(1)

Nařízení (EU) 2016/679 stanoví pravidla pro předávání osobních údajů správci nebo zpracovateli v Evropské unii do třetích zemí a mezinárodním organizacím, pokud toto předávání spadá do oblasti působnosti uvedeného nařízení. Pravidla pro mezinárodní předávání osobních údajů stanoví kapitola V uvedeného nařízení, a konkrétně články 44 až 50. Tok osobních údajů do zemí mimo Evropskou unii a z těchto zemí je nezbytný pro rozšiřování mezinárodní spolupráce a mezinárodního obchodu, a současně zaručit, aby nebyla oslabena úroveň ochrany poskytovaná osobním údajům v Evropské unii.

(2)

Podle čl. 45 odst. 3 nařízení (EU) 2016/679 může Komise prostřednictvím prováděcího aktu rozhodnout, že určitá třetí země, určité území či jedno nebo více konkrétních odvětví v určité třetí zemi nebo určitá mezinárodní organizace zajišťuje odpovídající úroveň ochrany. Za této podmínky lze osobní údaje do této třetí země, na toto území, do tohoto odvětví nebo této mezinárodní organizaci předat bez potřeby získat další povolení podle čl. 45 odst. 1 a 103. bodu odůvodnění uvedeného nařízení.

(3)

Podle čl. 45 odst. 2 nařízení (EU) 2016/679 musí přijetí rozhodnutí o odpovídající ochraně vycházet z komplexní analýzy právního řádu dané třetí země, a to jak z hlediska pravidel použitelných pro dovozce údajů, tak z hlediska omezení a záruk vztahujících se k přístupu orgánů veřejné moci k osobním údajům. Posouzení musí určit, zda daná třetí země zaručí úroveň ochrany „v zásadě rovnocennou“ úrovni ochrany zajištěné v Evropské unii (104. bod odůvodnění nařízení (EU) 2016/679). Jak objasnil Soudní dvůr Evropské unie, nevyžaduje to stejnou úroveň ochrany (2). Zejména prostředky, které dotyčná třetí země využívá, se mohou lišit od prostředků zavedených v Evropské unii, pokud se v praxi ukážou jako účinné k zajištění odpovídající úrovně ochrany (3). Standard odpovídající ochrany tedy nevyžaduje opakování pravidel Unie slovo od slova. Kritériem je spíše to, zda zahraniční systém jako celek zajišťuje prostřednictvím podstaty práva na soukromí a jeho účinného uplatňování, dozoru a vymáhání požadovanou úroveň ochrany (4).

(4)

Komise pečlivě analyzovala japonské právní předpisy a praxi. Na základě zjištění uvedených v 6. až 175. bodě odůvodnění dospěla Komise k závěru, že Japonsko zajišťuje odpovídající úroveň ochrany osobních údajů předávaných organizacím, které spadají do oblasti působnosti zákona o ochraně osobních informací (5) a které podléhají dalším podmínkám uvedeným v tomto rozhodnutí. Tyto podmínky jsou stanoveny v doplňkových pravidlech (příloha I) přijatých Komisí pro ochranu osobních informací (6) a v oficiálních prohlášeních, ujištěních a závazcích japonské vlády pro Evropskou komisi (příloha II).

(5)

Toto rozhodnutí má účinek v tom smyslu, že předávání údajů od správce nebo zpracovatele v Evropském hospodářském prostoru (EHP) (7) takovým organizacím v Japonsku může probíhat bez potřeby získat další povolení. Tímto rozhodnutím není dotčeno přímé uplatňování nařízení (EU) 2016/679 na tyto organizace, pokud jsou splněny podmínky jeho článku 3.

(6)

Právní systém upravující ochranu soukromí a údajů v Japonsku se opírá o Ústavu vyhlášenou v roce 1946.

(7)

Článek 13 Ústavy stanoví:

„Všichni lidé jsou respektováni jako jednotlivci. Jejich právo na život, svobodu a usilování o štěstí, pokud nenarušuje veřejné blaho, je nejvýznamnějším kritériem v zákonodárství a jiných záležitostech státu.“

(8)

Na základě tohoto článku japonský Nejvyšší soud objasnil práva fyzických osob, pokud jde o ochranu osobních informací. V rozhodnutí z roku 1969 uznal Nejvyšší soud právo na soukromí a ochranu údajů jako ústavní právo (8). Soud zejména konstatoval, že „každý může svobodně chránit své osobní informace před bezdůvodným zpřístupněním třetí straně nebo zveřejněním“. Kromě toho v rozsudku ze dne 6. března 2008 (dále jen „rozsudek ve věci Juki-Net“) (9) Nejvyšší soud konstatoval, že „svoboda občanů v soukromém životě je chráněna před výkonem veřejné moci a lze mít za to, že jednou ze svobod jednotlivce v soukromém životě je, že každý může svobodně chránit své osobní informace před bezdůvodným zpřístupněním třetí straně nebo zveřejněním“ (10).

(9)

Dne 30. května 2003 Japonsko schválilo řadu právních předpisů v oblasti ochrany údajů:

(10)

Poslední dva uvedené zákony (novelizované v roce 2016) obsahují ustanovení použitelná pro ochranu osobních informací subjekty veřejného sektoru. Zpracování údajů spadající do oblasti působnosti těchto zákonů není předmětem zjištění o odpovídající úrovni ochrany obsaženého v tomto rozhodnutí, které se omezuje na ochranu osobních informací „podnikatelskými subjekty nakládajícími s osobními informacemi“ ve smyslu zákona o ochraně osobních informací.

(11)

Zákon o ochraně osobních informací byl v posledních letech reformován. Novelizovaný zákon o ochraně osobních informací byl vyhlášen dne 9. září 2015 a nabyl účinnosti dne 30. května 2017. Novela zavedla řadu nových záruk a rovněž posílila stávající záruky, čímž japonský systém ochrany údajů přiblížila evropskému systému. To zahrnuje například soubor vymahatelných individuálních práv nebo zřízení nezávislého dozorového úřadu (Komise pro ochranu osobních informací) pověřeného dozorem nad zákonem o ochraně osobních informací a jeho prosazováním.

(12)

Kromě zákona o ochraně osobních informací podléhá zpracování osobních informací spadajících do oblasti působnosti tohoto rozhodnutí prováděcím pravidlům vydaným na základě zákona o ochraně osobních informací. Zahrnuje to novelu nařízení kabinetu o prosazování zákona o ochraně osobních informací ze dne 5. října 2016 a tzv. pravidla prosazování zákona o ochraně osobních informací přijatá Komisí pro ochranu osobních informací (11). Oba soubory pravidel jsou právně závazné a vymahatelné a nabyly účinnosti ve stejnou dobu jako novelizovaný zákon o ochraně osobních informací.

(13)

Kromě toho dne 28. října 2016 japonský kabinet (sestávající z premiéra a ministrů, kteří tvoří jeho vládu) vydal „základní politiku“ s cílem „komplexně a uceleně podpořit opatření týkající se ochrany osobních informací“. Podle článku 7 zákona o ochraně osobních informací se „základní politika“ vydává v podobě rozhodnutí kabinetu a zahrnuje směry politiky týkající se prosazování zákona o ochraně osobních informací určené ústředním a místním vládním institucím.

(14)

Rozhodnutím kabinetu ze dne 12. června 2018 japonská vláda „základní politiku“ nedávno pozměnila. Za účelem usnadnění mezinárodního předávání údajů uvedené rozhodnutí kabinetu přenáší na Komisi pro ochranu osobních informací jakožto orgán příslušný spravovat a provádět zákon o ochraně osobních informací „pravomoc přijímat nezbytná opatření k překlenutí rozdílů mezi systémy a operacemi Japonska a dotyčné cizí země na základě článku 6 zákona s cílem zajistit vhodné nakládání s osobními informacemi přijatými z takové země“. Rozhodnutí kabinetu stanoví, že to zahrnuje pravomoc zavést zesílené ochrany tím, že Komise pro ochranu osobních informací přijme přísnější pravidla, která doplní a zpřísní pravidla stanovená v zákoně o ochraně osobních informací a nařízení kabinetu. Podle uvedeného rozhodnutí budou tato přísnější pravidla pro japonské podnikatelské subjekty závazná a vymahatelná.

(15)

Na základě článku 6 zákona o ochraně osobních informací a uvedeného rozhodnutí kabinetu přijala Komise pro ochranu osobních informací dne 15. června 2018„doplňková pravidla podle zákona o ochraně osobních informací pro nakládání s osobními údaji předávanými z EU na základě rozhodnutí o odpovídající ochraně“ (dále jen „doplňková pravidla“) s cílem posílit ochranu osobních informací předávaných z Evropské unie do Japonska na základě tohoto rozhodnutí o odpovídající ochraně. Tato doplňková pravidla jsou pro japonské podnikatelské subjekty právně závazná a vymahatelná, a to jak ze strany Komise pro ochranu osobních informací, tak ze strany soudů, stejně jako ustanovení zákona o ochraně osobních informací, která doplňují přísnějšími a/nebo podrobnějšími pravidly (12). Jelikož japonské podnikatelské subjekty získávající a/nebo dále zpracovávající osobní údaje z Evropské unie budou mít zákonnou povinnost doplňková pravidla dodržovat, budou muset zajistit (např. technickými prostředky („označováním“) nebo organizačními prostředky (ukládáním ve vyhrazené databázi)), že jsou schopny takovéto osobní údaje identifikovat po celou dobu jejich „životního cyklu“ (13). V následujících oddílech je analyzován obsah každého doplňkového pravidla v rámci posouzení článků zákona o ochraně osobních informací, které dané pravidlo doplňuje.

(16)

Na rozdíl od novely z roku 2015, kdy toto spadalo do působnosti různých japonských ministerstev v jednotlivých odvětvích, zákon o ochraně osobních informací zmocňuje Komisi pro ochranu osobních informací k přijetí „pokynů“„s cílem zajistit, aby opatření, které má určitý podnikatelský subjekt“ podle pravidel ochrany osobních údajů „přijmout, bylo provedeno řádně a účinně“. Prostřednictvím svých pokynů Komise pro ochranu osobních informací poskytuje závazný výklad těchto pravidel, a zejména zákona o ochraně osobních informací. Podle informací obdržených od Komise pro ochranu osobních informací tvoří tyto pokyny nedílnou součást právního rámce a mají být vykládány ve spojení s textem zákona o ochraně osobních informací, nařízení kabinetu, pravidel Komise pro ochranu osobních informací a souboru otázek a odpovědí (14) vypracovaného Komisí pro ochranu osobních informací. Jsou proto „závazné pro podnikatelské subjekty“. Pokud pokyny uvádějí, že podnikatelský subjekt „musí“ nebo „by neměl“ jednat určitým způsobem, Komise pro ochranu osobních informací bude mít za to, že nedodržení příslušných ustanovení představuje porušení zákona (15).

(17)

Oblast působnosti zákona o ochraně osobních informací je dána definovanými koncepty osobních informací, osobních údajů a podnikatelského subjektu nakládajícího s osobními informacemi. Souběžně zákon o ochraně osobních informací stanoví některé důležité výjimky z této oblasti působnosti, zejména pro anonymně zpracovávané osobní údaje a pro konkrétní typy zpracování určitými subjekty. Zákon o ochraně osobních informací sice nepoužívá pojem „zpracování“, vychází však z rovnocenného konceptu „nakládání“, který podle informací obdržených od Komise pro ochranu osobních informací zahrnuje „jakékoli zacházení s osobními údaji“ včetně získání, vstupu, shromáždění, uspořádání, uložení, úpravy/zpracování, obnovení, výmazu, výstupu, použití nebo poskytnutí osobních informací.

(18)

Zaprvé, pokud jde o věcnou působnost, zákon o ochraně osobních informací odlišuje osobní informace od osobních údajů a na kategorii osobních informací se vztahují pouze určitá ustanovení zákona. Podle čl. 2 odst. 1 zákona o ochraně osobních informací koncept „osobních informací“ zahrnuje jakékoli informace týkající se žijící fyzické osoby, které umožňují tuto osobu identifikovat. Definice rozlišuje dvě kategorie osobních informací: i) individuální identifikační kódy a ii) jiné osobní informace, jejichž pomocí lze identifikovat konkrétní fyzickou osobu. Druhá kategorie zahrnuje rovněž informace, které samy o sobě identifikaci neumožňují, ale pokud jsou „snadno propojitelné“ s jinými informacemi, identifikaci konkrétní fyzické osoby umožňují. Podle pokynů Komise pro ochranu osobních informací (16) se skutečnost, zda lze informace považovat za „snadno propojitelné“, posuzuje individuálně s přihlédnutím ke skutečné situaci („stavu“) podnikatelského subjektu. To bude předpokládáno, pokud propojení je (nebo může být) provedeno průměrným („běžným“) podnikatelským subjektem používajícím prostředky, které má tento subjekt k dispozici. Například informace nejsou „snadno propojitelné“ s jinými informacemi, pokud podnikatelský subjekt musí vyvinout neobvyklé úsilí nebo se dopustit protiprávního jednání, aby získal informace, které mají být propojeny, od jednoho nebo více jiných podnikatelských subjektů.

(19)

Pod pojem „osobní údaje“ spadají podle zákona o ochraně osobních informací pouze určité formy osobních informací. „Osobní údaje“ jsou vymezeny jako „osobní informace tvořící databázi osobních informací“, tj. „kolektivní soubor informací“ zahrnující osobní informace „systematicky uspořádané tak, aby umožňovaly vyhledávání konkrétních osobních informací za použití počítače“ (17) nebo „určené nařízením kabinetu jako systematicky uspořádané tak, aby umožňovaly snadné vyhledávání konkrétních osobních informací“, avšak „s výjimkou informací určených nařízením kabinetu jako informace, u nichž existuje omezená možnost zásahu do individuálních práv a zájmů s ohledem na metodu jejich využití“ (18).

(20)

Tato výjimka je dále specifikována v čl. 3 odst. 1 nařízení kabinetu, podle kterého musí být splněny tyto tři kumulativní podmínky: i) kolektivní soubor informací musel být „vydán pro účely prodeje velkému množství neurčených osob a jeho vydání nebylo v rozporu s ustanoveními zákona nebo nařízení z něj vycházejícího“; ii) musí umožňovat „zakoupení velkým množstvím neurčených osob, a to kdykoliv“ a iii) osobní údaje v tomto souboru obsažené musí být „poskytnuty pro jejich původní účel bez doplňování jiných informací souvisejících s žijící osobou“. Podle vysvětlení obdržených od Komise pro ochranu osobních informací byla tato úzce vymezená výjimka zavedena s cílem vyloučit telefonní seznamy nebo obdobné typy seznamů.

(21)

Pokud jde o údaje shromažďované v Japonsku, je toto rozlišení mezi „osobními informacemi“ a „osobními údaji“ relevantní, protože takové informace nemusí být vždy součástí „databáze osobních informací“ (například jednotný soubor údajů shromážděných a zpracovaných ručně), a proto se daná ustanovení zákona o ochraně osobních informací, která se vztahují pouze k osobním údajům, nepoužijí (19).

(22)

Toto rozlišení naopak nebude relevantní pro osobní údaje dovážené z Evropské unie do Japonska na základě rozhodnutí o odpovídající ochraně. Jelikož budou takové údaje obvykle předávány elektronickými prostředky (vzhledem k tomu, že v digitální době je to obvyklý způsob výměny údajů, zejména na dlouhé vzdálenosti mezi EU a Japonskem), a stanou se tedy součástí elektronické evidence dovozce údajů, takovéto údaje z EU budou spadat do kategorie „osobních údajů“ podle zákona o ochraně osobních informací. Pokud by ve výjimečném případě byly osobní údaje předávány z EU jinými prostředky (např. v papírové podobě), bude se na ně zákon o ochraně osobních informací vztahovat, jestliže se po předání stanou součástí „kolektivního souboru informací“ systematicky uspořádaného tak, aby umožňoval snadné vyhledávání konkrétních informací (čl. 2 odst. 4 bod ii) zákona o ochraně osobních informací). Podle čl. 3 odst. 2 nařízení kabinetu tento případ nastane, pokud jsou informace uspořádány „podle určitého pravidla“ a databáze zahrnuje nástroje jako například obsah nebo rejstřík pro snazší vyhledávání. To odpovídá definici „evidence“ ve smyslu čl. 2 odst. 1 obecného nařízení o ochraně osobních údajů.

(23)

Určitá ustanovení zákona o ochraně osobních informací, zejména články 27 až 30 týkající se individuálních práv, se vztahují pouze na určitou kategorii osobních údajů, konkrétně „uchovávané osobní údaje“. Ty jsou vymezeny v čl. 2 odst. 7 zákona o ochraně osobních informací jako osobní údaje jiné než ty, které i) „jsou určeny nařízením kabinetu jako údaje, které pravděpodobně poškodí veřejné nebo jiné zájmy, pokud bude jejich přítomnost nebo absence zveřejněna“, nebo ii) „mají být vymazány ve lhůtě nepřesahující jeden rok, která je stanovena nařízením kabinetu“.

(24)

Pokud jde o první z uvedených dvou kategorií, je vysvětlena v článku 4 nařízení kabinetu a zahrnuje čtyři typy výjimek (20). Tyto výjimky mají obdobné cíle, jako jsou cíle uvedené v čl. 23 odst. 1 nařízení (EU) 2016/679, zejména ochranu subjektu údajů (v terminologii zákona o ochraně osobních informací „zmocnitel“) a svobodu druhých, národní bezpečnost, veřejnou bezpečnost, prosazování trestního práva nebo jiné důležité cíle obecného veřejného zájmu. Ze znění čl. 4 odst. 1 bodů. i) až iv) nařízení kabinetu navíc vyplývá, že předpokladem jejich uplatnění je vždy konkrétní riziko pro některý z chráněných důležitých zájmů (21).

(25)

Druhá kategorie je podrobněji specifikována v článku 5 nařízení kabinetu. Ve spojení s čl. 2 odst. 7 zákona o ochraně osobních informací jsou tímto z oblasti působnosti pojmu „uchovávané osobní údaje“, a tedy z individuálních práv podle zákona o ochraně osobních informací, vyňaty ty osobní údaje, které „mají být vymazány“ ve lhůtě šesti měsíců. Komise pro ochranu osobních informací vysvětlila, že cílem této výjimky je motivovat podnikatelské subjekty, aby údaje uchovávaly a zpracovávaly nejkratší možnou dobu. To by však znamenalo, že subjekty údajů z EU by nemohly využívat důležitých práv pouze z důvodu doby uchovávání jejich údajů dotyčným podnikatelským subjektem.

(26)

Pro vyřešení této situace vyžaduje doplňkové pravidlo 2, aby se s osobními údaji předávanými z Evropské unie „nakládalo jako s uchovávanými osobními údaji ve smyslu čl. 2 odst. 7 zákona bez ohledu na lhůtu, v níž mají být vymazány“. Doba uchovávání nebude mít žádný vliv na práva poskytovaná subjektům údajů z EU.

(27)

Požadavky vztahující se na anonymně zpracovávané osobní informace vymezené v čl. 2 odst. 9 zákona o ochraně osobních informací jsou stanoveny v oddíle 2 kapitole 4 zákona („Povinnosti podnikatelského subjektu nakládajícího s anonymně zpracovávanými informacemi“). Takové informace se naopak neřídí ustanoveními oddílu 1 kapitoly IV zákona o ochraně osobních informací, který obsahuje články, které stanoví záruky a práva v oblasti ochrany údajů vztahující se na zpracování osobních údajů podle uvedeného zákona. „Anonymně zpracovávané osobní informace“ tedy sice nepodléhají „standardním“ pravidlům ochrany údajů (stanoveným v oddíle 1 kapitole IV a v článku 42 zákona o ochraně osobních informací), spadají však do oblasti působnosti zákona o ochraně osobních informací, zejména článků 36 až 39.

(28)

Podle čl. 2 odst. 9 zákona o ochraně osobních informací „anonymně zpracovávané osobní informace“ jsou informace týkající se fyzické osoby, které „vznikly zpracováním osobních informací“ prostřednictvím opatření stanovených v zákoně o ochraně osobních informací (čl. 36 odst. 1) a uvedených v pravidlech Komise pro ochranu osobních informací (článek 19), v důsledku čehož již není možné určit konkrétní fyzickou osobu nebo obnovit osobní informace.

(29)

Z uvedených ustanovení vyplývá, a potvrdila to také Komise pro ochranu osobních informací, že proces „anonymizace“ osobních informací nemusí být technicky nevratný. Podle čl. 36 odst. 2 zákona o ochraně osobních informací se pouze vyžaduje, aby podnikatelské subjekty nakládající s „anonymně zpracovávanými osobními informacemi“ zabránily opětovné identifikaci přijetím opatření, která zajistí bezpečnost „popisů atd., a vymazáním individuálních identifikačních kódů z osobních informací používaných k získání anonymně zpracovávaných informací a informací týkajících se použité metody zpracování“.

(30)

Vzhledem k tomu, že „anonymně zpracovávané osobní informace“ vymezené zákonem o ochraně osobních informací zahrnují údaje, u nichž je opětovná identifikace fyzické osoby stále možná, mohlo by to znamenat, že osobní údaje předávané z Evropské unie by mohly přijít o část dostupných ochran během procesu, který by podle nařízení (EU) 2016/679 byl považován za formu „pseudonymizace“ spíše než „anonymizace“ (tedy beze změny jejich povahy jakožto osobních údajů).

(31)

Pro řešení této situace doplňková pravidla stanoví dodatečné požadavky vztahující se pouze na osobní údaje předávané z Evropské unie podle tohoto rozhodnutí. Podle pravidla 5 doplňkových pravidel se takové osobní informace považují za „anonymně zpracovávané osobní informace“ ve smyslu zákona o ochraně osobních informací“ pouze „v případě, že podnikatelský subjekt nakládající s osobními informacemi přijme opatření, na jejichž základě bude anonymizace fyzické osoby pro všechny nevratná, včetně vymazání informací týkajících se metody zpracování atd.“ Ty jsou v doplňkových pravidlech vymezeny jako informace související s popisy a individuálními identifikačními kódy, které byly vymazány z osobních informací použitých k vytváření „anonymně zpracovávaných osobních informací“, a rovněž jako informace související s použitou metodou zpracování, pokud byly tyto popisy a individuální identifikační kódy vymazány. Jinými slovy doplňková pravidla vyžadují, aby podnikatelský subjekt vytvářející „anonymně zpracovávané osobní informace“ zničil „klíč“ umožňující opětovnou identifikaci údajů. To znamená, že osobní údaje pocházející z Evropské unie podléhají ustanovením zákona o ochraně osobních informací, která se týkají „anonymně zpracovávaných osobních informací“ pouze v případech, kdy by tyto informace byly pravděpodobně považovány za anonymní i podle nařízení (EU) 2016/679 (22).

(32)

Z hlediska osobní oblasti působnosti se zákon o ochraně osobních informací vztahuje pouze na podnikatelské subjekty nakládající s osobními informacemi. Podnikatelský subjekt nakládající s osobními informacemi je vymezen v čl. 2 odst. 5 zákona o ochraně osobních informací jako „osoba poskytující databázi osobních informací atd. pro účely podnikání“ s výjimkou vládních a správních agentur, a to jak na ústřední, tak na místní úrovni.

(33)

Podle pokynů Komise pro ochranu osobních informací se „podnikáním“ rozumí jakékoli „jednání zaměřené na provozování společensky uznávaného podniku, a to s určitým cílem, za účelem zisku nebo neziskově, opakovaně a nepřetržitě“. Organizace bez právní subjektivity (jako například sdružení de facto) nebo fyzické osoby se považují za podnikatelský subjekt nakládající s osobními informacemi, pokud pro své podnikání poskytují (používají) databázi osobních informací atd (23). Pojem „podnikání“ podle zákona o ochraně osobních informací je tedy velmi široký, neboť zahrnuje nejen činnosti za účelem zisku, ale i činnosti neziskové provozované různými typy organizací a fyzických osob. „Použití pro účely podnikání“ navíc zahrnuje také osobní informace, které se nepoužívají v obchodních (vnějších) vztazích subjektu, ale interně, například pro zpracování údajů o zaměstnancích.

(34)

Pokud jde o příjemce ochran stanovených v zákoně o ochraně osobních informací, zákon nečiní rozdíl na základě státní příslušnosti, bydliště nebo místa fyzické osoby. Totéž platí pro možnost fyzických osob domáhat se ochrany, ať už u Komise pro ochranu osobních informací, nebo u soudů.

(35)

Zákon o ochraně osobních informací nijak nerozlišuje mezi povinnostmi uloženými správcům a zpracovatelům. Neexistence tohoto rozlišení neovlivňuje úroveň ochrany, protože všechny podnikatelské subjekty nakládající s osobními informacemi podléhají všem ustanovením zákona. Podnikatelský subjekt nakládající s osobními informacemi, který zpracování osobních údajů svěří zmocněnci (ekvivalent zpracovatele podle obecného nařízení o ochraně osobních údajů), má i nadále povinnosti podle zákona o ochraně osobních informací a doplňkových pravidel, pokud jde o svěřené údaje. Kromě toho podle článku 22 zákona o ochraně osobních informací je tento subjekt povinen nad zmocněncem „vykonávat potřebný a přiměřený dohled“. Jak potvrdila Komise pro ochranu osobních informací, samotný zmocněnec je pak vázán všemi povinnostmi podle zákona o ochraně osobních informací a doplňkových pravidel.

(36)

Článek 76 zákona o ochraně osobních informací vylučuje určité typy zpracování údajů z působnosti kapitoly IV zákona, která obsahuje ustanovení o centrální ochraně údajů (základní zásady, povinnosti podnikatelských subjektů, individuální práva, dohled ze strany Komise pro ochranu osobních informací). Zpracování, na které se vztahuje odvětvová výjimka uvedená v článku 76, je rovněž vyjmuto z vymáhacích pravomocí Komise pro ochranu osobních informací podle čl. 43 odst. 2 zákona o ochraně osobních informací (24).

(37)

Příslušné kategorie pro odvětvovou výjimku v článku 76 zákona o ochraně osobních informací jsou vymezeny použitím dvou kritérií na základě typu podnikatelského subjektu nakládajícího s osobními informacemi, který zpracovává osobní informace, a účelu zpracování. Konkrétně se výjimka vztahuje na tyto subjekty: i) rozhlasové a televizní společnosti, vydavatelé novin, komunikační agentury nebo jiné tiskové organizace (včetně všech fyzických osob, které provozují tiskové činnosti jako své podnikání), pokud zpracovávají osobní informace pro účely tisku; ii) osoby zabývající se profesionálním psaním, pokud toto psaní zahrnuje osobní informace; iii) vysoké školy a jakékoli jiné organizace nebo skupiny zaměřené na akademická studia nebo jakákoli osoba náležející do takové organizace, pokud zpracovávají osobní informace pro účely akademických studií; iv) církevní instituce, pokud zpracovávají osobní informace pro účely náboženské činnosti (včetně všech činností souvisejících), a v) politické orgány, pokud zpracovávají osobní informace pro účely své politické činnosti (včetně všech činností souvisejících). Zpracování osobních informací pro jeden z účelů uvedených v článku 76 jinými typy podnikatelských subjektů nakládajících s osobními informacemi, jakož i zpracování osobních informací jedním z uvedených podnikatelských subjektů nakládajících s osobními informacemi pro jiné účely, například v kontextu zaměstnání, podléhá ustanovením kapitoly IV.

(38)

Aby se zajistila odpovídající úroveň ochrany osobních údajů předávaných z Evropské unie podnikatelským subjektům v Japonsku, mělo by se toto rozhodnutí vztahovat pouze na zpracování osobních informací spadajících do oblasti působnosti kapitoly IV zákona o ochraně osobních informací – tj. na zpracování podnikatelským subjektem nakládajícím s osobními informace, pokud zpracování neodpovídá některé z odvětvových výjimek. Jeho oblast působnosti by proto měla být sladěna s oblastí působnosti zákona o ochraně osobních informací. Podle informací obdržených z Komise pro ochranu osobních informací by jakákoli následná změna účelu použití podnikatelským subjektem nakládajícím s osobními informacemi, na který se vztahuje toto rozhodnutí (v rozsahu, v jakém je to přípustné) a na který by se vztahovala některá z odvětvových výjimek podle článku 76 zákona o ochraně osobních informací, byla považována za mezinárodní předávání (vzhledem k tomu, že v takových případech by se na zpracování osobních informací již nevztahovala kapitola IV zákona o ochraně osobních informací, a tudíž by nespadalo do oblasti jeho působnosti). Totéž by platilo v případě, že podnikatelský subjekt nakládající s osobními informacemi poskytne osobní informace subjektu, na který se vztahuje článek 76 zákona o ochraně osobních informací, aby je použil k některému z účelů zpracování uvedených v daném ustanovení. Pokud jde o osobní údaje předávané z Evropské unie, představovalo by to tedy další předávání, na které se vztahují příslušné záruky (zejména záruky uvedené v článku 24 zákona o ochraně osobních informací a doplňkovém pravidle 4). Pokud podnikatelský subjekt nakládající s osobními informacemi potřebuje souhlas subjektu údajů (25), musel by subjektu údajů poskytnout veškeré potřebné informace, včetně toho, že osobní informace již nebudou chráněny zákonem o ochraně osobních informací.

(39)

Osobní údaje by měly být zpracovávány za konkrétním účelem a následně používány, pouze pokud to není neslučitelné s účelem zpracování. Tato zásada ochrany údajů je zaručena podle článků 15 a 16 zákona o ochraně osobních informací.

(40)

Zákon o ochraně osobních informací vychází ze zásady, že podnikatelský subjekt musí určit účel použití „co možná nejjasněji“ (čl. 15 odst. 1) a je pak tímto účelem při zpracování údajů vázán.

(41)

V tomto ohledu čl. 15 odst. 2 zákona o ochraně osobních informací stanoví, že původní účel nesmí podnikatelský subjekt nakládající s osobními informacemi změnit „nad rámec, který je považován za přiměřeně relevantní pro účely použití před změnou“, což je v pokynech Komise pro ochranu osobních informací vykládáno jako to, co odpovídá objektivnímu očekávání subjektu údajů na základě „běžných společenských zvyklostí“ (26).

(42)

Kromě toho podle čl. 16 odst. 1 zákona o ochraně osobních informací je zakázáno, aby podnikatelské subjekty nakládaly s osobními informacemi nad „rámec rozsahu nezbytného pro dosažení účelu použití“ stanovený v článku 15 bez předchozího souhlasu subjektu údajů, ledaže by se použila jedna s výjimek uvedených v čl. 16 odst. 3 (27).

(43)

Pokud jde o osobní informace získané od jiného podnikatelského subjektu, může podnikatelský subjekt nakládající s osobními informacemi v zásadě svobodně stanovit nový účel použití (28). Aby se zajistilo, že v případě předávání z Evropské unie je příslušný příjemce vázán účelem, pro který byly údaje předány, doplňkové pravidlo 3 vyžaduje, aby v případech „kdy [podnikatelský subjekt nakládající s osobními informacemi] obdrží osobní údaje z EU na základě rozhodnutí o odpovídající ochraně“ nebo takový subjekt „obdrží od jiného [podnikatelského subjektu nakládajícího s osobními informacemi] osobní údaje dříve předané z EU na základě rozhodnutí o odpovídající ochraně“ (další sdílení), příjemce musí „stanovit účel použití uvedených osobních údajů v rámci rozsahu účelu použití, pro který byly údaje původně nebo následně obdrženy“. Jinými slovy toto pravidlo zajišťuje, že v souvislosti s předáváním údajů účel stanovený podle nařízení (EU) 2016/679 i nadále určuje zpracování a že změna uvedeného účelu v jakékoli fázi zpracovatelského řetězce v Japonsku by vyžadovala souhlas subjektu údajů z EU. Jelikož získání souhlasu vyžaduje, aby podnikatelský subjekt nakládající s osobními informacemi kontaktoval subjekt údajů, pokud to není možné, důsledkem je jednoduše to, že musí být zachován původní účel.

(44)

Doplňková ochrana uvedená ve 43. bodě odůvodnění je o to důležitější, že prostřednictvím zásady účelového omezení japonský systém rovněž zajišťuje zákonné a korektní zpracování osobních údajů.

(45)

Pokud podnikatelský subjekt nakládající s osobními informacemi shromažďuje osobní informace, zákon o ochraně osobních informací vyžaduje, aby podrobně stanovil účel použití osobních informací (29) a tento účel použití bezodkladně sdělil subjektu údajů (nebo jej zveřejnil) (30). Kromě toho článek 17 zákona o ochraně osobních informací stanoví, že podnikatelský subjekt nakládající s osobními informacemi nezíská osobní informace podvodem nebo jinými nepatřičnými prostředky. Pokud jde o určité kategorie údajů, jako například osobní informace vyžadující zvláštní péči, k jejich získání je zapotřebí souhlas subjektu údajů (čl. 17 odst. 2 zákona o ochraně osobních informací).

(46)

Jak je vysvětleno ve 41. a 42. bodě odůvodnění, podnikatelský subjekt nakládající s osobními informacemi nesmí zpracovávat osobní informace pro jiné účely, pokud subjekt údajů s takovým zpracováním neposkytne souhlas nebo pokud se nepoužije jedna s výjimek podle čl. 16 odst. 3 zákona o ochraně osobních informací.

(47)

V neposlední řadě, pokud jde o další poskytnutí osobních informací třetí straně (31), čl. 23 odst. 1 zákona o ochraně osobních informací omezuje takové zpřístupnění na zvláštní případy, obecně s předchozím souhlasem subjektu údajů (32). Ustanovení čl. 23 odst. 2, 3 a 4 zákona o ochraně osobních informací stanoví výjimky z požadavku na získání souhlasu. Tyto výjimky jsou však použitelné pouze na údaje, které nejsou citlivé, a v případě, kdy musí podnikatelský subjekt dotčené fyzické osoby předem informovat o úmyslu zpřístupnit jejich osobní informace třetí straně a o možnosti vznést proti jakémukoli dalšímu zpřístupnění námitku (33).

(48)

Pokud jde o předávání z Evropské unie, osobní údaje budou muset být nejdříve shromážděny a zpracovány v EU v souladu s nařízením (EU) 2016/679. To bude vždy zahrnovat shromáždění a zpracování (i za účelem předání z Evropské unie do Japonska) na základě jednoho z právních důvodů uvedených v čl. 6 odst. 1 nařízení na straně jedné a shromáždění pro určitý, výslovně vyjádřený a legitimní účel, jakož i zákaz dalšího zpracování (i formou předání) způsobem, který je s takovým účelem neslučitelný, podle čl. 5 odst. 1 písm. b) a čl. 6 odst. 4 nařízení na straně druhé.

(49)

Po předání bude podle doplňkového pravidla 3 muset podnikatelský subjekt nakládající s osobními informacemi, který údaje obdrží, „potvrdit“ konkrétní účel(y) předání (tj. účel stanovený podle nařízení (EU) 2016/679) a tyto údaje dále zpracovávat v souladu s těmito účely (34). To znamená, že účely stanovenými podle nařízení je vázán nejen původní příjemce těchto osobních údajů v Japonsku, ale také jakýkoli budoucí příjemce údajů (včetně zmocněnce).

(50)

Pokud by navíc podnikatelský subjekt nakládající s osobními informacemi chtěl změnit účel dříve stanovený podle nařízení (EU) 2016/679, v souladu s čl. 16 odst. 1 zákona o ochraně osobních informací by v zásadě musel získat souhlas subjektu údajů. Bez uvedeného souhlasu by jakékoli zpracování údajů nad rámec rozsahu nezbytného pro dosažení uvedeného účelu použití představovalo porušení čl. 16 odst. 1, které by bylo vymahatelné Komisí pro ochranu osobních informací i soudy.

(51)

Vzhledem k tomu, že podle nařízení (EU) 2016/679 předání vyžaduje platný právní základ a konkrétní účel, které jsou zohledněny v účelu použití „potvrzeném“ podle zákona o ochraně osobních informací, kombinace příslušných ustanovení zákona o ochraně osobních informací a doplňkového pravidla 3 zajišťuje pokračující zákonnost zpracování údajů z EU v Japonsku.

(52)

Údaje musí být přesné a v případě potřeby aktualizované. Měly by rovněž být přiměřené, relevantní a nikoli přebytečné ve vztahu k účelům, pro které jsou zpracovávány.

(53)

Tyto zásady jsou v japonském právu zajištěny v čl. 16 odst. 1 zákona o ochraně osobních informací, který zakazuje nakládání s osobními informacemi nad rámec „rozsahu nezbytného pro dosažení účelu použití“. Jak vysvětlila Komise pro ochranu osobních informací, to nejen vylučuje používání údajů, které jsou nepřiměřené, a nadbytečné používání údajů (nad rámec toho, co je nezbytné pro dosažení účelu použití), ale zahrnuje to také zákaz nakládání s údaji, které nejsou pro dosažení účelu použití relevantní.

(54)

Pokud jde o povinnost uchovávat údaje přesné a aktualizované, článek 19 zákona o ochraně osobních informací vyžaduje, aby podnikatelský subjekt nakládající s osobními informacemi „usiloval o to, aby byly osobní údaje udržovány přesné a aktualizované v rozsahu nezbytném pro dosažení účelu použití“. Uvedené ustanovení je třeba vykládat ve spojení s čl. 16 odst. 1 zákona o ochraně osobních informací: z vysvětlení obdržených od Komise pro ochranu osobních informací vyplývá, že pokud podnikatelský subjekt nakládající s osobními informacemi nesplňuje předepsané normy přesnosti, nebude zpracování osobních informací považováno za zpracování splňující účel použití, a nakládání s těmito informacemi se tedy podle čl. 16 odst. 1 stane protiprávním.

(55)

Je zapotřebí, aby údaje byly ukládány po dobu ne delší, než je nezbytné pro účely, pro které jsou osobní údaje zpracovávány.

(56)

Podle článku 19 zákona o ochraně osobních informací musí podnikatelské subjekty nakládající s osobními informacemi „usilovat […] o to, aby byly osobní údaje bezodkladně vymazány, jakmile již jejich použití nebude nutné“. Uvedené ustanovení je rovněž třeba vykládat ve spojení s čl. 16 odst. 1 zákona o ochraně osobních informací, který zakazuje nakládání s osobními informacemi nad rámec „rozsahu nezbytného pro dosažení účelu použití“. Jakmile je účelu použití dosaženo, zpracování osobních informací již nelze považovat za nezbytné, a nemůže tedy pokračovat (pokud podnikatelský subjekt nakládající s osobními informacemi neobdrží od subjektu údajů příslušný souhlas).

(57)

Osobní údaje by měly být zpracovávány způsobem, který zajišťuje jejich zabezpečení, včetně ochrany před neoprávněným nebo protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením. Za tímto účelem by podnikatelské subjekty měly přijmout vhodná technická nebo organizační opatření na ochranu osobních údajů před možnými hrozbami. Tato opatření by měla být posuzována s přihlédnutím ke stavu techniky a k souvisejícím nákladům.

(58)

Tato zásada je v japonském právu provedena článkem 20 zákona o ochraně osobních informací, který stanoví, že podnikatelský subjekt nakládající s osobními informacemi „přijme nezbytná a vhodná opatření pro kontrolu zabezpečení osobních údajů, včetně zamezení úniku, ztrátě nebo poškození osobních údajů, s nimiž nakládá“. Pokyny Komise pro ochranu osobních informací vysvětlují opatření, která mají být přijata, včetně způsobů zavedení základních politik, pravidel pro nakládání s údaji a různých „kontrolních opatření“ (pokud jde o organizační bezpečnost, jakož i o bezpečnost lidí a fyzické a technologické zabezpečení) (35). Kromě toho pokyny Komise pro ochranu osobních informací a zvláštní oznámení (dodatek 8 „Obsah opatření pro řízení bezpečnosti, která musí být přijata“) zveřejněné Komisí pro ochranu osobních informací poskytují více podrobností o opatřeních týkajících se bezpečnostních incidentů, při nichž dojde například k úniku osobních informací, v rámci opatření pro řízení bezpečnosti, která má podnikatelský subjekt nakládající s osobními informacemi přijmout (36).

(59)

Kromě toho kdykoli s osobními informacemi nakládají zaměstnanci nebo subdodavatelé, musí být zajištěn „nezbytný a přiměřený dohled“ podle článků 20 a 21 zákona o ochraně osobních informací pro účely bezpečnostních kontrol. V neposlední řadě podle článku 83 zákona o ochraně osobních informací je v případě úmyslného úniku nebo krádeže osobních informací stanoven trest odnětí svobody v délce až jeden rok.

(60)

Subjekty údajů by měly být informovány o hlavních znacích zpracování jejich osobních údajů.

(61)

Ustanovení čl. 18 odst. 1 zákona o ochraně osobních informací vyžadují, aby podnikatelský subjekt nakládající s osobními informacemi poskytl subjektu údajů informace o účelu použití získaných osobních informací, s výjimkou „případů, kdy byl účel použití již dříve zveřejněn“. Stejná povinnost se použije v případě přípustné změny účelu (čl. 18 odst. 3). Tím se rovněž zaručí, že je subjekt údajů informován o skutečnosti, že jeho údaje byly shromážděny. Ačkoli zákon o ochraně osobních informací obecně nevyžaduje, aby podnikatelský subjekt nakládající s osobními informacemi informoval subjekt údajů o očekávaných příjemcích osobních informací ve fázi shromažďování, takové informace jsou nezbytnou podmínkou pro jakékoli následné zpřístupnění třetí straně (příjemci) na základě čl. 23 odst. 2, tedy pokud se tak děje bez předchozího souhlasu subjektu údajů.

(62)

Pokud jde o „uchovávané osobní údaje“, článek 27 zákona o ochraně osobních informací stanoví, že podnikatelský subjekt nakládající s osobními informacemi informuje subjekt údajů o své totožnosti (kontaktní údaje), účelu použití a postupech reakce na žádost týkající se individuálních práv subjektu údajů podle článků 28, 29 a 30 zákona o ochraně osobních informací.

(63)

Jelikož podle doplňkových pravidel budou osobní údaje předávané z Evropské unie považovány za „uchovávané osobní údaje“ bez ohledu na dobu jejich uchovávání (pokud se nepoužijí výjimky), budou vždy podléhat požadavkům na transparentnost podle obou výše uvedených ustanovení.

(64)

Na požadavky článku 18 i povinnost informovat o účelu použití podle článku 27 zákona o ochraně osobních informací se vztahuje stejný soubor výjimek, většinou odůvodněných veřejným zájmem a ochranou práv a zájmů subjektu údajů, třetích stran a správce (37). Podle výkladu obsaženého v pokynech Komise pro ochranu osobních informací se uvedené výjimky použijí pouze ve velmi specifických situacích, např. pokud by informace o účelu použití mohly narušit legitimní opatření přijatá podnikatelským subjektem na ochranu určitých zájmů (např. boj proti korupci, průmyslová špionáž, sabotáž).

(65)

Pokud se zpracovávají „zvláštní kategorie“ údajů, měly by existovat zvláštní záruky.

(66)

„Osobní informace vyžadující zvláštní péči“ jsou vymezeny v čl. 2 odst. 3 zákona o ochraně osobních informací. Uvedené ustanovení se odvolává na „osobní informace zahrnující rasu zmocnitele, jeho náboženské vyznání, společenské postavení, anamnézu, záznam v rejstříku trestů, utrpění újmy v důsledku trestného činu a jiné informace určené nařízením kabinetu jako informace, s nimiž musí být nakládáno se zvláštní péčí, aby nedocházelo k nespravedlivé diskriminaci, předpojatosti nebo jinému znevýhodňování zmocnitele“. Tyto kategorie z velké části odpovídají seznamu citlivých údajů podle článků 9 a 10 nařízení (EU) 2016/679. Zejména „anamnéza“ odpovídá zdravotním údajům, zatímco „záznam v rejstříku trestů a utrpění újmy v důsledku trestného činu“ jsou v zásadě stejné jako kategorie uvedené v článku 10 nařízení (EU) 2016/679. Kategorie uvedené v čl. 2 odst. 3 zákona o ochraně osobních informací podléhají dalšímu výkladu v nařízení kabinetu a pokynech Komise pro ochranu osobních informací. Podle oddílu 2.3 bodu 8) pokynů Komise pro ochranu osobních informací zahrnují podkategorie „anamnézy“ podrobně uvedené v čl. 2 bodech ii) a iii) nařízení kabinetu genetické a biometrické údaje. Seznam sice výslovně neobsahuje pojmy „etnický původ“ a „politický názor“, ale odkazuje na „rasu“ a „náboženské vyznání“. Jak je vysvětleno v oddílu 2.3 bodech 1) a 2) pokynů Komise pro ochranu osobních informací, odkaz na „rasu“ zahrnuje „etnické vazby nebo vazby na určitou část světa“, zatímco „náboženské vyznání“ zahrnuje náboženské i politické názory.

(67)

Ze znění ustanovení je jasné, že se nejedná o uzavřený seznam, neboť lze přidávat další kategorie údajů, pokud jejich zpracování vytváří riziko „nespravedlivé diskriminace, předpojatosti nebo jiných znevýhodnění zmocnitele“.

(68)

Zatímco pojetí „citlivých“ údajů je svou podstatou společenskou konstrukcí, neboť vychází z kulturních a právních tradic, morálních úvah, politických rozhodnutí atd. určité společnosti, s ohledem na důležitost zajištění přiměřených záruk pro citlivé údaje při předávání podnikatelským subjektům v Japonsku dosáhla Evropská komise toho, že zvláštní ochrany poskytované „osobním informacím, které vyžadují zvláštní péči,“ podle japonského práva se rozšiřují na všechny kategorie uznávané jako „citlivé údaje“ v nařízení (EU) 2016/679. Za tímto účelem doplňkové pravidlo 1 stanoví, že údaje předávané z Evropské unie týkající se sexuálního života fyzické osoby, její sexuální orientace nebo členství v odborech budou zpracovávány podnikatelskými subjekty nakládajícími s osobními informacemi „stejným způsobem jako osobní informace vyžadující zvláštní péči ve smyslu čl. 2 odst. 3 [zákona o ochraně osobních informací]“.

(69)

Pokud jde o další hmotné záruky vztahující se na osobní informace vyžadující zvláštní péči, podle čl. 17 odst. 2 zákona o ochraně osobních informací podnikatelské subjekty nakládající s osobními informacemi nesmějí získávat tento typ údajů bez předchozího souhlasu dotyčné fyzické osoby, pouze s výhradou omezených výjimek (38). Dále je tato kategorie osobních informací vyloučena z možnosti zpřístupnění třetí straně na základě postupu podle čl. 23 odst. 2 zákona o ochraně osobních informací (umožňujícího přenos údajů třetím stranám bez předchozího souhlasu dotyčné fyzické osoby).

(70)

Podle zásady odpovědnosti se od subjektů zpracovávajících údaje vyžaduje zavedení vhodných technických a organizačních opatření, aby mohly účinně plnit své povinnosti v oblasti ochrany údajů a jejich plnění byly schopny prokázat, zejména příslušnému dozorovému úřadu.

(71)

Jak je uvedeno v poznámce pod čarou č. 34 (49. bod odůvodnění), podnikatelské subjekty nakládající s osobními informacemi musí podle čl. 26 odst. 1 zákona o ochraně osobních informací ověřit totožnost třetí strany, která jim poskytuje osobní údaje, a „okolnosti“, za kterých uvedená třetí strana takové údaje získala (v případě osobních údajů, na které se vztahuje toto rozhodnutí, uvedené okolnosti podle zákona o ochraně osobních informací a doplňkového pravidla 3 zahrnují skutečnost, že údaje pocházejí z Evropské unie, jakož i účel původního předání údajů). Cílem uvedeného opatření je mimo jiné zajistit zákonnost zpracování osobních údajů v rámci celého řetězce podnikatelských subjektů nakládajících s osobními informacemi, které s uvedenými osobními údaji nakládají. Podle čl. 26 odst. 3 zákona o ochraně osobních informací se dále vyžaduje, aby podnikatelské subjekty nakládající s osobními informacemi vedly záznamy o datu přijetí a (povinné) informace obdržené od třetí strany podle odstavce 1, jakož i jméno dotyčné fyzické osoby (subjektu údajů), kategorie zpracovaných údajů a v příslušném rozsahu skutečnost, že subjekt údajů poskytl se sdílením svých osobních údajů souhlas. Jak stanoví článek 18 pravidel Komise pro ochranu osobních informací, uvedené záznamy musí být uchovávány v závislosti na okolnostech po dobu nejméně jednoho roku až tří let. Při plnění svých úkolů může Komise pro ochranu osobních informací vyžadovat předložení těchto záznamů (39).

(72)

Podnikatelské subjekty nakládající s osobními informacemi musí neprodleně a řádně vyřizovat stížnosti od dotyčných fyzických osob týkající se zpracování jejich osobních informací. Pro snazší vyřizování stížností zavedou „systém nezbytný pro dosažení [tohoto] účelu“, což znamená, že by měly zavést vhodné postupy v rámci své organizace (například přidělení odpovědností nebo vytvoření kontaktního místa).

(73)

V neposlední řadě zákon o ochraně osobních informací vytváří rámec pro účast organizací z průmyslových odvětví na zajišťování vysoké úrovně souladu (viz oddíl 4 kapitoly IV). Úkolem takovýchto akreditovaných organizací působících v oblasti ochrany osobních informací (40) je prosazovat ochranu osobních informací podporou podniků prostřednictvím svých odborných znalostí a rovněž přispívat k provádění záruk, zejména vyřizováním jednotlivých stížností a napomáháním při řešení souvisejících sporů. Za tímto účelem mohou v případě potřeby vyžadovat, aby zapojené podnikatelské subjekty nakládající s osobními informacemi přijaly nezbytná opatření (41). Kromě toho v případě porušení zabezpečení údajů nebo jiných bezpečnostních incidentů podnikatelské subjekty nakládající s osobními informacemi v zásadě informují Komisi pro ochranu osobních informací, jakož i subjekt údajů (nebo veřejnost) a podniknou nezbytné kroky, včetně přijetí opatření k minimalizaci jakékoli škody a k zamezení jakéhokoli opakování obdobných incidentů (42). Jedná se sice o dobrovolné režimy, ale k 10. srpnu 2017 měla Komise pro ochranu osobních informací na seznamu 44 organizací, přičemž jen samotná největší z nich, Japonské středisko pro rozvoj a zpracování informací (Japan Information Processing and Development Center, JIPDEC), evidovala 15 436 zapojených podnikatelských subjektů (43). Mezi akreditované režimy patří odvětvová sdružení, například Japonská asociace obchodníků s cennými papíry, Japonská asociace autoškol nebo Asociace svatebních agentur (44).

(74)

Akreditované organizace pro ochranu osobních informací předkládají výroční zprávy o své činnosti. Podle „Přehledu stavu provádění zákona o ochraně osobních informací v rozpočtovém roce 2015“ zveřejněného Komisí pro ochranu osobních informací obdržely akreditované organizace pro ochranu osobních informací celkem 442 stížností, vyžádaly si 123 vysvětlení od podnikatelských subjektů, které spadají do jejich pravomoci, ve 41 případech si od těchto subjektů vyžádaly dokumenty, poskytly 181 pokynů a vydaly dvě doporučení (45).

(75)

Úroveň ochrany poskytovaná osobním údajům předávaným z Evropské unie podnikatelským subjektům v Japonsku nesmí být oslabena dalším předáváním těchto údajů příjemcům ve třetí zemi mimo Japonsko. Toto „další předávání“, které z pohledu japonského podnikatelského subjektu představuje mezinárodní předávání z Japonska, by mělo být povoleno pouze v případě, že další příjemce mimo Japonsko sám podléhá pravidlům zajišťujícím obdobnou úroveň ochrany, jaká je zaručena v japonském právním řádu.

(76)

První ochrana je zakotvena v článku 24 zákona o ochraně osobních informací, který obecně zakazuje předávání osobních údajů třetí straně mimo území Japonska bez předchozího souhlasu dotyčné fyzické osoby. Doplňkové pravidlo 4 zajišťuje, že v případě předávání údajů z Evropské unie bude tento souhlas mimořádně dobře informovaný, neboť vyžaduje, aby dotyčná fyzická osoba „poskytla informace o okolnostech předání nezbytné k tomu, aby mohl zmocnitel o svém souhlasu rozhodnout“. Na základě toho je subjekt údajů informován o skutečnosti, že údaje budou předány do zahraničí (mimo oblast působnosti zákona o ochraně osobních informací), a o konkrétní zemi určení. To subjektu údajů umožní posoudit riziko pro ochranu soukromí spojené s předáním. Jak lze rovněž dovodit z článku 23 zákona o ochraně osobních informací (viz 47. bod odůvodnění), informace poskytnuté zmocniteli by měly pokrývat povinné položky podle odstavce 2, konkrétně kategorie osobních údajů poskytovaných třetí straně a způsob zpřístupnění.

(77)

Článek 24 zákona o ochraně osobních informací použitý ve spojení s článkem 11-2 pravidel Komise pro ochranu osobních informací uvádí několik výjimek z tohoto pravidla založeného na souhlasu. Dále pak podle článku 24 se na mezinárodní předávání údajů rovněž vztahují stejné odchylky, které jsou použitelné podle čl. 23 odst. 1 zákona o ochraně osobních informací (46).

(78)

Pro zajištění kontinuity ochrany v případě osobních údajů předávaných z Evropské unie do Japonska podle tohoto rozhodnutí doplňkové pravidlo 4 zvyšuje úroveň ochrany pro další předávání těchto údajů podnikatelským subjektem nakládajícím s osobními informacemi příjemci ve třetí zemi. Činí tak omezením a stanovením rámce základů pro mezinárodní předávání, které může podnikatelský subjekt nakládající s osobními informacemi použít jako alternativu souhlasu. Konkrétně, a aniž by byly dotčeny odchylky stanovené v čl. 23 odst. 1 zákona o ochraně osobních informací, osobní údaje předávané podle tohoto rozhodnutí mohou být předmětem (dalšího) předávání bez souhlasu pouze ve dvou případech: i) údaje se zasílají do třetí země, kterou Komise pro ochranu osobních informací uznala podle článku 24 zákona o ochraně osobních informací jako zemi poskytující úroveň ochrany, která je rovnocenná úrovni ochrany zaručené v Japonsku (47), nebo ii) podnikatelský subjekt nakládající s osobními informacemi a příjemce, který je třetí stranou, společně zavedli opatření poskytující úroveň ochrany, která je rovnocenná zákonu o ochraně osobních informací ve spojení s doplňkovými pravidly, a to prostřednictvím smlouvy, jiných forem závazných dohod nebo závazných ujednání v rámci skupiny podniků. Tato druhá kategorie odpovídá nástrojům používaným podle nařízení (EU) 2016/679 pro zajištění vhodných záruk (zejména smluvní ustanovení a závazná podniková pravidla). Kromě toho, jak potvrdila Komise pro ochranu osobních informací, předání dokonce i v těchto případech podléhá obecným pravidlům použitelným pro jakékoli poskytování osobních údajů třetí straně podle zákona o ochraně osobních informací (tj. požadavek získat souhlas podle čl. 23 odst. 1 nebo alternativně požadavek na informace s možností neuplatňování podle čl. 23 odst. 2 zákona o ochraně osobních informací). V případě, že od subjektu údajů není možné získat souhlas, nebo za účelem poskytnutí požadovaných předběžných informací podle čl. 23 odst. 2 zákona o ochraně osobních informací, nemůže dojít k převodu.

(79)

Proto s výjimkou případů, kdy Komise pro ochranu osobních informací zjistila, že dotyčná třetí země zajišťuje úroveň ochrany, která je rovnocenná úrovni ochrany zaručené zákonem o ochraně osobních informací (48), požadavky stanovené v doplňkovém pravidle 4 vylučují použití nástrojů pro předávání, které nevytvářejí závazný vztah mezi japonským vývozcem údajů a dovozcem údajů ze třetí země a které nezaručují požadovanou úroveň ochrany. To se bude týkat například systému přeshraničních pravidel ochrany soukromí zemí Asijsko-tichomořské hospodářské spolupráce (APEC), jehož součástí je i japonská ekonomika (49), neboť v uvedeném systému nevyplývají ochrany z ujednání zavazujících vývozce nebo dovozce v kontextu jejich dvoustranného vztahu a jejich úroveň je zcela zřejmě nižší než úroveň zaručená kombinací zákona o ochraně osobních informací a doplňkových pravidel (50).

(80)

V neposlední řadě další záruka v případě (dalšího) předávání vyplývá z článků 20 a 22 zákona o ochraně osobních informací. Pokud podle těchto ustanovení subjekt ze třetí země (dovozce údajů) jedná jménem podnikatelského subjektu nakládajícího s osobními informacemi (vývozce údajů), který je (dílčím) zpracovatelem, musí tento zpracovatel zajistit dozor nad prvním uvedeným subjektem, pokud jde o bezpečnost zpracování údajů.

(81)

Obdobně jako právní předpisy na ochranu údajů v EU také zákon o ochraně osobních informací poskytuje fyzickým osobám řadu vymahatelných práv. To zahrnuje právo na přístup („zpřístupnění“), opravu a výmaz, jakož i právo vznést námitku („ukončení používání“).

(82)

Zaprvé podle čl. 28 odst. 1 a 2 zákona o ochraně osobních informací má subjekt údajů právo požadovat, aby podnikatelský subjekt nakládající s osobními informacemi „zpřístupnil uchovávané osobní údaje, které mohou subjekt údajů identifikovat,“ a podnikatelský subjekt nakládající s osobními informacemi po přijetí takové žádosti „[…] zpřístupní subjektu údajů uchovávané osobní údaje“. Článek 29 (právo na opravu) a článek 30 (právo na ukončení používání) mají stejnou strukturu jako článek 28.

(83)

Článek 9 nařízení kabinetu stanoví, že zpřístupnění osobních informací podle čl. 28 odst. 2 zákona o ochraně osobních informací se provede písemně, pokud se podnikatelský subjekt nakládající s osobními informacemi a subjekt údajů nedohodnou jinak.

(84)

Tato práva podléhají třem typům omezení, která se týkají vlastních práv a zájmů fyzické osoby nebo práv a zájmů třetích stran (51), vážného zásahu do podnikatelské činnosti podnikatelského subjektu nakládajícího s osobními informacemi (52), jakož i případů, kdy by zpřístupněním byly porušeny jiné právní předpisy (53). Situace, kdy by se tato omezení použila, jsou obdobné jako výjimky použitelné podle čl. 23 odst. 1 nařízení (EU) 2016/679, který umožňuje omezení práv fyzických osob z důvodů spojených s „ochran[ou] subjektu údajů nebo práv a svobod druhých“ nebo „jin[ých] důležit[ých] cíl[ů] obecného veřejného zájmu“. Ačkoli se kategorie případů, kdy by zpřístupněním byly porušeny „jiné právní předpisy“, může zdát široká, právní předpisy, které stanoví omezení v tomto ohledu, musí respektovat ústavní právo na ochranu soukromí a omezení mohou uložit pouze v případě, že by výkon tohoto práva představoval „zásah do veřejného blaha“ (54). To vyžaduje vyvažování dotčených zájmů.

(85)

V čl. 28 odst. 3 zákona o ochraně osobních informací se stanoví, že pokud požadované údaje neexistují nebo pokud se dotyčný podnikatelský subjekt nakládající s osobními informacemi rozhodne přístup k uchovávaným údajům neposkytnout, musí bezodkladně informovat danou fyzickou osobu.

(86)

Zadruhé podle čl. 29 odst. 1 a 2 zákona o ochraně osobních informací má subjekt údajů právo požadovat opravu, doplnění nebo výmaz svých uchovávaných osobních údajů, pokud jsou tyto údaje nepřesné. Po přijetí takové žádosti podnikatelský subjekt nakládající s osobními informacemi „[…] provede nezbytné šetření“ a na základě výsledků tohoto šetření „provede opravu atd. obsahu uchovávaných údajů“.

(87)

Zatřetí podle čl. 30 odst. 1 a 2 zákona o ochraně osobních informací má subjekt údajů právo požadovat, aby podnikatelský subjekt nakládající s osobními informacemi přestal osobní informace používat nebo tyto informace vymazal, pokud se s nimi nakládá v rozporu s článkem 16 (týkajícím se účelového omezení) nebo pokud byly získány v rozporu s článkem 17 zákona o ochraně osobních informací (týkajícím se získání podvodem, jinými nepatřičnými prostředky nebo v případě citlivých údajů bez souhlasu). Obdobně podle čl. 30 odst. 3 a 4 zákona o ochraně osobních informací má fyzická osoba právo požadovat, aby podnikatelský subjekt nakládající s osobními informacemi přestal poskytovat informace třetí straně, pokud by tím porušoval ustanovení čl. 23 odst. 1 a článku 24 zákona o ochraně osobních informací (týkající se poskytnutí třetí straně, včetně mezinárodního předávání).

(88)

Pokud je žádost odůvodněná, podnikatelský subjekt nakládající s osobními informacemi bezodkladně přestane údaje používat nebo je poskytovat třetí straně v rozsahu nezbytném pro nápravu porušení, nebo pokud se na daný případ vztahuje výjimka (zejména pokud by ukončení používání způsobilo zvláště vysoké náklady) (55), zavede nezbytná alternativní opatření na ochranu práv a zájmů dotyčné fyzické osoby.

(89)

Na rozdíl od práva EU zákon o ochraně osobních informací a příslušná podzákonná pravidla neobsahují právní ustanovení konkrétně řešící možnost odmítnout zpracování pro účely přímého marketingu. Shromažďování osobních údajů, na které se vztahuje toto rozhodnutí, však bude vždy probíhat v kontextu předávání osobních údajů, které byly předtím shromážděny v Evropské unii. Podle čl. 21 odst. 2 nařízení (EU) 2016/679 má subjekt údajů vždy možnost odmítnout předání údajů pro účely zpracování pro přímý marketing. Jak je navíc vysvětleno ve 43. bodě odůvodnění, podle doplňkového pravidla 3 musí podnikatelský subjekt nakládající s osobními informacemi zpracovávat údaje získané podle tohoto rozhodnutí pro stejný účel, pro jaký byly údaje předány z Evropské unie, pokud subjekt údajů neposkytne souhlas se změnou účelu použití. Pokud byly tedy údaje předány pro jakýkoli účel kromě přímého marketingu, podnikatelský subjekt nakládající s osobními informacemi v Japonsku nesmí údaje pro účel přímého marketingu zpracovávat bez souhlasu subjektu údajů z EU.

(90)

Ve všech případech uvedených v článcích 28 a 29 zákona o ochraně osobních informací se vyžaduje, aby podnikatelský subjekt nakládající s osobními informacemi bezodkladně uvědomil danou fyzickou osobu o výsledku její žádosti, a navíc musí vysvětlit jakékoli (částečné) zamítnutí na základě zákonných výjimek stanovených v článcích 27 až 30 (článek 31 zákona o ochraně osobních informací).

(91)

Pokud jde o podmínky pro podání žádosti, článek 32 zákona o ochraně osobních informací (společně s nařízením kabinetu) umožňuje, aby podnikatelský subjekt nakládající s osobními informacemi určil přiměřené postupy, a to i pokud jde o informace nezbytné k identifikaci uchovávaných osobních údajů. Podle odstavce 4 tohoto článku však podnikatelské subjekty nakládající s osobními informacemi nesmějí klást „nadměrnou zátěž na zmocnitele“. V určitých případech mohou podnikatelské subjekty nakládající s osobními informacemi rovněž stanovit poplatky, pokud jejich výše zůstane „v rozmezí považovaném za přiměřené s ohledem na skutečné náklady“ (článek 33 zákona o ochraně osobních informací).

(92)

V neposlední řadě může fyzická osoba vznést námitku proti poskytnutí svých osobních informací třetí straně podle čl. 23 odst. 2 zákona o ochraně osobních informací nebo odmítnout souhlas podle čl. 23 odst. 1 (a tím zabránit zpřístupnění, pokud by žádný jiný právní základ nebyl dostupný). Obdobně může fyzická osoba zastavit zpracování údajů pro jiný účel odmítnutím poskytnout souhlas podle čl. 16 odst. 1 zákona o ochraně osobních informací.

(93)

Na rozdíl od práva EU zákon o ochraně osobních informací a příslušná podzákonná pravidla neobsahují obecná ustanovení řešící vydávání rozhodnutí, která se dotýkají subjektu údajů a jsou založena výhradně na automatizovaném zpracování osobních údajů. Věc je však řešena v určitých odvětvových pravidlech použitelných v Japonsku, která jsou zvlášť relevantní pro tento typ zpracování. To zahrnuje odvětví, v nichž se společnosti nejpravděpodobněji uchylují k automatizovanému zpracování osobních údajů při přijímání rozhodnutí dotýkajících se fyzických osob (např. finanční odvětví). Například „Souhrnné pokyny pro dohled nad významnými bankami“ revidované v červnu 2017 vyžadují, aby se dotyčné fyzické osobě dostalo konkrétního vysvětlení důvodů zamítnutí žádosti uzavřít smlouvu o půjčce. Uvedená pravidla tedy poskytují ochranu v pravděpodobně poměrně omezeném počtu případů, kde by automatizovaná rozhodnutí činil sám „dovážející“ japonský podnikatelský subjekt (spíše než „vyvážející“ správce údajů v EU).

(94)

V každém případě, pokud jde o osobní údaje, které byly shromážděny v Evropské unii, jakékoli rozhodnutí založené na automatizovaném zpracování bude obvykle činit správce údajů v Unii (který má přímý vztah s dotyčným subjektem údajů), a vztahuje se tedy na něj nařízení (EU) 2016/679 (56). To zahrnuje situace předávání, kdy zpracování provádí cizí (např. japonský) podnikatelský subjekt jednající jako zprostředkovatel (zpracovatel) jménem správce z EU (nebo jako externí zpracovatel jednající jménem zpracovatele z EU, který získal údaje od správce z EU, který je shromáždil), který na tomto základě činí rozhodnutí. Neexistence zvláštních pravidel pro automatizované rozhodování v zákoně o ochraně osobních informací tedy pravděpodobně neovlivní úroveň ochrany osobních údajů předávaných podle tohoto rozhodnutí.

(95)

Aby se zajistilo, že odpovídající úroveň ochrany údajů je zaručena i v praxi, měl by být zřízen nezávislý dozorový úřad oprávněný monitorovat a vymáhat dodržování pravidel v oblasti ochrany údajů. Při plnění svých povinností a výkonu své pravomoci by tento úřad měl jednat zcela nezávisle a nestranně.

(96)

V Japonsku je orgánem pověřeným monitorovat a prosazovat zákon o ochraně osobních informací Komise pro ochranu osobních informací. Tvoří ji předseda a osm komisařů jmenovaných premiérem se souhlasem obou komor parlamentu. Funkční období předsedy a každého komisaře činí pět let, s možností opětovného zvolení (článek 64 zákona o ochraně osobních informací). Komisaři mohou být odvoláni pouze z vážných důvodů v omezeném výčtu výjimečných okolností (57) a nesmějí se aktivně zapojovat do politické činnosti. Kromě toho podle zákona o ochraně osobních informací se musí komisaři na plný úvazek zdržet jakékoli jiné výdělečné činnosti nebo podnikatelských činností. Na komisaře se vztahují také interní pravidla, která jim brání v účasti na rozhodování v případě možného střetu zájmů. Komisi pro ochranu osobních informací je nápomocen sekretariát vedený generálním tajemníkem, který byl zřízen pro účel plnění úkolů svěřených Komisi pro ochranu osobních informací (článek 70 zákona o ochraně osobních informací). Komisaři i všichni úředníci sekretariátu jsou vázáni přísnými pravidly mlčenlivosti (články 72 a 82 zákona o ochraně osobních informací).

(97)

Pravomoci Komise pro ochranu osobních informací, které tato komise vykonává zcela nezávisle (58), jsou stanoveny zejména v článcích 40, 41 a 42 zákona o ochraně osobních informací. Podle článku 40 může Komise pro ochranu osobních informací požadovat, aby podnikatelské subjekty nakládající s osobními informacemi podávaly zprávy nebo předkládaly dokumenty o operacích zpracování, a může rovněž provádět kontroly, a to jak na místě, tak účetních knih nebo jiných dokumentů. V rozsahu nezbytném pro prosazování zákona o ochraně osobních informací může Komise pro ochranu osobních informací rovněž poskytovat podnikatelským subjektům nakládajícím s osobními informacemi pokyny nebo poradenství, pokud jde o nakládání s osobními informacemi. Komise pro ochranu osobních informací již využila tuto pravomoc na základě článku 41 zákona o ochraně osobních informací, když společnosti Facebook v návaznosti na odhalení v souvislosti s případem Facebook / Cambridge Analytica adresovala pokyny.

(98)

Komise pro ochranu osobních informací je zejména oprávněna (pokud jedná na základě stížnosti nebo z vlastní iniciativy) v jednotlivých případech vydávat doporučení a příkazy za účelem prosazování zákona o ochraně osobních informací a jiných závazných pravidel (včetně doplňkových pravidel). Tyto pravomoci stanoví článek 42 zákona o ochraně osobních informací. Zatímco odstavce 1 a 2 uvedeného zákona stanoví dvoustupňový mechanismus, kterým může Komise pro ochranu osobních informací vydat příkaz (pouze) po předchozím doporučení, odstavec 3 v naléhavých případech umožňuje přímé vydání příkazu.

(99)

Ačkoli ne všechna ustanovení oddílu 1 kapitoly IV zákona o ochraně osobních informací jsou uvedena v čl. 42 odst. 1, který rovněž určuje oblast působnosti čl. 42 odst. 2, lze to vysvětlit skutečností, že některá z těchto ustanovení se netýkají povinností podnikatelského subjektu nakládajícího s osobními informacemi (59) a že všechny zásadní ochrany již poskytují jiná ustanovení, která jsou v uvedeném seznamu zahrnuta. Ačkoli například článek 15 (vyžadující, aby podnikatelský subjekt nakládající s osobními informacemi stanovil účel použití a příslušné osobní informace zpracovával výlučně v rozsahu tohoto účelu) není zmíněn, nedodržení tohoto požadavku může být důvodem k vydání doporučení na základě porušení čl. 16 odst. 1 (zakazujícího, aby podnikatelský subjekt nakládající s osobními informacemi zpracovával osobní informace nad rámec toho, co je nezbytné pro dosažení účelu použití, pokud nezíská souhlas subjektu údajů) (60). Další ustanovení neuvedené v čl. 42 odst. 1 je článek 19 zákona o ochraně osobních informací týkající se přesnosti a uchovávání údajů. Nedodržování tohoto ustanovení může být vymáháno buď jako porušení čl. 16 odst. 1, nebo na základě porušení čl. 29 odst. 2, pokud dotyčná fyzická osoba požádá o opravu nebo výmaz chybných nebo nadbytečných údajů a podnikatelský subjekt nakládající s osobními informacemi odmítne této žádosti vyhovět. Pokud jde o práva subjektu údajů podle čl. 28 odst. 1, čl. 29 odst. 1 a čl. 30 odst. 1, dozor ze strany Komise pro ochranu osobních informací je zajištěn tím, že této komisi byly uděleny vymáhací pravomoci, pokud jde o odpovídající povinnosti podnikatelského subjektu nakládajícího s osobními informacemi stanovenými v uvedených článcích.

(100)

Podle čl. 42 odst. 1 zákona o ochraně osobních informací může Komise pro ochranu osobních informací, pokud uzná, že existuje „potřeba chránit práva a zájmy fyzické osoby v případech, kdy [podnikatelský subjekt nakládající s osobními informacemi] porušil“ konkrétní ustanovení zákona o ochraně osobních informací, vydat doporučení „pozastavit porušující jednání nebo přijmout jiná nezbytná opatření k nápravě porušení“. Takové doporučení není závazné, ale otevírá cestu pro závazný příkaz podle čl. 42 odst. 2 zákona o ochraně osobních informací. Pokud na základě tohoto ustanovení není doporučení „bez legitimních důvodů“ dodrženo a Komise pro ochranu osobních informací „uzná, že hrozí závažné porušení práv a zájmů fyzické osoby“, může nařídit, aby podnikatelský subjekt nakládající s osobními informacemi přijal opatření v souladu s doporučením.

(101)

Doplňková pravidla dále objasňují a posilují vymáhací pravomoci Komise pro ochranu osobních informací. Konkrétně v případech zahrnujících údaje dovážené z Evropské unie bude Komise pro ochranu osobních informací vždy považovat skutečnost, že podnikatelský subjekt nakládající s osobními informacemi bez legitimního důvodu nepřijal opatření v souladu s doporučením vydaným Komisí pro ochranu osobních informací podle čl. 42 odst. 1, za závažné a bezprostřední porušení práv a zájmů fyzické osoby ve smyslu čl. 42 odst. 2, a tedy za porušení vyžadující vydání závazného příkazu. Kromě toho Komise pro ochranu osobních informací uzná jako „legitimní důvod“ nesplnění doporučení pouze „událost mimořádné povahy [zabraňující splnění] mimo kontrolu [podnikatelského subjektu nakládajícího s osobními informacemi], kterou nelze rozumně předpokládat (například přírodní katastrofy),“ nebo případy, kdy potřeba přijmout opatření v souvislosti s doporučením „zanikla, neboť [podnikatelský subjekt nakládající s osobními informacemi] přijal alternativní opatření, která zajistila úplnou nápravu porušení“.

(102)

Nesplnění příkazu Komise pro ochranu osobních informací se považuje za trestný čin podle článku 84 zákona o ochraně osobních informací a podnikatelský subjekt nakládající s osobními informacemi, který bude shledán vinným, může být potrestán odnětím svobody s nařízeným výkonem práce až na dobu šesti měsíců nebo peněžitým trestem až do výše 300 000 jenů. Navíc podle čl. 85 bodu i) zákona o ochraně osobních informací je nedostatečná spolupráce s Komisí pro ochranu osobních informací nebo bránění v jejím vyšetřování postihnutelné peněžitým trestem až do výše 300 000 jenů. Tyto trestní sankce se uplatňují jako doplněk k sankcím, které mohou být uloženy za závažná porušení zákona o ochraně osobních informací (viz 108. bod odůvodnění).

(103)

Aby se zajistila odpovídající ochrana, a zejména vymáhání individuálních práv, měla by být subjektu údajů poskytnuta účinná správní a soudní ochrana, včetně náhrady škody.

(104)

Dříve než fyzická osoba požádá o správní nebo soudní ochranu, nebo namísto ní, může se rozhodnout podat stížnost na zpracování svých osobních údajů samotnému správci. Na základě článku 35 zákona o ochraně osobních informací se podnikatelské subjekty nakládající s osobními informacemi snaží takové stížnosti vyřídit „přiměřeně a neprodleně“ a pro dosažení tohoto cíle zavedou interní systémy vyřizování stížností. Kromě toho podle čl. 61 bodu ii) zákona o ochraně osobních informací je Komise pro ochranu osobních informací odpovědná za „nezbytnou mediaci, pokud jde o podanou žádost a spolupráci nabídnutou podnikatelskému subjektu, který se stížností zabývá“, což v obou případech zahrnuje stížnosti podané cizinci. V této souvislosti japonský zákonodárce také pověřil ústřední vládní instituce úkolem přijmout „nezbytná opatření“ s cílem umožnit a usnadnit řešení stížností podnikatelskými subjekty nakládajícími s osobními informacemi (článek 9), zatímco místní vládní instituce se v takových případech snaží zajistit mediaci (článek 13). V tomto ohledu mohou fyzické osoby vedle možnosti podat stížnost k Národnímu centru pro spotřebitelské záležitosti Japonska podat stížnost k jednomu z více než 1 700 spotřebitelských center zřízených místními vládními institucemi na základě zákona o bezpečnosti spotřebitele (61). Tyto stížnosti lze podat i v souvislosti s porušením zákona o ochraně osobních informací. Podle článku 19 základního spotřebitelského zákona (62) se místní vládní instituce v souvislosti se stížnostmi snaží zapojit do mediace a poskytovat stranám nezbytné odborné konzultace. Tyto mechanismy řešení sporů se zdají být celkem účinné: v roce 2015 se řešilo více než 75 000 případů stížností s mírou úspěšnosti 91,2 %.

(105)

Porušení ustanovení zákona o ochraně osobních informací podnikatelským subjektem nakládajícím s osobními informacemi může vést k podání občanskoprávní žaloby, jakož i k zahájení trestního řízení a sankcím. Zaprvé, pokud má fyzická osoba za to, že její práva podle článků 28, 29 a 30 zákona o ochraně osobních informací byla porušena, může se obrátit na soud a požádat o vydání příkazu, aby podnikatelský subjekt nakládající s osobními informacemi splnil její požadavek podle jednoho z těchto ustanovení, tj. zpřístupnil uchovávané osobní údaje (článek 28), provedl opravu osobních údajů, které jsou nesprávné, (článek 29) nebo ukončil protiprávní zpracování nebo poskytování třetí straně (článek 30). Tuto žalobu lze podat, aniž by bylo nutné vycházet z článku 709 občanského zákoníku (63) nebo jinak z práva občanskoprávních deliktů (64). To zejména znamená, že fyzická osoba nemusí prokazovat jakoukoli újmu.

(106)

Zadruhé v případě, kdy se údajné porušení netýká individuálních práv podle článků 28, 29 a 30, ale obecných zásad ochrany údajů nebo povinností podnikatelského subjektu nakládajícího s osobními informacemi, dotyčná fyzická osoba může podat občanskoprávní žalobu proti podnikatelskému subjektu na základě ustanovení o občanskoprávních deliktech japonského občanského zákoníku, zejména článku 709. Zatímco soudní spor podle článku 709 vyžaduje kromě zavinění (úmysl nebo nedbalost) i prokázání újmy, podle článku 710 občanského zákoníku může být tato újma hmotná i nehmotná. Pokud jde o výši odškodnění, není stanoveno žádné omezení.

(107)

Pokud jde o dostupné právní prostředky, článek 709 japonského občanského zákoníku odkazuje na peněžité odškodnění. Japonská judikatura však tento článek vykládá také jako právo dosáhnout soudního příkazu nebo zákazu (65). Pokud tedy subjekt údajů podá žalobu podle článku 709 občanského zákoníku a tvrdí, že jeho práva nebo zájmy byly poškozeny porušením ustanovení zákona o ochraně osobních informací ze strany žalovaného, tato žaloba může kromě odškodnění zahrnovat žádost o vydání soudního příkazu, zejména příkazu, jehož cílem je zastavit jakékoli protiprávní zpracování.

(108)

Zatřetí kromě právních prostředků v oblasti občanského práva (práva občanskoprávních deliktů) může subjekt údajů podat stížnost ke státnímu zástupci nebo příslušníku soudní policie, pokud jde o porušení zákona o ochraně osobních informací, která může vést k trestním sankcím. Kapitola VII zákona o ochraně osobních informací obsahuje řadu trestních ustanovení. Nejdůležitější z nich (článek 84) se týká nedodržování příkazů Komise pro ochranu osobních informací ze strany podnikatelského subjektu nakládajícího s osobními informacemi podle čl. 42 odst. 2 a 3. Pokud podnikatelský subjekt nesplní příkaz vydaný Komisí pro ochranu osobních informací, předseda této komise (jakož i všichni ostatní státní úředníci) (66) mohou věc předložit státnímu zástupci nebo příslušníku soudní policie, a tím vyvolat trestní řízení. Sankcí za porušení příkazu Komise pro ochranu osobních informací je trest odnětí svobody s nařízeným výkonem práce až na dobu šesti měsíců nebo peněžitý trest až do výše 300 000 jenů. Ostatní ustanovení zákona o ochraně osobních informací, která stanoví sankce pro případ porušení zákona o ochraně osobních informací dotýkajících se práv a zájmů subjektů údajů, zahrnují článek 83 zákona o ochraně osobních informací (týkající se „poskytování nebo používání“ databáze osobních informací „získané krádeží“„pro účely dosažení […] nezákonných zisků“) a čl. 88 bod i) zákona o ochraně osobních informací (týkající se případů, kdy třetí strana neinformuje podnikatelský subjekt nakládající s osobními informacemi, jakmile tento subjekt obdrží osobní údaje v souladu s čl. 26 odst. 1 zákona o ochraně osobních informací, zejména o tom, jak třetí strana tyto údaje sama získala). Použitelnými sankcemi za tato porušení zákona o ochraně osobních informací jsou trest odnětí svobody s nařízeným výkonem práce až na dobu jednoho roku nebo pokuta až do výše 500 000 jenů (v případě článku 83) nebo správní pokuta až do výše 100 000 jenů (v případě čl. 88 bodu i)). Ačkoli hrozba trestní sankce již pravděpodobně má silný odrazující účinek na vedení podniků, které řídí operace zpracování podnikatelského subjektu nakládajícího s osobními informacemi, jakož i na fyzické osoby nakládající s údaji, článek 87 zákona o ochraně osobních informací objasňuje, že pokud zástupce, zaměstnanec nebo jiný pracovník právnické osoby poruší články 83 až 85 zákona o ochraně osobních informací, „se pachatel potrestá a dané právnické osobě se uloží pokuta stanovená v příslušných článcích“. V tomto případě lze zaměstnanci i společnosti uložit sankce až do plné maximální výše.

(109)

V neposlední řadě mohou fyzické osoby požádat o právní ochranu v souvislosti s činností nebo nečinností Komise pro ochranu osobních informací. V tomto ohledu japonské právo stanoví několik způsobů správní a soudní ochrany.

(110)

Pokud není fyzická osoba spokojena s činností Komise pro ochranu osobních informací, může podat správní opravný prostředek podle zákona o přezkumu správních stížností (67). Pokud má naopak fyzická osoba za to, že Komise pro ochranu osobních informací měla jednat, ale neučinila tak, může fyzická osoba Komisi pro ochranu osobních informací podle článku 36-3 uvedeného zákona požádat, aby vydala rozhodnutí nebo poskytla správní pokyn, pokud má za to, že „rozhodnutí nebo správní pokyn nezbytné pro nápravu porušení nebyly vydány nebo uloženy“.

(111)

Pokud jde o soudní ochranu, podle zákona o správních sporech může fyzická osoba, která není spokojena se správním rozhodnutím vydaným Komisí pro ochranu osobních informací, podat žalobu mandamus (68) a žádat, aby soud Komisi pro ochranu osobních informací nařídil učinit další kroky (69). V určitých případech může soud také vydat předběžný příkaz (mandamus), aby zabránil nezvratné újmě (70). Kromě toho podle téhož zákona může fyzická osoba požádat o zrušení rozhodnutí Komise pro ochranu osobních informací (71).

(112)

V neposlední řadě může fyzická osoba podat proti Komisi pro ochranu osobních informací žalobu o náhradu škody státem podle čl. 1 odst. 1 zákona o státní ochraně v případě, že této fyzické osobě vznikla škoda z důvodu skutečnosti, že příkaz vydaný Komisí pro ochranu osobních informací vůči podnikatelskému subjektu byl protiprávní nebo Komise pro ochranu osobních informací neuplatnila svou pravomoc.

(113)

Komise také posuzovala omezení a záruky, včetně dozoru a jednotlivých ochranných mechanismů dostupných v japonském právu, pokud jde o shromažďování a následné používání osobních údajů předávaných podnikatelským subjektům v Japonsku orgány veřejné moci pro účely veřejného zájmu, zejména pro účely prosazování trestního práva a národní bezpečnosti („přístup vlády“). V tomto ohledu japonská vláda předložila Komisi oficiální prohlášení, ujištění a závazky podepsané na nejvyšší úrovni ministerstev a orgánů, které jsou obsaženy v příloze II tohoto rozhodnutí.

(114)

V rámci výkonu veřejné moci musí být při přístupu vlády v Japonsku v plném rozsahu dodržovány právní předpisy (zásada zákonnosti). V tomto ohledu Ústava Japonska obsahuje ustanovení omezující a poskytující rámec pro shromažďování osobních údajů orgány veřejné moci. Jak již bylo zmíněno, pokud jde o zpracování podnikatelskými subjekty, Nejvyšší soud Japonska na základě článku 13 Ústavy, který mimo jiné chrání právo na svobodu, uznal právo na soukromí a ochranu údajů (72). Důležitým aspektem uvedeného práva je svoboda neumožnit zpřístupnění svých osobních informací třetí straně bez souhlasu (73). To znamená právo na účinnou ochranu osobních údajů před zneužitím a (zejména) neoprávněným přístupem. Doplňková ochrana je zajištěna článkem 35 Ústavy, který se týká práva všech osob na ochranu svobody domovní, písemností a majetku, což vyžaduje, aby orgány veřejné moci získaly soudní příkaz vydaný na základě „přiměřeného důvodu“ (74) ve všech případech „prohlídek a zajištění věci“. Ve svém rozsudku ze dne 15. března 2017 (věc GPS) Nejvyšší soud objasnil, že tento požadavek na soudní příkaz se uplatní, kdykoli vláda zasahuje („vstupuje“) do soukromé sféry způsobem, který potlačuje vůli fyzické osoby, tedy „povinným vyšetřováním“. Soudce může takový příkaz vydat pouze na základě konkrétního podezření z trestného činu, tj. pokud jsou mu předloženy listinné důkazy, na jejichž základě může být osoba, které se vyšetřování týká, považována za osobu, která spáchala trestný čin (75). Japonské orgány tedy nemají žádnou zákonnou pravomoc shromažďovat osobní informace povinnými prostředky v situacích, kdy k porušení právních předpisů zatím nedošlo (76), například aby zabránily trestnému činu nebo jiné bezpečnostní hrozbě (jako je tomu při vyšetřování z důvodu národní bezpečnosti).

(115)

S výhradou právních zásad musí být jakékoli shromažďování údajů v rámci donucovacího vyšetřování konkrétně podloženo právními předpisy (například čl. 197 odst. 1 trestního řádu, který se týká povinného shromažďování informací pro účely trestního vyšetřování). Tento požadavek se vztahuje také na přístup k elektronickým informacím.

(116)

Důležité je, že čl. 21 odst. 2 Ústavy zaručuje důvěrnost všech komunikačních prostředků s tím, že omezení mohou stanovit pouze právní předpisy z důvodu veřejného zájmu. Článek 4 zákona o telekomunikacích, podle kterého nesmí být porušena důvěrnost sdělení, s nimiž nakládá provozovatel telekomunikačních sítí, zavádí tento požadavek důvěrnosti na úrovni zákona. To je vykládáno jako zákaz zpřístupnění komunikačních informací, pokud neexistuje souhlas uživatelů nebo pokud toto zpřístupnění nevychází z výslovných výjimek z trestní odpovědnosti podle trestního zákoníku (77).

(117)

Ústava také zaručuje právo na přístup k soudům (článek 32) a právo žalovat stát o náhradu škody v případě, kdy fyzické osobě vznikne škoda protiprávním jednáním úřední osoby (článek 17).

(118)

Pokud jde konkrétně o právo na ochranu údajů, oddíly 1, 2 a 3 kapitoly III zákona o ochraně osobních informací stanoví obecné zásady vztahující se na všechna odvětví, včetně veřejného sektoru. Zejména článek 3 zákona o ochraně osobních informací stanoví, že se všemi osobními informacemi musí být nakládáno v souladu se zásadou respektování osobnosti fyzické osoby. Jakmile orgány veřejné moci osobní informace, i jako součást elektronických záznamů, shromáždí („získají“) (78), nakládání s nimi se řídí zákonem o ochraně osobních informací uchovávaných správními orgány (79). To v zásadě zahrnuje (80) také zpracování osobních informací pro účely prosazování trestního práva nebo národní bezpečnosti. Zákon o ochraně osobních informací uchovávaných správními orgány mimo jiné stanoví, že orgány veřejné moci: i) mohou osobní informace uchovávat pouze v rozsahu nezbytném pro plnění svých povinností; ii) tyto informace nepoužijí k „neoprávněnému“ účelu nebo je bezdůvodně nezpřístupní třetí osobě; iii) stanoví účel a tento účel nezmění nad rámec toho, co lze přiměřeně považovat za relevantní pro původní účel (účelové omezení); iv) uchovávané osobní informace v zásadě nepoužijí ani je neposkytnou třetí straně pro jiné účely, a pokud to považují za nutné, stanoví omezení účelu nebo způsobu použití třetími stranami; v) usilují o zajištění správnosti informací (kvalita údajů); vi) přijmou nezbytná opatření pro řádnou správu informací a k zamezení jejich úniku, ztrátě nebo poškození (zabezpečení údajů) a vii) usilují o řádné a rychlé vyřizování jakýchkoli stížností týkajících se zpracování informací (81).

(119)

Japonské právo obsahuje řadu omezení přístupu k osobním údajům a použití těchto údajů pro účely prosazování trestního práva, jakož i dozorové a ochranné mechanismy, které poskytují dostatečné záruky k tomu, aby byly tyto údaje účinně ochráněny před nezákonnými zásahy a rizikem zneužití.

(120)

V japonském právním rámci je shromažďování elektronických informací pro účely prosazování trestního práva přípustné na základě příkazu (povinné shromažďování) nebo žádosti o dobrovolné zpřístupnění.

(121)

Jak je uvedeno ve 115. bodě odůvodnění, jakékoli shromažďování údajů v rámci donucovacího vyšetřování musí být konkrétně podloženo právními předpisy a může být prováděno pouze se soudním příkazem „vydaným na základě přiměřeného důvodu“ (článek 35 Ústavy). Pokud jde o vyšetřování trestných činů, tento požadavek se odráží v ustanoveních trestního řádu. Podle čl. 197 odst. 1 trestního řádu se povinná opatření „nepoužijí, pokud trestní řád neobsahuje zvláštní ustanovení“. Pokud jde o shromažďování elektronických informací, jedinými relevantními (82) právními základy v tomto ohledu jsou článek 218 trestního řádu (prohlídka a zajištění věci) a článek 222-2 trestního řádu, podle nichž se povinná opatření pro odposlech elektronických komunikací bez souhlasu druhé strany provádějí na základě jiných zákonů, konkrétně zákona o odposleších pro trestní vyšetřování (dále jen „zákon o odposleších“). V obou případech se použije požadavek soudního příkazu.

(122)

Konkrétně podle čl. 218 odst. 1 trestního řádu může státní zástupce, asistent státního zástupce nebo příslušník soudní policie, pokud je to nezbytné pro vyšetřování trestného činu, provést prohlídku nebo zajištění věci (včetně nařízení záznamu) na základě příkazu předem vydaného soudcem (83). Takový příkaz mimo jiné obsahuje jméno podezřelého nebo obviněného, trestný čin, z něhož je obviněn (84), elektromagnetické záznamy, které mají být zajištěny, a „místo nebo věci“, které mají být předmětem prohlídky (čl. 219 odst. 1 trestního řádu).

(123)

Pokud jde o odposlechy komunikace, článek 3 zákona o odposleších tato opatření umožňuje pouze při dodržení přísných požadavků. Orgány veřejné moci musí zejména získat předchozí soudní příkaz, který může být vydán pouze v návaznosti na vyšetřování určitých závažných trestných činů (uvedených v příloze zákona) (85), a pokud je „mimořádně obtížné identifikovat pachatele trestného činu nebo objasnit situace/podrobnosti spáchání trestného činu jinými prostředky“ (86). Podle článku 5 zákona o odposleších se soudní příkaz vydává na omezenou dobu a soudce může uložit dodatečné podmínky. V zákoně o odposleších se navíc stanovuje řada dalších záruk, jako například nezbytná přítomnost svědků (články 12 a 20), zákaz odposlouchávání komunikace určitých privilegovaných skupin (např. lékařů a právníků) (článek 15), povinnost ukončit odposlech, pokud již není odůvodněný, a to dokonce i po dobu platnosti soudního příkazu (článek 18) nebo obecný požadavek informovat dotčenou osobu a umožnit přístup k záznamům do třiceti dnů od ukončení odposlechu (články 23 a 24).

(124)

U všech povinných opatření na základě příkazu může být výslech proveden (čl. 197 odst. 1 trestního řádu) pouze „v rozsahu nezbytném pro dosažení jeho cíle“, to znamená, pokud nelze cílů sledovaných vyšetřováním dosáhnout jinak. Ačkoli kritéria pro určení nezbytnosti nejsou v právních předpisech dále specifikována, Nejvyšší soud Japonska konstatoval, že soudce vydávající soudní příkaz by měl celkově posoudit a vzít v úvahu zejména i) závažnost trestného činu a způsob jeho spáchání; ii) hodnotu a důležitost materiálů, které mají být zajištěny jako důkaz; iii) pravděpodobnost (riziko), že důkazy mohou být ukryty nebo zničeny, a iv) rozsah, v jakém může zajištění věcí způsobit újmu dotyčné fyzické osobě (87).

(125)

V mezích své pravomoci mohou orgány veřejné moci rovněž shromažďovat elektronické informace na základě žádostí o dobrovolné zpřístupnění. To se vztahuje k nepovinné formě spolupráce, kdy vyhovění žádosti nelze vymáhat (88), a orgány veřejné moci jsou tak zbaveny povinnosti získat soudní příkaz.

(126)

Pokud je tato žádost určena podnikatelskému subjektu a týká se osobních informací, podnikatelský subjekt musí splnit požadavky zákona o ochraně osobních informací. Podle čl. 23 odst. 1 zákona o ochraně osobních informací mohou podnikatelské subjekty zpřístupnit osobní informace třetím stranám bez souhlasu dotyčné fyzické osoby pouze v určitých případech, včetně případů, kdy zpřístupnění těchto informací „vychází z právních předpisů“ (89). V oblasti prosazování trestního práva je právní základ pro tyto žádosti uveden v čl. 197 odst. 2 trestního řádu, podle kterého „mohou být soukromé organizace požádány, aby podaly zprávy o nezbytných záležitostech souvisejících s vyšetřováním“. Jelikož je taková „žádost o zpřístupnění informací“ přípustná pouze jako součást trestního vyšetřování, vždy předpokládá konkrétní podezření z již spáchaného trestného činu (90). Kromě toho, jelikož vyšetřování obvykle provádí prefekturní policie, použijí se omezení podle čl. 2 odst. 2 zákona o policii (91). Podle uvedeného ustanovení jsou činnosti policie „přísně omezeny“ na plnění jejích odpovědností a povinností (tj. předcházení trestných činů, jejich potlačování a vyšetřování). Kromě toho při plnění svých povinností policie jedná nestranně, nezaujatě a spravedlivě a nesmí nikdy zneužít svých pravomocí „způsobem, který by zasahoval do práv a svobod jednotlivce zaručených Ústavou Japonska“ (které, jak již bylo uvedeno, zahrnují právo na soukromí a ochranu údajů) (92).

(127)

Konkrétně, pokud jde o čl. 197 odst. 2 trestního řádu, Národní policejní agentura, jakožto federální orgán mimo jiné pověřený všemi záležitostmi, které se týkají trestní policie, vydal pokyny pro prefekturní policii (93) týkající se „správného používání písemných žádostí ve věcech vyšetřování“. Podle tohoto oznámení musí být žádosti předkládány za pomoci předtištěného formuláře („formulář č. 49“ neboli tzv. „žádost o zpřístupnění informací“) (94), týkat se záznamů „souvisejících s konkrétním vyšetřováním“ a požadované informace musí být „nezbytné pro [uvedené] vyšetřování“. V každém případě hlavní vyšetřovatel „v plném rozsahu přezkoumá nezbytnost, obsah atd. jednotlivých žádostí“ a musí získat interní souhlas od vysokého úředníka.

(128)

Ve dvou rozsudcích z let 1969 a 2008 (95) Nejvyšší soud Japonska navíc stanovil omezení, pokud jde o nepovinná opatření, která zasahují do práva na soukromí (96). Soud měl zejména za to, že taková opatření musí být „přiměřená“ a nepřekračovat „obecně přípustné meze“, což znamená, že musí být nezbytná pro vyšetřování podezřelého (shromažďování důkazů) a prováděná „metodami vhodnými pro dosažení účelu vyšetřování“ (97). Rozsudky ukazují, že to znamená test proporcionality s přihlédnutím ke všem okolnostem případu (např. míra zásahu do práva na soukromí, včetně očekávání soukromí, závažnost trestného činu, pravděpodobnost získání důležitých důkazů, důležitost takovýchto důkazů, možné alternativní prostředky vyšetřování atd.) (98).

(129)

Vedle těchto omezení výkonu veřejné moci se očekává, že podnikatelské subjekty samy zkontrolují („potvrdí“) nezbytnost a „rozumnost“ poskytnutí informací třetí straně (99). To zahrnuje otázku, zda jim ve spolupráci brání zákon. Takovéto protichůdné právní povinnosti mohou vyplývat zejména z povinností mlčenlivosti, např. článek 134 trestního zákoníku (týkající se vztahu mezi lékařem, advokátem, knězem atd. a jejich klientem). Rovněž „jakákoli osoba, která působí v odvětví telekomunikací při výkonu funkce zachovává tajemství druhých, která se dozví v souvislosti se sděleními, s nimiž nakládá provozovatel telekomunikačních sítí“ (čl. 4 odst. 2 zákona o telekomunikacích). Tato povinnost je doprovázena sankcí stanovenou v článku 179 zákona o telekomunikacích, podle něhož osoba, která poruší důvěrnost sdělení, s nimiž nakládá provozovatel telekomunikačních sítí, se dopustí trestného činu a bude potrestána trestem odnětí svobody s nařízeným výkonem práce na dobu až dvou let nebo pokutou v maximální výši jednoho milionu jenů (100). Ačkoli tento požadavek není absolutní, a zejména umožňuje opatření porušující důvěrnost sdělení, která představují „ospravedlnitelné jednání“ ve smyslu článku 35 trestního zákoníku (101), nevztahuje se tato výjimka na nepovinné žádosti orgánů veřejné moci o zpřístupnění elektronických informací podle čl. 197 odst. 2 trestního řádu.

(130)

Osobní informace shromážděné japonskými orgány veřejné moci spadají do oblasti působnosti zákona o ochraně osobních informací uchovávaných správními orgány. Tento zákon upravuje nakládání s „uchovávanými informacemi“ (jejich zpracování) a stanoví řadu omezení a záruk (viz 118. bod odůvodnění) (102). Kromě toho skutečnost, že správní orgán může uchovávat osobní informace, „pouze pokud je uchovávání nezbytné k provádění záležitostí v jeho pravomoci stanovené právními předpisy“ (čl. 3 odst. 1 zákona o ochraně osobních informací uchovávaných správními orgány), rovněž stanoví omezení – alespoň nepřímá – pro původní shromažďování.

(131)

V Japonsku shromažďování elektronických informací v oblasti prosazování trestního práva nejčastěji (103) spadá pod prefekturní policii (104), která v tomto ohledu podléhá různým úrovním dozoru.

(132)

Zaprvé ve všech případech, kdy jsou elektronické informace shromažďovány povinnými prostředky (prohlídka a zajištění věci), musí policie získat předchozí soudní příkaz (viz 121. bod odůvodnění). V takových případech bude tedy shromažďování soudcem kontrolováno ex ante na základě přísné normy „přiměřeného důvodu“.

(133)

V případě žádostí o dobrovolné zpřístupnění sice soudce žádnou kontrolu ex ante neprovádí, avšak podnikatelské subjekty, kterým jsou takové žádosti určeny, mohou proti nim vznést námitku, aniž by riskovaly jakékoli negativní důsledky (a budou muset přihlédnout k dopadu jakéhokoli zpřístupnění na soukromí). Kromě toho podle čl. 192 odst. 1 trestního řádu policisté vždy spolupracují a koordinují svou činnost se státním zástupcem (a příslušnou prefekturní komisí pro veřejnou bezpečnost) (105). Státní zástupce pak může poskytnout nezbytné obecné pokyny, kterými stanoví normy pro spravedlivé vyšetřování, a/nebo vydat konkrétní příkazy s ohledem na jednotlivé vyšetřování (článek 193 trestního řádu). Pokud takové pokyny a/nebo příkazy nejsou dodrženy, může státní zástupce vznést obvinění a zahájit disciplinární řízení (článek 194 trestního řádu). Prefekturní policie tedy působí pod dohledem státního zástupce.

(134)

Zadruhé podle článku 62 Ústavy může kterákoli z komor japonského parlamentu provádět vyšetřování v souvislosti s vládou, včetně vyšetřování týkajícího se zákonnosti shromažďování informací policií. Za tímto účelem může požadovat přítomnost a výpověď svědků a/nebo předložení záznamů. Tato vyšetřovací pravomoc je dále upravena v zákoně o parlamentu, zejména v kapitole XII. Zejména článek 104 zákona o parlamentu stanoví, že kabinet, veřejnoprávní subjekty a jiné části vlády „musí vyhovět žádosti kterékoli z komor nebo kteréhokoli z jejích výborů o předložení zpráv a záznamů nezbytných pro posouzení vyšetřování“. Odmítnutí vyhovět žádosti je přípustné pouze v případě, že vláda uvede přijatelný důvod, který bude parlament považovat za přijatelný, nebo v případě vydání formálního prohlášení, že předložení zpráv nebo záznamů by „vážně poškodilo národní zájmy“ (106). Kromě toho členové parlamentu mohou klást kabinetu písemné dotazy (články 74 a 75 zákona o parlamentu) a v minulosti se takovéto „písemné dotazy“ týkaly rovněž nakládání s osobními informacemi státní správou (107). Úloha parlamentu při dohledu nad výkonnou mocí je posílena oznamovací povinností, například podle článku 29 zákona o odposleších.

(135)

Zatřetí prefekturní policie podléhá nezávislému dozoru i v rámci výkonné moci. To zahrnuje zejména prefekturní komise pro veřejnou bezpečnost zřízené na úrovni prefektur k zajištění demokratické správy a politické neutrality policie (108). Členové těchto komisí jsou jmenováni guvernérem prefektury se souhlasem prefekturního shromáždění (z občanů, kteří v předchozích pěti letech nebyli státními zaměstnanci u policie) a mají zajištěné funkční období (odvoláni mohou být pouze z řádného důvodu) (109). Podle obdržených informací se na ně nevztahují pokyny, a proto je lze považovat za zcela nezávislé (110). Pokud jde o úkoly a pravomoci prefekturních komisí pro veřejnou bezpečnost, podle čl. 38 odst. 3 ve spojení s článkem 2 a čl. 36 odst. 2 zákona o policii jsou prefekturní komise zodpovědné za „ochranu práv a svobody jednotlivce“. Za tímto účelem mají pravomoc „vykonávat dozor“ (111) nad všemi aktivitami prefekturní policie v oblasti vyšetřování, včetně shromažďování osobních údajů. Komise zejména „mohou [p]refekturní [p]olicii v případě potřeby dávat podrobné pokyny nebo pokyny v konkrétním případě kontroly zneužití pravomoci zaměstnanců policie“ (112). Pokud velitel prefekturní policie (113) obdrží takový pokyn nebo se sám dozví o případném případu zneužití pravomoci (včetně porušení právních předpisů nebo jiného zanedbání povinností), musí bezodkladně případ prověřit a výsledek kontroly oznámit příslušné prefekturní komisi pro veřejnou bezpečnost (čl. 56 odst. 3 zákona o policii). Pokud to komise považuje za nezbytné, může rovněž jmenovat jednoho ze svých členů, aby přezkoumal stav provádění. Proces pokračuje, dokud není příslušná prefekturní komise pro veřejnou bezpečnost přesvědčena, že incident byl náležitě vyřešen.

(136)

Pokud jde o správné použití zákona o ochraně osobních informací uchovávaných správními orgány, příslušný ministr nebo vedoucí agentury (např. vrchní komisař Národní policejní agentury) má vymáhací pravomoc, která podléhá dohledu Ministerstva vnitra a komunikací. Podle článku 49 zákona o ochraně osobních informací uchovávaných správními orgány Ministerstvo vnitra a komunikací „může shromažďovat zprávy o stavu prosazování tohoto zákona“ od vedoucích správních orgánů (ministrů). Tato dohledová funkce je podpořena vstupy z 51 „všeobecných informačních středisek“ Ministerstva vnitra a komunikací (v každé prefektuře po celém Japonsku se nachází jedno), která každoročně zpracovávají tisíce dotazů od fyzických osob (114) (které pak mohou odhalit možná porušení právních předpisů). Pokud to Ministerstvo vnitra a komunikací považuje za nezbytné k zajištění souladu s uvedeným zákonem, může si vyžádat předložení vysvětlení a materiálů a vydat stanoviska týkající se nakládání s osobními informacemi dotyčným správním orgánem (články 50 a 51 zákona o ochraně osobních informací uchovávaných správními orgány).

(137)

Kromě dohledu z moci úřední mají fyzické osoby rovněž několik možností, jak dosáhnout individuální ochrany, a to jak prostřednictvím nezávislých orgánů (například příslušných prefekturních komisí pro veřejnou bezpečnost nebo Komise pro ochranu osobních informací), tak prostřednictvím japonských soudů.

(138)

Zaprvé, pokud jde o osobní informace shromažďované správními orgány, jsou tyto orgány povinny „usilovat o řádné a rychlé vyřízení jakékoli stížnosti“ týkající se následného zpracování informací (článek 48 zákona o ochraně osobních informací uchovávaných správními orgány). Kapitola IV zákona o ochraně osobních informací uchovávaných správními orgány týkající se individuálních práv sice není použitelná ve vztahu k osobním informacím zaznamenaným v „dokumentech týkajících se soudních řízení a zajištěných předmětů“ (čl. 53-2 odst. 2 trestního řádu), což zahrnuje osobní informace shromažďované v rámci trestního vyšetřování, fyzické osoby však mohou podat stížnost a dovolávat se obecných zásad ochrany údajů, jako je například povinnost uchovávat osobní informace pouze „v případě, že uchovávání je nezbytné pro plnění [funkcí prosazování práva]“ (čl. 3 odst. 1 zákona o ochraně osobních informací uchovávaných správními orgány).

(139)

Kromě toho článek 79 zákona o policii zaručuje fyzickým osobám, které mají obavy, pokud jde o „plnění povinností“ příslušníky policie, právo podat stížnost (příslušné) nezávislé prefekturní komisi pro veřejnou bezpečnost. Komise bude tyto stížnosti vyřizovat „svědomitě“ v souladu s právními předpisy a místními vyhláškami a stěžovatele bude o výsledku informovat písemně. Na základě své pravomoci dozorovat prefekturní policii a „dávat jí pokyny“, pokud jde o „zneužívání pravomoci příslušníků policie“ (čl. 38 odst. 3 a čl. 43-2 odst. 1 zákona o policii), může Komise požádat prefekturní policii, aby prošetřila skutečnosti, na základě tohoto šetření přijala přiměřená opatření a o výsledku podala zprávu. Pokud má komise za to, že šetření provedené policií není odpovídající, může rovněž poskytnout pokyny k vyřízení stížnosti.

(140)

Pro snazší vyřizování stížností vydala Národní policejní agentura „sdělení“ pro policii a prefekturní komise pro veřejnou bezpečnost týkající se řádného vyřizování stížností na plnění povinností policisty. V tomto dokumentu Národní policejní agentura stanoví normy pro výklad a provádění článku 79 zákona o policii. Mimo jiné vyžaduje, aby prefekturní policie zavedla „systém pro vyřizování stížností“ a všechny stížnosti „bezodkladně“ vyřizovala a hlásila příslušné prefekturní komisi pro veřejnou bezpečnost. V oznámení se stížnosti vymezují jako nároky, jejichž cílem je náprava „konkrétního znevýhodnění, k němuž došlo v důsledku nezákonného nebo nevhodného chování“ (115) nebo „nepřijetí nezbytných opatření ze strany příslušníka policie při plnění jeho povinností“ (116), jakož i jakékoli „stížnosti/nespokojenost v souvislosti s nevhodným způsobem plnění povinností příslušníka policie“. Věcná působnost stížnosti je tedy vymezena široce, aby zahrnovala veškeré nároky týkající se nezákonného zpracování údajů, přičemž stěžovatel nemusí prokazovat, že v důsledku opatření příslušníka policie utrpěl újmu. Důležité je, že podle uvedeného sdělení bude cizincům (mimo jiné) poskytnuta pomoc při formulování stížnosti. V reakci na stížnost musí prefekturní komise pro veřejnou bezpečnost zajistit, aby prefekturní policie přezkoumala skutečnosti, „podle výsledku přezkoumání“ zavedla opatření a o výsledku podala zprávu. Pokud má komise za to, že přezkoumání je nedostačující, vydá pokyn k vyřízení stížnosti, který musí prefekturní policie dodržet. Na základě obdržených zpráv a přijatých opatření komise uvědomí danou fyzickou osobu a mimo jiné uvede opatření přijatá k vyřízení stížnosti. Sdělení Národní policejní agentury zdůrazňuje, že stížnosti je třeba vyřizovat „upřímně“ a že výsledek je třeba oznámit „ve lhůtě […] považované za přiměřenou s ohledem na společenské normy a zdravý rozum“.

(141)

Zadruhé vzhledem k tomu, že právní ochranu bude přirozeně nutné hledat v zahraničí v cizím systému a cizím jazyce, pro usnadnění právní ochrany fyzických osob z EU, jejichž osobní údaje se předávají podnikatelským subjektům v Japonsku a k nimž mají následně přístup orgány veřejné moci, využila japonská vláda své pravomoci a vytvořila zvláštní mechanismus pro vyřizování a řešení stížností v této oblasti, který spravuje a dozoruje Komise pro ochranu osobních informací. Uvedený mechanismus vychází z povinnosti spolupráce, kterou japonským orgánům veřejné moci ukládá zákon o ochraně osobních informací, a ze zvláštní úlohy Komise pro ochranu osobních informací, pokud jde o mezinárodní předávání údajů ze třetích zemí podle článku 6 zákona o ochraně osobních informací a základní politiky (stanovené japonskou vládou prostřednictvím nařízení kabinetu). Podrobnosti tohoto mechanismu jsou uvedeny v oficiálních prohlášeních, ujištěních a závazcích obdržených od japonské vlády, které jsou připojeny k tomuto rozhodnutí jako příloha II. Na tento mechanismus se nevztahují žádné stávající požadavky a je otevřený pro každou fyzickou osobu bez ohledu na to, zda je podezřelá nebo obviněná z trestného činu,

(142)

Podle tohoto mechanismu může fyzická osoba, která má podezření, že její údaje předané z Evropské unie byly shromážděny nebo použity orgány veřejné moci v Japonsku (včetně orgánů odpovědných za prosazování trestního práva) v rozporu s použitelnými pravidly, podat stížnost ke Komisi pro ochranu osobních informací (individuálně nebo prostřednictvím svého úřadu pro ochranu osobních údajů ve smyslu článku 51 obecného nařízení o ochraně osobních údajů). Komise pro ochranu osobních informací bude povinna se stížností zabývat a v prvním kroku o ní informovat příslušné orgány veřejné moci, včetně příslušných dozorových úřadů. Tyto orgány musí spolupracovat s Komisí pro ochranu osobních informací, „včetně poskytnutí nezbytných informací a příslušných materiálů, tak aby Komise pro ochranu osobních informací mohla posoudit, zda shromáždění nebo následné použití osobních informací proběhlo v souladu s použitelnými pravidly“ (117). Tato povinnost, odvozená z článku 80 zákona o ochraně osobních informací (podle kterého mají japonské orgány veřejné moci povinnost spolupracovat s Komisí pro ochranu osobních informací), má všeobecnou platnost, a proto se vztahuje i na přezkum všech opatření přijatých těmito orgány v oblasti vyšetřování, které se k takové spolupráci navíc zavázaly prostřednictvím písemných ujištění příslušných ministerstev a vedoucích agentur, jak je uvedeno v příloze II.

(143)

Pokud posouzení ukáže, že došlo k porušení použitelných pravidel, „spolupráce dotyčných orgánů veřejné moci s Komisí pro ochranu osobních informací zahrnuje povinnost toto porušení napravit“, což v případě protiprávního shromažďování osobních informací zahrnuje výmaz takovýchto údajů. Důležité je, že na plnění této povinnosti dohlíží Komise pro ochranu osobních informací, která „před uzavřením posouzení potvrdí, že porušení bylo v plném rozsahu napraveno“.

(144)

Jakmile je posouzení uzavřeno, Komise pro ochranu osobních informací o jeho výsledku v přiměřené lhůtě uvědomí danou fyzickou osobu s uvedením případně přijatých nápravných opatření. Komise pro ochranu osobních informací zároveň informuje danou fyzickou osobu o možnosti vyžádat si od příslušného orgánu veřejné moci potvrzení výsledku a o tom, ke kterému úřadu takovou žádost o potvrzení podat. Možnost obdržet toto potvrzení, včetně důvodů, z nichž rozhodnutí příslušného orgánu vychází, může fyzické osobě pomoci při jakýchkoli dalších krocích, a to i v případě, že bude žádat o soudní ochranu. Podrobné informace o výsledku posouzení lze omezit, pokud existují přiměřené důvody se domnívat, že sdělení takových informací pravděpodobně ohrozí probíhající vyšetřování.

(145)

Zatřetí fyzická osoba, která nesouhlasí s rozhodnutím o (příkazem k) zajištění věci (118) týkajícím se jejích osobních údajů vydaným soudcem nebo opatřeními policie nebo řízením o výkonu takového rozhodnutí, může podat žádost, aby dané rozhodnutí nebo uvedená opatření byla zrušena nebo změněna (čl. 429 odst. 1, čl. 430 odst. 1 a 2 trestního řádu, článek 26 zákona o odposleších) (119). Pokud má přezkoumávající soud za to, že buď samotný příkaz, nebo jeho výkon („zajišťovací postup“) je protiprávní, žádosti vyhoví a nařídí vrácení zajištěných věcí (120).

(146)

Začtvrté fyzická osoba, která má za to, že shromažďování jejích osobních informací jako součást trestního vyšetřování bylo protiprávní, se může v rámci svého trestního řízení dovolávat této protiprávnosti jakožto nepřímé formy soudní kontroly. Pokud bude soud souhlasit, povede to k vyloučení tohoto důkazu jako nepřípustného.

(147)

V neposlední řadě podle čl. 1 odst. 1 zákona o státní ochraně může soud přiznat odškodnění, pokud státní úředník, který vykonává veřejnou moc státu, při plnění svých povinností protiprávně a vlastní vinou (úmyslně nebo z nedbalosti) způsobil dotyčné fyzické osobě škodu. Podle článku 4 zákona o státní ochraně vychází odpovědnost státu za škody z ustanovení občanského zákoníku. V tomto ohledu článek 710 občanského zákoníku stanoví, že odpovědnost rovněž zahrnuje jiné než majetkové škody, a tedy i morální újmu (například v podobě „psychických problémů“). To zahrnuje případy, kdy je soukromí fyzické osoby narušeno protiprávním sledováním a/nebo shromažďováním jejích osobních informací (např. protiprávní výkon příkazu) (121).

(148)

Kromě peněžité náhrady mohou fyzické osoby za určitých podmínek rovněž dosáhnout soudního příkazu (např. k výmazu osobních údajů shromážděných orgány veřejné moci) na základě svých práv na soukromí podle článku 13 Ústavy (122).

(149)

S ohledem na všechny tyto možnosti ochrany mechanismus řešení sporů vytvořený japonskou vládou stanoví, že fyzická osoba, která stále není spokojena s výsledkem řízení, se může obrátit na Komisi pro ochranu osobních informací, „která fyzickou osobu informuje o různých možnostech a detailních postupech pro dosažení právní ochrany podle japonských právních předpisů“. Kromě toho Komise pro ochranu osobních informací „poskytne dané fyzické osobě podporu, včetně poradenství a pomoci ohledně jakýchkoli dalších kroků ve vztahu k příslušnému správnímu nebo soudnímu orgánu“.

(150)

To zahrnuje využití procesních práv podle trestního řádu. Například „[p]okud posouzení odhalí, že fyzická osoba je podezřelá v trestní věci, Komise pro ochranu osobních informací danou fyzickou osobu informuje o této skutečnosti“ (123) a rovněž o možnosti podle článku 259 trestního řádu požádat státního zástupce, aby ji uvědomil, jakmile se rozhodne nezahájit trestní řízení. Pokud pak posouzení odhalí, že bylo zahájeno řízení ve věci zahrnující osobní informace dané fyzické osoby a že toto řízení je ukončeno, Komise pro ochranu osobních informací bude fyzickou osobu informovat o tom, že lze nahlédnout do spisu podle článku 53 trestního řádu (a článku 4 zákona o konečném trestním spise). Získání přístupu ke svému spisu je důležité, neboť to fyzické osobě pomůže lépe pochopit vyšetřování, které proti ní bylo vedeno, a připravit tak případné soudní kroky (např. podání žaloby o náhradu škody) v případě, že má za to, že její údaje byly shromažďovány nebo použity protiprávně.

(151)

Podle japonských orgánů neexistuje v Japonsku žádný zákon, který by připouštěl povinné žádosti o informace nebo „správní odposlechy“ mimo trestní vyšetřování. Z důvodu národní bezpečnosti lze tedy informace získat pouze z informačního zdroje, k němuž má přístup kdokoli, nebo dobrovolným zpřístupněním. Podnikatelské subjekty, které obdrží žádost o dobrovolnou spolupráci (formou zpřístupnění elektronických informací), nejsou tedy ze zákona povinny takovéto informace poskytnout (124).

(152)

Kromě toho podle obdržených informací jsou pouze čtyři vládní instituce oprávněny shromažďovat elektronické informace uchovávané japonskými podnikatelskými subjekty z důvodu národní bezpečnosti, a to konkrétně: i) Zpravodajská a vyšetřovací služba kabinetu; ii) Ministerstvo obrany; iii) policie (Národní policejní agentura (125) i prefekturní policie) a iv) Zpravodajská služba pro veřejnou bezpečnost. Zpravodajská a vyšetřovací služba kabinetu však nikdy neshromažďuje informace přímo od podnikatelských subjektů, a to ani prostřednictvím odposlechu komunikací. Pokud obdrží informace od jiných vládních institucí, aby mohla poskytnout analýzu kabinetu, musí tyto jiné instituce dodržovat právní předpisy, včetně omezení a záruk analyzovaných v tomto rozhodnutí. Její činnost tedy není v kontextu předávání relevantní.

(153)

Podle obdržených informací Ministerstvo obrany shromažďuje (elektronické) informace na základě zákona o zřízení Ministerstva obrany. Podle článku 3 uvedeného zákona je posláním Ministerstva obrany řídit vojenské síly a operovat s nimi a „vykonávat související záležitosti s cílem zajistit národní mír a nezávislost a bezpečnost národa“. Ustanovení čl. 4 odst. 4 stanoví, že Ministerstvo obrany má pravomoc nad „obranou a stráží“, nad akcemi uskutečňovanými domobranou, jakož i nad rozmisťováním vojenských sil, včetně shromažďování informací nezbytných k provádění uvedených záležitostí. (Elektronické) informace od podnikatelských subjektů je oprávněna shromažďovat pouze prostřednictvím dobrovolné spolupráce.

(154)

Pokud jde o prefekturní policii, její odpovědnosti a povinnosti zahrnují „udržování veřejné bezpečnosti a veřejného pořádku“ (čl. 35 odst. 2 ve spojení s čl. 2 odst. 1 zákona o policii). V rozsahu této pravomoci může policie shromažďovat informace, ale pouze na základě dobrovolnosti bez právní síly. Kromě toho jsou činnosti policie „přísně omezeny“ na ty, které jsou nezbytné k plnění jejích povinností. Kromě toho policie jedná „nezaujatě, nestranně, nepředpojatě a spravedlivě“ a nikdy nezneužívá svých pravomocí „způsobem, který by zasahoval do práv a svobod fyzických osob zaručených Ústavou Japonska“ (článek 2 zákona o policii).

(155)

V neposlední řadě může Zpravodajská služba pro veřejnou bezpečnost provádět vyšetřování podle zákona o předcházení podvratným činnostem a zákona o kontrole organizací, které se dopouštějí bezohledného masového vraždění, kdy tato vyšetřování jsou nezbytná k přípravě přijetí kontrolních opatření vůči určitým organizacím (126). Podle obou zákonů může Přezkumná komise pro veřejnou bezpečnost na žádost generálního ředitele Zpravodajské služby pro veřejnou bezpečnost vydávat určitá „rozhodnutí“ (sledování/zákazy v případě zákona o kontrole organizací, které se dopouštějí bezohledného masového vraždění (127), zrušení/zákazy v případě zákona o předcházení podvratným činnostem (128)) a v této souvislosti může Zpravodajská služba pro veřejnou bezpečnost provádět vyšetřování (129). Podle obdržených informací se tato vyšetřování provádějí vždy na dobrovolném základě, což znamená, že Zpravodajská služba pro veřejnou bezpečnost nesmí vlastníka osobních informací nutit, aby tyto informace poskytl (130). Kontroly a vyšetřování se provádějí pouze v minimálním rozsahu nezbytném pro dosažení účelu kontroly a za žádných okolností nesmějí být prováděny tak, aby „nepřiměřeně“ omezovaly práva a svobody zaručené Ústavou Japonska (čl. 3 odst. 1 zákona o předcházení podvratným činnostem / zákona o kontrole organizací, které se dopouštějí bezohledného masového vraždění). Kromě toho podle čl. 3 odst. 2 zákona o předcházení podvratným činnostem / zákona o kontrole organizací, které se dopouštějí bezohledného masového vraždění nesmí Zpravodajská služba pro veřejnou bezpečnost za žádných okolností těchto kontrol nebo probíhajícího vyšetřování k přípravě těchto kontrol zneužít. Pokud důstojník Zpravodajské služby pro veřejnou bezpečnost zneužije svou pravomoc podle příslušného zákona tím, že určitou osobu donutí udělat něco, co daná osoba udělat nemusí, nebo zasáhne do výkonu práv určité osoby, může takový důstojník nebo policista podléhat trestním sankcím podle článku 45 zákona o předcházení podvratným činnostem nebo podle článku 42 zákona o kontrole organizací, které se dopouštějí bezohledného masového vraždění. V neposlední řadě oba zákony výslovně stanoví, že jejich ustanovení, včetně pravomocí těmito zákony udělených, „za žádných okolností nesmějí být vykládána šířeji“ (článek 2 zákona o předcházení podvratným činnostem / zákona o kontrole organizací, které se dopouštějí bezohledného masového vraždění).

(156)

Ve všech případech přístupu vlády z důvodů národní bezpečnosti popsaných v tomto oddíle platí omezení stanovená japonským Nejvyšším soudem pro dobrovolná vyšetřování, což znamená, že shromažďování (elektronických) informací musí odpovídat zásadám nutnosti a přiměřenosti („vhodná metoda“) (131). Jak výslovně potvrdily japonské orgány, „shromažďování a zpracovávání informací probíhá pouze v míře nezbytné pro plnění konkrétních povinností příslušného orgánu veřejné moci, jakož i na základě konkrétních hrozeb“. Proto „je tak vyloučen masový a neselektivní sběr osobních informací nebo přístup k těmto osobním informacím z důvodu národní bezpečnosti“ (132).

(157)

Jakmile jsou navíc jakékoli osobní informace uchovávané orgány veřejné moci pro účely národní bezpečnosti shromážděny, vztahuje se na ně v souvislosti s jejich následným uložením, použitím a zpřístupněním ochrana podle zákona o ochraně osobních informací uchovávaných správními orgány (viz 118. bod odůvodnění).

(158)

Shromažďování osobních informací pro účely národní bezpečnosti podléhá několika úrovním dozoru tří vládních složek.

(159)

Zaprvé japonský parlament může prostřednictvím svých specializovaných výborů přezkoumávat zákonnost vyšetřování na základě svých pravomocí v oblasti parlamentní kontroly (článek 62 Ústavy, článek 104 zákona o parlamentu; viz 134. bod odůvodnění). Tato dozorová funkce je podpořena zvláštními povinnostmi podávání zpráv o prováděných činnostech, které vycházejí z některého z výše uvedených právních základů (133).

(160)

Zadruhé v rámci výkonné moci existuje několik dozorových mechanismů.

(161)

Pokud jde o Ministerstvo obrany, dozor vykonává kancelář generálního inspektora pro dodržování právních předpisů (134), která byla zřízena na základě článku 29 zákona o zřízení Ministerstva obrany jako úřad v rámci Ministerstva obrany pod dohledem ministra obrany (kterému podléhá), ale nezávisle na provozních útvarech Ministerstva obrany. Kancelář generálního inspektora má za úkol zajišťovat dodržování právních předpisů, jakož i řádné plnění povinností úředníků Ministerstva obrany. Mezi jeho pravomoci patří provádět tzv. „inspekce obrany“, a to jak v pravidelných intervalech („pravidelné inspekce obrany“), tak v individuálních případech („zvláštní inspekce obrany“), které v minulosti zahrnovaly také řádné nakládání s osobními informacemi (135). V souvislosti s těmito inspekcemi může kancelář generálního inspektora vstupovat do prostor (kanceláří) a požadovat předložení dokumentů nebo informací, včetně vysvětlení náměstka ministra obrany. Inspekce se uzavírá zprávou ministrovi obrany, která uvádí zjištění a opatření ke zlepšení (jejichž zavedení může být opět kontrolováno prostřednictvím dalších inspekcí). Zpráva pak tvoří základ pro pokyny ministra obrany k zavedení opatření nezbytných k řešení situace; zavedením takovýchto opatření je pověřen náměstek ministra a musí o opatřeních přijatých v návaznosti na zjištění podat zprávu.

(162)

Pokud jde o prefekturní policii, dozor zajišťují nezávislé prefekturní komise pro veřejnou bezpečnost, jak je vysvětleno ve 135. bodě odůvodnění s ohledem na prosazování trestního práva.

(163)

Jak již bylo uvedeno, Zpravodajská služba pro veřejnou bezpečnost může provádět vyšetřování pouze v rozsahu nezbytném s ohledem na přijetí rozhodnutí o zákazu, zrušení nebo sledování podle zákona o předcházení podvratným činnostem / zákona o kontrole organizací, které se dopouštějí bezohledného masového vraždění, a pro tato rozhodnutí vykonává dozor ex ante nezávislá (136) Přezkumná komise pro veřejnou bezpečnost. Kromě toho zvláště určení inspektoři provádějí pravidelné / periodické inspekce (které komplexně posuzují činnost Zpravodajské služby pro veřejnou bezpečnost) (137) a zvláštní interní inspekce (138) činností jednotlivých útvarů/kanceláří atd., které mohou vést k vydání pokynů pro vedoucí příslušných útvarů atd., aby přijali opatření k nápravě nebo zlepšení.

(164)

Tyto dozorové mechanismy, které jsou dále posíleny možností fyzických osob vyvolat zásah Komise pro ochranu osobních informací jakožto nezávislého dozorového úřadu (viz níže uvedený 168. bod odůvodnění), poskytují odpovídající záruky ve vztahu k riziku zneužití pravomoci japonskými orgány v oblasti národní bezpečnosti a ve vztahu k jakémukoli protiprávnímu shromažďování elektronických informací.

(165)

Pokud jde o individuální ochranu, s ohledem na osobní informace shromažďované a tedy „uchovávané“ správními orgány jsou tyto orgány povinny „usilovat o řádné a rychlé vyřízení jakékoli stížnosti“ týkající se zpracování (článek 48 zákona o ochraně osobních informací uchovávaných správními orgány).

(166)

Kromě toho na rozdíl od trestního vyšetřování mají fyzické osoby (včetně cizích státních příslušníků žijících v zahraničí) v zásadě právo na zpřístupnění (139), opravu (včetně výmazu) a přerušení používání/poskytování informací podle zákona o ochraně osobních informací uchovávaných správními orgány. Vzhledem k tomu může vedoucí správního orgánu odmítnout zpřístupnění ve vztahu k informacím, u kterých existují přiměřené důvody […] se domnívat, že zpřístupnění pravděpodobně naruší národní bezpečnost“ (čl. 14 bod iv) zákona o ochraně osobních informací uchovávaných správními orgány), a může tak učinit bez odhalení existence těchto informací (článek 17 zákona o ochraně osobních informací uchovávaných správními orgány). Obdobně fyzická osoba sice může požádat o přerušení používání nebo o výmaz podle čl. 36 odst. 1 bodu i) zákona o ochraně osobních informací uchovávaných správními orgány v případě, že správní orgán získal informace protiprávně nebo je uchovává/používá nad rámec toho, co je nutné pro dosažení stanoveného účelu, úřad však může žádost zamítnout, pokud zjistí, že přerušení používání „pravděpodobně zabrání řádnému výkonu záležitostí vztahujících se k účelu použití uchovávaných osobních informací z důvodu povahy uvedených záležitostí“ (článek 38 zákona o ochraně osobních informací uchovávaných správními orgány). Nicméně, pokud je možné snadno oddělit a vyloučit části, které podléhají výjimce, správní orgány musí umožnit alespoň částečné zpřístupnění (viz např. čl. 15 odst. 1 zákona o ochraně osobních informací uchovávaných správními orgány) (140).

(167)

V každém případě musí správní orgán přijmout písemné rozhodnutí v určité lhůtě (tato lhůta činí 30 dní a může být za určitých podmínek prodloužena na dalších 30 dní). Pokud fyzická osoba žádosti nevyhoví, nebo jí vyhoví jen částečně, nebo z jiných důvodů považuje postup správního orgánu za „nezákonný nebo nespravedlivý“, může požádat o správní přezkum podle zákona o přezkumu správních stížností (141). V tomto případě vedoucí správního orgánu, který rozhoduje o opravném prostředku, vede konzultace s Radou pro přezkum ochrany osobních informací a zpřístupnění informací (články 42 a 43 zákona o ochraně osobních informací uchovávaných správními orgány), specializovanou a nezávislou radu, jejíž členy jmenuje předseda vlády se souhlasem obou komor parlamentu. Podle obdržených informací může tato rada pro přezkum provádět šetření (142) a v této souvislosti požádat správní orgán, aby poskytl uchovávané osobní informace, včetně utajeného obsahu, jakož i další informace a dokumenty. Ačkoli konečná zpráva, která se zasílá stěžovateli, jakož i správnímu orgánu a která se zveřejňuje, není právně závazná, téměř ve všech případech je dodržována (143). Kromě toho má fyzická osoba možnost soudně napadnout rozhodnutí o opravném prostředku podle zákona o správním řízení. Tím se otevírá cesta pro soudní kontrolu používání výjimek v oblasti národní bezpečnosti, včetně toho, zda taková výjimka byla zneužita, nebo je dosud odůvodněná.

(168)

Aby se usnadnil výkon výše uvedených práv podle zákona o ochraně osobních informací uchovávaných správními orgány, Ministerstvo vnitra a komunikací zřídilo 51 „všeobecných informačních středisek“, která poskytují souhrnné informace o uvedených právech, použitelných postupech pro podání žádosti a způsobech ochrany (144). Pokud jde o správní orgány, musí poskytnout „informace, které přispějí k určení uchovávaných osobních informací,“ (145) a přijmout „další vhodná opatření s ohledem na praktické potřeby osoby, která má v úmyslu žádost podat (čl. 47 odst. 1 zákona o ochraně osobních informací uchovávaných správními orgány).

(169)

Stejně jako v případě vyšetřování v oblasti prosazování trestního práva i v oblasti národní bezpečnosti mohou fyzické osoby získat individuální ochranu, pokud přímo kontaktují Komisi pro ochranu osobních informací. To vyvolá zvláštní postup řešení sporu, který japonská vláda zavedla pro fyzické osoby z EU, jejichž osobní údaje se předávají podle tohoto rozhodnutí (viz podrobné vysvětlení ve 141. až 144. a 149. bodě odůvodnění).

(170)

Kromě toho se mohou fyzické osoby domáhat soudní ochrany v podobě žaloby o náhradu škody podle zákona o státní ochraně, což rovněž zahrnuje morální újmu a za určitých podmínek výmaz shromážděných údajů (viz 147. bod odůvodnění).

(171)

Komise má za to, že zákon o ochraně osobních informací rozšířený o doplňková pravidla obsažená v příloze I společně s oficiálními prohlášeními, ujištěními a závazky obsaženými v příloze II zajišťuje úroveň ochrany osobních údajů předávaných z Evropské unie, která je v zásadě rovnocenná úrovni ochrany zaručené nařízením (EU) 2016/679.

(172)

Kromě toho má Komise za to, že jako celek dozorové mechanismy a způsoby ochrany v japonských právních předpisech umožňují, aby porušení ze strany přijímajících podnikatelských subjektů nakládajících s osobními informacemi byla identifikována a v praxi potrestána, a subjektu údajů nabízí právní prostředky pro získání přístupu k osobním údajům, které se ho týkají, a případně pro dosažení opravy nebo výmazu takovýchto údajů.

(173)

V neposlední řadě na základě dostupných informací o japonském právním řádu, včetně prohlášení, ujištění a závazků japonské vlády obsažených v příloze II, má Komise za to, že jakýkoli zásah do základních práv fyzických osob, jejichž osobní údaje se předávají z Evropské unie do Japonska, ze strany japonských orgánů veřejné moci pro účely veřejného zájmu, zejména pro účely prosazování trestního práva a národní bezpečnosti, bude omezen na rozsah nezbytný pro dosažení daného oprávněného cíle a že existuje účinná právní ochrana před takovým zásahem.

(174)

S ohledem na zjištění tohoto rozhodnutí má tedy Komise za to, že Japonsko zajišťuje odpovídající úroveň ochrany osobních údajů předávaných z Evropské unie podnikatelským subjektům nakládajícím s osobními informacemi v Japonsku, které podléhají zákonu o ochraně osobních informací, s výjimkou případů, kdy příjemce spadá do jedné z kategorií uvedených v čl. 76 odst. 1 zákona o ochraně osobních informací a účely zpracování zcela nebo částečně odpovídají jednomu z účelů stanovených v daném ustanovení.

(175)

Na základě toho dospěla Komise k závěru, že standard odpovídající ochrany podle článku 45 nařízení (EU) 2016/679, vykládaný s ohledem na Listinu základních práv Evropské unie, a zejména v rozsudku ve věci Schrems (146), je splněn.

(176)

Podle judikatury Soudního dvora (147) a podle čl. 45 odst. 4 nařízení (EU) 2016/679 by Komise po přijetí rozhodnutí o odpovídající ochraně měla neustále sledovat příslušný vývoj ve třetí zemi, aby mohla posoudit, zda Japonsko stále zajišťuje v zásadě rovnocennou úroveň ochrany. Takové ověřování je každopádně závazné tehdy, když Komise obdrží informace vyvolávající v tomto ohledu určité odůvodněné pochybnosti.

(177)

Komise by tedy měla průběžně sledovat situaci, pokud jde o právní rámec a skutečnou praxi zpracování osobních údajů, jak jsou posouzeny v tomto rozhodnutí, včetně toho, zda japonské orgány dodržují prohlášení, ujištění a závazky obsažené v příloze II. K usnadnění tohoto procesu se očekává, že japonské orgány budou Komisi informovat o podstatném vývoji relevantním pro toto rozhodnutí, pokud jde o zpracování osobních údajů podnikatelskými subjekty i o omezení a záruky použitelné pro přístup k osobním údajům ze strany orgánů veřejné moci. To by mělo zahrnovat jakákoli rozhodnutí přijatá Komisí pro ochranu osobních informací podle článku 24 zákona o ochraně osobních informací uznávající, že třetí země poskytuje rovnocennou úroveň ochrany, která je zaručena v Japonsku.

(178)

Aby Komise navíc mohla účinně plnit svou funkci sledování, měly by ji členské státy informovat o veškerých relevantních krocích vnitrostátních úřadů pro ochranu údajů, zejména v souvislosti s dotazy nebo stížnostmi subjektů údajů z EU týkajícími se předávání osobních údajů z Evropské unie podnikatelským subjektům v Japonsku. Komise by rovněž měla informovat o jakýchkoli známkách toho, že kroky japonských orgánů veřejné moci odpovědných za prevenci, vyšetřování, odhalování nebo stíhání trestných činů nebo za národní bezpečnost, včetně jakýchkoli dozorových úřadů, nezajišťují požadovanou úroveň ochrany.

(179)

Členské státy a jejich orgány musí přijmout opatření nezbytná k dosažení souladu s akty orgánů Unie, neboť jim v zásadě svědčí presumpce legality, a tudíž zakládají právní účinky tak dlouho, dokud nejsou vzaty zpět, zrušeny v rámci žaloby na neplatnost nebo prohlášeny za neplatné v návaznosti na žádost o rozhodnutí o předběžné otázce nebo na námitku protiprávnosti. V důsledku toho je rozhodnutí Komise o odpovídající ochraně podle čl. 45 odst. 3 nařízení (EU) 2016/679 závazné pro všechny orgány členských států, kterým je určeno, a to i pro nezávislé dozorové úřady. Zároveň, jak je vysvětleno v rozsudku Soudního dvora ve věci Schrems (148) a jak uznává čl. 58 odst. 5 nařízení, jestliže úřad pro ochranu osobních údajů zpochybňuje, i na základě stížnosti, slučitelnost rozhodnutí Komise o odpovídající ochraně se základními právy fyzické osoby na soukromí a ochranu údajů, musí mu vnitrostátní právo poskytnout procesní prostředek, který mu umožní uplatnit tyto výtky před vnitrostátním soudem, který v případě pochybností musí přerušit řízení a předložit Soudnímu dvoru žádost o rozhodnutí o předběžné otázce (149).

(180)

Podle čl. 45 odst. 3 nařízení (EU) 2016/679 (150) a s ohledem na skutečnost, že úroveň ochrany poskytovaná japonským právním řádem se může změnit, měla by Komise po přijetí tohoto rozhodnutí pravidelně ověřovat, zda zjištění týkající se odpovídající úrovně ochrany zajištěné Japonskem jsou nadále skutkově i právně podložená.

(181)

Za tímto účelem by toto rozhodnutí mělo být předmětem prvního přezkumu do dvou let po jeho vstupu v platnost. Po tomto prvním přezkumu a v závislosti na jeho výsledku Komise v úzké konzultaci s výborem zřízeným podle čl. 93 odst. 1 GDPR rozhodne, zda by měl být dvouletý cyklus zachován. V každém případě by se následné přezkumy měly provádět alespoň každé čtyři roky (151). Přezkum by měl zahrnovat všechny aspekty fungování tohoto rozhodnutí, a zejména použití doplňkových pravidel (se zvláštní pozorností věnovanou ochranám poskytovaným v případě dalšího předávání), použití pravidel týkajících se souhlasu, včetně v případě odnětí, účinnost výkonu individuálních práv, jakož i omezení a záruky, pokud jde o přístup vlády, včetně ochranných mechanismů stanovených v příloze II tohoto rozhodnutí. Měl by rovněž zahrnovat účinnost dozoru a prosazování práva, pokud jde o pravidla platná jak pro podnikatelské subjekty nakládající s osobními informacemi, tak v oblasti prosazování trestního práva a národní bezpečnosti.

(182)

K provedení přezkumu by se Komise měla setkat s Komisí pro ochranu osobních informací, případně doprovázenou dalšími japonskými orgány odpovědnými za přístup vlády, včetně příslušných dozorových úřadů. Účast na této schůzce by měla být otevřena zástupcům členů Evropského sboru pro ochranu osobních údajů. V rámci společného přezkumu by Komise měla požadovat, aby Komise pro ochranu osobních informací poskytla souhrnné informace o všech aspektech relevantních pro zjištění o odpovídající úrovni ochrany, včetně omezení a záruk týkajících se přístupu ze strany vlády (152). Komise by měla rovněž požadovat vysvětlení jakýchkoli obdržených informací relevantních pro toto rozhodnutí, včetně veřejných zpráv japonských orgánů nebo jiných zúčastněných stran v Japonsku, Evropského sboru pro ochranu osobních údajů, jednotlivých úřadů pro ochranu osobních údajů, skupin občanské společnosti, tiskových zpráv nebo jakéhokoli jiného dostupného zdroje informací.

(183)

Na základě společného přezkumu by Komise měla připravit veřejnou zprávu, kterou předloží Evropskému parlamentu a Radě.

(184)

Pokud Komise na základě pravidelných a ad hoc kontrol nebo jakýchkoli jiných dostupných informací dojde k závěru, že úroveň ochrany poskytovanou japonským právním řádem již nelze považovat za v zásadě rovnocennou ochraně poskytované v Evropské unii, měla by o tom informovat příslušné japonské orgány a požadovat, aby byla ve stanovené, přiměřené lhůtě přijata vhodná opatření. To zahrnuje pravidla použitelná jak pro podnikatelské subjekty, tak pro japonské orgány veřejné moci odpovědné za prosazování trestního práva nebo národní bezpečnost. Takový postup by mohl být například zahájen v případech, kdy další předávání, včetně předávání na základě rozhodnutí přijatých Komisí pro ochranu osobních informací podle článku 24 zákona o ochraně osobních informací uznávajících, že třetí země poskytuje rovnocennou úroveň ochrany, která je zaručena v Japonsku, již nebudou v rámci záruk zajišťujících kontinuitu ochrany ve smyslu článku 44 GDPR prováděna.

(185)

Pokud po uplynutí této stanovené lhůty příslušné japonské orgány uspokojivě neprokáží, že toto rozhodnutí nadále vychází z odpovídající úrovně ochrany, měla by Komise podle čl. 45 odst. 5 nařízení (EU) 2016/679 zahájit postup vedoucí k částečnému nebo úplnému pozastavení nebo zrušení tohoto rozhodnutí. Alternativně by Komise mohla zahájit postup pro změnu tohoto rozhodnutí, zejména tím, že se na předávání údajů budou vztahovat další podmínky, nebo že se omezí působnost zjištění o odpovídající úrovni ochrany jen na předávání údajů, u nichž je zaručena kontinuita ochrany ve smyslu článku 44 GDPR.

(186)

Zejména by Komise měla zahájit postup k pozastavení nebo zrušení tohoto rozhodnutí, pokud existují známky toho, že doplňková pravidla obsažená v příloze I nejsou podnikatelskými subjekty přijímajícími osobní údaje podle tohoto rozhodnutí dodržována a/nebo účinně vymáhána nebo že japonské orgány nedodržují prohlášení, ujištění a závazky obsažené v příloze II tohoto rozhodnutí.

(187)

Komise by rovněž měla zvážit zahájení postupu vedoucího ke změně, pozastavení nebo zrušení tohoto rozhodnutí, pokud v souvislosti se společným přezkumem nebo jinak neposkytnou příslušné japonské orgány informace nebo objasnění nezbytná k posouzení úrovně ochrany poskytované osobním údajům předávaným z Evropské unie do Japonska nebo dodržování tohoto rozhodnutí. V tomto směru by Komise měla vzít v potaz míru, do jaké lze relevantní informace získat z jiných zdrojů.

(188)

V naléhavých a řádně odůvodněných případech, například hrozí-li vážné porušení práv subjektů údajů, by Komise měla zvážit přijetí rozhodnutí o pozastavení nebo zrušení tohoto rozhodnutí, které by mělo být použitelné okamžitě, podle čl. 93 odst. 3 nařízení (EU) 2016/679 ve spojení s článkem 8 nařízení Evropského parlamentu a Rady (EU) č. 182/2011 (153).

(189)

Evropský sbor pro ochranu osobních údajů zveřejnil své stanovisko (154), které bylo při přípravě tohoto rozhodnutí zohledněno.

(190)

Evropský parlament přijal usnesení o strategii v oblasti digitálního obchodu, které vyzývá Komisi, aby si jako prioritu vytyčila urychlení přijetí rozhodnutí o odpovídající ochraně s důležitými obchodními partnery za podmínek stanovených v nařízení (EU) 2016/679 jako důležitého mechanismu pro zajištění předávání osobních údajů z Evropské unie (155). Evropský parlament přijal také usnesení o odpovídající úrovni ochrany osobních údajů v Japonsku (156).

(191)

Opatření stanovená tímto rozhodnutím jsou v souladu se stanoviskem výboru zřízeného podle čl. 93 odst. 1 GDPR,