Dette er sidste skridt i den procedure, der blev indledt i september 2018, hvori der også indgår en udtalelse fra Det Europæiske Databeskyttelsesråd og en godkendelse fra et udvalg bestående af medlemsstaternes repræsentanter. Afgørelsen finder sammen med den tilsvarende afgørelse, som Japan i dag har vedtaget, anvendelse fra og med i dag.
De vigtigste elementer i afgørelsen om tilstrækkeligheden af beskyttelsesniveauet
Inden Kommissionen vedtog sin afgørelse om tilstrækkeligheden af beskyttelsesniveauet, indførte Japan yderligere beskyttelsesforanstaltninger for at sikre, at data overført fra EU garanteres beskyttelse i overensstemmelse med de europæiske standarder. Foranstaltningerne omfatter følgende:
- Et regelsæt (supplerende regler), der vil kunne mindske en række forskelle mellem de to databeskyttelsessystemer. Disse ekstra garantier vil f.eks. styrke beskyttelsen af følsomme data, lette udøvelsen af individuelle rettigheder og skærpe betingelserne for den videre overførsel af EU-data fra Japan til et andet tredjeland. Disse supplerende regler vil være bindende for japanske virksomheder, der importerer data fra EU, og kan håndhæves af den uafhængige japanske databeskyttelsesmyndighed og ved domstolene.
- Den japanske regering har også forsikret Kommissionen om, at der indføres foranstaltninger vedrørende de japanske offentlige myndigheders adgang til oplysninger i forbindelse med retshåndhævelse og den nationale sikkerhed, hvilket skal sikre, at al brug af disse personoplysninger begrænses til det nødvendige og underkastes uafhængigt tilsyn, samt at der oprettes en effektiv klageordning.
- En klageordning, som har til formål at undersøge og afgøre klager fra europæiske borgere vedrørende japanske offentlige myndigheders adgang til deres oplysninger. Den uafhængige japanske databeskyttelsesmyndighed vil stå for forvaltningen af og tilsynet med ordningen.
Afgørelsen om tilstrækkeligheden af beskyttelsesniveauet supplerer også den økonomiske partnerskabsaftale mellem EU og Japan, som træder i kraft i februar 2019. Europæiske virksomheder vil drage fordel af den frie dataudveksling med en central handelspartner og den privilegerede adgang til 127 mio. japanske forbrugere. EU og Japan bekræfter, at man i den digitale tidsalder både kan og skal fremme høje standarder for beskyttelse af personoplysninger og privatlivets fred samtidig med at lette den internationale handel.
Næste skridt
Afgørelsen om tilstrækkeligheden af beskyttelsesniveauet finder — lige som den tilsvarende afgørelse på japansk side — anvendelse fra og med i dag
Den første fælles revision af, hvordan rammen fungerer, vil blive foretaget efter to år. Revisionen bør omfatte alle aspekter, når det drejer sig om at konstatere et tilstrækkeligt beskyttelsesniveau, herunder anvendelsen af de supplerende regler og garantierne med hensyn til myndigheders dataadgang. Repræsentanter for Det Europæiske Databeskyttelsesråd vil deltage i revisionen vedrørende adgang til oplysninger i forbindelse med retshåndhævelse og den nationale sikkerhed. Efterfølgende vil der blive foretaget en revision mindst hvert fjerde år.
Baggrund
Den gensidige ordning med Japan vedrørende et tilstrækkeligt beskyttelsesniveau er en del af EU's strategi på området for internationale datastrømme og databeskyttelse, som det blev bebudet i januar 2017 i Kommissionens meddelelse om udveksling og beskyttelse af personoplysninger i en globaliseret verden.
Den 17. juli 2018 afsluttede EU og Japan drøftelserne om sikring af et gensidigt tilstrækkeligt databeskyttelsesniveau (jf. denne pressemeddelelse). Parterne blev enige om at anerkende hinandens databeskyttelsessystemer som tilstrækkelige, hvilket vil gøre det muligt at udveksle personoplysninger sikkert mellem EU og Japan.
I juli 2017 forpligtede kommissionsformand Jean-Claude Juncker og premierminister Shinzo Abe sig til at vedtage afgørelsen om tilstrækkeligheden af beskyttelsesniveauet som en del af EU's og Japans fælles forpligtelse til at fremme høje databeskyttelsesstandarder internationalt (se erklæringen).
Behandlingen af personoplysninger i EU bygger på den generelle databeskyttelsesforordning, som indeholder bestemmelser om forskellige værktøjer til overførsel af personoplysninger til tredjelande, herunder om afgørelser om tilstrækkeligheden af beskyttelsesniveauet. Europa-Kommissionen har beføjelse til at afgøre, om et land uden for EU yder et tilstrækkeligt højt databeskyttelsesniveau. Europa-Parlamentet og Rådet kan anmode Europa-Kommissionen om at opretholde, ændre eller tilbagetrække disse afgørelser.
Detaljer
- Publikationsdato
- 23. januar 2019
- Forfatter
- Repræsentationen i Danmark