Databeskyttelsesrådet vedtager udtalelse om udkast til afgørelse om tilstrækkeligheden af beskyttelsesniveauet for Sydkorea

27 September 2021 EDPB

Bruxelles, den 27. september — Databeskyttelsesrådet vedtog sin udtalelse om Europa-Kommissionens udkast til afgørelse om tilstrækkeligheden af beskyttelsesniveauet for Republikken Korea. Databeskyttelsesrådet fokuserede på generelle aspekter af databeskyttelsesforordningen og offentlige myndigheders adgang til personoplysninger, der overføres fra Det Europæiske Økonomiske Samarbejdsområde (EØS) til Republikken Korea med henblik på retshåndhævelse og national sikkerhed, herunder de retsmidler, enkeltpersoner har adgang til i EØS. Databeskyttelsesrådet vurderede også, om de garantier, der blev givet i henhold til de koreanske retlige rammer, er effektive.

Formanden for Databeskyttelsesrådet, Andrea Jelinek, udtalte: "Denne afgørelse om tilstrækkeligheden af beskyttelsesniveauet er af afgørende betydning, da den vil omfatte overførsler i både den offentlige og den private sektor. Et højt databeskyttelsesniveau er afgørende for at støtte vores langvarige forbindelser med Sydkorea og for at beskytte fysiske personers rettigheder og frihedsrettigheder. Vi understreger, at centrale aspekter af den koreanske databeskyttelsesramme i det væsentlige svarer til Den Europæiske Unions, men vi opfordrer Kommissionen til yderligere at præcisere visse aspekter og nøje overvåge situationen."

I forhold til den generelle databeskyttelsesramme bemærker Databeskyttelsesrådet, at der er nøgleområder, hvor EU's og Sydkoreas databeskyttelsesrammer svarer til hinanden med hensyn til visse centrale bestemmelser, såsom:

  • databeskyttelsesbegreber (f.eks. personoplysninger, behandling, registrerede)
  • grunde til lovlig behandling til legitime formål
  • formålsbegrænsning
  • datalagring, -sikkerhed og -fortrolighed
  • gennemsigtighed.

Databeskyttelsesrådet glæder sig over Europa-Kommissionens og de koreanske myndigheders bestræbelser på at sikre, at Republikken Korea sikrer et databeskyttelsesniveau, der i det væsentlige svarer til databeskyttelsesniveauet i databeskyttelsesforordningen. F.eks. vedtagelsen af meddelelser fra den sydkoreanske databeskyttelsesmyndighed (PIPC), der har til formål at udfylde hullerne mellem databeskyttelsesforordningen og den koreanske databeskyttelsesramme, såsom den yderligere beskyttelse i henhold til meddelelse nr. 2021-1.

Databeskyttelsesrådet opfordrer Europa-Kommissionen til at give yderligere oplysninger om den bindende karakter, håndhævelsen og gyldigheden af meddelelse nr. 2021-1 og anbefaler en omhyggelig overvågning heraf i praksis.

Med hensyn til offentlige myndigheders adgang til oplysninger, der overføres til Republikken Korea, bemærker Databeskyttelsesrådet, at PIPA's bestemmelser finder ubegrænset anvendelse på retshåndhævelsesområdet. Databeskyttelsesrådet bemærker endvidere, at databehandling på området national sikkerhed er underlagt et mere begrænset sæt bestemmelser, der er nedfældet i PIPA, selv om PIPA's centrale principper samt de grundlæggende garantier for registreredes rettigheder og bestemmelserne om tilsyn, håndhævelse og retsmidler finder anvendelse på de nationale sikkerhedsmyndigheders adgang til og anvendelse af personoplysninger. Den sydkoreanske forfatning indeholder også væsentlige databeskyttelsesprincipper, som finder anvendelse på offentlige myndigheders adgang til personoplysninger inden for retshåndhævelse og national sikkerhed. Databeskyttelsesrådet er desuden enigt i Kommissionens konklusion om, at Sydkorea kan anses for at have et uafhængigt og effektivt tilsynssystem.

Endelig anmoder Databeskyttelsesrådet, for så vidt angår effektive retsmidler og klageadgang, Kommissionen om at præcisere de materielle og/eller proceduremæssige krav, såsom en bevisbyrde, som en klage til PIPC eller ethvert søgsmål ved en domstol er underlagt, og hvorvidt EU's borgere vil være i stand til at opfylde en sådan betingelse.

I forbindelse med sin vurdering anvendte Databeskyttelsesrådet databeskyttelsesforordningens reference vedrørende et tilstrækkeligt beskyttelsesniveau og Databeskyttelsesrådets anbefalinger 02/2020 om de europæiske væsentlige garantier for overvågningsforanstaltninger samt EU-Domstolens og Menneskerettighedsdomstolens eksisterende retspraksis vedrørende offentlige myndigheders adgang.

 

Bemærkning til redaktører:
Alle dokumenter, der vedtages på Databeskyttelsesrådets plenarmøde, undergår de nødvendige kontroller af juridisk, sproglig og formateringsmæssig art og vil blive gjort tilgængelige på Databeskyttelsesrådets websted, når disse er afsluttet.