Le 17 décembre 2021, la Commission européenne a constaté par le biais d’une décision d'adéquation que la République de Corée assure un niveau de protection adéquat en matière de protection des données à caractère personnel, conformément au règlement général sur la protection des données.
Une telle décision signifie que le régime de protection des données personnelles en Corée du Sud, tel que complété par des garanties supplémentaires, assurances et engagements officiels obtenus par la Commission européenne, offre des garanties « essentiellement équivalentes » à celles de l’Union européenne et que les transferts de données à caractère personnel vers ce pays pourront être effectués comme s’il s’agissait d’un transfert au sein de l’Espace économique européen.
A noter que cette décision d’adéquation ne s’applique toutefois pas pour les transferts de données à caractère personnel en matière de crédit vers des entités sud-coréennes soumises à la surveillance de la Commission des services financiers, ni pour les transferts de données vers des organisations religieuses ou des partis politiques. Dans ces cas, le régime général applicable aux transferts de données vers des pays tiers ne bénéficiant pas d’un niveau adéquat en matière de protection des données continuera à s’appliquer.
La CNPD contribue aux activités du Comité européen de la protection des données (EDPB). A cet égard, l’autorité luxembourgeoise a été impliquée dans l’évaluation de cette décision d’adéquation de la Commission européenne en examinant le travail réalisé par cette dernière et en appréciant l’impact de la libre circulation des données à caractère personnel entre l’Union européenne et la Corée du Sud sur les garanties et le degré de protection conférés par les deux économies aux citoyens européens. Le 24 septembre 2021, l’EDPB a adopté son opinion sur la décision d’adéquation, qui est la troisième à avoir été adoptée sous l’égide du RGPD après celle du Japon et du Royaume-Uni.