[GDPR 적용 특수 사례] 아웃소싱

아웃소싱이 본격화되지 않았던 1960년대가 지난 후에는 전자 데이터 처리 분야가 급속히 발전하고, 메인 프레임 컴퓨터가 등장하자, 정부 및 대기업은 광범위한 데이터 은행을 설립하고 개인 데이터의 수집, 처리 및 공유를 향상시키고 증대시켰다. 얼마 후 유럽에서는 ‘서비스 국(service bureaux)’ 또는 ‘컴퓨터 국(computer bureaux)’으로 알려진 모든 서비스가 자체 데이터 처리 기능이 없는 조직의 컴퓨팅 요구 사항을 해결하기 위해 등장했다.

이 새로운 관행은 실질적인 데이터 처리 담당 주체가 제거되면 정책 입안자가 데이터 보호를 보장해야 했기 때문에, 데이터 보호에 있어서 완전히 다른 차원을 고려하게 되었다. 1권에서 설명한 바와 같이 OECD의 개인정보 보호 및 개인정보의 흐름에 관한 가이드라인(‘Guidelines’)은 국내법에 따라 데이터 처리가 서비스 국과 같은 다른 당사자에 의해 수행되는 경우에도 개인정보 보호 규정을 준수하고 결정을 내릴 책임은 데이터 컨트롤러에 있다는 것을 지적함으로써 이 문제를 해결하려고 했다.

이 접근법은 데이터 보호 지침(‘Directive’)으로도 계승되었으며, 컨트롤러는 프로세서의 행위에 책임을 지게 되었지만, 1990년대와 2000년대의 아웃소싱 증가로, 컨트롤러를 대신하여 수행된 프로세싱에 대한 데이터 컨트롤러의 의무와 데이터 처리 서비스 제공자의 전문적 의무 간의 섬세한 균형에 대한 중요성이 점차 커졌다. 공정하고 효과적인 방식으로 실질적인 책임을 배분하여 균형을 바로잡는 것은 오늘날의 데이터 보호의 초석 중 하나가 되었다.

GDPR은 고객과 데이터 처리 서비스 제공자 간의 계약 의무를 강조하면서 ‘프로세서’ 역할을 하는 서비스 제공자에게 적용할 수 있는 직접적인 법적 의무도 설정하였다.

◆ 당사자의 역할

Directive와 마찬가지로 GDPR도 ‘컨트롤러’ 및 ‘프로세서’의 개념을 도입했다. 그러나 GDPR이 데이터 처리 활동의 아웃소싱과 관련된 복잡성을 더 잘 인식하고 있다. 따라서 컨트롤러에 적용되는 법적 의무에 초점을 맞추는 동시에 프로세서에 대한 새로운 법적 책임을 포함하고 최종 고객과 직접적인 계약 관계가 없는 서브 프로세서에 대한 의무도 예상할 수 있다.

◆ 컨트롤러 및 프로세서

GDPR에서 컨트롤러의 정의는 자연적이거나 합법적인 사람, 공공 기관, 기관 또는 다른 사람과 단독으로 또는 공동으로 개인 데이터 처리의 목적과 수단을 결정하는 기타 단체이다. 컨트롤러의 개념과 달리 프로세서는 컨트롤러를 대신하여 데이터를 처리하는 컨트롤러의 직원이 아닌 사람 또는 단체이다.

이러한 구별이 중요한 이유는, 법률에 따라 관련 데이터 보호 의무를 준수할 책임이 있는 것은 프로세서라기 보다는 컨트롤러이기 때문이다. 이러한 의무의 일환으로 서면 계약이 프로세서와의 관계를 관리하고 해당 프로세서가 해당 계약에 명시된 데이터 보호 의무를 준수하는지 확인하는 것은 또한 컨트롤러의 책임이다.

이 구별의 중요성은 2010년 2월 16일 채택된 제29조 작업반(WP29)의 공식 의견에 반영되었다. WP29는 이러한 견해의 정확한 의미와 그들의 정확한 사용은 이미 충분히 명확함에도 불구하고, 컨트롤러와 프로세서의 개념을 구체적으로 적용하는 것이 점차 복잡해지고 있음을 시사하는 것이라고 하겠다.

◆ 컨트롤러로서의 고객과 프로세서로의 공급자

컨트롤러 및 프로세서 역할을 아웃소싱 관계에 적용하는 가장 논리적인 방법은 고객을 컨트롤러로, 공급 업체를 프로세서로 간주하는 것이다. 이러한 역할 배분은 EU의 대다수 아웃소싱 계약에서 일반적인 관행을 반영한다. 여기에는 두가지 실질적인 의미가 있다.

•       처리 목적 및 수단 결정: 아웃소싱 계약은 실제로 당사자의 역할 면에서 침묵할 수 있지만 고객이 처리의 목적 및 수단을 결정할 때 지배적인 역할을 한다고 결론을 내릴 수 있는 충분한 요소가 있어야 한다.

•       법적 의무 부과: GDPR은 프로세서에 의해 수행되는 프로세싱은 프로세서를 컨트롤러에 바인딩하고 상세한 요구 사항을 규정하는 계약 또는 법적 행위에 의해 규율되어야 한다고 명확히 명시한다. 이것은 Directive에 비해 GDPR이 훨씬 더 규정적인 체계를 정립하고 있음을 보여주는 분야 중 하나이다.

 

엄격한 계약 관계와 위에서 언급한 바와 같이 공급 업체가 순전히 프로세서 역량 내에서 행동하는 경우에도 GDPR은 해당 업체에 적용되는 직접적인 법적 의무를 부과한다. 이러한 의무는 아웃소싱 계약의 계약 조항에 관계없이 적용되며 다음을 포함한다.

•       제27조: GDPR이 적용되는 프로세서가 EU 내에서 설립되지 않은 경우, 프로세싱이 가끔 수행되고, 특수한 범주의 데이터를 대량으로 처리하지 않고 범죄 유죄 판결 및 범죄와 관련된 개인 데이터를 보유하지도 않으며, 개인의 권리와 자유에 위험을 초래할 가능성이 없는 경우를 제외하고는 프로세서는 EU의 대리인을 지정해야 한다.

•       제28조 (2)항: 프로세서는 이전에 컨트롤러의 특정 또는 일반 서면 승인 없이 다른 프로세서를 사용해서는 안 된다. 일반적인 서면 허가가 제공되는 경우, 프로세서는 컨트롤러에 추가 기회를 제공할 수 있도록 다른 프로세서의 추가 또는 교체와 관련된 의도된 변경 사항을 컨트롤러에게 알려야 한다.

•       제28조 (3)항: 전술한 바와 같이, 컨트롤러를 대신하여 프로세서에 의해 수행되는 처리는 컨트롤러와 관련하여 프로세서에 대한 서면 계약 또는 기타 법적 행위에 의해 규율되어야 한다. 이 계약에는 처리와 관련된 구체적인 정보가 포함되어야 한다.

•       제28조 (4)항: 프로세서가 서브 프로세서를 사용하는 경우, 컨트롤러와의 계약에서 명시한 동일한 데이터 보호 의무가 계약을 통해 서브 프로세서에 부과되어야 한다. 초기 프로세서는 서브 프로세서의 성능에 관련하여 컨트롤러에 대해 온전히 책임이 있다.

•       제29조: 프로세서 또는 서브 프로세서 또는 그 권한 하에 있는 사람은 EU 또는 회원국 법에 의해 요구되지 않는 한 컨트롤러의 지시를 제외하고는 개인정보를 처리할 수 ​​없다.

•       제30조 (2)항: 프로세서 또는 그 대리인은 여러 세부 사항을 포함해야 하는 컨트롤러를 대신하여 수행되는 모든 개인 데이터 처리 활동 범주에 대한 서면 기록을 유지해야 한다. 이 기록은 요청 시 프로세서에서 데이터 보호 기관(DPA)에 제공해야 한다. 그러나 처리가 고위험인 경우를 제외하고 250명 미만의 직원을 채용하는 프로세서는 이 의무가 적용되지 않다.

•       제31조: 프로세서 또는 그 대리인은 데이터 보호 감독 당국과 협력해야 한다.

•       제32조: 프로세서는 개인 데이터가 보호되는지 확인하기 위해 처리 과정에서 발생하는 위험과 관련하여 적절한 기술적 및 조직적 보안 조치를 취해야 한다. 이러한 조치에는 다음이 포함될 수 있다.

•       가명화 및 암호화

•       시스템 및 서비스의 지속적인 기밀성, 무결성, 가용성 및 회복력을 보장할 수 있는 능력

•       효과적인 백업 및 재해 복구 프로세스

•       처리에 적용되는 보안 조치를 정기적으로 검토하여 적절하게 유지하는지 확인

•       제33조: 프로세서는 개인 데이터 유출을 인식한 후 과도한 지연없이 컨트롤러에 통보해야 한다.

•       제37조: 프로세서는 핵심 활동이 대규모로 개인을 정기적이고 체계적으로 모니터링해야 하는 처리 작업이 대규모로 구성되거나, 대규모로 핵심 활동이 민감한 데이터 또는 범죄자 데이터 처리로 구성되는 경우, 데이터 보호 책임자(DPO)를 지정해야 한다. DPO가 임명된 경우, 프로세서는 연락처 정보를 게시하여 DPA에 전달해야 한다.

•       제38조: 프로세서는 DPO가 개인정보 보호와 관련된 모든 문제에 개입하고 DPO에 필요한 지원을 제공하고, 독립적으로 행동할 수 있는지 확인하고, DPO가 다른 업무를 수행할 경우, 그 임무가 이해관계의 상충을 가져오지는 않음을 확인해야 한다.

•       제44조: 프로세서는 개인정보의 국제 이전과 관련된 GDPR에 명시된 조건을 준수해야 한다.

•       제49조: 데이터 전송이 컨트롤러의 타당한 합법적 이익에 기초하여 이루어지는 경우, 모든 상황에 대한 평가와 이전된 데이터를 보호하기 위한 적절한 안전장치의 채택이 수행되어야 하며, 프로세서는 평가를 문서화해야 한다.

 

◆ 컨트롤러로서의 공급자

아웃소싱 관계에서는 서비스 공급 업체가 처리에 대한 특정 결정을 내리는 데 적극적으로 참여하는 것이 일반적이다. 이것은 서비스 공급 업체가 일반적으로 컨트롤러보다 특정 처리 작업에 대한 전문 지식이 더 많으므로 논리적인 결과이다. 그러나 WP29 의견 WP169에 명시되고 GDPR 28조 (10)항에 명확히 명시된 바와 같이, 위임을 초과하고 처리의 목적 또는 필수 수단을 결정하는 데 관련 역할을 수행하는 프로세서는 프로세서라기보다 컨트롤러이다.

서비스 공급 업체가 자체적으로 컨트롤러가 될 수 있는 위험이 있는 반면, WP29는 위임은 컨트롤러의 이익에 가장 잘 부합할 수 있는 방법에 대해 프로세서가 가장 적합한 기술적 및 조직적 수단을 선택하는 어느 정도의 재량을 내포하고 있다고 지적한다.

결국, 아웃소싱 관계에 있는 서비스 공급 업체의 의사결정 능력이 증가하고 있음에도 불구하고, 서비스 공급 업체가 결정한 사항이 해당 프로세서가 계약에 의한 예상 범위를 초과하지 않는 한 서비스 공급자는 여전히 프로세서로 유지될 가능성이 크다.

 

◆ 프로세서 및 하위 프로세서의 체인

대부분의 경우 아웃소싱은 두 당사자 간의 관계에 거의 국한되지 않는다. 종종 아웃소싱 계약이 아래 모델을 따른다.

•       기업 그룹 내에서 여러 관할 지역에 설립된 운영 회사는 데이터 처리 서비스를 조달하기 위해 해당 회사 그룹 내의 조달 회사에 의존한다.

•       조달 주체는 특정 서비스 공급 업체를 관련 데이터 처리 서비스의 주요 계약자로 임명한다.

•       그런 다음 공급 업체는 해당 서비스 중 일부를 회사 그룹 내의 다른 회사 또는 외부의 제3자에게 하도급 한다.

이러한 약정은 중요한 데이터 보호에 영향을 미치며 일반적으로 서로 다른 당사자가 연쇄적으로 의무를 이행해야 하는 일련의 계약을 초래한다. 이 상황에서, 컨트롤러가 사용된 수단의 모든 세부 사항을 정의하고 동의할 필요는 없지만, WP29는 그것이 제어가 될 수 있도록, 적어도 처리 구조의 주요 요소를 고객에게 알려야 한다는 것을 분명히 했다. 이런 측면에서 GDPR이 Directive보다 더 규범적이며, 아래에 설명된 바와 같이 하위 처리를 규제하는 특정 조항을 포함한다.

 

◆ 아웃소싱 계약의 데이터 보호 의무

합법적이고 실질적인 이유로, 데이터 보호 규정은 아웃소싱 계약의 효율성에 있어 중요하다. 다른 계약 조항과 마찬가지로 데이터 보호 의무의 정확한 내용은 종종 당사자의 교섭권의 강도에 달려 있지만, 컨트롤러의 관점에서 볼 때 그러한 의무는 가능한 한 명백하게 하는 것이 매우 중요하다. 이것은 계약에 규정되어야 하는 특정 사안을 규정한 GDPR 제28조 (3)항에 따라 더욱 분명해졌다.

 

◆ 컨트롤러의 문서화된 지침에 따라 작동

컨트롤러(예: 고객)와 프로세서(예: 서비스 공급 업체)의 역할을 명확히 구분하기 위해, 개인 데이터 처리와 관련된 아웃소싱 계약을 통해 통제 대상을 설정하는 것이 중요하다. 이는 GDPR 자체의 요구 사항이므로 계약서에는 공급자가 고객의 문서화된 지침에 대해서만 관련 개인정보를 처리할 것이라는 조항이 포함되어야 한다. 이 지침은 일반적인 내용일 수 있지만, 보다 구체적인 내용일수록 고객이 컨트롤러 역할을 보다 쉽게 ​​수행할 수 있다.

GDPR은 프로세서가 속한 EU 또는 회원 국가 법률이 달리 요구하지 않는 한, 개인 데이터의 국제 전송과 관련하여 해당 요구 사항이 적용된다고 언급하면서 한발 더 나아간다. 그렇지 않은 경우, 프로세서는 해당 법률에 의해 금지되지 않는 한, 처리하기 전에 그 법적 요구 사항을 컨트롤러에게 알려야 한다.

 

◆ 적절한 기술적 및 조직적 조치의 실행

제5장에서 자세히 논의되었듯이, 이것은 GDPR에 명시된 또 다른 필수 의무이다. 데이터 보안 위반에 대한 현재의 주의 수준을 감안할 때, 컨트롤러는 채택할 정확한 보안 조치를 결정하고 서비스 공급업체가 아래 사항을 인지하도록 요구하기 위해서 서비스 공급 업체의 전문 지식에 의존하는 것이 좋다.

•       고객(컨트롤러)이 무단 또는 불법적인 처리 및 사고로 인한 손실, 파손, 손해, 변경 또는 공개로부터 개인 데이터를 보호하려면 어떤 것이 ‘적절한’지 평가하기 위해 서비스 공급자의 기술 및 지식에 의존하고 있다는 것

•       허가되지 않은 또는 불법적인 처리 및 개인 데이터의 우발적인 손실, 파괴 또는 손상으로부터 비롯될 수 있는 피해 및 보호되어야 할 개인 데이터의 특성에 적합한 기술적 및 조직적 조치가 적절해야 한다는 것

 

또한 기술적 및 조직적 보안 조치를 구현할 때 서비스 공급자는 다음 사항을 고려해야 하는 경우가 종종 있다.

•       허가 받지 않은 불법적인 처리 또는 그러한 개인 데이터의 우발적인 손실 또는 파괴를 유발하는 개인 데이터의 민감한 본질과 중대한 피해

•       기술 개발의 상태와 그러한 조치를 시행하는 데 드는 비용

 

◆ 직원 조사

직원을 조사하는 것은 조직의 보안 대책과 연결되어 있다. 직원 및 하도급 업체의 신뢰성과 관련하여 공급자에게 특정 의무를 두는 것이 점차 보편화 되었다. 이러한 의무는 서비스 공급자가 다음 사항을 보장하도록 요구할 수 있다:

•       고객 개인 데이터에 액세스할 수 있는 직원 및 하도급 직원의 신뢰성 확보

•       개인정보 처리와 관련된 모든 직원 및 하도급 직원에게 해당 관리, 보호 및 취급에 대한 적절한 교육을 제공할 것

•       모든 직원 및 하도급 직원이 고객의 개인 데이터를 기밀 정보로 취급함으로써 계약에 따른 해당 기밀 유지 조항을 엄격히 준수하여 직무를 수행할 것

 

◆ 기타 데이터 보호 의무

GDPR에 따라 위에 명시된 기본 의무 외에도 아웃소싱 계약에는 서비스 공급 업체에게 요구하는 아래 조항이 포함되어야 한다.

•       다른 프로세서의 임명에 관해 GDPR하에서 프로세서에 부과된 의무를 준수할 것•GDPR에 따라 권리를 행사하고자 하는 개인에게 컨트롤러가 대응할 수 있도록 가능한 한, 적절한 기술적 및 조직적 조치를 취하여 컨트롤러를 지원할 것

•       처리의 성격과 프로세서가 이용할 수 있는 정보를 고려하여 제32조 내지 제36조에 규정된 의무(데이터 보안, 위반 통지, 영향 평가 및 DPA에 관한 사전 협의와 관련)를 준수할 수 있도록 컨트롤러를 지원할 것

•       컨트롤러가 선택 시, 서비스 제공 종료 후 컨트롤러에 모든 개인 데이터를 삭제 또는 반환하고 EU 또는 회원국 법률에 따라 개인 데이터를 저장해야 하는 경우를 제외하고 기존 복사본을 삭제할 것

•       GDPR 제28조의 준수를 입증하는 데 필요한 모든 정보를 컨트롤러에 제공할 것

•       컨트롤러 또는 컨트롤러가 지정한 감사자의 감사를 허용하고 이에 기여할 것

 

◆ 하도급

아웃소싱 관계가 위에서 언급한 바와 같이 일련의 프로세서 및 하위 프로세서를 포함할 가능성이 있는 경우 GDPR 제28조 (2)항 및 (4)항에 따라 컨트롤러 또는 아웃소싱 계약을 하게 되는 컨트롤러의 기업 그룹 내의 엔티티와 주요 공급 업체 간의 계약은 다음 조건을 충족해야 한다.

•       고객은 서브 프로세서의 사용과 관련하여 공급자에게 사전 또는 특정 서면 승인을 제공할 것

•       일반적인 서면 승인의 경우 프로세서는 다른 하위 프로세서의 추가 또는 교체와 관련된 의도된 변경 사항을 컨트롤러에 알려야 하며 컨트롤러가 그러한 변경 사항을 처리할 기회를 제공할 것

•       프로세서는 모든 하위 프로세서에 적용되는 것과 동일한 계약상 의무를 부과할 것

•       주요 공급 업체는 하위 프로세서의 위반에 대해 고객에게 책임을 질 것

 

◆ 독일의 경우

독일은 지난 몇 년 동안 수많은 심각한 데이터 보호 위반 사례를 경험했다. 예를 들어, 도이체 텔레콤(Deutsche Telekom)은 개인정보가 포함된 저장 장치가 도난 당했을 때 약 1,700만 명의 T- Mobile 독일 고객의 개인 데이터가 유출되었다. 이 장치에는 정치인 및 연예인 등 유명한 독일 시민의 이름과 주소, 휴대전화 번호, 생년월일 및 이메일 주소도 포함되어 있었다.

2009년 7월 이 사건과 다른 사건에 대응하여 독일 연방 입법부는 데이터 보호법을 개정했다. 독일 데이터 보호법(BDSG, Bundesdatenschutzgesetz)은 데이터 서비스 아웃소싱 계약에 영향을 미치는 매우 구체적인 요구 사항을 포함하며 DPA와 법원이 이미 정한 기대치를 따르는 점에서 특별하다. 2009년까지는 서면 계약을 체결할 일반적인 의무가 있었지만, 그러한 계약에서 다루어야 하는 문제와 관련하여 명확한 법적 기준이 없었다. 입법부는 이에 대응하고 10가지 특정 요구 사항을 수립했다. 이것들은 독일 데이터 보호법 제11조에 규정되어 있다.

특정 요구 사항

서면 자료 처리 계약을 체결하기 위한 제11조 BDSG에 따른 일반적인 요구 사항은 변경되지 않았다. 또한 계약서에서 다음 항목을 구체적으로 언급해야 한다.

1.     수행해야 할 작업의 주체와 기간

2.     데이터의 의도된 수집, 처리 또는 사용의 범위, 유형 및 목적, 데이터 유형 및 데이터 주체 범주

3.     제9조에 따라 취해지는 기술적 및 조직적 조치

4.     데이터의 수정, 삭제 및 차단

5.     제4항에 따른 프로세서의 의무, 특히 모니터링

6.     하청 계약을 발행할 권리

7.     컨트롤러의 모니터링 권한 및 컨트롤러와 협조할 수 있는 프로세서의 해당 의무

8.     개인정보를 보호하기 위해 프로세서 또는 그 직원의 규정 위반 또는 통보 의무가 있는 컨트롤러가 지정한 조건 위반

9.     프로세서에 대해 지시할 수 있는 컨트롤러의 권한 범위

10.  데이터 저장 매체의 반환 및 작업이 수행된 후 프로세서에 의해 기록된 데이터 삭제

 

또한 데이터 컨트롤러는 데이터 처리가 시작되기 전에 데이터 프로세서에 의해 구현된 기술적 및 조직적 프로세스를 확인하고 충족 여부를 확인해야 하며, 그 확인은 이후에 주기적으로 반복되어 한다. 그리고 그러한 검증의 결과는 문서화되어야 한다.

BDSG의 Section 11 위반은 규정 위반으로 간주되어 최대 5 만 유로의 행정 벌금을 부과할 수 있으며 위반으로 인해 당사자가 누릴 수 있는 이익을 잠재적으로 차감할 수 있다. 행정 벌금은 컨트롤러/프로세서 계약을 정확하고 완전하게 또는 규정된 방식으로 이행하지 않거나, 데이터 처리가 시작되기 전에 데이터 프로세서의 기술적 및 조직적 프로세스가 제대로 작동하는지를 검증하지 않은 경우에 부과된다.

실제로 이러한 요구 사항으로 인해 데이터 프로세서에 대한 새로운 의무가 발생하지는 않지만, 컨트롤러/프로세서 계약에서 해결해야 할 문제를 단순히 확인할 수 있다. 그러나 법적 확실성을 확보하기 위해, 핵심 데이터 처리 활동을 데이터 프로세서에 의존하는 조직은 데이터 프로세서와 포괄적인 계약을 체결하는 것이 좋다. BDSG에는 이러한 입법 변경 이전에 당사자들이 데이터 처리 계약을 체결한 상황을 다루는 경과 규정이 포함되어 있지 않다. 따라서 2009년 개정 이전의 기존 계약들도 새로운 요구 사항에 따라 수정되어야 한다.

 

◆ 데이터 프로세서의 위치 영향

위에 명시된 요구 사항은 독일 데이터 컨트롤러를 대신하여 개인 데이터를 처리하는 독일 또는 EU에 위치한 모든 데이터 프로세서에 적용된다.

그러나 데이터 프로세서가 EU 또는 유럽 경제 지역(EEA) 이외의 지역에 기반을 두고 개인 데이터의 해외 이전에 대해 유럽 집행위원회(‘Commission’)가 승인한 표준 모델 조항의 의무를 준수하는 경우, BDSG의 Section 11에 명시된 요구 사항이 적용되어야 하는지 여부는 아직 명확하지 않다.

Bavarian 데이터 보호 규제 기관(‘Ansbach Regional DPA’)에 따르면, BDSG의 Section 11의 요구 사항이 표준 모델 조항에 대한 첨부 파일로 포함되어야 한다. 그러나 독일 연방 데이터 보호 및 정보 위원은 표준 모델 조항이 단독 계약으로 사용될 수 있으며 EEA 외부에 위치한 데이터 프로세서로 전송하기 위해 BDSG가 무시될 수 있다는 의견이다.

실용적인 수준에서, 적어도(컨트롤러/프로세서 계약으로 표준 모델 계약을 사용한) EU 외부의 데이터 프로세서에게 전송하는 경우에 있어서 규제 당국이 적절한 보호 수준을 확인할 필요가 없다고 말한 독일의 주(states, ‘Länder’)에서는, BDSG의 Section 11의 요구 사항을 첨부 파일로 포함할 필요가 없을 것 같다. 표준 모델 조항을 수정없이 사용하더라도 이전 계약을 검토하겠다는 의사를 표명한 정부 기관만이 BDSG의 Section 11에 명시된 추가 데이터 보호조치를 요구할 것으로 보인다.

 

◆ 해외 업무 위탁 및 국제 데이터 이전

앞부분에서 언급한 바와 같이, GDPR 제44조는 제3국이 적절한 수준의 데이터 보호를 보장하지 않는 한, EEA 외부 국가에 대한 개인정보의 이전을 제한한다. 해외 아웃소싱, 특히 클라우드 컴퓨팅의 발전을 감안할 때 이 제한을 극복하는 방법은 해외에 기반을 둔 서비스 공급 업체 또는 서비스 공급 업체 체인을 참여시키려는 EU 기반 고객의 경우 가장 까다로운 데이터 보호 준수 측면이 되었다.

그러나 GDPR에서 정한 제한 사항은 절대 금지를 의미하는 것이 아니다. GDPR 5장은 그러한 이전이 가능하도록 하기 위해 준수해야 하는 조건을 설명한다. 실질적인 측면에서 GDPR은 해외 업무 위탁의 맥락에서 데이터 전송을 합법화할 수 있는 다양한 경로를 제공한다.

◆ Privacy Shield

2015년 Safe Harbor가 무효화된 후, Privacy Shield에 대한 의존도는 2016년 8월에 운용을 시작한 이후 점진적으로 증가했다. 미국의 데이터 처리 서비스 제공자의 Privacy Shield(이전에는 Safe Harbor) 사용은, 이 프레임워크에 영향을 주는 불확실성에도 불구하고 데이터 전송을 합법화하는 일반적인 접근 방식이다. 많은 선도적인 기술 회사가 미국에 본사를 두고 있거나 미국에 위치한 인프라 및 수단(예: 서버 및 데이터 센터)에 의존하고 있다는 사실 때문에 Privacy Shield는 많은 관심을 모으는 메커니즘이 되었다.

Privacy Shield 프레임워크는 유럽 집행위원회의 타당성 결정의 대상이 되기 때문에, 이 결정이 무효가 될 때까지 EU 고객이 개인정보를 Privacy Shield에 등록된 단체에게 이전하는 것은 합법적이고 GDPR 제45조와 부합하는 것으로 원칙적으로 간주된다. 그러나 이러한 메커니즘에 의존할 수 있는 EU 컨트롤러에 대해 미국 기반 데이터 수입 업체는 고객을 대신한 데이터 처리 활동을 Privacy Shield 인증 범위 내에 포함시켜야 한다. 따라서 EU의 컨트롤러는 미국 프로세서가 유효하고 적절한 Privacy Shield 인증을 유지하고 프레임워크에 규정된 원칙들에 항상 부합하도록 요구하는 의무사항을 데이터 처리 계약에 포함시키도록 해야 한다.

 

◆ 표준 계약 조항

수년에 걸쳐, 이 맥락에서 자주 의지하는 메커니즘은 집행위원회가 채택한 표준 데이터 보호 조항의 사용이다. 이 메커니즘은 제46조에 따라 EU 기반 고객에서 해외 공급 업체로의 국제 데이터 이전 제한을 극복하기 위한 적절한 안전장치를 배치하는 방법으로 GDPR에 제시되어 있다.

이 방법은 Directive하에서 이미 이용 가능했으며, 따라서 2001년 12월 27일 유럽 집행위원회는 컨트롤러에서, 적절한 수준의 데이터 보호(‘original controller-to-processor 조항’)를 제공하는 것으로 인정되지 않는 비EEA 국가에서 설립된 프로세서로 개인 데이터를 전송하기 위한 표준 계약 조항을 설정하는 결정을 채택했다. 그러나, original controller-to-processor 조항의 유연한 특성에 따라 대안 버전의 초안이 작성되었고, 2010년 2월 5일, 위원회는 original controller-to-processor 조항을 새로운 세트(‘updated controller-to-processor 조항’)로 업데이트하고 대체하는 결정을 내렸다.

따라서 EEA 외부로의 데이터 전송을 포함하는 아웃소싱 관계에 있는 당사자들은 updated controller-to-processor 조항이 포함된 계약을 체결함으로써 그러한 전송을 합법화하기 위한 적절한 보호 장치를 제공할 수 있다. 그러나 업데이트 된 조항은 original controller-to-processor 조항에 의해 수출자와 수입자에게 부과된 부담스러운 의무를 유지하고, 프로세서의 하도급 능력에 관한 매우 엄격한 규칙을 설정한다. 실제로, 단계별 외주 제작 프로세스는 너무 성가시기 때문에 의도했던 대로 문제를 해결하기가 어렵다.

앞서 언급했듯이, 이 접근법은 대다수의 글로벌 아웃소싱 서비스 제공 업체가 즉시 승인하지 않을 것이다. 서비스 공급자 체인과 관련된 복잡한 데이터 처리 장치의 맥락에서, 단계별 프로세스는 고객의 직접적인 개입 없이 서비스의 여러 측면에 대해 서로 다른 공급 업체를 참여시키는 능력과는 완전히 상충한다. 따라서 정교한 조직은 표준 계약 조항에서 벗어나 아래에서 설명할 다른 적합한 솔루션을 탐색할 가능성이 높다.

◆ 대체 계약 메커니즘

updated controller-to-processor 조항의 성가신 특성에 따라 점점 더 많이 따르고 있는 한 가지 방법은 맞춤형 또는 임시 데이터 처리 및 이전 계약이다. 이 접근법에서 당사자들은 국제 데이터 처리 계약의 데이터 보호 조항을 협의하고 적절한 보호 수준을 확보하기 위해 자신의 판단에 의존한다. 이 방법은 GDPR에 의해 인정되었고, 유관 데이터 보호 감독 기관이 승인한 계약 조항을 통해 적절한 보호 장치를 제공할 가능성에 대해 GDPR 제46조 3항에 언급되어 있다.

결정적으로 GDPR은 이러한 임시 협의 조항이 수출 컨트롤러 또는 프로세서와 제3국의 개인 데이터 수신자에 의해 시작될 수 있다는 사실을 나타낸다. 이는 위에 언급된 집행위원회가 채택한 현행 표준 계약 조항과 달리 제46조 3항에 의해 예상되는 대체 계약 메커니즘이 프로세서 간 데이터 전송에 적합할 수 있음을 시사한다(예: EU 기반 컨트롤러는 EU 기반 프로세서와 결합하여 비EU 서브 프로세서로 데이터를 전송한다).

이 접근법의 향후 성공은 DPA가 이러한 유형의 대체 계약 메커니즘의 다른 버전을 승인하려는 의지에 크게 달려 있지만, 집행위원회가 채택한 표준 버전에서 크게 벗어나는 조항은 승인하지 않게 될 것임을 시사한다.

 

◆ 프로세서에 대한 회사 규칙 바인딩

최근 몇 년 동안 EU DPA는 다국적 기업들이 글로벌 데이터 처리 운영을 합법화하는 보다 융통성 있는 방법으로 유럽 표준을 기반으로 한 BCR(Binding Corporate Rules)을 채택하도록 권장했다. 그러나 원래의 BCR 모델은 회사가 처리하는 개인 데이터의 컨트롤러인 경우에만 적용되었으며 프로세서인 경우에는 적용되지 않았다.

GDPR을 채택하기 전에, WP29는 서비스 공급자가 처리한 고객의 데이터에 적용되는 법적 구속력이 있는 내부 데이터 보호 규칙을 승인함으로써, BCR 개념을 프로세서로 확장하는 절차를 시작했다. 이것은 BCR을 컨트롤러 또는 프로세서가 준수할 수 있는 개인 데이터 보호 정책으로 정의한 GDPR에 의해 명시적으로 인식되었다. 위원회에서 승인한 표준 계약 조항과 달리 프로세서 BCR(‘Binding Safe Processor Rules’ 또는 BSPR)은 서비스 공급자의 데이터 보호 관행에 맞게 조정할 수 있으며 적절한 적절성 표준을 포함하는 한, 국제 데이터 보호 및 아웃소싱 업계를 위해 매우 유용한 도구가 될 수 있다.

내용 측면에서, 프로세서 BCR에서 요구되는 표준은 BCR과 관련하여 적용 가능한 수용된 표준을 반영하지만 프로세서의 관점에서 반영된다. 즉, 프로세서 BCR에서 EEA 외부의 엔티티 또는 처리 수단을 가진 기업 그룹은 BCR과 동일한 기준에 따라 특정 데이터 보호 표준을 준수하지만 데이터 프로세서로서의 역할에 맞게 조정된다. 이러한 서비스 제공 업체는 지리적 위치에 관계없이 ‘안전한 프로세서’로 간주될 수 있으며 안전한 프로세서를 사용하여 데이터를 전송할 때 고객은 EU 데이터 보호법에 따라 전 세계 데이터 전송에 영향을 주는 제약을 극복할 수 있다.

개별 데이터 주체의 관점에서 보았을 때, 이 메커니즘은 표준 계약 조항에 의해 제공되는 것 이상의 추가 보호 계층을 제공한다. 프로세서 BCR은 프로세서 BCR이 제공한 안전장치 위반에 대해 데이터 프로세서에 대한 직접적인 교정 방법을 포함하기 때문이다.

 

◆ 맺음말

GDPR에서 가장 중요한 변화 중 하나는 컨트롤러와 프로세서 간의 책임을 재조정하는 것이다. 컨트롤러가 계속해서 개인 데이터 처리에 대한 책임을 지니고 있지만, 프로세서의 상태는 이전 데이터 보호 프레임워크보다 수준이 높아졌다. 그러나 개인 데이터 처리와 관련하여 매우 구체적인 약속을 명시한 서면 계약을 체결하는 아웃소싱 관계의 양 당사자에 대한 의무는 이 복잡한 균형의 기초가 된다.

 

%d bloggers like this: