EU GDPR에 따른 역외어전(onward transfer)란 EU 경계를 넘어 제3국이나 국제기구로 개인정보가 이전되는 경우를 의미한다. 더불어 제3국이나 국제기구에서 다시 다른 제3국이나 국제기구로 재이전되는 경우도 같이 규제하고 있다.
다만 제3국이나 국제기구로 개인정보가 이전되려면, 이전되는 제3국이나 국제기구는 EU와 동등한 수준의 보호조치가 행해져야 함을 전제로 한다.
EU GDPR 제7장은 역외이전의 절차나 요건에 대하여 매우 상세하게 규정하고 있는바 하나하나 살펴보기로 한다.
1. 개인정보의 역외이전이 가능한 경우로는, 이전되는 국가(국제기구 포함, 이하 같음)가 유럽위원회로부터 보호수준이 적절하다고 결정된 경우이어야 한다. 이를 적절성 결정이라고 한다. 다만 우리나라는 아직 적절성 결정을 받지 못한 관계로 이는 우리나라에는 해당 사항이 없다.
그 외에 구속력 있는 기업규칙을 승인 받는 방법이 있으나, 이는 생각보다 절차와 요건이 까다롭기 때문에 많이 활용하지 않는다.
2. 차선적으로 생각할 수 있는 방법이 바로 '적절한 안전장치'를 둔 경우이다. 적절한 안전장치란 두 가지로 나눌 수 있는데, 감독당국의 특정 승인이 필요 없는 경우와 감독 당국의 특정 승인이 필요한 경우이다. 후자는 절차상 부담이 있으므로 결국 전자로 하는 게 일반적이다.
감독당국의 특정 승인이 필요 없는 적절한 안전장치로는 아래의 방법이 있다.
(a) 공공당국 또는 기관 사이의 법적 구속력 있는 집행 문서
(b) 제47조에 따른 구속력 있는 기업규칙
(c) 제93조 제2항에서 언급된 검토절차에 따라 유럽위원회가 채택한 표준개인정보보호조항
(d) 감독당국이 채택하고 제93조 제2항에 언급된 검토절차에 따른 유럽위원회가 승인한 표준개인정보보호조항
(e) 정보주체의 권리에 관한 것을 포함하여 적절한 안전장치를 적용하는 제3국의 컨트롤러 또는 프로세서의 구속력 있고 집행가능한 약속과 함께 제40조에 따라 승인된 행동규약
(f) 정보주체의 권리에 관한 것을 포함하여 적절한 안전장치를 적용하는 제3국의 컨트롤러 또는 프로세서의 구속력 있고 집행가능한 약속과 함께 제42조에 따라 승인된 인증 메카니즘
이 중에서 많이 활용하는 방법이 바로 (d)와 (e)이다. 현재 표준개인정보보호조항이 제공되고 있는바, 이를 활용하는 방법을 취하는 게 바람직하다.
3. GDPR은 그 외에 몇 가지 예외적인 상황을 제시하고 있는데, 그것이 바로 동의 등에 의한 개인정보 역외이전이다.
(a) 적절성 결정 및 적절한 안전장치 결여로 인하여 이전시 발생가능한 정보주체의 위험을 고지받은 후, 정보주체가 명시적으로 동 이전에 동의한 경우
(b) 정보주체와 컨트롤러 사이의 계약의 이행 또는 정부주체의 요청으로 취해진 계약의 사전 조치의 이행을 위해서 이전이 필요한 경우
(c) 정보주체의 이익을 위해 컨트롤러와 다른 자연인 또는 법인 사이에 체결된 계약의 체결 및 이행을 위해서 이전이 필요한 경우
4. 동의 등을 거치지 않더라도 반복적인 이전이 아니고, 정보주체의 수가 제한적이며, 컨트롤러의 정당한 이익을 위해 필요한 전송이며, 이전과 관련된 환경 평가를 고려한 적절한 보호조치에 따른 이전인 경우에는 동의 등이 없이도 이전이 가능하다. 다만 해당 감독당국에 이전에 대한 통지를 해야 한다는 점에 유의해야 한다.
결국, 1.의 적절성 결정이나 BCRs(Binding Corporate Rules)가 가능한가?
2. 적절한 안전장치로서 표준개인정보보호조항이 적용이 가능한가?
3. 명시적인 동의 등이 가능한가?
4. 감독당국에 대한 통지를 전제로 한 이전을 할 것인가?
의 순서로 생각하여 자사의 상황에 맞는 조치를 하면 될 것으로 보인다.
* 법무법인 민후 김경환 대표변호사 작성, 블로그(2019. 12. 8.) 기고.