EROD o projekcie decyzji KE stwierdzającej odpowiedni stopień ochrony w Korei Południowej

Europejska Rada Ochrony Danych (EROD) przyjęła 24 września 2021 r. opinię w sprawie projektu decyzji dotyczącej odpowiedniego stopnia ochrony danych osobowych w Korei Południowej.

Podczas 55. posiedzenia plenarnego EROD przyjęła opinię w sprawie projektu decyzji Komisji Europejskiej (KE) stwierdzającej odpowiedni stopnień ochrony danych osobowych w Republice Korei. Obejmie ona przekazywanie danych zarówno w sektorze publicznym, jak i prywatnym.

EROD skoncentrowała się na ogólnych aspektach RODO oraz na dostępie organów publicznych do danych osobowych przekazywanych z Europejskiego Obszaru Gospodarczego (EOG) do Republiki Korei do celów egzekwowania prawa i bezpieczeństwa narodowego, w tym na środkach ochrony prawnej dostępnych dla osób fizycznych w EOG. EROD oceniła również, czy zabezpieczenia przewidziane w koreańskich ramach prawnych są skuteczne.

W sprawie ogólnych ram ochrony danych, EROD zauważyła, że istnieją kluczowe obszary zgodności między unijnymi i południowokoreańskimi ramami ochrony danych w odniesieniu do pewnych podstawowych przepisów, takich jak:

• pojęcia ochrony danych (np. informacje osobowe; przetwarzanie; osoba, której dane dotyczą);
• podstawy zgodnego z prawem przetwarzania w uzasadnionych celach;
• ograniczenie celu;
• zatrzymywanie danych, bezpieczeństwo i poufność; oraz
• przejrzystość.

EROD z zadowoleniem przyjęła wysiłki podejmowane przez KE i władze koreańskie w celu zagwarantowania, że Republika Korei zapewnia stopień ochrony danych merytorycznie równoważny temu zagwarantowanemu w RODO. Chodzi o wysiłki takie, jak np. przyjęcie notyfikacji przez południowokoreański organ ochrony danych osobowych (PIPC), które mają na celu wypełnienie luk między RODO a koreańskimi ramami ochrony danych, tj. dodatkowe zabezpieczenia przewidziane w Notyfikacji nr 2021-1. Jednocześnie EROD zachęciła KE do przedstawienia dalszych informacji w sprawie wiążącego charakteru, wykonalności i ważności Notyfikacji nr 2021-1 oraz zaleciła uważne monitorowanie tej kwestii w praktyce.

W sprawie dostępu organów publicznych do danych przekazywanych do Republiki Korei, EROD zauważyła, że przepisy ustawy o ochronie danych osobowych (PIPA) mają nieograniczone zastosowanie w dziedzinie egzekwowania prawa. EROD zwróciła uwagę ponadto, że przetwarzanie danych w dziedzinie bezpieczeństwa narodowego podlega bardziej ograniczonemu zestawowi przepisów zawartych w PIPA, chociaż podstawowe zasady PIPA, jak również podstawowe gwarancje praw osób, których dane dotyczą, oraz przepisy dotyczące nadzoru, egzekwowania i środków ochrony prawnej mają zastosowanie w przypadku dostępu organów bezpieczeństwa narodowego do danych osobowych i ich wykorzystywania. W konstytucji Korei Południowej zapisano również podstawowe zasady ochrony danych, które mają zastosowanie w przypadku dostępu do danych osobowych przez organy publiczne w dziedzinie egzekwowania prawa i bezpieczeństwa narodowego. Ponadto EROD zgodziła się z wnioskiem KE, że Korea Południowa może być uznana za kraj posiadający niezależny i skuteczny system nadzoru.

Wreszcie, w odniesieniu do skutecznych środków ochrony prawnej i prawa do środka zaskarżenia, EROD zwraca się do Komisji o wyjaśnienie wymogów materialnych i/lub proceduralnych, takich jak ciężar dowodu, którym podlega skarga do PIPC lub jakiekolwiek działanie przed sądem, oraz czy osoby fizyczne z UE będą w stanie spełnić taki warunek wstępny.

W związku z 55. posiedzeniem plenarnym na stronie internetowej EROD opublikowano oświadczenie prasowe, którego tłumaczenie w języku polskim jest w załączniku poniżej:

https://edpb.europa.eu/news/news/2021/edpb-adopts-opinion-draft-south-korea-adequacy-decision_pl

2021-09-30