개인정보 역외 이전
1.2.2 적절한 보호조치(Appropriate safeguards)에 의한 이전
컨트롤러나 프로세서가 적절한 보호조치를 제공한 경우에 한하여 정보주체가 행사할 수 있는 권리와 유효한 법적 구제가 제공되는 조건으로 제3국 또는 국제기구에 개인정보를 이전할 수 있다.
1.2.2.1 감독기구의 특정한 승인(Specific authorisation)을 요하지 않는 보호조치
다음과 같은 적정한 보호조치가 적용된 경우에는 감독기구의 특정한 승인이 없이도 역외 이전을 인정받을 수 있다.
① 정부부처 또는 관련기관 간 법적 구속력이 있고 강제할 수 있는 장치
- 정부부처 또는 관련기관 간 법적 효력을 전제로 하는 협약 등을 예시로 들 수 있다.
② 제47조에 따른 구속력 있는 기업 규칙(BCRs, Binding Corporate Rules)
- 다국적 기업이 제47조를 준수한 BCRs를 채택하고 EU 규제 기관에 승인을 받는 경우, 개인정보 이전에 적절한 보호 체계가 갖추어지지 않은 제3국에 위치한 그룹사로 이전하는 것이 가능하다.
Ⅶ 개인정보
역외 이전
③ 표준 개인정보보호 조항(Standard Data Protection Clauses)
- 1) 기존의 집행위원회가 채택하거나, 2) 감독기구가 채택하고 집행위원회가 승인한 표준 개인정보보호 조항은 수정·교체·폐지되지 않는 한 그대로 인정된다.
- 다만 표준 개인정보보호 조항을 바탕으로 하는 역외 이전의 경우 감독기구에 통지하거나 승인을 받아야 하는 현행 절차는 폐지되었다.
④ 제40조에 따라 승인된 행동규약
- 컨트롤러와 프로세서를 대변하는 기구는 GDPR 적용을 명시할 목적으로 행동규약을 작성·개정·확대할 수 있다.
- 승인된 행동규약이 사용될 경우 적절한 보호조치에 의한 역외 이전으로 인정된다.
⑤ 제42조에 따라 승인된 인증제도
- GDPR은 해당 법을 준수하고 있음을 인증하기 위한 목적으로 개인정보보호 인증 메커니즘, 개인정보보호 인장 및 마크의 제정을 장려한다.
- 승인된 인증제도가 사용될 경우 적절한 보호조치에 의한 역외 이전으로 인정된다.
1.2.2.2 감독기구의 특정한 승인(Specific authorisation)이 필요한 보호조치
다음과 같은 경우에는 감독기구의 특정한 승인을 받아야 적절한 보호조치로 인정된다.
① 컨트롤러나 프로세서와 제3국이나 국제기구의 컨트롤러, 프로세서 또는 개인정보 수령인 사이의 계약 조항
② 정부부처 또는 관련기관 간 강제성 있고 유효한 행정 협정서 내 정보주체의 권리를 포함한 규정
1.3 특정 상황에 대한 예외
34)
적정성 결정, 적절한 보호조치 또는 구속력 있는 기업 규칙이 없는 경우 제3국이나
34) 제29조 작업반(2018. 2. 6.), Guidelines on Article 49, Derogations for specific situation.
국제기구로의 개인정보 이전은 다음 조건에서만 가능하다(제49조제1항).
① 정보주체가 적정성 결정 및 적절한 보호조치가 없음으로 인해 정보주체에게 발생할 수 있는 정보 이전에 대한 위험을 고지 받은 후, 정보주체가 이전에 명시적으로 동의한 경우
② 정보주체와 컨트롤러 간 계약 이행을 위하여 또는 정보주체의 요청에 의해 취해진 계약 전 사전 조치의 이행을 위하여 정보 이전을 하여야 하는 경우
③ 정보주체의 이익을 위하여 컨트롤러와 그 밖의 개인이나 법인 간 체결된 계약의 이행을 위하여 정보 이전을 하여야 하는 경우
④ 중요한 공익상 이유로 정보 이전이 반드시 필요한 경우
⑤ 법적 권리의 확립·행사·수호를 위하여 정보 이전이 필요한 경우
⑥ 정보주체가 물리적 또는 법률적으로 동의할 수 없는 경우, 정보주체 또는 다른 사람의 중대한 이익을 보호하기 위하여 정보 이전이 필요한 경우
⑦ 개인정보가 EU 또는 회원국 법률에 따라 정보를 공개할 목적이거나 일반 국민 또는 정당한 이익을 입증할 수 있는 제3자가 참조(조회)하기 위한 목적으로 만들어진 개인정보 기록부로부터 EU 또는 회원국 법률에 명시된 참조의 조건이 충족되는 범위 내에서 이전되는 경우
35)
개인정보 역외 이전 시의 명시적 동의35)
• 개인정보의 역외 이전에 대한 명시적 동의를 받기 위해서는 정보주체에게 해당 국가 또는 지역으로의 정보 이전이 초래할 수 있는 위험성을 사전에 고지하여야 한다.
• 즉 EU 수준에 부합하는 개인정보보호 체계 및 적절한 보호조치가 부재한 국가로 개인정보가 이전될 것을 알리고, 그로 인해 발생할 수 있는 위험성에 대하여 정보주체가 충분히 인지한 상태에서 유효한 동의의 요건을 충족시켜야 명시적 동의에 의한 개인정보 역외 이전이 이루어질 수 있다.
• 또한 역외 이전 과정에 대한 구체적인 정보*를 정보주체에게 제공하여야 한다.
* 정보 수령인과 그 유형, 이전되는 정보의 유형, 정보가 이전될 국가 등
• 해당 내용에 대한 명확한 고지와 정보주체의 인지가 전제되어야 정보주체의 명시적 동의에 의한 역외 이전이 가능하다.
참고・예시
35) 제29조 작업반(2018. 2. 6.), Guidelines on Article 49, Derogations for specific situation, pp.6~8.
Ⅶ 개인정보
역외 이전 [그림 6] 개인정보 역외 이전 흐름도36)
36) 이 흐름도는 민간부문의 입장에서 개인정보를 역외 이전하는 경우를 대상으로 작성되었다. 다만, 공공부문에서의 개인정보 역외 이전은 추가적인 메커니즘을 고려해야 할 필요가 있다.
예
예
예 아니오 예
아니오
아니오
아니오
EU 밖으로의 개인정보 역외 이전
EEA 외 지역으로 이전
적정성 결정을 받지 않은 국가/영토/
지정 부문으로의 이전인 경우
미국으로 이전 Privacy Shield의 적용을
받는 경우의 이전인가?
적정성 결정을 받은 국가/영토/
지정 부문으로의 이전인 경우
제46조, 적절한 보호조치가
적용되는가?
제49조, 특정 상황에 대한 예외(명시적 동의,
계약 이행 등)가 인정되는가?
간헐적·소규모 이전의 예외가 인정되는가?
이전 불가
이전 가능 BCRs에
의한 이전
표준 개인정보 보호 조항에 의한 이전
개별 감독기구의 승인을 받은 계약조항에 의한
이전
승인된 행동규약 또는 인증제도에
기반한 이전
EEA 내 지역으로 이전
위의 조건에 해당되지 않더라도 다음 요건을 모두 만족하는 경우에는 EU 밖으로 이전이 가능하며, 이때 컨트롤러는 개인정보 이전 사실을 감독기구에 고지하여야 한다.
① 개인정보 이전이 간헐적이고 한정된 숫자의 정보주체에만 적용되는 경우
② 정보주체의 이익이나 권리 및 자유가 우선하지 않는 한, 컨트롤러의 정당한 이익의 목적에 필요한 경우
③ 컨트롤러가 개인정보 이전과 관련한 일체의 정황을 평가한 후 그 결과를 토대로 적절한 보호조치를 제시하는 경우
다만 이러한 경우에도 컨트롤러는 의무적으로 해당 감독기구에 이전에 대하여 통지 하여야 한다.
• 제40조(행동규약)
• 제42조(인증)
• 제44조(이전의 일반 원칙)
• 제45조(적정성 결정에 근거한 이전)
• 제46조(적절한 보호조치에 따른 이전)
• 제47조(구속력 있는 기업 규칙)
• 제48조(EU 법이 허가하지 않은 이전 또는 공개)
• 제49조(특정 상황에 대한 예외)
• 전문 제103~114항 GDPR 관련 규정
• 제17조(개인정보의 제공) 제3항 개인정보보호법 관련 규정
셀프 체크리스트
□ □
□ □
• 개인정보를 역외 이전하는 경우, 처리되는 개인정보와 처리 목적을 식별하고 있다.
• 개인정보를 역외 이전하는 경우, 표준 개인정보보호 조항 등 GDPR에서 허용하는 요건에 의해 이전하고 있다.
예 아니오
Ⅶ 개인정보
역외 이전 더 알아보기 7
표준 개인정보보호 조항(Standard Data Protection Clauses, SDPC)
#1 표준 개인정보보호 조항
표준 개인정보보호 조항은 컨트롤러와 컨트롤러 또는 컨트롤러와 프로세서 사이의 개인정보 역외 이전 계약 체결을 위하여 사용되는 통일된 양식의 정보 이전 조항을 의미합니다. 표준 개인정보보호 조항의 양식은 EU 집행위원회에서 채택하였으며, EU의 개인정보보호 원칙을 포함하고 있기 때문에 표준 개인정보보호 조항에 근거한 개인정보 이전은 적정 수준의 보호조치를 보장하고 있는 것으로 인정됩니다.
EU 집행위원회는 총 3가지의 표준 개인정보보호 조항 양식을 채택하고 있습니다.
37)
두 개는 EU 역내의 컨트롤러-EU 역외의 컨트롤러 간 계약 조항이고, 다른 하나는 EU 역내의 컨트롤러-EU 역외의 프로세서 간 계약 조항입니다.#2 표준 개인정보보호 조항의 내용
표준 개인정보보호 조항의 세부 내용은 EU 개인정보보호 원칙을 명시하고 있으며, 계약서의 유형과 관계 없이 계약 당사자는 공통적으로 다음 내용을 작성하여야 합니다.
① 정보 제공자(Data exporter)와 정보 수령인(Data importer)의 연락처 등 기본 정보
② 이전되는 정보 유형 및 민감정보·형사 범죄 관련 정보의 포함 여부
③ 개인정보 처리의 목적 및 유형 등
또한 표준 개인정보보호 조항의 내용은 계약 당사자 간 필요나 정보 처리 활동의 유형에 따라 변경될 수 있으나, GDPR에 명시된 정보주체의 권리나 처리자의 의무를 준수하여야 합니다.
37) 현재 사용되고 있는 표준 개인정보보호 조항은 EU 집행위원회 홈페이지(http://ec.europa.eu/justice/data-protection/
international-transfers/transfer/index_en.htm)에서 확인할 수 있다. 다만 EC에서는 GDPR의 본격 시행 전, directive에서 명시한 표준계약 조항(Standard Contractual Clauses)이란 용어를 사용하고 있다.
#3 표준 개인정보보호 조항 기반의 계약 체결 절차
표준 개인정보보호 조항 기반의 계약 체결 절차는 크게 두 단계로 구분되는데, BCRs에 비해 비교적 쉽고 간단합니다.
① 회원국의 법규 검토를 통하여 개인정보 수집 및 처리 활동의 적법성 확인(적법한 절차를 통한 개인정보 수집)
※ 이 때 표준계약서에서 전제하고 있는 기술적·관리적 보호조치가 완료되었는지 에 대한 검토를 함께 진행하여야 함
② 정보 수령인의 유형(컨트롤러 또는 프로세서)을 파악한 후, 해당하는 표준 개인정보보호 조항 기반 계약서 양식을 활용하여 정보 이전 계약 체결
※ 기존 EU Directive에서는 회원국 법률에 따라 계약을 체결한 후에도 별도로 감독기구의 통지나 승인을 요구하는 경우가 있었지만, GDPR은 이러한 절차를 폐지하였음
위의 두 단계를 거쳐 적합한 과정에 따라 표준 개인정보보호 조항 기반의 계약을 체결하면, 해당 계약은 즉시 그 효력을 갖게 됩니다.
#4 표준 개인정보보호 조항의 장점 및 단점
표준 개인정보보호 조항을 통한 보호조치의 적용은 계약 절차가 간단하며 체결 즉시 계약 내용에 따른 보호조치가 인정된다는 장점이 있습니다. 또한 서로 다른 기업 간 정보 이전을 가능하게 하기 때문에 EU에서 요구하는 역외 이전의 보호조치 중 가장 널리 활용되고 있는 것으로 알려져 있습니다.
그러나 계약 당사자가 많아질 경우 모든 다자간 계약을 체결하여야 하는 부담이 발생할 수 있습니다. 또한 기업 구조 변경 등으로 계약 당사자가 변경되거나, 이전하는 데이터 항목이 확대될 경우 이에 적합한 계약을 다시 체결하여야 합니다.
정보 제공자(Data exporter)와 정보 수령인(Data importer)이 별도의 법인격으로 구분되지 않는 경우에는 계약을 체결하기 곤란하다는 점도 단점으로 꼽힙니다.
※ 예 : 본점과 법인격이 없는 EU 내 지점(branch) 간 개인정보 역외 이전인 경우