슈렘스 Ⅱ결정 후 유럽데이터보호위원회(EDPB) 권고에 대한 평가 - GDPR의 위험기반접근을 중심으로 -

Abstract

본 논문은 개인정보처리의 적정성 평가를 위험기반접근법을 통하여 분석하였다. 슈렘스Ⅰ판결, 슈렘스Ⅱ판결의 후속 조치로서 유럽데이터보호위원회의 권고에 이르기까지 개인정보의 역외 이전의 규율방식은 개인정보처리자에게 과도한 부담을 지우는 방식으로 전개되고 있다.BR 이러한 경향은 ‘적정한 처리’에 대한 해석에 관한 논의와 더불어 개인정보자기결정권의 보호영역의 본질로서 사생활 침해의 ‘위험’이라는 측면에서 권리의 내재적 한계와 연결되는 것이다. 즉 ‘적정한 처리’와 ‘위험’의 의미로부터 개인정보보호의 규율은 사례 중심적 접근이 요구된다고 할 것이다.BR 미국과 유럽의 데이터 보호 협정은 슈렘스 판결에서 무효화되었다. 이는 데이터 이전 대상국가의 개인정보보호 수준의 적정성 평가와 관련된 중요한 판결이었다. 이로 인하여 데이터 역외 이전은 GDPR 제46조의 근거에 따른 표준데이터보호계약에 의한 이전만 가능하게 되었다. 슈렘스 판결이후 유럽데이터보호위원회는 추가 조치를 내용으로 하는 권고를 제시하고, 이는 데이터 처리자에게 과도한 책임을 지우는 것으로 경직된 규율로 평가된다.BR GDPR은 개인정보의 보호밀도에 따른 비례적인 개인정보처리와 아울러 위험기반의 적정성 평가 요소를 동시에 가지고 있다. 유럽데이터보호위원회 권고는 제로리스크에 가까운 추가조치로서 데이터 이용을 과도하게 제한하는 결과를 초래한다.