(1)

Ο κανονισμός (ΕΕ) 2016/679 θεσπίζει τους κανόνες που διέπουν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα από υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία στην Ένωση προς τρίτες χώρες και διεθνείς οργανισμούς, στον βαθμό που η εν λόγω διαβίβαση εμπίπτει στο πεδίο εφαρμογής του. Οι κανόνες για τις διεθνείς διαβιβάσεις δεδομένων καθορίζονται στο κεφάλαιο V (άρθρα 44 έως 50) του εν λόγω κανονισμού. Μολονότι η ροή δεδομένων προσωπικού χαρακτήρα προς και από χώρες εκτός της Ευρωπαϊκής Ένωσης είναι απαραίτητη για την επέκταση του διασυνοριακού εμπορίου και της διεθνούς συνεργασίας, το επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα που παρέχεται στην Ένωση δεν πρέπει να υπονομεύεται από διαβιβάσεις προς τρίτες χώρες (2).

(2)

Σύμφωνα με το άρθρο 45 παράγραφος 3 του κανονισμού (ΕΕ) 2016/679, η Επιτροπή μπορεί να αποφασίσει, μέσω εκτελεστικής πράξης, ότι εξασφαλίζεται επαρκές επίπεδο προστασίας από τρίτη χώρα ή έδαφος ή έναν ή περισσότερους συγκεκριμένους τομείς σε τρίτη χώρα ή από διεθνή οργανισμό. Υπό την προϋπόθεση αυτή, οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα μπορούν να πραγματοποιούνται χωρίς να χρειάζεται να ζητηθεί άλλη άδεια, όπως προβλέπεται στο άρθρο 45 παράγραφος 1 και στην αιτιολογική σκέψη 103 του κανονισμού (ΕΕ) 2016/679.

(3)

Όπως ορίζεται στο άρθρο 45 παράγραφος 2 του κανονισμού (ΕΕ) 2016/679, η έκδοση απόφασης επάρκειας πρέπει να βασίζεται σε ολοκληρωμένη ανάλυση της έννομης τάξης της τρίτης χώρας, η οποία καλύπτει τόσο τους κανόνες στους οποίους υπάγονται οι εισαγωγείς δεδομένων όσο και τους περιορισμούς και τις εγγυήσεις σχετικά με την πρόσβαση των δημόσιων αρχών σε δεδομένα προσωπικού χαρακτήρα. Στην εκτίμησή της, η Επιτροπή πρέπει να προσδιορίζει αν η τρίτη χώρα εγγυάται επίπεδο προστασίας «ουσιωδώς ισοδύναμο» με αυτό που προβλέπει η Ευρωπαϊκή Ένωση [αιτιολογική σκέψη 104 του κανονισμού (ΕΕ) 2016/679]. Το αν συντρέχει τέτοια περίπτωση πρέπει να αξιολογηθεί με βάση τη νομοθεσία της Ένωσης, ιδίως τον κανονισμό (ΕΕ) 2016/679, καθώς και τη νομολογία του Δικαστηρίου της Ευρωπαϊκής Ένωσης (3).

(4)

Όπως έχει διευκρινιστεί από το Δικαστήριο της Ευρωπαϊκής Ένωσης, αυτό δεν συνεπάγεται απαίτηση για ίδιο ακριβώς επίπεδο προστασίας (4). Ειδικότερα, τα μέσα που χρησιμοποιεί η τρίτη χώρα για την προστασία των δεδομένων προσωπικού χαρακτήρα μπορούν να διαφέρουν από αυτά που εφαρμόζονται εντός της Ένωσης, εφόσον αποδεικνύονται στην πράξη αποτελεσματικά ώστε να διασφαλίζουν επαρκές επίπεδο προστασίας (5). Συνεπώς, το κριτήριο της επάρκειας δεν επιβάλλει πιστή αντιγραφή των κανόνων της Ένωσης. Το καθοριστικό στοιχείο είναι κυρίως αν, μέσω της ουσίας των δικαιωμάτων περί προστασίας της ιδιωτικής ζωής, της αποτελεσματικής εφαρμογής τους, καθώς και της εποπτείας και επιβολής τους, το σύστημα της τρίτης χώρας ως σύνολο προσφέρει το απαιτούμενο επίπεδο προστασίας (6). Τα σημεία αναφοράς για την επάρκεια του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, τα οποία αποσκοπούν στην περαιτέρω αποσαφήνιση του εν λόγω προτύπου, παρέχουν επίσης καθοδήγηση σχετικά με το θέμα αυτό (7).

(5)

Η Επιτροπή ανέλυσε με προσοχή την κορεατική νομοθεσία και πρακτική. Με βάση τα πορίσματα που παρατίθενται στις αιτιολογικές σκέψεις 8 έως 208, η Επιτροπή καταλήγει στο συμπέρασμα ότι η Δημοκρατία της Κορέας διασφαλίζει επαρκές επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία στην Ένωση (8) σε οντότητες (π.χ. φυσικά ή νομικά πρόσωπα, οργανισμούς, δημόσιους φορείς) στην Κορέα που εμπίπτουν στο πεδίο εφαρμογής του νόμου για την προστασία των προσωπικών πληροφοριών (νόμος αριθ. 10465 της 29ης Μαρτίου 2011, όπως τροποποιήθηκε τελευταία με τον νόμο αριθ. 16930 της 4ης Φεβρουαρίου 2020). Αυτό περιλαμβάνει τόσο τους υπευθύνους επεξεργασίας όσο και τους εκτελούντες την επεξεργασία (που ονομάζονται «λήπτες της ανάθεσης» (9)) κατά την έννοια του κανονισμού (ΕΕ) 2016/679. Η διαπίστωση επάρκειας δεν καλύπτει την επεξεργασία δεδομένων προσωπικού χαρακτήρα για ιεραποστολικές δραστηριότητες από θρησκευτικές οργανώσεις και για τον διορισμό υποψηφίων από πολιτικά κόμματα, ή την επεξεργασία προσωπικών πιστωτικών πληροφοριών σύμφωνα με τον νόμο για τις πιστωτικές πληροφορίες από υπευθύνους επεξεργασίας που υπόκεινται στην εποπτεία της Επιτροπής Χρηματοοικονομικών Υπηρεσιών.

(6)

Το συμπέρασμα αυτό λαμβάνει υπόψη τις πρόσθετες εγγυήσεις που ορίζονται στην κοινοποίηση αριθ. 2021-5 (παράρτημα I) και τις επίσημες δηλώσεις, διαβεβαιώσεις και δεσμεύσεις της κορεατικής κυβέρνησης προς την Επιτροπή (παράρτημα II).

(7)

Η παρούσα απόφαση έχει ως αποτέλεσμα οι διαβιβάσεις σε υπευθύνους επεξεργασίας και εκτελούντες την επεξεργασία στη Δημοκρατία της Κορέας να μπορούν να πραγματοποιούνται χωρίς να απαιτείται περαιτέρω άδεια. Η παρούσα απόφαση δεν θίγει την άμεση εφαρμογή του κανονισμού (ΕΕ) 2016/679 στις εν λόγω οντότητες όταν πληρούνται οι προϋποθέσεις σχετικά με το εδαφικό πεδίο εφαρμογής του εν λόγω κανονισμού που ορίζονται στο άρθρο 3 αυτού.

(8)

Το νομικό σύστημα που διέπει την προστασία της ιδιωτικής ζωής και των δεδομένων στην Κορέα έχει τις ρίζες του στο κορεατικό Σύνταγμα, που άρχισε να ισχύει στις 17 Ιουλίου 1948. Μολονότι το δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα δεν κατοχυρώνεται ρητά στο Σύνταγμα, αναγνωρίζεται ωστόσο ως βασικό δικαίωμα, το οποίο απορρέει από τα συνταγματικά δικαιώματα στην ανθρώπινη αξιοπρέπεια και στην επιδίωξη της ευτυχίας (άρθρο 10), στην ιδιωτική ζωή (άρθρο 17) και στο απόρρητο των επικοινωνιών (άρθρο 18). Αυτό έχει επιβεβαιωθεί τόσο από το Ανώτατο Δικαστήριο (10) όσο και από το Συνταγματικό Δικαστήριο (11). Περιορισμοί των θεμελιωδών δικαιωμάτων και ελευθεριών (συμπεριλαμβανομένου του δικαιώματος στην ιδιωτική ζωή) μπορούν να επιβάλλονται μόνο με νόμο, όταν είναι απαραίτητοι για λόγους εθνικής ασφάλειας ή για την τήρηση της δημόσιας τάξης προς το δημόσιο συμφέρον, και δεν μπορούν να θίγουν την ουσία του οικείου δικαιώματος ή ελευθερίας (άρθρο 37 παράγραφος 2).

(9)

Μολονότι το Σύνταγμα σε διάφορα σημεία του αναφέρεται στα δικαιώματα των Κορεατών πολιτών, το Συνταγματικό Δικαστήριο έχει αποφανθεί ότι και οι αλλοδαποί έχουν βασικά δικαιώματα (12). Ιδίως, το Δικαστήριο έκρινε ότι η προστασία της αξιοπρέπειας και της αξίας του ατόμου ως ανθρώπου, καθώς και το δικαίωμα επιδίωξης της ευτυχίας αποτελούν δικαιώματα κάθε ανθρώπου και όχι μόνο των πολιτών (13). Επιπλέον, σύμφωνα με τις επίσημες δηλώσεις της κυβέρνησης της Κορέας (14), αναγνωρίζεται γενικά ότι τα άρθρα 12 έως 22 του Συντάγματος (στα οποία περιλαμβάνονται και τα δικαιώματα προστασίας της ιδιωτικής ζωής) προβλέπουν βασικά ανθρώπινα δικαιώματα (15). Μολονότι μέχρι στιγμής δεν υπάρχει νομολογία ειδικά για το δικαίωμα των αλλοδαπών στην ιδιωτική ζωή, η θεμελίωσή του στην προστασία της ανθρώπινης αξιοπρέπειας και την επιδίωξη της ευτυχίας συνηγορεί υπέρ αυτού του συμπεράσματος (16).

(10)

Επιπλέον, η Κορέα έχει θεσπίσει σειρά νόμων στον τομέα της προστασίας των δεδομένων που παρέχουν εγγυήσεις για όλα τα φυσικά πρόσωπα, ανεξάρτητα από την ιθαγένειά τους (17). Για τους σκοπούς της παρούσας απόφασης, οι σχετικοί νόμοι είναι:

(11)

O PIPA παρέχει το γενικό νομικό πλαίσιο για την προστασία των δεδομένων στη Δημοκρατία της Κορέας. Συμπληρώνεται από διάταγμα εφαρμογής (προεδρικό διάταγμα αριθ. 23169 της 29ης Σεπτεμβρίου 2011, όπως τροποποιήθηκε τελευταία με το προεδρικό διάταγμα αριθ. 30892 της 4ης Αυγούστου 2020) (στο εξής: διάταγμα εφαρμογής του PIPA), το οποίο, όπως ο PIPA, είναι νομικά δεσμευτικό και εκτελεστό.

(12)

Επιπλέον, οι κανονιστικές «κοινοποιήσεις» που εκδίδονται από την Επιτροπή Προστασίας Προσωπικών Πληροφοριών (στο εξής: PIPC) προβλέπουν περαιτέρω κανόνες σχετικά με την ερμηνεία και την εφαρμογή του PIPA. Βάσει του άρθρου 5 (Υποχρεώσεις του κράτους) και του άρθρου 14 (Διεθνής Συνεργασία) του PIPA, η PIPC εξέδωσε την κοινοποίηση αριθ. 2021-5 της 1ης Σεπτεμβρίου 2020 (όπως τροποποιήθηκε με την κοινοποίηση αριθ. 2021-1 της 21ης Ιανουαρίου 2021 και την κοινοποίηση αριθ. 2021-5 της 16ης Νοεμβρίου 2021, στο εξής: κοινοποίηση αριθ. 2021-5) σχετικά με την ερμηνεία, την εφαρμογή και την επιβολή ορισμένων διατάξεων του PIPA. Η εν λόγω κοινοποίηση παρέχει διευκρινίσεις που ισχύουν για κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο του PIPA, καθώς και πρόσθετες εγγυήσεις για τα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται στην Κορέα βάσει της παρούσας απόφασης. Η κοινοποίηση είναι νομικά δεσμευτική για τους υπευθύνους επεξεργασίας προσωπικών πληροφοριών και εκτελεστή τόσο από την PIPC όσο και από τα δικαστήρια (19). Η παράβαση των κανόνων που ορίζονται στην κοινοποίηση συνεπάγεται παραβίαση των σχετικών διατάξεων του PIPA τις οποίες συμπληρώνουν. Ως εκ τούτου, το περιεχόμενο των πρόσθετων εγγυήσεων αναλύεται στο πλαίσιο της αξιολόγησης των σχετικών άρθρων του PIPA. Τέλος, περαιτέρω καθοδήγηση σχετικά με τον PIPA και το σχετικό διάταγμα εφαρμογής του, το οποίο καθοδηγεί την εφαρμογή και την επιβολή των κανόνων προστασίας των δεδομένων από την PIPC, παρέχεται στο εγχειρίδιο και στις κατευθυντήριες γραμμές για τον PIPA που εξέδωσε η PIPC (20).

(13)

Επιπλέον, ο νόμος για τη χρήση και την προστασία των πιστωτικών πληροφοριών (στο εξής: CIA) θεσπίζει ειδικούς κανόνες που ισχύουν τόσο για τους «συνήθεις» εμπορικούς φορείς όσο και για τις ειδικευμένες οντότητες του χρηματοοικονομικού τομέα όταν επεξεργάζονται προσωπικές πιστωτικές πληροφορίες, δηλαδή πληροφορίες που είναι απαραίτητες για τον προσδιορισμό της πιστοληπτικής ικανότητας των μερών σε χρηματοοικονομικές ή εμπορικές συναλλαγές. Αυτές περιλαμβάνουν, ιδίως, το όνομα, τα στοιχεία επικοινωνίας, τις χρηματοοικονομικές συναλλαγές, την αξιολόγηση της πιστοληπτικής ικανότητας, την κατάσταση ασφάλισης ή το υπόλοιπο δανείου, όταν οι πληροφορίες αυτές χρησιμοποιούνται για τον προσδιορισμό της πιστοληπτικής ικανότητας ενός φυσικού προσώπου (21). Αντίθετα, όταν οι πληροφορίες αυτές χρησιμοποιούνται για άλλους σκοπούς (όπως στο πλαίσιο της διαχείρισης ανθρώπινων πόρων), ο PIPA εφαρμόζεται στο σύνολό του. Όσον αφορά τις ειδικές διατάξεις σχετικά με την προστασία των δεδομένων του CIA, η συμμόρφωση εποπτεύεται εν μέρει από την PIPC (για τους εμπορικούς οργανισμούς, βλ. άρθρο 45-3 του CIA) και εν μέρει από την Επιτροπή Χρηματοοικονομικών Υπηρεσιών (22) (για τον χρηματοοικονομικό τομέα, συμπεριλαμβανομένων των οργανισμών αξιολόγησης της πιστοληπτικής ικανότητας, των τραπεζών, των ασφαλιστικών εταιρειών, των ταμιευτηρίων, των εξειδικευμένων χρηματοπιστωτικών εταιρειών, των εταιρειών χρηματοοικονομικών επενδυτικών υπηρεσιών, των εταιρειών χρηματοδότησης τίτλων, των πιστωτικών ενώσεων κ.λπ., βλ. άρθρο 45 παράγραφος 1 του CIA σε συνδυασμό με το άρθρο 36-2 του διατάγματος εφαρμογής του CIA και το άρθρο 38 του νόμου για την Επιτροπή Χρηματοοικονομικών Υπηρεσιών). Στο πλαίσιο αυτό, το πεδίο εφαρμογής της παρούσας απόφασης περιορίζεται στους εμπορικούς φορείς που υπόκεινται στην εποπτεία της PIPC (23). Οι ειδικοί κανόνες του CIA που εφαρμόζονται στο πλαίσιο αυτό (οι γενικοί κανόνες του PIPA εφαρμόζονται όταν δεν υπάρχουν ειδικοί κανόνες) περιγράφονται στο τμήμα 2.3.11.

(14)

Εκτός αν ειδικά προβλέπεται διαφορετικά σε άλλους νόμους, η προστασία των δεδομένων προσωπικού χαρακτήρα διέπεται από τον PIPA (άρθρο 6). Το καθ’ ύλην και το προσωπικό πεδίο εφαρμογής του προσδιορίζονται από τις οριζόμενες έννοιες «προσωπικές πληροφορίες», «επεξεργασία» και «υπεύθυνος επεξεργασίας προσωπικών πληροφοριών».

(15)

Το άρθρο 2 παράγραφος 1 του PIPA ορίζει τις προσωπικές πληροφορίες ως πληροφορίες που αφορούν ένα εν ζωή φυσικό πρόσωπο οι οποίες ταυτοποιούν το φυσικό πρόσωπο άμεσα, για παράδειγμα μέσω του ονόματος, του αριθμού μητρώου κατοίκου ή της εικόνας του, ή έμμεσα, δηλαδή όταν πληροφορίες που δεν μπορούν από μόνες τους να ταυτοποιήσουν ένα συγκεκριμένο φυσικό πρόσωπο μπορούν εύκολα να συνδυαστούν με άλλες πληροφορίες. Το αν οι πληροφορίες μπορούν να συνδυαστούν «εύκολα» εξαρτάται από το αν ο συνδυασμός αυτός είναι ευλόγως πιθανός, λαμβανομένων υπόψη της δυνατότητας απόκτησης άλλων πληροφοριών, καθώς και του χρόνου, του κόστους και της τεχνολογίας που απαιτούνται για την ταυτοποίηση ενός φυσικού προσώπου.

(16)

Επιπλέον, οι ψευδώνυμες πληροφορίες —δηλαδή πληροφορίες που δεν μπορούν να ταυτοποιήσουν συγκεκριμένο φυσικό πρόσωπο χωρίς να χρησιμοποιηθούν ή να συνδυαστούν με πρόσθετες πληροφορίες για την επαναφορά τους στην αρχική τους κατάσταση— θεωρούνται δεδομένα προσωπικού χαρακτήρα βάσει του PIPA (άρθρο 2 παράγραφος 1 στοιχείο γ του PIPA). Αντίθετα, οι πληροφορίες που είναι πλήρως «ανωνυμοποιημένες» εξαιρούνται από το πεδίο εφαρμογής του PIPA (άρθρο 58-2 του PIPA). Αυτό ισχύει για τις πληροφορίες που δεν μπορούν να ταυτοποιήσουν συγκεκριμένο φυσικό πρόσωπο, ακόμη και αν συνδυαστούν με άλλες πληροφορίες, λαμβανομένων υπόψη του χρόνου, του κόστους και της τεχνολογίας που απαιτούνται ευλόγως για την ταυτοποίηση.

(17)

Αυτό αντιστοιχεί στο καθ’ ύλην πεδίο εφαρμογής του κανονισμού (ΕΕ) 2016/679 και στις έννοιες «δεδομένα προσωπικού χαρακτήρα», «ψευδωνυμοποίηση» (24) και «ανωνυμοποιημένες πληροφορίες» (25).

(18)

Η έννοια της «επεξεργασίας» ορίζεται ευρέως στον PIPA, καθώς καλύπτει «τη συλλογή, την παραγωγή, τη σύνδεση, τη σύμπλεξη, την καταγραφή, την αποθήκευση, τη διατήρηση, την επεξεργασία προστιθέμενης αξίας, την τροποποίηση, την ανάκτηση, την εκροή, τη διόρθωση, την επανάκτηση, τη χρήση, την παροχή και την κοινολόγηση, την καταστροφή προσωπικών πληροφοριών και άλλες παρόμοιες δραστηριότητες» (26). Μολονότι ορισμένες διατάξεις του PIPA αναφέρονται μόνο σε συγκεκριμένους τύπους επεξεργασίας, όπως η «χρήση», η «παροχή» ή η «συλλογή» (27), η έννοια της «χρήσης» ερμηνεύεται ως περιλαμβάνουσα κάθε τύπο επεξεργασίας πλην της «συλλογής» ή της «παροχής» (από τρίτο). Αυτή η ευρεία ερμηνεία της «χρήσης» διασφαλίζει ότι δεν υπάρχουν κενά στην προστασία όσον αφορά συγκεκριμένες δραστηριότητες επεξεργασίας. Ως εκ τούτου, η έννοια της επεξεργασίας αντιστοιχεί στην ίδια έννοια του κανονισμού (ΕΕ) 2016/679.

(19)

O PIPA εφαρμόζεται στους «υπευθύνους επεξεργασίας προσωπικών πληροφοριών» (στο εξής: υπεύθυνος επεξεργασίας). Παρομοίως με τα ισχύοντα στο πλαίσιο του κανονισμού (ΕΕ) 2016/679, ο εν λόγω όρος περιλαμβάνει κάθε δημόσιο φορέα, νομικό πρόσωπο, οργανισμό ή φυσικό πρόσωπο που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα άμεσα ή έμμεσα για τη διαχείριση αρχείων δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των δραστηριοτήτων του (28). Στο πλαίσιο αυτό, ως «αρχείο προσωπικών πληροφοριών» νοείται κάθε «σύνολο ή σύνολα προσωπικών πληροφοριών που ταξινομούνται ή οργανώνονται με συστηματικό τρόπο βάσει συγκεκριμένου κανόνα για εύκολη πρόσβαση στις προσωπικές πληροφορίες» (άρθρο 2 παράγραφος 4 του PIPA) (29). Σε εσωτερικό επίπεδο, ο υπεύθυνος επεξεργασίας υποχρεούται να εκπαιδεύει τα πρόσωπα που εμπλέκονται στην επεξεργασία υπό τη διεύθυνσή του, όπως τα στελέχη ή οι υπάλληλοι της εταιρείας, και να ασκεί κατάλληλο έλεγχο και εποπτεία (άρθρο 28 παράγραφος 1 του PIPA).

(20)

Ειδικές υποχρεώσεις ισχύουν όταν ένας υπεύθυνος επεξεργασίας (στο εξής: αναθέτων) αναθέτει την επεξεργασία δεδομένων προσωπικού χαρακτήρα σε τρίτο (στο εξής: λήπτης της εξωτερικής ανάθεσης). Ειδικότερα, η εξωτερική ανάθεση πρέπει να διέπεται από νομικά δεσμευτική ρύθμιση (συνήθως σύμβαση) (30) που καθορίζει την έκταση του έργου που ανατίθεται στον τρίτο, τον σκοπό της επεξεργασίας, τις τεχνικές και διαχειριστικές εγγυήσεις που πρόκειται να εφαρμοστούν, την εποπτεία από τον υπεύθυνο επεξεργασίας, την ευθύνη (όπως για αποζημίωση για ζημίες που προκαλούνται από αθέτηση συμβατικών υποχρεώσεων), καθώς και τους περιορισμούς σε τυχόν υπεργολαβία επεξεργασίας (31) (άρθρο 26 παράγραφοι 1, 2 του PIPA σε συνδυασμό με το άρθρο 28 παράγραφος 1 του διατάγματος εφαρμογής) (32).

(21)

Επιπλέον, ο υπεύθυνος επεξεργασίας πρέπει να δημοσιεύει και να επικαιροποιεί συνεχώς λεπτομέρειες σχετικά με το έργο που έχει ανατεθεί εξωτερικά και την ταυτότητα του λήπτη της εξωτερικής ανάθεσης ή, στον βαθμό που η ανατεθείσα επεξεργασία αφορά δραστηριότητες άμεσης εμπορικής προώθησης, να κοινοποιεί απευθείας στα φυσικά πρόσωπα τις σχετικές πληροφορίες (άρθρο 26 παράγραφοι 2, 3 του PIPA σε συνδυασμό με το άρθρο 28 παράγραφοι 2 έως 5 του διατάγματος εφαρμογής) (33).

(22)

Επιπλέον, σύμφωνα με το άρθρο 26 παράγραφος 4 του PIPA σε συνδυασμό με το άρθρο 28 παράγραφος 6 του διατάγματος εφαρμογής, ο υπεύθυνος επεξεργασίας υποχρεούται να «εκπαιδεύει» τον λήπτη της εξωτερικής ανάθεσης όσον αφορά τα αναγκαία μέτρα ασφάλειας και να εποπτεύει, μεταξύ άλλων μέσω επιθεωρήσεων, αν συμμορφώνεται με όλες τις υποχρεώσεις του υπευθύνου επεξεργασίας βάσει του PIPA (34) καθώς και βάσει της σύμβασης εξωτερικής ανάθεσης. Όταν ο λήπτης της εξωτερικής ανάθεσης προκαλεί ζημία λόγω παράβασης του PIPA, οι πράξεις ή οι παραλείψεις του καταλογίζονται στον υπεύθυνο επεξεργασίας για λόγους ευθύνης, όπως θα ίσχυε στην περίπτωση υπαλλήλου (άρθρο 26 παράγραφος 6 του PIPA).

(23)

Επομένως, παρόλο που ο PIPA δεν χρησιμοποιεί διαφορετικές έννοιες για τους «υπευθύνους επεξεργασίας» και τους «εκτελούντες την επεξεργασία», οι κανόνες για την εξωτερική ανάθεση προβλέπουν ουσιωδώς ισοδύναμες υποχρεώσεις και εγγυήσεις με εκείνες που ρυθμίζουν τη σχέση μεταξύ υπευθύνων επεξεργασίας και εκτελούντων την επεξεργασία βάσει του κανονισμού (ΕΕ) 2016/679.

(24)

Μολονότι ο PIPA εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από οποιονδήποτε υπεύθυνο επεξεργασίας, ορισμένες διατάξεις περιέχουν ειδικούς κανόνες (ως lex specialis) για την επεξεργασία δεδομένων προσωπικού χαρακτήρα «χρηστών» από «παρόχους υπηρεσιών πληροφοριών και επικοινωνιών» (35). Η έννοια των «χρηστών» καλύπτει τα φυσικά πρόσωπα που χρησιμοποιούν υπηρεσίες πληροφοριών και επικοινωνιών (άρθρο 2 παράγραφος 1 σημείο 4 του νόμου για την προώθηση της χρήσης δικτύων πληροφοριών και επικοινωνιών και την προστασία των δεδομένων, στο εξής: νόμος για τα δίκτυα). Αυτό προϋποθέτει ότι το φυσικό πρόσωπο είτε χρησιμοποιεί άμεσα τηλεπικοινωνιακές υπηρεσίες που παρέχονται από κορεατικό τηλεπικοινωνιακό πάροχο είτε χρησιμοποιεί υπηρεσίες πληροφοριών (36) που παρέχονται εμπορικά (δηλαδή για κερδοσκοπικούς σκοπούς) από οντότητα η οποία με τη σειρά της βασίζεται στις υπηρεσίες τηλεπικοινωνιακού παρόχου που έχει αδειοδοτηθεί/καταχωριστεί στην Κορέα (37). Και στις δύο περιπτώσεις, η οντότητα που δεσμεύεται από τις ειδικές διατάξεις του PIPA είναι εκείνη που προσφέρει απευθείας διαδικτυακή υπηρεσία σε ένα φυσικό πρόσωπο (δηλαδή σε χρήστη).

(25)

Αντιστρόφως, η διαπίστωση επάρκειας αφορά αποκλειστικά το επίπεδο προστασίας που παρέχεται στα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται από υπεύθυνο επεξεργασίας / εκτελούντα την επεξεργασία στην Ένωση προς οντότητα τρίτης χώρας (εν προκειμένω: τη δημοκρατία της Κορέας). Στην τελευταία αυτή περίπτωση, τα φυσικά πρόσωπα στην Ένωση θα έχουν κατά κανόνα άμεση σχέση μόνο με τον «εξαγωγέα δεδομένων» στην Ένωση και όχι με οποιονδήποτε κορεατικό πάροχο υπηρεσιών πληροφοριών και επικοινωνιών (38). Ως εκ τούτου, οι ειδικές διατάξεις του PIPA σχετικά με τα δεδομένα προσωπικού χαρακτήρα των χρηστών υπηρεσιών πληροφοριών και επικοινωνιών θα εφαρμόζονται, το πολύ, μόνο σε περιορισμένες περιπτώσεις στα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται βάσει της παρούσας απόφασης.

(26)

Το άρθρο 58 παράγραφος 1 του PIPA αποκλείει την εφαρμογή μέρους του PIPA (δηλαδή των άρθρων 15 έως 57) όσον αφορά τέσσερις κατηγορίες επεξεργασίας δεδομένων (39). Ειδικότερα, δεν εφαρμόζονται τα μέρη του PIPA που αφορούν τους ειδικούς λόγους επεξεργασίας, ορισμένες υποχρεώσεις προστασίας των δεδομένων, τους λεπτομερείς κανόνες για την άσκηση των ατομικών δικαιωμάτων, καθώς και τους κανόνες που διέπουν την επίλυση διαφορών από την επιτροπή διαμεσολάβησης για διαφορές που αφορούν προσωπικές πληροφορίες. Οι άλλες βασικές διατάξεις του PIPA εξακολουθούν να εφαρμόζονται, ιδίως οι γενικές διατάξεις σχετικά με τις αρχές προστασίας των δεδομένων (άρθρο 3 του PIPA) —συμπεριλαμβανομένων, για παράδειγμα, των αρχών της νομιμότητας, του προσδιορισμού και του περιορισμού του σκοπού, της ελαχιστοποίησης των δεδομένων, της ακρίβειας και της ασφάλειας των δεδομένων— και τα ατομικά δικαιώματα (πρόσβασης, διόρθωσης, διαγραφής και αναστολής, βλ. άρθρο 4 του PIPA). Επιπλέον, το άρθρο 58 παράγραφος 4 του PIPA επιβάλλει συγκεκριμένες υποχρεώσεις ως προς τις εν λόγω δραστηριότητες επεξεργασίας, και ειδικότερα όσον αφορά την ελαχιστοποίηση των δεδομένων, την περιορισμένη διατήρηση δεδομένων, τα μέτρα ασφάλειας και τον χειρισμό των καταγγελιών (40). Κατά συνέπεια, τα φυσικά πρόσωπα μπορούν να υποβάλουν καταγγελία στην PIPC εάν οι εν λόγω αρχές και υποχρεώσεις δεν τηρούνται και η PIPC μπορεί να επιβάλει μέτρα επιβολής σε περίπτωση μη συμμόρφωσης.

(27)

Πρώτον, η μερική εξαίρεση καλύπτει τα δεδομένα προσωπικού χαρακτήρα που συλλέγονται σύμφωνα με τον νόμο για τις στατιστικές και προορίζονται για επεξεργασία από δημόσιους φορείς. Σύμφωνα με τις διευκρινίσεις που λήφθηκαν από την κυβέρνηση της Κορέας, τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία σε αυτό το πλαίσιο αφορούν κατά κανόνα Κορεάτες υπηκόους και μόνο κατ’ εξαίρεση μπορεί να περιλαμβάνουν πληροφορίες σχετικά με αλλοδαπούς, συγκεκριμένα στις περιπτώσεις των στατιστικών σχετικά με την είσοδο και την έξοδο από την επικράτεια και των στατιστικών σχετικά με τις ξένες επενδύσεις. Ωστόσο, ακόμη και σε αυτές τις περιπτώσεις, τα δεδομένα αυτά δεν διαβιβάζονται κανονικά από τους υπευθύνους επεξεργασίας / τους εκτελούντες την επεξεργασία στην Ένωση, αλλά συλλέγονται απευθείας από τις δημόσιες αρχές της Κορέας (41). Επιπλέον, παρομοίως με τα προβλεπόμενα στην αιτιολογική σκέψη 162 του κανονισμού (ΕΕ) 2016/679, η επεξεργασία δεδομένων βάσει του νόμου για τις στατιστικές υπόκειται σε διάφορους όρους και εγγυήσεις. Ειδικότερα, ο νόμος για τις στατιστικές επιβάλλει συγκεκριμένες υποχρεώσεις, όπως τη διασφάλιση της ακρίβειας, της συνέπειας και της αμεροληψίας· την εξασφάλιση του απορρήτου των φυσικών προσώπων· την προστασία των πληροφοριών όσων απάντησαν σε στατιστικά ερωτήματα, μεταξύ άλλων με σκοπό να αποτρέπεται η χρήση των εν λόγω πληροφοριών για οποιονδήποτε άλλον σκοπό εκτός από τον σκοπό της κατάρτισης στατιστικών στοιχείων και την υπαγωγή των μελών του προσωπικού σε απαιτήσεις εμπιστευτικότητας (42). Οι δημόσιες αρχές που επεξεργάζονται στατιστικές πρέπει επίσης να συμμορφώνονται, μεταξύ άλλων, με τις αρχές της ελαχιστοποίησης των δεδομένων, του περιορισμού του σκοπού και της ασφάλειας (άρθρο 3 και άρθρο 58 παράγραφος 4 του PIPA) και να παρέχουν στα φυσικά πρόσωπα τη δυνατότητα να ασκούν τα δικαιώματά τους (πρόσβαση, διόρθωση, διαγραφή και αναστολή, βλ. άρθρο 4 του PIPA). Τέλος, τα δεδομένα πρέπει να υποβάλλονται σε επεξεργασία σε ανωνυμοποιημένη ή ψευδωνυμοποιημένη μορφή, εάν με τον τρόπο αυτό είναι δυνατή η επίτευξη του σκοπού της επεξεργασίας (άρθρο 3 παράγραφος 7 του PIPA).

(28)

Δεύτερον, το άρθρο 58 παράγραφος 1 του PIPA αναφέρεται σε δεδομένα προσωπικού χαρακτήρα που συλλέγονται ή ζητούνται για την ανάλυση πληροφοριών που σχετίζονται με την εθνική ασφάλεια. Το πεδίο εφαρμογής και οι συνέπειες αυτής της μερικής εξαίρεσης περιγράφονται λεπτομερέστερα στην αιτιολογική σκέψη 149.

(29)

Τρίτον, η μερική εξαίρεση εφαρμόζεται στην προσωρινή επεξεργασία δεδομένων προσωπικού χαρακτήρα όταν αυτό είναι επειγόντως αναγκαίο για λόγους δημόσιας ασφάλειας ή τάξης, συμπεριλαμβανομένης της δημόσιας υγείας. Η κατηγορία αυτή ερμηνεύεται στενά από την PIPC και, σύμφωνα με τις πληροφορίες που ελήφθησαν, δεν έχει χρησιμοποιηθεί ποτέ. Εφαρμόζεται μόνο σε καταστάσεις έκτακτης ανάγκης που απαιτούν επείγουσα δράση, για παράδειγμα για τον εντοπισμό λοιμογόνων παραγόντων ή για τη διάσωση και την παροχή βοήθειας σε θύματα φυσικών καταστροφών (43). Ακόμη και στις περιπτώσεις αυτές, η μερική εξαίρεση καλύπτει μόνο την επεξεργασία δεδομένων προσωπικού χαρακτήρα για περιορισμένο χρονικό διάστημα για την εκτέλεση των εν λόγω ενεργειών. Οι περιπτώσεις στις οποίες θα μπορούσε να ισχύει αυτό για διαβιβάσεις δεδομένων που καλύπτονται από την παρούσα απόφαση είναι ακόμη πιο περιορισμένες, δεδομένης της χαμηλής πιθανότητας δεδομένα προσωπικού χαρακτήρα που διαβιβάστηκαν από την Ένωση σε κορεατικούς φορείς να είναι είδους που θα μπορούσε να καταστήσει τη μεταγενέστερη επεξεργασία τους «επειγόντως αναγκαία» για τέτοιες καταστάσεις έκτακτης ανάγκης.

(30)

Τέλος, η μερική εξαίρεση ισχύει για τα δεδομένα προσωπικού χαρακτήρα που συλλέγονται ή χρησιμοποιούνται από τον Τύπο, για ιεραποστολικές δραστηριότητες θρησκευτικών οργανώσεων ή για τον διορισμό υποψηφίων από πολιτικά κόμματα. Η εξαίρεση εφαρμόζεται μόνο όταν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία από τον Τύπο, θρησκευτικές οργανώσεις ή πολιτικά κόμματα για τους συγκεκριμένους αυτούς σκοπούς (π.χ. δημοσιογραφικές δραστηριότητες, ιεραποστολική εργασία και ανακήρυξη πολιτικών υποψηφίων). Όταν οι εν λόγω οντότητες επεξεργάζονται δεδομένα προσωπικού χαρακτήρα για άλλους σκοπούς, όπως για σκοπούς διαχείρισης ανθρώπινων πόρων ή εσωτερικής διοίκησης, ο PIPA εφαρμόζεται πλήρως.

(31)

Όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τον Τύπο για δημοσιογραφικές δραστηριότητες, η στάθμιση μεταξύ της ελευθερίας της έκφρασης και άλλων δικαιωμάτων (συμπεριλαμβανομένου του δικαιώματος στην ιδιωτική ζωή) προβλέπεται από τον νόμο για τη διαιτησία και την επανόρθωση κ.λπ. για ζημίες που προκαλούνται από δημοσιεύματα του Τύπου (στο εξής: νόμος για τον Τύπο) (44). Ειδικότερα, το άρθρο 5 του νόμου για τον Τύπο προβλέπει ότι ο Τύπος (δηλαδή οποιοσδήποτε ραδιοτηλεοπτικός οργανισμός, εφημερίδα, περιοδικό ή διαδικτυακή εφημερίδα), οι διαδικτυακές υπηρεσίες ειδήσεων και οι διαδικτυακοί οργανισμοί μετάδοσης πολυμέσων δεν επιτρέπεται να παραβιάζουν την ιδιωτική ζωή των φυσικών προσώπων. Εάν παρόλα αυτά σημειωθεί παραβίαση της ιδιωτικής ζωής, πρέπει να επανορθώνεται αμέσως σύμφωνα με τις ειδικές διαδικασίες που ορίζονται στον εν λόγω νόμο. Συναφώς, ο νόμος παρέχει στα φυσικά πρόσωπα που υφίστανται ζημία λόγω δημοσιεύματος του Τύπου ορισμένα δικαιώματα, όπως το δικαίωμα να ζητήσουν τη δημοσίευση διόρθωσης ψευδούς δήλωσης, τη διόρθωση μέσω επανορθωτικής δήλωσης ή τη δημοσίευση περαιτέρω αναφοράς (όταν ένα δημοσίευμα του Τύπου αφορά κατηγορίες για εγκλήματα για τα οποία το φυσικό πρόσωπο αθωώνεται αργότερα) (45). Οι αξιώσεις των φυσικών προσώπων μπορούν να επιλύονται απευθείας από τα μέσα ενημέρωσης (μέσω διαμεσολαβητή) (46), μέσω συμβιβασμού ή διαιτησίας (ενώπιον ειδικής Επιτροπής Διαιτησίας Τύπου) (47) ή ενώπιον των δικαστηρίων. Τα φυσικά πρόσωπα μπορούν επίσης να λάβουν αποζημίωση όταν υφίστανται χρηματική ζημία, προσβολή του δικαιώματος στην προσωπικότητα ή οποιαδήποτε άλλη ψυχική ταλαιπωρία λόγω παράνομης πράξης του Τύπου (από πρόθεση ή αμέλεια) (48). Ο Τύπος δεν υπέχει ευθύνη βάσει του εν λόγω νόμου στον βαθμό που δημοσίευμα του Τύπου το οποίο θίγει τα δικαιώματα φυσικού προσώπου δεν αντίκειται στις κοινωνικές αξίες και δημοσιεύεται είτε με τη συγκατάθεση του οικείου φυσικού προσώπου είτε προς το δημόσιο συμφέρον (και υπάρχουν επαρκείς λόγοι ώστε να θεωρηθεί ότι το δημοσίευμα ανταποκρίνεται στην αλήθεια) (49).

(32)

Παρότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα από τον Τύπο για δημοσιογραφικές δραστηριότητες υπόκειται, ως εκ τούτου, σε ειδικές εγγυήσεις που απορρέουν από τον νόμο για τον Τύπο, δεν υπάρχουν τέτοιες πρόσθετες εγγυήσεις που να πλαισιώνουν τη χρήση των εξαιρέσεων για τις δραστηριότητες επεξεργασίας από θρησκευτικές οργανώσεις και πολιτικά κόμματα κατά τρόπο συγκρίσιμο με εκείνον των άρθρων 85, 89 και 91 του κανονισμού (ΕΕ) 2016/679. Επομένως, η Επιτροπή θεωρεί δέον να εξαιρεθούν από το πεδίο εφαρμογής της παρούσας απόφασης οι θρησκευτικές οργανώσεις στον βαθμό που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα για τις ιεραποστολικές δραστηριότητές τους και τα πολιτικά κόμματα στον βαθμό που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα στο πλαίσιο της ανακήρυξης υποψηφίων.

(33)

Η επεξεργασία δεδομένων προσωπικού χαρακτήρα θα πρέπει να είναι σύννομη και θεμιτή.

(34)

Η αρχή αυτή ορίζεται στο άρθρο 3 παράγραφοι 1 και 2 του PIPA και ενισχύεται από το άρθρο 59 του PIPA, το οποίο απαγορεύει την επεξεργασία δεδομένων προσωπικού χαρακτήρα «με δόλια, αθέμιτα ή άδικα μέσα», «χωρίς νόμιμη εξουσιοδότηση» ή «πέραν της κατάλληλης εξουσιοδότησης» (50). Οι εν λόγω γενικές αρχές της νόμιμης επεξεργασίας αναπτύσσονται στα άρθρα 15 έως 19 του PIPA, τα οποία καθορίζουν τις διαφορετικές νομικές βάσεις για την επεξεργασία (συλλογή, χρήση και παροχή σε τρίτους), συμπεριλαμβανομένων των περιστάσεων υπό τις οποίες αυτό μπορεί να συνεπάγεται αλλαγή του σκοπού (άρθρο 18 του PIPA).

(35)

Σύμφωνα με το άρθρο 15 παράγραφος 1 του PIPA, ο υπεύθυνος επεξεργασίας μπορεί να συλλέγει δεδομένα προσωπικού χαρακτήρα (εντός της εμβέλειας του σκοπού της συλλογής) μόνο στη βάση περιορισμένου αριθμού νομικών λόγων. Πρόκειται για 1) τη συγκατάθεση του υποκειμένου των δεδομένων (51) (σημείο 1)· 2) την ανάγκη εκτέλεσης και εφαρμογής σύμβασης με το υποκείμενο των δεδομένων (σημείο 4)· 3) την ειδική νόμιμη άδεια ή αναγκαιότητα συμμόρφωσης με νομική υποχρέωση σημείο 2)· την ανάγκη (52) δημόσιου φορέα να εκτελέσει τα καθήκοντα εντός της δικαιοδοσίας του που προβλέπονται από τον νόμο· 4) την πρόδηλη ανάγκη για την προστασία της ζωής, της σωματικής ακεραιότητας ή περιουσιακών συμφερόντων του υποκειμένου των δεδομένων ή τρίτου από άμεσο κίνδυνο (μόνο αν το υποκείμενο των δεδομένων δεν είναι σε θέση να εκφράσει τη βούλησή του ή δεν μπορεί να ληφθεί προηγούμενη συγκατάθεσή του) (σημείο 5)· 5) την ανάγκη επίτευξης «δικαιολογημένου συμφέροντος» του υπευθύνου επεξεργασίας, εάν «υπερισχύει προδήλως» των συμφερόντων του υποκειμένου των δεδομένων (και μόνο αν η επεξεργασία έχει «ουσιαστική σχέση» με το έννομο συμφέρον και δεν υπερβαίνει το εύλογο όριο) (σημείο 6) (53). Αυτοί οι λόγοι επεξεργασίας είναι ουσιωδώς ισοδύναμοι με τους προβλεπόμενους στο άρθρο 6 του κανονισμού (ΕΕ) 2016/679, συμπεριλαμβανομένου του λόγου που αφορά το «δικαιολογημένο συμφέρον», ο οποίος ισοδυναμεί με τον λόγο που αφορά το «έννομο συμφέρον» στο άρθρο 6 παράγραφος 1 στοιχείο στ) του κανονισμού (ΕΕ) 2016/679.

(36)

Μετά τη συλλογή τους, τα δεδομένα προσωπικού χαρακτήρα μπορούν να χρησιμοποιηθούν εντός της έκτασης του σκοπού της συλλογής (άρθρο 15 παράγραφος 1 του PIPA) ή «εντός της έκτασης που συνδέεται εύλογα» με τον σκοπό της συλλογής, λαμβανομένων υπόψη των πιθανών μειονεκτημάτων που προκαλούνται στο υποκείμενο των δεδομένων και υπό την προϋπόθεση ότι έχουν ληφθεί τα αναγκαία μέτρα ασφάλειας (π.χ. κρυπτογράφηση) (άρθρο 15 παράγραφος 3 του PIPA). Για να προσδιοριστεί αν ο σκοπός χρήσης «συνδέεται εύλογα» με τον αρχικό σκοπό της συλλογής, το διάταγμα εφαρμογής καθορίζει συγκεκριμένα κριτήρια, τα οποία είναι παρόμοια με εκείνα του άρθρου 6 παράγραφος 4 του κανονισμού (ΕΕ) 2016/679. Ειδικότερα, πρέπει να υπάρχει σημαντική συνάφεια με τον αρχικό σκοπό· η πρόσθετη χρήση πρέπει να είναι προβλέψιμη (για παράδειγμα, υπό το πρίσμα των συνθηκών υπό τις οποίες συλλέχθηκαν οι πληροφορίες)· και, όταν είναι δυνατόν, τα δεδομένα πρέπει να είναι ψευδωνυμοποιημένα (54). Τα ειδικά κριτήρια που χρησιμοποιεί ο υπεύθυνος επεξεργασίας στην εν λόγω αξιολόγηση πρέπει να δημοσιοποιούνται εκ των προτέρων στην πολιτική για την προστασία της ιδιωτικής ζωής (55). Επιπλέον, ο υπεύθυνος για την προστασία της ιδιωτικής ζωής (βλ. αιτιολογική σκέψη 94) υποχρεούται ειδικά να εξετάζει αν πραγματοποιείται περαιτέρω χρήση στο πλαίσιο των εν λόγω παραμέτρων.

(37)

Παρόμοιοι (αλλά κάπως αυστηρότεροι) κανόνες ισχύουν για την παροχή δεδομένων σε τρίτο. Σύμφωνα με το άρθρο 17 παράγραφος 1 του PIPA, η παροχή δεδομένων προσωπικού χαρακτήρα σε τρίτο επιτρέπεται βάσει συγκατάθεσης (56) ή, στο πλαίσιο του σκοπού της συλλογής, όταν οι πληροφορίες έχουν συλλεχθεί στη βάση ενός από τους νομικούς λόγους του άρθρου 15 παράγραφος 1 σημεία 2, 3 και 5 του PIPA. Αυτό αποκλείει ιδίως κάθε κοινολόγηση που βασίζεται στο «δικαιολογημένο συμφέρον» του υπευθύνου επεξεργασίας. Πέραν τούτου, το άρθρο 17 παράγραφος 4 του PIPA επιτρέπει την παροχή σε τρίτο «εντός της έκτασης που συνδέεται εύλογα» με τον σκοπό της συλλογής, λαμβανομένων και πάλι υπόψη των πιθανών μειονεκτημάτων που προκαλούνται στο υποκείμενο των δεδομένων και υπό την προϋπόθεση ότι έχουν ληφθεί τα αναγκαία μέτρα ασφάλειας (όπως κρυπτογράφηση). Για να εκτιμηθεί αν η παροχή εμπίπτει στην έκταση που συνδέεται εύλογα με τον σκοπό της συλλογής πρέπει να λαμβάνονται υπόψη οι ίδιοι παράγοντες που περιγράφονται στην αιτιολογική σκέψη 36, ενώ ισχύουν οι ίδιες εγγυήσεις (δηλαδή όσον αφορά τη διαφάνεια μέσω της πολιτικής για την προστασία της ιδιωτικής ζωής και τη συμμετοχή του υπευθύνου για την προστασία της ιδιωτικής ζωής).

(38)

Η λήψη δεδομένων προσωπικού χαρακτήρα από Κορεάτη υπεύθυνο επεξεργασίας δεδομένων από την Ένωση θεωρείται «συλλογή» κατά την έννοια του άρθρου 15 του PIPA. Η κοινοποίηση αριθ. 2021-5 (παράρτημα Ι τμήμα I της παρούσας απόφασης) διευκρινίζει ότι ο σκοπός για τον οποίο διαβιβάστηκαν τα δεδομένα από την οικεία οντότητα της ΕΕ αποτελεί τον σκοπό της συλλογής για τον Κορεάτη υπεύθυνο επεξεργασίας δεδομένων. Κατά συνέπεια, οι Κορεάτες υπεύθυνοι επεξεργασίας δεδομένων που λαμβάνουν δεδομένα προσωπικού χαρακτήρα από την Ένωση υποχρεούνται καταρχήν να επεξεργάζονται τις εν λόγω πληροφορίες εντός της έκτασης του σκοπού της διαβίβασης, σύμφωνα με το άρθρο 17 του PIPA.

(39)

Ειδικοί περιορισμοί ισχύουν σε περίπτωση που ο υπεύθυνος επεξεργασίας επιδιώκει να χρησιμοποιήσει τα δεδομένα προσωπικού χαρακτήρα ή να τα παράσχει σε τρίτο για σκοπό διαφορετικό από τον σκοπό της συλλογής (57). Σύμφωνα με το άρθρο 18 παράγραφος 2 του PIPA, ιδιώτης υπεύθυνος επεξεργασίας μπορεί, κατ’ εξαίρεση (58), να χρησιμοποιήσει δεδομένα προσωπικού χαρακτήρα ή να τα παράσχει σε τρίτο για διαφορετικό σκοπό: 1) βάσει πρόσθετης (δηλαδή χωριστής) συγκατάθεσης του υποκειμένου των δεδομένων· 2) αν αυτό προβλέπεται από ειδικές νομοθετικές διατάξεις· ή 3) αν αυτό είναι προδήλως αναγκαίο για την προστασία της ζωής, της σωματικής ακεραιότητας ή περιουσιακών συμφερόντων του υποκειμένου των δεδομένων ή τρίτου από άμεσο κίνδυνο (μόνο αν το υποκείμενο των δεδομένων δεν είναι σε θέση να εκφράσει τη βούλησή του και δεν μπορεί να ληφθεί η προηγούμενη συγκατάθεσή του) (59).

(40)

Οι δημόσιοι φορείς μπορούν επίσης να χρησιμοποιούν δεδομένα προσωπικού χαρακτήρα ή να τα παρέχουν σε τρίτο για διαφορετικό σκοπό σε ορισμένες περιπτώσεις. Αυτό περιλαμβάνει τις περιπτώσεις στις οποίες διαφορετικά θα ήταν αδύνατο για τους δημόσιους φορείς να εκτελέσουν τα θεσμοθετημένα καθήκοντά τους που ορίζει ο νόμος, υπό τον όρο της άδειας της PIPC. Επιπλέον, οι δημόσιοι φορείς μπορούν να παρέχουν δεδομένα προσωπικού χαρακτήρα σε άλλη αρχή ή δικαστήριο αν αυτό είναι αναγκαίο για τη διερεύνηση και τη δίωξη εγκλήματος ή για την απαγγελία κατηγορίας· για την εκτέλεση από δικαστήριο των καθηκόντων του που σχετίζονται με υπό εξέλιξη δικαστική διαδικασία· ή για την εκτέλεση ποινικής κύρωσης ή διαταγής μέριμνας ή επιμέλειας (60). Μπορούν επίσης να παρέχουν δεδομένα προσωπικού χαρακτήρα σε αλλοδαπή κυβέρνηση ή διεθνή οργανισμό προκειμένου να συμμορφωθούν με νομική υποχρέωση που απορρέει από συνθήκη ή διεθνή σύμβαση, περίπτωση κατά την οποία πρέπει επίσης να συμμορφωθούν με τις απαιτήσεις για τις διασυνοριακές διαβιβάσεις δεδομένων (βλ. αιτιολογική σκέψη 90).

(41)

Ως εκ τούτου, οι αρχές της νομιμότητας και του θεμιτού χαρακτήρα της επεξεργασίας εφαρμόζονται στο κορεατικό νομικό πλαίσιο κατά τρόπο ουσιωδώς ισοδύναμο με τον κανονισμό (ΕΕ) 2016/679, επιτρέποντας την επεξεργασία μόνο για νόμιμους και σαφώς καθορισμένους λόγους. Επιπλέον, σε όλες τις προαναφερθείσες περιπτώσεις, η επεξεργασία επιτρέπεται μόνο εάν δεν είναι πιθανό να «βλάψει αδικαιολόγητα» τα συμφέροντα του υποκειμένου των δεδομένων ή τρίτου, κρίση που απαιτεί στάθμιση συμφερόντων. Επιπλέον, το άρθρο 18 παράγραφος 5 του PIPA προβλέπει πρόσθετες εγγυήσεις όταν ο υπεύθυνος επεξεργασίας παρέχει τα δεδομένα προσωπικού χαρακτήρα σε τρίτο, οι οποίες μπορεί να περιλαμβάνουν αίτημα περιορισμού του σκοπού και της μεθόδου χρήσης ή λήψης ειδικών μέτρων ασφάλειας. Ο τρίτος υποχρεούται με τη σειρά του να εφαρμόζει τα ζητηθέντα μέτρα.

(42)

Τέλος, το άρθρο 28-2 του PIPA επιτρέπει την (περαιτέρω) επεξεργασία ψευδωνυμοποιημένων πληροφοριών χωρίς τη συγκατάθεση του οικείου προσώπου για σκοπούς στατιστικής, επιστημονικής έρευνας (61) και αρχειοθέτησης προς το δημόσιο συμφέρον, με την επιφύλαξη ειδικών εγγυήσεων. Επομένως, παρομοίως με τα ισχύοντα βάσει του κανονισμού (ΕΕ) 2016/679 (62), ο PIPA διευκολύνει την (περαιτέρω) επεξεργασία δεδομένων προσωπικού χαρακτήρα για τέτοιους σκοπούς εντός πλαισίου που προβλέπει κατάλληλες εγγυήσεις για την προστασία των δικαιωμάτων των φυσικών προσώπων. Αντί να βασίζεται στην ψευδωνυμοποίηση ως δυνητική εγγύηση, ο PIPA την επιβάλλει ως προϋπόθεση για την εκτέλεση ορισμένων δραστηριοτήτων επεξεργασίας για σκοπούς στατιστικής, επιστημονικής έρευνας και αρχειοθέτησης προς το δημόσιο συμφέρον (π.χ. για τη δυνατότητα επεξεργασίας των δεδομένων χωρίς συγκατάθεση ή για τη δυνατότητα συνδυασμού διαφορετικών συνόλων δεδομένων).

(43)

Επιπλέον, ο PIPA επιβάλλει ορισμένες ειδικές εγγυήσεις, ιδίως όσον αφορά τα απαιτούμενα τεχνικά και οργανωτικά μέτρα, την τήρηση αρχείων, τους περιορισμούς στην κοινή χρήση δεδομένων και την αντιμετώπιση πιθανών κινδύνων επαναταυτοποίησης. Ο συνδυασμός των διαφόρων εγγυήσεων που περιγράφονται στις αιτιολογικές σκέψεις 44 έως 48 διασφαλίζει ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα στο πλαίσιο αυτό υπόκειται σε ουσιωδώς ισοδύναμα μέτρα προστασίας σε σύγκριση με εκείνα που θα απαιτούνταν σύμφωνα με τον κανονισμό (ΕΕ) 2016/679.

(44)

Πρώτον και σημαντικότερο, το άρθρο 28-5 παράγραφος 1 του PIPA απαγορεύει την επεξεργασία ψευδωνυμοποιημένων πληροφοριών με σκοπό την ταυτοποίηση συγκεκριμένου φυσικού προσώπου. Εάν, παρόλα αυτά, κατά την επεξεργασία ψευδωνυμοποιημένων πληροφοριών προκύψουν πληροφορίες που θα μπορούσαν να ταυτοποιήσουν φυσικό πρόσωπο, ο υπεύθυνος επεξεργασίας πρέπει να αναστείλει αμέσως την επεξεργασία και να καταστρέψει τις πληροφορίες αυτές (άρθρο 28-5 παράγραφος 2 του PIPA). Η μη συμμόρφωση με αυτές τις διατάξεις επισύρει διοικητικά πρόστιμα και συνιστά ποινικό αδίκημα (63). Αυτό σημαίνει ότι, ακόμη και στις περιπτώσεις στις οποίες θα ήταν πρακτικά εφικτή η επαναταυτοποίηση του φυσικού προσώπου, η εν λόγω επαναταυτοποίηση απαγορεύεται νομικά.

(45)

Δεύτερον, κατά την (περαιτέρω) επεξεργασία ψευδωνυμοποιημένων πληροφοριών για τέτοιους σκοπούς, ο υπεύθυνος επεξεργασίας υποχρεούται να εφαρμόζει ειδικά τεχνολογικά, διαχειριστικά και φυσικά μέτρα για τη διασφάλιση της ασφάλειας των πληροφοριών (συμπεριλαμβανομένης της χωριστής αποθήκευσης και διαχείρισης των πληροφοριών που είναι απαραίτητες για την επαναφορά των ψευδωνυμοποιημένων πληροφοριών στην αρχική τους κατάσταση) (64). Επιπλέον, πρέπει να τηρούνται αρχεία σχετικά με τις ψευδωνυμοποιημένες πληροφορίες που υποβάλλονται σε επεξεργασία, τον σκοπό της επεξεργασίας, το ιστορικό χρήσης και τυχόν τρίτους αποδέκτες (άρθρο 29-5 παράγραφος 2 του διατάγματος εφαρμογής του PIPA).

(46)

Τρίτον και τελευταίον, ο PIPA προβλέπει ειδικές εγγυήσεις για την αποτροπή της ταυτοποίησης φυσικών προσώπων από τρίτους σε περίπτωση κοινής χρήσης πληροφοριών. Ειδικότερα, κατά την παροχή ψευδωνυμοποιημένων πληροφοριών σε τρίτο για σκοπούς στατιστικής, επιστημονικής έρευνας ή αρχειοθέτησης προς το δημόσιο συμφέρον, οι υπεύθυνοι επεξεργασίας δεν μπορούν να περιλαμβάνουν πληροφορίες που θα μπορούσαν να χρησιμοποιηθούν για την ταυτοποίηση συγκεκριμένου φυσικού προσώπου (άρθρο 28-2 παράγραφος 2 του PIPA) (65).

(47)

Ειδικότερα, ενώ ο PIPA επιτρέπει τον συνδυασμό ψευδωνυμοποιημένων πληροφοριών (που υποβάλλονται σε επεξεργασία από διαφορετικούς υπευθύνους επεξεργασίας) για σκοπούς στατιστικής, επιστημονικής έρευνας ή αρχειοθέτησης προς το δημόσιο συμφέρον, επιφυλάσσει την εξουσία αυτή σε εξειδικευμένους φορείς που διαθέτουν ειδικές εγκαταστάσεις ασφάλειας (άρθρο 28-3 παράγραφος 1 του PIPA) (66). Όταν υποβάλλει αίτηση για συνδυασμό ψευδωνυμοποιημένων δεδομένων, ο υπεύθυνος επεξεργασίας πρέπει να υποβάλει τεκμηρίωση, μεταξύ άλλων, σχετικά με τα δεδομένα που πρόκειται να συνδυαστούν, τον σκοπό του συνδυασμού, καθώς και τα προτεινόμενα μέτρα ασφάλειας για την επεξεργασία των συνδυασμένων δεδομένων (67). Για να καταστεί δυνατός ο συνδυασμός, ο υπεύθυνος επεξεργασίας πρέπει να αποστείλει τα δεδομένα που πρόκειται να συνδυαστούν στον εξειδικευμένο φορέα και να παράσχει «κλειδί συνδυασμού» (δηλαδή τις πληροφορίες που χρησιμοποιήθηκαν για την ψευδωνυμοποίηση) στον Οργανισμό Διαδικτύου και Ασφάλειας της Κορέας (68). Ο οργανισμός αυτός παράγει «δεδομένα σύνδεσης κλειδιών συνδυασμού» (που επιτρέπουν τη σύνδεση των κλειδιών συνδυασμού διαφορετικών αιτούντων προκειμένου να επιτευχθεί ο συνδυασμός των συνόλων δεδομένων) και τα παρέχει στον εξειδικευμένο φορέα (69).

(48)

Ο υπεύθυνος επεξεργασίας που ζητεί τον συνδυασμό μπορεί να αναλύει τις συνδυασμένες πληροφορίες στις εγκαταστάσεις του εξειδικευμένου φορέα, σε χώρο όπου εφαρμόζονται ειδικά τεχνικά, υλικά και διοικητικά μέτρα ασφάλειας (άρθρο 29-3 του διατάγματος εφαρμογής του PIPA). Οι υπεύθυνοι επεξεργασίας που συνεισφέρουν σύνολο δεδομένων για τον εν λόγω συνδυασμό μπορούν να μεταφέρουν τα συνδυασμένα δεδομένα εκτός του εξειδικευμένου φορέα μόνο μετά από περαιτέρω ψευδωνυμοποίηση ή ανωνυμοποίηση των συνδυασμένων δεδομένων και κατόπιν έγκρισης του εν λόγω φορέα (άρθρο 28-3 παράγραφος 2 του PIPA) (70). Κατά την εξέταση της χορήγησης ή μη της εν λόγω έγκρισης, ο φορέας αξιολογεί τη σχέση μεταξύ των συνδυασμένων δεδομένων και του σκοπού της επεξεργασίας και αν έχει καταρτιστεί ειδικό σχέδιο ασφάλειας για τη χρήση των εν λόγω δεδομένων (71). Η εξαγωγή των συνδυασμένων πληροφοριών εκτός του φορέα δεν θα επιτρέπεται εάν οι πληροφορίες περιέχουν δεδομένα που επιτρέπουν την ταυτοποίηση φυσικού προσώπου (72). Τέλος, ο συνδυασμός και η αποδέσμευση ψευδωνυμοποιημένων δεδομένων από τον εξειδικευμένο φορέα εποπτεύονται από την PIPC (άρθρο 29-4 παράγραφος 3 του διατάγματος εφαρμογής του PIPA).

(49)

Θα πρέπει να προβλέπονται ειδικές εγγυήσεις για την επεξεργασία «ειδικών κατηγοριών δεδομένων».

(50)

Ο PIPA περιέχει ειδικούς κανόνες για την επεξεργασία ευαίσθητων δεδομένων (73), τα οποία ορίζονται ως δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν πληροφορίες σχετικά με την ιδεολογία, τις πεποιθήσεις, την προσχώρηση ή την αποχώρηση από συνδικαλιστική οργάνωση ή πολιτικό κόμμα, τις πολιτικές απόψεις, την υγεία ή τη σεξουαλική ζωή φυσικού προσώπου, καθώς και άλλες προσωπικές πληροφορίες που ενδέχεται να απειλήσουν «αισθητά» την ιδιωτική ζωή του υποκειμένου των δεδομένων και έχουν χαρακτηριστεί ως ευαίσθητες πληροφορίες με προεδρικό διάταγμα (74). Σύμφωνα με τις διευκρινίσεις που ελήφθησαν από την PIPC, η σεξουαλική ζωή ερμηνεύεται ότι καλύπτει επίσης τον γενετήσιο προσανατολισμό και τις σεξουαλικές προτιμήσεις του φυσικού προσώπου (75). Περαιτέρω, το άρθρο 18 του διατάγματος εφαρμογής προσθέτει επιπλέον κατηγορίες δεδομένων στην έννοια των ευαίσθητων δεδομένων, ιδίως τις πληροφορίες DNA που αποκτώνται από γενετικές δοκιμές και τα δεδομένα που συνιστούν ποινικό μητρώο. Η πρόσφατη τροποποίηση του διατάγματος εφαρμογής του PIPA διεύρυνε περαιτέρω την έννοια των ευαίσθητων δεδομένων, προσθέτοντας και τα δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή και τις βιομετρικές πληροφορίες (76). Μετά την εν λόγω τροποποίηση, η έννοια των ευαίσθητων δεδομένων βάσει του PIPA είναι ουσιωδώς ισοδύναμη με εκείνη του άρθρου 9 του κανονισμού (ΕΕ) 2016/679.

(51)

Σύμφωνα με το άρθρο 23 παράγραφος 1 του PIPA, και παρομοίως με τα προβλεπόμενα στο άρθρο 9 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679, η επεξεργασία ευαίσθητων δεδομένων γενικά απαγορεύεται, εκτός εάν εφαρμόζεται μία από τις απαριθμούμενες εξαιρέσεις (77). Οι εξαιρέσεις αυτές περιορίζουν την επεξεργασία στις περιπτώσεις στις οποίες ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων σύμφωνα με τα άρθρα 15 και 17 του PIPA και λαμβάνει χωριστή συγκατάθεση (δηλαδή χωριστή από τη συγκατάθεση για την επεξεργασία άλλων δεδομένων προσωπικού χαρακτήρα) ή στις οποίες η επεξεργασία απαιτείται ή επιτρέπεται από τον νόμο. Οι δημόσιες αρχές μπορούν επίσης να επεξεργάζονται βιομετρικές πληροφορίες, πληροφορίες DNA που αποκτώνται από γενετικούς ελέγχους, προσωπικές πληροφορίες που αποκαλύπτουν φυλετική ή εθνοτική καταγωγή και δεδομένα που συνιστούν ποινικό μητρώο για τους λόγους που είναι διαθέσιμοι αποκλειστικά σε αυτές (για παράδειγμα, αν είναι αναγκαίο για τη διερεύνηση εγκλήματος πράξεων ή για την εκδίκαση υπόθεσης από δικαστήριο) (78). Ως εκ τούτου, οι νομικές βάσεις που είναι διαθέσιμες για την επεξεργασία ευαίσθητων δεδομένων είναι πιο περιορισμένες απ' ό,τι για τους άλλους τύπους δεδομένων προσωπικού χαρακτήρα, και είναι ακόμη πιο περιοριστικές στο κορεατικό δίκαιο απ' ό,τι είναι στο άρθρο 9 παράγραφος 2 του κανονισμού (ΕΕ) 2016/679.

(52)

Επιπλέον, το άρθρο 23 παράγραφος 2 του PIPA —η μη συμμόρφωση με το οποίο μπορεί να οδηγήσει σε κυρώσεις (79)— υπογραμμίζει την ιδιαίτερη σημασία της διασφάλισης της κατάλληλης ασφάλειας κατά τον χειρισμό ευαίσθητων δεδομένων, ώστε να «μην είναι δυνατή η απώλεια, κλοπή, κοινολόγηση, παραποίηση, μεταβολή ή καταστροφή τους». Μολονότι αυτή είναι μια γενική απαίτηση του άρθρου 29 του PIPA, το άρθρο 3 παράγραφος 4 καθιστά σαφές ότι το επίπεδο ασφάλειας πρέπει να προσαρμόζεται στον τύπο των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία, το οποίο σημαίνει ότι πρέπει να λαμβάνονται υπόψη οι ιδιαίτεροι κίνδυνοι που ενέχει η επεξεργασία ευαίσθητων δεδομένων. Επιπρόσθετα, η επεξεργασία δεδομένων πρέπει πάντοτε να διενεργείται «κατά τρόπο ώστε να ελαχιστοποιείται η πιθανότητα παραβίασης» της ιδιωτικής ζωής του υποκειμένου των δεδομένων και, αν είναι δυνατόν, «με ανωνυμία» (άρθρο 3 παράγραφοι 6 και 7 του PIPA). Οι απαιτήσεις αυτές είναι ιδιαίτερα σημαντικές όταν η επεξεργασία αφορά ευαίσθητα δεδομένα.

(53)

Τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να συλλέγονται για συγκεκριμένο σκοπό και κατά τρόπο που να μην είναι ασύμβατος με τον σκοπό της επεξεργασίας.

(54)

Η αρχή αυτή διασφαλίζεται από το άρθρο 3 παράγραφοι 1 και 2 του PIPA, σύμφωνα με το οποίο ο υπεύθυνος επεξεργασίας «προσδιορίζει και διατυπώνει ρητά» τον σκοπό της επεξεργασίας, επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα με τον κατάλληλο τρόπο που είναι αναγκαίος για τον σκοπό αυτόν και δεν τα χρησιμοποιεί πέραν του σκοπού αυτού. Η γενική αρχή του περιορισμού του σκοπού επιβεβαιώνεται επίσης στο άρθρο 15 παράγραφος 1, στο άρθρο 18 παράγραφος 1, στο άρθρο 19 και —για τους εκτελούντες την επεξεργασία (τους λεγόμενους «λήπτες της εξωτερικής ανάθεσης»)— στο άρθρο 26 παράγραφος 1 σημείο 1 και στο άρθρο 26 παράγραφοι 5 και 7 του PIPA. Ειδικότερα, δεδομένα προσωπικού χαρακτήρα μπορούν καταρχήν να χρησιμοποιούνται και να παρέχονται σε τρίτους μόνο εντός της έκτασης του σκοπού για τον οποίο συλλέχθηκαν (άρθρο 15 παράγραφος 1 και άρθρο 17 παράγραφος 1 σημείο 2). Επεξεργασία για συμβατό σκοπό, δηλαδή «εντός της έκτασης που συνδέεται εύλογα με τον αρχικό σκοπό της συλλογής», μπορεί να πραγματοποιείται μόνο αν δεν επηρεάζει αρνητικά τα οικεία υποκείμενα των δεδομένων και αν λαμβάνονται τα αναγκαία μέτρα ασφάλειας (όπως κρυπτογράφηση) (άρθρο 15 παράγραφος 3 και άρθρο 17 παράγραφος 4 του PIPA). Για να προσδιοριστεί αν η περαιτέρω επεξεργασία εξυπηρετεί συμβατό σκοπό, το διάταγμα εφαρμογής του PIPA απαριθμεί συγκεκριμένα κριτήρια, τα οποία είναι παρόμοια με εκείνα που προβλέπονται στο άρθρο 6 παράγραφος 4 του κανονισμού (ΕΕ) 2016/679 – βλ. αιτιολογική σκέψη 36.

(55)

Όπως εξηγείται στην αιτιολογική σκέψη 38, ο σκοπός της συλλογής στην περίπτωση των Κορεατών υπευθύνων επεξεργασίας που λαμβάνουν δεδομένα προσωπικού χαρακτήρα από την Ένωση είναι ο σκοπός για τον οποίο διαβιβάζονται τα δεδομένα. Αλλαγή του σκοπού από τον υπεύθυνο επεξεργασίας επιτρέπεται μόνο κατ’ εξαίρεση, σε συγκεκριμένες (απαριθμούμενες) περιπτώσεις (άρθρο 18 παράγραφος 2 σημεία 1 έως 3 του PIPA, βλ. επίσης αιτιολογική σκέψη 39). Στον βαθμό που η αλλαγή σκοπού επιτρέπεται από νόμο, ο νόμος αυτός πρέπει με τη σειρά του να σέβεται το θεμελιώδες δικαίωμα στην προστασία της ιδιωτικής ζωής και των δεδομένων, καθώς και τις αρχές της αναγκαιότητας και της αναλογικότητας που κατοχυρώνονται στο Σύνταγμα της Κορέας. Επιπλέον, το άρθρο 18 παράγραφοι 2 και 5 του PIPA προβλέπει πρόσθετες εγγυήσεις, ιδίως την απαίτηση ότι μια τέτοια αλλαγή σκοπού δεν πρέπει να «βλάπτει αδικαιολόγητα τα συμφέροντα του υποκειμένου των δεδομένων», με αποτέλεσμα να απαιτείται πάντοτε στάθμιση συμφερόντων. Αυτό παρέχει επίπεδο προστασίας ουσιωδώς ισοδύναμο με εκείνο που προβλέπεται στο άρθρο 5 παράγραφος 1 στοιχείο β) και στο άρθρο 6, σε συνδυασμό με την αιτιολογική σκέψη 50, του κανονισμού (ΕΕ) 2016/679.

(56)

Τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να είναι ακριβή και, όπου χρειάζεται, επικαιροποιημένα. Τα δεδομένα προσωπικού χαρακτήρα θα πρέπει επίσης να είναι κατάλληλα, συναφή και να περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία.

(57)

Η αρχή της ακρίβειας αναγνωρίζεται επίσης στο άρθρο 3 παράγραφος 3 του PIPA, το οποίο απαιτεί τα δεδομένα προσωπικού χαρακτήρα να είναι «ακριβή, πλήρη και επικαιροποιημένα στον βαθμό που είναι αναγκαίος σε σχέση με τους σκοπούς» για τους οποίους τα δεδομένα υποβάλλονται σε επεξεργασία. Η ελαχιστοποίηση των δεδομένων απαιτείται βάσει του άρθρου 3 παράγραφοι 1 και 6 και του άρθρου 16 παράγραφος 1 του PIPA, τα οποία ορίζουν ότι ο υπεύθυνος επεξεργασίας συλλέγει δεδομένα προσωπικού χαρακτήρα (μόνο) «στον ελάχιστο αναγκαίο βαθμό» για τον επιδιωκόμενο σκοπό και ότι φέρει συναφώς το βάρος της απόδειξης. Εάν είναι δυνατόν να επιτευχθεί ο σκοπός της συλλογής με την επεξεργασία πληροφοριών σε ανωνυμοποιημένη μορφή, οι υπεύθυνοι επεξεργασίας θα πρέπει να προσπαθούν να το πράξουν (άρθρο 3 παράγραφος 7 του PIPA).

(58)

Τα δεδομένα προσωπικού χαρακτήρα θα πρέπει καταρχήν να διατηρούνται μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα.

(59)

Η αρχή του περιορισμού της περιόδου αποθήκευσης προβλέπεται επίσης στο άρθρο 21 παράγραφος 1 του PIPA (80), το οποίο απαιτεί από τον υπεύθυνο επεξεργασίας να «καταστρέφει» (81) τα δεδομένα προσωπικού χαρακτήρα χωρίς καθυστέρηση μόλις επιτευχθεί ο σκοπός της επεξεργασίας ή με τη λήξη της περιόδου διατήρησης (ανάλογα με το ποια ημερομηνία είναι προγενέστερη), εκτός εάν απαιτείται περαιτέρω διατήρηση από τον νόμο (82). Στην περίπτωση αυτή, τα σχετικά δεδομένα προσωπικού χαρακτήρα «αποθηκεύονται και υπόκεινται σε χωριστή διαχείριση από άλλες προσωπικές πληροφορίες» (άρθρο 21 παράγραφος 3 του PIPA).

(60)

Το άρθρο 21 παράγραφος 1 του PIPA δεν εφαρμόζεται όταν ψευδωνυμοποιημένα δεδομένα υποβάλλονται σε επεξεργασία για σκοπούς στατιστικής, επιστημονικής έρευνας ή αρχειοθέτησης προς το δημόσιο συμφέρον (83). Για να διασφαλίζεται η αρχή της περιορισμένης διατήρησης των δεδομένων και σε αυτήν την περίπτωση, η κοινοποίηση αριθ. 2021-5 απαιτεί από τους υπευθύνους επεξεργασίας να ανωνυμοποιούν τις πληροφορίες σύμφωνα με το άρθρο 58-2 του PIPA εάν τα δεδομένα δεν έχουν καταστραφεί με την εκπλήρωση του συγκεκριμένου σκοπού της επεξεργασίας (84).

(61)

Τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ασφάλειά τους, συμπεριλαμβανομένης της προστασίας τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά. Για τον σκοπό αυτόν, οι επιχειρηματικοί φορείς θα πρέπει να λαμβάνουν τα κατάλληλα τεχνικά ή οργανωτικά μέτρα για την προστασία των δεδομένων προσωπικού χαρακτήρα από πιθανές απειλές. Τα μέτρα αυτά θα πρέπει να αξιολογούνται λαμβανομένων υπόψη της εξέλιξης της τεχνολογίας, του σχετικού κόστους και της φύσης, της έκτασης, του πλαισίου και των σκοπών της επεξεργασίας, καθώς και των κινδύνων για τα δικαιώματα των φυσικών προσώπων.

(62)

Μια παρόμοια αρχή της ασφάλειας ορίζεται στο άρθρο 3 παράγραφος 4 του PIPA, το οποίο απαιτεί από τους υπευθύνους επεξεργασίας «να διαχειρίζονται τις προσωπικές πληροφορίες με ασφάλεια σύμφωνα με τις μεθόδους επεξεργασίας, τον τύπο κ.λπ. των προσωπικών πληροφοριών, λαμβάνοντας υπόψη την πιθανότητα παραβίασης των δικαιωμάτων του υποκειμένου των δεδομένων και τη σοβαρότητα των σχετικών κινδύνων». Επιπλέον, ο υπεύθυνος επεξεργασίας «επεξεργάζεται τις προσωπικές πληροφορίες κατά τρόπο ώστε να ελαχιστοποιείται η πιθανότητα παραβίασης της ιδιωτικής ζωής του υποκειμένου των δεδομένων» και, στο πλαίσιο αυτό, προσπαθεί να επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα με ανωνυμία ή σε ψευδωνυμοποιημένη μορφή, αν αυτό είναι δυνατόν (άρθρο 3 παράγραφοι 6 και 7 του PIPA).

(63)

Αυτές οι γενικές απαιτήσεις αναπτύσσονται περαιτέρω στο άρθρο 29 του PIPA, σύμφωνα με το οποίο κάθε υπεύθυνος επεξεργασίας «λαμβάνει τα τεχνικά, διαχειριστικά και υλικά μέτρα, όπως η κατάρτιση εσωτερικού σχεδίου διαχείρισης και η διατήρηση αρχείων καταγραφής, κ.λπ., που είναι αναγκαία για τη διαφύλαξη της ασφάλειας, όπως ορίζεται με προεδρικό διάταγμα, ώστε να αποτρέπεται η απώλεια, η κλοπή, η κοινολόγηση, η παραποίηση, η μεταβολή ή η καταστροφή των προσωπικών πληροφοριών». Το άρθρο 30 παράγραφος 1 του διατάγματος εφαρμογής του PIPA προσδιορίζει τα μέτρα αυτά, αναφερόμενο 1) στη διαμόρφωση και εφαρμογή εσωτερικού σχεδίου διαχείρισης για την ασφαλή επεξεργασία των δεδομένων προσωπικού χαρακτήρα, 2) στους ελέγχους και περιορισμούς πρόσβασης, 3) στην υιοθέτηση τεχνολογίας κρυπτογράφησης για την ασφαλή αποθήκευση και διαβίβαση δεδομένων προσωπικού χαρακτήρα, 4) στα αρχεία σύνδεσης, 5) στα προγράμματα ασφάλειας και 6) στα υλικά μέτρα, όπως σύστημα ασφαλούς αποθήκευσης ή κλειδώματος (85).

(64)

Επιπλέον, ειδικές υποχρεώσεις ισχύουν σε περίπτωση παραβίασης δεδομένων (άρθρο 34 του PIPA σε συνδυασμό με τα άρθρα 39 και 40 του διατάγματος εφαρμογής του PIPA) (86). Ειδικότερα, ο υπεύθυνος επεξεργασίας υποχρεούται να γνωστοποιεί χωρίς καθυστέρηση στα θιγόμενα υποκείμενα των δεδομένων τις λεπτομέρειες της παραβίασης (87), συμπεριλαμβανομένων πληροφοριών σχετικά με τα (υποχρεωτικά) αντίμετρα που έλαβε ο υπεύθυνος επεξεργασίας και με το τι μπορούν να κάνουν τα υποκείμενα των δεδομένων για να ελαχιστοποιήσουν τον κίνδυνο ζημίας (άρθρο 34 παράγραφοι 1 και 2 του PIPA) (88). Αν η παραβίαση δεδομένων αφορά τουλάχιστον 1 000 υποκείμενα δεδομένων, ο υπεύθυνος επεξεργασίας αναφέρει επίσης χωρίς καθυστέρηση την παραβίαση δεδομένων και τα αντίμετρα που έλαβε στην PIPC και στον Οργανισμό Διαδικτύου και Ασφάλειας της Κορέας, οι οποίοι μπορούν να παράσχουν τεχνική βοήθεια (άρθρο 34 παράγραφος 3 του PIPA σε συνδυασμό με το άρθρο 39 του διατάγματος εφαρμογής του PIPA). Οι υπεύθυνοι επεξεργασίας είναι υπεύθυνοι για τις ζημίες που προκύπτουν από παραβιάσεις δεδομένων, σύμφωνα με τις διατάξεις του αστικού νόμου για την αδικοπρακτική ευθύνη (βλ. επίσης τμήμα 2.5 σχετικά με τα μέσα προσφυγής) (89).

(65)

Κατά την τήρηση των υποχρεώσεών του στον τομέα της ασφάλειας, ο υπεύθυνος επεξεργασίας πρέπει να επικουρείται από υπεύθυνο για την προστασία της ιδιωτικής ζωής, τα καθήκοντα του οποίου περιλαμβάνουν, μεταξύ άλλων, τη δημιουργία συστήματος εσωτερικού ελέγχου «για την πρόληψη της κοινολόγησης, της κατάχρησης και της κακής χρήσης προσωπικών πληροφοριών» (άρθρο 31 παράγραφος 2 σημείο 4 του PIPA). Επιπλέον, ο υπεύθυνος επεξεργασίας έχει καθήκον να ασκεί «κατάλληλο έλεγχο και εποπτεία» των υπαλλήλων του που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα, μεταξύ άλλων όσον αφορά την ασφαλή διαχείρισή τους· αυτό περιλαμβάνει την απαραίτητη κατάρτιση («εκπαίδευση») των εργαζομένων (άρθρο 28 παράγραφοι 1 και 2 του PIPA). Τέλος, σε περίπτωση υπεργολαβίας επεξεργασίας, ο υπεύθυνος επεξεργασίας πρέπει να επιβάλλει απαιτήσεις στον «λήπτη της εξωτερικής ανάθεσης», μεταξύ άλλων όσον αφορά την ασφαλή διαχείριση των δεδομένων προσωπικού χαρακτήρα («τεχνικές και διαχειριστικές εγγυήσεις»), και πρέπει να εποπτεύει τον τρόπο εφαρμογής τους μέσω επιθεωρήσεων (άρθρο 26 παράγραφοι 1 και 4 του PIPA σε συνδυασμό με το άρθρο 28 παράγραφος 1 σημεία 3 και 4 και το άρθρο 28 παράγραφος 6 του διατάγματος εφαρμογής του PIPA).

(66)

Τα υποκείμενα των δεδομένων θα πρέπει να ενημερώνονται για τα βασικά χαρακτηριστικά της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα τους.

(67)

Αυτό διασφαλίζεται με διάφορους τρόπους στο κορεατικό σύστημα. Εκτός από το δικαίωμα ενημέρωσης σύμφωνα με το άρθρο 4 σημείο 1 (γενικά) και το άρθρο 20 παράγραφος 1 (για τα δεδομένα προσωπικού χαρακτήρα που συλλέγονται από τρίτους) του PIPA, καθώς και το δικαίωμα πρόσβασης σύμφωνα με το άρθρο 35 του PIPA, ο PIPA περιλαμβάνει γενική απαίτηση διαφάνειας όσον αφορά τον σκοπό της επεξεργασίας (άρθρο 3 παράγραφος 1 του PIPA) και ειδικές απαιτήσεις διαφάνειας σε περίπτωση που η επεξεργασία βασίζεται σε συγκατάθεση (άρθρο 15 παράγραφος 2, άρθρο 17 παράγραφος 2 και άρθρο 18 παράγραφος 3 του PIPA) (90). Επιπλέον, το άρθρο 20 παράγραφος 2 του PIPA απαιτεί από ορισμένους υπευθύνους επεξεργασίας —εκείνους για τους οποίους η επεξεργασία υπερβαίνει ορισμένα όρια (91)— να ενημερώνουν το υποκείμενο των δεδομένων του οποίου τα δεδομένα προσωπικού χαρακτήρα έχουν λάβει από τρίτο μέρος σχετικά με την πηγή των πληροφοριών, τον σκοπό της επεξεργασίας και το δικαίωμα του υποκειμένου των δεδομένων να ζητήσει αναστολή της επεξεργασίας, εκτός εάν η γνωστοποίηση αυτή αποδεικνύεται αδύνατη λόγω έλλειψης στοιχείων επικοινωνίας. Εξαιρέσεις ισχύουν για ορισμένα αρχεία δεδομένων προσωπικού χαρακτήρα που τηρούνται από δημόσιες αρχές, ιδίως αρχεία που περιέχουν δεδομένα που υποβάλλονται σε επεξεργασία για λόγους εθνικής ασφάλειας, για άλλα ιδιαίτερα σημαντικά («σοβαρά») εθνικά συμφέροντα ή για σκοπούς επιβολής του ποινικού δικαίου, ή όταν η γνωστοποίηση ενδέχεται να βλάψει τη ζωή ή τη σωματική ακεραιότητα άλλου προσώπου ή να βλάψει αδικαιολόγητα περιουσιακά και άλλα συμφέροντα άλλου προσώπου, ωστόσο μόνο όταν τα δημόσια ή ιδιωτικά συμφέροντα που διακυβεύονται «υπερέχουν προδήλως» των δικαιωμάτων των οικείων υποκειμένων των δεδομένων (άρθρο 20 παράγραφος 4 του PIPA). Αυτό προϋποθέτει στάθμιση των συμφερόντων.

(68)

Επιπλέον, το άρθρο 3 παράγραφος 5 του PIPA ορίζει ότι οι υπεύθυνοι επεξεργασίας δημοσιοποιούν την πολιτική τους για την προστασία της ιδιωτικής ζωής (και άλλα θέματα που σχετίζονται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα). Η απαίτηση αυτή διευκρινίζεται περαιτέρω στο άρθρο 30 του PIPA σε συνδυασμό με το άρθρο 31 του διατάγματος εφαρμογής του PIPA. Σύμφωνα με τις εν λόγω διατάξεις, η δημοσιοποιημένη πολιτική για την προστασία της ιδιωτικής ζωής πρέπει, μεταξύ άλλων, να περιλαμβάνει 1) τους τύπους των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία, 2) τον σκοπό της επεξεργασίας, 3) την περίοδο διατήρησης, 4) εάν τα δεδομένα προσωπικού χαρακτήρα παρέχονται σε τρίτους (92), 5) κάθε τυχόν υπεργολαβία επεξεργασίας, 6) πληροφορίες σχετικά με τα δικαιώματα του υποκειμένου των δεδομένων και τον τρόπο άσκησής τους και 7) στοιχεία επικοινωνίας (συμπεριλαμβανομένου του ονόματος του υπευθύνου για την προστασία της ιδιωτικής ζωής ή της εσωτερικής υπηρεσίας που είναι υπεύθυνη για τη διασφάλιση της συμμόρφωσης με τους κανόνες προστασίας των δεδομένων και τον χειρισμό των καταγγελιών). Η πολιτική προστασίας της ιδιωτικής ζωής πρέπει να δημοσιοποιείται κατά τρόπο ώστε τα υποκείμενα των δεδομένων «να μπορούν εύκολα να την αναγνωρίζουν» (άρθρο 30 παράγραφος 2 του PIPA) (93) και να επικαιροποιείται συνεχώς (άρθρο 31 παράγραφος 2 του διατάγματος εφαρμογής του PIPA).

(69)

Οι δημόσιοι φορείς υπόκεινται σε πρόσθετη υποχρέωση καταχώρισης, ειδικότερα, των ακόλουθων πληροφοριών στην PIPC: 1) του ονόματος του δημόσιου φορέα, 2) των λόγων και των σκοπών της επεξεργασίας των αρχείων δεδομένων προσωπικού χαρακτήρα, 3) των στοιχείων των δεδομένων προσωπικού χαρακτήρα που καταγράφονται, 4) της μεθόδου επεξεργασίας, 5) της περιόδου διατήρησης, 6) του αριθμού των υποκειμένων των δεδομένων των οποίων τα δεδομένα προσωπικού χαρακτήρα διατηρούνται, 7) του τμήματος που χειρίζεται τα αιτήματα των υποκειμένων των δεδομένων και 8) των αποδεκτών των δεδομένων προσωπικού χαρακτήρα όταν τα δεδομένα παρέχονται συστηματικά ή κατ’ επανάληψη (άρθρο 32 παράγραφος 1 του PIPA) (94). Τα καταχωρισμένα αρχεία δεδομένων προσωπικού χαρακτήρα δημοσιοποιούνται από την PIPC και πρέπει επίσης να αναφέρονται από τους δημόσιους φορείς στην πολιτική τους για την προστασία της ιδιωτικής ζωής (άρθρο 30 παράγραφος 1 και άρθρο 32 παράγραφος 4 του PIPA).

(70)

Για να ενισχυθεί η διαφάνεια για τα υποκείμενα των δεδομένων στην Ένωση των οποίων τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται στην Κορέα βάσει της παρούσας απόφασης, το τμήμα 3 σημεία i) και ii) της κοινοποίησης αριθ. 2021-5 (παράρτημα I) επιβάλλει πρόσθετες απαιτήσεις διαφάνειας. Πρώτον, κατά τη λήψη δεδομένων προσωπικού χαρακτήρα από την Ένωση βάσει της παρούσας απόφασης, οι Κορεάτες υπεύθυνοι επεξεργασίας πρέπει να κοινοποιούν στα οικεία υποκείμενα των δεδομένων χωρίς αδικαιολόγητη καθυστέρηση (και σε κάθε περίπτωση το αργότερο εντός ενός μήνα από τη διαβίβαση) το όνομα και τα στοιχεία επικοινωνίας των οντοτήτων που διαβιβάζουν και λαμβάνουν τις πληροφορίες, τα δεδομένα προσωπικού χαρακτήρα (ή τις κατηγορίες δεδομένων προσωπικού χαρακτήρα) που διαβιβάζονται, τον σκοπό της συλλογής από τον Κορεάτη υπεύθυνο επεξεργασίας, την περίοδο διατήρησης και τα δικαιώματα που παρέχονται στο πλαίσιο του PIPA. Δεύτερον, κατά την παροχή δεδομένων προσωπικού χαρακτήρα που έχουν ληφθεί από την Ένωση βάσει της παρούσας απόφασης σε τρίτους, τα υποκείμενα των δεδομένων πρέπει να ενημερώνονται, μεταξύ άλλων, για τον αποδέκτη, τα δεδομένα προσωπικού χαρακτήρα ή τις κατηγορίες δεδομένων προσωπικού χαρακτήρα που θα παρασχεθούν, τη χώρα στην οποία θα παρασχεθούν τα δεδομένα (αν συντρέχει περίπτωση), καθώς και για τα δικαιώματα που παρέχονται στο πλαίσιο του PIPA (95). Με τον τρόπο αυτόν, η κοινοποίηση διασφαλίζει ότι τα φυσικά πρόσωπα της ΕΕ εξακολουθούν να ενημερώνονται για τους συγκεκριμένους υπευθύνους επεξεργασίας που επεξεργάζονται τις πληροφορίες τους και είναι σε θέση να ασκούν τα δικαιώματά τους έναντι των σχετικών οντοτήτων.

(71)

Το τμήμα 3 σημείο iii) της κοινοποίησης (παράρτημα I) επιτρέπει ορισμένες περιορισμένες και ειδικές εξαιρέσεις σε αυτές τις πρόσθετες υποχρεώσεις διαφάνειας, οι οποίες είναι ουσιωδώς ισοδύναμες με εκείνες που προβλέπονται στον κανονισμό (ΕΕ) 2016/679. Ειδικότερα, δεν απαιτείται κοινοποίηση στα υποκείμενα των δεδομένων στην Ένωση 1) αν και για όσο διάστημα είναι αναγκαίο να περιοριστεί η κοινοποίηση για ορισμένους λόγους δημόσιου συμφέροντος (για παράδειγμα, αν οι πληροφορίες υποβάλλονται σε επεξεργασία για σκοπούς εθνικής ασφάλειας ή ποινικών ερευνών υπό εξέλιξη), στον βαθμό που οι εν λόγω στόχοι δημόσιου συμφέροντος υπερέχουν προδήλως των δικαιωμάτων του υποκειμένου των δεδομένων· 2) αν το υποκείμενο των δεδομένων διαθέτει ήδη τις πληροφορίες· 3) αν και για όσο διάστημα η κοινοποίηση ενδέχεται να βλάψει τη ζωή ή τη σωματική ακεραιότητα του οικείου ή άλλου φυσικού προσώπου, ή να βλάψει αδικαιολόγητα τα περιουσιακά συμφέροντα άλλου προσώπου, εφόσον τα εν λόγω δικαιώματα ή συμφέροντα υπερέχουν προδήλως των δικαιωμάτων του υποκειμένου των δεδομένων· ή (4) αν δεν υπάρχουν στοιχεία επικοινωνίας για τα οικεία φυσικά πρόσωπα ή θα απαιτούνταν δυσανάλογη προσπάθεια για την κοινοποίηση σε αυτά. Για να καθοριστεί αν είναι δυνατή η επικοινωνία με το υποκείμενο των δεδομένων ή αν αυτό συνεπάγεται υπερβολικές προσπάθειες, θα πρέπει να λαμβάνεται υπόψη η δυνατότητα συνεργασίας με τον εξαγωγέα των δεδομένων στην Ένωση.

(72)

Συνεπώς, οι κανόνες που περιγράφονται στις αιτιολογικές σκέψεις 67 έως 71 εξασφαλίζουν ουσιωδώς ισοδύναμο επίπεδο προστασίας όσον αφορά τη διαφάνεια με αυτό που προβλέπεται στον κανονισμό (ΕΕ) 2016/679.

(73)

Τα υποκείμενα των δεδομένων θα πρέπει να έχουν ορισμένα δικαιώματα τα οποία μπορούν να ασκηθούν έναντι του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, ιδίως το δικαίωμα πρόσβασης στα δεδομένα, το δικαίωμα διόρθωσης, το δικαίωμα εναντίωσης στην επεξεργασία και το δικαίωμα διαγραφής των δεδομένων. Ταυτόχρονα, τα δικαιώματα αυτά είναι δυνατόν να υπόκεινται σε περιορισμούς, εφόσον οι περιορισμοί αυτοί είναι αναγκαίοι και αναλογικοί για τη διασφάλιση σημαντικών στόχων γενικού δημόσιου συμφέροντος.

(74)

Σύμφωνα με το άρθρο 3 παράγραφος 5 του PIPA, ο υπεύθυνος επεξεργασίας εγγυάται τα δικαιώματα των υποκειμένων των δεδομένων που απαριθμούνται στο άρθρο 4 του PIPA και εξειδικεύονται περαιτέρω στα άρθρα 35 έως 37, 39 και 39-2 του PIPA.

(75)

Πρώτον, τα φυσικά πρόσωπα έχουν δικαιώματα ενημέρωσης και πρόσβασης. Όταν ο υπεύθυνος επεξεργασίας έχει συλλέξει δεδομένα προσωπικού χαρακτήρα από τρίτο —όπως θα συμβαίνει πάντα όταν τα δεδομένα διαβιβάζονται από την Ένωση—, τα υποκείμενα των δεδομένων έχουν κατά κανόνα το δικαίωμα να λάβουν πληροφορίες σχετικά με 1) την «πηγή» των δεδομένων προσωπικού χαρακτήρα που συλλέχθηκαν (δηλαδή αυτόν που τα διαβίβασε), 2) τον σκοπό της επεξεργασίας και 3) το γεγονός ότι το υποκείμενο των δεδομένων δικαιούται να ζητήσει την αναστολή της επεξεργασίας (άρθρο 20 παράγραφος 1 του PIPA). Ισχύουν περιορισμένες εξαιρέσεις, και συγκεκριμένα αν η εν λόγω κοινοποίηση ενδέχεται να βλάψει τη ζωή ή τη σωματική ακεραιότητα άλλου προσώπου, ή «βλάπτει αδικαιολόγητα τα περιουσιακά και άλλα συμφέροντα» άλλου προσώπου, αλλά μόνο αν τα εν λόγω συμφέροντα τρίτου «υπερέχουν σαφώς» των δικαιωμάτων του υποκειμένου των δεδομένων (άρθρο 20 παράγραφος 4 σημείο 2 του PIPA).

(76)

Επιπλέον, το άρθρο 35 παράγραφοι 1 και 3 του PIPA σε συνδυασμό με το άρθρο 41 παράγραφος 4 του διατάγματος εφαρμογής του PIPA παρέχει στα υποκείμενα των δεδομένων το δικαίωμα πρόσβασης στις προσωπικές τους πληροφορίες (96). Το δικαίωμα πρόσβασης καλύπτει την επιβεβαίωση της επεξεργασίας, τις πληροφορίες σχετικά με το είδος των δεδομένων που υποβάλλονται σε επεξεργασία, τον σκοπό της επεξεργασίας, την περίοδο διατήρησης, καθώς και κάθε τυχόν κοινοποίηση σε τρίτο, και την παροχή αντιγράφου των προσωπικών πληροφοριών που υποβάλλονται σε επεξεργασία (άρθρο 4 σημείο 3 του PIPA σε συνδυασμό με το άρθρο 41 παράγραφος 1 του διατάγματος εφαρμογής του PIPA) (97). Η πρόσβαση είναι δυνατόν να περιοριστεί (μερική πρόσβαση) (98) ή να απορριφθεί μόνο αν αυτό προβλέπεται από τον νόμο (99), αν ενδέχεται να προκαλέσει βλάβη στη ζωή ή τη σωματική ακεραιότητα τρίτου ή αδικαιολόγητη προσβολή περιουσιακών στοιχείων και άλλων συμφερόντων άλλου προσώπου (άρθρο 35 παράγραφος 4 του PIPA) (100). Αυτό συνεπάγεται ότι πρέπει να γίνεται στάθμιση μεταξύ των συνταγματικά προστατευόμενων δικαιωμάτων και ελευθεριών του φυσικού προσώπου, αφενός, και άλλων προσώπων, αφετέρου. Όταν η πρόσβαση περιορίζεται ή απορρίπτεται, ο υπεύθυνος επεξεργασίας πρέπει να κοινοποιήσει στο υποκείμενο των δεδομένων τους σχετικούς λόγους και τον τρόπο προσφυγής κατά της απόφασης (άρθρο 41 παράγραφος 5, άρθρο 42 παράγραφος 2 του διατάγματος εφαρμογής του PIPA).

(77)

Δεύτερον, τα υποκείμενα των δεδομένων έχουν δικαίωμα στη διόρθωση ή στη διαγραφή (101) των δεδομένων προσωπικού χαρακτήρα τους «εκτός εάν ειδικά προβλέπεται διαφορετικά από άλλους νόμους» (άρθρο 36 παράγραφοι 1 και 2 του PIPA) (102). Μετά τη λήψη αιτήματος, ο υπεύθυνος επεξεργασίας πρέπει να διερευνήσει το θέμα χωρίς καθυστέρηση, να λάβει τα αναγκαία μέτρα (103) και να ενημερώσει σχετικά το υποκείμενο των δεδομένων εντός 10 ημερών· αν το αίτημα δεν μπορεί να ικανοποιηθεί, η εν λόγω απαίτηση κοινοποίησης καλύπτει τους λόγους της άρνησης και τον τρόπο άσκησης προσφυγής (βλ. άρθρο 36 παράγραφος 4 του PIPA σε συνδυασμό με το άρθρο 43 παράγραφος 3 του διατάγματος εφαρμογής του PIPA) (104).

(78)

Τέλος, τα υποκείμενα των δεδομένων έχουν το δικαίωμα να ζητήσουν την αναστολή της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που τα αφορούν, χωρίς καθυστέρηση (105), εκτός εάν εφαρμόζεται μία από τις απαριθμούμενες εξαιρέσεις (άρθρο 37 παράγραφοι 1 και 2 του PIPA) (106). Ο υπεύθυνος επεξεργασίας μπορεί να αρνηθεί το αίτημα 1) αν αυτό επιτρέπεται ρητά από τον νόμο ή είναι αναγκαίο («αναπόφευκτο») για τη συμμόρφωση με νομικές υποχρεώσεις, 2) αν η αναστολή θα μπορούσε να προκαλέσει βλάβη στη ζωή ή στη σωματική ακεραιότητα τρίτου ή αδικαιολόγητη προσβολή περιουσιακών και άλλων συμφερόντων άλλου προσώπου, 3) αν θα ήταν αδύνατο για δημόσιο φορέα να εκτελέσει τα καθήκοντά του που προβλέπονται από τον νόμο χωρίς την επεξεργασία των πληροφοριών ή 4) αν το υποκείμενο των δεδομένων δεν καταγγέλλει ρητά τη σχετική σύμβαση με τον υπεύθυνο επεξεργασίας, παρόλο που θα ήταν ανέφικτη η εκτέλεση της σύμβασης χωρίς την εν λόγω επεξεργασία δεδομένων. Στην περίπτωση αυτή, ο υπεύθυνος επεξεργασίας πρέπει να κοινοποιήσει χωρίς καθυστέρηση στο υποκείμενο των δεδομένων τους λόγους άρνησης και τον τρόπο άσκησης προσφυγής (άρθρο 37 παράγραφος 2 του PIPA σε συνδυασμό με το άρθρο 44 παράγραφος 2 του διατάγματος εφαρμογής του PIPA). Σύμφωνα με το άρθρο 37 παράγραφος 4 του PIPA, ο υπεύθυνος επεξεργασίας πρέπει, χωρίς καθυστέρηση, «να λαμβάνει τα αναγκαία μέτρα, συμπεριλαμβανομένης της καταστροφής των σχετικών προσωπικών πληροφοριών», όταν συμμορφώνεται με το αίτημα αναστολής (107).

(79)

Το δικαίωμα αναστολής ισχύει επίσης όταν δεδομένα προσωπικού χαρακτήρα χρησιμοποιούνται για σκοπούς άμεσης εμπορικής προώθησης, δηλαδή για την προώθηση αγαθών ή υπηρεσιών ή για την προσέλκυση αγοραστών τους. Επιπλέον, η εν λόγω περαιτέρω επεξεργασία απαιτεί κατά κανόνα την ειδική (πρόσθετη) συγκατάθεση του υποκειμένου των δεδομένων (βλ. άρθρο 15 παράγραφος 1 σημείο 1, άρθρο 17 παράγραφος 2 σημείο 1 του PIPA) (108). Όταν ζητεί τη συγκατάθεση αυτή, ο υπεύθυνος επεξεργασίας πρέπει να ενημερώνει το υποκείμενο των δεδομένων ιδίως για την προβλεπόμενη χρήση των δεδομένων για σκοπούς άμεσης εμπορικής προώθησης —δηλαδή για το γεγονός ότι ενδέχεται να επικοινωνήσει μαζί του για να προωθήσει αγαθά ή υπηρεσίες ή να ζητήσει την αγορά τους— με «ρητά αναγνωρίσιμο τρόπο» (άρθρο 22 παράγραφοι 2 και 4 του PIPA σε συνδυασμό με το άρθρο 17 παράγραφος 2 σημείο 1 του διατάγματος εφαρμογής του PIPA).

(80)

Προκειμένου να διευκολύνεται η άσκηση των ατομικών δικαιωμάτων, ο υπεύθυνος επεξεργασίας πρέπει να θεσπίζει ειδικές διαδικασίες και να τις ανακοινώνει δημοσίως (άρθρο 38 παράγραφος 4 του PIPA) (109). Αυτό περιλαμβάνει διαδικασίες για την υποβολή αντιρρήσεων κατά της απόρριψης αιτήματος (άρθρο 38 παράγραφος 5 του PIPA). Ο υπεύθυνος επεξεργασίας πρέπει να διασφαλίζει ότι η διαδικασία για την άσκηση των δικαιωμάτων είναι «φιλική προς το υποκείμενο των δεδομένων» και δεν είναι πιο δύσκολη από εκείνη για τη συλλογή των δεδομένων προσωπικού χαρακτήρα· αυτό περιλαμβάνει επίσης την υποχρέωση παροχής πληροφοριών σχετικά με τη διαδικασία στον ιστότοπό του (άρθρο 41 παράγραφος 2, άρθρο 43 παράγραφος 1 και άρθρο 44 παράγραφος 1 του διατάγματος εφαρμογής του PIPA) (110). Τα φυσικά πρόσωπα μπορούν να εξουσιοδοτήσουν εκπρόσωπο να υποβάλει τέτοιο αίτημα (άρθρο 38 παράγραφος 1 του PIPA σε συνδυασμό με το άρθρο 45 του διατάγματος εφαρμογής του PIPA). Μολονότι ο υπεύθυνος επεξεργασίας δικαιούται να επιβάλλει τέλος (και, στην περίπτωση αιτήματος αποστολής αντιγράφων δεδομένων προσωπικού χαρακτήρα, ταχυδρομικά έξοδα), το ποσό πρέπει να καθορίζεται «στο πλαίσιο των πραγματικών δαπανών που απαιτούνται για την επεξεργασία [του αιτήματος]»· δεν μπορεί να επιβληθεί τέλος (ούτε ταχυδρομικά έξοδα) όταν η αιτία για την υποβολή του αιτήματος προκληθεί από τον υπεύθυνο επεξεργασίας (άρθρο 38 παράγραφος 3 του PIPA σε συνδυασμό με το άρθρο 47 του διατάγματος εφαρμογής του PIPA).

(81)

Ο PIPA και το διάταγμα εφαρμογής του δεν περιέχουν γενικές διατάξεις που να ρυθμίζουν το ζήτημα των αποφάσεων που έχουν αντίκτυπο στο υποκείμενο των δεδομένων και βασίζονται αποκλειστικά στην αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα. Ωστόσο, όσον αφορά τα δεδομένα προσωπικού χαρακτήρα που έχουν συλλεχθεί στην Ένωση, οι αποφάσεις που βασίζονται σε αυτοματοποιημένη επεξεργασία λαμβάνονται συνήθως από τον υπεύθυνο επεξεργασίας στην Ένωση (ο οποίος έχει άμεση σχέση με το οικείο υποκείμενο των δεδομένων) και, συνεπώς, εμπίπτουν στις διατάξεις του κανονισμού (ΕΕ) 2016/679 (111). Εδώ περιλαμβάνονται οι περιπτώσεις διαβίβασης στις οποίες η επεξεργασία πραγματοποιείται από επιχειρηματικό φορέα της αλλοδαπής (π.χ. της Κορέας) ο οποίος ενεργεί ως εντολοδόχος (εκτελών την επεξεργασία) για λογαριασμό του υπευθύνου επεξεργασίας στην Ένωση (ή ως υπεργολάβος για λογαριασμό του εκτελούντα την επεξεργασία στην Ένωση ο οποίος έλαβε τα δεδομένα από υπεύθυνο επεξεργασίας στην Ένωση που συνέλεξε), ο οποίος σε αυτή τη βάση λαμβάνει τότε την απόφαση. Συνεπώς, η απουσία συγκεκριμένων κανόνων σχετικά με την αυτοματοποιημένη λήψη αποφάσεων στον PIPA δεν είναι πιθανόν να επηρεάσει το επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται βάσει της παρούσας απόφασης.

(82)

Κατ’ εξαίρεση, οι διατάξεις σχετικά με τη διαφάνεια κατόπιν αιτήματος (άρθρο 20) και τα ατομικά δικαιώματα (άρθρα 35 έως 37), καθώς και σχετικά με την απαίτηση ατομικής κοινοποίησης για τους παρόχους υπηρεσιών πληροφοριών και επικοινωνιών (άρθρο 39-8 του PIPA) δεν εφαρμόζονται όσον αφορά τις ψευδωνυμοποιημένες πληροφορίες, όταν υποβάλλονται σε επεξεργασία για σκοπούς στατιστικής, επιστημονικής έρευνας ή αρχειοθέτησης προς το δημόσιο συμφέρον (άρθρο 28-7 του PIPA) (112). Σε ευθυγράμμιση με την προσέγγιση του άρθρου 11 παράγραφος 2 (σε συνδυασμό με την αιτιολογική σκέψη 57) του κανονισμού (ΕΕ) 2016/679, αυτό δικαιολογείται από το γεγονός ότι, για να διασφαλιστεί η διαφάνεια ή να χορηγηθούν ατομικά δικαιώματα, ο υπεύθυνος επεξεργασίας θα έπρεπε να προσδιορίσει αν (και, εάν ναι, ποια) δεδομένα σχετίζονται με το πρόσωπο που υποβάλλει το αίτημα, κάτι που απαγορεύεται ρητά βάσει του PIPA (άρθρο 28-5 παράγραφος 1 του PIPA). Επιπλέον, αν η εν λόγω επαναταυτοποίηση συνεπάγεται την αναστροφή της ψευδωνυμοποίησης για ολόκληρο το (ψευδωνυμοποιημένο) σύνολο δεδομένων, θα εξέθετε τις προσωπικές πληροφορίες όλων των άλλων σχετικών φυσικών προσώπων σε αυξημένους κινδύνους. Μολονότι ο κανονισμός (ΕΕ) 2016/679 αναφέρεται σε καταστάσεις στις οποίες η επαναταυτοποίηση είναι πρακτικά αδύνατη, ο PIPA υιοθετεί αυστηρότερη προσέγγιση απαγορεύοντας ρητά την επαναταυτοποίηση σε όλες τις περιπτώσεις επεξεργασίας ψευδωνυμοποιημένων πληροφοριών.

(83)

Ως εκ τούτου, το κορεατικό σύστημα, όπως περιγράφεται στις αιτιολογικές σκέψεις 74 έως 82 περιλαμβάνει κανόνες σχετικά με τα δικαιώματα των υποκειμένων των δεδομένων οι οποίοι παρέχουν επίπεδο προστασίας ουσιωδώς ισοδύναμο με εκείνο που προβλέπεται στον κανονισμό (ΕΕ) 2016/679.

(84)

Το επίπεδο προστασίας που παρέχεται στα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται από την Ένωση σε υπευθύνους επεξεργασίας στη Δημοκρατία της Κορέας δεν πρέπει να υπονομεύεται από την περαιτέρω διαβίβαση των εν λόγω δεδομένων σε αποδέκτες σε τρίτη χώρα.

(85)

Οι εν λόγω «περαιτέρω διαβιβάσεις» συνιστούν διεθνείς διαβιβάσεις από τη Δημοκρατία της Κορέας από τη σκοπιά του Κορεάτη υπευθύνου επεξεργασίας. Στο πλαίσιο αυτό, ο PIPA κάνει διάκριση μεταξύ της εξωτερικής ανάθεσης της επεξεργασίας σε λήπτη της εξωτερικής ανάθεσης (δηλαδή εκτελούντα την επεξεργασία) και της παροχής δεδομένων προσωπικού χαρακτήρα σε τρίτους (113).

(86)

Πρώτον, όταν η επεξεργασία δεδομένων προσωπικού χαρακτήρα ανατίθεται εξωτερικά σε οντότητα εγκατεστημένη σε τρίτη χώρα, ο Κορεάτης υπεύθυνος επεξεργασίας πρέπει να διασφαλίζει τη συμμόρφωση με τις διατάξεις του PIPA σχετικά με την εξωτερική ανάθεση (άρθρο 26 του PIPA). Αυτό περιλαμβάνει την κατάρτιση νομικά δεσμευτικής πράξης η οποία, μεταξύ άλλων, περιορίζει την επεξεργασία από τον λήπτη της ανάθεσης στον σκοπό του έργου που έχει ανατεθεί εξωτερικά, επιβάλλει τεχνικές και διαχειριστικές εγγυήσεις και περιορίζει την υπεργολαβία επεξεργασίας (βλ. άρθρο 26 παράγραφος 1 του PIPA)· και τη δημοσίευση πληροφοριών σχετικά με το έργο που έχει ανατεθεί εξωτερικά. Επιπλέον, ο υπεύθυνος επεξεργασίας υποχρεούται να «εκπαιδεύει» τον λήπτη της ανάθεσης όσον αφορά τα αναγκαία μέτρα ασφάλειας και να εποπτεύει, μεταξύ άλλων μέσω επιθεωρήσεων, τη συμμόρφωση με όλες τις υποχρεώσεις του υπευθύνου επεξεργασίας βάσει του PIPA (114), καθώς και βάσει της σύμβασης εξωτερικής ανάθεσης.

(87)

Εάν ο λήπτης της εξωτερικής ανάθεσης προκαλέσει ζημία κατά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα κατά παράβαση του PIPA, αυτή θα καταλογιστεί στον υπεύθυνο επεξεργασίας για λόγους ευθύνης, όπως θα ίσχυε στην περίπτωση υπαλλήλου του υπευθύνου επεξεργασίας (άρθρο 26 παράγραφος 6 του PIPA). Ως εκ τούτου, ο Κορεάτης υπεύθυνος επεξεργασίας παραμένει υπεύθυνος για τα δεδομένα προσωπικού χαρακτήρα τα οποία αφορά η εξωτερική ανάθεση και πρέπει να διασφαλίζει ότι ο εκτελών την επεξεργασία στο εξωτερικό επεξεργάζεται τα εν λόγω δεδομένα σύμφωνα με τον PIPA. Εάν ο λήπτης της εξωτερικής ανάθεσης επεξεργάζεται τις πληροφορίες κατά παράβαση του PIPA, ο Κορεάτης υπεύθυνος επεξεργασίας μπορεί να θεωρηθεί υπαίτιος για μη συμμόρφωση με την υποχρέωσή του να διασφαλίζει τη συμμόρφωση με τον PIPA, π.χ. μέσω της εποπτείας του λήπτη της ανάθεσης. Οι εγγυήσεις που περιλαμβάνονται στη σύμβαση εξωτερικής ανάθεσης και η ευθύνη του Κορεάτη υπευθύνου επεξεργασίας για τις ενέργειες του λήπτη της εξωτερικής ανάθεσης διασφαλίζουν τη συνέχεια της προστασίας όταν η επεξεργασία δεδομένων προσωπικού χαρακτήρα ανατίθεται εξωτερικά σε οντότητα εκτός της Κορέας.

(88)

Δεύτερον, οι Κορεάτες υπεύθυνοι επεξεργασίας είναι δυνατόν να παρέχουν δεδομένα προσωπικού χαρακτήρα σε τρίτο που βρίσκεται εκτός Κορέας. Μολονότι ο PIPA περιλαμβάνει διάφορους νομικούς λόγους που επιτρέπουν την παροχή σε τρίτους εν γένει, εάν ο τρίτος βρίσκεται εκτός της Κορέας, ο υπεύθυνος επεξεργασίας πρέπει καταρχήν (115) να εξασφαλίσει τη συγκατάθεση (116) του υποκειμένου των δεδομένων αφού παράσχει στο υποκείμενο των δεδομένων πληροφορίες σχετικά με 1) το είδος των δεδομένων προσωπικού χαρακτήρα, 2) τον αποδέκτη των δεδομένων προσωπικού χαρακτήρα, 3) τον σκοπό της διαβίβασης υπό την έννοια του σκοπού της επεξεργασίας που επιδιώκει ο αποδέκτης, 4) την περίοδο διατήρησης για επεξεργασία από τον αποδέκτη, καθώς και 5) το γεγονός ότι το υποκείμενο των δεδομένων μπορεί να αρνηθεί τη συγκατάθεσή του (άρθρο 17 παράγραφοι 2, 3 του PIPA). Η κοινοποίηση αριθ. 2021-5, στο τμήμα της που αφορά τη διαφάνεια (βλ. αιτιολογική σκέψη 70), απαιτεί την ενημέρωση των φυσικών προσώπων σχετικά με την τρίτη χώρα στην οποία θα διαβιβαστούν τα δεδομένα τους. Με τον τρόπο αυτό διασφαλίζεται ότι τα υποκείμενα των δεδομένων στην Ένωση μπορούν να αποφασίζουν με πλήρη επίγνωση αν θα συγκατατεθούν ή όχι στη διαβίβαση των δεδομένων τους στο εξωτερικό. Επιπλέον, ο υπεύθυνος επεξεργασίας δεν πρέπει να συνάψει σύμβαση με τρίτο αποδέκτη κατά παράβαση του PIPA, πράγμα που σημαίνει ότι η σύμβαση δεν πρέπει να περιέχει υποχρεώσεις που αντιβαίνουν στις απαιτήσεις που επιβάλλει ο PIPA στον υπεύθυνο επεξεργασίας (117).

(89)

Χωρίς τη συγκατάθεση του φυσικού προσώπου, τα δεδομένα προσωπικού χαρακτήρα μπορούν να παρασχεθούν σε τρίτο (στο εξωτερικό) αν ο σκοπός της κοινοποίησης παραμένει «εντός της έκτασης που συνδέεται εύλογα» με τον αρχικό σκοπό της συλλογής (άρθρο 17 παράγραφος 4 του PIPA, βλ. αιτιολογική σκέψη 36). Ωστόσο, προκειμένου να αποφασίσει αν θα κοινοποιήσει δεδομένα προσωπικού χαρακτήρα για σκοπό που «συνδέεται», ο υπεύθυνος επεξεργασίας πρέπει να εξετάσει αν η κοινοποίηση προκαλεί μειονεκτήματα στο φυσικό πρόσωπο και αν έχουν ληφθεί τα αναγκαία μέτρα ασφάλειας (π.χ. κρυπτογράφηση). Δεδομένου ότι η τρίτη χώρα στην οποία διαβιβάζονται δεδομένα προσωπικού χαρακτήρα ενδέχεται να μην προσφέρει προστασία παρόμοια με εκείνη που παρέχεται βάσει του PIPA, το τμήμα 2 της κοινοποίησης αριθ. 2021-5 αναγνωρίζει ότι τέτοια μειονεκτήματα μπορεί να προκύψουν και μπορούν να αποφευχθούν μόνο αν ο Κορεάτης υπεύθυνος επεξεργασίας και ο αποδέκτης στο εξωτερικό, μέσω νομικά δεσμευτικής πράξης (όπως σύμβασης), διασφαλίσουν επίπεδο προστασίας ισοδύναμο με αυτό του PIPA, μεταξύ άλλων όσον αφορά τα δικαιώματα των υποκειμένων των δεδομένων.

(90)

Ειδικοί κανόνες ισχύουν για την «εκτός σκοπού» κοινοποίηση, δηλαδή την παροχή δεδομένων σε τρίτο για νέο (άσχετο) σκοπό, η οποία μπορεί να πραγματοποιηθεί μόνο στη βάση κάποιου από τους λόγους του άρθρου 18 παράγραφος 2 του PIPA, όπως περιγράφεται στην αιτιολογική σκέψη 39. Ωστόσο, ακόμη και υπό αυτές τις προϋποθέσεις, αποκλείεται η παροχή σε τρίτο εάν ενδέχεται να «προσβάλει αδικαιολόγητα» τα συμφέροντα του υποκειμένου των δεδομένων ή τρίτου, κρίση που απαιτεί στάθμιση συμφερόντων. Επιπλέον, κατά το άρθρο 18 παράγραφος 5 του PIPA, ο υπεύθυνος επεξεργασίας πρέπει να εφαρμόζει πρόσθετες εγγυήσεις, οι οποίες μπορεί να περιλαμβάνουν αίτημα προς τον τρίτο να περιορίσει τον σκοπό και τη μέθοδο επεξεργασίας ή να λάβει ειδικά μέτρα ασφάλειας. Και σε αυτή την περίπτωση, δεδομένου ότι η τρίτη χώρα στην οποία διαβιβάζονται τα δεδομένα προσωπικού χαρακτήρα μπορεί να μην προσφέρει προστασία παρόμοια με εκείνη που παρέχεται βάσει του PIPA, το τμήμα 2 της κοινοποίησης αριθ. 2021-5 αναγνωρίζει ότι τέτοια αδικαιολόγητη προσβολή των συμφερόντων του φυσικού προσώπου ή τρίτου μπορεί να προκύψει και μπορεί να αποφευχθεί μόνο αν ο Κορεάτης υπεύθυνος επεξεργασίας και ο αποδέκτης στο εξωτερικό, μέσω νομικά δεσμευτικής πράξης (όπως σύμβασης), διασφαλίσουν επίπεδο προστασίας ισοδύναμο με εκείνο του PIPA, μεταξύ άλλων όσον αφορά τα δικαιώματα των υποκειμένων των δεδομένων.

(91)

Οι κανόνες που περιγράφονται στις αιτιολογικές σκέψεις 86 έως 90 εξασφαλίζουν, επομένως, τη συνέχεια της προστασίας όταν τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται περαιτέρω (σε «λήπτη της ανάθεσης» ή τρίτο) από τη Δημοκρατία της Κορέας κατά τρόπο ουσιωδώς ισοδύναμο με εκείνον που προβλέπεται στον κανονισμό (ΕΕ) 2016/679.

(92)

Βάσει της αρχής της λογοδοσίας, οι οντότητες που επεξεργάζονται δεδομένα πρέπει να εφαρμόζουν τα κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να συμμορφώνονται ουσιαστικά με τις υποχρεώσεις τους όσον αφορά την προστασία των δεδομένων και να είναι σε θέση να αποδεικνύουν τη συμμόρφωσή τους, ιδίως στην αρμόδια εποπτική αρχή.

(93)

Σύμφωνα με το άρθρο 3 παράγραφοι 6 και 8 του PIPA, ο υπεύθυνος επεξεργασίας πρέπει να επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα «κατά τρόπο ώστε να ελαχιστοποιείται η πιθανότητα παραβίασης» της ιδιωτικής ζωής του υποκειμένου των δεδομένων και να προσπαθεί να εξασφαλίζει την εμπιστοσύνη του υποκειμένου των δεδομένων τηρώντας και εκπληρώνοντας τα καθήκοντα και τις υποχρεώσεις που προβλέπονται από τον PIPA και τη λοιπή συναφή νομοθεσία. Αυτό περιλαμβάνει την κατάρτιση εσωτερικού σχεδίου διαχείρισης (άρθρο 29 του PIPA), καθώς και την κατάλληλη κατάρτιση και εποπτεία του προσωπικού (άρθρο 28 του PIPA).

(94)

Ως μέσο για τη διασφάλιση της λογοδοσίας, το άρθρο 31 του PIPA σε συνδυασμό με το άρθρο 32 του διατάγματος εφαρμογής του PIPA υποχρεώνει τους υπευθύνους επεξεργασίας να ορίζουν υπεύθυνο για την προστασία της ιδιωτικής ζωής, ο οποίος «αναλαμβάνει πλήρως την επεξεργασία προσωπικών πληροφοριών». Ειδικότερα, ο εν λόγω υπεύθυνος προστασίας της ιδιωτικής ζωής είναι επιφορτισμένος να εκτελεί τα ακόλουθα καθήκοντα: 1) εκπόνηση και εφαρμογή σχεδίου προστασίας των δεδομένων προσωπικού χαρακτήρα και κατάρτιση πολιτικής για την προστασία της ιδιωτικής ζωής, 2) διενέργεια τακτικών ερευνών σχετικά με την κατάσταση και τις πρακτικές επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, με σκοπό τη βελτίωση τυχόν ελλείψεων, 3) χειρισμός των καταγγελιών και αποζημιώσεις προς επανόρθωση, 4) καθιέρωση συστήματος εσωτερικού ελέγχου για την πρόληψη της κοινολόγησης, της κατάχρησης ή της κακής χρήσης δεδομένων προσωπικού χαρακτήρα, 5) κατάρτιση και εφαρμογή εκπαιδευτικού προγράμματος, 6) προστασία, έλεγχος και διαχείριση των αρχείων δεδομένων προσωπικού χαρακτήρα και 7) καταστροφή των δεδομένων προσωπικού χαρακτήρα μόλις επιτευχθεί ο σκοπός της επεξεργασίας ή λήξει η περίοδος διατήρησης. Κατά την εκτέλεση των καθηκόντων αυτών, ο υπεύθυνος για την προστασία της ιδιωτικής ζωής μπορεί να επιθεωρεί την κατάσταση των συστημάτων επεξεργασίας δεδομένων προσωπικού χαρακτήρα και των συναφών συστημάτων και να ζητεί σχετικές πληροφορίες (άρθρο 31 παράγραφος 3 του PIPA). Εάν ο υπεύθυνος προστασίας της ιδιωτικής ζωής αντιληφθεί οποιαδήποτε παράβαση του PIPA ή άλλου σχετικού νομοθετήματος για την προστασία των δεδομένων, λαμβάνει αμέσως διορθωτικά μέτρα και τα αναφέρει στη διοίκηση («επικεφαλής») του υπευθύνου επεξεργασίας, εφόσον απαιτείται (άρθρο 31 παράγραφος 4 του PIPA). Σύμφωνα με το άρθρο 31 παράγραφος 5 του PIPA, ο υπεύθυνος προστασίας της ιδιωτικής ζωής δεν πρέπει να υφίσταται αδικαιολόγητα μειονεκτήματα ως συνέπεια της άσκησης των εν λόγω καθηκόντων.

(95)

Επιπλέον, οι υπεύθυνοι επεξεργασίας πρέπει να καταβάλλουν προορατικές προσπάθειες για τη διενέργεια εκτίμησης των επιπτώσεων στην προστασία της ιδιωτικής ζωής σε περίπτωση που η λειτουργία αρχείων δεδομένων προσωπικού χαρακτήρα ενέχει κίνδυνο για την ιδιωτική ζωή (άρθρο 33 παράγραφος 8 του PIPA). Με βάση το άρθρο 33 παράγραφοι 1 και 2 του PIPA σε συνδυασμό με τα άρθρα 35, 36 και 38 του διατάγματος εφαρμογής του PIPA, παράγοντες όπως το είδος και η φύση των δεδομένων που υποβάλλονται σε επεξεργασία (ιδίως εάν πρόκειται για ευαίσθητες πληροφορίες), ο όγκος τους, η περίοδος διατήρησής τους και η πιθανότητα παραβίασης των δεδομένων θα έχουν σημασία για την αξιολόγηση του βαθμού κινδύνου για τα δικαιώματα των υποκειμένων των δεδομένων. Σκοπός της εκτίμησης των επιπτώσεων στην ιδιωτική ζωή είναι να διασφαλίζεται ότι αναλύονται οι παράγοντες κινδύνου για την προστασία της ιδιωτικής ζωής, καθώς και τα τυχόν μέτρα ασφάλειας ή άλλα αντίμετρα, και να επισημαίνονται τα θέματα που χρήζουν βελτίωσης (βλ. άρθρο 33 παράγραφος 1 του PIPA σε συνδυασμό με το άρθρο 38 του διατάγματος εφαρμογής του PIPA).

(96)

Οι δημόσιοι φορείς υποχρεούνται να διενεργούν εκτίμηση των επιπτώσεων κατά την επεξεργασία ορισμένων αρχείων δεδομένων προσωπικού χαρακτήρα που ενέχουν υψηλότερο κίνδυνο για πιθανές παραβιάσεις της ιδιωτικής ζωής (άρθρο 33 παράγραφος 1 του PIPA). Σύμφωνα με το άρθρο 35 του διατάγματος εφαρμογής του PIPA, αυτό ισχύει, μεταξύ άλλων, για τα αρχεία που περιέχουν ευαίσθητες πληροφορίες για τουλάχιστον 50 000 υποκείμενα δεδομένων, τα αρχεία που θα αντιστοιχιστούν με άλλα αρχεία και, ως αποτέλεσμα αυτού, θα περιέχουν πληροφορίες για τουλάχιστον 500 000 υποκείμενα δεδομένων και τα αρχεία που περιέχουν πληροφορίες για τουλάχιστον ένα εκατομμύριο υποκείμενα δεδομένων. Το αποτέλεσμα της εκτίμησης των επιπτώσεων που διενεργείται από δημόσιο φορέα πρέπει να κοινοποιείται στην PIPC (άρθρο 33 παράγραφος 1 του PIPA), η οποία μπορεί να γνωμοδοτήσει (άρθρο 33 παράγραφος 3 του PIPA).

(97)

Τέλος, το άρθρο 13 του PIPA προβλέπει ότι η PIPC θεσπίζει τις πολιτικές που είναι αναγκαίες για την προώθηση και την υποστήριξη «αυτορρυθμιστικών δραστηριοτήτων προστασίας των δεδομένων» από τους υπευθύνους επεξεργασίας, μεταξύ άλλων μέσω της εκπαίδευσης σχετικά με την προστασία των δεδομένων, της προώθησης και της υποστήριξης των οργανισμών που ασχολούνται με την προστασία των δεδομένων, καθώς και μέσω της παροχής βοήθειας στους υπευθύνους επεξεργασίας για την καθιέρωση και εφαρμογή κανόνων αυτορρύθμισης. Επιπλέον, εισάγει και διευκολύνει το σύστημα σήματος ePRIVACY. Στο πλαίσιο αυτό, το άρθρο 32-2 του PIPA σε συνδυασμό με τα άρθρα 34-2 έως 34-8 του διατάγματος εφαρμογής του PIPA προβλέπει τη δυνατότητα πιστοποίησης ότι το σύστημα ή τα συστήματα επεξεργασίας και προστασίας δεδομένων προσωπικού χαρακτήρα του υπευθύνου επεξεργασίας συμμορφώνονται με τις απαιτήσεις του PIPA. Σύμφωνα με τους εν λόγω κανόνες, μπορεί να χορηγηθεί πιστοποίηση (118) (για περίοδο 3 ετών) εάν ο υπεύθυνος επεξεργασίας πληροί τα κριτήρια πιστοποίησης που καθορίζονται από την PIPC, συμπεριλαμβανομένης της καθιέρωσης διαχειριστικών, τεχνικών και υλικών εγγυήσεων για την προστασία των δεδομένων προσωπικού χαρακτήρα (119). Η PIPC πρέπει να εξετάζει τα συστήματα του υπευθύνου επεξεργασίας που έχουν σημασία για την πιστοποίηση τουλάχιστον μία φορά ετησίως για τη διατήρηση της ισχύος της, γεγονός που μπορεί να οδηγήσει σε ανάκληση της πιστοποίησης (άρθρο 32 παράγραφος 4 του PIPA σε συνδυασμό με το άρθρο 34-5 του διατάγματος εφαρμογής του PIPA· η λεγόμενη «διαχείριση παρακολούθησης»).

(98)

Ως εκ τούτου, το κορεατικό πλαίσιο εφαρμόζει την αρχή της λογοδοσίας κατά τρόπο που διασφαλίζει επίπεδο προστασίας ουσιωδώς ισοδύναμο με εκείνο που προβλέπεται στον κανονισμό (ΕΕ) 2016/679, μεταξύ άλλων με την πρόβλεψη διαφορετικών μηχανισμών για τη διασφάλιση και την απόδειξη της συμμόρφωσης με τον PIPA.

(99)

Όπως περιγράφεται στην αιτιολογική σκέψη 13, ο CIA θεσπίζει ειδικούς κανόνες για την επεξεργασία προσωπικών πιστωτικών πληροφοριών από εμπορικούς φορείς. Κατά την επεξεργασία προσωπικών πιστωτικών πληροφοριών, οι εμπορικοί φορείς πρέπει συνεπώς να συμμορφώνονται με τις γενικές απαιτήσεις του PIPA, εκτός εάν ο CIA περιέχει ειδικότερους κανόνες. Αυτό συμβαίνει, για παράδειγμα, όταν επεξεργάζονται πληροφορίες που αφορούν πιστωτική κάρτα ή τραπεζικό λογαριασμό στο πλαίσιο εμπορικής συναλλαγής με φυσικό πρόσωπο. Ως τομεακή νομοθεσία για την επεξεργασία των πιστωτικών πληροφοριών (τόσο των προσωπικών όσο και των μη προσωπικών), ο CIA όχι μόνο επιβάλλει ειδικές εγγυήσεις για την προστασία των δεδομένων (για παράδειγμα όσον αφορά τη διαφάνεια και την ασφάλεια), αλλά και γενικότερα ρυθμίζει τις ειδικές περιστάσεις υπό τις οποίες μπορούν να υποβάλλονται σε επεξεργασία οι προσωπικές πιστωτικές πληροφορίες. Αυτό αντικατοπτρίζεται, ιδίως, στις λεπτομερείς απαιτήσεις για τη χρήση, την παροχή δεδομένων σε τρίτο και τη διατήρηση των δεδομένων αυτών.

(100)

Όπως και ο PIPA, ο CIA αντικατοπτρίζει την αρχή της νομιμότητας και της αναλογικότητας. Πρώτον, ως γενική απαίτηση, το άρθρο 15 παράγραφος 1 του CIA επιτρέπει τη συλλογή προσωπικών πιστωτικών πληροφοριών μόνο με εύλογα και θεμιτά μέσα και στον ελάχιστο βαθμό που απαιτείται για την εξυπηρέτηση συγκεκριμένου σκοπού, σύμφωνα με το άρθρο 3 παράγραφοι 1 και 2 του PIPA. Δεύτερον, ο CIA ρυθμίζει ειδικά τη νομιμότητα της επεξεργασίας προσωπικών πιστωτικών πληροφοριών, περιορίζοντας τη συλλογή, τη χρήση και την παροχή τους σε τρίτους και συνδέοντας εν γένει τις εν λόγω δραστηριότητες επεξεργασίας με την απαίτηση συγκατάθεσης του οικείου προσώπου.

(101)

Προσωπικές πιστωτικές πληροφορίες μπορούν να συλλέγονται για έναν από τους λόγους που προβλέπει ο PIPA ή για τους ειδικούς λόγους που ορίζονται στον CIA. Δεδομένου ότι το άρθρο 45 του κανονισμού (ΕΕ) 2016/679 προϋποθέτει διαβίβαση δεδομένων προσωπικού χαρακτήρα από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία στην Ένωση, αλλά δεν καλύπτει την απευθείας συλλογή (όπως από το φυσικό πρόσωπο ή από ιστότοπο) από υπεύθυνο επεξεργασίας στην Κορέα, μόνο η συγκατάθεση και οι λόγοι που προβλέπονται βάσει του PIPA έχουν σημασία για την παρούσα απόφαση. Στους λόγους αυτούς περιλαμβάνονται, ιδίως, οι περιπτώσεις στις οποίες η διαβίβαση είναι αναγκαία για την εκτέλεση σύμβασης με το φυσικό πρόσωπο ή για τα έννομα συμφέροντα του Κορεάτη υπευθύνου επεξεργασίας (άρθρο 15 παράγραφος 1 σημεία 4 και 6 του PIPA) (120).

(102)

Μετά τη συλλογή τους, οι προσωπικές πιστωτικές πληροφορίες μπορούν να χρησιμοποιηθούν 1) για τον αρχικό σκοπό για τον οποίο παρασχέθηκαν (απευθείας) από το φυσικό πρόσωπο (121)· 2) για σκοπό συμβατό με τον αρχικό σκοπό της συλλογής (122)· 3) για να καθοριστεί αν θα δημιουργηθεί ή διατηρηθεί εμπορική σχέση που ζήτησε το φυσικό πρόσωπο (123)· 4) για σκοπούς στατιστικής, έρευνας και αρχειοθέτησης προς το δημόσιο συμφέρον (124), εάν οι πληροφορίες είναι ψευδωνυμοποιημένες (125)· 5) αν ληφθεί περαιτέρω συγκατάθεση ή 6) σύμφωνα με τον νόμο.

(103)

Αν ένας εμπορικός φορέας προτίθεται να κοινοποιήσει σε τρίτο προσωπικές πιστωτικές πληροφορίες, πρέπει να λάβει τη συγκατάθεση (126) του φυσικού προσώπου αφού ενημερώσει το φυσικό πρόσωπο για τον αποδέκτη των δεδομένων, τον σκοπό της επεξεργασίας από τον αποδέκτη, τις λεπτομέρειες των δεδομένων που πρόκειται να παρασχεθούν, την περίοδο αποθήκευσης από τον αποδέκτη και το δικαίωμα άρνησης της συγκατάθεσης (άρθρο 32 παράγραφος 1 του CIA και άρθρο 28 παράγραφος 2 του διατάγματος εφαρμογής του CIA) (127). Η εν λόγω απαίτηση συγκατάθεσης δεν ισχύει σε συγκεκριμένες περιπτώσεις, και συγκεκριμένα όταν κοινοποιούνται προσωπικές πιστωτικές πληροφορίες (128): 1) σε λήπτη της ανάθεσης για σκοπούς εξωτερικής ανάθεσης (129)· 2) σε τρίτο σε περίπτωση μεταβίβασης, διάσπασης ή συγχώνευσης επιχείρησης· 3) για σκοπούς στατιστικής, έρευνας και αρχειοθέτησης προς το δημόσιο συμφέρον, όταν οι πληροφορίες είναι ψευδωνυμοποιημένες· 4) για σκοπό συμβατό με τον αρχικό σκοπό της συλλογής· 5) σε τρίτο που χρησιμοποιεί τις πληροφορίες για την είσπραξη οφειλής του φυσικού προσώπου (130)· 6) για τη συμμόρφωση με δικαστική απόφαση· 7) σε εισαγγελέα / αστυνομικό της δικαστικής αστυνομίας σε περίπτωση έκτακτης ανάγκης όταν η ζωή του φυσικού προσώπου διατρέχει κίνδυνο ή το φυσικό πρόσωπο αναμένεται να υποστεί σωματική βλάβη και δεν υπάρχει διαθέσιμος χρόνος για την έκδοση δικαστικού εντάλματος (131)· 8) στις αρμόδιες φορολογικές αρχές για τη συμμόρφωση με τη φορολογική νομοθεσία· ή 9) σύμφωνα με άλλους νόμους. Σε περίπτωση κοινοποίησης για έναν από τους λόγους αυτούς, το υποκείμενο των δεδομένων πρέπει να ενημερώνεται σχετικά εκ των προτέρων (άρθρο 32 παράγραφος 7 του CIA).

(104)

Ο CIA ρυθμίζει επίσης ειδικά τη διάρκεια της επεξεργασίας των προσωπικών πιστωτικών πληροφοριών βάσει ενός από τους λόγους αυτούς για χρήση ή παροχή σε τρίτο μετά τη λήξη της εμπορικής σχέσης με το φυσικό πρόσωπο (132). Μόνο οι πληροφορίες που ήταν απαραίτητες για τη σύναψη ή τη διατήρηση της εν λόγω σχέσης μπορούν να διατηρηθούν, υπό τον όρο της εφαρμογής πρόσθετων εγγυήσεων (πρέπει να διατηρούνται χωριστά από τις πιστωτικές πληροφορίες που αφορούν φυσικά πρόσωπα με τα οποία βρίσκεται σε εξέλιξη εμπορική σχέση, να προστατεύονται με ειδικά μέτρα ασφάλειας και να είναι προσβάσιμες μόνο από εξουσιοδοτημένα πρόσωπα) (133). Όλα τα υπόλοιπα δεδομένα πρέπει να διαγράφονται (άρθρο 17-2 παράγραφος 1 σημείο 2 του διατάγματος εφαρμογής του CIA). Για να καθοριστεί ποια δεδομένα ήταν απαραίτητα για την εμπορική σχέση, πρέπει να ληφθούν υπόψη διάφοροι παράγοντες, μεταξύ άλλων αν θα ήταν δυνατή η σύναψη της σχέσης χωρίς τα δεδομένα και αν σχετίζονται άμεσα με τα αγαθά ή τις υπηρεσίες που παρασχέθηκαν στο φυσικό πρόσωπο (άρθρο 17-2 παράγραφος 2 του διατάγματος εφαρμογής του CIA).

(105)

Ακόμη και στις περιπτώσεις κατά τις οποίες οι προσωπικές πιστωτικές πληροφορίες μπορούν καταρχήν να διατηρηθούν και μετά τη λήξη της εμπορικής σχέσης, πρέπει να διαγραφούν εντός τριών μηνών από την επίτευξη του σκοπού της περαιτέρω επεξεργασίας (134) ή, σε κάθε περίπτωση, ύστερα από πέντε έτη (άρθρο 20-2 του CIA). Σε περιορισμένο αριθμό περιπτώσεων, οι προσωπικές πιστωτικές πληροφορίες μπορούν να διατηρούνται για διάστημα μεγαλύτερο των πέντε ετών, και ειδικότερα αν είναι αναγκαίο για τη συμμόρφωση με νομική υποχρέωση· αν είναι αναγκαίο για τα ζωτικά συμφέροντα της ζωής, της σωματικής ακεραιότητας ή της περιουσίας φυσικού προσώπου· για την αρχειοθέτηση ψευδωνυμοποιημένων πληροφοριών (που χρησιμοποιήθηκαν για σκοπούς επιστημονικής έρευνας, στατιστικής ή αρχειοθέτησης προς το δημόσιο συμφέρον)· ή για σκοπούς ασφάλισης (ιδίως για ασφαλιστικές πληρωμές ή για την πρόληψη ασφαλιστικής απάτης) (135). Σε αυτές τις εξαιρετικές περιπτώσεις, ισχύουν ειδικές εγγυήσεις (όπως η ενημέρωση του φυσικού προσώπου για την περαιτέρω χρήση, ο διαχωρισμός των διατηρούμενων πληροφοριών από τις πληροφορίες που αφορούν φυσικά πρόσωπα με τα οποία εξακολουθεί να υπάρχει εμπορική σχέση, ο περιορισμός των δικαιωμάτων πρόσβασης, βλ. άρθρο 17-2 παράγραφοι 1 έως 2 του διατάγματος εφαρμογής του CIA).

(106)

O CIA διευκρινίζει επίσης περαιτέρω τις αρχές της ακρίβειας και της ποιότητας των δεδομένων, απαιτώντας οι προσωπικές πιστωτικές πληροφορίες να «καταχωρίζονται, τροποποιούνται και υποβάλλονται σε διαχείριση» ώστε να διατηρούνται ακριβείς και επικαιροποιημένες (άρθρο 18 παράγραφος 1 του CIA και άρθρο 15 παράγραφος 3 του διατάγματος εφαρμογής του CIA) (136). Κατά την παροχή πιστωτικών πληροφοριών σε ορισμένες άλλες οντότητες (όπως σε οργανισμούς αξιολόγησης της πιστοληπτικής ικανότητας), οι εμπορικοί φορείς υποχρεούνται επίσης ειδικά να επαληθεύουν την ακρίβεια των πληροφοριών ώστε να διασφαλίζεται ότι ο αποδέκτης καταχωρίζει και διαχειρίζεται μόνο ακριβείς πληροφορίες (άρθρο 15 παράγραφος 1 του διατάγματος εφαρμογής του CIA, σε συνδυασμό με το άρθρο 18 παράγραφος 1 του CIA). Γενικότερα, ο CIA απαιτεί την τήρηση αρχείων σχετικά με τη συλλογή, τη χρήση, την κοινοποίηση σε τρίτους και την καταστροφή προσωπικών πιστωτικών πληροφοριών (άρθρο 20 παράγραφος 2 του CIA) (137).

(107)

Επιπλέον, η επεξεργασία προσωπικών πιστωτικών πληροφοριών υπόκειται σε ειδικές απαιτήσεις όσον αφορά την ασφάλεια των δεδομένων. Ειδικότερα, ο CIA απαιτεί την εφαρμογή τεχνολογικών, υλικών και οργανωτικών μέτρων για την πρόληψη της παράνομης πρόσβασης σε συστήματα πληροφορικής, καθώς και της μεταβολής, καταστροφής ή οποιουδήποτε άλλου κινδύνου για τα δεδομένα που υποβάλλονται σε επεξεργασία (για παράδειγμα μέσω ελέγχων πρόσβασης, βλ. άρθρο 19 του CIA και άρθρο 16 του διατάγματος εφαρμογής του CIA). Επιπλέον, όταν συντρέχει περίπτωση ανταλλαγής προσωπικών πιστωτικών πληροφοριών με τρίτο, πρέπει να συνάπτεται σύμβαση η οποία να προβλέπει ειδικά μέτρα ασφάλειας (άρθρο 19 παράγραφος 2 του CIA). Σε περίπτωση παραβίασης προσωπικών πιστωτικών πληροφοριών, πρέπει να λαμβάνονται μέτρα για την ελαχιστοποίηση της τυχόν ζημίας και τα οικεία φυσικά πρόσωπα πρέπει να ενημερώνονται χωρίς καθυστέρηση (άρθρο 39-4 παράγραφοι 1 έως 2 του CIA). Επιπλέον, η PIPC πρέπει να ενημερώνεται για την κοινοποίηση που παρασχέθηκε στα φυσικά πρόσωπα, καθώς και για τα μέτρα που έχουν εφαρμοστεί (άρθρο 39-4 παράγραφος 4 του CIA).

(108)

Ο CIA επιβάλλει επίσης ειδικές υποχρεώσεις διαφάνειας κατά τη λήψη της συγκατάθεσης για τη χρήση ή την παροχή προσωπικών πιστωτικών πληροφοριών (άρθρο 32 παράγραφος 4 και άρθρο 34-2 του CIA και άρθρο 30-3 του διατάγματος εφαρμογής του CIA) και, γενικότερα, πριν από την παροχή πληροφοριών σε τρίτο (άρθρο 32 παράγραφος 7 του CIA) (138). Επιπλέον, τα φυσικά πρόσωπα έχουν το δικαίωμα να λαμβάνουν πληροφορίες κατόπιν αιτήματός τους σχετικά με τη χρήση και την παροχή των πιστωτικών πληροφοριών τους σε τρίτους κατά τα τρία έτη που προηγούνται του αιτήματος (συμπεριλαμβανομένου του σκοπού και των ημερομηνιών της εν λόγω χρήσης/παροχής) (139).

(109)

Σύμφωνα με τον CIA, τα φυσικά πρόσωπα έχουν επίσης δικαίωμα πρόσβασης στις προσωπικές πιστωτικές πληροφορίες τους (άρθρο 38 παράγραφος 1 του CIA) και δικαίωμα να ζητήσουν τη διόρθωση των ανακριβών δεδομένων (άρθρο 38 παράγραφοι 2 έως 3 του CIA) (140). Επιπλέον, επιπρόσθετα στο γενικό δικαίωμα διαγραφής βάσει του PIPA (βλ. αιτιολογική σκέψη 77), ο CIA προβλέπει ειδικό δικαίωμα διαγραφής των προσωπικών πιστωτικών πληροφοριών που έχουν διατηρηθεί πέραν των περιόδων διατήρησης που αναφέρονται στην αιτιολογική σκέψη 104, δηλαδή των πέντε ετών (για τις προσωπικές πιστωτικές πληροφορίες που ήταν απαραίτητες για τη σύναψη ή τη διατήρηση εμπορικής σχέσης) ή των τριών μηνών (για τα άλλα είδη προσωπικών πιστωτικών πληροφοριών) (141). Αίτημα διαγραφής μπορεί κατ’ εξαίρεση να απορριφθεί όταν απαιτείται περαιτέρω διατήρηση υπό τις περιστάσεις που περιγράφονται στην αιτιολογική σκέψη 105. Εάν ένα φυσικό πρόσωπο ζητήσει τη διαγραφή αλλά συντρέχει μία από τις εξαιρέσεις, πρέπει να εφαρμοστούν ειδικές εγγυήσεις για τις σχετικές πιστωτικές πληροφορίες (άρθρο 38-3 παράγραφος 3 του CIA και άρθρο 33-3 του διατάγματος εφαρμογής του CIA). Για παράδειγμα, οι πληροφορίες πρέπει να φυλάσσονται χωριστά από άλλες πληροφορίες, να είναι προσβάσιμες μόνο σε εξουσιοδοτημένο πρόσωπο και να υπόκεινται σε ειδικά μέτρα ασφάλειας.

(110)

Επιπρόσθετα στα δικαιώματα που αναφέρονται στην αιτιολογική σκέψη 109, ο CIA εγγυάται στα φυσικά πρόσωπα το δικαίωμα να ζητήσουν από υπεύθυνο επεξεργασίας να σταματήσει να επικοινωνεί μαζί τους για σκοπούς άμεσης εμπορικής προώθησης (άρθρο 37 παράγραφος 2 του νόμου) και το δικαίωμα φορητότητας των δεδομένων. Όσον αφορά το τελευταίο, ο CIA παρέχει στα φυσικά πρόσωπα τη δυνατότητα να ζητήσουν τη διαβίβαση των προσωπικών τους πιστωτικών πληροφοριών στα ίδια ή σε ορισμένους τρίτους (όπως σε χρηματοοικονομικά ιδρύματα και εταιρείες αξιολόγησης της πιστοληπτικής ικανότητας). Οι προσωπικές πιστωτικές πληροφορίες πρέπει να υποβάλλονται σε επεξεργασία και να διαβιβάζονται στον τρίτο σε μορφή που να μπορεί να υποβληθεί σε επεξεργασία από συσκευή επεξεργασίας πληροφοριών (όπως από υπολογιστή).

(111)

Ως εκ τούτου, στον βαθμό που ο CIA περιέχει ειδικούς κανόνες σε σύγκριση με τον PIPA, η Επιτροπή θεωρεί ότι και αυτοί οι κανόνες εξασφαλίζουν επίπεδο προστασίας ουσιωδώς ισοδύναμο με εκείνο που παρέχεται βάσει του κανονισμού (ΕΕ) 2016/679.

(112)

Για να είναι εγγυημένη η διασφάλιση επαρκούς επιπέδου προστασίας των δεδομένων στην πράξη, είναι αναγκαία η ύπαρξη ανεξάρτητης εποπτικής αρχής με εξουσίες παρακολούθησης και επιβολής της συμμόρφωσης με τους κανόνες προστασίας των δεδομένων. Η αρχή αυτή θα πρέπει να ενεργεί με πλήρη ανεξαρτησία και αμεροληψία κατά την εκτέλεση των καθηκόντων και την άσκηση των εξουσιών της.

(113)

Στη Δημοκρατία της Κορέας, η ανεξάρτητη αρχή που είναι υπεύθυνη για την παρακολούθηση και την επιβολή του PIPA είναι η PIPC. Η PIPC απαρτίζεται από έναν πρόεδρο, έναν αντιπρόεδρο και επτά επιτρόπους. Ο πρόεδρος και ο αντιπρόεδρος διορίζονται από τον πρόεδρο της Δημοκρατίας έπειτα από σύσταση του πρωθυπουργού. Από τους επιτρόπους, δύο διορίζονται από τον πρόεδρο της Δημοκρατίας έπειτα από σύσταση του προέδρου της PIPC και πέντε έπειτα από σύσταση της Εθνοσυνέλευσης [εκ των οποίων δύο έπειτα από σύσταση του πολιτικού κόμματος στο οποίο ανήκει ο πρόεδρος της Δημοκρατίας και τρεις έπειτα από σύσταση άλλων πολιτικών κομμάτων (άρθρο 7-2 παράγραφος 2 του PIPA), γεγονός που βοηθά στην αντιστάθμιση του κομματισμού κατά τη διαδικασία διορισμού] (142). Η διαδικασία αυτή συνάδει με τις απαιτήσεις που ισχύουν για τον διορισμό των μελών των αρχών προστασίας δεδομένων στην Ένωση [άρθρο 53 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679]. Επιπλέον, όλοι οι επίτροποι πρέπει να απέχουν από κάθε κερδοσκοπική δραστηριότητα, από πολιτικές δραστηριότητες και από την ανάληψη θέσης στη δημόσια διοίκηση ή στην Εθνοσυνέλευση (άρθρα 7-6 και 7-7 παράγραφος 1 σημείο 3 του PIPA) (143). Όλοι οι επίτροποι υπόκεινται σε ειδικούς κανόνες που αποκλείουν τη συμμετοχή τους σε διασκέψεις σε περίπτωση πιθανής σύγκρουσης συμφερόντων (άρθρο 7-11 του PIPA). Η PIPC επικουρείται από γραμματεία (άρθρο 7-13) και μπορεί να συγκροτεί υποεπιτροπές (αποτελούμενες από τρεις επιτρόπους) για να χειρίζονται ήσσονος σημασίας παραβάσεις και επαναλαμβανόμενα ζητήματα (άρθρο 7-12 του PIPA).

(114)

Κάθε μέλος της PIPC διορίζεται για τρία έτη και η θητεία του μπορεί να ανανεωθεί μία φορά (άρθρο 7-4 παράγραφος 1 του PIPA). Οι επίτροποι μπορούν να απολυθούν μόνο υπό συγκεκριμένες περιστάσεις, δηλαδή εάν δεν είναι πλέον σε θέση να εκτελέσουν τα καθήκοντά τους λόγω μακροχρόνιας διανοητικής ή σωματικής αναπηρίας, εάν παραβούν τον νόμο ή εάν πληρούν έναν από τους λόγους έκπτωσης από το αξίωμά τους (144) (άρθρο 7-5 του PIPA). Αυτό τους παρέχει θεσμική προστασία κατά την άσκηση των καθηκόντων τους.

(115)

Γενικότερα, το άρθρο 7 παράγραφος 1 του PIPA εγγυάται ρητά την ανεξαρτησία της PIPC και το άρθρο 7-5 παράγραφος 2 του PIPA απαιτεί από τους επιτρόπους να εκτελούν τα καθήκοντά τους με ανεξαρτησία, σύμφωνα με τον νόμο και τη συνείδησή τους (145). Οι θεσμικές και διαδικαστικές εγγυήσεις που περιγράφονται, μεταξύ άλλων όσον αφορά τον διορισμό και την παύση των μελών της, διασφαλίζουν ότι η PIPC ενεργεί με πλήρη ανεξαρτησία, χωρίς να υπόκειται σε εξωτερικές επιρροές ή υποδείξεις. Επιπλέον, ως κεντρική διοικητική υπηρεσία, η PIPC προτείνει ετησίως τον δικό της προϋπολογισμό (ο οποίος επανεξετάζεται από το Υπουργείο Οικονομικών ως μέρος του συνολικού εθνικού προϋπολογισμού πριν από την έγκρισή του από την Εθνοσυνέλευση) και είναι αρμόδια για τη διαχείριση του προσωπικού της. Η PIPC διαθέτει επί του παρόντος προϋπολογισμό ύψους περίπου 35 εκατ. EUR και απασχολεί 154 υπαλλήλους (μεταξύ των οποίων 40 υπαλλήλους ειδικευμένους στην τεχνολογία των πληροφοριών και των επικοινωνιών, 32 υπαλλήλους που ασχολούνται με τις έρευνες και 40 νομικούς εμπειρογνώμονες).

(116)

Τα καθήκοντα και οι εξουσίες της PIPC προβλέπονται κυρίως στα άρθρα 7-8 και 7-9, καθώς και στα άρθρα 61 έως 66 του PIPA (146). Ειδικότερα, στα καθήκοντα της PIPC περιλαμβάνονται η παροχή συμβουλών σχετικά με τους νόμους και τους κανονισμούς που αφορούν την προστασία των δεδομένων, η εκπόνηση πολιτικών και κατευθυντήριων γραμμών για την προστασία των δεδομένων, η διερεύνηση παραβιάσεων των ατομικών δικαιωμάτων, ο χειρισμός καταγγελιών και η διαμεσολάβηση σε διαφορές, η επιβολή της συμμόρφωσης με τον PIPA, η εξασφάλιση της εκπαίδευσης και της προώθησης στον τομέα της προστασίας των δεδομένων, καθώς και η ανταλλαγή πληροφοριών και η συνεργασία με τις αρχές προστασίας δεδομένων τρίτων χωρών (147).

(117)

Βάσει του άρθρου 68 του PIPA σε συνδυασμό με το άρθρο 62 του διατάγματος εφαρμογής του PIPA, ορισμένα καθήκοντα της PIPC έχουν ανατεθεί στον Οργανισμό Διαδικτύου και Ασφάλειας της Κορέας, και συγκεκριμένα: 1) εκπαίδευση και δημόσιες σχέσεις, 2) κατάρτιση ειδικών και ανάπτυξη κριτηρίων για τις εκτιμήσεις των επιπτώσεων στην ιδιωτική ζωή, 3) χειρισμός αιτημάτων για τον ορισμό του λεγόμενου φορέα εκτίμησης των επιπτώσεων στην ιδιωτική ζωή, 4) χειρισμός αιτημάτων για έμμεση πρόσβαση σε δεδομένα προσωπικού χαρακτήρα που βρίσκονται στην κατοχή δημόσιων αρχών (άρθρο 35 παράγραφος 2 του PIPA) και 5) το καθήκον της αναζήτησης του υλικού και της διενέργειας των επιθεωρήσεων όσον αφορά τις καταγγελίες που λαμβάνονται μέσω του λεγόμενου κέντρου κλήσεων για την προστασία της ιδιωτικής ζωής. Στο πλαίσιο του χειρισμού των καταγγελιών μέσω του κέντρου κλήσεων για την προστασία της ιδιωτικής ζωής, ο Οργανισμός Διαδικτύου και Ασφάλειας της Κορέας διαβιβάζει την υπόθεση στην PIPC ή στην εισαγγελία, εάν διαπιστώσει ότι έχει διαπραχθεί παράβαση του νόμου. Η δυνατότητα υποβολής καταγγελίας στο κέντρο κλήσεων για την προστασία της ιδιωτικής ζωής δεν εμποδίζει τα φυσικά πρόσωπα να υποβάλουν καταγγελία απευθείας στην PIPC ή να απευθυνθούν στην PIPC εάν θεωρούν ότι η καταγγελία τους δεν αντιμετωπίστηκε ικανοποιητικά από τον Οργανισμό Διαδικτύου και Ασφάλειας της Κορέας.

(118)

Για να διασφαλίζεται η συμμόρφωση με τον PIPA, ο νομοθέτης έχει χορηγήσει στην PIPC τόσο εξουσίες έρευνας όσο και εξουσίες επιβολής, οι οποίες κυμαίνονται από την έκδοση συστάσεων έως την επιβολή διοικητικών προστίμων. Οι εν λόγω εξουσίες συμπληρώνονται περαιτέρω από ένα καθεστώς ποινικών κυρώσεων.

(119)

Όσον αφορά τις εξουσίες έρευνας, εάν υπάρχει υπόνοια παράβασης του PIPA ή έχει αναφερθεί παράβαση, ή όταν είναι αναγκαίο για την προστασία των δικαιωμάτων των υποκειμένων των δεδομένων έναντι παραβάσεων, η PIPC μπορεί να διενεργεί επιτόπιες επιθεωρήσεις και να ζητεί όλο το σχετικό υλικό (όπως αντικείμενα και έγγραφα) από τους υπευθύνους επεξεργασίας δεδομένων προσωπικού χαρακτήρα (άρθρο 63 του PIPA σε συνδυασμό με το άρθρο 60 του διατάγματος εφαρμογής του PIPA) (148).

(120)

Όσον αφορά την επιβολή, σύμφωνα με το άρθρο 61 παράγραφος 2 του PIPA, η PIPC μπορεί να παρέχει συμβουλές στους υπευθύνους επεξεργασίας δεδομένων σχετικά με τρόπους βελτίωσης του επιπέδου προστασίας των δεδομένων προσωπικού χαρακτήρα συγκεκριμένων δραστηριοτήτων επεξεργασίας. Οι υπεύθυνοι επεξεργασίας δεδομένων πρέπει να καταβάλλουν καλόπιστες προσπάθειες για την εφαρμογή των εν λόγω συμβουλών και υποχρεούνται να ενημερώνουν την PIPC για το αποτέλεσμα. Επιπλέον, όταν υπάρχουν βάσιμοι λόγοι να πιστεύεται ότι έχει διαπραχθεί παράβαση του PIPA και η μη λήψη μέτρων ενδέχεται να προκαλέσει ζημία που είναι δύσκολο να αποκατασταθεί, η PIPC μπορεί να επιβάλλει διορθωτικά μέτρα (άρθρο 64 παράγραφος 1 του PIPA) (149). Το τμήμα 5 της κοινοποίησης αριθ. 2021-5 (παράρτημα I) διευκρινίζει, με δεσμευτικό αποτέλεσμα, ότι οι εν λόγω όροι πληρούνται όσον αφορά την παράβαση οποιασδήποτε διάταξης του PIPA που προστατεύει τα δικαιώματα στην ιδιωτική ζωή φυσικών προσώπων σε σχέση με προσωπικές πληροφορίες (150). Τα μέτρα που εξουσιοδοτείται να λαμβάνει η PIPC περιλαμβάνουν την έκδοση διαταγής παύσης της συμπεριφοράς που προκάλεσε την παράβαση, την έκδοση διαταγής προσωρινής αναστολής της επεξεργασίας δεδομένων και κάθε άλλο αναγκαίο μέτρο. Η μη συμμόρφωση με διορθωτικό μέτρο μπορεί να επισύρει κύρωση με τη μορφή προστίμου ανώτατου ύψους 50 εκατ. KRW (άρθρο 75 παράγραφος 2 σημείο 13 του PIPA).

(121)

Όσον αφορά ορισμένες δημόσιες αρχές (όπως η Εθνοσυνέλευση, οι κεντρικές διοικητικές υπηρεσίες, οι οργανισμοί τοπικής αυτοδιοίκησης και τα δικαστήρια), το άρθρο 64 παράγραφος 4 του PIPA προβλέπει ότι η PIPC μπορεί να «συστήσει» οποιοδήποτε από τα διορθωτικά μέτρα που αναφέρονται στην αιτιολογική σκέψη 120 και ότι οι εν λόγω αρχές υποχρεούνται να συμμορφωθούν με την εν λόγω σύσταση, εκτός εάν συντρέχουν έκτακτες περιστάσεις. Σύμφωνα με το τμήμα 5 της κοινοποίησης αριθ. 2021-5, πρόκειται για έκτακτες πραγματικές ή νομικές περιστάσεις τις οποίες η PIPC δεν γνώριζε κατά τη διατύπωση της σύστασής της. Η οικεία δημόσια αρχή μπορεί να επικαλεστεί τέτοιες έκτακτες περιστάσεις μόνο εάν αποδείξει σαφώς ότι δεν υπήρξε παράβαση και η PIPC διαπιστώσει ότι πράγματι δεν υπήρξε τέτοια. Διαφορετικά, η δημόσια αρχή οφείλει να ακολουθήσει τη σύσταση της PIPC και «να λάβει διορθωτικά μέτρα, μεταξύ άλλων να διακόψει αμέσως την πράξη και να αποκαταστήσει τις ζημίες στην εξαιρετική περίπτωση κατά την οποία διαπράχθηκε παρόλα αυτά παράνομη πράξη».

(122)

Η PIPC μπορεί επίσης να ζητεί από άλλες διοικητικές υπηρεσίες που διαθέτουν ειδική αρμοδιότητα βάσει τομεακής νομοθεσίας (π.χ. υγεία, εκπαίδευση) να διενεργήσουν έρευνα — μόνες ή από κοινού με την PIPC— για (εικαζόμενες) παραβιάσεις της ιδιωτικής ζωής από υπευθύνους επεξεργασίας που δραστηριοποιούνται στους εν λόγω τομείς υπό τη δικαιοδοσία τους και να επιβάλουν διορθωτικά μέτρα (άρθρο 63 παράγραφοι 4 και 5 του PIPA). Στην περίπτωση αυτή, η PIPC καθορίζει τους λόγους, το αντικείμενο και την έκταση της έρευνας (151). Με τη σειρά της, η σχετική διοικητική υπηρεσία πρέπει να υποβάλει σχέδιο επιθεώρησης στην PIPC και να ενημερώσει την PIPC για το αποτέλεσμα της επιθεώρησης. Η PIPC μπορεί να προτείνει τη λήψη συγκεκριμένου διορθωτικού μέτρου, το οποίο η οικεία υπηρεσία πρέπει να προσπαθήσει να εφαρμόσει. Σε κάθε περίπτωση, το εν λόγω αίτημα δεν περιορίζει την αρμοδιότητα της PIPC να διενεργήσει δική της έρευνα ή να επιβάλει κυρώσεις.

(123)

Εκτός από τις διορθωτικές εξουσίες της, η PIPC μπορεί να επιβάλλει διοικητικά πρόστιμα ύψους μεταξύ 10 και 50 εκατ. KRW για παραβάσεις διαφόρων απαιτήσεων του PIPA (άρθρο 75 του PIPA) (152). Μεταξύ άλλων, αυτό περιλαμβάνει τη μη συμμόρφωση με τις απαιτήσεις για τη νομιμότητα της επεξεργασίας, τη μη λήψη των αναγκαίων μέτρων ασφάλειας, τη μη ενημέρωση των υποκειμένων των δεδομένων σε περίπτωση παραβίασης των δεδομένων, τη μη συμμόρφωση με τις απαιτήσεις για την υπεργολαβία επεξεργασίας, τη μη κατάρτιση και δημοσιοποίηση πολιτικής για την προστασία της ιδιωτικής ζωής, τον μη διορισμό υπευθύνου προστασίας της ιδιωτικής ζωής ή τη μη ανάληψη δράσης κατόπιν αιτήματος υποκειμένου δεδομένων κατ' ενάσκηση των ατομικών του δικαιωμάτων, καθώς και ορισμένες διαδικαστικές παραβάσεις (μη συνεργασία στο πλαίσιο έρευνας). Σε περίπτωση παράβασης περισσότερων διατάξεων του PIPA από τον ίδιο υπεύθυνο επεξεργασίας, μπορεί να επιβληθεί πρόστιμο για κάθε παράβαση, για τον καθορισμό δε του ύψους του προστίμου, θα ληφθεί υπόψη ο αριθμός των θιγέντων φυσικών προσώπων.

(124)

Επιπλέον, όταν υπάρχουν εύλογες υπόνοιες παράβασης του PIPA ή οποιουδήποτε άλλου «νομοθετήματος σχετικού με την προστασία των δεδομένων», η PIPC μπορεί να υποβάλει ποινική αναφορά στην αρμόδια ερευνητική υπηρεσία (όπως στον εισαγγελέα, βλ. άρθρο 65 παράγραφος 1 του PIPA). Επιπλέον, η PIPC μπορεί να συμβουλεύσει τον υπεύθυνο επεξεργασίας να λάβει πειθαρχικά μέτρα κατά του υπευθύνου (συμπεριλαμβανομένου του υπεύθυνου διευθυντικού στελέχους, βλ. άρθρο 65 παράγραφος 2 του PIPA). Μόλις λάβει τις εν λόγω συμβουλές, ο υπεύθυνος επεξεργασίας πρέπει να συμμορφωθεί (153) με αυτές και να κοινοποιήσει εγγράφως στην PIPC το αποτέλεσμα (άρθρο 65 του PIPA σε συνδυασμό με το άρθρο 58 του διατάγματος εφαρμογής του PIPA).

(125)

Όσον αφορά την παροχή συμβουλών σύμφωνα με το άρθρο 61, τα διορθωτικά μέτρα σύμφωνα με το άρθρο 64, την άσκηση πειθαρχικών κατηγοριών ή την παροχή συμβουλών για την άσκηση πειθαρχικών κατηγοριών σύμφωνα με το άρθρο 65 και την επιβολή διοικητικών προστίμων σύμφωνα με το άρθρο 75 του PIPA, η PIPC μπορεί να δημοσιοποιεί τα γεγονότα —δηλαδή την παράβαση, την οντότητα που έχει παραβιάσει τον νόμο και το ή τα επιβληθέντα μέτρα— με ανάρτηση στον ιστότοπό της ή με δημοσίευση σε γενικού περιεχομένου ημερήσια εφημερίδα εθνικής εμβέλειας (άρθρο 66 του PIPA σε συνδυασμό με το άρθρο 61 παράγραφος 1 του διατάγματος εφαρμογής του PIPA) (154).

(126)

Τέλος, η συμμόρφωση με τις απαιτήσεις προστασίας των δεδομένων του PIPA (καθώς και των άλλων σχετικών με την προστασία των δεδομένων νομοθετημάτων) υποστηρίζεται από ένα καθεστώς ποινικών κυρώσεων. Στο πλαίσιο αυτό, τα άρθρα 70 έως 73 του PIPA περιέχουν διατάξεις σχετικά με κυρώσεις που μπορούν να οδηγήσουν στην επιβολή είτε προστίμου (μεταξύ 20 και 100 εκατ. KRW) είτε ποινής φυλάκισης (με μέγιστη ποινή που κυμαίνεται μεταξύ 2 και 10 ετών). Οι σχετικές παραβάσεις περιλαμβάνουν, μεταξύ άλλων, τη χρήση δεδομένων προσωπικού χαρακτήρα ή την παροχή τέτοιων δεδομένων σε τρίτο χωρίς την αναγκαία συγκατάθεση, την επεξεργασία ευαίσθητων πληροφοριών κατά παράβαση της απαγόρευσης του άρθρου 23 παράγραφος 1 του PIPA, τη μη συμμόρφωση με τις ισχύουσες απαιτήσεις ασφάλειας που έχει ως αποτέλεσμα την απώλεια, την κλοπή, την κοινολόγηση, την παραποίηση, τη μεταβολή ή την καταστροφή δεδομένων προσωπικού χαρακτήρα, τη μη λήψη των αναγκαίων μέτρων για τη διόρθωση, τη διαγραφή ή την αναστολή της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και την παράνομη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα (155). Σύμφωνα με το άρθρο 74 του PIPA, σε καθεμία από τις περιπτώσεις αυτές ευθύνεται ο υπάλληλος, ο εντολοδόχος ή ο αντιπρόσωπος του υπευθύνου επεξεργασίας, καθώς και ο ίδιος ο υπεύθυνος επεξεργασίας (156).

(127)

Εκτός από τις ποινικές κυρώσεις που προβλέπονται στον PIPA, η κατάχρηση δεδομένων προσωπικού χαρακτήρα μπορεί επίσης να συνιστά αδίκημα βάσει του ποινικού νόμου. Αυτό ισχύει ιδίως όσον αφορά την παραβίαση του απορρήτου των επιστολών, εγγράφων ή ηλεκτρονικών αρχείων (άρθρο 316), την αποκάλυψη πληροφοριών που υπόκεινται σε επαγγελματικό απόρρητο (άρθρο 317), την απάτη με χρήση ηλεκτρονικών υπολογιστών (άρθρο 347-2), καθώς και την υπεξαίρεση και την κατάχρηση εμπιστοσύνης (άρθρο 355).

(128)

Ως εκ τούτου, το κορεατικό σύστημα συνδυάζει διάφορα είδη κυρώσεων, από διορθωτικά μέτρα και διοικητικά πρόστιμα έως ποινικές κυρώσεις, οι οποίες είναι πιθανό να έχουν ιδιαίτερα ισχυρό αποτρεπτικό αποτέλεσμα για τους υπευθύνους επεξεργασίας και τα άτομα που χειρίζονται τα δεδομένα. Αμέσως μετά τη σύστασή της το 2020, η PIPC άρχισε να κάνει χρήση των εξουσιών της. Η ετήσια έκθεση της PIPC για το 2021 δείχνει ότι η PIPC έχει ήδη εκδώσει σειρά συστάσεων, διοικητικών προστίμων και διαταγών για διορθωτικά μέτρα, τόσο κατά φορέων του δημόσιου τομέα (περίπου 34 δημόσιων αρχών) όσο και κατά ιδιωτικών φορέων (περίπου 140 εταιρειών) (157). Στις αξιοσημείωτες σχετικές περιπτώσεις συμπεριλαμβάνονται, για παράδειγμα, η επιβολή, τον Δεκέμβριο του 2020, προστίμου ύψους 6,7 δισ. KRW σε εταιρεία για παράβαση διαφόρων διατάξεων του PIPA (συμπεριλαμβανομένων των απαιτήσεων ασφάλειας, των απαιτήσεων για συγκατάθεση για παροχή σε τρίτο και των απαιτήσεων διαφάνειας) (158) και η επιβολή, τον Απρίλιο του 2021, προστίμου ύψους 103,3 εκατ. KRW σε εταιρεία τεχνολογίας τεχνητής νοημοσύνης (για παράβαση, μεταξύ άλλων διατάξεων, των κανόνων σχετικά με τη νομιμότητα της επεξεργασίας, συγκεκριμένα σχετικά με τη συγκατάθεση, και των κανόνων σχετικά με την επεξεργασία ψευδωνυμοποιημένων πληροφοριών) (159). Τον Αύγουστο του 2021 η PIPC ολοκλήρωσε μία έρευνα σχετικά με τις δραστηριότητες τριών εταιρειών, η οποία οδήγησε σε διορθωτικά μέτρα και στην επιβολή προστίμων ύψους έως 6,47 δισ. KRW (μεταξύ άλλων, λόγω της μη ενημέρωσης των οικείων φυσικών προσώπων για την κοινοποίηση δεδομένων προσωπικού χαρακτήρα σε τρίτους, συμπεριλαμβανομένων διαβιβάσεων σε τρίτες χώρες) (160). Επίσης, ήδη πριν από την πρόσφατη μεταρρύθμιση, η Νότια Κορέα είχε ισχυρό ιστορικό επιδόσεων όσον αφορά την επιβολή, με τις αρμόδιες αρχές να κάνουν χρήση του πλήρους φάσματος των μέτρων επιβολής, συμπεριλαμβανομένων των διοικητικών προστίμων, των διορθωτικών μέτρων, και της «κατονομασίας και κοινοποίησης» όσον αφορά διάφορους υπευθύνους επεξεργασίας, συμπεριλαμβανομένων των παρόχων υπηρεσιών επικοινωνιών (Επιτροπή Επικοινωνιών Κορέας), καθώς και εμπορικών φορέων, χρηματοοικονομικών ιδρυμάτων, δημόσιων αρχών, πανεπιστημίων και νοσοκομείων (Υπουργείο Εσωτερικών και Ασφάλειας) (161). Σε αυτήν τη βάση, η Επιτροπή καταλήγει στο συμπέρασμα ότι το κορεατικό σύστημα διασφαλίζει την αποτελεσματική επιβολή των κανόνων προστασίας των δεδομένων στην πράξη, εξασφαλίζοντας έτσι επίπεδο προστασίας ουσιωδώς ισοδύναμο με εκείνο του κανονισμού (ΕΕ) 2016/679.

(129)

Για να διασφαλίζεται επαρκής προστασία και ιδίως η επιβολή των ατομικών δικαιωμάτων, το υποκείμενο των δεδομένων θα πρέπει να έχει στη διάθεσή του αποτελεσματικά μέσα διοικητικής και δικαστικής προσφυγής, συμπεριλαμβανομένης της αποζημίωσης.

(130)

Το κορεατικό σύστημα παρέχει στα φυσικά πρόσωπα διάφορους μηχανισμούς για την αποτελεσματική άσκηση των δικαιωμάτων τους και την άσκηση (δικαστικής) προσφυγής.

(131)

Ως πρώτο βήμα, τα φυσικά πρόσωπα που θεωρούν ότι έχουν παραβιαστεί τα δικαιώματα ή τα συμφέροντά τους όσον αφορά την προστασία των δεδομένων μπορούν να απευθυνθούν στον οικείο υπεύθυνο επεξεργασίας. Σύμφωνα με το άρθρο 30 παράγραφος 1 σημείο 5 του PIPA, η πολιτική για την προστασία της ιδιωτικής ζωής του υπευθύνου επεξεργασίας περιλαμβάνει, μεταξύ άλλων, πληροφορίες σχετικά με τα δικαιώματα των υποκειμένων των δεδομένων και τον τρόπο άσκησής τους. Επιπλέον, παρέχει στοιχεία επικοινωνίας —όπως το όνομα και τον αριθμό τηλεφώνου του υπευθύνου για την προστασία της ιδιωτικής ζωής ή της υπηρεσίας που είναι αρμόδια για την προστασία των δεδομένων— ώστε να είναι δυνατή η υποβολή καταγγελιών («παραπόνων»). Στο πλαίσιο του οργανισμού του υπευθύνου επεξεργασίας, ο υπεύθυνος προστασίας της ιδιωτικής ζωής είναι επιφορτισμένος με τον χειρισμό των καταγγελιών, τη λήψη διορθωτικών μέτρων σε περίπτωση παραβίασης της ιδιωτικής ζωής και τις αποζημιώσεις προς επανόρθωση (άρθρο 31 παράγραφος 2 σημείο 3 και άρθρο 31 παράγραφος 4 του PIPA). Το τελευταίο είναι σημαντικό, για παράδειγμα, σε περίπτωση παραβίασης δεδομένων, καθώς ο υπεύθυνος επεξεργασίας πρέπει να ενημερώνει το υποκείμενο των δεδομένων, μεταξύ άλλων, για το ή τα σημεία επαφής για την αναφορά τυχόν ζημίας (άρθρο 34 παράγραφος 1 σημείο 5 του PIPA).

(132)

Επιπλέον, ο PIPA προσφέρει στα φυσικά πρόσωπα διάφορα μέσα προσφυγής κατά των υπευθύνων επεξεργασίας. Πρώτον, κάθε φυσικό πρόσωπο που θεωρεί ότι τα δικαιώματα ή τα συμφέροντά του όσον αφορά την προστασία των δεδομένων του έχουν παραβιαστεί από τον υπεύθυνο επεξεργασίας μπορεί να αναφέρει απευθείας την εν λόγω παραβίαση στην PIPC και/ή σε έναν από τους εξειδικευμένους φορείς που έχει ορίσει η PIPC για τη λήψη και τον χειρισμό καταγγελιών· σε αυτούς περιλαμβάνεται ο Οργανισμός Διαδικτύου και Ασφάλειας της Κορέας, ο οποίος, για τον σκοπό αυτόν, λειτουργεί κέντρο κλήσεων για τις προσωπικές πληροφορίες (το λεγόμενο «κέντρο κλήσεων για την προστασία της ιδιωτικής ζωής») (άρθρο 62 παράγραφοι 1 και 2 του PIPA σε συνδυασμό με το άρθρο 59 του διατάγματος εφαρμογής του PIPA). Το κέντρο κλήσεων για την προστασία της ιδιωτικής ζωής διερευνά και διαπιστώνει παραβάσεις, παρέχει συμβουλές σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα (άρθρο 62 παράγραφος 3 του PIPA) και μπορεί να αναφέρει παραβάσεις στην PIPC (αλλά δεν μπορεί να λαμβάνει το ίδιο μέτρα επιβολής). Το κέντρο κλήσεων για την προστασία της ιδιωτικής ζωής λαμβάνει μεγάλο αριθμό καταγγελιών/αιτημάτων (π.χ. 177 457 το 2020, 159 255 το 2019 και 164 497 το 2018) (162). Σύμφωνα με τις πληροφορίες που ελήφθησαν από την PIPC, η ίδια η PIPC έλαβε περίπου 1 000 καταγγελίες μεταξύ του Αυγούστου του 2020 και του Αυγούστου του 2021. Ως συνέχεια σε καταγγελία, η PIPC μπορεί να προβεί στην παροχή συμβουλών για βελτιώσεις, να επιβάλει διορθωτικά μέτρα, να υποβάλει «κατηγορίες» στην αρμόδια ερευνητική υπηρεσία (συμπεριλαμβανομένου του εισαγγελέα) ή να συστήσει την άσκηση πειθαρχικών κατηγοριών (βλ. άρθρα 61, 64 και 65 του PIPA). Οι αποφάσεις της PIPC (όπως η άρνηση χειρισμού καταγγελίας ή η απόρριψη καταγγελίας επί της ουσίας της) μπορούν να προσβληθούν βάσει του νόμου για τις διοικητικές διαφορές (163).

(133)

Δεύτερον, σύμφωνα με τα άρθρα 40 έως 50 του PIPA σε συνδυασμό με τα άρθρα 48-14 έως 57 του διατάγματος εφαρμογής του PIPA, τα υποκείμενα των δεδομένων μπορούν να προσφύγουν στη λεγόμενη «Επιτροπή Διαμεσολάβησης Διαφορών», η οποία αποτελείται από εκπροσώπους που διορίζονται από τον πρόεδρο της PIPC, από μέλη της Ανώτερης Εκτελεστικής Υπηρεσίας της PICP και από άτομα που διορίζονται βάσει της πείρας τους στον τομέα της προστασίας των δεδομένων από ορισμένες επιλέξιμες ομάδες (βλ. άρθρο 40 παράγραφοι 2, 3 και 7 του PIPA, άρθρο 48-14 του διατάγματος εφαρμογής του PIPA) (164). Η δυνατότητα προσφυγής σε διαμεσολάβηση ενώπιον της Επιτροπής Διαμεσολάβησης Διαφορών παρέχει μια εναλλακτική οδό για την εξασφάλιση έννομης προστασίας, αλλά δεν περιορίζει το δικαίωμα του φυσικού προσώπου να επιλέξει, αντ’ αυτού, να προσφύγει στην PIPC ή στα δικαστήρια. Για την εξέταση της υπόθεσης, η επιτροπή μπορεί να ζητήσει από τα μέρη της διαφοράς να παράσχουν το απαραίτητο υλικό και/ή να καλέσει τους σχετικούς μάρτυρες να εμφανιστούν ενώπιόν της (άρθρο 45 του PIPA). Μόλις αποσαφηνιστεί το θέμα, η επιτροπή συντάσσει σχέδιο απόφασης διαμεσολάβησης (165) επί του οποίου πρέπει να συμφωνήσει η πλειονότητα των μελών της. Το σχέδιο διαμεσολάβησης μπορεί να προβλέπει την παύση της παραβίασης, αναγκαία μέσα αποκατάστασης (συμπεριλαμβανομένης της επανόρθωσης ή της αποζημίωσης), καθώς και τυχόν μέτρα που είναι αναγκαία για να αποτραπεί η επανάληψη της ίδιας ή παρόμοιας παραβίασης (άρθρο 47 παράγραφος 1 του PIPA). Όταν αμφότερα τα μέρη συμφωνούν με την απόφαση διαμεσολάβησης, η απόφαση αυτή θα παράγει τα αποτελέσματα δικαστικού συμβιβασμού (άρθρο 47 παράγραφος 5 του PIPA). Κανένα από τα μέρη δεν εμποδίζεται να κινήσει δικαστική διαδικασία ενόσω βρίσκεται σε εξέλιξη η διαμεσολάβηση, περίπτωση στην οποία η διαμεσολάβηση αναστέλλεται (βλ. άρθρο 48 παράγραφος 2 του PIPA) (166). Τα ετήσια στοιχεία που εκδίδει η PIPC δείχνουν ότι τα φυσικά πρόσωπα κάνουν τακτικά χρήση της διαδικασίας ενώπιον της Επιτροπής Διαμεσολάβησης Διαφορών, επιλογή που συχνά οδηγεί σε επιτυχή έκβαση. Για παράδειγμα, το 2020 η επιτροπή χειρίστηκε 126 υποθέσεις, από τις οποίες οι 89 επιλύθηκαν ενώπιον της επιτροπής (σε 77 υποθέσεις τα μέρη κατέληξαν σε συμφωνία πριν από την περάτωση της διαδικασίας διαμεσολάβησης και σε 12 υποθέσεις τα μέρη αποδέχθηκαν την πρόταση διαμεσολάβησης), με αποτέλεσμα ποσοστό επιτυχούς διαμεσολάβησης 70,6 % (167). Ομοίως, το 2019 η επιτροπή χειρίστηκε 139 υποθέσεις, από τις οποίες επιλύθηκαν οι 92, με αποτέλεσμα ποσοστό επιτυχούς διαμεσολάβησης 62,2 %.

(134)

Επιπλέον, όταν τουλάχιστον 50 φυσικά πρόσωπα υφίστανται ζημία ή έχουν παραβιαστεί τα δικαιώματά τους προστασίας των δεδομένων τους με τον ίδιο ή παρόμοιο τρόπο λόγω του ίδιου (τύπου) συμβάντος (168), κάθε υποκείμενο των δεδομένων ή οργανισμός προστασίας δεδομένων μπορεί να υποβάλει αίτηση διαμεσολάβησης σε συλλογική διαφορά για λογαριασμό της εν λόγω ομάδας προσώπων· τα άλλα υποκείμενα των δεδομένων μπορούν να υποβάλουν αίτηση για να συμμετάσχουν στην εν λόγω διαμεσολάβηση, η οποία ανακοινώνεται δημόσια από την Επιτροπή Διαμεσολάβησης Διαφορών (άρθρο 49 παράγραφοι 1 έως 3 του PIPA σε συνδυασμό με τα άρθρα 52 έως 54 του διατάγματος εφαρμογής του PIPA) (169). Η Επιτροπή Διαμεσολάβησης Διαφορών μπορεί να επιλέξει τουλάχιστον ένα πρόσωπο που εκπροσωπεί καταλληλότερα το κοινό συμφέρον ως αντιπροσωπευτικό μέρος (άρθρο 49 παράγραφος 4 του PIPA). Αν ο υπεύθυνος επεξεργασίας απορρίψει τη διαμεσολάβηση σε συλλογική διαφορά ή δεν αποδεχτεί την απόφαση διαμεσολάβησης, ορισμένοι οργανισμοί (170) μπορούν να υποβάλουν ομαδική αγωγή για την αντιμετώπιση της παραβίασης (άρθρα 51 έως 57 του PIPA).

(135)

Τρίτον, σε περίπτωση παραβίασης της ιδιωτικής ζωής που προκαλεί «ζημία» στο φυσικό πρόσωπο, το υποκείμενο των δεδομένων έχει δικαίωμα κατάλληλης αποκατάστασης στο πλαίσιο μιας «ταχείας και δίκαιης διαδικασίας» (άρθρο 4 σημείο 5 σε συνδυασμό με το άρθρο 39 του PIPA) (171). Ο υπεύθυνος επεξεργασίας μπορεί να απαλλάξει τον εαυτό του αποδεικνύοντας την απουσία υπαιτιότητας («πρόθεσης διάπραξης παραπτώματος» ή αμέλειας). Εάν το υποκείμενο των δεδομένων υποστεί ζημία λόγω απώλειας, κλοπής, κοινολόγησης, παραποίησης, μεταβολής ή καταστροφής των δεδομένων προσωπικού χαρακτήρα που το αφορούν, το δικαστήριο μπορεί να επιδικάσει αποζημίωση έως και τριπλάσια της πραγματικής ζημίας, λαμβάνοντας υπόψη διάφορους παράγοντες (άρθρο 39 παράγραφοι 3, 4 του PIPA). Εναλλακτικά, το υποκείμενο των δεδομένων μπορεί να ζητήσει «εύλογο ποσό» αποζημίωσης που δεν υπερβαίνει τα 3 εκατ. KRW (άρθρο 39-2 παράγραφοι 1, 2 του PIPA). Επιπλέον, σύμφωνα με τον αστικό νόμο, αποζημίωση μπορεί να ζητηθεί από κάθε πρόσωπο «που προκαλεί ζημίες ή βλάβη σε άλλο πρόσωπο με παράνομη πράξη, από πρόθεση ή αμέλεια» (172) ή από πρόσωπο «που έχει βλάψει το πρόσωπο, την ελευθερία ή τη φήμη άλλου προσώπου ή έχει προκαλέσει οποιαδήποτε ψυχική ταλαιπωρία σε άλλο πρόσωπο» (173). Η εν λόγω αδικοπρακτική ευθύνη που απορρέει από την παράβαση των κανόνων προστασίας των δεδομένων έχει επιβεβαιωθεί από το Ανώτατο Δικαστήριο (174). Εάν η ζημία προκλήθηκε από παράνομη ενέργεια δημόσιας αρχής, μπορεί επίσης να υποβληθεί αίτηση αποζημίωσης βάσει του νόμου για τις κρατικές αποζημιώσεις (175). Η αίτηση βάσει του νόμου για τις κρατικές αποζημιώσεις μπορεί να υποβληθεί σε εξειδικευμένο «Συμβούλιο Αποζημιώσεων» ή απευθείας στα κορεατικά δικαστήρια (176). Η ευθύνη του κράτους καλύπτει επίσης την ηθική βλάβη (όπως η ψυχική ταλαιπωρία) (177). Ο νόμος για τις κρατικές αποζημιώσεις εφαρμόζεται και στην περίπτωση που το θύμα είναι αλλοδαπός,, εφόσον η χώρα καταγωγής του εξασφαλίζει εξίσου κρατική αποζημίωση για τους Κορεάτες υπηκόους (178).

(136)

Τέταρτον, το Ανώτατο Δικαστήριο έχει αναγνωρίσει ότι τα φυσικά πρόσωπα έχουν το δικαίωμα να ζητούν έννομη προστασία με τη μορφή διαταγής παύσης και παράλειψης για προσβολές των δικαιωμάτων τους που απορρέουν από το Σύνταγμα, συμπεριλαμβανομένου του δικαιώματος στην προστασία των δεδομένων προσωπικού χαρακτήρα (179). Στο πλαίσιο αυτό, το δικαστήριο μπορεί, για παράδειγμα, να διατάξει τους υπευθύνους επεξεργασίας να αναστείλουν ή να διακόψουν κάθε παράνομη δραστηριότητα. Επιπλέον, τα δικαιώματα προστασίας των δεδομένων, συμπεριλαμβανομένων των δικαιωμάτων που προστατεύονται από τον PIPA, μπορούν να επιβληθούν μέσω αστικών αγωγών. Η εν λόγω οριζόντια εφαρμογή της συνταγματικής προστασίας της ιδιωτικής ζωής στις σχέσεις μεταξύ ιδιωτών έχει αναγνωριστεί από το Ανώτατο Δικαστήριο (180).

(137)

Τέλος, τα φυσικά πρόσωπα μπορούν να υποβάλουν ποινική αναφορά σύμφωνα με τον νόμο για την ποινική δικονομία (άρθρο 223) σε εισαγγελέα ή αστυνομικό της δικαστικής αστυνομίας (181).

(138)

Ως εκ τούτου, το κορεατικό σύστημα προσφέρει διάφορα μέσα προσφυγής, από εύκολα προσβάσιμες επιλογές χαμηλού κόστους [για παράδειγμα, μέσω επικοινωνίας με το κέντρο κλήσεων για την προστασία της ιδιωτικής ζωής ή μέσω (συλλογικής) διαμεσολάβησης] έως διοικητικές (ενώπιον της PIPC) και δικαστικές οδούς, συμπεριλαμβανομένης της δυνατότητας επιδίωξης αποζημίωσης.

(139)

Η Επιτροπή αξιολόγησε επίσης τους περιορισμούς και τις εγγυήσεις, συμπεριλαμβανομένων των μηχανισμών εποπτείας και ατομικής προσφυγής, που προβλέπει το κορεατικό δίκαιο όσον αφορά τη συλλογή και επακόλουθη χρήση από κορεατικές δημόσιες αρχές δεδομένων προσωπικού χαρακτήρα που έχουν διαβιβαστεί σε υπευθύνους επεξεργασίας στην Κορέα προς το δημόσιο συμφέρον, ειδικότερα για σκοπούς επιβολής του ποινικού δικαίου και εθνικής ασφάλειας (στο εξής: κρατική πρόσβαση). Για τον σκοπό αυτό, η κορεατική κυβέρνηση υπέβαλε στην Επιτροπή επίσημες δηλώσεις, διαβεβαιώσεις και δεσμεύσεις οι οποίες έχουν υπογραφεί σε ανώτατο υπουργικό και υπηρεσιακό επίπεδο και περιέχονται στο παράρτημα II της παρούσας απόφασης.

(140)

Κατά την αξιολόγηση του αν οι όροι υπό τους οποίους οι κρατικές αρχές θα έχουν πρόσβαση στα δεδομένα που θα διαβιβάζονται στην Κορέα βάσει της παρούσας απόφασης πληρούν το κριτήριο της «ουσιώδους ισοδυναμίας» σύμφωνα με το άρθρο 45 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679, όπως έχει ερμηνευθεί από το Δικαστήριο της Ευρωπαϊκής Ένωσης υπό το πρίσμα του Χάρτη των Θεμελιωδών Δικαιωμάτων, η Επιτροπή έλαβε υπόψη ιδίως τα ακόλουθα κριτήρια.

(141)

Πρώτον, κάθε περιορισμός του δικαιώματος προστασίας των δεδομένων προσωπικού χαρακτήρα πρέπει να προβλέπεται από τον νόμο και η νομική βάση που επιτρέπει την επέμβαση στο δικαίωμα αυτό πρέπει να καθορίζει η ίδια την έκταση του περιορισμού στην άσκηση του εν λόγω δικαιώματος (182).

(142)

Δεύτερον, προκειμένου να πληρούται η απαίτηση της αναλογικότητας, σύμφωνα με την οποία οι παρεκκλίσεις από την προστασία των δεδομένων προσωπικού χαρακτήρα και οι περιορισμοί της πρέπει να εφαρμόζονται μόνο στο μέτρο που είναι απολύτως αναγκαίο σε μια δημοκρατική κοινωνία για την επίτευξη συγκεκριμένων στόχων γενικού συμφέροντος ισοδύναμων με εκείνους που αναγνωρίζει η Ένωση, η νομοθεσία της σχετικής τρίτης χώρας που συνεπάγεται την επέμβαση πρέπει να προβλέπει σαφείς και ακριβείς κανόνες που να διέπουν το περιεχόμενο και την εφαρμογή των σχετικών μέτρων και να επιβάλλει ελάχιστες απαιτήσεις, έτσι ώστε τα πρόσωπα των οποίων τα δεδομένα διαβιβάζονται να έχουν επαρκείς εγγυήσεις οι οποίες καθιστούν δυνατή την αποτελεσματική προστασία των δεδομένων προσωπικού χαρακτήρα από τους κινδύνους κατάχρησης (183). Η ρύθμιση πρέπει, ειδικότερα, να ορίζει υπό ποιες περιστάσεις και υπό ποιες συνθήκες μπορεί να ληφθεί μέτρο το οποίο προβλέπει την επεξεργασία τέτοιων δεδομένων (184), καθώς και να υποβάλει την εκπλήρωση των εν λόγω απαιτήσεων σε ανεξάρτητη εποπτεία (185).

(143)

Τρίτον, η εν λόγω νομοθεσία και οι απαιτήσεις της πρέπει να είναι νομικά δεσμευτικές σύμφωνα με το εθνικό δίκαιο. Αυτό αφορά πρωτίστως τις αρχές της οικείας τρίτης χώρας, αλλά οι εν λόγω νομικές απαιτήσεις πρέπει να είναι επίσης εκτελεστές ενώπιον των δικαστηρίων κατά των εν λόγω αρχών (186). Ειδικότερα, τα υποκείμενα των δεδομένων πρέπει να έχουν τη δυνατότητα να ασκήσουν ένδικο βοήθημα ενώπιον ανεξάρτητου και αμερόληπτου δικαστηρίου προκειμένου να εξασφαλίσουν πρόσβαση στα δεδομένα προσωπικού χαρακτήρα τα οποία τα αφορούν ή να επιτύχουν τη διόρθωση ή τη διαγραφή τέτοιων δεδομένων (187).

(144)

Οι περιορισμοί και οι εγγυήσεις που ισχύουν για τη συλλογή και επακόλουθη χρήση δεδομένων προσωπικού χαρακτήρα από τις δημόσιες αρχές της Κορέας απορρέουν από το γενικό συνταγματικό πλαίσιο, από ειδικούς νόμους που ρυθμίζουν τις δραστηριότητές τους στους τομείς της επιβολής του ποινικού δικαίου και της εθνικής ασφάλειας, καθώς και από τους κανόνες που εφαρμόζονται ειδικά στην επεξεργασία δεδομένων προσωπικού χαρακτήρα.

(145)

Πρώτον, η πρόσβαση των κορεατικών δημόσιων αρχών σε δεδομένα προσωπικού χαρακτήρα διέπεται από τις γενικές αρχές της νομιμότητας, της αναγκαιότητας και της αναλογικότητας που απορρέουν από το Σύνταγμα της Κορέας (188). Ειδικότερα, τα θεμελιώδη δικαιώματα και οι θεμελιώδεις ελευθερίες (συμπεριλαμβανομένου του δικαιώματος στην ιδιωτική ζωή και του δικαιώματος στο απόρρητο της αλληλογραφίας) (189) μπορούν να περιορίζονται μόνο από τον νόμο και όταν είναι αναγκαίο για λόγους εθνικής ασφάλειας ή για την τήρηση του νόμου και της τάξης προς το δημόσιο συμφέρον. Οι εν λόγω περιορισμοί δεν μπορούν να επηρεάζουν την ουσία του εν λόγω δικαιώματος ή της εν λόγω ελευθερίας. Όσον αφορά συγκεκριμένα τις έρευνες και τις κατασχέσεις, το Σύνταγμα ορίζει ότι αυτές μπορούν να πραγματοποιούνται μόνο σύμφωνα με τον νόμο, βάσει εντάλματος που εκδίδεται από δικαστή και με τήρηση της δέουσας διαδικασίας (190). Τέλος, τα φυσικά πρόσωπα μπορούν να αξιώσουν την προστασία των δικαιωμάτων και των ελευθεριών τους ενώπιον του Συνταγματικού Δικαστηρίου, εάν πιστεύουν ότι αυτά έχουν παραβιαστεί από δημόσιες αρχές κατά την άσκηση των αρμοδιοτήτων τους (191). Ομοίως, φυσικά πρόσωπα που έχουν υποστεί ζημία λόγω παράνομης πράξης που διέπραξε δημόσιος λειτουργός κατά την άσκηση των καθηκόντων του έχουν δικαίωμα να αξιώσουν δίκαιη αποζημίωση (192).

(146)

Δεύτερον, όπως περιγράφεται αναλυτικότερα στα τμήματα 3.2.1 και 3.3.1, οι γενικές αρχές που αναφέρονται στην αιτιολογική σκέψη 145 αντικατοπτρίζονται επίσης στους ειδικούς νόμους που ρυθμίζουν τις εξουσίες των αρχών επιβολής του νόμου και των αρχών εθνικής ασφάλειας. Για παράδειγμα, όσον αφορά τις ποινικές έρευνες, ο νόμος για την ποινική δικονομία (στο εξής: CPA) προβλέπει ότι υποχρεωτικά μέτρα μπορούν να λαμβάνονται μόνο στις περιπτώσεις που προβλέπονται ρητά στον CPA και στον ελάχιστο αναγκαίο βαθμό για την επίτευξη του σκοπού της ποινικής έρευνας (193). Ομοίως, το άρθρο 3 του νόμου για την προστασία του απορρήτου των επικοινωνιών (στο εξής: CCPA) απαγορεύει την πρόσβαση σε ιδιωτικές επικοινωνίες, εκτός εάν αυτή πραγματοποιείται βάσει νόμου και υπό τους περιορισμούς και τις εγγυήσεις που προβλέπονται σε αυτόν. Στον τομέα της εθνικής ασφάλειας, ο νόμος για την Εθνική Υπηρεσία Πληροφοριών (στο εξής: νόμος NIS) προβλέπει ότι κάθε πρόσβαση σε επικοινωνίες ή πληροφορίες θέσης πρέπει να συμμορφώνεται με τη νομοθεσία και επιβάλλει ποινικές κυρώσεις για την κατάχρηση εξουσίας και τις παραβιάσεις της νομοθεσίας (194).

(147)

Τρίτον, η επεξεργασία δεδομένων προσωπικού χαρακτήρα από δημόσιες αρχές, μεταξύ άλλων για σκοπούς επιβολής του νόμου και εθνικής ασφάλειας, υπόκειται στους κανόνες προστασίας των δεδομένων βάσει του PIPA (195). Ως γενική αρχή, το άρθρο 5 παράγραφος 1 του PIPA ορίζει ότι οι δημόσιες αρχές πρέπει να αναπτύξουν πολιτικές για την πρόληψη της «κατάχρησης και κακής χρήσης προσωπικών πληροφοριών, της αδιάκριτης επιτήρησης και παρακολούθησης κ.λπ. και για την προαγωγή της αξιοπρέπειας των ανθρώπων και της ιδιωτικής ζωής των φυσικών προσώπων». Επίσης, κάθε υπεύθυνος επεξεργασίας πρέπει να επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα με τρόπο ώστε να ελαχιστοποιείται η πιθανότητα παραβίασης της ιδιωτικής ζωής του υποκειμένου των δεδομένων (άρθρο 3 παράγραφος 6 του PIPA).

(148)

Όλες οι απαιτήσεις του PIPA, όπως περιγράφονται λεπτομερώς στο τμήμα 2, εφαρμόζονται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς επιβολής του νόμου. Σε αυτές περιλαμβάνονται οι βασικές αρχές (όπως η νομιμότητα και ο θεμιτός χαρακτήρας, ο περιορισμός του σκοπού, η ακρίβεια, η ελαχιστοποίηση των δεδομένων, ο περιορισμός της αποθήκευσης, η ασφάλεια και η διαφάνεια), οι υποχρεώσεις (για παράδειγμα, όσον αφορά την κοινοποίηση των παραβιάσεων δεδομένων και τα ευαίσθητα δεδομένα) και τα δικαιώματα (πρόσβασης, διόρθωσης, διαγραφής και αναστολής).

(149)

Αν και η επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς εθνικής ασφάλειας υπόκειται σε πιο περιορισμένο σύνολο διατάξεων βάσει του PIPA, ισχύουν οι βασικές αρχές, καθώς και οι κανόνες για την εποπτεία, την επιβολή της νομοθεσίας και την έννομη προστασία (196). Ειδικότερα, τα άρθρα 3 και 4 του PIPA καθορίζουν τις γενικές αρχές προστασίας των δεδομένων (νομιμότητα και θεμιτός χαρακτήρας, περιορισμός του σκοπού, ακρίβεια, ελαχιστοποίηση των δεδομένων, ασφάλεια και διαφάνεια) και τα ατομικά δικαιώματα (το δικαίωμα ενημέρωσης, το δικαίωμα πρόσβασης και τα δικαιώματα διόρθωσης, διαγραφής και αναστολής) (197). Περαιτέρω, το άρθρο 4 παράγραφος 5 του PIPA παρέχει στα φυσικά πρόσωπα το δικαίωμα κατάλληλης αποκατάστασης για κάθε ζημία που προκύπτει από την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν στο πλαίσιο μιας ταχείας και δίκαιης διαδικασίας. Αυτό συμπληρώνεται από τις πιο συγκεκριμένες υποχρεώσεις της επεξεργασίας δεδομένων προσωπικού χαρακτήρα μόνο στον ελάχιστο αναγκαίο βαθμό για την επίτευξη του επιδιωκόμενου σκοπού και για την ελάχιστη περίοδο, της θέσπισης των αναγκαίων μέτρων για τη διασφάλιση της ασφαλούς διαχείρισης και της κατάλληλης επεξεργασίας των δεδομένων (όπως τεχνικών, διοικητικών και υλικών εγγυήσεων), καθώς και της θέσπισης μέτρων για τον κατάλληλο χειρισμό των ατομικών παραπόνων (καταγγελιών) (198). Τέλος, οι γενικές αρχές της νομιμότητας, της αναγκαιότητας και της αναλογικότητας του κορεατικού Συντάγματος (βλ. αιτιολογική σκέψη 145) ισχύουν επίσης για την επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς εθνικής ασφάλειας.

(150)

Τα φυσικά πρόσωπα μπορούν να επικαλούνται αυτούς τους γενικούς περιορισμούς και εγγυήσεις ενώπιον ανεξάρτητων εποπτικών φορέων (π.χ. της PIPC και/ή της Εθνικής Επιτροπής Ανθρωπίνων Δικαιωμάτων, βλ. αιτιολογικές σκέψεις 177 και 178) και των δικαστηρίων (βλ. αιτιολογικές σκέψεις 179 έως 183) για τη διασφάλιση έννομης προστασίας.

(151)

Το δίκαιο της Δημοκρατίας της Κορέας επιβάλλει σειρά περιορισμών στην πρόσβαση και τη χρήση δεδομένων προσωπικού χαρακτήρα για σκοπούς επιβολής του ποινικού δικαίου και προβλέπει μηχανισμούς εποπτείας και προσφυγής που συνάδουν με τις απαιτήσεις που αναφέρονται στις αιτιολογικές σκέψεις 141 έως 143 της παρούσας απόφασης. Οι όροι υπό τους οποίους μπορεί να αποκτηθεί τέτοια πρόσβαση και οι εγγυήσεις που ισχύουν για τη χρήση των εν λόγω εξουσιών αξιολογούνται λεπτομερώς στις επόμενες ενότητες.

(152)

Τα δεδομένα προσωπικού χαρακτήρα που θα υποβάλλονται σε επεξεργασία από Κορεάτες υπευθύνους επεξεργασίας και τα οποία θα έχουν διαβιβαστεί από την Ένωση βάσει της παρούσας απόφασης (199) θα μπορούν να συλλέγονται από κορεατικές αρχές για σκοπούς επιβολής του ποινικού δικαίου στο πλαίσιο έρευνας ή κατάσχεσης (βάσει του CPA), μέσω πρόσβασης σε πληροφορίες επικοινωνίας (βάσει του CCPA) ή μέσω της λήψης δεδομένων συνδρομητή μέσω αιτημάτων για οικειοθελή γνωστοποίηση (βάσει του νόμου για τις επιχειρήσεις τηλεπικοινωνιών, στο εξής: TBA) (200).

(153)

Ο CPA προβλέπει ότι έρευνα ή κατάσχεση μπορεί να πραγματοποιηθεί μόνο εάν ένα πρόσωπο είναι ύποπτο για τη διάπραξη εγκλήματος, αν η έρευνα ή κατάσχεση είναι αναγκαία για τη διερεύνηση της υπόθεσης και διαπιστώνεται σύνδεση μεταξύ της διερεύνησης και του προσώπου που θα υποβληθεί σε έρευνα ή του αντικειμένου που θα επιθεωρηθεί ή θα κατασχεθεί (201). Επίσης, έρευνα ή κατάσχεση (όπως και κάθε υποχρεωτικό μέτρο) μπορεί να επιτραπεί/διενεργηθεί μόνο στον ελάχιστο αναγκαίο βαθμό (202). Εάν μια έρευνα αφορά δίσκο υπολογιστή ή άλλο μέσο αποθήκευσης δεδομένων, καταρχήν κατάσχονται μόνο τα ίδια τα απαραίτητα δεδομένα (μέσω αντιγραφής ή εκτύπωσης) και όχι ολόκληρο το μέσο (203). Αυτό μπορεί να κατασχεθεί μόνο όταν κρίνεται ουσιαστικά αδύνατη η χωριστή εκτύπωση ή αντιγραφή των απαιτούμενων δεδομένων ή όταν θεωρείται ουσιαστικά ανέφικτο να επιτευχθεί με άλλον τρόπο ο σκοπός της έρευνας (204). Ως εκ τούτου, ο CPA θεσπίζει σαφείς και ακριβείς κανόνες σχετικά με το πεδίο εφαρμογής και την εφαρμογή αυτών των μέτρων, διασφαλίζοντας έτσι ότι η παρέμβαση στα δικαιώματα των φυσικών προσώπων σε περίπτωση έρευνας ή κατάσχεσης θα περιορίζεται σε ό,τι είναι αναγκαίο για συγκεκριμένη ποινική έρευνα και θα είναι ανάλογη προς τον επιδιωκόμενο σκοπό.

(154)

Όσον αφορά τις διαδικαστικές εγγυήσεις, ο CPA απαιτεί την έκδοση εντάλματος από δικαστήριο για τη διενέργεια έρευνας ή κατάσχεσης (205). Έρευνα ή κατάσχεση χωρίς ένταλμα επιτρέπεται μόνο κατ’ εξαίρεση, και ειδικότερα σε επείγουσες περιπτώσεις (206), επιτόπου κατά τη στιγμή της σύλληψης ή της θέσης υπό κράτηση υπόπτου για τη διάπραξη εγκληματικής πράξης (207) ή όταν ένα αντικείμενο απορρίπτεται ή προσκομίζεται οικειοθελώς από ύποπτο για τη διάπραξη εγκληματικής πράξης ή τρίτο πρόσωπο (όσον αφορά τα δεδομένα προσωπικού χαρακτήρα, από το ίδιο το οικείο πρόσωπο) (208). Οι παράνομες έρευνες και κατασχέσεις υπόκεινται σε ποινικές κυρώσεις (209) και κάθε αποδεικτικό στοιχείο που λαμβάνεται κατά παράβαση του CPA θεωρείται απαράδεκτο (210). Τέλος, τα οικεία φυσικά πρόσωπα πρέπει πάντοτε να ενημερώνονται χωρίς καθυστέρηση σε περίπτωση έρευνας ή κατάσχεσης (συμπεριλαμβανομένης της κατάσχεσης των δεδομένων τους) (211), γεγονός που με τη σειρά του θα διευκολύνει την άσκηση των ουσιαστικών δικαιωμάτων του φυσικού προσώπου και του δικαιώματος προσφυγής (βλ. ιδίως τη δυνατότητα προσβολής της εκτέλεσης εντάλματος κατάσχεσης, βλ. αιτιολογική σκέψη 180).

(155)

Βάσει του CPPA, οι κορεατικές αρχές επιβολής του ποινικού δικαίου μπορούν να λάβουν δύο είδη μέτρων (212): αφενός, μπορούν να λάβουν μέτρα συλλογής «δεδομένων επιβεβαίωσης επικοινωνιών» (213), τα οποία περιλαμβάνουν την ημερομηνία των τηλεπικοινωνιών, την ώρα έναρξης και λήξης τους, τον αριθμό των εξερχόμενων και εισερχόμενων κλήσεων, καθώς και τον αριθμό συνδρομητή του άλλου μέρους της επικοινωνίας, τη συχνότητα χρήσης, τα αρχεία καταγραφής σχετικά με τη χρήση τηλεπικοινωνιακών υπηρεσιών και τις πληροφορίες θέσης (για παράδειγμα, από πύργους μετάδοσης στους οποίους λαμβάνονται σήματα)· και, αφετέρου, μπορούν να λάβουν «μέτρα περιορισμού επικοινωνιών», τα οποία καλύπτουν τόσο τη συλλογή του περιεχομένου παραδοσιακού ταχυδρομείου όσο και την άμεση παρακολούθηση του περιεχομένου τηλεπικοινωνιών (214).

(156)

Η πρόσβαση σε δεδομένα επιβεβαίωσης επικοινωνιών επιτρέπεται μόνο όταν είναι αναγκαία για τη διεξαγωγή ποινικής έρευνας ή την εκτέλεση ποινής (215), βάσει εντάλματος που έχει εκδοθεί από δικαστήριο (216). Στο πλαίσιο αυτό, ο CPPA απαιτεί να παρέχονται λεπτομερείς πληροφορίες τόσο στην αίτηση έκδοσης του εντάλματος (π.χ. σχετικά με τους λόγους του αιτήματος, τη σχέση με τον στόχο/συνδρομητή και τα απαραίτητα δεδομένα) όσο και στο ίδιο το ένταλμα (π.χ. σχετικά με τον σκοπό, τον στόχο και το πεδίο εφαρμογής του μέτρου) (217). Συλλογή δεδομένων χωρίς ένταλμα μπορεί να πραγματοποιηθεί μόνο όταν λόγοι επείγουσας ανάγκης καθιστούν αδύνατη τη λήψη δικαστικής άδειας, περίπτωση στην οποία το ένταλμα πρέπει να ληφθεί και να κοινοποιηθεί στον πάροχο τηλεπικοινωνιακών υπηρεσιών αμέσως μετά την αίτηση λήψης των δεδομένων (218). Εάν το δικαστήριο αρνηθεί να χορηγήσει μεταγενέστερη άδεια, οι πληροφορίες που συλλέχθηκαν πρέπει να καταστραφούν (219).

(157)

Όσον αφορά τις πρόσθετες εγγυήσεις σχετικά με τη συλλογή δεδομένων επιβεβαίωσης επικοινωνιών, ο CPPA επιβάλλει ειδικές απαιτήσεις τήρησης αρχείων και διαφάνειας (220). Ειδικότερα, τόσο οι αρχές επιβολής του ποινικού δικαίου (221) όσο και οι πάροχοι τηλεπικοινωνιακών υπηρεσιών (222) πρέπει να τηρούν αρχεία με τις αιτήσεις που έχουν υποβληθεί και τις κοινοποιήσεις που έχουν πραγματοποιηθεί. Επίσης, οι αρχές επιβολής του ποινικού δικαίου πρέπει καταρχήν να κοινοποιούν στα φυσικά πρόσωπα το γεγονός ότι έχουν συλλεχθεί δεδομένα επιβεβαίωσης των επικοινωνιών τους (223). Η εν λόγω κοινοποίηση μπορεί να αναβάλλεται μόνο σε εξαιρετικές περιπτώσεις, βάσει άδειας του διευθυντή της αρμόδιας τοπικής εισαγγελίας (224). Τέτοια άδεια μπορεί να παρέχεται μόνο όταν η κοινοποίηση ενδέχεται 1) να θέσει σε κίνδυνο την εθνική ασφάλεια, τη δημόσια ασφάλεια και τάξη, 2) να προκαλέσει θάνατο ή σωματική βλάβη, 3) να παρακωλύσει τη δίκαιη δικαστική διαδικασία (για παράδειγμα, να οδηγήσει στην καταστροφή αποδεικτικών στοιχείων ή σε απειλές κατά μαρτύρων) ή 4) να δυσφημίσει τον ύποπτο, τα θύματα ή άλλα πρόσωπα που σχετίζονται με την υπόθεση ή να παραβιάσει την ιδιωτική τους ζωή. Στις εν λόγω περιπτώσεις, η κοινοποίηση πρέπει να πραγματοποιείται εντός 30 ημερών από τη στιγμή που παύουν να υφίστανται οι λόγοι της αναβολής (225). Μετά την κοινοποίηση, τα φυσικά πρόσωπα έχουν το δικαίωμα να λάβουν πληροφορίες σχετικά με τους λόγους για τη συλλογή των δεδομένων τους (226).

(158)

Αυστηρότεροι κανόνες ισχύουν όσον αφορά τα μέτρα περιορισμού επικοινωνιών, τα οποία μπορούν να χρησιμοποιούνται μόνο όταν υπάρχουν βάσιμες υπόνοιες ότι σχεδιάζονται, διαπράττονται ή έχουν διαπραχθεί ορισμένα σοβαρά εγκλήματα που απαριθμούνται συγκεκριμένα στον CPPA (227). Επίσης, μέτρα περιορισμού επικοινωνιών μπορούν να λαμβάνονται μόνο ως έσχατη λύση και όταν είναι δύσκολο να αποτραπεί με άλλον τρόπο η διάπραξη ενός εγκλήματος, η σύλληψη ενός εγκληματία ή η συλλογή αποδεικτικών στοιχείων (228). Πρέπει να διακόπτονται αμέσως μόλις δεν είναι πλέον αναγκαία, ώστε να διασφαλίζεται ότι η παραβίαση του απορρήτου των επικοινωνιών είναι όσο το δυνατόν πιο περιορισμένη (229). Πληροφορίες που έχουν αποκτηθεί παράνομα μέσω μέτρων περιορισμού επικοινωνιών δεν γίνονται δεκτές ως αποδεικτικά στοιχεία στο πλαίσιο δικαστικών ή πειθαρχικών διαδικασιών (230).

(159)

Όσον αφορά τις διαδικαστικές εγγυήσεις, ο CPPA απαιτεί την έκδοση δικαστικού εντάλματος για την εφαρμογή μέτρων περιορισμού επικοινωνιών (231). Και σε αυτήν την περίπτωση, ο CPPA απαιτεί η αίτηση έκδοσης εντάλματος και το ίδιο το ένταλμα να περιέχουν λεπτομερείς πληροφορίες (232), μεταξύ άλλων σχετικά με τη δικαιολόγηση του αιτήματος, καθώς και τις επικοινωνίες των οποίων τα δεδομένα πρόκειται να συλλεχθούν (οι οποίες πρέπει να είναι επικοινωνίες του υπόπτου που αποτελεί αντικείμενο της έρευνας) (233). Τα εν λόγω μέτρα μπορούν να λαμβάνονται χωρίς ένταλμα μόνο σε περίπτωση επικείμενης απειλής οργανωμένου εγκλήματος ή όταν επίκειται άλλο σοβαρό έγκλημα που μπορεί να προκαλέσει άμεσα θάνατο ή σοβαρό τραυματισμό και υπάρχει κατάσταση έκτακτης ανάγκης που καθιστά αδύνατη την εφαρμογή της τακτικής διαδικασίας (234). Ωστόσο, στην περίπτωση αυτή, αίτηση έκδοσης εντάλματος πρέπει να υποβληθεί αμέσως μετά τη λήψη του μέτρου (235). Τα μέτρα περιορισμού επικοινωνιών μπορούν να εφαρμόζονται μόνο για μέγιστη περίοδο δύο μηνών (236) και μπορούν να παραταθούν με δικαστική άδεια μόνο εφόσον εξακολουθούν να πληρούνται οι προϋποθέσεις εφαρμογής τους (237). Η παραταθείσα περίοδος δεν μπορεί να υπερβαίνει συνολικά το ένα έτος ή τα τρία έτη για ορισμένα ιδιαίτερα σοβαρά εγκλήματα (όπως εγκλήματα που σχετίζονται με εξέγερση, με εξωτερική επίθεση, με την εθνική ασφάλεια) (238).

(160)

Όπως και στην περίπτωση της συλλογής δεδομένων επιβεβαίωσης επικοινωνιών, ο CPPA απαιτεί από τους παρόχους τηλεπικοινωνιακών υπηρεσιών (239) και τις αρχές επιβολής του νόμου (240) να τηρούν αρχεία για την εκτέλεση των μέτρων περιορισμού επικοινωνιών και προβλέπει κοινοποίηση στο οικείο φυσικό πρόσωπο, η οποία μπορεί κατ’ εξαίρεση να αναβληθεί αν είναι αναγκαίο για σημαντικούς λόγους δημόσιου συμφέροντος (241).

(161)

Τέλος, η μη συμμόρφωση με αρκετούς από τους περιορισμούς και τις εγγυήσεις του CPPA (συμπεριλαμβανομένων, για παράδειγμα, των υποχρεώσεων λήψης εντάλματος, τήρησης αρχείων και ενημέρωσης του φυσικού προσώπου), τόσο όσον αφορά τη συλλογή δεδομένων επιβεβαίωσης επικοινωνιών όσο και τη χρήση μέτρων περιορισμού επικοινωνιών, υπόκειται σε ποινικές κυρώσεις (242).

(162)

Ως εκ τούτου, οι εξουσίες των αρχών επιβολής του ποινικού δικαίου να συλλέγουν δεδομένα επικοινωνιών βάσει του CPPA (τόσο το περιεχόμενο επικοινωνιών όσο και δεδομένα επιβεβαίωσης επικοινωνιών) οριοθετούνται από σαφείς και ακριβείς κανόνες και υπόκεινται σε σειρά εγγυήσεων. Οι εγγυήσεις αυτές διασφαλίζουν ιδίως την εποπτεία της εκτέλεσης των εν λόγω μέτρων, τόσο εκ των προτέρων (μέσω προηγούμενης δικαστικής έγκρισης) όσο και εκ των υστέρων (μέσω απαιτήσεων τήρησης αρχείων και υποβολής εκθέσεων), και διευκολύνουν την πρόσβαση των φυσικών προσώπων σε αποτελεσματικά ένδικα βοηθήματα (μέσω της διασφάλισης της ενημέρωσής τους σχετικά με τη συλλογή των δεδομένων που τα αφορούν).

(163)

Εκτός από τα υποχρεωτικά μέτρα που περιγράφονται στις αιτιολογικές σκέψεις 153 έως 162, οι κορεατικές αρχές επιβολής του νόμου μπορούν να ζητούν από τους παρόχους τηλεπικοινωνιακών υπηρεσιών «δεδομένα επικοινωνιών» σε οικειοθελή βάση, για την υποστήριξη ποινικής δίκης, έρευνας ή την εκτέλεση ποινής (άρθρο 83 παράγραφος 3 του TBA). Η δυνατότητα αυτή υπάρχει μόνο όσον αφορά περιορισμένα σύνολα δεδομένων, δηλαδή όσον αφορά το όνομα, τον αριθμό μητρώου κατοίκου, τη διεύθυνση και τον αριθμό τηλεφώνου χρηστών, τις ημερομηνίες κατά τις οποίες χρήστες εγγράφονται ως συνδρομητές ή τερματίζουν τη συνδρομή τους, καθώς και τους κωδικούς ταυτοποίησης χρήστη (δηλαδή τους κωδικούς που χρησιμοποιούνται για την ταυτοποίηση του νόμιμου χρήστη συστημάτων υπολογιστών ή δικτύων επικοινωνιών) (243). Δεδομένου ότι «χρήστες» θεωρούνται μόνο φυσικά πρόσωπα που συμβάλλονται για τη λήψη υπηρεσιών απευθείας με Κορεάτες παρόχους τηλεπικοινωνιακών υπηρεσιών (244), τα φυσικά πρόσωπα της ΕΕ των οποίων τα δεδομένα έχουν διαβιβαστεί στη Δημοκρατία της Κορέας κανονικά δεν θα εμπίπτουν στην κατηγορία αυτή (245).

(164)

Σε αυτές τις οικειοθελείς γνωστοποιήσεις ισχύουν διαφορετικοί περιορισμοί, τόσο για την άσκηση εξουσιών από την αρχή επιβολής του νόμου όσο και για την απόκριση του τηλεπικοινωνιακού φορέα. Ως γενική απαίτηση, οι αρχές επιβολής του νόμου πρέπει να ενεργούν σύμφωνα με τις συνταγματικές αρχές της αναγκαιότητας και της αναλογικότητας (άρθρο 12 παράγραφος 1 και άρθρο 37 παράγραφος 2 του Συντάγματος), ακόμη και όταν ζητούν πληροφορίες σε οικειοθελή βάση. Επιπλέον, πρέπει να συμμορφώνονται με τον PIPA και, ιδίως, να συλλέγουν μόνο τα ελάχιστα δυνατά δεδομένα προσωπικού χαρακτήρα, στον βαθμό που απαιτείται για την επίτευξη νόμιμου σκοπού και με τρόπο ώστε να ελαχιστοποιείται ο αντίκτυπος στην ιδιωτική ζωή των φυσικών προσώπων (όπως ορίζεται για παράδειγμα στο άρθρο 3 παράγραφοι 1 και 6 του PIPA). Ειδικότερα, οι αιτήσεις για τη λήψη δεδομένων επικοινωνιών βάσει του TBA πρέπει να υποβάλλονται γραπτώς και να αναφέρουν τους λόγους της αίτησης, τη σύνδεση με τον οικείο χρήστη και το εύρος των ζητούμενων δεδομένων (246).

(165)

Οι πάροχοι τηλεπικοινωνιακών υπηρεσιών δεν υποχρεούνται να συμμορφώνονται με τα εν λόγω αιτήματα και μπορούν να το πράττουν μόνο σύμφωνα με τον PIPA. Αυτό σημαίνει, ειδικότερα, ότι πρέπει να σταθμίζουν τα διάφορα διακυβευόμενα συμφέροντα και δεν μπορούν να παρέχουν τα δεδομένα εάν αυτό ενδέχεται να βλάψει αδικαιολόγητα τα συμφέροντα του φυσικού προσώπου ή τρίτου (247). Αυτό θα συμβαίνει, για παράδειγμα, εάν είναι σαφές ότι η αιτούσα αρχή προβαίνει σε κατάχρηση της εξουσίας της (248). Οι τηλεπικοινωνιακοί φορείς πρέπει να τηρούν αρχεία των γνωστοποιήσεων βάσει του TBA και να υποβάλλουν έκθεση δύο φορές ετησίως στον υπουργό Επιστημών και ΤΠΕ (249).

(166)

Επίσης, σύμφωνα με το τμήμα 3 της κοινοποίησης αριθ. 2021-5 (παράρτημα I), οι πάροχοι τηλεπικοινωνιακών υπηρεσιών πρέπει καταρχήν να ενημερώνουν το οικείο φυσικό πρόσωπο όταν συμμορφώνονται οικειοθελώς με αίτημα (250). Η ενημέρωση αυτή δίνει με τη σειρά της στο φυσικό πρόσωπο τη δυνατότητα να ασκήσει τα δικαιώματά του και, σε περίπτωση που τα δεδομένα του γνωστοποιούνται παράνομα, να προσφύγει είτε κατά του υπευθύνου επεξεργασίας (για παράδειγμα, λόγω γνωστοποίησης δεδομένων κατά παράβαση του PIPA ή λόγω ανταπόκρισης σε αίτημα που ήταν σαφώς δυσανάλογο) είτε κατά της αρχής επιβολής του νόμου (για παράδειγμα, λόγω υπέρβασης των ορίων του αναγκαίου και αναλογικού ή λόγω μη τήρησης των διαδικαστικών απαιτήσεων του TBA).

(167)

Η επεξεργασία δεδομένων προσωπικού χαρακτήρα που συλλέγονται από κορεατικές αρχές επιβολής του ποινικού δικαίου υπόκειται σε όλες τις απαιτήσεις του PIPA, μεταξύ άλλων όσον αφορά τον περιορισμό του σκοπού (άρθρο 3 παράγραφοι 1 και 2 του PIPA), τη νομιμότητα της χρήσης και την παροχή σε τρίτους (άρθρα 15, 17 και 18 του PIPA), τις διεθνείς διαβιβάσεις (άρθρα 17 και 18 του PIPA σε συνδυασμό με το τμήμα 2 της κοινοποίησης 2021-5) (251), την αναλογικότητα/ελαχιστοποίηση των δεδομένων (άρθρο 3 παράγραφοι 1 και 6 του PIPA) και τον περιορισμό της αποθήκευσης (άρθρο 21 του PIPA) (252).

(168)

Όσον αφορά το περιεχόμενο επικοινωνιών που αποκτάται μέσω της εκτέλεσης μέτρων περιορισμού επικοινωνιών, ο CPPA περιορίζει συγκεκριμένα την πιθανή χρήση του στη διερεύνηση, τη δίωξη ή την πρόληψη σοβαρών εγκλημάτων (253)· στις πειθαρχικές διαδικασίες για τα ίδια εγκλήματα· στις αγωγές αποζημίωσης που εγείρονται από ένα από τα μέρη της επικοινωνίας ή όταν αυτό επιτρέπεται ρητά από άλλους νόμους (254). Επίσης, το συλλεγόμενο περιεχόμενο τηλεπικοινωνιών που μεταδίδονται μέσω του διαδικτύου μπορεί να διατηρείται μόνο με την έγκριση του δικαστηρίου που ενέκρινε τα μέτρα περιορισμού επικοινωνιών (255), με σκοπό τη χρήση του για τη διερεύνηση, τη δίωξη ή την πρόληψη σοβαρών εγκλημάτων (256). Γενικότερα, ο CPPA απαγορεύει την κοινολόγηση εμπιστευτικών πληροφοριών που έχουν ληφθεί μέσω μέτρων περιορισμού επικοινωνιών, καθώς και τη χρήση των εν λόγω πληροφοριών για να πληγεί η φήμη των προσώπων που υποβλήθηκαν στα μέτρα (257).

(169)

Στην Κορέα, οι δραστηριότητες των αρχών επιβολής του ποινικού δικαίου εποπτεύονται από διάφορους φορείς (258).

(170)

Πρώτον, η αστυνομία υπόκειται σε εσωτερική εποπτεία από γενικό επιθεωρητή (259), ο οποίος διενεργεί έλεγχο νομιμότητας, μεταξύ άλλων όσον αφορά τις πιθανές παραβιάσεις ανθρωπίνων δικαιωμάτων. Η θέση του γενικού επιθεωρητή συστάθηκε για την εφαρμογή του νόμου για τους ελέγχους στον δημόσιο τομέα, ο οποίος ενθαρρύνει τη δημιουργία φορέων αυτοελέγχου και καθορίζει ειδικές απαιτήσεις για τη σύνθεση και τα καθήκοντά τους. Ειδικότερα, ο νόμος προβλέπει ότι ως προϊστάμενος φορέα αυτοελέγχου διορίζεται πρόσωπο εκτός της σχετικής αρχής (όπως πρώην δικαστής, καθηγητής) για περίοδο δύο έως πέντε ετών (260), ότι ο εν λόγω προϊστάμενος μπορεί να απολυθεί μόνο για δικαιολογημένη αιτία (για παράδειγμα, αν δεν είναι σε θέση να εκτελέσει τα καθήκοντά για λόγους υγείας ή αν υπόκειται σε πειθαρχικές κυρώσεις) (261) και ότι διασφαλίζεται η ανεξαρτησία του στον μέγιστο δυνατό βαθμό (262). Η παρεμπόδιση αυτοελέγχου τιμωρείται με διοικητικά πρόστιμα (263). Οι εκθέσεις ελέγχου (που μπορεί να περιλαμβάνουν συστάσεις, αιτήσεις λήψης πειθαρχικών μέτρων και αιτήσεις αποζημίωσης ή διόρθωσης) κοινοποιούνται στον προϊστάμενο της οικείας δημόσιας αρχής, στο Συμβούλιο Ελέγχου και Επιθεώρησης (στο εξής: ΒΑΙ) (264) και, γενικά, δημοσιοποιούνται (265). Τα αποτελέσματα της εφαρμογής της έκθεσης πρέπει επίσης να κοινοποιούνται στο ΒΑΙ (266) (βλ. αιτιολογική σκέψη 173 σχετικά με τον εποπτικό ρόλο και τις εξουσίες του ΒΑΙ).

(171)

Δεύτερον, η PIPC επιβλέπει τη συμμόρφωση της επεξεργασίας δεδομένων από τις αρχές επιβολής του ποινικού δικαίου με τον PIPA και τους άλλους νόμους που προστατεύουν την ιδιωτική ζωή των φυσικών προσώπων, συμπεριλαμβανομένων των νόμων που ρυθμίζουν τη συλλογή (ηλεκτρονικών) αποδεικτικών στοιχείων για σκοπούς επιβολής του ποινικού δικαίου, όπως περιγράφεται στο τμήμα 3.2.1 (267). Ειδικότερα, δεδομένου ότι η εποπτεία της PIPC εκτείνεται στη νομιμότητα και τον θεμιτό χαρακτήρα της συλλογής και επεξεργασίας δεδομένων (άρθρο 3 παράγραφος 1 του PIPA), στοιχεία τα οποία παραβιάζονται εάν η πρόσβαση σε δεδομένα προσωπικού χαρακτήρα και η χρήση των δεδομένων αυτών γίνονται κατά παράβαση των εν λόγω νόμων (268), η PIPC μπορεί επίσης να διερευνά και να επιβάλλει τη συμμόρφωση με τους περιορισμούς και τις εγγυήσεις που περιγράφονται στο τμήμα 3.2.1 (269). Κατά την άσκηση αυτού του εποπτικού ρόλου, η PIPC μπορεί να χρησιμοποιεί όλες τις εξουσίες έρευνας και επανόρθωσης που διαθέτει, όπως περιγράφεται λεπτομερώς στο τμήμα 2.4.2. Ήδη πριν από την πρόσφατη μεταρρύθμιση του PIPA (δηλαδή υπό τον προηγούμενο εποπτικό ρόλο της για τον δημόσιο τομέα), η PIPC ασκούσε διάφορες δραστηριότητες εποπτείας όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις αρχές επιβολής του ποινικού δικαίου, π.χ. στο πλαίσιο της ανάκρισης υπόπτων (υπόθεση αριθ. 2013-16, 26 Αυγούστου 2013), όσον αφορά την παροχή κοινοποιήσεων σε φυσικά πρόσωπα σχετικά με την επιβολή διοικητικών προστίμων (υπόθεση αριθ. 2015-02-04, 26 Ιανουαρίου 2015), την ανταλλαγή δεδομένων με άλλες αρχές (υπόθεση αριθ. 2018-15-146, 9 Ιουλίου 2018, υπόθεση αριθ. 2018-25-308, 10 Δεκεμβρίου 2018, υπόθεση αριθ. 2019-02-015, 29 Ιανουαρίου 2019), τη συλλογή δακτυλικών αποτυπωμάτων ή φωτογραφιών (υπόθεση αριθ. 2019-17-273, 9 Σεπτεμβρίου 2019), τη χρήση μη επανδρωμένων αεροσκαφών (υπόθεση αριθ. 2020-01-004, 13 Ιανουαρίου 2020). Στις εν λόγω υποθέσεις, η PIPC διερεύνησε τη συμμόρφωση με διάφορες διατάξεις του PIPA (π.χ. νομιμότητα της επεξεργασίας, αρχές του περιορισμού του σκοπού και της ελαχιστοποίησης των δεδομένων), αλλά και με σχετικές διατάξεις άλλων νόμων, όπως του νόμου για την ποινική δικονομία, και, όπου χρειαζόταν, εξέδωσε συστάσεις για την εναρμόνιση της επεξεργασίας με τις απαιτήσεις προστασίας των δεδομένων.

(172)

Τρίτον, ανεξάρτητη εποπτεία παρέχεται από την Εθνική Επιτροπή Ανθρωπίνων Δικαιωμάτων (στο εξής: NHRC) (270), η οποία μπορεί να διερευνά παραβιάσεις των δικαιωμάτων στην ιδιωτική ζωή και το απόρρητο των επικοινωνιών στο πλαίσιο της γενικής εντολής της για την προστασία των θεμελιωδών δικαιωμάτων που ορίζονται στα άρθρα 10 έως 22 του Συντάγματος. H NHRC αποτελείται από 11 επιτρόπους που πρέπει να διαθέτουν συγκεκριμένα προσόντα (271) και διορίζονται από τον πρόεδρο της Δημοκρατίας της Κορέας σύμφωνα με τις διαδικασίες που προβλέπονται στον νόμο. Ειδικότερα, τέσσερις επίτροποι διορίζονται έπειτα από πρόταση της Εθνοσυνέλευσης, τέσσερις έπειτα από πρόταση του προέδρου της Δημοκρατίας και τρεις έπειτα από πρόταση του προέδρου του Ανώτατου Δικαστηρίου (272). Ο πρόεδρος της NHRC διορίζεται από τον πρόεδρο της Δημοκρατίας μεταξύ των επιτρόπων και ο διορισμός του πρέπει να επιβεβαιωθεί από την Εθνοσυνέλευση (273). Οι επίτροποι (συμπεριλαμβανομένου του προέδρου) διορίζονται για ανανεώσιμη θητεία τριών ετών και μπορούν να απολυθούν μόνο εφόσον έχουν καταδικαστεί σε φυλάκιση ή δεν είναι πλέον σε θέση να εκτελέσουν τα καθήκοντά τους λόγω παρατεταμένης σωματικής ή διανοητικής αδυναμίας (περίπτωση στην οποία τα δύο τρίτα των επιτρόπων πρέπει να συμφωνήσουν για την απόλυση) (274). Στο πλαίσιο έρευνας, η NHRC μπορεί να ζητεί την υποβολή σχετικού υλικού, να διενεργεί επιθεωρήσεις και να καλεί άτομα να καταθέσουν (275). Όσον αφορά τις εξουσίες επανόρθωσης, η NHRC μπορεί να εκδίδει (δημόσιες) συστάσεις για τη βελτίωση ή τη διόρθωση συγκεκριμένων πολιτικών και πρακτικών, στις οποίες οι δημόσιες αρχές πρέπει να ανταποκρίνονται με προτεινόμενο σχέδιο εφαρμογής (276). Εάν η οικεία αρχή δεν εφαρμόσει τις συστάσεις, πρέπει να ενημερώσει σχετικά τη NHRC (277), η οποία με τη σειρά της μπορεί να γνωστοποιήσει την εν λόγω μη εφαρμογή στην Εθνοσυνέλευση και/ή να τη δημοσιοποιήσει. Σύμφωνα με την επίσημη δήλωση της κυβέρνησης της Κορέας (τμήμα 2.3.5 του παραρτήματος ΙΙ), οι κορεατικές αρχές γενικά συμμορφώνονται με τις συστάσεις της NHRC και έχουν ισχυρό κίνητρο να το πράττουν, καθώς η εφαρμογή των συστάσεων αξιολογείται στο πλαίσιο γενικής, συνεχούς αξιολόγησης υπό την εποπτεία του Γραφείου του Πρωθυπουργού. Τα ετήσια στοιχεία για τις δραστηριότητές της δείχνουν ότι η NHRC εποπτεύει ενεργά τις δραστηριότητες των αρχών επιβολής του ποινικού δικαίου, είτε βάσει ατομικών αναφορών είτε μέσω αυτεπάγγελτων ερευνών (278).

(173)

Τέταρτον, γενική εποπτεία της νομιμότητας των δραστηριοτήτων των δημόσιων αρχών ασκείται από το BAI, το οποίο εξετάζει τα έσοδα και τις δαπάνες του κράτους, αλλά και επιβλέπει, γενικότερα, την τήρηση των υποχρεώσεων των δημόσιων αρχών με σκοπό τη βελτίωση της λειτουργίας της δημόσιας διοίκησης (279). Το ΒΑΙ τυπικά υπάγεται στον πρόεδρο της Δημοκρατίας της Κορέας, αλλά διατηρεί ανεξάρτητο καθεστώς όσον αφορά τα καθήκοντά του (280). Επίσης, διαθέτει πλήρη ανεξαρτησία όσον αφορά τον διορισμό, την απόλυση και την οργάνωση του προσωπικού του, καθώς και την κατάρτιση του προϋπολογισμού του (281). Το ΒΑΙ αποτελείται από το πρόεδρό του (που διορίζεται από τον πρόεδρο της Δημοκρατίας με τη συγκατάθεση της Εθνοσυνέλευσης) (282) και έξι επιτρόπους (που διορίζονται από τον πρόεδρο της Δημοκρατίας κατόπιν εισήγησης του προέδρου του BAI) (283), οι οποίοι πρέπει να διαθέτουν ειδικά προσόντα που προβλέπονται στον νόμο (284) και μπορούν να απολυθούν μόνο σε περίπτωση άσκησης δίωξης, καταδίκης σε φυλάκιση ή αδυναμίας εκτέλεσης των καθηκόντων τους λόγω μακροχρόνιας διανοητικής ή σωματικής αδυναμίας (285). Το ΒΑΙ διενεργεί γενικό έλεγχο σε ετήσια βάση, αλλά μπορεί επίσης να διενεργεί ειδικούς ελέγχους σε θέματα ειδικού ενδιαφέροντος. Κατά τη διενέργεια ελέγχου ή επιθεώρησης, το ΒΑΙ μπορεί να ζητήσει την υποβολή εγγράφων και την παρουσία φυσικών προσώπων (286). Το ΒΑΙ μπορεί να εκδίδει συστάσεις, να ζητεί την άσκηση πειθαρχικών διώξεων ή να υποβάλλει ποινικές αναφορές (287).

(174)

Τέλος, η Εθνοσυνέλευση ασκεί κοινοβουλευτική εποπτεία στις δημόσιες αρχές μέσω ερευνών και επιθεωρήσεων (288) των δραστηριοτήτων τους (289). Μπορεί να ζητεί την υποβολή εγγράφων, να επιβάλλει την προσέλευση μαρτύρων (290), να υποδεικνύει διορθωτικά μέτρα (εάν καταλήξει στο συμπέρασμα ότι έχουν διαπραχθεί παράνομες ή αθέμιτες δραστηριότητες) (291) και να δημοσιοποιεί τα αποτελέσματα των ευρημάτων της (292). Όταν η Εθνοσυνέλευση ζητεί τη λήψη διορθωτικών μέτρων —τα οποία μπορεί, για παράδειγμα, να περιλαμβάνουν την καταβολή αποζημίωσης, τη λήψη πειθαρχικών μέτρων ή τη βελτίωση των εσωτερικών διαδικασιών— η οικεία δημόσια αρχή οφείλει να ενεργήσει χωρίς καθυστέρηση και να υποβάλει έκθεση σχετικά με το αποτέλεσμα στην Εθνοσυνέλευση (293).

(175)

Το κορεατικό σύστημα προσφέρει διάφορους (δικαστικούς) τρόπους αναζήτησης έννομης προστασίας, συμπεριλαμβανομένης της αποζημίωσης.

(176)

Πρώτον, ο PIPA παρέχει στα φυσικά πρόσωπα δικαίωμα πρόσβασης, διόρθωσης, διαγραφής και αναστολής όσον αφορά τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία για σκοπούς επιβολής του ποινικού δικαίου (294).

(177)

Δεύτερον, τα φυσικά πρόσωπα μπορούν να κάνουν χρήση των διαφόρων μηχανισμών προσφυγής που προσφέρει ο PIPA εάν τα δεδομένα τους έχουν υποβληθεί σε επεξεργασία από αρχή επιβολής του ποινικού δικαίου κατά παράβαση του PIPA ή κατά παράβαση των περιορισμών και των εγγυήσεων που διέπουν τη συλλογή δεδομένων προσωπικού χαρακτήρα βάσει άλλων νόμων (π.χ. του CPA ή του CPPA, βλ. αιτιολογική σκέψη 171). Ειδικότερα, τα φυσικά πρόσωπα μπορούν να υποβάλουν καταγγελία στην PIPC (μεταξύ άλλων μέσω του κέντρου κλήσεων για την προστασία της ιδιωτικής ζωής που διαχειρίζεται ο Οργανισμός Διαδικτύου και Ασφάλειας της Κορέας (295)) ή στην επιτροπή διαμεσολάβησης για διαφορές που αφορούν προσωπικές πληροφορίες (296). Αυτές οι δυνατότητες προσφυγής δεν υπόκεινται σε περαιτέρω απαιτήσεις παραδεκτού. Βάσει του νόμου για τις διοικητικές διαφορές, τα φυσικά πρόσωπα μπορούν επίσης να προσβάλουν τις αποφάσεις ή παραλείψεις της PIPC (βλ. αιτιολογική σκέψη 132).

(178)

Τρίτον, οποιοδήποτε φυσικό πρόσωπο (297) μπορεί να υποβάλει καταγγελία ενώπιον της NHRC σχετικά με παραβίαση του δικαιώματος στην ιδιωτική ζωή και την προστασία των δεδομένων από κορεατική αρχή επιβολής του ποινικού δικαίου. Η NHRC μπορεί να συστήσει τη διόρθωση ή τη βελτίωση οποιουδήποτε σχετικού νομοθετήματος, θεσμικού οργάνου, πολιτικής ή πρακτικής (298) ή την εφαρμογή διορθωτικών μέτρων, όπως διαμεσολάβησης (299), την παύση της παραβίασης ανθρωπίνων δικαιωμάτων, αποζημίωση και μέτρα για την πρόληψη της επανάληψης των ίδιων ή παρόμοιων παραβιάσεων (300). Σύμφωνα με την επίσημη δήλωση της κυβέρνησης της Κορέας (παράρτημα II τμήμα 2.4.2), στα εν λόγω μέτρα μπορεί να περιλαμβάνεται επίσης η διαγραφή δεδομένων προσωπικού χαρακτήρα που έχουν συλλεχθεί παράνομα. Παρόλο που η NHRC δεν έχει την εξουσία να εκδίδει δεσμευτικές αποφάσεις, παρέχει μια πιο άτυπη, χαμηλού κόστους και εύκολα προσβάσιμη οδό προσφυγής, ιδίως επειδή, όπως εξηγείται στο παράρτημα II τμήμα 2.4.2, δεν απαιτείται να αποδειχθεί πραγματική ζημία για να διερευνηθεί μια καταγγελία (301). Με τον τρόπο αυτό διασφαλίζεται ότι οι καταγγελίες των φυσικών προσώπων σχετικά με τη συλλογή των δεδομένων τους μπορούν να διερευνηθούν, ακόμη και αν ένα πρόσωπο δεν είναι σε θέση να αποδείξει ότι τα δεδομένα του έχουν πράγματι συλλεχθεί (π.χ. επειδή δεν έχει ακόμη γίνει κοινοποίηση στο πρόσωπο). Οι ετήσιες εκθέσεις δραστηριοτήτων της NHRC δείχνουν ότι τα φυσικά πρόσωπα χρησιμοποιούν επίσης αυτή την οδό στην πράξη για να προσβάλουν δραστηριότητες των αρχών επιβολής του ποινικού δικαίου, μεταξύ άλλων όσον αφορά τον χειρισμό δεδομένων προσωπικού χαρακτήρα (302). Εάν ένα φυσικό πρόσωπο δεν είναι ικανοποιημένο με την έκβαση μιας διαδικασίας ενώπιον της NHRC, μπορεί να προσβάλει τις αποφάσεις (όπως την απόφαση να μη συνεχιστεί η διερεύνηση μιας καταγγελίας (303)) και τις συστάσεις της NHRC ενώπιον των κορεατικών δικαστηρίων σύμφωνα με τον νόμο για τις διοικητικές διαφορές (βλ. αιτιολογική σκέψη 181) (304). Επίσης, μια διαδικασία ενώπιον της NHRC μπορεί να διευκολύνει περαιτέρω την πρόσβαση στα δικαστήρια, δεδομένου ότι ένα άτομο θα μπορούσε να προσφύγει περαιτέρω κατά της δημόσιας αρχής που προέβη σε παράνομη επεξεργασία των δεδομένων του με βάση τα πορίσματα της NHRC, σύμφωνα με τις διαδικασίες που περιγράφονται στις αιτιολογικές σκέψεις 181 έως 183.

(179)

Τέλος, υπάρχουν διάφορα ένδικα βοηθήματα τα οποία επιτρέπουν στα φυσικά πρόσωπα να επικαλούνται τους περιορισμούς και τις εγγυήσεις που περιγράφονται στο τμήμα 3.2.1 για να εξασφαλίσουν έννομη προστασία (305).

(180)

Όσον αφορά τις κατασχέσεις (συμπεριλαμβανομένου δεδομένων), ο CPA προβλέπει τη δυνατότητα εναντίωσης ή προσβολής της εκτέλεσης εντάλματος μέσω «οιονεί προσφυγής», με την υποβολή στο αρμόδιο δικαστήριο αιτήματος ακύρωσης ή τροποποίησης της διάταξης την οποία εξέδωσε εισαγγελέας ή αστυνομικός (306).

(181)

Γενικότερα, τα φυσικά πρόσωπα μπορούν να προσφεύγουν εναντίον των πράξεων (307) ή των παραλείψεων (308) δημόσιων αρχών (συμπεριλαμβανομένων των αρχών επιβολής του ποινικού δικαίου) βάσει του νόμου για τις διοικητικές διαφορές (309). Μια διοικητική πράξη θεωρείται «διάταξη υποκείμενη σε προσφυγή» εάν έχει άμεσο αντίκτυπο σε πολιτικά δικαιώματα και υποχρεώσεις (310), στοιχείο που, όπως επιβεβαιώθηκε από την κυβέρνηση της Κορέας (παράρτημα II τμήμα 2.4.3), συντρέχει για τα μέτρα συλλογής δεδομένων προσωπικού χαρακτήρα, είτε άμεσα (για παράδειγμα μέσω παρακολούθησης των επικοινωνιών) είτε μέσω δεσμευτικών αιτημάτων γνωστοποίησης (για παράδειγμα, σε πάροχο υπηρεσιών) ή αιτημάτων οικειοθελούς συνεργασίας. Για να είναι παραδεκτή μια καταγγελία βάσει του νόμου για τις διοικητικές διαφορές, το φυσικό πρόσωπο πρέπει να έχει έννομο συμφέρον να επιδιώξει την ικανοποίηση της αξίωσής του (311). Σύμφωνα με τη νομολογία του Ανώτατου Δικαστηρίου, ο όρος «έννομο συμφέρον» ερμηνεύεται ως «νομικώς προστατευόμενο συμφέρον», δηλαδή ως άμεσο και ειδικό συμφέρον που προστατεύεται από νόμους και κανονισμούς στους οποίους βασίζονται οι διοικητικές διατάξεις (δηλαδή όχι γενικά, έμμεσα και αφηρημένα συμφέροντα του κοινού) (312). Τα φυσικά πρόσωπα έχουν τέτοιο έννομο συμφέρον σε περίπτωση παραβίασης των περιορισμών και των εγγυήσεων που ισχύουν για τη συλλογή των δεδομένων προσωπικού χαρακτήρα που τα αφορούν για σκοπούς επιβολής του ποινικού δικαίου (βάσει ειδικών νόμων ή του PIPA). Σύμφωνα με τον νόμο για τις διοικητικές διαφορές, δικαστήριο μπορεί να αποφασίσει να ανακαλέσει ή να τροποποιήσει παράνομη διάταξη, να εκδώσει απόφαση ακυρότητας (δηλαδή να διαπιστώσει ότι η διάταξη δεν παράγει έννομα αποτελέσματα ή ότι είναι ανυπόστατη στην έννομη τάξη) ή να εκδώσει απόφαση διαπίστωσης του παράνομου χαρακτήρα παράλειψης (313). Τελεσίδικη απόφαση βάσει του νόμου για τις διοικητικές διαφορές είναι δεσμευτική για τους διαδίκους (314).

(182)

Εκτός από την προσβολή κρατικών ενεργειών μέσω διαδικασίας διοικητικών διαφορών, τα φυσικά πρόσωπα μπορούν επίσης να καταθέσουν συνταγματική προσφυγή στο Συνταγματικό Δικαστήριο σχετικά με οποιαδήποτε παραβίαση των θεμελιωδών δικαιωμάτων τους λόγω της άσκησης ή της μη άσκησης κρατικής εξουσίας (εξαιρουμένων των αποφάσεων των δικαστηρίων) (315). Εάν υπάρχουν άλλα μέσα έννομης προστασίας, αυτά πρέπει πρώτα να εξαντληθούν. Σύμφωνα με τη νομολογία του Συνταγματικού Δικαστηρίου, οι αλλοδαποί μπορούν να ασκήσουν συνταγματική προσφυγή στον βαθμό που τα βασικά δικαιώματά τους αναγνωρίζονται από το Σύνταγμα της Κορέας (βλ. επεξηγήσεις στο τμήμα 1.1) (316). Το Συνταγματικό Δικαστήριο μπορεί να ακυρώσει την άσκηση κρατικής εξουσίας που προκάλεσε την παραβίαση ή να επιβεβαιώσει ότι ορισμένη παράλειψη είναι αντισυνταγματική (317). Στην εν λόγω περίπτωση, η σχετική αρχή υποχρεούται να λάβει μέτρα προκειμένου να συμμορφωθεί με την απόφαση του Δικαστηρίου.

(183)

Επίσης, τα φυσικά πρόσωπα μπορούν να αξιώσουν αποζημίωση ενώπιον των δικαστηρίων της Κορέας. Αυτό περιλαμβάνει καταρχάς τη δυνατότητα αξίωσης αποζημίωσης για παραβιάσεις του PIPA που διαπράττονται από αρχές επιβολής του ποινικού δικαίου, σύμφωνα με το άρθρο 39 (βλ. επίσης αιτιολογική σκέψη 135). Γενικότερα, τα φυσικά πρόσωπα μπορούν να ζητήσουν αποζημίωση για ζημίες που τους προκάλεσαν δημόσιοι υπάλληλοι κατά την εκτέλεση των επίσημων καθηκόντων τους κατά παράβαση του νόμου, βάσει του νόμου για τις κρατικές αποζημιώσεις (βλ. επίσης αιτιολογική σκέψη 135) (318).

(184)

Οι μηχανισμοί που περιγράφονται στις αιτιολογικές σκέψεις 176 έως 183 παρέχουν στα υποκείμενα των δεδομένων αποτελεσματικά μέσα διοικητικής και δικαστικής προσφυγής, με τα οποία τους παρέχεται ιδίως η δυνατότητα να επιβάλουν τα δικαιώματά τους, συμπεριλαμβανομένου του δικαιώματος να αποκτούν πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που τα αφορούν ή να επιτυγχάνουν τη διόρθωση ή τη διαγραφή των εν λόγω δεδομένων.

(185)

Το δίκαιο της Δημοκρατίας της Κορέας περιλαμβάνει σειρά περιορισμών και εγγυήσεων όσον αφορά την πρόσβαση και τη χρήση δεδομένων προσωπικού χαρακτήρα για λόγους εθνικής ασφάλειας και προβλέπει μηχανισμούς εποπτείας και προσφυγής οι οποίοι συνάδουν με τις απαιτήσεις που αναφέρονται στις αιτιολογικές σκέψεις 141 έως 143 της παρούσας απόφασης. Οι όροι υπό τους οποίους μπορεί να αποκτηθεί τέτοια πρόσβαση και οι εγγυήσεις που ισχύουν για τη χρήση αυτών των εξουσιών αξιολογούνται λεπτομερώς στις επόμενες ενότητες.

(186)

Στη Δημοκρατία της Κορέας, πρόσβαση σε δεδομένα προσωπικού χαρακτήρα μπορεί να αποκτηθεί για λόγους εθνικής ασφάλειας βάσει του CPPA, του TBA και του νόμου για την καταπολέμηση της τρομοκρατίας για την προστασία των πολιτών και τη δημόσια ασφάλεια (στο εξής: αντιτρομοκρατικός νόμος) (319). Η κύρια αρχή (320) που διαθέτει αρμοδιότητες στον τομέα της εθνικής ασφάλειας είναι η Εθνική Υπηρεσία Πληροφοριών (στο εξής: NIS) (321). Η συλλογή και χρήση δεδομένων προσωπικού χαρακτήρα από τη NIS πρέπει να συμμορφώνεται με τις σχετικές νομικές απαιτήσεις (συμπεριλαμβανομένων των διατάξεων του PIPA και του CPPA) (322) και με τις γενικές κατευθυντήριες γραμμές που καταρτίζει ο πρόεδρος της Δημοκρατίας της Κορέας και επανεξετάζει η Εθνοσυνέλευση (323). Ως γενική αρχή, η NIS πρέπει να διατηρεί πολιτική ουδετερότητα και να προστατεύει την ελευθερία και τα δικαιώματα των ατόμων (324). Επίσης, το προσωπικό της NIS δεν πρέπει να κάνει κατάχρηση της επίσημης εξουσίας του για να υποχρεώσει οποιοδήποτε όργανο, οργανισμό ή φυσικό πρόσωπο να πράξει οτιδήποτε που δεν είναι υποχρεωμένο να πράξει (βάσει του νόμου) ούτε να παρεμποδίσει την άσκηση των δικαιωμάτων οποιουδήποτε προσώπου (325).

(187)

Βάσει του CPPA, οι κορεατικές δημόσιες αρχές (326) μπορούν να συλλέγουν δεδομένα επιβεβαίωσης επικοινωνιών (δηλ. την ημερομηνία τηλεπικοινωνιών, την ώρα έναρξης και λήξης τους, τον αριθμό των εξερχόμενων και των εισερχόμενων κλήσεων, καθώς και τον αριθμό συνδρομητή του άλλου μέρους της επικοινωνίας, τη συχνότητα χρήσης, τα αρχεία καταγραφής σχετικά με τη χρήση υπηρεσιών τηλεπικοινωνιών και τις πληροφορίες θέσης, βλ. αιτιολογική σκέψη 155), καθώς και το περιεχόμενο επικοινωνιών (μέσω μέτρων περιορισμού επικοινωνιών, βλ. αιτιολογική σκέψη 155) για σκοπούς εθνικής ασφάλειας (όπως καθορίζεται στην εντολή της NIS, βλ. υποσημείωση 322 παραπάνω). Οι εξουσίες αυτές εκτείνονται σε δύο είδη πληροφοριών: 1) επικοινωνίες στις οποίες το ένα ή και τα δύο μέρη είναι Κορεάτες υπήκοοι (327)· και 2) επικοινωνίες α) χωρών εχθρικών προς τη Δημοκρατία της Κορέας, β) ξένων οργανισμών, ομάδων ή υπηκόων για τους οποίους υπάρχουν υπόνοιες ότι συμμετέχουν σε δραστηριότητες που στρέφονται κατά της Κορέας (328) ή γ) μελών ομάδων που δραστηριοποιούνται εντός της κορεατικής χερσονήσου αλλά εκφεύγουν ουσιαστικά της κυριαρχίας της Δημοκρατίας της Κορέας και των υπερκείμενων ομάδων τους που εδρεύουν σε ξένες χώρες (329). Συνεπώς, δεδομένα επικοινωνιών φυσικών προσώπων της ΕΕ που διαβιβάζονται από την Ένωση στη Δημοκρατία της Κορέας βάσει της παρούσας απόφασης μπορούν να συλλέγονται βάσει του CPPA για σκοπούς εθνικής ασφάλειας (με την επιφύλαξη των όρων που παρατίθενται στις αιτιολογικές σκέψεις 188 έως 192) μόνο εάν είτε αφορούν επικοινωνίες μεταξύ φυσικού προσώπου της ΕΕ και Κορεάτη υπηκόου είτε, στην περίπτωση που αφορούν επικοινωνίες αποκλειστικά μεταξύ μη Κορεατών υπηκόων, εμπίπτουν σε μία από τις τρεις προαναφερθείσες κατηγορίες 2) α), β) και γ).

(188)

Και στις δύο περιπτώσεις, η συλλογή δεδομένων επιβεβαίωσης επικοινωνιών μπορεί να πραγματοποιείται μόνο με σκοπό την πρόληψη απειλών κατά της εθνικής ασφάλειας (330), ενώ μέτρα περιορισμού επικοινωνιών μπορούν να λαμβάνονται μόνο όταν υπάρχει σοβαρός κίνδυνος για την εθνική ασφάλεια και η συλλογή είναι απαραίτητη για την αποτροπή του (331). Επιπλέον, δυνατότητα πρόσβασης στο περιεχόμενο επικοινωνιών μπορεί να παρέχεται μόνο ως μέτρο έσχατης ανάγκης και πρέπει να καταβάλλονται προσπάθειες για την ελαχιστοποίηση της παραβίασης του απορρήτου των επικοινωνιών (332), ώστε να διασφαλίζεται ότι η παραβίαση παραμένει ανάλογη του επιδιωκόμενου στόχου εθνικής ασφάλειας. Η συλλογή τόσο του περιεχομένου επικοινωνιών όσο και δεδομένων επιβεβαίωσης επικοινωνιών μπορεί να διαρκέσει για μέγιστη περίοδο τεσσάρων μηνών και πρέπει να διακοπεί αμέσως εάν επιτευχθεί νωρίτερα ο επιδιωκόμενος στόχος (333). Εάν εξακολουθούν να πληρούνται οι σχετικές προϋποθέσεις, η περίοδος μπορεί να παραταθεί, με προηγούμενη άδεια δικαστηρίου (για τα μέτρα που περιγράφονται στην αιτιολογική σκέψη 189) ή του προέδρου της Δημοκρατίας της Κορέας (για τα μέτρα που περιγράφονται στην αιτιολογική σκέψη 190) (334), για έως τέσσερις μήνες.

(189)

Οι ίδιες διαδικαστικές εγγυήσεις ισχύουν για τη συλλογή δεδομένων επιβεβαίωσης επικοινωνιών και για το περιεχόμενο των επικοινωνιών (335). Ειδικότερα, όταν τουλάχιστον ένα από τα φυσικά πρόσωπα που συμμετέχουν στην επικοινωνία είναι Κορεάτης υπήκοος, η υπηρεσία πληροφοριών πρέπει να υποβάλει γραπτή αίτηση στην Ανώτερη Εισαγγελία, η οποία με τη σειρά της πρέπει να υποβάλει αίτηση έκδοσης εντάλματος από ανώτερο δικαστή του Ανώτερου Δικαστηρίου (336). Ο CPPA απαριθμεί τις πληροφορίες που πρέπει να παρέχονται στην αίτηση προς τον εισαγγελέα, στην αίτηση για το ένταλμα και στο ίδιο το ένταλμα, οι οποίες περιλαμβάνουν, ιδίως, τη δικαιολόγηση του αιτήματος και τους κύριους λόγους για την υπόνοια, υποστηρικτικό υλικό, καθώς και πληροφορίες σχετικά με τον σκοπό, τον στόχο (δηλαδή το/τα στοχευόμενο/-α φυσικό/-ά πρόσωπο/-α), το πεδίο εφαρμογής και τη διάρκεια του προτεινόμενου μέτρου (337). Συλλογή δεδομένων χωρίς ένταλμα μπορεί να πραγματοποιηθεί μόνο εάν υπάρχει πράξη συνωμοσίας που απειλεί την εθνική ασφάλεια και κατάσταση έκτακτης ανάγκης που καθιστά αδύνατη την εφαρμογή των προαναφερόμενων διαδικασιών (338). Ωστόσο, και στην εν λόγω περίπτωση, αίτηση έκδοσης εντάλματος πρέπει να κατατίθεται αμέσως μετά τη λήψη του μέτρου (339). Ως εκ τούτου, ο CPPA καθορίζει σαφώς το πεδίο εφαρμογής και τους όρους αυτών των τύπων συλλογής και προβλέπει ειδικές (διαδικαστικές) εγγυήσεις για αυτούς (συμπεριλαμβανομένης της προηγούμενης δικαστικής έγκρισης), οι οποίες διασφαλίζουν ότι η χρήση των εν λόγω μέτρων περιορίζεται σε ό,τι είναι αναγκαίο και αναλογικό. Επιπλέον, η απαίτηση παροχής λεπτομερών πληροφοριών τόσο στην αίτηση έκδοσης εντάλματος όσο και στο ίδιο το ένταλμα αποκλείει τη δυνατότητα πρόσβασης αδιακρίτως.

(190)

Για τις επικοινωνίες μεταξύ μη Κορεατών υπηκόων που εμπίπτουν σε μία από τις τρεις ειδικές κατηγορίες που απαριθμούνται στην αιτιολογική σκέψη 187, πρέπει να υποβληθεί αίτηση στον διευθυντή της NIS, ο οποίος, αφού εξετάσει την καταλληλότητα των προτεινόμενων μέτρων, πρέπει να ζητήσει προηγούμενη γραπτή έγκριση από τον πρόεδρο της Δημοκρατίας της Κορέας (340). Η αίτηση που καταρτίζεται από την υπηρεσία πληροφοριών πρέπει να περιλαμβάνει τις ίδιες λεπτομερείς πληροφορίες με την αίτηση για δικαστικό ένταλμα (βλ. αιτιολογική σκέψη 189), ιδίως όσον αφορά τη δικαιολόγηση του αιτήματος και τους κύριους λόγους για τις υπόνοιες, το υποστηρικτικό υλικό και τις πληροφορίες σχετικά με τους σκοπούς, το/τα στοχευόμενο/-α φυσικό/-ά πρόσωπο/-α, το πεδίο εφαρμογής και τη διάρκεια των προτεινόμενων μέτρων (341). Σε επείγουσες καταστάσεις (342), πρέπει να λαμβάνεται προηγούμενη έγκριση του υπουργού στον οποίο υπάγεται η σχετική υπηρεσία πληροφοριών, αν και η υπηρεσία πληροφοριών πρέπει να ζητήσει την έγκριση του προέδρου της Δημοκρατίας αμέσως μετά τη λήψη των έκτακτων μέτρων (343). Επίσης, όσον αφορά τη συλλογή δεδομένων επικοινωνιών μεταξύ αποκλειστικά μη Κορεατών υπηκόων, ο CPPA περιορίζει τη χρήση των εν λόγω μέτρων σε ό,τι είναι αναγκαίο και αναλογικό, οριοθετώντας σαφώς τις περιορισμένες κατηγορίες φυσικών προσώπων που είναι δυνατόν να υπαχθούν σε τέτοια μέτρα και καθορίζοντας λεπτομερή κριτήρια τα οποία οι υπηρεσίες πληροφοριών πρέπει να αποδείξουν ότι πληρούνται για να δικαιολογήσουν την αίτηση συλλογής πληροφοριών. Και σε αυτήν την περίπτωση, αποκλείεται η δυνατότητα πρόσβασης αδιακρίτως. Αν και δεν υπάρχει προηγούμενη ανεξάρτητη έγκριση των εν λόγω μέτρων, η ανεξάρτητη εποπτεία διασφαλίζεται εκ των υστέρων, ιδίως από την PIPC και τη NHRC (βλ., για παράδειγμα, αιτιολογικές σκέψεις 199 και 200).

(191)

Επιπρόσθετα, ο CPPA επιβάλλει αρκετές πρόσθετες εγγυήσεις που συμβάλλουν στην εκ των υστέρων εποπτεία και διευκολύνουν την πρόσβαση των φυσικών προσώπων σε αποτελεσματικά μέσα έννομης προστασίας. Πρώτον, όσον αφορά κάθε είδος συλλογής για σκοπούς εθνικής ασφάλειας, ο CPPA προβλέπει διαφορετικές απαιτήσεις τήρησης αρχείων και υποβολής εκθέσεων. Ειδικότερα, όταν ζητείται η συνεργασία ιδιωτικών επιχειρήσεων, οι υπηρεσίες πληροφοριών πρέπει να παρέχουν δικαστικό ένταλμα / προεδρική άδεια ή αντίγραφο του εξώφυλλου δήλωσης λογοκρισίας για λόγους έκτακτης ανάγκης, το οποίο η υπόχρεη οντότητα πρέπει να τηρεί στα αρχεία της (344). Όταν ιδιωτικές επιχειρήσεις υποχρεώνονται να συνεργαστούν, πρέπει να τηρούνται αρχεία τόσο από τη δημόσια αρχή που ζητεί τα δεδομένα όσο και από την οικεία επιχείρηση σχετικά με τον σκοπό και το αντικείμενο των μέτρων, καθώς και την ημερομηνία εκτέλεσης (345). Επίσης, οι υπηρεσίες πληροφοριών πρέπει να αναφέρουν στον διευθυντή της NIS τις πληροφορίες που έχουν συγκεντρώσει και το αποτέλεσμα της δραστηριότητας παρακολούθησης (346).

(192)

Δεύτερον, τα φυσικά πρόσωπα πρέπει να ενημερώνονται για τη συλλογή των δεδομένων τους (δεδομένα επιβεβαίωσης επικοινωνιών ή το περιεχόμενο επικοινωνιών) για σκοπούς εθνικής ασφάλειας, εάν πρόκειται για επικοινωνίες στις οποίες τουλάχιστον ένα από τα μέρη είναι Κορεάτης υπήκοος (347). Η κοινοποίηση αυτή πρέπει να παρέχεται γραπτώς εντός 30 ημερών από την ημερομηνία κατά την οποία τερματίστηκε η συλλογή (συμπεριλαμβανομένης της περίπτωσης κατά την οποία τα δεδομένα ελήφθησαν με τη διαδικασία έκτακτης ανάγκης) και μπορεί να αναβληθεί μόνο εάν και για όσο διάστημα θα έθετε σε κίνδυνο την εθνική ασφάλεια ή θα έβλαπτε τη ζωή και τη σωματική ακεραιότητα ανθρώπων (348). Ανεξάρτητα από την εν λόγω κοινοποίηση, τα φυσικά πρόσωπα μπορούν να αναζητήσουν έννομη προστασία μέσω διαφόρων οδών, όπως εξηγείται αναλυτικότερα στο τμήμα 3.3.4.

(193)

Ο αντιτρομοκρατικός νόμος προβλέπει ότι η NIS μπορεί να συλλέγει δεδομένα σχετικά με υπόπτους τρομοκρατίας (349) σύμφωνα με τους περιορισμούς και τις εγγυήσεις που προβλέπονται σε άλλους νόμους (350). Ειδικότερα, η NIS μπορεί να λαμβάνει δεδομένα επικοινωνιών (βάσει του CPPA) και άλλες προσωπικές πληροφορίες (μέσω αιτήματος για οικειοθελή γνωστοποίηση) (351). Όσον αφορά τη συλλογή πληροφοριών επικοινωνιών (δηλ. το περιεχόμενο επικοινωνιών ή δεδομένα επιβεβαίωσης επικοινωνιών), ισχύουν οι περιορισμοί και οι εγγυήσεις που περιγράφονται στο τμήμα 3.3.1.1, συμπεριλαμβανομένης της απαίτησης για την έκδοση εντάλματος εγκεκριμένου από δικαστήριο. Όσον αφορά τα αιτήματα για οικειοθελή γνωστοποίηση άλλων τύπων δεδομένων προσωπικού χαρακτήρα υπόπτων για τρομοκρατία, η NIS πρέπει να συμμορφώνεται με τις απαιτήσεις του Συντάγματος και του PIPA σχετικά με την αναγκαιότητα και την αναλογικότητα (βλ. αιτιολογική σκέψη 164) (352). Οι υπεύθυνοι επεξεργασίας που λαμβάνουν τέτοια αιτήματα μπορούν να συμμορφώνονται σε εθελοντική βάση υπό τους όρους που καθορίζονται στον PIPA (για παράδειγμα, σύμφωνα με την αρχή της ελαχιστοποίησης των δεδομένων και περιορίζοντας τον αντίκτυπο στην ιδιωτική ζωή του φυσικού προσώπου) (353). Στην περίπτωση αυτή, πρέπει επίσης να συμμορφώνονται με την απαίτηση ενημέρωσης του οικείου φυσικού προσώπου σύμφωνα με την κοινοποίηση αριθ. 2021-5 (βλ. αιτιολογική σκέψη 166).

(194)

Βάσει του TBA, οι πάροχοι τηλεπικοινωνιακών υπηρεσιών μπορούν να γνωστοποιούν οικειοθελώς δεδομένα συνδρομητή (βλ. αιτιολογική σκέψη 163) κατόπιν αιτήματος υπηρεσίας πληροφοριών που επιδιώκει να συλλέξει τις εν λόγω πληροφορίες για να αποτρέψει απειλή για την εθνική ασφάλεια (354). Όσον αφορά τα εν λόγω αιτήματα από τη NIS, ισχύουν οι ίδιοι περιορισμοί (βάσει του Συντάγματος, του PIPA και του TBA) όπως και στον τομέα της επιβολής του ποινικού δικαίου, όπως περιγράφονται στην αιτιολογική σκέψη 164 (355). Οι πάροχοι τηλεπικοινωνιακών υπηρεσιών δεν υποχρεούνται να συμμορφώνονται και μπορούν να το πράξουν μόνο υπό τους όρους που καθορίζονται στον PIPA (ιδίως σύμφωνα με την αρχή της ελαχιστοποίησης των δεδομένων και περιορίζοντας τον αντίκτυπο στην ιδιωτική ζωή του φυσικού προσώπου, βλ. επίσης αιτιολογική σκέψη 193). Ισχύουν οι ίδιες απαιτήσεις όσον αφορά την τήρηση αρχείων και την ενημέρωση του οικείου φυσικού προσώπου όπως και στον τομέα της επιβολής του ποινικού δικαίου (βλ. αιτιολογικές σκέψεις 165 και 166).

(195)

Η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που συλλέγονται από κορεατικές αρχές για σκοπούς εθνικής ασφάλειας υπόκειται στις αρχές του περιορισμού του σκοπού (άρθρο 3 παράγραφοι 1 και 2 του PIPA), της νομιμότητας και του θεμιτού χαρακτήρα της επεξεργασίας (άρθρο 3 παράγραφος 1 του PIPA), της αναλογικότητας/ελαχιστοποίησης των δεδομένων (άρθρο 3 παράγραφοι 1 και 6 και άρθρο 58 του PIPA), της ακρίβειας (άρθρο 3 παράγραφος 3 του PIPA), της διαφάνειας (άρθρο 3 παράγραφος 5 του PIPA), της ασφάλειας (άρθρο 58 παράγραφος 4 του PIPA) και του περιορισμού της αποθήκευσης (άρθρο 58 παράγραφος 4 του PIPA) (356). Κοινοποίηση δεδομένων προσωπικού χαρακτήρα σε τρίτους (συμπεριλαμβανομένων των τρίτων χωρών) μπορεί να πραγματοποιηθεί μόνο σύμφωνα με τις εν λόγω αρχές (ιδίως τις αρχές του περιορισμού του σκοπού και της ελαχιστοποίησης των δεδομένων), αφού αξιολογηθεί η συμμόρφωση με τις αρχές της αναγκαιότητας και της αναλογικότητας (άρθρο 37 παράγραφος 2 του Συντάγματος) και λαμβανομένου υπόψη του αντικτύπου στα δικαιώματα των οικείων προσώπων (άρθρο 3 παράγραφος 6 του PIPA).

(196)

Όσον αφορά το περιεχόμενο επικοινωνιών και τα δεδομένα επιβεβαίωσης επικοινωνιών, ο CPPA περιορίζει περαιτέρω τη χρήση των εν λόγω δεδομένων στις δικαστικές διαδικασίες στις οποίες μέρος της επικοινωνίας τις επικαλείται στο πλαίσιο αγωγής αποζημίωσης· και στις περιπτώσεις επιτρεπόμενης χρήσης βάσει άλλων νόμων (357).

(197)

Οι δραστηριότητες των κορεατικών αρχών εθνικής ασφάλειας εποπτεύονται από διάφορους φορείς (358).

(198)

Πρώτον, ο αντιτρομοκρατικός νόμος προβλέπει ειδικούς μηχανισμούς εποπτείας για τις αντιτρομοκρατικές δραστηριότητες, συμπεριλαμβανομένης της συλλογής δεδομένων σχετικά με υπόπτους τρομοκρατίας. Ειδικότερα, στο επίπεδο της εκτελεστικής εξουσίας, οι αντιτρομοκρατικές δραστηριότητες εποπτεύονται από την Αντιτρομοκρατική Επιτροπή (359), στην οποία ο διευθυντής της NIS υποχρεούται να υποβάλλει εκθέσεις σχετικά με τις έρευνες και την ιχνηλάτηση υπόπτων τρομοκρατίας για τη συλλογή πληροφοριών ή υλικού που είναι απαραίτητα για αντιτρομοκρατικές δραστηριότητες (360). Επιπλέον, ο Υπεύθυνος Προστασίας Ανθρωπίνων Δικαιωμάτων (στο εξής: HRPO) εποπτεύει ειδικά τη συμμόρφωση των αντιτρομοκρατικών δραστηριοτήτων με τα θεμελιώδη δικαιώματα (361). Ο HRPO διορίζεται από τον πρόεδρο της Αντιτρομοκρατικής Επιτροπής μεταξύ προσώπων που πληρούν συγκεκριμένα προσόντα τα οποία απαριθμούνται στο διάταγμα εφαρμογής του αντιτρομοκρατικού νόμου (362) για (ανανεώσιμη) θητεία δύο ετών και μπορεί να απαλλαγεί από τα καθήκοντά του μόνο για συγκεκριμένους, περιορισμένους και βάσιμους λόγους (363). Κατά την άσκηση των εποπτικών καθηκόντων του, ο HRPO μπορεί να εκδίδει γενικές συστάσεις για τη βελτίωση της προστασίας των ανθρωπίνων δικαιωμάτων (364) και ειδικές συστάσεις για διορθωτικά μέτρα, εάν έχει διαπιστωθεί παραβίαση ανθρωπίνων δικαιωμάτων (365). Οι δημόσιες αρχές υποχρεούνται να ενημερώνουν τον HRPO σχετικά με τη συνέχεια που δίνεται στις συστάσεις του (366).

(199)

Δεύτερον, η PIPC εποπτεύει τη συμμόρφωση των αρχών εθνικής ασφάλειας με τους κανόνες προστασίας των δεδομένων, συμπεριλαμβανομένων τόσο των εφαρμοστέων διατάξεων του PIPA (βλ. αιτιολογική σκέψη 149) όσο και των περιορισμών και των εγγυήσεων που ισχύουν για τη συλλογή δεδομένων προσωπικού χαρακτήρα βάσει άλλων νόμων (του CPPA, του αντιτρομοκρατικού νόμου και του TBA, βλ. επίσης αιτιολογική σκέψη 171) (367). Κατά την άσκηση αυτού του εποπτικού ρόλου, η PIPC μπορεί να χρησιμοποιεί όλες τις εξουσίες έρευνας και επανόρθωσης που διαθέτει, όπως περιγράφεται λεπτομερώς στο τμήμα 2.4.2.

(200)

Τρίτον, οι δραστηριότητες των αρχών εθνικής ασφάλειας υπόκεινται στην ανεξάρτητη εποπτεία της NHRC, σύμφωνα με τις διαδικασίες που περιγράφονται στην αιτιολογική σκέψη 172 (368).

(201)

Τέταρτον, η εποπτική λειτουργία του ΒΑΙ εκτείνεται επίσης στις αρχές εθνικής ασφάλειας, μολονότι η NIS μπορεί, σε εξαιρετικές περιπτώσεις, να αρνηθεί να παράσχει ορισμένες πληροφορίες ή υλικό, δηλαδή όταν αυτά συνιστούν κρατικό απόρρητο και η δημόσια γνώση τους θα είχε σοβαρές επιπτώσεις στην εθνική ασφάλεια (369).

(202)

Τέλος, κοινοβουλευτική εποπτεία των δραστηριοτήτων της NIS ασκείται από την Εθνοσυνέλευση (μέσω ειδικής Επιτροπής Πληροφοριών) (370). Ο CPPA θεσπίζει ειδικό εποπτικό ρόλο για την Εθνοσυνέλευση όσον αφορά τη χρήση μέτρων περιορισμού επικοινωνιών για σκοπούς εθνικής ασφάλειας (371). Ειδικότερα, η Εθνοσυνέλευση μπορεί να διενεργεί επιτόπιες επιθεωρήσεις του εξοπλισμού υποκλοπής και μπορεί να απαιτεί τόσο από τη NIS όσο και από τους τηλεπικοινωνιακούς φορείς που έχουν κοινοποιήσει το περιεχόμενο επικοινωνιών να υποβάλουν σχετική έκθεση. Η Εθνοσυνέλευση μπορεί επίσης να ασκεί τα γενικά εποπτικά της καθήκοντα (σύμφωνα με τις διαδικασίες που περιγράφονται στην αιτιολογική σκέψη 174). Σύμφωνα με τον νόμο NIS, ο διευθυντής της NIS πρέπει να ανταποκρίνεται χωρίς καθυστέρηση όταν η Επιτροπή Πληροφοριών ζητεί έκθεση για ένα συγκεκριμένο θέμα (372), με ειδικούς κανόνες για ορισμένες ιδιαίτερα ευαίσθητες πληροφορίες. Συγκεκριμένα, ο διευθυντής της NIS μπορεί να αρνηθεί να απαντήσει ή να καταθέσει ενώπιον της Επιτροπής Πληροφοριών μόνο σε εξαιρετικές περιπτώσεις, δηλαδή εάν το αίτημα αφορά κρατικό απόρρητο σχετικά με στρατιωτικά, διπλωματικά ή συναφή με τη Βόρεια Κορέα ζητήματα και η δημόσια γνώση θα μπορούσε να έχει σοβαρό αντίκτυπο στο «εθνικό πεπρωμένο» της χώρας (373). Στην περίπτωση αυτή, η Επιτροπή Πληροφοριών μπορεί να ζητήσει εξηγήσεις από τον πρωθυπουργό και, εάν δεν παρασχεθούν εξηγήσεις εντός επτά ημερών, δεν υπάρχει πλέον δυνατότητα άρνησης απάντησης ή κατάθεσης.

(203)

Και στον τομέα της εθνικής ασφάλειας, το κορεατικό σύστημα προσφέρει διάφορους (δικαστικούς) τρόπους αναζήτησης έννομης προστασίας, συμπεριλαμβανομένης της αποζημίωσης. Αυτοί οι μηχανισμοί παρέχουν στα υποκείμενα των δεδομένων αποτελεσματικά διοικητικά και δικαστικά μέσα έννομης προστασίας, με τα οποία τους παρέχεται ιδίως η δυνατότητα να επιβάλλουν τα δικαιώματά τους, συμπεριλαμβανομένου του δικαιώματος να αποκτούν πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που τα αφορούν ή να επιτυγχάνουν τη διόρθωση ή τη διαγραφή των εν λόγω δεδομένων.

(204)

Πρώτον, σύμφωνα με το άρθρο 3 παράγραφος 5 και το άρθρο 4 παράγραφοι 1, 3 και 4 του PIPA, τα φυσικά πρόσωπα μπορούν να ασκούν τα δικαιώματά τους πρόσβασης, διόρθωσης, διαγραφής και αναστολής έναντι των αρχών εθνικής ασφάλειας. Το τμήμα 6 της κοινοποίησης αριθ. 2021-5 (παράρτημα I της παρούσας απόφασης) διευκρινίζει περαιτέρω τον τρόπο με τον οποίο τα εν λόγω δικαιώματα εφαρμόζονται στο πλαίσιο της επεξεργασίας δεδομένων για σκοπούς εθνικής ασφάλειας. Ειδικότερα, μια αρχή εθνικής ασφάλειας μπορεί να περιορίσει ή να αρνηθεί την άσκηση του δικαιώματος μόνο στον βαθμό που και για όσο διάστημα είναι αναγκαίο και αναλογικό για την προστασία σημαντικού στόχου δημόσιου συμφέροντος (για παράδειγμα, στον βαθμό που και για όσο διάστημα η παροχή του δικαιώματος θα έθετε σε κίνδυνο διεξαγόμενη έρευνα ή θα απειλούσε την εθνική ασφάλεια) ή εάν η παροχή του δικαιώματος μπορεί να προκαλέσει βλάβη στη ζωή ή τη σωματική ακεραιότητα τρίτου. Επομένως, η επίκληση τέτοιου περιορισμού απαιτεί στάθμιση των δικαιωμάτων και των συμφερόντων του φυσικού προσώπου με το σχετικό δημόσιο συμφέρον και δεν μπορεί, σε καμία περίπτωση, να θίγει την ουσία του δικαιώματος (άρθρο 37 παράγραφος 2 του Συντάγματος). Σε περίπτωση απόρριψης ή περιορισμού του αιτήματος, το φυσικό πρόσωπο πρέπει να ενημερώνεται χωρίς καθυστέρηση για τους λόγους.

(205)

Δεύτερον, τα φυσικά πρόσωπα έχουν δικαίωμα προσφυγής βάσει του PIPA εάν τα δεδομένα τους έχουν υποβληθεί σε επεξεργασία από αρχή εθνικής ασφάλειας κατά παράβαση του PIPA ή των περιορισμών και των εγγυήσεων που προβλέπονται σε άλλους νόμους που διέπουν τη συλλογή δεδομένων προσωπικού χαρακτήρα (ιδίως στον CPPA, βλ. αιτιολογική σκέψη 171) (374). Το δικαίωμα αυτό μπορεί να ασκηθεί μέσω καταγγελίας στην PIPC (μεταξύ άλλων μέσω του κέντρου κλήσεων για την προστασία της ιδιωτικής ζωής που διαχειρίζεται ο Οργανισμός Διαδικτύου και Ασφάλειας της Κορέας) (375). Επίσης, για να διευκολύνεται η πρόσβαση σε μέσα προσφυγής κατά των κορεατικών αρχών εθνικής ασφάλειας, τα φυσικά πρόσωπα της ΕΕ μπορούν να υποβάλουν καταγγελία στην PIPC μέσω της εθνικής τους αρχής προστασίας δεδομένων (376). Στην περίπτωση αυτή, η PIPC θα ενημερώσει το φυσικό πρόσωπο μέσω της εθνικής αρχής προστασίας δεδομένων μόλις ολοκληρωθεί η έρευνα (παρέχοντας, μεταξύ άλλων, αν συντρέχει περίπτωση, πληροφορίες σχετικά με τα διορθωτικά μέτρα που επιβλήθηκαν). Βάσει του νόμου για τις διοικητικές διαφορές, τα φυσικά πρόσωπα μπορούν επίσης να προσβάλουν τις αποφάσεις ή παραλείψεις της PIPC (βλ. αιτιολογική σκέψη 132).

(206)

Τρίτον, τα φυσικά πρόσωπα μπορούν να υποβάλουν καταγγελία στον HRPO σχετικά με παραβίαση του δικαιώματός τους στην προστασία της ιδιωτικής ζωής / των δεδομένων τους στο πλαίσιο αντιτρομοκρατικών δραστηριοτήτων (δηλ. σύμφωνα με τον αντιτρομοκρατικό νόμο) (377) και ο HRPO μπορεί να συστήσει διορθωτικά μέτρα. Δεδομένου ότι δεν υπάρχουν απαιτήσεις για το παραδεκτό των καταγγελιών που υποβάλλονται στον HRPO, η καταγγελία εξετάζεται ακόμη και αν το οικείο φυσικό πρόσωπο δεν μπορεί να αποδείξει ότι έχει πράγματι υποστεί βλάβη (για παράδειγμα λόγω της εικαζόμενης παράνομης συλλογής των δεδομένων του από αρχή εθνικής ασφάλειας) (378). Η οικεία αρχή πρέπει να ενημερώσει τον HRPO για τα μέτρα που έλαβε για την εφαρμογή των συστάσεών του.

(207)

Τέταρτον, τα φυσικά πρόσωπα μπορούν να υποβάλουν καταγγελία στη NHRC σχετικά με τη συλλογή των δεδομένων τους από αρχές εθνικής ασφάλειας και να ζητήσουν έννομη προστασία σύμφωνα με τη διαδικασία που περιγράφεται στην αιτιολογική σκέψη 178 (379).

(208)

Τέλος, υπάρχουν διάφορα ένδικα βοηθήματα (380) τα οποία επιτρέπουν στα φυσικά πρόσωπα να επικαλούνται τους περιορισμούς και τις εγγυήσεις που περιγράφονται στο τμήμα 3.3.1 για να εξασφαλίσουν έννομη προστασία. Ειδικότερα, τα φυσικά πρόσωπα μπορούν να αμφισβητήσουν τη νομιμότητα των ενεργειών των αρχών εθνικής ασφάλειας βάσει του νόμου για τις διοικητικές διαφορές (σύμφωνα με τη διαδικασία που περιγράφεται στην αιτιολογική σκέψη 181) ή του νόμου για το Συνταγματικό Δικαστήριο (βλ. αιτιολογική σκέψη 182). Επίσης, μπορούν να λάβουν αποζημίωση βάσει του νόμου για τις κρατικές αποζημιώσεις (όπως περιγράφεται αναλυτικότερα στην αιτιολογική σκέψη 183).

(209)

Η Ευρωπαϊκή Επιτροπή θεωρεί ότι η Δημοκρατία της Κορέας —μέσω του PIPA, των ειδικών κανόνων που εφαρμόζονται σε ορισμένους τομείς (όπως αναλύεται στο τμήμα 2) και των πρόσθετων εγγυήσεων που προβλέπονται στην κοινοποίηση αριθ. 2021-5 (παράρτημα I)— διασφαλίζει επίπεδο προστασίας για τα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται από την Ευρωπαϊκή Ένωση το οποίο είναι ουσιωδώς ισοδύναμο με το επίπεδο που εγγυάται ο κανονισμός (ΕΕ) 2016/679.

(210)

Επιπλέον, η Επιτροπή θεωρεί ότι, συνολικά, οι εποπτικοί μηχανισμοί και τα μέσα προσφυγής που προβλέπονται στην κορεατική νομοθεσία επιτρέπουν τον εντοπισμό και την αντιμετώπιση στην πράξη των παραβάσεων των κανόνων προστασίας των δεδομένων από υπευθύνους επεξεργασίας στην Κορέα και προσφέρουν μέσα έννομης προστασίας στα υποκείμενα των δεδομένων προκειμένου να αποκτούν πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που τα αφορούν και, τελικώς, να επιτυγχάνουν τη διόρθωση ή διαγραφή των εν λόγω δεδομένων.

(211)

Τέλος, με βάση τις διαθέσιμες πληροφορίες σχετικά με την κορεατική έννομη τάξη, συμπεριλαμβανομένων των δηλώσεων, των διαβεβαιώσεων και των δεσμεύσεων της κορεατικής κυβέρνησης που περιλαμβάνονται στο παράρτημα II, η Επιτροπή θεωρεί ότι οποιαδήποτε παρέμβαση που γίνεται προς το δημόσιο συμφέρον, ιδίως για σκοπούς επιβολής του ποινικού δικαίου και εθνικής ασφάλειας, από τις κορεατικές δημόσιες αρχές στα θεμελιώδη δικαιώματα φυσικών προσώπων των οποίων τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται από την Ευρωπαϊκή Ένωση στη Δημοκρατία της Κορέας περιορίζεται στο απολύτως αναγκαίο για την επίτευξη των οικείων νόμιμων στόχων, και ότι υπάρχει αποτελεσματική νομική προστασία κατά των παρεμβάσεων αυτού του είδους.

(212)

Ως εκ τούτου, υπό το πρίσμα των πορισμάτων της παρούσας απόφασης, θα πρέπει να αποφασιστεί ότι η Δημοκρατία της Κορέας διασφαλίζει επαρκές επίπεδο προστασίας κατά την έννοια του άρθρου 45 του κανονισμού (ΕΕ) 2016/679, ερμηνευόμενου υπό το πρίσμα του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, για τα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται από την Ευρωπαϊκή Ένωση στη Δημοκρατία της Κορέας, σε υπευθύνους επεξεργασίας δεδομένων προσωπικού χαρακτήρα στη Δημοκρατία της Κορέας που υπόκεινται στον PIPA, με εξαίρεση τις θρησκευτικές οργανώσεις στον βαθμό που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα για τις ιεραποστολικές δραστηριότητές τους· τα πολιτικά κόμματα στον βαθμό που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα στο πλαίσιο του ορισμού υποψηφίων και τους υπευθύνους επεξεργασίας που υπόκεινται στην εποπτεία της Επιτροπής Χρηματοοικονομικών Υπηρεσιών για την επεξεργασία προσωπικών πιστωτικών πληροφοριών σύμφωνα με τον νόμο για τις πιστωτικές πληροφορίες, στον βαθμό που επεξεργάζονται τέτοιες πληροφορίες.

(213)

Τα κράτη μέλη και τα όργανά τους υποχρεούνται να λαμβάνουν τα αναγκαία μέτρα προκειμένου να συμμορφώνονται με τις πράξεις των θεσμικών οργάνων της Ένωσης, καθώς αυτές τεκμαίρονται νόμιμες και, ως εκ τούτου, παράγουν έννομα αποτελέσματα έως ότου τυχόν ανακληθούν, ακυρωθούν κατόπιν προσφυγής ακύρωσης ή κριθούν ανίσχυρες κατόπιν προδικαστικής παραπομπής ή κατόπιν ένστασης έλλειψης νομιμότητας.

(214)

Κατά συνέπεια, απόφαση επάρκειας που εκδίδεται από την Επιτροπή βάσει του άρθρου 45 παράγραφος 3 του κανονισμού (ΕΕ) 2016/679 είναι δεσμευτική για όλα τα όργανα των κρατών μελών στα οποία απευθύνεται, συμπεριλαμβανομένων των ανεξάρτητων εποπτικών αρχών τους. Ιδίως, διαβιβάσεις από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία στην Ευρωπαϊκή Ένωση προς υπευθύνους επεξεργασίας στη Δημοκρατία της Κορέας μπορούν να πραγματοποιούνται χωρίς να απαιτείται περαιτέρω άδεια.

(215)

Θα πρέπει να υπενθυμιστεί ότι, σύμφωνα με το άρθρο 58 παράγραφος 5 του κανονισμού (ΕΕ) 2016/679 και όπως εξήγησε το Δικαστήριο στην απόφαση Schrems (381), όταν μια εθνική αρχή προστασίας των δεδομένων αμφισβητεί, μεταξύ άλλων κατόπιν καταγγελίας, τη συμβατότητα απόφασης επάρκειας που έχει εκδώσει η Επιτροπή με τα θεμελιώδη δικαιώματα του φυσικού προσώπου στην προστασία της ιδιωτικής ζωής και των δεδομένων, το εθνικό δίκαιο πρέπει να της παρέχει μέσα ένδικης προστασίας ώστε να μπορεί να προβάλει τις αιτιάσεις αυτές ενώπιον εθνικού δικαστηρίου, το οποίο μπορεί να χρειαστεί να υποβάλει προδικαστικό ερώτημα στο Δικαστήριο (382).

(216)

Σύμφωνα με τη νομολογία του Δικαστηρίου (383) και όπως αναγνωρίζεται στο άρθρο 45 παράγραφος 4 του κανονισμού (ΕΕ) 2016/679, η Επιτροπή θα πρέπει να παρακολουθεί σε συνεχή βάση τις σχετικές εξελίξεις στην τρίτη χώρα μετά την έκδοση απόφασης επάρκειας, προκειμένου να αξιολογεί αν η τρίτη χώρα εξακολουθεί να παρέχει ουσιωδώς ισοδύναμο επίπεδο προστασίας. Ο έλεγχος αυτός είναι, σε κάθε περίπτωση, επιβεβλημένος όταν περιέρχονται στην Επιτροπή πληροφορίες που προκαλούν δικαιολογημένες αμφιβολίες ως προς το ζήτημα αυτό.

(217)

Κατά συνέπεια, η Επιτροπή θα πρέπει να παρακολουθεί σε διαρκή βάση την κατάσταση στη Δημοκρατία της Κορέας όσον αφορά το νομικό πλαίσιο και την εφαρμοζόμενη πρακτική για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που αξιολογούνται στην παρούσα απόφαση, συμπεριλαμβανομένης της συμμόρφωσης των κορεατικών αρχών με τις δηλώσεις, διαβεβαιώσεις και δεσμεύσεις που περιέχονται στο παράρτημα II. Προκειμένου να διευκολύνουν αυτή τη διαδικασία, οι κορεατικές αρχές καλούνται να ενημερώνουν αμέσως την Επιτροπή για τις ουσιώδεις εξελίξεις που έχουν σημασία για την παρούσα απόφαση, όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα από επιχειρηματικούς φορείς και δημόσιες αρχές, καθώς και όσον αφορά τους περιορισμούς και τις εγγυήσεις που ισχύουν για την πρόσβαση των δημόσιων αρχών στα δεδομένα προσωπικού χαρακτήρα.

(218)

Επιπροσθέτως, για να μπορεί η Επιτροπή να εκτελεί με αποτελεσματικότητα το καθήκον της παρακολούθησης, τα κράτη μέλη θα πρέπει να ενημερώνουν την Επιτροπή για κάθε συναφή ενέργεια των εθνικών αρχών προστασίας δεδομένων, ιδίως σε σχέση με ερωτήσεις ή καταγγελίες από υποκείμενα δεδομένων της ΕΕ σχετικά με τη διαβίβαση δεδομένων προσωπικού χαρακτήρα από την Ευρωπαϊκή Ένωση σε υπευθύνους επεξεργασίας δεδομένων στη Δημοκρατία της Κορέας. Η Επιτροπή θα πρέπει επίσης να ενημερώνεται για κάθε ένδειξη ότι οι ενέργειες των κορεατικών δημόσιων αρχών που είναι αρμόδιες για την πρόληψη, τη διερεύνηση, την ανίχνευση ή τη δίωξη ποινικών αδικημάτων ή για την εθνική ασφάλεια, συμπεριλαμβανομένων των εποπτικών φορέων, δεν διασφαλίζουν το απαιτούμενο επίπεδο προστασίας.

(219)

Κατ’ εφαρμογή του άρθρου 45 παράγραφος 3 του κανονισμού (ΕΕ) 2016/679 (384), και με δεδομένο ότι μπορεί να επέλθουν μεταβολές στο επίπεδο προστασίας που προσφέρει η κορεατική έννομη τάξη, η Ευρωπαϊκή Επιτροπή, μετά την έκδοση της παρούσας απόφασης, θα πρέπει κατά διαστήματα να επανεξετάζει αν οι διαπιστώσεις σχετικά με την επάρκεια του επιπέδου προστασίας που εγγυάται η Δημοκρατία της Κορέας συνεχίζουν πρακτικά και νομικά να ισχύουν.

(220)

Για τον σκοπό αυτό, η παρούσα απόφαση θα πρέπει να αποτελέσει αντικείμενο μιας πρώτης επανεξέτασης εντός τριών ετών μετά την έναρξη ισχύος της. Μετά την πρώτη αυτή επανεξέταση και ανάλογα με την έκβασή της, η Επιτροπή θα αποφασίσει, σε στενή διαβούλευση με την επιτροπή που συστάθηκε βάσει του άρθρου 93 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679, αν θα πρέπει να διατηρηθεί ο τριετής κύκλος. Σε κάθε περίπτωση, οι επόμενες επανεξετάσεις θα πρέπει να πραγματοποιούνται τουλάχιστον κάθε τέσσερα έτη (385). Η επανεξέταση θα πρέπει να καλύπτει όλες τις πτυχές της λειτουργίας της παρούσας απόφασης, και ιδίως την εφαρμογή των πρόσθετων εγγυήσεων που περιέχονται στο παράρτημα Ι της παρούσας απόφασης, με ιδιαίτερη προσοχή στην προστασία που παρέχεται στην περίπτωση των περαιτέρω διαβιβάσεων· τις σχετικές εξελίξεις στη νομολογία· τους κανόνες σχετικά με την επεξεργασία ψευδωνυμοποιημένων πληροφοριών για σκοπούς στατιστικής, επιστημονικής έρευνας και αρχειοθέτησης προς το δημόσιο συμφέρον, καθώς και την εφαρμογή των εξαιρέσεων βάσει του άρθρου 28 παράγραφος 7 του PIPA· την αποτελεσματικότητα της άσκησης των ατομικών δικαιωμάτων, μεταξύ άλλων ενώπιον της πρόσφατα μεταρρυθμισθείσας PIPC, και την εφαρμογή εξαιρέσεων από τα εν λόγω δικαιώματα· την εφαρμογή των μερικών εξαιρέσεων βάσει του PIPA· καθώς και τους περιορισμούς και τις εγγυήσεις όσον αφορά την κρατική πρόσβαση (όπως παρατίθενται στο παράρτημα ΙΙ της παρούσας απόφασης), συμπεριλαμβανομένης της συνεργασίας της PIPC με τις αρχές προστασίας δεδομένων της ΕΕ για καταγγελίες από φυσικά πρόσωπα. Θα πρέπει να καλύπτει επίσης την αποτελεσματικότητα της εποπτείας και της επιβολής, όσον αφορά τον PIPA και στους τομείς της επιβολής του ποινικού δικαίου και της εθνικής ασφάλειας (ιδίως από την PIPC και τη NHRC).

(221)

Για τη διενέργεια της επανεξέτασης, η Επιτροπή θα πρέπει να πραγματοποιεί συνάντηση με την PIPC, συνοδευόμενη, κατά περίπτωση, από άλλες κορεατικές αρχές αρμόδιες για την κρατική πρόσβαση, συμπεριλαμβανομένων των σχετικών εποπτικών φορέων. Η συμμετοχή στη συνάντηση αυτή θα πρέπει να είναι ανοικτή στους εκπροσώπους των μελών του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων. Στο πλαίσιο της επανεξέτασης, η Επιτροπή θα πρέπει να ζητεί από την PIPC να υποβάλει ολοκληρωμένες πληροφορίες για όλες τις πτυχές που σχετίζονται με τη διαπίστωση της επάρκειας, συμπεριλαμβανομένων των περιορισμών και εγγυήσεων όσον αφορά την κρατική πρόσβαση (386). Η Επιτροπή θα πρέπει επίσης να ζητεί εξηγήσεις σχετικά με τυχόν πληροφορίες συναφείς με την παρούσα απόφαση των οποίων έλαβε γνώση, συμπεριλαμβανομένων των δημοσιοποιημένων εκθέσεων από κορεατικές αρχές ή άλλα ενδιαφερόμενα μέρη στην Κορέα, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, επιμέρους αρχές προστασίας δεδομένων, ομάδες της κοινωνίας των πολιτών, δημοσιεύματα μέσων μαζικής επικοινωνίας ή άλλες διαθέσιμες πηγές πληροφοριών.

(222)

Βάσει της επανεξέτασης, η Επιτροπή θα πρέπει να καταρτίζει δημόσια έκθεση που θα υποβάλλεται στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο.

(223)

Σε περίπτωση που οι διαθέσιμες πληροφορίες, ιδίως οι πληροφορίες που προκύπτουν από την παρακολούθηση της παρούσας απόφασης ή που παρέχονται από τις αρχές της Δημοκρατίας της Κορέας ή των κρατών μελών, αποκαλύπτουν ότι το επίπεδο προστασίας που παρέχει η Δημοκρατία της Κορέας ενδέχεται να μην είναι πλέον επαρκές, η Επιτροπή θα πρέπει να ενημερώσει αμέσως σχετικά τις αρμόδιες αρχές της Δημοκρατίας της Κορέας και να ζητήσει τη λήψη κατάλληλων μέτρων εντός καθορισμένου εύλογου χρονικού διαστήματος.

(224)

Εάν, κατά τη λήξη του εν λόγω καθορισμένου χρονικού διαστήματος, οι αρμόδιες κορεατικές αρχές δεν έχουν λάβει τα εν λόγω μέτρα ή δεν αποδείξουν με άλλον τρόπο ικανοποιητικά ότι η παρούσα απόφαση εξακολουθεί να βασίζεται σε επαρκές επίπεδο προστασίας, η Επιτροπή θα κινήσει τη διαδικασία που αναφέρεται στο άρθρο 93 παράγραφος 2 του κανονισμού (ΕΕ) 2016/679 με σκοπό τη μερική ή πλήρη αναστολή ή κατάργηση της παρούσας απόφασης.

(225)

Εναλλακτικά, η Επιτροπή θα κινήσει την εν λόγω διαδικασία για την τροποποίηση της απόφασης, ιδίως με την υποβολή των διαβιβάσεων δεδομένων σε πρόσθετες προϋποθέσεις ή τον περιορισμό του πεδίου εφαρμογής της διαπίστωσης επάρκειας μόνο στις διαβιβάσεις δεδομένων για τις οποίες εξακολουθεί να διασφαλίζεται επαρκές επίπεδο προστασίας.

(226)

Ειδικότερα, η Επιτροπή θα πρέπει να κινήσει τη διαδικασία αναστολής ή κατάργησης εάν υπάρχουν ενδείξεις ότι οι πρόσθετες εγγυήσεις που περιέχονται στο παράρτημα I δεν τηρούνται από τους επιχειρηματικούς φορείς που λαμβάνουν δεδομένα προσωπικού χαρακτήρα βάσει της παρούσας απόφασης και/ή δεν επιβάλλονται αποτελεσματικά, ή ότι οι κορεατικές αρχές δεν συμμορφώνονται με τις δηλώσεις, διαβεβαιώσεις και δεσμεύσεις που περιέχονται στο παράρτημα II της παρούσας απόφασης.

(227)

Η Επιτροπή θα πρέπει επίσης να εξετάσει το ενδεχόμενο κίνησης της διαδικασίας τροποποίησης, αναστολής ή κατάργησης της παρούσας απόφασης εάν, στο πλαίσιο της επανεξέτασης ή σε άλλο πλαίσιο, οι αρμόδιες κορεατικές αρχές δεν παρέχουν τις αναγκαίες πληροφορίες ή διευκρινίσεις για την αξιολόγηση του επιπέδου προστασίας που παρέχεται στα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται από την Ευρωπαϊκή Ένωση στη Δημοκρατία της Κορέας ή όσον αφορά τη συμμόρφωση με την παρούσα απόφαση. Συναφώς, η Επιτροπή θα πρέπει να λαμβάνει υπόψη αν οι συναφείς πληροφορίες μπορούν να εξασφαλιστούν από άλλες πηγές.

(228)

Αν συντρέχουν δεόντως αιτιολογημένοι επιτακτικοί λόγοι επείγουσας ανάγκης, η Επιτροπή θα κάνει χρήση της δυνατότητας να εκδώσει, σύμφωνα με τη διαδικασία που αναφέρεται στο άρθρο 93 παράγραφος 3 του κανονισμού (ΕΕ) 2016/679, εκτελεστικές πράξεις άμεσης εφαρμογής για την αναστολή, την κατάργηση ή την τροποποίηση της απόφασης.

(229)

Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων δημοσίευσε τη γνώμη του (387), η οποία ελήφθη υπόψη κατά την εκπόνηση της παρούσας απόφασης.

(230)

Τα μέτρα που προβλέπονται στην παρούσα απόφαση είναι σύμφωνα με τη γνώμη της επιτροπής που έχει συσταθεί βάσει του άρθρου 93 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679,