Euroopan parlamentin päätöslauselma 13. joulukuuta 2018 Japanin tarjoaman henkilötietojen suojan riittävyydestä (2018/2979(RSP))
Euroopan parlamentti, joka
– ottaa huomioon Euroopan unionista tehdyn sopimuksen, Euroopan unionin toiminnasta tehdyn sopimuksen ja Euroopan unionin perusoikeuskirjan 6, 7, 8, 11, 16, 47 ja 52 artiklan,
– ottaa huomioon luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27. huhtikuuta 2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus)(1) ja muun asianmukaisen tietosuojaa koskevan EU:n säännöstön,
– ottaa huomioon unionin tuomioistuimen 6. lokakuuta 2015 antaman tuomion asiassa C‑362/14 Maximillian Schrems v. Data Protection Commissioner(2),
– ottaa huomioon Euroopan unionin tuomioistuimen 21. joulukuuta 2016 antamat tuomiot yhdistetyissä asioissa C-203/15 Tele2 Sverige AB v. Post- och telestyrelsen ja C-698/15 Secretary of State for the Home Department v. Tom Watson ym.(3),
– ottaa huomioon 12. joulukuuta 2017 antamansa päätöslauselman ”Kohti sähköisen kaupankäynnin strategiaa”(4),
– ottaa huomioon 29 artiklan mukaisen työryhmän 6. helmikuuta 2018 antaman asiakirjan ”Adequacy Referential”(5), jossa annetaan ohjeita komissiolle ja Euroopan tietosuojaneuvostolle yleisen tietosuoja-asetuksen mukaisesti tietosuojan tason arvioimiseksi kolmansissa maissa ja kansainvälisissä järjestöissä,
– ottaa huomioon 5. joulukuuta 2018 annetun Euroopan tietosuojaneuvoston lausunnon ehdotuksesta EU:n ja Japanin väliseksi tietosuojan tason riittävyyttä koskevaksi päätökseksi,
– ottaa huomioon Japanin tarjoaman henkilötietojen suojan riittävyydestä annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 mukaisen luonnoksen komission täytäntöönpanopäätökseksi (COM(2018)XXXX),
– ottaa huomioon kansalaisvapauksien sekä oikeus- ja sisäasioiden valiokunnan tilapäisen valtuuskunnan tekemät havainnot tietosuojan riittävyyttä koskevien neuvottelujen yhteydessä lokakuussa 2017 järjestetyllä Japanin-vierailulla, jonka tarkoituksena oli kokoontua Japanin asiasta vastaavien viranomaisten ja sidosryhmien kanssa; toteaa, että havainnot koskevat keskeisiä tekijöitä, jotka komission on otettava huomioon, kun se tekee tietosuojan riittävyyttä koskevan päätöksen,
– ottaa huomioon työjärjestyksen 123 artiklan 2 kohdan,
A. ottaa huomioon, että yleistä tietosuoja-asetusta on sovellettu 25. toukokuuta 2018 lähtien; ottaa huomioon, että yleisen tietosuoja-asetuksen 45 artiklan 2 kohdassa vahvistetaan tekijät, jotka komission on otettava huomioon arvioidessaan kolmannen maan tai kansainvälisen järjestön tietosuojan riittävyyttä;
B. ottaa huomioon, että komission on otettava erityisesti huomioon oikeusvaltion, ihmisoikeuksien ja perusvapauksien kunnioittaminen ja asiaa koskeva yleinen ja alakohtainen lainsäädäntö, mukaan lukien lainsäädäntö, joka koskee yleistä turvallisuutta, puolustusta, kansallista turvallisuutta, rikosoikeutta ja viranomaisten pääsyä henkilötietoihin, yhden tai useamman riippumattoman valvontaviranomaisen olemassaoloa ja tehokasta toimintaa sekä kolmannen maan tai kansainvälisen järjestön tekemiä kansainvälisiä sitoumuksia;
C. ottaa huomioon, että Euroopan unionin tuomioistuin selvensi 6. lokakuuta 2015 asiassa C-362/14 (Maximillian Schrems v. Data Protection Commissioner) antamassaan tuomiossa, että suojelun tasoa kolmannessa maassa on pidettävä riittävänä, kun se vastaa olennaisilta osin perusoikeuskirjan mukaisesti tulkitun direktiivin 95/46/EY nojalla unionissa tarjottua suojaa;
D. ottaa huomioon, että Japani on yksi EU:n tärkeimmistä kauppakumppaneista, jonka kanssa EU on äskettäin tehnyt talouskumppanuussopimuksen, jossa vahvistetaan yhteiset arvot ja periaatteet siten, että samalla turvataan molempien kumppanien tärkeinä pitämät näkemyserot; katsoo, että perusoikeuksien yhteinen tunnustaminen, mukaan lukien yksityisyyden suoja ja tietosuoja, on tärkeä perusta tietosuojan riittävyyttä koskevalle päätökselle, joka muodostaa oikeusperustan henkilötietojen siirtämiselle EU:sta Japaniin;
E. ottaa huomioon, että kansalaisvapauksien sekä oikeus- ja sisäasioiden valiokunnan Japanissa vieraillut tilapäinen valtuuskunta sai tietää, että Japanin viranomaiset ja sidosryhmät ovat paitsi kiinnostuneita yleisen tietosuoja-asetuksen uusien sääntöjen soveltamisesta niin myös kiinnostuneita luomaan EU:n ja Japanin välille vahvan ja korkeatasoisen henkilötietojen siirtomekanismin, joka täyttäisi EU:n oikeudellisen kehyksen ehdot, jotka koskevat EU:n tietosuojalainsäädännön tarjoamaa suojelun tasoa olennaisilta osin vastaavaa suojelun tasoa;
F. katsoo, että henkilötietojen siirrot EU:n ja Japanin välillä kaupallisissa tarkoituksissa ovat EU:n ja Japanin suhteiden kannalta tärkeä tekijä, kun otetaan huomioon maailmantalouden jatkuvasti lisääntyvä digitalisointi; katsoo, että nämä siirrot olisi suoritettava noudattaen kaikilta osin oikeutta henkilötietojen suojaan ja yksityisyydensuojaan; toteaa, että yksi EU:n perustavoitteista on perusoikeuksien suojelu, joka on vahvistettu Euroopan unionin perusoikeuskirjassa;
G. ottaa huomioon, että EU ja Japani käynnistivät tammikuussa 2017 keskustelut helpottaakseen henkilötietojen siirtoa kaupallisissa tarkoituksissa kaikkien aikojen ensimmäisen ”vastavuoroisen tietosuojan tason riittävyyttä koskevan toteamuksen” avulla; ottaa huomioon, että 12. joulukuuta 2017 antamassaan päätöslauselmassa ”Kohti sähköisen kaupankäynnin strategiaa” Euroopan parlamentti nimenomaisesti totesi, että ”päätökset tietosuojan tason riittävyydestä... ovat keskeinen mekanismi, jolla turvataan henkilötietojen siirto EU:sta kolmanteen maahan”;
H. katsoo, että tietosuojan tason riittävyyttä koskeva päätös henkilötietojen siirtämisestä Japaniin olisi ensimmäinen tällainen päätös, joka hyväksytään yleisen tietosuoja-asetuksen uusien ja tiukempien sääntöjen nojalla;
I. ottaa huomioon, että Japani on hiljattain nykyaikaistanut ja vahvistanut tietosuojalainsäädäntöään, jotta se vastaisi kansainvälisiä standardeja ja erityisesti uuden eurooppalaisen tietosuojalainsäädännön mukaisia suojatoimia ja yksilöllisiä oikeuksia; ottaa huomioon, että Japanin tietosuojalainsäädäntö koostuu eri pilareista, joista laki henkilötietojen suojasta on keskeinen säädös;
J. ottaa huomioon että Japanin hallitus hyväksyi 12. kesäkuuta 2018 valtioneuvoston määräyksen, jonka mukaan henkilötietojen suojasta vastaava komitea on toimivaltainen viranomainen hallinnoimaan ja panemaan täytäntöön lakia henkilötietojen suojasta, ja sille siirretään valtuudet toteuttaa tarvittavat toimet Japanin ja asianomaisen maan välisten järjestelmien ja operaatioiden välisten erojen poistamiseksi lain 6 artiklan perusteella, jotta voidaan varmistaa, että kyseisestä maasta saatuja henkilötietoja käsitellään asianmukaisesti; ottaa huomioon, että päätöksen mukaan tähän sisältyvät valtuudet vahvistaa suojelun tasoa, kun henkilötietojen suojasta vastaava komitea ottaa käyttöön tiukempia sääntöjä, jotka täydentävät laissa henkilötietojen suojasta ja valtioneuvoston määräyksessä annettuja sääntöjä ja menevät niitä pidemmälle; toteaa, että tämän päätöksen mukaisesti nämä tiukemmat säännöt olisivat sitovia ja täytäntöönpanokelpoisia japanilaisten yritysten osalta;
K. ottaa huomioon, että ehdotukseen komission täytäntöönpanopäätökseksi henkilötietojen suojan riittävästä tasosta Japanissa on lisätty sen liitteenä I henkilötietojen suojasta vastaavan komitean 15. kesäkuuta 2018 hyväksymät täydentävät säännöt, jotka perustuvat henkilötietojen suojasta annetun lain 6 artiklaan ja joiden mukaan henkilötietojen suojasta vastaava komitea nimenomaisesti sallii tiukempien sääntöjen antamisen kansainvälisten tiedonsiirtojen helpottamiseksi; ottaa huomioon, että täydentävät säännöt eivät ole vielä julkisesti saatavilla;
L. katsoo, että näiden täydentävien sääntöjen tarkoituksena on puuttua Japanin ja EU:n tietosuojalainsäädännön eroihin, jotta voidaan varmistaa EU:sta saatujen henkilötietojen asianmukainen käsittely, joka perustuu tietosuojan tason riittävyyttä koskevaan päätökseen, erityisesti siltä osin kuin on kyse erityisistä huolellisuutta vaativista henkilötiedoista (arkaluonteiset tiedot), säilytetyistä henkilötiedoista, käyttötarkoituksen määrittämisestä, käyttötarkoituksesta johtuvasta rajoituksesta, ulkomaiselle kolmannelle osapuolelle antamisen rajoittamisesta ja nimettömästi käsitellyistä tiedoista;
M. ottaa huomioon, että täydentävät säännöt olisivat oikeudellisesti sitovia kaikille henkilötietoja käsitteleville yrityksille, jotka saavat EU:sta tietosuojan tason riittävyyttä koskevan päätöksen perusteella siirrettyjä henkilötietoja ja joiden on siksi noudatettava kyseisiä sääntöjä ja niihin liittyviä oikeuksia ja velvoitteita, ja että sekä henkilötietojen suojasta vastaava komitea että Japanin tuomioistuimet voivat panna ne täytäntöön;
N. katsoo, että EU:sta Japaniin siirrettyjen henkilötietojen suojan olennaisilta osin vastaavan tason varmistamiseksi täydentävillä säännöillä luodaan lisäsuojaa, jota voidaan soveltaa EU:sta siirrettyjen henkilötietojen käsittelyä koskevien tiukempien ehtojen tai rajoitusten perusteella, esimerkiksi tapauksissa, joissa on kyse erityistä huolellisuutta vaativista henkilötiedoista, tietojen siirroista eteenpäin, anonyymeistä tiedoista ja käyttötarkoituksen rajoittamisesta;
O. ottaa huomioon, että Japanin tietosuojalainsäädännössä tehdään ero käsitteiden ”henkilötiedot” (personal information) ja ”henkilödata” (personal data) välillä ja että joissakin tapauksissa viitataan tiettyyn henkilödatan ryhmään, eli ”säilytettyyn henkilödataan”;
P. ottaa huomioon, että henkilötietojen suojasta annetun lain 2 artiklan 1 kohdan mukaan ”henkilötietojen” (personal information) käsitteeseen sisältyvät kaikki sellaiset elävään henkilöön liittyvät tiedot, jonka avulla tämä henkilö voidaan tunnistaa; ottaa huomioon, että määritelmässä erotetaan toisistaan kaksi henkilötietojen ryhmää, joita ovat i) yksilölliset tunnistuskoodit ja ii) muut henkilötiedot, joiden avulla voidaan tunnistaa tietty henkilö; toteaa, että viimeksi mainittuun ryhmään kuuluvat tiedot, joiden avulla pelkästään henkilöä ei voida tunnistaa, mutta jotka ”koottuna” muiden tietojen kanssa mahdollistavat yksittäisen henkilön tunnistamisen;
Q. ottaa huomioon, että henkilötietojen suojasta annetun lain 2 artiklan 4 kohdan mukaan ”henkilödatalla” (personal data) tarkoitetaan henkilötietoja, jotka muodostavat henkilötietokannan jne.; ottaa huomioon, että henkilötietojen suojasta annetun lain 2 artiklan 1 kohdassa täsmennetään, että tällaisissa tietokannoissa olevat tiedot on järjestelmällisesti järjestetty, mikä vastaa yleisen tietosuoja-asetuksen 2 artiklan 1 kohdan mukaista rekisteröintijärjestelmän käsitettä; ottaa huomioon, että yleisen tietosuoja-asetuksen 4 artiklan 1 kohdan mukaan ”henkilötiedoilla” tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja; ottaa huomioon, että tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella; toteaa, että luonnollisen henkilön tunnistettavuuden määrittämiseksi olisi otettava huomioon kaikki keinot, joita joko rekisterinpitäjä tai muu henkilö voi kohtuullisen todennäköisesti käyttää mainitun luonnollisen henkilön tunnistamiseen suoraan tai välillisesti, kuten kyseisen henkilön erottaminen muista;
R. ottaa huomioon, että henkilötietojen suojasta annetun lain 2 artiklan 7 kohdan mukaan ”säilytetyllä henkilödatalla” tarkoitetaan henkilödataa, jonka sisältöä henkilötietojen käsittelystä vastaavalla yrityksellä on oikeus julkaista, korjata, lisätä tai poistaa, tietoja, jonka käyttö sillä on oikeus keskeyttää, jonka se voi hävittää tai jonka antamisen kolmannelle osapuolelle se voi lopettaa ja joka ei ole tietoa, joka hallituksen päätöksen mukaan todennäköisesti vahingoittaa yleistä etua tai muita etuja, jos sen olemassaolo tai puuttuminen annetaan tiedoksi, eikä tietoa, joka on määrätty poistettavaksi enintään vuoden kuluessa hallituksen määräyksellä; ottaa huomioon, että täydentävissä säännöissä ”säilytetyn henkilödatan” käsite on saatettu ”henkilödatan” käsitteen mukaiseksi, jotta voidaan varmistaa, että tiettyjä ensimmäiseen ryhmään kuuluviin oikeuksiin liittyviä rajoituksia ei sovelleta EU:sta siirrettyihin tietoihin;
S. ottaa huomioon, että täytäntöönpanopäätösehdotuksen kohteena olevan Japanin tietosuojalain soveltamisalan ulkopuolelle on jätetty useita aloja, kun ne käsittelevät henkilödataa tiettyihin tarkoituksiin; ottaa huomioon, että ehdotus täytäntöönpanopäätökseksi ei koske henkilötietojen siirtoa EU:sta vastaanottajalle, joka kuuluu edellä mainittuihin Japanin tietosuojalainsäädännön mukaisiin poikkeuksiin;
T. ottaa huomioon, että kun on kyse EU:n henkilötietojen siirtämisestä Japanista edelleen kolmanteen maahan, täytäntöönpanopäätösehdotuksessa kielletään käyttämästä niihin sellaisia tiedonsiirtovälineitä, joilla ei luoda sitovaa suhdetta japanilaisen tietojen viejän ja kolmannen maan tietojen tuojan välille ja jotka eivät takaa vaadittua suojan tasoa; katsoo, että tämä koskisi esimerkiksi Aasian ja Tyynenmeren alueen taloudellisen yhteistyön rajat ylittävien, yksityisyyden suojaan liittyvien sääntöjen järjestelmää (APEC CBPR), johon Japani osallistuu, koska kyseisessä järjestelmässä suoja ei perustu järjestelyyn, joka sitoo viejiä ja tuojia niiden kahdenvälisessä suhteessa, ja on selvästi alempitasoinen kuin henkilötietojen suojasta annetun lain ja täydentävien sääntöjen yhdistelmä;
U. ottaa huomioon, että Euroopan tietosuojaneuvosto arvioi 5. joulukuuta 2018 antamassaan lausunnossa komission toimittaman asiakirja-aineiston perusteella, tarjoaako tietosuojaa koskeva Japanin oikeudellinen kehys riittävät takeet yksilöiden tietosuojan asianmukaisesta tasosta; toteaa, että Euroopan tietosuojaneuvosto panee tyytyväisenä merkille komission ja Japanin henkilötietojen suojasta vastaavan komitean pyrkimykset lähentää Japanin ja EU:n oikeudellisia kehyksiä henkilötietojen siirtojen helpottamiseksi; ottaa huomioon, että Euroopan tietosuojaneuvosto toteaa, että parannukset, jotka saatiin aikaan täydentävillä säännöillä kyseisten kehysten välisten erojen poistamiseksi, ovat erittäin tärkeitä ja ovat saaneet myönteisen vastaanoton; ottaa huomioon tietosuojaneuvoston panneen merkille, että huolenaiheita on edelleen, kuten EU:sta Japaniin siirrettyjen henkilötietojen suoja niiden koko elinkaaren ajan, ja suosittelevan, että komissio esittää lisätodisteita ja lisäselvityksiä esiin tulleista ongelmista ja seuraa tiiviisti sääntöjen tosiasiallista soveltamista;
V. ottaa huomioon, että täytäntöönpanopäätösehdotuksen liitteenä on myös oikeusministerin 14. syyskuuta 2018 päivätty kirje, jossa viitataan oikeusministeriön ja useiden ministeriöiden ja virastojen laatimaan asiakirjaan, joka koskee Japanin viranomaisten rikosoikeudellisessa lainvalvontatarkoituksessa ja kansallista turvallisuutta varten harjoittamaa henkilötietojen keräämistä ja käyttöä ja jossa esitetään yleiskatsaus sovellettavasta oikeudellisesta kehyksestä ja annetaan komissiolle viralliset kuvaukset, vakuutukset ja sitoumukset, jotka on allekirjoitettu korkeimmalla ministerien ja virastojen tasolla ja jotka on liitetty täytäntöönpanopäätökseen liitteenä II;
1. panee merkille komission täytäntöönpanopäätösehdotuksessa esittämät yksityiskohtaiset analyysit, jotka liittyvät suojatoimiin ja varsinkin valvonta- ja oikaisujärjestelyihin ja joita sovelletaan kaupallisten toimijoiden suorittamaan tietojen käsittelyyn sekä Japanin viranomaisten tiedonsaantiin erityisesti lainvalvonnan ja kansallisen turvallisuuden alalla;
2. panee merkille, että Japani valmistelee samanaikaisesti myös henkilötietojen suojasta annetun lain 23 artiklan nojalla Japanista EU:hun siirrettyjen henkilötietojen suojan tason tunnustamista, mikä johtaisi ensimmäiseen ”kaksisuuntaiseen” tietosuojan tason riittävyyttä koskevaan toteamukseen koko maailmassa ja siihen, että perustettaisiin maailman suurin alue, jossa tiedot liikkuvat vapaasti ja turvallisesti;
3. suhtautuu myönteisesti tähän kehitykseen, joka osoittaa korkeatasoisten tietosuojanormien leviävän maailmanlaajuisesti; huomauttaa kuitenkin, että tämä ei saa millään tavalla johtaa ”samalla mitalla” -lähestymistapaan EU:n tietosuojan tason riittävyyttä koskevissa päätöksissä; muistuttaa, että yleisen tietosuoja-asetuksen mukaisessa tietosuojan riittävyyttä koskevassa päätöksessä komission on arvioitava objektiivisesti kolmannen maan, alueen, sektorin tai kansainvälisen järjestön oikeudellinen ja käytännön tilanne;
4. huomauttaa, että Euroopan yhteisöjen tuomioistuin on todennut, että ilmaisu ”tietosuojan riittävä taso” ei edellytä samantasoista suojaa kuin EU:ssa, mutta sen on katsottava edellyttävän, että kolmas maa varmistaa kansallisen lainsäädäntönsä tai kansainvälisten sitoumustensa vuoksi sellaisten perusoikeuksien ja -vapauksien suojan tason, joka vastaa olennaisilta osin perusoikeuskirjan mukaisesti tulkitun tietosuoja-asetuksen nojalla unionissa tarjottua suojaa;
5. toteaa, että oikeus yksityisyyteen ja henkilötietojen suojaan taataan perustuslaillisella tasolla sekä Japanissa että EU:ssa, mutta EU:n ja Japanin sääntöjen täydellinen yhdenmukaistaminen ei ole mahdollista perustuslaillisessa rakenteessa ja kulttuurissa olevien erojen vuoksi;
6. panee merkille 30. toukokuuta 2017 voimaan tulleet muutokset lakiin henkilötietojen suojasta; panee tyytyväisenä merkille merkittävät parannukset;
7. toteaa, että yritys- ja tiedonkäsittelytoiminnan luokat, jotka eivät kuulu henkilötietojen suojaa koskevan lain aineellisen soveltamisalan piiriin, on yksiselitteisesti jätetty tietosuojan tason riittävyyttä koskevan toteamuksen soveltamisalan ulkopuolelle;
8. katsoo, että muutetun henkilötietojen suojasta annetun lain ja yleisen tietosuoja-asetuksen hyväksymisen jälkeen vuonna 2016 Japanin ja EU:n tietosuojajärjestelmät ovat hyvin lähellä toisiaan periaatteiden, suojatoimien ja yksilön oikeuksien sekä valvonta- ja täytäntöönpanomekanismien osalta; nostaa erityisesti esille riippumattoman valvontaviranomaisen eli henkilötietojen suojasta vastaavan komitean perustamisen muutetulla henkilötietojen suojasta annetulla lailla;
9. panee kuitenkin merkille, että henkilötietojen suojasta vastaava komitea toteaa itse, että vaikka näiden kahden järjestelmän välillä on tapahtunut runsaasti lähentymistä, niissä on yhä joitakin merkittäviä eroja; panee myös merkille, että EU:sta siirrettyjen henkilötietojen suojan korkeamman tason varmistamiseksi henkilötietojen suojasta vastaava komitea hyväksyi 15. kesäkuuta 2018 täydentävät säännöt;
10. suhtautuu myönteisesti useisiin täydentäviin sääntöihin sisältyviin merkittäviin selvennyksiin, joihin kuuluu henkilötietojen suojasta annetussa laissa mainittujen ”anonymisoitujen henkilötietojen” yhdenmukaistaminen yleisessä tietosuoja-asetuksessa olevan ”anonyymien tietojen” määritelmän kanssa;
11. katsoo, että täydentävien sääntöjen tarjoama lisäsuoja kattaa ainoastaan tietosuojan tason riittävyyttä koskevien päätösten mukaiset siirrot, muistuttaa, että tietosuojan riittävyyttä koskevan päätöksen soveltamisalan vuoksi osa tiedonsiirroista toteutetaan näiden muiden käytettävissä olevien mekanismien mukaisesti;
12. toteaa, että täydentävissä säännöissä määrätty lisäsuoja koskee vain Euroopasta siirrettyjä henkilötietoja, ja näin ollen alan toimijoiden, joiden on käsiteltävä samanaikaisesti japanilaisia ja eurooppalaisia henkilötietoja, on noudatettava täydentäviä sääntöjä varmistamalla esimerkiksi tekniset keinot (”tunnisteet”) tai organisointitavat (esim. varastointi erityiseen tietokantaan), jotta tällaiset henkilötiedot voidaan tunnistaa koko niiden elinkaaren ajan; kehottaa komissiota seuraamaan tilannetta mahdollisten porsaanreikien estämiseksi, jotta toimijat eivät pystyisi kiertämään täydentävissä säännöissä määrättyjä velvoitteita siirtämällä tietoja kolmansien maiden kautta;
13. panee merkille, että henkilötietojen suojasta annetussa laissa ”henkilödatan” määritelmän ulkopuolelle jäävät tiedot, joita ”pidetään hallituksen määräyksen nojalla sellaisina, että ne eivät todennäköisesti vahingoita yksilön oikeuksia ja etuja ottaen huomioon niiden käyttömenetelmän”; pyytää komissiota arvioimaan, onko tämä vahinkoon perustuva lähestymistapa ristiriidassa EU:n lähestymistavan kanssa, jonka mukaan kaikki henkilötietojen käsittely kuuluu tietosuojalainsäädännön soveltamisalaan; toteaa kuitenkin myös, että tätä lähestymistapaa sovellettaisiin hyvin rajatuissa tilanteissa;
14. panee lisäksi merkille, että henkilötietojen suojasta annetun lain ”henkilötietojen” määritelmä rajoittuu tietoihin, ”joiden avulla tietty henkilö voidaan tunnistaa”; panee myös merkille, että tämä määritelmä ei sisällä yleisessä tietosuoja-asetuksessa esitettyä täsmennystä, jonka mukaan henkilötietoja (personal information) olisi myös pidettävä henkilödatana (personal data), jos niitä voidaan käyttää vain yhden henkilön erottamiseen muista, kuten Euroopan unionin tuomioistuin on selkeästi todennut;
15. on huolissaan siitä, että henkilötietojen suojasta annetussa laissa esitetty ”henkilödatan” (personal data) suppeampi määritelmä (joka perustuu ”henkilötietojen” (personal information) määritelmään) ei välttämättä täytä vaatimusta vastata ”olennaisilta osin” yleistä tietosuoja-asetusta ja Euroopan unionin tuomioistuimen oikeuskäytäntöä; kyseenalaistaa siksi ehdotuksessa täytäntöönpanopäätökseksi esitetyn väitteen, jonka mukaan EU:n tiedot kuuluvat aina henkilötietojen suojasta annetun lain mukaiseen henkilödatan (personal data) luokkaan; kehottaa komissiota seuraamaan tiiviisti eri käsitteiden käytännön vaikutuksia tietosuojan tason riittävyyttä koskevan päätöksen soveltamisen ja sen säännöllisen uudelleentarkastelun yhteydessä;
16. kehottaa komissiota antamaan lisäselvennyksiä ja vaatimaan Japanin viranomaisilta tarvittaessa uusia sitovia täydentäviä sääntöjä sen varmistamiseksi, että kaikki yleisessä tietosuoja-asetuksessa tarkoitetut henkilötiedot suojataan, kun ne siirretään Japaniin;
17. panee huolestuneena merkille, että automaattisen päätöksenteon ja profiloinnin osalta lakiin henkilötietojen suojasta tai henkilötietojen suojasta vastaavan komitean suuntaviivoihin ei sisälly oikeudellisia säännöksiä, toisin kuin EU:n lainsäädäntöön, ja että tästä asiasta on ainoastaan tiettyjä alakohtaisia sääntöjä, jotka eivät muodosta kattavaa oikeudellista kehystä, joka antaisi konkreettisen ja vahvan suojan automatisoitua päätöksentekoa ja profilointia vastaan; kehottaa komissiota osoittamaan, miten tätä käsitellään Japanin tietosuojakehyksessä siten, että varmistetaan vastaava suojelun taso; katsoo, että tämä on erityisen tärkeää, kun otetaan huomioon äskettäiset Facebook / Cambridge Analytica -profilointitapaukset;
18. katsoo, että tietosuojaneuvoston Adequacy Referential -asiakirjan valossa tarvitaan lisää perinpohjaisia selvityksiä suoramarkkinoinnin osalta, koska henkilötietojen suojasta annetusta laista puuttuvat erityiset säännökset, jotta voidaan osoittaa, että Japanin henkilötietojen suoja on vastaavalla tasolla;
19. panee merkille Euroopan tietosuojaneuvoston lausunnon, jossa tuodaan esille useita huolenaiheita, kuten EU:sta Japaniin siirrettyjen henkilötietojen suoja niiden koko elinkaaren ajan; kehottaa komissiota tarkastelemaan huolenaiheita asianmukaisesti ja antamaan täytäntöönpanopäätöksessä lisätodisteita ja -selvityksiä riittävien takeiden olemassaolosta;
20. kehottaa komissiota selvittämään tietojen edelleensiirtämisen osalta puuttuuko täydentävissä säännöissä esitetystä ratkaisusta, jossa edellytetään EU:n rekisteröidyiltä ennakkosuostumusta tietojen edelleensiirtämiseen kolmannelle osapuolelle ulkomailla, tiettyjä olennaisia tekijöitä, joiden avulla rekisteröidyt voisivat ilmoittaa suostumuksensa, koska siinä ei nimenomaisesti määritellä, mitä tarkoitetaan ilmaisulla ”tiedot siirtoon liittyvistä olosuhteista, jotka [rekisteröity] tarvitsee voidakseen päättää suostumuksestaan”, yleisen tietosuoja-asetuksen 13 artiklan mukaisesti, kuten edelleensiirtämisen määräpaikkana oleva kolmas maa; kehottaa komissiota lisäksi täsmentämään rekisteröidylle aiheutuvat seuraukset, jos hän antaa tai epää suostumuksensa henkilötietojensa edelleensiirtämiseen;
21. pitää valitettavana, että henkilötietojen suojaa koskevan lain tehokkaan täytäntöönpanon osalta viranomaisten mahdollisesti määräämät sakot eivät ole riittäviä varmistamaan lain tosiasiallista noudattamista, sillä ne eivät vaikuta olevan rikkomuksen vakavuuteen nähden oikeasuhtaisia, vaikuttavia tai varoittavia; panee kuitenkin merkille, että henkilötietojen suojaa koskevassa laissa määrätään myös rikosoikeudellisia seuraamuksia, kuten vankeusrangaistuksia; kehottaa komissiota antamaan tietoja hallinnollisten sakkojen ja rikosoikeudellisten seuraamusten tosiasiallisesta käytöstä tähän mennessä;
22. panee merkille, että vaikka henkilötietojen suojasta vastaava komitea ei valvo lainvalvonnan tiedonkäsittelytoimintoja, käytössä on muita valvontamekanismeja, mukaan lukien riippumattomien yleisen turvallisuuden komiteoiden harjoittama maakuntakohtainen valvonta; panee merkille, että tietojen julkistamista ja henkilötietojen suojaa käsittelevällä lautakunnalla on jonkin verran toimivaltaa tällä alalla, mukaan luettuna käyttöoikeuspyyntöjen tarkastelu ja lausuntojen julkaiseminen, mutta huomauttaa, että nämä valtuudet eivät ole oikeudellisesti sitovia; pitää myönteisenä, että EU ja Japani ovat sopineet ottavansa käyttöön erityisen muutoksenhakumekanismin, jota henkilötietojen suojasta vastaava komitea hallinnoi ja valvoo ja jota sovelletaan henkilötietojen käsittelyyn lainvalvonnan ja kansallisen turvallisuuden aloilla;
23. toteaa, että hallintoelimien hallussa olevien henkilötietojen suojaa koskevan Japanin lain mukaan yrittäjät voivat myös toimittaa tietoja lainvalvontaviranomaisille ”vapaaehtoisuuden pohjalta”; huomauttaa, että tästä ei säädetä yleisessä tietosuoja-asetuksessa tai poliisidirektiivissä ja kehottaa komissiota arvioimaan, täyttääkö tämä vaatimuksen vastata ”olennaisilta osin” yleistä tietosuoja-asetusta;
24. on tietoinen uutisista, jotka koskevat Japanin signaalitiedustelua (DFS), jonka noin 1 700 työntekijää salakuuntelevat ja vakoilevat kellon ympäri puheluja ja sähköposti- ja muita viestejä ainakin kuudessa valvontakeskuksessa(6); on huolestunut siitä, että tätä summittaista massavalvontaa ei edes mainita ehdotuksessa täytäntöönpanopäätökseksi; kehottaa komissiota antamaan lisätietoja Japanin massavalvonnasta; on vakavasti huolissaan siitä, että tämä joukkovalvonta ei täytä Euroopan unionin tuomioistuimen asiassa Schrems antamassa tuomiossa (asia C-362/14) vahvistamia kriteerejä;
25. pitää valitettavana, että asiakirjalla, joka koskee Japanin viranomaisten suorittamaa henkilötietojen keräämistä ja niiden käyttöä rikosoikeuden täytäntöönpanoa ja kansallista turvallisuutta varten ja joka on täytäntöönpanopäätösehdotuksen liitteessä II, ei ole oikeudellisesti samanlaista sitovaa vaikutusta kuin täydentävillä säännöillä on;
Päätelmät
26. kehottaa komissiota esittämään lisätodisteita ja selvityksiä edellä mainituista seikoista, 5. joulukuuta 2018 annetussa Euroopan tietosuojaneuvoston lausunnossa esiin tuodut seikat mukaan luettuina, jotta voidaan osoittaa, että Japanin tietosuojaoikeudellisen kehyksen tarjoaman suojan taso takaa riittävän suojan tason, joka vastaa olennaisilta osin tietosuojaa koskevaa unionin oikeudellista kehystä;
27. katsoo, että tämä tietosuojan tason riittävyyttä koskeva päätös voi lisäksi antaa maille eri puolilla maailmaa vahvan signaalin siitä, että lähentyminen EU:n tiukkoihin tietosuojanormeihin tarjoaa hyvin konkreettisia tuloksia; korostaa tässä yhteydessä tietosuojan riittävyyttä koskevan päätöksen merkitystä ennakkotapauksena tuleville kumppanuuksille muiden maiden kanssa, jotka ovat ottaneet käyttöön nykyaikaisia tietosuojalakeja;
28. kehottaa kansalaisvapauksien sekä oikeus- ja sisäasioiden valiokuntaa jatkamaan alan kehityksen seuraamista, mukaan lukien tapaukset, joita käsitellään unionin tuomioistuimessa, sekä seuraamaan tässä päätöslauselmassa annettuja suosituksia koskevia jatkotoimia;
o o o
29. kehottaa puhemiestä välittämään tämän päätöslauselman neuvostolle, komissiolle, jäsenvaltioiden hallituksille ja parlamenteille, Euroopan tietosuojaneuvostolle, Euroopan tietosuojavaltuutetulle sekä yleisen tietosuoja-asetuksen 93 artiklan 1 kohdan nojalla perustetulle komitealle, Euroopan neuvostolle ja Japanin hallitukselle.
Ryan Gallagher, ‘The Untold Story of Japan’s Secret Spy Agency’, The Intercept, 19. toukokuuta 2018, https://theintercept.com/2018/05/19/japan-dfs-surveillance-agency/