Europeiska kommissionen godkänner överföring av personuppgifter till Sydkorea

Författare:

|

Datum:

|

Den 17 december 2021 beslutade Europeiska kommissionen att Sydkorea erbjuder en adekvat skyddsnivå. Beslutet gäller tillsvidare men kommer omprövas efter tre år och därefter vart fjärde år.

Europeiska kommissionen skriver i sin FAQ att Sydkorea år 2020 genomförde betydande reformer av sitt dataskydd. Reformerna gav den koreanska dataskyddsmyndigheten, Personal Information Protection Commission (PIPC) i Sydkorea, starkare utrednings- och tillsynsbefogenheter. Enligt Kommissionens uppfattning utgör sådana reformer där ett lands dataskyddsmyndighet garanteras en oberoende ställning, en nyckelkomponent i den nya globala standarden för moderna dataskyddslagar som håller på att växa fram. I FAQ:n anges också att beslutet om adekvat skyddsnivå kommer att stärka frihandelsavtalet mellan EU och Sydkorea, som för närvarande omsätter cirka 90 miljarder euro per år.

Beslutet innehåller få undantag

Koreas personuppgiftslag, Personal Information Protection Act (PIPA), som Europeiska kommissionen anser vara förenlig med EU:s lagstiftning, har ett brett tillämpningsområde. Den gäller både organisationer inom den privata och den offentliga sektorn. I beslutet om adekvat skyddsnivå förutsätts att även den behandling av överförda uppgifter som kan komma att utföras av brottsbekämpande organ och underrättelsetjänster i Korea uppfyller EU:s normer.

Det finns dock tre väldigt specifika undantag: Beslutet tillåter inte överföringar om uppgifterna ska användas i Korea när ett politiskt parti nominerar kandidater, i religiösa organisationers missionsverksamhet och av finansiella organisationer som omfattas av den koreanska finansinspektionens jurisdiktion. Dessa aktiviteter omfattas antingen av annan lag eller av mjukare PIPA-regler som inte uppfyller EU-rättens krav.

Europeiska kommissionen har undersökt de förpliktelser som PIPA innebär för privata organisationer och offentliga organ i Korea som behandlar personuppgifter som exporterats från Europa. Europeiska kommissionen anser att PIPA innehåller begränsningar som uppfyller de EU-rättsliga kraven på nödvändighet och proportionalitet samt mekanismer för tillsyn och rättslig prövning för EU-medborgare.

Bilaga II till beslutet om adekvat skyddsnivå innehåller information om det koreanska rättssystemet som de koreanska myndigheterna lämnat till Europeiska kommissionen. I denna bilaga anges det att skyddet av personuppgifter inte har någon egen bestämmelse i Koreas konstitution. Skyddet härleds ur de grundläggande mänskliga rättigheterna om mänsklig värdighet, att sträva efter lycka och att ha ett privatliv. Vidare förklarar de koreanska myndigheterna i bilagan att den koreanska författningsdomstolen har slagit fast att de grundläggande mänskliga rättigheterna även gäller för utlänningar. Det finns dock inget specifikt prejudikat om utlänningars grundlagsskyddade rätt till att ha ett privatliv.

Extra skydd för EU-data och fler beslut om adekvat skyddsnivå på gång

Den koreanska dataskyddsmyndigheten CIPC har också publicerat ett tillkännagivande till koreanska personuppgiftsansvariga, som har status som bindande offentlig rätt. Tillkännagivandet innehåller specialregler som kompletterar PIPA för uppgifter som överförs till Korea enligt Europeiska kommissionens beslut om adekvat skyddsnivå. Koreanska personuppgiftsansvariga som importerar uppgifter måste enligt dessa kompletterande regler under alla omständigheter informera den registrerade senast en månad efter det att uppgifterna importerats.

Avslutningsvis aviserar Europeiska kommissionen i FAQ:n att fler beslut om adekvat skyddsnivå kan vara på gång. För det första har förhandlingarna med USA om ett nytt arrangemang för laglig överföring av uppgifter dit intensifierats under senaste månaderna. För det andra utforskar kommissionen aktivt möjligheten till fler adekvansbeslut i dialog med länder i Asien och Latinamerika.

Vill du veta mer?

Läs det gemensamma pressmeddelandet från EU Kommisionen och Koreanska dataskyddsmyndigheten CIPC

Direktlänk till beslutet om adekvat skyddsnivå (inklusive bilagor)

Direktlänk till EU Kommissionens FAQ om beslutet