검색
화우

유럽 집행위원회, 개인정보의 EU 역외이전을 위한 표준계약조항 개정본 발표

미국변호사

[2021.06.29.]



지난 2021년 6월 4일, 유럽 집행위원회(European Commission)는 유럽연합(European Union) 국가와 유럽연합 외부 국가 간 개인정보 이전과 관련한 계약에 쓰일 수 있는 표준계약조항(Standard Contractual Clauses)의 개정안을 발표하였습니다. 기존의 표준계약조항과 달리, 개정 표준계약조항은 유럽연합 일반 개인정보 보호법(General Data Protection Regulation)을 더욱 엄격히 준수하도록 하고 작년 7월 유럽사법재판소(Court of Justice of the European Union)에서 있었던 슈렘스 II(Case C311/18 Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems) 판결 중 “기존 표준계약조항은 적절한 수준의 보호장치가 추가로 필요하다”는 의견을 반영하였습니다. 개정된 표준계약조항의 공식 발효일은 2021년 6월 27일이며 새로운 계약 체결 시 기존 표준계약조항 사용의 마지막 허용 일자는 3개월 이후인 2021년 9월 27일입니다. 그리고 기존 표준계약조항의 개정은 모두 그로부터 15개월 이후인 2022년 12월 27일까지 이루어져야 합니다.



1. 주요 개정 내용

(1) 슈렘스 II 판결 반영

개정된 표준계약조항은 유럽사법재판소와 유럽 데이터 보호 위원회(European Data Protection Board)의 요구사항을 준수하기 위해 다수의 ‘슈렘스 II’ 판결상 의무를 포함하였습니다. 2015년 오스트리아 변호사 맥스 슈렘스(Max Schrems)가 “페이스북은 자사 아일랜드 서버를 통해 EU 시민의 개인정보를 미국 본사로 전송하는데 있어서 데이터의 적절한 보호를 보장할 수 없다. 미국은 국외정보감시법(Foreign Intelligence Surveillance Act)과 행정명령 12.333(Executive Order 12.333) 등이 국외에서 들어온 정보에 대해 대량 감시(mass surveillance)를 허용하고 있기 때문”이라고 지적하면서 EU-미국 간 데이터 전송 체제에 대한 전체적인 검토가 이루어졌습니다. 유럽사법재판소는 그간 사용되었던 EU-미국 간 데이터 전송 메커니즘인 EU-US 프라이버시 실드(EU-US Privacy Shield)를 무효화하고 기존 표준계약조항 사용은 유효하다고 밝혔으나, 데이터 전송 계약 당사자들은 적절한 수준의 데이터 보호를 위해 추가적인 조치를 상시 준비하여야 한다는 이른바 슈렘스 II 의무를 부과하였습니다. 개정된 표준계약조항 내에서 위 슈렘스 II 의무가 반영된 조항으로는 크게 (1) 데이터 제공자(data exporter)의 데이터 암호화 및 익명화 등을 통한 데이터 보호 수준 격상, (2) 계약 당사자 간 데이터 전송 수신국의 개인정보보호 관련 법률 검토, (3) EU 개인정보보호 법률과 데이터 전송 수령 국가의 법률 간 이해 충돌 시 표준계약조항 사용 철회 및 다른 메커니즘 강구 등이 있습니다. 하지만 이러한 노력에도 불구하고 여전히 추가적인 안전조치의 필요성에 관한 목소리가 커지고 있는바, 유럽 데이터 보호 위원회는 다가오는 몇 주 내에 새로운 안전조치를 발표할 것으로 예상됩니다.


(2) 이전 영향 평가

계약의 양 당사자는 데이터 수령 국가의 개인정보 보호 요구사항이 유럽연합의 표준을 준수하는지 여부를 보증해야 하는데, 이 보증의 일환으로, 전송하게 되는 데이터의 형식, 데이터를 전송받게 되는 데이터 수령 국가의 개인정보보호 관련 법률, 표준계약조항 외에 추가로 계약 당사자들 간 합의한 데이터 보호 조치 등을 명시하는 이전 영향 평가를 작성하게 됩니다. 이전 영향 평가는 슈렘스 II 의무가 표준계약조항에 직접적으로 반영된 결과물입니다. 영향 평가는 문서화하여 감독 당국이 요청 시 감독 당국에 제출해야 합니다.


(3) 모듈식 접근법

개정된 표준계약조항은 모듈식 접근법을 따르는데, 계약의 양 당사자가 컨트롤러(controller) 혹은 프로세서(processor)인지에 따라서 (1) 컨트롤러-컨트롤러, (2) 컨트롤러-프로세서, (3) 프로세서-프로세서, (4) 프로세서-컨트롤러 총 4가지 모듈로 구분되며, 각 모듈에 따라 다른 표준계약조항을 사용하게 됩니다. 또한, 계약 체결 후 또 다른 당사자가 계약에 참여할 수 있게끔 하는 이른바 도킹 조항(docking clause)을 포함하였고 전송되는 데이터 주체(data subject)가 계약에 불만을 느낄 시 자신의 권리를 행사할 수 있게끔 하는 제삼자 조항 또한 포함하며 이의 원활한 진행을 위하여 계약 당사자의 연락처를 직접적으로 명시하게끔 요구하고 있습니다.


(4) 우선순위 및 책임

개정된 표준계약조항에는 엄격한 우선순위 조항과 책임 조항이 포함되어 있습니다. 우선순위 조항에 따르면 표준계약조항은 계약 당사자 간 합의된 어떠한 다른 조항에 대해 우위를 점하고 책임 조항에 따르면 정보 주체가 만일 데이터 유출 등과 같은 사유로 피해를 입었을 경우 계약 당사자들은 이를 각자의 책임에 비례해 보상해주어야 합니다.



2. 향후 전망

개정된 표준계약조항은 기존의 표준계약조항에 비해 계약 당사자가 아닌 제3자의 입장에서도 계약 내용을 쉽게 파악할 수 있게 하고, 계약 당사자의 추가를 더욱 편리하게 만들었습니다. 그러나 기존의 표준계약조항에 비해 더욱 엄격해진 조항들로 인하여 계약서 작성 시 더욱더 많은 노고가 필요해질 것으로 예상됩니다. 따라서 기존 표준계약조항으로 이루어진 계약 체결 허용 기간 및 개정 유예 기간과 상관없이 새로운 계약을 체결하는 경우 가급적 개정된 표준계약조항 사용을 하는 것이 가장 바람직해 보이며 기존 표준계약조항을 사용한 계약의 경우 개정된 표준계약조항으로 신속한 전환이 필요할 것으로 보입니다.



이광욱 변호사 (kwlee@hwawoo.com)

이근우 변호사 (klee@hwawoo.com)

이수경 변호사 (sgyi@hwawoo.com)

임성현 변호사 (shlim@yoonyang.com)

김찬 변호사 (ckim@hwawoo.com)

종합법무관리솔루션

관련 법조인