(1)

I förordning (EU) 2016/679 fastställs regler för överföring av personuppgifter från personuppgiftsansvariga eller personuppgiftsbiträden i Europeiska unionen till tredjeländer och internationella organisationer i den mån sådana överföringar omfattas av förordningens tillämpningsområde. Reglerna om internationella överföringar av uppgifter fastställs i kapitel V (artiklarna 44–50) i den förordningen. Flödet av personuppgifter till och från länder utanför Europeiska unionen är av avgörande betydelse för att utvidga den gränsöverskridande handeln och det internationella samarbetet, men skyddet av personuppgifter i unionen får inte undergrävas av överföringar till tredjeländer (2).

(2)

Enligt artikel 45.3 i förordning (EU) 2016/679 får kommissionen genom en genomförandeakt besluta att ett tredjeland, ett territorium eller en eller flera specificerade sektorer i ett tredjeland eller en internationell organisation säkerställer en adekvat skyddsnivå. Enligt detta villkor får överföring av personuppgifter till ett tredjeland ske utan ytterligare tillstånd enligt artikel 45.1 och skäl 103 i förordning (EU) 2016/679.

(3)

Enligt artikel 45.2 i förordning (EU) 2016/679 måste antagandet av ett beslut om adekvat skyddsnivå grundas på en omfattande analys av tredjelandets rättsordning som omfattar både de regler som är tillämpliga på uppgiftsinförare och begränsningarna och skyddsåtgärderna när det gäller myndigheters tillgång till personuppgifter. I sin bedömning måste kommissionen avgöra om det berörda tredjelandet garanterar en skyddsnivå som ”i allt väsentligt är likvärdig” med den som säkerställs inom Europeiska unionen (skäl 104 i förordning (EU) 2016/679). Huruvida så är fallet ska bedömas mot unionens lagstiftning, särskilt förordning (EU) 2016/679, samt rättspraxis från Europeiska unionens domstol (3).

(4)

Enligt Europeiska unionens domstol kräver detta inte att en identisk skyddsnivå uppnås (4). I synnerhet kan de medel som tredjelandet i fråga har till sitt förfogande för att skydda personuppgifter skilja sig från dem som används i unionen förutsatt att de i praktiken visar sig vara effektiva för att säkerställa en adekvat skyddsnivå (5). Standarden för en adekvat skyddsnivå kräver därför inte att unionens regler kopieras till punkt och pricka. Snarare gäller det att avgöra huruvida det utländska systemet som helhet erbjuder den höga skyddsnivå som krävs med avseende på innehållet i rätten till personlig integritet och genomförandet, tillsynen och verkställandet av dem i praktiken (6). Europeiska dataskyddsstyrelsens referensram för adekvat skyddsnivå, som syftar till att ytterligare förtydliga denna standard, ger också vägledning i detta avseende (7).

(5)

Kommissionen har noggrant analyserat sydkoreansk lagstiftning och praxis. På grundval av de resultat som anges i skälen 8–208 drar kommissionen slutsatsen att Sydkorea säkerställer en adekvat skyddsnivå för personuppgifter som överförs från personuppgiftsansvariga eller personuppgiftsbiträden i unionen (8) till enheter (t.ex. fysiska eller juridiska personer, organisationer, offentliga institutioner) i Sydkorea som omfattas av lagen om skydd av personuppgifter (lag nr 10465 av den 29 mars 2011, senast ändrad genom lag nr 16930 av den 4 februari 2020). Detta inbegriper både personuppgiftsansvariga och personuppgiftsbiträden (som kallas ”uppdragstagare” (9)) i den mening som avses i förordning (EU) 2016/679. Beslutet om adekvat skyddsnivå omfattar inte religiösa organisationers behandling av personuppgifter för missionsverksamhet och politiska partiers nominering av kandidater, eller behandling av personlig kreditinformation enligt lagen om kreditinformation som utförs av personuppgiftsansvariga under tillsyn av kommittén för finanstjänster.

(6)

I denna slutsats beaktas de ytterligare skyddsåtgärder som anges i meddelande nr 2021-5 (bilaga I) och den sydkoreanska regeringens officiella framställningar, utfästelser och åtaganden till kommissionen (bilaga II).

(7)

Genom detta beslut får överföringar till personuppgiftsansvariga och personuppgiftsbiträden i Sydkorea äga rum utan ytterligare tillstånd. Detta påverkar inte den direkta tillämpningen av förordning (EU) 2016/679 på sådana enheter, när villkoren för förordningens territoriella tillämpningsområde som anges i artikel 3 är uppfyllda.

(8)

Den ordning som styr rätten till personlig integritet och dataskydd i Sydkorea har sina rötter i den sydkoreanska författningen som fastslogs den 17 juli 1948. Även om rätten till skydd av personuppgifter inte uttryckligen anges i författningen erkänns den ändå som en grundläggande rättighet som härrör från de författningsenliga rättigheterna till mänsklig värdighet och strävan efter lycka (artikel 10), privatliv (artikel 17) och personlig integritet vid kommunikation (artikel 18). Detta har bekräftats av både högsta domstolen (10) och författningsdomstolen (11). Grundläggande rättigheter och friheter (däribland rätten till integritet) får endast får begränsas genom lag när det är nödvändigt för den nationella säkerheten eller för upprätthållandet av lag och ordning för den allmänna välfärden, och begränsningarna får inte påverka det väsentliga innehållet i friheten eller rätten (artikel 37.2).

(9)

Även om det på olika ställen i författningen hänvisas till sydkoreanska medborgares rättigheter har författningsdomstolen fastställt att även utländska medborgare har grundläggande rättigheter (12). Domstolen ansåg särskilt att skyddet av den personliga värdigheten och människovärdet samt rätten att sträva efter lycka är alla människors rättigheter och inte bara medborgarnas (13). Enligt de officiella framställningarna från den sydkoreanska regeringen (14) är det dessutom allmänt erkänt att grundläggande mänskliga rättigheter föreskrivs i artiklarna 12–22 i författningen (bl.a. integritetsskydd) (15). Även om det hittills inte finns någon rättspraxis som specifikt rör utländska medborgares rätt till integritet har denna rättighet sin grund i skyddet av mänsklig värdighet och strävan efter lycka, vilket stöder denna slutsats (16).

(10)

Dessutom har Sydkorea antagit en rad lagar på dataskyddsområdet som innehåller skyddsåtgärder för alla individer, oavsett nationalitet (17). Vid tillämpning av detta beslut är följande lagar tillämpliga:

(11)

PIPA utgör den allmänna rättsliga ramen för skydd av personuppgifter i Sydkorea. Den kompletteras av en genomförandedekret (presidentdekret nr 23169 av den 29 september 2011, senast ändrad genom presidentdekret nr 30892 av den 4 augusti 2020) (genomförandedekret till PIPA), som liksom PIPA är rättsligt bindande och verkställbart.

(12)

Dessutom innehåller föreskrivande meddelanden som antagits av nämnden för skydd av personuppgifter (nämnden) ytterligare bestämmelser om tolkning och tillämpning av PIPA. På grundval av artikel 5 (statens förpliktelser) och artikel 14 i PIPA (Internationellt samarbete) antog nämnden för skydd av personuppgifter meddelande nr 2021-5 av den 1 september 2020 (i dess ändrade lydelse enligt nr 2021-1 av den 21 januari 2021 och meddelande nr 2021-5 av den 16 november 2021, meddelande nr 2021-5) om tolkning, tillämpning och verkställighet av vissa bestämmelser i PIPA. Detta meddelande innehåller förtydliganden som gäller all behandling av personuppgifter enligt PIPA samt ytterligare skyddsåtgärder för personuppgifter som överförs till Sydkorea på grundval av detta beslut. Meddelandet är rättsligt bindande för personuppgiftsansvariga och kan verkställas av både nämnden för skydd av personuppgifter och domstolarna (19). En överträdelse av reglerna i meddelandet innebär en överträdelse av de relevanta bestämmelserna i PIPA som de kompletterar. Innehållet i de kompletterande skyddsåtgärderna analyseras därför som en del av bedömningen av de relevanta artiklarna i PIPA. Slutligen ges ytterligare vägledning om PIPA och dess genomförandedekret, som präglar tillämpning och verkställande av dataskyddsreglerna i PIPA, i handboken och riktlinjerna för PIPA som antagits av nämnden för skydd av personuppgifter (20).

(13)

I lagen om användning och skydd av kreditinformation (Act on the Use and Protection of Credit Information) fastställs dessutom särskilda regler som gäller både för ”vanliga” kommersiella operatörer och specialiserade enheter inom finanssektorn när de behandlar personlig kreditinformation, dvs. information som krävs för att fastställa parters kreditvärdighet i finansiella eller kommersiella transaktioner. Detta inbegriper särskilt namn, kontaktuppgifter, finansiella transaktioner, kreditbetyg, försäkringsstatus eller lånebalans när sådan information används för att fastställa en persons kreditvärdighet (21). Om sådan information däremot används för andra ändamål (t.ex. mänskliga resurser) tillämpas PIPA i sin helhet. När det gäller de särskilda bestämmelserna om dataskydd i lagen om användning och skydd av kreditinformation övervakas efterlevnaden delvis av nämnden för skydd av personuppgifter (för kommersiella organisationer, se artikel 45-3 i lagen om användning och skydd av kreditinformation) och delvis av kommittén för finanstjänster (22) (för finanssektorn, bl.a. kreditvärderingsinstitut, banker, försäkringsbolag, ömsesidiga sparbanker, specialiserade företag inom kreditfinansiering, företag som erbjuder finansieringstjänster, företag inom värdepappersfinansiering, kreditkassor osv., se artikel 45.1 i lagen om användning och skydd av kreditinformation och artikel 36-2 i genomförandedekreteten till lagen om användning och skydd av kreditinformation). I detta avseende är tillämpningsområdet för detta beslut begränsat till kommersiella operatörer som är föremål för tillsyn av nämnden för skydd av personuppgifter (23). De särskilda regler i lagen om användning och skydd av kreditinformation som är tillämpliga i detta sammanhang (de allmänna reglerna i PIPA tillämpas om särskilda regler saknas) beskrivs i avsnitt 2.3.11.

(14)

Om inte annat uttryckligen föreskrivs i andra rättsakter regleras skyddet av personuppgifter i PIPA (artikel 6). Dess materiella och personliga tillämpningsområde bestäms av de fastställda begreppen ”personuppgifter”, ”behandling” och ”personuppgiftsansvarig”.

(15)

I artikel 2.1 i PIPA definieras personuppgifter som uppgifter om en levande person som direkt identifierar personen, t.ex. hans eller hennes namn, nummer i folkbokföringsregistret eller avbild, eller som indirekt identifierar personen, dvs. där uppgifter som i sig inte kan identifiera en viss person enkelt kan kombineras med andra uppgifter. Huruvida informationen ”enkelt” kan kombineras beror på om en sådan kombination rimligtvis är sannolik med beaktande av möjligheten att erhålla andra uppgifter samt den tid, kostnad och teknik som krävs för att identifiera en person.

(16)

Dessutom betraktas pseudonymiserade uppgifter (dvs. uppgifter som inte kan identifiera en viss person utan att användas eller kombineras med ytterligare uppgifter för att återställa dem till deras ursprungliga tillstånd) som personuppgifter enligt PIPA (artikel 2.1 c i PIPA). Omvänt utesluts uppgifter som är helt ”anonymiserade” från tillämpningsområdet för PIPA (artikel 58-2 i PIPA). Detta gäller för uppgifter som inte kan identifiera en viss person även om de kombineras med andra uppgifter, med beaktande av den tid, kostnad och teknik som rimligen krävs för identifiering.

(17)

Detta motsvarar det materiella tillämpningsområdet för förordning (EU) 2016/679 och dess begrepp ”personuppgifter”, ”pseudonymisering” (24) och ”anonymiserad information” (25).

(18)

Begreppet ”behandling” har getts en vid definition i PIPA där det omfattar ”insamling, generering, förening, sammankoppling, upptagning, lagring, bevarande, mervärdesbehandling, redigering, åtkomst, utmatning, rättelse, återvinning, användning, tillhandahållande och utlämnande, förstörelse av personuppgifter samt annan, liknande verksamhet” (26). Även om vissa bestämmelser i PIPA endast avser särskilda typer av behandling, såsom ”användning”, ”tillhandahållande” eller ”insamling” (27), tolkas begreppet ”användning” som att det omfattar alla typer av behandling förutom ”insamling” eller ”tillhandahållande (till tredje part)”. Denna vida tolkning av ”användning” säkerställer därmed att det inte finns några luckor i skyddet när det gäller specifik behandling. Begreppet behandling motsvarar därför samma begrepp som enligt förordning (EU) 2016/679.

(19)

PIPA är tillämplig på personuppgiftsansvariga. I likhet med förordning (EU) 2016/679 omfattar detta alla offentliga institutioner, juridiska personer, organisationer eller enskilda personer som direkt eller indirekt behandlar personuppgifter för att handha personuppgiftsregister som en del av sin verksamhet (28). I detta sammanhang avses med ”personuppgiftsregister””en personuppgift eller personuppgifter som ordnas eller organiseras på ett systematiskt sätt enligt en viss regel för enkel tillgång till personuppgifterna” (artikel 2.4 i PIPA) (29). Internt är den personuppgiftsansvarige skyldig att utbilda de personer som deltar i behandlingen under hans eller hennes ledning, t.ex. företagets tjänstemän eller anställda, och att utöva lämplig kontroll och tillsyn (artikel 28.1 i PIPA).

(20)

Särskilda skyldigheter gäller när en personuppgiftsansvarig (uppdragsgivaren) lägger ut behandlingen av personuppgifter på tredje part (uppdragstagaren). I synnerhet måste uppdraget styras av ett rättsligt bindande arrangemang (vanligtvis ett avtal) (30) där det utkontrakterade arbetets omfattning fastställs, liksom ändamålet med behandlingen, de tekniska och administrativa skyddsåtgärder som ska tillämpas, den personuppgiftsansvariges tillsyn, skadeståndsansvar (t.ex. ersättning för skador som orsakats av brott mot avtalsförpliktelser) samt begränsningarna för eventuell underentreprenad (31) (artikel 26.1 och 26.2 i PIPA jämförd med artikel 28.1 i genomförandedekretet) (32).

(21)

Personuppgiftsansvariga måste dessutom offentliggöra och kontinuerligt uppdatera uppgifter om utkontrakterat arbete och uppdragstagarens identitet eller, i den mån den utkontrakterade behandlingen avser direktmarknadsföring, direkt meddela relevant information till enskilda personer (artikel 26.2 och 26.3 i PIPA jämförd med artikel 28.2–28.5 i genomförandedekretet) (33).

(22)

I enlighet med artikel 26.4 i PIPA jämförd med artikel 28.6 i genomförandedekretet är personuppgiftsansvariga dessutom skyldiga att ge uppdragstagaren ”utbildning” om nödvändiga säkerhetsåtgärder och att bl.a. genom kontroller övervaka huruvida uppdragstagaren fullgör alla den personuppgiftsansvariges skyldigheter enligt PIPA (34) samt enligt avtalet om utkontraktering. Om uppdragstagare orsakar skada på grund av en överträdelse av PIPA kommer deras agerande eller passivitet att tillskrivas den personuppgiftsansvarige när det gäller ansvarsfrågan, på samma sätt som när det gäller en anställd (artikel 26.6 i PIPA).

(23)

Även om olika begrepp för ”personuppgiftsansvariga” och ”personuppgiftsbiträden” därmed inte används i PIPA fastställs i reglerna om utkontraktering skyldigheter och skyddsåtgärder som i huvudsak motsvarar de som reglerar förhållandet mellan personuppgiftsansvariga och personuppgiftsbiträden enligt förordning (EU) 2016/679.

(24)

PIPA är tillämplig på all behandling av personuppgifter som utförs av personuppgiftsansvariga, men vissa bestämmelser innehåller särskilda regler (som lex specialis) för ”leverantörer av informations- och kommunikationstjänster” vid behandling av ”användares” personuppgifter (35). Begreppet ”användare” omfattar enskilda personer som använder informations- och kommunikationstjänster (artikel 2.1.4 i lagen om främjande av användning av nätverk för information och kommunikation och om skydd av information, nätlagen). Detta kräver att personen antingen direkt använder telekommunikationstjänster som tillhandahålls av en sydkoreansk teleoperatör eller använder informationstjänster (36) som tillhandahålls kommersiellt (dvs. i vinstsyfte) av en enhet som i sin tur förlitar sig på tjänster som tillhandahålls av en teleoperatör som är licensierad/registrerad i Sydkorea (37). I båda fallen är den enhet som är bunden av de särskilda bestämmelserna i PIPA en enhet som erbjuder en onlinetjänst direkt till en enskild person (dvs. en användare).

(25)

Omvänt gäller ett beslut om adekvat skyddsnivå uteslutande den skyddsnivå som ges för personuppgifter som överförs från en personuppgiftsansvarig eller ett personuppgiftsbiträde i unionen till en enhet i ett tredjeland (här: Sydkorea). I det senare fallet kommer enskilda inom unionen normalt endast att ha ett direkt förhållande till uppgiftsutföraren i unionen och inte till någon sydkoreansk leverantör av informations- och kommunikationstjänster (38). Därför kommer de särskilda bestämmelserna i PIPA i fråga om personuppgifter rörande användare av informations- och kommunikationstjänster endast i begränsade fall att tillämpas på personuppgifter som överförs enligt detta beslut.

(26)

Enligt artikel 58.1 i PIPA är en del av PIPA (dvs. artiklarna 15–57) inte tillämplig när det gäller fyra kategorier av databehandling (39). Särskilt tillämpas inte de delar av PIPA som berör de särskilda grunderna för behandling, vissa skyldigheter avseende dataskydd, detaljerade regler för utövandet av enskildas rättigheter samt de regler som styr tvistlösning genom kommittén för tvistlösning avseende personuppgifter. Andra grundläggande bestämmelser i PIPA är fortfarande tillämpliga, särskilt de allmänna bestämmelserna om dataskyddsprinciper (artikel 3 i PIPA) – bl.a. principerna om laglighet, angivande av ändamål och ändamålsbegränsning, uppgiftsminimering, uppgifternas korrekthet och säkerhet – och enskildas rättigheter (tillgång, rättelse, radering och upphörande, se artikel 4 i PIPA). Genom artikel 58.4 i PIPA införs även särskilda skyldigheter avseende sådan behandling, nämligen när det gäller uppgiftsminimering, begränsad lagring av uppgifter, säkerhetsåtgärder och hantering av klagomål (40). Till följd av detta kan enskilda personer fortfarande inge ett klagomål till nämnden för skydd av personuppgifter om dessa principer och skyldigheter inte uppfylls, och nämnden för skydd av personuppgifter har befogenhet att vidta verkställighetsåtgärder i händelse av bristande efterlevnad.

(27)

För det första omfattar det partiella undantaget personuppgifter som samlas in i enlighet med statistiklagen för att behandlas av offentliga institutioner. Enligt klargöranden från den sydkoreanska regeringen rör personuppgifter som behandlas i detta sammanhang vanligtvis sydkoreanska medborgare och inbegriper endast undantagsvis uppgifter om utlänningar, nämligen vad gäller statistik över inresa till och utresa ur landet eller utländska investeringar. Även i dessa fall överförs dock sådana uppgifter normalt inte från personuppgiftsansvariga eller personuppgiftsbiträden i unionen, utan samlas in direkt av myndigheter i Sydkorea (41). I likhet med vad som föreskrivs i skäl 162 i förordning (EU) 2016/679 är dessutom behandling av uppgifter enligt statistiklagen underkastat ett flertal villkor och garantier. I statistiklagen föreskrivs särskilt specifika skyldigheter för att t.ex. säkerställa noggrannhet, enhetlighet och opartiskhet, garantera enskilda personers konfidentialitet, skydda information från uppgiftslämnare vid statistiska förfrågningar (bl.a. i syfte att förhindra att sådan information används för något annat ändamål än att sammanställa statistik) samt ställa krav på sekretess för anställda (42). Myndigheter som behandlar statistik måste också agera i enlighet med bl.a. principerna om uppgiftsminimering, ändamålsbegränsning och säkerhet (artiklarna 3 och 58.4 i PIPA) och tillåta enskilda personer att utöva sina rättigheter (rätt till tillgång, rättelse, radering och upphörande, se artikel 4 i PIPA). Slutligen måste uppgifterna behandlas i anonymiserad eller pseudonymiserad form om detta gör det möjligt att uppfylla ändamålet med behandlingen (artikel 3.7 i PIPA).

(28)

För det andra hänvisas i artikel 58.1 i PIPA till personuppgifter som samlas in eller begärs för analys av information som rör den nationella säkerheten. Omfattningen och konsekvenserna av detta partiella undantag beskrivs närmare i skäl 149.

(29)

För det tredje gäller det partiella undantaget för tillfällig behandling av personuppgifter när detta är synnerligen angeläget på grund av orsaker kopplade till allmän säkerhet, däribland folkhälsan. Denna kategori tolkas strikt av nämnden för skydd av personuppgifter och har enligt den information som mottagits aldrig använts. Den gäller endast i nödsituationer som kräver omedelbara åtgärder, t.ex. för att spåra smittämnen, eller för att rädda och hjälpa offer för naturkatastrofer (43). Även i dessa situationer omfattar det partiella undantaget endast behandling av personuppgifter under en begränsad tidsperiod för att genomföra sådana åtgärder. Situationer där detta skulle kunna gälla för dataöverföringar som omfattas av detta beslut är ännu mer begränsade, med tanke på den låga sannolikheten för att personuppgifter som överförs från unionen till sydkoreanska operatörer skulle vara av den typ som skulle kunna göra den efterföljande behandlingen ”brådskande” vid sådana nödsituationer.

(30)

Slutligen gäller det partiella undantaget personuppgifter som samlas in eller används av pressen, för religiösa organisationers missionärsverksamhet eller för politiska partiers nominering av kandidater. Undantaget gäller endast när personuppgifter behandlas av pressen, religiösa organisationer eller politiska partier för dessa specifika ändamål (dvs. journalistisk verksamhet, missionsarbete och nominering av politiska kandidater). Om dessa enheter behandlar personuppgifter för andra ändamål, t.ex. personaladministration eller intern förvaltning, tillämpas PIPA i full utsträckning.

(31)

När det gäller pressens behandling av personuppgifter för journalistisk verksamhet föreskrivs en avvägning mellan yttrandefrihet och andra rättigheter (däribland rätten till integritet) i lagen om skiljeförfarande och rättsmedel för skador som orsakats av pressrapporter (Act on Arbitration and Remedies, etc. for Damage Caused by Press Reports, nedan kallad presslagen) (44). Det föreskrivs särskilt i artikel 5 i presslagen att pressen (dvs. alla programföretag, tidningar, tidskrifter eller tidningar på nätet), nyhetstjänster på internet eller multimediaföretag på internet inte får kränka enskilda personers privatliv. Om en kränkning av privatlivet ändå sker måste den åtgärdas snabbt i enlighet med de särskilda förfaranden som anges i lagen. I detta avseende föreskrivs i lagen ett antal rättigheter för enskilda personer som lider skada på grund av en pressrapport, t.ex. att en rättelse av ett falskt uttalande offentliggörs, att en rättelse görs genom ett uttalande, eller en vidare rapport (när en pressrapport gäller anklagelser om brott och personen sedan frikänns) (45). Enskilda personers klagomål kan lösas direkt av presstjänsten (genom en ombudsman) (46), genom förlikning eller skiljeförfarande (inför en specialiserad presskommitté) (47) eller inför domstol. Enskilda personer kan också få ersättning när de drabbas av ekonomisk skada, kränkningar av personlighetsskyddet eller andra känslomässiga problem på grund av en olaglig handling som begås av pressen (genom uppsåt eller vårdslöshet) (48). Pressen är befriad från ansvar enligt lagen i den mån en pressrapport som inkräktar på en individs rättigheter inte strider mot sociala värden och offentliggörs antingen med den berörda personens samtycke eller på grund av allmänintresset (och det finns tillräckliga skäl att anse att rapporten är sanningsenlig) (49).

(32)

Även om pressens behandling av personuppgifter för journalistisk verksamhet därför omfattas av särskilda skyddsåtgärder som följer av presslagen finns det inga sådana ytterligare skyddsåtgärder som ramar in religiösa organisationers och politiska partiers tillämpning av undantagen för behandling på ett sätt som är jämförbart med artiklarna 85, 89 och 91 i förordning (EU) 2016/679. Kommissionen anser därför att det är lämpligt att utesluta religiösa organisationer i den mån de behandlar personuppgifter för sin missionärsverksamhet och politiska partier i den mån de behandlar personuppgifter i samband med nomineringen av kandidater från detta besluts tillämpningsområde.

(33)

Personuppgifter bör behandlas på ett lagligt och korrekt sätt.

(34)

Denna princip fastställs i artikel 3.1 och 3.2 i PIPA och förstärks genom artikel 59 i PIPA, enligt vilken behandling av personuppgifter ”med bedrägliga, otillbörliga eller orättmätiga metoder”, ”utan rättslig auktoritet” eller ”med överskridande av befogenhet” förbjuds (50). Dessa allmänna principer för laglig behandling beskrivs i artiklarna 15–19 i PIPA, där de olika rättsliga grunderna för behandling anges (insamling, användning och tillhandahållande till tredje part), samt under vilka omständigheter detta kan innebära att ändamålet förändras (artikel 18 i PIPA).

(35)

Enligt artikel 15.1 i PIPA får personuppgiftsansvariga endast samla in personuppgifter (inom ramen för insamlingens ändamål) på ett begränsat antal rättsliga grunder. Dessa är 1) den registrerades samtycke (51) (led 1); 2) behovet att genomföra och fullgöra ett avtal med den registrerade (led 4); 3) ett särskilt rättsligt tillstånd eller behovet att fullgöra en rättslig skyldighet (led 2); en offentlig institutions behov (52) att utföra uppgifter inom ramen för sitt behörighetsområde; 4) ett uppenbart behov av att skydda den registrerades eller en tredje parts liv, kropp eller egendomsintressen mot överhängande fara (endast om den registrerade inte kan uttrycka sin avsikt eller om förhandsgodkännande inte kan erhållas) (led 5); 5) behovet att uppnå den personuppgiftsansvariges ”berättigade intresse” om det är ”uppenbart överordnat” den registrerades intressen (och endast om behandlingen har en ”väsentlig koppling” till det legitima intresset och inte går utöver vad som är rimligt) (led 6) (53). Dessa grunder för behandling är i huvudsak likvärdiga med dem som fastställs i artikel 6 i förordning (EU) 2016/679, däribland den grund för ”berättigat intresse” som motsvarar grunden ”berättigade intressen” i artikel 6.1 f i förordning (EU) 2016/679.

(36)

När personuppgifter har samlats in får de användas inom ramen för ändamålet med insamlingen (artikel 15.1 i PIPA), eller ”inom ramen för det tillämpningsområde som rimligen kan hänföras till insamlingsändamålet”, med beaktande av eventuella nackdelar för den registrerade och förutsatt att nödvändiga säkerhetsåtgärder (t.ex. kryptering) har vidtagits (artikel 15.3 i PIPA). För att fastställa om ändamålet med användningen ”rimligen kan hänföras till” det ursprungliga ändamålet med insamlingen fastställs i genomförandedekretet särskilda kriterier som liknar dem i artikel 6.4 i förordning (EU) 2016/679. Den måste framför allt vara av avsevärd relevans för det ursprungliga ändamålet och den ytterligare användningen måste vara förutsägbar (t.ex. mot bakgrund av de omständigheter under vilka uppgifterna samlades in), och om möjligt måste uppgifterna pseudonymiseras (54). De specifika kriterier som personuppgiftsansvariga använder i denna bedömning ska offentliggöras i förväg i integritetspolicyn (55). Dessutom är den dataskyddsanvarige (se skäl 94) särskilt skyldig att granska om ytterligare användning sker inom dessa parametrar.

(37)

Liknande (men något strängare) regler gäller för tillhandahållande av uppgifter till tredje part. Enligt artikel 17.1 i PIPA är tillhandahållande av personuppgifter till en tredje part tillåtet efter samtycke (56) eller om det motsvarar ändamålet med insamlingen, i det fall uppgiftsinsamlingen grundas på någon av de rättsliga grunderna i artikel 15.1 led 2, 3 och 5 i PIPA. Detta utesluter särskilt all utlämning som grundar sig på den personuppgiftsansvariges ”berättigade intresse”. Utöver detta tillåts enligt artikel 17.4 i PIPA tillhandahållande till tredje part ”inom ramen för det tillämpningsområde som rimligen kan hänföras till insamlingsändamålet”, med beaktande av eventuella nackdelar för den registrerade och förutsatt att nödvändiga säkerhetsåtgärder (t.ex. kryptering) har vidtagits. Samma faktorer som beskrivs i skäl 36 måste beaktas för att bedöma om bestämmelsen ligger inom ramen för det tillämpningsområde som rimligen kan hänföras till insamlingsändamålet och samma skyddsåtgärder (dvs. när det gäller öppenhet genom integritetspolicyn och den dataskyddsansvariges medverkan) gäller.

(38)

Om en sydkoreansk personuppgiftsansvarig tar emot personuppgifter från unionen betraktas det som ”insamling” i den mening som avses i artikel 15 i PIPA. I meddelande nr 2021-5 (avsnitt I i bilaga I till detta beslut) klargörs att det ändamål för vilket uppgifterna överfördes av den berörda EU-enheten utgör ändamålet med insamlingen för den sydkoreanska personuppgiftsansvarige. Till följd av detta är sydkoreanska personuppgiftsansvariga som tar emot personuppgifter från unionen i princip skyldiga att behandla sådana uppgifter inom ramen för ändamålet med överföringen, i enlighet med artikel 17 i PIPA.

(39)

Särskilda begränsningar gäller om den personuppgiftsansvarige försöker använda personuppgifterna eller tillhandahålla dem till en tredje part för ett annat ändamål än insamlingsändamålet (57). Enligt artikel 18.2 i PIPA får en privat personuppgiftsansvarig undantagsvis (58) använda personuppgifter eller tillhandahålla dem till en tredje part för ett annat ändamål: 1) baserat på den registrerades ytterligare (dvs. separata) samtycke, 2) om detta tillåts enligt särskilda rättsliga bestämmelser, eller 3) om det föreligger ett uppenbart behov av att skydda den registrerades eller en tredje parts liv, kropp eller egendomsintressen mot överhängande fara (endast om den registrerade inte kan uttrycka sin avsikt eller om förhandsgodkännande inte kan erhållas) (59).

(40)

Offentliga institutioner får också använda personuppgifter eller tillhandahålla dem till en tredje part för ett annat ändamål i vissa situationer. Detta omfattar fall där det annars skulle vara omöjligt för offentliga institutioner att fullgöra sina lagstadgade skyldigheter enligt lag, förutsatt att nämnden för skydd av personuppgifter ger sitt tillstånd. Dessutom får offentliga institutioner tillhandahålla personuppgifter till en annan myndighet eller domstol om detta är nödvändigt för utredning och lagföring av brott eller åtal, för att en domstol ska kunna utföra sina uppgifter i samband med pågående rättsliga förfaranden, eller för verkställighet av en straffrättslig påföljd eller ett beslut om omvårdnad eller vårdnad (60). De får även tillhandahålla personuppgifter till en utländsk regering eller internationell organisation för att uppfylla en rättslig skyldighet enligt ett fördrag eller en internationell konvention. I dessa fall måste de även uppfylla kraven för gränsöverskridande dataöverföringar (se skäl 90).

(41)

Principerna om laglig och korrekt behandling tillämpas därför i den sydkoreanska rättsliga ramen på ett sätt som i huvudsak motsvarar förordning (EU) 2016/679 genom att behandling endast tillåts på grundval av legitima och klart definierade skäl. I alla nämnda fall är behandlingen dessutom endast tillåten om det är osannolikt att den ”otillbörligen överträder” den registrerades eller tredje mans intressen, vilket kräver en avvägning av intressen. Dessutom föreskrivs i artikel 18.5 i PIPA ytterligare skyddsåtgärder när den personuppgiftsansvarige tillhandahåller personuppgifter till en tredje part, vilket kan inbegripa en begäran om att begränsa syftet med och metoden för användning eller att införa särskilda säkerhetsåtgärder. Den tredje parten är i sin tur skyldig att genomföra de begärda åtgärderna.

(42)

Slutligen tillåts enligt artikel 28-2 i PIPA (ytterligare) behandling av pseudonymiserade uppgifter utan den berörda personens samtycke för statistik, vetenskaplig forskning (61) och arkivändamål i allmänhetens intresse, med förbehåll för särskilda skyddsåtgärder. I likhet med förordning (EU) 2016/679 (62) underlättas genom PIPA därför (ytterligare) behandling av personuppgifter för dessa ändamål inom en ram som tillhandahåller lämpliga mekanismer för att skydda enskilda personers rättigheter. I stället för att förlita sig på pseudonymisering som en möjlig skyddsåtgärd föreskrivs detta i PIPA som en förutsättning för att utföra viss behandling relaterad till statistik, vetenskaplig forskning och arkivändamål i allmänhetens intresse (t.ex. för att kunna behandla uppgifterna utan samtycke eller kombinera olika datauppsättningar).

(43)

I PIPA föreskrivs dessutom ett antal särskilda skyddsåtgärder, särskilt när det gäller nödvändiga tekniska och organisatoriska åtgärder, dokumentation, begränsningar av datadelning och hantering av eventuella risker för återidentifiering. Kombinationen av de olika skyddsåtgärder som beskrivs i skälen 44–48 säkerställer att behandlingen av personuppgifter i detta sammanhang skyddas genom i huvudsak likvärdigt skydd som skulle krävas i enlighet med förordning (EU) 2016/679.

(44)

För det första, och viktigast av allt, förbjuds i artikel 28-5.1 i PIPA behandling av pseudonymiserade uppgifter i syfte att identifiera en viss person. Om information som skulle kunna identifiera en person ändå genereras under behandlingen av pseudonymiserade uppgifter måste den personuppgiftsansvarige omedelbart avbryta behandlingen och förstöra sådan information (artikel 28-5.2 i PIPA). Underlåtenhet att följa dessa bestämmelser medför administrativa sanktionsavgifter och utgör ett brott (63). Detta innebär att det även i de situationer där det är praktiskt möjligt att återidentifiera personen är rättsligt förbjudet att utföra sådan återidentifiering.

(45)

För det andra måste den personuppgiftsansvarige, när (ytterligare) behandling av pseudonymiserade uppgifter utförs för sådana ändamål, vidta särskilda tekniska, förvaltningsmässiga och fysiska åtgärder för att säkerställa informationssäkerheten (bl.a. åtskild lagring och hantering av de uppgifter som krävs för att återställa de pseudonymiserade uppgifterna till sitt ursprungliga tillstånd) (64). Dessutom måste de pseudonymiserade uppgifter som behandlas, ändamålet med behandlingen, användningshistoriken och eventuella mottagande tredje parter dokumenteras (artikel 29-5.2 i genomförandedekretet till PIPA).

(46)

För det tredje och sista föreskrivs i PIPA särskilda skyddsåtgärder för att förhindra att tredje man kan identifiera personer i fall där uppgifterna delas. Vid tillhandahållande av pseudonymiserade uppgifter till en tredje part för statistik, vetenskaplig forskning eller arkivändamål i allmänhetens intresse gäller särskilt att personuppgiftsansvariga inte får bifoga uppgifter som kan användas för att identifiera en viss person (artikel 28-2.2 i PIPA) (65).

(47)

Enligt PIPA tillåts sammanföring av pseudonymiserade uppgifter (som behandlas av olika personuppgiftsansvariga) för statistik, vetenskaplig forskning eller arkivändamål i allmänhetens intresse, men denna befogenhet förbehålls specialiserade institutioner som är utrustade med särskilda säkerhetsanordningar (artikel 28-3.1 i PIPA) (66). Vid ansökan om att sammanföra pseudonymiserade uppgifter måste den personuppgiftsansvarige lämna dokumentation om bl.a. de uppgifter som ska kombineras, syftet med kombinationen samt de föreslagna säkerhetsåtgärderna för behandling av de kombinerade uppgifterna (67). För att kombinationen ska kunna göras måste den personuppgiftsansvarige sända de uppgifter som ska kombineras till den specialiserade institutionen och tillhandahålla en ”kombinationsnyckel” (dvs. den information som har använts för pseudonymisering) till Sydkoreas byrå för internet och säkerhet (68). Den senare genererar ”länkdata för kombinationsnycklar” (som gör det möjligt att koppla samman olika sökandens kombinationsnycklar och därmed kombinera datauppsättningarna) och tillhandahåller dem till den specialiserade institutionen (69).

(48)

Den personuppgiftsansvarige som ansöker om en kombination får analysera de kombinerade uppgifterna i den specialiserade institutionens lokaler på en plats där särskilda tekniska, fysiska och administrativa säkerhetsåtgärder tillämpas (artikel 29-3 i genomförandedekretet till PIPA). Personuppgiftsansvariga som bidrar med en datauppsättning för en sådan kombination får endast använda de kombinerade uppgifterna utanför den specialiserade institutionen efter ytterligare pseudonymisering eller anonymisering av de kombinerade uppgifterna, och med institutionens godkännande (artikel 28-3.2 i PIPA) (70). När institutionen överväger om ett sådant godkännande ska beviljas eller inte kommer den att bedöma kopplingen mellan de kombinerade uppgifterna och ändamålet med behandlingen, och huruvida en särskild säkerhetsplan har utarbetats för användningen av sådana uppgifter (71). Export av de kombinerade uppgifterna utanför institutionen tillåts inte om de innehåller information som gör det möjligt att identifiera en enskild person (72). Slutligen övervakas den specialiserade institutionens kombination och utlämnande av pseudonymiserade uppgifter av nämnden för skydd av personuppgifter (artikel 29-4.3 i genomförandedekretet till PIPA).

(49)

Specifika skyddsåtgärder bör vidtas när ”särskilda kategorier” av uppgifter behandlas.

(50)

PIPA innehåller särskilda regler för behandling av känsliga uppgifter (73), definierat som personuppgifter som avslöjar information om en enskild persons ideologi, övertygelse, inträde i eller utträde ur en fackförening eller ett politiskt parti, politiska åsikter, hälsa och sexualliv, samt andra personuppgifter som ”märkbart” kan hota den registrerades integritet och som förklarats vara känslig information enligt presidentdekret (74). Enligt förtydliganden från nämnden för skydd av personuppgifter tolkas sexualliv som att det även omfattar individens sexuella läggning eller preferenser (75). I artikel 18 i genomförandedekretet utvidgas dessutom definitionen av känsliga uppgifter till att omfatta ytterligare kategorier, särskilt DNA-information som erhållits genom genetisk testning och uppgifter som utgör belastningsregister. Den senaste ändringen av genomförandedekretet till PIPA har ytterligare breddat begreppet känsliga uppgifter genom att även inbegripa personuppgifter som avslöjar ras eller etniskt ursprung och biometrisk information (76). Efter denna ändring är begreppet känsliga uppgifter enligt PIPA i huvudsak likvärdigt med det som anges i artikel 9 i förordning (EU) 2016/679.

(51)

Enligt artikel 23.1 i PIPA och på samma sätt som enligt artikel 9.1 i förordning (EU) 2016/679 är behandling av känsliga uppgifter i allmänhet förbjuden, såvida inte ett av de angivna undantagen är tillämpligt (77). Dessa begränsar behandlingen till fall där den personuppgiftsansvarige underrättar den registrerade i enlighet med artiklarna 15 och 17 i PIPA, och erhåller separat samtycke (dvs. åtskilt från samtycke för behandling av andra personuppgifter) eller där behandlingen krävs eller tillåts enligt lag. Myndigheter får också behandla biometrisk information, DNA-information som förvärvats genom genetisk testning, personuppgifter som avslöjar ras eller etniskt ursprung och uppgifter som utgör belastningsregister på sådana grunder som endast finns tillgängliga för dem (t.ex. när det är nödvändigt för utredning av brott eller när det krävs för att en domstol ska behandla ett ärende) (78). De rättsliga grunder som finns att tillgå för behandling av känsliga uppgifter är mer begränsade än för andra typer av personuppgifter och till och med mer restriktiva i sydkoreansk lagstiftning än enligt artikel 9.2 i förordning (EU) 2016/679.

(52)

Dessutom understryks i artikel 23.2 i PIPA den särskilda betydelsen av att säkerställa lämplig säkerhet vid hantering av känsliga uppgifter så att de ”inte kan gå förlorade, stjälas, spridas, förfalskas, ändras eller skadas”. Om detta inte efterlevs kan det leda till sanktioner (79). Även om detta är ett allmänt krav enligt artikel 29 i PIPA klargörs i artikel 3.4 att säkerhetsnivån måste anpassas till den typ av personuppgifter som behandlas, vilket innebär att de särskilda riskerna vid behandling av känsliga uppgifter ska beaktas. Dessutom ska behandling av personuppgifter alltid utföras ”på ett sätt som minimerar risken för överträdelser” av den registrerades privatliv och om möjligt ”med anonymitet” (artikel 3.6 och 3.7 i PIPA). Dessa krav är särskilt relevanta när behandlingen gäller känsliga uppgifter.

(53)

Personuppgifter ska samlas in för ett specifikt ändamål och på ett sätt som inte är oförenligt med ändamålet med behandlingen.

(54)

Denna princip säkerställs genom artikel 3.1 och 3.2 i PIPA enligt vilken personuppgiftsansvariga ”tydligt och klart” ska ange ändamålet med behandlingen, behandla personuppgifter på ett lämpligt sätt i enlighet med ändamålet och inte använda dem utöver detta ändamål. Den allmänna principen om ändamålsbegränsning bekräftas också i artiklarna 15.1, 18.1, 19, och för personuppgiftsbiträden (så kallade ”uppdragstagare”) i artikel 26.1 led 1, 26.5 och 26.7 i PIPA. I synnerhet får personuppgifter i princip endast användas och tillhandahållas tredje man inom ramen för det ändamål för vilket de samlades in (artiklarna 15.1 och 17.1 led 2). Behandling för ett förenligt ändamål, dvs. ”inom ramen för det tillämpningsområde som rimligen kan hänföras till insamlingsändamålet”, får endast ske om det inte inverkar negativt på de registrerade och om nödvändiga säkerhetsåtgärder (t.ex. kryptering) antas (artiklarna 15.3 och 17.4 i PIPA). För att fastställa om ytterligare behandling är för ett förenligt ändamål förtecknas i genomförandedekretet till PIPA särskilda kriterier som liknar dem som anges i artikel 6.4 i förordning (EU) 2016/679, se skäl 36.

(55)

Som framgår av förklaringen i skäl 38 är ändamålet med insamlingen när det gäller sydkoreanska personuppgiftsansvariga som tar emot personuppgifter från unionen det ändamål för vilket uppgifterna överförs. En personuppgiftsansvarig får endast ändra ändamålet i undantagsfall, i specifika (uppräknade) fall (artikel 18.2 led 1–3 i PIPA, se även skäl 39). I den mån en ändring av ändamålet är tillåten enligt lag måste sådana lagar i sin tur respektera den grundläggande rätten till integritet och dataskydd, samt principerna om nödvändighet och proportionalitet som fastställs i den sydkoreanska författningen. Dessutom föreskrivs i artikel 18.2 och 18.5 i PIPA ytterligare skyddsåtgärder, särskilt kravet att en sådan ändring av ändamålet inte får ”inkräkta på den registrerades intressen på ett otillbörligt sätt”, vilket således alltid kräver en avvägning av intressen. Detta ger en skyddsnivå som i huvudsak motsvarar den som anges i artikel 5.1 led b och artikel 6 jämförd med skäl 50 i förordning (EU) 2016/679.

(56)

Personuppgifter bör vara korrekta och vid behov hållas uppdaterade. De bör också vara adekvata, relevanta och begränsade till vad som krävs när det gäller de ändamål för vilka de behandlas.

(57)

Principen om korrekthet erkänns på samma sätt i artikel 3.3 i PIPA enligt vilken personuppgifter ska vara ”adekvata, fullständiga och uppdaterade i den utsträckning som krävs när det gäller de ändamål” för vilka uppgifterna behandlas. Uppgiftsminimering krävs enligt artiklarna 3.1, 3.6 och 16.1 i PIPA, där det föreskrivs att den personuppgiftsansvarige (endast) ska samla in personuppgifter ”i den minsta mån som krävs” för det avsedda ändamålet och att den personuppgiftsansvarige har bevisbördan i detta avseende. Om det är möjligt att uppfylla ändamålet med insamlingen genom att behandla uppgifter i anonymiserad form bör personuppgiftsansvariga sträva efter att göra detta (artikel 3.7 i PIPA).

(58)

Uppgifter ska i princip inte lagras under längre tid än vad som krävs för de ändamål för vilka personuppgifterna behandlas.

(59)

Principen om lagringsbegränsning föreskrivs på liknande sätt i artikel 21.1 i PIPA (80), enligt vilken den personuppgiftsansvarige ska ”förstöra” (81) personuppgifter utan dröjsmål när ändamålet med behandlingen har uppnåtts eller när lagringsperioden har löpt ut (beroende på vilket som infaller först), såvida inte ytterligare lagring krävs enligt lag (82). I det senare fallet ska relevanta personuppgifter ”lagras och hanteras åtskilt från andra personuppgifter” (artikel 21.3 i PIPA).

(60)

Artikel 21.1 i PIPA tillämpas inte när pseudonymiserade uppgifter behandlas för statistik, vetenskaplig forskning eller arkivändamål i allmänhetens intresse (83). För att säkerställa principen om begränsad lagring av uppgifter även i detta fall krävs enligt meddelande 2021-5 att personuppgiftsansvariga anonymiserar uppgifterna i enlighet med artikel 58-2 i PIPA om uppgifterna inte har förstörts när det särskilda ändamålet med behandlingen har uppfyllts (84).

(61)

Personuppgifter bör behandlas på ett sätt som säkerställer att säkerheten garanteras, vilket inbegriper skydd mot obehörig eller otillåten behandling och mot oavsiktlig förlust, förstöring eller skada. I detta syfte bör näringsidkare vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter från eventuella hot. Dessa åtgärder bör bedömas med beaktande av den senaste utvecklingen, relaterade kostnader och behandlingens art, omfattning, sammanhang och syfte samt riskerna för enskilda personers rättigheter.

(62)

En liknande säkerhetsprincip fastställs i artikel 3.4 i PIPA där det föreskrivs att personuppgiftsansvariga ska ”hantera personuppgifter säkert i enlighet med personuppgifternas behandlingsmetod, typ osv., med beaktande av risken för överträdelse av de registrerades rättigheter och hur allvarliga de relevanta riskerna är”. Den personuppgiftsansvarige ska dessutom ”behandla personuppgifter på ett sätt som minimerar risken för kränkning av den registrerades integritet” och i detta sammanhang sträva efter att behandla personuppgifter anonymt eller i pseudonymiserad form, om möjligt (artikel 3.6 och 3.7 i PIPA).

(63)

Dessa allmänna krav beskrivs närmare i artikel 29 i PIPA, enligt vilken varje personuppgiftsansvarig ”ska vidta sådana tekniska, förvaltningsmässiga och fysiska åtgärder (som att upprätta en intern förvaltningsplan och bevara inloggningsregister osv.) som krävs för att garantera säkerheten såsom anges i presidentdekret, så att personuppgifterna inte går förlorade, stjäls, sprids, förfalskas, ändras eller skadas”. I artikel 30.1 i genomförandedekretet till PIPA anges dessa åtgärder genom hänvisning till 1) utarbetande och genomförande av en intern förvaltningsplan för säker behandling av personuppgifter, 2) tillträdeskontroller och -begränsningar, 3) införande av krypteringsteknik för säker lagring och överföring av personuppgifter, 4) inloggningsregister, 5) säkerhetsprogram och 6) fysiska åtgärder, t.ex. ett säkert lagrings- eller låsningssystem (85).

(64)

Dessutom gäller särskilda skyldigheter om en uppgiftsincident inträffar (artikel 34 i PIPA jämförd med artiklarna 39 och 40 i genomförandedekretet till PIPA) (86). Den personuppgiftsansvarige är särskilt skyldig att utan dröjsmål underrätta påverkade registrerade om incidenten (87), däribland information om (obligatoriska) motåtgärder som den personuppgiftsansvarige har vidtagit och vad de registrerade kan göra för att minimera risken för skada (artikel 34.1 och 34.2 i PIPA) (88). Om uppgiftsincidenten berör minst 1 000 registrerade ska den personuppgiftsansvarige utan dröjsmål också rapportera uppgiftsincidenten och de motåtgärder som vidtagits till nämnden för skydd av personuppgifter och Sydkoreas byrå för internet och säkerhet, som kan tillhandahålla tekniskt bistånd (artikel 34.3 i PIPA jämförd med artikel 39 i genomförandedekretet till PIPA). Personuppgiftsansvariga är ansvariga för skada till följd av uppgiftsincidenter, i enlighet med bestämmelserna i civillagen om skadeståndsansvar (se även avsnitt 2.5 om rättslig prövning) (89).

(65)

För att uppfylla sina säkerhetsförpliktelser måste den personuppgiftsansvarige biträdas av en dataskyddsansvarig, vars uppgifter bl.a. är att bygga upp ett internt kontrollsystem ”för att förhindra spridning, missbruk och felaktig användning av personuppgifter” (artikel 31.2 led 4 i PIPA). Den personuppgiftsansvarige är dessutom skyldig att utföra ”lämplig kontroll och tillsyn” av personal som behandlar personuppgifter, bl.a. vad gäller säker hantering. Detta omfattar nödvändig utbildning av anställda (artikel 28.1 och 28.2 i PIPA). Slutligen måste den personuppgiftsansvarige vid underentreprenad införa krav på bl.a. ”uppdragstagaren” när det gäller säker hantering av personuppgifter (”tekniska och förvaltningsmässiga skyddsåtgärder”) och övervaka hur dessa efterlevs med hjälp av kontroller (artikel 26.1 och 26.4 i PIPA jämförd med artikel 28.1 led 3 och 4 samt 28.6 i genomförandedekretet till PIPA).

(66)

De registrerade bör underrättas om de viktigaste dragen i behandlingen av deras personuppgifter.

(67)

Detta garanteras på olika sätt i det sydkoreanska systemet. Förutom rätten till information enligt artikel 4 led 1 (i allmänhet) och artikel 20.1 i PIPA (för personuppgifter som samlas in från tredje part), samt rätten till tillgång enligt artikel 35 i PIPA, innehåller PIPA ett allmänt öppenhetskrav när det gäller ändamålet med behandlingen (artikel 3.1 i PIPA) och särskilda öppenhetskrav om behandlingen grundas på samtycke (artiklarna 15.2, 17.2 och 18.3 i PIPA) (90). Dessutom krävs enligt artikel 20.2 i PIPA att vissa personuppgiftsansvariga – där behandlingen överskrider vissa tröskelvärden (91) – underrättar den registrerade vars personuppgifter de har mottagit från en tredje part om informationskällan, ändamålet med behandlingen och den registrerades rätt att begära att behandlingen upphör, såvida inte en sådan underrättelse visar sig vara omöjlig på grund av att kontaktuppgifter saknas. Undantag gäller för vissa personuppgiftsregister som innehas av myndigheter, särskilt sådana som innehåller uppgifter som behandlas för ändamål som rör den nationella säkerheten, andra särskilt viktiga (”allvarliga”) nationella intressen eller brottsbekämpande ändamål, eller när underrättelse sannolikt kan skada en annan persons liv eller kropp, eller otillbörligt skadar en annan persons äganderätt och andra intressen, dock endast när de berörda offentliga eller privata intressena är ”uppenbart överordnade” (artikel 20.4 i PIPA). Detta kräver en avvägning av intressen.

(68)

Dessutom föreskrivs i artikel 3.5 i PIPA att personuppgiftsansvariga ska offentliggöra sin integritetspolicy (och andra frågor som rör behandling av personuppgifter). Detta krav specificeras närmare i artikel 30 i PIPA jämförd med artikel 31 i genomförandedekretet till PIPA. Enligt dessa bestämmelser måste den allmänna integritetspolicyn bl.a. omfatta 1) de typer av personuppgifter som behandlas, 2) ändamålet med behandlingen, 3) lagringsperioden, 4) huruvida personuppgifter tillhandahålls en tredje part (92), 5) eventuell underentreprenad, 6) information om den registrerades rättigheter och hur de ska utövas och 7) kontaktinformation (däribland den dataskyddsansvariges namn eller den interna avdelning som ansvarar för att säkerställa efterlevnaden av dataskyddet och hantering av klagomål). Integritetspolicyn måste göras tillgänglig för allmänheten på ett sådant sätt att registrerade ”lätt kan känna igen den” (artikel 30.2 i PIPA) (93) och måste uppdateras kontinuerligt (artikel 31.2 i genomförandedekretet till PIPA).

(69)

Offentliga institutioner omfattas av en ytterligare skyldighet att registrera information hos nämnden för skydd av personuppgifter, särskilt följande: 1) den offentliga institutionens namn, 2) grunderna för och ändamålen med behandlingen av personuppgiftsregistret, 3) information om de personuppgifter som registreras, 4) behandlingsmetoden, 5) lagringstiden, 6) antalet registrerade vars personuppgifter lagras, 7) avdelningen som hanterar registrerades begäranden och 8) mottagare av personuppgifter om uppgifter tillhandahålls rutinmässigt eller upprepade gånger (artikel 32-1 i PIPA) (94). Registrerade personuppgiftsregister offentliggörs av nämnden för skydd av personuppgifter och offentliga institutioner måste hänvisa till dem i sin integritetspolicy (artiklarna 30.1 och 32.4 i PIPA).

(70)

För att öka öppenheten för registrerade i unionen vars personuppgifter överförs till Sydkorea på grundval av detta beslut införs ytterligare krav på öppenhet i avsnitt 3 i och 3 ii i meddelande 2021-5 (bilaga I). För det första ska sydkoreanska personuppgiftsansvariga när de tar emot personuppgifter från unionen på grundval av detta beslut utan onödigt dröjsmål (och under alla omständigheter senast en månad efter överföringen) underrätta de berörda registrerade om namn och kontaktuppgifter för de enheter som överför och tar emot uppgifterna, de personuppgifter (eller kategorier av personuppgifter) som överförts, den sydkoreanska personuppgiftsansvariges ändamål med insamlingen, lagringstiden och de rättigheter som är tillgängliga enligt PIPA. För det andra måste de registrerade underrättas om bl.a. följande när personuppgifter som mottagits från unionen på grundval av detta beslut tillhandahålls tredje part: mottagaren, de personuppgifter (eller kategorier av personuppgifter) som ska tillhandahållas, det land till vilket uppgifterna översänds (om tillämpligt) samt de rättigheter som är tillgängliga enligt PIPA (95). Meddelandet säkerställer därmed att enskilda personer i EU fortsatt informeras om de specifika personuppgiftsansvariga som behandlar deras uppgifter och kan utöva sina rättigheter gentemot de berörda enheterna.

(71)

I avsnitt 3 iii i meddelande (bilaga I) tillåts vissa begränsade och kvalificerade undantag från dessa ytterligare krav på öppenhet som i huvudsak motsvarar dem som föreskrivs i förordning (EU) 2016/679. I synnerhet krävs inte att registrerade i unionen underrättas 1) om och så länge som det är nödvändigt att begränsa underrättelsen av vissa skäl relaterade till allmänintresset (t.ex. om uppgifterna behandlas för ändamål som rör nationell säkerhet eller pågående brottsutredningar), i den mån dessa mål av allmänt intresse är uppenbart överordnade den registrerades rättigheter, 2) om den registrerade redan förfogar över informationen, 3) om och så länge som underrättelsen sannolikt skulle skada den enskildes eller en annan persons liv eller kropp, eller utgöra en otillbörlig överträdelse av en annan persons egendomsintressen, om dessa rättigheter eller intressen är uppenbart överordnade den registrerades rättigheter, eller 4) om det inte finns några kontaktuppgifter för de berörda personerna, eller om det skulle krävas en oproportionerlig ansträngning för att underrätta dem. Vid bedömningen av om det är möjligt att kontakta den registrerade eller om detta innebär alltför stora ansträngningar ska hänsyn tas till möjligheten att samarbeta med uppgiftsutföraren i unionen.

(72)

Reglerna i skälen 67–71 säkerställer därför en skyddsnivå när det gäller öppenhet som i huvudsak motsvarar den som föreskrivs i förordning (EU) 2016/679.

(73)

De registrerade bör ha vissa rättigheter som kan göras gällande mot den personuppgiftsansvariga eller personuppgiftsbiträdet, särskilt rätten till tillgång till uppgifter, rätten till rättelse, rätten att invända mot behandlingen och rätten att få uppgifter raderade. Samtidigt kan sådana rättigheter vara föremål för begränsningar i den mån sådana begränsningar är nödvändiga och proportionerliga för att skydda viktiga mål av allmänt intresse.

(74)

Enligt artikel 3.5 I PIPA ska den personuppgiftsansvarige garantera registrerade de rättigheter som anges i artikel 4 i PIPA och som specificeras närmare i artiklarna 35–37, 39 och 39-2 i PIPA.

(75)

För det första har enskilda personer rätt till information och tillgång. När den personuppgiftsansvarige har samlat in personuppgifter från en tredje part (vilket alltid kommer att vara fallet när uppgifterna överförs från unionen) har registrerade i allmänhet rätt att få information om 1) källan till de personuppgifter som samlats in (dvs. den överförande parten), 2) ändamålet med behandlingen och 3) det faktum att den registrerade har rätt att begära att behandlingen upphör (artikel 20.1 i PIPA). Begränsade undantag gäller, nämligen om en sådan underrättelse sannolikt skulle skada en annan persons liv eller kropp, eller ”orättfärdigt skada en annan persons äganderätt och andra intressen”, men endast om dessa tredje parters intressen är ”uttryckligen överordnade” den registrerades rättigheter (artikel 20.4 led 2 i PIPA).

(76)

Dessutom ger artikel 35.1 och 35.3 i PIPA jämförd med artikel 41.4 i genomförandedekretet till PIPA registrerade personer rätt att få tillgång till sina personuppgifter (96). Rätten till tillgång omfattar bekräftelse på behandlingen, information om vilken typ av uppgifter som behandlats, ändamålet med behandlingen, lagringstiden samt varje utlämnande till tredje part och tillhandahållande av en kopia av de personuppgifter som behandlas (artikel 4 led 3 i PIPA jämförd med artikel 41.1 i genomförandedekretet till PIPA) (97). Tillgången får begränsas (delvis tillgång) (98) eller nekas endast om detta föreskrivs i lag (99), om det sannolikt skulle orsaka skada på en tredje parts liv eller kropp eller en omotiverad kränkning av en annan persons äganderätt eller andra intressen (artikel 35.4 i PIPA) (100). Det senare innebär att en avvägning bör göras mellan den enskilda personens konstitutionellt skyddade rättigheter och friheter å ena sidan, och andra personers sådana å andra sidan. Om tillgång begränsas eller nekas måste den personuppgiftsansvarige underrätta den registrerade om skälen till detta och hur beslutet kan överklagas (artiklarna 41.5 och 42.2 i genomförandedekretet till PIPA).

(77)

För det andra har registrerade rätt till rättelse eller radering (101) av sina personuppgifter, ”om inte annat uttryckligen anges i annan lagstiftning” (artikel 36.1 och 36.2 i PIPA) (102). Efter att ha mottagit en begäran ska den personuppgiftsansvarige utan dröjsmål utreda frågan, vidta nödvändiga åtgärder (103) och underrätta den registrerade om detta inom tio dagar. Om begäran inte kan beviljas omfattar detta krav på underrättelse skälen till avslaget och hur man kan överklaga (se artikel 36.4 i PIPA jämförd med artikel 43.3 i genomförandedekretet till PIPA) (104).

(78)

Slutligen har registrerade rätt till att behandlingen av deras personuppgifter upphör utan dröjsmål (105), såvida inte ett av de uppräknade undantagen är tillämpligt (artikel 37.1 och 37.2 i PIPA) (106). Den personuppgiftsansvarige får neka en sådan begäran 1) om detta uttryckligen tillåts enligt lag eller är nödvändigt (”oundvikligt”) för att uppfylla rättsliga skyldigheter, 2) om upphörande sannolikt skulle orsaka skada på en tredje parts liv eller kropp, eller en omotiverad kränkning av en annan persons äganderätt och andra intressen, 3) om det skulle vara omöjligt för en offentlig institution att fullgöra sina uppgifter enligt lag utan att behandla uppgifterna, eller 4) om den registrerade underlåter att uttryckligen häva det underliggande avtalet med den personuppgiftsansvariga även om det inte skulle vara praktiskt möjligt att genomföra avtalet utan sådan behandling av uppgifter. I detta fall måste den personuppgiftsansvarige utan dröjsmål underrätta den registrerade om skälen till avslaget och hur man kan överklaga (artikel 37.2 i PIPA jämförd med artikel 44.2 i genomförandedekretet till PIPA). Enligt artikel 37.4 i PIPA måste den personuppgiftsansvarige utan dröjsmål ”vidta nödvändiga åtgärder, inklusive förstöring av relevanta personuppgifter” för att uppfylla kraven i begäran om upphörande (107).

(79)

Rätten till upphörande gäller också när personuppgifter används för direkt marknadsföring, dvs. för att främja försäljning av varor eller tjänster, eller för att försöka få till stånd köp av dessa. Sådan ytterligare behandling kräver dessutom i allmänhet den registrerades specifika (ytterligare) samtycke (se artikel 15.1 led 1, artikel 17.2 led 1 i PIPA) (108). När den personuppgiftsansvarige begär detta samtycke måste den registrerade i synnerhet informeras om hur uppgifterna avses att användas för direkt marknadsföring (dvs. det faktum att han eller hon kan komma att kontaktas vid marknadsföring av varor eller tjänster eller värvning för köp av dessa) på ett ”tydligt och igenkännligt sätt” (artikel 22.2 och 22.4 i PIPA jämförd med artikel 17.2 led 1 i genomförandedekretet till PIPA).

(80)

För att underlätta utövandet av enskildas rättigheter måste den personuppgiftsansvarige inrätta särskilda förfaranden och offentliggöra dem (artikel 38.4 i PIPA) (109). Detta inbegriper förfaranden för att göra invändningar mot avslag på en begäran (artikel 38.5 i PIPA). Den personuppgiftsansvarige ska säkerställa att förfarandet för utövande av rättigheter är användarvänligt med avseende på de registrerade och inte svårare än förfarandet för insamling av personuppgifter. Detta inbegriper även skyldigheten att lämna information om förfarandet på den egna webbplatsen (artiklarna 41.2, 43.1 och 44.1 i genomförandedekretet till PIPA) (110). Enskilda personer kan ge en företrädare tillstånd att lämna in en sådan begäran (artikel 38.1 i PIPA jämförd med artikel 45 i genomförandedekretet till PIPA). Den personuppgiftsansvarige har rätt att ta ut en avgift (och vid begäran om att skicka kopior av personuppgifter även porto) men beloppet ska fastställas ”inom de faktiska kostnaderna för behandlingen av [begäran]”. Ingen avgift (eller porto) får tas ut om den personuppgiftsansvarige har orsakat begäran (artikel 38.3 i PIPA jämförd med artikel 47 i genomförandedekretet till PIPA).

(81)

PIPA och genomförandedekretet saknar allmänna bestämmelser avseende beslut som påverkar den registrerade och uteslutande grundar sig på automatisk behandling av personuppgifter. Vad gäller personuppgifter som samlats in i unionen kommer dock de beslut som bygger på automatisk insamling normalt att fattas av den personuppgiftsansvarige i unionen (som har en direkt förbindelse med berörd registrerad) och omfattas därför av förordning (EU) 2016/679 (111). Detta inbegriper fall av överföringar i vilka behandlingen sköts av en utländsk (t.ex. sydkoreansk) näringsidkare i en funktion som agent (personuppgiftsbiträde) på uppdrag av den personuppgiftsansvarige i unionen (eller som underentreprenör på uppdrag av unionens personuppgiftsbiträde, som tagit emot uppgifterna från en personuppgiftsansvarig i unionen som samlat in dem) som sedan fattar beslut på denna grundval. Avsaknaden av särskilda regler om automatiserat beslutsfattande i PIPA kommer därför sannolikt inte att påverka omfattningen av skyddet av personuppgifter som överförs enligt detta beslut.

(82)

Som ett undantag är bestämmelserna om öppenhet på begäran (artikel 20) och enskildas rättigheter (artiklarna 35–37) samt kravet på individuell underrättelse för leverantörer av informations- och kommunikationstjänster (artikel 39-8 i PIPA) inte tillämpliga på pseudonymiserade uppgifter när de behandlas för ändamål som rör statistik, vetenskaplig forskning eller arkivändamål i allmänhetens intresse (artikel 28-7 i PIPA) (112). I linje med artikel 11.2 (med skäl 57) i förordning (EU) 2016/679 motiveras detta med att den personuppgiftsansvarige för att säkerställa öppenhet eller bevilja individuella rättigheter skulle behöva identifiera om några (och om så är fallet vilka) uppgifter är kopplade till den enskilda person som lämnar in begäran, vilket är uttryckligen förbjudet enligt PIPA (artikel 28-5.1 i PIPA). Om en sådan återidentifiering upphäver pseudonymiseringen av hela (den pseudonymiserade) datauppsättningen skulle detta dessutom innebära att alla de berörda individernas personuppgifter utsätts för ökade risker. Medan det i förordning (EU) 2016/679 hänvisas till situationer där återidentifiering är praktiskt taget omöjlig, tillämpas en strängare strategi i PIPA genom att återidentifiering uttryckligen förbjuds i alla situationer där pseudonymiserade uppgifter behandlas.

(83)

Det sydkoreanska systemet, såsom det beskrivs i skälen 74–82, innehåller därför regler om registrerade personers rättigheter som ger en skyddsnivå som i huvudsak motsvarar den som fastställs i förordning (EU) 2016/679.

(84)

Den erforderliga skyddsnivån för personuppgifter som överförs från unionen till personuppgiftsansvariga i Sydkorea får inte undergrävas av ytterligare överföring av personuppgifter till mottagare i ett tredjeland.

(85)

Sådana ”vidare överföringar” utgör internationella överföringar från Sydkorea ur den sydkoreanska personuppgiftsansvariges perspektiv. I detta avseende görs i PIPA en åtskillnad mellan utkontraktering av behandling till en uppdragstagare (dvs. ett personuppgiftsbiträde) och tillhandahållande av personuppgifter till tredje part (113).

(86)

För det första måste den sydkoreanska personuppgiftsansvarige vid utkontraktering av behandling av personuppgifter till en enhet i ett tredjeland se till att bestämmelserna i PIPA avseende utkontraktering efterlevs (artikel 26 i PIPA). Detta inbegriper införande av ett rättsligt bindande instrument genom vilket bl.a. uppdragstagarens behandling begränsas till det utkontrakterade arbetets ändamål, tekniska och administrativa skyddsåtgärder införs och underentreprenad begränsas (se artikel 26.1 i PIPA) tillsammans med en begränsning av offentliggörande av information om det utkontrakterade arbetet. Den personuppgiftsansvarige är dessutom skyldig att ge uppdragstagaren ”utbildning” om nödvändiga säkerhetsåtgärder och att bl.a. genom kontroller övervaka efterlevnaden av alla den personuppgiftsansvariges skyldigheter enligt PIPA (114) samt enligt avtalet om utkontraktering.

(87)

Om uppdragstagaren orsakar skada genom att behandla personuppgifter i strid med PIPA kommer detta att tillskrivas den personuppgiftsansvarige när det gäller ansvarsfrågan, vilket skulle vara fallet med den personuppgiftsansvariges anställda (artikel 26.6 i PIPA). Den sydkoreanska personuppgiftsansvarige är därför fortsatt ansvarig för de personuppgifter som har utkontrakterats och måste säkerställa att det utomeuropeiska personuppgiftsbiträdet behandlar uppgifterna i enlighet med PIPA. Om uppdragstagaren behandlar uppgifterna i strid med PIPA kan Sydkoreas personuppgiftsansvarige hållas ansvarig för underlåtenhet att uppfylla sin skyldighet att säkerställa efterlevnad av PIPA, t.ex. genom sin övervakning av uppdragstagaren. De skyddsåtgärder som ingår i avtalet om utkontraktering och Sydkoreas personuppgiftsansvariges ansvar för uppdragstagarens verksamhet säkerställer kontinuitet i skyddet när behandling av personuppgifter utkontrakteras till enheter utanför Sydkorea.

(88)

För det andra kan sydkoreanska personuppgiftsansvariga lämna ut personuppgifter till en tredje part utanför Sydkorea. Även om PIPA innehåller ett antal rättsliga grunder som möjliggör tillhandahållande till tredje part generellt sett måste den personuppgiftsansvarige om den tredje parten finns utanför Sydkorea i princip (115) erhålla den registrerades samtycke (116) efter att ha underrättat den registrerade om 1) typen av personuppgifter, 2) mottagaren av personuppgifterna, 3) ändamålet med överföringen, vilket innebär ändamålet med mottagarens behandling, 4) lagringstiden för mottagarens behandling samt 5) det faktum att den registrerade får vägra att ge sitt samtycke (artikel 17.2, 17.3 i PIPA). Enligt meddelande 2021-5, i avsnittet om öppenhet (se skäl 70), krävs att enskilda personer informeras om det tredjeland till vilket deras uppgifter kommer att lämnas. Detta säkerställer att registrerade i unionen kan fatta ett fullständigt informerat beslut om huruvida de samtycker till att uppgifterna lämnas ut till utlandet eller inte. Dessutom får den personuppgiftsansvarige inte ingå avtal med mottagande tredje part i strid med PIPA, vilket innebär att avtalet inte får innehålla skyldigheter som skulle strida mot de krav som ställs på den personuppgiftsansvarige enligt PIPA (117).

(89)

Utan den enskilda personens samtycke får personuppgifter tillhandahållas en tredje part (utomlands) om ändamålet med utlämnandet fortfarande är ”inom ramen för det tillämpningsområde som rimligen kan hänföras till insamlingsändamålet” (artikel 17.4 i PIPA, se skäl 36). Vid beslut om utlämnande av personuppgifter för ett ”närbesläktat” ändamål måste den personuppgiftsansvarige dock beakta huruvida utlämnandet av uppgifterna medför nackdelar för den enskilda personen och huruvida nödvändiga säkerhetsåtgärder (t.ex. kryptering) har vidtagits. Med tanke på att det tredjeland till vilket personuppgifter överförs eventuellt inte erbjuder skydd liknande dem som tillhandahålls enligt PIPA, erkänns det i avsnitt 2 i meddelande 2021-5 att sådana nackdelar kan uppstå och att de endast kan undvikas om den sydkoreanska personuppgiftsansvarige och den utomeuropeiska mottagaren säkerställer en skyddsnivå som motsvarar den i PIPA genom ett rättsligt bindande instrument (t.ex. ett avtal), även med avseende på de registrerades rättigheter.

(90)

Särskilda regler gäller för offentliggörande som går utanför ändamålet, dvs. tillhandahållande av uppgifter till en tredje part för ett nytt (icke-närbesläktat) ändamål, vilket endast får ske på grundval av något av de skäl som anges i artikel 18.2 i PIPA, såsom beskrivs i skäl 39. Även under dessa förhållanden är dock tillhandahållande till tredje part endast tillåtet om det är osannolikt att det ”otillbörligt överträder” den registrerades eller tredje parts intressen, vilket kräver en avvägning av intressen. Dessutom måste den personuppgiftsansvarige enligt artikel 18.5 i PIPA tillämpa ytterligare skyddsåtgärder, vilket kan inbegripa en begäran till den tredje parten om att begränsa ändamålet med och metoden för behandlingen eller att införa särskilda säkerhetsåtgärder. Återigen, med tanke på att det tredjeland till vilket personuppgifter överförs eventuellt inte erbjuder skydd liknande dem som tillhandahålls enligt PIPA. erkänns det i avsnitt 2 i meddelande 2021-5 att ”otillbörlig överträdelse” av den enskilda personens eller tredje parts intressen kan uppstå och att det endast kan undvikas om den sydkoreanska personuppgiftsansvarige och den utomeuropeiska mottagaren säkerställer en skyddsnivå som motsvarar den i PIPA genom ett rättsligt bindande instrument (t.ex. ett avtal). Detta även med avseende på de registrerades rättigheter.

(91)

Reglerna i skälen 86–90 säkerställer därmed kontinuitet i skyddet när personuppgifter överförs vidare (till en ”uppdragstagare” eller en tredje part) från Sydkorea på ett sätt som i huvudsak motsvarar vad som föreskrivs i förordning (EU) 2016/679.

(92)

Enligt principen om ansvarsskyldighet är enheter som behandlar uppgifter skyldiga att införa lämpliga tekniska och organisatoriska åtgärder för att effektivt fullgöra sina skyldigheter att skydda uppgifter och kunna uppvisa sådan överensstämmelse, särskilt för den behöriga tillsynsmyndigheten.

(93)

Enligt artikel 3.6 och 3.8 i PIPA ska den personuppgiftsansvarige behandla personuppgifter ”på ett sätt som minimerar risken för överträdelse” av den registrerades integritet och sträva efter att få den registrerades förtroende genom att iaktta och fullgöra de uppgifter och ansvarsområden som anges i PIPA och andra relaterade lagar. Detta inbegriper upprättandet av en intern förvaltningsplan (artikel 29 i PIPA) samt lämplig utbildning och övervakning av de anställda (artikel 28 i PIPA).

(94)

För att säkerställa ansvarsskyldighet införs genom artikel 31 i PIPA jämförd med artikel 32 i genomförandedekretet till PIPA en skyldighet för personuppgiftsansvariga att utse en dataskyddsansvarig som ”på ett heltäckande sätt ansvarar för behandlingen av personuppgifter”. En dataskyddsansvarig har i synnerhet följande uppgifter: 1) upprätta och genomföra en plan för skydd av personuppgifter och utarbeta en integritetspolicy, 2) genomföra regelbundna undersökningar om status och praxis vid behandling av personuppgifter i syfte att förbättra eventuella brister, 3) hantera klagomål och kompensation, 4) inrätta ett internt kontrollsystem för att förhindra att personuppgifter röjs, missbrukas eller används felaktigt, 5) förbereda och genomföra ett utbildningsprogram, 6) skydda, kontrollera och hantera personuppgiftsregister och 7) förstöra personuppgifter när ändamålet med behandlingen har uppnåtts eller lagringstiden har löpt ut. Vid fullgörande av dessa uppgifter får den dataskyddsansvarige kontrollera tillståndet hos behandlingen av personuppgifter och tillhörande system och begära information om detta (artikel 31.3 i PIPA). Om den dataskyddsansvarige får kännedom om någon överträdelse av PIPA eller andra relevanta dataskyddslagar ska han eller hon omedelbart vidta korrigerande åtgärder och rapportera dessa åtgärder till den personuppgiftsansvariges ledning (”chef”) vid behov (artikel 31.4 i PIPA). Enligt artikel 31.5 i PIPA får den dataskyddsansvarige inte drabbas av omotiverade nackdelar till följd av utförandet av dessa uppgifter.

(95)

Dessutom måste personuppgiftsansvariga proaktivt sträva efter att genomföra en konsekvensbedömning av inverkan på integritetsskyddet om användningen av personuppgiftsregister medför en risk för den personliga integriteten (artikel 33.8 i PIPA). På grundval av artikel 33.1 och 33.2 i PIPA jämförd med artiklarna 35, 36 och 38 i genomförandedekretet till PIPA kommer faktorer som de behandlade uppgifternas typ och beskaffenhet (särskilt huruvida de utgör känslig information), volym och lagringsperiod samt sannolikheten för uppgiftsincidenter att vara relevanta vid bedömningen av graden av risk för de registrerades rättigheter. Syftet med konsekvensbedömningen av inverkan på integritetsskyddet är att se till att riskfaktorerna avseende personlig integritet samt eventuella säkerhetsåtgärder eller andra motåtgärder analyseras, och att ange områden som behöver förbättras (se artikel 33.1 i PIPA jämförd med artikel 38 i genomförandedekretet till PIPA).

(96)

Offentliga institutioner är skyldiga att genomföra en konsekvensbedömning vid behandling av vissa personuppgiftsregister som medför en större risk för eventuella kränkningar av integriteten (artikel 33.1 i PIPA). I enlighet med artikel 35 i genomförandedekretet till PIPA gäller detta bl.a. för register som innehåller känsliga uppgifter om minst 50 000 registrerade, register som kommer att matchas med andra register och som en följd av detta kommer att innehålla uppgifter om minst 500 000 registrerade eller register som innehåller uppgifter om minst en miljon registrerade. Resultatet av en konsekvensbedömning som utförs av en offentlig institution måste meddelas nämnden för skydd av personuppgifter (artikel 33.1 i PIPA), som får avge ett yttrande (artikel 33.3 i PIPA).

(97)

Slutligen föreskrivs i artikel 13 i PIPA att nämnden för skydd av personuppgifter ska fastställa de riktlinjer som krävs för att främja och stödja ”självreglerande dataskyddsverksamhet” som utförs av personuppgiftsansvariga, bl.a. genom utbildning om dataskydd, främjande av och stöd till organisationer som arbetar med dataskydd och genom att hjälpa personuppgiftsansvariga att fastställa och genomföra självreglerande regler. Den ska dessutom införa och underlätta systemet för e-integritet. I detta avseende ges i artikel 32-2 i PIPA jämförd med artiklarna 34-2–34-8 i genomförandedekretet till PIPA möjligheten att intyga att en personuppgiftsansvarigs system för behandling och skydd av personuppgifter uppfyller kraven i PIPA. Enligt dessa regler kan en certifiering (118) beviljas (för en period på tre år) om den personuppgiftsansvarige uppfyller de certifieringskriterier som har fastställts av nämnden för skydd av personuppgifter, däribland inrättande av administrativa, tekniska och fysiska skyddsåtgärder för att skydda personuppgifter (119). Nämnden för skydd av personuppgifter måste minst en gång om året granska den personuppgiftsansvariges system som är relevanta för certifieringen för att upprätthålla dess effektivitet, vilket kan leda till att certifieringen återkallas (artikel 32.4 i PIPA jämförd med artikel 34-5 i genomförandedekretet till PIPA; så kallad uppföljningshantering).

(98)

Inom den sydkoreanska ramen genomförs därför principen om ansvarsskyldighet på ett sätt som säkerställer en skyddsnivå som i huvudsak motsvarar den som fastställs i förordning (EU) 2016/679, bl.a. genom att tillhandahålla olika mekanismer för att säkerställa och påvisa överensstämmelse med PIPA.

(99)

Så som beskrivs i skäl 13 fastställs i lagen om användning och skydd av kreditinformation särskilda regler för kommersiella operatörers behandling av personlig kreditinformation. Vid behandling av personlig kreditinformation måste de kommersiella operatörerna därför uppfylla de allmänna kraven i PIPA, såvida inte lagen om användning och skydd av kreditinformation innehåller mer specifika regler. Detta är t.ex. fallet när de behandlar uppgifter som rör ett kreditkort eller bankkonto i samband med en affärstransaktion med en enskild person. Som sektorslagstiftning för behandling av kreditinformation (både personlig och icke-personlig) införs genom lagen om användning och skydd av kreditinformation inte bara särskilda garantier för dataskydd (t.ex. i fråga om öppenhet och säkerhet), utan mer allmänt regleras där även de särskilda omständigheter under vilka personlig kreditinformation får behandlas. Detta återspeglas särskilt i de detaljerade kraven för användning, tillhandahållande av uppgifter till tredje part och lagring av sådana uppgifter.

(100)

Liksom PIPA återspeglas i lagen om användning och skydd av kreditinformation principen om laglighet och proportionalitet. För det första, som ett allmänt krav, tillåts enligt artikel 15.1 i lagen om användning och skydd av kreditinformation endast insamling av personlig kreditinformation på rimliga och korrekta sätt och i den minsta mån som krävs för att tjäna ett bestämt syfte, i enlighet med artikel 3.1–3.2 i PIPA. För det andra regleras i lagen om användning och skydd av kreditinformation specifikt lagligheten i behandlingen av personlig kreditinformation genom att begränsa dess insamling, användning och tillhandahållande till tredje part, och denna behandling binds generellt sett till den berörda personens samtycke.

(101)

Personlig kreditinformation får samlas in på grundval av ett av de skäl som anges i PIPA eller på de särskilda grunder som anges i lagen om användning och skydd av kreditinformation. Eftersom artikel 45 i förordning (EU) 2016/679 förutsätter att en personuppgiftsansvarig eller ett personuppgiftsbiträde i unionen överför personuppgifter, vilket inte omfattar direkt insamling (t.ex. från en enskild person eller en webbplats) som utförs av en personuppgiftsansvarig i Sydkorea, är endast samtycke och de skäl som finns tillgängliga enligt PIPA relevanta för detta beslut. Dessa skäl omfattar i synnerhet scenarier där överföringen är nödvändig för att fullgöra ett avtal med den enskilde eller för den sydkoreanska personuppgiftsansvariges berättigade intressen (artikel 15.1 led 4 och 6 i PIPA) (120).

(102)

Efter insamling kan personlig kreditinformation användas 1) för det ursprungliga ändamål för vilket den enskilda personen (direkt) tillhandahöll den (121), 2) för ett ändamål som är förenligt med det ursprungliga ändamålet med insamlingen (122), 3) för att fastställa om ett affärsförhållande som begärts av den enskilda personen ska upprättas eller upprätthållas (123), 4) för statistik, forskning och arkivändamål i allmänhetens intresse (124) om uppgifterna är pseudonymiserade (125), 5) om ytterligare samtycke erhålls, eller 6) i enlighet med lagen.

(103)

Om en kommersiell operatör har för avsikt att lämna ut personlig kreditinformation till en tredje part måste denne inhämta den enskilda personens samtycke (126) efter att ha underrättat personen om uppgifterna, ändamålet med mottagarens behandling, vilka uppgifter som ska lämnas, mottagarens lagringsperiod och rätten att vägra samtycke (artikel 32.1 lagen om användning och skydd av kreditinformation och artikel 28.2 i genomförandedekretet till lagen om användning och skydd av kreditinformation) (127). Detta krav på samtycke gäller inte i särskilda situationer, nämligen när personlig kreditinformation lämnas ut i följande fall (128): 1) till en uppdragstagare vid utkontraktering (129), 2) till en tredje part vid företagsöverlåtelse, fission eller fusion, 3) för statistik, vetenskaplig forskning och arkivändamål i allmänhetens intresse, om uppgifterna är pseudonymiserade, 4) för ett ändamål som är förenligt med det ursprungliga ändamålet med insamlingen, 5) till en tredje part som använder uppgifterna för att inkassera en skuld som personen är skyldig (130), 6) för att följa ett domstolsbeslut, 7) till en åklagare eller tjänsteman vid kriminalpolisen i en nödsituation där den enskildes liv är i fara eller där han eller hon förväntas lida kroppsskada och där det inte finns tid att utfärda ett domstolsbeslut (131), 8) till behöriga skattemyndigheter för att följa skattelagstiftningen, eller 9) i enlighet med andra lagar. Om utlämning sker på grundval av ett av dessa skäl ska den registrerade underrättas i förväg (artikel 32.7 i lagen om användning och skydd av kreditinformation).

(104)

I lagen om användning och skydd av kreditinformation regleras också uttryckligen hur länge personlig kreditinformation ska behandlas på grundval av ett av dessa skäl för användning eller tillhandahållande till tredje part efter det att affärsförbindelsen med den enskilda personen har upphört (132). Endast uppgifter som var nödvändiga för att upprätta eller bibehålla detta förhållande får lagras, med förbehåll för ytterligare skyddsåtgärder (de måste bevaras åtskilt från kreditinformation som rör enskilda personer med vilka ett affärsförhållande pågår, skyddas av särskilda säkerhetsåtgärder och endast vara tillgängliga för behöriga personer) (133). Alla andra uppgifter måste raderas (artikel 17-2.1 led 2 i genomförandedekretet till lagen om användning och skydd av kreditinformation). För att fastställa vilka uppgifter som var nödvändiga för affärsförbindelsen måste olika faktorer beaktas, bl.a. om det skulle ha varit möjligt att upprätta förhållandet utan uppgifterna och om de har en direkt relation till de varor eller tjänster som tillhandahållits den enskilda personen (artikel 17-2.2 i genomförandedekretet till lagen om användning och skydd av kreditinformation).

(105)

Även i fall där personlig kreditinformation i princip kan bevaras även efter det att affärsförbindelsen har upphört måste den raderas inom tre månader efter det att det vidare ändamålet med behandlingen har uppnåtts (134), eller under alla omständigheter efter fem år (artikel 20-2 i lagen om användning och skydd av kreditinformation). I ett begränsat antal fall får personlig kreditinformation bevaras i mer än fem år, särskilt när det är nödvändigt för att fullgöra en rättslig förpliktelse, när det är nödvändigt för en enskild persons vitala intressen relaterade till liv, kropp eller egendom, för arkivering av pseudonymiserade uppgifter (som användes för vetenskaplig forskning, statistik eller arkivändamål i allmänhetens intresse) eller för försäkringsändamål (särskilt för försäkringsbetalningar eller för att förhindra försäkringsbedrägeri) (135). I dessa undantagsfall gäller särskilda skyddsåtgärder (t.ex. att den enskilda personen underrättas om fortsatt användning, att de lagrade uppgifterna skiljs från uppgifter som rör personer med vilka ett affärsförhållande fortfarande pågår, att åtkomsträtten begränsas, se artikel 17-2.1–17-2.2 i genomförandedekretet till lagen om användning och skydd av kreditinformation).

(106)

I lagen om användning och skydd av kreditinformation specificeras även principerna om noggrannhet och uppgifternas kvalitet närmare genom att kräva att personlig kreditinformation ”registreras, ändras och hanteras” för att hålla uppgifterna korrekta och uppdaterade (artikel 18.1 i lagen om användning och skydd av kreditinformation och artikel 15.3 i genomförandedekretet till lagen om användning och skydd av kreditinformation) (136). När kommersiella operatörer tillhandahåller kreditinformation till vissa andra enheter (t.ex. kreditvärderingsinstitut) är de också särskilt skyldiga att kontrollera att uppgifterna är korrekta för att säkerställa att endast korrekta uppgifter registreras och hanteras av mottagaren (artikel 15.1 i genomförandedekretet till lagen om användning och skydd av kreditinformation jämförd med artikel 18.1 i lagen om användning och skydd av kreditinformation). Mer allmänt krävs enligt lagen om användning och skydd av kreditinformation att register förs över insamling, användning, utlämnande till tredje part och förstöring av personlig kreditinformation (artikel 20.2 i lagen om användning och skydd av kreditinformation) (137).

(107)

Behandlingen av personlig kreditinformation omfattas dessutom av särskilda krav på datasäkerhet. Enligt lagen om användning och skydd av kreditinformation krävs framför allt att tekniska, fysiska och organisatoriska åtgärder vidtas för att förhindra obehörig åtkomst till datasystem samt för att förhindra att de uppgifter som behandlas ändras, förstörs eller utsätts för andra risker (detta görs t.ex. genom åtkomstkontroller, se artikel 19 i lagen om användning och skydd av kreditinformation och artikel 16 i genomförandedekretet till lagen om användning och skydd av kreditinformation). Vid utbyte av personlig kreditinformation med en tredje part måste dessutom ett avtal ingås som fastställer särskilda säkerhetsåtgärder (artikel 19.2 i lagen om användning och skydd av kreditinformation). Om en säkerhetsöverträdelse avseende personlig kreditinformation inträffar måste åtgärder vidtas för att minimera eventuell skada och de berörda personerna måste utan dröjsmål underrättas (artikel 39-4.1–39-4.2 i lagen om användning och skydd av kreditinformation). Dessutom måste nämnden för skydd av personuppgifter informeras om den underrättelse som lämnats till enskilda personer och de åtgärder som har genomförts (artikel 39-4.4 i lagen om användning och skydd av kreditinformation).

(108)

I lagen om användning och skydd av kreditinformation finns även särskilda insynskrav när det gäller att erhålla samtycke för användning eller tillhandahållande av personlig kreditinformation (artikel 32.4 och artikel 34-2 i lagen om användning och skydd av kreditinformation och artikel 30-3 i genomförandedekretet till lagen om användning och skydd av kreditinformation) och, mer allmänt, innan uppgifter lämnas till en tredje part (artikel 32.7 i lagen om användning och skydd av kreditinformation) (138). Dessutom har enskilda personer rätt att på begäran få information om användning och tillhandahållande av deras kreditinformation till tredje parter under de tre år som föregår begäran (inklusive ändamålet med och datumen för sådan användning eller sådant tillhandahållande) (139).

(109)

Enligt lagen om användning och skydd av kreditinformation har enskilda personer också rätt att få tillgång till sin personliga kreditinformation (artikel 38.1 i lagen om användning och skydd av kreditinformation) och att få felaktiga uppgifter rättade (artikel 38.2–38.3 i lagen om användning och skydd av kreditinformation) (140). Utöver den allmänna rätten till radering enligt PIPA (se skäl 77) föreskrivs i lagen om användning och skydd av kreditinformation dessutom en särskild rätt till radering av personlig kreditinformation som har bevarats utöver de lagringsperioder som anges i skäl 104, dvs. fem år (för personlig kreditinformation som krävdes för att upprätta eller upprätthålla ett affärsförhållande) eller tre månader (för andra typer av personlig kreditinformation) (141). En begäran om radering kan undantagsvis avslås om ytterligare lagring är nödvändig på grund av de omständigheter som beskrivs i skäl 105. Om en enskild person begär radering, men ett av undantagen är tillämpligt, måste särskilda skyddsåtgärder tillämpas på den berörda kreditinformationen (artikel 38-3.3 i lagen om användning och skydd av kreditinformation och artikel 33-3 i genomförandedekretet till lagen om användning och skydd av kreditinformation). T.ex. måste uppgifterna hållas åtskilda från andra uppgifter, endast vara tillgängliga för behöriga och vara föremål för särskilda säkerhetsåtgärder.

(110)

Utöver de rättigheter som nämns i skäl 109 garanteras genom lagen om användning och skydd av kreditinformation enskilda personers rätt att begära att en personuppgiftsansvarig inte ska kontakta dem för direkt marknadsföring (artikel 37.2 i lagen) och rätten till dataportabilitet. När det gäller den senare har enskilda personer enligt lagen om användning och skydd av kreditinformation rätt att begära att deras personliga kreditinformation överförs till dem själva eller till vissa tredje parter (t.ex. finansinstitut och kreditvärderingsföretag). Den personliga kreditinformationen måste behandlas och överföras till tredje part i ett format som kan behandlas av ett system för databehandling (t.ex. en dator).

(111)

I den mån lagen om användning och skydd av kreditinformation innehåller särskilda regler jämfört med PIPA anser kommissionen därför att även dessa bestämmelser säkerställer en skyddsnivå som i huvudsak motsvarar den som ges enligt förordning (EU) 2016/679.

(112)

För att säkerställa att en adekvat dataskyddsnivå garanteras i praktiken bör det finnas en oberoende tillsynsmyndighet med befogenhet att övervaka och verkställa efterlevnaden av dataskyddsbestämmelserna. Denna myndighet bör agera helt oavhängigt och opartiskt vid fullgörandet av sina skyldigheter och utövandet av sina befogenheter.

(113)

I Sydkorea är nämnden för skydd av personuppgifter den oberoende myndighet som övervakar och säkerställer att PIPA genomförs. Nämnden för skydd av personuppgifter består av en ordförande, en vice ordförande och sju ledamöter. Ordföranden och vice ordföranden utnämns av presidenten på rekommendation av premiärministern. Två av ledamöterna utnämns av presidenten på rekommendation av ordföranden och fem på rekommendation av parlamentet (av dessa utnämns två på rekommendation av det politiska parti som presidenten tillhör och tre på rekommendation av andra politiska partier (artikel 7-2.2 i PIPA), vilket motverkar partiskhet i utnämningsförfarandet) (142). Detta förfarande är i linje med de krav som tillämpas vid utnämning av ledamöter i dataskyddsmyndigheter i unionen (artikel 53.1 i förordning (EU) 2016/679). Dessutom måste ledamöter avstå från all vinstrelaterad verksamhet, politisk aktivitet och från att inneha positioner i den offentliga förvaltningen eller parlamentet (artiklarna 7-6 och 7-7.1 led 3 i PIPA) (143). Ledamöterna är också föremål för interna regler som förhindrar dem att delta i överläggningar vid eventuell intressekonflikt (artikel 7-11 i PIPA). Nämnden för skydd av personuppgifter biträds av ett sekretariat (artikel 7-13) och får inrätta underutskott (bestående av tre ledamöter) för att hantera mindre överträdelser och återkommande ärenden (artikel 7-12 i PIPA).

(114)

Varje medlem i nämnden för skydd av personuppgifter utses för tre år och får återväljas en gång (artikel 7-4.1 i PIPA). Ledamöterna får endast avsättas under särskilda omständigheter, nämligen om de inte längre kan utföra sina uppgifter på grund av långvarig psykisk eller fysisk sjukdom, agerar i strid med lagen eller uppfyller någon av grunderna för att skiljas från sitt uppdrag (144) (artikel 7-5 i PIPA). Detta ger dem ett institutionellt skydd när de utövar sina uppdrag.

(115)

Mer allmänt garanteras oberoendet inom nämnden för skydd av personuppgifter uttryckligen i artikel 7.1 i PIPA, och enligt artikel 7-5.2 i PIPA ska ledamöterna utföra sina uppgifter på ett oberoende sätt i enlighet med lagen och sitt samvete (145). De institutionella och förfarandemässiga skyddsåtgärder som beskrivs, även när det gäller utnämning och avsättning av dess ledamöter, säkerställer att nämnden för skydd av personuppgifter agerar fullständigt oberoende och utan yttre inflytande eller anvisningar. I egenskap av centralt förvaltningsorgan lägger nämnden för skydd av personuppgifter årligen fram ett förslag till egen budget (som granskas av finansministeriet som en del av den övergripande nationella budgeten innan den antas av parlamentet) och ansvarar för sin egen personalledning. För närvarande har nämnden en budget på omkring 35 miljoner euro och 154 anställda (däribland 40 specialister på informations- och kommunikationsteknik, 32 medarbetare med inriktning på utredningar och 40 juridiskt sakkunniga).

(116)

Uppgifterna och befogenheterna för nämnden för skydd av personuppgifter anges huvudsakligen i artiklarna 7-8 och 7-9 samt i artiklarna 61–66 i PIPA (146). Framför allt omfattar nämndens arbetsuppgifter rådgivning om lagar och andra författningar om dataskydd, utveckling av strategier och riktlinjer för dataskydd, utredning av överträdelser av enskildas rättigheter, hantering av klagomål och medling av tvister, säkerställande av efterlevnad av PIPA, säkerställande av utbildning på och främjande av dataskyddsområdet samt utbyte och samarbete med dataskyddsmyndigheter i tredjeländer (147).

(117)

På grundval av artikel 68 i PIPA jämförd med artikel 62 i genomförandedekretet till PIPA har vissa av uppgifterna för nämnden för skydd av personuppgifter delegerats till Sydkoreas byrå för internet och säkerhet, nämligen följande: 1) utbildning och pr-verksamhet, 2) utbildning av specialister och utarbetande av kriterier för konsekvensbedömningar av inverkan på integritetsskyddet, 3) handläggning av förfrågningar om att utse en så kallad institution för konsekvensbedömning av inverkan på integritetsskyddet, 4) hantering av förfrågningar om indirekt tillgång till personuppgifter som innehas av myndigheter (artikel 35.2 i PIPA) och 5) uppgiften att begära in material och genomföra inspektioner avseende klagomål som mottagits via den så kallade integritetstjänsten. I samband med hanteringen av klagomål via integritetstjänsten vidarebefordrar Sydkoreas byrå för internet och säkerhet ärendet till nämnden för skydd av personuppgifter eller till åklagaren om den finner att en lagöverträdelse har ägt rum. Möjligheten att lämna in ett klagomål till integritetstjänsten hindrar inte enskilda personer från att direkt lämna in ett klagomål till nämnden för skydd av personuppgifter eller att vända sig till nämnden för skydd av personuppgifter om de anser att deras klagomål inte hanterades på ett tillfredsställande sätt av Sydkoreas byrå för internet och säkerhet.

(118)

För att säkerställa överensstämmelse med PIPA har lagstiftaren beviljat nämnden både utredande och verkställande befogenheter som sträcker sig från rekommendationer till administrativa sanktionsavgifter. Dessa befogenheter kompletteras dessutom av ett system med straffrättsliga påföljder.

(119)

När det gäller utredande befogenheter får nämnden för skydd av personuppgifter, vid misstänkt eller anmäld överträdelse av PIPA eller om det är nödvändigt för att skydda den registrerades rättigheter mot överträdelser, utföra kontroller på plats och begära allt relevant material (t.ex. artiklar och handlingar) från personuppgiftsansvariga (artikel 63 i PIPA jämförd med artikel 60 i genomförandedekretet till PIPA) (148).

(120)

När det gäller verkställighet får nämnden för skydd av personuppgifter enligt artikel 61.2 i PIPA ge råd till personuppgiftsansvariga om hur man kan förbättra nivån på skyddet av personuppgifter vid specifik behandling. Personuppgiftsansvariga måste göra ärliga ansträngningar för att genomföra sådana råd och är skyldiga att informera nämnden för skydd av personuppgifter om resultatet. Om det finns rimliga skäl att anta att en överträdelse av PIPA har inträffat och om underlåtenhet att vidta åtgärder sannolikt kommer att orsaka skada som är svår att avhjälpa, kan nämnden för skydd av personuppgifter dessutom vidta korrigerande åtgärder (artikel 64.1 i PIPA) (149). I avsnitt 5 i meddelande 2021-5 (bilaga I) klargörs med bindande verkan att dessa villkor är uppfyllda när det gäller överträdelser av bestämmelser i PIPA som skyddar enskilda personers rätt till integritet med avseende på personuppgifter (150). De åtgärder som nämnden för skydd av personuppgifter har befogenhet att vidta omfattar att beordra att det beteende som orsakat överträdelsen ska upphöra, att behandlingen av uppgifterna ska upphöra, eller andra nödvändiga åtgärder. Underlåtenhet att följa en korrigerande åtgärd kan leda till en påföljd där ett bötesbelopp på upp till 50 miljoner won åläggs (artikel 75.2 led 13 i PIPA).

(121)

När det gäller vissa myndigheter (t.ex. parlamentet, centrala förvaltningsorgan, lokala organ och domstolarna) föreskrivs i artikel 64.4 i PIPA att nämnden för skydd av personuppgifter får ”rekommendera” någon av de korrigerande åtgärder som nämns i skäl 120 och att dessa myndigheter är skyldiga att följa en sådan rekommendation såvida inte extraordinära omständigheter föreligger. Enligt avsnitt 5 i meddelande 2021-5 avser detta extraordinära faktiska eller rättsliga omständigheter som nämnden för skydd av personuppgifter inte kände till när den lämnade sin rekommendation. Den berörda myndigheten får endast åberopa sådana extraordinära omständigheter om den tydligt visar att ingen överträdelse har ägt rum och nämnden för skydd av personuppgifter fastställer att så inte är fallet. I annat fall måste myndigheten följa nämndens rekommendation och ”vidta en korrigerande åtgärd, bl.a. att omedelbart avbryta åtgärden, och kompensera för skador i sådana undantagsfall där en olaglig handling ändå begåtts”.

(122)

Nämnden får även begära att andra förvaltningsorgan med särskild kompetens enligt sektorslagstiftning (t.ex. hälsa, utbildning) genomför undersökningar – på egen hand eller tillsammans med nämnden – avseende (misstänkta) överträdelser av integritetsskyddet som begåtts av personuppgiftsansvariga inom de sektorer som ingår i organens behörighetsområde, samt att de vidtar korrigerande åtgärder (artikel 63.4–63.5 i PIPA). I dessa fall fastställer nämnden för skydd av personuppgifter skälen till undersökningen samt dess syfte och tillämpningsområde (151). Det berörda förvaltningsorganet måste i sin tur lämna in en plan för kontrollen till nämnden för skydd av personuppgifter och underrätta nämnden om dess resultat. Nämnden för skydd av personuppgifter kan rekommendera att en särskild korrigerande åtgärd vidtas, som den berörda myndigheten ska sträva efter att genomföra. Under alla omständigheter begränsar en sådan begäran inte den behörighet som nämnden för skydd av personuppgifter har att genomföra en egen undersökning eller ålägga påföljder.

(123)

Utöver sina korrigerande befogenheter får nämnden ålägga administrativa sanktionsavgifter på mellan 10 och 50 miljoner won för överträdelser av olika krav i PIPA (artikel 75 i PIPA) (152). Detta inbegriper bl.a. bristande efterlevnad av kraven avseende laglighet i behandlingen, underlåtenhet att vidta nödvändiga säkerhetsåtgärder, underlåtenhet att underrätta registrerade i händelse av en uppgiftsincident, underlåtenhet att uppfylla kraven för underentreprenad, underlåtenhet att upprätta och offentliggöra en integritetspolicy, underlåtenhet att utse en dataskyddsansvarig eller underlåtenhet att agera på begäran av en registrerad som utövar sina individuella rättigheter samt vissa förfarandemässiga överträdelser (bristande samarbetsvilja vid en undersökning). Om samma personuppgiftsansvarig begår överträdelser mot flera bestämmelser i PIPA kan böter utfärdas för varje överträdelse, och antalet enskilda personer som påverkas kommer att beaktas när bötesnivån fastställs.

(124)

Om det finns rimliga skäl för misstanke om överträdelse av PIPA eller andra ”lagar kopplade till dataskydd” får nämnden för skydd av personuppgifter dessutom inge en brottsanmälan till det behöriga utredningsorganet (t.ex. en åklagare, se artikel 65.1 i PIPA). Dessutom kan nämnden för skydd av personuppgifter råda den personuppgiftsansvarige att vidta disciplinära åtgärder mot den ansvariga personen (däribland ansvarig chef, se artikel 65.2 i PIPA). Efter att ha tagit emot ett sådant råd måste personuppgiftsansvariga följa det (153) och skriftligen underrätta nämnden för skydd av personuppgifter om resultatet (artikel 65 i PIPA jämförd med artikel 58 i genomförandedekretet till PIPA).

(125)

När det gäller råd i enlighet med artikel 61, korrigerande åtgärder i enlighet med artikel 64, anklagelser eller råd avseende disciplinära åtgärder i enlighet med artikel 65 och åläggande av administrativa sanktionsavgifter i enlighet med artikel 75 i PIPA får nämnden för skydd av personuppgifter offentliggöra fakta (dvs. överträdelsen, den enhet som har överträtt lagen och införd åtgärd eller åtgärder) genom att lägga ut dem på sin webbplats eller i en allmän, landsomfattande dagstidning (artikel 66 i PIPA jämförd med artikel 61.1 i genomförandedekretet till PIPA) (154).

(126)

Slutligen stöds efterlevnaden av kraven avseende dataskydd i PIPA (liksom andra ”lagar kopplade till dataskydd”) av ett system med straffrättsliga påföljder. I detta avseende innehåller artiklarna 70–73 i PIPA bestämmelser om påföljder som kan leda till antingen böter (mellan 20 och 100 miljoner won) eller fängelse (där den högsta påföljden är 2–10 år). Relevanta överträdelser omfattar bl.a. användning av personuppgifter eller tillhandahållande av sådana uppgifter till en tredje part utan nödvändigt samtycke, behandling av känsliga uppgifter i strid mot förbudet i artikel 23.1 i PIPA, bristande efterlevnad av tillämpliga säkerhetskrav som leder till att personuppgifterna går förlorade, stjäls, sprids, förfalskas, ändras eller skadas, underlåtenhet att vidta nödvändiga åtgärder för att rätta, radera eller upphöra med behandlingen av personuppgifter eller olaglig överföring av personuppgifter till ett tredjeland (155). Enligt artikel 74 i PIPA ska i vart och ett av dessa fall den personuppgiftsansvariges anställda, ombud eller representant liksom den personuppgiftsansvarige själv vara ansvariga (156).

(127)

Utöver de straffrättsliga påföljder som föreskrivs i PIPA kan missbruk av personuppgifter också utgöra ett brott enligt strafflagen. Detta gäller särskilt överträdelser av sekretess för brev, handlingar eller elektroniska handlingar (artikel 316), utlämnande av uppgifter som omfattas av tystnadsplikt (artikel 317), bedrägeri genom användning av datorer (artikel 347-2) samt förskingring och trolöshet mot huvudman (artikel 355).

(128)

Det sydkoreanska systemet kombinerar därför olika typer av sanktioner, från korrigerande åtgärder och administrativa sanktionsavgifter till straffrättsliga påföljder, som sannolikt har en särskilt stark avskräckande effekt på personuppgiftsansvariga och de personer som hanterar uppgifterna. Nämnden för skydd av personuppgifter började använda sina befogenheter omedelbart efter inrättandet 2020. Det framgår av nämndens årsrapport för 2021 att den redan har utfärdat ett antal rekommendationer, administrativa sanktionsavgifter och korrigerande åtgärder, både gentemot den offentliga sektorn (omkring 34 myndigheter) och privata aktörer (omkring 140 företag) (157). Bland uppmärksammade fall må nämnas ett företag som hade brutit mot olika bestämmelser i PIPA (bl.a. säkerhetskrav, krav på samtycke för utlämnande till tredje part och öppenhet) som i december 2020 ålades böter på 6,7 miljarder won (158) samt ett företag inom AI-teknik (som bl.a. gjort sig skyldigt till överträdelse av bestämmelserna om laglig behandling, särskilt samtycke och behandling av pseudonymiserad information) som i april 2021 ålades böter på 103,3 miljoner won (159). I augusti 2021 slutförde nämnden för skydd av personuppgifter ytterligare en undersökning av verksamheten vid tre företag, vilket ledde till korrigerande åtgärder och åläggande av bötesbelopp på upp till 6,47 miljarder won (bl.a. för att ha underlåtit att underrätta enskilda personer om utlämnande av personuppgifter till tredje part, däribland överföringar till tredje land) (160). Redan före den nyligen genomförda reformen visade Sydkorea goda resultat när det gäller verkställighet och de ansvariga myndigheterna använde sig av hela skalan av verkställighetsåtgärder, inklusive administrativa sanktionsavgifter, korrigerande åtgärder och ”namnuppgift och delning” när det gäller en rad olika personuppgiftsansvariga, däribland leverantörer av kommunikationstjänster (Sydkoreas kommunikationskommitté), samt kommersiella operatörer, finansinstitut, myndigheter, universitet och sjukhus (ministeriet för inrikesfrågor och säkerhet) (161). På grundval av detta drar kommissionen slutsatsen att det sydkoreanska systemet säkerställer en effektiv tillämpning av dataskyddsreglerna i praktiken, vilket garanterar en skyddsnivå som i huvudsak motsvarar den som fastställs i förordning (EU) 2016/679.

(129)

För att säkerställa adekvat skydd, och i synnerhet tillämpningen av enskildas rättigheter, bör den registrerade erbjudas möjligheten till faktisk administrativ och rättslig prövning, däribland ersättning för skador.

(130)

Det sydkoreanska systemet tillhandahåller enskilda personer olika mekanismer för att effektivt hävda sina rättigheter och erhålla (rättslig) prövning.

(131)

Som ett första steg kan enskilda personer som anser att deras rättigheter eller intressen i fråga om dataskydd har kränkts vända sig till berörd personuppgiftsansvarig. Enligt artikel 30.1 led 5 i PIPA ska den personuppgiftsansvariges integritetspolicy bl.a. innehålla information om de registrerades rättigheter och hur de ska utövas. Den ska dessutom tillhandahålla kontaktuppgifter (t.ex. namn och telefonnummer till dataskyddsansvarig eller dataskyddsavdelningen) för att möjliggöra inlämning av klagomål. Inom ramen för den personuppgiftsansvariges organisation har den personuppgiftsansvarige i uppdrag att handlägga klagomål, vidta korrigerande åtgärder om integritetsskyddet överträds och hantera kompensation (artikel 31.2 led 3, 31.4 i PIPA). Det senare är relevant t.ex. vid en uppgiftsincident eftersom den personuppgiftsansvarige bl.a. måste informera den registrerade om en kontaktpunkt dit skador kan rapporteras (artikel 34.1 led 5 i PIPA).

(132)

Dessutom erbjuds genom PIPA flera möjligheter till tvistlösning mellan enskilda personer och personuppgiftsansvariga. För det första får alla som anser att den personuppgiftsansvarige har kränkt deras rättigheter eller intressen avseende dataskydd anmäla sådana överträdelser direkt till nämnden för skydd av personuppgifter och/eller en av de specialiserade institutioner som utsetts av nämnden för att ta emot och hantera klagomål. Detta inbegriper Sydkoreas byrå för internet och säkerhet, som för detta ändamål driver en teletjänstcentral för personuppgifter (den så kallade integritetstjänsten) (artikel 62.1 och 62.2 i PIPA jämförd med artikel 59 i genomförandedekretet till PIPA). Integritetstjänsten undersöker och fastställer överträdelser, tillhandahåller rådgivning avseende behandling av personuppgifter (artikel 62.3 i PIPA) och får rapportera överträdelser till nämnden för skydd av personuppgifter (men kan inte själv vidta efterlevnadsåtgärder). Integritetstjänsten tar emot ett stort antal klagomål/begäranden (t.ex. 177 457 år 2020, 159 255 år 2019 och 164 497 år 2018) (162). Enligt information från nämnden för skydd av personuppgifter tog nämnden själv emot omkring 1 000 klagomål mellan augusti 2020 och augusti 2021. Som svar på ett klagomål får nämnden för skydd av personuppgifter utfärda en rekommendation om förbättringar, korrigerande åtgärder, en ”anklagelse” till det behöriga utredningsorganet (däribland en åklagare) eller råd om disciplinära åtgärder (se artiklarna 61, 64 och 65 i PIPA). Nämndens beslut (t.ex. en vägran att behandla ett klagomål eller ett avslag på ett klagomål i sak) kan bestridas enligt förvaltningsprocesslagen (Administrative Litigation Act) (163).

(133)

För det andra kan de registrerade enligt artiklarna 40–50 i PIPA jämförda med artiklarna 48-14–57 i genomförandedekretet till PIPA begära en så kallad ”kommitté för tvistlösning”, bestående av företrädare som utsetts av ordföranden för nämnden för skydd av personuppgifter bland ledamöterna i nämndens styrelse och personer som utsetts bland vissa andra kvalificerade grupper på grundval av erfarenhet av dataskydd (se artikel 40.2, 40.3 och 40.7 i PIPA, artikel 48-14 i genomförandedekretet till PIPA) (164). Möjligheten att använda sig av medling inför kommittén för tvistlösning tillhandahåller ett alternativt tillvägagångssätt för att erhålla prövning, men begränsar inte den enskildes rätt att i stället vända sig till nämnden för skydd av personuppgifter eller domstolarna. För att pröva ärendet får kommittén begära att parterna i tvisten tillhandahåller nödvändigt material och/eller kalla berörda vittnen att inställa sig inför kommittén (artikel 45 i PIPA). När frågan har klargjorts förbereder kommittén ett utslag i form av ett medlingsförslag (165) som en majoritet av ledamöterna måste enas om. Medlingsförslag kan innefatta upphörande av överträdelsen, nödvändiga rättsmedel (däribland restitution eller ersättning) samt åtgärder som krävs för att förhindra att samma överträdelser eller liknande upprepas (artikel 47.1 i PIPA). Om båda parterna samtycker till medlingsutslaget får det samma verkan som en förlikning i domstol (artikel 47.5 i PIPA). Ingen av parterna hindras från att väcka talan vid domstol medan medlingen pågår, och om så sker kommer den senare att vilandeförklaras (se artikel 48.2 i PIPA) (166). Årliga uppgifter som publiceras av nämnden för skydd av personuppgifter visar att enskilda regelbundet utnyttjar medlingsförfarandet inför kommittén för tvistlösning, vilket ofta leder till ett framgångsrikt resultat. År 2020 behandlade kommittén t.ex. 126 fall varav 89 kunde lösas inför kommittén (i 77 fall hade parterna redan nått en överenskommelse innan medlingsprocessen avslutades och i 12 fall godtog parterna medlingsförslaget), vilket innebar en förlikningsgrad på 70,6 % (167). År 2019 behandlade kommittén 139 fall varav 92 kunde lösas, vilket innebar en förlikningsgrad på 62,2 %.

(134)

Om minst 50 personer lider skada eller om deras dataskyddsrättigheter har kränkts på samma eller liknande sätt till följd av samma (typ av) incident (168), får dessutom en registrerad person eller en dataskyddsorganisation ansöka om kollektiv medling för en sådan gruppering. Andra registrerade kan ansöka om att ansluta sig till en sådan medling, som offentliggörs av kommittén för tvistlösning (artikel 49.1–49.3 i PIPA jämförd med artiklarna 52–54 i genomförandedekretet till PIPA) (169). Kommittén för tvistlösning får välja ut minst en person som bäst företräder det gemensamma intresset som representativ part (artikel 49.4 i PIPA). Om den personuppgiftsansvarige avvisar kollektiv medling eller inte godtar medlingsutslaget får vissa organisationer (170) ansöka om rättslig prövning genom grupptalan för att åtgärda överträdelsen (artiklarna 51–57 i PIPA).

(135)

För det tredje har den registrerade rätt till lämplig prövning i ett ”snabbt och rättvist förfarande” om kränkningen av integriteten har medfört ”skada” för den enskilda personen (artikel 4 led 5 med artikel 39 i PIPA) (171). Den personuppgiftsansvarige kan avhända sig ansvar genom att bevisa avsaknad av uppsåt (”felaktig avsikt” eller vårdslöshet). Om den registrerade lider skada till följd av förlust, stöld, spridning, förfalskning, ändring eller skada av/på hans eller hennes personuppgifter, får domstolen besluta om ersättning upp till tre gånger den faktiska skadan, med beaktande av ett antal faktorer (artikel 39.3 och 39.4 i PIPA). Alternativt kan den registrerade begära en ”skälig” ersättning som inte överstiger 3 miljoner won (artikel 39-2.1 och 39-2.2 i PIPA). I enlighet med civillagen kan ersättning dessutom begäras från en person som ”orsakar förlust för en annan person eller vållar denne skada genom en olaglig handling, uppsåtligen eller av vårdslöshet” (172) eller från en person ”som vållar en annan person kroppsskada eller skadar dennes frihet eller ära, eller som har orsakat någon form av psykiskt lidande för en annan person” (173). Högsta domstolen har bekräftat att ett sådant skadeståndsansvar följer av överträdelser av dataskyddsregler (174). Om skadan har orsakats av en myndighets rättsstridiga agerande kan dessutom en begäran om ersättning lämnas in enligt lagen om statlig kompensation (175). Ett skadeståndsanspråk enligt lagen om statlig kompensation kan inges till ett specialiserat ”kompensationsråd” eller direkt till de sydkoreanska domstolarna (176). Statligt ansvar omfattar även icke-materiella skador (t.ex. psykiskt lidande) (177). Om offret är en utländsk medborgare tillämpas lagen om statlig kompensation under förutsättning att den medborgarens ursprungsland även säkerställer statlig kompensation för sydkoreanska medborgare (178).

(136)

För det fjärde har högsta domstolen erkänt att enskilda personer har rätt att begära förbudsföreläggande för överträdelser av deras rättigheter enligt författningen, däribland rätten till skydd av personuppgifter (179). I detta sammanhang kan en domstol till exempel ålägga personuppgiftsansvariga att avbryta eller stoppa all olaglig verksamhet. Dataskyddsrättigheter kan dessutom upprätthållas genom civilrättsliga åtgärder, detta gäller även de rättigheter som skyddas genom PIPA. Högsta domstolen har erkänt denna horisontella tillämpning av det författningsmässiga integritetsskyddet på förhållanden mellan privata parter (180).

(137)

Slutligen kan enskilda personer inge en brottsanmälan i enlighet med straffprocesslagen (artikel 223) till en allmän åklagare eller en polistjänsteman inom kriminalpolisen (181).

(138)

I det sydkoreanska systemet erbjuds sålunda olika möjligheter att erhålla prövning, från lättillgängliga och billiga alternativ (t.ex. genom att kontakta integritetstjänsten eller genom (kollektiv) medling) till administrativa (inför nämnden för skydd av personuppgifter) och rättsliga medel, vilket inbegriper möjligheten att erhålla ersättning för skador.

(139)

Kommissionen har också bedömt begränsningarna och skyddsåtgärderna, däribland den sydkoreanska lagstiftningens mekanismer för tillsyn och enskild prövning avseende Sydkoreanska myndigheters insamling och användning av personuppgifter som överförs till personuppgiftsansvariga i Sydkorea för att tillvarata allmänintresset, särskilt för straffrättsliga ändamål som rör brottsbekämpning och den nationella säkerheten (myndigheters tillgång till uppgifter). Den Sydkoreanska regeringen har försett kommissionen med officiella framställningar, utfästelser och åtaganden som undertecknats på högsta ministernivå och inom de högsta organen. Dessa ingår i bilaga II till detta beslut.

(140)

Vid bedömningen av om villkoren för myndigheternas tillgång till uppgifter som överförs till Sydkorea enligt detta beslut uppfyller kriteriet om ”väsentlig likvärdighet” i enlighet med artikel 45.1 i förordning (EU) 2016/679 som den tolkats av Europeiska unionens domstol mot bakgrund av stadgan om de grundläggande rättigheterna, tog kommissionen särskilt hänsyn till följande kriterier.

(141)

För det första ska varje begränsning av rätten till skydd av personuppgifter föreskrivas i lag och den rättsliga grund som möjliggör ett intrång i en sådan rättighet måste innehålla en definition av hur omfattande begränsningen är av utövandet av den berörda rättigheten (182).

(142)

För det andra, för att uppfylla proportionalitetskravet, enligt vilket undantag från och begränsningar av skyddet av personuppgifter endast får tillämpas i den mån det är absolut nödvändigt i ett demokratiskt samhälle för att uppfylla särskilda mål av allmänintresse som motsvarar dem som erkänns av EU, ska det i lagstiftningen i det berörda tredjelandet, enligt vilken intrånget är tillåtet, fastställas klara och precisa regler för omfattningen och tillämpningen av åtgärderna i fråga och införas minimigarantier så att de personer vars uppgifter har överförts har tillräckliga garantier för att effektivt skydda sina personuppgifter mot risken för missbruk (183). Lagstiftningen måste särskilt ange under vilka omständigheter och på vilka villkor en åtgärd som föreskriver behandling av sådana uppgifter får antas (184) samt ställa krav på oberoende tillsyn för uppfyllandet av dessa krav (185).

(143)

För det tredje måste denna lagstiftning och dess krav vara rättsligt bindande enligt nationell lagstiftning. Detta gäller först och främst myndigheterna i det berörda tredjelandet, men dessa rättsliga krav måste också vara verkställbara inför domstol mot dessa myndigheter (186). I synnerhet måste de registrerade ha möjlighet att väcka talan vid en oberoende och opartisk domstol för att få tillgång till sina personuppgifter eller för att få dessa uppgifter rättade eller raderade (187).

(144)

De begränsningar och skyddsåtgärder som gäller för Sydkoreanska myndigheters insamling och efterföljande användning av personuppgifter följer av den övergripande konstitutionella ramen, särskilda lagar genom vilka deras verksamhet på områdena brottsbekämpning och nationell säkerhet regleras samt de regler som specifikt gäller för behandling av personuppgifter.

(145)

För det första styrs sydkoreanska myndigheters tillgång till personuppgifter av allmänna principer om laglighet, nödvändighet och proportionalitet som följer av den sydkoreanska författningen (188). I författningen föreskrivs särskilt att grundläggande rättigheter och friheter (bl.a. rätten till integritet och rätten till post- och telehemlighet) (189) endast får begränsas genom lag och när det är nödvändigt för den nationella säkerheten eller för upprätthållande av lag och ordning för den allmänna välfärden. Sådana begränsningar får inte påverka rättens eller frihetens väsentliga innehåll. Med avseende särskilt på husrannsakan och beslag föreskrivs i författningen att en sådan endast får äga rum i enlighet med vad som stadgas i lag, på grundval av ett beslut utfärdat av en domare och med full respekt för rättssäkerheten (190). Slutligen kan enskilda personer åberopa sina rättigheter och friheter inför författningsdomstolen om de anser att dessa har kränkts i samband med myndighetsutövning (191). På samma sätt har enskilda personer som lidit skada på grund av en olaglig handling som begåtts av en offentlig tjänsteman i samband med tjänsteutövning rätt att begära rättvis ersättning (192).

(146)

För det andra, vilket beskrivs närmare i avsnitten 3.2.1 och 3.3.1, återspeglas även de allmänna principer som nämns i skäl 145 i de särskilda lagar som reglerar befogenheterna för brottsbekämpande myndigheter och nationella säkerhetsmyndigheter. När det t.ex. gäller brottsutredningar föreskrivs i straffprocesslagen (Criminal Procedure Act) att obligatoriska åtgärder endast får vidtas om de uttryckligen föreskrivs i straffprocesslagen och i den minsta mån som krävs för att uppnå syftet med utredningen (193). På samma sätt förbjuds enligt artikel 3 i lagen om post- och telehemlighet (Communications Privacy Protection Act) tillgång till privat kommunikation, utom på grundval av lagen och med förbehåll för de begränsningar och skyddsåtgärder som anges däri. På området nationell säkerhet föreskrivs i lagen om den nationella underrättelsetjänsten (NIS-lagen)(National Intelligence Service Act) att all tillgång till kommunikations- eller lokaliseringsuppgifter måste vara förenlig med lagen och att missbruk av makt och lagöverträdelser ska omfattas av straffrättsliga påföljder (194).

(147)

För det tredje omfattas myndigheters behandling av personuppgifter, även för brottsbekämpande ändamål och för ändamål som rör den nationella säkerheten, av dataskyddsregler enligt PIPA (195). Grundprincipen är enligt artikel 5.1 i PIPA att myndigheter ska utarbeta strategier för att förhindra ”missbruk och felaktig användning av personuppgifter, genomgripande övervakning och spårning osv. och att stärka människors värdighet och personliga integritet”. Dessutom måste alla personuppgiftsansvariga behandla personuppgifter på ett sätt som minimerar risken att den registrerades integritet kränks (artikel 3.6 i PIPA).

(148)

Alla kraven i PIPA, som beskrivs närmare i avsnitt 2, gäller för behandling av personuppgifter för brottsbekämpande ändamål. Detta inbegriper grundläggande principer (t.ex. laglighet och korrekthet, ändamålsbegränsning, noggrannhet, uppgiftsminimering, begränsad lagring, säkerhet och öppenhet), skyldigheter (t.ex. när det gäller anmälan av uppgiftsincidenter och känsliga uppgifter) och rättigheter (tillgång, rättelse, radering och upphörande).

(149)

Även om behandlingen av personuppgifter för ändamål som rör den nationella säkerheten omfattas av en mer begränsad uppsättning bestämmelser enligt PIPA gäller de grundläggande principerna samt reglerna om tillsyn, verkställighet och prövning (196). Närmare bestämt innehåller artiklarna 3 och 4 i PIPA allmänna principer för dataskydd (laglighet och korrekthet, ändamålsbegränsning, noggrannhet, uppgiftsminimering, säkerhet och öppenhet) och enskildas rättigheter (rätten att bli underrättad, rätten till tillgång och rätten till rättelse, radering och upphörande) (197). I artikel 4.5 i PIPA föreskrivs dessutom enskilda personers rätt till lämplig prövning genom ett skyndsamt och rättvist förfarande för skador som uppstår till följd av behandlingen av deras personuppgifter. Detta kompletteras av mer specifika skyldigheter att endast behandla personuppgifter i den minsta mån som krävs för att uppnå det avsedda ändamålet och under kortast möjliga tidsperiod, att vidta nödvändiga åtgärder för att säkerställa säker datahantering och lämplig behandling (t.ex. tekniska, administrativa och fysiska skyddsåtgärder) samt att vidta åtgärder för lämplig hantering av enskilda klagomål (198). Slutligen gäller de allmänna principerna om laglighet, nödvändighet och proportionalitet enligt den sydkoreanska författningen (se skäl 145) även vid behandling av personuppgifter för ändamål som rör den nationella säkerheten.

(150)

Dessa allmänna begränsningar och skyddsåtgärder kan åberopas av enskilda personer inför oberoende tillsynsorgan (t.ex. nämnden för skydd av personuppgifter och/eller den nationella människorättskommissionen, se skälen 177–178) och domstolar (se skälen 179–183) för att erhålla prövning.

(151)

I Sydkoreas lagstiftning föreskrivs ett antal begränsningar av tillgången till och användningen av personuppgifter för brottsbekämpande ändamål, och den innehåller tillsyns- och prövningsmekanismer som är i linje med de krav som avses i skälen 141–143 i detta beslut. Villkoren för sådan tillgång och de garantier som gäller för utövandet av dessa befogenheter bedöms i detalj i följande avsnitt.

(152)

Personuppgifter som behandlas av sydkoreanska personuppgiftsansvariga och som skulle överföras från unionen enligt detta beslut (199) får samlas in av de sydkoreanska myndigheterna för brottsbekämpande ändamål i samband med en husrannsakan eller ett beslag (på grundval av straffprocesslagen), genom tillgång till kommunikationsinformation (på grundval av lagen om post- och telehemlighet) eller genom att erhålla abonnentuppgifter genom en begäran om frivilligt utlämnande (på grundval av lagen om telekomoperatörer) (200).

(153)

Enligt straffprocesslagen får husrannsakan eller beslag endast ske om en person misstänks för ett brott, det är nödvändigt för utredningen och ett samband har styrkts mellan utredningen och den person husrannsakan avser eller det föremål som ska kontrolleras eller beslagtas (201). Dessutom får husrannsakan eller beslag (liksom alla obligatoriska åtgärder) endast godkännas/genomföras i den minsta mån som krävs (202). Om husrannsakan avser en hårddisk eller annat datalagringsmedium, kommer i princip endast själva uppgifterna (kopierade eller utskrivna) att beslagtas i stället för hela mediet (203). Det senare får endast beslagtas om det anses vara praktiskt omöjligt att skriva ut eller kopiera de begärda uppgifterna separat, eller om det anses praktiskt ogenomförbart att på annat sätt uppnå syftet med genomsökningen (204). Genom straffprocesslagen fastställs därför tydliga och precisa regler för omfattningen och tillämpningen av dessa åtgärder, så att intrånget i enskilda personers rättigheter vid husrannsakan eller beslag begränsas till vad som är nödvändigt för en särskild brottsutredning och står i proportion till det eftersträvade syftet.

(154)

När det gäller rättssäkerhetsgarantier krävs enligt straffprocesslagen att ett domstolsbeslut inhämtas för att utföra husrannsakan eller beslag (205). Husrannsakan eller beslag utan domstolsbeslut tillåts endast i undantagsfall, nämligen om brådskande omständigheter föreligger (206), på plats när en misstänkt brottsling grips eller frihetsberövas (207) eller om ett föremål kasseras eller inges frivilligt av en misstänkt brottsling eller tredje man (av den berörda personen när det gäller personuppgifter) (208). Rättsstridiga husrannsakningar och beslag är föremål för straffrättsliga påföljder (209) och alla bevis som erhållits i strid med straffprocesslagen betraktas som otillåten bevisning (210). Slutligen måste de berörda personerna alltid underrättas om en husrannsakan eller ett beslag (däribland ett beslag av deras uppgifter) utan dröjsmål (211), vilket i sin tur kommer att underlätta utövandet av personens materiella rättigheter och rätten till prövning (se särskilt möjligheten att bestrida verkställigheten av ett beslut om beslag, se skäl 180).

(155)

På grundval av lagen om post- och telehemlighet får de sydkoreanska brottsbekämpande myndigheterna vidta två typer av åtgärder (212): å ena sidan samla in ”uppgifter om kommunikationsbekräftelse” (213), vilket innefattar datum för telekommunikation, start- och sluttid, antal utgående och inkommande samtal samt den andra partens abonnentnummer, användningsfrekvens, loggfiler avseende användningen av telekommunikationstjänster och lokaliseringsuppgifter (t.ex. från sändningstorn där signaler tas emot), och å andra sidan ”kommunikationsbegränsande åtgärder”, vilket omfattar både insamling av innehållet i traditionell post och direkt avlyssning av innehållet i telekommunikationer (214).

(156)

Tillgång till uppgifter om kommunikationsbekräftelse tillåts endast när det är nödvändigt för att genomföra en brottsutredning eller verkställa en dom (215), och på grundval av ett domstolsbeslut (216). I detta avseende krävs enligt lagen om post- och telehemlighet att detaljerad information anges både i ansökan om domstolsbeslutet (t.ex. skälen till begäran, förhållandet till den person åtgärderna avser/abonnenten och de nödvändiga uppgifterna) och i själva domstolsbeslutet (t.ex. åtgärdens syfte, den person åtgärden avser och åtgärdens tillämpningsområde) (217). Insamling utan domstolsbeslut får endast ske när det på grund av brådskande skäl är omöjligt att erhålla domstolstillstånd, varvid domstolsbeslutet måste erhållas och meddelas telekommunikationsleverantören omedelbart efter att uppgifterna har begärts (218). Om domstolen vägrar att bevilja efterföljande tillstånd måste de insamlade uppgifterna förstöras (219).

(157)

Vad gäller ytterligare skyddsåtgärder i samband med insamling av uppgifter om kommunikationsbekräftelse anges i lagen om post- och hemlighet särskilda krav på dokumentation och öppenhet (220). I synnerhet måste både brottsbekämpande myndigheter (221) och leverantörer av telekommunikation (222) föra register över begäranden och utlämnanden som gjorts. Dessutom måste brottsbekämpande myndigheter i princip underrätta enskilda personer om att deras uppgifter om kommunikationsbekräftelse har samlats in (223). En sådan underrättelse får endast skjutas upp i undantagsfall på grundval av ett tillstånd från chefen för en behörig åklagarmyndighet (224). Ett sådant tillstånd får endast beviljas om det är sannolikt att underrättelse kan 1) äventyra den nationella säkerheten, den allmänna säkerheten och ordningen, 2) orsaka dödsfall eller kroppsskada, 3) hindra rättvisa rättsliga förfaranden (t.ex. leda till att bevis förstörs eller vittnen hotas) eller 4) innebära förtal av den misstänkte, brottsoffer eller andra personer med anknytning till målet eller inkräkta på deras privatliv. I sådana fall ska underrättelse lämnas inom 30 dagar efter det att skälet eller skälen för uppskjutande av underrättelsen inte längre föreligger (225). När enskilda personer underrättas har de rätt att få information om skälen till att uppgifterna har samlats in (226).

(158)

Strängare regler tillämpas för kommunikationsbegränsande åtgärder, som endast får användas om det finns betydande skäl att misstänka att vissa allvarliga brott som är särskilt förtecknade i lagen om post- och telehemlighet planeras, begås eller har begåtts (227). Dessutom får kommunikationsbegränsande åtgärder endast vidtas som en sista utväg och när det är svårt att på annat sätt förhindra att ett brott begås, gripa en brottsling eller samla in bevis (228). De måste omedelbart upphöra när de inte längre är nödvändiga, för att säkerställa att intrånget i kommunikationens integritet är så begränsad som möjligt (229). Information som erhållits på olaglig väg genom kommunikationsbegränsande åtgärder kommer inte att godtas som bevis i rättsliga eller disciplinära förfaranden (230).

(159)

När det gäller rättssäkerhetsgarantier krävs enligt lagen om post- och telehemlighet att ett domstolsbeslut inhämtas för att genomföra kommunikationsbegränsande åtgärder (231). Återigen krävs enligt lagen om post- och telehemlighet att ansökan om ett domstolsbeslut och domstolsbeslutet i sig innehåller detaljerad information (232), däribland motiveringen till begäran samt den kommunikation som ska samlas in (som måste tillhöra den misstänkta person som är föremål för utredningen) (233). Sådana åtgärder får endast vidtas utan domstolsbeslut om det föreligger ett överhängande hot om organiserad brottslighet eller om ett annat allvarligt brott som direkt kan orsaka dödsfall eller allvarlig skada är nära förestående, och det föreligger en nödsituation som gör det omöjligt att genomgå det ordinarie förfarandet (234). En ansökan om ett domstolsbeslut måste dock inges omedelbart efter det att åtgärden har vidtagits (235). Kommunikationsbegränsande åtgärder får endast vidtas under en period på högst två månader (236) och detta får endast förlängas med domstolens godkännande om villkoren för att genomföra åtgärderna fortfarande är uppfyllda (237). Den förlängda perioden får inte överstiga totalt ett år, eller tre år för vissa särskilt allvarliga brott (såsom brott med anknytning till uppror, utländsk aggression, nationell säkerhet) (238).

(160)

I likhet med vad som är fallet för insamling av uppgifter om kommunikationsbekräftelse krävs enligt lagen om post- och telehemlighet att leverantörer av telekommunikation (239) och brottsbekämpande myndigheter (240) för register över genomförda åtgärder för kommunikationsbegränsning, och där föreskrivs att den berörda personen ska underrättas, vilket i undantagsfall kan skjutas upp om detta är nödvändigt av skäl som rör viktiga allmänna intressen (241).

(161)

Slutligen är åsidosättande av flera av de begränsningar och skyddsåtgärder som anges i lagen om post- och telehemlighet (bl.a. skyldigheterna att erhålla ett domstolsbeslut, föra register och underrätta personen), både när det gäller insamling av uppgifter om kommunikationsbekräftelse och användning av kommunikationsbegränsande åtgärder, föremål för straffrättsliga påföljder (242).

(162)

De brottsbekämpande myndigheternas befogenheter att samla in kommunikationsuppgifter på grundval av lagen om post- och telehemlighet (både innehållet i kommunikation och uppgifter om kommunikationsbekräftelse) begränsas därför genom tydliga och precisa regler och omfattas av ett antal skyddsåtgärder. Dessa skyddsåtgärder garanterar i synnerhet tillsyn av hur sådana åtgärder genomförs, både på förhand (genom förhandsgodkännande från domstol) och i efterhand (genom dokumentations- och rapporteringskrav), och underlättar enskilda personers tillgång till effektiva rättsmedel (genom att säkerställa att de informeras om insamlingen av deras uppgifter).

(163)

Utöver att förlita sig på de obligatoriska åtgärder som beskrivs i skälen 153–162 får de sydkoreanska brottsbekämpande myndigheterna begära ”kommunikationsuppgifter” från leverantörer av telekommunikation på frivillig basis till stöd för en brottmålsprocess, utredning eller verkställighet av dom (artikel 83.3 i lagen om telekomoperatörer). Denna möjlighet finns endast med avseende på begränsade datauppsättningar, dvs. användarnas namn, nummer i folkbokföringsregistret, adress och telefonnummer, datum då användarna tecknar eller avslutar sitt abonnemang samt deras identifieringskoder (dvs. koder som används för att identifiera den rättmätiga användaren av datasystem eller kommunikationsnät) (243). Eftersom endast personer som direkt kontrakterar tjänster från en sydkoreansk telekommunikationsleverantör betraktas som ”användare” (244), skulle enskilda personer i EU vars uppgifter har överförts till Sydkorea normalt sett inte omfattas av denna kategori (245).

(164)

Olika begränsningar gäller för sådan frivillig utlämning, både för den brottsbekämpande myndighetens utövande av sina befogenheter och för teleoperatörens respons. Ett allmänt krav är att de brottsbekämpande myndigheterna måste agera i enlighet med författningens principer om nödvändighet och proportionalitet (artiklarna 12.1 och 37.2 i författningen), även när de begär information på frivillig basis. Dessutom måste de följa PIPA, särskilt genom att endast samla in personuppgifter i den utsträckning som krävs för att uppnå ett legitimt ändamål, på ett sätt som minimerar inverkan på enskilda personers privatliv (t.ex. artikel 3.1 och 3.6 i PIPA). Närmare bestämt ska begäran om att erhålla kommunikationsuppgifter på grundval av lagen om telekomoperatörer göras skriftligen och däri ska skälen till begäran, länken till den relevanta användaren och de begärda uppgifternas omfattning anges (246).

(165)

Leverantörer av telekommunikation behöver inte efterkomma begäran, men får göra det på frivillig basis och då endast i enlighet med PIPA. Detta innebär framför allt att de måste göra en avvägning mellan de olika intressen som står på spel och att de inte får tillhandahålla uppgifterna om detta sannolikt skulle inkräkta på enskilda individers eller tredje mans intressen på ett otillbörligt sätt (247). Detta skulle exempelvis vara fallet om det är uppenbart att den begärande myndigheten missbrukar sin auktoritet (248). Teleoperatörer måste föra register över uppgifter som lämnats ut enligt lagen om telekomoperatörer och två gånger per år rapportera till ministern för vetenskap och IKT (249).

(166)

I enlighet med avsnitt 3 i meddelande nr 2021-5 (bilaga I) måste leverantörer av telekommunikation dessutom i princip underrätta den berörda personen när de frivilligt efterkommer en begäran (250). Detta kommer i sin tur att göra det möjligt för den enskilde att utöva sina rättigheter och erhålla prövning om hans eller hennes uppgifter röjs på ett olagligt sätt, antingen gentemot den personuppgiftsansvarige (t.ex. för att ha lämnat ut uppgifter i strid med PIPA eller för att ha efterkommit en begäran som var uppenbart oproportionerlig) eller mot den brottsbekämpande myndigheten (t.ex. för att ha agerat utöver vad som är nödvändigt och proportionerligt eller för att inte ha respekterat förfarandekraven i lagen om telekomoperatörer).

(167)

Behandling av personuppgifter som samlas in av de sydkoreanska brottsbekämpande myndigheterna omfattas av alla krav i PIPA, däribland ändamålsbegränsning (artikel 3.1–3.2 i PIPA), lagenlig användning och tillhandahållande till tredje part (artiklarna 15, 17 och 18 i PIPA), internationella överföringar (artiklarna 17 och 18 i PIPA jämförda med avsnitt 2 i meddelande nr 2021-5) (251), proportionalitet/dataminimering (artikel 3.1 och 3.6 i PIPA) och lagringsbegränsning (artikel 21 i PIPA) (252).

(168)

När det gäller kommunikationsinnehåll som erhållits genom kommunikationsbegränsande åtgärder begränsas i lagen om post- och telehemlighet uttryckligen eventuell användning av sådant innehåll till utredning, lagföring eller förebyggande av allvarliga brott (253), disciplinära förfaranden för samma typ av brott, skadeståndsanspråk som väcks av en part i kommunikationen eller om detta uttryckligen tillåts enligt andra lagar (254). Dessutom får insamlat innehåll i telekommunikationer som överförs via internet endast lagras med godkännande från den domstol som godkände de kommunikationsbegränsande åtgärderna (255), i syfte att använda det för utredning, lagföring eller förebyggande av allvarliga brott (256). Mer allmänt förbjuds i lagen om post- och telehemlighet utlämnande av konfidentiell information som erhållits från kommunikationsbegränsande åtgärder och att sådan information används för att skada anseendet hos dem som var föremål för åtgärderna (257).

(169)

I Sydkorea övervakas de brottsbekämpande myndigheternas verksamhet av olika organ (258).

(170)

För det första är polisen föremål för intern tillsyn av en generalinspektör (259) som utför laglighetskontroller, även när det gäller eventuella kränkningar av de mänskliga rättigheterna. Generalinspektörsämbetet inrättades för att genomföra lagen om revision av den offentliga sektorn, där inrättande av internt revisionsorgan uppmuntras och särskilda krav för deras sammansättning och uppgifter fastställs. I lagen föreskrivs särskilt att chefen för ett internt revisionsorgan ska utses utanför den berörda myndigheten (t.ex. tidigare domare, professorer) för en period på två till fem år (260), endast ska kunna avsättas av motiverade skäl (t.ex. om han eller hon inte kan utföra sina uppgifter av hälsoskäl eller är föremål för disciplinära åtgärder) (261) och ska garanteras oberoende i största möjliga utsträckning (262). Hindrande av internrevision är föremål för administrativa sanktionsavgifter (263). Revisionsrapporter (som kan innehålla rekommendationer, begäran om disciplinåtgärder och begäran om ersättning eller rättelse) överlämnas till chefen för den berörda myndigheten samt revisions- och kontrollstyrelsen (Board of Audit and Inspection) (264), och offentliggörs i allmänhet (265). Resultaten av genomförandet av rapporten måste också meddelas revisions- och kontrollstyrelsen (266) (se skäl 173 om revisions- och kontrollstyrelsens tillsynsroll och befogenheter).

(171)

För det andra övervakar nämnden för skydd av personuppgifter att brottsbekämpande myndigheters behandling av personuppgifter följer PIPA och andra lagar som skyddar enskilda personers integritet, däribland lagar som reglerar insamlingen av (elektroniska) bevis för brottsbekämpande ändamål, såsom beskrivs i avsnitt 3.2.1 (267). Eftersom tillsyn av nämnden för skydd av personuppgifter utvidgas till att omfatta laglighet och korrekthet vid insamling och behandling av uppgifter (artikel 3.1 i PIPA), vilket åsidosätts om personuppgifter hämtas och används i strid med dessa lagar (268), får nämnden för skydd av personuppgifter även utreda och kontrollera efterlevnad av de begränsningar och skyddsåtgärder som anges i avsnitt 3.2.1 (269). Vid utövandet av denna tillsynsroll kan nämnden för skydd av personuppgifter utnyttja alla sina utredningsbefogenheter och korrigerande befogenheter, såsom beskrivs i detalj i avsnitt 2.4.2. Redan före den nyligen genomförda reformen av PIPA (dvs. i dess tidigare tillsynsroll för den offentliga sektorn) genomförde nämnden för skydd av personuppgifter flera tillsynsåtgärder avseende brottsbekämpande myndigheters behandling av personuppgifter, t.ex. i samband med förhör av misstänkta (ärende nr 2013-16 av den 26 augusti 2013), med avseende på underrättelse till enskilda om införandet av administrativa sanktionsavgifter (ärende nr 2015-02-04 av den 26 januari 2015, utbyte av uppgifter med andra myndigheter (ärende nr 2018-15-146 av den 9 juli 2018, ärende nr 2018-25-308 av den 10 december 2018, ärende nr 2019-02-015 av den 29 januari 2019), insamling av fingeravtryck eller fotografier (ärende nr 2019-17-273 av den 9 september 2019), användning av drönare (ärende nr 2020-01-004 av den 13 januari 2020). I dessa fall undersökte nämnden för skydd av personuppgifter efterlevnaden av flera bestämmelser i PIPA (t.ex. behandlingens lagenlighet, principerna om ändamålsbegränsning och uppgiftsminimering) men också relevanta bestämmelser i andra lagar, t.ex. straffprocesslagen, och utfärdade vid behov rekommendationer för att anpassa behandlingen till dataskyddskraven.

(172)

För det tredje tillhandahålls oberoende tillsyn av den nationella människorättskommissionen (270), som kan utreda kränkningar av rätten till integritet och till sekretess vid korrespondens som en del av sitt allmänna mandat att skydda de grundläggande rättigheterna i artiklarna 10–22 i författningen. Den nationella människorättskommissionen består av elva ledamöter som måste uppfylla särskilda kvalifikationer (271) och utses av presidenten i enlighet med förfaranden som fastställts i lag. Särskilt gäller att fyra ledamöter utnämns efter nominering från parlamentet, fyra efter nominering från presidenten och tre efter nominering av högsta domstolens ordförande (272). Ordföranden utses av presidenten bland ledamöterna och måste bekräftas av parlamentet (273). Ledamöterna (däribland ordföranden) utses för en förnybar period på tre år och kan endast avsättas om de döms till fängelse eller inte längre kan utföra sina uppgifter på grund av långvarig bristande fysisk eller psykisk kapacitet (i vilket fall två tredjedelar av ledamöterna måste gå med på avskedandet) (274). Som en del av en undersökning får den nationella människorättskommissionen begära att relevant material lämnas in, att kontroller utförs och att enskilda personer kallas att vittna (275). När det gäller korrigerande befogenheter får den nationella människorättskommissionen utfärda (offentliga) rekommendationer för att förbättra eller korrigera särskilda politiska strategier och metoder. Myndigheter måste reagera på en sådan rekommendation med ett förslag till genomförandeplan (276). Om den berörda myndigheten underlåter att genomföra rekommendationer måste den informera människorättskommissionen om detta (277), som i sin tur kan underrätta parlamentet om denna underlåtenhet och/eller offentliggöra den. Enligt den officiella framställningen från den sydkoreanska regeringen (avsnitt 2.3.5 i bilaga II) följer de sydkoreanska myndigheterna i allmänhet den nationella människorättskommissionens rekommendationer och har ett starkt incitament att göra detta eftersom deras genomförande har bedömts vara en del av den allmänna, kontinuerliga utvärdering som genomförs under ledning av premiärministerns kansli. Årliga uppgifter om dess verksamhet visar att den nationella människorättskommissionen aktivt övervakar brottsbekämpande myndigheters verksamhet, antingen på grundval av enskilda framställningar eller genom undersökningar på eget initiativ (278).

(173)

För det fjärde övervakar revisions- och kontrollstyrelsen myndighetsverksamheters laglighet i allmänhet och granskar statens inkomster och utgifter. Revisions- och kontrollstyrelsen övervakar även mer allmänt efterlevnad av myndigheternas skyldigheter i syfte att förbättra den offentliga förvaltningens verksamhet (279). Revisions- och kontrollstyrelsen är formellt inrättad under Sydkoreas president, men har en oberoende ställning när det gäller dess uppgifter (280). Dessutom beviljas den fullständigt oberoende när det gäller utnämning, avskedande och organisation av dess personal samt sammanställning av dess budget (281). Revisions- och kontrollstyrelsen består av en ordförande (utsedd av presidenten med parlamentets samtycke) (282) och sex ledamöter (utnämnda av presidenten på rekommendation av ordföranden) (283), som ska uppfylla de särskilda kvalifikationer som fastställs i lag (284) och endast får avsättas i händelse av riksrättsförfarande, frihetsstraff eller oförmåga att utföra sina uppgifter på grund av långvarig bristande psykisk eller fysisk kapacitet (285). Revisions- och kontrollstyrelsen utför en allmän revision på årsbasis, men kan också utföra särskilda revisioner i frågor av särskilt intresse. Revisions- och kontrollstyrelsen får begära in handlingar och begära att enskilda personer ska närvara i samband med en revision eller kontroll (286). Revisions- och kontrollstyrelsen får utfärda rekommendationer, begära disciplinära åtgärder eller inge en brottsanmälan (287).

(174)

Slutligen utövar parlamentet tillsyn av myndigheter genom utredningar och kontroller (288) av deras verksamhet (289). Det får begära att handlingar lämnas ut, tvinga vittnen att framträda (290), rekommendera korrigerande åtgärder (om den konstaterar att olaglig eller otillbörlig verksamhet har ägt rum) (291) och offentliggöra granskningsresultaten (292). Om parlamentet begär att korrigerande åtgärder ska vidtas – vilket t.ex. kan inbegripa beviljande av ersättning, disciplinära åtgärder eller förbättring av interna förfaranden – ska den berörda myndigheten agera utan dröjsmål och rapportera resultatet till parlamentet (293).

(175)

I det sydkoreanska systemet erbjuds olika (rättsliga) möjligheter att erhålla prövning, däribland skadestånd.

(176)

För det första ges enskilda personer enligt PIPA rätt till tillgång, rättelse, radering och upphörande när det gäller personuppgifter som behandlas för brottsbekämpande ändamål (294).

(177)

För det andra kan enskilda personer använda sig av de olika prövningsmekanismer som erbjuds enligt PIPA om deras uppgifter har behandlats av en brottsbekämpande myndighet i strid med PIPA eller i strid med de begränsningar och skyddsåtgärder som styr insamlingen av personuppgifter i andra lagar (dvs. straffprocesslagen eller lagen om post- och telehemlighet, se skäl 171). I synnerhet kan enskilda personer lämna in ett klagomål till nämnden för skydd av personuppgifter (bl.a. via integritetstjänsten som drivs av Sydkoreas byrå för internet och säkerhet (295)) eller kommittén för tvistlösning avseende personuppgifter (296). Dessa möjligheter till prövning omfattas inte av några ytterligare formkrav. På grundval av förvaltningsprocesslagen kan enskilda personer dessutom överklaga/bestrida nämndens beslut eller passivitet (se skäl 132).

(178)

För det tredje kan en enskild individ (297) inge ett klagomål till den nationella människorättskommissionen avseende överträdelser av rätten till integritet och skydd av personuppgifter som begåtts av en sydkoreansk brottsbekämpande myndighet. Den nationella människorättskommissionen får rekommendera rättelse eller förbättring av relevanta stadgar, institutioner, riktlinjer eller praxis (298), eller genomförande av åtgärder såsom medling (299), upphörande av kränkningar av de mänskliga rättigheterna, skadestånd och åtgärder för att förhindra att samma eller liknande kränkningar upprepas (300). Enligt den officiella framställningen från den sydkoreanska regeringen (avsnitt 2.4.2 i bilaga II) kan detta även inbegripa radering av olagligt insamlade personuppgifter. Även om den nationella människorättskommissionen inte har befogenhet att fatta bindande beslut erbjuder den en mer informell och lättillgänglig prövningsväg till låg kostnad, särskilt eftersom det såsom förklaras i avsnitt 2.4.2 i bilaga II inte krävs att man påvisar någon skada för att klagomålet ska undersökas (301). Detta säkerställer att klagomål från enskilda avseende insamling av deras uppgifter kan undersökas även om en enskild person inte kan styrka att hans eller hennes uppgifter faktiskt har samlats in (t.ex. till följd av att underrättelse till den enskilda personen ännu inte har ägt rum). Den nationella människorättskommissionens årliga verksamhetsrapporter visar att enskilda personer också använder sig av denna väg i praktiken för att ifrågasätta brottsbekämpande myndigheters verksamhet, även när det gäller hantering av personuppgifter (302). Om en enskild person inte är nöjd med resultatet av ett förfarande inför den nationella människorättskommissionen kan den nationella människorättskommissionens beslut (t.ex. ett beslut om att inte fortsätta undersöka ett klagomål (303)) och rekommendationer överklagas vid de sydkoreanska domstolarna enligt förvaltningsprocesslagen (se skäl 181) (304). Dessutom kan ett förfarande inför den nationella människorättskommissionen ytterligare underlätta tillgången till domstolar, eftersom en enskild person skulle kunna söka vidare prövning gentemot den myndighet som olagligt behandlat hans eller hennes uppgifter. Detta på grundval av den nationella människorättskommissionens slutsatser och i enlighet med de förfaranden som beskrivs i skälen 181–183.

(179)

Slutligen finns olika rättsmedel tillgängliga som gör det möjligt för enskilda att åberopa de begränsningar och skyddsåtgärder som beskrivs i avsnitt 3.2.1 för att erhålla prövning (305).

(180)

När det gäller beslag (även av uppgifter) ges en möjlighet i straffprocesslagen att invända mot eller bestrida verkställigheten av ett domstolsbeslut med ett så kallat ”halvt klagomål”, genom att göra en framställning till den behöriga domstolen med en begäran om att upphäva eller ändra ett beslut som en åklagare eller polis har fattat (306).

(181)

Mer allmänt kan enskilda personer begära prövning av myndigheters (däribland brottsbekämpande myndigheter) agerande (307) eller underlåtelse att agera (308) i enlighet med förvaltningsprocesslagen (309). Förvaltningsåtgärder anses vara "beslut som kan överklagas" om de direkt påverkar medborgerliga rättigheter och skyldigheter (310) och enligt bekräftelse från den sydkoreanska regeringen (avsnitt 2.4.3 i bilaga II) är detta fallet med åtgärder för att samla in personuppgifter, vare sig det sker direkt (t.ex. genom att övervaka kommunikation), genom bindande begäranden om utlämnande (t.ex. riktade till en tjänsteleverantör), eller begäranden om frivilligt samarbete. För att ett klagomål enligt förvaltningsprocesslagen ska kunna tas upp till prövning måste en enskild person ha ett rättsligt intresse av att driva talan (311). Enligt högsta domstolens rättspraxis tolkas ”rättsligt intresse” som ett ”rättsligt skyddat intresse”, dvs. ett direkt och specifikt intresse som skyddas av lagar och andra författningar som ligger till grund för förvaltningsbeslut (dvs. inte allmänhetens generella, indirekta och abstrakta intressen) (312). Enskilda personer har ett sådant rättsligt intresse vid överträdelse av begränsningar och skyddsåtgärder som är tillämpliga på insamlingen av deras personuppgifter för brottsbekämpande ändamål (enligt särskilda lagar eller PIPA). På grundval av förvaltningsprocesslagen kan en domstol besluta att upphäva eller ändra ett rättsstridigt beslut, avge ett yttrande om ogiltighet (dvs. ett konstaterande om att beslutet inte har någon rättslig verkan eller att det inte existerar i rättsordningen) eller utfärda ett konstaterande om att underlåtelse att agera är rättsstridigt (313). Parterna är bundna till en slutlig dom enligt förvaltningsprocesslagen (314).

(182)

Utöver att bestrida statliga åtgärder genom förvaltningsrättsliga tvister kan enskilda personer även inge ett författningsbesvär till författningsdomstolen om överträdelser av deras grundläggande rättigheter på grund av utövande eller underlåtenhet att utöva offentlig makt (med undantag av domstolsbeslut) (315). Om andra rättsmedel finns tillgängliga måste dessa först vara uttömda. Enligt författningsdomstolens rättspraxis kan utländska medborgare inge en författningsklagan i den mån deras grundläggande rättigheter erkänns i den sydkoreanska författningen (se förklaringarna i avsnitt 1.1) (316). Författningsdomstolen kan ogiltigförklara utövandet av den offentliga makt som orsakade överträdelsen eller bekräfta att en viss underlåtenhet att agera är författningsstridig (317). I så fall ska den berörda myndigheten vidta åtgärder för att rätta sig efter domstolens beslut.

(183)

Dessutom kan enskilda personer få ersättning för skador vid de sydkoreanska domstolarna. Detta omfattar först och främst möjligheten att begära ersättning för brott mot PIPA som begåtts av brottsbekämpande myndigheter, i enlighet med artikel 39 (se även skäl 135). I allmänhet kan enskilda personer på grundval av lagen om statlig kompensation ansöka om ersättning för skador som offentliga tjänstemän åsamkat dem vid lagstridig myndighetsutövning (se även skäl 135) (318).

(184)

De mekanismer som beskrivs i skäl 176–183 ger de registrerade effektiva administrativa och rättsliga medel som särskilt gör det möjligt för dem att tillvarata sina rättigheter, bl.a. rätten att få tillgång till sina personuppgifter eller att få dessa uppgifter rättade eller raderade.

(185)

Sydkoreas lagstiftning innehåller ett antal begränsningar och skyddsåtgärder avseende tillgången till och användningen av personuppgifter för ändamål som rör den nationella säkerheten, och den föreskriver tillsyns- och prövningsmekanismer som är i linje med de krav som avses i skälen 141–143 i detta beslut. Villkoren för sådan tillgång och de garantier som gäller för utövandet av dessa befogenheter bedöms i detalj i följande avsnitt.

(186)

I Sydkorea tillåts åtkomst till personuppgifter för ändamål som rör den nationella säkerheten på grundval av lagen om integritetsskydd inom kommunikation, lagen om telekomoperatörer och lagen om åtgärder mot terrorism till skydd för medborgare och den allmänna säkerheten (lagen mot terrorism) (Act on Anti-Terrorism for the Protection of Citizens and Public Security) (319). Den nationella underrättelsetjänsten är huvudmyndighet (320) med behörighet på området nationell säkerhet (321). Vid insamling och användning av personuppgifter ska den nationella underrättelsetjänsten följa relevanta rättsliga krav (däribland PIPA och lagen om post- och telehemlighet) (322) och allmänna riktlinjer som utarbetats av presidenten och granskats av parlamentet (323). Som en allmän princip måste den nationella underrättelsetjänsten upprätthålla politisk neutralitet och skydda individens frihet och rättigheter (324). Dessutom får anställda vid den nationella underrättelsetjänsten inte missbruka sina officiella befogenheter för att tvinga någon institution, organisation eller individ att göra något som de inte är skyldiga att göra (enligt lag) eller hindra någon från att utöva sina rättigheter (325).

(187)

På grundval av lagen om post- och telehemlighet får de sydkoreanska myndigheterna (326) samla in uppgifter om kommunikationsbekräftelse (dvs. datum för telekommunikation, start- och sluttid för dessa, antal utgående och inkommande samtal samt den andra partens abonnentnummer, användningsfrekvens, loggfiler om användningen av telekommunikationstjänster och lokaliseringsuppgifter, se skäl 155) och kommunikationens innehåll (genom kommunikationsbegränsande åtgärder, se skäl 155) för ändamål som rör den nationella säkerheten (vilket fastställs genom den nationella underrättelsetjänstens uppdrag, se fotnot 322). Dessa befogenheter omfattar två typer av information: 1) kommunikation där en eller båda parter är sydkoreanska medborgare (327) och 2) kommunikation från a) länder som är fientliga mot Sydkorea, b) utländska organ, grupper eller medborgare som misstänks bedriva verksamhet riktad mot Sydkorea (328) eller c) medlemmar i grupper på Koreahalvön som i praktiken inte omfattas av Sydkoreas överhöghet samt paraplyorganisationer till dessa som är baserade i utlandet (329). Kommunikation från enskilda personer i EU som överförs från unionen till Sydkorea på grundval av detta beslut kan därför endast samlas in inom ramen för lagen om post- och telehemlighet för ändamål som rör den nationella säkerheten (med förbehåll för de villkor som anges i skälen 188–192) om de är antingen mellan en enskild person i EU och en sydkoreansk medborgare eller – om de uteslutande sker mellan icke-sydkoreanska medborgare – tillhör någon av de tre ovannämnda kategorierna 2 a), b) och c).

(188)

I båda scenarier får insamling av uppgifter om kommunikationsbekräftelse endast ske i syfte att förebygga hot mot den nationella säkerheten (330), medan kommunikationsbegränsande åtgärder endast får vidtas om det föreligger en allvarlig risk för den nationella säkerheten och insamlingen är nödvändig för att förhindra den (331). Dessutom får åtkomst till kommunikationsinnehåll endast ske som en sista utväg, och ansträngningar måste göras för att minimera överträdelser av kommunikationens integritet (332) och därigenom säkerställa att det står i proportion till det eftersträvade ändamålet som rör den nationella säkerheten. Insamling av både kommunikationsinnehåll och uppgifter om kommunikationsbekräftelse får endast pågå i högst fyra månader och ska om det eftersträvade målet uppnås under tiden omedelbart upphöra (333). Om de relevanta villkoren fortfarande är uppfyllda får perioden förlängas med upp till fyra månader, med tillstånd från en domstol (för de åtgärder som beskrivs i skäl 189) eller presidenten (för de åtgärder som beskrivs i skäl 190) (334).

(189)

Samma rättssäkerhetsgarantier gäller för insamling av uppgifter om kommunikationsbekräftelse och innehållet i kommunikation (335). Om minst en av de personer som är inblandade i kommunikationen är en sydkoreansk medborgare måste underrättelsetjänsten inge en skriftlig begäran till överåklagarmyndigheten, som i sin tur måste ansöka om ett domstolsbeslut från en chef vid en överdomstol (336). I lagen om post- och telehemlighet förtecknas den information som ska anges i begäran till åklagaren, ansökan om domstolsbeslut och själva domstolsbeslutet, vilket särskilt inbegriper motiveringen för begäran och de huvudsakliga skälen till misstanke, underlag samt information om den föreslagna åtgärdens syfte, mål (dvs. den eller de enskilda personer som berörs), omfattning och varaktighet (337). Insamling utan domstolsbeslut får endast ske om det rör sig om en konspirationshandling som hotar den nationella säkerheten och om det föreligger en nödsituation som gör det omöjligt att genomgå ovannämnda förfaranden (338). Även i detta fall måste dock en ansökan om ett domstolsbeslut inges omedelbart efter det att åtgärden har vidtagits (339). I lagen om post- och telehemlighet fastställs därför tydligt omfattningen och villkoren för dessa typer av insamling, och de underkastas särskilda (förfarandemässiga) skyddsåtgärder (bl.a. förhandsgodkännande från domstol), vilket säkerställer att användningen av sådana åtgärder begränsas till vad som är nödvändigt och proportionerligt. Kravet att tillhandahålla utförlig information i både ansökan om ett domstolsbeslut och i själva domstolsbeslutet utesluter dessutom urskillningslös tillgång.

(190)

För kommunikation mellan icke-sydkoreanska medborgare som tillhör en av de tre särskilda kategorier som anges i skäl 187 ska en ansökan lämnas in till direktören för den nationella underrättelsetjänsten, som efter att ha granskat de föreslagna åtgärdernas lämplighet måste begära skriftligt förhandsgodkännande från Sydkoreas president (340). Underrättelsetjänstens ansökan ska innehålla samma utförliga information som en ansökan om domstolsbeslut (se skäl 189), framför allt vad avser motiveringen för begäran och de huvudsakliga skälen till misstanke, underlag och information om de föreslagna åtgärdernas syfte, berörd individ eller individer, omfattning och varaktighet (341). I nödsituationer (342) ska förhandsgodkännande inhämtas från den minister som den berörda underrättelsetjänsten sorterar under, även om underrättelsetjänsten måste ansöka om godkännande från presidenten omedelbart efter det att nödåtgärder har vidtagits (343). Även vad gäller insamling av kommunikation mellan uteslutande icke-sydkoreanska medborgare inskränker därför lagen om post- och telehemlighet användningen av detta till vad som är nödvändigt och proportionerligt genom att tydligt begränsa de kategorier av personer som kan bli föremål för sådana åtgärder och genom att fastställa detaljerade kriterier som underrättelsetjänster måste påvisa för att motivera en ansökan om insamling av information. Dessutom utesluter detta återigen möjligheten till urskillningslös tillgång. Även om det inte finns något oberoende förhandsgodkännande för sådana åtgärder garanteras oberoende tillsyn i efterhand genom framför allt nämnden för skydd av personuppgifter och den nationella människorättskommissionen (se t.ex. skälen 199–200).

(191)

I lagen om post- och telehemlighet föreskrivs dessutom flera ytterligare skyddsåtgärder som bidrar till efterhandstillsyn och underlättar enskilda personers tillgång till effektiva rättsmedel. För det första föreskrivs olika dokumentations- och rapporteringskrav i lagen om post- och telehemlighet när det gäller alla typer av insamling för ändamål som rör den nationella säkerheten. Framför allt gäller att underrättelsetjänsterna när de begär samarbete med privata operatörer ska tillhandahålla domstolsbeslutet/tillståndet från presidenten eller en kopia av försättsbladet till ett uttalande om nödcensur, som den förpliktade enheten måste förvara i sina register (344). Om privata operatörer förpliktas att samarbeta ska både den begärande myndigheten och den berörda operatören föra register över åtgärdernas föremål och syfte, samt datum för genomförandet (345). Underrättelsetjänsterna ska dessutom lämna rapporter om den information de har samlat in och övervakningens resultat till direktören för den nationella underrättelsetjänsten (346).

(192)

För det andra måste enskilda personer underrättas om insamlingen av deras uppgifter (uppgifter om bekräftelse av kommunikation eller kommunikationsinnehåll) för ändamål som rör den nationella säkerheten om det gäller kommunikation där minst en av parterna är sydkoreansk medborgare (347). Denna underrättelse ska lämnas skriftligen inom 30 dagar från den dag då insamlingen avslutades (detta gäller även när uppgifter inhämtas i enlighet med nödförfarandet) och får endast skjutas upp om och så länge som den skulle äventyra den nationella säkerheten eller skada människors liv och fysiska säkerhet (348). Oberoende av en sådan underrättelse kan enskilda personer erhålla prövning på olika sätt, vilket förklaras närmare i avsnitt 3.3.4.

(193)

Enligt lagen mot terrorism får den nationella underrättelsetjänsten samla in uppgifter om misstänkta terrorister (349) i enlighet med de begränsningar och skyddsåtgärder som fastställs i andra lagar (350). I synnerhet får den nationella underrättelsetjänsten erhålla kommunikationsuppgifter (på grundval av lagen om post- och telehemlighet) och andra personuppgifter (genom en begäran om frivilligt utlämnande) (351). När det gäller insamling av kommunikationsinformation (dvs. kommunikationsinnehåll eller uppgifter om kommunikationsbekräftelse) gäller de begränsningar och skyddsåtgärder som beskrivs i avsnitt 3.3.1.1, däribland kravet på att erhålla ett domstolsbeslut. När det gäller ansökningar om frivilligt utlämnande av andra typer av personuppgifter om misstänkta terrorister måste den nationella underrättelsetjänsten uppfylla kraven i författningen och PIPA avseende nödvändighet och proportionalitet (se skäl 164) (352). Personuppgiftsansvariga som tar emot en sådan begäran kan samarbeta frivilligt enligt de villkor som fastställs i PIPA (t.ex. i enlighet med principen om uppgiftsminimering och genom att begränsa påverkan på den enskilda personens integritet) (353). I detta fall måste de också uppfylla kravet på att den berörda personen ska underrättas, som följer av meddelande nr 2021-5 (se skäl 166).

(194)

På grundval av lagen om telekomoperatörer får leverantörer av telekommunikation frivilligt lämna ut abonnentuppgifter (se skäl 163) på begäran av en underrättelsetjänst som har för avsikt att samla in sådana uppgifter för att förhindra ett hot mot den nationella säkerheten (354). När det gäller sådana begäranden från den nationella underrättelsetjänsten gäller samma begränsningar (som följer av författningen, PIPA och lagen om telekomoperatörer) som på området brottsbekämpning, såsom anges i skäl 164 (355). Leverantörer av telekommunikation är inte skyldiga att efterkomma begäran och kan endast göra det enligt de villkor som anges i PIPA (särskilt i enlighet med principen om uppgiftsminimering och genom att begränsa inverkan på den enskilda personens integritet, se även skäl 193). Samma krav avseende dokumentation och underrättelse till den berörda personen gäller som på det brottsbekämpande området (se skälen 165 och 166).

(195)

Behandling av personuppgifter som samlas in av sydkoreanska myndigheter för ändamål som rör den nationella säkerheten omfattas av principerna om ändamålsbegränsning (artikel 3.1–3.2 i PIPA), laglighet och korrekthet vid behandling (artikel 3.1 i PIPA), proportionalitet/uppgiftsminimering (artiklarna 3.1, 3.6 och 58 i PIPA), noggrannhet (artikel 3.3 i PIPA), öppenhet (artikel 3.5 i PIPA), säkerhet (artikel 58.4 i PIPA) och begränsad lagring (artikel 58.4 i PIPA) (356). Eventuellt utlämnande av personuppgifter till tredje part (däribland tredje land) kan endast ske i enlighet med dessa principer (i synnerhet ändamålsbegränsning och uppgiftsminimering) efter att ha utvärderat efterlevnaden av principerna om nödvändighet och proportionalitet (artikel 37.2 i författningen) och med beaktande av hur de berörda personernas rättigheter påverkas (artikel 3.6 i PIPA).

(196)

När det gäller kommunikationsinnehåll och uppgifter om kommunikationsbekräftelse begränsas i lagen om post- och telehemlighet användningen av sådana uppgifter ytterligare till rättsliga förfaranden, om en part kopplad till kommunikationen förlitar sig på den i en skadeståndstalan, eller sådan användning som tillåts enligt andra lagar (357).

(197)

I Sydkorea övervakas de nationella säkerhetsmyndigheternas verksamhet av olika organ (358).

(198)

För det första föreskrivs i lagen mot terrorism särskilda tillsynsmekanismer för terrorismbekämpning, däribland insamling av uppgifter om misstänkta terrorister. Särskilt när det gäller den verkställande makten övervakas terrorismbekämpning av kommissionen för terrorismbekämpning (359), som direktören för den nationella underrättelsetjänsten är skyldig att rapportera till avseende utredningar och spårning av misstänkta terrorister för att samla in uppgifter eller material som behövs för att bekämpa terrorism (360). Dessutom övervakar ombudet för skydd av de mänskliga rättigheterna specifikt efterlevnaden av de grundläggande rättigheterna vid terrorismbekämpning (361). Ombudet för skydd av de mänskliga rättigheterna utses av ordföranden för kommissionen för terrorismbekämpning bland personer som uppfyller de särskilda kvalifikationer som anges i genomförandedekretet till lagen mot terrorism (362) för en (förnybar) period på två år. Ombudet för skydd av de mänskliga rättigheterna kan endast avsättas från sitt uppdrag på särskilda, begränsade grunder och när starka skäl föreligger (363). Vid utövandet av sin tillsynsfunktion får ombudet för skydd av de mänskliga rättigheterna utfärda allmänna rekommendationer för att förbättra skyddet av de mänskliga rättigheterna (364) och särskilda rekommendationer för korrigerande åtgärder om en kränkning av de mänskliga rättigheterna har konstaterats (365). Myndigheter är skyldiga att informera ombudet för skydd av de mänskliga rättigheterna om uppföljningen av dessa rekommendationer (366).

(199)

För det andra övervakar nämnden för skydd av personuppgifter nationella säkerhetsmyndigheters efterlevnad av dataskyddsregler, vilket omfattar både tillämpliga bestämmelser i PIPA (se skäl 149) och de begränsningar och skyddsåtgärder som gäller för insamling av personuppgifter enligt andra lagar (lagen om post- och telehemlighet, lagen mot terrorism och lagen om telekomoperatörer, se även skäl 171) (367). Vid utövandet av denna tillsynsroll kan nämnden för skydd av personuppgifter utnyttja alla sina utredningsbefogenheter och korrigerande befogenheter, såsom beskrivs i detalj i avsnitt 2.4.2.

(200)

För det tredje är de nationella säkerhetsmyndigheternas verksamhet föremål för oberoende tillsyn av den nationella människorättskommissionen i enlighet med de förfaranden som beskrivs i skäl 172 (368).

(201)

För det fjärde sträcker sig revisions- och kontrollstyrelsens tillsynsfunktion också till nationella säkerhetsmyndigheter, även om den nationella underrättelsetjänsten i undantagsfall kan vägra att tillhandahålla vissa uppgifter eller material, dvs. när de utgör statshemligheter och ett offentliggörande skulle ha en allvarlig inverkan på den nationella säkerheten (369).

(202)

Slutligen utförs den parlamentariska tillsynen av den nationella underrättelsetjänstens verksamhet (genom ett specialiserat underrättelseutskott) (370). I lagen om post- och telehemlighet fastställs en särskild tillsynsroll för parlamentet när det gäller användningen av kommunikationsbegränsande åtgärder för ändamål som rör den nationella säkerheten (371). Parlamentet får i synnerhet genomföra kontroller på plats av avlyssningsutrustning och kan kräva att både den nationella underrättelsetjänsten och de teleoperatörer som har lämnat ut kommunikationsinnehåll lägger fram en rapport om detta. Parlamentet kan också utföra sina allmänna tillsynsfunktioner (i enlighet med de förfaranden som beskrivs i skäl 174). Enligt NIS-lagen ska direktören för den nationella underrättelsetjänsten utan dröjsmål svara när underrättelseutskottet begär en rapport i en viss fråga (372), med särskilda regler för viss särskilt känslig information. Närmare bestämt får direktören för den nationella underrättelsetjänsten endast vägra att svara eller vittna inför kommittén i undantagsfall, dvs. om begäran avser statshemligheter som rör militära eller diplomatiska frågor eller frågor med anknytning till Nordkorea, där ett offentliggörande kan ha en allvarlig inverkan på landets framtid (373). I sådana fall kan underrättelseutskottet begära en förklaring från premiärministern, och om ingen förklaring ges inom sju dagar får svaret eller vittnesmålet inte vägras.

(203)

Även på området nationell säkerhet erbjuds i det sydkoreanska systemet olika (rättsliga) möjligheter att erhålla prövning, däribland skadestånd. Dessa mekanismer ger de registrerade effektiva administrativa och rättsliga medel som särskilt gör det möjligt för dem att tillvarata sina rättigheter, däribland rätten att få tillgång till sina personuppgifter eller att få dessa uppgifter rättade eller raderade.

(204)

För det första kan enskilda personer i enlighet med artiklarna 3.5, 4.1, 4.3 och 4.4 i PIPA utöva sin rätt till tillgång, rättelse, radering och upphörande gentemot nationella säkerhetsmyndigheter. I avsnitt 6 i meddelande nr 2021-5 (bilaga I till detta beslut) klargörs vidare hur dessa rättigheter är tillämpliga i samband med behandling av uppgifter för ändamål som rör den nationella säkerheten. I synnerhet får en nationell säkerhetsmyndighet endast begränsa eller neka utövandet av rättigheten i den utsträckning och så länge som det är nödvändigt och proportionellt för att skydda ett viktigt syfte i allmänhetens intresse (t.ex. i den mån och så länge som beviljandet av rättigheten skulle äventyra en pågående utredning eller hota den nationella säkerheten), eller om beviljandet av rättigheten kan skada en tredje parts liv eller kropp. Vid åberopande av en sådan begränsning krävs därför en avvägning av individens rättigheter och intressen mot det relevanta allmänintresset, och det får under inga omständigheter påverka rättighetens väsentliga innehåll (artikel 37.2 i författningen). Om begäran avslås eller begränsas ska personen utan dröjsmål underrättas om skälen till detta.

(205)

För det andra har enskilda personer rätt att erhålla prövning enligt PIPA om deras uppgifter har behandlats av en nationell säkerhetsmyndighet i strid med PIPA eller begränsningarna och skyddsåtgärderna i andra lagar som reglerar insamlingen av personuppgifter (särskilt lagen om post- och telehemlighet, se skäl 171) (374). Denna rätt kan utövas genom ett klagomål till nämnden för skydd av personuppgifter (däribland via integritetstjänsten som drivs av Sydkoreas byrå för internet och säkerhet) (375). För att underlätta tillgången till prövning mot sydkoreanska nationella säkerhetsmyndigheter kan dessutom enskilda personer i EU lämna in ett klagomål till nämnden för skydd av personuppgifter via sin nationella dataskyddsmyndighet (376). I dessa fall kommer nämnden för skydd av personuppgifter att underrätta personen via den nationella dataskyddsmyndigheten när undersökningen har avslutats (däribland, i tillämpliga fall, information om de korrigerande åtgärder som vidtagits). På grundval av förvaltningsprocesslagen kan enskilda personer dessutom överklaga/bestrida nämndens beslut eller passivitet (se skäl 132).

(206)

För det tredje kan enskilda personer inge ett klagomål till ombudet för skydd av de mänskliga rättigheterna avseende överträdelser av deras rätt till integritet eller skydd av personuppgifter i samband med terrorismbekämpning (dvs. enligt lagen mot terrorism) (377). Ombudet kan rekommendera korrigerande åtgärder. Eftersom det inte finns några formkrav för anmälningar till ombudet behandlas ett klagomål även om den berörda personen inte kan påvisa att han eller hon faktiskt har lidit skada (t.ex. på grund av påstått olaglig insamling av hans eller hennes uppgifter som utförts av en nationell säkerhetsmyndighet) (378). Den berörda myndigheten ska informera ombudet för skydd av de mänskliga rättigheterna om alla åtgärder som vidtas för att genomföra dess rekommendationer.

(207)

För det fjärde kan enskilda personer lämna in ett klagomål till den nationella människorättskommissionen om nationella säkerhetsmyndigheters insamling av deras uppgifter och erhålla prövning i enlighet med det förfarande som beskrivs i skäl 178 (379).

(208)

Slutligen finns det olika rättsmedel (380) som gör det möjligt för enskilda att åberopa de begränsningar och skyddsåtgärder som beskrivs i avsnitt 3.3.1 för att erhålla prövning. Framför allt kan enskilda personer bestrida lagenligheten hos nationella säkerhetsmyndigheters åtgärder på grundval av förvaltningsprocesslagen (i enlighet med det förfarande som beskrivs i skäl 181 eller lagen om författningsdomstolen (se skäl 182). Dessutom kan de erhålla skadestånd på grundval av lagen om statlig kompensation (som beskrivs närmare i skäl 183).

(209)

Kommissionen anser att Sydkorea – genom PIPA, de särskilda regler som gäller för vissa sektorer (enligt analysen i avsnitt 2) och de ytterligare skyddsåtgärder som föreskrivs i meddelande nr 2021-5 (bilaga I) – säkerställer en skyddsnivå för personuppgifter, vilka överförts från Europeiska unionen, som väsentligen är likvärdig med den skyddsnivå som garanteras genom förordning (EU) 2016/679.

(210)

Kommissionen anser dessutom att det sydkoreanska rättssystemets tillsynsmekanismer och möjligheter till prövning gör att överträdelser mot dataskyddsreglerna som begås av personuppgiftsansvariga i Sydkorea kan identifieras och åtgärdas i praktiken, och dessutom erbjuds de registrerade rättsmedel för att få tillgång till sina personuppgifter. Slutligen går det också att få sådana uppgifter rättade eller raderade.

(211)

På grundval av tillgängliga uppgifter om den sydkoreanska rättsordningen, bl.a. framställningar, utfästelser och åtaganden från den sydkoreanska regeringen i bilaga II, anser kommissionen att sydkoreanska myndigheters eventuella intrång i de grundläggande rättigheterna för enskilda vilkas personuppgifter överförs från EU till Sydkorea för allmännyttiga ändamål, särskilt i straffrättsliga syften som rör brottsbekämpning och den nationella säkerheten, kommer att vara begränsade till vad som är absolut nödvändigt för att uppnå det legitima målet i fråga, och att det finns ett faktiskt rättsligt skydd mot sådant intrång.

(212)

Mot bakgrund av slutsatserna i föreliggande beslut bör det därför beslutas att Sydkorea säkerställer en adekvat skyddsnivå i den mening som avses i artikel 45 i förordning (EU) 2016/679, tolkad mot bakgrund av Europeiska unionens stadga om de grundläggande rättigheterna, för personuppgifter som överförs från Europeiska unionen till Sydkorea, till personuppgiftsansvariga i Sydkorea som omfattas av PIPA, med undantag för religiösa organisationer i den mån de behandlar personuppgifter för missionsverksamhet, politiska partier i den mån de behandlar personuppgifter i samband med nominering av kandidater och personuppgiftsansvariga som är föremål för tillsyn av kommittén för finanstjänster för behandling av personlig kreditinformation enligt lagen om kreditinformation, i den mån de behandlar sådana uppgifter.

(213)

Medlemsstaterna och deras organ åläggs att vidta erforderliga åtgärder för att efterleva rättsakter från unionens institutioner, eftersom dessa antas vara giltiga och därmed ha rättsverkan så länge de inte har återkallats, upphävts enligt en talan om ogiltigförklaring eller till följd av en begäran om förhandsavgörande eller invändning om rättsstridighet.

(214)

Ett beslut om adekvat skyddsnivå som antas av kommissionen enligt artikel 45.3 i förordning (EU) 2016/679 är följaktligen bindande för alla organ i medlemsstaterna som det riktar sig till, också för deras oberoende tillsynsmyndigheter. I synnerhet får överföringar från personuppgiftsansvariga eller personuppgiftsbiträden i Europeiska unionen till personuppgiftsansvariga i Sydkorea äga rum utan ytterligare tillstånd.

(215)

Det bör erinras om att enligt artikel 58.5 i förordning (EU) 2016/679, och såsom domstolen förklarade i Schrems-domen (381), ska en nationell dataskyddsmyndighet, även vid klagomål, ifrågasätta huruvida ett kommissionsbeslut om adekvat skyddsnivå är förenligt med den enskildas grundläggande rätt till integritet och skydd av personuppgifter och därför måste den nationella lagstiftningen innehålla ett rättsmedel för att framföra dessa invändningar till en nationell domstol som kan vara skyldig att begära ett förhandsavgörande från EU-domstolen (382).

(216)

Enligt domstolens rättspraxis (383), och som erkänts i artikel 45.4 i förordning (EU) 2016/679, bör kommissionen fortlöpande övervaka relevant utveckling i tredjelandet efter antagandet av ett beslut om adekvat skyddsnivå för att bedöma huruvida tredjelandet fortfarande säkerställer en väsentligen likvärdig skyddsnivå. En sådan kontroll krävs i alla händelser när kommissionen får information som ger upphov till motiverat tvivel i detta hänseende.

(217)

Därför bör kommissionen fortlöpande övervaka läget i Sydkorea i fråga om regelverk och praxis rörande behandlingen av personuppgifter enligt definitionen i detta beslut, även de sydkoreanska myndigheternas efterlevnad av framställningarna, utfästelserna och åtagandena i bilaga II. För att underlätta detta förfarande uppmanas sydkoreanska myndigheter att underrätta kommissionen om all väsentlig utveckling som är relevant för detta beslut, rörande näringsidkares och myndigheters behandling av personuppgifter liksom de begränsningar och skyddsåtgärder som gäller myndigheters tillgång till personuppgifter.

(218)

För att kommissionen ska kunna utföra sin övervakningsfunktion på ett effektivt sätt bör medlemsstaterna dessutom informera kommissionen om alla relevanta åtgärder som vidtas av de nationella dataskyddsmyndigheterna, särskilt när det gäller förfrågningar eller klagomål från registrerade i EU om överföring av personuppgifter från Europeiska unionen till personuppgiftsansvariga i Sydkorea. Kommissionen bör även underrättas om eventuella indikationer på att åtgärder som vidtas av sydkoreanska myndigheter med ansvar för att förebygga, utreda, avslöja eller lagföra brott, eller med hänvisning till den nationella säkerheten, däribland eventuella tillsynsorgan, inte kan garantera den erforderliga skyddsnivån.

(219)

Vid tillämpningen av artikel 45.3 i förordning (EU) 2016/679 (384), och då den skyddsnivå som åstadkoms av den sydkoreanska rättsordningen kan bli föremål för ändringar, bör kommissionen, efter antagandet av detta beslut, regelbundet ser över huruvida de konstateranden om adekvat skyddsnivå som säkerställs av Sydkorea fortfarande är sakligt och rättsligt motiverade.

(220)

Därför bör detta beslut bli föremål för en första översyn inom tre år efter ikraftträdandet. Efter den första översynen, och beroende på resultatet av denna, kommer kommissionen att i nära samråd med den kommitté som inrättats enligt artikel 93.1 i förordning (EU) 2016/679 avgöra om treårscykeln bör bibehållas. Under alla omständigheter bör efterföljande översyn ske minst vart fjärde år (385). Översynen bör omfatta alla aspekter av tillämpningen av detta beslut, i synnerhet tillämpningen av de ytterligare skyddsåtgärder som anges i bilaga I till detta beslut (med särskild uppmärksamhet på det skydd som erbjuds i fall av vidare överföring), utveckling av rättspraxis på området, reglerna om behandling av pseudonymiserade uppgifter för statistik, vetenskaplig forskning eller arkiveringsändamål i allmänhetens intresse samt tillämpningen av undantagen enligt artikel 28.7 i PIPA, effektiviteten hos utövandet av enskildas rättigheter (bl.a. inför den nyligen reformerade nämnden för skydd av personuppgifter) och tillämpningen av undantag från dessa rättigheter, tillämpningen av de partiella undantagen enligt PIPA, samt begränsningar och skyddsåtgärder avseende myndigheters tillgång till uppgifter (enligt bilaga II till detta beslut), bl.a. samarbetet mellan nämnden för skydd av personuppgifter och dataskyddsmyndigheter i EU rörande klagomål från enskilda personer. Den bör även omfatta det faktiska utövandet och verkställigheten, både avseende PIPA och på området brottsbekämpning och nationell säkerhet (särskilt vad gäller nämnden för skydd av personuppgifter och den nationella människorättskommissionen).

(221)

Inför översynen bör kommissionen sammanträda med nämnden för skydd av personuppgifter, om lämpligt tillsammans med andra sydkoreanska myndigheter med ansvar för myndigheters tillgång till uppgifter, samt med berörda tillsynsorgan. Deltagande i mötet bör vara öppet för företrädare för ledamöterna i Europeiska dataskyddsstyrelsen. I samband med översynen bör kommissionen begära att nämnden för skydd av personuppgifter förser den med omfattande information om samtliga aspekter av relevans för konstaterandet om adekvat skyddsnivå, också om begränsningar och skyddsåtgärder avseende myndigheters tillgång till uppgifter (386). Kommissionen bör också begära klargöranden om de uppgifter som inkommit till den och som är relevanta för detta beslut, däribland offentliga rapporter från sydkoreanska myndigheter eller andra intressenter i Sydkorea, Europeiska dataskyddsstyrelsen, enskilda dataskyddsmyndigheter, grupper i det civila samhället, rapporter från media eller andra tillgängliga informationskällor.

(222)

På grundval av översynen ska kommissionen utarbeta en offentlig rapport som ska överlämnas till Europaparlamentet och rådet.

(223)

Om tillgänglig information, särskilt information från övervakningen av detta beslut eller från Sydkoreas eller medlemsstaternas myndigheter, visar att den skyddsnivå som Sydkorea erbjuder kanske inte längre är adekvat, bör kommissionen informera de behöriga sydkoreanska myndigheterna om detta och begära att lämpliga åtgärder vidtas inom en angiven, rimlig tidsram.

(224)

Om de behöriga sydkoreanska myndigheterna vid utgången av den angivna tidsfristen underlåter att vidta dessa åtgärder eller på annat tillfredsställande sätt visar att detta beslut fortfarande bygger på en adekvat skyddsnivå, kommer kommissionen att inleda det förfarande som avses i artikel 93.2 i förordning (EU) 2016/679 i syfte att helt eller delvis upphäva eller återkalla detta beslut.

(225)

Alternativt kommer kommissionen att inleda förfarandet i syfte att ändra beslutet, särskilt genom att underställa överföringar av uppgifter ytterligare villkor eller genom att begränsa räckvidden för konstaterandet om adekvat skyddsnivå endast till uppgiftsöverföringar för vilka en adekvat skyddsnivå fortfarande säkerställs.

(226)

Kommissionen bör i synnerhet inleda förfarandet för upphävande eller återkallande vid indikationer på att de ytterligare skyddsåtgärder som anges i bilaga I inte efterlevs av näringsidkare som tar emot personuppgifter enligt detta beslut och/eller inte effektivt verkställs, eller att de sydkoreanska myndigheterna inte uppfyller de framställningar, utfästelser och åtaganden som ingår i bilaga II till detta beslut.

(227)

Kommissionen bör också överväga att inleda ett förfarande som leder till ändring, upphävande eller återkallande av detta beslut, om behöriga sydkoreanska myndigheter, inom ramen för översynen eller på annat sätt, underlåter att tillhandahålla den information eller de klargöranden som är nödvändiga för bedömningen av skyddsnivån för personuppgifter vilka överförs från EU till Sydkorea och i överensstämmelse med detta beslut. I detta avseende bör kommissionen beakta i vilken utsträckning de relevanta uppgifterna kan erhållas från andra källor.

(228)

Vid vederbörligen motiverade och tvingande skäl till skyndsamhet kommer kommissionen att utnyttja möjligheten att, i enlighet med det förfarande som avses i artikel 93.3 i förordning (EU) 2016/679, anta genomförandeakter med omedelbar verkan som upphäver, återkallar eller ändrar beslutet.

(229)

Europeiska dataskyddsstyrelsen offentliggjorde sitt yttrande (387), vilket har beaktats vid utarbetandet av föreliggande beslut.

(230)

De åtgärder som föreskrivs i detta beslut är förenliga med yttrandet från den kommitté som inrättats i enlighet med artikel 93.1 i förordning (EU) 2016/679.