prije završetka evaluacije potvrditi da je povreda u potpunosti ispravljena”.

(144)

Nakon završetka evaluacije PPC u razumnom roku obavješćuje pojedinca o ishodu evaluacije, među ostalim o korektivnim mjerama ako su poduzete. PPC pojedinca obavješćuje i o mogućnosti traženja potvrde ishoda od nadležnog javnog tijela i o identitetu tijela kojem je takvu potvrdu potrebno podnijeti. Mogućnost primanja takve potvrde, uključujući razloge na kojima se temelji odluka nadležnog tijela, može pomoći pojedincu u poduzimanju daljnjih koraka, među ostalim pri traženju sudske zaštite. Detaljne informacije o ishodu evaluacije mogu se ograničiti ako postoje opravdani razlozi za pretpostavku da bi priopćavanje takvih informacija moglo predstavljati rizik za istragu u tijeku.

(145)

Treće, osoba koja se ne slaže s odlukom o zapljeni (sudskim nalogom) (118) u pogledu svojih osobnih podataka ili s mjerama koje provodi policija ili tužiteljstvo pri izvršavanju takve odluke može podnijeti zahtjev da se ta odluka ili takve mjere opozovu ili izmijene (članak 429. stavak 1., članak 430. stavci 1. i 2. CCP-a, članak 26. Zakona o prisluškivanju) (119). Ako sud koji provodi nadzor smatra da je ili sam nalog ili njegovo izvršenje („postupak pljenidbe”) nezakonit, odobrit će zahtjev i naložiti povrat zaplijenjenih predmeta (120).

(146)

Četvrto, osoba koja smatra da je prikupljanje njezinih osobnih informacija u okviru kaznene istrage bilo nezakonito, može se kao neizravniji oblik sudskog nadzora pozvati na tu nezakonitost tijekom suđenja u kaznenom postupku. Ako se sud složi, dokazi će se isključiti kao nedopušteni.

(147)

Naposljetku, u skladu s člankom 1. stavkom 1. Zakona o naknadi štete od države sud može odobriti odštetu ako je javni službenik koji izvršava javne ovlasti države u obnašanju svojih dužnosti nezakonito i svojom krivnjom (s namjerom ili iz nemara) nanio štetu dotičnom pojedincu. U skladu s člankom 4. Zakona o naknadi štete od države odgovornost države za naknadu štete temelji se na odredbama Građanskog zakonika. U tom je pogledu u članku 710. Građanskog zakonika propisano da odgovornost obuhvaća i naknadu štete koja nije materijalna nego moralna (primjerice u obliku „duševne boli”). To uključuje slučajeve u kojima je privatnost osobe narušena nezakonitim nadzorom i/ili prikupljanjem njezinih osobnih informacija (npr. nezakonito izvršenje sudskog naloga) (121).

(148)

Osim novčane naknade pojedincima se u određenim uvjetima može izdati i privremena mjera (npr. brisanje osobnih podataka koje su prikupila javna tijela) na temelju njihovih prava na privatnost u skladu s člankom 13. Ustava (122).

(149)

S obzirom na sve te oblike pravne zaštite mehanizam za rješavanje sporova koji je uspostavila japanska vlada predviđa da se pojedinac koji je i dalje nezadovoljan ishodom postupka može obratiti PPC-u, „koji će obavijestiti pojedinca o raznim mogućnostima i detaljnim postupcima za dobivanje pravne zaštite u skladu s japanskim zakonima i propisima”. Štoviše, PPC „će pojedincu pružiti potporu, uključujući savjetovanje i pomoć u poduzimanju daljnjih koraka pri relevantnom upravnom ili sudskom tijelu”.

(150)

To uključuje primjenu postupovnih prava u skladu sa Zakonom o kaznenom postupku. Na primjer, „ako se u evaluaciji ispostavi da je pojedinac osumnjičen u kaznenom postupku, PPC će ga o tome obavijestiti” (123), kao i o mogućnosti da u skladu s člankom 259. CCP-a zatraži od tužiteljstva da ga obavijesti ako odluči da neće pokrenuti kazneni postupak. Također, ako se evaluacijom utvrdi da je predmet koji uključuje osobne informacije pojedinca bio otvoren te da je u međuvremenu zaključen, PPC će pojedinca obavijestiti da se evidencija predmeta može pregledati na temelju članka 53. CCP-a (i članka 4. Zakona o konačnoj kaznenoj evidenciji (Act on Final Criminal Case Records)). Dobivanje pristupa evidenciji o kaznenom postupku važno je jer će pojedincu pomoći da bolje razumije istragu koja se provodi protiv njega te da se pripremi za moguće pokretanje sudskog postupka (npr. zahtjev za naknadu štete) ako smatra da su se njegovi podaci nezakonito prikupljali ili upotrebljavali.

(151)

Prema japanskim tijelima u Japanu ne postoji zakon kojim bi se omogućili obvezni zahtjevi za informacije ili za „administrativno prisluškivanje” izvan kaznenih istraga. Stoga se zbog nacionalne sigurnosti informacije mogu dobiti samo iz izvora informacija kojemu svatko može slobodno pristupiti ili dobrovoljnim otkrivanjem. Poslovni subjekti koji zaprime zahtjev za dobrovoljnu suradnju (u obliku otkrivanja elektroničkih informacija) nemaju zakonsku obvezu pružiti takve informacije (124).

(152)

Osim toga, prema primljenim informacijama samo su četiri državna tijela ovlaštena prikupljati elektroničke informacije u posjedu japanskih poslovnih subjekata zbog nacionalne sigurnosti, i to: i. Obavještajni i istražni ured Kabineta (Cabinet Intelligence & Research Office, CIRO); ii. Ministarstvo obrane (Ministry of Defence, MOD); iii. policija (Nacionalna policijska agencija (NPA) (125) i prefekturalna policija); i iv. Obavještajna agencija za javnu sigurnost (Public Security Intelligence Agency, PSIA). Međutim, CIRO nikad ne prikuplja informacije izravno od poslovnih subjekata, pa tako ni presretanjem komunikacije. Kad primi informacije od drugih vladinih tijela kako bi mogao pripremiti analizu za Kabinet, ta druga tijela moraju poštovati zakon, uključujući ograničenja i zaštitne mjere koje se analiziraju u ovoj Odluci. Njegove djelatnosti stoga nisu relevantne u kontekstu prijenosa.

(153)

Prema primljenim informacijama MOD prikuplja (elektroničke) informacije na temelju Zakona o uspostavi MOD-a (MOD Establishment Act). U skladu s njegovim člankom 3. zadaća MOD-a jest upravljati i voditi vojne snage te „obavljati s time povezane poslove kako bi se osigurao mir i neovisnost zemlje te nacionalna sigurnost.” Člankom 4. stavkom 4. propisuje se da je MOD nadležan za „obranu i zaštitu”, za mjere koje trebaju poduzeti obrambene snage te za raspoređivanje vojnih snaga, uključujući prikupljanje informacija potrebnih za ispunjavanje tih zadaća. Samo je on ovlašten za prikupljanje (elektroničkih) informacija od poslovnih subjekata u okviru dobrovoljne suradnje.

(154)

Kad je riječ o prefekturalnoj policiji, njezine odgovornosti i dužnosti uključuju „održavanje javne sigurnosti i reda” (članak 35. stavak 2. u vezi s člankom 2. stavkom 1. Zakona o policiji). U okviru tog područja nadležnosti policija može prikupljati informacije, ali samo na dobrovoljnoj osnovi, bez zakonske prisile. Osim toga, aktivnosti policije su „strogo ograničene” na ono što je nužno za obnašanje njezinih dužnosti. Ona k tome mora djelovati „nepristrano, nestranački, bez predrasuda i pošteno” i nikad ne smije zloupotrebljavati svoje ovlasti „na bilo koji način kojim bi zadirala u prava i slobode pojedinaca zajamčene Ustavom Japana” (članak 2. Zakona o policiji).

(155)

Naposljetku, PSIA može provoditi istrage u skladu sa Zakonom o sprečavanju subverzivnog djelovanja (Subversive Activities Prevention Act, SAPA) i Zakonom o nadzoru nad organizacijama koje su počinile nasumična masovna ubojstva (Act on the Control of Organisations Which Have Committed Acts of Indiscriminate Mass Murder, ACO) ako su takve istrage potrebne za pripremu donošenja kontrolnih mjera protiv određenih organizacija (126). Prema oba zakona na zahtjev glavnog direktora PSIA-e Povjerenstvo za provjeru javne sigurnosti može izdati određene „odluke” (nadzor/zabrane u slučaju ACO-a (127), raspuštanje/zabrane u slučaju SAPA-e (128)) te u tom kontekstu PSIA može provoditi istrage (129). Prema primljenim informacijama te se istrage uvijek provode na dobrovoljnoj osnovi, što znači da PSIA ne smije prisiljavati vlasnika osobnih informacija da ih stavi na raspolaganje (130). Svaki put se kontrole i istrage provode samo u najmanjoj mjeri koja je potrebna da se postigne svrha kontrole te se ni u kakvim okolnostima ne smiju vršiti tako da se „nerazumno” ograniče prava i slobode zajamčene Ustavom Japana (članak 3. stavak 1. SAPA-e/ACO-a). Osim toga, u skladu s člankom 3. stavkom 2. SAPA-e/ACO-a, PSIA ni u kojim okolnostima ne smije zloupotrijebiti takve kontrole ni istrage koje se provode radi pripreme takvih kontrola. Ako je službenik obavještajne službe za javnu sigurnost zloupotrijebio svoje ovlasti na temelju odgovarajućeg zakona prisiljavanjem osobe da učini bilo što što ne mora ili zadiranjem u ostvarivanje prava osobe, mogu mu se odrediti kaznene sankcije na temelju članka 45. SAPA-e ili članka 42. ACO-a. Konačno, obim zakonima izričito se propisuje da se njihove odredbe, uključujući ovlasti koje se njima dodjeljuju, „ne smiju ni u kojim okolnostima prošireno tumačiti” (članak 2. SAPA-a/ACO-a).

(156)

U svim slučajevima vladina pristupa informacijama zbog nacionalne sigurnosti opisanima u ovom odjeljku primjenjuju se ograničenja koja propisuje japanski Vrhovni sud za dobrovoljne istrage, što znači da se (elektroničke) informacije moraju prikupljati u skladu s načelima nužnosti i proporcionalnosti („primjerena metoda”) (131). Kao što su japanska nadležna tijela izričito potvrdila, „prikupljanje i obrada informacija odvija se samo u mjeri u kojoj je to potrebno za obavljanje posebnih zadaća nadležnog javnog tijela te zbog posebnih prijetnji”. Stoga „ne obuhvaća masovno i neselektivno prikupljanje ili pristup osobnim informacijama iz razloga nacionalne sigurnosti” (132).

(157)

Nakon što su prikupljene, sve osobne informacije koje su javna tijela pohranila za potrebe nacionalne sigurnosti bit će obuhvaćene zaštitom na temelju APPIHAO-a kad je riječ o kasnijoj pohrani, uporabi i otkrivanju (vidjeti uvodnu izjavu 118.).

(158)

Prikupljanje osobnih informacija za potrebe nacionalne sigurnosti na više razina nadziru sve tri grane vlasti.

(159)

Prvo, japanski parlament u okviru svojih specijaliziranih odbora može ispitati zakonitost istraga na temelju svojih ovlasti parlamentarnog nadzora (članak 62. Ustava, članak 104. Zakona o parlamentu; vidjeti uvodnu izjavu 134.). Tu funkciju nadzora podupiru posebne obveze izvješćivanja o aktivnostima koje se provode na temelju nekih od prethodno spomenutih pravnih osnova (133).

(160)

Drugo, u okviru izvršne vlasti postoji nekoliko nadzornih mehanizama.

(161)

Kada je riječ o MOD-u, nadzor provodi Ured glavnog inspektora za praćenje poštovanja zakonitosti (Inspector General's Office of Legal Compliance, IGO) (134), koji je osnovan na temelju članka 29. Zakona o uspostavi MOD-a kao ured unutar MOD-a pod nadzorom ministra obrane (kojem podnosi izvješća), ali neovisan o operativnim odjelima MOD-a. IGO ima zadatak osigurati poštovanje zakona i propisa te pravilno izvršavanje dužnosti službenika MOD-a. Među njegovim je ovlastima nadležnost za provođenje tzv. „inspekcijskih pregleda u području obrane” (Defence Inspections) i u pravilnim vremenskim razmacima (redoviti inspekcijski pregledi u području obrane) i u pojedinačnim slučajevima (posebni inspekcijski pregledi u području obrane), što je dosad već obuhvaćalo i pravilno postupanje s osobnim informacijama (135). U kontekstu takvih inspekcijskih pregleda IGO može ući u lokacije (urede) i zatražiti dokumente ili informacije, uključujući objašnjenja zamjenika doministra obrane. Inspekcijski pregled završava izvješćem ministru obrane u kojem se navode nalazi i mjere za poboljšanje (čija se provedba opet može provjeriti daljnjim inspekcijskim pregledima). To je izvješće osnova za upute ministra obrane za provedbu mjera potrebnih za rješavanje situacije; zamjenik doministra zadužen je za provedbu takvih mjera te mora izvijestiti o daljnjim mjerama.

(162)

Kad je riječ o prefekturalnoj policiji, nadzor osigurava neovisno Prefekturalno povjerenstvo za javnu sigurnost, kako je objašnjeno u uvodnoj izjavi 135. u pogledu kaznenog progona.

(163)

Naposljetku, kako je navedeno, PSIA može provoditi istrage samo u mjeri u kojoj je to potrebno s obzirom na donošenje odluke o zabrani, raspuštanju ili nadzoru u okviru SAPA-e/ACO-a, a za te odluke neovisno (136) Povjerenstvo za ispitivanje javne sigurnosti provodi ex ante nadzor. Osim toga, redovne/redovite inspekcijske preglede (kojima se na sveobuhvatan način provjeravaju aktivnosti PSIA-e) (137) i posebne interne inspekcijske preglede (138) aktivnosti pojedinih odjela/ureda itd. provode posebno imenovani inspektori te se na temelju njih mogu izdati upute čelnicima relevantnih odjela itd. da poduzmu korektivne mjere ili mjere za poboljšanje.

(164)

Ti nadzorni mehanizmi, koji su dodatno ojačani mogućnošću da pojedinci zatraže intervenciju PPC-a kao neovisnog nadzornog tijela (vidjeti odjeljak 168. u nastavku), pružaju odgovarajuća jamstva zaštite od rizika od zlouporabe ovlasti japanskih tijela u području nacionalne sigurnosti te od bilo kakvog nezakonitog prikupljanja elektroničkih informacija.

(165)

Kad je riječ o pravnoj zaštiti pojedinaca, s obzirom na osobne informacije koje prikupljaju i time „pohranjuju” upravni organi, potonji su obvezni „nastojati pravilno i brzo obraditi sve pritužbe” u pogledu takve obrade (članak 48. APPIHAO-a).

(166)

Osim toga, za razliku od kaznenih istraga, pojedinci (uključujući strane državljane koji žive u inozemstvu) u načelu imaju pravo na otkrivanje (139), ispravak (uključujući brisanje) i suspenziju uporabe/prosljeđivanja u okviru APPIHAO-a. Bez obzira na to, čelnik upravnog organa može odbiti otkrivanje informacija „za koje se iz opravdanih razloga […] smatra da bi se njihovim otkrivanjem moglo naštetiti nacionalnoj sigurnosti” (članak 14. točka iv. APPIHAO-a), a da pritom ne mora otkriti ni postoje li takve informacije (članak 17. APPIHAO-a). Isto tako, iako pojedinac može zatražiti suspenziju uporabe ili brisanje u skladu s člankom 36. stavkom 1. točkom i. APPIHAO-a ako upravni organ nezakonito pribavi informacije ili ih pohranjuje/upotrebljava više od onoga što je nužno za postizanje određene svrhe, to tijelo može odbiti zahtjev ako smatra da bi suspenzija uporabe „mogla omesti pravilno izvršavanje poslova koji se odnose na svrhu uporabe pohranjenih osobnih informacija zbog prirode navedenih poslova” (članak 38. APPIHAO-a). Ipak, ako je moguće jednostavno izdvojiti i isključiti dijelove koji podliježu iznimci, upravni organi dužni su odobriti barem djelomično otkrivanje (vidjeti npr. članak 15. stavak 1. APPIHAO-a) (140).

(167)

U svakom slučaju, upravni organ mora donijeti pisanu odluku u određenom roku (od 30 dana, koji se pod određenim uvjetima može produljiti za još 30 dana). Ako je zahtjev odbijen, samo djelomično odobren ili ako pojedinac iz drugih razloga smatra postupanje upravnog organa „nezakonitim ili nepravednim”, može zatražiti upravno preispitivanje na temelju Zakona o preispitivanju odluka upravnih tijela (141). U takvom se slučaju čelnik upravnog organa koji odlučuje o žalbi savjetuje s Odborom za preispitivanje otkrivanja informacija i zaštitu osobnih informacija (članci 42. i 43. APPIHAO-a), specijaliziranim neovisnim odborom čije članove imenuje premijer uz suglasnost obaju domova parlamenta. Prema zaprimljenim informacijama Odbor za preispitivanje može provesti pregled (142) i u tom pogledu od upravnog organa zatražiti da mu dostavi pohranjene osobne informacije, uključujući sav klasificirani sadržaj te dodatne informacije i dokumente. Iako završno izvješće poslano podnositelju pritužbe i upravnom organu te javno objavljeno nije pravno obvezujuće, gotovo u svim slučajevima se poštuje (143). Nadalje, pojedinac ima mogućnost osporiti odluku o žalbi na sudu temeljem Zakona o upravnim sporovima. To omogućuje sudski nadzor nad primjenom izuzeća zbog nacionalne sigurnosti, kao i nad time je li takva iznimka zloupotrijebljena ili je još uvijek opravdana.

(168)

Kako bi se olakšalo ostvarivanje prethodno navedenih prava u skladu s APPIHAO-m, MIC je uspostavio 51 „sveobuhvatni informacijski centar” koji pruža konsolidirane informacije o tim pravima, primjenjivim postupcima za podnošenje zahtjeva i mogućim oblicima pravne zaštite (144). Kad je riječ o upravnim organima, oni su dužni dostaviti „informacije koje doprinose identifikaciji pohranjenih osobnih informacija” (145) i poduzeti „druge odgovarajuće mjere kojima se uzima u obzir praktičnost za osobu koja namjerava podnijeti zahtjev” (članak 47. stavak 1. APPIHAO-a).

(169)

Kao i u slučaju istraga u području kaznenog progona, i u području nacionalne sigurnosti pojedinci mogu dobiti pravnu zaštitu izravnim obraćanjem PPC-u. Time će se pokrenuti poseban postupak rješavanja sporova koji je japanska vlada namijenila pojedincima iz EU-a čiji se osobni podaci prenose u skladu s ovom Odlukom (vidjeti detaljna objašnjenja u uvodnim izjavama od 141. do 144. i 149.).

(170)

Osim toga, pojedinci mogu zatražiti sudsku zaštitu u obliku tužbe za naknadu štete u skladu sa Zakonom o naknadi štete od države, koji obuhvaća i moralnu štetu i pod određenim uvjetima brisanje prikupljenih podataka (vidjeti uvodnu izjavu 147.).

(171)

Komisija smatra da se APPI-jem dopunjenim Dopunskim pravilima iz Priloga I., zajedno sa službenim izjavama, jamstvima i obvezama iz Priloga II., za podatke koji se prenose iz Europske unije osigurava razina zaštite koja je u načelu istovjetna onoj koja se jamči Uredbom (EU) 2016/679.

(172)

Osim toga, Komisija smatra da nadzorni mehanizmi i oblici pravne zaštite u japanskom pravu u cjelini omogućavaju da se povrede koje su počinili PIHBO-i koji su primili osobne podatke utvrde i kazne u praksi te ispitaniku pružaju pravne lijekove za dobivanje pristupa osobnim podacima koji se odnose na njega te, na koncu, za ispravak ili brisanje takvih podataka.

(173)

Naposljetku, na temelju dostupnih informacija o japanskom pravnom poretku, uključujući izjave, jamstva i obveze japanske vlade iz Priloga II., Komisija smatra da će se svako zadiranje u temeljna prava pojedinaca čije osobne podatke iz Europske unije japanska javna tijela prenose u Japan u svrhe javnog interesa, posebno za potrebe kaznenog progona i nacionalne sigurnosti, ograničiti na ono što je strogo nužno za postizanje predmetnog legitimnog cilja te da postoji djelotvorna pravna zaštita od takvog zadiranja.

(174)

Stoga Komisija s obzirom na zaključke iz ove Odluke smatra da Japan osigurava primjerenu razinu zaštite osobnih podataka koji se iz Europske unije prenose PIHBO-ima u Japanu koji podliježu APPI-ju, osim u slučajevima kad je primatelj obuhvaćen jednom od kategorija iz članka 76. stavka 1. APPI-ja te svrha obrade odgovara, djelomično ili u potpunosti, jednoj od svrha propisanih tom odredbom.

(175)

Komisija na temelju toga zaključuje da je ispunjen standard primjerenosti iz članka 45. Uredbe (EU) 2016/679 kako je protumačen s obzirom na Povelju Europske unije o temeljnim pravima, posebno u presudi Schrems (146).

(176)

U skladu sa sudskom praksom Suda Europske unije (147), a kako je potvrđeno u članku 45. stavku 4. Uredbe (EU) 2016/679, Komisija bi nakon donošenja odluke o primjerenosti trebala kontinuirano pratiti relevantne događaje u trećoj zemlji kako bi ocijenila osigurava li Japan i dalje u načelu istovjetnu razinu zaštite. Takva provjera potrebna je, u svakom slučaju, kad Komisija dobije informacije na temelju kojih može opravdano posumnjati u to.

(177)

Stoga bi Komisija trebala kontinuirano pratiti situaciju u pravnom okviru i stvarnoj praksi za obradu osobnih podataka kako je ocijenjeno u ovoj Odluci, među ostalim poštuju li japanska tijela izjave, jamstva i obveze iz Priloga II. Kako bi se taj proces olakšao, od japanskih se tijela očekuje da obavijeste Komisiju o svim značajnim promjenama koje su relevantne za ovu Odluku, i kad je riječ o obradi osobnih podatka koju vrše poslovni subjekti i o ograničenjima i zaštitnim mjerama primjenjivima na pristup javnih tijela osobnim podacima. To bi trebalo uključivati sve odluke koje PPC donese na temelju članka 24. APPI-ja kojima se potvrđuje da treća zemlja pruža istovjetnu razinu zaštite onoj koja je zajamčena u Japanu.

(178)

Osim toga, kako bi Komisija mogla djelotvorno obavljati svoju funkciju praćenja, države članice trebale bi je obavješćivati o svim relevantnim mjerama koje poduzimaju nacionalna tijela za zaštitu podataka, posebno u pogledu upita ili pritužbi ispitanika iz EU-a o prijenosu osobnih podataka iz Europske unije poslovnim subjektima u Japanu. Komisiju bi trebalo obavijestiti i o svakoj naznaci da mjere japanskih javnih tijela odgovornih za sprečavanje, istragu, otkrivanje ili progon kaznenih djela ili za nacionalnu sigurnost, uključujući nadzorna tijela, ne osiguravaju potrebnu razinu zaštite.

(179)

Države članice i njihovi organi dužni su poduzeti mjere potrebne za usklađivanje s aktima institucija Unije jer se potonji smatraju zakonitima i proizvode pravne učinke do njihova povlačenja, poništenja u postupku za poništenje ili proglašavanja nevažećima nakon zahtjeva za prethodnu odluku ili tužbenog zahtjeva za proglašenje nezakonitosti. Stoga je odluka Komisije o primjerenosti donesena u skladu s člankom 45. stavkom 3. Uredbe (EU) 2016/679 obvezujuća za sva tijela država članica kojima je upućena, uključujući njihova neovisna nadzorna tijela. Isto tako, kako je objašnjeno u presudi Suda Europske unije u predmetu Schrems (148) i potvrđeno u članku 58. stavku 5. Uredbe, ako tijelo za zaštitu podataka, među ostalim i na temelju pritužbe, dovede u pitanje spojivost odluke Komisije o primjerenosti s temeljnim pravima pojedinca na privatnost i zaštitu podataka, u nacionalnom pravu mora se osigurati pravni lijek za podnošenje tih prigovora nacionalnom sudu, koji u slučaju sumnje mora zastati s postupkom i uputiti Sudu EU-a zahtjev za prethodnu odluku (149).

(180)

U skladu s člankom 45. stavkom 3. Uredbe (EU) 2016/679 (150) i s obzirom na činjenicu da se razina zaštite koju pruža japanski pravni poredak može promijeniti, Komisija bi nakon donošenja ove Odluke trebala periodično provjeravati jesu li nalazi koji se odnose na primjerenost razine zaštite koju je osigurao Japan još uvijek činjenično i pravno opravdani.

(181)

S tim bi ciljem ovu Odluku trebalo prvi put preispitati u roku od dvije godine od njezina stupanja na snagu. Nakon prvog preispitivanja i ovisno o njegovu ishodu Komisija će u bliskoj suradnji s Odborom osnovanim na temelju članka 93. stavka 1. Opće uredbe o zaštiti podataka odlučiti je li potrebno zadržati dvogodišnji ciklus. U svakom slučaju, sljedeća preispitivanja trebala bi se provesti najmanje svake četiri godine (151). To bi preispitivanje trebalo obuhvatiti sve aspekte funkcioniranja ove Odluke, a posebno primjenu Dopunskih pravila (pri čemu bi posebnu pozornost trebalo posvetiti zaštiti koja se pruža u slučaju daljnjeg prijenosa), primjenu pravila o privoli, među ostalim u slučaju povlačenja, djelotvornost ostvarivanja prava pojedinaca te ograničenja i zaštitne mjere u pogledu pristupa vlade, uključujući pravni lijek opisan u Prilogu II. ovoj Odluci. Trebalo bi obuhvatiti i djelotvornost nadzora i osiguranja provedbe u pogledu pravila koja se primjenjuju na PIHBO-e te u području kaznenog progona i nacionalne sigurnosti.

(182)

Za provedbu preispitivanja Komisija bi se trebala sastati s PPC-om, prema potrebi zajedno s drugim japanskim tijelima odgovornima za pristup vlade, uključujući relevantna nadzorna tijela. Sudjelovanje na tom sastanku trebalo bi biti otvoreno za predstavnike članova Europskog odbora za zaštitu podataka. U okviru zajedničkog preispitivanja Komisija bi trebala zatražiti od PPC-a da dostavi sveobuhvatne informacije o svim aspektima relevantnima za zaključak o primjerenosti, među ostalim o ograničenjima i zaštitnim mjerama u pogledu pristupa vlade (152). Komisija bi trebala i zatražiti objašnjenja svih informacija relevantnih za ovu Odluku koje je zaprimila, uključujući javna izvješća japanskih tijela ili drugih dionika u Japanu, Europskog odbora za zaštitu podataka, pojedinačnih tijela za zaštitu podataka, skupina civilnog društva, medijska izvješća ili informacije iz bilo kojih drugih dostupnih izvora.

(183)

Na temelju zajedničkog preispitivanja Komisija bi trebala sastaviti javno izvješće koje podnosi Europskom parlamentu i Vijeću.

(184)

Ako na temelju redovnih i ad hoc provjera ili drugih dostupnih informacija Komisija zaključi da se razina zaštite koju pruža japanski pravni poredak više ne može smatrati u načelu istovjetnom onoj u Europskoj uniji, trebala bi o tome obavijestiti nadležna japanska tijela i zatražiti poduzimanje odgovarajućih mjera u određenom, razumnom roku. To uključuje pravila primjenjiva i na poslovne subjekte i na japanska javna tijela odgovorna za kazneni progon ili nacionalnu sigurnost. Na primjer, takav bi se postupak pokrenuo u slučajevima kad se daljnji prijenos, među ostalim na temelju odluka koje je donio PPC prema članku 24. APPI-ja kojima potvrđuje da treća zemlja pruža razinu zaštite istovjetnu onoj koja je zajamčena u Japanu, više neće provoditi u okviru zaštitnih mjera kojima se osigurava kontinuitet zaštite u smislu članka 44. Opće uredbe o zaštiti podataka.

(185)

Ako nakon određenog roka nadležna japanska tijela ne dokažu na zadovoljavajući način da se ova Odluka i dalje temelji na primjerenoj razini zaštite, Komisija bi, u skladu s člankom 45. stavkom 5. Uredbe (EU) 2016/679, trebala pokrenuti postupak za djelomičnu ili potpunu suspenziju ili stavljanje izvan snage ove Odluke. Druga je mogućnost da Komisija pokrene postupak izmjene ove Odluke, prije svega postavljajući dodatne uvjete za prijenos podataka ili ograničavajući područje primjene zaključka o primjerenosti samo na prijenos podataka za koje je osiguran kontinuitet zaštite u smislu članka 44. Opće uredbe o zaštiti podataka.

(186)

Konkretno, Komisija bi trebala pokrenuti postupak suspenzije ili stavljanja izvan snage u slučaju naznaka da poslovni subjekti koji primaju osobne podatke u skladu s ovom Odlukom ne poštuju Dopunska pravila iz Priloga I. i/ili da njihova provedba nije djelotvorno osigurana, ili ako japanska nadležna tijela ne postupaju u skladu s izjavama, jamstvima i obvezama iz Priloga II. ovoj Odluci.

(187)

Komisija bi trebala razmotriti i pokretanje postupka koji vodi do izmjene, suspenzije ili stavljanja izvan snage ove Odluke ako, u kontekstu zajedničkog preispitivanja ili na drugi način, nadležna japanska tijela ne dostave informacije ili pojašnjenja koja su potrebna za procjenu razine zaštite osobnih podataka koji se prenose iz Europske unije u Japan ili poštovanja ove Odluke. U tom pogledu Komisija bi trebala uzeti u obzir opseg u kojem se relevantne informacije mogu dobiti iz drugih izvora.

(188)

Zbog opravdanih hitnih razloga, kao što je rizik od ozbiljne povrede prava ispitanika, Komisija bi trebala razmotriti donošenje odluke o suspenziji ili stavljanju izvan snage ove Odluke koja bi se trebala odmah primjenjivati, u skladu s člankom 93. stavkom 3. Uredbe (EU) 2016/679 u vezi s člankom 8. Uredbe (EU) br. 182/2011 Europskog parlamenta i Vijeća (153).

(189)

Europski odbor za zaštitu podataka objavio je svoje mišljenje (154), koje je uzeto u obzir pri pripremi ove Odluke.

(190)

Europski parlament donio je rezoluciju o strategiji digitalne trgovine kojom Komisiju poziva da donošenje odluka o primjerenosti s važnim trgovinskim partnerima postavi kao prioritet te ga ubrza kao važan mehanizam za zaštitu prijenosa osobnih podataka iz Europske unije, pod uvjetima utvrđenima u Uredbi (EU) 2016/679 (155). Europski parlament donio je i rezoluciju o primjerenosti zaštite osobnih podataka koju pruža Japan (156).

(191)

Mjere navedene u ovoj Odluci u skladu su s mišljenjem Odbora osnovanog člankom 93. stavkom 1. Opće uredbe o zaštiti podataka.