모바일메뉴닫기
서브비쥬얼 서브비쥬얼

HOME알림마당공지사항보기

공지사항보기

게시글 상세조회

[동향] EU 집행위원회, 업데이트 된 표준개인정보보호조항(SCCs) 공표('21.6.4.)

  • 작성일:2021-06-15
  • 조회수:436
□ 배경

 o ’20.7월 CJEU(EU 사법재판소)는 EU-미국 간 체결되었던 프라이버시 쉴드 및 표준계약 조항인 SCC*의 보호수준에 대해 판결
  - Schrems Ⅱ**로 일컬어지는 동 판결은 프라이버시 쉴드 뿐 아니라 SCC에 의해 이전된 개인정보가 GDPR 수준으로 관리되고 있는지에 대해 판단
  
   * SCC(Standard Contractual Clauses) : 컨트롤러 또는 컨트롤러와 프로세서 사이의 개인정보 역외 이전 계약 체결을 위하여 사용되는 통일된 양식의 정보 이전 조항을 의미
** Schrems Ⅱ 사건 : ’15년 Max Schrems는 EU-미국 간 이전되는 페이스북의 개인정보 관련 프라이버시 침해 이슈를 제기하였으며, 그 결과 기존의 EU-미국 간 개인정보 이전의 기반이 되었던 Safe-Harbor가 Privacy Shield로 대체됨. 두 대륙간 개인정보 이전체계의 변화를 가져온 동 사례는 Schrems 사건으로 불리고 있으며, ’18년 Max Schrems가 제기한 ’20년 소송이 Schrems Ⅱ 사건으로 언급되고 있음. 프라이버시 쉴드는 개인정보의 적절한 보호 수준을 제공하지 못하였다고 판단하여 무효화되었으며, SCC의 유효성은 인정하였으나, 추가적 적절한 보호 수준 입증이 필요하다고 판결

 o EU 역외로 이전되는 개인정보의 보호 수준을 보장하기 위해 EC는 ’21.6.4일 SCC를 개선하여 공개
  - 금번 개정된 SCC는 기존(’04.10월) 채택된 SCC를 대체할 예정이며, ’20.7월 CJEU에서 제기한 적절한 보호 수준 입증에 대한 내용을 포괄  

□ SCCs 주요 변경 사항

 o (이행 기간) 기존의 SCC는 신규 SCC의 공식 발효일로부터 3개월 동안만 이용가능하며, 최대 15개월 안에 기존의 모든 SCC 조항은 새로운 규정으로 전환 필요
 o (범위) 변경된 SCC는 기존의 개별 양식 대신, ▲컨트롤러-컨트롤러, ▲컨트롤러-프로세서, ▲프로세서-프로세서, ▲프로세서-컨트롤러 간 개인정보 이전을 고려하여 총 4가지 상황을 포괄한 단일 양식 제공 
 o (주요변경) GDPR 적용 및 SchremsⅡ 판결 요구 사항 중 일부를 구현하기 위해 변경된 SCC는 영향평가 진행 및 조취 사항에 대한 지속적인 재평가와 평가결과의 문서화 필요
  - 개정된 SCC는 개인정보 이전에 대한 영향평가를 요구
   ※ 개인정보를 주고받는 양 당사자는 개인정보가 이전되는 국가의 체계가 유럽 표준을 준수한다는 것에 대한 보증이 필요하며, 이행된 영향평가는 문서화하여 보관하고 감독기구 요청 시 제출 필요
  - 개인정보를 EU 역외로 이전하고자 하는 사업자는 필요한 모든 상황에 대해 표준계약 조항 준비 필요
  - 변경된 SCC는 복잡한 개인정보 이전 환경을 고려하여 개인정보 이전 상황별 조항을 제공하는 대신, 광범위한 이전 상황을 포괄하는 단일 모듈식 접근 방식을 통해 개인정보 이전 당사자에게 유연성 제공 
  - SchremsⅡ 판결을 준수하기 위해 여러 단계에 대한 개요와 조치의 세부 예시(암호화, 익명처리 등과 같은 보호 조치) 제공  

□ 향후 일정

 o EU 집행위원회의 공식 홈페이지에 변경된 SCC 게재 20일 이후 효력 발생

□ 참고

EU 집행위원회 홈페이지

https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en?fbclid=IwAR1zoM6-W-A8w9o3pf_T6gI07PVSsbrWoDnvtaN2Rv-Gp-tphc0hOIglEd0