Menetlus : 2018/2979(RSP)
Menetluse etapid istungitel
Dokumendi valik : B8-0561/2018

Esitatud tekstid :

B8-0561/2018

Arutelud :

Hääletused :

PV 13/12/2018 - 9.12

Vastuvõetud tekstid :

P8_TA(2018)0529

RESOLUTSIOONI ETTEPANEK
PDF 197kWORD 54k
10.12.2018
PE631.583v01-00
 
B8-0561/2018

komisjoni avalduse alusel

vastavalt kodukorra artikli 123 lõikele 2


Jaapani pakutava isikuandmete kaitse piisavuse kohta (2018/2979(RSP))


Claude Moraes kodanikuvabaduste, justiits- ja siseasjade komisjoni nimel
MUUDATUSED

Euroopa Parlamendi resolutsioon Jaapani pakutava isikuandmete kaitse piisavuse kohta (2018/2979(RSP))  
B8-0561/2018

Euroopa Parlament,

–  võttes arvesse Euroopa Liidu lepingut, Euroopa Liidu toimimise lepingut ning Euroopa Liidu põhiõiguste harta artikleid 6, 7, 8, 11, 16, 47 ja 52,

–  võttes arvesse Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrust (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus)(1) ning muud asjakohast andmekaitsealast Euroopa Liidu õigustikku,

–  võttes arvesse Euroopa Kohtu 6. oktoobri 2015. aasta otsust kohtuasjas C-362/14, Maximillian Schrems vs. andmekaitsevolinik(2),

–  võttes arvesse Euroopa Kohtu 21. detsembri 2016. aasta otsust liidetud kohtuasjades C­203/15, Tele2 Sverige AB vs. Post- och telestyrelsen, ning C-698/15, Secretary of State for the Home Department (Suurbritannia ja Põhja-Iiri Ühendkuningriigi siseminister) vs. Tom Watson jt(3),

–  võttes arvesse oma 12. detsembri 2017. aasta resolutsiooni digitaalkaubanduse strateegia loomise kohta(4),

–  võttes arvesse artikli 29 töörühma 6. veebruari 2018. aasta dokumenti „Adequacy Referential“(5) (Kaitse piisavuse viitedokument), milles antakse isikuandmete kaitse üldmääruse raames komisjonile ja Euroopa Andmekaitsenõukogule suuniseid kolmandate riikide ja rahvusvaheliste organisatsioonide andmekaitse taseme hindamiseks,

–  võttes arvesse Euroopa Parlamendi ja nõukogu määrusest (EL) 2016/679 tuleneva komisjoni rakendusotsuse eelnõu Jaapani pakutava isikuandmete kaitse piisavuse kohta (COM(2018)XXXX),

–  võttes arvesse kodanikuvabaduste, justiits- ja siseasjade komisjoni ajutise delegatsiooni 2017. aasta oktoobris Jaapanisse toimunud lähetuse tulemusi (lähetus korraldati kaitse piisavust käsitlevate läbirääkimiste raames asjaomaste Jaapani ametiasutuste ja sidusrühmadega kohtumiseks, et käsitleda olulisi küsimusi, millega komisjonil tuleb kaitse piisavuse otsuse vastuvõtmisel arvestada),

–  võttes arvesse kodukorra artikli 123 lõiget 2,

A.  arvestades, et isikuandmete kaitse üldmäärust hakati kohaldama 25. maist 2018; arvestades, et isikuandmete kaitse üldmääruse artikli 45 lõikes 2 on sätestatud asjaolud, mida komisjon peab võtma arvesse kolmanda riigi või rahvusvahelise organisatsiooni pakutava kaitse taseme piisavuse hindamisel;

B.  arvestades, et komisjon peab eelkõige võtma arvesse õigusriigi põhimõtet, inimõiguste ja põhivabaduste austamist, nii üldiseid kui ka valdkondlikke asjakohaseid õigusakte, sealhulgas neid, mis käsitlevad avalikku julgeolekut, kaitset, riiklikku julgeolekut, karistusõigust ja riigiasutuste juurdepääsu isikuandmetele, ühe või mitme sõltumatu järelevalveasutuse olemasolu ja tulemuslikku toimimist ning asjaomase kolmanda riigi või rahvusvahelise organisatsiooni võetud rahvusvahelisi kohustusi;

C.  arvestades, et Euroopa Kohtu 6. oktoobri 2015. aasta otsuses kohtuasjas C-362/14, Maximillian Schrems vs. andmekaitsevolinik, selgitati, et kolmanda riigi pakutava kaitse piisavat taset tuleb mõista nii, et see on „sisuliselt samaväärne“ sellega, mis on liidus tagatud vastavalt direktiivile 95/46 koostoimes hartaga;

D.  arvestades, et Jaapan on üks ELi suuremaid kaubanduspartnereid, kellega hiljaaegu sõlmiti majanduspartnerlusleping, milles sätestatakse ühised väärtused ja põhimõtted, käsitledes samas ettevaatlikult mõlema partneri tundlikke teemasid; arvestades, et põhiõiguste, sealhulgas eraelu puutumatuse ja andmekaitse ühine tunnustamine moodustab olulise aluse kaitse piisavuse otsusele, mis annab õigusliku aluse isikuandmete edastamiseks EList Jaapanisse;

E.  arvestades, et kodanikuvabaduste, justiits- ja siseasjade komisjoni Jaapanit külastanud ajutisele delegatsioonile selgitati, et Jaapani ametiasutusi ja sidusrühmi huvitab mitte üksnes uue isikuandmete kaitse üldmääruse reeglite endi kohaldamine, vaid ka ELi ja Jaapani vahelise sellise kindla ja kõrgetasemelise isikuandmete edastamise mehhanismi väljatöötamine, mis vastaks ELi õigusraamistikus kehtivatele tingimustele kaitsetaseme osas, mis loetakse sisuliselt samaväärseks ELi andmekaitsealaste õigusaktidega tagatud tasemega;

F.  arvestades, et maailmamajanduse üha ulatuslikuma digiteerimise tõttu on ärieesmärkidel isikuandmete edastamine ELi ja Jaapani vahel nende suhete oluline osa; arvestades, et sellisel andmete edastamisel tuleks täielikult austada õigust isikuandmete kaitsele ja eraelu puutumatusele; arvestades, et üks ELi peaeesmärke on Euroopa Liidu põhiõiguste hartas sätestatud põhiõiguste kaitse;

G.  arvestades, et EL ja Jaapan alustasid 2017. aasta jaanuaris kõnelusi, et hõlbustada ärieesmärkidel isikuandmete edastamist kõigi aegade esimese nn vastastikuse kaitse piisavuse otsuse abil; arvestades, et oma 12. detsembri 2017. aasta resolutsioonis digitaalkaubanduse strateegia loomise kohta tunnistas Euroopa Parlament selgelt, et „kaitse piisavuse otsused [...] on põhimehhanismid isikuandmete edastamise kaitsmiseks nende edastamise korral ELilt kolmandale riigile“;

H.  arvestades, et kaitse piisavuse otsus isikuandmete Jaapanile edastamiseks oleks esimene selline isikuandmete kaitse üldmääruse uute ja rangemate reeglite kohaselt tehtud otsus;

I.  arvestades, et Jaapan on hiljuti ajakohastanud ja tugevdanud oma andmekaitset käsitlevaid õigusakte, et viia need vastavusse rahvusvaheliste standarditega, eelkõige nende kaitsemeetmete ja üksikisikute õigustega, mis on sätestatud uues Euroopa andmekaitsealases õigusraamistikus; arvestades, et Jaapani andmekaitse õigusraamistik koosneb mitmest sambast ja selle keskne õigusakt on personaalse teabe kaitse seadus (Act on Protection of Personal Information, edaspidi „APPI“);

J.  arvestades, et Jaapani valitsus võttis 12. juunil 2018 vastu valitsuse korralduse, millega antakse personaalse teabe kaitse komisjonile kui APPI haldamise ja rakendamise eest vastutavale asutusele õigus võtta selle seaduse artikli 6 alusel vajalikke meetmeid, et vähendada Jaapani ja asjaomase kolmanda riigi süsteemide ja toimingute erinevusi, eesmärgiga tagada sellest riigist saadud personaalse teabe nõuetekohane käitlemine; arvestades, et otsuses sätestatu kohaselt hõlmab see õigust võtta rangemaid kaitsemeetmeid, milleks personaalse teabe kaitse komisjon võib kehtestada rangemad eeskirjad, mis täiendavad APPI-t ja valitsuse korraldust ja lähevad neist kaugemale; arvestades, et otsuse kohaselt on sellised rangemad eeskirjad siduvad ja Jaapani ettevõtjate suhtes õiguslikult jõustatavad;

K.  arvestades, et komisjoni rakendusotsuse eelnõule Jaapani pakutava isikuandmete kaitse piisavuse kohta on I lisana lisatud personaalse teabe kaitse komisjoni poolt 15. juunil 2018 APPI artikli 6 alusel vastu võetud lisaeeskirjad, millega personaalse teabe kaitse komisjonil sõnaselgelt lubatakse kehtestada rangemad eeskirjad, muu hulgas rahvusvahelise andmeedastuse hõlbustamiseks; arvestades, et lisaeeskirjad ei ole veel avalikult kättesaadavad;

L.  arvestades, et nimetatud lisaeeskirjade eesmärk oleks käsitleda Jaapani ja ELi andmekaitsealaste õigusaktide asjakohaseid erinevusi, et tagada kaitse piisavuse otsuse alusel EList saadud personaalse teabe nõuetekohane käitlemine, mis puudutab eelkõige erilist hoolikust nõudvat personaalset teavet (tundlikud andmed), säilitatavaid isikuandmeid, kasutuseesmärgi täpsustamist, kasutuseesmärgist tingitud piiranguid, välisriigis asuvale kolmandale osapoolele edastamise piiranguid ning anonüümselt töödeldavat teavet;

M.  arvestades, et komisjoni väitel oleksid lisaeeskirjad õiguslikult siduvad kõigi personaalset teavet käitlevate ettevõtjate jaoks, kes saavad EList kaitse piisavuse otsuse alusel edastatud isikuandmeid ning kes seetõttu peavad neid eeskirju järgima ja kelle suhtes kehtivad kõik nendega seotud õigused ja kohustused, ning et neid saaksid jõustada nii personaalse teabe kaitse komisjon kui ka Jaapani kohtud; arvestades, et mõned Jaapani eksperdid kahtlevad selles, kas lisaeeskirjad on siduvad;

N.  arvestades, et EList Jaapanisse edastatavatele isikuandmetele sisuliselt samaväärse kaitsetaseme tagamiseks nähakse lisaeeskirjadega ette täiendavad kaitsemeetmed, mida kohaldatakse EList edastatavate isikuandmete töötlemisele rangemate tingimuste või piirangute kehtestamisega, näiteks erilist hoolikust nõudva personaalse teabe, andmete edasisaatmise, anonüümsete andmete ja kasutusotstarbe piirangute korral;

O.  arvestades, et Jaapani andmekaitse õigusraamistikus eristatakse „personaalset teavet“ ja „isikuandmeid“ ning mõnel juhul viidatakse isikuandmete eriliigina ka „säilitatavatele isikuandmetele“;

P.  arvestades, et APPI artikli 2 lõike 1 kohaselt kuulub personaalse teabe mõiste alla igasugune elavat inimest puudutav teave, mille põhjal saab tema isiku tuvastada; arvestades, et selle mõiste all eristatakse kaht liiki personaalset teavet, nimelt i) isikukoode ja ii) muud personaalset teavet, mille põhjal saab isikut tuvastada; arvestades, et viimatinimetatu hõlmab teavet, mis iseenesest ei võimalda isikut tuvastada, kuid võimaldab seda teha juhul, kui see on muu teabega „hõlpsasti kõrvutatav“;

Q.  arvestades, et APPI artikli 2 lõike 4 kohaselt tähendavad „isikuandmed“ personaalset teavet personaalse teabe andmebaasi vms kujul; arvestades, et APPI artikli 2 lõikes 1 on sätestatud, et sellistes andmebaasides sisalduv teave on süstemaatiliselt korraldatud, sarnaselt isikuandmete kaitse üldmääruse artikli 2 lõike 1 kohasele andmete kogumile; arvestades, et isikuandmete kaitse üldmääruse artikli 4 punkti 1 kohaselt on „isikuandmed“ igasugune teave tuvastatud või tuvastatava füüsilise isiku kohta; arvestades, et tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal; arvestades, et füüsilise isiku tuvastatavuse kindlakstegemisel tuleks arvesse võtta kõiki vahendeid, mida vastutav töötleja või keegi muu võib füüsilise isiku otseseks või kaudseks tuvastamiseks mõistliku tõenäosusega kasutada, näiteks teiste hulgast esiletoomist;

R.  arvestades, et APPI artikli 2 lõike 7 kohaselt tähendavad „säilitatavad isikuandmed“ selliseid isikuandmeid, mida teavet käitleval ettevõtjal on lubatud avalikustada või parandada; mille sisu ta võib välja jätta või sellele lisandusi teha; mida ta võib lakata kasutamast; mille ta võib kustutada; mille edastamise kolmandale isikule ta võib lõpetada; ning mida ei loeta valitsuse korraldusega andmeteks, mille olemasolu või puudumise teatavaks tegemine võib avalikke või muid huve kahjustada, ega andmeteks, mis tuleb valitsuse korraldusega määratud vähem kui aasta pikkuse tähtaja möödumisel kustutada; arvestades, et lisaeeskirjadega ühtlustatakse mõiste „säilitatavad isikuandmed“ mõistega „isikuandmed“, et tagada, et esimesena nimetatud mõistega seonduvaid teatavaid piiranguid üksikisiku õigustele ei kohaldata EList edastatavate andmete suhtes;

S.  arvestades, et rakendusotsuse eelnõu objektiks oleva Jaapani andmekaitseseaduse kohaldamisalast on välja jäetud mitmed sektorid, kui nad töötlevad isikuandmeid erieesmärkidel; arvestades, et rakendusotsuse eelnõu ei kohaldataks isikuandmete edastamisel EList saajale, kes kuulub Jaapani andmekaitseseaduses sätestatud eelnimetatud erandite alla;

T.  arvestades, et ELi isikuandmete edasisaatmisel Jaapanist kolmandasse riiki välistatakse rakendusotsuse eelnõu kohaselt selliste edastamisvahendite kasutamine, mis ei tekita Jaapani andmeeksportija ja kolmanda riigi andmeimportija vahel siduvaid suhteid ega taga nõutavat kaitsetaset; arvestades, et see kehtiks näiteks Aasia ja Vaikse ookeani piirkonna riikide majanduskoostöö piiriüleste eraelu puutumatuse eeskirjade süsteemi (milles Jaapan osaleb) suhtes, kuna selles süsteemis ei tulene kaitsemeetmed eksportijat ja importijat nende kahepoolsete suhete kontekstis siduvast korrast ning nende meetmete pakutav kaitsetase on APPI ja lisaeeskirjadega tagatud tasemest selgelt madalam;

U.  arvestades, et rakendusotsuse eelnõu II lisas on toodud justiitsministri 14. septembri 2018. aasta kiri, milles viidatakse justiitsministeeriumi ja mitme teise ministeeriumi ja asutuse koostatud dokumendile „Personaalse teabe kogumine ja kasutamine Jaapani ametivõimude poolt kriminaalõiguse jõustamise ja riikliku julgeoleku eesmärkidel“, milles antakse ülevaade kohaldatavast õigusraamistikust ja esitatakse komisjonile ministeeriumite ja asutuste kõrgeimal tasandil allkirjastatud ametlikud seisukohad, kinnitused ja võetud kohustused;

1.  võtab teadmiseks komisjoni kaitse piisavuse rakendusotsuse eelnõus esitatud põhjaliku analüüsi kaitsemeetmete kohta, mis hõlmavad kontrolli- ja õiguskaitsemehhanisme, mida kohaldatakse ettevõtjapoolse andmete töötlemise ning andmete Jaapani ametiasutustele kättesaadavaks tegemise suhtes, eelkõige õiguskaitse ja riikliku julgeoleku valdkonnas;

2.  võtab teadmiseks asjaolu, et Jaapan valmistub samaaegselt tunnustama ka APPI artikli 23 kohaselt Jaapanist ELi edastatavate isikuandmete kaitsetaset, mille tulemuseks oleks kogu maailmas esmakordne „kahesuunaline“ kaitse piisavuse otsus, mille põhjal loodaks maailma suurim vabade ja turvaliste andmevoogude ala;

3.  väljendab heameelt selle arengu üle, mis kajastab rangete andmekaitsenõuete üleilmset levikut; märgib siiski, et see ei tohi mingil juhul tuua kaasa „mõõt mõõdu vastu“ piisavusotsuste tegemist ELis; tuletab meelde, et isikuandmete kaitse üldmääruse kohase piisavusotsuse tegemiseks peab komisjon objektiivselt hindama kolmanda riigi, territooriumi, valdkonna või rahvusvahelise organisatsiooni õiguslikku ja praktilist olukorda;

4.  tuletab meelde, et Euroopa Kohus on otsustanud, et mõiste „kaitse piisav tase“ ei nõua samasugust kaitset kui ELis, vaid seda tuleb mõista nii, et see nõuab, et kolmas riik tõepoolest tagab oma siseriikliku õigusega või endale võetud rahvusvaheliste kohustustega põhiõiguste ja -vabaduste kaitse taseme, mis on sisuliselt samaväärne sellega, mis on Euroopa Liidus tagatud vastavalt isikuandmete kaitse üldmäärusele koostoimes Euroopa Liidu põhiõiguste hartaga;

5.  märgib, et nii Jaapanis kui ka ELis on eraelu puutumatuse ja isikuandmete kaitse õigus tagatud põhiseadusega, kuid kultuuriliste ja põhiseaduse ülesehituses kajastuvate erinevuste tõttu ei ole ELi ja Jaapani eeskirjade täielik ühtlustamine võimalik;

6.  võtab teadmiseks 30. mail 2017 jõustunud APPI muudatused; väljendab heameelt oluliste täiustuste üle;

7.  märgib, et rakendusotsuse eelnõu artiklis 1 ei määratleta küllalt põhjalikult kaitse piisavuse otsuse sisulist kohaldamisala, kuna APPI sisulisest kohaldamisalast on mitmed äritegevuse ja andmetöötluse liigid välja jäetud; palub komisjonil täiendavalt ja põhjalikumalt selgitada, kuidas sellised väljajätmised mõjutavad EList Jaapanisse edastatavaid isikuandmeid, ning tuua rakendusotsuse eelnõu artiklis 1 selgelt välja, millist ELi isikuandmete edastamist piisavusotsus hõlmab, ja märkida, et käsitsi töödeldavate ja hiljem Jaapanis elektrooniliselt töödeldavate isikuandmete edastamise korral peaks otsus hõlmama asjaomaseid töötlemistegevusi;

8.  on seisukohal, et pärast seda, kui APPI muudatused ja isikuandmete kaitse üldmäärus 2016. aastal vastu võeti, on Jaapani ja ELi andmekaitsesüsteemide põhimõtted, kaitsemeetmed ja nendega hõlmatud üksikisikute õigused, samuti nende kontrolli- ja jõustamismehhanismid suurel määral ühtlustatud; juhib eelkõige tähelepanu APPI muudatustega loodud personaalse teabe kaitse komisjonile kui sõltumatule järelevalveasutusele;

9.  märgib siiski, et personaalse teabe kaitse komisjoni arvates on kahe süsteemi ulatuslikule ühtlustamisele vaatamata nende vahel sellegipoolest olulisi erinevusi; märgib ka, et EList edastatavate isikuandmete paremaks kaitsmiseks võttis personaalse teabe kaitse komisjon 15. juunil 2018 vastu lisaeeskirjad;

10.  peab tervitatavaks lisaeeskirjades esitatud mitmeid tähtsaid selgitusi, sealhulgas seda, et APPI „anonüümseks muudetud personaalse teabe“ mõiste on ühtlustatud isikuandmete kaitse üldmääruse „anonüümse teabe“ mõistega;

11.  on seisukohal, et lisaeeskirjadega pakutav täiendav kaitse hõlmab üksnes andmete edastamist kaitse piisavuse otsuste alusel; tuletab meelde, et piisavusotsuse kohaldamisala arvestades edastatakse osa andmeid nende teiste olemasolevate mehhanismide abil;

12.  tunnistab, et lisaeeskirjades sätestatud täiendavat kaitset kohaldatakse üksnes Euroopast edastatud isikuandmetele, seega on ettevõtjad, kes peavad samal ajal töötlema Jaapani ja Euroopa isikuandmeid, kohustatud järgima lisaeeskirju, tagades näiteks tehnilised vahendid („märgistamine“) või organisatsioonilised vahendid (nt talletamine spetsiaalses andmebaasis), et selliseid isikuandmeid oleks võimalik tuvastada kogu nende olelusringi jooksul; kutsub komisjoni üles olukorda jälgima, et hoida ära võimalikke seaduselünki, mille abil ettevõtjad võivad hoida kõrvale lisaeeskirjades kehtestatud kohustustest, edastades andmeid kolmandate riikide kaudu;

13.  märgib, et APPI „isikuandmete“ mõiste ei hõlma andmeid, mille puhul on valitsus oma korralduses esitatud määratluses pidanud nende kasutusviisi tõttu väikseks võimalust, et need üksikisikute õigusi ja huve kahjustavad; nõuab tungivalt, et komisjon annaks hinnangu sellele, kas niisugune kahjupõhine käsitlus on kooskõlas ELi käsitlusega, mille kohaselt igasugune isikuandmete töötlemine kuulub andmekaitsealaste õigusaktide kohaldamisalasse; märgib siiski ühtlasi, et sellist lähenemisviisi kohaldataks väga piiratud juhtudel;

14.  märgib lisaks, et APPI „personaalse teabe“ mõiste piirdub teabega, mille põhjal saab konkreetset üksikisikut tuvastada; märgib ka, et antud määratlus ei hõlma isikuandmete kaitse üldmääruses toodud selgitust, et isikuandmeteks tuleks pidada ka sellist personaalset teavet, mille põhjal saab ainult üksikisikut „esile tuua“, nagu Euroopa Kohus selgelt sätestas;

15.  väljendab muret selle pärast, et „isikuandmete“ kitsam määratlus APPIs (mille aluseks on „personaalse teabe“ mõiste) ei pruugi vastata nõudele, et see peab olema sisuliselt samaväärne isikuandmete kaitse üldmääruses ja Euroopa Kohtu praktikas kasutatava mõistega; kahtleb seepärast rakendusotsuse eelnõu väites, et ELi andmed liigituvad alati APPI „isikuandmete“ mõiste alla; palub komisjonil kaitse piisavuse otsuse kohaldamise ja selle korrapärase läbivaatamise käigus hoolikalt jälgida eri mõistete praktilist mõju;

16.  palub, et komisjon esitaks lisaselgitusi ja taotleks vajaduse korral Jaapani ametiasutustelt täiendavaid siduvaid lisaeeskirju, et tagada kõigi Jaapanisse edastatavate ja isikuandmete kaitse üldmääruse mõistes isikuandmeteks loetavate andmete kaitse;

17.  märgib murelikult, et erinevalt ELi õigusest puuduvad APPIs ja personaalse teabe kaitse komisjoni suunistes õigusnormid automatiseeritud otsustusprotsessi ja profiilianalüüsi kohta ning neid küsimusi reguleerivad vaid teatavad valdkondlikud eeskirjad, mis ei taga automatiseeritud otsustusprotsessi ja profiilianalüüsi suhtes sisulisi ja tugevaid kaitsemeetmeid hõlmavat üldist põhjalikku õigusraamistikku; palub, et komisjon näitaks, kuidas seda küsimust Jaapani andmekaitseraamistikus käsitletakse, nii et oleks tagatud samaväärne kaitsetase; peab seda küsimust eriti oluliseks Facebooki / Cambridge Analytica hiljutiste profiilianalüüsi juhtumite tõttu;

18.  on seisukohal, et seoses Euroopa Andmekaitsenõukogu kaitse piisavuse viitedokumendiga on vaja põhjalikke selgitusi otseturunduse küsimuses, kuna APPIs puuduvad konkreetsed sellekohased sätted, kuid see on vajalik Jaapani isikuandmete kaitse samaväärse taseme tõendamiseks;

19.  on seisukohal, et ehkki Aasia ja Vaikse ookeani piirkonna riikide majanduskoostöö piiriüleste eraelu puutumatuse eeskirjadega võrreldes tagavad APPI ja lisaeeskirjad üheskoos andmete edasisaatmise korral kõrgema kaitsetaseme, on lisaeeskirjades pakutud lahenduses (küsida ELi andmesubjektide andmete välisriigis asuvale kolmandale osapoolele edasisaatmiseks eelnevalt andmesubjektide nõusolekut) puudu mitu olulist elementi, mis võimaldaksid andmesubjektidel oma nõusolekut formuleerida, nii näiteks ei määratleta selgelt, mida tähendab isikuandmete kaitse üldmääruse artikli 13 mõistes „teave edastamise asjaolude kohta, mis on vajalik, et [andmesubjekt] saaks teha nõusoleku andmist puudutava otsuse“, näiteks teave kolmanda, andmete edastamise sihtriigi kohta; märgib ka, et rakendusotsuse eelnõus ei selgitata, mida toob andmesubjekti jaoks kaasa isikuandmete edasisaatmiseks nõusoleku andmisest keeldumine;

20.  palub, et komisjon täiendavalt hindaks ja näitaks, kas personaalse teabe kaitse komisjoni sõltumatus on täiel määral kooskõlas Euroopa Kohtu praktikas väljatöötatud ja isikuandmete kaitse üldmääruses kajastatud nõuetega;

21.  peab kahetsusväärseks, et karistusasutuste määratavad võimalikud trahvid on nii väikesed, et ei taga APPI tulemuslikku täitmist, kuna need ei ole ilmselt rikkumiste raskusega võrreldes proportsionaalsed, tõhusad ja hoiatavad; märgib siiski, et APPI näeb ette ka kriminaalkaristusi, sealhulgas vanglakaristuse; kutsub komisjoni üles andma teavet haldustrahvide ja kriminaalkaristuste varasema tegeliku kasutamise kohta;

22.  võtab teadmiseks, et kuigi personaalse teabe kaitse komisjon ei tee järelevalvet õiguskaitsesektori andmetöötlustegevuse üle, on olemas muud järelevalvemehhanismid, sealhulgas avaliku turvalisuse sõltumatu prefektuurikomisjoni tehtav järelevalve; märgib, et ka teabe avalikustamise ja personaalse teabe kaitse järelevalvenõukogul (Information Disclosure and Personal Information Protection Review Board) on mõningane sellealane pädevus, muu hulgas õigus läbi vaadata juurdepääsutaotlusi ja avaldada oma arvamusi, kuid juhib tähelepanu sellele, et need volitused ei ole õiguslikult siduvad; väljendab heameelt selle üle, et EL ja Jaapan on kokku leppinud spetsiaalse õiguskaitsemehhanismi kehtestamises, mida haldab ja mille järele valvab personaalse teabe kaitse komisjon ning mida kohaldatakse isikuandmete töötlemisele õiguskaitse ja riikliku julgeoleku valdkonnas;

23.  märgib, et vastavalt Jaapani seadusele haldusasutuste valduses oleva personaalse teabe kaitse kohta võivad ettevõtjad andmed õiguskaitseasutustele ka vabatahtlikult üle anda; juhib tähelepanu asjaolule, et isikuandmete kaitse üldmääruses ega politseidirektiivis seda ette ei nähta, ning väljendab muret, et see võib minna vastuollu nõudega olla „sisuliselt samaväärne“ isikuandmete kaitse üldmäärusega;

24.  on kursis meedia teadetega Jaapani signaaliluure direktoraadi kohta, milles töötab umbes 1700 inimest ja millel on vähemalt kuus jälgimisrajatist, kus ööpäevaringselt kuulatakse pealt telefonikõnesid ning jälgitakse e-kirju ja muid sidekanaleid(6); väljendab muret selle pärast, et rakendusotsuse eelnõus isegi ei mainita sellist valimatut massilist jälgimistegevust; palub komisjonil anda Jaapani massilise jälgimistegevuse kohta rohkem teavet; väljendab tõsist muret selle pärast, et niisugune massiline jälgimistegevus ei ole kooskõlas Euroopa Kohtu poolt Schremsi kohtuasjas tehtud otsusega kehtestatud kriteeriumidega (kohtuasi C-362/14);

25.  avaldab kahetsust, et rakendusotsuse eelnõu II lisas esitatud dokumendil „Personaalse teabe kogumine ja kasutamine Jaapani ametivõimude poolt kriminaalõiguse jõustamise ja riikliku julgeoleku eesmärkidel“ pole lisaeeskirjadega võrdset õiguslikult siduvat mõju;

Järeldused

26.  palub komisjonil esitada eelnimetatud küsimuste kohta lisatõendeid ja selgitusi, tõendamaks et Jaapani andmekaitse õigusraamistik tagab kaitse piisava taseme, mis on sisuliselt samaväärne Euroopa andmekaitse õigusraamistiku pakutava kaitsetasemega;

27.  on veendunud, et kõnealune kaitse piisavuse otsus võib ühtlasi toimida maailma riikide jaoks ka jõulise märguandena selle kohta, et ELi kõrgetele andmekaitsenõuetele lähenemine annab vägagi konkreetseid tulemusi; rõhutab sellega seoses, et see kaitse piisavuse otsus on tähtis pretsedendina tulevaste partnerlussuhete jaoks teiste riikidega, kes on vastu võtnud nüüdisaegsed andmekaitseseadused;

28.  teeb kodanikuvabaduste, justiits- ja siseasjade komisjonile ülesandeks jätkuvalt jälgida selles valdkonnas toimuvat arengut, sealhulgas Euroopa Kohtusse jõudnud kohtuasju, ning jälgida käesolevas resolutsioonis esitatud soovituste järelmeetmeid;

°

°  °

29.  teeb presidendile ülesandeks edastada käesolev resolutsioon nõukogule, komisjonile, liikmesriikide valitsustele ja parlamentidele, Euroopa Andmekaitsenõukogule, Euroopa Andmekaitseinspektorile, isikuandmete kaitse üldmääruse artikli 93 lõike 1 põhjal asutatud komiteele, Euroopa Nõukogule ja Jaapani valitsusele.

 

 

(1)

ELT L 119, 4.5.2016, lk 1.

(2)

ECLI:EU:C:2015:650.

(3)

ECLI:EU:C:2016:970.

(4)

ELT C 369, 11.10.2018, lk 22.

(5)

http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614108; see kiideti heaks Euroopa Andmekaitsenõukogu esimesel täiskogu istungil.

(6)

Ryan Gallagher, „The Untold Story of Japan’s Secret Spy Agency“ (Rääkimata lugu Jaapani salajasest luureteenistusest). The Intercept, 19. mai 2018, https://theintercept.com/2018/05/19/japan-dfs-surveillance-agency/

Viimane päevakajastamine: 12. detsember 2018Õigusalane teave