(1)

Uredba (EU) 2016/679 določa pravila o prenosu osebnih podatkov od upravljavcev ali obdelovalcev v Uniji v tretje države in mednarodne organizacije, če taki prenosi spadajo na področje uporabe navedene uredbe. Pravila o mednarodnem prenosu podatkov vsebuje poglavje V navedene uredbe (členi 44 do 50). Čeprav je pretok osebnih podatkov v države zunaj Evropske unije in iz njih ključen za širitev čezmejne trgovine in mednarodnega sodelovanja, je treba zagotoviti, da zaradi takih prenosov v tretje države ni ogrožena raven varstva osebnih podatkov, ki se zagotavlja v Uniji (2).

(2)

V skladu s členom 45(3) Uredbe (EU) 2016/679 lahko Komisija z izvedbenim aktom odloči, da tretja država, ozemlje ali en oziroma več določenih sektorjev v tretji državi ali mednarodna organizacija zagotavlja ustrezno raven varstva. Pod tem pogojem se lahko osebni podatki v tretjo državo prenašajo brez dodatnega dovoljenja, kot je določeno v členu 45(1) in uvodni izjavi 103 Uredbe (EU) 2016/679.

(3)

Kot je navedeno v členu 45(2) Uredbe (EU) 2016/679, mora sprejetje sklepa o ustreznosti temeljiti na celoviti analizi pravnega reda tretje države, kar vključuje pravila, ki se uporabljajo glede uvoznikov podatkov, ter omejitve in zaščitne ukrepe glede dostopa javnih organov do osebnih podatkov. Komisija mora v oceni ugotoviti, ali zadevna tretja država zagotavlja raven varstva, ki je „v osnovi enakovredna“ tisti, zagotovljeni v Evropski uniji (uvodna izjava 104 Uredbe (EU) 2016/679). Ali je tako, je treba oceniti glede na zakonodajo Unije, predvsem Uredbo (EU) 2016/679, in sodno prakso Sodišča Evropske unije (3).

(4)

Kot je pojasnilo Sodišče Evropske unije, v ta namen ni nujno, da se ugotovi identična raven varstva (4). To pomeni zlasti, da se lahko sredstva, ki jih zadevna tretja država uporablja za varstvo osebnih podatkov, razlikujejo od tistih, ki jih uporablja Unija, če se v praksi izkaže, da so učinkovita pri zagotavljanju ustrezne ravni varstva (5). Standard ustreznosti torej ne zahteva doslednega posnemanja pravil Unije. Pač pa se prouči, ali tuji sistem kot celota z vsebino pravic do zasebnosti ter njihovim učinkovitim izvajanjem, nadzorom in izvrševanjem zagotavlja zahtevano raven varstva (6). Smernice v zvezi s tem zagotavlja tudi referenčni dokument o ustreznosti, ki ga je izdal Evropski odbor za varstvo podatkov in v katerem je nadalje pojasnjen ta standard (7).

(5)

Komisija je skrbno proučila korejsko zakonodajo in prakso. Na podlagi ugotovitev iz uvodnih izjav (8) do (208) Komisija ugotavlja, da Republika Koreja zagotavlja ustrezno raven varstva osebnih podatkov, ki se od upravljavca oziroma obdelovalca v Uniji (8) prenašajo k subjektom (npr. fizičnim ali pravnim osebam, organizacijam, javnim organom) v Koreji, ki spadajo na področje uporabe zakona o varstvu osebnih podatkov (zakon št. 10465 z dne 29. marca 2011, kakor je bil nazadnje spremenjen z zakonom št. 16930 z dne 4. februarja 2020). To vključuje upravljavce in obdelovalce (tako imenovane zunanje izvajalce (9)) v smislu Uredbe (EU) 2016/679. Ugotovitev o ustreznosti ne zajema obdelave osebnih podatkov za misijonarske dejavnosti verskih organizacij in imenovanja kandidatov s strani političnih strank, niti obdelave osebnih kreditnih informacij na podlagi zakona o kreditnih informacijah s strani upravljavcev, ki so pod nadzorom komisije za finančne storitve.

(6)

V teh sklepnih ugotovitvah se upoštevajo dodatni zaščitni ukrepi iz Uradnega obvestila št. 2021-5 (Priloga I) ter uradne navedbe, zagotovila in zaveze, ki jih je korejska vlada dala Komisiji (Priloga II).

(7)

Ta sklep pomeni, da za prenos osebnih podatkov upravljavcem in obdelovalcem v Republiki Koreji ni treba pridobiti nobenega dodatnega dovoljenja. Ne vpliva na neposredno uporabo Uredbe (EU) 2016/679 za take subjekte, če so izpolnjeni pogoji glede ozemeljske veljavnosti navedene uredbe iz njenega člena 3.

(8)

Pravni sistem, ki v Koreji ureja varstvo zasebnosti in podatkov, temelji na korejski ustavi, razglašeni 17. julija 1948. Čeprav pravica do varstva osebnih podatkov v ustavi ni izrecno navedena, pa je kljub temu priznana kot temeljna pravica, ki izhaja iz ustavnih pravic do človekovega dostojanstva in prizadevanja za srečo (člen 10), zasebnega življenja (člen 17) in zasebnosti komunikacij (člen 18). To sta potrdili vrhovno sodišče (10) in ustavno sodišče (11). Omejitve temeljnih pravic in svoboščin (vključno s pravico do zasebnosti) se lahko naložijo le z zakonom, kadar je to potrebno za nacionalno varnost ali vzdrževanje javnega reda in miru zaradi javne blaginje, in ne smejo vplivati na bistvo zadevne pravice ali svoboščine (člen 37(2)).

(9)

Čeprav se ustava na več mestih sklicuje na pravice korejskih državljanov, je ustavno sodišče odločilo, da temeljne pravice veljajo tudi za tujce (12). Natančneje, sodišče je odločilo, da ima vsak človek, ne le vsak državljan, pravico do varstva svojega dostojanstva in vrednosti ter pravico, da si prizadeva za srečo (13). Poleg tega je glede na uradne navedbe korejske vlade (14) splošno priznano, da členi 12 do 22 ustave (ki vključujejo tudi pravice do zasebnosti) zagotavljajo temeljne človekove pravice (15). Čeprav še ne obstaja sodna praksa, ki bi se nanašala posebej na pravico do zasebnosti tujih državljanov, pa dejstvo, da ta temelji na varstvu človekovega dostojanstva in prizadevanja za srečo, podpira tako ugotovitev (16).

(10)

Poleg tega je Koreja sprejela več zakonov na področju varstva podatkov, ki določajo zaščitne ukrepe za vse posameznike, ne glede na njihovo državljanstvo (17). Za namene tega sklepa so relevantni naslednji zakoni:

(11)

Zakon o varstvu osebnih podatkov določa splošni pravni okvir za varstvo podatkov v Republiki Koreji. Dopolnjuje ga uredba o izvajanju (predsedniška uredba št. 23169 z dne 29. septembra 2011, nazadnje spremenjena s predsedniško uredbo št. 30892 z dne 4. avgusta 2020; v nadaljnjem besedilu: uredba o izvajanju zakona o varstvu osebnih podatkov), ki je tako kot zakon o varstvu osebnih podatkov pravno zavezujoča in izvršljiva.

(12)

Prav tako regulativna uradna obvestila, ki jih sprejema komisija za varstvo osebnih podatkov, določajo nadaljnja pravila glede razlage in uporabe zakona o varstvu osebnih podatkov. Komisija za varstvo osebnih podatkov je na podlagi člena 5 (obveznosti države) zakona o varstvu osebnih podatkov in člena 14 (mednarodno sodelovanje) istega zakona sprejela uradno obvestilo št. 2021-5 z dne 1. septembra 2020 (kakor je bilo spremenjeno z obvestilom št. 2021-1 z dne 21. januarja 2021 in obvestilom št. 2021-5 z dne 16. novembra 2021, v nadaljnjem besedilu: uradno obvestilo št. 2021-5) o razlagi, uporabi in izvrševanju nekaterih določb zakona o varstvu osebnih podatkov. Navedeno uradno obvestilo vsebuje pojasnila, ki se uporabljajo za vsakršno obdelavo osebnih podatkov na podlagi zakona o varstvu osebnih podatkov, ter dodatne zaščitne ukrepe za osebne podatke, ki se v Korejo prenašajo na podlagi tega sklepa. Uradno obvestilo je pravno zavezujoče za obdelovalce osebnih podatkov, izvršujejo pa ga lahko komisija za varstvo osebnih podatkov in sodišča (19). Kršitev pravil iz uradnega obvestila pomeni kršitev zadevnih določb zakona o varstvu osebnih podatkov, ki jih dopolnjujejo. Vsebina dodatnih zaščitnih ukrepov je torej analizirana v okviru ocene zadevnih členov zakona o varstvu osebnih podatkov. Nazadnje, nadaljnje smernice o zakonu o varstvu osebnih podatkov in uredbi o njegovem izvajanju, na katerih temeljita uporaba in izvrševanje pravil o varstvu podatkov s strani komisije za varstvo osebnih podatkov, vsebujejo priročnik in smernice o zakonu o varstvu osebnih podatkov, ki jih je sprejela komisija za varstvo osebnih podatkov (20).

(13)

Poleg tega zakon o uporabi in varstvu kreditnih informacij določa posebna pravila, ki se uporabljajo za „navadne“ gospodarske subjekte in specializirane subjekte v finančnem sektorju, kadar ti obdelujejo osebne kreditne informacije, tj. podatke, ki so potrebni za določitev kreditne sposobnosti strank v finančnih ali poslovnih transakcijah. To zlasti vključuje ime, kontaktne podatke, finančne transakcije, bonitetno oceno, zavarovalni status ali preostali znesek posojila, kadar se taki podatki uporabljajo za določitev posameznikove kreditne sposobnosti (21). Kadar pa se taki podatki uporabljajo za druge namene (npr. kadrovske), se zakon o varstvu osebnih podatkov uporablja v celoti. Skladnost s posebnimi določbami o varstvu podatkov iz zakona o uporabi in varstvu kreditnih informacij deloma nadzoruje komisija za varstvo osebnih podatkov (glede gospodarskih subjektov glej člen 45-3 zakona o uporabi in varstvu kreditnih informacij) in deloma komisija za finančne storitve (22) (glede finančnega sektorja, vključno z bonitetnimi agencijami, bankami, zavarovalnicami, vzajemnimi hranilnicami, specializiranimi kreditnimi finančnimi družbami, družbami za storitve finančnih naložb, finančnimi družbami za vrednostne papirje, kreditnimi zadrugami itd. glej člen 45(1) zakona o uporabi in varstvu kreditnih informacij v povezavi s členom 36-2 uredbe o izvajanju zakona o uporabi in varstvu kreditnih informacij in členom 38 zakona o komisiji za finančne storitve). V tem smislu je področje uporabe tega sklepa omejeno na gospodarske subjekte, ki jih nadzoruje komisija za varstvo osebnih podatkov (23). Posebna pravila zakona o uporabi in varstvu kreditnih informacij, ki se uporabljajo v tem okviru (splošna pravila zakona o varstvu osebnih podatkov se uporabljajo, če ni posebnih pravil), so opisana v oddelku 2.3.11.

(14)

Varstvo osebnih podatkov ureja zakon o varstvu osebnih podatkov, razen če je v drugih zakonih izrecno določeno drugače (člen 6). Materialno in osebno področje uporabe določajo opredelitve pojmov „osebni podatek“, „obdelava“ in „obdelovalec osebnih podatkov“.

(15)

Člen 2(1) zakona o varstvu osebnih podatkov te opredeljuje kot podatke, ki se nanašajo na živečega posameznika in s katerimi je mogoče posameznika identificirati neposredno, na primer z imenom, registrsko številko prebivalca ali sliko, ali posredno, in sicer kadar je mogoče podatke, s katerimi ni mogoče identificirati določenega posameznika, brez težav združiti z drugimi podatki. Ali je mogoče podatke „brez težav“ združiti, je odvisno od tega, ali je tako združevanje razumno verjetno, pri čemer se upoštevajo verjetnost za pridobitev drugih podatkov ter čas, stroški in tehnologija, ki so potrebni za identifikacijo posameznika.

(16)

Poleg tega se na podlagi zakona o varstvu osebnih podatkov (člen 2(1), točka (c)) psevdonimizirani podatki (tj. podatki, s katerimi posameznika ni mogoče identificirati brez uporabe dodatnih informacij ali združevanja z njimi za obnovitev podatkov v prvotno stanje) štejejo za osebne podatke. Nasprotno pa se zakon o varstvu osebnih podatkov ne uporablja za informacije, ki so povsem anonimizirane (člen 58-2 navedenega zakona). To velja za informacije, s katerimi ni mogoče identificirati določenega posameznika, niti v povezavi z drugimi informacijami, ob upoštevanju časa, stroškov in tehnologije, ki so razumno potrebni za tako identifikacijo.

(17)

To ustreza materialnemu področju uporabe Uredbe (EU) 2016/679 in njenim pojmom „osebni podatki“, „psevdonimizacija“ (24) in „anonimizirane informacije“ (25).

(18)

Pojem „obdelava“ je v zakonu o varstvu osebnih podatkov široko opredeljen kot „zbiranje, ustvarjanje, povezovanje, beleženje, shranjevanje, hramba, obdelava z dodano vrednostjo, urejanje, priklic, dajanje na voljo, popravljanje, obnavljanje, uporaba, zagotavljanje, razkrivanje in uničenje osebnih podatkov ter druge podobne dejavnosti“ (26). Čeprav se nekatere določbe zakona o varstvu osebnih podatkov nanašajo le na posebne vrste obdelave, kot so „uporaba“, „zagotavljanje“ ali „zbiranje“ (27), pa se pojem „uporaba“ razlaga tako, da vključuje vse vrste obdelave, razen „zbiranja“ ali „zagotavljanja“ (tretjim osebam). Ta široka razlaga pojma „uporaba“ torej zagotavlja, da v varstvu ni vrzeli pri posameznih dejavnostih obdelave. Pojem obdelave torej ustreza istemu pojmu iz Uredbe (EU) 2016/679.

(19)

Zakon o varstvu osebnih podatkov se uporablja za „upravljavce osebnih podatkov“ (v nadaljnjem besedilu: upravljavec). Podobno kot v Uredbi (EU) 2016/679 ta izraz vključuje vsak javni organ, pravno osebo, organizacijo ali posameznika, ki kot del svojih dejavnosti obdeluje osebne podatke neposredno ali posredno za delo z datotekami z osebnimi podatki (28). V tem smislu „datoteka z osebnimi podatki“ pomeni kateri koli „niz ali več nizov osebnih podatkov, ki so sistematično urejeni ali organizirani po določenem pravilu, da se omogoči preprost dostop do osebnih podatkov“ (člen 2(4) zakona o varstvu podatkov) (29). Upravljavec mora v okviru svoje organizacije usposobiti osebe, ki pod njegovim vodstvom sodelujejo pri obdelavi, na primer uslužbence ali zaposlene v družbi, ter izvajati ustrezen nadzor (člen 28(1) zakona o varstvu osebnih podatkov).

(20)

Posebne obveznosti veljajo, kadar upravljavec odda obdelavo osebnih podatkov tretji osebi (zunanjemu izvajalcu). Taka oddaja zunanjemu izvajalcu mora biti zlasti urejena s pravno zavezujočim dogovorom (običajno s pogodbo) (30), ki opredeljuje obseg dela, oddanega zunanjemu izvajalcu, namen obdelave, tehnične in upravljavske standarde, ki se morajo uporabljati, nadzor s strani upravljavca, odgovornost (npr. odškodnino za škodo zaradi kršitve pogodbenih obveznosti) in omejitve morebitne podobdelave (31) (člen 26(1) in (2) zakona o varstvu osebnih podatkov v povezavi s členom 28(1) uredbe o izvajanju) (32).

(21)

Poleg tega mora upravljavec objaviti in stalno posodabljati informacije o delu, oddanem v zunanje izvajanje, ter o zunanjih izvajalcih; če se obdelava, oddana v zunanje izvajanje, nanaša na dejavnosti neposrednega trženja, pa mora zadevne informacije zagotoviti neposredno posamezniku (člen 26(2) in (3) zakona o varstvu osebnih podatkov v povezavi s členom 28(2)-(5) uredbe o izvajanju) (33).

(22)

Prav tako mora v skladu s členom 26(4) zakona o varstvu osebnih podatkov v povezavi s členom 28(6) uredbe o izvajanju upravljavec zunanjega izvajalca „podučiti“ o potrebnih varnostnih ukrepih in nadzirati, med drugim z inšpekcijskimi pregledi, ali zagotavlja skladnost z vsemi obveznostmi upravljavca na podlagi zakona o varstvu osebnih podatkov (34) in na podlagi pogodbe o zunanjem izvajanju. Če zunanji izvajalec povzroči škodo zaradi kršitev zakona o varstvu osebnih podatkov, se za namene odgovornosti njegova dejanja ali opustitve pripišejo upravljavcu, tako kot v primeru zaposlenega (člen 26(6) zakona o varstvu osebnih podatkov).

(23)

Čeprav zakon o varstvu osebnih podatkov torej ne razlikuje med pojmoma „upravljavec“ in „obdelovalec“, pa pravila o oddaji del v zunanje izvajanje zagotavljajo v osnovi enakovredne obveznosti in zaščitne ukrepe kot pravila, ki urejajo razmerje med upravljavcem in obdelovalcem na podlagi Uredbe (EU) 2016/679.

(24)

Čeprav se zakon o varstvu osebnih podatkov uporablja za obdelavo osebnih podatkov s strani katerega koli upravljavca, pa nekatere določbe vsebujejo posebna pravila (kot lex specialis) glede obdelave osebnih podatkov „uporabnikov“ s strani „ponudnikov informacijskih in komunikacijskih storitev“ (35). Pojem „uporabniki“ vključuje posameznike, ki uporabljajo informacijske in komunikacijske storitve (člen 2(1), točka 4, zakona o spodbujanju uporabe informacijskih in komunikacijskih omrežij in varstva podatkov, v nadaljnjem besedilu: zakon o omrežjih). To pomeni, da mora posameznik bodisi neposredno uporabljati telekomunikacijske storitve, ki jih zagotavlja korejski telekomunikacijski operater, bodisi uporabljati informacijske storitve (36), ki jih komercialno (tj. za dobiček) zagotavlja subjekt, ki se sam zanaša na storitve telekomunikacijskega operaterja, ki ima dovoljenje za opravljanje storitev ali je registriran v Koreji (37). V obeh primerih je subjekt, ki ga zavezujejo specifične določbe zakona o varstvu osebnih podatkov, tisti, ki ponuja spletno storitev neposredno posamezniku (tj. uporabniku).

(25)

Nasprotno pa se ugotavljanje ustreznosti nanaša izključno na raven varstva pri prenosu osebnih podatkov od upravljavca/obdelovalca v Uniji k subjektu v tretji državi (v tem primeru: v Republiki Koreji). V slednjem primeru bodo imeli posamezniki v Uniji običajno neposreden odnos le z „izvoznikom podatkov“ v Uniji, ne pa tudi s korejskim ponudnikom informacijskih in komunikacijskih storitev (38). Zato se bodo posebne določbe zakona o varstvu osebnih podatkov, ki se nanašajo na osebne podatke uporabnikov informacijskih in komunikacijskih storitev, uporabljale le v omejenih primerih za osebne podatke, ki se prenašajo na podlagi tega sklepa.

(26)

Člen 58(1) zakona o varstvu osebnih podatkov izključuje uporabo dela navedenega zakona (tj. členov 15 do 57) za štiri vrste obdelave podatkov (39). Zlasti se ne uporabljajo deli zakona o varstvu osebnih podatkov, ki se nanašajo na posebno podlago za obdelavo, nekatere obveznosti glede varstva podatkov, podrobna pravila glede uresničevanja pravic posameznikov in pravila, ki urejajo reševanje sporov v okviru odbora za mediacijo v primeru sporov v zvezi z osebnimi podatki. Druge temeljne določbe zakona o varstvu osebnih podatkov se uporabljajo, zlasti splošne določbe o načelih glede varstva podatkov (člen 3 zakona o varstvu osebnih podatkov) – kar vključuje na primer načela zakonitosti, opredelitve in omejitve namena, najmanjšega obsega podatkov ter točnosti in varnosti podatkov – in pravic posameznikov (do dostopa, popravka, izbrisa in prenehanja obdelave, glej člen 4 zakona o varstvu osebnih podatkov). Poleg tega člen 58(4) zakona o varstvu osebnih podatkov uvaja posebne obveznosti glede takih dejavnosti obdelave, in sicer glede najmanjšega obsega podatkov, omejene hrambe podatkov, varnostnih ukrepov in obravnave pritožb (40). Posledično lahko posamezniki še vedno vložijo pritožbo pri komisiji za varstvo osebnih podatkov, če se ta načela in obveznosti ne upoštevajo, navedena komisija pa lahko v primeru neskladnosti sprejme izvršilne ukrepe.

(27)

Prvič, delna izjema se nanaša na osebne podatke, ki jih z namenom obdelave in na podlagi zakona o statističnih podatkih zbirajo javni organi. Iz pojasnil korejske vlade izhaja, da se osebni podatki, ki se obdelujejo v tem okviru, običajno nanašajo na korejske državljane in le izjemoma vključujejo podatke o tujcih, namreč v primeru statističnih podatkov o vstopu na ozemlje in izstopu z njega ali o tujih naložbah. Vendar pa se tudi v takih primerih podatki običajno ne prenašajo od upravljavcev/obdelovalcev v Uniji, ampak jih neposredno zbirajo javni organi v Koreji (41). Poleg tega podobno kot je navedeno v uvodni izjavi 162 Uredbe (EU) 2016/679 za obdelavo podatkov na podlagi zakona o statistiki velja več pogojev in zaščitnih ukrepov. Zakon o statistiki nalaga zlasti posebne obveznosti, kot so zagotavljanje točnosti, doslednosti in nepristranskosti; da se posameznikom zagotovi zaupnost, da se varujejo podatki anketirancev pri izvajanju statističnih anket, da se med drugim prepreči uporaba takih podatkov za kateri koli drug namen, razen za zbiranje statističnih podatkov, in da se osebje zaveže k varovanju zaupnosti (42). Javni organi, ki obdelujejo statistične podatke, morajo med drugim upoštevati tudi načela najmanjšega obsega podatkov, omejitve namena in varnosti (člen 3 in člen 58(4) zakona o varstvu osebnih podatkov) ter posameznikom omogočiti uveljavljanje njihovih pravic (dostop, popravek, izbris in prenehanje obdelave, glej člen 4 zakona o varstvu osebnih podatkov). Nazadnje, podatke je treba obdelovati v anonimizirani ali psevdonimizirani obliki, če to omogoča izpolnitev namena obdelave (člen 3(7) PIPA).

(28)

Drugič, člen 58(1) zakona o varstvu osebnih podatkov se nanaša na osebne podatke, zbrane ali zahtevane zaradi analize informacij, povezanih z nacionalno varnostjo. Področje uporabe in posledice te delne izjeme so podrobneje opisani v uvodni izjavi (149).

(29)

Tretjič, delna izjema se nanaša na začasno obdelavo osebnih podatkov, kadar je to nujno potrebno zaradi javne varnosti, vključno z javnim zdravjem. Komisija za varstvo osebnih podatkov to kategorijo razlaga ozko in po prejetih informacijah ni bila nikoli uporabljena. Uporablja se le v nujnih primerih, ko je potrebno takojšnje ukrepanje, na primer pri sledenju povzročiteljem nalezljivih bolezni ali pri reševanju žrtev naravnih nesreč in zagotavljanju pomoči tem žrtvam (43). Tudi v teh primerih se delno izvzetje nanaša le na obdelavo osebnih podatkov za omejeno časovno obdobje za izvedbo takega ukrepa. Primeri, ko bi to lahko veljalo za prenose podatkov, na katere se nanaša ta sklep, so še bolj omejeni, saj je malo verjetno, da bi bili osebni podatki, ki se iz Unije prenašajo h korejskim subjektom, take vrste, da bi bila njihova obdelava v takih nujnih primerih „nujno potrebna“.

(30)

Nazadnje, delna izjema velja za osebne podatke, ki jih zbirajo ali uporabljajo mediji, verske organizacije za misijonarske dejavnosti ali politične stranke za imenovanje kandidatov. Izjema velja le, kadar mediji, verske organizacije ali politične stranke osebne podatke obdelujejo za navedene posebne namene (tj. novinarsko dejavnost, misijonarsko delo in imenovanje političnih kandidatov). Kadar navedeni subjekti obdelujejo osebne podatke za druge namene, na primer kadrovske zadeve ali notranje upravljanje, se zakon o varstvu osebnih podatkov v celoti uporablja.

(31)

Pri obdelavi osebnih podatkov s strani medijev za namene novinarske dejavnosti uravnoteženost med svobodo izražanja in drugimi pravicami (vključno s pravico do zasebnosti) zagotavlja zakon o arbitraži in pravnih sredstvih itd. zaradi škode, ki jo povzroči poročanje medijev (v nadaljnjem besedilu: zakon o medijih) (44). Zlasti člen 5 zakona o medijih določa, da mediji (tj. katera koli organizacija za radiofuzijo, časopis, revija ali spletni časopis), spletne novičarske storitve ali spletne multimedijske organizacije za radiofuzijo ne smejo kršiti zasebnosti posameznikov. Če kljub temu pride do kršitve zasebnosti, jo je treba takoj odpraviti v skladu s posebnimi postopki iz navedenega zakona. V tem smislu zakon o medijih posameznikom, ki so utrpeli škodo zaradi medijskega poročanja, zagotavlja več pravic, na primer do objave popravka neresnične izjave, popravka v obliki nasprotne izjave ali nadaljnjega poročanja (kadar se medijsko poročanje nanaša na domnevno kaznivo dejanje, ki ga je posameznik pozneje oproščen) (45). Pritožbe posameznikov lahko neposredno obravnava medijska hiša (prek varuha pravic) (46), lahko se obravnavajo v okviru spravnega postopka oziroma arbitraže (pred posebno komisijo za arbitražo na področju medijev) (47) ali pred sodišči. Posamezniki lahko prejmejo tudi odškodnino, če zaradi nezakonitega dejanja medija (namerno ali iz malomarnosti) utrpijo denarno škodo, poseg v osebnostne pravice ali druge duševne bolečine (48). Na podlagi zakona so mediji oproščeni odgovornosti, če njihovo poročanje, ki posega v pravice posameznika, ni v nasprotju z družbenimi vrednotami in če je objavljeno s privolitvijo zadevnega posameznika ali v javnem interesu (in če obstaja dovolj razlogov za sklepanje, da poročanje ustreza resnici) (49).

(32)

Medtem ko za obdelavo osebnih podatkov s strani medijev za namene novinarske dejavnosti torej veljajo posebni zaščitni ukrepi, ki izhajajo iz zakona o medijih, pa ni takih dodatnih zaščitnih ukrepov, ki bi določali uporabo izjem za dejavnosti obdelave s strani verskih organizacij ali političnih strank ter bi bili primerljivi s členi 85, 89 in 91 Uredbe (EU) 2016/679. Komisija torej meni, da je ustrezno, da se s področja uporabe tega sklepa izključijo verske organizacije, kadar obdelujejo osebne podatke za misijonarsko dejavnost, in politične stranke, kadar obdelujejo osebne podatke v okviru imenovanja kandidatov.

(33)

Osebni podatki bi se morali obdelovati zakonito in pošteno.

(34)

To načelo določa člen 3(1) in (2) zakona o varstvu osebnih podatkov, utrjuje pa ga člen 59 navedenega zakona, ki prepoveduje obdelavo osebnih podatkov „na podlagi goljufije ali z neprimernimi oziroma nepoštenimi sredstvi“, „brez zakonskega pooblastila“ ali „s prekoračitvijo takega pooblastila“ (50). Ta splošna načela zakonite obdelave so podrobneje opredeljena v členih 15 do 19 zakona o varstvu osebnih podatkov, ki določajo različne pravne podlage za obdelavo (zbiranje, uporaba in zagotavljanje tretjim osebam), med drugim v okoliščinah, v katerih se lahko namen spremeni (člen 18 zakona o varstvu osebnih podatkov).

(35)

V skladu s členom 15(1) zakona o varstvu osebnih podatkov lahko upravljavec osebne podatke (v okviru obsega namena zbiranja) zbira le na podlagi omejenega števila pravnih podlag. Te so (1) privolitev posameznika, na katerega se nanašajo osebni podatki (51) (točka 1); (2) potreba po sklenitvi in izpolnitvi pogodbe s posameznikom, na katerega se nanašajo osebni podatki (točka 4); (3) posebno pooblastilo v zakonu ali potreba po izpolnitvi pravne obveznosti (točka 2); obveznost (52) javnega organa, da izvaja naloge v okviru svoje pristojnosti, kot to določa zakon; (4) očitna potreba po zaščiti življenja, telesa ali premoženja posameznika, na katerega se nanašajo osebni podatki, ali tretje osebe pred neposredno nevarnostjo (le če posameznik, na katerega se nanašajo osebni podatki, ne more izraziti svojega namena, ali če predhodne privolitve ni mogoče pridobiti) (točka 5); (5) potreba po uresničitvi „upravičenega interesa“ upravljavca, če ta „očitno prevlada“ nad interesi posameznika, na katerega se nanašajo osebni podatki (in le kadar je obdelava „pomembno povezana“ z zakonitim interesom in ne presega tega, kar je razumno) (točka 6) (53). Te podlage za obdelavo so v osnovi enakovredne tistim iz člena 6 Uredbe (EU) 2016/679, vključno s podlago „upravičenega interesa“, ki je enakovredna podlagi „zakonitega interesa“ iz člena 6(1), točka f, Uredbe (EU) 2016/679.

(36)

Zbrani osebni podatki se lahko uporabljajo v okviru namena zbiranja (člen 15(1) zakona o varstvu osebnih podatkov) ali „v okviru obsega, ki je razumno povezan“ z namenom zbiranja, pri čemer se upoštevajo morebitne težave za posameznika, na katerega se nanašajo osebni podatki, sprejeti pa morajo biti tudi potrebni varnostni ukrepi (npr. šifriranje) (člen 15(3) zakona o varstvu osebnih podatkov). Za ugotovitev, ali je namen uporabe „razumno povezan“ z izvirnim namenom zbiranja, uredba o izvajanju določa posebna merila, ki so podobna tistim iz člena 6(4) Uredbe (EU) 2016/679. Zlasti velja, da mora obstajati pomembna povezava z izvirnim namenom, da mora biti dodatna uporaba predvidljiva (npr. glede na okoliščine, v katerih so bile informacije zbrane) in da morajo biti podatki psevdonimizirani, če je to mogoče (54). Posebna merila, ki jih upravljavec uporablja pri tej oceni, morajo biti vnaprej navedena v politiki zasebnosti (55). Poleg tega se izrecno zahteva, da pooblaščena oseba za varstvo zasebnosti (glej uvodno izjavo (94)) preveri, ali nadaljnja uporaba spada v navedene parametre.

(37)

Podobna (vendar nekoliko strožja) pravila se uporabljajo za zagotavljanje podatkov tretjim osebam. Člen 71(1) zakona o varstvu osebnih podatkov določa, da se lahko osebni podatki zagotavljajo tretjim osebam na podlagi privolitve (56) ali v okviru namena zbiranja, če so bili podatki zbrani sklicujoč se na eno od pravnih podlag iz člena 15(1), točke 2, 3 in 5, zakona o varstvu osebnih podatkov. To zlasti izključuje vsako razkritje na podlagi „upravičenega interesa“ upravljavca. Zunaj tega okvira člen 17(4) zakona o varstvu osebnih podatkov omogoča zagotavljanje podatkov tretji osebi „v okviru obsega, ki je razumno povezan“ z namenom zbiranja, pri čemer je treba prav tako upoštevati morebitne težave za posameznika, na katerega se nanašajo osebni podatki, sprejeti pa morajo biti tudi potrebni varnostni ukrepi (npr. šifriranje). Pri oceni, ali zagotavljanje podatkov spada v obseg, ki je razumno povezan z namenom zbiranja, in ali se uporabljajo enaki zaščitni ukrepi (tj. glede preglednosti na podlagi politike zasebnosti in vključevanja pooblaščene osebe za varstvo zasebnosti), je treba upoštevati enake dejavnike, kot so opisani v uvodni izjavi (36).

(38)

Če korejski upravljavec podatkov prejme osebne podatke iz Unije, se to šteje za „zbiranje“ v smislu člena 15 zakona o varstvu osebnih podatkov. V uradnem obvestilu št. 2021-5 (Priloga I, oddelek I, k temu sklepu) je pojasnjeno, da je namen, za katerega zadevni subjekt EU prenese podatke, tudi namen zbiranja za korejskega upravljavca podatkov. Posledično morajo korejski upravljavci podatkov, ki prejmejo osebne podatke iz Unije, načeloma obdelovati te podatke v okviru namena prenosa, in sicer v skladu s členom 17 zakona o varstvu osebnih podatkov.

(39)

Posebne omejitve veljajo, kadar upravljavec želi osebne podatke uporabiti ali jih zagotoviti tretji osebi za namen, ki se razlikuje od namena zbiranja (57). V skladu s členom 18(2) zakona o varstvu osebnih podatkov lahko zasebni upravljavec izjemoma (58) uporabi osebne podatke ali jih zagotovi tretji osebi za drug namen: (1) na podlagi dodatne (torej ločene) privolitve posameznika, na katerega se nanašajo osebni podatki; (2) kadar tako določajo posebne zakonske določbe; ali (3) kadar je to očitno nujno za zaščito življenja, telesa ali premoženja posameznika, na katerega se nanašajo osebni podatki, ali tretje osebe pred neposredno nevarnostjo (le če posameznik, na katerega se nanašajo osebni podatki, ne more izraziti svojega namena in če predhodne privolitve ni mogoče pridobiti) (59).

(40)

Javni organi lahko v nekaterih okoliščinah osebne podatke uporabljajo ali jih zagotavljajo tretjim osebam tudi za drug namen. To vključuje primere, ko javni organi drugače ne bi mogli opravljati svojih zakonskih dolžnosti, za kar je potrebno dovoljenje komisije za varstvo osebnih podatkov. Poleg tega lahko javni organi osebne podatke zagotovijo drugemu organu ali sodišču, kadar je to potrebno zaradi preiskave in pregona kaznivih dejanj ali za vložitev obtožnice, če jih sodišče potrebuje za opravljanje svojih nalog v zvezi s tekočim sodnim postopkom ali kadar je to potrebno zaradi izvršitve kazenske sankcije oziroma odredbe o varstvu in vzgoji (60). Osebne podatke lahko zagotovijo tudi tuji vladi ali mednarodni organizaciji, da izpolnijo pravno obveznost iz mednarodne pogodbe ali konvencije – v takem primeru morajo izpolniti tudi zahteve za čezmejni prenos podatkov (glej uvodno izjavo (90)).

(41)

Načeli zakonitosti in poštenosti obdelave se torej v korejskem pravnem sistemu izvajata na v osnovi enakovreden način kot v Uredbi (EU) 2016/679, saj dovoljujeta obdelavo le iz zakonitih in jasno opredeljenih razlogov. Poleg tega je v vseh navedenih primerih obdelava dovoljena le, če ni verjetno, da bi „nepošteno posegala“ v interese posameznika, na katerega se nanašajo osebni podatki, ali tretje osebe, zaradi česar je treba tehtati različne interese. Poleg tega člen 18(5) zakona o varstvu osebnih podatkov določa dodatne zaščitne ukrepe, kadar upravljavec zagotavlja osebne podatke tretji osebi, kar lahko vključuje zahtevo za omejitev namena in metode uporabe ali uvedbo posebnih varnostnih ukrepov. Tretja oseba pa mora nato v takem primeru izvesti zahtevane ukrepe.

(42)

Nazadnje, člen 28-2 zakona o varstvu osebnih podatkov omogoča (nadaljnjo) obdelavo psevdonimiziranih podatkov brez privolitve zadevnega posameznika za namene statistične obdelave, znanstvenih raziskav (61) in arhiviranja v javnem interesu, pri čemer se uporabljajo posebni zaščitni ukrepi. Podobno kot Uredba (EU) 2016/679 (62) torej zakon o varstvu osebnih podatkov omogoča (nadaljnjo) obdelavo osebnih podatkov za take namene, če so zagotovljeni ustrezni zaščitni ukrepi za varstvo pravic posameznikov. Namesto sklicevanja na psevdonimizacijo kot možen zaščitni ukrep je z zakonom o varstvu osebnih podatkov psevdonimizacija določena kot osnovni pogoj za izvajanje nekaterih dejavnosti obdelave za namene statistične analize, znanstvenih raziskav in arhiviranja v javnem interesu (npr. da se omogoči obdelava podatkov brez privolitve ali da se združijo različni nabori podatkov).

(43)

Poleg tega zakon o varstvu osebnih podatkov določa več posebnih zaščitnih ukrepov, zlasti glede zahtevanih tehničnih in organizacijskih ukrepov, vodenja evidenc, omejitev pri izmenjavi podatkov in obravnave morebitnih tveganj za ponovno identifikacijo. Kombinacija različnih zaščitnih ukrepov, opisanih v uvodnih izjavah (44) do (48), zagotavlja, da se za obdelavo osebnih podatkov v tem okviru uporablja v osnovi enakovredno varstvo, kot bi se zahtevalo v skladu z Uredbo (EU) 2016/679.

(44)

Prvič, in kar je najpomembneje, člen 28-5(1) zakona o varstvu osebnih podatkov prepoveduje obdelavo psevdonimiziranih podatkov z namenom identifikacije določenega posameznika. Če bi se med obdelavo psevdonimiziranih podatkov kljub temu ustvarile informacije, na podlagi katerih bi bilo mogoče identificirati posameznika, mora upravljavec takoj prenehati obdelovati take podatke in jih uničiti (člen 28-5(2) zakona o varstvu osebnih podatkov). Za kršitev teh določb se lahko izreče upravna globa, pomeni pa tudi kaznivo dejanje (63). To pomeni, da je taka ponovna identifikacija zakonsko prepovedana tudi, kadar bi bilo praktično mogoče ponovno identificirati posameznika.

(45)

Drugič, kadar upravljavec (nadalje) obdeluje psevdonimizirane podatke za take namene, mora sprejeti določene tehnološke, upravljavske in fizične ukrepe, da se zagotovi varnost podatkov (vključno z ločeno hrambo in upravljanjem podatkov, ki so potrebni za obnovitev psevdonimiziranih podatkov nazaj v izvirno obliko) (64). Poleg tega je treba voditi evidence o psevdonimiziranih podatkih, ki se obdelujejo, namenu obdelave, zgodovini uporabe in vseh morebitnih tretjih osebah, ki so jih prejele (člen 29-5(2) uredbe o izvajanju zakona o varstvu osebnih podatkov).

(46)

Tretjič in nazadnje, zakon o varstvu osebnih podatkov določa posebne zaščitne ukrepe, ki tretjim osebam preprečujejo identifikacijo posameznikov v primeru izmenjave podatkov. To zlasti pomeni, da kadar upravljavci zagotavljajo psevdonimizirane podatke tretjim osebam za namene statistične obdelave, znanstvenih raziskav ali arhiviranja v javnem interesu, ne smejo vključiti podatkov, ki bi jih bilo mogoče uporabiti za identifikacijo določenega posameznika (člen 28-2(2) zakona o varstvu osebnih podatkov) (65).

(47)

Natančneje, čeprav zakon o varstvu osebnih podatkov omogoča združevanje psevdonimiziranih podatkov (ki jih obdelujejo različni upravljavci) za namene statistične analize, znanstvenih raziskav ali arhiviranja v javnem interesu, pa to pristojnost omejuje na specializirane subjekte, ki so vzpostavili posebno varnostno infrastrukturo (člen 28-3(1) zakona o varstvu osebnih podatkov) (66). Upravljavec mora ob vložitvi vloge za združevanje psevdonimiziranih podatkov med drugim predložiti dokumentacijo o podatkih, ki se bodo združevali, namenu združevanja in predlaganih varnostnih ukrepih za obdelavo združenih podatkov (67). Če želi pridobiti dovoljenje za združevanje, mora upravljavec podatke, ki se bodo združevali, poslati specializiranemu subjektu ter korejski agenciji za splet in varnost (68) predložiti „kombinacijski ključ“ (tj. informacije, ki so bile uporabljene za psevdonimizacijo). Slednja ustvari povezovalne podatke med kombinacijskimi ključi (kar omogoča povezovanje kombinacijskih ključev različnih vložnikov, da se omogoči združevanje naborov podatkov) in jih predloži specializiranemu subjektu (69).

(48)

Upravljavec, ki prosi za dovoljenje za združevanje, lahko združene informacije analizira v prostorih specializiranega subjekta, kjer se izvajajo posebni tehnični, fizični in upravni varnostni ukrepi (člen 29-3 uredbe o izvajanju zakona o varstvu osebnih podatkov). Upravljavci, ki prispevajo nabor podatkov za tako združevanje, lahko združene podatke odnesejo iz specializiranega subjekta šele po opravljeni nadaljnji psevdonimizaciji ali anonimizaciji združenih podatkov ter s soglasjem navedenega subjekta (člen 28-3(2) zakona o varstvu osebnih podatkov) (70). Zadevni subjekt pri oceni, ali naj izda tako soglasje ali ne, preveri povezavo med združenimi podatki in namenom obdelave ter obstoj posebnega varnostnega načrta za uporabo takih podatkov (71). Izvoz združenih podatkov iz subjekta ni dovoljen, če podatki vsebujejo podatke, ki omogočajo identifikacijo posameznika (72). Nazadnje, združevanje in sproščanje psevdonimiziranih podatkov s strani specializiranega subjekta nadzoruje komisija za varstvo osebnih podatkov (člen 29-4(3) uredbe o izvajanju zakona o varstvu osebnih podatkov).

(49)

Pri obdelavi posebnih vrst podatkov bi morali veljati posebni zaščitni ukrepi.

(50)

Zakon o varstvu osebnih podatkov vsebuje posebna pravila glede obdelave občutljivih podatkov (73), ki so opredeljeni kot osebni podatki, ki razkrivajo informacije o ideologiji, prepričanju, včlanitvi v sindikat ali politično stranko ali izstopu iz take organizacije, političnem stališču, zdravju in spolnem življenju posameznika, ter drugi osebni podatki, ki bi verjetno „pomembno“ ogrozili zasebnost posameznika, na katerega se nanašajo osebni podatki, in ki so kot občutljivi podatki opredeljeni v predsedniški uredbi (74). Glede na pojasnila komisije za varstvo osebnih podatkov se spolno življenje razlaga tako, da vključuje tudi posameznikovo spolno usmerjenost ali nagnjenja (75). Poleg tega člen 18 uredbe o izvajanju opredeljuje dodatne vrste občutljivih podatkov, zlasti informacije o DNK, pridobljene z genskim testiranjem, in podatke, ki so del kazenske evidence. Z nedavno spremembo uredbe o izvajanju zakona o varstvu osebnih podatkov se je pojem občutljivih podatkov še razširil, saj vključuje tudi osebne podatke, ki razkrivajo rasno ali etnično poreklo, in biometrične podatke (76). Po navedeni spremembi je pojem občutljivih podatkov na podlagi zakona o varstvu osebnih podatkov v osnovi enakovreden tistemu iz člena 9 Uredbe (EU) 2016/679.

(51)

V skladu s členom 23(1) zakona o varstvu osebnih podatkov in podobno kot določa člen 9(1) Uredbe (EU) 2016/679, je obdelava občutljivih podatkov na splošno prepovedana, razen če se uporablja ena od naštetih izjem (77). Z njimi je obdelava omejena na primere, ko upravljavec obvesti posameznika, na katerega se nanašajo osebni podatki, v skladu s členoma 15 in 17 zakona o varstvu osebnih podatkov ter pridobi ločeno privolitev (tj. ločeno od privolitve za obdelavo drugih osebnih podatkov), ali kadar je obdelava potrebna ali dovoljena na podlagi zakona. Javni organi lahko obdelujejo tudi biometrične podatke, podatke o DNK, pridobljene z genetskim testiranjem, osebne podatke, ki razkrivajo rasno ali etnično poreklo, in podatke, ki so del kazenske evidence, vendar le iz razlogov, ki so jim izključno na voljo (npr. kadar je to potrebno za preiskavo kaznivih dejanj ali da lahko sodišče obravnava zadevo) (78). Pravne podlage za obdelavo občutljivih podatkov so torej bolj omejene kot pravne podlage za druge vrste osebnih podatkov in so po korejskem pravu še celo bolj omejevalne kot na podlagi člena 9(2) Uredbe (EU) 2016/679.

(52)

Poleg tega je v členu 23(2) zakona o varstvu osebnih podatkov (za neupoštevanje katerega se lahko izrečejo sankcije (79)) poudarjen posebni pomen zagotavljanja ustrezne varnosti pri ravnanju z občutljivimi podatki, da „se ne izgubijo, niso ukradeni, se ne razkrijejo, ponaredijo, spremenijo ali poškodujejo“. Medtem ko je navedeno splošna zahteva na podlagi člena 29 zakona o varstvu osebnih podatkov, pa člen 3(4) jasno določa, da je treba raven varnosti prilagoditi vrsti osebnih podatkov, ki se obdelujejo, kar pomeni, da je treba upoštevati posebna tveganja pri obdelavi občutljivih podatkov. Poleg tega se podatki vedno obdelujejo „tako, da se čim bolj zmanjša možnost kršitve“ zasebnosti posameznika, na katerega se nanašajo osebni podatki, in po možnosti „anonimno“ (člen 3(6) in (7) zakona o varstvu osebnih podatkov). Te zahteve so še posebno pomembne pri obdelavi občutljivih podatkov.

(53)

Osebni podatki bi se morali zbirati za določen namen in tako, da to ni nezdružljivo z namenom obdelave.

(54)

To načelo vsebuje člen 3(1) in (2) zakona o varstvu osebnih podatkov, v skladu s katerim upravljavec „jasno opredeli“ namen obdelave, obdeluje osebne podatke na način, ki ustreza namenu, in jih ne uporablja tako, da bi bil tak namen presežen. Splošno načelo omejitve namena je potrjeno tudi v členu 15(1), členu 18(1) in členu 19, za obdelovalce (tako imenovane zunanje izvajalce) pa v členu 26(1), točka 1, ter členu 26(5) in (7) zakona o varstvu osebnih podatkov. Zlasti velja, da se lahko osebni podatki načeloma uporabljajo in zagotavljajo tretjim osebam le v okviru namena, za katerega so bili zbrani (člen 15(1) in člen 17(1), točka 2). Obdelava za skladen namen, tj. „v obsegu, ki je razumno povezan s prvotnim namenom zbiranja“, se lahko izvaja le, če nima negativnega učinka na zadevne posameznike, na katere se nanašajo osebni podatki, in če so sprejeti potrebni varnostni ukrepi (kot je šifriranje) (člen 15(3) in člen 17(4) zakona o varstvu osebnih podatkov). Za ugotovitev, ali gre pri nadaljnji obdelavi za skladen namen, uredba o izvajanju zakona o varstvu osebnih podatkov določa posebna merila, ki so podobna tistim iz člena 6(4) Uredbe (EU) 2016/679, glej uvodno izjavo (36).

(55)

Kot je pojasnjeno v uvodni izjavi (38), je namen zbiranja v primeru korejskih upravljavcev, ki prejemajo osebne podatke iz Unije, namen, za katerega so podatki preneseni. Upravljavec lahko namen spremeni le izjemoma, v posebnih (izrecno navedenih) primerih (člen 18(2), tč. 1-3, zakona o varstvu osebnih podatkov, glej tudi uvodno izjavo (39)). Če je sprememba namena dovoljena z zakonom, morajo taki zakoni spoštovati temeljno pravico do zasebnosti in varstva podatkov ter načeli nujnosti in sorazmernosti iz korejske ustave. Poleg tega člen 18(2) in (5) zakona o varstvu osebnih podatkov določa dodatne zaščitne ukrepe, zlasti zahtevo, da taka sprememba namena ne sme „nepošteno posegati v interese posameznika, na katerega se nanašajo osebni podatki“, zaradi česar je vedno potrebno tehtanje interesov. To zagotavlja raven varstva, ki je v osnovi enakovredna tisti iz člena 5(1), točka (b), in člena 6 v povezavi z uvodno izjavo 50 Uredbe (EU) 2016/679.

(56)

Osebni podatki bi morali biti točni in po potrebi posodobljeni. Prav tako bi morali biti ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo.

(57)

Načelo točnosti je podobno priznano v členu 3(3) zakona o varstvu osebnih podatkov, s katerim se zahteva, da so osebni podatki „točni, popolni in posodobljeni, kolikor je to potrebno glede na namene“, za katere se obdelujejo. Najmanjši obseg podatkov se zahteva s členom 3(1) in (6) ter členom 16(1) zakona o varstvu osebnih podatkov, ki določata, da upravljavec zbira osebne podatke (le) „v najmanjšem možnem obsegu, ki je potreben“ za nameravani namen, ter da nosi dokazno breme v zvezi s tem. Če je namen zbiranja mogoče doseči z obdelavo anonimiziranih informacij, si morajo upravljavci za to prizadevati (člen 3(7) zakona o varstvu osebnih podatkov).

(58)

Osebni podatki se načeloma ne smejo hraniti dlje, kot je potrebno za namene, za katere se obdelujejo.

(59)

Načelo omejitve hrambe podobno določa člen 21(1) zakona o varstvu osebnih podatkov (80), s katerim se zahteva, da upravljavec brez odlašanja „uniči“ (81) osebne podatke, ko se izpolni namen obdelave ali ko se izteče obdobje hrambe (kar koli nastopi prej), razen če se nadaljnja hramba zahteva z zakonom (82). V slednjem primeru se zadevni osebni podatki „hranijo in upravljajo ločeno od drugih osebnih podatkov“ (člen 21(3) zakona o varstvu osebnih podatkov).

(60)

Člen 21(1) zakona o varstvu osebnih podatkov se ne uporablja, če se psevdonimizirani podatki obdelujejo za statistične namene, znanstvene raziskave ali arhiviranje v javnem interesu (83). Da se tudi v takem primeru zagotovi upoštevanje načela omejene hrambe podatkov, uradno obvestilo št. 2021-5 upravljavcem nalaga anonimizacijo informacij v skladu s členom 58-2 zakona o varstvu osebnih podatkov, če podatki niso bili uničeni ob izpolnitvi posebnega namena obdelave (84).

(61)

Osebni podatki se morajo obdelovati tako, da je zagotovljena njihova varnost, vključno z varstvom pred nepooblaščeno ali nezakonito obdelavo in pred nenamerno izgubo, uničenjem ali poškodovanjem. Zato bi morali poslovni subjekti sprejeti ustrezne tehnične ali organizacijske ukrepe za varstvo osebnih podatkov pred morebitnimi grožnjami. Pri ocenjevanju teh ukrepov bi bilo treba upoštevati najnovejše znanstvene dosežke, s tem povezane stroške ter naravo, obseg, kontekst in namen obdelave, pa tudi tveganja za pravice posameznikov.

(62)

Podobno načelo o varnosti je določeno v členu 3(4) zakona o varstvu osebnih podatkov, ki določa, da morajo upravljavci „z osebnimi podatki ravnati varno, v skladu z metodami, vrstami itd. obdelave osebnih podatkov, pri tem pa upoštevati možnost poseganja v pravice posameznikov, na katere se nanašajo osebni podatki, in stopnjo zadevnih tveganj“. Poleg tega upravljavec „obdeluje osebne podatke tako, da se čim bolj zmanjša možnost kršitve zasebnosti posameznika, na katerega se nanašajo osebni podatki,“ in si v tem okviru prizadeva za obdelavo osebnih podatkov v anonimizirani ali psevdonimizirani obliki, če je to mogoče (člen 3(6) in (7) zakona o varstvu osebnih podatkov).

(63)

Te splošne zahteve so podrobneje opredeljene v členu 29 zakona o varstvu osebnih podatkov, ki določa, da vsak upravljavec „sprejme take tehnične, upravljavske in fizične ukrepe (kot sta priprava notranjega načrta upravljanja in hramba evidenc o dostopu itd.), ki so potrebni za zagotavljanje varnosti v skladu s predsedniško uredbo, da se preprečijo izguba, kraja, razkritje, ponarejanje, spreminjanje ali poškodovanje osebnih podatkov“. Člen 30(1) uredbe o izvajanju zakona o varstvu osebnih podatkov podrobno določa navedene, pri čemer se sklicuje na (1) pripravo in izvajanje notranjega načrta upravljanja za varno obdelavo osebnih podatkov, (2) nadzor in omejitve dostopa, (3) uporabo tehnologije šifriranja za varno shranjevanje in prenos osebnih podatkov, (4) evidence vstopa, (5) varnostne programe in (6) fizične ukrepe, kot je sistem varnega shranjevanja ali zaklepanja (85).

(64)

Poleg tega veljajo posebne obveznosti v primeru kršitve varstva podatkov (člen 34 zakona o varstvu osebnih podatkov v povezavi s členoma 39 in 40 uredbe o izvajanju zakona o varstvu osebnih podatkov) (86). Zlasti velja, da mora upravljavec prizadete posameznike, na katere se nanašajo osebni podatki, brez odlašanja uradno obvestiti o podrobnostih kršitve (87), med drugim jim zagotoviti informacije o (obveznih) protiukrepih, ki jih je sprejel upravljavec, in o tem, kako lahko zmanjšajo tveganje nastanka škode (člen 34(1) in (2) zakona o varstvu osebnih podatkov) (88). Kadar kršitev varstva podatkov prizadene najmanj 1 000 posameznikov, na katere se nanašajo osebni podatki, upravljavec o kršitvi in sprejetih protiukrepih brez odlašanja poroča tudi komisiji za varstvo osebnih podatkov in korejski agenciji za splet in varnost, ki lahko zagotovita tehnično pomoč (člen 34(3) zakona o varstvu osebnih podatkov v povezavi s členom 39 uredbe o izvajanju zakona o varstvu osebnih podatkov). Upravljavci so odgovorni za škodo, ki nastane zaradi kršitev varnosti podatkov, in sicer v skladu z določbami zakona o civilni odškodninski odgovornosti (glej tudi oddelek 2.5 o pravnem varstvu) (89).

(65)

Pri izpolnjevanju obveznosti glede varnosti mora upravljavcu pomagati pooblaščena oseba za varstvo zasebnosti, katere naloge med drugim vključujejo vzpostavitev sistema notranjega nadzora „za preprečitev razkrivanja, zlorabe in nepravilne uporabe osebnih podatkov“ (člen 31(2), točka 4, zakona o varstvu osebnih podatkov). Poleg tega mora upravljavec zagotavljati „ustrezno preverjanje in nadzor“ osebja, ki obdeluje osebne podatke, tudi glede varnega upravljanja teh podatkov, to pa vključuje potrebno usposabljanje („izobraževanje“) zaposlenih (člen 28(1) in (2) zakona o varstvu osebnih podatkov). Nazadnje, v primeru podobdelave mora upravljavec zunanjemu izvajalcu naložiti določene obveznosti, med drugim glede varnega upravljanja osebnih podatkov („tehnični in upravljavski zaščitni ukrepi“), in nadzorovati njihovo izpolnjevanje v okviru inšpekcijskih pregledov (člen 26(1) in (4) zakona o varstvu osebnih podatkov v povezavi s členom 28(1), točki 3 in 4, ter členom 28(6) uredbe o izvajanju zakona o varstvu osebnih podatkov).

(66)

Posamezniki, na katere se nanašajo osebni podatki, morajo biti obveščeni o glavnih značilnostih obdelave svojih osebnih podatkov.

(67)

Korejski sistem to zagotavlja na različne načine. Zakon o varstvu osebnih podatkov poleg pravice do obveščanja na podlagi člena 4, točka 1, (na splošno) in člena 20(1) (za osebne podatke, ki se zbirajo od tretjih oseb) ter pravice do dostopa na podlagi člena 35 vsebuje tudi splošno zahtevo glede preglednosti v zvezi z namenom obdelave (člen 3(1) zakona o varstvu osebnih podatkov) in posebne zahteve glede preglednosti, kadar se podatki obdelujejo na podlagi privolitve (člen 15(2), člen 17(2) in člen 18(3) zakona o varstvu osebnih podatkov) (90). Poleg tega člen 20(2) zakona o varstvu osebnih podatkov določa, da morajo nekateri upravljavci – tisti, katerih obdelava presega določen prag (91)– uradno obvestiti posameznika, katerega osebne podatke so prejeli od tretje osebe, o viru teh podatkov, namenu obdelave in posameznikovi pravici, da zahteva prenehanje obdelave, razen če tako obveščanje ni mogoče zaradi neobstoja kontaktnih podatkov. Izjeme veljajo za nekatere datoteke z osebnimi podatki, ki jih imajo javni organi, zlasti datoteke s podatki, ki se obdelujejo zaradi nacionalne varnosti, drugih posebno pomembnih („resnih“) nacionalnih interesov ali za namene preprečevanja, odkrivanja in preiskovanja kaznivih dejanj, ali kadar bi uradno obveščanje verjetno povzročilo škodo življenju in telesu druge osebe ali nepošteno škodilo premoženju in drugim interesom druge osebe, vendar le, če zadevni javni ali zasebni interesi „očitno prevladajo“ nad pravicami zadevnih posameznikov, na katere se nanašajo osebni podatki (člen 20(4) zakona o varstvu osebnih podatkov). To zahteva tehtanje interesov.

(68)

Poleg tega člen 3(5) zakona o varstvu osebnih podatkov določa, da morajo upravljavci javno objaviti svojo politiko zasebnosti (in druge zadeve, ki se nanašajo na obdelavo osebnih podatkov). Ta zahteva je nadalje opredeljena v členu 30 zakona o varstvu osebnih podatkov v povezavi s členom 31 uredbe o izvajanju zakona o varstvu osebnih podatkov. V skladu z navedenimi določbami mora javna politika zasebnosti med drugim vključevati (1) vrste osebnih podatkov, ki se obdelujejo, (2) namen obdelave, (3) obdobje hrambe, (4) ali se osebni podatki zagotavljajo tretjim osebam (92), (5) morebitno podobdelavo, (6) informacije o pravicah posameznikov, na katere se nanašajo osebni podatki, in kako jih uresničevati, ter (7) kontaktne podatke (vključno z imenom pooblaščene osebe za varstvo zasebnosti ali nazivom notranjega oddelka, ki je odgovoren za zagotavljanje skladnosti s pravili o varstvu podatkov in obravnavo pritožb). Politika zasebnosti mora biti javno dostopna tako, da jo posamezniki, na katere se nanašajo osebni podatki, „zlahka prepoznajo“ (člen 30(2) zakona o varstvu osebnih podatkov) (93), in jo je treba stalno posodabljati (člen 31(2) uredbe o izvajanju zakona o varstvu osebnih podatkov).

(69)

Za javne organe velja dodatna obveznost, da komisiji za varstvo osebnih podatkov prijavijo zlasti naslednje: (1) ime javnega organa, (2) podlago in namene obdelave datotek z osebnimi podatki, (3) podrobnosti osebnih podatkov, ki se beležijo, (4) metodo obdelave, (5) obdobje hrambe, (6) število posameznikov, katerih osebni podatki se hranijo, (7) naziv oddelka, ki obravnava zahteve posameznikov, na katere se nanašajo osebni podatki, ter (8) prejemnike osebnih podatkov, če se ti zagotavljajo redno ali večkrat (člen 32(1) zakona o varstvu osebnih podatkov) (94). Komisija za varstvo osebnih podatkov javno objavi prijavljene datoteke z osebnimi podatki, javni organi pa jih morajo navesti tudi v svojih politikah zasebnosti (člen 30(1) in člen 32(4) zakona o varstvu osebnih podatkov).

(70)

Da bi se povečala preglednost za posameznike v Uniji, na katere se nanašajo osebni podatki, ki se prenašajo v Korejo na podlagi tega sklepa, oddelek 3(i) in (ii) uradnega obvestila 2021-5 (Priloga I) določa dodatne zahteve glede preglednosti. Prvič, ko korejski upravljavci prejmejo osebne podatke iz Unije na podlagi tega sklepa, morajo zadevnim posameznikom, na katere se nanašajo osebni podatki, brez nepotrebnega odlašanja (vsekakor pa najpozneje en mesec po prenosu) sporočiti nazive in kontaktne podatke subjektov, ki podatke prenašajo in prejemajo, ter jih obvestiti o tem, kateri osebni podatki (ali vrste teh podatkov) se prenašajo, o namenu, za katerega jih zbira korejski upravljavec, obdobju hrambe in pravicah, ki jih imajo na podlagi zakona o varstvu osebnih podatkov. Drugič, kadar se osebni podatki, prejeti iz Unije na podlagi tega sklepa, zagotavljajo tretjim osebam, morajo biti posamezniki, na katere se nanašajo osebni podatki, med drugim obveščeni o prejemniku, o tem, kateri osebni podatki oziroma katere vrste teh podatkov se zagotavljajo, o državi, v katero se podatki zagotavljajo (če je ustrezno), in o pravicah, ki jih ima posameznik na podlagi zakona o varstvu osebnih podatkov (95). Uradno obvestilo tako zagotavlja, da so posamezniki iz EU še naprej obveščeni o posameznih upravljavcih, ki obdelujejo njihove podatke, in lahko svoje pravice uresničujejo pri ustreznih subjektih.

(71)

Oddelek 3(iii) uradnega obvestila (Priloga I) omogoča nekatere omejene in kvalificirane izjeme od teh dodatnih obveznosti glede preglednosti, ki so v osnovi enakovredne tistim iz Uredbe (EU) 2016/679. Uradno obveščanje posameznikov v Uniji, na katere se nanašajo osebni podatki, se zlasti ne zahteva, (1) kadar in dokler je treba omejiti obveščanje iz določenih razlogov v javnem interesu (npr. kadar se podatki obdelujejo za namene nacionalne varnosti ali tekočih kazenskih preiskav), če ti cilji v javnem interesu očitno prevladajo nad pravico posameznika, na katerega se nanašajo osebni podatki; (2) kadar posameznik, na katerega se nanašajo osebni podatki, te informacije že ima; (3) če in kolikor bi uradno obvestilo verjetno povzročilo škodo življenju ali telesu posameznika ali druge osebe ali neupravičeno poseglo v premoženjske interese druge osebe, kadar te pravice ali interesi očitno prevladajo nad pravicami posameznika, na katerega se nanašajo osebni podatki, ali (4) če ni kontaktnih podatkov o zadevnem posamezniku ali če bi bil za njegovo uradno obveščanje potreben nesorazmeren napor. Pri ugotavljanju, ali je mogoče stopiti v stik s posameznikom, na katerega se nanašajo osebni podatki, ali ne in ali je za to potreben čezmeren napor, se upošteva možnost sodelovanja z izvoznikom podatkov v Uniji.

(72)

Pravila iz uvodnih izjav (67) do (71) torej zagotavljajo v osnovi enakovredno raven varstva glede preglednosti, kot je zagotovljena v Uredbi (EU) 2016/679.

(73)

Posamezniki, na katere se nanašajo osebni podatki, bi morali imeti določene pravice, ki jih lahko uresničujejo zoper upravljavca ali obdelovalca, zlasti pravico do dostopa do podatkov, pravico do popravka, pravico do ugovora obdelavi in pravico do izbrisa podatkov. Hkrati so te pravice lahko omejene, če so take omejitve potrebne in sorazmerne za zaščito pomembnih ciljev v splošnem javnem interesu.

(74)

Člen 3(5) zakona o varstvu osebnih podatkov določa, da upravljavec posamezniku, na katerega se nanašajo osebni podatki, zagotavlja pravice, ki so navedene v členu 4 navedenega zakona ter podrobneje opredeljene v členih 35 do 37, členu 39 in členu 39-2 zakona o varstvu osebnih podatkov.

(75)

Prvič, posamezniki imajo pravico do obveščanja in dostopa. Če upravljavec zbira osebne podatke od tretje osebe (tako je v vseh primerih, ko se podatki prenašajo iz Unije), imajo posamezniki, na katere se nanašajo osebni podatki, na splošno pravico do obveščanja o (1) viru zbranih osebnih podatkov (tj. subjektu, ki jih je prenesel), (2) namenu obdelave in (3) dejstvu, da lahko zahtevajo prenehanje obdelave (člen 20(1) zakona o varstvu osebnih podatkov). Uporabljajo se omejene izjeme, in sicer kadar bi tako uradno obveščanje verjetno povzročilo škodo življenju ali telesu druge osebe ali če „neupravičeno škoduje premoženju in drugim interesom“ druge osebe, vendar le če taki interesi tretje osebe „izrecno prevladajo“ nad pravicami posameznika, na katerega se nanašajo osebni podatki (člen 20(4), točka 2, zakona o varstvu osebnih podatkov).

(76)

Poleg tega člen 35(1) in (3) zakona o varstvu osebnih podatkov v povezavi s členom 41(4) uredbe o izvajanju zakona o varstvu osebnih podatkov posameznikom, na katere se nanašajo osebni podatki, priznava pravico do dostopa do njihovih osebnih podatkov (96). Pravica do dostopa vključuje potrditev obdelave, obveščanje o vrsti podatkov, ki se obdelujejo, namenu obdelave, obdobju hrambe ter morebitnem razkritju podatkov tretjim osebam, pa tudi zagotovitev kopije osebnih podatkov, ki se obdelujejo (člen 4, točka 3, zakona o varstvu osebnih podatkov v povezavi s členom 41(1) uredbe o izvajanju zakona o varstvu osebnih podatkov) (97). Dostop se lahko omeji (delni dostop) (98) ali zavrne le, če tako določa zakon (99), če bi zaradi tega verjetno nastala škoda za življenje ali telo tretje osebe oziroma če bi to pomenilo neupravičen poseg v premoženjske in druge interese druge osebe (člen 35(4) zakona o varstvu osebnih podatkov) (100). Slednje pomeni, da je treba tehtati med ustavno zaščitenimi pravicami in svoboščinami posameznika na eni strani ter drugih oseb na drugi strani. Če se dostop omeji ali zavrne, mora upravljavec posameznika, na katerega se nanašajo osebni podatki, uradno obvestiti o razlogih za to in o tem, kako se lahko na tako odločitev pritoži (člen 41(5) in člen 42(2) uredbe o izvajanju zakona o varstvu osebnih podatkov).

(77)

Drugič, posamezniki, na katere se nanašajo osebni podatki, imajo pravico do popravka ali izbrisa (101) svojih osebnih podatkov, „razen če drugi predpisi izrecno določajo drugače“ (člen 36(1) in (2) zakona o varstvu osebnih podatkov) (102). Ob prejemu zahteve mora upravljavec zadevo obravnavati brez odlašanja, sprejeti potrebne ukrepe (103) in o njih v desetih dneh uradno obvestiti posameznika, na katerega se nanašajo osebni podatki. Če pa zahtevi ni mogoče ugoditi, je treba posameznika uradno obvestiti o razlogih za zavrnitev in ga poučiti o možnosti pritožbe (glej člen 36(4) zakona o varstvu osebnih podatkov v povezavi s členom 43(3) uredbe o izvajanju zakona o varstvu osebnih podatkov) (104).

(78)

Nazadnje, posamezniki, na katere se nanašajo osebni podatki, imajo pravico do takojšnjega prenehanja obdelave njihovih osebnih podatkov (105), razen če velja ena od naštetih izjem (člen 37(1) in (2) zakona o varstvu osebnih podatkov) (106). Upravljavec lahko zahtevo zavrne, (1) če to izrecno dovoljuje zakon ali če je to potrebno („neizogibno“) za izpolnjevanje pravnih obveznosti, (2) če bi prenehanje obdelave verjetno povzročilo škodo za življenje ali telo tretje osebe oziroma neupravičeno posegla v premoženjske in druge interese druge osebe, (3) če javni organ brez obdelave takih podatkov ne bi mogel opravljati svojih nalog, kot jih določa zakon, ali (4) če posameznik, na katerega se nanašajo osebni podatki, izrecno ne odpove zadevne pogodbe z upravljavcem, pri čemer bi bilo nepraktično izvajati pogodbo brez take obdelave podatkov. V takem primeru mora upravljavec posameznika, na katerega se nanašajo osebni podatki, brez odlašanja uradno obvestiti o razlogih za zavrnitev in ga poučiti o možnostih pritožbe (člen 37(2) zakona o varstvu osebnih podatkov v povezavi s členom 44(2) uredbe o izvajanju zakona o varstvu osebnih podatkov). Člen 37(4) zakona o varstvu osebnih podatkov določa, da mora upravljavec, kadar ugodi zahtevi za prenehanje obdelave, brez odlašanja „sprejeti potrebne ukrepe, vključno z uničenjem zadevnih osebnih podatkov“ (107).

(79)

Pravica do prenehanja obdelave se uporablja tudi, kadar se osebni podatki uporabljajo za namene neposrednega trženja, tj. za promocijo blaga in storitev ali za spodbujanje k njihovemu nakupu. Poleg tega je za tako nadaljnjo obdelavo na splošno potrebna posebna (dodatna) privolitev posameznika, na katerega se nanašajo osebni podatki (glej člen 15(1), točka 1, in člen 17(2), točka 1, zakona o varstvu osebnih podatkov) (108). Kadar upravljavec zaprosi za tako privolitev, mora posameznika, na katerega se nanašajo osebni podatki, obvestiti zlasti o nameravani uporabi podatkov za namene neposrednega trženja (tj. na dejstvo, da bodo lahko uporabljeni za vzpostavitev stika z njim za promocijo blaga in storitev ali spodbujanje k njihovemu nakupu) „na očitno prepoznaven način“ (člen 22(2) in (4) zakona o varstvu osebnih podatkov v povezavi s členom 17(2), točka 1, uredbe o izvajanju zakona o varstvu osebnih podatkov).

(80)

Za lažje uresničevanje pravic posameznikov mora upravljavec vzpostaviti namenske postopke in jih javno objaviti (člen 38(4) zakona o varstvu osebnih podatkov) (109). To vključuje postopke za vložitev ugovorov zoper zavrnitev zahteve (člen 38(5) zakona o varstvu osebnih podatkov). Upravljavec mora zagotoviti, da je postopek za uresničevanje pravic „prijazen do posameznika, na katerega se nanašajo osebni podatki,“ in ni zahtevnejši od postopka, ki omogoča zbiranje osebnih podatkov; to vključuje tudi obveznost zagotavljanja informacij o postopku na spletnem mestu upravljavca (člen 41(2), člen 43(1) in člen 44(1) uredbe o izvajanju zakona o varstvu osebnih podatkov) (110). Posamezniki lahko za vložitev take zahteve pooblastijo zastopnika (člen 38(1) zakona o varstvu osebnih podatkov v povezavi s členom 45 uredbe o izvajanju zakona o varstvu osebnih podatkov). Upravljavec lahko za to zaračuna pristojbino (v primeru zahteve za pošiljanje kopij osebnih podatkov po pošti pa tudi poštnino), vendar mora biti znesek te pristojbine določen „v okviru dejanskih izdatkov, potrebnih za obdelavo [zahteve]“; če je zahteva vložena zaradi ravnanja upravitelja, se pristojbina (ali poštnina) ne sme zaračunati (člen 38(3) zakona o varstvu osebnih podatkov v povezavi s členom 47 uredbe o izvajanju zakona o varstvu osebnih podatkov).

(81)

Zakon o varstvu osebnih podatkov in uredba o njegovem izvajanju ne vsebujeta splošnih določb glede odločitev, ki vplivajo na posameznika, na katerega se nanašajo osebni podatki, in ki temeljijo izključno na samodejni obdelavi osebnih podatkov. Vendar glede osebnih podatkov, zbranih v Uniji, velja, da vse odločitve, ki temeljijo na samodejni obdelavi, po navadi sprejme upravljavec v Uniji (ki ima neposredno razmerje z zadevnim posameznikom, na katerega se nanašajo osebni podatki), zato se zanj uporablja Uredba (EU) 2016/679 (111). To vključuje tudi primere prenosa, ko obdelavo izvaja tuji (npr. korejski) poslovni subjekt, ki deluje kot zastopnik (obdelovalec) v imenu upravljavca iz Unije (ali kot podobdelovalec, ki deluje v imenu obdelovalca iz Unije, ta pa je podatke prejel od upravljavca podatkov iz Unije, ki jih je zbral) in nato na tej podlagi sprejme odločitev. Dejstvo, da zakon o varstvu osebnih podatkov ne vsebuje posebnih pravil o samodejnem odločanju, torej najverjetneje ne bo vplivalo na raven varstva osebnih podatkov, ki se prenašajo na podlagi tega sklepa.

(82)

Izjemoma pa se določbe o preglednosti na zahtevo (člen 20) in pravicah posameznika (členi 35 do 37) ter obveznosti ponudnikov informacijskih in komunikacijskih storitev glede uradnega obveščanja posameznika (člen 39-8 zakona o varstvu osebnih podatkov) ne uporabljajo v zvezi s psevdonimiziranimi podatki, kadar se ti obdelujejo za namene statistične analize, znanstvenih raziskav ali arhiviranja v javnem interesu (člen 28-7 zakona o varstvu osebnih podatkov) (112). V skladu s pristopom iz člena 11(2) (v povezavi z uvodno izjavo 57) Uredbe (EU) 2016/679 je to upravičeno z dejstvom, da bi moral upravljavec za zagotovitev preglednosti ali podelitev individualnih pravic ugotoviti, ali so kateri koli podatki (in, če da, kateri) povezani s posameznikom, ki je vložil zahtevo, kar je izrecno prepovedano z zakonom o varstvu osebnih podatkov (člen 28-5(1) zakona o varstvu osebnih podatkov). Poleg tega bi taka ponovna identifikacija, če bi pomenila izničenje psevdonimizacije celotnega (psevdonimiziranega) niza podatkov, osebne podatke vseh drugih zadevnih posameznikov izpostavila povečanemu tveganju. Uredba (EU) 2016/679 se nanaša na primere, ko je ponovna identifikacija tako rekoč nemogoča, v zakonu o varstvu osebnih podatkov pa je uporabljen strožji pristop, saj izrecno prepoveduje ponovno identifikacijo v vseh primerih, ko se obdelujejo psevdonimizirani podatki.

(83)

Korejski sistem, kot je opisan v uvodnih izjavah (74) do (82), torej vsebuje pravila o pravicah posameznika, na katerega se nanašajo osebni podatki, ki zagotavljajo v osnovi enakovredno raven varstva, kot jo zagotavlja Uredba (EU) 2016/679.

(84)

Raven varstva, zagotovljena osebnim podatkom, ki se iz Unije prenesejo upravljavcem v Republiki Koreji, se z nadaljnjim prenosom takih podatkov prejemnikom v tretji državi ne sme poslabšati.

(85)

Z vidika korejskega upravljavca so taki „nadaljnji prenosi“ mednarodni prenosi iz Republike Koreje. V tem smislu zakon o varstvu osebnih podatkov razlikuje med oddajo obdelave v zunanje izvajanje (tj. zunanjemu obdelovalcu) in zagotavljanjem osebnih podatkov tretjim osebam (113).

(86)

Prvič, če se obdelava osebnih podatkov odda v zunanje izvajanje subjektu v tretji državi, mora korejski upravljavec zagotoviti skladnost z določbami zakona o varstvu osebnih podatkov o oddaji v zunanje izvajanje (člen 26 zakona o varstvu osebnih podatkov). To vključuje sprejetje pravno zavezujočega instrumenta, ki obdelavo pri zunanjem izvajalcu med drugim omejuje na namen oddaje v zunanje izvajanje, določa tehnične in upravljavske zaščitne ukrepe ter omejuje podobdelavo (glej člen 26(1) zakona o varstvu osebnih podatkov), in objavo informacij o oddaji v zunanjo obdelavo. Poleg tega mora upravljavec zunanjega izvajalca „podučiti“ o potrebnih varnostnih ukrepih ter nadzorovati, med drugim s pregledi, skladnost z vsemi obveznostmi upravljavca na podlagi zakona o varstvu osebnih podatkov (114) in pogodbe o oddaji v zunanje izvajanje.

(87)

Če zunanji izvajalec povzroči škodo zaradi obdelave osebnih podatkov v nasprotju z zakonom o varstvu osebnih podatkov, se ta odgovornost pripiše upravljavcu, tako kot bi se v primeru upravljavčevega zaposlenega (člen 26(6) zakona o varstvu osebnih podatkov). Korejski upravljavec je torej še naprej odgovoren za osebne podatke, ki so bili poslani v obdelavo zunanjemu izvajalcu, in mora zagotoviti, da obdelovalec v tujini podatke obdeluje v skladu z zakonom o varstvu osebnih podatkov. Če zunanji izvajalec podatke obdeluje v nasprotju z zakonom o varstvu osebnih podatkov, je lahko korejski upravljavec odgovoren za neizpolnitev obveznosti zagotavljanja skladnosti z zakonom o varstvu osebnih podatkov, na primer z nadzorom nad zunanjim izvajalcem. Zaščitni ukrepi, vključeni v pogodbo o zunanjem izvajanju, in odgovornost korejskega upravljavca za dejanja zunanjega izvajalca zagotavljajo kontinuiteto varstva, kadar se obdelava osebnih podatkov odda v zunanje izvajanje subjektu zunaj Koreje.

(88)

Drugič, korejski upravljavci lahko osebne podatke zagotavljajo tretji osebi zunaj Koreje. Čeprav zakon o varstvu osebnih podatkov vsebuje več pravnih podlag, ki na splošno omogočajo zagotavljanje podatkov tretjim osebam, pa mora upravljavec, če je tretja oseba zunaj Koreje, načeloma (115) pridobiti privolitev posameznika, na katerega se nanašajo osebni podatki (116), in sicer po tem, ko ga obvesti o (1) vrsti osebnih podatkov, (2) prejemniku osebnih podatkov, (3) namenu prenosa, tj. namenu obdelave, ki ga uresničuje prejemnik, (4) obdobju hrambe za namen obdelave pri prejemniku ter (5) dejstvu, da lahko posameznik, na katerega se nanašajo osebni podatki, privolitev odkloni (člen 17(2) in (3) zakona o varstvu osebnih podatkov). Uradno obvestilo št. 2021-5 v oddelku o preglednosti (glej uvodno izjavo (70)) zahteva, da so posamezniki obveščeni o tretji državi, v katero se bodo zagotavljali njihovi podatki. Tako se zagotovi, da lahko posamezniki v Uniji, na katere se nanašajo osebni podatki, sprejmejo povsem premišljeno odločitev o tem, ali privoliti v zagotavljanje podatkov v tujino ali ne. Poleg tega upravljavec s tretjo osebo (prejemnikom) ne sme skleniti pogodbe v nasprotju z zakonom o varstvu osebnih podatkov, kar pomeni, da pogodba ne sme vsebovati obveznosti, ki bi bile v nasprotju z obveznostmi upravljavca na podlagi zakona o varstvu osebnih podatkov (117).

(89)

Brez privolitve posameznika se lahko osebni podatki zagotavljajo tretjim osebam v tujini, če namen razkritja ostaja „v okviru obsega, ki je razumno povezan“ s prvotnim namenom zbiranja (člen 17(4) zakona o varstvu osebnih podatkov, glej uvodno izjavo (36)). Vendar pa mora upravljavec pri odločanju o tem, ali razkriti (ali ne) osebne podatke za „povezan“ namen, upoštevati, ali razkritje postavlja posameznika v neugoden položaj in ali so bili sprejeti potrebni varnostni ukrepi (npr. šifriranje). Glede na to, da tretja država, v katero se prenašajo osebni podatki, morda ne zagotavlja podobnega varstva, kot ga določa zakon o varstvu osebnih podatkov, se v oddelku 2 uradnega obvestila št. 2021-5 priznava, da tak neugoden položaj lahko nastane in da se mu je mogoče izogniti le, če korejski upravljavec in prejemnik v tujini na podlagi pravno zavezujočega instrumenta (npr. pogodbe) zagotovita raven varstva, ki je enakovredna tisti iz zakona o varstvu osebnih podatkov, tudi glede pravic posameznika, na katerega se nanašajo osebni podatki.

(90)

Posebna pravila se uporabljajo za razkritje, ki presega namen, tj. zagotavljanje podatkov tretji osebi za nov (nepovezan) namen, ki se lahko izvede le na eni od podlag iz člena 18(2) zakona o varstvu osebnih podatkov, kot je opisano v uvodni izjavi (39). Vendar pa je celo pod navedenimi pogoji zagotavljanje tretjim osebam izključeno, če je verjetno, da bi se s tem „nepošteno posegalo“ v interese posameznika, na katerega se nanašajo osebni podatki, ali tretje osebe, tako da je potrebno tehtanje interesov. Poleg tega mora v skladu s členom 18(5) zakona o varstvu osebnih podatkov upravljavec sprejeti dodatne zaščitne ukrepe, med katerimi je lahko tudi zahteva, da tretja oseba omeji namen in metodo obdelave ali sprejme posebne varnostne ukrepe. Znova velja, da se, glede na to, da tretja država, v katero se prenašajo osebni podatki, morda ne zagotavlja podobnega varstva, kot ga določa zakon o varstvu osebnih podatkov, v oddelku 2 uradnega obvestila št. 2021-5 priznava, da tako „nepošteno poseganje“ v interese posameznika ali tretje osebe lahko nastane in da se mu je mogoče izogniti le, če korejski upravljavec in prejemnik v tujini na podlagi pravno zavezujočega instrumenta (npr. pogodbe) zagotovita raven varstva, ki je enakovredna tisti iz zakona o varstvu osebnih podatkov, tudi glede pravic posameznika, na katerega se nanašajo osebni podatki.

(91)

Pravila iz uvodnih izjav (86) do (90) torej zagotavljajo kontinuiteto varstva pri nadaljnjem prenosu osebnih podatkov (zunanjemu izvajalcu ali tretji osebi) iz Republike Koreje, ki je v osnovi enakovredno tistemu, ki ga zagotavlja Uredba (EU) 2016/679.

(92)

V skladu z načelom odgovornosti morajo subjekti, ki obdelujejo podatke, sprejeti ustrezne tehnične in organizacijske ukrepe, da lahko uspešno izpolnjujejo svoje obveznosti glede varstva podatkov in dokažejo tako izpolnjevanje, predvsem pristojnim nadzornim organom.

(93)

Člen 3(6) in (8) zakona o varstvu osebnih podatkov določa, da mora upravljavec osebne podatke obdelovati „tako, da se čim bolj zmanjša možnost kršitve“ zasebnosti posameznika, na katerega se nanašajo osebni podatki, ter si prizadeva pridobiti zaupanje takega posameznika z upoštevanjem in izpolnjevanjem nalog in obveznosti, ki jih določajo zakon o varstvu osebnih podatkov in drugi s tem povezani predpisi. To vključuje pripravo notranjega načrta upravljanja (člen 29 zakona o varstvu osebnih podatkov) ter ustrezno usposabljanje in nadzor osebja (člen 28 zakona o varstvu osebnih podatkov).

(94)

Za zagotavljanje odgovornosti člen 31 zakona o varstvu osebnih podatkov v povezavi s členom 32 uredbe o izvajanju zakona o varstvu osebnih podatkov določa, da mora upravljavec imenovati pooblaščeno osebo za varstvo zasebnosti, ki „celovito prevzame nadzor nad obdelavo osebnih podatkov“. Taka pooblaščena oseba ima zlasti naslednje naloge: (1) pripravi in izvaja načrt varstva osebnih podatkov ter oblikuje politiko zasebnosti, (2) opravlja redne raziskave glede stanja in praks na področju obdelave osebnih podatkov z namenom izboljšanja morebitnih pomanjkljivosti, (3) obravnava pritožbe in priznava odškodnine, (4) vzpostavi notranji sistem nadzora za preprečevanje razkritja, zlorabe ali nepravilne uporabe osebnih podatkov, (5) pripravi in izvaja program usposabljanja, (6) zagotavlja varstvo datotek z osebnimi podatki, njihov nadzor in upravljanje ter (7) poskrbi za uničenje osebnih podatkov, ko je namen obdelave dosežen ali ko se izteče obdobje hrambe. Pri opravljanju teh nalog lahko pooblaščena oseba za varstvo zasebnosti preverja stanje na področju obdelave osebnih podatkov in s tem povezanih sistemov ter lahko zahteva informacije v zvezi s tem (člen 31(3) zakona o varstvu osebnih podatkov). Če pooblaščena oseba za varstvo zasebnosti izve za kakršno koli kršitev zakona o varstvu osebnih podatkov ali drugih zadevnih predpisov o varstvu osebnih podatkov, takoj sprejme popravne ukrepe in o njih poroča vodstvu („vodji“) upravljavca, če je potrebno (člen 31(4) zakona o varstvu osebnih podatkov). Člen 31(5) zakona o varstvu osebnih podatkov določa, da pooblaščena oseba za varstvo zasebnosti zaradi opravljanja teh nalog ne sme biti neupravičeno postavljena v neugoden položaj.

(95)

Poleg tega si morajo upravljavci proaktivno prizadevati za izvedbo ocene učinka na zasebnost, kadar pri obdelavi datotek z osebnimi podatki obstaja tveganje za kršitev zasebnosti (člen 33(8) zakona o varstvu osebnih podatkov). Člen 33(1) in (2) zakona o varstvu osebnih podatkov v povezavi s členi 35, 36 in 38 uredbe o izvajanju zakona o varstvu osebnih podatkov določa, da se pri ocenjevanju stopnje tveganja za pravice posameznikov, na katere se nanašajo osebni podatki, upoštevajo dejavniki, kot so vrsta in narava podatkov, ki se obdelujejo (zlasti, ali gre za občutljive podatke), količina podatkov, obdobje hrambe in verjetnost kršitve varnosti podatkov. Namen ocene učinka na zasebnost je zagotoviti, da se analizirajo dejavniki tveganja za zasebnost in varnostni ali drugi protiukrepi ter opredelijo področja, ki jih je treba izboljšati (glej člen 33(1) zakona o varstvu osebnih podatkov v povezavi s členom 38 uredbe o izvajanju zakona o varstvu osebnih podatkov).

(96)

Javni organi morajo izvesti oceno učinka, kadar obdelujejo nekatere datoteke z osebnimi podatki, ki pomenijo večje tveganje za morebitne kršitve zasebnosti (člen 33(1) zakona o varstvu osebnih podatkov). Člen 35 uredbe o izvajanju zakona o varstvu osebnih podatkov določa, da je tako med drugim v primeru datotek, ki vsebujejo občutljive podatke o najmanj 50 000 posameznikih, na katere se nanašajo osebni podatki, datotek, ki se bodo povezale z drugimi datotekami in bodo zaradi tega vsebovale podatke o najmanj 500 000 posameznikih, na katere se nanašajo osebni podatki, ali datotek, ki vsebujejo podatke o najmanj enem milijonu posameznikov, na katere se nanašajo osebni podatki. Rezultat ocene učinka, ki jo izvede javni organ, je treba sporočiti komisiji za varstvo osebnih podatkov (člen 33(1) zakona o varstvu osebnih podatkov), ki lahko izda mnenje (člen 33(3) zakona o varstvu osebnih podatkov).

(97)

Nazadnje, člen 13 zakona o varstvu osebnih podatkov določa, da komisija za varstvo osebnih podatkov oblikuje politike, ki so potrebne za spodbujanje in podpiranje „samoreguliranih dejavnosti upravljavcev za varstvo podatkov“, med drugim z izobraževanjem o varstvu podatkov, spodbujanjem in podpiranjem organizacij, ki se ukvarjajo z varstvom podatkov, ter s pomočjo upravljavcem pri vzpostavljanju in izvajanju samoregulativnih pravil. Poleg tega uvede in omogoča sistem ePRIVACY Mark. Glede tega člen 32-2 zakona o varstvu osebnih podatkov v povezavi s členoma 34-2 in 34-8 uredbe o izvajanju zakona o varstvu osebnih podatkov določa možnost potrjevanja, da so upravljavčevi sistemi za obdelavo in varstvo osebnih podatkov skladni z zahtevami iz zakona o varstvu osebnih podatkov. V skladu s temi pravili se lahko izda potrdilo (118) (za obdobje treh let), če upravljavec izpolnjuje merila za izdajo potrdila, ki jih opredeli komisija za varstvo osebnih podatkov, vključno z vzpostavitvijo upravljavskih, tehničnih in fizičnih zaščitnih ukrepov za varstvo osebnih podatkov (119). Komisija za varstvo osebnih podatkov mora vsaj enkrat letno preveriti upravljavčeve sisteme, ki so pomembni za potrjevanje, da se ohrani njegova učinkovitost, pri tem pa lahko potrdilo tudi prekliče (člen 32(4) zakona o varstvu osebnih podatkov v povezavi s členom 34-5 uredbe o izvajanju zakona o varstvu osebnih podatkov; tako imenovano „nadaljnje upravljanje“).

(98)

Korejski okvir torej udejanja načelo odgovornosti tako, da se zagotavlja raven varnosti, ki je v osnovi enakovredna tisti iz Uredbe (EU) 2016/679, vključno z zagotavljanjem različnih mehanizmov za zagotavljanje in dokazovanje skladnosti z zakonom o varstvu osebnih podatkov.

(99)

Kot je opisano v uvodni izjavi (13), zakon o uporabi in varstvu kreditnih informacij določa posebna pravila za obdelavo osebnih kreditnih informacij s strani gospodarskih subjektov. Kadar gospodarski subjekti obdelujejo osebne kreditne informacije, morajo torej zagotoviti skladnost s splošnimi zahtevami iz zakona o varstvu osebnih podatkov, razen če zakon o uporabi in varstvu kreditnih informacij vsebuje podrobnejša pravila. Tako je v primeru, ko obdelujejo podatke v zvezi s kreditno kartico ali bančnim računom v okviru poslovne transakcije s posameznikom. Zakon o uporabi in varstvu kreditnih informacij kot sektorska zakonodaja za obdelavo kreditnih informacij (osebnih in neosebnih) določa posebne zaščitne ukrepe za varstvo podatkov (npr. v smislu preglednosti in varnosti), obenem pa tudi splošneje ureja posebne okoliščine, v katerih se lahko obdelujejo osebne kreditne informacije. To se še zlasti odraža v podrobnih zahtevah za uporabo podatkov, njihovo zagotavljanje tretjim osebam in hrambo takih podatkov.

(100)

Tako kot zakon o varstvu osebnih podatkov tudi zakon o uporabi in varstvu kreditnih informacij odraža načeli zakonitosti in sorazmernosti. Prvič, kot splošno zahtevo člen 15(1) zakona o uporabi in varstvu kreditnih informacij določa, da je osebne kreditne informacije dovoljeno zbirati le na razumne in poštene načine in v najmanjšem možnem obsegu, ki še omogoča izpolnjevanje posameznega namena, in sicer v skladu s členom 3(1)–(2) zakona o varstvu osebnih podatkov. Drugič, zakon o uporabi in varstvu kreditnih informacij izrecno ureja zakonitost obdelave osebnih kreditnih informacij z omejevanjem njihovega zbiranja, uporabe in zagotavljanja tretjim osebam ter na splošno z zahtevo, da se za take dejavnosti obdelave dobi privolitev zadevne osebe.

(101)

Osebne kreditne informacije se lahko zbirajo sklicujoč se na eno od pravnih podlag iz zakona o varstvu osebnih podatkov ali na posebne pravne podlage iz zakona o uporabi in varstvu kreditnih informacij. Glede na to, da se s členom 45 Uredbe (EU) 2016/679 predpostavlja prenos osebnih podatkov od upravljavca ali obdelovalca v Uniji, ni pa zajeto neposredno zbiranje pri upravljavcu v Koreji (npr. od posameznika ali na spletnem mestu), so za ta sklep pomembne le privolitev in pravne podlage iz zakona o varstvu osebnih podatkov. Te pravne podlage vključujejo zlasti primere, ko je prenos potreben za izpolnitev pogodbe s posameznikom ali zaradi zakonitih interesov korejskega upravljavca (člen 15(1), točki 4 in 6, zakona o varstvu osebnih podatkov) (120).

(102)

Ko so osebne kreditne informacije zbrane, se lahko uporabijo (1) za izvirni namen, za katerega jih je posameznik (neposredno) zagotovil (121); (2) za namen, ki je skladen z izvirnim namenom zbiranja (122); (3) za odločitev, ali skleniti oziroma ohraniti poslovno razmerje, za katero je zaprosil posameznik (123); (4) za namene statistične analize, raziskav in arhiviranja v javnem interesu (124), če so podatki psevdonimizirani (125); (5) če je pridobljena nadaljnja privolitev ali (6) v skladu z zakonom.

(103)

Če gospodarski subjekt namerava razkriti osebne kreditne informacije tretji osebi, mora pridobiti posameznikovo privolitev (126), in sicer po tem, ko ga obvesti o prejemniku podatkov, namenu obdelave s strani prejemnika, podrobnostih podatkov, ki se bodo zagotovili, obdobju hrambe pri prejemniku in o pravici, da tako privolitev zavrne (člen 32(1) zakona o uporabi in varstvu kreditnih informacij ter člen 28(2) uredbe o izvajanju zakona o uporabi in varstvu kreditnih informacij) (127). Ta zahteva glede privolitve se ne uporablja v posebnih okoliščinah, in sicer kadar se osebne kreditne informacije razkrivajo (128): (1) zunanjemu izvajalcu za namene zunanjega izvajanja (129); (2) tretji osebi v primeru prenosa, delitve ali združitve poslovanja; (3) za namene statistične analize, raziskav in arhiviranja v javnem interesu, če so podatki psevdonimizirani; (4) za namen, ki je skladen z izvirnim namenom zbiranja; (5) tretji osebi, ki informacije uporabi za izterjavo dolga posameznika (130); (6) za izpolnitev odločbe sodišča; (7) tožilcu/pravosodnemu policistu v nujnih primerih, ko je ogroženo življenje posameznika ali če posamezniku grozi telesna poškodba in ni časa za izdajo sodne odredbe (131); (8) pristojnim davčnim organom za zagotovitev skladnosti z davčno zakonodajo; ali (9) v skladu z drugimi zakoni. V primeru razkritja iz enega od navedenih razlogov mora biti posameznik, na katerega se nanašajo osebni podatki, o tem vnaprej uradno obveščen (člen 32(7) zakona o uporabi in varstvu kreditnih informacij).

(104)

Zakon o uporabi in varstvu kreditnih informacij tudi posebej ureja trajanje obdelave osebnih kreditnih informacij na podlagi enega od razlogov za uporabo podatkov ali njihovo zagotavljanje tretji osebi po izteku poslovnega razmerja s posameznikom (132). Obdržijo se lahko le informacije, ki so bile potrebne za vzpostavitev ali ohranitev navedenega razmerja, ob upoštevanju dodatnih zaščitnih ukrepov (hranjene morajo biti ločeno od kreditnih informacij, ki se nanašajo na posameznike, s katerimi poslovno razmerje še traja, zaščitene morajo biti s posebnimi varnostnimi ukrepi in dostopne le pooblaščenim posameznikom) (133). Vse druge podatke je treba izbrisati (člen 17-2(1), točka 2, uredbe o izvajanju zakona o uporabi in varstvu kreditnih informacij). Pri ugotavljanju, kateri podatki so bili potrebni za poslovno razmerje, je treba upoštevati različne dejavnike, tudi vprašanje, ali bi bilo mogoče razmerje vzpostaviti tudi brez teh podatkov in ali se neposredno nanašajo na blago ali storitve, ki se zagotavljajo posamezniku (člen 17-2(2) uredbe o izvajanju zakona o uporabi in varstvu kreditnih informacij).

(105)

Tudi kadar se lahko osebne kreditne informacije načeloma hranijo tudi po koncu poslovnega razmerja, jih je treba izbrisati v treh mesecih po tem, ko se izpolni nadaljnji namen obdelave (134), vsekakor pa po petih letih (člen 20-2 zakona o uporabi in varstvu kreditnih informacij). V omejenem številu primerov se lahko osebne kreditne informacije hranijo dlje kot pet let, zlasti kadar je to potrebno za izpolnitev pravne obveznosti, če je to potrebno iz nujnih razlogov, povezanih s posameznikovim življenjem, telesom ali premoženjem, za arhiviranje psevdonimiziranih informacij (ki so bile uporabljene za namene znanstvenih raziskav, statistične analize ali arhiviranja v javnem interesu), ali za zavarovalne namene (zlasti za izplačila zavarovalnine ali za preprečitev zavarovalniških goljufij) (135). V teh izjemnih primerih se uporabljajo posebni zaščitni ukrepi (npr. uradno obveščanje posameznika o nadaljnji uporabi, ločitev hranjenih informacij od informacij, ki se nanašajo na posameznike, s katerimi poslovno razmerje še traja, omejitev pravic do dostopa, glej člen 17-2(1)-(2) uredbe o izvajanju zakona o uporabi in varstvu kreditnih informacij).

(106)

Zakon o uporabi in varstvu kreditnih informacij tudi podrobneje določa načeli točnosti in kakovosti podatkov, saj se z njim zahteva, da se osebne kreditne informacije „registrirajo, spreminjajo in upravljajo“, da ostanejo točne in posodobljene (člen 18(1) zakona o uporabi in varstvu kreditnih informacij ter člen 15(3) uredbe o izvajanju zakona o uporabi in varstvu kreditnih informacij) (136). Kadar gospodarski subjekti zagotavljajo kreditne informacije nekaterim drugim subjektom (npr. bonitetnim agencijam), se tudi izrecno zahteva, da preverijo točnost informacij, s čimer se zagotovi, da prejemnik registrira in upravlja le točne informacije (člen 15(1) uredbe o izvajanju zakona o uporabi in varstvu kreditnih informacij v povezavi s členom 18(1) zakona o uporabi in varstvu kreditnih informacij). Splošneje, zakon o uporabi in varstvu kreditnih informacij določa, da je treba voditi evidence o zbiranju, uporabi, razkritju tretjim osebam in uničenju osebnih kreditnih informacij (člen 20(2) zakona o uporabi in varstvu kreditnih informacij) (137).

(107)

Poleg tega za obdelavo osebnih kreditnih informacij veljajo posebne zahteve glede varnosti podatkov. Z zakonom o uporabi in varstvu kreditnih informacij se zlasti zahteva izvajanje tehničnih, fizičnih in organizacijskih ukrepov za preprečevanje nezakonitega dostopa do računalniških sistemov in spreminjanja, uničenja ali katerega koli drugega tveganja za podatke, ki se obdelujejo (npr. z nadzorom dostopa, glej člen 19 zakona o uporabi in varstvu kreditnih informacij ter člen 16 uredbe o izvajanju zakona o uporabi in varstvu kreditnih informacij). Poleg tega je treba pri izmenjavi osebnih kreditnih informacij s tretjo osebo skleniti sporazum, ki določa posebne varnostne ukrepe (člen 19(2) zakona o uporabi in varstvu kreditnih informacij). Če pride do kršitve osebnih kreditnih informacij, je treba sprejeti ukrepe za zmanjšanje škode in brez odlašanja uradno obvestiti zadevne posameznike (člen 39-4(1)-(2) zakona o uporabi in varstvu kreditnih informacij). Poleg tega je treba komisijo za varstvo osebnih podatkov obvestiti o tem, da so bili posamezniki uradno obveščeni, in o sprejetih ukrepih (člen 39-4(4) zakona o uporabi in varstvu kreditnih informacij).

(108)

Zakon o uporabi in varstvu kreditnih informacij tudi določa posebne obveznosti glede preglednosti pri pridobivanju privolitve za uporabo ali zagotavljanje osebnih kreditnih informacij (člen 32(4) in člen 34-2 zakona o uporabi in varstvu kreditnih informacij ter člen 30-3 uredbe o izvajanju zakona o uporabi in varstvu kreditnih informacij), splošneje pa tudi pred zagotavljanjem informacij tretji osebi (člen 32(7) zakona o uporabi in varstvu kreditnih informacij) (138). Poleg tega imajo posamezniki pravico, da na zahtevo pridobijo informacije o uporabi in zagotavljanju njihovih kreditnih informacij tretjim osebam v triletnem obdobju pred vložitvijo zahteve (vključno z namenom in datumi take uporabe/zagotavljanja) (139).

(109)

V skladu z zakonom o uporabi in varstvu kreditnih informacij imajo posamezniki tudi pravico do dostopa do svojih osebnih kreditnih informacij (člen 38(1) zakona o uporabi in varstvu kreditnih informacij) ter pravico do popravka netočnih podatkov (člen 38(2) in (3) zakona o uporabi in varstvu kreditnih informacij) (140). Prav tako poleg splošne pravice do izbrisa na podlagi zakona o varstvu osebnih podatkov (glej uvodno izjavo (77)) zakon o uporabi in varstvu kreditnih informacij določa tudi posebno pravico do izbrisa osebnih kreditnih informacij, ki se hranijo tudi po izteku rokov za hrambo, navedenih v uvodni izjavi (104), tj. pet let (za osebne kreditne informacije, ki so bile potrebne za vzpostavitev ali ohranitev poslovnega razmerja) ali tri mesece (za druge vrste osebnih kreditnih informacij) (141). Zahteva za izbris se izjemoma lahko zavrne, če je nadaljnja hramba potrebna v okoliščinah, opisanih v uvodni izjavi (105). Če posameznik zahteva izbris, vendar se uporablja ena od izjem, je treba v zvezi z zadevnimi kreditnimi informacijami sprejeti posebne zaščitne ukrepe (člen 38-3(3) zakona o uporabi in varstvu kreditnih informacij ter člen 33-3 uredbe o izvajanju zakona o uporabi in varstvu kreditnih informacij). Informacije je na primer treba hraniti ločeno od drugih informacij, do njih ima lahko dostop le pooblaščena oseba in zanje morajo veljati posebni varnostni ukrepi.

(110)

Poleg pravic, navedenih v uvodni izjavi (109), zakon o uporabi in varstvu kreditnih informacij posameznikom zagotavlja pravico, da od upravljavca zahtevajo, naj se nanje več ne obrača za namene neposrednega trženja (člen 37(2) zakona), in pravico do prenosljivosti podatkov. V zvezi s slednjim zakon o uporabi in varstvu kreditnih informacij posameznikom omogoča, da zahtevajo posredovanje svojih osebnih kreditnih informacij sebi ali nekaterim tretjim osebam (kot so finančne institucije in družbe za izdelavo bonitetnih ocen). Osebne kreditne informacije se morajo obdelovati in posredovati tretji osebi v obliki, ki omogoča obdelavo z napravo za obdelavo podatkov (kot je računalnik).

(111)

Kolikor zakon o uporabi in varstvu kreditnih informacij vsebuje posebna pravila glede na zakon o varstvu osebnih podatkov, Komisija meni, da tudi ta pravila zagotavljajo raven varstva, ki je v osnovi enakovredna tisti iz Uredbe (EU) 2016/679.

(112)

Da se zagotovi ustrezna raven varstva podatkov v praksi, bi bilo treba vzpostaviti neodvisen nadzorni organ, pooblaščen za spremljanje in zagotavljanje skladnosti s pravili o varstvu podatkov. Ta organ bi moral pri izvajanju svojih obveznosti in pooblastil ravnati popolnoma neodvisno in nepristransko.

(113)

V Republiki Koreji je neodvisen organ, pristojen za spremljanje in izvrševanje zakona o varstvu osebnih podatkov, komisija za varstvo osebnih podatkov. Sestavljajo jo predsednik, podpredsednik in sedem članov. Predsednika in podpredsednika imenuje predsednik republike po priporočilu predsednika vlade. Dva izmed članov komisije imenuje predsednik republike na priporočilo predsednika, pet pa na priporočilo parlamenta (od tega dva na priporočilo politične stranke, ki ji pripada predsednik, in tri na priporočilo drugih političnih strank (člen 7-2(2) zakona o varstvu osebnih podatkov), kar pomaga preprečevati pristranskost v postopku imenovanja) (142). Ta postopek je v skladu z zahtevami, ki se uporabljajo za imenovanje članov organov za varstvo podatkov v Uniji (člen 53(1) Uredbe (EU) 2016/679). Poleg tega se morajo vsi člani komisije vzdržati opravljanja dobičkonosnih poslovnih dejavnosti, političnega udejstvovanja in zasedbe funkcij v javni upravi ali parlamentu (člen 7-6 in člen 7-7(1), točka 3, zakona o varstvu osebnih podatkov) (143). Za vse člane komisije veljajo tudi posebna pravila, ki jim preprečujejo sodelovanje v razpravah v zadevi, v kateri je možnost navzkrižja interesov (člen 7-11 zakona o varstvu osebnih podatkov). Komisiji za varstvo osebnih podatkov pomaga sekretariat (člen 7-13), prav tako lahko komisija ustanovi pododbore (ki jih sestavljajo trije člani komisije), ki obravnavajo manjše kršitve in ponavljajoče se zadeve (člen 7-12 zakona o varstvu osebnih podatkov).

(114)

Vsak član komisije za varstvo osebnih podatkov je imenovan za tri leta in je lahko enkrat ponovno imenovan (člen 7-4(1) zakona o varstvu osebnih podatkov). Člana komisije je mogoče odpoklicati le v posebnih okoliščinah, in sicer če ne zmore več opravljati svojih nalog zaradi dolgotrajne duševne ali telesne nezmožnosti, če krši zakon ali če je izpolnjen eden od pogojev za razrešitev s položaja (144) (člen 7-5 zakona o varstvu osebnih podatkov). To članom zagotavlja institucionalno zaščito pri izvajanju njihovih nalog.

(115)

Splošneje, člen 7(1) zakona o varstvu osebnih podatkov izrecno zagotavlja neodvisnost komisije za varstvo osebnih podatkov, člen 7-5(2) navedenega zakona pa določa, da morajo člani komisije svoje naloge opravljati neodvisno, v skladu z zakonom in po svoji vesti (145). Opisani institucionalni in postopkovni zaščitni ukrepi, med drugim glede imenovanja in odpoklica članov komisije za varstvo osebnih podatkov, zagotavljajo, da lahko navedena komisija deluje povsem neodvisno, brez zunanjih vplivov ali navodil. Poleg tega komisija za varstvo osebnih podatkov kot osrednja upravna agencija vsako leto predlaga svoj proračun (ki ga ministrstvo za finance pregleda kot del splošnega nacionalnega proračuna, preden ga sprejme državni zbor) in je odgovorna za lastno kadrovsko vodenje. Trenutni proračun komisije za varstvo osebnih podatkov znaša približno 35 milijonov EUR, komisija pa ima 154 zaposlenih (vključno s 40 zaposlenimi, specializiranimi za informacijsko in komunikacijsko tehnologijo, 32 zaposlenimi, ki se osredotočajo na preiskave, in 40 pravnimi strokovnjaki).

(116)

Naloge in pristojnosti komisije za varstvo osebnih podatkov so večinoma opredeljene v členih 7-8 in 7-9 ter členih 61-66 zakona o varstvu osebnih podatkov (146). Naloge komisije za varstvo osebnih podatkov vključujejo zlasti svetovanje o zakonodaji in predpisih v zvezi z varstvom podatkov, pripravo politik in smernic s področja varstva podatkov, preiskovanje kršitev pravic posameznikov, obravnavanje pritožb in mediacijo v sporih, zagotavljanje skladnosti z zakonom o varstvu osebnih podatkov, zagotavljanje izobraževanja in promocije na področju varstva podatkov ter izmenjavo in sodelovanje z organi za varstvo podatkov iz tretjih držav (147).

(117)

Na podlagi člena 68 zakona o varstvu osebnih podatkov v povezavi s členom 62 uredbe o izvajanju zakona o varstvu osebnih podatkov so bile nekatere naloge komisije za varstvo osebnih podatkov prenesene na korejsko agencijo za splet in varnost, in sicer: (1) izobraževanje in odnosi z javnostmi, (2) usposabljanje strokovnjakov in razvoj meril za ocene učinka na zasebnost, (3) obravnavanje zahtev za imenovanje tako imenovane ustanove za izvajanje ocen učinka na zasebnost, (4) obravnavanje zahtev za posredni dostop do osebnih podatkov, ki jih hranijo javni organi (člen 35(2) zakona o varstvu osebnih podatkov), ter (5) izdajanje zahtev za gradivo in izvajanje inšpekcijskih pregledov v zvezi s pritožbami, prejetimi prek tako imenovanega klicnega centra za vprašanja v zvezi z zasebnostjo. V okviru obravnavanja pritožb prek klicnega centra za vprašanja v zvezi z zasebnostjo korejska agencija za splet in varnost zadevo preda komisiji za varstvo osebnih podatkov ali tožilstvu, če ugotovi, da je bil kršen zakon. Možnost vložitve pritožbe prek klicnega centra za vprašanja v zvezi z zasebnostjo posameznikom ne preprečuje, da pritožbo vložijo neposredno pri komisiji za varstvo osebnih podatkov ali da se nanjo obrnejo, če menijo, da korejska agencija za splet in varnost njihove pritožbe ni zadovoljivo obravnavala.

(118)

Da bi se zagotovila skladnost z zakonom o varstvu osebnih podatkov, je zakonodajalec komisiji za varstvo osebnih podatkov podelil preiskovalna in izvršilna pooblastila, ki segajo od izdajanja priporočil do izrekanja upravnih glob. Ta pooblastila dodatno dopolnjuje ureditev kazenskih sankcij.

(119)

Glede preiskovalnih pooblastil velja, da lahko komisija za varstvo osebnih podatkov opravlja inšpekcijske preglede na kraju samem in od upravljavcev osebnih podatkov zahteva vse zadevno gradivo (kot so članki in dokumenti) (člen 63 zakona o varstvu osebnih podatkov v povezavi s členom 60 uredbe o izvajanju zakona o varstvu osebnih podatkov), če obstaja sum kršitve zakona o varstvu osebnih podatkov ali je bila taka kršitev prijavljena oziroma če je to potrebno za varstvo pravic posameznikov, na katere se nanašajo osebni podatki, pred kršitvami (148).

(120)

Glede izvrševanja člen 61(2) zakona o varstvu osebnih podatkov določa, da lahko komisija za varstvo osebnih podatkov upravljavcem podatkov svetuje, kako izboljšati raven varstva osebnih podatkov pri posameznih dejavnostih obdelave. Upravljavci podatkov si morajo v dobri veri prizadevati za upoštevanje takih nasvetov in morajo komisijo za varstvo osebnih podatkov obveščati o rezultatih. Prav tako lahko komisija za varstvo osebnih podatkov, kadar obstajajo utemeljeni razlogi za sum, da je bil kršen zakon o varstvu osebnih podatkov, in bi neukrepanje verjetno povzročilo škodo, ki bi jo bilo težko odpraviti, naloži popravne ukrepe (člen 64(1) zakona o varstvu osebnih podatkov) (149). V oddelku 5 uradnega obvestila št. 2021-5 (Priloga I) je z zavezujočim učinkom pojasnjeno, da so ti pogoji izpolnjeni v zvezi s kršitvijo katere koli določbe zakona o varstvu osebnih podatkov, ki ščiti pravice do zasebnosti posameznikov v zvezi z osebnimi podatki (150). Ukrepi, ki jih lahko sprejme komisija za varstvo osebnih podatkov, vključujejo odreditev prenehanja ravnanja, ki povzroča kršitev, začasno prenehanje obdelave podatkov ali katere koli druge potrebne ukrepe. Za neizpolnitev popravnega ukrepa se lahko izreče globa v višini največ 50 milijonov KRW (člen 75(2), točka 13, zakona o varstvu osebnih podatkov).

(121)

V zvezi z nekaterimi javnimi organi (kot so parlament, osrednji upravni organi, lokalni organi in sodišča) člen 64(4) zakona o varstvu osebnih podatkov določa, da lahko komisija za varstvo osebnih podatkov „priporoči“ katerega koli od popravnih ukrepov, navedenih v uvodni izjavi (120), navedeni organi pa morajo tako priporočilo upoštevati, razen če gre za izredne okoliščine. V skladu z oddelkom 5 uradnega obvestila št. 2021-5 se to nanaša na izredne dejanske ali pravne okoliščine, za katere komisija za varstvo osebnih podatkov ob izdaji priporočila ni vedela. Zadevni javni organ se lahko na take izredne okoliščine sklicuje le, če jasno dokaže, da kršitve ni bilo, in komisija za varstvo osebnih podatkov ugotovi, da je res tako. V nasprotnem primeru mora javni organ upoštevati priporočilo komisije za varstvo osebnih podatkov in „sprejeti popravni ukrep, vključno s takojšnjim prenehanjem dejanja, v izjemnih primerih, ko je bilo nezakonito dejanje kljub temu storjeno, pa povrniti škodo“.

(122)

Komisija za varstvo osebnih podatkov lahko od drugih upravnih agencij, ki imajo posebne pristojnosti v skladu s sektorsko zakonodajo (npr. zdravje, izobraževanje), zahteva, da same ali skupaj z njo izvedejo preiskavo (suma) kršitev zasebnosti s strani upravljavcev, ki delujejo v teh sektorjih pod njihovo pristojnostjo, in uvedejo korektivne ukrepe (člen 63(4)–(5) zakona o varstvu osebnih podatkov). V tem primeru komisija za varstvo osebnih podatkov opredeli razloge, predmet in obseg preiskave (151). Nato mora zadevni upravni organ komisiji za varstvo osebnih podatkov predložiti načrt preiskave in jo uradno obvestiti o rezultatih preiskave. Komisija za varstvo osebnih podatkov lahko priporoči sprejetje posebnega korektivnega ukrepa, ki ga mora zadevna agencija izvajati. V vsakem primeru lahko komisija za varstvo osebnih podatkov kljub taki zahtevi opravi lastno preiskavo ali izreče sankcije.

(123)

Poleg tega, da ima komisija za varstvo osebnih podatkov popravljalna pooblastila, lahko tudi izreka upravne globe v višini med 10 in 50 milijonov KRW za kršitve različnih zahtev zakona o varstvu osebnih podatkov (člen 75 navedenega zakona) (152). To med drugim vključuje neskladnost z zahtevami za zakonitost obdelave, nesprejetje potrebnih varnostnih ukrepov, neobveščanje posameznikov, na katere se nanašajo osebni podatki, o kršitvi varnosti podatkov, neskladnost z zahtevami za podobdelavo, nesprejetje in neobjavo politike zasebnosti, neimenovanje pooblaščene osebe za varstvo zasebnosti ali neukrepanje na podlagi zahteve posameznika, na katerega se nanašajo osebni podatki, kadar ta uresničuje svoje pravice, ter nekatere procesne kršitve (nesodelovanje med preiskavo). Če isti upravljavec krši več določb zakona o varstvu osebnih podatkov, se lahko za vsako kršitev naloži globa, pri določanju višine globe pa se upošteva število prizadetih posameznikov.

(124)

Prav tako lahko komisija za varstvo osebnih podatkov, kadar obstaja utemeljen sum kršitve zakona o varstvu osebnih podatkov ali katerega koli drugega „predpisa, ki se nanaša na varstvo osebnih podatkov“, pri pristojnem preiskovalnem organu (npr. pri tožilcu) vloži ovadbo (glej člen 65(1) zakona o varstvu osebnih podatkov). Poleg tega lahko komisija za varstvo osebnih podatkov upravljavcu svetuje sprejetje disciplinskih ukrepov zoper odgovorno osebo (tudi zoper vodilne delavce, glej člen 65(2) zakona o varstvu osebnih podatkov). Upravljavec mora tak nasvet upoštevati (153) in komisijo za varstvo osebnih podatkov pisno obvestiti o rezultatih (glej člen 65 zakona o varstvu osebnih podatkov v povezavi s členom 58 uredbe o izvajanju zakona o varstvu osebnih podatkov).

(125)

V zvezi z nasvetom na podlagi člena 61, popravnimi ukrepi na podlagi člena 64, obtožbo ali svetovanjem glede disciplinskih ukrepov na podlagi člena 65 in izrekom upravnih glob na podlagi člena 75 zakona o varstvu osebnih podatkov lahko komisija za varstvo osebnih podatkov dejstva javno objavi (tj. kršitev, subjekt, ki je kršil zakon, in izrečene ukrepe) na svojem spletnem mestu ali v splošnem dnevnem časopisu, ki izhaja na ozemlju celotne države (člen 66 zakona o varstvu osebnih podatkov v povezavi s členom 61(1) uredbe o izvajanju zakona o varstvu osebnih podatkov) (154).

(126)

Nazadnje, skladnost z zahtevami o varstvu podatkov iz zakona o varstvu osebnih podatkov (in iz drugih „predpisov, ki se nanašajo na varstvo osebnih podatkov“) podpira tudi ureditev kazenskih sankcij. V tem smislu členi 70 do 73 zakona o varstvu osebnih podatkov vsebujejo kazenske določbe, na podlagi katerih se lahko izreče globa (med 20 in 100 milijoni KRW) ali zaporna kazen (najvišja je od dveh do deset let). Med zadevnimi kršitvami so uporaba osebnih podatkov ali njihovo zagotavljanje tretji osebi brez potrebne privolitve, obdelava občutljivih podatkov v nasprotju s prepovedjo iz člena 23(1) zakona o varstvu osebnih podatkov, neskladnost z veljavnimi zahtevami glede varnosti, če to povzroči izgubo, krajo, razkritje, ponarejanje ali spreminjanje osebnih podatkov ali poseganje vanje, nesprejetje potrebnih ukrepov za popravek, izbris ali prenehanje obdelave osebnih podatkov ali nezakonit prenos osebnih podatkov v tretjo državo (155). V skladu s členom 74 zakona o varstvu osebnih podatkov so v vsakem od navedenih primerov odgovorni zaposleni, zastopnik ali predstavnik upravljavca in sam upravljavec (156).

(127)

Za zlorabo osebnih podatkov se lahko izrečejo kazenske sankcije, določene v zakonu o varstvu osebnih podatkov, lahko pa pomeni tudi kaznivo dejanje na podlagi kazenskega zakona. To velja zlasti v zvezi s kršitvijo zaupnosti pisanj, dokumentov ali elektronskih evidenc (člen 316), razkritjem informacij, za katere se šteje, da so poklicna skrivnost (člen 317), goljufijo z uporabo računalnika (člen 347-2) ter poneverbo in zlorabo zaupanja (člen 355).

(128)

Korejski sistem torej združuje različne vrste sankcij, od popravnih ukrepov in upravnih glob do kazenskih sankcij, za katere je verjetno, da imajo še posebno močan odvračalni učinek na upravljavce in posameznike, ki ravnajo s podatki. Komisija za varstvo osebnih podatkov je takoj po ustanovitvi v letu 2020 začela uresničevati svoje pristojnosti. Iz letnega poročila komisije za varstvo osebnih podatkov za leto 2021 je razvidno, da je komisija za varstvo osebnih podatkov že izdala številna priporočila in upravne globe ter odredila popravne ukrepe, tako za javni sektor (približno 34 javnih organov) kot za zasebne subjekte (približno 140 družb) (157). Med pomembnejšimi primeri je decembra 2020 neki družbi na primer izrekla globo v višini 6,7 milijarde KRW zaradi kršitve različnih določb zakona o varstvu osebnih podatkov (vključno z zahtevami glede varnosti, privolitve za zagotavljanje podatkov tretji osebi in preglednosti) (158), aprila 2021 pa je družbi s področja tehnologije umetne inteligence izrekla globo v višini 103,3 milijona KRW zaradi kršitve, med drugim, pravil o zakonitosti obdelave, zlasti privolitve, in obdelave psevdonimiziranih podatkov (159). Komisija za varstvo osebnih podatkov je avgusta 2021 dokončala še eno preiskavo dejavnosti treh družb, na podlagi katere so bili sprejeti korektivni ukrepi in naložene denarne kazni v višini do 6,47 milijarde (med drugim zaradi neobveščanja posameznikov o razkritju osebnih podatkov tretjim osebam, vključno s prenosi v tretje države) (160). Prav tako je Južna Koreja že pred nedavno reformo dosegala dobre rezultate pri izvrševanju, pri čemer so pristojni organi uporabljali najrazličnejše izvršilne ukrepe, vključno z upravnimi globami, popravnimi ukrepi in javnim razkrivanjem kršitev različnih upravljavcev, vključno s ponudniki komunikacijskih storitev (korejska komisija za komunikacije) ter gospodarskimi subjekti, finančnimi institucijami, javnimi organi, univerzami in bolnišnicami (ministrstvo za notranje zadeve in varnost) (161). Na podlagi navedenega Komisija ugotavlja, da korejski sistem zagotavlja učinkovito izvrševanje pravil o varstvu podatkov v praksi, s čimer zagotavlja raven varstva, ki je v osnovi enakovredna tisti iz Uredbe (EU) 2016/679.

(129)

Posameznik, na katerega se nanašajo osebni podatki, mora imeti na voljo učinkovito upravno in sodno varstvo, vključno z odškodnino za škodo, da se zagotovita ustrezno varstvo in zlasti uresničevanje pravic posameznika.

(130)

Korejski sistem posameznikom zagotavlja različne mehanizme, s katerimi lahko učinkovito uresničujejo svoje pravice in dobijo (sodno) varstvo.

(131)

V prvem koraku se lahko posamezniki, ki menijo, da so bile kršene njihove pravice oziroma interesi glede varstva podatkov, obrnejo na zadevnega upravljavca. V skladu s členom 30(1), točka 5, zakona o varstvu osebnih podatkov mora upravljavec v svojo politiko zasebnosti vključiti tudi informacije o pravicah posameznikov, na katere se nanašajo osebni podatki, in o tem, kako jih uresničevati. Poleg tega mora navesti kontaktne informacije (kot so ime in telefonska številka pooblaščene osebe za varstvo zasebnosti ali oddelka, ki je odgovoren za varstvo podatkov), da se lahko vložijo pritožbe. V organizacijski strukturi upravljavca je pooblaščena oseba za varstvo zasebnosti odgovorna za obravnavanje pritožb, sprejemanje popravnih ukrepov v primeru kršitve zasebnosti in priznavanje odškodnine (člen 31(2), točka 3, in člen 31(4) zakona o varstvu osebnih podatkov). Slednje je na primer pomembno v primeru kršitve varstva podatkov, saj mora upravljavec posamezniku, na katerega se nanašajo osebni podatki, med drugim obvesti o kontaktnih točkah, pri katerih lahko prijavi morebitno škodo (člen 34(1), točka 5, zakona o varstvu osebnih podatkov).

(132)

Poleg tega zakon o varstvu osebnih podatkov posameznikom zagotavlja več pravnih sredstev zoper upravljavce. Prvič, vsak posameznik, ki meni, da je upravljavec kršil njegove pravice ali interese glede varstva podatkov, lahko tako kršitev prijavi neposredno komisiji za varstvo osebnih podatkov in/ali enemu od specializiranih subjektov, ki jih je navedena komisija imenovala za sprejemanje in obravnavanje pritožb; to vključuje korejsko agencijo za splet in varnost, ki v ta namen vodi klicni center za vprašanja v zvezi z osebnimi podatki (tako imenovani klicni center za vprašanja v zvezi z zasebnostjo) (člen 62(1) in (2) zakona o varstvu osebnih podatkov v povezavi s členom 59 uredbe o izvajanju zakona o varstvu osebnih podatkov). Klicni center za vprašanja v zvezi z zasebnostjo preiskuje in ugotavlja kršitve, zagotavlja svetovanje v zvezi z obdelavo osebnih podatkov (člen 62(3) zakona o varstvu osebnih podatkov) ter lahko kršitve prijavi komisiji za varstvo osebnih podatkov (ne more pa sam sprejeti izvršilnih ukrepov). Klicni center za vprašanja v zvezi z zasebnostjo prejme veliko število pritožb in zahtev (npr. 177 457 v letu 2020, 159 255 v letu 2019 in 164 497 v letu 2018) (162). Po informacijah, prejetih od komisije za varstvo osebnih podatkov, je komisija za varstvo osebnih podatkov med avgustom 2020 in avgustom 2021 sama prejel približno 1 000 pritožb. V odgovor na pritožbo lahko komisija za varstvo osebnih podatkov pristojnemu preiskovalnemu organu (vključno s tožilcem) poda nasvete za izboljšave, korektivne ukrepe, „obtožnico“ ali predlog za disciplinske ukrepe (glej člene 61, 64 in 65 zakona o varstvu osebnih podatkov). Odločitve komisije za varstvo osebnih podatkov (kot je zavrnitev obravnave pritožbe ali njena vsebinska zavrnitev) je mogoče izpodbijati na podlagi zakona o upravnem sporu (163).

(133)

Drugič, členi 40 do 50 zakona o varstvu osebnih podatkov v povezavi s členi 48-14 do 57 uredbe o izvajanju zakona o varstvu osebnih podatkov določajo, da lahko posamezniki, na katere se nanašajo osebni podatki, vložijo zahtevke pri tako imenovanem odboru za mediacijo v sporih, v katerem so predstavniki, ki jih imenuje predsednik komisije za varstvo osebnih podatkov, in sicer izmed članov višje izvršilne službe navedene komisije, in posamezniki, ki so na podlagi svojih izkušenj na področju varstva podatkov imenovani iz določenih upravičenih skupin (glej člen 40(2), (3) in (7) zakona o varstvu osebnih podatkov ter člen 48-14 uredbe o izvajanju zakona o varstvu osebnih podatkov) (164). Možnost uporabe mediacije pred odborom za mediacijo v primeru sporov zagotavlja alternativno možnost za pridobitev odškodnine, vendar ne omejuje pravice posameznika, da se namesto tega obrne na komisijo za varstvo osebnih podatkov ali sodišče. V okviru obravnave zadeve lahko odbor od strank v sporu zahteva predložitev potrebnega gradiva in/ali k pričanju pozove zadevne priče (člen 45 zakona o varstvu osebnih podatkov). Ko je zadeva razjasnjena, odbor pripravi osnutek mediacijskega dogovora (165), s katerim se mora strinjati večina članov odbora. Osnutek lahko vključuje prenehanje kršitve, potrebne popravne ukrepe (vključno z vrnitvijo v prejšnje stanje ali odškodnino) in vse druge ukrepe, ki so morda potrebni, da se prepeči ponovitev take ali podobne kršitve (člen 47(1) zakona o varstvu osebnih podatkov). Če se z mediacijskim dogovorom strinjata obe stranki, ima enak učinek kot sodna poravnava (člen 47(5) zakona o varstvu osebnih podatkov). Stranki lahko med postopkom mediacije vložita tudi tožbo pri sodišču, v takem primeru pa se mediacija prekine (glej člen 48(2) zakona o varstvu osebnih podatkov) (166). Letni podatki, ki jih objavi komisija za varstvo osebnih podatkov, kažejo, da posamezniki redno uporabljajo postopek pred odborom za mediacijo v primeru sporov, ki pogosto privede do uspešnega izida. Odbor je na primer leta 2020 obravnaval 126 zadev, od katerih jih je bilo 89 rešenih pred odborom (77 primerov, v katerih sta stranki dosegli dogovor že pred koncem postopka mediacije, 12 zadev, v katerih so stranke sprejele predlog mediacije), kar pomeni 70,6-odstotno stopnjo mediacije (167). Podobno je odbor v letu 2019 obravnaval 139 primerov, od katerih jih je bilo 92 rešenih, kar pomeni 62,2-odstotno stopnjo mediacije.

(134)

Nadalje, če vsaj 50 posameznikov utrpi škodo ali če so njihove pravice do varstva podatkov kršene na isti ali podoben način, pri čemer kršitev izhaja iz istega dogodka ali dogodka iste vrste (168), lahko posameznik, na katerega se nanašajo osebni podatki, ali organizacija za varstvo podatkov v imenu take skupine vloži vlogo za kolektivno mediacijo; postopku mediacije se lahko pridružijo še drugi posamezniki, na katere se nanašajo osebni podatki, saj odbor za mediacijo v sporih uvedbo takega postopka javno objavi (člen 49(1) do (3) zakona o varstvu osebnih podatkov v povezavi s členi 52 do 54 uredbe o izvajanju zakona o varstvu osebnih podatkov) (169). Odbor za mediacijo v sporih lahko vsaj eno osebo, ki najustrezneje zastopa skupne interese, izbere za predstavnika (člen 49(4) zakona o varstvu osebnih podatkov). Če upravljavec zavrne kolektivno mediacijo ali ne sprejme mediacijskega dogovora, lahko nekatere organizacije (170) vložijo skupinsko tožbo zaradi kršitve (členi 51 do 57 zakona o varstvu osebnih podatkov).

(135)

Tretjič, v primeru kršitve zasebnosti, zaradi katere posameznik utrpi „škodo“, ima posameznik, na katerega se nanašajo osebni podatki, pravico do ustreznega pravnega varstva v „hitrem in poštenem postopku“ (člen 4, točka 5, in člen 39 zakona o varstvu osebnih podatkov) (171). Upravljavec se lahko razbremeni odgovornosti, če dokaže, da mu ni mogoče očitati krivde (naklepa ali malomarnosti). Če posameznik, na katerega se nanašajo osebni podatki, utrpi škodo zaradi izgube, kraje, razkritja, ponarejanja, spreminjanja ali poškodovanja njegovih osebnih podatkov, mu lahko sodišče dodeli odškodnino do višine trikratnika vrednosti dejanske škode, pri čemer upošteva več dejavnikov (člen 39(3) in (4) zakona o varstvu osebnih podatkov). Posameznik, na katerega se nanašajo osebni podatki, pa lahko zahteva tudi „razumno“ odškodnino, ki ne presega 3 milijone KRW (člen 39-2(1) in (2) zakona o varstvu osebnih podatkov). Poleg tega se lahko v skladu s civilnim zakonom odškodnina zahteva od katere koli osebe, „ki z nezakonitim dejanjem, naklepno ali iz malomarnosti, povzroči izgubo ali škodo drugi osebi“ (172), ali od osebe, „ki je škodila telesu, svobodi ali ugledu druge osebe ali je povzročila kakršne koli duševne bolečine drugi osebi“ (173). Tako civilno odgovornost zaradi kršitve pravil o varstvu podatkov je potrdilo tudi vrhovno sodišče (174). Če je bila škoda povzročena z nezakonitim dejanjem javnega organa, se lahko odškodninski zahtevek vloži tudi na podlagi zakona o državni odškodnini (175). Zahtevek na podlagi zakona o državni odškodnini se lahko vloži pri specializiranem „odškodninskem odboru“ ali neposredno pri korejskih sodiščih (176). Odgovornost države vključuje tudi nepremoženjsko škodo (npr. duševne bolečine) (177). Če je žrtev tuji državljan, se zakon o državni odškodnini uporablja, če država izvora take osebe enako zagotavlja državno odškodnino korejskim državljanom (178).

(136)

Četrtič, vrhovno sodišče je posameznikom priznalo pravico, da zahtevajo sodno prepoved kršitev svojih ustavnih pravic, vključno s pravico do varstva osebnih podatkov (179). V tem okviru lahko sodišče upravljavcem na primer odredi prekinitev nezakonite dejavnosti ali njeno dokončno prenehanje. Poleg tega je mogoče pravice do varstva podatkov, vključno s tistimi, ki jih varuje zakon o varstvu osebnih podatkov, uresničevati prek civilnih tožb. To horizontalno uporabo ustavnega varstva zasebnosti v razmerjih med zasebniki je priznalo vrhovno sodišče (180).

(137)

Nazadnje, posamezniki lahko na podlagi zakona o kazenskem postopku (člen 223) vložijo ovadbo pri državnem tožilcu ali pravosodnem policistu (181).

(138)

Korejski sistem torej zagotavlja več načinov za uveljavljanje pravnega varstva, od lahko dostopnih in cenovno ugodnih možnosti (npr. prek klicnega centra za vprašanja v zvezi z zasebnostjo ali s (kolektivno) mediacijo) do upravnih (pred komisijo za varstvo osebnih podatkov) in sodnih pravnih sredstev, vključno z možnostjo pridobitve odškodnine.

(139)

Komisija je proučila tudi omejitve in zaščitne ukrepe, vključno z nadzorom in posameznimi mehanizmi pravnih sredstev, ki so na voljo v korejskem pravu glede zbiranja in naknadne uporabe osebnih podatkov s strani korejskih javnih organov, tj. podatkov, ki se v javnem interesu (zlasti za namene preprečevanja, odkrivanja in preiskovanja kaznivih dejanj ter nacionalne varnosti („vladni dostop“)) prenašajo upravljavcem v Koreji. V zvezi s tem je korejska vlada Komisiji predložila uradne navedbe, zagotovila in zaveze, podpisane na najvišji ministrski in agencijski ravni, ki jih vsebuje Priloga II k temu sklepu.

(140)

Komisija je pri oceni, ali pogoji, pod katerimi vlada dostopa do podatkov, prenesenih v Korejo, na podlagi tega sklepa izpolnjujejo preskus „osnovne enakovrednosti“ na podlagi člena 45(1) Uredbe (EU) 2016/679, kakor ga razlaga Sodišče Evropske unije glede na Listino o temeljnih pravicah, upoštevala zlasti naslednja merila.

(141)

Prvič, vsaka omejitev pravice do varstva osebnih podatkov mora biti določena v zakonu, pravna podlaga, ki dovoljuje poseganje v tako pravico, pa mora že sama opredeljevati obseg omejitve izvrševanja zadevne pravice (182).

(142)

Drugič, da se izpolni zahteva glede sorazmernosti, v skladu s katero se lahko odstopanja od varstva osebnih podatkov in omejitve tega varstva uporabljajo le, kolikor je to nujno potrebno v demokratični družbi, da se dosežejo specifični cilji splošnega interesa, ki so enakovredni interesom, priznanim v Uniji, morajo biti z zakonodajo zadevne tretje države, ki dovoljuje poseganje, določena jasna in natančna pravila, ki urejajo obseg in uporabo zadevnih ukrepov, ter minimalne zahteve, tako da imajo osebe, katerih podatki so bili preneseni, na voljo zadostna jamstva, ki omogočajo učinkovito varovanje njihovih osebnih podatkov pred tveganjem zlorab (183). V zakonodaji mora biti zlasti navedeno, v kakšnih okoliščinah in pod katerimi pogoji je mogoče sprejeti ukrep, ki določa obdelavo takih podatkov (184), izpolnjevanje teh zahtev pa mora biti podvrženo neodvisnemu nadzoru (185).

(143)

Tretjič, navedena zakonodaja in njene zahteve morajo biti pravno zavezujoče po nacionalnem pravu. To zadeva zlasti organe zadevne tretje države, vendar morajo biti take pravne zahteve zoper navedene organe izvršljive tudi pred sodišči (186). Posamezniki, na katere se nanašajo osebni podatki, morajo zlasti imeti možnost uveljavljanja pravnih sredstev pred neodvisnim in nepristranskim sodiščem, da si tako zagotovijo dostop do osebnih podatkov, ki se nanje nanašajo, ali dosežejo popravek oziroma izbris takih podatkov (187).

(144)

Omejitve in zaščitni ukrepi, ki se uporabljajo glede zbiranja in naknadne uporabe osebnih podatkov s strani korejskih javnih organov, izhajajo iz krovnega ustavnega okvira, posebnih zakonov, ki urejajo njihovo dejavnost na področju preprečevanja, odkrivanja in preiskovanja kaznivih dejanj ter nacionalne varnosti, pa tudi iz pravil, ki veljajo posebej za obdelavo osebnih podatkov.

(145)

Prvič, dostop korejskih javnih organov do osebnih podatkov urejajo splošna načela zakonitosti, nujnosti in sorazmernosti, ki izhajajo iz korejske ustave (188). Zlasti temeljne pravice in svoboščine (vključno s pravico do zasebnosti in pravico do zasebnosti komunikacij) (189) se lahko omejijo le z zakonom in kadar je to potrebno zaradi nacionalne varnosti ali ohranjanja javnega reda in miru v javno dobro. Take omejitve ne smejo vplivati na bistvo zadevne pravice ali svoboščine. Zlasti glede preiskav in zasegov ustava določa, da se lahko izvajajo le v skladu z zakonom, na podlagi odredbe sodnika in v ustreznem pravnem postopku (190). Nazadnje, posamezniki lahko svoje pravice in svoboščine uresničujejo pred ustavnim sodiščem, če menijo, da so jim jih kršili javni organi pri izvrševanju svojih pristojnosti (191). Podobno velja, da lahko posamezniki zahtevajo pravično odškodnino, če so utrpeli škodo zaradi nezakonitega dejanja javnega uslužbenca, storjenega med opravljanjem uradnih dolžnosti (192).

(146)

Drugič, kot je podrobneje opisano v oddelkih 3.2.1 in 3.3.1, se splošna načela, navedena v uvodni izjavi (145), odražajo tudi v specifičnih zakonih, ki urejajo pooblastila organov za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj ter organov za nacionalno varnost. V zvezi s preiskavami kaznivih dejanj na primer zakon o kazenskem postopku določa, da je mogoče obvezne ukrepe izreči le, če jih navedeni zakon izrecno določa, in v najmanjšem možnem obsegu, ki je potreben za dosego namena preiskave (193). Podobno člen 3 zakona o varstvu zasebnosti komunikacij prepoveduje dostop do zasebnih komunikacij, razen na podlagi zakona ter ob upoštevanju v zakonu navedenih omejitev in zaščitnih ukrepov. Na področju nacionalne varnosti zakon o nacionalni obveščevalni službi določa, da mora biti vsak dostop do podatkov o komunikaciji ali lokaciji skladen z zakonom, za zlorabo pooblastil in kršitve zakona pa so predvidene kazenske sankcije (194).

(147)

Tretjič, za obdelavo osebnih podatkov s strani javnih organov, vključno z organi za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj ter organi za nacionalno varnost, veljajo pravila o varstvu podatkov iz zakona o varstvu osebnih podatkov (195). Na splošno člen 5(1) zakona o varstvu osebnih podatkov določa, da morajo javni organi oblikovati politike za preprečevanje „zlorabe in nepravilne uporabe osebnih podatkov, nediskretnega nadzora in sledenja itd. ter krepitev dostojanstva ljudi in zasebnosti posameznikov“. Poleg tega mora vsak upravljavec osebne podatke obdelovati tako, da se čim bolj zmanjša možnost kršitve zasebnosti posameznika, na katerega se nanašajo osebni podatki (člen 3(6) zakona o varstvu osebnih podatkov).

(148)

Vse zahteve iz zakona o varstvu osebnih podatkov, kot so podrobneje opisane v oddelku 2, se uporabljajo za obdelavo osebnih podatkov za namene preprečevanja, odkrivanja in preiskovanja kaznivih dejanj. To vključuje osnovna načela (kot so zakonitost in poštenost, omejitev namena, točnost, najmanjši obseg podatkov, omejitev hrambe, varnost in preglednost), obveznosti (npr. glede uradnega obveščanja o kršitvi varnosti podatkov in glede občutljivih podatkov) in pravice (do dostopa, popravka, izbrisa in prenehanja obdelave).

(149)

Čeprav se za obdelavo osebnih podatkov za namene nacionalne varnosti uporablja bolj omejen sklop določb zakona o varstvu osebnih podatkov, pa se osnovna načela ter pravila glede nadzora, izvrševanja in pravnega varstva uporabljajo v celoti (196). Natančneje, člena 3 in 4 zakona o varstvu osebnih podatkov določata splošna načela varstva podatkov (zakonitost in poštenost, omejitev namena, točnost, najmanjši obseg podatkov, varnost in preglednost) in pravice posameznika (do obveščenosti, dostopa, popravka, izbrisa in prenehanja obdelave) (197). S členom 4(5) zakona o varstvu osebnih podatkov se posameznikom priznava pravica do ustreznega pravnega varstva za vsako škodo, ki izhaja iz obdelave njihovih osebnih podatkov, v hitrem in poštenem postopku. To je dopolnjeno z bolj specifičnimi obveznostmi, da se osebni podatki obdelujejo le v najmanjšem možnem obsegu, da se doseže želeni namen, in za najkrajše možno obdobje, da se vzpostavijo potrebni ukrepi za zagotavljanje varnega upravljanja podatkov in njihovo ustrezno obdelavo (npr. tehnični, upravljavski in fizični zaščitni ukrepi) ter da se vzpostavijo ukrepi za ustrezno obravnavo pritožb posameznikov (198). Nazadnje, splošna načela zakonitosti, nujnosti in sorazmernosti iz korejske ustave (glej uvodno izjavo (145)) se uporabljajo tudi za obdelavo osebnih podatkov za namene nacionalne varnosti.

(150)

Posamezniki se lahko na te splošne omejitve in zaščitne ukrepe sklicujejo pred neodvisnimi nadzornimi organi (npr. pred komisijo za varstvo osebnih podatkov in/ali nacionalno komisijo za človekove pravice, glej uvodni izjavi (177) in (178)) in sodišči (glej uvodne izjave (179) do (183)) ter tako uveljavljajo pravno varstvo.

(151)

Pravo Republike Koreje določa več omejitev glede dostopa do osebnih podatkov in njihove uporabe za namene preprečevanja, odkrivanja in preiskovanja kaznivih dejanj ter zagotavlja nadzorne mehanizme in mehanizme pravnih sredstev, ki so v skladu z zahtevami iz uvodnih izjav (141) do (143) tega sklepa. Pogoji, pod katerimi je tak dostop mogoč, in zaščitni ukrepi glede uporabe teh pooblastil so podrobneje ocenjeni v naslednjih oddelkih.

(152)

Osebne podatke, ki jih bodo obdelovali korejski upravljavci in bodo preneseni iz Unije na podlagi tega sklepa (199), lahko korejski organi zbirajo za namene preprečevanja, odkrivanja in preiskovanja kaznivih dejanj v okviru preiskav ali zasegov (na podlagi zakona o kazenskem postopku), in sicer z dostopom do podatkov o komunikaciji (na podlagi zakona o varstvu zasebnosti komunikacij) ali s pridobitvijo podatkov o naročnikih na podlagi zahteve za prostovoljno razkritje (na podlagi zakona o zagotavljanju telekomunikacijskih storitev) (200).

(153)

Zakon o kazenskem postopku določa, da se lahko preiskava ali zaseg opravi le, če je oseba osumljena kaznivega dejanja, če je to potrebno za preiskavo in če je dokazana povezava med preiskavo in osebo, ki se preiskuje, ali predmetom, ki ga je treba preiskati ali zaseči (201). Poleg tega se lahko preiskava ali zaseg (kot vsak obvezni ukrep) dovoli/opravi le v najmanjšem potrebnem obsegu (202). Če se preiskava nanaša na računalniški disk ali drug nosilec podatkov, se načeloma zasežejo le potrebni podatki (ki se kopirajo ali natisnejo), ne pa celoten nosilec podatkov (203). Nosilec podatkov se lahko zaseže le, kadar praktično ni mogoče ločeno natisniti ali kopirati potrebnih podatkov ali kadar namena preiskave praktično ni mogoče doseči drugače (204). Zakon o kazenskem postopku zato določa jasna in natančna pravila o obsegu in uporabi teh ukrepov, s čimer zagotavlja, da je poseganje v pravice posameznikov v primeru preiskave ali zasega omejeno na tisto, kar je v konkretni kazenski preiskavi potrebno in sorazmerno glede na namen.

(154)

Glede postopkovnih zaščitnih ukrepov zakon o kazenskem postopku določa, da je treba za izvedbo preiskave ali zasega pridobiti sodno odredbo (205). Preiskava ali zaseg brez odredbe sta dovoljena le izjemoma, in sicer v nujnih primerih (206), na licu mesta ob aretaciji ali odvzemu prostosti osumljencu kaznivega dejanja (207), ali kadar osumljenec ali tretja oseba zavrže predmet ali ga prostovoljno izroči (v primeru osebnih podatkov lahko to stori le zadevni posameznik sam) (208). Za nezakonite preiskave in zasege se lahko izrečejo kazenske sankcije (209), dokazi, pridobljeni v nasprotju z zakonom o kazenskem postopku, pa se ne upoštevajo (210). Nazadnje, zadevni posameznik mora biti vedno brez odlašanja uradno obveščen o preiskavi ali zasegu (vključno z zasegom njegovih podatkov) (211), kar mu olajša uresničevanje materialnih pravic in pravice do pravnega varstva (glej zlasti možnost izpodbijanja izvršitve odredbe o zasegu, glej uvodno izjavo (180)).

(155)

Na podlagi zakona o varstvu zasebnosti komunikacij lahko korejski organi za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj sprejmejo dve vrsti ukrepov (212): na eni strani zbiranje „podrobnih podatkov o opravljeni komunikaciji“ (213), kar vključuje podatke o datumu telekomunikacij ter času njihovega začetka in konca, številu odhodnih in dohodnih klicev, naročniški številki sogovornika ter pogostosti uporabe, dnevniške datoteke o uporabi telekomunikacijskih storitev in podatke o lokaciji (npr. iz baznih postaj, ki sprejemajo signal); na drugi pa „ukrepe za omejevanje komunikacij“, ki vključujejo zbiranje vsebine navadne pošte in neposredno prestrezanje vsebine telekomunikacij (214).

(156)

Dostop do podrobnih podatkov o opravljeni komunikaciji je mogoč samo, če je to potrebno za izvedbo kazenske preiskave ali izvršitev kazni (215), in sicer na podlagi odredbe sodišča (216). Glede tega zakon o varstvu zasebnosti komunikacij določa, da morajo biti podrobne informacije navedene v vlogi za izdajo odredbe (npr. o razlogih za vlogo, povezavi s ciljno osebo/naročnikom in potrebnih podatkih) in v sami odredbi (npr. o cilju, namenu in obsegu ukrepa) (217). Zbiranje brez odredbe je dovoljeno le, če zaradi nujnosti okoliščin ni mogoče pridobiti dovoljenja sodišča, v takem primeru pa je treba odredbo pridobiti in jo poslati ponudniku telekomunikacij takoj po vložitvi zahteve za predložitev podatkov (218). Če sodišče zavrne izdajo naknadnega dovoljenja, je treba zbrane podatke uničiti (219).

(157)

Glede dodatnih zaščitnih ukrepov v zvezi z zbiranjem podrobnih podatkov o opravljeni komunikaciji zakon o varstvu zasebnosti komunikacij določa posebne zahteve glede vodenja evidenc in preglednosti (220). Natančneje, organi za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj (221) in ponudniki telekomunikacij (222) morajo voditi evidence zahtev za razkritje in dejanskih razkritij. Poleg tega morajo organi za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj načeloma uradno obvestiti posameznike, da so bili zbrani njihovi podrobni podatki o opravljeni komunikaciji (223). Tako uradno obveščanje se lahko odloži le v izrednih okoliščinah, in sicer na podlagi dovoljenja direktorja pristojnega okrožnega državnega tožilstva (224). Tako dovoljenje se lahko izda le, če bi uradno obveščanje verjetno (1) ogrozilo nacionalno varnost, javno varnost in red, (2) povzročilo smrt ali telesno poškodbo, (3) oviralo pošten sodni postopek (npr. imelo za posledico uničenje dokazov ali grožnje pričam) ali (4) škodilo ugledu osumljenca, žrtev ali drugih oseb, povezanih z zadevo, oziroma posegalo v njihovo zasebnost. V navedenih primerih je treba uradno obvestilo poslati v 30 dneh po prenehanju razlogov za odlog (225). Po prejemu uradnega obvestila imajo posamezniki pravico pridobiti informacije o razlogih za zbiranje njihovih podatkov (226).

(158)

Strožja pravila veljajo glede ukrepov za omejevanje komunikacij, ki se lahko uporabijo le, če obstajajo utemeljeni razlogi za sum, da se načrtujejo, izvajajo ali so bila storjena določena huda kazniva dejanja, izrecno navedena v zakonu o varstvu zasebnosti komunikacij (227). Poleg tega se lahko ukrepi za omejevanje komunikacij sprejmejo le v skrajnem primeru, če bi bilo sicer težko preprečiti storitev kaznivega dejanja, prijeti storilca ali zbrati dokaze (228). Z njimi je treba prenehati takoj, ko niso več potrebni, s čimer se zagotovi, da je kršitev zasebnosti komunikacij čim bolj omejena (229). Informacije, pridobljene nezakonito na podlagi ukrepov za omejevanje komunikacij, niso dopustne kot dokazi v sodnem ali disciplinskem postopku (230).

(159)

Glede postopkovnih zaščitnih ukrepov zakon o varstvu zasebnosti komunikacij določa, da je treba za izvajanje ukrepov za omejevanje komunikacij pridobiti sodno odredbo (231). Prav tako morata v skladu z navedenim zakonom vloga za izdajo odredbe in sama odredba vsebovati podrobne informacije (232), vključno z obrazložitvijo zahteve in podatki o komunikaciji, ki jih je treba zbrati (ti se morajo nanašati na osumljenca, ki je predmet preiskave) (233). Taki ukrepi se lahko brez odredbe izvedejo le v primeru neposredne grožnje organiziranega kriminala ali storitve drugega hudega kaznivega dejanja, katerega neposredna posledica bi lahko bila smrt ali huda poškodba, ukrepanje pa je tako nujno, da ni mogoče izvesti rednega postopka (234). Vendar pa je treba v takem primeru takoj po izvedbi ukrepa vložiti vlogo za izdajo odredbe (235). Ukrepi za omejevanje komunikacij se lahko izvajajo največ dva meseca (236) in podaljšajo le s soglasjem sodišča, če so pogoji za izvajanje ukrepa še vedno izpolnjeni (237). Podaljšanje skupno ne sme presegati enega leta ali treh let v primeru nekaterih posebno hudih kaznivih dejanj (kot so kazniva dejanja, povezana z vstajami, tujo agresijo ali nacionalno varnostjo) (238).

(160)

Tako kot v zvezi s podrobnimi podatki o opravljeni komunikaciji zakon o varstvu zasebnosti komunikacij določa, da morajo ponudniki telekomunikacij (239) ter organi za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj (240) voditi evidence izvedenih ukrepov za omejevanje komunikacij, določa pa tudi obveznost uradnega obveščanja zadevnega posameznika, ki se lahko izjemoma odloži, če je to potrebno iz pomembnih razlogov v javnem interesu (241).

(161)

Nazadnje, zaradi neupoštevanja več omejitev in zaščitnih ukrepov iz zakona o varstvu zasebnosti komunikacij (med drugim na primer obveznosti pridobitve odredbe, vodenja evidenc in obveščanja posameznika) tako glede zbiranja podrobnih podatkov o opravljeni komunikaciji kot tudi glede uporabe ukrepov za omejevanje komunikacij se lahko izrečejo kazenske sankcije (242).

(162)

Pooblastila organov za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj glede zbiranja podatkov o komunikaciji na podlagi zakona o varstvu zasebnosti komunikacij (vsebine komunikacij in podrobnih podatkov o opravljeni komunikaciji) so torej omejena z jasnimi in natančnimi pravili, zanje pa se uporablja tudi več zaščitnih ukrepov. Zlasti slednji zagotavljajo nadzor nad izvajanjem takih ukrepov, in sicer vnaprej (na podlagi predhodne odobritve sodišča) in za nazaj (na podlagi zahtev glede vodenja evidenc in poročanja), ter lajšajo dostop posameznikov do učinkovitih pravnih sredstev (z zagotavljanjem, da so posamezniki obveščeni o zbiranju njihovih podatkov).

(163)

Poleg obveznih ukrepov, opisanih v uvodnih izjavah (153) do (162), lahko korejski organi za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj zaprosijo ponudnike telekomunikacij za prostovoljno razkritje „podatkov o komunikaciji“ v podporo kazenskemu postopku, preiskavi ali izvršitvi sankcije (člen 83(3) zakona o zagotavljanju telekomunikacijskih storitev). Ta možnost je na voljo le v zvezi z omejenimi nabori podatkov, tj. imenom, registrsko številko prebivalca, naslovom in telefonsko številko uporabnika, datumi, ko so uporabniki sklenili ali prekinili naročnino, ter oznakami za identifikacijo uporabnikov (tj. oznakami, ki se uporabljajo za identifikacijo legitimnega uporabnika računalniških sistemov ali komunikacijskih omrežij) (243). Ker se za „uporabnike“ štejejo le posamezniki, ki neposredno sklenejo pogodbeno razmerje s korejskim ponudnikom telekomunikacijskih storitev (244), posamezniki iz EU, katerih podatki se prenašajo v Republiko Korejo, običajno ne spadajo v to kategorijo (245).

(164)

Za tako prostovoljno razkritje veljajo različne omejitve, tako glede izvrševanja pooblastil organa za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj kot tudi glede odziva telekomunikacijskega operaterja. Na splošno velja, da morajo organi za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj ravnati v skladu z ustavnima načeloma nujnosti in sorazmernosti (člen 12(1) in člen 37(2) ustave), tudi kadar zaprosijo za informacije na prostovoljni podlagi. Poleg tega morajo upoštevati zakon o varstvu osebnih podatkov, zlasti z zbiranjem podatkov le v najmanjšem možnem obsegu, kolikor je to potrebno za dosego zakonitega namena, da se čim bolj omeji poseganje v zasebnost posameznika (npr. člen 3(1) in (6) zakona o varstvu osebnih podatkov). Natančneje, prošnje za pridobitev podatkov o komunikaciji na podlagi zakona o zagotavljanju telekomunikacijskih storitev je treba predložiti pisno in navesti razloge zanje, povezavo z zadevnim uporabnikom in obseg zahtevanih podatkov (246).

(165)

Ponudniki telekomunikacij niso zavezani ugoditi takim prošnjam, če to storijo, pa morajo upoštevati zakon o varstvu osebnih podatkov. To zlasti pomeni, da morajo pretehtati različne zadevne interese in podatkov ne smejo zagotoviti, če bi s tem najverjetneje nepošteno posegli v interese posameznika ali tretje osebe (247). Tako bi bilo na primer v primeru, ko je jasno, da je organ prosilec zlorabil svoja pooblastila (248). Telekomunikacijski operaterji morajo voditi evidence razkritij na podlagi zakona o zagotavljanju telekomunikacijskih storitev in o tem dvakrat letno poročati ministru za znanost in IKT (249).

(166)

Poleg tega morajo ponudniki telekomunikacijskih storitev v skladu z oddelkom 3 uradnega obvestila št. 2021-5 (Priloga I) obvestiti zadevnega posameznika, kadar prostovoljno ugodijo taki prošnji (250). To pa posamezniku omogoča, da uresničuje svoje pravice in uveljavlja pravno varstvo, če so bili njegovi podatki razkriti nezakonito, in sicer zoper upravljavca (npr. zaradi razkritja podatkov v nasprotju z zakonom o varstvu osebnih podatkov ali zaradi ugoditve prošnji, ki je bila očitno nesorazmerna) ali zoper organ za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj (npr. ker je z ravnanjem presegel mejo nujnega in sorazmernega ali ker ni upošteval procesnih zahtev iz zakona o zagotavljanju telekomunikacijskih storitev).

(167)

Za obdelavo osebnih podatkov, ki jih zberejo korejski organi za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj, se uporabljajo vse zahteve iz zakona o varstvu osebnih podatkov, med drugim glede omejitve namena (člen 3(1)-(2) zakona o varstvu osebnih podatkov), zakonitosti uporabe in zagotavljanja tretjim osebam (členi 15, 17 in 18 zakona o varstvu osebnih podatkov), mednarodnega prenosa (člena 17 in 18 zakona o varstvu osebnih podatkov v povezavi z oddelkom 2 uradnega obvestila št. 2021-5) (251) sorazmernosti oziroma najmanjšega obsega podatkov (člen 3(1) in (6) navedenega zakona) ter omejitve hrambe (člen 21 zakona o varstvu osebnih podatkov) (252).

(168)

Kar zadeva vsebino komunikacij, pridobljeno na podlagi izvajanja ukrepov za omejevanje komunikacij, je z zakonom o varstvu zasebnosti komunikacij možnost njene uporabe izrecno omejena na preiskovanje, pregon ali preprečevanje hudih kaznivih dejanj (253), disciplinske postopke za ista kazniva dejanja, odškodninske zahtevke, ki jih vloži udeleženec komunikacije, ali kadar je to izrecno dovoljeno z drugimi zakoni (254). Poleg tega se lahko zbrana vsebina telekomunikacij, ki se prenaša prek spleta, hrani le s soglasjem sodišča, ki je dovolilo ukrepe za omejevanje komunikacije (255), da bi se uporabila za preiskovanje, pregon ali preprečevanje hudih kaznivih dejanj (256). Splošneje, zakon o varstvu zasebnosti komunikacij prepoveduje razkritje zaupnih podatkov, pridobljenih na podlagi ukrepov za omejevanje komunikacije, in uporabo takih podatkov za škodovanje ugledu tistih, zoper katere so se ukrepi izvajali (257).

(169)

V Koreji dejavnosti organov za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj nadzorujejo različni organi (258).

(170)

Prvič, policija je podvržena notranjemu nadzoru generalnega inšpektorata (259), ki nadzoruje zakonitost, med drugim glede morebitnih kršitev človekovih pravic. Generalni inšpektorat je bil ustanovljen za izvajanje zakona o revizijah v javnem sektorju, s katerim se spodbuja vzpostavitev organov za notranjo revizijo ter ki določa posebne zahteve glede njihove sestave in nalog. Zakon zlasti določa, da mora biti vodja organa za notranjo revizijo imenovan od zunaj, torej ne izmed članov zadevnega organa (vodje so lahko na primer nekdanji sodniki ali profesorji), in sicer za obdobje dveh do petih let (260), da ga je mogoče razrešiti le iz upravičenih razlogov (npr. če ni zmožen opravljati svojih nalog iz zdravstvenih razlogov ali če je razrešitev posledica disciplinskega ukrepa) (261) in da mu je v največji možni meri zagotovljena neodvisnost (262). Za oviranje notranje revizije se lahko izrečejo upravne globe (263). Revizijska poročila (ki lahko vključujejo priporočila, zahteve za disciplinske ukrepe in zahteve za odškodnino ali popravek) se predložijo vodji zadevnega javnega organa, odboru za revizijo in inšpekcijski pregled (264) ter se običajno javno objavijo (265). Odbor za revizijo in inšpekcijski pregled je treba uradno obvestiti tudi o rezultatih izvajanja poročila (266) (glej uvodno izjavo (173) o nadzorni vlogi in pooblastilih navedenega odbora).

(171)

Drugič, komisija za varstvo osebnih podatkov nadzoruje, ali organi za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj pri obdelavi podatkov zagotavljajo skladnost z zakonom o varstvu osebnih podatkov in drugimi zakoni, ki varujejo zasebnost posameznikov, vključno z zakoni, ki urejajo zbiranje (elektronskih) dokazov za namene preprečevanja, odkrivanja in preiskovanja kaznivih dejanj, kot je opisano v oddelku 3.2.1 (267). Zlasti ker lahko komisija za varstvo osebnih podatkov nadzoruje tudi zakonitost in poštenost zbiranja in obdelave podatkov (člen 3(1) zakona o varstvu osebnih podatkov), ta pa je kršena, če se do osebnih podatkov dostopa in se jih uporablja v nasprotju z navedenimi zakoni (268), lahko navedena komisija tudi preiskuje in zagotavlja skladnost z omejitvami in zaščitnimi ukrepi, opisanimi v oddelku 3.2.1 (269). Pri izvrševanju te nadzorne vloge lahko komisija za varstvo osebnih podatkov uporabi vsa svoja preiskovalna in popravna pooblastila, kot so podrobno opisana v oddelku 2.4.2. Komisija za varstvo osebnih podatkov je že pred nedavno reformo zakona o varstvu osebnih podatkov (tj. v svoji predhodni nadzorni vlogi v javnem sektorju) izvajala več nadzornih dejavnosti glede obdelave osebnih podatkov pri organih za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj, na primer v okviru zaslišanja osumljencev (zadeva št. 2013-16 z dne 26. avgusta 2013), v zvezi z obveščanjem posameznikov o izreku upravnih glob (zadeva št. 2015-02-04 z dne 26. januarja 2015), glede izmenjave podatkov z drugimi organi (zadeva št. 2018-15-146 z dne 9. julija 2018, zadeva št. 2018-25-308 z dne 10. decembra 2018, zadeva št. 2019-02-015 z dne 29. januarja 2019), glede zbiranja prstnih odtisov ali fotografij (zadeva št. 2019-17-273 z dne 9. septembra 2019) in glede uporabe dronov (zadeva št. 2020-01-004 z dne 13. januarja 2020). V navedenih primerih je komisija za varstvo osebnih podatkov preiskovala skladnost z več določbami zakona o varstvu osebnih podatkov (npr. zakonitost obdelave, načeli omejitve namena in najmanjšega obsega podatkov), pa tudi z zadevnimi določbami drugih zakonov, kot so zakon o kazenskem postopku, in, kadar je bilo potrebno, izdala priporočila za uskladitev obdelave z zahtevami varstva podatkov.

(172)

Tretjič, neodvisni nadzor zagotavlja nacionalna komisija za človekove pravice (270), ki lahko v okviru svojega splošnega mandata za varstvo temeljnih pravic iz členov 10 do 22 ustave preiskuje kršitve pravice do zasebnosti in pravice do zasebnosti komunikacij. Nacionalno komisijo za človekove pravice sestavlja 11 članov, ki morajo izpolnjevati posebne pogoje (271), imenuje pa jih predsednik republike, in sicer v skladu s postopki, določenimi v zakonu. Štiri člane v imenovanje predlaga parlament, štiri predsednik republike in tri predsednik vrhovnega sodišča (272). Predsednika komisije izmed članov komisije imenuje predsednik republike, potrditi pa ga mora parlament (273). Člani komisije (vključno s predsednikom) so imenovani za triletni mandat z možnostjo podaljšanja, razrešiti pa jih je mogoče le, če so obsojeni na kazen zapora ali ne zmorejo več opravljati svojih nalog zaradi dolgotrajne duševne ali telesne nezmožnosti (v tem primeru se morata z razrešitvijo strinjati dve tretjini članov komisije) (274). V okviru preiskave lahko nacionalna komisija za človekove pravice zahteva predložitev ustreznega dokaznega gradiva, opravi preglede in zasliši posameznike kot priče (275). V okviru svojih popravnih pooblastil lahko nacionalna komisija za človekove pravice izda (javna) priporočila za izboljšanje ali popravek posameznih politik in praks, javni organi pa morajo nato predlagati načrt izvajanja (276). Če zadevni organ ne upošteva priporočil, mora o tem obvestiti komisijo (277), ta pa lahko nato o takem neupoštevanju poroča parlamentu in/ali to javno objavi. Glede na uradne navedbe korejske vlade (Priloga II, oddelek 2.3.5) korejski organi na splošno upoštevajo priporočila nacionalne komisije za človekove pravice, k čemur jih močno spodbuja dejstvo, da se njihovo izvajanje ocenjuje v okviru splošnega in stalnega vrednotenja pod vodstvom urada predsednika vlade. Iz letnih podatkov o dejavnostih nacionalne komisije za človekove pravice izhaja, da ta aktivno nadzoruje dejavnosti organov za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj, in sicer na podlagi posameznih vlog ali preiskav po uradni dolžnosti (278).

(173)

Četrtič, splošni nadzor nad zakonitostjo dejavnosti javnih organov izvaja odbor za revizijo in inšpekcijski pregled, ki preverja prihodke in izdatke države, ob tem pa splošneje tudi preverja izpolnjevanje obveznosti javnih organov, s ciljem izboljšanja delovanja javne uprave (279). Odbor za revizijo in inšpekcijski pregled je uradno ustanovil predsednik Republike Koreje, pri opravljanju svojih nalog pa je neodvisen (280). Poleg tega je povsem neodvisen glede imenovanja, razrešitve in organizacije svojega osebja ter priprave proračuna (281). Odbor za revizijo in inšpekcijski pregled sestavljajo predsednik odbora (ki ga imenuje predsednik republike ob soglasju parlamenta) (282) in šest članov (ki jih imenuje predsednik republike na predlog predsednika odbora) (283), ki morajo izpolnjevati posebne pogoje, določene v zakonu (284), in so lahko razrešeni le v primeru ustavne obtožbe, obsodbe na zaporno kazen ali nezmožnosti opravljanja nalog zaradi dolgotrajne duševne ali fizične nezmožnosti (285). Odbor za revizijo in inšpekcijski pregled vsako leto izvede splošno revizijo, lahko pa izvaja tudi posebne revizije v zvezi z zadevami posebnega interesa. Pri izvajanju revizij ali pregledov lahko odbor zahteva predložitev dokumentov in navzočnost posameznikov (286). Odbor lahko izda priporočila, zahteva izrek disciplinskih ukrepov ali vloži ovadbo (287).

(174)

Nazadnje, parlament opravlja parlamentarni nadzor nad javnimi organi v okviru preiskav in pregledov (288) njihovih dejavnosti (289). Zahteva lahko predložitev listin in navzočnost prič (290), priporoči popravne ukrepe (če ugotovi, da so bile izvedene nezakonite ali neprimerne dejavnosti) (291) ter javno objavi rezultate svojih ugotovitev (292). Kadar parlament zahteva izvedbo popravnih ukrepov (ki lahko na primer vključujejo dodelitev odškodnine, sprejetje disciplinskih ukrepov ali izboljšanje notranjih postopkov), mora zadevni javni organ brez odlašanja ukrepati in o rezultatu poročati parlamentu (293).

(175)

Korejski sistem ponuja različne (sodne) poti za uveljavljanje pravnega varstva, vključno z odškodnino za škodo.

(176)

Prvič, zakon o varstvu osebnih podatkov posameznikom zagotavlja pravico do dostopa do osebnih podatkov, njihovega popravka in izbrisa ter prenehanja njihove obdelave za namene preprečevanja, odkrivanja in preiskovanja kaznivih dejanj (294).

(177)

Drugič, posamezniki lahko uporabijo različne mehanizme pravnih sredstev, ki jih zagotavlja zakon o varstvu osebnih podatkov, če organ za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj obdeluje njihove podatke v nasprotju z zakonom o varstvu osebnih podatkov ali v nasprotju z omejitvami in zaščitnimi ukrepi glede zbiranja osebnih podatkov, kot so določeni v drugih zakonih (npr. v zakonu o kazenskem postopku ali zakonu o varstvu zasebnosti komunikacij, glej uvodno izjavo (171)). Posamezniki lahko zlasti vložijo pritožbo pri komisiji za varstvo osebnih podatkov (tudi prek klicnega centra za vprašanja v zvezi z zasebnostjo, ki ga upravlja korejska agencija za splet in varnost (295)) ali prek odbora za mediacijo v primeru sporov v zvezi z osebnimi podatki (296). Za te možnosti pravnih sredstev ne veljajo dodatne zahteve glede dopustnosti. Na podlagi zakona o upravnem sporu se lahko posamezniki tudi pritožijo zoper odločitev komisije za varstvo osebnih podatkov ali jo izpodbijajo oziroma se pritožijo zoper neukrepanje navedene komisije (glej uvodno izjavo (132)).

(178)

Tretjič, vsak posameznik (297) lahko pri nacionalni komisiji za človekove pravice vloži pritožbo zaradi kršitve pravice do zasebnosti in varstva podatkov s strani korejskega organa za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj. Nacionalna komisija za človekove pravice lahko predlaga popravek ali izboljšanje zadevnega predpisa, instituta, politike ali prakse (298) oziroma sprejetje ukrepov, kot je mediacija (299), prenehanje kršenja človekovih pravic, izplačilo odškodnine za škodo in ukrepe za preprečitev ponovitve enakih ali podobnih kršitev (300). Glede na uradne navedbe korejske vlade (Priloga II, oddelek 2.4.2) lahko to vključuje tudi izbris nezakonito zbranih osebnih podatkov. Čeprav nacionalna komisija za človekove pravice nima pristojnosti za izdajanje zavezujočih odločb, pa omogoča bolj neformalen, poceni in lahko dostopen način uveljavljanja pravnega varstva, zlasti ker za uvedbo preiskave ni treba dokazati, da je škoda dejansko nastala (kot je pojasnjeno v Prilogi II, oddelek 2.4.2) (301). To zagotavlja, da je mogoče pritožbe posameznikov v zvezi z zbiranjem njihovih podatkov preiskovati, tudi če posameznik ne more dokazati, da so bili njegovi podatki dejansko zbrani (npr. ker posameznik še ni bil obveščen). Iz letnih poročil o dejavnostih nacionalne komisije za človekove pravice izhaja, da posamezniki to možnost uporabljajo tudi za izpodbijanje ravnanj organov za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj, med drugim glede ravnanja z osebnimi podatki (302). Če posameznik ni zadovoljen z rezultatom postopka pred nacionalno komisijo za človekove pravice, lahko njene odločitve (npr. o opustitvi preiskave pritožbe (303)) ali priporočila izpodbija pred korejskimi sodišči na podlagi zakona o upravnem sporu (glej uvodno izjavo (181)) (304). Poleg tega lahko postopek pred nacionalno komisijo za človekove pravice nadalje olajša dostop do sodišča, saj lahko posameznik na podlagi ugotovitev navedene komisije uporabi nadaljnja pravna sredstva zoper javni organ, ki je nezakonito obdeloval njegove podatke, v skladu s postopki, opisanimi v uvodnih izjavah (181) do (183).

(179)

Nazadnje, na voljo so različna sodna pravna sredstva, ki posameznikom omogočajo sklicevanje na omejitve in zaščitne ukrepe, opisane v oddelku 3.2.1, za uveljavljanje pravnega varstva (305).

(180)

Glede zasegov (tudi zasegov podatkov) zakon o kazenskem postopku določa možnost ugovarjanja izvršitvi odredbe ali njenega izpodbijanja z vložitvijo t. i. kvazipritožbe pri pristojnem sodišču, s katero se zahteva preklic ali sprememba odločitve tožilca ali policista (306).

(181)

Splošneje, posamezniki lahko izpodbijajo dejanja (307) ali opustitve (308) javnih organov (vključno z organi za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj) na podlagi zakona o upravnem sporu (309). Upravno dejanje se šteje za „izpodbojno odločitev“, če neposredno vpliva na državljanske pravice in dolžnosti (310), kar po zagotovilih korejske vlade (glej Prilogo II oddelek 2.4.3) velja tudi za ukrepe zbiranja osebnih podatkov, in sicer neposredno (npr. s prestrezanjem komunikacij) ali v obliki zavezujočih zahtev za razkritje (npr. ponudniku storitev) oziroma zahtev za prostovoljno sodelovanje. Pritožba na podlagi zakona o upravnem sporu je dopustna, če ima posameznik pravni interes za njeno vložitev (311). „Pravni interes“ se v skladu s sodno prakso vrhovnega sodišča razlaga kot „pravno zaščiten interes“, tj. neposreden in poseben interes, zaščiten z zakoni in drugimi predpisi, na katerih temeljijo upravne odločitve (kar pomeni, da ne gre za splošne, posredne in abstraktne interese javnosti) (312). Posamezniki imajo tak pravni interes v primeru kršitev omejitev in zaščitnih ukrepov, ki se uporabljajo pri zbiranju njihovih osebnih podatkov za namene preprečevanja, odkrivanja in preiskovanja kaznivih dejanj (na podlagi posebnih predpisov ali zakona o varstvu osebnih podatkov). Na podlagi zakona o upravnem sporu lahko sodišče odpravi ali spremeni nezakonito odločitev, razglasi njeno ničnost (tj. ugotovi, da odločitev nima pravnega učinka ali da v pravnem redu ne obstaja) ali ugotovi, da je bila opustitev nezakonita (313). Pravnomočna sodba na podlagi zakona o upravnem sporu je za stranke v postopku zavezujoča (314).

(182)

Poleg izpodbijanja vladnih ukrepov v upravnem sporu lahko posamezniki vložijo tudi ustavno pritožbo pri ustavnem sodišču glede kršitev njihovih temeljnih pravic zaradi izvrševanja ali neizvrševanja pooblastil državnih organov (razen sodnih odločb) (315). Najprej pa je treba izčrpati druga pravna sredstva, če so na voljo. Tuji državljani lahko v skladu s sodno prakso ustavnega sodišča vložijo ustavno pritožbo, če so njihove osnovne pravice priznane na podlagi korejske ustave (glej pojasnila v oddelku 1.1) (316). Ustavno sodišče lahko izvrševanje pristojnosti državnih organov, ki je povzročilo kršitev, razglasi za nično ali potrdi, da določena opustitev ukrepanja ni ustavna (317). V takem primeru mora zadevni organ sprejeti ukrepe za upoštevanje odločbe sodišča.

(183)

Poleg tega lahko korejsko sodišče posameznikom prizna odškodnino za škodo. To vključuje predvsem možnost, da se zahteva odškodnina zaradi kršitev zakona o varstvu osebnih podatkov, ki jih storijo organi za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj, in sicer v skladu s členom 39 (glej tudi uvodno izjavo (135)). Splošneje velja, da lahko posamezniki zahtevajo odškodnino za škodo, ki jo javni organi povzročijo pri opravljanju svojih dolžnosti v nasprotju z zakonom, in sicer na podlagi zakona o državni odškodnini (glej tudi uvodno izjavo (135)) (318).

(184)

Mehanizmi, opisani v uvodnih izjavah (176) do (183) posameznikom, na katere se nanašajo osebni podatki, zagotavljajo učinkovito upravno in sodno varstvo, zlasti jim omogočajo uresničevanje pravic, vključno s pravico do dostopa do njihovih osebnih podatkov ali do popravka oziroma izbrisa takih podatkov.

(185)

Pravo Republike Koreje vsebuje več omejitev in zaščitnih ukrepov glede dostopa do osebnih podatkov in njihove uporabe za namene nacionalne varnosti ter zagotavlja nadzorne mehanizme in mehanizme pravnih sredstev, ki so v skladu z zahtevami iz uvodnih izjav (141) do (143) tega sklepa. Pogoji, pod katerimi je tak dostop mogoč, in zaščitni ukrepi glede uporabe teh pooblastil so podrobneje ocenjeni v naslednjih oddelkih.

(186)

V Republiki Koreji je dostop do osebnih podatkov za namene nacionalne varnosti dovoljen na podlagi zakona o varstvu zasebnosti komunikacij, zakona o zagotavljanju telekomunikacijskih storitev ter zakona o boju proti terorizmu za zaščito državljanov in javne varnosti (v nadaljnjem besedilu: zakon o boju proti terorizmu) (319). Glavni organ (320) s pristojnostmi na področju nacionalne varnosti je nacionalna obveščevalna služba (321). Ta mora pri zbiranju in uporabi osebnih podatkov upoštevati ustrezne pravne zahteve (vključno z zakonom o varstvu osebnih podatkov in zakonom o varstvu zasebnosti komunikacij) (322) ter splošne smernice, ki jih pripravi predsednik republike in pregleda parlament (323). Nacionalna obveščevalna služba mora na splošno ohranjati politično nevtralnost ter varovati svoboščine in pravice posameznikov (324). Poleg tega osebje nacionalne obveščevalne službe ne sme zlorabljati svojih uradnih pooblastil tako, da bi kateri koli organ, organizacijo ali posameznika prisilili v nekaj, kar (po zakonu) niso dolžni storiti, ali posameznika ovirati pri uresničevanju njegovih pravic (325).

(187)

Na podlagi zakona o varstvu zasebnosti komunikacij lahko korejski javni organi (326) zbirajo podrobne podatke o opravljeni komunikaciji (tj. datum telekomunikacij, čas njihovega začetka in konca, število dohodnih in odhodnih klicev ter naročniška številka sogovornika, pogostost uporabe, dnevniške datoteke o uporabi telekomunikacijskih storitev in podatki o lokaciji, glej uvodno izjavo (155)) in vsebino komunikacij (z ukrepi za omejevanje komunikacij, glej uvodno izjavo (155)) za namene nacionalne varnosti (kot je opredeljena z mandatom nacionalne obveščevalne službe, glej opombo 322 zgoraj). Te pristojnosti se nanašajo na dve vrsti podatkov: (1) na komunikacije, pri katerih je vsaj en udeleženec korejski državljan (327); in (2) na komunikacije (a) držav, ki so sovražne Republiki Koreji, (b) tujih organov, skupin ali državljanov, pri katerih obstaja sum sodelovanja pri protikorejskih dejavnostih (328), ali (c) članov skupin, ki delujejo na korejskem polotoku, vendar dejansko niso pod pristojnostjo Republike Koreje, in njihovih krovnih skupin v tujih državah (329). Komunikacije posameznikov iz EU, ki se prenašajo iz Unije v Republiko Korejo na podlagi tega sklepa, se torej lahko zbirajo le na podlagi zakona o varstvu zasebnosti komunikacij za namene nacionalne varnosti (ob upoštevanju pogojev iz uvodnih izjav (188) do (192)), če potekajo med posameznikom iz EU in korejskim državljanom, ali – če se nanašajo na komunikacije med posamezniki, ki niso korejski državljani – spadajo v eno od treh zgoraj navedenih kategorij (2(a), (b) ali (c)).

(188)

V obeh primerih je zbiranje podrobnih podatkov o opravljeni komunikaciji dovoljeno le za namene preprečevanja groženj nacionalni varnosti (330), ukrepi za omejevanje komunikacij pa se lahko izvedejo le, če obstaja resna nevarnost za nacionalno varnost in je zbiranje potrebno za preprečitev te nevarnosti (331). Poleg tega je dostop do vsebine komunikacij dovoljen le v skrajnem primeru, pri čemer si je treba prizadevati za čim manjšo kršitev zasebnosti komunikacij (332), s čimer se zagotovi, da je ukrep sorazmeren s ciljem nacionalne varnosti. Zbiranje podatkov o vsebini komunikacij in podrobnih podatkov o opravljeni komunikaciji lahko traja največ štiri mesece in mora takoj prenehati, če je zastavljeni cilj dosežen predčasno (333). Če so ustrezni pogoji še naprej izpolnjeni, se lahko to obdobje podaljša še za največ štiri mesece, in sicer s predhodnim dovoljenjem sodišča (za ukrepe, opisane v uvodni izjavi (189)) ali predsednika republike (za ukrepe, opisane v uvodni izjavi (190)) (334).

(189)

Enaki postopkovni zaščitni ukrepi veljajo pri zbiranju podrobnih podatkov o opravljeni komunikaciji in pri zbiranju vsebine komunikacij (335). Natančneje, kadar je vsaj eden od udeležencev komunikacije korejski državljan, mora obveščevalna agencija vložiti pisno zahtevo pri višjem državnem tožilstvu, to pa mora nato pri predsedniku višjega sodišča vložiti vlogo za izdajo odredbe (336). Zakon o varstvu zasebnosti komunikacij vsebuje seznam informacij, ki jih je treba navesti v zahtevi tožilstvu, vlogi za izdajo odredbe in sami odredbi, in sicer zlasti obrazložitev zahteve in glavne razloge za sum, dokazno gradivo ter informacije o cilju, tarči (tj. ciljnem posamezniku), obsegu in trajanju predlaganega ukrepa (337). Zbiranje podatkov brez odredbe je dovoljeno le v primeru zarote, ki ogroža nacionalno varnost, ukrepanje pa je tako nujno, da ni mogoče izvesti zgoraj navedenih postopkov (338). Vendar pa je treba biti tudi v takem primeru vlogo za izdajo odredbe vložiti takoj po izvedbi ukrepa (339). Zakon o varstvu zasebnosti komunikacij torej jasno določa obseg in pogoje takega zbiranja ter v zvezi z njim vzpostavlja posebne (postopkovne) zaščitne ukrepe (vključno s predhodnim soglasjem sodišča), ki zagotavljajo, da je uporaba takih ukrepov omejena na tisto, kar je nujno in sorazmerno. Poleg tega zahteva, da se v vlogi za izdajo odredbe in v sami odredbi zagotovijo podrobne informacije, izključuje možnost neselektivnega dostopa.

(190)

V primeru komunikacij med posamezniki, ki niso korejski državljani in spadajo v eno od treh kategorij, navedenih v uvodni izjavi (187), je treba vložiti vlogo pri direktorju nacionalne obveščevalne službe, ki mora po preverjanju ustreznosti predlaganih ukrepov predsednika Republike Koreje zaprositi za predhodno pisno soglasje (340). Vloga, ki jo pripravi obveščevalna agencija, mora vključevati enake podrobne informacije kot vloga za izdajo sodne odredbe (glej uvodno izjavo (189)), zlasti glede obrazložitve vloge in glavnih razlogov za sum, dokaznega gradiva ter informacij o ciljih, ciljnih posameznikih, obsegu in trajanju predlaganih ukrepov (341). V nujnih primerih (342) je treba pridobiti predhodno soglasje ministra, pod katerega ministrstvo spada zadevna obveščevalna agencija, kljub temu pa mora obveščevalna agencija vložiti vlogo za soglasje predsednika republike takoj po izvedbi nujnih ukrepov (343). Tudi v zvezi z zbiranjem komunikacij, ki potekajo izključno med posamezniki, ki niso korejski državljani, zakon o varstvu zasebnosti komunikacij torej omejuje uporabo takih ukrepov na tisto, kar je nujno in sorazmerno, pri čemer jasno določa omejene kategorije posameznikov, zoper katere se lahko uporabijo taki ukrepi, in podrobna merila, katerih izpolnjevanje morajo obveščevalne agencije dokazati, da upravičijo vlogo za zbiranje podatkov. Prav tako se s tem tudi izključi neselektiven dostop. Medtem ko za take ukrepe ni predhodnega neodvisnega soglasja, neodvisen nadzor naknadno zagotavljata zlasti komisija za varstvo osebnih podatkov in nacionalna komisija za človekove pravice (glej na primer uvodni izjavi (199) in (200)).

(191)

Zakon o varstvu zasebnosti komunikacij nadalje določa še več dodatnih zaščitnih ukrepov, ki prispevajo k naknadnemu nadzoru in posameznikom lajšajo dostop do učinkovitih pravnih sredstev. Prvič, v zvezi s kakršnim koli zbiranjem za namene nacionalne varnosti zakon o varstvu zasebnosti komunikacij določa različne zahteve glede evidentiranja in poročanja. Zlasti kadar obveščevalne agencije zahtevajo sodelovanje zasebnih subjektov, morajo zagotoviti odredbo sodišča/soglasje predsednika republike ali izvod naslovnice izjave o cenzuri v nujnem primeru, ki jo mora, subjekt od katerega se zahteva sodelovanje, hraniti v svoji evidenci (344). Če so zasebni subjekti zavezani sodelovati, morata evidence o namenu in cilju ukrepov ter datumu njihove izvedbe voditi javni organ, ki zahteva tako sodelovanje, in zadevni subjekt (345). Poleg tega morajo obveščevalne agencije o zbranih informacijah in rezultatu dejavnosti nadzora poročati direktorju nacionalne obveščevalne službe (346).

(192)

Drugič, posamezniki morajo biti uradno obveščeni o zbiranju njihovih podatkov za namene nacionalne varnosti (podrobnih podatkov o opravljeni komunikaciji ali vsebini komunikacij), če se nanašajo na komunikacijo, pri kateri je vsaj eden od udeležencev korejski državljan (347). Tako uradno obvestilo je treba poslati pisno v 30 dneh od dneva, ko se zbiranje konča (tudi če so bili podatki pridobljeni na podlagi nujnega postopka), pošiljanje pa se lahko odloži le, če in dokler bi ogrožalo nacionalno varnost ali škodilo življenju in telesni varnosti ljudi (348). Ne glede na tako uradno obveščanje lahko posamezniki na različne načine uveljavljajo pravno varstvo, kot je podrobneje pojasnjeno v oddelku 3.3.4.

(193)

Zakon o boju proti terorizmu določa, da lahko nacionalna obveščevalna služba zbira podatke o osumljencih terorizma (349) v skladu z omejitvami in zaščitnimi ukrepi, določenimi v drugih zakonih (350). Nacionalna obveščevalna služba lahko zlasti pridobi podatke o komunikaciji (na podlagi zakona o varstvu zasebnosti komunikacij) in druge osebne podatke (na podlagi zahteve za prostovoljno razkritje) (351). V zvezi z zbiranjem podatkov o komunikaciji (tj. vsebini komunikacij ali podrobnih podatkih o opravljeni komunikaciji) veljajo omejitve in zaščitni ukrepi, opisani v oddelku 3.3.1.1, vključno z zahtevo za pridobitev sodne odredbe. Glede prošenj za prostovoljno razkritje drugih kategorij osebnih podatkov o osumljencih terorizma mora nacionalna obveščevalna služba upoštevati zahteve iz ustave in zakona o varstvu osebnih podatkov v zvezi z nujnostjo in sorazmernostjo (glej uvodno izjavo (164)) (352). Upravljavci, ki prejmejo take prošnje, jih lahko prostovoljno izpolnijo ob upoštevanju pogojev iz zakona o varstvu osebnih podatkov (npr. v skladu z načelom najmanjšega obsega podatkov in z omejitvijo vpliva na zasebnost posameznika) (353). V tem primeru morajo upoštevati tudi zahtevo po uradnem obveščanju zadevnega posameznika v skladu z uradnim obvestilom št. 2021-5 (glej uvodno izjavo (166)).

(194)

Na podlagi zakona o zagotavljanju telekomunikacijskih storitev lahko ponudniki telekomunikacijskih storitev prostovoljno razkrijejo podatke o naročnikih (glej uvodno izjavo (163)) na prošnjo obveščevalne agencije, ki namerava take podatke zbrati za preprečitev grožnje nacionalni varnosti (354). V zvezi s takimi prošnjami nacionalne obveščevalne službe veljajo enake omejitve (na podlagi ustave, zakona o varstvu osebnih podatkov in zakona o zagotavljanju telekomunikacijskih storitev) kot na področju preprečevanja, odkrivanja in preiskovanja kaznivih dejanj, kot je navedeno v uvodni izjavi (164) (355). Ponudniki telekomunikacij niso zavezani ugoditi prošnji, če to storijo, pa morajo upoštevati pogoje iz zakona o varstvu osebnih podatkov (zlasti v skladu z načelom najmanjšega obsega podatkov in z omejitvijo vpliva na zasebnost posameznika, glej tudi uvodno izjavo (193)). Veljajo enake zahteve glede vodenja evidenc in uradnega obveščanja zadevnih posameznikov kot na področju preprečevanja, odkrivanja in preiskovanja kaznivih dejanj (glej uvodni izjavi (165) in (166)).

(195)

Pri obdelavi osebnih podatkov, ki jih korejski organi zberejo za namene nacionalne varnosti, se uporabljajo načela omejitve namena (člen 3(1)-(2) zakona o varstvu osebnih podatkov), zakonitosti in poštenosti obdelave (člen 3(1) zakona o varstvu osebnih podatkov), sorazmernosti/najmanjšega obsega podatkov (člen 3(1) in (6) ter člen 58 zakona o varstvu osebnih podatkov), točnosti (člen 3(3) zakona o varstvu osebnih podatkov), preglednosti (člen 3(5) zakona o varstvu osebnih podatkov), varnosti (člen 58(4) zakona o varstvu osebnih podatkov) in omejitve hrambe (člen 58(4) zakona o varstvu osebnih podatkov) (356). Morebitno razkritje osebnih podatkov tretjim osebam (vključno s tretjimi državami) se lahko izvede le v skladu s temi načeli (zlasti omejitev namena in najmanjši obseg podatkov), potem ko se oceni skladnost z načeloma nujnosti in sorazmernosti (člen 37(2) ustave) in ob upoštevanju vpliva na pravice zadevnih posameznikov (člen 3(6) zakona o varstvu osebnih podatkov).

(196)

Glede vsebine komunikacij in podrobnih podatkov o opravljeni komunikaciji zakon o varstvu zasebnosti komunikacij nadalje omejuje uporabo takih podatkov na sodne postopke, v katerih se udeleženec komunikacije nanje sklicuje v okviru odškodninskega zahtevka, oziroma na dovoljeno uporabo na podlagi drugih zakonov (357).

(197)

Dejavnosti korejskih organov za nacionalno varnost nadzorujejo različni organi (358).

(198)

Prvič, zakon o boju proti terorizmu določa posebne nadzorne mehanizme za dejavnosti boja proti terorizmu, vključno z zbiranjem podatkov o osumljencih terorizma. Natančneje, na izvršilni ravni dejavnosti boja proti terorizmu nadzoruje komisija za boj proti terorizmu (359), ki ji mora direktor nacionalne obveščevalne službe poročati o preiskavah in sledenju osumljencem terorizma za namene zbiranja informacij ali gradiv, potrebnih za izvajanje dejavnosti boja proti terorizmu (360). Poleg tega pooblaščena oseba za varstvo človekovih pravic posebej nadzoruje skladnost dejavnosti boja proti terorizmu s temeljnimi pravicami (361). Pooblaščeno osebo za varstvo človekovih pravic imenuje predsednik komisije za boj proti terorizmu izmed posameznikov, ki izpolnjujejo posebne pogoje, navedene v uredbi o izvajanju zakona o boju proti terorizmu (362), in sicer za obdobje dveh let, ki ga je mogoče podaljšati, razrešiti pa jo je mogoče le iz posebnih, omejenih in upravičenih razlogov (363). Pooblaščena oseba za varstvo človekovih pravic lahko pri izvajanju svoje nadzorne funkcije izdaja splošna priporočila za izboljšanje varstva človekovih pravic (364) ter posebna priporočila za popravne ukrepe, če se ugotovi kršitev človekovih pravic (365). Javni organi morajo pooblaščeno osebo za varstvo človekovih pravic obveščati o nadaljnjem ukrepanju na podlagi njenih priporočil (366).

(199)

Drugič, komisija za varstvo osebnih podatkov nadzoruje zagotavljanje skladnosti organov za nacionalno varnost s pravili o varstvu podatkov, kar vključuje upoštevne določbe zakona o varstvu osebnih podatkov (glej uvodno izjavo (149)) ter omejitve in zaščitne ukrepe, ki se uporabljajo za zbiranje osebnih podatkov na podlagi drugih zakonov (zakona o varstvu zasebnosti komunikacij, zakona o boju proti terorizmu in zakona o zagotavljanju telekomunikacijskih storitev, glej tudi uvodno izjavo (171)) (367). Pri izvrševanju te nadzorne vloge lahko komisija za varstvo osebnih podatkov uporabi vsa svoja preiskovalna in popravna pooblastila, kot so podrobno opisana v oddelku 2.4.2.

(200)

Tretjič, dejavnosti organov nacionalne varnosti neodvisno nadzoruje nacionalna komisija za človekove pravice, in sicer v skladu s postopki, opisanimi v uvodni izjavi (172) (368).

(201)

Četrtič, nadzorna funkcija odbora za revizijo in inšpekcijski pregled se nanaša tudi na organe za nacionalno varnost, čeprav lahko nacionalna obveščevalna služba v izjemnih okoliščinah zavrne predložitev nekaterih informacij ali gradiva, tj. če gre za državne skrivnosti in bi njihovo javno razkritje pomembno vplivalo na nacionalno varnost (369).

(202)

Nazadnje, parlamentarni nadzor nad dejavnostjo nacionalne obveščevalne službe opravlja parlament (prek posebnega odbora za obveščevalno dejavnost) (370). Zakon o varstvu zasebnosti komunikacij določa posebno nadzorno vlogo parlamenta v zvezi z uporabo ukrepov za omejevanje komunikacij za namene nacionalne varnosti (371). Parlament lahko opravlja zlasti preglede na terenu, in sicer preglede opreme za prisluškovanje, ter lahko od nacionalne obveščevalne službe in telekomunikacijskih operaterjev, ki so razkrili vsebino komunikacij, zahteva poročilo o takih razkritjih. Parlament lahko izvaja tudi splošni nadzor (v skladu s postopki, opisanimi v uvodni izjavi (174)). V skladu z zakonom o nacionalni obveščevalni službi se mora direktor navedene službe brez odlašanja odzvati, če odbor za obveščevalno dejavnost zahteva poročilo o posamezni zadevi (372), določa pa tudi posebna pravila glede nekaterih posebno občutljivih podatkov. Dejansko to pomeni, da lahko direktor nacionalne obveščevalne službe zavrne odgovor ali pričanje pred odborom le v izjemnih okoliščinah, tj. če se zahteva nanaša na državne skrivnosti v zvezi z vojaškimi ali diplomatskimi zadevami ali zadevami, povezanimi s Severno Korejo, katerih javno razkritje bi lahko resno vplivalo na „nacionalno usodo“ (373). V takem primeru lahko odbor za obveščevalno dejavnost od predsednika vlade zahteva pojasnilo in če to ni predloženo v sedmih dneh, odgovora ali pričanja ni mogoče zavrniti.

(203)

Korejski sistem tudi na področju nacionalne varnosti ponuja različne (sodne) poti za uveljavljanje pravnega varstva, vključno z odškodnino za škodo. Ti mehanizmi posameznikom, na katere se nanašajo osebni podatki, zagotavljajo učinkovito upravno in sodno varstvo, zlasti jim omogočajo uresničevanje pravic, vključno s pravico do dostopa do njihovih osebnih podatkov ali do popravka oziroma izbrisa takih podatkov.

(204)

Prvič, v skladu s členom 3(5) ter členom 4(1), (3) in (4) zakona o varstvu osebnih podatkov lahko posamezniki pri organih za nacionalno varnost uresničujejo svoje pravice do dostopa, popravka, izbrisa in prenehanja. V oddelku 6 uradnega obvestila št. 2021-5 (Priloga I k temu sklepu) je nadalje pojasnjeno, kako se te pravice uporabljajo v okviru obdelave podatkov za namene nacionalne varnosti. Zlasti velja, da lahko organ za nacionalno varnost uresničevanje pravice omeji ali zavrne le, kolikor in dokler je to potrebno in sorazmerno za zaščito pomembnega cilja v javnem interesu (npr. kolikor in dokler bi priznanje pravice ogrozilo tekočo preiskavo ali nacionalno varnost) ali kadar bi lahko priznanje pravice povzročilo škodo življenju ali telesu tretje osebe. Pri uveljavljanju take omejitve je torej treba tehtati med pravicami in interesi posameznika ter pomembnimi javnimi interesi, pri čemer se nikakor ne sme posegati v bistvo pravice (člen 37(2) ustave). Če se zahteva zavrne ali njeno uresničevanje omeji, je treba posameznika nemudoma uradno obvestiti o razlogih.

(205)

Drugič, posamezniki imajo pravico uveljavljati pravno varstvo na podlagi zakona o varstvu osebnih podatkov, če je organ za nacionalno varnost obdeloval njihove podatke v nasprotju z zakonom o varstvu osebnih podatkov ali v nasprotju z omejitvami in zaščitnimi ukrepi iz drugih zakonov, ki urejajo zbiranje osebnih podatkov (zlasti zakona o varstvu zasebnosti komunikacij, glej uvodno izjavo (171)) (374). To pravico je mogoče uresničevati z vložitvijo pritožbe pri komisiji za varstvo osebnih podatkov (tudi prek klicnega centra za vprašanja v zvezi z zasebnostjo, ki ga vodi korejska agencija za splet in varnost) (375). Poleg tega lahko posamezniki iz EU za lažji dostop do pravnega sredstva zoper korejske organe za nacionalno varnost vložijo pritožbo pri komisiji za varstvo osebnih podatkov prek svojega nacionalnega organa za varstvo podatkov (376). V tem primeru komisija za varstvo osebnih podatkov posameznika uradno obvesti prek nacionalnega organa za varstvo podatkov po zaključku preiskave (med drugim, če je ustrezno, o naloženih popravnih ukrepih). Na podlagi zakona o upravnem sporu se lahko posamezniki tudi pritožijo zoper odločitev komisije za varstvo osebnih podatkov ali jo izpodbijajo oziroma se pritožijo zoper neukrepanje navedene komisije (glej uvodno izjavo (132)).

(206)

Tretjič, posamezniki lahko pri pooblaščeni osebi za varstvo človekovih pravic vložijo pritožbo zaradi kršitve pravice do zasebnosti/varstva podatkov v okviru dejavnosti boja proti terorizmu (tj. na podlagi zakona o boju proti terorizmu) (377), pooblaščena oseba pa lahko priporoči popravne ukrepe. Ker za pritožbo pri pooblaščeni osebi za varstvo človekovih pravic ne veljajo zahteve glede dopustnosti, se taka pritožba obravnava tudi, če zadevni posameznik ne more dokazati, da mu je dejansko nastala škoda (npr. zaradi domnevnega nezakonitega zbiranja njegovih podatkov s strani organa za nacionalno varnost) (378). Zadevni organ mora pooblaščeno osebo za varstvo človekovih pravic obvestiti o vseh ukrepih, ki jih je sprejel za izpolnitev njenih priporočil.

(207)

Četrtič, posamezniki lahko vložijo pritožbo pri nacionalni komisiji za človekove pravice v zvezi z zbiranjem njihovih podatkov s strani organa za nacionalno varnost in uveljavljajo pravno varstvo v skladu s postopkom, opisanim v uvodni izjavi (178) (379).

(208)

Nazadnje, na voljo so različna sodna pravna sredstva (380), ki posameznikom omogočajo sklicevanje na omejitve in zaščitne ukrepe, opisane v oddelku 3.3.1, za uveljavljanje pravnega varstva. Posamezniki lahko zlasti izpodbijajo zakonitost dejanj organov za nacionalno varnost na podlagi zakona o upravnem sporu (v skladu s postopkom, opisanim v uvodni izjavi (181)) ali zakona o ustavnem sodišču (glej uvodno izjavo (182)). Poleg tega lahko prejmejo odškodnino za škodo na podlagi zakona o državni odškodnini (kot je podrobneje opisano v uvodni izjavi (183)).

(209)

Komisija meni, da Republika Koreja – z zakonom o varstvu osebnih podatkov, posebnimi pravili, ki se uporabljajo v nekaterih sektorjih (kot je analizirano v oddelku 2), in dodatnimi zaščitnimi ukrepi iz uradnega obvestila št. 2021-5 (Priloga I) – zagotavlja raven varstva osebnih podatkov, prenesenih iz Evropske unije, ki je v osnovi enakovredna ravni, zagotovljeni z Uredbo (EU) 2016/679.

(210)

Komisija prav tako meni, da kot celota nadzorni mehanizmi in pravna sredstva v korejskem pravu omogočajo ugotavljanje in obravnavanje kršitev pravil o varstvu podatkov s strani upravljavcev v Koreji ter posameznikom, na katere se nanašajo osebni podatki, zagotavljajo pravna sredstva, s katerimi lahko pridobijo dostop do svojih osebnih podatkov in po potrebi dosežejo popravek ali izbris takih podatkov.

(211)

Nazadnje, Komisija na podlagi razpoložljivih informacij o korejskem pravnem redu, vključno z navedbami, zagotovili in zavezami korejske vlade iz Priloge II, meni, da bo kakršno koli poseganje v temeljne pravice posameznikov, katerih osebni podatki se prenašajo iz Evropske unije v Republiko Korejo, s strani korejskih javnih organov v javnem interesu, zlasti za namene preprečevanja, odkrivanja in preiskovanja kaznivih dejanj ter namene nacionalne varnosti, omejeno na to, kar je nujno potrebno za dosego zadevnega zakonitega cilja, ter da obstaja učinkovita pravna zaščita pred takim poseganjem.

(212)

Glede na ugotovitve iz tega sklepa je torej treba odločiti, da Republika Koreja zagotavlja ustrezno raven varstva v smislu člena 45 Uredbe (EU) 2016/679, kakor se razlaga glede na Listino Evropske unije o temeljnih pravicah, glede osebnih podatkov, ki se iz Evropske unije prenesejo upravljavcem osebnih podatkov v Republiki Koreji, za katere se uporablja zakon o varstvu osebnih podatkov, z izjemo verskih organizacij, če osebne podatke obdelujejo za namen misijonarske dejavnosti, političnih strank, če osebne podatke obdelujejo v okviru imenovanja kandidatov, in upravljavcev, ki jih nadzoruje komisija za finančne storitve, glede obdelave osebnih kreditnih informacij v skladu z zakonom o kreditnih informacijah, če obdelujejo take podatke.

(213)

Države članice in njihovi organi morajo sprejeti ukrepe, potrebne za zagotavljanje skladnosti z akti institucij Unije, saj se domneva, da so ti zakoniti in imajo pravne učinke, dokler niso umaknjeni, razveljavljeni na podlagi izpodbojne tožbe ali razglašeni za neveljavne na podlagi predloga za sprejetje predhodne odločbe ali sklicevanja na nezakonitost.

(214)

Zato je sklep Komisije o ustreznosti varstva, sprejet na podlagi člena 45(3) Uredbe (EU) 2016/679, zavezujoč za vse organe držav članic, na katere je naslovljen, vključno z njihovimi neodvisnimi nadzornimi organi. Natančneje, prenosi od upravljavca ali obdelovalca v Evropski uniji upravljavcem v Republiki Koreji lahko potekajo, ne da bi bilo treba pridobiti nadaljnje dovoljenje.

(215)

V skladu s členom 58(5) Uredbe (EU) 2016/679 in glede na pojasnila Sodišča EU v sodbi v zadevi Schrems (381) je treba opozoriti, da če ima nacionalni organ za varstvo podatkov, med drugim po prejemu pritožbe, pomisleke o skladnosti sklepa Komisije o ustreznosti s temeljnimi pravicami posameznika do zasebnosti in varstva podatkov, mu mora nacionalno pravo zagotavljati pravno sredstvo za predložitev teh ugovorov nacionalnemu sodišču, ki bi morda moralo pri Sodišču Evropske unije vložiti predlog za sprejetje predhodne odločbe (382).

(216)

V skladu s sodno prakso Sodišča (383) in kot je navedeno v členu 45(4) Uredbe (EU) 2016/679, bi morala Komisija po sprejetju sklepa o ustreznosti redno spremljati razvoj dogodkov v tretji državi, da se presodi, ali tretja država še zagotavlja v osnovi enakovredno raven varstva. Tako preverjanje je vsekakor nujno, kadar Komisija prejme kakršne koli informacije, ki zbujajo upravičen dvom o tem.

(217)

Komisija bi zato morala stalno spremljati razmere v Republiki Koreji, kar zadeva pravni okvir in dejansko prakso obdelave osebnih podatkov, kot sta ocenjena v tem sklepu, vključno z zagotavljanjem skladnosti korejskih organov z navedbami, zagotovili in zavezami iz Priloge II. Za olajšanje tega postopka Komisija korejske organe poziva, naj jo takoj obvestijo o razvoju dogodkov, bistvenih za ta sklep, in sicer glede obdelave osebnih podatkov s strani poslovnih subjektov in javnih organov ter glede omejitev in zaščitnih ukrepov, ki se uporabljajo v zvezi z dostopom javnih organov do osebnih podatkov.

(218)

Poleg tega bi morale države članice Komisijo obveščati o vseh pomembnih ukrepih nacionalnih organov za varstvo podatkov, zlasti glede poizvedb ali pritožb posameznikov iz EU, na katere se nanašajo osebni podatki, v zvezi s prenosom osebnih podatkov iz Evropske unije upravljavcem podatkov v Republiki Koreji, da lahko Komisija učinkovito izvaja naloge spremljanja. Komisija bi morala biti obveščena tudi o kakršnih koli indicih, da ukrepi korejskih javnih organov, odgovornih za preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj oziroma za nacionalno varnost, vključno z vsemi nadzornimi organi, ne zagotavljajo zahtevane ravni varnosti.

(219)

Komisija bi morala po sprejetju tega sklepa na podlagi člena 45(3) Uredbe (EU) 2016/679 (384) in ob upoštevanju dejstva, da se lahko raven varstva, ki ga zagotavlja korejski pravni red, spremeni, redno preverjati, ali so ugotovitve, ki se nanašajo na ustreznost ravni varstva, ki jo zagotavlja Republika Koreja, še vedno dejansko in pravno upravičene.

(220)

V ta namen bi bilo treba ta sklep prvič pregledati v treh letih po začetku njegove veljavnosti. Komisija po tem prvem pregledu in glede na rezultate pregleda v tesnem posvetovanju z odborom, ustanovljenim v skladu s členom 93(1) Uredbe (EU) 2016/679, odloči, ali je treba ohraniti triletni cikel. V vsakem primeru morajo nadaljnji pregledi potekati vsaj vsaka štiri leta (385). Pregled bi moral vključevati vse vidike delovanja tega sklepa, zlasti uporabo dodatnih zaščitnih ukrepov iz Priloge I k temu sklepu, pri čemer bi bilo treba posebno pozornost nameniti varstvu v primeru nadaljnjih prenosov; razvoj ustrezne sodne prakse; pravila o obdelavi psevdonimiziranih informacij za statistične namene, znanstvene raziskave in arhiviranje v javnem interesu ter uporabo izjem iz člena 28(7) zakona o varstvu osebnih podatkov; učinkovitost uresničevanja pravic posameznikov, med drugim pred nedavno prenovljeno komisijo za varstvo osebnih podatkov uporabo delnih izjem iz zakona o varstvu osebnih podatkov; ter omejitve in zaščitne ukrepe glede vladnega dostopa (kot je navedeno v Prilogi II k temu sklepu), vključno s sodelovanjem komisije za varstvo osebnih podatkov z organi EU za varstvo podatkov glede pritožb posameznikov. Vključevati bi moral tudi učinkovitost nadzora in izvrševanja na področju zakona o varstvu osebnih podatkov, preprečevanja, odkrivanja in preiskovanja kaznivih dejanj ter nacionalne varnosti (zlasti v okviru komisije za varstvo osebnih podatkov in nacionalne komisije za človekove pravice).

(221)

Komisija bi se morala v okviru izvajanja pregleda srečati s komisijo za varstvo osebnih podatkov, ki bi jo po potrebi spremljali še drugi korejski organi, odgovorni za vladni dostop, vključno z zadevnimi nadzornimi organi. Možnost sodelovanja na takem srečanju bi morali imeti tudi predstavniki članov Evropskega odbora za varstvo podatkov. Komisija bi morala v okviru pregleda od komisije za varstvo osebnih podatkov zahtevati predložitev celovitih informacij o vseh vidikih, pomembnih za ugotavljanje ustreznosti, med drugim o omejitvah in zaščitnih ukrepih v zvezi z vladnim dostopom (386). Komisija bi morala tudi zahtevati pojasnila o vseh prejetih informacijah, pomembnih za ta sklep, vključno z javnimi poročili korejskih organov ali drugih deležnikov v Koreji, Evropskega odbora za varstvo podatkov, posameznih organov za varstvo podatkov, skupin civilne družbe, poročil medijev ali katerih koli drugih razpoložljivih virov informacij.

(222)

Komisija bi morala na podlagi pregleda pripraviti javno poročilo, ki se predloži Evropskemu parlamentu in Svetu.

(223)

Če se na podlagi razpoložljivih informacij, zlasti tistih, ki izhajajo iz spremljanja tega sklepa ali ki jih zagotovijo korejski organi ali organi držav članic, ugotovi, da raven varstva, ki ga zagotavlja Republika Koreja, morda ni več ustrezna, bi morala Komisija o tem takoj obvestiti pristojne korejske organe in zahtevati, naj se v določenem razumnem roku sprejmejo ustrezni ukrepi.

(224)

Če pristojni korejski organi ob preteku tega določenega roka ne sprejmejo navedenih ukrepov ali drugače zadovoljivo dokažejo, da ta sklep še naprej temelji na ustrezni ravni varstva, bo Komisija začela postopek iz člena 93(2) Uredbe (EU) 2016/679 za začasno zadržanje izvajanja ali za razveljavitev dela ali celotnega tega sklepa.

(225)

Druga možnost je, da bo Komisija začela navedeni postopek za spremembo tega sklepa, zlasti z uvedbo dodatnih pogojev za prenos podatkov ali z omejitvijo področja uporabe ugotovitve o ustreznosti samo na prenose podatkov, za katere je še naprej zagotovljena ustrezna raven varstva.

(226)

Komisija bi morala zlasti začeti postopek za začasno zadržanje izvajanja ali razveljavitev v primeru indicev, da poslovni subjekti, ki prejemajo osebne podatke na podlagi tega sklepa, ne upoštevajo dodatnih zaščitnih ukrepov iz Priloge I in/ali da se ti ukrepi ne izvršujejo učinkovito oziroma da korejski organi ne upoštevajo navedb, zagotovil in zavez iz Priloge II k temu sklepu.

(227)

Prav tako bi morala Komisija razmisliti o začetku postopka za spremembo, začasno zadržanje izvajanja ali razveljavitev tega sklepa, če v okviru pregleda ali kako drugače pristojni korejski organi ne zagotovijo informacij ali pojasnil, potrebnih za oceno ravni varstva, ki se zagotavlja glede osebnih podatkov, prenesenih iz Evropske unije v Republiko Korejo, ali skladnosti s tem sklepom. V tem smislu bi morala Komisija upoštevati, v kolikšni meri je mogoče zadevne informacije pridobiti iz drugih virov.

(228)

Komisija bo v ustrezno utemeljenih nujnih primerih uporabila možnost, da v skladu s postopkom iz člena 93(3) Uredbe (EU) 2016/679 sprejme izvedbene akte, ki se začnejo uporabljati takoj in s katerimi se začasno zadrži izvajanje tega sklepa oziroma se sklep razveljavi ali spremeni.

(229)

Evropski odbor za varstvo podatkov je objavil svoje mnenje (387), ki je bilo upoštevano pri pripravi tega sklepa.

(230)

Ukrepi iz tega sklepa so v skladu z mnenjem odbora, ustanovljenega na podlagi člena 93(1) Uredbe (EU) 2016/679 –