Binnen de Europese Unie geldt de Algemene Verordening Gegevensbescherming (AVG) als waarborg om de veiligheid van persoonsgegevens te garanderen. Hoe zit deze waarborg precies als het gaat om dataverkeer tussen de Europese Unie en zogenaamde derde landen, namelijk landen buiten de Europese Unie?
De AVG stelt dat dataverkeer met derde landen aan extra waarborgen moet voldoen. De reden die hierachter ligt, is om ervoor te zorgen dat de persoonsgegevens op equivalente manier gelijkwaardig aan de bescherming die de Europese Unie biedt, gewaarborgd wordt in de landen buiten de Europese Unie. Op die manier wordt de veiligheid van persoonsgegevens bewerkstelligd buiten de Europese Unie.
De AVG noemt verschillende waarborgen op die gebruikt kunnen worden in de relatie waarbij persoonsgegevens overgedragen worden aan derde landen. Deze waarborgen staan o.a. vermeld in hoofdstuk 5 en art. 46 van de AVG. Voorbeelden die als waarborg voor een equivalente bescherming, gelijkwaardig aan de Europese Unie, kunnen dienen zijn o.a. een adequaatheidsbesluit en Standard Contractual Clauses (SCC’s).
In een eerder blog gingen we reeds in op de waarborgen voor dataverkeer tussen de Europese Unie en de Verenigde Staten. Dit blog zal in gaan op de waarborg die geldt voor veilig dataverkeer tussen de Europese Unie en Japan.
Is dataverkeer met Japan zomaar mogelijk?
De Europese Commissie heeft op 23 januari 2019 besloten dat Japan voldoet aan een adequaat beschermingsniveau, gelijkwaardig aan het niveau dat de Europese Unie biedt. Dit soort beslissing heet een adequaatheidsbesluit en is een voldoende waarborg om het dataverkeer tussen de Europese Unie en Japan mogelijk te maken.
De Europese Commissie heeft recent op 3 april 2023 een eerste review uitgebracht over dit adequaatheidsbesluit. Voor ondernemingen die persoonsgegevens uitwisselen met Japan, is dit goed nieuws.
De Commissie heeft namelijk besloten het adequaatheidsbesluit in stand te houden. Sterker nog, de privacywetgeving van Japan is nog verder in lijn gekomen met de AVG door de herziene Supplementaire Normen die door de Japanse Commissie voor de bescherming van persoonsgegevens in werking zijn gesteld op 1 april 2023. Deze dienen namelijk om de kloof op het gebied van de bescherming van persoonsgegevens nog verder in lijn te brengen met het Europees niveau.
Wat houdt de herziening in?
De herziening brengt o.a. de waarborgen in verband met bescherming van bijzondere persoonsgegevens, doorgiften van Europese gegevens vanuit Japan en verduidelijkingen onder welke omstandigheden individuen hun individuele rechten kunnen uitoefenen, in equivalentie met het Europees niveau.
Ook heeft Japan stappen ondernomen om nieuwe regels met betrekking tot gepseudonimiseerde persoonsgegevens in te voeren. Deze stellen bedrijven in staat om persoonlijke gegevens te gebruiken voor statistische doeleinden, maar benadrukken, in navolging van de AVG, dat alle persoonlijke gegevens die uit de EU worden ontvangen en gepseudonimiseerd zijn, persoonsgegevens blijven vormen.
Ten slotte heeft Japan speciale contactpunten opgezet voor betrokkenen in de EU in verband met de verwerking van hun persoonsgegevens. Commerciële exploitanten kunnen contact opnemen met de Enquêtelijn en overheidsinstanties met de Klachtenbemiddelingslijn. De regels gelden voor zowel de particuliere als publieke sector.
Besluit: consequenties
De herziening van de Japanse privacywetgeving zorgt ervoor dat het beschermingsniveau nog dichter in de buurt ligt van de Europese AVG. Dit zorgt dus voor een stroomlijning van de Japense privacy rechten met de rechten die gelden in de Europese Unie. Het adequaatheidsbesluit blijft aldus in stand en dient als voldoende waarborg voor Europese bedrijven om persoonsgegevens uit te wisselen met Japan zonder extra waarborgen te nemen. Het adequaatheidsbesluit is hier namelijk voldoende voor.
