EDPB brengt advies uit over ontwerpadequaatheidsbesluit Zuid-Korea

27 September 2021 EDPB

Brussel, 27 september – Het Europees Comité voor gegevensbescherming (EDPB) heeft advies uitgebracht over het ontwerp van de Europese Commissie voor een adequaatheidsbesluit ten aanzien van Zuid-Korea. Het Comité heeft zich gebogen over algemene AVG-aspecten en de toegang van overheidsinstanties tot persoonsgegevens die met het oog op rechtshandhaving en nationale veiligheid vanuit de Europese Economische Ruimte (EER) naar de Republiek Korea worden doorgegeven, met inbegrip van de rechtsmiddelen waarover personen in de EER beschikken. Het Comité heeft ook beoordeeld of de waarborgen die het Koreaanse rechtskader biedt, doeltreffend zijn.

Andrea Jelinek, voorzitter van het Comité: “Dit adequaatheidsbesluit is van het grootste belang, omdat het betrekking heeft op doorgiften in zowel de overheids- als de particuliere sector. Een hoog niveau van gegevensbescherming is essentieel om onze reeds lang bestaande banden met Zuid-Korea te bevorderen en de rechten en vrijheden van natuurlijke personen te waarborgen. Wij onderstrepen dat de kernaspecten van het Koreaanse gegevensbeschermingskader in wezen gelijkwaardig zijn aan die van de Europese Unie, maar verzoeken de Commissie verdere verduidelijking over bepaalde aspecten te verschaffen en de situatie nauwlettend in de gaten te houden.”

Wat het gegevensbeschermingskader betreft, merkt het Comité op dat de gegevensbeschermingskaders van de EU en Zuid-Korea voor het belangrijkste deel op elkaar aansluiten wat betreft een aantal kernbepalingen, zoals:

  • grondbegrippen inzake gegevensbescherming (bv. persoonsinformatie; verwerking; betrokkene);
  • gronden voor rechtmatige verwerking voor gerechtvaardigde doeleinden;
  • doelbinding;
  • bewaring, beveiliging en vertrouwelijkheid van gegevens; en
  • transparantie.

Het Comité is ingenomen met de inspanningen van de Europese Commissie en de Koreaanse autoriteiten om ervoor te zorgen dat de Republiek Korea een niveau van gegevensbescherming biedt dat in wezen gelijkwaardig is aan dat van de AVG. Zo zijn bijvoorbeeld door de gegevensbeschermingsautoriteit van Zuid-Korea (PIPC) uitgebrachte kennisgevingen bedoeld om de lacunes tussen de AVG en het Koreaanse gegevensbeschermingskader op te vullen, zoals kennisgeving nr. 2021-1, die in aanvullende bescherming voorziet.

Het Comité verzoekt de Europese Commissie nadere informatie te verstrekken over de bindende aard, de afdwingbaarheid en de geldigheid van kennisgeving nr. 2021-1 en beveelt aan hier in de praktijk nauwlettend toezicht op te houden.

Wat betreft de toegang van overheidsinstanties tot aan Zuid-Korea doorgegeven gegevens merkt het Comité op dat de bepalingen van de PIPA zonder beperking van toepassing zijn op de rechtshandhaving. Het Comité wijst er voorts op dat gegevensverwerking op het gebied van nationale veiligheid onder een beperkter aantal bepalingen van de Koreaanse wet bescherming persoonsgegevens (wbp) valt, hoewel de kernbeginselen van de wbp, evenals de fundamentele waarborgen voor de rechten van de betrokkene en de bepalingen inzake toezicht, handhaving en rechtsmiddelen, wel degelijk van toepassing zijn op de toegang tot en het gebruik van persoonsgegevens door de nationale veiligheidsdiensten. In de Zuid-Koreaanse grondwet zijn ook essentiële beginselen inzake gegevensbescherming vastgelegd die van toepassing zijn op de toegang tot persoonsgegevens door overheidsinstanties op het gebied van rechtshandhaving en nationale veiligheid. Daarnaast is het Comité het eens met de conclusie van de Commissie dat Zuid-Korea kan worden beschouwd als een land met een onafhankelijk en doeltreffend toezichtsysteem.

Ten slotte vraagt het Comité de Commissie met betrekking tot doeltreffende rechtsmiddelen en het recht op verhaal te verduidelijken aan welke materiële en/of procedurele vereisten, bijvoorbeeld met betrekking tot de bewijslast, een klacht bij de PIPC of een vordering voor een rechtbank moet voldoen, en of EU-burgers aan dergelijke voorwaarden zouden kunnen voldoen.

Voor zijn beoordeling heeft het Comité gebruikgemaakt van het adequaatheidsreferentiedocument betreffende de AVG, de Aanbevelingen 02/2020 van het EDPB over de Europese essentiële garanties voor surveillancemaatregelen en bestaande jurisprudentie van het HvJ-EU en het EHRM inzake toegang tot persoonsgegevens door overheidsinstanties.

 

Informatie voor redacteurs:
Alle documenten die tijdens de plenaire vergadering van het Europees Comité voor gegevensbescherming worden goedgekeurd, worden gecontroleerd op juridische aspecten, taal en formattering. Na afronding hiervan worden de betreffende documenten op de website van het Comité geplaatst.