제 4절 개인정보의 국외 이전
| 제28조의8 개인정보의 국외 이전
- 1항 개인정보는 국외로 제공/처리위탁/보관되어선 안돼 아래는 예외야
- 정보주체로부터 별도의 동의를 받은 경우: 유일하게 동의를 필요로 하는 예외
- 대한민국을 당사자로 하는 조약 및 국제협정에 개인정보 국외이전 규정이 있는경우
- 정보주체와의 계약의 체결 및 이행을 위한 경우 : 개인정보 처리방침에 공개, 정보주체에게 개별통지
- 이전받는 자가 보호위원회가 고시하는 인증(ISMS-P)를 받고 다음의 조치를 모두 한 경우→ ISMS-P : 정보보호 및 개인정보보고 관리체계
- → 안전조치 및 정보주체 권리보장 조치, 인증사항을 이전받는 국가에서 이행하기 위한 조치
- 이전되는 국가/국제기구의 개인정보 보호체계, 정보주체의 권리보장 범위, 피해구제 절차 등이 개인정보보호법에 따른 개인정보 보장 수준과 실질적으로 동등한 수준을 갖추었다고 인정받는 경우
- Positive vs Negative→ Negative 규제 : 일단 돼, 이것만 안돼
- → Positive 규제 : 일단 안돼, 이것만 돼
- 국외이전의 종류 : 제 3자 제공(국외업체 제휴), 개인정보 처리위탁(해외 콜센터), 보관(국외 데이터센터 서버에 보관)
- 2항 제1항 제1호에 대해 동의를 받을 때는 다음을 정보주체에게 알려야 함
- 이전되는 개인정보 항목
- 이전되는 국가, 시기, 방법
- 이전받는 자의 성명(법인 명칭과 연락처)
- 이전받는 자의 개인정보 이용목적 및 보유, 이용 기간
- 이전을 거부하는 방법, 절차 및 거부 효과
- ✅ 도시나 건물 주소 등의 표기는 의무 아님
- 3항 제2항의 항목이 변경될 경우 정보주체에게 명시적 동의를 받아야 함
- 4항 개인정보 국외 이전 시 보호조치
- 제 17조(개인정보의 제공)
- 제 18조(개인정보의 목적 외 이용, 제공 제한)
- 제 19조(개인정보를 제공받은 자의 이용, 제공 제한)
- 제 5장 정보주체의 권리 보장
- 5항 이 법을 위반하는 사항을 내용으로 국외 이전 계약을 체결해서는 안된다
- 6항 이외의 기준 및 절차는 대통령령으로 정한다 → 2023.9.15 공포 예정
| 제28조의9 개인정보의 국외 이전 중지 명령
- 국외이전 중지 : 개인정보의 국외 이전이 진행되는 상태에서의 중단, 사전 예방 조치 X
- 1항 국외이전 중지 요건
- 제28조의8 제1항, 4항, 5항을 위반한 경우
- 이전받는자나 국가/국제기가의 개인정보보호수준이 적절하지 않아 피해 발생/우려될 경우
- 이전 진행중이거나 완료 후 추가 이전이 예상되는 경우 적용
- 2항 이의제기
- 국외 이전 중지 명령을 받은 날로부터 7일 이내
- 3항 시행령 규정 → 2023.9.15 공포
- 개인정보 국외 이전 중지 명령 기준 1항
- 불복 절차 등에 필요한 사항 2항
| 제28조의10 상호주의
- 제28조의8에 불구하고, 개인정보의 국외 이전을 제한하는 국가의 개인정보처리자에 대해서는 해당 국가의 수준에 상응하는 제한 가능
- 조약 및 국제협정의 이행이 필요한 경우는
| 제28조의11 준용규정
- 국외 재이전시 준용
- 개인정보처리자 → 개인정보를 이전받는 자
- 개인정보를 이전받는 자 → 제3국에서 개인정보를 이전받는 자
| 개인정보 국외이전 예시
- Q 글로벌 기업 국외 본사에서 국내 법인의 고객정보를 조회하는 것
- A 제 3자 제공
- Q CS 업무 처리를 위해 C 회사와 아웃소싱 계약을 체결했을 때 C의 서버가 필리핀에 위치할 경우
- A 처리위탁
- AWS를 사용하는 기업이 백업용으로 고객 DB를 미국 동부 지역의 데이터 센터에 저장할 경우 Q 국외 이전을 위한 동의를 받아야 하는가?
- A 국외의 데이터센터에 개인정보가 저장되는 경우에는 개인정보 국외 이전 사항을 명시해야 함
- Q AWS와는 개인정보 처리위탁 관계인가?
- A 놉! 수탁자의 관리 감독에 대한 의무 X
- Q AWS를 사용하여 개인정보를 처리하는 SaaS를 제공할 때 처리위탁 관계인가?
- A 클라우드 서비스의 경우 클라우드 사업자가 전용선을 통해 개인정보를 전송/서버 내 일정한 공간을 제공할 뿐 서버에 저장된 개인정보에 접근X/본회사가 해당 공간에 대한 점유권을 가진 배타적 권리자/개인정보 보호 의무 역시 모두 본 회사에 있다면 위탁관계 X
- Q A사가 M사의 국외 뉴스 발송 서비스를 이용하여 뉴스레터 이메일을 발송하면 A사와 M사는 개인정보 처리위탁 관계인가? 단 M사는 A사가 보내준 수신인의 이메일 주소를 이용해 발송함
- A 국외이전 + 개인정보 처리위탁 관계
