Procedure : 2018/2979(RSP)
Forløb i plenarforsamlingen
Dokumentforløb : B8-0561/2018

Indgivne tekster :

B8-0561/2018

Forhandlinger :

Afstemninger :

PV 13/12/2018 - 9.12

Vedtagne tekster :

P8_TA(2018)0529

FORSLAG TIL BESLUTNING
PDF 205kWORD 60k
10.12.2018
PE631.583v01-00
 
B8-0561/2018

på baggrund af Kommissionens redegørelse

jf. forretningsordenens artikel 123, stk. 2


om tilstrækkeligheden af den beskyttelse af personoplysninger, der gives af Japan (2018/2979(RSP))


Claude Moraes for Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender
ÆNDRINGSFORSLAG

Europa-Parlamentets beslutning om tilstrækkeligheden af den beskyttelse af personoplysninger, der gives af Japan (2018/2979(RSP))  
B8‑0561/2018

Europa-Parlamentet,

–  der henviser til traktaten om Den Europæiske Union (TEU), traktaten om Den Europæiske Unions funktionsmåde (TEUF) og artikel 6, 7, 8, 11, 16, 47 og 52 i Den Europæiske Unions charter om grundlæggende rettigheder,

–  der henviser til Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)(1) og til anden relevant EU-lovgivning om databeskyttelse,

–  der henviser til EU-Domstolens dom af 6. oktober 2015 i sag C-362/14 (Maximillian Schrems mod Data Protection Commissioner)(2),

–  der henviser til EU-Domstolens dom af 21. december 2016 i de forenede sager C-203/15 (Tele2 Sverige AB mod Post- och telestyrelsen) og C-698/15 (Secretary of State for the Home Department mod Tom Watson m.fl.)(3),

–  der henviser til sin beslutning af 12. december 2017 med titlen "Udvikling af en digital handelsstrategi"(4),

–  der henviser til Artikel 29-Gruppens dokument "Adequacy Referential" af 6. februar 2018(5), hvori der udstikkes retningslinjer til Kommissionen og Det Europæiske Databeskyttelsesråd inden for rammerne af den generelle forordning om databeskyttelse med henblik på vurdering af databeskyttelsesniveauet i tredjelande og internationale organisationer,

–  der henviser til udkast til Kommissionens gennemførelsesafgørelse i henhold til Europa-Parlamentets og Rådets forordning (EU) 2016/679 om tilstrækkeligheden af beskyttelsen af personoplysninger i Japan (COM(2018)XXXX),

–  der henviser til resultaterne af det besøg, som en ad hoc-delegation fra Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender (LIBE) aflagde i Japan i oktober 2017, og som blev arrangeret som led i forhandlingerne om et tilstrækkeligt beskyttelsesniveau med henblik på at møde de relevante japanske myndigheder og interessenter og drøfte væsentlige elementer, som Kommissionen skal tage i betragtning, når den vedtager sin afgørelse om et tilstrækkeligt beskyttelsesniveau,

–  der henviser til forretningsordenens artikel 123, stk. 2,

A.  der henviser til, at den generelle forordning om databeskyttelse har fundet anvendelse siden den 25. maj 2018; der henviser til, at artikel 45, stk. 2, i den generelle forordning om databeskyttelse fastsætter de elementer, der skal tages i betragtning af Kommissionen, når den vurderer tilstrækkeligheden af beskyttelsesniveauet i et tredjeland eller en international organisation;

B.  der henviser til, at Kommissionen navnlig skal tage hensyn til retsstatsprincippet, respekten for menneskerettighederne og de grundlæggende frihedsrettigheder, den relevante lovgivning, såvel den generelle som den sektorspecifikke, herunder lovgivning vedrørende offentlig sikkerhed, forsvar, national sikkerhed, strafferet og offentlige myndigheders adgang til personoplysninger, at der forefindes én eller flere uafhængige tilsynsmyndigheder, og at de fungerer effektivt, samt de internationale forpligtelser, som tredjelandet eller den internationale organisation har indgået;

C.  der henviser til, at Den Europæiske Unions Domstol i sin dom af 6. oktober 2015 i sag C-362/14 (Maximillian Schrems mod Data Protection Commissioner) præciserede, at et tilstrækkeligt beskyttelsesniveau i et tredjeland skal forstås som i det væsentlige svarende til niveauet inden for Unionen i medfør af direktiv 95/46/EF sammenholdt med chartret;

D.  der henviser til, at Japan er en af EU's vigtigste handelspartnere, med hvem der for nylig er indgået en økonomisk partnerskabsaftale (ØPA), som fastlægger fælles værdier og principper og samtidig beskytter følsomme områder hos begge partnere; der henviser til, at fælles anerkendelse af grundlæggende rettigheder, herunder privatlivets fred og databeskyttelse, udgør et vigtigt grundlag for beslutningen om et tilstrækkeligt beskyttelsesniveau, der vil danne retsgrundlaget for overførsel af personoplysninger fra EU til Japan;

E.  der henviser til, at LIBE-ad hoc-delegationen til Japan blev gjort opmærksom på de japanske myndigheders og interessenters interesse ikke blot i anvendelsen af de nye bestemmelser i den generelle forordning om databeskyttelse i sig selv, men også i udviklingen af en solid mekanisme på højt niveau for overførsel af personoplysninger mellem EU og Japan, som kunne opfylde betingelserne i EU's retlige ramme med hensyn til et beskyttelsesniveau, der i det væsentlige svarer til det, som EU's databeskyttelseslovgivning yder;

F.  der henviser til, at overførsler af personoplysninger mellem EU og Japan i kommercielt øjemed udgør et vigtigt element i forbindelserne mellem EU og Japan i lyset af den konstant stigende digitalisering af den globale økonomi; der henviser til, at sådanne overførsler bør ske under fuld hensyntagen til retten til beskyttelse af personoplysninger og retten til privatlivets fred; der henviser til, at et af EU's grundlæggende mål er beskyttelsen af de grundlæggende rettigheder som nedfældet i Den Europæiske Unions charter om grundlæggende rettigheder;

G.  der henviser til, at EU og Japan i januar 2017 indledte drøftelser med henblik på at lette overførsel af personoplysninger til kommercielle formål ved hjælp af den første "gensidige konstatering af et tilstrækkeligt beskyttelsesniveau" nogensinde; der henviser til, at Europa-Parlamentet i sin beslutning af 12. december 2017 om udvikling af en digital handelsstrategi udtrykkeligt anerkendte, at "afgørelser om et tilstrækkeligt beskyttelsesniveau udgør en grundlæggende mekanisme [...] for så vidt angår beskyttelse af overførsler af personoplysninger fra EU til et tredjeland";

H.  der henviser til, at afgørelsen om tilstrækkeligheden af beskyttelsesniveauet i forbindelse med overførsler af personoplysninger til Japan ville være den første afgørelse af denne art til at blive vedtaget i henhold til de nye og strengere regler i den generelle forordning om databeskyttelse;

I.  der henviser til, at Japan for nylig har moderniseret og styrket sin databeskyttelseslovgivning for at bringe den i overensstemmelse med internationale standarder, navnlig med de garantier og individuelle rettigheder, der følger af den nye europæiske lovgivningsramme for databeskyttelse; der henviser til, at den retlige ramme for databeskyttelse i Japan består af forskellige søjler, hvoriblandt loven om beskyttelse af personoplysninger er den centrale retsakt;

J.  der henviser til, at Japans regering den 12. juni 2018 vedtog en beslutning, i henhold til hvilken udvalget vedrørende beskyttelse af personoplysninger ("udvalget") som den myndighed, der er kompetent med hensyn til forvaltning og gennemførelse af loven om beskyttelse af personoplysninger, tillægges "beføjelser til at træffe de nødvendige foranstaltninger med henblik på at slå bro over forskellene mellem Japan og det pågældende fremmede land på grundlag af lovens artikel 6 med henblik på at sikre en passende behandling af personoplysninger fra det pågældende land"; der henviser til, at det i denne beslutning fastsættes, at dette omfatter beføjelsen til at indføre øgede beskyttelsesforanstaltninger gennem vedtagelse af strengere regler, som supplerer og er mere vidtgående end dem, der er fastsat i loven om beskyttelse af personoplysninger og i regeringsbeslutningen; der henviser til, at disse strengere regler i henhold til denne beslutning vil være bindende og kunne håndhæves over for japanske erhvervsdrivende;

K.  der henviser til, at udkastet til Kommissionens gennemførelsesafgørelse om den tilstrækkelige beskyttelse af personoplysninger i Japan ledsages (som bilag I) af de supplerende regler, som udvalget vedtog den 15. juni 2018, og som er baseret på artikel 6 i loven om beskyttelse af personoplysninger, der udtrykkeligt giver udvalget mulighed for at vedtage strengere regler, herunder med henblik på at lette internationale dataoverførsler; der henviser til, at de supplerende regler endnu ikke er offentligt tilgængelige;

L.  der henviser til, at formålet med disse supplerende regler ville være at håndtere relevante forskelle mellem Japans og EU's databeskyttelseslovgivning med henblik på at sikre en hensigtsmæssig behandling af personoplysninger fra EU på grundlag af en afgørelse om tilstrækkelighed, navnlig hvad angår personoplysninger, som skal behandles med særlig omhu ("følsomme data"), lagrede personoplysninger med angivelse af anvendelsesformål, begrænsning på grund af anvendelsesformålet, begrænsning af overførsel af data til en tredjepart i udlandet og anonym behandling af oplysninger;

M.  der henviser til, at Kommissionen anfører, at de supplerende regler vil være juridisk bindende for alle erhvervsdrivende, som håndterer personoplysninger, og som modtager persondata, der er overført fra EU på grundlag af en afgørelse om tilstrækkeligt beskyttelsesniveau, og som derfor er forpligtede til at overholde disse regler og eventuelle rettigheder og forpligtelser, der knytter sig hertil, samt at reglerne vil kunne håndhæves af både udvalget og af de japanske domstole; der henviser til, at visse japanske eksperter stiller spørgsmålstegn ved, om de supplerende regler er bindende;

N.  der henviser til, at de supplerende regler med henblik på at sikre et i det væsentlige tilsvarende niveau for beskyttelse af personoplysninger, der overføres fra EU til Japan, fastsætter yderligere beskyttelse, der skal finde anvendelse på grundlag af strengere betingelser eller begrænsninger for behandling af personoplysninger, der overføres fra EU, f.eks. i forbindelse med personoplysninger, som skal behandles med særlig omhu, videreoverførsel, anonyme data og formålsbegrænsning;

O.  der henviser til, at der i den japanske retlige ramme for databeskyttelse skelnes mellem "personoplysninger" og "persondata", og at der i nogle tilfælde henvises til en særlig kategori af persondata, nemlig "lagrede persondata";

P.  der henviser til, at begrebet "personoplysninger" i henhold til artikel 2, stk. 1, i loven om beskyttelse af personoplysninger omfatter enhver form for oplysninger om en levende person, som gør det muligt at identificere vedkommende; der henviser til, at der i definitionen skelnes mellem to kategorier af personoplysninger, nemlig i) individuelle identifikationskoder og ii) andre personlige oplysninger, ud fra hvilke en bestemt person kan identificeres; der henviser til, at sidstnævnte kategori omfatter oplysninger, som ikke i sig selv muliggør identifikation, men som sammenholdt med andre oplysninger gør det muligt at identificere en bestemt person;

Q.  der henviser til, at "persondata" i henhold til artikel 2, stk. 4, i loven om beskyttelse af personoplysninger er personoplysninger, der udgør en database af personoplysninger osv.; der henviser til, at det i artikel 2, stk. 1, i loven om beskyttelse af personoplysninger slås fast, at oplysningerne i sådanne databaser er systematisk ordnede, hvilket svarer til begrebet "et register" i henhold til artikel 2, stk. 1, i den generelle forordning om databeskyttelse; der henviser til, at "personoplysninger" i henhold til artikel 4, stk. 1, i den generelle forordning om databeskyttelse er enhver form for information om en identificeret eller identificerbar fysisk person; der henviser til, at der ved en identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved hjælp af en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet; der henviser til, at for at afgøre, om en fysisk person er identificerbar, bør alle midler, der med rimelighed kan tænkes bragt i anvendelse af den dataansvarlige eller en anden person til direkte eller indirekte at identificere, herunder udpege, den pågældende, tages i betragtning;

R.  der henviser til, at "lagrede persondata" i henhold til artikel 2, stk. 7, i loven om beskyttelse af personoplysninger er personoplysninger, som en erhvervsdrivende, der håndterer personoplysninger, har beføjelse til at videregive, rette, tilføje eller slette indholdet af, ophøre med at anvende, slette eller ophøre med at levere til tredjepart, og som hverken må være de oplysninger, om hvilke det i en regeringsbeslutning foreskrives, at det sandsynligvis vil skade samfundets eller andre interesser, hvis tilstedeværelsen eller fraværet af dem offentliggøres, eller de oplysninger, der skal slettes inden for et tidsrum på højst et år, som foreskrives ved regeringsbeslutning; der henviser til, at begrebet "lagrede persondata" i de supplerende regler tilpasses begrebet "persondata" for at sikre, at visse begrænsninger i individuelle rettigheder, der knytter sig til førstnævnte, ikke vil gælde for data, der overføres fra EU;

S.  der henviser til, at den japanske databeskyttelseslovgivning, som er genstand for udkastet til gennemførelsesafgørelse, udelukker flere områder fra sit anvendelsesområde, når de behandler personoplysninger til specifikke formål; der henviser til, at udkastet til gennemførelsesafgørelse ikke vil finde anvendelse på overførsel af personoplysninger fra EU til en modtager, der er omfattet af en hvilken som helst af de ovennævnte undtagelser i den japanske databeskyttelseslovgivning;

T.  der henviser til, at udkastet til gennemførelsesafgørelse med hensyn til videreoverførsel af personoplysninger, der stammer fra EU, fra Japan til et tredjeland udelukker, at der hertil anvendes overførselsinstrumenter, som ikke skaber en bindende forbindelse mellem den japanske dataeksportør og tredjelandets dataimportør og ikke sikrer det fornødne beskyttelsesniveau; der henviser til, at dette f.eks. ville være tilfældet med det grænseoverskridende system til beskyttelse af privatlivets fred i landene i det økonomiske samarbejde i Asien-Stillehavsområdet (APEC), hvori Japan indgår, idet beskyttelsen i dette system ikke følger af et bindende arrangement mellem eksportør og importør inden for rammerne af deres bilaterale forbindelser og klart ligger på et lavere niveau end det, som kombinationen af loven om beskyttelse af personoplysninger og de supplerende regler garanterer;

U.  der henviser til, at udkastet til gennemførelsesafgørelse også ledsages af en skrivelse fra justitsministeren af 14. september 2018, hvori der henvises til et dokument udarbejdet af justitsministeriet og en række ministerier og agenturer om "de japanske offentlige myndigheders indsamling og anvendelse af personoplysninger til håndhævelse af strafferetten og nationale sikkerhedsformål" med en oversigt over de gældende retlige rammer, og som giver Kommissionen officielle fremstillinger, garantier og forpligtelser, der er underskrevet på højeste plan i ministerier og agenturer; denne skrivelse er vedføjet som bilag II til gennemførelsesafgørelsen;

1.  noterer sig den detaljerede analyse, som Kommissionen giver i sit udkast til gennemførelsesafgørelse om tilstrækkeligheden af beskyttelsesniveauet med hensyn til beskyttelsesforanstaltninger, herunder tilsyns- og klagemekanismer, der finder anvendelse på erhvervsdrivendes behandling af oplysninger, samt med hensyn til japanske offentlige myndigheders adgang til oplysninger, navnlig for så vidt angår retshåndhævelse og national sikkerhed;

2.  noterer sig, at Japan desuden samtidig er i gang med at forberede anerkendelsen af beskyttelsesniveauet for personoplysninger, der overføres fra Japan til EU i henhold til artikel 23 i loven om beskyttelse af personoplysninger, hvilket vil munde ud i den første indbyrdes konstatering af et tilstrækkeligt beskyttelsesniveau på verdensplan og føre til skabelsen af verdens største område med frie og sikre datastrømme;

3.  glæder sig over denne udvikling som et udtryk for den globale udbredelse af høje databeskyttelsesstandarder; påpeger imidlertid, at dette ikke på nogen måde må føre til, at der slækkes på kravene i EU's afgørelser om tilstrækkeligheden af beskyttelsesniveauet; minder om, at Kommissionen i forbindelse med en afgørelse om tilstrækkeligheden af beskyttelsesniveauet i henhold til den generelle forordning om databeskyttelse skal foretage en objektiv vurdering af den retlige og praktiske situation i tredjelandet, området, sektoren eller den internationale organisation;

4.  påpeger, at EU-Domstolen har afgjort, at udtrykket "tilstrækkeligt beskyttelsesniveau" ikke kræver samme grad af beskyttelse som det, der garanteres i EU, men skal forstås sådan, at det kræves, at dette tredjeland på grundlag af dets nationale lovgivning eller dets internationale forpligtelser faktisk sikrer et beskyttelsesniveau for de grundlæggende rettigheder og friheder, som i det væsentlige svarer til det niveau, der garanteres inden for Unionen i medfør af den generelle forordning om databeskyttelse sammenholdt med chartret;

5.  bemærker, at retten til privatlivets fred og til beskyttelse af personoplysninger er garanteret på forfatningsmæssigt niveau både i Japan og i EU, men at en fuldstændig ensretning af EU's og Japans regelsæt ikke vil være mulig på grund af forskellene i såvel forfatningsstruktur som kultur;

6.  noterer sig ændringerne i loven om beskyttelse af personoplysninger, som trådte i kraft den 30. maj 2017; glæder sig over de væsentlige forbedringer;

7.  bemærker, at det materielle anvendelsesområde for tilstrækkelighedsafgørelsen ikke er defineret tilstrækkeligt nøje i artikel 1 i udkastet til gennemførelsesafgørelse, hvilket skyldes, at flere kategorier af erhvervs- og behandlingsaktiviteter er udelukket fra det materielle anvendelsesområde for loven om beskyttelse af personoplysninger; opfordrer Kommissionen til at fremlægge yderligere og detaljerede redegørelser om indvirkningen af sådanne udelukkelser på EU-personoplysninger, der overføres til Japan, og til i artikel 1 i udkastet til gennemførelsesafgørelse klart at præcisere, hvilke overførsler af EU-personoplysninger der er omfattet af afgørelsen om tilstrækkeligheden af beskyttelsesniveauet, og angive, at for så vidt angår overførsler af personoplysninger ved manuel behandling, skal de pågældende behandlingsaktiviteter være omfattet, hvis de er genstand for yderligere elektronisk behandling i Japan;

8.  mener, at der er en høj grad af konvergens mellem Japans og EU's databeskyttelsessystemer med hensyn til principper, garantier og individuelle rettigheder samt tilsyns- og håndhævelsesmekanismer efter vedtagelsen af den ændrede lov om beskyttelse af personoplysninger og den generelle forordning om databeskyttelse i 2016; fremhæver navnlig, at der med den ændrede lov om beskyttelse af personoplysninger oprettes en uafhængig tilsynsmyndighed (udvalget);

9.  bemærker imidlertid, at udvalget selv finder, at der på trods af en høj grad af konvergens mellem de to systemer eksisterer visse relevante forskelle; bemærker endvidere, at udvalget for at sikre et højere beskyttelsesniveau for personoplysninger, der overføres fra EU, den 15. juni 2018 vedtog de supplerende regler;

10.  glæder sig over en række vigtige præciseringer i de supplerende regler, heriblandt jævnførelsen af "anonymiserede personlige oplysninger" i loven om beskyttelse af personoplysninger med "anonyme oplysninger" i den generelle forordning om databeskyttelse;

11.  er af den opfattelse, at den yderligere beskyttelse i henhold til de supplerende regler kun gælder for overførsler inden for rammerne af afgørelser om tilstrækkeligheden af beskyttelsesniveauet; minder om, at nogle dataoverførsler – i betragtning af anvendelsesområdet for beslutningen om tilstrækkeligheden af beskyttelsesniveauet – vil blive foretaget i henhold til disse andre tilgængelige mekanismer;

12.  erkender, at den yderligere beskyttelse, der er fastsat i de supplerende regler, er begrænset til personoplysninger, der overføres fra Europa, og at erhvervsdrivende, der samtidig skal behandle japanske og europæiske personoplysninger, derfor vil være forpligtede til at overholde de supplerende regler ved hjælp af f.eks. tekniske ("tagging") eller organisatoriske midler (f.eks. lagring i en særlig database) for at være i stand til at identificere sådanne personoplysninger gennem hele deres "livscyklus"; opfordrer Kommissionen til at overvåge situationen for at undgå potentielle smuthuller, hvor operatørerne omgår de forpligtelser, der er fastsat i de supplerende regler, ved at overføre data via tredjelande;

13.  bemærker, at definitionen af "persondata" i loven om beskyttelse af personoplysninger udelukker data, "hvis mulighed for at være til skade for en fysisk persons rettigheder og interesser i henhold til regeringsbeslutning anses for at være ringe henset til deres anvendelsesmetode"; opfordrer indtrængende Kommissionen til at vurdere, om dette "skadebaserede" kriterium er foreneligt med EU's tilgang, i henhold til hvilken al behandling af personoplysninger falder inden for databeskyttelseslovgivningens anvendelsesområde; bemærker dog også, at denne tilgang vil finde anvendelse i meget begrænsede situationer;

14.  bemærker endvidere, at definitionen af "personoplysninger" i loven om beskyttelse af personoplysninger er begrænset til oplysninger, "ved hjælp af hvilke en bestemt person kan identificeres"; bemærker desuden, at denne definition ikke omfatter præciseringen i den generelle forordning om databeskyttelse, ifølge hvilken personoplysninger også bør betragtes som persondata, når de udelukkende kan anvendes til at "udskille" en person, således som EU-Domstolen tydeligt slog fast;

15.  er bekymret over, at den snævrere definition af "persondata" (baseret på definitionen af "personoplysninger") i loven om beskyttelse af personoplysninger kan vise sig ikke at leve op til kriteriet om "i det væsentlige at svare til" niveauet i den generelle forordning om databeskyttelse og til EU-Domstolens retspraksis; stiller derfor spørgsmålstegn ved udsagnet i udkastet til gennemførelsesafgørelse om, at "EU-data i henhold til loven om beskyttelse af personoplysninger altid vil falde ind under kategorien "persondata""; opfordrer Kommissionen til nøje at overvåge de praktiske konsekvenser af de forskellige begreber i forbindelse med anvendelsen af tilstrækkelighedsafgørelsen og sin regelmæssige gennemgang;

16.  opfordrer Kommissionen til at fremkomme med yderligere præciseringer og om nødvendigt anmode de japanske myndigheder om yderligere bindende supplerende regler med henblik på at sikre, at alle personoplysninger som defineret i den generelle forordning om databeskyttelse beskyttes, når de overføres til Japan;

17.  bemærker med bekymring, at hverken loven om beskyttelse af personoplysninger eller udvalgets retningslinjer i modsætning til EU-retten indeholder juridiske bestemmelser for så vidt angår automatisk beslutningstagning og profilering, og at det kun er visse sektorspecifikke regler, der behandler dette spørgsmål, uden dog at tilvejebringe en samlet overordnet retlig ramme med omfattende og vidtgående beskyttelse mod automatisk beslutningstagning og profilering; opfordrer Kommissionen til at vise, hvordan dette håndteres i den japanske databeskyttelsesramme med henblik på at sikre et tilsvarende beskyttelsesniveau; mener, at dette navnlig er relevant på baggrund af de nylige Facebook/Cambridge Analytica-sager om profilering;

18.  er af den opfattelse, at der i lyset af Det Europæiske Databeskyttelsesråds referenceramme for et tilstrækkeligt beskyttelsesniveau og i betragtning af manglen på specifikke bestemmelser herom i loven om beskyttelse af personoplysninger er behov for yderligere dybtgående præciseringer for så vidt angår direkte markedsføring for at godtgøre, at der i den japanske lovgivning findes et tilsvarende niveau for beskyttelse af personoplysninger;

19.  mener, at selv om kombinationen af reglerne i loven om beskyttelse af personoplysninger og de supplerende regler vil sikre et beskyttelsesniveau, der er højere end inden for det grænseoverskridende system til beskyttelse af privatlivets fred i APEC-landene, mangler der i den løsning, som er fastsat i de supplerende regler, og som består i at kræve forudgående samtykke hos EU-registrerede til videreoverførsel til en tredjepart i udlandet, en række afgørende elementer, der gør det muligt for registrerede at give deres samtykke, eftersom det ikke udtrykkeligt defineres, hvad der menes med "oplysninger om omstændighederne omkring overførslen, der er nødvendige for, at den [registrerede] kan træffe en afgørelse om samtykke" i overensstemmelse med artikel 13 i den generelle forordning om databeskyttelse, eksempelvis bestemmelsestredjelandet for videreoverførslen; bemærker, at udkastet til gennemførelsesafgørelse endvidere ikke forklarer, hvilke konsekvenser det har for den registrerede, hvis han eller hun nægter at give samtykke til videreoverførsel af sine personoplysninger;

20.  opfordrer Kommissionen til yderligere at vurdere og påvise, hvorvidt udvalgets uafhængighed fuldt ud lever op til de krav, der er udviklet gennem EU-Domstolens retspraksis og afspejles i den generelle forordning om databeskyttelse;

21.  beklager for så vidt angår den effektive håndhævelse af loven om beskyttelse af personoplysninger, at de bøder, som de strafferetlige myndigheder vil kunne tildele, ikke er tilstrækkeligt store til at sikre en effektiv overholdelse af loven, idet de ikke synes at være forholdsmæssige, effektive eller afskrækkende nok i forhold til overtrædelsens grovhed; bemærker imidlertid, at loven om beskyttelse af personoplysninger også fastsætter strafferetlige sanktioner, herunder fængselsstraffe; opfordrer Kommissionen til at fremlægge oplysninger om den faktiske brug af administrative bøder og strafferetlige sanktioner før i tiden;

22.  noterer sig, at udvalget ikke fører tilsyn med databehandlingsaktiviteterne på retshåndhævelsesområdet, men at der findes andre tilsynsmekanismer, herunder tilsyn fra den uafhængige kommission under præfekturet for offentlig sikkerhed; bemærker, at undersøgelsesudvalget for videregivelse af oplysninger og beskyttelse af personoplysninger har visse kompetencer på dette område, herunder til at undersøge anmodninger om aktindsigt og offentliggørelse af udtalelser, men påpeger, at disse beføjelser ikke er juridisk bindende; glæder sig over, at EU og Japan er blevet enige om at indføre en særlig klagemekanisme, som forvaltes og overvåges af udvalget, og som vil finde anvendelse på behandlingen af personoplysninger inden for retshåndhævelse og national sikkerhed;

23.  bemærker, at erhvervsdrivende i henhold til den japanske lov om beskyttelse af personoplysninger i administrative organers varetægt også "frivilligt" kan videregive oplysninger til de retshåndhævende myndigheder; påpeger, at noget sådant hverken er omtalt i den generelle forordning om databeskyttelse eller i politidirektivet, og er bekymret over, at det muligvis ikke er i overensstemmelse med normen om "i det væsentlige at svare til" den generelle forordning om databeskyttelse;

24.  kender til medieomtale af det japanske direktorat for signalefterretning, der beskæftiger ca. 1 700 personer og råder over mindst seks overvågningsfaciliteter, som døgnet rundt aflytter telefonopkald, e-mails og andre former for kommunikation(6); er bekymret over, at denne vilkårlige masseovervågning end ikke omtales i udkastet til gennemførelsesafgørelse; opfordrer Kommissionen til at tilvejebringe flere oplysninger om japansk masseovervågning; er alvorligt bekymret for, at denne masseovervågning ikke vil kunne klare en kontrol på baggrund af de kriterier, som EU-Domstolen fastlagde i Schrems-dommen (sag C-362/14);

25.  beklager, at dokumentet "Japans offentlige myndigheders indsamling og brug af personoplysninger med henblik på retshåndhævelse og national sikkerhed", som indgår i bilag II til udkastet til gennemførelsesafgørelse, ikke har samme juridisk bindende virkning som de supplerende regler;

Konklusioner

26.  opfordrer Kommissionen til at tilvejebringe yderligere dokumentation og forklaringer om ovennævnte forhold med henblik på at påvise, at det beskyttelsesniveau, som Japans retlige rammer for databeskyttelse giver, sikrer et tilstrækkeligt beskyttelsesniveau, der i det væsentlige svarer til beskyttelsesniveauet i den europæiske retlige ramme for databeskyttelse;

27.  mener, at denne afgørelse om tilstrækkeligheden af beskyttelsesniveauet desuden kan sende et stærkt signal til lande i hele verden om, at konvergens med EU's høje standarder for databeskyttelse giver særdeles håndgribelige resultater; understreger i denne forbindelse betydningen af denne afgørelse om tilstrækkeligheden af beskyttelsesniveauet som forløber for fremtidige partnerskaber med andre lande, der har vedtaget moderne databeskyttelseslove;

28.  pålægger Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender fortsat at føre opsyn med udviklingen på dette område, herunder sager, der indbringes for EU-Domstolen, og til at følge op på de henstillinger, der er fremsat i denne beslutning;

°

°  °

29.  pålægger sin formand at sende denne beslutning til Rådet, Kommissionen, medlemsstaternes regeringer og parlamenter, Det Europæiske Databeskyttelsesråd, Den Europæiske Tilsynsførende for Databeskyttelse, det udvalg, der er nedsat i henhold til artikel 93, stk. 1, i den generelle forordning om databeskyttelse, Europarådet samt Japans regering.

    

(1)

EUT L 119 af 4.5.2016, s. 1.

(2)

ECLI:EU:C:2015:650.

(3)

ECLI:EU:C:2016:970.

(4)

EUT C 369 af 11.10.2018, s. 22.

(5)

http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614108; som blev godkendt af Det Europæiske Databeskyttelsesråd på dets første plenarmøde.

(6)

Ryan Gallagher: "The Untold Story of Japan's Secret Spy Agency", The Intercept, den 19. maj 2018 (https://theintercept.com/2018/05/19/japan-dfs-surveillance-agency/).

Seneste opdatering: 12. december 2018Juridisk meddelelse