주메뉴 바로가기 본문 바로가기

전자정부 누리집 로고 이 누리집은 대한민국 공식 전자정부 누리집입니다.

확대수치
글자크기 100%

개인정보 보호위원회

개인정보보호 국외동향 게시판 상세 테이블

개인정보보호 국외동향 게시판 상세 테이블로 제목, 작성부서, 작성자, 작성일, 조회수, 내용의 정보를 제공

제목 EU: EDPB, 제3국 기관 대상 개인정보 이전 지침 및 AI 교육 자료 발표
작성부서 국제협력담당관 작성자 이소민
작성일 2025-06-18 조회수 114
페이지 URL

EU: EDPB, 제3국 기관 대상 개인정보 이전 지침 및 AI 교육 자료 발표


EU EDPB는 개인정보 국외이전, 개인정보 처리 활동 기록 의무 완화, AI 교육 등 주요 의제를 통합해 최종 발표함으로써, AI 시대에 요구되는 규제 대응 역량과 실무 절차의 명확성을 확보하기 위한 기반을 마련


◆ 제도 발표 개요 및 배경

-유럽 개인정보보호 이사회(European Data Protection Board, EDPB)는 2025년 5월 29일 정례회의에서 제3국 공공기관을 대상으로 한 개인정보 전송에 관한 ‘GDPR 제48조* 적용

지침(Guidelines 02/2024 on Article 48 GDPR)’ 최종본을 채택함.

 * GDPR 제48조: 제3국 정부 또는 행정 당국이 개인정보의 전송이나 공개를 요청할 경우, EU 또는 회원국과 해당 제3국 간 유효한 국제협정이 존재할 때에만 요청을 인정하거나 집행할 수 있다고 명시 -아울러 AI 및 개인정보 보호에 관한 교육 모듈을 공개하고, GDPR상 중소기업 대상 기록 보관 의무 완화     에 대한 공동 의견서 채택을 위한 논의도 진행함.


◆ 제3국 공공기관 대상 개인정보 이전 지침

-EDPB는 공개 협의절차를 거쳐, 제3국 공공기관의 개인정보 이전 요청에 대응하는 기준을 담은 지침 최종본을 채택함. 이 지침은 GDPR 제48조를 중심으로 비유럽권 공공기관으로부터의 요청에 대해 적법하게 응답할 수 있는 판단 기준을 제시함.

-EDPB는 제3국 공공기관의 판결이나 명령이 유럽 내에서 자동적으로 인정되거나 집행될 수 없다는 점을 명확히 하여, EU의 법적 주권을 강조함.

-국제협정이 개인정보 이전의 법적 근거가 될 수 있으나, 협정이 없는 경우에는 GDPR 제49조상 예외 등을 포함한 다른 법적 근거의 검토가 필요함.

-국제협정의 유무와 무관하게, 개인정보 국외 이전 시에는 GDPR 제6조의 적법성 요건과 제5장의 전송 요건 및 보호 조치를 철저히 준수해야 함.

-또한, 개인정보 처리자가 아닌 프로세서가 요청을 받는 경우나, 제3국 본사가 EU 내 자회사에 자료 제공을 요구하는 경우 등 세부 쟁점에 대해서도 명시함


◆ AI 관련 교육자료 공개 및 정책적 함의

-EDPB는 전문가 지원풀(Support Pool of Experts, SPE)** 프로그램의 일환으로, AI와 개인정보 보호 관련 교육 모듈 2종을 공개함.

 ** 전문가 지원풀(SPE): EU 개인정보 감독기관의 공동 관심 사안에 대한 조사 및 집행 활동을 지원하기 위해 구성된 전문가 네트워크

-‘AI 보안 및 개인정보보호 관련 법률과 컴플라이언스(Law & Compliance in AI Security and Data Protection)’ 모듈은 개인정보 보호 책임자, 법무 및 규제 담당자를 대상으로 자동화된 의사결정 관련 규정과 정보주체 권리에 대해 설명함.

-‘개인정보 기반 AI 시스템의 기본 원칙(Fundamentals of Secure AI Systems with Personal Data)’ 모듈은 기술 및 보안 실무자를 대상으로 AI 작동 원리, 개인정보 리스크, 평가 및 감사 방법 등을 다룸.

-이는 AI 확산에 따른 개인정보 리스크 변화에 대응하기 위한 실무 역량 강화를 목적으로 함.


◆ GDPR 개인정보 처리활동 기록 의무 간소화 논의

-같은 회의에서 EDPB는 EU 집행위원회(European Commission, EC)가 2025년 5월 제안한 중소·중견기업(Small and Mid-Cap Companies, SMC) 및 직원 수 750명 미만 조직에 대한 개인정보 처리 기록 의무 간소화 방안을 논의함.

-해당 사안은 GDPR 제30조 제5항의 구체적 개정이 필요한 내용으로, EDPB와 유럽 개인정보 감독기관(European Data Protection Supervisor, EDPS)은 8주 이내 공동 의견을 발표할 예정임.


출처: EDPB publishes final version of guidelines on data transfers to third country authorities and SPE training material on AI and data protection (EDPB, 2025.06.05.)

       EU: EDPB publishes final Guidelines on data transfers to third country authorities (Dataguidance, 2026. 06.06.)

해당 페이지의 만족도와 소중한 의견 남겨주세요.

등록