(1)

I forordning (EU) 2016/679 fastsættes reglerne for overførsel af personoplysninger fra en dataansvarlig eller databehandler i Unionen til tredjelande og internationale organisationer, i det omfang overførslen falder inden for forordningens anvendelsesområde. Reglerne om internationale dataoverførsler er fastsat i kapitel V (artikel 44-50) i nævnte forordning. Strømmen af personoplysninger til og fra lande uden for Den Europæiske Union er afgørende for udvidelsen af den grænseoverskridende handel og det internationale samarbejde, men niveauet for beskyttelse af personoplysninger i Unionen må ikke undermineres af overførsler til tredjelande (2).

(2)

I henhold til artikel 45, stk. 3, i forordning (EU) 2016/679 kan Kommissionen ved hjælp af en gennemførelsesretsakt fastslå, at et tredjeland, et område eller en eller flere specifikke sektorer i et tredjeland eller en international organisation sikrer et tilstrækkeligt beskyttelsesniveau. På denne betingelse kan overførsel af personoplysninger til et tredjeland finde sted uden yderligere godkendelse, jf. artikel 45, stk. 1, og betragtning 103 i forordning (EU) 2016/679.

(3)

Som omhandlet i artikel 45, stk. 2, i forordning (EU) 2016/679 skal vedtagelsen af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet finde sted på grundlag af en omfattende analyse af det pågældende tredjelands retsorden, både hvad angår de regler, der finder anvendelse på dataimportøren, og de begrænsninger og garantier, der gælder med hensyn til offentlige myndigheders adgang til personoplysninger. I sin vurdering skal Kommissionen fastslå, om det pågældende tredjeland sikrer et beskyttelsesniveau, som »i det væsentlige svarer« til det, der sikres i Den Europæiske Union (betragtning 104 i forordning (EU) 2016/679). Om dette er tilfældet, skal vurderes i forhold til EU-lovgivningen, navnlig forordning (EU) 2016/679, samt Den Europæiske Unions Domstols retspraksis (3).

(4)

Som Den Europæiske Unions Domstol har præciseret, kræves der ikke et identisk beskyttelsesniveau (4). Det betyder navnlig, at de midler, som tredjelandet anvender til at beskytte personoplysninger, kan være forskellige fra de midler, som anvendes inden for Unionen, så længe de i praksis viser sig at være effektive med henblik på at sikre et tilstrækkeligt beskyttelsesniveau (5). Standarden for tilstrækkelighed er derfor ikke, at EU-reglerne duplikeres afsnit for afsnit. Testen består snarere i, om det pågældende udenlandske system som helhed sikrer det krævede beskyttelsesniveau gennem kerneindholdet i retten til privatlivets fred og den effektive gennemførelse, overvågning og håndhævelse heraf (6). Det Europæiske Databeskyttelsesråds reference vedrørende et tilstrækkeligt beskyttelsesniveau, der skal præcisere denne standard yderligere, giver også vejledning i denne henseende (7).

(5)

Kommissionen har foretaget en grundig analyse af den koreanske lovgivning og praksis. På grundlag af konklusionerne i betragtning 8-208 konkluderer Kommissionen, at Republikken Korea sikrer et tilstrækkeligt beskyttelsesniveau for personoplysninger, der overføres fra en dataansvarlig eller databehandler i Unionen (8) til enheder (f.eks. fysiske eller juridiske personer, organisationer, offentlige institutioner) i Korea, der er omfattet af anvendelsesområdet for lov om beskyttelse af personoplysninger (lov nr. 10465 af 29. marts 2011, senest ændret ved lov nr. 16930 af 4. februar 2020). Dette omfatter både dataansvarlige og databehandlere (såkaldte »outsourcingpartnere« (9)) som omhandlet i forordning (EU) 2016/679. Konstateringen af et tilstrækkeligt beskyttelsesniveau omfatter ikke behandling af personoplysninger i forbindelse med religiøse organisationers missionsarbejde og politiske partiers udnævnelse af kandidater eller behandling af personlige kreditoplysninger i medfør af lov om kreditoplysninger foretaget af dataansvarlige underlagt kommissionen for finansielle tjenesteydelsers tilsyn.

(6)

I denne konklusion tages der hensyn til de yderligere garantier, der er fastsat i meddelelse nr. 2021-5 (bilag I), og de officielle redegørelser, forsikringer og tilsagn fra den koreanske regering til Kommissionen (bilag II).

(7)

Denne afgørelse har den virkning, at overførsler til dataansvarlige og databehandlere i Republikken Korea kan finde sted, uden at der behøves yderligere tilladelse. Den berører ikke den direkte anvendelse af forordning (EU) 2016/679 på sådanne enheder, hvis betingelserne vedrørende forordningens territoriale anvendelsesområde, jf. forordningens artikel 3, er opfyldt.

(8)

Den retlige ordning for beskyttelse af privatlivets fred og databeskyttelse i Korea har sine rødder i den koreanske forfatning, som blev bekendtgjort den 17. juli 1948. Selv om retten til beskyttelse af personoplysninger ikke udtrykkeligt er fastsat i forfatningen, anerkendes den ikke desto mindre som en grundlæggende rettighed, der udspringer af de forfatningsmæssige rettigheder til menneskelig værdighed og stræben efter lykke (artikel 10), privatliv (artikel 17) og privatlivets fred i forbindelse med kommunikation (artikel 18). Dette er blevet bekræftet af både højesteret (10) og forfatningsdomstolen (11). Begrænsninger af grundlæggende rettigheder og friheder (herunder retten til privatlivets fred) kan kun pålægges ved lov, når det er nødvendigt af hensyn til den nationale sikkerhed eller opretholdelsen af lov og orden og den offentlige velfærd, og må ikke berøre den pågældende rettigheds eller friheds væsentligste indhold (artikel 37, stk. 2).

(9)

Selv om forfatningen flere steder henviser til koreanske statsborgeres rettigheder, har forfatningsdomstolen fastslået, at udenlandske statsborgere også har grundlæggende rettigheder (12). Domstolen har navnlig fastslået, at beskyttelsen af ens værdighed og værdi som menneske samt retten til at søge lykke er rettigheder, der tilkommer ethvert menneske og ikke blot statsborgere (13). Ifølge den koreanske regerings officielle redegørelser (14) er det desuden almindeligt anerkendt, at der i forfatningens artikel 12-22 (som omfatter retten til privatlivets fred) er fastsat grundlæggende menneskerettigheder (15). Selv om der indtil videre ikke findes nogen retspraksis, som specifikt vedrører udenlandske statsborgeres ret til privatlivets fred, understøtter dens forankring i beskyttelsen af den menneskelige værdighed og stræben efter lykke denne konklusion (16).

(10)

Desuden har Korea vedtaget en række love på databeskyttelsesområdet, som indeholder garantier for alle personer, uanset deres nationalitet (17). I forbindelse med denne afgørelse er de relevante love:

(11)

PIPA udgør den generelle retlige ramme for databeskyttelse i Republikken Korea. Den suppleres af et gennemførelsesdekret (præsidentielt dekret nr. 23169 af 29. september 2011, senest ændret ved præsidentielt dekret nr. 30892 af 4. august 2020) (PIPA-gennemførelsesdekretet), der i lighed med PIPA er retligt bindende og kan håndhæves.

(12)

Desuden indeholder lovgivningsmæssige »meddelelser« vedtaget af kommissionen for beskyttelse af personoplysninger (PIPC eller beskyttelseskommissionen) supplerende regler for fortolkning og anvendelse af PIPA. På grundlag af artikel 5 (statslige forpligtelser) og artikel 14 (internationalt samarbejde) i PIPA vedtog PIPC meddelelse nr. 2021-5 af 1. september 2020 (som ændret ved meddelelse nr. 2021-1 af 21. januar 2021 og meddelelse nr. 2021-5 af 16 november 2021, i det følgende meddelelse nr. 2021-5) om fortolkning, anvendelse og håndhævelse af visse bestemmelser i PIPA. Denne meddelelse indeholder præciseringer, der finder anvendelse på enhver behandling af personoplysninger under PIPA, samt supplerende garantier for personoplysninger, der overføres til Korea på grundlag af denne afgørelse. Meddelelsen er juridisk bindende for de persondataansvarlige og kan både håndhæves af PIPC og domstolene (19). En overtrædelse af reglerne i meddelelsen indebærer en overtrædelse af de relevante bestemmelser i PIPA, som de supplerer. Indholdet af de supplerende garantier analyseres derfor som led i vurderingen af de relevante PIPA-artikler. Endelig er der yderligere vejledning om PIPA og gennemførelsesdekretet hertil, som danner grundlag for PIPC's anvendelse og håndhævelse af databeskyttelsesreglerne, i PIPC's PIPA-håndbog og -retningslinjer (20).

(13)

Desuden indeholder lov om anvendelse og beskyttelse af kreditoplysninger (CIA) specifikke regler, der gælder både for »almindelige« kommercielle operatører og specialiserede enheder i den finansielle sektor, der behandler personlige kreditoplysninger, dvs. oplysninger, der er nødvendige for at fastslå kreditværdigheden af parter i finansielle eller kommercielle transaktioner. Dette omfatter navnlig navn, kontaktoplysninger, finansielle transaktioner, kreditvurdering, forsikringsstatus eller lånebalance, når sådanne oplysninger anvendes til at fastslå en persons kreditværdighed (21). Når sådanne oplysninger anvendes til andre formål (f.eks. menneskelige ressourcer), finder PIPA derimod anvendelse i sin helhed. Med hensyn til de specifikke databeskyttelsesbestemmelser i CIA overvåges overholdelsen dels af PIPC (for kommercielle organisationer, jf. artikel 45-3 i CIA), dels af kommissionen for finansielle tjenesteydelser (22) (for finanssektoren, herunder kreditvurderingsbureauer, banker, forsikringsselskaber, sparekasser, specialiserede kreditfinansieringsselskaber, finansielle investeringsselskaber, værdipapirfinansieringsselskaber, kreditforeninger osv., jf. artikel 45, stk. 1, i CIA sammenholdt med artikel 36-2 i CIA-gennemførelsesdekretet og artikel 38 i lov om kommissionen for finansielle tjenesteydelser). I denne forbindelse er anvendelsesområdet for denne afgørelse begrænset til kommercielle operatører, der er underlagt PIPC's tilsyn (23). De specifikke regler i CIA, der finder anvendelse i denne forbindelse (de generelle regler i PIPA finder anvendelse, hvis der ikke findes specifikke regler), er beskrevet i afsnit 2.3.11.

(14)

Medmindre andet er fastsat udtrykkeligt i andre retsakter, er beskyttelsen af personoplysninger omfattet af PIPA (artikel 6). Det materielle og personelle anvendelsesområde bestemmes af de definerede begreber »personoplysninger«, »behandling« og »persondataansvarlig«.

(15)

I artikel 2, stk. 1, i PIPA defineres personoplysninger som oplysninger om en levende person, der identificerer den pågældende direkte, f.eks. ved dennes navn, bopælsregistreringsnummer eller billede, eller indirekte, dvs. når oplysninger, der ikke i sig selv kan identificere en bestemt person, let kan samkøres med andre oplysninger. Om oplysningerne »let« kan samkøres, afhænger af, om en sådan samkøring med rimelighed er sandsynlig under hensyntagen til muligheden for at indhente andre oplysninger samt til den tid, de omkostninger og den teknologi, der er nødvendig for at identificere en person.

(16)

Desuden betragtes pseudonymiserede oplysninger — dvs. oplysninger, der ikke kan identificere en bestemt person uden at bruge eller samkøre oplysningerne med supplerende oplysninger for at genoprette dem til deres oprindelige tilstand — som personoplysninger i henhold til PIPA (artikel 2, stk. 1, litra c), i PIPA). Omvendt er oplysninger, der er fuldt ud »anonymiserede«, udelukket fra PIPA's anvendelsesområde (artikel 58-2 i PIPA). Dette gælder oplysninger, der ikke kan identificere en bestemt person, selv om de samkøres med andre oplysninger, under hensyntagen til den tid, de omkostninger og den teknologi, der med rimelighed er nødvendig til identifikation.

(17)

Dette svarer til det materielle anvendelsesområde for forordning (EU) 2016/679 og dens begreber »personoplysninger«, »pseudonymisering« (24) og »anonymiserede oplysninger« (25).

(18)

Begrebet »behandling« defineres bredt i PIPA som »indsamling, frembringelse, sammenkobling, sammenkædning, registrering, opbevaring, værdiforøgende behandling, redigering, udtræk, output, berigtigelse, genoprettelse, anvendelse, fremlæggelse, videregivelse og tilintetgørelse af personoplysninger og andre lignende aktiviteter« (26). Selv om visse bestemmelser i PIPA kun henviser til bestemte typer behandling såsom »anvendelse«, »videregivelse« eller »indsamling« (27), fortolkes begrebet »anvendelse« således, at det omfatter enhver anden form for behandling end »indsamling« eller »videregivelse« (til tredjemand). Denne brede fortolkning af »anvendelse« sikrer således, at der ikke er huller i beskyttelsen i forbindelse med specifikke behandlingsaktiviteter. Begrebet behandling svarer derfor til det samme begreb i forordning (EU) 2016/679.

(19)

PIPA finder anvendelse på »persondataansvarlige« (den dataansvarlige). I lighed med i forordning (EU) 2016/679 omfatter dette enhver offentlig institution, juridisk person, organisation eller fysisk person, der behandler personoplysninger direkte eller indirekte med henblik på forvaltning af persondatafiler som led i deres aktiviteter (28). I denne forbindelse forstås ved »persondatafil«»et eller flere sæt personoplysninger, der er arrangeret eller organiseret på en systematisk måde på grundlag af en bestemt regel med henblik på let adgang til personoplysningerne« (artikel 2, stk. 4, i PIPA) (29). Internt er den dataansvarlige forpligtet til at uddanne de personer, der er involveret i behandlingen under dennes ledelse, f.eks. virksomhedsledere eller medarbejdere, og til at føre passende kontrol og tilsyn (artikel 28, stk. 1, i PIPA).

(20)

Der gælder særlige forpligtelser, når den dataansvarlige (»outsourceren«) outsourcer behandlingen af personoplysninger til tredjemand (»outsourcingpartneren«). Outsourcingen skal navnlig være omfattet af en retligt bindende ordning (typisk en kontrakt) (30), som fastsætter omfanget af det outsourcede arbejde, formålet med behandlingen, de tekniske og forvaltningsmæssige garantier, der skal anvendes, den dataansvarliges tilsyn, erstatningsansvar (f.eks. erstatning for skade som følge af en overtrædelse af kontraktlige forpligtelser) samt begrænsningerne for enhver outsourcet databehandling (31) (artikel 26, stk. 1 og 2, i PIPA sammenholdt med artikel 28, stk. 1, i gennemførelsesdekretet) (32).

(21)

Desuden skal den dataansvarlige offentliggøre og løbende ajourføre oplysninger om det outsourcede arbejde og outsourcingpartnerens identitet eller, i det omfang den outsourcede behandling vedrører direkte markedsføringsaktiviteter, underrette de berørte personer direkte om de relevante oplysninger (artikel 26, stk. 2 og 3, i PIPA sammenholdt med artikel 28, stk. 2-5, i gennemførelsesdekretet) (33).

(22)

I henhold til artikel 26, stk. 4, i PIPA sammenholdt med artikel 28, stk. 6, i gennemførelsesdekretet er den dataansvarlige desuden forpligtet til at »uddanne« outsourcingpartneren i de nødvendige sikkerhedsforanstaltninger og føre tilsyn med, herunder gennem inspektioner, om outsourcingpartneren overholder alle den dataansvarliges forpligtelser i henhold til PIPA (34) og outsourcingkontrakten. Hvis outsourcingpartneren forvolder skade som følge af en overtrædelse af PIPA, gøres den dataansvarlige ansvarlig for outsourcingpartnerens handlinger eller undladelser med henblik på erstatningsansvar, som det er tilfældet med en ansat (artikel 26, stk. 6, i PIPA).

(23)

Selv om PIPA derfor ikke anvender forskellige begreber for »dataansvarlige« og »databehandlere«, omfatter reglerne om outsourcing i det væsentlige de samme forpligtelser og garantier som dem, der regulerer forholdet mellem dataansvarlige og databehandlere i henhold til forordning (EU) 2016/679.

(24)

Selv om PIPA finder anvendelse på enhver dataansvarligs behandling af personoplysninger, indeholder visse bestemmelser specifikke regler (som en lex specialis) for »udbydere af informations- og kommunikationstjenesters« behandling af »brugeres« personoplysninger (35). Begrebet »brugere« omfatter personer, der anvender informations- og kommunikationstjenester (artikel 2, stk. 1, nr. 4, i lov om fremme af anvendelsen af informations- og kommunikationsnetværk og databeskyttelse, herefter netværksloven). Dette kræver, at vedkommende enten anvender teletjenester, der leveres af en koreansk teleoperatør, direkte, eller anvender informationstjenester (36), som leveres kommercielt (dvs. med gevinst for øje) af en enhed, der anvender tjenester fra en teleoperatør, som har licens/er registreret i Korea (37). I begge tilfælde er den enhed, der er bundet af de specifikke PIPA-bestemmelser, en enhed, der tilbyder en onlinetjeneste direkte til en person (dvs. en bruger).

(25)

Omvendt vedrører en konstatering af et tilstrækkeligt beskyttelsesniveau udelukkende beskyttelsesniveauet for personoplysninger, der overføres fra en dataansvarlig/databehandler i Unionen til en enhed i et tredjeland (her: Republikken Korea). I sidstnævnte scenarie vil enkeltpersoner i Unionen normalt kun have en direkte forbindelse til »dataeksportøren« i Unionen og ikke til en koreansk udbyder af informations- og kommunikationstjenester (38). Derfor vil de særlige bestemmelser i PIPA vedrørende personoplysninger om brugere af informations- og kommunikationstjenester højst finde anvendelse i begrænsede situationer på personoplysninger, der overføres i henhold til denne afgørelse.

(26)

Artikel 58, stk. 1, i PIPA udelukker anvendelsen af dele af PIPA (artikel 15-57) i forbindelse med fire kategorier af databehandling (39). De dele af PIPA, der omhandler de specifikke grunde til behandling, visse databeskyttelsesforpligtelser, de nærmere regler for udøvelsen af individuelle rettigheder samt reglerne for tvistbilæggelse i udvalget for bilæggelse af tvister om personoplysninger finder navnlig ikke anvendelse. Andre grundlæggende bestemmelser i PIPA finder fortsat anvendelse, navnlig de generelle bestemmelser om databeskyttelsesprincipper (artikel 3 i PIPA) — herunder f.eks. principperne om lovlighed, formålsspecificering og formålsbegrænsning, dataminimering, datanøjagtighed og -sikkerhed — og individuelle rettigheder (indsigt, berigtigelse, sletning og suspension, jf. artikel 4 i PIPA). Desuden pålægger artikel 58, stk. 4, i PIPA specifikke forpligtelser i forbindelse med disse behandlingsaktiviteter, nemlig med hensyn til dataminimering, opbevaringsbegrænsning, sikkerhedsforanstaltninger og behandling af klager (40). Som følge heraf kan enkeltpersoner stadig indgive en klage til PIPC, hvis disse principper og forpligtelser ikke overholdes, og PIPC har beføjelse til at træffe håndhævelsesforanstaltninger i tilfælde af manglende overholdelse.

(27)

For det første omfatter den delvise undtagelse personoplysninger, der indsamles i henhold til statistikloven med henblik på behandling i offentlige institutioner. Ifølge de præciseringer, der er modtaget fra den koreanske regering, vedrører personoplysninger, der behandles i denne forbindelse, normalt koreanske statsborgere og kan kun undtagelsesvis omfatte oplysninger om udlændinge, navnlig i forbindelse med statistikker om indrejse til og udrejse fra området, eller om udenlandske investeringer. Men selv i disse situationer overføres sådanne oplysninger normalt ikke fra dataansvarlige/databehandlere i Unionen, idet de som oftest indsamles direkte af de offentlige myndigheder i Korea (41). I lighed med, hvad der er fastsat i betragtning 162 i forordning (EU) 2016/679, er behandlingen af oplysninger i henhold til statistikloven desuden underlagt en række betingelser og garantier. Statistikloven pålægger navnlig specifikke forpligtelser, f.eks. til at sikre nøjagtighed, konsistens og upartiskhed, garantere den enkeltes ret til fortrolighed, beskytte oplysninger fra respondenter i forbindelse med statistiske forespørgsler, herunder for at forhindre, at sådanne oplysninger anvendes til andre formål end at udarbejde statistikker, og om at underlægge personalet fortrolighedskrav (42). Offentlige myndigheder, der behandler statistikker, skal bl.a. også overholde principperne om dataminimering, formålsbegrænsning og sikkerhed (artikel 3 og artikel 58, stk. 4, i PIPA) og give enkeltpersoner mulighed for at udøve deres rettigheder (indsigt, berigtigelse, sletning og suspension, jf. artikel 4 i PIPA). Endelig skal oplysningerne behandles i anonymiseret eller pseudonymiseret form, hvis dette gør det muligt at opfylde formålet med behandlingen (artikel 3, stk. 7, i PIPA).

(28)

For det andet henviser artikel 58, stk. 1, i PIPA til personoplysninger, der indsamles eller udbedes med henblik på analyse af oplysninger vedrørende national sikkerhed. Anvendelsesområdet for og konsekvenserne af denne delvise undtagelse er nærmere beskrevet i betragtning 149.

(29)

For det tredje finder den delvise undtagelse anvendelse på midlertidig behandling af personoplysninger, når dette er bydende nødvendigt af hensyn til den offentlige sikkerhed, herunder folkesundheden. Denne kategori fortolkes strengt i PIPC og er ifølge de modtagne oplysninger aldrig blevet anvendt. Den finder kun anvendelse i nødsituationer, der kræver en hurtig indsats, f.eks. for at spore smitsomme agenser eller for at redde og hjælpe ofre for naturkatastrofer (43). Selv i disse tilfælde omfatter den delvise undtagelse kun behandling af personoplysninger i en begrænset periode med henblik på at gennemføre en sådan foranstaltning. Situationer, hvor dette kan finde anvendelse på dataoverførsler, der er omfattet af denne afgørelse, er endnu mere begrænsede i betragtning af den ringe sandsynlighed for, at personoplysninger, der overføres fra Unionen til koreanske operatører, vil være af den type, der kan gøre den efterfølgende behandling »bydende nødvendig« i sådanne nødsituationer.

(30)

Endelig finder den delvise undtagelse anvendelse på personoplysninger, der indsamles eller anvendes af pressen og i forbindelse med religiøse organisationers missionsarbejde eller politiske partiers udnævnelse af kandidater. Undtagelsen gælder kun, når personoplysninger behandles af pressen, religiøse organisationer eller politiske partier til disse specifikke formål (dvs. journalistiske aktiviteter, missionsarbejde og udnævnelse af politiske kandidater). Hvis disse enheder behandler personoplysninger til andre formål, f.eks. forvaltning af menneskelige ressourcer eller intern administration, finder PIPA fuld anvendelse.

(31)

Med hensyn til pressens behandling af personoplysninger i forbindelse med journalistiske aktiviteter er balancen mellem ytringsfrihed og andre rettigheder (herunder retten til privatlivets fred) fastsat i lov om voldgift og erstatning mv. for skade forårsaget af presseartikler (presseloven) (44). Det fastsættes navnlig i artikel 5 i presseloven, at pressen (dvs. medieforetagender, aviser, tidsskrifter eller onlineaviser) og internetbaserede nyhedstjenester eller multimedieforetagender ikke må krænke den enkeltes ret til privatlivets fred. Hvis der alligevel sker en krænkelse af privatlivets fred, skal den straks afhjælpes i overensstemmelse med specifikke procedurer, der er fastsat i loven. I denne henseende giver loven enkeltpersoner, der lider skade som følge af en presseartikel, en række rettigheder til at få offentliggjort en berigtigelse af falske udsagn, en berigtigelse i form af et dementi eller en ny presseartikel (hvis en presseartikel vedrører påstande om forbrydelser, som den pågældende senere frikendes for) (45). Enkeltpersoners krav kan afgøres direkte af medieforetagenderne (gennem en ombudsmand) (46), ved forlig eller voldgift (ved en specialiseret pressevoldgiftskommission) (47) eller ved domstolene. Enkeltpersoner kan også få erstatning, hvis de lider økonomisk tab, hvis en personlig rettighed krænkes, eller hvis de lider psykisk overlast som følge af en ulovlig handling fra pressens side (forsætlig eller uagtsom) (48). Pressen er fritaget for ansvar i henhold til loven, i det omfang en presseartikel, der griber ind i en persons rettigheder, ikke er i strid med sociale værdier og offentliggøres enten med den pågældende persons samtykke eller i offentlighedens interesse (og der er tilstrækkeligt grundlag for at antage, at presseartiklen stemmer overens med sandheden) (49).

(32)

Pressens behandling af personoplysninger i forbindelse med journalistiske aktiviteter er derfor underlagt specifikke garantier i henhold til presseloven, men der er ikke de samme supplerende garantier for anvendelsen af undtagelserne i forbindelse med religiøse organisationers og politiske partiers behandlingsaktiviteter som i artikel 85, 89 og 91 i forordning (EU) 2016/679. Kommissionen finder det derfor hensigtsmæssigt at udelukke religiøse organisationer, i det omfang de behandler personoplysninger i forbindelse med deres missionsarbejde, og politiske partier, i det omfang de behandler personoplysninger i forbindelse med udnævnelsen af kandidater, fra denne afgørelses anvendelsesområde.

(33)

Enhver behandling af personoplysninger bør være lovlig og rimelig.

(34)

Dette princip er fastlagt i artikel 3, stk. 1 og 2, i PIPA og styrkes af artikel 59 i PIPA, som forbyder behandling af personoplysninger »ved brug af svig eller utilbørlige eller urimelige midler«, »uden retlig bemyndigelse« eller »uden behørig bemyndigelse« (50). Disse generelle principper for lovlig behandling er uddybet i artikel 15-19 i PIPA, som fastsætter de forskellige retsgrundlag for behandling (indsamling, anvendelse og videregivelse til tredjemand), herunder de omstændigheder, hvorunder dette kan indebære en ændring af formål (artikel 18 i PIPA).

(35)

I henhold til artikel 15, stk. 1, i PIPA må en dataansvarlig kun indsamle personoplysninger (inden for rammerne af formålet med indsamlingen) af et begrænset antal retlige grunde. Disse er 1) den registreredes samtykke (51) (nr. 1), 2) nødvendigheden af at gennemføre og opfylde en kontrakt med den registrerede (nr. 4), 3) en særlig lovbestemt tilladelse eller en nødvendighed for at opfylde en retlig forpligtelse (nr. 2), nødvendigheden (52) af, at en offentlig institution varetager de opgaver, der henhører under dens kompetence i henhold til lovgivningen, 4) den åbenlyse nødvendighed af at beskytte den registreredes eller tredjemands liv, legeme eller ejendom mod overhængende fare (kun hvis den registrerede ikke er i stand til at give udtryk for sin hensigt, eller hvis der ikke kan indhentes forudgående samtykke) (nr. 5), 5) nødvendigheden af at beskytte den dataansvarliges »berettigede interesse«, hvis den går »klart forud for« den registreredes interesser (og kun hvis behandlingen har en »væsentlig forbindelse« til den legitime interesse og ikke går videre, end hvad der er rimeligt) (nr. 6) (53). Disse grunde til behandling svarer i det væsentlige til dem, der er fastsat i artikel 6 i forordning (EU) 2016/679, herunder begrundelsen »berettiget interesse«, der svarer til begrundelsen »legitim interesse« i artikel 6, stk. 1, litra f), i forordning (EU) 2016/679.

(36)

Indsamlede personoplysninger kan anvendes inden for rammerne af formålet med indsamlingen (artikel 15, stk. 1, i PIPA) eller »inden for rammer, der er rimeligt relateret « til formålet med indsamlingen, under hensyntagen til eventuelle ulemper for den registrerede, og forudsat at de nødvendige sikkerhedsforanstaltninger (f.eks. kryptering) er blevet truffet (artikel 15, stk. 3, i PIPA). For at afgøre, om formålet med anvendelsen er »rimeligt relateret« til det oprindelige indsamlingsformål, anvendes de specifikke kriterier i gennemførelsesdekretet, som svarer til kriterierne i artikel 6, stk. 4, i forordning (EU) 2016/679. Der skal navnlig være en betydelig relevans i forhold til det oprindelige formål, den videre anvendelse skal være forudsigelig (f.eks. i lyset af de omstændigheder, hvorunder oplysningerne blev indsamlet), og hvis det er muligt, skal oplysningerne pseudonymiseres (54). De specifikke kriterier, som den dataansvarlige anvender i forbindelse med denne vurdering, skal meddeles på forhånd i politikken for beskyttelse af privatlivets fred (55). Desuden er den databeskyttelsesansvarlige (jf. betragtning 94) specifikt forpligtet til at undersøge, om den videre anvendelse sker inden for disse parametre.

(37)

Der gælder tilsvarende (men noget strengere) regler for videregivelse af oplysninger til tredjemand. I henhold til artikel 17, stk. 1, i PIPA kan personoplysninger videregives til tredjemand på grundlag af samtykke (56) eller inden for rammerne af formålet med indsamlingen, hvis oplysningerne er blevet indsamlet af en eller flere af de retlige grunde i artikel 15, stk. 1, nr. 2, 3 og 5, i PIPA. Dette udelukker navnlig enhver videregivelse baseret på den dataansvarliges »berettigede interesse«. Derudover tillader artikel 17, stk. 4, i PIPA videregivelse til tredjemand »inden for rammer, der er rimeligt relateret« til formålet med indsamlingen, under hensyntagen til eventuelle ulemper for den registrerede, og forudsat at de nødvendige sikkerhedsforanstaltninger (f.eks. kryptering) er blevet truffet. Der skal tages hensyn til de samme faktorer som i betragtning 36 for at vurdere, om videregivelsen ligger inden for rammer, der er rimeligt relateret til formålet med indsamlingen, og de samme garantier (dvs. for gennemsigtighed gennem politikken for beskyttelse af privatlivets fred og inddragelse af den databeskyttelsesansvarlige) finder anvendelse.

(38)

En koreansk dataansvarligs modtagelse af personoplysninger fra Unionen betragtes som »indsamling« som omhandlet i artikel 15 i PIPA. I meddelelse nr. 2021-5 (afsnit I i bilag I til denne afgørelse) præciseres det, at det formål, hvortil oplysningerne blev overført fra den pågældende EU-enhed, er formålet med indsamlingen for den koreanske dataansvarlige. Som følge heraf er koreanske dataansvarlige, der modtager personoplysninger fra Unionen, i princippet forpligtet til at behandle sådanne oplysninger inden for rammerne af formålet med overførslen i overensstemmelse med artikel 17 i PIPA.

(39)

Der gælder særlige begrænsninger, hvis den dataansvarlige ønsker at anvende personoplysningerne eller videregive dem til tredjemand til et andet formål end formålet med indsamlingen (57). I henhold til artikel 18, stk. 2, i PIPA kan en privat dataansvarlig undtagelsesvis (58) anvende personoplysninger eller videregive dem til tredjemand til et andet formål: 1) baseret på den registreredes yderligere (dvs. særskilte) samtykke, 2) hvis det er fastsat i særlige lovbestemmelser, eller 3) hvis det er åbenlyst nødvendigt for beskyttelsen af den registreredes eller tredjemands liv, legeme eller ejendom mod overhængende fare (kun hvis den registrerede ikke er i stand til at give udtryk for sin hensigt, eller hvis der ikke kan indhentes forudgående samtykke) (59).

(40)

Offentlige institutioner kan også anvende personoplysninger eller videregive dem til tredjemand til et andet formål i visse situationer. Dette omfatter tilfælde, hvor det ellers ville være umuligt for offentlige institutioner at udføre deres lovbestemte opgaver, med forbehold af PIPC's godkendelse. Desuden kan offentlige institutioner videregive personoplysninger til en anden myndighed eller domstol, hvis dette er nødvendigt for at efterforske og retsforfølge forbrydelser eller for at rejse tiltale, for at en domstol kan udføre sine opgaver i forbindelse med verserende retssager, eller for at fuldbyrde en strafferetlig sanktion eller en kendelse om varetægtsfængsling (60). De kan også videregive personoplysninger til en udenlandsk regering eller international organisation for at opfylde en retlig forpligtelse i henhold til en traktat eller en international konvention, i hvilket tilfælde de også skal opfylde kravene vedrørende grænseoverskridende dataoverførsler (jf. betragtning 90).

(41)

Principperne om lovlig og rimelig behandling gennemføres derfor i koreansk ret på en måde, der i det væsentlige svarer til forordning (EU) 2016/679, ved kun at tillade behandling på grundlag af legitime og klart definerede grunde. I alle nævnte tilfælde er behandlingen desuden kun tilladt, hvis det ikke er sandsynligt, at det vil »krænke den registreredes eller tredjemands interesser uretmæssigt«, hvilket kræver en afvejning af interesser. Desuden foreskriver artikel 18, stk. 5, i PIPA supplerende garantier, når den dataansvarlige videregiver personoplysninger til tredjemand, som kan omfatte et krav om at begrænse anvendelsesformålet eller -metoden eller om at indføre specifikke sikkerhedsforanstaltninger. Tredjemand er derefter forpligtet til at gennemføre de krævede foranstaltninger.

(42)

Endelig giver artikel 28-2 i PIPA mulighed for (videre)behandling af pseudonymiserede oplysninger uden den berørte persons samtykke til statistiske formål, videnskabelige forskningsformål (61) og arkivformål i samfundets interesse med forbehold af specifikke garantier. I lighed med forordning (EU) 2016/679 (62) letter PIPA derfor (videre)behandling af personoplysninger til sådanne formål inden for en ramme, der giver fornødne garantier for beskyttelse af personers rettigheder. I stedet for at anvende pseudonymisering som en mulig garanti pålægger PIPA pseudonymisering som en forudsætning for at udføre visse behandlingsaktiviteter til statistiske formål, videnskabelige forskningsformål og arkivformål i samfundets interesse (f.eks. for at kunne behandle oplysninger uden samtykke eller samkøre forskellige datasæt).

(43)

Desuden indfører PIPA en række specifikke garantier, navnlig med hensyn til krævede tekniske og organisatoriske foranstaltninger, registrering, begrænsninger vedrørende dataudveksling og håndtering af mulige risici for genidentifikation. Kombinationen af de forskellige garantier, der er beskrevet i betragtning 44-48 sikrer, at behandlingen af personoplysninger i denne sammenhæng i det væsentlige er omfattet af samme beskyttelse som den, der kræves i henhold til forordning (EU) 2016/679.

(44)

For det første forbyder artikel 28-5, stk. 1, i PIPA behandling af pseudonymiserede oplysninger med det formål at identificere en bestemt person. Hvis oplysninger, der kan identificere en person, alligevel frembringes under behandlingen af pseudonymiserede oplysninger, skal den dataansvarlige straks suspendere behandlingen og tilintetgøre sådanne oplysninger (artikel 28-5, stk. 2, i PIPA). Manglende overholdelse af disse bestemmelser straffes med administrative bøder og udgør en strafbar handling (63). Dette betyder, at selv i situationer, hvor det vil være praktisk muligt at genidentificere den pågældende person, er en sådan genidentifikation retligt forbudt.

(45)

For det andet skal den dataansvarlige i forbindelse med (videre)behandling af pseudonymiserede oplysninger til sådanne formål indføre specifikke teknologiske, ledelsesmæssige og fysiske foranstaltninger for at garantere oplysningernes sikkerhed (herunder separat opbevaring og forvaltning af de oplysninger, der er nødvendige for at genoprette de pseudonymiserede oplysninger til deres oprindelige tilstand) (64). Desuden skal der føres fortegnelser over de pseudonymiserede oplysninger, der behandles, og over formålet med behandlingen, den tidligere anvendelse og eventuelle tredjepartsmodtagere (artikel 29-5, stk. 2, i PIPA-gennemførelsesdekretet).

(46)

For det tredje indeholder PIPA endelig specifikke garantier til at forhindre, at tredjemand identificerer enkeltpersoner i forbindelse med udveksling af oplysninger. Dataansvarlige, der videregiver pseudonymiserede oplysninger til tredjemand til statistiske formål, videnskabelige forskningsformål eller arkivformål i samfundets interesse, må navnlig ikke medtage oplysninger, der kan anvendes til at identificere en bestemt person (artikel 28-2, stk. 2, i PIPA) (65).

(47)

PIPA giver mere specifikt mulighed for at samkøre pseudonymiserede oplysninger (behandlet af forskellige dataansvarlige) til statistiske formål, videnskabelige forskningsformål eller arkivformål i samfundets interesse, men denne beføjelse gives kun til specialiserede institutioner med særlige sikkerhedsfaciliteter (artikel 28-3, stk. 1, i PIPA) (66). Når en dataansvarlig ansøger om samkøring af pseudonymiserede oplysninger, skal den pågældende indsende dokumentation, herunder om de oplysninger, der skal samkøres, om formålet med samkøringen samt om de foreslåede sikkerhedsforanstaltninger til behandling af de samkørte oplysninger (67). For at muliggøre denne samkøring skal den dataansvarlige sende de oplysninger, der skal samkøres, til den specialiserede institution og levere en »samkøringsnøgle« (dvs. de oplysninger, der er blevet anvendt til pseudonymisering) til Koreas internet- og sikkerhedsagentur (68). Agenturet genererer »samkøringsnøglelinkdata« (som gør det muligt at forbinde forskellige ansøgeres samkøringsnøgler med henblik på at samkøre datasættene) og videregiver dem til den specialiserede institution (69).

(48)

Den dataansvarlige, der har anmodet om en samkøring, kan analysere de samkørte oplysninger hos den specialiserede institution i et rum, hvor der er indført specifikke tekniske, fysiske og administrative sikkerhedsforanstaltninger (artikel 29-3 i PIPA-gennemførelsesdekretet). Dataansvarlige, der bidrager med et datasæt til en sådan samkøring, må kun eksportere de samkørte data fra den specialiserede institution efter yderligere pseudonymisering eller anonymisering af de samkørte data og med den pågældende institutions godkendelse (artikel 28-3, stk. 2, i PIPA) (70). Når det overvejes, om der skal gives en sådan godkendelse, vurderer institutionen forbindelsen mellem de samkørte data og formålet med behandlingen, og om der er udarbejdet en særlig sikkerhedsplan for anvendelsen af sådanne data (71). Det er ikke tilladt at eksportere de samkørte oplysninger fra institutionen, hvis oplysningerne indeholder data, der gør det muligt at identificere en person (72). Endelig overvåges den specialiserede institutions samkøring og frigivelse af pseudonymiserede oplysninger af PIPC (artikel 29-4, stk. 3, i PIPA-gennemførelsesdekretet).

(49)

Der bør være specifikke garantier, når »særlige kategorier« af oplysninger behandles.

(50)

PIPA indeholder specifikke regler for behandling af følsomme oplysninger (73), der defineres som personoplysninger om ideologi, tro, optagelse i eller udtræden af en fagforening eller et politisk parti, en persons politiske holdninger, sundhed og seksualitet samt andre personoplysninger, der kan true den registreredes ret til privatlivets fred »mærkbart«, og som er identificeret som følsomme oplysninger ved præsidentielt dekret (74). Ifølge præciseringerne fra PIPC fortolkes seksuallivet således, at det også omfatter den enkeltes seksuelle orientering eller præferencer (75). Endvidere tilføjer artikel 18 i gennemførelsesdekretet yderligere kategorier til gruppen af følsomme oplysninger, navnlig DNA-oplysninger fra genetiske test og oplysninger om straffedomme. Den nylige ændring af PIPA-gennemførelsesdekretet har yderligere udvidet begrebet følsomme oplysninger ved at medtage personoplysninger om race eller etnisk oprindelse og biometriske oplysninger (76). Efter denne ændring svarer begrebet følsomme oplysninger i PIPA i det væsentlige til begrebet i artikel 9 i forordning (EU) 2016/679.

(51)

I henhold til artikel 23, stk. 1, i PIPA og i lighed med bestemmelsen i artikel 9, stk. 1, i forordning (EU) 2016/679 er behandling af følsomme oplysninger generelt forbudt, medmindre en af de nævnte undtagelser finder anvendelse (77). Disse begrænser behandlingen til tilfælde, hvor den dataansvarlige underretter den registrerede i overensstemmelse med artikel 15 og 17 i PIPA og indhenter særskilt samtykke (dvs. adskilt fra samtykke til behandling af andre personoplysninger), eller hvor behandlingen er påkrævet eller tilladt i henhold til loven. Offentlige myndigheder kan også behandle biometriske oplysninger, DNA-oplysninger indhentet ved gentestning, personoplysninger om race eller etnisk oprindelse og oplysninger om straffedomme, på grundlag, som udelukkende kan påberåbes af dem (f.eks. hvis det er nødvendigt for efterforskningen af forbrydelser, eller hvis det er nødvendigt for, at en domstol kan komme videre med en sag) (78). Retsgrundlaget for behandling af følsomme oplysninger er mere begrænset end for andre typer personoplysninger, og det er endnu mere restriktivt i koreansk ret end i artikel 9, stk. 2, i forordning (EU) 2016/679.

(52)

Desuden understreges det i artikel 23, stk. 2, i PIPA — manglende overholdelse, der kan føre til sanktioner (79) — at det er særlig vigtigt at sikre en tilstrækkelig sikker behandling af følsomme oplysninger, således at de »ikke går tabt, stjæles, videregives, forfalskes, ændres eller beskadiges.« Selv om dette er et generelt krav i henhold til artikel 29 i PIPA, gør artikel 3, stk. 4, det klart, at sikkerhedsniveauet skal tilpasses den type personoplysninger, der behandles, hvilket betyder, at der skal tages hensyn til de særlige risici, der er forbundet med behandlingen af følsomme oplysninger. Desuden skal databehandlingen altid foretages »på en måde, der minimerer risikoen for at krænke« den registreredes ret til privatlivets fred og om muligt »anonymt« (artikel 3, stk. 6 og 7, i PIPA). Disse krav er særlig relevante, når behandlingen vedrører følsomme oplysninger.

(53)

Personoplysninger skal indsamles til et specifikt formål og må ikke behandles på en måde, der er uforenelig med behandlingsformålet.

(54)

Dette princip sikres ved artikel 3, stk. 1, og 2, i PIPA, hvori det fastsættes, at den dataansvarlige »specificerer og udtrykkeligt angiver« formålet med behandlingen, behandler personoplysninger på en hensigtsmæssig måde, der er nødvendig til dette formål, og må ikke anvende dem til andre formål. Det generelle princip om formålsbegrænsning bekræftes også i artikel 15, stk. 1, artikel 18, stk. 1, og artikel 19 og — for databehandlere (såkaldte »outsourcingpartnere«) — i artikel 26, stk. 1, nr. 1, og stk. 5 og 7, i PIPA). Personoplysninger må i princippet navnlig kun anvendes og videregives til tredjemand inden for rammerne af det formål, hvortil de blev indsamlet (artikel 15, stk. 1, og artikel 17, stk. 1, nr. 2). Behandling til et foreneligt formål, dvs. »inden for rammer, der er rimeligt relateret til det oprindelige formål med indsamlingen«, må kun finde sted, hvis den ikke påvirker de berørte registrerede negativt, og hvis der træffes de nødvendige sikkerhedsforanstaltninger (f.eks. kryptering) (artikel 15, stk. 3, og artikel 17, stk. 4, i PIPA). For at afgøre, om viderebehandlingen er til et foreneligt formål, indeholder PIPA-gennemførelsesdekretet en liste over specifikke kriterier, der svarer til dem, der er fastsat i artikel 6, stk. 4, i forordning (EU) 2016/679, jf. betragtning 36.

(55)

Som forklaret i betragtning 38 er formålet med indsamlingen, når koreanske dataansvarlige modtager personoplysninger fra Unionen, det formål, hvortil oplysningerne overføres. Den dataansvarlige kan kun undtagelsesvis ændre formålet i specifikke (opregnede) tilfælde (artikel 18, stk. 2, nr. l-3, i PIPA, se også betragtning 39). I det omfang en ændring af formålet er tilladt ved lov, skal den grundlæggende ret til privatlivets fred og databeskyttelse samt de principper om nødvendighed og proportionalitet, der er fastsat i den koreanske forfatning, respekteres i denne lovgivning. Desuden indeholder artikel 18, stk. 2, og 5, i PIPA supplerende garantier, navnlig kravet om, at en sådan ændring af formål ikke må krænke den registreredes interesser uretmæssigt, hvilket altid kræver en afvejning af interesser. Dette sikrer et beskyttelsesniveau, der i det væsentlige svarer til niveauet i henhold til artikel 5, stk. 1, litra b), og artikel 6 sammenholdt med betragtning 50 i forordning (EU) 2016/679.

(56)

Personoplysninger skal være korrekte og om nødvendigt ajourførte. Oplysningerne skal også være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles.

(57)

Princippet om rigtighed anerkendes ligeledes i artikel 3, stk. 3, i PIPA, som kræver, at personoplysninger er »korrekte, fuldstændige og ajourførte i det omfang, det er nødvendigt i forhold til de formål«, hvortil oplysningerne behandles. Dataminimering er påkrævet i henhold til artikel 3, stk. 1 og 6, og artikel 16, stk. 1, i PIPA, hvori det fastsættes, at den dataansvarlige (kun) indsamler personoplysninger »i mindst muligt omfang« for at nå det tilsigtede formål, og at den dataansvarlige bærer bevisbyrden i denne henseende. Hvis det er muligt at opfylde formålet med indsamlingen ved at behandle oplysninger i anonymiseret form, bør de dataansvarlige bestræbe sig på at gøre dette (artikel 3, stk. 7, i PIPA).

(58)

Personoplysninger bør i princippet ikke opbevares længere end nødvendigt til de formål, hvortil personoplysningerne behandles.

(59)

Princippet om opbevaringsbegrænsning er ligeledes fastsat i artikel 21, stk. 1, i PIPA (80), som pålægger den dataansvarlige straks at »tilintetgøre« (81) personoplysninger, når formålet med behandlingen er opfyldt, eller når opbevaringsperioden er udløbet (alt efter hvad der indtræffer først), medmindre yderligere opbevaring er påkrævet i henhold til loven (82). I sidstnævnte tilfælde »opbevares og forvaltes de pågældende personoplysninger adskilt fra andre personoplysninger« (artikel 21, stk. 3, i PIPA).

(60)

Artikel 21, stk. 1, i PIPA finder ikke anvendelse, når pseudonymiserede oplysninger behandles til statistiske formål, videnskabelige forskningsformål eller arkivformål i samfundets interesse (83). For ligeledes at sikre princippet om opbevaringsbegrænsning i dette tilfælde pålægger meddelelse nr. 2021-5 dataansvarlige at anonymisere oplysningerne i overensstemmelse med artikel 58-2 i PIPA, hvis oplysningerne ikke er blevet tilintetgjort, når det specifikke formål med behandlingen er opfyldt (84).

(61)

Personoplysninger bør behandles på en måde, der garanterer deres sikkerhed, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse. Med henblik herpå bør de erhvervsdrivende træffe passende tekniske eller organisatoriske foranstaltninger for at beskytte personoplysninger mod mulige trusler. Disse foranstaltninger bør vurderes under hensyntagen til det aktuelle tekniske niveau, de dermed forbundne omkostninger og behandlingens karakter, omfang, sammenhæng og formål samt risiciene for den enkeltes rettigheder.

(62)

Et lignende sikkerhedsprincip er fastsat i artikel 3, stk. 4, i PIPA, der pålægger dataansvarlige at behandle »personoplysninger sikkert i overensstemmelse med behandlingsmetoder, typer mv. af personoplysninger under hensyntagen til risikoen for krænkelse af den registreredes rettigheder og alvoren af de pågældende risici«. Desuden behandler den dataansvarlige »personoplysninger på en måde, der minimerer risikoen for at krænke den registreredes ret til privatlivets fred«, og bestræber sig i denne forbindelse på at behandle personoplysninger anonymt eller i pseudonymiseret form, hvis det er muligt (artikel 3, stk. 6 og 7, i PIPA).

(63)

Disse generelle krav uddybes yderligere i artikel 29 i PIPA, ifølge hvilken enhver dataansvarlig »træffer de tekniske, ledelsesmæssige og fysiske foranstaltninger, f.eks. udarbejdelse af en intern forvaltningsplan og opbevaring af loginregistreringer mv., der er nødvendige for at garantere sikkerheden i henhold til præsidentielt dekret, således at personoplysningerne ikke går tabt, stjæles, videregives, forfalskes, ændres eller beskadiges.« Disse foranstaltninger præciseres i artikel 30, stk. 1, i PIPA-gennemførelsesdekretet, hvor der henvises til 1) udarbejdelse og gennemførelse af en intern forvaltningsplan for sikker behandling af personoplysninger, 2) adgangskontrol og -begrænsninger, 3) indførelse af krypteringsteknologi til sikker opbevaring og videregivelse af personoplysninger, 4) loginregistreringer, 5) sikkerhedsprogrammer og 6) fysiske foranstaltninger såsom et sikkert opbevarings- eller låsningssystem (85).

(64)

Desuden gælder der særlige forpligtelser i tilfælde af brud på datasikkerheden (artikel 34 i PIPA sammenholdt med artikel 39 og 40 i PIPA-gennemførelsesdekretet) (86). Den dataansvarlige skal navnlig straks give de berørte registrerede nærmere oplysninger om bruddet (87), herunder oplysninger om (obligatoriske) modforanstaltninger truffet af den dataansvarlige og om, hvad de registrerede kan gøre for at minimere risikoen for skade (artikel 34, stk. 1 og 2, i PIPA) (88). Hvis bruddet på datasikkerheden berører mindst 1 000 registrerede, indberetter den dataansvarlige straks også bruddet på datasikkerheden og de modforanstaltninger, der er truffet, til PIPC og Koreas internet- og sikkerhedsagentur, som kan yde teknisk bistand (artikel 34, stk. 3, i PIPA sammenholdt med artikel 39 i PIPA-gennemførelsesdekretet). Dataansvarlige er ansvarlige for skade som følge af brud på datasikkerheden i henhold til bestemmelserne i civilloven om ansvar uden for kontraktforhold (se også afsnit 2.5 om prøvelsesadgang) (89).

(65)

Den dataansvarlige skal i forbindelse med opfyldelsen af sine sikkerhedsforpligtelser bistås af en databeskyttelsesansvarlig, hvis opgaver bl.a. omfatter opbygning af et internt kontrolsystem »for at forhindre videregivelse, misbrug og forkert anvendelse af personoplysninger« (artikel 31, stk. 2, nr. 4, i PIPA). Desuden har den dataansvarlige pligt til at føre »passende kontrol og tilsyn« med medarbejdere, der behandler personoplysninger, herunder med hensyn til sikker forvaltning heraf. Dette omfatter den nødvendige uddannelse af medarbejdere (artikel 28, stk. 1 og 2, i PIPA). Endelig skal den dataansvarlige i tilfælde af outsourcet behandling stille krav til »outsourcingpartneren«, bl.a. vedrørende sikker forvaltning af personoplysninger (»tekniske og ledelsesmæssige garantier«), og den dataansvarlige skal føre tilsyn med, hvordan disse gennemføres gennem inspektioner (artikel 26, stk. 1 og 4, i PIPA sammenholdt med artikel 28, stk. 1, nr. 3, 4 og 6, i PIPA-gennemførelsesdekretet).

(66)

De registrerede skal informeres om de vigtigste elementer i behandlingen af deres personoplysninger.

(67)

Dette sikres på forskellige måder i det koreanske system. Bortset fra retten til information i henhold til artikel 4, nr. 1, (generelt) og artikel 20, stk. 1, i PIPA (for personoplysninger indsamlet fra tredjemand) samt retten til indsigt i henhold til artikel 35 i PIPA indeholder PIPA et generelt krav om gennemsigtighed med hensyn til formålet med behandlingen (artikel 3, stk. 1, i PIPA) og specifikke gennemsigtighedskrav, hvis behandlingen er baseret på samtykke (artikel 15, stk. 2, artikel 17, stk. 2, og artikel 18, stk. 3, i PIPA) (90). Desuden pålægger artikel 20, stk. 2, i PIPA visse dataansvarlige — for hvem behandlingen overstiger visse tærskler (91) — at underrette den registrerede, hvis personoplysninger de har modtaget fra tredjemand, om oplysningskilden, formålet med behandlingen og den registreredes ret til at kræve, at behandlingen suspenderes, medmindre en sådan underretning viser sig umulig på grund af manglende kontaktoplysninger. Der gælder undtagelser for visse persondatafiler, der opbevares af offentlige myndigheder, navnlig filer med oplysninger, der behandles til nationale sikkerhedsformål eller med henblik på andre særlig vigtige (»alvorlige«) nationale interesser eller strafferetlig håndhævelse, eller hvis underretningen sandsynligvis vil skade en anden persons liv eller legeme eller uretmæssigt skader en anden persons ejendom og andre interesser, dog kun hvis de pågældende offentlige eller private interesser går »klart forud for« de berørte registreredes rettigheder (artikel 20, stk. 4, i PIPA). Dette kræver en afvejning af interesser.

(68)

Desuden pålægger artikel 3, stk. 5, i PIPA dataansvarlige at offentliggøre deres politik for beskyttelse af privatlivets fred (og andre spørgsmål vedrørende behandling af personoplysninger). Dette krav præciseres yderligere i artikel 30 i PIPA sammenholdt med artikel 31 i PIPA-gennemførelsesdekretet. I henhold til disse bestemmelser skal den offentlige politik for beskyttelse af privatlivets fred bl.a. indeholde oplysninger om 1) de typer personoplysninger, der behandles, 2) formålet med behandlingen, 3) opbevaringsperioden, 4) hvorvidt personoplysninger videregives til tredjemand (92), 5) enhver form for outsourcet behandling, 6) den registreredes rettigheder og om, hvordan de skal udøves, og 7) kontaktoplysninger (herunder navnet på den databeskyttelsesansvarlige eller den interne afdeling, der er ansvarlig for at sikre overholdelsen af databeskyttelsesreglerne og klagebehandling). Politikken for beskyttelse af privatlivets fred skal offentliggøres på en sådan måde, at de registrerede »let kan genkende den« (artikel 30, stk. 2, i PIPA) (93), og løbende ajourføres (artikel 31, stk. 2, i PIPA-gennemførelsesdekretet).

(69)

Offentlige institutioner er navnlig underlagt en yderligere forpligtelse til at registrere følgende oplysninger hos PIPC: 1) navnet på den offentlige institution, 2) grundene til og formålene med behandlingen af persondatafilerne, 3) nærmere oplysninger om de registrerede personoplysninger, 4) behandlingsmetoden, 5) opbevaringsperioden, 6) antallet af registrerede, hvis personoplysninger opbevares, 7) den afdeling, der behandler de registreredes anmodninger, og 8) modtagerne af personoplysninger, hvis oplysningerne videregives rutinemæssigt eller gentagne gange (artikel 32, stk. 1, i PIPA) (94). Registrerede persondatafiler offentliggøres af PIPC, og offentlige institutioner skal også angive dette i deres politik for beskyttelse af privatlivets fred (artikel 30, stk. 1, og artikel 32, stk. 4, i PIPA).

(70)

For at øge gennemsigtigheden for registrerede i Unionen, hvis personoplysninger overføres til Korea på grundlag af denne afgørelse, pålægger afsnit 3, nr. i) og nr. ii), i meddelelse nr. 2021-5 (bilag I) yderligere gennemsigtighedskrav. For det første skal koreanske dataansvarlige, der modtager personoplysninger fra Unionen på grundlag af denne afgørelse, uden unødig forsinkelse (og under alle omstændigheder senest en måned efter overførslen) underrette de berørte registrerede om navn og kontaktoplysninger på de enheder, der overfører og modtager oplysningerne, om de overførte personoplysninger (eller kategorier af personoplysninger), formålet med den koreanske dataansvarliges indsamling, opbevaringsperioden og rettighederne i henhold til PIPA. For det andet skal de registrerede, når personoplysninger modtaget fra Unionen på grundlag af denne afgørelse videregives til tredjemand, bl.a. underrettes om modtageren, de personoplysninger eller kategorier af personoplysninger, der skal videregives, det land, som oplysningerne videregives til (hvis det er relevant), samt om rettighederne i henhold til PIPA (95). På denne måde sikrer meddelelsen, at enkeltpersoner i EU fortsat informeres om de specifikke dataansvarlige, der behandler deres oplysninger, og at de kan udøve deres rettigheder over for de relevante enheder.

(71)

Afsnit 3, nr. iii), i meddelelsen (bilag I) tillader visse begrænsede og kvalificerede undtagelser fra disse yderligere gennemsigtighedsforpligtelser, der i det væsentlige svarer til dem, der er fastsat i forordning (EU) 2016/679. Underretning af registrerede i Unionen er navnlig ikke påkrævet, 1) hvis og så længe det er nødvendigt at begrænse underretningen af hensyn til visse samfundsinteresser (f.eks. hvis oplysningerne behandles til nationale sikkerhedsformål eller i forbindelse med igangværende strafferetlige efterforskninger), i det omfang disse mål i samfundets interesse går klart forud for den registreredes rettigheder, 2) hvis den registrerede allerede er bekendt med oplysningerne, 3) hvis og så længe underretningen sandsynligvis vil skade den registreredes eller en anden persons liv eller legeme eller uretmæssigt krænke en anden persons ejendomsinteresser, hvis disse rettigheder eller interesser går klart forud for den registreredes rettigheder, eller 4) hvis der ikke findes kontaktoplysninger for de pågældende personer, eller hvis der kræves en uforholdsmæssig stor indsats for at underrette dem. Ved afgørelsen af, om det er muligt at kontakte den registrerede, eller om dette indebærer en uforholdsmæssig stor indsats, tages der hensyn til muligheden for at samarbejde med dataeksportøren i Unionen.

(72)

Reglerne i betragtning 67-71 sikrer derfor et beskyttelsesniveau med hensyn til gennemsigtighed, som i det væsentlige svarer til det niveau, der er fastsat i forordning (EU) 2016/679.

(73)

Registrerede bør have visse rettigheder, som kan gøres gældende over for den dataansvarlige eller databehandleren, navnlig retten til indsigt i oplysninger, retten til berigtigelse, retten til at gøre indsigelse mod behandlingen og retten til at få oplysninger slettet. Samtidig kan sådanne rettigheder være underlagt begrænsninger, for så vidt som disse begrænsninger er nødvendige og forholdsmæssige for at beskytte vigtige mål af almen interesse.

(74)

I henhold til artikel 3, stk. 5, i PIPA garanterer den dataansvarlige de registreredes rettigheder, der er anført i artikel 4 i PIPA og yderligere præciseret i artikel 35-37, 39 og 39-2 i PIPA.

(75)

For det første har enkeltpersoner ret til oplysning og indsigt. Når den dataansvarlige har indsamlet personoplysninger fra tredjemand — hvilket altid vil være tilfældet, når oplysningerne overføres fra Unionen — har registrerede generelt ret til at modtage oplysninger om 1) »kilden« til de indsamlede personoplysninger (dvs. overdrageren), 2) formålet med behandlingen og 3) den registreredes ret til at kræve, at behandlingen suspenderes (artikel 20, stk. 1, i PIPA). Der gælder begrænsede undtagelser, nemlig når en sådan underretning sandsynligvis vil skade en anden persons liv eller legeme eller »uretmæssigt skader en anden persons ejendom og andre interesser«, dog kun hvis disse tredjemandsinteresser går »klart forud for« den registreredes rettigheder (artikel 20, stk. 4, nr. 2, i PIPA).

(76)

Desuden giver artikel 35, stk. 1 og 3, i PIPA sammenholdt med artikel 41, stk. 4, i PIPA-gennemførelsesdekretet de registrerede ret til indsigt i deres personoplysninger (96). Retten til indsigt omfatter bekræftelse af behandlingen, oplysninger om typen af behandlede oplysninger, formålet med behandlingen, opbevaringsperioden samt enhver videregivelse til tredjemand og udlevering af en kopi af de behandlede personoplysninger (artikel 4, nr. 3, i PIPA sammenholdt med artikel 41, stk. 1, i PIPA-gennemførelsesdekretet) (97). Adgangen kan kun begrænses (delvis adgang) (98) eller nægtes, hvis dette er fastsat ved lov (99), eller hvis den sandsynligvis vil skade tredjemands liv eller legeme eller er en uberettiget krænkelse af en anden persons ejendom og andre interesser (artikel 35, stk. 4, i PIPA) (100). Sidstnævnte indebærer, at der skal foretages en afvejning mellem den enkeltes og andres forfatningsmæssigt beskyttede rettigheder og friheder. Hvis adgangen begrænses eller nægtes, skal den dataansvarlige underrette den registrerede om årsagerne hertil og om, hvordan afgørelsen kan påklages (artikel 41, stk. 5, og artikel 42, stk. 2, i PIPA-gennemførelsesdekretet).

(77)

For det andet har registrerede ret til at få deres personoplysninger berigtiget eller slettet (101), »medmindre andet er udtrykkeligt fastsat i andre love« (artikel 36, stk. 1 og 2, i PIPA) (102). Efter modtagelse af en anmodning skal den dataansvarlige straks undersøge sagen, træffe de nødvendige foranstaltninger (103) og underrette den registrerede herom inden for 10 dage. Hvis anmodningen ikke kan imødekommes, indebærer dette krav om underretning, at der skal oplyses om årsagerne til afslaget og om, hvordan afgørelsen kan påklages (jf. artikel 36, stk. 4, i PIPA sammenholdt med artikel 43, stk. 3, i PIPA-gennemførelsesdekretet) (104).

(78)

Endelig har registrerede ret til straks at suspendere behandlingen af deres personoplysninger (105), medmindre en af de opregnede undtagelser finder anvendelse (artikel 37, stk. 1 og 2, i PIPA) (106). Den dataansvarlige kan afslå anmodningen, 1) hvis der er særlig lovhjemmel hertil, eller hvis det er nødvendigt (»uundgåeligt«) for at opfylde retlige forpligtelser, 2) hvis en suspension sandsynligvis vil skade tredjemands liv eller legeme eller er en uberettiget krænkelse af en anden persons ejendom og andre interesser, 3) hvis det ville være umuligt for en offentlig institution at udføre sin funktion i henhold til lovgivningen uden at behandle oplysningerne, eller 4) hvis den registrerede ikke udtrykkeligt opsiger den underliggende kontrakt med den dataansvarlige, selv om det ville være praktisk umuligt at gennemføre kontrakten uden at behandle oplysningerne. I så fald skal den dataansvarlige straks underrette den registrerede om årsagerne til afslaget og om, hvordan afgørelsen kan påklages (artikel 37, stk. 2, i PIPA sammenholdt med artikel 44, stk. 2, i PIPA-gennemførelsesdekretet). I henhold til artikel 37, stk. 4, i PIPA skal den dataansvarlige straks »træffe de nødvendige foranstaltninger, herunder tilintetgørelse af de relevante personoplysninger«, når pågældende efterkommer anmodningen om suspension (107).

(79)

Retten til suspension gælder også, når personoplysninger anvendes til direkte markedsføring, dvs. med henblik på at markedsføre varer eller tjenesteydelser eller udbyde dem til salg. Desuden kræver en sådan viderebehandling generelt den registreredes udtrykkelige (yderligere) samtykke (jf. artikel 15, stk. 1, nr. 1, og artikel 17, stk. 2, nr. 1, i PIPA) (108). I forbindelse med anmodningen om dette samtykke skal den dataansvarlige navnlig underrette den registrerede om den tilsigtede anvendelse af oplysningerne til direkte markedsføring — dvs. det forhold, at den registrerede kan kontaktes for at markedsføre varer eller tjenesteydelser eller udbyde dem til salg — på en »klart genkendelig måde« (artikel 22, stk. 2 og 4, i PIPA sammenholdt med artikel 17, stk. 2, nr. 1, i PIPA).

(80)

For at lette udøvelsen af individuelle rettigheder skal den dataansvarlige indføre særlige procedurer og offentliggøre dem (artikel 38, stk. 4, i PIPA) (109). Dette omfatter procedurer for indsigelser mod afslag på en anmodning (artikel 38, stk. 5, i PIPA). Den dataansvarlige skal sikre, at proceduren for udøvelse af rettigheder er »brugervenlig i forhold til den registrerede« og ikke vanskeligere end proceduren for indsamling af personoplysninger. Dette omfatter også forpligtelsen til at give oplysninger om proceduren på dens websted (artikel 41, stk. 2, artikel 43, stk. 1, og artikel 44, stk. 1, i PIPA-gennemførelsesdekretet (110)). Enkeltpersoner kan bemyndige en repræsentant til at indgive en sådan anmodning (artikel 38, stk. 1, i PIPA sammenholdt med artikel 45 i PIPA-gennemførelsesdekretet). Den dataansvarlige kan opkræve et gebyr (og i tilfælde af en anmodning om at sende kopier af personoplysninger, porto), men beløbet skal fastsættes »i forhold til de faktiske udgifter, der er nødvendige for behandlingen af [anmodningen]«. Der må ikke pålægges gebyrer (eller porto), hvis den dataansvarlige har foranlediget anmodningen (artikel 38, stk. 3, i PIPA sammenholdt med artikel 47 i PIPA-gennemførelsesdekretet).

(81)

PIPA og gennemførelsesdekretet hertil indeholder ikke generelle bestemmelser, som vedrører beslutninger, der påvirker den registrerede, og som udelukkende bygger på automatisk behandling af personoplysninger. I forbindelse med personoplysninger, der er blevet indsamlet i Unionen, vil enhver beslutning baseret på automatisk behandling imidlertid typisk blive truffet af den dataansvarlige i Unionen (som har en direkte relation til den berørte registrerede), og den vil således være omfattet af forordning (EU) 2016/679 (111). Dette omfatter overførselsscenarier, hvor behandlingen foretages af en udenlandsk (f.eks. koreansk) erhvervsdrivende, der handler som mandatar (databehandler) på vegne af den dataansvarlige i Unionen (eller som en underdatabehandler, der handler på vegne af en databehandler i Unionen, som har modtaget oplysningerne fra den indsamlende dataansvarlige i Unionen), og som på dette grundlag således træffer beslutningen. Fraværet af specifikke regler om automatiske beslutninger i PIPA vil derfor sandsynligvis ikke have indvirkning på beskyttelsesniveauet for personoplysninger overført i henhold til denne afgørelse.

(82)

Som en undtagelse finder bestemmelserne om gennemsigtighed efter anmodning (artikel 20) og individuelle rettigheder (artikel 35-37) samt kravet til udbydere af informations- og kommunikationstjenester om individuel underretning (artikel 39-8 i PIPA) ikke anvendelse på pseudonymiserede oplysninger, når disse behandles til statistiske formål, videnskabelige forskningsformål og arkivformål i samfundets interesse (artikel 28-7 i PIPA) (112). I overensstemmelse med tilgangen i artikel 11, stk. 2 (sammenholdt med betragtning 57) i forordning (EU) 2016/679 er dette begrundet i, at den dataansvarlige for at sikre gennemsigtighed eller indrømme individuelle rettigheder skulle fastslå, om nogle (og i givet fald hvilke) af oplysningerne vedrører den person, der fremsætter anmodningen, hvilket er udtrykkeligt forbudt i henhold til PIPA (artikel 28-5, stk. 1, i PIPA). Hvis en sådan genidentifikation indebærer, at pseudonymiseringen ophæves for hele det (pseudonymiserede) datasæt, vil det udsætte alle andre berørte personers personoplysninger for øgede risici. I forordning (EU) 2016/679 henvises til situationer, hvor genidentifikation er praktisk umulig, men tilgangen i PIPA er strengere ved udtrykkeligt at forbyde genidentifikation i alle situationer, hvor pseudonymiserede oplysninger behandles.

(83)

Det koreanske system som beskrevet i betragtning 74-82 indeholder derfor regler om registreredes rettigheder, der sikrer et beskyttelsesniveau, som i det væsentlige svarer til det niveau, der er fastsat i forordning (EU) 2016/679.

(84)

Beskyttelsesniveauet for personoplysninger, der overføres fra Unionen til dataansvarlige i Republikken Korea, må ikke undermineres af videreoverførsel af sådanne oplysninger til modtagere i et tredjeland.

(85)

Sådanne »videreoverførsler« udgør internationale overførsler fra Republikken Korea set fra den koreanske dataansvarliges synspunkt. I denne forbindelse skelner PIPA mellem outsourcing af behandling til outsourcingpartneren (dvs. en databehandler) og videregivelse af personoplysninger til tredjemand (113).

(86)

For det første skal den koreanske dataansvarlige, når behandlingen af personoplysninger outsources til en enhed i et tredjeland, sikre, at PIPA's bestemmelser om outsourcing overholdes (artikel 26 i PIPA). Dette omfatter indførelse af et retligt bindende instrument, der bl.a. begrænser outsourcingpartnerens behandling til formålet med det outsourcede arbejde, pålægger tekniske og ledelsesmæssige garantier og begrænser den outsourcede behandling (jf. artikel 26, stk. 1, i PIPA), og offentliggørelse af oplysninger om det outsourcede arbejde. Desuden er den dataansvarlige forpligtet til at »uddanne« outsourcingpartneren i de nødvendige sikkerhedsforanstaltninger og føre tilsyn med, herunder gennem inspektioner, om alle den dataansvarliges forpligtelser i henhold til PIPA (114) og outsourcingkontrakten overholdes.

(87)

Hvis outsourcingpartneren forvolder skade som følge af behandling af personoplysninger i strid med PIPA, holdes den dataansvarlige ansvarlig for denne skade med henblik på erstatningsansvar, som det er tilfældet med skade forvoldt af den dataansvarliges ansatte (artikel 26, stk. 6, i PIPA). Den koreanske dataansvarlige er derfor fortsat ansvarlig for de personoplysninger, der er blevet outsourcet, og skal sikre, at den udenlandske databehandler behandler oplysningerne i overensstemmelse med PIPA. Hvis outsourcingpartneren behandler oplysningerne i strid med PIPA, kan den koreanske dataansvarlige holdes ansvarlig for manglende overholdelse af sin forpligtelse til at sikre, at PIPA overholdes, f.eks. gennem dens tilsyn med outsourcingpartneren. Garantierne i outsourcingkontrakten og den koreanske dataansvarliges ansvar for outsourcingpartnerens handlinger sikrer kontinuitet i beskyttelsen, når behandlingen af personoplysninger outsources til en enhed uden for Korea.

(88)

For det andet kan koreanske dataansvarlige videregive personoplysninger til en tredjemand, der befinder sig uden for Korea. Selv om PIPA indeholder en række retlige grunde, der giver mulighed for videregivelse til tredjemand generelt, skal den dataansvarlige, hvis tredjemand befinder sig uden for Korea, i princippet (115) indhente den registreredes samtykke (116) efter at have givet den registrerede oplysninger om 1) typen af personoplysninger, 2) modtageren af personoplysningerne, 3) formålet med videregivelsen, dvs. modtagerens formål med behandlingen, 4) opbevaringsperioden i forbindelse med modtagerens behandling samt 5) den registreredes ret til at nægte samtykke (artikel 17, stk. 2 og 3, i IPA). Det angives i meddelelse nr. 2021-5, afsnittet om gennemsigtighed (jf. betragtning 70), at enkeltpersoner skal informeres om det tredjeland, som deres oplysninger vil blive videregivet til. Dette sikrer, at registrerede i Unionen kan træffe en fuldt informeret beslutning om, hvorvidt de ønsker at give samtykke til en grænseoverskridende overførsel. Desuden må den dataansvarlige ikke indgå en aftale med tredjepartsmodtageren i strid med PIPA, hvilket betyder, at aftalen ikke må indeholde forpligtelser, der er i modstrid med de krav, som PIPA pålægger den dataansvarlige (117).

(89)

Personoplysninger kan videregives til tredjemand (i udlandet) uden den registreredes samtykke, hvis formålet med videregivelsen forbliver »inden for rammer, der er rimeligt relateret til det oprindelige formål med indsamlingen« (artikel 17, stk. 4, i PIPA, jf. betragtning 36). Ved afgørelsen af, om der skal videregives personoplysninger til et »relateret« formål, skal den dataansvarlige imidlertid tage hensyn til, om videregivelsen er til ulempe for den registrerede, og om der er truffet de nødvendige sikkerhedsforanstaltninger (f.eks. kryptering). Da det tredjeland, som personoplysninger overføres til, ikke altid har et beskyttelsesniveau, som svarer til niveauet i PIPA, anerkendes det i afsnit 2 i meddelelse nr. 2021-5, at sådanne ulemper kan opstå og kun kan undgås, hvis den koreanske dataansvarlige og den udenlandske modtager gennem et retligt bindende instrument (f.eks. en kontrakt) sikrer et beskyttelsesniveau, som svarer til niveauet i PIPA, herunder med hensyn til registreredes rettigheder.

(90)

Der gælder særlige regler for »ikkeformålsbestemt« videregivelse, dvs. videregivelse af oplysninger til tredjemand til et nyt (ikkerelateret) formål, som kun kan finde sted af en af grundene i artikel 18, stk. 2, i PIPA, jf. betragtning 39. Selv under disse omstændigheder er videregivelse til tredjemand imidlertid udelukket, hvis det er sandsynligt, at det vil »krænke den registreredes eller tredjemands interesser uretmæssigt«, hvilket kræver en afvejning af interesser. Desuden skal den dataansvarlige i henhold til artikel 18, stk. 5, i PIPA anvende yderligere garantier, hvilket kan omfatte at anmode tredjemand om at begrænse formålet med og metoden til behandling eller indføre specifikke sikkerhedsforanstaltninger. Da det tredjeland, som personoplysninger overføres til, ikke altid har et beskyttelsesniveau, som svarer til niveauet i PIPA, anerkendes det i afsnit 2 i meddelelse nr. 2021-5, at en sådan uberettiget krænkelse af den registreredes eller tredjemands interesser kan finde sted og kun kan undgås, hvis den koreanske dataansvarlige og den udenlandske modtager gennem et retligt bindende instrument (f.eks. en kontrakt) sikrer et beskyttelsesniveau, som svarer til niveauet i PIPA, herunder med hensyn til registreredes rettigheder.

(91)

Reglerne i betragtning 86-90 sikrer derfor fortsat beskyttelse, når personoplysninger videreoverføres (til en »outsourcingpartner« eller tredjemand) fra Republikken Korea på en måde, som i det væsentlige svarer til det niveau, der er fastsat i forordning (EU) 2016/679.

(92)

I henhold til princippet om ansvarlighed skal enheder, der behandler oplysninger, træffe passende organisatoriske foranstaltninger med henblik på effektiv overholdelse af deres databeskyttelsesforpligtelser, og de skal være i stand til at dokumentere denne overholdelse, navnlig over for den kompetente tilsynsmyndighed.

(93)

I henhold til artikel 3, stk. 6 og 8, i PIPA, skal den dataansvarlige behandle personoplysninger »på en måde, der minimerer risikoen for at krænke« den registreredes ret til privatlivets fred, og bestræbe sig på at vinde de registreredes tillid ved at overholde og udføre de opgaver og ansvarsområder, der er fastsat i PIPA og andre relaterede love. Dette omfatter udarbejdelse af en intern forvaltningsplan (artikel 29 i PIPA) samt passende uddannelse af og tilsyn med personalet (artikel 28 i PIPA).

(94)

Som et middel til at sikre ansvarlighed pålægger artikel 31 i PIPA sammen med artikel 32 i PIPA-gennemførelsesdekretet de dataansvarlige en forpligtelse til at udpege en databeskyttelsesansvarlig med »overordnet ansvar for behandlingen af personoplysninger«. Denne databeskyttelsesansvarlige skal navnlig varetage følgende opgaver: 1) udarbejdelse og gennemførelse af en plan for beskyttelse af personoplysninger og udarbejdelse af en politik for beskyttelse af privatlivets fred, 2) gennemførelse af regelmæssige undersøgelser af status for og praksis for behandling af personoplysninger med henblik på at afhjælpe eventuelle mangler, 3) klagebehandling og afhjælpning, 4) oprettelse af et internt kontrolsystem for at forhindre videregivelse, misbrug eller forkert anvendelse af personoplysninger, 5) forberedelse og gennemførelse af et uddannelsesprogram, 6) beskyttelse, kontrol og forvaltning af persondatafiler og 7) tilintetgørelse af personoplysninger, når formålet med behandlingen er opfyldt eller opbevaringsperioden udløbet. Under udførelsen af disse opgaver kan den databeskyttelsesansvarlige kontrollere status for behandling af personoplysninger og relaterede systemer og anmode om oplysninger herom (artikel 31, stk. 3, i PIPA). Hvis den databeskyttelsesansvarlige bliver opmærksom på en overtrædelse af PIPA eller andre relevante databeskyttelseslove, træffer vedkommende straks korrigerende foranstaltninger og underretter den dataansvarliges ledelse (»lederen«) om disse foranstaltninger, hvis det er nødvendigt (artikel 31, stk. 4, i PIPA). I henhold til artikel 31, stk. 5, i PIPA må det ikke være forbundet med uberettigede ulemper for den databeskyttelsesansvarlige at varetage disse opgaver.

(95)

Dataansvarlige skal desuden proaktivt bestræbe sig på at foretage en konsekvensanalyse vedrørende beskyttelse af privatlivets fred, hvis behandlingen af persondatafiler indebærer en risiko for privatlivets fred (artikel 33, stk. 8, i PIPA). På grundlag af artikel 33, stk. 1 og 2, i PIPA sammenholdt med artikel 35, 36 og 38 i PIPA-gennemførelsesdekretet vil faktorer såsom typen og karakteren af de behandlede oplysninger (navnlig om de udgør følsomme oplysninger), omfanget heraf, opbevaringsperioden og sandsynligheden for brud på datasikkerheden være relevante for vurderingen af graden af risiko for de registreredes rettigheder. Formålet med konsekvensanalysen vedrørende beskyttelse af privatlivets fred er at sikre, at risikofaktorerne for privatlivets fred og eventuelle sikkerheds- eller andre modforanstaltninger analyseres, og at påpege forhold, der skal forbedres (jf. artikel 33, stk. 1, i PIPA sammenholdt med artikel 38 i PIPA-gennemførelsesdekretet).

(96)

Offentlige institutioner er forpligtet til at foretage en konsekvensanalyse i forbindelse med behandlingen af visse persondatafiler, hvor risikoen for krænkelser af privatlivets fred er højere (artikel 33, stk. 1, i PIPA). I overensstemmelse med artikel 35 i PIPA-gennemførelsesdekretet er dette bl.a. tilfældet for filer med følsomme oplysninger om mindst 50 000 registrerede, filer, som vil blive matchet med andre filer og som følge heraf vil indeholde oplysninger om mindst 500 000 registrerede, eller filer med oplysninger om mindst en million registrerede. Resultatet af en konsekvensanalyse foretaget af en offentlig institution skal meddeles PIPC (artikel 33, stk. 1, i PIPA), som kan afgive udtalelse (artikel 33, stk. 3, i PIPA).

(97)

Endelig fastsættes det i artikel 13 i PIPA, at PIPC fastlægger de fornødne politikker til at fremme og støtte de dataansvarliges »selvregulerende databeskyttelsesaktiviteter«, bl.a. gennem uddannelse i databeskyttelse, fremme af og støtte til organisationer, der beskæftiger sig med databeskyttelse, og ved at bistå dataansvarlige med at indføre og gennemføre selvreguleringsordninger. PIPC skal desuden indføre og lette ePRIVACY Mark-systemet. I den forbindelse giver artikel 32-2 i PIPA sammen med artikel 34-2 til 34-8 i PIPA-gennemførelsesdekretet mulighed for at certificere, at den dataansvarliges systemer til behandling og beskyttelse af personoplysninger opfylder kravene i PIPA. I henhold til disse regler (118) kan den dataansvarlige certificeres (for en periode på tre år), hvis denne opfylder de certificeringskriterier, der er fastsat af PIPC, herunder om etablering af ledelsesmæssige, tekniske og fysiske garantier for beskyttelse af personoplysninger (119). PIPC skal undersøge den dataansvarliges systemer af relevans for certificeringen mindst én gang om året for at sikre, at ordningen fortsat er effektiv, hvilket kan indebære, at certificeringen tilbagekaldes (artikel 32, stk. 4, i PIPA sammenholdt med artikel 34-5 i PIPA-gennemførelsesdekretet, såkaldt »opfølgningsstyring«).

(98)

Den koreanske ramme gennemfører derfor princippet om ansvarlighed på en måde, der sikrer et beskyttelsesniveau, som i det væsentlige svarer til det niveau, der er fastsat i forordning (EU) 2016/679, herunder gennem indførelse af forskellige mekanismer til at sikre og påvise overholdelsen af PIPA.

(99)

Som beskrevet i betragtning 13 fastsætter CIA særlige regler for kommercielle operatørers behandling af personlige kreditoplysninger. Ved behandling af personlige kreditoplysninger skal kommercielle operatører derfor overholde de generelle krav i PIPA, medmindre CIA indeholder mere specifikke regler. Dette vil f.eks. være tilfældet, når de behandler oplysninger vedrørende et kreditkort eller en bankkonto i forbindelse med en handelstransaktion med en person. Som sektorspecifik lovgivning om behandling af kreditoplysninger (både personoplysninger og ikkepersonoplysninger) fastsætter CIA ikke blot specifikke databeskyttelsesgarantier (f.eks. for gennemsigtighed og sikkerhed), men regulerer også mere generelt de specifikke omstændigheder, hvorunder personoplysninger kan behandles. Dette afspejles især i de detaljerede krav til anvendelse, videregivelse af oplysninger til tredjemand og opbevaring af sådanne oplysninger.

(100)

I lighed med PIPA afspejler CIA legalitetsprincippet og proportionalitetsprincippet. For det første giver artikel 15, stk. 1, i CIA som et generelt krav kun mulighed for at indsamle personlige kreditoplysninger på rimelige og retfærdige måder og i mindst muligt omfang for at nå et tilsigtet formål i overensstemmelse med artikel 3, stk. 1-2, i PIPA. For det andet regulerer CIA specifikt lovligheden af behandlingen af personlige kreditoplysninger ved at begrænse indsamlingen, anvendelsen og videregivelsen heraf til tredjemand og generelt knytte disse behandlingsaktiviteter til kravet om den berørte persons samtykke.

(101)

Personlige kreditoplysninger kan indsamles af en af de grunde, der er fastsat i PIPA, eller af specifikke grunde fastsat i CIA. Da artikel 45 i forordning (EU) 2016/679 forudsætter, at personoplysningerne videregives af en dataansvarlig eller databehandler i Unionen, men ikke omfatter den koreanske dataansvarliges direkte indsamling (f.eks. fra den berørte person eller et websted), er det kun samtykke og de grunde, der er fastsat i PIPA, som er relevante for denne afgørelse. Disse grunde omfatter navnlig situationer, hvor videregivelsen er nødvendig for at opfylde en kontrakt med den registrerede eller for den koreanske dataansvarliges forfølgelse af en legitim interesse (artikel 15, stk. 1, nr. 4 og 6, i PIPA (120)).

(102)

Når de personlige kreditoplysninger er indsamlet, kan de anvendes 1) til det oprindelige formål, hvortil de blev givet direkte af den pågældende person (121), 2) til et formål, der er foreneligt med det oprindelige formål med indsamlingen (122), 3) til at vurdere, om den forretningsforbindelse, som den pågældende person har anmodet om, skal etableres eller opretholdes (123), 4) til statistiske formål, videnskabelige forskningsformål og arkivformål i samfundets interesse (124), hvis oplysningerne er pseudonymiserede (125), 5) hvis der opnås yderligere samtykke, eller 6) i overensstemmelse med lovgivningen.

(103)

Hvis en kommerciel operatør ønsker at videregive personlige kreditoplysninger til tredjemand, skal operatøren indhente den registreredes samtykke (126) efter at have underrettet den pågældende om modtageren af oplysningerne og formålet med behandlingen af oplysningerne, om hvilke oplysninger der skal videregives, og om opbevaringsperioden hos modtageren og retten til at nægte samtykke (artikel 32, stk. 1, i CIA, og artikel 28, stk. 2), i CIA-gennemførelsesdekretet (127). Dette krav om samtykke finder ikke anvendelse i specifikke situationer, hvor der videregives personlige kreditoplysninger (128): 1) til en outsourcingpartner med henblik på outsourcing (129), 2) til tredjemand i tilfælde af virksomhedsoverdragelse, spaltning eller fusion, 3) til statistiske formål, videnskabelige forskningsformål og arkivformål i samfundets interesse, hvis oplysningerne er pseudonymiserede, 4) til et formål, der er foreneligt med det oprindelige formål med indsamlingen, 5) til en tredjemand, der anvender oplysningerne til at inddrive en fordring på den pågældende (130), 6) for at efterkomme en retskendelse, 7) til en anklager eller kriminalpolitiet i en nødsituation, hvis den pågældendes liv er i fare, eller hvis den pågældende forventes at lide legemsbeskadigelse, og der ikke er tid til at udstede en retskendelse (131), 8) til de kompetente skattemyndigheder for at overholde skattelovgivningen eller 9) i overensstemmelse med anden lovgivning. I tilfælde af videregivelse af en af disse grunde skal den registrerede underrettes herom på forhånd (artikel 32, stk. 7, i CIA).

(104)

CIA regulerer også specifikt varigheden af behandlingen af personlige kreditoplysninger af en af disse grunde til anvendelse eller videregivelse til tredjemand efter afslutningen af forretningsforholdet med den pågældende (132). Kun de oplysninger, der var nødvendige for at etablere eller opretholde dette forhold, kan opbevares, hvis der gives supplerende garantier (de skal holdes adskilt fra kreditoplysninger, der vedrører personer, med hvem der består et forretningsforhold, som er beskyttet af specifikke sikkerhedsforanstaltninger, og som kun er tilgængelige for bemyndigede personer) (133). Alle andre oplysninger skal slettes (artikel 17-2, stk. 1, nr. 2, i CIA-gennemførelsesdekretet). For at afgøre, hvilke oplysninger der var nødvendige for forretningsforholdet, skal der tages hensyn til forskellige faktorer, herunder om det ville have været muligt at etablere forholdet uden oplysningerne, og om det direkte vedrører de varer eller tjenesteydelser, der er leveret til den registrerede (artikel 17-2, stk. 2, i CIA-gennemførelsesdekretet).

(105)

Selv i tilfælde, hvor personlige kreditoplysninger i princippet kan opbevares efter forretningsforholdets ophør, skal de slettes senest tre måneder efter opnåelsen af det videre formål med behandlingen (134) eller under alle omstændigheder efter fem år (artikel 20-2 i CIA). I et begrænset antal tilfælde kan personlige kreditoplysninger opbevares i mere end fem år, navnlig hvis det er nødvendigt for at opfylde en retlig forpligtelse, hvis det er nødvendigt for at beskytte en persons vitale interesser, liv, legeme eller ejendom, med henblik på arkivering af pseudonymiserede oplysninger (som blev anvendt til videnskabelige forskningsformål, statistiske formål og arkivformål i samfundets interesse) eller til forsikringsformål (navnlig til forsikringsbetalinger eller til forebyggelse af forsikringssvig) (135). I disse ekstraordinære tilfælde gælder der særlige garantier (f.eks. underretning af den registrerede om videreanvendelsen, adskillelse af de opbevarede oplysninger fra de oplysninger, der vedrører personer, med hvem der stadig består et forretningsforhold, begrænsning af adgangsrettigheder, jf. artikel 17-2, stk. 1-2, i CIA-gennemførelsesdekretet).

(106)

CIA præciserer også principperne om nøjagtighed og datakvalitet ved at kræve, at personlige kreditoplysninger »registreres, ændres og forvaltes« for at sikre, at de er korrekte og ajourførte (artikel 18, stk. 1, i CIA, og artikel 15, stk. 3, i CIA-gennemførelsesdekretet) (136). Når kommercielle operatører giver kreditoplysninger til visse andre enheder (f.eks. kreditvurderingsbureauer), skal de også specifikt kontrollere oplysningernes nøjagtighed for at sikre, at modtageren kun registrerer og forvalter nøjagtige oplysninger (artikel 15, stk. 1, i CIA-gennemførelsesdekretet sammenholdt med artikel 18, stk. 1, i CIA). Mere generelt kræver CIA, at der føres fortegnelser over indsamling, anvendelse, videregivelse til tredjemand og tilintetgørelse af personlige kreditoplysninger (artikel 20, stk. 2, i CIA) (137).

(107)

Behandlingen af personlige kreditoplysninger er desuden underlagt særlige datasikkerhedskrav. CIA kræver navnlig, at der gennemføres teknologiske, fysiske og organisatoriske foranstaltninger for at forhindre ulovlig adgang til computersystemer og ændring og tilintetgørelse af eller enhver anden risiko for de behandlede oplysninger (f.eks. ved hjælp af adgangskontrol, jf. artikel 19 i CIA og artikel 16 i CIA-gennemførelsesdekretet). Desuden skal der i forbindelse med udveksling af personlige kreditoplysninger med tredjemand indgås en aftale, der fastsætter specifikke sikkerhedsforanstaltninger (artikel 19, stk. 2, i CIA). I tilfælde af brud på datasikkerheden i forbindelse med personlige kreditoplysninger skal der træffes foranstaltninger til at minimere eventuel skade, og de berørte personer skal straks underrettes (artikel 39-4, stk. 1-2, i CIA). Desuden skal PIPC informeres om underretningen af de registrerede og om de foranstaltninger, der er blevet gennemført (artikel 39-4, stk. 4, i CIA).

(108)

CIA pålægger også specifikke gennemsigtighedsforpligtelser i forbindelse med indhentning af samtykke til anvendelse eller videregivelse af personlige kreditoplysninger (artikel 32, stk. 4, og artikel 34-2 i CIA og artikel 30-3 i CIA-gennemførelsesdekretet) og mere generelt, inden der videregives oplysninger til tredjemand (artikel 32, stk. 7, i CIA) (138). Derudover har de registrerede ret til at anmode om oplysninger om anvendelsen og videregivelsen af deres kreditoplysninger til tredjemand i de tre år, der går forud for anmodningen (herunder om formålet med og datoerne for en sådan anvendelse/videregivelse) (139).

(109)

I henhold til CIA har den registrerede også ret til at få indsigt i sine personlige kreditoplysninger (artikel 38, stk. 1, i CIA) og til at få berigtiget ukorrekte oplysninger (artikel 38, stk. 2-3, i CIA) (140). Ud over den generelle ret til sletning i henhold til PIPA (jf. betragtning 77) giver CIA desuden en specifik ret til at få slettet personlige kreditoplysninger, der er blevet opbevaret længere end i de opbevaringsperioder, der er nævnt i betragtning 104, dvs. fem år (for personlige kreditoplysninger, der var nødvendige for at etablere eller opretholde et forretningsforhold) eller tre måneder (for andre typer af personlige kreditoplysninger) (141). En anmodning om sletning kan undtagelsesvis afslås, hvis yderligere opbevaring er nødvendig under de omstændigheder, der er beskrevet i betragtning 105. Hvis en person anmoder om sletning, men en af undtagelserne finder anvendelse, skal der gælde særlige garantier for de pågældende kreditoplysninger (artikel 38-3, stk. 3, i CIA, og artikel 33-3 i CIA-gennemførelsesdekretet). F.eks. skal oplysningerne opbevares adskilt fra andre oplysninger, de må kun tilgås af en bemyndiget person og skal være omfattet af særlige sikkerhedsforanstaltninger.

(110)

Ud over de rettigheder, der er nævnt i betragtning 109, garanterer CIA de registrerede en ret til at anmode en dataansvarlig om at ophøre med at kontakte dem med henblik på direkte markedsføring (artikel 37, stk. 2, i loven) og en ret til dataportabilitet. Med hensyn til sidstnævnte giver CIA de registrerede mulighed for at anmode om videregivelse af deres personlige kreditoplysninger til dem selv eller til visse tredjemænd (f.eks. finansielle institutioner og kreditvurderingsselskaber). De personlige kreditoplysninger skal behandles og videregives til tredjemand i et format, der kan behandles af en databehandlingsenhed (f.eks. en computer).

(111)

I det omfang CIA indeholder specifikke regler i forhold til PIPA, mener Kommissionen derfor, at disse regler også sikrer et beskyttelsesniveau, som i det væsentlige svarer til det niveau, der er fastsat i forordning (EU) 2016/679.

(112)

For at sikre, at et tilstrækkeligt databeskyttelsesniveau garanteres i praksis, bør der være oprettet en uafhængig tilsynsmyndighed med beføjelser til at overvåge og sikre, at databeskyttelsesreglerne overholdes. Denne myndighed bør være fuldstændig uafhængig og upartisk i udførelsen af sine opgaver og udøvelsen af sine beføjelser.

(113)

PIPC er den koreanske uafhængige myndighed med ansvar for tilsyn med og håndhævelse af PIPA. PIPC består af en formand, en næstformand og syv kommissærer. Formanden og næstformanden udnævnes af præsidenten efter indstilling fra premierministeren. To af kommissærerne udnævnes af præsidenten efter indstilling fra formanden og fem efter indstilling fra nationalforsamlingen (heraf to efter indstilling fra det politiske parti, som præsidenten tilhører, og tre efter indstilling fra andre politiske partier (artikel 7-2, stk. 2, PIPA), hvilket bidrager til at modvirke partiskhed i udnævnelsesprocessen) (142). Denne procedure er i overensstemmelse med de krav, der gælder for udnævnelse af medlemmer af databeskyttelsesmyndigheder i Unionen (artikel 53, stk. 1, i forordning (EU) 2016/679). Alle kommissærer skal desuden afholde sig fra enhver indtægtsskabende erhvervsvirksomhed og politiske aktiviteter og må ikke bestride stillinger i den offentlige forvaltning eller nationalforsamlingen (artikel 7-6 og artikel 7-7, stk. 1, nr. 3, i PIPA) (143). Alle kommissærer er omfattet af særlige regler, som forhindrer dem i at deltage i forhandlinger i tilfælde af en mulig interessekonflikt (artikel 7-11 i PIPA). PIPC bistås af et sekretariat (artikel 7-13) og kan nedsætte underudvalg (bestående af tre kommissærer) til at håndtere mindre overtrædelser og tilbagevendende sager (artikel 7-12 i PIPA).

(114)

Hvert medlem af PIPC udnævnes for tre år og kan genudnævnes én gang (artikel 7-4, stk. 1, i PIPA). Kommissærer kan kun afsættes under særlige omstændigheder, nemlig hvis de ikke længere er i stand til at varetage deres opgaver på grund af langvarig psykisk eller fysisk sygdom, handler i strid med loven eller opfylder en af grundene til udelukkelse fra embedet (144) (artikel 7-5 i PIPA). Dette giver dem institutionel beskyttelse i forbindelse med udøvelsen af deres funktioner.

(115)

Mere generelt garanterer artikel 7, stk. 1, i PIPA udtrykkeligt PIPC's uafhængighed, og i henhold til artikel 7-5, stk. 2, i PIPA skal kommissærerne udføre deres opgaver uafhængigt og i overensstemmelse med lovgivningen og deres samvittighed (145). De beskrevne institutionelle og proceduremæssige garantier, herunder for udnævnelse og afsættelse af medlemmer, sikrer, at PIPC handler i fuld uafhængighed uden udefra kommende påvirkning eller instrukser. Som et centralt forvaltningsorgan foreslår PIPC desuden årligt sit eget budget (som gennemgås af finansministeriet som en del af det samlede nationale budget inden nationalforsamlingens vedtagelse), og PIPC har ansvaret for sin egen personaleforvaltning. PIPC's aktuelle budget udgør ca. 35 mio. EUR, og udvalget har 154 ansatte (herunder 40 medarbejdere med speciale i informations- og kommunikationsteknologi, 32 medarbejdere med fokus på undersøgelser og 40 juridiske eksperter).

(116)

PIPC's opgaver og beføjelser er hovedsagelig fastsat i artikel 7-8 og 7-9 samt i artikel 61-66 i PIPA (146). PIPC's opgaver omfatter navnlig rådgivning om love og bestemmelser vedrørende databeskyttelse, udvikling af databeskyttelsespolitikker og -retningslinjer, undersøgelse af overtrædelser af individuelle rettigheder, behandling af klager og tvistbilæggelse, håndhævelse af overholdelse af PIPA, sikring af uddannelse i og fremme af databeskyttelse og udveksling og samarbejde med tredjelandes databeskyttelsesmyndigheder (147).

(117)

På grundlag af artikel 68 i PIPA sammenholdt med artikel 62 i PIPA-gennemførelsesdekretet er visse af PIPC's opgaver blevet delegeret til Koreas internet- og sikkerhedsagentur: 1) uddannelse og PR, 2) uddannelse af specialister og udvikling af kriterier for konsekvensanalyser vedrørende beskyttelse af privatlivets fred, 3) behandling af anmodninger om udpegelse af institutioner, der foretager konsekvensanalyser vedrørende beskyttelse af privatlivets fred, 4) behandling af anmodninger om indirekte adgang til personoplysninger, der opbevares af offentlige myndigheder (artikel 35, stk. 2, i PIPA), og 5) opgaven med at anmode om materiale og foretage inspektioner i forbindelse med klager, der modtages via det såkaldte callcenter for privatlivsbeskyttelse. I forbindelse med behandlingen af klager via callcentret for privatlivsbeskyttelse videregiver Koreas internet- og sikkerhedsagentur sagen til PIPC eller til anklagemyndigheden, hvis det finder, at loven er blevet overtrådt. Muligheden for at indgive en klage til callcentret for privatlivsbeskyttelse forhindrer ikke enkeltpersoner i at indgive en klage direkte til PIPC eller henvende sig til PIPC, hvis de mener, at deres klage ikke er blevet behandlet tilfredsstillende af Koreas internet- og sikkerhedsagentur.

(118)

For at sikre overholdelsen af PIPA har lovgiveren tildelt PIPC både undersøgelses- og håndhævelsesbeføjelser, lige fra beføjelser til at fremsætte henstillinger til at pålægge administrative bøder. Disse beføjelser suppleres af en ordning med strafferetlige sanktioner.

(119)

For så vidt angår undersøgelsesbeføjelser kan PIPC, hvis der er mistanke om eller blevet indberettet en overtrædelse af PIPA, eller hvis det er nødvendigt for at beskytte de registreredes rettigheder mod overtrædelser, foretage inspektioner på stedet og anmode om alt relevant materiale (f.eks. genstande og dokumenter) fra de dataansvarlige (artikel 63 i PIPA sammenholdt med artikel 60 i PIPA-gennemførelsesdekretet) (148).

(120)

Med hensyn til håndhævelse kan PIPC i henhold til artikel 61, stk. 2, i PIPA fremsætte henstillinger til de dataansvarlige om, hvordan beskyttelsen af personoplysninger i forbindelse med specifikke behandlingsaktiviteter kan forbedres. De dataansvarlige skal udvise velvilje til at følge disse henstillinger og underrette PIPC om resultaterne. Når der er rimelig grund til at antage, at der er sket en overtrædelse af PIPA, og det er sandsynligt, at en undladelse af at handle vil forårsage skade, der er vanskelig at rette op, kan PIPC pålægge korrigerende foranstaltninger (artikel 64, stk. 1, i PIPA) (149). I afsnit 5 i meddelelse nr. 2021-5 (bilag I) præciseres det med bindende virkning, at disse betingelser er opfyldt med hensyn til overtrædelse af enhver PIPA-bestemmelse, der beskytter den enkeltes ret til privatlivets fred med hensyn til personoplysninger (150). De foranstaltninger, som PIPC har beføjelse til at træffe, omfatter påbud om ophør af den adfærd, der forårsager overtrædelsen, midlertidig suspension af databehandlingen eller andre nødvendige foranstaltninger. Manglende overholdelse af en korrigerende foranstaltning kan føre til en sanktion i form af en bøde på højst 50 mio. WON (artikel 75, stk. 2, nr. 13, i PIPA).

(121)

Med hensyn til visse offentlige myndigheder (f.eks. nationalforsamlingen, centrale forvaltningsorganer, lokale myndigheder og domstolene) fastsættes det i artikel 64, stk. 4, i PIPA, at PIPC kan »henstille« iværksættelsen af de korrigerende foranstaltninger, der er nævnt i betragtning 120, og at disse myndigheder skal følge sådanne henstillinger, medmindre der foreligger ekstraordinære omstændigheder. Ifølge afsnit 5 i meddelelse nr. 2021-5 forstås herved ekstraordinære faktiske eller retlige omstændigheder, som PIPC ikke var bekendt med, da henstillingen blev fremsat. Den pågældende offentlige myndighed kan kun påberåbe sig sådanne ekstraordinære omstændigheder, hvis den klart påviser, at der ikke er sket en overtrædelse, og PIPC fastslår, at dette rent faktisk ikke er tilfældet. I modsat fald skal den offentlige myndighed følge PIPC's henstilling og »iværksætte en korrigerende foranstaltning, herunder straks bringe handlingen til ophør, og yde skadeserstatning i de ekstraordinære tilfælde, hvor der ikke desto mindre blev begået en ulovlig handling.«

(122)

PIPC kan også anmode andre forvaltningsorganer med særlig kompetence i henhold til sektorspecifik lovgivning (f.eks. inden for sundhed og uddannelse) om at foretage en undersøgelse — på egen hånd eller sammen med PIPC — af (formodede) krænkelser af privatlivets fred begået af dataansvarlige, der opererer i disse sektorer under deres kontrol, og om at pålægge korrigerende foranstaltninger (artikel 63, stk. 4-5, i PIPA). I så fald fastlægger PIPC grundlaget og genstanden for og omfanget af undersøgelsen (151). Det relevante forvaltningsorgan skal herefter forelægge en inspektionsplan for PIPC og underrette PIPC om resultatet af inspektionen. PIPC kan henstille, at der træffes en specifik korrigerende foranstaltning, som det pågældende organ skal bestræbe sig på at gennemføre. En sådan anmodning begrænser under alle omstændigheder ikke PIPC's kompetence til selv at foretage undersøgelser eller pålægge sanktioner.

(123)

Ud over sine korrigerende beføjelser kan PIPC pålægge administrative bøder på mellem 10 og 50 mio. WON for overtrædelser af forskellige PIPA-krav (artikel 75 i PIPA) (152). Dette omfatter bl.a. manglende overholdelse af kravene om lovlig behandling, undladelse af at træffe de nødvendige sikkerhedsforanstaltninger, manglende underretning af registrerede i tilfælde af et brud på datasikkerheden, manglende overholdelse af kravene vedrørende outsourcet behandling, manglende fastlæggelse og offentliggørelse af en politik for beskyttelse af privatlivets fred, undladelse af at udpege en databeskyttelsesansvarlig eller undladelse af at efterkomme en anmodning fra den registrerede under udøvelsen af vedkommendes individuelle rettigheder samt visse proceduremæssige overtrædelser (manglende samarbejde i forbindelse med en undersøgelse). Hvis den samme dataansvarlige overtræder flere bestemmelser i PIPA, kan der pålægges en bøde for hver overtrædelse, og antallet af berørte personer vil blive taget i betragtning ved fastsættelsen af bødens størrelse.

(124)

Hvis der er rimelig grund til mistanke om en overtrædelse af PIPA eller andre »databeskyttelseslove«, kan PIPC desuden indgive en anmeldelse til den kompetente efterforskningsmyndighed (f.eks. en anklager, jf. artikel 65, stk. 1, i PIPA). PIPC kan desuden henstille, at den dataansvarlige træffer disciplinære foranstaltninger over for den ansvarlige person (herunder den ansvarlige leder, jf. artikel 65, stk. 2, i PIPA). Efter modtagelsen af denne henstilling skal den dataansvarlige følge (153) henstillingen og skriftligt underrette PIPC om resultatet (artikel 65 i PIPA sammenholdt med artikel 58 i PIPA-gennemførelsesdekretet).

(125)

Hvad angår henstillinger i henhold til artikel 61, korrigerende foranstaltninger i henhold til artikel 64, anmeldelse eller henstillinger om disciplinære foranstaltninger i henhold til artikel 65 og pålæggelse af administrative bøder i henhold til artikel 75 i PIPA, kan PIPC offentliggøre oplysninger om de faktiske omstændigheder — dvs. om overtrædelsen, den enhed, der har overtrådt loven, og de pålagte foranstaltninger — på sit websted eller i et generelt landsdækkende dagblad (artikel 66 i PIPA sammenholdt med artikel 61, stk. 1, i PIPA-gennemførelsesdekretet) (154).

(126)

Endelig understøttes overholdelsen af databeskyttelseskravene i PIPA (samt andre »databeskyttelseslove«) af en ordning med strafferetlige sanktioner. I denne forbindelse indeholder artikel 70-73 i PIPA sanktionsbestemmelser, der kan føre til pålæggelse af en bøde (på mellem 20 og 100 mio. WON) eller fængsel (med en maksimumsstraf på mellem 2 og 10 år). Relevante overtrædelser omfatter bl.a. anvendelse af personoplysninger eller videregivelse af sådanne oplysninger til tredjemand uden det nødvendige samtykke, behandling af følsomme oplysninger i strid med forbuddet i artikel 23, stk. 1, i PIPA, manglende overholdelse af gældende sikkerhedskrav, der medfører, at personoplysningerne går tabt, stjæles, videregives, forfalskes, ændres eller beskadiges, undladelse af at træffe de nødvendige foranstaltninger til at berigtige, slette eller suspendere behandlingen af personoplysninger eller ulovlig overførsel af personoplysninger til et tredjeland (155). I henhold til artikel 74 i PIPA er den dataansvarliges ansatte, agent eller repræsentant samt den dataansvarlige selv ansvarlig i hvert af disse tilfælde (156).

(127)

Ud over de strafferetlige sanktioner, der er fastsat i PIPA, kan misbrug af personoplysninger også udgøre en strafbar handling i henhold til straffeloven. Dette er navnlig tilfældet i forbindelse med overtrædelsen af brevhemmeligheden og hemmeligholdelsen af dokumenter eller elektroniske fortegnelser (artikel 316), videregivelse af oplysninger, der er omfattet af tavshedspligt (artikel 317), computersvig (artikel 347-2) samt underslæb og tillidsbrud (artikel 355).

(128)

Det koreanske system kombinerer derfor forskellige typer sanktioner, lige fra korrigerende foranstaltninger og administrative bøder til strafferetlige sanktioner, som sandsynligvis vil have en betydelig afskrækkende virkning på dataansvarlige og de personer, der håndterer oplysningerne. Umiddelbart efter oprettelsen i 2020 begyndte PIPC at gøre brug af sine beføjelser. Ifølge PIPC's årsrapport for 2021 har PIPC allerede udstedt en række henstillinger, administrative bøder og korrigerende foranstaltninger, både til den offentlige sektor (ca. 34 offentlige myndigheder) og private operatører (ca. 140 virksomheder) (157). Bemærkelsesværdige sager omfatter f.eks. pålæggelsen af en bøde på 6,7 mia. WON i december 2020 i forbindelse med en virksomhed, der havde overtrådt forskellige bestemmelser i PIPA (herunder sikkerhedskrav, krav om samtykke til videregivelse til tredjemand og gennemsigtighed) (158), og pålæggelsen af en bøde på 103,3 mio. WON i april 2021 i forbindelse med en AI-teknologivirksomhed, der bl.a. havde overtrådt reglerne om lovlig behandling, navnlig samtykke, og behandling af pseudonymiserede oplysninger (159). I august 2021 afsluttede PIPC endnu en undersøgelse af tre virksomheders aktiviteter, som førte til korrigerende foranstaltninger og pålæggelse af bøder på op til 6,47 mia. WON (bl.a. for manglende underretning af enkeltpersoner om videregivelsen af personoplysninger til tredjemand, herunder overførsler til tredjelande) (160). Allerede inden den nylige reform havde Sydkorea også gode håndhævelsesresultater, og de ansvarlige myndigheder gjorde brug af hele spektret af håndhævelsesforanstaltninger, herunder administrative bøder, korrigerende foranstaltninger og navngivning af en række dataansvarlige, herunder udbydere af kommunikationstjenester (Koreas kommunikationskommission) samt kommercielle operatører, finansielle institutioner, offentlige myndigheder, universiteter og hospitaler (indenrigs- og sikkerhedsministeriet) (161). På dette grundlag konkluderer Kommissionen, at det koreanske system sikrer en effektiv håndhævelse af databeskyttelsesreglerne i praksis og dermed sikrer et beskyttelsesniveau, som i det væsentlige svarer til det niveau, der er fastsat i forordning (EU) 2016/679.

(129)

Med henblik på at sikre tilstrækkelig beskyttelse og navnlig håndhævelse af individuelle rettigheder bør den registrerede have effektive muligheder for administrativ og retslig prøvelse, herunder mulighed for at opnå skadeserstatning.

(130)

Det koreanske system giver enkeltpersoner adgang til forskellige effektive mekanismer til at håndhæve deres rettigheder og få adgang til (retslig) prøvelse.

(131)

Som et første skridt kan personer, der mener, at deres databeskyttelsesrettigheder eller -interesser er blevet krænket, henvende sig til den relevante dataansvarlige. I henhold til artikel 30, stk. 1, nr. 5, i PIPA skal den dataansvarliges politik for beskyttelse af privatlivets fred bl.a. indeholde oplysninger om de registreredes rettigheder og om, hvordan de udøves. Den skal desuden indeholde kontaktoplysninger — såsom navn og telefonnummer på den databeskyttelsesansvarlige eller den afdeling, der er ansvarlig for databeskyttelse — for at gøre det muligt at indgive klager). I den dataansvarliges organisation har den databeskyttelsesansvarlige til opgave at behandle klager, træffe korrigerende foranstaltninger i tilfælde af krænkelse af privatlivets fred og afhjælpende foranstaltninger (artikel 31, stk. 2, nr. 3, og artikel 31, stk. 4, i PIPA). Sidstnævnte er f.eks. relevant i tilfælde af et brud på datasikkerheden, da den dataansvarlige skal underrette den registrerede om kontaktpunktet eller -punkterne for bl.a. indberetning af skade (artikel 34, stk. 1, nr. 5, i PIPA).

(132)

Desuden har enkeltpersoner i henhold til PIPA adgang til en række muligheder for at få prøvet deres sag mod dataansvarlige. For det første kan enhver, der mener, at vedkommendes databeskyttelsesrettigheder eller -interesser er blevet krænket af den dataansvarlige, indberette en sådan overtrædelse direkte til PIPC og/eller en af de specialiserede institutioner, som PIPC har udpeget til at modtage og behandle klager, herunder Koreas internet- og sikkerhedsagentur, som til dette formål driver et callcenter for personoplysninger (det såkaldte »callcenter for privatlivsbeskyttelse«) (artikel 62, stk. 1 og 2, i PIPA sammenholdt med artikel 59 i PIPA-gennemførelsesdekretet). Callcentret for privatlivsbeskyttelse undersøger og fastslår overtrædelser, yder rådgivning i forbindelse med behandling af personoplysninger (artikel 62, stk. 3, i PIPA) og kan indberette overtrædelser til PIPC (men kan ikke selv træffe håndhævelsesforanstaltninger). Callcentret for privatlivsbeskyttelse modtager et stort antal klager/anmodninger (f.eks. 177 457 i 2020, 159 255 i 2019 og 164 497 i 2018) (162). Ifølge oplysninger fra PIPC modtog PIPC selv ca. 1 000 klager mellem august 2020 og august 2021. Som svar på en klage kan PIPC fremsætte henstillinger om forbedringer og korrigerende foranstaltninger, indgive en »anmeldelse« til den kompetente undersøgelsesmyndighed (herunder en anklager) eller fremsætte henstillinger om disciplinære foranstaltninger (jf. artikel 61, 64 og 65 i PIPA). PIPC's afgørelser (f.eks. afslag på at behandle en klage eller afslag på en klage) kan anfægtes i medfør af lov om forvaltningssager (163).

(133)

For det andet kan registrerede i henhold til artikel 40-50 i PIPA sammenholdt med artikel 48-14 til 57 i PIPA-gennemførelsesdekretet indgive en klage til tvistbilæggelsesudvalget, som består af repræsentanter, der udpeges af formanden for PIPC blandt medlemmerne af PIPC's øverste ledelse, og af enkeltpersoner, der udpeges på grundlag af deres erfaring inden for databeskyttelse blandt bestemte grupper (jf. artikel 40, stk. 2, 3 og 7, i PIPA og artikel 48-14 i PIPA-gennemførelsesdekretet) (164). Muligheden for at gøre brug af mægling i tvistbilæggelsesudvalget er en alternativ klageadgang, men begrænser ikke den enkeltes ret til at klage til PIPC eller gå til domstolene. I forbindelse med behandlingen af sagen kan udvalget anmode tvistens parter om at udlevere det nødvendige materiale og/eller indkalde relevante vidner til at give møde for udvalget (artikel 45 i PIPA). Når sagen er afklaret, udarbejder udvalget et mæglingsforslag (165), som skal støttes af et flertal blandt medlemmerne. Mæglingsforslaget kan omfatte krav om, at overtrædelsen bringes til ophør, nødvendige afhjælpende foranstaltninger (herunder genopretning eller erstatning) samt nødvendige foranstaltninger til at forhindre, at de samme eller lignende overtrædelser gentager sig (artikel 47, stk. 1, i PIPA). Hvis begge parter accepterer mæglingskendelsen, vil den have samme virkning som et retsforlig (artikel 47, stk. 5, i PIPA). Begge parter kan anlægge en retssag under mæglingen, og i så fald suspenderes sidstnævnte (jf. artikel 48, stk. 2, i PIPA) (166). De årlige tal fra PIPC viser, at enkeltpersoner regelmæssigt gør brug af proceduren ved tvistbilæggelsesudvalget, hvilket ofte fører til et vellykket resultat. I 2020 behandlede udvalget f.eks. 126 sager, hvoraf 89 blev afgjort i udvalget (i 77 af sagerne nåede parterne allerede til enighed, inden mæglingsprocessens afslutning, og i 12 sager accepterede parterne mæglingsforslaget), hvilket førte til en mæglingsprocent på 70,6 % (167). I 2019 behandlede udvalget 139 sager, hvoraf 92 blev afgjort, hvilket førte til en mæglingsprocent på 62,2 %.

(134)

Hvis mindst 50 personer lider skade, eller hvis deres databeskyttelsesrettigheder er blevet krænket på samme eller lignende måde som følge af den samme (type) hændelse (168), kan en registreret eller en databeskyttelsesorganisation ansøge om kollektiv tvistbilæggelse på vegne af denne gruppe. Andre registrerede kan ansøge om at deltage i en sådan mægling, som bekendtgøres offentligt af tvistbilæggelsesudvalget (artikel 49, stk. 1-3, i PIPA sammenholdt med artikel 52-54 i PIPA-gennemførelsesdekretet) (169). Tvistbilæggelsesudvalget kan vælge mindst én person, der bedst varetager den fælles interesse som en repræsentativ part (artikel 49, stk. 4, i PIPA). Hvis den dataansvarlige afviser kollektiv tvistbilæggelse eller ikke accepterer mæglingsforslaget, kan visse organisationer (170) anlægge et kollektivt søgsmål for at imødegå overtrædelsen (artikel 51-57 i PIPA).

(135)

For det tredje har den registrerede i tilfælde af en krænkelse af privatlivets fred, der forvolder »skade« på den registrerede, ret til passende erstatning gennem en »hurtig og retfærdig procedure« (artikel 4, nr. 5, sammenholdt med artikel 39 i PIPA) (171). Den dataansvarlige kan bevise sin uskyld ved at påvise, at vedkommende ikke har begået nogen fejl (»forsæt eller forsømmelighed«). Hvis den registrerede lider skade som følge af tab, tyveri, videregivelse, forfalskning, ændring eller beskadigelse af den registreredes personoplysninger, kan retten fastsætte en erstatning på op til tre gange den faktiske skade under hensyntagen til en række faktorer (artikel 39, stk. 3 og 4, i PIPA). Alternativt kan den registrerede kræve en »rimelig erstatning« på højst 3 mio. WON (artikel 39-2, stk. 1 og 2, i PIPA). I henhold til civilloven kan der desuden kræves erstatning fra enhver, »der forvolder tab eller påfører en anden person skade som følge af en ulovlig handling begået forsætligt eller uagtsomt« (172), eller fra en person, »som har skadet en anden person eller dennes frihed eller omdømme, eller som har påført en anden person psykisk angst« (173). Et sådant ansvar uden for kontraktforhold som følge af overtrædelse af databeskyttelsesreglerne er blevet bekræftet af højesteret (174). Hvis der er forvoldt skade som følge af en offentlig myndigheds ulovlige handling, kan der desuden indgives et erstatningskrav i medfør af lov om erstatning fra staten (175). Et krav i henhold til lov om erstatning fra staten kan indgives til et specialiseret »erstatningsråd« eller direkte til de koreanske domstole (176). Statens erstatningsansvar omfatter også immaterielle skader (f.eks. psykiske lidelser) (177). Hvis offeret er udenlandsk statsborger, finder lov om erstatning fra staten anvendelse, hvis vedkommendes hjemland ligeledes sikrer koreanske statsborgere erstatning fra staten (178).

(136)

For det fjerde har højesteret anerkendt, at enkeltpersoner har ret til at anmode om nedlæggelse af et forbud eller påbud i forbindelse med krænkelser af deres rettigheder i henhold til forfatningen, herunder retten til beskyttelse af personoplysninger (179). I denne forbindelse kan en domstol f.eks. pålægge dataansvarlige at suspendere eller standse enhver ulovlig aktivitet. Derudover kan databeskyttelsesrettigheder, herunder de rettigheder, der er beskyttet af PIPA, håndhæves via civile søgsmål. Højesteret har anerkendt denne horisontale anvendelse af den forfatningsmæssige beskyttelse af privatlivets fred på forholdet mellem private parter (180).

(137)

Endelig kan enkeltpersoner indgive en anmeldelse i henhold til strafferetsplejeloven (artikel 223) til en offentlig anklager eller kriminalpolitiet (181).

(138)

I det koreanske system er der derfor forskellige klagemuligheder, lige fra let tilgængelige og billige muligheder (f.eks. ved at kontakte callcentret for privatlivsbeskyttelse eller gennem (kollektiv) mægling) til administrative klagemuligheder (via PIPC) og retlige klagemuligheder, herunder mulighed for at opnå skadeserstatning.

(139)

Kommissionen har også vurderet begrænsningerne og garantierne, herunder tilsynet og de enkelte prøvelsesmekanismer i koreansk ret, i forbindelse med koreanske offentlige myndigheders indsamling og efterfølgende anvendelse af personoplysninger, der er blevet overført til dataansvarlige i Korea i offentlighedens interesse, navnlig med henblik på strafferetlig håndhævelse og til nationale sikkerhedsformål (myndighedsadgang). I den forbindelse har Kommissionen modtaget officielle redegørelser, forsikringer og tilsagn fra Korea undertegnet på højeste ministerielle og forvaltningsmæssige niveau, og disse findes i bilag II til denne afgørelse.

(140)

Ved vurderingen af, om de betingelser, hvorunder myndighedsadgangen til oplysninger, der overføres til Korea i medfør af denne afgørelse, opfylder væsentlighedskriteriet i henhold til artikel 45, stk. 1, i forordning (EU) 2016/679, som fortolket af Den Europæiske Unions Domstol i lyset af chartret om grundlæggende rettigheder, har Kommissionen navnlig taget hensyn til følgende kriterier.

(141)

For det første skal enhver begrænsning af retten til beskyttelse af personoplysninger være fastsat ved lov, og det retsgrundlag, der gør det muligt at gribe ind i en sådan ret, skal selv fastlægge omfanget af begrænsningen af udøvelsen af den pågældende rettighed (182).

(142)

For at opfylde kravet om proportionalitet, som indebærer, at undtagelser fra og begrænsninger af beskyttelsen af personoplysninger kun finder anvendelse i det omfang, det er strengt nødvendigt i et demokratisk samfund for at opfylde specifikke mål af almen interesse svarende til dem, der er anerkendt af Unionen, skal den lovgivning i det pågældende tredjeland, der tillader dette indgreb, for det andet fastsætte klare og præcise regler for omfanget og anvendelsen af de pågældende foranstaltninger og minimumsgarantier, således at de personer, hvis oplysninger er blevet videregivet, har tilstrækkelige garantier til effektivt at beskytte deres personoplysninger mod risikoen for misbrug (183). Lovgivningen skal navnlig angive, under hvilke omstændigheder og på hvilke betingelser der kan vedtages en foranstaltning om behandling af sådanne oplysninger (184). Desuden skal den sikre et uafhængigt tilsyn med, at disse krav opfyldes (185).

(143)

For det tredje skal denne lovgivning og dens krav være retligt bindende i henhold til national ret. Dette vedrører først og fremmest myndighederne i det pågældende tredjeland, men disse retlige krav skal også kunne håndhæves ved domstolene over for disse myndigheder (186). De registrerede skal navnlig have mulighed for at anlægge sag ved en uafhængig og upartisk domstol for at få adgang til deres personoplysninger eller for at få sådanne oplysninger berigtiget eller slettet (187).

(144)

De begrænsninger og garantier, der gælder for de koreanske offentlige myndigheders indsamling og efterfølgende anvendelse af personoplysninger, følger af de overordnede forfatningsmæssige rammer, specifikke love, der regulerer deres aktiviteter inden for strafferetlig håndhævelse og national sikkerhed, samt de specifikke regler for behandling af personoplysninger.

(145)

For det første er de koreanske offentlige myndigheders adgang til personoplysninger underlagt de generelle principper om lovlighed, nødvendighed og proportionalitet, der følger af den koreanske forfatning (188). Grundlæggende rettigheder og friheder (herunder retten til privatlivets fred og retten til privatlivets fred i forbindelse med korrespondance) (189) må navnlig kun begrænses ved lov, og når det er nødvendigt af hensyn til den nationale sikkerhed eller opretholdelsen af lov og orden og den offentlige velfærd. Sådanne begrænsninger må ikke berøre den pågældende rettigheds eller friheds væsentlige indhold. Med hensyn til ransagninger og beslaglæggelser fastsættes det specifikt i forfatningen, at de kun kan finde sted i henhold til loven på grundlag af en retskendelse og under overholdelse af princippet om en retfærdig rettergang (190). Endelig kan enkeltpersoner påberåbe sig deres rettigheder og friheder ved forfatningsdomstolen, hvis de mener, at de er blevet krænket af offentlige myndigheder under udøvelsen af deres beføjelser (191). Personer, der har lidt skade som følge af en ulovlig handling begået af offentligt ansatte under udøvelsen af deres officielle hverv, har ligeledes ret til at kræve en rimelig erstatning (192).

(146)

For det andet afspejles de generelle principper i betragtning 145 som nærmere beskrevet i afsnit 3.2.1 og 3.3.1 også i de specifikke love, der regulerer de retshåndhævende myndigheders og nationale sikkerhedsmyndigheders beføjelser. Med hensyn til strafferetlige efterforskninger fastsættes det f.eks. i strafferetsplejeloven (CPA), at der kun må træffes obligatoriske foranstaltninger, hvis det er udtrykkeligt fastsat i CPA, og i det mindst mulige omfang for at nå formålet med efterforskningen (193). På samme måde forbyder artikel 3 i lov om beskyttelse af privatlivets fred i forbindelse med kommunikation (CPPA) adgang til privat kommunikation, undtagen på grundlag af loven og med forbehold af de begrænsninger og garantier, der er fastsat heri. På det nationale sikkerhedsområde fastsættes det i lov om den nationale efterretningstjeneste (NIS-loven), at enhver adgang til kommunikation eller lokaliseringsdata skal være i overensstemmelse med loven, og misbrug af beføjelser og overtrædelser af loven omfattes af strafferetlige sanktioner (194).

(147)

For det tredje er offentlige myndigheders behandling af personoplysninger, herunder med henblik på retshåndhævelse og til nationale sikkerhedsformål, omfattet af databeskyttelsesreglerne i PIPA (195). Som et generelt princip pålægger artikel 5, stk. 1, i PIPA offentlige myndigheder at formulere politikker til forebyggelse af »misbrug og forkert anvendelse af personoplysninger, indiskret overvågning og sporing mv. og styrkelse af den enkeltes værdighed og ret til privatlivets fred«. Endvidere skal enhver dataansvarlig behandle personoplysninger på en måde, der minimerer risikoen for at krænke den registreredes ret til privatlivets fred (artikel 3, stk. 6, i PIPA).

(148)

Alle de PIPA-krav, der er nærmere beskrevet i afsnit 2, gælder for behandling af personoplysninger med henblik på retshåndhævelse. Dette omfatter de centrale principper (såsom lovlighed og rimelighed, formålsbegrænsning, nøjagtighed, dataminimering, opbevaringsbegrænsning, sikkerhed og gennemsigtighed), forpligtelser (f.eks. med hensyn til anmeldelse af brud på datasikkerheden og følsomme oplysninger) og rettigheder (ret til indsigt i og berigtigelse, sletning og suspension).

(149)

Behandlingen af personoplysninger til nationale sikkerhedsformål er omfattet af et mere begrænset sæt bestemmelser i PIPA, men de centrale principper samt reglerne om tilsyn, håndhævelse og klage og prøvelsesadgang finder anvendelse (196). I artikel 3 og 4 i PIPA fastsættes mere specifikt de generelle databeskyttelsesprincipper (lovlighed og rimelighed, formålsbegrænsning, nøjagtighed, dataminimering, sikkerhed og gennemsigtighed) og individuelle rettigheder (retten til at blive underrettet, retten til indsigt og retten til berigtigelse, sletning og suspension) (197). I henhold til artikel 4, stk. 5, i PIPA har registrerede desuden ret til passende erstatning for enhver skade, der opstår som følge af behandlingen af deres personoplysninger, gennem en hurtig og retfærdig procedure. Dette suppleres af mere specifikke forpligtelser til kun at behandle personoplysninger i mindst muligt omfang for at nå det tilsigtede formål og ikke længere end nødvendigt, til at træffe de nødvendige foranstaltninger til at garantere en sikker dataforvaltning og korrekt behandling (såsom tekniske, ledelsesmæssige og fysiske garantier) samt til at træffe foranstaltninger til korrekt behandling af individuelle klager (198). Endelig finder de generelle principper om lovlighed, nødvendighed og proportionalitet i den koreanske forfatning (jf. betragtning 145) også anvendelse på behandling af personoplysninger til nationale sikkerhedsformål.

(150)

Disse generelle begrænsninger og garantier kan påberåbes af enkeltpersoner ved uafhængige tilsynsorganer (f.eks. PIPC og/eller den nationale menneskerettighedskommission, jf. betragtning 177-178), og domstolene (jf. betragtning 179-183) for at få prøvet deres sag.

(151)

Republikken Koreas lovgivning pålægger en række begrænsninger af adgangen til og anvendelsen af personoplysninger med henblik på strafferetlig håndhævelse og indeholder en række tilsyns- og prøvelsesmekanismer, som er i overensstemmelse med de krav, der er omhandlet i betragtning 141-143 i denne afgørelse. De betingelser, hvorunder en sådan adgang kan finde sted, og de garantier, der gælder for udøvelsen af disse beføjelser, vurderes nærmere i de følgende afsnit.

(152)

Personoplysninger, der behandles af koreanske dataansvarlige, og som vil blive overført fra Unionen i henhold til denne afgørelse (199), kan indsamles af de koreanske myndigheder med henblik på strafferetlig håndhævelse i forbindelse med ransagning eller beslaglæggelse (på grundlag af CPA) via adgang til kommunikationsdata (på grundlag af CPPA) eller indhentning abonnentoplysninger på grundlag af anmodninger om frivillig fremlæggelse af oplysninger (på grundlag af telekommunikationsloven (TBA)) (200).

(153)

I henhold til CPA må ransagning eller beslaglæggelse kun må finde sted, hvis en person mistænkes for en forbrydelse, det er nødvendigt for efterforskningen, og der etableres en forbindelse mellem efterforskningen og den person, der skal ransages, eller den genstand, der skal inspiceres eller beslaglægges (201). Desuden må ransagning eller beslaglæggelse (som enhver obligatorisk foranstaltning) kun tillades/foretages i nødvendigt omfang (202). Hvis ransagningen vedrører en diskette eller et andet datalagringsmedium, er det i princippet kun de nødvendige oplysninger (i kopi eller udskrevet), der beslaglægges, og ikke hele mediet (203). Mediet kan kun beslaglægges, hvis det anses for at være stort set umuligt at udskrive eller kopiere de krævede oplysninger særskilt, eller hvis det anses for at være praktisk umuligt at opfylde formålet med ransagningen på anden vis (204). CPA fastsætter derfor klare og præcise regler for omfanget og anvendelsen af disse foranstaltninger, hvorved det sikres, at indgrebet i enkeltpersoners rettigheder i forbindelse med en ransagning eller beslaglæggelse begrænses til, hvad der er nødvendigt for en specifik strafferetlig efterforskning, og står i rimeligt forhold til det forfulgte formål.

(154)

Med hensyn til proceduremæssige garantier skal der i henhold til CPA indhentes en retskendelse med henblik på ransagning eller beslaglæggelse (205). Ransagning eller beslaglæggelse uden en kendelse er kun undtagelsesvis tilladt, nemlig i hastetilfælde (206) på stedet i forbindelse med anholdelsen eller tilbageholdelsen af den mistænkte for forbrydelsen (207), eller hvis en genstand bortsmides eller udleveres frivilligt af den mistænkte for forbrydelsen eller tredjemand (for så vidt angår personoplysninger, af den pågældende person selv) (208). Ulovlige ransagninger og beslaglæggelser er underlagt strafferetlige sanktioner (209), og ethvert bevismateriale, der er indhentet i strid med CPA, betragtes som uantageligt (210). Endelig skal de berørte personer altid straks underrettes om en ransagning eller beslaglæggelse (herunder beslaglæggelse af deres oplysninger) (211), hvilket vil lette udøvelsen af den enkeltes materielle rettigheder og prøvelsesadgang (om muligheden for at anfægte fuldbyrdelsen af en retskendelse om beslaglæggelse, jf. betragtning 180).

(155)

På grundlag af CPPA kan de koreanske strafferetlige håndhævelsesmyndigheder træffe to typer foranstaltninger (212): På den ene side indsamling af »kommunikationsbekræftelsesdata« (213), herunder om telekommunikationsdato, start- og sluttidspunkt, antal udgående og indgående opkald samt den anden parts abonnentnummer, hyppighed, logfiler om brugen af teletjenester og lokaliseringsdata (f.eks. fra transmissionstårne, hvor der modtages signaler), og på den anden side »kommunikationsbegrænsende foranstaltninger«, som både omfatter indsamling af indholdet af traditionel post og direkte aflytning af indholdet af telekommunikation (214).

(156)

Kommunikationsbekræftelsesdata må kun tilgås, når det er nødvendigt for at gennemføre en strafferetlig efterforskning eller fuldbyrde en dom (215), på grundlag af en retskendelse (216). I denne forbindelse skal der i henhold til CPPA gives detaljerede oplysninger i både anmodningen om kendelsen (f.eks. om begrundelsen for anmodningen, forbindelsen til den pågældende part/abonnenten og de nødvendige oplysninger) og i selve kendelsen (f.eks. om foranstaltningens formål, mål og omfang) (217). Indsamling må kun finde sted uden en kendelse, når hensynet til sagens hastende karakter gør det umuligt at indhente en retskendelse, og kendelsen skal i så fald indhentes og meddeles teleudbyderen umiddelbart efter anmodningen om oplysningerne (218). Hvis retten efterfølgende nægter at give tilladelse, skal de indsamlede oplysninger tilintetgøres (219).

(157)

Med hensyn til yderligere garantier for indsamling af kommunikationsbekræftelsesdata stiller CPPA særlige krav til registrering og gennemsigtighed (220). Både strafferetlige håndhævelsesmyndigheder (221) og teleudbydere (222) skal navnlig føre fortegnelser over fremsatte anmodninger og fremlagte oplysninger. Desuden skal strafferetlige håndhævelsesmyndigheder i princippet underrette de berørte personer om, at deres kommunikationsbekræftelsesdata er blevet indsamlet (223). En sådan underretning kan kun udsættes under ekstraordinære omstændigheder på grundlag af en tilladelse fra chefen for en kompetent distriktsadvokatur (224). En sådan tilladelse kan kun gives, hvis underretningen sandsynligvis vil 1) bringe den nationale sikkerhed og den offentlige sikkerhed og orden i fare, 2) forårsage død eller legemsbeskadigelse, 3) hindre en retfærdig rettergang (f.eks. føre til ødelæggelse af beviser eller trusler mod vidner) eller 4) ærekrænke den mistænkte, ofrene eller andre personer, der er indblandet i sagen, eller krænke deres privatliv. I så fald skal underretningen ske senest 30 dage efter, at årsagerne til udsættelsen ikke længere gør sig gældende (225). Efter underretningen har de berørte personer ret til at få oplysninger om begrundelsen for indsamlingen af deres oplysninger (226).

(158)

Der gælder strengere regler for kommunikationsbegrænsende foranstaltninger, som kun må anvendes, hvis der er vægtige grunde til at formode, at visse former for grov kriminalitet, der er specifikt anført i CPPA, planlægges, begås eller er blevet begået (227). Kommunikationsbegrænsende foranstaltninger kan desuden kun træffes som en sidste udvej, og hvis det er vanskeligt at forhindre, at der begås en forbrydelse, at anholde en kriminel person eller at indsamle bevismateriale på anden vis (228). De skal straks bringes til ophør, når de ikke længere er nødvendige, for at sikre, at krænkelsen af privatlivets fred i forbindelse med kommunikation begrænses mest muligt (229). Oplysninger, der er indhentet ulovligt ved brug af kommunikationsbegrænsende foranstaltninger, antages ikke som bevismateriale i retssager eller disciplinærsager (230).

(159)

Med hensyn til proceduremæssige garantier skal der i henhold til CPPA indhentes en retskendelse for at gennemføre kommunikationsbegrænsende foranstaltninger (231). I henhold til CPPA skal anmodningen om en kendelse og selve kendelsen indeholder detaljerede oplysninger (232), herunder om begrundelsen for anmodningen, og den kommunikation, der skal indsamles (hvilket skal være kommunikation til eller fra den mistænkte, som efterforskes) (233). Sådanne foranstaltninger kan kun træffes uden en kendelse i tilfælde af en overhængende fare for organiseret kriminalitet, eller hvis der er overhængende fare for anden grov kriminalitet, som kan forårsage direkte dødsfald eller alvorlig personskade, og der foreligger en nødsituation, som gør det umuligt at følge den almindelige procedure (234). I så fald skal en anmodning om en kendelse imidlertid indgives umiddelbart efter, at foranstaltningen er truffet (235). Kommunikationsbegrænsende foranstaltninger kan kun gennemføres i en periode på højst to måneder (236) og kan kun forlænges med rettens godkendelse, hvis betingelserne for at gennemføre foranstaltningerne fortsat er opfyldt (237). Den forlængede periode må ikke overstige et år eller tre år for visse former for særlig grov kriminalitet (f.eks. kriminalitet i forbindelse med oprør, aggression udefra og den nationale sikkerhed) (238).

(160)

Som det er tilfældet ved indsamling af kommunikationsbekræftelsesdata, pålægger CPPA teleudbydere (239) og retshåndhævende myndigheder (240) at føre fortegnelser over gennemførelsen af kommunikationsbegrænsende foranstaltninger, og loven indeholder bestemmelser om underretning af den pågældende person, som under ekstraordinære omstændigheder kan udsættes, hvis det er nødvendigt af hensyn til vigtige samfundsinteresser (241).

(161)

Endelig er manglende overholdelse af flere af begrænsningerne og garantierne i CPPA (herunder f.eks. forpligtelsen til at indhente en kendelse, registrering og underretning af den berørte person), både i forbindelse med indsamling af kommunikationsbekræftelsesdata og anvendelse af kommunikationsbegrænsende foranstaltninger, underlagt strafferetlige sanktioner (242).

(162)

Strafferetlige håndhævelsesmyndigheders beføjelser til at indsamle kommunikationsdata på grundlag af CPPA (både kommunikationsindhold og kommunikationsbekræftelsesdata) er derfor afgrænset af klare og præcise regler og underlagt en række garantier. Disse garantier sikrer navnlig tilsyn med gennemførelsen af sådanne foranstaltninger, både forudgående (gennem forudgående retlig godkendelse) og efterfølgende (gennem registrerings- og rapporteringskrav), og letter berørte personers adgang til effektive retsmidler (ved at sikre, at de underrettes om indsamlingen af deres oplysninger).

(163)

Ud over at basere sig på de obligatoriske foranstaltninger, der er beskrevet i betragtning 153-162, kan de koreanske retshåndhævende myndigheder anmode teleudbydere om at videregive »kommunikationsdata« på frivillig basis til støtte for en straffesag, efterforskning eller fuldbyrdelse af en dom (artikel 83, stk. 3, i TBA). Denne mulighed findes kun for begrænsede datasæt, dvs. brugernes navn, bopælsregistreringsnummer, adresse og telefonnummer, datoerne for brugernes tegning eller opsigelse af deres abonnement samt brugeridentifikationskoder (dvs. koder, der anvendes til at identificere den retmæssige bruger af computersystemer eller kommunikationsnet) (243). Da det kun personer, som indgår aftaler om tjenester direkte med en koreansk teleudbyder, der betragtes som »brugere« (244), vil EU-borgere, hvis oplysninger er blevet overført til Republikken Korea, normalt ikke falde ind under denne kategori (245).

(164)

Der gælder forskellige begrænsninger for denne frivillige fremlæggelse af oplysninger, både for den retshåndhævende myndigheds udøvelse af beføjelser og for teleoperatørens svar. Som et generelt krav skal de retshåndhævende myndigheder handle i overensstemmelse med de forfatningsmæssige principper om nødvendighed og proportionalitet (forfatningens artikel 12, stk. 1, og artikel 37, stk. 2), herunder når de anmoder om frivillig videregivelse af oplysninger. Desuden skal de overholde PIPA, navnlig ved kun at indsamle personoplysninger i det omfang, det er nødvendigt for at nå et legitimt formål, på en måde, der minimerer indvirkningen på den enkeltes ret til privatlivets fred (f.eks. artikel 3, stk. 1 og 6, i PIPA). Nærmere bestemt skal anmodningen om indhentning af kommunikationsdata på grundlag af TBA indgives skriftligt med angivelse af begrundelsen for anmodningen, linket til den relevante bruger og omfanget af de ønskede data (246).

(165)

Teleudbydere er ikke forpligtet til at efterkomme sådanne anmodninger og må kun gøre det i overensstemmelse med PIPA. Dette betyder navnlig, at de skal afveje de forskellige berørte interesser, og de må ikke videregive oplysningerne, hvis dette sandsynligvis vil krænke den registreredes eller tredjemands interesser uretmæssigt (247). Dette vil f.eks. være tilfældet, hvis det er klart, at den anmodende myndighed har misbrugt sin myndighed (248). Teleoperatører skal føre fortegnelser over videregivelsen af oplysninger i henhold til TBA og aflægge rapport to gange om året til ministeren for videnskab og IKT (249).

(166)

Desuden skal teleudbydere i henhold til afsnit 3 i meddelelse nr. 2021-5 (bilag I) i princippet underrette den berørte person, når de frivilligt efterkommer en anmodning (250). Dette vil gøre det muligt for den pågældende at udøve sine rettigheder og, hvis vedkommendes oplysninger videregives ulovligt, at indbringe en sag enten mod den dataansvarlige (f.eks. for at videregive oplysningerne i strid med PIPA eller for at efterkomme en anmodning, der var klart uforholdsmæssig) eller mod den retshåndhævende myndighed (f.eks. for at gå ud over, hvad der er nødvendigt og forholdsmæssigt, eller for ikke at overholde de proceduremæssige krav i TBA).

(167)

Behandlingen af personoplysninger, der indsamles af koreanske strafferetlige håndhævelsesmyndigheder, skal opfylde alle kravene i PIPA, herunder med hensyn til formålsbegrænsning (artikel 3, stk. 1-2, i PIPA), lovlig anvendelse og videregivelse til tredjemand (artikel 15, 17 og 18 i PIPA), internationale overførsler (artikel 17 og 18 i PIPA sammenholdt med afsnit 2 i meddelelse nr. 2021-5) (251), proportionalitet og dataminimering (artikel 3, stk. 1 og 6, i PIPA) og opbevaringsbegrænsning (artikel 21 i PIPA) (252).

(168)

Hvad angår indholdet af kommunikation, der erhverves via gennemførelse af kommunikationsbegrænsende foranstaltninger, begrænser CPPA specifikt den mulige anvendelse heraf til efterforskning, retsforfølgelse eller forebyggelse af grov kriminalitet (253), disciplinærsager i forbindelse med denne kriminalitet, erstatningskrav rejst af en part i kommunikationen, eller hvor dette er specifikt tilladt i henhold til anden lovgivning (254). Desuden må det indsamlede indhold af telekommunikation, der overføres via internettet, kun opbevares med godkendelse fra den domstol, der godkendte de kommunikationsbegrænsende foranstaltninger (255), med henblik på at anvende det til efterforskning, retsforfølgelse eller forebyggelse af grov kriminalitet (256). Mere generelt forbyder CPPA videregivelse af fortrolige oplysninger, der er indhentet ved kommunikationsbegrænsende foranstaltninger, og anvendelse af sådanne oplysninger til skade for de af foranstaltningerne omfattede personers omdømme (257).

(169)

I Korea overvåges strafferetlige håndhævelsesmyndigheders aktiviteter af forskellige organer (258).

(170)

For det første er politiet underlagt internt tilsyn foretaget af en generalinspektør (259), som fører legalitetskontrol, herunder med hensyn til mulige krænkelser af menneskerettighederne. Generalinspektøren blev oprettet for at gennemføre lov om revisioner i den offentlige sektor, som tilskynder til oprettelse af selvrevisionsorganer og fastsætter specifikke krav til deres sammensætning og opgaver. Det fastsættes navnlig i loven, at lederen af et selvrevisionsorgan skal hentes uden for den relevante myndighed (f.eks. tidligere dommere, professorer) og udnævnes for en periode på to til fem år (260), at lederen kun kan afskediges af velbegrundede årsager (f.eks. hvis vedkommende ikke kan varetage sine opgaver af helbredsmæssige årsager eller er genstand for disciplinære foranstaltninger) (261), og at lederen er garanteret uafhængighed i videst muligt omfang (262). Hindring af selvrevision straffes med administrative bøder (263). Revisionsrapporter (som kan omfatte henstillinger, anmodninger om disciplinære foranstaltninger og anmodninger om erstatning eller berigtigelse) fremsendes til lederen af den relevante offentlige myndighed, revisions- og inspektionsudvalget (BAI) (264) og offentliggøres generelt (265). Resultaterne af rapportens gennemførelse skal også meddeles BAI (266) (jf. betragtning 173 om BAI's tilsynsrolle og beføjelser).

(171)

For det andet fører PIPC tilsyn med, at strafferetlige håndhævelsesmyndigheders databehandling er i overensstemmelse med PIPA og andre love, der beskytter den enkeltes ret til privatlivets fred, herunder de love, der regulerer indsamling af (elektronisk) bevismateriale med henblik på strafferetlig håndhævelse, som beskrevet i afsnit 3.2.1 (267). Da PIPC's tilsyn omfatter en undersøgelse af lovligheden og rimeligheden af dataindsamlingen og -behandlingen (artikel 3, stk. 1, i PIPA), som vil blive overtrådt, hvis personoplysninger tilgås og anvendes i strid med disse love (268), kan PIPC navnlig også undersøge og håndhæve overholdelsen af de begrænsninger og garantier, der er beskrevet i afsnit 3.2.1 (269). Ved udøvelsen af denne tilsynsrolle kan PIPC gøre brug af alle sine undersøgelsesbeføjelser og afhjælpende beføjelser som nærmere beskrevet i afsnit 2.4.2. Allerede inden den nylige reform af PIPA (dvs. i forbindelse med PIPC's tidligere tilsyn med den offentlige sektor) udførte PIPC en række tilsyn med strafferetlige håndhævelsesmyndigheders behandling af personoplysninger, f.eks. i forbindelse med afhøring af mistænkte (sag nr. 2013-16 af 26. august 2013), med hensyn til fremsendelse af meddelelser til enkeltpersoner om pålæggelse af administrative bøder (sag nr. 2015-02-04 af 26. januar 2015), udveksling af oplysninger med andre myndigheder (sag nr. 2018-15-146 af 9. juli 2018, sag nr. 2018-25-308 af 10. december 2018, sag nr. 2019-02-015, 29. januar 2019), indsamling af fingeraftryk eller fotografier (sag nr. 2019-17-273 af 9. september 2019), anvendelse af droner (sag nr. 2020-01-004 af 13. januar 2020). I disse sager undersøgte PIPC overholdelsen af flere bestemmelser i PIPA (f.eks. lovligheden af behandlingen, principperne om formålsbegrænsning og dataminimering), men også relevante bestemmelser i andre love såsom strafferetsplejeloven, og udstedte om nødvendigt henstillinger om at bringe behandlingen i overensstemmelse med databeskyttelseskravene.

(172)

For det tredje føres der uafhængigt tilsyn af den nationale menneskerettighedskommission (NHRC) (270), som kan undersøge krænkelser af retten til privatlivets fred og privatlivets fred i forbindelse med korrespondance som led i dens generelle mandat til at beskytte de grundlæggende rettigheder i forfatningens artikel 10-22. NHRC består af 11 kommissærer, der skal opfylde specifikke kvalifikationskriterier (271) og udpeges af præsidenten i overensstemmelse med de procedurer, der er fastsat ved lov. Fire kommissærer udnævnes efter indstilling fra nationalforsamlingen, fire efter indstilling fra præsidenten og tre efter indstilling fra højesteretspræsidenten (272). Formanden udnævnes af præsidenten blandt kommissærerne, og udnævnelsen skal bekræftes af nationalforsamlingen (273). Kommissærer (herunder formanden) udnævnes for en periode på tre år, der kan forlænges, og kan kun afsættes, hvis de idømmes fængselsstraf eller ikke længere er i stand til at varetage deres opgaver på grund af langvarig psykisk eller fysisk sygdom (i så fald skal to tredjedele af kommissærerne være enige i afsættelsen) (274). Som led i en undersøgelse kan NHRC anmode om fremlæggelse af relevant materiale, foretage inspektioner og indkalde enkeltpersoner til at afgive vidneforklaring (275). Med hensyn til afhjælpende beføjelser kan NHRC udstede (offentlige) henstillinger for at forbedre eller korrigere specifikke politikker og praksis, som offentlige myndigheder skal følge op på med et forslag til gennemførelsesplan (276). Hvis den pågældende myndighed undlader at gennemføre henstillingerne, skal den underrette kommissionen herom (277), som derefter kan underrette nationalforsamlingen om denne undladelse og/eller offentliggøre den. Ifølge den koreanske regerings officielle redegørelse (afsnit 2.3.5 i bilag II) efterlever de koreanske myndigheder generelt NHRC's henstillinger og har et stærkt incitament hertil, da deres gennemførelse er blevet vurderet som led i en generel, løbende evaluering, som premierministerens kontor fører tilsyn med. Årlige tal for NHRC's aktiviteter viser, at NHRC fører aktivt tilsyn med strafferetlige håndhævelsesmyndigheders aktiviteter, enten på grundlag af individuelle klager eller undersøgelser på eget initiativ (278).

(173)

For det fjerde udføres det generelle tilsyn med lovligheden af de offentlige myndigheders aktiviteter af BAI, som undersøger statens indtægter og udgifter, men også mere generelt fører tilsyn med, at offentlige myndigheder overholder deres forpligtelser, for at forbedre den offentlige forvaltnings funktion (279). BAI er formelt oprettet under Republikken Koreas præsident, men varetager sine opgaver uafhængigt (280). Udvalgets beføjelser til at ansætte, afskedige og organisere sit personale og udarbejde budget udøves desuden i fuld uafhængighed (281). BAI består af en formand (udnævnt af præsidenten med nationalforsamlingens samtykke (282)) og seks kommissærer (udpeget af præsidenten efter indstilling fra formanden (283)), som skal opfylde specifikke lovbestemte kvalifikationskriterier (284) og kun kan afsættes i tilfælde af forfald, fængselsstraf eller manglende evne til at varetage deres opgaver på grund af langvarig psykisk eller fysisk sygdom (285). BAI foretager en generel revision en gang om året, men kan også foretage specifikke revisioner af spørgsmål af særlig interesse. I forbindelse med en revision eller inspektion kan BAI anmode om fremlæggelse af dokumenter og indkalde enkeltpersoner (286). BAI kan udstede henstillinger, anmode om disciplinære foranstaltninger eller indgive en anmeldelse (287).

(174)

Endelig fører nationalforsamlingen parlamentarisk kontrol med offentlige myndigheder gennem undersøgelser og inspektioner (288) af deres aktiviteter (289). Den kan anmode om fremlæggelse af dokumenter, pålægge vidner at give møde (290), henstille, at der træffes korrigerende foranstaltninger (hvis den konkluderer, at der har fundet ulovlige eller uretmæssige aktiviteter sted) (291) og offentliggøre resultaterne af sine undersøgelser (292). Hvis nationalforsamlingen anmoder om, at der træffes korrigerende foranstaltninger — hvilket f.eks. kan omfatte tildeling af erstatning, iværksættelse af disciplinære foranstaltninger eller forbedring af interne procedurer — er den pågældende offentlige myndighed forpligtet til at handle straks og aflægge rapport om resultatet til nationalforsamlingen (293).

(175)

I det koreanske system er der forskellige (retlige) prøvelsesmekanismer, herunder mulighed for at opnå skadeserstatning.

(176)

For det første giver PIPA enkeltpersoner ret til indsigt i og berigtigelse, sletning og suspension af behandlingen af personoplysninger, der behandles med henblik på strafferetlig håndhævelse (294).

(177)

For det andet kan enkeltpersoner gøre brug af de forskellige prøvelsesmekanismer i henhold til PIPA, hvis deres oplysninger er blevet behandlet af en strafferetlig håndhævelsesmyndighed i strid med PIPA eller i strid med de begrænsninger og garantier, der gælder for indsamling af personoplysninger i andre love (dvs. CPA eller CPPA, jf. betragtning 171). Enkeltpersoner kan navnlig indgive en klage til PIPC (herunder via callcentret for privatlivsbeskyttelse, der drives af Koreas internet- og sikkerhedsagentur (295)) eller til udvalget for bilæggelse af tvister om personoplysninger (296). Disse klagemuligheder er ikke underlagt yderligere krav om antagelighed. På grundlag af lov om forvaltningssager kan enkeltpersoner desuden påklage/anfægte PIPC's afgørelser eller manglende handling (jf. betragtning 132).

(178)

For det tredje kan enhver (297) indgive en klage til NHRC vedrørende en koreansk strafferetlig håndhævelsesmyndigheds krænkelse af retten til privatlivets fred og databeskyttelse. NHRC kan fremsætte henstillinger om ændring eller forbedring af enhver relevant lov, institution, politik eller praksis (298) eller gennemførelse af foranstaltninger såsom mægling (299), ophør af krænkelsen af menneskerettighederne, skadeserstatning og foranstaltninger til at forhindre, at de samme eller lignende krænkelser gentager sig (300). Ifølge den koreanske regerings officielle redegørelse (afsnit 2.4.2 i bilag II) kan dette også omfatte sletning af ulovligt indsamlede personoplysninger. NHRC har ikke beføjelse til at træffe bindende afgørelser, men der er tale om en mere uformel, billig og let tilgængelig klageadgang, navnlig fordi der som forklaret i bilag II, afsnit 2.4.2, ikke stilles krav om påvisning af en faktisk skade, inden klagen kan undersøges (301). Dette sikrer, at klager fra enkeltpersoner vedrørende indsamlingen af deres oplysninger kan undersøges, selv om de pågældende ikke kan påvise, at deres oplysninger rent faktisk er blevet indsamlet (f.eks. fordi de endnu ikke er blevet underrettet). Det fremgår af NHRC's årlige aktivitetsrapporter, at enkeltpersoner også gør brug af denne mulighed i praksis for at anfægte strafferetlige håndhævelsesmyndigheders aktiviteter, herunder deres behandling af personoplysninger (302). Hvis en person ikke er tilfreds med udfaldet af proceduren for NHRC, kan vedkommende anfægte NHRC's afgørelser (f.eks. en afgørelse om ikke at fortsætte undersøgelsen af en klage (303)) og henstillinger ved de koreanske domstole i henhold til lov om forvaltningssager (jf. betragtning 181) (304). En procedure for NHRC kan desuden lette adgangen til domstolene yderligere, da en person kan anlægge sag mod den offentlige myndighed, der har behandlet vedkommendes oplysninger ulovligt, på grundlag af NHRC's konklusioner og i overensstemmelse med de procedurer, der er beskrevet i betragtning 181-183.

(179)

Endelig findes der forskellige retsmidler, som giver enkeltpersoner mulighed for at påberåbe sig de begrænsninger og garantier, der er beskrevet i afsnit 3.2.1, ved at få prøvet deres sag ved domstolene (305).

(180)

Med hensyn til beslaglæggelse (herunder af oplysninger) giver CPA mulighed for at gøre indsigelse mod eller anfægte fuldbyrdelsen af en kendelse gennem en »kvasiklagemekanisme« ved at indgive en anmodning til den kompetente ret om at annullere eller ændre en disposition truffet af en anklager eller politiet (306).

(181)

Mere generelt kan enkeltpersoner anfægte offentlige myndigheders (herunder strafferetlige håndhævelsesmyndigheders) handlinger (307) eller undladelser (308) i henhold til lov om forvaltningssager (309). En administrativ foranstaltning betragtes som en »anfægtelig disposition«, hvis den har direkte indvirkning på borgerlige rettigheder og pligter (310), hvilket, som bekræftet af den koreanske regering (afsnit 2.4.3 i bilag II), er tilfældet for foranstaltninger til indsamling af personoplysninger, enten direkte (f.eks. ved aflytning af kommunikation), gennem bindende anmodninger om videregivelse (f.eks. til en tjenesteudbyder) eller anmodninger om frivilligt samarbejde. Hvis en klage i henhold til lov om forvaltningssager skal antages til realitetsbehandling, skal den pågældende person have en retlig interesse i at forfølge kravet (311). Ifølge højesterets retspraksis fortolkes »retlig interesse« som en »retligt beskyttet interesse«, dvs. en direkte og specifik interesse, der er beskyttet af love og forskrifter, som administrative bestemmelser er baseret på (dvs. ikke offentlighedens generelle, indirekte og abstrakte interesser) (312). Enkeltpersoner har en sådan retlig interesse i tilfælde af overtrædelse af de begrænsninger og garantier, der gælder for indsamling af deres personoplysninger med henblik på strafferetlig håndhævelse (i henhold til specifik lovgivning eller PIPA). På grundlag af lov om forvaltningssager kan en domstol beslutte at tilbagekalde eller ændre en ulovlig disposition, udstede en afgørelse om ugyldighed (dvs. en afgørelse om, at dispositionen ikke har retsvirkning eller ikke eksisterer i retsordenen) eller udstede en afgørelse om, at en undladelse er ulovlig (313). En endelig dom i henhold til lov om forvaltningssager er bindende for parterne (314).

(182)

Ud over at anfægte statslige foranstaltninger ved at anlægge en forvaltningssag kan enkeltpersoner også indgive en forfatningsmæssig klage til forfatningsdomstolen vedrørende enhver krænkelse af deres grundlæggende rettigheder som følge af udøvelse eller manglende udøvelse af offentlig myndighed (undtagen domstolsafgørelser) (315). Hvis der findes andre retsmidler, skal disse først udtømmes. I henhold til forfatningsdomstolens retspraksis kan udenlandske statsborgere indgive en forfatningsmæssig klage, i det omfang deres grundlæggende rettigheder er anerkendt i den koreanske forfatning (se forklaringerne i afsnit 1.1) (316). Forfatningsdomstolen kan ugyldiggøre den udøvelse af offentlig myndighed, der forårsagede overtrædelsen, eller fastslå, at en bestemt undladelse af at handle er forfatningsstridig (317). I så fald er den relevante myndighed forpligtet til at træffe foranstaltninger for at efterkomme domstolens afgørelse.

(183)

Personer kan desuden opnå skadeserstatning ved de koreanske domstole. Dette omfatter først og fremmest muligheden for at kræve erstatning for overtrædelser af PIPA begået af strafferetlige håndhævelsesmyndigheder i overensstemmelse med artikel 39 (se også betragtning 135). Mere generelt kan enkeltpersoner søge erstatning for skade, som offentligt ansatte har forvoldt under udøvelsen af deres officielle hverv i strid med loven, på grundlag af lov om erstatning fra staten (se også betragtning 135) (318).

(184)

De mekanismer, der er beskrevet i betragtning 176-183, giver de registrerede adgang til effektive administrative og retlige klagemuligheder, der navnlig sætter dem i stand til at håndhæve deres rettigheder, herunder retten til at få adgang til deres personoplysninger eller til at få sådanne oplysninger berigtiget eller slettet.

(185)

Republikken Koreas lovgivning indeholder en række begrænsninger og garantier for adgangen til og anvendelsen af personoplysninger til nationale sikkerhedsformål og indeholder en række tilsyns- og prøvelsesmekanismer, som er i overensstemmelse med de krav, der er omhandlet i betragtning 141-143 i denne afgørelse. De betingelser, hvorunder en sådan adgang kan finde sted, og de garantier, der gælder for udøvelsen af disse beføjelser, vurderes nærmere i de følgende afsnit.

(186)

I Republikken Korea kan der gives adgang til personoplysninger til nationale sikkerhedsformål på grundlag af CPPA, TBA og lov om bekæmpelse af terrorisme og beskyttelse af borgerne og den offentlige sikkerhed (antiterrorloven) (319). Den vigtigste myndighed (320) med kompetence inden for national sikkerhed er den nationale efterretningstjeneste (NIS) (321). NIS skal i forbindelse med indsamling og anvendelse af personoplysninger overholde relevante retlige krav (herunder PIPA og CPPA) (322) og generelle retningslinjer udarbejdet af præsidenten og gennemgået af nationalforsamlingen (323). NIS skal som et generelt princip være politisk neutral og beskytte personers friheder og rettigheder (324). NIS-medarbejdere må desuden ikke misbruge deres offentlige myndighedsbeføjelser til at tvinge nogen institution, organisation eller enkeltperson til at gøre noget, som de ikke er forpligtet til (ved lov), eller hindre en person i at udøve sine rettigheder (325).

(187)

På grundlag af CPPA kan de koreanske offentlige myndigheder (326) indsamle kommunikationsbekræftelsesdata (dvs. oplysninger om telekommunikationsdato, start- og sluttidspunkt, antal udgående og indgående opkald samt den anden parts abonnentnummer, hyppighed, logfiler om brugen af teletjenester og lokaliseringsdata, jf. betragtning 155) og indholdet af kommunikation (ved brug af kommunikationsbegrænsende foranstaltninger, jf. betragtning 155) til nationale sikkerhedsformål (som fastsat i NIS-mandatet, jf. fodnote 322 ovenfor). Disse beføjelser omfatter to typer oplysninger: 1) kommunikation, hvor den ene eller begge parter er koreanske statsborgere (327), og 2) kommunikation fra a) lande, der er fjendtligt indstillet over for Republikken Korea, b) udenlandske organer, grupper eller statsborgere, der mistænkes for at deltage i antikoreanske aktiviteter (328), eller c) medlemmer af grupper, der opererer på Den Koreanske Halvø, men reelt uden at være underlagt Republikken Koreas suverænitet, og deres paraplygrupper i andre lande (329). Kommunikation fra EU-borgere, der overføres fra Unionen til Republikken Korea på grundlag af denne afgørelse, kan derfor kun indsamles i henhold til CPPA til nationale sikkerhedsformål (under iagttagelse af de betingelser, der er fastsat i betragtning 188-192), hvis der er tale om kommunikation mellem en EU-borger og en koreansk statsborger, hvis der udelukkende er tale om kommunikation mellem ikkekoreanske statsborgere, eller hvis den falder ind under en af de tre nævnte kategorier 2a), b) og c).

(188)

I begge scenarier kan indsamling af kommunikationsbekræftelsesdata kun finde sted for at forebygge trusler mod den nationale sikkerhed (330), og der kan kun træffes kommunikationsbegrænsende foranstaltninger, hvis der er en alvorlig risiko for den nationale sikkerhed, og indsamlingen er nødvendig for at forebygge den (331). Desuden må der kun gives adgang til indholdet af kommunikation som en sidste udvej, og der skal gøres en indsats for at minimere krænkelsen af privatlivets fred i forbindelse med kommunikation (332) og dermed sikre, at det står i et rimeligt forhold til det tilstræbte nationale sikkerhedsmål. Både kommunikationsindhold og kommunikationsbekræftelsesdata kan højst indsamles i fire måneder, og indsamlingen skal straks bringes til ophør, hvis det forfulgte mål nås tidligere (333). Hvis de relevante betingelser fortsat er opfyldt, kan fristen forlænges med op til fire måneder med forudgående tilladelse fra en domstol (for de foranstaltninger, der er beskrevet i betragtning 189) eller fra præsidenten (for de foranstaltninger, der er beskrevet i betragtning 190) (334).

(189)

De samme proceduremæssige garantier gælder for indsamling af kommunikationsbekræftelsesdata og indholdet af kommunikation (335). Hvis mindst en af parterne i kommunikationen er koreansk statsborger, skal efterretningsagenturet navnlig indgive en skriftlig anmodning til den højere anklagemyndighed (anklagemyndigheden ved High Court), som derefter skal anmode en retspræsident ved High Court om at udstede en kendelse (336). I CPPA anføres de oplysninger, der skal angives i anmodningen til anklageren, anmodningen om kendelsen og selve kendelsen, herunder navnlig om begrundelsen for anmodningen og de vigtigste grunde til mistanke, dokumentation samt oplysninger om formål, mål (dvs. den eller de overvågede personer), omfang og varighed af den foreslåede foranstaltning (337). Indsamling må kun finde sted uden en kendelse, hvis der er en sammensværgelse, som truer den nationale sikkerhed, og der foreligger en nødsituation, som gør det umuligt at gennemføre ovennævnte procedurer (338). I så fald skal en anmodning om en kendelse imidlertid også indgives umiddelbart efter, at foranstaltningen er truffet (339). CPPA definerer derfor klart omfanget af og betingelserne for disse typer indsamling og underkaster dem specifikke (proceduremæssige) garantier (herunder forudgående retslig godkendelse), som sikrer, at anvendelsen af sådanne foranstaltninger er begrænset til, hvad der er nødvendigt og forholdsmæssigt. Desuden udelukker kravet om, at der skal gives detaljerede oplysninger i både anmodningen om en kendelse og selve kendelsen, muligheden for vilkårlig adgang.

(190)

For så vidt angår kommunikation mellem ikkekoreanske statsborgere, der falder ind under en af de tre specifikke kategorier anført i betragtning 187, skal der indgives en anmodning til chefen for NIS, som efter en vurdering af hensigtsmæssigheden af de foreslåede foranstaltninger skal anmode Republikken Koreas præsident om en forudgående skriftlig godkendelse (340). Den anmodning, der udarbejdes af efterretningsagenturet, skal indeholde de samme detaljerede oplysninger som en anmodning om en retskendelse (jf. betragtning 189), navnlig om begrundelsen for anmodningen og de vigtigste grunde til mistanke, dokumentation og oplysninger om formål, den eller de overvågede personer, omfang og varighed af de foreslåede foranstaltninger (341). I nødsituationer (342) skal der indhentes forudgående godkendelse fra den minister, som det relevante efterretningsagentur er underlagt, men efterretningsagenturet skal anmode om præsidentens godkendelse umiddelbart efter iværksættelsen af hasteforanstaltningerne (343). Hvis der udelukkende er tale om indsamling af kommunikation mellem ikkekoreanske statsborgere, begrænser CPPA derfor anvendelsen af sådanne foranstaltninger til, hvad der er nødvendigt og forholdsmæssigt, ved klart at afgrænse de begrænsede kategorier af personer, der kan være omfattet af sådanne foranstaltninger, og ved at fastsætte detaljerede kriterier, som efterretningsagenturerne skal påvise, at de opfylder, for at begrunde anmodningen om indsamling af oplysninger. Dette udelukker ligeledes muligheden for vilkårlig adgang. Selv om der ikke er nogen forudgående uafhængig godkendelse af sådanne foranstaltninger, fører navnlig PIPC og NHRC et efterfølgende uafhængigt tilsyn (jf. f.eks. betragtning 199-200).

(191)

CPPA indfører desuden en række yderligere garantier, der bidrager til efterfølgende tilsyn og letter berørte personers adgang til effektive retsmidler. For det første fastsætter CPPA forskellige registrerings- og rapporteringskrav i forbindelse med enhver form for indsamling til nationale sikkerhedsformål. Efterretningsagenturer, der anmoder private operatører om at samarbejde, skal navnlig indhente en retskendelse eller en tilladelse fra præsidenten eller en kopi af forsiden af en erklæring om censur i nødsituationer, som den pågældende enhed skal opbevare (344). Hvis private operatører er tvunget til at samarbejde, skal både den anmodende offentlige myndighed og den pågældende operatør føre fortegnelser over formålet med og genstanden for foranstaltningerne samt datoen for gennemførelsen (345). Desuden skal efterretningsagenturerne aflægge rapport om de oplysninger, de har indsamlet, og om resultaterne af overvågningen til chefen for NIS (346).

(192)

For det andet skal de berørte personer underrettes om indsamlingen af deres oplysninger (kommunikationsbekræftelsesdata eller indholdet af kommunikation) til nationale sikkerhedsformål, hvis mindst en af parterne i kommunikationen er koreansk statsborger (347). Denne underretning skal ske skriftligt senest 30 dage efter den dato, hvor indsamlingen blev afsluttet (herunder hvis oplysningerne blev indsamlet efter hasteproceduren), og må kun udsættes, hvis og så længe den bringer den nationale sikkerhed i fare eller er til skade for menneskers liv og fysiske sikkerhed (348). Uanset denne underretning har de berørte personer adgang til forskellige prøvelsesmekanismer som nærmere forklaret i afsnit 3.3.4.

(193)

I henhold til antiterrorloven kan NIS indsamle oplysninger om terrormistænkte (349) i overensstemmelse med de begrænsninger og garantier, der er fastsat i andre love (350). NIS kan navnlig indhente kommunikationsdata (på grundlag af CPPA) og andre personoplysninger (gennem en anmodning om frivillig fremlæggelse af oplysninger (351)). Med hensyn til indsamling af kommunikationsdata (dvs. indholdet af kommunikation eller kommunikationsbekræftelsesdata) finder de begrænsninger og garantier, der er beskrevet i afsnit 3.3.1.1, anvendelse, herunder kravet om at indhente en retskendelse. Med hensyn til anmodninger om frivillig fremlæggelse af andre typer personoplysninger om terrormistænkte skal NIS overholde kravene i forfatningen og PIPA om nødvendighed og proportionalitet (jf. betragtning 164) (352). Dataansvarlige, der modtager sådanne anmodninger, kan imødekomme dem frivilligt på de betingelser, der er fastsat i PIPA (f.eks. i overensstemmelse med princippet om dataminimering og ved at begrænse indvirkningen på den enkeltes ret til privatlivets fred) (353). I så fald skal de også opfylde kravet om at underrette den berørte person i henhold til meddelelse nr. 2021-5 (jf. betragtning 166).

(194)

Teleudbydere kan frivilligt videregive abonnentoplysninger på grundlag af TBA (jf. betragtning 163) efter anmodning fra et efterretningsagentur, der agter at indsamle sådanne oplysninger for at forebygge en trussel mod den nationale sikkerhed (354). For sådanne anmodninger fra NIS gælder de samme begrænsninger (som følger af forfatningen, PIPA og TBA) som inden for strafferetlig håndhævelse, jf. betragtning 164 (355). Teleudbydere er ikke forpligtet til at imødekommer sådanne anmodninger og kan kun gøre dette på de betingelser, der er fastsat i PIPA (navnlig i overensstemmelse med princippet om dataminimering og ved at begrænse indvirkningen på den enkeltes ret til privatlivets fred, se også betragtning 193). Der gælder samme krav med hensyn til registrering og underretning af den pågældende person som inden for strafferetlig håndhævelse (jf. betragtning165 og 166).

(195)

Behandlingen af personoplysninger, der indsamles af de koreanske myndigheder til nationale sikkerhedsformål, er underlagt principperne om formålsbegrænsning (artikel 3, stk. 1 og 2, i PIPA), lovlig og rimelig behandling (artikel 3, stk. 1, i PIPA), proportionalitet/dataminimering (artikel 3, stk. 1 og 6, og artikel 58 i PIPA), nøjagtighed (artikel 3, stk. 3, i PIPA), gennemsigtighed (artikel 3, stk. 5, i PIPA), sikkerhed (artikel 58, stk. 4, i PIPA) og opbevaringsbegrænsning (artikel 58, stk. 4, i PIPA) (356). Eventuel videregivelse af personoplysninger til tredjemand (herunder tredjelande) kan kun finde sted i overensstemmelse med disse principper (navnlig om formålsbegrænsning og dataminimering) efter en vurdering af overholdelsen af principperne om nødvendighed og proportionalitet (forfatningens artikel 37, stk. 2) og under hensyntagen til indvirkningen på de berørte personers rettigheder (artikel 3, stk. 6, i PIPA).

(196)

Hvad angår indholdet af kommunikation og kommunikationsbekræftelsesdata begrænser CPPA yderligere anvendelsen af sådanne oplysninger til retssager, hvor en part i kommunikationen påberåber sig disse i et erstatningssøgsmål, eller til tilladte anvendelser i henhold til anden lovgivning (357).

(197)

De koreanske nationale sikkerhedsmyndigheders aktiviteter overvåges af forskellige organer (358).

(198)

For det første indeholder antiterrorloven bestemmelser om specifikke tilsynsmekanismer for terrorbekæmpelsesaktiviteter, herunder indsamling af oplysninger om terrormistænkte. Navnlig på det udøvende niveau overvåges terrorbekæmpelsesaktiviteter af antiterrorkommissionen (359), som chefen for NIS skal aflægge rapport til om efterforskning og sporing af terrormistænkte for at indsamle de nødvendige oplysninger eller materialer til terrorbekæmpelsesaktiviteter (360). Den ansvarlige for beskyttelse af menneskerettigheder (HRPO) fører desuden specifikt tilsyn med, at terrorbekæmpelsesaktiviteterne ikke krænker de grundlæggende rettigheder (361). HRPO udnævnes af formanden for antiterrorkommissionen blandt personer, der opfylder specifikke kvalifikationskriterier anført i gennemførelsesdekretet til antiterrorloven (362), for en periode på to år, som kan forlænges, og kan kun afsættes af specifikke, begrænsede grunde, og hvis det er berettiget (363). Under udøvelsen af sin tilsynsfunktion kan HRPO udstede generelle henstillinger om forbedringer af beskyttelsen af menneskerettighederne (364) og specifikke henstillinger om korrigerende foranstaltninger, hvis der er konstateret en krænkelse af menneskerettighederne (365). De offentlige myndigheder skal underrette HRPO'en om opfølgningen på dens henstillinger (366).

(199)

For det andet fører PIPC tilsyn med, at de nationale sikkerhedsmyndigheder overholder databeskyttelsesreglerne, hvilket omfatter både de gældende bestemmelser i PIPA (jf. betragtning 149) og de begrænsninger og garantier, der gælder for indsamling af personoplysninger i henhold til andre love (CPPA, antiterrorloven og TBA, se også betragtning 171) (367). Ved udøvelsen af denne tilsynsrolle kan PIPC gøre brug af alle sine undersøgelsesbeføjelser og afhjælpende beføjelser som nærmere beskrevet i afsnit 2.4.2.

(200)

For det tredje er de nationale sikkerhedsmyndigheders aktiviteter underlagt NHRC's uafhængige tilsyn i overensstemmelse med de procedurer, der er beskrevet i betragtning 172 (368).

(201)

For det fjerde omfatter BAI's tilsynsfunktion også de nationale sikkerhedsmyndigheder, selv om NIS under ekstraordinære omstændigheder kan nægte at udlevere visse oplysninger eller materialer, f.eks. hvis de udgør statshemmeligheder, og offentlighedens kendskab hertil ville have en alvorlig indvirkning på den nationale sikkerhed (369).

(202)

Endelig varetages den parlamentariske kontrol med NIS' aktiviteter af nationalforsamlingen (gennem et specialiseret efterretningsudvalg) (370). Nationalforsamlingens særlige kontrolfunktion med hensyn til anvendelsen af kommunikationsbegrænsende foranstaltninger til nationale sikkerhedsformål er fastsat i CPPA (371). Nationalforsamlingen kan navnlig foretage inspektion på stedet af aflytningsudstyr og kan kræve, at både NIS og teleoperatører, der har offentliggjort indholdet af kommunikation, aflægger rapport herom. Nationalforsamlingen kan også udføre sine generelle kontrolfunktioner (i overensstemmelse med de procedurer, der er beskrevet i betragtning 174). I henhold til NIS-loven skal chefen for NIS reagere straks, når efterretningsudvalget anmoder om en rapport om et specifikt spørgsmål (372), og der er specifikke regler for visse særligt følsomme oplysninger. Helt konkret kan chefen for NIS kun nægte at svare eller afgive vidneforklaring i udvalget under ekstraordinære omstændigheder, dvs. hvis anmodningen vedrører statshemmeligheder om militære, diplomatiske eller nordkoreanske spørgsmål, hvor offentlighedens kendskab kan have en alvorlig indvirkning på landets »nationale skæbne« (373). I så fald kan efterretningsudvalget anmode premierministeren om en forklaring, og hvis der ikke gives en forklaring inden for syv dage, kan svaret eller vidneforklaringer ikke afslås.

(203)

I det koreanske system er der også forskellige (retlige) klagemuligheder på det nationale sikkerhedsområde, herunder mulighed for at opnå skadeserstatning. Disse mekanismer giver de registrerede adgang til effektive administrative og retlige klagemuligheder, der navnlig sætter dem i stand til at håndhæve deres rettigheder, herunder retten til at få adgang til deres personoplysninger eller til at få sådanne oplysninger berigtiget eller slettet.

(204)

For det første kan enkeltpersoner i henhold til artikel 3, stk. 5, og artikel 4, stk. 1, 3 og 4, i PIPA udøve deres ret til indsigt, berigtigelse, sletning og suspension over for de nationale sikkerhedsmyndigheder. I afsnit 6 i meddelelse nr. 2021-5 (bilag I til denne afgørelse) præciseres det yderligere, hvordan disse rettigheder finder anvendelse i forbindelse med databehandling til nationale sikkerhedsformål. En national sikkerhedsmyndighed kan navnlig kun begrænse eller nægte udøvelsen af en sådan rettighed, i det omfang og så længe det er nødvendigt og forholdsmæssigt for at beskytte et vigtigt mål af samfundsmæssig interesse (f.eks. i det omfang og så længe indrømmelsen af rettigheden vil bringe en igangværende efterforskning i fare eller true den nationale sikkerhed), eller hvis indrømmelsen af rettigheden kan skade tredjemands liv eller legeme. Påberåbelse af en sådan begrænsning kræver således en afvejning af den enkeltes rettigheder og interesser i forhold til den relevante offentlige interesse og må ikke berøre rettighedens væsentligste indhold (forfatningens artikel 37, stk. 2). Hvis anmodningen afslås eller begrænses, skal den pågældende straks underrettes om årsagerne hertil.

(205)

For det andet har personer adgang til prøvelse i henhold til PIPA, hvis deres oplysninger er blevet behandlet af en national sikkerhedsmyndighed i strid med PIPA eller begrænsningerne og garantierne i anden lovgivning om indsamling af personoplysninger (navnlig CPPA, jf. betragtning 171) (374). Denne ret kan udøves ved at indgive en klage til PIPC (herunder via callcentret for privatlivsbeskyttelse, der drives af Koreas internet- og sikkerhedsagentur) (375). For at lette adgangen til at klage over koreanske nationale sikkerhedsmyndigheder kan EU-borgere desuden indgive en klage til PIPC via deres nationale databeskyttelsesmyndighed (376). I så fald underretter PIPC den pågældende via den nationale databeskyttelsesmyndighed, når undersøgelsen er afsluttet (herunder, hvis det er relevant, med oplysninger om de pålagte korrigerende foranstaltninger). På grundlag af lov om forvaltningssager kan enkeltpersoner desuden påklage/anfægte PIPC's afgørelser eller manglende handling (jf. betragtning 132).

(206)

For det tredje kan enkeltpersoner indgive en klage til HRPO om krænkelse af deres ret til privatlivets fred/databeskyttelse i forbindelse med terrorbekæmpelsesaktiviteter (dvs. i henhold til antiterrorloven) (377), som kan henstille, at der træffes korrigerende foranstaltninger. Da der ikke stilles krav om antagelighed ved indgivelse af en klage til HRPO, vil en klage blive behandlet, selv om den pågældende person ikke kan påvise, at vedkommende rent faktisk har lidt skade (f.eks. på grund af en national sikkerhedsmyndigheds påståede ulovlige indsamling af vedkommendes oplysninger) (378). Den relevante myndighed skal underrette HRPO'en om de foranstaltninger, der træffes for at gennemføre dens henstillinger.

(207)

For det fjerde kan personer indgive en klage til NHRC vedrørende de nationale sikkerhedsmyndigheders indsamling af deres oplysninger og få prøvet deres sag i overensstemmelse med den procedure, der er beskrevet i betragtning 178 (379).

(208)

Endelig findes der forskellige retsmidler (380), som giver enkeltpersoner mulighed for at påberåbe sig de begrænsninger og garantier, der er beskrevet i afsnit 3.3.1, ved at få prøvet deres sag domstolene. Enkeltpersoner kan navnlig anfægte lovligheden af de nationale sikkerhedsmyndigheders handlinger på grundlag af lov om forvaltningssager (i overensstemmelse med den procedure, der er beskrevet i betragtning 181 eller i lov om forfatningsdomstolen (jf. betragtning 182). De har derudover mulighed for at opnå skadeserstatning på grundlag af lov om erstatning fra staten (som nærmere beskrevet i betragtning 183).

(209)

Kommissionen finder, at Republikken Korea — gennem PIPA, de særlige regler, der gælder for visse sektorer (som analyseret i afsnit 2) og de supplerende garantier i meddelelse nr. 2021-5 (bilag I) — sikrer et beskyttelsesniveau for personoplysninger overført fra Den Europæiske Union, som i det væsentlige svarer til det niveau, der er garanteret ved forordning (EU) 2016/679.

(210)

Kommissionen finder desuden ud fra en samlet betragtning, at tilsyns- og prøvelsesmekanismerne i koreansk ret i praksis gør det muligt at identificere og sanktionere overtrædelser af databeskyttelsesreglerne begået af dataansvarlige i Korea, og at de sikrer den registrerede retsmidler til at få adgang til personoplysninger, som vedrører pågældende, og til efterfølgende at få sådanne oplysninger berigtiget eller slettet.

(211)

Endelig finder Kommissionen på grundlag af de tilgængelige oplysninger om den koreanske retsorden, herunder de i bilag II indeholdte redegørelser, forsikringer og tilsagn fra den koreanske regering, at ethvert indgreb i offentlighedens interesse, navnlig med henblik på strafferetlig håndhævelse og af nationale sikkerhedshensyn, i de grundlæggende rettigheder for enkeltpersoner, hvis personoplysninger overføres fra Den Europæiske Union til Republikken Korea, som foretages af de koreanske myndigheder, vil være begrænset til, hvad der er strengt nødvendigt for at nå det pågældende legitime mål, og at der findes en effektiv retsbeskyttelse mod et sådant indgreb.

(212)

I lyset af konklusionerne i denne afgørelse bør det derfor besluttes, at Republikken Korea sikrer et tilstrækkeligt beskyttelsesniveau som omhandlet i artikel 45 i forordning (EU) 2016/679, fortolket i lyset af Den Europæiske Unions charter om grundlæggende rettigheder, for personoplysninger, som overføres fra Den Europæiske Union til Republikken Korea til persondataansvarlige i Republikken Korea, der er omfattet af PIPA, med undtagelse af religiøse organisationer, i det omfang de behandler personoplysninger i forbindelse med deres missionsarbejde, politiske partier, i det omfang de behandler personoplysninger i forbindelse med udnævnelsen af kandidater, og dataansvarlige, der er underlagt kommissionen for finansielle tjenesteydelsers tilsyn med behandlingen af personlige kreditoplysninger i medfør af lov om kreditoplysninger, i det omfang de behandler sådanne oplysninger.

(213)

Medlemsstaterne og deres organer er forpligtet til at træffe de nødvendige foranstaltninger for at overholde EU-institutionernes retsakter, da der gælder en formodning om, at disse retsakter er lovlige, og de afføder derfor retsvirkninger, så længe de ikke er blevet trukket tilbage, annulleret under et annullationssøgsmål eller erklæret ugyldige som følge af en præjudiciel forelæggelse eller en ulovlighedsindsigelse.

(214)

En afgørelse fra Kommissionen om tilstrækkeligheden af beskyttelsesniveauet i henhold til artikel 45, stk. 3, i forordning (EU) 2016/679 er således bindende for alle de organer i medlemsstaterne, som den er rettet til, herunder deres uafhængige tilsynsmyndigheder. Overførsler fra en dataansvarlig eller databehandler i Den Europæiske Union til dataansvarlige i Republikken Korea kan navnlig finde sted, uden at der behøves yderligere tilladelse.

(215)

Det bør bemærkes, at i henhold til artikel 58, stk. 5, i forordning (EU) 2016/679, og som Domstolen forklarede i Schrems-dommen (381), skal den nationale lovgivning, når en national databeskyttelsesmyndighed, herunder efter en klage, sætter spørgsmålstegn ved, om en afgørelse fra Kommissionen om tilstrækkeligheden af beskyttelsesniveauet er forenelig med den enkeltes grundlæggende ret til privatlivets fred og databeskyttelse, giver den pågældende mulighed for at indbringe disse indsigelser for en national domstol, som kan være forpligtet til at forelægge Domstolen et præjudicielt spørgsmål (382).

(216)

Ifølge Domstolens praksis (383) og som anerkendt i artikel 45, stk. 4, i forordning (EU) 2016/679 bør Kommissionen løbende overvåge den relevante udvikling i tredjelandet efter vedtagelsen af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet for at vurdere, hvorvidt tredjelandet stadig sikrer et i det væsentlige tilsvarende beskyttelsesniveau. En sådan undersøgelse skal under alle omstændigheder foretages, når Kommissionen modtager oplysninger, der rejser begrundet tvivl i denne henseende.

(217)

Kommissionen bør derfor løbende overvåge situationen i Republikken Korea med hensyn til de retlige rammer og den faktiske praksis i behandlingen af personoplysninger, som er blevet vurderet i denne afgørelse, herunder om de koreanske myndigheder holder sig til de redegørelser, forsikringer og tilsagn, der er indeholdt i bilag II. For at lette denne proces opfordres de koreanske myndigheder til straks at underrette Kommissionen om væsentlige ændringer, som er relevante for denne afgørelse, hvad angår de erhvervsdrivendes og offentlige myndigheders behandling af personoplysninger samt de begrænsninger og garantier, som finder anvendelse for offentlige myndigheders adgang til personoplysninger.

(218)

For at gøre det muligt for Kommissionen at udøve sin overvågningsfunktion effektivt bør medlemsstaterne desuden underrette Kommissionen om alle relevante foranstaltninger, der træffes af de nationale databeskyttelsesmyndigheder, navnlig vedrørende forespørgsler eller klager fra registrerede i EU vedrørende overførsel af personoplysninger fra Den Europæiske Union til dataansvarlige i Republikken Korea. Kommissionen bør også underrettes om enhver indikation på, at de koreanske myndigheder med ansvar for forebyggelse, efterforskning, afsløring og retsforfølgelse strafbare handlinger eller for den nationale sikkerhed, herunder alle tilsynsmyndigheder, ikke handler på en måde, der sikrer det krævede beskyttelsesniveau.

(219)

I medfør af artikel 45, stk. 3, i forordning (EU) 2016/679 (384) og henset til den omstændighed, at det beskyttelsesniveau, som den koreanske retsorden sikrer, kan ændre sig, vil Kommissionen efter vedtagelse af denne afgørelse med regelmæssige mellemrum undersøge, om konstateringen af det tilstrækkelige beskyttelsesniveau, som er sikret af Republikken Korea, stadig er faktisk og retligt begrundet.

(220)

Med henblik herpå bør første revision af denne afgørelse foretages tre år efter dens ikrafttræden. Efter den første revision og afhængigt af dennes resultat vil Kommissionen i nært samråd med det udvalg, der er nedsat i henhold til artikel 93, stk. 1, i forordning (EU) 2016/679, beslutte, om den treårige cyklus bør opretholdes. Under alle omstændigheder bør de efterfølgende revisioner finde sted mindst hvert fjerde år (385). Revisionen bør omfatte alle aspekter af denne afgørelses funktionsmåde, navnlig anvendelsen af de supplerende garantier i bilag I til denne afgørelse, med særlig opmærksomhed på den beskyttelse, der gives i tilfælde af videreoverførsler, relevant udvikling i retspraksis, reglerne for behandling af pseudonymiserede oplysninger til statistiske formål, videnskabelige forskningsformål og arkivformål i samfundets interesse samt anvendelsen af undtagelserne i artikel 28, stk. 7, i PIPA, effektiviteten af udøvelsen af individuelle rettigheder, herunder for den nyligt reformerede PIPC, og anvendelsen af undtagelser fra disse rettigheder, anvendelsen af de delvise undtagelser i PIPA samt begrænsningerne og garantierne med hensyn til myndighedsadgang (som fastsat i bilag II til denne afgørelse), herunder PIPC's samarbejde med EU's databeskyttelsesmyndigheder om klager fra enkeltpersoner. Den bør også omfatte effektiviteten af tilsyn og håndhævelse, både med hensyn til PIPA og strafferetlig retshåndhævelse og national sikkerhed (navnlig i PIPC- og NHRC-regi).

(221)

Med henblik på at foretage revisionen bør Kommissionen mødes med PIPC, som efter behov kan ledsages af andre koreanske myndigheder med ansvar for myndighedsadgang, herunder de relevante tilsynsorganer. Deltagelsen i dette møde bør være åben for repræsentanter for medlemmerne af Det Europæiske Databeskyttelsesråd. Inden for rammerne af revisionen bør Kommissionen anmode PIPC om omfattende oplysninger om alle aspekter, der er relevante for konstateringen af et tilstrækkeligt beskyttelsesniveau, herunder om begrænsningerne og garantierne vedrørende myndigheders adgang (386). Kommissionen bør også indhente redegørelser vedrørende eventuelle oplysninger med relevans for denne afgørelse, som den har modtaget, herunder offentlige rapporter fra koreanske myndigheder eller andre interessenter i Korea, Det Europæiske Databeskyttelsesråd, individuelle databeskyttelsesmyndigheder, civilsamfundsgrupper, medierne eller andre tilgængelige informationskilder.

(222)

Kommissionen vil på grundlag af revisionen udarbejde en offentlig rapport til Europa-Parlamentet og Rådet.

(223)

Hvis tilgængelige oplysninger, navnlig oplysninger fra overvågningen i henhold til denne afgørelse eller fra Koreas eller medlemsstaternes myndigheder, viser, at det beskyttelsesniveau, som Republikken Korea yder, måske ikke længere er tilstrækkeligt, bør Kommissionen straks underrette de kompetente koreanske myndigheder herom og anmode om, at der træffes passende foranstaltninger inden for en nærmere fastsat og rimelig tidsramme.

(224)

Hvis Koreas kompetente myndigheder ved udløbet af den fastsatte tidsramme ikke træffer disse foranstaltninger eller på anden måde på tilfredsstillende vis godtgør, at denne afgørelse fortsat er baseret på et passende beskyttelsesniveau, indleder Kommissionen proceduren i artikel 93, stk. 2, i forordning (EU) 2016/679 med henblik på helt eller delvis at suspendere eller ophæve denne afgørelse.

(225)

Alternativt vil Kommissionen indlede den pågældende procedure med henblik på at ændre afgørelsen, navnlig ved at underkaste dataoverførsler yderligere betingelser eller ved at begrænse omfanget af konstateringen af et tilstrækkeligt beskyttelsesniveau til kun at omfatte dataoverførsler, for hvilke der fortsat sikres et tilstrækkeligt beskyttelsesniveau.

(226)

Kommissionen bør navnlig indlede proceduren for suspension eller ophævelse, hvis der er tegn på, at de yderligere garantier i bilag I ikke overholdes af erhvervsdrivende, der modtager personoplysninger i henhold til denne afgørelse, og/eller ikke håndhæves effektivt, eller at de koreanske myndigheder ikke efterlever de redegørelser, forsikringer og tilsagn, som er indeholdt i bilag II til denne afgørelse.

(227)

Kommissionen bør ligeledes overveje at indlede proceduren med henblik på ændring, suspension eller ophævelse af denne afgørelse, hvis de koreanske myndigheder i forbindelse med revisionen eller på anden vis undlader at forelægge de oplysninger og præciseringer, der er nødvendige for at vurdere beskyttelsesniveauet for personoplysninger, der overføres fra Den Europæiske Union til Republikken Korea, eller for at vurdere overholdelsen af denne afgørelse. I den forbindelse bør Kommissionen tage hensyn til, i hvilket omfang de relevante oplysninger kan indhentes fra andre kilder.

(228)

I behørigt begrundede særligt hastende tilfælde vil Kommissionen gøre brug af muligheden for efter proceduren i artikel 93, stk. 3, i forordning (EU) 2016/679 at vedtage gennemførelsesretsakter, der finder anvendelse straks, og som suspenderer, ophæver eller ændrer afgørelsen.

(229)

Det Europæiske Databeskyttelsesråd har offentliggjort sin udtalelse (387), som er blevet taget i betragtning ved udarbejdelsen af denne afgørelse.

(230)

Foranstaltningerne i denne afgørelse er i overensstemmelse med udtalelsen fra det udvalg, der er nedsat ved artikel 93, stk. 1, i forordning (EU) 2016/679 —