23. januar 2019 besluttet EU-kommisjonen at Japan sikrer et tilstrekkelig beskyttelsesnivå for overføringer av personopplysninger. Beslutningen innebærer fri flyt av personopplysninger mellom EØS og Japan, uten behov for ytterligere mekanismer som «Standard Contractual Clauses» for databehandlere i Japan, eller for overføring av personopplysninger til selvstendige behandlingsansvarlige i Japan.
Avtalen mellom EU og Japan, som ble vedtatt samtidig i begge land, er en del av EUs strategi innen fri flyt av data og beskyttelse, som ble annonsert i Januar 2018 i Commission’s Communication on Exchanging and Protecting Personal Data in a Globalised World. Beslutningen skal ikke kun medføre et høyt nivå av sikkerhet ved deling av personopplysninger til Japan, men vil i tillegg komplementere frihandelsavtalen mellom EU og Japan som trer i kraft i februar 2019.
Behandlingen av personopplysninger i EØS er basert på personvernforordningen (GDPR), som gir ulike «verktøy» for å kunne overføre personopplysninger til en tredjestat utenfor EØS. Et slikt verktøy er en såkalt beslutning om tilstrekkelig beskyttelsesnivå, som nå ble gitt for Japan. Det er EU-kommisjonen som har kompetanse til å avgjøre om et land utenfor EU tilbyr et tilstrekkelig beskyttelsesnivå for personopplysninger.
Føyen Torkildsen hadde i mars 2017 gleden av å ta imot en delegasjon fra det Japanske Datatilsynet (etablert i 2016). De ønsket informasjon om hvorledes personvernreglene fungerer for Forbrukere og Næringslivsorganisasjonene, og hvorledes næringslivet og forbrukere ser på Datatilsynets virksomhet.
