EU GDPR 에따른개인정보의역외이전 우리기업을위한 GDPR 대응세미나 2018.5.11. 고려대법학연구원정명현연구교수
주요내용 개인정보의 EU 역외이전일반원칙 적절한안전장치 감독당국의승인을요하는안전장치 특정상황에서의적용면제 체크리스트
개인정보의 EU 역외이전일반원칙 컨트롤러와프로세서가개인정보를 EU 역외로이전하기위해서는다음과같은조건이준수되어야함. ( 제 44 조 ) - GDPR 제 5 장 ( 제 3 국또는국제기구로개인정보이전 ) 의조건준수 - GDPR 의다른규정준수 ( 개인정보보호처리의일반원칙, 처리의적법성등 ) 개인정보의역외이전에있어서 EU 내에서와같이정보주체에대한보호수준이그대로유지될것을보장하기위함. - 개인정보수령자의소재지에서적절한수준의개인정보보호를제공할것 - 개인정보를이전하는자가적절한안전장치를구비할것 - 적용면제또는예외가적용될것 5/24/2018 3
개인정보의 EU 역외이전일반원칙 적용대상기관 - 온라인 IT 서비스이용기관, 클라우스기반서비스, 원격접속서비스, 글로벌 HR 데이터베이스등, 국경간개인정보이전이이루어지는모든기관 사전검토사항 - 기존및계획중인사업운영방식에대한검토필요 - 개인정보가역외수령자에게이전되는모든현황을확인하여야함 - 각각의이전시해당기관이 GDPR 의요건에합치하는개인정보이전메커니즘을보유하고있다는사실을보장하여야함 5/24/2018 4
적절한안전장치 공공당국또는기관사이의법적구속력이있고집행가능한문서 (46(2) 조 ) 구속력있는기업규칙 (47조) 유럽위원회가채택한표준개인정보보호조항 (93조2항) 감독당국이채택하고유럽위원회가승인한표준개인정보보호조항 (93조2항) 승인된행동규약 (40조) 승인된인증메커니즘 (42조) 5/24/2018 5
공공당국간약정 공공당국또는공공기관사이의국경간개인정보이전은공공당국간약정에의거하여이전될수있음. 별도의감독당국의허가가요구되지않음. 공공당국은해당약정이 GDPR 요건에합치하도록보장하여야함. 5/24/2018 6
구속력있는기업규칙 (BCRs) 기업집단내국경간개인정보이전은구속력있는기업규칙 (Binding Corporate Rules ("BCRs")) 에근거하여이루어질수있음 BCRs 은개인정보보호감독당국 (DPA) 의승인을받아야함 일단 BCRs 이 DPA 의승인을받으면, BCRs 에의거한개별이전은추가적인승인을요하지않음 관할개인정보보호감독당국은 BCRs 이 GDPR 의요건을충족하는경우, 기업집단내국경간개인정보이전을위한적절한메커니즘으로서 BCRs 을승인 동일한기업그룹 (corporate group) 내의법인뿐만아니라공동의경제활동에종사하는다른기업그룹간의이전에도이용될수있음 5/24/2018 7
BCRs 의요건및내용 BCRs 이소관감독당국의승인을받기위한요건 - BCRs 은그룹내기업과구성원에게적용되고집행되는법적구속력이있는메커니즘을갖추어야함 - 개인정보의처리에관하여정보주체의권리를명시적으로부여해야함 - BCRs 의명시요건을구비하여야함 5/24/2018 8
BCRs 의요건및내용 BCRs 의명시요건 - 기업집단과그구성원각각의구조와연락정보 - 개인정보처리의유형과목적, 영향을받는정보주체및개인정보의범주를특정할것 - 대내외적으로법적구속력을갖는다는성격 - 목적제한, 개인정보최소화등개인정보보호원칙 / BCRs이적용되지않는기관으로재이전시그요건 - 개인정보처리에관한정보주체의권리및권리행사수단 - EU기반의개인정보처리자가 EU 역외를포함하여그룹전체를대표하여 BCRs 위반에대한책임을진다는확인 - BCRs에관한정보를정보주체에게제공하는방식 - 개인정보보호책임자또는 BCRs의준수, 감시, 민원처리의책임있는자의직무 - 민원절차에대한설명 - BCRs의준수확인을보장하는메커니즘제공 - BCRs의변경보고와기록및감독당국에게보고하는메커니즘 - BCRs 준수확인결과를감독당국과공유하고협력체제를구축 - 제3국내기업집단의구성원에게적용되는법적요건중부정적영향을미칠수있는요건을감독당국에보고 - 직원에대한개인정보보호훈련 5/24/2018 9
BCRs 의승인 BCRs 은해당기업의필요및상황에적합하도록작성될수있으며, 동시에 EU 개인정보보호법의요건을충족하여야함. BCRs 이작동하기위해서는반드시 DPA 의사전승인이있어야함. 소관 DPA 는 GDPR 에규정된요건을충족하는 BCRs 에대하여반드시승인하여야함. BCRs 이복수의회원국으로부터개인정보이전을의도한경우에는일관성메커니즘이적용됨. 5/24/2018 10
BCRs 의승인 BCRs 승인절차 1. BCR Lead 지정신청 - BCR Lead 지정기준그룹의유럽헤드쿼터소재지 ( 특별한고려요소 ) 그룹내개인정보보호책임이위임된회사의소재지그룹내 BCR 의신청과집행을다루는회사의소재지 ( 관리기능, 행정부담등고려 ) 처리 (ex. 이전 ) 의목적과수단에관하여대부분의결정이이루어지는장소대부분또는모든역외이전이발생하는 EU 내회원국 - 신청자는 BCR Lead 로신청한감독기관에게필요한모든정보를서면및전자적으로제출하여야함. - 신청을받은감독기관은가장적절한감독기관인지여부를판단할재량이있고, 결정에따라다른감독기관에게이를이관할수있음. 5/24/2018 11
BCRs 의승인 2. BCR 승인을위한협력절차 -BCR Lead 지정을위한관련감독기관과의협의 (2주) -BCR Lead는신청자가제출한 BCRs과관련문서를검토한후공동으로검토하는관련감독기관에게송부하여평가요청및의견교환 (1개월) -평가의견반영한통합초안제출및 BCR Lead는모든관련감독기관에회람 (1개월) -BCR Lead 및관련감독기관의의견을반영하여신청자가최종초안제출 -BCR Lead는 BCRs 최종안을확정하여 EDPB에제출 -EDPB가최종안을인준하면 BCR Lead는 BCRs을승인하는결정채택 -BCRs이승인되면 BCR Lead는모든관련감독기관에게이를통보하고사본송부 5/24/2018 12
BCRs 의승인 HP Enterprise (Controller) / CNIL (FR) Hyatt / ICO (UK) e-bay / Luxemburg BMW / DPA of Bavaria (DE) Airbus (Controller) / CNIL (FR) Latham & Watkins LLP (Controller) / ICO (UK) Lego Group / Danish DPA Mastercard (Controller and Processor) / Belgian DPA American Express / ICO (UK) NOVARTIS / CNIL (FR) Motorola Mobility LLC / ICO (UK) PayPal / Luxemburg ** BCRs 승인협력절차가완료된기업의예 (2018.5.4. 현재 122 개 ) 5/24/2018 13
BCRs 승인을위한표준신청서 Part I : 신청자정보 - Section 1: 신청자 / 사업체집단 / 기업집단의조직및연락처 그룹의헤드쿼터가역외소재인경우, 역내소재하는그룹내기업을지정하여야함. 신청관련하여책임있는기관을명시하여야함. - Section 2: 개인정보이전의범위와내용에관한설명 승인을신청하는개인정보이전의범위와성격에대한서술제시 - Section 3: BCRs 총괄감독당국 (BCRs Lead) 결정 BCRs 의승인에대한책임이있는 BCR Lead 지정 5/24/2018 14
BCRs 승인을위한표준신청서 Part II : 배경문서 - Section 4: BCRs의구속력 - Section 5: BCRs의유효성 - Section 6: 감독당국과의협력 - Section 7: 개인정보처리및이전에관한기술 - Section 8: 보고체계및내용변경체계 - Section 9: 개인정보보호안전장치 - Annex 1: 공식적인 BCRs 사본 5/24/2018 15
표준개인정보보호조항 컨트롤러또는프로세서가유럽위원회가채택한표준조항을이용하는형태로적절한안전장치를부여하는경우, 국경간개인정보이전은허용됨. 표준조항은보다넓은범위의계약의일부에포함될수있고, 표준조항에저촉되지않는다른조항이나추가적인안전장치를추가할수있음. 표준조항에따른개인정보이전에대해서는감독당국의추가적인허가를요하지않음. 5/24/2018 16
표준개인정보보호조항 컨트롤러나프로세서는 GDPR 에따라회원국감독당국이채택한표준조항에근거하여국경간개인정보이전을실시할수있음. ("DPA Clauses"). 회원국감독당국의표준조항은유럽위원회의표준조항을대신할수있음 이들두가지표준조항을이용할때일종의 포럼쇼핑 (forum shopping) 이발생할수있어서, 유럽위원회가감독당국의표준조항을승인해야하는경우도발생할수있음 5/24/2018 17
승인된행동규약 행동규약은특정산업분야의개인정보처리를대표하는그룹이해당산업분야의개인정보처리와관련하여 GDPR 준수를목적으로마련한자율적규범 감독당국은행동규약이 GDPR 에부합하는지검토, 의견제시, 승인, 등록, 공표함 승인된행동규약을준수하는컨트롤러와프로세서는감독당국의추가적승인을요하지않고개인정보를 EU 역외로이전할수있음 이경우컨트롤러와프로세서는역외에서정보주체의권리등에관하여적절한안전장치를적용하기위해계약서등을통해구속력있고집행가능한약속을해야함. 행동규약에의한개인정보역외이전이허용됨으로써컨트롤러와프로세서는필요에따라유연성있게개인정보이전메커니즘을활용할수있게됨. 5/24/2018 18
승인된인증메커니즘 승인된인증메커니즘 ( 제 3 자인증제도 ) 은컨트롤러와프로세서의처리작업이 GDPR 을준수한다는것을입증하기위하여회원국, 감독당국, 유럽개인정보보호이사회및유럽위원회가그기준을정하여개인정보보호인증메커니즘및개인정보보호인장과마크등을수립하고, 감독당국이나유럽개인정보보호이사회가승인한기준을충족한컨트롤러또는프로세서에게발급하는인증제도임. 특히유럽개인정보보호이사회가승인한기준을충족한컨트롤러또는프로세서에게는유럽개인정보보호인장이부여될수있음. 승인된인증메커니즘을준수하는컨트롤러와프로세서는감독당국의추가적승인을요하지않고개인정보를 EU 역외로이전할수있음. 인증메커니즘에의한개인정보역외이전이허용됨으로써컨트롤러와프로세서는필요에따라유연성있게개인정보이전메커니즘을활용할수있게됨. 5/24/2018 19
감독당국의허가를요하는적절한안전장치 소관감독당국의허가를조건으로적절한안전장치제공가능 - 임의조항 (Ad hoc clauses) : 개인정보수출자와수입자사이에협의된계약을근거로역외이전가능. 감독당국의허가가요구됨 - 행정약정 : 집행력있고유효한정보주체의권리를포함하는공공당국또는기관간행정약정. (ex. 양해각서 ) 감독당국의허가가요구됨. 5/24/2018 20
제 3 국법원또는행정당국의결정에의한이전 제 3 국법원의판결또는행정당국의결정에따른개인정보역외이전 - 제 3 국이 EU 또는회원국과체결한국제협정 (ex. 사법공조조약 ) 에근거하여컨트롤러또는프로세서에게개인정보를이전또는공개하도록요구하는제 3 국법원의판결및행정당국의결정은인정될수있음. - 이전에관한 GDPR 의다른규정에저촉하지않아야함. 5/24/2018 21
특정상황에서의적용면제 적정성결정이나적절한안전장치가없는경우에도개인정보의역외이전이허용되는경우 ( 제한적으로해석되어야함 ) - 정보주체의동의 - 정보주체와컨트롤러간계약및계약전조치의이행 - 정보주체의이익을위한계약체결또는이행 - 공익의중대한사유 - 법적청구권행사 - 정보주체또는제 3 자의중대한이익보호 - 등록부로부터의이전 - 컨트롤러의정당한이익 5/24/2018 22
특정상황에서의이전제한 공익의중요한사유에의한제한 - 적정성결정이없는경우, EU 법또는회원국법에따라공익의중요한사유로특정범주의개인정보역외이전을명시적으로제한할수있음. - 회원국은해당규정을유럽위원회에통보하여야함. - 회원국법에따라일관되지않은제한이부과될수있음. 5/24/2018 23
개인정보의 EU 역외이전을안전하게보장하는방법 상업적목적의이전 법집행목적의이전 적정성결정 적정성결정이 없는경우 적정성결정 적정성결정이 없는경우 표준개인정보 보호조항 구속력있는 기업규칙 양자협정 적용면제 승인된승인된 행동규약 인증메커니즘 5/24/2018 24
개인정보국외이전관련체크리스트 주요개인정보역외이전현황에대한검토및파악 현재어떠한개인정보이전메커니즘이운영되고있으며, 이들메커니즘이계속해서적절하게적용될것인지검토 개인정보이전에관하여개인정보제공자가제공한관련사항이적절하게준수되도록보장하기위하여표준문서와계약조항에포함된내용검토 기업그룹간내부에서개인정보를이전하는경우, BCRs 이실행가능한지고려 상품또는서비스를공급하면서 EU 역외로개인정보를이전하는경우, 어떠한근거에의하여이전에관한규정을준수하고있는지확인 승인된행동규약과인증메커니즘에관하여진행되는상황을파악 5/24/2018 25