모바일메뉴닫기
서브비쥬얼 서브비쥬얼

HOME자료실발표자료보기

발표자료보기

게시글 상세조회

[설명회] 한-EU 적정성 결정 설명회('22.3.3.) 주요내용 요약 및 발표자료

  • 작성일:2022-03-13
  • 조회수:1335
한국으로 이전된 개인정보의 처리와 관련한 「개인정보 보호법」의 해석과 적용을 위한 보완규정(개인정보보호위원회고시)(제2021-5호)(20211217).doc [616693 byte]
한-EU 적정성 결정 설명회(22.3.3.)_발표자료(정태인 팀장).pdf [812110 byte]
한-EU 적정성 결정 설명회(22.3.3.)_Q&A(정태인 팀장).pdf [689145 byte]
한-EU 적정성 결정 설명회(22.3.3.)_발표자료(네이버클라우드 김지영 매니저).pdf [2950460 byte]
edpb_guidelinesinterplaychapterv_article3_adopted_국문번역본.docx [724974 byte]
 < 개회 및 인사말 - 서남교 대변인 >

  o (적정성 결정의 의의) 작년 12월 17일 채택·발효한 한·EU 적정성 결정은 우리 개인정보보호법제가 글로벌 표준으로 자리한 EU GDPR과 동등한 수준임을 국제적으로 확인한데 가장 큰 의미가 있음
   - 더불어 우리 기업이 EU에서 수집한 개인정보를 국내로 이전하기 위한 절차와 규제 준수 부담이 대폭 감소하게 되었음

  o ‘개인정보 보호’는 규제적 측면도 존재하나 최근 글로벌 시장에서의 우리기업이 이용자 신뢰를 확보하고 해외 진출을 촉진할 수 있는 수단으로 자리매김
   - 앞으로 개인정보위는 글로벌 개인정보 이전·처리 환경 조성을 위해 산업계와 지속적으로 정책 소통을 해나가겠음


 < 한-EU 적정성 결정의 의의와 효과 - 변정수 과장 >

  o (한국의 적정성 결정 진행 경과) EU 적정성 결정이 작년 12월 17일 마무리, 금년 2월 두바이가 한국에 대한 적정성 결정 공식 발표, 현재 영국 적정성 결정 추진을 위해 양측 실무진 협의 중에 있음
   - (향후전망) 사실상 가장 엄격하고 까다로운 EU의 적정성 결정 기준을 통과한 상황에서 여타국 적정성 결정은 큰 무리 없이 추진될 것으로 기대

  o (관련 국내법 개정 등 향후 계획) 작년 9월 국회 제출된 개정안에 한국 적정성 결정 제도 운영을 위한 관련 조항을 포함, 향후 법률 개정안의 관련 하위법령 정비 등 상호주의 근거 마련 등을 추진해나갈 예정

  o (EU 적정성 결정) 발효 이후 적정성 결정의 효과 및 국외이전 기준에 대한 '실무적 판단'과 관련한 많은 문의 발생
   - (우리 기업의 유의사항) EU에서 국내로 이전한 개인정보는 국내에서 처리하는 개인정보와 동일하게 국내법에 따라 동일한 보호수준을 보장해야 하고, 특히 EU 정보주체의 열람권 등 권리 행사를 보장해야 함
   - (향후방향) 구체적 사례별 명확한 판단 기준을 EU 측과 논의 중에 있고 향후 지속적으로 공유하겠음 (민간 부문의 실무적 애로사항 및 모호한 판단 기준에 대한 구체적 이슈 공유 필요)

  o (마무리) 금일 설명회가 선관 주의 의무에 대해 폭넓게 논의하는 자리가 되었으면 하며, 오늘 발표에 다루지 못한 내용은 EU측과 지속적 확인 후 공유해나가겠음


 < 한-EU 적정성 결정의 실무적 활용 & 지원 사업 - 정태인 팀장 >

  o (GDPR 개요 및 특징) EU 회원국에 일괄 적용되는 일반 개인정보보호법으로 2018년 5월 발효, EU 역외 사업자에게도 법 적용 가능하다는 특징이 있음

  o (적정성 결정) EU 역외의 국가가 GDPR이 요구하는 수준과 동등한 수준의 개인정보 보호 법제가 있는지를 확인·승인하는 제도
   - (현황) EU는 총 14개 적정성 결정국이 있으며, GDPR 시행 이후는 일본(’19.1월), 영국(’21.6월), 한국(‘21.12월) 3개국이 있음
   - (효과) EU에서 수집한 개인정보를 적정성 결정국으로 이전 시 역외이전을 위한 추가 보호조치 불요
   - (추진경과) ’21년 3월 EU 집행위 초기결정 완료, EU 내부 절차를 거쳐 당해 12월 최종 통과 및 발효
   - (적용대상) 현지 개인정보를 직접수집하는 사업자는 역외이전이 발생하지 않으며 GDPR 적용 대상이고, 적정성 결정은 GDPR의 직접적용을 받지 않는 역외이전 처리 사업자에게 적용 됨

  o (적정성 결정 전후 비교) 가장 뚜렷한 차이는 역외이전을 위한 추가적 보호조치 의무가 면제되고 GDPR 준수 부담이 완화 됨



  o (고시 주요내용)  한국으로 이전된 개인정보의 처리와 관련한  「개인정보 보호법」 의 해석과 적용을 위한 보완규정(개인정보보호위원회 고시 제2021-5호)
   - 외국인의 개인정보에 대한 개인정보 보호법 적용 가능성 명시
   - EU→한국→제3국 재이전 시 보호조치 마련 의무 명확화
   - EU→한국→제3자(국내외) 제공 시 정보주체 고지의무 명확화
   - 정보주체 동의 없이 활용 가능한 가명정보의 목적 제한
   - 개인정보보호위원회의 시정조치 요건 및 개선 권고 권한 명확화
   - 국가기관에 의한 개인정보 침해 시 외국인의 민원제기 및 구제 담보

  o (적정성 결정 활용례와 유의사항) EU→한국→한국(위탁or제공), EU→한국→제3국(위탁or제공)의 구체적 상황별 적용 법률의 판단
   - (유의사항) 국내 이전 후 국내법 준수, 단 고시의 의무사항 준수 요망 



  o (지원현황) 44개국에 대한 법률, 가이드 번역자료와 행정체계 정보, 국별 위반·집행 사례와 기타 이슈·동향 분석 보고서 등을 GDPR 대응지원센터(gdpr.kisa.or.kr)와 개인정보보호 국제협력센터(privacy.go.kr/pic)를 통해 제공 중

 < 네이버 클라우드 사례 - 김지영 매니저 >

  o (CSP와 고객사의 법적 지위) CSP의 법적 지위는 고객사가 역외이전이냐 직접적용이냐 구분 없이 고객의 ‘프로세서’에 해당
   - 고객사는 ①EU 개인정보를 ‘직접수집’하는 컨트롤러로서 GDPR에 직접적용을 받는 경우 또는 ②공동컨트롤러 또는 프로세서로서 EU로부터 개인정보를 ‘역외이전 하는 경우’로 나뉨
     ※ CSP(Cloud Service Provider): 네이버 클라우드와 같은 클라우드 서비스 공급자

  o (책임 공유 모델) 클라우드 서비스 이용 시 고객사와 CSP가 보안 및 규제 준수에 대한 공동 책임 발생하며, IaaS, PaaS, SaaS 등 클라우드 서비스 형태에 따라 고객과 CSP의 책임 영역이 상이
   - (CSP와 고객사의 책임 범위) GDPR 상 CSP는 물리적 시설과 하드웨어, 네트워크,  소프트웨어 보호 책임 발생, 고객사(컨트롤러 또는 프로세서)는 CSP 서비스를 통해 처리하는 콘텐츠의 개인 정보 처리 및 데이터 보호에 대한 책임 발생
     ※ 따라서 CSP는 GDPR 제28조(프로세서) 3항, 제32조(처리의 보안) 준수 의무 발생하며, 특히 제32조 관련 네이버 클라우드의 경우 암호화, 접근제어, 가용성/복원력, 모니터링/감사 서비스와 리소스를 고객사에 제공 중



  o (DPA의 체결) 클라우드 서비스를 이용하여 개인 정보를 처리할 경우 고객은 GDPR 제28조(프로세서) 3항, 9항에 따라 프로세서의 역할과 의무에 대한 계약(DPA, Data Processing Agreement)을 체결해야 함
   - (주요내용) 고객의 지시에 한해 데이터 처리, CSP의 책임 영역에 해당하는 기술적 관리적 보호 조치 적용, 개인 정보 유출 사고 인지 시 지체 없이 통지 등

  o (사례) 네이버클라우드의 PaaS를 이용해 게임을 개발한 게임사A
   - (정보흐름) EU 지역 회원정보를 독일 내 네이버클라우드 서버에 저장 후 한국에 위치한 회원 DB서버로 전송 → 역외이전 발생
     ※ 이용자들에게 고성능의 게임과 빠른 응답 속도를 제공을 위해 EU 현지 서버에 저장 후 이전
   - (적정성 결정에 따른 변화) 역외이전에 대한 추가적 보호조치인 표준개인정보보호조항(SCC)이 필요했으나, 적정성 결정 이후 SCC와 같은 추가적 보호조치 없이 이전 가능
   - (네이버 클라우드의 조치) ①적정성 결정 이전엔 고객의 컴플라이언스 부담 완화를 위해 SCC를 DPA에 반영하여 체결, ②안정적 서비스 제공을 위해 EU 현지 리전 보유(응답속도, 안정성 확보), ③고객사 서비스 리전 선택 보장 및 현지 역외이전 보호조치 사전 검토 지원, ④국내 CSP 중 유일하게 DPA를 제공해 GDPR 제32조(처리의 보안) 준수를 위한 리소스 부담을 완화 → 이런 조치로 네이버 클라우드의 고객사는 적정성 결정 이전에도 역외이전 처리 부담 X



 < 삼성전자 사례 - 장유진 변호사 >

  o (삼성전자의 GDPR 대응 현황) 본사는 개인정보 직접수집 사업자로 EU GDPR의 직접적용 대상으로 판단해 관련 조치를 완료
   - (개인정보 처리현황) 갤럭시 모바일폰, 스마트 TV와 같은 기기와 빅스비(음성인식 서비스), smart things(삼성계정 IoT 서비스), 갤럭시 스토어 등의 서비스를 EU 포함 세계 여러 국가에 동시 제공 중
   - (역외이전 or 직접수집의 판단) EU 역외 컨트롤러가 직접 EU 사용자의 개인 정보를 수집하는 경우로 역외 이전 챕터 미적용
     * 기존에는 이 부분에 대한 판단이 모호했으나 최근 배포된 EDPB의
에서 명시적으로 설명
     * 가이드라인 원제: Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR
   - (정보주체 권리 보장) GDPR 상 정보주체의 권리(열람권, 삭제권, 정보이동권 등) 행사 보장을 위한 자체 포털 운영
   - (위탁처리에 의한 역외이전 발생 시) 해외 연구소에 서비스 운영 위탁 시 본사와 해외 연구소간 GDPR 기준으로 역외이전이 발생해 추가적 보호조치인 SCC 활용
 
  o (우리기업에 있어 적정성 결정의 기대효과) EU에서 우리나라로 개인정보 역외이전 시 개별 기업의 별도 추가 조치(SCC 등) 불요
   - EU 역내 수집 정보를 한국으로 이전 시 적정성 결정을 역외이전 근거로 활용 가능, 이후 제3자 처리 위탁 시 국내법에 따라 처리 가능
   - 종전과 같이 역외이전을 위한 개별 조치를 기업들이 각자 개별적으로 이행하는 경우, 시간적 경제적 비용이 상당히 소요되므로 기업들에게는 적지 않은 부담으로 작용

  o (역외이전 수단으로서 SCC 활용 리스크) EU의 SCC 개정(’21.6월)으로 사업자들은 기존 SCC를 신규 SCC로 전면 수정 체결해야 했으며, EU 규제기관이 미국의 주요 기업을 대상으로 역외이전 수단으로 활용하던 SCC에 대한 효력 이슈를 제기함
   - (적정성 결정의 의의) 다른 역외이전 보호조치와 달리 개별 기업이 지속적으로 개정하거나 별도 조치를 추가로 이행할 필요 없어 부담이 없고, 무엇보다 지속적이고 안정적인 역외이전 근거로서 유의미할 것으로 사료
이전글
[웨비나] EU 현지기업을 위한 GDPR 대응방안 웨비나(2.4)
다음글
다음글이 없습니다.