Na kilka dni przed końcem okresu przejściowego Komisji Europejskiej udało się wydać decyzję o adekwatności dla Wielkiej Brytanii. Dzięki czemu wiele podmiotów mogła odetchnąć z ulgą. Tymczasem w tym samym czasie, bo pod koniec czerwca Komisja Europejska opublikowała projekt decyzji o adekwatności dla Korei Południowej.
Tym samym, Korea Południowa może zostać uznana obok Wielkiej Brytanii, Andory, Argentyny, Kanady, Wysp Owczych, Izraela, Japonii, Nowej Zelandii, Szwajcarii, Urugwaju, Guernsey’a, Wyspy Mana oraz Baliwat Jersey za miejsce, w którym poziom ochrony danych osobowych jest równy ochronie jaki wynika z RODO.
Warto zaznaczyć, że wszystkie kraje oprócz Japonii i Wielkiej Brytanii uzyskały swój status na podstawie poprzedniczki RODO – dyrektywy o ochronie danych. Wymogi jakie nakłada RODO są bardziej rygorystyczne od wymagań jakie wynikały z dyrektywy. Co więcej, przepisy w tych trzecich krajach dotyczące danych osobowych mogły ulec zmianie. Dlatego też, Komisja przegląda decyzje, które wynikają z dyrektywy, a które obowiązują ciągle dzięki art. 45 ust. 9 RODO. Do czasu zmiany, zastąpienia lub uchylenia decyzji uznaje się, że ochrona w ww. krajach jest adekwatna. Nie ma pewności czy w wyniku przeglądu Komisja nie podejmie decyzji o nie odnowieniu decyzji w odniesieniu do niektórych krajów.
Co do zasady jeśli chcemy przesyłać dane osobowe z Unii Europejskiej do państwa trzeciego (spoza Europejskiego Obszaru Gospodarczego) konieczne jest zachowanie dodatkowych zabezpieczeń, które mają spowodować, że dane będą chronione na takim samym poziomie jak wynika to z RODO. Jednak art. 45 ust. 3 RODO przyznaje Komisji uprawnienia do decydowania, czy państwo spoza UE zapewnia poziom ochrony danych osobowych, który jest zasadniczo równoważny poziomowi ochrony w UE. Decyzja stwierdzająca odpowiedni stopień ochrony powoduje, że transfery danych osobowych do danego kraju będą utożsamiane z transferami danych wewnątrz UE.
Projekt decyzji obejmuje przekazywanie wszystkich danych osobowych z EOG do Korei Południowej, z wyjątkiem przekazywania danych do odbiorców takich jak: organizacje religijne, partie polityczne oraz podmioty, które są nadzorowane przez Koreańską Komisje Usług Finansowych. Projekt nie odbiega od wcześniej wydanych decyzji. Dla podmiotów z Korei Południowej, które będą przetwarzać dane osobowe z Unii Europejskiej szczególnie ważny jest załącznik nr 1 do decyzji. W którym określono dodatkowe zasady, które te podmioty muszą przestrzegać. Dodatkowe przepisy dotyczą między innymi wymogów przejrzystości, dalszego przekazywania oraz przetwarzania danych niezgodnie z celem.
Komisja w projekcie szczególnie wiele miejsca poświęciła opisowi okoliczności, w jakich południowokoreańskie organy publiczne mogą uzyskać dostęp do danych osobowych z EOG i wykorzystywać je do egzekwowania prawa karnego i bezpieczeństwa narodowego. Jest to kwestia, która wzbudza szczególne zainteresowanie społeczności w Unii Europejskiej. Można domyślać się, że Komisja wzięła pod uwagę niedawny wyrok Trybunału Sprawiedliwości Unii Europejskiej w sprawie Schrems II, który unieważnił decyzję o adekwatności, która dotyczyła Stanów Zjednoczonych. Decyzja po wydaniu ma być poddawana przeglądowi co cztery lata, przy czym pierwszy przegląd odbędzie po trzech latach od wprowadzenia.
Zapewne jeszcze kilka miesięcy minie zanim decyzja zostanie wydana. Obecnie nad projektem pochyla się Europejska Rada Ochrony Danych (EROD), która następnie przedstawi swoje uwagi do niego. Można spodziewać się, że podobnie jak przy decyzji dotyczącej Japonii i Wielkiej Brytanii opinia będzie szczegółowa oraz krytyczna. Opinia EROD nie jest wiążąca, ale jest brana pod uwagę przez Komisje jak i Parlament Europejski, który również może wydać swoją opinie w tej kwestii. Ostatnim krokiem przed przyjęciem decyzji jest uzyskanie zgody komitetu złożonego z przedstawicieli państw członkowskich UE.
Źródło: https://iapp.org/news/a/eu-adequacy-decision-for-south-korea/
