Index 
 Înapoi 
 Înainte 
 Text integral 
Procedură : 2018/2979(RSP)
Stadiile documentului în şedinţă
Stadii ale documentului : B8-0561/2018

Texte depuse :

B8-0561/2018

Dezbateri :

Voturi :

PV 13/12/2018 - 9.12

Texte adoptate :

P8_TA(2018)0529

Texte adoptate
PDF 169kWORD 59k
Joi, 13 decembrie 2018 - Strasbourg Ediţie provizorie
Caracterul adecvat al protecției datelor cu caracter personal asigurate de Japonia
P8_TA-PROV(2018)0529B8-0561/2018

Rezoluția Parlamentului European din 13 decembrie 2018 referitoare la protecția adecvată a datelor cu caracter personal asigurată de Japonia (2018/2979(RSP))

Parlamentul European,

–  având în vedere Tratatul privind Uniunea Europeană, Tratatul privind funcționarea Uniunii Europene și articolele 6, 7, 8, 11, 16, 47 și 52 din Carta drepturilor fundamentale a Uniunii Europene,

–  având în vedere Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor - RGPD)(1) și restul legislației europene în materie de protecție a datelor,

–  având în vedere Hotărârea Curții de Justiție a Uniunii Europene din 6 octombrie 2015, pronunțată în cauza C-362/14 Maximillian Schrems/Data Protection Commissioner(2),

–  având în vedere Hotărârea Curții de Justiție a Uniunii Europene din 21 decembrie 2016 pronunțată în cauzele comune C-203/15 (Tele2 Sverige AB/Post- och telestyrelsen) și C-698/15 (Secretary of State for the Home Department/Tom Watson și alții)(3),

–  având în vedere Rezoluția sa din 12 decembrie 2017 intitulată „Către o strategie în domeniul comerțului digital”(4),

–  având în vedere documentul din 6 februarie 2018(5) al Grupului de lucru „Articolul 29” intitulat „Criterii de referință privind caracterul adecvat al nivelului de protecție”, care oferă orientări Comisiei și Comitetului european pentru protecția datelor (CEPD) în temeiul Regulamentului general privind protecția datelor (RGPD) pentru evaluarea nivelului de protecție a datelor în țările terțe și organizațiile internaționale,

–  având în vedere avizul Comitetului european pentru protecția datelor din 5 decembrie 2018 referitor la proiectul de decizie UE-Japonia privind caracterul adecvat al nivelului de protecție,

–  având în vedere proiectul de decizie de punere în aplicare al Comisiei în temeiul Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului privind protecția adecvată a datelor cu caracter personal asigurată de Japonia (COM(2018)XXXX),

–  având în vedere constatările cu ocazia vizitei în Japonia din octombrie 2017 a unei delegații ad-hoc a Comisiei pentru libertăți civile, justiție și afaceri interne, organizată în contextul negocierilor privind caracterul adecvat al acestei protecții, pentru a se întâlni cu autoritățile și părțile interesate japoneze relevante în scopul discutării elementelor esențiale care trebuie luate în considerare de către Comisia Europeană la adoptarea deciziei sale privind caracterul adecvat al protecției,

–  având în vedere articolul 123 alineatul (2) din Regulamentul său de procedură,

A.  întrucât RGPD este în vigoare de la 25 mai 2018; întrucât articolul 45 alineatul (2) din RGPD stabilește elementele care trebuie luate în considerare de către Comisie atunci când evaluează caracterul adecvat al nivelului de protecție într-o țară terță sau într-o organizație internațională;

B.  întrucât Comisia trebuie ia în considerare, în special, statul de drept, respectarea drepturilor omului și a libertăților fundamentale, legislația aplicabilă, atât cea generală, cât și cea sectorială, inclusiv cea referitoare la securitatea publică, apărare, securitatea națională, dreptul penal și accesul autorităților publice la datele cu caracter personal, existența și funcționarea efectivă a uneia sau mai multor autorități de supraveghere independente și angajamentele internaționale asumate de țara terță sau de organizația internațională;

C.  întrucât Curtea de Justiție a Uniunii Europene, în Hotărârea sa din 6 octombrie 2015 în cauza C-362/14 (Maximillian Schrems/Data Protection Commissioner), a clarificat faptul că un nivel adecvat de protecție într-o țară terță trebuie înțeles ca fiind „în esență echivalent” cu cel garantat în Uniunea Europeană, în temeiul Directivei 95/46/CE, interpretată în lumina Cartei;

D.  întrucât Japonia este unul dintre principalii parteneri comerciali ai UE, cu care a încheiat recent un Acord de parteneriat economic (APE) care consacră valori și principii comune, protejând totodată sensibilitățile ambilor parteneri; întrucât recunoașterea comună a drepturilor fundamentale, inclusiv a dreptului la viață privată și la protecția datelor, constituie o bază importantă pentru decizia privind caracterul adecvat al nivelului de protecție, care va constitui temeiul juridic pentru transferul de date cu caracter personal din UE către Japonia;

E.  întrucât delegația ad-hoc a Comisiei pentru libertăți civile, justiție și afaceri interne în Japonia a fost informată despre interesul autorităților și al părților interesate japoneze nu numai de a aplica noile norme din Regulamentul RGPD, dar și de a dezvolta un mecanism solid și la nivel înalt de transfer al datelor cu caracter personal între UE și Japonia, care să îndeplinească condițiile prevăzute de cadrul juridic al UE în ceea ce privește un nivel de protecție considerat în esență echivalent cu cel oferit de legislația UE privind protecția datelor;

F.  întrucât transferurile de date cu caracter personal în scop comercial între UE și Japonia sunt un element important al relațiilor dintre acestea, având în vedere digitalizarea tot mai mare a economiei mondiale; întrucât astfel de transferuri ar trebui efectuate cu respectarea deplină a dreptului la protecția datelor cu caracter personal și a dreptului la viața privată; întrucât unul dintre obiectivele fundamentale ale UE este protecția drepturilor fundamentale, astfel cum sunt consacrate în Carta drepturilor fundamentale a Uniunii Europene;

G.  întrucât UE și Japonia au lansat, în ianuarie 2017, discuții pentru a facilita transferurile de date cu caracter personal în scopuri comerciale prin intermediul primei „constatări reciproce a caracterului adecvat al protecției”; întrucât Parlamentul, în rezoluția sa din 12 decembrie 2017 intitulată „Către o strategie privind comerțul digital”, „a recunoscut în mod explicit că deciziile privind caracterul adecvat ... reprezintă un mecanism fundamental în ceea ce privește protecția transferului datelor cu caracter personal din UE către o țară terță”;

H.  întrucât decizia privind caracterul adecvat al transferurilor de date cu caracter personal către Japonia ar fi prima astfel de decizie adoptată în temeiul normelor noi și mai stricte ale RGPD;

I.  întrucât Japonia și-a modernizat și întărit recent legislația în materie de protecție a datelor pentru a o alinia la standardele internaționale, în special cu garanțiile și drepturile individuale prevăzute de noul cadru legislativ european privind protecția datelor; întrucât cadrul juridic japonez în materie de protecție a datelor este alcătuit din diverși piloni, Legea privind protecția informațiilor cu caracter personal fiind actul legislativ principal (Act on Protection of Personal Information - APPI);

J.  întrucât guvernul Japoniei a adoptat, la 12 iunie 2018, o ordonanță guvernamentală prin care se deleagă Comisiei pentru protecția informațiilor cu caracter personal (Personal Information Protection Commission - PPC), în calitate de autoritate competentă pentru administrarea și punerea în aplicare a APPI, „competența de a lua măsurile necesare pentru a elimina diferențele dintre sistemele și operațiunile dintre Japonia și țara terță în cauză, în temeiul articolului 6 din lege, în scopul asigurării unui tratament adecvat al informațiilor cu caracter personal primite de la respectiva țară terță”; întrucât această decizie prevede și competența de a institui măsuri mai stricte de protecție prin adoptarea de norme mai stricte de către PPC, care să completeze și să extindă normele prevăzute de Legea privind protecția informațiilor cu caracter personal și de ordonanța guvernamentală; întrucât, în temeiul acesteia din urmă, aceste norme mai stricte ar fi obligatorii și aplicabile operatorilor comerciali din Japonia;

K.  întrucât proiectul de decizie de punere în aplicare al Comisiei privind protecția adecvată a datelor cu caracter personal asigurată de Japonia este însoțit, ca anexa I, de normele suplimentare adoptate de PPC la 15 iunie 2018, în temeiul articolului 6 din APPI , care permite în mod explicit acestei comisii să adopte norme mai stricte, inclusiv în scopul facilitării transferurilor internaționale de date; întrucât normele suplimentare nu sunt încă disponibile publicului;

L.  întrucât scopul acestor norme suplimentare ar fi acela de a aborda diferențele pertinente dintre legislația japoneză și legislația UE privind protecția datelor în vederea asigurării unui tratament adecvat al informațiilor cu caracter personal primite din partea UE în baza unei decizii privind caracterul adecvat al nivelului de protecție, în special în ceea ce privește informațiile cu caracter personal cărora trebuie să li se acorde un tratament special („date sensibile”), păstrarea datelor cu caracter personal, cu specificarea scopului utilizării, limitarea ca urmare a utilizării, restricționarea furnizării către un terț într-o țară străină și informațiile prelucrate anonim;

M.  întrucât normele suplimentare ar fi obligatorii din punct de vedere juridic pentru orice operator comercial de informații cu caracter personal care primește astfel de date transferate din UE în baza unei decizii privind caracterul adecvat și, prin urmare, acesta este obligat să respecte normele aplicabile și orice drepturi și obligații conexe și ar avea forță executorie atât pentru PPC, cât și pentru instanțele japoneze;

N.  întrucât, pentru a asigura un nivel în esență echivalent de protecție a datelor cu caracter personal transferate din UE în Japonia, normele suplimentare introduc măsuri suplimentare de protecție care să fie aplicabile pe baza unor condiții sau limitări mai stricte pentru prelucrarea datelor cu caracter personal transferate din UE, de exemplu, în cazul informațiilor cu caracter personal cărora trebuie să li se acorde un tratament special, al transferurilor ulterioare, al datelor anonime și al limitării scopului;

O.  întrucât cadrul juridic japonez privind protecția datelor face o distincție între „informații cu caracter personal” și „date cu caracter personal” și face referire, pentru unele cazuri, la o categorie specifică de date cu caracter personal, și anume „datele cu caracter personal păstrate”;

P.  întrucât, în conformitate cu articolul 2 alineatul (1) din Legea privind protecția datelor cu caracter personal, conceptul de „informație cu caracter personal” include orice informație referitoare la o persoană în viață care ar permite identificarea persoanei respective; întrucât definiția distinge două categorii de informații cu caracter personal, și anume: (i) coduri individuale de identificare și (ii) alte informații cu caracter personal, prin care se poate identifica o anumită persoană; întrucât această din urmă categorie include informații care, în sine, nu permit identificarea, dar pot, atunci când sunt „corect coroborate” cu alte informații, să permită identificarea unei persoane anume;

Q.  întrucât, în conformitate cu articolul 2 alineatul (4) din Legea privind protecția datelor cu caracter personal, „date cu caracter personal” înseamnă informații cu caracter personal care constituie o bază de date conținând informații personale etc.; întrucât articolul 2 alineatul (1) din APPI specifică faptul că informațiile din astfel de baze de date sunt organizate sistematic, ceea ce este similar cu conceptul de sistem de evidență în temeiul articolului 2 alineatul (1) din RGPD; întrucât, conform articolului 4 alineatul (1) din RGPD, „date cu caracter personal” înseamnă orice informație referitoare la o persoană fizică identificată sau identificabilă; întrucât o „persoană fizică identificabilă” înseamnă o persoană fizică ce poate fi identificată, în mod direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare ori un identificator online, sau la unul ori mai multe elemente specifice identității fizice, fiziologice, genetice, mentale, economice, culturale sau sociale ale respectivei persoane fizice; întrucât pentru a se determina dacă o persoană fizică este identificabilă, ar trebui să se ia în considerare toate mijloacele, cum ar fi individualizarea, pe care este probabil, în mod rezonabil, să le utilizeze fie operatorul, fie o altă persoană, în scopul identificării, în mod direct sau indirect, a persoanei fizice respective;

R.  întrucât, în conformitate cu articolul 2 alineatul (7) din Legea privind protecția informațiilor cu caracter personal, „date cu caracter personal păstrate” înseamnă date cu caracter personal pe care un operator economic are dreptul de a le divulga, a le corecta, a le modifica sau a le șterge conținutul, de a înceta utilizarea lor, de a le șterge sau de a înceta transmiterea lor către terți și care nu se înscriu în rândul datelor prevăzute în decizia guvernamentală ca fiind de natură să aducă atingere interesului public sau de alt tip, în cazul în care prezența sau absența lor este făcută cunoscute, și nici în rândul celor care sunt prevăzute în ordonanța guvernamentală a fi șterse în termen de maximum un an; întrucât normele suplimentare armonizează noțiunea de „date cu caracter personal păstrate” cu noțiunea de „date cu caracter personal” pentru a asigura că anumite limitări ale drepturilor individuale aferente celor dintâi nu se vor aplica datelor transferate din UE;

S.  întrucât legea japoneză privind protecția datelor, care face obiectul proiectului de decizie de punere în aplicare, exclude din domeniul său de aplicare mai multe sectoare atunci când se prelucrează date cu caracter personal în scopuri specifice; întrucât proiectul de decizie de punere în aplicare nu se referă la transferul de date cu caracter personal din UE către un destinatar care se încadrează în oricare dintre domeniile exceptate de mai sus, prevăzute de legislația japoneză privind protecția datelor;

T.  întrucât, în ceea ce privește transferurile ulterioare ale datelor cu caracter personal ale UE din Japonia către o țară terță, proiectul de decizie de punere în aplicare exclude utilizarea, în astfel de transferuri ulterioare, de instrumente de transfer care nu creează o relație obligatorie între exportatorul de date din Japonia și importatorul de date din țara terță și care nu garantează nivelul necesar de protecție; întrucât acest lucru ar fi valabil, de exemplu, pentru sistemul de norme de protecție a vieții private în cooperarea economică transfrontalieră din Asia-Pacific (ACE CBPR), la care Japonia participă activ, deoarece, în acest sistem, măsurile de protecție nu rezultă dintr-un acord cu caracter obligatoriu pentru exportator și importator în contextul relației lor bilaterale și sunt, în mod evident, la un nivel mai scăzut decât cel garantat de Legea privind protecția informațiilor cu caracter personal, coroborată cu normele suplimentare;

U.  întrucât, în avizul său din 5 decembrie 2018, Comitetul european pentru protecția datelor evaluează, pe baza documentației puse la dispoziție de Comisie, dacă cadrul juridic japonez de protecție a datelor oferă garanții suficiente pentru un nivel adecvat de protecție a datelor pentru persoanele fizice; întrucât Comitetul european pentru protecția datelor salută eforturile depuse de Comisie și de PPC din Japonia pentru a mări convergența dintre cadrul juridic japonez și cel european, pentru a facilita transferurile de date cu caracter personal; întrucât Comitetul european pentru protecția datelor recunoaște că îmbunătățirile aduse de normele suplimentare pentru a elimina o parte din diferențele dintre cele două cadre sunt foarte importante și bine primite; întrucât constată că persistă o serie de preocupări, cum ar fi protecția datelor cu caracter personal transferate din UE în Japonia pe toată durata ciclului lor de viață și recomandă Comisiei să furnizeze dovezi și explicații suplimentare cu privire la problemele ridicate și să monitorizeze îndeaproape aplicarea efectivă a normelor;

V.  întrucât proiectul de decizie de punere în aplicare este însoțit, de asemenea, de o scrisoare a ministrului Justiției din 14 septembrie 2018 referitoare la un document elaborat de Ministerul Justiției și de mai multe ministere și agenții privind „colectarea și utilizarea informațiilor cu caracter personal de către autoritățile publice japoneze pentru aplicarea dreptului penal și în scopuri de securitate națională”, care cuprinde o prezentare generală a cadrului juridic aplicabil și care furnizează Comisiei declarații oficiale, garanții și angajamente semnate la cel mai înalt nivel ministerial și de agenție, scrisoarea fiind atașată ca anexa II la decizia de punere în aplicare;

1.  ia act de analiza detaliată furnizată de Comisie în proiectul său de decizie de punere în aplicare privind caracterul adecvat în ceea ce privește garanțiile, inclusiv mecanismele de supraveghere și de recurs, aplicabile prelucrării datelor de către operatorii comerciali, precum și accesul autorităților publice japoneze la date, în special în domeniul asigurării respectării legii și al securității naționale;

2.  ia act de faptul că Japonia pregătește, de asemenea, în același timp, recunoașterea nivelului de protecție a datelor cu caracter personal transferate din Japonia în UE în conformitate cu articolul 23 din APPI, ceea ce ar duce la prima constatare bidirecțională a caracterului adecvat la nivel mondial, fapt care ar avea ca rezultat crearea celei mai mari zone mondiale de fluxuri libere și sigure de date;

3.  salută această evoluție ca o exprimare a răspândirii la nivel mondial a standardelor ridicate de protecție a datelor; subliniază, cu toate acestea, că acest lucru nu trebuie să ducă în niciun caz la abordări de tipul „ochi pentru ochi” în deciziile UE privind caracterul adecvat al nivelului de protecție; reamintește că, pentru o decizie privind caracterul adecvat al nivelului de protecție în temeiul RGPD, Comisia trebuie să evalueze în mod obiectiv situația juridică și practică din țara terță, teritoriul, sectorul sau organizația internațională;

4.  subliniază că Curtea de Justiție a Uniunii Europene a hotărât că termenul de „nivel adecvat de protecție” nu necesită un nivel identic de protecție ca cel garantat în UE, dar trebuie înțeles ca obligația țării terțe de a asigura, în virtutea dreptului său intern sau a angajamentelor internaționale asumate, un nivel de protecție a drepturilor și libertăților fundamentale care este, în esență, echivalent cu cel garantat în cadrul Uniunii Europene în temeiul RGPD, interpretat în sensul Cartei;

5.  ia act de faptul că dreptul la viață privată și la protecția datelor cu caracter personal este garantat la nivel constituțional, atât în Japonia, cât și în UE, dar că nu va fi posibilă o aliniere completă a normelor UE și ale Japoniei, date fiind diferențele de structură constituțională și de cultură;

6.  ia act de modificările aduse APPI care au intrat în vigoare la 30 mai 2017; salută îmbunătățirile de fond;

7.  constată că categoriile de activități de afaceri și de prelucrare care sunt excluse din domeniul de aplicare material al APPI au fost excluse în mod expres din domeniul de aplicare al constatării privind caracterul adecvat;

8.  consideră că, în urma adoptării, în 2016, a APPI modificate și a RGPD, sistemele de protecție a datelor din Japonia și din UE împărtășesc un grad ridicat de convergență în ceea ce privește principiile, garanțiile și drepturile individuale, precum și mecanismele de supraveghere și de aplicare a legii; subliniază, în special, crearea unei autorități de supraveghere independente, a PPC, prin intermediul APPI modificat;

9.  cu toate acestea, remarcă faptul că PPC însăși constată că „în pofida unui nivel ridicat de convergență între cele două sisteme, există unele diferențe marcante”; ia act, de asemenea, de faptul că, pentru a asigura un nivel mai ridicat de protecție a datelor cu caracter personal transferate din UE, la 15 iunie 2018 PPC a adoptat norme suplimentare;

10.  salută o serie de clarificări importante din normele suplimentare, inclusiv alinierea „informațiilor cu caracter personal anonime” din cadrul APPI cu definiția „informațiilor anonime” din RGPD;

11.  consideră că măsurile complementare de protecție prevăzute de normele suplimentare acoperă numai transferurile efectuate în temeiul deciziilor privind caracterul adecvat al nivelului de protecție; reamintește că, având în vedere domeniul de aplicare al deciziei privind caracterul adecvat, unele transferuri de date vor fi efectuate în cadrul acestor alte mecanisme disponibile;

12.  recunoaște că măsurile adiționale de protecție prevăzute în normele suplimentare se limitează la datele cu caracter personal transferate din Europa, prin urmare operatorii economici care trebuie să prelucreze simultan date cu caracter personal din Japonia și UE vor fi obligați să respecte normele suplimentare, asigurând, de exemplu, mijloace tehnice („marcare”) sau mijloace organizaționale (de exemplu, stocarea într-o bază de date specială) pentru a fi în măsură să identifice astfel de date cu caracter personal pe parcursul „ciclului lor de viață”; invită Comisia să monitorizeze situația pentru a preveni eventualele lacune, prin care operatorii ar putea eluda obligațiile prevăzute în normele suplimentare prin transferuri de date prin țări terțe;

13.  observă că definiția „datelor cu caracter personal” din APPI exclude datele „prevăzute în ordinul guvernului ca având o posibilitate redusă de a aduce atingere drepturilor și intereselor unei persoane, având în vedere metoda de utilizare a acestora”; solicită insistent Comisiei să evalueze dacă această abordare bazată pe daune este compatibilă cu abordarea UE, potrivit căreia toate prelucrările de date cu caracter personal intră sub incidența legislației privind protecția datelor; constată, de asemenea, că această abordare s-ar aplica în situații foarte limitate;

14.  constată, de asemenea, că definiția „informațiilor cu caracter personal” din APPI se limitează la informațiile „prin care poate fi identificată o anumită persoană”; observă, de asemenea, că această definiție nu include clarificarea adusă de RGPD, și anume că informațiile cu caracter personal ar trebui să fie, de asemenea, considerate date cu caracter personal atunci când acestea pot fi folosite doar pentru a „selecta” o persoană, după cum a stabilit în mod clar Curtea de Justiție a Uniunii Europene;

15.  își exprimă îngrijorarea cu privire la faptul că definiția mai restrânsă a „datelor cu caracter personal” (bazată pe definiția „informațiilor cu caracter personal”) din APPI ar putea să nu corespundă standardului de a fi „în esență echivalentă” cu RGPD și cu jurisprudența Curții de Justiție a Uniunii Europene; își pune întrebări, prin urmare, cu privire la declarația din proiectul de decizie de punere în aplicare că „datele din UE vor fi întotdeauna incluse în categoria „date cu caracter personal” din cadrul APPI”; invită Comisia să monitorizeze îndeaproape implicațiile practice ale diferitelor concepte în aplicarea deciziei privind caracterul adecvat și la revizuirea periodică a acesteia;

16.  invită Comisia să ofere clarificări suplimentare și, dacă este necesar, să solicite alte norme suplimentare obligatorii din partea autorităților japoneze, pentru a se asigura că toate datele cu caracter personal în sensul RGPD sunt protejate atunci când sunt transferate în Japonia;

17.  ia act cu îngrijorare de faptul că, în ceea ce privește procesul decizional automatizat și crearea de profiluri, spre deosebire de legislația UE, nici APPI, nici Orientările PPC nu cuprind dispoziții legale și că numai anumite norme sectoriale abordează acest aspect, fără a oferi un cadru juridic global cuprinzător și o protecție substanțială și solidă împotriva deciziilor automatizate de luare a deciziilor și a creării de profiluri; invită Comisia să demonstreze modul în care acest aspect este abordat în cadrul japonez de protecție a datelor, astfel încât să se asigure un nivel echivalent de protecție; consideră că acest lucru este deosebit de pertinent având în vedere recentele cazuri de creare de profiluri de către Facebook/Cambridge Analytica;

18.  consideră că, având în vedere „Criteriile de referință privind caracterul adecvat al nivelului de protecție” („Adequacy Referential”) ale Comitetului european pentru protecția datelor (CEPD), sunt necesare clarificări suplimentare și mai detaliate în ceea ce privește marketingul direct, având în vedere lipsa unor dispoziții specifice în cadrul APPI, pentru a demonstra nivelul de protecție a datelor cu caracter personal echivalent în Japonia;

19.  ia act de avizul Comitetului european pentru protecția datelor, care identifică mai multe aspecte problematice, cum ar fi protecția datelor cu caracter personal transferate din UE în Japonia de-a lungul întregului lor ciclu de viață; invită Comisia să abordeze în mod corespunzător și să furnizeze în decizia de punere în aplicare dovezi și explicații suplimentare care să demonstreze existența unor garanții adecvate;

20.  invită Comisia să clarifice dacă, în ceea ce privește transferurile ulterioare, soluția prevăzută în normele suplimentare, care constă în solicitarea consimțământului prealabil din partea persoanelor vizate din UE pentru aprobarea transferului ulterior către un terț dintr-o țară străină, nu cuprinde anumite elemente esențiale care ar permite persoanelor vizate să își exprime consimțământul, întrucât nu definește în mod expres ce include noțiunea de „informații necesare [pentru persoana vizată] privind circumstanțele legate de transfer pentru a lua o decizie cu privire la consimțământul său”, în conformitate cu articolul 13 din RGPD, cum ar fi țara terță de destinație a transferului ulterior; invită Comisia să clarifice și consecințele pentru persoana vizată în caz de refuz al consimțământului pentru transferul ulterior al datelor sale cu caracter personal;

21.  regretă că, în ceea ce privește aplicarea eficientă a APPI, nivelul amenzilor posibile care ar fi impuse de către autoritățile penale este insuficient pentru a asigura respectarea efectivă a legii, deoarece nu pare să fie proporțional, eficace sau disuasiv în raport cu gravitatea încălcării; constată însă că APPI prevede și sancțiuni penale, inclusiv pedeapsa cu închisoarea; invită Comisia să furnizeze informații cu privire la aplicarea efectivă în trecut a amenzilor administrative și a sancțiunilor penale;

22.  ia act de faptul că, deși PPC nu are competențe de supraveghere a activităților de prelucrare a datelor în sectorul de aplicare a legii, există alte mecanisme de supraveghere, cum ar fi cea efectuată de Comisia la nivel de prefectură pentru siguranța publică, care este organism independent; ia act de faptul că Comitetul de analiză a divulgării informațiilor și a protecției informațiilor cu caracter personal are, de asemenea, anumite competențe în acest domeniu, inclusiv reexaminarea cererilor de acces și publicarea avizelor, dar subliniază că aceste competențe nu sunt obligatorii din punct de vedere juridic; salută faptul că UE și Japonia au convenit să instituie un mecanism specific de recurs, administrat și supravegheat de către PPC, care se va aplica prelucrării datelor cu caracter personal în sectorul de aplicare a legii și cel al securității naționale;

23.  ia act de faptul că, în conformitate cu Legea japoneză privind protecția informațiilor cu caracter personal deținute de către organele administrative (APPIHAO), operatorii economici pot, de asemenea, să transmită date autorităților de aplicare a legii pe „bază voluntară”; subliniază că acest lucru nu este prevăzut în RGPD sau în Directiva privind poliția invită Comisia să evalueze dacă acest lucru este conform cu standardul de a fi „în esență echivalent” cu RGPD;

24.  este la curent cu relatările din mass-media cu privire la Direcția japoneză pentru colectarea de informații sub formă de semnale (DFS), „în cadrul căreia lucrează aproximativ 1 700 de persoane și care dispune de cel puțin șase instalații de supraveghere care interceptează nonstop apeluri telefonice, e-mailuri și alte comunicații”(6); este îngrijorat de faptul că acest element de supraveghere nediferențiată în masă nu este nici măcar menționat în proiectul de decizie de punere în aplicare; invită Comisia să furnizeze mai multe informații cu privire la supravegherea în masă din Japonia; este profund îngrijorat de faptul că această supraveghere în masă nu va face față testului criteriilor stabilite de Curtea Europeană de Justiție în hotărârea pronunțată în cauza Schrems (Case C-362/14);

25.  regretă că documentul „Colectarea și utilizarea informațiilor cu caracter personal de către autoritățile publice japoneze pentru aplicarea legii în materie penală și în scopuri de securitate națională”, care face parte din anexa II la proiectul de decizie de punere în aplicare, nu are același efect obligatoriu din punct de vedere juridic ca normele suplimentare;

Concluzii

26.  invită Comisia să furnizeze dovezi și explicații suplimentare cu privire la aspectele menționate mai sus, inclusiv cele identificate de Comitetul european pentru protecția datelor în avizul său din 5 decembrie 2018, pentru a demonstra că nivelul de protecție oferit de cadrul juridic japonez privind protecția datelor asigură un nivel adecvat de protecție, care este, în esență, echivalent cu cel al cadrului juridic european privind protecția datelor;

27.  consideră că această decizie privind caracterul adecvat poate, în plus, să transmită un semnal puternic țărilor din întreaga lume conform căruia convergența cu standardele ridicate ale UE în materie de protecție a datelor oferă rezultate foarte concrete; subliniază, în acest sens, importanța acestei decizii privind caracterul adecvat ca precedent pentru viitoarele parteneriate cu alte țări care au adoptat legi moderne privind protecția datelor;

28.  încredințează Comisiei pentru libertăți civile, justiție și afaceri interne sarcina de a continua să monitorizeze evoluțiile din acest domeniu, inclusiv cu privire la cauzele înaintate Curții de Justiție, precum și de a supraveghea acțiunile întreprinse în urma recomandărilor formulate în rezoluție;

o
o   o

29.  încredințează Președintelui sarcina de a transmite prezenta rezoluție Consiliului, Comisiei, guvernelor și parlamentelor statelor membre, Comitetului european pentru protecția datelor, Autorității Europene pentru Protecția Datelor, comitetului înființat în temeiul articolului 93 alineatul (1) din Regulamentul general privind protecția datelor, precum și Consiliului Europei și guvernului japonez.

(1) JO L 119, 4.5.2016, p. 1.
(2) ECLI:EU:C:2015:650.
(3) ECLI:EU:C:2016:970.
(4) JO C 369, 11.10.2018, p. 22.
(5) http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614108; aprobat de CEPD în cadrul primei sale reuniuni plenare.
(6) Ryan Gallagher, ‘The Untold Story of Japan’s Secret Spy Agency’, The Intercept, 19 mai 2018, https://theintercept.com/2018/05/19/japan-dfs-surveillance-agency/

Ultima actualizare: 14 decembrie 2018Notă juridică