유럽연합위원회는 마침내 기존 개인 정보 보호법 표준 계약 조항 (SCCs)을 대체할 새로운 SCCs를 발표했습니다. GDPR에 따르면, 충분한 수준의 개인 정보 보호를 제공하지 않는 유럽 경제 지역 외의 국가로 개인 정보가 전송될 경우, 적절한 보호 조치를 마련해야 합니다. 대부분의 경우 SCCs가 실질적으로 유일한 해결 방안입니다.
기존 SCCs는 최근 몇 년간 그 목적에 적합하지 않다는 비판을 받아왔습니다. 예를 들어 유럽 경제 지역의 컨트롤러가 유럽 경제 지역 이외의 국가에 위치한 프로세서나 컨트롤러에게 개인 정보를 전송하는 상황에 맞추어 구성되었기 때문에, 유럽 경제 지역의 프로세서가 제 3국에 개인 정보를 전송하는 경우는 적합하지 않았습니다.
새로운 SCCs는 좀 더 유동적이며 다음과 같은 정보 전송에 적용됩니다.
i. 컨트롤러에서 컨트롤러
ii. 컨트롤러에서 프로세서
iii. 프로세서에서 하위 프로세서
iv. 프로세서에서 컨트롤러
현재 유럽 연합국가에서 개인 정보 전송을 위해 SCCs에 의존하는 기업의 경우, 이미 체결된 SCCs를 업데이트하는데 18개월의 전환 기간이 적용되며, 기존의 SCCs를 이용하여 새로운 계약을 체결하고자 하는 사업체에는 3개월의 전환 기간이 적용됩니다. 이 두 전환 기간 모두 유럽 연합의 관보 (Official Journal)에 시행 결정이 게재된 날짜로부터 적용됩니다.
영국으로부터의 개인 정보 전송에 관련해서는 Information Commissioner’s Office (ICO)가 기존의 SCCs 만을 유효한 매커니점으로 인정하고 있습니다. 새로운 영국의 SCCs가 제정될 것으로 예측되고 있으나 ICO는 새로운 유럽 연합의 SCCs의 인정 여부 또한 고려하고 있습니다.
당분간은 개인 정보 전송 내용을 검토하여 이전 SCCs을 통해 정보를 어디로 전송했는지, 정보가 유럽 연합 국가로부터 혹은 영국으로부터 제 3국가로 전송되었는지 확인하는 것이 좋겠습니다. 유럽 연합으로부터 정보를 전송하고 이와 같은 상황이 18개월 이상 지속될 예정이라면 새로운 SCCs를 적용해야 합니다. 향후 3개월 이후 서명될 새로운 계약은 새로운 SCCs를 포함해야 합니다. 영국으로부터만 정보를 전송한다면 ICO에서 추가 발표가 있을 때까지 특별히 취해야 할 조치는 없습니다.
새로운 SCCs가 필요한지 확인 작업이 필요하시거나 개인 정보 보호법에 대한 도움이 필요하실 경우 저희 상법/기업법 팀에 연락주시기 바랍니다.
