EU-美, 새로운 개인정보 데이터 역외이전 협정(DPF) 승인 원문보기 1

• 국가 유럽연합(EU)
• 생성기관 유럽연합집행위원회
• 주제분류 과학기술국제화
• 원문발표일 2023-07-10
• 등록일 2023-09-08
• 권호 246

□ EU집행위원회(EC), 데이터 프라이버시 프레임워크(DPF)*의 적정성 결정을 채택

ㅇ 적정성 결정은 미국 기업으로 이전되는 EU 시민 개인정보에 대해 미국이 EU와 유사한 수준의 보호를 보장한다고 인정한다는 의미

* Data Privacy Framework : 개인정보 역외이전 시 적용되는 프레임워크

※ 적정성 결정(adequacy decision) : EU일반개인정보보호법(GDPR) 제45조 제3항에서 EC에 부여하고 있는 권한으로, EC는 역외 국가가 EU와 본질적으로 동등한 개인정보보호 수준을 보장하는지 여부를 결정할 수 있음

ㅇ EU에서 생성된 개인정보가 추가 보호조치 없이 미국 내 기업으로 이전되는 것을 허용하며, DPF 참여 기업은 협약에 따라 영국 및 스위스로도 확장 가능

- 미국 기업이 유럽의 개인정보 보호 의무를 준수하는데 동의할 경우, EU-미국 데이터 프라이버시 프레임워크에 가입 가능

□ EU사법재판소(CJEU)의 EU-미국 프라이버시 쉴드 무효화 결정에 따라, EU와 미국은 새로운 개인정보 역외이전 제도인 DPF를 마련

ㅇ (프라이버시 쉴드 무효화) ’20년 7월, CJEU는 슈렘스 II(Schrems II) 결정을 통해 기존의 개인정보 이전에 관한 법적 근거였던 ‘EU-미국 프라이버시 쉴드(Privacy Shield)’를 무효화

- 미국의 법 제도가 본질적으로 EU 법률에서 요구하는 수준과 동등한 수준의 요건을 충족하지 않는다고 판단

□ EU-미국 DPF는 구속력 있는 새로운 보호 장치를 도입, 이전보다 선택권 및 청구권 등에서 개선

ㅇ (미국) 상무부의 국제무역관리국(ITA)에서 관리하며, DPF 참여 기업의 목록 공개･관리 및 후속조치, 자체인증 프로세스 및 규정 준수 검토, EU 데이터보호당국 등 관련기관 대응 수행

- (미국 기업) ITA에 DPF 원칙을 준수한다는 것을 자체 인증하여 신청하고, 이후 매년 재인증 필요

※ 아마존･애플･구글･메타 등이 소속된 컴퓨터 및 통신 산업 협회(CCIA)는 이번 협정 승인에 대해 환영하는 입장문 발표

ㅇ (EU 시민의 권리) 수집되는 개인정보의 유형･목적･제3자 제공 등에 대한 정보, 데이터 공개 제한 선택권, 개인 데이터에 대한 접근권, 데이터 전송 혹은 공공기관 요청에 따른 공개 시 통지, 보안, 이의제기에 대한 답변, 무료 분쟁해결 조정, 중재요청 등을 보장받음

ㅇ (EU의 정기 검토) EC는 EU 및 미국의 개인정보 감독기관과 함께 EU-US DPF의 기능에 관해 정기적인 검토를 수행하며, 적정성 결정 시행 후 1년 이내에 첫 번째 검토를 수행할 계획