Europaparlamentet utfärdar denna resolution

–  med beaktande av fördraget om Europeiska unionen, fördraget om Europeiska unionens funktionssätt och artiklarna 6, 7, 8, 11, 16, 47 och 52 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan),

–  med beaktande av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (nedan kallad allmänna dataskyddsförordningen)(1), och annan relevant europeisk uppgiftsskyddslagstiftning,

–  med beaktande av Europeiska unionens domstols (nedan kallad domstolen) dom av den 6 oktober 2015 i mål C-362/14, Maximillian Schrems mot Data Protection Commissioner(2),

–  med beaktande av domstolens dom av den 21 december 2016 i de förenade målen C‑203/15, Tele2 Sverige AB mot Post- och telestyrelsen, och mål C-698/15, Secretary of State for the Home Department mot Tom Watson m.fl.(3),

–  med beaktande av sin resolution av den 12 december 2017 om en digital handelsstrategi(4),

–  med beaktande av artikel 29-gruppens dokument Adequacy Referential av den 6 februari 2018(5), där det med stöd av allmänna dataskyddsförordningen ges vägledning till kommissionen och Europeiska dataskyddsstyrelsen inför bedömningen av tredjeländers och internationella organisationers uppgiftsskyddsnivå,

–  med beaktande av Europeiska dataskyddsstyrelsens yttrande av den 5 december 2018 om förslaget till beslut om en adekvat skyddsnivå mellan EU och Japan,

–  med beaktande av utkastet till kommissionens genomförandebeslut om adekvat skydd av personuppgifter från Japans sida i enlighet med Europaparlamentets och rådets förordning (EU) 2016/679, (COM(2018)XXXX),

–  med beaktande av slutsatserna från besöket i Japan i oktober 2017 av en ad hoc‑delegation från utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor, som anordnades i samband med förhandlingarna om en adekvat skyddsnivå, för att bereda tillfälle till sammanträffande med de relevanta japanska myndigheterna och berörda parterna för diskussion om väsentliga aspekter som kommissionen ska beakta när den fattar sitt beslut om adekvat skyddsnivå,

–  med beaktande av artikel 123.2 i arbetsordningen, och av följande skäl:

A.  Den allmänna dataskyddsförordningen har varit tillämplig sedan den 25 maj 2018. I artikel 45.2 i den förordningen fastställs vilka väsentliga aspekter som kommissionen ska beakta vid bedömningen av om ett tredjeland eller en internationell organisation har en adekvat uppgiftsskyddsnivå.

B.  Kommissionen måste särskilt beakta rättsstatsprincipen, respekten för de mänskliga rättigheterna och de grundläggande friheterna, relevant lagstiftning, både allmän lagstiftning och sektorslagstiftning, inklusive avseende allmän säkerhet, försvar, nationell säkerhet och straffrätt och offentliga myndigheters tillgång till personuppgifter samt huruvida det finns en eller flera effektivt fungerande oberoende tillsynsmyndigheter och vilka internationella åtaganden det berörda tredjelandet eller den berörda internationella organisationen har gjort.

C.  I sin dom av den 6 oktober 2015 i mål C-362/14, Maximillian Schrems mot Data Protection Commissioner, klarlade domstolen att begreppet adekvat skyddsnivå ska förstås som att ett tredjeland säkerställer en nivå som är ”väsentligen likvärdig” med den skyddsnivå som garanteras inom unionen genom direktiv 95/46/EG jämfört med stadgan.

D.  Japan är en av EU:s viktigaste handelspartner och EU har nyligen ingått ett avtal om ekonomiskt partnerskap med Japan, som innehåller gemensamma värden och principer och samtidigt skyddar båda partners känsliga områden. Det gemensamma erkännandet av grundläggande rättigheter, inbegripet integritet och uppgiftsskydd, utgör en viktig grund för det beslut om adekvat skyddsnivå som kommer att utgöra den rättsliga grunden för överföringen av personuppgifter från EU till Japan.

E.  Ad hoc-delegationen från utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor till Japan fick veta att myndigheter och berörda parter i Japan har ett intresse inte bara av att själva tillämpa de nya reglerna i den allmänna dataskyddsförordningen, utan också av att utveckla en handfast mekanism på hög nivå för överföring av personuppgifter mellan EU och Japan, som skulle uppfylla unionslagstiftningens villkor om en skyddsnivå som anses väsentligen likvärdig med den som erbjuds av unionslagstiftningen om uppgiftsskydd.

F.  Överföring av personuppgifter för kommersiella ändamål mellan EU och Japan är ett viktigt inslag i förbindelserna mellan EU och Japan, med tanke på att den globala ekonomin hela tiden blir alltmer digitaliserad. Sådana överföringar bör göras på grundval av full respekt för rätten till skydd av personuppgifter och rätten till personlig integritet. Ett av EU:s grundläggande mål är skyddet av grundläggande rättigheter, som är förankrat i stadgan.

G.  EU och Japan inledde diskussioner i januari 2017 för att underlätta överföringen av personuppgifter för kommersiella ändamål med hjälp av det första ”ömsesidiga konstaterandet om adekvat skyddsnivå” som någonsin gjorts. I sin resolution av den 12 december 2017 om en digital handelsstrategi konstaterar parlamentet uttryckligen ”att beslut om adekvat skyddsnivå [...] är en grundläggande mekanism för att säkra överföringarna av personuppgifter från EU till ett tredjeland”.

H.  Ett beslut om adekvat skyddsnivå för överföringar av personuppgifter till Japan skulle vara det första beslut av detta slag som antas enligt de nya och striktare reglerna i den allmänna dataskyddsförordningen.

I.  Japan har nyligen moderniserat och förstärkt sin uppgiftsskyddslagstiftning för att anpassa den till internationella normer, i synnerhet till de skyddsåtgärder och enskildas rättigheter som tillhandahålls genom EU:s nya lagstiftningsram för skydd av personuppgifter. Japans rättsliga ram för uppgiftsskydd är flerledad, med lagen om skydd av personuppgifter (nedan kallad skyddslagen) som huvudsaklig rättsakt.

J.  Japans regering antog den 12 juni 2018 ett regeringsbeslut där kommissionen för skydd av personuppgifter (nedan kallad skyddskommissionen), i egenskap av den myndighet som är behörig för handhavandet och genomförandet av skyddslagen, delegeras befogenhet att, på grundval av artikel 6 i skyddslagen, vidta nödvändiga åtgärder för att överbrygga skillnader i fråga om system och systemdrift mellan Japan och det berörda främmande landet, för att säkerställa en lämplig hantering av personuppgifter som mottagits från sistnämnda land. I beslutet stadgas att detta också innefattar befogenhet att skärpa skyddet, genom att skyddskommissionen antar striktare regler som kompletterar och går längre än de regler som fastställs i skyddslagen och i regeringsbeslutet. Enligt beslutet skulle dessa striktare regler bli bindande för och tillämpliga på japanska företagare.

K.  Utkastet till kommissionens genomförandebeslut om adekvat skydd av personuppgifter i Japan har försetts med en bilaga I med de kompletterande regler som antogs av skyddskommissionen den 15 juni 2018, utgående från artikel 6 i skyddslagen, som uttryckligen tillåter skyddskommissionen att anta striktare regler, också för att underlätta internationella uppgiftsöverföringar. De kompletterande reglerna är ännu inte officiellt tillgängliga.

L.  Dessa kompletterande regler skulle ha som ändamål att åtgärda relevanta skillnader mellan Japans och EU:s uppgiftsskyddslagstiftning för att säkerställa en lämplig hantering av personuppgifter som erhållits från EU på grundval av ett beslut om adekvat skyddsnivå, särskilt när det gäller personuppgifter som erfordrar särskild omsorg (”känsliga uppgifter”), lagrade personuppgifter, angivande av användningsändamål, begränsningar till följd av användningsändamål, begränsningar för tillhandahållandet till tredje part i främmande land samt anonymt behandlade uppgifter.

M.   De kompletterande reglerna skulle bli rättsligt bindande för alla företag som behandlar personuppgifter och tar emot personuppgifter som överförts från EU på grundval av ett beslut om adekvat skyddsnivå, och således måste rätta sig efter dessa regler och eventuella dithörande rättigheter och skyldigheter, och reglerna skulle kunna verkställas av både skyddskommissionen och Japans domstolar.

N.  För att säkerställa en väsentligen likvärdig skyddsnivå för personuppgifter som överförs från EU till Japan innefattar de kompletterande reglerna ytterligare skyddsåtgärder som ska tillämpas på grundval av striktare villkor eller begränsningar för bearbetningen av personuppgifter som överförts från EU, till exempel när det gäller personuppgifter som erfordrar särskild omsorg, samt vidareöverföring av uppgifter, anonyma uppgifter och ändamålsbegränsning.

O.  I Japans rättsliga ram för uppgiftsskydd görs det skillnad mellan ”personuppgifter” och ”persondata”, varjämte det i vissa fall hänvisas till en särskild uppgiftskategori för persondata, nämligen ”lagrade persondata”.

P.  Enligt artikel 2.1 i skyddslagen definieras begreppet ”personuppgifter” såsom alla uppgifter om en levande person som möjliggör identifiering av vederbörande. Definitionen skiljer på två kategorier av personuppgifter, nämligen (i) personliga identifikationskoder och (ii) andra personuppgifter som möjliggör identifiering av en viss person. Det sistnämnda slaget av uppgifter inbegriper sådana uppgifter som inte i sig möjliggör identifiering, men som ”lätt kan sammanställas” med andra uppgifter så att en viss person kan identifieras.

Q.  Enligt artikel 2.4 i skyddslagen avses med ”persondata” sådana personuppgifter som bildar en databas e. dyl. med personuppgifter. Artikel 2.1 i skyddslagen preciserar att informationen i sådana databaser arrangeras systematiskt, vilket liknar konceptet med ett register i enlighet med artikel 2.1 i allmänna dataskyddsförordningen. Enligt artikel 4.1 i allmänna dataskyddsförordningen avses med ”persondata” all information som avser en identifierad eller identifierbar fysisk person. En identifierbar fysisk person är en person som direkt eller indirekt kan identifieras, särskilt med hänvisning till en identifierare som ett namn, identifikationsnummer, en lokaliseringsuppgift, en onlineidentifikator eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. Vid fastställandet av om en fysisk person är identifierbar bör man beakta alla medel, som t.ex. utgallring, som, antingen av den personuppgiftsansvarige eller av en annan person, rimligen kan komma att användas för att direkt eller indirekt identifiera den fysiska personen.

R.  Enligt artikel 2.7 i skyddslagen avses med ”lagrade persondata” sådana personuppgifter som en företagare som behandlar personuppgifter får utlämna, korrigera, göra tillägg till eller radera innehållet i, samt upphöra att använda, radera eller upphöra att tillhandahålla till tredje part. Varken de uppgifter som enligt regeringsbeslut betecknats som sannolikt skadliga för allmänintresset eller andra intressen om det offentliggörs att de finns eller saknas, eller uppgifter som enligt regeringsbeslut ska raderas inom högst ett år får betecknas som lagrade persondata. De kompletterande reglerna anpassar begreppet ”lagrade persondata” till begreppet ”persondata” för att säkerställa att vissa begränsningar av enskildas rättigheter som hör ihop med det förstnämnda inte kommer att gälla för data som överförts från EU.

S.  Japans uppgiftsskyddslag, som behandlas i utkastet till genomförandebeslut, undantar från sitt tillämpningsområde ett flertal sektorer när dessa behandlar personuppgifter för särskilda ändamål. Utkastet till genomförandebeslut skulle inte gälla när personuppgifter överförs från EU till en mottagare som omfattas av något av de ovannämnda undantagen i Japans uppgiftsskyddslag.

T.  Om personuppgifter som kommit från EU till Japan vidareöverförs till ett tredjeland är det enligt utkastet till genomförandebeslut förbjudet att därvid använda sådana överföringsinstrument som inte skapar ett bindande förhållande mellan den japanska uppgiftsexportören och uppgiftsimportören i tredjelandet och inte garanterar erforderlig skyddsnivå. Detta skulle bli fallet till exempel med systemet för gränsöverskridande regler för integritetsskydd inom Ekonomiska samarbetet i Asien och Stillahavsområdet (Apec), i vilket Japan deltar, eftersom skyddet enligt det systemet inte följer av något bindande arrangemang mellan exportören och importören inom ramen för deras bilaterala förbindelser, och är märkbart lägre än vad som garanteras av skyddslagen tillsammans med de kompletterande reglerna.

U.  I sitt yttrande av den 5 december 2018 bedömer Europeiska dataskyddsstyrelsen, på grundval av den dokumentation som kommissionen har ställt till förfogande, huruvida den japanska rättsliga ramen för uppgiftsskydd ger tillräckliga garantier för en adekvat skyddsnivå för enskildas personuppgifter. Europeiska dataskyddsstyrelsen välkomnar de ansträngningar som gjorts av kommissionen och den japanska kommissionen för skydd av personuppgifter för att öka konvergensen mellan de japanska och europeiska rättsliga ramarna, för att underlätta överföringar av personuppgifter. Europeiska dataskyddsstyrelsen menar att de förbättringar som införts genom tilläggsreglerna för att överbrygga några av skillnaderna mellan de båda ramverken är mycket viktiga och tas emot väl. Dataskyddsstyrelsen noterar att ett antal farhågor kvarstår, till exempel avseende skyddet av personuppgifter som överförs från EU till Japan under hela deras livscykel, och rekommenderar att kommissionen lägger fram ytterligare bevis och förklaringar rörande de frågor som tas upp, och att den noga övervakar att bestämmelserna verkligen tillämpas.

V.  Utkastet till genomförandebeslut åtföljs också av en skrivelse från justitieministern av den 14 september 2018, där det hänvisas till ett dokument som sammanställts av justitieministeriet och ett flertal andra ministerier och byråer och som handlar om de japanska myndigheternas insamling och användning av personuppgifter för brottsbekämpning och nationell säkerhet, med en översikt av den gällande rättsliga ramen. I skrivelsen tillställs kommissionen officiella framställningar, försäkringar och åtaganden som undertecknats på högsta nivå i ministerierna och byråerna. Skrivelsen åtföljer utkastet till genomförandebeslut såsom bilaga II.

1.  Europaparlamentet tar del av kommissionens ingående analys i utkastet till genomförandebeslut om skyddsnivå av de skyddsåtgärder, också i form av mekanismer för tillsyn och rättslig prövning, som gäller både vid kommersiell behandling av uppgifter och för de japanska myndigheternas tillgång till uppgifter, särskilt med hänvisning till brottsbekämpning och den nationella säkerheten.

2.  Europaparlamentet noterar att Japan samtidigt också förbereder sig på att, i enlighet med artikel 23 i skyddslagen, erkänna skyddsnivån för personuppgifter som överförs från Japan till EU. Detta skulle utmynna i världens första ”tvåvägsbeslut” om adekvat skyddsnivå, vilket skulle leda till inrättandet av världens största område för fria och säkra uppgiftsflöden.

3.  Europaparlamentet välkomnar detta som ett uttryck för att en hög dataskyddsnivå håller på att spridas runt om i världen. Parlamentet påpekar dock att detta absolut inte får leda till någon ”lika-för-lika”-strategi i samband med EU:s beslut om adekvat skyddsnivå, och framhåller att kommissionen, inför varje sådant beslut med stöd av den allmänna dataskyddsförordningen, objektivt måste bedöma den juridiska och praktiska situationen i det ifrågavarande tredjelandet, territoriet, sektorn eller internationella organisationen.

4.  Europaparlamentet påpekar att domstolen har fastställt att begreppet ”adekvat skyddsnivå” inte kräver en skyddsnivå som är identisk med den skyddsnivå som garanteras i EU, utan måste förstås som att det krävs att detta tredjeland, genom sin interna lagstiftning eller på grund av de internationella förpliktelser som åligger landet, de facto säkerställer en nivå för skyddet av grundläggande fri- och rättigheter som är väsentligen likvärdig med den skyddsnivå som garanteras inom unionen enligt dataskyddsförordningen jämförd med stadgan.

5.  Europaparlamentet konstaterar att både Japan och EU har konstitutionella garantier för rätten till integritet och för skyddet av personuppgifter, men att EU:s och Japans bestämmelser inte kommer att kunna sammanjämkas fullständigt, på grund av skillnaderna i bägge parternas konstitutionella och kulturella strukturer.

6.  Europaparlamentet tar del av de ändringar av skyddslagen som trädde i kraft den 30 maj 2017, och välkomnar dem såsom betydande förbättringar.

7.  Europaparlamentet konstaterar att de kategorier av företags- och behandlingsverksamhet som inte ingår i det materiella tillämpningsområdet för den japanska lagen om skydd av personuppgifter uttryckligen har uteslutits från tillämpningsområdet för konstaterandet om en adekvat skyddsnivå.

8.  Europaparlamentet anser att Japans och EU:s system för uppgiftsskydd, efter att den ändrade skyddslagen och den allmänna dataskyddsförordningen antogs under 2016, är mycket snarlika i fråga om principer, skyddsåtgärder och enskildas rättigheter, liksom också när det gäller mekanismer för tillsyn och verkställighet. Parlamentet framhåller särskilt att skyddslagen i sin ändrade lydelse lett till inrättandet av en oberoende tillsynsmyndighet, nämligen skyddskommissionen.

9.  Europaparlamentet konstaterar dock att skyddskommissionen själv kommit fram till att det trots den höga graden av konvergens mellan de bägge systemen finns vissa relevanta skillnader. Parlamentet konstaterar också att skyddskommissionen den 15 juni 2018 antog de kompletterande reglerna för att erbjuda en högre skyddsnivå för personuppgifter som överförts från EU.

10.  Europaparlamentet välkomnar ett antal viktiga förtydliganden i de kompletterande reglerna, bland annat att skyddslagens begrepp ”anonymiserade personuppgifter” har anpassats till definitionen av ”anonyma uppgifter” i den allmänna dataskyddsförordningen.

11.  Europaparlamentet anser att det ytterligare skydd som de kompletterande reglerna ger endast berör överföringar med stöd av beslut om adekvat skyddsnivå. Parlamentet erinrar om att tillämpningsområdet för beslutet om adekvat skyddsnivå kommer att leda till att vissa överföringar av uppgifter kommer att göras med stöd av dessa övriga mekanismer som finns att tillgå.

12.  Europaparlamentet inser att det ytterligare skydd som det stadgas om i de kompletterande reglerna inskränker sig till personuppgifter som överförs från Europa, och därför ska företagare som samtidigt måste behandla både japanska och europeiska personuppgifter efterleva de kompletterande reglerna genom att säkerställa till exempel tekniska medel (”taggning”) eller organisatoriska medel (t.ex. lagring i en särskild databas) för att kunna identifiera sådana persondata under hela deras ”livscykel”. Parlamentet uppmanar kommissionen att övervaka situationen för att förhindra eventuella kryphål, varigenom företagarna skulle kunna kringgå de skyldigheter som föreskrivs i de kompletterande reglerna genom att överföra uppgifter via tredjeländer.

13.  Europaparlamentet konstaterar att skyddslagens definition av ”persondata” utesluter sådana uppgifter som med stöd av regeringsbeslut betecknats som föga sannolika att skada en enskild persons rättigheter och intressen med beaktande av hur de används. Parlamentet uppmanar med kraft kommissionen att bedöma huruvida detta skadebaserade tillvägagångssätt är förenligt med EU:s tillvägagångssätt, enligt vilket uppgiftsskyddslagstiftningen gäller för all behandling av personuppgifter. Parlamentet noterar emellertid att detta tillvägagångssätt skulle tillämpas i mycket få situationer.

14.  Europaparlamentet konstaterar dessutom att skyddslagen definierar ”personuppgifter” endast som uppgifter som kan användas för att identifiera en viss enskild person. Parlamentet konstaterar också att definitionen saknar den allmänna dataskyddsförordningens förtydligande om att personuppgifter också bör betraktas som persondata när de kan användas enbart för att ”utgallra” en person, såsom det klart fastslagits av domstolen.

15.  Europaparlamentet befarar att skyddslagens snävare definition av ”persondata” (på grundval av definitionen av ”personuppgifter”) kanske inte uppfyller kravet på ”väsentlig likvärdighet” med den allmänna dataskyddsförordningen och domstolens rättspraxis. Parlamentet ifrågasätter därför påståendet i utkastet till genomförandebeslut om att ”uppgifter från EU kommer enligt skyddslagen alltid att hänföras till kategorin ’persondata’”. Parlamentet uppmanar kommissionen att nära övervaka de praktiska konsekvenserna av de olika koncepten under tillämpningen av beslutet om adekvat skyddsnivå och dess periodiska utvärdering.

16.  Europaparlamentet uppmanar kommissionen att tillhandahålla ytterligare förtydliganden, och att om så krävs även begära ytterligare bindande kompletterande regler, från Japans myndigheter för att säkerställa att alla uppgifter som enligt den allmänna dataskyddsförordningen är personuppgifter skyddas vid överföring till Japan.

17.  Europaparlamentet konstaterar med oro att det varken i skyddslagen eller i skyddskommissionens riktlinjer finns några rättsföreskrifter om automatiserat beslutsfattande och profilering, till skillnad från vad som är fallet i unionslagstiftningen, och att Japan endast har vissa sektorsregler för detta, men inte någon omfattande och heltäckande rättslig ram med ett massivt och kraftfullt skydd mot automatiserat beslutsfattande och profilering. Parlamentet uppmanar kommissionen att påvisa hur detta åtgärdas i Japans uppgiftsskyddslagstiftning, för att därigenom säkerställa att en likvärdig skyddsnivå erbjuds. Parlamentet anser att detta är särskilt relevant mot bakgrund av det aktuella profileringsfallet Facebook/Cambridge Analytica.

18.  Europaparlamentet anser, mot bakgrund av Europeiska dataskyddsstyrelsens referensram för adekvat skyddsnivå, att det behövs ytterligare ingående förtydliganden av direktmarknadsföringen för att det ska kunna påvisas att Japan erbjuder en likvärdig nivå av skydd för personuppgifter, i och med att skyddslagen inte innehåller några föreskrifter om just detta.

19.  Europaparlamentet noterar yttrandet från Europeiska dataskyddsstyrelsen, där flera problem identifieras, såsom skyddet av personuppgifter som överförs från EU till Japan under hela deras livscykel. Parlamentet uppmanar kommissionen att på lämpligt sätt ta ställning till, och i genomförandebeslutet tillhandahålla, ytterligare bevis och förklaringar som visar att det finns lämpliga skyddsåtgärder.

20.  Europaparlamentet uppmanar kommissionen att klargöra huruvida, när det gäller vidareöverföringar, den lösning som erbjuds i de kompletterande reglerna och som består i att registrerade i EU på förhand måste samtycka till vidareöverföring till en tredje part i ett främmande land ändå saknar vissa väsentliga inslag för att de registrerade skulle kunna uttrycka sitt samtycke, eftersom där inte finns någon uttrycklig definition av vad som ingår i begreppet ”de upplysningar om omständigheterna kring överföringen vilka behövs för att den registrerade ska kunna fatta beslut om samtycke”, såsom det förutsätts i artikel 13 i den allmänna dataskyddsförordningen, exempelvis om till vilket tredjeland som vidareöverföringen ska göras. Parlamentet uppmanar dessutom kommissionen att klargöra vilka konsekvenser som blir aktuella om den registrerade vägrar samtycka till vidareöverföring av sina personuppgifter.

21.  Europaparlamentet beklagar, när det gäller det effektiva verkställandet av skyddslagen, att de böter som skulle kunna utdömas av de rättsvårdande myndigheterna inte är tillräckligt höga för att säkerställa att skyddslagen verkligen följs, eftersom de inte förefaller proportionerliga, effektiva eller avskräckande med beaktande av överträdelsens allvarsgrad. Parlamentet noterar dock att skyddslagen även föreskriver straffrättsliga påföljder, inbegripet fängelsestraff. Parlamentet uppmanar kommissionen att tillhandahålla information om hur straffavgifter och straffrättsliga påföljder faktiskt har använts tidigare.

22.  Europaparlamentet noterar att samtidigt som skyddskommissionen inte övervakar den brottsbekämpande sektorns behandling av uppgifter finns det andra tillsynsmekanismer, inbegripet tillsyn från den oberoende ”Prefectural Public Safety Commission”. Parlamentet konstaterar att Japans prövningsnämnd för utlämnande av information och skydd av personuppgifter också har vissa befogenheter på detta område, såsom att pröva åtkomstbegäranden och offentliggöra yttranden, men påpekar att dessa befogenheter inte är rättsligt bindande. Parlamentet välkomnar att EU och Japan har kommit överens om att upprätta en särskild mekanism för rättslig prövning som förvaltas och övervakas av skyddskommissionen, och som kommer att gälla för behandling av personuppgifter inom sektorerna för brottsbekämpning och nationell säkerhet.

23.  Europaparlamentet konstaterar att enligt Japans lag om skydd av personuppgifter hos förvaltningsorgan kan företagare också på ”frivillig väg” överlämna uppgifter till de brottsbekämpande myndigheterna. Parlamentet påpekar att det inte talas om något sådant i vare sig den allmänna dataskyddsförordningen eller i polisdirektivet, och uppmanar kommissionen att bedöma huruvida detta överensstämmer med principen om ”väsentlig likvärdighet” med den allmänna dataskyddsförordningen.

24.  Europaparlamentet känner till rapporterna i massmedier om Japans signalspaningsstyrelse som har omkring 1 700 anställda och minst sex övervakningsanläggningar, som dygnet runt avlyssnar telefonsamtal, e-post och andra kommunikationer(6). Parlamentet oroar sig över att denna urskillningslösa massövervakning inte ens finns omnämnd i utkastet till genomförandebeslut. Parlamentet uppmanar kommissionen att inhämta mer information om Japans massövervakning, och är djupt oroat över att denna massövervakning inte kommer att klara en prövning mot de kriterier som fastställts av domstolen i domen i målet Schrems (mål C-362/14).

25.  Europaparlamentet beklagar att dokumentet om de japanska myndigheternas insamling och användning av personuppgifter för brottsbekämpning och nationell säkerhet, som ingår i bilaga II till utkastet till genomförandebeslut, inte har samma rättsligt bindande verkan som de kompletterande reglerna.

Slutsatser

26.  Europaparlamentet uppmanar kommissionen att lägga fram fler bevis och förklaringar med anknytning till de ovannämnda frågeställningarna, inklusive dem som Europeiska dataskyddsstyrelsen tog upp i sitt yttrande av den 5 december 2018, för att påvisa att Japans rättsliga ram för uppgiftsskydd säkerställer en adekvat skyddsnivå som är väsentligen likvärdig med EU:s rättsliga ram för uppgiftsskydd.

27.  Europaparlamentet anser att detta beslut om adekvat skyddsnivå dessutom kan sända en kraftfull signal till länder runt om i världen om att konvergens med EU:s höga dataskyddsnivå för med sig högst påtagliga resultat. Parlamentet betonar här att detta beslut om adekvat skyddsnivå är ett viktigt prejudikat för framtida partnerskap med andra länder som antagit moderna lagar om uppgiftsskydd.

28.  Europaparlamentet uppmanar sitt utskott för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor att fortsätta att övervaka dels utvecklingen på detta område, däribland de mål som prövas av domstolen, dels uppföljningen av de rekommendationer som utfärdas i denna resolution.

o
o   o

29.  Europaparlamentet uppdrar åt talmannen att översända denna resolution till rådet, kommissionen, medlemsstaternas regeringar och parlament, Europeiska dataskyddsstyrelsen, Europeiska datatillsynsmannen, den kommitté som inrättats genom artikel 93.1 i den allmänna dataskyddsförordningen, Europarådet samt Japans regering.

(1) EUT L 119, 4.5.2016, s. 1. (2) ECLI:EU:C:2015:650. (3) ECLI:EU:C:2016:970. (4) EUT C 369, 11.10.2018, s. 22. (5) http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614108, som godkändes av Europeiska dataskyddsstyrelsen vid dess första plenarsammanträde. (6) Ryan Gallagher, The Untold Story of Japan’s Secret Spy Agency, i nyhetsbulletinen på internet The Intercept, den 19 maj 2018, https://theintercept.com/2018/05/19/japan-dfs-surveillance-agency/.