유럽사법재판소 ‘Schrems II’ 판결의 한국 GDPR 적정성 평가에 대한 시사점 – 공공기관의 개인정보처리에 대한 제한 중심으로 –
Implications of CJEU’s Schrems II Decision for South Korea GDPR Adequacy Decision
박주현(SK하이닉스)
192권, 242~271쪽
초록
한국에 대한 유럽연합의 GDPR 적정성 결정은 2021. 12. 17. 채택 및 발효되었다. 적정성 결정에 따라 EU 정보주체의 동의, 정보보호 표준조항(standard data protection clauses) 사용 등 추가 조치 없이 EU 정보주체의 개인정보를 한국으로 이전할 수 있게 되었다. 적정성 결정은 3년 이내에 재평가 대상이 되고 그 후에도 최대 4년 주기로 재평가를 시행하게 되며, 주기적인 재평가 외에도 한국의 개인정보보호 법제에 대한 중대한 문제가 제기될 경우 언제든지 적정성 결정의 유예, 철회 또는 수정을 위한 절차가 개시될 수 있다. 적정성 결정 유지를 위한 주요 고려사항 중의 하나는 수사기관 등이 형사적 법 집행이나 국가안보 목적으로 개인정보를 처리함에 있어 적법절차의 원칙을 준수하는 등 충분한 안전장치(safeguard)가 적용되는지이다. 유럽 사법재판소(CJEU)는 2015년 이른바 “Schrems I” 판결에서 EU-미국 간 세이프 하버 협약을 무효화한 것에 이어 2020년에 다시 “Schrems II” 판결을 통해 세이프 하버의 후속으로 채택된 프라이버시 실드 협약도 무효화하였다. Schrems II 판결은 한국의 적정성 결정을 위한 협상에도 큰 영향을 주었고 최종 채택된 적정성 결정은 Schrems II 판결로부터 도출된 비례의 원칙 등을 공공기관의 형사적 법 집행·국가안보 목적을 위한 개인정보 처리의 주요 심사기준으로 인용하고 있다. 이 글에서는 Schrems II 판결 및 한국 적정성 결정문 등의 분석을 바탕으로 Schrems II 기준 충족을 위한 개선과제를 모색하였다.
Abstract
The General Data Protection Regulation (“GDPR”) adequacy decision for South Korea was adopted on December 17, 2021 with immediate effect. This decision allows personal data of EU data subjects to be transferred to South Korea without the need to take additional measures such as receiving the data subject’s consent or adopting standard data protection clauses. The decision will be re-examined within three years from adoption, and thereafter at intervals not to exceed four years. It is also possible for the European Commission to initiate procedures to suspend, repeal or amend the adequacy decision if it finds significant issues with the level of protection afforded to EU data subjects by the data protection laws of South Korea. A critical issue in maintaining the adequacy decision will be whether the South Korean data protection laws provide sufficient safeguards concerning the processing of personal data for law enforcement or national security purposes. The Schrems II decision of the Court of Justice of the European Union (“CJEU”) is particularly pertinent for this purpose. Schrems II, which invalidated the EU-US Privacy Shield, followed on the CJEU’s Schrems I decision, which invalidated the EU-US Safe Harbour agreement, showing that the CJEU is not shy about nullifying international agreements of considerable commercial importance if it finds that the agreement is insufficiently protective of EU individuals’ fundamental rights. The South Korean adequacy decision cites principles derived from Schrems II in assessing the adequacy of safeguards applicable to the processing of personal data for law enforcement and national security purposes. While South Korea passed this test the first time around, it will be important during subsequent examinations to demonstrate that the level of protection provided to EU data subjects does indeed meet the Schrems II standard. This paper identifies some of the issues that may be raised from an enforceability perspective, in hopes of facilitating dialogue on necessary enhancements in legislation and enforcement practice.
- 발행기관:
- 한국법학원
- 분류:
- 기타법학