(1)

Bij Verordening (EU) 2016/679 zijn de voorschriften vastgesteld voor de doorgifte van persoonsgegevens door verwerkingsverantwoordelijken of verwerkers in de Unie aan derde landen en internationale organisaties, voor zover die doorgiften onder het toepassingsgebied ervan vallen. De voorschriften inzake de internationale doorgifte van gegevens zijn vastgelegd in hoofdstuk V (artikelen 44 tot en met 50) van die verordening. Hoewel het verkeer van persoonsgegevens van en naar landen buiten de Europese Unie noodzakelijk is voor de ontwikkeling van het grensoverschrijdende handelsverkeer en de internationale samenwerking, mogen doorgiften aan derde landen niet ten koste gaan van het beschermingsniveau van de persoonsgegevens in de Unie (2).

(2)

Op grond van artikel 45, lid 3, van Verordening (EU) 2016/679 kan de Commissie door middel van een uitvoeringshandeling besluiten dat een derde land, een gebied of één of meerdere nader bepaalde sectoren in een derde land, of een internationale organisatie een passend beschermingsniveau waarborgt. Onder deze voorwaarde kan de doorgifte van persoonsgegevens aan een derde land plaatsvinden zonder dat verdere toestemming noodzakelijk is, zoals bepaald in artikel 45, lid 1, en overweging 103 van Verordening (EU) 2016/679.

(3)

Zoals bepaald in artikel 45, lid 2, van Verordening (EU) 2016/679 moet de vaststelling van een adequaatheidsbesluit berusten op een grondige analyse van de rechtsorde van het derde land, die zowel de voorschriften betreft die gelden voor de importeurs van gegevens als de beperkingen en waarborgen wat betreft de toegang van overheidsinstanties tot persoonsgegevens. Bij haar beoordeling moet de Commissie nagaan of het betrokken derde land een beschermingsniveau waarborgt dat “in feite overeenkomend” is met het niveau dat in de Europese Unie wordt verzekerd (overweging 104 van Verordening (EU) 2016/679). Of dit het geval is, moet worden beoordeeld aan de hand van de wetgeving van de Unie, met name Verordening (EU) 2016/679, alsook de rechtspraak van het Hof van Justitie van de Europese Unie (3).

(4)

Zoals het Hof van Justitie van de Europese Unie heeft verklaard, is het hiervoor niet noodzakelijk dat hetzelfde beschermingsniveau wordt geboden (4). Met name mogen de middelen die het derde land in kwestie voor de bescherming van de persoonsgegevens tot zijn beschikking heeft, anders zijn dan de middelen die binnen de Unie worden ingezet, zolang zij in de praktijk doeltreffend genoeg blijken om een passend beschermingsniveau te bieden (5). De adequaatheidsnorm vereist daarom niet dat de voorschriften van de Unie integraal worden overgenomen. Het gaat er veeleer om of het betreffende buitenlandse systeem als geheel het vereiste beschermingsniveau biedt, door de invulling van het recht op privacy, de doeltreffende toepassing en afdwingbaarheid daarvan en het toezicht dat wordt uitgeoefend (6). De adequaatheidsreferentie van het Europees Comité voor gegevensbescherming, die deze norm verder beoogt te verduidelijken, biedt in dit verband ook een leidraad (7).

(5)

De Commissie heeft het Koreaanse recht en de Koreaanse rechtspraktijk zorgvuldig geanalyseerd. Op basis van de bevindingen in de overwegingen 8 tot en met 208 concludeert de Commissie dat de Republiek Korea een passend beschermingsniveau waarborgt voor persoonsgegevens die door een verwerkingsverantwoordelijke of verwerker in de Unie (8) worden doorgegeven aan entiteiten (bv. natuurlijke personen of rechtspersonen, organisaties, overheidsinstellingen) in Korea die onder het toepassingsgebied van de Wet bescherming persoonsinformatie vallen (Wet nr. 10465 van 29 maart 2011, zoals laatstelijk gewijzigd bij Wet nr. 16930 van 4 februari 2020). Dit omvat zowel verwerkingsverantwoordelijken als verwerkers (“opdrachtnemers” genoemd (9)) in de zin van Verordening (EU) 2016/679. Het adequaatheidsbesluit heeft geen betrekking de verwerking van persoonsgegevens voor het zendingswerk van religieuze organisaties en voor de voordracht van kandidaten door politieke partijen, of de verwerking van persoonlijke kredietinformatie uit hoofde van de Wet kredietinformatie door verwerkingsverantwoordelijken die onderworpen zijn aan het toezicht van de Commissie financiële diensten.

(6)

Bij deze conclusie is rekening gehouden met de aanvullende waarborgen die in Kennisgeving nr. 2021-5 (bijlage I) zijn uiteengezet en met de officiële verklaringen, garanties en toezeggingen van de Koreaanse regering aan de Commissie (bijlage II).

(7)

Dit besluit heeft tot gevolg dat doorgifte aan verwerkingsverantwoordelijken en verwerkers in de Republiek Korea zonder verdere toestemming kan plaatsvinden. Dit doet geen afbreuk aan de directe toepassing van Verordening (EU) 2016/679 op dergelijke entiteiten, voor zover is voldaan aan de voorwaarden betreffende het territoriale toepassingsgebied zoals vastgelegd in artikel 3 van die verordening.

(8)

Het Koreaanse rechtsstelsel inzake privacy en gegevensbescherming heeft zijn wortels in de Koreaanse grondwet, die op 17 juli 1948 is afgekondigd. Hoewel het recht op bescherming van persoonsgegevens niet uitdrukkelijk in de grondwet is opgenomen, wordt het niettemin erkend als een grondrecht, afgeleid van de grondwettelijke rechten op de menselijke waardigheid en het nastreven van geluk (artikel 10), het recht op een privéleven (artikel 17) en het recht op communicatieprivacy (artikel 18). Dit is bevestigd door zowel het Hooggerechtshof (10) als het Grondwettelijk Hof (11). Beperkingen van de grondrechten en fundamentele vrijheden (met inbegrip van het recht op privacy) mogen alleen bij wet worden opgelegd wanneer dat noodzakelijk is voor de nationale veiligheid of de handhaving van de openbare orde met het oog op het openbaar welzijn, en zij moeten de wezenlijke inhoud van de vrijheid of het recht onverlet laten (artikel 37, lid 2).

(9)

Hoewel de grondwet op verschillende plaatsen verwijst naar de rechten van Koreaanse staatsburgers, oordeelde het Grondwettelijk Hof dat de grondrechten ook voor buitenlandse onderdanen gelden (12). Met name oordeelde dit hof dat de bescherming van de waardigheid en de waarde van de mens, alsmede het recht om geluk na te streven, rechten zijn van ieder mens, niet alleen van de eigen staatsburgers (13). Volgens officiële verklaringen van de Koreaanse regering (14) wordt bovendien algemeen erkend dat in de artikelen 12 tot en met 22 van de grondwet (waarin het recht op privacy is opgenomen) wordt voorzien in fundamentele mensenrechten (15). Hoewel er tot dusver geen rechtspraak bestaat die specifiek op het recht op privacy van buitenlandse onderdanen betrekking heeft, wordt die conclusie ondersteund door het feit dat het recht op privacy voor buitenlandse onderdanen is gegrondvest in de bescherming van de menselijke waardigheid en het nastreven van geluk (16).

(10)

Bovendien heeft Korea een reeks wetten op het gebied van gegevensbescherming uitgevaardigd waarin waarborgen zijn opgenomen voor alle natuurlijke personen, ongeacht hun nationaliteit (17). Voor de toepassing van dit besluit, zijn de relevante wetten:

(11)

De PIPA vormt het algemene rechtskader voor gegevensbescherming in de Republiek Korea. Deze wet wordt aangevuld door een uitvoeringsdecreet (Presidentieel Decreet nr. 23169 van 29 september 2011, laatstelijk gewijzigd bij Presidentieel Decreet nr. 30892 van 4 augustus 2020) (hierna het “PIPA-uitvoeringsdecreet” genoemd), dat net als de PIPA juridisch bindend en afdwingbaar is.

(12)

Bovendien bevatten de “kennisgevingen” die door de Commissie bescherming persoonsinformatie (Personal Information Protection Commission — PIPC) zijn vastgesteld verdere voorschriften voor de interpretatie en toepassing van de PIPA. Op basis van artikel 5 (verplichtingen van de staat) en artikel 14 (internationale samenwerking) van de PIPA heeft de PIPC Kennisgeving nr. 2021-5 van 1 september 2020 (zoals gewijzigd bij Kennisgeving nr. 2021-1 van 21 januari 2021 en Kennisgeving nr. 2021-5 van 16 november 2021, hierna “Kennisgeving nr. 2021-5 genoemd) vastgesteld over de uitlegging, toepassing en handhaving van een aantal bepalingen van de PIPA. Deze kennisgeving bevat verduidelijkingen die van toepassing zijn op elke verwerking van persoonsgegevens in het kader van de PIPA, alsook aanvullende waarborgen voor persoonsgegevens die op basis van dit besluit aan Korea worden doorgegeven. De kennisgeving is juridisch bindend voor degenen die verantwoordelijk zijn voor de verwerking van persoonsinformatie en de opvolging ervan kan zowel door de PIPC als door de rechtbanken worden afgedwongen (19). Een schending van de voorschriften in de kennisgeving houdt een schending in van de relevante bepalingen van de PIPA die zij aanvullen. De inhoud van de aanvullende waarborgen wordt derhalve geanalyseerd als onderdeel van de beoordeling van de relevante PIPA-artikelen. Tot slot zijn verdere richtsnoeren over de PIPA en het uitvoeringsdecreet, dat informatie verschaft over de toepassing en handhaving van de gegevensbeschermingsvoorschriften door de PIPC, opgenomen in het PIPA-handboek en in de richtsnoeren van de PIPC (20).

(13)

Daarnaast bevat de Wet inzake het gebruik en de bescherming van kredietinformatie (Act on the Use and Protection of Credit Information - CIA) specifieke regels die zowel gelden voor “gewone” marktdeelnemers als voor gespecialiseerde entiteiten binnen de financiële sector wanneer zij persoonlijke kredietinformatie verwerken, met andere woorden informatie die nodig is om de kredietwaardigheid van partijen bij financiële of commerciële transacties te bepalen. Dit omvat in het bijzonder de naam, contactgegevens, financiële transacties, kredietbeoordeling, verzekeringsstatus of het saldo van een lening wanneer dergelijke informatie wordt gebruikt om de kredietwaardigheid van een natuurlijke persoon te bepalen (21). Wanneer dergelijke informatie daarentegen voor andere doeleinden wordt gebruikt (zoals personeelszaken), is de PIPA in haar geheel van toepassing. Het toezicht op de naleving van de specifieke bepalingen over gegevensbescherming in de CIA wordt deels uitgeoefend door de PIPC (voor commerciële organisaties, zie artikel 45-3 CIA) en deels door de Commissie financiële diensten (22) (voor de financiële sector, met inbegrip van kredietbeoordelingsbureaus, banken, verzekeringsmaatschappijen, onderlinge spaarbanken, gespecialiseerde kredietverstrekkers, financiële beleggingsmaatschappijen, effectenfinancieringsmaatschappijen, kredietcoöperaties enz., zie artikel 45, lid 1, CIA juncto artikel 36-2 van het CIA- uitvoeringsdecreet en artikel 38 van de Wet inzake de Commissie financiële diensten). In dit verband is de werkingssfeer van dit besluit beperkt tot marktdeelnemers die onder het toezicht van de PIPC vallen (23). De specifieke regels van de CIA die in deze context van toepassing zijn (de algemene PIPA-regels zijn van toepassing wanneer er geen specifieke regels bestaan), worden beschreven in punt 2.3.11.

(14)

Tenzij in andere wetten uitdrukkelijk anders is bepaald, wordt de bescherming van persoonsgegevens geregeld door de PIPA (artikel 6). Het materiële en personele toepassingsgebied wordt bepaald door de gedefinieerde begrippen “persoonsinformatie”, “verwerking” en “verantwoordelijke voor de verwerking van persoonsinformatie”.

(15)

In artikel 2, lid 1, PIPA wordt persoonsinformatie gedefinieerd als informatie betreffende een levende persoon waarmee die persoon direct kan worden geïdentificeerd, bijvoorbeeld aan de hand van zijn of haar naam, burgerregistratienummer of beeltenis, of indirect kan worden geïdentificeerd, namelijk wanneer informatie die op zich niet volstaat om een bepaalde natuurlijke persoon te identificeren, gemakkelijk met andere informatie kan worden gecombineerd. Of informatie “gemakkelijk” kan worden gecombineerd, hangt af van de vraag of een dergelijke combinatie redelijkerwijs waarschijnlijk is, rekening houdend met de mogelijkheid om andere informatie te verkrijgen en met de tijd, kosten en technologie die nodig zijn om een natuurlijke persoon te identificeren.

(16)

Bovendien wordt pseudonieme informatie — d.w.z. informatie aan de hand waarvan een specifieke natuurlijke persoon niet kan worden geïdentificeerd zonder dat de informatie met aanvullende gegevens wordt gebruikt of gecombineerd om de pseudonieme informatie in haar oorspronkelijke staat te herstellen — beschouwd als persoonsgegevens in de zin van de PIPA (artikel 2, lid 1, punt c), PIPA). Omgekeerd is informatie die volledig is “geanonimiseerd”, uitgesloten van het toepassingsgebied van de PIPA (artikel 58-2, PIPA). Dit is het geval voor informatie waarmee geen specifieke natuurlijke personen kunnen worden geïdentificeerd, zelfs niet in combinatie met andere informatie, rekening houdend met de tijd, kosten en technologie die redelijkerwijs nodig zijn voor identificatie.

(17)

Dit komt overeen met het materiële toepassingsgebied van Verordening (EU) 2016/679 en de daarin vervatte begrippen “persoonsgegevens”, “pseudonimisering” (24) en “geanonimiseerde informatie” (25).

(18)

Het begrip “verwerking” wordt in de PIPA ruim gedefinieerd en omvat het verzamelen, genereren, koppelen, met elkaar in verband brengen, vastleggen, opslaan, bewaren, verwerken met toegevoegde waarde, bewerken, opvragen, uitvoeren, corrigeren, herstellen, gebruiken, verstrekken, bekendmaken en vernietigen van persoonsinformatie en andere soortgelijke activiteiten (26). Hoewel in sommige bepalingen van de PIPA alleen wordt verwezen naar specifieke soorten verwerking, zoals “gebruiken”, “verstrekken” of “verzamelen” (27), wordt het begrip “gebruiken” zodanig geïnterpreteerd dat het elke andere soort verwerking behalve “verzamelen” of “verstrekken” (aan derden) omvat. Dankzij deze ruime interpretatie van het begrip “gebruiken” zijn er geen hiaten in de bescherming met betrekking tot specifieke verwerkingsactiviteiten. Het begrip “verwerking” komt derhalve overeen met hetzelfde begrip in Verordening (EU) 2016/679.

(19)

De PIPA is van toepassing op “verantwoordelijken voor de verwerking van persoonsinformatie” (“verwerkingsverantwoordelijke”). Net als in Verordening (EU) 2016/679 omvat dit elke overheidsinstelling, rechtspersoon, organisatie of natuurlijke persoon die direct of indirect, als onderdeel van zijn of haar activiteiten, persoonsgegevens verwerkt om bestanden met persoonsgegevens te beheren (28). In dit verband wordt met “bestand met persoonsinformatie” gedoeld op een of meerdere sets van persoonsinformatie die systematisch geordend of georganiseerd zijn op basis van bepaalde regels, zodat de persoonsinformatie gemakkelijk toegankelijk is (artikel 2, lid 4, PIPA) (29). De verwerkingsverantwoordelijke is verplicht om de personen die onder zijn leiding bij de verwerking betrokken zijn, zoals bedrijfsfunctionarissen of werknemers, intern op te leiden, en om passende controles en toezicht uit te oefenen (artikel 28, lid 1, PIPA).

(20)

Er gelden specifieke verplichtingen wanneer een verwerkingsverantwoordelijke (de “opdrachtgever”) de verwerking van persoonsgegevens uitbesteedt aan een derde (de “opdrachtnemer”). De uitbesteding moet met name worden geregeld in een juridisch bindende overeenkomst (doorgaans een contract) (30) waarin de omvang van de uitbestede taken, het doel van de verwerking, de toe te passen technische en beheerswaarborgen, het toezicht door de verwerkingsverantwoordelijke, de aansprakelijkheid (zoals voor schade ten gevolge van de niet-nakoming van contractuele verplichtingen) en de beperkingen op eventuele subverwerking zijn vastgelegd (31) (artikel 26, leden 1 en 2, PIPA juncto artikel 28, lid 1, van het uitvoeringsdecreet) (32).

(21)

Bovendien moet de verwerkingsverantwoordelijke de details over de uitbestede taken en de identiteit van de opdrachtnemer bekendmaken en voortdurend bijwerken, of, voor zover de uitbestede verwerking direct-marketingactiviteiten betreft, natuurlijke personen rechtstreeks in kennis stellen van de desbetreffende informatie (artikel 26, leden 2 en 3, PIPA juncto artikel 28, leden 2 tot en met 5, van het uitvoeringsdecreet) (33).

(22)

Voorts is de verwerkingsverantwoordelijke krachtens artikel 26, lid 4, PIPA juncto artikel 28, lid 6, van het uitvoeringsdecreet verplicht om de opdrachtnemer “op te leiden” (“to educate”) over de nodige beveiligingsmaatregelen en erop toe te zien, onder meer door middel van inspecties, of de opdrachtnemer alle door de verwerkingsverantwoordelijke opgelegde verplichtingen uit hoofde van de PIPA (34) alsook uit hoofde van de uitbestedingsovereenkomst nakomt. Wanneer de opdrachtnemer schade veroorzaakt door een inbreuk op de PIPA, wordt zijn of haar actie of nalatigheid met het oog op de aansprakelijkheid toegeschreven aan de verwerkingsverantwoordelijke, zoals in het geval van een werknemer (artikel 26, lid 6, PIPA).

(23)

Hoewel in de PIPA dus geen verschillende begrippen voor “verwerkingsverantwoordelijken” en “verwerkers” worden gebruikt, zijn in de voorschriften inzake uitbesteding in wezen gelijkwaardige verplichtingen en waarborgen opgenomen als die welke de relatie tussen verwerkingsverantwoordelijken en verwerkers regelen in het kader van Verordening (EU) 2016/679.

(24)

Hoewel de PIPA van toepassing is op de verwerking van persoonsgegevens door gelijk welke verwerkingsverantwoordelijke, bevatten sommige bepalingen specifieke regels (als lex specialis) voor de verwerking van persoonsgegevens van “gebruikers” door “aanbieders van informatie- en communicatiediensten” (35). Het begrip “gebruikers” omvat natuurlijke personen die gebruikmaken van informatie- en communicatiediensten (artikel 2, lid 1, punt 4, van de Wet ter bevordering van het gebruik van informatie- en communicatienetwerken en van gegevensbescherming, hierna de “Netwerkwet” genoemd). Dit vereist dat de betrokkene hetzij direct gebruikmaakt van telecommunicatiediensten die door een Koreaans telecommunicatiebedrijf worden verstrekt, hetzij gebruikmaakt van informatiediensten (36) die commercieel (d.w.z. met winstoogmerk) worden verstrekt door een entiteit die op haar beurt gebruikmaakt van de diensten van een telecommunicatiebedrijf dat in Korea een vergunning heeft verkregen/is geregistreerd (37). In beide gevallen is de entiteit die door de specifieke PIPA-bepalingen is gebonden, een entiteit die direct een onlinedienst aan een natuurlijke persoon (d.w.z. een gebruiker) aanbiedt.

(25)

Omgekeerd heeft een vaststelling van adequaatheid uitsluitend betrekking op het beschermingsniveau dat wordt geboden voor persoonsgegevens die door een verwerkingsverantwoordelijke/verwerker in de Unie worden doorgegeven aan een entiteit in een derde land (in dit geval de Republiek Korea). In laatstgenoemd scenario zullen natuurlijke personen in de Unie doorgaans alleen een directe band hebben met de “gegevensexporteur” in de Unie en niet met de Koreaanse aanbieder van informatie- en communicatiediensten (38). Daarom zullen de specifieke bepalingen van de PIPA met betrekking tot persoonsgegevens van gebruikers van informatie- en communicatiediensten hoogstens in beperkte gevallen van toepassing zijn op persoonsgegevens die in het kader van dit besluit worden doorgegeven.

(26)

Artikel 58, lid 1, PIPA sluit de toepassing van een deel van de PIPA (d.w.z. de artikelen 15 tot en met 57) uit met betrekking tot vier categorieën van gegevensverwerking (39). Met name de delen van de PIPA die betrekking hebben op de specifieke gronden voor verwerking, bepaalde verplichtingen inzake gegevensbescherming, de nadere regels voor de uitoefening van individuele rechten en de regels betreffende geschillenbeslechting door het Comité voor geschillenbeslechting in verband met persoonsinformatie zijn niet van toepassing. Andere basisbepalingen van de PIPA blijven van toepassing, met name de algemene bepalingen inzake de beginselen van gegevensbescherming (artikel 3 PIPA) – bijvoorbeeld de beginselen van rechtmatigheid, doelspecificatie en doelbinding, minimale gegevensverwerking, nauwkeurigheid en beveiliging van de gegevens – evenals de individuele rechten (op toegang, rectificatie, verwijdering en opschorting, zie artikel 4 PIPA). Bovendien worden in artikel 58, lid 4, PIPA specifieke eisen gesteld aan deze verwerkingsactiviteiten, namelijk met betrekking tot de minimale gegevensverwerking, de beperkte bewaring van gegevens, beveiligingsmaatregelen en de behandeling van klachten (40). Bijgevolg kunnen natuurlijke personen nog steeds een klacht indienen bij de PIPC indien deze beginselen en eisen niet zouden zijn nageleefd en is de PIPC gemachtigd om handhavingsmaatregelen te nemen in geval van niet-naleving.

(27)

Ten eerste heeft de gedeeltelijke vrijstelling betrekking op persoonsgegevens die op grond van de Statistiekwet worden verzameld voor verwerking door overheidsinstellingen. Volgens verduidelijkingen van de Koreaanse regering hebben de in dit verband verwerkte persoonsgegevens normaliter betrekking op Koreaanse onderdanen en kunnen zij slechts in uitzonderlijke gevallen informatie over buitenlanders bevatten, namelijk in het geval van statistieken over het binnenkomen op en verlaten van het grondgebied, of over buitenlandse investeringen. Zelfs in deze situaties worden dergelijke gegevens echter normaal gesproken niet doorgegeven door verwerkingsverantwoordelijken/verwerkers in de Unie, maar worden ze direct verzameld door overheidsinstanties in Korea (41). Bovendien gelden, net zoals is bepaald in overweging 162 van Verordening (EU) 2016/679, voor de verwerking van gegevens uit hoofde van de Statistiekwet verscheidene voorwaarden en waarborgen. De statistiekwet legt met name specifieke verplichtingen op, zoals de verplichting tot het waarborgen van nauwkeurigheid, consistentie en onpartijdigheid; het garanderen van de privacy van natuurlijke personen; het beschermen van de informatie van degenen die reageren op statistische vragen, onder meer om te voorkomen dat dergelijke gegevens voor andere doeleinden worden gebruikt dan voor het opstellen van statistieken, en het opleggen van geheimhoudingsvereisten aan personeelsleden (42). Overheidsinstanties die statistieken verwerken, moeten onder meer ook voldoen aan de beginselen van minimale gegevensverwerking, doelbinding en beveiliging (artikel 3 en 58, lid 4, PIPA) en personen in staat stellen hun rechten (tot toegang, correctie, verwijdering en schorsing, zie artikel 4 PIPA) uit te oefenen. Ten slotte moeten de gegevens in geanonimiseerde of gepseudonimiseerde vorm worden verwerkt, indien dit de verwezenlijking van het doel van de verwerking mogelijk maakt (artikel 3, lid 7, PIPA).

(28)

Ten tweede heeft artikel 58, lid 1, PIPA betrekking op persoonsgegevens die worden verzameld of gevraagd voor de analyse van informatie in verband met de nationale veiligheid. Het toepassingsgebied en de gevolgen van deze gedeeltelijke vrijstelling worden nader beschreven in overweging 149.

(29)

Ten derde is de gedeeltelijke vrijstelling van toepassing op de tijdelijke verwerking van persoonsgegevens wanneer dit dringend noodzakelijk is om redenen van openbare veiligheid of beveiliging, met inbegrip van de volksgezondheid. Deze categorie wordt door de PIPC strikt geïnterpreteerd en is volgens de ontvangen informatie nooit gebruikt. Zij is alleen van toepassing in noodsituaties die een dringend optreden vereisen, bijvoorbeeld om ziekteverwekkers op te sporen of om slachtoffers van natuurrampen te redden en te helpen (43). Zelfs in die situaties heeft de gedeeltelijke vrijstelling slechts betrekking op de verwerking van persoonsgegevens gedurende de beperkte periode die nodig is om een dergelijke handeling uit te voeren. De situaties waarin dit van toepassing zou kunnen zijn op de onder dit besluit vallende doorgiften van gegevens zijn nog beperkter, aangezien het weinig waarschijnlijk is dat persoonsgegevens die door de Unie aan Koreaanse marktdeelnemers worden doorgegeven, van dien aard zijn dat de latere verwerking ervan “dringend noodzakelijk” zou zijn voor dergelijke noodsituaties.

(30)

Tot slot is de gedeeltelijke vrijstelling van toepassing op persoonsgegevens die worden verzameld of gebruikt door de pers, voor het zendingswerk van religieuze organisaties of voor de voordracht van kandidaten door politieke partijen. De vrijstelling geldt alleen wanneer persoonsgegevens door de pers, religieuze organisaties of politieke partijen worden verwerkt voor die specifieke doeleinden (d.w.z. journalistieke activiteiten, missiewerk en de voordracht van politieke kandidaten). Wanneer deze entiteiten persoonsgegevens verwerken voor andere doeleinden, zoals personeelsbeheer of interne administratie, is de PIPA volledig van toepassing.

(31)

Wat de verwerking van persoonsgegevens door de pers voor journalistieke activiteiten betreft, wordt het evenwicht tussen de vrijheid van meningsuiting en andere rechten (waaronder het recht op privacy) geregeld door de Wet betreffende arbitrage en rechtsmiddelen enz. voor schade veroorzaakt door persberichten (hierna de “Perswet” genoemd) (44). Met name artikel 5 van de Perswet bepaalt dat noch de pers (d.w.z. elke omroeporganisatie, krant, tijdschrift of onlinekrant), noch gelijk welke onlinenieuwsdienst of multimedia-omroeporganisatie op het internet inbreuken mag maken op de privacy van natuurlijke personen. Indien zich toch een inbreuk op de privacy voordoet, moet deze onmiddellijk worden verholpen volgens specifieke procedures die in de wet zijn vastgesteld. In dit verband verleent de wet natuurlijke personen die schade lijden door een persbericht een aantal rechten, zoals het recht op de publicatie van een correctie in het geval van een onjuiste verklaring, een rectificatie door middel van een andersluidende verklaring of een aanvullend bericht (wanneer een persbericht betrekking heeft op aantijgingen van misdrijven waarvan de betrokkene later wordt vrijgesproken) (45). Vorderingen van natuurlijke personen kunnen direct door de persorganisaties worden afgehandeld (via een ombudsdienst) (46), via bemiddeling of arbitrage (voor een gespecialiseerde arbitragecommissie voor de pers) (47) of voor een rechtbank. Natuurlijke personen kunnen ook een schadevergoeding krijgen wanneer zij financiële schade, inbreuken op een persoonlijkheidsrecht of ander emotioneel leed hebben geleden als gevolg van een onwettige handeling van de pers (door opzet of nalatigheid) (48). De pers is vrijgesteld van aansprakelijkheid op grond van de wet voor zover een persbericht dat ingrijpt in iemands rechten niet in strijd is met de maatschappelijke waarden en wordt gepubliceerd hetzij met instemming van de persoon in kwestie, hetzij in het algemeen belang (en er voldoende redenen zijn om aan te nemen dat het bericht overeenstemt met de waarheid) (49).

(32)

Terwijl de verwerking van persoonsgegevens door de pers met het oog op journalistieke activiteiten dus onderworpen is aan specifieke waarborgen uit hoofde van de Perswet, zijn er geen dergelijke aanvullende waarborgen die een kader scheppen voor de toepassing van uitzonderingen voor verwerkingsactiviteiten door religieuze organisaties en politieke partijen op een manier die vergelijkbaar is met de artikelen 85, 89 en 91 van Verordening (EU) 2016/679. De Commissie acht het derhalve passend om religieuze organisaties, voor zover zij persoonsgegevens verwerken in het kader van hun zendingswerk, en politieke partijen, voor zover zij persoonsgegevens verwerken in het kader van de voordracht van kandidaten, uit te sluiten van het toepassingsgebied van dit besluit.

(33)

Persoonsgegevens moeten op rechtmatige en behoorlijke wijze worden verwerkt.

(34)

Dit beginsel is vastgesteld in artikel 3, leden 1 en 2, PIPA en wordt versterkt door artikel 59 PIPA, dat de verwerking van persoonsgegevens door middel van fraude, ongeoorloofde of ongerechtvaardigde middelen, zonder wettelijke bevoegdheid of buiten het gezag om verbiedt (50). Deze algemene beginselen van rechtmatige verwerking zijn nader uitgewerkt in de artikelen 15 tot en met 19 PIPA, waarin de verschillende rechtsgrondslagen voor verwerking (verzameling, gebruik en verstrekking aan derden) worden uiteengezet, met inbegrip van de omstandigheden waarin dit een wijziging van het doel kan inhouden (artikel 18 PIPA).

(35)

Volgens artikel 15, lid 1, PIPA mag een verwerkingsverantwoordelijke persoonsgegevens (binnen het toepassingsgebied van het doel van de verzameling) slechts op een beperkt aantal rechtsgronden verzamelen. Dit zijn 1) de toestemming van de betrokkene (51) (punt 1); 2) de noodzaak om een overeenkomst met de betrokkene uit te voeren (punt 4); 3) een speciale vergunning via de wet of de noodzaak om een wettelijke verplichting na te komen (punt 2); de noodzaak (52) voor een openbare instelling om de taken uit te voeren die binnen haar bevoegdheid vallen, zoals bij wet voorgeschreven; 4) de duidelijke noodzaak om het leven, de lichamelijke integriteit of de eigendomsbelangen van de betrokkene of van een derde tegen onmiddellijk gevaar te beschermen (alleen indien de betrokkene niet in staat is zijn of haar wil kenbaar te maken, of indien geen voorafgaande toestemming kan worden verkregen) (punt 5); 5) de noodzaak om het rechtmatige belang van de verwerkingsverantwoordelijke te verwezenlijken, indien dit duidelijk zwaarder doorweegt dan het belang van de betrokkene (en alleen wanneer de verwerking wezenlijk verband houdt met het gerechtvaardigd belang en niet verder gaat dan wat redelijk is) (punt 6) (53). Deze verwerkingsgronden zijn in wezen gelijkwaardig aan die van artikel 6 van Verordening (EU) 2016/679, met inbegrip van de grond rechtmatig belang (“justifiable interest”) die gelijk is aan de grond “gerechtvaardigde belangen” (“legitimate interests”) in artikel 6, lid 1, punt f), van Verordening (EU) 2016/679.

(36)

Zodra ze zijn verzameld, mogen persoonsgegevens worden gebruikt binnen het toepassingsgebied van het doel waarvoor ze zijn verzameld (artikel 15, lid 1, PIPA), of binnen het toepassingsgebied dat redelijkerwijs verband houdt met het doel waarvoor ze zijn verzameld, rekening houdend met eventuele nadelen voor de betrokkene en op voorwaarde dat de nodige beveiligingsmaatregelen (bv. encryptie) zijn getroffen (artikel 15, lid 3, PIPA). Om te bepalen of het gebruiksdoel “redelijkerwijs verband houdt” met het oorspronkelijke verzameldoel, bevat het uitvoeringsdecreet specifieke criteria, die vergelijkbaar zijn met die van artikel 6, lid 4, van Verordening (EU) 2016/679. Met name moet er voldoende verband zijn met het oorspronkelijke doel; moet het extra gebruik voorspelbaar zijn (bijvoorbeeld in het licht van de omstandigheden waarin de informatie is verzameld), en moeten de gegevens, waar mogelijk, worden gepseudonimiseerd (54). De specifieke criteria die een verwerkingsverantwoordelijke bij deze beoordeling hanteert, moeten vooraf worden bekendgemaakt in het privacybeleid (55). Bovendien moet de privacyfunctionaris (zie overweging 94) specifiek nagaan of verder gebruik plaatsvindt binnen die parameters.

(37)

Soortgelijke (maar iets strengere) voorschriften gelden voor de verstrekking van gegevens aan een derde partij. Overeenkomstig artikel 17, lid 1, PIPA is de verstrekking van persoonsgegevens aan een derde partij toegestaan op basis van toestemming (56) of, binnen het doel van de verzameling, wanneer de informatie is verzameld op een van de rechtsgronden in artikel 15, lid 1, punten 2, 3, en 5, PIPA. Dit sluit met name elke openbaarmaking uit die is gebaseerd op het “rechtmatig belang” van de verwerkingsverantwoordelijke. Daarnaast wordt in artikel 17, lid 4, PIPA toegestaan dat gegevens aan derden worden verstrekt binnen het toepassingsgebied dat redelijkerwijs verband houdt met het doel waarvoor ze zijn verzameld, rekening houdend met eventuele nadelen voor de betrokkene en op voorwaarde dat de nodige beveiligingsmaatregelen (bv. encryptie) zijn getroffen. Dezelfde factoren als die welke in overweging 36 zijn beschreven, moeten in aanmerking worden genomen om te beoordelen of de verstrekking binnen het toepassingsgebied valt dat redelijkerwijs in verband staat met het doel van de verzameling, en dezelfde waarborgen (d.w.z. met betrekking tot transparantie door middel van het privacybeleid en de betrokkenheid van de privacyfunctionaris) zijn van toepassing.

(38)

De ontvangst van persoonsgegevens uit de Unie door een Koreaanse verwerkingsverantwoordelijke wordt beschouwd als een “verzameling” in de zin van artikel 15 PIPA. In Kennisgeving nr. 2021-5 (deel I van bijlage I bij dit besluit) wordt verduidelijkt dat het doel waarvoor de gegevens door de betrokken EU-entiteit zijn doorgegeven, voor de Koreaanse verwerkingsverantwoordelijke het doel van de verzameling vormt. Bijgevolg zijn de Koreaanse verwerkingsverantwoordelijken die persoonsgegevens uit de Unie ontvangen, in beginsel verplicht die informatie te verwerken binnen het toepassingsgebied van het doel van de doorgifte, overeenkomstig artikel 17 PIPA.

(39)

Er gelden bijzondere beperkingen indien de verwerkingsverantwoordelijke de persoonsgegevens wil gebruiken of aan een derde wil verstrekken voor een ander doel dan waarvoor ze werden verzameld (57). Overeenkomstig artikel 18, lid 2, PIPA kan een particuliere verwerkingsverantwoordelijke bij wijze van uitzondering (58) persoonsgegevens gebruiken of deze aan een derde verstrekken voor een ander doel: 1) op basis van de aanvullende (d.w.z. afzonderlijke) toestemming van de betrokkene; 2) wanneer bijzondere wettelijke bepalingen in deze mogelijkheid voorzien, of 3) wanneer dit duidelijk nodig is om het leven, de lichamelijke integriteit of de eigendomsbelangen van de betrokkene of van een derde tegen onmiddellijk gevaar te beschermen (alleen indien de betrokkene niet in staat is zijn of haar wil kenbaar te maken en geen voorafgaande toestemming kan worden verkregen) (59).

(40)

Overheidsinstellingen kunnen in bepaalde situaties ook persoonsgegevens gebruiken of voor een ander doel aan een derde partij verstrekken. Het gaat dan om gevallen waarin het voor overheidsinstellingen anders onmogelijk zou zijn hun bij wet voorgeschreven taken uit te voeren, onder voorbehoud van toestemming van de PIPC. Daarnaast kunnen overheidsinstellingen persoonsgegevens aan een andere autoriteit of een rechtbank verstrekken, indien dit noodzakelijk is voor het onderzoeken en vervolgen van misdrijven of voor een tenlastelegging; voor een rechtbank om taken in verband met lopende gerechtelijke procedures uit te voeren, of voor de uitvoering van een strafrechtelijke sanctie, een terbeschikkingstelling of verzekerde bewaring (60). Zij kunnen ook persoonsgegevens verstrekken aan een buitenlandse overheid of internationale organisatie om te voldoen aan een wettelijke verplichting die voortvloeit uit een verdrag of internationale overeenkomst, in welk geval zij ook moeten voldoen aan de vereisten voor grensoverschrijdende doorgiften van gegevens (zie overweging 90).

(41)

De beginselen van rechtmatigheid en behoorlijkheid van de verwerking worden derhalve in het Koreaanse rechtskader uitgevoerd op een manier die in wezen overeenkomt met Verordening (EU) 2016/679, doordat verwerking alleen is toegestaan op basis van gerechtvaardigde en duidelijk omschreven gronden. Bovendien is de verwerking in alle genoemde gevallen alleen toegestaan indien het onwaarschijnlijk is dat de belangen van de betrokkene of van een derde partij onredelijk worden geschaad, anders is een belangenafweging vereist. Bovendien schrijft artikel 18, lid 5, PIPA aanvullende waarborgen voor wanneer de verwerkingsverantwoordelijke de persoonsgegevens aan een derde partij verstrekt, waaronder een verzoek om het doel en de wijze van gebruik te beperken, of om specifieke beveiligingsmaatregelen te treffen. De derde partij is op haar beurt verplicht de gevraagde maatregelen uit te voeren.

(42)

Tot slot is in artikel 28-2 PIPA de (verdere) verwerking van gepseudonimiseerde informatie toegestaan zonder toestemming van de betrokkene met het oog op statistieken, wetenschappelijk onderzoek (61) en archivering in het algemeen belang, mits specifieke waarborgen worden geboden. Vergelijkbaar met Verordening (EU) 2016/679 (62), vergemakkelijkt de PIPA derhalve de (verdere) verwerking van persoonsgegevens voor dergelijke doeleinden binnen een kader dat voorziet in passende waarborgen om de rechten van natuurlijke personen te beschermen. In plaats van te vertrouwen op pseudonimisering als mogelijke waarborg, legt de PIPA dit op als voorwaarde om bepaalde verwerkingsactiviteiten te mogen uitvoeren met het oog op statistieken, wetenschappelijk onderzoek en archivering in het algemeen belang (bijvoorbeeld om de gegevens zonder toestemming te kunnen verwerken of om verschillende gegevensreeksen te combineren).

(43)

Bovendien legt de PIPA een aantal specifieke waarborgen op, met name wat betreft de vereiste technische en organisatorische maatregelen, het bijhouden van registers, beperkingen op het delen van gegevens en de aanpak van mogelijke risico’s van re-identificatie. De combinatie van de verschillende in de overwegingen 44 tot en met 48 beschreven waarborgen zorgt ervoor dat de verwerking van persoonsgegevens in deze context onderworpen is aan beschermingsmaatregelen die in wezen overeenkomen met die welke op grond van Verordening (EU) 2016/679 vereist zouden zijn.

(44)

Eerst en vooral verbiedt artikel 28-5, lid 1, PIPA de verwerking van gepseudonimiseerde informatie met het oog op de identificatie van een bepaalde natuurlijke persoon. Indien bij de verwerking van gepseudonimiseerde informatie toch informatie wordt gegenereerd waarmee een natuurlijke persoon kan worden geïdentificeerd, moet de verwerkingsverantwoordelijke de verwerking onmiddellijk opschorten en de informatie vernietigen (artikel 28-5, lid 2, PIPA). Niet-naleving van deze bepalingen kan worden bestraft met administratieve boetes en vormt een strafbaar feit (63). Dit betekent dat, zelfs in situaties waarin het praktisch mogelijk zou zijn de betrokkene opnieuw te identificeren, een dergelijke re-identificatie bij wet verboden is.

(45)

Ten tweede moet de verwerkingsverantwoordelijke bij (verdere) verwerking van gepseudonimiseerde informatie voor dergelijke doeleinden, specifieke technologische, fysieke en beheersmaatregelen treffen om de beveiliging van de informatie te waarborgen (waaronder het afzonderlijk opslaan en beheren van de informatie die nodig is om de gepseudonimiseerde informatie in haar oorspronkelijke staat te herstellen) (64). Bovendien moet een register worden bijgehouden van de verwerkte gepseudonimiseerde informatie, het doel van de verwerking, de gebruiksgeschiedenis en eventuele derde partijen die de informatie ontvangen (artikel 29-5, lid 2, van het PIPA-uitvoeringsdecreet).

(46)

Ten derde en ten laatste voorziet de PIPA in specifieke waarborgen om de identificatie van natuurlijke personen door derden te voorkomen in het geval de informatie wordt gedeeld. In het bijzonder mogen verwerkingsverantwoordelijken, wanneer zij gepseudonimiseerde informatie aan derden verstrekken met het oog op statistieken, wetenschappelijk onderzoek of archivering in het algemeen belang, geen informatie opnemen die kan worden gebruikt om een specifieke natuurlijke persoon te identificeren (artikel 28-2, lid 2, PIPA) (65).

(47)

Meer bepaald staat de PIPA weliswaar toe dat gepseudonimiseerde informatie (die door verschillende verwerkingsverantwoordelijken wordt verwerkt) wordt gecombineerd met het oog op statistieken, wetenschappelijk onderzoek of archivering in het algemeen belang, maar is die bevoegdheid voorbehouden aan gespecialiseerde instellingen die over specifieke beveiligingsvoorzieningen beschikken (artikel 28-3, lid 1, PIPA) (66). Wanneer een verwerkingsverantwoordelijke om een combinatie van gepseudonimiseerde gegevens verzoekt, moet hij of zij onder meer documentatie verstrekken over de te combineren gegevens, het doel van de combinatie, alsook de voorgestelde beveiligingsmaatregelen voor de verwerking van de gecombineerde gegevens (67). Om de combinatie mogelijk te maken, moet de verwerkingsverantwoordelijke de te combineren gegevens naar de gespecialiseerde instelling sturen en een “combinatiesleutel” (d.w.z. de informatie die voor pseudonimisering is gebruikt) aan het Koreaans Agentschap voor internet en veiligheid verstrekken (68). Dat agentschap genereert “koppelingsgegevens van combinatiesleutels” (die het mogelijk maken de combinatiesleutels van verschillende aanvragers te koppelen om de gegevensreeksen te combineren) en verstrekt deze aan de gespecialiseerde instelling (69).

(48)

De verwerkingsverantwoordelijke die om de combinatie verzoekt, mag de gecombineerde informatie analyseren in de gebouwen van de gespecialiseerde instelling, in een ruimte waar specifieke technische, fysieke en administratieve beveiligingsmaatregelen worden toegepast (artikel 29-3 van het PIPA-uitvoeringsdecreet). Verwerkingsverantwoordelijken die een gegevensreeks voor een dergelijke combinatie bijdragen, mogen de gecombineerde gegevens alleen uit de gespecialiseerde instelling verwijderen na verdere pseudonimisering of anonimisering van de gecombineerde gegevens, en met de goedkeuring van die instelling (artikel 28-3, lid 2, PIPA) (70). Wanneer wordt nagegaan of al dan niet toestemming kan worden verleend, beoordeelt de instelling het verband tussen de gecombineerde gegevens en het doel van de verwerking, en gaat zij na of er een specifiek beveiligingsplan voor het gebruik van deze gegevens is opgesteld (71). Het uitvoeren van de gecombineerde informatie buiten de instelling is niet toegestaan indien de informatie gegevens bevat waarmee een natuurlijke persoon kan worden geïdentificeerd (72). Tot slot oefent de PIPC toezicht uit op het combineren en vrijgeven van gepseudonimiseerde gegevens door de gespecialiseerde instelling (artikel 29-4, lid 3, van het PIPA-uitvoeringsdecreet).

(49)

Wanneer “bijzondere categorieën” gegevens worden verwerkt, moet worden voorzien in bijzondere waarborgen.

(50)

De PIPA bevat specifieke voorschriften met betrekking tot de verwerking van gevoelige gegevens (73), die worden gedefinieerd als persoonsgegevens waaruit informatie kan worden afgeleid over de levensbeschouwing, het geloof, de toetreding tot of uittreding uit een vakvereniging of politieke partij, de politieke opvattingen, de gezondheid en het seksleven van een persoon, alsook andere persoonsinformatie die de persoonlijke levenssfeer van de betrokkene “merkbaar” kan bedreigen en die bij presidentieel decreet (74) als gevoelige informatie is aangemerkt. Volgens verduidelijkingen die zijn ontvangen van de PIPC wordt onder seksleven ook de seksuele geaardheid of voorkeur van de persoon verstaan (75). Bovendien voegt artikel 18 van het uitvoeringsdecreet nog andere categorieën toe aan de reikwijdte van gevoelige gegevens, met name DNA-informatie die is verkregen door genetische tests en gegevens die een strafblad vormen. De recente wijziging van het PIPA-uitvoeringsdecreet heeft het begrip gevoelige gegevens verder verruimd, door ook persoonsgegevens op te nemen waaruit het ras of de etnische afkomst blijkt en biometrische informatie (76). Sinds die wijziging is het begrip “gevoelige gegevens” in het kader van de PIPA in wezen gelijkwaardig aan wat is opgenomen in artikel 9 van Verordening (EU) 2016/679.

(51)

Volgens artikel 23, lid 1, PIPA en vergelijkbaar met wat is bepaald in artikel 9, lid 1, van Verordening (EU) 2016/679, is de verwerking van gevoelige gegevens in het algemeen verboden, tenzij een van de opgesomde uitzonderingen van toepassing is (77). Die beperken de verwerking tot gevallen waarin de verwerkingsverantwoordelijke de betrokkene informeert overeenkomstig de artikelen 15 en 17 PIPA en afzonderlijke toestemming verkrijgt (d.w.z. los van de toestemming voor de verwerking van andere persoonsgegevens), of waarin de verwerking bij wet verplicht of toegestaan is. Overheidsinstanties mogen ook biometrische informatie, DNA-informatie uit genetische tests, persoonsinformatie waaruit ras of etnische afkomst blijkt en gegevens die een strafblad vormen, verwerken op de gronden waarover uitsluitend zij beschikken (bijvoorbeeld wanneer dit noodzakelijk is voor het onderzoek naar misdrijven of voor de behandeling van een zaak door een rechtbank) (78). Als zodanig zijn de beschikbare rechtsgrondslagen voor de verwerking van gevoelige gegevens beperkter dan voor andere soorten persoonsgegevens, en in de Koreaanse wetgeving zelfs beperkender dan het bepaalde in artikel 9, lid 2, van Verordening (EU) 2016/679.

(52)

Bovendien wordt in artikel 23, lid 2, PIPA — waarvan de niet-naleving kan leiden tot sancties (79) — het bijzondere belang benadrukt om te zorgen voor een passende beveiliging bij de behandeling van gevoelige gegevens, zodat deze niet verloren kunnen gaan of gestolen, openbaar gemaakt, vervalst, gewijzigd of beschadigd kunnen worden. Hoewel dit een algemeen vereiste is uit hoofde van artikel 29 PIPA, wordt in artikel 3, lid 4, duidelijk gesteld dat het beveiligingsniveau moet worden afgestemd op het soort persoonsgegevens dat wordt verwerkt, hetgeen betekent dat rekening moet worden gehouden met de bijzondere risico’s die aan de verwerking van gevoelige gegevens zijn verbonden. Bovendien moet de verwerking van gegevens altijd op zodanige wijze plaatsvinden dat de mogelijkheid om inbreuken te plegen op de persoonlijke levenssfeer van de betrokkene zo gering mogelijk is, en indien mogelijk “in anonimiteit” (artikel 3, leden 6 en 7, PIPA). Deze vereisten zijn met name relevant wanneer de verwerking betrekking heeft op gevoelige gegevens.

(53)

Persoonsgegevens moeten worden verzameld voor een specifiek doel en op een manier die niet onverenigbaar is met het doel van de verwerking.

(54)

Dit beginsel wordt gewaarborgd door artikel 3, leden 1 en 2, PIPA, waarin is bepaald dat de verwerkingsverantwoordelijke het doel van de verwerking vaststelt en duidelijk maakt, persoonsgegevens verwerkt op een passende wijze die noodzakelijk is voor dat doel, en deze gegevens niet voor andere dan dat doeleinde gebruikt. Het algemene beginsel van doelbinding wordt ook bevestigd in artikel 15, lid 1, artikel 18, lid 1, artikel 19 en — voor verwerkers (zogenoemde “opdrachtnemers”) — in artikel 26, lid 1, punt 1, en leden 5 en 7, PIPA. Persoonsgegevens mogen met name in beginsel alleen worden gebruikt en aan derden worden verstrekt binnen de grenzen van het doel waarvoor zij zijn verzameld (artikel 15, lid 1, en artikel 17, lid 1, punt 2). Verwerking voor een verenigbaar doel, d.w.z. binnen het toepassingsgebied dat redelijkerwijs in verband staat met het oorspronkelijke doel van de verzameling, mag alleen plaatsvinden indien de betrokkenen daarvan geen nadelige gevolgen ondervinden en indien de nodige beveiligingsmaatregelen (zoals encryptie) worden getroffen (artikel 15, lid 3, en artikel 17, lid 4, PIPA). Om te bepalen of verdere verwerking een verenigbaar doel dient, somt het PIPA-uitvoeringsdecreet specifieke criteria op die vergelijkbaar zijn met die van artikel 6, lid 4, van Verordening (EU) 2016/679, zie overweging 36.

(55)

Zoals in overweging 38 is uiteengezet, is het doel van de verzameling in het geval van Koreaanse verwerkingsverantwoordelijken die persoonsgegevens uit de Unie ontvangen, het doel waarvoor de gegevens worden doorgegeven. Een wijziging van het doel door de verwerkingsverantwoordelijke wordt slechts uitzonderlijk toegestaan, in specifieke (opgesomde) gevallen (artikel 18, lid 2, punt 1-3, PIPA, zie ook overweging 39). Voor zover een wijziging van het doel bij wet is toegestaan, moeten dergelijke wetten op hun beurt het fundamentele recht op privacy en gegevensbescherming eerbiedigen, evenals het noodzakelijkheid- en het evenredigheidssbeginsel, welke in de Koreaanse grondwet zijn neergelegd. Bovendien voorziet artikel 18, leden 2 en 5, PIPA in aanvullende waarborgen, met name de eis dat een dergelijke wijziging van het doel geen ongerechtvaardigde inbreuk mag vormen op het belang van een betrokkene, zodat altijd een belangenafweging moet worden gemaakt. Dit voorziet in een beschermingsniveau dat in wezen gelijkwaardig is aan dat van artikel 5, lid 1, punt b), en artikel 6, juncto overweging 50, van Verordening (EU) 2016/679.

(56)

De persoonsgegevens moeten juist zijn en zo nodig worden geactualiseerd. Zij moeten ook toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.

(57)

Het beginsel van juistheid wordt ook erkend in artikel 3, lid 3, PIPA, waarin is bepaald dat persoonsgegevens juist, volledig en geactualiseerd moeten zijn, voor zover dat nodig is in verband met de doeleinden waarvoor de gegevens worden verwerkt. Het beginsel van minimale gegevensverwerking geldt op grond van artikel 3, leden 1 en 6, en artikel 16, lid 1, PIPA, waarin is bepaald dat de verwerkingsverantwoordelijke (slechts) persoonsgegevens verzamelt in de mate die minimaal noodzakelijk is voor het beoogde doel, en dat hij of zij in dit verband de bewijslast draagt. Indien het mogelijk is aan het doel van de verzameling te voldoen door informatie in geanonimiseerde vorm te verwerken, moeten de verwerkingsverantwoordelijken ernaar streven dit te doen (artikel 3, lid 7, PIPA).

(58)

Persoonsgegevens mogen in beginsel niet langer worden bewaard dan noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.

(59)

Het beginsel van opslagbeperking is eveneens vastgelegd in artikel 21, lid 1, PIPA (80), waarin is bepaald dat de verwerkingsverantwoordelijke (81) persoonsgegevens onverwijld moet vernietigen zodra het doel van de verwerking is bereikt of zodra de bewaringstermijn is verstreken (afhankelijk van wat er eerst komt), tenzij verdere bewaring bij wet is voorgeschreven (82). In dat laatste geval moeten de relevante persoonsgegevens gescheiden van andere persoonsinformatie worden opgeslagen en beheerd (artikel 21, lid 3, PIPA).

(60)

Artikel 21, lid 1, PIPA is niet van toepassing wanneer gepseudonimiseerde gegevens worden verwerkt voor statistische doeleinden, wetenschappelijk onderzoek of archivering in het algemeen belang (83). Om ook in dit geval het beginsel van beperkte bewaring van gegevens te waarborgen, schrijft Kennisgeving 2021-5 voor dat de verwerkingsverantwoordelijken de informatie moeten anonimiseren overeenkomstig artikel 58-2 PIPA indien de gegevens niet zijn vernietigd nadat het specifieke doel van de verwerking is verwezenlijkt (84).

(61)

Persoonsgegevens moeten op een dusdanige manier worden verwerkt dat de beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. Daartoe moeten bedrijfsexploitanten passende technische of organisatorische maatregelen treffen om de persoonsgegevens te beschermen tegen mogelijke bedreigingen. Deze maatregelen moeten worden beoordeeld met inachtneming van de stand van de techniek, de daaraan verbonden kosten en de aard, de reikwijdte, de context en de doeleinden van de verwerking, alsmede de risico’s voor de rechten van natuurlijke personen.

(62)

Een soortgelijk veiligheidsbeginsel is vastgesteld in artikel 3, lid 4, PIPA, dat verwerkingsverantwoordelijken verplicht de persoonsinformatie veilig te beheren, afhankelijk van de verwerkingsmethoden, soorten enz. van de persoonsinformatie, rekening houdend met de mogelijkheid van inbreuken op de rechten van de betrokkenen en de ernst van de desbetreffende risico’s. Bovendien moet de verwerkingsverantwoordelijke de persoonsinformatie op zodanige wijze verwerken dat de mogelijkheid van inbreuken op de privacy van de betrokkene tot een minimum wordt beperkt, en er in dit verband naar streven om de persoonsgegevens zo mogelijk anoniem of in gepseudonimiseerde vorm te verwerken (artikel 3, leden 6 en 7, PIPA).

(63)

Deze algemene vereisten worden verder uitgewerkt in artikel 29 PIPA, waarin is bepaald dat elke verwerkingsverantwoordelijke de technische, fysieke en beheersmaatregelen treft die nodig zijn om de bij presidentieel decreet voorgeschreven veiligheid te waarborgen, zoals de opstelling van een intern beheersplan en het bewaren van inloggegevens enz. zodat de persoonsinformatie niet verloren kan gaan of gestolen, openbaar gemaakt, vervalst, veranderd of beschadigd kan worden. In artikel 30, lid 1, van het PIPA-uitvoeringsdecreet worden deze maatregelen gespecificeerd door te verwijzen naar 1) de opstelling en uitvoering van een intern beheersplan voor de veilige verwerking van persoonsgegevens, 2) toegangscontroles en -beperkingen, 3) het gebruik van encryptietechnologie om persoonsgegevens veilig op te slaan en door te geven, 4) aanmeldingsregisters, 5) beveiligingsprogramma’s, en 6) fysieke maatregelen zoals een veilig opslag- of vergrendelingssysteem (85).

(64)

Bovendien gelden specifieke verplichtingen indien zich een inbreuk in verband met persoonsgegevens voordoet (artikel 34 PIPA juncto artikelen 39 en 40 van het PIPA-uitvoeringsdecreet) (86). De verwerkingsverantwoordelijke is met name verplicht de benadeelde betrokkenen onverwijld in kennis te stellen van de details van de inbreuk (87), met inbegrip van informatie over (verplichte) tegenmaatregelen die de verwerkingsverantwoordelijke heeft genomen en over eventuele acties die de betrokkenen kunnen ondernemen om het risico op schade zoveel mogelijk te beperken (artikel 34, leden 1 en 2, PIPA) (88). Indien het gegevenslek betrekking heeft op ten minste 1 000 betrokkenen, meldt de verwerkingsverantwoordelijke het gegevenslek en de getroffen tegenmaatregelen ook onverwijld aan de PIPC en het Koreaans Agentschap voor internet en veiligheid, die technische bijstand kunnen verlenen (artikel 34, lid 3, PIPA juncto artikel 39 van het PIPA-uitvoeringsdecreet). Verwerkingsverantwoordelijken zijn aansprakelijk voor schade als gevolg van gegevenslekken, overeenkomstig het burgerlijk wetboek inzake aansprakelijkheid uit onrechtmatige daad (zie ook punt 2.5 over verhaalsmogelijkheden) (89).

(65)

In het kader van de naleving van de veiligheidsverplichtingen moet de verwerkingsverantwoordelijke worden bijgestaan door een privacyfunctionaris, die onder meer als taak heeft een intern controlesysteem op te zetten om de verspreiding, het misbruik en het oneigenlijke gebruik van persoonsinformatie te voorkomen (artikel 31, lid 2, punt 4, PIPA). Bovendien heeft de verwerkingsverantwoordelijke de plicht om passende controles en toezicht uit te oefenen op de personeelsleden die persoonsgegevens verwerken, ook wat het veilige beheer ervan betreft; dit omvat de noodzakelijke opleiding (“education”) van werknemers (artikel 28, leden 1 en 2, PIPA). Tot slot moet de verwerkingsverantwoordelijke in geval van subverwerking eisen stellen aan de opdrachtnemer, onder meer met betrekking tot het veilige beheer van persoonsgegevens (technische en beheerswaarborgen), en moet hij of zij door middel van inspecties toezien op de wijze waarop deze eisen worden uitgevoerd (artikel 26, leden 1 en 4, PIPA juncto artikel 28, lid 1, punten 3 en 4, en lid 6, van het PIPA-uitvoeringsdecreet).

(66)

Betrokkenen moeten worden ingelicht over de belangrijkste kenmerken van de verwerking van hun persoonsgegevens.

(67)

Dit wordt in het Koreaanse systeem op verschillende manieren gewaarborgd. Naast het recht op informatie uit hoofde van artikel 4, punt 1, (in het algemeen) en artikel 20, lid 1, PIPA (voor persoonsgegevens die van derden zijn verkregen), alsook het recht op toegang overeenkomstig artikel 35 PIPA, omvat de PIPA een algemeen transparantievereiste met betrekking tot het doel van de verwerking (artikel 3, lid 1, PIPA) en specifieke transparantievereisten in het geval van verwerking op basis van toestemming (artikel 15, lid 2, artikel 17, lid 2, en artikel 18, lid 3, PIPA) (90). Bovendien schrijft artikel 20, lid 2, PIPA voor dat bepaalde verwerkingsverantwoordelijken — voor wie de hoeveelheid verwerkte gegevens bepaalde drempels overschrijdt (91) — de betrokkene van wie zij via een derde partij persoonsgegevens hebben ontvangen, in kennis moeten stellen van de informatiebron, het doel van de verwerking en het recht van de betrokkene om een opschorting van de verwerking te eisen, tenzij een dergelijke kennisgeving onmogelijk blijkt door het ontbreken van contactgegevens. Uitzonderingen gelden voor bepaalde bestanden met persoonsgegevens die in het bezit zijn van overheidsinstanties, met name bestanden met gegevens die worden verwerkt met het oog op de nationale veiligheid, andere bijzonder belangrijke (gewichtige) nationale belangen of de strafrechtelijke rechtshandhaving, of wanneer kennisgeving het leven of de lichamelijke integriteit van een andere persoon kan schaden, of op oneerlijke wijze schade kan toebrengen aan de eigendoms- en andere belangen van een andere persoon, echter alleen wanneer de betrokken openbare of particuliere belangen duidelijk zwaarder doorwegen dan de rechten van de betrokkenen (artikel 20, lid 4, PIPA). Hiervoor is een afweging van de belangen noodzakelijk.

(68)

Bovendien bepaalt artikel 3, lid 5, PIPA dat de verwerkingsverantwoordelijken hun privacybeleid (en andere zaken in verband met de verwerking van persoonsgegevens) openbaar moeten maken. Deze eis is nader uitgewerkt in artikel 30 PIPA juncto artikel 31 van het PIPA-uitvoeringsdecreet. Volgens die bepalingen moet het openbare privacybeleid onder meer het volgende omvatten: 1) de soorten persoonsgegevens die worden verwerkt, 2) het doel van de verwerking, 3) de bewaartermijn, 4) of persoonsgegevens aan een derde partij worden verstrekt (92), 5) eventuele subverwerking, 6) informatie over de rechten van de betrokkene en hoe deze kunnen worden uitgeoefend en 7) contactgegevens (waaronder de naam van de privacyfunctionaris of de interne afdeling die verantwoordelijk is voor het toezicht op de naleving van de gegevensbeschermingsvoorschriften en voor de behandeling van klachten). Het privacybeleid moet zodanig openbaar worden gemaakt dat de betrokkenen het gemakkelijk kunnen herkennen (artikel 30, lid 2, PIPA) (93) en het moet voortdurend worden bijgewerkt (artikel 31, lid 2, van het PIPA-uitvoeringsdecreet).

(69)

Voor openbare instellingen geldt een aanvullende verplichting om met name de volgende informatie bij de PIPC te registreren: 1) de naam van de overheidsinstelling, 2) de gronden en doeleinden voor de verwerking van de bestanden met persoonsgegevens, 3) de bijzonderheden van de persoonsgegevens die worden geregistreerd, 4) de verwerkingsmethode, 5) de bewaartermijn, 6) het aantal betrokkenen van wie persoonsgegevens worden bewaard, 7) de afdeling die verzoeken van betrokkenen behandelt en 8) de ontvangers van persoonsgegevens wanneer gegevens routinematig of herhaaldelijk worden verstrekt (artikel 32, lid 1, PIPA) (94). Geregistreerde bestanden met persoonsgegevens worden door de PIPC openbaar gemaakt en moeten ook door openbare instellingen in hun privacybeleid worden vermeld (artikel 30, lid 1, en artikel 32, lid 4, PIPA).

(70)

Om de transparantie te vergroten voor betrokkenen in de Unie van wie persoonsgegevens op basis van dit besluit worden doorgegeven aan Korea, worden in deel 3, punten i) en ii), van Kennisgeving 2021-5 (bijlage I) aanvullende transparantievereisten opgelegd. Ten eerste moeten Koreaanse verwerkingsverantwoordelijken, wanneer zij op grond van dit besluit persoonsgegevens uit de Unie ontvangen, de betrokkenen onverwijld (en in ieder geval niet later dan één maand na de doorgifte) in kennis stellen van de naam en de contactgegevens van de entiteiten die de informatie doorgeven en ontvangen, de doorgegeven persoonsgegevens (of categorieën persoonsgegevens), het doel van de verzameling door de Koreaanse verwerkingsverantwoordelijke, de bewaartermijn en de rechten die op grond van de PIPA beschikbaar zijn. Ten tweede moeten betrokkenen, wanneer op grond van dit besluit persoonsgegevens die van de Unie zijn ontvangen aan derden worden verstrekt, onder meer worden ingelicht over de ontvanger, de persoonsgegevens of categorieën persoonsgegevens die worden verstrekt, het land waaraan de gegevens worden verstrekt (indien van toepassing), alsook over de rechten die op grond van de PIPA beschikbaar zijn (95). Op die manier zorgt de kennisgeving ervoor dat EU-burgers op de hoogte blijven van de specifieke verwerkingsverantwoordelijken die hun informatie verwerken en dat zij hun rechten ten aanzien van de betrokken entiteiten kunnen uitoefenen.

(71)

Volgens deel 3, punt iii), van de kennisgeving (bijlage I) zijn bepaalde beperkte en gekwalificeerde uitzonderingen op deze aanvullende transparantieverplichtingen toegestaan, die in wezen gelijkwaardig zijn aan die waarin Verordening (EU) 2016/679 voorziet. In het bijzonder is kennisgeving aan betrokkenen in de Unie niet vereist 1) wanneer en zolang het noodzakelijk is de kennisgeving te beperken om bepaalde redenen van algemeen belang (bijvoorbeeld wanneer de informatie wordt verwerkt met het oog op de nationale veiligheid of lopende strafrechtelijke onderzoeken), voor zover deze doelstellingen van algemeen belang duidelijk zwaarder doorwegen dan de rechten van de betrokkene; 2) wanneer de betrokkene reeds over de informatie beschikt; 3) wanneer en zolang de kennisgeving het leven of de lichamelijke integriteit van de betrokkene of van een andere persoon kan schaden, dan wel op ongerechtvaardigde wijze inbreuk kan maken op de eigendomsbelangen van een andere persoon, wanneer deze rechten of belangen duidelijk zwaarder doorwegen dan de rechten van de betrokkene, of 4) wanneer er geen contactgegevens van de betrokkenen beschikbaar zijn, of wanneer het een onevenredige inspanning zou vergen om hen op de hoogte te brengen. Om te bepalen of het al dan niet mogelijk is om contact op te nemen met de betrokkene en of dit buitensporige inspanningen vergt, moet rekening worden gehouden met de mogelijkheid om samen te werken met de gegevensexporteur in de Unie.

(72)

De voorschriften in overwegingen 67 tot en met 71 zorgen daarom voor een in wezen gelijkwaardig beschermingsniveau met betrekking tot transparantie als waarin wordt voorzien door Verordening (EU) 2016/679.

(73)

Betrokkenen moeten bepaalde rechten hebben die kunnen worden afgedwongen ten opzichte van de verwerkingsverantwoordelijke of de verwerker, met name het recht op inzage van de gegevens, het recht op rectificatie, het recht om bezwaar te maken tegen de verwerking en het recht op wissing van de gegevens. Tegelijkertijd kunnen deze rechten aan beperkingen worden onderworpen, voor zover deze beperkingen noodzakelijk en evenredig zijn om belangrijke doelstellingen van algemeen openbaar belang te waarborgen.

(74)

Overeenkomstig artikel 3, lid 5, PIPA waarborgt de verwerkingsverantwoordelijke de in artikel 4 PIPA genoemde en in de artikelen 35 tot en met 37, 39 en 39-2 PIPA nader omschreven rechten van de betrokkene.

(75)

Ten eerste hebben natuurlijke personen recht op informatie en toegang. Wanneer de verwerkingsverantwoordelijke persoonsgegevens bij een derde heeft verzameld — wat altijd het geval zal zijn wanneer de gegevens vanuit de Unie worden doorgegeven — hebben betrokkenen in het algemeen het recht om informatie te ontvangen over 1) de “bron” van de verzamelde persoonsgegevens (d.w.z. de doorgever), 2) het doel van de verwerking en 3) het feit dat de betrokkene het recht heeft om opschorting van de verwerking te verzoeken (artikel 20, lid 1, PIPA). Er zijn beperkte uitzonderingen, namelijk wanneer een dergelijke kennisgeving schade kan toebrengen aan het leven of de lichamelijke integriteit van een andere persoon, of op oneerlijke wijze schade toebrengt aan de eigendoms- en andere belangen van een andere persoon, maar alleen wanneer deze belangen van derden duidelijk zwaarder doorwegen dan de rechten van de betrokkene (artikel 20, lid 4, punt 2, PIPA).

(76)

Bovendien verleent artikel 35, leden 1 en 3, PIPA juncto artikel 41, lid 4, van het PIPA-uitvoeringsdecreet betrokkenen het recht op toegang tot hun persoonsinformatie (96). Het recht op toegang omvat een bevestiging van de verwerking, informatie over het soort verwerkte gegevens, het doel van de verwerking, de bewaartermijn, alsmede eventuele verstrekking aan derden, en de verstrekking van een kopie van de verwerkte persoonsinformatie (artikel 4, punt 3, PIPA juncto artikel 41, lid 1, van het PIPA-uitvoeringsdecreet) (97). De toegang kan alleen worden beperkt (gedeeltelijke toegang) (98) of worden geweigerd wanneer de wet daarin voorziet (99), wanneer dit waarschijnlijk schade aan het leven of de lichamelijke integriteit van een derde zou toebrengen, of op ongerechtvaardigde wijze een inbreuk zou vormen op de eigendoms- en andere belangen van een andere persoon (artikel 35, lid 4, PIPA) (100). Dit laatste impliceert dat een evenwicht moet worden gevonden tussen de grondwettelijk beschermde rechten en vrijheden van het individu enerzijds en van andere personen anderzijds. Wanneer de toegang wordt beperkt of geweigerd, moet de verwerkingsverantwoordelijke de betrokkene in kennis stellen van de redenen daarvoor en van de wijze waarop tegen het besluit beroep kan worden aangetekend (artikel 41, lid 5, en artikel 42, lid 2, van het PIPA-uitvoeringsdecreet).

(77)

Ten tweede hebben betrokkenen het recht op correctie of wissing (101) van hun persoonsgegevens, tenzij uitdrukkelijk anders bepaald door andere wetten (artikel 36, leden 1 en 2, PIPA) (102). Na ontvangst van een verzoek moet de verwerkingsverantwoordelijke de zaak onverwijld onderzoeken, de nodige maatregelen treffen (103) en de betrokkene daarvan binnen tien dagen in kennis stellen; wanneer het verzoek niet kan worden ingewilligd, omvat deze kennisgevingsverplichting de redenen voor de weigering en de wijze waarop beroep kan worden aangetekend (zie artikel 36, lid 4, PIPA juncto artikel 43, lid 3, van het PIPA-uitvoeringsdecreet) (104).

(78)

Tot slot hebben betrokkenen het recht om de verwerking van hun persoonsgegevens onverwijld te laten opschorten (105), tenzij een van de opgesomde uitzonderingen van toepassing is (artikel 37, leden 1 en 2, PIPA) (106). De verwerkingsverantwoordelijke kan het verzoek weigeren 1) wanneer dit specifiek bij wet is toegestaan of noodzakelijk (onvermijdelijk) is om aan wettelijke verplichtingen te voldoen; 2) wanneer opschorting waarschijnlijk schade zou toebrengen aan het leven of de lichamelijke integriteit van een derde, of op ongerechtvaardigde wijze een inbreuk zou vormen op de eigendoms- en andere belangen van een andere persoon; 3) wanneer het voor een overheidsinstelling onmogelijk zou zijn haar bij wet voorgeschreven functie uit te oefenen zonder de informatie te verwerken, of 4) wanneer de betrokkene de onderliggende overeenkomst met de verwerkingsverantwoordelijke niet uitdrukkelijk beëindigt, ook al zou het onmogelijk zijn de overeenkomst zonder die gegevensverwerking uit te voeren. In dat geval moet de verwerkingsverantwoordelijke de betrokkene onverwijld in kennis stellen van de redenen voor de weigering en de wijze waarop beroep kan worden aangetekend (artikel 37, lid 2, PIPA juncto artikel 44, lid 2, van het PIPA-uitvoeringsdecreet). Overeenkomstig artikel 37, lid 4, PIPA moet de verwerkingsverantwoordelijke onverwijld de nodige maatregelen treffen, waaronder de vernietiging van de betrokken persoonsinformatie in het kader van de inwilliging van het verzoek om opschorting (107).

(79)

Het recht op opschorting geldt ook wanneer persoonsgegevens worden gebruikt voor direct-marketingdoeleinden, d.w.z. om goederen of diensten aan te prijzen of om te verzoeken deze te kopen. Bovendien is voor een dergelijke verdere verwerking in het algemeen de specifieke (aanvullende) toestemming van de betrokkene vereist (zie artikel 15, lid 1, punt 1 en artikel 17, lid 2, punt 1, PIPA) (108). Wanneer om deze toestemming wordt gevraagd, moet de verwerkingsverantwoordelijke de betrokkene met name op uitdrukkelijk herkenbare wijze in kennis stellen van het voorgenomen gebruik van de gegevens voor direct-marketingdoeleinden — d.w.z. van het feit dat hij of zij kan worden benaderd om goederen of diensten aan te prijzen of om te verzoeken deze aan te kopen (artikel 22, leden 2 en 4, PIPA juncto artikel 17, lid 2, punt 1, van het PIPA-uitvoeringsdecreet).

(80)

Om de uitoefening van individuele rechten te vergemakkelijken, moet de verwerkingsverantwoordelijke specifieke procedures vaststellen en deze openbaar maken (artikel 38, lid 4, PIPA) (109). Dit omvat procedures om bezwaar aan te tekenen tegen de afwijzing van een verzoek (artikel 38, lid 5, PIPA). De verwerkingsverantwoordelijke moet ervoor zorgen dat de procedure voor de uitoefening van rechten de betrokkene centraal stelt en niet moeilijker is dan de procedure voor de verzameling van de persoonsgegevens; dit omvat ook de verplichting om informatie over de procedure te verstrekken op zijn website (artikel 41, lid 2, artikel 43, lid 1, en artikel 44, lid 1, van het PIPA-uitvoeringsdecreet). (110) Natuurlijke personen kunnen een vertegenwoordiger machtigen om een dergelijk verzoek in te dienen (artikel 38, lid 1, PIPA juncto artikel 45 van het PIPA-uitvoeringsdecreet). Hoewel de verwerkingsverantwoordelijke het recht heeft een vergoeding op te leggen (alsook portkosten in het geval van een verzoek om kopieën van persoonsgegevens per post te verzenden), moet het bedrag worden vastgesteld binnen de grenzen van de werkelijke kosten die nodig zijn voor de verwerking van het verzoek; er mag geen vergoeding (noch portkosten) worden gevraagd wanneer de verwerkingsverantwoordelijke het verzoek heeft veroorzaakt (artikel 38, lid 3, PIPA juncto artikel 47 van het PIPA-uitvoeringsdecreet).

(81)

De PIPA en het PIPA-uitvoeringsdecreet bevatten geen algemene voorzieningen die zijn gericht op de kwestie van besluiten die de betrokkene betreffen en die alleen zijn gebaseerd op de geautomatiseerde verwerking van persoonsgegevens. Wat betreft de persoonsgegevens die in de Europese Unie zijn verzameld, wordt echter elk besluit dat is gebaseerd op geautomatiseerde verwerking, doorgaans genomen door de verwerkingsverantwoordelijke in de Unie (die een directe relatie met de betrokkene heeft) en is daarom onderworpen aan Verordening (EU) 2016/679 (111). Dit omvat doorgiftescenario’s waarin de verwerking wordt uitgevoerd door een buitenlandse (bijvoorbeeld Koreaanse) bedrijfsexploitant die handelt als verwerker namens de verwerkingsverantwoordelijke in de EU (of als subverwerker die handelt namens de verwerker in de EU, die de gegevens heeft ontvangen van een EU-verwerkingsverantwoordelijke die ze heeft verzameld) die op deze basis de beslissing neemt. Daarom is het onwaarschijnlijk dat het ontbreken van specifieke voorschriften voor geautomatiseerde besluitvorming in de PIPA een weerslag heeft op het beschermingsniveau van persoonsgegevens die in het kader van dit besluit worden doorgegeven.

(82)

Bij wijze van uitzondering zijn de bepalingen inzake transparantie op verzoek (artikel 20) en individuele rechten (artikelen 35 tot en met 37), alsmede de individuele meldingsplicht voor aanbieders van informatie- en communicatiediensten (artikel 39-8 PIPA), niet van toepassing op gepseudonimiseerde informatie, wanneer die wordt verwerkt voor statistische doeleinden, wetenschappelijk onderzoek of archivering in het algemeen belang (artikel 28-7 PIPA) (112). In overeenstemming met de benadering van artikel 11, lid 2 (in samenhang met overweging 57) van Verordening (EU) 2016/679 wordt dit gerechtvaardigd door het feit dat de verwerkingsverantwoordelijke, om de transparantie te waarborgen of individuele rechten te verlenen, zou moeten nagaan of (en zo ja welke) gegevens betrekking hebben op de persoon die het verzoek indient, hetgeen uitdrukkelijk verboden is op grond van de PIPA (artikel 28-5, lid 1, PIPA). Bovendien zou, wanneer een dergelijke heridentificatie de pseudonimisering voor de volledige (gepseudonimiseerde) gegevensset ongedaan maakt, de persoonlijke informatie van alle andere betrokken personen aan grotere risico’s worden blootgesteld. Terwijl Verordening (EU) 2016/679 verwijst naar situaties waarin re-identificatie praktisch onmogelijk is, kiest de PIPA voor een strengere aanpak door re-identificatie uitdrukkelijk te verbieden in alle situaties waarin gepseudonimiseerde informatie wordt verwerkt.

(83)

Het Koreaanse systeem, zoals beschreven in de overwegingen 74 tot en met 82, bevat derhalve voorschriften over de rechten van betrokkenen die een beschermingsniveau bieden dat in wezen gelijkwaardig is aan dat van Verordening (EU) 2016/679.

(84)

Het beschermingsniveau dat wordt geboden voor persoonsgegevens die worden doorgegeven vanuit de Unie naar verwerkingsverantwoordelijken in de Republiek Korea mag niet worden ondermijnd door de verdere doorgifte van dergelijke gegevens aan ontvangers in een derde land.

(85)

Dergelijke “verdere doorgiften” vormen internationale doorgiften vanuit de Republiek Korea vanuit het oogpunt van de Koreaanse verwerkingsverantwoordelijke. In dit verband wordt in de PIPA onderscheid gemaakt tussen het uitbesteden van de verwerking aan een opdrachtnemer (d.w.z. een verwerker) en het verstrekken van persoonsgegevens aan derden (113).

(86)

Ten eerste moet de Koreaanse verwerkingsverantwoordelijke de naleving van de bepalingen van de PIPA inzake uitbesteding (artikel 26 PIPA) waarborgen wanneer de verwerking van persoonsgegevens wordt uitbesteed aan een entiteit in een derde land. Dit omvat het voorzien in een wettelijk bindend instrument aan de hand waarvan onder meer de verwerking door de opdrachtnemer wordt beperkt tot het doel van de uitbestede werkzaamheden, technische en beheerswaarborgen worden opgelegd en subverwerking wordt beperkt (zie artikel 26, lid 1, PIPA), en het bekendmaken van informatie over de uitbestede werkzaamheden. De verwerkingsverantwoordelijke is bovendien verplicht de opdrachtnemer te scholen (“educate”) over de noodzakelijke beveiligingsmaatregelen en het noodzakelijke toezicht, onder meer door middel van inspecties, de naleving van alle verplichtingen van de verwerkingsverantwoordelijke uit hoofde van de PIPA (114) en de overeenkomst voor de uitbesteding.

(87)

Wanneer de opdrachtnemer schade veroorzaakt door de persoonsgegevens op een wijze te verwerken die strijdig is met de PIPA, wordt dit met het oog op de aansprakelijkheid toegerekend aan de verwerkingsverantwoordelijke, zoals het geval zou zijn bij werknemers van de verwerkingsverantwoordelijke (artikel 26, lid 6, PIPA). De Koreaanse verwerkingsverantwoordelijke blijft derhalve verantwoordelijk voor de uitbestede persoonsgegevens en moet ervoor zorgen dat de verwerker in het buitenland de informatie overeenkomstig de PIPA verwerkt. Indien de opdrachtnemer de informatie verwerkt op een wijze die in strijd is met de PIPA, kan de Koreaanse verwerkingsverantwoordelijke aansprakelijk worden gesteld voor het niet nakomen van zijn verplichting om de naleving van de PIPA te waarborgen, zoals door middel van toezicht op de opdrachtnemer. De waarborgen die zijn opgenomen in de uitbestedingsovereenkomst en de aansprakelijkheid van de Koreaanse verwerkingsverantwoordelijke voor de acties van de opdrachtnemer waarborgen de continuïteit van de bescherming wanneer persoonsgegevens worden doorgegeven aan een entiteit buiten Korea.

(88)

Ten tweede mogen Koreaanse verwerkingsverantwoordelijken persoonsgegevens verstrekken aan derden buiten Korea. Hoewel de PIPA een aantal rechtsgrondslagen bevat die de verstrekking aan derden in het algemeen toestaan, moet de verwerkingsverantwoordelijke wanneer de derde zich buiten Korea bevindt in principe (115) de toestemming van de betrokkene verkrijgen (116) nadat hij deze informatie heeft verstrekt over 1) het soort persoonsgegevens, 2) de ontvanger van de persoonsgegevens, 3) het doel van de doorgifte in de zin van het doel van de door de ontvanger beoogde verwerking, 4) de bewaarperiode voor de verwerking door de ontvanger en 5) het feit dat de betrokkene de toestemming kan weigeren (artikel 17, leden 2 en 3, PIPA). Kennisgeving nr. 2021-5 vereist in het deel over transparantie (zie overweging 70) dat natuurlijke personen worden geïnformeerd over het derde land waaraan hun gegevens zullen worden verstrekt. Zo wordt gewaarborgd dat betrokkenen in de Unie een volledig geïnformeerde beslissing kunnen nemen over het al dan niet instemmen met een verstrekking naar het buitenland. Bovendien mag de verwerkingsverantwoordelijke geen overeenkomst sluiten met de derde ontvanger die in strijd is met de PIPA, wat betekent dat de overeenkomst geen verplichtingen mag bevatten die strijdig zouden zijn met de vereisten die bij de PIPA aan de verwerkingsverantwoordelijke zijn opgelegd (117).

(89)

Zonder toestemming van de betrokkene mogen persoonsgegevens aan een derde (in het buitenland) worden verstrekt wanneer het doel van de verstrekking binnen het toepassingsgebied blijft dat redelijkerwijs verband houdt met het oorspronkelijke doel waarvoor de gegevens zijn verzameld (artikel 17, lid 4, PIPA, zie overweging 36). Bij het besluit of persoonsgegevens al dan niet voor een gerelateerd doel worden doorgegeven, moet de verwerkingsverantwoordelijke rekening houden met de vraag of de verstrekking nadelen voor de betrokkene oplevert en of de noodzakelijke beveiligingsmaatregelen (zoals encryptie) zijn genomen. Gezien het feit dat het derde land waaraan de persoonsgegevens worden doorgegeven mogelijk geen vergelijkbare bescherming biedt zoals die op grond van de PIPA, wordt in Kennisgeving nr. 2021-5, deel 2, erkend dat dergelijke nadelen kunnen ontstaan en slechts kunnen worden voorkomen wanneer de Koreaanse verwerkingsverantwoordelijke en de ontvanger in het buitenland door middel van een wettelijk bindend instrument (zoals een overeenkomst) een beschermingsniveau waarborgen dat gelijkwaardig is aan de PIPA, ook met betrekking tot de rechten van betrokkenen.

(90)

Voor verstrekking voor een ander doel, dat wil zeggen het verstrekken van gegevens aan een derde voor een nieuw (ongerelateerd) doel, die alleen mag plaatsvinden op een van de in artikel 18, lid 2, PIPA genoemde gronden, gelden speciale regels, zoals beschreven in overweging 39. Zelfs onder deze omstandigheden wordt de verstrekking aan een derde echter uitgesloten wanneer deze waarschijnlijk “op oneerlijke wijze” inbreuk zou maken op de belangen van de betrokkene of een derde, wat vereist dat de belangen tegen elkaar worden afgewogen. De verwerkingsverantwoordelijke moet op grond van artikel 18, lid 5, PIPA bovendien aanvullende waarborgen toepassen, waaronder bijvoorbeeld een verzoek richten aan de derde om het doel en de methode van de verwerking te beperken of te voorzien in specifieke beveiligingsmaatregelen. Nogmaals, gezien het feit dat het derde land waaraan de persoonsgegevens worden doorgegeven mogelijk geen vergelijkbare bescherming biedt zoals die op grond van de PIPA, wordt in Kennisgeving nr. 2021-5, deel 2, erkend dat een dergelijke oneerlijke inbreuk op de belangen van de betrokkene of een derde kan ontstaan en slechts kan worden voorkomen wanneer de Koreaanse verwerkingsverantwoordelijke en de ontvanger in het buitenland door middel van een wettelijk bindend instrument (zoals een overeenkomst) een beschermingsniveau waarborgen dat gelijkwaardig is aan de PIPA, ook met betrekking tot de rechten van betrokkenen.

(91)

De regels in de overwegingen 86 tot en met 90 waarborgen derhalve de continuïteit van de bescherming wanneer persoonsgegevens verder worden doorgegeven (aan een “opdrachtnemer” of derde) vanuit de Republiek Korea op een wijze die in wezen overeenkomt met die waarin is voorzien uit hoofde van Verordening (EU) 2016/679.

(92)

Volgens het verantwoordingsbeginsel moeten entiteiten die gegevens verwerken passende technische en organisatorische maatregelen nemen om doeltreffend hun verplichtingen inzake gegevensbescherming te kunnen naleven, en moeten zij de naleving daarvan kunnen aantonen, in het bijzonder ten overstaan van de bevoegde toezichthoudende autoriteit.

(93)

Volgens artikel 3, leden 6 en 8, PIPA moet de verwerkingsverantwoordelijke persoonsgegevens verwerken op zodanige wijze dat de mogelijkheid dat inbreuk wordt gemaakt op de privacy van de betrokkene tot een minimum wordt beperkt en moet hij ernaar streven het vertrouwen van de betrokkene te verkrijgen door de taken en verantwoordelijkheden als voorzien in de PIPA en andere gerelateerde wetten na te leven en uit te voeren. Dit omvat de vaststelling van een intern beheersplan (artikel 29 PIPA) en de passende opleiding van en passend toezicht op het personeel (artikel 28 PIPA).

(94)

Om de verantwoording te waarborgen is in artikel 31 PIPA juncto artikel 32 van het PIPA-uitvoeringsdecreet een verplichting voor verwerkingsverantwoordelijken vastgesteld om een privacyfunctionaris aan te wijzen die de verwerking van persoonsinformatie volledig op zich neemt. Die privacyfunctionaris heeft met name de opdracht de volgende taken uit te voeren: 1) het vaststellen en uitvoeren van een plan voor de bescherming van de persoonsgegevens en het opstellen van het privacybeleid; 2) het houden van regelmatige enquêtes over de stand van zaken en praktijken van de verwerking van persoonsgegevens, met het oog op de verbetering van eventuele tekortkomingen; 3) het afhandelen van klachten en schadevergoedingen; 4) het vaststellen van een intern controlesysteem om de verstrekking en het misbruik of oneigenlijk gebruik van persoonsgegevens te voorkomen; 5) het opstellen en uitvoeren van een opleidingsprogramma; 6) het beschermen, controleren en beheren van bestanden met persoonsgegevens, en 7) het vernietigen van persoonsgegevens zodra het doel van de verwerking is verwezenlijkt of de bewaarperiode is verstreken. Bij het uitvoeren van deze taken kan de privacyfunctionaris de stand van zaken van de verwerking van persoonsgegevens en gerelateerde systemen inspecteren en om informatie hierover verzoeken (artikel 31, lid 3, PIPA). Wanneer de privacyfunctionaris kennis neemt van een schending van de PIPA of andere relevante wetten inzake gegevensbescherming, neemt hij onmiddellijk corrigerende maatregelen en meldt hij dergelijke maatregelen, indien nodig, bij het management (het hoofd) van de verwerkingsverantwoordelijke (artikel 31, lid 4, PIPA). Overeenkomstig artikel 31, lid 5, PIPA mag de privacyfunctionaris geen ongerechtvaardigde nadelen ondervinden als gevolg van het uitvoeren van deze taken.

(95)

Verwerkingsverantwoordelijken moeten er daarnaast op proactieve wijze naar streven een privacyeffectbeoordeling uit te voeren wanneer het gebruik van bestanden met persoonsgegevens een risico voor de privacy met zich meebrengt (artikel 33, lid 8, PIPA). Op basis van artikel 33, leden 1 en 2, PIPA juncto de artikelen 35, 36 en 38 van het PIPA-uitvoeringsdecreet zijn factoren zoals het soort en de aard van de verwerkte gegevens (met name de vraag of het gaat om gevoelige informatie), de omvang, de bewaarperiode en de waarschijnlijkheid van gegevenslekken relevant bij de beoordeling van de mate van het risico voor de rechten van betrokkenen. Het doel van de privacyeffectbeoordeling is ervoor te zorgen dat de risicofactoren voor de privacy en eventuele beveiligings- of andere tegenmaatregelen worden geanalyseerd en dat wordt gewezen op zaken die moeten worden verbeterd (zie artikel 33, lid 1, PIPA juncto artikel 38 van het PIPA-uitvoeringsdecreet).

(96)

Overheidsinstanties zijn verplicht een effectbeoordeling uit te voeren wanneer zij bepaalde bestanden met persoonsgegevens verwerken die een groter risico op mogelijke schendingen van de privacy met zich meebrengen (artikel 33, lid 1, PIPA). Overeenkomstig artikel 35 van het PIPA-uitvoeringsdecreet is dit onder andere het geval voor bestanden die gevoelige informatie over ten minste 50 000 betrokkenen bevatten, bestanden die aan andere bestanden zullen worden gekoppeld en als gevolg daarvan de informatie van ten minste 500 000 betrokkenen zullen bevatten of bestanden die informatie bevatten van ten minste één miljoen betrokkenen. De resultaten van een effectbeoordeling door een overheidsinstantie moeten worden meegedeeld aan de PIPC (artikel 33, lid 1, PIPA), die een advies kan opstellen (artikel 33, lid 3, PIPA).

(97)

Tot slot is in artikel 13 PIPA bepaald dat de PIPC beleid vaststelt dat noodzakelijk is voor de bevordering en ondersteuning van zelf-gereguleerde gegevensbeschermingsactiviteiten door verwerkingsverantwoordelijken, onder meer door middel van opleidingen over gegevensbescherming, de bevordering en ondersteuning van organisaties die zich bezighouden met gegevensbescherming en de ondersteuning van verwerkingsverantwoordelijken bij het vaststellen en uitvoeren van regels in verband met zelfregulering. Bovendien zal de PIPC het systeem ePRIVACY Mark invoeren en bevorderen. In dit opzicht voorziet artikel 32-2 PIPA juncto de artikelen 34-2 tot en met 34-8 van het PIPA-uitvoeringsdecreet in de mogelijkheid om te certificeren dat de verwerking van de persoonsgegevens en de beveiligingssystemen van verwerkingsverantwoordelijken in overeenstemming zijn met de vereisten van de PIPA. Volgens deze regels kan een certificering (118) worden toegekend (voor een periode van drie jaar) wanneer de verwerkingsverantwoordelijke voldoet aan de criteria voor certificering die door de PIPC zijn bepaald, waaronder de vaststelling van beheers-, technische en fysieke waarborgen ter bescherming van de persoonsgegevens (119). De PIPC moet de voor de certificering relevante systemen van de verwerkingsverantwoordelijke ten minste een keer per jaar onderzoeken om te beoordelen of de doeltreffendheid ervan is gehandhaafd, wat kan leiden tot de intrekking van de certificering (artikel 32, lid 4, PIPA juncto artikel 34-5 van het PIPA-uitvoeringsdecreet; het zogenaamde “follow-upbeheer”).

(98)

In het Koreaanse kader wordt het beginsel van verantwoording derhalve uitgevoerd op een wijze die een niveau van bescherming waarborgt dat in wezen overeenkomt met dat van Verordening (EU) 2016/679, door onder andere te voorzien in verschillende mechanismen voor het waarborgen en aantonen van de naleving van de PIPA.

(99)

Zoals beschreven in overweging 13 zijn in de Wet inzake het gebruik en de bescherming van kredietinformatie (Act on the Use and Protection of Credit Information — CIA) specifieke regels vastgesteld voor de verwerking van persoonlijke kredietinformatie door marktdeelnemers. Bij het verwerken van persoonlijke kredietinformatie moeten marktdeelnemers derhalve de algemene vereisten van de PIPA naleven, tenzij de CIA specifiekere regels bevat. Dit zal bijvoorbeeld het geval zijn wanneer zij informatie verwerken in verband met een creditcard of bankrekening in het kader van een commerciële transactie met een natuurlijke persoon. Als sectorale wetgeving voor de verwerking van kredietinformatie (zowel persoonlijke als niet-persoonlijke informatie) worden in de CIA niet alleen specifieke waarborgen voor de gegevensbescherming opgelegd (bijvoorbeeld in termen van transparantie en beveiliging), maar worden ook de specifieke omstandigheden waarin persoonlijke kredietinformatie mag worden verwerkt meer in het algemeen geregeld. Dit komt met name tot uiting in de gedetailleerde vereisten voor het gebruik, de verstrekking van gegevens aan derden en het bewaren van dergelijke gegevens.

(100)

Net zoals in de PIPA, komen in de CIA de beginselen van wettigheid en evenredigheid tot uiting. Ten eerste staat artikel 15, lid 1, CIA als algemeen vereiste de verzameling van persoonlijke kredietinformatie slechts toe als dit op redelijke en eerlijke wijze gebeurt en in een zo beperkt mogelijke mate die nodig is voor een welbepaald doel, overeenkomstig artikel 3, leden 1 en 2, PIPA. Ten tweede is in de CIA de wettigheid van de verwerking van persoonlijke kredietinformatie specifiek gereguleerd, door de verzameling, het gebruik en de verstrekking ervan aan een derde te beperken en deze verwerkingsactiviteiten over het algemeen te verbinden met het vereiste van toestemming van de betrokkene.

(101)

Persoonlijke kredietinformatie mag worden verzameld op basis van een van de gronden waarin in de PIPA is voorzien of om specifieke redenen die zijn uiteengezet in de CIA. Gezien het feit dat artikel 45 van Verordening (EU) 2016/679 een doorgifte van persoonsgegevens door een verwerkingsverantwoordelijke of verwerker in de Unie veronderstelt, maar geen betrekking heeft op de directe verzameling (van de betrokkene of van een website) door een verwerkingsverantwoordelijke in Korea, zijn slechts toestemming en de in de PIPA genoemde gronden relevant voor dit besluit. Deze gronden omvatten met name scenario’s waarin de doorgifte noodzakelijk is voor het uitvoeren van een overeenkomst met de betrokkene of voor de legitieme belangen van de Koreaanse verwerkingsverantwoordelijke (artikel 15, lid 1, punten 4 en 6, PIPA) (120).

(102)

Zodra persoonlijke kredietinformatie is verzameld, mag deze worden gebruikt 1) voor het oorspronkelijke doel waarvoor deze (direct) door de betrokkene werd verstrekt (121); 2) voor een doel dat verenigbaar is met het oorspronkelijke doel van de verzameling (122); 3) om te bepalen of een commerciële relatie kan worden aangegaan of in stand kan worden gehouden waarom de betrokkene heeft verzocht (123); 4) met het oog op statistieken, onderzoek en archivering in het openbaar belang (124) indien de informatie gepseudonimiseerd is (125); 5) indien verdere toestemming is verkregen of 6) in overeenstemming met de wet.

(103)

Indien een marktdeelnemer persoonlijke kredietinformatie aan een derde wil verstrekken, moet hij de toestemming van de betrokkene verkrijgen (126) nadat hij deze heeft geïnformeerd over de ontvanger van de gegevens, het doel van de verwerking door de ontvanger, de details van de gegevens die zullen worden verstrekt, de periode van opslag door de ontvanger en het recht om de toestemming te weigeren (artikel 32, lid 1, CIA en artikel 28, lid 2, van het CIA-uitvoeringsdecreet) (127). Dit vereiste van toestemming is in specifieke situaties niet van toepassing, dat wil zeggen wanneer persoonlijke kredietinformatie wordt verstrekt (128): 1) aan een opdrachtnemer met het oog op uitbesteding (129); 2) aan een derde in het geval van een bedrijfsoverdracht, -splitsing of -fusie; 3) met het oog op statistieken, onderzoek en archivering in het openbaar belang wanneer de informatie gepseudonimiseerd is; 4) voor een doel dat verenigbaar is met het oorspronkelijke doel van de verzameling; 5) aan een derde die de informatie gebruikt om een schuld van de betrokkene te innen (130); 6) om een gerechtelijk bevel na te leven; 7) aan een aanklager/ambtenaar bij de gerechtelijke politie in een noodgeval waarin het leven van de betrokkene in gevaar is of hij/zij waarschijnlijk lichamelijk letsel zal oplopen en er geen tijd is om een gerechtelijk bevel af te geven (131); 8) aan bevoegde belastingautoriteiten om te voldoen aan belastingwetten, of 9) in overeenstemming met andere wetten. Wanneer informatie op deze gronden wordt verstrekt, moet de betrokkene hiervan vooraf in kennis worden gesteld (artikel 32, lid 7, CIA).

(104)

In de CIA wordt ook de duur van de verwerking van persoonlijke kredietinformatie op basis van een van deze gronden voor gebruik of verstrekking aan een derde na het einde van de commerciële relatie met de betrokkene specifiek geregeld (132). Alleen informatie die noodzakelijk was om die relatie aan te gaan of te handhaven, mag worden bewaard, mits wordt voorzien in aanvullende waarborgen (de informatie moet gescheiden worden bewaard van kredietinformatie die verband houdt met natuurlijke personen met wie nog een commerciële relatie bestaat, zij moet worden beschermd door middel van specifieke beveiligingsmaatregelen en mag slechts toegankelijk zijn voor bevoegde personen) (133). Alle andere gegevens moeten worden verwijderd (artikel 17-2, lid 1, punt 2, van het CIA-uitvoeringsdecreet). Om te bepalen welke gegevens noodzakelijk waren voor de commerciële relatie, moet rekening worden gehouden met verschillende factoren, waaronder de vraag of het zonder de gegevens mogelijk was geweest om de relatie aan te gaan en of deze direct verband houden met de goederen of diensten die aan de betrokkene zijn geleverd (artikel 17-2, lid 2, van het CIA-uitvoeringsdecreet).

(105)

Zelfs in gevallen waarin persoonlijke kredietinformatie in principe mag worden bewaard na het einde van de commerciële relatie, moet deze binnen drie maanden na het verwezenlijken van het verdere doel van de verwerking (134) of, in ieder geval, na vijf jaar worden verwijderd (artikel 20-2 CIA). In een beperkt aantal omstandigheden mag persoonlijke kredietinformatie langer dan vijf jaar worden bewaard, met name wanneer dit nodig is om een wettelijke verplichting na te komen; wanneer dit nodig is met het oog op de essentiële belangen in verband met het leven, de lichamelijke integriteit of de eigendom van een persoon; om gepseudonimiseerde informatie (die is gebruikt voor wetenschappelijk onderzoek, statistieken of archivering in het openbaar belang) te archiveren, of voor verzekeringsdoeleinden (met name voor verzekeringsbetalingen of om verzekeringsfraude te voorkomen) (135). In deze uitzonderlijke gevallen zijn specifieke waarborgen van toepassing (zoals de kennisgeving aan de betrokkene over het verdere gebruik, de scheiding tussen de bewaarde informatie en de informatie die verband houdt met natuurlijke personen met wie nog steeds een commerciële relatie bestaat en de beperking van de toegangsrechten, zie artikel 17-2, leden 1 en 2, van het CIA-uitvoeringsdecreet).

(106)

In de CIA zijn ook de beginselen van juistheid en gegevenskwaliteit nader gespecificeerd, waarbij wordt vereist dat de persoonlijke kredietinformatie “geregistreerd, aangepast en beheerd” wordt om ervoor te zorgen dat deze juist en actueel is (artikel 18, lid 1, CIA en artikel 15, lid 3, van het CIA-uitvoeringsdecreet) (136). Wanneer zij kredietinformatie aan bepaalde andere entiteiten (zoals kredietbeoordelingsbureaus) verstrekken, zijn marktdeelnemers bovendien specifiek verplicht de juistheid van de informatie te verifiëren om ervoor te zorgen dat door de ontvanger slechts juiste informatie wordt geregistreerd en beheerd (artikel 15, lid 1, van het CIA-uitvoeringsdecreet juncto artikel 18, lid 1, CIA). Meer in het algemeen vereist de CIA dat een register wordt bijgehouden met informatie over de verzameling, het gebruik, de verstrekking aan derden en de vernietiging van persoonlijke kredietinformatie (artikel 20, lid 2, CIA) (137).

(107)

Voor de verwerking van persoonlijke kredietinformatie gelden bovendien specifieke vereisten met betrekking tot de gegevensbeveiliging. De CIA vereist met name dat technologische, fysieke en organisatorische maatregelen worden uitgevoerd om de onrechtmatige toegang tot computersystemen te voorkomen, evenals de wijziging, vernietiging of andere risico’s voor de verwerkte gegevens (bijvoorbeeld door middel van toegangscontroles, zie artikel 19 CIA en artikel 16 van het CIA-uitvoeringsdecreet). Daarnaast moet een overeenkomst worden gesloten waarin specifieke beveiligingsmaatregelen worden vastgesteld wanneer persoonlijke kredietinformatie wordt uitgewisseld met een derde (artikel 19, lid 2, CIA). Wanneer inbreuk op de persoonlijke kredietinformatie wordt gemaakt, moeten maatregelen worden genomen om eventuele schade tot een minimum te beperken en moeten de betrokkenen onverwijld in kennis worden gesteld (artikel 39-4, leden 1 en 2, CIA). Daarnaast moet de PIPC worden geïnformeerd over de aan natuurlijke personen verstrekte kennisgeving en de uitgevoerde maatregelen (artikel 39-4, lid 4, CIA).

(108)

In de CIA worden ook specifieke transparantieverplichtingen opgelegd die moeten worden nagekomen voor het verkrijgen van toestemming voor het gebruik of de verstrekking van persoonlijke kredietinformatie (artikel 32, lid 4, en artikel 34-2 CIA en artikel 30-3 van het CIA-uitvoeringsdecreet) en, meer in het algemeen, voordat informatie aan een derde wordt verstrekt (artikel 32, lid 7, CIA) (138). Daarnaast hebben natuurlijke personen het recht om op verzoek informatie te krijgen over het gebruik en de verstrekking van hun kredietinformatie aan derden in de drie jaar voorafgaande aan het verzoek (met inbegrip van het doel en de data van een dergelijk gebruik/dergelijke verstrekking) (139).

(109)

Op grond van de CIA hebben natuurlijke personen ook een recht op toegang tot hun persoonlijke kredietinformatie (artikel 38, lid 1, CIA) en op correctie van onjuiste gegevens (artikel 38, leden 2 en 3, CIA) (140). Bovendien voorziet de CIA naast het algemene recht op wissing op grond van de PIPA (zie overweging 77), in een specifiek recht op het wissen van persoonlijke kredietinformatie die langer is bewaard dan de in overweging 104 genoemde bewaarperiode, dat wil zeggen vijf jaar (voor persoonlijke kredietinformatie die moest worden bewaard om een commerciële relatie aan te gaan of in stand te houden) of drie maanden (voor andere soorten persoonlijke kredietinformatie) (141). Een verzoek om wissing kan bij wijze van uitzondering worden geweigerd wanneer verdere bewaring noodzakelijk is in de omstandigheden zoals beschreven in overweging 105. Indien een betrokkene verzoekt om wissing, maar een van de uitzonderingen van toepassing is, moeten specifieke waarborgen worden toegepast op de desbetreffende kredietinformatie (artikel 38-3, lid 3, CIA en artikel 33-3 van het CIA-uitvoeringsdecreet). De informatie moet bijvoorbeeld gescheiden van andere informatie worden bewaard, mag slechts worden ingezien door een bevoegde persoon en moet worden onderworpen aan specifieke beveiligingsmaatregelen.

(110)

Naast de in overweging 109 genoemde rechten waarborgt de CIA het recht van natuurlijke personen om een verwerkingsverantwoordelijke te verzoeken geen contact meer met hen op te nemen met het oog op direct marketing (artikel 37, lid 2, van de wet) en het recht op gegevensoverdraagbaarheid. Wat het laatste recht betreft, staat de CIA natuurlijke personen toe te verzoeken om de overdracht van hun persoonlijke kredietinformatie aan henzelf of bepaalde derden (zoals financiële instellingen en kredietbeoordelingsbureaus). De persoonlijke kredietinformatie moet worden verwerkt en overgedragen aan de derde in een formaat dat kan worden verwerkt door een apparaat voor informatieverwerking (zoals een computer).

(111)

Voor zover de CIA specifieke regels bevat ten opzichte van de PIPA is de Commissie derhalve van mening dat ook deze regels een niveau van bescherming waarborgen dat in wezen overeenkomt met dat van Verordening (EU) 2016/679.

(112)

Om ervoor te zorgen dat in de praktijk een passend niveau van bescherming van persoonsgegevens wordt gewaarborgd, moet er worden voorzien in een onafhankelijke toezichthoudende autoriteit met bevoegdheden tot monitoring en handhaving van de naleving van de gegevensbeschermingsvoorschriften. Deze autoriteit moet bij de uitvoering van haar taken en de uitoefening van haar bevoegdheden volledig onafhankelijk en onpartijdig handelen.

(113)

In de Republiek Korea is de PIPC de onafhankelijke autoriteit die belast is met de monitoring en handhaving van de PIPA. De PIPC bestaat uit een voorzitter, een vicevoorzitter en zeven commissarissen. De voorzitter en vicevoorzitter worden benoemd door de president, op aanbeveling van de premier. Van de commissarissen worden er twee benoemd door de president op aanbeveling van de voorzitter en vijf op aanbeveling van de Nationale Vergadering (waarvan twee op aanbeveling van de politieke partij waartoe de president behoort en drie op aanbeveling van andere politieke partijen (artikel 7-2, lid 2, PIPA), hetgeen bijdraagt tot het tegengaan van partijdigheid in het benoemingsproces) (142). Deze procedure is in overeenstemming met de vereisten voor de benoeming van leden van gegevensbeschermingsautoriteiten in de Unie (artikel 53, lid 1, van Verordening (EU) 2016/679). Bovendien moeten alle commissarissen afzien van zakelijke activiteiten met een winstoogmerk, politieke activiteiten en functies bij de overheid of de Nationale Vergadering (artikel 7-6 en artikel 7-7, lid 1, punt 3, PIPA) (143). Alle commissarissen zijn onderworpen aan specifieke voorschriften waardoor zij niet kunnen deelnemen aan overleg in geval van mogelijke belangenconflicten (artikel 7-11 PIPA). De PIPC wordt ondersteund door een secretariaat (artikel 7-13) en kan subcommissies oprichten (bestaande uit drie commissarissen) om minder ernstige schendingen en terugkerende zaken te behandelen (artikel 7-12 PIPA).

(114)

Elk lid van de PIPC wordt voor een periode van drie jaar benoemd en kan één keer worden herbenoemd (artikel 7-4, lid 1, PIPA). Commissarissen mogen slechts onder specifieke omstandigheden uit hun functie worden ontheven, namelijk wanneer zij niet langer in staat zijn hun taken te vervullen als gevolg van een langdurige geestelijke of fysieke handicap, wanneer zij handelen in strijd met de wet of voldoen aan een van de gronden voor ontzegging van het mandaat (144) (artikel 7-5 PIPA). Dit biedt hun institutionele bescherming bij de uitoefening van hun taken.

(115)

Meer in het algemeen waarborgt artikel 7, lid 1, PIPA de onafhankelijkheid van de PIPC uitdrukkelijk en vereist artikel 7-5, lid 2, PIPA dat commissarissen hun taken op onafhankelijke wijze uitoefenen, in overeenstemming met de wet en hun geweten (145). De beschreven institutionele en procedurele waarborgen, onder meer die in verband met de benoeming en het ontslag van haar leden, waarborgen dat de PIPC volledig onafhankelijk handelt, zonder externe invloeden of instructies. Bovendien stelt de PIPC als centraal administratief agentschap jaarlijks een eigen begroting voor (die door het Ministerie van Financiën wordt gecontroleerd als onderdeel van de totale nationale begroting vóór goedkeuring door de Nationale Vergadering) en is de PIPC belast met het eigen personeelsbeheer. De PIPC heeft een huidige begroting van ongeveer 35 miljoen euro en telt 154 personeelsleden (waaronder 40 werknemers die gespecialiseerd zijn in informatie- en communicatietechnologie, 32 werknemers die zich bezighouden met onderzoeken en 40 juridische deskundigen).

(116)

De taken en bevoegdheden van de PIPC zijn voornamelijk opgenomen in de artikelen 7-8 en 7-9 en in de artikelen 61 tot en met 66 PIPA (146). De taken van de PIPC omvatten met name het geven van advies over wet- en regelgeving in verband met de gegevensbescherming, het ontwikkelen van gegevensbeschermingsbeleid en -richtsnoeren, het onderzoeken van inbreuken op individuele rechten, het afhandelen van klachten en bemiddelen in geschillen, het handhaven van de naleving van de PIPA, het waarborgen van opleiding en bevordering op het gebied van gegevensbescherming en het onderhouden van contacten en het samenwerken met gegevensbeschermingsautoriteiten in derde landen (147).

(117)

Op basis van artikel 68 PIPA juncto artikel 62 van het PIPA-uitvoeringsdecreet zijn bepaalde taken van de PIPC gedelegeerd aan het Koreaans Agentschap voor internet en veiligheid, namelijk: 1) onderwijs en voorlichting, 2) opleiding van deskundigen en ontwikkeling van criteria voor privacyeffectbeoordelingen, 3) de afhandeling van verzoeken om aanwijzing van een zogenaamde instelling voor de privacyeffectbeoordeling, 4) de afhandeling van verzoeken om indirecte toegang tot persoonsgegevens die in het bezit zijn van overheidsinstanties (artikel 35, lid 2, PIPA) en 5) het verzoeken om materiaal en uitvoeren van inspecties met betrekking tot klachten die zijn ontvangen via het zogenaamde Privacy Call Centre. In het kader van de afhandeling van klachten door het Privacy Call Centre stuurt het Koreaans Agentschap voor internet en veiligheid de zaak door naar de PIPC of het Openbaar Ministerie wanneer het vaststelt dat een wet is geschonden. De mogelijkheid om een klacht in te dienen bij het Privacy Call Centre belet betrokkenen niet direct een klacht in te dienen bij de PIPC of zich tot de PIPC te wenden wanneer zij van mening zijn dat het Koreaans Agentschap voor internet en veiligheid hun klacht niet naar tevredenheid heeft behandeld.

(118)

Om de naleving van de PIPA te waarborgen, heeft de wetgever de PIPC zowel onderzoeks- als handhavingsbevoegdheden gegeven, die uiteenlopen van aanbevelingen tot administratieve boetes. Deze bevoegdheden worden verder aangevuld door een stelsel van strafrechtelijke sancties.

(119)

Wat de onderzoeksbevoegdheden betreft, kan de PIPC inspecties ter plaatse uitvoeren en verantwoordelijken voor de verwerking van persoonsgegevens verzoeken om al het relevante materiaal (zoals voorwerpen en documenten) wanneer zij vermoedt dat er sprake is van een schending van de PIPA of wanneer er een schending is gemeld of wanneer dit nodig is voor de bescherming van de rechten van betrokkenen tegen inbreuken (artikel 63 PIPA juncto artikel 60 van het PIPA-uitvoeringsdecreet) (148).

(120)

Wat de handhaving betreft, kan de PIPC op grond van artikel 61, lid 2, PIPA advies verlenen aan verwerkingsverantwoordelijken over manieren om het beschermingsniveau van de persoonsgegevens tijdens specifieke verwerkingsactiviteiten te verbeteren. Verwerkingsverantwoordelijken moeten te goeder trouw inspanningen leveren om dat advies uit te voeren en zij moeten de PIPC informeren over het resultaat hiervan. Wanneer er redelijke gronden zijn om aan te nemen dat een schending van de PIPA heeft plaatsgevonden en niet handelen waarschijnlijk zal leiden tot schade die moeilijk kan worden hersteld, kan de PIPC bovendien corrigerende maatregelen opleggen (artikel 61, lid 1, PIPA) (149). In deel 5 van Kennisgeving nr. 2021-5 (bijlage I) wordt op bindende wijze verduidelijkt dat aan deze voorwaarden wordt voldaan in verband met de schending van bepalingen van de PIPA die de privacyrechten van betrokkenen beschermen met betrekking tot de persoonsinformatie (150). De maatregelen die de PIPC kan nemen, omvatten het gelasten van de stopzetting van het gedrag dat de schending veroorzaakt, de tijdelijke opschorting van de gegevensverwerking of andere noodzakelijke maatregelen. Het niet naleven van een corrigerende maatregel kan leiden tot een sanctie in de vorm van een boete van maximaal 50 miljoen KRW (artikel 75, lid 2, punt 13, PIPA).

(121)

Met betrekking tot bepaalde overheidsinstanties (zoals de Nationale Vergadering, centrale bestuursinstanties, lokale overheden en de rechtbanken) is in artikel 64, lid 4, PIPA bepaald dat de PIPC de in overweging 120 genoemde corrigerende maatregelen kan aanbevelen en dat deze instanties die aanbeveling moeten naleven, tenzij er sprake is van buitengewone omstandigheden. Volgens deel 5 van Kennisgeving nr. 2021-5 wordt hiermee verwezen naar buitengewone feitelijke of juridische omstandigheden waarvan de PIPC niet op de hoogte was toen zij haar aanbeveling deed. De betrokken overheidsinstantie mag zich slechts beroepen op dergelijke buitengewone omstandigheden wanneer zij duidelijk aantoont dat er geen inbreuk heeft plaatsgevonden en de PIPC vaststelt dat dit inderdaad niet het geval is. Wanneer er wel een inbreuk heeft plaatsgevonden, moet de overheidsinstantie de aanbeveling van de PIPC volgen en is zij verplicht om corrigerende maatregelen te nemen om de actie onmiddellijk te stoppen en de schade te vergoeden in het uitzonderlijke geval waarin desondanks een illegale handeling werd verricht.

(122)

De PIPC kan ook andere bestuursinstanties met een specifieke bevoegdheid uit hoofde van sectorale wetgeving (bv. gezondheidszorg, onderwijs) verzoeken om – alleen of samen met de PIPC – een onderzoek uit te voeren naar (vermoede) privacyschendingen door verwerkingsverantwoordelijken die actief zijn in de desbetreffende, onder hun jurisdictie vallende sectoren, en om corrigerende maatregelen op te leggen (artikel 63, leden 4 en 5, PIPA). In dat geval bepaalt de PIPC de gronden, het voorwerp en de reikwijdte van het onderzoek (151). De betrokken bestuursinstantie moet op haar beurt een inspectieplan indienen bij de PIPC en de PIPC in kennis stellen van het resultaat van de inspectie. De PIPC kan een specifieke corrigerende maatregel aanbevelen, die het betrokken agentschap moet trachten uit te voeren. Een dergelijk verzoek beperkt in ieder geval de bevoegdheid van de PIPC om haar eigen onderzoek te verrichten of sancties op te leggen niet.

(123)

Naast zijn corrigerende bevoegdheden kan de PIPC administratieve boetes van 10 tot 50 miljoen KRW opleggen voor inbreuken op diverse vereisten van de PIPA (artikel 75 PIPA) (152). Dit omvat onder meer het niet naleven van de vereisten van de wettigheid van de verwerking, het niet nemen van de noodzakelijke beveiligingsmaatregelen, het niet in kennis stellen van betrokkenen in het geval van een gegevenslek, het niet naleven van de vereisten voor subverwerking, het niet vaststellen en bekendmaken van een privacybeleid, het niet aanwijzen van een privacyfunctionaris of het niet handelen op verzoek van de betrokkene in het kader van de uitoefening van diens individuele rechten, evenals bepaalde procedurele inbreuken (niet samenwerken tijdens een onderzoek). In geval van inbreuken op verschillende bepalingen van de PIPA door dezelfde verwerkingsverantwoordelijke kan voor elke inbreuk een boete worden opgelegd en zal bij de vaststelling van de hoogte van de boete rekening worden gehouden met het aantal getroffen personen.

(124)

De PIPC kan bovendien een strafrechtelijke klacht indienen bij de bevoegde onderzoeksinstantie (zoals een aanklager, zie artikel 65, lid 1, PIPA) wanneer er redelijke gronden zijn om te vermoeden dat inbreuk is gepleegd op de PIPA of andere wetten in verband met de gegevensbescherming. De PIPC kan de verwerkingsverantwoordelijke bovendien adviseren disciplinaire maatregelen te nemen tegen de verantwoordelijke persoon (waaronder de verantwoordelijke manager, zie artikel 65, lid 2, PIPA). Wanneer de verwerkingsverantwoordelijke een dergelijk advies ontvangt, moet hij dit naleven (153) en de PIPC schriftelijk in kennis stellen van het resultaat (artikel 65 PIPA juncto artikel 58 van het PIPA-uitvoeringsdecreet).

(125)

Ten aanzien van advies overeenkomstig artikel 61, corrigerende maatregelen overeenkomstig artikel 64, een beschuldiging of advies tot het nemen van disciplinaire maatregelen overeenkomstig artikel 65 en het opleggen van administratieve boetes overeenkomstig artikel 75 PIPA, kan de PIPC de feiten — dat wil zeggen de inbreuk, de entiteit die inbreuk op de wet heeft gemaakt en de opgelegde maatregel(en) — bekendmaken door deze op haar website of in een algemeen, nationaal dagblad te publiceren (artikel 66 PIPA juncto artikel 61, lid 1, van het PIPA-uitvoeringsdecreet) (154).

(126)

Tot slot wordt de naleving van de gegevensbeschermingsvereisten van de PIPA (en van andere wetten in verband met de gegevensbescherming) ondersteund door een stelsel van strafrechtelijke sancties. In dit verband bevatten de artikelen 70 tot en met 73 PIPA sanctiebepalingen die kunnen leiden tot het opleggen van een boete (van 20 tot 100 miljoen KRW) of een gevangenisstraf (met een maximumstraf van 2 tot 10 jaar). Relevante inbreuken zijn onder meer het gebruik van persoonsgegevens of het verstrekken van dergelijke gegevens aan een derde zonder de noodzakelijke toestemming, de verwerking van gevoelige informatie in strijd met het verbod van artikel 23, lid 1, PIPA, de niet-naleving van de toepasselijke veiligheidsvereisten met als gevolg het verlies, de diefstal, de onthulling, de vervalsing, de wijziging of de beschadiging van persoonsgegevens, het niet nemen van de noodzakelijke maatregelen om persoonsgegevens te corrigeren, te wissen of op te schorten of de onrechtmatige doorgifte van persoonsgegevens aan een derde land (155). Op grond van artikel 74 PIPA zijn in elk van deze gevallen de werknemer, de vertegenwoordiger van de verwerkingsverantwoordelijke en de verwerkingsverantwoordelijke zelf aansprakelijk (156).

(127)

Naast de strafrechtelijke sancties waarin is voorzien in de PIPA kan het misbruik van persoonsgegevens ook een strafbaar feit in de zin van het wetboek van strafrecht zijn. Dit is met name het geval met betrekking tot de schending van het briefgeheim, geheime documenten of elektronische registers (artikel 316), het verstrekken van informatie die valt onder het beroepsgeheim (artikel 317), fraude met gebruik van computers (artikel 347-2) en verduistering en vertrouwensbreuken (artikel 355).

(128)

Het Koreaanse systeem combineert dus verschillende soorten sancties, van corrigerende maatregelen en administratieve boetes tot strafrechtelijke sancties, die waarschijnlijk een bijzonder sterk afschrikkend effect zullen hebben op verwerkingsverantwoordelijken en de personen die de gegevens behandelen. De PIPC begon na haar oprichting in 2020 meteen gebruik te maken van haar bevoegdheden. Uit het jaarverslag 2021 van de PIPC blijkt dat de PIPC reeds een aantal aanbevelingen en corrigerende bevelen heeft doen uitgaan en administratieve boetes heeft opgelegd, zowel jegens de overheidssector (ongeveer 34 overheidsinstanties) als tegen particuliere marktdeelnemers (ongeveer 140 bedrijven) (157). Twee bekende zaken in dit verband waren bijvoorbeeld een zaak in december 2020 waarin zij een boete van 6,7 miljard KRW oplegde aan een bedrijf vanwege de schending van verschillende bepalingen van de PIPA (waaronder beveiligingsvereisten, toestemmingsvereisten voor de verstrekking aan een derde en de transparantie) (158) en een zaak in april 2020 waarin zij een boete van 103,3 miljoen KRW oplegde aan een bedrijf voor AI-technologie wegens schending van onder meer de regels inzake de rechtmatigheid van de verwerking, en met name de toestemming, en de verwerking van gepseudonimiseerde informatie (159). In augustus 2021 heeft de PIPC een ander onderzoek afgerond naar de activiteiten van drie ondernemingen dat heeft geleid tot corrigerende maatregelen en het opleggen van boetes ten belope van 6,47 miljard KWR (onder meer omdat de ondernemingen personen niet in kennis hebben gesteld van de openbaarmaking van hun persoonsgegevens aan derden, waarbij ook sprake was van doorgiften aan derde landen) (160). Zuid-Korea had bovendien vóór de recente hervorming reeds een goede staat van dienst wat betreft de handhaving, waarbij de verantwoordelijke autoriteiten gebruikmaakten van het volledige scala aan handhavingsmaatregelen, waaronder administratieve boetes, corrigerende maatregelen en het publiekelijk aan de kaak stellen van verschillende verwerkingsverantwoordelijken, waaronder aanbieders van communicatiediensten (Koreaanse Communicatiecommissie) en marktdeelnemers, financiële instellingen, overheidsinstanties, universiteiten en ziekenhuizen (ministerie van Binnenlandse Zaken en Veiligheid) (161). Op basis hiervan concludeert de Commissie dat het Koreaanse systeem de doeltreffende handhaving van de gegevensbeschermingsvoorschriften in de praktijk waarborgt en daarmee een beschermingsniveau garandeert dat in wezen overeenkomt met dat van Verordening (EU) 2016/679.

(129)

Om een passende bescherming en vooral de handhaving van individuele rechten te waarborgen, moeten aan de betrokkene doeltreffende administratieve en gerechtelijke verhaalsmogelijkheden worden verstrekt, met inbegrip van een recht op schadeloosstelling.

(130)

Het Koreaanse systeem voorziet in verschillende mechanismen voor natuurlijke personen om hun rechten doeltreffend uit te oefenen en (gerechtelijk) verhaal te halen.

(131)

Allereerst kunnen personen die menen dat hun gegevensbeschermingsrechten of -belangen zijn geschonden, zich wenden tot de betreffende verwerkingsverantwoordelijke. Overeenkomstig artikel 30, lid 1, punt 5, PIPA, omvat het privacybeleid van de verwerkingsverantwoordelijke onder meer informatie over de rechten van betrokkenen en hoe deze kunnen worden uitgeoefend. Daarnaast bevat het contactgegevens, zoals de naam en het telefoonnummer van de privacyfunctionaris of de voor de gegevensbescherming verantwoordelijke afdeling, voor het indienen van eventuele klachten (“grieven”). Binnen de organisatie van de verwerkingsverantwoordelijke is de privacyfunctionaris belast met de behandeling van klachten, het nemen van corrigerende maatregelen in geval van een inbreuk op de persoonlijke levenssfeer, en schadeloosstelling (artikel 31, lid 2, punt 3, en lid 4, PIPA). Deze laatste is bijvoorbeeld van belang wanneer de verwerkingsverantwoordelijke in geval van een gegevenslek de betrokkene het/de contactpunt(en) moet meedelen zodat deze, onder meer, eventuele schade kan melden (artikel 34, lid 1, punt 5, PIPA).

(132)

Daarnaast biedt de PIPA verschillende verhaalsmogelijkheden aan betrokkenen ten aanzien van de verwerkingsverantwoordelijken. Ten eerste kan iedere persoon die meent dat zijn of haar gegevensbeschermingsrechten of -belangen door de verwerkingsverantwoordelijke zijn geschonden deze inbreuk rechtstreeks melden aan de PIPC en/of aan een van de door de PIPC aangewezen gespecialiseerde instellingen voor de ontvangst en behandeling van klachten; hiertoe behoort het Koreaans Agentschap voor internet en veiligheid, dat hiervoor een callcenter voor persoonsinformatie gebruikt (het zogenaamde “Privacy Call Centre”) (artikel 62, leden 1 en 2, PIPA, juncto artikel 59 van het PIPA-uitvoeringsdecreet). Het Privacy Call Centre onderzoekt en stelt inbreuken vast, geeft advies in verband met de verwerking van persoonsgegevens (artikel 62, lid 3, PIPA) en kan inbreuken melden aan de PIPC (maar kan zelf geen handhavingsmaatregelen nemen). Het Privacy Call Centre ontvangt een groot aantal klachten/verzoeken (bv. 177 457 in 2020, 159 255 in 2019 en 164 497 in 2018) (162). Volgens informatie van de PIPC ontving het PIPC zelf tussen augustus 2020 en augustus 2021 ongeveer 1 000 klachten. Naar aanleiding van een klacht kan de PIPC komen met een advies voor verbeteringen, corrigerende maatregelen, een “inbeschuldigingstelling” bij de bevoegde onderzoeksinstantie (met inbegrip van een openbaar aanklager) of een advies voor tuchtmaatregelen (zie de artikelen 61, 64 en 65 PIPA). Beslissingen van de PIPC (zoals een weigering om een klacht te behandelen of een inhoudelijke afwijzing van een klacht) kunnen worden aangevochten op grond van de Wet administratieve procesvoering (163).

(133)

Ten tweede kunnen betrokkenen volgens de artikelen 40 tot en met 50, PIPA, juncto de artikelen 48-14 tot en met 57 van het PIPA-uitvoeringsdecreet, vorderingen voorleggen aan een zogenaamd “Comité voor geschillenbeslechting”, dat is samengesteld uit vertegenwoordigers die door de voorzitter van de PIPC zijn benoemd uit leden van de hoogste uitvoerende dienst van de PIPC, en uit personen die op grond van hun ervaring op het gebied van gegevensbescherming zijn benoemd uit bepaalde in aanmerking komende groepen (zie artikel 40, leden 2, 3 en 7, PIPA en artikel 48-14 van het PIPA-uitvoeringsdecreet) (164). De mogelijkheid om gebruik te maken van bemiddeling voor het Comité voor geschillenbeslechting biedt een alternatieve mogelijkheid om verhaal te halen, maar beperkt niet het recht van de persoon om zich in plaats daarvan tot de PIPC of de rechter te wenden. Om de zaak te onderzoeken, kan het Comité de partijen bij het geschil verzoeken het nodige materiaal te verstrekken en/of relevante getuigen op te roepen om voor het Comité te verschijnen (artikel 45 PIPA). Zodra de zaak is opgehelderd, stelt het Comité een ontwerp van een bemiddelingsbesluit (165) op waarover een meerderheid van zijn leden het eens moet zijn. Het ontwerp van bemiddeling kan opschorting van de inbreuk, de noodzakelijke rechtsmiddelen (met inbegrip van restitutie of schadeloosstelling) omvatten, alsmede alle maatregelen die nodig zijn om herhaling van dezelfde of soortgelijke inbreuk(en) te voorkomen (artikel 47, lid 1, PIPA). Wanneer beide partijen met het bemiddelingsbesluit instemmen, heeft dit dezelfde werking als een schikking voor de rechtbank (artikel 47, lid 5, PIPA). Beide partijen kunnen een gerechtelijke procedure inleiden tijdens de bemiddelingsprocedure, in welk geval deze laatste wordt opgeschort (zie artikel 48, lid 2, PIPA) (166). Uit de jaarlijkse cijfers van de PIPC blijkt dat personen regelmatig gebruikmaken van de procedure voor het Comité voor geschillenbeslechting, wat vaak tot een succesvol resultaat leidt. Zo heeft het Comité in 2020 126 zaken behandeld, waarvan er 89 bij het Comité werden opgelost (in 77 zaken kwamen de partijen reeds vóór het einde van de bemiddelingsprocedure tot overeenstemming en in 12 zaken werd het bemiddelingsvoorstel door de partijen aanvaard), wat resulteerde in een bemiddelingspercentage van 70,6 % (167). In 2019 behandelde het Comité 139 zaken, waarvan er 92 werden opgelost, wat leidde tot een bemiddelingspercentage van 62,2 %.

(134)

Wanneer ten minste vijftig personen schade hebben geleden of hun rechten op gegevensbescherming op dezelfde of soortgelijke wijze zijn geschonden ten gevolge van hetzelfde (soort) incident (168), kan een betrokkene of een organisatie voor gegevensbescherming bovendien om collectieve geschillenbemiddeling verzoeken namens een dergelijke collectiviteit; andere betrokkenen kunnen verzoeken om deel te nemen aan deze bemiddeling, die door het Comité voor geschillenbeslechting openbaar wordt aangekondigd (artikel 49, leden 1, 2 en 3, PIPA, juncto de artikelen 52, 53 en 54 van het PIPA-uitvoeringsdecreet) (169). Het Comité voor geschillenbeslechting kan minstens één persoon die het meest geschikt is om het gemeenschappelijk belang te vertegenwoordigen als vertegenwoordigende partij aanwijzen (artikel 49, lid 4, PIPA). Wanneer de verwerkingsverantwoordelijke de collectieve geschillenbeslechting afwijst of het bemiddelingsbesluit niet aanvaardt, kunnen bepaalde organisaties (170) een collectieve rechtszaak aanspannen om de inbreuk aan te pakken (artikelen 51 tot en met 57 PIPA).

(135)

Ten derde heeft de betrokkene in geval van een inbreuk op de persoonlijke levenssfeer die hem of haar “schade” toebrengt, recht om verhaal te halen door middel van een “snelle en eerlijke procedure” (artikel 4, punt 5, en artikel 39 PIPA) (171). De verwerkingsverantwoordelijke kan zich vrijpleiten door aan te tonen dat er geen sprake is van schuld (“kwade opzet” of nalatigheid). Wanneer de betrokkene schade lijdt als gevolg van verlies, diefstal, verspreiding, vervalsing, wijziging of beschadiging van zijn of haar persoonsgegevens, kan de rechter een vergoeding vaststellen van ten hoogste driemaal de feitelijke schade, waarbij rekening wordt gehouden met een aantal factoren (artikel 39, leden 3 en 4, PIPA). Als alternatief kan de betrokkene een “redelijke” schadevergoeding eisen van ten hoogste 3 miljoen KRW (artikel 39-2, leden 1 en 2, PIPA). Bovendien kan, overeenkomstig het burgerlijk wetboek, schadevergoeding worden geëist van eenieder die door een onrechtmatige daad, opzettelijk of uit nalatigheid, een ander schade berokkent of letsel toebrengt (172) of van een eenieder die de persoon, de vrijheid of de reputatie van een ander heeft geschaad of een andere persoon geestelijk leed heeft toegebracht (173). Deze aansprakelijkheid uit onrechtmatige daad als gevolg van de inbreuk op de gegevensbeschermingsvoorschriften is bevestigd door het Hooggerechtshof (174). Indien schade is veroorzaakt door het onrechtmatig handelen van een overheidsinstantie, kan bovendien een vordering tot schadevergoeding worden ingesteld op grond van de Wet inzake overheidscompensatie (175). Een vordering op grond van de Wet inzake overheidscompensatie kan worden ingediend bij een gespecialiseerde “raad voor schadevergoeding”, of rechtstreeks bij de Koreaanse rechtbanken (176). Aansprakelijkheid van de staat dekt ook immateriële schade (zoals geestelijk lijden) (177). Als het slachtoffer een buitenlands onderdaan is, is de Wet inzake overheidscompensatie van toepassing zolang zijn of haar land van herkomst ook voorziet in overheidscompensatie voor Koreaanse onderdanen (178).

(136)

Ten vierde heeft het Hooggerechtshof erkend dat betrokkenen het recht hebben een dwangmiddel tot rechtsherstel te vorderen wegens inbreuken op hun rechten uit hoofde van de grondwet, waaronder het recht op de bescherming van persoonsgegevens (179). In dit verband kan een rechter bijvoorbeeld de verwerkingsverantwoordelijken gelasten een onwettige activiteit op te schorten of stop te zetten. Daarnaast kan het recht op gegevensbescherming, met inbegrip van de door de PIPA beschermde rechten, worden gehandhaafd door middel van burgerlijke rechtsvordering. Deze horizontale toepassing van de grondwettelijke bescherming van de persoonlijke levenssfeer op betrekkingen tussen particuliere partijen is door het Hooggerechtshof erkend (180).

(137)

Tot slot kunnen betrokkenen op grond van het wetboek van strafvordering (artikel 223) een strafrechtelijke klacht indienen bij een openbaar aanklager of bij een ambtenaar van de gerechtelijke politie (181).

(138)

Het Koreaanse systeem biedt derhalve verschillende mogelijkheden om verhaal te halen, van laagdrempelige en goedkope opties (bijvoorbeeld door contact op te nemen met het Privacy Call Centre of via (collectieve) bemiddeling) tot administratieve (voor de PIPC) en gerechtelijke alternatieven, met onder meer de mogelijkheid om schadeloosstelling te verkrijgen.

(139)

De Commissie heeft ook de beperkingen en waarborgen beoordeeld, inclusief de mechanismen voor toezicht en individueel verhaal in het Koreaanse recht met betrekking tot de verzameling en het daaropvolgende gebruik van persoonsgegevens die door Koreaanse overheidsinstanties in het openbaar belang, met name voor de handhaving van het strafrecht en de nationale veiligheid, worden doorgegeven aan verwerkingsverantwoordelijken in Korea (overheidstoegang). In dit verband heeft de Koreaanse regering de Commissie op het hoogste niveau van ministeries en andere overheidsinstanties ondertekende officiële verklaringen, garanties en toezeggingen verstrekt die in bijlage II bij dit besluit zijn opgenomen.

(140)

Bij de beoordeling van de vraag of de voorwaarden waaronder overheidstoegang tot gegevens die op grond van dit besluit aan Korea worden doorgegeven “in feite overeenkomend” zijn met artikel 45, lid 1, van Verordening (EU) 2016/679, zoals uitgelegd door het Hof van Justitie van de Europese Unie (het “Hof”) in het licht van het Handvest van de grondrechten, heeft de Commissie met name rekening gehouden met de volgende criteria.

(141)

Ten eerste moet elke beperking van het recht op bescherming van persoonsgegevens bij wet worden geregeld en moet de rechtsgrondslag die de aantasting van een dergelijk recht mogelijk maakt, zelf de reikwijdte van de beperking op de uitoefening van het betrokken recht bepalen (182).

(142)

Ten tweede moet, om te voldoen aan het evenredigheidsvereiste, dat inhoudt dat afwijkingen en beperkingen van de bescherming van persoonsgegevens slechts van toepassing mogen zijn voor zover zulks in een democratische samenleving strikt noodzakelijk is om specifieke doelstellingen van algemeen belang te verwezenlijken die gelijkwaardig zijn aan die welke door de EU worden erkend, de wetgeving van het betrokken derde land die de inmenging toestaat, duidelijke en nauwkeurige regels betreffende de werkingssfeer en de toepassing van de betrokken maatregelen vaststellen en minimumwaarborgen opleggen, opdat de personen wier gegevens zijn doorgegeven, over voldoende waarborgen beschikken om hun persoonsgegevens doeltreffend te beschermen tegen het risico van misbruik (183). De wetgeving moet met name aangeven in welke omstandigheden en onder welke voorwaarden een maatregel kan worden genomen die voorziet in de verwerking van dergelijke gegevens (184), en moet de naleving van dergelijke vereisten aan onafhankelijk toezicht onderwerpen (185).

(143)

In de derde plaats moeten de wetgeving en de daarin gestelde eisen juridisch bindend zijn volgens het binnenlands recht. Dit betreft allereerst de autoriteiten van het derde land in kwestie, maar deze wettelijke eisen moeten ook voor de rechter afdwingbaar zijn ten opzichte van die autoriteiten (186). Betrokkenen moeten met name de mogelijkheid hebben een rechtsvordering in te stellen bij een onafhankelijke en onpartijdige rechterlijke instantie om inzage te krijgen in hun persoonsgegevens of om deze gegevens te laten corrigeren of wissen (187).

(144)

De beperkingen en waarborgen die gelden voor de verzameling en het daaropvolgende gebruik van persoonsgegevens door Koreaanse overheidsinstanties vloeien voort uit het overkoepelende grondwettelijke kader, specifieke wetten die hun activiteiten op het gebied van de handhaving van het strafrecht en de nationale veiligheid reguleren, alsmede de regels die specifiek van toepassing zijn op de verwerking van persoonsgegevens.

(145)

Ten eerste gelden voor de toegang tot persoonsgegevens door de Koreaanse overheid de algemene beginselen van legaliteit, noodzakelijkheid en evenredigheid die uit de Koreaanse grondwet voortvloeien (188). Met name mogen fundamentele rechten en vrijheden (waaronder het recht op privacy en het recht op briefgeheim) (189) alleen bij wet worden beperkt wanneer dat noodzakelijk is voor de nationale veiligheid of de handhaving van de openbare orde met het oog op het openbaar welzijn. Dergelijke beperkingen mogen de wezenlijke inhoud van het recht of de vrijheid in kwestie niet aantasten. Wat specifiek onderzoeken en inbeslagnemingen betreft, bepaalt de grondwet dat deze alleen mogen plaatsvinden zoals bij wet bepaald, op basis van een door een rechter afgegeven bevel en met inachtneming van een goede rechtsbedeling (190). Tot slot kunnen betrokkenen hun rechten en vrijheden voor het Grondwettelijk Hof inroepen wanneer zij menen dat deze door de overheid tijdens de uitoefening van haar bevoegdheden zijn geschonden (191). Ook personen die schade hebben geleden door een onrechtmatige handeling van een ambtenaar tijdens de uitoefening van zijn ambt, hebben het recht een billijke vergoeding te vorderen (192).

(146)

Ten tweede komen, zoals in de punten 3.2.1 en 3.3.1 meer in detail is beschreven, de in overweging 145 genoemde algemene beginselen ook tot uiting in de specifieke wetten die de bevoegdheden van de rechtshandhavingsinstanties en de nationale veiligheidsinstanties regelen. Met betrekking tot strafrechtelijk onderzoek bepaalt het wetboek van strafvordering (Criminal Procedure Act, hierna “CPA” genoemd) bijvoorbeeld dat verplichte maatregelen alleen mogen worden genomen wanneer het CPA daarin uitdrukkelijk voorziet en voor zover zij niet verder gaan dan wat nodig is om het doel van het onderzoek te verwezenlijken (193). Evenzo verbiedt artikel 3 van de Wet op de bescherming van de communicatieprivacy (Communications Privacy Protection Act, hierna “CPPA” genoemd) de toegang tot privécommunicatie, tenzij dit op grond van de wet gebeurt en met inachtneming van de daarin vastgestelde beperkingen en waarborgen. Op het gebied van de nationale veiligheid bepaalt de Wet op de Nationale Inlichtingendienst (National Intelligence Service Act, hierna “NIS-wet” genoemd) dat elke toegang tot communicatie- of locatiegegevens in overeenstemming moet zijn met de wet en dat machtsmisbruik en wetsovertredingen strafrechtelijk moeten worden bestraft (194).

(147)

Ten derde is de verwerking van persoonsgegevens door overheidsinstanties, ook ten behoeve van de rechtshandhaving en nationale veiligheid, onderworpen aan de gegevensbeschermingsvoorschriften van de PIPA (195). Als algemeen beginsel is in artikel 5, lid 1, PIPA bepaald dat overheidsinstanties een beleid moeten ontwikkelen ter voorkoming van misbruik en oneigenlijk gebruik van persoonsinformatie, willekeurige surveillance en tracering enz. en ter versterking van de menselijke waardigheid en de persoonlijke levenssfeer. Bovendien moet elke verwerkingsverantwoordelijke persoonsgegevens op zodanige wijze verwerken dat de mogelijkheid dat inbreuk wordt gemaakt op de persoonlijke levenssfeer van de betrokkene tot een minimum wordt beperkt (artikel 3, lid 6, PIPA).

(148)

Alle voorschriften van de PIPA, zoals uitvoerig beschreven in deel 2, zijn van toepassing op de verwerking van persoonsgegevens ten behoeve van de rechtshandhaving. Dit omvat de kernbeginselen (zoals rechtmatigheid en behoorlijkheid, doelbinding, juistheid, minimale gegevensverwerking, opslagbeperking, beveiliging en transparantie), verplichtingen (bijvoorbeeld met betrekking tot de melding van gegevenslekken en gevoelige gegevens) en rechten (om toegang, correctie, verwijdering en opschorting te verkrijgen).

(149)

Hoewel de verwerking van persoonsgegevens ten behoeve van de nationale veiligheid onder een beperktere reeks voorschriften van de PIPA valt, zijn de kernbeginselen, alsmede de regels inzake toezicht, handhaving en verhaal van toepassing (196). Met name zijn in de artikelen 3 en 4, PIPA de algemene gegevensbeschermingsbeginselen (rechtmatigheid en behoorlijkheid, doelbinding, juistheid, minimale gegevensverwerking, beveiliging en transparantie) en de individuele rechten (het recht op informatie, het recht op toegang, en het recht op correctie, verwijdering en opschorting) vastgelegd (197). Artikel 4, lid 5, PIPA biedt betrokkenen daarnaast het recht op passende verhaalsmogelijkheden met een snelle en eerlijke procedure in geval van schade die voortvloeit uit de verwerking van hun persoonsgegevens. Dit wordt aangevuld met specifiekere verplichtingen om persoonsgegevens slechts te verwerken in de mate waarin en voor zolang zij noodzakelijk zijn om het beoogde doel te bereiken, om de nodige maatregelen te treffen om een veilig gegevensbeheer en een passende verwerking te waarborgen (zoals technische, bestuurlijke en fysieke waarborgen), alsook om maatregelen te treffen voor een passende behandeling van individuele grieven (klachten) (198). Tot slot zijn de algemene beginselen van wettigheid, noodzakelijkheid en evenredigheid uit de Koreaanse grondwet (zie overweging 145) ook van toepassing op de verwerking van persoonsgegevens met het oog op de nationale veiligheid.

(150)

Deze algemene beperkingen en waarborgen kunnen door betrokkenen worden ingeroepen voor onafhankelijke toezichthoudende instanties (bv. de PIPC en/of de Nationale Mensenrechtencommissie, zie de overwegingen 177 en 178) en rechtbanken (zie overwegingen 179 tot en met 183) om rechtsherstel te verkrijgen.

(151)

De Koreaanse wet legt een aantal beperkingen op aan de toegang tot en het gebruik van persoonsgegevens met het oog op de handhaving van het strafrecht, en voorziet in toezichts- en verhaalsmechanismen die in overeenstemming zijn met de in de overwegingen 141 tot en met 143 van dit besluit bedoelde vereisten. De voorwaarden waaronder deze toegang kan plaatsvinden en de waarborgen die van toepassing zijn op het gebruik van die bevoegdheden worden in de volgende punten in detail beoordeeld.

(152)

Door Koreaanse verwerkingsverantwoordelijken verwerkte persoonsgegevens die op grond van dit besluit uit de EU zouden worden doorgegeven (199), kunnen door Koreaanse autoriteiten worden verzameld voor de handhaving van het strafrecht in het kader van een onderzoek of inbeslagneming (op grond van het CPA), door middel van toegang tot communicatiegegevens (op grond van de CPPA), of door abonneegegevens te verkrijgen via verzoeken om vrijwillige verstrekking (op grond van de Wet op de telecommunicatieactiviteiten —Telecommunications Business Act, hierna “TBA” genoemd) (200).

(153)

Het CPA bepaalt dat een onderzoek of inbeslagneming alleen mag plaatsvinden indien een persoon wordt verdacht van een misdrijf, indien het onderzoek of de inbeslagneming noodzakelijk is voor het gerechtelijk onderzoek en indien er een verband bestaat tussen dat onderzoek en de te fouilleren persoon of het te doorzoeken of in beslag te nemen voorwerp (201). Voorts mag een onderzoek of inbeslagneming (zoals elke verplichte maatregel) slechts worden toegestaan/uitgevoerd in een mate die niet verder gaat dan noodzakelijk is (202). Indien een doorzoeking betrekking heeft op een computerschijf of een ander medium voor gegevensopslag, worden in beginsel alleen de noodzakelijke gegevens zelf (gekopieerd of afgedrukt) in beslag genomen en niet het hele medium (203). Dit laatste mag alleen gebeuren wanneer het in wezen onmogelijk wordt geacht de vereiste gegevens afzonderlijk af te drukken of te kopiëren, of wanneer het in wezen onmogelijk wordt geacht het doel van de doorzoeking op een andere manier te bereiken (204). Het CPA bevat derhalve duidelijke en precieze regels over de reikwijdte en de toepassing van deze maatregelen, en zorgt er zo voor dat de inmenging in de rechten van personen in geval van een onderzoek of inbeslagneming beperkt blijft tot wat noodzakelijk is voor een specifiek strafrechtelijk onderzoek en in verhouding staat tot het nagestreefde doel.

(154)

Wat de procedurele waarborgen betreft, vereist het CPA dat voor het uitvoeren van een onderzoek of inbeslagneming een rechterlijk bevel wordt verkregen (205). Een onderzoek of inbeslagneming zonder rechterlijk bevel is slechts bij uitzondering toegestaan, namelijk in dringende omstandigheden (206), ter plaatse bij de aanhouding of inhechtenisneming van een verdachte van een strafbaar feit (207), of wanneer een voorwerp is weggegooid of vrijwillig wordt overgelegd door een verdachte van een strafbaar feit of een derde (wat persoonsgegevens betreft, door de betrokkene zelf) (208). Op onwettige onderzoeken en inbeslagnemingen staan strafrechtelijke sancties (209) en iedere vorm van bewijs die in strijd met het CPA is verkregen, wordt als ontoelaatbaar beschouwd (210). Tot slot moeten de betrokkenen altijd onverwijld in kennis worden gesteld van een onderzoek of inbeslagneming (met inbegrip van een inbeslagneming van hun gegevens) (211), hetgeen de uitoefening van de materiële rechten van de betrokkene en het recht op verhaal zal vergemakkelijken (zie met name de mogelijkheid om de uitvoering van een bevel tot inbeslagneming aan te vechten, zie overweging 180).

(155)

Op grond van de CPPA kunnen de Koreaanse strafrechtelijke handhavingsinstanties twee soorten maatregelen nemen (212): enerzijds de verzameling van “communicatiebevestigende gegevens” (213), waaronder de datum van de telecommunicatie, de begin- en eindtijd ervan, het aantal uitgaande en inkomende gesprekken, alsmede het abonneenummer van de andere partij, de gebruiksfrequentie, logbestanden over het gebruik van telecommunicatiediensten en locatiegegevens (bijvoorbeeld afkomstig van zendmasten waar signalen worden ontvangen), en, anderzijds, “communicatiebeperkende maatregelen”, die zowel betrekking hebben op de verzameling van de inhoud van traditionele post als op de rechtstreekse onderschepping van de inhoud van telecommunicatie (214).

(156)

Communicatiebevestigende gegevens mogen alleen worden ingezien wanneer dat nodig is om een strafrechtelijk onderzoek in te stellen of een vonnis ten uitvoer te leggen (215), op basis van een rechterlijk bevel (216). In dit verband vereist de CPPA dat gedetailleerde informatie wordt verstrekt, zowel in het verzoek om het bevel (bv. over de redenen voor het verzoek, de relatie met het voorwerp/de abonnee en de noodzakelijke gegevens), als in het bevel zelf (bv. over de doelstelling, het voorwerp en de reikwijdte van de maatregel) (217). Het verzamelen van gegevens zonder rechterlijk bevel mag alleen plaatsvinden wanneer het om dringende redenen onmogelijk is toestemming van de rechter te krijgen; in dat geval moet het bevel onmiddellijk na het verzoek om de gegevens worden verkregen en aan de telecommunicatieaanbieder worden overhandigd (218). Mocht de rechter achteraf weigeren om toestemming te verlenen, dan moeten de verzamelde gegevens worden vernietigd (219).

(157)

Wat de aanvullende waarborgen met betrekking tot de verzameling van communicatiebevestigende gegevens betreft, legt de CPPA specifieke eisen op inzake het bijhouden van registers en transparantie (220). Met name moeten zowel de strafrechtelijke handhavingsinstanties (221) als de telecommunicatieaanbieders (222) een register bijhouden van de verzoeken en de verstrekte gegevens. Daarnaast moeten strafrechtelijke handhavingsinstanties betrokkenen in beginsel in kennis stellen van het feit dat hun communicatiebevestigende gegevens zijn verzameld (223). Deze kennisgeving kan alleen in uitzonderlijke omstandigheden worden uitgesteld op grond van toestemming van de directeur van een bevoegd arrondissementsparket (224). Die toestemming kan alleen worden verleend wanneer de kennisgeving 1) de nationale veiligheid, de openbare veiligheid en de openbare orde in gevaar kan brengen; 2) de dood of lichamelijk letsel kan veroorzaken; 3) een eerlijke rechtsgang kan belemmeren (bijvoorbeeld door bewijsmateriaal te vernietigen of getuigen te bedreigen), of 4) de verdachte, de slachtoffers of andere personen die met de zaak te maken hebben, in diskrediet kan brengen, of inbreuk op hun persoonlijke levenssfeer kan maken. In die gevallen moet de kennisgeving worden gedaan binnen dertig dagen nadat de reden(en) voor uitstel niet langer bestaat (bestaan) (225). Na de kennisgeving hebben betrokkenen het recht om informatie te verkrijgen over de redenen voor het verzamelen van hun gegevens (226).

(158)

Er gelden strengere regels voor communicatiebeperkende maatregelen, die alleen mogen worden toegepast wanneer er gegronde redenen zijn om te vermoeden dat bepaalde ernstige strafbare feiten die specifiek in de CPPA worden genoemd, worden beraamd, worden gepleegd of zijn gepleegd (227). Bovendien mogen communicatiebeperkende maatregelen alleen worden genomen als laatste redmiddel en wanneer het moeilijk is om op een andere manier het plegen van een misdrijf te voorkomen, een misdadiger te arresteren of bewijsmateriaal te verzamelen (228). Zij moeten onmiddellijk worden stopgezet zodra zij niet langer nodig zijn, om ervoor te zorgen dat de inbreuk op de communicatieprivacy zo beperkt mogelijk blijft (229). Informatie die op onwettige wijze is verkregen door middel van communicatiebeperkende maatregelen wordt niet als bewijs toegelaten in gerechtelijke of tuchtrechtelijke procedures (230).

(159)

Wat de procedurele waarborgen betreft, vereist de CPPA dat voor het uitvoeren van communicatiebeperkende maatregelen een rechterlijk bevel wordt verkregen (231). Ook in deze gevallen vereist de CPPA dat het verzoek om een rechterlijk bevel en het bevel zelf gedetailleerde informatie bevatten (232), onder meer over de rechtvaardiging van het verzoek, alsook over de te verzamelen communicaties (die van de verdachte tegen wie een onderzoek loopt, moeten zijn) (233). Dergelijke maatregelen kunnen alleen zonder rechterlijk bevel worden genomen in geval van een onmiddellijke dreiging van georganiseerde criminaliteit of wanneer een ander ernstig misdrijf dat rechtstreeks de dood of ernstig letsel kan veroorzaken, ophanden is en er sprake is van een noodsituatie waardoor het onmogelijk is de normale procedure te volgen (234). In dat geval moet echter onmiddellijk nadat de maatregel is genomen een verzoek om een bevel worden ingediend (235). De communicatiebeperkende maatregelen mogen ten hoogste twee maanden worden toegepast (236) en mogen alleen met toestemming van de rechter worden verlengd als nog steeds aan de voorwaarden voor de toepassing van de maatregelen wordt voldaan (237). De verlengingsperiode mag in totaal niet langer duren dan één jaar, of drie jaar voor bepaalde bijzonder ernstige strafbare feiten (zoals strafbare feiten in verband met oproer, buitenlandse agressie, nationale veiligheid) (238).

(160)

Zoals het geval is voor het verzamelen van communicatiebevestigende gegevens, schrijft de CPPA voor dat telecommunicatieaanbieders (239) en rechtshandhavingsinstanties (240) een register bijhouden van de uitvoering van communicatiebeperkende maatregelen, evenals de kennnisgeving aan de betrokkene, hetgeen bij wijze van uitzondering kan worden uitgesteld wanneer dat om zwaarwegende redenen van algemeen belang noodzakelijk is (241).

(161)

Tot slot staan er strafrechtelijke sancties op niet-naleving van verschillende beperkingen en waarborgen van de CPPA (waaronder bijvoorbeeld de verplichtingen inzake het verkrijgen van een bevel, het bijhouden van registers en het in kennis stellen van de betrokkene), zowel wat betreft het verzamelen van communicatiebevestigende gegevens als wat betreft het gebruik van communicatiebeperkende maatregelen (242).

(162)

De bevoegdheden van de strafrechtelijke handhavingsinstanties om op basis van de CPPA communicatiegegevens te verzamelen (zowel de inhoud van de communicatie als de communicatiebevestigende gegevens) zijn derhalve afgebakend door duidelijke en precieze regels, en zijn onderworpen aan een aantal waarborgen. Deze waarborgen garanderen met name het toezicht op de uitvoering van dergelijke maatregelen, zowel vooraf (via voorafgaande toestemming van de rechter), als achteraf (door middel van registratie- en rapportagevereisten), en vergemakkelijken de toegang van betrokkenen tot doeltreffende rechtsmiddelen (door ervoor te zorgen dat zij worden geïnformeerd over het verzamelen van hun gegevens).

(163)

De Koreaanse rechtshandhavingsinstanties kunnen niet alleen een beroep doen op de in de overwegingen 153 tot en met 162 beschreven verplichte maatregelen, maar zij kunnen telecommunicatieaanbieders ook vragen om “communicatiegegevens” op vrijwillige basis, ter ondersteuning van een strafrechtelijke procedure, een onderzoek of de uitvoering van een vonnis (artikel 83, lid 3, TBA). Deze mogelijkheid bestaat alleen met betrekking tot beperkte gegevensreeksen, namelijk de naam, het burgerregistratienummer, het adres en het telefoonnummer van gebruikers, de data waarop gebruikers zich abonneren of hun abonnement beëindigen, alsmede gebruikersidentificatiecodes (d.w.z. codes die worden gebruikt om de rechtmatige gebruiker van computersystemen of communicatienetwerken te identificeren) (243). Aangezien alleen natuurlijke personen aan wie rechtstreeks diensten van een Koreaanse telecommunicatieaanbieder worden verleend, als “gebruikers” worden beschouwd (244), vallen EU-burgers wier gegevens aan de Republiek Korea zijn doorgegeven, normaal gesproken niet in deze categorie (245).

(164)

Voor dergelijke vrijwillige verstrekkingen gelden verschillende beperkingen, zowel wat betreft de uitoefening van bevoegdheden door de rechtshandhavingsinstantie als de reactie van de telecommunicatie-exploitant. Als algemene eis geldt dat rechtshandhavingsinstanties moeten handelen overeenkomstig de grondwettelijke beginselen van noodzakelijkheid en evenredigheid (artikel 12, lid 1, en artikel 37, lid 2, van de grondwet), ook wanneer zij om informatie op vrijwillige basis verzoeken. Daarnaast moeten zij de PIPA naleven, met name door uitsluitend persoonsgegevens te verzamelen voor zover deze nodig zijn om een gerechtvaardigd doel te bereiken, op een wijze die de gevolgen voor de persoonlijke levenssfeer van personen tot een minimum beperkt (zoals artikel 3, leden 1 en 6, PIPA). Meer in het bijzonder moeten verzoeken om communicatiegegevens te verkrijgen op basis van de TBA schriftelijk worden gedaan en moeten de redenen voor het verzoek, het verband met de betrokken gebruiker en de reikwijdte van de gevraagde gegevens worden vermeld (246).

(165)

Telecommunicatieaanbieders zijn niet verplicht dergelijke verzoeken in te willigen en mogen dit alleen doen in overeenstemming met de PIPA. Dit betekent met name dat zij de verschillende in het geding zijnde belangen tegen elkaar moeten afwegen en de gegevens niet mogen verstrekken indien dit waarschijnlijk op oneerlijke wijze inbreuk zou maken op de belangen van de betrokkene of van derden (247). Dit zou bijvoorbeeld het geval zijn als duidelijk is dat de verzoekende autoriteit misbruik heeft gemaakt van haar bevoegdheid (248). Telecommunicatie-exploitanten moeten registers bijhouden van verstrekkingen in het kader van de TBA en tweemaal per jaar verslag uitbrengen aan de minister van Wetenschap en ICT (249).

(166)

Bovendien moeten telecommunicatieaanbieders, overeenkomstig punt 3 van Kennisgeving nr. 2021-5 (bijlage I), de betrokkene in beginsel in kennis stellen wanneer zij vrijwillig aan een verzoek voldoen (250). Dit zal de betrokkene dan weer in staat stellen zijn of haar rechten uit te oefenen en, indien zijn/haar gegevens op onrechtmatige wijze zijn verstrekt, verhaal te halen, hetzij ten aanzien van de verwerkingsverantwoordelijke (bijvoorbeeld omdat de gegevens in strijd met de PIPA zijn verstrekt of omdat is ingegaan op een verzoek dat duidelijk onevenredig was), hetzij ten aanzien van de rechtshandhavingsinstantie (bijvoorbeeld omdat is gehandeld buiten de grenzen van wat noodzakelijk en evenredig is of omdat de procedurele voorschriften van de TBA niet in acht zijn genomen).

(167)

De verwerking van door Koreaanse strafrechtelijke handhavingsinstanties verzamelde persoonsgegevens is onderworpen aan alle voorschriften van de PIPA, ook met betrekking tot doelbinding (artikel 3, leden 1 en 2, PIPA), rechtmatigheid van gebruik en verstrekking aan derden (artikelen 15, 17 en 18 PIPA), internationale doorgiften (artikelen 17 en 18 PIPA, juncto Kennisgeving nr. 2021-5, deel 2) (251), evenredigheid/minimale gegevensverwerking (artikel 3, leden 1 en 6, PIPA) en opslagbeperking (artikel 21 PIPA) (252).

(168)

Met betrekking tot de inhoud van communicatie die is verkregen door de uitvoering van communicatiebeperkende maatregelen, beperkt de CPPA uitdrukkelijk het mogelijke gebruik ervan tot het onderzoeken, vervolgen of voorkomen van ernstige strafbare feiten (253); tuchtrechtelijke procedures voor dezelfde strafbare feiten; vorderingen tot schadevergoeding van een partij bij de communicatie of wanneer dit specifiek is toegestaan door andere wetgeving (254). Bovendien mag de inhoud van via internet verzonden telecommunicatie alleen worden bewaard met toestemming van de rechter die de communicatiebeperkende maatregelen heeft toegestaan (255), met het oog op het gebruik ervan voor het onderzoeken, vervolgen of voorkomen van ernstige strafbare feiten (256). Meer in het algemeen verbiedt de CPPA de verstrekking van vertrouwelijke informatie die is verkregen door communicatiebeperkende maatregelen, en het gebruik van dergelijke informatie om de reputatie te schaden van degenen op wie de maatregelen betrekking hadden (257).

(169)

In Korea wordt door verschillende instanties toezicht gehouden op de activiteiten van de strafrechtelijke handhavingsinstanties (258).

(170)

Ten eerste staat de politie onder intern toezicht van een inspecteur-generaal (259), die een controle van wettigheid uitvoert, ook met betrekking tot mogelijke schendingen van de mensenrechten. De inspecteur-generaal is aangesteld voor de uitvoering van de Wet inzake controles in de publieke sector, die de oprichting van interne-controleorganen aanmoedigt en specifieke voorschriften bevat inzake hun samenstelling en taken. De wet schrijft met name voor dat het hoofd van een interne-controleorgaan voor een periode van twee tot vijf jaar wordt benoemd uit personen buiten de betrokken autoriteit (zoals voormalige rechters, professoren) (260), alleen om gegronde redenen kan worden ontslagen (bijvoorbeeld wanneer hij om gezondheidsredenen niet in staat is zijn taken uit te voeren, of wanneer tegen hem een tuchtmaatregel is genomen) (261) en dat zijn onafhankelijkheid zoveel mogelijk wordt gewaarborgd (262). Op het belemmeren van een interne controle staan administratieve geldboeten (263). Controleverslagen (die aanbevelingen, verzoeken om tuchtmaatregelen en verzoeken om schadevergoeding of correctie kunnen bevatten) worden meegedeeld aan het hoofd van de betrokken overheidsinstantie en aan de Controle- en Inspectieraad (Board of Audit and Inspection, hierna “BAI” genoemd) (264), en worden in het algemeen openbaar gemaakt (265). De resultaten van de uitvoering van het verslag moeten ook worden meegedeeld aan de BAI (266) (zie overweging 173 over de toezichthoudende rol en bevoegdheden van de BAI).

(171)

Ten tweede ziet de PIPC erop toe dat de gegevensverwerking door strafrechtelijke handhavingsinstanties in overeenstemming is met de PIPA en met andere wetten die de persoonlijke levenssfeer van personen beschermen, met inbegrip van de wetten die de verzameling van (elektronisch) bewijsmateriaal met het oog op de handhaving van het strafrecht regelen, zoals beschreven in punt 3.2.1 (267). Aangezien het toezicht van de PIPC zich uitstrekt tot de rechtmatigheid en behoorlijkheid van de verzameling en verwerking van gegevens (artikel 3, lid 1, PIPA), die worden geschonden indien toegang wordt verkregen tot persoonsgegevens en zij worden gebruikt in strijd met deze wetten (268), kan de PIPC ook nagaan of de in punt 3.2.1. beschreven beperkingen en waarborgen worden nageleefd en kan zij de naleving ervan afdwingen (269). Bij de uitoefening van deze toezichthoudende rol kan de PIPC gebruik maken van al haar corrigerende en onderzoeksbevoegdheden, zoals uitvoerig beschreven in punt 2.4.2. Reeds vóór de recente hervorming van de PIPA (d.w.z. in haar vorige toezichthoudende rol voor de publieke sector) heeft de PIPC verschillende activiteiten van toezicht uitgevoerd op de verwerking van persoonsgegevens door strafrechtelijke handhavingsinstanties, bv. in het kader van het verhoor van verdachten (zaak nr. 2013-16 van 26 augustus 2013), met betrekking tot het verstrekken van kennisgevingen aan personen over het opleggen van administratieve geldboeten (zaak nr. 2015-02-04 van 26 januari 2015), het delen van gegevens met andere autoriteiten (zaak nr. 2018-15-146 van 9 juli 2018, zaak nr. 2018-25-308 van 10 december 2018; zaak nr. 2019-02-015 van 29 januari 2019), het verzamelen van vingerafdrukken of foto's (zaak nr. 2019-17-273 van 9 september 2019), het gebruik van drones (zaak nr. 2020-01-004 van 13 januari 2020). In die zaken onderzocht de PIPC de naleving van verschillende bepalingen van de PIPA (bv. de rechtmatigheid van de verwerking, de beginselen van doelbinding en minimale verwerking van de gegevens), maar ook van relevante bepalingen van andere wetten, zoals het wetboek van strafvordering, en deed zij, waar nodig, aanbevelingen om de verwerking in overeenstemming te brengen met de gegevensbeschermingsvoorschriften.

(172)

Ten derde is er onafhankelijk toezicht door de Nationale Mensenrechtencommissie (National Human Rights Commission, hierna “NHRC” genoemd) (270), die schendingen van het recht op privacy en het recht op briefgeheim kan onderzoeken als onderdeel van haar algemene mandaat voor de bescherming van de grondrechten van de artikelen 10 tot en met 22 van de grondwet. De NHRC bestaat uit elf commissarissen die aan specifieke kwalificaties moeten voldoen (271) en die door de president worden benoemd volgens bij wet vastgestelde procedures. Met name worden vier commissarissen benoemd op voordracht van de Nationale Vergadering, vier op voordracht van de president en drie op voordracht van de opperrechter van het Hooggerechtshof (272). De voorzitter wordt door de president benoemd uit de commissarissen en moet worden bevestigd door de Nationale Vergadering (273). De commissarissen (met inbegrip van de voorzitter) worden benoemd voor een hernieuwbare termijn van drie jaar en kunnen alleen worden ontslagen wanneer zij tot een gevangenisstraf zijn veroordeeld of niet langer in staat zijn hun taken uit te voeren als gevolg van langdurige fysieke of mentale zwakte (in dat geval moet twee derde van de commissarissen instemmen met het ontslag) (274). In het kader van een onderzoek kan de NHRC verzoeken om overlegging van relevant materiaal, inspecties uitvoeren en personen dagvaarden om te getuigen (275). Wat de corrigerende bevoegdheden betreft, kan de NHRC (openbare) aanbevelingen doen om specifieke beleidslijnen en praktijken te verbeteren of te corrigeren, waarop de overheidsinstanties moeten reageren met een voorstel voor een uitvoeringsplan (276). Indien de betrokken instantie geen gevolg geeft aan deze aanbevelingen, moet zij de commissie daarvan in kennis stellen (277), die op haar beurt dit nalaten kan bekendmaken aan de Nationale Vergadering, en/of openbaar kan maken. Volgens de officiële verklaring van de Koreaanse regering (punt 2.3.5 van bijlage II) leven de Koreaanse autoriteiten de aanbevelingen van de NHRC over het algemeen na en zijn zij zeer gestimuleerd om dit te doen aangezien de uitvoering hiervan wordt beoordeeld als onderdeel van een algemene, doorlopende evaluatie onder het gezag van het kabinet van de premier. Uit de jaarlijkse cijfers over haar activiteiten blijkt dat de NHRC actief toezicht houdt op de activiteiten van de strafrechtelijke handhavingsinstanties, hetzij op basis van individuele verzoeken, hetzij door middel van onderzoek ambtshalve (278).

(173)

Ten vierde wordt het algemene toezicht op de wettigheid van de activiteiten van overheidsinstanties uitgeoefend door de BAI, die de inkomsten en uitgaven van de staat onderzoekt, maar ook meer in het algemeen toeziet op de naleving van de plichten van overheidsinstanties met het oog op de verbetering van de werking van het openbaar bestuur (279). De BAI is formeel opgericht onder de president van de Republiek Korea, maar behoudt een onafhankelijke status wat zijn taken betreft (280). Bovendien is de raad volledig onafhankelijk wat betreft de benoeming, het ontslag en de organisatie van zijn personeel en het opstellen van zijn begroting (281). De BAI bestaat uit een voorzitter (benoemd door de president, met instemming van de Nationale Vergadering) (282) en zes commissarissen (op aanbeveling van de voorzitter benoemd door de president) (283), die moeten voldoen aan specifieke, bij wet vastgestelde kwalificaties (284) en alleen kunnen worden ontslagen in geval van afzetting, veroordeling tot gevangenisstraf of onvermogen om hun taken uit te voeren als gevolg van langdurige geestelijke of lichamelijke zwakheid (285). De BAI voert jaarlijks een algemene controle uit, maar kan ook specifieke controles uitvoeren in verband met zaken die van bijzonder belang zijn. Bij het uitvoeren van een controle of inspectie kan de BAI verzoeken om overlegging van documenten en om de aanwezigheid van bepaalde personen (286). De BAI kan aanbevelingen doen, om tuchtmaatregelen verzoeken of een strafklacht indienen (287).

(174)

Tot slot oefent de Nationale Vergadering parlementair toezicht uit op overheidsinstanties door middel van onderzoeken en inspecties (288) van hun activiteiten (289). Zij kan om de openbaarmaking van documenten verzoeken, de verschijning van getuigen afdwingen (290), corrigerende maatregelen aanbevelen (indien zij tot de conclusie komt dat onwettige of ongepaste activiteiten hebben plaatsgevonden) (291) en de resultaten van haar bevindingen openbaar maken (292). Wanneer de Nationale Vergadering verlangt dat er corrigerende maatregelen worden genomen — die bijvoorbeeld het toekennen van schadevergoeding, het nemen van tuchtmaatregelen of het verbeteren van interne procedures kunnen omvatten — is de betrokken overheidsinstantie verplicht onverwijld te handelen en over het resultaat verslag uit te brengen aan de Nationale Vergadering (293).

(175)

Het Koreaanse systeem biedt verschillende (gerechtelijke) alternatieven om verhaal te halen, met inbegrip van de mogelijkheid om schadeloosstelling te verkrijgen.

(176)

Ten eerste biedt de PIPA betrokkenen een recht op toegang, correctie, verwijdering en opschorting met betrekking tot de persoonsgegevens die worden verwerkt met het oog op de handhaving van het strafrecht (294).

(177)

Ten tweede kunnen betrokkenen gebruik maken van de verschillende verhaalsmogelijkheden die de PIPA biedt, indien hun gegevens door een strafrechtelijke handhavingsinstantie zijn verwerkt in strijd met de PIPA of met de beperkingen en waarborgen voor het verzamelen van persoonsgegevens in andere wetten (d.w.z. het CPA of de CPPA, zie overweging 171). Natuurlijke personen kunnen met name een klacht indienen bij de PIPC (onder meer via het Privacy Call Centre van het Koreaans Agentschap voor internet en veiligheid (295)) of het Comité voor geschillenbeslechting in verband met persoonsinformatie (296). Voor deze verhaalsmogelijkheden gelden geen verdere ontvankelijkheidsvereisten. Op grond van de Wet administratieve procesvoering kunnen natuurlijke personen voorts in beroep gaan tegen beslissingen of het uitblijven van maatregelen van de PIPC (zie overweging 132).

(178)

Ten derde kan elk individu (297) een klacht indienen bij de NHRC over een schending van het recht op privacy- en gegevensbescherming door een Koreaanse strafrechtelijke handhavingsinstantie. De NHRC kan de correctie of verbetering aanbevelen van relevante wetten, instellingen, beleidslijnen of praktijken (298), of de uitvoering van rechtsmiddelen zoals bemiddeling (299), stopzetting van de schending van mensenrechten, schadeloosstelling en maatregelen om herhaling van dezelfde of soortgelijke schendingen te voorkomen (300). Volgens de officiële verklaring van de Koreaanse regering (punt 2.4.2 van bijlage II) kan dit ook het verwijderen van onrechtmatig verzamelde persoonsgegevens inhouden. Hoewel de NHRC niet bevoegd is om bindende beslissingen af te geven, biedt zij een informelere, goedkopere en gemakkelijker toegankelijke verhaalsmogelijkheid, met name omdat, zoals uiteengezet in punt 2.4.2 van bijlage II, voor het onderzoek van een klacht niet hoeft te worden aangetoond dat er sprake is van feitelijke schade (301). Dit zorgt ervoor dat klachten van natuurlijke personen over het verzamelen van hun gegevens kunnen worden onderzocht, zelfs als een persoon niet in staat is aan te tonen dat zijn/haar gegevens daadwerkelijk zijn verzameld (bv. omdat de betrokkene nog niet in kennis is gesteld). Uit de jaarlijkse activiteitenverslagen van de NHRC blijkt dat betrokkenen in de praktijk ook gebruik maken van deze mogelijkheid om activiteiten van strafrechtelijke handhavingsinstanties aan te vechten, onder meer met betrekking tot de behandeling van persoonsgegevens (302). Als een persoon niet tevreden is met het resultaat van een procedure voor de NHRC, kan hij of zij de besluiten van de NHRC (zoals een besluit om het onderzoek van een klacht niet voort te zetten (303)) en aanbevelingen aanvechten voor de Koreaanse rechtbanken op grond van de Wet administratieve procesvoering (zie overweging 181) (304). Bovendien kan een procedure voor de NHRC de toegang tot de rechter verder vergemakkelijken, aangezien een persoon verder verhaal zou kunnen zoeken tegen de overheidsinstantie die zijn/haar gegevens onrechtmatig heeft verwerkt op basis van de bevindingen van de NHRC, overeenkomstig de in de overwegingen 181 tot en met 183 beschreven procedures.

(179)

Tot slot zijn er verschillende voorzieningen in rechte beschikbaar, waarmee natuurlijke personen zich kunnen beroepen op de in punt 3.2.1 beschreven beperkingen en waarborgen om verhaal te halen (305).

(180)

Met betrekking tot inbeslagnemingen (met inbegrip van gegevens) voorziet het CPA in de mogelijkheid om tegen de uitvoering van een bevel bezwaar aan te tekenen of deze aan te vechten door middel van een “quasiklacht”, door bij de bevoegde rechter een verzoekschrift in te dienen met het verzoek tot nietigverklaring of wijziging van een beslissing van een openbaar aanklager of politieambtenaar (306).

(181)

Meer in het algemeen kunnen natuurlijke personen het handelen (307) of nalaten (308) van overheidsinstanties (met inbegrip van strafrechtelijke handhavingsinstanties) aanvechten op grond van de Wet administratieve procesvoering (309). Administratieve maatregelen worden beschouwd als een “voor beroep vatbare beslissing” indien zij rechtstreeks van invloed zijn op de burgerrechten en -plichten (310), hetgeen, zoals de Koreaanse regering heeft bevestigd (punt 2.4.3 van bijlage II), het geval is voor maatregelen om persoonsgegevens te verzamelen, hetzij rechtstreeks (bijvoorbeeld door het onderscheppen van communicatie), hetzij door middel van bindende verzoeken om verstrekking (bijvoorbeeld aan een dienstverlener), hetzij door middel van verzoeken om vrijwillige medewerking. Een klacht op grond van de Wet administratieve procesvoering kan maar ontvankelijk zijn als een natuurlijke persoon een wettig belang heeft bij het instellen van de vordering (311). Volgens de rechtspraak van het Hooggerechtshof wordt onder “wettig belang” verstaan een “wettelijk beschermd belang”, d.w.z. een direct en specifiek belang dat wordt beschermd door de wet- en regelgeving waarop administratieve beslissingen zijn gebaseerd (d.w.z. geen algemene, indirecte en abstracte belangen van het publiek) (312). Natuurlijke personen hebben een dergelijk wettig belang in geval van inbreuk op de beperkingen en waarborgen die van toepassing zijn op het verzamelen van hun persoonsgegevens met het oog op de handhaving van het strafrecht (op grond van specifieke wetten of de PIPA). Op grond van de Wet administratieve procesvoering kan een rechter beslissen een onwettige beslissing in te trekken of te wijzigen, een verklaring van nietigheid af te geven (d.w.z. een verklaring dat de beslissing geen rechtsgevolgen heeft of niet in de rechtsorde is voorzien) of een verklaring dat een nalatigheid onwettig is (313). Een definitieve uitspraak op grond van de Wet administratieve procesvoering is bindend voor de partijen (314).

(182)

Naast het aanvechten van overheidsoptreden via administratieve procesvoering, kunnen betrokkenen ook een grondwettelijke klacht indienen bij het Grondwettelijk Hof met betrekking tot elke inbreuk op hun fundamentele rechten als gevolg van de uitoefening of niet-uitoefening van overheidsbevoegdheid (met uitzondering van rechterlijke beslissingen) (315). Indien andere verhaalsmogelijkheden beschikbaar zijn, moeten deze eerst worden uitgeput. Volgens de rechtspraak van het Grondwettelijk Hof kunnen buitenlandse onderdanen een grondwettelijke klacht indienen voor zover hun grondrechten door de Koreaanse grondwet worden erkend (zie de uitleg in punt 1.1) (316). Het Grondwettelijk Hof kan de uitoefening van de overheidsbevoegdheid die de inbreuk heeft veroorzaakt, ongeldig verklaren of bevestigen dat een bepaalde nalatigheid ongrondwettelijk is (317). In dat geval is de betrokken overheid verplicht maatregelen te nemen om zich naar de beslissing van het Hof te voegen.

(183)

Daarnaast kunnen betrokkenen bij de Koreaanse rechtbanken schadevergoeding verkrijgen. Dit omvat in de eerste plaats de mogelijkheid om schadevergoeding te vorderen voor inbreuken op de PIPA door strafrechtelijke handhavingsinstanties, overeenkomstig artikel 39 (zie ook overweging 135). Meer in het algemeen kunnen betrokkenen op grond van de Wet inzake overheidscompensatie (zie ook overweging 135) een vergoeding eisen van de schade die ambtenaren bij de uitoefening van hun ambt in strijd met de wet hebben toegebracht (318).

(184)

De in de overwegingen 176 tot en met 183 genoemde mechanismen bieden betrokkenen doeltreffende administratieve en gerechtelijke verhaalsmogelijkheden, waardoor zij met name hun rechten kunnen doen gelden, waaronder het recht op inzage in hun persoonsgegevens of op rectificatie of wissing van die gegevens.

(185)

De Koreaanse wet omvat een aantal beperkingen en waarborgen met betrekking tot de toegang tot en het gebruik van persoonsgegevens met het oog op de nationale veiligheid, en voorziet in toezichts- en verhaalsmechanismen op dit gebied die in overeenstemming zijn met de in de overwegingen 141 tot en met 143 van dit besluit bedoelde vereisten. De voorwaarden waaronder deze toegang kan plaatsvinden en de waarborgen die van toepassing zijn op het gebruik van deze bevoegdheden worden in de volgende punten in detail beoordeeld.

(186)

In de Republiek Korea kunnen persoonsgegevens ten behoeve van de nationale veiligheid worden geraadpleegd op basis van de CPPA, de TBA en de Wet inzake terrorismebestrijding ter bescherming van de burgers en de openbare veiligheid (“Wet terrorismebestrijding”) (319). De belangrijkste autoriteit (320) met bevoegdheden op het gebied van de nationale veiligheid is de Nationale Inlichtingendienst (National Intelligence Service, “NIS”) (321). De verzameling en het gebruik van persoonsgegevens door de Nationale Inlichtingendienst moeten voldoen aan de toepasselijke wettelijke voorschriften (waaronder de PIPA en de CPPA) (322) en aan de algemene richtsnoeren die door de president zijn opgesteld en door de Nationale Vergadering zijn getoetst (323). Als algemeen beginsel geldt dat de Nationale Inlichtingendienst politieke neutraliteit moet behouden en de vrijheid en rechten van natuurlijke personen moet beschermen (324). Bovendien mag het personeel van de Nationale Inlichtingendienst geen misbruik maken van zijn officiële bevoegdheid om instellingen, organisaties of personen te dwingen iets te doen waartoe zij (wettelijk) niet verplicht zijn, noch mag het iemand belemmeren bij de uitoefening van zijn of haar rechten (325).

(187)

Op basis van de CPPA mogen de Koreaanse overheidsinstanties (326) communicatiebevestigende gegevens (d.w.z. de datum van de telecommunicatie, de begin- en eindtijd ervan, het aantal uitgaande en inkomende gesprekken, alsmede het abonneenummer van de andere partij, de gebruiksfrequentie, logbestanden over het gebruik van telecommunicatiediensten en locatiegegevens, zie overweging 155) en de inhoud van de communicatie (door middel van communicatiebeperkende maatregelen, zie overweging 155) verzamelen met het oog op de nationale veiligheid (zoals bepaald in het mandaat van de Nationale Inlichtingendienst, zie voetnoot 322 hierboven). Deze bevoegdheden strekken zich uit tot twee soorten informatie: 1) communicatie waarbij een partij of beide partijen Koreaans onderdaan zijn (327), en 2) communicatie van a) landen die de Republiek Korea vijandig gezind zijn; b) buitenlandse instanties, groepen of onderdanen die ervan verdacht worden betrokken te zijn bij anti-Koreaanse activiteiten (328), of c) leden van groepen die op het Koreaanse schiereiland opereren maar zich feitelijk aan de soevereiniteit van de Republiek Korea onttrekken en hun in het buitenland gevestigde overkoepelende groepen (329). Communicatie van EU-onderdanen die op grond van dit besluit uit de Europese Unie aan de Republiek Korea wordt doorgegeven, kan derhalve uit hoofde van de CPPA alleen ten behoeve van de nationale veiligheid worden verzameld (onder de in de overwegingen 188 tot en met 192 genoemde voorwaarden) wanneer het gaat om communicatie tussen een EU-onderdaan en een Koreaans onderdaan, of, indien het communicatie betreft tussen uitsluitend niet-Koreaanse onderdanen, wanneer deze onder een van de drie genoemde categorieën 2a), b) en c) valt.

(188)

In beide situaties mogen alleen communicatiebevestigende gegevens worden verzameld ter voorkoming van bedreigingen van de nationale veiligheid (330), terwijl communicatiebeperkende maatregelen alleen mogen worden genomen wanneer er een ernstig risico voor de nationale veiligheid bestaat en de verzameling noodzakelijk is om dit te voorkomen (331). Voorts mag uitsluitend als laatste redmiddel toegang worden verkregen tot de inhoud van de communicatie en moet ernaar worden gestreefd de inbreuk op de communicatieprivacy tot een minimum te beperken (332), zodat deze evenredig blijft aan het nagestreefde doel van nationale veiligheid. Het verzamelen van zowel de inhoud van de communicatie als de communicatiebevestigende gegevens mag slechts hoogstens vier maanden worden voortgezet en moet onmiddellijk worden stopgezet wanneer het nagestreefde doel eerder wordt bereikt (333). Indien de desbetreffende voorwaarden vervuld blijven, kan de periode met voorafgaande toestemming van een rechter (voor de in overweging 189 beschreven maatregelen) of van de president (voor de in overweging 190 beschreven maatregelen) (334) met maximaal vier maanden worden verlengd.

(189)

Dezelfde procedurele waarborgen zijn van toepassing op het verzamelen van communicatiebevestigende gegevens en de inhoud van de communicatie (335). Met name wanneer ten minste een van de bij de communicatie betrokken personen een Koreaans onderdaan is, moet de inlichtingendienst een schriftelijk verzoek indienen bij het Bureau van de procureur-generaal, dat op zijn beurt een bevel moet aanvragen bij een hooggeplaatste rechter van het Hof (336). De CPPA bevat een lijst van de informatie die moet worden verstrekt in het verzoek aan de openbaar aanklager, de aanvraag voor het bevel en het bevel zelf, dat met name de motivering van het verzoek en de belangrijkste redenen voor verdenking, ondersteunend materiaal, alsmede informatie over het doel, het voorwerp (d.w.z. de betrokkene(n)), de reikwijdte en de duur van de voorgestelde maatregel omvat (337). Het verzamelen zonder bevel kan alleen plaatsvinden indien er sprake is van een samenzwering die een bedreiging vormt voor de nationale veiligheid en er een noodsituatie bestaat waardoor het onmogelijk is de bovengenoemde procedures te volgen (338). Maar ook in dat geval moet onmiddellijk nadat de maatregel is genomen, een verzoek om een rechterlijk bevel worden ingediend (339). De CPPA omschrijft dus duidelijk de reikwijdte van en de voorwaarden voor deze vormen van verzameling, en onderwerpt ze aan specifieke (procedurele) waarborgen (waaronder voorafgaande toestemming van de rechter), die ervoor zorgen dat het gebruik van dergelijke maatregelen beperkt blijft tot wat noodzakelijk en evenredig is. Bovendien sluit de eis om gedetailleerde informatie te verstrekken in zowel het verzoek om een bevel als het bevel zelf, de mogelijkheid van onbeperkte toegang uit.

(190)

Voor communicatie tussen niet-Koreaanse onderdanen die onder een van de drie in overweging 187 genoemde specifieke categorieën vallen, moet een aanvraag worden ingediend bij de directeur van de Nationale Inlichtingendienst, die, na te hebben nagegaan of de voorgestelde maatregelen passend zijn, de president van de Republiek Korea om voorafgaande schriftelijke toestemming moet vragen (340). Het door de inlichtingendienst opgestelde verzoek moet dezelfde gedetailleerde informatie bevatten als een verzoek om een rechterlijk bevel (zie overweging 189), met name wat betreft de motivering van het verzoek en de belangrijkste redenen voor verdenking, ondersteunend materiaal en informatie over de doelstellingen, de betrokkene(n), de reikwijdte en de duur van de voorgestelde maatregelen (341). In noodsituaties (342) moet vooraf toestemming worden verkregen van de minister onder wie de betrokken inlichtingendienst ressorteert, hoewel de inlichtingendienst onmiddellijk nadat de noodmaatregelen zijn genomen de goedkeuring van de president moet vragen (343). Ook wat het verzamelen van communicatie tussen uitsluitend niet-Koreaanse onderdanen betreft, beperkt de CPPA derhalve het gebruik van dergelijke maatregelen tot hetgeen noodzakelijk en evenredig is, door duidelijk de beperkte categorieën personen af te bakenen die aan dergelijke maatregelen kunnen worden onderworpen en door gedetailleerde criteria vast te stellen die door inlichtingendiensten moeten worden aangetoond om een verzoek tot de verzameling van informatie te rechtvaardigen. Bovendien wordt zo opnieuw de mogelijkheid van onbeperkte toegang uitgesloten. Hoewel er geen sprake is van voorafgaande onafhankelijke goedkeuring van dergelijke maatregelen, is onafhankelijk toezicht achteraf wel gewaarborgd, met name door de PIPC en de NHRC (zie bijvoorbeeld de overwegingen 199 en 200).

(191)

De CPPA legt voorts verscheidene aanvullende waarborgen op die bijdragen tot het toezicht achteraf en de toegang van personen tot doeltreffende voorzieningen in rechte vergemakkelijken. Ten eerste voorziet de CPPA met betrekking tot elke vorm van verzameling ten behoeve van de nationale veiligheid in verschillende registratie- en rapportageverplichtingen. Met name moeten inlichtingendiensten bij een verzoek om medewerking van particuliere exploitanten het rechterlijk bevel/de presidentiële toestemming of een kopie van de omslag van een verklaring van censuur in noodsituaties overleggen, die de betreffende entiteit in haar dossiers moet bewaren (344). Wanneer particuliere exploitanten worden gedwongen mee te werken, moeten zowel de verzoekende overheidsinstantie als de betrokken exploitant een administratie bijhouden met betrekking tot het doel en het voorwerp van de maatregelen, alsmede de datum van uitvoering (345). Bovendien moeten de inlichtingendiensten bij de directeur van de Nationale Inlichtingendienst verslag uitbrengen over de informatie die zij hebben verzameld en over het resultaat van de surveillance (346).

(192)

Ten tweede moeten betrokkenen ervan in kennis worden gesteld dat hun gegevens worden verzameld (communicatiebevestigende gegevens of de inhoud van de communicatie) ten behoeve van de nationale veiligheid, indien het gaat om communicatie waarbij ten minste één van de partijen Koreaans onderdaan is (347). Deze kennisgeving moet schriftelijk geschieden binnen dertig dagen na de datum waarop de gegevensverzameling is beëindigd (ook wanneer de gegevens overeenkomstig de noodprocedure zijn verkregen) en mag alleen worden uitgesteld indien en zolang dit de nationale veiligheid in gevaar zou brengen of het leven en de fysieke veiligheid van personen zou schaden (348). Ongeacht deze kennisgeving hebben betrokkenen verschillende verhaalsmogelijkheden, zoals nader wordt toegelicht in punt 3.3.4.

(193)

In de Wet terrorismebestrijding is bepaald dat de Nationale Inlichtingendienst gegevens mag verzamelen over terreurverdachten (349), overeenkomstig de beperkingen en waarborgen die in andere wetten zijn vastgelegd (350). De Nationale Inlichtingendienst kan met name communicatiegegevens (op basis van de CPPA) en andere persoonsinformatie (via een verzoek om vrijwillige verstrekking) verkrijgen (351). Met betrekking tot het verzamelen van communicatiegegevens (d.w.z. de inhoud van de communicatie of de communicatiebevestigende gegevens) gelden de beperkingen en waarborgen die in punt 3.3.1.1 zijn beschreven, met inbegrip van het vereiste van een door de rechter goedgekeurd bevel. Wat verzoeken om vrijwillige verstrekking van andere soorten persoonsgegevens van terreurverdachten betreft, moet de Nationale Inlichtingendienst voldoen aan de vereisten van de grondwet en de PIPA inzake noodzaak en evenredigheid (zie overweging 164) (352). Verwerkingsverantwoordelijken die dergelijke verzoeken ontvangen, kunnen daaraan op vrijwillige basis voldoen onder de voorwaarden van de PIPA (bijvoorbeeld overeenkomstig het beginsel van minimale gegevensverwerking en door het beperken van de gevolgen voor de persoonlijke levenssfeer van de betrokkene) (353). In dat geval moeten zij ook voldoen aan de uit Kennisgeving nr. 2021-5 voortvloeiende verplichting om de betrokkene hiervan in kennis te stellen (zie overweging 166).

(194)

Op basis van de TBA mogen telecommunicatieaanbieders vrijwillig abonneegegevens verstrekken (zie overweging 163) op verzoek van een inlichtingendienst, die met de verzameling van dergelijke informatie beoogt om een bedreiging van de nationale veiligheid te voorkomen (354). Voor dergelijke verzoeken van de Nationale Inlichtingendienst gelden dezelfde beperkingen (die voortvloeien uit de grondwet, de PIPA en de TBA) als op het gebied van de handhaving van het strafrecht, zoals uiteengezet in overweging 164 (355). Telecommunicatieaanbieders zijn niet verplicht hieraan te voldoen en kunnen dit alleen doen onder de in de PIPA gestelde voorwaarden (met name overeenkomstig het beginsel van minimale gegevensverwerking en door het beperken van de gevolgen voor de persoonlijke levenssfeer van de persoon, zie ook overweging 193). Met betrekking tot het registreren van gegevens en de kennisgeving aan de betrokkene gelden dezelfde eisen als op het gebied van de handhaving van het strafrecht (zie overwegingen 165 en 166).

(195)

Voor de verwerking van persoonsgegevens die door de Koreaanse autoriteiten zijn verzameld ten behoeve van de nationale veiligheid, gelden de beginselen van doelbinding (artikel 3, leden 1 en 2, PIPA), rechtmatigheid en behoorlijkheid van de verwerking (artikel 3, lid 1, PIPA), evenredigheid/minimale gegevensverwerking (artikel 3, leden 1 en 6, en artikel 58, PIPA), juistheid (artikel 3, lid 3, PIPA), transparantie (artikel 3, lid 5, PIPA), beveiliging (artikel 58, lid 4, PIPA) en opslagbeperking (artikel 58, lid 4, PIPA) (356). De eventuele verstrekking van persoonsgegevens aan derden (waaronder derde landen) kan alleen plaatsvinden in overeenstemming met deze beginselen (met name die van doelbinding en minimale gegevensverwerking), nadat is beoordeeld of de beginselen van noodzakelijkheid en evenredigheid (artikel 37, lid 2, van de grondwet) zijn geëerbiedigd, en met inachtneming van de gevolgen voor de rechten van de betrokken personen (artikel 3, lid 6, PIPA).

(196)

Wat de inhoud van de communicatie en de communicatiebevestigende gegevens betreft, beperkt de CPPA het gebruik hiervan verder tot gerechtelijke procedures, wanneer een bij de communicatie betrokken partij zich daarop beroept in het kader van een vordering tot schadevergoeding of tot toegestaan gebruik krachtens andere wetgeving (357).

(197)

De activiteiten van de Koreaanse nationale veiligheidsinstanties staan onder toezicht van verschillende organen (358).

(198)

Ten eerste voorziet de Wet terrorismebestrijding in specifieke toezichtsmechanismen voor activiteiten van terrorismebestrijding, waaronder het verzamelen van gegevens over terreurverdachten. Op het niveau van de uitvoerende macht wordt op terrorismebestrijdingsactiviteiten met name toezicht gehouden door de Commissie terrorismebestrijding (359), waaraan de directeur van de Nationale Inlichtingendienst verslag moet uitbrengen over het onderzoeken en opsporen van terreurverdachten om informatie of materiaal te verzamelen dat nodig is voor terrorismebestrijdingsactiviteiten (360). Daarnaast houdt de mensenrechtenfunctionaris specifiek toezicht op de naleving van de grondrechten bij terrorismebestrijdingsactiviteiten (361). De mensenrechtenfunctionaris wordt benoemd door de voorzitter van de Commissie terrorismebestrijding uit personen die voldoen aan specifieke kwalificaties, die zijn vastgelegd in het uitvoeringsdecreet van de Wet terrorismebestrijding (362), voor een (verlengbare) termijn van twee jaar, en kan alleen op specifieke, beperkte gronden en om gegronde redenen uit zijn functie worden ontheven (363). Bij de uitoefening van zijn toezichtsfunctie kan de mensenrechtenfunctionaris algemene aanbevelingen doen ter verbetering van de bescherming van de mensenrechten (364) en specifieke aanbevelingen voor corrigerende maatregelen indien een schending van de mensenrechten is vastgesteld (365). De overheidsinstanties zijn verplicht de mensenrechtenfunctionaris te informeren over het gevolg dat aan zijn aanbevelingen is gegeven (366).

(199)

Ten tweede houdt de PIPC toezicht op de naleving van de gegevensbeschermingsvoorschriften door de nationale veiligheidsinstanties, wat zowel de toepasselijke bepalingen van de PIPA (zie overweging 149) omvat als de beperkingen en waarborgen die gelden voor het verzamelen van persoonsgegevens op grond van andere wetten (de CPPA, de Wet terrorismebestrijding en de TBA, zie ook overweging 171) (367). Bij de uitoefening van deze toezichthoudende rol kan de PIPC gebruik maken van al haar corrigerende en onderzoeksbevoegdheden, zoals uitvoerig beschreven in punt 2.4.2.

(200)

Ten derde zijn de activiteiten van de nationale veiligheidsinstanties onderworpen aan het onafhankelijke toezicht van de NHRC, overeenkomstig de in overweging 172 beschreven procedures (368).

(201)

Ten vierde strekt de toezichtsfunctie van de Controle- en Inspectieraad zich ook uit tot de nationale veiligheidsinstanties, hoewel de Nationale Inlichtingendienst in uitzonderlijke omstandigheden kan weigeren bepaalde informatie of materiaal te verstrekken, namelijk wanneer deze staatsgeheimen vormen en openbaarmaking ervan ernstige gevolgen zou hebben voor de nationale veiligheid (369).

(202)

Tot slot wordt het parlementaire toezicht op de activiteiten van de Nationale Inlichtingendienst uitgeoefend door de Nationale Vergadering (via een gespecialiseerde Inlichtingencommissie) (370). De CPPA voorziet in een specifieke toezichthoudende rol voor de Nationale Vergadering met betrekking tot het gebruik van communicatiebeperkende maatregelen ten behoeve van de nationale veiligheid (371). De Nationale Vergadering kan met name ter plaatse inspecties uitvoeren van afluisterapparatuur en kan zowel van de Nationale Inlichtingendienst als van telecommunicatie-exploitanten die de inhoud van communicatie hebben verstrekt, verlangen dat zij daarover verslag uitbrengen. De Nationale Vergadering kan ook haar algemene toezichtstaken uitoefenen (overeenkomstig de in overweging 174 beschreven procedures). De NIS-wet bepaalt dat de directeur van de Nationale Inlichtingendienst onverwijld moet reageren wanneer de Inlichtingencommissie om een verslag over een specifieke aangelegenheid verzoekt (372), met specifieke voorschriften voor bepaalde bijzonder gevoelige informatie. Concreet kan de directeur van de Nationale Inlichtingendienst alleen in uitzonderlijke omstandigheden weigeren te antwoorden of voor de Inlichtingencommissie te getuigen, namelijk wanneer het verzoek betrekking heeft op staatsgeheimen betreffende militaire, diplomatieke of Noord-Korea-gerelateerde aangelegenheden waarvan de openbaarmaking ernstige gevolgen zou kunnen hebben voor de “nationale lotsbestemming” van het land (373). In dat geval kan de Inlichtingencommissie de premier om uitleg vragen en als binnen zeven dagen geen uitleg wordt gegeven, mag het antwoord of de getuigenis niet worden geweigerd.

(203)

Ook op het gebied van de nationale veiligheid biedt het Koreaanse systeem verschillende (gerechtelijke) alternatieven om verhaal te halen, met inbegrip van de mogelijkheid om schadeloosstelling te verkrijgen. Deze mechanismen bieden betrokkenen doeltreffende administratieve en gerechtelijke verhaalsmogelijkheden, waardoor zij met name hun rechten kunnen doen gelden, waaronder het recht op inzage in hun persoonsgegevens of op rectificatie of wissing van die gegevens.

(204)

Ten eerste kunnen natuurlijke personen overeenkomstig artikel 3, lid 5, en artikel 4, leden 1, 3 en 4, PIPA, hun recht op toegang, correctie, verwijdering en opschorting uitoefenen ten aanzien van de nationale veiligheidsinstanties. In deel 6 van Kennisgeving nr. 2021-5 (bijlage I bij dit besluit) wordt verder verduidelijkt hoe deze rechten van toepassing zijn in de context van gegevensverwerking ten behoeve van de nationale veiligheid. Met name mag een nationale veiligheidsinstantie de uitoefening van het recht alleen beperken of ontzeggen voor zover en zolang dit noodzakelijk en evenredig is voor de bescherming van een belangrijke doelstelling van openbaar belang (bijvoorbeeld voor zover en zolang de verlening van het recht een lopend onderzoek in gevaar zou brengen of de nationale veiligheid zou bedreigen), of wanneer de verlening van het recht schade kan toebrengen aan het leven of de lichamelijke integriteit van een derde. Het inroepen van een dergelijke beperking vereist derhalve een afweging van de rechten en belangen van het individu tegen het betrokken openbaar belang en mag in geen geval de wezenlijke inhoud van het recht aantasten (artikel 37, lid 2, van de grondwet). Wanneer het verzoek wordt afgewezen of beperkt, moet de betrokkene onverwijld in kennis worden gesteld van de redenen daarvoor.

(205)

Ten tweede hebben natuurlijke personen het recht om op grond van de PIPA verhaal te halen indien hun gegevens door een nationale veiligheidsinstantie zijn verwerkt in strijd met de PIPA of de beperkingen en waarborgen in andere wetten die betrekking hebben op het verzamelen van persoonsgegevens (met name de CPPA, zie overweging 171) (374). Dit recht kan worden uitgeoefend door een klacht in te dienen bij de PIPC (onder meer via het Privacy Call Centre van het Koreaans Agentschap voor internet en veiligheid) (375). Om gemakkelijker verhaal te kunnen halen bij de Koreaanse nationale veiligheidsautoriteiten, kunnen EU-burgers bovendien via hun nationale gegevensbeschermingsautoriteit een klacht indienen bij de PIPC (376). In dat geval zal de PIPC de betrokkene via de nationale gegevensbeschermingsautoriteit op de hoogte brengen zodra het onderzoek is afgesloten (en, in voorkomend geval, informatie verstrekken over de opgelegde corrigerende maatregelen). Op grond van de Wet administratieve procesvoering kunnen natuurlijke personen voorts in beroep gaan tegen beslissingen of het uitblijven van maatregelen van de PIPC (zie overweging 132).

(206)

Ten derde kunnen natuurlijke personen bij de mensenrechtenfunctionaris een klacht indienen over de inbreuk op hun recht op bescherming van de persoonlijke levenssfeer/gegevensbescherming in het kader van terrorismebestrijdingsactiviteiten (d.w.z. op grond van de Wet terrorismebestrijding) (377), en kan die functionaris vervolgens corrigerende maatregelen aanbevelen. Aangezien er voor de mensenrechtenfunctionaris geen ontvankelijkheidseisen gelden, wordt een klacht zelfs in behandeling genomen als de betrokkene niet kan aantonen dat hij/zij daadwerkelijk is benadeeld (bijvoorbeeld omdat zijn/haar gegevens onrechtmatig zouden zijn verzameld door een nationale veiligheidsinstantie) (378). De betrokken instantie moet de mensenrechtenfunctionaris in kennis stellen van alle maatregelen die zij ter uitvoering van zijn aanbevelingen heeft genomen.

(207)

Ten vierde kunnen natuurlijke personen bij de NHRC een klacht indienen over het verzamelen van hun gegevens door de nationale veiligheidsdiensten en verhaal halen volgens de in overweging 178 beschreven procedure (379).

(208)

Tot slot zijn er verschillende voorzieningen in rechte beschikbaar (380), waarmee betrokkenen zich kunnen beroepen op de in punt 3.3.1 beschreven beperkingen en waarborgen om verhaal te halen. Zij kunnen met name de wettigheid van handelingen van nationale veiligheidsinstanties aanvechten op basis van de Wet administratieve procesvoering (overeenkomstig de in overweging 181 beschreven procedure) of de Wet op het grondwettelijk Hof (zie overweging 182). Daarnaast kunnen zij schadevergoeding krijgen op basis van de Wet inzake overheidscompensatie (zoals nader beschreven in overweging 183).

(209)

De Commissie is van oordeel dat de Republiek Korea — door middel van de PIPA, de speciale regels die voor bepaalde sectoren gelden (zoals onderzocht in punt 2) en de aanvullende waarborgen van Kennisgeving nr. 2021-5 (bijlage I) — een niveau van bescherming van vanuit de Europese Unie doorgegeven persoonsgegevens waarborgt dat in wezen gelijkwaardig is aan dat van Verordening (EU) 2016/679.

(210)

Bovendien is de Commissie van oordeel dat, als geheel genomen, de toezichtsmechanismen en de verhaalsmogelijkheden waarin het Koreaanse recht voorziet, het mogelijk maken om inbreuken op de gegevensbeschermingsvoorschriften door verwerkingsverantwoordelijken in Korea in de praktijk vast te stellen en aan te pakken, en de betrokkene rechtsmiddelen bieden om toegang te krijgen tot zijn/haar persoonsgegevens en, uiteindelijk, om deze gegevens te laten corrigeren of wissen.

(211)

Tot slot is de Commissie op grond van de beschikbare informatie over de Koreaanse rechtsorde, met inbegrip van de verklaringen, garanties en toezeggingen van de Koreaanse regering in bijlage II, van oordeel dat elke inmenging in de grondrechten van particulieren van wie persoonsgegevens van de Europese Unie naar de Republiek Korea worden doorgegeven, door Koreaanse overheidsinstanties voor doeleinden van openbaar belang, meer in het bijzonder handhaving van het strafrecht en nationale veiligheid, beperkt is tot hetgeen strikt noodzakelijk is om de betrokken legitieme doelstelling te bereiken, en dat tegen dergelijke inmenging doeltreffende rechtsbescherming voorhanden is.

(212)

In het licht van de bevindingen van dit besluit is de Commissie dan ook van oordeel dat de Republiek Korea een passend beschermingsniveau waarborgt in de zin van artikel 45 van Verordening (EU) 2016/679, uitgelegd in het licht van het Handvest van de grondrechten van de Europese Unie, voor vanuit de Europese Unie aan verwerkingsverantwoordelijken in de Republiek Korea doorgegeven persoonsgegevens die aan de PIPA zijn onderworpen, met uitzondering van religieuze organisaties voor zover zij persoonsgegevens voor hun zendingswerk verwerken; politieke organisaties, voor zover zij persoonsgegevens verwerken in het kader van de voordracht van kandidaten en verwerkingsverantwoordelijken die onder het toezicht van de Commissie financiële diensten vallen voor de verwerking van persoonlijke kredietinformatie uit hoofde van de Wet kredietinformatie, voor zover zij dergelijke informatie verwerken.

(213)

De lidstaten en hun organen moeten de maatregelen nemen die noodzakelijk zijn om te voldoen aan de handelingen van de instellingen van de Europese Unie, aangezien deze laatste vermoed worden rechtsgeldig te zijn en bijgevolg rechtsgevolgen in het leven roepen zolang zij niet zijn ingetrokken, nietig verklaard in een beroep tot nietigverklaring of ongeldig verklaard na een prejudiciële verwijzing of op een exceptie van onwettigheid.

(214)

Daarom is een krachtens artikel 45, lid 3, van Verordening (EU) 2016/679 vastgesteld adequaatheidsbesluit van de Commissie bindend voor alle organen van de lidstaten waartoe het is gericht, met inbegrip van hun onafhankelijke toezichthoudende autoriteiten. Met name kunnen doorgiften van een verwerkingsverantwoordelijke of verwerker in de Europese Unie aan verwerkingsverantwoordelijken in de Republiek Korea plaatsvinden zonder dat verdere toestemming noodzakelijk is.

(215)

Er zij aan herinnerd dat, overeenkomstig artikel 58, lid 5, van Verordening (EU) 2016/679 en zoals door het Hof van Justitie uitgelegd in het arrest in de zaak Schrems (381), wanneer een nationale gegevensbeschermingsautoriteit, ook na ontvangst van een klacht, de verenigbaarheid van een adequaatheidsbesluit van de Commissie met de grondrechten van de persoon op privacy en gegevensbescherming in twijfel trekt, het nationale recht moet voorzien in een rechtsmiddel voor die persoon om die grieven aan een nationale rechter voor te leggen die eventueel bij prejudiciële verwijzing het Hof van Justitie om beoordeling moet verzoeken (382).

(216)

Volgens de rechtspraak van het Hof van Justitie (383), en zoals is erkend in artikel 45, lid 4, van Verordening (EU) 2016/679, moet de Commissie na de vaststelling van een adequaatheidsbesluit doorlopend toezicht houden op relevante ontwikkelingen in het derde land, teneinde te beoordelen of dit derde land een in wezen gelijkwaardig beschermingsniveau blijft waarborgen. Een dergelijke controle is hoe dan ook vereist wanneer de Commissie informatie ontvangt die aanleiding geeft tot gerechtvaardigde twijfel dienaangaande.

(217)

Derhalve moet de Commissie voortdurend volgen wat de situatie is in de Republiek Korea met betrekking tot het rechtskader en de dagelijkse praktijk aangaande de verwerking van persoonsgegevens die in dit besluit zijn beoordeeld, inclusief de naleving door de Koreaanse autoriteiten van de verklaringen, garanties en toezeggingen in bijlage II. Om dit proces te vergemakkelijken, worden de Koreaanse autoriteiten verzocht de Commissie te informeren over materiële ontwikkelingen die voor dit besluit van belang zijn, zowel wat de verwerking van persoonsgegevens door bedrijfsexploitanten en overheidsinstanties als de beperkingen en waarborgen die gelden voor de toegang tot persoonsgegevens door overheidsinstanties betreft.

(218)

Teneinde de Commissie in staat te stellen haar toezichthoudende taak doeltreffend uit te voeren, moeten de lidstaten de Commissie bovendien in kennis stellen van relevante maatregelen van de nationale gegevensbeschermingsautoriteiten, met name inzake vragen of klachten van betrokkenen uit de EU betreffende de doorgifte van persoonsgegevens vanuit de Europese Unie aan verwerkingsverantwoordelijken in de Republiek Korea. Voorts moet de Commissie worden geïnformeerd over eventuele aanwijzingen dat de maatregelen van de Koreaanse overheidsinstanties die verantwoordelijk zijn voor de preventie, het onderzoek, de opsporing of de vervolging van strafbare feiten, of voor de nationale veiligheid, met inbegrip van toezichthoudende instanties, niet het vereiste beschermingsniveau waarborgen.

(219)

Ingevolge artikel 45, lid 3, van Verordening (EU) 2016/679 (384), en in het licht van het feit dat het door de Koreaanse rechtsorde geboden beschermingsniveau kan veranderen, moet de Commissie na de vaststelling van dit besluit periodiek toetsen of de vaststellingen met betrekking tot de adequaatheid van het door de Republiek Korea geboden beschermingsniveau nog steeds feitelijk en rechtens gerechtvaardigd zijn.

(220)

Te dien einde moet dit besluit binnen drie jaar na de inwerkingtreding ervan een eerste keer worden getoetst. Na die eerste toetsing, en afhankelijk van het resultaat daarvan, zal de Commissie in nauw overleg met het comité dat is ingesteld bij artikel 93, lid 1, van Verordening (EU) 2016/679 besluiten of de cyclus van drie jaar moet worden gehandhaafd. De daaropvolgende toetsingen moeten hoe dan ook ten minste om de vier jaar plaatsvinden (385). De toetsing moet betrekking hebben op alle aspecten van de werking van dit besluit, en met name op de toepassing van de aanvullende waarborgen in bijlage I bij dit besluit, met bijzondere aandacht voor de bescherming die wordt geboden in geval van verdere doorgifte; relevante ontwikkelingen in de rechtspraak; de regels inzake de verwerking van gepseudonimiseerde informatie ten behoeve van statistieken, wetenschappelijk onderzoek en archivering in het algemeen belang, alsook de toepassing van de uitzonderingen uit hoofde van artikel 28, lid 7, PIPA; de doeltreffendheid van de uitoefening van de individuele rechten, ook ten aanzien van de onlangs hervormde PIPC, en de toepassing van uitzonderingen op die rechten; de toepassing van de gedeeltelijke vrijstellingen in het kader van de PIPA; alsmede de beperkingen en waarborgen met betrekking tot de toegang van de overheid (zoals uiteengezet in bijlage II bij dit besluit), met inbegrip van de samenwerking van de PIPC met de gegevensbeschermingsautoriteiten van de EU inzake klachten van natuurlijke personen. Ook moet zij betrekking hebben op de doeltreffendheid van toezicht en handhaving, wat de PIPA betreft en op het gebied van de handhaving van het strafrecht en de nationale veiligheid (in het bijzonder door de PIPC en de NHRC).

(221)

Voor het verrichten van de toetsing moet de Commissie samenkomen met de PIPC, in voorkomend geval samen met andere Koreaanse autoriteiten die verantwoordelijk zijn voor de toegang van de overheid, met inbegrip van relevante toezichtsorganen. Aan die bijeenkomst moet kunnen worden deelgenomen door vertegenwoordigers van de leden van het Europees Comité voor gegevensbescherming. In het kader van de toetsing moet de Commissie de PIPC verzoeken om uitvoerige informatie over alle aspecten die relevant zijn voor de vaststelling van adequaatheid, onder meer over de beperkingen en waarborgen met betrekking tot de overheidstoegang (386). De Commissie moet ook uitleg vragen over alle door haar ontvangen informatie die relevant is voor dit besluit, waaronder openbare rapporten van de Koreaanse autoriteiten of andere belanghebbenden in Korea, het Europees Comité voor gegevensbescherming, afzonderlijke gegevensbeschermingsautoriteiten, maatschappelijke groeperingen, berichten in de media of alle andere beschikbare informatiebronnen.

(222)

Op basis van de toetsing moet de Commissie een openbaar verslag opstellen dat bij het Europees Parlement en de Raad moet worden ingediend.

(223)

Wanneer uit de beschikbare informatie, met name informatie die voortvloeit uit het toezicht op dit besluit of verstrekt wordt door de autoriteiten in de Republiek Korea of in de lidstaten, blijkt dat het door de Republiek Korea geboden beschermingsniveau niet langer passend is, moet de Commissie de bevoegde Koreaaanse autoriteiten onverwijld daarvan in kennis stellen en verzoeken dat binnen een opgegeven, redelijke termijn geschikte maatregelen worden genomen.

(224)

Indien de bevoegde Koreaanse autoriteiten die maatregelen bij het verstrijken van die opgegeven termijn niet hebben genomen of anderszins niet aannemelijk hebben kunnen maken dat dit besluit op een passend beschermingsniveau gebaseerd blijft, leidt de Commissie de in artikel 93, lid 2, van Verordening (EU) 2016/679 bedoelde procedure in teneinde dit besluit geheel of gedeeltelijk op te schorten of in te trekken.

(225)

Als alternatief zal de Commissie die procedure inleiden met het oog op wijziging van dit besluit, met name door voor gegevensdoorgiften aanvullende voorwaarden te stellen of door de reikwijdte van de vaststelling van adequaatheid te beperken tot gegevensdoorgiften waarvoor een passend beschermingsniveau blijft gewaarborgd.

(226)

De Commissie moet de procedure tot schorsing of intrekking met name inleiden als er aanwijzingen zijn dat de aanvullende waarborgen in bijlage I niet worden nageleefd door de bedrijfsexploitanten die persoonsgegevens ontvangen op grond van dit besluit en/of niet daadwerkelijk ten uitvoer worden gelegd, of dat de Koreaanse autoriteiten de verklaringen, garanties en toezeggingen in bijlage II bij dit besluit niet naleven.

(227)

De Commissie moet tevens de inleiding van de procedure tot wijziging, schorsing of intrekking van dit besluit overwegen indien, in de context van de toetsing of anderszins, de bevoegde Koreaanse autoriteiten niet de informatie of verduidelijking verstrekken die nodig is voor de beoordeling van het niveau van de bescherming van persoonsgegevens die worden doorgegeven van de Europese Unie aan de Republiek Korea, of van de naleving van dit besluit. In dit verband moet de Commissie rekening houden met de mate waarin relevante informatie kan worden verkregen uit andere bronnen.

(228)

De Commissie zal om naar behoren gerechtvaardigde dwingende urgente redenen gebruikmaken van de mogelijkheid om overeenkomstig de in artikel 93, lid 3, van Verordening (EU) 2016/679 bedoelde procedure onmiddellijk toepasselijke uitvoeringshandelingen tot opschorting, intrekking of wijziging van het besluit vast te stellen.

(229)

Het Europees Comité voor gegevensbescherming heeft zijn advies bekendgemaakt (387), waarmee bij het opstellen van dit besluit rekening is gehouden.

(230)

De in dit besluit vervatte maatregelen zijn in overeenstemming met het advies van het bij artikel 93, lid 1, van Verordening (EU) 2016/679 ingestelde comité,