(1)

Regulamentul (UE) 2016/679 stabilește normele pentru transferul de date cu caracter personal de la operatori sau persoane împuternicite de operatori din Uniune către țări terțe și organizații internaționale, în măsura în care astfel de transferuri intră în domeniul său de aplicare. Normele privind transferurile internaționale de date sunt prevăzute în capitolul V (articolele 44-50) din regulamentul respectiv. Deși fluxul de date cu caracter personal către și dinspre țări situate în afara Uniunii Europene este esențial pentru dezvoltarea comerțului transfrontalier și a cooperării internaționale, nivelul de protecție conferit datelor cu caracter personal din Uniune nu trebuie să fie subminat de transferurile către țări terțe (2).

(2)

În temeiul articolului 45 alineatul (3) din Regulamentul (UE) 2016/679, Comisia poate decide, prin intermediul unui act de punere în aplicare, că o țară terță, un teritoriu sau unul ori mai multe sectoare specificate dintr-o țară terță sau o organizație internațională asigură un nivel de protecție adecvat. În astfel de condiții, transferurile de date cu caracter personal către o țară terță pot avea loc fără a fi necesar să se obțină autorizări suplimentare, astfel cum se prevede la articolul 45 alineatul (1) și în considerentul 103 din Regulamentul (UE) 2016/679.

(3)

În conformitate cu articolul 45 alineatul (2) din Regulamentul (UE) 2016/679, adoptarea unei decizii privind caracterul adecvat al nivelului de protecție trebuie să se bazeze pe o analiză cuprinzătoare a ordinii juridice a țării terțe, în ceea ce privește atât normele aplicabile importatorilor de date, cât și limitările și garanțiile referitoare la accesul autorităților publice la datele cu caracter personal. În evaluare, Comisia trebuie să stabilească dacă țara terță în cauză garantează un nivel de protecție „echivalent în esență” cu cel garantat în cadrul Uniunii Europene [considerentul 104 din Regulamentul (UE) 2016/679]. Această situație trebuie evaluată în raport cu legislația Uniunii, în special cu Regulamentul (UE) 2016/679, precum și cu jurisprudența Curții de Justiție a Uniunii Europene (3).

(4)

Conform clarificărilor aduse de Curtea de Justiție a Uniunii Europene, aceasta nu necesită găsirea unui nivel identic de protecție (4). În special, mijloacele la care țara terță în cauză recurge pentru protecția datelor cu caracter personal pot fi diferite de cele utilizate în cadrul Uniunii, cu condiția ca acestea să se dovedească, în practică, eficace pentru asigurarea unui nivel adecvat de protecție (5). Prin urmare, standardul caracterului adecvat nu necesită o reproducere punct cu punct a normelor Uniunii. Mai curând, testul constă în a stabili dacă, prin esența drepturilor la viață privată și punerea în aplicare efectivă, supravegherea și exercitarea acestora, sistemul străin în cauză, în ansamblul său, oferă nivelul de protecție necesar (6). Criteriile de referință privind caracterul adecvat al nivelului de protecție ale Comitetului european pentru protecția datelor, care urmăresc să ofere clarificări suplimentare cu privire la acest standard, oferă, de asemenea, orientări în acest sens (7).

(5)

Comisia a analizat cu atenție legislația și practica din Republica Coreea. Pe baza constatărilor prezentate în considerentele 8-208, Comisia concluzionează că Republica Coreea asigură un nivel adecvat de protecție a datelor cu caracter personal transferate de la un operator sau de la o persoană împuternicită de un operator din Uniune (8) către entități (de exemplu, persoane fizice sau juridice, organizații, instituții publice) din Coreea care intră în domeniul de aplicare al Legii privind protecția informațiilor cu caracter personal (Legea nr. 10465 din 29 martie 2011, astfel cum a fost modificată ultima dată prin Legea nr. 16930 din 4 februarie 2020). Acestea includ atât operatorii, cât și persoanele împuternicite de operatori (numiți „destinatari ai externalizării” (9)) în sensul Regulamentului (UE) 2016/679. Constatările privind caracterul adecvat nu acoperă prelucrarea datelor cu caracter personal pentru activități misionare ale organizațiilor religioase și pentru numirea candidaților de către partidele politice sau prelucrarea informațiilor cu caracter personal privind creditele în conformitate cu Legea privind informațiile referitoare la credite de către operatorii care sunt supravegheați de Comisia pentru servicii financiare.

(6)

Această concluzie ține seama de garanțiile suplimentare prevăzute în Notificarea nr. 2021-5 (anexa I) și de expunerile, asigurările și angajamentele oficiale ale guvernului coreean față de Comisie (anexa II).

(7)

Prezenta decizie are drept efect posibilitatea ca transferurile către operatorii și persoanele împuternicite de operatori din Republica Coreea să aibă loc fără a fi necesară obținerea unei autorizări suplimentare. Aceasta nu aduce atingere aplicării directe a Regulamentului (UE) 2016/679 pentru astfel de entități în cazul în care sunt îndeplinite condițiile privind domeniul de aplicare teritorial al regulamentului respectiv, astfel cum se prevede la articolul 3.

(8)

Regimul juridic care reglementează viața privată și protecția datelor în Coreea este întemeiat pe Constituția coreeană, promulgată la 17 iulie 1948. Deși dreptul la protecția datelor cu caracter personal nu este prevăzut în mod expres în Constituție, acesta este totuși recunoscut ca un drept fundamental care derivă din drepturile constituționale la demnitate umană și la căutarea fericirii (articolul 10), la viața privată (articolul 17) și la confidențialitatea comunicațiilor (articolul 18). Acest lucru a fost confirmat atât de Curtea Supremă (10), cât și de Curtea Constituțională (11). Restricțiile privind drepturile și libertățile fundamentale (inclusiv dreptul la viață privată) pot fi impuse numai prin lege, atunci când este necesar pentru securitatea națională sau pentru menținerea legii și ordinii pentru bunăstarea publică, și nu pot afecta substanța dreptului sau libertății în cauză [articolul 37 alineatul (2)].

(9)

Deși Constituția face trimitere în mai multe rânduri la drepturile cetățenilor coreeni, Curtea Constituțională a hotărât că și cetățenii străini au anumite drepturi fundamentale (12). În special, Curtea a statuat că protecția demnității și a valorii ca ființă umană, precum și dreptul de a căuta fericirea sunt drepturi ale oricărei ființe umane, nu doar ale cetățenilor (13). În plus, potrivit expunerilor oficiale ale guvernului coreean (14), este general recunoscut faptul că articolele 12-22 din Constituție (care includ drepturile la viață privată) prevăd drepturi fundamentale ale omului (15). Deși până în prezent nu există o jurisprudență specifică în ceea ce privește dreptul la viață privată al cetățenilor străini, fundamentarea acestuia pe protejarea demnității umane și căutarea fericirii sprijină această concluzie (16).

(10)

În plus, Coreea a adoptat o serie de legi în domeniul protecției datelor care oferă garanții pentru toate persoanele, indiferent de cetățenia acestora (17). În sensul prezentei decizii, legile relevante sunt:

(11)

PIPA prevede cadrul juridic general pentru protecția datelor în Republica Coreea. Aceasta este completată de un decret de punere în aplicare (Decretul prezidențial nr. 23169 din 29 septembrie 2011, modificat ultima dată prin Decretul prezidențial nr. 30892 din 4 august 2020) (Decretul de punere în aplicare a PIPA), care, la fel ca PIPA, este obligatoriu din punct de vedere juridic și executoriu.

(12)

În plus, „notificările” de reglementare adoptate de Comisia pentru protecția informațiilor cu caracter personal (PIPC) prevăd norme suplimentare privind interpretarea și aplicarea PIPA. Pe baza articolului 5 (Obligații ale statului) și a articolului 14 din PIPA (Cooperare internațională), PIPC a adoptat Notificarea nr. 2021-5 din 1 septembrie 2020 (astfel cum a fost modificată prin Notificarea nr. 2021-1 din 21 ianuarie 2021 și Notificarea nr. 2021-5 din 16 noiembrie 2021, Notificarea nr. 2021-5) privind interpretarea, aplicarea și punerea în aplicare a anumitor dispoziții ale PIPA. Această notificare oferă clarificări care se aplică oricărei prelucrări de date cu caracter personal în temeiul PIPA, precum și garanții suplimentare pentru datele cu caracter personal transferate către Coreea în temeiul prezentei decizii. Notificarea este obligatorie din punct de vedere juridic pentru operatorii de informații cu caracter personal și executorie atât pentru PIPC, cât și pentru instanțe (19). O încălcare a normelor prevăzute în notificare implică o încălcare a dispozițiilor relevante din PIPA pe care le completează. Prin urmare, conținutul garanțiilor suplimentare este analizat în cadrul evaluării articolelor relevante din PIPA. În cele din urmă, în Manualul și Orientările PIPA adoptate de PIPC (20) sunt prevăzute orientări suplimentare privind PIPA și decretul de punere în aplicare corespunzător, care stau la baza aplicării și a asigurării respectării normelor de protecție a datelor de către PIPC.

(13)

În plus, Legea privind utilizarea și protecția informațiilor privind creditele (CIA) stabilește norme specifice care se aplică atât operatorilor comerciali „obișnuiți”, cât și entităților specializate din sectorul financiar atunci când prelucrează informații cu caracter personal privind creditele, și anume informații care sunt necesare pentru a determina bonitatea părților la tranzacții financiare sau comerciale. Printre acestea se numără, în special, numele, datele de contact, tranzacțiile financiare, ratingul de credit, statutul de asigurat sau soldul creditelor, atunci când astfel de informații sunt utilizate pentru a stabili bonitatea unei persoane (21). În schimb, în cazul în care astfel de informații sunt utilizate în alte scopuri (cum ar fi, resursele umane), PIPA se aplică integral. În ceea ce privește dispozițiile specifice privind protecția datelor ale CIA, conformitatea este supravegheată parțial de PIPC (pentru organizațiile comerciale; a se vedea articolul 45-3 din CIA) și parțial de Comisia pentru servicii financiare (22) [pentru sectorul financiar, inclusiv agențiile de rating de credit, bănci, companii de asigurări, case de economii de ajutor reciproc, societăți financiare de credit specializate, societăți de servicii de investiții financiare, societăți de finanțare a valorilor mobiliare, cooperative de credit etc.; a se vedea articolul 45 alineatul (1) din CIA coroborat cu articolul 36-2 din Decretul de punere în aplicare a CIA și articolul 38 din Legea privind Comisia pentru servicii financiare]. În acest sens, domeniul de aplicare al prezentei decizii se limitează la operatorii comerciali care sunt supravegheați de PIPC (23). Normele specifice ale CIA care se aplică în acest context (normele generale PIPA se aplică în cazul în care nu există norme specifice) sunt descrise în secțiunea 2.3.11.

(14)

Cu excepția cazului în care există dispoziții contrare specifice în alte legi, protecția datelor cu caracter personal este reglementată de PIPA (articolul 6). Domeniul său de aplicare material și personal este determinat de conceptele definite de „informații cu caracter personal”, „prelucrare” și „operator de informații cu caracter personal”.

(15)

Articolul 2 alineatul (1) din PIPA definește informațiile cu caracter personal ca fiind informații referitoare la o persoană în viață care permit identificarea persoanei respective în mod direct, de exemplu cu ajutorul numelui, al numărului de înregistrare pentru rezidenți sau al imaginii sale, ori în mod indirect, și anume atunci când informațiile care nu permit în sine identificarea unei anumite persoane pot fi combinate cu ușurință cu alte informații. Posibilitatea ca informațiile să poată fi combinate „cu ușurință” depinde de probabilitatea rezonabilă a unei astfel de combinări, ținând seama de posibilitatea de a obține alte informații, precum și de timpul, costul și tehnologia necesare pentru identificarea unei persoane.

(16)

În plus, informațiile pseudonimizate – și anume, informații care nu pot conduce la identificarea unei anumite persoane fără a fi utilizate sau combinate cu informații suplimentare pentru a le readuce la starea inițială – sunt considerate date cu caracter personal în temeiul PIPA [articolul 2 alineatul (1) litera (c) din PIPA]. În schimb, informațiile care sunt complet „anonimizate” sunt excluse din domeniul de aplicare al PIPA (articolul 58-2 din PIPA). Acesta este cazul informațiilor care nu pot conduce la identificarea unei anumite persoane, chiar dacă sunt combinate cu alte informații, ținând seama de timpul, costul și tehnologia necesare în mod rezonabil pentru identificare.

(17)

Aceasta corespunde domeniului de aplicare material al Regulamentului (UE) 2016/679 și noțiunilor de „date cu caracter personal”, „pseudonimizare” (24) și „informații anonimizate” (25) prevăzute de acesta.

(18)

Noțiunea de „prelucrare” este definită pe larg în PIPA ca acoperind „colectarea, generarea, conectarea, centralizarea, înregistrarea, stocarea, păstrarea, prelucrarea cu valoare adăugată, editarea, extragerea, producerea, rectificarea, recuperarea, utilizarea, furnizarea și divulgarea, distrugerea informațiilor cu caracter personal și alte activități similare” (26). Deși anumite dispoziții din PIPA se referă numai la anumite tipuri de prelucrare, cum ar fi „utilizarea”, „furnizarea” sau „colectarea” (27), noțiunea de „utilizare” se interpretează ca incluzând orice tip de prelucrare cu excepția „colectării” sau „furnizării (către terți)”. Această interpretare largă a noțiunii de „utilizare” garantează astfel că nu există lacune în materie de protecție în legătură cu anumite activități de prelucrare. Prin urmare, conceptul de „prelucrare” corespunde aceleiași noțiuni din Regulamentul (UE) 2016/679.

(19)

PIPA se aplică „operatorilor de informații cu caracter personal” (operator). Similar Regulamentului (UE) 2016/679, PIPA include orice instituție publică, persoană juridică, organizație sau persoană fizică care prelucrează date cu caracter personal în mod direct sau indirect pentru a gestiona fișiere de date cu caracter personal în cadrul activităților lor (28). În acest context, „dosar cu informații cu caracter personal” înseamnă orice „set sau seturi de informații cu caracter personal dispuse sau organizate în mod sistematic pe baza unei anumite reguli pentru facilitarea accesului la informațiile cu caracter personal” [articolul 2 alineatul (4) din PIPA] (29). Pe plan intern, operatorul are obligația de a forma persoanele implicate în prelucrare aflate în subordinea sa, cum ar fi agenții sau angajații societății, și de a exercita controlul și supravegherea corespunzătoare [articolul 28 alineatul (1) din PIPA].

(20)

Atunci când un operator („entitatea care efectuează externalizarea”) externalizează prelucrarea datelor cu caracter personal către o parte terță („destinatarul externalizării”) se aplică obligații specifice. În special, externalizarea trebuie să fie reglementată de un acord obligatoriu din punct de vedere juridic (de regulă, un contract) (30) care să stabilească domeniul de aplicare al activității externalizate, scopul prelucrării, garanțiile tehnice și de gestionare care trebuie aplicate, supravegherea de către operator, răspunderea (cum ar fi despăgubirile pentru daunele cauzate de o încălcare a obligațiilor contractuale), precum și limitările oricărei subcontractări a serviciilor de prelucrare a datelor (31) [articolul 26 alineatele (1) și (2) din PIPA coroborate cu articolul 28 alineatul (1) din Decretul de punere în aplicare] (32).

(21)

În plus, operatorul trebuie să publice și să actualizeze în permanență detaliile privind activitatea externalizată și identitatea destinatarului externalizării sau, în măsura în care prelucrarea externalizată se referă la activități de marketing direct, să notifice direct persoanelor în cauză informațiile relevante [articolul 26 alineatele (2) și (3) din PIPA coroborate cu articolul 28 alineatele (2)-(5) din Decretul de punere în aplicare] (33).

(22)

În plus, în conformitate cu articolul 26 alineatul (4) din PIPA coroborat cu articolul 28 alineatul (6) din Decretul de punere în aplicare, operatorul are obligația de a-l „educa” pe destinatarul externalizării cu privire la măsurile de securitate necesare și de a supraveghea, inclusiv prin inspecții, dacă acesta respectă toate obligațiile operatorului în temeiul PIPA (34), precum și în temeiul contractului de externalizare. În cazul în care destinatarul externalizării cauzează prejudicii ca urmare a unei încălcări a PIPA, acțiunile sale sau abținerea sa de a acționa vor fi atribuite operatorului în scopuri legate de răspundere, precum în cazul unui angajat [articolul 26 alineatul (6) din PIPA].

(23)

Deși PIPA nu utilizează, prin urmare, concepte diferite pentru „operatori” și „persoane împuternicite de operatori”, normele privind externalizarea prevăd, în esență, obligații și garanții echivalente cu cele care reglementează relația dintre operatori și persoanele împuternicite de operatori în temeiul Regulamentului (UE) 2016/679.

(24)

Deși PIPA se aplică prelucrării datelor cu caracter personal de către orice operator, anumite dispoziții conțin norme specifice (drept lex specialis) pentru prelucrarea datelor cu caracter personal ale „utilizatorilor” de către „furnizorii de servicii din domeniul informațiilor și comunicațiilor” (35). Noțiunea de „utilizatori” cuprinde persoanele fizice care utilizează servicii de informații și comunicații (articolul 2 alineatul (1) paragraful 4 din Legea privind promovarea utilizării rețelelor de informații și comunicații și protecția datelor, Legea privind rețelele). Pentru aceasta, este necesar ca persoana respectivă fie să utilizeze în mod direct serviciile de telecomunicații furnizate de un operator coreean de telecomunicații, fie să utilizeze serviciile de informații (36) furnizate în scop comercial (adică în scop lucrativ) de către o entitate care, la rândul său, se bazează pe serviciile unui operator de telecomunicații autorizat/înregistrat în Coreea (37). În ambele cazuri, entitatea care are obligații în temeiul dispozițiilor PIPA specifice este una care oferă un serviciu online direct unei persoane (adică unui utilizator).

(25)

În schimb, o constatare a caracterului adecvat se referă exclusiv la nivelul de protecție conferit datelor cu caracter personal transferate de la un operator/o persoană împuternicită de operator din Uniune către o entitate dintr-o țară terță (în acest caz: Republica Coreea). În scenariul din urmă, persoanele fizice din Uniune vor avea, în mod normal, o relație directă numai cu „exportatorul de date” din Uniune, dar nu și cu un furnizor coreean de servicii din domeniul informațiilor și comunicațiilor (38). Prin urmare, dispozițiile specifice ale PIPA cu privire la datele cu caracter personal ale utilizatorilor de servicii din domeniul informațiilor și comunicațiilor se vor aplica, cel mult, numai în situații limitate, datelor cu caracter personal transferate în temeiul prezentei decizii.

(26)

Articolul 58 alineatul (1) din PIPA exclude aplicarea unei părți din PIPA (și anume a articolelor 15-57) în ceea ce privește patru categorii de prelucrare a datelor (39). În special, părțile din PIPA care tratează motivele specifice ale prelucrării, anumite obligații în materie de protecție a datelor, normele detaliate de exercitare a drepturilor individuale, precum și normele care reglementează soluționarea litigiilor de către Comitetul pentru medierea litigiilor în materie de informații cu caracter personal nu se aplică. Alte dispoziții de bază ale PIPA rămân aplicabile, în special dispozițiile generale referitoare la principiile privind protecția datelor (articolul 3 din PIPA) – inclusiv, de exemplu, principiile legalității, specificării scopului și limitării scopului, reducerea la minimum a datelor, exactitatea și securitatea datelor – și drepturile individuale (de acces, rectificare, ștergere și suspendare; a se vedea articolul 4 din PIPA). În plus, articolul 58 alineatul (4) din PIPA impune obligații specifice pentru aceste activități de prelucrare, și anume în ceea ce privește reducerea la minimum a datelor, păstrarea limitată a datelor, măsurile de securitate și tratarea plângerilor (40). În consecință, persoanele fizice pot depune în continuare o plângere la PIPC în cazul nerespectării acestor principii și obligații, iar PIPC are competența de a lua măsuri de asigurare a respectării legislației în caz de neconformitate.

(27)

În primul rând, exceptarea parțială vizează datele cu caracter personal colectate în temeiul Legii privind statisticile pentru prelucrarea de către instituțiile publice. Conform clarificărilor primite din partea guvernului coreean, datele cu caracter personal prelucrate în acest context se referă în mod normal la cetățenii coreeni și ar putea include numai în mod excepțional informații privind străinii, și anume în cazul statisticilor privind intrarea pe teritoriu și ieșirea de pe teritoriu sau privind investițiile străine. Cu toate acestea, chiar și în aceste situații, astfel de date nu sunt în mod normal transferate de la operatori/persoane împuternicite de operatori din Uniune, ci, mai degrabă, ar fi colectate direct de autoritățile publice din Coreea (41). În plus, în mod similar cu ceea ce prevede considerentul 162 din Regulamentul (UE) 2016/679, prelucrarea datelor în temeiul Legii privind statisticile face obiectul mai multor condiții și garanții. În special, Legea privind statisticile impune obligații specifice, cum ar fi aceea de a asigura exactitatea, consecvența și imparțialitatea; a garanta confidențialitatea persoanelor fizice; a proteja informațiile respondenților care participă la sondaje statistice, inclusiv cu scopul de a preveni utilizarea acestor informații în orice alt scop decât cel de elaborare a statisticilor și de a impune angajaților anumite cerințe de confidențialitate (42). Autoritățile publice care prelucrează statisticile trebuie, de asemenea, să respecte, printre altele, principiile reducerii la minimum a datelor, limitării scopului și securității [articolul 3 și articolul 58 alineatul (4) din PIPA] și să le permită persoanelor fizice să își exercite drepturile (de acces, rectificare, ștergere și suspendare; a se vedea articolul 4 din PIPA). În cele din urmă, datele trebuie prelucrate într-o formă anonimizată sau pseudonimizată dacă aceasta permite îndeplinirea scopului prelucrării [articolul 3 alineatul (7) din PIPA].

(28)

În al doilea rând, articolul 58 alineatul (1) din PIPA se referă la datele cu caracter personal colectate sau solicitate pentru analiza informațiilor legate de securitatea națională. Domeniul de aplicare și consecințele acestei exceptări parțiale sunt descrise mai detaliat în considerentul 149.

(29)

În al treilea rând, exceptarea parțială se aplică prelucrării temporare a datelor cu caracter personal atunci când acest lucru este necesar de urgență din motive de siguranță sau de securitate publică, inclusiv de sănătate publică. Această categorie este interpretată strict de PIPC și, conform informațiilor primite, nu a fost utilizată niciodată. Aceasta se aplică numai în situații de urgență care necesită acțiuni urgente, de exemplu pentru monitorizarea agenților infecțioși sau pentru salvarea și ajutorarea victimelor dezastrelor naturale (43). Chiar și în aceste situații, exceptarea parțială vizează numai prelucrarea datelor cu caracter personal pe o perioadă limitată de timp pentru realizarea unei astfel de acțiuni. Situațiile în care acest lucru s-ar putea aplica transferurilor de date care fac obiectul prezentei decizii sunt și mai limitate, având în vedere probabilitatea redusă ca datele cu caracter personal transferate din Uniune către operatorii coreeni să fie de tipul celor care ar putea face ca prelucrarea ulterioară a acestora să fie „necesară de urgență” pentru astfel de situații de urgență.

(30)

În cele din urmă, exceptarea parțială se aplică datelor cu caracter personal colectate sau utilizate de presă, pentru activități misionare ale organizațiilor religioase sau pentru numirea candidaților de către partidele politice. Exceptarea se aplică numai în cazul în care datele cu caracter personal sunt prelucrate de către presă, organizații religioase sau partide politice în aceste scopuri specifice (și anume, activități jurnalistice, activități misionare și numirea candidaților politici). În cazul în care entitățile respective prelucrează date cu caracter personal în alte scopuri, cum ar fi gestionarea resurselor umane sau administrarea internă, PIPA se aplică integral.

(31)

În ceea ce privește prelucrarea datelor cu caracter personal de către presă pentru activități jurnalistice, echilibrul dintre libertatea de exprimare și alte drepturi (inclusiv dreptul la viață privată) este prevăzut în Legea privind arbitrajul și măsurile reparatorii etc. pentru daunele cauzate de articolele de presă (Legea presei) (44). În special, articolul 5 din Legea presei prevede că presa (și anume, orice organizație de radiodifuziune și televiziune, ziar, publicație periodică sau ziar online), serviciile de știri online și organizațiile de radiodifuziune și televiziune multimedia online nu pot încălca dreptul persoanelor fizice la viață privată. Cu toate acestea, în cazul în care are loc o încălcare a dreptului la viață privată, aceasta trebuie remediată cu promptitudine, în conformitate cu procedurile specifice prevăzute în lege. În acest sens, legea le acordă persoanelor fizice care suferă prejudicii ca urmare a unui articol de presă o serie de drepturi, cum ar fi obținerea publicării unei corectări a unei declarații false, a unei rectificări prin intermediul unei declarații contradictorii sau a unui alt articol (în cazul în care un articol de presă se referă la acuzații privind infracțiuni de care persoana este achitată ulterior) (45). Plângerile formulate de persoanele fizice pot fi soluționate de organele de presă în mod direct (prin intermediul unui ombudsman) (46), prin conciliere sau arbitraj (în fața unei comisii specializate de arbitraj pentru presă) (47) sau în fața instanțelor judecătorești. De asemenea, persoanele fizice pot obține despăgubiri atunci când suferă daune financiare, încălcarea unui drept referitor la personalitate sau orice alte suferințe emoționale cauzate de un act ilegal al presei (intenționat sau din neglijență) (48). Presa este exonerată de răspundere în temeiul legii în măsura în care un articol de presă care aduce atingere drepturilor unei persoane nu este contrar valorilor sociale și este publicat fie cu consimțământul persoanei în cauză, fie în interes public (și există suficiente motive pentru a considera că articolul prezintă adevărul) (49).

(32)

Întrucât prelucrarea datelor cu caracter personal de către presă în scopul desfășurării activităților jurnalistice face, prin urmare, obiectul unor garanții specifice care decurg din Legea presei, nu există astfel de garanții suplimentare care să încadreze utilizarea excepțiilor pentru activitățile de prelucrare desfășurate de organizațiile religioase și de partidele politice într-un mod comparabil cu dispozițiile articolelor 85, 89 și 91 din Regulamentul (UE) 2016/679. Prin urmare, Comisia consideră oportun să excludă din domeniul de aplicare al prezentei decizii organizațiile religioase, în măsura în care acestea prelucrează date cu caracter personal pentru activitățile lor misionare, și partidele politice, în măsura în care acestea prelucrează date cu caracter personal în contextul numirii candidaților.

(33)

Datele cu caracter personal ar trebui prelucrate în mod legal și echitabil.

(34)

Acest principiu este prevăzut la articolul 3 alineatele (1) și (2) din PIPA și este consolidat de articolul 59 din PIPA, care interzice prelucrarea datelor cu caracter personal „prin fraudă, mijloace necorespunzătoare sau nedrepte”, „fără autoritate juridică” sau „în afara autorității juridice corespunzătoare” (50). Aceste principii generale ale prelucrării legale sunt elaborate la articolele 15-19 din PIPA, care stabilesc diferitele temeiuri juridice pentru prelucrare (colectare, utilizare și furnizare către terți), inclusiv circumstanțele în care aceasta poate implica o modificare a scopului (articolul 18 din PIPA).

(35)

În conformitate cu articolul 15 alineatul (1) din PIPA, un operator poate colecta date cu caracter personal (în domeniul de aplicare al colectării) numai pe baza unui număr limitat de temeiuri juridice. Acestea sunt (1) consimțământul persoanei vizate (51) (punctul 1); (2) necesitatea de a executa și de a duce la îndeplinire un contract cu persoana vizată (punctul 4); (3) o autorizație specială prevăzută de lege sau necesitatea respectării unei obligații legale (punctul 2); necesitatea (52) ca o instituție publică să îndeplinească sarcinile în jurisdicția sa, astfel cum prevede legea; (4) necesitatea evidentă de a proteja viața, integritatea fizică sau drepturile de proprietate ale persoanei vizate sau ale unei părți terțe împotriva unui pericol iminent (numai în cazul în care persoana vizată nu este în măsură să își exprime intenția sau nu poate obține consimțământul prealabil) (punctul 5); (5) necesitatea de a asigura „interesul justificabil” al operatorului dacă acesta este „în mod evident superior” intereselor persoanei vizate (și numai în cazul în care prelucrarea are o „legătură substanțială” cu interesul legitim și nu depășește ceea ce este rezonabil) (punctul 6) (53). Aceste motive de prelucrare sunt în esență echivalente cu cele prevăzute la articolul 6 din Regulamentul (UE) 2016/679, inclusiv motivul privind „interesul justificabil” care este echivalent cu motivul „interesului legitim” de la articolul 6 alineatul (1) litera (f) din Regulamentul (UE) 2016/679.

(36)

Odată colectate, datele cu caracter personal pot fi utilizate în scopul colectării [articolul 15 alineatul (1) din PIPA] sau „în domeniul de aplicare legat în mod rezonabil” de scopul colectării, luând în considerare posibilele dezavantaje create pentru persoana vizată și cu condiția să fi fost adoptate măsurile de securitate necesare (de exemplu criptarea) [articolul 15 alineatul (3) din PIPA]. Pentru a stabili dacă scopul utilizării este „legat în mod rezonabil” de scopul inițial al colectării, decretul de punere în aplicare stabilește criterii specifice, care sunt similare cu cele prevăzute la articolul 6 alineatul (4) din Regulamentul (UE) 2016/679. În special, trebuie să existe o relevanță considerabilă pentru scopul inițial; utilizarea suplimentară trebuie să fie previzibilă (de exemplu, având în vedere circumstanțele în care au fost colectate informațiile); și, dacă este posibil, datele trebuie să fie pseudonimizate (54). Criteriile specifice utilizate de un operator în această evaluare trebuie să fie dezvăluite în prealabil în politica de confidențialitate (55). În plus, responsabilul de protecția vieții private (a se vedea considerentul 94) trebuie să verifice în mod specific dacă utilizarea ulterioară are loc în parametrii respectivi.

(37)

Norme similare (dar oarecum mai stricte) se aplică și furnizării de date către un terț. În conformitate cu articolul 17 alineatul (1) din PIPA, furnizarea de date cu caracter personal către un terț este permisă pe baza consimțământului (56) sau, în scopul colectării, în cazul în care informațiile au fost colectate pe baza unuia dintre temeiurile juridice prevăzute la articolul 15 alineatul (1) punctele 2, 3 și 5 din PIPA. Aceasta exclude în special orice divulgare întemeiată pe „interesul justificabil” al operatorului. În plus, articolul 17 alineatul (4) din PIPA permite furnizarea către terți „în domeniul de aplicare legat în mod rezonabil” de scopul colectării, luând din nou în considerare posibilele dezavantaje create pentru persoana vizată și cu condiția să fi fost adoptate măsurile de securitate necesare (cum ar fi criptarea). Trebuie luați în considerare aceiași factori ca cei descriși în considerentul 36 pentru a evalua dacă furnizarea se încadrează în domeniul de aplicare în mod rezonabil legat de scopul colectării și se aplică aceleași garanții (și anume, în ceea ce privește transparența prin politica de confidențialitate și implicarea responsabilului cu protecția vieții private).

(38)

Primirea datelor cu caracter personal de către un operator de date coreean din Uniune este considerată o „colectare” în sensul articolului 15 din PIPA. Notificarea nr. 2021-5 (secțiunea I din anexa I la prezenta decizie) clarifică faptul că scopul pentru care datele au fost transferate de entitatea în cauză din UE constituie scopul colectării pentru operatorul coreean de date. În consecință, operatorii de date coreeni care primesc date cu caracter personal din Uniune sunt, în principiu, obligați să prelucreze astfel de informații în domeniul de aplicare al transferului, în conformitate cu articolul 17 din PIPA.

(39)

Se aplică limitări speciale în cazul în care operatorul dorește să utilizeze datele cu caracter personal sau să le furnizeze unui terț într-un alt scop decât scopul colectării (57). În conformitate cu articolul 18 alineatul (2) din PIPA, un operator privat poate, în mod excepțional (58), să utilizeze date cu caracter personal sau să le furnizeze unui terț într-un alt scop: (1) pe baza consimțământului suplimentar (adică separat) al persoanei vizate; (2) în cazul în care acest lucru este prevăzut de dispoziții legale speciale; sau (3) în cazul în care acest lucru este în mod evident necesar pentru protecția vieții, a integrității fizice sau a drepturilor de proprietate ale persoanei vizate sau ale unei părți terțe împotriva unui pericol iminent (numai dacă persoana vizată nu este în măsură să își exprime intenția, iar consimțământul prealabil nu se poate obține) (59).

(40)

Instituțiile publice pot, de asemenea, să utilizeze date cu caracter personal sau să le furnizeze unui terț în scopuri diferite în anumite situații. Acestea includ cazurile în care, în caz contrar, instituțiilor publice le-ar fi imposibil să își îndeplinească obligațiile statutare prevăzute de lege, sub rezerva autorizării de către PIPC. În plus, instituțiile publice pot furniza date cu caracter personal unei alte autorități sau instanțe, dacă acest lucru este necesar pentru investigarea și urmărirea penală a infracțiunilor sau pentru o punere sub acuzare; pentru ca o instanță să își îndeplinească funcțiile legate de procedurile judiciare în curs; sau pentru executarea unei sancțiuni penale ori a unei hotărâri de încredințare sau de îngrijire (60). De asemenea, acestea pot furniza date cu caracter personal unui guvern străin sau unei organizații internaționale pentru a se conforma unei obligații legale care decurge dintr-un tratat sau dintr-o convenție internațională, caz în care trebuie, de asemenea, să respecte cerințele privind transferurile transfrontaliere de date (a se vedea considerentul 90).

(41)

Prin urmare, principiile legalității și echității prelucrării sunt puse în aplicare în cadrul juridic coreean într-un mod în esență echivalent cu Regulamentul (UE) 2016/679, permițând prelucrarea numai în baza unor temeiuri legitime și clar definite. În plus, în toate cazurile menționate, prelucrarea este permisă numai dacă nu este de natură să „aducă atingere în mod abuziv” intereselor persoanei vizate sau ale unui terț, ceea ce necesită o echilibrare a intereselor. În plus, articolul 18 alineatul (5) din PIPA prevede garanții suplimentare atunci când operatorul furnizează date cu caracter personal unui terț, care pot include o cerere de restricționare a scopului și a metodei de utilizare sau punerea în aplicare a unor măsuri de securitate specifice. Partea terță este, la rândul său, obligată să pună în aplicare măsurile solicitate.

(42)

În cele din urmă, articolul 28-2 din PIPA permite prelucrarea (ulterioară) a informațiilor pseudonimizate fără consimțământul persoanei în cauză în scopuri statistice, de cercetare științifică (61) și de arhivare în interes public, sub rezerva unor garanții specifice. Ca și Regulamentul (UE) 2016/679 (62), PIPA facilitează, prin urmare, prelucrarea (ulterioară) a datelor cu caracter personal în astfel de scopuri într-un cadru care să prevadă garanții adecvate pentru protejarea drepturilor persoanelor fizice. În loc să se bazeze pe pseudonimizare ca o posibilă garanție, PIPA o impune ca o condiție prealabilă pentru desfășurarea anumitor activități de prelucrare în scopuri statistice, de cercetare științifică și de arhivare în interes public (cum ar fi posibilitatea de a prelucra datele fără consimțământ sau de a combina seturi de date diferite).

(43)

În plus, PIPA impune o serie de garanții specifice, în special în ceea ce privește măsurile tehnice și organizatorice necesare, ținerea evidențelor, limitări privind schimbul de date și abordarea posibilelor riscuri de reidentificare. Combinarea diferitelor garanții descrise în considerentele 44-48 asigură faptul că prelucrarea datelor cu caracter personal în acest context face obiectul unor măsuri de protecție în esență echivalente cu cele care ar fi necesare în conformitate cu Regulamentul (UE) 2016/679.

(44)

În primul rând și cel mai important, articolul 28-5 alineatul (1) din PIPA interzice prelucrarea informațiilor pseudonimizate în scopul identificării unei anumite persoane. Dacă informațiile care ar putea identifica o persoană ar fi totuși generate în timpul prelucrării informațiilor pseudonimizate, operatorul trebuie să suspende imediat prelucrarea și să distrugă aceste informații [articolul 28-5 alineatul (2) din PIPA]. Nerespectarea acestor dispoziții face obiectul unor amenzi administrative și constituie o infracțiune (63). Aceasta înseamnă că, chiar și în situațiile în care ar fi practic posibil să se reidentifice persoana, o astfel de reidentificare este interzisă din punct de vedere juridic.

(45)

În al doilea rând, atunci când prelucrează (ulterior) informații pseudonimizate în astfel de scopuri, operatorul trebuie să instituie măsuri tehnologice, de gestionare și fizice specifice pentru a asigura securitatea informațiilor (inclusiv stocarea și gestionarea separată a informațiilor care sunt necesare pentru a readuce informațiile pseudonimizate la starea lor inițială) (64). În plus, trebuie să se țină evidențe ale informațiilor pseudonimizate prelucrate, ale scopului prelucrării, ale istoricului utilizării și ale eventualilor terți beneficiari [articolul 29-5 alineatul (2) din Decretul de punere în aplicare a PIPA].

(46)

În al treilea și ultimul rând, PIPA prevede garanții specifice pentru a împiedica identificarea persoanelor fizice de către terți în cazul în care informațiile sunt partajate. În special, atunci când furnizează informații pseudonimizate unui terț în scopuri statistice, de cercetare științifică sau de arhivare în interes public, operatorii nu pot include informații care ar putea fi utilizate pentru a identifica o anumită persoană [articolul 28-2 alineatul (2) din PIPA] (65).

(47)

Mai precis, deși PIPA permite combinarea informațiilor pseudonimizate (prelucrate de diferiți operatori) în scopuri statistice, de cercetare științifică sau de arhivare în interes public, rezervă această competență instituțiilor specializate dotate cu mecanisme de securitate specifice [articolul 28-3 alineatul (1) din PIPA] (66). Atunci când solicită o combinare de date pseudonimizate, operatorul trebuie să prezinte documentația privind, printre altele, datele care urmează să fie combinate, scopul combinării, precum și măsurile de securitate propuse pentru prelucrarea datelor combinate (67). Pentru a permite combinarea datelor, operatorul trebuie să trimită datele care urmează să fie combinate către instituția specializată și să furnizeze o „cheie de combinare” (și anume, informațiile care au fost utilizate pentru pseudonimizare) către Agenția coreeană pentru internet și securitate (68). Aceasta din urmă generează „date de legătură între cheile de combinare” (care permit corelarea cheilor de combinare ale diferiților solicitanți pentru a realiza combinarea seturilor de date) și le furnizează instituției specializate (69).

(48)

Operatorul care solicită combinarea poate analiza informațiile combinate la sediul instituției specializate, într-un spațiu în care se aplică măsuri de securitate tehnice, fizice și administrative specifice (articolul 29-3 din Decretul de punere în aplicare a PIPA). Operatorii care contribuie cu un set de date pentru o astfel de combinare pot scoate datele combinate în afara instituției specializate numai după pseudonimizarea sau anonimizarea ulterioară a datelor combinate și cu aprobarea instituției respective [articolul 28-3 alineatul (2) din PIPA] (70). Atunci când analizează dacă să acorde sau să nu acorde o astfel de aprobare, instituția va evalua legătura dintre datele combinate și scopul prelucrării și dacă a fost elaborat un plan de securitate specific pentru utilizarea acestor date (71). Exportarea informațiilor combinate în afara instituției nu va fi permisă dacă informațiile conțin date care ar permite identificarea unei persoane (72). În cele din urmă, combinarea și difuzarea datelor pseudonimizate de către instituția specializată sunt supravegheate de PIPC [articolul 29-4 alineatul (3) din Decretul de punere în aplicare a PIPA].

(49)

În cazul în care sunt prelucrate „categorii speciale” de date, ar trebui să existe garanții specifice.

(50)

PIPA conține norme specifice în ceea ce privește prelucrarea datelor sensibile (73), care sunt definite drept date cu caracter personal care dezvăluie informații despre ideologia, convingerile, înscrierea sau retragerea dintr-un sindicat sau partid politic, opinii politice, informații despre starea de sănătate și viața sexuală a unei persoane, precum și alte informații cu caracter personal care ar putea amenința „în mod evident” viața privată a persoanei vizate și care au fost indicate ca informații sensibile prin decret prezidențial (74). Conform clarificărilor primite din partea PIPC, viața sexuală este interpretată ca acoperind, de asemenea, orientarea sau preferințele sexuale ale unei persoane (75). În plus, articolul 18 din decretul de punere în aplicare adaugă categorii suplimentare la domeniul de aplicare al datelor sensibile, în special informațiile referitoare la ADN obținute în urma testelor genetice și datele care constituie cazierul judiciar. Modificarea recentă a Decretului de punere în aplicare a PIPA a extins suplimentar noțiunea de date sensibile, incluzând, de asemenea, datele cu caracter personal care dezvăluie originea rasială sau etnică și informațiile biometrice (76). În urma acestei modificări, noțiunea de date sensibile din cadrul PIPA este, în esență, echivalentă cu cea de la articolul 9 din Regulamentul (UE) 2016/679.

(51)

În conformitate cu articolul 23 alineatul (1) din PIPA și în mod similar cu ceea ce se prevede la articolul 9 alineatul (1) din Regulamentul (UE) 2016/679, prelucrarea datelor sensibile este, în general, interzisă, cu excepția cazului în care se aplică una dintre excepțiile enumerate (77). Acestea limitează prelucrarea la cazurile în care operatorul informează persoana vizată în conformitate cu articolele 15 și 17 din PIPA și obține un consimțământ separat (și anume, separat de consimțământul pentru prelucrarea altor date cu caracter personal) sau atunci când prelucrarea este necesară sau permisă prin lege. Autoritățile publice pot prelucra, de asemenea, informații biometrice, informații referitoare la ADN obținute din teste genetice, informații cu caracter personal care dezvăluie originea rasială sau etnică și date care constituie cazierul judiciar pe baza acelor temeiuri de care dispun în mod exclusiv (de exemplu, atunci când acest lucru este necesar pentru investigarea infracțiunilor sau atunci când este necesar pentru ca o instanță să examineze o cauză) (78). Ca atare, temeiurile juridice disponibile pentru prelucrarea datelor sensibile sunt mai limitate decât pentru alte tipuri de date cu caracter personal și chiar mai restrictive în legislația coreeană decât cele prevăzute la articolul 9 alineatul (2) din Regulamentul (UE) 2016/679.

(52)

În plus, articolul 23 alineatul (2) din PIPA – a cărui nerespectare poate conduce la impunerea de sancțiuni (79) – subliniază importanța deosebită a asigurării unor măsuri de securitate adecvate la prelucrarea datelor sensibile, astfel încât acestea „să nu poată fi pierdute, furate, divulgate, falsificate, modificate sau deteriorate.” Deși aceasta este o cerință generală în temeiul articolului 29 din PIPA, articolul 3 alineatul (4) precizează că nivelul de securitate trebuie adaptat tipului de date cu caracter personal care sunt prelucrate, ceea ce înseamnă că trebuie să se țină seama de riscurile specifice implicate în prelucrarea datelor sensibile. În plus, prelucrarea datelor se efectuează întotdeauna „într-un mod care să reducă la minimum posibilitatea de a se încălca” dreptul la viața privată al persoanei vizate și, dacă este posibil, „cu caracter anonim” [articolul 3 alineatele (6) și (7) din PIPA]. Aceste cerințe sunt deosebit de relevante în cazul în care prelucrarea se referă la date sensibile.

(53)

Datele cu caracter personal ar trebui să fie colectate într-un scop anume și într-un mod care să nu fie incompatibil cu scopul prelucrării.

(54)

Acest principiu este asigurat de articolul 3 alineatele (1) și (2) din PIPA, conform cărora operatorul „specifică și precizează” scopul prelucrării, prelucrează datele cu caracter personal într-un mod adecvat și necesar scopului și nu le utilizează în afara acestui scop. Principiul general al limitării scopului este confirmat, de asemenea, la articolul 15 alineatul (1), articolul 18 alineatul (1), articolul 19 și – pentru persoanele împuternicite de către operator (așa-numiții „destinatari ai externalizării”) – la articolul 26 alineatul (1) punctul 1, alineatul (5) și alineatul (7) din PIPA. În special, datele cu caracter personal pot fi, în principiu, utilizate și furnizate terților numai în scopul pentru care au fost colectate [articolul 15 alineatul (1) și articolul 17 alineatul (1) punctul 2]. Prelucrarea într-un scop compatibil, și anume „în domeniul de aplicare legat în mod rezonabil de scopul inițial al colectării”, poate avea loc numai dacă nu afectează în mod negativ persoanele vizate și dacă sunt adoptate măsurile de securitate necesare (cum ar fi criptarea) [articolul 15 alineatul (3) și articolul 17 alineatul (4) din PIPA]. Pentru a stabili dacă prelucrarea ulterioară are un scop compatibil, Decretul de punere în aplicare a PIPA enumeră criterii specifice care sunt similare cu cele prevăzute la articolul 6 alineatul (4) din Regulamentul (UE) 2016/679; a se vedea considerentul 36.

(55)

Astfel cum se explică în considerentul 38, scopul colectării în cazul operatorilor coreeni care primesc date cu caracter personal din Uniune este scopul pentru care sunt transferate datele. Modificarea scopului de către operator este permisă numai în mod excepțional, în cazuri specifice (enumerate) [articolul 18 alineatul (2) punctul 1-3 din PIPA; a se vedea, de asemenea, considerentul 39]. În măsura în care modificarea scopului este autorizată prin lege, aceste legi, la rândul lor, trebuie să respecte dreptul fundamental la viață privată și la protecția datelor, precum și principiile necesității și proporționalității prevăzute de Constituția coreeană. În plus, la articolul 18 alineatele (2) și (5) din PIPA sunt prevăzute garanții suplimentare, în special cerința ca o astfel de modificare a scopului să nu „aducă atingere în mod abuziv interesului unei persoane vizate”, astfel, fiind necesară întotdeauna o echilibrare a intereselor. Aceasta prevede un nivel de protecție în esență echivalent cu cel prevăzut la articolul 5 alineatul (1) litera (b) și la articolul 6 coroborate cu considerentul 50 din Regulamentul (UE) 2016/679.

(56)

Datele cu caracter personal ar trebui să fie exacte și, dacă este necesar, actualizate. De asemenea, ar trebui să fie adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate.

(57)

Principiul exactității este, de asemenea, recunoscut la articolul 3 alineatul (3) din PIPA, care prevede că datele cu caracter personal sunt „exacte, complete și actualizate în măsura necesară în raport cu scopurile” pentru care sunt prelucrate datele. Reducerea la minimum a datelor este necesară în temeiul articolului 3 alineatele (1) și (6) și al articolului 16 alineatul (1) din PIPA, care prevăd că operatorul colectează date cu caracter personal (numai) „în măsura minimă necesară” pentru scopul preconizat și că acestuia îi revine sarcina probei în acest sens. Dacă este posibil să se îndeplinească scopul colectării prin prelucrarea informațiilor în formă anonimizată, operatorii ar trebui să depună eforturi în acest sens [articolul 3 alineatul (7) din PIPA].

(58)

În principiu, datele cu caracter personal nu ar trebui să fie păstrate pentru o perioadă mai îndelungată decât este necesar în vederea atingerii scopurilor în care sunt prelucrate datele cu caracter personal.

(59)

Principiul limitării stocării este prevăzut, de asemenea, la articolul 21 alineatul (1) din PIPA (80), care impune operatorului să „distrugă” (81) datele cu caracter personal fără întârziere la îndeplinirea scopului prelucrării sau la expirarea perioadei de păstrare (luându-se în considerare data care survine mai întâi), cu excepția cazului în care păstrarea ulterioară este impusă de lege (82). În cazul din urmă, datele cu caracter personal relevante „sunt stocate și gestionate separat de alte informații cu caracter personal” [articolul 21 alineatul (3) din PIPA].

(60)

Articolul 21 alineatul (1) din PIPA nu se aplică atunci când datele pseudonimizate sunt prelucrate în scopuri statistice, de cercetare științifică sau de arhivare în interes public (83). Pentru a asigura principiul păstrării limitate a datelor și în acest caz, Notificarea nr. 2021-5 impune operatorilor să anonimizeze informațiile în conformitate cu articolul 58-2 din PIPA în cazul în care datele nu au fost distruse în momentul îndeplinirii scopului specific al prelucrării (84).

(61)

Datele cu caracter personal ar trebui prelucrate într-un mod care să le asigure securitatea, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale. În acest scop, operatorii economici ar trebui să ia măsurile tehnice sau organizatorice adecvate pentru a proteja datele cu caracter personal împotriva eventualelor amenințări. Aceste măsuri ar trebui evaluate luând în considerare stadiul actual al tehnologiei, costurile aferente și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscurile la adresa drepturilor persoanelor fizice.

(62)

Un principiu similar al securității este prevăzut la articolul 3 alineatul (4) din PIPA, care impune operatorilor să „gestioneze informațiile cu caracter personal în condiții de siguranță, în conformitate cu metodele, tipurile etc. de prelucrare a informațiilor cu caracter personal, ținând seama de posibilitatea încălcării drepturilor persoanelor vizate și de gravitatea riscurilor relevante”. În plus, operatorul „prelucrează informațiile cu caracter personal într-un mod care să reducă la minimum posibilitatea de a încălca dreptul la viață privată al unei persoane vizate” și, în acest context, depune eforturi pentru a prelucra datele cu caracter personal în mod anonim sau pseudonimizat, dacă este posibil [articolul 3 alineatele (6) și (7) din PIPA].

(63)

Aceste cerințe generale sunt detaliate suplimentar la articolul 29 din PIPA, conform căruia fiecare operator „ia măsuri tehnice, de gestionare și fizice, precum stabilirea unui plan intern de gestionare și păstrarea de înregistrări ale autentificărilor etc., care sunt necesare pentru a asigura siguranța, astfel cum prevede decretul prezidențial, în așa fel încât informațiile cu caracter personal să nu poată fi pierdute, furate, divulgate, falsificate, modificate sau deteriorate.” Articolul 30 alineatul (1) din Decretul de punere în aplicare a PIPA specifică acele măsuri referindu-se la (1) formularea și punerea în aplicare a unui plan intern de gestionare pentru prelucrarea în condiții de siguranță a datelor cu caracter personal, (2) controale și restricții ale accesului, (3) adoptarea tehnologiei de criptare pentru stocarea și transmiterea în siguranță a datelor personale, (4) înregistrări ale autentificărilor (5) programe de securitate și (6) măsuri fizice, cum ar fi un sistem de stocare sau blocare sigur (85).

(64)

În plus, în cazul în care are loc o încălcare a securității datelor se aplică obligații specifice (articolul 34 din PIPA coroborat cu articolele 39 și 40 din Decretul de punere în aplicare a PIPA) (86). În special, operatorul are obligația de a notifica fără întârziere persoanelor vizate prejudiciate detaliile încălcării (87), inclusiv informații cu privire la contramăsurile (obligatorii) luate de operator și la măsurile pe care persoanele vizate le pot lua pentru a reduce la minimum riscul de prejudiciu [articolul 34 alineatele (1) și (2) din PIPA] (88). În cazul în care încălcarea securității datelor vizează cel puțin 1 000 de persoane vizate, operatorul raportează fără întârziere încălcarea securității datelor și contramăsurile luate și către PIPC, și către Agenția coreeană pentru internet și securitate, care pot oferi asistență tehnică [articolul 34 alineatul (3) din PIPA coroborat cu articolul 39 din Decretul de punere în aplicare a PIPA]. Operatorii sunt răspunzători pentru prejudiciile cauzate de încălcarea securității datelor, în conformitate cu dispozițiile Legii civile privind răspunderea delictuală (a se vedea, de asemenea, secțiunea 2.5 privind măsurile reparatorii) (89).

(65)

În îndeplinirea obligațiilor sale în materie de securitate, operatorul trebuie să fie asistat de un responsabil cu protecția vieții private, ale cărui sarcini includ, printre altele, dezvoltarea unui sistem de control intern „pentru a preveni divulgarea, utilizarea abuzivă și necorespunzătoare a informațiilor cu caracter personal” [articolul 31 alineatul (2) punctul 4 din PIPA]. În plus, operatorul are datoria de a-și „controla și supraveghea corespunzător” angajații care prelucrează date cu caracter personal, inclusiv în ceea ce privește gestionarea în condiții de siguranță a acestora; este astfel inclusă formarea („educarea”) necesară a angajaților [articolul 28 alineatele (1) și (2) din PIPA]. În cele din urmă, în cazul subcontractării serviciilor de prelucrare a datelor, operatorul trebuie să impună cerințe „destinatarului externalizării”, printre altele, în ceea ce privește gestionarea în condiții de siguranță a datelor cu caracter personal („garanții tehnice și de gestionare”) și trebuie să supravegheze modul în care acestea sunt puse în aplicare prin inspecții [articolul 26 alineatele (1) și (4) din PIPA coroborate cu articolul 28 alineatul (1) punctele 3 și 4 și alineatul (6) din Decretul de punere în aplicare a PIPA].

(66)

Persoanele vizate ar trebui să fie informate cu privire la principalele caracteristici ale prelucrării datelor lor cu caracter personal.

(67)

Acest lucru este asigurat în diferite moduri în sistemul coreean. În afară de dreptul la informare prevăzut la articolul 4 punctul 1 (în general) și articolul 20 alineatul (1) din PIPA (pentru datele cu caracter personal colectate de la terți), precum și dreptul de acces în temeiul articolului 35 din PIPA, PIPA include o cerință generală de transparență în ceea ce privește scopul prelucrării [articolul 3 alineatul (1) din PIPA] și cerințe specifice de transparență în cazul în care prelucrarea se bazează pe consimțământ [articolele 15 alineatul (2), articolul 17 alineatul (2) și articolul 18 alineatul (3) din PIPA] (90). În plus, articolul 20 alineatul (2) din PIPA impune anumitor operatori – celor pentru care prelucrarea depășește anumite praguri (91) – obligația de a notifica persoanei vizate ale cărei date cu caracter personal au fost primite de la un terț sursa informațiilor, scopul prelucrării și dreptul persoanei vizate de a solicita suspendarea prelucrării, cu excepția cazului în care o astfel de notificare se dovedește imposibilă din cauza lipsei oricăror informații de contact. Se aplică excepții pentru anumite dosare de date cu caracter personal deținute de autoritățile publice, în special dosarele care conțin date prelucrate în scopuri legate de securitatea națională, alte interese naționale deosebit de importante („grave”) sau în scopuri de asigurare a respectării dreptului penal sau în cazul în care notificarea este de natură să aducă prejudicii vieții sau integrității fizice a unei alte persoane sau să prejudicieze în mod abuziv drepturile de proprietate și interesele unei alte persoane, cu toate acestea, numai în cazul în care interesele publice sau private în cauză sunt „în mod evident superioare” drepturilor persoanelor vizate [articolul 20 alineatul (4) din PIPA]. Acest lucru necesită o echilibrare a intereselor.

(68)

În plus, articolul 3 alineatul (5) din PIPA prevede că operatorii fac publică politica lor de confidențialitate (și alte aspecte legate de prelucrarea datelor cu caracter personal). Această cerință este detaliată la articolul 30 din PIPA coroborat cu articolul 31 din Decretul de punere în aplicare a PIPA. Potrivit acestor dispoziții, politica publică în materie de confidențialitate trebuie să includă, printre altele (1) tipurile de date cu caracter personal prelucrate, (2) scopul prelucrării, (3) perioada de păstrare, (4) dacă datele cu caracter personal sunt furnizate unui terț (92), (5) orice subcontractare a serviciilor de prelucrare a datelor, (6) informații privind drepturile persoanei vizate și modul de exercitare a acestora și (7) datele de contact (inclusiv numele responsabilului cu protecția vieții private sau al departamentului intern responsabil cu asigurarea respectării normelor privind protecția datelor și tratarea plângerilor). Politica de confidențialitate trebuie să fie pusă la dispoziția publicului astfel încât persoanele vizate „să o poată recunoaște cu ușurință” [articolul 30 alineatul (2) din PIPA] (93) și să fie actualizată în permanență [articolul 31 alineatul (2) din Decretul de punere în aplicare a PIPA].

(69)

Instituțiile publice sunt supuse unei obligații suplimentare de a înregistra, în special, următoarele informații la PIPC: (1) denumirea instituției publice, (2) motivele și scopurile prelucrării dosarelor de date cu caracter personal, (3) detaliile privind datele cu caracter personal care sunt înregistrate, (4) metoda de prelucrare, (5) perioada de păstrare, (6) numărul persoanelor vizate ale căror date cu caracter personal sunt păstrate, (7) departamentul care tratează cererile persoanelor vizate și (8) destinatarii datelor cu caracter personal, atunci când datele sunt furnizate în mod regulat sau repetat [articolul 32 alineatul (1) din PIPA] (94). Dosarele de date cu caracter personal înregistrate sunt făcute publice de PIPC și trebuie, de asemenea, să fie menționate de instituțiile publice în politica lor de confidențialitate [articolul 30 alineatul (1) și articolul 32 alineatul (4) din PIPA].

(70)

Pentru a spori transparența pentru persoanele vizate din Uniune ale căror date cu caracter personal sunt transferate către Coreea pe baza prezentei decizii, secțiunea 3 punctele (i) și (ii) din Notificarea nr. 2021-5 (anexa I) impune cerințe suplimentare în materie de transparență. În primul rând, atunci când primesc date cu caracter personal din Uniune în temeiul prezentei decizii, operatorii coreeni trebuie să notifice persoanelor vizate fără întârzieri nejustificate (și, în orice caz, în termen de cel mult o lună de data transferului) numele și datele de contact ale entităților care transferă și primesc informațiile, datele cu caracter personal (sau categoriile de date cu caracter personal) transferate, scopul colectării de către operatorul coreean, perioada de păstrare și drepturile de care beneficiază în temeiul PIPA. În al doilea rând, atunci când furnizează terților date cu caracter personal primite din Uniune în temeiul prezentei decizii, persoanele vizate trebuie să fie informate, printre altele, cu privire la destinatar, la datele cu caracter personal sau la categoriile de date cu caracter personal care urmează să fie furnizate, la țara căreia îi sunt furnizate datele (dacă este cazul), precum și cu privire la drepturile de care beneficiază în temeiul PIPA (95). În acest mod, prin notificare se asigură informarea continuă a persoanelor din UE cu privire la operatorii specifici care prelucrează informațiile lor și posibilitatea acestora de a-și exercita drepturile în fața entităților relevante.

(71)

Secțiunea 3 punctul (iii) din notificare (anexa I) permite anumite excepții limitate și calificate de la aceste obligații suplimentare de transparență care sunt în esență echivalente cu cele prevăzute în Regulamentul (UE) 2016/679. În special, notificarea persoanelor vizate în Uniune nu este necesară (1) atunci când și atât timp cât este necesar să se restricționeze notificarea din anumite motive de interes public (de exemplu, în cazul în care informațiile sunt prelucrate în scopuri legate de securitatea națională sau de anchete penale în curs), în măsura în care aceste obiective de interes public sunt în mod evident superioare drepturilor persoanei vizate; (2) atunci când persoana vizată deține deja informațiile; (3) atunci când și atât timp cât notificarea este susceptibilă să aducă prejudicii vieții sau integrității fizice a persoanei în cauză sau a unei alte persoane sau să prejudicieze în mod abuziv drepturile de proprietate ale altei persoane, în cazul în care aceste drepturi sau interese sunt în mod evident superioare drepturilor persoanei vizate; sau (4) atunci când nu există date de contact pentru persoanele în cauză sau ar fi necesar un efort disproporționat pentru a le transmite o notificare. Pentru a stabili dacă este sau nu este posibil să se contacteze persoana vizată sau dacă acest lucru implică eforturi excesive, se va lua în considerare posibilitatea de a coopera cu exportatorul de date din Uniune.

(72)

Prin urmare, normele din considerentele 67-71 asigură un nivel de protecție în esență echivalent în ceea ce privește transparența cu ceea ce este prevăzut în Regulamentul (UE) 2016/679.

(73)

Persoanele vizate ar trebui să aibă anumite drepturi care pot fi impuse operatorului sau persoanei împuternicite de operator, în special dreptul de acces la date, dreptul de rectificare, dreptul de a se opune prelucrării și dreptul la ștergerea datelor. În același timp, aceste drepturi pot face obiectul unor restricții, în măsura în care acestea sunt necesare și proporționale pentru a proteja obiectivele importante de interes public general.

(74)

În conformitate cu articolul 3 alineatul (5) din PIPA, operatorul garantează drepturile persoanelor vizate enumerate la articolul 4 din PIPA și specificate mai detaliat la articolele 35-37, 39 și 39-2 din PIPA.

(75)

În primul rând, persoanele fizice au dreptul la informare și dreptul de acces. Atunci când operatorul a colectat date cu caracter personal de la un terț – astfel cum se va întâmpla întotdeauna când datele sunt transferate din Uniune – persoanele vizate au, în general, dreptul de a primi informații privind (1) „sursa” datelor cu caracter personal colectate (și anume, entitatea care efectuează transferul), (2) scopul prelucrării și (3) faptul că persoana vizată are dreptul de a solicita suspendarea prelucrării [articolul 20 alineatul (1) din PIPA]. Se aplică excepții limitate, și anume în cazul în care o astfel de notificare este de natură să aducă prejudicii vieții sau integrității fizice a unei alte persoane sau „să prejudicieze în mod abuziv drepturile de proprietate și alte interese” ale altei persoane, dar numai în cazul în care aceste interese ale terților sunt „superioare în mod explicit” drepturilor persoanei vizate [articolul 20 alineatul (4) punctul 2 din PIPA].

(76)

În plus, articolul 35 alineatele (1) și (3) din PIPA coroborate cu articolul 41 alineatul (4) din Decretul de punere în aplicare a PIPA conferă persoanelor vizate dreptul de acces la informațiile lor cu caracter personal (96). Dreptul de acces include confirmarea prelucrării, informații privind tipul de date prelucrate, scopul prelucrării, perioada de păstrare, precum și orice divulgare către un terț, precum și furnizarea unei copii a informațiilor cu caracter personal prelucrate [articolul 4 punctul 3 din PIPA coroborat cu articolul 41 alineatul (1) din Decretul de aplicare a PIPA] (97). Accesul poate fi limitat (acces parțial) (98) sau refuzat numai în cazul în care acest lucru este prevăzut de lege (99), în cazul în care acest lucru ar putea aduce prejudicii vieții sau integrității fizice a unui terț sau o încălcare nejustificată a drepturilor de proprietate și a altor interese ale unei alte persoane [articolul 35 alineatul (4) din PIPA] (100). Aceasta din urmă implică faptul că ar trebui să existe o echilibrare între drepturile și libertățile protejate prin Constituție ale persoanei în cauză, pe de o parte, și ale altor persoane, pe de altă parte. În cazul în care accesul este limitat sau refuzat, operatorul trebuie să informeze persoana vizată cu privire la motivele limitării sau refuzului și la modalitățile de contestare a deciziei [articolul 41 alineatul (5) și articolul 42 alineatul (2) din Decretul de punere în aplicare a PIPA].

(77)

În al doilea rând, persoanele vizate au dreptul la rectificarea sau ștergerea (101) datelor lor cu caracter personal, „cu excepția cazului în care se prevede altfel în alte legi” [articolul 36 alineatele (1) și (2) din PIPA] (102). La primirea unei cereri, operatorul trebuie să investigheze chestiunea fără întârziere, să ia măsurile necesare (103) și să informeze persoana vizată în acest sens în termen de 10 zile; în cazul în care nu se poate da curs cererii, această cerință de notificare va acoperi motivele refuzului și modalitățile de exercitare a unei căi de atac [a se vedea articolul 36 alineatul (4) din PIPA coroborat cu articolul 43 alineatul (3) din Decretul de punerea în aplicare a PIPA] (104).

(78)

În cele din urmă, persoanele vizate au dreptul la suspendarea prelucrării datelor lor cu caracter personal, fără întârziere (105), cu excepția cazului în care se aplică una dintre excepțiile enumerate [articolul 37 alineatele (1) și (2) din PIPA] (106). Operatorul poate refuza cererea (1) în cazul în care acest lucru este autorizat în mod expres prin lege sau este necesar („inevitabil”) pentru a se conforma obligațiilor legale, (2) în cazul în care suspendarea ar putea aduce prejudicii vieții sau integrității fizice a unei terțe părți ori o încălcare nejustificată a drepturilor de proprietate și a altor interese ale unei alte persoane, (3) în cazul în care unei instituții publice i-ar fi imposibil să își îndeplinească funcția prevăzută de lege fără prelucrarea informațiilor sau (4) în cazul în care persoana vizată nu reziliază în mod expres contractul de bază cu operatorul, chiar dacă executarea contractului ar fi imposibilă fără prelucrarea datelor respective. În acest caz, operatorul trebuie să informeze fără întârziere persoana vizată cu privire la motivele refuzului și la căile de atac [articolul 37 alineatul (2) din PIPA coroborat cu articolul 44 alineatul (2) din decretul PIPA]. În conformitate cu articolul 37 alineatul (4) din PIPA, operatorul trebuie, fără întârziere, „să ia măsurile necesare, inclusiv distrugerea informațiilor cu caracter personal relevante” atunci când se conformează cererii de suspendare (107).

(79)

Dreptul la suspendare se aplică, de asemenea, în cazul în care datele cu caracter personal sunt utilizate în scopuri de marketing direct, și anume pentru a promova bunuri sau servicii ori pentru a solicita achiziționarea acestora. În plus, o astfel de prelucrare ulterioară necesită, în general, consimțământul specific (suplimentar) al persoanei vizate [a se vedea articolul 15 alineatul (1) punctul 1 și articolul 17 alineatul (2) punctul 1 din PIPA] (108). Atunci când solicită acest consimțământ, operatorul trebuie să informeze persoana vizată în special cu privire la utilizarea preconizată a datelor în scopuri de marketing direct – și anume faptul că poate fi contactată pentru a promova bunuri sau servicii sau pentru a solicita achiziționarea acestora – într-un „mod care poate fi recunoscut în mod explicit” [articolul 22 alineatele (2) și (4) din PIPA coroborat cu articolul 17 alineatul (2) punctul 1 din Decretul de punere în aplicare a PIPA].

(80)

Pentru a facilita exercitarea drepturilor individuale, operatorul trebuie să stabilească proceduri specifice și să le facă publice [articolul 38 alineatul (4) din PIPA] (109). Acestea includ proceduri pentru formularea de obiecții împotriva refuzului unei cereri [articolul 38 alineatul (5) din PIPA]. Operatorul trebuie să se asigure că procedura de exercitare a drepturilor este „ușor de utilizat de către persoanele vizate” și nu este mai dificilă decât cea pentru colectarea datelor cu caracter personal; aceasta include, de asemenea, obligația de a furniza informații cu privire la procedură pe site-ul său internet [articolul 41 alineatul (2), articolul 43 alineatul (1) și articolul 44 alineatul (1) din Decretul de punere în aplicare a PIPA] (110). Persoanele fizice pot autoriza un reprezentant să depună o astfel de cerere [articolul 38 alineatul (1) din PIPA coroborat cu articolul 45 din Decretul de punere în aplicare a PIPA]. Deși operatorul are dreptul de a impune o taxă (și, în cazul unei cereri de transmitere a unor copii ale datelor cu caracter personal, o taxă poștală), suma trebuie să fie stabilită „în cadrul cheltuielilor efective necesare pentru prelucrarea [cererii]”; nu se poate impune nicio taxă (sau taxă poștală) în cazul în care necesitatea depunerii cererii este atribuită operatorului [articolul 38 alineatul (3) din PIPA coroborat cu articolul 47 din Decretul de punere în aplicare a PIPA].

(81)

PIPA și decretul de punere în aplicare a sa nu conțin dispoziții generale care abordează chestiunea deciziilor care afectează persoana vizată și sunt bazate exclusiv pe prelucrarea automată a datelor cu caracter personal. Cu toate acestea, în ceea ce privește datele cu caracter personal care au fost colectate în Uniune, orice decizie bazată pe prelucrarea automată va fi luată de regulă de către operatorul din Uniune (care are o relație directă cu persoana vizată în cauză) și, prin urmare, intră sub incidența Regulamentului (UE) 2016/679 (111). Aceasta include scenarii de transfer în care prelucrarea este efectuată de un operator economic din străinătate (de exemplu, din Coreea) care acționează ca agent (operator) în numele operatorului din Uniune (sau în calitate de subcontractant care acționează în numele persoanei împuternicite de operator din Uniune, care a primit datele de la un operator din Uniune care le-a colectat), care, pe această bază, ia decizia respectivă. Prin urmare, este puțin probabil ca lipsa din PIPA a unor norme specifice privind procesul decizional automatizat să afecteze nivelul de protecție a datelor cu caracter personal transferate în temeiul prezentei decizii.

(82)

În mod excepțional, dispozițiile privind transparența la cerere (articolul 20) și drepturile individuale (articolele 35-37), precum și cerința de notificare individuală pentru furnizorii de servicii din domeniul informațiilor și comunicațiilor (articolul 39-8 din PIPA) nu se aplică în ceea ce privește informațiile pseudonimizate, atunci când acestea sunt prelucrate în scopuri statistice, de cercetare științifică sau de arhivare în interes public (articolul 28-7 din PIPA) (112). În conformitate cu abordarea de la articolul 11 alineatul (2) (coroborat cu considerentul 57) din Regulamentul (UE) 2016/679, acest lucru este justificat de faptul că, pentru a asigura transparența sau pentru a acorda drepturi individuale, operatorul ar trebui să identifice dacă datele (și, în caz afirmativ, care anume) sunt legate de persoana fizică ce formulează cererea, fapt care este interzis în mod expres în temeiul PIPA [articolul 28-5 alineatul (1) din PIPA]. În plus, în cazul în care o astfel de reidentificare implică anularea pseudonimizării pentru întregul set de date (pseudonimizate), aceasta ar expune informațiile cu caracter personal ale tuturor celorlalte persoane în cauză la riscuri crescute. Deși Regulamentul (UE) 2016/679 se referă la situațiile în care reidentificarea este practic imposibilă, PIPA adoptă o abordare mai strictă, interzicând în mod expres reidentificarea în toate situațiile în care sunt prelucrate informații pseudonimizate.

(83)

Sistemul coreean, astfel cum este descris în considerentele 74-82, conține, prin urmare, norme privind drepturile persoanelor vizate care oferă un nivel de protecție în esență echivalent cu cel prevăzut în Regulamentul (UE) 2016/679.

(84)

Nivelul de protecție conferit datelor cu caracter personal transferate din Uniune către operatorii din Republica Coreea nu trebuie să fie subminat de transferul suplimentar al acestor date către destinatari dintr-o țară terță.

(85)

Astfel de „transferuri ulterioare” constituie transferuri internaționale din Republica Coreea din perspectiva operatorului coreean. În acest sens, PIPA face distincție între externalizarea prelucrării către un destinatar al externalizării (și anume o persoană împuternicită de operator) și furnizarea de date cu caracter personal către terți (113).

(86)

În primul rând, atunci când prelucrarea datelor cu caracter personal este externalizată către o entitate situată într-o țară terță, operatorul coreean trebuie să asigure conformitatea cu dispozițiile PIPA privind externalizarea (articolul 26 din PIPA). Aceasta include instituirea unui instrument obligatoriu din punct de vedere juridic care, printre altele, să limiteze prelucrarea de către destinatarul externalizării la scopul activității externalizate, să impună garanții tehnice și de gestionare și să limiteze subcontractarea serviciilor de prelucrare a datelor [a se vedea articolul 26 alineatul (1) din PIPA]; și publicarea de informații privind activitățile externalizate. În plus, operatorul are obligația de a-l „educa” pe destinatarul externalizării cu privire la măsurile de securitate necesare și de a supraveghea, inclusiv prin inspecții, respectarea tuturor obligațiilor operatorului în temeiul PIPA (114), precum și a contractului de externalizare.

(87)

În cazul în care destinatarul externalizării cauzează prejudicii prin prelucrarea datelor cu caracter personal cu încălcarea PIPA, acest lucru va fi atribuit operatorului în scopuri legate de răspundere, cum ar fi cazul angajaților operatorului [articolul 26 alineatul (6) din PIPA]. Prin urmare, operatorul coreean rămâne responsabil pentru datele cu caracter personal care au fost externalizate și trebuie să se asigure că persoana împuternicită de operator din străinătate prelucrează informațiile în conformitate cu PIPA. În cazul în care destinatarul externalizării prelucrează informațiile cu încălcarea PIPA, operatorul coreean poate fi tras la răspundere pentru nerespectarea obligației sale de a asigura respectarea PIPA, de exemplu prin supravegherea destinatarului externalizării. Garanțiile incluse în contractul de externalizare și responsabilitatea operatorului coreean pentru acțiunile destinatarului externalizării asigură continuitatea protecției atunci când prelucrarea datelor cu caracter personal este externalizată către o entitate din afara Coreei.

(88)

În al doilea rând, operatorii coreeni pot furniza date cu caracter personal unui terț situat în afara Coreei. Deși PIPA include o serie de temeiuri juridice care permit furnizarea către terți în general, în cazul în care terțul se află în afara Coreei, operatorul trebuie, în principiu (115), să obțină consimțământul persoanei vizate (116) după ce a furnizat persoanei vizate informații privind (1) tipul de date cu caracter personal, (2) destinatarul datelor cu caracter personal, (3) scopul transferului în sensul scopului prelucrării urmărit de destinatar, (4) perioada de păstrare pentru prelucrarea de către destinatar, precum și (5) faptul că persoana vizată poate refuza consimțământul [articolul 17 alineatele (2) și (3) din PIPA]. Notificarea nr. 2021-5, în secțiunea sa privind transparența (a se vedea considerentul 70), impune ca persoanele fizice să fie informate cu privire la țara terță în care vor fi furnizate datele lor. Acest lucru asigură faptul că persoanele vizate din Uniune vor putea lua o decizie în deplină cunoștință de cauză cu privire la acordarea sau neacordarea consimțământului pentru o furnizare în străinătate. În plus, operatorul nu trebuie să încheie un contract cu beneficiarul terț cu încălcarea PIPA și, prin urmare, contractul nu trebuie să conțină obligații care ar contrazice cerințele impuse de PIPA operatorului (117).

(89)

Fără consimțământul persoanei în cauză, datele cu caracter personal pot fi furnizate unui terț (în străinătate) dacă scopul divulgării rămâne „în domeniul de aplicare asociat în mod rezonabil” scopului inițial al colectării [articolul 17 alineatul (4) din PIPA; a se vedea considerentul 36]. Cu toate acestea, atunci când decide dacă să divulge (sau să nu divulge) date cu caracter personal pentru un scop „asociat”, operatorul trebuie să ia în considerare dacă divulgarea generează dezavantaje pentru persoana în cauză și dacă au fost luate măsurile de securitate necesare (cum ar fi criptarea). Având în vedere că țara terță către care sunt transferate datele cu caracter personal nu poate oferi măsuri de protecție similare celor prevăzute în temeiul PIPA, secțiunea 2 din Notificarea nr. 2021-5 recunoaște că astfel de dezavantaje pot apărea și pot fi evitate numai dacă operatorul coreean și destinatarul din străinătate, prin intermediul unui instrument obligatoriu din punct de vedere juridic (cum ar fi un contract), asigură un nivel de protecție echivalent cu PIPA, inclusiv în ceea ce privește drepturile persoanelor vizate.

(90)

În cazul divulgării „în afara scopului”, și anume al furnizării de date unui terț cu un scop nou (fără legătură cu cel inițial), care poate avea loc numai pe baza unuia dintre motivele prevăzute la articolul 18 alineatul (2) din PIPA, astfel cum se descrie în considerentul 39, se aplică norme speciale. Totuși, chiar și în aceste condiții, furnizarea către terți este exclusă în cazul în care este de natură să „aducă atingere în mod abuziv” intereselor persoanei vizate sau ale unui terț, ceea ce necesită o echilibrare a intereselor. În plus, în temeiul articolului 18 alineatul (5) din PIPA, operatorul trebuie să aplice garanții suplimentare, care pot include o solicitare adresată terțului de a restricționa scopul și metoda de prelucrare sau de a institui măsuri de securitate specifice. Totodată, având în vedere că țara terță către care sunt transferate datele cu caracter personal nu poate oferi măsuri de protecție similare celor prevăzute în temeiul PIPA, secțiunea 2 din Notificarea nr. 2021-5 recunoaște că o asemenea „încălcare neloială” a intereselor persoanei fizice în cauză sau ale unui terț poate surveni și poate fi evitată numai dacă operatorul coreean și destinatarul din străinătate, prin intermediul unui instrument obligatoriu din punct de vedere juridic (cum ar fi un contract), asigură un nivel de protecție echivalent cu PIPA, inclusiv în ceea ce privește drepturile persoanelor vizate.

(91)

Prin urmare, normele din considerentele 86-90 asigură continuitatea protecției atunci când datele cu caracter personal sunt transferate ulterior (către un „destinatar al exernalizării” sau către un terț) din Republica Coreea într-un mod care este în esență echivalent cu dispozițiile Regulamentului (UE) 2016/679.

(92)

Conform principiului responsabilității, entităților care prelucrează date li se solicită să pună în aplicare măsuri tehnice și organizatorice adecvate pentru a-și respecta în mod efectiv obligațiile în materie de protecție a datelor și pentru a putea demonstra această conformitate, în special autorității de supraveghere competente.

(93)

În conformitate cu articolul 3 alineatele (6) și (8) din PIPA, operatorul trebuie să prelucreze datele cu caracter personal „într-un mod care să reducă la minimum posibilitatea de a se încălca” dreptul la viață privată al persoanei vizate și va depune eforturi pentru a obține încrederea persoanei vizate prin respectarea și îndeplinirea sarcinilor și a responsabilităților prevăzute în PIPA și în alte legi conexe. Aceasta include stabilirea unui plan de gestionare intern (articolul 29 din PIPA), precum și formarea și supravegherea corespunzătoare a personalului (articolul 28 din PIPA).

(94)

Ca mijloc de asigurare a responsabilității, articolul 31 din PIPA coroborat cu articolul 32 din Decretul de punere în aplicare a PIPA creează obligația operatorilor de a desemna un responsabil cu protecția vieții private care „preia în mod cuprinzător sarcina prelucrării informațiilor cu caracter personal”. În special, un astfel de responsabil cu protecția vieții private are sarcina de a îndeplini următoarele funcții: (1) stabilirea și punerea în aplicare a unui plan de protecție a datelor cu caracter personal și elaborarea politicii de confidențialitate, (2) efectuarea de anchete periodice privind stadiul și practicile de prelucrare a datelor cu caracter personal, în vederea remedierii oricăror deficiențe, (3) tratarea plângerilor și compensarea daunelor, (4) instituirea unui sistem de control intern pentru a preveni divulgarea, abuzul sau utilizarea necorespunzătoare a datelor cu caracter personal, (5) pregătirea și punerea în aplicare a unui program educațional, (6) protejarea, controlul și gestionarea dosarelor cu date cu caracter personal și (7) distrugerea datelor cu caracter personal după ce scopul prelucrării a fost atins sau perioada de păstrare a datelor a expirat. În îndeplinirea acestor sarcini, responsabilul cu protecția vieții private poate verifica stadiul prelucrării datelor cu caracter personal și sistemele conexe și poate solicita informații în acest sens [articolul 31 alineatul (3) din PIPA]. Dacă responsabilul cu protecția vieții private ia cunoștință de o încălcare a PIPA sau a altor legi relevante privind protecția datelor, acesta va lua imediat măsuri de remediere și va raporta aceste măsuri conducerii („șefului”) operatorului, dacă este cazul [articolul 31 alineatul (4) din PIPA]. În conformitate cu articolul 31 alineatul (5) din PIPA, responsabilul cu protecția vieții private nu trebuie să se confrunte cu dezavantaje nejustificate ca urmare a exercitării acestor funcții.

(95)

În plus, operatorii trebuie să depună eforturi în mod proactiv pentru a efectua o evaluare a impactului asupra vieții private în cazul în care operarea dosarelor cu date cu caracter personal implică un risc la adresa vieții private [articolul 33 alineatul (8) din PIPA]. În temeiul articolului 33 alineatele (1) și (2) din PIPA coroborate cu articolele 35, 36 și 38 din Decretul de punere în aplicare a PIPA, factori precum tipul și natura datelor prelucrate (în special dacă acestea constituie informații sensibile), volumul acestora, perioada de păstrare și probabilitatea încălcării securității datelor vor fi relevanți pentru evaluarea gradului de risc pentru drepturile persoanelor vizate. Scopul evaluării impactului asupra vieții private este de a asigura analizarea factorilor de risc pentru viața privată, precum și a oricăror măsuri de siguranță sau a altor contramăsuri, precum și de a indica aspectele care necesită îmbunătățiri [a se vedea articolul 33 alineatul (1) din PIPA coroborat cu articolul 38 din Decretul de punere în aplicare a PIPA].

(96)

Instituțiile publice au obligația de a efectua o evaluare a impactului atunci când prelucrează anumite dosare cu date cu caracter personal care prezintă un risc mai ridicat de posibile încălcări ale vieții private [articolul 33 alineatul (1) din PIPA]. În conformitate cu articolul 35 din Decretul de punere în aplicare a PIPA, acest lucru este valabil, printre altele, pentru dosarele care conțin informații sensibile privind cel puțin 50 000 de persoane vizate, dosarele care vor fi corelate cu alte dosare și care, ca urmare a acestui fapt, vor conține informații privind cel puțin 500 000 de persoane vizate sau dosarele care conțin informații privind cel puțin un milion de persoane vizate. Rezultatul unei evaluări a impactului efectuate de o instituție publică trebuie comunicat PIPC [articolul 33 alineatul (1) din PIPA], care poate emite un aviz [articolul 33 alineatul (3) din PIPA].

(97)

În cele din urmă, articolul 13 din PIPA prevede că PIPC stabilește politicile necesare pentru promovarea și sprijinirea „activităților de autoreglementare a protecției datelor” de către operatori, printre altele prin educația privind protecția datelor, promovarea și sprijinirea organizațiilor implicate în protecția datelor, precum și prin sprijinirea operatorilor în stabilirea și punerea în aplicare a normelor de autoreglementare. În plus, acesta introduce și facilitează sistemul de marcare cu ePRIVACY. În acest sens, articolul 32-2 din PIPA coroborat cu articolele 34-2 - 34-8 din Decretul de punere în aplicare a PIPA prevede posibilitatea de a certifica faptul că sistemul (sistemele) de prelucrare și protecție a datelor cu caracter personal al(e) unui operator respectă cerințele PIPA. În conformitate cu aceste norme, se poate acorda o certificare (118) (pentru o perioadă de 3 ani) dacă operatorul îndeplinește criteriile de certificare stabilite de PIPC, inclusiv instituirea unor garanții de gestionare, tehnice și fizice pentru protecția datelor cu caracter personal (119). PIPC trebuie să examineze sistemele operatorului care sunt relevante pentru certificare cel puțin o dată pe an, pentru menținerea eficacității, ceea ce poate duce la revocarea certificării [articolul 32 alineatul (4) din PIPA coroborat cu articolul 34-5 din Decretul de punere în aplicare a PIPA; așa-numita „gestionare subsecventă”].

(98)

Prin urmare, cadrul coreean pune în aplicare principiul responsabilității într-un mod care asigură un nivel de protecție în esență echivalent cu cel prevăzut în Regulamentul (UE) 2016/679, inclusiv prin prevederea unor mecanisme diferite pentru a asigura și a demonstra conformitatea cu PIPA.

(99)

Astfel cum se descrie în considerentul 13, CIA stabilește norme specifice pentru prelucrarea informațiilor cu caracter personal privind creditele de către operatorii comerciali. Prin urmare, atunci când prelucrează informații cu caracter personal privind creditele, operatorii comerciali trebuie să respecte cerințele generale ale PIPA, cu excepția cazului în care CIA conține norme mai specifice. Acesta va fi cazul, de exemplu, atunci când prelucrează informații referitoare la un card de credit sau la un cont bancar în contextul unei tranzacții comerciale cu o persoană fizică. Fiind o lege sectorială ce vizează prelucrarea informațiilor privind creditele (atât cu caracter personal, cât și fără caracter personal), CIA nu numai că impune garanții specifice în materie de protecție a datelor (de exemplu în ceea ce privește transparența și securitatea), dar și reglementează într-un mod mai general, circumstanțele specifice în care pot fi prelucrate informațiile cu caracter personal privind creditele. Acest lucru se reflectă, în special, în cerințele detaliate privind utilizarea, furnizarea de date către un terț și păstrarea unor astfel de date.

(100)

La fel ca PIPA, CIA reflectă principiile legalității și proporționalității. În primul rând, ca cerință generală, articolul 15 alineatul (1) din CIA permite colectarea de informații cu caracter personal privind creditele numai prin mijloace rezonabile și echitabile și în cea mai mică măsură necesară pentru a servi unui scop determinat, în conformitate cu articolul 3 alineatele (1)-(2) din PIPA. În al doilea rând, CIA reglementează în mod specific legalitatea prelucrării informațiilor cu caracter personal privind creditele, limitând colectarea, utilizarea și furnizarea acestora unui terț și asociind în general aceste activități de prelucrare de cerința consimțământului persoanei în cauză.

(101)

Informațiile cu caracter personal privind creditele pot fi colectate pe baza unuia dintre motivele furnizate de PIPA sau pe baza unor motive specifice enunțate în CIA. Având în vedere că articolul 45 din Regulamentul (UE) 2016/679 presupune un transfer de date cu caracter personal de către un operator sau o persoană împuternicită de operator din Uniune, dar nu se referă la colectarea directă (de exemplu de la persoana fizică sau de pe un site web) de către un operator din Coreea, numai consimțământul și motivele prevăzute de PIPA sunt relevante pentru prezenta decizie. Printre aceste motive se numără, în special, situațiile în care transferul este necesar pentru executarea unui contract cu persoana în cauză sau pentru interesele legitime ale operatorului coreean [articolul 15 alineatul (1) punctele 4 și 6 din PIPA] (120).

(102)

Odată colectate, informațiile cu caracter personal privind creditele pot fi utilizate (1) în scopul inițial pentru care au fost furnizate (direct) de către persoana respectivă (121); (2) într-un scop compatibil cu scopul inițial al colectării (122); (3) pentru a stabili dacă să stabilească sau să mențină o relație comercială solicitată de persoana respectivă (123); (4) în scopuri statistice, de cercetare și arhivare în interes public (124), dacă informațiile sunt pseudonimizate (125); (5) în cazul în care se obține un nou consimțământ sau (6) în conformitate cu legea.

(103)

În cazul în care un operator comercial intenționează să divulge unui terț informații cu caracter personal privind creditele, acesta trebuie să obțină consimțământul persoanei în cauză (126) după ce a informat-o cu privire la destinatarul datelor, la scopul prelucrării de către destinatar, la detaliile privind datele care urmează a fi furnizate, la perioada de stocare de către destinatar și la dreptul de a refuza consimțământul [articolul 32 alineatul (1) din CIA și articolul 28 alineatul (2) din Decretul de punere în aplicare a CIA] (127). Această cerință privind consimțământul nu se aplică în situații specifice, și anume în cazul în care informațiile cu caracter personal privind creditele sunt divulgate (128): (1) unui destinatar al externalizării în scopuri de externalizare (129); (2) unui terț în cazul unui transfer, al unei divizări sau fuziuni de întreprinderi; (3) în scopuri statistice, de cercetare și arhivare în interes public, dacă informațiile sunt pseudonimizate; (4) într-un scop compatibil cu scopul inițial al colectării; (5) unui terț care utilizează informațiile pentru a încasa o datorie a persoanei în cauză (130); (6) pentru a se conforma unei hotărâri judecătorești; (7) unui procuror/agent de poliție judiciară într-o situație de urgență în care viața persoanei este în pericol sau în care este de așteptat să sufere vătămări corporale și nu este timp pentru emiterea unui mandat judecătoresc (131); (8) autorităților fiscale competente în vederea respectării legislației fiscale; sau (9) în conformitate cu alte legi. În cazul divulgării bazate pe unul dintre aceste motive, persoana vizată trebuie să fie informată în prealabil în acest sens [articolul 32 alineatul (7) din CIA].

(104)

De asemenea, CIA reglementează în mod specific durata prelucrării informațiilor cu caracter personal privind creditele pe baza unuia dintre aceste motive de utilizare sau furnizare către un terț după încetarea relației comerciale cu persoana respectivă (132). Numai informațiile necesare pentru a stabili sau a menține această relație pot fi păstrate, sub rezerva unor garanții suplimentare (acestea trebuie să fie păstrate separat de informațiile privind creditele care se referă la persoane cu care există o relație comercială în curs, protejate prin măsuri de securitate specifice și accesibile numai persoanelor autorizate) (133). Toate celelalte date trebuie șterse [articolul 17-2 alineatul (1) punctul 2 din Decretul de punere în aplicare a CIA]. Pentru a stabili care date au fost necesare pentru relația comercială, trebuie luați în considerare diferiți factori, inclusiv dacă ar fi fost posibil ca relația să se stabilească fără datele respective și dacă aceasta privește în mod direct bunurile sau serviciile furnizate persoanei respective [articolul 17-2 alineatul (2) din Decretul de punere în aplicare a CIA].

(105)

Chiar și în cazurile în care informațiile cu caracter personal privind creditele pot fi păstrate, în principiu, după încheierea relației comerciale, acestea trebuie șterse în termen de trei luni de la atingerea scopului ulterior al prelucrării (134) sau, în orice caz, după cinci ani (articolul 20-2 din CIA). Într-un număr limitat de situații, informațiile cu caracter personal privind creditele pot fi păstrate pentru o perioadă mai mare de cinci ani, în special dacă acest lucru este necesar pentru a se conforma unei obligații legale; atunci când sunt necesare pentru interesele vitale privind viața, integritatea fizică sau bunurile unei persoane; pentru arhivarea informațiilor pseudonimizate (care au fost utilizate în scopuri de cercetare științifică, statistici sau arhivare în interes public); sau în scopuri legate de asigurări (în special pentru plata asigurărilor sau pentru prevenirea fraudei în domeniul asigurărilor) (135). În aceste cazuri excepționale, se aplică garanții specifice [cum ar fi notificarea persoanei cu privire la utilizarea ulterioară, separarea informațiilor păstrate de informațiile care se referă la persoane cu care există încă o relație comercială, limitarea drepturilor de acces; a se vedea articolul 17-2 alineatele (1)-(2) din Decretul de punere în aplicare a CIA].

(106)

De asemenea, CIA specifică principiile exactității și calității datelor, impunând ca informațiile cu caracter personal privind creditele să fie „înregistrate, modificate și gestionate” pentru a le menține exacte și actualizate [articolul 18 alineatul (1) CIA și articolul 15 alineatul (3) din Decretul de punere în aplicare a CIA] (136). Atunci când furnizează informații cu privire la credite altor entități (cum ar fi agențiile de rating de credit), operatorii comerciali au, de asemenea, obligația specifică să verifice exactitatea informațiilor, pentru a se asigura că destinatarul înregistrează și gestionează numai informații exacte [articolul 15 alineatul (1) din Decretul de punere în aplicare a CIA, coroborat cu articolul 18 alineatul (1) din CIA]. La un nivel mai general, CIA prevede obligația de păstrare a unor evidențe privind colectarea, utilizarea, divulgarea de către terți și distrugerea informațiilor cu caracter personal privind creditele [articolul 20 alineatul (2) din CIA] (137).

(107)

În plus, prelucrarea informațiilor cu caracter personal privind creditele face obiectul unor cerințe specifice în ceea ce privește securitatea datelor. În special, CIA impune punerea în aplicare a unor măsuri tehnologice, fizice și organizatorice pentru a preveni accesul ilegal la sistemele informatice, precum și modificarea, distrugerea sau orice alt risc pentru datele prelucrate (de exemplu, prin intermediul controalelor de acces; a se vedea articolul 19 din CIA și articolul 16 din Decretul de punere în aplicare a CIA). În plus, atunci când are loc un schimb de informații cu caracter personal privind creditele cu un terț, trebuie încheiat un acord care să prevadă măsuri de securitate specifice [articolul 19 alineatul (2) din CIA]. În cazul în care are loc o încălcare a informațiilor cu caracter personal privind creditele, trebuie luate măsuri pentru a reduce la minimum orice prejudiciu, iar persoanele în cauză trebuie informate fără întârziere [articolul 39-4 alineatele (1)-(2) din CIA]. În plus, PIPC trebuie să fie informat cu privire la notificarea transmisă persoanelor fizice și la măsurile care au fost puse în aplicare [articolul 39-4 alineatul (4) din CIA].

(108)

De asemenea, CIA prevede obligații specifice de transparență la obținerea consimțământului pentru utilizarea sau furnizarea de informații cu caracter personal privind creditele [articolul 32 alineatul (4) și articolul 34-2 din CIA și articolul 30-3 din Decretul de punere în aplicare a CIA] și, mai general, înainte de a furniza informații unui terț [articolul 32 alineatul (7) din CIA] (138). În plus, persoanele fizice au dreptul de a obține, la cerere, informații cu privire la utilizarea și furnizarea informațiilor lor privind creditele către terți în cei trei ani anteriori cererii (inclusiv scopul și datele unei astfel de utilizări/furnizări) (139).

(109)

În temeiul CIA, persoanele fizice au, de asemenea, drept de acces la informațiile lor personale privind creditele [articolul 38 alineatul (1) din CIA] și de a obține rectificarea datelor inexacte [articolul 38 alineatele (2)-(3) din CIA] (140). În plus, pe lângă dreptul general la ștergerea datelor în temeiul PIPA (a se vedea considerentul 77), CIA prevede un drept specific la ștergerea informațiilor cu caracter personal privind creditele care au fost păstrate un timp mai îndelungat decât perioadele de păstrare menționate în considerentul 104, și anume cinci ani (pentru informațiile cu caracter personal privind creditele care au fost necesare pentru stabilirea sau menținerea unei relații comerciale) sau trei luni (pentru alte tipuri de informații cu caracter personal privind creditele) (141). În mod excepțional, o cerere de ștergere poate fi refuzată în cazul în care este necesară o păstrare ulterioară în circumstanțele descrise în considerentul 105. În cazul în care o persoană solicită ștergerea, dar se aplică una dintre excepții, trebuie aplicate garanții specifice informațiilor privind creditele în cauză [articolul 38-3 alineatul (3) din CIA și articolul 33-3 din Decretul de punere în aplicare a CIA]. De exemplu, informațiile trebuie păstrate separat de alte informații, pot fi accesate numai de către o persoană autorizată și trebuie să facă obiectul unor măsuri de securitate specifice.

(110)

În plus față de drepturile menționate în considerentul 109, CIA le garantează persoanelor fizice dreptul de a solicita unui operator să înceteze să le contacteze în scopuri de marketing direct [articolul 37 alineatul (2) din lege] și dreptul la portabilitatea datelor. În privința acestuia din urmă, CIA le permite persoanelor fizice să solicite transmiterea informațiilor lor cu caracter personal privind creditele către ele însele sau către anumiți terți (cum ar fi instituțiile financiare și societățile de rating de credit). Informațiile cu caracter personal privind creditele trebuie prelucrate și transmise părții terțe într-un format care poate fi prelucrat de un dispozitiv de prelucrare a informațiilor (cum ar fi un calculator).

(111)

În măsura în care CIA conține norme specifice în comparație cu PIPA, Comisia consideră, prin urmare, că și aceste norme asigură un nivel de protecție în esență echivalent cu cel oferit de Regulamentul (UE) 2016/679.

(112)

Pentru a garanta în practică un nivel adecvat de protecție a datelor, ar trebui instituită o autoritate de supraveghere independentă care să aibă competența de a monitoriza și de a asigura respectarea normelor de protecție a datelor. Această autoritate ar trebui să acționeze cu deplină independență și imparțialitate în îndeplinirea sarcinilor sale și în exercitarea competențelor sale.

(113)

În Republica Coreea, autoritatea independentă însărcinată cu monitorizarea și punerea în aplicare a PIPA este PIPC. PIPC este alcătuită dintr-un președinte, un vicepreședinte și șapte comisari. Președintele și vicepreședintele sunt numiți de președintele statului la recomandarea prim-ministrului. Dintre comisari, doi sunt numiți de președintele statului la recomandarea președintelui comisiei, și cinci, la recomandarea Adunării Naționale [dintre care doi la recomandarea partidului politic din care face parte președintele statului și trei la recomandarea altor partide politice [articolul 7-2 alineatul (2) din PIPA], ceea ce ajută la evitarea unei situații de părtinire în procesul de numire) (142). Această procedură este în concordanță cu cerințele aplicabile numirii membrilor autorităților de protecție a datelor din Uniune [articolul 53 alineatul (1) din Regulamentul (UE) 2016/679]. În plus, toți comisarii trebuie să se abțină de la implicarea în orice activitate comercială care generează profit, de la activități politice și de la deținerea de funcții în administrația publică sau în Adunarea Națională [articolele 7-6 și 7-7 alineatul (1) punctul 3 din PIPA] (143). Toți comisarii fac obiectul unor norme specifice menite să împiedice participarea lor la deliberări în cazul unui posibil conflict de interese (articolul 7-11 din PIPA). PIPC este asistat de un secretariat (articolul 7-13) și poate înființa subcomisii (formate din trei comisari) pentru a trata încălcările minore și chestiunile recurente (articolul 7-12 din PIPA).

(114)

Fiecare membru al PIPC este numit pe trei ani și poate fi numit din nou o singură dată [articolul 7-4 alineatul (1) din PIPA]. Comisarii pot fi demiși numai în anumite circumstanțe, și anume dacă nu mai sunt în măsură să își exercite atribuțiile din cauza unei dizabilități mintale sau fizice pe termen lung, dacă încălcă legea sau în cazul unuia dintre motivele de revocare din funcție (144) (articolul 7-5 din PIPA). Acest lucru le oferă protecție instituțională în exercitarea funcțiilor lor.

(115)

La un nivel mai general, articolul 7 alineatul (1) din PIPA garantează în mod explicit independența PIPC, iar articolul 7-5 alineatul (2) din PIPA prevede obligația comisarilor de a-și îndeplini atribuțiile în mod independent, în conformitate cu legea și cu propria lor conștiință (145). Garanțiile instituționale și procedurale descrise, inclusiv în ceea ce privește numirea și demiterea membrilor săi, asigură faptul că PIPC acționează în deplină independență, fără influențe sau instrucțiuni externe. În plus, în calitate de agenție administrativă centrală, PIPC își propune anual propriul buget (care este revizuit de Ministerul Finanțelor ca parte a bugetului național general înainte de adoptarea de către Adunarea Națională) și este responsabilă cu gestionarea personalului propriu. PIPC are un buget curent de circa 35 de milioane EUR și are 154 de angajați (inclusiv 40 de angajați specializați în tehnologia informației și comunicațiilor, 32 de angajați specializați în investigații și 40 de experți juridici).

(116)

Sarcinile și competențele PIPC sunt prevăzute în principal la articolele 7-8 și 7-9, precum și la articolele 61-66 din PIPA (146). În special, sarcinile PIPC includ consilierea cu privire la actele cu putere de lege și normele administrative referitoare la protecția datelor, elaborarea de politici și orientări în materie de protecție a datelor, investigarea încălcărilor drepturilor individuale, tratarea plângerilor și medierea litigiilor, asigurarea respectării PIPA, asigurarea educării și a promovării în domeniul protecției datelor, precum și schimbul de informații și cooperarea cu autoritățile de protecție a datelor din țările terțe (147).

(117)

În temeiul articolului 68 din PIPA coroborat cu articolul 62 din Decretul de punere în aplicare a PIPA, anumite sarcini ale PIPC au fost delegate Agenției coreene pentru internet și securitate, și anume: (1) educația și relațiile publice, (2) formarea specialiștilor și elaborarea de criterii pentru evaluările impactului asupra vieții private, (3) tratarea cererilor de desemnare a unei așa-numite instituții de evaluare a impactului asupra vieții private, (4) tratarea cererilor de acces indirect la datele cu caracter personal deținute de autoritățile publice [articolul 35 alineatul (2) din PIPA] și (5) sarcina de a solicita materiale și de a efectua inspecții cu privire la plângerile primite prin așa-numitul Centru de intermediere telefonică pentru protecția vieții private. În contextul tratării plângerilor prin intermediul Centrului de intermediere telefonică pentru protecția vieții private, Agenția coreeană pentru internet și securitate transmite cazul către PIPC sau către parchet, în cazul în care constată că a avut loc o încălcare a legii. Posibilitatea de a depune o plângere la Centrul de intermediere telefonică pentru protecția vieții private nu împiedică persoanele fizice să depună în mod direct o plângere la PIPC sau să se adreseze PIPC în cazul în care consideră că plângerea lor nu a fost tratată în mod satisfăcător de către Agenția coreeană pentru internet și securitate.

(118)

În vederea asigurării conformității cu PIPA, legiuitorul a acordat PIPC atât competențe de investigare, cât și competențe de executare, variind de la recomandări la amenzi administrative. Aceste competențe sunt completate și de un regim de sancțiuni penale.

(119)

În ceea ce privește competențele de investigare, în cazul în care se suspectează sau s-a raportat o încălcare a PIPA ori în cazul în care este necesar pentru protecția drepturilor persoanelor vizate împotriva încălcărilor, PIPC poate efectua inspecții la fața locului și poate solicita toate materialele relevante (cum ar fi articole și documente) de la operatorii de date cu caracter personal (articolul 63 din PIPA coroborat cu articolul 60 din Decretul de punere în aplicare a PIPA) (148).

(120)

În ceea ce privește punerea în aplicare, în temeiul articolului 61 alineatul (2) din PIPA, PIPC poate oferi recomandări operatorilor de date cu privire la modalitățile în care pot îmbunătăți nivelul de protecție a datelor cu caracter personal pentru anumite activități de prelucrare. Operatorii de date trebuie să depună eforturi de bună credință pentru a pune în aplicare astfel de recomandări și au obligația de a informa PIPC cu privire la rezultat. În plus, în cazul în care există motive întemeiate să se creadă că a avut loc o încălcare a PIPA și că neluarea de măsuri este de natură să cauzeze prejudicii dificil de remediat, PIPC poate impune măsuri de remediere [articolul 64 alineatul (1) din PIPA] (149). Secțiunea 5 din Notificarea 2021-5 (anexa I) clarifică, cu efect obligatoriu, faptul că aceste condiții sunt îndeplinite în ceea ce privește încălcarea oricărei dispoziții PIPA care protejează drepturile la viață privată ale persoanelor fizice în ceea ce privește informațiile cu caracter personal (150). Printre măsurile pe care PIPC este abilitată să le ia se numără dispunerea încetării comportamentului care a cauzat încălcarea, suspendarea temporară a prelucrării datelor sau orice alte măsuri necesare. Nerespectarea unei măsuri de remediere poate conduce la impunerea unei sancțiuni sub unei forma unei amenzi cu o valoare maximă de 50 de milioane de woni [articolul 75 alineatul (2) punctul 13 din PIPA].

(121)

În ceea ce privește anumite autorități publice (cum ar fi Adunarea Națională, agențiile administrative centrale, organismele administrației locale și instanțele), articolul 64 alineatul (4) din PIPA prevede că PIPC poate „recomanda” oricare dintre măsurile de remediere menționate în considerentul 120 și că aceste autorități sunt obligate să respecte o astfel de recomandare, cu excepția cazului în care există circumstanțe extraordinare. În conformitate cu secțiunea 5 din Notificarea nr. 2021-5, aceasta se referă la circumstanțe de fapt sau de drept extraordinare de care PIPC nu a avut cunoștință atunci când a formulat recomandarea. Autoritatea publică în cauză poate invoca astfel de circumstanțe extraordinare numai dacă demonstrează în mod clar că nu a avut loc nicio încălcare, iar PIPC stabilește că situația nu este, într-adevăr, aceasta. În caz contrar, autoritatea publică trebuie să urmeze recomandarea PIPC și „să ia o măsură de remediere, inclusiv să oprească imediat acțiunea, și să compenseze daunele în cazul excepțional în care a fost totuși săvârșită o faptă ilegală”.

(122)

PIPC poate solicita, de asemenea, altor agenții administrative cu competențe specifice în temeiul legislației sectoriale (de exemplu în domeniul sănătății, al educației) să efectueze o investigație – pe cont propriu sau împreună cu PIPC – cu privire la (suspiciunile de) încălcări ale confidențialității de către operatorii care activează în aceste sectoare sub jurisdicția lor și să impună măsuri de remediere [articolul 63 alineatele (4)-(5) din PIPA]. În acest caz, PIPC stabilește temeiul, obiectul și domeniul de aplicare al investigației (151). La rândul său, agenția administrativă competentă trebuie să prezinte PIPC un plan de inspecție și să transmită PIPC rezultatul inspecției. PIPC poate recomanda luarea unei măsuri de remediere specifice, agenția competentă trebuind să depună toate eforturile pentru a o pune în aplicare. În orice caz, o astfel de solicitare nu limitează competența PIPC de a efectua propria investigație sau de a impune sancțiuni.

(123)

Pe lângă competențele sale de remediere, PIPC poate impune amenzi administrative cu valori cuprinse între 10 și 50 de milioane de woni pentru încălcări ale diferitelor cerințe ale PIPA (articolul 75 din PIPA) (152). Printre altele, aceasta include nerespectarea cerințelor privind legalitatea prelucrării, neluarea măsurilor de securitate necesare, nerespectarea obligației de a transmite o notificare persoanelor vizate în cazul unei încălcări a securității datelor, nerespectarea cerințelor privind subcontractarea serviciilor de prelucrare a datelor, neinstituirea și nepublicarea unei politici de confidențialitate, nedesemnarea unui responsabil cu protecția vieții private sau lipsa de acțiune la cererea persoanei vizate în exercitarea drepturilor sale individuale, precum și anumite încălcări procedurale (lipsa cooperării în cursul unei investigații). În cazul încălcării mai multor dispoziții ale PIPA de către același operator, se poate aplica o amendă pentru fiecare încălcare, iar la stabilirea nivelului amenzii se va lua în considerare numărul persoanelor afectate.

(124)

În plus, în cazul în care există motive întemeiate pentru a suspecta o încălcare a PIPA sau a oricăror alte „legi privind protecția datelor”, PIPC poate depune o plângere penală la agenția de investigare competentă [cum ar fi un procuror; a se vedea articolul 65 alineatul (1) din PIPA]. În plus, PIPC poate recomanda operatorului să ia măsuri disciplinare împotriva persoanei responsabile [inclusiv a managerului responsabil; a se vedea articolul 65 alineatul (2) din PIPA]. La primirea unei astfel de recomandări, operatorul trebuie să se conformeze (153) și să notifice PIPC în scris rezultatul (articolul 65 din PIPA coroborat cu articolul 58 din Decretul de punere în aplicare a PIPA).

(125)

În ceea ce privește recomandarea prevăzută la articolul 61, măsurile de remediere prevăzute la articolul 64, acuzarea sau recomandarea unei măsuri disciplinare prevăzută la articolul 65 și impunerea de amenzi administrative prevăzută la articolul 75 din PIPA, PIPC poate face publice faptele – și anume încălcarea, entitatea care a încălcat legea și măsura (măsurile) impusă (impuse) – prin publicarea acestora pe site-ul său web sau într-un cotidian național [articolul 66 din PIPA coroborat cu articolul 61 alineatul (1) din Decretul de punere în aplicare a PIPA] (154).

(126)

În cele din urmă, respectarea cerințelor privind protecția datelor din PIPA (precum și a altor „legi privind protecția datelor”) este susținută de un regim de sancțiuni penale. În acest sens, articolele 70-73 din PIPA conțin dispoziții privind sancțiunile care pot conduce fie la aplicarea unei amenzi (între 20 și 100 de milioane de woni), fie a unei pedepse cu închisoarea (pedeapsa maximă variind între 2 și 10 ani). Încălcările relevante includ, printre altele, utilizarea datelor cu caracter personal sau furnizarea unor astfel de date către o terță parte fără consimțământul necesar, prelucrarea de informații sensibile care contravin interdicției de la articolul 23 alineatul (1) din PIPA, nerespectarea cerințelor de siguranță aplicabile care au ca rezultat pierderea, furtul, divulgarea, falsificarea, modificarea sau deteriorarea datelor cu caracter personal, neluarea măsurilor necesare pentru corectarea, ștergerea sau suspendarea datelor cu caracter personal sau transferul ilegal de date cu caracter personal către o țară terță (155). În conformitate cu articolul 74 din PIPA, în fiecare dintre aceste cazuri, angajatul, agentul sau reprezentantul operatorului, precum și operatorul însuși sunt răspunzători (156).

(127)

Pe lângă sancțiunile penale prevăzute în PIPA, utilizarea abuzivă a datelor cu caracter personal poate constitui, de asemenea, o infracțiune în temeiul Codului penal. Acest lucru este valabil în special în ceea ce privește încălcarea secretului corespondenței, documentelor sau înregistrărilor electronice (articolul 316), divulgarea informațiilor care fac obiectul secretului profesional (articolul 317), frauda comisă cu ajutorul calculatoarelor (articolul 347-2), precum și deturnarea de fonduri și abuzul de încredere (articolul 355).

(128)

Prin urmare, sistemul coreean combină diferite tipuri de sancțiuni, de la măsuri de remediere și amenzi administrative până la sancțiuni penale, care pot avea un efect disuasiv deosebit de puternic asupra operatorilor și a persoanelor care prelucrează datele. Imediat după înființarea sa în 2020, PIPC a început să facă uz de competențele sale. Raportul anual pe 2021 al PIPC arată că PIPC a emis deja o serie de recomandări, amenzi administrative și ordine de remediere, atât împotriva sectorului public (aproximativ 34 de autorități publice), cât și împotriva operatorilor privați (aproximativ 140 de societăți) (157). Printre cazurile remarcabile se numără, de exemplu, impunerea unei amenzi de 6,7 miliarde de woni în decembrie 2020 unei societăți pentru încălcarea diferitelor dispoziții ale PIPA (inclusiv ale cerințelor privind securitatea, consimțământul pentru furnizarea către terți și transparența) (158) și o amendă de 103,3 milioane de woni în aprilie 2021, unei societăți din domeniul tehnologiei IA (pentru încălcarea, printre alte dispoziții, a normelor privind legalitatea prelucrării, în special privind consimțământul, și prelucrarea informațiilor pseudonimizate) (159). În august 2021, PIPC a finalizat o altă investigație asupra activităților a trei societăți, care a dus la măsuri de remediere și la impunerea unor amenzi de până la 6,47 miliarde de woni (printre altele, pentru că nu au informat persoanele fizice cu privire la divulgarea datelor cu caracter personal către terți, inclusiv transferurile către țări terțe) (160). De asemenea, deja înainte de recenta reformă, Coreea de Sud avea un istoric solid în ceea ce privește aplicarea legii, autoritățile responsabile făcând uz de întreaga gamă de acțiuni de asigurare a respectării legislației, inclusiv amenzi administrative, măsuri de remediere și acțiuni de tipul denunțării și partajării („naming and sharing”) în legătură cu numeroși operatori, inclusiv cu furnizori de servicii de comunicații (Comisia pentru comunicații din Coreea), precum și cu operatori comerciali, instituții financiare, autorități publice, universități și spitale (Ministerul Internelor și al Siguranței) (161). Din aceste motive, Comisia concluzionează că sistemul coreean asigură aplicarea efectivă a normelor privind protecția datelor în practică, garantând astfel un nivel de protecție în esență echivalent cu cel prevăzut în Regulamentul (UE) 2016/679.

(129)

Pentru a asigura o protecție adecvată și, în special, asigurarea respectării drepturilor individuale, persoanei vizate ar trebui să i se ofere căi de atac administrative și judiciare eficace, inclusiv despăgubiri pentru daunele suferite.

(130)

Sistemul coreean le oferă persoanelor fizice diverse mecanisme pentru a-și exercita în mod efectiv drepturile și pentru a obține reparații (judiciare).

(131)

Într-o primă etapă, persoanele care consideră că le-au fost încălcate drepturile sau interesele în materie de protecție a datelor pot apela la operatorul relevant. În conformitate cu articolul 30 alineatul (1) punctul 5 din PIPA, politica de confidențialitate a operatorului include, printre altele, informații privind drepturile persoanelor vizate și modul de exercitare a acestora. În plus, acesta furnizează informații de contact – cum ar fi numele și numărul de telefon al responsabilului cu protecția vieții private sau al departamentului responsabil cu protecția datelor – pentru a permite depunerea plângerilor („reclamații”). În cadrul organizației operatorului, responsabilului cu protecția vieții private îi revine sarcina de a trata plângerile, de a adopta măsuri de remediere în caz de încălcare a dreptului la viață privată și de compensare a daunelor [articolul 31 alineatul (2) punctul 3 și alineatul (4) din PIPA]. Acestea din urmă sunt relevante, de exemplu, în cazul unei încălcări a securității datelor, întrucât operatorul trebuie să informeze persoana vizată cu privire la punctul (punctele) de contact pentru raportarea oricăror daune, printre altele [articolul 34 alineatul (1) punctul 5 din PIPA].

(132)

În plus, PIPA le oferă persoanelor fizice mai multe căi de atac împotriva operatorilor. În primul rând, orice persoană care consideră că drepturile sau interesele sale în materie de protecție a datelor au fost încălcate de către operator poate raporta o astfel de încălcare direct la PIPC și/sau una dintre instituțiile specializate desemnate de PIPC să primească și să trateze plângerile; printre acestea se numără Agenția coreeană pentru internet și securitate, care, în acest scop, gestionează un centru de intermediere telefonică privind informațiile cu caracter personal (așa-numitul „centru de intermediere telefonică privind protecția vieții private”) [articolul 62 alineatele (1) și (2) din PIPA coroborat cu articolul 59 din Decretul de punere în aplicare a PIPA]. Centrul de intermediere telefonică privind protecția vieții private investighează și stabilește încălcările, oferă consiliere în legătură cu prelucrarea datelor cu caracter personal [articolul 62 alineatul (3) din PIPA] și poate raporta încălcările către PIPC (dar nu poate lua el însuși măsuri de executare). Centrul de intermediere telefonică privind protecția vieții private primește un număr mare de plângeri/cereri (de exemplu, 177 457 în 2020, 159 255 în 2019 și 164 497 în 2018) (162). Potrivit informațiilor primite de la PIPC, PIPC însăși a primit aproximativ 1 000 de plângeri în perioada august 2020-august 2021. Ca răspuns la o plângere, PIPC poate emite o recomandare de îmbunătățiri, măsuri de remediere, o „acuzație” transmisă agenției de investigare competente (inclusiv unui procuror) sau recomandări de măsuri disciplinare (a se vedea articolele 61, 64 și 65 din PIPA). Deciziile PIPC (cum ar fi refuzul de a trata o plângere sau respingerea pe fond a unei plângeri) pot fi contestate în temeiul Legii privind contenciosul administrativ (163).

(133)

În al doilea rând, în conformitate cu articolele 40-50 din PIPA coroborate cu articolele 48-14 - 57 din Decretul de punere în aplicare a PIPA, persoanele vizate pot introduce acțiuni în fața unui așa-numit „comitet de mediere a litigiilor”, care este format din reprezentanți numiți de președintele PIPC din rândul membrilor serviciului executiv superior al PIPC și din persoane numite pe baza experienței lor în domeniul protecției datelor din rândul anumitor grupuri eligibile [a se vedea articolul 40 alineatele (2), (3) și (7) din PIPA, articolul 48-14 din Decretul de punere în aplicare a PIPA] (164). Posibilitatea de a recurge la mediere în fața Comitetului de mediere a litigiilor oferă o cale alternativă pentru a obține despăgubiri, dar nu limitează dreptul unei persoane de a apela în schimb la PIPC sau la instanțe. Pentru a examina cazul, Comitetul poate solicita părților la litigiu să furnizeze materialele necesare și/sau să invite martorii relevanți să se prezinte în fața sa (articolul 45 din PIPA). După clarificarea chestiunii, Comitetul pregătește un proiect de decizie privind medierea (165), asupra căruia trebuie să fie de acord majoritatea membrilor săi. Proiectul de decizie privind medierea poate include suspendarea încălcării, căile de atac necesare (inclusiv restituirea sau despăgubirea), precum și orice măsuri necesare pentru a preveni repetarea aceleiași (acelorași) încălcări sau a unei (unor) încălcări similare [articolul 47 alineatul (1) din PIPA]. În cazul în care ambele părți convin asupra deciziei de mediere, aceasta va avea același efect ca o soluționare judecătorească [articolul 47 alineatul (5) din PIPA]. Niciuna dintre părți nu este împiedicată să inițieze o acțiune în justiție în timp ce medierea este în curs, caz în care aceasta din urmă va fi suspendată [a se vedea articolul 48 alineatul (2) din PIPA] (166). Cifrele anuale emise de PIPC arată că persoanele fizice recurg în mod regulat la procedura în fața Comitetului de mediere a litigiilor, ceea ce duce adesea la un rezultat pozitiv. De exemplu, în 2020, Comitetul a tratat 126 de cazuri, dintre care 89 au fost soluționate în fața Comitetului (77 de cazuri în care părțile ajunseseră deja la un acord înainte de încheierea procesului de mediere și 12 cazuri în care părțile au acceptat propunerea de mediere), ceea ce a condus la o rată de mediere de 70,6 % (167). În mod similar, în 2019, Comitetul a tratat 139 de cazuri, dintre care 92 au fost soluționate, ceea ce a condus la o rată de mediere de 62,2 %.

(134)

Mai mult, în cazul în care există cel puțin 50 de persoane care suferă prejudicii sau ale căror drepturi în materie de protecție a datelor au fost încălcate în același mod sau în mod similar ca urmare a aceluiași (tip de) incident (168), o persoană vizată sau o organizație de protecție a datelor poate solicita medierea colectivă a litigiilor în numele unei astfel de colectivități; alte persoane vizate pot solicita să participe la o astfel de mediere, care va fi anunțată public de către Comitetul de mediere a litigiilor [articolul 49 alineatele (1)-(3) din PIPA coroborat cu articolele 52-54 din Decretul de punere în aplicare a PIPA] (169). Comitetul de mediere a litigiilor poate selecta cel puțin o persoană care reprezintă în modul cel mai adecvat interesul comun în calitate de parte reprezentativă [articolul 49 alineatul (4) din PIPA]. În cazul în care operatorul respinge medierea colectivă a litigiilor sau nu acceptă decizia de mediere, anumite organizații (170) pot introduce o acțiune colectivă în justiție pentru a remedia încălcarea (articolele 51-57 din PIPA).

(135)

În al treilea rând, în cazul unei încălcări a vieții private care aduce „prejudicii” persoanei în cauză, persoana vizată are dreptul la o cale de atac adecvată în cadrul unei „proceduri prompte și echitabile” (articolul 4 punctul 5 coroborat cu articolul 39 din PIPA) (171). Operatorul se poate dezincrimina dacă dovedește absența culpei (a „intenției frauduloase” sau a neglijenței). În cazul în care persoana vizată suferă prejudicii ca urmare a pierderii, furtului, divulgării, falsificării, modificării sau deteriorării datelor sale cu caracter personal, Curtea poate stabili o despăgubire de până la trei ori mai mare decât prejudiciul real, luând în considerare o serie de factori [articolul 39 alineatele (3) și (4) din PIPA]. În mod alternativ, persoana vizată poate solicita o „sumă rezonabilă” drept despăgubire, care să nu depășească 3 milioane de woni [articolul 39-2 alineatele (1) și (2) din PIPA]. În plus, în conformitate cu Codul civil, despăgubirea poate fi solicitată de la orice persoană „care cauzează pierderi sau provoacă vătămări unei alte persoane printr-o faptă ilicită, intenționată sau din neglijență” (172) sau de la o persoană „care a adus prejudicii persoanei, libertății sau reputației unei alte persoane sau care a cauzat suferințe psihice unei alte persoane” (173). O astfel de răspundere delictuală ca urmare a încălcării normelor de protecție a datelor a fost confirmată de Curtea Supremă (174). În cazul în care daunele au fost cauzate de o acțiune ilegală a unei autorități publice, se poate depune o cerere de despăgubire, de asemenea, în temeiul Legii privind despăgubirile acordate de stat (175). O cerere în temeiul Legii privind despăgubirile acordate de stat poate fi depusă la un „Consiliu pentru despăgubiri” specializat sau direct la instanțele coreene (176). Răspunderea statului acoperă, de asemenea, prejudiciile morale (cum ar fi suferința psihică) (177). În cazul în care victima este cetățean străin, Legea privind despăgubirile acordate de stat se aplică atât timp cât țara sa de origine asigură, de asemenea, despăgubiri din partea statului pentru cetățenii coreeni (178).

(136)

În al patrulea rând, Curtea Supremă a recunoscut că persoanele fizice au dreptul de a solicita o ordonanță președințială pentru încălcarea drepturilor lor prevăzute de Constituție, inclusiv dreptul la protecția datelor cu caracter personal (179). În acest context, o instanță poate, de exemplu, să oblige operatorii să suspende sau să înceteze orice activitate ilegală. În plus, drepturile în materie de protecție a datelor, inclusiv drepturile protejate de PIPA, pot fi puse în aplicare prin acțiuni civile. Această aplicare orizontală a protecției constituționale a vieții private în relațiile dintre părți private a fost recunoscută de Curtea Supremă (180).

(137)

În cele din urmă, persoanele fizice pot depune o plângere penală în temeiul Codului de procedură penală (articolul 223) la un procuror sau la un agent al poliției judiciare (181).

(138)

Prin urmare, sistemul coreean oferă diverse căi de a obține despăgubiri, de la opțiuni ușor accesibile, cu costuri reduse [de exemplu, contactând Centrul de intermediere telefonică privind protecția vieții private sau prin mediere (colectivă)] până la căi administrative (în fața PIPC) și căi judiciare, inclusiv cu posibilitatea de a obține despăgubiri pentru daune.

(139)

Comisia a evaluat, de asemenea, limitările și garanțiile, inclusiv supravegherea și mecanismele de reparație individuală, care sunt prevăzute în legislația coreeană în ceea ce privește colectarea și utilizarea ulterioară a datelor cu caracter personal transferate operatorilor economici din Coreea de către autoritățile publice coreene din motive de interes public, în special în scopul asigurării respectării dreptului penal și în scopuri de asigurare a securității naționale („accesul administrației publice”). În acest sens, guvernul coreean a furnizat Comisiei expuneri, asigurări și angajamente oficiale semnate la cel mai înalt nivel ministerial și la nivel de agenții, acestea fiind incluse în anexa II la prezenta decizie.

(140)

Pentru a evalua dacă condițiile în care accesul administrației publice la datele transferate către Coreea în temeiul prezentei decizii îndeplinesc criteriul „echivalenței substanțiale” în temeiul articolului 45 alineatul (1) din Regulamentul (UE) 2016/679, astfel cum a fost interpretat de Curtea de Justiție a Uniunii Europene în lumina Cartei drepturilor fundamentale, Comisia a luat în considerare în special următoarele criterii.

(141)

În primul rând, orice restrângere a dreptului la protecția datelor cu caracter personal trebuie să fie prevăzută de lege, iar temeiul juridic care permite ingerința în acest drept trebuie să definească el însuși întinderea restrângerii exercitării dreptului vizat (182).

(142)

În al doilea rând, pentru a îndeplini cerința proporționalității potrivit căreia derogările de la protecția datelor cu caracter personal și restrângerile acesteia trebuie să fie efectuate în limitele strictului necesar într-o societate democratică pentru a îndeplini obiective specifice de interes general echivalente cu cele recunoscute de Uniune, legislația țării terțe în cauză care permite o ingerință trebuie să prevadă norme clare și precise care să reglementeze conținutul și aplicarea măsurilor respective și să impună o serie de cerințe minime, astfel încât persoanele ale căror date au fost transferate să dispună de garanții suficiente care să permită protejarea în mod eficient a datelor lor cu caracter personal împotriva riscurilor de abuz (183). Legislația trebuie în special să indice în ce împrejurări și în ce condiții poate fi luată o măsură care prevede prelucrarea unor asemenea date (184), precum și să supună îndeplinirea acestor cerințe unei supravegheri independente (185).

(143)

În al treilea rând, legislația respectivă și cerințele sale trebuie să fie obligatorii din punct de vedere juridic în temeiul dreptului intern. Acest lucru se referă în primul rând la autoritățile din țara terță în cauză, dar aceste cerințe legale trebuie să aibă, de asemenea, caracter executoriu în fața instanțelor judecătorești (186). În special, persoanele vizate trebuie să dispună de posibilitatea de a exercita căi legale în fața unui tribunal independent și imparțial pentru a avea acces la date cu caracter personal care le privesc sau de a obține rectificarea sau ștergerea unor astfel de date (187).

(144)

Limitările și garanțiile care se aplică colectării și utilizării ulterioare a datelor cu caracter personal de către autoritățile publice coreene decurg din cadrul constituțional general, din legile specifice care reglementează activitățile acestora în domeniul asigurării respectării dreptului penal și al securității naționale, precum și din normele care se aplică în mod specific prelucrării datelor cu caracter personal.

(145)

În primul rând, accesul autorităților publice coreene la datele cu caracter personal este reglementat de principiile generale ale legalității, necesității și proporționalității care decurg din Constituția coreeană (188). În special, drepturile și libertățile fundamentale (inclusiv dreptul la viață privată și dreptul la confidențialitatea corespondenței) (189) pot fi restricționate numai prin lege și atunci când acest lucru este necesar pentru securitatea națională sau menținerea legii și ordinii pentru bunăstarea publică. Astfel de restricții nu pot afecta substanța dreptului sau a libertății în cauză. În special în ceea ce privește perchezițiile și punerile sub sechestru, Constituția prevede că acestea pot avea loc numai în condițiile prevăzute de lege, în baza unui mandat emis de un judecător și cu respectarea unui proces echitabil (190). În cele din urmă, persoanele fizice își pot invoca drepturile și libertățile în fața Curții Constituționale în cazul în care consideră că acestea au fost încălcate de autoritățile publice în exercitarea competențelor lor (191). În mod similar, persoanele fizice care au suferit daune ca urmare a unei nelegalități săvârșite de un funcționar public în exercitarea atribuțiilor sale au dreptul de a solicita despăgubiri (192).

(146)

În al doilea rând, astfel cum se descrie mai detaliat în secțiunile 3.2.1 și 3.3.1, principiile generale menționate în considerentul 145 sunt reflectate, de asemenea, în legislația specifică ce reglementează competențele autorităților de aplicare a legii și ale autorităților naționale de securitate. De exemplu, în ceea ce privește anchetele penale, Codul de procedură penală (CPA) prevede că pot fi luate măsuri obligatorii numai în cazul în care acest lucru este prevăzut în mod explicit în CPA și în cea mai mică măsură necesară pentru atingerea scopului anchetei (193). În mod similar, articolul 3 din Legea privind protecția confidențialității comunicațiilor (CPPA) interzice accesul la comunicațiile private, cu excepția cazului în care acesta se întemeiază pe lege și intră sub rezerva limitărilor și a garanțiilor prevăzute de lege. În domeniul securității naționale, Legea privind Serviciul Național de Informații (Legea privind NIS) prevede că orice acces la comunicații sau informații de localizare trebuie să respecte legea și supune sancțiunilor penale abuzul de putere și încălcările legii (194).

(147)

În al treilea rând, prelucrarea datelor cu caracter personal de către autoritățile publice, inclusiv în scopul aplicării legii și al securității naționale, face obiectul normelor privind protecția datelor în temeiul PIPA (195). Ca principiu general, articolul 5 alineatul (1) din PIPA prevede obligația autorităților publice de a elabora politici pentru a preveni „abuzul și utilizarea necorespunzătoare a informațiilor cu caracter personal, supravegherea și urmărirea indiscretă etc., precum și pentru a îmbunătăți gradul de respectare a demnității ființelor umane și a vieții private”. În plus, orice operator trebuie să prelucreze datele cu caracter personal într-un mod care să reducă la minimum posibilitatea de a se încălca viața privată a persoanei vizate [articolul 3 alineatul (6) din PIPA].

(148)

Toate cerințele prevăzute în PIPA, astfel cum sunt descrise în detaliu în secțiunea 2, se aplică prelucrării datelor cu caracter personal în scopul aplicării legii. Aceasta include principiile de bază (precum legalitatea și echitatea, limitarea scopului, exactitatea, reducerea la minimum a datelor, limitarea stocării, securitatea și transparența), obligații (de exemplu, în ceea ce privește notificarea încălcării securității datelor și datele sensibile) și drepturi (de a obține accesul, la rectificare, ștergere și suspendare).

(149)

Deși prelucrarea datelor cu caracter personal în scopuri legate de securitatea națională face obiectul unui set mai limitat de dispoziții din PIPA, se aplică principiile de bază, precum și normele privind supravegherea, asigurarea respectării legii și căile de atac (196). Mai precis, articolele 3 și 4 din PIPA stabilesc principiile generale de protecție a datelor (principiile legalității și echității, limitării scopului, exactității, reducerii la minimum a datelor, securității și transparenței) și drepturile individuale (dreptul de a fi informat, dreptul de acces și dreptul la rectificare, ștergere și suspendare) (197). În plus, articolul 4 alineatul (5) din PIPA le oferă persoanelor fizice dreptul la despăgubiri adecvate pentru orice prejudiciu care rezultă din prelucrarea datelor lor cu caracter personal în cadrul unei proceduri prompte și echitabile. Acesta este completat de obligații mai specifice de prelucrare a datelor cu caracter personal numai în măsura minimă necesară pentru atingerea scopului preconizat și pentru perioada minimă, de a institui măsurile necesare pentru a asigura gestionarea în condiții de siguranță a datelor și prelucrarea corespunzătoare (cum ar fi garanții tehnice, de gestionare și fizice), precum și de a institui măsuri pentru tratarea corespunzătoare a reclamațiilor individuale (plângeri) (198). În cele din urmă, principiile generale ale legalității, necesității și proporționalității prevăzute în Constituția Coreei (a se vedea considerentul 145) se aplică, de asemenea, prelucrării datelor cu caracter personal în scopuri legate de securitatea națională.

(150)

Aceste limitări și garanții generale pot fi invocate de persoanele fizice în fața organismelor independente de supraveghere (de exemplu, PIPC și/sau Comisia națională pentru drepturile omului; a se vedea considerentele 177-178) și în fața instanțelor (a se vedea considerentele 179-183) pentru a obține despăgubiri.

(151)

Legislația Republicii Coreea impune o serie de limitări privind accesul la datele cu caracter personal și utilizarea acestora în scopul asigurării respectării dreptului penal și prevede mecanisme de supraveghere și de exercitare a unei căi de atac care sunt în concordanță cu cerințele menționate în considerentele 141-143 din prezenta decizie. Condițiile în care poate avea loc un astfel de acces și garanțiile aplicabile utilizării acestor competențe sunt evaluate în detaliu în secțiunile următoare.

(152)

Datele cu caracter personal prelucrate de operatori coreeni care ar fi transferate din Uniune în temeiul prezentei decizii (199) pot fi colectate de autoritățile coreene în scopul asigurării respectării dreptului penal în contextul unei percheziții sau al unei puneri sub sechestru (pe baza CPA), prin accesarea informațiilor privind comunicațiile (pe baza CPPA) sau prin obținerea de date privind abonații prin intermediul unor cereri de divulgare voluntară (în temeiul Legii privind activitățile de telecomunicații, TBA) (200).

(153)

CPA prevede că o percheziție sau o punere sub sechestru poate avea loc numai în cazul în care o persoană este suspectată de săvârșirea unei infracțiuni, când este necesară pentru investigație și când se stabilește o legătură între investigație și persoana care trebuie percheziționată sau obiectul care trebuie să fie inspectat sau sechestrat (201). În plus, o percheziție sau o punere sub sechestru (ca orice măsură obligatorie) poate fi autorizată/efectuată numai în cea mai mică măsură necesară (202). În cazul în care o percheziție vizează un CD sau alt suport de stocare a datelor, în principiu, vor fi confiscate numai datele necesare (prin copiere sau imprimare), mai degrabă decât întregul suport (203). Acesta din urmă poate fi confiscat numai atunci când se consideră că este aproape imposibil să se imprime sau să se copieze datele solicitate separat sau atunci când se consideră că este practic imposibil să se îndeplinească scopul percheziției (204). Prin urmare, CPA stabilește norme clare și precise privind domeniul de aplicare și aplicarea acestor măsuri, garantând astfel că interferența cu drepturile persoanelor fizice în cazul unei percheziții sau al unei puneri sub sechestru se va limita la ceea ce este necesar pentru o anchetă penală specifică și va fi proporțională cu scopul urmărit.

(154)

În ceea ce privește garanțiile procedurale, CPA prevede obligația de a se obține un mandat din partea unei instanțe pentru efectuarea unei percheziții sau a unei puneri sub sechestru (205). O percheziție sau o punere sub sechestru fără mandat este permisă numai în mod excepțional, și anume în situații de urgență (206), in loco în momentul arestării sau al reținerii unei persoane suspectate de săvârșirea de infracțiuni (207) sau în cazul în care un articol este înlăturat sau prezentat în mod voluntar de către o persoană suspectată de săvârșirea de infracțiuni sau de un terț (în ceea ce privește datele cu caracter personal, chiar de către persoana în cauză) (208). Perchezițiile și punerile sub sechestru ilegale fac obiectul unor sancțiuni penale (209), iar orice probă obținută cu încălcarea CPA este considerată inadmisibilă (210). În cele din urmă, persoanele în cauză trebuie să fie întotdeauna informate cu privire la o percheziție sau o punere sub sechestru (inclusiv o punere sub sechestru a datelor lor) fără întârziere (211), ceea ce, la rândul său, va facilita exercitarea drepturilor materiale ale persoanei respective și dreptul la reparații (a se vedea în special posibilitatea de a contesta executarea unui mandat de punere sub sechestru; a se vedea considerentul 180).

(155)

În temeiul CPPA, autoritățile coreene de asigurare a respectării dreptului penal pot lua două tipuri de măsuri (212): pe de o parte, colectarea de „date de confirmare privind comunicațiile” (213), care includ data telecomunicațiilor, ora de începere și de încheiere, numărul de apeluri inițiate și primite, precum și numărul de abonat al celeilalte părți, frecvența utilizării, fișierele-jurnal privind utilizarea serviciilor de telecomunicații și informațiile de localizare (de exemplu, de la turnurile de transmisie unde se primesc semnalele); și, pe de altă parte, „măsurile de restricționare a comunicațiilor”, care acoperă atât colectarea conținutului corespondenței tradiționale, cât și interceptarea directă a conținutului telecomunicațiilor (214).

(156)

Datele de confirmare a comunicațiilor pot fi accesate numai atunci când acest lucru este necesar pentru desfășurarea unei anchete penale sau pentru executarea unei pedepse (215), pe baza unui mandat emis de o instanță (216). În acest sens, CPPA prevede furnizarea de informații detaliate atât în cererea de emitere a mandatului (de exemplu, cu privire la motivele cererii, relația cu ținta/abonatul și datele necesare), cât și în cadrul mandatului propriu-zis (de exemplu, cu privire la obiectivul, ținta și domeniul de aplicare al măsurii) (217). Colectarea fără mandat poate avea loc numai atunci când, din motive de urgență, este imposibil să se obțină o autorizare din partea instanței, caz în care mandatul trebuie să fie obținut și comunicat furnizorului de servicii de telecomunicații imediat după solicitarea datelor (218). În cazul în care instanța refuză să acorde autorizarea ulterioară, informațiile colectate trebuie distruse (219).

(157)

În ceea ce privește garanțiile suplimentare legate de colectarea datelor de confirmare a comunicațiilor, CPPA impune cerințe specifice de ținere a evidențelor și de transparență (220). În special, atât autoritățile de asigurarea respectării dreptului penal (221), cât și furnizorii de servicii de telecomunicații (222) trebuie să țină evidența solicitărilor și a divulgărilor făcute. În plus, autoritățile de asigurare a respectării dreptului penal trebuie, în principiu, să informeze persoanele fizice cu privire la faptul că datele lor de confirmare a comunicațiilor au fost colectate (223). O astfel de notificare poate fi amânată numai în circumstanțe excepționale, pe baza unei autorizări din partea șefului unui parchet districtual competent (224). O astfel de autorizare poate fi acordată numai atunci când notificarea este de natură (1) să pună în pericol securitatea națională, siguranța și ordinea publică, (2) să provoace decesul sau vătămarea corporală, (3) să împiedice procedurile judiciare echitabile (de exemplu, ducând la distrugerea probelor sau amenințarea martorilor) sau (4) să defăimeze persoana suspectată de săvârșirea unei infracțiuni, victimele sau alte persoane care au legătură cu cazul sau să le invadeze viața privată. În aceste cazuri, notificarea trebuie transmisă în termen de 30 de zile de îndată ce motivul (motivele) amânării încetează să existe (225). În urma notificării, persoanele fizice au dreptul să obțină informații cu privire la motivele colectării datelor lor (226).

(158)

Se aplică norme mai stricte în ceea ce privește măsurile de restricționare a comunicațiilor, care pot fi utilizate numai atunci când există motive întemeiate de a suspecta că anumite infracțiuni grave menționate în mod specific în CPPA sunt planificate, sunt în curs de săvârșire sau au fost săvârșite (227). În plus, măsurile de restricționare a comunicațiilor pot fi luate numai în ultimă instanță și în cazul în care este dificil să se prevină în alt mod săvârșirea unei infracțiuni, să se aresteze un infractor sau să se colecteze probe (228). Acestea trebuie întrerupte imediat după ce nu mai sunt necesare, pentru a se asigura că încălcarea confidențialității comunicațiilor este cât mai limitată posibil (229). Informațiile care au fost obținute în mod ilegal prin intermediul unor măsuri de restricționare a comunicațiilor nu sunt admise ca probe în cadrul procedurilor judiciare sau disciplinare (230).

(159)

În ceea ce privește garanțiile procedurale, CPPA prevede obligația de obținere a unui mandat judecătoresc pentru a pune în aplicare măsuri de restricționare a comunicațiilor (231). Din nou, CPPA prevede obligația ca cererea de emitere a unui mandat și mandatul în sine să conțină informații detaliate (232), inclusiv cu privire la justificarea cererii, precum și la comunicațiile care trebuie colectate (care trebuie să fie cele ale persoanei suspectate de săvârșirea de infracțiuni care face obiectul investigației) (233). Astfel de măsuri pot fi luate fără mandat numai în cazul unei amenințări iminente de criminalitate organizată sau în cazul în care o altă infracțiune gravă care poate cauza în mod direct decesul sau vătămarea gravă este iminentă și există o situație de urgență care face imposibilă parcurgerea procedurii obișnuite (234). Totuși, în acest caz, o cerere de emitere a unui mandat trebuie depusă imediat după luarea măsurii (235). Măsurile de restricționare a comunicațiilor pot fi puse în aplicare numai pentru o perioadă maximă de două luni (236), perioadă ce poate fi prelungită cu aprobarea instanței numai dacă sunt îndeplinite în continuare condițiile pentru punerea în aplicare a măsurilor (237). Perioada prelungită nu poate depăși în total un an, respectiv trei ani pentru anumite infracțiuni deosebit de grave (de exemplu, infracțiuni legate de insurecție, agresiune externă, securitate națională etc.) (238).

(160)

La fel ca în cazul colectării datelor de confirmare a comunicațiilor, CPPA prevede obligația furnizorilor de servicii de telecomunicații (239) și a autorităților de aplicare a legii (240) să păstreze evidențe privind executarea măsurilor de restricționare a comunicațiilor și prevede obligația de notificare a persoanei în cauză, care poate fi amânată în mod excepțional, dacă este necesar, din motive importante de interes public (241).

(161)

În cele din urmă, nerespectarea mai multor limitări și garanții prevăzute de CPPA (inclusiv, de exemplu, obligațiile de obținere a unui mandat, de ținere a evidenței și de notificare a persoanei), atât în ceea ce privește colectarea datelor de confirmare a comunicațiilor, cât și utilizarea măsurilor de restricționare a comunicațiilor, fac obiectul unor sancțiuni penale (242).

(162)

Competențele autorităților de aplicare a dreptului penal de a colecta date privind comunicațiile în temeiul CPPA (atât conținutul comunicațiilor, cât și datele de confirmare a comunicațiilor) sunt, prin urmare, limitate de norme clare și precise și fac obiectul unei serii de garanții. Aceste garanții, în special, garantează supravegherea executării unor astfel de măsuri, atât ex ante (prin autorizare judiciară prealabilă), cât și ex post (prin cerințe de ținere a evidențelor și de raportare) și facilitează accesul persoanelor fizice la căi de atac eficace (prin asigurarea faptului că acestea sunt informate cu privire la colectarea datelor lor).

(163)

Pe lângă faptul că se bazează pe măsurile obligatorii descrise în considerentele 153-162, autoritățile coreene de aplicare a legii pot solicita furnizorilor de servicii de telecomunicații să transmită „date privind comunicațiile” în mod voluntar, în sprijinul unui proces penal, al investigării sau al executării unei pedepse [articolul 83 alineatul (3) din TBA]. Această posibilitate există numai pentru câteva seturi de date limitate, și anume numele, numărul de înregistrare pentru rezidenți, adresa și numărul de telefon al utilizatorilor, datele la care utilizatorii se abonează sau își reziliază abonamentul, precum și codurile de identificare a utilizatorului (și anume codurile utilizate pentru a identifica utilizatorul de drept al sistemelor informatice sau al rețelelor de comunicații) (243). Întrucât numai persoanele care contractează în mod direct servicii de la un furnizor coreean de telecomunicații sunt considerate „utilizatori” (244), persoanele din UE ale căror date au fost transferate către Republica Coreea nu ar intra, în mod normal, în această categorie (245).

(164)

Unor astfel de divulgări voluntare li se aplică limitări diferite, atât în ceea ce privește exercitarea competențelor de către autoritatea de aplicare a legii, cât și în ceea ce privește răspunsul operatorului de telecomunicații. Ca o cerință generală, autoritățile de aplicare a legii trebuie să acționeze în conformitate cu principiile constituționale ale necesității și proporționalității [articolul 12 alineatul (1) și articolul 37 alineatul (2) din Constituție], inclusiv atunci când solicită informații în mod voluntar. În plus, acestea trebuie să respecte PIPA, în special să colecteze doar volumul minim de date cu caracter personal, în măsura necesară atingerii unui scop legitim, într-un mod care să reducă la minimum impactul asupra vieții private a persoanelor fizice [cum ar fi articolul 3 alineatele (1) și (6) din PIPA]. Mai precis, cererile de obținere a datelor privind comunicațiile în temeiul TBA trebuie să fie formulate în scris și să indice motivele cererii, legătura cu utilizatorul relevant și domeniul de aplicare al datelor solicitate (246).

(165)

Furnizorii de servicii de telecomunicații nu sunt obligați să dea curs acestor cereri și pot face acest lucru numai în conformitate cu PIPA. Aceasta înseamnă, în special, că trebuie să pună în balanță diferitele interese aflate în joc, neputând furniza datele în cazul în care acest lucru ar putea încălca în mod abuziv interesele persoanei respective sau ale unui terț (247). Se va proceda astfel, de exemplu, atunci când este clar că autoritatea solicitantă a abuzat de autoritatea sa (248). Operatorii de telecomunicații trebuie să țină evidența divulgărilor în temeiul TBA și să prezinte de două ori pe an ministrului științei și TIC un raport în acest sens (249).

(166)

În plus, în conformitate cu secțiunea 3 din Notificarea nr. 2021-5 (anexa I), furnizorii de telecomunicații trebuie, în principiu, să transmită o notificare persoanei în cauză atunci când se conformează în mod voluntar unei cereri (250). La rândul său, acest lucru va permite persoanei în cauză să își exercite drepturile și, în cazul în care datele sale sunt divulgate în mod ilegal, să obțină reparații fie de la operator (de exemplu, fie pentru divulgarea datelor cu încălcarea PIPA, fie pentru că a dat curs unei cereri care era în mod clar disproporționată), fie de la autoritatea de aplicare a legii (de exemplu, pentru că acționează dincolo de limitele a ceea ce este necesar și proporțional sau pentru că nu respectă cerințele procedurale prevăzute în TBA).

(167)

Prelucrarea datelor cu caracter personal colectate de autoritățile coreene de asigurare a respectării dreptului penal face obiectul tuturor cerințelor PIPA, inclusiv în ceea ce privește limitarea scopului [articolul 3 alineatele (1)-(2) din PIPA], legalitatea utilizării și furnizarea către terți [articolele 15, 17 și 18 din PIPA], transferurile internaționale [articolele 17 și 18 din PIPA, coroborate cu secțiunea 2 din Notificarea nr. 2021-5] (251), proporționalitatea/reducerea la minimum a datelor [articolul 3 alineatele (1) și (6) din PIPA] și limitarea stocării (articolul 21 din PIPA) (252).

(168)

În ceea ce privește conținutul comunicațiilor obținute prin executarea măsurilor de restricționare a comunicațiilor, CPPA limitează în mod specific posibila utilizare a acestora la investigarea, urmărirea penală sau prevenirea infracțiunilor grave (253); procedurile disciplinare pentru aceleași infracțiuni; cererile de despăgubire formulate de o parte la comunicații sau în cazul în care acest lucru este permis în mod expres de alte legi (254). În plus, conținutul colectat al telecomunicațiilor transmise prin internet poate fi păstrat numai cu aprobarea instanței care a autorizat măsurile de restricționare a comunicațiilor (255), în vederea utilizării acestuia pentru investigarea, urmărirea penală sau prevenirea infracțiunilor grave (256). La un nivel mai general, CPPA interzice divulgarea informațiilor confidențiale obținute prin măsuri de restricționare a comunicațiilor și utilizarea unor astfel de informații pentru a aduce atingere reputației celor care au făcut obiectul măsurilor (257).

(169)

În Coreea, activitățile autorităților de asigurarea respectării dreptului penal sunt supravegheate de diferite organisme (258).

(170)

În primul rând, poliția este supusă supravegherii interne de către un inspector general (259), care efectuează controlul legalității, inclusiv în ceea ce privește posibilele încălcări ale drepturilor omului. Inspectorul general a fost instituit pentru a pune în aplicare Legea privind auditurile din sectorul public, care încurajează crearea de organisme de audit intern și stabilește cerințe specifice privind componența și sarcinile acestora. În special, legea prevede că șeful unui organism de audit intern este numit din afara autorității relevante (cum ar fi foști judecători, profesori) pentru o perioadă de doi până la cinci ani (260), poate fi demis numai din motive justificate (de exemplu, atunci când nu își poate îndeplini atribuțiile din motive de sănătate sau atunci când face obiectul unor măsuri disciplinare) (261), garantându-i-se independența în cea mai mare măsură posibilă (262). Obstrucționarea unui audit intern face obiectul unor amenzi administrative (263). Rapoartele de audit (care pot include recomandări, cereri de măsuri disciplinare și cereri de despăgubiri sau de corectare) sunt comunicate șefului autorității publice relevante, Comisiei de audit și inspecție (BAI) (264) și, în general, sunt făcute publice (265). Rezultatele punerii în aplicare a raportului trebuie, de asemenea, notificate BAI (266) (a se vedea considerentul 173 privind rolul și competențele de supraveghere ale BAI).

(171)

În al doilea rând, PIPC supraveghează conformitatea prelucrării datelor de către autoritățile de asigurarea respectării dreptului penal cu PIPA și cu alte legi care protejează dreptul la viață privată al persoanelor fizice, inclusiv cu legile care reglementează colectarea de probe (electronice) în scopul asigurării respectării dreptului penal, astfel cum se descrie în secțiunea 3.2.1 (267). În special, întrucât supravegherea PIPC se extinde la legalitatea și echitatea colectării și prelucrării datelor [articolul 3 alineatul (1) din PIPA], care vor fi încălcate în cazul în care datele cu caracter personal sunt accesate și utilizate cu încălcarea acestor legi (268), PIPC poate, de asemenea, să investigheze și să asigure respectarea limitărilor și a garanțiilor descrise în secțiunea 3.2.1 (269). În exercitarea acestui rol de supraveghere, PIPC poate face uz de toate competențele sale de investigare și de remediere, astfel cum sunt descrise în detaliu în secțiunea 2.4.2. Deja dinainte de recenta reformă a PIPA (și anume, în cadrul rolului său anterior de supraveghere pentru sectorul public), PIPC a desfășurat mai multe activități de supraveghere a prelucrării datelor cu caracter personal de către autoritățile de asigurare a respectării dreptului penal, de exemplu în contextul interogării suspecților (cazul nr. 2013-16, 26 august 2013), în ceea ce privește transmiterea de notificări persoanelor fizice cu privire la impunerea de amenzi administrative (cazul nr. 2015-02-04, 26 ianuarie 2015), schimbul de date cu alte autorități (cazul nr. 2018-15-146, 9 iulie 2018, cazul nr. 2018-25-308, 10 decembrie 2018; cazul nr. 2019-02-015, 29 ianuarie 2019), colectarea amprentelor digitale sau a fotografiilor (cazul nr. 2019-17-273, 9 septembrie 2019), utilizarea dronelor (cazul nr. 2020-01-004, 13 ianuarie 2020). În aceste cazuri, PIPC a investigat respectarea mai multor dispoziții ale PIPA (de exemplu, legalitatea prelucrării, principiile limitării scopului și reducerii la minimum a datelor), dar și a dispozițiilor relevante ale altor legi, cum ar fi Codul de procedură penală, și, după caz, a emis recomandări pentru a alinia prelucrarea la cerințele privind protecția datelor.

(172)

În al treilea rând, supravegherea independentă este asigurată de Comisia națională pentru drepturile omului (NHRC) (270), care poate investiga încălcări ale drepturilor la viață privată și la confidențialitatea corespondenței, ca parte a mandatului său general de a proteja drepturile fundamentale prevăzute la articolele 10-22 din Constituție. NHRC este alcătuită din 11 comisari care trebuie să dețină calificări specifice (271) și care sunt numiți de președintele statului în conformitate cu procedurile prevăzute în lege. Mai precis, patru comisari sunt desemnați de Adunarea Națională, patru, de către președintele statului, și trei, de către președintele Curții Supreme (272). Președintele comisiei este numit de președintele statului din rândul comisarilor și trebuie să fie confirmat de Adunarea Națională (273). Comisarii (inclusiv președintele Comisiei) sunt numiți pentru un mandat de trei ani, cu posibilitate de reînnoire, și pot fi demiși numai dacă sunt condamnați la închisoare sau când nu mai sunt capabili să își exercite atribuțiile din cauza unor deficiențe fizice sau psihice prelungite (caz în care două treimi dintre comisari trebuie să fie de acord cu demiterea) (274). În cadrul unei anchete, NHRC poate solicita prezentarea de materiale relevante, poate efectua inspecții și poate convoca diverse persoane să depună mărturie (275). În ceea ce privește competențele de remediere, NHRC poate emite recomandări (publice) de îmbunătățire sau corectare a politicilor și practicilor specifice, la care autoritățile publice trebuie să răspundă printr-un plan de punere în aplicare propus (276). Dacă autoritatea în cauză nu pune în aplicare recomandările, aceasta trebuie să informeze Comisia în acest sens (277), care, la rândul său, poate să dezvăluie această neîndeplinire Adunării Naționale și/sau să o facă publică. Potrivit expunerii oficiale a guvernului coreean (secțiunea 2.3.5 din anexa II), autoritățile coreene respectă, în general, recomandările NHRC și sunt puternic încurajate să facă acest lucru, întrucât punerea lor în aplicare a fost evaluată ca parte a unei evaluări generale continue sub autoritatea cabinetului prim-ministrului. Cifrele anuale privind activitățile sale arată că NHRC supraveghează în mod activ activitățile autorităților de asigurare a respectării dreptului penal, fie pe baza unor petiții individuale, fie prin anchete ex officio (278).

(173)

În al patrulea rând, controlul general al legalității activităților autorităților publice este exercitat de BAI, care examinează veniturile și cheltuielile statului și, la un nivel mai general, supraveghează respectarea obligațiilor autorităților publice în vederea îmbunătățirii funcționării administrației publice (279). BAI este înființată în mod oficial sub conducerea președintelui Republicii Coreea, dar își menține un statut independent în ceea ce privește atribuțiile care îi revin (280). În plus, i se acordă independență deplină în ceea ce privește numirea, demiterea și organizarea personalului său, precum și întocmirea bugetului său (281). BAI este alcătuită dintr-un președinte de comisie (numit de președintele statului, cu acordul Adunării Naționale) (282) și șase comisari (numiți de președintele statului la recomandarea președintelui comisiei) (283), care trebuie să îndeplinească anumite calificări prevăzute de lege (284) și care pot fi revocați numai în caz de punere sub acuzare, condamnare la închisoare sau incapacitate de a-și îndeplini atribuțiile din cauza unor deficiențe psihice sau fizice pe termen lung (285). BAI efectuează anual un audit general, dar poate efectua, de asemenea, audituri specifice cu privire la chestiuni de interes special. La efectuarea unui audit sau a unei inspecții, BAI poate solicita prezentarea de documente și prezența unor persoane (286). BAI poate emite recomandări, poate solicita măsuri disciplinare sau poate depune o plângere penală (287).

(174)

În cele din urmă, Adunarea Națională exercită controlul parlamentar asupra autorităților publice prin investigații și inspecții (288) ale activităților acestora (289). Adunarea Națională poate solicita divulgarea documentelor, poate impune înfățișarea martorilor (290), poate recomanda măsuri de remediere (dacă ajunge la concluzia că au avut loc activități ilegale sau necorespunzătoare) (291) și poate face publice rezultatele constatărilor sale (292). În cazul în care Adunarea Națională solicită luarea de măsuri de remediere – care pot include, de exemplu, acordarea de despăgubiri, luarea de măsuri disciplinare sau îmbunătățirea procedurilor interne – autoritatea publică în cauză are obligația de a acționa fără întârziere și de a prezenta Adunării Naționale un raport cu privire la rezultat (293).

(175)

Sistemul coreean oferă diferite căi (judiciare) pentru a obține despăgubiri, inclusiv despăgubiri pentru daune.

(176)

În primul rând, PIPA le oferă persoanelor fizice dreptul de acces, rectificare, ștergere și suspendare în ceea ce privește datele cu caracter personal prelucrate în scopul asigurării respectării dreptului penal (294).

(177)

În al doilea rând, persoanele fizice pot recurge la diferitele mecanisme de exercitare a unei căi de atac oferite de PIPA în cazul în care datele lor au fost prelucrate de o autoritate de asigurare a respectării dreptului penal cu încălcarea PIPA sau cu încălcarea limitărilor și garanțiilor care reglementează colectarea datelor cu caracter personal prevăzute în alte legi (de exemplu, CPA sau CPPA; a se vedea considerentul 171). În special, persoanele fizice pot depune o plângere la PIPC (inclusiv prin intermediul Centrului de intermediere telefonică privind protecția vieții private gestionat de Agenția coreeană pentru internet și securitate (295)) sau la Comitetul de mediere a litigiilor privind informațiile cu caracter personal (296). Aceste posibilități de a recurge la căi de atac nu sunt supuse unor cerințe suplimentare de admisibilitate. În temeiul Legii privind contenciosul administrativ, persoanele fizice pot, de asemenea, să formuleze un recurs/să conteste deciziile sau lipsa de acțiune a PIPC (a se vedea considerentul 132).

(178)

În al treilea rând, orice persoană (297) poate depune o plângere la NHRC cu privire la o încălcare a dreptului la viață privată și la protecția datelor de către o autoritate coreeană de asigurare a respectării dreptului penal. NHRC poate recomanda rectificarea sau îmbunătățirea oricărei legi, instituții, politici sau practici relevante (298) sau punerea în aplicare a unor căi de atac, cum ar fi medierea (299), încetarea încălcării drepturilor omului, despăgubiri pentru daune și măsuri de prevenire a repetării acelorași încălcări sau a unor încălcări similare (300). Potrivit expunerii oficiale a guvernului coreean (secțiunea 2.4.2 din anexa II), aceasta poate include, de asemenea, ștergerea datelor cu caracter personal colectate în mod ilegal. Deși NHRC nu are competența să emită decizii obligatorii, aceasta oferă o cale de atac mai informală, la costuri mai reduse și mai accesibilă, în special deoarece, astfel cum se explică în anexa II secțiunea 2.4.2, nu impune demonstrarea unui prejudiciu în fapt pentru ca plângerea să fie investigată (301). Acest lucru asigură că plângerile persoanelor fizice cu privire la colectarea datelor lor pot fi investigate, chiar dacă o persoană nu este în măsură să demonstreze că datele sale au fost într-adevăr colectate (de exemplu, deoarece nu a fost informată încă). Rapoartele anuale de activitate ale NHRC arată că persoanele fizice utilizează, de asemenea, această cale în practică pentru a contesta activitățile autorităților de asigurare a respectării dreptului penal, inclusiv în ceea ce privește prelucrarea datelor cu caracter personal (302). În cazul în care o persoană nu este satisfăcută de rezultatul unei proceduri în fața NHRC, aceasta poate contesta deciziile NHRC (cum ar fi o decizie de a nu continua investigarea unei plângeri (303)) și recomandările în fața instanțelor coreene în temeiul Legii privind contenciosul administrativ (a se vedea considerentul 181) (304). În plus, o procedură în fața NHRC poate facilita și mai mult accesul la instanțe, deoarece o persoană fizică ar putea introduce căi de atac suplimentare împotriva autorității publice care a prelucrat în mod ilegal datele sale pe baza constatărilor NHRC, în conformitate cu procedurile descrise în considerentele 181-183.

(179)

În cele din urmă, sunt disponibile diferite căi de atac judiciare, care le permit persoanelor fizice să invoce limitările și garanțiile descrise în secțiunea 3.2.1 pentru a obține reparații (305).

(180)

În ceea ce privește punerile sub sechestru (inclusiv de date), CPA prevede posibilitatea de a formula obiecții cu privire la executarea unui mandat sau de a contesta executarea acestuia prin intermediul unei „cvasi-plângeri”, adresând instanței competente o cerere de anulare sau modificare a unei dispoziții emise de un procuror sau de un ofițer de poliție (306).

(181)

La un nivel mai general, persoanele fizice pot contesta acțiunile (307) sau omisiunile (308) autorităților publice (inclusiv ale autorităților de asigurare a asigurarea respectării dreptului penal) în temeiul Legii privind contenciosul administrativ (309). Acțiunea administrativă este considerată o „dispoziție atacabilă” dacă are un impact direct asupra drepturilor și obligațiilor civile (310), ceea ce, astfel cum a confirmat guvernul coreean (secțiunea 2.4.3 din anexa II), este cazul măsurilor de colectare a datelor cu caracter personal, fie direct (de exemplu, prin interceptarea comunicațiilor), prin intermediul unor cereri de divulgare cu caracter obligatoriu (de exemplu, către un furnizor de servicii) sau prin cereri de cooperare voluntară. Pentru ca o plângere în temeiul Legii privind contenciosul administrativ să fie admisibilă, o persoană fizică trebuie să aibă un interes juridic în continuarea cererii (311). În conformitate cu jurisprudența Curții Supreme, „interesul juridic” este interpretat ca un „interes protejat din punct de vedere juridic”, și anume un interes direct și specific protejat prin acte cu putere de lege și norme administrative pe care se bazează dispozițiile administrative (nu interese generale, indirecte și abstracte ale publicului) (312). Persoanele fizice au un astfel de interes juridic în cazul oricărei încălcări a limitărilor și garanțiilor care se aplică colectării datelor lor cu caracter personal în scopul asigurării respectării dreptului penal (în temeiul unor legi specifice sau al PIPA). În temeiul Legii privind contenciosul administrativ, o instanță poate decide să revoce sau să modifice o dispoziție ilegală, să pronunțe o constatare a nulității (și anume, constatarea faptului că dispoziția nu are efect juridic sau inexistența sa în ordinea juridică) sau să pronunțe o constatare că omisiunea este ilegală (313). O hotărâre definitivă în temeiul Legii privind contenciosul administrativ este obligatorie pentru părți (314).

(182)

Pe lângă contestarea acțiunii guvernului prin intermediul litigiilor administrative, persoanele fizice pot, de asemenea, să depună o plângere constituțională la Curtea Constituțională cu privire la orice încălcare a drepturilor lor fundamentale ca urmare a exercitării sau neexercitării competenței guvernamentale (cu excepția hotărârilor instanțelor) (315). Dacă sunt disponibile alte căi de atac, acestea trebuie mai întâi epuizate. În conformitate cu jurisprudența Curții Constituționale, cetățenii străini pot depune o plângere constituțională în măsura în care drepturile lor fundamentale sunt recunoscute în temeiul Constituției coreene (a se vedea explicațiile de la secțiunea 1.1) (316). Curtea Constituțională poate invalida exercitarea competenței guvernamentale care a cauzat încălcarea sau poate confirma că o anumită omisiune de a acționa este neconstituțională (317). În acest caz, autoritatea competentă este obligată să ia măsuri pentru a se conforma hotărârii Curții.

(183)

În plus, persoanele fizice pot obține despăgubiri pentru daune în fața instanțelor coreene. În primul rând, aceasta include posibilitatea de a solicita despăgubiri pentru încălcările PIPA comise de autoritățile de asigurare a respectării dreptului penal, în conformitate cu articolul 39 (a se vedea, de asemenea, considerentul 135). La un nivel mai general, persoanele fizice pot solicita despăgubiri pentru prejudiciile cauzate de funcționarii publici în exercitarea atribuțiilor lor oficiale cu încălcarea legii, în temeiul Legii privind despăgubirile acordate de stat (a se vedea, de asemenea, considerentul 135) (318).

(184)

Mecanismele descrise în considerentele 176-183 le oferă persoanelor vizate căi de atac administrative și judiciare eficace, permițându-le în special să își exercite drepturile, inclusiv dreptul de a avea acces la datele lor cu caracter personal sau de a obține rectificarea sau ștergerea unor astfel de date.

(185)

Legislația Republicii Coreea conține o serie de limitări și garanții în ceea ce privește accesul la datele cu caracter personal și utilizarea acestora în scopuri legate de securitatea națională și prevede mecanisme de supraveghere și de exercitare a unei căi de atac care sunt în concordanță cu cerințele menționate în considerentele 141-143 din prezenta decizie. Condițiile în care poate avea loc un astfel de acces și garanțiile aplicabile utilizării acestor competențe sunt evaluate în detaliu în secțiunile următoare.

(186)

În Republica Coreea, datele cu caracter personal pot fi accesate în scopuri de securitate națională pe baza CPPA, a TBA și a Legii privind combaterea terorismului pentru protecția cetățenilor și securitatea publică (Legea privind combaterea terorismului) (319). Principala autoritate (320) cu competențe în domeniul securității naționale este Serviciul Național de Informații (NIS) (321). Colectarea și utilizarea datelor cu caracter personal de către NIS trebuie să respecte cerințele legale relevante (inclusiv PIPA și CPPA) (322) și orientările generale elaborate de președintele statului și revizuite de Adunarea Națională (323). Ca principiu general, NIS trebuie să mențină neutralitatea politică și să protejeze libertatea și drepturile persoanelor (324). În plus, personalul NIS nu trebuie să abuzeze de autoritatea sa oficială pentru a obliga vreo instituție, organizație sau persoană fizică să facă ceva ce nu este obligată să facă (în temeiul legii) și nici să obstrucționeze exercitarea de către orice persoană a drepturilor sale (325).

(187)

Pe baza CPPA, autoritățile publice coreene (326) pot colecta date de confirmare a comunicațiilor (și anume, data telecomunicațiilor, ora inițială și finală, numărul de apeluri trimise și primite, precum și numărul de abonat al celeilalte părți, frecvența utilizării, fișierele-jurnal privind utilizarea serviciilor de telecomunicații și a informațiilor de localizare, a se vedea considerentul 155) și conținutul comunicațiilor (prin intermediul măsurilor de restricționare a comunicațiilor, a se vedea considerentul 155) în scopuri de securitate națională (astfel cum se stabilește prin mandatul NIS, a se vedea nota de subsol 322 de mai sus). Aceste competențe se extind la două tipuri de informații: (1) comunicațiile în cadrul căror una sau ambele părți sunt cetățeni coreeni (327) și (2) comunicațiile a) țărilor ostile Republicii Coreea, b) agențiilor străine, grupurilor sau cetățenilor suspectați de implicare în activități anticoreene (328) sau c) membrilor grupurilor care operează în Peninsula Coreeană, dar care depășesc efectiv suveranitatea Republicii Coreea și grupurile lor umbrelă cu sediul în țări străine (329). Prin urmare, comunicațiile persoanelor din UE transferate din Uniune către Republica Coreea pe baza prezentei decizii pot fi colectate în temeiul CPPA numai în scopuri legate de securitatea națională (sub rezerva condițiilor prevăzute în considerentele 188-192) în cazul în care fie au loc între o persoană din UE și un cetățean coreean, fie, în cazul în care se referă exclusiv la comunicațiile dintre persoane de altă cetățenie decât cea coreeană, se încadrează în una dintre cele trei categorii menționate la punctele 2a), b) și c).

(188)

În ambele scenarii, colectarea datelor de confirmare a comunicațiilor poate avea loc numai în scopul prevenirii amenințărilor la adresa securității naționale (330), în timp ce măsurile de restricționare a comunicațiilor pot fi luate numai atunci când există un risc major pentru securitatea națională, iar colectarea este necesară pentru a preveni acest risc (331). În plus, conținutul comunicațiilor poate fi accesat numai ca măsură de ultimă instanță și trebuie depuse eforturi pentru a reduce la minimum încălcarea confidențialității comunicațiilor (332), asigurându-se astfel că aceasta rămâne proporțională cu obiectivul de securitate națională urmărit. Colectarea atât a conținutului comunicațiilor, cât și a datelor de confirmare a comunicațiilor se poate desfășura numai pe o perioadă maximă de patru luni și trebuie întreruptă imediat dacă obiectivul urmărit este atins mai devreme (333). În cazul în care condițiile relevante continuă să fie îndeplinite, perioada poate fi prelungită, cu autorizarea prealabilă a unei instanțe (pentru măsurile descrise în considerentul 189) sau a președintelui statului (pentru măsurile descrise în considerentul 190) (334), cu până la patru luni.

(189)

Aceleași garanții procedurale se aplică colectării datelor de confirmare a comunicațiilor și conținutului comunicațiilor (335). În special, în cazul în care cel puțin una dintre persoanele implicate în comunicații este cetățean coreean, serviciul de informații trebuie să depună o cerere scrisă la biroul procurorului general, care, la rândul său, trebuie să solicite un mandat din partea președintelui Înaltei Curți (336). CPPA enumeră informațiile care trebuie furnizate în cererea adresată procurorului, în cererea de mandat și în mandatul propriu-zis, care includ, în special, justificarea cererii și principalele motive de suspiciune, materiale justificative, precum și informații privind obiectivul, ținta [și anume persoana (persoanele) vizată (vizate)], domeniul de aplicare și durata măsurii propuse (337). Colectarea fără mandat poate avea loc numai dacă există un act de asociere infracțională care amenință securitatea națională și există o situație de urgență care face imposibilă parcurgerea procedurilor menționate anterior (338). Totuși, și în acest caz, o cerere de emitere a unui mandat trebuie depusă imediat după luarea măsurii (339). Prin urmare, CPPA definește în mod clar domeniul de aplicare și condițiile acestor tipuri de colectare și le supune unor garanții (procedurale) specifice (inclusiv autorizarea judiciară prealabilă), ceea ce asigură că utilizarea unor astfel de măsuri este limitată la ceea ce este necesar și proporțional. În plus, cerința de a furniza informații detaliate atât în cererea de mandat, cât și în mandatul propriu-zis exclude posibilitatea unui acces arbitrar.

(190)

În cazul comunicațiilor dintre persoanele care au altă cetățenie decât cea coreeană care se încadrează în una dintre cele trei categorii specifice enumerate în considerentul 187, trebuie depusă o cerere la directorul NIS, care, după o examinare a caracterului adecvat al măsurilor propuse, trebuie să solicite aprobarea scrisă prealabilă din partea președintelui Republicii Coreea (340). Cererea pregătită de serviciul de informații trebuie să includă aceleași informații detaliate ca o cerere de emitere a unui mandat adresată unei instanțe (a se vedea considerentul 189), în special cu privire la justificarea cererii și la principalele motive de suspiciune, materiale justificative și informații privind obiectivele, persoana (persoanele) vizată (vizate), domeniul de aplicare și durata măsurilor propuse (341). În situații de urgență (342), trebuie obținută aprobarea prealabilă din partea ministrului în subordinea căruia se află serviciul de informații relevant, deși serviciul de informații trebuie să solicite aprobarea președintelui statului imediat după luarea măsurilor de urgență (343). Tot în ceea ce privește colectarea comunicațiilor exclusiv între persoane de altă cetățenie decât cea coreeană, CPPA limitează, prin urmare, utilizarea unor astfel de măsuri la ceea ce este necesar și proporțional, delimitând în mod clar categoriile limitate de persoane care pot face obiectul unor astfel de măsuri și stabilind criterii detaliate pe care serviciile de informații trebuie să le demonstreze pentru a justifica o cerere de colectare de informații. În plus, din nou, aceasta exclude posibilitatea unui acces arbitrar. Deși nu există o aprobare independentă prealabilă a unor astfel de măsuri, supravegherea independentă este asigurată ex post, în special de PIPC și NHRC (a se vedea, de exemplu, considerentele 199-200).

(191)

În plus, CPPA impune mai multe garanții suplimentare care contribuie la supravegherea ex post și facilitează accesul persoanelor la căi de atac eficace. În primul rând, în ceea ce privește orice tip de colectare în scopuri legate de securitatea națională, CPPA prevede cerințe diferite de ținere a evidențelor și de raportare. În special, atunci când solicită cooperarea operatorilor privați, serviciile de informații trebuie să prezinte mandatul judecătoresc/autorizarea prezidențială sau o copie a copertei unei declarații privind cenzura de urgență, pe care entitatea obligată trebuie să o păstreze în dosarele sale (344). În cazul în care operatorii privați sunt obligați să coopereze, atât autoritatea publică solicitantă, cât și operatorul relevant trebuie să țină evidențe privind scopul și obiectul măsurilor, precum și data executării (345). În plus, serviciile de informații trebuie să prezinte directorului NIS un raport cu privire la informațiile pe care le-au colectat și la rezultatul activității de supraveghere (346).

(192)

În al doilea rând, persoanele fizice trebuie să fie informate cu privire la colectarea datelor lor (date de confirmare a comunicațiilor sau conținutul comunicațiilor) în scopuri legate de securitatea națională atunci când se referă la comunicații în cadrul cărora cel puțin una dintre părți este cetățean coreean (347). Această notificare trebuie transmisă în scris în termen de 30 de zile de la data la care s-a încheiat colectarea (inclusiv în cazul în care datele au fost obținute în conformitate cu procedura de urgență) și poate fi amânată numai dacă și atât timp cât ar pune în pericol securitatea națională sau ar dăuna vieții și siguranței fizice a persoanelor respective (348). Indiferent de această notificare, persoanele fizice pot obține despăgubiri prin diferite căi, astfel cum se explică în detaliu în secțiunea 3.3.4.

(193)

Legea privind combaterea terorismului prevede că NIS poate colecta date privind persoanele suspectate de terorism (349) în conformitate cu limitările și garanțiile prevăzute în alte legi (350). În special, NIS poate obține date privind comunicațiile (în temeiul CPPA) și alte informații cu caracter personal (printr-o cerere de divulgare voluntară) (351). În ceea ce privește colectarea informațiilor privind comunicațiile (și anume, conținutul comunicațiilor sau datele de confirmare a comunicațiilor), se aplică limitările și garanțiile descrise în secțiunea 3.3.1.1, inclusiv cerința de a obține un mandat aprobat de instanță. În ceea ce privește cererile de divulgare voluntară a altor tipuri de date cu caracter personal ale persoanelor suspectate de terorism, NIS trebuie să respecte cerințele prevăzute în Constituție și în PIPA cu privire la necesitate și proporționalitate (a se vedea considerentul 164) (352). Operatorii care primesc astfel de cereri pot respecta în mod voluntar condițiile prevăzute în PIPA (de exemplu, în conformitate cu principiul reducerii la minimum a datelor și prin limitarea impactului asupra vieții private a persoanei) (353). În acest caz, ei trebuie, de asemenea, să respecte cerința de notificare a persoanei în cauză în urma Notificării nr. 2021-5 (a se vedea considerentul 166).

(194)

În temeiul TBA, furnizorii de servicii de telecomunicații pot divulga în mod voluntar date privind abonații (a se vedea considerentul 163) la cererea unui serviciu de informații care intenționează să colecteze astfel de informații pentru a preveni o amenințare la adresa securității naționale (354). În ceea ce privește astfel de cereri din partea NIS, se aplică aceleași limitări (care decurg din Constituție, PIPA și TBA) ca și în domeniul asigurării respectării dreptului penal, astfel cum se prevede în considerentul 164 (355). Furnizorii de servicii de telecomunicații nu sunt obligați să se conformeze și pot face acest lucru numai în condițiile prevăzute în PIPA (în special în conformitate cu principiul reducerii la minimum a datelor și prin limitarea impactului asupra vieții private a persoanei; a se vedea, de asemenea, considerentul 193). Se aplică aceleași cerințe în ceea ce privește ținerea evidenței și notificarea persoanei în cauză ca și în domeniul asigurării respectării dreptului penal (a se vedea considerentele 165 și 166).

(195)

Prelucrarea datelor cu caracter personal colectate de autoritățile coreene în scopuri legate de securitatea națională se supune principiilor limitării scopului [articolul 3 alineatele (1)-(2) din PIPA], legalității și echității prelucrării [articolul 3 alineatul (1) din PIPA], proporționalității/reducerii la minimum a datelor [articolul 3 alineatele (1) și (6) și articolului 58 din PIPA], exactității [articolul 3 alineatul (3) din PIPA], transparenței [articolul 3 alineatul (5) din PIPA], securității [articolul 58 alineatul (4) din PIPA] și limitării stocării [articolul 58 alineatul (4) din PIPA] (356). O eventuală dezvăluire a datelor cu caracter personal către terți (inclusiv țări terțe) poate avea loc numai în conformitate cu aceste principii (în special limitarea scopului și reducerea la minimum a datelor), după ce s-a evaluat conformitatea cu principiile necesității și proporționalității [articolul 37 alineatul (2) din Constituție] și luând în considerare impactul asupra drepturilor persoanelor în cauză [articolul 3 alineatul (6) din PIPA].

(196)

În ceea ce privește conținutul comunicațiilor și datele de confirmare a comunicațiilor, CPPA limitează și mai mult utilizarea acestor date la procedurile judiciare, în cazul în care o parte la comunicații le invocă în cadrul unei cereri de despăgubiri; sau utilizările permise în temeiul altor legi (357).

(197)

Activitățile autorităților naționale coreene de securitate sunt supravegheate de diferite organisme (358).

(198)

În primul rând, Legea privind combaterea terorismului prevede mecanisme de supraveghere specifice pentru activitățile de combatere a terorismului, inclusiv colectarea de date privind persoanele suspectate de terorism. În special, la nivelul executivului, activitățile de combatere a terorismului sunt supravegheate de Comisia de combatere a terorismului (359), căreia directorul NIS trebuie să îi raporteze cu privire la investigațiile și urmărirea suspecților de terorism în vederea colectării de informații sau de materiale necesare pentru activitățile de combatere a terorismului (360). În plus, responsabilul cu protecția drepturilor omului (HRPO) supraveghează în mod specific conformitatea activităților de combatere a terorismului cu drepturile fundamentale (361). HRPO este numit de președintele Comisiei de combatere a terorismului din rândul persoanelor care îndeplinesc anumite calificări enumerate în Decretul de punere în aplicare a Legii privind combaterea terorismului (362) pentru un mandat de doi ani (cu posibilitate de reînnoire) și poate fi revocat din funcție doar din motive specifice, limitate și întemeiate (363). În exercitarea funcției sale de supraveghere, HRPO poate emite recomandări generale pentru îmbunătățirea protecției drepturilor omului (364) și recomandări specifice de măsuri de remediere în cazul în care s-a constatat o încălcare a drepturilor omului (365). Autoritățile publice au obligația de a informa HRPO cu privire la măsurile luate ca urmare a recomandărilor sale (366).

(199)

În al doilea rând, PIPC supraveghează respectarea de către autoritățile naționale de securitate a normelor privind protecția datelor, care includ atât dispozițiile aplicabile ale PIPA (a se vedea considerentul 149), cât și limitările și garanțiile care se aplică în cazul colectării de date cu caracter personal în temeiul altor legi (CPPA, Legea privind combaterea terorismului și TBA, a se vedea, de asemenea, considerentul 171) (367). În exercitarea acestui rol de supraveghere, PIPC poate face uz de toate competențele sale de investigare și de remediere, astfel cum sunt descrise în detaliu în secțiunea 2.4.2.

(200)

În al treilea rând, activitățile autorităților naționale de securitate fac obiectul supravegherii independente a NHRC, în conformitate cu procedurile descrise în considerentul 172 (368).

(201)

În al patrulea rând, funcția de supraveghere a BAI se extinde și la autoritățile naționale de securitate, deși NIS poate, în circumstanțe excepționale, să refuze furnizarea anumitor informații sau materiale, și anume atunci când acestea constituie secrete de stat, iar publicarea lor ar avea un impact grav asupra securității naționale (369).

(202)

În cele din urmă, supravegherea parlamentară a activităților NIS este asigurată de Adunarea Națională (prin intermediul unei comisii specializate pentru informații) (370). CPPA stabilește un rol specific de supraveghere pentru Adunarea Națională în ceea ce privește utilizarea măsurilor de restricționare a comunicațiilor în scopuri legate de securitatea națională (371). În special, Adunarea Națională poate efectua inspecții la fața locului ale echipamentelor de interceptare a comunicațiilor și poate solicita atât NIS, cât și operatorilor de telecomunicații care au dezvăluit conținutul comunicațiilor să prezinte un raport în acest sens. Adunarea Națională își poate îndeplini, de asemenea, funcțiile generale de supraveghere (în conformitate cu procedurile descrise în considerentul 174). Legea NIS prevede că directorul NIS trebuie să răspundă fără întârziere atunci când Comisia pentru informații solicită un raport privind o chestiune specifică (372), cu norme specifice pentru anumite informații deosebit de sensibile. În mod concret, directorul NIS poate refuza să răspundă sau să depună mărturie în fața Comisiei numai în circumstanțe excepționale, și anume dacă cererea se referă la secrete de stat care vizează chestiuni militare, diplomatice sau legate de Coreea de Nord, în cazul cărora cunoștințele publice ar putea avea un impact grav asupra „destinului național” al țării (373). În acest caz, Comisia pentru informații poate solicita o explicație din partea prim-ministrului și, dacă nu se oferă nicio explicație în termen de șapte zile, răspunsul sau mărturia nu poate fi refuzat(ă).

(203)

De asemenea, în domeniul securității naționale, sistemul coreean oferă diferite căi (judiciare) pentru a obține despăgubiri, inclusiv despăgubiri pentru daune. Aceste mecanisme le oferă persoanelor vizate căi de atac administrative și judiciare eficace care le permit, în special, să își exercite drepturile, inclusiv dreptul de a avea acces la datele lor cu caracter personal sau de a obține rectificarea sau ștergerea acestor date.

(204)

În primul rând, în temeiul articolului 3 alineatul (5) și al articolului 4 alineatele (1), (3) și (4) din PIPA, persoanele fizice își pot exercita drepturile de acces, rectificare, ștergere și suspendare în fața autorităților naționale de securitate. Secțiunea 6 din Notificarea nr. 2021-5 (anexa I la prezenta decizie) clarifică și mai mult modul în care aceste drepturi se aplică în contextul prelucrării datelor în scopuri de securitate națională. În special, o autoritate națională de securitate poate limita sau refuza exercitarea dreptului numai în măsura în care și atât timp cât este necesar și proporțional pentru a proteja un obiectiv important de interes public (de exemplu, în măsura în care și atât timp cât acordarea dreptului ar pune în pericol o investigație în curs sau ar amenința securitatea națională) sau în cazul în care acordarea dreptului poate aduce atingere vieții sau integrității fizice a unui terț. Prin urmare, invocarea unei astfel de restricții necesită o echilibrare a drepturilor și intereselor individuale în raport cu interesul public relevant și nu poate, în niciun caz, să afecteze substanța dreptului [articolul 37 alineatul (2) din Constituție]. În cazul în care cererea este respinsă sau restricționată, persoanei în cauză trebuie să i se comunice motivele fără întârziere.

(205)

În al doilea rând, persoanele fizice au dreptul de a obține reparații în temeiul PIPA în cazul în care datele lor au fost prelucrate de o autoritate națională de securitate cu încălcarea PIPA sau a limitărilor și garanțiilor prevăzute de alte legi care reglementează colectarea datelor cu caracter personal (în special CPPA; a se vedea considerentul 171) (374). Acest drept poate fi exercitat printr-o plângere adresată PIPC (inclusiv prin intermediul Centrului de intermediere telefonică privind protecția vieții private gestionat de Agenția coreeană pentru internet și securitate) (375). În plus, pentru a facilita accesul la căi de atac împotriva autorităților naționale coreene din domeniul securității, cetățenii UE pot depune o plângere la PIPC prin intermediul autorității lor naționale pentru protecția datelor (376). În acest caz, PIPC va informa persoana în cauză prin intermediul autorității naționale pentru protecția datelor după încheierea investigației (inclusiv, dacă este cazul, cu informații cu privire la măsurile de remediere impuse). În temeiul Legii privind contenciosul administrativ, persoanele fizice pot, de asemenea, să formuleze un recurs/să conteste deciziile sau lipsa de acțiune a PIPC (a se vedea considerentul 132).

(206)

În al treilea rând, persoanele fizice pot depune o plângere la HRPO cu privire la încălcarea dreptului lor la viață privată/la protecția datelor în contextul activităților de combatere a terorismului (și anume, în temeiul Legii privind combaterea terorismului) (377), care poate recomanda măsuri de remediere. Întrucât nu există cerințe de admisibilitate în fața HRPO, o plângere va fi tratată chiar dacă persoana în cauză nu poate demonstra că a fost într-adevăr vătămată (de exemplu din cauza presupusei colectări ilegale a datelor sale de către o autoritate națională de securitate) (378). Autoritatea competentă trebuie să informeze HRPO cu privire la orice măsuri luate pentru punerea în aplicare a recomandărilor sale.

(207)

În al patrulea rând, persoanele fizice pot depune o plângere la NHRC cu privire la colectarea datelor lor de către autoritățile naționale de securitate și pot obține reparații în conformitate cu procedura descrisă în considerentul 178 (379).

(208)

În cele din urmă, sunt disponibile diferite căi de atac judiciare (380), care le permit persoanelor fizice să invoce limitările și garanțiile descrise în secțiunea 3.3.1 pentru a obține reparații. În special, persoanele fizice pot contesta legalitatea acțiunilor autorităților naționale de securitate în temeiul Legii privind contenciosul administrativ (în conformitate cu procedura descrisă în considerentul 181 sau cu Legea privind Curtea Constituțională (a se vedea considerentul 182). În plus, acestea pot obține despăgubiri pentru daune în temeiul Legii privind despăgubirile acordate de stat (astfel cum se descrie mai detaliat în considerentul 183).

(209)

Comisia consideră că Republica Coreea – prin intermediul PIPA, al normelor speciale aplicabile anumitor sectoare (astfel cum sunt analizate în secțiunea 2) și al garanțiilor suplimentare prevăzute în Notificarea nr. 2021-5 (anexa I) – asigură un nivel de protecție a datelor cu caracter personal transferate din Uniunea Europeană care este în esență echivalent cu cel garantat de Regulamentul (UE) 2016/679.

(210)

În plus, Comisia consideră că, în ansamblu, mecanismele de supraveghere și căile de atac prevăzute în legislația coreeană permit detectarea și abordarea în practică a încălcărilor normelor de protecție a datelor de către operatorii din Coreea și pun la dispoziția persoanelor vizate căile de atac juridice necesare pentru a obține accesul la datele cu caracter personal care le privesc și, în cele din urmă, rectificarea sau ștergerea datelor respective.

(211)

În fine, pe baza informațiilor disponibile privind ordinea juridică coreeană, inclusiv expunerile, asigurările și angajamentele guvernului coreean cuprinse în anexa II, Comisia consideră că orice ingerință în interesul public, în special în scopuri de asigurare a respectării dreptului penal și de securitate națională, din partea autorităților publice coreene în drepturile fundamentale ale persoanelor ale căror date cu caracter personal sunt transferate din Uniunea Europeană către Republica Coreea se va limita la ceea ce este strict necesar pentru atingerea obiectivului legitim în cauză și că există o protecție juridică eficace împotriva unei astfel de ingerințe.

(212)

Prin urmare, având în vedere constatările prezentei decizii, ar trebui să se decidă că Republica Coreea asigură un nivel adecvat de protecție în sensul articolului 45 din Regulamentul (UE) 2016/679, interpretat în lumina Cartei drepturilor fundamentale a Uniunii Europene, pentru datele cu caracter personal transferate din Uniunea Europeană către Republica Coreea, către operatori de date cu caracter personal din Republica Coreea care fac obiectul PIPA, cu excepția organizațiilor religioase, în măsura în care prelucrează date cu caracter personal pentru activitățile lor misionare; a partidelor politice, în măsura în care prelucrează date cu caracter personal în contextul numirii candidaților, și a operatorilor care fac obiectul supravegherii de către Comisia pentru servicii financiare în ceea ce privește prelucrarea informațiilor cu caracter personal privind creditele în temeiul Legii privind informațiile privind creditele, în măsura în care prelucrează astfel de informații.

(213)

Statele membre și organele acestora au obligația de a lua măsurile necesare pentru a se conforma actelor instituțiilor Uniunii, întrucât se presupune că aceste acte sunt legale și, prin urmare, produc efecte juridice atât timp cât nu sunt retrase, anulate în cadrul unei acțiuni în anulare sau declarate nule ca urmare a unei trimiteri preliminare sau a unei excepții de nelegalitate.

(214)

În consecință, o decizie a Comisiei privind caracterul adecvat al nivelului de protecție, adoptată în temeiul articolului 45 alineatul (3) din Regulamentul (UE) 2016/679, este obligatorie pentru toate organele statelor membre cărora li se adresează, inclusiv pentru autoritățile de supraveghere independente ale acestora. În special, transferurile de la un operator sau de la o persoană împuternicită de operator din Uniune către operatori din Republica Coreea pot avea loc fără a fi necesară obținerea unei autorizări suplimentare.

(215)

Ar trebui reamintit faptul că, în temeiul articolului 58 alineatul (5) din Regulamentul (UE) 2016/679 și astfel cum este explicat de Curtea de Justiție în hotărârea pronunțată în cauza Schrems (381), în cazul în care o autoritate națională de protecție a datelor pune sub semnul întrebării, inclusiv în urma primirii unei plângeri, compatibilitatea unei decizii a Comisiei privind caracterul adecvat al nivelului de protecție cu dreptul fundamental al unei persoane la viață privată și la protecția datelor, legislația națională trebuie să prevadă o cale de atac pentru a prezenta obiecțiile respective în fața unei instanțe naționale, care poate fi obligată să efectueze o trimitere preliminară către Curtea de Justiție (382).

(216)

În conformitate cu jurisprudența Curții de Justiție (383) și astfel cum se prevede la articolul 45 alineatul (4) din Regulamentul (UE) 2016/679, Comisia ar trebui să monitorizeze continuu evoluțiile relevante din țara terță după adoptarea unei decizii privind caracterul adecvat al nivelului de protecție, pentru a evalua dacă țara terță continuă să asigure un nivel de protecție echivalent în esență. O astfel de verificare este necesară, în orice caz, atunci când Comisia primește orice informație care dă naștere unor îndoieli justificate în această privință.

(217)

Prin urmare, Comisia ar trebui să monitorizeze în permanență situația din Republica Coreea în ceea ce privește cadrul juridic și practica propriu-zisă de prelucrare a datelor cu caracter personal, astfel cum sunt evaluate în prezenta decizie, inclusiv respectarea de către autoritățile coreene a expunerilor, asigurărilor și angajamentelor cuprinse în anexa II. Pentru a facilita acest proces, autoritățile coreene sunt invitate să informeze cu promptitudine Comisia cu privire la evoluțiile semnificative relevante pentru prezenta decizie în ceea ce privește prelucrarea datelor cu caracter personal de către operatorii economici și autoritățile publice, precum și cu privire la limitările și garanțiile aplicabile accesului autorităților publice la datele cu caracter personal.

(218)

În plus, pentru a permite Comisiei să își exercite în mod eficace funcția de monitorizare, statele membre ar trebui să informeze Comisia cu privire la orice acțiune relevantă întreprinsă de autoritățile naționale de protecție a datelor, în special în ceea ce privește solicitările sau plângerile formulate de persoanele vizate din UE cu privire la transferul de date cu caracter personal din Uniunea Europeană către operatori de date din Republica Coreea. De asemenea, Comisia ar trebui să fie informată cu privire la orice indiciu potrivit căruia acțiunile autorităților publice coreene responsabile cu prevenirea, investigarea, detectarea sau aducerea în fața instanței a infracțiunilor sau cu securitatea națională, inclusiv acțiunile oricărui organism de supraveghere, nu asigură nivelul de protecție necesar.

(219)

În conformitate cu articolul 45 alineatul (3) din Regulamentul (UE) 2016/679 (384) și având în vedere faptul că nivelul de protecție asigurat de ordinea juridică coreeană poate suferi modificări, Comisia, în urma adoptării prezentei decizii, ar trebui să verifice periodic dacă constatările referitoare la caracterul adecvat al nivelului de protecție asigurat de Republica Coreea sunt în continuare justificate în fapt și în drept.

(220)

În acest scop, prezenta decizie ar trebui să facă obiectul unei prime revizuiri în termen de trei ani de la intrarea sa în vigoare. În urma acestei prime revizuiri și în funcție de rezultatul acesteia, Comisia va decide, consultându-se îndeaproape cu comitetul instituit în temeiul articolului 93 alineatul (1) din Regulamentul (UE) 2016/679, dacă ciclul de trei ani trebuie menținut. În orice caz, revizuirile ulterioare ar trebui să aibă loc cel puțin o dată la patru ani (385). Revizuirea ar trebui să acopere toate aspectele legate de funcționarea prezentei decizii, în special aplicarea garanțiilor suplimentare prevăzute în anexa I la prezenta decizie, acordând o atenție deosebită protecției aplicate în cazul transferurilor ulterioare; evoluțiile relevante ale jurisprudenței; normele privind prelucrarea informațiilor pseudonimizate în scopuri statistice, de cercetare științifică și de arhivare în interes public, precum și aplicarea excepțiilor prevăzute la articolul 28 alineatul (7) PIPA; eficacitatea exercitării drepturilor individuale, inclusiv înainte de recent reformata PIPC, și aplicarea excepțiilor de la aceste drepturi; aplicarea exceptărilor parțiale prevăzute de PIPA; precum și limitările și garanțiile în ceea ce privește accesul guvernului (astfel cum se prevede în anexa II la prezenta decizie), inclusiv cooperarea PIPC cu autoritățile UE din domeniul protecției datelor cu privire la plângerile depuse de persoanele fizice. Revizuirea ar trebui să acopere, de asemenea, eficacitatea supravegherii și a asigurării respectării legislației, în ceea ce privește PIPA și în domeniul asigurării respectării dreptului penal, precum și în domeniul securității naționale (în special de către PIPC și NHRC).

(221)

Pentru a efectua această revizuire, Comisia ar trebui să se reunească cu PIPC, însoțit, dacă este cazul, de alte autorități coreene responsabile cu accesul administrației publice, inclusiv organismele de supraveghere competente. Participarea la această reuniune ar trebui să fie deschisă reprezentanților membrilor Comitetului european pentru protecția datelor. În cadrul revizuirii, Comisia ar trebui să solicite PIPC să furnizeze informații cuprinzătoare cu privire la toate aspectele relevante pentru constatarea referitoare la caracterul adecvat, inclusiv cu privire la limitările și garanțiile referitoare la accesul administrației publice la date (386). Comisia ar trebui, de asemenea, să solicite explicații atât cu privire la orice informație relevantă pentru prezenta decizie pe care a primit-o, inclusiv cu privire la rapoartele publice întocmite de autoritățile coreene sau de alte părți interesate din Coreea, de Comitetul european pentru protecția datelor, de diferite autorități de protecție a datelor, de grupuri ale societății civile, cât și cu privire la informațiile transmise de mass-media sau de orice altă sursă de informații disponibilă.

(222)

Pe baza revizuirii, Comisia ar trebui să pregătească un raport public care trebuie să fie prezentat Parlamentului European și Consiliului.

(223)

În cazul în care informațiile disponibile, în special informațiile care rezultă din monitorizarea prezentei decizii sau cele furnizate de autoritățile coreene sau ale statelor membre, arată că nivelul de protecție oferit de Republica Coreea ar putea să nu mai fie adecvat, Comisia ar trebui să informeze cu promptitudine autoritățile coreene competente în acest sens și să solicite luarea unor măsuri adecvate într-un termen rezonabil specificat.

(224)

În cazul în care, la expirarea termenului specificat, autoritățile coreene competente nu iau măsura respectivă sau nu demonstrează în mod satisfăcător că prezenta decizie continuă să se bazeze pe un nivel adecvat de protecție, Comisia va iniția procedura menționată la articolul 93 alineatul (2) din Regulamentul (UE) 2016/679 în vederea suspendării sau abrogării parțiale sau integrale a prezentei decizii.

(225)

Ca alternativă, Comisia va iniția această procedură în vederea modificării prezentei decizii, în special prin aplicarea unor condiții suplimentare transferurilor de date sau prin limitarea domeniului de aplicare al constatării referitoare la caracterul adecvat numai la transferurile de date pentru care se asigură în continuare un nivel adecvat de protecție.

(226)

Mai precis, Comisia ar trebui să inițieze procedura de suspendare sau de abrogare în cazul în care există indicii potrivit cărora garanțiile suplimentare cuprinse în anexa I nu sunt respectate de către operatorii economici care primesc date cu caracter personal în temeiul prezentei decizii și/sau nu sunt aplicate în mod eficace sau că autoritățile coreene nu respectă expunerile, asigurările și angajamentele cuprinse în anexa II la prezenta decizie.

(227)

De asemenea, Comisia ar trebui să aibă în vedere inițierea procedurii care conduce la modificarea, suspendarea sau abrogarea prezentei decizii în cazul în care, în contextul revizuirii sau într-un alt context, autoritățile coreene competente nu furnizează informațiile sau clarificările necesare pentru evaluarea nivelului de protecție acordat datelor cu caracter personal transferate din Uniunea Europeană către Republica Coreea sau în ceea ce privește respectarea prezentei decizii. În această privință, Comisia ar trebui să ia în considerare măsura în care informațiile relevante pot fi obținute din alte surse.

(228)

Din motive imperioase de urgență justificate corespunzător, Comisia va face uz de posibilitatea de a adopta, în conformitate cu procedura menționată la articolul 93 alineatul (3) din Regulamentul (UE) 2016/679, acte de punere în aplicare imediat aplicabile de suspendare, abrogare sau modificare a deciziei.

(229)

Comitetul european pentru protecția datelor și-a publicat avizul (387), care a fost luat în considerare la pregătirea prezentei decizii.

(230)

Măsurile prevăzute în prezenta decizie sunt conforme cu avizul comitetului instituit în temeiul articolului 93 alineatul (1) din Regulamentul (UE) 2016/679,