BAKGRUNN (fra departementets EØS-notat, sist oppdatert 13.5.2022)

Sammendrag av innhold
Rettsakten er en kommisjonsbeslutning etter forordning (EU) 2016/679 (personvernforordningen) artikkel 45. Denne artikkelen gir kommisjonen fullmakt til å beslutte at et tredjeland har tilstrekkelig/adekvat beskyttelse av personopplysninger (adekvansbeslutning). Beslutningen fastslår at Sør-Korea har tilstrekkelig beskyttelsesnivå for personopplysninger. Dette innebærer at personopplysninger kan overføres til Sør-Korea uten at den behandlingsansvarlige må gå veien om et av de mer omfattende kravene til overføring i personvernforordningen kapittel V. Rettsakten innebærer dermed en forenkling for både private og offentlige virksomheter. 

For å fastslå at Sør-Korea har et tilfredsstillende beskyttelsesnivå for personopplysninger, må det (jf. fortalepunkt 104 i personvernforordningen) undersøkes om de har et beskyttelsesnivå som "i hovedtrekk tilsvarer" beskyttelsesnivået i EU, slik det fremgår av personvernforordningen. I rettsakten viser Kommisjonen til at Sør-Korea har et slikt tilfredsstillende beskyttelsesnivå, sett hen til sør-koreansk personvernlov og garantier gitt i bilag til beslutningen. Det følger av fotnote 8 til fortalepunkt (5) i beslutningen at ved henvisninger til EU og EU-landene i beslutningen skal det også forstås EØS-landene. Videre fremgår av bilag 1 punkt II v) til beslutningen at når betegnelsen "EU" benyttes vil også EØS-landene omfattes, slik at de garantier som Sør-Korea har gitt til EU-landene også vil gjelde for Norge. Norske interesser vil dermed ivaretas på lik linje med EU-landenes. 

For å sikre et nødvendig beskyttelsesnivå for personvernet også fremover, fremgår det av rettsakten at den skal evalueres om tre år og deretter hvert fjerde år fremover. Videre pålegges EU-kommisjonen en plikt til å følge opp eventuelle varsler eller tegn på at Sør-Korea ikke overholder personvernet slik som forutsatt i rettsakten, og foreta nødvendige tiltak for å avhjelpe.

Merknader

Rettslige konsekvenser
Beslutningen krever ingen endringer i norsk regelverk. 

Økonomiske og administrative konsekvenser
Rettsakten legger til rette for enklere flyt av personopplysninger fra Norge til Sør-Korea. Norske selskaper og organisasjoner antas å få nytte av beslutningen, på linje med EU-landene, ved at overføring av personopplysninger til Sør-Korea kan skje uten å gå veien om mer omfattende krav i personvernforordningen kapittel V. Dette vil gi økonomiske og administrative besparelser for både næringslivet og offentlige organer.

Sakkyndige instansers merknader
Rettsakten følger hurtigprosedyren og har ikke vært behandlet i spesialutvalget.

Vurdering
Rettsakten er EØS-relevant og akseptabel. 

Status
Rettsakten trådte i kraft i EU 17. desember 2021. Etter personopplysningsforskriften §2 gjelder beslutningen fra samme tidspunkt også i Norge. Rettsakten har dermed allerede virkning for Norge.