1.
총칙GDPR은 현재 처리 중이거나 제3국 또는 국제기구로의 이전 후에 처리될 예정인 개인 정보는 해당 제3국이나 국제기구로부터 기타 제3국이나 국제기구로 개인정보가 이전되 는 경우 등 조문에 따라 컨트롤러와 프로세서가 규정된 조건을 준수하는 경우에만 그 이전을 가능하게 하고 있다. 이는 규정을 통해 보증되는 개인의 보호 수준을 보장하기 위해 적용되어야 함을 강조하고 있다.12)
제46조 하에서 인정되는 적절한 세이프가드의 예로서는 (1) 공공기관 간의 법적으로 구속력 있고 집행가능한 법률문서, (2) 제47조에 따른 구속력 있는 기업규칙, (3) 집행위 원회가 채택한 표준 정보보호 조항, (4) 감독기관가 채택하고 집행위원회가 승인한 표준 정보보호 조항, (5) 제3국에서 적절한 세이프가드를 적용하는 컨트롤러나 프로세서의 구 속력 있고 집행가능한 약정과 함께 제40조에 따른 승인된 행동강령, (6) 제3국에서 적절 한 세이프가드를 적용하는 컨트롤러나 프로세서의 구속력 있고 집행가능한 약정과 함께 제42조에 따른 승인된 인증 체계(approved certification mechanism)가 있다. 이러한 인증 의 예로서 유럽정보보호인장(European Data Protection Seal)이 인정된다.
2. EU GDPR 상의 역외이전 요건
1) EU
개인정보보호 적절성 결정에 따른 이전① 총칙
제3국 또는 국제기구로의 개인정보 이전은 집행위원회가 제3국, 해당 제3국의 영토나 하나 이상의 지정 부문, 또는 국제기구가 적절한 보호수준을 보장한다고 결정한 경우 가
11) COD(2012) 11 final, 2016.4.6., p185-198
12) REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 Article 44
능하도록 하고 있다.
② 적절성 평가의 고려 사항
집행위원회의 개인정보보호 수준의 적절성을 평가하는 사항에는 법치주의, 인권 및 기 본적 자유의 존중, 공공 보안, 방위, 국가 안보 및 형사법 및 개인 정보에 대한 공공 기관 의 접근에 관한 일반 및 부문별 관련 법안, 해당 국가 또는 국제기구에서 준수하는 제3국 또는 국제기구에 개인정보를 이전하는 규칙을 포함하여 정보보호 규칙, 사법적 판례, 개 인정보가 전송되는 정보주체에 대한 효과적이고 시행 가능한 정보주체 권리 및 효과적인 행정 및 사법적 구제책이다. 또한 적절한 제재 권한을 포함하여 데이터 보호 규칙의 준수 를 보장하고 집행할 책임이 있는 제3국 또는 국제기구가 소속된 하나 이상의 독립된 감독 기관의 존재와 효과적인 기능, 적절한 시행 권한을 포함한 정보보호 규칙의 준수를 보장 하고 집행하며 정보주체가 자신의 권리를 행사하는 데 도움을 주고 조언하며 회원국의 감독기관과 협력할 책임과 관련 제3국 또는 국제기구의 국제 공약, 특히 개인 정보의 보 호와 관련하여 법적으로 구속력이 있는 협약이나 수단뿐만 아니라 다국간 또는 지역 시 스템에의 참여로 인해 야기된 기타 의무도 있다.
③ 사후 규제
이러한 평가는 최소 4년마다 제3국이나 국제기구 내의 관련 추가사항을 포함하여 정기 적으로 검토해야 한다. 그리고 집행위원회는 이러한 적절성 결정의 결과를 유럽연합 관보 및 웹사이트에 게재하도록 한다. 이후에도 지속적인 모니터링을 통하여 적절한 보호 수준 이 보장되지 않는다고 판단될 경우, 먼저 제3국과 국제기구와 협의를 통해 이를 시정하도 록 하고 충분히 타당하고 긴요한 시급성의 근거가 있는 경우에는 필요한 정도까지 소급 효 없이 개인정보 이전결정을 철회, 수정, 또는 중지시킬 수 있다.
2)
개인정보보호 적절성 평가에 의거한 결정이 없는 경우① 표준 개인정보보호 조항
(Standard data protection clauses)
에 의한 이전GDPR은 집행위원회의 적절성 평가에 의한 결정이 없는 경우, 컨트롤러 또는 프로세서 는 적절한 안전조치를 제공하여 시행 가능한 정보주체 권리 및 정보주체에 대한 효과적 인 법적 구제가 가능하다는 조건하에 개인정보를 제3국 또는 국제기구로 이전 할 수 있도 록 하고 있다. 제93조 제2항에 따른 심사 절차에 따라 위원회가 채택한 표준 개인정보보 호 조항, 감독기관이 채택하고 집행위원회가 제93조 제2항에 따른 심사 절차에 따라 승인 한 표준정보보호 조항을 통해 개인정보 이전을 가능하게 하고 있다.
② 의무적 기업규칙
(Binding corporate rules)
GDPR은 적절한 안전조치 중 하나로 감독기관의 특별한 승인을 요하지 않고 개인정보 를 이전할 수 있는 경우 중의 하나로 의무적 기업규칙을 두고 있다. GDPR의 의무적 기업 규칙은 기존에 있던 의무적 기업규칙(BCRs)의 요건을 법제화한 것이다. 의무적 기업규칙 은 GDPR 제63조에 따라 일관적인 매커니즘을 보여야 하고 아래의 경우를 전제로 승인을 받아 개인정보를 이전할 수 있다. 의무적 기업 규칙에 대해 컨트롤러, 프로세서, 감독기관 사이에 이루어지는 정보 교환에 필요한 양식과 절차를 정할 수 있다.
<표 2-2> 의무적 기업규칙의 전제 및 명시 요건13)
13) GDPR 제47조. GDPR 전체 번역본 및 추가 관련 자료에 대하여는 개인정보보호위원회 “GDPR 자료실” 참조.
전제
법적 구속력이 있으며 피고용인 등 공동 경제활동에 관여하는 사업체 집단 또는 기 업집단의 모든 구성원들에게 적용되고 그들에 의해 이행되는 경우
본인의 개인정보 처리와 관련하여 개인정보주체에게 명시적으로 구속력 있는 권리를 부여하는 경우
제47조 제2항의 요건을 충족시키는 경우
명시 요건
사업체 그룹의 구조 및 연락 세부 사항 또는 공동 경제 활동과 각 회원국의 기업 집단
개인 정보의 범주, 처리 유형 및 목적, 영향을 받는 데이터 유형 및 문제의 제3국 또는 국가의 식별을 포함한 데이터 전송 또는 전송 집합
내부적으로나 외부적으로 그들의 법적 구속력이 있는 성질
제한된 저장 기간, 디자인 및 기본적으로 데이터 보호, 처리, 개인 데이터의 특수 범 주의 처리, 데이터 보안을 보장하기 위한 조치에 대한 법적 근거에 대한 일반적인 데이터 보호 원칙의 응용, 특히 목적 제한; 그리고 의무적 기업 규칙에 구속되지 않 는 단체로의 전진에 관한 요구 사항
처리와 관련한 데이터 주체의 권리 및 그러한 권리를 행사할 수 있는 권리 (제 22 조에 따라 프로파일링을 포함하여 자동 처리에만 근거한 결정의 대상이 되지 아니하 는 권리를 포함한다), 권한 있는 감독관에게 민원을 제기 할 권리 제79조에 따라 회 원국의 관할 법원에 제소하고, 의무적 기업 규칙 위반에 대한 배상 및 보상
해당 회원국이 설립하지 않은 관련 단체의 의무적 기업 규칙 위반에 대해 회원국 영 토 내에서 설립 된 관리자 또는 프로세서의 수락; 컨트롤러 또는 프로세서는 그 회 원이 손해를 초래하는 사건에 대해 책임이 없다는 것을 입증하는 경우에만 그 책임 의 전부 또는 일부 면제
제13조 및 제14조에 더하여, 본 단락의 (d), (e) 및 (f) 항에 명시 된 규정에 대한 제 반 회사 규칙에 관한 정보가 개인정보주체에게 제공되는 방식
제 37 조에 따라 지정된 데이터 보호 책임자 또는 해당 기업 그룹 내의 의무적 기 업 규칙 또는 공동 경제 활동에 종사하는 기업 그룹의 준수를 감시하는 책임을 맡은 다른 사람 또는 주체의 업무뿐만 아니라 모니터링 교육 및 민원 처리
민원 처리 절차
기업 집단 내에서의 메커니즘, 또는 의무적 기업규칙 준수 확인을 위한 공동 경제 활동에 종사하는 기업 그룹. 이러한 메커니즘은 데이터 보호 감사 및 데이터 주체의 권리를 보호하기 위한 시정 조치를 보장하는 방법을 포함해야한다. 그러한 검증의 결과는 요점 (h)에 언급 된 사람 또는 단체 및 사업체 그룹 또는 공동 경제 활동에 종사하는 기업 집단의 지배 사업 책임자에게 전달되어야하며, 권한있는 감독 기관에 요청
규칙의 변경을 보고하고 기록하고 그 변경 사항을 감독 기관에 보고하는 메커니즘
③ 승인된 행동강령
(approved code of condust)
또는 승인된 인증제도(approved certification)
정보주체의 권리와 관련하여 적절한 보호책을 적용하기 위해 제3국의 컨트롤러 또는 프로세서의 구속력이 있고 집행 가능한 약속을 포함한 제40조에 따라 공인된 행동 강령 또는 정보주체의 권리를 포함하여 적절한 안전장치를 적용하기 위해 제3국의 컨트롤러 또는 프로세서의 구속력 및 집행 약속을 포함한 제42조에 의해 공인된 인증 메커니즘이 있다.3.
특정 사항에 대한 적용의 일부 제외특정 사항에 대한 적용의 일부 제외로 GDPR은 예외적으로 개인정보 이전에 관한 예외 적인 규정을 두고 있다.14) 그 구체적인 사항으로는 적절성 결정 및 적절한 안전조치가 없음으로 인해 그 같은 개인정보의 이전이 개인정보주체에 초래할 수 있는 위험을 고지 받은 후 개인정보주체가 명시적으로 이전에 동의한 경우,15) 개인정보주체와 컨트롤러 간 의 계약을 이행하기 위해서나 개인정보주체의 요청으로 취한 계약 사전 조치를 이행하는 데 이전이 필요한 경우,16) 개인정보주체의 이익을 위해 컨트롤러와 기타 자연인 또는 법 인 간에 체결된 계약의 이행을 위해 이전이 필요한 경우,17) 중요한 공익상의 이유로 정보 이전이 필요한 경우,18) 법적 권리의 확립, 행사, 방어를 위해 정보이전이 필요한 경우,19) 개인정보주체가 물리적 또는 법률적으로 동의를 할 수 없는 경우로서 개인정보주체 또는 타인의 생명과 관련한 주요 이익을 보호하기 위해 정보이전이 필요한 경우,20) 개인정보 가 유럽연합 또는 회원국 법률에 따라 정보를 공개할 목적이거나 일반 국민 또는 정당한 이익을 입증할 수 있는 제3자가 참조(조회)하기 위한 목적으로 만들어진 개인정보 등록부
14) GDPR 제49조.
15) GDPR 제49조 제1항 (a).
16) GDPR 제49조 제1항 (b).
17) GDPR 제49조 제1항 (c).
18) GDPR 제49조 제1항 (d).
19) GDPR 제49조 제1항 (e).
20) GDPR 제49조 제1항 (f).
(register)로부터 유럽연합 또는 회원국 법률에 명시된 참조(조회)의 조건이 충족되는 범위 내에서 이전되는 경우21)가 있다.
이 예외적인 사항은 정보의 이전이 의무적 기업 규칙에 대한 규정 등 제45조나 제46조 의 규정을 근거로 할 수 없고, 위 경우에 따른 특정 상황에서의 일부 제외가 적용되지 않는 경우에는 정보이전이 반복적이지 않고, 한정된 숫자의 정보주체에만 적용되고 개인 정보주체의 이익이나 권리 및 자유가 우선하지 않는 한 개인정보처리자의 정당한 이익의 목적에 필요하며, 컨트롤러가 정보이전과 관련한 일체의 정황을 평가한 후 그 결과를 토 대로 개인정보 보호에 적절한 안전조치를 제시하는 경우에만 제3국이나 국제기구로의 개인정보이전이 가능하다. 컨트롤러는 정보이전 사실을 감독기관에 고지해야 한다. 제13 조 및 제14조에 명시된 정보 제공 이외에도 컨트롤러는 해당 이전 및 본인의 설득력 있는 정당한 이익에 관한 정보를 정보주체에 고지해야 한다.