개인정보 보호위원회

ㅇ EU 개인정보보호 이사회(EDPB)는 아일랜드 개인정보 감독기관(DPC)이 제시한 Meta의 EU-미국 간 개인정보 이전의 합법성에 관한 구속력 있는 결정 채택(4.13.)

• ‘20.7월, EU 사법재판소(CJEU)는 일명 슈렘스(Schrems II) 판결로 알려진 판결에서 EU에서 미국으로의 개인정보 이전 법적 근거인 프라이버시 실드와 표준계약조항(SCC)의 유효성을 다룸

- 동 결정에서 CJEU는 미국의 법률이 본질적으로 EU 법률에서 요구하는 수준과 동등한 수준의 요건을 충족하지 않는다고 판단하여 프라이버시 실드를 무효화

• 슈렘스 판결 직후인 ‘20.9월, DPC는 Meta의 미국으로의 개인정보 이전의 합법성을 검토하기 위해 자체적인 조사에 착수

- 동 사안의 선임 감독기관인 DPC는 ’22.7월 결정 초안을 관련 감독기관들에 공유했으나, 이에 대해 관련 감독기관들과 합의에 이르지 못하자 구속력 있는 결정을 위해 사안을 EDPB에 회부

• EDPB의 구속력 있는 결정은 Meta가 미국으로 EU 사용자들의 개인정보를 전송해 EU 일반 개인정보 보호법(GDPR)을 위반한 사안에 대해 재정적 처벌만을 받게 될지, 또는 개인정보 관련 프로세스를 정상화하라는 명령까지 받게 될지를 판단

• 해당 결정은 아직 공개되지 않았으나, SCC를 이용한 Meta의 개인정보 역외이전을 EDPB가 허용하지 않는 것으로 공개될 경우, Meta는 미국으로의 개인정보 이전을 중단해야 하는 후속 명령을 부과받게 될 전망

- 앞서 Meta는 미국으로의 개인정보 이전을 중단해야 하는 경우 더 이상 유럽에서 서비스를 지속할 수 없음을 언급한 바 있음

- 최근 제정된 디지털서비스법(DSA)*의 요구사항에 따라 보고된 공식 문서에 따르면 Meta는 Facebook과 Instagram에 각각 2억 5,500만 명과 3억 5,000만 명의 유럽 사용자를 보유하고 있음
* Digital Services Act: 소셜미디어, 온라인 쇼핑몰, 검색 엔진과 같은 “중개 서비스(intermediary services)”를 규제하며 ‘22.11.16. 발효

• EDPB의 이번 구속력 있는 결정은 EDPB에 회부되었던 Meta에 대한 일련의 DPC 결정 중 가장 최근 사안임

- ‘23.1월, DPC는 EDPB의 구속력 있는 결정에 따라 동의 대신 계약 이행을 근거로 맞춤형 광고 서비스를 제공한 Meta에 대해 과징금 3억 9,000만 유로를 부과한 바 있음

- 한편 DPC는 새로운 조사에 착수하라는 EDPB의 명령에 불복하여 현재 CJEU 내 사법재판소(ECJ)에 EDPB에 대한 이의를 제기한 상태임

[출처]
• EDPB, “EDPB resolves dispute on transfers by Meta and creates task force on Chat GPT”, 2023.4.13.
• GDR, “EDPB adopts decision on Meta US transfers”, 2023.4.13.
• iapp, “Meta's EU data transfer case faces Article 65 dispute resolution mechanism”, 2023.1.26.


※ 본 번역 요약본의 저작권은 개인정보보호위원회 및 한국인터넷진흥원에 있으며, 본 요약본을 활용하실 경우에는 출처를 반드시 밝혀주시기 바랍니다.