(1)

С Регламент (ЕС) 2016/679 се определят правилата за предаването на лични данни от администратори или обработващи лични данни в Европейския съюз на трети държави и международни организации, доколкото това предаване попада в неговото приложното поле. Правилата за международно предаване на лични данни са установени в глава V от посочения регламент, по-конкретно в членове 44—50. Движението на лични данни към и от държави извън Европейския съюз е необходимо за разширяването на международното сътрудничество и международната търговия, като в същото време се гарантира, че нивото на защита на личните данни в Европейския съюз не се излага на риск.

(2)

Съгласно член 45, параграф 3 от Регламент (ЕС) 2016/679 Комисията може да реши посредством акт за изпълнение, че дадена трета държава, територия или един или повече конкретни сектори в трета държава или дадена международна организация осигуряват адекватно ниво на защита. При това условие предаването на лични данни на тази трета държава, територия или международна организация може да се извършва, без да е необходимо допълнително разрешение, както е предвидено в член 45, параграф 1 и съображение 103 от Регламента.

(3)

Както е посочено в член 45, параграф 2 от Регламент (ЕС) 2016/679, приемането на решение относно адекватността трябва да се основава на цялостен анализ на правния ред на третата държава, що се отнася както до правилата, приложими към вносителите на данни, така и до ограниченията и гаранциите по отношение на достъпа до лични данни от страна на публичните органи. Оценката трябва да определи дали въпросната трета държава гарантира ниво на защита, което „по същество е равностойно“ на нивото, гарантирано в рамките на Европейския съюз (съображение 104 от Регламент (ЕС) 2016/679). Както бе изяснено от Съда на Европейския съюз, това не изисква идентично ниво на защита (2). По-специално средствата, до които третата въпросна държава прибягва, могат да са различни от тези, прилагани в Европейския съюз, стига те да се окажат на практика ефективни за гарантиране на високо ниво на защита (3). Поради това стандартът за адекватно ниво на защита не изисква буквално възпроизвеждане на правилата на Съюза. Критерият се състои по-скоро в това дали чрез същността на правата на неприкосновеност на личния живот и ефективното им изпълнение, контролиране и прилагане чуждестранната система като цяло осигурява необходимото ниво на защита (4).

(4)

Комисията анализира внимателно японското право и практиката по него. Въз основа на констатациите, изложени в съображения 6—175, Комисията заключава, че Япония осигурява адекватно ниво на защита на личните данни, предавани на организациите, които попадат в приложното поле на Закона за защита на личната информация (5) и спрямо които се прилагат допълнителните условия, посочени в настоящото решение. Тези условия са определени в Допълнителните правила (приложение I), приети от Комисията за защита на личната информация (КЗЛИ) (6), и официалните декларации, уверения и ангажименти от японското правителство пред Европейската комисия (приложение II).

(5)

Действието на настоящото решение се изразява в това, че предаването на лични данни от администратор или обработващ лични данни в Европейското икономическо пространство (ЕИП) (7) на такива организации в Япония може да се извършва, без да е необходимо получаването на допълнително разрешение. Настоящото решение не засяга прякото прилагане на Регламент (ЕС) 2016/679 спрямо такива организации, когато са изпълнени условията, посочени в член 3 от него.

(6)

Нормативната уредба на правото на неприкосновеност на личния живот и защита на данните в Япония има своите корени в Конституцията, обнародвана през 1946 г.

(7)

Член 13 от Конституцията гласи:

„Всички хора се зачитат като личности. Правото им на живот, свобода и стремеж към щастие, доколкото то не накърнява общественото благо, е върховно съображение при законодателството и при други държавни дейности.“

(8)

Въз основа на този член Върховният съд на Япония е изяснил правата на лицата по отношение на защитата на личната информация. С решение от 1969 г. той е признал правото на неприкосновеност на личния живот и на защита на личните данни за конституционно право (8). По-специално Съдът е постановил, че „всеки разполага със свободата да защитава своята лична информация от това тя да бъде разкрита на трета страна или да бъде направена обществено достояние без основателна причина.“ Освен това, в решение от 6 март 2008 г. („Juki-Net“) (9), Върховният съд постанови, че „свободата на гражданите в личния им живот трябва да бъде защитена срещу упражняването на публична власт и може да се направи тълкуването, че, наред с другите свободи в личния живот, всеки разполага със свободата да защитава своята лична информация от това тя да бъде разкрита на трета страна или да бъде направена обществено достояние без основателна причина.“ (10)

(9)

На 30 май 2003 г. Япония прие поредица от закони в областта на защитата на данните:

(10)

Последните два акта (изменени през 2016 г.) съдържат разпоредби, приложими към защитата на личната информация от страна на субекти от публичния сектор. Обработването на данни, попадащо в приложното поле на тези актове, не е предмет на констатацията за адекватност, съдържаща се в настоящото решение, която се ограничава до защитата на лична информация от страна на „стопански субекти, третиращи лична информация“ (ССТЛИ) по смисъла на ЗЗЛИ.

(11)

ЗЗЛИ беше реформиран през последните години. Измененият ЗЗЛИ беше обнародван на 9 септември 2015 г. и влезе в сила на 30 май 2017 г. С изменението бяха въведени редица нови гаранции и бяха засилени съществуващите гаранции, посредством което японската система за защита на данните бе сближена с европейската. Това включва например набор от приложими индивидуални права или създаването на независим надзорен орган (Комисията за защита на личната информация, КЗЛИ), отговарящ за прилагането на ЗЗЛИ и за надзора във връзка с него.

(12)

В допълнение към ЗЗЛИ обработването на лична информация, попадаща в приложното поле на настоящото решение, се урежда от правилата за прилагане, издадени въз основа на ЗЗЛИ. Те включват изменение на Постановлението на Министерския съвет за прилагане на Закона за защита на личната информация от 5 октомври 2016 г. и т.нар Правила за прилагане на Закона за защита на личната информация, приети от КЗЛИ (11). И двата набора от правила са правно обвързващи и приложими и влязоха в сила едновременно с изменения ЗЗЛИ.

(13)

Освен това на 28 октомври 2016 г. Министерския съвет на Япония (състоящ се от министър-председателя и министрите, влизащи в състава на неговото правителство) издаде „Основна политика“ за „всеобхватното и цялостното насърчаване на мерки относно защитата на личната информация“. В съответствие с член 7 от ЗЗЛИ „Основната политика“ се издава под формата на решение на Министерския съвет и включва насоки за политиката относно прилагането на ЗЗЛИ, адресирани както до централното правителство, така и до местните органи.

(14)

Наскоро с решение на Министерския съвет, прието на 12 юни 2018 г., японското правителство измени „Основната политика“. За да се улесни международното предаване на данни, с това решение на Министерския съвет на КЗЛИ като органа, компетентен за администрирането и прилагането на ЗЗЛИ, се делегира „правомощието да предприема необходимите действия за преодоляване на различията по отношение на системите и операциите между Япония и съответната чужда държава въз основа на член 6 от Закона с оглед на гарантиране на правилното третиране на лична информация, получена от тази държава“. Решението на Министерския съвет предвижда, че това включва правомощието за установяване на засилена защита чрез приемането от КЗЛИ на по-строги правила, които допълват и надхвърлят тези, определени в ЗЗЛИ и Постановлението на Министерския съвет. Съгласно посоченото решение тези по-строги правила са обвързващи и приложими спрямо японските стопански субекти.

(15)

Въз основа на член 6 от ЗЗЛИ и това решение на Министерския съвет КЗЛИ прие на 15 юни 2018 г.„Допълнителни правила съгласно Закона за защита на личната информация за третирането на лични данни, предадени от ЕС въз основа на решение относно адекватността“(„Допълнителните правила“) с оглед повишаване на защитата на личната информация, предавана от Европейския съюз към Япония въз основа на настоящото решение относно адекватността. Тези допълнителни правила са правно обвързващи за японските стопански субекти и тяхното спазване може да бъде осигурено както от КЗЛИ, така и от съдилищата, по същия начин като спазването на разпоредбите на ЗЗЛИ, който тези правила допълват с по-строги и/или по-подробни правила (12). Тъй като японските стопански субекти, получаващи и/или обработващи допълнително лични данни от Европейския съюз, ще бъдат правно задължени да спазват Допълнителните правила, те ще трябва да гарантират (напр. чрез технически средства („маркиране“) или организационни средства (съхраняване в специална база данни), че могат да идентифицират такива лични данни през целия си „жизнен цикъл“ (13). В следващите раздели съдържанието на всяко допълнително правило е предмет на анализ в рамките на оценката на членовете от ЗЗЛИ, които то допълва.

(16)

За разлика от времето преди изменението от 2015 г., когато това попадаше в компетентността на различни министерства на Япония в конкретни сектори, ЗЗЛИ оправомощава КЗЛИ да приема „насоки“„за да гарантира правилното и ефективно изпълнение на действията, които трябва да бъдат предприети от даден стопански субект“ съгласно правилата за защита на данните. Чрез своите насоки КЗЛИ дава официално тълкуване на тези правила, по-специално на ЗЗЛИ. Според информацията, получена от КЗЛИ, тези насоки представляват неразделна част от правната рамка и се четат заедно с текста на ЗЗЛИ, Постановлението на Министерския съвет, Правилата на КЗЛИ и набор от въпроси и отговори (14), изготвен от КЗЛИ. Следователно те са „обвързващи за стопанските субекти“. Когато в Насоките се посочва, че даден стопански оператор „трябва“ или „не следва“ да действа по определен начин, КЗЛИ ще счита, че неспазването на приложимите разпоредби представлява нарушение на закона (15).

(17)

Приложното поле на ЗЗЛИ се определя от установените понятия за лична информация, лични данни и стопански субект, третиращ лична информация. В същото време в ЗЗЛИ се предвиждат някои важни изключения от неговото приложно поле, най-вече за анонимно обработените лични данни и за специфични видове обработване на данни от страна на определени субекти. Макар че в ЗЗЛИ не се използва терминът „обработване“, този закон се позовава на равностойното понятие за „обработване“, което, съгласно информацията, получена от КЗЛИ, обхваща „всяко действие, отнасящо се до лични данни“, включително придобиването, въвеждането, натрупването, организирането, съхранението, редактирането/обработването, подновяването, заличаването, извеждането, използването или предоставянето на лична информация.

(18)

На първо място, що се отнася до неговото материално приложно поле, в ЗЗЛИ се прави разграничение между лична информация и лични данни, като само определени разпоредби на Закона се прилагат за първата категория. Съгласно член 2, параграф 1 от ЗЗЛИ понятието за „лична информация“ включва всяка информация, свързана с живо лице, която дава възможност за идентифициране на това лице. Определението разграничава две категории лична информация: i) индивидуални идентификационни кодове и ii) друга лична информация, чрез която определено лице може да бъде идентифицирано. Последната категория включва също информация, която сама по себе си не позволява извършването на идентифициране, но, когато „може лесно да бъде засечена“ с друга информация, дава възможност за идентифицирането на конкретно физическо лице. В съответствие с Насоките на КЗЛИ (16) преценката дали дадена информация може да се разглежда като информация, която „може лесно да бъде засечена“ се извършва за всеки отделен случай, като се взема предвид действителното положение („състояние“) на стопанския субект. Приема се, че информацията може лесно да бъде засечена, ако засичането се извършва (или може да бъде извършено) от средностатистически („нормален“) стопански субект, използващ средствата, намиращи се на неговото разположение. Например, информацията не „може лесно да бъде засечена“ с друга информация, ако даден стопански субект трябва да положи необичайни усилия или да извърши незаконни действия, за да получи информацията, която трябва да бъде засечена от един или повече други стопански субекти.

(19)

Само определени видове лична информация попадат в обхвата на понятието „лични данни“ съгласно ЗЗЛИ. Всъщност „лични данни“ се определя като „лична информация, представляваща база данни с лична информация, т.е. „общ набор от информация“, съдържащ лична информация, която е „организирана систематично така, че да е възможно търсене на конкретна лична информация с помощта на компютър“ (17) или „която съгласно постановление на Министерския съвет трябва да бъде систематично организирана така, че да е възможно лесно търсене на конкретна лична информация“, но „с изключение на тази, за която съгласно постановление на Министерския съвет има малка възможност да накърни правата и интересите на дадено лице, като се има предвид начина за нейното използване“ (18).

(20)

Това изключение е допълнително уредено в член 3, параграф 1 от Постановлението на Министерския съвет, съгласно което трите посочени по-долу условия трябва да бъдат изпълнени едновременно: i) общият набор от информация трябва да е бил „издаден с цел да бъде продаван на значителен брой неопределени лица и неговото издаване не трябва да е било осъществено в нарушение на законови разпоредби или на основани на тях подзаконови разпоредби“; ii) трябва да е възможно той да бъде „закупен по всяко време от значителен брой неопределени лица“ и iii) личните данни, съдържащи се в него трябва да бъдат „предоставени за свързаната с тях първоначална цел, без да се добавя друга информация, отнасяща се до живо лице“. Съгласно получените от КЗЛИ обяснения това тясно изключение е било въведено с цел да бъдат изключени телефонни указатели или подобни видове справочници.

(21)

За данните, събирани в Япония, това разграничение между „лична информация“ и „лични данни“ е от значение, тъй като е възможно такава информация не винаги да е част от „база данни с лична информация“ (например единен набор от данни, събрани и обработени ръчно) и следователно само тези разпоредби на ЗЗЛИ, които се отнасят единствено до лични данни, няма да се прилагат (19).

(22)

От друга страна, това разграничение няма да бъде от значение за личните данни, внесени от Европейския съюз в Япония въз основа на решение относно адекватното ниво на защита. Тъй като тези данни обикновено се предават по електронен път (предвид факта, че в цифровата ера това е обичайният начин за обмен на данни, особено на големи разстояния, като например между ЕС и Япония) и по този начин стават част от електронната регистрационна система на вносителя на данни, такива данни от ЕС ще попадат в категорията „лични данни“ съгласно ЗЗЛИ. В изключителни случаи, когато личните данни биха били предавани от ЕС по друг начин (напр. на хартиен носител), те ще продължават да бъдат обхванати от ЗЗЛИ, ако след прехвърлянето им те станат част от „общия набор от информация“, който е систематично организиран така, че да позволява лесно търсене на конкретна информация (член 2, параграф 4, подточка ii) от ЗЗЛИ). Съгласно член 3, параграф 2 от Постановлението на Министерския съвет, такъв е случаят, в който информацията е подредена „според определено правило“ и базата данни включва инструменти като съдържание или индекс, предназначени за улесняване на търсенето на данни. Това съответства на определението за „регистър с лични данни“ по смисъла на член 2, точка 1 от ОРЗД.

(23)

Някои разпоредби на ЗЗЛИ, по-конкретно членове 27—30, свързани с индивидуални права, се прилагат само за специална категория лични данни, а именно „запазени лични данни“. Тези данни са определени съгласно член 2, параграф 7 от ЗЗЛИ като лични данни, различни от тези, които или i) „съгласно постановление на Министерския съвет е възможно да накърнят обществения интерес или други интереси, ако тяхното наличие или отсъствие бъде оповестено“, или ii) „трябва да се заличат в срок не по-дълъг от една година, определен с постановление на Министерския съвет“.

(24)

Що се отнася до първата от тези две категории, тя е обяснена в член 4 от Постановлението на Министерския съвет и обхваща четири вида изключения (20). Тези изключения преследват подобни цели като тези, изброени в член 23, параграф 1 от Регламент (ЕС) 2016/679, а именно защитата на субекта на данни („засегнатото лице“ съгласно терминологията на ЗЗЛИ) и свободата на другите, националната сигурност, обществената сигурност, наказателното правоприлагане или други важни цели от широк обществен интерес. Освен това от текста на член 4, параграф 1, подточки i)-iv) от Постановлението на Министерския съвет произтича, че прилагането на тези изключения винаги предполага конкретен риск за един от защитените важни интереси (21).

(25)

Втората категория е допълнително уточнена в член 5 от Постановлението на Министерския съвет. Съгласно този член, във връзка с член 2, параграф 7 от ЗЗЛИ, от обхвата на понятието за запазени лични данни и по този начин от обхвата на индивидуалните права съгласно ЗЗЛИ са изключени тези лични данни, „които трябва да се заличат“ в срок от шест месеца. КЗЛИ обясни, че това изключение има за цел да насърчи стопанските субекти да запазват и обработват данни за възможно най-кратък срок. Това обаче би означавало, че субектите на данни от ЕС няма да могат да се ползват от важни права единствено поради продължителността на запазването на личните им данни от съответния стопански субект.

(26)

За да се коригира това положение, Допълнително правило 2 изисква личните данни, предавани от Европейския съюз „да се третират като запазени лични данни по смисъла на член 2, параграф 7 от Закона, независимо от срока, в който те трябва да бъдат заличени“. Следователно срокът на запазване не оказва въздействие върху правата, предоставени на субектите на данни от ЕС.

(27)

Изискванията, приложими за анонимно обработена лична информация по смисъла на определението в член 2, параграф 9 от ЗЗЛИ, са предвидени в глава 2, раздел 4 от Закона („Задължения на стопански субект, третиращ анонимно обработена информация“). Обратно, тази информация не се урежда от разпоредбите на глава IV, раздел 1 от ЗЗЛИ, включващ членовете, в които са предвидени гаранциите за защита на данните и правата, които се прилагат за обработването на лични данни съгласно този закон. Следователно, въпреки че „стандартните“ правила за защита на данните (тези, съдържащи се в глава IV, раздел 1 и член 42 от ЗЗЛИ) не се прилагат спрямо „анонимно обработена лична информация“, тя попада в приложното поле на ЗЗЛИ, а именно членове 36—39.

(28)

Съгласно член 2, параграф 9 от ЗЗЛИ „анонимно обработена лична информация“ е информация, свързана с дадено лице, която е „получена от обработването на лична информация“ посредством мерки, предписани в ЗЗЛИ (член 36, параграф 1) и подробно уредени в правилата на КЗЛИ (член 19), в резултат на което е невъзможно да се идентифицира конкретно лице или да се възстанови личната информация.

(29)

От тези разпоредби следва заключението, което беше потвърдено и от КЗЛИ, че процесът на „анонимизиране“ на лична информация не трябва да бъде технически необратим. Съгласно член 36, параграф 2 от ЗЗЛИ стопанските субекти, третиращи „анонимно обработена лична информация“ трябва единствено да предотвратяват повторна идентификация, като предприемат мерки за гарантиране на сигурността на „описанията и т.н. и индивидуалните идентификационни кодове, заличени от личната информация, използвана за изготвянето на анонимно обработена информация, както и на информацията, свързана с прилагането на даден метод на обработване“.

(30)

Като се има предвид, че „анонимно обработена лична информация“ съгласно определението в ЗЗЛИ включва данни, посредством които повторно идентифициране на лицето все още е възможно, това би могло да означава, че лични данни, които се предават от Европейския съюз, е възможно да загубят част от наличната защита в резултат от процес, който съгласно Регламент (ЕС) 2016/679 би се считал за форма на „псевдонимизация“, а не за „анонимизация“ (и който следователно не променя характера им на лични данни).

(31)

За се коригира това положение, в Допълнителните правила се предвиждат допълнителни изисквания, приложими само по отношение на личните данни, предавани от Европейския съюз съгласно настоящото решение. Съгласно Правило 5 от Допълнителните правила такава лична информация се счита за анонимно обработена лична информация по смисъла на ЗЗЛИ само „ако стопанският субект, третиращ лична информация, предприеме мерки, посредством които анонимизирането на лицето става необратимо за всеки, включително заличаването на информация, отнасяща се до метода на обработване.“ Последната информация е определена в Допълнителните правила като информация, отнасяща се до индивидуалните идентификационни кодове, които са били заличени от личната информация, използвана за изготвянето на „анонимно обработена лична информация“, както и като информация, отнасяща се до метод на обработване, приложен при заличаването на тези описания и индивидуални идентификационни кодове. С други думи Допълнителните правила изискват стопанският субект, изготвящ анонимно обработена лична информация, да унищожи „ключа“, позволяващ повторно идентифициране на данните. Това означава, че лични данни с произход от Европейския съюз ще попаднат в обхвата на разпоредбите на ЗЗЛИ относно „анонимно обработена лична информация“ само в случаите, когато тези данни също биха били считани за анонимна информация съгласно Регламент (ЕС) 2016/679 (22).

(32)

Що се отнася до неговото персонално приложно поле, ЗЗЛИ се прилага само по отношение на ССТЛИ. ССТЛИ е определен в член 2, параграф 5 от ЗЗЛИ като „лице, което предоставя база данни с лична информация и т.н. за употреба в рамките на дадена дейност“, с изключение на правителството и административните агенции както на централно, така и на местно равнище.

(33)

В съответствие с Насоките на КЗЛИ „дейност“ означава „поведение, което има за цел повтаряемо и трайно осъществяване с определена цел, независимо дали тази цел е стопанска или не, на социално признато начинание“. Организации без правосубектност (като например фактически сдружения) или физически лица се считат за ССТЛИ, ако предоставят (използват) база данни с лични данни и т.н. за своята дейност (23). Следователно обхватът на понятието „дейност“ съгласно ЗЗЛИ е много широк, тъй като включва не само дейности със стопанска цел, но и дейности с нестопанска цел на всякакви видове организации и физически лица. Освен това „употреба в рамките на дадена дейност“ обхваща също така лична информация, която не се употребява във търговски отношения на стопанския субект (външни отношения), а вътрешно, например за обработване на данни на служители.

(34)

Що се отнася до лицата, ползващи се от защитата, предвидена в ЗЗЛИ, Законът не прави разграничение въз основа на гражданството, местожителството или местонахождението на лицето. Същото се отнася и за възможностите, предоставени на лицата да търсят защита, било то от КЗЛИ, било то от съдилищата.

(35)

Съгласно ЗЗЛИ няма конкретно разграничение между задълженията, възложени на администраторите и обработващите лични данни. Липсата на това разграничение не засяга нивото на защита, защото всички разпоредби на Закона се прилагат по отношение на всички ССТЛИ. ССТЛИ, който възлага третирането на лични данни на довереник (еквивалента на обработващ лични данни съгласно ОРЗД), продължава да е обвързан от задълженията съгласно ЗЗЛИ и Допълнителните правила във връзка с данните, чието третиране той е възложил на довереника. Освен това съгласно член 22 от ЗЗЛИ той е длъжен да „упражнява необходим и подходящ надзор“ върху довереника. На свой ред, както КЗЛИ потвърждава, довереникът е обвързан от всички задължения съгласно ЗЗЛИ и Допълнителните правила.

(36)

Съгласно член 76 от ЗЗЛИ определени видове обработване на данни са изключени от прилагането на глава IV на Закона, която съдържа основните разпоредби за защита на данните (основни принципи, задължения на стопанските субекти, индивидуални права, надзор от страна на КЗЛИ). Спрямо обработването, попадащо в приложното поле на секторното изключение в член 76, също така не се прилагат правомощията на КЗЛИ за правоприлагане съгласно, в съответствие с член 43, параграф 2 от ЗЗЛИ (24).

(37)

Съответните категории за секторното изключение в член 76 от ЗЗЛИ са определени посредством използването на двоен критерий, основаващ се на вида ССТЛИ, обработващ личната информация, и целта на обработването. По-конкретно изключението се прилага за: i) радио- и телевизионни оператори, издатели на вестници, комуникационни агенции или други организации на пресата (включително всички лица, които упражняват дейност, свързана с пресата), доколкото те обработват лична информация за целите на пресата; ii) лица, които по занятие упражняват писателска дейност, доколкото тя засяга лична информация; iii) университети и други организации или групи, които имат за цел извършването на академични проучвания, или лица, принадлежащи към тези организации, доколкото те обработват лична информация за целите на академични проучвания; iv) религиозни организации, доколкото те обработват лична информация за целите на религиозни дейности (включително всички свързани дейности); и v) политически организации, доколкото те обработват лична информация за целите на тяхната политическа дейност (включително всички свързани дейности). Спрямо обработването на лична информация за една от целите, изброени в член 76, от страна на други видове ССТЛИ, както и спрямо обработването на лична информация от страна на един от изброените ССТЛИ за други цели, например в работен контекст, продължават да се прилагат разпоредбите на глава IV.

(38)

За да се гарантира адекватно ниво на защита на личните данни, предавани от Европейския съюз на стопански субекти в Япония, само обработването на лична информация, попадаща в приложното поле на глава IV от ЗЗЛИ — т.е. обработване от ССТЛИ, доколкото случаят на обработване не попада в едно от секторните изключения — следва да бъде обхванато от настоящото решение. Следователно обхватът му трябва да бъде приведен в съответствие с този на ЗЗЛИ. Съгласно информацията, получена от КЗЛИ, случаят, в който даден ССТЛИ, попадащ в приложното поле на настоящото решение, впоследствие промени целта на употреба (доколкото това е позволено) и след това спрямо него бъде приложено едно от секторните изключения по член 76 от ЗЗЛИ, ще се счита за международно предаване на данни (като се има предвид, че в такива случаи глава IV от ЗЗЛИ повече няма да се прилага спрямо обработването на лична информация и поради това съответното обработване ще попада извън нейното приложно поле). Същото ще важи и в случая, в който ССТЛИ предоставя лична информация на субект, попадащ в приложното поле на член 76 от ЗЗЛИ, за употреба за една от целите на обработването, посочени в тази разпоредба. По отношение на личните данни, предавани от Европейския съюз, това следователно би представлявало последващо предаване на данни, по отношение на което се прилагат съответните гаранции (по-специално посочените в член 24 от ЗЗЛИ и Допълнително правило 4). Когато ССТЛИ разчита на съгласието на субекта на данните (25), той ще трябва да му предостави цялата необходима информация, включително информация за това, че личната информация повече няма да бъде защитена съгласно ЗЗЛИ.

(39)

Личните данни следва да се обработват с конкретна цел и впоследствие да се използват само дотолкова, доколкото употребата им не е несъвместима с целта на обработването. Този принцип за защита на данните е гарантиран по силата на членове 15 и 16 от ЗЗЛИ.

(40)

ЗЗЛИ се основава на принципа, че стопанските субекти трябва да посочват целта на употребата „по възможно най-ясен начин“ (член 15, параграф 1) и впоследствие са обвързани с тази цел при обработването на данните.

(41)

В това отношение член 15, параграф 2 от ЗЗЛИ предвижда, че първоначалната цел не трябва да се променя от ССТЛИ „отвъд степента, за която е признато, че е разумно свързана с целта на употребата преди извършването на промяната“, като тази степен се тълкува в Насоките на КЗЛИ за съответстваща на това, което може да бъде обективно очаквано от субекта на данни въз основа на „нормалните социални конвенции“ (26).

(42)

Освен това съгласно член 16, параграф 1 от ЗЗЛИ на ССТЛИ е забранено да третират лична информация в „степен, надхвърляща необходимото за постигане целта на употреба“, посочена в член 15, без да получат предварително съгласието на субекта на данни, освен ако е приложимо някое от изключенията по член 16, параграф 3 (27).

(43)

Когато става въпрос за лична информация, получена от друг стопански субект, ССТЛИ по принцип разполага със свободата да определи нова цел на употреба (28). С цел да се гарантира, че в случай на предаване на данни от Европейския съюз получателят на данните е обвързан с целта, за която данните са били предадени, Допълнително правило 3 изисква, че в случаите, „когато [ССТЛИ] получава лични данни от ЕС въз основа на решение относно адекватното ниво на защита“ или такъв стопански субект получава от друг [ССТЛИ] лични данни, които преди това са били предадени от ЕС въз основа на решение относно адекватното ниво на защита“ (последващо споделяне), получателят трябва да „посочи, че въпросните лични данни се употребяват в рамките на целта на употреба, във връзка с която данните първоначално или впоследствие са били получени“. С други думи, правилото гарантира, че в контекста на дадено предаване целта, посочена съгласно Регламент (ЕС) 2016/679, продължава да определя обработването и че една промяна на целта на всеки етап от веригата на обработване в Япония ще изисква съгласието на субекта на данни от ЕС. Получаването на това съгласие изисква обаче ССТЛИ да установи контакт със субекта на данните и в случаите, когато това не е възможно, последицата от това е просто, че първоначалната цел трябва да се запази.

(44)

Допълнителната защита, посочена в съображение 43, е от още по-голямо значение, тъй като именно чрез принципа за ограничаване в рамките на целта японските система също гарантира, че личните данни се обработват законосъобразно и добросъвестно.

(45)

Съгласно ЗЗЛИ, когато ССТЛИ събира лична информация, той е длъжен да посочи подробно (29) целта на употреба на личната информация и своевременно да информира субекта на данни за тази цел на употреба (или да оповести публично тази цел) (30). Освен това член 17 от ЗЗЛИ предвижда, че ССТЛИ не може да придобива лична информация чрез измама или други непозволени средства. Що се отнася до определени категории данни, като например лична информация, изискваща специална грижа, за придобиването им е необходимо съгласието на субекта на данни (член 17, параграф 2 от ЗЗЛИ).

(46)

Поради това, както бе обяснено в съображения 41 и 42, на ССТЛИ е забранено да обработва лични данни за други цели, с изключение на случаите, когато субектът на данните да е дал съгласието си за такова обработване или когато се прилага една от дерогациите съгласно член 16, параграф 3 от ЗЗЛИ.

(47)

Накрая, що се отнася до по-нататъшното предоставяне на лична информация на трета страна (31), член 23, параграф 1 от ЗЗЛИ ограничава такова разкриване до специфични случаи, в които по правило се изисква предварителното съгласие на субекта на данни (32). В член 23, параграфи 2, 3 и 4 от ЗЗЛИ са предвидени изключения от изискването за получаване на съгласие. Тези изключения обаче са приложими само по отношение на нечувствителни данни и изискват стопанският субект да уведоми предварително засегнатите лица за намерението си да разкрие тяхната лична информация на трета страна и за възможността да възразят срещу всякакво по-нататъшно разкриване (33).

(48)

При предаване на данни от Европейския съюз личните данни по необходимост първо се събират и обработват в ЕС в съответствие с Регламент (ЕС) 2016/679. Това винаги ще включва, от една страна, събиране и обработване на лични данни, включително за предаване от Европейския съюз към Япония, на едно от правните основания, изброени в член 6, параграф 1 от Регламента, и от друга страна, събирането на данни за конкретна, изрично указана и законна цел, както и забраната за по-нататъшно обработване, включително чрез предаване, по начин, който е несъвместим с тази цел, както е предвидено в член 5, параграф 1, буква б) и член 6, параграф 4 от Регламента.

(49)

Съгласно Допълнително правило 3 след предаването ССТЛИ, който получава данните, трябва да „потвърди“, конкретната/конкретните цел(и) в основата на предаването (т.е. целта или целите, посочени съгласно Регламент (ЕС) 2016/679) и да извърши по-нататъшно обработване на тези данни в съответствие с тази цел или тези цели (34). Това означава че, не само този, който първоначално придобива тези лични данни в Япония, но и всеки бъдещ получател на данните (включително довереник) е обвързан с целта или целите, посочени в Регламента.

(50)

Освен това, в случай че ССТЛИ желае да промени целта, посочена предварително съгласно Регламент (ЕС) 2016/679, в съответствие с член 16, параграф 1 от ЗЗЛИ той трябва да получи по принцип съгласието на субекта на данни. Без това съгласие всяко обработване на данни отвъд степента, необходима за постигането на целта на употребата, би представлявало нарушение на член 16, параграф 1, което би могло да бъде предмет на произнасяне от КЗЛИ и съдилищата.

(51)

Ето защо, като се има предвид, че съгласно Регламент (ЕС) 2016/679 за предаването се изискват валидно правно основание и конкретна цел, които са отразени в целта на употреба, „потвърдена“ съгласно ЗЗЛИ, комбинацията от съответните разпоредби на ЗЗЛИ и на Допълнително правило 3 гарантира непрекъснатата законосъобразност на обработването на данни от ЕС в Япония.

(52)

Данните следва да бъдат точни и при необходимост редовно да се актуализират. Данните следва да са подходящи, релевантни и да не превишават по обем необходимото във връзка с целите, за които се обработват.

(53)

Тези принципи са гарантирани в японското право от член 16, параграф 1 от ЗЗЛИ, който забранява обработването на лични данни отвъд „степента, необходима за постигане на целта на употреба“. Както беше обяснено от КЗЛИ, това не само изключва използването на данни, които са неподходящи, и прекомерното използване на данни (отвъд степента, необходима за постигане целта на употреба), но също така обхваща забраната за обработване на данни, които не са релевантни за постигането на целта на употреба.

(54)

Що се отнася до задължението за поддържане на точността и актуалността на данните, член 19 от ЗЗЛИ изисква от ССТЛИ да „се стреми да поддържа точността и актуалността на личните данни в степента, необходима за постигане на целта на употреба“. Тази разпоредба следва да се чете заедно с член 16, параграф 1 от ЗЗЛИ: съгласно обясненията, получени от КЗЛИ, ако ССТЛИ не спази предписаните стандарти за точност, обработването на лична информация няма да се счита за постигащо целта на употреба и следователно нейното обработване ще стане незаконно съгласно член 16, параграф 1.

(55)

По принцип данните следва да се съхраняват не повече от необходимото за целите, за които личните данни се обработват.

(56)

Съгласно член 19 от ЗЗЛИ ССТЛИ имат задължение да „се стремят […] да заличават личните данни незабавно, когато тази употреба повече не е нужна“. Тази разпоредба е необходимо да се чете във връзка с член 16, параграф 1 от ЗЗЛИ, съдържащ забрана за третирането на лични данни отвъд „степента, необходима за постигане на целта на употреба“. След като бъде постигната целта на употреба, обработването на лична информация не може да се счита за необходимо и следователно не може да продължи (освен ако ССТЛИ получи съгласието на субекта на данни за продължаване на обработването).

(57)

Личните данни следва да се обработват по начин, който гарантира тяхната сигурност, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане. За тази цел стопанските субекти следва да предприемат подходящи технически и организационни мерки за защита на личните данни от възможни заплахи. Тези мерки следва да се оценяват, като се вземат предвид достиженията на техническия прогрес и съответните разходи.

(58)

Този принцип е въведен в японското право с член 20 от ЗЗЛИ, предвиждащ, че ССТЛИ „предприема необходими и подходящи действия за контрола върху сигурността на личните данни, включително за предотвратяването на изтичане, загуба или увреждане на обработените от него данни.“ В Насоките на КЗЛИ се обясняват мерките, които трябва да бъдат взети, включително методите за формулиране на основни политики, правилата за третиране на данни и различните „действия за контрол“ (по отношение на организационната безопасност, както и по отношение на човешката, физическата и технологичната сигурност) (35). Освен това Насоките и специално известие (Допълнение 8 относно „съдържанието на мерките за управление на безопасността, които трябва да бъдат взети“), публикувано от КЗЛИ, предоставят по-подробна информация относно мерките по отношение на инциденти във връзка със сигурността, включващи например изтичане на лична информация, като част от мерките за управление на сигурността, които трябва да бъдат взети от ССТЛИ (36).

(59)

Освен това, когато личната информация се обработва от служители или подизпълнители, съгласно членове 20 и 21 от ЗЗЛИ трябва да се осигури „необходим и подходящ надзор“ за целите на контрола за сигурност. Накрая, съгласно член 83 на ЗЗЛИ, умишлено предизвиканото изтичане на лична информация или кражбата на такава информация се наказва с лишаване от свобода до една година.

(60)

Субектите на данни следва да бъдат информирани за основните характеристики на обработването на техните лични данни.

(61)

Член 18, параграф 1 от ЗЗЛИ изисква от ССТЛИ да предоставя на разположение на субекта на данни информация относно целта на употреба на придобитата лична информация, освен в „случаите, в които целта на употреба е била разкрита предварително на обществеността“. Същото задължение важи в случай на разрешена промяна на целта (член 18, параграф 3). Това също гарантира, че субектът на данни е информиран за факта, че негови данни са били събрани. Въпреки че съгласно ЗЗЛИ от ССТЛИ обикновено не се изисква да информира субекта на данни за очакваните получатели на лична информация на етапа на събирането, такава информация е необходима предпоставка за всяко последващо разкриване на информация на трета страна (получател) въз основа на член 23, параграф 2, т.е. когато това се извършва без предварително съгласие на субекта на данни.

(62)

По отношение на „запазени лични данни“ член 27 от ЗЗЛИ предвижда, че ССТЛИ предоставя характеризираща го информация на субекта на данни (данни за контакт), а така също и информация относно целта на употреба и процедурите за отговор на искане във връзка с индивидуалните права на субекта на данни съгласно членове 28, 29 и 30 от ЗЗЛИ.

(63)

Предвид обстоятелството, че лични данни, предавани от Европейския съюз, ще бъдат считани за „запазени лични данни“ независимо от техния срок на запазване (освен ако не попадат в приложното поле на някое изключение), спрямо тях ще се прилагат изискванията за прозрачност, съдържащи се в двете посочени разпоредби.

(64)

Както по отношение на изискванията на член 18, така и по отношение на задължението за предоставяне на информация за целта на употреба съгласно член 27 ЗЗЛИ се прилага същият набор от изключения, основаващи се главно на съображения от обществен интерес и на защитата на правата и интересите на субекта на данни, на трети страни и на администратора (37). Съгласно тълкуването, развито в Насоките на КЗЛИ, тези изключения се прилагат в много специфични случаи, например когато има риск информацията за целта на употреба да отслаби действието на законни мерки, взети от стопанския субект за защита на определени интереси (като борба срещу измамите, промишления шпионаж и саботажа).

(65)

Когато се обработват „специални категории данни“, следва да има специфични гаранции.

(66)

Определението за „лична информация, изискваща специална грижа“ се съдържа в член 2, параграф 3 от ЗЗЛИ. Тази разпоредба се отнася до „лична информация, която е свързана с расата, убежденията, социалния статус, медицинското досие, съдебното досие, факта, че са претърпени вреди в резултат от престъпление, или други описания на засегнатото лице и която съгласно постановление на Министерския съвет е определена като информация, чието третиране изисква специална грижа с цел засегнатото лице да не бъде подложено на несправедлива дискриминация, предразсъдъци или други неблагоприятни последици“. Тези категории съответстват в голямата си част на списъка на чувствителни данни съгласно членове 9 и 10 от Регламент (ЕС) 2016/679. По-специално „медицинско досие“ съответства на „данни за здравословното състояние“, а „съдебното досие и факта, че са претърпени вреди в резултат от престъпление“ са по същество същите като категориите данни, посочени в член 10 от Регламент (ЕС) 2016/679. На категориите, посочени в член 2, параграф 3 от ЗЗЛИ, е дадено допълнително тълкуване в Постановлението на Министерския съвет и Насоките на КЗЛИ. Съгласно раздел 2.3, точка 8 от Насоките на КЗЛИ., подкатегориите на „медицинско досие“, изложени подробно в член 2, подточки ii) и iii) от Постановлението на Министерския съвет се тълкуват като обхващащи генетични и биометрични данни. Също така, макар че списъкът не включва изрично термините „етнически произход“ и „политически възгледи“, той включва препратки към „раса“ и „убеждения“. Както е обяснено в раздел 2.3, точки 1 и 2 от Насоките на КЗЛИ, препратката към „раса“ обхваща „етнически връзки или връзки с определена част на света“, а „убеждения“ се разбира, че включва както религиозни, така и политически възгледи.

(67)

Както е видно от текста на разпоредбата, този списък не е изчерпателен, тъй като може да се добавят допълнителни категории данни, ако тяхното обработване поражда риск от това „засегнатото лице да […] бъде подложено на несправедлива дискриминация, предразсъдъци или други неблагоприятни последици“.

(68)

Въпреки че понятието „чувствителни данни“ по своята същност е социална конструкция, тъй като се основава на културните и правни традиции, моралните съображения, избора на политики и т.н. на дадено общество, предвид значението на осигуряването на адекватни гаранции за чувствителните данни при предаването им към стопански субекти в Япония, Комисията постигна разпростирането на специалната защита, предоставена за „лична информация, изискваща специална грижа“ съгласно японското право, върху всички категории данни, признати за „чувствителни данни“ в Регламент (ЕС) 2016/679. За тази цел Допълнително правило 1 предвижда, че данните, предавани от Европейския съюз и отнасящи до сексуалния живот, сексуалната ориентация или членството в синдикална организация на дадено лице, се обработват от ССТЛИ „по същия начин както лична информация, изискваща специална грижа по смисъла на член 2, параграф 3 от [ЗЗЛИ]“.

(69)

Що се отнася до допълнителните материалноправни гаранции, приложими към личната информация, изискваща специална грижа, съгласно член 17, параграф 2 от ЗЗЛИ ССТЛИ нямат право да придобиват такъв тип данни без предварителното съгласие на засегнатото лице, като от това правило има само малък брой изключения (38). Освен това тази категория лична информация е изключена от възможността за разкриване на лична информация на трети страни въз основа на процедурата, предвидена в член 23, параграф 2 от ЗЗЛИ (позволяваща предаване на данни на трети страни без предварителното съгласие на засегнатото лице).

(70)

Съгласно принципа на отчетност субектите, които обработват данни, са задължени да въведат подходящи технически и организационни мерки за ефективно спазване на техните задължения за защита на данните и да са в състояние да докажат това спазване, по-специално пред компетентния надзорен орган.

(71)

Както бе посочено в забележка под линия 34 (съображение 49), съгласно член 26, параграф 1 от ЗЗЛИ ССТЛИ са задължени да проверят коя е третата страна, която им предоставя лични данни, както и „обстоятелствата“, при които такива данни са били придобити от трета страна (в случая на лични данни, попадащи в приложното поле на настоящото решение, съгласно ЗЗЛИ и Допълнително правило 3 тези обстоятелства включват факта, че данните произхождат от Европейския съюз, както и целта на първоначалното предаване на данни). Наред с другото тази мярка има за цел да гарантира законността на обработването на данните по цялата верига от ССТЛИ, третиращи личните данни. Освен това, съгласно член 26, параграф 3 от ЗЗЛИ, ССТЛИ са задължени да пазят запис на датата на получаване и (задължителната) информация, получена от третата страна в съответствие с параграф 1, както и името на засегнатото лице (субекта на данни), категориите обработвани данни и, доколкото е уместно, обстоятелството, че субекта на данни е дал съгласието си за предаване на негови лични данни. Съгласно член 18 от Правилата на КЗЛИ тези записи трябва да се съхраняват за минимален срок от една до три години в зависимост от обстоятелствата. При изпълнението на своите задачи КЗЛИ може да изисква представянето на такива записи (39).

(72)

ССТЛИ трябва своевременно и надлежно да разглеждат жалбите от засегнатите лица относно обработването на тяхната лична информация. За да се улесни разглеждането на жалбите, те трябва да установяват „система, необходима за постигането на [тази] цел“, което предполага, че те следва да въведат подходящи процедури в рамките на своята организация (например да възложат отговорности или да определят звено за контакт).

(73)

На последно място, ЗЗЛИ създава рамка за участието на секторни браншови организации в осигуряването на високо равнище на съответствие (вж. глава IV, раздел 4). Ролята на такива акредитирани организации за защита на личната информация (40) е да насърчават защитата на личната информация, като подпомагат предприятията чрез своя експертен опит, но също така и да допринасят за прилагането на гаранции, по-специално като разглеждат индивидуални жалби и помагат за разрешаването на свързаните с тях спорове. За тази цел те могат да поискат от участващите ССТЛИ, ако е целесъобразно, да приемат необходимите мерки (41). Освен това, в случай на нарушения на защитата на данните или други инциденти, свързани със сигурността, ССТЛИ по принцип трябва да информират КЗЛИ, както и субекта на данни (или обществеността), и да предприемат необходимите действия, включително мерки за свеждане до минимум на евентуалните вреди и за предотвратяване на повторното възникване на подобни инциденти (42). Въпреки че това са доброволни схеми, към 10 август 2017 г. 44 организации бяха записани в КЗЛИ, като само в най-голямата от тях, Японския център за обработване на информация и информационно развитие (ЯЦОИИР), участват 15 436 стопански субекта (43). Акредитираните схеми включват секторни асоциации, като например Японската асоциация на търговците на ценни книжа, Японската асоциация на училищата за водачи на автомобили или Асоциацията на брачните посредници (44).

(74)

Акредитираните организации за защита на личната информация представят годишни доклади относно своите дейности. Според „Прегледа на степента на изпълнение [на] ЗЗЛИ през финансовата 2015 г.“, публикуван от КЗЛИ, акредитираните организации за защита на личната информация са получили общо 442 жалби, изискали са 123 обяснения от стопански субекти в своята област на компетентност, изискали са документи от тези субекти в 41 случая, дали са 181 указания и са отправили две препоръки (45).

(75)

Равнището на защита на личните данни, което се осигурява за данните, предавани от Европейския съюз към стопански субекти в Япония, не трябва да бъде подкопавано от по-нататъшното предаване на тези данни към получатели в трета държава извън Япония. Подобни „последващи предавания“, които от гледна точка на японските стопански субекти представляват международни предавания от Япония, следва да бъдат разрешавани само когато новият получател извън Япония сам по себе си е подчинен на правила, гарантиращи сходно ниво на защита, като това в правния ред на Япония.

(76)

Първи тип закрила е заложен в член 24 от ЗЗЛИ, с който по принцип се забранява предаването на лични данни на трети страни извън територията на Япония без предварителното съгласие на съответното лице. Допълнително правило 4 гарантира, че в случай на предаване на данни от Европейския съюз такова съгласие се дава след предоставянето на съществен обем информация, тъй като се изисква на засегнатите лица „да се предоставя информация относно обстоятелствата около предаването, необходими на засегнатото лице, за да вземе решение относно своето съгласие“. На това основание на субекта на данни се предоставя информация, че данните ще бъдат предадени в чужбина (извън приложното поле на ЗЗЛИ), и информация за конкретната държава на местоназначение. Това ще му даде възможност да оцени риска за неприкосновеността на личния му живот, свързан с предаването. Освен това, както може да се заключи от член 23 от ЗЗЛИ (вж. съображение 47), информацията, която се предоставя на засегнатото лице, следва да обхваща задължителните елементи съгласно параграф 2, а именно категориите лични данни, предоставяни на трета страна, и начина на разкриване.

(77)

Член 24 от ЗЗЛИ, прилаган във връзка с член 11-2 от правилата на КЗЛИ, предвижда няколко изключения от това правило за предоставяне на съгласие. Освен това, съгласно член 24, същите дерогации като тези, приложими по член 23, параграф 1 от ЗЗЛИ, се прилагат и по отношение на международното предаване на данни (46).

(78)

С цел да се осигури приемственост в защитата на личните данни, предавани от Европейския съюз на Япония съгласно настоящото решение, допълнително правило 4 увеличава нивото на защита на последващото предаване на такива данни от ССТЛИ към трета държава получател. Това се постига чрез ограничаване и рамкиране на основанията за международно предаване на данни, които могат да се използват от ССТЛИ като алтернатива на получаването на съгласие. По-специално и без да се засягат изключенията, посочени в член 23, параграф 1 от ЗЗЛИ, лични данни, предадени съгласно настоящото решение, могат да бъдат предмет на (по-нататъшно) предаване без предварително съгласие само в два случая: i) когато данните се изпращат в трета държава, която е била призната от КЗЛИ по силата на член 24 от ЗЗЛИ като осигуряваща еквивалентно ниво на защита на това, което се гарантира в Япония (47); или ii) когато ССТЛИ и третата страна — получател заедно са въвели мерки, осигуряващи ниво на защита, еквивалентно на предвиденото в ЗЗЛИ, четен във връзка с допълнителните правила, по силата на договор, други форми на обвързващи споразумения или договорености в рамките на дадена корпоративна група. Втората категория съответства на инструментите, използвани съгласно Регламент (ЕС) 2016/679, с цел да се осигурят подходящи гаранции (по-специално, стандартни договорни клаузи и задължителни корпоративни правила). Освен това, както бе потвърдено от КЗЛИ, дори в тези случаи предаването на лични данни остава подчинено на общите правила, приложими към всяко предоставяне на лични данни на трета страна по ЗЗЛИ (т.е. изискването за получаване на съгласие по член 23, параграф 1 или, алтернативно, изискването за предоставяне на информация с възможността за изключение по член 23, параграф 2 от ЗЗЛИ). В случай че със субекта на данни не може да бъде установен контакт, за да бъде поискано неговото съгласие или за да му се предостави изискваната предварителна информация съгласно член 23, параграф 2 от ЗЗЛИ, предаването не може да се осъществи.

(79)

Следователно, извън случаите, в които КЗЛИ е установила, че въпросната трета държава осигурява ниво на защита, което е равностойно на гарантираното от ЗЗЛИ (48), изискванията, установени в допълнително правило 4, изключват използването на инструменти за предаване, които не създават обвързващи отношения между японския износител на данни и вносителя на данни на третата държава и които не гарантират изискваното ниво на защита. Такъв е случаят, например, на системата за трансгранични правила за защита на неприкосновеността на личния живот (ТПЗНЛЖ) на държавите от АТИС, в която Япония е участваща икономика (49), тъй като в тази система защитата не е резултат от обвързващо споразумение между износителя и вносителя в контекста на двустранните им отношения и тази защита очевидно е на по-ниско ниво от гарантираното от ЗЗЛИ и допълнителните правила (50).

(80)

И накрая, още една гаранция в случай на (по-нататъшно) предаване произтича от членове 20 и 22 от ЗЗЛИ. Съгласно тези разпоредби, когато оператор на трета държава (вносителят на данни) действа от името на ССТЛИ (износителя на данни), като подизпълнител, последният трябва да гарантира надзор над първия що се отнася до сигурността на обработването на данни.

(81)

Подобно на законодателството на ЕС за защита на данните, ЗЗЛИ предоставя на физическите лица редица права, които подлежат на изпълнение. Това включва правото на достъп („разкриване“), коригиране и заличаване, както и правото на възражение („прекратяване на употребата“).

(82)

Първо, съгласно член 28, параграфи 1 и 2 от ЗЗЛИ субектът на данни има право да поиска от ССТЛИ да „разкрие запазени лични данни, които могат да го идентифицират“ и, след получаване на такова искане, ССТЛИ „трябва […] да разкрие запазените лични данни“ на субекта на данните. Член 29 (право на поправяне) и член 30 (право на прекратяване на употребата) имат същата структура като член 28.

(83)

В член 9 от Постановлението на Министерски съвет се предвижда, че разкриването на лична информация, както е посочено в член 28, параграф 2 от ЗЗЛИ, се извършва в писмена форма, освен ако ССТЛИ и субектът на данните не са договорили друго.

(84)

Тези права са предмет на три типа ограничения, свързани със собствените права на лицето или правата и интересите на трети страни (51), сериозно засягане на стопанските операции на ССТЛИ (52), както и случаи, в които разкриването на информацията би нарушило други законови или подзаконови разпоредби (53). Случаите, в които тези ограничения биха се прилагали, са аналогични на някои от изключенията, приложими съгласно член 23, параграф 1 от Регламент (ЕС) 2016/679, който позволява ограничения на правата на физическите лица по причини, свързани със „защитата на субекта на данните или на правата и свободите на други лица“ или „други важни цели от широк обществен интерес“. Въпреки че категорията на случаите, в които разкриването на информация би нарушило „други законови или подзаконови разпоредби“ може да изглежда широка, законовите и подзаконовите разпоредби, предвиждащи ограничения в това отношение, трябва да спазват конституционното право на неприкосновеност на личния живот и могат да налагат ограничения само доколкото упражняването на това право би „накърнило общественото благо“ (54). Това изисква претегляне на наличните интереси.

(85)

Съгласно член 28, параграф 3 от ЗЗЛИ, ако поисканите данни не съществуват или когато съответният ССТЛИ реши да не предостави достъп до запазените данни, той е длъжен да информира засегнатото лице без забавяне.

(86)

От друга страна, съгласно член 29, параграфи 1 и 2 от ЗЗЛИ, субектът на данните има право да поиска коригиране, допълване или заличаване на своите запазени лични данни, в случай че данните са неточни. При получаване на такова искане, ССТЛИ „[…] провежда необходимото разследване“ и въз основа на резултатите от това разследване „прави поправка и т.н. на съдържанието на запазените данни“.

(87)

Трето, съгласно член 30, параграфи 1 и 2 от ЗЗЛИ субектът на данни има право да поиска от ССТЛИ да преустанови употребата на лична информация или да поиска нейното заличаване, когато тя се третира в нарушение на член 16 (относно принципа на ограничаване до предвидената цел) или е била придобита неправомерно в нарушение на член 17 от ЗЗЛИ (относно придобиването чрез измама, други непозволени средства или, в случай на чувствителни данни — без необходимото съгласие). По подобен начин, съгласно член 30, параграфи 3 и 4 от ЗЗЛИ, лицето има право да изиска от ССТЛИ да преустанови предоставянето на информацията на трета страна, когато това би нарушило разпоредбите на член 23, параграф 1 или член 24 от ЗЗЛИ (относно предоставянето на трета страна, включително международното предаване на данни).

(88)

Когато искането е основателно, ССТЛИ незабавно да прекратява употребата на данните или предоставянето им на трета страна, доколкото това е необходимо, за да се отстрани нарушението или, ако случаят е предмет на изключение (по-специално ако използването би довело до особено високи разходи) (55) прилага необходимите алтернативни мерки, с които да се защитят правата и интересите на съответното лице.

(89)

За разлика от правото на ЕС, в ЗЗЛИ и съответните подзаконови актове не се съдържат правни разпоредби, които конкретно да третират възможността за възражение срещу обработване за целите на директния маркетинг. Това обработване обаче, по силата на настоящото решение, ще се осъществи в контекста на предаването на лични данни, които преди това са били събрани в Европейския съюз. Съгласно член 21, параграф 2 от Регламент (ЕС) 2016/679 субектът на данните следва винаги да има възможността да възрази срещу предаването на данни за обработване за целите на директния маркетинг. Освен това, както е обяснено в съображение 43, съгласно Допълнително правило 3, от ССТЛИ се изисква да обработва данните, получени по силата на решението, за същата цел, за която данните са били предадени от Европейския съюз, освен ако субектът на данните не даде съгласието си за промяна на целта на употреба. Ето защо ако предаването е извършено с каквато и да е друга цел, различна от директния маркетинг, ССТЛИ в Япония, няма да може да обработва данните за целите на директния маркетинг без съгласието на субекта на данните от ЕС.

(90)

Във всички случаи, посочени в членове 28 и 29 от ЗЗЛИ, от ССТЛИ се изисква да уведоми незабавно лицето за резултата от неговото искане и освен това да обясни всеки (частичен) отказ въз основа на законовите изключения, предвидени в членове 27—30 (член 31 от ЗЗЛИ).

(91)

Що се отнася до условията за отправяне на искане, член 32 от ЗЗЛИ (заедно с постановлението на Министерски съвет) позволява на ССТЛИ да определи разумни процедури, включително по отношение на информацията, необходима за идентифициране на запазените лични данни. Въпреки това, съгласно параграф 4 от този член ССТЛИ не трябва да налагат „прекомерна тежест на субекта на данни“. В определени случаи ССТЛИ може също да налага такси, стига стойността им да остава „в рамките на обхвата, считан за подходящ, с оглед на реалните разходи“ (член 33 от ЗЗЛИ).

(92)

На последно място, лицата могат да възразят срещу предоставянето на тяхната лична информация на трета страна по смисъла на член 23, параграф 2 от ЗЗЛИ, или да откажат да дадат съгласието си по член 23, параграф 1 (като по този начин се предотвратява разкриване в случай, че няма друго правно основание). По същия начин лицата могат да прекъснат обработването на данни за различна цел като откажат да дадат съгласие в съответствие с член 16, параграф 1 от ЗЗЛИ.

(93)

За разлика от правото на ЕС ЗЗЛИ и съответните подзаконови актове не съдържат общи разпоредби, уреждащи въпроса за решенията, засягащи субекта на данни и основаващи се единствено на автоматизираното обработване на лични данни. Този въпрос обаче се разглежда в някои секторни правила, приложими в Япония, които са особено релевантни за този вид обработване на данни. Това включва секторите, в които е най-вероятно дружествата да прибягват до автоматизирано обработване на личните данни с цел вземане на решения, засягащи физическите лица (напр. финансовия сектор). Така например „Цялостните насоки за надзора над големите банки“, преработени през юни 2017 г., изискват на засегнатото лице да бъдат предоставени специални обяснения относно причините за отхвърляне на молбата за сключване на договора за заем. Следователно с тези правила се предлага защита в по-скоро ограничения брой на случаите, в които автоматизираните решения биха били взети от „внасящия“ японски стопански субект (вместо от „изнасящия“ администратор на данни от ЕС).

(94)

Във всеки случай, що се отнася до лични данни, които са били събрани в Европейския съюз, всяко решение, основано на автоматизирано обработване, обикновено се взема от администратора на данни в Съюза (който е в пряка връзка със засегнатия субект на данни) и по този начин се подчинява на разпоредбите на Регламент (ЕС) 2016/679 (56). Това включва сценарии за предаване, в които обработката се извършва от чужд (напр. японски) стопански субект, действащ като представител (обработващ лични данни) на администратора на данни на ЕС (или като подизпълнител, действащ от името на обработващ лични данни от ЕС, който е получил данните от администратора на данни от ЕС, който ги е събрал), който на това основание впоследствие взема решението. Следователно, липсата на конкретни правила относно автоматизираното вземане на решения в ЗЗЛИ е малко вероятно да се отрази върху равнището на защита на личните данни, предавани съгласно настоящото решение.

(95)

С цел да се гарантира, че адекватното ниво на защита на данните се осигурява и на практика, следва да съществува независим надзорен орган с правомощия за наблюдение и осигуряване на спазването на правилата за защита на данните. Този орган следва да действа с пълна независимост и безпристрастност при изпълнението на своите задължения и при упражняването на правомощията си.

(96)

В Япония, органът, който отговаря за наблюдението и изпълнението на ЗЗЛИ е КЗЛИ. КЗЛИ се състои от председател и осем комисари, назначени от министър-председателя със съгласието на двете камари на парламента. Мандатът на председателя и на всеки от комисарите е пет години, с възможност за удължаване (член 64 от ЗЗЛИ). Комисарите могат да бъдат освобождавани от длъжност само при наличие на основателна причина при ограничен брой извънредни обстоятелства (57) и не трябва да бъдат активно ангажирани с политически дейности. Освен това съгласно ЗЗЛИ членовете на Комисията, работещи на пълно работно време, трябва да се въздържат от всякакви други дейности срещу заплащане или стопански дейности. Всички членове на Комисията също така се подчиняват на вътрешни правила, които възпрепятстват тяхното участие в обсъжданията в случай на възможен конфликт на интереси. КЗЛИ се подпомага от секретариат, ръководен от генерален секретар, който е създаден за целите на изпълняването на задачите, възложени на КЗЛИ (член 70 от ЗЗЛИ). Комисарите и всички служители в секретариата са обвързани от строги правила за конфиденциалност (членове 72, 82 от ЗЗЛИ).

(97)

Правомощията на КЗЛИ, които тя упражнява напълно независимо (58), са предвидени основно в членове 40, 41 и 42 от ЗЗЛИ. Съгласно член 40 КЗЛИ може да поиска от ССТЛИ да докладват или да представят документи относно операции по обработване и може също така да извършва инспекции, както на място, така и на регистри или други документи. Доколкото е необходимо за изпълнението на ЗЗЛИ, КЗЛИ може също така да дава насоки или съвети на ССТЛИ по отношение на обработването на лична информация. КЗЛИ вече използва това правомощие съгласно член 41 от ЗЗЛИ, като отправи насоки до Facebook след разкритията по случая Facebook Cambridge Analytica.

(98)

По-важното е, че в отделни случаи КЗЛИ притежава правомощия — действайки по жалба или по собствена инициатива — да издава препоръки и нареждания в индивидуални случаи с цел изпълнение на ЗЗЛИ и други задължителни правила (включително допълнителните правила). Тези правомощия са предвидени в член 42 от ЗЗЛИ. Параграфи 1 и 2 от посочения член предвиждат двуетапен механизъм, чрез който КЗЛИ може да издаде нареждане (само) след като преди това е издала препоръка, а параграф 3 дава възможност за пряко издаване на нареждания в спешни случаи.

(99)

Въпреки че не всички разпоредби на глава IV, раздел 1 от ЗЗЛИ са изброени в член 42, параграф 1, който също определя приложното поле на член 42, параграф 2, това може да се обясни с факта, че някои от тези разпоредби не засягат задълженията на ССТЛИ (59) и че всички основни гаранции за защита вече са предоставени чрез други разпоредби, които са включени в този списък. Например, въпреки че член 15 (изискващ от ССТЛИ да определи целта на употреба и да обработва съответната лична информация изключително в обхвата на тази цел) не се споменава, неспазването на това изискване може да даде основание за препоръка, основана на нарушение на член 16, параграф 1 (забрана на ССТЛИ да обработва лична информация извън необходимото за постигане целите на употреба, освен ако не е получил съгласието на субекта на данните) (60). Друга разпоредба, която не е посочена в член 42, параграф 1, е член 19 от ЗЗЛИ относно точността и запазването на данните. Неспазването на тази разпоредба може да бъде отчетено или като нарушение на член 16, параграф 1, или като нарушение на член 29, параграф 2, ако съответното лице отправи искане за поправяне или заличаване на неверни или прекомерни по отношение на целите данни и ССТЛИ отказва да удовлетвори това искане. По отношение на правата на субекта на данни съгласно член 28, параграф 1, член 29, параграф 1 и член 30, параграф 1 надзорът от страна на КЗЛИ се осигурява, като ѝ се предоставят изпълнителни правомощия по отношение на съответните задължения на ССТЛИ, предвидени в тези членове.

(100)

Съгласно член 42, параграф 1 от ЗЗЛИ, КЗЛИ може, ако смята, че съществува „необходимост за защита на правата и интересите на дадено лице в случаите, когато [ССТЛИ] е нарушил“ конкретни разпоредби от ЗЗЛИ, да издаде препоръка „за спиране на извършването на нарушението или за предприемане на други необходими действия за коригиране на нарушението“. Тази препоръка не е задължителна, но отваря пътя за издаване на задължително нареждане съгласно член 42, параграф 2 от ЗЗЛИ. Въз основа на тази разпоредба, ако препоръката не бъде изпълнена „без да е налице законно основание“ и КЗЛИ „смята, че има непосредствена опасност от извършване на сериозно нарушение на правата и интересите на дадено лице“, тя може да разпореди с нареждане ССТЛИ да предприеме действия за изпълнение на препоръката.

(101)

Допълнителните правила доизясняват и укрепват изпълнителните правомощия на КЗЛИ. По-специално, в случаи, отнасящи се до данни, внесени от Европейския съюз, КЗЛИ винаги ще счита, че непредприемането на действия от ССТЛИ за изпълнение на препоръка, издадена на основание член 42, параграф 1 от ЗЗЛИ, без да има законно основание за неизпълнението, представлява тежко нарушение с непосредствено отражение върху правата и интересите на дадено лице по смисъла на член 42, параграф 2 и следователно е нарушение, за което се изисква издаването на правнообвързващо нареждане. Освен това като „законно основание“ за несъобразяване с дадена препоръка КЗЛИ ще приема само „събитие от извънреден характер [пречещо на спазването] извън контрола на [ССТЛИ], което не може да бъде разумно предвидено (например природни бедствия)“ или случаи, в които необходимостта да се предприемат действия във връзка с дадена препоръка „е отпаднала поради предприемането на алтернативни действия [от страна на ССТЛИ], които напълно отстраняват нарушението“.

(102)

Съгласно член 84 от ЗЗЛИ неспазването на нареждане на КЗЛИ се счита за престъпление и ССТЛИ, който е признат за виновен, може да бъде наказан с лишаване от свобода със задължително полагане на труд за максимален срок от шест месеца или с глоба от максимум 300 000 йени. Освен това, съгласно член 85, буква и) от ЗЗЛИ липсата на сътрудничество с КЗЛИ или възпрепятстване на нейното разследване се наказва с глоба от максимум 300 000 йени. Тези наказателноправни санкции се прилагат в допълнение към тези, които могат да бъдат наложени за нарушения по същество на ЗЗЛИ (вж. съображение 108).

(103)

С цел да се осигури адекватна защита и по-специално прилагането на индивидуалните права, на субекта на данни следва да се предоставят ефективни административни и съдебни средства за защита, включително и за обезщетение за вреди.

(104)

Преди или вместо да се възползва от административни или съдебни средства за защита, дадено лице може да реши да подаде жалба относно обработката на неговите лични данни до самия администратор. Въз основа на член 35 от ЗЗЛИ, ССТЛИ се стремят да разглеждат такива жалби „адекватно и своевременно“ и да въведат вътрешни системи за разглеждане жалби с тази цел. Освен това съгласно член 61, подточка ii) от ЗЗЛИ КЗЛИ отговаря за „необходимата медиация по подадена жалба и сътрудничество, които се предлагат на стопанския оператор, който се занимава с жалбата“, което и в двата случая включва жалби, подадени от чужденци. В това отношение японският законодател е поставил на правителството задачата да предприема „необходимите действия“, за да се осигури възможност за подаване на жалби и да се улесни вземането на решения по тях от ССТЛИ (член 9), докато местните власти в такива случаи се стремят да осигурят медиация (член 13). В това отношение физическите лица могат да подадат жалба до един от над 1 700 потребителски центрове, създадени от местните власти, въз основа на Закона за безопасност на потребителите (61), в допълнение към възможността за подаване на жалба до Националния център за потребителите на Япония. Такива жалби могат да се подават и във връзка с нарушение на ЗЗЛИ. По силата на член 19 от Основния закон за потребителите (62) местните власти се стремят да започнат медиация във връзка с жалбите и да предоставят на страните необходимия експертен опит. Тези механизми за разрешаване на спорове изглеждат доста ефективни, като процентът на разрешените случаи е 91,2 % за над 75 000 жалби през 2015 г.

(105)

Нарушаването на разпоредбите на ЗЗЛИ от ССТЛИ може да доведе до граждански искове, както и до наказателни производства и и наказателноправни санкции. На първо място, ако дадено лице смята, че правата му по силата на членове 28, 29 и 30 от ЗЗЛИ са били нарушени, то може да потърси правна защита под формата на съдебна заповед, като поиска от съда да разпореди ССТЛИ да удовлетвори искането му по един от тези членове, тоест да разкрие запазени лични данни (член 28), да коригира запазени лични данни, които са грешни (член 29), или да преустанови незаконната обработка или предоставянето на данни на трети страни (член 30). Такъв иск може да бъде заведен без да е необходимо да се основава на член 709 от Гражданския кодекс (63) или на друго деликтно основание (64). По-специално това означава, че лицето не трябва да доказва причинена вреда.

(106)

На второ място, когато предполагаемо нарушение не се отнася до индивидуални права по членове 28, 29 и 30, а до общите принципи на защита на данните или до задълженията на ССТЛИ, засегнатото лице може да заведе граждански иск срещу стопанския оператор въз основа на разпоредбите за непозволено увреждане на японския Граждански кодекс, по-специално член 709. При съдебно дело по член 709 се изисква доказване не само на наличието на вина (умисъл или небрежност), но и на настъпилата вреда, а съгласно член 710 от Гражданския кодекс тази вреда може да бъде както материална, така и нематериална. Не е наложено ограничение за размера на обезщетението.

(107)

Що се отнася до достъпните видове защита, член 709 от японския Граждански кодекс предвижда парично обезщетение. Според тълкуването в японската съдебна практика обаче този член предоставя също така право на разпореждане за преустановяване на нарушение (65). „Следователно, ако субектът на данни предяви иск по член 709 от Гражданския кодекс и твърди, че неговите права или интереси са увредени вследствие на нарушение на разпоредба от ЗЗЛИ, извършено от ответника, претенцията може да включва, освен обезщетение за вреди, иск за преустановяване на нарушение, по-специално с цел спиране на всяко неправомерно обработване.

(108)

На трето място, в допълнение към средствата за защита по гражданското (деликтното) право, субектът на данните може да подаде жалба до прокурор или служител от съдебната полиция във връзка с нарушения на ЗЗЛИ, които могат да доведат до наказателноправни санкции. Глава VII от ЗЗЛИ съдържа редица наказателни разпоредби. Най-важната от тях (член 84) се отнася до неспазването от страна на ССТЛИ на нареждания на КЗЛИ съгласно член 42, параграфи 2 и 3. Ако стопански оператор не се подчини на нареждане на КЗЛИ, председателят на КЗЛИ (както и друго правителствено длъжностно лице) (66) може да препрати случая на прокурора или на служител от съдебната полиция и по този начин да задейства образуването на наказателно производство. Санкцията за нарушение на нареждането на КЗЛИ е лишаване от свобода със задължително полагане на труд за срок до шест месеца или глоба до 300 000 йени. Други разпоредби на ЗЗЛИ, предвиждащи санкции в случай на нарушения на ЗЗЛИ, засягащи правата и интересите на субектите на данни, са член 83 от ЗЗЛИ (относно „предоставянето или използването скришом“ на база данни с лична информация „с цел извличане на […] незаконни печалби“) и член 88, подточка i) от ЗЗЛИ (относно невъзможността на трета страна да предостави точна информация на ССТЛИ, когато той получава лични данни в съответствие с член 26, параграф 1 от ЗЗЛИ, по-специално относно подробностите около придобиването от третата страна на тези данни). Приложимите санкции за тези нарушения на ЗЗЛИ са съответно лишаване от свобода със задължително полагане на труд до една година или глоба в размер до 500 000 йени (за нарушение по член 83) или административна глоба в размер до 100 000 йени (за нарушение по член 88, подточка i)). Въпреки че самата заплаха от наказателноправна санкция вероятно оказва силно възпиращо въздействие върху управителните органи, ръководещи операциите за обработка на ССТЛИ, както и върху лицата, третиращи данните, член 87 от ЗЗЛИ уточнява, че когато представител, работник или друг служител на юридически субект е извършил нарушение по членове 83—85 от ЗЗЛИ, „това лице се наказва и на въпросния юридически субект се налага глобата, предвидена в съответните членове“. В този случай както на служителя, така и на дружеството може да бъдат наложени санкции до пълния максимален размер.

(109)

И накрая, физическите лица могат да търсят правна защита срещу действия или бездействия на КЗЛИ. В това отношение японският закон предвижда няколко възможности за административна и съдебна защита.

(110)

Ако дадено лице не е удовлетворено от действията, предприети от КЗЛИ, то може да подаде жалба по административен ред по реда, предвиден в Закона за административното обжалване (67). И обратно, когато дадено лице смята, че КЗЛИ е трябвало да предприеме действия, но не го е направила, то може, съгласно член 36-3 от посочения закон, да поиска от КЗЛИ да се разпореди или да предостави административни насоки, ако лицето смята, че „не е било дадено разпореждане или не са били предоставени необходимите административни насоки за коригирането на нарушението“.

(111)

Що се отнася до съдебната правна защита, съгласно Закона за административното съдопроизводство лице, което не е удовлетворено от административно разпореждане на КЗЛИ, може да подаде mandamus иск (68), с който да поиска от съда да нареди на КЗЛИ да предприеме по-нататъшни действия (69). В някои случаи съдът може да издаде временно постановление за mandamus, така че да се предотврати настъпването на необратими вреди (70). Освен това съгласно същия закон физическо лице може да поиска отмяна на решение на КЗЛИ (71).

(112)

Накрая, дадено лице може да подаде иск за държавно обезщетение срещу КЗЛИ по силата на член 1, параграф 1 от Закона за обезщетенията, дължими от държавата, в случай че е претърпяло вреди вследствие на незаконосъобразно нареждане на КЗЛИ, адресирано до стопански оператор, или защото КЗЛИ не е упражнила правомощията си.

(113)

Комисията извърши също така оценка на ограниченията и гаранциите, включително на предвидените от японското законодателство механизми за надзор и индивидуална правна защита във връзка със събирането и последващото използване на лични данни, предадени на стопански субекти в Япония от публичните органи за цели от обществен интерес, и по-специално за целите на наказателното правоприлагане и националната сигурност („достъп на държавните органи“). В това отношение японското правителство предостави на Комисията официални изявления, гаранции и ангажименти, подписани на равнище министри и ръководители на държавни ведомства, които се съдържат в приложение II към настоящото решение.

(114)

Тъй като представлява израз на упражняване на публична власт, достъпът на държавните органи в Япония трябва да се осъществява при пълно зачитане на закона (принцип за законност). Във връзка с това Конституцията на Япония съдържа разпоредби, ограничаващи и регулиращи събирането на лични данни от публичните органи. Както вече бе посочено по отношение на обработката от стопански субекти, като се основава на член 13 от Конституцията, който наред с другото защитава правото на свобода, Върховният съд на Япония признава правото на неприкосновеност на личния живот и защита на данните (72). Един от важните аспекти на това право е свободата личната информация на лицата да не се разкрива на трети страни без разрешение (73). Това предполага право на ефективна защита на личните данни срещу злоупотреби и (по-специално) срещу неправомерен достъп. Допълнителна защита се гарантира от член 35 от Конституцията, отнасящ се до правото на всички лица да бъдат сигурни в домовете си и по отношение на вещите и документите си, което налага на публичните органи да получат съдебна заповед, издадена въз основа на „достатъчен повод“ (74) във всички случаи на „претърсване и изземване“. В решението си от 15 март 2017 г. по делото GPS Върховният съд е пояснил, че това изискване за получаване на съдебна заповед се прилага във всички случаи, когато държавните органи посягат на („навлизат в“) сферата на личния живот по начин, който потиска волята на индивида, и съответно чрез способи за „задължително разследване“. Съдия може да издаде такава заповед единствено въз основа на конкретни подозрения за престъпления, т.е. когато са му предоставени писмени доказателства, въз основа на които лицето, засегнато от разследването, може да се разглежда като извършило престъпление (75). Следователно японските органи нямат законово право да събират лична информация чрез задължителни средства в ситуации, когато все още няма нарушение на закона (76), например за да се предотврати престъпление или друга заплаха за сигурността (какъвто е случаят за разследвания по съображения, свързани с националната сигурност).

(115)

Според принципа за законност всяко събиране на данни като част от принудително разследване трябва да бъде изрично разрешено от закона (както е отразено например в член 197, параграф 1 от Наказателнопроцесуалния кодекс (НПК) относно задължителното събиране на информация за целите на наказателни разследвания). Това изискване се прилага и за достъпа до информация в електронна форма.

(116)

Важно е, че член 21, параграф 2 от Конституцията гарантира поверителността на съобщенията чрез всички средства за комуникация, като ограничения в това отношение се допускат единствено в предвидените от закона случаи по съображения от обществен интерес. Член 4 от Закона за далекосъобщенията, според който поверителността на съобщенията, третирани от телекомуникационна компания, не може да се нарушава, въвежда изискването за поверителност на законодателно равнище. Това се тълкува в смисъл, че се забранява разкриването на информацията, съдържаща се в съобщенията, освен при наличие на съгласието на ползвателите или ако се основава на едно от изричните изключения от наказателна отговорност, предвидени в Наказателния кодекс (77).

(117)

Освен това Конституцията гарантира правото на достъп до съд (член 32) и правото да се иска обезщетение от държавата за вреди, претърпени от физическо лице вследствие на незаконосъобразен акт на публично длъжностно лице (член 17).

(118)

Що се отнася по-специално до правото на защита на данните, глава III, раздели 1, 2 и 3 на ЗЗЛИ установяват общи принципи, които се отнасят за всички сектори — включително и публичния сектор. По-специално, член 3 от ЗЗЛИ предвижда, че личната информация трябва да се обработва в съответствие с принципа на зачитане на личността на лицата. След като лична информация, включително като част от електронни записи, е била събрана („получена“) от публични органи (78), нейната обработка се урежда от Закона за защита на лична информация, съхранявана от административни органи („ЗЗЛИСАО“) (79). Това включва по принцип (80) и обработването на лична информация за целите на наказателното правоприлагане или националната сигурност. Наред с другото, ЗЗЛИСАО предвижда, че публичните органи: i) могат да задържат лична информация само доколкото това е необходимо за изпълнението на задълженията им; ii) не могат да използват такава информация за „несправедливи“ цели или не могат да я разкриват пред трета страна без основателна причина; iii) посочват целта на обработката и не променят тази цел извън това, което разумно може да се счита за свързано с първоначалната цел (ограничаване на целта); iv) по принцип не използват или не предоставят на трета страна задържаните лични данни за други цели и, ако счетат за необходимо, налагат ограничения на целта или метода на употреба на трети страни; v) стремят се да гарантират достоверността на информацията (качество на данните); vi) предприемат необходимите мерки за правилното управление на информацията и за предотвратяване на изтичане на информация, загуби или щети (сигурност на данните); и vii) полагат усилия за правилното и експедитивното обработване на жалби във връзка с обработката на информацията (81).

(119)

Японското законодателство съдържа редица ограничения по отношение на достъпа и използването на лични данни за целите на наказателното правоприлагане, както и механизми за надзор и правна защита, които осигуряват достатъчно гаранции за данните, които трябва да бъдат ефективно защитени срещу незаконна намеса и риск от злоупотреби.

(120)

Според японската правна уредба събирането на информация в електронна форма за целите на наказателното правоприлагане е допустимо въз основа на заповед (принудително събиране) или искане за доброволно разкриване.

(121)

Както е посочено в съображение 115, всяко събиране на данни като част от принудително разследване трябва да бъде изрично разрешено от закона и може да се извършва само въз основа на съдебна заповед, издадена въз основа на „достатъчен повод“ (член 35 от Конституцията). По отношение на разследването на престъпления, това изискване е отразено в разпоредбите на Наказателнопроцесуалния кодекс (НПК). Съгласно член 197, параграф 1 от НПК, принудителните мерки „не се прилагат, освен ако в настоящия кодекс не са предвидени специални разпоредби“. По отношение на събирането на информация в електронна форма единствените подходящи (82) правни основания са член 218 от НПК (претърсване и изземване) и член 222-2 от НПК, съгласно който принудителни мерки за прихващане на електронни съобщения без съгласието на всяка от страните се прилагат въз основа на други актове, а именно Закона за подслушване за целите на наказателното разследване („Законът за подслушването“). И в двата случая се прилага изискването за съдебна заповед.

(122)

По-конкретно, съгласно член 218, параграф 1 от НПК прокурор, помощник прокурор или служител на съдебната полиция може, ако това е необходимо за разследването на престъплението, да извърши претърсване или изземване (включително на записи) въз основа на заповед, издадена предварително от съдия (83). Наред с другото, в такава заповед се посочват името на заподозрения или обвиняемия, разследваното престъпление, за което е обвинен (84), електромагнитната документация, която трябва да бъде иззета, и „мястото или вещите“, които трябва да бъдат проверени (член 219, параграф 1 от НПК).

(123)

По отношение на прихващането на съобщения член 3 от Закона за подслушването разрешава такива мерки само при спазване на строги изисквания. По-специално, публичните органи трябва предварително да получат съдебна заповед, която може да бъде издадена само за разследването на конкретни тежки престъпления (изброени в приложението към Закона) (85) и когато е „изключително трудно да се идентифицира престъпника или да се изясни ситуацията/подробностите по извършването по какъвто и да е друг начин“ (86). Съгласно член 5 от Закона за подслушването съдебната заповед се издава за ограничен период от време като съдията може да налага допълнителни условия. Освен това Законът за подслушването предвижда редица допълнителни гаранции, като например задължителното присъствие на свидетели (членове 12 и 20), забраната за подслушване на съобщенията на някои привилегировани групи (напр. лекари, адвокати) (член 15), задължението за преустановяване на подслушването, ако то повече не е оправдано, дори посоченият в съдебната заповед срок да не е изтекъл (член 18), или общото изискване за уведомяване и предоставяне на достъп на засегнатото лице до направените записи в срок до тридесет дни след приключване на подслушването (членове 23 и 24).

(124)

По отношение на всички принудителни мерки, основаващи се на съдебна заповед, може да се извършва само такава проверка, „каквато е необходима за постигането на нейната цел“ — тоест когато целите, преследвани с разследването, не могат да бъдат постигнати по друг начин (член 197, параграф 1 от НПК). Въпреки че критериите за определяне на необходимостта не са допълнително уточнени в закона, Върховният съд на Япония е постановил, че съдията, издаващ заповедта, следва да извърши цялостна оценка, като вземе предвид по-специално i) сериозността на престъплението и начина на извършването му; ii) стойността и значението на материалите, които трябва да бъдат иззети като доказателства; iii) вероятността (рискът) доказателствата могат да бъдат скрити или унищожени; и iv) степента, до която изземването може да навреди на засегнатото лице (87).

(125)

В рамките на своята компетентност, публичните органи могат да събират и информация в електронна форма въз основа на исканията за доброволно разкриване. Това се отнася до незадължителна форма на сътрудничество, при която изпълнението на искането не може да бъде наложено принудително (88), с което публичните органи се освобождават от задължението за получаване на съдебна заповед.

(126)

Доколкото това искане е насочено към стопански оператор и се отнася до лична информация, стопанският оператор трябва да спазва изискванията на ЗЗЛИ. Съгласно член 23, параграф 1 от ЗЗЛИ стопанските субекти могат да разкрият лична информация на трети страни без съгласието на съответното лице само в определени случаи, включително когато разкриването е „въз основа на законови и подзаконови актове“ (89). В областта на наказателното правоприлагане правното основание за такива искания е предвидено в член 197, параграф 2 от НПК, според който „от частни организации може да бъде поискано да предоставят информация по въпроси, свързани с разследването“. Тъй като подобен „въпросник“ е разрешен само като част от наказателно разследване, той винаги предполага наличието на конкретно подозрение за вече извършено престъпление (90). Освен това, тъй като такива разследвания обикновено се извършват от полицията на префектурата, се прилагат ограниченията съгласно член 2, параграф 2 от Закона за полицията (91). В съответствие с тази разпоредба, действията на полицията са „строго ограничени“ до изпълнението на техните отговорности и задължения (т.е. предотвратяването, противодействието и разследването на престъпления). Освен това при изпълнението на задълженията си полицията действа безпристрастно, непредубедено и справедливо и не трябва никога да злоупотребява със своите правомощия „по начин, който накърнява индивидуалните права и свободи, гарантирани в Конституцията на Япония“ (които включват, както бе посочено, правото на неприкосновеност на личния живот и защита на данните) (92).

(127)

Специално по отношение на член 197, параграф 2 от НПК, Национална служба „Полиция“ (НСП) — като федерален орган, отговарящ наред с другото по всички въпроси, които засягат криминалната полиция — е издала инструкции към полицията на префектурите (93) относно „правилното използване на писмените запитвания в областта на разследванията“. Съгласно това уведомление, исканията трябва да се подават като се използва предварително установен формуляр („формуляр № 49“ или т.нар. „въпросник“) (94), трябва да се отнасят до записи „засягащи конкретно разследване“ и исканата информация трябва да е „необходима за [това] разследване“. Във всеки отделен случай, главният разследващ служител трябва да „разгледа внимателно необходимостта, съдържанието и т.н. на всяко индивидуално разследване“ и трябва да получи вътрешно одобрение от високопоставен служител.

(128)

Освен това в две съдебни решения от 1969 г. и 2008 г. (95) Върховният съд на Япония е определил ограничения по отношение на незадължителните мерки, които оказват отрицателно въздействие върху правото на неприкосновеност на личния живот (96). По-специално съдът е счел, че такива мерки трябва да са „разумни“ и да не надвишават „общоприетите граници“, което означава, че трябва да са необходими за разследването на заподозряно лице (събиране на доказателства) и да са извършени с „подходящи методи за постигане на целта на разследването“ (97). Решенията показват, че това включва тест за пропорционалност, който взема предвид всички обстоятелства по случая (например равнище на отрицателно въздействие върху правото на неприкосновеност на личния живот, включително очакването за неприкосновеност на личния живот, сериозността на престъплението, вероятността за придобиване на полезни доказателства, значението на тези доказателства, възможни алтернативни методи на разследване и т.н.) (98).

(129)

Независимо от тези ограничения за упражняване на публична власт, от самите стопански субекти се очаква да проверят („потвърдят“) необходимостта и „рационалността“ на предоставянето на трета страна (99). Това включва въпроса дали са възпрепятствани от закона да сътрудничат. Такива конфликтни правни задължения могат, в частност, да произтичат от задължения за поверителност, като например тези член 134 от Наказателния кодекс (относно връзката между адвокат, лекар, свещеник и т.н. и неговия/нейния клиент). Също така, „всяко лице, работещо в телекомуникациите, запазва, докато е на длъжност, тайни на други лица, които са станали му известни от комуникациите, третирани от телекомуникационната компания“ (член 4, параграф 2 от Закона за далекосъобщенията). Това задължение е подкрепено със санкцията, предвидена в член 179 от Закона за далекосъобщенията, който предвижда, че всяко лице, което е нарушило с тайната на комуникациите, третирани от телекомуникационната компания е виновно в извършването на престъпление и се наказва с лишаване от свобода със задължително полагане на труд до две години или глоба до 1 милион йени (100). Въпреки че това изискване не е абсолютно и допуска по-специално мерки, нарушаващи тайната на комуникациите, които представляват „действия, които могат да бъдат оправдани“ по смисъла на член 35 от Наказателния кодекс, това изключение не обхваща отговора на незадължителни искания от страна на публичните органи за разкриване на информация в електронна форма съгласно член 197, параграф 2 от НПК (101).

(130)

След като бъде събрана от японските публични органи, личната информация попада в обхвата на прилагане на ЗЗЛИСАО. Този закон урежда третирането (обработката) на „задържана лична информация“ и налага редица ограничения и гаранции (вж. съображение 118) (102). Освен това обстоятелството, че даден административен орган може да задържи лична информация „само когато това се налага за извършване на поставените му задачи, предвидени в законови и подзаконови актове“ (член 3, параграф 1 от ЗЗЛИСАО), също налага ограничения — най-малкото косвено — за първоначалното събиране.

(131)

В Япония събирането на информация в електронна форма в областта на наказателното правоприлагане е най-вече (103) от компетентността на полицията на префектурата (104), като в това отношение тя е подложена на различни видове надзор.

(132)

На първо място, винаги когато информация в електронна форма се събира чрез принудителни средства (претърсване и изземване), полицията трябва да получи предварително разрешение от съда (вж. съображение 121). Поради това в тези случаи във връзка със събирането ще се извършва предварителна проверка от съдия, при стриктно прилагане на изискването за „достатъчен повод“.

(133)

Макар че при искания за доброволно разкриване не се извършва предварителна проверка от съдия, стопанските субекти, до които са адресирани тези искания, могат да възразяват срещу тях без да се излагат на риск от каквито и да било негативни последици (и ще трябва да вземат под внимание въздействието на всяко разкриване на данни върху неприкосновеността на личния живот). Освен това съгласно член 192, параграф 1 от НПК полицейските служители трябва винаги да си сътрудничат с прокурора и да координират действията си с него (и с Комисията по въпросите на обществения ред на префектурата) (105). От своя страна, прокурорът може да дава необходимите общи указания, с които да определя стандартите за справедливо разследване, и/или да издава конкретни разпореждания по отделните разследвания (член 193 от НПК). Когато такива указания и/или разпореждания не бъдат изпълнени, прокуратурата може да образува производство за налагане на дисциплинарни мерки (член 194 от НПК). Следователно полицията на префектурата работи под контрола на прокуратурата.

(134)

На второ място, съгласно член 62 от Конституцията всяка камара на японския парламент може да провежда разследвания по отношение на правителството, включително във връзка със законосъобразността на събирането на информация от полицията. За тази цел съответната камара може да изисква явяване и даване на показания от свидетели и/или представяне на записана информация. Тези правомощия за провеждане на разследвания са доразвити в Закона за парламента, по-специално в глава XII от него. По-специално член 104 от Закона за парламента предвижда, че правителството, публичните институции и останалите държавни ведомства „са длъжни да изпълняват исканията, отправени от една от двете камари или от парламентарна комисия, за предоставяне на доклади и записана информация, необходими за целите на разследване.“ Отказ да се изпълни такова искане се допуска единствено ако държавният орган посочи основателна причина, която бъде приета от парламента, или ако бъде направена официална декларация, че предоставянето на докладите или записите би „увредило сериозно националните интереси“ (106). Освен това членовете на парламента могат да отправят писмени въпроси към правителството (членове 74 и 75 от Закона за парламента) и в миналото подобни „писмени запитвания“ са били отправяни и във връзка с обработването на лична информация от администрацията (107). В помощ на изпълнението от парламента на ролята му при упражняването на контрол върху изпълнителната власт са предвидени задължения за докладване, каквото е например задължението по член 29 от Закона за подслушването.

(135)

На трето място, полицията на префектурата е подложена на независим надзор и в рамките на изпълнителната власт. Този надзор се упражнява по-специално от комисиите по въпросите на обществения ред към префектурите, създадени на ниво префектури с цел да гарантират демократичното управление и политическия неутралитет на полицията (108). Тези комисии се състоят от членове, назначавани от управителя на префектурата със съгласието на префектурния съвет (измежду граждани, които не са заемали длъжност на държавен служител в полицията през последните пет години), и разполагат със сигурен мандат (по-конкретно, те могат да бъдат освобождавани само по основателна причина) (109). Според получената информация на тези комисии не могат да се дават инструкции, поради което може да се счита, че те са напълно независими (110).Що се отнася до задачите и правомощията на комисиите по въпросите на обществения ред към префектурите, съгласно член 38, параграф 3 във връзка с член 2 и член 36, параграф 2 от Закона за полицията те отговарят за „защитата на правата и свободите на физическите лица“. За тази цел те са оправомощени да „упражняват надзор“ (111) върху всички дейности по разследване, извършвани от полицията на префектурите, включително събирането на лични данни. По-специално комисиите „могат да дават на полицията на префектурата подробни насоки или насоки във връзка с конкретен случай за проверка за неправомерно поведение на полицейски служители, ако считат това за необходимо.“ (112) Когато началникът на полицията на префектурата (113) получи такава насока или самостоятелно узнае за възможен случай на неправомерно поведение (включително нарушение на закона или друго неизпълнение на служебните задължения), той е длъжен да разследва надлежно случая и да докладва за резултата от разследването пред комисията по въпросите на обществения ред към префектурата (член 56, параграф 3 от Закона за полицията). Ако счете това за необходимо, въпросната комисия може също така да възложи на един от своите членове да провери как напредва изпълнението. Този процес продължава докато комисията по въпросите на обществения ред към префектурата се увери, че по случая са предприети подходящи мерки.

(136)

Наред с това, що се отнася до правилното прилагане на ЗЗЛИСАО компетентният министър или ръководител на ведомство (напр. Генералният комисар на НСП) разполага с правомощия за правоприлагане, които се упражняват под надзора на Министерството на вътрешните работи и съобщенията (МВРС). Съгласно член 49 от ЗЗЛИСАО МВРС „може да събира доклади за изпълнението на този закон“ от ръководителите на административните органи (министри). За осъществяването на тази функция по упражняване на надзор спомага и информацията, предоставяна от 51 „всестранни информационни центъра“ към МВРС (по един във всяка префектура в Япония), които всяка година работят по хиляди молби на физически лица (114) (които на свой ред могат да разкриват евентуални нарушения на закона). Ако счита това за необходимо за гарантиране на спазването на закона, МВРС може да изисква представяне на обяснения и материали и да дава становища относно обработването на личната информация от съответния административен орган (членове 50 и 51 от ЗЗЛИСАО).

(137)

В допълнение към надзора, който се упражнява служебно, физическите лица разполагат и с няколко възможности за индивидуална защита, които могат да бъдат оползотворени чрез сезиране на независими органи (например комисиите по въпросите на обществения ред към префектурите или КЗЛИ) или на японските съдилища.

(138)

На първо място, във връзка с личната информация, събирана от административните органи, последните са длъжни да „полагат усилия да обработват правилно и бързо жалбите“, подадени по повод последващата обработка на събраната информация (член 48 от ЗЗЛИСАО). Глава IV от ЗЗЛИСАО, отнасяща се до индивидуалните права, не се прилага спрямо личната информация, съдържаща се в „документи, свързани със съдебни производства и иззети вещи“ (член 53-2, параграф 2 от НПК) — което обхваща личната информация, събрана в рамките на наказателно разследване, — но физическите лица могат да подават жалби, в които да се позовават на общите принципи на защита на данните, като например задължението личната информация да се запазва единствено „когато запазването е нужно за изпълнението на [задачите по правоприлагане]“ (член 3, параграф 1 от ЗЗЛИСАО).

(139)

Наред с това член 79 от Закона за полицията гарантира на физическите лица, които имат опасения, свързани с „изпълнението на служебните задължения“ от страна на полицейските служители, правото да подадат жалба пред (компетентната) независима комисия по въпросите на обществения ред към префектурата. Комисията разглежда тези жалби „почтено“, спазвайки законодателството и разпоредбите, установени на местно равнище, и уведомява в писмен вид жалбоподателя за резултата. Тъй като е оправомощена да упражнява надзор и да „дава насоки“ на полицията на префектурата във връзка с „неправомерно поведение на служители“ (член 38, алинея 3 и член 43-2, параграф 1 от Закона за полицията), комисията може да изисква от полицията на префектурата да извършва разследвания за установяване на фактите, да предприема мерките, които са необходими с оглед на установеното при разследването, и да докладва за резултатите. Ако комисията счете, че проведеното от полицията разследване не е задоволително, тя може да даде и указания във връзка с обработването на жалбата.

(140)

С цел да улесни обработването на жалбите НСП е издала „Съобщение“ до полицията и комисиите по въпросите на обществения ред към префектурите относно правилното обработване на жалбите, свързани с изпълнението на служебните задължения от полицейските служители. В този документ НСП формулира стандарти за тълкуването и прилагането на член 79 от Закона за полицията. Наред с другото от полицията на префектурата се изисква да въведе „система за обработване на жалбите“ и да обработва и докладва „незабавно“ всички жалби пред компетентната комисия по въпросите на обществения ред към префектурата. В Съобщението жалбите са определени като искания за поправяне „на всякакви конкретни неблагоприятни последици, настъпили вследствие на незаконно или неуместно поведение“ (115) или на „непредприемане на необходимите действия от полицейски служител при изпълнението на служебните му задължения“ (116), както и всяко „оплакване/недоволство във връзка с неуместен начин на изпълнение на служебни задължения от страна на полицейски служител“. По този начин е дадено широко определение за материалното приложно поле на жалбата, включващо всяко твърдение за неправомерно събиране на данни, и жалбоподателят не е нужно да доказва, че е претърпял каквито и да било вреди вследствие на действията на полицейски служител. Важно е да се отбележи, че в Съобщението се посочва, че на чужденците (наред с другото) трябва да се оказва помощ при изготвянето на жалба. След като получат жалба комисиите по въпросите на обществения ред към префектурите са задължени да гарантират, че полицията на префектурата проучва фактите, въвежда мерки „според резултата от проучването на фактите“ и докладва за постигнатите резултати. Ако комисията счете, че извършеното проучване е недостатъчно, тя дава указания за обработването на жалбата, които полицията на префектурата е длъжна да спазва. Въз основа на получените доклади и взетите мерки комисията изпраща уведомление до физическото лице като посочва наред с другото мерките, които са предприети по жалбата. В Съобщението на НСП се подчертава, че жалбите следва да се обработват „добросъвестно“ и резултатът следва да се съобщава „в срок […], който изглежда подходящ от гледна точка на социалните норми и здравия разум.“

(141)

На второ място, като се има предвид, че съвсем естествено защитата ще трябва да се търси в чужбина чрез ползване на чужда система и на чужд език, с цел да улесни получаването на защита от физическите лица от ЕС, чиито лични данни са предадени на стопански субекти в Япония, след което достъп до тях са получили и органи на публичната власт, японското правителство използва правомощията си и създаде нарочен механизъм за обработване на жалбите в тази област и вземане на решения по тях, който се управлява и контролира от КЗЛИ. Този механизъм се базира на задължението за сътрудничество между японските публични органи, наложено със ЗЗЛИ, и на специалната роля на КЗЛИ във връзка с международното предаване на данни от трети държави съгласно член 6 от ЗЗЛИ и Основната политика (определена с постановление на Министерски съвет). Подробностите относно този механизъм се съдържат в официалните изявления, гаранции и ангажименти, предоставени от японското правителство и приложени към настоящото решение като приложение II. По отношение на механизма не са установени специфични изисквания и той може да се ползва от всяко физическо лице, независимо дали то е заподозряно или обвинено в извършването на престъпление.

(142)

Съгласно механизма физическо лице, подозиращо, че негови данни, предадени от Европейския съюз, са били събрани или използвани от публични органи в Япония (включително органи, отговарящи за наказателното правоприлагане) в нарушение на приложимите правила, може да подаде жалба пред КЗЛИ (лично или чрез органа по защита на данните по смисъла на член 51 от ОРЗД). КЗЛИ е задължена да обработи жалбата като първата ѝ стъпка е да уведоми за нея компетентните публични органи, в това число и съответните органи, упражняващи надзор. Тези органи са длъжни да си сътрудничат с КЗЛИ, „включително като предоставят необходимата информация и релевантни материали, така че КЗЛИ да може да прецени дали събирането или последващото използване на личната информация е било извършено в съответствие с приложимите правила“ (117). Това задължение, произтичащо от член 80 от ЗЗЛИ (който налага на японските публични органи да си сътрудничат с КЗЛИ), се прилага по принцип и следователно се отнася и за прегледа на следствените мерки, предприети от такива органи, като тези органи освен това са поели ангажимент за такова сътрудничество чрез писмени уверения, дадени от ръководителите на компетентните министерства и държавни ведомства, както са отразени в приложение II.

(143)

Ако преценката покаже, че е било допуснато нарушение на приложимите правила, „сътрудничеството между съответните публични органи и КЗЛИ включва задължение за отстраняване на нарушението“, което при незаконното събиране на лична информация обхваща и заличаването на съответните данни. Важно е да се отбележи, че посоченото задължение се изпълнява под надзора на КЗЛИ, която „преди да приключи работата по преценката, потвърждава, че са взети мерки за цялостно отстраняване на нарушението“.

(144)

След приключване на работата по преценката КЗЛИ уведомява в разумен срок физическото лице за резултата от нея, включително за всички предприети коригиращи действия, доколкото са приложими. Същевременно КЗЛИ информира физическото лице за възможността да поиска от компетентния публичен орган потвърждение на резултата и за названието на органа, до който следва да бъде отправено подобно искане. Възможността да се получи такава информация, в това число и мотивите за решението на компетентния орган, може да бъде от полза за физическото лице при предприемането на евентуални следващи действия, включително при търсене на защита по съдебен ред. Достъпът до подробна информация за заключенията от преценката може да бъде ограничен, доколкото има основателни причини да се смята, че предоставянето на такава информация би могло да изложи на риск висящото разследване.

(145)

Трето, физическо лице, което не е съгласно със съдебно решение за изземване (съдебна заповед) (118), отнасящо се до негови лични данни, или с полицейски или прокурорски мерки, предприети в изпълнение на такова решение, може да подаде молба за отмяна или изменение на въпросното решение или на съответните мерки (член 429, параграф 1 и член 430, параграфи 1 и 2 от НПК, член 26 от Закона за подслушването) (119). Ако второинстанционният съд прецени, че съдебната заповед или нейното изпълнение („процедура по изземване“) са незаконни, той ще уважи искането и ще разпореди иззетите вещи да бъдат върнати (120).

(146)

Четвърто, като по-косвена форма на съдебен контрол съществува възможността физическо лице, което смята, че събирането на личната му информация като част от наказателно разследване е било извършено незаконно, да се позове на тази незаконосъобразност на образувания срещу него процес пред наказателния съд. Ако съдът се съгласи с това твърдение, доказателството ще бъде изключено като недопустимо.

(147)

Накрая, съгласно член 1, параграф 1 от Закона за обезщетенията, дължими от държавата, съдът може да присъди обезщетение, когато при изпълнение на служебните си задължения държавен служител, който упражнява публична власт от името на държавата, е причинил незаконно и виновно (умишлено или по непредпазливост) вреди на съответното физическо лице. Съгласно член 4 от Закона за обезщетенията, дължими от държавата, отговорността на държавата за вреди почива на разпоредбите на Гражданския кодекс. В тази връзка член 710 от Гражданския кодекс предвижда, че отговорност се носи и за вредите, нанесени не само на имущество, тоест и за морални вреди (например под формата на „психично страдание“). Това включва случаите, при които неприкосновеността на личния живот на физическо лице е била накърнена чрез неправомерно наблюдение и/или събиране на негова лична информация (напр. незаконно изпълнение на съдебна заповед) (121).

(148)

В допълнение към паричното обезщетение физическите лица могат при определени обстоятелства да се възползват и от правна защита под формата на съдебно разпореждане (напр. за заличаване на личните данни, събрани от публичните органи), чрез позоваване на правата им на неприкосновеност на личния живот, залегнали в член 13 от Конституцията (122).

(149)

Във връзка с всички тези възможности за защита механизмът за решаване на спорове, създаден от японското правителство, предвижда, че физическо лице, което е останало неудовлетворено от резултата от процедурата, може да се обърне към КЗЛИ, „която информира лицето за различните възможности и за подробните процедури за получаване на защита съгласно законовите и подзаконовите актове на Япония“. Наред с това КЗЛИ „ще предостави на лицето подкрепа, включително съвети и помощ при сезиране на съответния административен или съдебен орган с евентуално искане“.

(150)

Това включва упражняването на процесуалните права по реда, предвиден в Наказателно-процесуалния кодекс. Така например, „[к]огато вследствие на преценката се установи, че дадено физическо лице е заподозряно в извършването на престъпление, КЗЛИ уведомява лицето за това“ (123), както и за предвидената в член 259 от НПК възможност то да поиска от прокуратурата да бъде уведомено, ако тя реши да не образува наказателно производство. Освен това, ако вследствие на преценката се установи, че е било образувано дело, по което личната информация на лицето е била използвана и това дело е приключило, КЗЛИ ще информира лицето за възможността да се запознае с протокола от делото по реда на член 53 от НПК (и член 4 от Закона за досиетата по приключени наказателни дела). Получаването на достъп до личното досие е от значение, тъй като то ще помогне на лицето да разбере по-добре проведеното срещу него разследване и съответно да подготви евентуален иск, с който да сезира съда (напр. иск за обезщетяване на вреди), ако счита, че данните му са били събрани или използвани неправомерно.

(151)

Според японските власти в Япония няма закон, който да разрешава отправянето на задължителни искания на информация или „административно подслушване“ извън рамките на наказателните разследвания. Следователно, когато са налице съображения за национална сигурност информацията може да се получава единствено от източник на информация, до който всеки може да има свободен достъп, или чрез доброволно разкриване. Стопанските субекти, до които бъде отправено искане за доброволно съдействие (под формата на разкриване на информация в електронна форма), не са правно задължени да предоставят такава информация (124).

(152)

Освен това според получената информация само четири държавни ведомства са оправомощени да събират информация в електронна форма, държана от японски стопански субекти, по съображения, свързани с националната сигурност: (i) Правителствената служба „Разузнаване и издирване“ (ПСРИ); (ii) Министерство на отбраната (МО); (iii) полицията (Национална служба „Полиция“ (НСП) (125) и полицията на префектурите); и iv) Агенция „Разузнаване във връзка с обществената сигурност“ (АРОС). ПСРИ обаче никога не събира информация пряко от стопанските субекти, включително чрез прихващане на съобщения. Когато тя получава информация от други държавни органи с цел да предостави анализ пред правителството, въпросните други органи трябва от своя страна да спазват законодателството, включително ограниченията и гаранциите, анализирани в настоящото решение. Следователно нейните дейности не са релевантни в контекста на прехвърлянето на данни.

(153)

Според получената информация МО събира информация (в електронна форма) на основание Закона за МО. Съгласно член 3 от този закон задачата на МО е да управлява и командва военните сили и „да осъществява дейностите, свързани с тях, с цел гарантиране на мира и независимостта на страната и безопасността на народа“. В член 4, параграф 4 се предвижда, че МО разполага с правомощия във връзка с „отбраната и охраната“, във връзка с действията, предприемани от силите за самоотбрана, както и във връзка с разгръщането на военните сили, включително събирането на информацията, необходима за осъществяването на тези дейности. То е оправомощено да събира информация (в електронна форма) от стопанските субекти само чрез доброволно съдействие.

(154)

Що се отнася до полицията на префектурите, нейните отговорности и задължения включват „поддържането на обществения ред и сигурност“ (член 35, параграф 2 във връзка с член 2, параграф 1 от Закона за полицията). В рамките на тази компетентност полицията може да събира информация, но само на доброволна основа, без принудителни мерки. Освен това действията на полицията са „строго ограничени“ до необходимото за изпълнението на нейните задължения. Също така тя е длъжна да действа „безпристрастно, непредубедено, без предразсъдъци и справедливо“ и не трябва никога да злоупотребява с правомощията си „по какъвто и да било начин, който би засегнал правата и свободите на физическите лица, гарантирани от Конституцията на Япония (член 2 от Закона за полицията).

(155)

И накрая, АРОС може да извършва разследвания съгласно Закона за предотвратяването на подривните дейности (ЗППД) и Закона за контролиране на организациите, извършили актове на безразборно масово убийство (ЗКО), когато тези разследвания са необходими, за да се подготви приемането на контролни мерки срещу някои организации (126). Съгласно тези два закона по искане на Генералния директор на АРОС Комисията за проучване на обществената сигурност може да издава определени „разпореждания“ (за наблюдение/забрани в случая на ЗКО (127), разпускане/забрани в случая на ЗППД (128)) като в тази връзка АРОС може да провежда разследвания (129). Според получената информация тези разследвания се провеждат винаги на доброволна основа, което означава, че АРОС не може да принуждава притежателя на лична информация да предостави такава информация (130). Във всеки отделен случай проверките и разследването се ограничават само до строго необходимото за постигане на целите на проверката и при никакви обстоятелства не ограничават „неоснователно“ правата и свободите, гарантирани от Конституцията на Япония (член 3, параграф 1 от ЗППД/ЗКО). Освен това съгласно член 3, параграф 2 от ЗППД/ЗКО АРОС не трябва при никакви обстоятелства да злоупотребява с тези проверки, нито с разследванията, извършвани с цел да се подготвят такива проверки. Ако служител на АРОС е злоупотребил с властта, предоставяна му от съответния закон, като е принудил дадено лице да направи нещо, което не е длъжно да прави, или като се е намесил в упражняването на правата от дадено лице, могат да му бъдат наложени наказателните санкции, предвидени в член 45 от ЗППД или член 42 от ЗКО. И накрая, в двата закона изрично се посочва, че техните разпоредби, включително предоставените с тях правомощия, „не могат при никакви обстоятелства да се тълкуват разширително“ (член 2 от ЗППД/ЗКО).

(156)

Във всички описани в настоящия раздел случаи на достъп на държавни органи по съображения за национална сигурност се прилагат ограниченията, посочени от Върховния съд на Япония във връзка с разследванията на доброволна основа, което означава, че събирането на информация (в електронна форма) трябва да е съобразено с принципите на необходимост и пропорционалност („целесъобразен метод“) (131). Както бе изрично потвърдено от японските органи, „събирането и обработката на информация се осъществяват само доколкото са необходими за изпълнението на конкретни задължения на компетентния публичен орган, и то при наличие на конкретни заплахи“. Следователно „това изключва масовото и безразборно събиране или достъп до лична информация по съображения, свързани с националната сигурност“ (132).

(157)

Също така, след като бъде събрана, всяка лична информация, запазена от публичните органи за целите на националната сигурност, попада в приложното поле на ЗЗЛИСАО и съответно се ползва от предвидената в него защита, когато става въпрос за последващото ѝ съхраняване, използване и разкриване (вж. съображение 118).

(158)

По отношение на събирането на лична информация за целите на националната сигурност се прилагат няколко нива на надзор от трите власти.

(159)

Първо, чрез своята специализирана комисия японският парламент може да разгледа въпроса за законосъобразността на разследванията като използва правомощията си за упражняване на парламентарен контрол (член 62 от Конституцията, член 104 от Закона за парламента; вж. съображение 134). За изпълнението на тази надзорна функция спомагат предвидените конкретни задължения за докладване във връзка с дейностите, осъществявани съгласно някои от посочените по-горе правни основания (133).

(160)

Второ, в рамките на изпълнителната власт съществуват няколко механизма за упражняване на надзор.

(161)

Що се отнася до МО надзорът се осъществява от Служба „Спазване на законодателството“, която се ръководи от главния инспектор (СГИ) (134). Тя е създадена на основание член 29 от Закона за Министерство на отбраната като служба в рамките на МО, поставена под надзора на министъра на отбраната (пред когото докладва), но е независима от оперативните подразделения на МО. СГИ има за задача да гарантира спазването на законовите и подзаконовите актове, както и да осигурява правилното изпълнение на служебните задължения от служителите на МО. Тя е оправомощена също така да извършва т.нар. „проверки в областта на отбраната“, които могат да се извършват както на редовни интервали от време („редовни проверки в областта на отбраната“), така и по отделни поводи („специални проверки в областта на отбраната“), като в миналото те са обхващали и проверките за правилното обработване на личната информация (135). При извършването на тези проверки СГИ може да влиза в обекти (служебни помещения) и да изисква да ѝ бъдат предоставени документи или информация, в това число и обяснения от заместника на заместник–министъра на МО. Всяка проверка приключва с доклад до министъра на отбраната, в който се излагат заключенията и необходимите мерки за внасяне на подобрения (чието изпълнение може също да бъде проверено чрез допълнителни проверки). Докладът на свой ред представлява основата за издаване на инструкции от министъра на отбраната за предприемане на мерките, необходими за промяна на положението; заместникът на заместник–министъра е натоварен с осъществяването на тези мерки и трябва да докладва за предприетите действия.

(162)

Във връзка с полицията на префектурата надзорът се осъществява от независимите комисии по въпросите на обществения ред към префектурите, както е обяснено в съображение 135 относно наказателното правоприлагане.

(163)

И накрая, както беше посочено, АРОС може да извършва разследвания само доколкото това е необходимо за приемането на разпореждания за забрана, разпускане или наблюдение съгласно ЗППД/ЗКО, като по отношение на тези разпореждания независимата (136) Комисия за проучване на обществената сигурност извършва предварителни проверки. Освен това редовните/периодичните проверки (при които се разглеждат цялостно операциите, провеждани от АРОС) (137) и специалните вътрешни проверки (138) на дейностите на отделните дирекции/отдели и др. се осъществяват от определени за целта инспектори и могат да доведат до издаването на инструкции до ръководителите на съответните дирекции и т.н. за предприемане на коригиращи мерки или мерки за внасяне на подобрения.

(164)

Тези механизми за упражняване на надзор, подсилени чрез възможността физическите лица да предизвикат намесата на КЗЛИ в качеството ѝ на независим надзорен орган (вж. по-долу съображение 168), осигуряват адекватни гаранции срещу рисковете от злоупотреба от страна на японските органи с правомощията им в областта на националната сигурност, както и срещу всяко неправомерно събиране на информация в електронна форма.

(165)

Когато става дума за индивидуална защита във връзка с личната информация, събрана и съответно „запазена“ от административни органи, последните са длъжни да „полагат усилия да обработват правилно и бързо жалбите“, отнасящи се до обработката (член 48 от ЗЗЛИСАО).

(166)

Освен това за разлика от наказателните разследвания, съгласно ЗЗЛИСАО физическите лица (включително чуждестранните граждани, живеещи в чужбина) по принцип имат право на разкриване (139), поправяне (включително заличаване) и преустановяване на използването/предоставянето. Независимо от това, ръководителят на административния орган може да откаже разкриването на информация „за която има основателни причини […] да се смята, че ако бъде разкрита, има вероятност да навреди на националната сигурност“ (член 14, точка iv) от ЗЗЛИСАО), като той може да стори това дори без да се разкрива съществуването на такава информация (член 17 от ЗЗЛИСАО). По същия начин, въпреки че физическото лице има право да поиска преустановяване на използването или заличаване съгласно член 36, параграф 1, точка i) от ЗЗЛИСАО в случай че административният орган е получил информацията незаконно или я запазва или използва извън рамките на необходимото за постигане на посочената цел, органът може да отхвърли искането, ако счете, че преустановяването на използването „има вероятност да попречи на правилното изпълнение на действията, отнасящи се до целта, за която се използва запазената лична информация, поради естеството на въпросните действия“ (член 38 от ЗЗЛИСАО). При все това, когато е възможно лесно да бъдат отделени и изключени отделни части, по отношение на които може да се приложи изключение, административните органи са задължени да разрешат поне частично разкриване (вж. напр. член 15, параграф 1 от ЗЗЛИСАО) (140).

(167)

Във всички случаи административният орган трябва да вземе писмено решение в определен срок (30 дни, като при определени условия срокът може да бъде удължен с още 30 дни). Ако искането бъде отхвърлено или удовлетворено само частично или ако физическото лице смята по други причини, че поведението на административния орган е „неправомерно или несправедливо“, въпросното физическо лице може да поиска преразглеждане по административен ред съгласно Закона за административното обжалване (141). В такъв случай ръководителят на административния орган, разглеждащ жалбата, се консултира с Апелативния съвет по въпросите на разкриването на информация и защита на личната информация (членове 42 и 43 от ЗЗЛИСАО) — специализиран, независим съвет, чиито членове се назначават от министър-председателя със съгласието на двете камари на парламента. Според получената информация Апелативният съвет може да извърши проверка (142), при което може да поиска от административния орган да предостави запазената лична информация, включително цялото класифицирано съдържание, както и друга информация и документи. Въпреки че крайният доклад, който се изпраща на жалбоподателя и на административния орган и се прави обществено достояние, не е правно обвързващ, направените в него заключения се следват в почти всички случаи (143).Освен това лицето има възможност да обжалва апелативното решение по съдебен ред съгласно Закона за административното съдопроизводство. Това дава възможност за осъществяване на съдебен контрол върху прибягването до изключение(я) по съображения, свързани с националната сигурност, включително относно това дали е налице злоупотреба с такова изключение, или то все още е оправдано.

(168)

С цел да улесни упражняването на гореописаните права, предоставяни от ЗЗЛИСАО, МВРС е създало 51 „всеобхватни информационни центъра“, които предоставят обединена информация за тези права, за приложимите процедури за отправяне на искания и за различните възможности за правна защита (144). Що се отнася до административните органи, те са длъжни да предоставят „информация, която допринася за конкретизирането на задържаната лична информация, която се държи“ (145) и да предприемат „други подходящи мерки като вземат под внимание удобството на лицето, което възнамерява да подаде искане“ (член 47, параграф 1 от ЗЗЛИСАО).

(169)

Както при разследванията в областта на наказателното правоприлагане, така и в областта на националната сигурност, физическите лица могат да получат индивидуална защита като се свържат директно с КЗЛИ. Това ще задейства специалната процедура за разрешаване на спорове, създадена от японското правителство за физическите лица от ЕС, чиито лични данни са предадени въз основа на настоящото решение (вж. подробните обяснения в съображения 141–144 и 149).

(170)

Наред с това физическите лица могат да търсят защита по съдебен ред под формата на иск за обезщетяване на вреди, предявен съгласно Закона за обезщетенията, дължими от държавата, който обхваща и неимуществените вреди, а при определени условия и заличаването на събраните данни (вж. съображение 147).

(171)

Комисията счита, че ЗЗЛИ, в съчетание с Допълнителните правила, съдържащи се в приложение I и официалните изявления, гаранции и ангажименти, съдържащи се в приложение II, осигуряват ниво на защита на личните данни, предадени от Европейския съюз, което по същество е равностойно на нивото, гарантирано от Регламент (ЕС) 2016/679.

(172)

Комисията смята освен това, че като цяло механизмите за упражняване на надзор и възможностите за правна защита, предвидени от японското право, позволяват нарушенията, допуснати от получилите данните ССОЛИ, да бъдат установени и реално наказани и предоставят на субекта на данните правни средства за защита за получаване на достъп до отнасящите се за него лични данни и в крайна сметка за поправяне или заличаване на такива данни.

(173)

Накрая, въз основа на наличната информация за правния ред на Япония, в това число изявленията, гаранциите и ангажиментите, поети от японското правителство и посочени в приложение II, Комисията счита, че всяко вмешателство във връзка с основните права на лицата, чиито лични данни са предадени от Европейския съюз към Япония, от страна на японските публични органи поради цели от обществен интерес, и по-специално цели в областта на наказателното правоприлагане и националната сигурност, ще бъде ограничено до строго необходимото за постигане на въпросната законосъобразна цел, както и че съществува реална правна защита срещу такова вмешателство.

(174)

Поради това, предвид изложените в настоящото решение констатации Комисията смята, че Япония осигурява адекватно ниво на защита на личните данни, предавани от Европейския съюз към ССОЛИ в Япония, по отношение на които се прилага ЗЗЛИ, освен в случаите, когато получателят попада в една от категориите, изброени в член 76, параграф 1 от ЗЗЛИ и всички или част от целите на обработването съответства(т) на една от целите, предвидени в тази разпоредба.

(175)

Въз основа на това Комисията стига до заключението, че стандартът за адекватно ниво на защита, предвиден в член 45 от Регламент (ЕС) 2016/679, тълкуван като се взема под внимание Хартата на основните права на Европейския съюз, по-специално в решението по делото Schrems (146), е изпълнен.

(176)

Според практиката на Съда на ЕС (147) и както е предвидено в член 45, параграф 4 от Регламент (ЕС) 2016/679, след като приеме решение относно адекватното ниво на защита Комисията следва непрекъснато да наблюдава релевантните промени в третата държава, за да прецени дали Япония продължава да гарантира ниво на защита, което по същество е равностойно на нивото в Европейския съюз. Такава проверка е наложителна във всички случаи, когато Комисията получи информация, която поражда основателни съмнения в това отношение.

(177)

Следователно Комисията следва да осъществява постоянно наблюдение на ситуацията що се отнася до нормативната уредба и реалната практика при обработването на лични данни, както са оценени в настоящото Решение, включително спазването от японските органи на изявленията, гаранциите и ангажиментите, посочени в приложение II. За да се улесни този процес, от японските органи се очаква да информират Комисията за съществените промени, имащи отношение към настоящото решение и свързани с обработването на лични данни от стопанските субекти или с ограниченията и гаранциите, приложими към достъпа до лични данни от страна на публичните органи. Това следва да включва всички решения, приети от КЗЛИ съгласно член 24 от ЗЗЛИ, с които се признава, че трета държава осигурява ниво на защита, което е равностойно на нивото, гарантирано в Япония.

(178)

На следващо място, за да се даде възможност на Комисията да изпълнява ефективно функцията си по извършване на мониторинг, държавите членки следва да я информират за всички релевантни действия, предприети от националните органи по защита на данните (ОЗД), по-специално във връзка със запитвания или жалби на субекти на данни от ЕС във връзка с предаване на лични данни от Европейския съюз към стопански субекти в Япония. Комисията следва да бъде информирана и за всякакви признаци, че действията на японските публични органи, отговарящи за предотвратяването, разследването, разкриването или наказателното преследване на престъпления или за националната сигурност, включително надзорните органи, не гарантират изискваното ниво на защита.

(179)

Държавите членки и техните органи са задължени да предприемат необходимите мерки за спазване на актовете на институциите на Съюза, тъй като тези актове по презумпция са законосъобразни и съответно произвеждат правно действие докато не бъдат оттеглени, отменени вследствие на жалба за отмяна или обявени за невалидни вследствие на производство по постановяване на преюдициално запитване или възражение за незаконосъобразност. Следователно решение на Комисията относно адекватното ниво на защита, прието съгласно член 45, параграф 3 от Регламент (ЕС) 2016/679, е обвързващо за всички органи на държавите членки, адресати на решението, включително за независимите им надзорни органи. Същевременно, както е обяснено от Съда в решението му по делото Schrems (148) и е признато в член 58, параграф 5 от ОРЗД, когато ОЗД поставя под въпрос, включително въз основа на получена жалба, съгласуваността на дадено решение на Комисията относно адекватно ниво на защита с основните права на неприкосновеност на личния живот и на защита на данните на лицето, националното законодателство трябва да предвижда правни способи, позволяващи на съответния орган да представи възраженията си пред национална юрисдикция, и ако последната споделя съмненията, трябва да спре производството и да сезира Съда на ЕС с преюдициално запитване (149).

(180)

В приложение на член 45, параграф 3 от Регламент (ЕС) 2016/679 (150) и с оглед на факта, че нивото на защита, осигурявано от японския правен ред, може да се промени, след приемането на настоящото решение Комисията следва периодично да проверява дали констатациите във връзка с адекватното ниво на защита, гарантирано от Япония, са все още фактически и правно обосновани.

(181)

За тази цел първи преглед на настоящото решение следва да бъде извършен в срок от две години след влизането му в сила. След този първи преглед и в зависимост от резултата от него Комисията ще реши, в тесни консултации с комитета, създаден съгласно член 93, параграф 1 от ОРЗД, дали следва да се запази същият двугодишен цикъл. При всички случаи последващите прегледи следва да се извършват най-малко веднъж на четири години (151). Прегледът следва да обхваща всички аспекти от функционирането на настоящото решение, и по-специално прилагането на Допълнителните правила (като се обръща специално внимание на защитата в случай на последващо предаване), прилагането на правилата относно съгласието, включително в случай на оттеглянето му, ефективността при упражняването на индивидуалните права, както и ограниченията и гаранциите във връзка с достъпа на държавните органи, включително механизма за правна защита, посочен в приложение II към настоящото решение. Той следва да обхваща също ефективността на надзора и правоприлагането, що се отнася до правилата, които се прилагат спрямо ССТЛИ и в областта на наказателното правоприлагане и националната сигурност.

(182)

При извършването на прегледа Комисията следва да се срещне с КЗЛИ, придружена, ако е целесъобразно, от други японски органи, отговарящи за достъпа на държавните органи, включително съответните надзорни органи. В тази среща следва да могат да участват представители на членовете на Европейския комитет по защита на данните (ЕКЗД). В рамките на съвместния преглед Комисията следва да поиска от КЗЛИ да предостави изчерпателна информация по всички аспекти, които са от значение за установяването на адекватно ниво на защита, включително относно ограниченията и гаранциите във връзка с достъпа на държавните органи (152). Комисията следва също така да потърси обяснения във връзка с всяка получена от нея информация, която е от значение за настоящото решение, включително публични доклади на японските органи или на други заинтересовани страни в Япония, ЕКЗД, отделни ОЗД, групи на гражданското общество, съобщения в медиите или всякакви други налични източници на информация.

(183)

Въз основа на съвместния преглед Комисията следва да изготви публичен доклад, който се представя на Европейския парламент и на Съвета.

(184)

Ако въз основа на редовните проверки, проверките ad hoc или друга налична информация Комисията стигне до заключение, че вече не може да се счита, че нивото на защита, предоставяна от японския правен ред, по същество е равностойно на нивото в Европейския съюз, тя следва да уведоми за това компетентните японски органи и да поиска предприемане на подходящи мерки в определен разумен срок. Това включва както правилата, приложими за стопанските субекти, така и тези, приложими за японските публични органи, отговарящи за наказателното правоприлагане или националната сигурност. Така например тази процедура ще бъде задействана в случаите, когато последващите предавания — включително въз основа на решенията, приети от КЗЛИ по силата на член 24 от ЗЗЛИ, с които се признава, че трета държава осигурява ниво на защита, което е равностойно на нивото, гарантирано в Япония — вече няма да се извършват при прилагане на гаранциите, осигуряващи непрекъснатостта на защитата по смисъла на член 44 от ОРЗД.

(185)

Ако след изтичане на посочения срок компетентните японски органи не са успели да покажат по задоволителен начин, че настоящото решение продължава да почива на адекватно ниво на защита, Комисията, в приложение на член 45, параграф 5 от Регламент (ЕС) 2016/679, следва да започне процедурата за частично или пълно спиране на прилагането на настоящото решение или за неговата отмяна. Като алтернативна възможност Комисията следва да започва процедурата за изменение на настоящото решение, по-специално чрез въвеждане на допълнителни условия за извършването на предаване на данни или чрез ограничаване на обхвата на констатацията за адекватност на нивото на защита само до предаванията на данни, за които непрекъснатостта на защитата по смисъла на член 44 от ОРЗД е гарантирана.

(186)

В частност, Комисията следва да започва процедурата за спиране на прилагането или за отмяна на решението, ако има индикации, че Допълнителните правила, съдържащи се в приложение I, не се спазват от стопанските субекти, получаващи лични данни въз основа на настоящото решение, и/или не се прилагат ефетивно, или че японските органи не спазват изявленията, гаранциите и ангажиментите, посочени в приложение II към настоящото решение.

(187)

Комисията следва също така да разгледа необходимостта от започване на процедурата, водеща до изменение, спиране на прилагането или отмяна на настоящото решение, ако при съвместния преглед или по друг повод компетентните японски органи не предоставят информацията или поясненията, необходими за оценката на нивото на защита на личните данни, предавани от Европейския съюз към Япония, или за спазването на настоящото решение. В тази връзка Комисията следва да взема предвид степента, в която съответната информация може да бъде набавена от други източници.

(188)

При надлежно обосновани съображения за спешност, като например опасност от сериозно нарушаване на правата на субектите на данни, Комисията следва да разглежда необходимостта от приемане на решение — което ще следва да се прилага веднага — за спиране на прилагането или за отмяна на настоящото решение, съгласно предвиденото в член 93, параграф 3 от Регламент (ЕС) 2016/679 във връзка с член 8 от Регламент (ЕС) № 182/2011 на Европейския парламент и на Съвета (153).

(189)

Европейският комитет по защита на данните публикува становището си (154), като то бе взето предвид при изготвянето на настоящото решение.

(190)

Европейският парламент прие резолюция относно стратегия за електронна търговия, в която призова Комисията да даде приоритет и ускори приемането на решения относно адекватността по отношение на важни търговски партньори и като спазва условията, предвидени в Регламент (ЕС) 2016/679, тъй като те са важен механизъм за осигуряване на гаранции при предаването на лични данни от Европейския съюз (155).Европейският парламент прие също така резолюция относно адекватността на нивото на защитата на личните данни, предоставяна от Япония (156).

(191)

Мерките, предвидени в настоящото решение, са в съответствие със становището на комитета, учреден съгласно член 93, параграф 1 от ОРЗД,