지난 2021년 6월 4일, 유럽 집행위원회(European Commission)는 EU 일반 개인정보 보호법(General Data Protection Regulation, 이하 “GDPR”)에 따른 개인정보의 EU 역외이전을 위한 ‘표준계약조항’(Standard Contractual Clauses, 이하 “SCC”)의 최종 개정본을 발표하였습니다. 이는 유럽사법재판소(Court of Justice of the European Union, “CJEU”)의 Schrems II (Case C311/18 Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems)의 판결을 반영하고, 최근 비즈니스의 실질을 반영하기 위한 해결책을 제시한 것으로 보여집니다. 그 주요 내용은 다음과 같습니다.
- 4가지 상황(모듈)별 조항: 기존에 컨트롤러-컨트롤러(controller-to-controller)와 컨트롤러-프로세서(controller-to-processor), 2가지 경우만 상정했던 SCC와 달리, 이번에 개정된 SCC는 “모듈별” 조항 방식으로 설계되어 위 2가지 경우에 더하여 프로세서-컨트롤러(processor-to-controller) 및 프로세서-프로세서(processor-to-processor)의 경우까지 포함한 총 4가지 개인정보의 EU 역외이전 모듈에 각 적용되는 조항을 마련하였습니다. 나아가, 개정 SCC는 EU 역외에 소재한 컨트롤러 또는 프로세서가 데이터 제공자(data exporter)의 역할을 할 수 있도록 그에 맞춘 명시적인 조항(규제기관 관련)을 포함하고 있습니다. 이러한 SCC의 개정은 디지털 시대의 다양하고 복잡한 데이터 흐름을 보다 잘 반영하고 광범위하게 활용될 수 있을 것으로 기대됩니다.
- Annexes(부록)의 세분화: 개정된 SCC는 3개의 Annex를 포함하고 있습니다. Annex 1은 당사자들이 작성해야 하는 문서로서 (ⅰ) SCC를 체결하는 당사자들 목록, (ⅱ) 정보주체의 카테고리, 이전되는 개인정보의 카테고리, 이전 목적, 정보 보관 기간, 재위탁에 관한 사항 등 데이터 이전에 관한 상세설명, (ⅲ) 계약 당사자들 각각의 규제기관을 명시해야 합니다. Annex 2는 데이터 수령자(data importer)가 작성해야 하는 문서로서 이전된 개인정보에 대한 적절한 보안 수준을 보장하기 위해 당사자가 취하고 있는 기술적 및 조직적 조치를 설명해야 합니다. 마지막으로 Annex 3은 재위탁이 있는 경우 관련 재수탁사들을 명시해야 하는 부록입니다.
- 강화된 데이터 수령자의 의무사항: SCC의 양당사자는 데이터 수령자가 소재한 국가의 법령과 관행이 SCC상 데이터 수령자의 의무사항 이행과 충돌하는지 여부에 대하여 평가를 수행하고 이를 기록해야 합니다. 또한, 규제기관의 요청이 있을 경우 이러한 기록을 제공하여야 합니다. 만약 법령 등이 변경되어 위 평가 내용이 달라지는 경우 데이터 수령자는 이러한 사항을 데이터 제공자에게 신속하게 고지할 의무가 있으며, 당사자들은 추가적인 보호 조치를 취하거나 이전을 중단하여야 하고, 데이터 제공자는 규제기관에게 이러한 사항들을 고지할 의무가 있습니다. 나아가, 데이터 수령자는 정부 기관으로부터 정보에 대한 요청을 받는 경우 해당 요청의 적법성을 검토하여 기록으로 남기고 이를 신속하게 데이터 제공자 또는 (요청이 있는 경우) 규제기관에 고지하여야 합니다.
- 개인정보의 추가 이전(onward transfer): 데이터 수령자가 개인정보를 제3자에게 추가적으로 이전하고자 하는 경우 해당 제3자도 동일한 SCC의 적용을 받도록 하거나, (ⅰ) 제3자가 적정성 결정을 받은 국가에 소재할 것, (ⅱ) 제3자가 SCC와 동일한 수준의 구속력 있는 문서를 데이터 수령자와 체결할 것, 또는 (ⅲ) 정보주체가 추가 이전에 대한 명시적 동의를 하는 경우 등의 예외 사항에 해당하여야 합니다.
- 강화된 정보주체의 권리: 정보주체가 요청하는 경우 체결된 SCC의 사본을 무료로 정보주체에게 제공해야 하며, 개인정보의 처리 목적 또는 개인정보를 공유 받는 데이터 수령자가 변경되는 경우에는 이를 정보주체에게 고지하여야 합니다. 이 때 당사자들은 기밀 정보를 보호하기 위하여 정보주체에게 일부 내용이 삭제된 SCC 사본을 제공할 수는 있으나, 정보주체가 요청하는 경우에는 삭제 이유도 제시해야 합니다.
- 손해배상: 각 당사자는 새로운 SCC를 위반하여 상대방에게 발생하는 손해에 대해 책임을 지게 됩니다. 나아가, 각 모듈별로 손해배상에 대한 책임을 정하고 있는바, 새로운 SCC에 따른 조항과 양 당사자간의 계약관계를 신중히 고려해야 할 것입니다.
- 전환 기간: 개정 SCC는 2021년 6월 27일부터 발효됩니다. 그와 별개로 기업들은 2021년 9월 27일까지 기존 SCC를 활용하여서도 계약을 체결할 수 있으나, 개정 SCC의 발효일로부터 18개월 내에 개정된 SCC를 기존 계약에 반영하여야 합니다.
기존의 SCC는 비즈니스 현황과 맞지 않았던 부분이 있었고, 이에 따라 다양한 상황에서 변형되어 체결되어 오기도 하였습니다. 새로운 SCC가 최근의 비즈니스 모델에 부합하는 적정한 수준의 보호조치로 활용될 수 있을 것으로 생각됩니다.
한편, 국내 기업의 경우에는 개정 SCC와 관련하여 EU 집행위원회의 대한민국 적정성 결정을 함께 살펴볼 필요가 있습니다. 올해 하반기 중으로 적정성 결정 여부가 확정될 것으로 예상되는 상황인바, 만일 적정성 결정의 효력이 발생한다면, 국내 기업은 EU 역내 기업과 개인정보를 이전함에 있어 일반적으로는 SCC를 사용하지 않아도 될 것으로 보입니다.
그러나, 국내 기업이 적정성 결정의 적용을 받지 아니하는 분야의 정보를 전송하는 경우 또는 국내에 이전한 EU 개인정보를 적정성 결정을 받지 아니한 제3국에 전송하는 경우에는 SCC를 적용해야 할 필요가 있을 것으로 생각됩니다. 예컨대, 국내 기업이 필리핀이나 말레이시아에 콜센터를 두고 EU 정보주체의 개인정보를 이전하는 경우에는 EU 집행위원회의 대한민국에 대한 적정성 결정이 효력이 발생한 이후에도 필리핀, 말레이시아에 소재한 콜센터 업체와 각 SCC를 체결해야 될 수 있습니다. 이러한 관점에서 EU에 서비스를 제공하고 있는 국내 기업은 전반적인 데이터 흐름을 식별하고 새로운 SCC의 적용여부를 살펴볼 필요가 있습니다.
법무법인(유한) 태평양은 유럽/미국 및 중국, 중남미, 러시아, 동남아, 중동 등 글로벌 개인정보 법제에 대한 다수의 업무 경험과 탁월한 전문성을 가지고 있습니다. 특히, 개인정보의 국외이전, 글로벌 서비스 론칭, 글로벌 데이터에 기반한 마케팅과 프로파일링, AI 분석 등 국내외 개인정보 규제에 관한 이슈가 있는 경우 언제든지 연락 주시기 바랍니다.