מועצת הרשויות הלאומיות להגנת מידע במדינות האיחוד האירופי (European Data Protection Board - EDPB) פרסמה את חוות דעתה על מעמדה של דרום-קוריאה כמדינה תואמת את אמות המידע האירופאיות להגנה על מידע אישי. ההחלטה נדרשת לצורך העברות מידע אישי לפי ה-GDPR. עמדת הרגולטורים האירופאים לפרטיות בכללותה תומכת בהכרה בדרום-קוריאה משום שדיני הפרטיות שלה תואמים ברובם את דרישות ה-GDPR.
עם זאת, חוות הדעת של ה-EDPB מזהה מספר נקודות הדורשות תשומת לב מיוחדת של הנציבות לקראת אישור דרום-קוריאה כמדינה תואמת:
- יש לבחון את הנסיבות בהן דיני דרום-קוריאה מאפשרים לרשויות אכיפת החוק גישה לאיסוף ועיבוד מידע אישי ללא ביקורת שיפוטית או ביקורת בלתי תלויה אחרת.
- יכולת נושאי המידע לחזור בהם מהסכמתם, מוגבלת בדיני דרום-קוריאה.
- העדרה של פרקטיקה להסרת מזהים ישירים במידע (pseuodonymised) בהתאם לסטנדרט האירופי.
- הצורך במעקב תדיר אחר שינויים שעתידים להתרחש במשטר הפרטיות בדרום-קוריאה כדי לבחון האם שינויים אלה פוגעים בתאימותה של דרום-קוריאה. במידת הצורך, נציבות האיחוד האירופי יכולה להשעות או לשנות את ההכרה בדרום-קוריאה.
law.co.il מעיר כי החלטת התאימות מסורה בידי נציבות האיחוד האירופי, וזו אינה מחוייבת לפעול לפי חוות הדעת של ה-EDPB. הנציבות רשאית לקבל החלטה בדבר תאימותה של דרום-קוריאה גם בהינתן הההסתייגויות של ה-EDPB.