검색
광장

EU GDPR상의 적정성 평가 초기결정

미국변호사

[2021.04.05.]



개인정보보호위원회는 2021. 3. 30. 우리나라가 EU의 개인정보 보호법인 General Data Protection Regulation (GDPR)에 따른 EU집행위원회의 적정성 초기결정 단계를 통과하였다고 발표했습니다. 이에 따라 금년 중 EU집행위원회가 최종적으로 적정성 결정을 하면, EU에서 우리나라로 개인정보를 이전받는 것이 훨씬 쉬워질 것으로 예상됩니다.


이하에서 자세히 알려 드리겠습니다.



1. EU GDPR 적정성 결정의 의미와 효력

GDPR에 따르면, GDPR의 적용을 받는 사업자가 개인정보를 EU 역외로 이전하기 위해서는 다음 중 하나 이상의 법적 근거가 갖추어져야합니다 (GDPR 제5장, 제44조 내지 제49조):


① 적정성 결정(AdequacyDecision)의 존재

② 구속력 있는 기업규칙(BindingCorporate Rules)

③ 표준 개인정보보호조항(StandardData Protection Clauses)

④ GDPR 제40조에 따라 승인된 행동규약(Codes of Conduct), GDPR 제42조에 따라 승인된 인증 메커니즘(Certification Mechanism)

⑤ 정보주체에게 개인정보 역외 이전에 대한 위험을 고지하고 명시적인 동의를 받은 경우 등 일정한 예외적 사유


이 중 적정성 결정이란 EU집행위원회가, EU 외의 국가가 EU와 동등한 적정한 보호수준을 보장한다는 점을 확인하는 결정을 말합니다. 우리나라에 대하여는 적정성 결정이 존재하지 아니하므로, 지금까지 우리나라에서는 EU 내 개인정보를 역외 이전하기 위해 EU 내의 데이터 수출자(Data Exporter)와 EU 외 데이터 수입자(Data Importer) 간 표준 개인정보보호 조항을 체결하는 방식(위 ③번 방식)이 가장 널리 활용되어 왔습니다.


그런데 지난해 유럽사법재판소(CJEU)의 소위 ‘슈렘스II 판결(Case C311/18 Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems)’에 따라 기존에 표준 개인정보보호 조항에 의존하여 EU로부터 개인정보를 이전받던 기업들의 부담이 가중되었습니다. 위 판결에서 유럽사법재판소가 데이터 수출자(Data Exporter)가 표준 개인정보보호 조항을 활용하는 경우에도 제3국에서 제공되는 데이터 보호 수준을 평가·고려하여야 한다고 하였으며, EU 내 개인정보 감독기구는 표준 개인정보보호 조항 위반이 있을 경우 개인정보 역외 이전을 중단시킬 수 있다고 판결하였기 때문입니다.


이러한 상황에서 이번 적정성 초기결정에 따라, 우리나라가 적정성 결정을 받기 위한 토대가 마련되었고, 적정성 결정이 최종 승인되는 경우 우리나라 기업들이 표준 개인정보보호 조항 등과 같은 별도의 절차없이 개인정보를EU로부터 우리나라로 이전받을수 있게 되었습니다.


다만, 이번 적정성 초기결정은 개인정보보호위원회가 감독하는 영역만을 대상으로 하므로, 금융위원회가 감독하는 개인신용정보는 그 대상에서 제외되었습니다. 따라서 금융기관 등 개인신용정보를 EU로부터 이전받고자 하는 기업은 기존과 같이 표준 개인정보보호 조항 등 위에서 열거한 법적 근거들을 활용하여야 할 것으로 보입니다. 그러나 적정성 결정이 채택되면 슈렘스II 판결에 따라 표준개인정보보호 조항 활용 시 수행해야 하는 우리나라의 법률시스템에 대한 평가 부담을 덜 수 있을 것이므로, 이번 적정성 초기결정은 표준 개인정보보호 조항을 활용하는 금융기관 등에 대하여도 중요한 의미를 가질 것으로 생각됩니다.



2. 적정성 결정의 예상 시점 및 향후 필요한 절차

이번 적정성 초기결정에 따라 적정성 결정이 최종적으로 채택되기 위해서는, EU에서 EU정보보호이 사회(European Data Protection Board)의 의견 수렴 및 반영 절차를 거쳐 EU 집행위원 전원회의가 적정성 결정을 의결하여야 합니다. EU집행위원회는 초기결정 발표 직후 곧바로 이러한 절차에 착수하였고, 올해 상반기 또는 늦어도 하반기에는GDPR 적정성 결정이 발효될 것으로 예상됩니다.


참고로, 현재까지 적정성 결정을 받은 국가(자치령을 포함)는 스위스, 캐나다, 아르헨티나, 건지 섬, 맨 섬, 저지 섬, 페로 제도, 안도라, 이스라엘, 우루과이, 뉴질랜드 및 일본 등 12개국이며, 이 중 GDPR 시행 이후 적정성 결정을 받은 국가는 일본 뿐입니다.



3. 한국으로 이전된 개인정보의 처리와 관련한 「개인정보 보호법」 의 해석과 적용을 위한 보완규정

이러한 적정성 결정이 통과되는 경우를 대비하여, 개인정보보호위원회는 적정성 결정에 따라 우리나라로 이전된 EU 정보주체의 개인정보 처리에 관한 개인정보 보호법의 해석과 적용을 명확히 하고 우리나라와 EU간 제도적 차이점을 보완하기 위하여, “한국으로 이전된 개인정보의 처리와 관련한 「개인정보 보호법」의 해석과 적용을 위한 보완규정”(개인정보보호위원회고시 제2021-1호, 이하 보완규정)을 마련하였습니다. 보완규정은 적정성 결정이 발효되는 시간과 같은 시점에 시행될 예정이고, EU 적정성 결정에 따라 한국으로 이전된 개인정보를 처리하는 개인정보처리자를 수범자로 합니다. 참고로 일본의 경우에도 GDPR 적정성 결정과정에서 “EU에서 이전받은 개인정보 취급에 관한 규칙”을 제정하였습니다.


보완규정의주요 내용은 다음과 같습니다.


① 개인정보 보호법상 수집목적 외 이용·제공 제한 원칙은 정보주체의 국적과 관계없이 대한민국의 법적 관할권이 미치는 영내에서 제3국으로부터 수집하는 모든 개인정보 처리에 동일하게 적용됨


② 개인정보를 국외 제3자에게 제공하는 경우에 적용되는 법적 요건과 필수 고려사항, 개인정보 국외 이전에 따른 안전조치 및 정보주체의권리 행사 보장 방안 등을 구체화


③ 개인정보처리자가 적정성 결정에 따라 EU에서 대한민국으로 개인정보를 이전받은 경우 및 이전받은 정보를 국내·외 제3자에게 제공하는 경우에는 그 사실을 EU의 정보주체에게 통지해야 함. 다만, 정보주체가 해당 정보를 이미 보유(사전 동의 포함)하고 있거나 범죄수사 또는 국가안보에위협이 되는 경우 등에는 통지의무가 면제됨


④ 개인정보처리자가 통계작성, 과학적 연구, 공익적 기록보존 등의 목적으로 가명정보를 처리함에 있어 그 구체적인 처리 목적을 달성한 이후에도 가명정보를 파기하지 아니하는 경우에 는 헌법 제37조 및 개인정보 보호법 제3조(개인정보 보호 원칙)에 따라 해당 정보를 익명처리해야 함


⑤ 개인정보 보호법 제64조 제1항 및 제2항에 규정된 개인정보보호위원회의 시정조치 요건과 동조 제4항에 따른 개인정보보호위원회의개선권고 권한을 명확히 함


⑥ 국가안보 목적을 위한 개인정보 처리에 관하여도 개인정보 보호법 제3조(개인정보 보호원칙), 제4조(정보주체의권리),제62조(침해 사실의 신고) 등이 적용됨을 명확히 함



4. 시사점

이번 적정성 초기결정은 대한민국 정부가 오랜 기간 동안 기울여 온 노력의 결실입니다. 우리 정부는 2015년 ‘EU 개인정보 보호수준 적정성 민관 합동 추진단’을 결성한 이후 2년간의 준비작업을 거쳐 2017년 1월부터 EU와 적정성 결정에 관한 본격적인 논의를 개시하는데, 이 과정에서 적정성 결정의 핵심기준인 ‘대한민국 개인정보 감독기구(행정안전부)의 독립성’이라는 요건이 충족되지 못하여 협의가 2차례 중단되기도 하였습니다. 그러나 지난해 데이터3법이 개정되어 개인정보보호위원회가 독립감독기구로 확대 출범하면서 EU와의 협의에 급진전이 있었고, 비로소 EU집행위원회의 적정성 초기결정 단계를 통과하게 되었고,이제 최종 결정을 앞두게 된 것입니다.


이로써 EU로부터 개인정보를 이전받는 우리나라 기업은, 최종 적정성 결정 시점부터 표준 개인정보보호 조항 등과 같은 별도 절차를 거치지 않고 간소하게 개인정보를 이전받을 수 있으므로 시간 및 비용에 대한 부담과 GDPR 위반의 위험을 줄일 수 있게 됩니다. 더 나아가 EU로부터 대한민국으로의 개인정보 이전이 자유로워짐에 따라 EU 기업과 대한민국 기업 간 데이터 산업분야에 관한 협업이 증대될 것으로 기대됩니다.


아울러, 현재 입법예고를 마친 개인정보 보호법 일부개정법률안은 개인정보처리자가 개인정보를 국외이전 할 수 있는 요건을 다양화하면서 “개인정보 보호법에 규정된 개인정보 보호 수준과 실질적으로 동등한 수준에 있다고 개인정보보호위원회가 인정하는 국가 또는 국제기구로 국외이전하는 경우”를 포함하였습니다(안 제28조의8). 따라서 개인정보 보호법 일부개정법률안이 시행되게 되면 일본의 경우와 마찬가지로 EU와 개인정보 역외 이전에 관한 상호 적정성 결정을 하게 됨으로써 개인정보의 국외 이전이 더욱 자유로워질 것으로 보입니다.


저희 법무법인(유) 광장은 EU의 GDPR은 물론, 미국의 CCPA와 중국의 사이버보안법 등 해외 개인정보 보호 컴플라이언스 업무에 관하여 독보적인 경험과 역량을 보유하고 있습니다. 각종 개인정보 규제에 관하여 도움이 필요하신 경우 언제든지 법무법인(유)광장 DPC그룹으로연락 주시기 바랍니다.

 

 

박광배 변호사 (kwangbae.park@leeko.com)

채성희 변호사 (sunghee.chae@leeko.com)

강민채 변호사 (minchae.kang@leeko.com)

종합법무관리솔루션

관련 법조인

카테고리 인기기사