(1)

Asetuksessa (EU) 2016/679 vahvistetaan säännöt, joita sovelletaan henkilötietojen siirtoon unioniin sijoittautuneilta rekisterinpitäjiltä tai henkilötietojen käsittelijöiltä kolmansiin maihin ja kansainvälisille järjestöille, siltä osin kuin tällaiset siirrot kuuluvat sen soveltamisalaan. Henkilötietojen kansainvälistä siirtoa koskevat säännöt vahvistetaan asetuksen V luvussa (44–50 artikla). Kansainvälisen yhteistyön ja kaupan kehittämiseksi on tarpeen siirtää henkilötietoja Euroopan unionin ulkopuolisiin maihin tai niistä unioniin. Samalla on kuitenkin varmistettava, että kolmansiin maihin tehtävien siirtojen yhteydessä ei heikennetä henkilötietojen suojan tasoa unionissa (2).

(2)

Asetuksen (EU) 2016/679 45 artiklan 3 kohdan mukaan komissio voi päättää täytäntöönpanosäädöksellä, että jokin kolmas maa tai kolmannen maan alue tai yksi tai useampi tietty sektori tai kansainvälinen järjestö varmistaa riittävän tietosuojan. Tämän edellytyksen täyttyessä henkilötietoja voidaan siirtää kyseiselle kolmannelle maalle ilman erillistä lupaa, kuten asetuksen (EU) 2016/679 45 artiklan 1 kohdassa ja johdanto-osan 103 kappaleessa säädetään.

(3)

Kuten asetuksen (EU) 2016/679 45 artiklan 2 kohdassa säädetään, tietosuojan riittävyyttä koskevan päätöksen tekemisen on perustuttava kattavaan analyysiin kolmannen maan oikeusjärjestyksestä. Analyysissa on tarkasteltava sekä tietojen tuojia koskevia sääntöjä että niitä rajoituksia ja suojatoimia, jotka koskevat viranomaisten pääsyä henkilötietoihin. Komission on arvioinnissaan määritettävä, vastaako kyseisen kolmannen maan takaama tietosuojan taso ”olennaisilta osin” Euroopan unionissa taattua suojan tasoa (asetuksen (EU) 2016/679 johdanto-osan 104 kappale). Tätä on arvioitava suhteessa unionin lainsäädäntöön ja erityisesti asetukseen (EU) 2016/679 sekä Euroopan unionin tuomioistuimen oikeuskäytäntöön (3).

(4)

Kuten Euroopan unionin tuomioistuin on selventänyt, tämä ei edellytä, että tietosuojan tason pitäisi olla täysin sama (4). Erityisesti keinot, joita kyseisellä kolmannella maalla on käytettävissään henkilötietojen suojaamiseksi, voivat erota unionissa käytetyistä menetelmistä, kunhan ne käytännössä varmistavat tehokkaasti tietosuojan riittävän tason (5). Tietosuojan tason riittävyyttä koskeva vaatimus ei sen vuoksi edellytä unionin sääntöjen kopiointia kohta kohdalta. Sen sijaan on kyse siitä, onko ulkomaisen järjestelmän antama tietosuoja kokonaisuutena vaaditun tason mukainen. Tällöin selvitetään, mikä on yksityisyyteen liittyvien oikeuksien sisältö ja pannaanko ne täytäntöön ja valvotaanko niiden toteutumista tehokkaasti (6). Myös Euroopan tietosuojaneuvosto on antanut ohjeistusta tietosuojan riittävyyden tutkimisesta (7).

(5)

Komissio on analysoinut huolellisesti Korean lainsäädäntöä ja käytäntöjä. Johdanto-osan (8)–(208) kappaleessa esitettyjen havaintojen perusteella komissio katsoo, että Korean tasavalta takaa riittävän suojan henkilötiedoille, jotka unioniin sijoittautunut rekisterinpitäjä tai henkilötietojen käsittelijä (8) siirtää sellaisille Koreassa oleville yksiköille (esim. luonnollisille tai oikeushenkilöille, organisaatioille, julkisille laitoksille), joihin sovelletaan Korean tietosuojalakia (Personal Information Protection Act, eli 29 päivänä maaliskuuta 2011 annettu laki N:o 10465, sellaisena kuin se on viimeksi muutettuna 4 päivänä helmikuuta 2020 annetulla lailla N:o 16930). Tämä koskee sekä asetuksessa (EU) 2016/679 tarkoitettuja rekisterinpitäjiä että henkilötietojen käsittelijöitä, jäljempänä ’toimeksisaajat’ (outsourcees) (9). Tietosuojan riittävyyttä koskeva päätelmä ei kata henkilötietojen käsittelyä, jota uskonnolliset organisaatiot suorittavat lähetystyön yhteydessä tai joka liittyy poliittisten puolueiden ehdokasasetteluun, eikä rahoituspalvelukomission valvonnan alaisuuteen kuuluvien rekisterinpitäjien luottotietolain nojalla suorittamaa henkilökohtaisten luottotietojen käsittelyä.

(6)

Tässä päätelmässä otetaan huomioon lisätakeet, jotka esitetään ilmoituksessa N:o 2021-5 (liite I) ja Korean hallituksen komissiolle antamissa virallisissa lausunnoissa, vakuutuksissa ja sitoumuksissa (liite II).

(7)

Tämän päätöksen seurauksena tiedonsiirrot Korean tasavaltaan sijoittautuneille rekisterinpitäjille ja henkilötietojen käsittelijöille voidaan toteuttaa ilman eri hyväksyntää. Päätös ei rajoita asetuksen (EU) 2016/679 suoraa soveltamista tällaisiin yksiköihin silloin kun kyseisen asetuksen 3 artiklassa säädetyt alueellista soveltamista koskevat edellytykset täyttyvät.

(8)

Yksityisyydensuojaa ja tietosuojaa koskeva Korean säännöstö perustuu 17 päivänä heinäkuuta 1948 annettuun perustuslakiin. Vaikka perustuslaissa ei nimenomaisesti mainita oikeutta henkilötietojen suojaan, se kuitenkin tunnustetaan perusoikeudeksi, jonka perustan muodostavat perustuslailliset oikeudet ihmisarvoon ja onnellisuuden tavoitteluun (10 §), oikeus yksityiselämään (17 §) ja oikeus viestinnän yksityisyyteen (18 §). Tämän ovat vahvistaneet sekä korkein oikeus (10) että perustuslakituomioistuin (11). Perusoikeuksia ja -vapauksia (mukaan lukien oikeutta yksityisyyteen) voidaan rajoittaa vain lain nojalla, jos se on tarpeen kansallisen turvallisuuden, lain ja yleisen järjestyksen tai yleisen hyvinvoinnin ylläpitämiseksi, eikä tällainen rajoittaminen saa vaikuttaa kyseisen vapauden tai oikeuden olennaiseen sisältöön (37 §:n 2 momentti).

(9)

Perustuslaissa viitataan useaan otteeseen Korean kansalaisten oikeuksiin, mutta perustuslakituomioistuin on todennut, että perusoikeudet koskevat myös ulkomaalaisia. (12). Perustuslakituomioistuin on erityisesti katsonut, että ihmisarvon ja ihmisyyden suojelu sekä oikeus onnellisuuden tavoitteluun kuuluvat kaikille ihmisille eivätkä ainoastaan maan kansalaisille (13). Lisäksi Korean hallituksen virallisten lausuntojen (14) mukaan yleisesti tunnustetaan, että perustuslain 12–22 §:ssä säädetään perustavanlaatuisista ihmisoikeuksista (joihin kuuluu myös oikeus yksityisyyteen) (15). Vaikka toistaiseksi ei ole annettu oikeuskäytäntöä, joka koskisi nimenomaisesti ulkomaiden kansalaisten oikeutta yksityisyyteen, tätä päätelmää tukee se, että kyseinen oikeus perustuu ihmisarvon suojelua ja onnen tavoittelua koskeviin oikeuksiin (16).

(10)

Korea on myös antanut useita tietosuojaa koskevia lakeja, joissa säädetyt takeet koskevat kaikkia yksilöitä näiden kansalaisuudesta riippumatta (17). Tämän päätöksen kannalta merkitykselliset Korean lait ovat:

(11)

Tietosuojalaissa vahvistetaan Korean tasavallan yleinen tietosuojakehys. Sitä on täydennetty täytäntöönpanoasetuksella (presidentin asetus N:o 23169, annettu 29 päivänä syyskuuta 2011, sellaisena kuin se on viimeksi muutettuna presidentin asetuksella N:o 30892, annettu 4 päivänä elokuuta 2020), jäljempänä ’(tietosuojalain) täytäntöönpanoasetus’, joka tietosuojalain tavoin on oikeudellisesti sitova ja täytäntöönpanokelpoinen.

(12)

Korean tietosuojalautakunta (Personal Information Protection Commission, PIPC) on lisäksi antanut muita sääntöjä tietosuojalain tulkinnasta ja soveltamisesta lakisääteisillä ilmoituksilla (Notification). Tietosuojalautakunta on antanut tietosuojalain 5 §:n (Valtion velvollisuudet) ja 14 §:n (Kansainvälinen yhteistyö) nojalla 1 päivänä syyskuuta 2020 ilmoituksen N:o 2021-5 tiettyjen tietosuojalain säännösten tulkinnasta, soveltamisesta ja täytäntöönpanosta (sellaisena kuin se on muutettuna 21 päivänä tammikuuta 2021 annetulla ilmoituksella N:o 2021-1 ja 16 päivänä marraskuuta 2021 annetulla ilmoituksella N:o 2021-5). Kyseisessä ilmoituksessa esitetään selvennyksiä, joita sovelletaan kaikkeen tietosuojalain nojalla tapahtuvaan henkilötietojen käsittelyyn, sekä lisätakeita Koreaan tämän päätöksen perusteella siirrettäviä henkilötietoja varten. Ilmoitus sitoo rekisterinpitäjiä oikeudellisesti, ja sen täytäntöönpanosta vastaavat sekä tietosuojalautakunta että tuomioistuimet (19). Ilmoituksessa vahvistettujen sääntöjen rikkominen merkitsee niiden tietosuojalain säännösten rikkomista, joita säännöt täydentävät. Sen vuoksi tietosuojalain säännösten arvioinnin yhteydessä arvioidaan myös lisätakeiden sisältöä. Tietosuojalautakunta on lisäksi laatinut tietosuojalakia koskevan käsikirjan ja ohjeita (PIPA Handbook and Guidelines), joissa selostetaan, miten tietosuojalautakunta soveltaa henkilötietojen suojaa koskevia sääntöjä ja valvoo niiden noudattamista (20).

(13)

Laissa luottotietojen käytöstä ja suojaamisesta, jäljempänä ’luottotietolaki’, vahvistetaan lisäksi säännöt, joita sovelletaan sekä ”tavanomaisiin” kaupallisiin toimijoihin että rahoitusalan erikoistuneisiin yhteisöihin silloin kun ne käsittelevät henkilökohtaisia luottotietoja eli tietoja, joita tarvitaan rahoitus- tai liiketoimien osapuolten luottokelpoisuuden määrittämiseksi. Näitä tietoja ovat muun muassa nimi, yhteystiedot, rahoitustoimet, luottoluokitus, vakuutustilanne tai lainasaldo silloin kun näitä tietoja käytetään henkilön luottokelpoisuuden määrittämiseen (21). Silloin kun näitä tietoja käytetään muussa tarkoituksessa (esimerkiksi henkilöstöhallintoa varten), sovelletaan tietosuojalakia kaikilta osin. Luottotietolain tietosuojasäännösten noudattamista valvoo osittain tietosuojalautakunta (kaupan alan organisaatioiden osalta ks. lain 45-3 §) ja osittain rahoituspalvelukomissio (22) (rahoitusalan, kuten luottoluokituslaitosten, pankkien, vakuutusyhtiöiden, säästöpankkien, luottorahoitukseen erikoistuneiden yritysten, finanssipalveluyritysten, arvopaperirahoitusyritysten ja luotto-osuuskuntien osalta ks. lain 45 §:n 1 momentti yhdessä sen täytäntöönpanoasetuksen 36-2 §:n ja rahoituspalvelukomissiosta annetun lain (Act on the Financial Services Commission) 38 §:n kanssa). Tältä osin tämän päätöksen soveltamisala rajoittuu niihin kaupan alan organisaatioihin, jotka kuuluvat tietosuojalautakunnan valvonnan alaisuuteen (23). Tässä yhteydessä sovellettavia luottotietolain erityissääntöjä käsitellään 2.3.11 kohdassa (jos erityissääntöjä ei ole, sovelletaan tietosuojalaissa vahvistettuja yleisiä sääntöjä).

(14)

Ellei muissa laeissa nimenomaisesti toisin säädetä, henkilötietojen suojaan sovelletaan tietosuojalakia (6 §). Sen aineellinen ja henkilöllinen soveltamisala on määritetty käsitteitä ’henkilötieto’, ’käsittely’ ja ’rekisterinpitäjä’ koskevien määritelmien avulla.

(15)

Tietosuojalain 2 §:n 1 momentissa esitetyn määritelmän mukaan henkilötiedoilla tarkoitetaan elävään henkilöön liittyviä tietoja, joiden perusteella henkilö voidaan tunnistaa joko suoraan, kuten nimi, asukasrekisterinumero tai kuva, tai epäsuorasti, eli kun tiedot, joista henkilöä ei voida suoraan tunnistaa, voidaan helposti yhdistää muihin tietoihin. Se, miten ”helposti” tietoja voidaan yhdistää, riippuu siitä, miten todennäköistä tällainen tietojen yhdistäminen on, kun otetaan huomioon mahdollisuus saada muita tietoja sekä henkilön tunnistamiseen tarvittava aika, kustannukset ja teknologia.

(16)

Tietosuojalain mukaan henkilötietoja ovat myös pseudonymisoidut tiedot eli tiedot, joiden perusteella tietyn henkilön tunnistaminen on mahdollista vain jos käytetään tai jos tietoihin yhdistetään muita tietoja, joiden avulla ne palautetaan alkuperäiseen tilaansa (lain 2 §:n 1 momentin c alakohta). Vastaavasti tiedot, jotka on täysin anonymisoitu, on suljettu lain soveltamisalan ulkopuolelle (58 §:n 2 momentti). Tämä koskee tietoja, joista ei voida tunnistaa tiettyä henkilöä edes yhdistämällä ne muihin tietoihin, kun otetaan huomioon tunnistamiseen kohtuudella tarvittava aika, kustannukset ja teknologia.

(17)

Tämä vastaa asetuksen (EU) 2016/679 aineellista soveltamisalaa ja siinä määriteltyjä käsitteitä ”henkilötiedot, pseudonymisointi” (24) ja ”anonymisoidut tiedot” (25).

(18)

”Käsittely” määritellään tietosuojalaissa väljästi niin, että se kattaa ”henkilötietojen keräämisen, generoimisen, yhdistämisen, yhteenkytkemisen, tallettamisen, säilyttämisen, varastoinnin, lisäarvoa tuottavan käsittelyn, editoinnin, hakemisen, tulostamisen, korjaamisen, palauttamisen, käytön, luovuttamisen, paljastamisen ja poistamisen sekä muut vastaavat toimet” (26). Vaikka tietyissä tietosuojalain säännöksissä viitataan vain tietyntyyppiseen käsittelyyn, kuten ”käyttöön”, ”toimittamiseen” tai ”keräämiseen” (27), ”käytön” tulkitaan sisältävän kaikenlaisen muun käsittelyn kuin ”keräämisen” tai (kolmannelle osapuolelle) ”luovuttamisen”. ”Käytön” laajalla tulkinnalla varmistetaan, että suojeluun ei jää aukkoja erilaisten käsittelytoimien osalta. Näin ollen käsittelyn käsite vastaa asetuksessa (EU) 2016/679 käytettyä käsitettä.

(19)

Tietosuojalakia sovelletaan rekisterinpitäjiin. Samoin kuin asetuksessa (EU) 2016/679, tällä tarkoitetaan kaikkia julkisia laitoksia, oikeushenkilöitä, organisaatioita tai henkilöitä, jotka käsittelevät henkilötietoja suoraan tai välillisesti henkilötietorekisteriä varten osana muuta toimintaansa (28). Tässä yhteydessä ’henkilötietorekisterillä’ tarkoitetaan mitä tahansa ”henkilötietokokoelmaa tai -kokoelmia, jotka on järjestetty systemaattisesti jonkin säännön mukaan, niin että henkilötiedot ovat helposti saatavilla” (tietosuojalain 2 §:n 4 momentti) (29). Rekisterinpitäjällä on velvollisuus kouluttaa sisäisesti käsittelyyn sen johdolla osallistuvat henkilöt, kuten yrityksen virkamiehet tai työntekijät, ja huolehtia asianmukaisesta valvonnasta ja tarkastuksista (tietosuojalain 28 §:n 1 momentti).

(20)

Silloin kun rekisterinpitäjä (nk. outsourcer eli ulkoistaja) ulkoistaa henkilötietojen käsittelyn kolmannelle osapuolelle (nk. outsourcee eli toimeksisaaja), sovelletaan erityisiä velvoitteita. Ulkoistamista on ensinnäkin säänneltävä oikeudellisesti sitovalla järjestelyllä (tyypillisesti sopimuksella) (30), jossa mainitaan ulkoistettavan työn laajuus, käsittelyn tarkoitus, sovellettavat tekniset ja hallinnolliset suojatoimet, rekisterinpitäjän suorittama valvonta, vastuu (kuten vastuu sopimusvelvoitteiden rikkomisesta aiheutuvien vahinkojen korvaamisesta) sekä kaikenlaista alihankintaa koskevat rajoitukset (31) (tietosuojalain 26 §:n 1 ja 2 momentti yhdessä sen täytäntöönpanoasetuksen 28 §:n 1 momentin kanssa) (32).

(21)

Lisäksi rekisterinpitäjän on julkaistava ja pidettävä jatkuvasti ajan tasalla tiedot ulkoistetusta työstä ja siitä, mille toimeksisaajalle työ on ulkoistettu, tai, siltä osin kuin ulkoistamisprosessi koskee suoramarkkinointitoimintaa, ilmoitettava asiaankuuluvat tiedot suoraan yksilöille (tietosuojalain 26 §:n 2 ja 3 momentti yhdessä sen täytäntöönpanoasetuksen 28 §:n 2–5 momentin kanssa) (33).

(22)

Lisäksi rekisterinpitäjällä on velvollisuus ”opettaa” toimeksisaajalle tarvittavat turvatoimet ja valvoa muun muassa tarkastusten avulla, että toimeksisaaja noudattaa sekä kaikkia rekisterinpitäjälle tietosuojalaissa asetettuja velvollisuuksia että ulkoistamissopimukseen perustuvia velvollisuuksia (34) (tietosuojalain 26 §:n 4 momentti yhdessä sen täytäntöönpanoasetuksen 28 §:n 6 momentin kanssa). Jos toimeksisaaja aiheuttaa vahinkoa tietosuojalain rikkomisen seurauksena, rekisterinpitäjän katsotaan olevan vastuussa sen toiminnasta tai laiminlyönnistä samalla tavoin kuin työntekijän osalta (tietosuojalain 26 §:n 6 momentti).

(23)

Vaikka Korean tietosuojalaissa ei ole erotettu toisistaan ”rekisterinpitäjän” ja ”käsittelijän” käsitteitä, ulkoistamista koskevat säännöt sisältävät olennaisilta osin vastaavat velvoitteet ja suojatoimet kuin ne, joilla asetuksessa (EU) 2016/679 säännellään rekisterinpitäjien ja henkilötietojen käsittelijöiden suhdetta.

(24)

Tietosuojalakia sovelletaan henkilötietojen käsittelyyn riippumatta siitä, kuka on rekisterinpitäjä. Tiettyihin säännöksiin sisältyy kuitenkin erityissääntöjä (lex specialis), joita sovelletaan silloin kun ”käyttäjien” tietoja käsittelevät ”tieto- ja viestintäpalvelujen tarjoajat” (35). ”Käyttäjillä” tarkoitetaan tieto- ja viestintäpalveluja käyttäviä luonnollisia henkilöitä (Laki tieto- ja viestintäverkon käytön ja tietosuojan edistämisestä (Act on the Promotion of Information and Communications Network Utilisation and Data Protection), jäljempänä ’tietoverkkolaki’, 2 §:n 1 momentin 4 kohta). Tämä tarkoittaa henkilöitä, jotka joko käyttävät suoraan korealaisen televiestintäpalvelujen tarjoajan televiestintäpalveluja tai tietopalveluja (36), joita tarjoaa sellainen kaupallinen (eli voittoa tavoitteleva) yksikkö, joka puolestaan tukeutuu Koreassa toimiluvan/rekisteröinnin nojalla toimivan televiestintäpalvelujen tarjoajan palveluihin (37). Kummassakin tapauksessa yksikkö, jota tietosuojalain erityissäännökset sitovat, on se, joka tarjoaa verkkopalvelua suoraan kyseiselle henkilölle (käyttäjälle).

(25)

Vastaavasti päätelmä tietosuojan riittävyydestä kattaa tietosuojan tason yksinomaan niiden henkilötietojen osalta, jotka unionin rekisterinpitäjä/käsittelijä siirtää jollekin yksikölle kolmanteen maahan (tässä tapauksessa Korean tasavaltaan). Jälkimmäisessä tapauksessa unionissa olevilla henkilöillä on yleensä suora suhde ainoastaan unionissa olevaan ”tietojen viejään”, mutta ei korealaiseen tieto- ja viestintäpalvelujen tarjoajaan (38). Sen vuoksi tieto- ja viestintäpalvelujen käyttäjien henkilötietoja koskevia tietosuojalain erityissäännöksiä sovelletaan tämän päätöksen nojalla siirrettäviin henkilötietoihin vain rajoitetusti.

(26)

Tietosuojalain 58 §:n 1 momentin mukaan neljä tietojenkäsittelyn luokkaa on vapautettu sen tiettyjen säännösten (15–57 §) soveltamisesta (39). Vapautus kattaa erityisesti ne tietosuojalain säännökset, jotka koskevat erityisiä käsittelyperusteita, tiettyjä tietosuojavelvoitteita, yksilön oikeuksien käyttöön liittyviä yksityiskohtaisia sääntöjä sekä sääntöjä, joilla säännellään henkilötietoihin liittyvien riitojen ratkaisua erityisessä sovittelulautakunnassa. Muita tietosuojalain perussäännöksiä kuitenkin sovelletaan, erityisesti yleisiä säännöksiä, jotka koskevat tietosuojaperiaatteita (3 § – muun muassa käsittelyn lainmukaisuus, käsittelytarkoituksen määrittely ja sen rajoittaminen, kerättävien tietojen minimointi, tietojen täsmällisyys ja turvallisuus) ja yksilön oikeuksia (4 § – oikeus saada pääsy tietoihin ja oikaista tai poistaa ne tai keskeyttää niiden käsittely). Lisäksi tietosuojalain 58 §:n 4 momentissa asetetaan näille käsittelytoimille erityisiä velvoitteita, jotka koskevat tietojen minimointia, niiden säilyttämisen rajoittamista, turvatoimia ja valitusten käsittelyä (40). Näin ollen luonnolliset henkilöt voivat tehdä valituksen tietosuojalautakunnalle, jos näitä periaatteita ja velvoitteita ei noudateta, ja lautakunnalla on valtuudet toteuttaa laiminlyöntien perusteella toimia niiden noudattamisen varmistamiseksi.

(27)

Ensinnäkin osittainen vapautus kattaa henkilötiedot, jotka kerätään julkisten laitosten käsiteltäväksi tilastolain (Statistics Act) nojalla. Korean hallitukselta saatujen selvitysten mukaan tässä yhteydessä käsiteltävät henkilötiedot koskevat yleensä Korean kansalaisia ja sisältäisivät ulkomaalaisten henkilötietoja vain poikkeuksellisesti eli siltä osin kuin on kyse maahantuloa ja maastalähtöä koskevista tilastoista tai ulkomaisista sijoituksista. Myöskään näissä tapauksissa tällaisia tietoja ei kuitenkaan yleensä siirretä unionin rekisterinpitäjiltä/käsittelijöiltä, vaan Korean viranomaiset keräävät ne suoraan (41). Lisäksi tilastolain nojalla suoritettavaan tietojenkäsittelyyn sovelletaan useita samankaltaisia edellytyksiä ja suojatoimia kuin ne, joista säädetään asetuksen (EU) 2016/679 johdanto-osan 162 kappaleessa. Tilastolaissa säädetään muun muassa erityisistä velvoitteista, joiden tarkoituksena on varmistaa tietojen täsmällisyys, yhdenmukaisuus ja puolueettomuus, turvata luottamuksellisuus yksilöiden kannalta ja suojata tilastokyselyihin vastanneiden tietoja, myös jotta voidaan estää tietojen käyttö muihin tarkoituksiin kuin tilastojen laatimiseen, ja vahvistaa henkilöstön jäseniä koskevat salassapitovaatimukset (42). Tilastoja käsittelevien viranomaisten on noudatettava myös muun muassa tietojen minimoinnin, käyttötarkoituksen rajoittamisen ja turvallisuuden periaatteita (tietosuojalain 3 § ja 58 §:n 4 momentti) ja annettava yksilöille mahdollisuus käyttää oikeuksiaan (pääsy tietoihin ja oikeus oikaista tai poistaa ne ja keskeyttää niiden käsittely, ks. tietosuojalain 4 §). Lisäksi tietoja on käsiteltävä anonymisoidussa tai pseudonymisoidussa muodossa, jos se on käyttötarkoituksen saavuttamiseksi mahdollista (tietosuojalain 3 §:n 7 momentti).

(28)

Toiseksi tietosuojalain 58 §:n 1 momentissa viitataan henkilötietoihin, jotka kerätään tai joita pyydetään kansalliseen turvallisuuteen liittyvien tietojen analysointia varten. Tämän osittaisen vapautuksen soveltamisalaa ja seurauksia käsitellään yksityiskohtaisemmin tämän päätöksen johdanto-osan (149) kappaleessa.

(29)

Kolmanneksi osittainen vapautus koskee henkilötietojen väliaikaista käsittelyä, silloin kun se on tarpeen kiireellisissä tapauksissa yleiseen turvallisuuteen ja esimerkiksi kansanterveyteen liittyvistä syistä. Tätä tietoluokkaa tulkitaan Korean tietosuojalaissa ahtaasti, ja komission saamien tietojen mukaan sitä ei ole koskaan käytetty. Sitä sovelletaan vain kiireellisiä toimia edellyttävissä hätätapauksissa, esimerkiksi kun on jäljitettävä tartuntatautien aiheuttajia tai luonnonkatastrofien uhrien pelastamiseksi ja auttamiseksi (43). Myös tällaisissa tilanteissa osittainen vapautus koskee ainoastaan henkilötietojen väliaikaista käsittelyä toimien toteuttamiseen tarvittavana aikana. Tilanteet, joissa vapautusta voitaisiin soveltaa tämän päätöksen soveltamisalaan kuuluviin tiedonsiirtoihin, ovat vieläkin rajoitetumpia, koska on hyvin epätodennäköistä, että unionista korealaisille toimijoille siirrettävät henkilötiedot olisivat sellaisia, että niiden myöhempi käsittely olisi tarpeen ”kiireellisesti” tällaisissa hätätilanteissa.

(30)

Neljänneksi osittaista vapautusta sovelletaan myös silloin kun henkilötietoja keräävät tai käyttävät tiedotusvälineet tai uskonnolliset organisaatiot lähetystyön yhteydessä tai poliittiset puolueet ehdokasasettelua varten. Vapautusta sovelletaan vain siltä osin kuin tiedotusvälineet, uskonnolliset organisaatiot tai poliittiset puolueet käsittelevät henkilötietoja näitä erityistarkoituksia varten (eli journalistinen tai lähetystyöhön liittyvä toiminta ja puolueiden ehdokasasettelu). Jos ne käsittelevät henkilötietoja muita tarkoituksia, kuten henkilöstöhallinnon tai sisäisen hallinnon tarkoituksia varten, sovelletaan tietosuojalakia kaikilta osin.

(31)

Kun tiedotusvälineet käsittelevät henkilötietoja journalistisia tarkoituksia varten, sananvapauden ja muiden oikeuksien (mm. oikeus yksityisyyteen) tasapainottamisesta säädetään lehtitietojen aiheuttamien vahinkojen sovittelusta ja niihin liittyvistä oikeussuojakeinoista annetussa laissa (Act on Arbitration and Remedies, etc. for Damage Caused by Press Reports), jäljempänä ’joukkoviestintälaki’ (44). Joukkoviestintälain 5 §:ssä säädetään esimerkiksi, että tiedotusvälineet (eli lähetystoimintaa harjoittava organisaatio, sanoma- tai aikakauslehti tai verkkojulkaisu), internetin uutispalvelu tai internetissä multimediatuotteita julkaiseva yleisradio-organisaatio ei saa loukata yksilöiden yksityisyyttä. Jos yksityisyydenloukkauksia kuitenkin tapahtuu, ne on korjattava viipymättä laissa säädettyjen menettelyjen mukaisesti. Henkilöille, joille on aiheutunut vahinkoa lehtitietojen vuoksi, myönnetään laissa tiettyjä oikeuksia, kuten vastine- ja oikaisuoikeus ja oikeus vaatia täydentävää raportointia (jos henkilön on väitetty syyllistyneen rikokseen, jonka osalta hänet myöhemmin vapautetaan syytteistä) (45). Tiedotusvälineet voivat käsitellä yksityishenkilöiden vaatimukset joko suoraan (näitä kysymyksiä käsittelevän valtuutetun välityksellä) (46), sovittelu- tai välitysmenettelyllä (erityisessä tiedotusvälineiden välityslautakunnassa (Press Arbitration Commission)) (47) tai tuomioistuimissa. Yksityishenkilöt voivat myös saada korvausta, jos heille on aiheutunut taloudellista vahinkoa tai jos heidän henkilötietojensa suojaa on loukattu tai heille on aiheutunut muuta henkistä kärsimystä tiedotusvälineiden (tahallisen tai laiminlyönnistä johtuvan) laittoman teon vuoksi (48). Tiedotusvälineet on vapautettu lain nojalla vastuusta siltä osin kuin lehtitiedot, joissa puututaan yksilön oikeuksiin, eivät ole sosiaalisten normien vastaisia ja tiedot on julkaistu joko asianomaisen henkilön suostumuksella tai yleisen edun nimissä (ja on olemassa riittävät perusteet katsoa, että tiedot ovat todenmukaisia) (49).

(32)

Henkilötietojen käsittelyyn journalistisia tarkoituksia varten sovelletaan näin ollen joukkoviestintälain nojalla erityisiä suojatoimia. Sen sijaan uskonnollisia organisaatioita tai poliittisia puolueita koskevien poikkeusten osalta ei ole säädetty tällaisista suojatoimista samalla tavoin kuin asetuksen (EU) 2016/679 85, 89 ja 91 artiklassa. Sen vuoksi komissio katsoo aiheelliseksi sulkea tämän päätöksen soveltamisalan ulkopuolelle uskonnolliset organisaatiot siltä osin kuin ne käsittelevät henkilötietoja lähetystyöhön liittyviä tarkoituksia varten ja poliittiset puolueet siltä osin kuin ne käsittelevät henkilötietoja ehdokasasettelua varten.

(33)

Henkilötietojen käsittelyn olisi oltava lainmukaista ja asianmukaista.

(34)

Tämä periaate todetaan Korean tietosuojalain 3 §:n 1 ja 2 momentissa, minkä lisäksi se vahvistetaan myös lain 59 §:ssä, jossa kielletään henkilötietojen käsittely ”petoksella tai epäasianmukaisin tai perusteettomin keinoin”, ”ilman oikeudellisia toimivaltuuksia” tai ”toimivaltuudet ylittäen” (50). Näitä lainmukaisen käsittelyn yleisiä periaatteita täsmennetään tietosuojalain 15–19 §:ssä, joissa esitetään käsittelyn eri oikeusperustat (tietojen kerääminen, käyttö ja luovuttaminen kolmansille osapuolille) sekä edellytykset, joiden täyttyessä käyttötarkoitus voi muuttua (18 §).

(35)

Tietosuojalain 15 §:n 1 momentin mukaan rekisterinpitäjä voi kerätä henkilötietoja (keräämisen käyttötarkoituksen puitteissa) vain tietyin oikeudellisin perustein. Näitä ovat 1) rekisteröidyn suostumus (51) (1 kohta); 2) sopimuksen tekeminen rekisteröidyn kanssa ja sen täytäntöönpano (4 kohta); 3) lakiin perustuva erityislupa tai lakisääteisen velvoitteen noudattaminen (2 kohta); julkisen laitoksen tarve (52) suorittaa lakisääteiset tehtävänsä sille annetun toimivallan puitteissa; 4) ilmeinen tarve suojella rekisteröidyn tai kolmannen osapuolen henkeä, terveyttä tai omaisuutta välittömältä vaaralta (vain jos rekisteröity ei itse kykene ilmaisemaan tahtoaan tai ennakkosuostumusta ei ole mahdollista saada) (5 kohta); 5) tarve toteuttaa rekisterinpitäjän ”perusteltu etu”, jos se on ”selvästi suurempi” kuin rekisteröidyn etu (ja vain jos käsittelyllä on ”olennainen yhteys” oikeutettuun etuun eikä se ylitä sitä, mikä on kohtuullista) (6 kohta) (53). Nämä käsittelyperusteet vastaavat olennaisilta osin asetuksen (EU) 2016/679 6 artiklassa säädettyjä perusteita, sillä myös viimeksi mainittu ”perusteltu etu” vastaa asetuksen 6 artiklan 1 kohdan f alakohdassa tarkoitettua ”oikeutettua etua”.

(36)

Kun henkilötiedot on kerätty, niitä voidaan käyttää keräämistarkoituksen puitteissa (tietosuojalain 15 §:n 1 momentti) tai keräämistarkoitukseen ”kohtuudella liittyvissä puitteissa”, ottaen huomioon rekisteröidylle mahdollisesti aiheutuvat haitat ja edellyttäen, että tarvittavat turvatoimet (esim. salaus) on toteutettu (tietosuojalain 15 §:n 3 momentti). Sen määrittämiseksi, millainen käyttötarkoitus ”kohtuudella liittyy” alkuperäisen keräämistarkoitukseen, tietosuojalain täytäntöönpanoasetuksessa vahvistetaan erityiset kriteerit, jotka vastaavat asetuksen (EU) 2016/679 6 artiklan 4 kohdassa esitettyjä vaatimuksia. Tässä yhteydessä edellytetään erityisesti, että uusi käyttötarkoitus on alkuperäisen tarkoituksen kannalta huomattavan relevantti; uuden käyttötarkoituksen on oltava ennustettavissa (esimerkiksi niiden olosuhteiden perusteella, joissa tiedot kerättiin); ja tiedot on mahdollisuuksien mukaan pseudonymisoitava (54). Kriteerit, joita rekisterinpitäjä soveltaa tässä arvioinnissa, on ilmoitettava etukäteen tietosuojaselosteessa (55). Lisäksi tietosuojavastaavalle (ks. johdanto-osan kappale (94)) asetetaan nimenomaisesti velvoite tarkistaa, että myöhempi käsittely tapahtuu näiden edellytysten puitteissa.

(37)

Samantapaisia (mutta tiukempia) sääntöjä sovelletaan tietojen luovuttamiseen kolmannelle osapuolelle. Tietosuojalain 17 §:n 1 momentin mukaan henkilötietojen luovuttaminen kolmannelle osapuolelle on sallittua suostumuksen perusteella (56) tai keräämistarkoituksen puitteissa, jos tiedot on kerätty jonkin tietosuojalain 15 §:n 1 momentin 2, 3 tai 5 kohdassa mainitun oikeusperustan nojalla. Tämä sulkee pois erityisesti tietojen luovuttamisen rekisterinpitäjän ”perustellun edun” perusteella. Tämän lisäksi tietosuojalain 17 §:n 4 momentissa sallitaan tietojen luovuttaminen kolmannelle osapuolelle keräämistarkoitukseen ”kohtuudella liittyvissä puitteissa”, ottaen jälleen huomioon rekisteröidylle mahdollisesti aiheutuvat haitat ja edellyttäen, että tarvittavat turvatoimet (esim. salaus) on toteutettu. Johdanto-osan (36) kappaleessa kuvatut tekijät on otettava huomioon myös arvioitaessa sitä, kattavatko keräämistarkoitus ja siihen liittyvät suojatoimet kohtuullisesti myös luovuttamisen (eli arvioimalla tietosuojapolitiikan läpinäkyvyyttä ja tietosuojavastaavan osallistumista).

(38)

Se, että korealainen rekisterinpitäjä ottaa vastaan henkilötietoja unionista, katsotaan tietosuojalain 15 §:ssä tarkoitetuksi ”keräämiseksi”. Ilmoituksessa N:o 2021-5 (tämän päätöksen liitteessä I oleva I jakso) selvennetään, että tarkoitus, jota varten asianomainen EU:n yksikkö siirsi tiedot, on korealaisen rekisterinpitäjän kannalta tietojen keräämistarkoitus. Tästä seuraa, että henkilötietoja unionista vastaanottavien korealaisten rekisterinpitäjien on periaatteessa käsiteltävä kyseisiä tietoja siirron tarkoituksen mukaisesti, kuten tietosuojalain 17 §:ssä säädetään.

(39)

Erityisiä rajoituksia sovelletaan, jos rekisterinpitäjä aikoo käyttää henkilötietoja tai luovuttaa ne kolmannelle osapuolelle muuhun kuin keräämistarkoitukseen (57). Tietosuojalain 18 §:n 2 momentin mukaan yksityinen rekisterinpitäjä voi poikkeuksellisesti (58) käyttää henkilötietoja tai luovuttaa ne kolmannelle osapuolelle eri tarkoitukseen 1) rekisteröidyn täydentävän (erillisen) suostumuksen perusteella; 2) jos tästä säädetään erityissäännöksissä; tai 3) jos se on ilmeisen tarpeellista, jotta voidaan suojella rekisteröidyn tai kolmannen osapuolen henkeä, terveyttä tai omaisuutta välittömältä vaaralta (vain jos rekisteröity ei itse kykene ilmaisemaan tahtoaan tai ennakkosuostumusta ei ole mahdollista saada) (59).

(40)

Myös julkiset laitokset voivat tietyissä tilanteissa käyttää henkilötietoja tai luovuttaa niitä kolmannelle osapuolelle muuta kuin alkuperäistä tarkoitusta varten. Näin on muun muassa silloin kun niiden olisi muutoin mahdotonta hoitaa lakisääteiset tehtävänsä laissa säädetyllä tavalla, edellyttäen että tietosuojalautakunta antaa luvan. Julkiset laitokset voivat myös luovuttaa henkilötietoja toiselle viranomaiselle tai tuomioistuimelle, jos se on tarpeen rikosten tutkintaa ja syytteeseenpanoa varten tai jotta tuomioistuin voi hoitaa käynnissä olevaan oikeudenkäyntiin liittyvät tehtävänsä tai rikosoikeudellisen rangaistuksen tai huostaanotto- tai säilöönottomääräyksen täytäntöönpanoa varten (60). Julkiset laitokset voivat myös luovuttaa henkilötietoja vieraan valtion hallitukselle tai kansainväliselle organisaatiolle perussopimukseen tai kansainväliseen sopimukseen perustuvan oikeudellisen velvoitteen noudattamiseksi; tällöin niiden on noudatettava rajatylittäville tiedonsiirroille asetettuja vaatimuksia (ks. johdanto-osan (90) kappale).

(41)

Tämä tarkoittaa, että käsittelyn lainmukaisuuden ja asianmukaisuuden periaatteet on pantu Korean oikeudellisessa kehyksessä täytäntöön olennaisilta osin asetusta (EU) 2016/679 vastaavalla tavalla, eli sallimalla käsittely ainoastaan oikeutettujen ja selkeästi määriteltyjen perusteiden nojalla. Lisäksi käsittely sallitaan kaikissa mainituissa tapauksissa vain jos se todennäköisesti ei ”loukkaa oikeudettomasti” rekisteröidyn tai kolmannen osapuolen etuja, mikä edellyttää etujen tasapainottamista. Lisäksi tietosuojalain 18 §:n 5 momentissa säädetään täydentävistä suojatoimista silloin kun rekisterinpitäjä luovuttaa henkilötietoja kolmannelle osapuolelle. Tämä voi edellyttää käyttötarkoituksen tai -tavan rajoittamista tai erityisten turvatoimien toteuttamista. Myös kolmannen osapuolen on puolestaan toteutettava vaaditut toimenpiteet.

(42)

Lopuksi todetaan, että tietosuojalain 28-2 §:ssä sallitaan pseudonymisoitujen tietojen (myöhempi) käsittely ilman asianomaisen henkilön suostumusta tilastollisia ja tieteellisiä tarkoituksia varten (61) sekä tietojen arkistointi yleisen edun mukaisia tarkoituksia varten, edellyttäen että noudatetaan erityisiä suojatoimia. Samoin kuin asetuksella (EU) 2016/679 (62), myös Korean tietosuojalailla helpotetaan näin henkilötietojen (myöhempää) käsittelyä tällaisia tarkoituksia varten, edellyttäen että käytössä on asianmukaiset suojatoimet yksilöiden oikeuksien suojaamiseksi. Sen sijaan että tietosuojalaissa säädettäisiin pseudonymisoinnista mahdollisena suojatoimena, siinä asetetaan se ennakkoedellytykseksi tietyille käsittelytoimille, jotka liittyvät tilastollisiin ja tieteellisiin tarkoituksiin ja yleisen edun mukaisiin arkistointitarkoituksiin (sen ansiosta tietoja voidaan käsitellä ilman suostumusta tai yhdistää eri tietokokonaisuuksia).

(43)

Lisäksi tietosuojalaissa säädetään useista erityisistä suojatoimista, jotka koskevat erityisesti vaadittuja teknisiä ja organisatorisia toimenpiteitä, tietojen kirjaamista, tietojen yhteiskäyttöä koskevia rajoituksia ja mahdolliseen uudelleentunnistamiseen liittyviä riskejä. Johdanto-osan (44) – (48) kappaleessa esitettyjen eri suojatoimien yhdistelmällä varmistetaan, että henkilötietojen käsittelyyn sovelletaan tässä yhteydessä olennaisilta osin samanlaisia suojatoimia kuin ne, joita edellytetään asetuksen (EU) 2016/679 mukaisesti.

(44)

Ensimmäiseksi on mainittava tärkein seikka eli se, että tietosuojalain 28-5 §:n 1 momentissa kielletään pseudonymisoitujen tietojen käsittely yksittäisen henkilön tunnistamiseksi. Jos pseudonymisoitujen tietojen käsittelyn yhteydessä kuitenkin syntyy tietoja, jotka saattaisivat johtaa yksittäisen henkilön tunnistamiseen, rekisterinpitäjän on välittömästi keskeytettävä käsittely ja tuhottava tällaiset tiedot (tietosuojalain 28-5 §:n 2 momentti). Näiden säännösten laiminlyönti on rikos, josta voidaan määrätä hallinnollisia sakkoja (63). Tämä tarkoittaa, että myös niissä tilanteissa, joissa yksittäisen henkilön tunnistaminen olisi käytännössä mahdollista, se on oikeudellisesti kielletty.

(45)

Toiseksi, kun on kyseessä pseudonymisoitujen tietojen (myöhempi) käsittely tällaisia tarkoituksia varten, rekisterinpitäjän on toteutettava erityiset tekniset, hallinnolliset ja fyysiset suojatoimet tietojen turvallisuuden varmistamiseksi (muun muassa säilyttämällä ja hallinnoimalla erikseen niitä tietoja, jotka ovat tarpeen pseudonymisoitujen tietojen palauttamiseksi alkuperäiseen tilaansa) (64). Lisäksi on pidettävä kirjaa käsitellyistä pseudonymisoiduista tiedoista, käsittelytarkoituksesta, käyttöhistoriasta ja mahdollisista kolmansista osapuolista, joille tietoja on luovutettu (tietosuojalain täytäntöönpanoasetuksen 29-5 §:n 2 momentti).

(46)

Kolmantena ja viimeisenä seikkana tietosuojalaissa säädetään erityisistä suojatoimista, jotta voidaan estää kolmansia osapuolia tunnistamasta yksittäisiä henkilöitä siinä tapauksessa, että tietoja luovutetaan niille. Erityisesti säädetään, että silloin kun pseudonymisoituja tietoja luovutetaan kolmannelle osapuolelle tilastointia, tieteellistä tutkimusta tai yleisen edun mukaista arkistointia varten, rekisterinpitäjä ei saa sisällyttää luovutettaviin tietoihin tietoja, joita voitaisiin käyttää yksittäisen henkilön tunnistamiseen (tietosuojalain 28-2 §:n 2 momentti) (65).

(47)

Mainittakoon myös, että vaikka tietosuojalaissa sallitaan (eri rekisterinpitäjien käsittelemien) pseudonymisoitujen tietojen yhdistäminen tilastointia, tieteellistä tutkimusta tai yleisen edun mukaista arkistointia varten, nämä valtuudet varataan siinä tähän erikoistuneille laitoksille, joilla on käytössään erityiset turvajärjestelyt (tietosuojalain 28-3 §:n 1 momentti) (66). Kun rekisterinpitäjä hakee pseudonymisoitujen tietojen yhdistämistä, sen on toimitettava dokumentaatio muun muassa yhdistettävistä tiedoista ja yhdistämisen tarkoituksesta sekä yhdistettyjen tietojen käsittelyä varten ehdotetuista turvatoimista (67). Jotta tietojen yhdistäminen voitaisiin hyväksyä, rekisterinpitäjän on lähetettävä tiedot erikoistuneelle laitokselle ja toimitettava pseudonymisoinnissa käytetty ”yhdistelmäavain” Korean internet- ja turvallisuusvirastolle (Internet and Security Agency) (68). Virasto luo tähän yhdistelmäavaimeen liittyvät linkkitiedot (joiden avulla eri hakijoiden yhdistelmäavaimet voidaan linkittää toisiinsa tietokokonaisuuksien yhdistämiseksi) ja toimittaa ne erikoistuneelle laitokselle (69).

(48)

Yhdistämistä pyytävä rekisterinpitäjä voi analysoida yhdistettyjä tietoja erikoistuneen laitoksen tiloissa, joissa sovelletaan erityisiä teknisiä, fyysisiä ja hallinnollisia turvatoimia (tietosuojalain täytäntöönpanoasetuksen 29-3 §). Rekisterinpitäjät, jotka toimittavat jonkin tietokokonaisuuden tällaista yhdistämistä varten, voivat viedä yhdistetyt tiedot erikoistuneen laitoksen ulkopuolelle vasta kun yhdistetyt tiedot on pseudonymisoitu tai anonymisoitu uudestaan ja asianomaisen laitoksen luvalla (tietosuojalain 28-3 §:n 2 momentti) (70). Luvan myöntämistä varten laitos arvioi yhdistettyjen tietojen ja käsittelytarkoituksen välisiä yhteyksiä ja tarkistaa, onko tällaisten tietojen käyttöä varten laadittu erityinen turvallisuussuunnitelma (71). Yhdistettyjä tietoja ei saa viedä laitoksen ulkopuolelle, jos niihin sisältyy tietoja, jotka voivat johtaa yksittäisen henkilön tunnistamiseen (72). Myös tietosuojalautakunta valvoo erikoistuneen laitoksen toteuttamaa pseudonymisoitujen tietojen yhdistämistä ja luovuttamista (tietosuojalain täytäntöönpanoasetuksen 29-4 §:n 3 momentti).

(49)

”Erityisiä tietoryhmiä” käsiteltäessä olisi sovellettava erityisiä suojatoimia.

(50)

Korean tietosuojalaissa säädetään erikseen arkaluonteisten tietojen (73) käsittelystä. Tällaiset tiedot ovat henkilötietoja, jotka paljastavat yksittäisen henkilön poliittiseen tai uskonnolliseen vakaumukseen, ammattiliiton tai puolueen jäsenyyteen tai siitä eroamiseen, poliittisiin mielipiteisiin, terveydentilaan tai sukupuolielämään liittyviä tietoja tai muita henkilökohtaisia tietoja, joiden paljastuminen todennäköisesti vaarantaisi ”huomattavasti” hänen yksityisyytensä ja jotka on määritelty arkaluonteisiksi presidentin asetuksella (74). Tietosuojalautakunnalta saatujen selvitysten mukaan sukupuolielämää koskevien tietojen katsotaan kattavan myös yksilön seksuaalisen suuntautumisen ja seksuaaliset mieltymykset (75). Tietosuojalain täytäntöönpanoasetuksen 18 §:ssä määritetään myös muita arkaluonteisia tietoryhmiä, kuten geneettisistä testeistä saadut DNA-tiedot ja rikosrekisteritiedot. Tietosuojalain täytäntöönpanoasetuksen äskettäisen muutoksen yhteydessä arkaluonteisten tietoryhmien käsitettä on edelleen laajennettu sisällyttämällä siihen myös henkilötiedot, joista käy ilmi rotu tai etninen alkuperä, ja biometriset tiedot (76). Tämän muutoksen tuloksena tietosuojalaissa esitetty arkaluonteisten tietojen käsite vastaa olennaisilta osin asetuksen (EU) 2016/679 9 artiklassa olevaa käsitettä.

(51)

Tietosuojalain 23 §:n 1 momentin mukaan ja samaan tapaan kuin asetuksen (EU) 2016/679 9 artiklan 1 kohdassa säädetään, arkaluonteisten tietojen käsittely on pääsääntöisesti kielletty, ellei sovelleta jotakin erikseen mainittua poikkeusta (77). Kyseisissä poikkeuksissa rajoitetaan käsittely tapauksiin, joissa rekisterinpitäjä ilmoittaa siitä rekisteröidylle tietosuojalain 15 ja 17 §:n mukaisesti ja saa tältä erillisen suostumuksen (erillisen suhteessa muiden henkilötietojen käsittelyä koskevaan suostumukseen), tai joissa käsittelyä edellytetään tai se sallitaan lain nojalla. Myös viranomaiset voivat käsitellä biometrisiä tietoja, geneettisistä testeistä saatuja DNA-tietoja, rodun tai etnisen alkuperän paljastavia henkilötietoja ja rikosrekisteritietoja yksinomaan näiden viranomaisten käytettävissä olevien perusteiden nojalla (esimerkiksi jos käsittely on tarpeen rikostutkintaa tai käynnissä olevan oikeuskäsittelyn jatkamista varten) (78). Arkaluonteisten tietojen käsittelyä varten on yleensä käytettävissä vähemmän oikeusperustoja kuin muuntyyppisten henkilötietojen käsittelyä varten, ja Korean lainsäädännössä ne ovat vielä rajoittavampia kuin ne, joista säädetään asetuksen (EU) 2016/679 9 artiklan 2 kohdassa.

(52)

Lisäksi tietosuojalain 23 §:n 2 momentissa (jonka noudattamatta jättäminen voi johtaa seuraamuksiin (79)) korostetaan asianmukaisten turvatoimien merkitystä arkaluonteisten tietojen käsittelyssä, jotta voidaan estää niiden ”katoaminen, varastaminen, paljastaminen, väärentäminen, muuttaminen ja vahingoittuminen”. Tämä on tietosuojalain 29 §:ään perustuva yleinen vaatimus, mutta 3 §:n 4 momentissa selvennetään, että turvallisuustasoa on mukautettava sen mukaan, minkä tyyppisiä henkilötietoja käsitellään. Tämä tarkoittaa, että on otettava huomioon erityisesti arkaluonteisten tietojen käsittelyyn liittyvät riskit. Lisäksi tietojenkäsittely on aina suoritettava niin, että voidaan ”minimoida rekisteröidyn yksityisyyden loukkaamisen mahdollisuus”, ja mahdollisuuksien mukaan ”anonymisoidussa muodossa” (tietosuojalain 3 §:n 6 ja 7 momentti). Nämä vaatimukset ovat erityisen tärkeitä silloin kun käsitellään arkaluonteisia tietoja.

(53)

Henkilötietoja olisi kerättävä tiettyä käsittelytarkoitusta varten ja tavalla, joka ei ole ristiriidassa kyseisen tarkoituksen kanssa.

(54)

Tämä periaate vahvistetaan tietosuojalain 3 §:n 1 ja 2 momentissa, joiden mukaan rekisterinpitäjän on ”täsmennettävä ja ilmoitettava” käsittelyn tarkoitus ja käsiteltävä henkilötietoja kyseisen tarkoituksen kannalta asianmukaisella tavalla. Tietoja ei saa käyttää muuhun kuin kyseiseen tarkoitukseen. Käyttötarkoituksen rajoittamista koskeva yleinen periaate vahvistetaan myös tietosuojalain 15 §:n 1 momentissa, 18 §:n 1 momentissa, 19 §:ssä ja käsittelijöiden (nk. toimeksisaajien) osalta 26 §:n 1 momentin 1 kohdassa sekä 5 ja 7 momentissa. Periaatteessa henkilötietoja voidaan käyttää ja luovuttaa kolmannelle osapuolelle ainoastaan sen käyttötarkoituksen puitteissa, jota varten ne alun perin kerättiin (15 §:n 1 momentti ja 17 §:n 1 momentin 2 kohta). Käsittely yhteensopivaa käyttötarkoitusta eli ”alkuperäiseen keräämistarkoitukseen kohtuudella liittyvää käyttötarkoitusta” varten voidaan sallia vain jos siitä ei aiheudu haittaa asianomaisille rekisteröidyille ja jos käytössä on tarvittavat turvatoimet (kuten salaus) (tietosuojalain 15 §:n 3 momentti ja 17 §:n 4 momentti). Sen määrittämiseksi, millainen myöhemmän käsittelyn tarkoitus on ”yhteensopiva” alkuperäisen tarkoituksen kanssa, tietosuojalain täytäntöönpanoasetuksessa luetellaan erityiset kriteerit, jotka vastaavat asetuksen (EU) 2016/679 6 artiklan 4 kohdassa esitettyjä vaatimuksia, ks. johdanto-osan (36) kappale.

(55)

Kuten johdanto-osan (38) kappaleessa selitettiin, silloin kun korealaiset rekisterinpitäjät vastaanottavat henkilötietoja unionista, keräämistarkoitus on se tarkoitus, jota varten tiedot siirretään. Rekisterinpitäjä voi muuttaa tarkoitusta vain tietyissä erikseen luetelluissa poikkeustapauksissa (tietosuojalain 18 §:n 2 momentin 1–3 kohta, ks. myös johdanto-osan (39) kappale). Siltä osin kuin käyttötarkoituksen muuttaminen sallitaan laissa, myös tällaisten lakien on oltava yksityisyyttä ja tietosuojaa koskevien perusoikeuksien sekä Korean perustuslaissa vahvistettujen tarpeellisuutta ja oikeasuhteisuutta koskevien periaatteiden mukaisia. Tietosuojalain 18 §:n 2 ja 5 momentissa säädetään lisäksi täydentävistä suojatoimista, erityisesti vaatimuksesta, jonka mukaan tällainen käsittelytarkoituksen muutos ei saa ”oikeudettomasti loukata rekisteröidyn etua”, eli etujen tasapainottamista edellytetään aina. Tämä tietosuojan taso vastaa olennaisilta osin sitä suojelutasoa, joka perustuu asetuksen (EU) 2016/679 5 artiklan 1 kohdan b alakohtaan ja 6 artiklaan, luettuna yhdessä johdanto-osan 50 kappaleen kanssa.

(56)

Henkilötietojen olisi oltava täsmällisiä, ja ne olisi tarvittaessa pidettävä ajan tasalla. Tietojen on myös oltava asianmukaisia ja olennaisia, eivätkä ne saa olla liian laajoja siihen tarkoitukseen nähden, jota varten niitä käsitellään.

(57)

Täsmällisyysperiaate tunnustetaan myös Korean tietosuojalain 3 §:n 3 momentissa, jonka mukaan henkilötietojen on oltava ”täsmällisiä, täydellisiä ja ajantasaisia siltä osin kuin on tarpeen niiden tarkoitusten kannalta”, joita varten tietoja käsitellään. Tietojen minimointia edellytetään tietosuojalain 3 §:n 1 ja 6 momentissa ja 16 §:n 1 momentissa, joiden mukaan rekisterinpitäjä voi kerätä henkilötietoja (ainoastaan) ”sen verran kuin on tarpeen” aiottua tarkoitusta varten ja että sillä on tältä osin todistustaakka. Jos tietojen keräämisen tarkoitus voidaan täyttää käsittelemällä tietoja anonymisoidussa muodossa, rekisterinpitäjien olisi pyrittävä toimimaan niin (tietosuojalain 3 §:n 7 momentti).

(58)

Henkilötietoja olisi periaatteessa säilytettävä ainoastaan niin kauan kuin on tarpeen niiden käsittelytarkoituksen kannalta.

(59)

Säilytyksen rajoittamisen periaate vahvistetaan tämän suuntaisesti tietosuojalain 21 §:n 1 momentissa (80), jonka mukaan rekisterinpitäjän on ”tuhottava” (81) henkilötiedot viipymättä sen jälkeen kun käsittelyn tarkoitus on saavutettu tai kun säilyttämisaika on kulunut umpeen (sen mukaan, kumpi ajankohta on aikaisempi), paitsi jos laissa edellytetään tietojen säilyttämistä edelleen (82). Viimeksi mainitussa tapauksessa asianomaisia henkilötietoja on ”säilytettävä ja käsiteltävä erillään muista henkilötiedoista” (tietosuojalain 21 §:n 3 momentti).

(60)

Tietosuojalain 21 §:n 1 momenttia ei sovelleta, kun pseudonymisoituja tietoja käsitellään tilastointia, tieteellistä tutkimusta tai yleisen edun mukaista arkistointia varten (83). Jotta säilytyksen rajoittamista koskevan periaatteen noudattaminen voitaisiin varmistaa myös tässä tapauksessa, rekisterinpitäjien on ilmoituksen 2021-5 mukaan anonymisoitava tiedot tietosuojalain 58-2 §:n mukaisesti, jos niitä ei ole käsittelytarkoituksen saavuttamisen jälkeen tuhottu (84).

(61)

Henkilötietoja olisi käsiteltävä tavalla, jolla varmistetaan niiden turvallisuus, mukaan lukien suojaaminen luvattomalta tai laittomalta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta. Tätä varten toiminnanharjoittajien olisi toteutettava asianmukaisia teknisiä tai organisatorisia toimenpiteitä henkilötietojen suojaamiseksi mahdollisilta uhkilta. Näitä toimenpiteitä arvioitaessa olisi otettava huomioon uusin tekniikka, toimenpiteisiin liittyvät kustannukset sekä käsittelyn luonne, laajuus, konteksti ja tarkoitus sekä yksilöiden oikeuksiin kohdistuvat riskit.

(62)

Vastaava turvallisuusperiaate vahvistetaan Korean tietosuojalain 3 §:n 4 momentissa, jonka mukaan rekisterinpitäjien on ”hallinnoitava henkilötietoja turvallisesti ottaen huomioon muun muassa käsittelymenetelmät ja tietojen tyyppi sekä rekisteröidyn oikeuksien loukkaamisen mahdollisuus ja siihen liittyvien riskien vakavuus”. Lisäksi rekisterinpitäjän on ”käsiteltävä henkilötietoja niin, että voidaan minimoida mahdollisuus rekisteröidyn yksityisyyden loukkaamiseen”. Tässä yhteydessä henkilötietoja olisi mahdollisuuksien mukaan pyrittävä käsittelemään anonymisoidussa tai pseudonymisoidussa muodossa (tietosuojalain 3 §:n 6 ja 7 momentti).

(63)

Näitä yleisiä vaatimuksia täsmennetään tietosuojalain 29 §:ssä, jonka mukaan kaikkien rekisterinpitäjien on ”toteutettava tarvittavat tekniset, hallinnolliset ja fyysiset toimenpiteet sisäisen hallintasuunnitelman perustamista ja kirjautumistietojen tallentamista varten, jotta voidaan varmistaa presidentin asetuksessa tarkoitettu henkilötietojen turvallisuus ja estää niiden katoaminen, varastaminen, paljastaminen, väärentäminen, muuttaminen ja vahingoittuminen”. Tietosuojalain täytäntöönpanoasetuksen 30 §:n 1 momentissa täsmennetään kyseiset toimenpiteet mainitsemalla 1) sisäisen hallintasuunnitelman laatiminen ja täytäntöönpano henkilötietojen turvallisen käsittelyn varmistamiseksi, 2) pääsynvalvonta ja -rajoitukset, 3) salausteknologian käyttöönotto henkilötietojen turvallista säilyttämistä ja siirtämistä varten, 4) kirjautumistietojen tallentaminen, 5) turvallisuusohjelmat, ja 6) fyysiset toimenpiteet, kuten turvallinen säilytys- tai lukitusjärjestelmä (85).

(64)

Lisäksi tietoturvaloukkauksien tapahtuessa sovelletaan erityisiä velvoitteita (tietosuojalain 34 § yhdessä täytäntöönpanoasetuksen 39 ja 40 §:n kanssa) (86). Rekisterinpitäjän on erityisesti ilmoitettava tietoturvaloukkauksen kohteeksi joutuneille käyttäjille viipymättä sitä koskevat yksityiskohtaiset tiedot (87), mukaan lukien tiedot rekisterinpitäjän toteuttamista (pakollisista) vastatoimista ja siitä, mitä rekisteröidyt voivat tehdä vahinkojen minimoimiseksi (tietosuojalain 34 §:n 1 ja 2 momentti) (88). Jos tietoturvaloukkaus koskee vähintään tuhatta rekisteröityä, rekisterinpitäjän on viipymättä ilmoitettava siitä ja toteutetuista vastatoimista tietosuojalautakunnalle ja Korean internet- ja turvallisuusvirastolle, joka voi antaa teknistä apua (tietosuojalain 34 §:n 3 momentti yhdessä sen täytäntöönpanoasetuksen 39 §:n kanssa). Rekisterinpitäjät ovat vastuussa tietoturvaloukkauksista aiheutuvista vahingoista vahingonkorvausvastuusta annetun lain (Civil Act on tort liability) mukaisesti (ks. myös oikeussuojakeinoja koskeva 2.5 kohta) (89).

(65)

Rekisterinpitäjällä on oltava turvallisuusvelvoitteiden noudattamisessa apunaan tietosuojavastaava, jonka tehtäviin kuuluu muun muassa sisäisen valvontajärjestelmän luominen ”henkilötietojen paljastamisen ja väärinkäytön estämiseksi” (tietosuojalain 31 §:n 2 momentin 4 kohta). Rekisterinpitäjällä on myös velvollisuus ”valvoa asianmukaisesti” niitä henkilöstönsä jäseniä, jotka käsittelevät henkilötietoja, mukaan lukien niiden turvallinen hallinnointi; tämä käsittää työntekijöiden tarvittavan koulutuksen (tietosuojalain 28 §:n 1 ja 2 momentti). Jos käsittelystä vastaa alihankkija, rekisterinpitäjän on asetettava toimeksisaajalle muun muassa henkilötietojen turvallista hallinnointia koskevia vaatimuksia (”tekniset ja hallinnolliset suojatoimet”) ja valvottava niiden noudattamista tarkastusten avulla (tietosuojalain 26 §:n 1 ja 4 momentti yhdessä sen täytäntöönpanoasetuksen 28 §:n 1 momentin 3, 4 ja 6 kohdan kanssa).

(66)

Rekisteröidyille olisi ilmoitettava heidän henkilötietojensa käsittelyn pääkohdat.

(67)

Tämä varmistetaan Korean järjestelmässä eri tavoin. Tietosuojalaissa säädetään paitsi oikeudesta tiedonsaantiin yleensä (4 §:n 1 kohta) ja kolmansilta osapuolilta kerättyjen henkilötietojen osalta erikseen (20 §:n 1 momentti) sekä oikeudesta saada pääsy omiin tietoihin (35 §). Lisäksi siinä säädetään käsittelyn läpinäkyvyyttä koskevasta yleisestä vaatimuksesta (3 §:n 1 momentti) ja erityisvaatimuksesta, joka koskee läpinäkyvyyttä silloin kun käsittely perustuu suostumukseen (15 §:n 2 momentti, 17 §:n 2 momentti ja 18 §:n 3 momentti) (90). Tämän lisäksi tietosuojalain 20 §:n 2 momentissa edellytetään, että tiettyjen rekisterinpitäjien (joiden osalta käsittely ylittää tietyt kynnysarvot (91)) on ilmoitettava niille rekisteröidyille, joiden henkilötiedot ne ovat saaneet kolmannelta osapuolelta, tietojen lähde ja käyttötarkoitus sekä se, että rekisteröidyllä on oikeus vaatia käsittelyn keskeyttämistä, paitsi jos tällainen ilmoittaminen osoittautuu mahdottomaksi yhteystietojen puuttumisen vuoksi. Ilmoitusvelvollisuuteen liittyvät poikkeukset koskevat tiettyjä viranomaisten henkilötietorekistereitä ja erityisesti rekistereitä, joiden tietoja käsitellään kansallista turvallisuutta tai muita erityisen tärkeitä (”vakavia”) kansallisia etuja tai lainvalvontatarkoituksia varten. Poikkeuksia sovelletaan myös, jos ilmoittaminen todennäköisesti vahingoittaisi jonkun toisen henkilön henkeä tai terveyttä tai aiheuttaisi oikeudettomasti vahinkoa toisen henkilön omaisuudelle ja muille eduille, kuitenkin vain siinä tapauksessa, että asiaan liittyvä julkinen tai yleinen etu on ”selvästi suurempi” kuin asianomaisten rekisteröityjen oikeudet (tietosuojalain 20 §:n 4 momentti). Tämä edellyttää asianomaisten etujen tasapainottamista.

(68)

Lisäksi tietosuojalain 3 §:n 5 momentissa säädetään, että rekisterinpitäjien on julkistettava tietosuojaselosteensa (ja muut henkilötietojen käsittelyyn liittyvät asiat). Tätä vaatimusta täsmennetään tarkemmin tietosuojalain 30 §:ssä yhdessä täytäntöönpanoasetuksen 31 §:n kanssa. Mainittujen säännösten mukaan julkisessa tietosuojaselosteessa on mainittava 1) minkätyyppisiä henkilötietoja käsitellään, 2) käsittelyn tarkoitus, 3) säilytysaika, 4) onko henkilötietoja toimitettu kolmannelle osapuolelle (92), 5) mahdollinen alihankinta, 6) tiedot rekisteröidyn oikeuksista ja niiden käyttämisestä ja 7) yhteystiedot (mukaan lukien tietosuojavastaavan tai sen sisäisen osaston nimi, joka vastaa tietosuojasääntöjen noudattamisesta ja valitusten käsittelystä). Tietosuojaseloste on saatettava julkisesti saataville siten, että rekisteröidyt ”voivat tunnistaa sen helposti” (tietosuojalain 30 §:n 2 momentti) (93), ja se on pidettävä jatkuvasti ajan tasalla (täytäntöönpanoasetuksen 31 §:n 2 momentti).

(69)

Julkisilla laitoksilla on lisäksi velvollisuus rekisteröidä tietosuojalautakunnassa erityisesti seuraavat tiedot: 1) julkisen laitoksen nimi, 2) henkilötietorekisterin käsittelyn perusteet ja tarkoitukset, 3) rekisteröitävien henkilötietojen yksityiskohdat, 4) käsittelymenetelmä, 5) säilytysaika, 6) niiden rekisteröityjen määrä, joiden henkilötietoja säilytetään, 7) rekisteröityjen pyyntöjä käsittelevä osasto ja 8) henkilötietojen vastaanottajat, silloin kun tietoja toimitetaan rutiininomaisesti tai toistuvasti (tietosuojalain 32 §:n 1 momentti) (94). Tietosuojalautakunta julkaisee rekisteröidyt henkilötietorekisterit, ja julkisten laitosten on myös mainittava ne tietosuojaselosteessaan (tietosuojalain 30 §:n 1 momentti ja 32 §:n 4 momentti).

(70)

Jotta voitaisiin parantaa läpinäkyvyyttä niiden unionin rekisteröityjen kannalta, joiden henkilötietoja siirretään Koreaan tämän päätöksen perusteella, ilmoituksen N:o 2021-5 (liite I) 3 kohdan i ja ii alakohdassa säädetään läpinäkyvyyttä koskevista lisävaatimuksista. Kun korealaiset rekisterinpitäjät vastaanottavat henkilötietoja unionista tämän päätöksen perusteella, niiden on ensinnäkin ilmoitettava asianomaisille rekisteröidyille viipymättä (ja viimeistään kuukauden kuluessa tietojen siirtämisestä) niiden yksiköiden nimi ja yhteystiedot, jotka lähettävät ja vastaanottavat tietoja, mitä henkilötietoja (tai henkilötietoryhmiä) siirretään, tarkoitus jota varten korealainen rekisterinpitäjä kerää tiedot, tietojen säilytysaika ja Korean tietosuojalain nojalla käytettävissä olevat oikeudet. Toiseksi, kun henkilötietoja luovutetaan unionista tämän päätöksen perusteella kolmannelle osapuolelle, rekisteröidyille on ilmoitettava muun muassa tietojen vastaanottaja, mitä henkilötietoja tai tietoryhmiä luovutetaan, maa johon tiedot luovutetaan (tarvittaessa) sekä Korean tietosuojalain nojalla käytettävissä olevat oikeudet (95). Näin ilmoituksella N:o 2021-5 varmistetaan, että EU:n luonnolliset henkilöt saavat edelleen tiedon siitä, mitkä rekisterinpitäjät käsittelevät heidän tietojaan ja voivat käyttää oikeuksiaan suhteessa asianomaisiin yksiköihin.

(71)

Ilmoituksen (liite I) 3 kohdan iii alakohdassa sallitaan tietyt rajoitetut ja ehdolliset poikkeukset näistä läpinäkyvyyttä koskevista lisävaatimuksista; poikkeukset vastaavat olennaisilta osin asetuksen (EU) 2016/679 säännöksiä. Poikkeuksissa säädetään erityisesti, että ilmoitusta unionin rekisteröidyille ei vaadita, 1) jos ja niin kauan kuin ilmoittamista on tarpeen rajoittaa tietyistä yleistä etua koskevista syistä (esimerkiksi kun tietoja käsitellään kansalliseen turvallisuuteen liittyviä tarkoituksia tai käynnissä olevaa rikostutkintaa varten), siltä osin kuin nämä yleisen edun mukaiset tavoitteet ovat selvästi rekisteröidyn oikeuksia tärkeämpiä; 2) rekisteröity on jo saanut tiedot; 3) jos ja niin kauan kuin ilmoittaminen todennäköisesti vahingoittaisi asianomaisen tai jonkun toisen henkilön henkeä tai terveyttä tai loukkaisi oikeudettomasti toisen henkilön omistusoikeuksia, kun nämä oikeudet tai edut ovat selvästi rekisteröidyn oikeuksia tärkeämpiä; tai 4) kun asianomaisten henkilöiden yhteystietoja ei ole tai heille ilmoittaminen aiheuttaisi kohtuutonta vaivaa. Määritettäessä sitä, onko rekisteröityyn mahdollista ottaa yhteyttä tai aiheutuuko siitä kohtuutonta vaivaa, on otettava huomioon mahdollisuus tehdä yhteistyötä unionissa olevan tietojen viejän kanssa.

(72)

Näin ollen johdanto-osan (67)–(71) kappaleessa esitetyillä säännöillä varmistetaan läpinäkyvyyden osalta olennaisilta osin samantasoinen tietosuoja kuin asetuksessa (EU) 2016/679.

(73)

Rekisteröidyillä olisi oltava tietyt oikeudet, joihin voidaan vedota rekisterinpitäjää tai henkilötietojen käsittelijää vastaan, kuten oikeus saada pääsy tietoihin, oikeus vastustaa niiden käsittelyä ja oikeus saada tiedot oikaistuiksi ja poistetuiksi. Toisaalta näitä oikeuksia voidaan rajoittaa siltä osin kuin rajoitukset ovat tarpeen ja oikeasuhteisia yleisen edun mukaisten tärkeiden tavoitteiden turvaamiseksi.

(74)

Tietosuojalain 3 §:n 5 momentin mukaan rekisterinpitäjän on taattava lain 4 §:ssä luetellut rekisteröidyn oikeudet, joita täsmennetään lain 35–37, 39 ja 39-2 §:ssä.

(75)

Ensinnäkin rekisteröidyillä on oikeus tiedonsaantiin ja oikeus saada pääsy omiin tietoihinsa. Kun rekisterinpitäjä on kerännyt henkilötietoja kolmannelta osapuolelta – näin on aina silloin kun tiedot on siirretty unionista – rekisteröidyillä on yleensä oikeus saada tietoa 1) siitä, mistä lähteestä henkilötiedot on kerätty (eli tietojen siirtäjästä), 2) käsittelyn tarkoituksesta ja 3) siitä, että rekisteröidyllä on oikeus vaatia käsittelyn keskeyttämistä (tietosuojalain 20 §:n 1 momentti). Rajoitettuja poikkeuksia sovelletaan silloin kun ilmoittaminen todennäköisesti vahingoittaisi toisen henkilön henkeä tai terveyttä tai ”aiheuttaisi oikeudettomasti vahinkoa toisen henkilön omaisuudelle ja muille eduille”, mutta vain jos nämä kolmannen osapuolen edut ovat ”nimenomaisesti tärkeämpiä” kuin rekisteröidyn oikeudet (tietosuojalain 20 §:n 4 momentin 2 kohta).

(76)

Lisäksi tietosuojalain 35 §:n 1 ja 3 momentissa yhdessä sen täytäntöönpanoasetuksen 41 §:n 4 momentin kanssa säädetään, että rekisteröidyillä on oikeus saada pääsy henkilötietoihinsa (96). Pääsyoikeus tarkoittaa oikeutta saada vahvistus siihen, että tietoja käsitellään, ja tietoa siitä, minkä tyyppisiä tietoja käsitellään, mitä tarkoitusta varten ja kuinka kauan tietoja säilytetään. Lisäksi rekisteröidyllä on oikeus saada tietoa henkilötietojen mahdollisesta luovuttamisesta kolmannelle osapuolelle ja oikeus saada kopio käsiteltävistä henkilötiedoista (tietosuojalain 4 §:n 3 momentti yhdessä sen täytäntöönpanoasetuksen 41 §:n 1 momentin kanssa) (97). Pääsyoikeutta voidaan rajoittaa (osittainen pääsy) (98) tai se voidaan evätä kokonaan vain jos niin säädetään laissa (99) tai jos pääsyoikeuden myöntäminen todennäköisesti vahingoittaisi kolmannen osapuolen henkeä tai terveyttä tai aiheuttaisi oikeudettomasti vahinkoa toisen henkilön omaisuudelle ja muille eduille (tietosuojalain 35 §:n 4 momentti) (100). Viimeksi mainittu seikka edellyttää, että on löydettävä oikea tasapaino asianomaisen henkilön ja toisen henkilön perustuslailla suojattujen yksilön oikeuksien ja vapauksien välillä. Kun pääsyoikeutta rajoitetaan tai kun se evätään kokonaan, rekisterinpitäjän on ilmoitettava rekisteröidylle päätöksen perusteet ja muutoksenhakukeinot (tietosuojalain täytäntöönpanoasetuksen 41 §:n 5 momentti ja 42 §:n 2 momentti).

(77)

Toiseksi rekisteröidyillä on oikeus saada henkilötietonsa oikaistuksi tai poistetuksi (101), ”ellei muissa säännöksissä nimenomaisesti toisin säädetä” (tietosuojalain 36 §:n 1 ja 2 momentti) (102). Pääsyoikeutta koskevan pyynnön saatuaan rekisterinpitäjän on tutkittava asia viipymättä, toteutettava tarvittavat toimenpiteet (103) ja ilmoitettava niistä rekisteröidylle 10 päivän kuluessa. Jos pyyntöön ei voida suostua, rekisteröidylle on ilmoitettava myös epäämisen syyt ja muutoksenhakukeinot (tietosuojalain 36 §:n 4 momentti yhdessä sen täytäntöönpanoasetuksen 43 §:n 3 momentin kanssa) (104).

(78)

Rekisteröidyillä on myös oikeus viipymättä keskeyttää henkilötietojensa käsittely (105), paitsi jos sovelletaan jotakin erikseen lueteltua poikkeusta (tietosuojalain 37 §:n 1 ja 2 momentti) (106). Rekisterinpitäjä voi evätä pyynnön, 1) jos se nimenomaisesti sallitaan laissa tai on tarpeen (”välttämätöntä”) lakisääteisten velvoitteiden noudattamiseksi, 2) jos keskeyttäminen todennäköisesti vahingoittaisi kolmannen osapuolen henkeä tai terveyttä tai aiheuttaisi oikeudettomasti vahinkoa toisen henkilön omaisuudelle ja muille eduille, 3) jos julkisen laitoksen olisi mahdoton suorittaa lakisääteisiä tehtäviään kyseisiä tietoja käsittelemättä, tai 4) jos rekisteröity ei nimenomaisesti irtisano rekisterinpitäjän kanssa tehtyä sopimusta, vaikka sopimuksen täyttäminen olisi mahdotonta ilman tällaista tietojen käsittelyä. Tässä tapauksessa rekisterinpitäjän on viipymättä ilmoitettava rekisteröidylle epäämisen syyt ja muutoksenhakukeinot (tietosuojalain 37 §:n 2 momentti yhdessä täytäntöönpanoasetuksen 44 §:n 2 momentin kanssa). Tietosuojalain 37 §:n 4 momentin mukaan rekisterinpitäjän on käsittelyn keskeyttämistä koskevan pyynnön noudattamiseksi viipymättä ”toteutettava tarvittavat toimenpiteet, mukaan lukien asianomaisten henkilötietojen tuhoaminen” (107).

(79)

Oikeutta käsittelyn keskeyttämiseen sovelletaan myös silloin kun henkilötietoja käytetään suoramarkkinointitarkoituksiin eli tavaroiden tai palvelujen myynnin edistämiseen. Lisäksi tällainen myöhempi käsittely edellyttää yleensä rekisteröidyn (täydentävää) suostumusta (tietosuojalain 15 §:n 1 momentin 1 kohta ja 17 §:n 2 momentin 1 kohta) (108). Tällaista suostumusta pyytäessään rekisterinpitäjän on ilmoitettava rekisteröidylle erityisesti siitä, että tietoja on tarkoitus käyttää suoramarkkinointiin – eli että häneen voidaan ottaa yhteyttä tavaroiden tai palvelujen myynnin edistämiseksi – ”nimenomaisen tunnistettavasti” (tietosuojalain 22 §:n 2 ja 4 momentti yhdessä sen täytäntöönpanoasetuksen 17 §:n 2 momentin 1 kohdan kanssa).

(80)

Rekisterinpitäjän on pyrittävä helpottamaan yksilön oikeuksien käyttämistä ottamalla käyttöön sitä varten erityiset menettelyt ja ilmoittamalla niistä julkisesti (tietosuojalain 38 §:n 4 momentti) (109). Tämä tarkoittaa myös menettelyjä, joilla voidaan vastustaa pyynnön epäämistä (tietosuojalain 38 §:n 5 momentti). Rekisterinpitäjän on huolehdittava sitä että oikeuksien käyttämistä koskeva menettely on rekisteröidyn kannalta helppokäyttöinen ja ettei se ole vaikeampi kuin henkilötietojen keräämisessä käytettävä menettely; tähän sisältyy myös velvollisuus ilmoittaa menettelystä rekisterinpitäjän verkkosivustolla (tietosuojalain täytäntöönpanoasetuksen 41 §:n 2 momentti, 43 §:n 1 momentti ja 44 §:n 1 momentti) (110). Rekisteröity voi valtuuttaa edustajan tekemään tällaisen pyynnön puolestaan (tietosuojalain 38 §:n 1 momentti yhdessä sen täytäntöönpanoasetuksen 45 §:n kanssa). Rekisterinpitäjällä on oikeus periä tietojen toimittamisesta maksu (ja postikulut, jos henkilötietojen kopiot pyydetään lähettämään postitse), jonka suuruus on määritettävä ”[pyynnön] käsittelystä aiheutuvien todellisten kustannusten mukaan”; maksua (ja postikuluja) ei saa periä, jos rekisterinpitäjä on itse aiheuttanut pyynnön (tietosuojalain 38 §:n 3 momentti yhdessä sen täytäntöönpanoasetuksen 47 §:n kanssa).

(81)

Tietosuojalaki ja sen täytäntöönpanoasetus eivät sisällä yleisiä säännöksiä rekisteröityyn vaikuttavista päätöksistä, jotka perustuisivat yksinomaan henkilötietojen automaattiseen käsittelyyn. Unionissa kerättyjen henkilötietojen osalta mahdollisen automatisoituun käsittelyyn perustuvan päätöksen tekee kuitenkin yleensä unionissa toimiva rekisterinpitäjä (jolla on suora suhde kyseiseen rekisteröityyn), ja näin ollen kyseiseen päätökseen sovelletaan asetusta (EU) 2016/679 (111). Tähän kuuluvat siirtotilanteet, joissa tietojen käsittelyn suorittaa ulkomainen (esimerkiksi korealainen) toiminnanharjoittaja, joka toimii unionin rekisterinpitäjän puolesta (käsittelijänä) (tai unionin käsittelijän alihankkijana vastaanotettuaan tiedot ne keränneeltä unionin rekisterinpitäjältä); päätöksen tekee tämän perusteella unionin rekisterinpitäjä. Siksi se, ettei Korean tietosuojalaissa ole säännöksiä automatisoidusta päätöksenteosta, ei todennäköisesti vaikuta tämän päätöksen nojalla siirrettyjen henkilötietojen suojan tasoon.

(82)

Säännöksiä, jotka koskevat pyynnöstä sovellettavaa läpinäkyvyyttä (tietosuojalain 20 §) ja yksilön oikeuksia (35–37 §) sekä tieto- ja viestintäpalvelujen tarjoajilta edellytettävää henkilökohtaista ilmoitusta (39-8 §), ei poikkeuksellisesti sovelleta pseudonymisoituihin tietoihin, kun niitä käsitellään tilastointia, tieteellistä tutkimusta tai yleisen edun mukaista arkistointia varten (28-7 §) (112). Tämä on perusteltua asetuksen (EU) 2016/679 11 artiklan 2 kohdan (yhdessä johdanto-osan 57 kappaleen kanssa) mukaisesti siksi, että voidakseen varmistaa läpinäkyvyyden tai myöntää rekisteröidylle oikeuksia rekisterinpitäjän olisi voitava selvittää, liittyvätkö jotkin tiedot pyynnön esittävään henkilöön (ja jos liittyvät, niin mitkä). Tämä taas kielletään tietosuojalaissa nimenomaisesti (28-5 §:n 1 momentti). Jos tällainen uudelleentunnistus edellyttäisi koko tietojoukon pseudonymisoinnin poistamista, se myös altistaisi kaikkien muiden yksilöiden henkilötiedot suurentuneelle riskille. Siinä missä asetuksessa (EU) 2016/679 viitataan tilanteisiin, joissa uudelleentunnistaminen on käytännössä mahdotonta, Korean tietosuojalaissa on omaksuttu tiukempi lähestymistapa, jonka mukaan siinä nimenomaisesti kielletään uudelleentunnistaminen aina kun käsitellään pseudonymisoituja tietoja.

(83)

Johdanto-osan (74)–(82) kappaleessa kuvattu Korean järjestelmä sisältää näin ollen rekisteröidyn oikeuksia koskevat säännöt, jotka olennaisilta osin vastaavat asetukseen (EU) 2016/679 perustuvaa tietosuojan tasoa.

(84)

Unionista Korean tasavallassa oleville toiminnanharjoittajille siirrettyjen henkilötietojen suojan tasoa ei saa heikentää siirtämällä näitä tietoja edelleen kolmannessa maassa sijaitseville vastaanottajille.

(85)

Tällaiset ”jatkosiirrot” ovat korealaisen rekisterinpitäjän näkökulmasta Korean tasavallasta tehtäviä kansainvälisiä siirtoja. Tältä osin Korean tietosuojalaissa erotetaan toisistaan käsittelyn ulkoistaminen toimeksisaajalle (käsittelijälle) ja henkilötietojen luovuttaminen kolmannelle osapuolelle (113).

(86)

Kun henkilötietojen käsittely on ulkoistettu kolmannessa maassa sijaitsevalle yksikölle, korealaisen rekisterinpitäjän on ensinnäkin varmistettava, että noudatetaan ulkoistusta koskevia tietosuojalain säännöksiä (26 §). Tämä tarkoittaa sellaisen oikeudellisesti sitovan välineen laatimista, jossa muun muassa rajataan toimeksisaajan suorittama käsittely ainoastaan ulkoistetun työn tarkoitukseen, edellytetään teknisiä ja hallinnollisia suojatoimia ja rajoitetaan alihankintaa (tietosuojalain 26 §:n 1 momentti). Lisäksi edellytetään, että ulkoistettua työtä koskevat tiedot on julkaistava. Rekisterinpitäjällä on myös velvollisuus ”opettaa” toimeksisaajalle tarvittavat turvatoimet ja valvoa muun muassa tarkastusten avulla, että toimeksisaaja noudattaa sekä kaikkia rekisterinpitäjälle tietosuojalaissa asetettuja velvollisuuksia että ulkoistamissopimukseen perustuvia velvollisuuksia (114).

(87)

Jos toimeksisaaja aiheuttaa vahinkoa käsittelemällä tietoja tietosuojalain vastaisella tavalla, rekisterinpitäjän katsotaan olevan vastuussa vahingoista samalla tavoin kuin omien työntekijöidensä osalta (tietosuojalain 26 §:n 6 momentti). Korealainen rekisterinpitäjä on edelleen vastuussa ulkoistetuista henkilötiedoista, ja sen on varmistettava, että ulkomainen henkilötietojen käsittelijä käsittelee niitä Korean tietosuojalain mukaisesti. Jos toimeksisaaja käsittelee tietoja Korean tietosuojalain vastaisella tavalla, korealainen rekisterinpitäjä voidaan saattaa vastuuseen siitä, että se on laiminlyönyt velvollisuutensa varmistaa Korean tietosuojalain noudattaminen esimerkiksi toimeksisaajaa valvomalla. Ulkoistamissopimukseen sisältyvät suojatoimet ja korealaisen rekisterinpitäjän vastuu toimeksisaajan toiminnasta takaavat suojelun jatkuvuuden silloin kun henkilötietojen käsittely ulkoistetaan Korean ulkopuolella sijaitsevalle yksikölle.

(88)

Toiseksi korealaiset rekisterinpitäjät voivat luovuttaa henkilötietoja Korean ulkopuolella sijaitsevalle kolmannelle osapuolelle. Korean tietosuojalaissa on useita oikeusperustoja, joiden nojalla henkilötietoja voidaan luovuttaa kolmannelle osapuolelle yleensä. Silloin kun kolmas osapuoli sijaitsee Korean ulkopuolella, rekisterinpitäjän on kuitenkin periaatteessa (115) saatava tietojen luovuttamiseen rekisteröidyn suostumus (116) sen jälkeen kun rekisteröidylle on annettu tiedot 1) siitä, minkätyyppisistä henkilötiedoista on kyse, 2) henkilötietojen vastaanottajasta, 3) mikä on siirron tarkoitus eli mitä tarkoitusta varten vastaanottaja käsittelee tietoja, 4) kuinka kauan vastaanottaja säilyttää tietoja käsittelyä varten, ja 5) että rekisteröidyllä on oikeus olla antamatta suostumustaan (tietosuojalain 17 §:n 2 ja 3 momentti). Ilmoituksen N:o 2021-5 läpinäkyvyyttä koskevassa kohdassa (ks. johdanto-osan (70) kappale) edellytetään, että rekisteröidyille on ilmoitettava, mihin kolmanteen maahan heidän tietojaan luovutetaan. Näin varmistetaan, että unionin rekisteröidyt voivat tehdä täysin tietoon perustuvan päätöksen siitä, suostuvatko he tietojensa luovuttamiseen. Rekisterinpitäjä ei myöskään saa tehdä sopimusta tietoja vastaanottavan kolmannen osapuolen kanssa Korean tietosuojalain vastaisesti. Tämä tarkoittaa, että sopimuksessa ei saa määrätä velvoitteista, jotka olisivat ristiriidassa rekisterinpitäjälle tietosuojalaissa asetettujen vaatimusten kanssa (117).

(89)

Henkilötietoja voidaan luovuttaa kolmannelle osapuolelle (ulkomaille) ilman rekisteröidyn suostumusta, jos luovuttamisen tarkoitus ”liittyy kohtuullisesti” tietojen keräämisen alkuperäiseen tarkoitukseen (tietosuojalain 17 §:n 4 momentti, ks. johdanto-osan (36) kappale). Kun rekisterinpitäjä pohtii, luovutetaanko henkilötietoja tällaiseen ”liitännäiseen” tarkoitukseen vai ei, on otettava huomioon luovuttamisesta rekisteröidylle mahdollisesti aiheutuva vahinko ja se, onko toteutettu tarvittavat turvatoimet (kuten salaus). Koska se kolmas maa, johon henkilötietoja siirretään, ei välttämättä tarjoa samanlaista tietosuojaa kuin Korean tietosuojalaki, ilmoituksessa N:o 2021-5 olevassa 2 kohdassa todetaan, että tällaiset haitat ovat mahdollisia ja että ne voidaan välttää vain jos korealainen rekisterinpitäjä ja ulkomainen vastaanottaja varmistavat sitovalla välineellä (kuten sopimuksella) Korean tietosuojalakia vastaavan tietosuojan tason, myös rekisteröityjen oikeuksien osalta.

(90)

Erityissääntöjä sovelletaan ”ilman tarkoitusta” tehtävään luovuttamiseen eli tietojen luovuttamiseen kolmannelle osapuolelle uutta (alkuperäiseen liittymätöntä) tarkoitusta varten. Tämä voidaan toteuttaa ainoastaan jonkin tietosuojalain 18 §:n 2 momentissa mainitun perusteen nojalla, kuten johdanto-osan (39) kappaleessa selitetään. Tietojen luovuttaminen kolmannelle osapuolelle on kuitenkin suljettu pois myös mainituissa tapauksissa, jos se todennäköisesti ”loukkaa oikeudettomasti” rekisteröidyn tai kolmannen osapuolen etuja, mikä edellyttää etujen tasapainottamista. Lisäksi rekisterinpitäjän on tietosuojalain 18 §:n 5 momentin nojalla sovellettava täydentäviä suojatoimia, joihin voi sisältyä esimerkiksi se, että kolmatta osapuolta pyydetään rajoittamaan käsittelyn käyttötarkoitusta tai -tapaa tai toteuttamaan erityisiä turvatoimia. Koska se kolmas maa, johon henkilötietoja siirretään, ei välttämättä tarjoa samanlaista tietosuojaa kuin Korean tietosuojalaki, ilmoituksessa N:o 2021-5 olevassa 2 kohdassa todetaan, että tällaiset rekisteröidyn tai kolmannen osapuolen etujen ”oikeudettomat loukkaukset” ovat mahdollisia ja että ne voidaan välttää vain jos korealainen rekisterinpitäjä ja ulkomainen vastaanottaja varmistavat sitovalla välineellä (kuten sopimuksella) Korean tietosuojalakia vastaavan tietosuojan tason, myös rekisteröityjen oikeuksien osalta.

(91)

Siksi johdanto-osan (86)–(90) kappaleessa olevilla säännöillä varmistetaan tietosuojan jatkuvuus olennaisilta osin vastaavalla tavalla kuin asetuksessa (EU) 2016/679, kun henkilötietoja siirretään Korean tasavallasta edelleen (toimeksisaajalle tai kolmannelle osapuolelle).

(92)

Vastuuvelvollisuutta koskevan periaatteen mukaisesti tietoja käsittelevien yksiköiden on otettava käyttöön asianmukaiset tekniset ja organisatoriset toimenpiteet, jotta ne voivat tehokkaasti noudattaa tietosuojavelvoitteitaan ja osoittaa erityisesti toimivaltaiselle valvontaviranomaiselle noudattavansa velvoitteita.

(93)

Lisäksi rekisterinpitäjän on tietosuojalain 3 §:n 6 ja 8 momentin mukaan käsiteltävä henkilötietoja ”niin, että voidaan minimoida rekisteröidyn yksityisyyden loukkaamisen mahdollisuus” ja pyrittävä saamaan rekisteröidyn luottamus noudattamalla tietosuojalaissa ja muissa siihen liittyvissä säännöksissä säädettyjä velvollisuuksia ja vastuutehtäviä. Tämä tarkoittaa muun muassa sisäisen hallintasuunnitelman laatimista (tietosuojalain 29 §) sekä henkilöstön asianmukaista koulutusta ja valvontaa (28 §).

(94)

Vastuuvelvollisuuden varmistamiseksi tietosuojalaissa (31 § yhdessä sen täytäntöönpanoasetuksen 32 §:n kanssa) asetetaan rekisterinpitäjille velvollisuus nimetä tietosuojavastaava, ”joka vastaa kattavasti henkilötietojen käsittelystä”. Tietosuojavastaavan tehtävänä on erityisesti 1) laatia ja panna täytäntöön henkilötietojen suojaa koskeva suunnitelma ja laatia tietosuojaperiaatteet, 2) tehdä säännöllisesti henkilötietojen käsittelyn tilannetta ja käytäntöjä koskevia tarkastuksia mahdollisten puutteiden korjaamiseksi, 3) käsitellä valitukset ja suorittaa korjaustoimet, 4) laatia sisäinen valvontajärjestelmä henkilötietojen luvattoman luovuttamisen tai väärinkäytön estämiseksi, 5) laatia ja panna täytäntöön koulutusohjelma, 6) suojata, valvoa ja hallinnoida henkilötietorekistereitä, ja 7) tuhota henkilötiedot sen jälkeen kun käsittelyn tarkoitus on saavutettu tai säilytysaika päättynyt. Tietosuojavastaava voi näitä tehtäviä suorittaessaan tarkastaa henkilötietojen käsittelyn ja siihen liittyvien järjestelmien tilanteen ja pyytää niitä koskevia tietoja (tietosuojalain 31 §:n 3 momentti). Jos tietosuojavastaava havaitsee, että tietosuojalakia tai muita asiaankuuluvia tietosuojasäännöksiä on rikottu, hänen on välittömästi ryhdyttävä korjaaviin toimenpiteisiin ja tarvittaessa raportoitava toimenpiteistä rekisterinpitäjän johdolle (”johtajalle”) (tietosuojalain 31 §:n 4 momentti). Tietosuojalain 31 §:n 5 momentin mukaan tietosuojavastaavalle ei saa aiheutua perusteetonta haittaa näiden tehtävien suorittamisesta.

(95)

Rekisterinpitäjien on myös aktiivisesti pyrittävä tekemään yksityisyydensuojaa koskeva vaikutustenarviointi, jos henkilötietorekisterin toimintaan liittyy yksityisyydensuojaa koskeva riski (tietosuojalain 33 §:n 8 momentti). Arvioitaessa rekisteröityjen oikeuksiin kohdistuvien riskien vakavuutta on otettava huomioon muun muassa sellaisia tekijöitä kuin käsiteltävien tietojen tyyppi ja luonne (erityisesti se, onko kyse arkaluonteisista tiedoista), tietojen määrä, säilytysaika ja tietoturvaloukkausten todennäköisyys (tietosuojalain 33 §:n 1 ja 2 momentti yhdessä sen täytäntöönpanoasetuksen 35, 36 ja 38 §:n kanssa). Yksityisyydensuojaa koskevan vaikutustenarvioinnin tarkoituksena on varmistaa, että yksityisyydensuojaan liittyvät riskitekijät sekä mahdolliset turva- ja muut vastatoimet analysoidaan ja kehittämistä kaipaavat seikat tuodaan esiin (tietosuojalain 33 §:n 1 momentti yhdessä sen täytäntöönpanoasetuksen 38 §:n kanssa).

(96)

Julkisten laitosten on tehtävä vaikutustenarviointi, kun ne käsittelevät tiettyjä henkilötietorekistereitä, joihin liittyy suurempi riski mahdollisista tietoturvaloukkauksista (tietosuojalain 33 §:n 1 momentti). Tietosuojalain täytäntöönpanoasetuksen 35 §:n mukaan tämä koskee muun muassa rekistereitä, jotka sisältävät arkaluonteista tietoa vähintään 50 000 rekisteröidystä, rekistereitä, joita verrataan muihin rekistereihin ja joissa on tämän seurauksena tietoa vähintään 500 000 rekisteröidystä, sekä rekisterit, joissa on tietoa vähintään miljoonasta rekisteröidystä. Julkisen laitoksen laatiman vaikutustenarvioinnin tulokset on toimitettava tietosuojalautakunnalle (tietosuojalain 33 §:n 1 momentti), joka voi antaa siitä lausunnon (tietosuojalain 33 §:n 3 momentti).

(97)

Tietosuojalain 13 §:ssä säädetään myös, että tietosuojalautakunnan on laadittava toimintapolitiikkoja, jotka tarvitaan rekisterinpitäjien ”itsesääntelyyn perustuvien tietosuojatoimien” edistämiseksi ja tukemiseksi, muun muassa antamalla tietosuojaa koskevaa koulutusta, edistämällä ja tukemalla tietosuojan alalla toimivia organisaatioita ja auttamalla rekisterinpitäjiä itsesääntelysääntöjen laatimisessa ja täytäntöönpanossa. Tietosuojalautakunnan on myös laadittava ePRIVACY-merkintäjärjestelmä ja edistettävä sen käyttöönottoa. Tältä osin tietosuojalaissa (32-2 § yhdessä sen täytäntöönpanoasetuksen 34-2–34-8 §:n kanssa) säädetään mahdollisuudesta varmentaa, että jonkin rekisterinpitäjän henkilötietojen käsittely- ja tietosuojajärjestelmä(t) vastaa(vat) tietosuojalain vaatimuksia. Näiden sääntöjen mukaan asiaa koskeva sertifiointi (118) voidaan myöntää (3 vuodeksi), jos rekisterinpitäjä täyttää tietosuojalautakunnan määrittämät kriteerit, joihin sisältyy henkilötietojen suojaa koskevien hallinnollisten, teknisten ja fyysisten suojatoimien laatiminen (119). Tietosuojalautakunnan on tutkittava sertifioinnin kannalta merkitykselliset rekisterinpitäjän järjestelmät vähintään kerran vuodessa, jotta sertifiointi pysyy voimassa – se voidaan myös peruuttaa (tietosuojalain 32 §:n 4 momentti yhdessä täytäntöönpanoasetuksen 34-5 §:n kanssa; ns. seurannan hallinnointi).

(98)

Näin ollen Korean lainsäädäntökehyksessä on toteutettu vastuuvelvollisuuden periaate siten, että tietosuojan taso vastaa olennaisilta osin asetukseen (EU) 2016/679 mukaista suojelun tasoa. Siinä muun muassa säädetään erilaisista mekanismeista, joiden avulla voidaan varmistaa ja osoittaa tietosuojalain noudattaminen.

(99)

Kuten edellä johdanto-osan (13) kappaleessa todetaan, laissa luottotietojen käytöstä ja suojaamisesta (Act on the Use and Protection of Credit Information), jäljempänä ’luottotietolaki’, vahvistetaan säännöt, joita sovelletaan kaupallisten toimijoiden suorittamaan henkilökohtaisten luottotietojen käsittelyyn. Henkilökohtaisia luottotietoja käsitellessään kaupallisten toimijoiden on näin ollen noudatettava Korean tietosuojalain yleisiä vaatimuksia, ellei luottotietolaissa ole säädetty yksityiskohtaisempia sääntöjä. Näin on esimerkiksi silloin kun ne käsittelevät luottokorttiin tai pankkitiliin liittyviä tietoja yksittäisen henkilön kanssa liiketoimen yhteydessä. Luottotietolaki on (sekä henkilökohtaisten että muiden) luottotietojen käsittelyä koskeva alakohtainen säädös. Sen lisäksi, että siinä säädetään tietyistä tietosuojaa koskevista suojatoimista (muun muassa läpinäkyvyyden ja turvallisuuden osalta), sillä säännellään yleisemmin niitä erityisolosuhteita, joissa luottotietoja voidaan käsitellä. Tämä näkyy erityisesti niissä yksityiskohtaisissa vaatimuksissa, jotka koskevat tietojen käyttöä, niiden luovuttamista kolmannelle osapuolelle ja säilytysaikaa.

(100)

Samoin kuin tietosuojalaki, myös luottotietolaki perustuu käsittelyn lainmukaisuuden ja oikeasuhteisuuden periaatteeseen. Luottotietolain 15 §:n 1 momentissa vahvistetaan ensinnäkin yleisenä vaatimuksena, että henkilökohtaisten luottotietojen kerääminen sallitaan ainoastaan kohtuullisin ja asianmukaisin keinoin ja mahdollisimman vähäisessä määrin tiettyä tarkoitusta varten. Tämä vastaa tietosuojalain 3 §:n 1 ja 2 momentin säännöksiä. Toiseksi luottotietolaissa säädetään erityisesti henkilökohtaisten luottotietojen käsittelyn lainmukaisuudesta rajoittamalla tällaisten tietojen keräämistä, käyttöä ja luovuttamista kolmannelle osapuolelle ja yleisesti sitomalla nämä käsittelytoimet asianomaisen henkilön suostumukseen.

(101)

Henkilökohtaisia luottotietoja voidaan kerätä jonkin tietosuojalaissa säädetyn perusteen tai jonkin luottotietolaissa säädetyn erityisen perusteen nojalla. Koska asetuksen (EU) 2016/679 45 artiklassa varaudutaan siihen, että unionissa sijaitseva rekisterinpitäjä tai henkilötietojen käsittelijä siirtää henkilötietoja, mutta säännös ei kata Koreassa sijaitsevan rekisterinpitäjän toteuttamaa henkilötietojen keräämistä suoraan (esimerkiksi asianomaisilta yksilöiltä tai verkkosivulta), tämän päätöksen kannalta on merkitystä ainoastaan suostumuksella ja tietosuojalain nojalla käytettävissä olevilla tietojen keräämisen perusteilla. Näihin perusteisiin kuuluvat erityisesti tilanteet, joissa siirto on tarpeen yksilön kanssa tehdyn sopimuksen täytäntöönpanoa varten tai korealaisen rekisterinpitäjän oikeutettujen etujen vuoksi (tietosuojalain 15 §:n 1 momentin 4 ja 6 kohta) (120).

(102)

Sen jälkeen kun henkilökohtaiset luottotiedot on kerätty, niitä voidaan käyttää 1) siihen alkuperäiseen tarkoitukseen, jota varten asianomainen henkilö ne (suoraan) antoi (121); 2) tarkoitukseen, joka on yhteensopiva keräämisen alkuperäisen tarkoituksen kanssa (122); 3) sen selvittämiseen, voidaanko asianomaisen henkilön kanssa aloittaa hänen pyytämänsä liikesuhde tai jatkaa sitä (123); 4) tilastointia, tutkimusta ja yleisen edun mukaista arkistointia varten (124), jos tiedot pseudonymisoidaan (125); 5) jos saadaan lisäsuostumus tai 6) laissa säädetyllä tavalla.

(103)

Jos kaupallinen toimija aikoo luovuttaa henkilökohtaisia luottotietoja kolmannelle osapuolelle, sen on saatava luovuttamiseen asianomaisen henkilön suostumus (126) sen jälkeen kun se on ilmoittanut tälle tietojen vastaanottajan ja sen, mitä tarkoitusta varten vastaanottaja käsittelisi tietoja, tiedot luovutettavista tiedoista ja niiden säilytysajan sekä sen, että henkilöllä on oikeus olla antamatta suostumustaan (luottotietolain 32 §:n 1 momentti ja sen täytäntöönpanoasetuksen 28 §:n 2 momentti) (127). Suostumusta koskevaa vaatimusta ei sovelleta erityistilanteissa, eli silloin kun henkilökohtaisia luottotietoja luovutetaan (128) 1) toimeksisaajalle ulkoistamistarkoituksessa (129); 2) kolmannelle osapuolelle yrityksen luovutuksen, jakautumisen tai sulautumisen vuoksi; 3) tilastointia, tutkimusta ja yleisen edun mukaista arkistointia varten, jos tiedot pseudonymisoidaan; 4) tarkoitukseen, joka on yhteensopiva keräämisen alkuperäisen tarkoituksen kanssa; 5) kolmannelle osapuolelle, joka käyttää tietoja velan perimiseen asianomaiselta henkilöltä (130); 6) tuomioistuimen määräyksen noudattamiseksi; 7) syyttäjälle/poliisiviranomaiselle hätätilanteessa, kun asianomaisen henkilön henki tai terveys on vaarassa eikä ole aikaa hankkia tuomioistuimen päätöstä (131); 8) toimivaltaisille veroviranomaisille verolainsäädännön noudattamiseksi; tai 9) muun lainsäädännön noudattamiseksi. Jos tietoja luovutetaan jollakin näistä perusteista, rekisteröidylle on ilmoitettava siitä etukäteen (luottotietolain 32 §:n 7 momentti).

(104)

Luottotietolaissa säännellään myös erikseen sitä, kuinka kauan henkilökohtaisia luottotietoja voidaan käsitellä niiden perusteiden nojalla, jotka koskevat tietojen käyttöä tai luovuttamista kolmannelle osapuolelle sen jälkeen kun liikesuhde asianomaiseen henkilöön on päättynyt (132). Vain sellaiset tiedot voidaan säilyttää, jotka olivat tarpeen kyseisen liikesuhteen luomiseksi tai ylläpitämiseksi, edellyttäen että sovelletaan täydentäviä suojatoimia (tiedot on säilytettävä erillään niiden henkilöiden luottotiedoista, joiden kanssa liikesuhde on edelleen voimassa, ne on suojattava erityisin turvatoimin ja niiden on oltava ainoastaan valtuutettujen henkilöiden saatavilla) (133). Kaikki muut tiedot on poistettava (luottotietolain täytäntöönpanoasetuksen 17-2 §:n 1 momentin 2 kohta). Sen määrittämiseksi, mitkä tiedot olivat tarpeen liikesuhdetta varten, on otettava huomioon muun muassa se, olisiko liikesuhde voitu luoda ilman kyseisiä tietoja ja liittyvätkö tiedot suoraan asianomaiselle henkilölle toimitettuihin tavaroihin tai palveluihin (luottotietolain täytäntöönpanoasetuksen 17-2 §:n 2 momentti).

(105)

Myös silloin kun henkilökohtaisia luottotietoja saa periaatteessa säilyttää liikesuhteen päättymisen jälkeen, ne on poistettava kolmen kuukauden kuluessa siitä kun myöhemmän käsittelyn tarkoitus on saavutettu (134) tai viimeistään viiden vuoden kuluttua (luottotietolain 20-2 §). Henkilökohtaisia luottotietoja voidaan säilyttää yli viiden vuoden ajan vain rajatuissa tilanteissa, erityisesti jos se on tarpeen lakisääteisen velvoitteen noudattamiseksi; yksittäisen henkilön hengen, terveyden tai omaisuuden suojaamiseksi; pseudonymisoitujen tietojen arkistointia varten (kun tietoja on käytetty tieteellistä tutkimusta, tilastointia tai yleisen edun mukaista arkistointia varten); vakuutukseen liittyviin tarkoituksiin (erityisesti vakuutusmaksuja tai vakuutuspetosten ehkäisemistä varten) (135). Näissä poikkeustapauksissa sovelletaan erityisiä suojatoimia (kuten asianomaiselle henkilölle tehtävä ilmoitus myöhemmästä käytöstä, säilytettävien tietojen erottaminen niiden henkilöiden tiedoista, joiden kanssa liikesuhde on edelleen voimassa, ja pääsyoikeuksien rajoittaminen, ks. luottotietolain täytäntöönpanoasetuksen 17-2 §:n 1 ja 2 momentti).

(106)

Luottotietolaissa myös täsmennetään tietojen täsmällisyyttä ja laatua koskevia periaatteita edellyttämällä, että henkilökohtaiset luottotiedot ”rekisteröidään ja että niitä muutetaan ja hallinnoidaan” niin, että ne ovat täsmälliset ja ajantasaiset (luottotietolain 18 §:n 1 momentti ja sen täytäntöönpanoasetuksen 15 §:n 3 momentti) (136). Kun kaupalliset toimijat toimittavat luottotietoja tietyille muille yksiköille (kuten luottoluokituslaitoksille), niiden on myös erityisesti tarkistettava tietojen täsmällisyys sen varmistamiseksi, että vastaanottaja rekisteröi ja hallinnoi ainoastaan täsmällisiä tietoja (luottotietolain täytäntöönpanoasetuksen 15 §:n 1 momentti yhdessä luottotietolain 18 §:n 1 momentin kanssa). Luottotietolaissa edellytetään yleisesti, että henkilökohtaisten luottotietojen keräämisestä, käytöstä, luovuttamisesta kolmannelle osapuolelle ja poistamisesta on pidettävä kirjaa (luottotietolain 20 §:n 2 momentti) (137).

(107)

Henkilökohtaisten luottotietojen käsittelyyn sovelletaan myös erityisiä tietoturvavaatimuksia. Luottotietolaissa edellytetään erityisesti sellaisten teknisten, fyysisten ja organisatoristen toimenpiteiden toteuttamista, joilla voidaan estää luvaton pääsy tietojärjestelmiin sekä käsiteltävien tietojen muuttaminen ja poistaminen ja muut niihin liittyvät riskit (esimerkiksi pääsynvalvonnan avulla, ks. luottotietolain 19 § ja sen täytäntöönpanoasetuksen 16 §). Lisäksi vaihdettaessa henkilökohtaisia luottotietoja kolmannen osapuolen kanssa on tehtävä sopimus, jossa määrätään erityisistä turvatoimista (luottotietolain 19 §:n 2 momentti). Jos tapahtuu henkilökohtaisia luottotietoja koskeva tietoturvaloukkaus, on toteutettava toimenpiteet vahinkojen minimoimiseksi, ja asianomaisille henkilöille on ilmoitettava asiasta viipymättä (luottotietolain 39-4 §:n 1 ja 2 momentti). Lisäksi tietosuojalautakunnalle on annettava tiedoksi asianomaisille henkilöille annettu ilmoitus ja toteutetut toimenpiteet (luottotietolain 39-4 §:n 4 momentti).

(108)

Luottotietolaissa säädetään myös erityisistä läpinäkyvyyttä koskevista velvoitteista silloin kun hankitaan suostumus henkilökohtaisten luottotietojen käyttöä tai luovuttamista varten (luottotietolain 32 §:n 4 momentti ja 34-2 § ja sen täytäntöönpanoasetuksen 30-3 §) ja yleisemmin ennen tietojen toimittamista kolmannelle osapuolelle (luottotietolain 32 §:n 7 momentti) (138). Lisäksi yksilöillä on oikeus saada pyynnöstä tietoja luottotietojensa käytöstä ja luovuttamisesta kolmansille osapuolille pyyntöä edeltävien kolmen vuoden ajalta (mukaan lukien tällaisen käytön/luovuttamisen tarkoitus ja päivämäärät) (139).

(109)

Luottotietolain nojalla yksilöillä on myös oikeus saada pääsy henkilökohtaisiin luottotietoihinsa (38 §:n 1 momentti) ja saada virheelliset tiedot oikaistuiksi (38 §:n 2 ja 3 momentti) (140). Sen lisäksi, että tietosuojalaissa säädetään tietojen poistamista koskevasta yleisestä oikeudesta (ks. johdanto-osan (77) kappale), luottotietolaissa säädetään henkilökohtaisia luottotietoja koskevasta erityisestä oikeudesta, jonka nojalla tiedot on poistettava, kun niitä on säilytetty yli johdanto-osan (104) kappaleessa mainitun ajan eli yli viisi vuotta (henkilökohtaiset luottotiedot, jotka olivat tarpeen liikesuhteen luomiseksi tai ylläpitämiseksi) tai yli kolme kuukautta (muuntyyppiset henkilökohtaiset luottotiedot) (141). Tietojen poistamista koskeva pyyntö voidaan poikkeuksellisesti evätä, jos tietojen säilyttämistä on tarpeen jatkaa johdanto-osan (105) kappaleessa kuvatuissa olosuhteissa. Jos yksilö pyytää tietojen poistamista, mutta sovelletaan jotakin poikkeusta, kyseisiin luottotietoihin on sovellettava erityisiä suojatoimia (luottotietolain 38-3 §:n 3 momentti ja sen täytäntöönpanoasetuksen 33-3 §). Tiedot on esimerkiksi säilytettävä erillään muista tiedoista, pääsy niihin on myönnettävä vain valtuutetuille henkilöille ja niihin on sovellettava erityisiä turvatoimia.

(110)

Edellä johdanto-osan (109) kappaleessa mainittujen oikeuksien lisäksi tietosuojalaissa taataan yksilöille oikeus pyytää rekisterinpitäjää lopettamaan yhteydenpito heihin suoramarkkinointitarkoituksissa (37 §:n 2 momentti) ja oikeus siirtää tiedot järjestelmästä toiseen. Viimeksi mainitun osalta tietosuojalaissa säädetään, että yksilöillä on oikeus pyytää, että heidän henkilökohtaiset luottotietonsa toimitetaan heille itselleen tai tietylle kolmannelle osapuolelle (kuten rahoituslaitokselle tai luottoluokitusyritykselle). Henkilökohtaiset luottotiedot on käsiteltävä ja toimitettava kolmannelle osapuolelle muodossa, jota voidaan käsitellä tietojenkäsittelylaitteella (kuten tietokoneella).

(111)

Siltä osin kuin luottotietolaissa on erityissäännöksiä suhteessa tietosuojalakiin, komissio katsoo, että kyseisillä säännöillä varmistetaan tietosuojan taso, joka vastaa olennaisilta osin asetuksessa (EU) 2016/679 taattua suojan tasoa.

(112)

Sen varmistamiseksi, että tietosuojan riittävä taso taataan käytännössä, olisi oltava riippumaton valvontaviranomainen, jonka tehtävänä on valvoa tietosuojasääntöjen noudattamista ja varmistaa niiden täytäntöönpano. Kyseisen viranomaisen olisi toimittava riippumattomasti ja puolueettomasti tehtäviään suorittaessaan ja toimivaltuuksiaan käyttäessään.

(113)

Korean tasavallassa tietosuojalain noudattamisen valvonnasta ja täytäntöönpanosta vastaava viranomainen on tietosuojalautakunta. Se koostuu puheenjohtajasta, varapuheenjohtajasta ja seitsemästä jäsenestä. Presidentti nimittää puheenjohtajan ja varapuheenjohtajan pääministerin suosituksen perusteella. Presidentti nimittää myös jäsenet: kaksi puheenjohtajan suosituksesta ja viisi kansalliskokouksen suosituksesta (näistä viidestä kaksi nimitetään presidentin puolueen edustajien suosituksesta ja kolme muiden puolueiden edustajien suosituksesta (tietosuojalain 7-2 §:n 2 momentti); näin pyritään torjumaan nimitysmenettelyn puolueellisuutta (142). Menettely vastaa vaatimuksia, joita sovelletaan tietosuojaviranomaisten jäsenten nimittämiseen unionissa (asetuksen (EU) 2016/679 53 artiklan 1 kohta). Tietosuojalautakunnan jäsenten on myös pidättäydyttävä kaikesta voittoa tavoittelevasta liiketoiminnasta ja poliittisesta toiminnasta eivätkä he saa olla julkishallinnon tai kansalliskokouksen palveluksessa (tietosuojalain 7-6 § ja 7-7 §:n 1 momentin 3 kohta) (143). Kaikkiin lautakunnan jäseniin sovelletaan myös erityisiä sääntöjä, jotka estävät heitä osallistumasta asioiden käsittelyyn tapauksissa, joissa eturistiriita on mahdollinen (tietosuojalain 7-11 §). Tietosuojalautakuntaa avustaa sihteeristö (7-13 §), ja se voi perustaa (kolmesta jäsenestä koostuvia) alakomiteoita käsittelemään vähäisiä rikkomuksia ja toistuvia asioita (tietosuojalain 7-12 §).

(114)

Tietosuojalautakunnan jäsenten toimikausi on kolme vuotta, ja se voidaan uusia kerran (tietosuojalain 7-4 §:n 1 momentti). Jäsenet voidaan erottaa tehtävästään vain erityisissä olosuhteissa eli jos he eivät enää kykene hoitamaan tehtäviään pitkäaikaisen fyysisen tai psyykkisen toimintakyvyttömyyden vuoksi, tai jos he ovat rikkoneet lakia tai jos jokin virantoimituksesta pidättämiseen oikeuttava peruste täyttyy (144) (tietosuojalain 7-5 §). Tämä antaa heille institutionaalisen suojan heidän hoitaessaan tehtäviään.

(115)

Tietosuojalain 7 §:n 1 momentissa taataan nimenomaisesti tietosuojalautakunnan riippumattomuus, ja 7-5 §:n 2 momentissa edellytetään, että lautakunnan jäsenten on hoidettava tehtävänsä riippumattomasti ja lain ja omantuntonsa mukaisesti (145). Kuvatuilla institutionaalisilla ja menettelyllisillä suojatoimilla, jotka koskevat muun muassa tietosuojalautakunnan jäsenten nimittämistä ja erottamista, varmistetaan lautakunnan täydellinen riippumattomuus suhteessa ulkopuoliseen vaikuttamiseen tai ohjeisiin. Keskushallinnon virastona tietosuojalautakunta laatii itse vuotuisen talousarvionsa (jonka valtiovarainministeriö tarkistaa osana valtion kokonaistalousarviota ennen kuin kansalliskokous vahvistaa sen) ja vastaa omasta henkilöstöhallinnostaan. Tietosuojalautakunnan budjetti on tällä hetkellä noin 35 miljoonaa euroa, ja sillä on 154 työntekijää (joista 40 on erikoistunut tieto- ja viestintätekniikkaan, 32 tutkintaan ja 40 on oikeudellisia asiantuntijoita).

(116)

Tietosuojalautakunnan tehtävät ja toimivalta määritellään lähinnä tietosuojalain 7-8 ja 7-9 §:ssä sekä 61–66 §:ssä (146). Tietosuojalautakunnan tehtäviin kuuluu erityisesti neuvonnan antaminen tietosuojaa koskevista laeista ja asetuksista, tietosuojaa koskevien politiikkatoimien ja ohjeiden laatiminen, yksilön oikeuksiin kohdistuvien loukkausten tutkinta, valitusten käsittely ja riitojen sovittelu, tietosuojalain noudattamisen valvonta, tietosuojaa koskevan koulutuksen ja tietämyksen edistäminen sekä tietojenvaihto ja yhteistyö kolmansien maiden tietosuojaviranomaisten kanssa (147).

(117)

Tietyt tietosuojalautakunnan tehtävät on siirretty Korean internet- ja turvallisuusvirastolle (tietosuojalain 68 § yhdessä sen täytäntöönpanoasetuksen 62 §:n kanssa): 1) koulutus ja suhdetoiminta, 2) asiantuntijoiden koulutus ja yksityisyydensuojaa koskevien vaikutustenarviointien kriteerit, 3) nk. yksityisyydensuojan arviointilaitoksen nimeämistä koskevien pyyntöjen käsittely, 4) epäsuoraa pääsyä viranomaisten hallussa oleviin henkilötietoihin koskevien pyyntöjen käsittely (tietosuojalain 35 §:n 2 momentti), ja 5) yksityisyydensuojaa koskevan puhelinpalvelun (Privacy Call Centre) kautta tuleviin valituksiin liittyvien aineistojen pyytäminen ja tarkastusten suorittaminen. Privacy Call Centren kautta tulevien valitusten käsittelyn yhteydessä Korean internet- ja turvallisuusvirasto välittää tapauksen joko tietosuojalautakunnalle tai syyttäjälle, jos se katsoo, että lakia on rikottu. Mahdollisuus tehdä valitus Privacy Call Centren kautta ei estä yksityishenkilöitä tekemästä valitusta suoraan tietosuojalautakunnalle tai kääntymästä sen puoleen, jos he katsovat, että Korean internet- ja turvallisuusvirasto ei ole käsitellyt heidän valitustaan tyydyttävällä tavalla.

(118)

Jotta voitaisiin varmistaa tietosuojalain noudattaminen, lainsäätäjä on antanut tietosuojalautakunnalle sekä tutkinta- että täytäntöönpanovaltuudet, joiden nojalla se voi toteuttaa erilaisia toimenpiteitä suositusten antamisesta hallinnollisiin sakkoihin. Näitä valtuuksia täydennetään rikosoikeudellisten seuraamusten järjestelmällä.

(119)

Tutkintavaltuuksien osalta voidaan todeta, että jos epäillään tietosuojalain rikkomista tai jos sellaisesta on ilmoitettu tai jos se on tarpeen rekisteröityjen oikeuksien suojaamiseksi, tietosuojalautakunta voi suorittaa tutkimuksia paikalla ja vaatia rekisterinpitäjiltä kaikkia asiaankuuluvia aineistoja (kuten esineitä ja asiakirjoja) (tietosuojalain 63 § yhdessä sen täytäntöönpanoasetuksen 60 §:n kanssa) (148).

(120)

Täytäntöönpanovaltuuksien osalta tietosuojalautakunta voi tietosuojalain 61 §:n 2 momentin nojalla antaa rekisterinpitäjille neuvoja siitä, miten henkilötietojen suojan tasoa voitaisiin parantaa tiettyjen käsittelytoimien yhteydessä. Rekisterinpitäjien on pyrittävä noudattamaan näitä neuvoja vilpittömässä mielessä ja ilmoitettava toimien tuloksista tietosuojalautakunnalle. Tietosuojalautakunta voi myös määrätä toteutettavaksi korjaavia toimenpiteitä, jos on perusteltu syy olettaa, että tietosuojalakia on rikottu ja että toimien laiminlyönti todennäköisesti aiheuttaisi vaikeasti korjattavissa olevaa vahinkoa (tietosuojalain 64 §:n 1 momentti) (149). Ilmoituksen N:o 2021-5 (liite I ) 5 kohdassa selvennetään sitovasti, että nämä edellytykset täyttyvät aina kun rikotaan sellaisia tietosuojalain säännöksiä, joilla suojataan yksilöiden oikeutta yksityisyyteen henkilötietojen osalta (150). Tietosuojalautakunnalla on muun muassa valtuudet määrätä, että rikkomiseen johtanut toiminta on lopetettava tai kyseinen tietojenkäsittely väliaikaisesti keskeytettävä, tai muita tarvittavia toimenpiteitä. Korjaavien toimenpiteiden laiminlyönti voi johtaa enintään 50 miljoonan wonin sakkojen määräämiseen (tietosuojalain 75 §:n 2 momentin 13 kohta).

(121)

Tietosuojalain 64 §:n 4 momentissa säädetään eräiden viranomaisten (mm. kansalliskokouksen, keskushallinnon virastojen, paikallishallinnon elinten ja tuomioistuinten) osalta, että tietosuojalautakunta voi ”suosittaa” johdanto-osan (120) kappaleessa mainittuja korvaavia toimenpiteitä ja että kyseisten viranomaisten on noudatettava tällaista suositusta, paitsi jos on kyse poikkeuksellisista olosuhteista. Ilmoituksessa N:o 2021-5 olevan 5 kohdan mukaan tällä tarkoitetaan tosiasiallisia tai oikeudellisia poikkeusolosuhteita, joista tietosuojalautakunta ei ollut tietoinen suosituksen antaessaan. Kyseinen viranomainen voi vedota tällaisiin poikkeuksellisiin olosuhteisiin vain jos se pystyy selkeästi osoittamaan, ettei sääntöjä ole rikottu ja tietosuojalautakunta vahvistaa, että tämä pitää paikkansa. Muussa tapauksessa viranomaisen on noudatettava tietosuojalautakunnan suositusta ja ”toteutettava korjaavat toimenpiteet, joihin voi kuulua myös toiminnan välitön lopettaminen, ja korvattava vahingot siinä poikkeuksellisessa tapauksessa, että lainvastainen toimenpide on kuitenkin tapahtunut”.

(122)

Tietosuojalautakunta voi myös pyytää muita hallintovirastoja, joilla on alakohtaisen lainsäädännön nojalla erityistoimivaltaa (esimerkiksi terveyden tai koulutuksen alalla), tutkimaan (epäiltyjä) tietosuojalain rikkomisia (joko itse tai yhdessä tietosuojalautakunnan kanssa) ja määräämään korjaavia toimenpiteitä toimivaltansa piiriin kuuluville rekisterinpitäjille (tietosuojalain 63 §:n 4 ja 5 momentti). Siinä tapauksessa tietosuojalautakunta määrittää tutkinnan perusteet, tavoitteen ja laajuuden (151). Asianomaisen hallintoviranomaisen on puolestaan esitettävä tietosuojalautakunnalle tarkastussuunnitelma ja annettava sille tiedoksi tarkastuksen tulokset. Tietosuojalautakunta voi suosittaa jotakin tiettyä korjaavaa toimenpidettä, ja viranomaisen on pyrittävä toteuttamaan se. Tällainen pyyntö ei kuitenkaan rajoita tietosuojalautakunnan toimivaltaa toteuttaa omia tutkimuksia tai määrätä seuraamuksia.

(123)

Korjaavien valtuuksiensa lisäksi tietosuojalautakunta voi määrätä 10–50 miljoonan wonin hallinnolliset sakot tietosuojalain eri säännösten rikkomisen perusteella (tietosuojalain 75 §) (152). Tämä tarkoittaa muun muassa käsittelyn lainmukaisuutta koskevien vaatimusten noudattamatta jättämistä, tarvittavien turvatoimien tai tietoturvaloukkauksista rekisteröidyille tehtävän ilmoituksen laiminlyöntiä, tietosuojaselosteen laatimista ja julkaisemista tai tietosuojavastaavan nimittämistä koskevan vaatimuksen laiminlyöntiä tai rekisteröidyn oikeuksien käyttöä koskevan pyynnön täyttämättä jättämistä sekä eräitä menettelyyn liittyviä rikkomuksia (yhteistyöstä kieltäytyminen tutkinnan yhteydessä). Jos sama rekisterinpitäjä rikkoo useita tietosuojalain säännöksiä, kustakin rikkomuksesta voidaan määrätä erillinen sakko, jonka suuruuden määrittämisessä otetaan huomioon niiden rekisteröityjen lukumäärä, joihin rikkomus vaikuttaa.

(124)

Jos on olemassa perusteltu syy epäillä tietosuojalain tai ”jonkin muun tietosuojaa koskevan säännöksen” rikkomista, tietosuojalautakunta voi myös tehdä rikosilmoituksen toimivaltaiselle tutkintavirastolle (esimerkiksi syyttäjälle, ks. tietosuojalain 65 §:n 1 momentti). Tietosuojalautakunta voi myös ohjeistaa rekisterinpitäjää toteuttamaan kurinpitotoimenpiteitä rikkomisesta vastuussa olevaa henkilöä kohtaan (myös vastaavaa johtajaa kohtaan, ks. tietosuojalain 65 §:n 2 momentti). Tällaisen ohjeen saatuaan rekisterinpitäjän on noudatettava (153) sitä ja annettava tietosuojalautakunnalle kirjallisesti tiedoksi toimenpiteen tulos (tietosuojalain 65 § yhdessä sen täytäntöönpanoasetuksen 58 §:n kanssa).

(125)

Tietosuojalautakunta voi julkaista verkkosivullaan tai yleisessä valtakunnallisessa päivälehdessä tiedot rikkomisesta ja siihen syyllistyneestä yksiköstä ja rikkomisen perusteella määrätyistä toimenpiteistä, kun on kyse ohjeista (tietosuojalain 61 §), korjaavista toimenpiteistä (64 §), syytetoimista tai kurinpitotoimia koskevista ohjeista (65 §) ja hallinnollisten sakkojen määräämisestä 75 §:n nojalla (tietosuojalain 66 § yhdessä sen täytäntöönpanoasetuksen 61 §:n 1 momentin kanssa) (154).

(126)

Tietosuojalain (ja muiden ”tietosuojaa koskevien säännösten”) tietosuojavaatimusten noudattamista tuetaan myös rikosoikeudellisilla seuraamuksilla. Tätä varten tietosuojalain 70–73 §:ssä on seuraamuksia koskevia säännöksiä, joiden nojalla voidaan määrätä joko sakkoja (20–100 miljoonaa wonia) tai vankeusrangaistus (enimmäisrangaistuksen kesto on 2–10 vuotta). Asianomaisia rikoksia ovat muun muassa henkilötietojen käyttö tai niiden luovuttaminen kolmannelle osapuolelle ilman tarvittavaa suostumusta, arkaluonteisten tietojen käsittely tietosuojalain 23 §:n 1 momentissa säädetyn kiellon vastaisesti, sovellettavien turvallisuusvaatimusten laiminlyönti, jonka seurauksena on henkilötietojen katoaminen, varastaminen, paljastaminen, väärentäminen, muuttaminen tai vahingoittuminen, sekä henkilötietojen oikaisemiseksi tai poistamiseksi tai niiden käsittelyn keskeyttämiseksi tarvittavien toimenpiteiden toteuttamatta jättäminen tai henkilötietojen laiton siirtäminen kolmanteen maahan (155). Tietosuojalain 74 §:n mukaisesti vastuu kuuluu kaikissa mainituissa tapauksissa sekä rekisterinpitäjän työntekijälle ja sen puolesta toimivalle toiminnanharjoittajalle tai sen edustajalle että rekisterinpitäjälle itselleen (156).

(127)

Sen lisäksi, että tietosuojalaissa säädetään rikosoikeudellisista seuraamuksista, henkilötietojen väärinkäyttö voi olla rikos myös rikoslain nojalla. Näin on erityisesti silloin kun kyseessä on kirjeiden, asiakirjojen tai sähköisten rekisterien salassapitovelvollisuuden rikkominen (316 §), ammattisalaisuuden piiriin kuuluvien tietojen paljastaminen (317 §), tietokoneen avulla tehty petos (347-2 §) sekä kavallus ja luottamusaseman väärinkäyttö (355 §).

(128)

Korean järjestelmässä yhdistetään näin ollen erilaisia seuraamuksia korjaavista toimenpiteistä ja hallinnollisista sakoista rikosoikeudellisiin seuraamuksiin, joilla on todennäköisesti erityisen vahva pelotevaikutus rekisterinpitäjiin ja tietojen käsittelijöihin. Tietosuojalautakunta alkoi käyttää valtuuksiaan heti sen jälkeen kun se perustettiin vuonna 2020. Tietosuojalautakunnan vuosiraportti 2021 osoittaa, että lautakunta on antanut useita suosituksia, hallinnollisia sakkoja ja korjaavia määräyksiä sekä julkisella sektorilla (34 viranomaiselle) että yksityisille toimijoille (noin 140 yritykselle) (157). Merkittävistä tapauksista voidaan mainita esimerkiksi joulukuussa 2020 eräälle yritykselle määrätty 6,7 miljoonan wonin sakko tietosuojalain eri säännösten rikkomisen vuoksi (mm. turvallisuutta, kolmannelle osapuolelle luovuttamista koskevaa suostumusta ja läpinäkyvyyttä koskevat vaatimukset) (158). Huhtikuussa 2021 taas muuan tekoälyteknologiayritys sai 103,3 miljoonan wonin sakot (muun muassa käsittelyn lainmukaisuutta, erityisesti suostumusta, ja pseudonymisoitujen tietojen käsittelyä koskevien vaatimusten rikkomisen vuoksi) (159). Elokuussa 2021 tietosuojalautakunta saattoi päätökseen kolmen yrityksen toimintaa koskevan tutkimuksen, jonka seurauksena määrättiin korjaavia toimenpiteitä ja jopa 6,47 miljardin wonin sakot (muun muassa siitä syystä, että rekisteröidyille ei ollut ilmoitettu henkilötietojen luovuttamisesta kolmansille osapuolille ja niiden siirtämisestä kolmansiin maihin) (160). Etelä-Korealla oli jo ennen äskettäin toteutettua uudistusta vahvaa näyttöä täytäntöönpanon valvonnasta, sillä vastuuviranomaiset ovat hyödyntäneet kattavasti eri toimenpiteitä muun muassa määräämällä hallinnollisia sakkoja ja korjaavia toimenpiteitä tai nimeämällä julkisesti rikkomuksiin syyllistyneitä rekisterinpitäjiä, kuten viestintäpalvelujen tarjoajia (Korea Communications Commission), tai kaupallisia operaattoreita, rahoituslaitoksia, viranomaisia, yliopistoja ja sairaaloita (sisäasiain- ja turvallisuusministeriö) (161). Tämän perusteella komissio katsoo, että Korean järjestelmä varmistaa tietosuojasääntöjen tuloksellisen täytäntöönpanon käytännössä ja takaa siten tietosuojan tason, joka olennaisilta osin vastaa asetuksessa (EU) 2016/679 säädettyä tasoa.

(129)

Jotta voidaan varmistaa yksilön oikeuksien asianmukainen suojelu ja täytäntöönpano, rekisteröidyllä olisi oltava tehokkaat hallinnolliset ja oikeudelliset oikeussuojakeinot ja myös oikeus saada vahingonkorvausta.

(130)

Korean järjestelmä tarjoaa yksilöille erilaisia mekanismeja, joiden avulla he voivat tehokkaasti valvoa oikeuksiaan ja käyttää (oikeudellisia) muutoksenhakukeinoja.

(131)

Jos yksilöt katsovat, että heidän tietosuojaoikeuksiaan tai -etujaan on loukattu, he voivat kääntyä ensin asianomaisen rekisterinpitäjän puoleen. Tietosuojalain 30 §:n 1 momentin 5 kohdan mukaan rekisterinpitäjän tietosuojaselosteessa on kerrottava muun muassa rekisteröidylle kuuluvista oikeuksista ja siitä, miten niitä voi käyttää. Lisäksi siinä on oltava yhteystiedot valitusten tekemistä varten, kuten tietosuojavastaavan tai tietosuojasta vastaavan yksikön nimi ja puhelinnumero. Tietosuojavastaava vastaa rekisterinpitäjän organisaatiossa valitusten käsittelystä ja korjaavien toimenpiteiden hyväksymisestä, jos yksityisyyden loukkaus on tapahtunut, sekä vahingonkorvauksista (tietosuojalain 31 §:n 2 momentin 3 kohta ja 4 momentti). Viimeksi mainitulla on merkitystä esimerkiksi tietoturvaloukkauksen tapauksessa, sillä rekisterinpitäjän on ilmoitettava rekisteröidylle yhteystiedot esimerkiksi mahdollisista vahingoista ilmoittamista varten (tietosuojalain 34 §:n 1 momentin 5 kohta).

(132)

Tietosuojalaissa säädetään myös eri oikeussuojakeinoista, joita yksilöt voivat käyttää rekisterinpitäjiä vastaan. Ensinnäkin henkilö, joka katsoo, että rekisterinpitäjä on loukannut hänen tietosuojaoikeuksiaan tai -etujaan, voi ilmoittaa siitä suoraan tietosuojalautakunnalle ja/tai jollekin sen nimeämälle erikoistuneelle laitokselle, jonka tehtävänä on ottaa vastaan ja käsitellä valituksia. Yksi tällainen laitos on Korean internet- ja turvallisuusvirasto, joka ylläpitää tätä tarkoitusta varten erityistä yksityisyydensuojaa koskevaa puhelinpalvelua (Privacy Call Centre) (tietosuojalain 62 §:n 1 ja 2 momentti yhdessä sen täytäntöönpanoasetuksen 59 §:n kanssa). Puhelinpalvelu tutkii ja toteaa rikkomuksia, antaa henkilötietojen käsittelyyn liittyvää neuvontaa (tietosuojalain 62 §:n 3 momentti) ja voi myös ilmoittaa rikkomuksista tietosuojalautakunnalle (mutta se ei voi itse toteuttaa täytäntöönpanotoimia). Puhelinpalvelu vastaanottaa runsaasti valituksia/pyyntöjä (esim. 177 457 vuonna 2020, 159 255 vuonna 2019 ja 164 497 vuonna 2018) (162). Tietosuojalautakunnalta saatujen tietojen mukaan lautakunta itse sai elokuun 2020 ja elokuun 2021 välisenä aikana noin 1 000 valitusta. Valituksen saatuaan tietosuojalautakunta voi esittää parannusehdotuksia tai määrätä korjaavia toimenpiteitä tai viedä asian toimivaltaisen tutkintaviraston (ml. syyttäjän) käsiteltäväksi tai antaa neuvoja kurinpitotoimista (tietosuojalain 61, 64 ja 65 §). Tietosuojalautakunnan päätöksiin (esim. kieltäytyminen valituksen käsiteltäväksi ottamisesta tai valituksen asiasisällön hylkääminen) voi hakea muutosta hallinnollisista riita-asioista annetun lain (Administrative Litigation Act) nojalla (163).

(133)

Toiseksi rekisteröidyt voivat tehdä valituksen riitojenratkaisukomitealle (Dispute Mediation Committee) (tietosuojalain 40–50 § yhdessä sen täytäntöönpanoasetuksen 48-14–57 §:n kanssa). Komitean jäsenet nimittää tietosuojalautakunnan puheenjohtaja tietosuojalautakunnan johtotason jäsenten sekä tiettyihin ryhmiin kuuluvien tietosuoja-asiantuntijoiden joukosta (tietosuojalain 40 §:n 2, 3 ja 7 momentti ja sen täytäntöönpanoasetuksen 48-14 §) (164). Mahdollisuus turvautua sovitteluun riitojenratkaisukomiteassa tarjoaa vaihtoehtoisen oikeussuojakeinon, joka ei rajoita yksilön oikeutta kääntyä sen sijaan tietosuojalautakunnan tai tuomioistuinten puoleen. Riitojenratkaisukomitea voi pyytää riidan osapuolia toimittamaan asian käsittelyä varten tarvittavaa aineistoa ja/tai kutsua todistajia kuultavaksi (tietosuojalain 45 §). Kun asia on selvitetty, komitea laatii sovintoehdotuksen (165), jolle on saatava jäsenten enemmistön hyväksyntä. Sovintoehdotuksessa voidaan määrätä rikkomisen lopettamisesta ja tarvittavista korjaavista toimenpiteistä (kuten oikeuksien palauttamisesta tai vahingonkorvauksesta) sekä tarvittavista toimenpiteistä, joiden tarkoituksena on estää saman tai vastaavanlaisen rikkomisen toistuminen (tietosuojalain 47 §:n 1 momentti). Jos riidan osapuolet hyväksyvät sovintoehdotuksen, sillä on sama oikeusvaikutus kuin tuomioistuimessa tehdyllä sovinnolla (tietosuojalain 47 §:n 5 momentti). Kumpikin osapuoli voi viedä asian tuomioistuimen käsiteltäväksi, vaikka sovittelu olisi vielä kesken; siinä tapauksessa sovittelu keskeytetään (tietosuojalain 48 §:n 2 momentti) (166). Tietosuojalautakunnan ilmoittamien vuotuisten lukujen perusteella yksilöt käyttävät säännöllisesti riitojenratkaisukomitean menettelyä, joka johtaakin usein onnistuneeseen lopputulokseen. Esimerkiksi vuonna 2020 komitea käsitteli 126 tapausta ja ratkaisi niistä 89 (77 tapauksessa osapuolet pääsivät sopuun jo ennen sovittelumenettelyn päättymistä ja 12 tapauksessa osapuolet hyväksyivät sovitteluehdotuksen), eli sovitteluaste oli 70,6 prosenttia (167). Vuonna 2019 komitea käsitteli 139 tapausta ja ratkaisi niistä 92, eli sovitteluaste oli 62,2 prosenttia.

(134)

Jos vahingonkärsijöitä on vähintään 50 tai heidän tietosuojaoikeuksiaan on rikottu samalla tai samantapaisella tavalla saman(tyyppisen) tapahtuman seurauksena (168), rekisteröity tai tietosuojaorganisaatio voi lisäksi hakea kollektiivista riitojenratkaisua tällaisen yhteisön puolesta; muut rekisteröidyt voivat puolestaan liittyä tällaiseen sovitteluun, josta riitojenratkaisukomitea ilmoittaa julkisesti (tietosuojalain 49 §:n 1–3 momentti yhdessä sen täytäntöönpanoasetuksen 52–54 §:n kanssa) (169). Riitojenratkaisukomitea voi valita yhteisön edustajaksi vähintään yhden henkilön, joka parhaiten edustaa yhteisön yhteistä etua (tietosuojalain 49 §:n 4 momentti). Jos rekisterinpitäjä kieltäytyy kollektiivisesta riitojenratkaisusta tai ei hyväksy sovittelutuomiota, tietyt organisaatiot (170) voivat nostaa rikkomisesta ryhmäkanteen (tietosuojalain 51–57 §).

(135)

Kolmanneksi, jos rekisteröidylle aiheutuu ”vahinkoa” yksityisyydenloukkauksen seurauksena, hänellä on oikeus asianmukaisiin oikeussuojakeinoihin ”viipymättä ja oikeudenmukaisen menettelyn mukaisesti” (tietosuojalain 4 §:n 5 kohta ja 39 §) (171). Rekisterinpitäjä voi vapautua korvausvastuusta osoittamalla, ettei vahinko johtunut sen virheestä (”vilpillisestä aikomuksesta” tai laiminlyönnistä). Jos rekisteröidylle aiheutuu vahinkoa hänen henkilötietojensa katoamisen, varastamisen, paljastamisen, väärentämisen, muuttamisen tai vahingoittumisen vuoksi, tuomioistuin voi määrätä korvauksen, jonka määrä on enintään kolminkertainen tosiasialliseen vahinkoon nähden, ottamalla huomioon useita eri tekijöitä (tietosuojalain 39 §:n 3 ja 4 momentti). Vaihtoehtoisesti rekisteröity voi vaatia ”kohtuullista korvausta”, jonka määrä voi olla enintään 3 miljoonaa wonia (tietosuojalain 39-2 §:n 1 ja 2 momentti). Lisäksi korvausta voidaan vaatia siviililain nojalla ”keneltä tahansa henkilöltä, joka aiheuttaa toiselle henkilölle menetyksiä tai vammoja lainvastaisella teolla, joko tahallisesti tai laiminlyönnin seurauksena” (172) tai henkilöltä, ”joka on vahingoittanut toista henkilöä tai hänen vapauttaan tai mainettaan tai aiheuttanut hänelle henkistä ahdistusta” (173). Korkein oikeus on vahvistanut tällaisen tietosuojasääntöjen rikkomisesta johtuvan vahingonkorvausvastuun (174). Jos vahinko on aiheutunut viranomaisen lainvastaisesta teosta, korvausvaatimus voidaan esittää myös valtion korvauksista annetun lain nojalla (175). Kyseisen lain nojalla tehtävä vaatimus käsitellään joko ns. korvausneuvostossa tai suoraan Korean tuomioistuimissa (176). Valtion korvausvastuu kattaa myös aineettomat vahingot (kuten henkisen kärsimyksen) (177). Jos uhri on ulkomaalainen, valtion korvauksista annettua lakia sovelletaan, jos uhrin lähtömaa korvaa vastaavasti Korean kansalaisille aiheutuneet vahingot (178).

(136)

Neljänneksi korkein oikeus on tunnustanut, että rekisteröidyillä on oikeus vaatia kieltomääräystä, jos heidän perustuslaillisia oikeuksiaan, kuten oikeutta henkilötietojen suojaan, on loukattu (179). Tällaisessa tapauksessa tuomioistuin voi esimerkiksi määrätä rekisterinpitäjät keskeyttämään tai lopettamaan lainvastaisen toiminnan. Lisäksi tietosuojaoikeuksien, myös tietosuojalailla suojattujen oikeuksien, täytäntöönpanoa voidaan vaatia siviilikanteen avulla. Korkein oikeus on tunnustanut tämän yksityisten osapuolten välisiä suhteita koskevan perustuslaillisen yksityisyydensuojan horisontaalisen soveltamisen (180).

(137)

Lopuksi todettakoon, että yksilöt voivat tehdä rikosilmoituksen yleiselle syyttäjälle tai rikospoliisille rikosprosessilain nojalla (Criminal Procedure Act, 223 §) (181).

(138)

Korean järjestelmä tarjoaa näin ollen erilaisia muutoksenhakukeinoja, joista toiset ovat helposti saatavilla ja kustannuksiltaan kohtuullisia (esimerkiksi yhteydenotto Privacy Call Centre -puhelinpalveluun tai (kollektiivinen) sovittelu) ja toiset tarjoavat hallinnollisia (tietosuojalautakunta) ja oikeudellisia ratkaisuja, joihin kuuluu myös mahdollisuus saada vahingonkorvausta.

(139)

Komissio on arvioinut myös niitä rajoituksia ja suojatoimia, mukaan lukien Korean lainsäädännön mukaiset valvonta- ja oikeussuojamekanismit, jotka koskevat sitä, kuinka viranomaiset voivat kerätä ja käyttää korealaisille rekisterinpitäjille siirrettyjä henkilötietoja yleisen edun mukaisia tarkoituksia ja erityisesti lainvalvontatarkoituksia ja kansalliseen turvallisuuteen liittyviä tarkoituksia varten, jäljempänä ’viranomaisten pääsy tietoihin’. Korean hallitus on tältä osin antanut komissiolle virallisia vahvistusilmoituksia, vakuutuksia ja sitoumuksia, jotka on allekirjoitettu korkeimmalla ministeri- ja virastotasolla ja jotka sisältyvät tämän päätöksen liitteeseen II.

(140)

Kun komissio arvioi, vastaavatko edellytykset, joiden nojalla viranomaiset käyttävät Koreaan tämän päätöksen nojalla siirrettyjä tietoja, ”olennaisilta osin” asetuksen (EU) 2016/679 45 artiklan 1 kohdassa esitettyjä vaatimuksia, sellaisena kuin Euroopan unionin tuomioistuin on niitä tulkinnut perusoikeuskirjan valossa, se ottaa huomioon erityisesti seuraavat kriteerit.

(141)

Ensinnäkin kaikista henkilötietojen suojaa koskevan oikeuden rajoituksista on säädettävä lailla, ja näiden rajoitusten laajuus on määritettävä jo siinä oikeusperustassa, joka mahdollistaa puuttumisen näihin oikeuksiin (182).

(142)

Toiseksi, sen oikeasuhteisuutta koskevan vaatimuksen täyttämiseksi, jonka mukaan henkilötietojen suojaa koskevia poikkeuksia ja rajoituksia on sovellettava vain siltä osin kuin se on ehdottoman välttämätöntä demokraattisessa yhteiskunnassa, jotta voidaan saavuttaa yleisen edun mukaiset tavoitteet, jotka vastaavat unionin tunnustamia tavoitteita, asianomaisen kolmannen maan lainsäädännössä, jossa sallitaan puuttuminen henkilötietojen suojaan, on vahvistettava selkeät ja täsmälliset säännöt, joilla säännellään kyseisten toimenpiteiden soveltamisalaa ja soveltamista ja vahvistetaan vähimmäistakeet, niin että henkilöillä, joiden tietoja on siirretty, on riittävät takeet, joiden nojalla heidän henkilötietojaan suojataan tehokkaasti väärinkäytön riskiltä (183). Tällaisessa lainsäädännössä on erityisesti ilmoitettava, missä olosuhteissa ja millä edellytyksillä tällaisten henkilötietojen käsittelyä koskeva toimenpide voidaan toteuttaa (184), ja säädettävä, että tällaisten vaatimusten täyttämiseen on sovellettava riippumatonta valvontaa (185).

(143)

Kolmanneksi kyseisen lainsäädännön ja sen vaatimusten on oltava oikeudellisesti velvoittavia kansallisen lain nojalla. Tämä koskee ensinnäkin kyseisen kolmannen maan viranomaisia, mutta näiden oikeudellisten vaatimusten on myös oltava täytäntöönpanokelpoisia tuomioistuimessa kyseisiä viranomaisia vastaan (186). Rekisteröidyillä on erityisesti oltava mahdollisuus nostaa kanne riippumattomassa ja puolueettomassa tuomioistuimessa, jotta he voivat saada pääsyn henkilötietoihinsa tai saada ne oikaistuiksi tai poistetuiksi (187).

(144)

Korean viranomaisten suorittamaan henkilötietojen keräämiseen ja käyttöön sovellettavat rajoitukset ja suojatoimet perustuvat yleisen perustuslaillisen kehyksen ohella erityislakeihin, joilla säännellään viranomaisten toimintaa lainvalvonnan ja kansallisen turvallisuuden alalla, sekä sääntöihin, joita sovelletaan erityisesti henkilötietojen käsittelyyn.

(145)

Ensinnäkin Korean viranomaisten pääsyä henkilötietoihin säännellään Korean perustuslakiin perustuvien yleisten periaatteiden – lainmukaisuuden, tarpeellisuuden ja oikeasuhteisuuden – mukaan (188). Näiden periaatteiden mukaan erityisesti perusoikeuksia ja -vapauksia (mukaan lukien oikeus yksityisyyteen ja oikeus kirjesalaisuuteen) (189) voidaan rajoittaa ainoastaan lailla silloin kun se on välttämätöntä kansallisen turvallisuuden, lain ja järjestyksen tai yleisen hyvinvoinnin turvaamiseksi. Tällaiset rajoitukset eivät saa vaikuttaa kyseessä olevan vapauden olennaiseen sisältöön. Etsintöjen ja takavarikkojen osalta perustuslaissa säädetään erikseen, että niitä voidaan suorittaa vain laissa säädetyin edellytyksin tuomarin antaman päätöksen perusteella ja asianmukaista menettelyä noudattaen (190). Yksilöt voivat myös vedota oikeuksiinsa ja vapauksiinsa perustuslakituomioistuimessa, jos he katsovat, että viranomaiset ovat loukanneet niitä toimivaltaansa käyttäessään (191). Vastaavasti yksilöillä, joille on aiheutunut vahinkoa virkamiehen virkatehtäviä suorittaessaan tekemästä lainvastaisesta teosta, on oikeus vaatia asianmukaista korvausta (192).

(146)

Toiseksi, kuten 3.2.1 ja 3.3.1 kohdassa tarkemmin kuvataan, johdanto-osan (145) kappaleessa mainitut yleiset periaatteet on otettu huomioon myös niissä erityislaeissa, joilla säännellään lainvalvontaviranomaisten ja kansallisten turvallisuusviranomaisten toimivaltuuksia. Esimerkiksi rikosprosessilaissa säädetään, että rikostutkinnassa voidaan käyttää pakkokeinoja vain jos rikosprosessilaissa nimenomaisesti niin säädetään ja vain sen verran kuin on välttämätöntä tutkinnan tarkoituksen saavuttamiseksi (193). Vastaavasti viestinnän tietosuojalain 3 §:ssä kielletään pääsy yksityiseen viestintään muutoin kuin lain nojalla ja siinä säädettyjä rajoituksia ja suojatoimia noudattaen. Kansallisen turvallisuuden osalta kansallisesta tiedustelupalvelusta annetussa laissa (National Intelligence Service Act) säädetään, että pääsy viestintään tai paikkatietoihin on toteutettava lain mukaisesti ja että toimivallan väärinkäytöstä ja lain rikkomisesta voidaan määrätä rikosoikeudellinen seuraamus (194).

(147)

Kolmanneksi viranomaisten suorittamaan henkilötietojen käsittelyyn sovelletaan tietosuojalaissa vahvistettuja tietosuojasääntöjä, myös silloin kun käsittely tapahtuu lainvalvontaan ja kansalliseen turvallisuuteen liittyviä tarkoituksia varten (195). Tietosuojalain 5 §:n 1 momentissa säädetään yleisenä periaatteena, että viranomaisten on laadittava politiikkatoimenpiteitä, joiden avulla voidaan estää ”henkilötietojen väärinkäyttö, epäasianmukainen tarkkailu ja seuraaminen jne. sekä taata ihmisarvo ja oikeus yksityisyyteen”. Lisäksi rekisterinpitäjien on käsiteltävä henkilötietoja niin, että minimoidaan mahdollisuus loukata rekisteröidyn yksityisyyttä (tietosuojalain 3 §:n 6 momentti).

(148)

Lainvalvontatarkoituksessa tapahtuvaan henkilötietojen käsittelyyn sovelletaan kaikkia 2 kohdassa yksityiskohtaisesti kuvattuja tietosuojalain vaatimuksia. Tämä tarkoittaa niin keskeisiä periaatteita (kuten käsittelyn lainmukaisuus ja asianmukaisuus, käyttötarkoituksen rajoittaminen, kerättävien tietojen minimointi ja tietojen täsmällisyys, säilyttämisen rajoittaminen sekä käsittelyn turvallisuus ja läpinäkyvyys), kuin velvollisuuksia (esimerkiksi tietoturvaloukkauksista ilmoittaminen, arkaluonteiset tiedot) ja oikeuksia (pääsyoikeus ja oikeus oikaista ja poistaa tiedot ja keskeyttää niiden käsittely).

(149)

Henkilötietojen käsittelyä kansalliseen turvallisuuteen liittyviä tarkoituksia varten ei säännellä tietosuojalaissa yhtä laajasti, mutta myös siihen sovelletaan keskeisiä periaatteita sekä valvontaa, noudattamisen valvontaa ja oikeussuojakeinoja koskevia sääntöjä (196). Tietosuojalain 3 ja 4 §:ssä vahvistetaan erityisesti yleiset tietosuojaperiaatteet (lainmukaisuus ja asianmukaisuus, käsittelytarkoituksen rajoittaminen, kerättävien tietojen minimointi, tietojen täsmällisyys ja käsittelyn turvallisuus ja läpinäkyvyys) ja yksilön oikeudet (tiedonsaantioikeus, pääsyoikeus omiin tietoihin ja oikeus oikaista tai poistaa ne sekä keskeyttää niiden käsittely) (197). Tietosuojalain 4 §:n 5 momentissa myönnetään lisäksi yksilöille oikeus asianmukaisiin oikeussuojakeinoihin viipymättä ja oikeudenmukaisen menettelyn mukaisesti. Tätä täydennetään yksityiskohtaisemmilla velvoitteilla, joiden mukaan henkilötietoja saa käsitellä vain sen verran kuin on välttämätöntä tarkoituksen saavuttamiseksi ja mahdollisimman lyhyen aikaa, minkä lisäksi on toteutettava tarvittavat toimenpiteet turvallisen tiedonhallinnan ja asianmukaisen käsittelyn varmistamiseksi (kuten tekniset, hallinnolliset ja fyysiset suojatoimet) sekä toimenpiteet yksilöiden valitusten asianmukaista käsittelyä varten (198). Lisäksi Korean perustuslaissa vahvistettuja lainmukaisuuden, tarpeellisuuden ja oikeasuhteisuuden periaatteita (ks. johdanto-osan (145) kappale) sovelletaan myös silloin kun henkilötietoja käsitellään kansalliseen turvallisuuteen liittyviä tarkoituksia varten.

(150)

Yksilöt voivat oikeussuojakeinojen käyttämiseksi vedota näihin yleisiin periaatteisiin ja suojatoimiin riippumattomissa valvontaelimissä (esim. tietosuojalautakunta ja/tai kansallinen ihmisoikeuskomissio, ks. johdanto-osan (177)–(178) kappale) ja tuomioistuimissa (ks. johdanto-osan (179)–(183) kappale).

(151)

Korean tasavallan lainsäädännössä asetetaan useita rajoituksia, jotka koskevat henkilötietoihin pääsyä ja niiden käyttöä lainvalvontatarkoituksia varten sekä tähän liittyviä valvonta- ja oikeussuojamekanismeja. Nämä säännökset vastaavat vaatimuksia, joihin viitataan tämän päätöksen johdanto-osan (141)–(143) kappaleessa. Seuraavassa arvioidaan yksityiskohtaisesti edellytyksiä, joiden täyttyessä pääsy henkilötietoihin voi toteutua, ja näiden toimivaltuuksien käyttöön sovellettavia suojatoimia.

(152)

Korean viranomaiset voivat kerätä tämän päätöksen nojalla unionista siirrettäviä ja korealaisten rekisterinpitäjien käsittelemiä henkilötietoja (199) lainvalvontatarkoituksia varten etsinnän tai takavarikon yhteydessä (rikosprosessilain nojalla), hankkimalla viestintätietoja (viestinnän tietosuojalain nojalla) tai hankkimalla tilaajatietoja vapaaehtoista luovuttamista koskevien pyyntöjen avulla (televiestintäyrityksiä koskevan lain nojalla) (200).

(153)

Rikosprosessilain mukaan etsintä tai takavarikko voidaan toteuttaa vain jos henkilöä epäillään rikoksesta ja toimenpiteet ovat tarpeen tutkintaa varten ja tutkinnan ja etsinnän kohteena olevan henkilön tai tarkastettavan tai takavarikoitavan esineen välillä on todettu yhteys (201). Lisäksi etsintä tai takavarikko (kuten muutkin pakkokeinot) voidaan hyväksyä/toteuttaa vain siinä määrin kuin se on välttämätöntä (202). Jos etsinnän kohteena on tietokoneen kovalevy tai muu tallennusväline, periaatteessa takavarikko voi koskea ainoastaan tarvittavia tietoja (jotka kopioidaan tai tulostetaan) eikä koko tallennusvälinettä (203). Tallennusväline voidaan takavarikoida vain jos katsotaan, että tarvittavien tietojen tulostaminen tai kopioiminen erikseen olisi käytännössä mahdotonta tai että etsinnän tarkoituksen toteuttaminen muulla tavoin olisi käytännössä mahdotonta (204). Siksi rikosprosessilaissa on näiden toimenpiteiden soveltamisalaa ja soveltamista koskevat selkeät ja täsmälliset säännöt, joilla voidaan varmistaa, että yksilön oikeuksiin puuttuminen etsinnän ja takavarikon yhteydessä rajoittuu siihen, mikä on välttämätöntä tietyn rikostutkinnan kannalta ja oikeasuhteista sen tavoitteisiin nähden.

(154)

Menettelyllisten suojatoimien osalta rikosprosessilaissa edellytetään, että tuomioistuin antaa päätöksen etsintää tai takavarikkoa varten (205). Etsintä tai takavarikko ilman tuomioistuimen päätöstä on sallittu vain poikkeuksellisesti, eli kiireellisissä tapauksissa (206), kun rikoksesta epäilty pidätetään tai otetaan kiinni rikospaikalla (207), tai kun rikoksesta epäilty tai kolmas henkilö heittää pois tai luovuttaa vapaaehtoisesti jonkin esineen (henkilötietojen osalta tämä tarkoittaa, että asianomainen luovuttaa tiedot itse) (208). Laittomasta etsinnästä ja takavarikosta voidaan määrätä rikosoikeudellisia seuraamuksia (209), ja rikosprosessilain vastaisesti hankittu näyttö hylätään (210). Asianomaisille henkilöille on myös aina ilmoitettava etsinnästä tai takavarikosta (myös heidän tietojensa takavarikoinnista) viipymättä. (211) Tämä helpottaa yksilön aineellisten oikeuksien ja oikeussuojakeinojen käyttöä (ks. erityisesti mahdollisuus riitauttaa takavarikointipäätöksen täytäntöönpano, ks. johdanto-osan (180) kappale).

(155)

Viestinnän tietosuojalain nojalla Korean lainvalvontaviranomaiset voivat toteuttaa kahdenlaisia toimenpiteitä (212): ne voivat ensinnäkin kerätä televalvontatietoja (communication confirmation data) (213), joista käy ilmi televiestinnän päivämäärä, alkamis- ja päättymisaika, lähtevien ja saapuvien puhelujen määrä sekä toisen osapuolen tilaajanumero, käyttötiheys, televiestintäpalvelujen käyttöä koskevat lokitiedostot ja paikkatiedot (esimerkiksi tukiasema, josta signaalit on vastaanotettu); ja toiseksi toteuttaa ”yhteydenpidon rajoittamista koskevia toimenpiteitä” (communication-restricting measures), jotka kattavat sekä perinteisten postilähetysten että televiestinnän sisällön haltuunoton (214).

(156)

Televalvontatietoihin voidaan myöntää pääsy vain jos se on tarpeen rikostutkinnan suorittamiseksi tai rangaistuksen täytäntöönpanemiseksi (215) tuomioistuimen antaman päätöksen perusteella (216). Viestinnän tietosuojalaissa edellytetään tältä osin yksityiskohtaisten tietojen antamista sekä päätöstä koskevassa hakemuksessa (esim. pyynnön perustelut ja sen suhde kohteeseen/tilaajaan ja tarvittavat tiedot) että itse päätöksessä (esim. toimenpiteen tavoite, kohde ja soveltamisala) (217). Tietojen kerääminen ilman tuomioistuimen päätöstä on mahdollista vain jos tuomioistuimen lupaa ei voida hankkia asian kiireellisyyden vuoksi. Tällöin päätös on hankittava ja toimitettava televiestintäpalvelujen tarjoajalle välittömästi tietojen pyytämisen jälkeen (218). Jos tuomioistuin kieltäytyy antamasta lupaa jälkikäteen, kerätyt tiedot on tuhottava (219).

(157)

Televalvontatietojen keräämisessä sovellettavia täydentäviä suojatoimia ovat viestinnän tietosuojalaissa säädetyt erityiset kirjanpitoa ja läpinäkyvyyttä koskevat vaatimukset (220). Etenkin lainvalvontaviranomaisten (221) ja televiestintäpalvelujen tarjoajien (222) on pidettävä kirjaa esitetyistä pyynnöistä ja niiden perusteella luovutetuista tiedoista. Lisäksi lainvalvontaviranomaisten on periaatteessa ilmoitettava yksilöille siitä, että heiltä on kerätty televalvontatietoja (223). Tällaista ilmoittamista voidaan lykätä ainoastaan poikkeustapauksissa toimivaltaisen piirisyyttäjänviraston johtajan luvalla (224). Lykkäys voidaan myöntää vain, jos ilmoittaminen todennäköisesti 1) vaarantaisi kansallisen turvallisuuden tai yleisen turvallisuuden ja järjestyksen, 2) aiheuttaisi kuoleman tai ruumiinvamman, 3) estäisi oikeudenmukaisen oikeudenkäynnin toteutumisen (esimerkiksi siksi, että se johtaisi todisteiden hävittämiseen tai todistajien uhkailuun), tai 4) loukkaisi epäillyn, uhrien tai muiden tapaukseen liittyvien henkilöiden kunniaa tai heidän yksityisyyttään. Näissä tapauksissa ilmoitus on annettava 30 päivän kuluessa siitä kun lykkäyksen syyt ovat lakanneet olemasta (225). Ilmoituksen jälkeen yksilöillä oikeus saada tietoa siitä, miksi heidän tietojaan on kerätty (226).

(158)

Yhteydenpidon rajoittamiseen sovelletaan tiukempia sääntöjä, joiden mukaan tällaisia toimenpiteitä voidaan käyttää vain jos on olemassa merkittävä syy epäillä, että suunnitteilla on tiettyjä viestinnän tietosuojalaissa erikseen lueteltuja vakavia rikoksia tai että sellaisia rikoksia on tehty (227). Lisäksi yhteydenpitoa voidaan rajoittaa vain viimesijaisena keinona, jos rikoksen estäminen, rikollisen pidättäminen tai todisteiden kerääminen olisi muutoin vaikeaa (228). Toimenpiteet on lopetettava heti kun niitä ei enää tarvita, jotta voidaan varmistaa, että viestinnän yksityisyyttä rajoitetaan mahdollisimman vähän. (229) Tietoja, jotka on saatu laittomasti yhteydenpidon rajoittamista koskevien toimenpiteiden avulla, ei hyväksytä todisteeksi oikeudenkäynnissä tai kurinpitomenettelyssä (230).

(159)

Menettelyllisten suojatoimien osalta viestinnän tietosuojalaissa edellytetään, että tuomioistuin antaa päätöksen yhteydenpidon rajoittamista koskevien toimenpiteiden toteuttamisesta (231). Viestinnän tietosuojalaissa myös edellytetään, että päätöstä koskevassa hakemuksessa ja itse päätöksessä on yksityiskohtaiset tiedot (232), muun muassa pyynnön perustelut sekä se, mitä viestintätietoja on tarkoitus kerätä (niiden on kuuluttava tutkinnan kohteena olevalle epäillylle) (233). Tällaisia toimenpiteitä voidaan toteuttaa ilman tuomioistuimen päätöstä vain jos on kyseessä järjestäytyneen rikollisuuden aiheuttama välitön vaara tai jos on tapahtumassa muu vakava rikos, joka voi välittömästi aiheuttaa kuoleman tai vakavan vamman, eikä tilanteen kiireellisyyden vuoksi ole mahdollista noudattaa sääntöjenmukaista menettelyä (234). Tässä tapauksessa päätöstä on kuitenkin haettava välittömästi toimenpiteen toteuttamisen jälkeen (235). Yhteydenpidon rajoittamista koskevia toimenpiteitä saa toteuttaa enintään kahden kuukauden ajan (236), ja niitä voidaan jatkaa tuomioistuimen luvalla vain jos toimenpiteiden toteuttamisen edellytykset täyttyvät edelleen (237). Pidennetty voimassaoloaika saa olla yhteensä enintään vuoden, tai kolme vuotta kun on kyse tietyistä erityisen vakavista rikoksista (kapinaan, ulkomaiseen hyökkäykseen tai kansalliseen turvallisuuteen liittyvät rikokset) (238).

(160)

Samoin kuin televalvontatietojen keräämisen yhteydessä, viestinnän tietosuojalaissa edellytetään, että televiestintäpalvelujen tarjoajat (239) ja lainvalvontaviranomaiset (240) pitävät kirjaa yhteydenpidon rajoittamista koskevien toimenpiteiden täytäntöönpanosta. Laissa säädetään myös asianomaiselle henkilölle ilmoittamisesta, mitä voidaan poikkeuksellisesti lykätä, jos se on tarpeen yleistä etua koskevista tärkeistä syistä (241).

(161)

Useiden viestinnän tietosuojalaissa säädettyjen rajoitusten ja suojatoimien laiminlyönnistä (mm. velvollisuus hankkia toimenpiteitä varten tuomioistuimen päätös, pitää niistä kirjaa ja ilmoittaa niistä asianomaiselle henkilölle) voidaan määrätä rikosoikeudellisia seuraamuksia sekä televalvontatietojen keräämisen että yhteydenpidon rajoittamista koskevien toimenpiteiden käytön yhteydessä (242).

(162)

Lainvalvontaviranomaisten valtuuksia kerätä viestinnän tietosuojalain nojalla viestintätietoja (sekä viestinnän sisältöä että televalvontatietoja) säännellään näin ollen selkein ja täsmällisin säännöin, ja valtuuksien käyttöön liittyy useita suojatoimia. Suojatoimilla taataan erityisesti tällaisten toimenpiteiden täytäntöönpanon valvonta sekä etukäteen (tuomioistuimen ennakkohyväksyntä) että jälkikäteen (kirjanpito- ja raportointivaatimukset) ja helpotetaan yksilöiden mahdollisuuksia käyttää tehokkaita oikeussuojakeinoja (varmistamalla, että he saavat ilmoituksen tietojensa keräämisestä).

(163)

Johdanto-osan (153)–(162) kappaleessa kuvattujen pakkokeinojen ohella Korean lainvalvontaviranomaiset voivat pyytää televiestintäpalvelujen tarjoajia luovuttamaan ”viestintätietoja” vapaaehtoisuuden pohjalta rikosoikeudenkäynnin, rikostutkinnan tai tuomion täytäntöönpanon tukemiseksi (televiestintäyrityksiä koskevan lain 83 §:n 3 momentti). Tämä mahdollisuus koskee vain rajallisia tietokokonaisuuksia, eli käyttäjien nimi, asukasrekisterinumero, osoite ja puhelinnumero, liittymän avaamis- tai sulkemispäivämäärä sekä käyttäjätunnus (koodi, jonka avulla tunnistetaan tietojärjestelmän tai viestintäverkon oikeutettu käyttäjä) (243). Koska ”käyttäjiksi” katsotaan ainoastaan yksilöt, jotka ovat tehneet sopimuksen suoraan korealaisen televiestintäpalvelujen tarjoajan kanssa (244), tähän ryhmään eivät normaalisti kuulu EU:n yksilöt, joiden tiedot on siirretty Korean tasavaltaan (245).

(164)

Tällaiseen vapaaehtoiseen tietojen luovuttamiseen sovelletaan erilaisia rajoituksia, joilla säännellään sekä lainvalvontaviranomaisen valtuuksien käyttöä että televiestintäpalvelujen tarjoajan toimintaa. Yleisenä vaatimuksena on, että lainvalvontaviranomaisten on toimittava perustuslaissa vahvistettujen tarpeellisuutta ja oikeasuhteisuutta koskevien periaatteiden mukaisesti (perustuslain 12 §:n 1 momentti ja 37 §:n 2 momentti), myös silloin kun ne pyytävät tietoja vapaaehtoisuuden pohjalta. Lisäksi niiden on noudatettava tietosuojalakia erityisesti siltä osin, että henkilötietoja saa kerätä vain sen verran kuin on tarpeen oikeutetun tarkoituksen saavuttamiseksi ja siten, että minimoidaan siitä yksilöiden yksityisyyteen aiheutuvat vaikutukset (tietosuojalain 3 §:n 1 ja 6 momentti). Lisäksi säädetään, että televiestintäyrityksiä koskevaan lakiin perustuvat viestintätietojen keräämistä koskevat pyynnöt on esitettävä kirjallisesti, ja niissä on ilmoitettava perustelut, yhteys asianomaiseen käyttäjään ja pyydettyjen tietojen laajuus (246).

(165)

Televiestintäpalvelujen tarjoajien ei tarvitse noudattaa tällaisia pyyntöjä, ja ne voivat noudattaa niitä ainoastaan tietosuojalain mukaisesti. Tämä tarkoittaa erityisesti sitä, että niiden on punnittava asiaan liittyviä eri etuja, eivätkä ne saa antaa tietoja, jos se todennäköisesti loukkaisi oikeudetta asianomaisen yksilön tai kolmannen osapuolen etuja (247). Näin olisi esimerkiksi siinä tapauksessa, että tietoja pyytävä viranomainen on selvästi käyttänyt toimivaltaansa väärin (248). Televiestintäpalvelujen tarjoajien on pidettävä kirjaa televiestintäyrityksiä koskevan lain nojalla luovutetuista tiedoista ja raportoitava asiasta kahdesti vuodessa tiede- ja tieto- ja viestintätekniikkaministeriölle (249).

(166)

Lisäksi televiestintäpalvelujen tarjoajien on ilmoituksessa N:o 2021-5 (liite I) olevan 3 kohdan mukaisesti periaatteessa ilmoitettava asianomaiselle henkilölle siitä, että ne ovat vapaaehtoisesti noudattaneet tietopyyntöä (250). Tämä antaa henkilölle mahdollisuuden käyttää oikeuksiaan, ja jos hänen tietojaan on luovutettu laittomasti, vedota oikeussuojakeinoihin joko rekisterinpitäjää vastaan (esimerkiksi siksi, että se on luovuttanut tietoja tietosuojalain vastaisesti tai vastannut selkeästi kohtuuttomaan pyyntöön) tai lainvalvontaviranomaista vastaan (esimerkiksi siksi, että se on ylittänyt tarpeellisuuden ja oikeasuhteisuuden rajat tai ei ole noudattanut televiestintäyrityksiä koskevassa laissa säädettyjä menettelyvaatimuksia).

(167)

Korean lainvalvontaviranomaisten keräämien henkilötietojen käsittelyyn sovelletaan kaikkia tietosuojalain vaatimuksia, mukaan lukien käyttötarkoituksen rajoittaminen (3 §:n 1 ja 2 momentti), käytön lainmukaisuus ja tietojen luovuttaminen kolmansille osapuolille (15, 17 ja 18 §), kansainväliset siirrot (17 ja 18 § yhdessä ilmoituksen N:o 2021-5 2 kohdan kanssa) (251), oikeasuhteisuus / tietojen minimointi (3 §:n 1 ja 6 momentti) ja säilytysajan rajoittaminen (21 §) (252).

(168)

Yhteydenpidon rajoittamisen avulla hankittujen viestien sisällön osalta viestinnän tietosuojalaissa rajoitetaan nimenomaisesti sen mahdollista käyttöä vakavien rikosten tutkinnassa, syytteeseenpanossa tai ehkäisemisessä (253); kurinpitomenettelyissä samojen rikosten osalta; viestinnän osapuolen esittämissä vahingonkorvausvaatimuksissa tai silloin kun se nimenomaisesti sallitaan muissa laeissa (254). Lisäksi internetin kautta lähetetyn televiestinnän kerättyä sisältöä voidaan säilyttää ainoastaan sen tuomioistuimen luvalla, joka hyväksyi yhteydenpidon rajoittamista koskevat toimenpiteet (255), vakavien rikosten tutkintaa, syytteeseenpanoa tai ehkäisemistä varten (256). Yleensäkin viestinnän tietosuojalaissa kielletään yhteydenpidon rajoittamisen avulla saatujen luottamuksellisten tietojen luovuttaminen ja tällaisten tietojen käyttö toimenpiteiden kohteena olevien henkilöiden maineen vahingoittamiseksi (257).

(169)

Koreassa lainvalvontaviranomaisten toimintaa valvovat useat eri elimet (258).

(170)

Ensinnäkin poliisin toimintaa valvoo sisäinen valvontaviranomainen (259), jonka suorittama laillisuusvalvonta kattaa myös mahdolliset ihmisoikeuksien loukkaukset. Valvontaviranomainen perustettiin julkisen sektorin tarkastuksista annetun lain (Act on Public Sector Audits) täytäntöönpanoa varten; laissa kannustetaan perustamaan sisäisen tarkastuksen elimiä ja vahvistetaan niiden kokoonpanoa ja tehtäviä koskevat vaatimukset. Laissa edellytetään erityisesti, että sisäisen tarkastuselimen johtaja on nimitettävä asianomaisen viranomaisen ulkopuolelta (esimerkiksi entinen tuomari tai professori) 2–5 vuoden toimikaudeksi (260). Hänet voidaan erottaa tehtävästä vain perustellusta syystä (esimerkiksi jos hän ei pysty hoitamaan tehtävää terveydellisistä syistä tai jos häneen kohdistetaan kurinpitotoimi) (261), ja hänelle taataan mahdollisimman laaja riippumattomuus (262). Sisäisen tarkastuksen estämisestä voidaan määrätä hallinnollisia sakkoja (263). Tarkastusraportit (joissa voidaan esittää suosituksia, pyytää kurinpitotoimia tai esittää korvaus- tai oikaisupyyntöjä) toimitetaan kyseisen viranomaisen johtajalle, valtion tilintarkastus- ja valvontaviranomaiselle (Board of Audit and Inspection) (264). Yleensä ne myös julkaistaan (265). Raportin täytäntöönpanon tulokset on annettava tiedoksi tilintarkastus- ja valvontaviranomaiselle (266) (ks. johdanto-osan (173) kappale, jossa käsitellään viranomaisen valvontatehtävää ja toimivaltuuksia).

(171)

Toiseksi tietosuojalautakunta valvoo, että lainvalvontaviranomaisten suorittama tietojenkäsittely tapahtuu tietosuojalain ja muiden sellaisten lakien mukaisesti, joilla suojataan yksilöiden yksityisyyttä. Näitä ovat mm. lait, joilla säännellään (sähköisen) todistusaineiston keräämistä lainvalvontatarkoituksiin, kuten 3.2.1 kohdassa kuvataan (267). Koska tietosuojalautakunnan valvonta kattaa myös tietojen keräämisen ja käsittelyn lainmukaisuuden ja asianmukaisuuden (tietosuojalain 3 §:n 1 momentti), joita rikotaan, jos henkilötietoihin pääsy ja niiden käyttö tapahtuu kyseisten lakien vastaisesti (268), tietosuojalautakunta voi erityisesti tutkia myös 3.2.1 kohdassa kuvattujen rajoitusten ja suojatoimien noudattamista ja valvoa sitä (269). Tätä valvontatehtävää suorittaessaan tietosuojalautakunta voi käyttää kaikkia tutkintavaltuuksiaan ja määrätä korjaavia toimia, joita käsitellään lähemmin 2.4.2 kohdassa. Tietosuojalautakunta hoiti jo ennen tietosuojalain äskettäistä uudistusta (osana julkisen sektorin valvontatehtäväänsä) erilaisia valvontatoimia, jotka koskivat lainvalvontaviranomaisten suorittamaa henkilötietojen käsittelyä esimerkiksi epäiltyjen kuulustelun yhteydessä (asia N:o 2013-16, 26.8.2013), hallinnollisista sakoista ilmoittamista yksilöille (asia N:o 2015-02-04, 26.1.2015), tietojen jakamista muiden viranomaisten kanssa (asia N:o 2018-15-146, 9.7.2018, asia N:o 2018-25-308, 10.12.2018; asia N:o 2019-02-015, 29.1.2019), sormenjälkien tai valokuvien keräämistä (asia N:o 2019-17-273, 9.9.2019) ja droonien käyttöä (asia N:o 2020-01-004, 13.1.2020). Mainittujen asioiden yhteydessä tietosuojalautakunta tutki sekä useiden tietosuojalain säännösten noudattamista (mm. käsittelyn lainmukaisuus, käyttötarkoituksen rajoittaminen ja tietojen minimointi) että eräiden muiden lakien, kuten rikosprosessilain, asiaa koskevien säännösten noudattamista. Se antoi tarvittaessa suosituksia, jotta käsittely tapahtuisi tietosuojavaatimusten mukaisesti.

(172)

Kolmanneksi riippumatonta valvontaa harjoittaa kansallinen ihmisoikeuskomissio (National Human Rights Commission, NHRC) (270), joka voi tutkia yksityisyyttä ja kirjesalaisuuta koskevien oikeuksien loukkauksia osana yleistä toimeksiantoaan eli perustuslain 10–22 §:ssä vahvistettujen perusoikeuksien suojelemista. Ihmisoikeuskomissio koostuu 11 komissaarista, joiden on täytettävä tietyt pätevyysvaatimukset (271) ja jotka presidentti nimittää laissa säädettyjen menettelyjen mukaisesti. Komissaareista neljä nimitetään kansalliskokouksen ehdotuksesta, neljä presidentin ehdotuksesta ja kolme korkeimman oikeuden puheenjohtajan ehdotuksesta (272). Presidentti nimittää ihmisoikeuskomission puheenjohtajan komissaarien joukosta; nimitykselle on saatava kansalliskokouksen vahvistus (273). Komissaarit (ml. puheenjohtaja) nimitetään kolmen vuoden toimikaudeksi, joka voidaan uusia. Heidät voidaan erottaa vain jos heille on määrätty vankeusrangaistus tai jos he eivät enää kykene hoitamaan tehtäväänsä pitkäaikaisen fyysisen tai psyykkisen toimintakyvyttömyyden vuoksi (tällöin komissaarien kahden kolmasosan on hyväksyttävä erottaminen) (274). Ihmisoikeuskomissio voi tutkinnan yhteydessä vaatia asiaa koskevien aineistojen luovuttamista, tehdä tarkastuksia ja kutsua yksilöitä kuultavaksi (275). Ihmisoikeuskomissiolla on valtuudet määrätä korjaavia toimenpiteitä antamalla tiettyjen politiikkatoimien tai käytäntöjen parantamiseksi tai korjaamiseksi (julkisia) suosituksia, joihin viranomaisten on vastattava esittämällä ehdotus täytäntöönpanosuunnitelmaksi (276). Jos viranomainen ei noudata suosituksia, sen on ilmoitettava asiasta ihmisoikeuskomissiolle (277), joka voi ilmoittaa tästä kansalliskokoukselle ja/tai julkistaa asian. Korean hallituksen virallisten lausuntojen mukaan (liitteen II kohta 2.3.5) Korean viranomaiset yleensä noudattavat ihmisoikeuskomission suosituksia. Niillä on vahva kannustin tehdä niin, koska suositusten noudattamista arvioidaan osana pääministerin kanslian alaisuudessa tehtävää yleistä jatkuvaa arviointia. Ihmisoikeuskomission toimintaa koskevat vuotuiset luvut osoittavat sekä yksilöiden tekemien vetoomusten että viran puolesta tehtävien tutkimusten osalta, että se valvoo lainvalvontaviranomaisten toimintaa aktiivisesti (278).

(173)

Neljänneksi viranomaisten toiminnan lainmukaisuuden yleisestä valvonnasta vastaa valtion tilintarkastus- ja valvontaviranomainen. Sen tehtävänä on tarkastaa valtion tulot ja menot, mutta yleisemmin myös valvoa viranomaisten velvollisuuksien täyttämistä julkishallinnon toiminnan parantamiseksi (279). Tilintarkastus- ja valvontaviranomainen toimii muodollisesti Korean tasavallan presidentin alaisuudessa, mutta se hoitaa tehtäviään itsenäisesti (280). Lisäksi se on täysin riippumaton henkilöstönsä nimittämisen, erottamisen ja organisoinnin sekä talousarvion laatimisen suhteen (281). Tilintarkastus- ja valvontaviranomaisen kokoonpanoon kuuluvat puheenjohtaja (jonka presidentti nimittää kansalliskokouksen suostumuksella) (282) ja kuusi komissaaria (jotka presidentti nimittää puheenjohtajan suosituksesta) (283), joiden on täytettävä laissa säädetyt erityisvaatimukset (284) ja jotka voidaan erottaa ainoastaan virkarikoksen seurauksena tai jos heidät on tuomittu vankeuteen tai jos he eivät kykene hoitamaan tehtäviään pitkäaikaisen fyysisen tai psyykkisen toimintakyvyttömyyden vuoksi (285). Tilintarkastus- ja valvontaviranomainen suorittaa yleisiä tarkastuksia vuosittain, mutta lisäksi se voi tehdä erityistarkastuksia erityisen tärkeistä seikoista. Tarkastustehtäviä suorittaessaan se voi pyytää asiakirjojen toimittamista ja vaatia henkilöiden läsnäoloa (286). Tilintarkastus- ja valvontaviranomainen voi antaa suosituksia, vaatia kurinpitotoimia tai tehdä rikosilmoituksen (287).

(174)

Lopuksi todettakoon, että myös kansalliskokous harjoittaa viranomaisten parlamentaarista valvontaa suorittamalla niiden toimintaa koskevia tutkimuksia ja tarkastuksia (288). (289) Se voi pyytää asiakirjojen luovuttamista ja vaatia todistajia tulemaan kuultavaksi (290), suosittaa korjaavia toimenpiteitä (jos se katsoo, että on tapahtunut lainvastaista tai sääntöjenvastaista toimintaa) (291) ja julkistaa havaintojensa tulokset (292). Jos kansalliskokous vaatii korjaavien toimenpiteiden toteuttamista (kuten vahingonkorvauksen myöntämistä, kurinpitotoimien toteuttamista tai sisäisten menettelyjen parantamista), asianomaisen viranomaisen on toimittava viipymättä ja raportoitava toimenpiteiden tuloksesta kansalliskokoukselle (293).

(175)

Korean järjestelmä tarjoaa erilaisia (oikeudellisia) keinoja, joiden avulla yksilöt voivat saada apua ongelmatilanteisiin, myös mahdollisuuden saada vahingonkorvausta.

(176)

Ensinnäkin tietosuojalaissa myönnetään yksilöille pääsy omiin henkilötietoihinsa, joita käsitellään lainvalvontatarkoituksia varten, ja oikeus oikaista tai poistaa ne ja keskeyttää niiden käsittely (294).

(177)

Toiseksi yksilöt voivat käyttää erilaisia tietosuojalaissa säädettyjä oikeussuojakeinoja, jos jokin lainvalvontaviranomainen on käsitellyt heidän tietojaan tietosuojalain tai muissa laeissa henkilötietojen keräämiselle asetettujen rajoitusten ja suojatoimien vastaisesti (esim. rikosprosessilaki tai viestinnän tietosuojalaki, ks. johdanto-osan (171) kappale). Yksilöt voivat muun muassa tehdä valituksen tietosuojalautakunnalle (esimerkiksi Korean internet- ja turvallisuusviraston ylläpitämän puhelinpalvelun kautta (295)) tai henkilötietoihin liittyviä asioita käsittelevälle riitojenratkaisukomitealle (296). Oikeussuojakeinojen käyttöön ei sovelleta muita tutkittavaksi ottamista koskevia vaatimuksia. Hallinnollisista riita-asioista annetun lain nojalla on myös mahdollista hakea muutosta/oikaisua tietosuojalautakunnan päätökseen tai sen toimimatta jättämisen (ks. johdanto-osan (132) kappale).

(178)

Kolmanneksi kuka tahansa (297) voi tehdä ihmisoikeuskomissiolle valituksen, jos katsoo Korean lainvalvontaviranomaisen loukanneen yksityisyyttä ja tietosuojaa koskevia oikeuksiaan. Ihmisoikeuskomissio voi suosittaa asiaa koskevan säännöksen, laitoksen, politiikkatoimen tai käytännön oikaisemista tai parantamista (298), tai oikeussuojakeinojen, kuten sovittelun (299), toteuttamista, ihmisoikeusloukkauksen lopettamista, vahingonkorvauksen suorittamista ja toimenpiteitä saman tai vastaavanlaisten loukkausten toistumisen estämiseksi (300). Korean hallituksen virallisten lausuntojen mukaan (liitteen II kohta 2.4.2) toimiin voi sisältyä myös lainvastaisesti kerättyjen henkilötietojen poistaminen. Ihmisoikeuskomissiolla ei ole valtuuksia antaa sitovia päätöksiä, vaan se tarjoaa epävirallisemman, huokeamman ja helpommin saatavilla olevan väylän oikeussuojan saamiseksi erityisesti siksi, että kuten liitteen II kohdassa 2.4.2 selitetään, se ei edellytä vahingon osoittamista tosiseikkojen nojalla voidakseen ottaa valituksen tutkittavaksi (301). Näin varmistetaan, että yksilöiden valitukset, jotka koskevat heidän tietojensa keräämistä, voidaan ottaa käsiteltäväksi vaikka asianomainen ei pystyisi osoittamaan, että hänen tietojaan on todella kerätty (esimerkiksi siksi, että hänelle ei ole vielä ilmoitettu siitä). Ihmisoikeusneuvoston vuotuiset toimintakertomukset osoittavat, että yksilöt myös käyttävät sen tarjoamia mahdollisuuksia valittaakseen lainvalvontaviranomaisten toiminnasta, myös henkilötietojen käsittelystä (302). Jos yksilö ei ole tyytyväinen ihmisoikeuskomission menettelyn tulokseen, hän voi hakea ihmisoikeuskomission päätöksiin (esimerkiksi päätös olla jatkamatta valituksen tutkimista (303)) ja suosituksiin muutosta Korean tuomioistuimissa hallinnollisista riita-asioista annetun lain nojalla (ks. johdanto-osan (181) kappale) (304). Ihmisoikeuskomissiossa käyty menettely voi myös helpottaa asian viemistä tuomioistuimeen, sillä yksilö voi jatkaa oikeuden hakemista hänen tietojaan lainvastaisesti käsitellyttä viranomaista vastaan ihmisoikeuskomission havaintojen perusteella johdanto-osan (181)–(183) kappaleessa kuvattujen menettelyjen mukaisesti.

(179)

Tarjolla on erilaisia keinoja, joiden avulla yksilöt voivat vedota tuomioistuimissa 3.2.1 kohdassa kuvattuihin rajoituksiin ja suojatoimiin oikeussuojan saamiseksi (305).

(180)

Rikosprosessilaissa säädetään mahdollisuudesta vastustaa (mm. tietojen) takavarikointia tai riitauttaa takavarikkopäätöksen täytäntöönpano esittämällä toimivaltaiselle tuomioistuimelle ns. kvasi-valitus, jossa pyydetään syyttäjän tai poliisin päätöksen kumoamista tai muuttamista (306).

(181)

Yksilöt voivat yleensäkin riitauttaa viranomaisten (myös lainvalvontaviranomaisten) toimet (307) tai toimimatta jättämisen (laiminlyönnin) (308) hallinnollisista riita-asioista annetun lain nojalla (309). Hallintotoimet katsotaan ”päätöksiksi, jotka on mahdollista riitauttaa”, jos ne vaikuttavat suoraan kansalaisoikeuksiin ja -velvollisuuksiin (310). Korean hallitus on vahvistanut (liitteen II kohta 2.4.3), että tämä koskee muun muassa toimenpiteitä henkilötietojen keräämiseksi joko suoraan (esim. viestintää kuuntelemalla) tai (esim. palveluntarjoajalle esitetyn) velvoittavan luovutuspyynnön tai vapaaehtoista yhteistyötä koskevan pyynnön avulla. Hallinnollisista riita-asioista annetun lain nojalla tehty valitus voidaan ottaa käsiteltäväksi vain jos yksilöllä on oikeudellinen intressi vaateen esittämiseen (311). Korkeimman oikeuden oikeuskäytännön mukaan ”oikeudellisella intressillä” tarkoitetaan ”oikeudellisesti suojattua etua” eli suoraa ja erityistä etua, joka on suojattu niissä laeissa ja asetuksissa, joihin kyseinen hallinnollinen päätös perustuu (kyse ei siis voi olla yleisölle kuuluvasta yleisestä, epäsuorasta ja abstraktista edusta) (312). Yksilöillä on tällainen oikeudellinen intressi, jos heidän henkilötietojensa keräämisessä lainvalvontatarkoituksiin ei ole noudatettu (erityislakien tai tietosuojalain nojalla) sovellettavia rajoituksia ja suojatoimia. Tuomioistuin voi hallinnollisista riita-asioista annetun lain nojalla päättää peruuttaa lainvastaisen päätöksen tai muuttaa sitä tai todeta sen pätemättömäksi (eli todeta, että päätöksellä ei ole oikeusvaikutuksia tai että sitä ei ole olemassa oikeusjärjestyksessä) tai todeta, että laiminlyönti on ollut lainvastainen (313). Hallinnollisista riita-asioista annetun lain nojalla annettu lainvoimainen tuomio sitoo asianosaisia (314).

(182)

Sen lisäksi, että hallintotoimiin voidaan hakea muutosta hallinnollisilla menettelyillä, yksityishenkilöt voivat tehdä perustuslakituomioistuimelle perustuslakivalituksen mistä tahansa heidän perusoikeuksiensa loukkauksesta, joka johtuu julkisen vallan käytöstä tai käyttämättä jättämisestä (tuomioistuimien tuomioita lukuun ottamatta) (315). Jos muita oikeussuojakeinoja on käytettävissä, ne on käytettävä ensin. Perustuslakituomioistuimen oikeuskäytännön mukaan ulkomaalaiset voivat tehdä perustuslakivalituksen siltä osin kuin heidän perusoikeutensa tunnustetaan Korean perustuslaissa (ks. selitykset kohdassa 1.1) (316). Perustuslakituomioistuin voi mitätöidä julkisen vallan käyttöön perustuvan toimen, joka johti perusoikeuksien loukkaamiseen, tai vahvistaa, että tietty laiminlyönti on perustuslain vastainen (317). Siinä tapauksessa toimivaltaisen viranomaisen on toteutettava tarvittavat toimenpiteet tuomioistuimen päätöksen noudattamiseksi.

(183)

Yksilöt voivat myös vaatia vahingonkorvausta Korean tuomioistuimissa. Tämä tarkoittaa ensinnäkin mahdollisuutta vaatia korvausta lainvalvontaviranomaisten toiminnasta johtuvasta tietosuojalain rikkomisesta lain 39 §:n nojalla (ks. myös johdanto-osan (135) kappale). Yksilöt voivat yleensäkin vaatia valtion korvauksista annetun lain nojalla korvausta vahingoista, joita virkamies on aiheuttanut suorittaessaan virkatehtäviään lainvastaisesti (ks. myös johdanto-osan (135) kappale) (318).

(184)

Johdanto-osan (176)–(183) kappaleessa kuvatut mekanismit tarjoavat rekisteröidyille tehokkaat hallinnolliset ja oikeudelliset oikeussuojakeinot, joiden avulla he voivat erityisesti varmistaa oikeuksiensa toteutumisen; tämä koskee myös oikeutta saada pääsy henkilötietoihin ja oikaista tai poistaa ne.

(185)

Korean tasavallan lainsäädäntöön sisältyy useita rajoituksia ja suojatoimia, jotka koskevat henkilötietoihin pääsyä ja niiden käyttöä kansalliseen turvallisuuteen liittyviä tarkoituksia varten. Siinä säädetään myös valvonta- ja oikeussuojamekanismeista, jotka vastaavat tämän päätöksen johdanto-osan (141)–(143) kappaleessa mainittuja vaatimuksia. Seuraavassa arvioidaan yksityiskohtaisesti edellytyksiä, joiden täyttyessä pääsy henkilötietoihin voi toteutua, ja näiden toimivaltuuksien käyttöön liittyvien suojatoimien soveltamista.

(186)

Korean tasavallassa henkilötietoja voidaan käyttää kansalliseen turvallisuuteen liittyviä tarkoituksia varten viestinnän tietosuojalain, televiestintäyrityksiä koskevan lain ja yleistä turvallisuutta koskevan lain (eli ns. terrorismintorjuntalain) nojalla (319). Tärkein viranomainen (320), jolla on toimivalta kansallisen turvallisuuden alalla, on kansallinen tiedustelupalvelu (321). Kansallisen tiedustelupalvelun on noudatettava henkilötietojen keräämisen ja käytön yhteydessä asiaa koskevia oikeudellisia vaatimuksia (mm. tietosuojalakia ja viestinnän tietosuojalakia) (322) sekä presidentin laatimia ja kansalliskokouksen tarkistamia yleisiä ohjeita (323). Yleisperiaatteena on, että tiedustelupalvelun on säilytettävä poliittinen neutraalius ja suojeltava yksilöiden vapautta ja oikeuksia (324). Lisäksi tiedustelupalvelun henkilöstö ei saa käyttää väärin julkista valtaansa painostaakseen instituutioita, organisaatioita tai yksilöitä tekemään mitään sellaista, mihin niillä ei ole velvollisuutta (lain nojalla), tai estääkseen jotakuta käyttämästä oikeuksiaan (325).

(187)

Viestinnän tietosuojalain nojalla Korean viranomaiset (326) voivat kerätä televalvontatietoja (joista käy ilmi televiestinnän päivämäärä, alkamis- ja päättymisaika, lähtevien ja saapuvien puhelujen määrä sekä toisen osapuolen tilaajanumero, käyttötiheys, televiestintäpalvelujen käyttöä koskevat lokitiedostot ja paikkatiedot, ks. johdanto-osan (155) kappale) ja viestien sisältöä (yhteydenpidon rajoittamista koskevilla toimenpiteillä, ks. johdanto-osan (155) kappale) kansalliseen turvallisuuteen liittyviä tarkoituksia varten (kansallisen tiedustelupalvelun toimeksiannon mukaisesti, ks. edellä alaviite 322). Nämä valtuudet kattavat kahdentyyppisiä tietoja: 1) viestintä, jonka toinen osapuoli tai molemmat osapuolet ovat Korean kansalaisia (327); ja 2) viestintä, jonka osapuolena on a) Korean tasavallalle vihamielisiä maita, b) vieraiden valtioiden viranomaisia, ryhmiä tai kansalaisia, joiden epäillään osallistuvan Korean vastaiseen toimintaan (328), tai c) Korean niemimaalla toimivien ryhmien jäseniä, jotka eivät kuitenkaan ole Korean tasavallan suvereniteetin piirissä, ja niiden ulkomailla toimivia kattoryhmiä (329). EU:n yksilöiden viestintää, joka on siirretty unionista Korean tasavaltaan tämän päätöksen perusteella, voidaan sen vuoksi kerätä kansalliseen turvallisuuteen liittyviä tarkoituksia varten viestinnän tietosuojalain nojalla (johdanto-osan (188)–(192) kappaleessa esitettyjen edellytysten täyttyessä) vain jos viestintä tapahtuu EU:n yksilön ja Korean kansalaisen välillä, tai – jos viestintä tapahtuu yksinomaan muiden kuin Korean kansalaisten välillä – se kuuluu johonkin kolmesta edellä mainitusta tyypistä 2 a), b tai c.

(188)

Kummassakin tapauksessa televalvontatietoja voidaan kerätä ainoastaan kansalliseen turvallisuuteen kohdistuvien uhkien ehkäisemiseksi (330), ja yhteydenpidon rajoittamista koskevia toimenpiteitä voidaan toteuttaa ainoastaan jos on olemassa kansalliseen turvallisuuteen kohdistuva vakava riski ja tietojen kerääminen on välttämätöntä sen ehkäisemiseksi (331). Lisäksi pääsy viestinnän sisältöön sallitaan vain viimesijaisena keinona, ja viestinnän yksityisyyden loukkaus on pyrittävä minimoimaan (332) sen varmistamiseksi, että se on oikeassa suhteessa tavoiteltuun kansallista turvallisuutta koskevaan tavoitteeseen. Sekä viestinnän sisällön että televalvontatietojen kerääminen saa kestää enintään neljä kuukautta, ja se on lopetettava välittömästi, jos asetettu tavoite saavutetaan aikaisemmin (333). Jos asiaankuuluvat edellytykset täyttyvät edelleen, keräämisaikaa voidaan jatkaa enintään neljällä kuukaudella, jos siihen saadaan ennakkohyväksyntä tuomioistuimelta (johdanto-osan (189) kappaleessa kuvattujen toimenpiteiden osalta) tai presidentiltä (johdanto-osan (190) kappaleessa kuvattujen toimenpiteiden osalta) (334).

(189)

Televalvontatietojen ja viestinnän sisällön keräämiseen sovelletaan samoja menettelyllisiä suojatoimia (335). Jos ainakin yksi viestinnän osapuolista on Korean kansalainen, tiedusteluviraston on esitettävä kirjallinen pyyntö ylimmän syyttäjän virastolle, jonka puolestaan on haettava päätöstä ylemmän oikeusasteen tuomioistuimen ylemmältä puheenjohtajalta (senior Chief Justice of the High Court) (336). Viestinnän tietosuojalaissa luetellaan tiedot, jotka on mainittava syyttäjälle esitettävässä pyynnössä, päätöstä koskevassa hakemuksessa ja itse päätöksessä. Näitä ovat erityisesti pyynnön perustelut, tärkeimmät epäilyksien taustalla olevat syyt ja näyttö sekä tiedot ehdotetun toimenpiteen tavoitteesta, kohteesta (eli kohdehenkilö(i)stä, soveltamisalasta ja kestosta) (337). Tietoja voidaan kerätä ilman päätöstä vain jos kyseessä on salahankkeeseen liittyvä toiminta, joka uhkaa kansallista turvallisuutta, eikä vallitsevan hätätilanteen vuoksi ole mahdollista noudattaa edellä mainittuja menettelyjä (338). Myös tässä tapauksessa päätöstä on kuitenkin haettava välittömästi toimenpiteen toteuttamisen jälkeen (339). Siksi viestinnän tietosuojalaissa määritellään selkeästi tämäntyyppisen keräämisen soveltamisala ja edellytykset ja säädetään niihin sovellettavista erityisistä (menettelyllisistä) suojatoimista (myös tuomioistuimen ennakkohyväksynnästä), jotta voidaan varmistaa, että tällaisten toimenpiteiden käyttö rajoitetaan siihen, mikä on välttämätöntä ja oikeasuhteista. Lisäksi vaatimus antaa yksityiskohtaisia tietoja sekä päätöstä koskevassa hakemuksessa että itse päätöksessä sulkee pois mielivaltaisen pääsyn mahdollisuuden.

(190)

Kun kyseessä on muiden kuin Korean kansalaisten välinen viestintä, joka kuuluu johonkin johdanto-osan (187) kappaleessa mainituista kolmesta tyypistä, tietojen keräämiseksi on tehtävä hakemus kansallisen tiedustelupalvelun johtajalle, jonka on ehdotettujen toimenpiteiden asianmukaisuuden tarkistamisen jälkeen pyydettävä toimenpiteelle Korean tasavallan presidentin kirjallinen ennakkohyväksyntä (340). Tiedusteluviraston hakemuksessa on esitettävä samat yksityiskohtaiset tiedot kuin haettaessa tuomioistuimen päätöstä (ks. johdanto-osan (189) kappale). Näitä ovat erityisesti pyynnön perustelut, tärkeimmät epäilyksien taustalla olevat syyt ja todistusasiakirjat sekä tiedot ehdotettujen toimenpiteiden tavoitteesta, kohteesta (eli kohdehenkilö(i)stä, soveltamisalasta ja kestosta) (341). Hätätilanteissa (342) on saatava ennakkohyväksyntä ministeriltä, jonka alaisuuteen asianomainen tiedusteluvirasto kuuluu, mutta viraston on pyydettävä presidentin hyväksyntää välittömästi sen jälkeen kun hätätoimenpiteet on toteutettu (343). Myös silloin kun kerätään yksinomaan muiden kuin Korean kansalaisten välistä viestintää, viestinnän tietosuojalaissa rajoitetaan tällaisten toimenpiteiden käyttö siihen, mikä on tarpeen ja oikeasuhteista, määrittämällä selkeästi ne rajatut henkilöryhmät, joihin tällaisia toimenpiteitä voidaan soveltaa, ja vahvistamalla yksityiskohtaiset kriteerit, joiden täyttyminen tiedusteluvirastojen on osoitettava tietojen keräämistä koskevan hakemuksen perustelemiseksi. Myös tässä tapauksessa tämä sulkee pois mielivaltaisen pääsyn mahdollisuuden. Tällaisten toimenpiteiden osalta ei edellytetä riippumatonta ennakkohyväksyntää, mutta jälkikäteen tehtävästä riippumattomasta valvonnasta huolehtivat erityisesti tietosuojalautakunta ja ihmisoikeuskomissio (ks. esim. johdanto-osan (199)–(200) kappale).

(191)

Viestinnän tietosuojalaissa säädetään lisäksi useista muista suojatoimista, jotka edistävät jälkikäteisvalvontaa ja helpottavat yksilön oikeussuojan saatavuutta. Ensinnäkin viestinnän tietosuojalaissa säädetään erilaisista tietojen kirjaamista ja raportointia koskevista vaatimuksista, joita sovelletaan aina kun mitä tahansa tietoja kerätään kansalliseen turvallisuuteen liittyviä tarkoituksia varten. Erityisesti silloin kun tiedusteluvirastot vaativat yksityisiä palveluntarjoajia tekemään yhteistyötä, niiden on esitettävä tuomioistuimen päätös / presidentin ennakkohyväksyntä tai jäljennös hätätilanteen sensuuria koskevan lausunnon kansilehdestä, joka yhteistyöhön pakotetun yksikön on säilytettävä tiedostoissaan (344). Silloin kun yksityiset palveluntarjoajat on velvoitettu yhteistyöhön, sekä niiden että yhteistyötä vaativan viranomaisen on kirjattava ylös toimenpiteiden tarkoitus ja kohde sekä niiden täytäntöönpanopäivä (345). Tiedusteluvirastojen on lisäksi raportoitava keräämistään tiedoista ja tarkkailun tuloksesta kansallisen tiedustelupalvelun johtajalle (346).

(192)

Toiseksi yksilöille on ilmoitettava siitä, että heidän tietojaan (sekä televalvontatietoja että viestinnän sisältöä) on kerätty kansalliseen turvallisuuteen liittyviä tarkoituksia varten, jos on kyse viestinnästä, jossa ainakin yksi osapuolista on Korean kansalainen (347). Ilmoitus on toimitettava kirjallisesti 30 päivän kuluessa keräämisen päättymisestä (myös silloin kun tiedot on saatu kiireellisen menettelyn mukaisesti), ja sitä voidaan lykätä vain jos ja ainoastaan niin kauan kuin ilmoittaminen vaarantaisi kansallisen turvallisuuden tai vahingoittaisi ihmisten henkeä ja fyysistä turvallisuutta (348). Tällaisesta ilmoituksesta riippumatta yksityishenkilöillä on oikeus käyttää erilaisia oikeussuojakeinoja, joita käsitellään lähemmin 3.3.4 kohdassa.

(193)

Terrorismintorjuntalain mukaan kansallinen tiedustelupalvelu voi kerätä tietoja terrorismiepäillyistä (349) muissa laeissa säädettyjen rajoitusten ja suojatoimien mukaisesti (350). Kansallinen tiedustelupalvelu voi hankkia erityisesti viestintätietoja (viestinnän tietosuojalain perusteella) ja muita henkilötietoja (pyytämällä tietojen vapaaehtoista luovuttamista) (351). Viestintätietojen (joko viestinnän sisällön tai televalvontatietojen) keräämiseen sovelletaan 3.3.1.1 kohdassa kuvattuja rajoituksia ja suojatoimia, myös vaatimusta tuomioistuimen päätöksen hankkimisesta. Terrorismiepäiltyjen muuntyyppisten henkilötietojen vapaaehtoista luovuttamista koskevien pyyntöjen osalta kansallisen tiedustelupalvelun on noudatettava perustuslakiin ja tietosuojalakiin perustuvia tarpeellisuutta ja oikeasuhteisuutta koskevia vaatimuksia (ks. johdanto-osan (164) kappale) (352). Rekisterinpitäjät voivat noudattaa tällaisia pyyntöjä vapaaehtoisesti tietosuojalaissa säädettyjen edellytysten nojalla (esimerkiksi noudattaen tietojen minimointia koskevaa periaatetta ja rajoittamalla vaikutuksia rekisteröidyn yksityisyyteen) (353). Siinä tapauksessa niiden on noudatettava myös ilmoituksessa N:o 2021-5 säädettyä vaatimusta ilmoittaa tietojen luovuttamisesta asianomaiselle (ks. johdanto-osan (166) kappale).

(194)

Televiestintäyrityksiä koskevan lain mukaan televiestintäpalvelujen tarjoajat voivat luovuttaa tilaajatietoja vapaaehtoisesti (ks. johdanto-osan (163) kappale), jos jokin tiedusteluvirasto pyytää niitä kansalliseen turvallisuuteen kohdistuvan uhkan estämiseksi (354). Kun kansallinen tiedustelupalvelu esittää tällaisia pyyntöjä, sovelletaan samoja (perustuslakiin, tietosuojalakiin ja televiestintäyrityksiä koskevaan lakiin perustuvia) rajoituksia kuin lainvalvonnan alalla, ks. johdanto-osan (164) kappale (355). Televiestintäpalvelujen tarjoajien ei tarvitse noudattaa tällaisia pyyntöjä, ja ne voivat noudattaa niitä vain tietosuojalaissa säädetyin edellytyksin (esimerkiksi noudattaen tietojen minimointia koskevaa periaatetta ja rajoittamalla vaikutuksia rekisteröidyn yksityisyyteen, ks. myös johdanto-osa (193) kappale). Kirjanpidon ja asianomaiselle toimitettavan ilmoituksen osalta sovelletaan samoja vaatimuksia kuin lainvalvonnan alalla (ks. johdanto-osan (165) ja (166) kappale).

(195)

Korean viranomaisten kansalliseen turvallisuuteen liittyviä tarkoituksia varten keräämien henkilötietojen käsittelyyn sovelletaan tietosuojalaissa vahvistettuja periaatteita, jotka koskevat käyttötarkoituksen rajoittamista (3 §:n 1–2 momentti), käsittelyn lainmukaisuutta ja asianmukaisuutta (3 §:n 1 momentti), tietojen oikeasuhteisuutta/minimointia (3 §:n 1 ja 6 momentti ja 58 §), tietojen täsmällisyyttä (3 §:n 3 momentti), läpinäkyvyyttä (3 §:n 5 momentti) sekä turvallisuutta (58 §:n 4 momentti) ja säilytysajan rajoittamista (58 §:n 4 momentti) (356). Henkilötietoja voidaan luovuttaa kolmansille osapuolille (mukaan lukien kolmansiin maihin) ainoastaan jos noudatetaan näitä periaatteita (ja erityisesti käyttötarkoituksen rajoittamista ja tietojen minimointia), sen jälkeen kun on arvioitu tarpeellisuus- ja suhteellisuusperiaatteiden noudattaminen (perustuslain 37 §:n 2 momentti) ja otettu huomioon luovuttamisen vaikutus asianomaisten henkilöiden oikeuksiin (tietosuojalain 3 §:n 6 momentti).

(196)

Viestinnän sisällön ja televalvontatietojen käyttöä rajoitetaan viestinnän tietosuojalaissa sallimalla kyseisten tietojen käyttö ainoastaan oikeudenkäyntimenettelyissä, jos viestintään liittyvä osapuoli vetoaa niihin vahingonkorvausvaatimuksessaan; käyttö voidaan sallia myös muiden lakien nojalla (357).

(197)

Kansallisten turvallisuusviranomaisten toimintaa valvovat Koreassa useat eri elimet (358).

(198)

Ensinnäkin terrorismintorjuntalaissa säädetään erityisistä terrorismintorjuntatoimien valvontamekanismista, joka koskee myös terrorismiepäiltyjen tietojen keräämistä. Johdon tasolla terrorismintorjuntatoimia valvoo terrorismintorjuntakomissio (Counterterrorism Commission) (359), jolle kansallisen tiedustelupalvelun johtajan on raportoitava terrorismiepäiltyjä koskevista tutkimuksista ja jäljitystoimista, joiden avulla kerätään terrorismintorjunnassa tarvittavaa tietoa tai aineistoa (360). Lisäksi ihmisoikeusvaltuutettu (Human Rights Protection Officer) valvoo erikseen, että terrorismintorjuntatoimissa noudatetaan perusoikeuksia (361). Terrorismintorjuntakomission puheenjohtaja nimittää ihmisoikeusvaltuutetun sellaisten henkilöiden joukosta, jotka täyttävät terrorismintorjuntalain täytäntöönpanoasetuksessa luetellut vaatimukset (362). Ihmisoikeusvaltuutetun toimikausi on kaksivuotinen, ja hänet voidaan erottaa tehtävistään vain erityisistä rajoitetuista ja hyvin perustelluista syistä (363). Ihmisoikeusvaltuutettu voi valvontatehtäväänsä hoitaessaan antaa yleisiä suosituksia ihmisoikeuksien suojelun parantamiseksi (364) ja erityisiä suosituksia korjaaviksi toimenpiteiksi, jos on todettu ihmisoikeusloukkaus (365). Viranomaisten on ilmoitettava ihmisoikeusvaltuutetulle sen suositusten perusteella toteutetuista jatkotoimista (366).

(199)

Toiseksi myös tietosuojalautakunta valvoo, että kansalliset turvallisuusviranomaiset noudattavat tietosuojasääntöjä. Tämä tarkoittaa sekä sovellettavia tietosuojalain säännöksiä (ks. johdanto-osan (149) kappale) että henkilötietojen keräämiseen muiden lakien nojalla sovellettavia rajoituksia ja suojatoimia (viestinnän tietosuojalaki, terrorismintorjuntalaki ja televiestintäyrityksiä koskeva laki, ks. myös johdanto-osan (171) kappale) (367). Tätä valvontatehtävää suorittaessaan tietosuojalautakunta voi käyttää kaikkia tutkintavaltuuksiaan ja määrätä korjaavia toimia, joita käsitellään lähemmin 2.4.2 kohdassa.

(200)

Kolmanneksi kansallisten turvallisuusviranomaisten toimintaan sovelletaan kansallisen ihmisoikeuskomission riippumatonta valvontaa johdanto-osan (172) kappaleessa kuvattujen menettelyjen mukaisesti (368).

(201)

Neljänneksi valtion tilintarkastus- ja valvontaviranomaisen valvontatehtävä kattaa myös kansalliset turvallisuusviranomaiset, joskin kansallinen tiedustelupalvelu voi poikkeustapauksissa kieltäytyä antamasta määrättyjä tietoja tai aineistoja, esimerkiksi jos kyseessä on valtionsalaisuus, jonka julkistaminen aiheuttaisi kansalliselle turvallisuudelle vakavia seurauksia (369).

(202)

Lopuksi todettakoon, että kansallisen tiedustelupalvelun toiminnan parlamentaarisesta valvonnasta vastaa kansalliskokous (erityisen tiedustelukomitean kautta) (370). Viestinnän tietosuojalaissa säädetään kansalliskokouksen erityisestä valvontatehtävästä, joka koskee yhteydenpidon rajoittamista koskevien toimenpiteiden käyttöä kansalliseen turvallisuuteen liittyviä tarkoituksia varten (371). Kansalliskokous voi erityisesti suorittaa salakuuntelulaitteiden tarkastuksia paikalla ja vaatia sekä kansallista tiedustelupalvelua että viestinnän sisältöä paljastaneita televiestintäpalvelujen tarjoajia antamaan asiasta selvityksen. Kansalliskokous voi myös harjoittaa yleistä valvontatehtäväänsä (johdanto-osan (174) kappaleessa kuvattujen menettelyjen mukaisesti). Kansallisesta tiedustelupalvelusta annetun lain mukaan tiedustelupalvelun johtajan on vastattava viipymättä, jos tiedustelukomitea pyytää raporttia jostakin tietystä asiasta (372). Tiettyjen erityisen arkaluonteisten tietojen käsittelystä on annettu erityiset säännöt. Käytännössä tiedustelupalvelun johtaja voi kieltäytyä vastaamasta tai todistamasta komitean edessä vain poikkeustapauksessa, eli jos pyyntö koskee sotilaallisia, diplomaattisia tai Pohjois-Koreaan liittyviä valtionsalaisuuksia, joiden julkistaminen voisi aiheuttaa vakavia seurauksia maan ”kansalliselle kohtalolle” (373). Tässä tapauksessa tiedustelukomitea voi pyytää selitystä pääministeriltä, ja jos sitä ei anneta 7 päivän kuluessa, vastaamisesta tai todistamisesta ei voida kieltäytyä.

(203)

Korean järjestelmä tarjoaa myös kansallisen turvallisuuden alalla erilaisia (oikeudellisia) keinoja, joiden avulla yksilöt voivat saada apua ongelmatilanteisiin, myös mahdollisuuden saada vahingonkorvausta. Nämä mekanismit tarjoavat rekisteröidyille tehokkaat hallinnolliset ja oikeudelliset oikeussuojakeinot, joiden avulla he voivat erityisesti varmistaa oikeuksiensa toteutumisen; tämä koskee myös oikeutta saada pääsy henkilötietoihin ja oikaista tai poistaa ne.

(204)

Ensinnäkin yksilöt voivat tietosuojalain 3 §:n 5 momentin ja 4 §:n 1, 3 ja 4 momentin nojalla käyttää oikeuttaan saada pääsy omiin tietoihinsa ja oikaista tai poistaa ne tai keskeyttää niiden käsittelyn myös suhteessa kansallisiin turvallisuusviranomaisiin. Ilmoituksessa N:o 2021-5 olevassa 6 kohdassa (liite I) selitetään tarkemmin, miten näitä oikeuksia sovelletaan, kun tietoja käsitellään kansalliseen turvallisuuteen liittyviä tarkoituksia varten. Kansallinen turvallisuusviranomainen voi muun muassa rajoittaa näiden oikeuksien käyttöä tai evätä sen vain siltä osin ja niin pitkäksi aikaa kuin se on tarpeen ja oikeasuhteista yleisen edun mukaisen tärkeän tavoitteen suojelemiseksi (esimerkiksi siltä osin ja niin kauan kuin oikeuden myöntäminen vaarantaisi meneillään olevan tutkinnan tai uhkaisi kansallista turvallisuutta), tai kun oikeuden myöntäminen voisi vahingoittaa kolmannen osapuolen henkeä tai terveyttä. Tällaiseen rajoitukseen vetoaminen edellyttää sen vuoksi yksilön oikeuksien ja etujen tasapainottamista asiaa koskevan yleisen edun kanssa eikä se saa missään tapauksessa vaikuttaa oikeuden olennaiseen sisältöön (perustuslain 37 §:n 2 momentti). Jos pyyntö evätään tai sitä rajoitetaan, yksilölle on ilmoitettava syyt siihen viipymättä.

(205)

Toiseksi yksilöt voivat käyttää erilaisia tietosuojalaissa säädettyjä oikeussuojakeinoja, jos jokin kansallinen turvallisuusviranomainen on käsitellyt heidän tietojaan tietosuojalain tai muissa laeissa henkilötietojen keräämiselle asetettujen rajoitusten ja suojatoimien vastaisesti (erityisesti viestinnän tietosuojalaki, ks. johdanto-osan (171)kappale) (374). Tätä oikeutta voidaan käyttää tekemällä valitus tietosuojalautakunnalle (esimerkiksi Korean internet- ja turvallisuusviraston ylläpitämän Privacy Call Centre -puhelinpalvelun kautta) (375). Jotta voitaisiin helpottaa oikeussuojan saatavuutta Korean kansallisia turvallisuusviranomaisia vastaan, EU:n yksilöt voivat tehdä valituksen Korean tietosuojalautakunnalle oman kansallisen tietosuojaviranomaisensa välityksellä (376). Siinä tapauksessa tietosuojalautakunta ilmoittaa yksilölle kansallisen tietosuojaviranomaisen välityksellä, kun tutkimus on päättynyt (ja mahdollisesti määrätyistä korjaavista toimenpiteistä). Hallinnollisista riita-asioista annetun lain nojalla on myös mahdollista hakea muutosta/oikaisua tietosuojalautakunnan päätökseen tai sen toimimatta jättämisen (ks. johdanto-osan (132) kappale).

(206)

Kolmanneksi yksilöt voivat tehdä valituksen ihmisoikeusvaltuutetulle, jos he katsovat, että heidän oikeuttaan yksityisyyteen/tietosuojaan on loukattu terrorismintorjuntaan liittyvän toiminnan yhteydessä, (esimerkiksi terrorismintorjuntalain nojalla) (377). Ihmisoikeusvaltuutettu voi suosittaa korjaavia toimenpiteitä. Ihmisoikeusvaltuutettu käsittelee kaikki saamansa valitukset, vaikka valittaja ei pystyisi osoittamaan, että hänen oikeuksiaan todella on loukattu (esimerkiksi siksi, että kansallinen turvallisuusviranomainen on väitetysti kerännyt hänen tietojaan lainvastaisesti) (378). Kyseisen viranomaisen on ilmoitettava ihmisoikeusvaltuutetulle kaikista sen suositusten noudattamiseksi toteutetuista toimenpiteistä.

(207)

Neljänneksi yksilöt voivat tehdä valituksen kansalliselle ihmisoikeuskomissiolle siitä, että kansalliset turvallisuusviranomaiset ovat keränneet heidän tietojaan, ja saada oikeussuojaa johdanto-osan (178) kappaleessa kuvatun menettelyn mukaisesti (379).

(208)

Yksilöillä on käytettävissään erilaisia keinoja vedota tuomioistuimissa (380) 3.3.1 kohdassa kuvattuihin rajoituksiin ja suojatoimiin oikeussuojan saamiseksi. He voivat erityisesti riitauttaa kansallisten turvallisuusviranomaisten toiminnan lainmukaisuuden hallinnollisista riita-asioista annetun lain nojalla (johdanto-osan (181) kappaleessa kuvatun menettelyn tai perustuslakituomioistuimesta annetun lain mukaisesti (ks. johdanto-osan (182) kappale). He voivat myös saada vahingonkorvausta valtion korvauksista annetun lain perusteella (ks. lähemmin johdanto-osan (183) kappale).

(209)

Komissio katsoo, että Korean tasavalta varmistaa – tietosuojalain, tietyillä sektoreilla sovellettavien erityissääntöjen (ks. analyysi 2 kohdassa) ja ilmoituksessa N:o 2021-5 (liite I) esitettyjen täydentävien suojatoimien ansiosta – Euroopan unionista siirrettyjen henkilötietojen suojan tason, joka vastaa olennaisilta osiltaan asetuksessa (EU) 2016/679 taattua suojan tasoa.

(210)

Lisäksi komissio katsoo, että Korean lainsäädäntöön sisältyvät valvontamekanismit ja oikeussuojakeinot kokonaisuutena mahdollistavat sen, että Korean rekisterinpitäjien tekemät tietosuojasääntöjen rikkomiset voidaan tunnistaa ja niihin voidaan puuttua käytännössä, ja että ne myös tarjoavat rekisteröidylle oikeussuojakeinoja, joiden avulla hän voi saada pääsyn itseään koskeviin henkilötietoihin ja tarvittaessa oikaista tai poistaa ne.

(211)

Korean oikeusjärjestystä koskevien käytettävissä olevien tietojen perusteella, mukaan lukien liitteessä II esitetyt Korean hallituksen lausunnot, vakuutukset ja sitoumukset, komissio katsoo, että Korean viranomaisten yleisen edun nimissä toteuttama puuttuminen erityisesti rikoslain valvontaan ja kansalliseen turvallisuuteen liittyvissä tarkoituksissa niiden yksilöiden perusoikeuksiin, joiden henkilötietoja siirretään Euroopan unionista Korean tasavaltaan, tulee rajatuksi siihen, mikä on ehdottoman välttämätöntä kyseessä olevan lainmukaisen tavoitteen saavuttamiseksi, ja että tällaista puuttumista vastaan on olemassa tehokas oikeussuoja.

(212)

Sen vuoksi olisi tämän päätöksen päätelmien perusteella katsottava, että Korean tasavalta varmistaa asetuksen (EU) 2016/679 45 artiklassa tarkoitetun riittävän tietosuojan tason, sellaisena kuin sitä tulkitaan Euroopan unionin perusoikeuskirjan valossa, niille henkilötiedoille, joita siirretään Euroopan unionista Korean tietosuojalain soveltamisalaan kuuluville Korean tasavallan rekisterinpitäjille, lukuun ottamatta uskonnollisia organisaatioita siltä osin kuin ne käsittelevät henkilötietoja lähetystyöhön liittyviä tarkoituksia varten; poliittisia puolueita siltä osin kuin ne käsittelevät henkilötietoja ehdokasasettelua varten, ja rekisterinpitäjiä, jotka kuuluvat luottorekisterilain nojalla tehtävän henkilötietojen käsittelyn osalta rahoituspalvelukomission valvonnan piiriin, siltä osin kuin ne käsittelevät tällaisia tietoja.

(213)

Jäsenvaltioiden ja niiden elinten on toteutettava tarvittavat toimenpiteet unionin toimielinten antamien säädösten noudattamiseksi, sillä niiden oletetaan olevan lainmukaisia ja aiheuttavan siten oikeusvaikutuksia siihen asti, että ne perutaan, kumotaan kumoamiskanteen johdosta tai julistetaan pätemättömiksi ennakkoratkaisupyynnön tai lainvastaisuusväitteen perusteella.

(214)

Näin ollen asetuksen (EU) 2016/679 45 artiklan 3 kohdan mukainen tietosuojan riittävyyttä koskeva komission päätös sitoo kaikkia elimiä jäsenvaltioissa, joille se on osoitettu, mukaan lukien niiden riippumattomat valvontaviranomaiset. Tällä päätöksellä mahdollistetaan erityisesti se, että tiedonsiirrot unionin rekisterinpitäjältä tai henkilötietojen käsittelijältä Korean tasavaltaan sijoittautuneille henkilötietojen käsittelijöille voidaan toteuttaa ilman eri hyväksyntää.

(215)

Olisi kuitenkin muistettava, kuten asetuksen (EU) 2016/679 58 artiklan 5 kohdassa ja unionin tuomioistuimen asiassa Schrems antamassa tuomiossa (381) todetaan, että jos kansallinen tietosuojaviranomainen esimerkiksi valituksen käsittelyn yhteydessä asettaa kyseenalaiseksi sen, onko tietosuojan riittävyyttä koskeva komission päätös yksityisyydensuojaa ja tietosuojaa koskevan perusoikeuden mukainen, kansallisessa lainsäädännössä on säädettävä oikeussuojakeinoista, joiden avulla viranomainen voi esittää väitteensä kansallisessa tuomioistuimessa, jonka on tarvittaessa pyydettävä unionin tuomioistuimelta ennakkoratkaisua (382).

(216)

Tuomioistuimen oikeuskäytännön (383) mukaisesti ja kuten asetuksen (EU) 2016/679 45 artiklan 4 kohdassa todetaan, komission olisi tietosuojan riittävyyttä koskevan päätöksen hyväksymisen jälkeen jatkuvasti seurattava asiaa koskevaa kehitystä kolmannessa maassa. Näin komissio voi arvioida sitä, takaako kyseinen kolmas maa edelleen olennaisilta osin vastaavan suojan tason. Tällainen tarkastelu on joka tapauksessa tehtävä, kun komissio saa tietoja, jotka aiheuttavat perusteltuja epäilyksiä tältä osin.

(217)

Komission olisi sen vuoksi seurattava jatkuvasti sitä, kuinka henkilötietojen käsittelyä koskeva lainsäädäntökehys ja käytännön toiminta, joita tässä päätöksessä arvioidaan, kehittyvät Korean tasavallassa, sekä sitä, noudattavatko Korean viranomaiset liitteeseen II sisältyviä lausuntoja, vakuutuksia ja sitoumuksia. Prosessin helpottamiseksi Korean viranomaisia kehotetaan ilmoittamaan viipymättä komissiolle kehityksestä, jolla on merkitystä tämän päätöksen kannalta ja joka koskee sitä, miten toiminnanharjoittajat ja viranomaiset käsittelevät henkilötietoja, ja sitä, mitä rajoituksia ja suojatoimia on asetettu viranomaisten pääsylle tietoihin.

(218)

Jotta komissio voisi harjoittaa tehokkaasti seurantatehtäväänsä, jäsenvaltioiden olisi lisäksi ilmoitettava komissiolle kaikista kansallisten tietosuojaviranomaisten toteuttamista asiaankuuluvista toimista, varsinkin siinä tapauksessa, että ne liittyvät EU:n rekisteröityjen esittämiin kysymyksiin tai valituksiin, jotka koskevat henkilötietojen siirtoa Euroopan unionista Korean tasavallan rekisterinpitäjille. Komissiolle olisi myös ilmoitettava havainnoista, joiden mukaan rikosten ehkäisystä, tutkinnasta, havaitsemisesta tai rikoksiin liittyvistä syytetoimista tai kansallisesta turvallisuudesta vastaavat Korean viranomaiset, mukaan lukien valvontaelimet, eivät varmista vaadittua suojan tasoa.

(219)

Asetuksen (EU) 2016/679 45 artiklan 3 kohdan mukaisesti (384) ja ottaen huomioon sen, että Korean oikeusjärjestyksen tarjoaman suojan taso voi muuttua, komission olisi tämän päätöksen hyväksymisen jälkeen säännöllisin väliajoin tarkistettava, ovatko Korean tasavallan takaaman suojan tason riittävyyttä koskevat päätelmät edelleen asiasisällöltään ja oikeudellisesti perusteltuja.

(220)

Sen vuoksi tätä päätöstä koskeva tarkastelu olisi tehtävä ensimmäisen kerran kolmen vuoden kuluessa sen voimaantulosta. Ensimmäisen tarkastelun jälkeen ja sen tuloksista riippuen komissio päättää tiiviissä yhteistyössä asetuksen (EU) 2016/679 93 artiklan 1 kohdan nojalla perustetun komitean kanssa siitä, onko kolmen vuoden jakso pidettävä voimassa. Myöhemmät tarkastelut olisi joka tapauksessa suoritettava vähintään joka neljäs vuosi (385). Tarkastelun olisi katettava kaikki tämän päätöksen toimivuuteen liittyvät näkökohdat ja erityisesti tämän päätöksen liitteessä I esitettyjen täydentävien suojatoimien soveltaminen, kiinnittäen erityistä huomiota suojatoimiin edelleen siirtämisen yhteydessä; asiaa koskevan oikeuskäytännön kehitys; säännöt pseudonymisoitujen tietojen käsittelystä tilastointia, tieteellistä tutkimusta ja yleisen edun mukaista arkistointia varten sekä tietosuojalain 28 §:n 7 momentissa säädettyjen poikkeusten soveltaminen; yksilön oikeuksien käytön tehokkuus, myös ennen äskettäistä tietosuojalautakunnan uudistamista, sekä näitä oikeuksia koskevien poikkeusten soveltaminen; tietosuojalaissa säädettyjen osittaisten vapautusten soveltaminen; sekä viranomaisten pääsyä tietoihin koskevat rajoitukset ja suojatoimet (ks. tämän päätöksen liite II), mukaan lukien yksilöiden tekemiä valituksia koskeva tietosuojalautakunnan yhteistyö EU:n tietosuojaviranomaisten kanssa. Tarkastelun tulisi kattaa myös valvonnan ja täytäntöönpanon tehokkuus sekä tietosuojalain osalta että rikoslain noudattamisen valvonnan ja kansallisen turvallisuuden alalla (erityisesti tietosuojalautakunnan ja kansallisen ihmisoikeuskomission toiminta).

(221)

Tarkastelun suorittamiseksi komission olisi järjestettävä tietosuojalautakunnan kanssa kokous, johon osallistuisivat tarvittaessa muut Korean viranomaiset, jotka vastaavat viranomaisten pääsystä tietoihin, sekä asiaankuuluvat valvontaelimet. Euroopan tietosuojaneuvoston jäsenten edustajien olisi voitava osallistua kokoukseen. Tarkastelun yhteydessä komission olisi pyydettävä tietosuojalautakuntaa antamaan kattavat tiedot kaikista tietosuojan riittävyyttä koskevan päätelmän kannalta merkityksellisistä seikoista, mukaan lukien rajoituksista ja suojatoimista, jotka koskevat viranomaisten pääsyä tietoihin (386). Komission olisi myös pyydettävä selvityksiä kaikista sille toimitetuista tämän päätöksen kannalta merkityksellisistä tiedoista, mukaan lukien Korean viranomaisten tai muiden Koreassa olevien sidosryhmien, Euroopan tietosuojaneuvoston, yksittäisten tietosuojaviranomaisten, kansalaisyhteiskunnan ryhmien, tiedotusvälineiden tai muiden saatavilla olevien tietolähteiden julkiset raportit.

(222)

Komission olisi laadittava tarkastelun perusteella julkinen kertomus, joka toimitetaan Euroopan parlamentille ja neuvostolle.

(223)

Jos käytettävissä olevat tiedot, erityisesti tämän päätöksen seurannasta saatavat tiedot tai Korean tai jäsenvaltioiden viranomaisten toimittamat tiedot, osoittavat, että Korean tasavallan takaama tietosuojan taso ei mahdollisesti ole enää riittävä, komission olisi ilmoitettava viipymättä asiasta Korean toimivaltaisille viranomaisille ja vaadittava asianmukaisten toimenpiteiden toteuttamista tietyn kohtuullisen ajan kuluessa.

(224)

Jos Korean toimivaltaiset viranomaiset eivät kyseisen määräajan päättyessä ole toteuttaneet näitä toimenpiteitä tai muutoin osoittaneet tyydyttävästi, että tämän päätöksen perustana on edelleen riittävä suojan taso, komissio aloittaa asetuksen (EU) 2016/679 93 artiklan 2 kohdassa tarkoitetun menettelyn tämän päätöksen soveltamisen keskeyttämiseksi tai sen kumoamiseksi osittain tai kokonaan.

(225)

Vaihtoehtoisesti komissio aloittaa kyseisen menettelyn tämän päätöksen muuttamiseksi erityisesti soveltamalla tiedonsiirtoihin lisäehtoja tai rajoittamalla tietosuojan riittävyyttä koskevan päätelmän soveltamisalan vain sellaisiin tiedonsiirtoihin, joiden osalta riittävän tietosuojan jatkuvuus on varmistettu.

(226)

Komission olisi aloitettava keskeyttämis- tai kumoamismenettely erityisesti jos on viitteitä siitä, että tämän päätöksen nojalla henkilötietoja vastaanottavat toiminnanharjoittajat eivät noudata liitteessä I esitettyjä täydentäviä suojatoimia ja/tai että niitä ei ole pantu tehokkaasti täytäntöön tai että Korean viranomaiset eivät noudata tämän päätöksen liitteessä II olevia lausuntoja, vakuutuksia ja sitoumuksia.

(227)

Komission olisi myös harkittava menettelyn aloittamista tämän päätöksen muuttamiseksi, sen soveltamisen keskeyttämiseksi tai sen kumoamiseksi, jos Korean toimivaltaiset viranomaiset eivät tarkastelun yhteydessä tai muutoin toimita tietoja tai selvityksiä, joita tarvitaan arvioitaessa Euroopan unionista Korean tasavaltaan siirrettyjen henkilötietojen suojan tasoa tai tämän päätöksen noudattamista. Tässä suhteessa komission olisi otettava huomioon se, missä määrin asiaa koskevia tietoja voidaan saada muista lähteistä.

(228)

Asianmukaisesti perustelluissa kiireellisissä tapauksissa komissio käyttää mahdollisuutta hyväksyä asetuksen (EU) 2016/679 93 artiklan 3 kohdassa tarkoitettua menettelyä noudattaen välittömästi sovellettavia täytäntöönpanosäädöksiä tämän päätöksen soveltamisen keskeyttämiseksi tai päätöksen kumoamiseksi tai sen muuttamiseksi.

(229)

Euroopan tietosuojaneuvosto on julkaissut lausuntonsa (387), joka on otettu huomioon tätä päätöstä valmisteltaessa.

(230)

Tässä päätöksessä säädetyt toimenpiteet ovat asetuksen (EU) 2016/679 93 artiklan 1 kohdalla perustetun komitean lausunnon mukaiset,