PRIJEDLOG REZOLUCIJE o primjerenosti zaštite osobnih podataka koju pruža Japan
10.12.2018 - (2018/2979(RSP))
u skladu s člankom 123. stavkom 2. Poslovnika
Claude Moraes u ime Odbora za građanske slobode, pravosuđe i unutarnje poslove
B8-0561/2018
Rezolucija Europskog parlamenta o primjerenosti zaštite osobnih podataka koju pruža Japan
Europski parlament,
– uzimajući u obzir Ugovor o Europskoj uniji (UEU), Ugovor o funkcioniranju Europske unije (UFEU) i članke 6., 7., 8., 11., 16., 47. i 52. Povelje Europske unije o temeljnim pravima,
– uzimajući u obzir Uredbu (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka)[1] i ostalu relevantnu pravnu stečevinu Europske unije u području zaštite podataka,
– uzimajući u obzir presudu Suda Europske unije od 6. listopada 2015. u predmetu C-362/14 (Maximillian Schrems protiv Data Protection Commissioner)[2],
– uzimajući u obzir presudu Suda Europske unije od 21. prosinca 2016. u spojenim predmetima C-203/15 (Tele2 Sverige AB protiv Post- och telestyrelsen) i C-698/15 (Secretary of State for the Home Department protiv Toma Watsona i drugih)[3],
– uzimajući u obzir svoju Rezoluciju od 12. prosinca 2017. naslovljenu „Ususret strategiji digitalne trgovine”[4],
– uzimajući u obzir dokument Radne skupine iz članka 29. pod naslovom „Referentni dokument o primjerenosti” od 6. veljače 2018.[5], u kojem se Komisiji i Europskom odboru za zaštitu podataka u skladu s Općom uredbom o zaštiti podataka pružaju smjernice za procjenu razine zaštite podataka u trećim zemljama i međunarodnim organizacijama,
– uzimajući u obzir Nacrt provedbene odluke Komisije u skladu s Uredbom (EU) 2016/679 Europskog parlamenta i Vijeća o primjerenoj zaštiti osobnih podataka koju pruža Japan (COM(2018)XXXX),
– uzimajući u obzir rezultate posjeta ad hoc izaslanstva Odbora za građanske slobode, pravosuđe i unutarnje poslove Japanu u listopadu 2017. koji je organiziran u kontekstu pregovora o primjerenosti kako bi se izaslanstvo susrelo s relevantnim japanskim tijelima vlasti i dionicima te razgovaralo o ključnim elementima koje Komisija treba uzeti u obzir pri donošenju svoje odluke o primjerenosti,
– uzimajući u obzir članak 123. stavak 2. Poslovnika,
A. budući da se Opća uredba o zaštiti podataka primjenjuje od 25. svibnja 2018.; budući da se člankom 45. stavkom 2. Opće uredbe o zaštiti podataka utvrđuju elementi koje Komisija treba uzeti u obzir prilikom procjene primjerenosti stupnja zaštite u trećoj zemlji ili međunarodnoj organizaciji;
B. budući da je Komisija dužna osobito uzeti u obzir vladavinu prava, poštovanje ljudskih prava i temeljnih sloboda, relevantno zakonodavstvo, i opće i sektorsko, što uključuje zakonodavstvo o javnoj sigurnosti, obrani, nacionalnoj sigurnosti, kaznenom pravu i pristupu tijela javne vlasti osobnim podacima, postojanje i djelotvorno funkcioniranje jednog neovisnog nadzornog tijela ili više njih te međunarodne obveze koje je dotična treća zemlja ili međunarodna organizacija preuzela;
C. budući da je Sud Europske unije u svojoj presudi od 6. listopada 2015. u predmetu C-362/14 (Maximillian Schrems protiv Data Protection Commissioner) pojasnio da se izraz „odgovarajuća razina zaštite” u trećoj zemlji mora shvatiti kao „bitno ekvivalentna” onoj zaštiti koja se jamči u okviru Europske unije na temelju Direktive 95/46/EZ, tumačene u svjetlu Povelje;
D. budući da je Japan jedan od ključnih trgovinskih partnera EU-a s kojim je EU nedavno sklopio Sporazum o gospodarskom partnerstvu kojim su obuhvaćene zajedničke vrijednosti i načela te se pruža zaštita osjetljivim aspektima obaju partnera; budući da je zajedničko priznavanje temeljnih prava, uključujući privatnost i zaštitu podataka, važan temelj za odluku o primjerenosti kojom će se pružiti pravna osnova za prijenos osobnih podataka iz EU-a u Japan;
E. budući da je ad hoc izaslanstvo Odbora za građanske slobode, pravosuđe i unutarnje poslove u Japan upoznato s interesom japanskih vlasti i dionika ne samo za primjenu pravila nove Opće uredbe o zaštiti podataka nego i za razvoj čvrstog mehanizma na visokoj razini za prijenos osobnih podataka između EU-a i Japana koji bi ispunjavao uvjete utvrđene pravnim okvirom EU-a u pogledu razine zaštite koja se smatra bitno ekvivalentnoj razini koja se pruža zakonodavstvom EU-a o zaštiti podataka;
F. budući da su u svjetlu sve veće digitalizacije globalnog gospodarstva prijenosi osobnih podataka u komercijalne svrhe između EU-a i Japana važan element njihovih međusobnih odnosa; budući da bi te prijenose trebalo obavljati na temelju punog poštovanja prava na zaštitu osobnih podataka i prava na privatnost; budući da je jedan od osnovnih ciljeva EU-a zaštita temeljnih prava utvrđenih u Povelji Europske unije o temeljnim pravima;
G. budući da su EU i Japan u siječnju 2017. pokrenuli razgovore radi olakšavanja prijenosa osobnih podataka u komercijalne svrhe na temelju prvih „zaključaka o uzajamnoj primjerenosti”; budući da Europski parlament u svojoj Rezoluciji od 12. prosinca 2017. naslovljenoj „Ususret strategiji digitalne trgovine” izričito „priznaje da su odluke o primjerenosti [...] temeljni mehanizam zaštite prijenosa osobnih podataka iz EU-a u treću zemlju”;
H. budući da bi odluka o primjerenosti za prijenos osobnih podataka u Japan bila prva takva odluka donesena u skladu s novim i strožim pravilima Opće uredbe o zaštiti podataka;
I. budući da je Japan nedavno modernizirao i ojačao svoje zakonodavstvo o zaštiti podataka kako bi ga uskladio s međunarodnim standardima, osobito sa zaštitnim mjerama i pravima pojedinca predviđenima u novom europskom pravnom okviru za zaštitu podataka; budući da se japanski pravni okvir za zaštitu podataka sastoji od različitih stupova, pri čemu je Zakon o zaštiti osobnih podataka središnji dio zakonodavstva;
J. budući da je vlada Japana 12. lipnja 2018. izdala nalog kojim se Povjerenstvu za zaštitu osobnih podataka, kao tijelu nadležnom za upravljanje i provedbu Zakona o zaštiti osobnih podataka, delegira ovlast da na temelju članka 6. tog Zakona poduzima potrebne mjere za premošćivanje razlika u sustavima i operacijama između Japana i predmetne strane zemlje kako bi se zajamčilo odgovarajuće postupanje s osobnim podacima primljenima iz te zemlje; budući da se u toj odluci navodi da to uključuje ovlast za uspostavu pojačane zaštite tako što će Povjerenstvo za zaštitu osobnih podataka donijeti stroža pravila koja dopunjavaju i nadilaze pravila utvrđena u Zakonu o zaštiti osobnih podataka i nalogu vlade; budući da bi u skladu s navedenom odlukom ta stroža pravila bila obvezujuća i pravovaljana za japanske poslovne subjekte;
K. budući da Prilog I. Nacrtu provedbene odluke Komisije o primjerenoj zaštiti osobnih podataka koju pruža Japan čine Dodatna pravila koja je Povjerenstvo za zaštitu osobnih podataka usvojilo 15. lipnja 2018. i koja se temelje na članku 6. Zakona o zaštiti osobnih podataka, kojim se izričito dopušta da Povjerenstvo za zaštitu osobnih podataka donese stroža pravila, među ostalim radi olakšavanja međunarodnih prijenosa podataka; budući da Dodatna pravila još nisu javno dostupna;
L. budući da bi svrha tih Dodatnih pravila bila rješavanje pitanja relevantnih razlika između zakonodavstva Japana i EU-u o zaštiti podataka kako bi se osiguralo odgovarajuće postupanje s osobnim podacima primljenima iz EU-a na temelju odluke o primjerenosti, posebno u pogledu osobnih podataka s kojima je potrebno postupati s posebnom pažnjom („osjetljivi podaci”), pohranjenih osobnih podataka, pri čemu se navodi svrha uporabe, ograničenja u vezi s prosljeđivanjem trećoj strani u stranoj zemlji te anonimno obrađenih informacija;
M. budući da Komisija navodi da će Dodatna pravila biti pravno obvezujuća za sve poslovne subjekte koji obrađuju osobne podatke i koji primaju osobne podatke prenesene iz EU-a na temelju odluke o primjerenosti te ih stoga oni moraju poštovati, isto kao i sva pripadajuća prava i obveze, te navodi da će biti izvršiva i od strane Povjerenstva za zaštitu osobnih podataka i japanskih sudova; budući da neki japanski stručnjaci sumnjaju u to da su Dodatna pravila obvezujuća;
N. budući da se, radi osiguravanja bitno ekvivalentne razine zaštite osobnih podataka koji se iz EU-a prenose u Japan, Dodatnim pravilima stvara dodatna zaštita koja će se primjenjivati na osnovi strožih uvjeta ili ograničenja za obradu osobnih podataka koji se prenose iz EU-a, na primjer u slučajevima kad je s osobnim podacima potrebno postupati s posebnom pažnjom te u slučajevima daljnjih prijenosa, anonimnih podataka i ograničenja svrhe;
O. budući da u japanskom pravnom okviru za zaštitu podataka postoji razlika između „osobnih informacija” i „osobnih podataka” te se u nekim slučajevima upućuje na posebnu kategoriju osobnih podataka, odnosno na „pohranjene osobne podatke”;
P. budući da u skladu s člankom 2. stavkom 1. Zakona o zaštiti osobnih podataka koncept „osobnih informacija” obuhvaća sve informacije u vezi sa živim pojedincem koje omogućuju njegovu identifikaciju; budući da se u definiciji razlikuju dvije kategorije osobnih informacija: (i) identifikacijski kodovi pojedinca i (ii) ostale osobne informacije na temelju kojih se određeni pojedinac može identificirati; budući da potonja kategorija uključuje informacije koje same po sebi ne omogućuju identifikaciju, ali mogu, u kombinaciji s ostalim informacijama, omogućiti identifikaciju određenog pojedinca;
Q. budući da u skladu s člankom 2. stavkom 4. Zakona o zaštiti osobnih podataka „osobni podaci” znače osobne informacije koje među ostalim čine bazu podataka osobnih informacija; budući da se u članku 2. stavku 1. Zakona o zaštiti osobnih podataka navodi da su informacije u takvim bazama podataka sustavno raspoređene, što je slično konceptu sustava pohrane u skladu s člankom 2. stavkom 1. Opće uredbe o zaštiti podataka; budući da u skladu s člankom 4. stavkom 1. Opće uredbe o zaštiti podataka „osobni podaci” znače sve informacije u vezi s fizičkom osobom koja je identificirana ili se može identificirati; budući da je „fizička osoba koja se može identificirati” osoba koju se može identificirati izravno ili neizravno, osobito upotrebom identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji ili internetski identifikatori ili jednog ili više čimbenika svojstvenih fizičkom, fiziološkom, genetskom, mentalnom, ekonomskom, kulturnom ili socijalnom identitetu te fizičke osobe; budući da bi se, kako bi se odredilo može li se utvrditi identitet fizičke osobe, u obzir trebala uzeti sva sredstva, poput primjerice selekcije, za koja se može očekivati da će ih voditelj obrade ili bilo koja druga osoba upotrijebiti u svrhu izravnog ili neizravnog utvrđivanja identiteta fizičke osobe;
R. budući da u skladu s člankom 2. stavkom 7. Zakona o zaštiti osobnih podataka „pohranjeni osobni podaci” znače osobne podatke koje poslovni subjekt koji obrađuje osobne informacije ima pravo objaviti, ispraviti, dodati ili izbrisati njihov sadržaj, prestati koristiti, obrisati ili ih prestati prosljeđivati trećoj strani, i koji nisu osobni podaci za koje je vlada odredila da vjerojatno mogu naštetiti javnom ili drugom interesu ako se objavi njihovo postojanje ili odsutnost, niti podaci koji se odlukom vlade u roku od najviše jedne godine moraju izbrisati; budući da se Dodatnim pravilima usklađuje pojam „pohranjenih osobnih podataka” s pojmom „osobnih podataka” kako bi se osiguralo da se određena ograničenja prava pojedinca u vezi s pohranjenim osobnim podacima ne primjenjuju na podatke koji se prenose iz EU-a;
S. budući da je iz područja primjene japanskog zakonodavstva o zaštiti podataka, koje je predmet Nacrta provedbene odluke, isključeno nekoliko sektora prilikom obrade osobnih podataka u posebne svrhe; budući da se Nacrt provedbene odluke neće primjenjivati na prijenos osobnih podataka iz EU-a primatelju koji je obuhvaćen navedenim izuzećima predviđenima japanskim zakonodavstvom o zaštiti podataka;
T. budući da se u vezi s daljnjim prijenosima osobnih podataka dobivenih EU-a iz Japana u treću zemlju Nacrtom provedbene odluke isključuje upotreba instrumenata za daljnji prijenos kojima se ne uspostavlja obvezujući odnos između izvoznika japanskih podataka i uvoznika podataka iz treće zemlje niti se jamči potrebna razina zaštite; budući da bi do toga došlo, primjerice, u slučaju sustava Prekograničnih pravila za zaštitu privatnosti organizacije Azijsko-pacifičke gospodarske suradnje (Cross Border Privacy Rules – CBPR APEC), čiji je sudionik i japansko gospodarstvo, jer u tom sustavu zaštita nije rezultat obvezujućeg sporazuma izvoznika i uvoznika u kontekstu njihova bilateralnog odnosa te je očito niže razine od one zajamčene Zakonom o zaštiti osobnih podataka zajedno s Dodatnim pravilima;
U. budući da je uz Nacrt provedbene odluke kao Prilog II. Provedbenoj odluci priložen i dopis ministra pravosuđa od 14. rujna 2018. koji se odnosi na dokument koji su Ministarstvo pravosuđa i nekoliko ministarstava i agencija sastavili o „prikupljanju i upotrebi osobnih informacija od strane japanskih tijela javne vlasti za provedbu kaznenog progona i u svrhe nacionalne sigurnosti”, a koji sadrži pregled mjerodavnog pravnog okvira i Komisiji pruža službene izjave, jamstva i obveze koje su potpisane na najvišoj ministarskoj razini i razini Agencije;
1. prima na znanje detaljnu analizu koju je u svojem Nacrtu provedbene odluke o primjerenosti dala Komisija u vezi sa zaštitnim mjerama, uključujući mehanizme nadzora i pravne zaštite, koje se primjenjuju na obradu podataka od strane komercijalnih subjekata te na pristup podacima od strane japanskih tijela javne vlasti, osobito u području izvršavanja zakonodavstva i nacionalne sigurnosti;
2. prima na znanje činjenicu da Japan istodobno priprema priznavanje razine zaštite osobnih podataka koji se iz Japana prenose u EU u skladu s člankom 23. Zakona o zaštiti osobnih podataka, što bi dovelo do prvog zaključka o dvosmjernoj primjerenosti na globalnoj razini, a rezultat bi bio stvaranje najvećeg svjetskog područja slobodnog i sigurnog protoka podataka;
3. pozdravlja taj razvoj događaja kao izraz globalnog širenja visokih standarda zaštite podataka; međutim, ističe da to ni na koji način na smije voditi do pristupa koji se temelji na uzvraćanju istom mjerom u pogledu odluka EU-a o primjerenosti; podsjeća da za donošenje odluke o primjerenosti u skladu s Općom uredbom o zaštiti podataka Komisija mora objektivno ocijeniti pravnu i praktičnu situaciju u trećoj zemlji, teritoriju, sektoru ili međunarodnoj organizaciji;
4. naglašava da se u presudi Suda Europske unije navodi da se izrazom „odgovarajuća razina zaštite” ne zahtijeva identična razina zaštite onoj koja se jamči u EU-u, nego da se ona mora shvatiti na način da je treća zemlja dužna osigurati, temeljem domaćeg zakonodavstva ili međunarodnih obveza, razinu zaštite temeljnih prava i sloboda koja je bitno ekvivalentna onoj zaštiti koja se jamči u Europskoj uniji na temelju Opće uredbe o zaštiti podataka tumačene u svjetlu Povelje;
5. napominje da je pravo na privatnost i na zaštitu osobnih podataka zajamčeno na ustavnoj razini i u Japanu i u EU-u, no da potpuno usklađivanje pravila EU-a i Japana neće biti moguće s obzirom na razlike u ustavnom ustrojstvu i kulturi;
6. prima na znanje amandmane na Zakon o zaštiti osobnih podataka koji su stupili na snagu 30. svibnja 2017. te pozdravlja njegova znatna poboljšanja;
7. napominje da materijalno područje primjene zaključka o primjerenosti nije u dovoljnoj mjeri definirano u članku 1. Nacrta provedbene odluke zbog činjenice da je iz materijalnog područja primjene Zakona o zaštiti osobnih podataka isključeno nekoliko kategorija poslovnih aktivnosti i aktivnosti obrade; poziva Komisiju da pruži dodatna i detaljna pojašnjenja o učinku tih izuzeća na osobne podatke iz EU-a prenesene u Japan te da u članku 1. Nacrta provedbene odluke jasno navede koji su prijenosi osobnih podataka iz EU-a obuhvaćeni odlukom o primjerenosti, uz napomenu da bi prijenos osobnih podataka u sklopu ručne obrade trebao obuhvaćati operacije obrade ako će one u Japanu biti predmet daljnje elektroničke obrade;
8. smatra da nakon donošenja izmijenjenog Zakona o zaštiti osobnih podataka i Opće uredbe o zaštiti podataka 2016. godine japanski sustav za zaštitu podataka kao i sustav EU-a za zaštitu podataka imaju visoku razinu konvergencije kad je riječ o načelima, zaštitnim mjerama i pravima pojedinca te mehanizmima nadzora i provedbe; posebno ističe uspostavu neovisnog nadzornog tijela, Povjerenstva za zaštitu osobnih podataka, u sklopu izmijenjenog Zakona o zaštiti osobnih podataka;
9. međutim, napominje da Povjerenstvo za zaštitu osobnih podataka smatra da unatoč visokoj razini konvergencije između dvaju sustava ipak postoje neke bitne razlike; napominje i da je Povjerenstvo za zaštitu osobnih podataka 15. lipnja 2018. donijelo Dodatna pravila kako bi se pružila viša razina zaštite osobnih podataka koji se prenose iz EU-a;
10. pozdravlja niz važnih pojašnjenja u Dodatnim pravilima, uključujući usklađivanje „anonimiziranih osobnih informacija” iz Zakona o zaštiti osobnih podataka s definicijom „anonimnih informacija” iz Opće uredbe o zaštiti podataka;
11. smatra da su dodatnom zaštitom iz Dodatnih pravila obuhvaćeni samo prijenosi na temelju odluka o primjerenosti; podsjeća da će se s obzirom na područje primjene odluke o primjerenosti neki podaci prenijeti u okviru tih drugih dostupnih mehanizama;
12. priznaje da je dodatna zaštita utvrđena u Dodatnim pravilima ograničena na osobne podatke koji se prenose iz Europe zbog čega će poslovni subjekti koji moraju istodobno obrađivati japanske i europske osobne podatke morati poštovati Dodatna pravila te osigurati, primjerice, tehnička („označivanje”) ili organizacijska sredstva (npr. „čuvanje u posebnoj bazi podataka”) kako bi se takvi osobni podaci mogli identificirati tijekom njihova „životnog ciklusa”; poziva Komisiju da prati situaciju kako bi spriječila potencijalne rupe u zakonu kojima bi subjekti mogli zaobići obveze utvrđene u Dodatnim pravilima prijenosom podataka preko trećih zemalja;
13. napominje da su iz definicije „osobnih podataka” u Zakonu o zaštiti osobnih podataka isključeni podaci koje odlukom propisuje vlada jer postoji mala vjerojatnost da bi mogli naštetiti pravima i interesima pojedinca s obzirom na njihovu metodu korištenja; apelira na Komisiju da ocijeni je li pristup koji se temelji na mogućoj šteti u skladu s pristupom EU-a u okviru kojeg su sve obrade osobnih podataka obuhvaćene područjem primjene zakonodavstva o zaštiti podataka; pritom napominje da bi se taj pristup ipak primjenjivao u vrlo malom broju slučajeva;
14. nadalje, napominje da je u Zakonu o zaštiti osobnih podataka definicija „osobnih informacija” ograničena na informacije na temelju kojih se određeni pojedinac može identificirati; napominje i da ta definicija ne obuhvaća pojašnjenja predviđena Općom uredbom o zaštiti podataka da bi se osobnim informacijama trebali smatrati i osobni podaci kad se mogu koristiti samo za to da se osoba „izdvoji”, kako je jasno utvrdio Sud Europske unije;
15. zabrinut je zbog toga što uža definicija „osobnih podataka” (koja se zasniva na definiciji „osobnih informacija”) u Zakonu o zaštiti osobnih podataka možda neće zadovoljiti kriterij „bitno ekvivalentne” zaštite onoj iz Opće uredbe o zaštiti podataka i iz sudske prakse Suda Europske unije; stoga dovodi u pitanje izjavu iz Nacrta provedbene odluke da će podaci EU-a u okviru Zakona o zaštiti osobnih podataka uvijek biti u kategoriji „osobnih podataka”; poziva Komisiju da pomno prati praktične posljedice različitih koncepata tijekom provedbe odluke o primjerenosti i njezina redovitog preispitivanja;
16. poziva Komisiju da pruži dodatna pojašnjenja te da, prema potrebi, od japanskih vlasti zatraži daljnja obvezujuća dodatna pravila kako bi se osiguralo da su svi osobni podaci zaštićeni u smislu Opće uredbe o zaštiti podataka kad se prenose u Japan;
17. sa zabrinutošću primjećuje da u pogledu automatiziranog donošenja odluka i izrade profila, za razliku od prava EU-a, ni Zakon o zaštiti osobnih podataka ni smjernice Povjerenstva za zaštitu osobnih podataka ne sadrže pravne odredbe i da se to pitanje obrađuje samo u nekim sektorskim pravilima bez pružanja sveobuhvatnog općeg pravnog okvira sa snažnom sveobuhvatnom zaštitom od automatiziranog donošenja odluka i izrade profila; poziva Komisiju da pokaže na koji je način to pitanje riješeno u japanskom okviru za zaštitu podatka da bi se osigurala ekvivalentna razina zaštite; smatra da je to posebno važno s obzirom na nedavne slučajeve izrade profila u sklopu slučajeva Facebook / Cambridge Analytica;
18. smatra da u svjetlu Referentnog dokumenta o primjerenosti Europskog odbora za zaštitu podataka treba tražiti dodatna detaljna pojašnjenja u pogledu izravnog marketinga s obzirom na to da u Zakonu o zaštiti osobnih podataka nema konkretnih odredbi, a kako bi se pokazala ekvivalentna razina zaštite osobnih podataka u Japanu;
19. smatra da u pogledu daljnjih prijenosa, iako bi se kombinacijom pravila iz Zakona o zaštiti osobnih podataka i Dodatnih pravila osigurala viša razina zaštite od one koja se pruža u okviru Prekograničnih pravila za zaštitu privatnosti (CBPR) APEC-a, u rješenju predviđenom Dodatnim pravilima, koje se sastoji od toga da se traži prethodna suglasnost ispitanika iz EU-a za odobrenje daljnjeg prijenosa trećoj strani u stranoj zemlji, ne postoje određeni bitni elementi koji bi ispitanicima omogućili da daju svoju suglasnost jer nije izričito definirano što je obuhvaćeno izrazom „informacije o okolnostima u vezi s prijenosom za [ispitanika] kako bi donio odluku o pristanku”, u skladu s člankom 13. Opće uredbe o zaštiti podataka, kao što je treća zemlja koja je odredište daljnjeg prijenosa; povrh toga, napominje da se u Nacrtu provedbene odluke ne objašnjavaju posljedice za ispitanika u slučaju odbijanja davanja suglasnosti za daljnji prijenos svojih osobnih podataka;
20. poziva Komisiju da dodatno ocijeni i pokaže je li neovisnost Povjerenstva za zaštitu osobnih podatka potpuno u skladu sa zahtjevima utvrđenim sudskom praksom Suda Europske unije koji su preuzeti i u Općoj uredbi o zaštiti podataka;
21. žali što, kad je riječ o učinkovitoj provedbi Zakona o zaštiti osobnih podataka, razina mogućih novčanih kazni koje bi izrekla kaznena tijela nije dovoljna da se zajamči stvarno pridržavanje Zakona jer se ne čini razmjernom, djelotvornom ili odvraćajućom u odnosu na težinu povrede; međutim, napominje da su u Zakonu o zaštiti osobnih podataka propisane i kaznene sankcije, uključujući zatvorsku kaznu; poziva Komisiju da pruži informacije o stvarnoj primjeni administrativnih kazni i kaznenih sankcija u prošlosti;
22. napominje da, iako Povjerenstvo za zaštitu osobnih podatka nema nadzor nad aktivnostima sektora kaznenog progona u vezi s obradom podataka, postoje drugi mehanizmi nadzora, uključujući nadzor koji provodi neovisno Povjerenstvo za javnu sigurnost pojedine prefekture; napominje da Odbor za pregled otkrivanja i zaštite osobnih podataka također ima određenu nadležnost u tom području, koja se među ostalim odnosi na pregled zahtjeva za pristup i objavljivanje mišljenja, no ističe da te ovlasti nisu pravno obvezujuće; pozdravlja činjenicu da su se EU i Japan dogovorili da će uspostaviti poseban mehanizam pravne zaštite koji će se primjenjivati na obradu osobnih podataka u sektorima kaznenog progona i nacionalne sigurnosti, a kojim će upravljati Povjerenstvo za zaštitu osobnih podatka te ga nadzirati;
23. napominje da u skladu s japanskim Zakonom o zaštiti osobnih podataka koje posjeduju administrativna tijela (APPIHAO), poslovni subjekti mogu predati podatke tijelima kaznenog progona na „dobrovoljnoj osnovi”; ističe da to nije predviđeno ni u Općoj uredbi o zaštiti podataka ni u Direktivi o policiji te je zabrinut da to možda nije u skladu sa standardom „bitno ekvivalentne” zaštite onoj iz Opće uredbe o zaštiti podataka;
24. svjestan je medijskih izvješća o japanskoj Upravi za prikupljanje informacija elektroničkim izviđanjem (DFS) u kojoj je zaposleno 1700 osoba i koja raspolaže s najmanje šest objekata za nadzor u kojima se neprekidno nadziru telefonski pozivi, elektronička pošta i ostala komunikacija[6]; zabrinut je zbog toga što taj element neselektivnog masovnog nadzora nije ni spomenut u Nacrtu provedbene odluke; poziva Komisiju da pruži više informacija o japanskom masovnom nadzoru; ozbiljno je zabrinut da taj masovni nadzor neće zadovoljiti kriterije koje je utvrdio Sud Europske unije u presudi u predmetu Schrems (predmet C-362/14);
25. žali zbog toga što dokument „Prikupljanje i upotreba osobnih informacija od strane japanskih tijela javne vlasti za potrebe kaznenog progona i u svrhe nacionalne sigurnosti” koji je dio Priloga II. Nacrtu provedbene odluke nema isti pravno obvezujući učinak kao i Dodatna pravila;
Zaključci
26. poziva Komisiju da pruži dodatne dokaze i objašnjenja u vezi s navedenim pitanjima kako bi se pokazalo da japanski pravni okvir za zaštitu podataka jamči odgovarajuću razinu zaštite koja je bitno ekvivalentna razini zaštite iz europskog pravnog okvira za zaštitu podataka;
27. smatra da se tom odlukom o primjerenosti može, osim toga, poslati snažan signal zemljama u cijelom svijetu da konvergencija s visokim standardima EU-a za zaštitu podataka nudi vrlo opipljive rezultate; s tim u vezi naglašava važnost odluke o primjerenosti kao presedana za buduća partnerstva s drugim zemljama koje su usvojile moderne zakone o zaštiti podataka;
28. nalaže svojem Odboru za građanske slobode, pravosuđe i unutarnje poslove da nastavi pratiti kretanja u ovom području, među ostalim u vezi s predmetima koji su pokrenuti pred Sudom Europske unije, te da prati daljnje mjere poduzete u vezi s preporukama iz ove Rezolucije;
°
° °
29. nalaže svojem predsjedniku da ovu Rezoluciju proslijedi Vijeću, Komisiji, vladama i parlamentima država članica, Europskom odboru za zaštitu podataka, europskom nadzorniku za zaštitu podataka, odboru osnovanom u skladu s člankom 93. stavkom 1. Opće uredbe o zaštiti podataka, Vijeću Europe i vladi Japana.
- [1] SL L 119, 4.5.2016., str. 1.
- [2] ECLI:EU:C:2015:650.
- [3] ECLI:EU:C:2016:970.
- [4] SL C 369, 11.10.2018., str. 22.
- [5] http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614108; Europski odbor za zaštitu podataka odobrio ga je na svojoj prvoj plenarnoj sjednici.
- [6] Ryan Gallagher, „The Untold Story of Japan’s Secret Spy Agency”, The Intercept, 19. svibnja 2018., https://theintercept.com/2018/05/19/japan-dfs-surveillance-agency/