검색
광장

EU 개인정보 보호 적정성 결정 최종 통과

[2021.12.24.]



1. 한국에 대한 EU 적정성 결정 채택 및 발효

2021. 12. 17. 오후 6시, EU 집행위원회의 한국에 대한 개인정보 보호 적정성 결정(이하 적정성 결정)이 채택 및 발효되었습니다. 이로써 한국 기업들은 표준 개인정보 보호 조항(Standard Contractual Clauses, SCC) 체결과 같은 추가적인 절차나 인증 없이 EU에서 한국으로 개인정보를 자유로이 이전할 수 있게 되었습니다. 이러한 적정성 결정은 3년 후 다시 EU 집행위원회의 검토를 받게 되며,그 이후로는 최소 4년에 한번씩 정기적으로 검토될 것입니다.


본 뉴스레터에서는 적정성 결정이 발효됨에 따라 유의하여야 할 사항에 대하여 설명드리도록 하겠습니다. (EU집행위원회의 한국에 대한 개인정보 보호 적정성 결정의 배경 및 상세한 내용에 관하여는 EU GDPR상의 적정성 평가 초기결정에 대한 2021. 4. 뉴스레터를 참고하시기 바랍니다.)



2. 적정성 결정과 관련한 유의사항

■ 「한국으로 이전된 개인정보의 처리와 관련한 개인정보 보호법의 해석과 적용을 위한 보완규정」 의 시행 개인정보보호위원회는 적정성 결정에 따라 우리나라로 이전된 EU 정보주체의 개인정보 처리에 관한 개인정보 보호법의 해석 기준을 명확히 하고 우리나라와 EU 간 제도적 차이점을 보완하기 위하여 「한국으로 이전된 개인정보의 처리와 관련한 개인정보 보호법의 해석과 적용을 위한 보완규정」(개인정보보호위원회고시 제2021-5호, 이하 보완규정)을 마련하였습니다. 보완규정의 부칙에 따르면 보완규정은 유럽연합(EU) 개인정보보호법(GDPR)에 따른 유럽연합 집행위원회의 한국에 대한 적정성 결정이 발효되는시간과 같은 시점에 시행됩니다.


따라서 앞으로 EU 적정성 결정에 따라 한국으로 이전된 개인정보를 처리하는 개인정보처리자는 보완규정을 준수하여야 할 것으로 보입니다.


■ 개인정보의 한국 국외 이전 시 GDPR 규정 준수

적정성 결정은 EU로부터 한국으로의 개인정보 이전에 관한 GDPR상 규제를 완화하는 것뿐이므로, GDPR의 직접 적용을 받는 수범자의 경우 적정성결정과 별도로 GDPR의 제반 규정을 준수하여야 한다는 점은 동일합니다. 특히 이러한 수범자들이 한국 국외로 개인정보를 이전하는 경우에는 개인정보의 국외 이전에 관한 GDPR의 규정을 준수하여야 할 것이라는 점에 유의하시기 바랍니다.


■ 개인신용정보의 적정성 결정 대상 제외 및 SCC의 개정

「신용정보의 이용 및 보호에 관한 법률」에 따라 개인신용정보를 처리함으로써 금융위원회의 감독을 받는 회사들은 EU 적정성 결정의 대상에서 명시적으로 제외되었습니다(결정문 Article 1(2)(c)). 따라서 여기에 해당하는 기업은 기존과 같이 SCC 등 GDPR 제5장에 규정된 다른 법적 근거를 갖추어야 합니다.


특히 2021. 6. 27. 개정 SCC가 발효되었는바, 2021. 9. 27.부터는 개정 전 SCC를 체결하더라도 EU 개인정보의 한국으로의 이전을 정당화하는 효과가 없습니다. 또한, 2022. 12. 28.부터는 기체결된 개정 전 SCC의 국외이전 정당화 효력도 인정되지 아니합니다. 이에 따라 기존에 체결된 SCC가 개정 전 버전인지 확인하시고, 이를 개정 버전으로 업데이트하는 작업이 필요합니다. 이 경우 SCC 체결 전에 개인정보가 이전되는 국가인 한국의 개인정보 보호 체계가 SCC에 따른 의무사항과 충돌하는지 여부에 대한 평가를 수행하고, 평가 결과를 문서화하여 보관하여야한다는 점에 유의하시기 바랍니다(개정SCCClause 14 등).



박광배 변호사 (kwangbae.park@leeko.com)

채성희 변호사 (sunghee.chae@leeko.com)

강민채 변호사 (minchae.kang@leeko.com)

관련 법조인

리걸에듀