2020년 11월 12일, 유럽위원회(“EC”)는 일반 데이터 보호 규정 EU 2016/679(“GDPR”)에 따라 제3국으로의 개인 데이터 이전을 위한 표준 계약 조항(“SCCs”)에 관한 시행 결정 초안과 함께 새로운 SCC 세트 초안 (총칭하여 “국경 간 SCCs”)을 발표했습니다..
더 큰 유연성
기존 SCC 세트가 유럽경제지역(EEA)에서 발생하는 두 가지 유형의 이전(관리자 간 이전 및 관리자-처리자 간 이전)에만 적용되는 것과 달리, 제안된 국경 간 SCC는 다양한 이전 시나리오와 현대적 처리 체인의 복잡성을 수용하는 모듈식 개념을 채택합니다:
- Controller-to-controller transfers</strong>;
- Controller-to-processor transfers</strong>;
- Processor-to-processor transfers</strong>; and
- 프로세서에서 컨트롤러로의 전송 (특히 EEA 프로세서가 제3국 컨트롤러로부터 수신한 개인 데이터를 EEA 내에서 수집한 개인 데이터와 결합하는 경우).
기존 SCC는 위 시나리오 중 첫 두 가지를 다루지만, 조직들은 후반부 두 시나리오에 대해 상당히 오랜 기간(적어도 GDPR 시행 이후) 어려움을 겪어 왔으며, 이를 해결하는 SCC는 해당 조직들에게 환영받을 만한 추가 사항이 될 수 있습니다. 또한 EC는 단일 SCC 세트가 2개 이상의 당사자에 의해 활용될 수 있음을 시사하며, 이는 조직이 신규 공급업체 또는 서비스 제공업체를 온보딩할 때(또는 기존 SCC를 이러한 새로운 국경 간 SCC로 교체해야 할 때) 체결해야 하는 계약 수를 크게 줄여줍니다.
새로운 요구사항
국경 간 표준계약조항(SCCs)에는 또한 몇 가지 새로운 의무 사항이 포함되어 있으며, 그 중 일부는 다음과 같습니다:
- 데이터 주체가 요청할 경우 국경 간 표준계약조항(SCCs) 사본을 제공하고, (i) 목적 및 (ii) 개인 데이터가 공개될 제3자의 신원 변경 사항을 통지합니다.
- 데이터 수입자가 다른 제3국 수령인에게 데이터를 재이송하는 경우, 다음 사항을 보장해야 합니다: (i) 수령인이 국경 간 표준계약조항(Cross-Border SCCs)에 동의할 것; (ii) 이송된 개인정보의 보호가 다른 수단을 통해 제공될 것; 및/또는 (iii) 데이터 주체가 해당 이송에 대해 명시적이고 사전 고지된 동의를 할 것.
- 당사자 간 및 데이터 주체에 대한 책임과 데이터 이전 당사자 간의 배상 의무를 보다 상세히 기술한다.
제28조 조항
국경 간 표준계약조항(SCC)과 함께, 유럽위원회(EC)는 유럽경제지역(EEA)에 위치한 관리자와 처리자 간 표준계약조항 초안도 발표했습니다. 이 조항에는 관리자가 GDPR 제28조에 따라 부과해야 하는 계약상 요구사항을 충족시키기 위해 관리자가 처리자에게 부과할 수 있는 조항들이 포함되어 있습니다. 이러한 제28조 조항의 사용은 의무 사항이 아니며, 기업들은 제28조를 충족시키기 위해 맞춤형 데이터 처리 계약을 계속 사용할 수 있습니다.
슈렘스 II 사건 대응
국경 간 표준계약조항(SCC)은 2020년 7월 유럽사법재판소의슈렘스 II 판결 이후 발생한 문제를 해결하기 위한 것입니다. 이 새로운 SCC에는 특히 정부 당국이 개인 데이터 접근에 대한 구속력 있는 요청을 할 경우, 데이터 수입자에게 적용되는 법률이 조항 준수를 방해할 때 데이터 수입자가 어떻게 대응해야 하는지 명시적으로 기술된 내용이 포함됩니다. 유럽위원회의 결정 초안은 또한 수입국 법률이 당사자들의 계약상 의무에 미치는 영향을 다루기 위한 추가 요건을 다루며, 이러한 요건은 데이터가 EEA(유럽경제지역)에서 유래한 경우에만 필요할 수 있으며, 데이터 관리자가 수입자이고 원래 처리자에게 전송한 데이터를 다시 받는 경우에는 필요하지 않을 수 있음을 시사합니다. 이 성명은 GDPR 요건이 EEA 내 개인에게만 적용될 수 있으며, GDPR 적용 대상 기업과 상호작용하는 타국 개인에게는 적용되지 않을 수 있음을 은근히 시사하는 것으로 보인다. 또한 이 결정은 GDPR에 직접 적용되는 주체와 그렇지 않은 주체 간 개인정보 이전 시에도 이러한 국경 간 표준계약조항(SCC)이 적용 가능함을 시사한다.
유럽위원회의 결정과 제안된 국경 간 표준계약조항(SCC) 모두 당사자들이 SCC가 제공하는 보호 수준에 대한 외국법의 영향을 해결해야 하는 세 가지 방법을 설명하고 있습니다:
- EDPB의 보완 조치 권고안(이하 "EDPB 권고안") 에대한 자리 표시자가 있습니다.
- EDPB 권고안에 명시된 일부 보완 조치가 결정안 초안에 직접 반영되었습니다. 구체적으로, 해당 결정안은 정부 기관의 개인 데이터에 대한 법적 구속력 있는 요청이 있을 경우 가능한 한 데이터 수출자와 데이터 주체에게 이를 통지할 의무, 이러한 유형의 요청에 관한 집계 정보를 정기적으로 공유할 의무, 해당 요청을 문서화할 의무, 그리고 가능한 경우 그러한 요청에 이의를 제기할 의무를 규정하고 있습니다.
- EDPB 권고안과는 다소 차이를 보이며, 본 결정은 당사자들이 "이전 공개 요청 사례의 존재 여부를 나타내는 관련 실무 경험"을 고려할 것을 권고합니다. 여기서 '이전 공개 요청 사례'란 "이전 공개 요청 사례의 존재 여부를 나타내는 관련 실무 경험"을 의미합니다. 반면 EDPB 권고안은 "공공 기관이 EU 기준에 부합하지 않는 방식으로 귀하의 데이터에 접근할 가능성 같은 주관적 요인에 의존하는 것" 을 경계하라고 경고합니다. 다만 이는 당사자들이 데이터의 성격을 고려하고 GDPR에 내재된 위험 기반 접근법을 적용해야 한다고 제안하는 EDPB 권고안의 다른 부분들과는 더 일관성을 보이는 것으로 보입니다.
결론
국경 간 표준계약조항(SCC)은 2020년 12월 10일까지 공개 의견 수렴을 진행합니다. 승인되면 이 조항들은 GDPR에 따른 개인 데이터의 국제적 이전을 위한 적절한 보호 수단으로 조직들이 사용해 온 기존 SCC를 대체할 것입니다. 최종 SCC는 2021년 초에 채택될 예정입니다. 조직들은 국경 간 표준계약조항이 발효되는 날로부터 12개월 이내에, 현재 개인 데이터의 국제적 이전을 수행하기 위해 의존하고 있는 기존 표준계약조항을 국경 간 표준계약조항으로 대체해야 합니다.
그러나 조직은 새로운 SCC(특히 처리자 간 또는 처리자와 관리자 간 시나리오를 보다 직접적으로 다루는 조항들)로 인해 재검토가 필요할 수 있는 기존 SCC의 범위를 파악하기 시작해야 하며, EDPB 권고사항에서 제시된 추가 조치의 세부사항을 반영하려 할 때 발생할 수 있는 격렬한 논의에 대비해야 합니다.
이 주제와 관련된 문의 사항이나 추가 정보가 필요하시면, 저자 중 한 분이나 귀사의 폴리 담당 파트너에게 연락주시기 바랍니다.
