(1)

Az (EU) 2016/679 rendelet meghatározza a személyes adatoknak az uniós adatkezelők vagy adatfeldolgozók által a harmadik országokba és a nemzetközi szervezeteknek történő továbbítására vonatkozó szabályokat, amennyiben az említett adattovábbítás az alkalmazási körébe tartozik. A nemzetközi adattovábbításra vonatkozó szabályokat az említett rendelet V. fejezete (44–50. cikke) állapítja meg. Noha a személyes adatok Európai Unión kívüli országokba és az onnan az Unióba történő áramlása elengedhetetlen a határokon átnyúló kereskedelem és a nemzetközi együttműködés bővítéséhez, a személyes adatoknak az Európai Unióban biztosított védelmi szintje nem sérülhet a harmadik országokba történő továbbítása esetén (2).

(2)

Az (EU) 2016/679 rendelet 45. cikkének (3) bekezdése értelmében a Bizottság végrehajtási jogi aktusok útján határozhat arról, hogy a harmadik ország, a harmadik ország valamely területe, illetve egy vagy több meghatározott ágazata, illetve valamely nemzetközi szervezet biztosítja a megfelelő szintű védelmet. E feltétel teljesülése esetén a személyes adatok harmadik országba történő továbbítására további engedély beszerzése nélkül kerülhet sor, az (EU) 2016/679 rendelet 45. cikke (1) bekezdésében és (103) preambulumbekezdésében előírtak szerint.

(3)

Az (EU) 2016/679 rendelet 45. cikkének (2) bekezdésében foglaltak szerint, a megfelelőségi határozat elfogadásának a harmadik ország jogrendjére vonatkozó átfogó elemzésen kell alapulnia, lefedve mind az adatátvevőre vonatkozó szabályokat, mind a személyes adatokhoz való, közigazgatási szervek általi hozzáférést illető korlátozásokat és biztosítékokat. Az értékelés során meg kell határozni, hogy az érintett harmadik ország olyan szintű védelmet biztosít-e, amely „lényegében megegyező” az Európai Unión belül biztosított védelem szintjével (az (EU) 2016/679 rendelet (104) preambulumbekezdése). A „lényegi megegyezőség” értékelése az uniós jogszabályok, nevezetesen az (EU) 2016/679 rendelet, valamint az Európai Unió Bíróságának ítélkezési gyakorlata alapján történik (3).

(4)

Az Európai Unió Bíróságának pontosítása szerint ez nem feltétlenül jelent azonos szintű védelmet (4). Különösen a harmadik ország által a személyes adatok védelme céljából igénybe vett eszközök különbözhetnek az Unióban alkalmazott eszközöktől, amennyiben – a gyakorlatban – ténylegesen megfelelő szintű védelmet biztosítanak (5). A megfelelőségre vonatkozó előírás ezért nem követeli meg az uniós szabályok pontról pontra történő leképezését. A vizsgálat ehelyett arra irányul, hogy a magánélet tiszteletben tartásához való jog tartalmát, tényleges végrehajtását, felügyeletét és érvényesítését tekintve az érintett harmadik ország rendszere összességében véve biztosítja-e az elvárt fokú védelmet (6). Az Európai Adatvédelmi Testület által az említett előírás további pontosítása céljából kiadott megfelelőségi referencia szintén iránymutatást nyújt e tekintetben (7).

(5)

A Bizottság alaposan elemezte a koreai jogot és gyakorlatot. A (8)–(208) preambulumbekezdésben foglalt megállapítások alapján a Bizottság megállapítja, hogy a Koreai Köztársaság megfelelő szintű védelmet biztosít az uniós adatkezelőktől vagy adatfeldolgozóktól (8) a személyes információk védelméről szóló törvény (a legutóbb a 2020. február 4-i 16930. sz. törvénnyel módosított 2011. március 29-i 10465. sz. törvény) hatálya alá tartozó koreai szervezetek (pl. természetes vagy jogi személyek, szervezetek, közintézmények) részére továbbított személyes adatok tekintetében. Egyaránt ide tartoznak az (EU) 2016/679 rendelet értelmében vett adatkezelők és adatfeldolgozók (az úgynevezett „külső adatfeldolgozók” (9)). A megfelelőség megállapítása nem terjed ki a vallási szervezetek által végzett missziós tevékenységeket és a politikai pártok jelöltállítását célzó személyes adatok feldolgozására, sem pedig a hitelinformációs törvény szerint személyes adatnak minősülő hitelinformációknak a Pénzügyi Szolgáltatások Bizottsága felügyelete alá tartozó adatkezelők általi kezelésére.

(6)

Ez a következtetés figyelembe veszi a 2021-5. sz. értesítésben (I. melléklet) meghatározott további biztosítékokat, valamint a koreai kormány által a Bizottság felé tett hivatalos nyilatkozatokat, biztosítékokat és kötelezettségvállalásokat (II. melléklet).

(7)

E határozat azzal a joghatással jár, hogy a koreai köztársaságbeli adatkezelők és adatfeldolgozók részére történő adattovábbításra további engedély nélkül kerülhet sor. Ez a határozat nem érinti az (EU) 2016/679 rendeletnek a Koreai Köztársaságban letelepedett szervezetekre történő közvetlen alkalmazását, ha teljesülnek az említett rendelet 3. cikkében meghatározott, a rendelet területi hatályára vonatkozó feltételek.

(8)

A magánélet és az adatok védelmére vonatkozó koreai jogrendszer gyökerei az 1948. július 17-én kihirdetett Alkotmányra nyúlnak vissza. Bár az alkotmány nem rendelkezik kifejezetten a személyes adatok védelméhez való jogról, azt az emberi méltósághoz és a boldogsághoz (10. cikk), a magánélethez (17. cikk) és a kommunikáció titkosságához (18. cikk) való alkotmányos jogból eredő alapvető jogként ismerik el. Ezt a Legfelsőbb Bíróság (10) és az Alkotmánybíróság (11) is megerősítette. Az alapvető jogok és szabadságok (többek között a magánélet tiszteletben tartásához való jog) korlátozása csak akkor írható elő törvényben, ha az nemzetbiztonság vagy a közrend fenntartása érdekében szükséges, és ez nem érintheti a szóban forgó jog vagy szabadság lényegét (37. cikk (2) bekezdés).

(9)

Bár az alkotmány számos helyen utal a koreai állampolgárok jogaira, az Alkotmánybíróság kimondta, hogy a külföldi állampolgárokat is megilletik az alapvető jogok (12). A bíróság különösen azt állapította meg, hogy az ember méltóságának és értékének védelme, valamint a boldogsághoz való jog minden ember, és nem csak az állampolgárok joga (13). Továbbá a koreai kormány (14) hivatalos képviseletei szerint általánosan elismert tény, hogy az alkotmány (magánélet tiszteletben tartásához való jogot tartalmazó) 12–22. cikke alapvető emberi jogokról rendelkezik (15). Bár eddig nem létezik kifejezetten a külföldi állampolgárok magánélethez való jogára vonatkozó ítélkezési gyakorlat, az emberi méltóság védelmére és a boldogságra való törekvésre alapozott ítélkezési gyakorlat alátámasztja ezt a következtetést (16).

(10)

Korea továbbá számos olyan törvényt fogadott el az adatvédelem területén, amelyek állampolgárságuktól függetlenül minden egyén számára biztosítékot nyújtanak (17). E határozat alkalmazásában a vonatkozó jogszabályok a következők:

(11)

A személyes adatok védelméről szóló törvény határozza meg a Koreai Köztársaságban az adatvédelem általános jogi keretét. Ezt egy végrehajtási rendelet egészíti ki (a legutóbb a 2020. augusztus 4-i 30892. sz. elnöki rendelettel módosított 2011. szeptember 29-i 23169. sz. elnöki rendelet, a továbbiakban: a személyes adatok védelméről szóló törvény végrehajtási rendelete), amely a személyes adatok védelméről szóló törvényhez hasonlóan jogilag kötelező erejű és kikényszeríthető.

(12)

Ezenkívül a személyesadat-védelemmel foglalkozó bizottság (a továbbiakban: személyesadat-védelemmel foglalkozó bizottság) által elfogadott szabályozási „értesítések” további szabályokat tartalmaznak a személyes adatok védelméről szóló törvény értelmezésére és alkalmazására vonatkozóan. A személyes adatok védelméről szóló törvény 5. cikke (Állami kötelezettségek) és 14. cikke (Nemzetközi együttműködés) alapján a személyesadat-védelemmel foglalkozó bizottság elfogadta a személyes adatok védelméről szóló törvény egyes rendelkezéseinek értelmezéséről, alkalmazásáról és végrehajtásáról szóló, 2020. szeptember 1-jei (a 2021. január 21-i 2021-1. számú értesítéssel és a 2021. november 16-i 2021-5 számú értesítéssel módosított 2021-5. sz. értesítés) 2021-5. sz. értesítést. Ez az értesítés a személyes adatoknak a személyes adatok védelméről szóló törvény keretében történő kezelésére alkalmazandó pontosításokat, valamint az e határozat alapján Koreába továbbított személyes adatokra vonatkozó további biztosítékokat tartalmaz. Az értesítés jogilag kötelező erejű a személyes adatok adatkezelőire nézve, és mind a személyesadat-védelemmel foglalkozó bizottság, mind a bíróságok által kikényszeríthető (19). Az értesítésben rögzített szabályok megszegése a személyes adatok védelméről szóló törvény azon vonatkozó rendelkezéseinek megsértését vonja maga után, amelyeket azok kiegészítenek. A kiegészítő biztosítékok tartalmának elemzésére ezért a személyes adatok védelméről szóló törvény vonatkozó cikkei értékelésének részeként kerül sor. Végezetül a személyesadat-védelemmel foglalkozó bizottság által elfogadott, a személyes adatok védelméről szóló törvény kézikönyvében és iránymutatásaiban további útmutatás található az említett törvényre és végrehajtási rendeletére vonatkozóan, amely az adatvédelmi szabályok személyesadat-védelemmel foglalkozó bizottság általi alkalmazása és végrehajtása alapját adja (20).

(13)

Emellett a hitelinformációk felhasználásáról és védelméről szóló törvény (a továbbiakban: a hitelinformációkról szóló törvény) külön szabályokat állapít meg, amelyek egyaránt vonatkoznak a „rendes” kereskedelmi szolgáltatókra és a pénzügyi ágazat szakosodott szervezeteire a személyes adatnak minősülő hitelinformációk – azaz a pénzügyi vagy kereskedelmi ügyletekben részt vevő felek hitelképességének megállapításához szükséges információk – kezelése során. Idetartozik különösen a név, az elérhetőségek, a pénzügyi tranzakciók, a hitelminősítés, a biztosítási státusz vagy a hitelegyenleg, amennyiben ezeket az információkat az egyén hitelképességének megállapításához felhasználják (21). Ezzel szemben, ha ezeket az információkat más (például humánerőforrás) célokra használják fel, a személyes adatok védelméről szóló törvény teljes egészében alkalmazandó. A hitelinformációkról szóló törvény konkrét adatvédelmi rendelkezéseit illetően a megfelelést részben a személyesadat-védelemmel foglalkozó bizottság felügyeli (kereskedelmi szervezetek esetében lásd a hitelinformációkról szóló törvény 45-3. cikkét), részben pedig a Pénzügyi Szolgáltatások Bizottsága (22) (a pénzügyi ágazat vonatkozásában, ideértve a hitelminősítő intézeteket, bankokat, biztosítótársaságokat, kölcsönös takarékpénztárakat, szakosodott hitelező pénzügyi vállalatokat, pénzügyi befektetési vállalkozásokat, értékpapír-finanszírozási társaságokat, hitelszövetkezeteket stb.), lásd a hitelinformációkról szóló törvény 45. cikkének (1) bekezdését a hitelinformációkról szóló törvény végrehajtási rendeletének 36-2. cikkével összefüggésben, valamint a Pénzügyi Szolgáltatások Bizottságáról szóló törvény 38. cikkét. E tekintetben e határozat hatálya azokra a kereskedelmi szolgáltatókra korlátozódik, amelyek a személyesadat-védelemmel foglalkozó bizottság felügyelete alá tartoznak (23). A hitelinformációkról szóló törvény ezzel összefüggésben alkalmazandó konkrét szabályait (különös szabályok hiányában az általános személyes adatok védelméről szóló törvény szabályait kell alkalmazni) a 2.3.11. szakasz ismerteti.

(14)

Más jogi aktusok kifejezett eltérő rendelkezése hiányában a személyes adatok védelmére a személyes adatok védelméről szóló törvény irányadó (6. cikk). Alkalmazásának tárgyi és személyi hatályát a „személyes adat”, az „adatkezelés” és a „személyesadat-kezelő” definiált fogalma határozza meg.

(15)

A személyes adatok védelméről szóló törvény 2. cikkének (1) bekezdése a személyes adatot élő személyre vonatkozó olyan információként határozza meg, amely az egyént közvetlenül – például neve, tartózkodási nyilvántartási száma vagy képmása alapján – vagy közvetetten azonosítja, azaz amikor egy önmagában az adott személy azonosítására nem alkalmas információ könnyen összekapcsolható más információkkal. Az, hogy az információk „könnyen” összekapcsolhatók-e, attól függ, hogy észszerűen valószínű-e az említett összekapcsolás, figyelembe véve az egyéb információk megszerzésének lehetőségét, valamint az egyén azonosításához szükséges időt, költséget és technológiát.

(16)

Ezen túlmenően az álnevesített adatok – azaz azok az információk, amelyekből az eredeti állapot helyreállításához szükséges további információk felhasználása vagy azokkal való összekapcsolás nélkül nem lehet egy adott személyt azonosítani– a személyes adatok védelméről szóló törvény értelmében személyes adatnak minősülnek (a személyes adatok védelméről szóló törvény 2. cikke (1) bekezdésének c) pontja). Ezzel szemben a teljesen anonimizált információk nem tartoznak a személyes adatok védelméről szóló törvény hatálya alá (a személyes adatok védelméről szóló törvény 58-2. cikke). Ez a helyzet az olyan információk esetében, amelyekből nem lehet egy adott személyt beazonosítani, még akkor sem, ha azokat más információkkal összekapcsolják, figyelembe véve az azonosításhoz észszerűen szükséges időt, költségeket és technológiát.

(17)

Ez megfelel az (EU) 2016/679 rendelet tárgyi hatályának, valamint annak „személyes adat”, „álnevesítés” (24) és „anonim adat” (25) fogalmának.

(18)

Az „adatkezelés” fogalmát a személyes adatok védelméről szóló törvény tágan határozza meg, hogy az magában foglalja „a személyes adatok gyűjtését, előállítását, összekapcsolását, összefűzését, rögzítését, tárolását, megőrzését, hozzáadott értéket képviselő kezelését, szerkesztését, lekérdezését, kezelésének eredményét, helyesbítését, visszanyerését, felhasználását, rendelkezésre bocsátását és közlését, megsemmisítését és más hasonló tevékenységeket” (26). Bár a személyes adatok védelméről szóló törvény egyes rendelkezései csak az adatkezelés meghatározott típusaira vonatkoznak, mint például a „felhasználás”, a „rendelkezésre bocsátás” vagy a „gyűjtés” (27) műveletére, a „felhasználás” fogalmát úgy kell értelmezni, hogy az a „gyűjtés” vagy (harmadik fél számára) „rendelkezésre bocsátás” műveleten kívül minden más típusú adatkezelést magában foglal. A „felhasználás” e tág értelmezése biztosítja, hogy az egyes adatkezelési tevékenységek tekintetében ne legyenek a védelem terén hiányosságok. Az adatkezelés fogalma ezért az (EU) 2016/679 rendelet szerinti fogalomnak felel meg.

(19)

A személyes adatok védelméről szóló törvény a „személyesadat-kezelőkre” (adatkezelő) vonatkozik. Az (EU) 2016/679 rendelethez hasonlóan ez kiterjed minden olyan közintézményre, jogi személyre, szervezetre vagy magánszemélyre, amely tevékenysége keretében közvetlenül vagy közvetve személyes adatokat kezel, személyesadat-állományok működtetése céljából (28). Ebben az összefüggésben „személyesadat-állomány”: „a személyes adatokhoz való könnyű hozzáférést lehetővé tevő bizonyos szabály alapján módszeresen elrendezett vagy rendszerezett személyesadat-készlet(ek)” (a személyes adatok védelméről szóló törvény 2. cikkének (4) bekezdése) (29). Belső szinten az adatkezelő köteles az irányítása alatt az adatkezelésben részt vevő személyeket – például a vállalat tisztviselőit vagy alkalmazottait – képezni, valamint megfelelő ellenőrzést és felügyeletet gyakorolni (a személyes adatok védelméről szóló törvény 28. cikkének (1) bekezdése).

(20)

Egyedi kötelezettségek vonatkoznak arra az esetre, ha az adatkezelő (a kiszervező) a személyes adatok kezelését harmadik félnek (a továbbiakban: külső adatfeldolgozó) szervezi ki. A külső adatfeldolgozóra különösen jogilag kötelező erejű megállapodásnak (jellemzően szerződésnek) (30) kell vonatkoznia, amely meghatározza a kiszervezett munka körét, az adatkezelés célját, az alkalmazandó technikai és irányítási biztosítékokat, az adatkezelő általi felügyeletet, a felelősséget (például a szerződéses kötelezettségek megszegésével okozott károk megtérítését), valamint az esetleges további adatkezelés (31) korlátait (személyes adatok védelméről szóló törvény 26. cikkének (1) és (2) bekezdése, a végrehajtási rendelet 28. cikkének (1) bekezdésével együtt értelmezve (32).

(21)

Ezenkívül az adatkezelőnek közzé kell tennie és folyamatosan frissítenie kell a kiszervezett munkára és a külső adatfeldolgozó kilétére vonatkozó adatokat, vagy amennyiben a kiszervezett adatkezelés közvetlen üzletszerzési tevékenységeket érint, közvetlenül értesítenie kell az egyéneket a vonatkozó adatokról (a személyes adatok védelméről szóló törvény 26. cikkének (2) és (3) bekezdése, a végrehajtási rendelet 28. cikkének (2)–(5) bekezdésével együtt) (33).

(22)

Továbbá a személyes adatok védelméről szóló törvény 26. cikkének a végrehajtási rendelet 28. cikkének (6) bekezdésével összefüggésben értelmezett (4) bekezdése értelmében az adatkezelő köteles „kioktatni” a külső adatfeldolgozót a szükséges biztonsági intézkedésekről, és – többek között ellenőrzések révén – felügyelni, hogy az megfelel-e az adatkezelő személyes adatok védelméről szóló törvény (34) és a külső adatfeldolgozói szerződés szerinti valamennyi kötelezettségének. Amennyiben a külső adatfeldolgozó a személyes adatok védelméről szóló törvény megszegése következtében kárt okoz, cselekményeit vagy mulasztását helytállási kötelezettség szempontjából az adatkezelőnek kell betudni, hasonlóan a munkavállaló esetéhez (a személyes adatok védelméről szóló törvény 26. cikkének (6) bekezdése).

(23)

Bár a személyes adatok védelméről szóló törvény ezért nem használ eltérő fogalmakat az „adatkezelők” és az „adatfeldolgozók” tekintetében, a külső adatfeldolgozóra vonatkozó szabályok lényegében az (EU) 2016/679 rendelet szerint az adatkezelők és az adatfeldolgozók kapcsolatát szabályozó szabályokkal lényegében megegyező kötelezettségeket és biztosítékokat tartalmaznak.

(24)

Míg a személyes adatok védelméről szóló törvény a személyes adatok bármely adatkezelő általi kezelésére vonatkozik, egyes rendelkezések (lex specialisként) különös szabályokat tartalmaznak a „felhasználók” személyes adatainak „információs és kommunikációs szolgáltatók” általi kezelésére vonatkozóan (35). A „felhasználók” fogalma az információs és kommunikációs szolgáltatások igénybe vevőit takarja (az információs és kommunikációs hálózatok használatának és adatvédelmének előmozdításáról szóló törvény 2. cikkének (1) bekezdésének 4. pontja, a továbbiakban: hálózati törvény). Ehhez az szükséges, hogy az egyén vagy közvetlenül vegyen igénybe a koreai távközlési szolgáltató által nyújtott távközlési szolgáltatásokat, vagy olyan vállalkozás kereskedelmi alapon (azaz nyereségszerzés céljából) nyújtott információs szolgáltatásait (36) vegye igénybe, amely viszont egy Koreában engedélyezett/nyilvántartásba vett távközlési szolgáltató szolgáltatásaira támaszkodik (37). Mindkét esetben az a szervezet a személyes adatok védelméről szóló törvény konkrét rendelkezéseinek kötelezettje, amely online szolgáltatást nyújt közvetlenül magánszemélyek (azaz felhasználók) számára.

(25)

Ezzel szemben a megfelelőség megállapítása kizárólag az uniós adatkezelőtől/feldolgozótól harmadik országbeli (itt: a Koreai Köztársaság) szervezethez továbbított személyes adatok számára biztosított védelem szintjére vonatkozik. Ez utóbbi esetben az Unióban tartózkodó egyének általában csak az Unióbeli „adatátadóval” állnak közvetlen kapcsolatban, nem pedig a koreai információs és kommunikációs szolgáltatóval (38). Ezért a személyes adatok védelméről szóló törvénynek az információs és kommunikációs szolgáltatások felhasználóinak személyes adataira vonatkozó különös rendelkezései legfeljebb korlátozott helyzetekben vonatkozhatnak az e határozat alapján továbbított személyes adatokra.

(26)

A személyes adatok védelméről szóló törvény 58. cikkének (1) bekezdése kizárja a személyes adatok védelméről szóló törvény egy részének (azaz 15-57. cikkének) alkalmazását az adatfeldolgozás négy kategóriája tekintetében (39). Nem alkalmazandók különösen a személyes adatok védelméről szóló törvény adatkezelés konkrét jogalapjaival, bizonyos adatvédelmi kötelezettségekkel, az egyének jogai gyakorlásának részletes szabályaival, valamint a személyes adatokkal kapcsolatos jogvitákban közvetítéssel foglalkozó bizottság általi vitarendezésre vonatkozó szabályokkal foglalkozó részei. A személyes adatok védelméről szóló törvény többi alapvető rendelkezése továbbra is alkalmazandó, különösen az adatvédelmi elvekre (a törvény 3. cikke) – például a jogszerűség, a cél megjelölése és a célhoz kötöttség, az adattakarékosság, az adatok pontossága és biztonsága – és az egyének jogaira (hozzáférés, helyesbítés, törlés és felfüggesztés, lásd a személyes adatok védelméről szóló törvény 4. cikkét) vonatkozó általános rendelkezések. Ezenfelül a személyes adatok védelméről szóló törvény 58. cikkének (4) bekezdése konkrét kötelezettségeket ír elő ezen adatkezelési tevékenységekre vonatkozóan, nevezetesen az adattakarékosság, a korlátozott adatmegőrzés, a biztonsági intézkedések és a panaszok kezelése tekintetében (40). Következésképpen az egyének továbbra is panaszt nyújthatnak be a személyesadat-védelemmel foglalkozó bizottsághoz, ha ezeket az elveket és kötelezettségeket nem tartják be, és a szabályok be nem tartása esetén az említett bizottság jogosult végrehajtási intézkedéseket hozni.

(27)

Először is, a részleges mentesség a statisztikákról szóló törvény szerint a közintézmények általi feldolgozás céljából gyűjtött személyes adatokra vonatkozik. A koreai kormánytól kapott pontosítások szerint az ebben az összefüggésben kezelt személyes adatok általában koreai állampolgárokat érintenek, és csak kivételesen, nevezetesen a felségterületre való belépésre és az onnan való távozásra, illetve a külföldi befektetésekre vonatkozó statisztikák esetében tartalmazhatnak külföldiekre vonatkozó adatokat. Az említett adatokat azonban még ezekben a helyzetekben sem az uniós adatkezelőktől/feldolgozóktól továbbítják, hanem azokat közvetlenül a koreai hatóságok gyűjtik (41). Ezenfelül – az (EU) 2016/679 rendelet (162) preambulumbekezdésében foglaltakhoz hasonlóan – az adatok statisztikai törvény szerinti kezelése számos feltételhez és biztosítékhoz kötött. A statisztikai törvény előír különösen konkrét kötelezettségeket, ilyen például a pontosság, a következetesség és a pártatlanság biztosítása; az egyének esetében a titoktartás garantálása; a statisztikai lekérdezések válaszadói adatainak védelme, többek között annak megakadályozása érdekében, hogy ezeket az adatokat a statisztikai adatok összeállításától eltérő célra használják fel, és a személyzet tagjaira titoktartási követelmények előírása (42). A statisztikai adatokat feldolgozó hatóságoknak meg kell felelniük többek között az adattakarékosság, a célhoz kötöttség és a biztonság elvének is (a személyes adatok védelméről szóló törvény 3. cikke és 58. cikkének (4) bekezdése), és lehetővé kell tenniük az egyének számára jogaik gyakorlását (hozzáférés, javítás, törlés és felfüggesztés, lásd a személyes adatok védelméről szóló törvény 4. cikkét). Végezetül az adatokat anonimizált vagy álnevesített formában kell kezelni, amennyiben ez lehetővé teszi az adatkezelés céljának beteljesítését (a személyes adatok védelméről szóló törvény 3. cikkének (7) bekezdése).

(28)

Másodszor, a személyes adatok védelméről szóló törvény 58. cikkének (1) bekezdése a nemzetbiztonsággal kapcsolatos információk elemzése céljából gyűjtött vagy kért személyes adatokra vonatkozik. E részleges mentesség hatályát és következményeit a (149) preambulumbekezdés fejti ki részletesebben.

(29)

Harmadszor, részleges mentesség vonatkozik a személyes adatok időszakos kezelésére, amennyiben erre a közbiztonság és védelem – többek között a közegészségügy – érdekében sürgős szükség van. Ezt a kategóriát a személyesadat-védelemmel foglalkozó bizottság szigorúan értelmezi, és a kapott információk szerint soha nem használták. Csak sürgős fellépést igénylő vészhelyzetek esetén – például a fertőző kórokozók nyomon követése vagy a természeti katasztrófák áldozatainak megmentése és segítése érdekében – érvényesül (43). A részleges mentesség még ezekben az esetkörökben is csak a személyes adatoknak az ilyen intézkedés végrehajtása céljából korlátozott ideig tartó kezelésére terjed ki. Még korlátozottabbak azok az esetkörök, amelyekben ez az e határozat hatálya alá tartozó adattovábbításokra vonatkozhat, mivel kicsi a valószínűsége annak, hogy az Unióból koreai gazdasági szereplőknek továbbított személyes adatok olyan típusúak lennének, hogy az említett vészhelyzetek esetén „sürgősen szükségessé” tennék azok későbbi feldolgozását.

(30)

Végül a részleges mentesség vonatkozik a sajtó által gyűjtött vagy felhasznált személyes adatokra, a vallási szervezetek által végzett missziós tevékenységekre vagy a politikai pártok jelöltállítására. A mentesség csak akkor érvényesül, ha a sajtó, vallási szervezetek vagy politikai pártok személyes adatokat dolgoznak fel e konkrét célból (pl. újságírói tevékenységek, missziós tevékenység és politikai jelöltállítás céljából). Amennyiben ezek a szervezetek más célból, például humánerőforrás-menedzsment vagy belső igazgatási célból kezelnek személyes adatokat, a személyes adatok védelméről szóló törvény teljes mértékben alkalmazandó.

(31)

A személyes adatoknak sajtó általi, újságírói tevékenység céljából történő feldolgozását illetően a véleménynyilvánítás szabadsága és az egyéb jogok (beleértve a magánélethez való jogot) közötti egyensúlyt a sajtóbeszámolók által okozott károk rendezésével kapcsolatos választottbírósági eljárásról és jogorvoslatokról szóló törvény (a továbbiakban: sajtótörvény) biztosítja (44). A sajtótörvény 5. cikke úgy rendelkezik különösen, hogy a sajtó (azaz műsorszolgáltató szervezet, újság, folyóirat vagy online újság), internetes hírszolgáltatás vagy internetes multimédiás műsorszóró szervezet nem sértheti az egyének magánélethez való jogát. Ha ennek ellenére sor kerül adatvédelmi jogsértésre, azt a jogszabályban meghatározott külön eljárásoknak megfelelően haladéktalanul orvosolni kell. E tekintetben a törvény számos jogot biztosít a sajtóbeszámolók miatt kárt elszenvedő magánszemélyeknek, például arra, hogy kérjék a hamis állítások, az egymásnak ellentmondó állítások helyreigazítását vagy további beszámoló formájában azok kijavítását (amennyiben a sajtóbeszámoló olyan bűncselekményekkel kapcsolatos vádakra vonatkozik, amelynek vonatkozásában az egyént később felmentik) (45). A magánszemélyek követeléseit a sajtóorgánumok közvetlenül (egy ombudsman útján) (46), békéltetéssel vagy választottbíráskodással (a sajtóval foglalkozó különleges választottbírósági bizottság előtt) (47), vagy bíróság előtt rendezhetik. Az egyének kártérítést kaphatnak a sajtó jogellenes cselekménye miatt (szándékból vagy gondatlanságból) (48) őket ért anyagi kár, személyhez fűződő joguk sérelme vagy bármely más érzelmi szenvedés esetében. A sajtó mentesül a törvény szerinti felelősség alól, amennyiben az egyén jogait sértő sajtóbeszámoló nem ellentétes társadalmi értékekkel, és azt az érintett személy hozzájárulásával vagy közérdekből teszik közzé (és kellő alappal feltételezhető, hogy a beszámoló megfelel az igazságnak) (49).

(32)

Míg a személyes adatok sajtó általi, újságírói tevékenységek céljából történő kezelésére a sajtótörvényből eredő különleges biztosítékok vonatkoznak, nincsenek olyan további biztosítékok, amelyek a vallási szervezetek és politikai pártok által végzett adatkezelési tevékenységekre vonatkozó kivételek alkalmazását az (EU) 2016/679 rendelet 85., 89. és 91. cikkéhez hasonló módon szabályoznák. A Bizottság ezért helyénvalónak tartja, hogy e határozat alkalmazási köréből kizárásra kerüljenek a vallási szervezetek missziós tevékenységeikhez, és a politikai pártok a jelöltállítással összefüggésben történő személyesadat-kezelés vonatkozásában.

(33)

A személyes adatokat jogszerűen és tisztességesen kell kezelni.

(34)

Ezt az elvet a személyes adatok védelméről szóló törvény 3. cikkének (1) és (2) bekezdése rögzíti, és megerősíti a személyes adatok védelméről szóló törvény 59. cikke, amely tiltja a személyes adatok „csalással, illetéktelen vagy igazságtalan eszközökkel”, „felhatalmazás nélkül” vagy „felhatalmazáson túlterjeszkedve” történő feldolgozását (50). A jogszerű adatkezelés ezen általános elveit a személyes adatok védelméről szóló törvény 15-19. cikke fejti ki, amely meghatározza az adatkezelés különböző jogalapjait (gyűjtés, felhasználás és harmadik felek számára történő átadás), beleértve azokat a körülményeket is, amelyek fennállása esetén ez a cél megváltozásával járhat (a személyes adatok védelméről szóló törvény 18. cikke).

(35)

A személyes adatok védelméről szóló törvény 15. cikkének (1) bekezdése szerint az adatkezelő személyes adatokat csak korlátozott számú jogalap alapján gyűjthet (az adatgyűjtés célja keretében). Ezek a következők: (1) az érintett hozzájárulása (51) (1. pont); (2) az érintettel kötött szerződés végrehajtásának és teljesítésének szükségessége (4. pont); (3) külön jogszabályi felhatalmazás vagy jogi kötelezettség teljesítésének szükségessége, (2. pont); annak szükségessége (52), hogy egy közintézmény a jogszabályban előírtak szerint saját hatáskörében lássa el a feladatokat; (4) az érintett vagy harmadik személy életének, testi épségének vagy vagyoni érdekeinek közvetlen veszélytől való nyilvánvaló védelme (csak akkor, ha az érintett nincs abban a helyzetben, hogy kifejezésre juttassa szándékát, vagy előzetes hozzájárulás nem szerezhető be) (5. pont); (5) az adatkezelő „indokolható érdeke” elérésének szükségessége, ha az „nyilvánvalóan magasabb rendű” az érintett érdekeihez képest (és csak akkor, ha az adatkezelés „érdemi kapcsolatban” áll a jogos érdekkel, és nem lépi túl az észszerű mértéket) (6. pont) (53). Ezek az adatkezelési okok lényegében egyenértékűek az (EU) 2016/679 rendelet 6. cikkében meghatározottakkal, ideértve az „indokolható érdek” jogalapot is, amely egyenértékű az (EU) 2016/679 rendelet 6. cikke (1) bekezdésének f) pontjában szereplő „jogos érdek” adatkezelési okkal.

(36)

Az adatgyűjtést követően a személyes adatok a gyűjtés céljának megfelelően (a személyes adatok védelméről szóló törvény 15. cikkének (1) bekezdése) vagy „az adatgyűjtés céljához észszerűen kapcsolódó alkalmazási körön belül” használhatók fel, figyelembe véve az érintett számára esetlegesen okozott hátrányokat, és feltéve, hogy a szükséges biztonsági intézkedéseket (pl. titkosítás) elfogadták (a személyes adatok védelméről szóló törvény 15. cikkének (3) bekezdése). Annak megállapítására, hogy a felhasználás célja „észszerűen kapcsolódik-e” az eredeti gyűjtési célhoz, a végrehajtási rendelet konkrét kritériumokat határoz meg, amelyek hasonlóak az (EU) 2016/679 rendelet 6. cikkének (4) bekezdésében foglaltakhoz. Különösen annak számottevő jelentőséggel kell bírnia az eredeti cél szempontjából; a további felhasználásnak kiszámíthatónak kell lennie (például azon körülményekre figyelemmel, amelyek között az adatokat gyűjtötték); valamint az adatokat lehetőség szerint álnevesíteni kell (54). Az adatkezelő által ezen értékelés során alkalmazott konkrét kritériumokat előzetesen közzé kell tenni az adatkezelési szabályzatban (55). Ezenkívül az adatvédelmi tisztviselőnek (lásd a (94)preambulumbekezdést) kifejezetten ellenőriznie kell, hogy e paramétereken belül sor kerül-e további felhasználásra.

(37)

Hasonló (de némileg szigorúbb) szabályok vonatkoznak az adatok harmadik fél részére történő átadására. A személyes adatok védelméről szóló törvény 17. cikkének (1) bekezdése szerint a személyes adatok harmadik fél részére történő átadása hozzájárulás (56), vagy az adatgyűjtés jogalapja körében megengedett, amennyiben az adatokat ugyanazon törvény 15. cikke (1) bekezdésének 2., 3. és 5. pontja szerinti jogalapon gyűjtötték. Ez kizárja különösen az adatkezelő „indokolható érdeke” alapján történő közlést. Ezen túlmenően a személyes adatok védelméről szóló törvény 17. cikkének (4) bekezdése lehetővé teszi a harmadik felek számára az adatgyűjtés céljával „észszerűen összefüggő” átadást, figyelembe véve az érintettnek okozott esetleges hátrányokat is, és feltéve, hogy a szükséges biztonsági intézkedéseket (például titkosítást) elfogadták. A (36) preambulumbekezdésben leírtakkal megegyező tényezőket kell figyelembe venni annak értékelése során, hogy a rendelkezés észszerűen kapcsolódik-e az adatgyűjtés céljához, és ugyanazok a biztosítékok alkalmazandók-e (pl. az adatkezelési szabályzat révén az átláthatóság és az adatvédelmi tisztviselő bevonása tekintetében).

(38)

A személyes adatok koreai adatkezelő által az Unióból történő átvétele a személyes adatok védelméről szóló törvény 15. cikke értelmében vett „adatgyűjtésnek” minősül. A 2021-5. sz. értesítés (e határozat I. mellékletének I. szakasza) egyértelművé teszi, hogy az adatok érintett uniós szervezet általi továbbításának célja képezi a koreai adatkezelő általi adatgyűjtés célját. Következésképpen az Unióból származó személyes adatokat fogadó koreai adatkezelőknek a személyes adatok védelméről szóló törvény 17. cikkével összhangban elvileg a továbbítás céljának keretein belül kell kezelniük ezeket az adatokat.

(39)

Különleges korlátozások vonatkoznak arra az esetre, ha az adatkezelő a személyes adatokat a gyűjtés céljától eltérő célra kívánja felhasználni vagy harmadik fél rendelkezésére bocsátani (57). A személyes adatok védelméről szóló törvény 18. cikkének (2) bekezdése szerint a magán adatkezelő kivételesen (58) más célra is felhasználhat személyes adatokat, vagy azokat harmadik fél rendelkezésére bocsáthatja: (1) az érintett kiegészítő (azaz külön) hozzájárulása alapján; (2) ha ezt külön törvény rendelkezései írják elő; vagy (3) ha ez nyilvánvalóan szükséges az érintett vagy harmadik személy életének, testi épségének vagy vagyoni érdekeinek közvetlen veszélytől való védelméhez (csak akkor, ha az érintett nincs abban a helyzetben, hogy kifejezze szándékát, és előzetes hozzájárulása nem szerezhető be) (59).

(40)

Személyes adatokat bizonyos helyzetekben közintézmények is felhasználhatnak vagy más célra harmadik felek rendelkezésére bocsáthatnak. Ide tartoznak azok az esetek is, amikor máskülönben a közintézmények számára a törvényben előírt feladataik ellátása ellehetetlenülne, a személyesadat-védelemmel foglalkozó bizottság engedélye mellett. Ezen túlmenően a közintézmények a személyes adatokat más hatóság vagy bíróság rendelkezésére bocsáthatják, amennyiben ez bűncselekmények nyomozásához, üldözéséhez vagy vádemeléshez szükséges; a bíróság számára a folyamatban lévő bírósági eljárásokkal kapcsolatos feladatai ellátásához; vagy büntetőjogi szankció, illetve gondozási vagy felügyeleti végzés végrehajtása céljából (60). Személyes adatokat egy szerződésből vagy nemzetközi egyezményből eredő jogi kötelezettség teljesítése érdekében külföldi kormány vagy nemzetközi szervezet részére is átadhatnak, amely esetben a határokon átnyúló adattovábbításra vonatkozó követelményeknek is meg kell felelniük (lásd a (90) preambulumbekezdést).

(41)

Az adatkezelés jogszerűségének és tisztességességének elvét ezért a koreai jogi keret lényegében az (EU) 2016/679 rendelettel azonos módon hajtja végre, mivel az adatkezelést kizárólag jogszerű és egyértelműen meghatározott jogalapok alapján teszi lehetővé. Továbbá mindegyik említett esetben az adatkezelés csak akkor megengedett, ha nem valószínű, hogy az „tisztességtelenül sérti” az érintett vagy egy harmadik fél érdekeit, ami az érdekek mérlegelését teszi szükségessé. Emellett a személyes adatok védelméről szóló törvény 18. cikkének (5) bekezdése további biztosítékokat ír elő arra az esetre, ha az adatkezelő harmadik fél rendelkezésére bocsátja a személyes adatokat, amelynek része lehet a felhasználás céljának és módjának korlátozására vagy konkrét biztonsági intézkedések bevezetésére irányuló kérés is. A harmadik félnek viszont végre kell hajtania a kért intézkedéseket.

(42)

Végezetül a személyes adatok védelméről szóló törvény 28-2. cikke lehetővé teszi az álnevesített adatok az érintett személy beleegyezése nélküli (további) feldolgozást statisztikák, tudományos kutatás (61) és közérdekű archiválás céljából, különleges biztosítékok mellett. Az (EU) 2016/679 rendelethez (62) hasonlóan a személyes adatok védelméről szóló törvény is megkönnyíti a személyes adatok ilyen célú (további) feldolgozását egy olyan kereten belül, amely az egyének jogainak védelmére megfelelő biztosítékokat nyújt. A személyes adatok védelméről szóló törvény az álnevesítés lehetséges biztosítékként történő igénybevétele helyett azt előfeltételként szabja meg bizonyos statisztikai, tudományos kutatási és a közérdekű archiválási tevékenységek végzéséhez (például az adatok hozzájárulás nélkül feldolgozásához vagy különböző adatkészletek kombinálásához).

(43)

Ezenfelül a személyes adatok védelméről szóló törvény számos konkrét biztosítékot ír elő, különösen a szükséges technikai és szervezeti intézkedések, a nyilvántartás, az adatmegosztás korlátai és az újbóli azonosítás lehetséges veszélye tekintetében. A (44)–(48)preambulumbekezdésben ismertetett különböző biztosítékok kombinációja biztosítja, hogy a személyes adatok kezelése ebben az összefüggésben lényegében egyenértékű védelemben részesül, mint amilyent az (EU) 2016/679 rendelet előír.

(44)

Először, ami a legfontosabb, hogy a személyes adatok védelméről szóló törvény 28-5. cikkének (1) bekezdése megtiltja az álnevesített adatok egy adott személy azonosítása céljából történő feldolgozását. Ha az álnevesített adatok feldolgozása során mégis létrejöhet az egyén azonosítására alkalmas információ, az adatkezelőnek a feldolgozást haladéktalanul fel kell függesztenie és meg kell semmisítenie az említett információkat (a személyes adatok védelméről szóló törvény 28-5. cikkének (2) bekezdése). E rendelkezések be nem tartása közigazgatási bírsággal sújtható, és bűncselekménynek minősül (63). Ez azt jelenti, hogy az említett újbóli azonosítás jogilag tiltott még azokban az esetekben is, amikor az egyén újbóli azonosítása a gyakorlatban lehetséges lenne.

(45)

Másodszor, az adatkezelőnek álnevesített adatok ilyen célból történő (további) feldolgozásakor konkrét technológiai, irányítási és fizikai intézkedéseket kell hoznia az adatok biztonságának biztosítása érdekében (beleértve az álnevesített adatok eredeti állapotának helyreállításához szükséges információk elkülönített tárolását és kezelését) (64). Emellett nyilvántartást kell vezetni a feldolgozott álnevesített adatokról, az adatkezelés céljáról, a felhasználási előzményekről és bármely harmadik fél címzettről (a személyes adatok védelméről szóló törvény végrehajtási rendelete 29-5. cikkének (2) bekezdése).

(46)

Végül harmadszor, a személyes adatok védelméről szóló törvény konkrét biztosítékokat ír elő annak megakadályozására, hogy harmadik felek azonosítsák az egyéneket abban az esetben, ha az adatok megosztásra kerülnek. Különösen akkor, amikor harmadik félnek statisztikai, tudományos kutatási vagy közérdekű archiválás céljából álnevesített adatokat szolgáltatnak, az adatkezelők nem adhatnak át olyan adatokat, amelyek egy adott egyén azonosítására felhasználhatók (a személyes adatok védelméről szóló törvény 28-2. cikkének (2) bekezdése) (65).

(47)

Konkrétabban, míg a személyes adatok védelméről szóló törvény statisztikák, tudományos kutatás vagy közérdekű archiválás céljából lehetővé teszi az (különböző adatkezelők által feldolgozott) álnevesített adatok kombinálását, ezt a jogkört speciális biztonsági berendezésekkel felszerelt szakosított intézmények számára tartja fenn (a személyes adatok védelméről szóló törvény 28-3. cikkének (1) bekezdése) (66). Az álnevesített adatok összekapcsolásának kérelmezésekor az adatkezelőnek dokumentációt kell benyújtania többek között az összekapcsolandó adatokról, az összekapcsolás céljáról, valamint az összekapcsolt adatok feldolgozására javasolt biztonsági intézkedésekről (67). A kombináció lehetővé tétele érdekében az adatkezelőnek meg kell küldenie az összekapcsolandó adatokat a szakosodott intézménynek, és meg kell adnia egy „összekapcsolási kulcsot” (azaz az álnevesítéshez használt információkat) a Koreai Internet- és Biztonsági Ügynökségnek (68). Ez utóbbi generálja az „összekapcsolási kulcs összekötési adatait” (amelyek lehetővé teszik az adatkészletek összekapcsolásának elérése érdekében a különböző kérelmezők összekapcsolási kulcsainak összekötését), és azokat a szakosodott intézmény rendelkezésére bocsátja (69).

(48)

Az összekapcsolást kérő adatkezelő a szakosodott intézmény telephelyén elemezheti az összekapcsolt adatokat, egy olyan térben, ahol speciális technikai, fizikai és adminisztratív biztonsági intézkedéseket alkalmaznak (a személyes adatok védelméről szóló törvény végrehajtási rendeletének 29-3. cikke). Azok az adatkezelők, akik az említett összekapcsoláshoz adatot szolgáltatnak, csak az összekapcsolt adatok további álnevesítését vagy anonimizálását követően és az adott intézmény jóváhagyásával vihetnek ki összesített adatokat a szakosodott intézményen kívülre (a személyes adatok védelméről szóló törvény 28-3. cikkének (2) bekezdése) (70). Az intézmény annak mérlegelésekor, hogy megadja-e a jóváhagyást vagy sem, értékeli az összekapcsolt adatok és a feldolgozás célja közötti kapcsolatot, valamint azt, hogy készült-e külön biztonsági terv az említett adatok felhasználására (71). Az összekapcsolt adat intézményen kívülre történő exportálása nem engedélyezett, ha az információ olyan adatokat tartalmaz, amelyek lehetővé teszik az egyéni azonosítást (72). Végezetül az álnevesített adatok szakosodott intézmény általi összekapcsolását és kiadását a személyesadat-védelemmel foglalkozó bizottság felügyeli (a személyes adatok védelméről szóló törvény végrehajtási rendelete 29-4. cikkének (3) bekezdése).

(49)

„Különleges adatok kategóriáinak” kezelése esetén külön biztosítékokat kell rendszeresíteni.

(50)

A személyes adatok védelméről szóló törvény különleges szabályokat tartalmaz a különleges adatok (73) feldolgozására vonatkozóan, amelyek a meghatározás szerint olyan személyes adatok, amelyekbe egy adott személy nézeteire, meggyőződésére, szakszervezeti vagy politikai pártba való belépésére vagy onnan való kilépésére, politikai véleményére, egészségére és szexuális életére vonatkozó, valamint egyéb olyan személyes adatok tartoznak, amelyek „észrevehetően” veszélyeztethetik az érintett magánéletét, és amelyeket elnöki rendelet különleges adatként jelöl meg (74). A személyesadat-védelemmel foglalkozó bizottságtól kapott pontosítások szerint a szexuális élet fogalmába az egyén szexuális irányultsága vagy preferenciái is beletartoznak (75). Ezenfelül a végrehajtási rendelet 18. cikke további kategóriákkal egészíti ki a különleges adatokat, különösen a genetikai vizsgálatból származó DNS-információkkal és a bűnügyi nyilvántartásban szereplő adatokkal. A személyes adatok védelméről szóló törvény végrehajtási rendeletének legutóbbi módosítása tovább bővítette a különleges adatok fogalmát azáltal, hogy a faji vagy etnikai származásra utaló személyes adatokat, valamint a biometrikus adatokat is felvette ezek közé (76). E módosítást követően a személyes adatok védelméről szóló törvény szerinti különleges adatok fogalma lényegében megegyezik az (EU) 2016/679 rendelet 9. cikkében szereplő fogalmával.

(51)

A személyes adatok védelméről szóló törvény 23. cikkének (1) bekezdése szerint és az (EU) 2016/679 rendelet 9. cikkének (1) bekezdésében előírtakhoz hasonlóan a különleges adatok kezelése általánosságban tilos, ha a felsorolt kivételek egyike nem alkalmazandó (77). Ezek a szabályok az adatkezelést azokra az esetekre korlátozzák, amikor az adatkezelő a személyes adatok védelméről szóló törvény 15. és 17. cikkével összhangban tájékoztatja az érintettet, és beszerez külön (azaz az egyéb személyes adatok feldolgozásához adott hozzájárulástól elkülönülő) hozzájárulást, vagy ha az adatkezelést jogszabály írja elő vagy engedélyezi. A hatóságok biometrikus adatokat, genetikai vizsgálatból származó DNS-információkat, faji vagy etnikai származásra utaló személyes adatokat, valamint bűnügyi előéleti adatokat is feldolgozhatnak olyan okokból, amelyek kizárólag számukra elérhetők (például ha bűncselekmények kivizsgálásához vagy valamely bíróság számára egy ügy folytatásához szükséges) (78). Így a különleges adatok kezelésére rendelkezésre álló jogalapok korlátozottabbak, mint más típusú személyes adatok esetében, és a koreai jogban még szigorúbbak, mint az (EU) 2016/679 rendelet 9. cikkének (2) bekezdése alapján.

(52)

Emellett a személyes adatok védelméről szóló törvény 23. cikkének (2) bekezdése – amelynek be nem tartása szankciókat vonhat maga után (79) – hangsúlyozza a különleges adatok kezelésekor a megfelelő biztonság kiemelt fontosságát, hogy azok „ne veszhessenek el, azokat ne tulajdonítsák el, ne közöljék, hamisítsák, változtassák meg és ne sérülhessenek.” Noha ez a személyes adatok védelméről szóló törvény 29. cikke értelmében általános követelmény, a 3. cikk (4) bekezdése egyértelműsíti, hogy a biztonsági szintet a kezelt személyes adatokhoz kell igazítani, ami annyit jelent, hogy számításba kell venni a különleges adat kezelésével járó konkrét veszélyeket. Ezen túlmenően az adatfeldolgozást mindig „az érintett magánélete sérelme lehetőségét minimálisra csökkentő módon”, és lehetőség szerint anonim módon kell végezni (a személyes adatok védelméről szóló törvény 3. cikkének (6) és (7) bekezdése). Ezek a követelmények különösen akkor relevánsak, ha a feldolgozás különleges adatokat érint.

(53)

A személyes adatokat konkrét célra kell gyűjteni, és olyan módon, amely nem összeegyeztethetetlen az adatkezelés céljával.

(54)

Ezt az elvet biztosítja a személyes adatok védelméről szóló törvény 3. cikkének (1) és (2) bekezdése, amely szerint az adatkezelő „egyértelműen meghatározza” az adatkezelés célját, a személyes adatokat az e célhoz szükséges módon kezeli, és azokat e célon túlmenően nem használja fel. A célhoz kötöttség általános elvét a 15. cikk (1) bekezdése, a 18. cikk (1) bekezdése, a 19. cikk és (a külső adatfeldolgozónak nevezett) adatfeldolgozók vonatkozásában a 26. cikk (1) bekezdésének 1. pontja, (5) és (7) bekezdése is megerősíti. Különösen, a személyes adatok főszabály szerint csak az adatgyűjtés céljának megfelelően használhatók fel és adhatók át harmadik feleknek (15. cikk (1) bekezdés és 17. cikk (1) bekezdés 2. pont). Az összeegyeztethető célból, azaz „az adatgyűjtés eredeti céljához észszerűen kapcsolódó alkalmazási körön belül” történő adatkezelésre csak akkor kerülhet sor, ha az nem érinti hátrányosan az érintetteket, és szükség esetén biztonsági intézkedéseket (például titkosítást) fogadnak el (a személyes adatok védelméről szóló törvény 15. cikkének (3) bekezdése és 17. cikkének (4) bekezdése). Annak meghatározásához, hogy a további adatfeldolgozás célja összeegyeztethető-e, a személyes adatok védelméről szóló törvény végrehajtási rendelete konkrét kritériumokat sorol fel, amelyek hasonlóak az (EU) 2016/679 rendelet 6. cikkének (4) bekezdésében előírtakhoz, lásd a (36) preambulumbekezdést.

(55)

A (38) preambulumbekezdésben kifejtettek szerint az Unióból származó személyes adatokat fogadó koreai adatkezelők esetében a gyűjtés célja az a cél, amelyre az adatok továbbításra kerülnek. Az adatkezelő csak kivételesen, konkrét (felsorolt) esetekben változtathatja meg a célt (személyes adatok védelméről szóló törvény 18. cikke (2) bekezdésének 1–3. pontja, lásd még a (39) preambulumbekezdést). Amennyiben a jogszabály lehetővé teszi a cél megváltoztatását, az említett jogszabályoknak tiszteletben kell tartaniuk a magánélethez és az adatvédelemhez való alapvető jogot, valamint a szükségesség és arányosság koreai alkotmányban lefektetett elvét. Ezen túlmenően a személyes adatok védelméről szóló törvény 18. cikkének (2) és (5) bekezdése további biztosítékokat ír elő, különösen azt a követelményt, hogy a cél ilyen megváltoztatása nem sértheti méltánytalanul az érintett érdekeit, és így mindig szükségessé teszi az érdekek mérlegelését. Ez lényegében egyenértékű védelmi szintet biztosít az (EU) 2016/679 rendelet (50) preambulumbekezdéssel összefüggésben értelmezett 5. cikke (1) bekezdésének b) pontja és 6. cikke szerinti szinttel.

(56)

A személyes adatoknak pontosnak kell lenniük, és szükség esetén azokat frissíteni kell. Az adatoknak az adatkezelési célokhoz képest megfelelőnek és relevánsnak kell lenniük, valamint azokkal arányban kell állniuk.

(57)

A pontosság elvét hasonlóképpen elismeri a személyes adatok védelméről szóló törvény 3. cikkének (3) bekezdése, amely előírja, hogy a személyes adatok legyenek „olyan mértékben pontosak, teljesek és naprakészek, amilyen mértékben az adatkezelés célja szempontjából szükséges”. Az adattakarékosságot a személyes adatok védelméről szóló törvény 3. cikkének (1) és (6) bekezdése, valamint 16. cikkének (1) bekezdése írja elő, amelyek szerint az adatkezelő (csak) a tervezett célhoz szükséges mértékben gyűjthet személyes adatokat, és e tekintetben a bizonyítási teher őt terheli. Amennyiben az adatgyűjtés célja anonimizált formában történő adatkezelés útján is teljesíthető, az adatkezelőknek törekedniük erre kell (a személyes adatok védelméről szóló törvény 3. cikkének (7) bekezdése).

(58)

Főszabály szerint az adatok csak az adatkezelés céljaihoz szükséges ideig őrizhetők meg.

(59)

A tárolás korlátozásának elvét hasonlóképpen biztosítja a személyes adatok védelméről szóló törvény 21. cikkének (1) bekezdése (80), amely előírja az adatkezelő számára a személyes adatok haladéktalan „megsemmisítését” (81) az adatkezelés céljának elérésekor vagy a megőrzési időszak lejártakor (ha ez hamarabb bekövetkezik), kivéve, ha a további adatmegőrzést jogszabály írja elő (82). Ez utóbbi esetben a releváns személyes adatokat „más személyes adatoktól elkülönítve kell tárolni és kezelni” (a személyes adatok védelméről szóló törvény 21. cikkének (3) bekezdése).

(60)

A személyes adatok védelméről szóló törvény 21. cikkének (1) bekezdése nem alkalmazandó abban az esetben, ha az álnevesített adatokat statisztikai célból, tudományos kutatás vagy közérdekű archiválás céljából dolgozzák fel (83). A korlátozott adatmegőrzés elvének ebben az esetben is történő biztosítására a 2021-5. évi értesítés előírja az adatkezelők számára, hogy a személyes adatok védelméről szóló törvény 58-2. cikkével összhangban anonimizálják az adatokat, amennyiben azokat az adatkezelés konkrét céljának teljesítésekor nem semmisítették meg (84).

(61)

A személyes adatokat olyan módon kell kezelni, amely biztosítja biztonságukat, többek között az illetéktelen vagy jogellenes kezelés elleni védelmüket, illetve az adatok véletlen elvesztése, megsemmisítése vagy károsodása elleni védelmüket. A gazdasági szereplőknek ebből a célból megfelelő technikai vagy szervezeti intézkedéseket kell hozniuk, hogy a személyes adatokat a lehetséges veszélyektől megvédjék. Ezeket az intézkedéseket a technika állásának, a kapcsolódó költségeknek, az adatkezelés jellegének, hatókörének, körülményeinek és céljainak, valamint az egyének jogait érintő kockázatoknak a figyelembevételével kell értékelni.

(62)

Hasonló biztonsági elvet rögzít a személyes adatok védelméről szóló törvény 3. cikkének (4) bekezdése, amely előírja az adatkezelők számára, hogy „a személyes adatok feldolgozási módszerei, típusai stb. szerint biztonságosan kezeljék a személyes adatokat, figyelembe véve az érintettek jogai sérelmének lehetőségét és a vonatkozó kockázatok súlyosságát”. Ezen túlmenően az adatkezelő „a személyes adatokat oly módon dolgozza fel, hogy minimalizálja az érintett magánélete sérelmének lehetőségét”, és ebben az összefüggésben törekszik arra, hogy a személyes adatokat lehetőség szerint névtelenül vagy álnevesített formában dolgozza fel (a személyes adatok védelméről szóló törvény 3. cikkének (6) és (7) bekezdése).

(63)

Ezeket az általános követelményeket a személyes adatok védelméről szóló törvény 29. cikke dolgozza ki részletesebben, amely szerint minden adatkezelő „olyan technikai, irányítási és fizikai intézkedéseket hoz, amelyek szükségesek az elnöki rendeletben előírt biztonság biztosításához annak érdekében, hogy a személyes adatok ne veszhessenek el, azokat ne tulajdonítsák el, ne közöljék, hamisítsák, változtassák meg és ne sérülhessenek”, mint például a belső irányítási terv létrehozása és a bejelentkezési nyilvántartások megőrzése stb. A személyes adatok védelméről szóló törvény végrehajtási rendelete 30. cikkének (1) bekezdése ezeket az intézkedéseket a következőkre hivatkozással határozza meg: (1) a személyes adatok biztonságos kezelésére vonatkozó belső irányítási terv kidolgozása és végrehajtása, (2) hozzáférés-ellenőrzés és korlátozások, (3) a személyes adatok biztonságos tárolására és továbbítására szolgáló titkosítási technológia elfogadása, (4) bejelentkezési nyilvántartások (5) biztonsági programok és (6) fizikai intézkedések, például biztonságos tároló- vagy zárrendszer (85).

(64)

Emellett konkrét kötelezettségek vonatkoznak adatvédelmi incidens esetére (a személyes adatok védelméről szóló törvény 34. cikke, a személyes adatok védelméről szóló törvény végrehajtási rendeletének 39. és 40. cikkével összefüggésben értelmezve) (86). Az adatkezelőnek különösen haladéktalanul értesítenie kell a károsult érintetteket az incidens részleteiről (87), beleértve az adatkezelő által hozott (kötelező) ellenintézkedésekre vonatkozó információkat, valamint azt, hogy az érintettek mit tehetnek a kár kockázatának minimalizálása érdekében (a személyes adatok védelméről szóló törvény 34. cikkének (1) és (2) bekezdése) (88). Ha az adatvédelmi incidens legalább 1 000 érintettet érint, az adatkezelőnek késedelem nélkül jelentenie kell az adatvédelmi incidenst és a megtett ellenintézkedéseket a személyesadat-védelemmel foglalkozó bizottságnak és a Koreai Internet- és Biztonsági Ügynökségnek, amely technikai segítséget nyújthat (a személyes adatok védelméről szóló törvény 34. cikkének (3) bekezdése, a személyes adatok védelméről szóló törvény végrehajtási rendeletének 39. cikkével összefüggésben értelmezve). Az adatkezelők tartoznak helytállási kötelezettséggel az adatsértésből eredő károkért, a polgári törvénykönyv szerződésen kívüli felelősségről szóló rendelkezéseinek megfelelően (lásd még a jogorvoslatról szóló 2.5. szakaszt) (89).

(65)

Biztonsági kötelezettségeinek teljesítése során az adatkezelőt egy adatvédelmi tisztviselőnek kell segítenie, akinek feladatai közé tartozik többek között egy belső ellenőrzési rendszer kiépítése „a személyes adatok közlésének, az azokkal való visszaélés és azok más célra történő felhasználásának megelőzése érdekében” (a személyes adatok védelméről szóló törvény 31. cikke (2) bekezdésének 4. pontja). Ezen túlmenően az adatkezelő köteles „megfelelő ellenőrzést és felügyeletet” gyakorolni a személyes adatokat kezelő személyzete felett, többek között az adatok biztonságos kezelése tekintetében; ez magában foglalja a munkavállalók szükséges képzését („oktatás”) (a személyes adatok védelméről szóló törvény 28. cikkének (1) és (2) bekezdése). Végül a további feldolgozás esetében az adatkezelőnek követelményeket kell előírnia a „külső adatfeldolgozó” számára, többek között a személyes adatok biztonságos kezelése tekintetében („technikai és irányítási biztosítékok”), és felügyelnie kell azok ellenőrzések útján történő végrehajtását (a személyes adatok védelméről szóló törvény 26. cikkének (1) és (4) bekezdése, a személyes adatok védelméről szóló törvény végrehajtási rendelete 28. cikke (1) bekezdésének 3. és 4. pontjával és (6) bekezdésével összefüggésben értelmezve).

(66)

Az érintetteket tájékoztatni kell személyes adataik kezelésének főbb jellemzőiről.

(67)

Ezt a koreai rendszer különböző módokon biztosítja. A személyes adatok védelméről szóló törvény a 4. cikkének 1. pontja (általában) és a személyes adatok védelméről szóló törvény 20. cikk (1) bekezdése szerinti tájékoztatáshoz való jogon (harmadik féltől gyűjtött személyes adatok tekintetében), valamint a személyes adatok védelméről szóló törvény 35. cikk szerinti hozzáférési jogon kívül a személyes adatok védelméről szóló törvény általános átláthatósági követelményt tartalmaz az adatkezelés céljára vonatkozóan (a személyes adatok védelméről szóló törvény 3. cikkének (1) bekezdése), valamint különleges átláthatósági követelményeket arra az esetre, ha az adatkezelés hozzájáruláson alapul (a személyes adatok védelméről szóló törvény 15. cikkének (2) bekezdése, 17. cikkének (2) bekezdése és 18. cikkének (3) bekezdése) (90). Ezenfelül a személyes adatok védelméről szóló törvény 20. cikkének (2) bekezdése előírja, hogy egyes adatkezelők – akik esetében az adatkezelés meghalad bizonyos küszöbértékeket (91) – azt az érintettet, akinek a személyes adatait harmadik féltől kapták meg, értesítsék az információforrásról, az adatkezelés céljáról és az érintett azon jogáról, hogy az adatkezelés felfüggesztését kérje, kivéve, ha az említett értesítés az elérhetőségi adatok hiánya miatt lehetetlennek bizonyul. Kivételek vonatkoznak a hatóságok birtokában lévő bizonyos személyesadat-állományokra, különösen a nemzetbiztonsági, más különösen fontos („súlyos”) nemzeti érdekből vagy bűnüldözési célból feldolgozott adatokat tartalmazó adatállományokra, vagy ha az értesítés valószínűleg veszélyezteti egy másik személy életét vagy testi épségét, vagy méltánytalanul kárt okoz egy másik személy vagyonában vagy egyéb érdekeiben, azonban csak akkor, ha a szóban forgó köz- vagy magánérdekek „nyilvánvalóan magasabb rendűek” az érintettek jogainál (a személyes adatok védelméről szóló törvény 20. cikkének (4) bekezdése). Ehhez a szóban forgó érdekek mérlegelésére van szükség.

(68)

Emellett a személyes adatok védelméről szóló törvény 3. cikkének (5) bekezdése előírja, hogy az adatkezelőknek nyilvánosságra kell hozniuk adatkezelési szabályzatukat (és a személyes adatok kezelésével kapcsolatos egyéb kérdéseket). Ezt a követelményt a személyes adatok védelméről szóló törvénynek a törvény végrehajtási rendelete 31. cikkével összefüggésben értelmezett 30. cikke részletezi. E rendelkezések szerint a nyilvános adatkezelési szabályzatnak többek között tartalmaznia kell (1) a kezelt személyes adatok típusát, (2) az adatkezelés célját, (3) a megőrzési időszakot, (4) azt, hogy a személyes adatokat harmadik fél részére átadják-e (92), (5) a további adatfeldolgozást, (6) az érintett jogaira és azok gyakorlására vonatkozó információkat, valamint (7) a kapcsolattartási adatokat (beleértve az adatvédelmi tisztviselő vagy az adatvédelmi szabályok betartásának biztosításáért és a panaszkezelésért felelős belső szervezeti egység nevét). Az adatkezelési szabályzatot olyan módon kell nyilvánosságra hozni, hogy azt az érintettek „könnyen felismerhessék” (a személyes adatok védelméről szóló törvény 30. cikkének (2) bekezdése) (93), és folyamatosan frissíteni kell (a személyes adatok védelméről szóló törvény végrehajtási rendelete 31. cikkének (2) bekezdése).

(69)

A közintézményekre további kötelezettség hárul különösen a következő információknak a személyesadat-védelemmel foglalkozó bizottságnál történő nyilvántartásba vételére: (1) a közintézmény neve, (2) a személyesadat-állományok feldolgozásának jogalapjai és céljai, (3) a nyilvántartott személyes adatok részletei, (4) az adatkezelés módja, (5) a megőrzési időszak, (6) azon érintettek száma, akiknek a személyes adatait megőrzik, (7) az érintett kéréseit kezelő szervezeti egység, valamint 8. a személyes adatok szokásos vagy ismétlődő átadása esetén a személyes adatok címzettjei (a személyes adatok védelméről szóló törvény 32. cikkének (1) bekezdése) (94). A nyilvántartásba vett személyesadat-állományokat a személyesadat-védelemmel foglalkozó bizottság nyilvánosságra hozza, és a közintézményeknek adatkezelési szabályzatukban is hivatkozniuk kell azokra (a személyes adatok védelméről szóló törvény 30. cikkének (1) bekezdése és 32. cikkének (4) bekezdése).

(70)

A 2021-5. évi értesítés (I. melléklet) 3. szakaszának i. és ii. pontja további átláthatósági követelményeket ír elő annak érdekében, hogy javuljon az átláthatóság azon uniós érintettek számára, akiknek személyes adatait e határozat alapján továbbítják Koreába. Először is, amikor a koreai adatkezelők e határozat alapján személyes adatokat kapnak az Unióból, indokolatlan késedelem nélkül (és minden esetben az adattovábbítástól számított egy hónapon belül) értesíteniük kell az érintetteket az információt átadó és átvevő szervezetek nevéről és elérhetőségéről, a továbbított személyes adatokról (vagy a személyes adatok kategóriáiról), a koreai adatkezelő általi adatgyűjtés céljáról, a megőrzési időszakról és a személyes adatok védelméről szóló törvény keretében rendelkezésre álló jogokról. Másodszor, az e határozat alapján az Unióból kapott személyes adatok harmadik felek részére történő átadásakor az érintetteket tájékoztatni kell többek között a címzettről, az átadandó személyes adatokról vagy a személyes adatok kategóriáiról, arról az országról, ahová az adatokat továbbítják (adott esetben), valamint a személyes adatok védelméről szóló törvény keretében rendelkezésre álló jogokról (95). Ilyen módon az értesítés biztosítja, hogy az uniós egyének továbbra is tájékoztatást kapjanak az adataikat kezelő konkrét adatkezelőkről, és hogy gyakorolhassák jogaikat az érintett szervezetek irányában.

(71)

Az értesítés 3. szakaszának iii. pontja (I. melléklet) lehetővé tesz e további átláthatósági kötelezettségek alól bizonyos korlátozott körű és minősített kivételeket, amelyek lényegében egyenértékűek az (EU) 2016/679 rendeletben előírtakkal. Nincs szükség különösen az uniós érintettek értesítésére, (1) amennyiben és ameddig az értesítést bizonyos közérdekből korlátozni szükséges (például ha az adatokat nemzetbiztonsági célból vagy folyamatban lévő nyomozás céljából dolgozzák fel), amennyiben ezek a közérdekű célok nyilvánvalóan magasabb rendűek az érintett jogainál; (2) az érintett már rendelkezik az adatokkal; (3) amennyiben és ameddig az értesítés valószínűsíthetően veszélyezteti az egyén vagy más személy életét vagy testi épségét, vagy méltánytalanul kárt okoz egy másik személy vagyonában vagy egyéb érdekeiben, amennyiben ezek a jogok vagy érdekek nyilvánvalóan magasabb rendűek az érintett jogainál; vagy (4) amennyiben nem állnak rendelkezésre az érintettek elérhetőségei, vagy értesítésük aránytalanul nagy erőfeszítést igényelne. Annak meghatározásakor, hogy lehetséges-e az érintettel való kapcsolatfelvétel, vagy hogy ez túlzott erőfeszítést igényel-e, figyelembe kell venni az uniós adatátadóval való együttműködés lehetőségét.

(72)

A (67) – (71) preambulumbekezdésben foglalt szabályok ezért az átláthatóság tekintetében lényegében azonos szintű védelmet biztosítanak az (EU) 2016/679 rendeletben előírtakkal.

(73)

Az érintetteknek rendelkezniük kell bizonyos jogokkal, amelyek érvényesíthetők az adatkezelővel vagy az adatfeldolgozóval szemben, különös tekintettel az adatokhoz való hozzáférés jogára, az adatkezelés elleni tiltakozásra, valamint az adatok helyesbíttetéséhez és töröltetéséhez való jogra. Ugyanakkor az említett jogok korlátozás alá eshetnek, amennyiben ezek a korlátozások szükségesek és arányosak a közbiztonság vagy más fontos, általános közérdekű célok garantálása érdekében.

(74)

A személyes adatok védelméről szóló törvény 3. cikkének (5) bekezdése szerint az adatkezelő garantálja az érintettnek az említett törvény 4. cikkében felsorolt és 35–37., 39. és 39-2. cikkében részletesebben meghatározott jogait.

(75)

Először is az egyéneknek joguk van a tájékoztatáshoz és a hozzáféréshez. Ha az adatkezelő harmadik féltől gyűjtött személyes adatokat – mint az adatok Unióból való továbbításakor minden esetben – az érintettek általában jogosultak arra, hogy tájékoztatást kapjanak (1) a gyűjtött személyes adatok „forrásáról” (azaz az átadóról), (2) az adatkezelés céljáról és (3) arról, hogy az érintett kérheti az adatkezelés felfüggesztését (a személyes adatok védelméről szóló törvény 20. cikkének (1) bekezdése). Korlátozott kivételek érvényesülnek, nevezetesen, ha az említett értesítés valószínűleg veszélyezteti egy másik személy életét vagy testi épségét, vagy méltánytalanul kárt okoz egy másik személy vagyonában vagy egyéb érdekeiben, azonban csak akkor, ha a szóban forgó köz- vagy magánérdekek „kifejezetten magasabb rendűek” az érintett személyek jogainál (a személyes adatok védelméről szóló törvény 20. cikke (4) bekezdésének 2. pontja).

(76)

Ezenkívül a személyes adatok védelméről szóló törvénynek a végrehajtási rendelete 41. cikkének (4) bekezdésével összefüggésben értelmezett 35. cikke (1) és (3) bekezdése biztosítja az érintettek számára a személyes adataikhoz való hozzáférés jogát (96). A hozzáférési jog magában foglalja az adatkezelés megerősítését, a kezelt adatok típusára, az adatkezelés céljára, a megőrzési időszakra, valamint a harmadik félnek történő közzétételre vonatkozó információkat, valamint a kezelt személyes adatok másolatának kiadását (a személyes adatok védelméről szóló törvény 4. cikkének 3. pontja, a személyes adatok védelméről szóló törvény végrehajtási rendelete 41. cikkének (1) bekezdésével együttesen értelmezve) (97). A hozzáférés csak akkor korlátozható (részleges hozzáférés) (98) vagy tagadható meg, ha azt jogszabály írja elő (99), amennyiben az valószínűleg veszélyeztetné egy harmadik fél életét vagy testi épségét, vagy méltánytalanul kárt okozna egy másik személy vagyonában vagy egyéb érdekeiben (a személyes adatok védelméről szóló törvény 35. cikkének (4) bekezdése) (100). Ez utóbbi azt jelenti, hogy egyensúlyba kell hozni egyrészt az egyén, másrészt más személyek alkotmányosan védett jogait és szabadságait. A hozzáférés korlátozása vagy megtagadása esetén az adatkezelőnek értesítenie kell az érintettet annak okairól és a határozat elleni fellebbezés módjáról (a személyes adatok védelméről szóló törvény végrehajtási rendelete 41. cikkének (5) bekezdése és 42. cikkének (2) bekezdése).

(77)

Másodszor, az érintettek jogosultak személyes adataik helyesbítésére vagy törlésére (101), „más törvény kifejezett eltérő rendelkezésének hiányában” (a személyes adatok védelméről szóló törvény 36. cikkének (1) és (2) bekezdése) (102). Az adatkezelő a kérelem kézhezvételét követően haladéktalanul kivizsgálja az ügyet, megteszi a szükséges intézkedéseket (103), és erről 10 napon belül értesíti az érintettet; amennyiben a kérelemnek nem lehet helyt adni, ez az értesítési kötelezettség kiterjed az elutasítás okaira és a jogorvoslat módjára (lásd a személyes adatok védelméről szóló törvénynek a végrehajtási rendelete 43. cikkének (3) bekezdésével összefüggésben értelmezett 36. cikkének (4) bekezdését) (104).

(78)

Végezetül az érintettek jogosultak arra, hogy haladéktalanul felfüggesszék személyes adataik feldolgozását (105), kivéve, ha a felsorolt kivételek egyike érvényesül (a személyes adatok védelméről szóló törvény 37. cikkének (1) és (2) bekezdése) (106). Az adatkezelő elutasíthatja a kérelmet, (1) ha azt jogszabály kifejezetten engedélyezi vagy a jogi kötelezettségek teljesítéséhez szükséges (elengedhetetlen), (2) ha a felfüggesztés valószínűleg veszélyeztetné egy harmadik fél életét vagy testi épségét, vagy méltánytalanul kárt okozna egy másik személy vagyonában vagy egyéb érdekeiben, (3) ha egy közintézmény számára lehetetlen lenne a jogszabályban előírt feladatának ellátása az adatkezelés nélkül, vagy (4) ha az érintett nem mondja fel kifejezetten az adatkezelővel kötött szerződését annak ellenére, hogy az az adatkezelés nélkül teljesíthetetlen lenne. Ebben az esetben az adatkezelőnek haladéktalanul értesítenie kell az érintettet az elutasítás okairól és jogorvoslati lehetőségeiről (a személyes adatok védelméről szóló törvénynek a végrehajtási rendelete 44. cikkének (2) bekezdésével összefüggésben értelmezett 37. cikke (2) bekezdése). A személyes adatok védelméről szóló törvény 37. cikkének (4) bekezdése szerint az adatkezelőnek a felfüggesztés iránti kérelem teljesítésekor késedelem nélkül „meg kell tennie a szükséges intézkedéseket, beleértve a vonatkozó személyes adatok megsemmisítését is” (107).

(79)

A felfüggesztéshez való jog akkor is fennáll, ha a személyes adatokat közvetlen üzletszerzési célra, azaz áruk vagy szolgáltatások népszerűsítéséhez vagy azok megvásárlására felhíváshoz használják fel. Ezenkívül az ilyen további feldolgozáshoz általában az érintett kifejezett (további) hozzájárulása szükséges (lásd a személyes adatok védelméről szóló törvény 15. cikke (1) bekezdésének 1. pontját, a 17. cikk (2) bekezdésének 1. pontját) (108). E hozzájárulás megkérésekor az adatkezelőnek „kifejezetten felismerhető módon” kell tájékoztatnia az érintettet az adatok közvetlen üzletszerzési célú felhasználásáról – azaz arról, hogy kapcsolatba lehet lépni vele áruk vagy szolgáltatások reklámozása vagy azok megvásárlására való felhívás érdekében – (a személyes adatok védelméről szóló törvény 17. cikke (2) bekezdése 1. pontjával összefüggésben értelmezett 22. cikkének (2) és (4) bekezdése).

(80)

Az egyén jogai gyakorlásának megkönnyítése érdekében az adatkezelőnek külön eljárásokat kell kidolgoznia, és azokat nyilvánosan be kell jelentenie (a személyes adatok védelméről szóló törvény 38. cikkének (4) bekezdése) (109). Ez magában foglalja a kérelem elutasításával szembeni kifogásolási eljárásokat (a személyes adatok védelméről szóló törvény 38. cikkének (5) bekezdése). Az adatkezelőnek biztosítania kell, hogy a jogok gyakorlására vonatkozó eljárás „érintettbarát” legyen, és ne legyen megterhelőbb a személyes adatok gyűjtésére vonatkozó eljárásnál; Ez magában foglalja azt a kötelezettséget is, hogy honlapján tájékoztatást kell nyújtania az eljárásról (a személyes adatok védelméről szóló törvény végrehajtási rendelete 41. cikkének (2) bekezdése, 43. cikkének (1) bekezdése és 44. cikkének (1) bekezdése) (110). A magánszemélyek felhatalmazhatják a képviselőt ilyen kérelem benyújtására (a személyes adatok védelméről szóló törvénynek a végrehajtási rendelete 45. cikkével összefüggésben értelmezett 38. cikkének (1) bekezdése). Bár az adatkezelő jogosult díjat kivetni (és a személyes adatok másolatának postai úton történő megküldésére irányuló kérelem esetén), az összeget „a kérelem feldolgozásához szükséges tényleges költségeken belül” kell meghatározni; Nem vethető ki díj (vagy postaköltség) abban az esetben, ha az adatkezelő adott okot a kérelemre (a személyes adatok védelméről szóló törvénynek a végrehajtási rendelete 47. cikkével összefüggésben értelmezett 38. cikkének (3) bekezdése).

(81)

Az uniós jogtól eltérően a személyes adatok védelméről szóló törvény és végrehajtási rendelete nem tartalmaz kifejezetten az érintettet érintő és kizárólag a személyes adatok automatizált kezelésén alapuló döntésekkel foglalkozó általános rendelkezéseket. Mindazonáltal az Európai Unióban gyűjtött személyes adatok vonatkozásában az automatizált kezelésen alapuló minden döntést általában az (érintettel közvetlen kapcsolatban álló) uniós adatkezelő fog meghozni, és így az (EU) 2016/679 rendelet hatálya alá tartozik (111). Idetartoznak olyan adattovábbítási forgatókönyvek, amelyek szerint az adatkezelést külföldi (például koreai) gazdasági szereplő végzi, aki az uniós adatkezelő megbízottjaként (adatfeldolgozóként) jár el (vagy további feldolgozóként azon uniós adatfeldolgozó nevében, amely az adatokat az azokat összegyűjtő uniós adatkezelőtől megkapta), és amely azután ennek alapján hozza meg a döntést. Ezért az a tény, hogy a személyes adatok védelméről szóló törvény nem tartalmaz az automatizált döntéshozatalra vonatkozó különleges szabályokat, valószínűleg nem érinti az e határozat értelmében továbbított személyes adatok védelmének szintjét.

(82)

Kivételként nem alkalmazandók a megkeresések átláthatóságára (20. cikk) és az egyéni jogokra (35-37. cikk), valamint az informatikai és hírközlési szolgáltatókra vonatkozó egyedi bejelentési kötelezettségre (a személyes adatok védelméről szóló törvény 39-8. cikke) vonatkozó rendelkezések az álnevesített adatokra, amennyiben azokat statisztikai, tudományos kutatási vagy közérdekű archiválás céljából dolgozzák fel (a személyes adatok védelméről szóló törvény 28-7. cikke) (112). Az (EU) 2016/679 rendelet 11. cikkének (2) bekezdése (az (57) preambulumbekezdéssel összefüggésben) szerinti megközelítéssel összhangban ezt az indokolja, hogy az átláthatóság biztosítása vagy az egyén jogainak biztosítása érdekében az adatkezelőnek meg kell állapítania, hogy kapcsolódnak-e adatok a kérelmező magánszemélyhez (és ha igen, melyek), amit a személyes adatok védelméről szóló törvény kifejezetten tilt (a személyes adatok védelméről szóló törvény 28-5. cikkének (1) bekezdése). Továbbá, amennyiben az ilyen újbóli azonosítás a teljes (álnevesített) adatkészlet álnevesítésének feloldását vonja maga után, ez az összes többi érintett személy személyes adatait fokozott kockázatnak teszi ki. Míg az (EU) 2016/679 rendelet olyan helyzetekre utal, amelyekben gyakorlatilag lehetetlen újbóli azonosítást végezni, a személyes adatok védelméről szóló törvény szigorúbb megközelítést alkalmaz azáltal, hogy kifejezetten tiltja az újbóli azonosítást minden olyan helyzetben, amikor álnevesített adatokat kezelnek.

(83)

A (74)–(82) preambulumbekezdésben ismertetett koreai rendszer ezért olyan szabályokat tartalmaz az érintettek jogaira vonatkozóan, amelyek az (EU) 2016/679 rendelet által biztosítottal lényegében egyenértékű védelmi szintet biztosítanak.

(84)

Az Európai Unióból a koreai adatkezelőknek vagy adatfeldolgozóknak továbbított személyes adatok védelmi szintjét nem veszélyeztetheti az említett adatok Koreai Köztársaságon kívüli harmadik országokban található adatátvevők részére történő újbóli továbbítása.

(85)

Az ilyen „újbóli adattovábbítások” a koreai adatkezelő szempontjából a Koreai Köztársaságból származó nemzetközi adattovábbításnak minősülnek. E tekintetben a személyes adatok védelméről szóló törvény különbséget tesz a személyes adatok külső adatfeldolgozó (azaz adatfeldolgozó) és harmadik felek részére történő átadása között (113).

(86)

Először is, ha a személyes adatok feldolgozását harmadik országban található szervezethez szervezik ki, a koreai adatkezelőnek biztosítania kell a személyes adatok védelméről szóló törvény kiszervezésre vonatkozó rendelkezéseinek való megfelelést (a személyes adatok védelméről szóló törvény 26. cikke). Ez magában foglalja egy jogilag kötelező erejű eszköz rendszeresítését, amely többek között a külső adatfeldolgozó általi adatkezelést a kiszervezett munka céljára korlátozza, technikai és irányítási biztosítékokat ír elő, és korlátozza a további adatfeldolgozást (lásd a személyes adatok védelméről szóló törvény 26. cikkének (1) bekezdését); valamint a kiszervezett munkával kapcsolatos információk közzétételét. Emellett az adatkezelő köteles „kioktatni” a külső adatfeldolgozót a szükséges biztonsági intézkedésekről, és felügyeli – többek között ellenőrzések révén – az adatkezelőt a személyes adatok védelméről szóló törvény szerint terhelő valamennyi kötelezettségnek (114), valamint a külső adatfeldolgozási szerződésnek való megfelelés tekintetében.

(87)

Ha a külső adatfeldolgozó a személyes adatoknak a személyes adatok védelméről szóló törvény megsértésével történő feldolgozása révén kárt okoz, ezt helytállási kötelezettség szempontjából az adatkezelőnek kell betudni, hasonlóan a munkavállaló esetéhez (a személyes adatok védelméről szóló törvény 26. cikkének (6) bekezdése). A koreai adatkezelő ezért továbbra is felelős a külső adatfeldolgozónak átadott adatokért, és biztosítania kell, hogy a külföldi adatfeldolgozó az információkat a személyes adatok védelméről szóló törvénnyel összhangban dolgozza fel. Ha a külső adatfeldolgozó a személyes adatok védelméről szóló törvény megsértésével dolgozza fel az adatokat, a koreai adatkezelő felelősségre vonható azért, hogy nem teljesítette a személyes adatok védelméről szóló törvénynek való megfelelés biztosítására vonatkozó kötelezettségét, például a külső adatfeldolgozó felügyelete révén. A külső adatfeldolgozási szerződésben foglalt biztosítékok és a koreai adatkezelőnek a kiszervezett tevékenységekért viselt felelőssége biztosítja a védelem folytonosságát, amennyiben a személyes adatok kezelését egy Koreán kívüli szervezethez szervezik ki.

(88)

Másodszor, a koreai adatkezelők a Koreán kívüli harmadik fél számára is átadhatnak személyes adatokat. Míg a személyes adatok védelméről szóló törvény számos olyan jogalapot tartalmaz, amelyek általában lehetővé teszik a harmadik felek számára történő átadást, ha a harmadik fél Koreán kívül található, az adatkezelőnek főszabály szerint (115) be kell szereznie az érintett hozzájárulását (116), miután tájékoztatta az érintettet (1) a személyes adatok típusáról, (2) a személyes adatok címzettjeiről, (3) a továbbítás céljáról a címzett által végzett adatkezelés szempontjából, (4) a címzett általi adatkezelés megőrzési időszakáról, valamint (5) arról a tényről, hogy az érintett megtagadhatja hozzájárulását (a személyes adatok védelméről szóló törvény 17. cikkének (2) bekezdése). A 2021-5. sz. értesítés átláthatóságról szóló szakaszában (lásd a (70) preambulumbekezdésben) az egyéneket tájékoztatni kell arról, hogy az adataikat mely harmadik országnak adják át. Ez biztosítja, hogy az uniós érintettek teljes körű tájékoztatáson alapuló döntést hozhassanak arról, hogy hozzájárulnak-e valamely tengerentúli átadáshoz. Ezenkívül az adatkezelő nem köthet a harmadik fél címzettel a személyes adatok védelméről szóló törvénybe ütköző szerződést, ami azt jelenti, hogy a szerződés nem tartalmazhat olyan kötelezettségeket, amelyek ellentmondanak a személyes adatok védelméről szóló törvény által az adatkezelővel szemben támasztott követelményeknek (117).

(89)

Személyes adatok harmadik fél (tengerentúli személyek) részére az egyén hozzájárulása nélkül is továbbíthatók, amennyiben a közzététel célja továbbra is „az adatgyűjtés eredeti céljához észszerűen kapcsolódó alkalmazási körön belül” marad (a személyes adatok védelméről szóló törvény 17. cikkének (4) bekezdése, lásd a (36) preambulumbekezdést). Annak eldöntésekor azonban, hogy a személyes adatokat „kapcsolódó” célból közlik-e (vagy sem), az adatkezelőnek figyelembe kell vennie, hogy az adatközlés hátrányosan érinti-e az egyént, és meghozták-e a szükséges biztonsági intézkedéseket (például titkosítást). Tekintettel arra, hogy a személyes adatok továbbításának helye szerinti harmadik ország nem feltétlenül kínál a személyes adatok védelméről szóló törvény keretében biztosítottakhoz hasonló védelmet, a 2021-5. évi értesítés 2. szakasza elismeri, hogy ilyen hátrányok merülhetnek fel, és csak akkor kerülhetők el, ha a koreai adatkezelő és a tengerentúli címzett jogilag kötelező erejű eszköz (például szerződés) révén a személyes adatok védelméről szóló törvénnyel egyenértékű védelmi szintet biztosít, többek között az érintettek jogainak tekintetében is.

(90)

Különös szabályok vonatkoznak a „célon túli” adatközlésre, azaz a harmadik fél részére új (nem kapcsolódó) célból történő adattovábbításra, amelyre csak a személyes adatok védelméről szóló törvény 18. cikkének (2) bekezdésében foglalt okok egyike alapján kerülhet sor, a (39)preambulumbekezdésben leírtak szerint. Ugyanakkor még e feltételek mellett is kizárt a harmadik fél részére történő átadás, ha az valószínűleg „tisztességtelenül sérti” az érintett vagy egy harmadik fél érdekeit, ami az érdekek mérlegelését teszi szükségessé. Ezen túlmenően a személyes adatok védelméről szóló törvény 18. cikkének (5) bekezdése értelmében az adatkezelőnek további biztosítékokat kell alkalmaznia, amelyek közé tartozhat a harmadik fél felkérése az adatkezelés céljának és módjának korlátozására vagy konkrét biztonsági intézkedések bevezetésére. Mivel a személyes adatok továbbításának helye szerinti harmadik ország nem feltétlenül kínál a személyes adatok védelméről szóló törvény keretében biztosítottakhoz hasonló védelmet, a 2021-5. évi értesítés 2. szakasza elismeri, hogy az egyén vagy egy harmadik fél érdekeinek ilyen „méltánytalan sérelme” felmerülhet, és csak akkor kerülhető el, ha a koreai adatkezelő és a tengerentúli címzett jogilag kötelező erejű eszköz (például szerződés) révén a személyes adatok védelméről szóló törvénnyel egyenértékű védelmi szintet biztosít, többek között az érintettek jogai tekintetében is.

(91)

A (86) – (90) preambulumbekezdésben foglalt szabályok tehát biztosítják a védelem folytonosságát a személyes adatoknak a Koreai Köztársaságból történő, az (EU) 2016/679 rendeletben foglaltakkal lényegében egyenértékű módon (külső adatfeldolgozó vagy harmadik fél részére) történő továbbításakor.

(92)

Az elszámoltathatóság elve értelmében az adatkezelőknek megfelelő technikai és szervezeti intézkedéseket kell hozniuk, hogy hatékonyan feleljenek meg adatvédelmi kötelezettségeiknek, és bizonyítani tudják ezt a megfelelést, különösen az illetékes felügyeleti hatóság felé.

(93)

A személyes adatok védelméről szóló törvény 3. cikkének (6) és (8) bekezdése szerint az adatkezelőnek a személyes adatokat „az érintett magánélete sérelmének lehetőségét a lehető legkisebbre korlátozó módon” kell kezelnie, és törekednie kell arra, hogy megnyerje az érintett bizalmát azzal, hogy tiszteletben tartja és teljesíti a személyes adatok védelméről szóló törvényben és más kapcsolódó törvényben előírt kötelezettségeket és feladatokat. Ez magában foglalja egy belső irányítási terv létrehozását (a személyes adatok védelméről szóló törvény 29. cikke), valamint a személyzet megfelelő képzését és felügyeletét (az IPA 28. cikke).

(94)

Az elszámoltathatóság biztosítása érdekében a személyes adatok védelméről szóló törvény 31. cikke a személyes adatok védelméről szóló törvény végrehajtási rendeletének 32. cikkével összefüggésben arra kötelezi az adatkezelőket, hogy jelöljenek ki egy adatvédelmi tisztviselőt, aki „átfogóan felel a személyes adatok kezeléséért”. Az adatvédelmi tisztviselő feladata különösen a következő feladatok ellátása: (1) a személyes adatok védelmére vonatkozó terv kidolgozása és végrehajtása, valamint az adatvédelmi szabályzat kidolgozása, (2) rendszeres felmérések végzése a személyes adatok feldolgozásának állapotáról és gyakorlatáról a hiányosságok javítása érdekében, (3) panaszkezelés és kárpótlás, (4) belső ellenőrzési rendszer létrehozása a személyes adatok közlésének, az azokkal való visszaélés és azok más célra történő felhasználás a megelőzése érdekében, (5) oktatási program előkészítése és végrehajtása, (6) a személyesadat-állományok védelme, ellenőrzése és kezelése, valamint (7) a személyes adatok megsemmisítése az adatkezelés céljának elérése vagy a megőrzési időszak lejárta után. E feladatok ellátása során az adatvédelmi tisztviselő ellenőrizheti a személyes adatok feldolgozása és a kapcsolódó rendszerek állapotát, és erről tájékoztatást kérhet (a személyes adatok védelméről szóló törvény 31. cikkének (3) bekezdése). Ha az adatvédelmi tisztviselő tudomására jut a személyes adatok védelméről szóló törvény vagy más vonatkozó adatvédelmi szabályzat sérelme, haladéktalanul korrekciós intézkedéseket hoz, és szükség esetén értesíti az adatkezelő vezetőségét („vezető”) ezekről az intézkedésekről (a személyes adatok védelméről szóló törvény 31. cikkének (4) bekezdése). A személyes adatok védelméről szóló törvény 31. cikkének (5) bekezdése szerint az adatvédelmi tisztviselőt e feladatok ellátása miatt nem érheti indokolatlan hátrány.

(95)

Emellett az adatkezelőknek proaktívan törekedniük kell arra, hogy adatvédelmi hatásvizsgálatot folytassanak le abban az esetben, ha a személyesadat-állományok kezelése adatvédelmi kockázattal jár (a személyes adatok védelméről szóló törvény 33. cikkének (8) bekezdése). Az érintettek jogait érintő kockázat mértékének értékelése során lényegesek lesznek – a személyes adatok védelméről szóló törvénynek a végrehajtási rendelete 35., 36. és 38. cikkével összefüggésben értelmezett 33. cikke (1) és (2) bekezdése alapján – olyan tényezők, mint a kezelt adatok típusa és jellege (különösen hogy különleges adatnak minősülnek-e), terjedelmük, megőrzési időszakuk és az adatsértések valószínűsége. Az adatvédelmi hatásvizsgálat célja az adatvédelmi kockázati tényezők, valamint a biztonsági és egyéb ellenintézkedések elemzésének biztosítása, valamint a javításra szoruló kérdések jelzése (lásd a személyes adatok védelméről szóló törvénynek a végrehajtási rendelete 38. cikkével összefüggésben értelmezett 33. cikke (1) bekezdését).

(96)

A közintézmények kötelesek hatásvizsgálatot végezni bizonyos olyan személyesadat-állományok feldolgozásakor, amelyek nagyobb kockázatot jelentenek a magánélet esetleges sérelme szempontjából (a személyes adatok védelméről szóló törvény 33. cikkének (1) bekezdése). A személyes adatok védelméről szóló törvény végrehajtási rendelete 35. cikkével összhangban ez a helyzet áll fenn többek között a legalább 50 000 érintettre vonatkozó különleges adatokat tartalmazó adatállományok esetében, amelyeket más adatállományokkal egyeztetnek, és amelyek legalább 500 000 érintettre vonatkozó adatokat tartalmaznak, vagy amelyek legalább egymillió érintettre vonatkozó adatokat tartalmaznak. A közintézmények által végzett hatásvizsgálat eredményét közölni kell a személyesadat-védelemmel foglalkozó bizottsággal (a személyes adatok védelméről szóló törvény 33. cikkének (1) bekezdése), amely véleményt nyilváníthat (a személyes adatok védelméről szóló törvény 33. cikkének (3) bekezdése).

(97)

Végezetül a személyes adatok védelméről szóló törvény 13. cikke előírja, hogy a személyesadat-védelemmel foglalkozó bizottság meghatározza az adatkezelők „önszabályozó adatvédelmi tevékenységeinek” előmozdításához és támogatásához szükséges szabályzatokat, többek között az adatvédelmi oktatás, az adatvédelemmel foglalkozó szervezetek népszerűsítése és támogatása, valamint az adatkezelők önszabályozási szabályok létrehozásában és végrehajtásában való támogatása révén. Ezenkívül be kell vezetnie és elő kell segítenie az ePRIVACY védjegyrendszert. E tekintetben a személyes adatok védelméről szóló törvénynek a végrehajtási rendelet 32-2. cikkével összefüggésben értelmezett 34-2–34-8. cikke lehetővé teszi annak igazolását, hogy az adatkezelő személyesadat-kezelési és -védelmi rendszere(i) megfelel(nek) a személyes adatok védelméről szóló törvény követelményeinek. E szabályok szerint (3 évre) tanúsítvány (118) adható, ha az adatkezelő megfelel a személyesadat-védelemmel foglalkozó bizottság által meghatározott tanúsítási kritériumoknak, ideértve a személyes adatok védelmét szolgáló irányítási, technikai és fizikai biztosítékok létrehozását is (119). A személyesadat-védelemmel foglalkozó bizottságnak évente legalább egyszer meg kell vizsgálnia a tanúsítás szempontjából releváns adatkezelői rendszereket eredményességük fenntartása érdekében, ami a tanúsítvány visszavonásához vezethet (a személyes adatok védelméről szóló törvénynek a végrehajtási rendelet 34-5. cikkével összefüggésben értelmezett 32. cikke (4) bekezdése); ún. „utánkövetés irányítása”).

(98)

A koreai keret ezért oly módon hajtja végre az elszámoltathatóság elvét, amely lényegében az (EU) 2016/679 rendelet által biztosítottal egyenértékű védelmi szintet biztosít, többek között azáltal, hogy különböző mechanizmusokat ír elő a személyes adatok védelméről szóló törvénynek való megfelelés biztosítására és igazolására.

(99)

A (13) preambulumbekezdésben leírtak szerint a hitelinformációkról szóló törvény egyedi szabályokat állapít meg a személyes adatnak minősülő hitelinformációk kereskedelmi szolgáltatók általi kezelésére vonatkozóan. A hitelinformációk feldolgozása során ezért a kereskedelmi szolgáltatóknak a személyes adatok védelméről szóló törvény általános követelményeinek kell megfelelniük, amennyiben a hitelinformációkról szóló törvény konkrétabb szabályokat nem tartalmaz. Ez a helyzet például akkor, amikor magánszemélyekkel folytatott kereskedelmi ügyletek keretében hitelkártyával vagy bankszámlával kapcsolatos információkat dolgoznak fel. A (személyes adatnak minősülő és nem minősülő) hitelinformációk feldolgozására vonatkozó ágazati jogszabályként a hitelinformációkról szóló törvény nemcsak konkrét adatvédelmi biztosítékokat ír elő (például az átláthatóság és a biztonság tekintetében), hanem általánosabban szabályozza azokat a konkrét körülményeket is, amelyek között a személyes adatnak minősülő hitelinformációk kezelhetők. Ez különösen a felhasználásra, a harmadik fél részére történő adatszolgáltatásra és az említett adatok megőrzésére vonatkozó részletes követelményekben tükröződik.

(100)

A személyes adatok védelméről szóló törvényhez hasonlóan a hitelinformációkról szóló törvény is tükrözi a jogszerűség és az arányosság elvét. Először is, a hitelinformációkról szóló törvény 15. cikkének (1) bekezdése általános követelményként a személyes adatok védelméről szóló törvény 3. cikkének (1)–(2) bekezdésével összhangban csak észszerű és méltányos módon és a meghatározott cél eléréséhez szükséges legkisebb mértékben teszi lehetővé a személyes adatnak minősülő hitelinformációk gyűjtését. Másodszor, a hitelinformációkról szóló törvény kifejezetten szabályozza a személyes adatnak minősülő hitelinformációk feldolgozásának jogszerűségét azáltal, hogy azok gyűjtését, felhasználását és harmadik személy részére történő átadását korlátozza, és általában e feldolgozási tevékenységeket az érintett személy hozzájárulásának feltételéhez köti.

(101)

A személyes adatnak minősülő hitelinformációkat a személyes adatok védelméről szóló törvény által megadott jogalapok valamelyike vagy a hitelinformációkról szóló törvényben meghatározott konkrét jogalapok alapján lehet gyűjteni. Mivel az (EU) 2016/679 rendelet 45. cikke feltételezi, hogy az uniós adatkezelő vagy -feldolgozó továbbítja a személyes adatokat, de nem terjed ki a koreai adatkezelő általi közvetlen adatgyűjtésre (például az egyéntől vagy egy honlapról történő adatgyűjtésre), e határozat szempontjából csak a hozzájárulás és a személyes adatok védelméről szóló törvény keretében rendelkezésre álló jogalapok relevánsak. Ezen jogalapok közé tartoznak különösen az olyan esetek, amikor az adattovábbítás az egyénnel kötött szerződés teljesítéséhez vagy a koreai adatkezelő jogos érdekeihez szükséges (a személyes adatok védelméről szóló törvény 15. cikke (1) bekezdésének 4. és 6. pontja) (120).

(102)

Az adatgyűjtést követően a személyes adatnak minősülő hitelinformációk felhasználhatók (1) arra az eredeti célra, amelyre az egyén (közvetlenül) átadta azokat (121); (2) a gyűjtés eredeti céljával összeegyeztethető célra (122); (3) annak meghatározására, hogy létrejöjjön-e vagy fennmaradjon-e az egyén által kért kereskedelmi kapcsolat (123); (4) statisztika, közérdekű kutatás és archiválás céljából (124), amennyiben az adatok álnevesítettek (125); (5) ha további hozzájárulást kapnak, vagy (6) jogszabálynak megfelelően.

(103)

Amennyiben egy kereskedelmi szolgáltató a személyes adatnak minősülő hitelinformációkat harmadik fél tudomására szándékozik hozni, be kell szereznie az egyén hozzájárulását (126), miután tájékoztatta az érintett személyt az adatok címzettjéről, a címzett általi adatkezelés céljáról, a szolgáltatandó adatok részleteiről, a címzett általi tárolási időszakról és a hozzájárulás megtagadásának jogáról (a hitelinformációkról szóló törvény 32. cikkének (1) bekezdése és a törvény végrehajtási rendelete 28. cikkének (2) bekezdése) (127). Ez a hozzájárulási követelmény nem alkalmazandó különleges helyzetekben, nevezetesen amikor a személyes adatnak minősülő hitelinformációkat (128): (1) kiszervezés céljából a külső adatfeldolgozóval (129); (2) a vállalkozás harmadik személyre történő átruházása, szétválás vagy egyesülés esetén; (3) statisztika, közérdekű kutatás és archiválás céljából, amennyiben az adatok álnevesítettek; (4) a gyűjtés eredeti céljával összeegyeztethető célra; (5) az információt az egyén tartozásának behajtására felhasználó harmadik féllel (130); (6) bírósági végzésnek való megfelelés; (7) ügyésszel/igazságügyi rendészet tisztviselővel vészhelyzetben, ha az egyén élete veszélyben van vagy várhatóan testi sérülést szenved, és nincs idő a bírósági parancs kibocsátására (131); (8) az illetékes adóhatóságokkal az adójogszabályoknak való megfelelés érdekében; vagy (9) más jogszabályoknak megfelelően közlik. A fenti jogalapok valamelyike alapján történő közlés esetén erről előzetesen értesíteni kell az érintettet (a hitelinformációkról szóló törvény 32. cikkének (7) bekezdése).

(104)

A hitelinformációkról szóló törvény kifejezetten szabályozza továbbá a személyes adatnak minősülő hitelinformációk kezelésének az egyénnel fennálló kereskedelmi kapcsolat megszűnését követő időtartamát az említett felhasználási vagy harmadik fél részére történő átadási jogalapok egyike alapján (132). Csak azokat az információkat lehet megőrizni, amelyek szükségesek voltak e kapcsolat létrehozásához vagy fenntartásához, kiegészítő biztosítékok mellett (ezeket azon hitelinformációktól elkülönítve kell tárolni, amelyek olyan személyekre vonatkoznak, akikkel a kereskedelmi kapcsolat fennáll, különleges biztonsági intézkedésekkel védve, és csak az arra jogosult személyek számára lehetnek hozzáférhetők) (133). Minden más adatot törölni kell (a hitelinformációkról szóló törvény végrehajtási rendelete 17-2. cikke (1) bekezdésének 2. pontja) Annak meghatározásához, hogy mely adatok voltak szükségesek a kereskedelmi kapcsolathoz, különböző tényezőket kell figyelembe venni, többek között azt, hogy az adatok nélkül is létrehozható lett volna-e a kapcsolat, és azok közvetlenül kapcsolódnak-e a magánszemélynek nyújtott árukhoz vagy szolgáltatásokhoz (a hitelinformációkról szóló törvény végrehajtási rendelete 17-2. cikkének (2) bekezdése).

(105)

Még azokban az esetekben is, amikor a személyes adatnak minősülő hitelinformációkat elvileg a kereskedelmi kapcsolat megszűnését követően is meg lehet őrizni, a további feldolgozási cél elérését követő három hónapon belül (134), de öt év elteltével mindenképpen törölni kell azokat (a hitelinformációkról szóló törvény 20-2. cikke). Korlátozott számú körülmények között a személyes adatnak minősülő hitelinformációk öt évnél hosszabb ideig megőrizhetők, különösen, ha ez valamely jogi kötelezettség teljesítéséhez szükséges; ha az egyén életéhez, testi épségéhez vagy vagyonához fűződő létfontosságú érdekei miatt szükséges; az álnevesített adatok archiválásához (tudományos kutatás, statisztika vagy közérdekű archiválás céljából); vagy biztosítási célból (különösen biztosítási kifizetések vagy biztosítási csalás megelőzése céljából) (135). Ezekben a kivételes esetekben egyedi biztosítékok alkalmazandók (például az egyén értesítése a további felhasználásról, a megőrzött információk olyan magánszemélyekre vonatkozó információktól való elkülönítése, akikkel még kereskedelmi kapcsolat áll fenn, a hozzáférési jogok korlátozásával, lásd a hitelinformációkról szóló törvény végrehajtási rendelete 17-2. cikkének (1)–(2) bekezdését).

(106)

A hitelinformációkról szóló törvény tovább pontosítja a pontosság és az adatminőség elvét annak előírásával, hogy a személyes adatnak minősülő hitelinformációkat „nyilvántartásba kell venni, módosítani és kezelni” kell azok pontossága és naprakészsége érdekében (a hitelinformációkról szóló törvény 18. cikkének (1) bekezdése és a törvény végrehajtási rendelete 15. cikkének (3) bekezdése) (136). Bizonyos más szervezeteknek (például hitelminősítő intézeteknek) nyújtott hitelinformációk esetében a kereskedelmi szolgáltatóknak kifejezetten ellenőrizniük kell az információk pontosságát annak biztosítása érdekében, hogy a címzett csak pontos információkat rögzítsen és kezeljen (a hitelinformációkról szóló törvény végrehajtási rendelete 15. cikkének (1) bekezdése, a hitelinformációkról szóló törvény 18. cikkének (1) bekezdésével összefüggésben értelmezve). Általánosabban fogalmazva a hitelinformációkról szóló törvény előírja, hogy nyilvántartást kell vezetni a személyes adatnak minősülő hitelinformációk gyűjtéséről, felhasználásáról, harmadik felekkel való közléséről és megsemmisítéséről (a hitelinformációkról szóló törvény 20. cikkének (2) bekezdése) (137).

(107)

Ezen túlmenően az adatbiztonság tekintetében a személyes adatnak minősülő hitelinformációk kezelésére különleges követelmények vonatkoznak. A hitelinformációkról szóló törvény különösen olyan technológiai, fizikai és szervezeti intézkedések végrehajtását írja elő, amelyek megakadályozzák a számítógépes rendszerekhez való illetéktelen hozzáférést, valamint a feldolgozott adatok megváltoztatását, megsemmisítését vagy bármely más veszélyeztetését (például a hozzáférés szabályozása révén, lásd a hitelinformációkról szóló törvény 19. cikkét és a törvény végrehajtási rendeletének 16. cikkét). Ezenkívül a személyes adatnak minősülő hitelinformációk harmadik féllel való megosztásakor konkrét biztonsági intézkedéseket előíró megállapodást kell kötni (a hitelinformációkról szóló törvény 19. cikkének (2) bekezdése). A személyes adatnak minősülő hitelinformációkkal kapcsolatos adatvédelmi incidens esetén intézkedéseket kell hozni a kár minimalizálására, és az érintetteket haladéktalanul értesíteni kell (a hitelinformációkról szóló törvény 39-4. cikkének (1)–(2) bekezdése). Emellett a személyesadat-védelemmel foglalkozó bizottságot tájékoztatni kell az egyéneknek kiküldött értesítésekről és a végrehajtott intézkedésekről (a hitelinformációkról szóló törvény 39-4. cikkének (4) bekezdése).

(108)

A hitelinformációkról szóló törvény konkrét átláthatósági kötelezettségeket is előír a személyes adatnak minősülő hitelinformációk felhasználásához vagy átadásához való hozzájárulás megszerzésekor (a hitelinformációkról szóló törvény 32. cikkének (4) bekezdése és 34-2. cikke, valamint a törvény végrehajtási rendeletének 30-3. cikke), és általánosabban a harmadik félnek történő információszolgáltatást megelőzően (a hitelinformációkról szóló törvény 32. cikkének (7) bekezdése) (138). Ezen túlmenően az egyéneknek joguk van arra, hogy kérésre tájékoztatást kapjanak hitelinformációik felhasználásáról és a kérést megelőző három évben harmadik felek részére történő átadásáról (beleértve az említett felhasználás/átadás célját és időpontját) (139).

(109)

A hitelinformációkról szóló törvény értelmében az egyéneknek joguk van hozzáférni személyes adatnak minősülő hitelinformációkhoz (a hitelinformációkról szóló törvény 38. cikkének (1) bekezdése), valamint a pontatlan adatok helyesbítéséhez (a hitelinformációkról szóló törvény 38. cikkének (2)–(3) bekezdése) (140). Ezenkívül a személyes adatok védelméről szóló törvény szerinti általános törlési jogon kívül (lásd a (77) preambulumbekezdést) a hitelinformációkról szóló törvény külön jogot biztosít azon személyes adatnak minősülő hitelinformációk törlésére, amelyeket a (104) preambulumbekezdésben említett megőrzési időszakokon túl, azaz öt éven (a kereskedelmi kapcsolat létesítéséhez vagy fenntartásához szükséges személyes adatnak minősülő hitelinformációk esetében) vagy három hónapon (más típusú személyes adatnak minősülő hitelinformációk esetében) őriztek meg (141). A törlés iránti kérelem kivételesen elutasítható, amennyiben a további adatmegőrzés szükséges a (105) preambulumbekezdésben leírt körülmények között. Ha egy magánszemély törlést kér, de a kivételek egyike érvényesül, az érintett hitelinformációkra külön biztosítékokat kell alkalmazni (a hitelinformációkról szóló törvény 38-3. cikkének (3) bekezdése és a törvény végrehajtási rendeletének 33-3. cikke). Az információkat például az egyéb információktól elkülönítve kell tárolni, azokhoz csak felhatalmazott személy férhet hozzá, és azokra egyedi biztonsági intézkedéseknek kell vonatkozniuk.

(110)

A (109) preambulumbekezdésben említett jogokon túlmenően a hitelinformációkról szóló törvény biztosítja az egyének számára azt a jogot, hogy kérjék az adatkezelőtől a közvetlen üzletszerzési célú megkeresések beszüntetését (a törvény 37. cikkének (2) bekezdése), valamint az adathordozhatósághoz való jogot. Ez utóbbi tekintetében a hitelinformációkról szóló törvény lehetővé teszi az egyének számára, hogy saját maguk vagy bizonyos harmadik felek (például pénzügyi intézmények és hitelminősítő társaságok) számára kérjék személyes adatnak minősülő hitelinformációik átadását. A személyes adatnak minősülő hitelinformációkat adatfeldolgozó eszközzel (például számítógéppel) feldolgozható formátumban kell feldolgozni és a harmadik félnek továbbítani.

(111)

Amennyiben a hitelinformációkról szóló törvény a személyes adatok védelméről szóló törvényhez képest konkrét szabályokat tartalmaz, a Bizottság úgy véli, hogy ezek a szabályok is az (EU) 2016/679 rendelet által biztosított védelemmel lényegében egyenértékű védelmi szintet biztosítanak.

(112)

Az adatvédelem megfelelő szintjének gyakorlati biztosítása érdekében létre kell hozni egy független felügyeleti hatóságot, amely hatáskörrel rendelkezik az adatvédelmi szabályoknak való megfelelés nyomon követésére és a kikényszerítésére. Ennek a hatóságnak feladatai ellátása és hatásköre gyakorlása során teljes egészében függetlenül és pártatlanul kell eljárnia.

(113)

A Koreai Köztársaságban a személyes adatok védelméről szóló törvény nyomon követéséért és végrehajtásáért felelős független hatóság a személyesadat-védelemmel foglalkozó bizottság. A személyesadat-védelemmel foglalkozó bizottság egy elnökből, egy alelnökből és hét biztosból áll. Az elnököt és az alelnököt a köztársasági elnök nevezi ki, a miniszterelnök ajánlása alapján. A köztársasági elnök a biztosok közül kettőt az elnök javaslatára, ötöt pedig a Nemzetgyűlés javaslata alapján nevez ki (közülük kettőt azon politikai párt ajánlására, amelyhez az elnök tartozik, hármat pedig a többi politikai párt ajánlása alapján (a személyes adatok védelméről szóló törvény 7-2. cikkének (2) bekezdése), ami segít ellensúlyozni a kinevezési folyamatban a részrehajlást (142). Ez az eljárás összhangban áll az uniós adatvédelmi hatóságok tagjainak kinevezésére vonatkozó követelményekkel (az (EU) 2016/679 rendelet 53. cikkének (1) bekezdése). Ezenkívül minden biztosnak tartózkodnia kell minden profitorientált üzleti tevékenységtől, politikai tevékenységtől és a közigazgatásban vagy a Nemzetgyűlésben betöltött tisztségektől (a személyes adatok védelméről szóló törvény 7-6. cikke és a 7-7. cikke (1) bekezdésének 3. pontja) (143). Olyan belső szabályok is vonatkoznak valamennyi biztosra, amelyek esetleges összeférhetetlenség esetén meggátolják a tanácskozásokon való részvételüket (a személyes adatok védelméről szóló törvény 7-11. cikke). A személyesadat-védelemmel foglalkozó bizottság munkáját titkárság segíti (7-13. cikk), és (három biztosból álló) albizottságokat hozhat létre a kisebb jogsértések és ismétlődő ügyek intézésére (a személyes adatok védelméről szóló törvény 7-12. cikke).

(114)

A személyesadat-védelemmel foglalkozó bizottság minden tagját három évre nevezik ki, és egy alkalommal újból kinevezhetők (a személyes adatok védelméről szóló törvény 7-4. cikkének (1) bekezdése). A biztosokat csak meghatározott körülmények között lehet felmenteni, nevezetesen akkor, ha hosszú távú szellemi vagy testi fogyatékosságuk miatt már nem képesek ellátni feladataikat, törvénysértő módon járnak el, vagy felmerül a tisztségtől való valamely eltiltási ok (144) (a személyes adatok védelméről szóló törvény 7-5. cikke). Ez feladataik ellátása során intézményi védelmet biztosít számukra.

(115)

Általánosabban fogalmazva, a személyes adatok védelméről szóló törvény 7. cikkének (1) bekezdése kifejezetten garantálja a személyesadat-védelemmel foglalkozó bizottság függetlenségét, a törvény 7-5. cikkének (2) bekezdése pedig előírja a biztosok számára, hogy feladataikat függetlenül, a jogszabályoknak és lelkiismeretüknek megfelelően lássák el (145). Az ismertetett intézményi és eljárási biztosítékok – többek között a tagok kinevezése és felmentése tekintetében – biztosítják, hogy a személyesadat-védelemmel foglalkozó bizottság teljes függetlenséggel, külső befolyástól vagy utasítástól mentesen járjon el. Emellett a személyesadat-védelemmel foglalkozó bizottság központi közigazgatási szervként évente javaslatot tesz saját költségvetésére (amelyet a Pénzügyminisztérium a teljes nemzeti költségvetés részeként felülvizsgál, a Nemzetgyűlés általi elfogadása előtt), és felel saját személyzeti irányításáért. A személyesadat-védelemmel foglalkozó bizottság jelenleg mintegy 35 millió eurós költségvetéssel és 154 fős személyzettel rendelkezik (közülük 40 munkavállaló az információs és kommunikációs technológiákra, 32 fő a vizsgálatokra szakosodott, 40 pedig jogi szakértő).

(116)

A személyesadat-védelemmel foglalkozó bizottság feladatait és hatásköreit főként a személyes adatok védelméről szóló törvény 7-8. és 7-9. cikke, valamint ugyanezen törvény 61-66. cikke határozza meg (146). A személyesadat-védelemmel foglalkozó bizottság feladatai közé tartozik különösen az adatvédelemhez kapcsolódó törvényekkel és rendeletekkel kapcsolatos tanácsadás, adatvédelmi szabályzatok és iránymutatások kidolgozása, az egyéni jogok megsértésének kivizsgálása, a panaszok kezelése és közvetítés a jogvitákban, a személyes adatok védelméről szóló törvénynek való megfelelés kikényszerítése, az adatvédelemmel kapcsolatos oktatás és promóció biztosítása, valamint a harmadik országok adatvédelmi hatóságaival való információcsere és együttműködés (147).

(117)

A személyes adatok védelméről szóló törvény 68. cikke és a törvény végrehajtási rendeletének 62. cikke alapján a személyesadat-védelemmel foglalkozó bizottság bizonyos feladatait a Koreai Internet- és Biztonsági Ügynökségre ruházták, nevezetesen az alábbiakat: (1) oktatás és PR, (2) szakemberek képzése és az adatvédelmi hatásvizsgálat kritériumainak kidolgozása, (3) az úgynevezett adatvédelmi hatásvizsgálati intézmény kijelölésére irányuló kérelmek kezelése, (4) a hatóságok birtokában lévő személyes adatokhoz való közvetett hozzáférés iránti kérelmek kezelése (a személyes adatok védelméről szóló törvény 35. cikkének (2) bekezdése), valamint (5) az úgynevezett adatvédelmi telefonos ügyfélszolgálaton keresztül beérkezett panaszokra vonatkozó anyagok bekérésének és ellenőrzésének feladata. A panaszoknak az adatvédelmi telefonos ügyfélszolgálaton keresztül történő kezelésével összefüggésben a Koreai Internet- és Biztonsági Ügynökség továbbítja az ügyet a személyesadat-védelemmel foglalkozó bizottságnak vagy az ügyészségnek, amennyiben megállapítja, hogy jogsértés történt. Az adatvédelmi telefonos ügyfélszolgálathoz való panasz benyújtási lehetősége nem akadályozza meg az egyéneket abban, hogy közvetlenül panaszt nyújtsanak be a személyesadat-védelemmel foglalkozó bizottsághoz, vagy ehhez a bizottsághoz forduljanak, ha úgy ítélik meg, hogy panaszukat a Koreai Internet- és Biztonsági Ügynökség nem kielégítően intézte.

(118)

A személyes adatok védelméről szóló törvénynek való megfelelés biztosítása érdekében a jogalkotó vizsgálati és végrehajtási hatásköröket is biztosított a személyesadat-védelemmel foglalkozó bizottság számára, az ajánlásoktól a közigazgatási bírságokig terjedően. Ezeket a hatásköröket büntetőjogi szankciórendszer egészíti ki.

(119)

Ami a vizsgálati hatásköröket illeti, ha felmerül a személyes adatok védelméről szóló törvény megsértésének gyanúja vagy azt jelentették, vagy ha az érintett jogsértéssel szembeni jogainak védelme érdekében szükséges, a személyesadat-védelemmel foglalkozó bizottság helyszíni ellenőrzéseket végezhet, és minden lényeges anyagot (például tárgyak és dokumentumok) bekérhet a személyesadat-kezelőktől (személyes adatok védelméről szóló törvény 63. cikke, összefüggésben a személyes adatok védelméről szóló törvény végrehajtási rendeletének 60. cikkével) (148).

(120)

Ami a végrehajtást illeti, a személyes adatok védelméről szóló törvény 61. cikkének (2) bekezdése értelmében a személyesadat-védelemmel foglalkozó bizottság tanácsot adhat az adatkezelőknek arra vonatkozóan, hogy miként lehet javítani a személyes adatok védelmi szintjét bizonyos adatkezelési tevékenységek esetében. Az adatkezelőknek jóhiszemű erőfeszítéseket kell tenniük az említett tanácsok végrehajtása érdekében, és az eredményről tájékoztatniuk kell a személyesadat-védelemmel foglalkozó bizottságot. Továbbá, ha alapos okkal feltételezhető a személyes adatok védelméről szóló törvény sérelme, és az intézkedés elmaradása valószínűleg nehezen helyrehozható kárt okoz, a személyesadat-védelemmel foglalkozó bizottság korrekciós intézkedéseket hozhat (a személyes adatok védelméről szóló törvény 64. cikkének (1) bekezdése) (149). A 2021-5. évi értesítés (I. melléklet) 5. szakasza kötelező érvénnyel pontosítja, hogy ezek a feltételek a személyes adatok védelméről szóló törvény bármely olyan rendelkezésének sérelme tekintetében teljesülnek, amely az egyének magánélethez való jogát a személyes adatok tekintetében védi (150). A személyesadat-védelemmel foglalkozó bizottság hatáskörébe tartozó intézkedések közé tartozik a jogsértést okozó magatartás beszüntetésének elrendelése, az adatfeldolgozás időszakos felfüggesztése vagy bármely más szükséges intézkedés. A korrekciós intézkedés be nem tartása legfeljebb 50 millió von bírság kiszabásához vezethet (a személyes adatok védelméről szóló törvény 75. cikke (2) bekezdésének 13. pontja).

(121)

Egyes hatóságok (például a Nemzetgyűlés, a központi közigazgatási szervek, a helyi önkormányzati szervek és a bíróságok) tekintetében a személyes adatok védelméről szóló törvény 64. cikkének (4) bekezdése úgy rendelkezik, hogy a személyesadat-védelemmel foglalkozó bizottság „ajánlást tehet” a (120) preambulumbekezdésben említett korrekciós intézkedések bármelyikére, és hogy ezek a hatóságok rendkívüli körülmények fennállása kivételével kötelesek eleget tenni az ajánlásnak. A 2021-5. évi értesítés 5. szakasza szerint ez olyan rendkívüli ténybeli vagy jogi körülményekre utal, amelyekről a személyesadat-védelemmel foglalkozó bizottság az ajánlás megtételekor nem tudott. Az érintett hatóság csak akkor hivatkozhat ilyen rendkívüli körülményekre, ha egyértelműen bizonyítja, hogy nem történt jogsértés, és a személyesadat-védelemmel foglalkozó bizottság megállapítja, hogy valóban ez a helyzet. Ellenkező esetben a hatóságnak követnie kell a személyesadat-védelemmel foglalkozó bizottság ajánlását, és „korrekciós intézkedést kell hoznia, többek között azonnal be kell szüntetnie az intézkedést, és kártérítést kell fizetnie abban a kivételes esetben, amikor a jogellenes cselekményt mégis elkövették”.

(122)

A személyesadat-védelemmel foglalkozó bizottság az ágazati jogszabályok (pl. egészségügy, oktatás) alapján különleges hatáskörrel rendelkező más közigazgatási ügynökségeket is felkérhet arra, hogy önállóan vagy a személyesadat-védelemmel foglalkozó bizottsággal közösen folytassanak le vizsgálatot a joghatóságuk alá tartozó ágazatokban tevékenykedő adatkezelők által elkövetett (esetleges) adatvédelmi jogsértések ügyében, és írjanak elő korrekciós intézkedéseket (a személyes adatok védelméről szóló törvény 63. cikkének (4)–(5) bekezdése). Ebben az esetben a személyesadat-védelemmel foglalkozó bizottság határozza meg a vizsgálat jogalapjait, tárgyát és hatókörét (151). Az illetékes közigazgatási szervnek viszont ellenőrzési tervet kell benyújtania a személyesadat-védelemmel foglalkozó bizottsághoz, és az ellenőrzés eredményéről értesítenie kell a bizottságot. A személyesadat-védelemmel foglalkozó bizottság javaslatot tehet konkrét korrekciós intézkedésekre, amelyek végrehajtására az illetékes ügynökségnek törekednie kell. Az említett kérelem egy esetben sem korlátozza a személyesadat-védelemmel foglalkozó bizottság arra vonatkozó hatáskörét, hogy saját vizsgálatát lefolytassa vagy szankciókat szabjon ki.

(123)

Korrekciós hatáskörei mellett a személyesadat-védelemmel foglalkozó bizottság 10-50 millió von közigazgatási bírságot szabhat ki a személyes adatok védelméről szóló törvény különböző követelményeinek sérelme esetén (a személyes adatok védelméről szóló törvény 75. cikke) (152). Ez többek között magában foglalja az adatkezelés jogszerűségére vonatkozó követelmények be nem tartását, a szükséges biztonsági intézkedések meghozatalának elmaradását, adatvédelmi incidens esetén az érintettek értesítésének elmaradását, a további adatfeldolgozásra vonatkozó követelmények be nem tartását, az adatvédelmi szabályzat kidolgozásának és közlésének elmaradását, az adatvédelmi tisztviselő kijelölésének elmaradását, az egyének jogainak gyakorlása során az érintett kérésére történő intézkedés elmaradását, valamint bizonyos eljárási jogsértéseket (a vizsgálat során az együttműködés hiánya). A személyes adatok védelméről szóló törvény több rendelkezésének ugyanazon adatkezelő általi megsértése esetén minden egyes jogsértésért pénzbírság szabható ki, és a bírság mértékének meghatározásakor figyelembe veszik az érintett személyek számát.

(124)

Továbbá, amennyiben alapos okkal feltételezhető a személyes adatok védelméről szóló törvény vagy bármely más „adatvédelmi jogszabály” sérelme, a személyesadat-védelemmel foglalkozó bizottság büntető feljelentést nyújthat be az illetékes nyomozó hatósághoz (például az ügyészhez, lásd a személyes adatok védelméről szóló törvény 65. cikkének (1) bekezdését). Emellett a személyesadat-védelemmel foglalkozó bizottság javasolhatja az adatkezelőnek, hogy indítson fegyelmi eljárást a felelős személlyel szemben (beleértve a felelős vezetőt is, lásd a személyes adatok védelméről szóló törvény 65. cikkének (2) bekezdését). E tanács kézhezvételét követően az adatkezelőnek be kell tartania azt (153), és az eredményről írásban értesítenie kell a személyesadat-védelemmel foglalkozó bizottságot (a személyes adatok védelméről szóló törvénynek a végrehajtási rendelet 58. cikkével összefüggésben értelmezett 65. cikke).

(125)

Ami a 61. cikk szerinti tanácsot, a 64. cikk szerinti korrekciós intézkedéseket, a 65. cikk szerinti vádat vagy fegyelmi intézkedésre vonatkozó tanácsot, valamint a személyes adatok védelméről szóló törvény 75. cikke szerinti közigazgatási bírság kiszabását illeti, a személyesadat-védelemmel foglalkozó bizottság közzéteheti a tényállást – azaz a jogsértést, a jogsértést elkövető jogalanyt és a kiszabott intézkedés(eke)t – honlapján vagy egy általános, országos napilapban (a személyes adatok védelméről szóló törvénynek a végrehajtási rendelet 61. cikkének (1) bekezdésével összefüggésben értelmezett 66. cikke) (154).

(126)

Végezetül a személyes adatok védelméről szóló törvényben foglalt adatvédelmi követelményeknek (és más „adatvédelmi jogszabályoknak”) való megfelelést egy büntetőjogi szankciórendszer is támogatja. E tekintetben a személyes adatok védelméről szóló törvény 70-73. cikke olyan szankciós rendelkezéseket tartalmaz, amelyek vagy pénzbüntetés (20 és 100 millió von között) vagy szabadságvesztés kiszabásához vezethetnek (a felső büntetési tétel 2-10 évig terjedhet). A releváns jogsértések közé tartozik többek között a személyes adatok felhasználása vagy az említett adatok harmadik fél részére a szükséges hozzájárulás nélkül történő átadása, különleges adatok kezelése a személyes adatok védelméről szóló törvény 23. cikkének (1) bekezdésében foglalt tilalomba ütközően, az irányadó biztonsági követelményeknek való meg nem felelés, amely a személyes adatok elvesztését, eltulajdonítását, közlését, meghamisítását, módosítását vagy megrongálódását eredményezi, a személyes adatok helyesbítéséhez, törléséhez vagy felfüggesztéséhez szükséges intézkedések meghozatalának elmaradása, vagy a személyes adatok harmadik országba történő jogellenes továbbítása (155). A személyes adatok védelméről szóló törvény 74. cikke szerint minden ilyen esetben az adatkezelő alkalmazottja, megbízottja vagy képviselője, valamint maga az adatkezelő tartozik helytállási kötelezettséggel (156).

(127)

A büntető törvény értelmében személyes adatok védelméről szóló törvényben előírt büntetőjogi szankciók mellett a személyes adatokkal való visszaélés is bűncselekménynek minősülhet. Ez különösen igaz a levelek, dokumentumok vagy elektronikus nyilvántartások titkosságának megsértése (316. cikk), a szakmai titoktartás hatálya alá tartozó adatok közlése (317. cikk), a számítógéppel elkövetett csalás (347-2. cikk), valamint a sikkasztás és a bizalommal visszaélés (355. cikk) esetében.

(128)

A koreai rendszer ezért ötvözi a különböző típusú szankciókat, a korrekciós intézkedésektől a közigazgatási bírságokon át a büntetőjogi szankciókig, amelyek feltehetően különösen erőteljes elrettentő hatást gyakorolnak az adatkezelőkre és az adatokat kezelő személyekre. A személyesadat-védelemmel foglalkozó bizottság közvetlenül a 2020. évi létrehozását követően megkezdte hatásköreinek gyakorlását. A személyesadat-védelemmel foglalkozó bizottság 2021. évi éves jelentése azt mutatja, hogy a személyesadat-védelemmel foglalkozó bizottság már számos ajánlást, közigazgatási bírságot és korrekciós végzést adott ki a közszféra (mintegy 34 hatóság) és magánszolgáltatók (mintegy 140 vállalat) ellen egyaránt (157). A figyelemre méltó ügyek közé tartozik például 2020 decemberében egy vállalatra 6,7 milliárd von összegű pénzbírság kiszabása a személyes adatok védelméről szóló törvény különböző rendelkezéseinek sérelme miatt (ideértve a biztonsági követelményeket, a harmadik feleknek történő átadáshoz szükséges hozzájárulás követelményét és az átláthatóságot) (158), valamint 2021. áprilisban 103,3 millió von bírság kiszabása egy MI-technológiával (mesterséges intelligencia technológiával) foglalkozó vállalatra, többek között az adatkezelés jogszerűségére, különösen a hozzájárulásra és az álnevesített adatok kezelésére vonatkozó szabályok sérelme miatt (159). 2021 augusztusában a személyesadat-védelemmel foglalkozó bizottság lezárt három vállalat tevékenységeivel kapcsolatban egy másik vizsgálatot, amelynek eredménye korrekciós intézkedések és akár 6,47 milliárd von összegű bírság kiszabása (többek között amiatt, mert az egyéneket nem tájékoztatták a személyes adatok harmadik felekkel való közléséről, beleértve a harmadik országokba történő adattovábbítást is) (160). Dél-Korea már a közelmúltbeli reform előtt is jelentős eredményeket ért el a végrehajtás terén: a felelős hatóságok kihasználják a végrehajtási intézkedések teljes skáláját, ideértve a közigazgatási bírságokat, a korrekciós intézkedéseket, valamint a különböző adatkezelők, köztük a kommunikációs szolgáltatók (Korea kommunikációs bizottság), valamint a kereskedelmi szolgáltatók, a pénzügyi intézmények, a hatóságok, az egyetemek és a kórházak (Belügy- és Biztonsági Minisztérium) megnevezését és interneten megosztását (161). Ennek alapján a Bizottság megállapítja, hogy a koreai rendszer biztosítja az adatvédelmi szabályok hatékony gyakorlati végrehajtását, ezáltal lényegében az (EU) 2016/679 rendelet által biztosítottal egyenértékű védelmi szintet garantálva.

(129)

A megfelelő védelem, és különösen a személyhez fűződő jogok érvényesítésének biztosítása érdekében az érintettnek hatékony közigazgatási és bírósági jogorvoslatot kell biztosítani, beleértve a kártérítést.

(130)

A koreai rendszer különböző mechanizmusokat biztosít az egyének számára jogaik hatékony érvényesítésére és a (bírósági) jogorvoslatra.

(131)

Első lépésként azok az egyének, akik úgy vélik, hogy adatvédelmi jogaikat vagy érdekeiket megsértették, az érintett adatkezelőhöz fordulhatnak. A személyes adatok védelméről szóló törvény 30. cikke (1) bekezdésének 5. pontja szerint az adatvédelmi szabályzatnak többek között tájékoztatást kell tartalmaznia az egyén rendelkezésére álló jogokról és azok gyakorlásának módjáról. Emellett meg kell adnia a kapcsolattartási adatokat – például az adatvédelmi tisztviselő vagy az adatvédelemért felelős osztály nevét és telefonszámát – a panaszok (sérelmek) benyújtásának lehetővé tétele érdekében. Az adatkezelő szervezetén belül az adatvédelmi tisztviselő feladata a panaszok kezelése, a magánélet tiszteletben tartásához való jog sérelme esetén a korrekciós intézkedések elfogadása és a kárpótlás (a személyes adatok védelméről szóló törvény 31. cikke (2) bekezdésének 3. pontja és (4) bekezdése). Ez utóbbi például adatvédelmi incidens esetén releváns, mivel az adatkezelőnek tájékoztatnia kell az érintettet az esetleges károk bejelentéséhez szükséges kapcsolattartási pont(ok)ról (a személyes adatok védelméről szóló törvény 34. cikke (1) bekezdésének 5. pontja).

(132)

Emellett a személyes adatok védelméről szóló törvény számos jogorvoslati lehetőséget kínál az egyéneknek az adatkezelőkkel szemben. Először is, bármely személy, aki úgy véli, hogy az adatkezelő megsértette adatvédelmi jogait vagy érdekeit, bejelentheti az említett jogsértést közvetlenül a személyesadat-védelemmel foglalkozó bizottságnak és/vagy az említett bizottság által a panaszok fogadására és kezelésére kijelölt valamely szakosított intézménynek; ez magában foglalja a Koreai Internet- és Biztonsági Ügynökséget, amely e célból egy személyesadat-védelmi telefonos ügyfélszolgálatot (az úgynevezett „adatvédelmi telefonos ügyfélszolgálatot”) működtet (a személyes adatok védelméről szóló törvénynek a végrehajtási rendelet 59. cikkével összefüggésben értelmezett 62. cikke (1) és (2) bekezdése). Az adatvédelmi telefonos ügyfélszolgálat kivizsgálja és megállapítja a jogsértéseket, tanácsokat nyújt a személyes adatok kezelésével kapcsolatban (a személyes adatok védelméről szóló törvény 62. cikkének (3) bekezdése), és jelentheti a jogsértéseket a személyesadat-védelemmel foglalkozó bizottságnak (de maga nem hozhat végrehajtási intézkedéseket). Az adatvédelmi telefonos ügyfélszolgálathoz számos panasz/kérelem érkezik (pl. 2020-ban 177 457, 2019-ben 159 255, 2018-ban pedig 164 497) (162). A személyesadat-védelemmel foglalkozó bizottságtól kapott tájékoztatás szerint a bizottság 2020 augusztusa és 2021 augusztusa között mintegy 1 000 panaszt kapott. A panaszra válaszként a személyesadat-védelemmel foglalkozó bizottság javításra, korrekciós intézkedésekre, „vádlásra” vagy fegyelmi intézkedésre vonatkozó tanácsot adhat az illetékes nyomozóhatóságnak (beleértve az ügyészt is) (lásd a személyes adatok védelméről szóló törvény 61., 64. és 65. cikkét). A személyesadat-védelemmel foglalkozó bizottság határozatai (például a panasz kezelésének megtagadása vagy a panasz érdemi elutasítása) a közigazgatási peres eljárásról szóló törvény alapján megtámadhatók (163).

(133)

Másodszor, a személyes adatok védelméről szóló törvény 40-50. cikke és a törvény végrehajtási rendeletének 48-14–57. cikke szerint az érintettek igényeiket egy úgynevezett „vitaközvetítési bizottsághoz” terjeszthetik be, amely a személyesadat-védelemmel foglalkozó bizottság elnöke által a bizottság vezető végrehajtó szolgálatának tagjai közül kinevezett képviselőkből és bizonyos jogosult csoportokból az adatvédelmi tapasztalatok alapján kinevezett személyekből áll (lásd a személyes adatok védelméről szóló törvény 40. cikkének (2), (3) és (7) bekezdését, valamint a törvény végrehajtási rendeletének 48-14. cikkét) (164). A vitarendezési bizottság előtti közvetítés igénybevételének lehetősége alternatív jogorvoslati lehetőséget nyújt, de nem korlátozza az egyén azon jogát, hogy ehelyett a személyesadat-védelemmel foglalkozó bizottsághoz vagy bírósághoz forduljon. Az ügy kivizsgálása érdekében a bizottság felkérheti a jogvitában érintett feleket, hogy bocsássák rendelkezésre a szükséges anyagokat és/vagy felhívhatják az érintett tanúkat, hogy jelenjenek meg a bizottság előtt (a személyes adatok védelméről szóló törvény 45. cikke). Az ügy tisztázását követően a bizottság elkészíti a közvetítési döntés tervezetét (165), amellyel tagjai többségének egyet kell értenie. A közvetítési tervezetnek részét képezheti a jogsértés felfüggesztése, a szükséges jogorvoslatok (ideértve a kárpótlást vagy a kártérítést), valamint az azonos vagy hasonló jogsértés(ek) megismétlődésének megelőzéséhez szükséges intézkedések (a személyes adatok védelméről szóló törvény 47. cikkének (1) bekezdése). Amennyiben mindkét fél egyetért a közvetítésről szóló döntésben, az a bírósági egyezséggel megegyező joghatással bír (a személyes adatok védelméről szóló törvény 47. cikkének (5) bekezdése). Egyik felet sem akadályozza bírósági eljárás megindításában az, hogy a közvetítés folyamatban van, ilyen esetben az utóbbit felfüggesztik (lásd a személyes adatok védelméről szóló törvény 48. cikkének (2) bekezdését) (166). A személyesadat-védelemmel foglalkozó bizottság által kiadott éves adatok azt mutatják, hogy az egyének rendszeresen igénybe veszik a vitarendezési bizottság előtti eljárást, ami gyakran sikeres kimenetellel zárul. A bizottság például 2020-ban 126 ügyet intézett, amelyek közül 89-et a bizottság rendezett (77 esetben a felek már a közvetítési folyamat vége előtt megállapodásra jutottak, 12 esetben pedig a felek elfogadták a közvetítési javaslatot), ami 70,6 %-os közvetítési arányt eredményezett (167). A bizottság 2019-ben hasonlóképpen 139 ügyet intézett, amelyek közül 92-t rendezett, ami 62,2 %-os közvetítési arányhoz vezetett.

(134)

Továbbá, ha legalább 50 személy szenved kárt vagy adatvédelmi jogaik azonos (típusú) esemény következtében ugyanolyan vagy hasonló módon sérültek (168), az érintett vagy az adatvédelmi szervezet az említett gyűjtőhely nevében közvetítéssel történő kollektív vitarendezést kérhet; Más érintettek is kérhetik az említett, a vitarendezési bizottság által nyilvánosan bejelentett közvetítéshez való csatlakozást (a személyes adatok védelméről szóló törvény végrehajtási rendelete 49. cikkének (1)–(3) bekezdése, összefüggésben a végrehajtási rendelet 52-54. cikkével) (169). A vitarendezési bizottság kiválaszthat legalább egy olyan személyt, aki képviselő félként a legmegfelelőbben képviseli a közös érdeket (a személyes adatok védelméről szóló törvény 49. cikkének (4) bekezdése). Amennyiben az adatkezelő elutasítja a közvetítéssel történő kollektív vitarendezést vagy nem fogadja el a közvetítési döntést, bizonyos szervezetek (170) csoportos pert indíthatnak a jogsértés rendezésére (a személyes adatok védelméről szóló törvény 51–57. cikke).

(135)

Harmadszor, az egyénnek „kárt” okozó adatvédelmi incidens esetén az érintettnek joga van a megfelelő jogorvoslathoz, „gyors és tisztességes eljárás” keretében (a személyes adatok védelméről szóló törvény 4. cikkének 5. pontja, összefüggésben a törvény 39. cikkével) (171). Az adatkezelő a vétkesség („jogellenes szándék” vagy gondatlanság) hiányának bizonyításával mentesülhet. Amennyiben az érintett személyes adatainak elvesztése, ellopása, közlése, hamisítása, megváltoztatása vagy sérülése miatt kárt szenved, a bíróság több tényező figyelembevételével legfeljebb a tényleges kár háromszorosának megfelelő kártérítést állapíthat meg (a személyes adatok védelméről szóló törvény 39. cikkének (3) és (4) bekezdése). Alternatív megoldásként az érintett legfeljebb 3 millió von „észszerű összegre” tarthat igényt (a személyes adatok védelméről szóló törvény 39-2. cikkének (1) és (2) bekezdése). Ezen túlmenően a polgári törvénykönyv értelmében kártérítés követelhető „minden olyan személytől, aki szándékosan vagy gondatlanságból más személynek kárt okoz vagy sérülést okoz” (172), vagy olyan személytől, aki „másnak személyi sérülést, szabadsága vagy jó hírneve sérelmét, vagy valamilyen belső szenvedést és gyötrelmet okozott egy másik személynek” (173). Az adatvédelmi szabályok megsértéséből eredő ilyen szerződésen kívüli felelősséget a Legfelsőbb Bíróság megerősítette (174). Ha a kárt hatóság jogellenes cselekménye okozta, a kártérítési igény a károk állam általi megtérítéséről szóló törvény (175) alapján is benyújtható. A károk állam általi megtérítéséről szóló törvény szerinti követelést szakosodott „kártérítési tanácshoz” vagy közvetlenül a koreai bíróságokhoz lehet benyújtani (176). Az állami helytállási kötelezettség kiterjed a nem vagyoni károkra is (mint például a mentális szenvedés) (177). Ha a sértett külföldi állampolgár, a károk állam általi megtérítéséről szóló törvényt kell alkalmazni, amennyiben a külföldi származási országa ugyanígy biztosítja a koreai állampolgárok számára az állami kártérítést (178).

(136)

Negyedszer, a Legfelsőbb Bíróság elismerte, hogy az egyéneknek joguk van arra, hogy jogsértés megszüntetésére irányuló jogorvoslattal éljenek az alkotmányból eredő jogaik sérelme miatt, ideértve a személyes adatok védelméhez való jogot is (179). Ebben az összefüggésben a bíróság elrendelheti például, hogy az adatkezelők függesszék fel vagy állítsák le a jogellenes tevékenységeket. Ezen túlmenően az adatvédelmi jogok, köztük a személyes adatok védelméről szóló törvény által védett jogok polgári eljárásban érvényesíthetők. A magánélet védelmének a magánfelek közötti kapcsolatokra való eme horizontális alkalmazását a Legfelsőbb Bíróság is elismerte (180).

(137)

Végezetül, az egyének a büntetőeljárási törvény (223. cikk) alapján az ügyésznél vagy az igazságügyi rendészet tisztviselőnél büntető feljelentést tehetnek (181).

(138)

A koreai rendszer ezért különböző jogorvoslati lehetőségeket kínál a könnyen hozzáférhető, alacsony költségű lehetőségektől (például az adatvédelmi telefonos ügyfélszolgálattal való kapcsolatfelvételtől a (kollektív) közvetítésen keresztül) a közigazgatási (a személyesadat-védelemmel foglalkozó bizottság előtti) és bírósági eljárásokig, beleértve a kártérítés igénylésének lehetőségét is.

(139)

A Bizottság emellett értékelte a korlátozásokat és biztosítékokat, beleértve a koreai jog szerint elérhető felügyeleti és egyéni jogorvoslati mechanizmusokat a koreai gazdasági szereplőknek továbbított személyes adatoknak a közigazgatási szervek által közérdekből, különösen a bűnüldözés és a nemzetbiztonság céljából történő összegyűjtése és későbbi felhasználása vonatkozásában (kormányzati hozzáférés). Ebben a tekintetben a koreai kormány a legmagasabb miniszteri és hivatali szinten aláírt, a jelen határozat II. mellékletében található hivatalos nyilatkozatokat, biztosítékokat és kötelezettségvállalásokat tett a Bizottság felé.

(140)

Annak értékelése során, hogy azok a feltételek, amelyek mellett az e határozat alapján a Koreai Köztársaságba továbbított adatokhoz való kormányzati hozzáférés megfelel-e az (EU) 2016/679 rendelet 45. cikkének (1) bekezdése szerinti „lényegi egyenértékűségi” teszten, az Európai Unió Bíróságának az Alapjogi Chartára figyelemmel adott értelmezése szerint a Bizottság különösen a következő kritériumokat vette figyelembe.

(141)

Először is, a személyes adatok védelméhez való jog gyakorlása csak a törvény által korlátozható, és a beavatkozást lehetővé tevő jogalapnak magának kell meghatároznia az érintett jog gyakorlásával kapcsolatos korlátozás terjedelmét (182).

(142)

Másodszor, az arányosság követelményének való megfelelés érdekében, amely szerint egy demokratikus társadalomban a személyes adatok védelme alóli eltéréseknek és e védelem korlátozásainak a feltétlenül szükséges mérték határain belül kell maradniuk az Unió által elismertekkel egyenértékű általános érdekű célok teljesítéséhez, az érintett harmadik ország beavatkozást lehetővé tevő jogszabályainak egyértelmű és pontos szabályokat kell meghatározniuk a szóban forgó intézkedések alkalmazási körét és alkalmazását illetően, és elő kell írniuk minimumbiztosítékokat annak érdekében, hogy azok a személyek, akiknek az adatait továbbították, elegendő garanciákkal rendelkezzenek, amelyek lehetővé teszik a személyes adataiknak a visszaélések veszélyével szembeni hatékony védelmét (183). A jogszabályoknak meg kell jelölniük különösen, hogy milyen körülmények között és milyen feltételek mellett lehet az említett adatok kezelését előíró intézkedést meghozni (184), valamint az említett követelmények teljesítését független felügyeletnek kell alávetni (185).

(143)

Harmadszor, e szabályozásnak és követelményeinek a belső jog szerint jogilag kötelező erejűnek kell lenniük. Ez elsősorban a szóban forgó harmadik ország hatóságait érinti, de ezeknek a jogi követelményeknek e hatóságokkal szemben is végrehajthatónak kell lenniük (186). Az érintetteknek különösen rendelkezniük kell azzal a lehetőséggel, hogy független és pártatlan bíróság előtt éljenek jogorvoslati lehetőségekkel abból a célból, hogy a rájuk vonatkozó személyes adatokhoz hozzáférést kapjanak, vagy az említett adatokat helyesbíttetni vagy töröltetni tudják (187).

(144)

A személyes adatoknak a koreai hatóságok általi gyűjtésére és későbbi felhasználására vonatkozó korlátozások és biztosítékok az átfogó alkotmányos keretből, a büntetőjog és a nemzetbiztonság területén folytatott tevékenységeiket szabályozó konkrét jogszabályokból, valamint a személyes adatok kezelésére kifejezetten alkalmazandó szabályokból eredeztethetők.

(145)

Először is, a koreai hatóságok személyes adatokhoz való hozzáférését a koreai alkotmányból következően a jogszerűség, szükségesség és arányosság általános elve szabályozza (188). Különösen az alapvető jogok és szabadságok (többek között a magánélet tiszteletben tartásához való jog és a levéltitokhoz való jog) (189) törvényben és csak akkor korlátozható, ha a nemzetbiztonság vagy a közrend fenntartása érdekében szükséges. Az említett korlátozások nem érinthetik a szóban forgó jog vagy szabadság lényegét. Konkrétan az átvizsgálást és lefoglalást illetően az Alkotmány úgy rendelkezik, hogy azokra csak a törvényben előírtak szerint, a bíró által kiadott parancs alapján és szabályszerű eljárás keretében kerülhet sor (190). Végezetül, az egyének az Alkotmánybíróság előtt hivatkozhatnak jogaikra és szabadságjogaikra, ha úgy vélik, hogy a hatóságok hatáskörük gyakorlása során megsértették azokat (191). Hasonlóképpen, kártérítésre jogosultak azok az egyének, akik valamely köztisztviselő által hivatali feladataik ellátása során elkövetett jogellenes cselekmény miatt kárt szenvedtek (192).

(146)

Másodszor, amint azt a 3.2.1. és a 3.3.1. szakasz részletesebben kifejti, a (145) preambulumbekezdésben említett általános elvek a bűnüldöző hatóságok és a nemzetbiztonsági hatóságok hatáskörét szabályozó konkrét jogszabályokban is tükröződnek. A nyomozások tekintetében például a büntetőeljárási törvény (a továbbiakban: büntetőeljárási törvény) úgy rendelkezik, hogy csak akkor lehet kényszerintézkedéseket hozni, ha azt a büntetőeljárási törvény kifejezetten előírja, és a nyomozás céljának eléréséhez szükséges lehető legszűkebb mértékben (193). Hasonlóképpen, a hírközlési adatok védelméről szóló törvény (a továbbiakban: a hírközlési adatok védelméről szóló törvény) 3. cikke tiltja a magáncélú kommunikációhoz való hozzáférést, kivéve a törvény alapján és az abban foglalt korlátozások és biztosítékok melletti hozzáférést. A nemzetbiztonság területén a Nemzeti Hírszerző Szolgálatról szóló törvény (a továbbiakban: Nemzeti Hírszerző Szolgálatról szóló törvény) úgy rendelkezik, hogy a kommunikációba vagy helyadatokba való betekintésnek meg kell felelnie a jogszabályoknak, és büntetőjogi szankciókkal kell sújtania a hatáskörrel való visszaélést és a törvénysértéseket (194).

(147)

Harmadszor, a személyes adatok hatóságok általi – többek között bűnüldözési és nemzetbiztonsági célból történő – kezelésére vonatkoznak a személyes adatok védelméről szóló törvény adatvédelmi szabályai (195). Általános elvként a személyes adatok védelméről szóló törvény 5. cikkének (1) bekezdése előírja a hatóságok számára, hogy dolgozzanak ki szabályzatokat „a személyes adatokkal való visszaélés és azok más célra történő felhasználása, a tolakodó megfigyelés és nyomon követés stb. megelőzésére, valamint az emberi méltóság és az egyén magánéletének védelme erősítésére.” Emellett minden adatkezelőnek olyan módon kell a személyes adatokat kezelnie, hogy az a legkisebbre mérsékelje az érintett magánéletének sérelmét (az általános adatvédelmi rendelet 3. cikkének (6) bekezdése).

(148)

A személyes adatok védelméről szóló törvény 2. szakaszban részletesen ismertetett valamennyi követelménye vonatkozik a személyes adatok bűnüldözési célú feldolgozására. Ez magában foglalja az alapvető elveket (például a jogszerűséget és a méltányosságot, a célhoz kötöttséget, a pontosságot, az adattakarékosságot, a tárolás korlátozását, a biztonságot és az átláthatóságot), kötelezettségeket (például az adatvédelmi incidensről történő értesítés és a különleges adatok tekintetében) és jogokat (hozzáféréshez, helyesbítéshez, törléshez és az adatkezelés felfüggesztéséhez való jog).

(149)

Míg a személyes adatok nemzetbiztonsági célú feldolgozására a személyes adatok védelméről szóló törvény rendelkezéseinek szűkebb köre vonatkozik, az alapelvek, valamint a felügyeletre, végrehajtásra és jogorvoslatra vonatkozó szabályok érvényesülnek (196). Konkrétabban, a személyes adatok védelméről szóló törvény 3. és 4. cikke meghatározza az általános adatvédelmi elveket (jogszerűség és méltányosság, célhoz kötöttség, pontosság, adattakarékosság, biztonság és átláthatóság) és egyéni jogokat (tájékoztatáshoz való jog, hozzáférési jog, valamint a helyesbítéshez, törléshez és az adatkezelés felfüggesztéséhez való jog) (197). A személyes adatok védelméről szóló törvény 4. cikkének (5) bekezdése továbbá biztosítja az egyének számára a személyes adataik kezeléséből eredő károk azonnali és tisztességes eljárásban történő, megfelelő jóvátételéhez való jogot. Ezt konkrétabb kötelezettségek egészítik ki arra vonatkozóan, hogy a személyes adatokat csak a tervezett cél eléréséhez szükséges legkisebb mértékben és legrövidebb ideig kell feldolgozni, meg kell hozni a biztonságos adatkezeléshez és a megfelelő adatfeldolgozáshoz szükséges intézkedéseket (például technikai, irányítási és fizikai biztosítékokat), valamint intézkedéseket kell hozni az egyéni sérelmek (panaszok) megfelelő kezelésére (198). Végezetül a jogszerűség, a szükségesség és az arányosság koreai alkotmányban foglalt általános elve (lásd a (145) preambulumbekezdést) a személyes adatok nemzetbiztonsági célú feldolgozására is vonatkozik.

(150)

Az egyének jogorvoslat érdekében hivatkozhatnak ezen általános korlátozásokra és biztosítékokra független felügyeleti szervek (pl. a személyesadat-védelemmel foglalkozó bizottság és/vagy a nemzeti emberi jogi bizottság, lásd a (177)–(178) preambulumbekezdést) és a bíróságok (lásd a (179)–(183) preambulumbekezdést) előtt.

(151)

A Koreai Köztársaság joga számos korlátozást állapít meg a személyes adatokhoz való hozzáférésre és azok bűnüldözési célokra történő felhasználására, és ezen a területen olyan felügyeleti és jogorvoslati mechanizmusokat biztosít, amelyek összhangban állnak az e határozat (141)–(143) preambulumbekezdésében említett követelményekkel. Az említett hozzáférés feltételeit és az e hatáskörök alkalmazására vonatkozó biztosítékokat a következő szakaszok részletesen értékelik.

(152)

A koreai adatkezelők által kezelt azon személyes adatokat, amelyek e határozat alapján (199) az Unióból továbbításra kerülnek, a koreai hatóságok (a büntetőeljárási törvény alapján) bűnüldözési célból házkutatással vagy lefoglalással, hírközlési adatokhoz való hozzáféréssel (a hírközlési adatok védelméről szóló törvény alapján), vagy az előfizetői adatok önkéntes adatközlés iránti kérelmek útján történő megszerzésével (a távközlési törvény alapján) összefüggésben gyűjthetik (200).

(153)

A büntetőeljárási törvény előírja, hogy házkutatásra vagy lefoglalásra csak akkor kerülhet sor, ha egy személyt bűncselekmény elkövetésével gyanúsítanak, az a nyomozáshoz szükséges, valamint a nyomozás és az átvizsgálandó személy, illetve az átvizsgálandó vagy elfogandó személy közötti kapcsolat megállapításra kerüljön (201). Ezenkívül házkutatás vagy lefoglalás (mint bármely kényszerintézkedés) csak a szükséges legszűkebb mértékben engedélyezhető/foganatosítható (202). Ha a kutatás számítógépes lemezt vagy más adathordozót érint, főszabály szerint csak magát a szükséges (másolt vagy kinyomtatott) adatokat fogják lefoglalni, nem pedig az egész adathordozót (203). Ez utóbbit csak akkor lehet lefoglalni, ha a szükséges adatok külön történő kinyomtatása vagy lemásolása lényegében lehetetlennek bizonyul, vagy ha a kutatás céljának más módon történő megvalósítása lényegében kivitelezhetetlen (204). A büntetőeljárási törvény ezért egyértelmű és pontos szabályokat állapít meg ezen intézkedések hatályára és alkalmazására vonatkozóan, ezáltal biztosítva, hogy az egyének jogaiba házkutatás vagy lefoglalás esetén történő beavatkozás a konkrét nyomozáshoz szükséges mértékre korlátozódjon, és arányban álljon az elérni kívánt céllal.

(154)

Ami az eljárási biztosítékokat illeti, a büntetőeljárási törvény előírja, hogy házkutatás vagy lefoglalás végrehajtásához bírósági parancsot kell beszerezni (205). A jogosulatlan házkutatás vagy lefoglalás csak kivételesen megengedett, nevezetesen sürgős körülmények között (206), a helyszínen a bűncselekménnyel gyanúsított személy letartóztatásának vagy őrizetbe vételének pillanatában (207), vagy ha a bűncselekmény elkövetésével gyanúsított személy vagy harmadik személy (a személyes adatok tekintetében maga az érintett személy) eldobja vagy önként előadja a tárgyat (208). Az illegális átvizsgálásokat és lefoglalásokat büntetőjogi szankció (209) sújtja, és a büntetőeljárási törvény sérelmével szerzett minden bizonyíték elfogadhatatlannak minősül (210). Végül az érintetteket minden esetben haladéktalanul (211) értesíteni kell a házkutatásról vagy lefoglalásról (ideértve adataik lefoglalását is), ami viszont megkönnyíti az egyén anyagi jogainak és a jogorvoslathoz való jogának gyakorlását (lásd különösen a lefoglalási parancs végrehajtása megtámadásának lehetőségét, lásd a (180) preambulumbekezdést).

(155)

A hírközlési adatok védelméről szóló törvény alapján a koreai bűnüldöző hatóságok kétféle intézkedést hozhatnak (212): egyrészt a „metaadatok” (213) gyűjtését, amely magában foglalja a hírközlés időpontját, annak kezdő és befejezési időpontját, a kimenő és bejövő hívások számát, valamint a másik fél előfizetői számát, a használat gyakoriságát, a távközlési szolgáltatások használatára vonatkozó naplófájlokat és a helyadatokat (például a jeleket fogadó átjátszó tornyokról); másrészt a „kommunikációt korlátozó intézkedéseket”, amelyek kiterjednek mind a hagyományos postai küldemények tartalmának elfogására, mind pedig a távközlési tartalmak közvetlen lehallgatására (214).

(156)

A metaadatokhoz csak akkor lehet hozzáférni, ha az nyomozás lefolytatásához vagy ítélet végrehajtásához szükséges (215), bíróság által kibocsátott parancs alapján (216). E tekintetben a hírközlési adatok védelméről szóló törvény előírja, hogy a parancs iránti kérelemben (pl. a kérelem indokairól, a célszeméllyel/előfizetővel való kapcsolatról és a szükséges adatokról) és magában a parancsban (pl. az intézkedés céljáról, célpontjáról és alkalmazási köréről) részletes információkat kell szolgáltatni (217). Az indokolatlan adatgyűjtésre csak akkor kerülhet sor, ha a sürgősség miatt nem lehet bírósági engedélyt szerezni, amely esetben a parancsot az adatkérést követően haladéktalanul be kell szerezni és közölni kell a távközlési szolgáltatóval (218). Ha a bíróság megtagadja az utólagos engedély megadását, a gyűjtött adatokat meg kell semmisíteni (219).

(157)

Ami a metaadatok gyűjtésére vonatkozó további biztosítékokat illeti, a hírközlési adatok védelméről szóló törvény külön nyilvántartási és átláthatósági követelményeket ír elő (220). A bűnüldöző hatóságoknak (221) és a távközlési szolgáltatóknak (222) egyaránt nyilvántartást kell vezetniük a megkeresésekről és a közlésekről. Emellett a bűnüldöző hatóságoknak főszabály szerint értesíteniük kell az egyéneket arról, hogy a metaadataikat összegyűjtötték (223). Az említett értesítés csak kivételes körülmények között, az illetékes kerületi ügyészség igazgatójának engedélyével elhalasztható (224). Ilyen engedély csak akkor adható meg, ha az értesítés valószínűsíthetően (1) veszélyezteti a nemzetbiztonságot, a közbiztonságot és a közrendet, (2) halált vagy testi sérülést okoz, (3) akadályozza a tisztességes bírósági eljárást (például bizonyítékok megsemmisítéséhez vagy a tanúk megfenyegetéséhez vezet), vagy (4) rágalmazza a gyanúsítottat, a sértettet vagy az üggyel kapcsolatban álló más személyeket, vagy betolakodik magánéletükbe. Ezekben az esetekben a halasztás oka(i) megszűnésétől számított 30 napon belül az értesítést ki kell küldeni (225). Az értesítés után az egyéneknek joguk van a tájékoztatásra adataik gyűjtésének okairól (226).

(158)

Szigorúbb szabályok vonatkoznak a kommunikációt korlátozó intézkedésekre, amelyek csak akkor alkalmazhatók, ha alapos okkal feltételezhető, hogy a hírközlési adatok védelméről szóló törvényben kifejezetten felsorolt bizonyos súlyos bűncselekményeket terveznek, követnek vagy követtek el (227). Ezenkívül a kommunikációt korlátozó intézkedéseket csak végső esetben lehet meghozni, és csak akkor, ha más módon nehézségbe ütközik a bűncselekmény elkövetésének megakadályozása, a bűncselekmény elkövetőjének letartóztatása vagy bizonyíték gyűjtése (228). Amint már nincs az intézkedésekre szükség, azokat haladéktalanul meg kell szüntetni annak biztosítása érdekében, hogy a hírközlés titkosságának sérelme a lehető legkisebb legyen (229). A kommunikációt korlátozó intézkedések révén jogellenesen megszerzett információk bírósági vagy fegyelmi eljárás során bizonyítékként nem fogadhatók el (230).

(159)

Ami az eljárási biztosítékokat illeti, a hírközlési adatok védelméről szóló törvény előírja, hogy a kommunikációt korlátozó intézkedések végrehajtása érdekében bírósági parancsot kell beszerezni (231). A hírközlési adatok védelméről szóló törvény újfent előírja, hogy a parancs iránti kérelemnek és magának a parancsnak részletes információkat (232) kell tartalmaznia, beleértve a kérelem indokolását, valamint a gyűjtendő kommunikációt (amely kötelezően a nyomozás alatt álló gyanúsított kommunikációja) (233). Parancs nélkül ilyen intézkedések csak a szervezett bűnözés közvetlen veszélye esetén, illetve olyan súlyos bűncselekmény esetén hozhatók meg, amely közvetlenül halált vagy súlyos sérülést okozhat, és olyan veszélyhelyzet áll fenn, amely lehetetlenné teszi a rendes eljárás lefolytatását (234). Ebben az esetben azonban a parancs iránti kérelmet közvetlenül az intézkedés meghozatalát követően be kell nyújtani (235). A közlést korlátozó intézkedéseket legfeljebb két hónapon át (236) lehet végrehajtani, és azok csak bírósági jóváhagyással hosszabbíthatók meg, ha az intézkedések végrehajtásának feltételei továbbra is fennállnak (237). A meghosszabbított időtartam nem haladhatja meg az egy évet, illetve egyes különösen súlyos bűncselekmények (például felkeléssel, külföldi agresszióval, nemzetbiztonsággal kapcsolatos bűncselekmények) esetében a három évet (238).

(160)

A metaadatok gyűjtéséhez hasonlóan a hírközlési adatok védelméről szóló törvény előírja a távközlési szolgáltatók (239) és a bűnüldöző hatóságok (240) számára, hogy nyilvántartást kell vezetniük a kommunikáció korlátozására irányuló intézkedések végrehajtásáról, és rendelkezik az érintett egyén értesítéséről, ami kivételesen elhalasztható, ha fontos közérdekből szükséges (241).

(161)

Végezetül, a hírközlési adatok védelméről szóló törvény több korlátozásának és biztosítékának (például a parancs megszerzésére, a nyilvántartás vezetésére és az egyén értesítésére vonatkozó kötelezettségek) be nem tartása büntetőjogi szankciókkal jár, mind a metaadatok gyűjtése, mind pedig a kommunikációt korlátozó intézkedések alkalmazása tekintetében (242).

(162)

A bűnüldöző hatóságok azon hatáskörét tehát, hogy a hírközlési adatok védelméről szóló törvény alapján hírközlési adatokat gyűjtsenek (mind a kommunikáció tartalma, mind a metaadatok tekintetében), egyértelmű és pontos szabályok határolják be, és azokra számos biztosíték vonatkozik. Ezek a biztosítékok garantálják különösen az említett intézkedések végrehajtásának felügyeletét, mind előzetesen (előzetes bírósági jóváhagyás révén), mind utólag (nyilvántartás-vezetési és jelentéstételi követelmények révén), és megkönnyítik az egyének hatékony jogorvoslathoz való hozzáférését (annak biztosításával, hogy tájékoztatást kapnak adataik gyűjtéséről).

(163)

A (153)–(162) preambulumbekezdésben ismertetett kényszerintézkedéseken túl a koreai bűnüldöző hatóságok önkéntes alapon „hírközlési adatokat” kérhetnek a távközlési szolgáltatóktól büntetőeljárás, nyomozás vagy ítélet végrehajtása céljából (a távközlési törvény 83. cikkének (3) bekezdése). Ez a lehetőség csak korlátozott adatkészletek, azaz a felhasználók neve, rezidensek regisztrációs száma, címe és telefonszáma, a felhasználói előfizetés vagy annak megszüntetése időpontja, valamint a felhasználói azonosító kódok (azaz a számítógépes rendszerek vagy kommunikációs hálózatok jogos felhasználóinak azonosítására használt kódok) tekintetében áll fenn (243). Mivel csak azok a személyek minősülnek „felhasználónak”, akik egy koreai távközlési szolgáltatótól közvetlenül vesznek igénybe szolgáltatásokat (244), azok az uniós polgárok, akiknek az adatait a Koreai Köztársaságba továbbították, általában nem tartoznak ebbe a kategóriába (245).

(164)

Az említett önkéntes közlésre különböző korlátozások vonatkoznak, mind a bűnüldöző hatóságok hatásköreinek gyakorlása, mind a távközlési szolgáltató válasza tekintetében. Általános követelményként a bűnüldöző hatóságoknak a szükségesség és arányosság alkotmányos elvével összhangban kell eljárniuk (az Alkotmány 12. cikkének (1) bekezdése és 37. cikkének (2) bekezdése), ideértve azt az esetet is, amikor önkéntes alapon kérnek információt. Emellett meg kell felelniük a személyes adatok védelméről szóló törvénynek, különösen azzal, hogy csak a jogszerű cél eléréséhez feltétlenül szükséges személyes adatokat gyűjtik oly módon, hogy a lehető legkisebbre csökkentsék az egyének magánéletére gyakorolt hatást (például a személyes adatok védelméről szóló törvény 3. cikkének (1) és (6) bekezdése). Konkrétabban, a távközlési adatoknak a távközlési törvény alapján történő megszerzésére irányuló kéréseket írásban kell benyújtani, és meg kell adni a kérés indokait, az érintett felhasználóval fennálló kapcsolatot és a kért adatok körét (246).

(165)

A távközlési szolgáltatók nem kötelesek eleget tenni az említett kéréseknek, és azt csak a személyes adatok védelméről szóló törvénnyel összhangban tehetik meg. Ez azt jelenti különösen, hogy mérlegelniük kell a szóban forgó különböző érdekeket, és nem adhatnak át adatokat, ha ez valószínűleg méltánytalanul sértené az egyén vagy egy harmadik fél érdekeit (247). Ez lenne a helyzet például akkor, ha egyértelmű, hogy a megkereső hatóság visszaélt a hatáskörével (248). A távközlési szolgáltatóknak nyilvántartást kell vezetniük a távközlési törvény szerinti közlésekről, és évente kétszer jelentést kell tenniük a tudományügyért és IKT-ért felelős miniszternek (249).

(166)

Emellett a 2021-5. sz. értesítés 3. szakaszának (I. melléklet) megfelelően a távközlési szolgáltatóknak főszabály szerint értesíteniük kell az érintett személyt, ha egy kérésnek önkéntesen eleget tesznek (250). Ez pedig lehetővé teszi az egyén számára jogainak gyakorlását, és hogy adatai jogellenes közlése esetén jogorvoslatot kapjon az adatkezelővel (például az adatoknak a személyes adatok védelméről szóló törvény sérelmével történő közlése vagy egy egyértelműen aránytalan kérés teljesítése miatt) vagy a bűnüldöző hatósággal szemben (például a szükséges és arányos mérték túllépése vagy a távközlési törvény eljárási követelményeinek be nem tartása miatt).

(167)

A koreai bűnüldöző hatóságok által gyűjtött személyes adatok feldolgozására a személyes adatok védelméről szóló törvény valamennyi követelménye vonatkozik, többek között a célhoz kötöttség (a személyes adatok védelméről szóló törvény 3. cikkének (1)–(2) bekezdése), a felhasználás jogszerűsége és a harmadik felek részére történő átadás (a személyes adatok védelméről szóló törvény 15., 17. és 18. cikke), adatok nemzetközi továbbítása (a személyes adatok védelméről szóló törvény 17 és 18. cikke, a 2021-5. értesítés 2. szakaszával összefüggésben (251)), az arányosság/adattakarékosság (a személyes adatok védelméről szóló törvény 3. cikkének (1) és (6) bekezdése) és a tárolás korlátozása (a személyes adatok védelméről szóló törvény 21. cikke) (252) tekintetében.

(168)

A kommunikációt korlátozó intézkedések végrehajtása révén megszerzett közlések tartalma tekintetében azok lehetséges felhasználását a hírközlési adatok védelméről szóló törvény kifejezetten korlátozza a súlyos bűncselekmények kivizsgálására, büntetőeljárás alá vonására vagy megelőzésére (253); az ugyanazon bűncselekményekkel kapcsolatos fegyelmi eljárásokra; a kommunikációban részt vevő fél által előterjesztett kártérítési igényekre, vagy más jogszabályokban kifejezetten megengedett esetekre (254). Ezenkívül az interneten keresztül továbbított távközlési tartalmak csak a kommunikációt korlátozó intézkedéseket (255) engedélyező bíróság jóváhagyásával őrizhetők meg azzal a céllal, hogy azokat súlyos bűncselekmények kivizsgálására, büntetőeljárás alá vonására vagy megelőzésére használják fel (256). Általánosabban fogalmazva, a hírközlési adatok védelméről szóló törvény tiltja a kommunikációt korlátozó intézkedésekből származó bizalmas információk közlését, és ezen információk az intézkedések hatálya alá tartozók jóhírnevének csorbítására történő felhasználását (257).

(169)

Koreában a bűnüldöző hatóságok tevékenységét különböző szervek felügyelik (258).

(170)

Először is, a rendőrség egy főellenőr általi belső felügyelet alatt áll (259), aki a jogszerűség ellenőrzését végzi, többek között az emberi jogok esetleges sérelme tekintetében is. A főellenőr intézményét a közszféra ellenőrzéseiről szóló törvény végrehajtására hozták létre, amely törvény ösztönzi az önellenőrző szervek létrehozását, és egyedi követelményeket állapít meg összetételükre és feladataikra vonatkozóan. A törvény különösen azt írja elő, hogy az önellenőrző szerv vezetőjét az illetékes hatóságon kívülről (pl. korábbi bírák, professzorok) két-öt évre nevezzék ki (260), csak alapos okból (például egészségügyi okokból nem képes ellátni feladataikat, vagy fegyelmi eljárás alá vonva) (261) legyen felmenthető, és a lehető legnagyobb mértékű függetlenséget élvezzen (262). Az önellenőrzés akadályozása közigazgatási bírsággal sújtható (263). Az ellenőrzési jelentéseket (amelyek tartalmazhatnak ajánlásokat, fegyelmi intézkedés iránti kéréseket, kártérítési vagy korrekciós kéréseket) megküldik az érintett hatóság vezetőjének, a Számvevőszéknek (264), és általában azokat nyilvánosságra is hozzák (265). A jelentés végrehajtásának eredményeiről a Számvevőszéket is értesíteni kell (266) (lásd a Számvevőszék felügyeleti szerepéről és hatásköréről szóló (173) preambulumbekezdést).

(171)

Másodszor, a személyesadat-védelemmel foglalkozó bizottság felügyeli, hogy a bűnüldöző hatóságok által végzett adatfeldolgozás megfelel-e a személyes adatok védelméről szóló törvénynek és az egyének magánéletét védő egyéb jogszabályoknak, beleértve a 3.2.1. szakaszban ismertetett, a (elektronikus) bizonyítékok bűnüldözési célú gyűjtését szabályozó jogszabályokat (267). Mivel a személyesadat-védelemmel foglalkozó bizottság általi felügyelet kiterjed az adatgyűjtés és -kezelés jogszerűségére és tisztességességére (a személyes adatok védelméről szóló törvény 3. cikkének (1) bekezdése), amely sérül, ha a személyes adatokhoz való hozzáférés és azok felhasználása az említett jogszabályok sérelmével történik (268), a személyesadat-védelemmel foglalkozó bizottság a 3.2.1. szakaszban ismertetett korlátozásoknak és biztosítékoknak való megfelelést is vizsgálhatja és kikényszerítheti (269). E felügyeleti szerepkör gyakorlása során a személyesadat-védelemmel foglalkozó bizottság a 2.4.2. szakaszban részletesen ismertetett valamennyi vizsgálati és korrekciós hatáskörét felhasználhatja. A személyesadat-védelemmel foglalkozó bizottság már a személyes adatok védelméről szóló törvény közelmúltbeli reformja (azaz az állami szektorra vonatkozó korábbi felügyeleti szerepe) előtt számos felügyeleti tevékenységet végzett a személyes adatoknak a bűnüldöző hatóságok általi kezelése terén, például a gyanúsítottak kihallgatásával (2013-16. sz. ügy, 2013. augusztus 26.), a közigazgatási bírságok kiszabásáról szóló értesítésekkel (2015-02-04. sz. ügy, 2015. január 26.), az adatok más hatóságokkal való megosztásával (2018-15-146. sz. ügy, 2018. július 9., 2018-25-308. sz. ügy, 2018. december 10.; 2019-02-015. sz. ügy, 2019. január 29.), ujjlenyomatok vagy fényképek gyűjtésével (2019-17-273. sz. ügy, 2019. szeptember 9.), drónok használatával (2020/01-004. sz. ügy, 2020. január 13.) kapcsolatban. Ezekben az ügyekben a személyesadat-védelemmel foglalkozó bizottság vizsgálta a személyes adatok védelméről szóló törvény több rendelkezésének (pl. az adatkezelés jogszerűsége, a célhoz kötöttség és az adattakarékosság elve), valamint más jogszabályok – például a büntetőeljárási törvény – vonatkozó rendelkezéseinek való megfelelést, és szükség esetén ajánlásokat adott ki annak érdekében, hogy az adatkezelést összhangba hozzák az adatvédelmi követelményekkel.

(172)

Harmadszor, független felügyeletet lát el a Nemzeti Emberi Jogi Bizottság (a továbbiakban: Nemzeti Emberi Jogi Bizottság) (270), amely az Alkotmány 10-22. cikkében foglalt alapvető jogok védelmére vonatkozó általános megbízatása részeként vizsgálhatja a magánélethez és a magánélethez való jog sérelmét. A Nemzeti Emberi Jogi Bizottság 11 biztosból áll, akiknek meghatározott szakképzettséggel kell rendelkezniük (271), és akiket a köztársasági elnök a törvényben meghatározott eljárások szerint nevez ki. Különösen négy biztost neveznek ki a Nemzetgyűlés, négyet a köztársasági elnök jelölése, hármat pedig a Legfelsőbb Bíróság elnökének jelölése alapján (272). Az elnököt a köztársasági elnök nevezi ki a biztosok közül, és a Nemzetgyűlésnek meg kell erősítenie (273). A biztosokat (beleértve az elnököt is) hároméves, megújítható időtartamra nevezik ki, és csak akkor menthetők fel, ha szabadságvesztésre ítélik őket, vagy hosszan tartó fizikai vagy mentális legyengülés miatt már nem képesek feladataik ellátására (ez esetben a biztosok kétharmadának kell a felmentésük mellett szavaznia) (274). A vizsgálat részeként a Nemzeti Emberi Jogi Bizottság kérheti a vonatkozó anyagok benyújtását, ellenőrzéseket végezhet és tanúként beidézhet magánszemélyeket (275). A korrekciós hatásköröket illetően a Nemzeti Emberi Jogi Bizottság (nyilvános) ajánlásokat adhat ki konkrét szabályzatok és gyakorlatok fejlesztésére vagy kiigazítására, amelyekre a hatóságoknak egy végrehajtási tervre vonatkozó javaslattal kell válaszolniuk (276). Ha az érintett hatóság az ajánlásokat nem hajtja végre, erről tájékoztatnia kell a Bizottságot (277), amely ezt a mulasztást a Nemzetgyűlés tudomására és/vagy nyilvánosságra hozhatja. A koreai kormány hivatalos képviselete szerint (a II. melléklet 2.3.5. szakasza) a koreai hatóságok általánosságban megfelelnek a Nemzeti Emberi Jogi Bizottság ajánlásainak, és erős ösztönzőjük van erre, mivel az ajánlások végrehajtását a Miniszterelnökség felügyelete alatt végzett általános és folyamatos értékelés részeként veszik figyelembe. A tevékenységeire vonatkozó éves adatok azt jelzik, hogy a Nemzeti Emberi Jogi Bizottság aktívan felügyeli a bűnüldöző hatóságok tevékenységét, akár egyedi petíciók alapján, akár hivatalból indított vizsgálatok révén (278).

(173)

Negyedszer, a hatóságok tevékenysége jogszerűségének általános felügyeletét a Számvevőszék látja el, amely az állam bevételeit és kiadásait vizsgálja, és általánosabb értelemben ellenőrzi a hatóságok feladatainak teljesítését a közigazgatás működésének javítása érdekében (279). A Számvevőszék hivatalosan a Koreai Köztársaság elnökének irányítása alatt jött létre, de feladatai tekintetében önálló jogállással rendelkezik (280). Ezenkívül teljes függetlenséget élvez személyzetének kinevezése, felmentése és megszervezése, valamint költségvetésének összeállítása tekintetében (281). A Számvevőszék egy elnökből (amelyet a köztársasági elnök nevez ki a Nemzetgyűlés egyetértésével) (282) és hat biztosból (a köztársasági elnök által az elnök javaslata alapján kinevezett) hat biztosból áll (283), akiknek törvényben meghatározott szakképesítéssel kell rendelkezniük (284), és felmentésük csak közjogi felelősségre vonás, szabadságvesztés büntetés kiszabása esetén vagy akkor lehetséges, ha hosszú távú szellemi vagy fizikai legyengülés miatt nem képesek ellátni feladataikat (285). A Számvevőszék évente általános ellenőrzést végez, de külön ellenőrzéseket is végezhet a különleges érdeklődésre számot tartó ügyekben. Az ellenőrzés vagy vizsgálat során a Számvevőszék kérheti dokumentumok benyújtását, és kérheti magánszemélyek megjelenését (286). A Számvevőszék ajánlásokat adhat ki, fegyelmi intézkedéseket kérhet, vagy büntető feljelentést tehet (287).

(174)

Végezetül a Nemzetgyűlés látja el a hatóságok parlamenti felügyeletét a tevékenységükkel kapcsolatos vizsgálatok (288) és ellenőrzések (289) révén. Kérheti dokumentumok feltárását, tanúkat megjelenésre kényszeríthet (290), korrekciós intézkedéseket javasolhat (ha arra a következtetésre jut, hogy jogellenes vagy szabálytalan tevékenység folyt) (291), és megállapításainak eredményeit nyilvánosságra hozhatja (292). Amennyiben a Nemzetgyűlés korrekciós intézkedések meghozatalát kéri – amelyek közé tartozhat például a kártérítés megítélése, fegyelmi eljárás lefolytatása vagy belső eljárások javítása –, az érintett hatóság köteles haladéktalanul intézkedni, és annak eredményéről a Nemzetgyűlésnek jelentést tenni (293).

(175)

A koreai rendszer különböző (bírósági) jogorvoslati lehetőségeket kínál, többek között kártérítési lehetőséget.

(176)

Először is, a személyes adatok védelméről szóló törvény a bűnüldözési célból feldolgozott személyes adatok esetében az egyének számára biztosítja a hozzáférés, kijavítás, törlés és adatkezelés felfüggesztése jogát (294).

(177)

Másodszor, az egyének igénybe vehetik a személyes adatok védelméről szóló törvény által kínált különböző jogorvoslati mechanizmusokat, ha adataikat valamely bűnüldöző hatóság a személyes adatok védelméről szóló törvény megsértésével vagy a személyes adatok gyűjtésére vonatkozó, más jogszabályokban (pl. büntetőeljárási törvény vagy a hírközlési adatok védelméről szóló törvény, lásd a (171) preambulumbekezdést) előírt korlátozások és biztosítékok sérelmével kezelte. Az egyének panaszt nyújthatnak be a személyesadat-védelemmel foglalkozó bizottsághoz (többek között a Koreai Internet- és Biztonsági Ügynökség által működtetett adatvédelmi telefonos ügyfélszolgálaton keresztül) (295) vagy a személyes adatokkal kapcsolatos jogvitákban közvetítéssel foglalkozó bizottságnál (296). Ezekre a jogorvoslati lehetőségekre nem vonatkoznak további elfogadhatósági követelmények. A közigazgatási peres eljárásról szóló törvény alapján az egyének továbbá fellebbezhetnek/megtámadhatják a személyesadat-védelemmel foglalkozó bizottság döntéseit vagy mulasztását (lásd a (132) preambulumbekezdést).

(178)

Harmadszor, bárki (297) panaszt nyújthat be a Nemzeti Emberi Jogi Bizottsághoz a magánélethez és az adatvédelemhez való jog koreai bűnüldöző hatóságok általi megsértésével kapcsolatban. A Nemzeti Emberi Jogi Bizottság ajánlást tehet bármely vonatkozó jogszabály, intézmény, politika vagy gyakorlat helyesbítésére vagy fejlesztésére (298), vagy olyan jogorvoslatok végrehajtására, mint a közvetítés (299), az emberi jogok megsértésének beszüntetése, kártérítés, valamint az azonos vagy hasonló jogsértések megismétlődésének megelőzését célzó intézkedések (300). A koreai kormány hivatalos képviselete szerint (II. melléklet 2.4.2. szakasz) ez magában foglalhatja a jogellenesen gyűjtött személyes adatok törlését is. Bár a Nemzeti Emberi Jogi Bizottságnak nincs hatásköre arra, hogy kötelező erejű határozatokat hozzon, informálisabb, alacsony költségű és könnyen hozzáférhető jogorvoslati lehetőséget kínál, különösen azért, mert – amint azt a II. melléklet 2.4.2. szakasza kifejti – a panasz kivizsgálásához nem követeli meg a tényleges sérelem bizonyítását (301). Ez biztosítja, hogy ki lehessen vizsgálni az egyének adataik gyűjtésével kapcsolatos panaszait, még akkor is, ha az egyén nincs abban a helyzetben, hogy bizonyíthassa azt, hogy adatait ténylegesen gyűjtötték (például azért, mert az egyén értesítése még nem történt meg). A Nemzeti Emberi Jogi Bizottság éves tevékenységi jelentései azt mutatják, hogy az egyének a gyakorlatban is élnek ezzel a lehetőséggel a bűnüldöző hatóságok többek között a személyes adatok kezelése tekintetében folytatott tevékenységének vitatása céljából (302). Ha egy egyén nem elégedett a Nemzeti Emberi Jogi Bizottság előtti eljárás eredményével, a bizottság határozatait (például a panasz kivizsgálásának megtagadásáról szóló határozatot (303)) és ajánlásait a koreai bíróságok előtt megtámadhatja a közigazgatási peres eljárásról szóló törvény alapján (lásd a (181) preambulumbekezdést (304)). Ezen túlmenően a Nemzeti Emberi Jogi Bizottság előtti eljárás még inkább megkönnyítheti a bírósághoz fordulást, mivel az egyének további jogorvoslatot kérhetnek azzal a hatósággal szemben, amely a Nemzeti Emberi Jogi Bizottság megállapításai alapján, a (181)–(183) preambulumbekezdésben ismertetett eljárásoknak megfelelően jogellenesen kezelte az adataikat.

(179)

Végezetül különböző bírósági jogorvoslati lehetőségek állnak rendelkezésre, amelyek lehetővé teszik az egyének számára, hogy jogorvoslat érdekében a 3.2.1. szakaszban leírt korlátozásokra és biztosítékokra hivatkozzanak (305).

(180)

Ami a lefoglalásokat (beleértve az adatok lefoglalását is) illeti, a büntetőeljárási törvény lehetőséget biztosít arra, hogy „kvázi panasz” útján kifogást emeljenek a parancs végrehajtása ellen, vagy megtámadják annak végrehajtását azzal, hogy az ügyész vagy rendőr intézkedésének hatályon kívül helyezését vagy módosítását kérik az illetékes bíróságon (306).

(181)

Általánosabban fogalmazva, az egyének a közigazgatási peres eljárásról szóló törvény (307) alapján vitathatják a hatóságok (ideértve a bűnüldöző hatóságokat is) cselekményeit (308) vagy mulasztásait (309). A közigazgatási intézkedés akkor tekinthető megtámadható rendelkezésnek, ha közvetlen hatással van a polgári jogokra és kötelezettségekre (310), ami – amint azt a koreai kormány is megerősítette (a II. melléklet 2.4.3. szakasza) – a személyes adatok gyűjtésére irányuló intézkedésekre vonatkozik, legyen szó akár közvetlenül (például a közlések lehallgatásával), akár (például a szolgáltatóhoz intézett) kötelező adatközlési kérelmek útján történő adatgyűjtésről. Ahhoz, hogy a közigazgatási peres eljárásról szóló törvény szerinti panasz elfogadható legyen, a magánszemélynek jogi érdekének kell fűződnie a követelés érvényesítéséhez (311). A Legfelsőbb Bíróság ítélkezési gyakorlata szerint a „jogi érdek”„jogilag védett érdek”, azaz olyan közvetlen és konkrét érdek, amelyet a közigazgatási rendelkezések alapját képező törvények és rendeletek védenek (azaz nem általános, közvetett és elvont közérdekről van szó) (312). Az egyéneknek ilyen jogi érdekük áll fenn személyes adataik bűnüldözési célból (külön jogszabályok vagy személyes adatok védelméről szóló törvény alapján) történő gyűjtésére vonatkozó korlátozások és biztosítékok sérelme esetében. A közigazgatási peres eljárásról szóló törvény alapján a bíróság dönthet úgy, hogy visszavonja vagy módosítja a jogellenes rendelkezést, megállapítja semmisségét (azaz megállapítja, hogy a rendelkezésnek nincs joghatása, vagy nem létezik a jogrendben), vagy megállapíthatja valamely mulasztás jogellenességét (313). A közigazgatási peres eljárásról szóló törvény szerint a jogerős ítélet a felekre nézve kötelező (314).

(182)

Amellett, hogy az egyének közigazgatási peres úton vitatják a kormányzati intézkedéseket, alkotmányos panaszt is benyújthatnak az Alkotmánybírósághoz alapvető jogaiknak a kormányzati hatalom gyakorlása vagy annak hiánya miatti sérelme miatt (a bírósági határozatok kivételével) (315). Ha más jogorvoslati lehetőségek is rendelkezésre állnak, először azokat kell kimeríteni. Az Alkotmánybíróság ítélkezési gyakorlata szerint a külföldi állampolgárok annyiban nyújthatnak be alkotmányos panaszt, amennyiben a koreai alkotmány elismeri alapvető jogaikat (lásd a magyarázatokat az 1.1. szakaszban) (316). Az Alkotmánybíróság érvénytelenítheti a jogsértést okozó kormányzati hatáskör gyakorlását, vagy megerősítheti, hogy egy bizonyos mulasztás alkotmányellenes (317). Ebben az esetben az illetékes hatóságnak intézkedéseket kell hoznia a Bíróság határozatának való megfelelés érdekében.

(183)

Ezen túlmenően a magánszemélyek kártérítést kaphatnak a koreai bíróságok előtt. Ez mindenekelőtt magában foglalja a személyes adatok védelméről szóló törvénynek a bűnüldöző hatóságok által elkövetett megszegése miatti kártérítés 39. cikkel összhangban történő követelésének lehetőségét (lásd még a (135) preambulumbekezdést). Általánosabban fogalmazva, a magánszemélyek a károk állam általi megtérítéséről szóló törvény alapján kártérítést igényelhetnek a köztisztviselők által hivatali feladataik ellátása során a törvény megsértésével okozott károkért (lásd még a (135) preambulumbekezdést) (318).

(184)

Ezek a (176)–(183) preambulumbekezdésben ismertetett mechanizmusok hatékony adminisztratív és bírósági jogorvoslati lehetőségeket biztosítanak az érintetteknek, lehetővé téve számukra különösen jogaik, többek között a személyes adatokhoz való hozzáférés joga, illetve az említett adatok helyesbíttetésére vagy töröltetésére vonatkozó joguk érvényre juttatását.

(185)

A Koreai Köztársaság törvényei számos korlátozást állapítanak meg a személyes adatokhoz való hozzáférésre és azok bűnüldözési célokra történő felhasználására, és ezen a területen felügyeleti és jogorvoslati mechanizmusokat biztosítanak, amelyek összhangban állnak az e határozat (141)–(143) preambulumbekezdésében említett követelményekkel. Az említett hozzáférés feltételeit és az e hatáskörök alkalmazására vonatkozó biztosítékokat a következő szakaszok részletesen értékelik.

(186)

A Koreai Köztársaságban a hírközlési adatok védelméről szóló törvény, a távközlési törvény és a polgárok védelmét és a közbiztonságot szolgáló terrorizmus elleni törvény (a továbbiakban: terrorizmus elleni törvény) alapján nemzetbiztonsági célokból lehetséges a személyes adatokhoz való hozzáférés (319). A nemzetbiztonság területén hatáskörrel rendelkező fő hatóság (320) a Nemzeti Hírszerző Szolgálat (NIS) (321). A személyes adatok Nemzeti Hírszerző Szolgálat általi gyűjtésének és felhasználásának meg kell felelnie a vonatkozó jogi követelményeknek (ideértve a személyes adatok védelméről szóló törvényt és a hírközlési adatok védelméről szóló törvényt) (322), valamint a köztársasági elnök által kidolgozott és a Nemzetgyűlés által felülvizsgált általános iránymutatásoknak (323). A Nemzeti Hírszerző Szolgálatnak általános elvként fenn kell tartania a politikai semlegességet, és védenie kell az egyének szabadságát és jogait (324). Ezenkívül a Nemzeti Hírszerző Szolgálat személyzete nem élhet vissza hivatali hatáskörével, hogy bármely intézményt, szervezetet vagy magánszemélyt olyan cselekményekre kényszerítsen, amelyekre (jogszabály alapján) nem köteles, és senkit sem akadályozhat jogainak gyakorlásában (325).

(187)

A hírközlési adatok védelméről szóló törvény alapján a koreai hatóságok (326) gyűjthetik a metaadatokat (azaz a telekommunikáció időpontját, annak kezdő és befejezési időpontját, a kimenő és bejövő hívások számát, valamint a másik fél előfizetői számát, a használat gyakoriságát, a távközlési szolgáltatások használatára vonatkozó naplófájlokat és a helyadatokat, lásd a (155) preambulumbekezdést) és a kommunikáció tartalmát (a kommunikációt korlátozó intézkedésekkel, lásd a (155) preambulumbekezdést) nemzetbiztonsági célokra (A Nemzeti Hírszerző Szolgálat megbízatásában meghatározottak szerint, lásd fentebb a 322. lábjegyzetet). Ezek a hatáskörök az információk két típusára terjednek ki: (1) olyan kommunikációra, amelyekben az egyik vagy mindkét fél koreai állampolgár (327); valamint (2) a) a Koreai Köztársasággal szemben ellenséges országok, b) a Korea-ellenes tevékenységekkel gyanúsított külföldi ügynökségek, csoportok vagy állampolgárok (328), vagy c) a Koreai-félszigeten működő, de a Koreai Köztársaság szuverenitásán kívül eső csoportok tagjainak és külföldi országokban székhellyel rendelkező ernyőszervezeteiknek a kommunikációjára (329). Az e határozat alapján az Unióból a Koreai Köztársaságba továbbított uniós személyek kommunikációját ezért nemzetbiztonsági célokból csak akkor lehet a hírközlési adatok védelméről szóló törvény keretében gyűjteni (a (188)–(192) preambulumbekezdésben meghatározott feltételekre is figyelemmel), ha vagy uniós személy és egy koreai állampolgár között jöttek létre, vagy – amennyiben kizárólag nem koreai állampolgárok közötti kommunikációról van szó – a fenti 2a), b) és c) kategória egyikébe tartoznak.

(188)

A metaadatok gyűjtése mindkét esetben csak a nemzetbiztonságot fenyegető veszélyek megelőzése céljából történhet (330), míg kommunikációt korlátozó intézkedések csak akkor hozhatók, ha súlyos nemzetbiztonsági kockázat áll fenn, és az adatgyűjtés szükséges azok megelőzéséhez (331). Ezenkívül a kommunikáció tartalmához csak végső esetben lehet hozzáférni, és erőfeszítéseket kell tenni a kommunikáció titkossága sérelmének minimálisra csökkentése érdekében (332), biztosítva ezáltal, hogy az arányos maradjon a kitűzött nemzetbiztonsági céllal. Mind a kommunikáció tartalmának, mind a metaadatoknak a gyűjtése legfeljebb négy hónapig tarthat, és azonnal meg kell szüntetni, ha a kitűzött célt korábban érik el (333). Ha a vonatkozó feltételek továbbra is teljesülnek, a határidő legfeljebb négy hónappal meghosszabbítható (a (189) preambulumbekezdésben leírt intézkedések esetében) a bíróság vagy (a (190) preambulumbekezdésben leírt intézkedések esetében (334)) a köztársasági elnök előzetes engedélyével.

(189)

Ugyanazok az eljárási biztosítékok vonatkoznak a metaadatok és a kommunikáció tartalmának gyűjtésére (335). Konkrétan abban az esetben, ha a kommunikációban részt vevő személyek közül legalább az egyik koreai állampolgár, a hírszerző ügynökségnek írásbeli kérelmet kell benyújtania a Főügyészi Hivatalhoz, amelynek pedig a Felsőbíróság magas rangú főbírájától parancsot kell kérnie (336). A hírközlési adatok védelméről szóló törvény felsorolja a kérelemben, a parancs iránti kérelemben és magában a parancsban az ügyésznek megadandó információkat, amely magában foglalja különösen a kérelem indokolását és a gyanú fő okait, az alátámasztó anyagokat, valamint a javasolt intézkedés céljára, célpontjára (azaz a célszemély(ek)re), hatályára és időtartamára vonatkozó információkat (337). Az adatgyűjtésre parancs hiányában csak akkor kerülhet sor, ha olyan összeesküvésről van szó, amely veszélyezteti a nemzetbiztonságot, és olyan vészhelyzet áll fenn, amely lehetetlenné teszi a fent említett eljárások lefolytatását (338). Ugyanakkora parancs iránti kérelmet ebben az esetben is közvetlenül az intézkedés meghozatalát követően be kell nyújtani (339). A hírközlési adatok védelméről szóló törvény ezért egyértelműen meghatározza az említett típusú adatgyűjtés alkalmazási körét és feltételeit, és azokra konkrét (eljárási) biztosítékokat ír elő (beleértve az előzetes bírósági jóváhagyást), amelyek biztosítják, hogy az említett intézkedések alkalmazása a szükséges és arányos mértékre korlátozódjon. Ezenkívül az a követelmény, hogy mind a parancs iránti kérelemben, mind pedig magában a parancsban részletes tájékoztatást kell nyújtani, kizárja a megkülönböztetés nélküli hozzáférés lehetőségét.

(190)

A (187) preambulumbekezdésben felsorolt három kategória egyikébe tartozó nem koreai állampolgárok közötti kommunikáció esetében a kérelmet a Nemzeti Hírszerző Szolgálat igazgatójához kell benyújtani, akinek a javasolt intézkedések megfelelőségének felülvizsgálatát követően a Koreai Köztársaság elnökének előzetes írásbeli jóváhagyását kell kérnie (340). A hírszerző ügynökség által készített kérelemnek ugyanazokat a részletes információkat kell tartalmaznia, mint a bírósági parancs iránti kérelemnek (lásd a (189) preambulumbekezdést), különösen a kérelem indokolására és a gyanú fő okaira, az alátámasztó anyagokra és a javasolt intézkedések célkitűzéseire, a célszemély(ei)re, hatályára és időtartamára vonatkozó információkra vonatkozóan (341). Vészhelyzetekben (342) be kell szerezni azon miniszter előzetes jóváhagyását, akihez az adott hírszerző ügynökség tartozik, de a hírszerző ügynökségnek a sürgősségi intézkedések meghozatalát követően haladéktalanul kérnie kell a köztársasági elnök jóváhagyását (343). A kizárólag nem koreai állampolgárok közötti kommunikáció gyűjtését illetően a hírközlési adatok védelméről szóló törvény ezért az említett intézkedések alkalmazását a szükséges és arányos mértékre korlátozza azzal, hogy egyértelműen meghatározza az említett intézkedések hatálya alá tartozó személyek korlátozott kategóriáit, és meghatározza azokat a részletes kritériumokat, amelyeket a hírszerző ügynökségeknek bizonyítaniuk kell az adatgyűjtés iránti kérelem alátámasztásához. Ráadásul ez szintén kizárja a megkülönböztetés nélküli hozzáférés lehetőségét. Bár az említett intézkedéseket előzetesen nem hagyják jóvá független módon, a független felügyeletet különösen a személyesadat-védelemmel foglalkozó bizottság és a Nemzeti Emberi Jogi Bizottság látja el, utólagosan (lásd például a (199)–(200) preambulumbekezdést).

(191)

A hírközlési adatok védelméről szóló törvény továbbá számos további biztosítékot ír elő, amelyek hozzájárulnak az utólagos felügyelethez, és megkönnyítik az egyének hatékony jogorvoslathoz való hozzáférését. Először is, bármilyen nemzetbiztonsági célú adatgyűjtés tekintetében a hírközlési adatok védelméről szóló törvény előír különböző nyilvántartási és jelentéstételi követelményeket. Konkrétan a magán üzemeltetők együttműködés iránti megkeresésekor a hírszerző ügynökségeknek át kell adniuk a bírósági parancsot/elnöki engedélyt vagy a vészhelyzeti cenzúranyilatkozat fedlapjának másolatát, amelyet a kötelezett szervezetnek az irataiban meg kell őriznie (344). Amennyiben magán üzemeltetőket kötelezik az együttműködésre, mind a megkereső hatóságnak, mind az érintett gazdasági szereplőnek nyilvántartást kell vezetnie az intézkedések céljáról és tárgyáról, valamint a végrehajtás időpontjáról (345). Emellett a hírszerző ügynökségeknek jelentést kell tenniük a Nemzeti Hírszerző Szolgálat igazgatójának az általuk összegyűjtött információkról és a megfigyelési tevékenység eredményéről (346).

(192)

Másodszor, az egyéneket értesíteni kell adataik nemzetbiztonsági célból történő gyűjtéséről (metaadatok vagy a kommunikáció tartalma), ha az olyan kommunikációra vonatkozik, amelyben legalább az egyik fél koreai állampolgár (347). Ezt az értesítést írásban, a gyűjtés befejezésétől számított 30 napon belül kell megtenni (beleértve azt az esetet is, amikor az adatokat a sürgősségi eljárással összhangban szerezték be), és ezt csak akkor és addig lehet elhalasztani, ha és ameddig az veszélyezteti a nemzetbiztonságot, vagy veszélyeztetné emberek életét és testi épségét (348). Az említett értesítéstől függetlenül az egyének különböző jogorvoslati lehetőségeket vehetnek igénybe, amint azt a 3.3.4. szakasz részletesebben kifejti.

(193)

A terrorizmus elleni törvény úgy rendelkezik, hogy a Nemzeti Hírszerző Szolgálat a terroristagyanús személyekre vonatkozó adatokat (349) a más jogszabályokban meghatározott korlátozásokkal és biztosítékokkal összhangban gyűjtheti (350). A Nemzeti Hírszerző Szolgálat különösen hírközlési adatokat (a hírközlési adatok védelméről szóló törvény alapján) és egyéb személyes adatokat (önkéntes adatközlés iránti kérelem útján) gyűjthet (351). A hírközlési adatok (azaz a kommunikáció vagy a metaadatok tartalma) gyűjtése tekintetében a 3.3.1.1. szakaszban leírt korlátozások és biztosítékok érvényesülnek, ideértve a bíróság által jóváhagyott parancs beszerzésének követelményét is. Ami a terroristagyanús személyek egyéb típusú személyes adatainak önkéntes közlésére irányuló kérelmeket illeti, a Nemzeti Hírszerző Szolgálatnak teljesítenie kell az Alkotmányban és a személyes adatok védelméről szóló törvényben foglalt, a szükségességre és arányosságra vonatkozó követelményeket (lásd a (164) preambulumbekezdést) (352). Az említett kérelmeket fogadó adatkezelők önkéntes alapon teljesíthetik a személyes adatok védelméről szóló törvényben meghatározott feltételeket (például az adattakarékosság elvével összhangban és az egyén magánéletére gyakorolt hatás korlátozásával) (353). Ebben az esetben meg kell felelniük annak a követelménynek is, hogy a 2021-5. sz. értesítésből következően értesíteniük kell az érintett egyént (lásd a (166) preambulumbekezdést).

(194)

A távközlési törvény alapján a távközlési szolgáltatók önkéntes alapon közölhetik az előfizetői adatokat (lásd a (163) preambulumbekezdést) a hírszerző ügynökség kérésére, amely ezeket az adatokat a nemzetbiztonságot fenyegető veszély megelőzése érdekében kívánja gyűjteni (354). A Nemzeti Hírszerző Szolgálat ilyen jellegű kérései tekintetében ugyanazok a korlátozások érvényesülnek (az alkotmányból, a személyes adatok védelméről szóló törvényből és a távközlési törvényből következően), mint a bűnüldözés területén, a (164) preambulumbekezdésben foglaltak szerint (355). A távközlési szolgáltatók a kérésnek nem kötelesek eleget tenni, és azt csak a személyes adatok védelméről szóló törvényben meghatározott feltételek mellett teljesíthetik (különösen az adattakarékosság elvével összhangban és az egyén magánéletére gyakorolt hatás korlátozásával, lásd még a (193) preambulumbekezdést). A nyilvántartásra és az érintett egyén értesítésére ugyanazok a követelmények vonatkoznak, mint a bűnüldözés területére (lásd a (165) és a (166) preambulumbekezdést).

(195)

A koreai hatóságok által nemzetbiztonsági célokból gyűjtött személyes adatok kezelésére vonatkozik a célhoz kötöttség (a személyes adatok védelméről szóló törvény 3. cikkének (1)–(2) bekezdése), az adatkezelés jogszerűsége és méltányossága (ugyanezen törvény 3. cikkének (1) bekezdése), az arányosság/adattakarékosság (ugyanezen törvény 3. cikkének (1) és (6) bekezdése és 58. cikke), a pontosság (ugyanezen törvény 3. cikkének (3) bekezdése), az átláthatóság (ugyanezen törvény 3. cikkének (5) bekezdése), a biztonság (ugyanezen törvény 58. cikkének (4) bekezdése) és a tárolási korlátozás (ugyanezen törvény 58. cikkének (4) bekezdése) elve (356). A személyes adatok harmadik felekkel (köztük harmadik országokkal) történő esetleges közlésére csak ezen elvekkel (különösen a célhoz kötöttség és az adattakarékosság elvével) összhangban kerülhet sor, a szükségesség és az arányosság elvének való megfelelés értékelését (az Alkotmány 37. cikkének (2) bekezdése), és az érintett egyének jogaira gyakorolt hatás figyelembevételét követően (a személyes adatok védelméről szóló törvény 3. cikkének (6) bekezdése).

(196)

Ami a közlések tartalmát és a metaadatokat illeti, a hírközlési adatok védelméről szóló törvény az említett adatok felhasználását tovább korlátozza azon bírósági eljárásokra, amelyekben a kommunikációval kapcsolatban álló fél azokra kártérítési igényében hivatkozik; vagy a felhasználás más jogszabályok alapján megengedett (357).

(197)

A koreai nemzetbiztonsági hatóságok tevékenységét különböző szervek felügyelik (358).

(198)

Először is, a terrorizmus elleni törvény konkrét felügyeleti mechanizmusokat ír elő a terrorizmusellenes tevékenységek tekintetében, ideértve a terroristagyanús személyekre vonatkozó adatok gyűjtését is. A végrehajtó szervek szintjén a terrorizmusellenes tevékenységeket a terrorizmus elleni küzdelemmel foglalkozó bizottság (359) felügyeli, amelynek a terrorizmus elleni küzdelemhez szükséges információk és anyagok összegyűjtése érdekében a Nemzeti Hírszerző Szolgálat igazgatójának jelentést kell tennie a nyomozásokról és a terroristagyanús személyek nyomon követéséről (360). Ezen túlmenően az emberi jogok védelméért felelős biztos (a továbbiakban: emberi jogi biztos) kifejezetten felügyeli, hogy a terrorizmusellenes tevékenységek megfelelnek-e az alapvető jogoknak (361). Az emberi jogi biztost a terrorizmus elleni küzdelemmel foglalkozó bizottság elnöke nevezi ki olyan személyek közül, akik megfelelnek a terrorizmus elleni törvény (362) végrehajtási rendeletében felsorolt konkrét képesítéseknek, kétéves (megújítható) időtartamra, és hivatalából csak konkrét, korlátozott okból és alapos okból menthető fel (363). Felügyeleti funkciójának gyakorlása során az emberi jogok védelmének javítására irányuló általános ajánlásokat, valamint az emberi jogok (364) megsértésének megállapítása esetén korrekciós intézkedésekre vonatkozó konkrét ajánlásokat adhat ki (365). A hatóságoknak tájékoztatniuk kell az emberi jogi biztost az ajánlásai nyomán hozott intézkedésekről (366).

(199)

Másodszor, a személyesadat-védelemmel foglalkozó bizottság felügyeli, hogy a nemzetbiztonsági hatóságok betartják-e az adatvédelmi szabályokat, amelyek egyaránt magukban foglalják a személyes adatok védelméről szóló törvény alkalmazandó rendelkezéseit (lásd a (149) preambulumbekezdést), valamint a személyes adatok gyűjtésére más jogszabályok (a hírközlési adatok védelméről szóló törvény, a terrorizmus elleni törvény és a távközlési törvény, lásd még a (171) preambulumbekezdést) értelmében alkalmazandó korlátozásokat és biztosítékokat (367). E felügyeleti szerepkör gyakorlása során a személyesadat-védelemmel foglalkozó bizottság a 2.4.2. szakaszban részletesen ismertetett valamennyi vizsgálati és korrekciós hatáskörét felhasználhatja.

(200)

Harmadszor, a nemzetbiztonsági hatóságok tevékenysége a Nemzeti Emberi Jogi Bizottság független felügyelete alá tartozik, a (172) preambulumbekezdésben ismertetett eljárásokkal összhangban (368).

(201)

Negyedszer, a Számvevőszék felügyeleti funkciója is kiterjed a nemzetbiztonsági hatóságokra, bár a Nemzeti Hírszerző Szolgálat kivételes körülmények között – azaz ha azok államtitoknak minősülnek, és a közismertségük súlyosan érintené a nemzetbiztonságot – megtagadhatja bizonyos információk vagy anyagok átadását (369).

(202)

Végezetül a Nemzeti Hírszerző Szolgálati tevékenységek parlamenti felügyeletét a Nemzetgyűlés látja el (egy erre szakosodott hírszerzési bizottságon keresztül) (370). A hírközlési adatok védelméről szóló törvény a Nemzetgyűlés számára különleges felügyeleti szerepet biztosít a kommunikációt korlátozó intézkedések nemzetbiztonsági célú alkalmazása tekintetében (371). A Nemzetgyűlés helyszíni ellenőrzéseket végezhet a lehallgatásra szolgáló berendezéseken, és kérheti mind a Nemzeti Hírszerző Szolgálatot, mind pedig a közlések tartalmát átadó távközlési szolgáltatókat, hogy tegyenek jelentést azokról. A Nemzetgyűlés általános felügyeleti feladatait is elláthatja (a (174) preambulumbekezdésben leírt eljárásokkal összhangban). A Nemzeti Hírszerző Szolgálatról szóló törvény előírja a Nemzeti Hírszerző Szolgálat igazgatója számára, hogy haladéktalanul válaszoljon abban az esetben, amennyiben a hírszerzési bizottság jelentést kér konkrét ügyekről (372), a különösen kényes információkra vonatkozóan külön szabályokkal. Konkrétan, a Nemzeti Hírszerző Szolgálat igazgatója csak kivételes körülmények között tagadhatja meg a válaszadást vagy vallomástételt a bizottság előtt, pl. ha a kérelem katonai, diplomáciai vagy észak-koreai vonatkozású államtitokra vonatkozik, amelynek közismertsége komoly hatást gyakorolhat az ország „nemzeti sorsára” (373). Ebben az esetben a hírszerzési bizottság magyarázatot kérhet a miniszterelnöktől, és amennyiben hét napon belül nem kapja meg a magyarázatot, a válasz vagy a tanúvallomás nem utasítható vissza.

(203)

A koreai rendszer a nemzetbiztonság területén is különböző (bírósági) jogorvoslati lehetőségeket kínál, beleértve a kártérítés lehetőségét. Ezek a mechanizmusok hatékony adminisztratív és bírósági jogorvoslati lehetőségeket biztosítanak az érintetteknek, lehetővé téve számukra különösen jogaik, többek között a személyes adatokhoz való hozzáférés joga, illetve az említett adatok helyesbíttetésére vagy töröltetésére vonatkozó joguk biztosítását.

(204)

Először is, a személyes adatok védelméről szóló törvény 3. cikkének (5) bekezdése és 4. cikkének (1), (3) és (4) bekezdése értelmében az egyének a nemzetbiztonsági hatóságokkal szemben gyakorolhatják a hozzáférés, a helyesbítés, a törlés és az adatkezelése felfüggesztése jogát. A 2021-5. sz. értesítés 6. szakasza (e határozat I. melléklete) tovább pontosítja, hogy ezek a jogok miként érvényesülnek a nemzetbiztonsági célú adatkezeléssel összefüggésben. A nemzetbiztonsági hatóság különösen csak olyan mértékben és addig korlátozhatja vagy tagadhatja meg a jog gyakorlását, ameddig az szükséges és arányos valamely fontos közérdekű cél védelméhez (például olyan mértékben és addig, ameddig a jog megadása veszélyeztetné egy folyamatban lévő nyomozást vagy veszélyeztetné a nemzetbiztonságot), vagy ha a jog megadása veszélyezteti harmadik fél életét vagy testi épségét. Az említett korlátozásra való hivatkozás tehát az egyén jogainak és érdekeinek a releváns közérdekkel való összemérését követeli meg, és semmi esetre sem érintheti a jog lényegét (az alkotmány 37. cikkének (2) bekezdése). Amennyiben a kérelmet elutasítják vagy korlátozott mértékben teljesítik, az érintettet haladéktalanul értesíteni kell ennek okairól.

(205)

Másodszor, az egyéneknek joguk van jogorvoslatra a személyes adatok védelméről szóló törvény keretében, ha adataikat nemzetbiztonsági hatóság a személyes adatok védelméről szóló törvényt vagy a személyes adatok gyűjtését szabályozó más jogszabályokban (különösen a hírközlési adatok védelméről szóló törvényben, lásd a (171) preambulumbekezdést) foglalt korlátozásokat és biztosítékokat megsértve kezelte (374). Ez a jog a személyesadat-védelemmel foglalkozó bizottsághoz benyújtott panasz útján gyakorolható (többek között a Koreai Internet- és Biztonsági Ügynökség által működtetett adatvédelmi telefonos ügyfélszolgálaton keresztül) (375). Ezen túlmenően a koreai nemzetbiztonsági hatóságokkal szembeni jogorvoslat könnyebb hozzáférhetőségének elősegítése érdekében az uniós polgárok a nemzeti adatvédelmi hatóságukon keresztül nyújthatnak be panaszt a személyesadat-védelemmel foglalkozó bizottsághoz (376). Ebben az esetben a személyesadat-védelemmel foglalkozó bizottság ugyanazon csatornán (nemzeti adatvédelmi hatóság vagy az Európai Adatvédelmi Testület) keresztül értesíti a magánszemélyt a vizsgálat lezárását követően (és adott esetben tájékoztatást ad az előírt korrekciós intézkedésekre vonatkozóan is). A közigazgatási peres eljárásról szóló törvény alapján az egyének továbbá fellebbezhetnek/megtámadhatják a személyesadat-védelemmel foglalkozó bizottság döntéseit vagy mulasztását (lásd a (132) preambulumbekezdést).

(206)

Harmadszor, az egyének panaszt nyújthatnak be az emberi jogi biztosnál a magánélethez és az adatvédelemhez való joguknak a terrorizmusellenes tevékenységekkel összefüggésben történő sérelme miatt (a terrorizmusellenes törvény alapján) (377), amely korrekciós intézkedéseket javasolhat. Mivel az emberi jogi biztos előtt nincsenek elfogadhatósági követelmények, a panaszt akkor is el fogják intézni, ha az érintett személy nem tudja bizonyítani, hogy ténylegesen sérelmet szenvedett (például azért, mert adatait a nemzetbiztonsági hatóság állítólag jogellenesen gyűjtött) (378). Az illetékes hatóságnak tájékoztatnia kell az emberi jogi biztost az ajánlásainak végrehajtása érdekében tett intézkedésekről.

(207)

Negyedszer, az egyének panaszt nyújthatnak be a Nemzeti Emberi Jogi bizottsághoz adataik nemzetbiztonsági hatóságok általi gyűjtésével kapcsolatban, és a (178) preambulumbekezdésben leírt eljárással összhangban jogorvoslatot kérhetnek (379).

(208)

Végezetül különböző bírósági jogorvoslati lehetőségek állnak rendelkezésre (380), amelyek lehetővé teszik az egyének számára, hogy jogorvoslatot kérjenek a 3.3.1. szakaszban leírt korlátozások és biztosítékok alapján. Az egyének különösen a közigazgatási peres eljárásról szóló törvény alapján vitathatják a nemzetbiztonsági hatóságok intézkedéseinek jogszerűségét (a (181) preambulumbekezdésben leírt eljárásnak vagy az Alkotmánybíróságról szóló törvénynek megfelelően [lásd a (182) preambulumbekezdést]). Ezenkívül kártérítést kaphatnak a károk állam általi megtérítéséről szóló törvény alapján (a (183) preambulumbekezdésben részletesebben leírtak szerint).

(209)

A Bizottság úgy véli, hogy a Koreai Köztársaság – a személyes adatok védelméről szóló törvényen, a bizonyos ágazatokra alkalmazandó (a 2. szakaszban elemzett) különleges szabályokon és a 2021-5. sz. értesítésben (I. melléklet) foglalt kiegészítő biztosítékokon keresztül – biztosítja az Európai Unióból továbbított személyes adatok olyan szintű védelmét, amely lényegében egyenértékű az (EU) 2016/679 rendelet által garantált szinttel.

(210)

A Bizottság ezenfelül úgy ítéli meg, hogy a koreai jogban létező felügyeleti mechanizmusok és jogorvoslati megoldások összességében véve lehetővé teszik, hogy a gyakorlatban azonosítsák és szankcionálják, ha a személyes adatokat kezelő gazdasági szereplők jogsértést követnek el, továbbá jogorvoslatot biztosítanak az érintetteknek, hogy betekinthessenek a rájuk vonatkozó személyes adatokba, és esetleg helyesbíttessék vagy töröltessék ezeket az adatokat.

(211)

Végül a koreai jogrendről rendelkezésre álló információk alapján – beleértve a koreai kormánynak a II. mellékletben szereplő nyilatkozatait, biztosítékait és kötelezettségvállalásait – a Bizottság úgy véli, hogy a koreai hatóságoknak a közérdekbe, különösen azon egyének alapvető jogaiba bűnüldözési és nemzetbiztonsági célokból történő beavatkozása, akiknek személyes adatait az Unióból a Koreai Köztársaságba továbbítják, a szóban forgó jogszerű cél eléréséhez feltétlenül szükséges mértékre fog korlátozódni, és hogy az említett beavatkozással szemben hatékony jogvédelem áll fenn.

(212)

Ezért e határozat megállapításaira figyelemmel úgy kell határozni, hogy a Koreai Köztársaság az (EU) 2016/679 rendelet – az Európai Unió Alapjogi Chartájának figyelemmel értelmezett – 45. cikke értelmében megfelelő védelmi szintet biztosít az Európai Unióból a Koreai Köztársaságba a személyes adatok védelméről szóló törvény hatálya alá tartozó személyesadat-kezelők részére továbbított személyes adatok tekintetében, a missziós tevékenységük keretében személyes adatokat kezelő vallási szervezetek; a politikai jelöltállítással kapcsolatban személyes adatokat kezelő politikai pártok, és a pénzügyi szolgáltatásokkal foglalkozó bizottság felügyelete alá tartozó adatkezelők által a személyes adatnak minősülő hitelinformációk hitelinformációkról szóló törvény szerinti kezelése kivételével, amennyiben ilyen adatokat kezelnek.

(213)

A tagállamok és szerveik kötelesek megtenni az ahhoz szükséges intézkedéseket, hogy teljesítsék az uniós intézmények jogi aktusait, mivel az utóbbiak vélelmezhetően jogszerűek, és ennélfogva mindaddig joghatásokat váltanak ki, amíg azokat vissza nem vonják, megsemmisítés iránti kereset alapján meg nem semmisítik, illetve előzetes döntéshozatal iránti kérelem vagy jogellenességi kifogás következtében nem nyilvánítják érvénytelennek.

(214)

Következésképpen a Bizottságnak az (EU) 2016/679 rendelet 45. cikkének (3) bekezdése alapján elfogadott megfelelőségi határozata kötelező a címzett tagállamok valamennyi szervére, így független felügyeleti hatóságaikra nézve is. E határozat alkalmazásának időtartama alatt különösen az európai uniós adatkezelőtől vagy adatfeldolgozótól a koreai adatkezelőkhöz vagy adatfeldolgozókhoz történő továbbításra további engedély beszerzése nélkül kerülhet sor.

(215)

Ugyanakkor emlékeztetni kell arra, hogy az (EU) 2016/679 rendelet 58. cikkének (5) bekezdése alapján, és amint azt a Bíróság a Schrems-ítéletben (381) kifejtette, amennyiben egy nemzeti adatvédelmi hatóság megkérdőjelezi – ideértve a panaszra történő eljárást is – a Bizottság megfelelőségi határozatának az egyén magánélethez és adatvédelemhez fűződő alapvető jogaival való összeegyeztethetőségét, a nemzeti jognak biztosítania kell a jogorvoslati lehetőségeket, amelyek lehetővé teszik számára, hogy a nemzeti bíróságok előtt a kifogásokra hivatkozzon annak érdekében, hogy azok esetlegesen előzetes döntéshozatali eljárást kezdeményezhessenek e határozat érvényességének vizsgálata céljából (382).

(216)

A Bíróság ítélkezési gyakorlata alapján (383) és az (EU) 2016/679 rendelet 45. cikkének (4) bekezdésében elismerteknek megfelelően a Bizottság folyamatosan figyelemmel kíséri a harmadik országokban egy megfelelőségi határozat elfogadását követő kapcsolódó fejleményeket, hogy értékelje, hogy a harmadik ország továbbra is biztosítja-e a védelem lényegében azonos szintjét. E vizsgálat mindenképpen szükséges azokban az esetekben, amikor a Bizottság által kapott információk alapján indokolt kétségek merülhetnek fel e tekintetben.

(217)

A Bizottság ezért folyamatosan nyomon követi a Koreai Köztársaságban a helyzetet az ebben a határozatban értékelt adatkezelés jogi keretének és mindenkori gyakorlatának vonatkozásában, beleértve a koreai hatóságok általi, a II. mellékletben szereplő nyilatkozatoknak, biztosítékoknak és kötelezettségvállalásoknak való megfelelést. E folyamat elősegítése érdekében a koreai hatóságok felé kérés, hogy haladéktalanul tájékoztassák a Bizottságot az ezzel a határozattal kapcsolatos érdemi fejleményekről mind a személyes adatok gazdasági szereplők és hatóságok általi kezelését, mind a hatóságok személyes adatokhoz való hozzáférésének korlátozásait és biztosítékait illetően.

(218)

Továbbá annak lehetővé tétele érdekében, hogy a Bizottság hatékonyan lássa el nyomonkövetési feladatát, a tagállamoknak tájékoztatniuk kell a Bizottságot a nemzeti adatvédelmi hatóságok minden vonatkozó lépéséről, különösen az uniós érintetteknek a személyes adatok Európai Unióból a Koreai Köztársaság adatkezelői felé történő továbbításával kapcsolatos kérései vagy panaszai tekintetében. A Bizottságot továbbá tájékoztatni kell minden arra utaló információról, hogy a bűnügyek megelőzéséért, nyomozásáért, felderítéséért vagy a vádemelésért, illetve a nemzetbiztonságért felelős koreai hatóságok – a felügyeleti szerveket is ideértve – intézkedései nem biztosítják a megfelelő szintű védelmet.

(219)

Az (EU) 2016/679 rendelet (384) 45. cikke (3) bekezdésének alkalmazásában, valamint tekintettel arra, hogy a koreai jogrend által biztosított védelem szintje megváltozhat, a Bizottság e határozat elfogadását követően rendszeresen ellenőrzi, hogy a Koreai Köztársaság által biztosított védelem szintjének megfelelőségére vonatkozó megállapítások továbbra is ténybelileg és jogilag indokoltak-e.

(220)

Ebből a célból ezt a határozatot először a hatálybalépését követő három éven belül kell felülvizsgálni. Az első felülvizsgálatot követően és annak eredményétől függően a Bizottság az (EU) 2016/679 rendelet 93. cikkének (1) bekezdése alapján létrehozott bizottsággal szorosan egyeztetve dönt arról, hogy fenn kell-e tartani a hároméves ciklust. A későbbi felülvizsgálatokat azonban legalább négyévente el kell végezni (385). A felülvizsgálatnak ki kell terjednie e határozat működésének valamennyi szempontjára, és különösen az e határozat I. mellékletében foglalt kiegészítő biztosítékok alkalmazására, különös tekintettel az újbóli adattovábbítás esetén nyújtott védelemre; a vonatkozó ítélkezési gyakorlat fejleményei; az álnevesített információk statisztikai, tudományos kutatási és közérdekű archiválási célú feldolgozására vonatkozó szabályok, valamint a személyes adatok védelméről szóló törvény 28. cikkének (7) bekezdése szerinti kivételek alkalmazása; az egyéni jogok gyakorlásának hatékonysága, többek között a közelmúltban megreformált személyesadat-védelemmel foglalkozó bizottság előtt, valamint az e jogok alóli kivételek alkalmazása; a személyes adatok védelméről szóló törvény szerinti részleges mentességek alkalmazása; valamint a kormányzati hozzáféréssel kapcsolatos korlátozások és biztosítékok (az e határozat II. mellékletében foglaltak szerint), beleértve a személyesadat-védelemmel foglalkozó bizottság és az uniós adatvédelmi hatóságok közötti, az egyének panaszaival kapcsolatos együttműködést. Ki kell terjednie továbbá a felügyelet és a végrehajtás eredményességére a személyes adatok védelméről szóló törvény tekintetében, valamint a bűnüldözés és a nemzetbiztonság területén (különösen a személyesadat-védelemmel foglalkozó bizottság és a Nemzeti Emberi Jogi Bizottság részéről).

(221)

A felülvizsgálat elvégzéséhez a Bizottság találkoznia kell a személyesadat-védelemmel foglalkozó bizottsággal, adott esetben a kormányzati hozzáférésért felelős egyéb koreai hatóságokkal együtt, beleértve az érintett felügyeleti szerveket. E találkozón részt vehetnek az Európai Adatvédelmi Testület tagjainak képviselői. A közös felülvizsgálat keretében a Bizottságnak fel kell kérnie a személyesadat-védelemmel foglalkozó bizottságot, hogy nyújtson átfogó tájékoztatást a megfelelőség megállapításának valamennyi lényeges szempontjával kapcsolatban, beleértve a kormányzati hozzáférésre vonatkozó korlátozásokat és biztosítékokat (386). A Bizottságnak emellett magyarázatot kell keresnie az e határozat vonatkozásában kapott releváns információkkal kapcsolatban, beleértve a koreai hatóságok vagy egyéb koreai érdekeltek, az Európai Adatvédelmi Testület, az egyes adatvédelmi hatóságok és a civil társadalmi csoportok általi nyilvános jelentéseket, a médiajelentéseket vagy egyéb elérhető információforrásokat.

(222)

A felülvizsgálat alapján a Bizottság az Európai Parlamentnek és a Tanácsnak benyújtandó nyilvános jelentést készít.

(223)

Amennyiben a rendelkezésre álló információk, különösen az e határozat nyomon követéséből származó, vagy a Koreai Köztársaság vagy a tagállamok hatóságai által szolgáltatott információk arra utalnak, hogy a Koreai Köztársaság által biztosított védelem szintje már nem feltétlenül megfelelő, a Bizottságnak erről haladéktalanul tájékoztatnia kell a Koreai Köztársaság illetékes hatóságait, és kérheti a megfelelő intézkedések meghatározott, észszerű határidőn belüli meghozatalát.

(224)

Ha az említett határidő lejártakor a Koreai Köztársaság illetékes hatóságai nem hozzák meg ezeket az intézkedéseket, vagy más módon nem bizonyítják kielégítően, hogy e határozat továbbra is a megfelelő szintű védelmen alapul, a Bizottság megindítja az (EU) 2016/679 rendelet 93. cikkének (2) bekezdésében említett eljárást e határozat részleges vagy teljes felfüggesztése vagy hatályon kívül helyezése céljából.

(225)

Ennek alternatívájaként a Bizottságnak ezt az eljárást e határozat módosítása céljából indítja meg, különösen az adattovábbításra további feltételek előírásával vagy a megfelelőség megállapítása hatályának azokra az adattovábbításokra korlátozásával, amelyek esetében biztosított a megfelelő szintű védelem folyamatossága.

(226)

A Bizottság kezdeményezi a felfüggesztési vagy visszavonási eljárást különösen arra utaló körülmények esetében, hogy az e határozat értelmében személyes adatokat átvevő gazdasági szereplők nem juttatják érvényre az I. mellékletben szereplő további biztosítékokat és/vagy nem hajtják végre hatékonyan azokat, vagy a koreai hatóságok nem tesznek eleget az e határozat II. mellékletében szereplő nyilatkozatoknak, biztosítékoknak és kötelezettségvállalásoknak.

(227)

A Bizottságnak emellett meg kell vizsgálnia az olyan eljárás kezdeményezésének lehetőségét, amely e határozat módosításához, felfüggesztéséhez vagy visszavonásához vezet, ha a felülvizsgálat összefüggésében vagy más módon az illetékes koreai hatóságok nem adják át az Európai Unióból Koreai Köztársaságba továbbított személyes adatok védelmének szintje vagy az e határozatnak való megfelelés értékeléséhez szükséges információkat vagy nem adnak erre vonatkozó magyarázatokat. Ebben a tekintetben a Bizottságnak figyelembe kell vennie, hogy milyen mértékben szerezhető be más forrásokból a vonatkozó információ.

(228)

Megfelelően indokolt, rendkívül sürgős esetben a Bizottság élni fog azzal a lehetőséggel, hogy az (EU) 2016/679 rendelet 93. cikkének (3) bekezdésében említett eljárásnak megfelelően azonnal alkalmazandó, a határozatot felfüggesztő, hatályon kívül helyező vagy módosító végrehajtási jogi aktusokat fogadjon el.

(229)

Az Európai Adatvédelmi Testület közzétette véleményét (387), amely e határozat kidolgozásakor figyelembevételre került.

(230)

Az e határozatban előírt intézkedések összhangban vannak az (EU) 2016/679 rendelet 93. cikke (1) bekezdése alapján létrehozott bizottság véleményével.