(1)

I forordning (EU) 2016/679 fastsættes reglerne for overførsel af personoplysninger fra en dataansvarlig eller databehandler i Den Europæiske Union til tredjelande og internationale organisationer, i det omfang overførslen falder inden for forordningens anvendelsesområde. Reglerne om internationale overførsler af personoplysninger er fastsat i kapitel V i forordningen, nærmere bestemt dennes artikel 44-50. Strømmen af personoplysninger til og fra lande uden for Unionen er nødvendig af hensyn til udbygningen af det internationale samarbejde og den internationale handel, og reglerne sikrer, at beskyttelsesniveauet for personoplysninger i EU ikke undergraves.

(2)

I henhold til artikel 45, stk. 3, i forordning (EU) 2016/679 kan Kommissionen ved hjælp af en gennemførelsesretsakt fastslå, at et tredjeland, et område eller en eller flere specifikke sektorer i et tredjeland eller en international organisation sikrer et tilstrækkeligt beskyttelsesniveau. I henhold til denne betingelse kan personoplysninger overføres til tredjelandet, området, sektoren eller den internationale organisation uden yderligere godkendelse, jf. artikel 45, stk. 1, og betragtning 103 i forordningen.

(3)

Som omhandlet i artikel 45, stk. 2, i forordning (EU) 2016/679 skal vedtagelsen en afgørelse om tilstrækkeligheden af beskyttelsesniveauet finde sted på grundlag af en omfattende analyse af det pågældende tredjelands retsorden, både hvad angår de regler, der finder anvendelse på dataimportøren, og de begrænsninger og garantier, der gælder med hensyn til offentlige myndigheders adgang til personoplysninger. I vurderingen skal det fastslås, om det pågældende tredjeland sikrer et beskyttelsesniveau, som »i det væsentlige svarer« til det, der sikres i Den Europæiske Union (betragtning 104 i forordning (EU) 2016/679). Som Den Europæiske Unions Domstol har præciseret, kræves der ikke et identisk beskyttelsesniveau (2). Det betyder navnlig, at de midler, som tredjelandet anvender, kan være forskellige fra de midler, som gennemføres inden for Den Europæiske Union, så længe de i praksis viser sig at være effektive med henblik på at sikre et tilstrækkeligt beskyttelsesniveau (3). Standarden for tilstrækkelighed er derfor ikke, at EU-reglerne duplikeres punkt for punkt. Testen består snarere i, om det pågældende udenlandske system som helhed sikrer det krævede beskyttelsesniveau gennem kerneindholdet i retten til privatlivets fred og den effektive gennemførelse, overvågning og håndhævelse heraf (4).

(4)

Kommissionen har foretaget en grundig analyse af den japanske lovgivning og praksis. På grundlag af overvejelserne i betragtning 6-175 konkluderer Kommissionen, at Japan sikrer et tilstrækkeligt beskyttelsesniveau for personoplysninger, der overføres til organisationer, som falder inden for anvendelsesområdet af loven om beskyttelse af personlige oplysninger (5) og af de yderligere betingelser omhandlet i denne afgørelse. Disse betingelser fastlægges i de supplerende regler (bilag I), som er vedtaget af Japans kommission for beskyttelse af personlige oplysninger (PPC) (6), og i den japanske regerings officielle redegørelser, forsikringer og tilsagn til Europa-Kommissionen (bilag II).

(5)

Det fastsættes ved denne afgørelse, at overførsler fra en dataansvarlig eller databehandler i Det Europæiske Økonomiske Samarbejdsområde (EØS) (7) til sådanne organisationer i Japan kan finde sted, uden at der behøves yderligere tilladelse. Denne afgørelse berører ikke den direkte anvendelse af forordning (EU) 2016/679 på sådanne organisationer, hvis betingelserne i forordningens artikel 3 er opfyldt.

(6)

Den retlige ordning for beskyttelse af privatlivets fred og databeskyttelse i Japan har sine rødder i landets forfatning, som er fra 1946.

(7)

I forfatningens artikel 13 bestemmes følgende:

»Alle mennesker respekteres som individer. Deres ret til liv, frihed og stræben efter lykke skal, i det omfang dette ikke griber ind i den offentlige velfærd, være det vigtigste hensyn i lovgivningen og i myndighedernes øvrige anliggender.«

(8)

På grundlag af denne bestemmelse har den japanske højesteret præciseret den enkeltes rettigheder med hensyn til beskyttelse af personlige oplysninger. I en afgørelse fra 1969 anerkendte den retten til privatlivets fred og databeskyttelse som en forfatningssikret ret (8). Retten fastslog navnlig, at »enhver har friheden til at beskytte sine personlige oplysninger mod videregivelse til tredjemand eller offentliggørelse uden gyldig grund«. Derudover fastslog den japanske højesteret i en afgørelse af 6. marts 2008 (»Juki-Net«) (9), at »borgernes frihed i privatlivet skal beskyttes mod udøvelse af offentlig myndighed, og at dette indebærer, at den enkeltes frihed i privatlivet også omfatter, at enhver har friheden til at beskytte sine personlige oplysninger mod videregivelse til tredjemand eller offentliggørelse uden gyldig grund.« (10)

(9)

Den 30. maj 2003 trådte en række love om databeskyttelse i kraft i Japan:

(10)

De to sidstnævnte retsakter (ændret i 2016) indeholder bestemmelser om beskyttelse af personlige oplysninger i offentlige enheder. Databeskyttelse omfattet af disse to retsakter er ikke genstanden for konstateringen af et tilstrækkeligt beskyttelsesniveau i denne afgørelse, idet denne er begrænset til den beskyttelse af personlige oplysninger, som foretages af »erhvervsdrivende, der håndterer personlige oplysninger« (PIHBO'er), i den i APPI anvendte betydning.

(11)

Der er foretaget ændringer af APPI de seneste år. Kundgørelsen af den ændrede APPI fandt sted den 9. september 2015, og den trådte i kraft den 30. maj 2017. Med ændringen indførtes en række nye garantier, og den indebar også en styrkelse af de eksisterende garantier, således at det japanske databeskyttelsessystem blev bragt tættere på det europæiske. Ændringen omfattede bl.a. en række individuelle rettigheder og oprettelsen af en uafhængig tilsynsmyndighed (PPC) med ansvar for tilsyn med og håndhævelse af APPI.

(12)

Behandlingen af personlige oplysninger, der falder inden for denne afgørelses anvendelsesområde, er ud over at være omfattet af APPI også omfattet af gennemførelsesregler udstedt på grundlag deraf. Dette omfatter en ændring af kabinetsbekendtgørelsen om gennemførelse af loven om beskyttelse af personlige oplysninger af 5. oktober 2016 og såkaldte håndhævelsesregler til loven om beskyttelse af personlige oplysninger vedtaget af PPC (11). Begge regelsæt er retligt bindende og kan håndhæves, og de trådte i kraft på samme tidspunkt som den ændrede APPI.

(13)

Endvidere fastlagde det japanske regeringskabinet (bestående af premierministeren og ministrene i hans regering) den 28. oktober 2016 en »grundlæggende politik« for på »udtømmende og integreret vis at fremme foranstaltninger vedrørende beskyttelse af personlige oplysninger«. I henhold til artikel 7 i APPI fastlægges den »grundlæggende politik« ved en kabinetsafgørelse, og den omfatter politiske retningslinjer for håndhævelsen af APPI, som er rettet til både de centrale og lokale myndigheder.

(14)

Den japanske regering vedtog for nylig ændringer af den »grundlæggende politik« ved en kabinetsafgørelse af 12. juni 2018. Med henblik på at lette internationale dataoverførsler får PPC som den kompetente myndighed i forbindelse med forvaltningen og gennemførelsen af APPI ved kabinetsafgørelsen delegeret »beføjelser til at træffe de nødvendige foranstaltninger til at slå bro over forskellene mellem systemerne og aktiviteterne mellem Japan og det pågældende tredjeland i henhold til lovens artikel 6 med henblik på at sikre passende håndtering af personlige oplysninger fra et sådant land«. Det fastsættes ved kabinetsafgørelsen, at dette omfatter beføjelser til at indføre øget beskyttelse, ved at PPC vedtager strengere regler, som supplerer og er mere vidtgående end dem i APPI og kabinetsbekendtgørelsen. I henhold til afgørelsen skal disse strengere regler være bindende og kunne håndhæves over for japanske erhvervsdrivende.

(15)

På grundlag af artikel 6 i APPI og nævnte kabinetsafgørelse vedtog PPC den 15. juni 2018»supplerende regler i henhold til lov om beskyttelse af personlige oplysninger vedrørende håndteringen af personoplysninger, der overføres fra EU på grundlag af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet« (de »supplerende regler«) med henblik på at øge beskyttelsen af personlige oplysninger, der overføres fra Den Europæiske Union til Japan på grundlag af nærværende afgørelse om tilstrækkeligheden af beskyttelsesniveauet. Disse supplerende regler er retligt bindende for japanske erhvervsdrivende og kan håndhæves af både PPC og domstolene på samme måde som de bestemmelser i APPI, som de supplerer med strengere og/eller mere udførlige regler (12). Eftersom japanske erhvervsdrivende, som modtager og/eller viderebehandler personoplysninger fra Den Europæiske Union, vil være retligt forpligtede til at overholde de supplerende regler, vil de skulle sikre, at de kan identificere sådanne personoplysninger gennem hele deres »livscyklus« (f.eks. via tekniske (»tagging«) eller organisatoriske midler (opbevaring i en dedikeret database)) (13). I de følgende afsnit analyseres indholdet af hver enkelt supplerende regel som en del af vurderingen af de artikler i APPI, som den supplerer.

(16)

Modsat før ændringen i 2015, hvor det hørte under forskellige japanske ministerier i specifikke sektorer, bemyndiger APPI nu PPC til at vedtage »retningslinjer«»for at sikre en korrekt og effektiv gennemførelse af de foranstaltninger, som en erhvervsdrivende skal træffe« i henhold til databeskyttelsesreglerne. PPC giver via sine retningslinjer en autoritativ fortolkning af disse regler, navnlig af APPI. Ifølge de oplysninger, der er modtaget fra PPC, udgør disse retningslinjer en integreret del af den retlige ramme, og de skal sammenholdes med teksten til APPI, kabinetsbekendtgørelsen, PPC's regler og en række »spørgsmål og svar« (14) udarbejdet af PPC. De er derfor »bindende for erhvervsdrivende«. Hvis retningslinjerne fastslår, at en erhvervsdrivende »skal« eller »ikke må« handle på en bestemt måde, vil PPC konkludere, at manglende overholdelse af de pågældende bestemmelser udgør en overtrædelse af loven (15).

(17)

Anvendelsesområdet for APPI bestemmes af de fastlagte begreber personlige oplysninger, personoplysninger og erhvervsdrivende, der håndterer personlige oplysninger. Samtidig er der i APPI nogle væsentlige undtagelser fra dennes anvendelsesområde, især for anonymt behandlede personoplysninger og for særlige typer af behandling foretaget af visse operatører. I APPI anvendes udtrykket »behandling« ikke, men derimod det tilsvarende »håndtering«, som ifølge de oplysninger, som er modtaget fra PPC, omfatter »enhver handling, der foretages med hensyn til personoplysninger«, herunder erhvervelse, input, akkumulering, organisering, opbevaring redigering/behandling, fornyelse, sletning, output, anvendelse og meddelelse af personlige oplysninger.

(18)

Først og fremmest skelnes der i forbindelse med APPI's materielle anvendelsesområde mellem personlige oplysninger og personoplysninger, og det er kun visse bestemmelser i loven, der finder anvendelse på førstnævnte kategori. I henhold til artikel 2, stk. 1, i APPI omfatter begrebet »personlige oplysninger« alle oplysninger vedrørende en levende fysisk person, som gør det muligt at identificere pågældende. I definitionen sondres der mellem to kategorier af personlige oplysninger: i) individuelle identifikationskoder og ii) andre personlige oplysninger, hvorved en bestemt person kan identificeres. Sidstnævnte kategori omfatter også oplysninger, som ikke i sig selv muliggør identificering, men som let lader sig sammenstille med andre oplysninger og derved gør det muligt at identificere en bestemt person. Ifølge PPC's retningslinjer (16) skal det afgøres fra sag til sag, om oplysninger let lader sig sammenstille, hvorved der tages hensyn til den erhvervsdrivendes faktiske situation (»forhold«). Dette antages, hvis en sådan sammenstilling er (eller ville kunne) udføres af en gennemsnitlig (»normal«) virksomhed med de for den til rådighed stående midler. Det er f.eks. ikke let at sammenstille oplysninger, hvis en virksomhed skal gøre sig usædvanlige anstrengelser eller begå ulovlige handlinger for at indhente de oplysninger, som skal sammenstilles, fra en eller flere erhvervsdrivende.

(19)

Kun visse typer personlige oplysninger er omfattet af begrebet »personoplysninger« i APPI. »Personoplysninger« er defineret som »personlige oplysninger, der udgør en database over personlige oplysninger«, dvs. en »kollektiv mængde af oplysninger«, som omfatter personlige oplysninger, der er »systematisk organiseret, således at der kan søges efter bestemte personlige oplysninger ved hjælp af en computer« (17), eller personlige oplysninger, som »i henhold til en kabinetsbekendtgørelse betragtes som værende systematisk organiserede, således at der let kan søges efter bestemte personlige oplysninger«, men »undtaget dem, der i henhold til en kabinetsbekendtgørelse giver meget begrænset mulighed for at skade en persons rettigheder og interesser i betragtning af anvendelsesmetoden« (18).

(20)

Denne undtagelse er yderligere specificeret i kabinetsbekendtgørelsens artikel 3, stk. 1, hvorefter de tre følgende kumulative betingelser skal være opfyldt: i) den kollektive mængde af oplysninger skal være blevet »tilvejebragt med henblik på at blive solgt til en lang række uspecificerede personer, og tilvejebringelsen må ikke være blevet gennemført i strid med en lov eller en på grundlag deraf udstedt bekendtgørelse«, ii) den skal kunne »erhverves til enhver tid af et stort antal uspecificerede personer«, og iii) de deri indeholdte personoplysninger skal »leveres til deres oprindelige formål uden at tilføje andre oplysninger vedrørende en levende fysisk person«. Ifølge de redegørelser, der er modtaget fra PPC, er denne begrænsede undtagelse blevet indført for at fritage telefonbøger eller andre lignende registre.

(21)

Sondringen mellem »personlige oplysninger« og »personoplysninger« er relevant for oplysninger indsamlet i Japan, fordi sådanne oplysninger ikke altid udgør en del af en »database over personlige oplysninger« (f.eks. et enkelt sæt oplysninger, der indsamles og behandles manuelt), således at de bestemmelser i APPI, der kun vedrører personoplysninger, ikke finder anvendelse (19).

(22)

Derimod ville denne sondring ikke være relevant i forbindelse med personoplysninger, der importeres fra Den Europæiske Union til Japan på grundlag af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet. Eftersom sådanne oplysninger overføres elektronisk (da dette er den sædvanlige måde at udveksle oplysninger på i den digitale tidsalder, især over store afstande som mellem EU og Japan) og dermed bliver en del af dataimportørens elektroniske registreringssystem, vil sådanne EU-oplysninger falde ind under kategorien »personoplysninger« i henhold til APPI. I de ekstraordinære tilfælde, hvor personoplysninger på anden måde overføres fra EU (f.eks. i papirform), vil de stadig være omfattet af APPI, hvis de bliver en del af en »kollektiv mængde af oplysninger«, der er systematisk organiseret, således at der let kan søges efter specifikke oplysninger (artikel 2, stk. 4, nr. ii), i APPI). Ifølge kabinetsbekendtgørelsens artikel 3, stk. 2, vil dette være tilfældet, når oplysningerne er ordnet »efter en bestemt regel«, og databasen indeholder værktøjer som f.eks. en indholdsfortegnelse eller et indeks med henblik på at lette søgningen. Det svarer til definitionen på et »register« som omhandlet i databeskyttelsesforordningens artikel 2, stk. 1.

(23)

Visse bestemmelser i APPI, navnlig artikel 27-30 vedrørende individuelle rettigheder, finder kun anvendelse på en specifik kategori af personoplysninger, nemlig »opbevarede personoplysninger«. Disse er defineret i artikel 2, stk. 7, i APPI som andre personoplysninger end dem, som enten i) »i henhold til en kabinetsbekendtgørelse er potentielt til skade for offentlige eller andre interesser, hvis deres tilstedeværelse eller fravær bliver kendt«, eller »hvis sletning skal finde sted inden for en ved en kabinetsbekendtgørelse fastlagt periode på højst et år«.

(24)

Den første af disse to kategorier beskrives i artikel 4 i kabinetsbekendtgørelsen og omfatter fire forskellige undtagelser (20). Disse undtagelser forfølger mål, der svarer til målene i artikel 23, stk. 1, i forordning (EU) 2016/679, navnlig beskyttelse af den registrerede (en »berørt« i APPI's terminologi) og andres frihedsrettigheder, statens sikkerhed, den offentlige sikkerhed, retshåndhævelse på det strafferetlige område eller andre vigtige målsætninger i forbindelse med generelle samfundsinteresser. Desuden følger det af ordlyden af kabinetsbekendtgørelsens artikel 4, stk. 1, nr. i)-iv), at anvendelsen af dem altid forudsætter en specifik risiko i forbindelse med en af de beskyttede væsentlige interesser (21).

(25)

Den anden kategori er nærmere beskrevet i artikel 5 i kabinetsbekendtgørelsen. Sammenholdt med artikel 2, stk. 7, i APPI indeholder bestemmelsen en undtagelse af personoplysninger, »hvis sletning skal finde sted« inden for en periode på seks måneder, fra anvendelsesområdet for begrebet »opbevarede personoplysninger«. PPC har forklaret, at denne undtagelse har til formål at tilskynde virksomhederne til at opbevare og behandle oplysninger i kortest mulig tid. Dette ville imidlertid betyde, at registrerede fra EU ikke vil kunne nyde godt af vigtige rettigheder alene på grund af varigheden af den periode, som en given virksomhed opbevarer deres oplysninger i.

(26)

For at afhjælpe denne situation er det ved supplerende regel nr. 2) fastlagt, at personoplysninger, som overføres fra Den Europæiske Union, »håndteres som opbevarede personoplysninger i den i artikel 2, stk. 7, i APPI anvendte betydning, uanset om sletningen skal finde sted efter en fastlagt periode«. Opbevaringsperioden vil derfor ikke have nogen indvirkning på de rettigheder, som registrerede fra EU har.

(27)

De krav, der finder anvendelse på anonymt behandlede personlige oplysninger, jf. definitionen i artikel 2, stk. 9, i APPI, er fastlagt i lovens kapitel 4, afsnit 2 (»Forpligtelser for en virksomhed i forbindelse med anonymt behandlede personlige oplysninger«). Omvendt er sådanne oplysninger ikke omfattet af bestemmelserne i kapitel IV, afsnit 1, i APPI, som indeholder lovens bestemmelser om databeskyttelsesgarantier og -rettigheder i forbindelse behandlingen af personoplysninger. Selv om »anonymt behandlede personlige oplysninger« således ikke er omfattet af de »normale« databeskyttelsesregler (fastlagt i kapitel IV, afsnit 1, og artikel 42 i APPI), falder de inden for anvendelsesområdet for APPI, særlig artikel 36-39.

(28)

I henhold til artikel 2, stk. 9, i APPI er »anonymt behandlede personlige oplysninger« oplysninger om en person, som er fremkommet ved »behandlingen af personlige oplysninger« via foranstaltninger, der er foreskrevet i APPI (artikel 36, stk. 1) og nærmere fastlagt i PPC's regler (artikel 19), således at det er blevet umuligt at identificere en bestemt person eller genskabe de personlige oplysninger.

(29)

Det følger af disse bestemmelser, hvilket også er blevet bekræftet af PPC, at den proces, hvor personlige oplysninger gøres »anonyme«, ikke behøver at være teknisk irreversibel. I henhold til artikel 36, stk. 2, i APPI, er erhvervsdrivende, der håndterer »anonymt behandlede personlige oplysninger« kun forpligtede til at forhindre fornyet identifikation ved at træffe foranstaltninger til sikringen af »beskrivelser mv. og af individuelle identifikationskoder slettet fra personlige oplysninger, som er blevet anvendt til at generere de anonymt behandlede oplysninger, samt oplysninger vedrørende en anvendt behandlingsmetode«.

(30)

Eftersom »anonymt behandlede personlige oplysninger«, jf. definitionen i APPI, omfatter data, som muliggør fornyet identifikation af den enkelte, vil dette kunne betyde, at personoplysninger overført fra Den Europæiske Union kan miste en del af den eksisterende beskyttelse via en proces, der i henhold til forordning (EU) 2016/679 ville blive betragtet som en form for »pseudonomisering« snarere end »anonymisering« (således at oplysningernes karakter af personoplysninger ikke ændres).

(31)

Med henblik på denne situation er der i de supplerende regler fastlagt yderligere krav, som kun gælder personoplysninger overført fra Den Europæiske Union i henhold til denne afgørelse. I henhold til regel nr. 5) i de supplerende regler skal sådanne personlige oplysninger kun betragtes som anonymt behandlede personlige oplysninger i henhold til APPI, »hvis den erhvervsdrivende, der håndterer personlige oplysninger, træffer foranstaltninger, som gør fornyet identifikation af den enkelte umulig for alle, herunder ved at slette oplysninger vedrørende behandlingsmetoden m.v.« Det sidstnævnte bliver i de supplerende regler nærmere specificeret som oplysninger vedrørende beskrivelser m.v. og individuelle identifikationskoder, der er blevet slettet fra personlige oplysninger, som er blevet anvendt til at generere »anonymt behandlede personlige oplysninger«, samt oplysninger vedrørende en behandlingsmetode, som er blevet anvendt i forbindelse med sletning af disse beskrivelser og individuelle identifikationskoder. Med andre ord kræver de supplerende regler, at den erhvervsdrivende, der genererer »anonymt behandlede personlige oplysninger«, ødelægger den »nøgle«, der gør det muligt at identificere oplysningerne igen. Dette betyder, at personoplysninger fra Den Europæiske Union kun vil være omfattet af bestemmelserne i APPI om »anonymt behandlede personlige oplysninger« i tilfælde, hvor de ligeledes ville blive betragtet som anonyme oplysninger i henhold til forordning (EU) 2016/679 (22).

(32)

For så vidt angår den omfattede personkreds finder APPI kun anvendelse på erhvervsdrivende, der håndterer personlige oplysninger (PIHBO'er). En PIHBO defineres i artikel 2, stk. 5, i APPI som »en person, der stiller en database over personlige oplysninger til rådighed med henblik på anvendelse i virksomhed« med undtagelse af regerings- og forvaltningsorganerne på både centralt og lokalt plan.

(33)

Ifølge PPC's retningslinjer betyder »virksomhed« enhver form for »adfærd, der har til formål udøve et gentagent og vedvarende socialt anerkendt forehavende med et bestemt formål, uanset om dette er med gevinst for øje eller ej«. Organisationer, der ikke er juridiske personer (f.eks. de facto-sammenslutninger), eller fysiske personer betragtes som en PIHBO, hvis de har rådighed over (anvender) en database over personlige oplysninger o.lign. i deres virksomhed (23). Derfor skal begrebet »virksomhed« i APPI forstås meget bredt, idet det både omfatter aktiviteter med og uden gevinst for øje, som kan udføres af alle typer af organisationer og af enkeltpersoner. Desuden omfatter »anvendelse i virksomhed« også personlige oplysninger, som ikke anvendes i den erhvervsdrivendes (eksterne) kommercielle relationer, men derimod internt, f.eks. i behandlingen af medarbejdernes oplysninger.

(34)

Der skelnes ikke mellem individers nationalitet, bopæl eller opholdssted i forhold til den beskyttelse, som er fastlagt i APPI. Det samme gælder enkeltpersoners muligheder for at klage til PPC eller at indbringe sager for domstolene.

(35)

I APPI skelnes der ikke mellem de forpligtelser, som pålægges dataansvarlige og databehandlere. Fraværet af denne sondring påvirker beskyttelsesniveauet, eftersom alle PIHBO'er er underlagt alle bestemmelser i loven. En PIHBO, der overlader håndteringen af personoplysninger til en befuldmægtiget (svarende til en databehandler i databeskyttelsesforordningen), er fortsat underlagt forpligtelserne i APPI og de supplerende regler med hensyn til de oplysninger, som den har overdraget. Samtidig er PIHBO'er i henhold til artikel 22 i APPI forpligtet til at foretage »det nødvendige tilsyn« med den befuldmægtigede. PPC har derudover bekræftet, at den befuldmægtigede også er bundet af forpligtelserne i APPI og de supplerende regler.

(36)

Ved artikel 76 i APPI undtages visse typer af databehandling fra anvendelsen af lovens kapitel IV, som indeholder de centrale bestemmelser om databeskyttelse (grundlæggende principper, erhvervsdrivendes forpligtelser, individuelle rettigheder, PPC's overvågning). De typer behandling, der er omfattet af de sektorbestemte undtagelser i artikel 76, er også undtaget fra PPC's håndhævelsesbeføjelser, jf. artikel 43, stk. 2, i APPI (24).

(37)

De relevante kategorier for de sektorspecifikke undtagelser i artikel 76 i APPI fastlægges via et dobbelt kriterium, som bygger på den type af PIHBO, som foretager behandlingen af de personlige oplysninger, og formålet med behandlingen. Undtagelsen gælder nærmere bestemt for: i) radio- og tv-spredningsorganer, avisudgivere, kommunikationsbureauer og andre presseorganer (herunder personer, som udøver presseaktiviteter som erhverv) i det omfang, de behandler personlige oplysninger til presseformål, ii) personer, der er professionelle skribenter, i det omfang dette involverer personlige oplysninger, iii) universiteter og alle organisationer eller grupper, hvis formål er akademiske undersøgelser, eller enhver person, der tilhører en sådan organisation, i det omfang de behandler personlige oplysninger med henblik på akademiske undersøgelser, iv) religiøse organer, i det omfang de behandler personlige oplysninger med henblik på religiøse aktiviteter (herunder alle tilknyttede aktiviteter), og iv) politiske organer, i det omfang de behandler personlige oplysninger med henblik på deres politiske aktiviteter (herunder alle tilknyttede aktiviteter). Andre typer PIHBO'ers behandling af personlige oplysninger med henblik på et af de i artikel 76 anførte formål og ovennævnte PIHBO'ers behandling af personlige oplysninger med henblik på andre formål, f.eks. i personaleforhold, er fortsat omfattet af bestemmelserne i kapitel IV.

(38)

For at sikre et tilstrækkeligt beskyttelsesniveau for personoplysninger overført fra Den Europæiske Union til erhvervsdrivende i Japan er det kun behandlingen af personlige oplysninger inden for anvendelsesområdet af kapitel IV i APPI – dvs. behandling foretaget af en PIHBO i situationer, som ikke falder inden for en af de sektorbestemte undtagelser – som bør være omfattet af denne afgørelse. Afgørelsens anvendelsesområde bør derfor tilpasses APPI's. Ifølge de oplysninger, der er modtaget fra PPC, vil det blive betragtet som en international overførsel, når en PIHBO omfattet af denne afgørelse foretager en efterfølgende ændring af anvendelsesformålet (i det omfang dette er tilladt), således at en af de sektorspecifikke undtagelser i artikel 76 i APPI finder anvendelse (eftersom behandlingen af de personlige oplysninger i sådanne tilfælde ikke længere vil være omfattet af kapitel IV i APPI og dermed vil falde uden for dennes anvendelsesområde). Det samme gælder i tilfælde af, at en PIHBO videregiver personlige oplysninger til en enhed, der er omfattet af artikel 76 i APPI, til brug for et af de behandlingsformål, der er angivet i bestemmelsen. For så vidt angår personoplysninger, der overføres fra Den Europæiske Union, ville dette derfor udgøre en videreoverførsel, som vil være underlagt de relevante garantier (navnlig garantierne i artikel 24 i APPI og supplerende regel nr. 4). Hvis PIHBO'en støtter sig til den registreredes samtykke (25), vil denne skulle meddele pågældende alle de nødvendige oplysninger, herunder at de personlige oplysninger ikke længere vil være beskyttet af APPI.

(39)

Personoplysninger skal behandles til et specifikt formål og efterfølgende udelukkende anvendes, såfremt anvendelsen ikke er uforenelig med behandlingsformålet. Dette databeskyttelsesprincip er garanteret i artikel 15 og 16 i APPI.

(40)

APPI bygger på det princip, at en erhvervsdrivende skal angive anvendelsens formål »så præcist som muligt« (artikel 15, stk. 1) og derefter er bundet af dette formål i behandlingen af oplysningerne.

(41)

I den forbindelse fastsættes det i artikel 15, stk. 2, i APPI, at PIHBO'en ikke må ændre det oprindelige formål »ud over, hvad der med rimelighed må betragtes som relevant for anvendelsesformålet forud for ændringen«, hvilket i PPC's retningslinjer fortolkes som svarende til, hvad der objektivt kan forventes af den registrerede på grundlag af »normale sociale konventioner« (26).

(42)

I henhold til artikel 16, stk. 1, i APPI må PIHBO'er derudover ikke behandle personlige oplysninger ud over, »hvad der er nødvendigt for at opnå et anvendelsesformål«, jf. artikel 15, uden på forhånd at indhente den registreredes samtykke, medmindre en af undtagelserne i artikel 16, stk. 3, finder anvendelse (27).

(43)

Hvis der er tale om personlige oplysninger, der erhverves fra en anden erhvervsdrivende, er PIHBO'en i princippet fri til at bestemme et nyt anvendelsesformål (28). For at sikre, at en sådan modtager, når der er tale om en overførsel fra Den Europæiske Union, er bundet af det formål, som dataene blev overført til, kræves det i henhold til supplerende regel nr. 3) i tilfælde, »hvor en [PIHBO] modtager personoplysninger fra EU på grundlag af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet«, eller en sådan erhvervsdrivende »fra en anden [PIHBO] modtager personoplysninger, der tidligere er blevet overført fra EU på grundlag af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet« (videregivelse), at modtageren skal »specificere formålet med at anvende de nævnte personoplysninger inden for rammerne af det anvendelsesformål, som oplysningerne enten oprindeligt eller sidenhen blev modtaget til«. Med andre ord sikrer reglen, at det i henhold til forordning (EU) 2016/679 angivne formål i en overførselskontekst fortsætter med at være bestemmende for behandlingen, og at en ændring af dette formål på et hvilket som helst trin af den behandling, der finder sted i Japan, vil kræve samtykke fra den registrerede i EU. For at indhente dette samtykke er PIHBO'en forpligtet til at kontakte den registrerede, men er dette ikke muligt, er konsekvensen blot, at det oprindelige formål skal fastholdes.

(44)

Den yderligere beskyttelse, der er omhandlet i betragtning 43, er så meget desto mere relevant, eftersom det er gennem princippet om formålsbegrænsning, at det japanske system ligeledes sikrer, at personoplysninger behandles lovligt og rimeligt.

(45)

I henhold til APPI skal en PIHBO i forbindelse med sin indsamling af personlige oplysninger udførligt specificere formålet med at anvende de personlige oplysninger (29) og med det samme oplyse den registrerede om (eller offentliggøre) dette anvendelsesformål (30). I artikel 17 i APPI er det desuden fastlagt, at en PIHBO ikke må skaffe sig personlige oplysninger ved bedrag eller andre upassende metoder. For så vidt angår visse kategorier af oplysninger, f.eks. følsomme personlige oplysninger, forudsætter erhvervelsen deraf den registreredes samtykke (artikel 17, stk. 2, i APPI).

(46)

Som beskrevet i betragtning 41 og 42 må PIHBO'en endvidere ikke behandle de personlige oplysninger med andre formål for øje, med mindre den registrerede giver sit samtykke til denne behandling, eller en af undtagelserne i artikel 16, stk. 3, i APPI finder anvendelse.

(47)

Endelig begrænser artikel 23, stk. 1, i APPI videregivelsen af personlige oplysninger til tredjemand (31) til specifikke tilfælde, medmindre der som en generel hovedregel er indhentet forudgående samtykke (32). Ved artikel 23, stk. 2-4, i APPI fastsættes undtagelser til kravet om indhentning af samtykke Disse undtagelser finder imidlertid kun anvendelse med hensyn til ikkefølsomme oplysninger og kræver, at den erhvervsdrivende på forhånd oplyser de berørte personer om hensigten om at videregive deres personlige oplysninger til tredjemand og muligheden for at gøre indsigelse mod enhver yderligere videregivelse (33).

(48)

For så vidt angår overførsler fra Den Europæiske Union vil personoplysninger nødvendigvis først være blevet indsamlet og behandlet i Unionen i overensstemmelse med reglerne i forordning (EU) 2016/679. Dette vil altid omfatte på den ene side indsamling og behandling, herunder til overførsel fra Den Europæiske Union til Japan, på grundlag af forordningens artikel 6, stk. 1, og på den anden side indsamling til et udtrykkeligt angivet og legitimt formål samt forbud mod yderligere behandling, herunder via overførsel, såfremt denne er uforenelig med sådanne formål, jf. forordningens artikel 5, stk. 1, litra b), og artikel 6, stk. 4.

(49)

I henhold til supplerende regel nr. 3) vil den PIHBO, der modtager oplysningerne efter overførslen, skulle »bekræfte« de(t) specifikke formål, der ligger til grund for overførslen (dvs. det i henhold til forordning (EU) 2016/679 angivne formål) og foretage videre behandling af disse oplysninger i overensstemmelse med et sådant eller sådanne formål (34). Det er således ikke blot den, som først erhverver sådanne personoplysninger i Japan, der er bundet af det eller de i henhold til forordningen angivne formål, men også enhver fremtidig modtager af disse oplysninger (herunder en befuldmægtiget).

(50)

I tilfælde af at PIHBO'en ønsker at ændre det formål, der tidligere er blevet angivet i henhold til forordning (EU) 2016/679, vil denne derudover i henhold til artikel 16, stk. 1, i APPI i princippet skulle indhente den registreredes samtykke. Uden dette samtykke vil enhver behandling af oplysninger, som går ud over, hvad der er nødvendigt for at opnå dette anvendelsesformål, udgøre en overtrædelse af artikel 16, stk. 1, som vil kunne håndhæves af PPC og ved domstolene.

(51)

Eftersom en overførsel i henhold til forordning (EU) 2016/679 kræver et gyldigt retsgrundlag og et specifikt formål, som afspejles i det anvendelsesformål, der »bekræftes« i henhold til APPI, betyder dette, at kombinationen af de relevante bestemmelser i APPI og supplerende regel nr. 3) sikrer den fortsatte lovlighed af behandlingen af oplysninger fra EU i Japan.

(52)

Oplysninger bør være korrekte og om nødvendigt ajourførte. Oplysningerne bør også være tilstrækkelige, relevante og ikke for omfattende i forhold til behandlingsformålet.

(53)

Disse principper sikres i japansk lovgivning ved artikel 16, stk. 1, i APPI, som forbyder håndteringen af personlige oplysninger ud over, »hvad der er nødvendigt for at opnå et anvendelsesformål«. Ifølge PPC udelukker dette ikke blot anvendelsen af oplysninger, som ikke er tilstrækkelige, og for omfattende anvendelse af oplysninger (ud over, hvad der er nødvendigt for at opnå anvendelsesformålet), men også et forbud mod håndtering af oplysninger, som ikke er relevante for at opnå anvendelsesformålet.

(54)

For så vidt angår forpligtelsen til at sikre, at data er korrekte og ajourførte, indeholder artikel 19 i APPI et krav om, at PIHBO'en skal »stræbe efter at sikre, at personoplysninger er korrekte og ajourførte i det omfang, det er nødvendigt for at opnå anvendelsesformålet«. Denne bestemmelse skal læses sammen med artikel 16, stk. 1, i APPI: ifølge de forklaringer, som PPC har givet, vil behandlingen af personlige oplysninger ikke blive anset for at opnå anvendelsesformået, når en PIHBO ikke overholder de beskrevne standarder med hensyn til rigtighed, og følgelig vil håndteringen blive betragtet som ulovlig i henhold til artikel 16, stk. 1.

(55)

Oplysninger bør i princippet ikke opbevares i et længere tidsrum end det, der er nødvendigt til de formål, hvortil personoplysningerne behandles.

(56)

Ifølge artikel 19 i APPI skal PIHBO'er »stræbe […] efter at slette personoplysningerne, så snart denne anvendelse ikke længere er nødvendig«. Denne bestemmelse skal sammenholdes med artikel 16, stk. 1, i APPI, som forbyder håndteringen af personlige oplysninger ud over, »hvad der er nødvendigt for at opnå et anvendelsesformål«. Når anvendelsesformålet er opnået, kan behandlingen af de personlige oplysninger ikke betragtes som nødvendig mere, og den kan derfor ikke fortsætte (medmindre PIHBO'en får den registreredes samtykke dertil).

(57)

Personoplysninger bør behandles således, at de er sikre, herunder via beskyttelse mod uautoriseret og ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, Med henblik herpå bør de erhvervsdrivende træffe passende tekniske eller organisatoriske foranstaltninger for at beskytte personoplysninger mod potentielle trusler. Disse foranstaltninger bør vurderes under hensyntagen til det aktuelle tekniske niveau og de relaterede omkostninger.

(58)

Dette princip er gennemført i japansk lov ved artikel 20 i APPI, hvori det fastlægges, at en PIHBO »skal træffe nødvendige og passende foranstaltninger med henblik på sikkerhedskontrollen for personoplysninger, herunder at forebygge læk, tab eller beskadigelse af de personoplysninger, som den håndterer«. I PPC's retningslinjer forklares de foranstaltninger, der skal træffes, herunder metoderne til indførelse af grundlæggende politikker, databehandlingsregler og forskellige »kontrolforanstaltninger« (vedrørende organisationssikkerhed samt menneskelig, fysisk og teknologisk sikkerhed) (35). Derudover indeholder PPC's retningslinjerne og et dedikeret cirkulære (tillæg 8 om »Indholdet af de sikkerhedsforanstaltninger, der skal træffes«), som PPC har offentliggjort, yderligere oplysninger om foranstaltninger i forbindelse med sikkerhedshændelser, f.eks. læk af personlige oplysninger, inden for rammerne af de sikkerhedsforanstaltninger, PIHBO'er skal træffe (36).

(59)

Når personlige oplysninger håndteres af medarbejdere eller underleverandører, skal der derudover sikres »nødvendigt og passende tilsyn«, jf. artikel 20 og 21 i APPI, med henblik på sikkerhedskontrol. Endelig kan forsætlig lækage eller tyveri af personlige oplysninger i henhold til artikel 83 i APPI straffes med op til et års fængsel.

(60)

Registrerede bør underrettes om de vigtigste dele af behandlingen af deres personoplysninger.

(61)

I henhold til artikel 18, stk. 1, skal PIHBO'en gøre oplysninger om anvendelsesformålet for de erhvervede personlige oplysninger tilgængelige for den registrerede, undtagen i »tilfælde, hvor et anvendelsesformål på forhånd er blevet meddelt offentligheden«. Samme forpligtelse gælder i tilfælde af en tilladt ændring af formålet (artikel 18, stk. 3). Derved sikres det også, at den registrerede bliver underrettet om, at pågældendes oplysninger er blevet indsamlet. Selv om det ikke er et generelt krav i APPI, at PIHBO'en skal underrette den registrerede om de forventede modtagere af de personlige oplysninger i forbindelse med indsamlingen, er disse oplysninger en nødvendig betingelse for enhver videregivelse af oplysninger til tredjemand (modtager) på grundlag af artikel 23, stk. 2, dvs. hvor videregivelsen finder sted uden den registreredes forudgående samtykke.

(62)

For så vidt angår »opbevarede personoplysninger« fastlægges det i artikel 27 i APPI, at PIHBO'en skal oplyse den registrerede om sin identitet (kontaktoplysninger), anvendelsesformålet og procedurerne for besvarelsen af en anmodning vedrørende den registreredes individuelle rettigheder i henhold til artikel 28, 29 og 30 i APPI.

(63)

Da personoplysninger overført fra Den Europæiske Union i henhold til de supplerende regler vil blive anset for »opbevarede personoplysninger« uanset deres opbevaringsperiode (medmindre undtagelser finder anvendelse), vil de altid være omfattet af gennemsigtighedskravene i begge førnævnte bestemmelser.

(64)

Både kravene i artikel 18 og forpligtelsen til at oplyse om anvendelsesformålet i artikel 27 i APPI er underlagt de samme undtagelser, som hovedsagelig er baseret på hensyn til almenvellet og beskyttelsen af den registreredes, tredjemands og den dataansvarliges rettigheder og interesser (37). Ifølge fortolkningen i PPC's retningslinjer gælder disse undtagelser i meget specifikke situationer, f.eks. når oplysninger om anvendelsesformålet ville kunne risikere at underminere legitime foranstaltninger truffet af den erhvervsdrivende til beskyttelse af bestemte interesser (f.eks. bekæmpelse af svig, industrispionage, sabotage).

(65)

Der bør være særlige garantier, når »særlige kategorier« af oplysninger behandles.

(66)

»Følsomme personlige oplysninger« defineres i artikel 2, stk. 3, i APPI. Denne bestemmelse henviser til »personlige oplysninger såsom den berørtes race, tro, sociale status, sygdomshistorie, straffeattest, hvorvidt pågældende har lidt skader i forbindelse med en forbrydelse eller andre beskrivelser mv., som i henhold til en kabinetsbekendtgørelse er de beskrivelser, som kræver særlig håndtering, således at de ikke forårsager uretfærdig forskelsbehandling, fordomme eller andre ulemper for den berørte.« Disse kategorier svarer langt hen ad vejen til listen over følsomme oplysninger i artikel 9 og 10 i forordning (EU) 2016/679. Navnlig »sygdomshistorie« svarer til sundhedsoplysninger, mens »straffeattest, og hvorvidt pågældende har lidt skader i forbindelse med en forbrydelse« materielt svarer til de i artikel 10 i forordning (EU) 2016/679 omhandlede kategorier. De i artikel 2, stk. 3, i APPI omhandlede kategorier er genstand for yderligere fortolkning i kabinetsbekendtgørelsen og i PPC's retningslinjer. I henhold til afsnit 2.3., punkt 8, i PPC's retningslinjer fortolkes underkategorierne af »sygdomshistorie«, som beskrives i artikel 2, nr. ii) og iii), i kabinetsbekendtgørelsen, således, at de også omfatter genetiske og biometriske data. Selv om listen ikke udtrykkeligt indeholder udtrykkene »etnisk oprindelse« eller »politisk overbevisning«, indeholder den imidlertid henvisninger til »race« og »tro«. Som forklaret i afsnit 2.3., punkt 1 og 2, i PPC's retningslinjer omfatter henvisningen til »race«»etniske forbindelser eller forbindelser til en bestemt del af verden«, mens »tro« forstås som både religiøse og politiske overbevisninger.

(67)

Som det fremgår af bestemmelsens ordlyd, er dette ikke en lukket liste, eftersom der kan tilføjes yderligere kategorier af oplysninger, såfremt deres behandling medfører en risiko for »uretfærdig forskelsbehandling, fordomme eller andre ulemper for den berørte«.

(68)

Mens begrebet »følsomme« oplysninger i sagens natur er en social konstruktion, der bygger på kulturelle og juridiske traditioner, moralske overvejelser, politiske valg osv. i et givent samfund, har Kommissionen i lyset af vigtigheden af at sikre tilstrækkelige garantier for følsomme oplysninger i forbindelse med overførsler til erhvervsdrivende i Japan tilsikret sig, at den særlige beskyttelse, som »følsomme personlige oplysninger« er underlagt i Japan, bliver udvidet til alle kategorier af »følsomme oplysninger« i forordning (EU) 2016/679. Med henblik herpå fastlægges det i supplerende regel nr. 1), at PIHBO'er skal behandle oplysninger overført fra Den Europæiske Union vedrørende en persons sexliv, seksuelle orientering eller fagforeningsmedlemsskab »på samme måde som følsomme personlige oplysninger i den i artikel 2, stk. 3, [i APPI] anvendte betydning«.

(69)

Hvad angår yderligere materielle garantier for følsomme personlige oplysninger har PIHBO'er i henhold til artikel 17, stk. 2, i APPI ikke ret til at erhverve denne type oplysninger uden forudgående samtykke fra den berørte person, og hertil gælder kun få undtagelser (38). Derudover er denne kategori af personlige oplysninger udelukket fra en eventuel videregivelse til tredjemand på grundlag af den i artikel 23, stk. 2, i APPI fastlagte procedure (tilladelse til overførsel af oplysninger til tredjemand uden den berørte persons forudgående samtykke).

(70)

I henhold til princippet om ansvarlighed skal enheder, der behandler oplysninger, træffe passende organisatoriske foranstaltninger med henblik på effektiv overholdelse af deres databeskyttelsesforpligtelser, og de skal være i stand til at dokumentere denne overholdelse, navnlig over for den kompetente tilsynsmyndighed.

(71)

Som nævnt i fodnote 34 (betragtning 49) skal PIHBO'er i henhold til artikel 26, stk. 1, i APPI bekræfte identiteten på den tredjemand, som videregiver personoplysninger til dem, og de »omstændigheder«, hvorunder tredjemanden har erhvervet disse oplysninger (er der tale om personoplysninger omfattet af denne afgørelse, skal disse omstændigheder i henhold til APPI og supplerende regel nr. 3) omfatte, at oplysningerne stammer fra Den Europæiske Union, samt formålet med den oprindelige dataoverførsel). Denne foranstaltning har bl.a. til formål at sikre lovligheden af databehandlingen i hele kæden af PIHBO'er, der håndterer personoplysningerne. I henhold til artikel 26, stk. 3, i APPI skal PIHBO'er desuden registrere modtagelsesdatoen og de (obligatoriske) oplysninger, som den har modtaget fra tredjemanden, jf. stk. 1, samt navnet på den pågældende person (den registrerede), de behandlede oplysningskategorier og, i det omfang det er relevant, at den registrerede har givet sit samtykke til udveksling af sine personoplysninger. Som angivet i artikel 18 i PPC's regler skal disse fortegnelser opbevares i en periode på mindst et til tre år afhængigt af omstændighederne. I forbindelse med udførelsen af sine opgaver kan PPC kræve forelæggelse af sådanne fortegnelser (39).

(72)

PIHBO'er skal hurtigt og på en passende måde håndtere klager fra berørte enkeltpersoner vedrørende behandlingen af deres personlige oplysninger. For at lette behandlingen af klager skal de oprette et system, som kan sikre opfyldelsen af dette formål, hvilket indebærer, at de skal indføre passende procedurer i deres organisation (f.eks. tildeling af ansvar eller oprettelse af et kontaktpunkt).

(73)

Endelig oprettes der med APPI en ramme for brancheorganisationernes deltagelse med henblik på at sikre et højt niveau af overholdelse af reglerne (jf. kapitel IV, afsnit 4). Sådanne organisationer, der er akkrediteret med hensyn til beskyttelse af personlige oplysninger (40), har til opgave at fremme beskyttelsen af personlige oplysninger ved at støtte virksomheder via deres sagkundskab, men de bidrager også til gennemførelsen af garantier, navnlig ved at håndtere individuelle klager og hjælpe med at løse dermed forbundne konflikter. Med henblik herpå kan de anmode deltagende PIHBO'er om at træffe visse foranstaltninger, såfremt det er nødvendigt (41). Derudover skal PIHBO'er i tilfælde af brud på datasikkerheden i princippet underrette PPC og den registrerede (eller offentligheden) og iværksætte de nødvendige tiltag, herunder foranstaltninger til at minimere enhver skade og til at forebygge gentagelsen af lignende hændelser (42). Selv om der er tale om frivillige ordninger, havde PPC den 10. august 2017 registreret 44 organisationer, hvoraf JIPDEC (Japan Information Processing and Development Center) som den største alene omfatter 15 436 deltagende erhvervsdrivende (43). De akkrediterede ordninger omfatter brancheorganisationer som f.eks. sammenslutningen af japanske børsmæglere, den japanske sammenslutning for køreskolelærere og sammenslutningen af ægteskabsmæglere (44).

(74)

Organisationer, som er akkrediteret med hensyn til beskyttelse af personlige oplysninger, skal forelægge årlige rapporter om deres aktiviteter. Ifølge oversigten over gennemførelsesstatus for APPI for regnskabsåret 2015, som PPC har offentliggjort, modtog de organisationer, der er akkrediteret med hensyn til beskyttelse af personlige oplysninger, i alt 442 klager, de krævede 123 redegørelser fra erhvervsdrivende inden for deres jurisdiktion, anmodede om dokumenter fra disse erhvervsdrivende i 41 tilfælde og gav 181 instruktioner og 2 anbefalinger (45).

(75)

Beskyttelsesniveauet for personoplysninger, der overføres fra Den Europæiske Union til erhvervsdrivende i Japan, må ikke kunne undermineres ved videreoverførsel af sådanne oplysninger til modtagere i tredjelande uden for Japan. Sådanne »videreoverførsler«, der set fra den japanske erhvervsdrivendes synspunkt udgør internationale overførsler fra Japan, bør kun tillades, såfremt den efterfølgende modtager uden for Japan selv er underlagt regler, der sikrer et beskyttelsesniveau svarende til det, der garanteres i den japanske retsorden.

(76)

Den første beskyttelse er fastlagt i artikel 24 i APPI, som generelt forbyder overførslen af personoplysninger til tredjemand uden for Japans område uden forudgående samtykke fra den berørte person. Supplerende regel nr. 4) sikrer, at et sådant samtykke ved dataoverførsler fra Den Europæiske Union skal være velinformeret, idet reglen kræver, at den berørte person skal have »oplysninger om omstændighederne i forbindelse med overførslen, således at det er muligt for denne at træffe sin samtykkebeslutning«. Den registrerede skal på dette grundlag oplyses om, at oplysningerne vil blive overført til udlandet (uden for anvendelsesområdet for APPI) og om det konkrete bestemmelsesland. Dette vil gøre det muligt for pågældende at vurdere risikoen for privatlivets fred i forbindelse med overførslen. Som det kan udledes af artikel 23 i APPI (jf. betragtning 47), skal de oplysninger, som meddeles den berørte, omfatte de obligatoriske elementer i henhold til dennes stk. 2, dvs. kategorierne af personoplysninger, som videregives til tredjemand, og videregivelsesmetoden.

(77)

I artikel 24 i APPI sammenholdt med artikel 11-2 i PPC's regler fastlægges en række undtagelser til denne samtykkebaserede regel. I henhold til artikel 24 finder de samme undtagelser, som i artikel 23, stk. 1, i APPI desuden også anvendelse på internationale dataoverførsler (46).

(78)

For at sikre kontinuitet i beskyttelsen af personoplysninger, der overføres fra EU til Japan i henhold til denne afgørelse, øges beskyttelsesniveauet for videreoverførsel af sådanne oplysninger fra en PIHBO til en modtager i et tredjeland ved supplerende regel nr. 4). Dette sker ved at begrænse og fastlægge det grundlag for internationale overførsler, der kan anvendes af PIHBO'en som et alternativ til samtykke. Mere specifikt, og uden at dette berører de undtagelser, der er fastlagt i artikel 23, stk. 1, i APPI, må personoplysninger overført i henhold til denne afgørelse kun (videre)overføres uden samtykke i to filfælde: i) såfremt oplysningerne sendes til et tredjeland, som PPC i henhold til artikel 24 i APPI har anerkendt, har et beskyttelsesniveau svarende til det japanske (47), eller ii) såfremt PIHBO'en og den modtagende tredjemand sammen har gennemført foranstaltninger, der sikrer et beskyttelsesniveau svarende til APPI, sammenholdt med de supplerende regler, ved hjælp af en kontrakt, andre former for bindende aftaler eller bindende foranstaltninger inden for en koncern. Den anden kategori svarer til de instrumenter, som anvendes i henhold til forordning (EU) 2016/679 for at sikre tilstrækkelige garantier (navnlig kontraktbestemmelser og bindende virksomhedsregler). Som bekræftet af PPC er overdragelsen til tredjemand derudover selv i disse tilfælde fortsat underlagt de almindelige regler for enhver videregivelse af personoplysninger til tredjemand i henhold til APPI (dvs. kravet om at indhente samtykke i henhold til artikel 23, stk. 1, i APPI eller alternativt oplysningskravet med en mulighed for at trække sig i henhold til artikel 23, stk. 2, i APPI). Hvis den registrerede ikke kan kontaktes med en anmodning om samtykke eller for at meddele de krævede forhåndsoplysninger i henhold til artikel 23, stk. 2, i APPI, må overførslen ikke finde sted.

(79)

Når der ses bort fra de tilfælde, hvor PPC har konkluderet, at det pågældende tredjeland sikrer et beskyttelsesniveau svarende til det, der garanteres af APPI (48), udelukker kravene i supplerende regel nr. 4) således anvendelsen af overførselsinstrumenter, når disse ikke opretter en bindende aftale mellem den japanske dataeksportør og dataimportøren i tredjelandet, og de ikke garanterer det krævede beskyttelsesniveau. Dette vil være tilfældet for f.eks. APEC Cross Border Privacy Rules (CBPR) System, som Japan deltager i (49), eftersom beskyttelsen i dette system ikke følger af en bindende aftale mellem eksportøren og importøren i forbindelse med deres bilaterale forhold og klart er på et lavere niveau end den beskyttelse, der garanteres ved en kombination af APPI og de supplerende regler (50).

(80)

Endelig følger en yderligere garanti i tilfælde af (videre)overførsel af artikel 20 og 22 i APPI. Når en operatør fra et tredjeland (en dataimportør) handler på vegne af PIHBO'en (dataeksportøren), som er en (under-)databehandler, har sidstnævnte i henhold til disse bestemmelser pligt til at sikre tilsynet med førstnævnte for så vidt angår sikkerheden i databehandlingen.

(81)

Ligesom EU's databeskyttelseslovgivning tillægger APPI enkeltpersoner en række rettigheder, som kan håndhæves. Dette omfatter retten til indsigt (»at få oplyst«), berigtigelse og sletning samt retten til at gøre indsigelse (»indstilling af anvendelsen«).

(82)

For det første har en registreret i henhold til artikel 28, stk. 1 og 2, ret til at anmode en PIHBO om at »oplyse om opbevarede personoplysninger, som kan identificere pågældende«, og efter at have modtaget en sådan anmodning skal PIHBO'en »oplyse opbevarede personoplysninger« til den registrerede. Artikel 29 (ret til korrektion) og 30 (retten til indstilling af anvendelsen) har samme opbygning som artikel 28.

(83)

Ifølge kabinetsbekendtgørelsens artikel 9 skal meddelelser vedrørende personlige oplysninger som omhandlet i artikel 28, stk. 2, i APPI gives skriftligt, medmindre PIHBO'en og den registrerede har aftalt andet.

(84)

Disse rettigheder er underlagt tre typer restriktioner vedrørende den enkeltes egne eller tredjemands rettigheder og interesser (51), alvorlige indgreb i PIHBO'ens forretningsaktiviteter (52) og sager, hvor indsigten ville være i strid med andre love og forskrifter (53). De situationer, hvori disse restriktioner vil kunne gælde, svarer til nogle af de undtagelser, der finder anvendelse i henhold til artikel 23, stk. 1, i forordning (EU) 2016/679, som tillader begrænsninger af den enkeltes rettigheder i forbindelse med »beskyttelse af den registrerede eller andres rettigheder og frihedsrettigheder« eller »andre vigtige målsætninger i forbindelse med beskyttelse af […] generelle samfundsinteresser«. Selv om det må synes at være en bred kategori af tilfælde, hvor indsigten vil kunne være i strid med »andre love og forskrifter«, så skal love og forskrifter, hvori der fastlægges begrænsninger i denne henseende, respektere den forfatningssikrede ret til privatlivets fred, og de må kun pålægge begrænsninger, såfremt udøvelsen af denne rettighed ikke »griber ind i den offentlige velfærd« (54). Dette kræver en afvejning af de foreliggende interesser.

(85)

Hvis de ønskede oplysninger ikke findes, eller den berørte PIHBO beslutter ikke at give adgang til de opbevarede oplysninger, skal den straks underrette den pågældende, jf. artikel 28, stk. 3, i APPI.

(86)

For det andet har en registreret i henhold til artikel 29, stk. 1, i APPI ret til at anmode om berigtigelse af, tilføjelser til eller sletning af sine opbevarede personoplysninger, hvis oplysningerne ikke er korrekte. Ved modtagelsen af en sådan anmodning skal PIHBO'en »foretage de nødvendige undersøgelser« og på grundlag af resultaterne heraf »foretage en berigtigelse osv. af indholdet af de opbevarede oplysninger«.

(87)

For det tredje har en registreret i henhold til artikel 30, stk. 1 og 2, i APPI, ret til at anmode en PIHBO om at indstille anvendelsen af personlige oplysninger eller om at slette sådanne oplysninger, hvis de håndteres i strid med artikel 16 (vedrørende formålsbegrænsning) eller er erhvervet i strid med artikel 17 i APPI (vedrørende erhvervelse ved bedrag eller andre upassende metoder, eller hvor der ikke er givet samtykke i forbindelse med de følsomme oplysninger). I henhold til artikel 30, stk. 3 og 4, i APPI gælder ligeledes, at den enkelte har ret til at anmode PIHBO'en om at indstille videregivelsen af oplysningerne til tredjemand, såfremt dette vil være i strid med artikel 23, stk. 1, eller artikel 24 i APPI (vedrørende videregivelse til tredjemand, herunder internationale overførsler).

(88)

Såfremt der er grundlag for anmodningen, skal PIHBO'en uden tøven indstille anvendelsen af oplysningerne eller videregivelsen til tredjemand, i det omfang det er nødvendigt for at afhjælpe overtrædelsen, eller, hvis tilfældet er omfattet af en undtagelse (navnlig hvis indstillingen af anvendelsen vil medføre særlig høje omkostninger) (55), træffe de nødvendige alternative foranstaltninger til beskyttelse af den berørte persons rettigheder og interesser.

(89)

Til forskel fra EU-retten indeholder APPI og relevante regler under almindeligt lovniveau ikke bestemmelser, som specifikt vedrører muligheden for at modsætte sig behandling med henblik på direkte markedsføring. En sådan behandling vil dog i henhold til denne afgørelse finde sted i forbindelse med overførsel af personoplysninger, der tidligere er blevet indsamlet i Den Europæiske Union. I medfør af artikel 21, stk. 2, i forordning (EU) 2016/679 skal den registrerede altid have muligheden for at gøre indsigelse mod en overførsel af data til behandling med henblik på direkte markedsføring. Som forklaret i betragtning 43 er en PIHBO i øvrigt i henhold til supplerende regel nr. 3) forpligtet til at behandle de oplysninger, der modtages i henhold til afgørelsen, til det samme formål, hvortil oplysningerne er blevet overført fra Den Europæiske Union, medmindre den registrerede giver sit samtykke til en ændring af anvendelsen. Hvis overførslen således er foretaget til et andet formål end direkte markedsføring, vil en PIHBO i Japan være afskåret fra at behandle oplysningerne med henblik på direkte markedsføring uden samtykke fra den registrerede i EU.

(90)

I alle de i artikel 28 og 29 i APPI omhandlede tilfælde skal PIHBO'en straks meddele den enkelte resultatet af pågældendes anmodning og desuden begrunde ethvert (delvist) afslag på grundlag af de lovmæssige undtagelser, som er fastlagt i artikel 27-30 (artikel 31 i APPI).

(91)

Hvad angår betingelserne for at fremsætte en anmodning, så kan PIHBO'en i henhold til artikel 32 i APPI (sammenholdt med kabinetsbekendtgørelsen) fastsætte rimelige procedurer herfor, herunder angående de oplysninger, som er nødvendige for at identificere de opbevarede personoplysninger. I henhold til stk. 4 i denne artikel, må PIHBO'er imidlertid ikke pålægge »den berørte uforholdsmæssige byrder«. I visse tilfælde kan PIHBO'er også opkræve gebyrer, såfremt beløbet forbliver »inden for rammerne af, hvad der er rimeligt i betragtning af de faktiske omkostninger« (artikel 33 i APPI).

(92)

Endelig kan den enkelte gøre indsigelse mod videregivelsen sine personlige oplysninger til tredjemand, jf. artikel 23, stk. 2, i APPI, eller afvise at give sit samtykke, jf. artikel 23, stk. 1 (og derved forhindre videregivelse, hvis dette ikke kan ske på et andet retsgrundlag). Tilsvarende kan den enkelte standse behandlingen af oplysninger til et andet formål ved at afvise at give samtykke i henhold til artikel 16, stk. 1, i APPI.

(93)

Til forskel fra EU-retten indeholder APPI og relevante regler under almindeligt lovniveau ikke generelle bestemmelser, som vedrører beslutninger, der påvirker den registrerede, og som udelukkende bygger på automatisk behandling af personoplysninger. Spørgsmålet er imidlertid behandlet i visse sektorspecifikke regler, der finder anvendelse i Japan, og som er særligt relevante for denne form for behandling. Dette omfatter sektorer, hvor virksomhederne med overvejende sandsynlighed vil benytte sig af automatisk behandling af personoplysninger til at træffe beslutninger, der påvirker enkeltpersoner (f.eks. i den finansielle sektor). F.eks. indeholder de samlede retningslinjer for tilsynet med store banker, som blev revideret i juni 2017, krav om, at den berørte person får en specifik begrundelse for afvisningen af en anmodning om at indgå en låneaftale. Disse regler giver således beskyttelse i de formodentlig meget få tilfælde, hvor de automatiske beslutninger træffes af den »importerende« japanske erhvervsdrivende selv (i stedet for af den »eksporterende« dataansvarlige fra EU).

(94)

I forbindelse med personoplysninger, der er blevet indsamlet i Den Europæiske Union, vil enhver beslutning baseret på automatisk behandling under alle omstændigheder typisk blive taget af den dataansvarlige i Unionen (som har en direkte relation til den berørte registrerede), og den vil således være omfattet af forordning (EU) 2016/679 (56). Dette omfatter overførselsscenarier, hvor behandlingen foretages af en udenlandsk (f.eks. japansk) erhvervsdrivende, der handler som mandatar (databehandler) på vegne af den dataansvarlige fra EU (eller som en underdatabehandler, der handler på vegne af en databehandler fra EU, som har modtaget oplysningerne fra den indsamlende dataansvarlige fra EU), og som på dette grundlag således træffer beslutningen. Fraværet af specifikke regler om automatiske beslutninger i APPI vil derfor sandsynligvis ikke have indvirkning på beskyttelsesniveauet for personoplysninger overført i henhold til denne afgørelse.

(95)

For at sikre, at et tilstrækkeligt databeskyttelsesniveau også garanteres i praksis, bør der være oprettet en uafhængig tilsynsmyndighed med beføjelser til at overvåge og sikre, at databeskyttelsesreglerne overholdes. Denne myndighed bør være fuldstændig uafhængig og upartisk i udførelsen af sine opgaver og udøvelsen af sine beføjelser.

(96)

PPC er den japanske myndighed med ansvaret for tilsyn med og håndhævelse af APPI. Myndigheden består af en formand og otte kommissærer, der udnævnes af premierministeren med samtykke fra begge kamre i parlamentet. Embedsperioden for formanden og de enkelte kommissærer er fem år med mulighed for genudnævnelse (artikel 64 i APPI). Kommissærerne kan kun afskediges med gyldig grund i et begrænset antal særlige tilfælde (57) og må ikke være aktivt engagerede i politiske aktiviteter. I henhold til APPI skal fuldtidskommissærer desuden afholde sig fra enhver anden lønnet beskæftigelse eller erhvervsvirksomhed. Alle kommissærer er også omfattet af interne regler, som forhindrer dem i at deltage i forhandlinger i tilfælde af en mulig interessekonflikt. PPC bistås af et sekretariat under en generalsekretærs ledelse, og dette sekretariat er blevet oprettet med henblik på at udføre de opgaver, som PPC er blevet tillagt (artikel 70 i APPI). Både kommissæren og alle ansatte i sekretariatet er underlagt strenge regler om tavshedspligt (artikel 72 og 82 i APPI).

(97)

PPC's beføjelser, som udøves i fuld uafhængighed (58), er hovedsagelig fastlagt i artikel 40, 41 og 42 i APPI. I henhold til artikel 40 kan PPC anmode PIHBO'er om at rapportere eller fremsende dokumenter om behandlingsaktiviteter, og PPC kan ligeledes foretage inspektioner, både på stedet og af fortegnelser eller andre dokumenter. I det omfang det er nødvendigt for at håndhæve APPI, kan PPC også sørge for vejledning og rådgivning til PIHBO'er vedrørende håndteringen af personlige oplysninger. PPC har allerede gjort brug af denne beføjelse i henhold til artikel 41 i APPI i form af vejledning til Facebook efter afsløringerne vedrørende Facebook og Cambridge Analytica.

(98)

Det væsentligste er, at PPC har beføjelser til – på foranledning af en klage eller på eget initiativ – at fremsætte henstillinger eller udstede påbud med henblik på at håndhæve APPI og andre bindende regler (herunder de supplerende regler) i individuelle sager. Disse beføjelser er fastlagt i artikel 42 i APPI. Mens bestemmelsens stk. 1 og 2 foreskriver en todelt procedure, hvor PPC (kun) kan udstede et påbud efter en forudgående henstilling, giver stk. 3 mulighed for direkte udstedelse af et påbud i hastende tilfælde.

(99)

Der henvises ikke til alle bestemmelser i kapitel IV, afsnit 1, i APPI i artikel 42, stk. 1 – hvorved anvendelsesområdet for artikel 42, stk. 2, også fastlægges – men dette skyldes, at visse af disse bestemmelser ikke vedrører PIHBO'ens forpligtelser (59), og at alle væsentlige former for beskyttelse allerede ydes via andre bestemmelser, som indgår i listen. Men selv om artikel 15 (hvori det kræves, at PIHBO'en fastlægger anvendelsesformålet og udelukkende behandler de relevante personlige oplysninger inden for disse rammer) f.eks. ikke er nævnt, kan manglende overholdelse af dette krav give anledning til en henstilling som følge af overtrædelse af artikel 16, stk. 1 (forbuddet mod, at PIHBO'en behandler personlige oplysninger ud over, hvad der er nødvendigt for at opnå anvendelsesformålet, medmindre der indhentes samtykke hos den registrerede) (60). En anden bestemmelse, der ikke er anført i artikel 42, stk. 1, er artikel 19 i APPI om oplysningers korrekthed og opbevaring. Manglende overholdelse af denne bestemmelse kan håndhæves enten som en overtrædelse af artikel 16, stk. 1, eller baseres på en overtrædelse af artikel 29, stk. 2, hvis den pågældende person anmoder om rettelse eller sletning af ukorrekte eller unødvendige oplysninger, og PIHBO'en nægter at efterkomme anmodningen. For så vidt angår den registreredes rettigheder i henhold til artikel 28, stk. 1, artikel 29, stk. 1, og artikel 30, stk. 1, sikres PPC's tilsyn ved at give det håndhævelsesbeføjelser med hensyn til PIHBO'ens dertil svarende forpligtelser, der er fastsat i de nævnte artikler.

(100)

I henhold til artikel 42, stk. 1, i APPI kan PPC, hvis det anerkender, at der et »behov for beskyttelse af en persons rettigheder og interesser i tilfælde, hvor en [PIHBO] har overtrådt« specifikke bestemmelser i APPI, fremsætte en henstilling om at »standse overtrædelsen eller træffe andre fornødne foranstaltninger med henblik på at afhjælpe overtrædelsen«. En sådan henstilling er ikke bindende, men baner vejen for et bindende pålæg i henhold til artikel 42, stk. 2, i APPI. Hvis henstillingen ikke bliver fulgt, og det sker »uden legitime grunde«, og PPC »indser, at der er overhængende fare for en alvorlig overtrædelse af en persons rettigheder og interesser«, kan PPC pålægge PIHBO'en at træffe foranstaltninger i overensstemmelse med henstillingen.

(101)

Med de supplerende regler præciseres og styrkes PPC's håndhævelsesbeføjelser yderligere. Såfremt der er tale om af oplysninger importeret fra Den Europæiske Union, vil PPC således altid betragte en PIHBO's undladelse af at handle i overensstemmelse med en henstilling, der er fremsat i henhold til artikel 42, stk. 1, i APPI, hvor dette sker uden dette sker uden legitime grunde, som en alvorlig overtrædelse, der indebærer en overhængende fare for den enkeltes rettigheder og interesser, jf. artikel 42, stk. 2, og derfor også betragte det som en overtrædelse, der kræver, at der udstedes et bindende pålæg. Som »legitime grunde« til ikke at efterkomme en henstilling vil PPC desuden kun acceptere en »begivenhed af ekstraordinær karakter [der forhindrer efterkommelsen] uden for [PIHBO'ens] kontrol, som ikke med rimelighed har kunnet forudses (f.eks. naturkatastrofer)«, eller tilfælde, hvor behovet for at træffe foranstaltninger med hensyn til en henstilling »ikke længere er til stede, fordi [PIHBO'en] har truffet alternative foranstaltninger, der fuldt ud afhjælper overtrædelsen«.

(102)

Manglende overholdelse af et pålæg fra PPC betragtes som en strafbar handling i henhold til artikel 84 i APPI, og findes PIHBO'en skyldig, kan denne idømmes fængsel med arbejde i op til seks måneder eller en bøde på op til 300 000 yen. I henhold artikel 85, nr. i), i APPI er manglende samarbejde med PPC eller obstruktion af dets undersøgelser desuden strafbart med en bøde på op til 300 000 yen. Disse strafferetlige sanktioner finder anvendelse i tillæg til dem, der kan pålægges for væsentlige overtrædelser af APPI (se betragtning 108).

(103)

Med henblik på at sikre tilstrækkelig beskyttelse og navnlig håndhævelse af individuelle rettigheder bør den registrerede have effektive muligheder for administrativ og retslig prøvelse, herunder skadeserstatning.

(104)

Før eller i stedet for indgivelsen klage til en myndighed eller anlæggelsen af en sag ved domstolene kan en person vælge at klage over behandlingen af vedkommendes personoplysninger til den dataansvarlige selv. I henhold til artikel 35 i APPI skal PIHBO'er bestræbe sig på at behandle sådanne klager »hensigtsmæssigt og hurtigt« og indføre et internt klagebehandlingssystem med henblik på at nå dette mål. I henhold til artikel 61, nr. ii), i APPI har PPC til opgave at sørge for »den nødvendige mægling med hensyn til en indgivet klage og tilbud om samarbejde til en erhvervsdrivende, som håndterer klagen«, hvilket i begge tilfælde omfatter klager indgivet af udlændinge. Den japanske lovgiver har i den forbindelse overladt det til de statslige myndigheder at træffe de »nødvendige foranstaltninger« til at muliggøre og lette PIHBO'ers løsning af klagesager (artikel 9), mens lokalforvaltningerne skal bestræbe sig på at sikre mægling i sådanne sager (artikel 13). I den forbindelse kan enkeltpersoner indgive klage hos et af mere end 1 700 forbrugercentre, som er oprettet af lokalforvaltningerne på grundlag af forbrugersikkerhedsloven (61), og de har desuden mulighed for at indgive en klage til det nationale center for forbrugerforhold i Japan. Sådanne klager kan også indgives med hensyn til en overtrædelse af APPI. I henhold til artikel 19 i den almindelige lov om forbrugerbeskyttelse (62) skal lokale myndigheder bestræbe sig på mægle med hensyn til klager og give parterne adgang til den nødvendige sagkundskab. Disse tvistbilæggelsesordninger synes at være ret effektive med en løsningsprocent på 91,2 % i mere end 75 000 klagesager i 2015.

(105)

Overtrædelser af bestemmelserne i APPI for en PIHBO kan give anledning til civile søgsmål og straffesager og strafferetlige sanktioner. Dette kan for det første være, hvis en person anser sine rettigheder for overtrådt i henhold til artikel 28, 29 og 30 i APPI, idet denne person kan bede retten om at meddele et påbud, hvorved PIHBO'en pålægges at efterkomme pågældendes anmodning i henhold til disse bestemmelser, dvs. at oplyse om opbevarede personoplysninger (artikel 28), berigtige opbevarede personoplysninger, der ikke er korrekte (artikel 29), eller indstille ulovlig behandling eller videregivelse til tredjemand (artikel 30). Et sådant søgsmål kan anlægges uafhængigt af artikel 709 i den borgerlige lovbog (63) eller anden erstatningsretlig hjemmel (64). Det betyder navnlig, at den enkelte ikke behøver at føre bevis for nogen skade.

(106)

Der kan for det andet være tilfælde, hvor en påstået overtrædelse ikke vedrører individuelle rettigheder i medfør af artikel 28, 29 og 30, men derimod generelle databeskyttelsesprincipper eller PIHBO'ens generelle forpligtelser, idet den berørte person kan anlægge et civilt søgsmål mod den erhvervsdrivende på grundlag af bestemmelserne om erstatning i Japans borgerlige lovbog, navnlig dennes artikel 709. Mens et sagsanlæg i henhold til artikel 709 ud over skyld (forsæt eller uagtsomhed) kræver påvisning af skade, kan en sådan skade ifølge artikel 710 i den borgerlige lovbog både være af materiel og immateriel karakter. Der er ikke fastlagt nogen begrænsning med hensyn til erstatningens størrelse.

(107)

Hvad angår de til rådighed stående retsmidler omhandler artikel 709 i den borgerlige lovbog økonomisk erstatning. I japansk retspraksis er denne bestemmelse imidlertid også blevet fortolket således, at den giver mulighed for et påbud (65). Hvis en registreret således anlægger en sag i henhold til artikel 709 i den borgerlige lovbog med påstand om, at den tiltalte har skadet pågældendes rettigheder eller interesser ved en overtrædelse af en bestemmelse i APPI, kan dette søgsmål ud over et krav om erstatning også omfatte en anmodning om nedlæggelse af forbud, navnlig med det formål at standse den ulovlige behandling.

(108)

For det tredje har en registreret ud over civilretlige (dvs. erstatningsretlige) retsmidler mulighed for at indgive en anmeldelse hos anklagemyndigheden eller politiet vedrørende overtrædelser af APPI, som vil kunne føre til strafferetlige sanktioner. Kapitel VII i APPI indeholder en række strafferetlige bestemmelser. Den vigtigste (artikel 84) vedrører en PIHBO's manglende overholdelse af påbud fra PPC, jf. artikel 42, stk. 2 og 3. Hvis en erhvervsdrivende undlader at efterkomme et påbud meddelt af PPC, vil formanden for PPC (og enhver anden embedsmand) (66) kunne videregive sagen til anklagemyndigheden eller politiet og på den måde bevirke, at der indledes en straffesag. Straffen for ikke at overholde et påbud fra PPC er fængsel med arbejde i op til seks måneder eller en bøde på op til 300 000 yen. Blandt de øvrige bestemmelser i APPI om sanktioner i tilfælde af overtrædelser til skade for registreredes rettigheder og interesser kan nævnes artikel 83 (om »hemmelig videregivelse eller anvendelse« af en database over personlige oplysninger »med det formål at opnå […] ulovlige fortjenester«) og artikel 88, nr. i) (vedrørende tredjemands undladelse af at underrette en PIHBO korrekt, når sidstnævnte modtager personoplysninger i overensstemmelse med artikel 26, stk. 1, i APPI, navnlig vedrørende oplysningerne om tredjemandens egen forudgående erhvervelse af sådanne oplysninger). De strafferetlige sanktioner for denne type overtrædelser af APPI er henholdsvis fængsel med arbejde i op til et år eller en bøde på op til 500 000 yen (artikel 83) og en administrativ bøde på op til 100 000 yen (artikel 88, nr. i)). Truslen om strafferetlige sanktioner vil sandsynligvis allerede have en betydelig afskrækkende virkning på den virksomhedsledelse, der står for styringen af PIHBO'ens behandlingsaktiviteter, og på de personer, der håndterer oplysningerne, men artikel 87 præciserer derudover, at når en repræsentant, en ansat eller en anden type medarbejder i en virksomhed har begået en overtrædelse i henhold til artikel 83-85 i APPI, da »straffes aktøren, og den pågældende virksomhed pålægges den i de respektive artikler fastsatte bøde«. I dette tilfælde er det både den ansatte og virksomheden, som kan pålægges sanktioner op til det fulde maksimumsbeløb.

(109)

Endelig kan enkeltpersoner få prøvet sager vedrørende PPC's handlinger eller undladelser. Japansk lovgivning giver i den forbindelse adskillige muligheder for administrative klager og domstolsprøvelse.

(110)

Hvis en person ikke er tilfreds med en handling foretaget af PPC, kan pågældende indgive en administrativ klage i henhold til loven om administrativ rekurs (67). I tilfælde hvor en person mener, at PPC burde have handlet, men undlod dette, kan pågældende omvendt i henhold til nævnte lovs artikel 36-3 anmode PPC om at træffe en disposition eller yde administrativ vejledning, hvis pågældende mener, at »en disposition eller administrativ vejledning, som er nødvendig for at afhjælpe overtrædelsen, ikke er blevet truffet eller givet«.

(111)

For så vidt angår retslig prøvelse kan en person, der ikke er tilfreds med en administrativ disposition truffet af PPC, i henhold til loven om forvaltningsretssager anlægge en påbudssag (mandamus) (68), hvori retten anmodes om at pålægge PPC at træffe yderligere foranstaltninger (69). I visse tilfælde kan retten også meddele et foreløbigt påbud for at forhindre uoprettelig skade (70). Endvidere kan den enkelte i henhold til samme lov anmode om tilbagekaldelse af en PPC-afgørelse (71).

(112)

Endelig kan en person også anlægge en sag om erstatning fra staten mod PPC i henhold til artikel 1, stk. 1, i lov om statsligt erstatningsansvar, dersom pågældende har lidt skade som følge af, at et påbud udstedt af PPC til en erhvervsdrivende var ulovligt, eller at PPC ikke har udøvet sine beføjelser.

(113)

Kommissionen har også vurderet begrænsningerne og garantierne, herunder tilsynet og de enkelte prøvelsesmekanismer i japansk ret, når japanske myndigheder i offentlighedens interesse indsamler og efterfølgende anvender personoplysninger, der er blevet overført til erhvervsdrivende i Japan, navnlig med henblik på retshåndhævelse på det strafferetlige område og national sikkerhed (»myndighedsadgang«). I den forbindelse har Kommissionen modtaget officielle redegørelser, forsikringer og tilsagn fra Japan undertegnet på højeste ministerielle og forvaltningsmæssige niveau, og disse findes i bilag II til denne afgørelse.

(114)

Som en udøvelse af offentlig myndighed skal myndighedsadgang i Japan finde sted i fuld overensstemmelse med loven (legalitetsprincippet). Den japanske forfatning indeholder i den forbindelse bestemmelser, der begrænser og sætter rammer for offentlige myndigheders indsamling af oplysninger. Som allerede nævnt i forbindelse med erhvervsdrivendes behandling af oplysninger har den japanske højesteret på grundlag af forfatningens artikel 13, som bl.a. beskytter retten til frihed, anerkendt retten til privatliv og databeskyttelse (72). Et vigtigt aspekt af denne ret er friheden til ikke at få sine personlige oplysninger videregivet til tredjemand uden tilladelse (73). Dette indebærer retten til effektiv beskyttelse af personoplysninger mod misbrug og (især) ulovlig adgang. Forfatningens artikel 35 sikrer yderligere beskyttelse for alle med hensyn til boligens, dokumenters og genstandes ukrænkelighed, således at de offentlige myndigheder skal indhente en retskendelse afsagt på et »tilstrækkeligt grundlag« (74) i alle tilfælde af »ransagninger og beslaglæggelser«. Højesteret præciserede i sin dom af 15. marts 2017 (i GPS-sagen), at dette krav om en retskendelse finder anvendelse, hver gang myndighederne forstyrrer (»trænger ind i«) privatsfæren på en måde, der går imod den pågældende persons vilje, således at der er tale om en efterforskning, som indebærer »tvangsindgreb«. Retten kan kun afsige en sådan kendelse på grundlag af konkret mistanke om en forbrydelse, dvs. når der forlægges konkrete beviser, på hvis grundlag den af person, der er genstand for efterforskningen, kan anses for at have begået en strafbar handling (75). Følgelig har de japanske myndigheder ikke hjemmel til at indsamle personoplysninger ved tvangsindgreb i situationer, hvor ingen overtrædelse af loven endnu har fundet sted (76), f.eks. for at forhindre en forbrydelse eller en sikkerhedstrussel (som det er tilfældet ved undersøgelser begrundet af nationale sikkerhedshensyn).

(115)

I henhold til legalitetsprincippet skal enhver indsamling af oplysninger, som udgør et tvangsindgreb i forbindelse med en efterforskning, have særlig lovhjemmel (hvilket f.eks. afspejles i artikel 197, stk. 1, i strafferetsplejelovbogen, som vedrører tvangsindgreb i forbindelse med indsamling af oplysninger i forbindelse med strafferetlig efterforskning). Dette krav gælder også for adgangen til elektroniske oplysninger.

(116)

Artikel 21, stk. 2, i forfatningen garanterer meddelelseshemmeligheden for alle kommunikationsmidler, og begrænsninger heraf tillades kun i offentlighedens interesse. Med Artikel 4 i loven om telekommunikation, hvorefter krænkelse af meddelelseshemmeligheden i forbindelse med teleselskabers forvaltning af meddelelser er forbudt, gennemføres dette krav om fortrolighed i den almindelige lovgivning. Dette er blevet fortolket som et forbud mod videregivelsen af meddelelsesoplysninger, undtagen når der foreligger brugersamtykke eller hjemmel dertil i en af de udtrykkelige undtagelser for strafferetligt ansvar i henhold til straffelovbogen (77).

(117)

Forfatningen garanterer også retten til domstolsprøvelse (artikel 32) og retten til at sagsøge staten med henblik på erstatning i tilfælde, hvor en person har lidt skade på grund af en ulovlig handling foretaget af en embedsmand (artikel 17).

(118)

Med hensyn til retten til databeskyttelse fastlægges der i kapitel III, afsnit 1, 2 og 3, i APPI generelle principper, som omfatter alle sektorer, herunder den offentlige sektor. Det bestemmes således ved artikel 3 i APPI, at alle personlige oplysninger skal håndteres i overensstemmelse med princippet om respekt for den enkeltes personlighed. Når personlige oplysninger er blevet indsamlet (»indhentet«) af offentlige myndigheder (78), herunder som en del af elektroniske fortegnelser, er deres behandling underlagt loven om beskyttelse af personlige oplysninger i administrative organer (»APPIHAO«) (79). Dette omfatter i princippet (80) også behandlingen af personoplysninger med henblik på retshåndhævelse på det strafferetlige område eller af hensyn til den nationale sikkerhed. I APPIHAO fastlægges det bl.a., at offentlige myndigheder: i) kun må opbevare personlige oplysninger i det omfang, det er nødvendigt for at udføre deres opgaver, ii) ikke må anvende sådanne oplysninger til et »urimeligt« formål eller videregive dem til tredjemand uden begrundelse, iii) skal angive formålet og ikke må ændre dette formål ud over, hvad der med rimelighed kan betragtes som relevant i forhold til det oprindelige formål (formålsbegrænsning), iv) i princippet ikke må anvende de opbevarede personlige oplysninger eller videregive dem til tredjemand med henblik på andre formål og, hvis de finder det nødvendigt, skal pålægge tredjemand restriktioner vedrørende anvendelsesformål eller -metode, v) skal bestræbe sig på at sikre oplysningernes rigtighed (datakvalitet), vi) skal træffe de nødvendige foranstaltninger med henblik på korrekt forvaltning af oplysningerne og for at forebygge lækage, tab eller skade (datasikkerhed) og vii) skal bestræbe sig på en reel og hurtig behandling af eventuelle klager over behandlingen af oplysningerne (81).

(119)

Japansk ret indeholder en række klare begrænsninger for adgangen til og brugen af personoplysninger med henblik på retshåndhævelse på det strafferetlige område samt tilsyns- og prøvelsesmekanismer, der giver tilstrækkelige garantier for, at disse oplysninger beskyttes effektivt mod risikoen for ulovlig adgang og risikoen for misbrug.

(120)

Inden for de i Japan gældende retlige rammer er indsamlingen af elektroniske oplysninger med henblik på retshåndhævelse på det strafferetlige område tilladt på grundlag af en retskendelse (indsamling ved tvangsindgreb) eller en anmodning om frivillig udlevering.

(121)

Som anført i betragtning 115 skal enhver indsamling af oplysninger, som udgør et tvangsindgreb i forbindelse med en efterforskning, have særlig lovhjemmel, og den må kun foretages på grundlag af en retskendelse »afsagt på et tilstrækkeligt grundlag« (forfatningens artikel 35). For så vidt angår efterforskning af strafbare handlinger afspejles dette krav i bestemmelserne i strafferetsplejelovbogen. I henhold til strafferetsplejelovbogens artikel 197, stk. 1, må tvangsindgreb »ikke anvendes, medmindre særlige bestemmelser herom er fastsat i denne lovbog«. For så vidt angår indsamlingen af elektronisk information er det eneste relevante (82) retsgrundlag i denne henseende strafferetsplejelovbogens artikel 218 (ransagning og beslaglæggelse) og strafferetsplejelovbogens artikel 222-2, hvorefter tvangsindgreb med henblik på at opfange elektronisk kommunikation uden samtykke fra nogen af parterne skal gennemføres på grundlag af anden lovgivning, dvs. loven om aflytning i forbindelse med strafferetlig efterforskning (»aflytningsloven«). I begge tilfælde kræves en retskendelse.

(122)

Nærmere bestemt kan anklagemyndigheden eller politiet, hvis det er nødvendigt for efterforskningen af et strafbart forhold, i henhold til strafferetsplejelovbogens artikel 218, stk. 1, foretage ransagning eller beslaglæggelse (herunder pålægge udlevering af fortegnelser) på grundlag af en forud herfor afsagt retskendelse (83). En sådan kendelse skal bl.a. indeholde en angivelse af navnet på den mistænkte eller sigtede, den mistanke om et strafbart forhold, der ligger til grund (84), de elektromagnetiske fortegnelser, som skal beslaglægges, og »stedet og genstandene«, som skal undersøges (strafferetsplejelovbogens artikel 219, stk. 1).

(123)

Hvad angår indgreb i meddelelseshemmeligheden i form af aflytning og lignende, tillader aflytningslovens artikel 3 kun foranstaltninger under meget strenge betingelser. De offentlige myndigheder skal på forhånd indhente en retskendelse, som kun må afsiges med henblik på efterforskning af alvorlige forbrydelser (anført i lovens bilag) (85), og når det er »ekstremt vanskeligt at identificere forbryderen eller få skabt klarhed med hensyn til forbrydelsens situationer/detaljer på anden måde« (86). I henhold til aflytningslovens artikel 5 afsiges kendelsen for en begrænset periode og dommeren kan pålægge yderligere betingelser. Aflytningsloven indeholder desuden yderligere garantier, f.eks. kravet om tilstedeværelse af vidner (artikel 12 og 20), forbuddet mod at aflytte visse privilegerede gruppers kommunikation (f.eks. læger og advokater) (artikel 15), forpligtelsen til at indstille aflytningen, hvis der ikke længere er grundlag for den, også inden for kendelsens gyldighedsperiode (artikel 18), eller det generelle krav om, at den berørte person skal underrettes og have adgang til fortegnelserne inden for tredive dage efter at aflytningen er blevet indstillet (artikel 23 og 24).

(124)

For alle tvangsindgreb på grundlag af en retskendelse må der kun foretages en undersøgelse »for så vidt som det er nødvendigt for at opnå dennes formål« – dvs. at målene med efterforskningen ikke kan nås på anden måde – jf. strafferetsplejelovbogens artikel 197, stk. 1. Selv om kriterierne for at afgøre, hvorvidt dette er nødvendigt, ikke er præciseret yderligere i den almindelige lovgivning, har den japanske højesteret ved dom fastslået, at den ret, som afsiger en kendelse, skal foretage en overordnet vurdering under hensyntagen til navnlig i) alvoren af lovovertrædelsen, og hvordan den blev begået, ii) værdien og betydningen af de materialer, som skal beslaglægges som bevismateriale, iii) sandsynligheden (risikoen) for, at dokumentationen kan blive skjult eller ødelagt, og iv) i hvilket omfang beslaglæggelse kan skade den pågældende person (87).

(125)

Inden for rammerne af deres beføjelser kan de offentlige myndigheder også indsamle elektroniske oplysninger baseret på anmodninger om frivillig udlevering. Dette vedrører en ikke-lovpligtig form for samarbejde, hvor efterkommelse af anmodningen ikke kan håndhæves (88), hvilket betyder, at de offentlige myndigheder ikke skal indhente en retskendelse i den forbindelse.

(126)

I det omfang en sådan anmodning er rettet til en erhvervsdrivende og vedrører personlige oplysninger, skal den erhvervsdrivende overholde kravene i APPI. I henhold til artikel 23, stk. 1, i APPI må erhvervsdrivende kun i visse tilfælde videregive personlige oplysninger til tredjemand uden den berørte persons samtykke, herunder når videregivelsen er foretaget »på grundlag af love og forskrifter« (89). For så vidt angår retshåndhævelsen på det strafferetlige område er retsgrundlaget for en sådan forespørgsel strafferetsplejelovbogens artikel 197, stk. 2, hvorefter »private organisationer kan anmodes om at rapportere om omstændigheder, hvis oplysning er nødvendig i forbindelse med efterforskningen«. Eftersom et sådant »undersøgelsesskema« kun må anvendes i forbindelse med en strafferetlig efterforskning, forudsætter det en konkret mistanke om en allerede begået forbrydelse (90). Da en sådan efterforskning desuden normalt foretages af præfekturpolitiet, finder de i politilovens artikel 2, stk. 2 (91), fastlagte begrænsninger anvendelse. Ifølge denne bestemmelse er politiets aktiviteter »udelukkende begrænset« til at udføre dets opgaver og pligter (dvs. forebyggelse, forhindring og efterforskning af forbrydelser). I udførelsen af sine opgaver skal politiet desuden handle på en upartisk, fordomsfri og retfærdig måde, og det må aldrig misbruge sine beføjelser »på en sådan måde, at det griber ind i en persons forfatningssikrede rettigheder og friheder« (der som anført omfatter retten til privatlivets fred og databeskyttelse) (92).

(127)

Særligt med hensyn til strafferetsplejelovbogens artikel 197, stk. 2, har det nationale politiagentur – der er den føderale myndighed med ansvar for bl.a. alle spørgsmål vedrørende kriminalpolitiet – udstedt instrukser til præfekturpolitiet (93) om den »korrekte anvendelse af skriftlige undersøgelser i efterforskningsøjemed«. Ifølge denne meddelelse skal anmodninger foretages ved hjælp af en på forhånd fastlagt formular (»formular nr. 49«, eller det såkaldte »undersøgelsesskema«) (94) og omhandle fortegnelser »vedrørende en specifik efterforskning«, og de oplysninger, som efterspørges, skal være »nødvendige for [den] efterforskning«. I hver enkelt tilfælde skal chefen for efterforskningen »fuldt ud undersøge nødvendigheden, indholdet osv. af enkeltundersøgelse(n)« og indhente en intern godkendelse fra en højtstående embedsmand.

(128)

Den japanske højesteret har desuden i to domme fra 1969 og 2008 (95) fastlagt begrænsninger i forbindelse med foranstaltninger, som ikke er tvangsindgreb, men som griber ind i retten til privatlivets fred (96). Højesteret fandt navnlig, at sådanne foranstaltninger skal være »rimelige« og holde sig inden for »generelt tilladelige grænser«, dvs. at de skal være nødvendige med henblik på efterforskningen af en mistænkt (tilvejebringelse af bevismateriale) og udføres ved hjælp af »passende metoder med henblik på at nå efterforskningens mål« (97). Dommene viser, at dette omfatter en proportionalitetstest, hvor der tages hensyn til alle sagens omstændigheder (f.eks. omfanget af indgrebet i retten til privatlivets fred, herunder forventningen om privatlivsbeskyttelse, forbrydelsens grovhed, sandsynligheden for at kunne fremskaffe relevant bevismateriale, mulige alternative efterforskningsmidler osv.) (98).

(129)

Ud over disse begrænsninger for udøvelsen af offentlig myndighed forventes det også af de erhvervsdrivende, at de kontrollerer (»bekræfter«) nødvendigheden af og »rationaliteten« i videregivelsen til en tredjemand (99). Dette omfatter spørgsmålet om, hvorvidt de i henhold til lov er forhindret i at samarbejde. Sådanne modstridende retlige forpligtelser kan især være en følge af fortrolighedsforpligtelser som i f.eks. straffelovbogens artikel 134 (vedrørende forholdet mellem en læge, advokat, præst osv. og dennes klient). Derudover gælder, at »enhver person, der er aktiv inden for telekommunikation, så længe denne bestrider et sådant hverv, skal bevare andres hemmeligheder, hvortil der er opnået kendskab gennem teleselskabets håndtering af meddelelser« (teleselskabslovens artikel 4, stk. 2). Denne forpligtelse understøttes af den sanktion, der følger af teleselskabslovens artikel 179, hvorefter enhver person, der har overtrådt meddelelseshemmeligheden for meddelelser, der håndteres af et teleselskab, har begået en strafbar handling, som straffes med fængsel med arbejde i op til to år eller en bøde på op til 1 mio. yen (100). Selv om dette krav ikke er absolut og navnlig giver mulighed for krænkelser af meddelelseshemmeligheden, hvis der er tale om »berettigede handlinger«, jf. straffelovbogens artikel 35, finder sådanne undtagelser ikke anvendelse for svar på uforpligtende anmodninger fra offentlige myndigheder om videregivelse af elektroniske oplysninger, jf. strafferetsplejelovbogens artikel 197, stk. 2 (101).

(130)

Når personlige oplysninger er blevet indsamlet af japanske myndigheder, vil de være omfattet af APPIHAO. Denne lov regulerer håndteringen (behandlingen) af »opbevarede personlige oplysninger«, og fastlægger således en række begrænsninger og garantier (jf. betragtning 118) (102). Det forhold, at et administrativt organ kun må opbevare personlige oplysninger, »når opbevaringen er nødvendig for at varetage de opgaver, som hører under dets kompetence i henhold til love og forskrifter« (artikel 3, stk. 1, i APPIHAO), medfører desuden begrænsninger – i hvert fald indirekte – for den første indsamling.

(131)

I Japan hører indsamlingen af elektroniske oplysninger på det strafferetlige område først og fremmest (103) under præfekturpolitiets ansvarsområde (104), og det er i den forbindelse underlagt forskellige former for tilsyn.

(132)

Politiet skal for det første altid indhente en forudgående retskendelse (jf. betragtning 121), når elektronisk kommunikation indsamles ved tvangsindgreb (ransagning og beslaglæggelse). Derfor vil indsamlingen i sådanne tilfælde blive genstand for en forudgående retslig kontrol på grundlag af streng betingelse om et »tilstrækkeligt grundlag«.

(133)

Selv om der ikke foretages nogen forudgående retslig kontrol i tilfælde af anmodninger om frivillig udlevering, kan erhvervsdrivende, der modtager sådanne anmodninger, undlade at imødekomme dem uden risiko for negative konsekvenser (og de vil skulle tage hensyn til enhver udleverings konsekvenser for privatlivets fred). I henhold til strafferetsplejelovbogens artikel 192, stk. 1, skal politiet altid samarbejde og koordinere dets aktiviteter med anklagemyndigheden (og præfekturkommissionen for den offentlige sikkerhed) (105). Anklagemyndigheden kan således give de nødvendige generelle instrukser med fastlæggelse af standarder for en fair efterforskning og/eller give specifikke anvisninger i en konkret efterforskning (strafferetsplejelovbogens artikel 193). Hvis de pågældende instrukser og/eller anvisninger ikke følges, kan anklagemyndigheden anlægge en disciplinærsag (strafferetsplejelovbogens artikel 194). Præfekturpolitiet arbejder således under anklagemyndighedens tilsyn.

(134)

For det andet kan hvert af det japanske parlaments kamre i henhold til forfatningens artikel 62 foretage undersøgelser i relation til myndighederne, hvilket omfatter lovligheden af politiets indsamling af oplysninger. Med henblik herpå kan de forlange indkaldelse og afhøring af vidner og/eller fremlæggelse af fortegnelser. Disse undersøgelsesbeføjelser beskrives nærmere i parlamentsloven, særlig kapitel XII. Navnlig fastlægges det i parlamentslovens artikel 104, at kabinettet, offentlige myndigheder og den øvrige forvaltning »skal imødekomme anmodninger fremsat af et af kamrene eller dets udvalg med hensyn til fremlæggelse af de rapporter og fortegnelser, som er nødvendige i undersøgelsesøjemed«. Afslag på en sådan anmodning tillades kun, hvis disse myndigheder angiver en gyldig grund, som parlamentet finder acceptabel, eller ved udstedelse af en formel erklæring om, at fremlæggelse af rapporterne eller fortegnelserne vil være »til alvorlig skade for nationale interesser« (106). Derudover kan parlamentsmedlemmer stille skriftlige spørgsmål til kabinettet (parlamentslovens artikel 74 og 75), og der har tidligere været eksempler på, at sådanne »skriftlige forespørgsler« også har omhandlet administrationens håndtering af personlige oplysninger (107). Parlamentets rolle i tilsynet med den udøvende magt understøttes af rapporteringsforpligtelser, f.eks. i henhold til aflytningslovens artikel 29.

(135)

For så vidt angår den udøvende magt er der for det tredje også et uafhængigt tilsyn med præfekturpolitiet. Dette omfatter navnlig præfekturkommissionerne for den offentlige sikkerhed, der er oprettet på præfekturniveau for at sikre politiets demokratiske forvaltning og politiske neutralitet (108). Disse kommissioner sammensættes af medlemmer udpeget af præfekturguvenøren med præfekturforsamlingens samtykke (forsamlingen vælges blandt borgere, som ikke har været embedsmænd i politiet de fem foregående år) og har en sikker mandatperiode (navnlig skal afskedigelse være velbegrundet) (109). Ifølge de oplysninger, der er modtaget, er de ikke underlagt instrukser og kan dermed anses for at være fuldstændig uafhængige (110). For så vidt angår præfekturkommissionerne for den offentlige sikkerheds opgaver og beføjelser har de i henhold til politilovens artikel 38, stk. 3, sammenholdt med dennes artikel 2 og artikel 36, stk. 2, ansvaret for at sørge for »beskyttelsen af den enkeltes rettigheder og frihed«. De har derfor beføjelse til at »føre tilsyn med« (111) alle præfekturpolitiets efterforskningsmæssige aktiviteter, herunder indsamlingen af personoplysninger. Kommissionerne kan navnlig »give instrukser til præfekturpolitiet i detaljeret form eller i en konkret sag om undersøgelse af politimedarbejderes tjenestelige forseelser, såfremt det er nødvendigt« (112). Når chefen for præfekturpolitiet (113) modtager en sådan instruks, eller selv bliver opmærksom på et muligt tilfælde af ureglementeret adfærd (herunder lovovertrædelser eller andre forsømmelser af pligter) fra personalets side, skal pågældende straks undersøge sagen og sende resultaterne af undersøgelserne til præfekturkommissionen for den offentlige sikkerhed (politilovens artikel 56, stk. 3). Hvis præfekturkommissionen finder det nødvendigt, kan den også udpege et af sine medlemmer til at vurdere status med hensyn til gennemførelsen. Processen fortsætter, indtil præfekturkommissionen for den offentlige sikkerhed anser hændelsen for at være håndteret tilfredsstillende.

(136)

Med hensyn til den korrekte anvendelse af APPIHAO har den kompetente minister eller myndighedschef (f.eks. generalkommissæren for det nationale politiagentur) desuden håndhævelsesbeføjelser, dog under tilsyn af ministeriet for interne anliggender og kommunikation. Ifølge til artikel 49 i APPIHAO kan ministeriet »indsamle rapporter om status for håndhævelsen af denne lov« fra lederne af forvaltningsmæssige organer (ministre). Ministeriets 51 informationscentre (der er et i hvert præfektur i hele Japan) bidrager med input til denne tilsynsfunktion; centrene behandler hvert år tusindvis af forespørgsler fra enkeltpersoner (114) (der potentielt vil kunne føre til afdækning af lovovertrædelser). Såfremt ministeriet finder det nødvendigt for at sikre overholdelse af loven, kan det anmode om redegørelser og materialer og afgive udtalelser vedrørende det berørte administrative organs håndtering af personlige oplysninger (artikel 50 og 51 i APPIHAO).

(137)

Foruden det tilsyn, der foretages ex officio, har enkeltpersoner også flere individuelle klage- eller prøvelsesmuligheder, både over for uafhængige myndigheder (såsom præfekturkommissionen for den offentlige sikkerhed eller PPC) og ved de japanske domstole.

(138)

For så vidt angår personlige oplysninger indsamlet af administrative organer gælder for det første, at disse organer er forpligtede til at »bestræbe sig på hurtigt at behandle alle klager« vedrørende deres efterfølgende behandling af oplysningerne (artikel 48 i APPIHAO). Kapitel IV i APPIHAO om individuelle rettigheder finder ikke anvendelse for så vidt angår personlige oplysninger registreret i »dokumenter vedrørende retssager og beslaglagte genstande« (strafferetsplejelovbogens artikel 53-2, stk. 2) – hvilket omfatter personlige oplysninger indsamlet som en del af strafferetlige efterforskninger – men enkeltpersoner kan påberåbe sig generelle databeskyttelsesprincipper som f.eks. forpligtelsen til kun at opbevare personlige oplysninger, »når opbevaringen er nødvendig for at varetage [retshåndhævelsesfunktioner]« (artikel 3, stk. 1, APPIHAO).

(139)

Politilovens artikel 79 garanterer desuden enkeltpersoner, som er utilfredse med politipersonales »varetagelse af pligter«, retten til at indgive en klage hos den (kompetente) uafhængige præfekturkommission for den offentlige sikkerhed. Kommissionen behandler »loyalt« sådanne klager i overensstemmelse med lovgivningen og lokale anordninger, og den skal skriftligt meddele klageren resultatet. Kommissionen kan på grundlag af sin beføjelse til at føre tilsyn og give »instrukser« med hensyn til »tjenestelige forseelser« (politilovens artikel 38, stk. 3, og artikel 43-2, stk. 1) anmode præfekturpolitiet om at foretage en undersøgelse, træffe passende foranstaltninger på grundlag af resultaterne af denne undersøgelse og give meddelelse om resultaterne. Hvis kommissionen mener, at politiets undersøgelse har været utilstrækkelig, kan den også give instrukser om håndteringen af klagen.

(140)

Med henblik på at lette klagebehandlingen har det nationale politiagentur udstedt et cirkulære til politiet og præfekturkommissionerne for den offentlige sikkerhed om korrekt håndtering af klager vedrørende politiembedsmænds varetagelse af deres pligter. I dette dokument fastlægger det nationale politiagentur standarder for fortolkningen og gennemførelsen af politilovens artikel 79. Deri kræves bl.a., at præfekturpolitiet opretter et »system til behandling af klager«, og at klagebehandlingen og rapporteringen om alle klager til præfekturkommissionen for den offentlige sikkerhed foretages »straks«. I cirkulæret defineres klager som krav om korrektion »med hensyn til enhver specifik ulempe, der er blevet påført som følge af en ulovlig eller uhensigtsmæssig adfærd« (115) eller »en politiembedsmands undladelse af at træffe de nødvendige foranstaltninger ved udøvelsen af sine pligter« (116) samt enhver »klage over en politiembedsmands utilstrækkelige udøvelse af sine pligter«. Det materielle anvendelsesområde for en klage er således bredt defineret, idet det omfatter alle klager om ulovlig indsamling af oplysninger, og klageren skal ikke kunne påvise nogen skade som følge af en politiembedsmands handlinger. Cirkulæret foreskriver navnlig, at udlændinge (blandt andre) skal have bistand ved udarbejdelsen af en klage. Ved klager skal præfekturkommissionerne for den offentlige sikkerhed sikre, at præfekturpolitiet foretager undersøgelser, iværksætter foranstaltninger »i overensstemmelse med resultaterne af undersøgelsen« og rapporterer om resultaterne. Hvis kommissionen anser undersøgelsen for at være utilstrækkelig, skal den give instrukser om håndteringen af klagen, som præfekturpolitiet pålægges at følge. På baggrund af de rapporter, der er modtaget, og de foranstaltninger, der er truffet, meddeler kommissionen bl.a. den berørte person de foranstaltninger, som er truffet med hensyn til klagen. I det nationale politiagenturs cirkulære understreges det, at klager skal behandles »på en reel måde«, og at resultatet af behandlingen skal meddeles »inden for den tid […] som må anses for passende i lyset af sociale normer og almindelig fornuft«.

(141)

Eftersom klager og søgsmål for det andet vil skulle behandles i et fremmed system og på et fremmed sprog, har den japanske regering med henblik på at lette adgangen hertil for EU-borgere, hvis personoplysninger overføres til erhvervsdrivende i Japan, og som offentlige myndigheder derefter får adgang til, anvendt sine beføjelser til at oprette en særlig mekanisme, der administreres og overvåges af PPC, med henblik på håndtering af og løsninger i klager på dette område. Denne mekanisme bygger på den samarbejdsforpligtelse, som japanske myndigheder pålægges i henhold til APPI, og PPC's særlige rolle med hensyn til internationale dataoverførsler fra tredjelande i medfør af artikel 6 i APPI og den grundlæggende politik (som ved kabinetsbekendtgørelse er fastlagt af den japanske regering). Nærmere oplysninger om denne mekanisme findes i de officielle redegørelser, forsikringer og tilsagn fra den japanske regering, som er knyttet til denne afgørelse som bilag II. Mekanismen er ikke underlagt nogen stående krav og er åben for enhver, uafhængigt af om pågældende er mistænkt eller tiltalt for en strafbar handling.

(142)

Med denne mekanisme kan en person, som har mistanke om, at pågældendes oplysninger, der er blevet overført fra EU, i strid med gældende regler er blevet indsamlet eller anvendt af offentlige myndigheder i Japan (herunder de myndigheder, som har ansvaret for retshåndhævelsen på det strafferetlige område), indgive en klage til PPC (som enkeltperson eller via pågældendes databeskyttelsesmyndighed, jf. artikel 51 i databeskyttelsesforordningen). PPC vil være forpligtet til at behandle klagen og skal som et første skridt underrette de ansvarlige myndigheder, herunder de relevante tilsynsmyndigheder. Disse myndigheder har pligt til at samarbejde med PPC »herunder ved at fremsende de nødvendige oplysninger og relevant materiale, således at PPC kan vurdere, om indsamlingen eller den efterfølgende anvendelse af personlige oplysninger har fundet sted i overensstemmelse med gældende regler« (117). Denne forpligtelse, som er afledt af artikel 80 i APPI (hvorefter Japans offentlige myndigheder skal samarbejde med PPC), finder generel anvendelse og omfatter dermed undersøgelser af alle former for efterforskningsforanstaltninger truffet af sådanne myndigheder, der samtidig har forpligtet sig til et sådant samarbejde gennem skriftlige tilsagn fra de kompetente ministerier og myndighedschefer som afspejlet i bilag II.

(143)

Hvis undersøgelsen viser, at en overtrædelse af gældende regler har fundet sted, »omfatter de berørte offentlige myndigheders samarbejde med PPC en forpligtelse til at afhjælpe overtrædelsen«, hvilket i tilfælde af ulovlig indsamling af personlige oplysninger indebærer sletning af sådanne oplysninger. Væsentligt er i den forbindelse, at denne forpligtelse gennemføres under tilsyn foretaget af PPC, som »inden afslutningen af vurderingen [vil] bekræfte, at overtrædelsen er afhjulpet fuldt ud«.

(144)

Når undersøgelsen er gennemført, skal PPC inden for en rimelig frist meddele den berørte person dennes resultat, herunder eventuelle korrigerende foranstaltninger, såfremt dette er relevant. Samtidig skal PPC også oplyse den berørte person om mulighederne for at anmode om bekræftelse af resultatet hos den kompetente offentlige myndighed, og om hvilken myndighed sådan en anmodning om bekræftelse skal rettes til. Muligheden for at modtage en sådan bekræftelse, herunder begrundelsen for den kompetente myndigheds afgørelse, kan hjælpe den enkelte med henblik på at tage yderligere skridt, herunder i forbindelse med et søgsmål. Nærmere oplysninger om evalueringens resultat kan være omfattet af begrænsninger, så længe der er en rimelig formodning for, at en sådan underretning vil udgøre en risiko for den igangværende efterforskning.

(145)

For det tredje kan en person, som er uenig i rettens afgørelse om beslaglæggelse (ved kendelse) (118) af pågældendes oplysninger eller i de foranstaltninger, som politiet eller anklagemyndigheden har truffet ved fuldbyrdelsen af en sådan afgørelse, indgive anmodning om, at sådanne foranstaltninger annulleres eller ændres (strafferetsplejelovbogens artikel 429, stk. 1, og artikel 430, stk. 1 og 2, og aflytningningslovens artikel 26) (119). Hvis appelretten finder, at enten selve kendelsen eller fuldbyrdelsen deraf (»beslaglæggelsesproceduren«) er ulovlig, gives den anmodende part medhold, og der gives pålæg om tilbagelevering af de beslaglagte genstande (120).

(146)

Såfremt en person anser indsamlingen af sine personlige oplysninger i forbindelse med en strafferetlig efterforskning for ulovlig, kan denne for det fjerde, som en mere indirekte form for retslig kontrol, gøre dette gældende i forbindelse med retssagen. Hvis retten er enig, vil beviserne ikke blive tilladt i sagen.

(147)

Endelig kan en ret i henhold til artikel 1, stk. 1, i lov om statens erstatningsansvar tilkende erstatning, hvis en offentlig embedsmand under udøvelsen af statslig myndighed i forbindelse med sit hverv ulovligt og culpøst (forsætligt eller uagtsomt) har forvoldt den berørte person skade. I henhold til artikel 4 i lov om statens erstatningsansvar finder den borgerlige lovbogs bestemmelser anvendelse i sager om statens erstatningsansvar. I den forbindelse foreskrives det ved den borgerlige lovbogs artikel 710, at erstatningsansvaret ikke er begrænset til skader på ejendom, således at der også kan være tale om moralsk skade (f.eks. i form af »psykisk overlast«). Herunder falder også tilfælde, hvor en krænkelse af privatlivets fred har fundet sted ved ulovlig overvågning og/eller indsamling af personlige oplysninger (f.eks. ulovlig fuldbyrdelse af en kendelse) (121).

(148)

Ud over økonomisk erstatning kan fysiske personer under visse betingelser også få nedlagt forbud eller påbud (f.eks. i form af sletning af personoplysninger indsamlet af offentlige myndigheder) på grundlag af deres ret til privatlivets fred i henhold til forfatningens artikel 13 (122).

(149)

For så vidt angår alle disse klage- og prøvelsesmuligheder fastlægges det ved den tvistbilæggelsesordning, som de japanske myndigheder har indført, at fysiske personer, der er utilfredse med resultatet af proceduren, kan henvende sig til PPC, »som skal oplyse pågældende om de forskellige muligheder og nærmere procedurer for klage- og søgsmål i henhold til japanske love og forskrifter«. Derudover vil PPC »støtte den enkelte, herunder gennem vejledning og bistand i forbindelse med eventuel opfølgning på sagen over for det relevante administrative eller retslige organ«.

(150)

Dette indebærer anvendelse af de processuelle rettigheder i henhold til strafferetsplejelovbogen. F.eks. gælder, at »[h]vis vurderingen viser, at en person er mistænkt i en straffesag, oplyser PPC pågældende herom« (123), samt muligheden for i henhold til strafferetsplejelovbogens artikel 259 at anmode anklagemyndigheden om at blive underrettet, når myndigheden har besluttet ikke at indlede en straffesag. Viser det sig derudover i forbindelse med vurderingen, at en sag, som omfatter pågældendes personlige oplysninger, er blevet indledt, og at sagen siden er afsluttet, da meddeler PPC denne, at der kan gives indsigt i sagsakterne i henhold til strafferetsplejelovbogens artikel 53 (og artikel 4 i loven om endelige sagsakter i straffesager). For den berørte person er det vigtigt at få adgang til sagsakterne med henblik på bedre at kunne forstå den efterforskning, som pågældende har været genstand for, og således bedre kunne forberede et eventuelt søgsmål (f.eks. en erstatningssag), hvis pågældende anser indsamlingen eller anvendelsen af sine oplysninger for ulovlig.

(151)

Ifølge de japanske myndigheder er der i Japan ingen lovgivning, som giver mulighed for at indhente oplysninger ved tvangsindgreb eller »administrativ aflytning«, når der ikke er tale om en strafferetlig efterforskning. Hvor det drejer sig om national sikkerhed, kan oplysninger således kun indhentes fra en informationskilde, som alle har fri adgang til, eller ved frivillig udlevering. Erhvervsdrivende, som modtager en anmodning om frivilligt samarbejde (i form af videregivelse af elektroniske oplysninger), er ikke retligt forpligtet til at videregive disse oplysninger (124).

(152)

Ifølge de modtagne oplysninger er det derudover kun fire statslige organer, som har beføjelse til at indsamle elektroniske oplysninger hos japanske erhvervsdrivende på grundlag af nationale sikkerhedshensyn, nemlig: i) kabinettets efterretnings- og undersøgelseskontor, ii) forsvarsministeriet, iii) politiet (både det nationale politiagentur (125) og præfekturpolitiet) og iv) efterretningsagenturet for offentlig sikkerhed. Kabinettets efterretnings- og undersøgelseskontor indsamler imidlertid aldrig oplysninger direkte fra erhvervsdrivende, heller ikke ved aflytning eller lignende af meddelelser. Hvis agenturet modtager oplysninger fra andre offentlige myndigheder med henblik på analyser til kabinettet, skal disse andre myndigheder i den forbindelse overholde loven, herunder de begrænsninger og garantier, der er analyseret i denne afgørelse. Dets aktiviteter er derfor ikke relevante i en overførselssammenhæng.

(153)

Ifølge de modtagne oplysninger indsamler forsvarsministeriet (elektroniske) oplysninger på grundlag af loven om oprettelse af forsvarsministeriet. I henhold til lovens artikel 3 er forsvarsministeriets mission at stå for administration og ledelse af de militære styrker og at »varetage de dermed forbundne anliggender med henblik på at sikre national fred og uafhængighed og nationens sikkerhed«. Det fastsættes ved artikel 4, stk. 4, at forsvarsministeriet har ansvaret for »forsvar og beskyttelse«, for foranstaltninger truffet af det japanske forsvar og for udsendelse af de militære styrker, herunder den indsamling af oplysninger, som er nødvendige for at varetage disse anliggender. Ministeriet har kun beføjelse til at indsamle (elektroniske) oplysninger fra erhvervsdrivende gennem frivilligt samarbejde.

(154)

Præfekturpolitiets opgaver og pligter omfatter »opretholdelse af offentlig sikkerhed og orden« (politilovens artikel 35, stk. 2, sammenholdt med artikel 2, stk. 1). Inden for dette kompetenceområde kan politiet indsamle oplysninger, men kun på frivillig basis (sanktionsfrit). Desuden skal politiets virksomhed være »strengt begrænset« til, hvad der er nødvendigt for at udføre dets opgaver. Derudover skal det handle på en »upartisk, fordomsfri og retfærdig« måde, og det må aldrig misbruge sine beføjelser »på en sådan måde, at det griber ind i en persons forfatningssikrede rettigheder og friheder« (politilovens artikel 2).

(155)

Endelig kan efterretningsagenturet for offentlig sikkerhed foretage undersøgelser i henhold til loven om forhindring af undergravende aktiviteter (»SAPA«) og loven om kontrol med organisationer, som har begået vilkårlige massemord (»ACO«), såfremt sådanne undersøgelser er nødvendige for at forberede iværksættelsen af kontrolforanstaltninger mod visse organisationer (126). I henhold til begge love kan kommissionen for undersøgelser vedrørende offentlig sikkerhed efter anmodning fra generaldirektøren for efterretningsagenturet for offentlig sikkerhed iværksætte visse »dispositioner« (overvågning/forbud efter ACO (127) og opløsning/forbud efter SAPA (128)), og i den forbindelse kan efterretningsagenturet foretage undersøgelser (129). Ifølge de modtagne oplysninger foretages disse undersøgelser altid på frivillig basis, hvilket vil sige, at efterretningsagenturet for offentlig sikkerhed ikke kan tvinge en indehaver af personlige oplysninger til at videregive sådanne oplysninger (130). I hvert tilfælde skal kontroller og undersøgelser kun foretages i det mindst mulige omfang for at opnå kontrollens formål, og de må under ingen omstændigheder gennemføres med henblik på »urimelig« begrænsning af de forfatningssikrede rettigheder og friheder (artikel 3, stk. 1, i SAPA/ACO). Derudover må efterretningsagenturet for offentlig sikkerhed i henhold artikel 3, stk. 2, i SAPA/ACO under ingen omstændigheder misbruge disse kontroller eller de undersøgelser, der foretages for at forberede sådanne kontroller. Hvis en af agenturets embedsmænd har misbrugt sin myndighed i henhold til den relevante lov ved at tvinge en person til at foretage sig noget, som denne ikke er forpligtet til at gøre, eller ved at gribe forstyrrende ind i udøvelsen af en persons rettigheder, kan pågældende idømmes strafferetlige sanktioner i henhold til artikel 45 i SAPA eller artikel 42 i ACO. Endelig foreskrives det ved begge retsakter udtrykkeligt, at bestemmelserne deri, herunder de derved tillagte beføjelser, »under ingen omstændigheder må gøres til genstand for en udvidende fortolkning« (artikel 2 i SAPA/ACO).

(156)

I alle tilfælde af offentlig adgang af hensyn til den nationale sikkerhed, der er beskrevet i dette afsnit, finder de af den japanske højesteret fastlagte begrænsninger for frivillige undersøgelser anvendelse, hvilket betyder, at indsamlingen af (elektroniske) oplysninger skal være i overensstemmelse med principperne om nødvendighed og proportionalitet (»egnet metode«) (131). Som de japanske myndigheder udtrykkeligt har bekræftet, finder »indsamling og behandling af oplysninger kun sted i det omfang, det er nødvendigt for, at den kompetente offentlige myndighed kan udføre specifikke opgaver, samt på grundlag af specifikke trusler«. Derfor »udelukker dette massiv og vilkårlig indsamling af eller adgang til personlige oplysninger af hensyn til den nationale sikkerhed (132)«.

(157)

Når de er indsamlet, vil personlige oplysninger, som opbevares af offentlige myndigheder med henblik på nationale sikkerhedsformål, desuden være omfattet og nyde godt af beskyttelsen i henhold til APPIHAO for så vidt angår efterfølgende opbevaring, anvendelse og videregivelse (jf. betragtning 118).

(158)

Indsamlingen af personlige oplysninger til nationale sikkerhedsformål er omfattet af flere lag af tilsyn fra statsmagtens tre dele.

(159)

For det første kan det japanske parlament via sine særlige udvalg undersøge lovligheden af undersøgelser på grundlag af sine beføjelser til at foretage parlamentarisk kontrol (forfatningens artikel 62, parlamentslovens artikel 104; jf. betragtning 134). Denne tilsynsfunktion understøttes ved specifikke rapporteringsforpligtelser for de aktiviteter, der udføres i henhold til nogle af ovennævnte retsgrundlag (133).

(160)

For det andet findes der en række tilsynsmekanismer inden for den udøvende magt.

(161)

For forsvarsministeriets vedkommende udøves tilsynet af generalinspektørkontoret for overholdelse af lovkrav (134), som på grundlag af artikel 29 i loven om oprettelse af forsvarsministeriet er blevet oprettet som et kontor inden for ministeriet under forsvarsministerens tilsyn (som det rapporterer til), men som er uafhængigt af ministeriets operationelle afdelinger. Generalinspektørkontoret har til opgave at sikre overholdelsen af love og forskrifter samt at sikre forsvarsministeriets embedsmænds korrekte udførelse af deres pligter. Kontoret har bl.a. beføjelse til at foretage såkaldte »forsvarsinspektioner«, både med regelmæssige mellemrum (»regelmæssige forsvarsinspektioner«) og i særlige tilfælde (»særlige forsvarsinspektioner«), og disse har hidtil også omfattet den korrekte behandling af personlige oplysninger (135). I forbindelse med inspektionerne kan generalinspektørkontoret gå ind på steder (kontorer) og anmode om udlevering af dokumenter eller oplysninger, herunder om forklaringer fra den stedfortrædende viceforsvarsminister. Inspektionen færdiggøres med en rapport til forsvarsministeren, hvori resultater og forbedringstiltag forelægges (deres gennemførelse kan efterfølgende igen kontrolleres gennem yderligere inspektioner). Rapporten udgør endvidere grundlaget for forsvarsministerens instrukser om gennemførelse af de foranstaltninger, der er nødvendige for at håndtere situationen; den stedfortrædende viceminister får til opgave at gennemføre disse foranstaltninger og skal rapportere om opfølgningen.

(162)

For så vidt angår præfekturpolitiet sikres tilsynet af de uafhængige præfekturkommissioner for den offentlige sikkerhed, som beskrevet i betragtning 135 vedrørende retshåndhævelsen på det strafferetlige område.

(163)

Endelig kan efterretningsagenturet for offentlig sikkerhed som angivet kun foretage undersøgelser i det omfang, det er nødvendigt i forbindelse med dispositioner i form af forbud, opløsning eller overvågning foretaget i henhold til SAPA/ACO, og den uafhængige (136) kommission for undersøgelser vedrørende offentlig sikkerhed har ansvaret for det forudgående tilsyn med disse dispositioner. Derudover foretages regelmæssige/periodiske inspektioner (som på en helhedsorienteret måde ser på efterretningsagenturet for offentlig sikkerheds aktiviteter) (137) og særlige interne inspektioner (138) vedrørende enkelte afdelinger/kontorer osv. af særligt udvalgte inspektører, og de kan føre til, at der udstedes instrukser til cheferne for de relevante afdelinger om at træffe foranstaltninger med henblik på korrektion eller forbedring.

(164)

Disse tilsynsmekanismer, som styrkes yderligere via den mulighed, som enkeltpersoner har for at få PPC til at gribe ind som uafhængig tilsynsmyndighed (jf. betragtning 168 nedenfor), giver tilstrækkelige garantier mod risikoen for, at de japanske myndigheders misbruger af deres beføjelser på området national sikkerhed, og mod enhver form for ulovlig indsamling af elektroniske oplysninger.

(165)

For så vidt angår enkeltpersoners klage- og prøvelsesadgang med hensyn til personlige oplysninger, der er blevet indsamlet og således opbevares af administrative organer, er disse organer forpligtet til »bestræbe sig på hurtigt at behandle alle klager« vedrørende sådan behandling (artikel 48 i APPIHAO).

(166)

I modsætning til strafferetlige efterforskninger har enkeltpersoner (heriblandt udenlandske statsborgere med udenlandsk bopæl) derudover i princippet ret til indsigt (139), berigtigelse (herunder sletning) og suspension af anvendelsen/videregivelsen i henhold til APPIHAO. Uanset dette kan chefen for det administrative organ afslå at give indsigt med hensyn til oplysninger, »for hvilke der er rimelig grund […] til at antage, at denne indsigt sandsynligvis vil være til skade for den nationale sikkerhed« (artikel 14, nr. iv), i APPIHAO), og pågældende kan desuden gøre det uden at oplyse, om sådanne oplysninger forefindes (artikel 17 i APPIHAO). Selv om enkeltpersoner kan anmode om suspension af anvendelsen eller om sletning af oplysninger i henhold til artikel 36, stk. 1, nr. i), i APPIHAO, såfremt det administrative organ har erhvervet oplysningerne ulovligt eller opbevarer/anvender dem ud over, hvad der er nødvendigt for at opnå det angivne formål, har myndigheden ligeledes mulighed for at afslå anmodningen, hvis den finder, at en suspension af anvendelsen »sandsynligvis vil være til hinder for varetagelsen af de anliggender, som vedrører anvendelsesformålet for brugen af de opbevarede personlige oplysninger på grund af disse anliggenders karakter« (artikel 38 i APPIHAO). Såfremt det er muligt let at adskille og udelade dele, som er genstand for en undtagelse, har administrative organer imidlertid pligt til at give mindst delvis indsigt (jf. f.eks. artikel 15, stk. 1, i APPIHAO) (140).

(167)

Under alle omstændigheder skal det administrative organ træffe en skriftlig afgørelse inden for en bestemt frist (30 dage, som på visse betingelser kan forlænges med yderligere 30 dage). Hvis der gives afslag på anmodning, den kun delvis imødekommes, eller hvis den enkelte af andre grunde anser det administrative organs adfærd for »ulovlig eller uretfærdig«, kan pågældende anmode om administrativ prøvelse på grundlag af loven om administrativ rekurs (141). I sådanne tilfælde skal chefen for det administrative organ, som træffer afgørelse i klagesagen, høre klagenævnet for indsigt og beskyttelse af personlige oplysninger (artikel 42 og 43 i APPIHAO), som er et specialiseret, uafhængigt nævn, hvis medlemmer er udpeget af premierministeren med samtykke fra begge kamre i parlamentet. Ifølge de modtagne oplysninger kan klagenævnet foretage en undersøgelse (142) og i den forbindelse anmode det administrative organ om at forelægge de opbevarede personlige oplysninger, herunder alt klassificeret indhold, og yderligere oplysninger og dokumenter. Selv om den endelige rapport, der sendes til klageren og det administrative organ og offentliggøres, ikke er retligt bindende, følges den næsten altid (143). Samtidig har den enkelte mulighed for at anfægte klageafgørelsen i ved domstolene på grundlag af loven om forvaltningsretssager. Derved banes vejen for en effektiv domstolskontrol af anvendelsen af nationale sikkerhedsundtagelser, herunder hvorvidt en sådan undtagelse er blevet misbrugt eller stadig er berettiget.

(168)

For at lette udøvelsen af ovennævnte rettigheder i henhold til APPIHAO har ministeriet for interne anliggender og kommunikation etableret 51 informationscentre, der står for oplysning om disse rettigheder, de gældende procedurer for anmodninger og muligheder for klage- og prøvelsesadgang (144). For de administrative organer gælder, at de er forpligtet til at meddele »oplysninger, som bidrager til nærmere bestemmelse af de opbevarede personlige oplysninger« (145) og til at træffe »andre hensigtsmæssige foranstaltninger med henblik på lettelse for personen, som har til hensigt fremsætte anmodningen« (artikel 47, stk. 1, i APPIHAO).

(169)

Som det er tilfældet for undersøgelser inden for retshåndhævelsen på det strafferetlige område, har borgerne også på området national sikkerhed mulighed for individuel klage ved direkte henvendelse til PPC. Dette vil udløse den særlige tvistbilægggelsesprocedure, som den japanske regering har indført for enkeltpersoner fra EU, hvis personoplysninger overføres i henhold til denne afgørelse (se nærmere beskrivelse i betragtning 141-144 og 149).

(170)

En borger kan desuden få sin sag prøvet ved domstolene gennem et erstatningssøgsmål i henhold til lov om statens erstatningsansvar, som også omfatter immateriel skade og under visse betingelser sletning af de indsamlede data (jf. betragtning 147).

(171)

Kommissionen finder, at APPI suppleret ved de supplerende regler i bilag I sammen med de officielle redegørelser, forsikringer og tilsagn i bilag II sikrer et beskyttelsesniveau for personoplysninger overført fra Den Europæiske Union, der i det væsentlige svarer til det niveau, der er garanteret ved forordning (EU) 2016/679.

(172)

Kommissionen finder desuden ud fra en samlet betragtning, at tilsynsmekanismerne og domstolsadgangen i den japanske lovgivning i praksis gør det muligt at identificere og sanktionere overtrædelser begået af modtagende PIHBO'er, og at de sikrer den registrerede retsmidlerne til at opnå adgang til personoplysninger, som vedrører pågældende, og til efterfølgende at få sådanne oplysninger berigtiget eller slettet.

(173)

Endelig finder Kommissionen på grundlag af de tilgængelige oplysninger om den japanske retsorden, herunder de i bilag II indeholdte redegørelser, forsikringer og tilsagn fra den japanske regering, at eventuelle indgreb i de grundlæggende rettigheder for enkeltpersoner, hvis personoplysninger overføres fra Den Europæiske Union til Japan, som foretages af de japanske myndigheder i offentlighedens interesse, navnlig med henblik på retshåndhævelse på det strafferetlige område og af nationale sikkerhedshensyn, vil blive begrænset til det strengt nødvendige med henblik på at nå tilsigtede legitime mål, og at der er en effektiv retsbeskyttelse mod sådanne indgreb.

(174)

Ud fra hvad Kommissionen har konstateret i denne afgørelse, finder den derfor, at Japan sikrer et tilstrækkeligt beskyttelsesniveau for personoplysninger overført fra Den Europæiske Union til PIHBO'er i Japan, der er omfattet af APPI, undtagen i de tilfælde, hvor modtageren tilhører en af de i artikel 76, stk. 1, omhandlede kategorier og hele eller en del af formålet med behandlingen svarer til et af de i bestemmelsen angivne formål.

(175)

På dette grundlag konkluderer Kommissionen, at der leves op til standarden for tilstrækkelig beskyttelse i artikel 45 i forordning (EU) 2016/679 som fortolket i lyset af Den Europæiske Unions charter om grundlæggende rettigheder, navnlig i henhold til Schrems-dommen (146).

(176)

Ifølge Domstolens praksis (147) og som anerkendt i artikel 45, stk. 4, i forordning (EU) 2016/679 bør Kommissionen løbende overvåge den relevante udvikling i tredjelandet efter vedtagelsen af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet for at vurdere, hvorvidt Japan stadig sikrer et i det væsentlige tilsvarende beskyttelsesniveau. En sådan undersøgelse skal under alle omstændighed foretages, når Kommissionen modtager oplysninger, der rejser begrundet tvivl i denne henseende.

(177)

Kommissionen bør derfor løbende overvåge situationen med hensyn til de retlige rammer og den faktiske praksis i behandlingen af personoplysninger, som er blevet vurderet i denne afgørelse, herunder om de japanske myndigheder holder sig til de redegørelser, forsikringer og tilsagn, der er indeholdt i bilag II. For at lette denne proces, forventes det af de japanske myndigheder, at de underretter Kommissionen om materiel udvikling, som er relevant for denne afgørelse, både hvad angår erhvervsdrivendes behandling af personoplysninger og de begrænsninger og garantier, som finder anvendelse med hensyn til offentlige myndigheders adgang til personoplysninger. Dette bør omfatte enhver afgørelse, som PPC vedtager i henhold til artikel 24 APPI om anerkendelse af, at et tredjeland har et beskyttelsesniveau svarende til det japanske.

(178)

Med henblik på at Kommissionen effektivt kan udføre sin overvågning bør medlemsstaterne underrette Kommissionen om alle relevante foranstaltninger, der træffes af de nationale databeskyttelsesmyndigheder, navnlig med hensyn til forespørgsler og klager fra registrerede i EU vedrørende overførsel af personoplysninger fra Den Europæiske Union til erhvervsdrivende i Japan. Kommissionen bør også underrettes om eventuelle indikationer på, at de japanske myndigheder med ansvar for forebyggelse, efterforskning, afsløring og retsforfølgelse på det strafferetlige område eller for national sikkerhed, herunder alle tilsynsmyndigheder, ikke handler på en måde, der sikrer det krævede beskyttelsesniveau.

(179)

Medlemsstaterne og deres organer er forpligtet til at træffe de nødvendige foranstaltninger for at overholde EU-institutionernes retsakter, da der gælder en formodning om, at disse retsakter er lovlige, og de afføder derfor retsvirkninger, så længe de ikke er blevet trukket tilbage, annulleret under et annullationssøgsmål eller erklæret ugyldige som følge af en præjudiciel forelæggelse eller en ulovlighedsindsigelse. En afgørelse fra Kommissionen om tilstrækkeligheden af beskyttelsesniveauet i henhold til artikel 45, stk. 3, i forordning (EU) 2016/679 er således bindende for alle de organer i medlemsstaterne, som den er rettet til, herunder deres uafhængige tilsynsmyndigheder. Som Domstolen har redegjort for i Schrems-dommen (148) og som anerkendt i forordningens artikel 58, stk. 5, er det samtidig således, at dersom en databeskyttelsesmyndighed, herunder på baggrund af en klage, tvivler på, om en afgørelse fra Kommissionen om tilstrækkeligheden af beskyttelsesniveauet er forenelig med beskyttelsen af den grundlæggende ret til privatliv og databeskyttelse, så skal der i national ret være retsmidler, der gør det muligt for myndigheden at gøre klagepunkterne gældende for en national domstol, og denne er i tvivlstilfælde forpligtet til at udsætte en sag og forelægge Domstolen et præjudicielt spørgsmål (149).

(180)

I medfør af artikel 45, stk. 3, i forordning (EU) 2016/679 (150) og henset til den omstændighed, at det beskyttelsesniveau, som den japanske retsorden sikrer, kan ændre sig, vil Kommissionen efter vedtagelse af denne afgørelse med regelmæssige mellemrum undersøge, om konstateringen af det tilstrækkelige beskyttelsesniveau, som er sikret af Japan, stadig er faktisk og retligt begrundet.

(181)

Med henblik herpå bør første revision af denne afgørelse foretages to år efter dens ikrafttræden. Efter den første revision og afhængigt af dennes resultat vil Kommissionen i nært samråd med det udvalg, der er nedsat i henhold til artikel 93, stk. 1, i databeskyttelsesforordningen, beslutte, om den toårige cyklus bør opretholdes. Under alle omstændigheder bør de efterfølgende revisioner finde sted mindst hvert fjerde år (151). Revisionen bør omfatte alle aspekter af denne afgørelses funktionsmåde, navnlig anvendelsen af de supplerende regler (med særlig opmærksomhed på den beskyttelse, der gives i tilfælde af videreoverførsler), anvendelsen af reglerne om samtykke, herunder ved tilbagetrukket samtykke, udøvelsen af individuelle rettigheder samt begrænsningerne og garantierne med hensyn til myndighedsadgang, herunder den i bilag II til denne afgørelse omhandlede prøvelsesmekanisme. Den bør også omfatte effektiviteten af tilsynet og håndhævelsen, både med hensyn til de regler, som finder anvendelse på PIHBO'er, og de regler, som finder anvendelse inden for retshåndhævelsen på det strafferetlige område og med hensyn til national sikkerhed.

(182)

Med henblik på at foretage revisionen bør Kommissionen mødes med PPC, som efter behov kan ledsages af andre japanske myndigheder med ansvar for myndighedsadgang, herunder de relevante tilsynsorganer. Deltagelsen i dette møde bør være åben for repræsentanter for medlemmerne af Det Europæiske Databeskyttelsesråd. Inden for rammerne af den fælles revision bør Kommissionen anmode PPC om omfattende oplysninger om alle aspekter, der er relevante for konstateringen af et tilstrækkeligt beskyttelsesniveau, herunder om begrænsningerne og garantierne vedrørende myndigheders adgang (152). Kommissionen bør også indhente redegørelser vedrørende eventuelle oplysninger med relevans for denne afgørelse, som den har modtaget, herunder offentlige rapporter fra japanske myndigheder eller andre interessenter i Japan, Det Europæiske Databeskyttelsesråd, individuelle databeskyttelsesmyndigheder, civilsamfundsgrupper, medierne eller andre tilgængelige informationskilder.

(183)

Kommissionen vil på grundlag af den fælles revision udarbejde en offentlig rapport til Europa-Parlamentet og Rådet.

(184)

Hvis Kommissionen på grundlag af kontrollerne eller andre tilgængelige oplysninger konkluderer, at det beskyttelsesniveau, som den japanske retsorden giver, ikke længere i det væsentlige svarer til beskyttelsesniveauet i Unionen, bør den underrette de kompetente japanske myndigheder herom og anmode om, at der træffes passende foranstaltninger inden for en fastlagt, rimelig frist. Dette omfatter reglerne for både erhvervsdrivende og Japans offentlige myndigheder med ansvar for retshåndhævelse på det strafferetlige område eller nationale sikkerhedsanliggender. En sådan procedure vil f.eks. skulle iværksættes i tilfælde, hvor videreoverførsler ikke længere finder sted under garantier, der sikrer den fortsatte beskyttelse i overensstemmelse med artikel 44 i databeskyttelsesforordningen, herunder tilfælde, hvor grundlaget er afgørelser vedtaget af PPC i henhold til artikel 24 i APPI om anerkendelse af, at et tredjeland har et beskyttelsesniveau svarende til det japanske.

(185)

Hvis de kompetente japanske myndigheder efter udløbet af den fastlagte frist ikke på tilfredsstillende vis kan dokumentere, at denne afgørelse fortsat er baseret på et tilstrækkeligt beskyttelsesniveau, bør Kommissionen ved anvendelse af artikel 45, stk. 5, i forordning (EU) 2016/679 indlede proceduren med henblik på hel eller delvis suspension eller ophævelse af denne afgørelse. Kommissionen bør alternativt indlede proceduren med henblik på ændring af denne afgørelse, navnlig ved at fastsætte yderligere betingelser for dataoverførsler eller ved at begrænse anvendelsesområdet for konstateringen af et tilstrækkeligt beskyttelsesniveau til dataoverførsler, for hvilke den fortsatte beskyttelse er sikret i overensstemmelse med artikel 44 i databeskyttelsesforordningen.

(186)

Kommissionen bør navnlig indlede proceduren med henblik på suspension eller ophævelse i tilfælde af indikationer på, at de supplerende regler i bilag I ikke overholdes af erhvervsdrivende, der modtager personoplysninger i henhold til denne afgørelse, og/eller ikke håndhæves effektivt, eller at de japanske myndigheder ikke holder sig til de redegørelser, forsikringer og tilsagn, som er indeholdt i bilag II til denne afgørelse.

(187)

Kommissionen bør ligeledes overveje at indlede proceduren med henblik på ændring, suspension eller ophævelse af denne afgørelse, hvis de japanske myndigheder i forbindelse med den fælles revision eller på anden vis undlader at forelægge de oplysninger og præciseringer, der er nødvendige for at vurdere beskyttelsesniveauet for personoplysninger, der overføres fra Den Europæiske Union til Japan, eller for at vurdere overholdelsen af denne afgørelse. I den forbindelse bør Kommissionen tage hensyn til, i hvilket omfang de relevante oplysninger kan indhentes fra andre kilder.

(188)

Kommissionen bør i behørigt begrundede hastende tilfælde, f.eks. ved en risiko for alvorlig overtrædelse af registreredes rettigheder, overveje at vedtage en afgørelse om at suspendere eller ophæve nærværende afgørelse, og en sådan afgørelse bør finde anvendelse straks, jf. artikel 93, stk. 3, i forordning (EU) 2016/679 sammenholdt med artikel 8 i Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 (153).

(189)

Det Europæiske Databeskyttelsesråd har offentliggjort sin udtalelse (154), som er blevet taget i betragtning ved udarbejdelsen af denne afgørelse.

(190)

Europa-Parlamentet har vedtaget en beslutning om en digital handelsstrategi, hvori Kommissionen opfordres til at prioritere og fremskynde vedtagelsen af afgørelser om et tilstrækkeligt beskyttelsesniveau med vigtige handelspartnere i henhold betingelserne i forordning (EU) 2016/679, således at disse kan fungerer som en grundlæggende mekanisme til at sikre overførslen af personoplysninger fra EU (155). Europa-Parlamentet har også vedtaget en beslutning om tilstrækkeligheden af den beskyttelse af personoplysninger, der gives af Japan (156).

(191)

Foranstaltningerne i denne afgørelse er i overensstemmelse med udtalelse fra det udvalg, der er nedsat ved artikel 93, stk. 1, i databeskyttelsesforordningen —