(1)

Määruses (EL) 2016/679 on kehtestatud õigusnormid, mis reguleerivad isikuandmete edastamist liidus asuvatelt vastutavatelt või volitatud töötlejatelt kolmandatesse riikidesse ja rahvusvahelistele organisatsioonidele juhul, kui andmete edastamine kuulub määruse kohaldamisalasse. Andmete rahvusvahelise edastamise normid on sätestatud kõnealuse määruse V peatükis (artiklid 44–50). Kuigi isikuandmete liikumine Euroopa Liitu mitte kuuluvatesse riikidesse ja nendest riikidest on vajalik piiriülese kaubanduse ja rahvusvahelise koostöö laiendamiseks, ei tohi nende edastamine kolmandatele riikidele kahjustada Euroopa Liidus isikuandmetele pakutava kaitse taset (2).

(2)

Määruse (EL) 2016/679 artikli 45 lõike 3 alusel võib komisjon võtta rakendusaktiga vastu otsuse, et kolmas riik või kolmanda riigi territoorium või kolmanda riigi üks või mitu kindlaksmääratud sektorit või rahvusvaheline organisatsioon tagab isikuandmete piisava kaitsetaseme. Kui see tingimus on täidetud, võib isikuandmeid edastada kolmandasse riiki ilma täiendava loata, nagu on sätestatud määruse (EL) 2016/679 artikli 45 lõikes 1 ja põhjenduses 103.

(3)

Nagu on täpsustatud määruse (EL) 2016/679 artikli 45 lõikes 2, tuleb kaitse piisavuse otsuse vastuvõtmisel tugineda kolmanda riigi õiguskorra põhjalikule analüüsile, mis hõlmab nii andmeimportijate suhtes kohaldatavaid õigusnorme kui ka piiranguid ja kaitsemeetmeid, mis puudutavad avaliku sektori asutuste juurdepääsu isikuandmetele. Komisjon peab oma hinnangus kindlaks määrama, kas kõnealune kolmas riik tagab kaitsetaseme, mis „sisuliselt vastab“ Euroopa Liidus tagatud kaitsetasemele (määruse (EL) 2016/679 põhjendus 104). Seda hinnatakse liidu õigusaktide, eelkõige määruse (EL) 2016/679, ning Euroopa Liidu Kohtu praktika põhjal (3).

(4)

Nagu Euroopa Liidu Kohus on selgitanud, ei eelda see järeldust identse kaitsetaseme kohta (4). Eelkõige võivad vahendid, mida asjaomane kolmas riik isikuandmete kaitseks kasutab, erineda nendest, mida rakendatakse liidus, kui need osutuvad praktikas piisava kaitsetaseme tagamisel tulemuslikuks (5). Piisavuse nõue ei eelda seega liidu õigusnormide punkthaaval kordamist. Küsimus on pigem selles, kas välisriigi süsteem tervikuna tagab privaatsuse õiguse sisu ja selle tulemusliku rakendamise, järelevalve ja maksmapaneku kaudu nõutava isikuandmete kaitse taseme (6). Seda käsitlevaid suuniseid on esitatud ka Euroopa Andmekaitsenõukogu kaitse piisavuse viitedokumendis, mille eesmärk on seda normi täiendavalt selgitada (7).

(5)

Komisjon on hoolikalt analüüsinud Korea õigust ja tavasid. Tuginedes põhjendustes (8)–(208) esitatud tähelepanekutele, teeb komisjon järelduse, et Korea Vabariik tagab piisava kaitsetaseme isikuandmetele, mille liidus asuv vastutav töötleja või volitatud töötleja (8) edastab isikuandmete kaitse seaduse (29. märtsi 2011. aasta seadus nr 10465, viimati muudetud 4. veebruari 2020. aasta seadusega nr 16930) kohaldamisalasse kuuluvatele Koreas asuvatele üksustele (nt füüsilised või juriidilised isikud, organisatsioonid, avaliku sektori asutused). See hõlmab nii vastutavaid töötlejaid kui ka volitatud töötlejaid (töötlejad, kellele tegevus on edasi antud (9)) määruse (EL) 2016/679 tähenduses. Kaitse piisavuse otsus ei puuduta isikuandmete töötlemist, mida teevad usuorganisatsioonid misjonitegevuse eesmärgil või mis on seotud erakondade kandidaatide nimetamisega, ega isiku krediiditeabe töötlemist, mida teevad finantsteenuste komisjoni järelevalve alla kuuluvad vastutavad töötlejad krediiditeabe seaduse alusel.

(6)

Selles järelduses võetakse arvesse teatises nr 2021-5 (I lisa) kehtestatud täiendavaid kaitsemeetmeid ning Korea valitsuse poolt komisjonile esitatud ametlikke seisukohti, kinnitusi ja kohustusi (II lisa).

(7)

Käesolev otsus tähendab, et andmete edastamine Korea Vabariigis asuvatele vastutavatele töötlejatele ja volitatud töötlejatele võib toimuda ilma täiendava loata. Otsus ei mõjuta määruse (EL) 2016/679 vahetut kohaldamist selliste üksuste suhtes juhul, kui on täidetud kõnealuse määruse artiklis 3 sätestatud tingimused määruse territoriaalse kohaldamisala kohta.

(8)

Koreas privaatsust ja andmekaitset reguleeriv õigussüsteem tugineb 17. juulil 1948 välja kuulutatud põhiseadusele. Õigust isikuandmete kaitsele ei ole põhiseaduses küll sõnaselgelt sätestatud, kuid sellest hoolimata tunnustatakse seda põhiõigusena, mis tuleneb põhiseaduses sätestatud õigusest inimväärikusele ja õigusest püüelda õnne poole (artikkel 10), õigusest eraelule (artikkel 17) ja õigusest sõnumisaladusele (artikkel 18). Seda on kinnitanud nii kõrgeim kohus (10) kui ka konstitutsioonikohus (11). Põhiõiguste ja -vabaduste (sealhulgas eraelu puutumatuse õiguse) piiranguid võib kehtestada ainult seadusega, kui see on vajalik riigi julgeoleku tagamiseks või üldise heaolu nimel avaliku korra säilitamiseks, ning see ei tohi mõjutada kaaluloleva õiguse või vabaduse põhiolemust (artikli 37 lõige 2).

(9)

Kuigi põhiseaduse mitmes osas on viidatud Korea kodanike õigustele, on konstitutsioonikohus leidnud, et põhiõigused kehtivad ka välisriikide kodanike suhtes (12). Eelkõige sedastas kohus, et isiku inimväärikuse ja tema kui inimese väärtuse kaitse, samuti õigus püüelda õnne poole on kõigi inimeste, mitte üksnes kodanike õigused (13). Peale selle on Korea valitsuse ametlike seisukohtade (14) kohaselt üldtunnustatud, et põhiseaduse artiklitega 12–22 (mis hõlmavad privaatsust puudutavaid õigusi) on ette nähtud põhilised inimõigused (15). Kuigi seni puudub konkreetselt välisriikide kodanike õigust privaatsusele käsitlev kohtupraktika, toetab seda järeldust asjaolu, et see õigus lähtub inimväärikuse ja õnne poole püüdlemise kaitsest (16).

(10)

Peale selle on Korea kehtestanud andmekaitse valdkonnas mitu seadust, millega nähakse ette kaitsemeetmed kõikidele isikutele olenemata nende kodakondsusest (17). Käesoleva otsuse kohaldamisel on asjakohased järgmised seadused:

(11)

Isikuandmete kaitse seadusega nähakse ette andmekaitse üldine õigusraamistik Korea Vabariigis. Seda täiendab rakendusmäärus (presidendi 29. septembri 2011. aasta määrus nr 23169, viimati muudetud presidendi 4. augusti 2020. aasta määrusega nr 30892) (edaspidi „isikuandmete kaitse seaduse rakendusmäärus“), mis sarnaselt isikuandmete kaitse seadusele on õiguslikult siduv ja täitmisele pööratav.

(12)

Peale selle on isikuandmete kaitse seaduse tõlgendamist ja kohaldamist käsitlevad lisanormid esitatud isikuandmete kaitse komisjoni vastuvõetud regulatiivsetes teatistes. Isikuandmete kaitse seaduse artikli 5 („Riigi kohustused“) ja artikli 14 („Rahvusvaheline koostöö“) põhjal võttis isikuandmete kaitse komisjon vastu 1. septembri 2020. aasta teatise nr 2021-5 (muudetud 21. jaanuari 2021. aasta teatisega nr 2021-1 ja 16. novembri 2021. aasta teatisega nr 2021-5, edaspidi „teatis nr 2021-5“) isikuandmete kaitse seaduse teatavate sätete tõlgendamise, kohaldamise ja täitmise tagamise kohta. Kõnealuses teatises on esitatud selgitused, mida kohaldatakse isikuandmete kaitse seaduse kohase isikuandmete töötlemise suhtes, samuti täiendavad kaitsemeetmed seoses isikuandmetega, mida käesoleva otsuse alusel Koreasse edastatakse. Teatis on isikuandmete vastutavate töötlejate jaoks õiguslikult siduv ning selle täitmise tagamisega tegelevad nii isikuandmete kaitse komisjon kui ka kohtud (19). Teatises kehtestatud normide rikkumine tähendab isikuandmete kaitse seaduse nende sätete rikkumist, mida need normid täiendavad. Seepärast analüüsitakse isikuandmete kaitse seaduse asjakohaste artiklite hindamise raames täiendavate kaitsemeetmete sisu. Lisaks on isikuandmete kaitse komisjon võtnud vastu isikuandmete kaitse seaduse käsiraamatu ja suunised, milles selgitatakse täiendavalt isikuandmete kaitse seadust ja selle rakendusmäärust, millega on reguleeritud see, kuidas isikuandmete kaitse komisjon kohaldab andmekaitsenorme ja tagab nende täitmise (20).

(13)

Peale selle on krediiditeabe kasutamise ja kaitse seaduses (edaspidi „krediiditeabe seadus“) sätestatud erinormid, mida kohaldatakse nii „tavaliste“ ettevõtjate kui ka finantssektoris tegutsevate spetsialiseerunud üksuste suhtes, kui nad töötlevad isiku krediiditeavet, see tähendab teavet, mis on vajalik selleks, et määrata kindlaks finants- või äritehingute poole krediidivõimelisus. Eelkõige hõlmab see teave nime, kontaktandmeid, finantstehinguid, krediidireitingut, kindlustatust või laenujääki, kui seda teavet kasutatakse üksikisiku krediidivõimelisuse kindlaksmääramiseks (21). Kui aga kõnealust teavet kasutatakse muudel eesmärkidel (näiteks seoses personaliküsimustega), siis kohaldatakse täies ulatuses isikuandmete kaitse seadust. Mis puudutab krediiditeabe seaduse andmekaitse erisätteid, siis teeb nende täitmise üle järelevalvet osaliselt isikuandmete kaitse komisjon (äriorganisatsioonide puhul, vt krediiditeabe seaduse artikkel 45-3) ja osaliselt finantsteenuste komisjon (22) (finantssektori, sealhulgas reitinguagentuuride, pankade, kindlustusseltside, säästuühistute, laenurahastamisele spetsialiseerunud ettevõtjate, finantsinvesteerimisteenuste ettevõtjate, väärtpaberite rahastamise ettevõtjate, krediidiühistute jne puhul, vt krediiditeabe seaduse artikli 45 lõige 1, tõlgendatuna koostoimes krediiditeabe seaduse rakendusmääruse artikliga 36-2 ja finantsteenuste komisjoni seaduse artikliga 38). Sellega seoses piirdub käesoleva otsuse kohaldamisala ettevõtjatega, kelle üle teeb järelevalvet isikuandmete kaitse komisjon (23). Selles kontekstis kohaldatavaid krediiditeabe seaduse erinorme (erinormide puudumisel kohaldatakse isikuandmete kaitse seaduse üldnorme) on kirjeldatud punktis 2.3.11.

(14)

Kui muudes seadustes ei ole konkreetselt sätestatud teisiti, on isikuandmete kaitse reguleeritud isikuandmete kaitse seadusega (artikkel 6). Seaduse esemeline ja isikuline kohaldamisala on kindlaks määratud „isikuandmete“, „töötlemise“ ja „isikuandmete vastutava töötleja“ määratletud mõistetega.

(15)

Isikuandmete kaitse seaduse artikli 2 lõikes 1 on isikuandmed määratletud kui elavat isikut käsitlev teave, mille abil on võimalik tuvastada see isik otseselt (näiteks tema nimi, residendi registrinumber või foto) või kaudselt (eelkõige juhul, kui teavet, mille põhjal üksi ei saa teatavat isikut tuvastada, on lihtne ühendada muu teabega). See, kas teavet on lihtne ühendada, sõltub sellise ühendamise mõistlikust tõenäosusest, võttes arvesse nii võimalust hankida muud teavet kui ka isiku tuvastamiseks vajalikku aega, kulu ja tehnoloogiat.

(16)

Peale selle käsitatakse isikuandmete kaitse seaduse alusel isikuandmetena pseudonümiseeritud andmeid, see tähendab teavet, mille abil ei ole võimalik konkreetset isikut tuvastada, kasutamata muud teavet või ühendamata seda muu teabega, mille abil taastada teabe algne olek (isikuandmete kaitse seaduse artikli 2 lõike 1 punkt c). Seevastu jäävad isikuandmete kaitse seaduse kohaldamisalast välja täielikult anonüümseks muudetud andmed (isikuandmete kaitse seaduse artikkel 58-2). See kehtib teabe puhul, mille abil ei ole võimalik konkreetset isikut kindlaks teha ka siis, kui see on ühendatud muu teabega, võttes arvesse tuvastamiseks mõistlikult vajalikku aega, kulu ja tehnoloogiat.

(17)

See vastab määruse (EL) 2016/679 esemelisele kohaldamisalale ning määruses esitatud „isikuandmete“, „pseudonümiseerimise“ (24) ja „anonüümseks muudetud teabe“ (25) mõistetele.

(18)

Töötlemise mõiste on isikuandmete kaitse seaduses määratletud laialt ja hõlmab „isikuandmete kogumist, koostamist, ühendamist, sidumist, registreerimist, salvestamist, säilitamist, lisaväärtusega töötlemist, redigeerimist, nende kohta päringute tegemist, nende väljastamist, parandamist, taastamist, kasutamist, esitamist, avalikustamist, hävitamist ja muid sarnaseid toiminguid“ (26). Kuigi isikuandmete kaitse seaduse teatavates sätetes on osutatud ainult konkreetset liiki töötlemisele, nagu „kasutamine“, „esitamine“ või „kogumine“, (27) siis tõlgendatakse mõistet „kasutamine“ nii, et see hõlmab igat liiki töötlemist peale „kogumise“ ja (kolmandale isikule) „esitamise“. Seega tagatakse „kasutamise“ sellise laia tõlgendusega, et seoses konkreetsete töötlemistoimingutega ei esine kaitses lünki. Seepärast vastab töötlemise mõiste määruses (EL) 2016/679 kasutatud samale mõistele.

(19)

Isikuandmete kaitse seadust kohaldatakse „isikuandmete vastutavate töötlejate“ (edaspidi „vastutav töötleja“) suhtes. Sarnaselt määrusele (EL) 2016/679 hõlmab see kõiki avaliku sektori asutusi, juriidilisi isikuid, organisatsioone või üksikisikuid, kes töötlevad isikuandmeid otse või kaudselt, et hallata oma tegevuse osana isikuandmete faile (28). Selles kontekstis tähendab „isikuandmete fail“ mis tahes „isikuandmete kogumit või kogumeid, mis on teatava normi alusel süstemaatiliselt korraldatud, et teha isikuandmed hõlpsalt kättesaadavaks“ (isikuandmete kaitse seaduse artikli 2 lõige 4) (29). Asutusesiseselt on vastutaval töötlejal kohustus koolitada tema juhiste alusel töötlemises osalevaid isikuid, nagu äriühingu juhte või töötajad, ning viia ellu nõuetekohast kontrolli ja järelevalvet (isikuandmete kaitse seaduse artikli 28 lõige 1).

(20)

Erikohustused kehtivad juhul, kui vastutav töötleja (edaspidi „tegevuse edasiandja“), kasutab isikuandmete töötlemiseks kolmandat isikut (edaspidi „töötleja, kellele tegevus on edasi antud“). Eelkõige peab tegevuse edasiandmine olema reguleeritud õiguslikult siduva kokkuleppega (tavaliselt leping), (30) milles on sätestatud edasiantud tegevuse ulatus, töötlemise eesmärk, kohaldatavad tehnilised ja halduslikud kaitsemeetmed, vastutava töötleja poolne järelevalve, vastutus (näiteks lepinguliste kohustuste rikkumisest tuleneva kahju hüvitamine), aga ka mis tahes alamtöötlemise piirangud (31) (isikuandmete kaitse seaduse artikli 26 lõiked 1 ja 2 tõlgendatuna koostoimes rakendusmääruse artikli 28 lõikega 1) (32).

(21)

Peale selle peab vastutav töötleja avaldama edasiantud töö üksikasjad ja selle töötleja nime, kellele tegevus on edasi antud, ja neid pidevalt ajakohastama, või kui edasiantud töötlemine on seotud otseturundustegevusega, üksikisikuid asjaomasest teabest otse teavitama (isikuandmete kaitse seaduse artikli 26 lõiked 2 ja 3 tõlgendatuna koostoimes rakendusmääruse artikli 28 lõigetega 2–5) (33).

(22)

Lisaks on vastutaval töötlejal kooskõlas isikuandmete kaitse seaduse artikli 26 lõikega 4, tõlgendatuna koostoimes rakendusmääruse artikli 28 lõikega 6, kohustus „koolitada“ töötlejat, kellele tegevus on edasi antud, seoses vajalike turbemeetmetega, ning teha muu hulgas kontrollkäikude teel järelevalvet selle üle, kas ta täidab kõiki kohustusi, mis vastutaval töötlejal on nii isikuandmete kaitse seaduse, aga ka tegevuse edasiandmise lepingu alusel (34). Kui töötleja, kellele tegevus on edasi antud, tekitab isikuandmete kaitse seaduse rikkumise tõttu kahju, omistatakse tema tegevus või tegevusetus vastutuse kindlaksmääramise eesmärgil vastutavale töötlejale samamoodi kui töötaja puhul (isikuandmete kaitse seaduse artikli 26 lõige 6).

(23)

Kuigi isikuandmete kaitse seaduses ei ole kasutatud „vastutavate töötlejate“ ja „volitatud töötlejate“ kohta erinevaid mõisteid, nähakse tegevuse edasiandmist käsitlevate sätetega ette põhimõtteliselt samaväärsed kohustused ja kaitsemeetmed kui need, millega on reguleeritud vastutavate töötlejate ja volitatud töötlejate suhe määruse (EL) 2016/679 alusel.

(24)

Isikuandmete kaitse seadust kohaldatakse isikuandmete töötlemisele sõltumata sellest, kes on vastutav töötleja; teatavad sätted sisaldavad siiski erinorme (lex specialis), mida kohaldatakse siis, kui „kasutajate“ isikuandmeid töötlevad „info- ja kommunikatsiooniteenuste osutajad“ (35). „Kasutajate“ mõiste hõlmab isikuid, kes info- ja kommunikatsiooniteenuseid kasutavad (info- ja kommunikatsioonivõrgu kasutamise edendamise ja andmekaitse seaduse (edaspidi „võrguseadus“) artikli 2 lõike 1 punkt 4). Sellest tulenevalt peab isik kas kasutama Korea sidevõrgu operaatori osutatavaid teenuseid otse või kasutama infoteenuseid, (36) mida äriliselt (st kasumi teenimise eesmärgil) osutab üksus, kes omakorda kasutab Koreas tegevusluba omava / seal registreeritud sidevõrgu operaatori teenuseid (37). Mõlemal juhul on üksus, kelle suhtes on isikuandmete kaitse seaduse erisätted siduvad, otse üksikisikule (st kasutajale) internetipõhise teenuse osutaja.

(25)

Seevastu käsitleb järeldus kaitse piisavuse kohta ainult sellistele isikuandmetele pakutava kaitse taset, mille liidus asuv vastutav töötleja / volitatud töötleja edastab kolmandas riigis (käesoleval juhul Korea Vabariigis) asuvale üksusele. Viimase stsenaariumi puhul on liidus asuvatel üksikisikutel üldjuhul otsene suhe ainult liidus asuva nn andmeeksportijaga, mitte mõne Korea info- ja kommunikatsiooniteenuste osutajaga (38). Seepärast kohaldatakse isikuandmete kaitse seaduse erisätteid, mis käsitlevad info- ja kommunikatsiooniteenuste kasutajate isikuandmeid, käesoleva otsuse alusel edastatavate isikuandmete suhtes parimal juhul üksnes piiratud olukordades.

(26)

Isikuandmete kaitse seaduse artikli 58 lõike 1 kohaselt ei kohaldata isikuandmete kaitse seaduse teatavat osa (st artikleid 15–57) nelja andmete töötlemise kategooria suhtes (39). Eelkõige ei kohaldata isikuandmete kaitse seaduse neid osasid, mis käsitlevad töötlemise erialuseid, teatavaid andmekaitsekohustusi, üksikisikute õiguste teostamise üksikasjalikke norme ning norme, millega on reguleeritud vaidluste lahendamine isikuandmeid käsitlevate vaidluste vahendamise komitees. Isikuandmete kaitse seaduse ülejäänud põhisätted on jätkuvalt kohaldatavad, eelkõige üldsätted, mis käsitlevad andmekaitse põhimõtteid (isikuandmete kaitse seaduse artikkel 3), sealhulgas näiteks seaduslikkuse, eesmärgi määratlemise ja piiritlemise, võimalikult väheste andmete kogumise, andmete õigsuse ja andmeturbe põhimõtteid, ning üksikisikute õigusi (õigus andmetega tutvuda ning lasta neid parandada, kustutada ja nende töötlemine peatada, vt isikuandmete kaitse seaduse artikkel 4). Peale selle on isikuandmete kaitse seaduse artikli 58 lõikes 4 kõnealuste töötlemistoimingutega seoses kehtestatud konkreetsed kohustused, mis eelkõige käsitlevad võimalikult väheste andmete kogumist, andmete piiratud säilitamist, turbemeetmeid ja kaebuste menetlemist (40). Selle tulemusel on üksikisikutel jätkuvalt võimalus esitada isikuandmete kaitse komisjonile kaebus, kui kõnealuseid põhimõtteid ja kohustusi ei järgita, ning isikuandmete kaitse komisjonil on volitus võtta nõuete täitmata jätmise korral meetmeid nende täitmise tagamiseks.

(27)

Esiteks hõlmab osaline vabastus isikuandmeid, mida kooskõlas statistikaseadusega kogutakse töötlemiseks avaliku sektori asutustes. Korea valitsuse selgituste kohaselt on selles kontekstis töödeldavad andmed tavaliselt seotud Korea kodanikega ja hõlmavad välisriikide kodanikke käsitlevat teavet vaid erandkorras, eelkõige juhtudel, mis on seotud territooriumile sisenemise ja sealt lahkumise või välisinvesteeringute statistikaga. Ent isegi nendes olukordades ei edasta andmeid tavapäraselt mitte liidus asuvad vastutavad töötlejad / volitatud töötlejad, vaid neid koguvad otse Korea ametiasutused (41). Sarnaselt määruse (EL) 2016/679 põhjenduses 162 sätestatule kohaldatakse statistikaseaduse alusel andmete töötlemise suhtes peale selle mitut tingimust ja kaitsemeedet. Eelkõige on statistikaseaduses kehtestatud konkreetsed kohustused, mille eesmärk on näiteks tagada täpsus, järjepidevus ja erapooletus ning üksikisikute konfidentsiaalsus, kaitsta statistilistele küsitlustele vastajate teavet, muu hulgas eesmärgiga takistada sellise teabe kasutamist muul otstarbel kui statistika koostamiseks, ja kehtestada töötajate suhtes konfidentsiaalsusnõuded (42). Statistilisi andmeid töötlevad ametiasutused peavad muu hulgas järgima ka võimalikult väheste andmete kogumise, eesmärgi piiritlemise ja turvalisuse põhimõtteid (isikuandmete kaitse seaduse artikkel 3 ja artikli 58 lõige 4) ja võimaldama üksikisikutel teostada oma õigusi (õigust andmetega tutvuda ning lasta neid parandada, kustutada või nende töötlemine peatada, vt isikuandmete kaitse seaduse artikkel 4). Samuti tuleb andmeid töödelda anonüümseks muudetud või pseudonümiseeritud kujul, kui see võimaldab täita töötlemise eesmärgi (isikuandmete kaitse seaduse artikli 3 lõige 7).

(28)

Teiseks on isikuandmete kaitse seaduse artikli 58 lõikes 1 osutatud isikuandmetele, mida kogutakse või taotletakse riigi julgeolekuga seotud teabe analüüsimiseks. Selle osalise vabastuse ulatust ja tagajärgi on üksikasjalikumalt kirjeldatud põhjenduses (149).

(29)

Kolmandaks kohaldatakse osalist vabastust isikuandmete ajutise töötlemise suhtes, kui see on tungivalt vajalik avaliku turvalisuse või julgeoleku, sealhulgas rahvatervise eesmärgil. Isikuandmete kaitse komisjon tõlgendab kõnealust kategooriat rangelt ja saadud teabe põhjal ei ole seda vabastust kunagi kasutatud. Seda vabastust kohaldatakse üksnes pakilisi meetmeid vajavates hädaolukordades, näiteks nakkusetekitajate jälgimiseks või looduskatastroofide ohvrite päästmiseks ja abistamiseks (43). Isegi sellistes olukordades hõlmab osaline vabastus ainult isikuandmete töötlemist piiratud aja jooksul sellise tegevuse elluviimise eesmärgil. Olukorrad, mille puhul seda võidakse kohaldada käesoleva otsusega hõlmatud andmeedastuse suhtes, on veelgi piiratumad, kuna on väga ebatõenäoline, et liidust Korea ettevõtjatele edastatavad isikuandmed oleksid sellist liiki, et neid oleks järgnevalt pakiliselt vaja sellistes hädaolukordades töödelda.

(30)

Samuti kohaldatakse osalist vabastust isikuandmete suhtes, mida koguvad või kasutavad ajakirjandus, usuorganisatsioonid misjonitegevuseks või erakonnad kandidaatide nimetamiseks. Vabastust kohaldatakse ainult juhul, kui ajakirjandus, usuorganisatsioonid või erakonnad töötlevad isikuandmeid nendel konkreetsetel eesmärkidel (st ajakirjanduslikuks tegevuseks, misjonitegevuseks või poliitiliste kandidaatide nimetamiseks). Kui need üksused töötlevad isikuandmeid muudel eesmärkidel, näiteks personalijuhtimiseks või sisehalduseks, siis kohaldatakse isikuandmete kaitse seadust täies ulatuses.

(31)

Kui ajakirjandus töötleb isikuandmeid ajakirjandusliku tegevuse eesmärgil, siis on väljendusvabaduse ja muude õiguste (sealhulgas eraelu puutumatuse õiguse) vaheline tasakaal reguleeritud ajakirjandusartiklite põhjustatud kahjuga seotud vahekohtumenetluse ja õiguskaitsevahendite jms seadusega (edaspidi „ajakirjandusseadus“) (44). Eelkõige on ajakirjandusseaduse artikliga 5 ette nähtud, et ajakirjandus (st ringhäälinguorganisatsioon, ajaleht, perioodikaväljaanne või veebiajaleht), ükski elektrooniline uudisteteenus ega elektrooniline multimeedia ringhäälinguorganisatsioon ei tohi rikkuda üksikisikute privaatsust. Kui privaatsust sellest hoolimata rikutakse, siis tuleb see kooskõlas seaduses sätestatud erimenetlustega viivitamata heastada. Sellega seoses antakse seadusega üksikisikutele, kes ajakirjandusartiklite tõttu kahju kannavad, mitmeid õigusi, näiteks õigus valeandmete paranduse avaldamisele, andmete parandamisele ümberlükkava avalduse teel või täiendava teate avaldamisele (kui pressiteade sisaldab väiteid kuriteo kohta, milles isik hiljem õigeks mõistetakse) (45). Üksikisikute nõudeid võivad lahendada otse ajakirjandusväljaanded (ombudsmani kaudu) (46) või seda võidakse teha lepitus- või vahekohtumenetluse teel (spetsialiseerunud ajakirjanduse vahekohtukomisjonis) (47) või kohtus. Samuti võivad üksikisikud saada hüvitist, kui nad kannavad ajakirjanduse (tahtliku või hoolimatusest tingitud) ebaseadusliku teo tõttu rahalist kahju, kui sellega rikutakse nende isiklikke õigusi või põhjustatakse muid emotsionaalseid kannatusi (48). Seaduse alusel on ajakirjandus vastutusest vabastatud juhul, kui ajakirjandusartikkel, millega sekkutakse üksikisiku õigustesse, ei ole vastuolus ühiskondlike väärtustega ja see avaldatakse kas asjaomase isiku nõusolekul või avalikes huvides (ja on piisav alus arvata, et artikkel vastab tõele) (49).

(32)

Kui ajakirjandus töötleb isikuandmeid ajakirjandusliku tegevuse eesmärgil, siis kehtivad selle suhtes ajakirjandusseadusest tulenevad erikaitsemeetmed. Samas ei ole usuorganisatsioonide- ja erakondadepoolsete töötlemistoimingute suhtes kehtestatud selliseid täiendavaid kaitsemeetmeid viisil, mis oleks võrreldav määruse (EL) 2016/679 artiklitega 85, 89 ja 91. Seepärast peab komisjon asjakohaseks jätta käesoleva otsuse kohaldamisalast välja usuorganisatsioonid juhul, kui nad töötlevad isikuandmeid misjonitegevuse eesmärgil, ja erakonnad juhul, kui nad töötlevad isikuandmeid seoses kandidaatide nimetamisega.

(33)

Isikuandmeid tuleb töödelda seaduslikult ja õiglaselt.

(34)

See põhimõte on sätestatud isikuandmete kaitse seaduse artikli 3 lõigetes 1 ja 2 ning seda kinnitab isikuandmete kaitse seaduse artikkel 59, millega keelatakse isikuandmete töötlemine „pettuse teel, sobimatute või ebaõiglaste vahenditega“, „ilma õigusliku aluseta“ või „minnes kaugemale nõuetekohastest volitustest“ (50). Need seadusliku töötlemise üldpõhimõtted on sõnastatud isikuandmete kaitse seaduse artiklites 15–19, kus on sätestatud töötlemise (andmete kogumise, kasutamise ja kolmandatele isikutele esitamise) eri õiguslikud alused, sealhulgas asjaolud, mille korral see võib hõlmata eesmärgi muutmist (isikuandmete kaitse seaduse artikkel 18).

(35)

Isikuandmete kaitse seaduse artikli 15 lõike 1 kohaselt võib vastutav töötleja koguda isikuandmeid (kogumise eesmärgi piires) ainult konkreetsetel õiguslikel alustel. Need on 1) andmesubjekti nõusolek (51) (punkt 1), 2) vajadus sõlmida andmesubjektiga leping ja seda täita (punkt 4), 3) seadusega ette nähtud eriluba või vajadus täita juriidilist kohustust (punkt 2), avaliku sektori asutuse vajadus (52) täita seaduse alusel tema pädevusse kuuluvaid ülesandeid, 4) ilmne vajadus kaitsta andmesubjekti või kolmanda isiku elu, tervist või varalisi huve vahetu ohu eest (ainult juhul, kui andmesubjektil ei ole võimalik oma tahet väljendada või kui eelnevat nõusolekut ei ole võimalik saada) (punkt 5), 5) vajadus teostada vastutava töötleja „põhjendatud huvi“, kui see on andmesubjekti huvide suhtes „ilmselgelt ülimuslik“ (ja ainult juhul, kui töötlemisel on „oluline seos“ õigustatud huviga ja see ei lähe kaugemale sellest, mis on mõistlik) (punkt 6) (53). Need töötlemise alused on sisuliselt samaväärsed määruse (EL) 2016/679 artiklis 6 sätestatud alustega, sealhulgas „põhjendatud huvi“ alusel töötlemine, mis on võrdne määruse (EL) 2016/679 artikli 6 lõike 1 punktis f sätestatud „õigustatud huvi“ alusel töötlemisega.

(36)

Pärast isikuandmete kogumist võib neid kasutada kogumise eesmärgi piires (isikuandmete kaitse seaduse artikli 15 lõige 1) või kogumise eesmärgiga „mõistlikult seotud piires“, võttes arvesse andmesubjektile tekitatavat võimalikku kahju ja tingimusel, et vastu on võetud vajalikud turbemeetmed (nt krüpteerimine) (isikuandmete kaitse seaduse artikli 15 lõige 3). Selleks et teha kindlaks, kas kasutuseesmärk on andmete algse kogumise eesmärgiga „mõistlikult seotud“, on rakendusmääruses sätestatud erikriteeriumid, mis on sarnased määruse (EL) 2016/679 artikli 6 lõikes 4 esitatud kriteeriumidega. Eelkõige peab see olema algse eesmärgi seisukohast olulise tähtsusega, täiendav kasutamine peab olema prognoositav (näiteks võttes arvesse teabe kogumise asjaolusid) ja võimaluse korral peavad andmed olema pseudonümiseeritud (54). Erikriteeriumid, mida vastutav töötleja selles hinnangus kasutab, tuleb eelnevalt avalikustada isikuandmete kaitse poliitikas (55). Peale selle peab andmekaitseametnik (vt põhjendus (94)) konkreetselt kontrollima, kas täiendav töötlemine toimub nende parameetrite piires.

(37)

Sarnaseid (ent mõnevõrra rangemaid) norme kohaldatakse kolmandale isikule teabe esitamise suhtes. Isikuandmete kaitse seaduse artikli 17 lõike 1 kohaselt on isikuandmete kolmandale isikule esitamine lubatud nõusoleku alusel (56) või kogumise eesmärgi piires juhul, kui teave on kogutud mõnel isikuandmete kaitse seaduse artikli 15 lõike 1 punktides 2, 3 ja 5 sätestatud õiguslikul alusel. Sellega välistatakse eelkõige avalikustamine vastutava töötleja „põhjendatud huvi“ alusel. Lisaks sellele lubatakse isikuandmete kaitse seaduse artikli 17 lõikega 4 esitada andmeid kolmandatele isikutele kogumise eesmärgiga „mõistlikult seotud piires“, võttes samuti arvesse andmesubjektile tekitatavat võimalikku kahju ja tingimusel, et vastu on võetud vajalikud turbemeetmed (nt krüpteerimine). Selle hindamiseks, kas andmete esitamine jääb kogumise eesmärgiga mõistlikult seotud piiresse ning kas kohaldatakse samu kaitsemeetmeid (st seoses isikuandmete kaitse poliitikaga tagatud läbipaistvusega ja andmekaitseametniku kaasamisega), tuleb arvesse võtta samu tegureid kui need, mida on kirjeldatud põhjenduses (36).

(38)

Kui Korea vastutav töötleja saab liidust isikuandmeid, siis käsitatakse seda andmete kogumisena isikuandmete kaitse seaduse artikli 15 tähenduses. Teatises nr 2021-5 (käesoleva otsuse I lisa I punkt) on selgitatud, et eesmärk, mille jaoks asjaomane ELi üksus andmed edastas, on Korea vastutava töötleja poolne andmete kogumise eesmärk. Seetõttu peavad Korea vastutavad töötlejad, kes liidust isikuandmeid saavad, vastavalt isikuandmete kaitse seaduse artiklile 17 põhimõtteliselt töötlema seda teavet edastamise eesmärgi piires.

(39)

Juhul kui vastutav töötleja soovib isikuandmeid kasutada või esitada neid kolmandale isikule muul eesmärgil kui andmete kogumise eesmärk, kohaldatakse eripiiranguid (57). Isikuandmete kaitse seaduse artikli 18 lõike 2 kohaselt võib eraõiguslik vastutav töötleja erandkorras kasutada isikuandmeid või esitada neid kolmandale isikule mõnel muul eesmärgil (58) 1) andmesubjekti täiendava (see tähendab eraldi) nõusoleku alusel, 2) kui see on ette nähtud erinormidega või 3) kui see on ilmselgelt vajalik andmesubjekti või kolmanda isiku elu, tervise või varaliste huvide kaitsmiseks vahetu ohu eest (ainult juhul, kui andmesubjektil ei ole võimalik oma tahet väljendada ja kui eelnevat nõusolekut ei ole võimalik saada) (59).

(40)

Teatavates olukordades võivad ka avaliku sektori asutused isikuandmeid muul eesmärgil kasutada või neid kolmandatele isikutele esitada. See hõlmab juhtumeid, kui neil oleks muidu võimatu täita oma seadusjärgseid kohustusi, tingimusel et isikuandmete kaitse komisjon on selleks loa andnud. Peale selle võivad avaliku sektori asutused esitada isikuandmeid muule ametiasutusele või kohtule, kui see on vajalik kuritegude uurimiseks, menetlemiseks või neis süüdistuse esitamiseks, kohtu ülesannete täitmiseks seoses poolelioleva kohtumenetlusega või kriminaalkaristuse või kriminaalhooldus- või vahi alla võtmise määruse täitmiseks (60). Samuti võivad nad esitada isikuandmeid välisriigi valitsusele või rahvusvahelisele organisatsioonile, et täita lepingust või rahvusvahelisest konventsioonist tulenevaid juriidilisi kohustusi; sel juhul peavad nad järgima ka piiriülest andmeedastust käsitlevaid nõudeid (vt põhjendus (90)).

(41)

Seega rakendatakse seaduslikkuse ja õigluse põhimõtteid Korea õigusraamistikus sisuliselt samaväärsel viisil kui määrusega (EL) 2016/679, lubades töötlemise ainult seaduslikel ja selgelt määratletud alustel. Peale selle on töötlemine kõikidel nimetatud juhtudel lubatud üksnes siis, kui ei ole tõenäoline, et sellega „riivatakse ebaõiglaselt“ andmesubjekti või kolmanda isiku huve, mis eeldab eri huvide tasakaalustamist. Lisaks on isikuandmete kaitse seaduse artikli 18 lõikega 5 ette nähtud täiendavad kaitsemeetmed juhul, kui vastutav töötleja esitab isikuandmeid kolmandale isikule; need võivad hõlmata taotlust piirata eesmärki ja kasutusviisi või kehtestada konkreetsed turbemeetmed. Kolmas isik on omakorda kohustatud taotletud meetmeid rakendama.

(42)

Samuti on isikuandmete kaitse seaduse artikliga 28-2 ilma asjaomase isiku nõusolekuta lubatud pseudonümiseeritud andmete (edasine) töötlemine statistilistel, teadusuuringute (61) ja avalikes huvides toimuva arhiveerimise eesmärkidel, tingimusel et kehtestatud on konkreetsed kaitsemeetmed. Sarnaselt määrusele (EL) 2016/679 (62) soodustab isikuandmete kaitse seadus seega sellistel eesmärkidel toimuvat isikuandmete (edasist) töötlemist raamistikus, millega on ette nähtud üksikisikute õiguste asjakohased kaitsemeetmed. Isikuandmete kaitse seaduses ei tugineta pseudonümiseerimisele kui võimalikule kaitsemeetmele, vaid see on kehtestatud eeltingimusena teatavate töötlemistoimingute läbiviimiseks statistilistel, teadusuuringute või avalikes huvides toimuva arhiveerimise eesmärkidel (näiteks et andmeid saaks töödelda ilma nõusolekuta või et ühendada eri andmekogumeid).

(43)

Peale selle on isikuandmete kaitse seaduses kehtestatud mitu erikaitsemeedet, eelkõige nõutavad tehnilised ja korralduslikud meetmed, andmete säilitamine, andmete jagamise piirangud ja võimalike tagasituvastusohtude kõrvaldamine. Põhjendustes (44)–(48) kirjeldatud mitmesuguste kaitsemeetmete kombinatsiooniga tagatakse, et selles kontekstis kohaldatakse isikuandmete töötlemise suhtes sisuliselt samaväärset kaitset kui see, mida nõutakse kooskõlas määrusega (EL) 2016/679.

(44)

Esiteks ja kõige olulisemana keelatakse isikuandmete kaitse seaduse artikli 28-5 lõikega 1 pseudonümiseeritud andmete töötlemine teatava isiku tuvastamise eesmärgil. Kui pseudonümiseeritud andmete töötlemisel luuakse sellest hoolimata teavet, mille põhjal saaks isiku tuvastada, peab vastutav töötleja viivitamata töötlemise peatama ja sellise teabe hävitama (isikuandmete kaitse seaduse artikli 28-5 lõige 2). Nende sätete rikkumise näol on tegemist süüteoga, mille eest määratakse haldustrahv (63). See tähendab seda, et isegi olukordades, kus isiku tagasituvastus oleks praktiliselt võimalik, on selline tagasituvastus õiguslikult keelatud.

(45)

Teiseks peab vastutav töötleja pseudonümiseeritud andmete sellisel eesmärgil (edasise) töötlemise korral kehtestama konkreetsed tehnoloogilised, halduslikud ja füüsilised meetmed teabe turvalisuse tagamiseks (muu hulgas eraldi säilitama ja haldama teavet, mis on vajalik pseudonümiseeritud andmete taastamiseks selle algsesse olekusse) (64). Peale selle tuleb säilitada andmed töödeldud pseudonümiseeritud andmete, töötlemise eesmärgi, kasutusajaloo ja andmete kolmandatest isikutest vastuvõtjate kohta (isikuandmete kaitse seaduse rakendusmääruse artikli 29-5 lõige 2).

(46)

Kolmandaks ja viimaseks on isikuandmete kaitse seadusega ette nähtud erikaitsemeetmed, et vältida isikute tuvastamist kolmandate isikute poolt juhul, kui teavet jagatakse. Eelkõige ei tohi vastutav töötleja kolmandale isikule statistilistel, teadusuuringute või avalikes huvides toimuva arhiveerimise eesmärkidel teavet esitades lisada sellist teavet, mida saaks kasutada konkreetse isiku tuvastamiseks (isikuandmete kaitse seaduse artikli 28-2 lõige 2) (65).

(47)

Täpsemalt lubatakse isikuandmete kaitse seadusega küll (eri vastutavate töötlejate töödeldud) pseudonümiseeritud andmete ühendamist statistilistel, teadusuuringute ja avalikes huvides toimuva arhiveerimise eesmärkidel, ent jäetakse see õigus spetsialiseerunud asutustele, kel on olemas spetsiaalsed turbevahendid (isikuandmete kaitse seaduse artikli 28-3 lõige 1) (66). Pseudonümiseeritud andmete ühendamise taotlemisel peab vastutav töötleja esitama dokumendid muu hulgas ühendatavate andmete, ühendamise eesmärgi ning ühendatud andmete töötlemiseks kavandatud turbemeetmete kohta (67). Et ühendamine oleks lubatud, peab vastutav töötleja saatma ühendatavad andmed spetsialiseerunud asutusele ning esitama Korea interneti- ja turbeametile nn ühendamisvõtme (st pseudonümiseerimiseks kasutatud andmed) (68). Nimetatud amet koostab ühendamisvõtmega seotud sidumisandmed (mis võimaldavad eri taotlejate ühendamisvõtmed andmekogumite ühendamise eesmärgil siduda) ja esitab need spetsialiseerunud asutusele (69).

(48)

Ühendamist taotlev vastutav töötleja võib analüüsida ühendatud teavet spetsialiseerunud asutuse ruumides, kus kohaldatakse spetsiaalseid tehnilisi, füüsilisi ja haldusalaseid turbemeetmeid (isikuandmete kaitse seaduse rakendusmääruse artikkel 29-3). Vastutavad töötlejad, kes sellise ühendamise jaoks andmekogumeid esitavad, võivad ühendatud andmed spetsialiseerunud asutusest välja viia üksnes pärast ühendatud andmete täiendavat pseudonümiseerimist või anonüümseks muutmist ja asjaomase asutuse nõusolekul (isikuandmete kaitse seaduse artikli 28-3 lõige 2) (70). Sellise loa andmise kaalumisel hindab asutus ühendatud andmete ja töötlemise eesmärgi vahelist seost ja seda, kas kõnealuste andmete kasutamiseks on koostatud spetsiaalne turbekava (71). Ühendatud teabe asutusest välja viimine ei ole lubatud, kui teave sisaldab andmeid, mis võimaldavad isikut tuvastada (72). Spetsialiseerunud asutuse poolse pseudonümiseeritud andmete ühendamise ja avaldamise üle teeb järelevalvet isikuandmete kaitse komisjon (isikuandmete kaitse seaduse rakendusmääruse artikli 29-4 lõige 3).

(49)

Andmete eriliikide töötlemisel tuleks kohaldada erikaitsemeetmeid.

(50)

Isikuandmete kaitse seadus sisaldab erinorme tundlike andmete töötlemise kohta (73). Sellised andmed on isikuandmed, mis annavad teavet isiku ideoloogia, usu, ametiühingusse või erakonda vastuvõtmise või sealt väljaastumise, poliitiliste vaadete, tervise ja seksuaalelu kohta, samuti muud isikuandmed, mis tõenäoliselt „märgatavalt“ ohustavad andmesubjekti privaatsust ja mis on presidendi määrusega liigitatud tundlikuks teabeks (74). Isikuandmete kaitse komisjonilt saadud selgituste kohaselt tõlgendatakse seksuaalelu nii, et see hõlmab ka isiku seksuaalset sättumust või seksuaalseid eelistusi (75). Peale selle on rakendusmääruse artikliga 18 lisatud tundlike andmete alla täiendavaid kategooriaid, eelkõige geenitestidest saadud DNA-andmed ja varasemad karistusregistri andmed. Isikuandmete kaitse seaduse rakendusmääruse hiljutise muudatusega laiendati tundlike andmete mõistet veelgi, lisades isikuandmed, millest ilmneb rassiline või etniline päritolu, ja biomeetrilise teabe (76). Pärast nimetatud muudatust on isikuandmete kaitse seaduse kohane tundlike andmete mõiste sisuliselt samaväärne määruse (EL) 2016/679 artiklis 9 esitatuga.

(51)

Isikuandmete kaitse seaduse artikli 23 lõike 1 kohaselt ja sarnaselt määruse (EL) 2016/679 artikli 9 lõikes 1 sätestatule on tundlike andmete töötlemine üldiselt keelatud, välja arvatud juhul, kui kohaldatakse mõnda loetletud erandit (77). Nendega piiratakse töötlemist juhtudega, mil vastutav töötleja teavitab andmesubjekti kooskõlas isikuandmete kaitse seaduse artiklitega 15 ja 17 ning saab eraldi nõusoleku (st eraldiseisvalt nõusolekust muude isikuandmete töötlemiseks) või kui töötlemine on nõutud või lubatud seadusega. Samuti võivad ametiasutused töödelda biomeetrilist teavet, geenitestidest saadud DNA-andmeid, isikuandmeid, millest ilmneb rassiline või etniline päritolu, ja varasemaid karistusregistri andmeid üksnes nende asutuste kasutuses olevatel alustel (näiteks kui see on vajalik kuritegude uurimiseks või kohtu jaoks vajalik kohtuasja menetlemiseks) (78). Seega on tundlike andmete töötlemiseks kasutatavad õiguslikud alused piiratumad kui muud liiki isikuandmete puhul ning Korea õiguses on need veelgi piiratumad kui määruse (EL) 2016/679 artikli 9 lõike 2 alusel.

(52)

Lisaks on isikuandmete kaitse seaduse artikli 23 lõikes 2 (nõuete täitmata jätmine, mille korral võidakse määrata karistus) (79) rõhutatud, et tundlike andmete töötlemisel on eriti tähtis tagada asjakohased turbemeetmed, et andmeid „ei oleks võimalik kaotada, varastada, avalikustada, võltsida, muuta ega kahjustada“. See on isikuandmete kaitse seaduse artikli 29 kohane üldine nõue, ent artikli 3 lõikes 4 on selgitatud, et turbetaset tuleb kohandada vastavalt töödeldavate isikuandmete liigile, mis tähendab seda, et arvesse tuleb võtta tundlike andmete töötlemisega kaasnevaid konkreetseid riske. Peale selle tuleb andmeid alati töödelda „viisil, millega minimeeritakse andmesubjekti privaatsuse rikkumise võimalusi“, ja võimaluse korral „anonüümselt“ (isikuandmete kaitse seaduse artikli 3 lõiked 6 ja 7). Need nõuded on eriti asjakohased tundlike andmete töötlemise korral.

(53)

Isikuandmeid tuleks koguda konkreetsel eesmärgil ja viisil, mis ei ole vastuolus töötlemise eesmärgiga.

(54)

See põhimõte on sätestatud isikuandmete kaitse seaduse artikli 3 lõigetes 1 ja 2, mille kohaselt vastutav töötleja peab „sõnaselgelt täpsustama“ töötlemise eesmärgi, töötlema isikuandmeid selle eesmärgi täitmise seisukohast asjakohasel viisil ja mitte kasutama andmeid muul kui sel eesmärgil. Eesmärgi piiritlemise üldpõhimõtet on kinnitatud ka isikuandmete kaitse seaduse artikli 15 lõikes 1, artikli 18 lõikes 1 ja artiklis 19 ning volitatud töötlejate (töötlejad, kellele tegevus on edasi antud) puhul artikli 26 lõike 1 punktis 1 ja lõigetes 5 ja 7. Eelkõige tohib isikuandmeid kasutada ja kolmandatele isikutele esitada põhimõtteliselt ainult selle eesmärgi piires, milleks need koguti (artikli 15 lõige 1 ja artikli 17 lõike 1 punkt 2). Töötlemine kooskõlas oleval eesmärgil, see tähendab „kogumise algse eesmärgiga mõistlikult seotud ulatuses“ on võimalik ainult siis, kui see ei kahjusta asjaomast andmesubjekti ja kui on vastu võetud vajalikud turbemeetmed (näiteks krüpteerimine) (isikuandmete kaitse seaduse artikli 15 lõige 3 ja artikli 17 lõige 4). Et teha kindlaks, kas edasise töötlemise eesmärk on kooskõlas algse eesmärgiga, on isikuandmete kaitse seaduse rakendusmääruses loetletud konkreetsed kriteeriumid, mis on sarnased määruse (EL) 2016/679 artikli 6 lõikes 4 loetletud kriteeriumidega (vt põhjendus (36)).

(55)

Nagu on selgitatud põhjenduses (38), on liidust isikuandmeid vastuvõtvate Korea vastutavate töötlejate puhul kogumise eesmärk see eesmärk, mille jaoks andmed edastati. Vastutaval töötlejal on lubatud eesmärki muuta ainult erandkorras konkreetsetel (loetletud) juhtudel (isikuandmete kaitse seaduse artikli 18 lõike 2 punktid 1–3, vt ka põhjendus (39)). Juhul kui eesmärgi muutmine on seadusega lubatud, tuleb nendes seadustes omakorda austada põhiõigust eraelu puutumatusele ja andmekaitsele, samuti Korea põhiseaduses sätestatud vajalikkuse ja proportsionaalsuse põhimõtteid. Peale selle on isikuandmete kaitse seaduse artikli 18 lõigetega 2 ja 5 ette nähtud täiendavad kaitsemeetmed, eelkõige nõue, et selline eesmärgi muutmine ei tohi „ebaõiglaselt riivata andmesubjekti õigusi“, ning seega tuleb alati tagada eri huvide tasakaal. Sellega tagatakse sisuliselt samaväärne kaitsetase kui määruse (EL) 2016/679 artikli 5 lõike 1 punkti b ja artikli 6 alusel, tõlgendatuna koostoimes põhjendusega 50.

(56)

Isikuandmed peavad olema õiged ja vajaduse korral tuleb neid ajakohastada. Samuti peavad need olema asjakohased ja olulised ning piirduma nende töötlemise eesmärgi seisukohast vajalikuga.

(57)

Samamoodi on õigsuse põhimõtet tunnustatud isikuandmete kaitse seaduse artikli 3 lõikes 3, mille kohaselt peavad isikuandmed olema „õiged, terviklikud ja ajakohased niivõrd, kuivõrd see on vajalik seoses andmete töötlemise eesmärgiga“. Võimalikult väheste andmete kogumist nõutakse isikuandmete kaitse seaduse artikli 3 lõigetega 1 ja 6 ning artikli 16 lõikega 1, kus on sätestatud, et vastutav töötleja kogub isikuandmeid (ainult) „määral, mis vajalik“ kavandatud eesmärgiks, ja et tal lasub sellega seoses tõendamiskohustus. Kui kogumise eesmärki on võimalik täita anonüümseks muudetud kujul teabe töötlemise teel, siis peaksid vastutavad töötlejad püüdma seda teha (isikuandmete kaitse seaduse artikli 3 lõige 7).

(58)

Isikuandmeid ei tohiks põhimõtteliselt säilitada kauem, kui on vajalik isikuandmete töötlemise eesmärgi täitmiseks.

(59)

Samamoodi on säilitamise piirang ette nähtud isikuandmete kaitse seaduse artikli 21 lõikega 1, (80) mille kohaselt vastutav töötleja peab isikuandmed pärast töötlemise eesmärgi täitmist või säilitamisaja möödumist (olenevalt sellest, kumb on varasem) viivitamata „hävitama“, (81) kui seadusega ei nõuta edasist säilitamist (82). Viimasel juhul „säilitatakse ja hallatakse“ asjaomaseid isikuandmeid „muudest isikuandmetest eraldi“ (isikuandmete kaitse seaduse artikli 21 lõige 3).

(60)

Isikuandmete kaitse seaduse artikli 21 lõiget 1 ei kohaldata juhul, kui pseudonümiseeritud andmeid töödeldakse statistilistel, teadusuuringute või avalikes huvides toimuva arhiveerimise eesmärkidel (83). Selleks et tagada andmete piiratud säilitamine ka sellisel juhul, nõutakse teatisega nr 2021-5 vastutavatelt töötlejatelt teabe anonüümseks muutmist kooskõlas isikuandmete kaitse seaduse artikliga 58-2, kui andmeid ei ole pärast töötlemise konkreetse eesmärgi täitmist hävitatud (84).

(61)

Isikuandmeid tuleks töödelda viisil, mis tagab nende turvalisuse, sealhulgas kaitse loata või ebaseadusliku töötlemise ning juhusliku kaotsimineku, hävitamise või kahjustumise eest. Sel eesmärgil peaksid ettevõtjad võtma asjakohaseid tehnilisi ja korralduslikke meetmeid, et kaitsta isikuandmeid võimalike ohtude eest. Neid meetmeid tuleks hinnata, võttes arvesse tehnika taset, seotud kulusid ning töötlemise laadi, ulatust, konteksti ja eesmärke, samuti ohte üksikisikute õigustele.

(62)

Sarnane turvapõhimõte on sätestatud isikuandmete kaitse seaduse artikli 3 lõikes 4, mille kohaselt peavad vastutavad töötlejad „haldama isikuandmeid turvaliselt, võttes muu hulgas arvesse isikuandmete töötlemise meetodeid, liike ning andmesubjekti õiguste rikkumise võimalust ja seotud ohtude raskusastet“. Peale selle peab vastutav töötleja „töötlema isikuandmeid viisil, millega minimeeritakse võimalust riivata andmesubjekti privaatsust“, ja püüdma sellega seoses töödelda isikuandmeid võimaluse korral anonüümseks muudetud või pseudonümiseeritud kujul (isikuandmete kaitse seaduse artikli 3 lõiked 6 ja 7).

(63)

Neid üldpõhimõtteid on täiendavalt täpsustatud isikuandmete kaitse seaduse artiklis 29, mille kohaselt peab iga vastutav töötleja „võtma sellised tehnilised, halduslikud ja füüsilised meetmed, näiteks asutusesisese halduskava koostamine ja sisselogimisandmete säilitamine jne, mis on vajalikud presidendi määrusega ette nähtud turvalisuse tagamiseks, et hoida ära isikuandmete kaotsiminek, varastamine, avalikustamine, võltsimine, muutmine või kahjustumine“. Isikuandmete kaitse seaduse rakendusmääruse artikli 30 lõikes 1 on neid meetmeid täpsustatud, osutades 1) isikuandmete turvalist töötlemist käsitleva asutusesisese halduskava koostamisele ja rakendamisele, 2) juurdepääsukontrollidele ja -piirangutele, 3) krüpteerimistehnoloogia kasutuselevõtmisele isikuandmete turvaliseks säilitamiseks ja edastamiseks, 4) sisselogimisandmetele, 5) turbeprogrammidele ja 6) füüsilistele meetmetele, nagu turvalised säilitamis- või lukustussüsteemid (85).

(64)

Lisaks kehtivad konkreetsed kohustused andmetega seotud rikkumiste toimumise korral (isikuandmete kaitse seaduse artikkel 34 tõlgendatuna koostoimes isikuandmete kaitse seaduse rakendusmääruse artiklitega 39 ja 40) (86). Eelkõige peab vastutav töötleja viivitamata teavitama kahju kannatanud andmesubjekte rikkumise üksikasjadest, (87) sealhulgas vastutava töötleja võetud (kohustuslikest) vastumeetmetest, ja sellest, mida andmesubjektid saavad kahju kandmise ohu minimeerimiseks teha (isikuandmete kaitse seaduse artikli 34 lõiked 1 ja 2) (88). Kui andmetega seotud rikkumine puudutab vähemalt 1 000 andmesubjekti, siis teavitab vastutav töötleja andmetega seotud rikkumisest ja võetud vastumeetmetest viivitamata ka isikuandmete kaitse komisjoni ning Korea interneti- ja turbeametit, kes võivad pakkuda tehnilist abi (isikuandmete kaitse seaduse artikli 34 lõige 3 tõlgendatuna koostoimes isikuandmete kaitse seaduse rakendusmääruse artikliga 39). Kooskõlas lepinguvälist vastutust käsitleva tsiviilseadusega lasub vastutavatel töötlejatel vastutus andmetega seotud rikkumistest tuleneva kahju eest (vt ka punkt 2.5 õiguskaitse kohta) (89).

(65)

Vastutava töötleja turvalisusega seotud kohustuste täitmisel peab teda abistama andmekaitseametnik, kelle ülesanded hõlmavad muu hulgas sisekontrollisüsteemi ülesehitamist, „et vältida isikuandmete avalikustamist, kuritarvitamist ja väärkasutamist“ (isikuandmete kaitse seaduse artikli 31 lõike 2 punkt 4). Peale selle on vastutaval töötlejal kohustus teha „asjakohast kontrolli ja järelevalvet“ oma nende töötajate üle, kes isikuandmeid töötlevad, muu hulgas seoses nende andmete turvalise haldamisega; see hõlmab töötajate vajalikku väljaõpet („koolitamist“) (isikuandmete kaitse seaduse artikli 28 lõiked 1 ja 2). Samuti peab vastutav töötleja alamtöötlemise korral kehtestama töötleja suhtes, kellele tegevus on edasi antud, muu hulgas isikuandmete turvalist haldamist käsitlevad nõuded („tehnilised ja halduslikud kaitsemeetmed“) ja tegema nende rakendamise üle kontrollkäikude kaudu järelevalvet (isikuandmete kaitse seaduse artikli 26 lõiked 1 ja 4 tõlgendatuna koostoimes isikuandmete kaitse seaduse rakendusmääruse artikli 28 lõike 1 punktidega 3 ja 4 ning lõikega 6).

(66)

Andmesubjekte tuleks teavitada nende isikuandmete töötlemise põhitunnustest.

(67)

Korea süsteemis on see tagatud mitmel viisil. Lisaks õigusele saada teavet isikuandmete kaitse seaduse artikli 4 punkti 1 alusel (üldiselt) ja artikli 20 lõike 1 alusel (kolmandatelt isikutelt kogutud isikuandmete puhul) ning õigusele andmetega tutvuda isikuandmete kaitse seaduse artiklil 35 alusel sisaldab isikuandmete kaitse seadus töötlemise eesmärgi kohta üldist läbipaistvusnõuet (artikli 3 lõige 1) ja konkreetseid läbipaistvusnõudeid juhul, kui töötlemine toimub nõusoleku alusel (artikli 15 lõige 2, artikli 17 lõige 2 ja artikli 18 lõige 3) (90). Peale selle peavad teatavad vastutavad töötlejad (need, kelle puhul töötlemine ületab teatavaid künniseid (91)) kooskõlas isikuandmete kaitse seaduse artikli 20 lõikega 2 teavitama andmesubjekti, kelle isikuandmed nad on saanud kolmandalt isikult, teabe allikast, töötlemise eesmärgist ja andmesubjekti õigusest nõuda töötlemise peatamist, välja arvatud juhul, kui selline teatamine ei ole kontaktandmete puudumise tõttu võimalik. Erandeid kohaldatakse seoses ametiasutuste säilitatavate teatavate isikuandmete failidega, eelkõige nendega, milles sisalduvaid isikuandmeid töödeldakse riigi julgeoleku, muude eriti oluliste („kaalukate“) riigi huvide või kriminaalõiguskaitse eesmärkidel, või kui teavitamine võib tekitada kahju teiste isikute elule või tervisele või kahjustab ebaõiglaselt mõne muu isiku vara ja muid huve, ent seda ainult juhul, kui kõnealused avalikud või erahuvid on asjaomaste andmesubjektide õiguste suhtes „ilmselgelt ülimuslikud“ (isikuandmete kaitse seaduse artikli 20 lõige 4). See nõuab eri huvide tasakaalustamist.

(68)

Lisaks on isikuandmete kaitse seaduse artikli 3 lõikega 5 ette nähtud, et vastutavad töötlejad teevad oma isikuandmete kaitse poliitika (ja muud isikuandmete töötlemisega seotud küsimused) avalikult kättesaadavaks. Seda nõuet on täiendavalt täpsustatud isikuandmete kaitse seaduse artiklis 30, tõlgendatuna koostoimes isikuandmete kaitse seaduse rakendusmääruse artikliga 31. Nimetatud sätete kohaselt peab avalik isikuandmete kaitse poliitika muu hulgas sisaldama teavet 1) töödeldavate isikuandmete liikide, 2) töötlemise eesmärgi, 3) säilitamisaja, 4) isikuandmete kolmandale isikule esitamise, (92) 5) igasuguse alamtöötlemise, 6) andmesubjekti õiguste ja nende teostamise võimaluste kohta ning 7) kontaktandmeid (sealhulgas andmekaitseametniku nimi või andmekaitsenormide täitmise tagamise ja kaebuste menetlemise eest vastutav siseosakond). Isikuandmete kaitse poliitika tuleb teha avalikult kättesaadavaks sellisel viisil, et andmesubjektidel „oleks seda lihtne ära tunda“ (isikuandmete kaitse seaduse artikli 30 lõige 2), (93) ja seda tuleb pidevalt ajakohastada (isikuandmete kaitse seaduse rakendusmääruse artikli 31 lõige 2).

(69)

Avaliku sektori asutuste suhtes kehtib lisakohustus registreerida isikuandmete kaitse komisjonis eelkõige järgmine teave: 1) avaliku sektori asutuse nimi, 2) isikuandmete failide töötlemise alused ja eesmärgid, 3) registreeritud isikuandmete üksikasjad, 4) töötlemismeetod, 5) säilitamisaeg, 6) nende andmesubjektide arv, kelle isikuandmeid säilitatakse, 7) osakond, kes menetleb andmesubjektide taotlusi, ja 8) isikuandmete vastuvõtjad juhul, kui andmeid esitatakse tavapäraselt või korduvalt (isikuandmete kaitse seaduse artikli 32 lõige 1) (94). Isikuandmete kaitse komisjon teeb registreeritud isikuandmete failid avalikult kättesaadavaks ja avaliku sektori asutused peavad osutama neile oma isikuandmete kaitse poliitikas (isikuandmete kaitse seaduse artikli 30 lõige 1 ja artikli 32 lõige 4).

(70)

Selleks et suurendada läbipaistvust liidus asuvate andmesubjektide jaoks, kelle isikuandmeid käesoleva otsuse alusel Koreasse edastatakse, on teatise nr 2021-5 3. jao punktides i ja ii (I lisa) kehtestatud täiendavad läbipaistvusnõuded. Esiteks peavad Korea vastutavad töötlejad käesoleva otsuse alusel liidust isikuandmete saamisel teatama asjaomastele andmesubjektidele viivitamata (ja igal juhul mitte hiljem kui ühe kuu jooksul alates andmete edastamisest) edastavate ja vastuvõtvate üksuste nime ja kontaktandmed, edastatavad isikuandmed (või isikuandmete kategooriad), Korea vastutava töötleja poolse andmete kogumise eesmärgi, säilitamisaja ja isikuandmete kaitse seaduse alusel kasutatavad õigused. Teiseks tuleb käesoleva otsuse alusel liidust saadud isikuandmete kolmandatele isikutele esitamisel teatada andmesubjektidele muu hulgas andmete vastuvõtja, esitatavad isikuandmed või isikuandmete kategooriad, riik, millele andmeid esitatakse (kui asjakohane), ning isikuandmete kaitse seaduse alusel kasutatavad õigused (95). Sel viisil tagatakse teatisega, et ELis asuvaid üksikisikuid teavitatakse jätkuvalt konkreetsetest vastutavatest töötlejatest, kes nende teavet töötlevad, ja et neil on võimalik asjaomaste üksuste suhtes oma õigusi teostada.

(71)

Nendest täiendavatest läbipaistvuskohustustest on teatise 3. jao punktiga iii (I lisa) lubatud teatavad piiratud ja konkreetsed erandid, mis on sisuliselt samaväärsed määruse (EL) 2016/679 alusel ette nähtud eranditega. Eelkõige ei nõuta liidus asuvate andmesubjektide teavitamist 1) kui ja kuni teavitamist on vaja piirata teatavatel avalike huvidega seotud põhjustel (näiteks kui teavet töödeldakse riigi julgeoleku või poolelioleva kriminaaluurimise eesmärgil), niivõrd kuivõrd asjaomased avalikud huvid on andmesubjekti õiguste suhtes ilmselgelt ülimuslikud, 2) andmesubjektil on see teave juba olemas, 3) teavitamine võib tekitada kahju üksikisiku või mõne teise isiku elule või tervisele või ebaõiglaselt rikkuda mõne teise isiku varalisi huve juhul, kui asjaomased õigused või huvid on andmesubjekti õiguste suhtes ilmselgelt ülimuslikud, või 4) asjaomaste üksikisikute kontaktandmed puuduvad või nende teavitamine nõuaks ülemääraseid jõupingutusi. Selleks et teha kindlaks, kas andmesubjektiga on võimalik ühendust võtta või kas sellega kaasneksid ülemäärased jõupingutused, tuleb arvestada võimalust teha koostööd liidus asuva andmeeksportijaga.

(72)

Seega tagatakse põhjendustes (67)–(71) kirjeldatud normidega läbipaistvuse puhul sisuliselt samaväärne kaitsetase kui see, mis on ette nähtud määruse (EL) 2016/679 alusel.

(73)

Andmesubjektidel peaksid olema teatavad õigused, mida nad saavad teostada vastutava töötleja või volitatud töötleja suhtes, eeskätt õigus andmetega tutvuda, õigus lasta andmeid parandada, õigus esitada töötlemise suhtes vastuväiteid ja õigus lasta andmed kustutada. Samal ajal võivad selliste õiguste suhtes kehtida piirangud, kui need on vajalikud ja proportsionaalsed üldist avalikku huvi pakkuvate oluliste eesmärkide kaitsmiseks.

(74)

Isikuandmete kaitse seaduse artikli 3 lõike 5 kohaselt peab vastutav töötleja tagama andmesubjektide õigused, mis on loetletud seaduse artiklis 4 ja mida on täiendavalt täpsustatud seaduse artiklites 35–37, 39 ja 39-2.

(75)

Esiteks on üksikisikutel õigus saada teavet ja õigus andmetega tutvuda. Kui vastutav töötleja on kogunud teavet kolmandalt isikult – mis kehtib alati, kui andmeid edastatakse liidust –, siis on andmesubjektidel üldiselt õigus saada teavet 1) kogutud isikuandmete „allika“ (st edastaja), 2) töötlemise eesmärgi ja 3) asjaolu kohta, et andmesubjektil on õigus nõuda töötlemise peatamist (isikuandmete kaitse seaduse artikli 20 lõige 1). Kohaldatakse piiratud erandeid, nimelt juhul, kui selline teavitamine võib tekitada kahju mõne teise isiku elule või tervisele või „kahjustab ebaõiglaselt“ mõne teise isiku „varalisi või muid huve“, ent ainult juhul, kui need kolmanda isiku huvid on andmesubjekti õiguste suhtes „ilmselt ülimuslikud“ (isikuandmete kaitse seaduse artikli 20 lõike 4 punkt 2).

(76)

Peale selle on isikuandmete kaitse seaduse artikli 35 lõigetega 1 ja 3 (tõlgendatuna koostoimes isikuandmete kaitse seaduse rakendusmääruse artikli 41 lõikega 4) andmesubjektidele ette nähtud õigus tutvuda oma isikuandmetega (96). Õigus andmetega tutvuda hõlmab kinnitust töötlemise kohta, teavet töödeldavate andmete liigi, töötlemise eesmärgi ja säilitamisaja, samuti andmete võimaliku kolmandale isikule avalikustamise kohta ning töödeldavate isikuandmete koopia esitamist (isikuandmete kaitse seaduse artikli 4 punkt 3 tõlgendatuna koostoimes isikuandmete kaitse seaduse rakendusmääruse artikli 41 lõikega 1) (97). Juurdepääsu võidakse piirata (osaline juurdepääs) (98) või selle andmisest võidakse keelduda ainult juhul, kui see on seadusega (99) ette nähtud, kui see võib tekitada kahju mõne kolmanda isiku elule või tervisele või kui see rikuks ebaõiglaselt mõne teise isiku varalisi ja muid huve (isikuandmete kaitse seaduse artikli 35 lõige 4) (100). Viimane tähendab seda, et ühelt poolt üksikisiku põhiseadusega kaitstud õigused ja vabadused ning teiselt poolt teiste isikute õigused ja vabadused tuleks tasakaalu viia. Juurdepääsu piiramise või selle andmisest keeldumise korral peab vastutav töötleja teavitama andmesubjekti selle põhjustest ja otsuse edasikaebamise võimalustest (isikuandmete kaitse seaduse rakendusmääruse artikli 41 lõige 5 ja artikli 42 lõige 2).

(77)

Teiseks on andmesubjektidel õigus lasta oma isikuandmeid parandada või need kustutada, (101)„kui muudes seadustes ei ole konkreetselt sätestatud teisiti“ (isikuandmete kaitse seaduse artikli 36 lõiked 1 ja 2) (102). Taotluse saamisel peab vastutav töötleja küsimuse viivitamata läbi vaatama, võtma vajalikud meetmed (103) ja andmesubjekti neist kümne päeva jooksul teavitama; kui taotlust ei ole võimalik rahuldada, siis hõlmab kõnealune teavitamisnõue keeldumise põhjuseid ja edasikaebamise võimalusi (vt isikuandmete kaitse seaduse artikli 36 lõige 4 tõlgendatuna koostoimes isikuandmete kaitse seaduse rakendusmääruse artikli 43 lõikega 3) (104).

(78)

Samuti on andmesubjektidel õigus lasta oma isikuandmete töötlemine viivitamata peatada, (105) välja arvatud juhul, kui kohaldatakse mõnda loetletud eranditest (isikuandmete kaitse seaduse artikli 37 lõiked 1 ja 2) (106). Vastutav töötleja võib taotluse rahuldamisest keelduda, kui 1) see on seadusega konkreetselt lubatud või vajalik („möödapääsmatu“) juriidiliste kohustuste täitmiseks, 2) peatamine võib tekitada kahju kolmanda isiku elule või varale või rikuks ebaõiglaselt mõne teise isiku varalisi või muid huve, 3) avaliku sektori asutusel ei oleks ilma teavet töötlemata võimalik täita oma seadusjärgseid ülesandeid või 4) andmesubjekt ei ole vastutava töötlejaga sõlmitud ja töötlemise aluseks olevat lepingut sõnaselgelt lõpetanud, kuigi lepingu täitmine ilma kõnealuse andmetöötluseta ei oleks teostatav. Sellisel juhul peab vastutav töötleja viivitamata teavitama andmesubjekti keeldumise põhjustest ja edasikaebamise võimalustest (isikuandmete kaitse seaduse artikli 37 lõige 2 tõlgendatuna koostoimes isikuandmete kaitse seaduse rakendusmääruse artikli 44 lõikega 2). Isikuandmete kaitse seaduse artikli 37 lõike 4 kohaselt peab vastutav töötleja peatamistaotluse rahuldamisel viivitamata „võtma vajalikud meetmed, sealhulgas asjaomased isikuandmed hävitama“ (107).

(79)

Peatamisõigus kehtib ka siis, kui isikuandmeid kasutatakse otseturunduse eesmärkidel, see tähendab kaupade või teenuste reklaamimiseks või neid ostma kutsumiseks. Peale selle nõuab selline edasine töötlemine üldjuhul andmesubjekti konkreetset (täiendavat) nõusolekut (vt isikuandmete kaitse seaduse artikli 15 lõike 1 punkt 1 ja artikli 17 lõike 2 punkt 1) (108). Kõnealuse nõusoleku taotlemisel peab vastutav töötleja teavitama andmesubjekti „selgelt äratuntaval viisil“ eeskätt andmete kavandatavast kasutamisest otseturunduse eesmärkidel, see tähendab sellest, et temaga võidakse kaupade või teenuste reklaamimise või neid ostma kutsumise eesmärgil ühendust võtta (isikuandmete kaitse seaduse artikli 22 lõiked 2 ja 4 tõlgendatuna koostoimes isikuandmete kaitse seaduse rakendusmääruse artikli 17 lõike 2 punktiga 1).

(80)

Üksikisiku õiguste teostamise hõlbustamiseks peab vastutav töötleja kehtestama vastavad menetlused ja nendest avalikult teada andma (isikuandmete kaitse seaduse artikli 38 lõige 4) (109). Need hõlmavad taotluse rahuldamisest keeldumise vaidlustamise menetlusi (isikuandmete kaitse seaduse artikli 38 lõige 5). Vastutav töötleja peab tagama, et õiguste teostamise menetlus on „andmesubjektisõbralik“ ega ole keerulisem isikuandmete kogumise menetlusest; see hõlmab ka kohustust menetluse kohta veebisaidil teavet esitada (isikuandmete kaitse seaduse rakendusmääruse artikli 41 lõige 2, artikli 43 lõige 1 ja artikli 44 lõige 1) (110). Üksikisikud võivad sellist taotlust esitama volitada esindaja (isikuandmete kaitse seaduse artikli 38 lõige 1 tõlgendatuna koostoimes isikuandmete kaitse seaduse rakendusmääruse artikliga 45). Kuigi vastutaval töötlejal on õigus võtta tasu (ja nõuda isikuandmete posti teel saadetavate koopiate puhul postikulude katmist), tuleb see summa kindlaks määrata „[taotluse] menetlemiseks vajalike tegelike kulude piires“ ning tasu (ega postikulusid) ei tohi nõuda juhul, kui taotluse esitamise on põhjustanud vastutav töötleja (isikuandmete kaitse seaduse artikli 38 lõige 3 tõlgendatuna koostoimes isikuandmete kaitse seaduse rakendusmääruse artikliga 47).

(81)

Isikuandmete kaitse seadus ja selle rakendusmääruse ei sisalda üldsätteid selliste otsuste kohta, mis mõjutavad andmesubjekti ja põhinevad üksnes isikuandmete automatiseeritud töötlemisel. Liidus kogutud isikuandmete puhul teeb kõik automatiseeritud töötlemisel põhinevad otsused aga tavaliselt liidus asuv vastutav töötleja (kellel on otsene seos asjaomase andmesubjektiga) ja nende suhtes kohaldatakse seega määrust (EL) 2016/679 (111). See kehtib ka edastamisolukordades, kus töötlemist teeb välisriigi (näiteks Korea) ettevõtja, kes tegutseb liidu vastutava töötleja esindajana (volitatud töötlejana) (või liidu volitatud töötleja nimel tegutseva alamtöötlejana, kes on saanud andmed need kogunud liidu vastutavalt töötlejalt) ja teeb selle põhjal otsuse. Seepärast automatiseeritud otsuste tegemise erinormide puudumine isikuandmete kaitse seaduses tõenäoliselt ei mõjuta käesoleva otsuse alusel edastatud isikuandmete kaitsetaset.

(82)

Sätteid, mis käsitlevad taotlust puudutavat läbipaistvust (artikkel 20) ja üksikisiku õigusi (artiklid 35–37), samuti info- ja kommunikatsiooniteenuste osutajate suhtes kehtivat individuaalse teavitamise nõuet (isikuandmete kaitse seaduse artikkel 39-8) ei kohaldata erandina pseudonümiseeritud andmete suhtes, kui neid töödeldakse statistilistel, teadusuuringute või avalikes huvides toimuva arhiveerimise eesmärkidel (isikuandmete kaitse seaduse artikkel 28-7) (112). Kooskõlas määruse (EL) 2016/679 artikli 11 lõikes 2 kirjeldatud lähenemisviisiga (koosmõjus põhjendusega 57) on see õigustatud asjaoluga, et läbipaistvuse tagamiseks või individuaalsete õiguste andmiseks peaks vastutav töötleja kindlaks tegema, kas teatavad andmed (ja kui, siis millised) käsitlevad taotluse esitanud isikut, mis on isikuandmete kaitse seaduse alusel sõnaselgelt keelatud (isikuandmete kaitse seaduse artikli 28-5 lõige 1). Peale selle tekitaks selline tagasituvastus juhul, kui see hõlmab kogu (pseudonümiseeritud) andmekogumi pseudonümiseerimise tühistamist, suuremaid riske kõikide teiste asjaomaste isikute isikuandmetele. Kui määruses (EL) 2016/679 on osutatud olukordadele, kus tagasituvastus on praktiliselt võimatu, siis isikuandmete kaitse seaduses järgitakse rangemat lähenemisviisi, keelates tagasituvastuse kõikides olukordades, kus pseudonümiseeritud teavet töödeldakse.

(83)

Nagu on kirjeldatud põhjendustes (74)–(82), sisaldab Korea süsteem seega andmesubjektide õigusi käsitlevaid norme, millega tagatakse sisuliselt samaväärne kaitsetase kui määruse (EL) 2016/679 alusel.

(84)

Liidust Korea Vabariigis asuvatele vastutavatele töötlejatele edastatavatele isikuandmetele pakutava kaitse taset ei tohi kahjustada selliste andmete täiendav edasisaatmine kolmandas riigis asuvatele vastuvõtjatele.

(85)

Korea vastutava töötleja seisukohast on sellise andmete edasisaatmise näol tegemist rahvusvahelise edastamisega Korea Vabariigist. Sellega seoses on isikuandmete kaitse seaduses eristatud töötlemise edasiandmist töötlejale, kellele tegevus on edasi antud (st volitatud töötlejale), ja isikuandmete esitamist kolmandatele isikutele (113).

(86)

Esiteks, kui isikuandmete töötlemine on edasi antud kolmandas riigis asuvale üksusele, peab Korea vastutav töötleja tagama, et järgitakse isikuandmete kaitse seaduse sätteid, mis käsitlevad tegevuse edasiandmist (isikuandmete kaitse seaduse artikkel 26). See hõlmab õiguslikult siduva dokumendi koostamist, millega muu hulgas piiratakse töötlemist töötleja poolt, kellele tegevus on edasi antud, edasiantud tegevuse eesmärgiga, kehtestatakse tehnilised ja halduslikud kaitsemeetmed ning piiratakse alamtöötlemist (vt isikuandmete kaitse seaduse artikli 26 lõige 1), samuti edasiantud tegevust käsitleva teabe avaldamist. Lisaks on vastutaval töötlejal kohustus „koolitada“ töötlejat, kellele tegevus on edasi antud, seoses vajalike turbemeetmetega, ning teha muu hulgas kontrollkäikude kaudu järelevalvet selle üle, kas ta täidab kõiki vastutava töötleja kohustusi isikuandmete kaitse seaduse alusel, (114) aga ka tegevuse edasiandmise lepingut.

(87)

Kui töötleja, kellele tegevus on edasi antud, tekitab kahju, rikkudes isikuandmete töötlemisel isikuandmete kaitse seadust, omistatakse vastutus selle eest vastutavale töötlejale samamoodi nagu vastutava töötleja töötajate puhulgi (isikuandmete kaitse seaduse artikli 26 lõige 6). Seega jääb vastutus isikuandmete eest, mille töötlemine on edasi antud, Korea vastutavale töötlejale, kes peab tagama, et välisriigi volitatud töötleja töötleb teavet kooskõlas isikuandmete kaitse seadusega. Kui töötleja, kellele tegevus on edasi antud, rikub teabe töötlemisel isikuandmete kaitse seadust, võidakse pidada Korea vastutavat töötlejat vastutavaks selle eest, et ta ei ole täitnud oma kohustust tagada isikuandmete kaitse seaduse järgimine, näiteks tehes järelevalvet töötleja üle, kellele tegevus on edasi antud. Tegevuse edasiandmise lepingus sisalduvate kaitsemeetmete ja Korea vastutava töötleja vastutusega selle töötleja tegevuse eest, kellele tegevus on edasi antud, tagatakse kaitse jätkumine juhul, kui isikuandmete töötlemine antakse edasi väljaspool Koread asuvale üksusele.

(88)

Teiseks võivad Korea vastutavad töötlejad esitada isikuandmeid väljaspool Koread asuvale kolmandale isikule. Kuigi isikuandmete kaitse seadus sisaldab mitut õiguslikku alust, mis võimaldavad üldiselt esitada andmeid kolmandale isikule, kes asub väljaspool Koread, siis peab vastutav töötleja põhimõtteliselt (115) saama andmesubjekti nõusoleku (116) pärast seda, kui ta on esitanud andmesubjektile järgmise teabe: 1) isikuandmete liik, 2) isikuandmete vastuvõtja, 3) edastamise eesmärk, see tähendab vastuvõtjapoolse töötlemise eesmärk, 4) periood, mille jooksul andmeid vastuvõtjapoolse töötlemise jaoks säilitatakse, ning 5) asjaolu, et andmesubjekt võib nõusoleku andmisest keelduda (isikuandmete kaitse seaduse artikli 17 lõiked 2 ja 3). Teatise nr 2021-5 läbipaistvust käsitleva jao kohaselt (vt põhjendus (70)) tuleb üksikisikuid teavitada sellest, millisesse kolmandasse riiki nende andmeid esitatakse. Sellega tagatakse, et liidus asuvad andmesubjektid saavad teha täielikult teadliku otsuse, kas andmete välisriigile esitamisega nõustuda või mitte. Peale selle ei tohi vastutav töötleja sõlmida kolmandast isikust vastuvõtjaga lepingut, mis rikuks isikuandmete kaitse seadust, see tähendab leping ei tohi sisaldada kohustusi, mis oleksid vastuolus vastutava töötleja suhtes isikuandmete kaitse seaduses kehtestatud nõuetega (117).

(89)

Ilma üksikisiku nõusolekuta võib esitada isikuandmeid (välisriigis asuvale) kolmandale isikule juhul, kui avalikustamise eesmärk jääb andmete kogumise algse eesmärgiga „mõistlikult seotud piiresse“ (isikuandmete kaitse seaduse artikli 17 lõige 4, vt põhjendus (36)). Selle üle otsustamisel, kas isikuandmeid „seotud“ eesmärgil avalikustada (või mitte), peab vastutav töötleja aga kaaluma, kas avalikustamine kahjustaks üksikisikut ja kas võetud on vajalikud turbemeetmed (nagu krüpteerimine). Kuna kolmas riik, kuhu isikuandmed edastatakse, ei pruugi pakkuda sarnast kaitset kui see, mis on ette nähtud isikuandmete kaitse seadusega, siis on teatise nr 2021-5 2. jaos tunnistatud, et selline kahju võib tekkida ja seda saab vältida ainult juhul, kui Korea vastutav töötleja ja välisriigis asuv vastuvõtja tagavad õiguslikult siduva dokumendi (näiteks lepingu) kaudu isikuandmete kaitse seaduses tagatuga samaväärse kaitsetaseme, muu hulgas seoses andmesubjekti õigustega.

(90)

Erinorme kohaldatakse nn eesmärgiga mitteseotud avalikustamise, see tähendab kolmandale isikule uuel (mitteseotud) eesmärgil andmete esitamise suhtes, mis võib toimuda ainult mõnel isikuandmete kaitse seaduse artikli 18 lõikes 2 sätestatud alusel, nagu on kirjeldatud põhjenduses (39). Isegi nendel tingimustel on andmete kolmandale isikule esitamine keelatud, kui see tõenäoliselt „rikuks ebaõiglaselt“ andmesubjekti või kolmanda isiku huve, mis eeldab eri huvide tasakaalustamist. Peale selle peab vastutav töötleja isikuandmete kaitse seaduse artikli 18 lõike 5 alusel kohaldama täiendavaid kaitsemeetmeid, mis võivad hõlmata kolmandalt isikult töötlemise eesmärgi ja meetodi piiramise või eriturbemeetmete kehtestamise nõudmist. Kuna kolmas riik, kuhu isikuandmed edastatakse, ei pruugi pakkuda sarnast kaitset kui see, mis on ette nähtud isikuandmete kaitse seadusega, siis on teatise nr 2021-5 2. jaos tunnistatud ka seda, et sellist üksikisiku või kolmanda isiku huvide „ebaõiglast rikkumist“ võib esineda ja seda saab vältida ainult juhul, kui Korea vastutav töötleja ja välisriigis asuv vastuvõtja tagavad õiguslikult siduva dokumendi (näiteks lepingu) kaudu isikuandmete kaitse seaduses tagatuga samaväärse kaitsetaseme, muu hulgas seoses andmesubjekti õigustega.

(91)

Seega tagatakse põhjendustes (86)–(90) kirjeldatud normidega ka isikuandmete Korea Vabariigist edasisaatmise korral (töötlejale, kellele tegevus on edasi antud, või kolmandale isikule) kaitse jätkumine viisil, mis on sisuliselt samaväärne määruse (EL) 2016/679 alusel tagatuga.

(92)

Vastutuse põhimõtte kohaselt peavad andmeid töötlevad üksused kehtestama asjakohased tehnilised ja korralduslikud meetmed, et täita tulemuslikult oma andmekaitsekohustusi ja suuta nende täitmist tõendada, eelkõige pädevale järelevalveasutusele.

(93)

Isikuandmete kaitse seaduse artikli 3 lõigete 6 ja 8 kohaselt peab vastutav töötleja töötlema isikuandmeid „viisil, millega minimeeritaks võimalust riivata“ andmesubjekti privaatsust, ning püüdma saavutada andmesubjekti usalduse, järgides ja täites isikuandmete kaitse seaduses ja muudes seadustes sätestatud ülesandeid ja kohustusi. See hõlmab asutusesisese halduskava koostamist (isikuandmete kaitse seaduse artikkel 29) ning töötajate asjakohast koolitamist ja nende üle järelevalve tegemist (artikkel 28).

(94)

Vastutuse tagamiseks on isikuandmete kaitse seaduse artiklis 31, tõlgendatuna koostoimes isikuandmete kaitse seaduse rakendusmääruse artikliga 32, kehtestatud vastutavatele töötlejatele kohustus määrata andmekaitseametnik, kes „isikuandmete töötlemist igakülgselt juhib“. Eelkõige peab kõnealune andmekaitseametnik täitma järgmisi ülesandeid: 1) isikuandmete kaitse kava koostamine ja rakendamine ning isikuandmete kaitse poliitika koostamine, 2) regulaarsete uuringute läbiviimine isikuandmete töötlemise olukorra ja tavade kohta, et kõrvaldada võimalikud puudused, 3) kaebuste menetlemine ja hüvitised, 4) sisekontrollisüsteemi loomine isikuandmete avalikustamise, kuritarvitamise või väärkasutamise vältimiseks, 5) koolitusprogrammi koostamine ja rakendamine, 6) isikuandmete failide kaitsmine, kontrollimine ja haldamine ning 7) isikuandmete hävitamine pärast seda, kui nende töötlemise eesmärk on täidetud või säilitamisaeg lõppenud. Nende ülesannete täitmisel võib andmekaitseametnik kontrollida isikuandmete töötlemise ja seotud süsteemide olukorda ning nõuda nende kohta teavet (isikuandmete kaitse seaduse artikli 31 lõige 3). Kui andmekaitseametnik saab teada isikuandmete kaitse seaduse või muude asjakohaste andmekaitsenormide rikkumisest, võtab ta viivitamata parandusmeetmeid ja teavitab neist meetmetest vajaduse korral vastutava töötleja juhtkonda (juhti) (isikuandmete kaitse seaduse artikli 31 lõige 4). Isikuandmete kaitse seaduse artikli 31 lõike 5 kohaselt ei tohi andmekaitseametnik nende ülesannete täitmise tagajärjel põhjendamatult ebasoodsasse olukorda sattuda.

(95)

Lisaks peavad vastutavad töötlejad juhul, kui isikuandmete failide käsitlemisega kaasneb oht privaatsusele, püüdma ennetavalt koostada privaatsust käsitleva mõjuhinnangu (isikuandmete kaitse seaduse artikli 33 lõige 8). Isikuandmete kaitse seaduse artikli 33 lõigete 1 ja 2 kohaselt, tõlgendatuna koostoimes isikuandmete kaitse seaduse rakendusmääruse artiklitega 35, 36 ja 38, on andmesubjektide õigustele esineva ohu suuruse hindamisel asjakohased sellised tegurid nagu töödeldavate andmete liik ja laad (eelkõige see, kas tegemist on tundlike andmetega), nende maht, säilitamisaeg ja andmetega seotud rikkumiste tõenäosus. Privaatsust käsitleva mõjuhinnangu eesmärk on tagada nii privaatsusega seotud ohutegurite kui ka igasuguste kaitse- või muude vastumeetmete analüüsimine ning juhtida tähelepanu parandamist vajavatele teemadele (isikuandmete kaitse seaduse artikli 33 lõige 1 tõlgendatuna koostoimes isikuandmete kaitse seaduse rakendusmääruse artikliga 38).

(96)

Avaliku sektori asutustel on kohustus koostada mõjuhinnang, kui nad töötlevad teatavaid isikuandmete faile, millega kaasneb suurem oht seoses privaatsuse võimaliku rikkumisega (isikuandmete kaitse seaduse artikli 33 lõige 1). Kooskõlas isikuandmete kaitse seaduse rakendusmääruse artikliga 35 esineb selline oht muu hulgas failide puhul, mis sisaldavad tundlikku teavet vähemalt 50 000 andmesubjekti kohta, failide puhul, mis ühendatakse muude failidega ja sisaldavad selle tulemusel teavet vähemalt 500 000 andmesubjekti kohta, või failide puhul, mis sisaldavad teavet vähemalt ühe miljoni andmesubjekti kohta. Avaliku sektori asutuse koostatud mõjuhinnangu tulemustest tuleb teavitada isikuandmete kaitse komisjoni (isikuandmete kaitse seaduse artikli 33 lõige 1), kes võib esitada oma arvamuse (isikuandmete kaitse seaduse artikli 33 lõige 3).

(97)

Samuti on isikuandmete kaitse seaduse artikliga 13 ette nähtud, et isikuandmete kaitse komisjon kehtestab poliitika, mis on vajalik vastutavate töötlejate „iseregulatsioonil põhineva andmekaitsealase tegevuse“ edendamiseks ja toetamiseks, muu hulgas pakkudes andmekaitsealast koolitust, edendades ja toetades andmekaitsega tegelevaid organisatsioone ning abistades vastutavaid töötlejaid iseregulatsiooni normide kehtestamisel ja rakendamisel. Lisaks loob komisjon „ePRIVACY“ tähise süsteemi ja edendab seda. Sellega seoses on isikuandmete kaitse seaduse artikliga 32-2, tõlgendatuna koostoimes isikuandmete kaitse seaduse rakendusmääruse artiklitega 34-2 kuni 34-8, ette nähtud võimalus sertifitseerida vastutava töötleja isikuandmete töötlemise ja kaitse süsteemi(de) vastavus isikuandmete kaitse seaduse nõuetele. Nende normide kohaselt võidakse anda sertifikaat (118) (kuni kolmeks aastaks), kui vastutav töötleja täidab isikuandmete kaitse komisjoni kehtestatud sertifitseerimiskriteeriumid, mis hõlmavad isikuandmete kaitseks halduslike, tehniliste ja füüsiliste kaitsemeetmete kehtestamist (119). Isikuandmete kaitse komisjon peab kontrollima vastutava töötleja sertifitseerimise seisukohast asjakohaseid süsteeme vähemalt korra aastas, et need oleksid jätkuvalt tulemuslikud; kontrolli tulemusel võidakse sertifikaat tühistada (isikuandmete kaitse seaduse artikli 32 lõige 4 tõlgendatuna koostoimes isikuandmete kaitse seaduse rakendusmääruse artikliga 34-5, nn järelkontroll).

(98)

Seega rakendatakse Korea raamistikus vastutuse põhimõtteid viisil, millega tagatakse määruses (EL) 2016/679 tagatuga sisuliselt samaväärne kaitsetase, nähes muu hulgas ette eri mehhanismid isikuandmete kaitse seaduse järgimise tagamiseks ja tõendamiseks.

(99)

Nagu on kirjeldatud põhjenduses (13), on krediiditeabe seaduses sätestatud erinormid, mida kohaldatakse siis, kui isiku krediiditeavet töötlevad ettevõtjad. Seega peavad ettevõtjad täitma isiku krediiditeabe töötlemisel isikuandmete kaitse seaduses sätestatud üldnõudeid, kui krediiditeabe seadus ei sisalda erinorme. Selline olukord esineb näiteks siis, kui nad töötlevad üksikisikuga tehtava äritehingu raames krediitkaardi või pangakontoga seotud teavet. Krediiditeabe seadus on (nii isiku kui ka muu) krediiditeabe töötlemist käsitlev valdkondlik õigusakt. Selles ei sätestata üksnes spetsiaalseid andmekaitsealaseid kaitsemeetmeid (näiteks seoses läbipaistvuse ja turvalisusega), vaid sellega reguleeritakse ka üldisemalt konkreetseid asjaolusid, mille korral võib isiku krediiditeavet töödelda. Seda kajastavad eelkõige andmete kasutamist, kolmandale isikule esitamist ja säilitamist käsitlevad üksikasjalikud nõuded.

(100)

Sarnaselt isikuandmete kaitse seadusele kajastab krediiditeabe seadus seaduslikkuse ja proportsionaalsuse põhimõtet. Esiteks on krediiditeabe seaduse artikli 15 lõikes 1 sätestatud üldine nõue, mille kohaselt võib isiku krediiditeavet koguda ainult mõistlike ja õiglaste vahenditega ja konkreetse eesmärgi täitmiseks minimaalselt vajalikul määral kooskõlas isikuandmete kaitse seaduse artikli 3 lõigetega 1–2. Teiseks on krediiditeabe seadusega konkreetselt reguleeritud isiku krediiditeabe töötlemise seaduslikkus, piirates selle kogumist, kasutamist ja kolmandale isikule esitamist ning sidudes need töötlemistoimingud üldiselt asjaomase isiku nõusoleku saamise nõudega.

(101)

Isiku krediiditeavet võib koguda mõnel isikuandmete kaitse seaduses sätestatud alusel või krediiditeabe seaduses sätestatud konkreetsetel alustel. Kuna määruse (EL) 2016/679 artiklis 45 eeldatakse, et isikuandmeid edastab liidus asuv vastutav töötleja või volitatud töötleja, kuid selles ei ole käsitletud andmete otsest kogumist (näiteks üksikisikult või veebisaidilt) Koreas asuva vastutava töötleja poolt, siis on käesoleva otsuse seisukohast asjakohased ainult nõusolek ja isikuandmete kaitse seaduses kasutatavad alused. Need alused hõlmavad eelkõige stsenaariume, kus edastamine on vajalik üksikisikuga seotud lepingu täitmiseks või Korea vastutava töötleja õigustatud huvide eesmärgil (isikuandmete kaitse seaduse artikli 15 lõike 1 punktid 4 ja 6) (120).

(102)

Pärast isiku krediiditeabe kogumist võib seda kasutada 1) algsel eesmärgil, milleks üksikisik selle (otseselt) esitas, (121) 2) kogumise algse eesmärgiga kooskõlas oleval eesmärgil, (122) 3) selle kindlakstegemiseks, kas luua või säilitada ärisuhe, mida üksikisik taotleb, (123) 4) statistilistel, teadusuuringute ja avalikes huvides toimuva arhiveerimise eesmärkidel, (124) kui teave on pseudonümiseeritud, (125) 5) täiendava nõusoleku saamise korral või 6) kooskõlas seadusega.

(103)

Kui ettevõtja kavatseb avalikustada isiku krediiditeavet kolmandale isikule, peab ta saama üksikisiku nõusoleku, (126) olles teda teavitanud andmete vastuvõtjast, vastuvõtjapoolse töötlemise eesmärgist, esitatavate andmete üksikasjadest, ajast, mille jooksul vastuvõtja andmeid säilitab, ja õigusest nõusoleku andmisest keelduda (krediiditeabe seaduse artikli 32 lõige 1 ja krediiditeabe seaduse rakendusmääruse artikli 28 lõige 2) (127). Asjaomast nõusoleku saamise nõuet ei kohaldata konkreetsetes olukordades, nimelt siis, kui isiku krediiditeave avalikustatakse (128) 1) tegevuse edasiandmise eesmärgil töötlejale, kellele tegevus on edasi antud, (129) 2) kolmandale isikule äritegevuse üleandmise, jagunemise või ühinemise korral, 3) statistilistel, teadusuuringute ja avalikes huvides toimuva arhiveerimise eesmärkidel, kui teave on pseudonümiseeritud, 4) kogumise algse eesmärgiga kooskõlas oleval eesmärgil, 5) kolmandale isikule, kes kasutab seda teavet üksikisiku võlgnetava võla sissenõudmiseks, (130) 6) kohtumääruse täitmiseks, 7) prokurörile/kohtupolitseile eriolukorras, kus üksikisiku elu on ohus või kui eeldatakse, et talle võidakse tekitada tervisekahjustusi, ning kohtumääruse tegemiseks ei ole piisavalt aega, (131) 8) pädevatele maksuasutustele maksuseaduste täitmise eesmärgil või 9) kooskõlas muude seadustega. Kui teave avalikustatakse mõnel nendest alustest, siis tuleb andmesubjekti sellest eelnevalt teavitada (krediiditeabe seaduse artikli 32 lõige 7).

(104)

Samuti on krediiditeabe seadusega konkreetselt reguleeritud see, kui kaua pärast üksikisikuga ärisuhte lõppemist võib kesta mõnel nimetatud alusel isiku krediiditeabe töötlemine selle kasutamise või kolmandale isikule esitamise eesmärgil (132). Säilitada võib ainult selle teabe, mis oli vajalik asjaomase suhte loomiseks või säilitamiseks, tingimusel et kehtestatud on täiendavad kaitsemeetmed (seda tuleb hoida eraldi nende isikute krediiditeabest, kellega ärisuhe kestab, ning see peab olema kaitstud spetsiaalsete kaitsemeetmetega ja olema kättesaadav ainult volitatud isikutele) (133). Kõik muud andmed tuleb kustutada (krediiditeabe seaduse rakendusmääruse artikli 17-2 lõike 1 punkt 2). Selle kindlakstegemisel, millised andmed olid ärisuhte seisukohast vajalikud, tuleb võtta arvesse eri tegureid, muu hulgas seda, kas sellise suhte oleks saanud luua ilma asjaomaste andmeteta ja kas need andmed on otseselt seotud isikule pakutud kaupade või teenustega (krediiditeabe seaduse rakendusmääruse artikli 17-2 lõige 2).

(105)

Isegi juhul, kui isiku krediiditeavet võib pärast ärisuhte lõppemist põhimõtteliselt säilitada, tuleb see kustutada kolme kuu jooksul pärast edasise töötlemise eesmärgi täitmist (134) või igal juhul pärast viie aasta möödumist (krediiditeabe seaduse artikkel 20-2). Piiratud arvul asjaoludel võib krediiditeavet säilitada kauem kui viis aastat, eelkõige juhul, kui see on vajalik juriidilise kohustuse täitmiseks, isiku elu, tervise või varaga seotud eluliste huvide eesmärgil, (teadusuuringute, statistilistel või avalikes huvides toimuva arhiveerimise eesmärkidel kasutatud) pseudonümiseeritud teabe arhiveerimiseks või kindlustuseesmärkidel (eelkõige kindlustusmaksete jaoks või kindlustuspettuse vältimiseks) (135). Nendel erandjuhtudel kohaldatakse spetsiaalseid kaitsemeetmeid (näiteks isiku teavitamine edasisest töötlemisest, säilitatava teabe hoidmine eraldi nende isikute teabest, kellega ärisuhe veel kestab, juurdepääsuõiguste piiramine; vt krediiditeabe seaduse rakendusmääruse artikli 17-2 lõiked 1–2).

(106)

Samuti on krediiditeabe seaduses täiendavalt täpsustatud õigsuse ja andmete kvaliteedi põhimõtted, nõudes isiku krediiditeabe „registreerimist, muutmist ja haldamist“, et see oleks õige ja ajakohane (krediiditeabe seaduse artikli 18 lõige 1 ja krediiditeabe seaduse rakendusmääruse artikli 15 lõige 3) (136). Krediiditeabe esitamisel teatavatele muudele üksustele (näiteks reitinguagentuuridele) nõutakse ettevõtjatelt konkreetselt ka teabe õigsuse kontrollimist eesmärgiga tagada, et vastuvõtja registreerib ainult õige teabe ja haldab seda (krediiditeabe seaduse rakendusmääruse artikli 15 lõige 1 tõlgendatuna koostoimes krediiditeabe seaduse artikli 18 lõikega 1). Üldisemalt nõutakse krediiditeabe seadusega isiku krediiditeabe kogumist, kasutamist, kolmandatele isikutele avalikustamist ja hävitamist käsitlevate andmete säilitamist (krediiditeabe seaduse artikli 20 lõige 2) (137).

(107)

Peale selle kohaldatakse isiku krediiditeabe töötlemise suhtes andmeturbe erinõudeid. Eeskätt nõutakse krediiditeabe seadusega tehnoloogiliste, füüsiliste ja korralduslike meetmete rakendamist, et takistada nii ebaseaduslikku juurdepääsu arvutisüsteemidele kui ka töödeldavate andmete muutmist, hävitamist või muul viisil ohustamist (näiteks juurdepääsukontrolli teel, vt krediiditeabe seaduse artikkel 19 ja krediiditeabe seaduse rakendusmääruse artikkel 16). Peale selle tuleb isiku krediiditeabe vahetamisel kolmanda isikuga sõlmida leping, milles sätestatakse konkreetsed turbemeetmed (krediiditeabe seaduse artikli 19 lõige 2). Isiku krediiditeabega seotud rikkumise korral tuleb võtta meetmed võimaliku kahju minimeerimiseks ja viivitamata teavitada asjaomaseid isikuid (krediiditeabe seaduse artikli 39-4 lõiked 1–2). Lisaks tuleb teatada isikuandmete kaitse komisjonile üksikisikute teavitamisest ja rakendatud meetmetest (krediiditeabe seaduse artikli 39-4 lõige 4).

(108)

Samuti kehtestatakse krediiditeabe seadusega konkreetsed läbipaistvuskohustused isiku krediiditeabe kasutamiseks või esitamiseks nõusoleku saamisel (krediiditeabe seaduse artikli 32 lõige 4 ja artikkel 34-2 ning krediiditeabe seaduse rakendusmääruse artikkel 30-3) ning üldisemalt enne kolmandale isikule teabe esitamist (krediiditeabe seaduse artikli 32 lõige 7) (138). Peale selle on üksikisikutel õigus saada taotluse korral teavet oma krediiditeabe kasutamise ja kolmandatele isikutele esitamise kohta taotluse esitamisele eelneva kolme aasta jooksul (sealhulgas teavet sellise kasutamise/esitamise eesmärgi ja kuupäevade kohta) (139).

(109)

Krediiditeabe seaduse alusel on üksikisikutel samuti õigus neid puudutava krediiditeabega tutvuda (krediiditeabe seaduse artikli 38 lõige 1) ja lasta ebatäpsed andmed parandada (krediiditeabe seaduse artikli 38 lõiked 2–3) (140). Lisaks isikuandmete kaitse seadusest tulenevale üldisele õigusele lasta andmed kustutada (vt põhjendus (77)) on krediiditeabe seadusega ette nähtud konkreetne õigus lasta kustutada ennast puudutav krediiditeave, mida säilitatakse põhjenduses (104) nimetatud säilitamisaegadest kauem, see tähendab üle viie aasta (ärisuhte loomiseks või säilitamiseks vajaliku isiku krediiditeabe puhul) või üle kolme kuu (muud liiki isiku krediiditeabe puhul) (141). Kustutamistaotluse rahuldamisest võib erandjuhul keelduda, kui teabe edasine säilitamine on vajalik põhjenduses (105) kirjeldatud asjaoludel. Kui isik taotleb kustutamist, ent kehtib mõni erand, siis tuleb seoses asjaomase krediiditeabega kohaldada spetsiaalseid kaitsemeetmeid (krediiditeabe seaduse artikli 38-3 lõige 3 ja krediiditeabe seaduse rakendusmääruse artikkel 33-3). Näiteks tuleb sellist teavet säilitada muust teabest eraldi, sellega tohib tutvuda ainult volitatud isik ja selle suhtes peavad kehtima konkreetsed turbemeetmed.

(110)

Lisaks põhjenduses (109) nimetatud õigustele tagatakse krediiditeabe seadusega üksikisikutele õigus taotleda vastutavalt töötlejalt nendega otseturunduse eesmärgil ühenduse võtmise lõpetamist (seaduse artikli 37 lõige 2) ja andmete ülekandmise õigus. Viimase puhul lubatakse krediiditeabe seadusega üksikisikutel taotleda neid puudutava krediiditeabe edastamist neile endile või teatavatele kolmandatele isikutele (näiteks finantsasutustele ja reitinguagentuuridele). Isiku krediiditeavet tuleb töödelda ja see kolmandale isikule edastada vormis, mida infotöötlusseade (näiteks arvuti) suudab töödelda.

(111)

Niivõrd kuivõrd krediiditeabe seadus sisaldab isikuandmete kaitse seadusega võrreldes erinorme, leiab komisjon seega, et ka nende normidega tagatakse kaitsetase, mis on sisuliselt samaväärne määruse (EL) 2016/679 alusel pakutava kaitsetasemega.

(112)

Et tagada andmekaitse piisav tase ka praktikas, peaks olema loodud sõltumatu järelevalveasutus, millele on antud volitused jälgida andmekaitsenormide vastavust ja tagada nende täitmine. See asutus peaks tegutsema oma ülesandeid täites ja volitusi kasutades täiesti sõltumatult ja erapooletult.

(113)

Korea Vabariigis on sõltumatu asutus, kes vastutab isikuandmete kaitse seaduse üle järelevalve tegemise ja seaduse täitmise tagamise eest, isikuandmete kaitse komisjon. Isikuandmete kaitse komisjon koosneb esimehest, aseesimehest ja seitsmest liikmest. Esimehe ja aseesimehe nimetab peaministri soovitusel ametisse president. Komisjoni liikmetest määrab president kaks liiget esimehe soovitusel ja viis liiget Rahvuskogu soovitusel (neist kaks selle erakonna esindajate soovitusel, kuhu kuulub president, ja kolm ülejäänud erakondade esindajate soovitusel (isikuandmete kaitse seaduse artikli 7-2 lõige 2), mis aitab välistada ametisse nimetamise protsessis erakondlikkust) (142). See menetlus on kooskõlas liidus andmekaitseasutuste liikmete ametisse nimetamise suhtes kohaldatavate nõuetega (määruse (EL) 2016/679 artikli 53 lõige 1). Lisaks peavad komisjoni liikmed hoiduma tulunduslikust tegevusest ja poliitilisest tegevusest ning nad ei tohi töötada avalikus halduses või Rahvuskogus (isikuandmete kaitse seaduse artikkel 7-6 ja artikli 7-7 lõike 1 punkt 3) (143). Kõikide komisjoni liikmete suhtes kehtivad erinormid, millega neil keelatakse võimaliku huvide konflikti korral aruteludes osaleda (isikuandmete kaitse seaduse artikkel 7-11). Isikuandmete kaitse komisjoni abistab sekretariaat (artikkel 7-13) ning väiksemate rikkumiste ja korduvate küsimuste lahendamiseks võib moodustada (kolmest liikmest koosnevaid) allkomisjone (isikuandmete kaitse seaduse artikkel 7-12).

(114)

Kõik isikuandmete kaitse komisjoni liikmed nimetatakse ametisse kolmeks aastaks ja nende ametiaega saab pikendada üks kord (isikuandmete kaitse seaduse artikli 7-4 lõige 1). Komisjoni liikmeid saab ametist vabastada ainult konkreetsetel asjaoludel, nimelt kui nad ei suuda pikaajalise vaimse või füüsilise puude tõttu enam oma ülesandeid täita, kui nad tegutsevad õigust rikkudes või kui nende puhul kehtib mõni ametist tagandamise alus (144) (isikuandmete kaitse seaduse artikkel 7-5). Sellega tagatakse neile nende ülesannete täitmisel institutsionaalne kaitse.

(115)

Üldisemalt on isikuandmete kaitse seaduse artikli 7 lõikega 1 sõnaselgelt tagatud isikuandmete kaitse komisjoni sõltumatus ning isikuandmete kaitse seaduse artikli 7-5 lõike 2 kohaselt peavad komisjoni liikmed täitma oma ülesandeid sõltumatult kooskõlas seaduse ja oma südametunnistusega (145). Kirjeldatud institutsiooniliste ja menetluslike kaitsemeetmetega, sealhulgas komisjoni liikmete ametisse nimetamist ja ametist vabastamist käsitlevate meetmetega tagatakse, et isikuandmete kaitse komisjon tegutseb täiesti sõltumatult, vabana välistest mõjutustest või juhistest. Peale selle teeb isikuandmete kaitse komisjon kui keskne haldusasutus igal aastal ettepaneku oma eelarve kohta (mille rahandusminister riigi üldeelarve osana läbi vaatab, enne kui Rahvuskogu selle vastu võtab) ja vastutab oma personalijuhtimise eest. Isikuandmete kaitse komisjoni praegune eelarve on ligikaudu 35 miljonit eurot ja komisjonil on 154 töötajat (sealhulgas 40 info- ja kommunikatsioonitehnoloogiale spetsialiseerunud töötajat, 32 uurimistega tegelevat töötajat ja 40 õiguseksperti).

(116)

Isikuandmete kaitse komisjoni ülesanded ja volitused on peamiselt sätestatud isikuandmete kaitse seaduse artiklites 7-8 ja 7-9, samuti artiklites 61–66 (146). Eelkõige hõlmavad isikuandmete kaitse komisjoni ülesanded nõustamist seoses andmekaitset käsitlevate õigusnormidega, andmekaitsepoliitika ja -suuniste koostamist, üksikisiku õiguste rikkumiste uurimist, kaebuste menetlemist ja vaidluste vahendamist, isikuandmete kaitse seaduse täitmise tagamist, andmekaitsealase koolituse ja andmekaitsevaldkonna edendamise tagamist ning teabevahetust ja koostööd kolmandate riikide andmekaitseasutustega (147).

(117)

Vastavalt isikuandmete kaitse seaduse artiklile 68, tõlgendatuna koostoimes isikuandmete kaitse seaduse rakendusmääruse artikliga 62, on isikuandmete kaitse komisjoni teatavad ülesanded delegeeritud Korea interneti- ja turbeametile, nimelt 1) koolitus ja avalikud suhted, 2) spetsialistide koolitamine ja privaatsusele avalduva mõju hindamise kriteeriumide koostamine, 3) nn privaatsusele avalduva mõju hindamise institutsiooni määramist käsitlevate taotluste menetlemine, 4) ametiasutuste valduses olevatele isikuandmetele kaudse juurdepääsu saamise taotluste menetlemine (isikuandmete kaitse seaduse artikli 35 lõige 2) ja 5) nn privaatsusküsimuste kõnekeskuse kaudu saadud kaebustega seotud materjalide taotlemine ja selliste kaebuste uurimine. Mis puudutab privaatsusküsimuste kõnekeskuse kaudu saadud kaebuste menetlemist, siis juhul, kui Korea interneti- ja turbeamet leiab, et seadust on rikutud, edastab ta juhtumi isikuandmete kaitse komisjonile või prokuratuurile. Võimalus esitada kaebus privaatsusküsimuste kõnekeskusele ei takista üksikisikutel esitada kaebust otse isikuandmete kaitse komisjonile või komisjoni poole pöörduda, kui nad leiavad, et Korea interneti- ja turbeamet ei ole nende kaebust rahuldavalt menetlenud.

(118)

Isikuandmete kaitse seaduse täitmise tagamiseks on seadusandja andnud isikuandmete kaitse komisjonile nii uurimis- kui ka õigusnormide täitmise tagamise volitused, mis ulatuvad soovituste esitamisest haldustrahvide määramiseni. Neid volitusi täiendab kriminaalkaristuste süsteem.

(119)

Mis puudutab uurimisvolitusi, siis juhul, kui kahtlustatakse isikuandmete kaitse seaduse rikkumist või kui sellest on teatatud või kui see on vajalik andmesubjektide õiguste kaitsmiseks rikkumise eest, võib isikuandmete kaitse komisjon viia läbi kohapealseid kontrolle ja nõuda isikuandmete vastutavatelt töötlejatelt kõiki asjakohaseid materjale (näiteks esemeid ja dokumente) (isikuandmete kaitse seaduse artikkel 63 tõlgendatuna koostoimes isikuandmete kaitse seaduse rakendusmääruse artikliga 60) (148).

(120)

Õigusnormide täitmise tagamisel võib isikuandmete kaitse komisjon isikuandmete kaitse seaduse artikli 61 lõike 2 alusel anda vastutavatele töötlejatele nõu selle kohta, kuidas parandada isikuandmete kaitset konkreetsete töötlemistoimingute raames. Vastutavad töötlejad peavad tegema hea usu põhimõttest lähtuvalt jõupingutusi selliste nõuannete elluviimiseks ja nad peavad isikuandmete kaitse komisjoni tulemustest teavitama. Peale selle võib isikuandmete kaitse komisjon juhul, kui on põhjendatud alus arvata, et isikuandmete kaitse seadust on rikutud ja meetmete võtmata jätmine põhjustaks kahju, mida on raske heastada, kehtestada parandusmeetmeid (isikuandmete kaitse seaduse artikli 64 lõige 1) (149). Teatise nr 2021-5 5. jaos (I lisa) on esitatud siduva mõjuga selgitus, et neid tingimusi täidetakse isikuandmete kaitse seaduse iga sätte puhul, millega kaitstakse üksikisikute privaatsuse õigust seoses isikuandmetega (150). Meetmed, mida isikuandmete kaitse komisjonil on õigus võtta, hõlmavad muu hulgas rikkumist põhjustava käitumise lõpetamise nõudmist, andmete töötlemise ajutist peatamist või muid vajalikke meetmeid. Parandusmeetmete järgimata jätmise korral võidakse määrata karistus kuni 50 miljonit vonni (isikuandmete kaitse seaduse artikli 75 lõike 2 punkt 13).

(121)

Seoses teatavate ametivõimudega (nagu Rahvuskogu, kesksed haldusasutused, kohalike omavalitsuste organid ja kohtud) on isikuandmete kaitse seaduse artikli 64 lõikes 4 sätestatud, et isikuandmete kaitse komisjon võib „soovitada“ mõnda põhjenduses (120) nimetatud parandusmeedet ja et asjaomased asutused peavad sellist soovitust täitma, välja arvatud juhul, kui tegemist on erakorraliste asjaoludega. Teatise nr 2021-5 5. jao kohaselt osutab see erakorralistele faktilistele või õiguslikele asjaoludele, millest isikuandmete kaitse komisjon ei olnud oma soovituse tegemise ajal teadlik. Asjaomane ametiasutus võib tugineda sellistele erakorralistele asjaoludele ainult juhul, kui ta selgelt tõendab, et rikkumist ei ole toimunud, ja kui isikuandmete kaitse komisjon järeldab, et see vastab tõele. Vastasel korral peab ametiasutus järgima isikuandmete kaitse komisjoni soovitust ja „võtma parandusmeetme, muu hulgas viivitamata toimingu peatama ja hüvitama kahju sellisel erandjuhul, kui ebaseaduslik tegu siiski toime pandi“.

(122)

Samuti võib isikuandmete kaitse komisjon nõuda muudelt valdkondlike (nt tervise või haridusvaldkonna) õigusaktide alusel pädevatelt haldusasutustelt nende jurisdiktsiooni alla kuuluvate ja kõnealustes sektorites tegutsevate vastutavate töötlejate poolsete (kahtlustatavate) privaatsuse rikkumiste uurimist (üksinda või koos isikuandmete kaitse komisjoniga) ning parandusmeetmete kehtestamist (isikuandmete kaitse seaduse artikli 63 lõiked 4–5). Sellisel juhul määrab isikuandmete kaitse komisjon kindlaks uurimise alused, eesmärgi ja ulatuse (151). Asjaomane haldusasutus peab omakorda esitama isikuandmete kaitse komisjonile kontrollikava ja teavitama komisjoni kontrolli tulemusest. Isikuandmete kaitse komisjon võib soovitada konkreetse parandusmeetme võtmist, mida asjaomane asutus peab püüdma rakendada. Igal juhul ei piira selline palve isikuandmete kaitse komisjoni pädevust viia läbi oma uurimist või määrata karistusi.

(123)

Lisaks oma parandusmeetmete kehtestamise volitustele võib isikuandmete kaitse komisjon määrata isikuandmete kaitse seaduse eri nõuete rikkumise eest 10–50 miljoni vonni suuruseid trahve (isikuandmete kaitse seaduse artikkel 75) (152). Need rikkumised hõlmavad muu hulgas töötlemise seaduslikkuse nõude täitmata jätmist, vajalike turbemeetmete võtmata jätmist, andmesubjektide teavitamata jätmist andmetega seotud rikkumisest, alamtöötlemist käsitlevate nõuete täitmata jätmist, isikuandmete kaitse poliitika kehtestamata ja avalikustamata jätmist, andmekaitseametniku ametisse nimetamata jätmist või tegevusetust seoses oma isiklikke õigusi teostava andmesubjekti taotlusega, samuti teatavaid menetluslikke rikkumisi (uurimises koostöö mittetegemine). Kui sama vastutav töötleja rikub isikuandmete kaitse seaduse mitut sätet, võib määrata trahvi iga rikkumise eest, kusjuures trahvi määra kehtestamisel võetakse arvesse mõjutatud isikute arvu.

(124)

Peale selle võib isikuandmete kaitse komisjon juhul, kui on põhjendatud alus kahtlustada isikuandmete kaitse seaduse või mis tahes muude „andmekaitset käsitlevate õigusnormide“ rikkumist, esitada pädevale uurimisasutusele (nt prokuratuurile) kuriteokaebuse (vt isikuandmete kaitse seaduse artikli 65 lõige 1). Samuti võib isikuandmete kaitse komisjon anda vastutavale töötlejale nõu võtta vastutava isiku (sealhulgas vastutava juhi) suhtes distsiplinaarmeetmeid (vt isikuandmete kaitse seaduse artikli 65 lõige 2). Kui vastutavale töötlejale sellist nõu antakse, siis peab ta seda järgima (153) ja isikuandmete kaitse komisjoni tulemusest kirjalikult teavitama (isikuandmete kaitse seaduse artikkel 65 tõlgendatuna koostoimes isikuandmete kaitse seaduse rakendusmääruse artikliga 58).

(125)

Mis puudutab nõuandeid isikuandmete kaitse seaduse artikli 61 alusel, parandusmeetmeid artikli 64 alusel, süüdistusi ja distsiplinaarmeetmete võtmise soovitusi artikli 65 alusel ning haldustrahvide määramist artikli 75 alusel, siis võib isikuandmete kaitse komisjon avalikustada faktid, see tähendab rikkumise, seadust rikkunud üksuse ja kehtestatud meetme(d), avaldades need oma veebisaidil või üldiselt üleriigilises päevalehes (isikuandmete kaitse seaduse artikkel 66 tõlgendatuna koostoimes isikuandmete kaitse seaduse rakendusmääruse artikli 61 lõikega 1) (154).

(126)

Isikuandmete kaitse seaduses (ja muudes „andmekaitset käsitlevates õigusnormides“) kehtestatud andmekaitsenõuete täitmist toetab ka kriminaalkaristuste süsteem. Isikuandmete kaitse seaduse artiklid 70–73 sisaldavad karistusi käsitlevaid sätteid, mille alusel võidakse määrata kas trahv (vahemikus 20–100 miljonit vonni) või vangistus (maksimaalne vabadusekaotus jääb vahemikku 2–10 aastat). Asjaomased rikkumised hõlmavad muu hulgas isikuandmete kasutamist või kolmandale isikule esitamist ilma vajaliku nõusolekuta, tundliku teabe töötlemist vastuolus isikuandmete kaitse seaduse artikli 23 lõikes 1 sätestatud keeluga, kohaldatavate turbenõuete täitmata jätmist, mille tulemus on isikuandmete kaotsiminek, varastamine, avalikustamine, võltsimine, muutmine või kahjustamine; isikuandmete parandamiseks, kustutamiseks või nende töötlemise peatamiseks vajalike meetmete võtmata jätmine või isikuandmete ebaseaduslik edastamine kolmandasse riiki (155). Isikuandmete kaitse seaduse artikli 74 kohaselt lasub vastutus nii vastutava töötleja töötajal või esindajal kui ka vastutaval töötlejal endal (156).

(127)

Lisaks isikuandmete kaitse seadusega ette nähtud kriminaalkaristustele võib isikuandmete väärkasutamise näol olla tegemist süüteoga ka karistusseaduse alusel. See kehtib eelkõige seoses kirjade, dokumentide või elektrooniliste andmete konfidentsiaalsuse rikkumise (artikkel 316), ametisaladusega hõlmatud teabe avalikustamise (artikkel 317), arvuti teel sooritatud pettuse (artikkel 347-2) ning omastamise ja usalduse kuritarvitamisega (artikkel 355).

(128)

Seega on Korea süsteemis ühendatud eri liiki karistused alates parandusmeetmetest ja haldustrahvidest kuni kriminaalkaristusteni, millel on vastutavatele töötlejatele ja andmeid töötlevatele isikutele tõenäoliselt eriti suur heidutav mõju. Isikuandmete kaitse komisjon hakkas oma volitusi kasutama vahetult pärast selle loomist 2020. aastal. Isikuandmete kaitse komisjoni 2021. aasta aruandest ilmneb, et komisjon on juba esitanud mitu soovitust ning teinud mitu haldustrahvi ja parandusmeetmeid puudutavat määrust nii avaliku sektori asutustele (ligikaudu 34 ametiasutusele) kui ka eraettevõtjatele (ligikaudu 140 äriühingule) (157). Silmapaistvad juhtumid on näiteks 2020. aasta detsembris ühele äriühingule 6,7 miljardi vonni suuruse trahvi määramine isikuandmete kaitse seaduse eri sätete (sealhulgas turbenõuete ning kolmandale isikule andmete esitamiseks vajalikku nõusolekut ja läbipaistvust käsitlevate sätete) rikkumise eest (158) ning tehisintellekti tehnoloogiaga tegelevale äriühingule 2021. aasta aprillis 103,3 miljoni vonni suuruse trahvi määramine (muude sätete seas töötlemise seaduslikkust, eelkõige nõusolekut, ning pseudonümiseeritud andmete töötlemist käsitlevate normide rikkumise eest) (159). 2021. aasta augustis viis isikuandmete kaitse komisjon lõpule veel ühe uurimise seoses kolme äriühingu tegevusega; selle tagajärjel kehtestati parandusmeetmed ja määrati kuni 6,47 miljardi vonni suurused trahvid (muu hulgas üksikisikute teavitamata jätmise eest nende isikuandmete avalikustamisest kolmandatele isikutele, sealhulgas andmete kolmandatesse riikidesse edastamisest) (160). Samuti olid Lõuna-Korea näitajad õigusnormide täitmise tagamise valdkonnas juba enne hiljutist reformi väga head ja vastutavad ametiasutused kasutasid mitmesuguste vastutavate töötlejate, muu hulgas kommunikatsiooniteenuste osutajate (Korea kommunikatsioonikomisjon), samuti ettevõtjate, finantsasutuste, ametiasutuste, ülikoolide ja haiglate (sise- ja turvaküsimuste ministeerium) suhtes kõiki õigusnormide täitmise tagamise meetmeid, sealhulgas haldustrahve, parandusmeetmeid ning nn nime äramärkimist ja avalikustamist (161). Selle põhjal järeldas komisjon, et Korea süsteemiga tagatakse andmekaitsenormide tulemuslik täitmine praktikas ja seega kaitsetase, mis on sisuliselt samaväärne määruse (EL) 2016/679 alusel tagatud tasemega.

(129)

Piisava kaitse ja eelkõige üksikisiku õiguste täitmise tagamiseks tuleks andmesubjektile ette näha tõhus haldus- ja õiguskaitse, sealhulgas kahju hüvitamine.

(130)

Korea süsteemiga pakutakse üksikisikutele mitmesuguseid mehhanisme nende õiguste täitmise tõhusaks tagamiseks ja (kohtuliku) õiguskaitse saamiseks.

(131)

Esimese sammuna saavad isikud, kelle arvates on nende andmekaitsega seotud õigusi või huve rikutud, pöörduda asjaomase vastutava töötleja poole. Vastavalt isikuandmete kaitse seaduse artikli 30 lõike 1 punktile 5 peab vastutava töötleja isikuandmete kaitse poliitika muu hulgas sisaldama teavet andmesubjektide kasutatavate õiguste ja nende teostamise võimaluste kohta. Peale selle tuleb selles esitada kontaktandmed, mis võimaldavad kaebusi esitada, näiteks andmekaitseametniku või andmekaitse eest vastutava osakonna nimi ja telefoninumber. Vastutav töötleja organisatsiooni andmekaitseametnik tegeleb kaebuste menetlemise, privaatsuse rikkumise korral parandusmeetmete võtmise ja hüvitistega (isikuandmete kaitse seaduse artikli 31 lõike 2 punkt 3 ja lõige 4). Viimane on asjakohane näiteks andmetega seotud rikkumise puhul, sest vastutav töötleja peab andmesubjekti teavitama kontaktisiku(te)st, kellele teatada muu hulgas võimalik kahju (isikuandmete kaitse seaduse artikli 34 lõike 1 punkt 5).

(132)

Lisaks on isikuandmete kaitse seadusega üksikisikutele ette nähtud mitmed õiguskaitsevahendid, mida nad saavad vastutava töötleja suhtes kasutada. Esiteks võib isik, kes leiab, et vastutav töötleja on rikkunud tema andmekaitsega seotud õigusi või huve, teavitada sellest otse isikuandmete kaitse komisjoni ja/või mõnda spetsialiseerunud asutust, kelle isikuandmete kaitse komisjon on määranud kaebusi vastu võtma ja menetlema; üks selline asutus on Korea interneti- ja turbeamet, kes haldab sel eesmärgil isikuandmete kõnekeskust (nn privaatsusküsimuste kõnekeskus) (isikuandmete kaitse seaduse artikli 62 lõiked 1 ja 2 tõlgendatuna koostoimes isikuandmete kaitse seaduse rakendusmääruse artikliga 59). Privaatsusküsimuste kõnekeskus uurib ja tuvastab rikkumisi ning pakub isikuandmete töötlemise valdkonnas nõustamist (isikuandmete kaitse seaduse artikli 62 lõige 3) ja võib teavitada rikkumistest isikuandmete kaitse komisjoni (ent ei saa ise nõuete täitmise tagamiseks meetmeid võtta). Privaatsusküsimuste kõnekeskusele esitatakse arvukalt kaebusi/taotlusi (nt 2020. aastal 177 457, 2019. aastal 159 255 ja 2018. aastal 164 497) (162). Isikuandmete kaitse komisjoni esitatud teabe kohaselt laekus komisjonile endale 2020. aasta augustist kuni 2021. aasta augustini ligikaudu 1 000 kaebust. Vastusena kaebusele võib isikuandmete kaitse komisjon esitada nõuandeid olukorra parandamiseks, nõuda parandusmeetmete võtmist, anda asja pädevale uurimisasutusele (sealhulgas prokuratuurile) või soovitada distsiplinaarmeetmete võtmist (isikuandmete kaitse seaduse artiklid 61, 64 ja 65). Isikuandmete kaitse komisjoni otsuseid (näiteks kaebuse menetlemisest keeldumine või kaebuse sisuline tagasilükkamine) saab vaidlustada halduskohtumenetluse seaduse alusel (163).

(133)

Teiseks saavad andmesubjektid kooskõlas isikuandmete kaitse seaduse artiklitega 40–50, tõlgendatuna koostoimes isikuandmete kaitse seaduse rakendusmääruse artiklitega 48-14 kuni 57, pöörduda nõudega nn vaidluste vahendamise komitee poole, mis koosneb isikuandmete kaitse komisjoni esimehe poolt komisjoni kõrgeastme juhtide liikmete hulgast nimetatud esindajatest ning isikutest, kes on nimetatud teatavate nõuetele vastavate rühmade hulgast nende kogemuse põhjal andmekaitse valdkonnas (isikuandmete kaitse seaduse artikli 40 lõiked 2, 3 ja 7 ning isikuandmete kaitse seaduse rakendusmääruse artikkel 48-14) (164). Vaidluste vahendamise komitee vahendus on alternatiivne võimalus õiguskaitse saamiseks, ent ei piira üksikisiku õigust pöörduda selle asemel isikuandmete kaitse komisjoni või kohtute poole. Juhtumi uurimiseks võib komitee nõuda vaidluse pooltelt vajalike materjalide esitamist ja/või kutsuda komitee ette asjaomaseid tunnistajaid (isikuandmete kaitse seaduse artikkel 45). Pärast küsimuse lahendamist koostab komitee vahendusotsuse projekti, (165) millega tema liikmete enamus peab nõustuma. Esialgne vahendamine võib hõlmata rikkumise peatamist, vajalikke heastamisvahendeid (sealhulgas kahjutasu või hüvitist), samuti kõiki sama või sarnase rikkumise kordumise vältimiseks vajalikke meetmeid (isikuandmete kaitse seaduse artikli 47 lõige 1). Kui mõlemad pooled vahendusotsusega nõustuvad, siis on sellel sama mõju kui kohtulikul kokkuleppel (isikuandmete kaitse seaduse artikli 47 lõige 5). Kummalgi poolel ei ole keelatud anda asi vahenduse toimumise ajal kohtusse; sellisel juhul vahendamine peatatakse (isikuandmete kaitse seaduse artikli 48 lõige 2) (166). Isikuandmete kaitse komisjoni esitatud iga-aastased andmed näitavad, et üksikisikud kasutavad vaidluste vahendamise komitees toimuvat menetlust regulaarselt ja sageli on nad selles edukad. Näiteks 2020. aastal menetles komitee 126 juhtumit, millest 89 lahendati komitees (neist 77 juhul saavutasid pooled kokkuleppe juba enne vahendusmenetluse lõppemist ja 12 juhul nõustusid pooled vahendamise tulemusel esitatud ettepanekuga), seega oli vahendamise edukus 70,6 % (167). Samuti menetles komitee 2019. aastal 139 juhtumit, millest lahendati 92 – seega oli vahendamise edukus 62,2 %.

(134)

Kui vähemalt 50 isikut kannab kahju või nende andmekaitsega seotud õigusi on sama (liiki) intsidendi tagajärjel samal või sarnasel viisil rikutud, (168) võib andmesubjekt või andmekaitse valdkonnas tegutsev organisatsioon taotleda kollektiivset vaidluste vahendamist selle rühma nimel; teised andmesubjektid võivad taotleda sellise vahendusega ühinemist, millest vaidluste vahendamise komitee avalikult teatab (isikuandmete kaitse seaduse artikli 49 lõiked 1–3 tõlgendatuna koostoimes isikuandmete kaitse seaduse rakendusmääruse artiklitega 52–54) (169). Vaidluste vahendamise komitee võib valida vähemalt ühe isiku, kes ühist huvi kõige paremini esindab (isikuandmete kaitse seaduse artikli 49 lõige 4). Kui vastutav töötleja vaidluse kollektiivse vahenduse tagasi lükkab või ei nõustu vahendusotsusega, võivad teatavad organisatsioonid (170) esitada rikkumise menetlemiseks kollektiivhagi (isikuandmete kaitse seaduse artiklid 51–57).

(135)

Kolmandaks on andmesubjektil sellise privaatsuse rikkumise korral, millega tekitatakse isikule kahju, õigus asjakohasele õiguskaitsele „kiire ja õiglase menetluse“ teel (isikuandmete kaitse seaduse artikli 4 punkt 5 koos artikliga 39) (171). Vastutav töötleja võib enda kaitsmiseks tõendada süü („süülise tahtluse“ või hooletuse) puudumist. Kui andmesubjekt kannab oma isikuandmete kaotsimineku, varguse, avalikustamise, võltsimise, muutmise või kahjustumise tagajärjel kahju, siis võib kohus mitut tegurit arvesse võttes määrata hüvitise, mis ületab tegelikku kahju kuni kolm korda (isikuandmete kaitse seaduse artikli 39 lõiked 3 ja 4). Teise võimalusena võib andmesubjekt nõuda „mõistlikku hüvitist“, mis ei ületa 3 miljonit vonni (isikuandmete kaitse seaduse artikli 39-2 lõiked 1 ja 2). Peale selle võib tsiviilseaduse kohaselt nõuda hüvitist kõikidelt isikutelt, „kes põhjustavad ebaseadusliku teoga tahtlikult või hoolimatusest teisele isikule kahju“, (172) või isikutelt, „kes on kahjustanud teist isikut, tema vabadust või mainet või kes on tekitanud teisele isikule vaimseid kannatusi“ (173). Kõrgeim kohus on kinnitanud sellist lepinguvälist vastutust andmekaitsenormide rikkumise korral (174). Kui kahju on põhjustanud ametiasutuse ebaseaduslik tegevus, võib hüvitisnõude peale selle esitada riigilt hüvitise saamise seaduse alusel (175). Riigilt hüvitise saamise seaduse kohase nõude võib esitada spetsialiseerunud nn hüvitisnõukogule või otse Korea kohtutele (176). Riigi vastutus hõlmab ka mittevaralist kahju (näiteks vaimseid kannatusi) (177). Kui ohver on välisriigi kodanik, siis kohaldatakse riigilt hüvitise saamise seadust juhul, kui isiku päritoluriigis on tagatud samaväärne riigi hüvitis Korea kodanikele (178).

(136)

Neljandaks on kõrgeim kohus tunnistanud, et üksikisikutel on õigus taotleda kohustamismäärust, kui rikutakse nende põhiseaduslikke õigusi, sealhulgas õigust andmekaitsele (179). Sellega seoses võib kohus näiteks kohustada vastutavat töötlejat peatama või lõpetama ebaseaduslik tegevus. Peale selle saab tagada andmekaitseõiguse, sealhulgas isikuandmete kaitse seadusega kaitstud õiguste täitmise tsiviilhagide kaudu. Kõrgeim kohus on tunnistanud sellist privaatsuse põhiseadusliku kaitse horisontaalset kohaldamist eraisikute vahelistele suhetele (180).

(137)

Samuti võivad üksikisikud esitada kriminaalmenetluse seaduse (artikkel 223) alusel prokurörile või kohtupolitseile kuriteokaebuse (181).

(138)

Seega pakub Korea süsteem õiguskaitse saamiseks mitmesuguseid viise, alates lihtsalt kasutatavatest taskukohastest võimalustest (näiteks privaatsusküsimuste kõnekeskusega ühenduse võtmine või (kollektiivse) vahenduse teel) kuni halduslike (isikuandmete kaitse komisjonis) ja kohtulike viisideni, mis hõlmavad kahju eest hüvitise saamise võimalust.

(139)

Komisjon hindas ka piiranguid ja kaitsemeetmeid, sealhulgas Korea õiguses kättesaadavaid järelevalve- ja individuaalse õiguskaitse mehhanisme seoses selliste isikuandmete kogumise ja järgneva kasutamisega Korea ametiasutuste poolt, mida edastatakse Koreas asuvatele vastutavatele töötlejatele avalikes huvides, eelkõige kriminaalõiguskaitse ja riigi julgeoleku eesmärgil (edaspidi „valitsuse juurdepääs“). Seoses sellega on Korea valitsus esitanud komisjonile ametlikud seisukohad, kinnitused ja kohustused, mis on allkirjastatud kõrgeimal ministrite ja ametite tasandil ning on ära toodud käesoleva otsuse II lisas.

(140)

Hindamisel, kas tingimused, mille alusel valitsusel on juurdepääs käesoleva otsuse alusel Koreasse edastatud andmetele, täidavad määruse (EL) 2016/679 artikli 45 lõikega 1 ette nähtud nn sisulise vastavuse nõude, mida Euroopa Liidu Kohus on tõlgendanud Euroopa Liidu põhiõiguste harta alusel, võttis komisjon arvesse eelkõige järgmisi kriteeriume.

(141)

Esiteks peab isikuandmete kaitse õiguse piirang olema ette nähtud seadusega ning õiguslikus aluses, mis võimaldab sellisesse õigusesse sekkuda, peab olema määratletud, kui ulatuslikult tohib asjaomase õiguse teostamist piirata (182).

(142)

Teiseks peab proportsionaalsuse nõude täitmiseks, mille kohaselt tohib isikuandmete kaitse suhtes kohaldada erandeid ja piiranguid üksnes niivõrd, kuivõrd see on demokraatlikus ühiskonnas rangelt vajalik liidus tunnustatutega samaväärsete konkreetsete üldist huvi pakkuvate eesmärkide täitmiseks, olema asjaomase kolmanda riigi õigusaktides, millega sekkumist lubatakse, sätestatud selged ja täpsed normid, millega reguleeritakse kõnealuste meetmete kohaldamisala ja kohaldamist ning kehtestatakse minimaalsed kaitsemeetmed, et isikutel, kelle andmeid on edastatud, oleksid piisavad tagatised oma isikuandmete tõhusaks kaitseks kuritarvitamise ohu eest (183). Eelkõige tuleb sellistes õigusaktides osutada, millistel asjaoludel ja tingimustel võib vastu võtta meetme, millega asjaomaste andmete töötlemine ette nähakse, (184) ning kehtestada selliste nõuete täitmise kontrollimiseks sõltumatu järelevalve (185).

(143)

Kolmandaks peavad sellised õigusaktid ja neis sisalduvad nõuded olema riigisisese õiguse alusel õiguslikult siduvad. See on seotud eelkõige kõnealuse kolmanda riigi ametiasutustega, kuid samuti peab olema võimalik neile õigusnõuetele asjaomaste ametiasutuste vastu kohtus tugineda (186). Eelkõige peab andmesubjektil olema võimalus kasutada õiguskaitsevahendeid sõltumatus ja erapooletus kohtus, et tutvuda teda puudutavate isikuandmetega või lasta neisse parandusi teha või neid kustutada (187).

(144)

Piirangud ja kaitsemeetmed, mida isikuandmete kogumise ja nende Korea ametiasutuste poolse järgneva töötlemise suhtes kohaldatakse, tulenevad üldisest põhiseaduslikust raamistikust, eriseadustest, millega on reguleeritud nende tegevus kriminaalõiguskaitse ja riigi julgeoleku valdkonnas, samuti õigusnormidest, mida kohaldatakse konkreetselt isikuandmete töötlemise suhtes.

(145)

Esiteks on Korea ametiasutuste juurdepääs isikuandmetele reguleeritud Korea põhiseadusest tulenevate seaduslikkuse, vajalikkuse ja proportsionaalsuse üldpõhimõtetega (188). Eelkõige võib põhiõigusi ja -vabadusi (sealhulgas eraelu puutumatuse õigust ja õigust korrespondentsi saladusele) (189) piirata ainult seadusega ja siis, kui see on vajalik riigi julgeoleku tagamiseks või üldise heaolu nimel avaliku korra säilitamiseks. Sellised piirangud ei tohi mõjutada asjaomase õiguse või vabaduse põhiolemust. Mis puudutab konkreetselt läbiotsimist ja arestimist, siis on põhiseaduses sätestatud, et see võib toimuda üksnes vastavalt seaduses sätestatule, kohtuniku tehtud määruse alusel ja järgides nõuetekohast menetlust (190). Üksikisikud võivad kaitsta oma õigusi ja vabadusi ka konstitutsioonikohtus, kui nad leiavad, et ametiasutused on neid õigusi ja vabadusi oma volituste teostamisel rikkunud (191). Samamoodi on üksikisikutel, kes on ametiisiku poolt tema ametiülesannete täitmisel sooritatud ebaseadusliku teo tõttu kahju kandnud, õigus nõuda õiglast hüvitist (192).

(146)

Teiseks kajastuvad põhjenduses (145) nimetatud üldpõhimõtted ka eriseadustes, millega on reguleeritud õiguskaitseasutuste ja riiklike julgeolekuasutuste volitused, nagu on üksikasjalikumalt kirjeldatud punktides 3.2.1 ja 3.3.1. Näiteks on kriminaalmenetluse seaduses kriminaaluurimiste kohta sätestatud, et kohustuslikke meetmeid võib võtta ainult siis, kui see on kriminaalmenetluse seadusega sõnaselgelt ette nähtud, ja uurimise eesmärgi täitmiseks minimaalselt vajalikus ulatuses (193). Samamoodi on sõnumisaladuse kaitse seaduse artikliga 3 keelatud juurdepääs erasõnumitele muudel juhtudel kui seaduse alusel, samuti tuleb järgida neis sätestatud piiranguid ja kaitsemeetmeid. Riigi julgeoleku valdkonnas on riikliku luureteenistuse seaduses sätestatud, et mis tahes juurdepääs side- ja asukohateabele peab olema kooskõlas seadusega ning võimu kuritarvitamise ja seaduse rikkumisega kaasnevad kriminaalkaristused (194).

(147)

Kolmandaks kohaldatakse ametiasutustepoolse isikuandmete töötlemise suhtes, sealhulgas õiguskaitse ja riigi julgeoleku eesmärkidel toimuva töötlemise suhtes andmekaitsenorme isikuandmete kaitse seaduse alusel (195). Üldpõhimõttena nõutakse isikuandmete kaitse seaduse artikli 5 lõikega 1 ametiasutustelt poliitika väljatöötamist, et vältida „isikuandmete kuritarvitamist ja väärkasutamist, valimatut jälgimist ja jälitamist jne ning edendada inimeste väärikust ja eraelu puutumatust“. Lisaks peavad kõik vastutavad töötlejad töötlema isikuandmeid viisil, millega minimeeritakse andmesubjekti privaatsuse rikkumise võimalust (isikuandmete kaitse seaduse artikli 3 lõige 6).

(148)

Isikuandmete õiguskaitse eesmärkidel töötlemise suhtes kohaldatakse kõiki isikuandmete kaitse seaduse nõudeid, mida on üksikasjalikult kirjeldatud 2. punktis. Need hõlmavad peamisi põhimõtteid (nagu seaduslikkus ja õiglus, eesmärgi piiritlemine, õigsus, võimalikult väheste andmete kogumine, säilitamise piirang, turvalisus ja läbipaistvus), kohustusi (näiteks andmetega seotud rikkumistest teatamise ja tundlike andmete kohta) ja õigusi (õigust andmetega tutvuda ning lasta neid parandada, kustutada ja nende töötlemine peatada).

(149)

Kuigi riigi julgeoleku eesmärkidel isikuandmete töötlemine ei ole isikuandmete kaitse seadusega nii ulatuslikult reguleeritud, kohaldatakse sellise töötlemise suhtes keskseid põhimõtteid ning järelevalvet, õigusnormide täitmise tagamist ja õiguskaitset käsitlevaid õigusnorme (196). Täpsemalt on isikuandmete kaitse seaduse artiklites 3 ja 4 sätestatud andmekaitse üldpõhimõtted (seaduslikkus ja õiglus, eesmärgi piiritlemine, õigsus, võimalikult väheste andmete kogumine, turvalisus ja läbipaistvus) ning üksikisiku õigused (õigus saada teavet, õigus andmetega tutvuda ning õigus lasta andmeid parandada, kustutada ja nende töötlemine peatada) (197). Peale selle on isikuandmete kaitse seaduse artikli 4 lõikega 5 antud üksikisikutele nende isikuandmete töötlemisest tuleneva võimaliku kahju korral õigus asjakohasele õiguskaitsele kiire ja õiglase menetluse teel. Seda täiendavad konkreetsemad kohustused töödelda isikuandmeid üksnes kavandatud eesmärgi täitmiseks minimaalselt vajalikus ulatuses ja minimaalse aja jooksul ning kehtestada vajalikud meetmed turvalise andmehalduse ja nõuetekohase töötlemise tagamiseks (näiteks tehnilised, halduslikud ja füüsilised kaitsemeetmed) ja üksikisikute kaebuste nõuetekohaseks menetlemiseks (198). Samuti kohaldatakse Korea põhiseadusest tulenevaid seaduslikkuse, vajalikkuse ja proportsionaalsuse üldpõhimõtteid (vt põhjendus (145)) ka riigi julgeoleku eesmärkidel isikuandmete töötlemise suhtes.

(150)

Üksikisikud võivad neile üldistele piirangutele ja kaitsemeetmetele tugineda sõltumatutes järelevalveasutustes (näiteks isikuandmete kaitse komisjon ja/või riiklik inimõiguste komisjon, vt põhjendused (177)–(178)) ja kohtutes (vt põhjendused (179)–(183)).

(151)

Korea õiguses on kehtestatud mitu piirangut seoses isikuandmetega tutvumise ja nende kasutamisega kriminaalõiguskaitse eesmärgil ning nähtud ette järelevalve- ja õiguskaitsemehhanismid, mis on kooskõlas käesoleva otsuse põhjendustes (141)–(143) osutatud nõuetega. Tingimusi, mille korral andmetega võib tutvuda, ja kõnealuste volituste kasutamise suhtes kohaldatavaid kaitsemeetmeid on üksikasjalikult hinnatud järgmistes punktides.

(152)

Korea vastutavate töötlejate töödeldavaid isikuandmeid, mida käesoleva otsuse alusel liidust edastataks, (199) võivad Korea ametiasutused koguda kriminaalõiguskaitse eesmärkidel läbiotsimise või arestimisega seoses (kriminaalmenetluse seaduse alusel), tutvudes sideandmetega (sõnumisaladuse kaitse seaduse alusel) või saades abonendiandmeid vabatahtliku avalikustamise taotluste kaudu (telekommunikatsioonitegevuse seaduse alusel) (200).

(153)

Kriminaalmenetluse seaduses on sätestatud, et läbiotsimine või arestimine võib toimuda ainult siis, kui isikut kahtlustatakse kuriteos, kui see on uurimise jaoks vajalik ning kui uurimise ja läbiotsitava isiku või uuritava või arestitava eseme vahel on kindlaks tehtud seos (201). Peale selle võib läbiotsimiseks või arestimiseks loa anda / selle läbi viia ainult minimaalselt vajalikus ulatuses (nagu mis tahes muu kohustusliku meetme puhul) (202). Kui läbiotsimine on seotud arvutiketta või muu andmekandjaga, siis arestitakse põhimõtteliselt ainult vajalikud andmed (kopeeritult või väljaprindituna), mitte kogu seade (203). Viimase võib arestida ainult siis, kui nõutavate andmete eraldi väljaprintimist või kopeerimist peetakse sisuliselt võimatuks või kui läbiotsimise eesmärgi täitmist muul viisil peetakse sisuliselt teostamatuks (204). Seega on kriminaalmenetluse seaduses sätestatud selged ja täpsed normid kõnealuste meetmete ulatuse ja kohaldamise kohta, tagades seeläbi, et üksikisikute õigustesse sekkumine läbiotsimise või arestimise korral piirdub sellega, mis on konkreetse kriminaaluurimise jaoks vajalik ja taotletava eesmärgiga proportsionaalne.

(154)

Mis puudutab menetluslikke tagatisi, siis tuleb kriminaalmenetluse seaduse järgi hankida läbiotsimise või arestimise läbiviimiseks kohtumäärus (205). Ilma kohtumääruseta läbiotsimine või arestimine on lubatud ainult erandjuhtudel, nimelt pakilistel asjaoludel, (206) kohapeal kuriteos kahtlustatava vahistamise või kinnipidamise ajal (207) või kui kuriteos kahtlustatav või kolmas isik eseme minema viskab või selle vabatahtlikult üle annab (isikuandmete puhul siis, kui seda teeb asjaomane isik ise) (208). Ebaseadusliku läbiotsimise ja arestimise korral kohaldatakse kriminaalkaristusi (209) ja tõendid, mis on saadud kriminaalmenetluse seadust rikkudes, ei ole vastuvõetavad (210). Samuti tuleb asjaomaseid isikuid läbiotsimisest või arestimisest (sealhulgas nende andmete arestimisest) alati viivitamata teavitada, (211) mis omakorda hõlbustab üksikisiku materiaalõiguste ja õiguskaitse saamise õiguse teostamist (vt eelkõige võimalus arestimismääruse täitmine vaidlustada, vt põhjendus (180)).

(155)

Sõnumisaladuse kaitse seaduse alusel võivad Korea kriminaalõiguskaitseasutused võtta kahte liiki meetmeid (212): ühelt poolt koguda nn sideandmeid, (213) mis hõlmavad kaugside kuupäeva, selle algus- ja lõpuaega, välja läinud ja sisse tulnud kõnede arvu, samuti teise isiku tarbija numbrit, kasutussagedust, sideteenuste kasutamise logisid ja asukohateavet (näiteks signaali vastu võtnud sidemastide kaudu), ja teiselt poolt võtta nn sõnumisaladust piiravaid meetmeid, mis hõlmavad nii tavaposti sisu kogumist kui ka telekommunikatsiooni sisu otsest pealtkuulamist (214).

(156)

Sideandmetega tohib tutvuda kohtumääruse alusel ja ainult siis, kui see on vajalik kriminaaluurimise läbiviimiseks või karistuse täideviimiseks (215), (216). Sellega seoses nõutakse sõnumisaladuse kaitse seadusega üksikasjaliku teabe esitamist nii kohtumääruse taotluses (näiteks taotluse põhjused, seos objekti / abonendiga ja vajalikud andmed) kui ka kohtumääruses endas (näiteks eesmärk, objekt ja meetme ulatus) (217). Ilma kohtumääruseta tohib andmeid koguda ainult siis, kui pakilisuse tõttu ei ole võimalik kohtult luba hankida; sellisel juhul tuleb hankida kohtumäärus ja edastada see sideteenuse osutajale viivitamata pärast andmete taotlemist (218). Kui kohus järgnevalt loa andmisest keeldub, siis tuleb kogutud teave hävitada (219).

(157)

Mis puudutab täiendavaid kaitsemeetmeid sideandmete kogumisel, siis on sõnumisaladuse kaitse seaduses kehtestatud konkreetsed läbipaistvus- ja andmete säilitamise nõuded (220). Eelkõige peavad nii kriminaalõiguskaitseasutused (221) kui ka sideteenuste osutajad (222) säilitama andmeid esitatud taotluste ja avalikustatud teabe kohta. Lisaks peavad kriminaalõiguskaitseasutused põhimõtteliselt teavitama üksikisikuid asjaolust, et nende sideandmeid on kogutud (223). Kõnealuse teavitamise võib edasi lükata ainult erandlikel asjaoludel pädeva ringkonnaprokuratuuri direktori loal (224). Sellise loa võib anda ainult siis, kui teavitamine võib 1) ohustada riigi julgeolekut, avalikku julgeolekut ja avalikku korda, 2) põhjustada surma või kehavigastusi, 3) takistada ausat kohtumenetlust (näiteks kui selle tagajärjel hävitataks tõendeid või ähvardataks tunnistajaid) või 4) teotada kahtlusaluse, ohvrite või teiste juhtumiga seotud isikute au või rikuks nende privaatsust. Sellistel juhtudel tuleb teavitada 30 päeva jooksul alates sellest, kui edasilükkamise alus(ed) enam ei kehti (225). Pärast teavitamist on üksikisikutel õigus saada teavet nende andmete kogumise põhjuste kohta (226).

(158)

Sõnumisaladust piiravate meetmete suhtes kohaldatakse rangemaid norme ja selliseid meetmeid võib kasutada ainult siis, kui on oluline põhjus kahtlustada, et mõnda sõnumisaladuse kaitse seaduses konkreetselt loetletud rasket kuritegu kavandatakse, pannakse toime või see on toime pandud (227). Peale selle võib sõnumisaladust piiravaid meetmeid võtta ainult viimase abinõuna ja juhul, kui vastasel korral on keeruline kuriteo toimepanemist ära hoida, kurjategijat vahistada või tõendeid koguda (228). Kui meetmed ei ole enam vajalikud, tuleb need viivitamata lõpetada, et sõnumisaladuse rikkumine oleks võimalikult piiratud (229). Sõnumisaladust piiravate meetmete võtmise teel ebaseaduslikult kogutud teave ei ole kohtu- või distsiplinaarmenetluses tõendusmaterjalina vastuvõetav (230).

(159)

Mis puudutab menetluslikke tagatisi, siis tuleb sõnumisaladuse kaitse seaduse järgi hankida sõnumisaladust piiravate meetmete võtmiseks kohtumäärus (231). Ka sõnumisaladuse kaitse seaduse kohaselt peavad kohtumääruse taotlus ja kohtumäärus ise sisaldama üksikasjalikku teavet, (232) sealhulgas taotluse põhjenduse ja kogutavate sõnumite kohta (tegemist peab olema uurimisealuse kahtlustatava isiku sõnumitega) (233). Ilma kohtumääruseta võib selliseid meetmeid võtta ainult juhul, kui esineb vahetu oht organiseeritud kuriteo toimepanemiseks või mõne muu raske kuriteo toimepanemiseks, mis võib otseselt põhjustada surma või raskeid vigastusi, ning kui tegemist on eriolukorraga, mille tõttu ei ole võimalik tavamenetlust järgida (234). Sellisel juhul tuleb aga esitada kohtumääruse taotlus vahetult pärast meetme võtmist (235). Sõnumisaladust piiravaid meetmeid võib võtta maksimaalselt kahe kuu jooksul (236) ja neid saab pikendada ainult kohtu heakskiidul, kui meetme võtmise tingimused on jätkuvalt täidetud (237). Pikendatud ajavahemik ei tohi ületada kokku ühte aastat või teatavate eriti raskete kuritegude (nt ülestõusu, välisriigi kallaletungi ja riigi julgeolekuga seotud kuritegude) puhul kolme aastat (238).

(160)

Sarnaselt sideandmete kogumisele nõutakse sõnumisaladuse kaitse seadusega sideteenuste osutajatelt (239) ja õiguskaitseasutustelt (240) sõnumisaladust piiravate meetmete elluviimise kohta andmete säilitamist ning nähakse ette asjaomase isiku teavitamine, mille võib erandjuhtudel edasi lükata, kui see on vajalik avalikku huvi pakkuvatel olulistel põhjustel (241).

(161)

Samuti kohaldatakse mitme sõnumisaladuse kaitse seaduses sisalduva ning nii sideandmete kogumist kui ka sõnumisaladust piiravate meetmete võtmist käsitleva piirangu ja kaitsemeetme (sealhulgas näiteks kohtumääruse hankimise, andmete säilitamise ja üksikisiku teavitamise kohustuste) täitmata jätmise korral kriminaalkaristusi (242).

(162)

Kriminaalõiguskaitseasutuste volitused koguda sõnumisaladuse kaitse seaduse alusel kommunikatsiooni puudutavaid andmeid (nii sõnumite sisu kui ka sideandmeid) on seega piiratud selgete ja täpsete normidega ning nende suhtes kohaldatakse mitmeid kaitsemeetmeid. Nimetatud kaitsemeetmetega tagatakse eelkõige selliste meetmete elluviimise üle nii eelnev (kohtuliku heakskiidu kaudu) kui ka järgnev (andmete säilitamise ja aruandlusnõuete kaudu) järelevalve ja hõlbustatakse üksikisikute juurdepääsu tõhusatele õiguskaitsevahenditele (tagades, et nad on nende andmete kogumisest teadlikud).

(163)

Lisaks põhjendustes (153)–(162) kirjeldatud kohustuslikele meetmetele tuginemisele võivad Korea õiguskaitseasutused taotleda sideteenuste osutajatelt sideandmeid vabatahtlikkuse alusel, et toetada kriminaalkohtumenetlust, uurimist või karistuse täideviimist (telekommunikatsioonitegevuse seaduse artikli 83 lõige 3). See võimalus puudutab üksnes piiratud andmekogumeid ehk kasutaja nime, residendi registrinumbrit, aadressi ja telefoninumbrit, kuupäeva; seda, millal kasutaja on operaatoriga liitunud või liitumise lõpetanud ning kasutaja identifitseerimiskoode (s.o koodid, mida kasutatakse arvutisüsteemide või sidevõrkude õiguspärase kasutaja tuvastamiseks) (243). Kuna „kasutajatena“ käsitatakse ainult neid isikuid, kes Korea sideteenuste osutajalt teenuseid otse tellivad, (244) siis ei kuulu ELi üksikisikud, kelle andmeid on Korea Vabariiki edastatud, tavapäraselt sellesse kategooriasse (245).

(164)

Sellise vabatahtliku avalikustamise puhul kehtivad erinevad piirangud nii õiguskaitseasutuse volituste teostamise kui ka sideteenuste osutaja tegevuse suhtes. Üldnõudena peavad õiguskaitseasutused tegutsema kooskõlas põhiseadusest tulenevate vajalikkuse ja proportsionaalsuse põhimõtetega (põhiseaduse artikli 12 lõige 1 ja artikli 37 lõige 2), sealhulgas siis, kui nad taotlevad teavet vabatahtlikkuse alusel. Lisaks peavad nad järgima isikuandmete kaitse seadust, eelkõige selles osas, et isikuandmeid tuleb koguda üksnes määral, mis on vajalik seadusliku eesmärgi täitmiseks, ja viisil, millega minimeerida üksikisikute privaatsusele avaldatavat mõju (nt isikuandmete kaitse seaduse artikli 3 lõiked 1 ja 6). Täpsemalt tuleb telekommunikatsioonitegevuse seaduse alusel kommunikatsiooni puudutavate andmete saamise taotlus esitada kirjalikult ja selles tuleb ära märkida taotluse põhjused, seos asjaomase kasutajaga ja taotletavate andmete ulatus (246).

(165)

Sideteenuste osutajad ei ole kohustatud selliseid taotlusi täitma ja võivad seda teha ainult kooskõlas isikuandmete kaitse seadusega. See tähendab eeskätt seda, et nad peavad tagama erinevate asjaomaste huvide tasakaalu ega tohi andmeid esitada, kui sellega võidakse ebaõiglaselt riivata üksikisiku või mõne kolmanda isiku huve (247). Selline olukord esineks näiteks siis, kui on selge, et taotluse esitanud ametiasutus kuritarvitab oma volitusi (248). Sideteenuste osutajad peavad säilitama andmeid telekommunikatsioonitegevuse seaduse alusel avalikustatud teabe kohta ning esitama teadus- ja IKT-ministrile selle kohta kaks korda aastas aruandeid (249).

(166)

Peale selle peavad sideteenuste osutajad kooskõlas teatise nr 2021-5 3. jaoga (I lisa) juhul, kui nad taotluse vabatahtlikult täidavad, asjaomast isikut sellest põhimõtteliselt teavitama (250). See omakorda võimaldab üksikisikul teostada oma õigusi, ja juhul kui tema andmeid on ebaseaduslikult avalikustatud, kasutada vastutava töötleja suhtes õiguskaitsevahendeid (näiteks kui vastutav töötleja on andmed avalikustatud isikuandmete kaitse seadust rikkudes või rahuldanud selgelt ebaproportsionaalse taotluse) või õiguskaitseasutuse suhtes (näiteks kui ta on ületanud vajalikkuse ja proportsionaalsuse piire või ei ole järginud telekommunikatsioonitegevuse seaduses sätestatud menetlusnõudeid).

(167)

Korea kriminaalõiguskaitseasutuste kogutud isikuandmete töötlemise suhtes kohaldatakse kõiki isikuandmete kaitse seaduse nõudeid, sealhulgas nõudeid, mis käsitlevad eesmärgi piiritlemist (isikuandmete kaitse seaduse artikli 3 lõiked 1–2), kasutamise seaduslikkust ja andmete kolmandatele isikutele esitamist (isikuandmete kaitse seaduse artiklid 15, 17 ja 18), andmete rahvusvahelist edastamist (isikuandmete kaitse seaduse artiklid 17 ja 18 tõlgendatuna koostoimes teatise nr 2021-5 2. jaoga), (251) proportsionaalsust / võimalikult väheste andmete kogumist (isikuandmete kaitse seaduse artikli 3 lõiked 1 ja 6) ning säilitamise piirangut (isikuandmete kaitse seaduse artikkel 21) (252).

(168)

Mis puudutab sõnumisaladust piiravate meetmete teel saadud sõnumite sisu, siis on sõnumisaladuse kaitse seaduses konkreetselt piiratud sellise sisu võimalik kasutamine raskete kuritegude uurimise, nende eest vastutusele võtmise ja nende vältimisega, (253) samade kuritegudega seotud distsiplinaarmenetlustega, kommunikatsiooni ühe poole esitatud kahjunõuetega ning olukordadega, kui see on konkreetselt lubatud muude seadustega (254). Peale selle võib interneti kaudu edastatavas telekommunikatsioonis kogutud sisu säilitada ainult sõnumisaladust piiravate meetmete võtmise lubanud kohtu loal (255) ning eesmärgiga kasutada seda raskete kuritegude uurimiseks, nende eest vastutusele võtmiseks ja nende vältimiseks (256). Üldiselt on sõnumisaladust piiravate meetmete tulemusel saadud konfidentsiaalse teabe avalikustamine ja sellise teabe kasutamine nende isikute maine kahjustamiseks, kelle vastu meetmed olid suunatud, sõnumisaladuse kaitse seadusega keelatud (257).

(169)

Koreas teevad kriminaalõiguskaitseasutuste tegevuse üle järelevalvet eri organid (258).

(170)

Esiteks teeb politsei üle sisejärelevalvet peainspektor, (259) kes kontrollib seaduslikkust, muu hulgas seoses inimõiguste võimaliku rikkumisega. Peainspektori ametikoht loodi avaliku sektori auditeerimise seaduse rakendamiseks; seadusega julgustatakse sisekontrolli üksuste loomist ja nähakse ette nende koosseisu ja ülesannete erinõuded. Eelkõige nõutakse seadusega, et sisekontrolli üksuse juht määratakse väljastpoolt asjaomast asutust (näiteks endised kohtunikud, professorid) kahe kuni viie aasta pikkuseks ametiajaks, (260) et teda saab ametist vabastada ainult õigustatud põhjustel (näiteks kui ta ei suuda tervislikel põhjustel oma ülesandeid täita või kui tema suhtes on võetud distsiplinaarmeetmeid) (261) ja et talle on tagatud võimalikult suur sõltumatus (262). Sisekontrolli takistamise korral kohaldatakse haldustrahve (263). Kontrolliaruanded (mis võivad sisaldada soovitusi, distsiplinaarmeetmete võtmise taotlusi ja hüvitamise või parandamise taotlusi) edastatakse asjaomase ametiasutuse juhile ja auditi- ja inspektsiooninõukogule (264) ning tehakse üldiselt avalikult kättesaadavaks (265). Auditi- ja kontrollinõukogu tuleb teavitada ka aruande rakendamise tulemustest (266) (vt põhjendus (173) auditi- ja kontrollinõukogu järelevalverolli ja -volituste kohta).

(171)

Teiseks teeb isikuandmete kaitse komisjon järelevalvet selle üle, kas andmete töötlemine kriminaalõiguskaitseasutustes on kooskõlas isikuandmete kaitse seaduse ja muude seadustega, millega üksikisikute privaatsust kaitstakse, sealhulgas selliste seadustega, millega on reguleeritud (elektrooniliste) tõendite kogumine kriminaalõiguskaitse eesmärkidel, nagu on kirjeldatud punktis 3.2.1 (267). Kuna isikuandmete kaitse komisjoni tehtav järelevalve laieneb andmete kogumise ja töötlemise seaduslikkusele ja õiglusele (isikuandmete kaitse seaduse artikli 3 lõige 1), mida rikutakse juhul, kui isikuandmetega tutvumisel ja andmete kasutamisel neid seadusi ei järgita, (268) siis võib komisjon eelkõige uurida punktis 3.2.1 kirjeldatud piiranguid ja kaitsemeetmeid ning tagada nende täitmise (269). Selle järelevalveülesande täitmisel võib isikuandmete kaitse komisjon kasutada kõiki oma uurimisvolitusi ja parandusmeetmete võtmise volitusi, nagu on üksikasjalikult kirjeldatud punktis 2.4.2. Isikuandmete kaitse komisjon teostas juba enne isikuandmete kaitse seaduse hiljutist reformi (st oma varasemas avaliku sektori järelevalve rollis) mitmesugust järelevalvetegevust, mis puudutas isikuandmete töötlemist kriminaalõiguskaitseasutuste poolt, näiteks seoses kahtlusaluste ülekuulamisega (juhtum nr 2013-16, 26. august 2013), üksikisikute teavitamisega haldustrahvide määramisest (juhtum nr 2015-02-04, 26. jaanuar 2015), andmete jagamisega teiste asutustega (juhtum nr 2018-15-146, 9. juuli 2018, juhtum nr 2018-25-308, 10. detsember 2018, juhtum nr 2019-02-015, 29. jaanuar 2019), sõrmejälgede või fotode kogumisega (juhtum nr 2019-17-273, 9. september 2019) ja mehitamata õhusõidukite kasutamisega (juhtum nr 2020-01-004, 13. jaanuar 2020). Nende juhtumite puhul uuris isikuandmete kaitse komisjon isikuandmete kaitse seaduse mitme sätte (näiteks töötlemise seaduslikkuse ning eesmärgi piiritlemise ja võimalikult väheste andmete kogumise põhimõtete), aga ka muude seaduste, näiteks kriminaalmenetluse seaduse asjakohaste sätete täitmist ning esitas vajaduse korral soovitusi töötlemise andmekaitsenõuetega kooskõlla viimiseks.

(172)

Kolmandaks teeb sõltumatut järelevalvet riiklik inimõiguste komisjon, (270) kes võib uurida eraelu puutumatuse ja korrespondentsi saladuse õiguste rikkumist oma üldiste volituste raames kaitsta põhiseaduse artiklites 10–22 sätestatud põhiõigusi. Riiklikul inimõiguste komisjonil on 11 liiget, kes peavad vastama konkreetsetele nõuetele (271) ja kelle nimetab president kooskõlas seaduses sätestatud menetlustega. Neli komisjoni liiget nimetab Rahvuskogu, neli president ja kolm kõrgeima kohtu esimees (272). Komisjoni esimehe määrab president komisjoni liikmete hulgast ja Rahvuskogu peab tema ametisse nimetamise kinnitama (273). Komisjoni liikmed (k.a esimees) nimetatakse kolme aasta pikkuseks ametiajaks, mida võib pikendada, ja neid saab ametist vabastada ainult siis, kui neile on määratud vanglakaristus või kui nad ei suuda enam oma ülesandeid pikaajaliste füüsiliste või vaimsete häirete tõttu täita (sel juhul peab kaks kolmandikku komisjoni liikmetest ametist vabastamisega nõustuma) (274). Uurimise raames võib riiklik inimõiguste komisjon nõuda asjakohaste materjalide esitamist, viia läbi kontrolle ja kutsuda üksikisikuid tunnistusi andma (275). Mis puudutab parandusmeetmete määramise volitusi, siis võib riiklik inimõiguste komisjon anda konkreetsete tegevuspõhimõtete või tavade täiustamiseks või parandamiseks (avalikke) soovitusi, millele ametiasutused peavad vastama kavandatud rakenduskavaga (276). Kui asjaomane asutus soovitusi ei rakenda, peab ta sellest teatama komisjonile, (277) kes võib omakorda teavitada Rahvuskogu rakendamata jätmisest ja/või selle avalikustada. Korea valitsuse esitatud ametlike seisukohtade kohaselt (vt II lisa punkt 2.3.5) täidavad Korea asutused tavaliselt riikliku inimõiguste komisjoni soovitusi ja on selleks väga motiveeritud, sest soovituste rakendamist hinnatakse peaministri büroo volitusel toimuva üldise pideva hindamise raames. Riikliku inimõiguste komisjoni tegevust käsitlevate iga-aastaste näitajate kohaselt teeb komisjon kriminaalõiguskaitseasutuste tegevuse üle aktiivset järelevalvet kas individuaalsete kaebuste põhjal või ametiülesande korras läbiviidavate uurimiste raames (278).

(173)

Neljandaks teeb ametiasutuste tegevuse seaduslikkuse üle üldist järelevalvet auditi- ja kontrollinõukogu, kes kontrollib riigi tulusid ja kulusid, aga üldisemalt ka ametiasutuste ülesannete täitmist eesmärgiga parandada avaliku halduse toimimist (279). Auditi- ja kontrollinõukogu on ametlikult loodud Korea Vabariigi presidendi alluvuses, kuid on oma ülesannete täitmisel sõltumatu (280). Peale selle on ta täielikult sõltumatu oma töötajate ametisse nimetamisel ja ametist vabastamisel ning personali korraldamisel ja oma eelarve koostamisel (281). Auditi- ja kontrollinõukogusse kuuluvad eesistuja (kelle nimetab president Rahvuskogu nõusolekul) (282) ja kuus liiget (kelle nimetab president eesistuja soovitusel), (283) kes peavad vastama konkreetsetele seaduses sätestatud nõuetele (284) ning keda saab ametist vabastada ainult tagandamise, vanglakaristuse määramise või suutmatuse korral oma ülesandeid pikaajaliste vaimsete või füüsiliste häirete tõttu täita (285). Auditi- ja kontrollinõukogu teeb igal aastal üldise auditi, kuid võib viia läbi ka spetsiaalseid auditeid erilist huvi pakkuvates küsimustes. Auditeerimisel või inspekteerimisel võib auditi- ja kontrollinõukogu nõuda dokumentide esitamist ja üksikisikute kohaletulekut (286). Auditi- ja kontrollinõukogu võib esitada soovitusi, nõuda distsiplinaarmeetmete võtmist või esitada kriminaalkaebuse (287).

(174)

Samuti teeb Rahvuskogu ametiasutuste üle parlamentaarset järelevalvet, uurides ja inspekteerides (288) nende tegevust (289). Rahvuskogu võib taotleda dokumentide avalikustamist, nõuda tunnistajate kohaleilmumist, (290) soovitada parandusmeetmeid (kui ta järeldab, et toimunud on ebaseaduslik või sobimatu tegevus) (291) ja avalikustada oma järeldused (292). Kui Rahvuskogu taotleb parandusmeetmete võtmist, mis võivad hõlmata näiteks hüvitise määramist, distsiplinaarmeetmete võtmist või sisemenetluste täiustamist, peab asjaomane ametiasutus viivitamata tegutsema ja Rahvuskogule tulemustest aru andma (293).

(175)

Korea süsteem pakub erinevaid (kohtulikke) võimalusi, et saada probleemi korral abi, sealhulgas kahju hüvitamist.

(176)

Esiteks antakse isikuandmete kaitse seadusega üksikisikutele õigus kriminaalõiguskaitse eesmärgil töödeldavate isikuandmetega tutvuda ning lasta neid parandada, kustutada ja nende töötlemine peatada (294).

(177)

Teiseks saavad üksikisikud kasutada mitmesuguseid isikuandmete kaitse seadusega pakutavaid õiguskaitsemehhanisme, kui kriminaalõiguskaitseasutus on nende andmete töötlemisel rikkunud isikuandmete kaitse seadust või piiranguid ja kaitsemeetmeid, mis on sätestatud muudes isikuandmete kogumist reguleerivates seadustes (st kriminaalmenetluse seaduses või sõnumisaladuse seaduses) (vt põhjendus (171)). Eelkõige võivad üksikisikud esitada kaebuse isikuandmete kaitse komisjonile (muu hulgas Korea interneti- ja turbeameti hallatava privaatsusküsimuste kõnekeskuse kaudu (295)) või isikuandmetega seotud vaidluste vahendamise komiteele (296). Nende õiguskaitsevõimaluste suhtes ei kohaldata täiendavaid vastuvõetavusnõudeid. Lisaks saavad üksikisikud isikuandmete kaitse komisjoni otsused või tegevusetuse halduskohtumenetluse seaduse alusel edasi kaevata / vaidlustada (vt põhjendus (132)).

(178)

Kolmandaks võib igaüks (297) esitada riiklikule inimõiguste komisjonile kaebuse, kui ta leiab, et Korea kriminaalõiguskaitseasutus on rikkunud eraelu puutumatuse õigust või andmekaitseõigust. Riiklik inimõiguste komisjon võib soovitada asjakohase õigusnormi, asutuse, tegevuspõhimõtte või tava parandamist või täiustamist (298) või selliste heastamisvahendite rakendamist nagu vahendus, (299) inimõiguste rikkumise lõpetamine, kahju hüvitamine või meetmed samade või sarnaste rikkumiste kordumise vältimiseks (300). Korea valitsuse ametlike seisukohtade kohaselt (II lisa punkt 2.4.2) võib see hõlmata ka ebaseaduslikult kogutud isikuandmete kustutamist. Kuigi riiklikul inimõiguste komisjonil ei ole volitusi teha õiguslikult siduvaid otsuseid, pakub see mitteametlikumat, taskukohasemat ja hõlpsamalt kasutatavat õiguskaitsevõimalust, eelkõige seetõttu, et komisjon ei nõua kaebuse uurimiseks kahju tegelikku tõendamist, nagu on selgitatud II lisa punktis 2.4.2 (301). Sellega tagatakse, et üksikisikute kaebusi nende andmete kogumise kohta on võimalik uurida isegi juhul, kui isik ei suuda tõendada, et tema andmeid on tõepoolest kogutud (näiteks kuna asjaomast isikut ei ole veel teavitatud). Riikliku inimõiguste komisjoni iga-aastastest tegevusaruannetest ilmneb, et üksikisikud ka kasutavad seda võimalust, et vaidlustada kriminaalõiguskaitseasutuste tegevust, sealhulgas isikuandmete menetlemisega seotud tegevust (302). Kui isik ei ole riiklikus inimõiguste komisjonis läbiviidud menetluse tulemusega rahul, võib ta komisjoni otsused (näiteks otsuse kaebuse uurimist mitte jätkata (303)) ja soovitused halduskohtumenetluse seaduse alusel Korea kohtutes vaidlustada (vt põhjendus (181)) (304). Peale selle võib riiklikus inimõiguste komisjonis läbiviidud menetlus täiendavalt hõlbustada kohtu poole pöördumist, sest üksikisik saab riikliku inimõiguste komisjoni järelduste põhjal taotleda täiendavaid õiguskaitsevahendeid tema andmeid ebaseaduslikult töödelnud ametiasutuse vastu kooskõlas põhjendustes (181)–(183) kirjeldatud menetlustega.

(179)

Samuti saab kasutada erinevaid kohtulikke õiguskaitsevahendeid, mis võimaldavad üksikisikutel tugineda õiguskaitse saamiseks punktis 3.2.1 kirjeldatud piirangutele ja kaitsemeetmetele (305).

(180)

Seoses arestimisega (sealhulgas andmete arestimisega) on kriminaalmenetluse seadusega ette nähtud võimalus vaielda kohtumääruse täitmisele vastu või see vaidlustada nn kvaasikaebuse teel, esitades pädevale kohtule taotluse prokuröri või politsei otsuse tühistamiseks või muutmiseks (306).

(181)

Üldisemalt võivad üksikisikud vaidlustada ametiasutuste (sealhulgas kriminaalõiguskaitseasutuste) tegevuse (307) või tegevusetuse (308) halduskohtumenetluse seaduse alusel (309). Haldusmeedet käsitatakse nn otsusena, mida on võimalik vaidlustada juhul, kui see otseselt mõjutab kodanikuõigusi ja -kohustusi, (310) mis Korea valitsuse kinnitusel (II lisa punkt 2.4.3) kehtib isikuandmete kogumise meetmete puhul, olgu tegemist andmete otsese kogumisega (näiteks kommunikatsiooni pealtkuulamise teel) või nende kogumisega (näiteks teenuseosutajale esitatud) siduvate avalikustamistaotluste või vabatahtliku koostöö taotluste kaudu. Selleks, et halduskohtumenetluse seaduse alusel esitatud kaebus oleks vastuvõetav, peab isikul olema hagi esitamiseks põhjendatud huvi (311). Kõrgeima kohtu praktika kohaselt tõlgendatakse „põhjendatud huvi“ kui „õiguslikult kaitstud huvi“, see tähendab otsest ja konkreetset huvi, mis on kaitstud õigusnormidega, millele halduslik otsus tugineb (mis tähendab, et tegemist ei tohi olla üldiste, kaudsete ja abstraktsete avalikkuse huvidega) (312). Üksikisikutel on selline põhjendatud huvi juhul, kui nende isikuandmete kriminaalõiguskaitse eesmärgil (eriseaduste või isikuandmete kaitse seaduse alusel) kogumisel rikutakse kohaldatavaid piiranguid ja kaitsemeetmeid. Halduskohtumenetluse seaduse alusel võib kohus otsustada ebaseadusliku otsuse tühistada või seda muuta, teha otsuse see tühiseks tunnistada (ehk leida, et otsusel puudub õigusmõju või et selline mõju õiguskorras puudub) või teha otsuse, et tegevusetus on ebaseaduslik (313). Halduskohtumenetluse seaduse alusel tehtud lõplik kohtuotsus on pooltele siduv (314).

(182)

Lisaks valitsuse tegevuse vaidlustamisele halduskohtumenetluse kaudu võivad üksikisikud esitada konstitutsioonikohtule ka põhiseaduspärasust käsitleva kaebuse seoses nende põhiõiguste rikkumisega valitsuse võimu teostamise või teostamata jätmise (välja arvatud kohtuotsuste) tulemusel (315). Kui kasutada saab muid õiguskaitsevahendeid, siis tuleb kõigepealt teha seda. Konstitutsioonikohtu praktika kohaselt võivad välisriikide kodanikud esitada põhiseaduspärasust käsitleva kaebuse juhul, kui nende põhiõigusi Korea põhiseaduse alusel tunnustatakse (vt punktis 1.1 esitatud selgitused) (316). Konstitutsioonikohus võib tunnistada kehtetuks valitsuse võimu teostamise, mille tulemusel rikkumine aset leidis, või kinnitada, et teatav tegevusetus on põhiseadusvastane (317). Sellisel juhul peab asjaomane asutus võtma meetmeid kohtu otsuse täitmiseks.

(183)

Lisaks võivad üksikisikud nõuda Korea kohtutes kahjude hüvitamist. See hõlmab eelkõige võimalust nõuda hüvitist kriminaalõiguskaitseasutuste poolse isikuandmete kaitse seaduse rikkumise eest kooskõlas artikliga 39 (vt ka põhjendus (135)). Üldisemalt võivad üksikisikud taotleda riigilt hüvitise saamise seaduse alusel hüvitist kahju eest, mida on tekitanud ametiisikud, kes on oma ametiülesannete täitmisel seadust rikkunud (vt ka põhjendus (135)) (318).

(184)

Põhjendustes (176)–(183) kirjeldatud mehhanismid annavad andmesubjektidele tõhusad halduslikud ja kohtulikud õiguskaitsevahendid, mis võimaldavad neil eelkõige panna maksma oma õigused, sealhulgas õigus tutvuda oma isikuandmetega või lasta selliseid andmeid parandada või kustutada.

(185)

Korea Vabariigi õigus sisaldab mitut piirangut ja kaitsemeedet seoses isikuandmetega tutvumise ja nende kasutamisega riigi julgeoleku eesmärgil ning sellega on ette nähtud järelevalve- ja õiguskaitsemehhanismid, mis vastavad käesoleva otsuse põhjendustes (141)–(143) osutatud nõuetele. Tingimusi, mille korral andmetega võib tutvuda, ning kõnealuste volituste kasutamise suhtes kohaldatavaid kaitsemeetmeid on üksikasjalikult hinnatud järgnevates punktides.

(186)

Korea Vabariigis võib isikuandmetega riigi julgeoleku eesmärkidel tutvuda vastavalt sõnumisaladuse kaitse seadusele, telekommunikatsioonitegevuse seadusele ning terrorismivastasele seadusele kodanike ja avalik julgeoleku tagamiseks (edaspidi „terrorismivastase võitluse seadus“) (319). Peamine riigi julgeoleku valdkonnas pädevust omav asutus (320) on riiklik luureteenistus (321). Riiklik luureteenistus peab isikuandmete kogumisel ja kasutamisel järgima asjakohaseid õigusnõudeid (sealhulgas isikuandmete kaitse seadust ja sõnumisaladuse kaitse seadust) (322) ning üldiseid suuniseid, mille on koostanud president ja läbi vaadanud Rahvuskogu (323). Üldpõhimõttena peab riiklik luureteenistus säilitama poliitilise neutraalsuse ning kaitsma üksikisikute vabadust ja õigusi (324). Peale selle ei tohi riikliku luureteenistuse töötajad kuritarvitada oma ametivolitusi selleks, et sundida mis tahes asutust, organisatsiooni või üksikisikut tegema midagi sellist, mida nad ei ole (seaduse alusel) kohustatud tegema, ega takistada ühelgi isikul oma õigusi teostada (325).

(187)

Sõnumisaladuse kaitse seaduse alusel võivad Korea ametiasutused (326) koguda sideandmeid (see tähendab side kuupäev, selle algus- ja lõpuaeg, välja läinud ja sisse tulnud kõnede arv, samuti teise isiku tarbija number, kasutussagedus, sideteenuste kasutamise logid ja asukohateave, vt põhjendus (155)) ja sõnumite sisu (sõnumisaladust piiravate meetmete kaudu, vt põhjendus (155)) riigi julgeoleku eesmärkidel (nagu on kindlaks määratud riikliku luureteenistuse volitustega, vt joonealune märkus nr 322 eespool). Need volitused laienevad kahte liiki teabele: 1) kommunikatsioon, mille üks pool või mõlemad pooled on Korea kodanikud, (327) ja 2) a) Korea Vabariigi suhtes vaenulike riikide kommunikatsioon, b) välisriikide selliste agentuuride, rühmade või kodanike kommunikatsioon, keda kahtlustatakse Korea-vastases tegevuses, (328) või c) selliste rühmade liikmete kommunikatsioon, kelle tegevus toimub Korea poolsaarel, ent sisuliselt väljaspool Korea Vabariigi jurisdiktsiooni, ja nende välisriikides asuvate katusorganisatsioonide liikmete kommunikatsioon (329). ELis asuvate isikute kommunikatsioon, mida käesoleva otsuse alusel liidust Korea Vabariiki edastatakse, saab sõnumisaladuse kaitse seaduse alusel riigi julgeoleku eesmärkidel seega (põhjendustes (188)–(192) kirjeldatud tingimustel) koguda üksnes juhul, kui see toimub ELis asuva isiku ja Korea kodaniku vahel, või juhul, kui see on seotud ainult muude riikide kui Korea kodanikega, kui see kuulub mõnda punkti 2 alapunktides a, b või c nimetatud kategooriasse.

(188)

Mõlema stsenaariumi korral võib sideandmeid koguda ainult riigi julgeoleku ohtude vältimiseks, (330) samal ajal kui sõnumisaladust piiravaid meetmeid võib võtta üksnes siis, kui esineb tõsine oht riigi julgeolekule ja andmete kogumine on vajalik selle vältimiseks (331). Peale selle võib sõnumite sisuga tutvuda ainult viimase abinõuna ja teha tuleb jõupingutusi selle nimel, et minimeerida sõnumisaladusele rikkumist, (332) tagades seeläbi selle proportsionaalsuse taotletava riigi julgeoleku eesmärgiga. Nii sõnumite sisu kui ka sideandmete kogumine võib kesta maksimaalselt neli kuud ja see tuleb viivitamata lõpetada, kui taotletav eesmärk täidetakse varem (333). Kui asjaomased tingimused on jätkuvalt täidetud, võib seda ajavahemikku kohtu (põhjenduses (189) kirjeldatud meetmete puhul) või presidendi (põhjenduses (190) kirjeldatud meetmete puhul) eelneval loal kuni nelja kuu võrra pikendada (334).

(189)

Sideandmete ja sõnumite sisu kogumise suhtes kohaldatakse samu menetluslikke kaitsemeetmeid (335). Eelkõige peab luureasutus juhul, kui vähemalt üks kommunikatsioonis osalev isik on Korea kodanik, esitama kirjaliku taotluse peaprokuratuurile, kes omakorda peab taotlema kohtumäärust kõrgema kohtu esimehelt (336). Sõnumisaladuse kaitse seaduses on loetletud teave, mis tuleb esitada prokurörile suunatud taotluses, kohtumääruse taotluses ja kohtumääruses endas ning mis eelkõige hõlmab taotluse põhjendust ja kahtlustuse peamisi aluseid, tõendeid ning kavandatava meetme eesmärki, objekti (st isikut (isikuid), kellele meede on suunatud), ulatust ja kestust käsitlevat teavet (337). Ilma kohtumääruseta tohib andmeid koguda ainult siis, kui tegemist on riigi julgeolekut ohustava vandenõuga ja eriolukorra tõttu on võimatu eespool nimetatud menetlusi järgida (338). Ka sellisel juhul tuleb aga esitada kohtumääruse taotlus vahetult pärast meetme võtmist (339). Seega on sõnumisaladuse kaitse seaduses selgelt määratletud seda liiki andmekogumise ulatus ja tingimused ning selle suhtes kohaldatakse konkreetseid (menetluslikke) kaitsemeetmeid, sealhulgas kohtu eelnevat nõusolekut, millega tagatakse, et sellised meetmed piirduvad vajaliku ja proportsionaalsega. Peale selle välistatakse nõudega, et nii kohtumääruse taotluses kui ka kohtumääruses endas tuleb esitada üksikasjalikku teavet, andmetele juhusliku juurdepääsu võimalus.

(190)

Muude riikide kui Korea kodanike vahelise kommunikatsiooni puhul, mis kuulub mõnda põhjenduses (187) loetletud kolme konkreetsesse kategooriasse, tuleb esitada taotlus riikliku luureameti direktorile, kes peab pärast kavandatud meetmete asjakohasuse läbivaatamist taotlema Korea Vabariigi presidendi eelnevat kirjalikku heakskiitu (340). Luureameti koostatud taotlus peab sisaldama samasugust üksikasjalikku teavet kui kohtumääruse taotlus (vt põhjendus (189)), eelkõige teavet taotluse põhjuste ja kahtlustuse peamiste aluste kohta, tõendeid ning teavet kavandatud meetmete eesmärkide, ulatuse ja kestuse ning isiku(te) kohta, kellele meetmed on suunatud (341). Eriolukordades (342) tuleb saada selle ministri eelnev heakskiit, kelle alluvusse asjaomane luureamet kuulub, kuigi luureamet peab viivitamata pärast erakorraliste meetmete võtmist taotlema presidendi nõusolekut (343). Seega isegi siis, kui kogutakse üksnes muude kui Korea kodanike vahelist kommunikatsiooni, on sõnumisaladuse kaitse seadusega kõnealuste meetmete kasutamine piiratud vajaliku ja proportsionaalsega, piirates selgelt nende isikute kategooriad, kelle suhtes selliseid meetmeid võib võtta, ning kehtestades üksikasjalikud kriteeriumid, mida luureametid peavad teabe kogumise taotluse põhjendamiseks tõendama. Ka sellega välistatakse juhusliku juurdepääsu võimalus. Kuigi selliste meetmete kohta ei anta eelnevat sõltumatut heakskiitu, on tagatud järgnev sõltumatu järelevalve eelkõige isikuandmete kaitse komisjoni ja riikliku inimõiguste komisjoni poolt (vt näiteks põhjendused (199)–(200)).

(191)

Lisaks on sõnumisaladuse kaitse seaduses kehtestatud mitu täiendavat kaitsemeedet, mis toetavad pärast meetme võtmist tehtavat järelevalvet ja hõlbustavad üksikisikute juurdepääsu tõhusatele õiguskaitsevahenditele. Esiteks on sõnumisaladuse kaitse seadusega ette nähtud mitmesugused andmete säilitamist ja aruandlust käsitlevad nõuded. Eelkõige peavad luureametid eraettevõtjate koostöö taotlemisel esitama kohtumääruse / presidendi loa või eriolukorras toimuvat tsensuuri puudutava avalduse esilehe koopia, mille üksus, kellelt koostööd nõutakse, peab oma toimikutes säilitama (344). Kui eraettevõtjatelt nõutakse koostöö tegemist, siis peavad nii taotlev ametiasutus kui ka asjaomane ettevõtja säilitama andmeid meetmete eesmärgi, objekti ja nende elluviimise kuupäeva kohta (345). Peale selle peavad luureametid kogutud teabe ja jälgimistegevuse kohta riikliku luureteenistuse direktorile aru andma (346).

(192)

Teiseks tuleb üksikisikuid teavitada nende andmete (sideandmed või sõnumite sisu) riigi julgeoleku eesmärgil kogumisest, kui tegemist on kommunikatsiooniga, mille puhul vähemalt üks osapool on Korea kodanik (347). Nimetatud teade tuleb esitada kirjalikult 30 päeva jooksul alates andmete kogumise lõpetamise kuupäevast (sealhulgas juhul, kui andmeid saadi erakorralise menetluse teel) ning teavitamist tohib edasi lükata ainult juhul kui ja kuni teavitamine ohustaks riigi julgeolekut või kahjustaks inimeste elu või füüsilist turvalisust (348). Olenemata kõnealusest teavitamisest on üksikisikutel õiguskaitse kasutamiseks eri võimalusi, nagu on üksikasjalikumalt selgitatud punktis 3.3.4.

(193)

Terrorismivastase võitluse seadusega on ette nähtud, et riiklik luureteenistus võib koguda andmeid terrorismis kahtlustatavate isikute (349) kohta, järgides muudes seadustes sätestatud piiranguid ja kaitsemeetmeid (350). Eelkõige võib riiklik luureteenistus hankida kommunikatsiooni puudutavaid andmeid (sõnumisaladuse kaitse seaduse alusel) ja muid isikuandmeid (vabatahtliku avalikustamise taotluse esitamise teel) (351). Kommunikatsiooni puudutava teabe (st sõnumite sisu või sideandmete) kogumise puhul kohaldatakse punktis 3.3.1.1 kirjeldatud piiranguid ja kaitsemeetmeid, sealhulgas nõuet hankida kohtumäärus. Terrorismis kahtlustatavaid isikuid käsitlevate muud liiki isikuandmete vabatahtliku avalikustamise taotluste puhul peab riiklik luureteenistus järgima põhiseaduses ja isikuandmete kaitse seaduses sätestatud vajalikkuse ja proportsionaalsuse nõudeid (vt põhjendus (164)) (352). Vastutavad töötlejad, kes sellise taotluse saavad, võivad selle rahuldada vabatahtlikkuse alusel isikuandmete kaitse seaduses sätestatud tingimustel (näiteks kooskõlas võimalikult väheste andmete kogumise põhimõttega ja piirates üksikisiku privaatsusele avaldatavat mõju) (353). Sellisel juhul peavad nad järgima ka teatisest nr 2021-5 tulenevat nõuet asjaomast isikut teavitada (vt põhjendus (166)).

(194)

Telekommunikatsioonitegevuse seaduse alusel võivad sideteenuste osutajad vabatahtlikult avalikustada abonendiandmeid (vt põhjendus (163)) luureameti taotlusel, kes kogub seda teavet riigi julgeolekuga seotud ohu ennetamiseks (354). Kui selliseid taotlusi esitab riiklik luureteenistus, siis kohaldatakse samu (põhiseadusest, isikuandmete kaitse seadusest ja telekommunikatsioonitegevuse seadusest tulenevaid) piiranguid kui kriminaalõiguskaitse valdkonnas, nagu on kirjeldatud põhjenduses (164) (355). Sideteenuste osutajatel ei ole kohustust taotlust rahuldada ja nad võivad seda teha ainult isikuandmete kaitse seaduses sätestatud tingimustel (eelkõige kooskõlas võimalikult väheste andmete kogumise põhimõttega ja piirates üksikisiku privaatsusele avaldatavat mõju, vt ka põhjendus (193)). Andmete säilitamise ja asjaomase isiku teavitamise puhul kehtivad samad nõuded kui kriminaalõiguskaitse valdkonnas (vt põhjendused (165) ja (166)).

(195)

Nende isikuandmete töötlemise suhtes, mida Korea ametiasutused koguvad riigi julgeoleku eesmärgil, kohaldatakse eesmärgi piiritlemise (isikuandmete kaitse seaduse artikli 3 lõiked 1–2), seaduslikkuse ja õigluse (artikli 3 lõige 1), proportsionaalsuse / võimalikult väheste andmete kogumise (artikli 3 lõiked 1 ja 6 ning artikkel 58), õigsuse (artikli 3 lõige 3), läbipaistvuse (artikli 3 lõige 5), turvalisuse (artikli 58 lõige 4) ja säilitamise piirangu (artikli 58 lõige 4) põhimõtteid (356). Isikuandmete võimalik avalikustamine kolmandatele isikutele (sealhulgas kolmandatele riikidele) võib toimuda ainult kooskõlas nende põhimõtetega (eelkõige eesmärgi piiritlemise ja võimalikult väheste andmete kogumise põhimõtetega) pärast vajalikkuse ja proportsionaalsuse põhimõtete järgimise hindamist (põhiseaduse artikli 37 lõige 2) ning võttes arvesse mõju asjaomaste isikute õigustele (isikuandmete kaitse seaduse artikli 3 lõige 6).

(196)

Seoses sõnumite sisuga ja sideandmetega on sõnumisaladuse kaitse seadusega selliste andmete kasutamine täiendavalt piiratud kohtumenetlustega, kui kommunikatsiooni pool tugineb sellistele andmete kahjunõude puhul, või muude seadustega lubatud olukordadega (357).

(197)

Korea riikliku julgeoleku asutuste üle teevad järelevalvet eri organid (358).

(198)

Esiteks nähakse terrorismivastase võitluse seadusega ette konkreetsed järelevalvemehhanismid terrorismivastase võitluse jaoks, sealhulgas terrorismis kahtlustatavaid isikuid käsitlevate andmete kogumine. Eelkõige teeb täidesaatval tasandil terrorismivastase võitluse üle järelevalvet terrorismivastase võitluse komisjon, (359) kellele riikliku luureteenistuse direktor peab terrorismis kahtlustatavate isikute uurimise ja jälgimise kohta aru andma, et koguda terrorismivastaseks võitluseks vajalikku teavet või materjali (360). Peale selle teeb inimõiguste kaitse eest vastutav ametnik spetsiaalselt järelevalvet selle üle, et terrorismivastases tegevuses järgitaks põhiõigusi (361). Inimõiguste kaitse eest vastutava ametniku nimetab terrorismivastase võitluse komisjoni eesistuja isikute hulgast, kes vastavad terrorismivastase võitluse seaduse rakendusmääruses loetletud konkreetsetele tingimustele, (362) kahe aasta pikkuseks (pikendatavaks) ametiajaks ning ta saab ametist vabastada üksnes konkreetsetel piiratud alustel ja piisava põhjuse korral (363). Oma järelevalveülesannete täitmisel võib inimõiguste kaitse eest vastutav ametnik esitada üldisi soovitusi inimõiguste kaitse parandamise kohta (364) ja konkreetseid soovitusi parandusmeetmete kohta juhul, kui on tuvastatud inimõiguste rikkumine (365). Ametiasutused peavad teavitama inimõiguste kaitse eest vastutavat ametnikku tema soovituste põhjal võetud järelmeetmetest (366).

(199)

Teiseks teeb isikuandmete kaitse komisjon järelevalvet selle üle, kas riikliku julgeoleku asutused täidavad andmekaitsenorme, mis hõlmavad nii isikuandmete kaitse seaduse kohaldatavaid sätteid (vt põhjendus (149)) kui ka muude seaduste (sõnumisaladuse kaitse seaduse, terrorismivastase võitluse seaduse ja telekommunikatsioonitegevuse seaduse) alusel isikuandmete kogumise suhtes kohaldatavaid piiranguid ja kaitsemeetmeid (vt ka põhjendus (171)) (367). Selle järelevalveülesande täitmisel võib isikuandmete kaitse komisjon kasutada kõiki oma uurimisvolitusi ja parandusmeetmete võtmise volitusi, nagu on üksikasjalikult kirjeldatud punktis 2.4.2.

(200)

Kolmandaks teeb riikliku julgeoleku asutuste üle kooskõlas põhjenduses (172) kirjeldatud menetlustega sõltumatut järelevalvet riiklik inimõiguste komisjon (368).

(201)

Neljandaks laieneb auditi- ja kontrollinõukogu järelevalvefunktsioon riikliku julgeoleku asutustele, kuigi riiklik luureteenistus võib teatava teabe või materjali esitamisest keelduda erakorralistel asjaoludel, see tähendab siis, kui tegemist on riigisaladusega, millel oleks avalikuks saamise korral suur mõju riigi julgeolekule (369).

(202)

Samuti teeb riikliku luureteenistuse tegevuse üle parlamentaarset järelevalvet Rahvuskogu (spetsialiseerunud luurekomitee kaudu) (370). Sõnumisaladuse kaitse seadusega on kehtestatud Rahvuskogu konkreetne järelevalveroll, mis puudutab sõnumisaladust piiravate meetmete kasutamist riigi julgeoleku eesmärkidel (371). Eelkõige võib Rahvuskogu teha pealtkuulamise seadmete kohapealseid kontrolle ja nõuda nii riiklikult luureteenistuselt kui ka sõnumite sisu avalikustanud sideteenuste osutajatelt vastavate aruannete esitamist. Samuti võib Rahvuskogu teostada oma üldist järelevalvefunktsiooni (kooskõlas põhjenduses (174) kirjeldatud menetlustega). Riikliku luureteenistuse seaduse kohaselt peab riikliku luureteenistuse direktor juhul, kui luurekomitee nõuab teatava teema kohta aruannet, viivitamata vastama, (372) kusjuures eriti tundliku teabe suhtes kehtivad erinormid. Täpsemalt võib riikliku luureteenistuse direktor vastamisest või komitee ees tunnistuse andmisest keelduda ainult erakorralistel asjaoludel, see tähendab siis, kui taotlus käsitleb riigisaladusi, mis on seotud sõjaväeliste, diplomaatiliste või Põhja-Koread puudutavate küsimustega, mille avalikuks saamine võiks oluliselt mõjutada „riigi saatust“ (373). Sellisel juhul võib luurekomitee peaministrilt selgitusi küsida ja kui seitsme päeva jooksul selgitusi ei saada, siis ei ole võimalik vastamisest või tunnistuse andmisest keelduda.

(203)

Korea süsteem pakub ka riigi julgeoleku valdkonnas erinevaid (kohtulikke) võimalusi, et saada probleemi korral abi, sealhulgas kahju hüvitamist. Need mehhanismid annavad andmesubjektidele tõhusad halduslikud ja kohtulikud õiguskaitsevahendid, mis võimaldavad neil eelkõige panna maksma enda õigused, sealhulgas oma isikuandmetega tutvumise või selliste andmete parandamise või kustutamise õigus.

(204)

Esiteks saavad üksikisikud isikuandmete kaitse seaduse artikli 3 lõike 5 ning artikli 4 lõigete 1, 3 ja 4 alusel kasutada riiklike julgeolekuasutuste suhtes oma õigust andmetega tutvuda ning lasta neid parandada, kustutada ja nende töötlemine peatada. Teatise nr 2021-5 6. jaos (käesoleva otsuse I lisa) on täiendavalt selgitatud, kuidas need õigused kehtivad, kui andmeid töödeldakse riigi julgeoleku eesmärgil. Eelkõige võib riiklik julgeolekuasutus õiguse kasutamist piirata või keelata juhul ja nii kaua, kui see on avalikku huvi pakkuva olulise eesmärgi täitmiseks vajalik ja proportsionaalne (näiteks juhul ja nii kaua, kui õiguse andmine seaks ohtu poolelioleva uurimise või ohustaks riigi julgeolekut) või kui õiguse andmine võib kahjustada kolmanda isiku elu või tervist. Seega tuleb sellisele piirangule tuginemise korral viia tasakaalu üksikisiku õigused ja huvid ning asjaomased avalikud huvid ning igal juhul ei tohi see mõjutada õiguse põhiolemust (põhiseaduse artikli 37 lõige 2). Taotluse rahuldamisest keeldumise või selle piiramise korral tuleb üksikisikut viivitamata teavitada selle põhjustest.

(205)

Teiseks on üksikisikutel isikuandmete kaitse seaduse alusel õigus kasutada õiguskaitsevahendeid, kui riiklik julgeolekuasutus on nende andmete töötlemisel rikkunud isikuandmete kaitse seadust või muudes isikuandmete kogumist reguleerivates seadustes (eelkõige sõnumisaladuse kaitse seaduses, vt põhjendus (171)) sisalduvaid piiranguid ja kaitsemeetmeid (374). Seda õigust saab teostada, esitades kaebuse isikuandmete kaitse komisjonile (muu hulgas Korea interneti- ja turbeameti hallatava privaatsusküsimuste kõnekeskuse kaudu) (375). Et ELi kodanikel oleks hõlpsam Korea riiklike julgeolekuasutuste suhtes õiguskaitset kasutada, võivad nad peale selle esitada isikuandmete kaitse komisjonile kaebuse oma riigi andmekaitseasutuse kaudu (376). Sellisel juhul teavitab isikuandmete kaitse komisjon üksikisikut pärast uurimise lõpuleviimist (esitades vajaduse korral muu hulgas teabe kehtestatud parandusmeetmetest) riikliku andmekaitseasutuse kaudu. Lisaks saavad üksikisikud isikuandmete kaitse komisjoni otsused või tegevusetuse halduskohtumenetluse seaduse alusel edasi kaevata / vaidlustada (vt põhjendus (132)).

(206)

Kolmandaks võivad üksikisikud esitada oma eraelu puutumatuse / andmekaitse õiguse rikkumise kohta terrorismivastase tegevuse kontekstis kaebuse inimõiguste kaitse eest vastutavale ametnikule (terrorismivastase võitluse seaduse alusel), kes võib soovitada parandusmeetmeid (377). Kuna inimõiguste kaitse eest vastutavale ametnikule kaebuse esitamisel vastuvõetavusnõudeid ei kohaldata, menetletakse kaebust ka siis, kui asjaomane isik ei suuda tõendada, et ta on tegelikult kahju kannatanud (näiteks seetõttu, et riiklik julgeolekuasutus on tema andmeid väidetavalt kogunud ebaseaduslikult) (378). Asjaomane asutus peab teavitama inimõiguste kaitse eest vastutavat ametnikku kõikidest meetmetest, mis tema soovituste rakendamiseks võetakse.

(207)

Neljandaks võivad üksikisikud esitada kaebuse riiklikule inimõiguste komisjonile selle kohta, et riiklikud julgeolekuasutused on kogunud tema andmeid, ja saada õiguskaitset kooskõlas põhjenduses (178) kirjeldatud menetlusega (379).

(208)

Samuti saab kasutada erinevaid kohtulikke õiguskaitsevahendeid, (380) mis võimaldavad üksikisikutel tugineda õiguskaitse saamiseks punktis 3.3.1 kirjeldatud piirangutele ja kaitsemeetmetele. Eelkõige võivad üksikisikud vaidlustada riiklike julgeolekuasutuste tegevuse seaduslikkuse halduskohtumenetluse seaduse alusel (kooskõlas põhjenduses (181) kirjeldatud menetlusega) või konstitutsioonikohtu seaduse alusel (vt põhjendus (182)). Peale selle võivad nad saada kahjuhüvitist riigilt hüvitise saamise seaduse alusel (nagu on üksikasjalikumalt kirjeldatud põhjenduses (183)).

(209)

Komisjon leiab, et isikuandmete kaitse seaduse, teatavate sektorite suhtes kohaldatavate erinormide (mida on analüüsitud punktis 2) ja teatises nr 2021-5 (I lisa) esitatud täiendavate kaitsemeetmete kaudu tagab Korea Vabariik Euroopa Liidust edastatavate isikuandmete kaitsetaseme, mis on sisuliselt samaväärne määruse (EL) 2016/679 alusel tagatud kaitsetasemega.

(210)

Lisaks leiab komisjon, et Korea õigusega ette nähtud järelevalvemehhanismid ja õiguskaitse saamise võimalused tervikuna võimaldavad Korea vastutavate töötlejate poolseid andmekaitsenormide rikkumisi praktikas tuvastada ja kõrvaldada ning pakuvad andmesubjektile õiguskaitsevahendeid oma isikuandmetega tutvumiseks ning vajaduse korral nende parandamiseks või kustutamiseks.

(211)

Samuti leiab komisjon Korea õigussüsteemi kohta kättesaadava teabe, sealhulgas II lisas esitatud Korea valitsuse seisukohtade, kinnituste ja kohustuste põhjal, et Korea ametiasutuste poolne avaliku huvi ning eriti kriminaalõiguskaitse ja riigi julgeoleku eesmärkidel sekkumine nende üksikisikute põhiõigustesse, kelle isikuandmeid Euroopa Liidust Korea Vabariiki edastatakse, piirdub asjaomase seadusliku eesmärgi täitmiseks rangelt vajalikuga ning tagatud on tõhus õiguskaitse sellise sekkumise vastu.

(212)

Seepärast tuleks käesolevas otsuses tehtud järelduste põhjal otsustada, et Korea Vabariik tagab piisava kaitsetaseme määruse (EL) 2016/679 artikli 45 tähenduses, tõlgendatuna Euroopa Liidu põhiõiguste hartat arvesse võttes, neile isikuandmetele, mida edastatakse Euroopa Liidust Korea Vabariigis asuvatele isikuandmete vastutavatele töötlejatele, kelle suhtes isikuandmete kaitse seadust kohaldatakse, võtmata arvesse usuorganisatsioone juhul, kui nad töötlevad isikuandmeid misjonitegevuse eesmärgil, erakondi juhul, kui nad töötlevad isikuandmeid seoses kandidaatide nimetamisega, ja vastutavaid töötlejaid, kelle üle teeb isiku krediiditeabe töötlemisel krediiditeabe seaduse alusel järelevalvet finantsteenuste komisjon, juhul, kui nad sellist teavet töötlevad.

(213)

Liikmesriigid ja nende organid peavad võtma liidu institutsioonide aktide järgimiseks vajalikud meetmed, sest eeldatakse nende õiguspärasust ja neil on seega õiguslikud tagajärjed seni, kuni neid ei ole tagasi võetud, tühistamishagi menetlemise tulemusena tühistatud ega eelotsusemenetluse tulemusel või õigusvastasuse väite alusel kehtetuks tunnistatud.

(214)

Seega on komisjoni poolt määruse (EL) 2016/679 artikli 45 lõike 3 alusel vastu võetud kaitse piisavuse otsus siduv kõikide otsuse adressaadiks olevate liikmesriikide organitele, sealhulgas sõltumatutele järelevalveasutustele. Eelkõige võib andmete edastamine Euroopa Liidu vastutavalt või volitatud töötlejalt Korea Vabariigis asuvatele vastutavatele või volitatud töötlejatele toimuda ilma täiendava loata.

(215)

Vastavalt määruse (EL) 2016/679 artikli 58 lõikele 5 ja nagu Euroopa Kohus on selgitanud Schremsi kohtuotsuses, (381) peab samas olema juhuks, kui riiklik andmekaitseasutus kahtleb, sealhulgas laekunud kaebuse põhjal, komisjoni kaitse piisavuse otsuse kooskõlas üksikisiku põhiõigustega eraelu puutumatusele ja andmekaitsele, liikmesriigi õigusega ette nähtud õiguskaitsevahend, mis võimaldab tal edastada need vastuväited riigisisesele kohtule, kellelt võidakse nõuda asja kohta Euroopa Kohtule eelotsusetaotluse esitamist (382).

(216)

Euroopa Kohtu praktika (383) kohaselt ja nagu on tunnistatud määruse (EL) 2016/679 artikli 45 lõikes 4, peaks komisjon pidevalt jälgima asjaomaseid suundumusi kolmandas riigis pärast kaitse piisavuse otsuse vastuvõtmist, et hinnata, kas kolmas riik jätkuvalt tagab sisuliselt samaväärse kaitsetaseme. Selline kontrollimine on igal juhul nõutav, kui komisjonile laekunud teave tekitab kõnealuse küsimuse suhtes põhjendatud kahtluse.

(217)

Seepärast peaks komisjon pidevalt jälgima käesolevas otsuses hinnatud olukorda Korea Vabariigis nii seoses isikuandmete töötlemise õigusraamistiku kui ka tegelike tavadega, sealhulgas seda, kas Korea ametiasutused järgivad II lisas esitatud seisukohti, kinnitusi ja kohustusi. Selle protsessi hõlbustamiseks kutsutakse Korea ametiasutusi viivitamata teavitama komisjoni käesoleva otsuse seisukohast olulistest muudatustest seoses isikuandmete töötlemisega ettevõtjate ja ametiasutuste poolt ning piirangutest ja kaitsemeetmetest, mida ametiasutuste juurdepääsul isikuandmetele kohaldatakse.

(218)

Selleks et komisjonil oleks võimalik tulemuslikult täita oma järelevalveülesannet, peaksid liikmesriigid teavitama komisjoni kõikidest asjakohastest meetmetest, mida riiklikud andmekaitseasutused võtavad, eelkõige seoses ELi andmesubjektide päringute või kaebustega, mis käsitlevad isikuandmete edastamist Euroopa Liidust Korea Vabariigis asuvatele vastutavatele töötlejatele. Komisjoni tuleks teavitada ka võimalikest märkidest, mille järgi kuritegude ennetamise, uurimise, avastamise või nende suhtes kriminaalmenetluse läbiviimise või riigi julgeoleku eest vastutavate Korea avaliku sektori asutuste, sealhulgas järelevalveasutuste tegevus ei taga nõutavat kaitsetaset.

(219)

Kohaldades määruse (EL) 2016/679 artikli 45 lõiget 3 (384) ja arvestades asjaolu, et Korea õiguskorraga pakutav kaitsetase võib muutuda, kontrollib komisjon pärast käesoleva otsuse vastuvõtmist korrapäraselt, kas järeldused Korea Vabariigi tagatava kaitsetaseme piisavuse kohta on endiselt faktiliselt ja õiguslikult põhjendatud.

(220)

Sel eesmärgil tuleks otsus esimest korda läbi vaadata kolme aasta jooksul pärast selle jõustumist. Pärast esimest läbivaatamist otsustab komisjon olenevalt tehtud järeldustest ja tihedas koostöös määruse (EL) 2016/679 artikli 93 lõike 1 alusel asutatud komiteega, kas jätkata läbivaatamist iga kolme aasta tagant. Igal juhul peaksid edasised läbivaatamised toimuma vähemalt iga nelja aasta tagant (385). Läbivaatamine peaks hõlmama käesoleva otsuse toimimise kõiki aspekte ning eelkõige käesoleva otsuse I lisas kirjeldatud täiendavaid kaitsemeetmeid (pöörates erilist tähelepanu andmete edasisaatmisel tagatavale kaitsele), asjaomaseid muudatusi kohtupraktikas, pseudonümiseeritud andmete statistilistel, teadusuuringute ja avalikes huvides toimuva arhiveerimise eesmärkidel töötlemise norme ning isikuandmete kaitse seaduse artikli 28 lõike 7 kohaste erandite kohaldamist, üksikisiku õiguste teostamise tulemuslikkust, sealhulgas hiljuti reformitud isikuandmete kaitse komisjonis, ja nende õigustega seotud erandite kohaldamist, isikuandmete kaitse seaduse kohaste osalise vabastuse kohaldamist, samuti valitsuse juurdepääsuga seotud piiranguid ja kaitsemeetmeid (mis on esitatud käesoleva otsuse II lisas), sealhulgas isikuandmete kaitse komisjoni ja ELi andmekaitseasutuste koostööd üksikisikute esitatud kaebuste menetlemisel. Samuti peaks see hõlmama järelevalve ja nõuete täitmise tagamise tulemuslikkust isikuandmete kaitse seaduse puhul ning kriminaalõiguskaitse ja riigi julgeoleku valdkonnas (eelkõige isikuandmete kaitse komisjoni ja riikliku inimõiguste komisjoni poolt).

(221)

Läbivaatamise tegemiseks peaks komisjon kohtuma isikuandmete kaitse komisjoniga, ning kui see on asjakohane, siis teiste Korea ametiasutustega, kes vastutavad valitsuse juurdepääsu eest andmetele, sealhulgas asjaomaste järelevalveasutustega. Sellel kohtumisel peaksid saama osaleda ka Euroopa Andmekaitsenõukogu liikmete esindajad. Läbivaatamise raamistikus peaks komisjon laskma isikuandmete kaitse komisjonil esitada põhjalikku teavet kaitse piisavuse seisukohast oluliste aspektide, sealhulgas valitsuse juurdepääsu suhtes kehtestatud piirangute ja kaitsemeetmete kohta (386). Samuti peaks komisjon küsima selgitusi käesoleva otsuse seisukohast olulise mis tahes saadud teabe kohta, sealhulgas Korea ametiasutuste või muude sidusrühmade, Euroopa Andmekaitsenõukogu, eri andmekaitseasutuste, kodanikuühiskonna rühmade avalike aruannete, meediakajastuste või muude kättesaadavate teabeallikate kohta.

(222)

Läbivaatamise põhjal peaks komisjon koostama avaliku aruande, et see esitada Euroopa Parlamendile ja nõukogule.

(223)

Kui kättesaadavast teabest, eriti käesoleva otsuse järelevalvest tulenevast või Korea või liikmesriikide ametiasutuste esitatud teabest ilmneb, et Korea Vabariigi pakutav kaitsetase ei pruugi enam olla piisav, peaks komisjon viivitamata teavitama sellest Korea pädevaid asutusi ning nõudma asjakohaste meetmete võtmist mõistliku kindlaksmääratud tähtaja jooksul.

(224)

Kui Korea pädevad asutused ei ole kindlaksmääratud ajavahemiku möödumisel neid meetmeid võtnud või muul viisil rahuldavalt tõendanud, et käesolev otsus põhineb endiselt piisaval kaitsetasemel, algatab komisjon määruse (EL) 2016/679 artikli 93 lõikes 2 osutatud menetluse käesoleva otsuse osaliseks või täielikuks peatamiseks või kehtetuks tunnistamiseks.

(225)

Teise võimalusena algatab komisjon menetluse käesoleva otsuse muutmiseks, et eelkõige kehtestada andmete edastamiseks täiendavaid tingimusi või piirata kaitse piisavuse otsuse kohaldamisala nii, et see hõlmaks üksnes sellist andmeedastust, mille puhul on tagatud kaitse jätkumine.

(226)

Eelkõige peaks komisjon algatama peatamismenetluse või kehtetuks tunnistamise menetluse siis, kui esineb märke selle kohta, et käesoleva otsuse alusel isikuandmeid saavad ettevõtjad ei järgi I lisas esitatud täiendavaid kaitsemeetmeid ja/või nende täiendavate kaitsemeetmete järgimine ei ole tulemuslikult tagatud või Korea ametiasutused ei järgi käesoleva otsuse II lisas esitatud seisukohti, kinnitusi ja kohustusi.

(227)

Komisjon peaks kaaluma ka menetluse algatamist käesoleva otsuse muutmiseks, peatamiseks või kehtetuks tunnistamiseks, kui läbivaatamist või muid asjaolusid arvesse võttes ei esita Korea pädevad asutused teavet või selgitusi, mida on vaja Euroopa Liidust Korea Vabariiki edastatud isikuandmetele võimaldatava kaitsetaseme hindamiseks või käesoleva otsuse täitmiseks. Sellega seoses peaks komisjon võtma arvesse võimalusi saada asjakohast teavet muudest allikatest.

(228)

Nõuetekohaselt põhjendatud, tungivalt vajalikul ja kiireloomulisel juhul kasutab komisjon võimalust võtta kooskõlas määruse (EL) 2016/679 artikli 93 lõikes 3 osutatud menetlusega vastu viivitamata kohaldatavad rakendusaktid, millega otsus peatatakse või tunnistatakse kehtetuks või seda muudetakse.

(229)

Euroopa Andmekaitsenõukogu avaldas arvamuse, (387) mida on käesoleva otsuse koostamisel arvesse võetud.

(230)

Käesoleva otsusega ettenähtud meetmed on kooskõlas määruse (EL) 2016/679 artikli 93 lõike 1 kohaselt loodud komitee arvamusega,