[EU의 데이터 보호] 12. GDPR의 책임성 요구사항

GDPR의 한 가지 명시된 목표는 개인정보 보호의 동의에 기반한 원칙에 따라 회원국 간에 개인 데이터의 자유로운 흐름을 허용하는 것이다. 그러나 GDPR은 동시에 개인정보를 제3국으로 이전하는 데 특별한 고려가 필요하다는 것도 인정한다. 이번 글에서는 유럽의 데이터 보호법이 개인정보의 국제 이전을 구체적으로 규제하는 방법을 알아본다.

 

입법 배경

Data Protection Directive(‘Directive’)가 20년 전부터 시행되었으므로, GDPR은 오늘날 점점 더 상호 연결된, 디지털 경계가 없는 세계의 맥락에서 어려운 제한을 설정한다. 유럽 경제 지역(EEA) 이외의 국가로의 개인 데이터 이전은 GDPR 제5장의 조건에 따라 아래와 같이 실시될 때만 허용된다.

•제3국은 유럽 집행위원회(Commission)에 의해 결정된 개인정보에 대해 적절한 수준의 보호가 보장되는 경우

•적절한 수준의 보호가 없는 경우 데이터를 이전하고자 하는 컨트롤러 또는 프로세서는 집행 가능한 데이터 주체 권한 및 데이터 주체에 대한 효과적인 법적 구제가 가능하다는 조건에서 적절한 보호조치를 제공하는 경우

적절한 수준의 보호 또는 적절한 보호조치가 없는 경우, 개인정보의 이전은 GDPR에 의해 다루어지는 특정 상황에 대하여 여러 문제 상황 중 하나에 해당된다.

GDPR이 ‘국제 조직’으로 정의한 조직으로의 개인 데이터 이전에도 동일한 제한이 적용된다. 즉, 공공 국제법이 적용되는 조직 및 그 하위 조직 또는 두 개 이상의 국가 간의 합의에 기반하여 생성된 다른 모든 조직에 대해서도 동일한 제한이 적용된다.

GDPR의 Recital은 이 급진적 접근 방식의 근거를 명확하게 설명하지 않는다. Recital 101은 국제 무역의 확대를 위해서는 개인정보의 국경 간 흐름이 필요함을 인식하고 있지만, GDPR에 의해 EU에서 보장되는 자연인의 보호 수준을 훼손해서는 안 됨을 명시하고 있다.

이 접근법의 기초를 이해하기 위해서는 GDPR를 입안하고 채택하는 유럽 기구가 개인에게 제공되는 보호를 약화시키려는 시도를 막음으로써 새로운 체제의 효과를 보존하려고 시도했음을 명심할 필요가 있다. 실제로 이것은 유럽 이외 지역의 관할 지역에 EU 데이터 보호 표준을 효과적으로 부과하는 상황을 만든다.

 

실제적인 함의

GDPR에 의해 부과된 높은 수준의 개인정보 보호를 염두에 두면서, 이 문제에 대한 동일한 엄격한 입법적 접근법을 따르지 않는 국가가 데이터 이전에 대한 적합성 요구 사항을 어떻게 충족시킬 수 있는지는 알기 어렵다. 결과적으로, GDPR의 이 요소는 국제 상거래에 대한 심각한 장벽으로 간주될 것이다.

실질적인 측면에서 볼 때, 일부 대형 다국적 기업의 경우 이 문제는 데이터 처리 활동이 실제로 이루어지는 장소와 관계없이 EU 데이터 보호 관행을 운영 전반에 걸쳐 적용하는 것을 의미한다.

 

데이터 이전 범위

GDPR이 데이터 이전의 개념을 정의하고 있지는 않다. 그러나 데이터의 이전은 단순한 데이터의 수송(transit)과 동일하지 않다. 그것은 ‘이전’을 완료한 제3국 내에서의 처리까지 포함하는 개념이다. 따라서 EEA 국가에서 오는 도중 제3국을 통해 개인정보가 전달되더라도, 제3국의 개인정보에 대한 실질적인 처리 작업이 수행되지 않는 한, 그러한 이전은 GDPR의 적용 범위에 포함되지 않는다.

실제로 과거에는 우려되는 상황이었지만, GDPR상에서 데이터 수출을 다루는 조건의 적용을 받지 않는 2가지 공통적인 상황이 있다.

•인터넷 전자 메일 및 웹 페이지와 같은 패킷 교환 기술의 기술적 라우팅. 이는 전 세계 어느 곳에서도 컴퓨터 서버 간에 개인 데이터의 무작위 이전을 수반하는 경우

•적절한 수준의 보호가 불가능한 곳에서 짧은 시간 동안 물리적으로 위치한 여행자가 전자적인 방식으로 개인 데이터에 접근하는 경우(예를 들어, 외국 공항에서 데이터에 접근하기 위해 EU 기반 시스템에 로그인하는 사람)

또한 2003년 11월 스웨덴의 보딜 린드크비스트(Bodil Lindqvist, C-101/01) 사건에 대한 유럽 법원 판결에 따라 회원국의 개인이 해당 국가 또는 다른 회원국에서 운영되는 웹 사이트에 개인정보를 올려서 인터넷에 연결된 누구나 정보에 액세스할 수 있도록 하는 것은 제3국으로 데이터를 이전하는 경우에 해당되지 않는다.

그러나 개인정보가 교환된 후 자동 처리하려는 의도가 있는 국제적인 개인정보 교환이 있는 경우, 원래의 교환이 개인 데이터 처리로서 충족되지 못하는 경우에도 GDPR의 목적을 위한 이전으로 간주해야 한다. 예를 들어, EU의 누군가가 제3국의 누군가에게 전화로 정보를 제공한 다음 정보를 컴퓨터에 입력하는 경우가 여기에 해당된다.

 

적절한 보호 수준’의 의미

GDPR 제45조 (1)항:

집행위원회가 그 제3국, 영토 또는 그 제3국 내의 하나 이상의 특정 분야 또는 문제의 국제기구가 적절한 수준의 보호를 보장한다고 결정한 경우, 제3국 또는 국제기구로의 개인 데이터의 이전이 일어날 수 있다.

집행위원회는 보호 수준의 적절성을 평가할 때 특히 다음 요소들을 고려해야 한다:

a. 법치, 인권 및 기본적 자유에 대한 존중, 입법의 구현, 데이터 보호 규칙, 전문 법칙 및 보안 수단은 물론 공공의 안전, 방위, 국가 안보 및 형법에 관한 법률과 개인 데이터에 대한 공공 당국의 접근을 포함하는 일반 및 부문별 관련 법령 (개인 데이터가 이전되는 데이터 주체를 위해 효과적이고 강제적인 데이터 주체의 권리와 효과적인 행정적 사법적 구제는 물론, 제3국 또는 해당 국가나 국제기구가 따르는 국제기구로의 개인 데이터 전송을 위한 규칙 또는 판례법을 포함)

b. 적절한 제재 권한을 포함하여 데이터 보호 규칙의 준수를 보장하고 집행할 책임이 있는 제3국 또는 국제기구가 관여하는 하나 이상의 독립 감독 당국의 존재와 효과적인 기능 (데이터 주체의 권리 행사를 지원 및 자문을 위해, EU 회원국의 감독 당국과 협력을 위해 적절한 집행권한을 포함)

c. 관련 제3국이나 국제기구에의 국제적 의무, 또는 법적 구속력이 있는 협약 또는 법률로 인한 기타 의무 (특히 개인 데이터 보호과 관련하여 다자간 또는 지역 시스템에의 참여로 인한 의무도 물론 포함됨)

 

 

적절한 보호를 받는 국가를 지정하는 절차

집행위원회는 보호 수준의 적절성을 평가한 후 법률을 제정함으로써, 제3의 국가 및 영토, 제3국의 특정 분야 또는 국제기구가, 위에 기술된 바와 같이 법에 의해 주어진 의미 내에서, 적절한 보호 수준을 보장하는지 결정할 수 있다.

위원회의 이행법은 적어도 4년마다 정기적인 검토를 위한 메커니즘을 제공해야 하며, 제3국 또는 국제기구의 모든 관련 개발을 고려해야 한다. 이행법은 해당 지역 및 부문별 적용을 명시하고, 해당되는 경우 감독 당국을 데이터 보호 규칙 준수 보장 및 시행의 책임으로 식별해야 한다.

또한 집행위원회는 채택된 타당성 결정의 기능에 영향을 미칠 수 있는 제3국 및 국제기구의 개발 계획(원래 Directive하에서 채택되었던 결정 포함)을 지속적으로 감시해야 한다. 결과적으로, 이용 가능한 정보가 제3국, 영토 또는 제3국 또는 국제기구 내의 하나 이상의 특정 부문이 더 이상 적절한 수준의 보호를 보장하지 않는다는 것을 밝혀내면, 집행위원회는 이를 철회하고 수정해야 하며, 적절한 경우 결정을 중지할 수 있다.

완전성을 위해 GDPR은 Directive에 근거하여 위원회가 채택한 타당성 결정이 다른 위원회의 결정에 의해 수정, 대체 또는 철회될 때까지 유효함을 확인한다. Directive에 따라 위원회는 안도라, 아르헨티나, 캐나다, 페로 제도, 건지 섬, 맨섬, 이스라엘, 저지 섬, 뉴질랜드, 스위스 및 우루과이가 충분한 보호를 제공한다고 인정했다.

 

미국의 상황

원래의 Safe Harbor

미국 상무부와 유럽 집행위원회는 EU와 미국 간 대량의 데이터 이전을 고려하여 조직이 EU 데이터 보호법의 요구 사항을 충족시킬 수 있는 프레임워크로서 Safe Harbor 메커니즘을 개발했다. 대서양을 횡단하는 데이터 이전과 관련하여 2000년 7월 26일 광범위한 협상을 거쳐 유럽 집행위원회는 Safe Harbor 개인정보 보호 원칙이 EU로부터 이전된 개인 데이터에 대한 적절한 보호를 제공했다는 결정을 발표했다. 이 결정에 따라 EU 개인 데이터가 Safe Harbor 개인정보 보호 원칙을 준수하기로 합의한 미국 소재 회사로 이전될 수 있었다.

그러나 채택된 이후 Safe Harbor 프레임워크는 어려움을 겪고 있었다. Safe Harbor 개인정보 보호 원칙에 명시된 데이터 보호 요구 사항은 Directive의 적절성 기준과 일치하기 위한 것이었지만, 자체 인증 특성 및 비유럽 스타일의 조항은 수년 동안 많은 비판을 받았다. 예상되는 약점으로는 참가자가 필수 연간 준수 확인을 수행하지 않았으며 FTC(Federal Trade Commission)의 적극적인 집행 부족(다른 국내 사례와 비교 시)이 포함되었다. 이러한 요인들로 인해 일부 EU 데이터 보호 당국(DPA)은 적정성 메커니즘으로서의 Safe Harbor 프레임워크의 유효성에 의문을 가지게 되었다.

 

스노든 효과

그런 와중에 2013년 6월 미국 국가안보국(NSA)에 의해 수행된 대량 감시 작업에 관한 에드워드 스노든(Edward Snowden)의 폭로는 EU가 개인정보의 국제 이전을 규제하는 방식에 매우 눈에 띄는 연쇄적 효과를 나타냈다. Safe Harbor 프레임워크에 대한 기존의 비판과 이 계획에 참여한 회사가 미국의 감시 활동에 관여했을 가능성이 있다는 주장에 따라, 활동가 및 일부 DPA로부터 Safe Harbor 프레임워크의 철회를 촉구하면서 유럽 의회에 즉각적인 중지를 요구하는 결의안이 채택되었다.

집행위원회는 Safe Harbor 프레임워크를 중단하면, EU 비즈니스 이익과 대서양을 어우르는 경제에 악영향을 미칠 수 있다는 우려가 있었기 때문에 그렇게 하지는 않았다. 그러나 Safe Harbor 프레임워크에는 여러 가지 약점이 있으며, 프레임워크를 강화하고 신뢰성을 회복할 수 있는 방법을 찾기 위해 미국 정부와의 대화를 재개하는 것 외에는 선택의 여지가 없음에 동의했다.

집행위원회는 이 재협상을 2013년 11월 27일 유럽 의회와 유럽 연합 이사회와의 두 차례의 커뮤니케이션을 통해 발표했다. 제목은 ‘EU 시민과 EU에 설립된 회사의 관점에서 Safe Harbor의 기능에 대하여’와 ‘EU-미국 데이터 흐름의 신뢰 재건’이다. 이러한 커뮤니케이션에서 집행위원회는 EU와 미국이 전략적 파트너였고 대서양 양측의 대서양 횡단 데이터 흐름이 상업, 법 집행 및 국가 안보에 결정적으로 중요하다고 강조했다. 그러나 Snowden의 폭로가 이 파트너십에 대한 EU의 신뢰를 훼손시켰으며 이러한 신뢰가 재건되어야 한다는 점도 인식되었다.

 

Safe Harbor II를 향하여

집행위원회는 2014년 1월에 Safe Harbor 프레임워크를 업데이트하기 위해 미국 당국과 논의하기 시작했다. 본래 목표는 2014년 여름까지 구제 조치를 확인한 후 가능한 한 빨리 구현하는 것이었다.

집행위원회는 Safe Harbor의 약점을 해결하고 프레임워크가 상업적 대서양 횡단 데이터 흐름을 촉진하는 효과적인 메커니즘으로 남아 있도록 하기 위한 13가지 구체적인 권장 사항을 제공했다. 이러한 권고안은 투명성, 교정, 집행 및 미국 당국의 데이터 접근이라는 4가지 우선순위에 중점을 두었다. 2014년 6월, EU 법무부장관 비비안 레딩(Viviane Reding)은 협상에 관한 최신 정보를 제공했으며, 미국 상무부(DOC, Department of Commerce)는 위원회의 13가지 권고 중 12개 조항에 동의했다. 그러나 난제는 엄격한 필요와 비례성이 있을 때만 국가 안보 예외가 적용될 것이라는 최종 권고안이었다.

동시에, Safe Harbor의 유효성이 오스트리아의 법학생 막스 슈렘스(Max Schrems)에 의해 제기되었으며, 그는 Facebook Ireland에 의해 개인 데이터의 미국 이전을 중단할 것을 아일랜드의 데이터 보호 위원에게 요구했다. 슈렘스는, 스노든이 폭로했듯이 미국의 정보기관의 그러한 폭 넓은 접근 때문에 Facebook Ireland(Facebook의 유럽 사용자 데이터를 위한 데이터 컨트롤러)가 Safe Harbor 프레임워크를 사용하여 더 이상 미국에 대한 데이터 이전을 합법화할 수 없다고 주장했다.

이 클레임은 아일랜드 고등 법원에 제기되었고, 결국 EU 법의 해석에 대한 최고 사법 기관인 유럽 연합 법원(CJEU)의 결정에 회부되었으며, 2015년 10월 6일 CJEU는 판결을 내리고 Safe Harbor 적정성 결정을 무효로 선언했다. 이 판결은 유럽 연합(EU)에서 미국으로의 데이터 전송을 위한 보다 견고한 대체 메커니즘에 동의하도록 유럽 집행위원회에 대한 압력을 가중시켰다.

 

Privacy Shield의 탄생

2016년 2월 29일, DOC와의 2년 넘게 협상을 마친 후 집행위원회는 새로운 Privacy Shield 프레임워크의 적절성에 대한 (오래 기다렸던) 초안 결정을 발표했고, 여기에는 프레임워크가 실제로 어떻게 작동하는지에 대한 정보도 포함되었다. Privacy Shield 프레임워크 문서는 프레임워크에 참여하고자 하는 조직에 더 구체적이고 엄격한 조치를 부과하며, 이전 Safe Harbor보다 훨씬 더 상세하다.

또한 Privacy Shield 프레임워크에는 미국 정부 기관의 개인정보 접근에 영향을 미치는 법적 제한과 관련하여 보증을 제공하는 미국 정부 공무원의 각종 공식 서신뿐만 아니라, EU 개인의 개인정보가 미국에서 처리될 때 EU 개인의 개인정보 보호 권리가 행사될 수 있도록 고안된 추가적인 확인과 균형을 포함한다.

Privacy Shield에 관한 위원회의 최초 공고에 이어, 제29조 작업반(WP29)은 관련 문서가 공개되기 전에 2016년 2월 3일에 서면으로 Privacy Shield를 도입하는 것에 대한 EU와 미국 간의 협상 결론을 환영하는 예비 성명서를 발표했다. 그러나 2016년 4월 13의 WP29는 프레임워크의 상세한 분석을 제시하는 Opinion을 발표했다. 이 Opinion에서, WP29은 Privacy Shield의 상업적 측면 및 Privacy Shield하에서 전송된 데이터를 액세스할 수 있는 미국의 공공 기관의 능력에 대한 우려를 정리하였다.

특히, WP29는 Privacy Shield가 EU 법의 특정 주요 데이터 보호 원칙을 포함하지 않는다고 생각했다. WP29는 또한 앞으로의 데이터 전송에 대한 보호와 개인에 대한 교정 메커니즘이 너무 복잡할 수 있다는 우려를 표명했다. 마지막으로, WP29는 Privacy Shield 문서가 미국 정보기관의 EU에서 유래한 개인정보의 대량 수집과 무차별 수집을 배제하지 않았으며, 새로운 옴부즈맨이 충분히 독립적이거나 강력하지 않다는 점을 지적했다. Opinion은 집행위원회가 이러한 우려를 해결하고 Privacy Shield를 개선할 것을 촉구함으로써 결론을 맺었다.

 

Privacy Shield의 작동

2016년 7월 12일 WP29의 우려 사항을 해결하기 위한 추가 협상에 이어, 유럽 집행위원회는 마침내 EU에서 미국으로 개인 데이터를 전송하기 위한 Privacy Shield Framework에 관한 타당성 결정을 발표했다. Privacy Shield는 공식적으로 2016년 8월 1일에 운영되고, FTC 또는 교통부(DOT, Department of Transportation)의 관할하에 있는 미국 기업은 DOC에 온라인 등록을 제출하여 Privacy Shield에 가입할 수 있다. 이는 대부분의 영리 목적 비즈니스를 대상으로 하지만, 해당 규제 기관의 관할이 아닌 수많은 은행, 금융 서비스 회사, 통신 및 기타 비즈니스는 제외된다.

Privacy Shield 회사가 준수해야 하는 7가지 원칙은 Safe Harbor의 원칙과 유사하다. 그러나 이들 각각은 중요한 방법, 특히 의지, 집행 및 책임의 원칙에 따라 강화되었다.

7가지 원칙은 다음과 같다.

1. 공지 사항

2. 선택

3. Onward 이전(제3국에서 또다른 제3국으로 이전)에 대한 책임

4. 보안

5. 데이터 무결성 및 목적 제한

6. 액세스

7. 자원, 집행 및 책임

Privacy Shield는 다음을 포함하여 준수할 수 있음을 입증하기 위한 특정 단계를 수행하기 위해, 기업이 Privacy Shield 원칙 준수를 자체 인증하도록 요구한다.

•인증에서 다루는 정보와 관련한 회사의 원칙 준수 능력을 결정하기 위해 내부 규정 준수 평가를 수행. 협조 능력에 차이가 있을 경우, 컴플라이언스를 위해 회사는 내부 통제, 정책 및 절차를 도입할 것

•회사가 완전히 해결할 수 없는 정보 취급에 관한 EU 개인의 불만 사항을 처리하고 등록비를 지불하기 위해 제3자 중재 제공 업체에 등록할 것

•회사의 개인정보 보호 관행에 관한 13가지 세부 정보가 들어 있는 개인정보 보호 정책을 채택하고 온라인으로 공지 사항을 게시할 것

Max Schrems 자신을 비롯한 다수의 개인정보 보호 활동가가 발표한 공개 성명서에서, Privacy Shield가 CJEU에서 테스트될 가능성이 높다. 정부의 감시에 대한 지속적인 우려가 잠재적인 법적 문제의 주요 원인으로 언급되었다. CJEU가 최종 결정을 하기까지는 수 년이 걸리 집행위원회와 DOC 간의 협상은 Safe Harbor에 영향을 미친 문제를 해결하기 위한 것이기 때문에, 미국정부가 프레임워크 하에서 한 약속을 저버리지 않는 한, CJEU가 Privacy Shield에 반하여 판결한다는 것은 결코 아니다.

 

적절한 안전 조치 제공

현실적으로 ‘적절한’ 자격을 갖춘 국가의 수가 줄어든 것을 감안하면, 대부분의 경우 개인 데이터를 국제적으로 전송하려는 컨트롤러 또는 프로세서는 데이터에 대한 적절한 안전장치를 제공하는 메커니즘을 사용해야 한다. GDPR은 이러한 목적에 적합한 몇 가지 가능한 메커니즘을 아래와 같이 열거함으로써 이 상황을 해결한다.

•공공 기관이나 기관 간에 법적으로 구속력 있고 시행 가능한 법률 문서

•제47조에 따른 BCR(Binding Corporate Rules)

•집행위원회가 채택한 표준 데이터 보호 조항

•감독 당국이 채택하고 집행위원회가 승인한 표준 데이터 보호 조항

•데이터 주체의 권리와 관련하여 적절한 안전장치를 적용하기 위해 제3국의 컨트롤러 또는 프로세서의 구속력 있는 집행 가능한 약속과 함께 제40조에 따라 승인된 행동 강령

•데이터 주체의 권리와 관련하여 적절한 안전장치를 적용하기 위해 제3국의 컨트롤러 또는 프로세서의 구속력 있고 집행 가능한 약속과 함께 제42조에 따라 승인된 인증 메커니즘

•‘컨트롤러 또는 프로세서’와 ‘컨트롤러, 프로세서 또는 제3국 또는 국제기구의 개인 데이터의 수령인’ 간의 계약 조항, 또는 권한이 있는 데이터 보호 감독 기관에 의해 그 목적이 명확히 승인된 공공 기관 또는 단체 간의 행정 협정에 포함될 규정

이 옵션 메뉴는 개인 데이터의 수출자와 수입자 모두에게 더 큰 선택과 유연성을 제공하므로 Directive에 비해 개선된 것으로 볼 수 있다.

 

계약상의 방법

전통적으로 적절한 수준의 보호를 제공하지 못하는 국가의 국제 데이터 이전을 합법화하기 위해 가장 자주 사용되는 메커니즘은 소위 말하는 ‘표준 계약 조항’ 또는 ‘모델 조항’이었다. Directive에 따르면, 이것은 유럽 집행위원회에 의해 사전 승인된 계약이었으며 EU 표준에 따라 개인정보를 보호하기 위해 수출자와 수입자 모두에게 적용되는 특정 의무를 수립했다.

이와 관련하여, 2001년 6월 15일 유럽 집행위원회는 유럽 연합의 컨트롤러가 ‘부적절한 관할권’ 내의 컨트롤러에게 이전한 개인 데이터에 대한 적절한 안전장치를 보장하는 Decision을 채택했다. 이 Decision은 회원국이 EEA 외부 국가로의 개인정보 이전과 관련하여 이 표준 조항을 사용하는 회사 또는 조직이 데이터에 대한 적절한 보호를 제공하고 있음을 회원국이 인정하도록 했다.

마찬가지로 2001년 12월 27일 유럽 집행위원회는 적절한 수준의 데이터 보호를 제공하지 못하는 비EEA 국가에 설립된 프로세서로 개인 데이터를 이전하기 위한 표준 계약 조항을 설정하는 두 번째 Decision을 채택했다.

2003년에 집행위원회는 ‘Data Protection Directive의 이행에 관한 첫 번째 보고서’에서 경제 운영자가 표준 계약 조항을 더 광범위하게 채택할 수 있도록 Decision을 더 수용하고자 함을 명시했다. 따라서, 위원회는 2001년 6월의 Decision을 개정하는 새로운 Decision을 발행했고, 컨트롤러 사이의 국제 이전을 정당화하는 데 사용할 수 있는 표준 계약 조항의 세트에 두 번째 버전을 추가하였다. 이 두 번째 버전은 국제상업회의소(ICC, International Chamber of Commerce)가 개척한 대안 초안을 기반으로 한다.

원래의 2001년 컨트롤러-프로세서 조항의 융통성 없는 성격 때문에 ICC는 추가 제안을 했고 2010년 2월 5일에 집행위원회는 새로운 모델 조항 세트를 사용하여 원래의 컨트롤러-프로세서 표준 조항을 업데이트하고 교체하는 Decision을 통보했다. 2010년 이후, EEA 밖의 프로세서로의 국제 데이터 이전을 정당화하기 위해 표준 계약 조항에 의존하고자 하는 EEA 기반 컨트롤러는 새로운 처리 작업을 위한 조항을 처리하기 위해 업데이트된 컨트롤러-프로세서 조항을 사용해야 했다. 표준 계약 조항 세트는 다음과 같다.

•2001년 컨트롤러 대 컨트롤러 조항

•2004년 컨트롤러 대 컨트롤러 대체 조항

•2010년 컨트롤러 대 프로세서 조항

이 조항들은 GDPR에 의거하여 보다 규범적인 틀과 일치하는 새 버전으로 대체되거나 개정될 때까지 유효하다.

위원회가 승인한 모델 계약은 실제로 국제 데이터 이전을 합법화하기 위한 적절한 메커니즘이 될 것이지만, DPA가 표준 계약 조항을 채택하거나 당사자가 제시한 임시 계약을 기반으로 한 이전을 승인할 수 있는 능력은, 이전을 위한 계약 방식의 개발에 중요한 역할을 담당한다.

Microsoft, Amazon Web Services 및 Google과 같은 일부 기술 회사는 자체 버전의 데이터 이전 계약에 대해 DPA의 승인을 얻는 아이디어를 이미 개척했다. 이 접근법의 장점은 기업이 개인 데이터 보호에 대해 계약상으로 약속해야 하는 방식에 큰 유연성의 혜택을 보면서도, 위반 가능성이 적은, 보다 현실적인 계약 의무를 수용할 수 있다는 것이다.

 

행동 강령 및 인증 메커니즘

국제 데이터 이전 영역에서의 GDPR의 혁신 중 하나는 적절성 메커니즘으로서의 행동 강령 및 인증 메커니즘을 명시적으로 추가했다는 것이다. 하지만 이 두 메커니즘은 아직 테스트되지 않았으므로 국제 데이터 이전을 합법화하기 위한 실용적이고 효과적인 솔루션을 제공하는지 확인해야 한다.

 

다국적 기업 그룹 내의 데이터 전송 – BCR

GDPR에 따른 국제 데이터 이전 영역에서 가장 중요한 발전은 회사 그룹 내에서 그러한 이전을 합법화하기 위해 컨트롤러와 프로세서 모두에 사용할 수 있는 메커니즘으로 BCR(Binding Corporate Rules)을 포함시킨 것이다. 2003년에 EU DPA는 다국적 기업 및 그룹이 EU 데이터 보호법에 따라 국경을 초월한 개인정보의 조직 내 이전을 가능하게 하는 BCR 개념을 개발했다. GDPR에 명시적으로 포함시키는 것은 EU 정책 입안자의 의지와 EU 데이터 보호법 준수를 보장하는 그룹 내 글로벌 개인정보 보호 프로그램의 증가하는 중요한 역할 모두를 확인한다.

 

BCR 개념

다국적 기업 그룹 내의 데이터 수출은 그룹 외부로의 수출과 동일한 규칙의 적용을 받는다. 그러나 계약 방식을 사용하는 것은 전 세계적으로 운영되는 데이터 기반 조직의 국제 이전을 합법화하는 비용 효율적인 방법은 아니다. 많은 글로벌 기업에서 개인 데이터를 사용하는 것은 국가 테두리와 관할 구역 차이를 넘어서 정보를 공유하는 데 있다. 따라서 자회사 간 무수한 계약을 체결해야 한다는 비현실적인 문제를 해결하는 유연한 맞춤형 솔루션이 유일한 실용적 옵션일 것이다.

수년 동안 EU DPA는 기업 그룹 내에서 데이터 수출을 합법화하기 위한 메커니즘으로서 BCR의 역할을 인정했다. 본질적으로, BCR은 다국적 기업이 자발적으로 작성하여 따르는 유럽 개인정보 보호 표준을 기반으로 하는 글로벌 규칙 세트이며, 국가 규제 기관은 자체 법률에 따라 승인한다.

Directive의 목적을 위한 적절한 안전장치를 마련하기 위해 BCR을 사용한다는 아이디어는 원래 WP29의 Working Document WP74에서 고안되었다. 이후 EU DPA는 BCR 승인 절차를 간소화하기 위해 협력 수준을 향상시켰다. 이러한 협력은 ‘상호 인정’ 과정의 채택으로 이어졌으며, 이는 효과적으로 GDPR에 편입되었다.

 

BCR 요구 사항

GDPR에 따르면, DPA는 소위 ‘일관성 메커니즘’에 따라 BCR 세트를 승인해야 한다(제6장 참조). 법적 구속력이 있으며 데이터 대상에 대해 시행 가능한 권한을 명시적으로 부여해야 한다.

BCR의 완전하고 유효한 집합에는 구체적으로 다음 요소가 포함되어야 한다.

a. 기업 그룹 및 각 구성원의 구조 및 연락처 세부 사항

b. 개인 데이터의 범주, 처리 유형 및 목적, 영향을 받는 데이터 유형 및 제3국 또는 해당 국가의 식별을 포함하는 데이터 이전 또는 이전 집합

c. 내부적으로나 외부적으로 그들의 법적 구속력 있는 본질

d. 일반적인 데이터 보호 원칙의 적용, 특히 목적 제한, 데이터 최소화, 제한된 저장 기간, 데이터 품질, data protection by design and by default, 처리의 법적 기반, 개인 데이터의 특수 범주 처리, 데이터 보안을 보장하기 위한 조치, 그리고 BCR에 구속되지 않는 단체로의 지속적인 이전과 관련된 요구 사항들

e. 절차에 관한 데이터 주체의 권리와 그러한 권리를 행사할 수 있는 수단(프로파일링을 포함하여 자동 처리에만 근거한 결정의 대상이 되지 아니할 권리, 권한 있는 감독 당국 및 관할 법정에 불만을 제기할 권리, 그리고 적절한 경우, BCR 위반에 대해 교정과 보상을 받을 권리)

f. 연합 내에 설립되지 않은 회원에 의한 BCR 위반에 대한 책임이 있는 회원국의 영토 내의 컨트롤러 또는 프로세서의 수락

g. BCR에 대한 정보가 데이터 주체들에게 어떻게 제공되는지

h. BCR의 모니터링 준수를 책임지고 있는 모든 데이터 보호 책임자(DPO) 또는 다른 사람 또는 독립체의 임무

i. 민원 절차

j. BCR 준수 검증을 위한 메커니즘

k. 규칙의 변경을 보고하고 기록하고 그 변경 사항을 감독 당국에 보고하는 메커니즘

l. 준수를 보장하기 위한 감독 당국과의 협력 메커니즘

m. 권한 있는 감독 당국에 BCR이 제공한 보증에 실질적으로 악영향을 미칠 가능성이 있는 제3국에서 기업 그룹의 구성원이 받는 법적 요구 사항을 보고하기 위한 메커니즘

n. 개인 데이터에 영구적으로 또는 정기적으로 액세스하는 직원에게 적절한 데이터 보호 교육

 

감면에 의존

적절한 수준의 보호 또는 적절한 보호 장치가 없는 경우, GDPR에 포함된 특정 상황에 대한 감면 사항 중 하나에 해당하는 경우, 개인 데이터의 이전 또는 일련의 이전이 여전히 수행될 수 있다.

 

동의

데이터 수출은 개인의 명시적인 동의를 받아 합법적으로 이루어질 수 있다. 동의는 여전히 구체적이고 정보가 있어야 한다. 이는 그러한 이전에 대해 적합성 결정과 적절한 안전장치가 없음으로 인해 가능한 위험에 대해 개인에게 알려야 함을 의미한다.

 

계약 수행

GDPR은 특정 유형의 계약이 있거나 고려중인 경우, 데이터 이전을 허용한다. 수출자와 데이터가 관련된 개인 간의 계약의 경우, 그러한 이전이 계약 이행을 위해 필요하거나, 개인의 요청에 의해 수출자에 의한 사전 계약 조치의 필요한 부분이라면, 이전이 수행될 수 있다.

수출자와 개인 이외의 다른 사람 사이의 계약의 경우, 계약이 개인의 요청에 의한 것이거나, 개인의 이익을 위해 체결되었고, 이전이 계약 이행 또는 체결을 위해 필요한 것이라면, 그 이전은 합법적이라고 할 수 있다.

이 조항이 적용되는 계약은 재화나 용역의 공급에만 국한되지 않으며, 고용계약의 경우에도 적용될 수 있다. 그러나 계약 이행을 위해 이전이 필요한지 여부는 수출업체의 운영 방식보다는 계약에 따라 제공되는 재화 또는 용역의 성격에 달려 있다. 다시 말해, 수출자가 해외로 데이터를 이전하는 방식으로 운영을 구조화하기로 선택한 것이 이전의 유일한 이유라면, 이전이 필요하지 않다.

그러므로 고객이 EEA 기반 여행사를 통해 휴가를 예약하는 경우 여행사는 고객과 계약을 수행하기 위해 예약 세부 사항을 외국 호텔로 이전해야 한다. 그러나 여행사가 순전히 효율성 또는 비용절감의 이유로 고객 데이터베이스를 EEA 외부의 컴퓨터에 배치하기로 결정한다면, 그것은 고객과의 계약 이행을 위해 해외에 위치한 컴퓨터에 개인 데이터를 이전하는 것이라고 말할 수는 없다.

 

상당한 공공 이익

공공의 이익을 위해 필요한 곳에 이전할 수 있다. 이 경우는 범죄 예방 및 탐지, 국가 안보 및 세금 징수 목적으로 인해 이전이 필요한 상황에 적용될 가능성이 가장 높다.

법적 청구

법적 청구의 성립, 행사 또는 이에 대한 방어를 위해 필요한 경우 이전할 수 있다.

중요한 이익

개인 데이터의 수출은 데이터 주체 또는 다른 사람의 중요한 이익을 보호하기 위해 필요한 경우 합법적으로 수행될 수 있다. 실제로 이것은 심각한 질병에 걸렸거나 해외에서 심각한 사고를 당한 개인의 의료 기록을 이전하는 것과 같은 삶과 죽음의 문제와 관련이 있다.

 

공공 등록부

개인 데이터의 수출은 이전받는 사람이 등록부에 있는 정보에 대한 액세스 또는 사용에 대한 제한 사항을 준수한다는 전제하에 공공 등록부에서 가용한 정보를 통해 이루어질 수도 있다. 예를 들어, 이를 통해 이사진, 주주 또는 전문직 종사자의 공개 등록부에서 추출 내역을 전송할 수 있지만, 전체 등록부를 이전할 수는 없다. 또한 등록부 작성에 대한 책임이 있는 기관이나 단체가 부과한 사용 조건이 있는 경우, 수입자와 추가 수령인들은 이를 준수해야 한다.

 

비반복적 이전

마지막으로, 그리고 최후의 수단으로, 이전이 반복적이지 않거나 제한된 수의 데이터 주체에 관한 것이고, 데이터 주체의 이익 또는 권리 및 자유가 우선하지 않고 컨트롤러의 설득력 있는 합법적 이익 목적을 위해 필요하고, 컨트롤러가 데이터 이전을 둘러싼 모든 환경에 대한 평가를 하였고, 그 평가에 기반하여 컨트롤러가 개인 데이터의 보호화와 관련하여 적절한 안전장치를 제공한다면, 이전이 허용된다.

이러한 상황에서, 컨트롤러는 감독 당국과 데이터 주체에게 이전 사실을 알려야 한다. 개인은 또한 컨트롤러가 추구하는 설득력 있는 합법적 이익에 대해서도 통보받아야 한다.

 

국제 데이터 이전 제한에 대한 예측

국제 데이터 이전에 대한 제한을 극복하는 것은 EU에서 운영되는 글로벌 조직이 당면한 가장 어려운 규정 준수 문제 중 하나이다. 위에서 설명한 것처럼 모든 경우에 적절한 수준의 보호를 보장할 수 있는 올바른 메커니즘을 찾고 구현하는 것은 번거롭고 시간이 오래 걸릴 수 있다. 그러나 기술 개발, 세계화 및 감시 위협의 증가에도 불구하고 가까운 장래에 더 유연한 접근법에 대한 EU 기관의 욕구는 낮을 것으로 보인다.

따라서 준수를 보장하기 위해, 조직은 집행위원회가 고안한 적정성 기준에 따라 실행 가능한 글로벌 데이터 보호 준수 프로그램을 개발하고 계약 메커니즘 또는 BCR 세트를 통해 준수하도록 강력히 권고된다.

%d bloggers like this: