Procedure : 2018/2979(RSP)
Stadium plenaire behandeling
Documentencyclus : B8-0561/2018

Ingediende teksten :

B8-0561/2018

Debatten :

Stemmingen :

PV 13/12/2018 - 9.12

Aangenomen teksten :

P8_TA(2018)0529

ONTWERPRESOLUTIE
PDF 203kWORD 60k
10.12.2018
PE631.583v01-00
 
B8-0561/2018

naar aanleiding van een verklaring van de Commissie

ingediend overeenkomstig artikel 123, lid 2, van het Reglement


over de gepastheid van de door Japan geboden bescherming van persoonsgegevens (2018/2979(RSP))


Claude Moraes namens de Commissie burgerlijke vrijheden, justitie en binnenlandse zaken
AMENDEMENTEN

Resolutie van het Europees Parlement over de gepastheid van de door Japan geboden bescherming van persoonsgegevens (2018/2979(RSP))  
B8‑0561/2018

Het Europees Parlement,

–  gezien het Verdrag betreffende de Europese Unie (VEU), het Verdrag betreffende de werking van de Europese Unie (VWEU) en de artikelen 6, 7, 8, 11, 16, 47 en 52 van het Handvest van de grondrechten van de Europese Unie,

–  gezien Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming)(1), en het overige relevante EU-acquis betreffende gegevensbescherming,

–  gezien het arrest van het Hof van Justitie van de Europese Unie van 6 oktober 2015 in zaak C-362/14 (Maximillian Schrems/Data Protection Commissioner)(2),

–  gezien het arrest van het Hof van Justitie van de Europese Unie van 21 december 2016 in gevoegde zaken C-203/15 (Tele2 Sverige AB/Post- och telestyrelsen) en C-698/15 (Secretary of State for the Home Department/Tom Watson e.a.)(3),

–  gezien zijn resolutie van 12 december 2017 getiteld "Naar een digitale handelsstrategie"(4),

–  gezien het document "Adequaatheidsreferentie" van de Groep artikel 29 van 6 februari 2018(5), dat de Commissie en het Europees Comité voor gegevensbescherming (EDPB) in het kader van de algemene verordening gegevensbescherming richtsnoeren biedt bij het beoordelen van het gegevensbeschermingsniveau in derde landen en internationale organisaties,

–  gezien het ontwerp van uitvoeringsbesluit van de Commissie overeenkomstig Verordening (EU) 2016/679 van het Europees Parlement en de Raad betreffende de adequate bescherming van persoonsgegevens door Japan (COM(2018)XXXX),

–  gezien de bevindingen van het bezoek van een ad-hocdelegatie van de Commissie burgerlijke vrijheden, justitie en binnenlandse zaken aan Japan in oktober 2017, dat werd georganiseerd in het kader van de onderhandelingen over de adequaatheid teneinde de betrokken Japanse autoriteiten en belanghebbenden te ontmoeten met betrekking tot de essentiële aspecten waarmee de Commissie rekening moet houden bij het vaststellen van haar adequaatheidsbesluit,

–  gezien artikel 123, lid 2, van zijn Reglement,

A.  overwegende dat de algemene verordening gegevensbescherming sinds 25 mei 2018 van toepassing is; overwegende dat in artikel 45, lid 2, van de algemene verordening gegevensbescherming de aspecten zijn vastgelegd waarmee de Commissie rekening moet houden bij de beoordeling van de vraag of het beschermingsniveau in een derde land of internationale organisatie adequaat is;

B.  overwegende dat de Commissie met name rekening moet houden met de rechtsstatelijkheid, de eerbiediging van de mensenrechten en de fundamentele vrijheden, de toepasselijke algemene en sectorale wetgeving, onder meer inzake openbare veiligheid, defensie, nationale veiligheid, strafrecht en de toegang van overheidsinstanties tot persoonsgegevens, het bestaan en het effectief functioneren van een of meer onafhankelijke toezichthoudende autoriteiten, en de internationale toezeggingen die het derde land of de internationale organisatie heeft gedaan;

C.  overwegende dat het Europees Hof van Justitie in zijn arrest van 6 oktober 2015 in zaak C-362/14 (Maximillian Schrems/Data Protection Commissioner) heeft verduidelijkt dat een adequaat beschermingsniveau in een derde land moet worden opgevat als een niveau dat "in grote lijnen overeenkomt" met het niveau dat binnen de Europese Unie wordt gewaarborgd op grond van Richtlijn 95/46/EG, gelezen in samenhang met het Handvest;

D.  overwegende dat Japan een van de belangrijkste handelspartners van de EU is, waarmee het onlangs een economische partnerschapsovereenkomst (EPO) heeft gesloten waarin gemeenschappelijke waarden en beginselen zijn vastgelegd en tegelijkertijd de gevoeligheden van beide partners worden beschermd; overwegende dat de gemeenschappelijke erkenning van de grondrechten, met inbegrip van privacy en gegevensbescherming, een belangrijke basis vormt voor het adequaatheidsbesluit, dat de rechtsgrond zal vormen voor de doorgifte van persoonsgegevens van de EU naar Japan;

E.  overwegende dat de ad-hocdelegatie van de Commissie burgerlijke vrijheden, justitie en binnenlandse zaken naar Japan werd gewezen op de interesse van de Japanse autoriteiten en belanghebbenden in de toepassing van de nieuwe algemene verordening gegevensbescherming zelf, maar ook in de ontwikkeling van een robuust en hoogwaardig mechanisme voor de doorgifte van persoonsgegevens tussen de EU en Japan dat voldoet aan de voorwaarden van het EU-rechtskader met betrekking tot het beschermingsniveau dat geacht wordt in grote lijnen overeen te komen met het door de EU-gegevensbeschermingswetgeving geboden niveau;

F.  overwegende dat de doorgifte van persoonsgegevens tussen de EU en Japan voor commerciële doeleinden gezien de almaar toenemende digitalisering van de wereldeconomie een belangrijk aspect vormt van de betrekkingen tussen de EU en Japan; overwegende dat dergelijke doorgiften moeten worden uitgevoerd op basis van volledige inachtneming van het recht op de bescherming van persoonsgegevens en het recht op privacy; overwegende dat een van de fundamentele doelstellingen van de EU de bescherming van de grondrechten is, zoals verankerd in het Handvest van de grondrechten van de Europese Unie;

G.  overwegende dat de EU en Japan in januari 2017 besprekingen zijn gestart om de doorgifte van persoonsgegevens voor commerciële doeleinden te vergemakkelijken door middel van het allereerste "wederzijdse adequaatheidsbesluit"; overwegende dat het Parlement in zijn resolutie van 12 december 2017 getiteld "Naar een digitale handelsstrategie" uitdrukkelijk "erkent dat adequaatheidsbesluiten [...] fundamentele mechanismen zijn voor het waarborgen van een veilige overdracht van persoonsgegevens van de EU naar een derde land";

H.  overwegende dat het besluit inzake de adequaatheid van de doorgifte van persoonsgegevens naar Japan het eerste besluit zou zijn dat genomen wordt uit hoofde van de nieuwe, strengere bepalingen van de algemene verordening gegevensbescherming;

I.  overwegende dat Japan onlangs zijn gegevensbeschermingswetgeving heeft gemoderniseerd en versterkt om deze in overeenstemming te brengen met de internationale normen, in het bijzonder met de door het nieuwe Europese wetgevingskader voor gegevensbescherming geboden waarborgen en individuele rechten; overwegende dat het Japanse rechtskader voor gegevensbescherming uit verschillende pijlers bestaat, waarbij de wet inzake de bescherming van persoonlijke informatie (APPI) het centrale wetgevingsdocument vormt;

J.  overwegende dat het Japanse kabinet op 12 juni 2018 een kabinetsbesluit heeft aangenomen waarbij aan de Commissie voor de bescherming van persoonlijke informatie (PPC), als de autoriteit die bevoegd is voor het beheer en de tenuitvoerlegging van de APPI, de bevoegdheid wordt overgedragen om de nodige maatregelen te nemen om de verschillen in systemen en verrichtingen tussen Japan en het betrokken derde land op basis van artikel 6 van de wet te overbruggen teneinde een passende behandeling van de van dat land ontvangen persoonlijke informatie te waarborgen; overwegende dat dit op grond van dit besluit de bevoegdheid omvat om voor een betere bescherming te zorgen door de PPC strengere regels te laten goedkeuren die de in de APPI en het kabinetsbesluit vastgestelde regels aanvullen en overstijgen; overwegende dat deze strengere regels krachtens dit besluit bindend en afdwingbaar zouden zijn voor Japanse bedrijfsexploitanten;

K.  overwegende dat het ontwerp van uitvoeringsbesluit van de Commissie betreffende de adequate bescherming van persoonsgegevens door Japan vergezeld gaat van de aanvullende regels die de PPC op 15 juni 2018 heeft goedgekeurd (opgenomen in bijlage I) en die gebaseerd zijn op artikel 6 van de APPI, op grond waarvan de PPC uitdrukkelijk de mogelijkheid krijgt om strengere regels vast te stellen, onder meer om internationale gegevensdoorgiften te vergemakkelijken; overwegende dat de aanvullende regels nog niet openbaar zijn;

L.  overwegende dat deze aanvullende regels tot doel zouden hebben de relevante verschillen tussen het Japanse en het EU-gegevensbeschermingsrecht aan te pakken met het oog op het waarborgen van een passende behandeling van persoonlijke informatie die van de EU wordt ontvangen op basis van een adequaatheidsbesluit, met name met betrekking tot persoonlijke informatie waarvoor een speciale behandeling vereist is (gevoelige gegevens), bewaarde persoonsgegevens, de vaststelling van het doel van de verwerking, beperkingen ten gevolge van het doel van de verwerking, beperkingen op het verstrekken van informatie aan derden in een ander land en anoniem verwerkte informatie;

M.  overwegende dat de Commissie stelt dat de aanvullende regels juridisch bindend zouden zijn voor bedrijfsexploitanten die persoonlijke informatie verwerken en persoonsgegevens ontvangen die op basis van een adequaatheidsbesluit vanuit de EU worden doorgegeven, dat deze regels en de daarmee verband houdende rechten en plichten daarom door hen moeten worden nageleefd, en dat de regels door zowel de PPC als de Japanse rechtbanken afdwingbaar zouden zijn; overwegende dat sommige Japanse deskundigen betwijfelen of de aanvullende regels bindend zijn;

N.  overwegende dat, teneinde een beschermingsniveau dat "in grote lijnen overeenkomt" te waarborgen voor persoonsgegevens die vanuit de EU naar Japan worden doorgegeven, de aanvullende regels extra beschermingsmaatregelen tot stand brengen die van toepassing zijn op basis van strengere voorwaarden of beperkingen voor de verwerking van persoonsgegevens die vanuit de EU worden doorgegeven, bijvoorbeeld in het geval van persoonsgegevens waarvoor een speciale behandeling vereist is, verdere doorgifte, anonieme gegevens en doelbinding;

O.  overwegende dat er in het Japanse rechtskader inzake gegevensbescherming onderscheid wordt gemaakt tussen "persoonlijke informatie" en "persoonsgegevens" en, in sommige gevallen, wordt verwezen naar een specifieke categorie persoonsgegevens, namelijk "bewaarde persoonsgegevens";

P.  overwegende dat overeenkomstig artikel 2, lid 1, van de APPI het begrip "persoonlijke informatie" alle informatie omvat die betrekking heeft op een levende persoon aan de hand waarvan die persoon kan worden geïdentificeerd; overwegende dat in de definitie onderscheid wordt gemaakt tussen twee categorieën persoonlijke informatie, namelijk i) individuele identificatiecodes en ii) andere persoonlijke informatie, aan de hand waarvan een specifieke persoon kan worden geïdentificeerd; overwegende dat de laatste categorie informatie omvat die op zichzelf identificatie niet mogelijk maakt, maar gemakkelijk met andere informatie kan worden gecombineerd om een specifieke persoon te identificeren;

Q.  overwegende dat overeenkomstig artikel 2, lid 4, van de APPI onder "persoonsgegevens" persoonlijke informatie wordt verstaan die is opgenomen in een databank met persoonlijke informatie, enz.; overwegende dat in artikel 2, lid 1, van de APPI wordt gespecificeerd dat de informatie in dergelijke databanken systematisch wordt geordend, vergelijkbaar met het concept van een bestand als bedoeld in artikel 2, lid 1, van de algemene verordening gegevensbescherming; overwegende dat overeenkomstig artikel 4, lid 1, van de algemene verordening gegevensbescherming onder "persoonsgegevens" iedere informatie wordt verstaan betreffende een geïdentificeerde of identificeerbare natuurlijke persoon; overwegende dat een identificeerbare natuurlijke persoon een natuurlijke persoon is die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens of een online identificator, of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon; overwegende dat bij het bepalen of een natuurlijke persoon identificeerbaar is, rekening moet worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon om de natuurlijke persoon direct of indirect te identificeren, bijvoorbeeld selectietechnieken;

R.  overwegende dat "bewaarde persoonsgegevens" overeenkomstig artikel 2, lid 7, van de APPI persoonsgegevens zijn die een met de verwerking van persoonlijke informatie belaste bedrijfsexploitant mag vrijgeven, corrigeren, wissen of wijzigen door inhoud toe te voegen of te verwijderen, en waarvan hij het gebruik of de verstrekking aan derden mag beëindigen, en niet de gegevens zijn die bij kabinetsbesluit worden aangemerkt als mogelijk schadelijk voor het openbaar belang of een ander belang indien het al dan niet bestaan ervan wordt bekendgemaakt, noch de gegevens die binnen een bij kabinetsbesluit voorgeschreven termijn van niet meer dan een jaar moeten worden verwijderd; overwegende dat de aanvullende regels het begrip "bewaarde persoonsgegevens" op één lijn brengen met het begrip "persoonsgegevens" om ervoor te zorgen dat bepaalde beperkingen van de individuele rechten die aan eerstgenoemde gegevens zijn verbonden, niet van toepassing zijn op gegevens die vanuit de EU worden doorgegeven;

S.  overwegende dat het Japanse gegevensbeschermingsrecht, dat het voorwerp vormt van het ontwerp van uitvoeringsbesluit, diverse sectoren van zijn toepassingsgebied uitsluit wanneer zij persoonsgegevens verwerken voor specifieke doeleinden; overwegende dat het ontwerp van uitvoeringsbesluit niet van toepassing zou zijn op de doorgifte van persoonsgegevens vanuit de EU naar een ontvanger die onder een van bovengenoemde uitzonderingen valt waarin het Japanse gegevensbeschermingsrecht voorziet;

T.  overwegende dat, voor wat verdere doorgifte van EU-persoonsgegevens vanuit Japan naar een derde land betreft, het ontwerp van uitvoeringsbesluit het gebruik uitsluit van doorgifte-instrumenten die geen bindende relatie tot stand brengen tussen de Japanse gegevensexporteur en de gegevensimporteur uit het derde land en niet het vereiste beschermingsniveau garanderen; overwegende dat dit bijvoorbeeld het geval zou zijn voor de regeling voor grensoverschrijdende privacyregels van de economische samenwerking Azië-Stille Oceaan (APEC), waarvan Japan een deelnemende economie is, aangezien in deze regeling de bescherming niet voortvloeit uit een bindende overeenkomst tussen exporteur en importeur in het kader van hun bilaterale betrekkingen en duidelijk van een lager niveau is dan het niveau dat wordt gewaarborgd door de combinatie van de APPI en de aanvullende regels;

U.  overwegende dat het ontwerp van uitvoeringsbesluit ook vergezeld gaat van een brief van de minister van Justitie van 14 september 2018 (bijgevoegd als bijlage II bij de uitvoeringsbesluit) waarin wordt verwezen naar een door het Ministerie van Justitie en diverse andere ministeries en agentschappen opgesteld document over de verzameling en het gebruik van persoonlijke informatie door Japanse overheidsinstanties met het oog op rechtshandhaving en de nationale veiligheid, waarin een overzicht van het toepasselijke rechtskader wordt gegeven en de Commissie officiële verklaringen, toezeggingen en verbintenissen ontvangt die op het hoogste niveau van de ministeries en agentschappen zijn ondertekend;

1.  neemt kennis van de gedetailleerde analyse van de Commissie in haar ontwerp van uitvoeringsbesluit met betrekking tot de waarborgen, met inbegrip van toezichts- en verhaalmechanismen, die van toepassing zijn op de verwerking van gegevens door commerciële exploitanten en op de toegang tot gegevens voor Japanse overheidsinstanties, met name op het gebied van rechtshandhaving en nationale veiligheid;

2.  neemt kennis van het feit dat Japan tegelijkertijd ook voorbereidingen treft voor de erkenning van het niveau van bescherming van persoonsgegevens die overeenkomstig artikel 23 van de APPI vanuit Japan naar de EU worden doorgegeven, wat het allereerste "tweerichtingsbesluit" op het vlak van adequaatheid ter wereld met zich mee zou brengen dat zou leiden tot de totstandbrenging van 's werelds grootste ruimte van vrije en veilige gegevensstromen;

3.  beschouwt deze ontwikkeling als een uiting van de wereldwijde verspreiding van hoge normen voor gegevensbescherming; wijst er echter op dat dit op geen enkele manier mag leiden tot een "leer om leer"-aanpak bij EU-adequaatheidsbesluiten; herinnert eraan dat de Commissie, voor een adequaatheidsbesluit in het kader van de algemene verordening gegevensbescherming, de juridische en concrete situatie in een derde land, grondgebied, sector of internationale organisatie objectief moet beoordelen;

4.  wijst erop dat het Europees Hof van Justitie heeft geoordeeld dat de uitdrukking "passend beschermingsniveau" niet hetzelfde beschermingsniveau als dat binnen de EU hoeft in te houden, maar zo moet worden opgevat dat wordt vereist dat het derde land, op grond van zijn nationale wetgeving of zijn internationale verbintenissen, een niveau van bescherming van de grondrechten en de fundamentele vrijheden biedt dat in grote lijnen overeenkomt met het niveau dat binnen de Europese Unie wordt gewaarborgd op grond van de algemene verordening gegevensbescherming, gelezen in samenhang met het Handvest;

5.  merkt op dat het recht op privacy en op persoonsgegevensbescherming zowel in Japan als in de EU wordt gegarandeerd in de grondwet, maar dat de EU-regels en de Japanse regels niet volledig met elkaar in overeenstemming kunnen worden gebracht, gezien de verschillen in constitutionele structuur en cultuur;

6.  neemt kennis van de op 30 mei 2017 in werking getreden wijzigingen van de APPI; is ingenomen met de substantiële verbeteringen;

7.  merkt op dat de materiële werkingssfeer van het adequaatheidsbesluit niet voldoende is omschreven in artikel 1 van het ontwerp van uitvoeringsbesluit, aangezien de APPI diverse categorieën bedrijfs- en verwerkingsactiviteiten uitsluit van haar materiële werkingssfeer; roept de Commissie op om verder te verduidelijken hoe dergelijke uitzonderingen van invloed zijn op persoonsgegevens die vanuit de EU naar Japan worden doorgegeven en om in artikel 1 van het ontwerp van uitvoeringsbesluit duidelijk te vermelden welke doorgiften van EU-persoonsgegevens onder het adequaatheidsbesluit vallen, waarbij wordt aangegeven dat doorgiften van persoonsgegevens via handmatige verwerking onder het besluit moeten vallen als de gegevens in kwestie vervolgens elektronisch worden verwerkt in Japan;

8.  is van mening dat de systemen voor gegevensbescherming van de EU en Japan, na de goedkeuring van de gewijzigde APPI en van de algemene verordening gegevensbescherming in 2016, een hoge mate van convergentie hebben bereikt wat betreft beginselen, waarborgen en individuele rechten, alsook toezichts- en handhavingsmechanismen; wijst er in het bijzonder op dat de gewijzigde APPI heeft geleid tot de oprichting van een onafhankelijke toezichthoudende autoriteit, te weten de PPC;

9.  merkt echter op dat de PPC zelf van oordeel is dat er, ondanks de hoge mate van convergentie tussen de twee systemen, sprake is van een aantal belangrijke verschillen; merkt tevens op dat de PPC op 15 juni 2018 de aanvullende regels heeft vastgesteld om te zorgen voor een hoger niveau van bescherming van persoonsgegevens die vanuit de EU worden doorgegeven;

10.  is verheugd over een aantal belangrijke verduidelijkingen in de aanvullende regels, waaronder de afstemming van "geanonimiseerde persoonlijke informatie" in de APPI op de definitie van "anonieme informatie" in de algemene verordening gegevensbescherming;

11.  is van mening dat de extra beschermingsmaatregelen van de aanvullende regels alleen betrekking hebben op doorgiften in het kader van adequaatheidsbesluiten; herinnert eraan dat, gezien de werkingssfeer van het adequaatheidsbesluit, sommige gegevensdoorgiften zullen worden uitgevoerd in het kader van deze andere beschikbare mechanismen;

12.  erkent dat de extra beschermingsmaatregelen zoals uiteengezet in de aanvullende regels beperkt blijven tot persoonsgegevens die vanuit Europa worden doorgegeven, en dat bedrijfsexploitanten die tegelijkertijd Japanse en Europese persoonsgegevens moeten verwerken derhalve verplicht worden de aanvullende regels na te leven, bijvoorbeeld door te zorgen voor technische middelen ("taggen") of organisatorische middelen (bijvoorbeeld opslag in een specifieke databank) om dergelijke persoonsgegevens gedurende hun hele "levenscyclus" te kunnen identificeren; verzoekt de Commissie toezicht te houden op de situatie ter voorkoming van mogelijke mazen in de wetgeving waardoor exploitanten de in de aanvullende regels vastgelegde verplichtingen kunnen omzeilen door gegevens door te geven via derde landen;

13.  merkt op dat de definitie van "persoonsgegevens" in de APPI gegevens uitsluit die bij kabinetsbesluit zijn omschreven als gegevens die waarschijnlijk niet schadelijk zijn voor de rechten en belangen van een persoon, gezien de wijze waarop zij worden gebruikt; dringt er bij de Commissie op aan na te gaan of deze op schade gebaseerde aanpak verenigbaar is met de EU-aanpak waarbij alle vormen van verwerking van persoonsgegevens onder het toepassingsgebied van het gegevensbeschermingsrecht vallen; merkt echter ook op dat deze benadering in een zeer beperkt aantal situaties van toepassing zou zijn;

14.  merkt voorts op dat de definitie van "persoonlijke informatie" in de APPI beperkt is tot informatie aan de hand waarvan een specifieke persoon kan worden geïdentificeerd; merkt ook op dat in deze definitie niet wordt verwezen naar de verduidelijking in de algemene verordening gegevensbescherming dat persoonlijke informatie ook als persoonsgegevens moet worden beschouwd wanneer deze slechts kan worden gebruikt om een persoon middels "selectietechnieken" te identificeren, zoals duidelijk is vastgesteld door het Europees Hof van Justitie;

15.  vreest dat de engere definitie van "persoonsgegevens" (op basis van de definitie van "persoonlijke informatie") in de APPI mogelijk niet voldoet aan de norm dat zij "in grote lijnen overeen" moet komen met de algemene verordening gegevensbescherming en de rechtspraak van het Europees Hof van Justitie; plaatst daarom vraagtekens bij de verklaring in het ontwerp van uitvoeringsbesluit dat EU-gegevens altijd onder de categorie "persoonsgegevens" in het kader van de APPI zullen vallen; verzoekt de Commissie nauw toe te zien op de praktische gevolgen van de verschillende concepten bij de toepassing van het adequaatheidsbesluit en de periodieke toetsing daarvan;

16.  verzoekt de Commissie nadere toelichting te geven en, zo nodig, de Japanse autoriteiten om verdere bindende aanvullende regels te verzoeken om ervoor te zorgen dat alle persoonsgegevens in de zin van de algemene verordening gegevensbescherming worden beschermd wanneer ze naar Japan worden doorgegeven;

17.  merkt bezorgd op dat, in tegenstelling tot het EU-recht, noch de APPI, noch de PCC-richtsnoeren wettelijke bepalingen met betrekking tot geautomatiseerde besluitvorming en profilering bevatten en dat uitsluitend bepaalde sectorale regels betrekking hebben op deze kwestie, zonder een omvattend wettelijk kader te bieden met substantiële en krachtige bescherming tegen geautomatiseerde besluitvorming en profilering; verzoekt de Commissie te laten zien op welke wijze dit in het Japanse gegevensbeschermingskader wordt aangepakt om een gelijkwaardig beschermingsniveau te waarborgen; is van mening dat dit met name van belang is met het oog op de recente gevallen van profilering bij Facebook/Cambridge Analytica;

18.  is van mening dat er in het licht van de Adequaatheidsreferentie van het EDPB nadere diepgaande verduidelijkingen nodig zijn met betrekking tot direct marketing, gezien het gebrek aan specifieke bepalingen in de APPI, teneinde aan te tonen dat Japan over een gelijkwaardig niveau van persoonsgegevensbescherming beschikt;

19.  is van mening dat, voor wat verdere doorgiften betreft, hoewel de combinatie van de APPI-regels en de aanvullende regels voor betere bescherming zou zorgen dan de regeling voor grensoverschrijdende privacyregels van de APEC, de oplossing in de aanvullende regels – die erin bestaat dat EU-betrokkenen vooraf toestemming moeten geven voor verdere doorgifte aan een derde partij in een ander land – bepaalde essentiële elementen ontbeert die de betrokkenen in staat zouden stellen hun toestemming te formuleren, aangezien hierin niet uitdrukkelijk wordt bepaald wat onder het begrip "informatie over de omstandigheden van de doorgifte die nodig is om de [betrokkene] in staat te stellen een besluit te nemen over zijn/haar toestemming" valt, in overeenstemming met artikel 13 van de algemene verordening gegevensbescherming, zoals het derde land van bestemming van de verdere doorgifte; merkt op dat in het ontwerp van uitvoeringsbesluit niet wordt toegelicht wat de gevolgen voor de betrokkene zijn in geval van weigering van toestemming voor verdere doorgifte van zijn of haar persoonsgegevens;

20.  verzoekt de Commissie verder te beoordelen en aan te tonen of de onafhankelijkheid van de PPC volledig voldoet aan de vereisten die zijn vastgesteld via de jurisprudentie van het Europees Hof van Justitie en die tot uiting komen in de algemene verordening gegevensbescherming;

21.  betreurt het dat, voor wat de effectieve handhaving van de APPI betreft, het niveau van mogelijke boetes die door de strafrechtelijke autoriteiten zouden worden opgelegd niet toereikend is om een doeltreffende naleving van de wet te waarborgen, omdat het niet evenredig, doeltreffend of afschrikkend lijkt te zijn in verhouding tot de ernst van de inbreuk; merkt echter op dat de APPI ook voorziet in strafrechtelijke sancties, met inbegrip van gevangenisstraffen; verzoekt de Commissie informatie te verstrekken over het daadwerkelijke gebruik van administratieve boetes en strafrechtelijke sancties in het verleden;

22.  neemt kennis van het feit dat de PPC weliswaar geen toezicht houdt op de gegevensverwerkingsactiviteiten van de rechtshandhavingssector, maar dat er andere toezichtmechanismen bestaan, waaronder toezicht door de onafhankelijke Departementale Commissie voor openbare veiligheid; merkt op dat het orgaan voor de beoordeling van openbaarmaking van informatie en bescherming van persoonlijke informatie ook over een aantal bevoegdheden op dit gebied beschikt, met inbegrip van het beoordelen van verzoeken om toegang en het publiceren van adviezen, maar wijst erop dat deze bevoegdheden niet juridisch bindend zijn; is ingenomen met het feit dat de EU en Japan zijn overeengekomen een specifiek verhaalmechanisme in het leven te roepen, dat door de PPC wordt beheerd en gecontroleerd en dat van toepassing zal zijn op de verwerking van persoonsgegevens in de rechtshandhavings- en nationale veiligheidssector;

23.  merkt op dat bedrijfsexploitanten krachtens de Japanse wet op de bescherming van persoonlijke informatie in het bezit van administratieve organen (APPIHAO) ook op vrijwillige basis gegevens kunnen verstrekken aan rechtshandhavingsinstanties; wijst erop dat dit niet is voorzien in de algemene verordening gegevensbescherming of de politierichtlijn en vreest dat deze wet niet voldoet aan de norm krachtens welke zij "in grote lijnen overeen" moet komen met de algemene verordening gegevensbescherming;

24.  is op de hoogte van berichten in de media over het Japanse directoraat voor Signaalinlichtingen (DFS), dat ongeveer 1 700 mensen in dienst heeft en beschikt over ten minste zes toezichtsystemen die permanent telefoongesprekken afluisteren en e-mails en andere communicatie onderscheppen(6); maakt zich zorgen over het feit dat dit ongedifferentieerde massatoezicht niet eens genoemd wordt in het ontwerp van uitvoeringsbesluit; verzoekt de Commissie meer informatie te verstrekken over het Japanse massatoezicht; vreest ten zeerste dat dit massatoezicht niet voldoet aan de criteria die het Europees Hof van Justitie in het arrest-Schrems (zaak C-362/14) heeft vastgesteld;

25.  betreurt dat het document over de verzameling en het gebruik van persoonlijke informatie door Japanse overheidsinstanties met het oog op rechtshandhaving en de nationale veiligheid, dat deel uitmaakt van bijlage II bij het ontwerp van uitvoeringsbesluit, niet hetzelfde juridisch bindende effect heeft als de aanvullende regels;

Conclusies

26.  verzoekt de Commissie om meer feitenmateriaal en uitleg over bovengenoemde kwesties, teneinde aan te tonen dat het Japanse rechtskader voor gegevensbescherming een adequaat beschermingsniveau garandeert dat in grote lijnen overeenkomt met dat van het Europese rechtskader voor gegevensbescherming;

27.  is van mening dat dit adequaatheidsbesluit bovendien aan landen in de hele wereld het sterke signaal kan afgeven dat convergentie met de hoge gegevensbeschermingsnormen van de EU zeer tastbare resultaten oplevert; benadrukt in dit verband het belang van dit adequaatheidsbesluit als precedent voor toekomstige partnerschappen met andere landen die moderne gegevensbeschermingswetten hebben aangenomen;

28.  verzoekt de Commissie burgerlijke vrijheden, justitie en binnenlandse zaken te blijven toezien op de ontwikkelingen op dit gebied, met inbegrip van de zaken die voor het Hof van Justitie worden gebracht, en om toe te zien op het gevolg dat wordt gegeven aan de aanbevelingen van deze resolutie;

°

°  °

29.  verzoekt zijn Voorzitter deze resolutie te doen toekomen aan de Raad, de Commissie, de regeringen en parlementen van de lidstaten, het Europees Comité voor gegevensbescherming, de Europese Toezichthouder voor gegevensbescherming, het op grond van artikel 93, lid 1, van de algemene verordening gegevensbescherming ingestelde comité, de Raad van Europa en de regering van Japan.

 

(1)

PB L 119 van 4.5.2016, blz. 1.

(2)

ECLI:EU:C:2015:650.

(3)

ECLI:EU:C:2016:970.

(4)

PB L 369 van 11.10.2018, blz. 22.

(5)

http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614108; goedgekeurd door het EDPB tijdens zijn eerste plenaire vergadering.

(6)

Ryan Gallagher, "The Untold Story of Japan's Secret Spy Agency", The Intercept, 19 mei 2018, https://theintercept.com/2018/05/19/japan-dfs-surveillance-agency/

Laatst bijgewerkt op: 12 december 2018Juridische mededeling